深信服上網(wǎng)行為管理配置ppt

1、深信服上網(wǎng)行為管理配置深信服上網(wǎng)行為管理配置 （AC v4.5)AC v4.5) 硬件安裝 控制臺(tái)功能說明 案例分析 硬件安裝 1.1產(chǎn)品外觀 設(shè)備出廠的默認(rèn)IP見下表： 硬件安裝 1.2單設(shè)備接線方式 l 用標(biāo)準(zhǔn)的RJ-45以太網(wǎng)線將ETH0（LAN）口與內(nèi)部局域網(wǎng) 電腦連接，對(duì)AC設(shè)備進(jìn)行配置。 l 用標(biāo)準(zhǔn)的RJ-45以太網(wǎng)線將ETH2（WAN1）口與Internet接 入設(shè)備相連接，如路由器、光纖收發(fā)器或ADSL Modem等 。 l 多線路的AC設(shè)備可以支持多條Internet線路，此時(shí)將 WAN2口與第二條Internet接入設(shè)備相連，WAN3口與第三 條Internet線路相連，依

2、此類推。 硬件安裝 1.3雙機(jī)備份接線方式 若采用 若采用 AC 雙機(jī)熱備的工作方式，按以下接線 控制臺(tái)功能說明 2.1WebUI 配置界面 AC 支持安全的HTTPS 登錄，使用的是HTTPS 協(xié)議的標(biāo)準(zhǔn)端口登錄。如果初始 登錄從LAN 口登錄，那么登錄的URL 為：51 l 首先為本機(jī)器配置一個(gè)10.251.251.X網(wǎng)段的IP（如配置 00），然后在IE瀏覽器中輸入網(wǎng)關(guān)的默認(rèn) 登陸IP及端口51。出現(xiàn)一個(gè)證書 告警框提示，點(diǎn)擊是后出現(xiàn)登錄界面。 l 在登陸框輸入用戶名和密碼，點(diǎn)擊登錄按鈕即

3、 可登錄AC設(shè)備進(jìn)行配置，默認(rèn)情況下的用戶名和密碼均 為Admin。 l 登錄控制臺(tái)不需要安裝任何控件，支持用非IE的瀏覽器 登錄控制臺(tái)。 控制臺(tái)功能說明 2.1WebUI 配置界面 登錄界面如下圖所示： 控制臺(tái)功能說明 2.1WebUI 配置界面 如何消除登錄控制臺(tái)的證書告警框？ 首先，登錄控制臺(tái)，進(jìn)入系統(tǒng)配置高級(jí)配置WebUI選項(xiàng) 頁(yè)面，點(diǎn)擊下載證書，將證書下載到本地安裝。 控制臺(tái)功能說明 主界面 控制臺(tái)功能說明 2.2實(shí)時(shí)狀態(tài) 【實(shí)時(shí)狀態(tài)實(shí)時(shí)狀態(tài)】主要用于查看設(shè)備的基本狀態(tài)信息，包括： 運(yùn)行狀態(tài) 安全狀態(tài) 流量狀態(tài) 上網(wǎng)行為監(jiān)控 在線用戶管理 郵件延遲審計(jì) DHCP運(yùn)行狀態(tài) 控制臺(tái)功能說

4、明 2.2.1運(yùn)行狀態(tài) 運(yùn)行狀態(tài)主要用于查看設(shè)備的資源信息，接口吞吐率折線圖，應(yīng)用 流量排名，用戶流量排名，應(yīng)用流速趨勢(shì)疊加圖，接口信息，安全狀態(tài) 和上網(wǎng)行為監(jiān)控信息。 控制臺(tái)功能說明 2.2.1運(yùn)行狀態(tài) 【資源信息】主要用于顯示設(shè)備資源的概況，包括CPU使用率，內(nèi)存使 用率，磁盤使用率，設(shè)備會(huì)話數(shù)，在線用戶數(shù)，無(wú)線熱點(diǎn)數(shù)，系統(tǒng)時(shí)間 和當(dāng)天日志匯總等信息。 點(diǎn)擊 可以設(shè)置是否啟用自動(dòng)刷新以及自動(dòng)刷新的時(shí)間。 控制臺(tái)功能說明 【接口信息】主要用于顯示設(shè)備各個(gè)網(wǎng)口的狀態(tài)，是否接線以及各個(gè)網(wǎng) 口發(fā)送和接收實(shí)時(shí)流量。 代表網(wǎng)口狀態(tài)是已連接狀態(tài)， 代表網(wǎng)口狀態(tài)是未連接狀態(tài)，點(diǎn) 擊 可以設(shè)置自動(dòng)刷新的時(shí)間

5、。 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 【接口吞吐率折線圖】通過折線圖的形式來動(dòng)態(tài)顯示外網(wǎng)接口實(shí)時(shí)發(fā)送 和接收數(shù)據(jù)的情況。 點(diǎn)擊 可以設(shè)置選擇時(shí)間段來顯示相應(yīng)時(shí)間段接口轉(zhuǎn)發(fā)數(shù)據(jù)的情況 ，在選擇流量單位 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 【應(yīng)用流速趨勢(shì)疊加圖】主要用于動(dòng)態(tài)顯示各個(gè)應(yīng)用流速趨勢(shì)疊加，不 同的應(yīng)用用不同的顏色顯示。 點(diǎn)擊 可以在選擇流量單位設(shè)置顯示的流速單位，在選擇線路選 擇顯示所有線路，線路1或者線路2等，在流速類型設(shè)置顯示的是總流 速，上行或者下行。 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 【應(yīng)用流量排名】用于顯示前十名的應(yīng)用排名情況，可以根據(jù)上下行流 量和總流量來排名，界面如下：

6、選中上行則顯示上行流量的百分比，選 中下行則顯示下行流量的百分比。 點(diǎn)擊 可以設(shè)置自動(dòng)刷新的時(shí)間。 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 【用戶流量排名】用于顯示前十名的用戶流量排名情況，可以根據(jù)上下 行流量和總流量來排名，界面如下：選中上行則顯示上行流量的百分比 ，選中下行則顯示下行流量的百分比。 點(diǎn)擊 可以設(shè)置自動(dòng)刷新的時(shí)間。 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 【上網(wǎng)行為監(jiān)控】主要用于顯示實(shí)時(shí)的用戶上網(wǎng)行為。 點(diǎn)擊 可以設(shè)置自動(dòng)刷新的時(shí)間。 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 【安全狀態(tài)】主要用于顯示設(shè)備檢測(cè)到不的行為 點(diǎn)擊 可以設(shè)置自動(dòng)刷新的時(shí)間。 2.2.1運(yùn)行狀態(tài) 控制臺(tái)功能說明 安

7、全狀態(tài)主要用于顯示設(shè)備檢測(cè)到不安全的行為 分別有病毒行為、DOS和ARP攻擊、端口掃描、異常外發(fā)郵件(頻繁外發(fā) )、標(biāo)準(zhǔn)端口異常流量、協(xié)議異常、惡意腳本、攔截插件、惡意網(wǎng) 址、不受信任的ssl網(wǎng)站訪問、組織外線路，會(huì)列出發(fā)生總數(shù)量，還有最 后發(fā)生的時(shí)間，和最后發(fā)生的用戶/IP，以及最近發(fā)生的10條不安全日志及詳 細(xì)事件信息。點(diǎn)擊發(fā)生次數(shù)中的數(shù)值可以自動(dòng)鏈接到數(shù)據(jù)中心，查看到對(duì)應(yīng)的 詳細(xì)日志。 2.2.2安全狀態(tài) 控制臺(tái)功能說明 流量狀態(tài)主要用于顯示設(shè)備的在線用戶的流量信息、各個(gè)應(yīng)用的流 量信息、流量管理的通道狀態(tài)信息和連接監(jiān)控等信息。 上網(wǎng)行為監(jiān)控主要用于查看最近產(chǎn)生的用戶上網(wǎng)行為。 2.2.

8、3流量狀態(tài)、上網(wǎng)行為監(jiān)控 控制臺(tái)功能說明 在線用戶管理主要用于管理已經(jīng)通過設(shè)備認(rèn)證的在線用戶。 郵件延遲審計(jì)主要用于查看被延遲審計(jì)的郵件以及對(duì)其進(jìn)行相關(guān)操 作，前提是用戶與策略管理里有用戶啟用了郵件延遲審計(jì)的功能。 界面如下： DHCP運(yùn)行狀態(tài)主要用于查看DHCP的分配情況，前提DHCP已經(jīng)進(jìn) 行了相關(guān)啟用的配置，界面如下： 2.2.4在線用戶管理、郵件延遲審計(jì)、DHCP運(yùn)行 狀態(tài) 控制臺(tái)功能說明 對(duì)象定義中定義的各種對(duì)象是設(shè)備做上網(wǎng)行為過濾、上網(wǎng)行為審計(jì) 和流量管理的基礎(chǔ)，各種控制和審計(jì)都是基于對(duì)象來做的。 對(duì)象定義中包括： 應(yīng)用特征識(shí)別庫(kù)、應(yīng)用智能識(shí)別庫(kù)、自定義應(yīng)用、URL 分類庫(kù)、準(zhǔn)入規(guī)

9、則庫(kù)、網(wǎng)絡(luò)服務(wù)、IP組、時(shí)間計(jì)劃組 、黑白名單組 、關(guān)鍵字組、文件類型組、上網(wǎng)權(quán)限 策略、信任的證書頒發(fā)機(jī)構(gòu) 2.3對(duì)象定義 控制臺(tái)功能說明 用戶與策略管理的作用是管理用戶和上網(wǎng)策略。 用戶與策略管理包括 【上網(wǎng)策略】 【用戶管理】 【用戶認(rèn)證】 2.4用戶與策略管理 控制臺(tái)功能說明 上網(wǎng)策略頁(yè)面用于對(duì)進(jìn)行管理，管理員可以根據(jù)內(nèi)戶的權(quán)限分配情 況設(shè)置不同的上網(wǎng)策略。 上網(wǎng)策略分六種類型，其中包括 上網(wǎng)權(quán)限策略 上網(wǎng)審計(jì)策略 上網(wǎng)安全策略 終端提醒策略 流量配額與時(shí)長(zhǎng)控制 準(zhǔn)入策略 2.4.1上網(wǎng)策略 控制臺(tái)功能說明 上網(wǎng)權(quán)限策略包括應(yīng)用控制、WEB過濾、SSL管理和郵件過濾。 上

10、網(wǎng)權(quán)限策略 控制臺(tái)功能說明 上網(wǎng)審計(jì)策略包括應(yīng)用審計(jì)、外發(fā)文件告警、流量與上網(wǎng)時(shí)長(zhǎng)審計(jì) 和網(wǎng)頁(yè)內(nèi)容審計(jì)。 上網(wǎng)審計(jì)策略 控制臺(tái)功能說明 上網(wǎng)安全策略包括危險(xiǎn)行為識(shí)別、Active X插件過濾、惡意網(wǎng)頁(yè)過 濾和安全桌面。 上網(wǎng)權(quán)限策略 控制臺(tái)功能說明 終端提醒策略包括上網(wǎng)時(shí)長(zhǎng)提醒、上網(wǎng)流量提醒和公告頁(yè)面。 終端提醒策略 控制臺(tái)功能說明 流量配額與時(shí)長(zhǎng)控制包括流量配額、上網(wǎng)時(shí)長(zhǎng)控制和并發(fā)連接數(shù)控 制。 流量配額與時(shí)長(zhǎng)控制 控制臺(tái)功能說明 準(zhǔn)入策略包括準(zhǔn)入策略、組織外線路檢測(cè)和應(yīng)用程序時(shí)長(zhǎng)統(tǒng)計(jì)。 準(zhǔn)入策略 返回 控制臺(tái)功能說明 上

11、網(wǎng)行為管理設(shè)備所管理的對(duì)象是終端的上網(wǎng)用戶，因此用戶是網(wǎng)絡(luò)權(quán) 限分配的基本單元。管理員可以通過【組/用戶】頁(yè)面來對(duì)上網(wǎng)用戶以 及上網(wǎng)權(quán)限進(jìn)行統(tǒng)一管理。 用戶管理包括 【組/用戶】 【用戶導(dǎo)入】 【用戶自動(dòng)同步】 2.4.2用戶管理 控制臺(tái)功能說明 組/用戶頁(yè)面可查看設(shè)備中已經(jīng)存在的用戶和組信息，在【組織結(jié) 構(gòu)】中選擇需要查看的用戶組，右邊的【組織成員及上網(wǎng)策略設(shè)置】頁(yè) 面顯示對(duì)應(yīng)用戶組的信息，包括：所屬組、描述信息、組信息、上網(wǎng)策 略等信息。 組/用戶 控制臺(tái)功能說明 第一步：在【組織結(jié)構(gòu)】中選擇需要添加子組的用戶組，右邊進(jìn)入管理頁(yè)面，在【成員 管理】窗口中，點(diǎn)擊新增按鈕，然后選

