深信服上網(wǎng)行為管理管理員手冊(cè)v

1、版權(quán)聲明未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽深信服上網(wǎng)行為管理-管理員手冊(cè)深信服電子科技有限公司修訂歷史編R修訂內(nèi)容簡(jiǎn)述修訂日期修訂前版本號(hào)修訂后版本號(hào)修訂人批準(zhǔn)人12:本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬深信服所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)深信服的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目錄第1章前言I昔誤第2章系統(tǒng)管理錯(cuò)誤2.1 設(shè)備登錄錯(cuò)誤2.2 管理員配置錯(cuò)誤錯(cuò)誤錯(cuò)誤2.3 系統(tǒng)基本信息配置錯(cuò)誤錯(cuò)誤!未指定書(shū)簽錯(cuò)誤!未指定書(shū)簽錯(cuò)誤!未指定書(shū)簽第3章網(wǎng)絡(luò)配

2、置.3.1 部署模式3.2 靜態(tài)路由第4章策略管理.4.1 用戶認(rèn)證與管理4.2 策略管理珀塊 珀塊 珀塊 珀塊 .于日塊 .于日塊 .于日塊 .于日塊 珀塊 珀塊 珀塊 珀塊 珀塊 珀塊 .于日塊未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽 未指定書(shū)簽4.2.1 購(gòu)物娛樂(lè)類網(wǎng)站4.3 流量管理4.4 終端接入管理第 5 章日志中心管理5.1 日志中心配置.5.2 日志中心登錄5.3 日志查詢5.3 流量時(shí)長(zhǎng)分析5.4 報(bào)表中心 5.5 系統(tǒng)管理 第 1 章前言.錯(cuò)誤.錯(cuò)誤

3、.錯(cuò)誤.錯(cuò)誤.錯(cuò)誤.錯(cuò)誤.錯(cuò)誤.錯(cuò)誤.左世：H.錯(cuò)誤.左世：H 錯(cuò)誤.左世：H.錯(cuò)誤.左世：H.錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H.錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.左世：H.錯(cuò)誤.左世：H 錯(cuò)誤.左世：H 錯(cuò)誤.未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。

4、未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。 未指定書(shū)簽。本手冊(cè)用于講解AC常見(jiàn)功能操作方法，為管理員提供日常策略維護(hù)指導(dǎo)。第2章系統(tǒng)管理2.1 設(shè)備登錄IP首先確保本機(jī)從網(wǎng)絡(luò)可以訪問(wèn)到設(shè)備管理IP地址，然后在瀏覽器中輸入網(wǎng)關(guān)的及端口.x.x.254。出現(xiàn)一個(gè)如下圖的安全提示：點(diǎn)擊繼續(xù)瀏覽此網(wǎng)站（不推薦）后出現(xiàn)以下的登錄界面：在登陸框輸入【用戶名】和【密碼】，點(diǎn)擊登錄®鈕即可登錄AC設(shè)備進(jìn)行配置，默認(rèn)情況下的用戶名和密碼均為admin。

5、如果用戶密碼過(guò)于簡(jiǎn)單,則會(huì)被檢測(cè)為弱密碼,在控制臺(tái)的處理為:登錄后檢測(cè)為弱密碼則提示修改密碼，則會(huì)彈出如下提示：如果提示超過(guò)15天都沒(méi)有修改則強(qiáng)制修改密碼.則會(huì)彈出如下提示：弱密碼修改:2.2 管理員配置在【系統(tǒng)管理】-【系統(tǒng)配置】-【管理員賬戶】頁(yè)面，可修改admin管理員密碼、刪除管理員賬號(hào)以及創(chuàng)建二級(jí)管理員。管理員賬戶頁(yè)面找到admin管理員，直接點(diǎn)擊編輯,，輸入舊密碼，并設(shè)置新密碼即可修改admin賬號(hào)的密碼信息。注：admin賬號(hào)只可修改密碼，不可刪除。2.2.2創(chuàng)建二級(jí)管理員在管理員賬戶頁(yè)面，點(diǎn)擊新增可以創(chuàng)建二級(jí)管理員。設(shè)備確實(shí)管理員角色有兩種：administrator:內(nèi)置的角

