1、,DPtech UAG3000产品培训,,Page1,,目录,背景介绍 产品介绍 技术特点 部署方式 典型案例 运维管理,网络应用不清晰, 处于“失明”状态,缺少对网络进行IT诊断和规划指导,核心业务无法保障,都严重影响公司业务开展!,Page2,,背景介绍之企业面临问题1:滥用网络资源,网络中各种应用混乱无序,网络处于混沌状态 以迅雷、eDonkey为代表的P2P应用,消耗了大量的网络带宽,造成网络拥塞 在工作中进行网络炒股、网络游戏、在线电影,无法安心工作 发现网络使用MSN、QQ等聊天工具的比例高达89.2%,影响工作效率 ,CNCERT/CC发布的企业网流量使用图,Page3,,背景介
2、绍之企业面临问题2:工作效率的降低,浏览新闻 聊天、交友 音乐、电影下载 炒股 购物 游戏 电子贺卡 彩票 ,公司开通了宽带上网,老板发现大部分员工上班都在用MSN和QQ聊天,上网做一些与工作无关的事情,以前只是通过考勤来考核员工迟到早退,现在人虽在办公室,但是这些人并不在工作,让老板很恼火!,Page4,,背景介绍之企业面临问题3:病毒威胁,网络中肆虐的病毒会导致: 恶意攻击泛滥,危害终端使用 产生异常流量,影响核心业务 扰乱正常审计,致使无法明确问题责任人是否有意操作,网络黑客、网络病毒非常猖獗时刻威胁网络办公的安全。安全调查结果显示,2009年全年新增病毒数量高达1271万余个,增长超过
3、50%。木马后门病毒占85.9%,互联网被挂马增长10倍。,Page5,,背景介绍之企业面临问题4:信息安全威胁,随着社会的网络化,近几年利用计算机网络犯罪的案件以每年30%的速度递增。其中内部人员占有相当的比例,据统计:身为银行或证券公司职员而犯罪的占78%。计算机犯罪从原来的金融犯罪发展为现在的生产、科研、流通等几乎所有计算机联网的领域。,“最大的安全威胁来自内部”,这是 信息安全界经常在喊的一句口号。,网络四通八达,一封邮件就可能将公司的客户资源发送给竞争对手。某些员工泄露公司机密,将给公司造成致命打击!,Page6,,背景介绍之企业面临问题5:被动引发的法律风险,深陷“邮件门”事件的戴
4、尔公司决心在中国摆脱尴尬戴尔全球总部发表声明,对其员工关于联想的歧视性言论“深表遗憾”,并强调该言论绝不代表公司的立场。“兽兽门”事件“兽兽门”事件暴露了网络安全没有预防的危害性。,政府部门严厉监管反动言论、种族攻击、迷信、邪教、黄、赌、毒、盗版等网络行为,网络资源的非法使用,员工利用公司网络发表反动言论等将导致组织面临法律风险,员工所在的组织必然会在其中被动地卷入法律风险,影响企业的正常经营。,Page7,,背景介绍之总结,来自外网的病毒、蠕虫、木马等攻击 外部网站存在各种安全陷阱 机密信息泄漏 无限制接入和无限制访问 ,安全威胁,IM、炒股等造成工作效率下降 P2P、在线点播无度,造成网络
5、拥塞 网络安全的不断扩容带来成本压力 “糖葫芦”式的堆叠式部署带来管理压力 潜在法律和法规风险 ,管理威胁,Page8,,背景介绍之企业安全威胁一体化防御需求,服务器,用户,防病毒,访问控制,UAG 统一审计网关,行为审计,流量分析和带宽管理,可视、可控、可优化: 流量控制,解决P2P等带宽滥用 行为审计,防止机密信息泄露 防病毒,抵御安全威胁,并确保审计与流控准确 URL过滤,提供Web访问控制 路由 认证,接入身份识别 网流分析、故障分析:对威胁和异常流量及时发现及时告警,Page9,,目录,背景介绍 产品介绍 技术特点 部署方式 典型案例 运维管理,Page10,,产品介绍之UAG统一审
