用戶手冊2.2配置和使用

.................................................................................................................................................vii前 手冊內(nèi) 本書約 圖形界面格式約 各類標(biāo) 技術(shù)支 致 第1章安裝指 環(huán)境要 電 產(chǎn)品外 配置與管 設(shè)備接線方 第2章控制臺的使 登錄WebUI配置界 配置和使 第3章功能說 運(yùn)行狀 系統(tǒng)狀 實(shí)時(shí)風(fēng) 最近安全事 服務(wù)器安全事 終端安全事 最近來 IP流量...........................................................................................................用戶流量.......................................................................................................應(yīng)用流量.......................................................................................................流量管理狀 DHCP運(yùn)行狀 用戶管 聯(lián)動源 網(wǎng)絡(luò)配 接口/區(qū) 路 虛擬網(wǎng) 高級網(wǎng)絡(luò)配 安全防護(hù)對 3.3.1.特征識別 WEB應(yīng)用防護(hù)特征 實(shí)時(shí)分析識別 數(shù)據(jù)泄密防護(hù)識別 僵尸網(wǎng)絡(luò)識別規(guī)則 自定義規(guī)則 基本設(shè) 用戶管 連接管 虛擬IP 接口設(shè)置 內(nèi)網(wǎng)接口設(shè) 多線路選路策 本地子網(wǎng)列 隧道間路由設(shè) 第對 通用設(shè) 高級設(shè) 對象定 應(yīng)用特征識別 應(yīng)用智能識別 自定義應(yīng) URL分類 服 IP 時(shí)間計(jì) 文件類型 信任的頒發(fā)機(jī) 認(rèn)證系 用戶管 用戶認(rèn) ...........................................................................................................................256地址轉(zhuǎn) 連接數(shù)控 DoS/DDoS防 ARP防 內(nèi)容安 應(yīng)用控制策 防御策 WEB過 服務(wù)器保 WEB應(yīng)用防 篡改防 風(fēng)險(xiǎn)發(fā)現(xiàn)和防 風(fēng)險(xiǎn)分 WEB掃 實(shí)時(shí)分 流量管 概 流量通道匹配及優(yōu)先 通道配 虛擬線路配 系 系統(tǒng)配 管理員賬 高可用 日志設(shè) 郵件服務(wù) 郵件告 告 全局排除地 頁面定 集中管 ......................................................................................................................系統(tǒng)更 備份與恢 系統(tǒng)故障日 命令行控制 數(shù)據(jù)包日志與直 技術(shù)支 重啟網(wǎng)關(guān)/服 配置向 設(shè)備作為網(wǎng)關(guān)（路由模式 數(shù)據(jù)鏡像（旁路模式 不改變原有網(wǎng)絡(luò)（網(wǎng)橋透明模式 用戶認(rèn) 保護(hù)服務(wù) 保護(hù)內(nèi)網(wǎng)用戶上網(wǎng)安 保護(hù)內(nèi)網(wǎng)用戶上網(wǎng)帶 保護(hù)遭到及時(shí)提醒和保留.................................................................第4章數(shù)據(jù)中 統(tǒng)計(jì)分 服務(wù)器安 終端安 流量統(tǒng) 應(yīng)用統(tǒng) .............................................................................................................殺毒統(tǒng) 日志查 DOS............................................................................................................WEB應(yīng)用防 查 .............................................................................................................應(yīng)用控 用戶登錄/注 系統(tǒng)操 報(bào) 報(bào)表訂 自定義報(bào) 系 系統(tǒng)設(shè) 日志 第5章案例 .設(shè)備部署配置案 路由接口配置案 透明接口配置案 虛擬網(wǎng)線接口配置案 旁路鏡像接口配置案 子接口配置案 混合部署配置案 策略路由配置案 策略路由配置案例 策略路由配置案例 ARP配置案 .DHCP配置案 服務(wù)器配置案 DHCP中繼配置案 Dos/DDos防護(hù)配置案 .內(nèi)容安全配置案 應(yīng)用控制策略配置案 URL過濾配置案 文件類型過濾配置案 IPS典型配置案 WEB應(yīng)用防護(hù)配置案 WEB應(yīng)用防護(hù)配置案例一 WEB應(yīng)用防護(hù)配置案例二數(shù)據(jù)防泄 防篡改應(yīng)用案 風(fēng)險(xiǎn)分析案 雙機(jī)熱備典型應(yīng)用案 雙機(jī)熱備案例 雙機(jī)熱備案例 附錄SANGFOR設(shè)備升級系統(tǒng)的使 不得以本手冊內(nèi)容如發(fā)生更改，恕不另行通知如需要獲取手冊，請聯(lián)系深信服電子科技前手冊內(nèi)1SANGFORNGAFNGAF設(shè)備的外觀特點(diǎn)及2SANGFORNGAF控制臺的使用，如何登陸控制臺等。第3部分SANGFORNGAF的功能說明及使用。5部分案例集。講解各功能模塊在常見環(huán)境下的配置案例本手冊以深信服 GAF1320 為例進(jìn)行配置。由于各型號產(chǎn)品硬件和軟件規(guī)格定差異，所有涉及產(chǎn)品規(guī)格的問題需要和深信服科技聯(lián)系確認(rèn)。本書約圖形界面格文字描代替符舉“確定”按鈕可簡化為確『→[DLAN服務(wù)才能生效，是否立即重啟該服務(wù)各類標(biāo)本書還采用各種醒目標(biāo)志來表示在操作過程中應(yīng)該特別注意的地方，這些標(biāo)志的意下、注意：警告：該標(biāo)志后的注釋需給予格外的關(guān)注，不當(dāng)?shù)牟僮骺赡軙o人身造成 說明、提示、竅門：對操作內(nèi)容的描述進(jìn)行必要的補(bǔ)充和說明。技術(shù)支用戶支持郵箱 技術(shù)支持： 公司致過 、 ，。1裝指環(huán)境要SANGFORNGAF設(shè)備可在如下的環(huán)境??????關(guān)。電SANGFORNGAF110V230V電源。在您接通電源之前，請保證產(chǎn)品外1：SANGFORNGAF前面板（NGAF1320為例1.CONSOLE(控制) 7.MANAGE(管理)告 在設(shè)備啟動期間是紅燈長亮的。一般一兩分鐘后紅燈熄滅說明正常啟動如紅燈長時(shí)間不熄滅，請關(guān)閉設(shè)備等待5分鐘后重新開機(jī)。如果還是長亮，請聯(lián)系部門確認(rèn)是否設(shè)備損壞。正常啟動后，有時(shí)紅燈會閃爍，這是正?，F(xiàn)象，紅燈閃爍表示設(shè)備正在寫系統(tǒng)日志?？刂瓶?開發(fā)和測試調(diào)試使用。最終用戶需通過控制臺網(wǎng)口接入設(shè)備用（如InternetExplorer然后把電腦與SANGFORNGAF連接在同一個(gè)局域網(wǎng)內(nèi)，通過網(wǎng)NGAF設(shè)備的管理口為MANAGE(ETH0)口，管理口默認(rèn)出廠IP為51/24。初次登陸設(shè)備，請用網(wǎng)線連接MANAGE(ETH0)口到局域網(wǎng)或直接連接電腦。設(shè)備接線方在背板上連接電源線，打開電源開關(guān)，此時(shí)前面板的Power燈（綠色，電源指示燈）和Alarm燈（紅色，告）會點(diǎn)亮。大約1-2分鐘后Alarm燈熄滅，說明網(wǎng)關(guān)正常工作。請用標(biāo)準(zhǔn)的RJ-45以太網(wǎng)線將MANAGE(ETH0)口與局域網(wǎng)連接，對NGAF設(shè)備進(jìn)行 設(shè)備正常工作時(shí)POWER燈常亮，接線的數(shù)據(jù)接口LINK燈長亮，ACT燈在有數(shù)據(jù)流量時(shí)會不停閃爍。ARM紅色指示燈只在設(shè)備啟動時(shí)因系統(tǒng)加載會長亮（約一分鐘，正常工作時(shí)熄滅。如果在安裝時(shí)此紅燈長亮，請將設(shè)備斷電重啟，重啟之后若紅燈一直長亮不能熄滅，請與我們聯(lián)系。網(wǎng)口直接連接MODEM和交換機(jī)應(yīng)使用直連線、連接路由器和電腦網(wǎng)口應(yīng)使用交叉線。當(dāng)指示燈顯示正常，但不能正常連接的時(shí)候，請檢查連接線是否使用錯(cuò)誤。直連網(wǎng)線與交叉網(wǎng)線的區(qū)別在于網(wǎng)線兩端的線序不同，如下圖：1直連線、交2制臺的使登錄WebUI錄從管理口(MANAGE)登錄，那么登錄的URL為：HTTPS登錄WEBUI管理NGAF可以防止配置過程在傳輸過程中被截獲而產(chǎn)生如何登NGAF設(shè)備控制臺頁10.251.251.XIP（00點(diǎn)擊是后出現(xiàn)以下的登錄界在登陸框輸入『用戶名』和『』，點(diǎn)擊登錄按鈕即可登錄NGAF 廠情況下的用戶名和為admin/admin。IE 控制臺右下角 用于實(shí)時(shí)通知設(shè)備的一些系統(tǒng)信息和告警信息所有配置界面中的圖標(biāo)，當(dāng)鼠標(biāo)放到此圖標(biāo)上時(shí)，可以顯示當(dāng)前配置項(xiàng)的簡要幫助3能說運(yùn)行狀『運(yùn)行狀態(tài)』主要用于查看設(shè)備的基本狀態(tài)信息，包括『系統(tǒng)狀態(tài)』、『實(shí)時(shí)風(fēng)險(xiǎn)』近 近 『 『『聯(lián)動源IP系統(tǒng)量。在【系統(tǒng)狀態(tài)】界面點(diǎn)擊選擇顯示模塊，出現(xiàn)如下界面在此來選擇【系統(tǒng)狀態(tài)】頁面中需要顯示的狀態(tài)信息在【運(yùn)行狀態(tài)】界面點(diǎn)擊恢復(fù)默認(rèn)顯示模塊，會恢復(fù)到設(shè)備默認(rèn)就顯示的模塊：[系統(tǒng)信息]、[今日安全日志匯總]、[最近發(fā)現(xiàn)的服務(wù)器風(fēng)險(xiǎn)]、[篡改防護(hù)]、[系統(tǒng)關(guān)鍵事件]、[今日服務(wù)器安全]、[應(yīng)用流量]、[接口信息]。狀態(tài)查系統(tǒng)信【系統(tǒng)信息】主要用于顯示設(shè)備系統(tǒng)資源的概CPU使用率，內(nèi)存使用率，磁點(diǎn)擊可以設(shè)置是否啟用自動刷新以及自動刷新的時(shí)間，界面如下今日安全日志匯DOS，IPS，WEB應(yīng)用防護(hù)，APT檢測的信息，界面如下點(diǎn)擊可以設(shè)置自動刷新的時(shí)間服務(wù)器、等級、防護(hù)狀態(tài)等信息。風(fēng)險(xiǎn)查點(diǎn) 到『系統(tǒng)狀態(tài)』→『實(shí)時(shí)風(fēng)險(xiǎn)』風(fēng)險(xiǎn)查系統(tǒng)關(guān)鍵事WEB應(yīng)用防護(hù)，IPS，DOS/DDOS防護(hù)，管理員操作點(diǎn)擊可以設(shè)置自動刷新的時(shí)間今日服務(wù)器【今日服務(wù)器安全】主要用于顯示設(shè)置當(dāng)天服務(wù)器的安全情況，界面如下點(diǎn)擊可以設(shè)置自動刷新的時(shí)間應(yīng)用流【應(yīng)用流量】主要用于顯示設(shè)備實(shí)時(shí)的應(yīng)用服務(wù)的流量情況，界面如下點(diǎn)擊可以設(shè)置自動刷新的時(shí)間接口信代表網(wǎng)口狀態(tài)是已連接狀態(tài)，代表網(wǎng)口狀態(tài)是未連接狀態(tài)，點(diǎn)擊可以設(shè)置動刷新的時(shí)間接口吞吐率折線點(diǎn)擊可以設(shè)置接口吞吐率折線圖參數(shù)，界面如下可以設(shè)置[選擇時(shí)間段來顯示相應(yīng)時(shí)間段接口轉(zhuǎn)發(fā)數(shù)據(jù)的情況，在[選擇流量單位]應(yīng)用流速趨勢疊加點(diǎn)擊可以設(shè)置自動刷新的時(shí)間IP【IP流量】主要用于顯示IP的帶寬使用情況，界面如下點(diǎn)擊可以設(shè)置自動刷新的時(shí)間用戶流【用戶流 】主要用于顯示最大流量的用 和占用帶寬情況，界面如下點(diǎn)擊可以設(shè)置自動刷新的時(shí)間篡改防『』→『，點(diǎn)擊可以設(shè)置自動刷新的時(shí)間點(diǎn)擊查看詳情，可以跳轉(zhuǎn)到『服務(wù)器保護(hù)』→『篡改防護(hù)』模塊顯示實(shí)時(shí)風(fēng)查風(fēng)、重、這里只顯示了風(fēng)險(xiǎn)的概要信息，如需要了解詳情及解決方案報(bào)最近安全『最近安全事件』主要用于顯示最近發(fā)生的事件，界面如下如圖，顯示的內(nèi)容包括：發(fā)生事件、源IP、目的IP、類型以及的URL。點(diǎn)擊刷新間隔：5秒用于設(shè)置頁面上的刷新時(shí)間間隔；點(diǎn)擊立即刷新可以立即進(jìn)行刷新服務(wù)器安全事『服務(wù)器安全事件』主要用于顯示目標(biāo)服務(wù)器的類型，界面如下、L、及。：5的；點(diǎn)擊立即刷新可以立即進(jìn)行刷新終端安全『終端安全事件』主要用于顯示終端用戶的類型，界面如下端P、及。 秒用于設(shè)置頁面上的刷新時(shí)間間隔；最近來查看最近來『最近來源』主要用于顯示最近發(fā)生事件的來源，界面如下如圖，顯示的內(nèi)容包括：發(fā)生事件、來源、類型以及的詳情。點(diǎn)擊刷新間隔：5秒用于設(shè)置頁面上的刷新時(shí)間間隔；點(diǎn)擊立即刷新可以立即進(jìn)行刷新IP流IP『IP流量』主要用于顯示IP的使用帶寬情況，界面如下流速，獲取機(jī)器名，流量構(gòu)成。在[獲取機(jī)器名]IP的計(jì)算機(jī)名；在[流量構(gòu)成]一欄，點(diǎn)擊對應(yīng)的應(yīng)用會出現(xiàn)如下界面，來顯示該IP具體的應(yīng)用流量： 秒用于設(shè)置頁面上的刷新時(shí)間間隔；IP點(diǎn)擊過濾條件，可以指定IP流量的過濾條件，界面如下『過濾類型』用于設(shè)置查看的線路和應(yīng)用類型。[選擇線路]選擇具體需要查看的線路[應(yīng)用類型]用于指定需要查看的應(yīng)用服務(wù)，點(diǎn)擊后出現(xiàn)如下頁面『過濾對象』用來設(shè)置具體的IP『顯示選項(xiàng)』用于設(shè)置顯示流量前多少名的IP用戶流『用戶流量』主要用于顯 用戶的使用帶寬的情況，界面如下行（示上行總速是凍上網(wǎng)獲機(jī)名流構(gòu)成在凍上網(wǎng)一點(diǎn)，用在[流量構(gòu)成]一欄，點(diǎn)擊具體應(yīng)用會出現(xiàn)如下界面，來顯示該用戶具體的應(yīng)用流量 秒用于設(shè)置頁面上的刷新時(shí)間間隔；點(diǎn)擊過濾條件，可以指定用戶流量的過濾條件『過濾類型』用于設(shè)置查看的線路和應(yīng)用，界面如下[選擇線路選擇具體需要查看的線路，[應(yīng)用類型『過濾對象』是用來設(shè)置具體的用戶或 IP，界面如下組過濾、[用戶過濾、P過濾/勾選需要查看的組，或者是在空行里輸入相應(yīng)組名，然后點(diǎn)擊確定即『顯示選項(xiàng)』用于設(shè)置顯示流量前多少名的用戶，界面如下中一個(gè)『用戶流量』里面的用戶，點(diǎn)擊凍結(jié)，來設(shè)置凍結(jié)上網(wǎng)的時(shí)間，以分鐘為單位，界面如下時(shí)跳轉(zhuǎn)到【用戶管】頁面，面下：在這里找到被凍結(jié)的用戶，選擇該用戶點(diǎn)擊解凍即可應(yīng)用流『應(yīng)用流量』主要用于顯示設(shè)備實(shí)時(shí)的應(yīng)用服務(wù)的流量情況，界面如下 秒用于設(shè)置頁面上的刷新時(shí)間間隔；點(diǎn)擊過濾條件，可以指定應(yīng)用流量的過濾條件，界面如下『過濾對象』用于設(shè)置查看[選擇線路]選擇具體需要查[顯示選項(xiàng)]用于設(shè)置顯示流量前多少名的應(yīng)用流量管理點(diǎn)擊刷新間隔 秒用于設(shè)置頁面上的刷新時(shí)間間隔點(diǎn)擊立即刷新可以立即進(jìn)行刷新點(diǎn)擊進(jìn)入流量管理系統(tǒng)，進(jìn)入流量管理頁查看速【帶寬分配】可以查看通道流量，界面如【排除策略】主要用于查看流量管理里面排除策略的流量信息，界面如下DHCP用戶查看用『用戶管理』主要用于管理已經(jīng)通過設(shè)備認(rèn)證的用戶，界面如下此處可以看到所有的通過設(shè)備認(rèn)證的用戶的登錄名（顯示名、所屬組、IP地址、索]的用在【用戶管理】中可以[以登錄名搜索]或者[以 地址搜索]搜索指定用戶，界面下過濾用點(diǎn)擊過濾條件，可以設(shè)置指定條件查看相應(yīng)的用戶，界[用戶狀態(tài)]可以選擇所有、已凍結(jié)用戶和活躍用戶這三凍結(jié)用點(diǎn)擊凍結(jié)或者是在[操作]欄點(diǎn)擊圖標(biāo)，出現(xiàn)如下界面設(shè)置[凍結(jié)上網(wǎng)時(shí)間]后，點(diǎn)擊提交，該用戶就被凍結(jié)上網(wǎng)了，此時(shí)該用戶狀態(tài)如解凍用被凍結(jié)的用戶需要立即解凍去上網(wǎng)，也可以在此操作，具體操作如下選擇需要解點(diǎn)擊解凍或者是需要解凍的用戶的[操作]一欄點(diǎn)擊圖標(biāo)，即可立即解凍該用戶強(qiáng)制注銷用銷，對認(rèn)證和點(diǎn)錄的用可進(jìn)行強(qiáng)注，具體作下點(diǎn)擊強(qiáng)制注銷，出現(xiàn)如下界點(diǎn)擊是，即可注銷該用戶聯(lián)動源『聯(lián)動源IP』主要用于查看當(dāng)IPS規(guī)則、WEB應(yīng)用防護(hù)規(guī)則和數(shù)據(jù)泄密防護(hù)模塊，APT檢測啟用聯(lián)動時(shí)，了哪些源IP以及是哪個(gè)安全策略觸發(fā)的聯(lián)動，界面如 勾選相應(yīng)條目，點(diǎn)擊可以清除 IP地址點(diǎn)擊可以清除所有源IP，將恢復(fù)所有IP 權(quán)限點(diǎn)擊設(shè) 時(shí)間，對于觸發(fā)制定安全策略的源IP，默 時(shí)間10分鐘，10分鐘后將自動，可以在此處設(shè)置更長的時(shí)間網(wǎng)絡(luò)配接口/區(qū)接口、VLAN接口、聚合接口、區(qū)域、接口聯(lián)動信息，如下圖所示：物理接，，TU， ：[地址]：列出為此接口配置的IP地址，沒有則留空[撥號狀態(tài)]：當(dāng)接口類型為ADSL時(shí)，撥號狀態(tài)顯示連接、斷開類型[]：顯示接口是否允許。[網(wǎng)口狀態(tài)]：以圖標(biāo)顏色顯示網(wǎng)口的鏈路狀態(tài) 表示已連接，表示接口接線或者網(wǎng)口DOWN掉 [狀態(tài)]：顯示接口是否啟用，表示當(dāng)前接口已啟用如點(diǎn)擊接口名 eth3，可以進(jìn)入對應(yīng)接口編輯頁面進(jìn)行基本設(shè)置，如下圖[類型]的配置即接口模式配置，它決定了設(shè)備數(shù)據(jù)的轉(zhuǎn)發(fā)功能，有四種類型路由：若選擇為路由接口，則需要給該接口配置IP地址，并且該接口包含路由轉(zhuǎn)發(fā)能透明：透明接口相當(dāng)于普通的交換接口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，根MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)51小節(jié)的案例。 ETH0口可以增加管IPIP51/24不能除任何接口IP/24網(wǎng)段范圍子接的子接口，則自動生成為eth0.2[地址]顯示子接口的IP地址。[MTU]顯示子接口的MTU值。[鏈路狀態(tài)]顯示子接口是否開啟鏈路檢測有關(guān)子接口的詳細(xì)配置過程請參考5.1.4小節(jié)的任何接口IP地址不允許設(shè)置/24網(wǎng)段范圍VLAN接『VLAN接口』用于設(shè)置設(shè)備的VLAN列表，配置界面如下點(diǎn)擊新增，添加VLAN接口，如下圖所示[接口名稱]VLANID。設(shè)備需要加入哪個(gè)VLAN，就填寫對應(yīng)的VLANID即可[基本屬性]設(shè)置VLAN接口是否允 [鏈路故障檢測]與[高級配置]與路由接口設(shè)置方法相同，此處不再累述任何接口IP地址不允許設(shè)置/24網(wǎng)段范圍聚合接『聚合接口』用于設(shè)置設(shè)備的聚合接口列表，配置界面如下點(diǎn)擊新增，添加聚合接口，如下圖所示haR[鏈路故障檢測]與[高級配置]與路由接口設(shè)置方法相同，此處不再累述區(qū)『區(qū)域』用于設(shè)置接口所屬的區(qū)域，以供內(nèi)容安全、流量管理、等模塊調(diào)用?？山涌冢龑訁^(qū)域可以選擇所有路由接口和un接口，虛網(wǎng)線區(qū)域可以選擇所有虛擬網(wǎng)線點(diǎn)擊新增，區(qū)域新增頁面如[名稱]設(shè)置區(qū)域的名稱[AN[接口]選擇接口到區(qū)域?？赏ㄟ^增加，移除按鈕來添加和刪除接口[管理選項(xiàng)]設(shè)置是否允許從該區(qū)域登陸管理設(shè)備?？蛇x擇通 三種方式登陸和管理設(shè)備。界面如下[管理地址]設(shè)置可以登陸管理設(shè)備的源IP地址。點(diǎn)擊選擇和新增IP組。1.一個(gè)接口只能屬于一個(gè)區(qū)域，一個(gè)區(qū)域可以選擇多個(gè)接口。2.LAN屬性WAN屬性的接口接口聯(lián)『接口聯(lián)動』接口聯(lián)動主要用于NGAF設(shè)備工作在流量負(fù)載均衡模式，把負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)『啟用接口 狀態(tài)聯(lián)動』為開啟接口聯(lián)動功能的總開關(guān)，勾選后，出現(xiàn)如下頁面點(diǎn)擊是，啟動接口LINK狀態(tài)聯(lián)動點(diǎn)擊新增，添加接口聯(lián)動，頁面如下[名稱]設(shè)置接口聯(lián)動組的名點(diǎn)擊提交，保如果某接口的IP 地址設(shè)置成“IP/掩碼-HA”的形式則此接口不能設(shè)置成接口聯(lián)動路路由配置頁面包括靜態(tài)路由，策略路由，OSPF，RIP和查看路由，當(dāng)設(shè)備本身需要和不同網(wǎng)段的IP通信時(shí)，需要通過路由實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。