6、色，該角色的管理員自動(dòng)擁有管理整個(gè)組織結(jié)構(gòu)的管轄范圍，并且還能夠添加刪除管理員帳戶。common：系統(tǒng)缺省創(chuàng)建的角色，可通過(guò)角色管理添加或者刪除角色，該角色可設(shè)置管理員可以管理的組織結(jié)構(gòu)范圍。如果選擇管理員角色為common,在切織結(jié)構(gòu)權(quán)限設(shè)置處，可以設(shè)置該管理員可以管理的組織結(jié)構(gòu)范圍。在頁(yè)面權(quán)限設(shè)置處，可設(shè)置該管理員可以查看或編輯的控制臺(tái)頁(yè)面。2.3 系統(tǒng)基本信息配置2.3.1 序列號(hào)在【系統(tǒng)管理】-【系統(tǒng)配置】-【序列號(hào)】頁(yè)面，可以查看設(shè)備當(dāng)前的授權(quán)信息。序列號(hào)一般在出廠時(shí)已設(shè)置好，正常使用過(guò)程中無(wú)需修改，只有當(dāng)設(shè)備相關(guān)服務(wù)到期時(shí)，才需要修改相關(guān)序列號(hào)。2.3.2 系統(tǒng)時(shí)間【系統(tǒng)管理】-【

7、系統(tǒng)配置】-【系統(tǒng)時(shí)間】用于設(shè)定SANGFOR備的系統(tǒng)時(shí)間可以直接在界面上修改時(shí)間，也可以選擇與時(shí)間服務(wù)器進(jìn)行時(shí)間的同步注：設(shè)備日志記錄的時(shí)間與系統(tǒng)時(shí)間相關(guān)，請(qǐng)注意確保設(shè)備系統(tǒng)時(shí)間的準(zhǔn)確性，手動(dòng)獲取本地時(shí)間和系統(tǒng)時(shí)間會(huì)重啟設(shè)備，請(qǐng)勿工作時(shí)間操作。2.3.3 規(guī)則庫(kù)升級(jí)【系統(tǒng)管理】-【系統(tǒng)配置】-【系統(tǒng)更新】-【規(guī)則庫(kù)升級(jí)】可以查看當(dāng)前設(shè)備規(guī)則庫(kù)的最新?tīng)顟B(tài)，請(qǐng)確保設(shè)備管理IP能夠訪問(wèn)互聯(lián)網(wǎng)，以便設(shè)備自動(dòng)更新規(guī)則庫(kù)。2.3.4 全局排除地址【系統(tǒng)管理】-【系統(tǒng)配置】-【全局排除地址】可設(shè)置指定用戶IP或訪問(wèn)的目標(biāo)服務(wù)器的IP不受任何監(jiān)控和控制，直接放行。排除地址支持填寫IPV4地址、IPV6地址、

8、域名。點(diǎn)擊自定義排除地址頁(yè)面的添加，在文本框內(nèi)輸入需要排除的IP或域名即可。2.3.5 設(shè)備配置備份與恢復(fù)【配置備份與恢復(fù)】用于將設(shè)備已有的配置下載保存，或者是將已備份的配置文件恢復(fù)到設(shè)備中。2.3.6 WEBUI選項(xiàng)【系統(tǒng)管理】-【系統(tǒng)配置】-【高級(jí)配置】-【W(wǎng)EBU選項(xiàng)】頁(yè)面可以設(shè)置當(dāng)前的頁(yè)面參數(shù)，如默認(rèn)編碼、控制登錄端口、超時(shí)時(shí)間等。2.3.7 遠(yuǎn)程維護(hù)【系統(tǒng)管理】-【系統(tǒng)配置】-【高級(jí)配置】-【遠(yuǎn)程維護(hù)】頁(yè)面用于設(shè)置是否允許從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，以及自動(dòng)上報(bào)未識(shí)別URL系統(tǒng)錯(cuò)誤、未知應(yīng)用信息和技術(shù)支持協(xié)助。啟用遠(yuǎn)程維護(hù)用于設(shè)置是否允許從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，勾選此項(xiàng)的同時(shí)，設(shè)備的WAW自

