深信服上網(wǎng)行為管理-管理員手冊(cè)

1、深信服上網(wǎng)行為管理-管理員手冊(cè)深信服電子科技有限公司修訂歷史編R修訂內(nèi)容簡(jiǎn)述修訂日期修訂前版本號(hào)修訂后版本號(hào)修訂人批準(zhǔn)人12版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬深信服所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)深信服的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。錯(cuò)誤！未定義書(shū)簽。錯(cuò)誤！未定義書(shū)簽。錯(cuò)誤！未定義書(shū)簽。目錄第1章前言第2章系統(tǒng)管理設(shè)備登錄管理員配置錯(cuò)誤!未定義書(shū)簽。修改管理員密碼錯(cuò)誤!未定義書(shū)簽。創(chuàng)建二級(jí)管理員錯(cuò)誤!未定義書(shū)簽。系統(tǒng)基本信息配置錯(cuò)誤!未定義書(shū)簽。序列號(hào)錯(cuò)誤!未定義書(shū)簽。系統(tǒng)時(shí)間錯(cuò)誤!未定義

2、書(shū)簽。規(guī)則庫(kù)升級(jí)錯(cuò)誤!未定義書(shū)簽。全局排除地址錯(cuò)誤!未定義書(shū)簽。設(shè)備配置備份與恢復(fù)錯(cuò)誤!未定義書(shū)簽。WEBU選項(xiàng)錯(cuò)誤!未定義書(shū)簽。遠(yuǎn)程維護(hù)錯(cuò)誤!未定義書(shū)簽。第3章網(wǎng)絡(luò)配置錯(cuò)誤!未定義書(shū)簽。部署模式錯(cuò)誤!未定義書(shū)簽。靜態(tài)路由錯(cuò)誤!未定義書(shū)簽。第4章策略管理錯(cuò)誤!未定義書(shū)簽。用戶認(rèn)證與管理錯(cuò)誤!未定義書(shū)簽。用戶組管理錯(cuò)誤!未定義書(shū)簽。認(rèn)證策略錯(cuò)誤!未定義書(shū)簽。不需要認(rèn)證錯(cuò)誤!未定義書(shū)簽。IP/MAC綁定錯(cuò)誤!未定義書(shū)簽。不允許認(rèn)證錯(cuò)誤!未定義書(shū)簽。策略管理錯(cuò)誤!未定義書(shū)簽。購(gòu)物娛樂(lè)類(lèi)網(wǎng)站錯(cuò)誤!未定義書(shū)簽。P2P及P2P媒體封堵錯(cuò)誤!未定義書(shū)簽。外發(fā)文件封堵錯(cuò)誤!未定義書(shū)簽。上網(wǎng)審計(jì)錯(cuò)誤!未定義書(shū)簽

3、。流量管理錯(cuò)誤!未定義書(shū)簽。線路帶寬配置錯(cuò)誤!未定義書(shū)簽。保證通道錯(cuò)誤!未定義書(shū)簽。限制通道錯(cuò)誤!未定義書(shū)簽。終端接入管理錯(cuò)誤!未定義書(shū)簽。共享接入管理錯(cuò)誤!未定義書(shū)簽。第5章日志中心管理錯(cuò)誤!未定義書(shū)簽。日志中心配置錯(cuò)誤!未定義書(shū)簽。準(zhǔn)備工作錯(cuò)誤!未定義書(shū)簽。外置日志中心安裝過(guò)程錯(cuò)誤!未定義書(shū)簽。日志中心登錄錯(cuò)誤!未定義書(shū)簽。同步策略設(shè)置錯(cuò)誤!未定義書(shū)簽。AC同步配置錯(cuò)誤!未定義書(shū)簽。日志中心登錄錯(cuò)誤!未定義書(shū)簽。內(nèi)置日志中心登錄錯(cuò)誤!未定義書(shū)簽。外置日志中心登錄錯(cuò)誤!未定義書(shū)簽。日志查詢錯(cuò)誤!未定義書(shū)簽。所有行為日志錯(cuò)誤!未定義書(shū)簽。網(wǎng)站訪問(wèn)日志錯(cuò)誤!未定義書(shū)簽。郵件收發(fā)日志錯(cuò)誤!未定義書(shū)

4、簽。發(fā)帖/發(fā)微博日志錯(cuò)誤!未定義書(shū)簽。其他日志錯(cuò)誤!未定義書(shū)簽。日志導(dǎo)出錯(cuò)誤!未定義書(shū)簽。流量時(shí)長(zhǎng)分析錯(cuò)誤!未定義書(shū)簽。報(bào)表中心錯(cuò)誤!未定義書(shū)簽。系統(tǒng)管理錯(cuò)誤 ! 未定義書(shū)簽。第1章前言本手冊(cè)用于講解AC常見(jiàn)功能操作方法，為管理員提供日常策略維護(hù)指導(dǎo)。第2章系統(tǒng)管理設(shè)備登錄首先確保本機(jī)從網(wǎng)絡(luò)可以訪問(wèn)到設(shè)備管理IP地址，然后在瀏覽器中輸入網(wǎng)關(guān)的IP及端口。出現(xiàn)一個(gè)如下圖的安全提示：點(diǎn)擊繼續(xù)瀏覽此網(wǎng)站（不推薦）后出現(xiàn)以下的登錄界面：在登陸框輸入【用戶名】和【密碼】，點(diǎn)擊登錄按鈕即可登錄AC設(shè)備進(jìn)行配置，默認(rèn)情況下的用戶名和密碼均為admin。如果用戶密碼過(guò)于簡(jiǎn)單,則會(huì)被檢測(cè)為弱密碼,在控制臺(tái)的處理

5、為:登錄后檢測(cè)為弱密碼則提示修改密碼，則會(huì)彈出如下提示：如果提示超過(guò)15天都沒(méi)有修改則強(qiáng)制修改密碼.則會(huì)彈出如下提示：弱密碼修改:管理員配置在【系統(tǒng)管理】-【系統(tǒng)配置】-【管理員賬戶】頁(yè)面，可修改admin管理員密碼、刪除管理員賬號(hào)以及創(chuàng)建二級(jí)管理員。修改管理員密碼管理員賬戶頁(yè)面找到admin管理員，直接點(diǎn)擊編輯，輸入舊密碼，并設(shè)置新密碼即可修改admin賬號(hào)的密碼信息。注：admin賬號(hào)只可修改密碼，不可刪除。創(chuàng)建二級(jí)管理員在管理員賬戶頁(yè)面，點(diǎn)擊新增可以創(chuàng)建二級(jí)管理員。設(shè)備確實(shí)管理員角色有兩種：administrator：內(nèi)置的角色，該角色的管理員自動(dòng)擁有管理整個(gè)組織結(jié)構(gòu)的管轄范圍，并且還能

6、夠添加刪除管理員帳戶。common系統(tǒng)缺省創(chuàng)建的角色，可通過(guò)角色管理添加或者刪除角色，該角色可設(shè)置管理員可以管理的組織結(jié)構(gòu)范圍。如果選擇管理員角色為common在組織結(jié)構(gòu)權(quán)限設(shè)置處，可以設(shè)置該管理員可以管理的組織結(jié)構(gòu)范圍。在頁(yè)面權(quán)限設(shè)置處，可設(shè)置該管理員可以查看或編輯的控制臺(tái)頁(yè)面。系統(tǒng)基本信息配置序列號(hào)在【系統(tǒng)管理】-【系統(tǒng)配置】-【序列號(hào)】頁(yè)面，可以查看設(shè)備當(dāng)前的授權(quán)信息。序列號(hào)一般在出廠時(shí)已設(shè)置好，正常使用過(guò)程中無(wú)需修改，只有當(dāng)設(shè)備相關(guān)服務(wù)到期時(shí)，才需要修改相關(guān)序列號(hào)。系統(tǒng)時(shí)間【系統(tǒng)管理】-【系統(tǒng)配置】-【系統(tǒng)時(shí)間】用于設(shè)定SANGFO殷備的系統(tǒng)時(shí)間?？梢灾苯釉诮缑嫔闲薷臅r(shí)間，也可以選擇與

7、時(shí)間服務(wù)器進(jìn)行時(shí)間的同步。注：設(shè)備日志記錄的時(shí)間與系統(tǒng)時(shí)間相關(guān)，請(qǐng)注意確保設(shè)備系統(tǒng)時(shí)間的準(zhǔn)確性，手動(dòng)獲取本地時(shí)間和系統(tǒng)時(shí)間會(huì)重啟設(shè)備，請(qǐng)勿工作時(shí)間操作。規(guī)則庫(kù)升級(jí)【系統(tǒng)管理】-【系統(tǒng)配置】-【系統(tǒng)更新】-【規(guī)則庫(kù)升級(jí)】可以查看當(dāng)前設(shè)備規(guī)則庫(kù)的最新?tīng)顟B(tài)，請(qǐng)確保設(shè)備管理IP能夠訪問(wèn)互聯(lián)網(wǎng)，以便設(shè)備自動(dòng)更新規(guī)則庫(kù)。全局排除地址【系統(tǒng)管理】-【系統(tǒng)配置】-【全局排除地址】可設(shè)置指定用戶IP或訪問(wèn)的目標(biāo)服務(wù)器的IP不受任何監(jiān)控和控制，直接放行。排除地址支持填寫(xiě)IPV4地址、IPV6地址、域名。點(diǎn)擊自定義排除地址頁(yè)面的添加，在文本框內(nèi)輸入需要排除的IP或域名即可。設(shè)備配置備份與恢復(fù)【配置備份與恢復(fù)】用于將

8、設(shè)備已有的配置下載保存，或者是將已備份的配置文件恢復(fù)到設(shè)備中。WEBUI選項(xiàng)【系統(tǒng)管理】-【系統(tǒng)配置】-【高級(jí)配置】-【W(wǎng)EBUI選項(xiàng)】頁(yè)面可以設(shè)置當(dāng)前的頁(yè)面參數(shù)，如默認(rèn)編碼、控制登錄端口、超時(shí)時(shí)間等。遠(yuǎn)程維護(hù)【系統(tǒng)管理】-【系統(tǒng)配置】-【高級(jí)配置】-【遠(yuǎn)程維護(hù)】頁(yè)面用于設(shè)置是否允許從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，以及自動(dòng)上報(bào)未識(shí)別URL系統(tǒng)錯(cuò)誤、未知應(yīng)用信息和技術(shù)支持協(xié)助。WAN 口啟用遠(yuǎn)程維護(hù)用于設(shè)置是否允許從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，勾選此項(xiàng)的同時(shí)，設(shè)備的ping，平時(shí)一般建議關(guān)閉該選項(xiàng)。第3章網(wǎng)絡(luò)配置部署模式AC設(shè)備支持路由模式、網(wǎng)橋模式、旁路模式三種部署模式。路由模式:一般用于沒(méi)有防火墻的中小客戶。

9、設(shè)備做為一個(gè)路由設(shè)備使用，對(duì)網(wǎng)絡(luò)改動(dòng)最大，但可以實(shí)現(xiàn)設(shè)備的所有的功能；網(wǎng)橋模式：可以把設(shè)備視為一條帶過(guò)濾功能的網(wǎng)線使用，可不更改原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下平滑架到網(wǎng)絡(luò)中。目前在客戶中使用最多的部署模式；旁路模式：僅做旁路審計(jì)，需要交換機(jī)做鏡像至AC。本例以網(wǎng)橋模式部署為案例，配置需求及步驟如下：需求：目前網(wǎng)絡(luò)已部署防火墻設(shè)備IP地址為，內(nèi)網(wǎng)三層環(huán)境，核心交換機(jī)地址，AC網(wǎng)橋部署在防火墻和核心交換機(jī)之間，分配給AC設(shè)備的地址為，配置步驟如下：1 .通過(guò)【系統(tǒng)管理】-【網(wǎng)絡(luò)配置】-【部署模式】進(jìn)入配置界面，點(diǎn)擊開(kāi)始配置，選擇網(wǎng)橋模式。2 .點(diǎn)擊下一步，選擇網(wǎng)橋的網(wǎng)口。本案例采用ETH0和ETH2作為

10、一對(duì)網(wǎng)橋口，ETH0作為L(zhǎng)AN區(qū)網(wǎng)口，ETH2作為WANK網(wǎng)口。3. 點(diǎn)擊下一步，設(shè)置AC設(shè)備的網(wǎng)橋IP:4. 點(diǎn)擊下一步，設(shè)置DMZf理口的IP地址，可保持默認(rèn)配置：5. 點(diǎn)擊下一步，設(shè)置設(shè)備上網(wǎng)的網(wǎng)關(guān)和DNS：6. 點(diǎn)擊下一步，確認(rèn)和提交配置：注：點(diǎn)擊提交后，設(shè)備會(huì)自動(dòng)重啟，重啟時(shí)間一般為1-5分鐘，請(qǐng)勿在工作時(shí)間修改設(shè)備部署模式配置。靜態(tài)路由如上需求，由于內(nèi)網(wǎng)三層環(huán)境，需要增加內(nèi)網(wǎng)網(wǎng)段的回包路由指向核心交換機(jī)，如內(nèi)網(wǎng)有、等。1. 通過(guò)【系統(tǒng)管理】-【網(wǎng)絡(luò)配置】-【靜態(tài)路由】進(jìn)入配置界面。2. 點(diǎn)擊新增，設(shè)置需要添加的路由目的地址、子網(wǎng)掩碼，下一跳指向核心交換機(jī)。3. 點(diǎn)擊提交完成配置，如

11、果有多個(gè)網(wǎng)段，可添加多條路由。第4章策略管理用戶認(rèn)證與管理用戶組管理為了便于區(qū)分員工角色進(jìn)行策略管理，我們可以將上網(wǎng)用戶進(jìn)行分組管理，【用戶認(rèn)證與管理】-【用戶管理】-【組/用戶】頁(yè)面是AC用戶組織結(jié)構(gòu)管理的地方。成員列表點(diǎn)在該頁(yè)面組織結(jié)構(gòu)下選擇指定組，可在該組下創(chuàng)建用戶以及用戶組，在右邊擊新增，選擇新增類(lèi)型組定義組名，如“市場(chǎng)部”，點(diǎn)擊提交即可，該組適用的上網(wǎng)策略，可在后面策略管理時(shí)指定。認(rèn)證策略【認(rèn)證策略】決定了某個(gè)IP/網(wǎng)段/MAC地址上計(jì)算機(jī)的認(rèn)證方式。通過(guò)【認(rèn)證策略】設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式，以及新用戶添加的策略。認(rèn)證策略是從上往下逐條匹配的，可以通過(guò)頁(yè)面上的移動(dòng)按鈕來(lái)調(diào)整認(rèn)證策略優(yōu)先

12、級(jí)。通過(guò)認(rèn)證策略可以為不同的網(wǎng)段配置不同的認(rèn)證方式。認(rèn)證策略可以指定的認(rèn)證方式有不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄、不允許認(rèn)證4種，根據(jù)不同的認(rèn)證策略可實(shí)現(xiàn)不同的用戶認(rèn)證需求。不需要認(rèn)證在認(rèn)證策略頁(yè)面點(diǎn)擊新增設(shè)置該策略適用的范圍后點(diǎn)擊下一步，適用范圍可以是IP、MAC、IP段以及子網(wǎng)。選擇認(rèn)證方式為不需要認(rèn)證，繼續(xù)點(diǎn)擊下一步選擇用戶以組織結(jié)構(gòu)中那個(gè)組的身份上線后點(diǎn)擊提交即可。IP/MAC綁定二層環(huán)境1 與不需要認(rèn)證用戶設(shè)置方法相同，但認(rèn)證后處理方式需勾選自動(dòng)錄入綁定關(guān)系-自動(dòng)錄入IP和MAC勺綁定關(guān)系 選項(xiàng)2用戶上網(wǎng)后，在【用戶認(rèn)證與管理】動(dòng)綁定了終端第一次上網(wǎng)的 IP和MAC言息,在該頁(yè)面可對(duì)相

13、關(guān)信息進(jìn)行添加、刪除和修改操作。-【用戶管理】-【IP/MAC綁定】頁(yè)面可以看到系統(tǒng)自其中public 為三層交換機(jī)的Community其中all 表示所有版本進(jìn)入全局配置狀態(tài)啟用 CDP其中 public 為三層交換機(jī)的Community允許設(shè)備將所有類(lèi)型 SNMP Trap發(fā)送出去三層環(huán)境三層環(huán)境下，由于內(nèi)網(wǎng)用戶經(jīng)過(guò)三層交換機(jī)后，MAC地址會(huì)被三層交換機(jī)替換掉，因此還需要在核心交換機(jī)上開(kāi)啟SNMPJ艮務(wù)，以支持AC跨三層環(huán)境下的IP/MAC綁定。1 .在核心交換機(jī)上開(kāi)啟SNMPI艮務(wù)。華為交換機(jī)的配置命令：system_viewsnmp-agentcommunityreadpublicsn

14、mp-agentsys-infoversionall思科交換機(jī)的配置命令：configterminalCdprunsnmp-servercommunitypublicrosnmp-serverenabletraps注：三層交換機(jī)需啟用SNMP協(xié)議，AC作為SNMP客戶端通過(guò)SNMP讀取交換機(jī)，只支持SNMPv1,v2,v2c,不支持v3。2 .在【用戶認(rèn)證與管理】-【認(rèn)證高級(jí)選項(xiàng)】-【跨三層取MAC頁(yè)面，開(kāi)啟跨三層MACR別功SNM建項(xiàng)可以新增多個(gè)SNMP服務(wù)器，如果內(nèi)網(wǎng)存在多個(gè)三層交換機(jī)，則每個(gè)三層交換機(jī)的均需要開(kāi)啟，如下圖點(diǎn)擊上圖“查看服務(wù)器信息”測(cè)試能否從交換機(jī)獲取PC的IP和MAC有返

15、回結(jié)果則能正常獲取，如下圖完成新增SNMPI艮務(wù)器后，可以查看配置的所有交換機(jī)當(dāng)前snmp獲取的結(jié)果，如下圖接下來(lái)，需要配置排除核心交換機(jī)的MACM址，如下圖。實(shí)際使用時(shí)，可開(kāi)啟設(shè)備自動(dòng)識(shí)別三層交換機(jī)的MAC并自動(dòng)添加到MACM址排除列表，如下圖啟用“自動(dòng)添加排除”，定義10分鐘內(nèi)同一個(gè)IP對(duì)應(yīng)的MACM址記錄數(shù)，推薦配置5。當(dāng)同一個(gè)MACfe到設(shè)置條件時(shí)，AC認(rèn)為是三層交換機(jī)的MAG&址，自動(dòng)將其排除。3 .與二次環(huán)境一樣，設(shè)置認(rèn)證策略，認(rèn)證后處理選擇自動(dòng)錄入IP和MAC勺綁定關(guān)系。不允許認(rèn)證認(rèn)證方式設(shè)置為不允許認(rèn)證的網(wǎng)段，將無(wú)法通過(guò)設(shè)備訪問(wèn)任何網(wǎng)絡(luò)。在認(rèn)證策略頁(yè)面點(diǎn)擊新增直接點(diǎn)擊提

16、交即可。策略管理【策略管理】模塊設(shè)置的策略主要包含封堵、審計(jì)等策略，以下分別以案例的形式介紹一些常見(jiàn)的策略設(shè)置方式。購(gòu)物娛樂(lè)類(lèi)網(wǎng)站需求：禁止全公司上班時(shí)間訪問(wèn)購(gòu)物、娛樂(lè)類(lèi)網(wǎng)站。1. 【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入上網(wǎng)權(quán)限策略編輯界面。填寫(xiě)策略名稱，描述信息。2. 勾選策略設(shè)置-上網(wǎng)權(quán)限策略-應(yīng)用控制，右邊進(jìn)入應(yīng)用控制窗口。點(diǎn)擊添加按鈕。3. 點(diǎn)擊應(yīng)用下方的，進(jìn)入【選擇應(yīng)用】窗口。4. 展開(kāi)應(yīng)用“訪問(wèn)網(wǎng)站”，選擇“網(wǎng)上購(gòu)物”和“娛樂(lè)”5. 點(diǎn)擊確定按鈕?；氐綉?yīng)用控制頁(yè)面。生效時(shí)間選擇上班時(shí)間，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成網(wǎng)

17、上購(gòu)物和娛樂(lè)類(lèi)網(wǎng)站拒絕設(shè)置。6. 選擇適用對(duì)象選項(xiàng)，進(jìn)行策略與用戶/組關(guān)聯(lián)，勾選“所有用戶”，即可關(guān)聯(lián)全網(wǎng)用戶。7. 點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。P2P及P2P流媒體封堵需求：禁止市場(chǎng)部門(mén)用戶及其所有子組在上班時(shí)間使用P2P和P2P流媒體。1. 【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入上網(wǎng)權(quán)限策略編輯界面。填寫(xiě)策略名稱，描述信息。2. 勾選策略設(shè)置-上網(wǎng)權(quán)限策略-應(yīng)用控制，右邊進(jìn)入應(yīng)用控制窗口。點(diǎn)擊添加按鈕。3. 點(diǎn)擊應(yīng)用下方的，進(jìn)入【選擇應(yīng)用】窗口。4. 選擇應(yīng)用“P2P'和"P2P流媒體”5. 點(diǎn)擊確定按鈕。回

18、到應(yīng)用控制頁(yè)面。生效時(shí)間選擇上班時(shí)間，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成P2P和P2P流媒體應(yīng)用拒絕設(shè)置。6. 選擇適用對(duì)象選項(xiàng)，進(jìn)行策略與用戶/組關(guān)聯(lián)。7. 點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。外發(fā)文件封堵需求：為了避免公司重要資料通過(guò)網(wǎng)絡(luò)外泄，禁止研發(fā)和財(cái)務(wù)部門(mén)一切外發(fā)行為。1. 【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入上網(wǎng)權(quán)限策略編輯界面。填寫(xiě)策略名稱，描述信息。2. 勾選策略設(shè)置-上網(wǎng)權(quán)限策略-應(yīng)用控制，右邊進(jìn)入應(yīng)用控制窗口。點(diǎn)擊添加按鈕。3. 點(diǎn)擊應(yīng)用下方的，進(jìn)入【選擇應(yīng)用】窗口。4. 選擇左側(cè)應(yīng)用標(biāo)簽“外發(fā)文件泄密風(fēng)險(xiǎn)”。5.

19、點(diǎn)擊確定按鈕。回到應(yīng)用控制頁(yè)面。生效時(shí)間選擇全天，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成外發(fā)文件封堵設(shè)置。6. 選擇適用對(duì)象選項(xiàng)，選擇“研發(fā)部”和“財(cái)務(wù)部”。7. 點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。上網(wǎng)審計(jì)需求：對(duì)內(nèi)網(wǎng)所有用戶開(kāi)啟審計(jì)，審計(jì)所有網(wǎng)絡(luò)行為。1. 【策略管理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁(yè)面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)審計(jì)策略，進(jìn)入【上網(wǎng)審計(jì)策略】界面。填寫(xiě)策略名稱，描述信息。2. 勾選策略設(shè)置-應(yīng)用審計(jì)，右邊進(jìn)入應(yīng)用審計(jì)編輯窗口。點(diǎn)擊添加，進(jìn)入添加審計(jì)對(duì)象頁(yè)面。3. 點(diǎn)擊審計(jì)對(duì)象下方的按鈕，進(jìn)入選擇審計(jì)對(duì)象編輯窗口。選擇需要開(kāi)啟的審計(jì)記錄，設(shè)置審計(jì)訪問(wèn)網(wǎng)站的URb選擇生效時(shí)

20、間為上班時(shí)間。注：不建議開(kāi)啟未識(shí)別的網(wǎng)絡(luò)應(yīng)用日志，該日志類(lèi)似防火墻日志，對(duì)上網(wǎng)行為管理審計(jì)來(lái)說(shuō)意義不大。4. 選擇適用的對(duì)象，這個(gè)需求選擇所有用戶即可：5. 點(diǎn)擊提交按鈕，完成整個(gè)策略。流量管理【流量管理】支持保證和限制通道兩種形式，分別用于針對(duì)重要應(yīng)用的流量保障和大流量應(yīng)用的帶寬限制，線路帶寬配置設(shè)置流量管理配置前，需要先根據(jù)出口互聯(lián)網(wǎng)帶寬設(shè)置帶寬參數(shù)。點(diǎn)擊對(duì)應(yīng)的線路名稱即可編輯帶寬參數(shù)，如下圖設(shè)置線路1上行4Mbps,下行100Mbps保證通道需求：針對(duì)HTTP訪問(wèn)網(wǎng)站、DNS視頻會(huì)議彳證上行2Mbps,下行20Mbps,以確保網(wǎng)絡(luò)繁忙時(shí)這些應(yīng)用能優(yōu)先處理。1. 【流量管理】-【通道配置】

21、，右邊進(jìn)入【通道配置】編輯頁(yè)面。然后點(diǎn)擊新增通道按鈕，選擇一級(jí)通道，進(jìn)入【新增一級(jí)通道】界面。填寫(xiě)策略名稱。2. 選則保證通道,設(shè)置上行帶寬保證2Mbps,下行帶寬保證20Mbps,優(yōu)先級(jí)高。3. 點(diǎn)擊通道使用范圍。適用應(yīng)用選擇自定義，點(diǎn)擊進(jìn)入按鈕，進(jìn)入自定義適用服務(wù)與應(yīng)用編輯窗口。4. 選擇應(yīng)用訪問(wèn)網(wǎng)站、DNS網(wǎng)絡(luò)會(huì)議，點(diǎn)擊確認(rèn)。5. 點(diǎn)擊確定按鈕，完成整個(gè)策略。限制通道需求：針對(duì)普通員工，限制整個(gè)組的P2P和P2P流媒體上行不超過(guò)1Mbps,下行不超過(guò)10Mbps,單用戶最大上行500Kbps,下行1Mbps,以避免普通員工P2P下載占滿帶寬，應(yīng)用其他正常辦公業(yè)務(wù)。1. 【流量管理】-【通

22、道配置】，右邊進(jìn)入【通道配置】編輯頁(yè)面。然后點(diǎn)擊新增通道按鈕，選擇一級(jí)通道，進(jìn)入【新增一級(jí)通道】界面。填寫(xiě)策略名稱。2. 選擇限制通道，設(shè)置上行帶寬最大1Mbps,下行帶寬最大10Mbp33. 勾選啟用單IP最大帶寬,設(shè)置上行500kbps,下行1Mbps=4. 點(diǎn)擊通道使用范圍。5. 適用應(yīng)用選擇自定義，點(diǎn)擊進(jìn)入按鈕，進(jìn)入自定義適用服務(wù)與應(yīng)用編輯窗口。6. 選擇應(yīng)用P2RP2P流媒體，點(diǎn)擊確認(rèn)。7. 適用對(duì)象選擇自定義，點(diǎn)擊進(jìn)入按鈕，進(jìn)入自定義適用對(duì)象編輯窗口。8. 選擇本地用戶-普通員工組，點(diǎn)擊確定。9. 點(diǎn)擊確定按鈕，完成整個(gè)策略。終端接入管理共享接入管理需求：用戶內(nèi)網(wǎng)存在大量電腦，移動(dòng)

23、終端共享熱點(diǎn)，需要封堵電腦和移動(dòng)用戶的通過(guò)代理方式上網(wǎng)的行為。配置步驟如下：1. 【終端接入管理】-【共享接入管理】，右邊進(jìn)入【共享接入管理】的配置頁(yè)面。勾選啟用共享接入檢測(cè)，如下圖所示：2. 在【共享接入管理】頁(yè)面，點(diǎn)擊編輯配置選項(xiàng)，如下圖所示：統(tǒng)計(jì)方式選擇“統(tǒng)計(jì)所有終端”，可識(shí)別PC與PC、PC與移動(dòng)終端，移動(dòng)終端與移動(dòng)終端之間的共享。凍結(jié)選項(xiàng)選擇凍結(jié)IP地址，一個(gè)IP地址只允許一個(gè)用戶上線。3. 【終端接入管理】-【共享接入管理】，右邊進(jìn)入【信任列表】的配置頁(yè)面，對(duì)不需要開(kāi)啟代理檢測(cè)的用戶、用戶組或IP地址，添加到信任列表。如下圖所示：注：共享終端管理存在一定誤判幾率，建議可先開(kāi)啟檢測(cè)不

24、凍結(jié)運(yùn)行一段時(shí)間后，確認(rèn)誤判率比較低后，再開(kāi)啟凍結(jié)。第5章日志中心管理日志中心配置AC設(shè)備出廠時(shí)一般自帶了500G的硬盤(pán)，如果您需要存儲(chǔ)的日志較少，可直接使用內(nèi)置日志中心。如果您需要保存的日志時(shí)間較長(zhǎng)，由于設(shè)備內(nèi)置存儲(chǔ)的硬盤(pán)容量有限，并且設(shè)備日志查詢和報(bào)表統(tǒng)計(jì)會(huì)消耗一定設(shè)備的性能，建議安裝外置日志中心，設(shè)備會(huì)將相關(guān)日志同步到外置數(shù)據(jù)中心。準(zhǔn)備工作1、2008及之后的服務(wù)器操作系統(tǒng)，并且系統(tǒng)要求是64位操作系統(tǒng)。（請(qǐng)根據(jù)內(nèi)置日志中心每天日志量合理評(píng)估服務(wù)器的存儲(chǔ)空間，NTFS格式）注：每天日志量超過(guò)20G,服務(wù)器配置選型請(qǐng)咨詢深信服技術(shù)支持工程師。2、數(shù)據(jù)中心安裝包，請(qǐng)登錄深信服官網(wǎng)下載相應(yīng)的數(shù)

25、據(jù)中心版本：&action=view&fid=87#/75/all注：中文安裝包支持在簡(jiǎn)體中文和繁體中文操作系統(tǒng)上運(yùn)行，英文安裝包僅支持在英文操作系統(tǒng)上運(yùn)行。3、日志中心服務(wù)器和AC之間需開(kāi)放TCP810,以供數(shù)據(jù)同步。4、日志中心服務(wù)器需開(kāi)放443端口（可修改），以供外置日志中心登錄。外置日志中心安裝過(guò)程從深信服網(wǎng)站上下載安裝程序，雙擊程序，即出現(xiàn)程序安裝向?qū)В缑嫒缦聢D所示：點(diǎn)擊下一步，選擇是否同意許可協(xié)議，勾選我愿意接受此協(xié)議，即可點(diǎn)擊下一步，繼續(xù)安裝，界面如下圖所示：點(diǎn)擊下一步，彈出如下界面：這一步用于設(shè)置程序安裝目錄、日志存放目錄以及附件的存放目錄：點(diǎn)擊下一步，彈出如

26、下界面：這一步用于設(shè)置Web服務(wù)的監(jiān)聽(tīng)端口，推薦使用默認(rèn)的443端口（登陸方式：，如果443端口已被其他程序占用，則可以修改成服務(wù)器上其他的空閑端口，界面如下圖所示：設(shè)置好Web服務(wù)端口，點(diǎn)擊下一步，彈出如下界面：設(shè)置磁盤(pán)預(yù)警。請(qǐng)?zhí)峁┳銐虻拇疟P(pán)空間用于存放期望的日志量。點(diǎn)擊下一步：設(shè)置是否開(kāi)啟磁盤(pán)異常告警和數(shù)據(jù)中心異常告警點(diǎn)擊下一步，設(shè)置預(yù)警郵件的發(fā)送和接收郵件地址：點(diǎn)擊下一步，安裝程序會(huì)彈出詳細(xì)的配置信息，界面如下圖所示：如果確認(rèn)這些信息無(wú)誤，則點(diǎn)擊安裝，此時(shí)程序?qū)⒆詣?dòng)安裝，整個(gè)安裝過(guò)程可能會(huì)占用您2-3分鐘，請(qǐng)耐心等待。安裝完成后，會(huì)出現(xiàn)如下界面：點(diǎn)擊完成，即完成了數(shù)據(jù)中心的整個(gè)安裝過(guò)程。

