SWG系统操作手册 - 图文

目录

1 客户端操作行为管理系统概述................................................................................ 2

1.1目的.................................................................................................................. 2 1.2适用范围.......................................................................................................... 2 1.3术语定义.......................................................................................................... 2 1.4参考资料.......................................................................................................... 2 2环境准备..................................................................................................................... 2

2.1设备网络连接方式.......................................................................................... 2 2.2防火墙策略...................................................................................................... 2 2.3初始化安装...................................................................................................... 3 3 SWG初始化配置 ....................................................................................................... 8

3.1网络初始化配置.............................................................................................. 8 3.2配置proxy ....................................................................................................... 9 3.3配置功能模块................................................................................................ 10 3.4配置客户端修复提示.................................................................................... 11 3.5配置安全性相关参数.................................................................................... 12 3.3配置与AD集成 ............................................................................................ 13 3.7网管初始化配置............................................................................................ 14

3.7.1配置RADIUS ..................................................................................... 14 3.7.2配置Syslog ......................................................................................... 15 3.7.3配置NTP ............................................................................................ 16 3.7.4配置SNMP ......................................................................................... 17 3.7.5配置Mail ............................................................................................ 18

4 SWG策略配置 ......................................................................................................... 19

4.1基于用户组定义策略.................................................................................... 19 4.2配置认证策略................................................................................................ 20 4.3配置URL策略.............................................................................................. 21 4.4配置恶意软件策略........................................................................................ 22 4.5配置应用程序策略........................................................................................ 23 4.6配置时段策略................................................................................................ 24 4.7配置隔离策略................................................................................................ 25 4.8配置例外策略................................................................................................ 26 4.9配置黑名单.................................................................................................... 27

4.9.1配置URL黑名单............................................................................... 28 4.9.2配置文件类型黑名单......................................................................... 29 4.10配置URL白名单........................................................................................ 30 5 SWG系统运行维护 ................................................................................................. 32

5.1调整工作模式................................................................................................ 32 5.13系统帐户管理.............................................................................................. 33 5.3系统升级........................................................................................................ 35 5.1系统的备份与恢复........................................................................................ 36

1 客户端操作行为管理系统概述

1.1目的 1.2适用范围 1.3术语定义 1.4参考资料

2环境准备

2.1设备网络连接方式

SWG连接方式为串联方式，Inline网卡组的WAN口连接防火墙或路由器，LAN口连接内部交换机，另外Management网卡用于带外管理。当设备出现软件故障或掉电等其他问题时Inline网卡组会自动切换到Bypass状态，确保网络通信不会受到影响。

SWG附带反向网线用于LAN网卡连接交换机，因Bypass状态下LAN网卡和WAN网卡都处于非启用状态，如使用正常网线连接，某些交换机可能需要时间进行适应。

2.2防火墙策略

协议 TCP TCP TCP TCP UDP UDP TCP 端口 80 80 443 443 53 123 389 方向 客户端-〉SWG SWG-〉 Internet SWG-〉 Internet 管理控制台-〉SWG SWG-〉Internet SWG-〉Internet SWG-〉AD 用途 用户提示页面 升级 升级 Web管理 DNS解析 时间同步 AD集成 UDP UDP TCP TCP UDP 161 514 25 21 162 SWG-〉SNMP Server SWG-〉Syslog Server SWG-〉Mail Server SWG-〉FTP Server SNMP Server-〉SWG SNMP Trap Syslog 邮件通知 报告导出 SNMP管理 2.3初始化安装

在SWG初始化安装之前需要准备一台PC机（安装有IE6.0、7.0或FireFox3.0浏览器）。并将SWG的License文件事先保存在PC上。

将PC的IP地址设置为192.168.254.0/24网段的地址，使用网线将PC与SWG的Mgmt网卡（设备上有标注）直连。

开始设备的初始化安装：

（1）SWG设备初始管理IP地址为192.168.254.254。使用浏览器访问http://192.168.254.254进入Web界面进行初始化配置。

点击Next。

点击Accept。

（2）点击Browse，上传License文件。

（3）选择SWG设备的工作类型，在Web Gateway和Central Intelligence Unit之间选择一种。Web Gateway类型为安全网关，能够起到安全防护作用；而Central Intelligence Unit是集中管理中心，没有防护功能，通常在有多台Web Gateway需要集中管理配置时可添加一台SWG设备作为集中管理中心，实现策略、配置、报告的集中管理。以下配置说明均为Web Gateway类型的配置。

