You are here
【2022争霸赛*干货满满】深信服上网行为管理AC防共享与深信服防火墙AF联合实施 有大用
星期三, 2023-07-12 17:30 — adminshiping1
大家好,我是大白,望着我日渐稀疏的发丝,我默默接受了时间留给我的礼物,优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
好的废话不多说今天分享的是深信服上网行为管理AC防共享与深信服防火墙AF联合实施分享,防共享的由来就要是针对在办公场景下,网络使用杂乱,对于异常IP溯源IP困难等问题进行的功能模块使用,上网行为的防共享终端模块是通过上网的UA字段去判定终端类型,同样也可以实现一个IP下多MAC等方式的识别,以及使用代理工具的管控。
首先说一下UA标识,其实对于这个字段的使用非常广泛最多的就是体现在浏览器,而举一个简单的“栗子”,有些网址在通过PC浏览器访问以及手机浏览器访问时你会发现,排版变了换成了新的一个界面,而这个域名网站的变化就是通过UA字段进行判定的,所谓的浏览器UA字段可以使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件,从而判断用户是使用电脑浏览还是手机浏览,让网页作出自动的适应。
言归正传,稍后会补充一下常见的浏览器UA。
为了实现大楼办公网AC防共享功能以及流量管控等常用的功能,以及防火墙的边界防护对客户端的网络拓扑状态做了一定的变更,变更如下:
实施前:
实施后:
本次实施变更涉及两台设备包含:深信服上网行为管理AC、深信服防火墙AF:
同样还是记录好相关设备的网关ID方便进行对接使用:
AF:
AC:
同时记得提前进行巡检打包,以及版本升级等操作,记录好设备的版本信息。
深信服上网行为管理AC配置:
设备管理界面登录:
在浏览器中输入网关的IP及端口https:// x.x.x.x。出现一个如下图的安全提示;点击<继续浏览此网站(不推荐)>后出现以下的登录界面:
如需修改管理员账号密码,可在【系统管理】-【系统配置】-【管理员账号】页面修改管理员密码,admin账号不可删除和改名,仅能修改密码和限制IP地址登录。
部署模式(使用网桥部署)
网络接口配置
静态路由(静态路由根据由于内网网段规划,需要增加内网网段的回包路由指向无线控制器)
认证用户和组(根据用途建立不同的用户组,无权权限上网和有权限上网组)
终端接入管理
根据需要配置上网权限策略
上网审计(审计所有用户)
日志中心配置(内置日志中心日志保存180天):
流量管理策略:
深信服防火墙AF配置:
在浏览器中输入网关的IP及端口https://x.x.x.x。出现一个如下图的安全提示,点击<继续浏览此网站(不推荐)>后出现以下的登录界面:
修改限制IP地址登录,在“接口/区域”—>“区域”,设置管理设备的权限及功能
如需修改管理员账号密码,可在【系统】-【管理员账号】页面修改管理员密码,添加管理账号及设置其他账号的权限。
接口配置(设备网关路由模式部署)
路由配置(静态路由配置)
源地址策略路由配置,一条策略路由是机关大楼及服务器走联通,一条策略路由是网点走移动。
可以查看安全策略模板,根据需要做修改,配置好用户防护策略以及业务防护策略,下图是在建立业务防护前截的图。
配置俩个NAT上网策略,移动和联通都可以使用(如果需要严格配置那就不要做ANY,让客户配合完成IP的统计使用)
应用控制策略(应用控制策略同样也是根据客户端实际情况跟要求去做尽可能避免ANY的情况):
DDOS防护:
ARP防欺骗:
内置日志数据中心:
点击“内置数据中心”:
查看系统日志:
手机端通过使用代理访问网站:
PC多终端共享:
深信服AC防共享说明:
软件特征检查最常见是使用QQ、360安全卫士、迅雷及搜狗拼音进行测试。
两台PC都通过代理上网,分别打开几个网页,或登录QQ5分钟内即可识别到共享上网行为并弹出拦截页面。
Android和IOS平台支持识别具体终端型号,IOS不区分具体的型号版本(例如,iphone6、iphone6plus统一只识别iphone)
Android系统移动终端,只有在使用UC浏览器,登录微信看好友动态,登录QQ看好友动态才会带上终端手机型号类型,如酷派,联想,华为。如果共享行为没有识别到手机的具体型号可能是没触发这类应用。
同种手机型号的手机也可支持识别,但是由于型号一致可区分的特征不多。一般不建议用同种手机型号终端做测试。
软件特征检测不支持webqq,web迅雷等,只支持客户端
Flashcookie检测机制,会使用到tcp89端口,需要确保测试电脑到设备tcp89端口正常通信。
Flashcookie一分钟检测一次,测试电脑都不同打开网页,5分钟内可以看到测试效果。
Flashcookie检测机制,需要电脑安装flashplayer,且flashplayer设置”允许站点在此计算机上保存信息”,此设置是flashplayer默认设置,一般电脑都会有安装,如果没有安装,无法观看在线视频。
dkey用户,全局排除地址,公共用户,以ip作为用户名的临时用户以及未通过认证的用户不受防共享检测。
QQ软件特征检测方式,程序默认排除了172.16.0.0/16网段的地址,如果电脑配置这个地址段,用QQ软件特征检测,防共享会不生效,其它方式检测不受影响。
常见的浏览器UA:
移动端UA:
[td]
PC端UA:
浏览器 User-Agent
Edge Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv:11.0) like Gecko
IE 11.0 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
IE 10.0 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE 9.0 User-Agent,Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;
IE 8.0 User-Agent,Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0)
IE 7.0 User-Agent,Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)
IE 6.0 User-Agent, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Chrome 58 - Windows Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Firefox 53.0 - Windows Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
QQ浏览器 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.104 Safari/537.36 Core/1.53.2669.400 QQBrowser/9.6.10990.400
搜狗高速浏览器 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
傲游浏览器 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/5.0.3.4000 Chrome/47.0.2526.73 Safari/537.36
safari 5.1 – MAC User-Agent,Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50
以上就是本次的深信服上网行为管理AC防共享与深信服防火墙AF联合实施分享,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
我们的青年是一种正在不断成长,不断上升的气力,他们的使命是根据历史的逻辑来创造新的生活方式和生活条件。——高尔基
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!
来自 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=227963
普通分类: