深信服AC-1200配置手冊

1、精品文檔附件五上網(wǎng)行為管理AC-1200 配置管理文檔1. 設(shè)備名稱本系統(tǒng)上網(wǎng)行為管理設(shè)備采用深信服公司生產(chǎn)的AC-1200。2. 設(shè)備功能根據(jù)用戶提出的應(yīng)用需求，AC-1200在本系統(tǒng)中的設(shè)計功能是對網(wǎng)絡(luò)資源進行合理的分配，并對內(nèi)部工作人員的上網(wǎng)行為進行規(guī)范，以及對防火墻的功能進行必要的補充。3. 設(shè)備硬件信息3.1 AC-1200 產(chǎn)品外形AC-1200 產(chǎn)品外形和接口信息如 圖 1 所示。圖 1 AC-1200 產(chǎn)品外形和接口信息網(wǎng)絡(luò)連接與管理方式AC-1200的 ETH0（LAN）口通過透明網(wǎng)橋的方式與核心交換機CISCO4506的 GE3/1連接，加入本地局域網(wǎng)絡(luò)。ETH2(WAN1

2、)口與路由器 CISCO2821，與 Internet連接。精品文檔ETH1(DMZ)端口作為WEB管理端口連接到核心交換機的G3/30。設(shè)備端口IP地址分配見 表1。本設(shè)備只提供WEB管理方式。通過網(wǎng)絡(luò)連接到WEB管理端口，打開瀏覽器， 在地址欄輸入 1，進入管理頁面輸入用戶名和密碼，單擊“登錄” ，即可進入管理界面，如 圖 2 所示。表 1 設(shè)備端口 IP 地址分配表接口IP 地址描述ETH0 (LAN)透明模式與核心交換G3/1 連接ETH1 (DMZ)1與 VLAN5某端口連接 （ WEB管理）ETH2 (WAN1)192.16

3、8.1.6與路由器 G0/0/0 連接圖 2WEB 登錄頁面4. 配置管理4.1 WEBUI 界面登錄后看到的是WEB管理的首頁，包含左側(cè)的功能菜單欄和右側(cè)的狀態(tài)信息顯示。如圖 3 所示。圖 3 WEB用戶管理界面4.2系統(tǒng)配置系統(tǒng)配置部分包含系統(tǒng)信息、管理員帳戶、系統(tǒng)時鐘等信息。4.2.1系統(tǒng)信息系統(tǒng)信息包含系統(tǒng)內(nèi)的序列號和license信息，如 圖 4 所示。圖 4 系統(tǒng)信息4.2.2管理員帳戶本系統(tǒng)內(nèi)除 admin 帳戶外，另創(chuàng)建了一個 gtyl 管理員帳戶，其權(quán)限與 admin 相同。圖 5 所示為管理員帳戶列表。圖 5 管理員帳戶列表如需對管理員帳戶進行配置， 直接單擊藍色用戶名，

4、如需創(chuàng)建新管理員， 單擊左上角“新增”圖標，即可進入創(chuàng)建頁面。4.2.3系統(tǒng)時間系統(tǒng)時間設(shè)置界面如 圖 6 所示。圖 6 系統(tǒng)時間設(shè)置頁面4.2.4系統(tǒng)升級如圖 7 列表中所顯示的，除病毒庫未購買升級服務(wù)，網(wǎng)關(guān)補丁不需購買服務(wù)外，其他服務(wù)都在 2012 年 4 月 7 日到期，到時可根據(jù)實際情況決定是否購買。在服務(wù)期內(nèi)的項目已全部設(shè)置自動升級。圖 7 系統(tǒng)升級4.2.5全局排除地址全局排除地址列表中的服務(wù)器網(wǎng)址不受監(jiān)控和限制，如圖 8 所示。本次設(shè)置未啟動該項目，今后可根據(jù)實際應(yīng)用自行設(shè)置。圖 8 全局排除地址4.3網(wǎng)絡(luò)配置本系統(tǒng)網(wǎng)絡(luò)配置為透明方式， ETH0(LAN)和 ETH2(WAN1)

