SANGFORAC110版本培训

SANGFORAC11.0版本培训2015.8.25AC11.0版本又称三合一，三合一指的是将AC，IAM，AC10G三个版本合成一个版本。11.0暂时没有上网代理和加速功能，后续版本计划合入内部培训PPT，请勿外泄。特别说明1、将AC的所有功能合入到IAM和10G产品，可以显著提升这两个产品的竞争力。2、完整支持IPv6.目前IPv6的推进进度在加快，国内的政府，高校，海外的马来，新加坡等都提出了IPv6支持的要求版本主要意义在于：3、AC和IAM性能得到提升培训内容培训目标用户认证①掌握11.0支持的认证策略②掌握不同场景下认证策略的使用③掌握组/用户及认证高级策略使用对象定义及策略管理①掌握新增对象定义的使用②掌握上网策略新增适用对象用户属性组、目标区域的使用③掌握用户限额策略的使用④掌握审计新增功能的使用⑤掌握策略级排查用户及策略高级选项的使用培训内容培训目标流量管理①掌握流控惩罚通道的使用终端提示页面①掌握常见终端提示页面定制修改方法②掌握认证页面修改及授权使用场景其它功能改进①掌握其它新增功能改进部署模式①掌握典型部署部署介绍②掌握新增重定向功能使用场景③掌握高可用性部署升级与配置导入①掌握升级的两个过程及配置导入②掌握SC支持下发的配置认证策略介绍认证策略使用场景SANGFORAC&SG组/用户，认证高级策略使用一、用户认证1认证策略介绍一、认证范围通过设置认证策略，可以决定用户上网方式，获取到用户名，从而用于后面的控制。本版本支持以ip/mac/vlan来划分认证策略的适用范围，在适用范围的基础上可以添加适用终端。二、认证方式可以针对不同的客户场景，选择不同的认证方式1、支持以下几种认证方式：AC认证方式不需要认证密码认证单点登录不允许认证(禁止上网)本地密码认证第三方服务器密码认证短信认证微信认证二维码认证LDAP单点登录数据库单点登录Web单点登录PPPOE单点登录POP3单点登录PROXY单点登录第三方设备单点登录（锐捷，H3C，城市热点）深信服设备之间单点登录Radius单点登录(LOGON，域监控单点登录，IWA,监听)ADSSODkey认证2、本版本可以对认证后的用户做如下处理2.1上线组选择(1)在本地组织结构的用户，以本地组上线(2)域用户以其域上所属ou组上线(3)如果单点登录消息本身带有组信息则已消息所带组信息为准(4)其他类型的用户才以这里指定的组上线2.2自动录入用户到组织结构注意：这里可以选择用户是否是私有账号，默认是公共账号，域用户不会录入到本地组织结构。2.3自动录入绑定关系(1)自动录入ip/mac的绑定关系(2)自动录入用户和ip/mac的绑定关系,用户绑定关系可以分为三种：1、绑定ip2、绑定mac3、绑定ip和mac说明：用户与ip/mac的绑定关系可以用于免认证，免认证可以设置有效期，免认证的有效期分两种：1、永久有效2、有效期范围（1-90）天2.4认证后处理—高级选项(1)认证前使用此组权限，支持选择本地组(2)启用用户登录限制，可以设置仅允许登录的用户和不允许登录的用户(3)可以启用免认证上线时弹出提示页面(4)可以显示免责声明2不同场景认证使用CONTENTS单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息5单击此处添加文字信息1234不需要认证密码认证单点登录123不允许上网4Dkey认证5一、不需要认证需求场景一：客户想终端用户上网认证的过程是透明的，不会感知AC的存在，用ip、mac或计算机名标识终端身份。认证方式:不需要认证，不录入用户到组织结构，不录入绑定关系认证配置1、【用户认证与管理】—【认证策略】新增认证策略，配置认证范围。2、认证方式选择不需要认证，用户名根据客户需求选择。3、认证后处理，选择上线组，选择相应的组就具相应组的权限。认证效果1、【系统管理】—【在线用户管理】可以看到用户认证上线的身份。