12、擇新增類型組 第二步：進(jìn)入【添加組】窗口。設(shè)置 組名列表即用戶組的名稱；設(shè)置 描述即用戶組的描述信息。點(diǎn)擊 添加策略，可以添加該組策略。 第三步：點(diǎn)擊提交，完成子組添加 .1新建用戶組 控制臺(tái)功能說明 第一步：在【組織結(jié)構(gòu)】中選擇需要添加上網(wǎng)策略的用戶組，右邊進(jìn)入管理頁(yè)面，在【 策略列表】窗口中，點(diǎn)擊添加策略按鈕，然后彈出的【添加策略】頁(yè)面，選擇策略。 第二步：點(diǎn)擊添加策略，在【添加策略】 中選擇需要關(guān)聯(lián)的上網(wǎng)策略工程師上網(wǎng)策 略，勾選遞歸應(yīng)用于子組表示添加的策 略同時(shí)也會(huì)關(guān)聯(lián)給子組，不勾選則表示子 組不會(huì)添加該策略。設(shè)置完成后點(diǎn)擊確定。 第三步：返回【策略列表】頁(yè)面，查看用 戶

13、組關(guān)聯(lián)的。 .2設(shè)置用戶組的上網(wǎng)策略 控制臺(tái)功能說明 舉例：在“/工程師”組設(shè)置一個(gè)用戶：主管，此用戶不需要認(rèn)證，并 且將此用戶和主管電腦的IP/MAC進(jìn)行雙向綁定，即只有主管的電腦才可 以使用此賬號(hào)上網(wǎng)。主管電腦的IP/MAC是：17(00-1C-25- AC-4C-44)。 步聚： 第一步：在用戶認(rèn)證認(rèn)證策略中 設(shè)置認(rèn)證策略，設(shè)置此用戶的IP或者M(jìn)AC范 圍，勾選認(rèn)證方式為不需要認(rèn)證/單點(diǎn)登錄。 .3新增用戶 控制臺(tái)功能說明 第二步：在【組織結(jié)構(gòu)】中選擇需要添加用戶的用戶組，右邊進(jìn)入管理頁(yè)面，在【成員 管理】窗口中，點(diǎn)擊新增按鈕，然后選擇新

14、增類型用戶 第三步：進(jìn)入【添加用戶】窗口。勾選啟用該用戶，填寫登錄名，描述，顯示名 和當(dāng)前所屬組。 .3新增用戶 控制臺(tái)功能說明 第四步：設(shè)置用戶屬性，勾選綁定IP/MAC地址用于將該用戶和IP/MAC地址綁定。 點(diǎn)擊綁定方式，在彈出的頁(yè)面中選擇用戶和地址雙向綁定 勾選綁定IP和MAC，在輸入框中填入17(00-1C-25-AC-4C-44)。 過期時(shí)間用于設(shè)置該用戶的過期時(shí)間。 .3新增用戶 控制臺(tái)功能說明 第五步：添加該用戶的上網(wǎng)策略，點(diǎn)擊進(jìn)入【策略列表】頁(yè)面，點(diǎn)擊【添加策略】，在 彈出的【添加策略】頁(yè)面選擇需要關(guān)聯(lián)的策略。 第六步：完成用

15、戶屬性與策略的編輯后，點(diǎn)擊提交，完成用戶的添加。 第七步：通過設(shè)備上網(wǎng)時(shí)，驗(yàn)證IP和MAC是否正確，如果正確則認(rèn)證通過，客戶端不會(huì)彈 出認(rèn)證頁(yè)面。如果IP/MAC地址和綁定的IP/MAC不符，則認(rèn)證不通過，此時(shí)沒有提示頁(yè)面 ，但客戶端的現(xiàn)象是上不了網(wǎng)。 .3新增用戶 控制臺(tái)功能說明 用戶導(dǎo)入用于把用戶批量導(dǎo)入，它提供三種方式： CSV格式文件導(dǎo)入：是通過一個(gè)CSV的文件導(dǎo)入用戶，導(dǎo)入時(shí)可以同 時(shí)導(dǎo)入顯示名、認(rèn)證方式、綁定IP/MAC信息、密碼等。 掃描IP導(dǎo)入：當(dāng)導(dǎo)入 IP/MAC綁定的用戶時(shí)，可 以通過掃描IP導(dǎo)入掃描 內(nèi)網(wǎng)用戶的MAC地址，方便 此類用戶的導(dǎo)入。 從外部LAD

16、P服務(wù)器上導(dǎo)入 用戶：用于將LDAP服務(wù)器 中的用戶同步到設(shè)備中，支 持從MS Active Diretory服 務(wù)器上導(dǎo)入用戶。 用戶導(dǎo)入 控制臺(tái)功能說明 用戶自動(dòng)同步可使用三種不同的同步方法：LDAP同步、 數(shù)據(jù)庫(kù)同步、 H3C CAMS同步 要使用同步必須在用戶認(rèn)證外部認(rèn)證服務(wù)器增加所需要的同 步服務(wù)器。 用戶自動(dòng)同步 返回 控制臺(tái)功能說明 用戶認(rèn)證用戶認(rèn)證用于設(shè)置用戶認(rèn)證的相關(guān)設(shè)置，包括認(rèn)證策略、認(rèn) 證選項(xiàng)、外部認(rèn)證服務(wù)器。所有計(jì)算機(jī)上網(wǎng)前，都必須經(jīng)過用戶 認(rèn)證，以識(shí)別上網(wǎng)計(jì)算機(jī)的身份 認(rèn)證策略決定了某個(gè)IP/網(wǎng)段/MAC地址上計(jì)算機(jī)的認(rèn)證方式。通過 認(rèn)證策

17、略設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式，以及新用戶添加的策略。 有以下選項(xiàng)：1、不需要認(rèn)證；2、密碼認(rèn)證（包括本地密碼認(rèn)證和外部 服務(wù)器認(rèn)證）；3、單點(diǎn)登錄；4、DKEY 認(rèn)證選項(xiàng)設(shè)置主要是用來設(shè)置設(shè)備上用戶認(rèn)證的相關(guān)配置信息，包 括單點(diǎn)登錄選項(xiàng)、認(rèn)證通過跳轉(zhuǎn)、認(rèn)證沖突、跨三層 MAC識(shí)別其他認(rèn)證選項(xiàng)。 外部認(rèn)證服務(wù)器用來設(shè)置第三方認(rèn)證服務(wù)器的信息，設(shè)備支持定義 LDAP，RADIUS，POP3、數(shù)據(jù)庫(kù)、H3C CAMS五種第三方認(rèn)證服務(wù)器。 2.4.3用戶認(rèn)證 控制臺(tái)功能說明 2.5流量管理 流量管理是通過建立流量管理通道對(duì)各種上網(wǎng)應(yīng)用的流量 大小進(jìn)行控制。 流量管理系統(tǒng)提供了帶寬保證和帶寬限制功能，通過