6、计网关全家福,UAG3000-MM 8千兆电口 150Mbps 适合管理200用户,UAG3000-GS 6千兆电口,2千兆光口 1Gbps 适合管理5000用户,UAG3000-GA 6千兆电口,6千兆光口 2Gbps 适合管理10000用户,大型企业总部,大型分支/中型企业,UAG3000-MA 8千兆电口 200Mbps 适合管理500用户,UAG3000-MC 8千兆电口 50Mbps 适合管理50用户,中型分支/小型企业,UAG3000-MS 8千兆电口 100Mbps 适合管理100用户,UAG3000-GE 12千兆电口,12千兆光口,2万兆 适合管理50000用户 吞吐量:5G
7、bps,UAG3000-TS 12千兆电口,12千兆光口,2万兆 适合管理100000用户 吞吐量:12Gbps,New,Page11,,产品介绍之UAG统一审计网关技术参数,Page12,,产品介绍之UAG统一审计网关技术参数,Page13,,目录,背景介绍 产品介绍 技术特点 部署方式 典型案例 运维管理,Page14,,技术特点之总览,传统,融合,智能,资源化,叠加式 简单管理 部署固化 新应用适应性差 低性能 多故障网络,UAG,融合式,一体化管控 统一管理,多网管协议 弹性部署,组网灵活 专业团队,确保及时升级 性能无衰减 高可靠网络,Page15,,技术特点之特色1:一体化管控,行
8、为审计,流量管理,+,DPtech UAG,=,+,+,+,Page16,,技术特点之特色2:统一管理,支持SNMP/TR-069配置管理协议 支持分域、分级管理 集中管理和批量下发 动态IP地址节点配置管理,企业n,管理平台,SNMP/TR-069,唯一支持运营商级下一代广域网网管TR-069协议,Page17,,技术特点之特色3:部署灵活,交换机,UAG 在线部署模式,内部网络,路由器,交换机,UAG 旁路部署模式,镜像,在线部署方式 部署于网络的关键路径上,支持路由和透明模式 实时网络行为审计 2-7层流量深度分析,实时防御外部和内部病毒威胁,旁路部署方式 非在线部署 对镜像流量进行用户
9、行为审计,内部网络,路由器,Page18,,具有近百人专业特征库升级团队 协议库、病毒库、URL库,每周至少更新1次 微软MAPP计划合作伙伴 是极少数能发现漏洞并提交国家漏洞库的厂商,技术特点之特色4:专业的特征库团队,Page19,,技术特点之特色5:高性能硬件平台,MultiCore Processor,路由计算、配置管理、表项下发,URL,行为审计,防病毒,带宽管理,URL,行为审计,防病毒,带宽管理,URL,行为审计,防病毒,带宽管理,URL,行为审计,防病毒,带宽管理,线速处理,微秒级时延: 多核多线程、片内总线、片内内存,突破性能瓶颈 核心技术:系统并发处理能力;数据、控制与管理
10、分离 业界唯一能提供万兆流控/审计类产品的厂商,多核多线程 并行业务处理,Page20,,创新:内容只需一次匹配,大大提升处理效率,技术特点之特色5:性能无衰减匹配算法,Page21,,技术特点之特色6:可靠性保证,应用Bypass 关键部件均冗余设计 支持温度自动检测及告警 支持双机状态热备,内置的高可用性,借助于掉电保护模块,可保证UAG掉电时,网络依然畅通 微秒级切换时间,掉电保护模块,检测引擎,正常模式,检测引擎,二层交换模式,掉电保护模块,网络流量,USB供电,UAG,交换机,交换机,Page22,,目录,背景介绍 产品介绍 技术特点 部署方式 典型案例 运维管理,Page23,,部
