SANGFOR ACSG 2011年度8月渠道高级认证培训08_系统诊断工具_LSQ.ppt

* * 培训内容 培训目标 SANGFOR AC Bypass功能介绍 1.了解Bypass功能的作用 2.掌握开启拒绝列表直通和查看拒绝的方法 3. 掌握分析拒绝日志的方法 SANGFOR AC 抓包工具的使用 1.掌握简易抓包和高级抓包的方法 SANGFOR AC 命令控制台 1.掌握AC命令控制台支持的命令和操作方法 BYPASS与拦截定位功能 抓包工具的使用 深信服公司简介 命令控制台的使用 SANGFOR AC BYPASS与拦截定位 BYPASS与拦截定位功能介绍 实时拦截日志并直通： 设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来 BYPASS与拦截定位用于查询一个数据包在通过ACSG设备时是被哪个模块拒绝，是什么原因被拒绝，以便快速定位配置错误，也可用来测试一些规则是否生效 实时拦截日志： 将符合策略设置应该被拒绝的数据包的情况以日志的方式显示出来 BYPASS与拦截定位功能使用 开启实时拦截日志： 将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来 BYPASS与拦截定位功能使用 开启实时拦截日志并直通： 打开拒绝列表同时开启直通，此时设置的上网策略将不生效。符合策略设置应该被拒绝的数据包此时会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况显示出来 。 BYPASS与拦截定位功能使用 设置开启条件： 可以根据设置的条件过滤被拦截数据包的日志和开启直通，也可以设置针对哪些IP不开启直通。 设置对指定的IP地址开启拒绝列表 设置指定地址不开启实时拦截日志并且不开启直通。 对设置的指定IP地址开启拦截日志和直通 对设置的指定IP地址开启拦截日志 BYPASS与拦截定位功能使用案例 客户环境： 客户内网部署了AC设备后，所有用户都打不开网页，管理员想定位下是AC上的策略设置问题还是公网运营商出现了故障。 BYPASS与拦截定位功能使用案例 BYPASS与拦截定位功能使用步骤和思路： 设置开启条件。 如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。 开启实时拦截日志并直通。 在测试电脑上访问之前通信有故障的应用，看故障是否恢复，如果恢复，说明是AC设备上的策略拦截了数据包。 再查看实时拦截日志，找到被拦截的第一个包的日志（第一个包的拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。 根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。 BYPASS与拦截定位功能使用案例 1. 设置开启条件，开启实时拦截日志并直通。 填入测试电脑的IP BYPASS与拦截定位功能使用案例 开启拦截日志并直通后，测试电脑尝试打开网页操作，发现可以打开网页，查看实时拦截日志， 由于打开网页的目标端口是80，所以需要查看目标端口为80的拦截日志。（拦截日志对应的说明请查看专题文档/forum/read.php?tid=3843） BYPASS与拦截定位功能使用案例 3. 拦截日志提示被防火墙规则丢弃，检查防火墙规则。 LAN到WAN方向有一个123的服务是拒绝的 检查“123”的网络服务对应的是TCP80，证实是防火墙规则拒绝了TCP80的数据导致内网打不开网页。 BYPASS与拦截定位功能使用案例 4. 删掉错误的防火墙规则，关闭直通，内网电脑打开网页看是否问题修复。 BYPASS与拦截定位丢包标记对应关系 flag 对应功能模块 flag2 网关杀毒 flag3 SSL控制、HTTPS URL过滤、SSL内容识别 flag7 防DOS攻击 flag8 应用审计 flag9 防火墙规则 flag10 用户认证 flag11 准入系统 flag14 流量统计与上网计时 flag16 应用服务控制 flag17 网络服务控制 flag18 HTTP代理违规 flag19 SOCK4、SOCK5代理违规 flag20 HTTP协议和SSL协议标准端口使用其他协议 flag21 网页过滤 抓包工具的使用 抓包工具的使用 SANGFOR ACSG控制台界面的抓包工具分为简易抓包和高级抓包。 简易抓包只抓取来自内网且设备识别不了的包，如果是来自内网的