18、帶寬 保證可以保證重要應(yīng)用的訪問帶寬，通過帶寬限制可以做 到限制用戶組/用戶上下行總帶寬、各種應(yīng)用的帶寬等。 流量管理系統(tǒng)同時(shí)提供流量子通道的功能，可以根據(jù)需求 建立流量子通道，對(duì)通道流量做更為細(xì)化的分配。 【通道配置】 【線路帶寬配置】 【虛擬線路配置】 控制臺(tái)功能說明 2.5.1通道配置 控制臺(tái)功能說明 2.5.1通道配置 【帶寬通道設(shè)置】：用于設(shè)置生效線路、通道類型、限制 或保證的帶寬、單個(gè)用戶帶寬等。 生效線路用于選擇通道適用的線路，也就是當(dāng)數(shù)據(jù)走此條線路時(shí)才會(huì) 匹配到此通道。 帶寬通道類型用于選擇通道類型并定義帶寬值,有保證通道和限制通 道。 啟用限制單IP最大帶寬用于限制匹配到此通

19、道的單個(gè)IP占用的帶寬值 。 用戶間帶寬分配策略用于設(shè)置匹配到此通道的用戶，帶寬怎樣在用戶 間進(jìn)行分配，默認(rèn)選擇的是平均分配，還可選擇自由競(jìng)爭(zhēng) 。 高級(jí)選項(xiàng)設(shè)置勾選此項(xiàng)表示把每一個(gè)外網(wǎng)IP作為通道內(nèi)的用戶，使 得通道的用戶間公平分配帶寬以及單用戶最高帶寬屬性對(duì)外網(wǎng)IP有效。 控制臺(tái)功能說明 2.5.1通道配置 【帶寬使用范圍】：用于設(shè)置哪些類型的數(shù)據(jù)會(huì)匹配到此 通道，即通道的使用范圍，此處設(shè)置的范圍包括：應(yīng)用類 型、適用對(duì)象、生效時(shí)間和目標(biāo)IP組，這些條件需要全部 滿足才能匹配到此通道。 適用應(yīng)用用于設(shè)置應(yīng)用類型，勾選所有應(yīng)用表示針對(duì)所有類型的數(shù) 據(jù)有效，勾選自定義選擇特定的應(yīng)用類型。 適用對(duì)

20、象用于設(shè)置此通道對(duì)哪些用戶、用戶組、IP生效，勾選所有 用戶表示對(duì)內(nèi)網(wǎng)所有用戶有效，勾選自定義用于指定特定的用戶和 用戶組。 生效時(shí)間用于設(shè)置此通道的生效時(shí)間。 目標(biāo)IP組用于設(shè)置目標(biāo)IP條件。 控制臺(tái)功能說明 2.5.2線路帶寬配置 線路帶寬配置用于配置公網(wǎng)線路的帶寬值，設(shè)備根據(jù)配置 的公網(wǎng)線路帶寬值進(jìn)行帶寬分配。 控制臺(tái)功能說明 2.5.3虛擬線路配置 設(shè)備在網(wǎng)橋模式下，無(wú)論前置設(shè)備上是否接了多條線路， 或者設(shè)備做多網(wǎng)橋模式 接了多個(gè)出口，對(duì)于設(shè) 備來講經(jīng)過設(shè)備的數(shù)據(jù) 認(rèn)為是一條線路的數(shù)據(jù) ，設(shè)備的流控默認(rèn)情況 下是針對(duì)線路總和進(jìn)行 控制的，如果需要在網(wǎng) 橋模式下對(duì)多條線路區(qū) 分控制，需要

21、借助虛擬 線路現(xiàn) 控制臺(tái)功能說明 2.6安全防護(hù) 【防DOS攻擊】攻擊功能既可以防止外網(wǎng)對(duì)內(nèi)的 攻擊功能既可以防止外 網(wǎng)對(duì)內(nèi)的攻擊，也可以阻止內(nèi)網(wǎng)的機(jī)器中毒或使用攻擊工具發(fā)起DOS攻 擊。 【防ARP欺騙】設(shè)備通過不接受有攻擊特征的設(shè)備通過不接受有攻擊特 征的 ARP請(qǐng)求或回復(fù)來保護(hù)設(shè)備本身的請(qǐng)求或回復(fù)來保護(hù)設(shè)備本身的 ARP緩存，實(shí)現(xiàn)自身的免疫。如果設(shè)備的訪問控制用戶有綁定IP/MAC， 則設(shè)備會(huì)以綁定的IP/MAC信息為準(zhǔn)。安裝了準(zhǔn)入客戶端后，準(zhǔn)入客戶端 會(huì)和設(shè)備通訊，獲取設(shè)備和網(wǎng)關(guān)的正確IP/MAC關(guān)系并靜態(tài)綁定。 【網(wǎng)關(guān)殺毒】網(wǎng)關(guān)殺毒主要用于對(duì)經(jīng)過設(shè)備的數(shù)據(jù)進(jìn)行病毒查殺，保護(hù) 內(nèi)網(wǎng)計(jì)算

22、機(jī)的安全。設(shè)備能針對(duì)HTPP，F(xiàn)TP，POP3和SMTP這四種常用 協(xié) 議進(jìn)行查殺病毒。 【無(wú)線熱點(diǎn)發(fā)現(xiàn)】無(wú)線熱點(diǎn)發(fā)現(xiàn)功能 能夠幫助用戶實(shí)現(xiàn)無(wú)線智能終端 的管理，誤國(guó)無(wú)線終端的接入，防范無(wú)線智能終端設(shè)備接入引起無(wú)線安 全漏洞導(dǎo)致泄密。 控制臺(tái)功能說明 2.7防火墻 過濾規(guī)則通過過濾規(guī)則的設(shè)置對(duì)設(shè)備各個(gè)接口之間的數(shù)據(jù)轉(zhuǎn)發(fā)進(jìn)行 過濾，過濾的條件包括目標(biāo)協(xié)議和端口、源IP、目標(biāo)IP、時(shí)間等。 NAT代理上網(wǎng)的主要作用是設(shè)置SNAT規(guī)則代理內(nèi)網(wǎng)用戶上網(wǎng)，也可 以設(shè)置SNAT規(guī)則進(jìn)行其他的源地址轉(zhuǎn)換。 端口映射的主要作用是發(fā)布內(nèi)網(wǎng)服務(wù)器到公網(wǎng)，通過設(shè)置DNAT規(guī)則 進(jìn)行目標(biāo)地址轉(zhuǎn)換。 NAT代理上網(wǎng)、端