11、署方式,网关模式 网关模式没有接口对的概念,流量从WAN口(外网区域)进入设备并从LAN口(内网区域)转发出去,各区域间的转发过程是三层转发(基于IP)。,Page24,,具有路由、NAT、DHCP功能; 接入方式支持PPPoE、DHCP、固定IP三种; 可指定任意接口为WAN口,各LAN口可单独配置网段或者启用桥接; 支持带内、带外管理,部署方式之组网示意图,Page25,,桥接模式 桥接模式没有接口对的概念,流量从WAN口(外网区域)进入设备并从LAN口(内网区域)转发出去,各区域间的转发过程是二层转发(基于MAC)。,部署方式,Page26,,具有二层交换机的功能,通常作为透明网桥连接多
12、个以太网网段使用; 当部署在两交换机之间,可启用Vlan Trunk; 支持带内、带外管理,部署方式之组网示意图,Page27,,透明模式 透明模式存在接口对概念,部署时严格遵守0口接内网,1口接外网;以数据流量为外网到内网为例,流量从1口进入设备,与规则匹配的同时,从0口转发出去。,部署方式,Page28,,透明模式下,UAG设备直接处于数据转发的链路上,不改变网络拓扑,可直接执行访问控制; 有指定接口对“0、1”,“2、3”,“4、5”依此类推; 支持带外管理,此种组网模式性能最高,部署方式之组网示意图,Page29,,透明桥接模式 透明桥接模式存在接口对概念,部署时严格遵守0口接内网,1
13、口接外网。在透明模式的基础上提供了web认证以及带内管理功能,部署方式,Page30,,透明桥接模式是在透明模式的基础上提供了web认证功能; 支持带内、带外管理,此种组网模式性能仅次于透明组网模式,部署方式之组网示意图,Page31,,旁路模式 旁路模式没有接口对的概念,从交换机上镜像的流量从0口进入设备,与规则匹配的同时,将此流量丢弃。,部署方式,Page32,,旁路模式通过交换机镜像流量技术,可在不改变网络拓扑的情况下对用户网络流量进行分析; 此种模式下不可执行访问控制,只做检测; 无接口对概念,各接口独立; 支持带外管,部署方式之组网示意图,Page33,,部署方式之各组网模式比较,功
14、能差异 基于主体功能而言,网关模式、桥接模式和透明桥接模式支持UAG所有功能 基于主体功能而言,透明模式和旁路模式支持除“终端/微机管理”和“Web认证”的所有功能性能差异 由于数据转发原理不同,性能由高到低排序,依次为:旁路模式-透明模式-透明桥接模式-桥接模式-网关模式,Page34,,部署方式之各组网模式比较,组网能力差异 网关模式:具有路由、NAT、DHCP功能;接入方式支持PPPoE、DHCP、固定IP三种;可指定任意口为WAN口,各LAN口可单独配置网段或者启用桥接;支持带内、带外管理 桥接模式:具有二层交换机的功能,通常作为透明网桥连接多个以太网网段使用;当部署在两交换机之间(有
15、Trunk),可启用Vlan Trunk;支持带内、带外管理 透明模式:直接处于数据转发的链路上,不改变网络拓扑,可直接执行访问控制;有指定接口对“0、1”,“2、3”,“4、5”依此类推;支持带外管理 透明桥接模式:在透明模式的基础上提供了web认证功能,支持带内、带外管理 旁路模式:通过交换机镜像流量进行分析,不改变网络拓扑,不可执行访问控制,只做检测;无接口对概念,各接口独立;支持带外管理,Page35,,目录,背景介绍 产品介绍 技术特点 部署方式 典型案例 运维管理,Page36,,典型案例,透明桥接模式结合了桥接与透明组网模式的优点,在透明的基础了上加入了web认证的功能,此种模式
16、下可使用UAG设备的所有功能,且在不更改客户原有网络环境的前提下灵活部署。此种组网模式已通过现场专业测试,且已应用于某机构的网络中,在实现各项功能的基础上对其结构及网速无负面影响,在此对此案例做详细介绍,Page37,,当网络存在主备链路时,则按照左图方式部署当网络只有一条链路时,则按照右图方式部署,典型案例之网络拓扑,Page38,,提供网络流量分析功能 提供用户上网行为审计功能 提供应用流量控制功能 提供用户上网实名认证功能 提供URL过滤功能 针对以上的需求,我们需要做如下的配置操作,典型案例之需求整理,Page39,,预先配置 配置管理IP 修改登录密码(如需要) 组网模式选择 IP用
17、户组配置 全局策略配置 流量分析 行为审计 带宽限速 URL过滤 实名认证 UMC管理平台配置,典型案例之策略配置,Page40,,典型案例之策略配置,配置管理IP 串口方式修改:串口初始密码DPTECH(不同型号UAG管理口名称不一致,请show interface查看管理口名称),Web页面方式修改:【网络管理】-【接口模式】-【管理接口配置】(如需配置带内地址,请在组网模式中配置;切忌在此页面配置带内管理),Page41,,典型案例之策略配置,组网模式选择 在“基本-网络管理-组网模式”中,选择“透明桥接模式”,点击“确认”进行组网模式修改(桥地址勿与带外地址冲突),Page42,,典型
18、案例之策略配置,IP用户组配置 在“基本-网络管理-网络用户组-IP用户组”中,添加内网用户IP/网段(需要时添加例外IP),点击“确认”创建用户组,Page43,,典型案例之策略配置,流量分析配置 在“业务-审计分析-流量分析”的流量统计配置中,IP为UMC地址,端口号为9502,点击“确认”进行策略下发,Page44,,典型案例之策略配置,行为审计配置 在“基本-日志管理-业务日志”中,勾选“审计日志”与“输出到SYSLOG日志主机”,IP为UMC地址,端口号为9514,点击“确认”进行策略下发,Page45,,典型案例之策略配置,行为审计配置 在“业务-审计分析-行为审计”中,添加审计策
19、略(不配置“保存详细内容”),点击“确认”进行策略下发,Page46,,典型案例之策略配置,带宽限速配置 在“业务-访问控制-网络应用带宽限速”中,根据流量分析的结果,配置P2P限速(如:P2P限速出口总带宽的一半),Page47,,典型案例之策略配置,URL过滤配置 在“业务-访问控制-URL过滤”中,添加URL过滤策略(成人、色情、暴力、宗教迷信),点击“确定”下发策略;注意:此功能需要导入URL的License后,升级URL特征库后才可用,Page48,,典型案例之策略配置,web认证配置 在“业务-安全中心-Web认证”中,启用Web认证策略,并输入相应参数,点击“确认”进行策略下发;
20、,Page49,,典型案例之策略配置,UMC统一管理平台,Page50,,UMC可以作为独立UMC,管理多台UAGUMC可以做为管理UMC ,添加多个下级UMC ,实现级联,实现UMC和UAG设备的统一管理,典型案例之UMC管理平台,UMC统一管理平台,Page51,,独立UMC管理UMC,典型案例之UMC管理平台,UMC统一管理平台,Page52,,典型案例之UMC管理平台,UMC统一管理平台添加设备 在“设备管理-设备列表”中,添加UAG设备,Page53,,典型案例之UMC管理平台,UMC统一管理平台时间同步 在“系统管理-时间同步配置”中,点击“立即同步”或使能“时间同步配置”,确保U
21、AG与UMC时间一致,Page54,,目录,背景介绍 产品介绍 技术特点 部署方式 典型案例 运维管理,Page55,,IE使用6.0以上版本,建议使用IE7或IE8 UAG3000初始IP地址为192.168.0.1 PC串口接UAG的“Console”口,管理口接UAG的7口(以MA型号产品为例),命令行默认密码为DPTECH UAG缺省web登录用户名是admin,密码是admin 管理PC安装串口管理软件Putty、SecureCRT、超级终端等,运维管理之预备资料,Page56,,运维管理之常规维护,定期查看设备状态 以web方式登录设备管理页面,查看设备运行状态,Page57,,运