9、動(dòng)開(kāi)啟允許ping,平時(shí)一般建議關(guān)閉該選項(xiàng)。第3章網(wǎng)絡(luò)配置3.1 部署模式AC設(shè)備支持路由模式、網(wǎng)橋模式、旁路模式三種部署模式。路由模式:一般用于沒(méi)有防火墻的中小客戶。設(shè)備做為一個(gè)路由設(shè)備使用，對(duì)網(wǎng)絡(luò)改動(dòng)最大，但可以實(shí)現(xiàn)設(shè)備的所有的功能；網(wǎng)橋模式：可以把設(shè)備視為一條帶過(guò)濾功能的網(wǎng)線使用，可不更改原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下平滑架到網(wǎng)絡(luò)中。目前在客戶中使用最多的部署模式；旁路模式：僅做旁路審計(jì)，需要交換機(jī)做鏡像至AC。本例以網(wǎng)橋模式部署為案例，配置需求及步驟如下：需求：目前網(wǎng)絡(luò)已部署防火墻設(shè)備IP地址為/24,AC網(wǎng)橋部署在防火墻和核心交換機(jī)之間，1 .通過(guò)【系統(tǒng)管理】-【網(wǎng)絡(luò)配置】-【部署模式】進(jìn)

10、入配置界面，點(diǎn)擊開(kāi)始配置，選擇網(wǎng)橋模式。2 .點(diǎn)擊下一步,，選擇網(wǎng)橋的網(wǎng)口。本案例采用ETH0和ETH2作為一對(duì)網(wǎng)橋口，ETH0作為L(zhǎng)AN區(qū)網(wǎng)口，ETH2作為WAN區(qū)網(wǎng)口。3 .點(diǎn)擊下一步,，設(shè)置AC設(shè)備的網(wǎng)橋IP:4 .點(diǎn)擊下一步,，設(shè)置DMZ管理口的IP地址，可保持默認(rèn)配置：5 .點(diǎn)擊下一步，設(shè)置設(shè)備上網(wǎng)的網(wǎng)關(guān)和DNS：6 .點(diǎn)擊下一步，確認(rèn)和提交配置：注：點(diǎn)擊提交后，設(shè)備會(huì)自動(dòng)重啟，重啟時(shí)間一般為1-5分鐘，請(qǐng)勿在工作時(shí)間修改設(shè)備部署模式配置。3.2 靜態(tài)路由1 .通過(guò)【系統(tǒng)管理】-【網(wǎng)絡(luò)配置】-【靜態(tài)路由】進(jìn)入配置界面。2 .點(diǎn)擊新增，設(shè)置需要添加的路由目的地址、子網(wǎng)掩碼，下一跳指向核

11、心交換機(jī)。3 .點(diǎn)擊提交完成配置，如果有多個(gè)網(wǎng)段，可添加多條路由。第4章策略管理4.1 用戶認(rèn)證與管理4.1.1 用戶組管理為了便于區(qū)分員工角色進(jìn)行策略管理，我們可以將上網(wǎng)用戶進(jìn)行分組管理，【用戶認(rèn)證與管理】-【用戶管理】-【組/用戶】頁(yè)面是AC用戶組織結(jié)構(gòu)管理的地方。在該頁(yè)面組織結(jié)構(gòu)下選擇指定組，可在該組下創(chuàng)建用戶以及用戶組，在右邊成員列表點(diǎn)擊新增，選擇新增類型組定義組名，如“市場(chǎng)部”，點(diǎn)擊提交即可，該組適用的上網(wǎng)策略，可在后面策略管理時(shí)指定。4.1.2 認(rèn)證策略【認(rèn)證策略】決定了某個(gè)IP/網(wǎng)段/MAC地址上計(jì)算機(jī)的認(rèn)證方式。通過(guò)【認(rèn)證策略】設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式，以及新用戶添加的策略。認(rèn)證

12、策略是從上往下逐條匹配的，可以通過(guò)頁(yè)面上的移動(dòng)按鈕來(lái)調(diào)整認(rèn)證策略優(yōu)先級(jí)。通過(guò)認(rèn)證策略可以為不同的網(wǎng)段配置不同的認(rèn)證方式。認(rèn)證策略可以指定的認(rèn)證方式有不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄、不允許認(rèn)證4種，根據(jù)不同的認(rèn)證策略可實(shí)現(xiàn)不同的用戶認(rèn)證需求。4.1.3 不需要認(rèn)證在認(rèn)證策略頁(yè)面點(diǎn)擊新增設(shè)置該策略適用的范圍后點(diǎn)擊下一步，適用范圍可以是IP、MAC、IP段以及子網(wǎng)。選擇認(rèn)證方式為不需要認(rèn)證，繼續(xù)點(diǎn)擊下一步選擇用戶以組織結(jié)構(gòu)中那個(gè)組的身份上線后點(diǎn)擊提交即可。4.1.41 P/MAC綁定二層環(huán)境1 與不需要認(rèn)證用戶設(shè)置方法相同，但認(rèn)證后處理方式需勾選自動(dòng)錄入綁定關(guān)系-自動(dòng)錄入IP和MAC勺綁定關(guān)系選項(xiàng)2

