SANGFOR产品笔记

最新推荐文章于 2023-09-25 20:56:12 发布

liuyi_刘一

最新推荐文章于 2023-09-25 20:56:12 发布

阅读量3.8k

点赞数 1

分类专栏：其它

本文链接：https://blog.csdn.net/kaailiu/article/details/63263054

版权

其它专栏收录该内容

4 篇文章 0 订阅

订阅专栏

AC（上网行为管理）笔记：

深信服社区：bbs.sangfor.com

外置数据中心下载链接： http://www.sangfor.com.cn/service/downfile/100000007141875.html

升级包下载链接：http://www.sangfor.com.cn/service/downfile/100000007887962.html

准入插件下载链接：http://acip:817/singress.exe

上网行为管理11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac/AC11.0R2(20160406).ssu

外置数据中心DC11.0R2安装包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterSetup_11.0R2_chs.zip

外置数据中心DC11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterUpdate_11.0R2_chs.zip

很多时候我们去到客户现场做测试或者上线，客户使用的都不是直接使用三大运营商的网络，有可能是二级运营商甚至是三级运营商的网络，这时候设置DNS就比较麻烦了。大家通常都怎么设置？

我先说说我自己常用的DNS：

aliDNS （223.5.5.5， 223.6.6.6）

114DNS （114.114.114.114， 114.114.115.115）

114DNS安全版（114.114.114.119， 114.114.115.119）

114DNS家庭版（114.114.114.110， 114.114.115.110）

8.8.8.8 114.114.114.114

查找管理口IP：SANGFOR升级工具；

恢复控制台密码：访问：https://acip/php/rp.php，连接交叉线并重启设备；

恢复出厂设置：

1、通过控制台；

2、升级工具+ssu包恢复；

3、交叉线，关机——连线——开机——等到设备重启——拔掉；

AC：

默认IP：1、10.251.251.251；2、10.252.252.252

保留IP：1、128.127.125.252；2、128.128.125.252

SSL VPN：

默认IP：1、10.254.254.254；2、10.254.253.254

保留IP：10.111.222.33/30

默认登录方式：1、https://ip:4430；2、https://ip:1000

AC只能升级不能降

arp：可查询用户IP、MAC和接口；

有些路由器WAN做了NAT转换，默认是不能关的，这样就只能看到WAN口的IP，其它接口的IP都显示成WAN IP，如在AC上做策略就有影响；

拦截提示、监控QQ聊天记录（如是客户端要装插件），把PC杀毒软件和防火墙都退出，怕误拦截这个数据包，准入不支持NAT环境；

外部认证也叫第三方认证，用户的账号密码信息保存在第三方服务器上：

LDAP：轻量目录访问；

radius：账户认证服务器（身份认证）；

PoP3：邮件服务器；

NAT代理上网即SNAT，对数据包源IP进行转换，一般做私转公；端口映射即DNAT，对数据包目标IP进行转换，公转么；

如用户需通过AC上网，要设置地址转换规则及防火墙；

跨三层MAC识别，如三层环境，要绑定终端电脑的IP和MAC，需配置跨三层MAC识别和在核心交换机开户SNMP，如是二层环境则无需；

可同时创建多个用户和组，以英文逗号分隔；

上网策略与域xx关联，需先建立域服务器（在外部认证服务器那里新增）；

如把AC关机，不拔电源，AC会变成bypass模式成为一个网桥；

上网策略不生效：

1、看有无跟用户关联；

2、是否开启直通或排除了IP；

3、看用户是否关联了多条上网权限策略；

4、是否有自定义应用（注意生效顺序）；

5、看拒绝的应用与实际识别出的应用是否对应；

6、看应用规则库是否更新到最新版本；

流控策略不生效：

1、看是不是启用了流量管理系统的那个勾；

2、是否开启直通或排除IP，流控通道是否有排除策略；

3、是否有多条流控通道；

4、规则库是否为最新；

5、是否有自定义应用；

6、看流控的应用与实际应用是否对应；

7、最重要的是：WAN口和LAN口的线不能接错，或数据未经过上网行为管理；

策略有误把网络拦掉了怎么排查？

1、看上网策略是否有设置拦截数据的策略；

2、开启日志直通，测试故障，如开启直通后能上网说明是策略的问题，看日志找问题；

3、关闭直通，测试效果；

外置数据中心：关闭内置——下载安装——配置软件——配AC——同步——登录查看；

全局排除的IP地址，仍然有效的模块有NAT，显示代理，防火墙规则，防dos攻击，arp欺骗防护，系统路由和策略路由，准入IM审记（先开启审记后排除的情况）；

将域服务器开启了DNS，PC首选DNS填入域服务器IP后，本机就上不了网了，如要上网：1、DNS转发；2、代理上网；

策略路由：根据不同流量走不同链路；

服务器集群：

负载均衡（放在防火墙前面，做一个链路选择，抗的带宽大）

分为：1、应用（服务器）负载均衡；2、网络（链路）负载均衡又分入站与出站；

DDOS：分布式拒绝服务攻击（DOS像单挑则DDOS是群殴）；

IDS：入侵检测系统（没防御功能），一般接sw；

IPS：入侵防御系统，检测攻击行为（有防御功能），只检测经过自己的数据包；

代理服务器还有功能是缓存网页，有两个功能；

SNMP：AC想绑定PC的IP和MAC，但PC的数据是经过三层sw再到AC的，所以源MAC就变成了sw的MAC，在AC和核心sw中都要开启SNMP才行；

AC：

路由模式（网关），需要用到DHCP、DNS、NAT时就用路由模式；

网桥模式，硬件bypass；

旁路模式，审计，基于TCP访问控制；

单臂模式，代理；

网桥多网口：单进双出；

电脑连的是wifi的话在AC上设置排除地址AC是检测不到这个地址的，因为路由器WAN口做了NAT转换（除非是高端路由器可以取消WAN口NAT，普通路由器不能取消），如果非要排除，就WAN口不连，线连在LAN口上，把路由器当交换机用；

