标签归档:深信服

深信服AC界面危险操作一览表

汇总了一些会引起设备重启,服务重启,用户掉线、断网的界面操作。
在调试设备时,注意规避或提前做好准备。

产品线 主模块 一级子模块 二级子模块 对应操作 高危风险说明
AC 系统管理 防火墙 端口映射 进行全映射(包括内网口全映射) 导致从相应网口登录不上设备
AC 防火墙 代理上网 更改或删除代理上网规范 导致内网断网
AC 系统配置 系统时间 修改时间配置(包括同步配置) 重启所有服务。提交时设备界面有提示
AC 备份配置/恢复 全局配置备份 恢复备份的配置并勾选了恢复网络配置 重启设备,还原之前的配置。提交时设备界面有提示
AC 备份配置/恢复 全局配置备份 恢复出厂设备 重启设备,恢复出厂设备。提交时设备界面有提示
AC 高级配置 远程维护 开启远程维护 可以从公网登录设备webui控制台
AC 系统诊断 上网故障排除 全局开启直通 所有策略失效,导致流量过高,登录不上设备的风险(11.x开直通的时候,流控功能不生效,可以勾选“流量控制模块不直通)
AC 高级配置 全局排除 配置全局排除 全局排除的地址上网策略/流控策略失效
AC 系统诊断 重启操作 重启网关 重启设备
AC 系统诊断 重启操作 重启服务 重启所有服务
AC 安全防护 防DOS攻击 防DOS攻击 内网三层环境,但是勾选了“内网到本设备间通过一台/多台二层交换机直接相连,没有跨越任何的三层交换设备” 导致内网断网
AC 网络配置 部署模式 部署模式 修改部署模式信息的配置,并点击提交 重启所有服务【操作完成之后,设备界面有提示】
AC 静态路由 静态路由 修改路由配置 导致内网断网
AC 网口配置 网口配置 更改协商模式、修改网口地址、dns等 存在协商不起来导致内网断网的风险
AC 策略管理 上网策略 上网权限策略 禁止所有应用,所有用户上网 导致内网断网
AC 上网策略 上网权限策略 应用控制和端口控制做了全局拒绝上网,就会被拒绝 导致用户无法上网,做全部拒绝的策略时请谨慎考虑
AC 上网策略 准入策略 开启准入策略 未安装好准入控件,会导致内网关联准入策略的用户断网
AC 用户认证与管理 用户认证 认证策略 设置用户(或IP)与mac地址进行绑定时 未配置好跨三层mac地址识别,会导致内网用户断网
AC 用户管理 用户绑定 设置用户(或IP)与mac地址进行绑定时 未配置好跨三层mac地址识别,会导致内网用户断网
AC 更改协商模式 ip/mac绑定 设置用户(或IP)与mac地址进行绑定时 未配置好跨三层mac地址识别,会导致内网用户断网
AC 用户认证 认证策略 新增认证方式为“不允许认证(禁止上网)”的策略 需要查看匹配顺序,如果顺序在最上面,则会导致内网的用户均无法认证,出现断网的情况;认证策略是自上往下匹配的,若有用户命中这条策略,该用户会因为无法通过认证而断网;
AC 认证高级选项 安装SSL识别根证书 针对于内网的网段启用推送安装ssl根证书的功能,并且勾选了“对80端口的HTTP请求强制重定向到证书安装页面” 如果没有安装好根证书,则会导致内网的用户打开网页重定向安装页面,出现打不开网站的情况
AC 终端接入管理 共享接入管理 共享接入管理 开启“配置选项”中的自动冻结功能 若允许无线上网的用户,没有加入排除列表,会导致该用户无法上网;
若公司的无线是nat环境,会导致全部的无线用户断网;
AC 升级 升级 升级 对设备软件版本进行升级操作 需要告知升级风险,建议从界面上备份配置(会重启设备,导致通过设备的流量无法传输或者是内网断网,并且升级也是有一定风险的)
AC 对象定义 自定义应用 自定义应用 新增自定义应用 如果定义的是所有端口、所有地址,并且勾选了自定义应用优先,则会导致都匹配到这个应用,会导致内网策略不生效,甚至断网
AC VPN配置 连接管理 连接管理 新增/编辑  连接管理的配置 会导致VPN服务重启,断开VPN服务
AC 虚拟IP池 虚拟IP池 新增/编辑  虚拟IP池 会导致VPN服务重启,断开VPN服务
AC 多线路设置 多线路设置 新增/编辑  多线路设置 会导致VPN服务重启,断开VPN服务
AC 多线路选路策略 多线路选路策略 新增/编辑  多线路选路策略 会导致VPN服务重启,断开VPN服务
AC 本地子网列表 本地子网列表 新增/编辑  本地子网列表 会导致VPN服务重启,断开VPN服务
AC 高级设置 VPN接口设置 新增/编辑  VPN接口设置 会导致VPN服务重启,断开VPN服务