13、 .用戶上網(wǎng)后，在【用戶認(rèn)證與管理】-【用戶管理】-【IP/MAC綁定】頁(yè)面可以看到系統(tǒng)自動(dòng)綁定了終端第一次上網(wǎng)的IP和MACW息，在該頁(yè)面可對(duì)相關(guān)信息進(jìn)行添加、刪除和修改操作。三層環(huán)境三層環(huán)境下，由于內(nèi)網(wǎng)用戶經(jīng)過(guò)三層交換機(jī)后，MAC*址會(huì)被三層交換機(jī)替換掉，因此還需要在核心交換機(jī)上開(kāi)啟SNMP艮務(wù)，以支持AC跨三層環(huán)境下的IP/MAC綁定。1 .在核心交換機(jī)上開(kāi)啟SNMP艮務(wù)。華為交換機(jī)的配置命令：system_viewsnmp-agentcommunityreadpublic；其中public為三層交換機(jī)的Communitysnmp-agentsys-infoversionall；其中al

14、l表示所有版本思科交換機(jī)的配置命令：configterminal進(jìn)入全局配置狀態(tài)Cdprun啟用CDPsnmp-servercommunitypublicro其中public為三層交換機(jī)的Communitysnmp-serverenabletraps允許設(shè)備將所有類型SNMPTra段送出去注：三層交換機(jī)需啟用SNM新議，AC作為SNM落戶端通過(guò)SNM族取交換機(jī)，只支持SNMPv1,v2,v2c,不支持v3。2 .在【用戶認(rèn)證與管理】-【認(rèn)證高級(jí)選項(xiàng)】-【跨三層取MAC頁(yè)面，開(kāi)啟跨三層MACS別功能?？梢孕略龆鄠€(gè)SNMP艮務(wù)器，如果內(nèi)網(wǎng)存在多個(gè)三層交換機(jī)，則每個(gè)三層交換機(jī)的SNM選項(xiàng)均需要開(kāi)啟，

15、如下圖點(diǎn)擊上圖“查看服務(wù)器信息”測(cè)試能否從交換機(jī)獲取PC的IP和MAC有返回結(jié)果則能正常獲取，如下圖完成新增SNMP艮務(wù)器后，可以查看配置的所有交換機(jī)當(dāng)前snmp獲取的結(jié)果，如下圖接下來(lái)，需要配置排除核心交換機(jī)的MAO址，如下圖。實(shí)際使用時(shí)，可開(kāi)啟設(shè)備自動(dòng)識(shí)別三層交換機(jī)的MAC并自動(dòng)添加到MAC!址排除列表，如下圖啟用“自動(dòng)添加排除”，定義10分鐘內(nèi)同一個(gè)IP對(duì)應(yīng)的MAO址記錄數(shù)，推薦配置5。當(dāng)同一個(gè)MACi到設(shè)置條件時(shí)，AC認(rèn)為是三層交換機(jī)的MAO址，自動(dòng)將其排除。3 .與二次環(huán)境一樣，設(shè)置認(rèn)證策略，認(rèn)證后處理,選擇自動(dòng)錄入IP和MAC勺綁定關(guān)系。4.1.5不允許認(rèn)證認(rèn)證方式設(shè)置為小允許認(rèn)證

