深信服上網(wǎng)行為管理配置ppt

1、深信服上網(wǎng)行為管理配置深信服上網(wǎng)行為管理配置 （AC v4.5)AC v4.5) 硬件安裝 控制臺功能說明 案例分析 硬件安裝 1.1產(chǎn)品外觀 設(shè)備出廠的默認IP見下表： 硬件安裝 1.2單設(shè)備接線方式 l 用標準的RJ-45以太網(wǎng)線將ETH0（LAN）口與內(nèi)部局域網(wǎng) 電腦連接，對AC設(shè)備進行配置。 l 用標準的RJ-45以太網(wǎng)線將ETH2（WAN1）口與Internet接 入設(shè)備相連接，如路由器、光纖收發(fā)器或ADSL Modem等 。 l 多線路的AC設(shè)備可以支持多條Internet線路，此時將 WAN2口與第二條Internet接入設(shè)備相連，WAN3口與第三 條Internet線路相連，依

2、此類推。 硬件安裝 1.3雙機備份接線方式 若采用 若采用 AC 雙機熱備的工作方式，按以下接線 控制臺功能說明 2.1WebUI 配置界面 AC 支持安全的HTTPS 登錄，使用的是HTTPS 協(xié)議的標準端口登錄。如果初始 登錄從LAN 口登錄，那么登錄的URL 為：51 l 首先為本機器配置一個10.251.251.X網(wǎng)段的IP（如配置 00），然后在IE瀏覽器中輸入網(wǎng)關(guān)的默認 登陸IP及端口51。出現(xiàn)一個證書 告警框提示，點擊是后出現(xiàn)登錄界面。 l 在登陸框輸入用戶名和密碼，點擊登錄按鈕即

3、 可登錄AC設(shè)備進行配置，默認情況下的用戶名和密碼均 為Admin。 l 登錄控制臺不需要安裝任何控件，支持用非IE的瀏覽器 登錄控制臺。 控制臺功能說明 2.1WebUI 配置界面 登錄界面如下圖所示： 控制臺功能說明 2.1WebUI 配置界面 如何消除登錄控制臺的證書告警框？ 首先，登錄控制臺，進入系統(tǒng)配置高級配置WebUI選項 頁面，點擊下載證書，將證書下載到本地安裝。 控制臺功能說明 主界面 控制臺功能說明 2.2實時狀態(tài) 【實時狀態(tài)實時狀態(tài)】主要用于查看設(shè)備的基本狀態(tài)信息，包括： 運行狀態(tài) 安全狀態(tài) 流量狀態(tài) 上網(wǎng)行為監(jiān)控 在線用戶管理 郵件延遲審計 DHCP運行狀態(tài) 控制臺功能說

4、明 2.2.1運行狀態(tài) 運行狀態(tài)主要用于查看設(shè)備的資源信息，接口吞吐率折線圖，應用 流量排名，用戶流量排名，應用流速趨勢疊加圖，接口信息，安全狀態(tài) 和上網(wǎng)行為監(jiān)控信息。 控制臺功能說明 2.2.1運行狀態(tài) 【資源信息】主要用于顯示設(shè)備資源的概況，包括CPU使用率，內(nèi)存使 用率，磁盤使用率，設(shè)備會話數(shù)，在線用戶數(shù)，無線熱點數(shù)，系統(tǒng)時間 和當天日志匯總等信息。 點擊 可以設(shè)置是否啟用自動刷新以及自動刷新的時間。 控制臺功能說明 【接口信息】主要用于顯示設(shè)備各個網(wǎng)口的狀態(tài)，是否接線以及各個網(wǎng) 口發(fā)送和接收實時流量。 代表網(wǎng)口狀態(tài)是已連接狀態(tài)， 代表網(wǎng)口狀態(tài)是未連接狀態(tài)，點 擊 可以設(shè)置自動刷新的時間

5、。 2.2.1運行狀態(tài) 控制臺功能說明 【接口吞吐率折線圖】通過折線圖的形式來動態(tài)顯示外網(wǎng)接口實時發(fā)送 和接收數(shù)據(jù)的情況。 點擊 可以設(shè)置選擇時間段來顯示相應時間段接口轉(zhuǎn)發(fā)數(shù)據(jù)的情況 ，在選擇流量單位 2.2.1運行狀態(tài) 控制臺功能說明 【應用流速趨勢疊加圖】主要用于動態(tài)顯示各個應用流速趨勢疊加，不 同的應用用不同的顏色顯示。 點擊 可以在選擇流量單位設(shè)置顯示的流速單位，在選擇線路選 擇顯示所有線路，線路1或者線路2等，在流速類型設(shè)置顯示的是總流 速，上行或者下行。 2.2.1運行狀態(tài) 控制臺功能說明 【應用流量排名】用于顯示前十名的應用排名情況，可以根據(jù)上下行流 量和總流量來排名，界面如下：

6、選中上行則顯示上行流量的百分比，選 中下行則顯示下行流量的百分比。 點擊 可以設(shè)置自動刷新的時間。 2.2.1運行狀態(tài) 控制臺功能說明 【用戶流量排名】用于顯示前十名的用戶流量排名情況，可以根據(jù)上下 行流量和總流量來排名，界面如下：選中上行則顯示上行流量的百分比 ，選中下行則顯示下行流量的百分比。 點擊 可以設(shè)置自動刷新的時間。 2.2.1運行狀態(tài) 控制臺功能說明 【上網(wǎng)行為監(jiān)控】主要用于顯示實時的用戶上網(wǎng)行為。 點擊 可以設(shè)置自動刷新的時間。 2.2.1運行狀態(tài) 控制臺功能說明 【安全狀態(tài)】主要用于顯示設(shè)備檢測到不的行為 點擊 可以設(shè)置自動刷新的時間。 2.2.1運行狀態(tài) 控制臺功能說明 安

7、全狀態(tài)主要用于顯示設(shè)備檢測到不安全的行為 分別有病毒行為、DOS和ARP攻擊、端口掃描、異常外發(fā)郵件(頻繁外發(fā) )、標準端口異常流量、協(xié)議異常、惡意腳本、攔截插件、惡意網(wǎng) 址、不受信任的ssl網(wǎng)站訪問、組織外線路，會列出發(fā)生總數(shù)量，還有最 后發(fā)生的時間，和最后發(fā)生的用戶/IP，以及最近發(fā)生的10條不安全日志及詳 細事件信息。點擊發(fā)生次數(shù)中的數(shù)值可以自動鏈接到數(shù)據(jù)中心，查看到對應的 詳細日志。 2.2.2安全狀態(tài) 控制臺功能說明 流量狀態(tài)主要用于顯示設(shè)備的在線用戶的流量信息、各個應用的流 量信息、流量管理的通道狀態(tài)信息和連接監(jiān)控等信息。 上網(wǎng)行為監(jiān)控主要用于查看最近產(chǎn)生的用戶上網(wǎng)行為。 2.2.

8、3流量狀態(tài)、上網(wǎng)行為監(jiān)控 控制臺功能說明 在線用戶管理主要用于管理已經(jīng)通過設(shè)備認證的在線用戶。 郵件延遲審計主要用于查看被延遲審計的郵件以及對其進行相關(guān)操 作，前提是用戶與策略管理里有用戶啟用了郵件延遲審計的功能。 界面如下： DHCP運行狀態(tài)主要用于查看DHCP的分配情況，前提DHCP已經(jīng)進 行了相關(guān)啟用的配置，界面如下： 2.2.4在線用戶管理、郵件延遲審計、DHCP運行 狀態(tài) 控制臺功能說明 對象定義中定義的各種對象是設(shè)備做上網(wǎng)行為過濾、上網(wǎng)行為審計 和流量管理的基礎(chǔ)，各種控制和審計都是基于對象來做的。 對象定義中包括： 應用特征識別庫、應用智能識別庫、自定義應用、URL 分類庫、準入規(guī)

9、則庫、網(wǎng)絡(luò)服務、IP組、時間計劃組 、黑白名單組 、關(guān)鍵字組、文件類型組、上網(wǎng)權(quán)限 策略、信任的證書頒發(fā)機構(gòu) 2.3對象定義 控制臺功能說明 用戶與策略管理的作用是管理用戶和上網(wǎng)策略。 用戶與策略管理包括 【上網(wǎng)策略】 【用戶管理】 【用戶認證】 2.4用戶與策略管理 控制臺功能說明 上網(wǎng)策略頁面用于對進行管理，管理員可以根據(jù)內(nèi)戶的權(quán)限分配情 況設(shè)置不同的上網(wǎng)策略。 上網(wǎng)策略分六種類型，其中包括 上網(wǎng)權(quán)限策略 上網(wǎng)審計策略 上網(wǎng)安全策略 終端提醒策略 流量配額與時長控制 準入策略 2.4.1上網(wǎng)策略 控制臺功能說明 上網(wǎng)權(quán)限策略包括應用控制、WEB過濾、SSL管理和郵件過濾。 上

10、網(wǎng)權(quán)限策略 控制臺功能說明 上網(wǎng)審計策略包括應用審計、外發(fā)文件告警、流量與上網(wǎng)時長審計 和網(wǎng)頁內(nèi)容審計。 上網(wǎng)審計策略 控制臺功能說明 上網(wǎng)安全策略包括危險行為識別、Active X插件過濾、惡意網(wǎng)頁過 濾和安全桌面。 上網(wǎng)權(quán)限策略 控制臺功能說明 終端提醒策略包括上網(wǎng)時長提醒、上網(wǎng)流量提醒和公告頁面。 終端提醒策略 控制臺功能說明 流量配額與時長控制包括流量配額、上網(wǎng)時長控制和并發(fā)連接數(shù)控 制。 流量配額與時長控制 控制臺功能說明 準入策略包括準入策略、組織外線路檢測和應用程序時長統(tǒng)計。 準入策略 返回 控制臺功能說明 上

11、網(wǎng)行為管理設(shè)備所管理的對象是終端的上網(wǎng)用戶，因此用戶是網(wǎng)絡(luò)權(quán) 限分配的基本單元。管理員可以通過【組/用戶】頁面來對上網(wǎng)用戶以 及上網(wǎng)權(quán)限進行統(tǒng)一管理。 用戶管理包括 【組/用戶】 【用戶導入】 【用戶自動同步】 2.4.2用戶管理 控制臺功能說明 組/用戶頁面可查看設(shè)備中已經(jīng)存在的用戶和組信息，在【組織結(jié) 構(gòu)】中選擇需要查看的用戶組，右邊的【組織成員及上網(wǎng)策略設(shè)置】頁 面顯示對應用戶組的信息，包括：所屬組、描述信息、組信息、上網(wǎng)策 略等信息。 組/用戶 控制臺功能說明 第一步：在【組織結(jié)構(gòu)】中選擇需要添加子組的用戶組，右邊進入管理頁面，在【成員 管理】窗口中，點擊新增按鈕，然后選

