SWG系统操作手册.docx
- 文档编号:17475212
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:38
- 大小:4.27MB
SWG系统操作手册.docx
《SWG系统操作手册.docx》由会员分享,可在线阅读,更多相关《SWG系统操作手册.docx(38页珍藏版)》请在冰点文库上搜索。
SWG系统操作手册
目录
1客户端操作行为管理系统概述2
1.1目的2
1.2适用范围2
1.3术语定义2
1.4参考资料2
2环境准备2
2.1设备网络连接方式2
2.2防火墙策略2
2.3初始化安装3
3SWG初始化配置9
3.1网络初始化配置9
3.2配置proxy10
3.3配置功能模块11
3.4配置客户端修复提示12
3.5配置安全性相关参数13
3.3配置与AD集成14
3.7网管初始化配置15
3.7.1配置RADIUS15
3.7.2配置Syslog16
3.7.3配置NTP17
3.7.4配置SNMP18
3.7.5配置Mail19
4SWG策略配置20
4.1基于用户组定义策略20
4.2配置认证策略21
4.3配置URL策略22
4.4配置恶意软件策略23
4.5配置应用程序策略24
4.6配置时段策略25
4.7配置隔离策略26
4.8配置例外策略27
4.9配置黑名单28
4.9.1配置URL黑名单29
4.9.2配置文件类型黑名单30
4.10配置URL白名单31
5SWG系统运行维护34
5.1调整工作模式34
5.13系统帐户管理34
5.3系统升级36
5.1系统的备份与恢复37
1客户端操作行为管理系统概述
1.1目的
1.2适用范围
1.3术语定义
1.4参考资料
2环境准备
2.1设备网络连接方式
SWG连接方式为串联方式,Inline网卡组的WAN口连接防火墙或路由器,LAN口连接内部交换机,另外Management网卡用于带外管理。
当设备出现软件故障或掉电等其他问题时Inline网卡组会自动切换到Bypass状态,确保网络通信不会受到影响。
SWG附带反向网线用于LAN网卡连接交换机,因Bypass状态下LAN网卡和WAN网卡都处于非启用状态,如使用正常网线连接,某些交换机可能需要时间进行适应。
2.2防火墙策略
协议
端口
方向
用途
TCP
80
客户端-〉SWG
用户提示页面
TCP
80
SWG-〉Internet
升级
TCP
443
SWG-〉Internet
升级
TCP
443
管理控制台-〉SWG
Web管理
UDP
53
SWG-〉Internet
DNS解析
UDP
123
SWG-〉Internet
时间同步
TCP
389
SWG-〉AD
AD集成
UDP
161
SWG-〉SNMPServer
SNMPTrap
UDP
514
SWG-〉SyslogServer
Syslog
TCP
25
SWG-〉MailServer
邮件通知
TCP
21
SWG-〉FTPServer
报告导出
UDP
162
SNMPServer-〉SWG
SNMP管理
2.3初始化安装
在SWG初始化安装之前需要准备一台PC机(安装有IE6.0、7.0或FireFox3.0浏览器)。
并将SWG的License文件事先保存在PC上。
将PC的IP地址设置为192.168.254.0/24网段的地址,使用网线将PC与SWG的Mgmt网卡(设备上有标注)直连。
开始设备的初始化安装:
(1)SWG设备初始管理IP地址为192.168.254.254。
使用浏览器访问http:
//192.168.254.254进入Web界面进行初始化配置。
点击Next。
点击Accept。
(2)点击Browse,上传License文件。
(3)选择SWG设备的工作类型,在WebGateway和CentralIntelligenceUnit之间选择一种。
WebGateway类型为安全网关,能够起到安全防护作用;而CentralIntelligenceUnit是集中管理中心,没有防护功能,通常在有多台WebGateway需要集中管理配置时可添加一台SWG设备作为集中管理中心,实现策略、配置、报告的集中管理。
以下配置说明均为WebGateway类型的配置。
(4)输入管理员用户名、口令以及邮件地址,该邮件地址可用于口令丢失后的重设。
(5)选择设备工作模式。
将Mode设为MonitoringInline模式。
待所有设置和策略配置完成后可切换到InlineBlocking模式。
可以通过钩选Enableseparatemanagementandinlinenetwork选项启用Management网卡进行带外管理,两种情况下的配置要求如下:
a.如果启用Management网卡,Management网卡地址和Inline网卡地址必须在不同网段。
SWG升级通过Management网卡地址来访问Internet,默认路由和DNS需能通过Management网卡地址访问;
b.如果不启用Management网卡,管理通过访问Inline网卡地址进行,当SWG进入Bypass状态时Inline网卡无法访问,此时Inline地址自动赋予给Management网卡,可通过连接Management网卡来管理SWG。
需要注意的是无论是否启用Management网卡都需要将Management网卡连接到交换机。
(6)配置网卡信息、DNS指向以及时区信息。
在输入框内输入SWG上线使用的IP地址、掩码、网关地址以及DNS地址,时区选择中国并确认时间是正确的。
(7)完成配置后SWG设备会自动重启。
3SWG初始化配置
3.1网络初始化配置
网络初始化配置在Administration-〉Configuration-〉Network页面下进行,配置内容分为四部分:
(1)IP地址配置。
注意InlineDefaultGateway必须是真实存在的IP且必须位于SWGWAN网卡一侧。
(2)静态路由。
配置SWG的Inline网卡的静态路由保证SWG能与内部各网段通信。
(3)内部网段。
此处添加所有内部网段,未在此范围内的IP地址SWG将不进行防护,报告中也不会有所体现。
(4)网卡设定。
设定SWG网卡是否自适应、全双工/半双工、速率。
3.2配置proxy
如SWG需通过Proxy连接Internet,则需要在Administration-〉Configuation-〉Proxy下设置Proxy服务器的地址和端口。
如网络环境为客户端通过Proxy访问Internet,需选中Analyzeportsusedbyproxy,添加HTTPProxy的端口和FTPProxy的端口。
3.3配置功能模块
Administration-〉Configuation-〉Modules页面下设置是否启用应用程序控制和URL过滤功能,默认为启用。
选择BypassWhitelistforContentFilter可使SWG对内置的一些安全站点和白名单内的URL也进行URL过滤。
选择Recordbrowsetime使SWG记录终端上网时长。
3.4配置客户端修复提示
Administration-〉Configuation-〉ClientRemediation页面下设置对染毒客户端的修复提示。
PromptInfectedClients下拉框选择对染毒客户端提示的时间,可选择当被隔离时提示或每小时、每天、每周进行提示。
PromptAllClients下拉框选择对所有客户端的提示,可选择当感染病毒时或每小时、每天、每周进行提示。
下面设置清除程序的访问途径和程序名称。
3.5配置安全性相关参数
Administration-〉Configuation-〉Security页面下设置SWG自身安全性,包括口令设置规范、登录锁定、自动登出、登录提示以及是否使用HTTPS进行管理等设定。
3.3配置与AD集成
SWG与AD的集成在Administration-〉Configuation-〉Authentication页面下设置,在LDAPServerIPorHostname处输入AD服务器的IP地址或主机名,LDAPPort端口默认为389。
AuthenticationMethod认证模式选择默认的Kerberos,BaseDN处输入AD的顶级DN,如“dc=icbc,dc=com,dc=cn”,用户名和口令需输入在AD上有读取和认证权限的用户名与口令,下面的GroupUsersby和UIDAttribute使用默认值即可。
选中ConfigureKerberossettingsautomatically,SWG会自动配置Kerberos认证信息。
对终端用户上网身份认证需要选中EnableNTLMAuthentication,DefaultRealm处输入AD域名,PrimaryDomainController处输入AD服务器的FQDN格式主机名。
其中需要注意的有:
(1)LDAPSearchBase(BaseDN)部分不能有空格;
(2)PrimaryDomainController须为主机名。
3.7网管初始化配置
3.7.1配置RADIUS
在Administration-〉Configuation-〉Authentication页面下的RADIUSConfiguration配置RADIUS认证,添加RADIUS服务器的地址、端口和口令。