16、的網(wǎng)段，將無(wú)法通過(guò)設(shè)備訪問(wèn)任何網(wǎng)絡(luò)。在認(rèn)證策略頁(yè)面點(diǎn)擊新增,設(shè)置該策略適用的范圍后點(diǎn)擊下一步直接點(diǎn)擊提交,即可。4.2策略管理【策略管理】模塊設(shè)置的策略主要包含封堵、審計(jì)等策略，以下分別以案例的形式介紹一些常見(jiàn)的策略設(shè)置方式。4.2.1購(gòu)物娛樂(lè)類網(wǎng)站需求：禁止全公司上班時(shí)間訪問(wèn)購(gòu)物、娛樂(lè)類網(wǎng)站。1 .【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入上網(wǎng)權(quán)BM策略編輯界面。填寫策略名稱，描述信息。2 .勾選策略設(shè)置-上網(wǎng)權(quán)限策略-應(yīng)用控制,右邊進(jìn)入應(yīng)用才5制窗口。點(diǎn)擊添加按鈕。3 .點(diǎn)擊應(yīng)用下方的到，進(jìn)入【選擇應(yīng)用】窗口。4 .展開(kāi)應(yīng)用“訪問(wèn)網(wǎng)站

17、”，選擇“網(wǎng)上購(gòu)物”和“娛樂(lè)”5 .點(diǎn)擊確定按鈕?；氐綉?yīng)用控制頁(yè)面。生效時(shí)間選擇上班時(shí)間，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成網(wǎng)上購(gòu)物和娛樂(lè)類網(wǎng)站拒絕設(shè)置。6 .選擇適用對(duì)象選項(xiàng)，進(jìn)行策略與用戶/組關(guān)聯(lián)，勾選“所有用戶”，即可關(guān)聯(lián)全網(wǎng)用戶。7 .點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。422P2P及P2P流媒體封堵需求：禁止市場(chǎng)部門用戶及其所有子組在上班時(shí)間使用P2P和P2P流媒體。1 .【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入上網(wǎng)權(quán)BM策略編輯界面。填寫策略名稱，描述信2 .勾選策略設(shè)置-上網(wǎng)權(quán)限策略-應(yīng)用控制,右邊進(jìn)入應(yīng)用才5制窗口。點(diǎn)擊添加

18、按鈕。3 .點(diǎn)擊應(yīng)用下方的魚(yú),進(jìn)入【選擇應(yīng)用】窗口。4 .選擇應(yīng)用“P2P'和"P2P流媒體”5 .點(diǎn)擊確定按鈕。回到應(yīng)用控制頁(yè)面。生效時(shí)間選擇上班時(shí)間，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成P2P和P2P流媒體應(yīng)用拒絕設(shè)置。6 .選擇適用對(duì)象選項(xiàng)，進(jìn)行策略與用戶/組關(guān)聯(lián)。7 .點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。4.2.3外發(fā)文件封堵需求：為了避免公司重要資料通過(guò)網(wǎng)絡(luò)外泄，禁止研發(fā)和財(cái)務(wù)部門一切外發(fā)行1 .【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入上網(wǎng)權(quán)BM策略編輯界面。填寫策略名稱，描述信2 .勾選策略設(shè)置-上網(wǎng)權(quán)限策略-應(yīng)

19、用控制,右邊進(jìn)入應(yīng)用才5制窗口。點(diǎn)擊添加按鈕。3 .點(diǎn)擊應(yīng)用下方的足,進(jìn)入【選擇應(yīng)用】窗口。4 .選擇左側(cè)應(yīng)用標(biāo)簽“外發(fā)文件泄密風(fēng)險(xiǎn)”。5 .點(diǎn)擊確定按鈕?；氐綉?yīng)用控制頁(yè)面。生效時(shí)間選擇全天，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成外發(fā)文件封堵設(shè)置。6 .選擇適用對(duì)象選項(xiàng)，選擇“研發(fā)部”和“財(cái)務(wù)部”。7 .點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。4.2.4上網(wǎng)審計(jì)需求：對(duì)內(nèi)網(wǎng)所有用戶開(kāi)啟審計(jì)，審計(jì)所有網(wǎng)絡(luò)行為。1 .【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)審計(jì)策略，進(jìn)入【上網(wǎng)審計(jì)策略】界面。填寫策略名稱，描述信2 .勾選策略設(shè)置-應(yīng)用審計(jì)，右邊進(jìn)入應(yīng)用審計(jì)編輯窗口