FW比AC吞吐量高，但FW里的上网记录功能较不全面；

VPN：虚拟专线；

当抓包抓到一样的会话，比如源地址全是一个，发送UDP会话到233.0.0.1，就是交换机环路了，因为233.0.0.1是每个设备的保留地址，就像127.0.0.1一样，自己给自己发包就是环路了，也可以拿目的MAC去查，看到信息写着是私营的话就是自己的地址，一般MAC地址会显示厂商厂地信息的。

如果设备接反了线（内网口接了外网），在线用户看到的就会是公网地址，还可通过设备的接口吞吐率折线图，流量是否是双向的进行判断；

如果做了上网权限，你打开这个应用当应用需要联网的情况下才能被数据中心记录日志，不需要联网AC就无法识别到；

客户是PPPOE拨号获取IP，拨号在路由器那里获取了地址，然后AC如果部署路由模式就要设置内外网IP，不能同一网段，所以要配置为网桥模式，路由器—AC—交换机这样部署；

AC恢复之前备份配置的要求是：
同版本导入配置：
1、有本地的备份的配置文件或者设备上面有之前备份的配置文件
2、新设备的网口数量需要比备份配置中使用的网口数量多或者是等于

不同版本导入配置（除了上述条件，还需要满足）：
1、3.3R1版本之后开始支持导入到高版本中，但是最高为6.1的版本（举例：比如4.5的配置可以导入到比4.5高但是比6.1版本低的版本中）
2、6.1的配置可以导入到11.0R2的版本中，不支持导入到其他的高版本中
3、11.x的版本，支持导入到比当前版本高的版本中
注意：
1、AC和SG的配置不能互导，但是有一个版本比较特殊，SG6.1的配置可以导入到AC11.0R2里面去，其他的版本都不行（因为SG设备没有11.0R2的版本）
2、从什么地方备份的配置，只能从什么地方导入（比如网页里面备份的配置仅支持从网页里面导入，升级客户端里面备份的配置，仅支持从升级客户端导入）

您同步的话因为所有配置都会变成一样的，如果是部署在跟之前A不同的网段:

1、需要修改网络地址

2、针对用户做的认证策略网段需要修改

3、策略适用用户这些也需要修改

AC11.8支持从AC11.0R2、AC11.2的配置进行导入

6.1的配置可以导入到11.0R2的版本中，不支持导入到其他的高版本中

有没有那种哪个设备能接多少用户的那个表？

6.1的配置可以导入到AC11.0或者AC11.0R2的

如果接了新设备需要做配置，连上去默认是上不了网的，所以无法远程（远程的前提是需要网络），除非电脑有双网卡！

交换机接口被人用一根网线两端连接两个网线插口，形成回路会上不了网！

SANGFOR升级设备可以按F10查看具体报错信息；

11.x的不支持网桥多网口了需要修改成多网桥设置，才能升级；

改成多网桥之后建议用75检测包检测一下设备支不支持升级，版本支持的话不一定设备也支持：升级检测包： http://pan.baidu.com/s/1kVnmPaJ

只有Ac11.8的升级包自带检测功能可以加载升级包检测其他的都没有检测功能;

11.0升级检测工具提示配置转换失败，可能是DMZ口重定向功能导致的，在高级设置里，如果开了，就关了提交再开再关，如关了就开了提交再关；

如果OA无法收发邮件，并且确定是由于深信服策略引起的，可以将“owa.gf.com.cn”这地址添加到自定义排除地址里面，即可以解除相关的拦截

AC11.0r2升级包下载地址及说明

1.2015年1月后购买的设备可以升级到11.0R2,2015年前购买的设备，请先联系400客服，确认硬件资源是否足够升级到11.0R2

2.5.6到11.0R2的升级顺序是：5.6→5.7→6.0→6.1→11.0R2

3.升级之后，会删除以下功能：

邮件延迟审计，外发文件告警，插件过滤，脚本过滤及危险行为识别

4.如果有使用外置数据中心，升级后，必须安新版本的外置数据中心，并重新设置数据同步

5.升级包下载地址

上网行为管理11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac/AC11.0R2(20160406).ssu

外置数据中心DC11.0R2安装包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterSetup_11.0R2_chs.zip

外置数据中心DC11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterUpdate_11.0R2_chs.zip

若是策略不生效建议您确认一下这个

1、确认没有开直通和全局排除地址

2、URL应用识别库是最新的且是有效的

比如是否关联了这个用户是否之前有允许策略

在在线用户列表中找到这个用户看一下是否是匹配了这条策略

若是策略是正确的，没有开直通和全局排除地址且URL应用识别库是有效的最新的话
再建议您这样操作一下您手动更新一下这个应用然后在日志中心查看一下日志查询刚刚您更新的这个动作被识别成什么应用了

软件下载的话这个只有一个行为记录没有具体的其他记录，具体的下载AC无法审计到的

AC可以审计到网页版的微信聊天，客户端的审计不了;为什么QQ可以做到审计内容，微信做不到:

qq最初出现的时候它的承载平台是pc（并且是windows pc需要安装准入插件才可以记录聊天信息），到后来智能移动终端的出现 qq才大范围的用在了手机、平板这种移动端，目前涉及到移动端的也还是无法监控其聊天信息的（因为pc端和移动端的数据结构不一样）；
而微信最初的设计就是用在移动端（特别是手机端）上面使用，即便是后来出了pc端的app或网页微信，仔细观察功能和手机上面还是有差别的；