点击DownloadRADIUSreadmefile链接可打开在RADIUS服务器上设置的详细步骤。
3.7.2配置Syslog
在Administration-〉Configuation-〉Syslog页面下配置Syslog服务器地址,使SWG可以通过Syslog方式发送警报。
Syslog服务器可添加多个,用逗号或回车分开。
3.7.3配置NTP
Administration-〉Configuation-〉Time页面下可配置NTP时间同步,默认的时间服务器为pool.ntp.org。
3.7.4配置SNMP
Administration-〉Configuation-〉SNMP页面下配置SWG的SNMP设置,SWG支持SNMPtrap方式发送警报以及网管软件通过SNMP方式获取SWG状态信息。
可通过AddaSNMPManager来添加可管理SWG的网管软件地址。
通过AddaTrapReceiver来添加接收SNMPtrap的服务器地址。
3.7.5配置Mail
Administration-〉Configuation-〉Email页面下设置邮件服务器地址和SWG使用的邮件帐户名,如邮件服务器需要认证可选中RequiresAuthorization来输入口令。
SWG可通过邮件方式将警报或报告发送给管理员。
4SWG策略配置
4.1基于用户组定义策略
SWG能根据主机的IP地址、子网以及AD用户名、AD部门、AD组织单元、AD工作组来为不同的主机或用户设定不同的安全防护策略。
在Policies-〉Configuration页面下编辑策略,在Appliesto:
可选择SpecificWorkGroups来限定策略应用的用户范围。
点击AddWorkGroup会在页面上增加输入框,在NetworkType下拉框中可选择限定条件,可以按照子网、IP、AD部门、AD组织单元、AD工作组、AD用户名来添加。
如添加了多个条件,多个条件间为或的关系。
4.2配置认证策略
SWG对终端用户的身份认证通过认证策略实现,可根据用户的身份认证信息决定是否允许用户访问互联网和应用哪个安全防护策略。
在Policies-〉Configuration策略编辑页面中选中Authenticationsettingspolicy可配置认证策略,下拉框中有三种选择,分别是:
(1)IgnoreAuthentication:
忽略认证。
(2)EnforceAuthentication:
强制认证,如用户通过认证则应用基于用户分组的策略,没通过认证则拒绝通过。
(3)Authentication,NoEnforce:
用户认证失败后会应用基于IP的策略。
4.3配置URL策略
SWG对URL分类过滤通过对内置的62类URL分类采取不同的动作来实现。
在Policies-〉Configuration策略配置页面中ContentFilterCategories部分可选择对URL分类进行分别设置,支持Allow、Monitor、Block三种动作。
4.4配置恶意软件策略
SWG支持对下载恶意软件以及访问包含恶意代码网站的防护。
在Policies-〉Configuration策略配置页面中SpywareCategory部分可设置对于恶意软件的处理,感染病毒文件的防护操作在“FileandActiveContentDetection”处设定,建议选择Block动作。
SWG对于包含恶意代码的网站有两种分类的防护方式,一种是按照恶意网站的类别如Backdoor、Trojan等,一种是按照恶意网站的威胁程度来进行分类,二者的执行顺序是可调的。
策略里按照类别防护默认是没有设定的,可手工添加对于不同类别网站的防护动作。
对恶意网站的防护策略建议如下:
1、“SpywareCategory”执行顺序在“SpywareSeverity”之上
2、“SpywareSeverity”处对三种威胁程度全部设为Block
3、根据运行过程中的反馈再通过“SpywareCategory”适当放开一些威胁程度不高的网站类别如广告网站等,设置方式为在“SpywareCategory”处点击“AddCategory”添加Adware类别,动作设为Monitor。
网络攻击防护在“DetectionType”处设置,建议对Infection、Attack、MalwareURL均选择Block动作。
4.5配置应用程序策略
SWG内置支持对上百种网络应用程序的识别和阻断,可根据需要分别设定。
在Policies-〉Configuration策略配置页面中ApplicationControlCategories部分可设置对于常见的网络应用进行限制,可对每一类别设置动作,或者选择Details来分别针对每种应用设置动作。