12、擇新增類型組 第二步：進入【添加組】窗口。設(shè)置 組名列表即用戶組的名稱；設(shè)置 描述即用戶組的描述信息。點擊 添加策略，可以添加該組策略。 第三步：點擊提交，完成子組添加 .1新建用戶組 控制臺功能說明 第一步：在【組織結(jié)構(gòu)】中選擇需要添加上網(wǎng)策略的用戶組，右邊進入管理頁面，在【 策略列表】窗口中，點擊添加策略按鈕，然后彈出的【添加策略】頁面，選擇策略。 第二步：點擊添加策略，在【添加策略】 中選擇需要關(guān)聯(lián)的上網(wǎng)策略工程師上網(wǎng)策 略，勾選遞歸應用于子組表示添加的策 略同時也會關(guān)聯(lián)給子組，不勾選則表示子 組不會添加該策略。設(shè)置完成后點擊確定。 第三步：返回【策略列表】頁面，查看用 戶

13、組關(guān)聯(lián)的。 .2設(shè)置用戶組的上網(wǎng)策略 控制臺功能說明 舉例：在“/工程師”組設(shè)置一個用戶：主管，此用戶不需要認證，并 且將此用戶和主管電腦的IP/MAC進行雙向綁定，即只有主管的電腦才可 以使用此賬號上網(wǎng)。主管電腦的IP/MAC是：17(00-1C-25- AC-4C-44)。 步聚： 第一步：在用戶認證認證策略中 設(shè)置認證策略，設(shè)置此用戶的IP或者MAC范 圍，勾選認證方式為不需要認證/單點登錄。 .3新增用戶 控制臺功能說明 第二步：在【組織結(jié)構(gòu)】中選擇需要添加用戶的用戶組，右邊進入管理頁面，在【成員 管理】窗口中，點擊新增按鈕，然后選擇新

14、增類型用戶 第三步：進入【添加用戶】窗口。勾選啟用該用戶，填寫登錄名，描述，顯示名 和當前所屬組。 .3新增用戶 控制臺功能說明 第四步：設(shè)置用戶屬性，勾選綁定IP/MAC地址用于將該用戶和IP/MAC地址綁定。 點擊綁定方式，在彈出的頁面中選擇用戶和地址雙向綁定 勾選綁定IP和MAC，在輸入框中填入17(00-1C-25-AC-4C-44)。 過期時間用于設(shè)置該用戶的過期時間。 .3新增用戶 控制臺功能說明 第五步：添加該用戶的上網(wǎng)策略，點擊進入【策略列表】頁面，點擊【添加策略】，在 彈出的【添加策略】頁面選擇需要關(guān)聯(lián)的策略。 第六步：完成用

15、戶屬性與策略的編輯后，點擊提交，完成用戶的添加。 第七步：通過設(shè)備上網(wǎng)時，驗證IP和MAC是否正確，如果正確則認證通過，客戶端不會彈 出認證頁面。如果IP/MAC地址和綁定的IP/MAC不符，則認證不通過，此時沒有提示頁面 ，但客戶端的現(xiàn)象是上不了網(wǎng)。 .3新增用戶 控制臺功能說明 用戶導入用于把用戶批量導入，它提供三種方式： CSV格式文件導入：是通過一個CSV的文件導入用戶，導入時可以同 時導入顯示名、認證方式、綁定IP/MAC信息、密碼等。 掃描IP導入：當導入 IP/MAC綁定的用戶時，可 以通過掃描IP導入掃描 內(nèi)網(wǎng)用戶的MAC地址，方便 此類用戶的導入。 從外部LAD

16、P服務器上導入 用戶：用于將LDAP服務器 中的用戶同步到設(shè)備中，支 持從MS Active Diretory服 務器上導入用戶。 用戶導入 控制臺功能說明 用戶自動同步可使用三種不同的同步方法：LDAP同步、 數(shù)據(jù)庫同步、 H3C CAMS同步 要使用同步必須在用戶認證外部認證服務器增加所需要的同 步服務器。 用戶自動同步 返回 控制臺功能說明 用戶認證用戶認證用于設(shè)置用戶認證的相關(guān)設(shè)置，包括認證策略、認 證選項、外部認證服務器。所有計算機上網(wǎng)前，都必須經(jīng)過用戶 認證，以識別上網(wǎng)計算機的身份 認證策略決定了某個IP/網(wǎng)段/MAC地址上計算機的認證方式。通過 認證策

17、略設(shè)置內(nèi)網(wǎng)用戶的認證方式，以及新用戶添加的策略。 有以下選項：1、不需要認證；2、密碼認證（包括本地密碼認證和外部 服務器認證）；3、單點登錄；4、DKEY 認證選項設(shè)置主要是用來設(shè)置設(shè)備上用戶認證的相關(guān)配置信息，包 括單點登錄選項、認證通過跳轉(zhuǎn)、認證沖突、跨三層 MAC識別其他認證選項。 外部認證服務器用來設(shè)置第三方認證服務器的信息，設(shè)備支持定義 LDAP，RADIUS，POP3、數(shù)據(jù)庫、H3C CAMS五種第三方認證服務器。 2.4.3用戶認證 控制臺功能說明 2.5流量管理 流量管理是通過建立流量管理通道對各種上網(wǎng)應用的流量 大小進行控制。 流量管理系統(tǒng)提供了帶寬保證和帶寬限制功能，通過