深信服WOC设备测试相关要点

WOC测试加速功能,必须总部和分支都要部署WOC,我们以下面的拓扑为例:

两台路由器专线互联,两台WOC分别单臂部署在前置路由器下,实现总部内网和分支内网之间的加速,需要配置以下几步:

1、两台WOC都选择单臂VPN和加速模式部署,配置好LAN口IP和网关,默认路由自动生成,无需配置;

2、WOC-A为总部,配置Sangfor VPN的webagent和用户管理,还有本地子网;

3、WOC-B为分支,配置Sangfor VPN的连接管理,和本地子网;

4、WOC-A配置加速服务端,建立加速策略,和加速用户,并做关联,配置加速网段;

5、WOC-B配置加速客户端,配置加速服务端地址,图中的网络环境,应该写192.168.11.250:5400,如需互相加速,则要勾选反向加速,并配置加速用户加速策略等;

6、以上都是深信服上的配置,这一点需要在总部和分支各自的出口路由器上配置,总部RA上配置去往192.168.2.0/24的路由指向总部WOC的LAN口192.168.11.250,分支RB上配置去往192.168.1.0/24的路由指向分支WOC的LAN口192.168.22.250,即可。

配置完成后,即可在WOC上看到加速状态,如果VPN隧道和加速连接不通,可以在WOC设备上查看日志来定位、解决问题。

信锐设备与深信服设备做认证信息转发的方法

拓扑比较经典,深信服AC路由模式,下接三层交换机,三层交换机连接信锐NAC、AP。
现在无线用户都通过信锐NAC集中转发上网,但是NAC未做SNAT,地址转换都在AC做,无线信号有两个,一个是微信认证,一个是ldap认证(AD域认证)。
信锐NAC做认证,深信服AC做管控流控及审计。

信锐NAC上需要配置深信服认证信息转发,深信服AC只需要配置单点登录 深信服设备转发即可。
AC在针对无线用户网段的认证策略中,可以配置单点登录,也可以配置不需要认证。二者都可。

深信服AC设备放行定制版QQ及实现只允许访问某邮箱地址的方法

某用户部署一台深信服AC设备,做网桥模式配置,现有两个需求,需求如下:
需求一、需将内网中的定制版QQ放行
需求二、只允许访问某邮箱地址mail.xxx.com,其他所有应用,网页都进行阻止

对于需求一的实现方法:
1、深信服AC开启直通,使用定制版QQ软件,查看直通日志,获取该QQ软件连接的服务器的地址;
2、在系统配置中,全局排除地址的自定义排除地址,添加刚才获取的该QQ软件连接的服务器的地址,并提交生效,即可实现该需求
如下图所示:
定制版QQ全局排除地址

对于需求二的实现方法:
在上网权限策略——应用控制中,将该邮箱相关的选项都选择并允许,将SSL协议选中并允许,在URL分类库中新增URL类型,加入*.xxx.com,并将该URL类型,增加到相关的上网权限策略中,将相关策略关联给相应用户即可。