23、口映射僅適用于設(shè)備做路由模式部署的情況下。 控制臺(tái)功能說明 2.8網(wǎng)絡(luò)配置 部署模式用于設(shè)置設(shè)備的工作模式，可把設(shè)備設(shè)定為路由模式、網(wǎng) 橋模式或旁路模式。 網(wǎng)口配置路由模式下，可以在這個(gè)界面配置網(wǎng)口的信息。多網(wǎng)橋模 式下，可以在這個(gè)界面配置網(wǎng)橋信息。 靜態(tài)路由的作用是設(shè)置靜態(tài)路由策略，當(dāng)設(shè)備本身需要和不同網(wǎng)段 的IP通信時(shí)，需要通過設(shè)置靜態(tài)路由實(shí)現(xiàn)。 策略路由主要用于設(shè)備做路由模式，并且外網(wǎng)口接多條外網(wǎng)線路時(shí) ，根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進(jìn)行線路選擇，以實(shí)現(xiàn)不 同的數(shù)據(jù)走不同的外網(wǎng)線路的需求，實(shí)現(xiàn)手動(dòng)選路功能。 高可用性包括多機(jī)同步和雙機(jī)維護(hù)兩個(gè)功能。 DHCP是自動(dòng)給內(nèi)網(wǎng)電腦

24、分配IP的服務(wù)，此服務(wù)只在設(shè)備做路由模式 時(shí)可用。點(diǎn) 網(wǎng)絡(luò)協(xié)議擴(kuò)展通過協(xié)議剝離功能，分析出特殊協(xié)議數(shù)據(jù)包的特點(diǎn)， 并與內(nèi)置特殊協(xié)議規(guī)則匹配。 控制臺(tái)功能說明 2.9VPN配置 在DLAN運(yùn)行狀態(tài)頁(yè)面可以查看當(dāng)前的VPN連接和網(wǎng)絡(luò)流量信息。頁(yè)面如 下： 點(diǎn)擊查找用戶，輸入用戶名，可以快速找到當(dāng)前用戶的連接情況，頁(yè)面 如下： 點(diǎn)擊停止服務(wù)可暫時(shí)停止VPN服務(wù)。 控制臺(tái)功能說明 2.9.1基本設(shè)置 基本設(shè)置用于設(shè)置VPN連接所需的Webagent信息、VPN數(shù)據(jù)的MTU值 、最小壓縮值、VPN監(jiān)聽端口、VPN連接模式、廣播包和性能設(shè)置 控制臺(tái)功能說明 2.9.2用戶管理 用戶管理用于管理VPN接入賬

25、號(hào)信息，設(shè)置允許接入VPN的用戶賬號(hào) 、密碼，是否啟用硬件捆綁鑒權(quán)或DKEY認(rèn)證、是否啟用虛擬IP、設(shè)置賬 號(hào)使用的加密算法、賬號(hào)有效時(shí)間、賬號(hào)的內(nèi)網(wǎng)權(quán)限，對(duì)用戶進(jìn)行分組 并設(shè)置組成員的公共屬性等用戶策略。 控制臺(tái)功能說明 新增用戶選項(xiàng) 認(rèn)證方式用于設(shè)置用戶認(rèn)證類型，可選本地認(rèn)證（即硬件設(shè)備認(rèn)證 ）、LDAP認(rèn)證、Radius認(rèn)證。 啟用硬件捆綁鑒權(quán)用于設(shè)置基于硬件特性的證書認(rèn)證，啟用后請(qǐng)選 擇對(duì)應(yīng)此用戶的證書文件（*.id）。 啟用DKEY用于設(shè)置是否對(duì)移動(dòng)用戶啟用DKey認(rèn)證，啟用后請(qǐng)先將DKey 插入計(jì)算機(jī)的USB接口再點(diǎn)擊生成DKEY。 啟用虛擬IP用于給移動(dòng)用戶分配虛擬

26、IP。 接入總部后禁止該用戶上網(wǎng) 勾選該選項(xiàng)，則可以讓移動(dòng)用戶在連通 VPN后，只能訪問服務(wù)端VPN內(nèi)網(wǎng)，而不能訪問互聯(lián)網(wǎng)。 啟用多用戶登錄用于設(shè)置是否允許多用戶同時(shí)共用該賬號(hào)登錄VPN。 禁止在線修改密碼用于設(shè)置移動(dòng)用戶是否能夠在連上VPN后自行修改 移動(dòng)端登錄密碼，不勾選表示允許用戶自行修改密碼。 權(quán)限設(shè)置用于設(shè)置用戶接入VPN后的訪問權(quán)限，即設(shè)置用戶只能訪 問某些服務(wù)，默認(rèn)不做限制。 控制臺(tái)功能說明 2.9.3連接管理 為了實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的互聯(lián)（組成“網(wǎng)狀”網(wǎng)絡(luò)），設(shè)備提供了對(duì)網(wǎng) 絡(luò)節(jié)點(diǎn)互聯(lián)的自主管理和設(shè)置功能?？稍谶B接管理中進(jìn)行相關(guān)的設(shè) 置。 連接管理只有此設(shè)備當(dāng)分支使用需要連接其他

27、總部設(shè)備時(shí)才需要啟用， 否則本端是總部設(shè)備情況下不需要啟用連接管理。 控制臺(tái)功能說明 2.9.4虛擬IP池 虛擬IP池是指由SANGFOR硬件設(shè)備指定設(shè)備內(nèi)網(wǎng)中空閑的一段IP作 為移動(dòng)用戶接入時(shí)的虛擬IP。當(dāng)移動(dòng)用戶接入后，分配一個(gè)虛擬IP給移 動(dòng)用戶，移動(dòng)用戶對(duì)總部的任何操作都是以分配的IP作為源IP、就完全 和在總部局域網(wǎng)內(nèi)一樣。例如使用虛擬IP的移動(dòng)用戶入后，可以訪問總 部局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)，即使該計(jì)算機(jī)沒有把網(wǎng)關(guān)指向總部 SANGFOR網(wǎng)關(guān)?？梢詾榻尤氲囊苿?dòng)用戶指定DNS等網(wǎng)絡(luò)屬性。 控制臺(tái)功能說明 2.9.5多線路設(shè)置 在使用多條WAN口線路時(shí)，必須設(shè)置多線路設(shè)置，這里可以對(duì)線