18、帶寬 保證可以保證重要應用的訪問帶寬，通過帶寬限制可以做 到限制用戶組/用戶上下行總帶寬、各種應用的帶寬等。 流量管理系統(tǒng)同時提供流量子通道的功能，可以根據(jù)需求 建立流量子通道，對通道流量做更為細化的分配。 【通道配置】 【線路帶寬配置】 【虛擬線路配置】 控制臺功能說明 2.5.1通道配置 控制臺功能說明 2.5.1通道配置 【帶寬通道設(shè)置】：用于設(shè)置生效線路、通道類型、限制 或保證的帶寬、單個用戶帶寬等。 生效線路用于選擇通道適用的線路，也就是當數(shù)據(jù)走此條線路時才會 匹配到此通道。 帶寬通道類型用于選擇通道類型并定義帶寬值,有保證通道和限制通 道。 啟用限制單IP最大帶寬用于限制匹配到此通

19、道的單個IP占用的帶寬值 。 用戶間帶寬分配策略用于設(shè)置匹配到此通道的用戶，帶寬怎樣在用戶 間進行分配，默認選擇的是平均分配，還可選擇自由競爭 。 高級選項設(shè)置勾選此項表示把每一個外網(wǎng)IP作為通道內(nèi)的用戶，使 得通道的用戶間公平分配帶寬以及單用戶最高帶寬屬性對外網(wǎng)IP有效。 控制臺功能說明 2.5.1通道配置 【帶寬使用范圍】：用于設(shè)置哪些類型的數(shù)據(jù)會匹配到此 通道，即通道的使用范圍，此處設(shè)置的范圍包括：應用類 型、適用對象、生效時間和目標IP組，這些條件需要全部 滿足才能匹配到此通道。 適用應用用于設(shè)置應用類型，勾選所有應用表示針對所有類型的數(shù) 據(jù)有效，勾選自定義選擇特定的應用類型。 適用對

20、象用于設(shè)置此通道對哪些用戶、用戶組、IP生效，勾選所有 用戶表示對內(nèi)網(wǎng)所有用戶有效，勾選自定義用于指定特定的用戶和 用戶組。 生效時間用于設(shè)置此通道的生效時間。 目標IP組用于設(shè)置目標IP條件。 控制臺功能說明 2.5.2線路帶寬配置 線路帶寬配置用于配置公網(wǎng)線路的帶寬值，設(shè)備根據(jù)配置 的公網(wǎng)線路帶寬值進行帶寬分配。 控制臺功能說明 2.5.3虛擬線路配置 設(shè)備在網(wǎng)橋模式下，無論前置設(shè)備上是否接了多條線路， 或者設(shè)備做多網(wǎng)橋模式 接了多個出口，對于設(shè) 備來講經(jīng)過設(shè)備的數(shù)據(jù) 認為是一條線路的數(shù)據(jù) ，設(shè)備的流控默認情況 下是針對線路總和進行 控制的，如果需要在網(wǎng) 橋模式下對多條線路區(qū) 分控制，需要

21、借助虛擬 線路現(xiàn) 控制臺功能說明 2.6安全防護 【防DOS攻擊】攻擊功能既可以防止外網(wǎng)對內(nèi)的 攻擊功能既可以防止外 網(wǎng)對內(nèi)的攻擊，也可以阻止內(nèi)網(wǎng)的機器中毒或使用攻擊工具發(fā)起DOS攻 擊。 【防ARP欺騙】設(shè)備通過不接受有攻擊特征的設(shè)備通過不接受有攻擊特 征的 ARP請求或回復來保護設(shè)備本身的請求或回復來保護設(shè)備本身的 ARP緩存，實現(xiàn)自身的免疫。如果設(shè)備的訪問控制用戶有綁定IP/MAC， 則設(shè)備會以綁定的IP/MAC信息為準。安裝了準入客戶端后，準入客戶端 會和設(shè)備通訊，獲取設(shè)備和網(wǎng)關(guān)的正確IP/MAC關(guān)系并靜態(tài)綁定。 【網(wǎng)關(guān)殺毒】網(wǎng)關(guān)殺毒主要用于對經(jīng)過設(shè)備的數(shù)據(jù)進行病毒查殺，保護 內(nèi)網(wǎng)計算

22、機的安全。設(shè)備能針對HTPP，F(xiàn)TP，POP3和SMTP這四種常用 協(xié) 議進行查殺病毒。 【無線熱點發(fā)現(xiàn)】無線熱點發(fā)現(xiàn)功能 能夠幫助用戶實現(xiàn)無線智能終端 的管理，誤國無線終端的接入，防范無線智能終端設(shè)備接入引起無線安 全漏洞導致泄密。 控制臺功能說明 2.7防火墻 過濾規(guī)則通過過濾規(guī)則的設(shè)置對設(shè)備各個接口之間的數(shù)據(jù)轉(zhuǎn)發(fā)進行 過濾，過濾的條件包括目標協(xié)議和端口、源IP、目標IP、時間等。 NAT代理上網(wǎng)的主要作用是設(shè)置SNAT規(guī)則代理內(nèi)網(wǎng)用戶上網(wǎng)，也可 以設(shè)置SNAT規(guī)則進行其他的源地址轉(zhuǎn)換。 端口映射的主要作用是發(fā)布內(nèi)網(wǎng)服務器到公網(wǎng)，通過設(shè)置DNAT規(guī)則 進行目標地址轉(zhuǎn)換。 NAT代理上網(wǎng)、端