5、之間配置網(wǎng)橋， Internet 線路從路由器連接到 WAN1口， LAN端口連接到核心交換機的 VLAN 1端口，配置 DMZ 為管理端口，加入 VLAN 5，IP 地址為 1 。如 圖 9 列表所示。圖 9 網(wǎng)絡(luò)配置4.4防火墻防火墻功能使用USG2220實現(xiàn)，此處不做配置。4.5安全防護本設(shè)備的安全防護功能是對USG2220的部分補充。4.5.1防 DOS攻擊DOS攻擊（拒絕服務(wù)攻擊）是通過發(fā)送大量請求，耗盡服務(wù)器資源，使得合法請求得不到響應(yīng)。本設(shè)備防 DOS攻擊設(shè)置如 圖 10 所示。圖 10 防 DOS攻擊設(shè)置4.5.2防 ARP欺騙ARP欺騙是一種常見的內(nèi)網(wǎng)病

6、毒，中毒的客戶端不斷向內(nèi)網(wǎng)發(fā)廣播包，嚴重影響局域網(wǎng)的通訊，甚至斷網(wǎng)。本設(shè)備防ARP欺騙設(shè)置如 圖 11 所示。圖 11 防 ARP欺騙4.5.3網(wǎng)關(guān)殺毒本設(shè)備的殺毒網(wǎng)關(guān)未購買病毒庫升級服務(wù)，病毒庫為 2011-03-31 之前，已設(shè)置全部殺毒功能。如 圖 12 所示。圖 12 網(wǎng)關(guān)殺毒配置4.6流量管理4.6.1虛擬線路配置這里的虛擬線路配置實際就是Internet的接入線路配置。我們配置上、下行線路帶寬均為 10240Kbps(10Mbps)。如 圖 13 所示。圖 13 虛擬線路配置4.6.2通道配置通道配置是本設(shè)備進行網(wǎng)絡(luò)流量管理的核心內(nèi)容。 通過添加不同的通道， 并對他們進行網(wǎng)絡(luò)帶寬的

7、分配，可以使符合該通道策略的應(yīng)用得到帶寬的保證或限制。通道配置如 圖 14 所示。圖 14 通道配置配置列表中的項目， 除上班時間流量管理是我們這次添加的項目， 其余均為系統(tǒng)根據(jù)實際情況已制定的通道。此次配置將全部應(yīng)用啟動。下面已低延時保障為例，說明配置參數(shù)。如圖 15 和圖 16 所示。圖 15 低延時保障通道配置圖 16 低延時通道應(yīng)用范圍從圖 16 可以看出，本設(shè)置適用于實時性較高的應(yīng)用，如網(wǎng)游、股票行情和交易等。從圖 15 可以看到，系統(tǒng)預(yù)留 20%的帶寬保證這類應(yīng)用的流量需求。實際操作中， 我們添加了一個命名為上班時間流量限制的通道， 以此為例，講解添加配置步驟。首先，單擊 圖 14

8、 左上角的加號“添加通道” 。如 圖 17 所示，我們設(shè)置通道為限制通道，最大上、下行帶寬為 50%，優(yōu)先級為低，并且設(shè)置單 IP 資源不超過 50Kbps。在通道適用范圍中，我們設(shè)置為適用于所有應(yīng)用，適用對象為臨時人員（自動獲取 IP 地址的人員），生效時間為工作時間，目標IP 組為自動獲取。如 圖 18 所示。其中用戶組 “臨時人員”、生效時間 “工作時間”（周一到周日， 9：00-19 ：00）、目標 IP 組“自動獲取”都是已經(jīng)在對象定義和用戶管理中定義好。當帶寬資源已經(jīng)滿負荷時，系統(tǒng)將保證優(yōu)先級高的通道的帶寬。圖 17 配置帶寬通道設(shè)置實例圖 18 通道適用范圍設(shè)置實例4.7用戶和上

9、網(wǎng)策略4.7.1上網(wǎng)策略制定上網(wǎng)策略的目的是保證帶寬不被非公業(yè)務(wù)占用和協(xié)助行政規(guī)定的實施。這里通過一個示例說明上網(wǎng)策略的配置方法。（本策略不被啟動）。策略目的：在上班時間段，禁止“臨時人員”、 “綜合管理部人員” 、“財務(wù)部人員”、“公司領(lǐng)導(dǎo)”通過互聯(lián)網(wǎng)使用“ HTTP協(xié)議”、“ QQ”、“淘寶”、“迅雷下載”“ P2P 網(wǎng)絡(luò)視頻”。策略啟動后結(jié)果：上述人員在周一到周日9： 00-19 ：00，無法瀏覽網(wǎng)頁，不能通過 QQ聊天，無法使用迅雷下載，無法觀看P2P視頻。設(shè)置步驟如下：1) 添加上網(wǎng)策略單擊導(dǎo)航菜單的“用戶與策略管理” “上網(wǎng)策略” “新增” “上網(wǎng)權(quán)限策略”，如 圖 19 所示。圖