28、路 的信息進(jìn)行增刪和修改，以及修改多線路的選擇策略。 控制臺(tái)功能說明 2.9.6多線路選路策略 SANGFOR VPN網(wǎng)關(guān)提供了功能強(qiáng)大的VPN多線路選路策略，可基于多條線 路的連接狀況，動(dòng)態(tài)的在多條線路中選擇最優(yōu)線路進(jìn)行傳輸，并且可以 設(shè)置多條線路同時(shí)進(jìn)行傳 輸，既能保證數(shù)據(jù)始終在 連接狀態(tài)較好的線路上傳 輸，保證數(shù)據(jù)的傳輸質(zhì)量， 又能保證數(shù)據(jù)在多條鏈路 同時(shí)傳輸，提高了線路的 利用率。 控制臺(tái)功能說明 2.9.7本地子網(wǎng)列表 本地子網(wǎng)列表用于硬件設(shè)備的內(nèi)網(wǎng)有多個(gè)子網(wǎng)的情況下，VPN接入 用戶需要與總部?jī)?nèi)網(wǎng)的其它子網(wǎng)互訪。 控制臺(tái)功能說明 2.9.8隧道間路由 SANGFOR設(shè)備提供了強(qiáng)大的

29、VPN隧道間路由功能，通過設(shè)置隧道間路由， 可輕松實(shí)現(xiàn)多個(gè)VPN（軟/硬件）之間的互聯(lián)，真正實(shí)現(xiàn)“網(wǎng)狀”VPN網(wǎng) 絡(luò)。 控制臺(tái)功能說明 2.9.9第三方對(duì)接 SANGFOR設(shè)備提供了與第三方VPN設(shè)備互聯(lián)的功能，能與第三方的VPN設(shè) 備建立標(biāo)準(zhǔn)IPSec VPN連接。 控制臺(tái)功能說明 2.9.10通用設(shè)置 通用設(shè)置包含時(shí)間計(jì)劃設(shè)置和算法列表設(shè)置兩個(gè)子模塊。 時(shí)間計(jì)劃設(shè)置用于定義常用的時(shí)間段組合，這些時(shí)間組合可在用 戶管理、內(nèi)網(wǎng)權(quán)限中使用，該時(shí)間以設(shè)備上當(dāng)前時(shí)間為準(zhǔn)。 算法列表設(shè)置提供了對(duì)設(shè)備支持的數(shù)據(jù)加密算法進(jìn)行查看和添加 的功能，加密算法會(huì)在 硬件設(shè)備所構(gòu)建的VPN網(wǎng) 絡(luò)中對(duì)傳輸?shù)乃袛?shù)據(jù)

30、進(jìn)行加密，以保障數(shù)據(jù) 的安全性。 控制臺(tái)功能說明 2.9.11高級(jí)設(shè)置 高級(jí)設(shè)置包括內(nèi)網(wǎng)服務(wù)設(shè)置、VPN接口設(shè)置、 組播服務(wù) 、LDAP服務(wù)器設(shè)置和Radius服務(wù)器設(shè)置。 控制臺(tái)功能說明 2.10系統(tǒng)配置 序列號(hào) 管理員賬號(hào) 系統(tǒng)時(shí)間 自動(dòng)升級(jí) 告警選項(xiàng) 全局排除地址 配置備份與恢復(fù) 終端提示頁(yè)面定制 數(shù)據(jù)中心配置 高級(jí)配置 控制臺(tái)功能說明 2.10.1序列號(hào) 序列號(hào)設(shè)置包括：設(shè)備序列號(hào)、多功能項(xiàng)序列號(hào)、跨運(yùn)營(yíng)商序列號(hào) 、網(wǎng)關(guān)殺毒授權(quán)序列號(hào)、應(yīng)用識(shí)別&URL庫(kù)升級(jí)序列號(hào)、軟件升級(jí)序列號(hào) 和安全桌面。 點(diǎn)擊修改序列號(hào)，填入序列號(hào)，即可激活相應(yīng)功能的授權(quán)。 控制臺(tái)功能說明 2.10.2管理員賬號(hào)

31、 管理員賬戶用來設(shè)置能夠通過控制臺(tái)管設(shè)備的登錄用戶。 控制臺(tái)功能說明 2.10.3系統(tǒng)時(shí)間 系統(tǒng)時(shí)間用于設(shè)定SANGFOR 設(shè)備的系統(tǒng)時(shí)間。可以直接在界面上修 改時(shí)間，也可以選擇與時(shí)間服務(wù)器進(jìn)行時(shí)間的同步。 控制臺(tái)功能說明 2.10.4自動(dòng)升級(jí) 自動(dòng)升級(jí)用于對(duì)設(shè)備的網(wǎng)關(guān)補(bǔ)丁和內(nèi)置庫(kù)（病毒庫(kù)、URL庫(kù)、智能 識(shí)別URL庫(kù)、應(yīng)用識(shí)別庫(kù)、準(zhǔn)入規(guī)則庫(kù)、惡意網(wǎng)址庫(kù)、審計(jì)規(guī)則庫(kù)）進(jìn) 行升級(jí)管理。 控制臺(tái)功能說明 2.10.5告警選項(xiàng) 告警選項(xiàng)用于設(shè)置當(dāng)設(shè)備檢測(cè)到有攻擊、發(fā)現(xiàn)病毒、有泄密文件、 有需要延遲審計(jì)的郵件、發(fā)現(xiàn)危險(xiǎn)行為、磁盤剩余空間不足或設(shè)備流量 超過閥值時(shí)以郵件的方式通知管理員進(jìn)行告警。 控制臺(tái)

32、功能說明 2.10.6全局排除地址 全局排除地址：當(dāng)內(nèi)網(wǎng)用戶IP或訪問的目標(biāo)服務(wù)器的IP屬于全局 排除地址列表中的IP時(shí)，內(nèi)網(wǎng)用戶上網(wǎng)或訪問目標(biāo)服務(wù)器，不受任何 監(jiān)控和控制，直接放行。排除地址支持填寫域名。 控制臺(tái)功能說明 2.10.7配置備份與恢復(fù) 配置備份與恢復(fù)用于將設(shè)備已有的配置下載保存，或者是將已備份 的配置文件恢復(fù)到設(shè)備中。 控制臺(tái)功能說明 2.10.8終端提示頁(yè)面定制 終端提示頁(yè)面定制用于對(duì)設(shè)備重定向到終端的頁(yè)面進(jìn)行自定義，可 以定義的頁(yè)面包括：認(rèn)證結(jié)果頁(yè)面、禁止訪問頁(yè)面、發(fā)現(xiàn)病毒頁(yè)面、上 網(wǎng)超時(shí)頁(yè)面、網(wǎng)絡(luò)準(zhǔn)入客戶端頁(yè)面、修改密碼頁(yè)面、公告頁(yè)面、Web認(rèn) 證頁(yè)面、上網(wǎng)時(shí)長(zhǎng)提醒頁(yè)面、