23、口映射僅適用于設(shè)備做路由模式部署的情況下。 控制臺功能說明 2.8網(wǎng)絡(luò)配置 部署模式用于設(shè)置設(shè)備的工作模式，可把設(shè)備設(shè)定為路由模式、網(wǎng) 橋模式或旁路模式。 網(wǎng)口配置路由模式下，可以在這個界面配置網(wǎng)口的信息。多網(wǎng)橋模 式下，可以在這個界面配置網(wǎng)橋信息。 靜態(tài)路由的作用是設(shè)置靜態(tài)路由策略，當設(shè)備本身需要和不同網(wǎng)段 的IP通信時，需要通過設(shè)置靜態(tài)路由實現(xiàn)。 策略路由主要用于設(shè)備做路由模式，并且外網(wǎng)口接多條外網(wǎng)線路時 ，根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進行線路選擇，以實現(xiàn)不 同的數(shù)據(jù)走不同的外網(wǎng)線路的需求，實現(xiàn)手動選路功能。 高可用性包括多機同步和雙機維護兩個功能。 DHCP是自動給內(nèi)網(wǎng)電腦

24、分配IP的服務，此服務只在設(shè)備做路由模式 時可用。點 網(wǎng)絡(luò)協(xié)議擴展通過協(xié)議剝離功能，分析出特殊協(xié)議數(shù)據(jù)包的特點， 并與內(nèi)置特殊協(xié)議規(guī)則匹配。 控制臺功能說明 2.9VPN配置 在DLAN運行狀態(tài)頁面可以查看當前的VPN連接和網(wǎng)絡(luò)流量信息。頁面如 下： 點擊查找用戶，輸入用戶名，可以快速找到當前用戶的連接情況，頁面 如下： 點擊停止服務可暫時停止VPN服務。 控制臺功能說明 2.9.1基本設(shè)置 基本設(shè)置用于設(shè)置VPN連接所需的Webagent信息、VPN數(shù)據(jù)的MTU值 、最小壓縮值、VPN監(jiān)聽端口、VPN連接模式、廣播包和性能設(shè)置 控制臺功能說明 2.9.2用戶管理 用戶管理用于管理VPN接入賬

25、號信息，設(shè)置允許接入VPN的用戶賬號 、密碼，是否啟用硬件捆綁鑒權(quán)或DKEY認證、是否啟用虛擬IP、設(shè)置賬 號使用的加密算法、賬號有效時間、賬號的內(nèi)網(wǎng)權(quán)限，對用戶進行分組 并設(shè)置組成員的公共屬性等用戶策略。 控制臺功能說明 新增用戶選項 認證方式用于設(shè)置用戶認證類型，可選本地認證（即硬件設(shè)備認證 ）、LDAP認證、Radius認證。 啟用硬件捆綁鑒權(quán)用于設(shè)置基于硬件特性的證書認證，啟用后請選 擇對應此用戶的證書文件（*.id）。 啟用DKEY用于設(shè)置是否對移動用戶啟用DKey認證，啟用后請先將DKey 插入計算機的USB接口再點擊生成DKEY。 啟用虛擬IP用于給移動用戶分配虛擬

26、IP。 接入總部后禁止該用戶上網(wǎng) 勾選該選項，則可以讓移動用戶在連通 VPN后，只能訪問服務端VPN內(nèi)網(wǎng)，而不能訪問互聯(lián)網(wǎng)。 啟用多用戶登錄用于設(shè)置是否允許多用戶同時共用該賬號登錄VPN。 禁止在線修改密碼用于設(shè)置移動用戶是否能夠在連上VPN后自行修改 移動端登錄密碼，不勾選表示允許用戶自行修改密碼。 權(quán)限設(shè)置用于設(shè)置用戶接入VPN后的訪問權(quán)限，即設(shè)置用戶只能訪 問某些服務，默認不做限制。 控制臺功能說明 2.9.3連接管理 為了實現(xiàn)多個網(wǎng)絡(luò)節(jié)點的互聯(lián)（組成“網(wǎng)狀”網(wǎng)絡(luò)），設(shè)備提供了對網(wǎng) 絡(luò)節(jié)點互聯(lián)的自主管理和設(shè)置功能?？稍谶B接管理中進行相關(guān)的設(shè) 置。 連接管理只有此設(shè)備當分支使用需要連接其他

27、總部設(shè)備時才需要啟用， 否則本端是總部設(shè)備情況下不需要啟用連接管理。 控制臺功能說明 2.9.4虛擬IP池 虛擬IP池是指由SANGFOR硬件設(shè)備指定設(shè)備內(nèi)網(wǎng)中空閑的一段IP作 為移動用戶接入時的虛擬IP。當移動用戶接入后，分配一個虛擬IP給移 動用戶，移動用戶對總部的任何操作都是以分配的IP作為源IP、就完全 和在總部局域網(wǎng)內(nèi)一樣。例如使用虛擬IP的移動用戶入后，可以訪問總 部局域網(wǎng)內(nèi)的任何一臺計算機，即使該計算機沒有把網(wǎng)關(guān)指向總部 SANGFOR網(wǎng)關(guān)。可以為接入的移動用戶指定DNS等網(wǎng)絡(luò)屬性。 控制臺功能說明 2.9.5多線路設(shè)置 在使用多條WAN口線路時，必須設(shè)置多線路設(shè)置，這里可以對線