（4）输入管理员用户名、口令以及邮件地址，该邮件地址可用于口令丢失后的重设。

（5）选择设备工作模式。将Mode设为Monitoring Inline模式。待所有设置和策略配置完成后可切换到Inline Blocking模式。

可以通过钩选Enable separate management and inline network选项启用Management网卡进行带外管理，两种情况下的配置要求如下：

a.如果启用Management网卡，Management网卡地址和Inline网卡地址必须在不同网段。SWG升级通过Management网卡地址来访问Internet，默认路由和DNS需能通过Management网卡地址访问；

b.如果不启用Management网卡，管理通过访问Inline网卡地址进行，当SWG进入Bypass状态时Inline网卡无法访问，此时Inline地址自动赋予给Management网卡，可通过连接Management网卡来管理SWG。

需要注意的是无论是否启用Management网卡都需要将Management网卡连接到交换机。

（6）配置网卡信息、DNS指向以及时区信息。

在输入框内输入SWG上线使用的IP地址、掩码、网关地址以及DNS地址，时区选择中国并确认时间是正确的。

（7）完成配置后SWG设备会自动重启。

3 SWG初始化配置

3.1网络初始化配置

网络初始化配置在Administration-〉 Configuration-〉Network页面下进行，配置内容分为四部分：

（1）IP地址配置。注意Inline Default Gateway必须是真实存在的IP且必须位于SWG WAN网卡一侧。

（2）静态路由。配置SWG的Inline网卡的静态路由保证SWG能与内部各网段通信。

（3）内部网段。此处添加所有内部网段，未在此范围内的IP地址SWG将不进行防护，报告中也不会有所体现。

（4）网卡设定。设定SWG网卡是否自适应、全双工/半双工、速率。

3.2配置proxy

如SWG需通过Proxy连接Internet，则需要在Administration-〉Configuation-〉Proxy下设置Proxy服务器的地址和端口。

如网络环境为客户端通过Proxy访问Internet，需选中Analyze ports used by proxy，添加HTTP Proxy的端口和FTP Proxy的端口。

3.3配置功能模块

Administration-〉Configuation-〉Modules页面下设置是否启用应用程序控制和URL过滤功能，默认为启用。

选择Bypass Whitelist for Content Filter可使SWG对内置的一些安全站点和白名单内的URL也进行URL过滤。

选择Record browse time使SWG记录终端上网时长。

3.4配置客户端修复提示

Administration-〉Configuation-〉Client Remediation页面下设置对染毒客户端的修复提示。

Prompt Infected Clients下拉框选择对染毒客户端提示的时间，可选择当被隔离时提示或每小时、每天、每周进行提示。

Prompt All Clients下拉框选择对所有客户端的提示，可选择当感染病毒时或每小时、每天、每周进行提示。

下面设置清除程序的访问途径和程序名称。

3.5配置安全性相关参数

Administration-〉Configuation-〉Security页面下设置SWG自身安全性，包括口令设置规范、登录锁定、自动登出、登录提示以及是否使用HTTPS进行管理等设定。

3.3配置与AD集成

SWG与AD的集成在Administration-〉Configuation-〉Authentication页面下设置，在LDAP Server IP or Hostname处输入AD服务器的IP地址或主机名，LDAP Port端口默认为389。Authentication Method认证模式选择默认的Kerberos，Base DN处输入AD的顶级DN，如“dc=icbc,dc=com,dc=cn”，用户名和口令需输入在AD上有读取和认证权限的用户名与口令，下面的Group Users by和UID Attribute使用默认值即可。

选中Configure Kerberos settings automatically，SWG会自动配置Kerberos认证信息。

对终端用户上网身份认证需要选中Enable NTLM Authentication，Default Realm处输入AD域名，Primary Domain Controller处输入AD服务器的FQDN格式主机名。