33、上網(wǎng)流量提醒頁(yè)面、日流量配額頁(yè)面、月 流量配額頁(yè)面、 用戶凍結(jié)提示頁(yè) 面、強(qiáng)制單點(diǎn)登 陸提示頁(yè)面、防 共享上網(wǎng)提示頁(yè) 面和無(wú)線熱點(diǎn)拒 絕提示頁(yè)面。 控制臺(tái)功能說明 2.10.9數(shù)據(jù)中心配置 數(shù)據(jù)中心配置用于設(shè)置同步日志的外置數(shù)據(jù)中心服務(wù)器IP、同步賬 號(hào)、同步密碼、外置數(shù)據(jù)中心WEB服務(wù)端口信息，以及設(shè)置是否需要系 統(tǒng)自動(dòng)刪除已記錄的訪問控制日志， 控制臺(tái)功能說明 2.10.10高級(jí)配置 高級(jí)配置用于設(shè)置設(shè)備的一些其它系統(tǒng)配置，包括 WebUI選項(xiàng) 日志記錄 URL過濾 代理服務(wù)器設(shè)置 遠(yuǎn)程維護(hù) 外部Syslog設(shè)置 準(zhǔn)入故障排除 郵件延遲審計(jì)選項(xiàng) 上網(wǎng)時(shí)長(zhǎng)排除應(yīng)用列表 加入集中管理設(shè)置 設(shè)備

34、名稱設(shè)置 證書生成 控制臺(tái)功能說明 2.10.10高級(jí)配置 WebUI選項(xiàng)下可以設(shè)定默認(rèn)編碼、全局流速單位、HTTPS登錄 端口、控制超時(shí)、控制臺(tái)SSL證書頒發(fā)給、點(diǎn)擊下載證書 控制臺(tái)功能說明 2.10.10高級(jí)配置 日志記錄用于設(shè)置設(shè)備審計(jì)訪問網(wǎng)站日志和準(zhǔn)入IM傳文件內(nèi)容記錄 的詳細(xì)程度。它包括日志記錄、URL審計(jì)過濾規(guī)則和準(zhǔn)入IM傳文件 內(nèi)容記錄。 控制臺(tái)功能說明 2.10.10高級(jí)配置 URL過濾用于設(shè)置設(shè)備在進(jìn)行URL過濾權(quán)限控制策略的匹配時(shí)，是否 禁止直接以IP地址訪問網(wǎng)站或者是否自動(dòng)放行網(wǎng)頁(yè)中包含的外部域名資 源。 控制臺(tái)功能說明 2.10.10高級(jí)配置 對(duì)于通過設(shè)置代理的方式上網(wǎng)

35、的情況，因?yàn)橛脩羲袛?shù)據(jù)是發(fā)往代理服 務(wù)器的，而防火墻等模塊是通過檢測(cè)目的地址和端口來判斷是否要拒絕 該連接，所以很多功能會(huì)失效。因此要使防火墻等模塊有效，必須能正 確識(shí)別出發(fā)往代理服務(wù)器的數(shù)據(jù)其真實(shí)要連接的目的地址和端口，供防 火墻等模塊使用該地址和端口。 控制臺(tái)功能說明 2.10.10高級(jí)配置 遠(yuǎn)程維護(hù)用于設(shè)置是否允許從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，以及自動(dòng)上報(bào) 未識(shí)別URL、系統(tǒng)錯(cuò)誤和未知應(yīng)用信息。 控制臺(tái)功能說明 2.10.10高級(jí)配置 外部Syslog設(shè)置用于將設(shè)備上的調(diào)試日志、信息日志、告警日志和 錯(cuò)誤日志同步到syslog服務(wù)器上。 控制臺(tái)功能說明 2.10.10高級(jí)配置 準(zhǔn)入故障排除用于

36、設(shè)置對(duì)于不支持運(yùn)行準(zhǔn)入插件和安全桌面插件的 計(jì)算機(jī)和移動(dòng)終端，是否允許其上網(wǎng)。 控制臺(tái)功能說明 2.10.10高級(jí)配置 郵件延遲審計(jì)選項(xiàng)用于郵件審計(jì)策略的定義，包括審計(jì)超時(shí)動(dòng)作和 發(fā)送嘗試限制。 控制臺(tái)功能說明 2.10.10高級(jí)配置 上網(wǎng)時(shí)長(zhǎng)排除應(yīng)用列表用于設(shè)置在進(jìn)行上網(wǎng)時(shí)長(zhǎng)統(tǒng)計(jì)和上網(wǎng)時(shí)長(zhǎng)控 制時(shí)，排除某些應(yīng)用不進(jìn)行上網(wǎng)時(shí)長(zhǎng)統(tǒng)計(jì)和上網(wǎng)時(shí)長(zhǎng)控制。上網(wǎng)時(shí)長(zhǎng) 排除應(yīng)用列表由內(nèi)置列表 和自定義列表兩部分組成。 控制臺(tái)功能說明 2.10.10高級(jí)配置 加入集中管理用于設(shè)置AC設(shè)備是否加入集中管理進(jìn)行受控，加入集 中管理后中心端管理員可以對(duì)該設(shè)備下發(fā)策略，并且受控端的權(quán)限也可 以由中心端下發(fā)。例如可以不

37、允許受控端修改流量管理界面。 控制臺(tái)功能說明 2.10.10高級(jí)配置 設(shè)備名稱設(shè)置用于設(shè)置設(shè)備的名稱，主要作用是當(dāng)有多臺(tái)設(shè)備加入 中心端時(shí)，可以通過設(shè)備名稱區(qū)分受控端設(shè)備，或者是當(dāng)有多臺(tái)設(shè)備使 用同一賬號(hào)同步數(shù)據(jù)到外置數(shù)據(jù)中心時(shí)，用于區(qū)分同步數(shù)據(jù)的設(shè)備。 控制臺(tái)功能說明 2.10.10高級(jí)配置 證書生成是加入集中管理中心端的時(shí)候使用。硬件證書用于唯一識(shí) 別本機(jī)器，加入中心端時(shí)為了防止其它機(jī)器與本機(jī)共用一個(gè)帳戶，可以 在這里生成硬件證書，并導(dǎo)入到集中管理中心端設(shè)備的帳戶中。 控制臺(tái)功能說明 2.11系統(tǒng)診斷 系統(tǒng)日志用于查看設(shè)備各模塊運(yùn)行狀態(tài)日志，可通過日志判斷設(shè)備 各模塊是否正常。 抓包工具用