27、日志中心登錄日志中心安裝過(guò)程中如果采用默認(rèn)端口443，則日志中心的訪問(wèn)地址訪問(wèn)地址是：，如果服務(wù)器IP為，則訪問(wèn)地址為登陸界面如下：在登錄框中輸入用戶名和密碼，點(diǎn)擊登錄按鈕即可登錄數(shù)據(jù)中心的查詢頁(yè)面，默認(rèn)情況下的用戶名和密碼均為admin。同步策略設(shè)置在日志中心【系統(tǒng)管理】-【系統(tǒng)配置】-【同步策略】創(chuàng)建同步策略，用于設(shè)置數(shù)據(jù)中心與網(wǎng)關(guān)同步日志的策略。如下圖所示：點(diǎn)擊新建，新建同步策略：同步策略名：同步策略名可以自定義設(shè)置，但是需與AC網(wǎng)關(guān)的數(shù)據(jù)中心同步配置的同步賬號(hào)一致。接入密鑰：接入密鑰也需與AC網(wǎng)關(guān)的數(shù)據(jù)中心同步配置的同步密鑰保持一致。描述：設(shè)置同步策略的描述信息。同步選項(xiàng)：設(shè)置從哪天的

28、日志開(kāi)始同步。選擇需要同步的日志：勾選需要同步到外置數(shù)據(jù)中心的日志類(lèi)型。點(diǎn)擊提交，生效和保存配置。AC同步配置在AC管理界面【系統(tǒng)管理】-【系統(tǒng)配置】-【日志中心配置】新增同步配置，根據(jù)外置日志中心設(shè)置的IP地址、同步策略名和密鑰設(shè)置同步。寫(xiě)入外置日志中心IP地址后，設(shè)備會(huì)自動(dòng)發(fā)現(xiàn)日志中心創(chuàng)建的同步策略，選擇之前定義的同步策略即可。日志中心登錄內(nèi)置日志中心登錄內(nèi)置日志中心的登錄接口在設(shè)備控制臺(tái)頁(yè)面右上角，點(diǎn)擊即可進(jìn)入內(nèi)置日志中心。外置日志中心登錄日志中心安裝過(guò)程中如果采用SSL加密方式登錄，默認(rèn)端口443，日志中心的訪問(wèn)地址為：，如果服務(wù)器IP為，則訪問(wèn)地址為在登錄框中輸入用戶名和密碼，點(diǎn)擊登

29、錄按鈕即可登錄數(shù)據(jù)中心的查詢頁(yè)面，默認(rèn)情況下的用戶名和密碼均為admin。內(nèi)置日志中心和外置日志中心登錄后的界面基本相同。日志查詢所有行為日志用于查詢用戶或用戶組的所有行為日志，步驟如下：1. 設(shè)置查詢條件2. 選擇需要查詢的日期范圍，需要查詢的用戶/組、應(yīng)用，如果需要針對(duì)IP地址查詢，可點(diǎn)擊顯示高級(jí)選項(xiàng)3. 在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊查詢，即可查詢出這個(gè)IP地址的所有上網(wǎng)日志。4. 點(diǎn)擊每條記錄最后面的詳情，可查看這條日志的詳細(xì)信息。網(wǎng)站訪問(wèn)日志用于查詢用戶或用戶組的網(wǎng)站訪問(wèn)日志，步驟如下：1. 設(shè)置查詢條件2. 選擇需要查詢的日期范圍，需要查詢的用戶/組、網(wǎng)站分類(lèi)，如果需要針對(duì)IP地址查詢，可點(diǎn)擊顯示高級(jí)選項(xiàng)3. 在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊查詢，即可查詢出這個(gè)IP地址的所有網(wǎng)站訪問(wèn)日志。訪問(wèn)網(wǎng)站日志可以根據(jù)URL中的關(guān)鍵字進(jìn)行搜索。郵件收發(fā)日志用于查詢用戶或用戶組的郵件日志，步驟如下：1. 設(shè)置查詢條件2. 選擇需要查詢的