其中需要注意的有：

（1）LDAP Search Base (Base DN)部分不能有空格；

（2）Primary Domain Controller须为主机名。

3.7网管初始化配置

3.7.1配置RADIUS

在Administration-〉Configuation-〉Authentication页面下的RADIUS Configuration配置RADIUS认证，添加RADIUS服务器的地址、端口和口令。点击Download RADIUS readme file链接可打开在RADIUS服务器上设置的详细步骤。

3.7.2配置Syslog

在Administration-〉Configuation-〉Syslog页面下配置Syslog服务器地址，使SWG可以通过Syslog方式发送警报。Syslog服务器可添加多个，用逗号或回车分开。

3.7.3配置NTP

Administration-〉Configuation-〉Time页面下可配置NTP时间同步，默认的时间服务器为pool.ntp.org。

3.7.4配置SNMP

Administration-〉Configuation-〉SNMP页面下配置SWG的SNMP设置，SWG支持SNMP trap方式发送警报以及网管软件通过SNMP方式获取SWG状态信息。

可通过Add a SNMP Manager来添加可管理SWG的网管软件地址。 通过Add a Trap Receiver来添加接收SNMP trap的服务器地址。

3.7.5配置Mail

Administration-〉Configuation-〉Email页面下设置邮件服务器地址和SWG使用的邮件帐户名，如邮件服务器需要认证可选中Requires Authorization来输入口令。SWG可通过邮件方式将警报或报告发送给管理员。

4 SWG策略配置

4.1基于用户组定义策略

SWG能根据主机的IP地址、子网以及AD用户名、AD部门、AD组织单元、AD工作组来为不同的主机或用户设定不同的安全防护策略。

在Policies-〉Configuration页面下编辑策略，在Applies to:可选择Specific Work Groups来限定策略应用的用户范围。点击Add Work Group会在页面上增加输入框，在Network Type下拉框中可选择限定条件，可以按照子网、IP、AD部门、AD组织单元、AD工作组、AD用户名来添加。如添加了多个条件，多个条件间为或的关系。

4.2配置认证策略

SWG对终端用户的身份认证通过认证策略实现，可根据用户的身份认证信息决定是否允许用户访问互联网和应用哪个安全防护策略。

在Policies-〉Configuration策略编辑页面中选中Authentication settings policy可配置认证策略，下拉框中有三种选择，分别是：

（1）Ignore Authentication：忽略认证。

（2）Enforce Authentication：强制认证，如用户通过认证则应用基于用户分组的策略，没通过认证则拒绝通过。

（3）Authentication, No Enforce：用户认证失败后会应用基于IP的策略。

4.3配置URL策略

SWG对URL分类过滤通过对内置的62类URL分类采取不同的动作来实现。 在Policies-〉Configuration策略配置页面中Content Filter Categories部分可选择对URL分类进行分别设置，支持Allow、Monitor、Block三种动作。

4.4配置恶意软件策略

SWG支持对下载恶意软件以及访问包含恶意代码网站的防护。

在Policies-〉Configuration策略配置页面中Spyware Category部分可设置对于恶意软件的处理，感染病毒文件的防护操作在 “File and Active Content Detection”处设定，建议选择Block动作。

SWG对于包含恶意代码的网站有两种分类的防护方式，一种是按照恶意

网站的类别如Backdoor、Trojan等，一种是按照恶意网站的威胁程度来进行分类，二者的执行顺序是可调的。策略里按照类别防护默认是没有设定的，可手工添加对于不同类别网站的防护动作。

对恶意网站的防护策略建议如下：

1、“Spyware Category”执行顺序在“Spyware Severity”之上

2、“Spyware Severity”处对三种威胁程度全部设为Block

3、根据运行过程中的反馈再通过“Spyware Category”适当放开一些威胁程度不高的网站类别如广告网站等，设置方式为在“Spyware Category”处点击

“Add Category” 添加Adware类别，动作设为Monitor。

网络攻击防护在“Detection Type”处设置，建议对Infection、Attack、Malware URL均选择Block动作。

4.5配置应用程序策略

SWG内置支持对上百种网络应用程序的识别和阻断，可根据需要分别设定。 在Policies-〉Configuration策略配置页面中Application Control Categories部分可设置对于常见的网络应用进行限制，可对每一类别设置动作，或者选择Details来分别针对每种应用设置动作。建议对于“Peer 2 Peer”以及“Gaming”两个类别选择Block来阻止；对于“Instant Messaging”选择Monitor和“Prevent IM Downloads”，使聊天软件可以聊天但不能进行文件传输。其他类别网络应用程序建议选择Monitor只进行监控。