28、路 的信息進行增刪和修改，以及修改多線路的選擇策略。 控制臺功能說明 2.9.6多線路選路策略 SANGFOR VPN網(wǎng)關(guān)提供了功能強大的VPN多線路選路策略，可基于多條線 路的連接狀況，動態(tài)的在多條線路中選擇最優(yōu)線路進行傳輸，并且可以 設(shè)置多條線路同時進行傳 輸，既能保證數(shù)據(jù)始終在 連接狀態(tài)較好的線路上傳 輸，保證數(shù)據(jù)的傳輸質(zhì)量， 又能保證數(shù)據(jù)在多條鏈路 同時傳輸，提高了線路的 利用率。 控制臺功能說明 2.9.7本地子網(wǎng)列表 本地子網(wǎng)列表用于硬件設(shè)備的內(nèi)網(wǎng)有多個子網(wǎng)的情況下，VPN接入 用戶需要與總部內(nèi)網(wǎng)的其它子網(wǎng)互訪。 控制臺功能說明 2.9.8隧道間路由 SANGFOR設(shè)備提供了強大的

29、VPN隧道間路由功能，通過設(shè)置隧道間路由， 可輕松實現(xiàn)多個VPN（軟/硬件）之間的互聯(lián)，真正實現(xiàn)“網(wǎng)狀”VPN網(wǎng) 絡(luò)。 控制臺功能說明 2.9.9第三方對接 SANGFOR設(shè)備提供了與第三方VPN設(shè)備互聯(lián)的功能，能與第三方的VPN設(shè) 備建立標準IPSec VPN連接。 控制臺功能說明 2.9.10通用設(shè)置 通用設(shè)置包含時間計劃設(shè)置和算法列表設(shè)置兩個子模塊。 時間計劃設(shè)置用于定義常用的時間段組合，這些時間組合可在用 戶管理、內(nèi)網(wǎng)權(quán)限中使用，該時間以設(shè)備上當前時間為準。 算法列表設(shè)置提供了對設(shè)備支持的數(shù)據(jù)加密算法進行查看和添加 的功能，加密算法會在 硬件設(shè)備所構(gòu)建的VPN網(wǎng) 絡(luò)中對傳輸?shù)乃袛?shù)據(jù)

30、進行加密，以保障數(shù)據(jù) 的安全性。 控制臺功能說明 2.9.11高級設(shè)置 高級設(shè)置包括內(nèi)網(wǎng)服務設(shè)置、VPN接口設(shè)置、 組播服務 、LDAP服務器設(shè)置和Radius服務器設(shè)置。 控制臺功能說明 2.10系統(tǒng)配置 序列號 管理員賬號 系統(tǒng)時間 自動升級 告警選項 全局排除地址 配置備份與恢復 終端提示頁面定制 數(shù)據(jù)中心配置 高級配置 控制臺功能說明 2.10.1序列號 序列號設(shè)置包括：設(shè)備序列號、多功能項序列號、跨運營商序列號 、網(wǎng)關(guān)殺毒授權(quán)序列號、應用識別&URL庫升級序列號、軟件升級序列號 和安全桌面。 點擊修改序列號，填入序列號，即可激活相應功能的授權(quán)。 控制臺功能說明 2.10.2管理員賬號

31、 管理員賬戶用來設(shè)置能夠通過控制臺管設(shè)備的登錄用戶。 控制臺功能說明 2.10.3系統(tǒng)時間 系統(tǒng)時間用于設(shè)定SANGFOR 設(shè)備的系統(tǒng)時間。可以直接在界面上修 改時間，也可以選擇與時間服務器進行時間的同步。 控制臺功能說明 2.10.4自動升級 自動升級用于對設(shè)備的網(wǎng)關(guān)補丁和內(nèi)置庫（病毒庫、URL庫、智能 識別URL庫、應用識別庫、準入規(guī)則庫、惡意網(wǎng)址庫、審計規(guī)則庫）進 行升級管理。 控制臺功能說明 2.10.5告警選項 告警選項用于設(shè)置當設(shè)備檢測到有攻擊、發(fā)現(xiàn)病毒、有泄密文件、 有需要延遲審計的郵件、發(fā)現(xiàn)危險行為、磁盤剩余空間不足或設(shè)備流量 超過閥值時以郵件的方式通知管理員進行告警。 控制臺

32、功能說明 2.10.6全局排除地址 全局排除地址：當內(nèi)網(wǎng)用戶IP或訪問的目標服務器的IP屬于全局 排除地址列表中的IP時，內(nèi)網(wǎng)用戶上網(wǎng)或訪問目標服務器，不受任何 監(jiān)控和控制，直接放行。排除地址支持填寫域名。 控制臺功能說明 2.10.7配置備份與恢復 配置備份與恢復用于將設(shè)備已有的配置下載保存，或者是將已備份 的配置文件恢復到設(shè)備中。 控制臺功能說明 2.10.8終端提示頁面定制 終端提示頁面定制用于對設(shè)備重定向到終端的頁面進行自定義，可 以定義的頁面包括：認證結(jié)果頁面、禁止訪問頁面、發(fā)現(xiàn)病毒頁面、上 網(wǎng)超時頁面、網(wǎng)絡(luò)準入客戶端頁面、修改密碼頁面、公告頁面、Web認 證頁面、上網(wǎng)時長提醒頁面、