22、维管理之常规维护,定期查看设备日志 查看系统、操作日志,查询告警及可疑日志,Page58,,运维管理之常规维护,定期查看UMC磁盘存储信息 查看UMC本地信息,Page59,,运维管理之常规维护,软件版本升级 升级软件版本,导入后,选为“下次启动使用的软件版本”后,重启设备即可,Page60,,运维管理之常规维护,PFP流量走向 UAG正常时,流量情况: IN-1-2-A-B-3-4-OUT UAG异常时,流量情况: IN-1-4-OUT,Page61,,用户登录后,如果对web界面不进行操作的时间超过5分钟,系统将超时并退回到登录页面,必须重新登录才能继续使用 设备支持管理员使用HTTP/H
23、TTPS协议登陆web管理界面的总数最多为5个 使用前建议清除IE缓存,运维管理之常规维护,Page62,,运维管理之排错基本流程,Page63,,为什么管理口配了IP地址,PC却Ping不通? 在同网段中,需同属一网段;在不同网段中,需在UAG设备上添加相应的路由。 在WEB界面上直接对管理口的IP设置修改,会有什么结果? 会导致当前WEB界面down掉,无法继续进行任何操作,需访问改后的IP地址。 当设备异常断电时,之前在WEB界面上的配置是否保存? 保存,设备开启情况下,对于操作与配置都是实时保存的。 设备上的USB接口做什么用的? 外置断电保护PFP,以及3G扩展。,运维管理之FAQ,
24、Page64,,我有特征库文件,为什么不能升级? 需要导入相应License。 已将软件版本导入设备的CF卡中,为什么重启后不能加载该版本? 须将该版本状态选为“使用中”才可。 设备运行一段时间后,发现部分系统日志和操作日志不见了,为什么? 在并未自行手动删除的情况下,查看是否超过了保存该日志的时间。 输出到UMC的业务日志和流量分析的端口号是什么? 业务日志是9514,流量分析日志是9502。,运维管理之FAQ,Page65,,为什么配置策略的时候,优先使用指定用户组,而不用All users? 做到对业务的细化,同时过滤多余信息。 接入设备后,发现接口协商成半双工产生丢包,怎办? 需要双方
25、都强制相应的速率和双工状态 。 如果UAG与UMC系统时间间隔过大,有何影响? UMC产生的日志会有相应的滞后,建议安装UMC后,立即开启时间同步功能 。 我开启了特征库自动升级,为什么没有生效? 在确认License有效的情况下,保证设备可以直接访问互联网(使用诊断工具Ping外网IP地址,确保设备管理口到公网访问畅通)。,运维管理之FAQ,Page66,,开启WEB认证后,为什么服务器无法自动升级? 内部服务器、打印机等设备如需上网进行补丁升级或其他操作,无法自动完成认证,即无法接入互联网,需将这类设备IP添加到例外IP中,不做认证策略。 如何快速诊断UMC的运行状态? 在设备已配置了流量分析、业务日志发送到UMC,且参数正确情况下,双击Windows系统任务栏上的UMC客户端,可直接查看UMC运行状态。 查看UMC的设备管理中,是否有UAG设备信息。(若无设备信息,需手动添加) 在UAG配置正常,且已经触发业务日志或者流量分析,但UMC没日志情况下。使用抓包工具,查看安装UMC服务器上的网卡是否收到了9514或者9502的报文:有报文,则需排查是否是本地防火墙等安全类软件导致;无报文,查看UAG到UMC的链路情况(路由,访问控制策略等)。,运维管理之FAQ,应用超乎想像!,杭州迪普科技有限公司,