2、【用户管理】—【组/用户】查看用户是没有添加到组织结构的。需求场景二：客户想终端用户上网认证的过程是透明的，且终端用户是不能修改IP/MAC地址的，如何实现？认证方式:不需要认证，自动录入IP和MAC的绑定关系注意：如果用户比较多建议不要录入，没有特殊需求也不要录入，新版本没有特殊需求用户是不需要录入到本地的。认证配置1、【用户认证与管理】—【认证策略】新增认证策略，配置认证范围。2、认证方式选择不需要认证，用户名根据客户需求选择。3、认证后处理，选择上线组，勾选自动录入绑定关系-自动录入IP和MAC的绑定认证效果1、【系统管理】—【在线用户管理】可以看到用户认证上线的身份。2、【用户管理】—【IP/MAC绑定】可以看到IP和MAC的绑定关系说明：此时如果终端修改了IP或MAC地址，终端上不了网，终端无提示页面。3、如果认证策略选择录入本地组织结构，【用户管理】—【组/用户】可以查到用户。需求场景三：客户想终端用户上网认证的过程是透明的，但是用户上线过程中希望能弹出免责申明的页面或广告页面？说明：如果开启了显示免责声明，则每次上线的时候都会提示免责声明，没有开启则直接上线认证效果1、终端打开网页，弹出免责申明，或包含广告的免责申明页面。2、终端点登陆，弹出提示“认证成功，3s将跳转页面”3、认证成功，跳转到了之前打开的页面4、开启了免责申明提示，又开启了IP/MAC绑定，此时如果终端修改了IP或MAC地址，终端上不了网是有提示页面的。二、密码认证密码认证需要选择密码认证服务器，密码认证服务器可以选择本地用户，也可以选择短信认证、微信认证、二维码认证、ldap服务器、POP3服务器、radius服务器2.1用户名密码认证需求场景一：用户上网的时候要求重定向到密码认证页面，让用户进行密码认证，密码认证通过后才可以上网，密码保存在本地。密码认证方式：本地密码认证本地密码认证配置1、【用户认证与管理】—【认证策略】新增认证策略，配置认证范围。2、认证方式选择密码认证，认证服务器选择“本地用户”选择认证页面，设置认证之后跳转到页面3、认证后处理保持默认配置即可。认证效果1、终端打开网页，弹出认证页面2、输入本地账号密码，认证通过跳转到，认证后跳转设置的页面。需求场景二：用户上网的时候要求重定向到密码认证页面，让用户进行密码认证，密码认证通过后才可以上网，密码保存在第三方LDAP服务器密码认证方式：第三方密码认证第三方LDAP密码认证配置1、【用户认证与管理】—【外部认证服务器】新增LDAP服务器外部认证服务器(LDAP)支持测试有效性说明：修改密码AD域账号如果勾选了初次认证可以修改密码，那么可以可以直接在这里修改密码。设置完外部认证服务器之后，【组/用户】可以看到域的结构2、【用户认证与管理】—【认证策略】新增认证策略，配置认证范围。3、认证方式选择密码认证，认证服务器选择“LDAP”选择认证后跳转页面4、认证后处理保持默认配置即可。说明：认证效果和本地密码认证一样在此不做说明需求场景三：用户上网使用密码认证，管理员要求初次认证时自动绑定终端的MAC，保证每个账号只能在固定的1台电脑上登陆；且已经认证的用户下次上网无需输入账号密码可直接上网，能否实现此需求？实现方案：1、设置认证策略，配置认证范围、认证方式选择密码认证，认证后处理选择自动录入用户和IP/MAC的绑定关系选择绑定MAC；同时勾选开启免认证设置免认证的有效期。说明：用户和IP或MAC的绑定关系才可以用来做免认证2、【用户管理】—【用户绑定】高级设置，设置每个用户终端数为“1”说明：用户绑定指的是用户和ip或mac的绑定关系，配置后全局生效，账号可以是私有账号可以是公有账号。每个用户终端数限制配置为多个时：账号属于私有账号时同一时间只允许一个终端上线是新用户上线还是老用户上线由认证冲突的配置决定。公共账号是可以多个终端同时上线的。