33、上網(wǎng)流量提醒頁面、日流量配額頁面、月 流量配額頁面、 用戶凍結(jié)提示頁 面、強制單點登 陸提示頁面、防 共享上網(wǎng)提示頁 面和無線熱點拒 絕提示頁面。 控制臺功能說明 2.10.9數(shù)據(jù)中心配置 數(shù)據(jù)中心配置用于設(shè)置同步日志的外置數(shù)據(jù)中心服務器IP、同步賬 號、同步密碼、外置數(shù)據(jù)中心WEB服務端口信息，以及設(shè)置是否需要系 統(tǒng)自動刪除已記錄的訪問控制日志， 控制臺功能說明 2.10.10高級配置 高級配置用于設(shè)置設(shè)備的一些其它系統(tǒng)配置，包括 WebUI選項 日志記錄 URL過濾 代理服務器設(shè)置 遠程維護 外部Syslog設(shè)置 準入故障排除 郵件延遲審計選項 上網(wǎng)時長排除應用列表 加入集中管理設(shè)置 設(shè)備

34、名稱設(shè)置 證書生成 控制臺功能說明 2.10.10高級配置 WebUI選項下可以設(shè)定默認編碼、全局流速單位、HTTPS登錄 端口、控制超時、控制臺SSL證書頒發(fā)給、點擊下載證書 控制臺功能說明 2.10.10高級配置 日志記錄用于設(shè)置設(shè)備審計訪問網(wǎng)站日志和準入IM傳文件內(nèi)容記錄 的詳細程度。它包括日志記錄、URL審計過濾規(guī)則和準入IM傳文件 內(nèi)容記錄。 控制臺功能說明 2.10.10高級配置 URL過濾用于設(shè)置設(shè)備在進行URL過濾權(quán)限控制策略的匹配時，是否 禁止直接以IP地址訪問網(wǎng)站或者是否自動放行網(wǎng)頁中包含的外部域名資 源。 控制臺功能說明 2.10.10高級配置 對于通過設(shè)置代理的方式上網(wǎng)

35、的情況，因為用戶所有數(shù)據(jù)是發(fā)往代理服 務器的，而防火墻等模塊是通過檢測目的地址和端口來判斷是否要拒絕 該連接，所以很多功能會失效。因此要使防火墻等模塊有效，必須能正 確識別出發(fā)往代理服務器的數(shù)據(jù)其真實要連接的目的地址和端口，供防 火墻等模塊使用該地址和端口。 控制臺功能說明 2.10.10高級配置 遠程維護用于設(shè)置是否允許從外網(wǎng)口遠程登錄設(shè)備，以及自動上報 未識別URL、系統(tǒng)錯誤和未知應用信息。 控制臺功能說明 2.10.10高級配置 外部Syslog設(shè)置用于將設(shè)備上的調(diào)試日志、信息日志、告警日志和 錯誤日志同步到syslog服務器上。 控制臺功能說明 2.10.10高級配置 準入故障排除用于

36、設(shè)置對于不支持運行準入插件和安全桌面插件的 計算機和移動終端，是否允許其上網(wǎng)。 控制臺功能說明 2.10.10高級配置 郵件延遲審計選項用于郵件審計策略的定義，包括審計超時動作和 發(fā)送嘗試限制。 控制臺功能說明 2.10.10高級配置 上網(wǎng)時長排除應用列表用于設(shè)置在進行上網(wǎng)時長統(tǒng)計和上網(wǎng)時長控 制時，排除某些應用不進行上網(wǎng)時長統(tǒng)計和上網(wǎng)時長控制。上網(wǎng)時長 排除應用列表由內(nèi)置列表 和自定義列表兩部分組成。 控制臺功能說明 2.10.10高級配置 加入集中管理用于設(shè)置AC設(shè)備是否加入集中管理進行受控，加入集 中管理后中心端管理員可以對該設(shè)備下發(fā)策略，并且受控端的權(quán)限也可 以由中心端下發(fā)。例如可以不

37、允許受控端修改流量管理界面。 控制臺功能說明 2.10.10高級配置 設(shè)備名稱設(shè)置用于設(shè)置設(shè)備的名稱，主要作用是當有多臺設(shè)備加入 中心端時，可以通過設(shè)備名稱區(qū)分受控端設(shè)備，或者是當有多臺設(shè)備使 用同一賬號同步數(shù)據(jù)到外置數(shù)據(jù)中心時，用于區(qū)分同步數(shù)據(jù)的設(shè)備。 控制臺功能說明 2.10.10高級配置 證書生成是加入集中管理中心端的時候使用。硬件證書用于唯一識 別本機器，加入中心端時為了防止其它機器與本機共用一個帳戶，可以 在這里生成硬件證書，并導入到集中管理中心端設(shè)備的帳戶中。 控制臺功能說明 2.11系統(tǒng)診斷 系統(tǒng)日志用于查看設(shè)備各模塊運行狀態(tài)日志，可通過日志判斷設(shè)備 各模塊是否正常。 抓包工具用

