×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Sangfor Device Connection บน IAG

ปรับปรุงเมื่อ

ภาพรวม

Sangfor IAG รองรับการเชื่อมต่อกับอุปกรณ์ Sangfor อื่น ๆ โดยเฉพาะ Sangfor Cyber Command เพื่อ Synchronize ข้อมูล User, Correlate อุปกรณ์ และแจ้งเตือนเมื่อพบ Browsing Risk บทความนี้อธิบายการตั้งค่า User Information Synchronization, Device Correlation และ Internet Accessing Prompting ระหว่าง IAG กับ Cyber Command

User Information Synchronization

SSO Sangfor Appliance credential sharing settings

IAG สามารถ Sync ข้อมูล User Authentication ไปยัง Cyber Command ได้ โดยรองรับ Local Password Authentication, External Password Authentication, SMS Verification, Single Sign-On และ dKey Authentication

การตั้งค่าบน IAG:

  1. ไปที่ Access Mgt > Authentication > Web Authentication > Single Sign-On (SSO) > Sangfor Appliance
  2. เลือก Send user credentials to other Sangfor appliances
  3. ในช่อง Forward Credentials To ระบุ IP และ Port ของ Cyber Command ในรูปแบบ %IP:Port;%
  4. กำหนด Shared Key สำหรับยืนยันตัวตน

การตั้งค่าบน Cyber Command:

  1. ไปที่ System Config > Device Management > New
  2. กรอก Device IP (IP ของ IAG) และ Device Name
  3. เลือก Type เป็น Internet Access Management
  4. กำหนด Shared Key ให้ตรงกับที่ตั้งไว้บน IAG
  5. คลิก OK

หลังตั้งค่าเสร็จ สามารถดูรายชื่อ User ที่ Sync มาได้ที่ Asset Center > Endpoint > User List บน Cyber Command หากข้อมูลยังไม่ Sync ให้คลิก Synchronize Now

หมายเหตุ: การคลิก Synchronize Now จะ Sync ข้อมูล User ล่าสุดไปยัง Cyber Command แต่จะไม่ลบ User Data เดิมที่อยู่บน Cyber Command

Open Ports on WAN Interface

Open Ports on WAN Interface configuration

เพื่อให้ Device Correlation ทำงานได้ ต้องเปิด Port บน WAN Interface ของ IAG:

  • หาก IAG Deploy แบบ Route Mode ต้องเปิด TCP Port 9998 บน WAN Interface
  • หาก IAG Deploy แบบ Bridge Mode หรือ Bypass Mode ไม่ต้องตั้งค่านี้ แต่ต้องอนุญาต TCP Port 9998 ระหว่าง IAG กับ Cyber Command ในเครือข่าย

การตั้งค่า: ไปที่ System > Network > Open Ports on WAN Interface คลิก Add เพิ่ม Port 9998 แล้ว Enable และคลิก Commit

Device Correlation

Add Correlated Device dialog with device type options

IAG รองรับ 2 วิธีในการ Correlate กับ Cyber Command ได้แก่ Auto-negotiation และ Shared Secret หากเปิดใช้ทั้ง 2 วิธี การผ่านการยืนยันเพียงวิธีเดียวก็ถือว่า Correlation สำเร็จ

แนวทางการเลือกวิธี:

  • หากมี IAG น้อย - เลือกวิธีใดก็ได้
  • หากมี IAG จำนวนมาก - แนะนำใช้ Auto-negotiation เพื่อลดการตั้งค่า
  • หากมี Cyber Command หลายเครื่อง - แนะนำใช้ Shared Secret เพื่อหลีกเลี่ยง Negotiation Error

Method 1: Auto-negotiation

การตั้งค่าบน IAG:

  1. ไปที่ System > General > Device Correlation
  2. เลือก Enable correlation to Sangfor devices
  3. คลิก Correlation Options แล้วเลือก Auto-negotiation
  4. คลิก Commit

การตั้งค่าบน Cyber Command:

  1. ไปที่ System Config > Device Management > New
  2. กรอก Device IP, Device Name, เลือก Type เป็น Internet Access Management
  3. กำหนด Shared Key และ Remarks
  4. ในส่วน Authentication Required ระบุ Username (admin account ของ IAG) และ Auth Password
  5. คลิก Test เพื่อทดสอบ แล้วคลิก OK

เมื่อ Correlation สำเร็จ จะแสดงสถานะอุปกรณ์ที่ Correlate ได้ทั้งบน IAG และ Cyber Command โดยแสดง Device Name, Gateway ID, Type, Time Joined และ Version

Method 2: Shared Secret

การตั้งค่าบน IAG:

  1. ไปที่ System > General > Device Correlation
  2. เลือก Enable correlation to Sangfor devices
  3. คลิก Correlation Options แล้วเลือก Shared Secret
  4. กรอก Username, Password และ Peer IP Addresses (IP ของ Cyber Command รองรับทั้ง IP, IP Range, Subnet)
  5. คลิก Commit

การตั้งค่าบน Cyber Command:

  1. ไปที่ System Config > Device Management > New
  2. กรอกข้อมูลเหมือน Method 1 พร้อมระบุ Authentication Required ด้วย Username และ Password
  3. คลิก OK
Cyber Command Assets page with user management

Internet Accessing Prompting

เมื่อ Correlate IAG กับ Cyber Command สำเร็จแล้ว สามารถแจ้งเตือน User เมื่อพบ Browsing Risk ได้ทั้งแบบ Manual และ Automatic:

Manual Prompting:

  • บน Cyber Command ไปที่ More > Response Tool Kit > Correlated Response > Correlated IAG
  • คลิก IP Address ของ Endpoint ที่มีความเสี่ยง หรือคลิก More > Correlated Response > Correlated IAG Interface
  • เพิ่ม Browsing Risk Notification โดยระบุ IP Address, Group และเลือก IAM ที่ Correlate
  • คลิก Start เพื่อส่งการแจ้งเตือน

Automatic Prompting:

  • ตั้งค่า Automatic Rule เพื่อให้ระบบแจ้งเตือน User โดยอัตโนมัติเมื่อตรวจพบ Browsing Risk

Account Lockout

นอกจากการแจ้งเตือน ยังสามารถ Lock Account ของ User ที่มี Browsing Risk ผ่าน Cyber Command เพื่อระงับการเข้าถึงอินเทอร์เน็ตชั่วคราว

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น