20、。點(diǎn)擊S加，進(jìn)入添加審計(jì)對(duì)象頁(yè)面。3 .點(diǎn)擊審計(jì)對(duì)象下方的*按鈕，進(jìn)入選擇審計(jì)對(duì)象編輯窗口。選擇需要開(kāi)啟的審計(jì)記錄，設(shè)置審計(jì)訪問(wèn)網(wǎng)站的URL選擇生效時(shí)間,為上班時(shí)間。注：不建議開(kāi)啟未識(shí)別的網(wǎng)絡(luò)應(yīng)用日志，該日志類似防火墻日志，對(duì)上網(wǎng)行為管理審計(jì)來(lái)說(shuō)意義不大。4 .選擇適用的對(duì)象，這個(gè)需求選擇所有用戶,即可：5 .點(diǎn)擊提交按鈕，完成整個(gè)策略。4.3流量管理【流量管理】支持保證和限制通道兩種形式，分別用于針對(duì)重要應(yīng)用的流量保障和大流量應(yīng)用的帶寬限制，4.3.1 線路帶寬配置設(shè)置流量管理配置前，需要先根據(jù)出口互聯(lián)網(wǎng)帶寬設(shè)置帶寬參數(shù)。點(diǎn)擊對(duì)應(yīng)的線路名稱即可編輯帶寬參數(shù)，如下圖設(shè)置線路1上行4Mbps下行

21、100Mbps4.3.2 保證通道需求：針對(duì)HTTP©問(wèn)網(wǎng)站、DNS視頻會(huì)議保證上行2Mbps下行20Mbps以確保網(wǎng)絡(luò)繁忙時(shí)這些應(yīng)用能優(yōu)先處理。1 .【流量管理】-【通道配置】，右邊進(jìn)入【通道配置】編輯頁(yè)面。然后點(diǎn)擊新增通道按鈕，選擇一級(jí)通道，進(jìn)入【新增一級(jí)通道】界面。填寫策略名稱。2 .選則保證通道,，設(shè)置上行帶寬保證2Mbp§下行帶寬保證20Mbps優(yōu)先級(jí)局。3 .點(diǎn)擊通道使用范圍0自定義適用應(yīng)用選擇自定義，點(diǎn)擊進(jìn)入凹按鈕，進(jìn)入自定義適用服務(wù)與應(yīng)用編輯窗口。4 .選擇應(yīng)用訪問(wèn)網(wǎng)站、DNS網(wǎng)絡(luò)會(huì)議，點(diǎn)擊確認(rèn)。5 .點(diǎn)擊確定按鈕，完成整個(gè)策略。4.3.3限制通道需求：針對(duì)

22、普通員工，限制整個(gè)組的P2P和P2P流媒體上行不超過(guò)1Mbps下行不超過(guò)10Mbps單用戶最大上行500Kbps,下行1Mbps以避免普通員工P2P下載占滿帶寬，應(yīng)用其他正常辦公業(yè)務(wù)。1 .【流量管理】-【通道配置】，右邊進(jìn)入【通道配置】編輯頁(yè)面。然后點(diǎn)擊新增通道按鈕，選擇一級(jí)通道，進(jìn)入【新增一級(jí)通道】界面。填寫策略名稱。2 .選擇限制通道,，設(shè)置上行帶寬最大1Mbps,下行帶寬最大10Mbps3 .勾選啟用單IP最大帶寬,，設(shè)置上行500kbps,下行1Mbps4 .點(diǎn)擊通道使用范圍0,四自定義5 .適用應(yīng)用選擇自定義，點(diǎn)擊進(jìn)入直至捽按鈕，進(jìn)入自定義適用服務(wù)與應(yīng)用編輯窗口。6 .選擇應(yīng)用P2

23、RP2P流媒體，點(diǎn)擊確認(rèn)。自定義7 .適用對(duì)象選擇自定義，點(diǎn)擊進(jìn)入面封1按鈕，進(jìn)入自定義適用對(duì)象編輯窗口。8 .選擇本地用戶-普通員工組，點(diǎn)擊確定。9 .點(diǎn)擊確定按鈕，完成整個(gè)策略。4.4終端接入管理4.4.1 共享接入管理需要封堵電腦和移動(dòng)用戶的需求：用戶內(nèi)網(wǎng)存在大量電腦，移動(dòng)終端共享熱點(diǎn)，通過(guò)代理方式上網(wǎng)的行為。配置步驟如下:1. 【終端接入管理】-【共享接入管理】，右邊進(jìn)入【共享接入管理】的配置頁(yè)面。勾選啟用共享接入檢測(cè)，如下圖所示：2. 在【共享接入管理】頁(yè)面，點(diǎn)擊編輯配置選項(xiàng)，如下圖所示：統(tǒng)計(jì)方式,選擇“統(tǒng)計(jì)所有終端”，可識(shí)別PC與PGPC與移動(dòng)終端，移動(dòng)終端與移動(dòng)終端之間的共享。凍