38、于對(duì)經(jīng)過設(shè)備的數(shù)據(jù)包進(jìn)行抓取，以便快速定位問題， 可以作為排錯(cuò)的輔助工具。 命令控制臺(tái)提供一個(gè)簡(jiǎn)單的控制臺(tái)命令行，可用于對(duì)設(shè)備的一些簡(jiǎn) 單信息進(jìn)行查看，支持的命令包括：arp（查看arp表）、mii-tool（列 出網(wǎng)口的連接情況）、ifconfig（查看網(wǎng)口信息）、ping（測(cè)試主機(jī)地 址連通）、telnet（測(cè)試端口連通性）、ethtool（查看網(wǎng)卡信息）、 route（顯示路由表）和traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑），在命令 行頁(yè)面直接輸入命令回車即可。 上網(wǎng)故障排除用于查詢一個(gè)數(shù)據(jù)包在通過設(shè)備時(shí)是被哪個(gè)模塊拒絕 ，是什么原因被拒絕，以便快速定位配置錯(cuò)誤，也可用來測(cè)試一些規(guī)則 是

39、否生效，點(diǎn)擊設(shè)置并開啟，出現(xiàn)【設(shè)置開啟條件】界面，可設(shè)置各種 過濾條件，包括攔截日志過濾條件和同時(shí)開啟數(shù)據(jù)直通。 重啟操作頁(yè)面提供重啟網(wǎng)關(guān)和重啟服務(wù)兩個(gè)功能按鈕。 案例分析 3.1背景和要求 背景：某客戶網(wǎng)絡(luò)結(jié)構(gòu)如下圖，公網(wǎng)出口線路帶寬10M，內(nèi)網(wǎng)上網(wǎng)用戶 在500人左右。由于帶寬本身不足，加上上班時(shí)間經(jīng)常有人下載，看電 影等導(dǎo)致全網(wǎng)打開網(wǎng)頁(yè)也十分慢，員工上班效率很低。 要求： 1）盡量不改動(dòng)原有的網(wǎng)絡(luò)環(huán)境。 2）要求實(shí)現(xiàn)IP/MAC地址的一一綁定。 3）員工上班時(shí)間不允許P2P下載和觀看在線 流媒體，全天不允許訪問非法及不良網(wǎng)站， 對(duì)員工發(fā)郵件，論壇發(fā)帖，發(fā)微博及QQ聊天 內(nèi)容做審計(jì)。 4）

40、領(lǐng)導(dǎo)組不做控制和審計(jì)，開啟惡意網(wǎng)頁(yè)過 濾來保證上網(wǎng)的安全。 5）對(duì)HTTP應(yīng)用做帶寬保證，至少分配60%的 帶寬；上班時(shí)間對(duì)P2P，下載工具，在線流媒 體應(yīng)用帶寬限制在20%以內(nèi)。 案例分析 3.2思路分析 1）根據(jù)客戶的需求，將AC設(shè)備網(wǎng)橋模式部署在核心交換和防火墻之間。網(wǎng)橋 模式配置：網(wǎng)橋模式，網(wǎng)橋IP，系統(tǒng)路由。 2）用戶組設(shè)置：根據(jù)客戶的管理要求，將用戶分為普通員工組和領(lǐng)導(dǎo)組。 3）認(rèn)證策略配置：新建兩條認(rèn)證策略，領(lǐng)導(dǎo)組綁定IP/MAC，自動(dòng)加入到領(lǐng)導(dǎo) 組；普通員工綁定IP/MAC，自動(dòng)加入到普通員工組。 4）普通員工組上網(wǎng)策略設(shè)置：新建上網(wǎng)權(quán)限策略，通過應(yīng)用控制上班時(shí)間封 堵P2P和

41、在線流媒體；通過WEB過濾封堵非法及不良網(wǎng)站。新建上網(wǎng)審計(jì)策略， 通過應(yīng)用審計(jì)，審計(jì)所有HTTP外發(fā)內(nèi)容和郵件內(nèi)容。新建準(zhǔn)入策略，添加IM聊 天內(nèi)容審計(jì)。 5）領(lǐng)導(dǎo)組上網(wǎng)策略設(shè)置：新建上網(wǎng)安全策略，開啟惡意網(wǎng)頁(yè)過濾。 6）流量管理策略設(shè)置：新建保證通道，對(duì)HTTP應(yīng)用分配60%-100%的通道帶寬 ；新建限制通道，對(duì)P2P，下載工具和在線流媒體應(yīng)用上班時(shí)間分配最高20%的 帶寬。 案例分析 3.3解決步驟 第一步，通過交叉線連接電腦與設(shè)備的ETH0（LAN）口，電腦配置 10.251.251.X/24地址，使用51 登錄AC設(shè)備控制臺(tái)。 第二步，網(wǎng)橋模式設(shè)置，分配防火墻與三層交換機(jī)直連網(wǎng)段的地址 /29 給AC設(shè)備的網(wǎng)橋IP。通過網(wǎng)絡(luò)配置部署模式進(jìn)入配 置界面，點(diǎn)擊開始配置，選擇網(wǎng)橋模式點(diǎn)擊下一步 案例分析 3.3解決步驟 此處選擇多網(wǎng)橋或者網(wǎng)橋多網(wǎng)口均可。點(diǎn)擊下一步 案例分析 3.3解決步驟 選擇網(wǎng)橋的網(wǎng)口。此處采用ETH0和ETH2作為一對(duì)網(wǎng)橋口，ETH0作為L(zhǎng)AN區(qū)網(wǎng)口 ，ETH2作為WAN區(qū)網(wǎng)口。點(diǎn)擊下一步 案例分析 3.3解決步驟 設(shè)置AC設(shè)備的網(wǎng)橋IP，網(wǎng)關(guān)和DNS地址，點(diǎn)擊下一步 案例分析 3.3解決步驟 點(diǎn)擊下一步，設(shè)置DMZ管理口的IP地址，可保持默認(rèn)配置 案例分析 3.3解決步驟 點(diǎn)擊下一步