10、 19 添加上網(wǎng)策略2） 配置策略名稱和信息在上網(wǎng)權(quán)限策略頁面中，輸入策略名稱“辦公策略”和策略信息“測試”，如圖20 所示。圖 20 配置策略名稱和信息然后單擊“應(yīng)用”欄下面的顯示器圖標，選擇要配置的應(yīng)用。進入圖 22 所顯示的畫面。選擇好應(yīng)用后，單擊“確定” 。圖 22 應(yīng)用選擇確定后進入 圖 23 所示頁面。圖 234）配置適用組和用戶單擊圖 23 中的“適用組和用戶” ，選中需要禁止應(yīng)用的用戶組，點“提交”如圖 24 所示。圖 24 配置適用組和用戶至此，本策略配置完成。4.7.2用戶管理在用戶管理部分， 已經(jīng)把終端客戶按部門分組添加到系統(tǒng)中，每個用戶與一個或幾個 IP 地址綁定，臺式

11、機用戶綁定一個，筆記本用戶綁定兩個，領(lǐng)導(dǎo)綁定三個。圖 25 所示為組 / 用戶視圖，左側(cè)為用戶組列表，右側(cè)為選中用戶組中的成員。圖 25 中選中的是“公司領(lǐng)導(dǎo)”用戶組，右側(cè)顯示的是改組成員名單。單擊右側(cè)列表中的具體成員名稱， 可以進入該用戶的具體配置信息視圖。 在此可以對該用戶進行配置。配置的內(nèi)容包括用戶屬性（圖 26）和策略列表（ 圖 27）。如圖 26 中設(shè)置用戶“張先龍”綁定IP 地址 0-2，圖 27 中設(shè)置該用戶應(yīng)用策略“辦公策略” ，（該策略未啟動）。圖 25 組/ 用戶視圖圖 26 用戶屬性設(shè)置圖 27用戶策略列表4.8對象定義

12、對象定義部分包含系統(tǒng)配置所用到的基礎(chǔ)信息的定義。其中各種庫資源都由系統(tǒng)自定義，并可從網(wǎng)上自動升級。 本次配置我們定義了IP 組（圖 28）和時間計劃組（圖29）兩項內(nèi)容，其他內(nèi)容可根據(jù)需求再添加。圖 28 IP組定義圖 29 時間計劃組定義4.9實時狀態(tài)監(jiān)控實施狀態(tài)中包括運行狀態(tài)、 安全狀態(tài)、流量狀態(tài)、 上網(wǎng)行為監(jiān)控和在線用戶管理等功能。下面做分別介紹。4.9.1運行狀態(tài)圖 3 所示的是系統(tǒng)實時運行狀態(tài)概覽， 包含資源信息、 接口吞吐率折線圖、 應(yīng)用流量排名、用戶流量排名等。此視圖內(nèi)容可自定義。4.9.2安全狀態(tài)本項統(tǒng)計安全事件列表，如圖 30 所示。圖 30 安全狀態(tài)監(jiān)控4.9.3流量狀態(tài)本項內(nèi)容包括用戶流量排名 （圖 31）、應(yīng)用流量排名（圖 32）、流量管理狀態(tài) （圖33）和連接監(jiān)控（ 圖 34）。圖 31 用戶流量排名圖 32 應(yīng)用流量排名圖 33 流量狀態(tài)管理圖 34 連接監(jiān)控4.9.4上網(wǎng)行為監(jiān)控針對各個用戶的上網(wǎng)行為的監(jiān)控功能。如圖 35 所示。圖 35 上網(wǎng)行為監(jiān)控4.9.5在線用戶管理本項功能是針對在線用戶進行控制管理。如圖 36 所示。圖 36 在線用戶管理4.10統(tǒng)計報表在管理頁面的任何一頁， 單擊右上角的 “內(nèi)置數(shù)據(jù)中心”，將會彈出新的頁面 （圖37），這就是內(nèi)置數(shù)據(jù)中心。在