24、結(jié)選項(xiàng)選擇凍結(jié)IP地址，一個(gè)IP地址只允許一個(gè)用戶上線。3. 【終端接入管理】-【共享接入管理】，右邊進(jìn)入【信任列表】的配置頁(yè)面，對(duì)不需要開(kāi)啟代理檢測(cè)的用戶、用戶組或IP地址，添加到信任列表。如下圖所示：注：共享終端管理存在一定誤判幾率，建議可先開(kāi)啟檢測(cè)不凍結(jié)運(yùn)行一段時(shí)間后，確認(rèn)誤判率比較低后，再開(kāi)啟凍結(jié)。第5章日志中心管理3.1 日志中心配置AC設(shè)備出廠時(shí)一般自帶了500G的硬盤，如果您需要存儲(chǔ)的日志較少，可直接使用內(nèi)置日志中心。如果您需要保存的日志時(shí)間較長(zhǎng)，由于設(shè)備內(nèi)置存儲(chǔ)的硬盤容量有限，并且設(shè)備日志查詢和報(bào)表統(tǒng)計(jì)會(huì)消耗一定設(shè)備的性能，建議安裝外置日志中心，設(shè)備會(huì)將相關(guān)日志同步到外置數(shù)據(jù)中

25、心。3.1.1 準(zhǔn)備工作1、 2008及之后的服務(wù)器操作系統(tǒng)，并且系統(tǒng)要求是64位操作系統(tǒng)。（請(qǐng)根據(jù)內(nèi)置日志中心每天日志量合理評(píng)估服務(wù)器的存儲(chǔ)空間,NTFSB式）注：每天日志量超過(guò)20G服務(wù)器配置選型請(qǐng)咨詢深信服技術(shù)支持工程師。2、數(shù)據(jù)中心安裝包，請(qǐng)登錄深信服官網(wǎng)下載相應(yīng)的數(shù)據(jù)中心版本：注：中文安裝包支持在簡(jiǎn)體中文和繁體中文操作系統(tǒng)上運(yùn)行，英文安裝包僅支持在英文操作系統(tǒng)上運(yùn)行。3、日志中心服務(wù)器和AC之間需開(kāi)放TCP810以供數(shù)據(jù)同步。4、日志中心服務(wù)器需開(kāi)放443端口（可修改），以供外置日志中心登錄。3.1.2 外置日志中心安裝過(guò)程從深信服網(wǎng)站上下載DataCenterSetup_11.0.

26、exe安裝程序，雙擊DataCenterSetup_11.0.exe程序，即出現(xiàn)程序安裝向?qū)?，界面如下圖所示：點(diǎn)擊下一步，選擇是否同意許可協(xié)議，勾選我愿意接受此協(xié)議，即可點(diǎn)擊下一步，繼續(xù)安裝，界面如下圖所示：點(diǎn)擊下一步，彈出如下界面：這一步用于設(shè)置程序安裝目錄、日志存放目錄以及附件的存放目錄：點(diǎn)擊下一步，彈出如下界面：設(shè)置好Wet®務(wù)端口，點(diǎn)擊下一步,，彈出如下界面：設(shè)置磁盤預(yù)警。請(qǐng)?zhí)峁┳銐虻拇疟P空間用于存放期望的日志量。點(diǎn)擊下一步：設(shè)置是否開(kāi)啟磁盤異常告警和數(shù)據(jù)中心異常告警點(diǎn)擊下一步,，設(shè)置預(yù)警郵件的發(fā)送和接收郵件地址：點(diǎn)擊下一步,，安裝程序會(huì)彈出詳細(xì)的配置信息，界面如下圖所示：如