测试效果1、终端打开网页输入账号密码认证成功2、【用户管理】—【用户绑定】可以看到自动添加了账号和mac的绑定关系3、已经认证的用户下次需要上网，无需认证直接就可上网。说明：如果希望密码认证免认证用户在上线时弹出免责申明页面也可以设置。需求场景四：客户公司外网托管有自己的WEB服务器，访问方式现用户要求内网所有用户未认证之前就能访问到公司服务器，如何实现？之前版本方案：全局排除域名弊端：全局排除容易出现域名填写不全，全局排除后数据不审计。。11.0方案：认证策略高级选项可实现此需求实现方案：1、设置认证策略，配置认证范围、认证方式，认证后处理—高级选项勾选认证前使用此组权限此处我们选择根组。说明：强制对所有HTTP访问进行认证不勾选，那么只有被策略拒绝的HTTP访问才需要认证2、新增上网策略，放通sangfor服务器的应用，其它应用都拒绝。如果内置规则库不包含客户应用，可以自定义应用，自定义url放通。3、将上网策略关联给根组。测试效果1、用户未认证通过之前可以打开、用户打开其它类型的页面会弹认证界面需求场景五：客户内网有多个部门，每个部门的网段不一样，内网上网使用密码认证，现要求每个ip段，只能用某部门帐号登录，有没有实现方法？实现方案：1、设置认证策略，认证范围设置员工组所在网段，配置认证方式，认证后处理—高级选项配置启用用户登陆限制选择员工组认证范围其它部门选择相应部门的用户登陆限制2.2短信认证1、【用户认证】—【外部认证服务器】新增短信认证，配置短信认证相关参数2、短信认证支持内置和外置两种和之前短信认证配置一致3、【用户认证】—【认证策略】新增认证策略，配置认证范围，认证方式选择密码认证，认证服务器选择短信认证服务器。2.3微信认证1、【用户认证】—【外部认证服务器】新增微信认证,选择相应的微信认证方案，配置相关参数。说明：(1)微信免认证二层换生效，三层环境不生效(2)微信扫一扫开发者模式这个方案在此版本没有了2.4二维码认证需求场景：对于有多个终端的用户，手机可以使用微信认证直接上网，PC由于没有微信，所以我们提供二维码认证方案，使用已通过认证的手机扫描PC上显示的二维码，即可实现PC上网。说明：选择不弹出审核页面，直接以审核人身份上线，要求审核人账号必须是公共账号三、单点登录3.1、强制单点登录1、认证方式选择单点登录，单点登录失败的用户选择跳转到，并且设置内置提示页面即可2、认证方式选择强制单点登录，认证后处理的选项如下：3.2、单点登陆失败，不需要认证上线1、认证方式选择单点登录，单点登录失败的用户选择不需要认证自动上线2、单点登录失败则以不需要认证上线，认证后处理的选项如下：3.3、单点登陆失败，密码认证上线1、认证方式选择单点登录，单点登录失败的用户选择密码认证2、单点登录失败则以密码认证上线，认证后处理的选项如下：3.4支持单点登录方案变化3.4.1新增AD域监控单点登录1、原有ADSSO的单点登录需要客户找PC安装我们的软件来实现单点登录，实际实施过程中客户觉得麻烦，此版本将ADSSO程序合入到设备。需求场景一：客户有1个AD域，有多个部门,部门管理员买了一台AC，只想管理本部门人员，不能看到其他部门人员。但是开启了域监控单点登录后，其他部门的很多用户登录到域后，也会显示到在线用户了??解决方案：无流量不上线功能如果用户没有流量，就不在AC上上线。这些获取的用户当有流量时再上线，这里缓存的时间复用无流量注销的时间。此功能默认开启3.4.2、集成windows单点登录新增重定向配置1、认证策略是【单点登录/不需要认证】，默认间隔30分钟才发重定向包提交票据，导致单点登录不成功时第二次尝试单点登录间隔比较久，此版本界面可配置重定向时间。3.4.3、Radius单点登录新增自定义属性需求场景：客户内网有radius服务器，radius交互过程有定义自己的属性，现在客户想根据不同的radius属性来做访问控制策略。说明：赋值给用户的自定义属性必须是“序列”类别，值在属性里不存在时自动添加这个值3.4.4、We