建议对于“Peer2Peer”以及“Gaming”两个类别选择Block来阻止;对于“InstantMessaging”选择Monitor和“PreventIMDownloads”,使聊天软件可以聊天但不能进行文件传输。
其他类别网络应用程序建议选择Monitor只进行监控。
4.6配置时段策略
SWG对于工作时间和非工作时间的URL访问策略可进行分别设定,在Policies-〉Configuration策略配置页面AfterHoursSettings处选中AllowAfterHoursConfiguration,下面的时间设置均为非工作时间。
可根据设置的时间段对工作时间和非工作时间设置不同的URL分类过滤采取的动作。
4.7配置隔离策略
SWG对于检测到的内网感染恶意代码的客户端会自动将其放入隔离区,可对隔离区设置专用的隔离策略以防止威胁扩散并强制客户端进行恶意代码清除操作。
在Policies-〉Configuration策略配置页面中选中Usethispolicyforquarantinedusersonly,可将策略设置为隔离专用策略,当客户端因染毒被隔离时会应用该策略。
隔离策略通常禁止访问除修复站点外的所有网站。
4.8配置例外策略
在Policies-〉Configuration策略配置页面的最下端可以添加例外,例外支持域名和IP地址两种格式,可通过点击AddanException来逐条添加或者导入文件方式来批量添加。
对于例外可设置对其采取的动作,例外不受URL分类动作的限制,但与白名单不同的是例外只在该策略内生效,而白名单是全局的。
4.9配置黑名单
在Policies-〉Blacklist页面下添加黑名单,黑名单分为URL和文件类型两种方式。
黑名单可通过导入文件方式批量添加,每次批量添加条目数量上限为1000条,但总量无限制。
4.9.1配置URL黑名单
在BlockType下拉框选择BlockbyURL,在DomainNameorIP处输入域名或IP,支持*通配符。
如需限制具体的网页,可在Keyword处输入具体的页面关键字,SWG只会阻止包含关键字的URL。
例如在域名处输入了*,在Keyword处输入了“bad”,那么
在BlacklistEntryDescription部分可选择风险级别、分类,策略和报告会根据此处的设置进行相应的动作和内容呈现。
例如将分类选择为Backdoor,则对该URL的执行动作取决于策略中Backdoor分类的动作。
4.9.2配置文件类型黑名单
在BlockType下拉框选择BlockbyFileExtension,在FileType下拉框中可以选择预设的文件类型,或者在FileExtension处输入文件扩展名。
Keyword处可输入关键字,作用与URL黑名单相同,只有文件名称包含该关键字才会被阻止。
另外在FileDirection处可选择文件传输的方向。
4.10配置URL白名单
在Policies-〉Whitelist页面下添加白名单,白名单支持域名和IP地址方式。
如配置了NTLM认证,则可通过IgnoreAuthentication选择是否忽略认证。
白名单可通过导入文件方式批量添加,每次批量添加条目数量上限为1000条,但总量无限制。
5SWG系统运行维护
5.1调整工作模式
SWG可在运行过程中调整工作模式,在Blocking和Monitoring模式间切换,或者在Inline和PortSpan模式间切换。
5.13系统帐户管理
在Administration-〉SystemUsers页面下进行系统帐户管理,账户管理通过添加角色和帐户名来完成。
角色的权限可以添加多个。
帐户可设置所属角色和权限。
5.3系统升级
SWG系统升级分为特征库升级和软件升级,在Administration-〉Updates页面下可以设置是否自动升级和升级间隔。
也可点击CheckforUpdates按钮进行手动升级。
5.1系统的备份与恢复
SWG系统备份与恢复在Administration-〉Configuration-〉Maintenance页面下,点击Backup按钮可将系统配置以文件方式备份到管理PC上,文件命名方式为backup_DD_MM_YY_HH_mm_ss.sql。
恢复系统配置可在RestoreSettingsFromFile选择备份文件,点击Restore即可恢复。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SWG 系统 操作手册
![提示](https://static.bingdoc.com/images/bang_tan.gif)