38、于對經(jīng)過設(shè)備的數(shù)據(jù)包進行抓取，以便快速定位問題， 可以作為排錯的輔助工具。 命令控制臺提供一個簡單的控制臺命令行，可用于對設(shè)備的一些簡 單信息進行查看，支持的命令包括：arp（查看arp表）、mii-tool（列 出網(wǎng)口的連接情況）、ifconfig（查看網(wǎng)口信息）、ping（測試主機地 址連通）、telnet（測試端口連通性）、ethtool（查看網(wǎng)卡信息）、 route（顯示路由表）和traceroute（跟蹤數(shù)據(jù)包轉(zhuǎn)發(fā)路徑），在命令 行頁面直接輸入命令回車即可。 上網(wǎng)故障排除用于查詢一個數(shù)據(jù)包在通過設(shè)備時是被哪個模塊拒絕 ，是什么原因被拒絕，以便快速定位配置錯誤，也可用來測試一些規(guī)則 是

39、否生效，點擊設(shè)置并開啟，出現(xiàn)【設(shè)置開啟條件】界面，可設(shè)置各種 過濾條件，包括攔截日志過濾條件和同時開啟數(shù)據(jù)直通。 重啟操作頁面提供重啟網(wǎng)關(guān)和重啟服務兩個功能按鈕。 案例分析 3.1背景和要求 背景：某客戶網(wǎng)絡(luò)結(jié)構(gòu)如下圖，公網(wǎng)出口線路帶寬10M，內(nèi)網(wǎng)上網(wǎng)用戶 在500人左右。由于帶寬本身不足，加上上班時間經(jīng)常有人下載，看電 影等導致全網(wǎng)打開網(wǎng)頁也十分慢，員工上班效率很低。 要求： 1）盡量不改動原有的網(wǎng)絡(luò)環(huán)境。 2）要求實現(xiàn)IP/MAC地址的一一綁定。 3）員工上班時間不允許P2P下載和觀看在線 流媒體，全天不允許訪問非法及不良網(wǎng)站， 對員工發(fā)郵件，論壇發(fā)帖，發(fā)微博及QQ聊天 內(nèi)容做審計。 4）

40、領(lǐng)導組不做控制和審計，開啟惡意網(wǎng)頁過 濾來保證上網(wǎng)的安全。 5）對HTTP應用做帶寬保證，至少分配60%的 帶寬；上班時間對P2P，下載工具，在線流媒 體應用帶寬限制在20%以內(nèi)。 案例分析 3.2思路分析 1）根據(jù)客戶的需求，將AC設(shè)備網(wǎng)橋模式部署在核心交換和防火墻之間。網(wǎng)橋 模式配置：網(wǎng)橋模式，網(wǎng)橋IP，系統(tǒng)路由。 2）用戶組設(shè)置：根據(jù)客戶的管理要求，將用戶分為普通員工組和領(lǐng)導組。 3）認證策略配置：新建兩條認證策略，領(lǐng)導組綁定IP/MAC，自動加入到領(lǐng)導 組；普通員工綁定IP/MAC，自動加入到普通員工組。 4）普通員工組上網(wǎng)策略設(shè)置：新建上網(wǎng)權(quán)限策略，通過應用控制上班時間封 堵P2P和

41、在線流媒體；通過WEB過濾封堵非法及不良網(wǎng)站。新建上網(wǎng)審計策略， 通過應用審計，審計所有HTTP外發(fā)內(nèi)容和郵件內(nèi)容。新建準入策略，添加IM聊 天內(nèi)容審計。 5）領(lǐng)導組上網(wǎng)策略設(shè)置：新建上網(wǎng)安全策略，開啟惡意網(wǎng)頁過濾。 6）流量管理策略設(shè)置：新建保證通道，對HTTP應用分配60%-100%的通道帶寬 ；新建限制通道，對P2P，下載工具和在線流媒體應用上班時間分配最高20%的 帶寬。 案例分析 3.3解決步驟 第一步，通過交叉線連接電腦與設(shè)備的ETH0（LAN）口，電腦配置 10.251.251.X/24地址，使用51 登錄AC設(shè)備控制臺。 第二步，網(wǎng)橋模式設(shè)置，分配防火墻與三層交換機直連網(wǎng)段的地址 /29 給AC設(shè)備的網(wǎng)橋IP。通過網(wǎng)絡(luò)配置部署模式進入配 置界面，點擊開始配置，選擇網(wǎng)橋模式點擊下一步 案例分析 3.3解決步驟 此處選擇多網(wǎng)橋或者網(wǎng)橋多網(wǎng)口均可。點擊下一步 案例分析 3.3解決步驟 選擇網(wǎng)橋的網(wǎng)口。此處采用ETH0和ETH2作為一對網(wǎng)橋口，ETH0作為LAN區(qū)網(wǎng)口 ，ETH2作為WAN區(qū)網(wǎng)口。點擊下一步 案例分析 3.3解決步驟 設(shè)置AC設(shè)備的網(wǎng)橋IP，網(wǎng)關(guān)和DNS地址，點擊下一步 案例分析 3.3解決步驟 點擊下一步，設(shè)置DMZ管理口的IP地址，可保持默認配置 案例分析 3.3解決步驟 點擊下一步