27、果確認(rèn)這些信息無(wú)誤，則點(diǎn)擊安裝，此時(shí)程序?qū)⒆詣?dòng)安裝，整個(gè)安裝過(guò)程可能會(huì)占用您2-3分鐘，請(qǐng)耐心等待。安裝完成后，會(huì)出現(xiàn)如下界面：點(diǎn)擊完成，即完成了數(shù)據(jù)中心的整個(gè)安裝過(guò)程。3.1.3 日志中心登錄日志中心安裝過(guò)程中如果采用默認(rèn)端口443,則日志中心的訪問(wèn)地址訪問(wèn)地址是：https:服務(wù)器IP地址https登陸界面如下：在登錄框中輸入用戶名和密碼，點(diǎn)擊登錄按鈕即可登錄數(shù)據(jù)中心的查詢頁(yè)面，默認(rèn)情況下的用戶名和密碼均為admin。3.1.4 同步策略設(shè)置在日志中心【系統(tǒng)管理】-【系統(tǒng)配置】-【同步策略】創(chuàng)建同步策略，用于設(shè)置數(shù)據(jù)中心與網(wǎng)關(guān)同步日志的策略。如下圖所示：點(diǎn)擊新建,，新建同步策略：同步策略名

28、,：同步策略名可以自定義設(shè)置，但是需與AC網(wǎng)關(guān)的數(shù)據(jù)中心同步配置的同步賬號(hào)一致。接入密鑰：接入密鑰也需與AC網(wǎng)關(guān)的數(shù)據(jù)中心同步配置的同步密鑰保持一致。描述：設(shè)置同步策略的描述信息。同步選項(xiàng),：設(shè)置從哪天的日志開(kāi)始同步。選擇需要同步的日志:勾選需要同步到外置數(shù)據(jù)中心的日志類型。點(diǎn)擊提交，生效和保存配置。3.1.5 AC同步配置在AC管理界面【系統(tǒng)管理】-【系統(tǒng)配置】-【日志中心配置】新增同步配置，根據(jù)外置日志中心設(shè)置的IP地址、同步策略名和密鑰設(shè)置同步。寫入外置日志中心IP地址后，設(shè)備會(huì)自動(dòng)發(fā)現(xiàn)日志中心創(chuàng)建的同步策略，選擇之前定義的同步策略即可3.2 日志中心登錄3.2.1 內(nèi)置日志中心登錄內(nèi)置

29、日志中心的登錄接口在設(shè)備控制臺(tái)頁(yè)面右上角，點(diǎn)擊即可進(jìn)入內(nèi)置日志中心。3.2.2 外置日志中心登錄日志中心安裝過(guò)程中如果采用SSL加密方式登錄，默認(rèn)端口443,日志中心的訪問(wèn)地址為：https:/服務(wù)器IP地址,如果服務(wù)器IP為，則訪問(wèn)地址為https在登錄框中輸入用戶名和密碼，點(diǎn)擊登錄按鈕即可登錄數(shù)據(jù)中心的查詢頁(yè)面，默認(rèn)情況下的用戶名和密碼均為admin。內(nèi)置日志中心和外置日志中心登錄后的界面基本相同。3.3 日志查詢3.3.1 所有行為日志用于查詢用戶或用戶組的所有行為日志，步驟如下：1 .設(shè)置查詢條件2 .選擇需要查詢的日期范圍，需要查詢的用戶/組、應(yīng)用，如果需要針對(duì)IP地址查詢，可點(diǎn)擊顯示高級(jí)選項(xiàng)3 .在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊查詢,，即可查詢出這個(gè)IP地址的所有上網(wǎng)日志。4 .點(diǎn)擊每條記錄最后面的詳情,，可查看這條日志的詳細(xì)信息。3.3.2 網(wǎng)站訪問(wèn)日志用于查詢用戶或用戶組的網(wǎng)站訪問(wèn)日志，步驟如下：1 .設(shè)置查詢條件2 .選擇需要查詢的日期范圍，需要查詢的用戶/組、網(wǎng)站分類，如果需要針對(duì)IP地址查詢，可點(diǎn)擊顯示高級(jí)選項(xiàng)3 .在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊查詢,，即可查詢出這個(gè)IP地址的所有網(wǎng)站訪問(wèn)日志。訪問(wèn)網(wǎng)站日志可以根據(jù)URL中的關(guān)鍵字進(jìn)行搜索。3.3.3 郵件收發(fā)日志用于查詢用戶或用戶組的郵件日志，步驟如下：1. 設(shè)置查