4.6配置时段策略

SWG对于工作时间和非工作时间的URL访问策略可进行分别设定，在Policies-〉Configuration策略配置页面After Hours Settings处选中Allow After Hours Configuration，下面的时间设置均为非工作时间。可根据设置的时间段对工作时间和非工作时间设置不同的URL分类过滤采取的动作。

4.7配置隔离策略

SWG对于检测到的内网感染恶意代码的客户端会自动将其放入隔离区，可对隔离区设置专用的隔离策略以防止威胁扩散并强制客户端进行恶意代码清除操作。

在Policies-〉Configuration策略配置页面中选中Use this policy for quarantined users only，可将策略设置为隔离专用策略，当客户端因染毒被隔离时会应用该策略。隔离策略通常禁止访问除修复站点外的所有网站。

4.8配置例外策略

在Policies-〉Configuration策略配置页面的最下端可以添加例外，例外支持域名和IP地址两种格式，可通过点击Add an Exception来逐条添加或者导入文件方式来批量添加。对于例外可设置对其采取的动作，例外不受URL分类动作的限制，但与白名单不同的是例外只在该策略内生效，而白名单是全局的。

4.9配置黑名单

在Policies-〉Blacklist页面下添加黑名单，黑名单分为URL和文件类型两种方式。

黑名单可通过导入文件方式批量添加，每次批量添加条目数量上限为1000条，但总量无限制。

4.9.1配置URL黑名单

在Block Type下拉框选择Block by URL，在Domain Name or IP处输入域名或IP，支持*通配符。如需限制具体的网页，可在Keyword处输入具体的页面关键字，SWG只会阻止包含关键字的URL。

例如在域名处输入了*.example.com，在Keyword处输入了“bad”，那么www.example.com/badfile.html和www.example.com/badfolder/index.html都会被阻止，但www.example.com/index.html不会受影响。而如果只输入域名但没有输入关键字，那么上面3个URL都会被阻止。

在Blacklist Entry Description部分可选择风险级别、分类，策略和报告会根据此处的设置进行相应的动作和内容呈现。例如将分类选择为Backdoor，则对该URL的执行动作取决于策略中Backdoor分类的动作。

4.9.2配置文件类型黑名单

在Block Type下拉框选择Block by File Extension，在File Type下拉框中可以选择预设的文件类型，或者在File Extension处输入文件扩展名。Keyword处可输入关键字，作用与URL黑名单相同，只有文件名称包含该关键字才会被阻止。另外在File Direction处可选择文件传输的方向。

4.10配置URL白名单

在Policies-〉Whitelist页面下添加白名单，白名单支持域名和IP地址方式。如配置了NTLM认证，则可通过Ignore Authentication选择是否忽略认证。

白名单可通过导入文件方式批量添加，每次批量添加条目数量上限为1000条，但总量无限制。

5 SWG系统运行维护

5.1调整工作模式

SWG可在运行过程中调整工作模式，在Blocking和Monitoring模式间切换，或者在Inline和Port Span模式间切换。

5.13系统帐户管理

在Administration-〉System Users页面下进行系统帐户管理，账户管理通过添加角色和帐户名来完成。

角色的权限可以添加多个。

帐户可设置所属角色和权限。

5.3系统升级

SWG系统升级分为特征库升级和软件升级，在Administration-〉Updates页面下可以设置是否自动升级和升级间隔。也可点击Check for Updates按钮进行手动升级。

5.1系统的备份与恢复

SWG系统备份与恢复在Administration-〉Configuration-〉Maintenance页面下，点击Backup按钮可将系统配置以文件方式备份到管理PC上，文件命名方式为backup_DD_MM_YY_HH_mm_ss.sql。恢复系统配置可在Restore Settings From File选择备份文件，点击Restore即可恢复。

本文来源：https://www.bwwdw.com/article/xfw7.html