靜態(tài)路在【導(dǎo)航菜單】頁面中的『網(wǎng)絡(luò)配置』→『路由』，右邊進(jìn)入【靜態(tài)路由】編輯頁點(diǎn)擊新增會彈出【靜態(tài)路由】的配置界面，選擇新增單個(gè)靜態(tài)路由或新增多個(gè)靜態(tài)由新增單個(gè)靜態(tài)路由的頁面如[目的IP地址]：需要到達(dá)的目標(biāo)網(wǎng)絡(luò)[目的掩碼]：目標(biāo)網(wǎng)絡(luò)對應(yīng)的子網(wǎng)掩碼[下一跳IP地址]：達(dá)到目標(biāo)網(wǎng)絡(luò)的下一跳地址新增多個(gè)靜態(tài)路由的頁面如IP，目的掩碼，下一跳地址，接口，度量值的格式填寫，一行對應(yīng)一條靜態(tài)點(diǎn)擊保存，保點(diǎn)擊可以根據(jù)指定條件搜索路由條目靜態(tài)路由選擇的接口，一般情況下建議設(shè)置“自動選擇”，當(dāng)設(shè)備存在多個(gè)接口 在同網(wǎng)段的情況下，需要手動指定靜態(tài)路由的接策略路『策略路由』主要用于設(shè)備有多個(gè)口接多條線路時(shí)，根據(jù)源/目的IP、源/目的端在【導(dǎo)航菜單】頁面中的『網(wǎng)絡(luò)配置』→『路由』，右邊進(jìn)入【策略路由】編輯頁『策略路由』常用的兩種需求是1源P證源P次源P過『策略路由』功能實(shí)現(xiàn)這些安全應(yīng)用固定從某一個(gè)接口或下一跳出去，保證每次安全I(xiàn)P地址是固定的。2條，使勾選[啟用OSPF]，啟用OSPF功能，出現(xiàn)如下提示信息點(diǎn)擊是，保存配用和配置虛連接。點(diǎn)擊配置虛連接，彈出如下頁面：勾選[啟用]，開啟虛連接[ID]：填寫骨干區(qū)域ID[RouterID]：填寫建立虛連接的對端路由器ID，指明與哪一臺路由器建立虛連[o間隔]：o報(bào)文的重發(fā)間隔時(shí)間，默認(rèn)值是10s[重傳間隔]：與接口相鄰的連接狀態(tài)報(bào)文重發(fā)時(shí)間，默認(rèn)值 10s[傳輸時(shí)延]：傳輸一個(gè)鏈路狀態(tài)更新數(shù)據(jù)包的估計(jì)時(shí)間，默認(rèn)值 5s一般設(shè)置為o間隔的4倍，默認(rèn)值是40s。 或者不認(rèn)證的方式網(wǎng)絡(luò)配[運(yùn)行網(wǎng)段]：設(shè)置需要發(fā)布的網(wǎng)段地址，填寫格式為：IP/掩碼[區(qū)域ID]：設(shè)置將該網(wǎng)段引入到哪個(gè)區(qū)域，一般填寫骨干區(qū)域的ID接口配PF→PF→自動生成的接口配置如下所點(diǎn)擊[接口名稱]，出現(xiàn)如下[接口IP]：接口IP地址。[接口]：接口不發(fā)送OSPF鏈路狀態(tài)，配置為接口后，直連路由可以發(fā)布，但接口的OSPF報(bào)文將會被阻塞，鄰居無法建立。接口默認(rèn)選“否”。[認(rèn)證口令]：設(shè)置明文或MD5認(rèn)證方式的口令。影響OSPF的選路結(jié)果，范圍為1-65535，默認(rèn)值為1。[鄰居老化時(shí)間（s）]：默認(rèn)失效時(shí)間為40s[發(fā)送報(bào)文間隔時(shí)間（s）]：o報(bào)文的間隔時(shí)間，默認(rèn)為10s[優(yōu)先級]：優(yōu)先級為0的路由器不會被成DR或者BDR。DR由本網(wǎng)段路由器通過o報(bào)文共同，設(shè)備將自己選出的DR寫入o報(bào)文中，發(fā)給網(wǎng)段上其他路由器。當(dāng)同一網(wǎng)段的兩臺路由器都宣布自己是DR時(shí)，優(yōu)先級高的勝出；如果優(yōu)先級也相同，RouterID大的設(shè)備勝出。優(yōu)先級默認(rèn)值是1[重傳時(shí)間間隔（s）]：缺省情況下，相鄰路由重傳LSA的時(shí)間間隔值為5s[啟用DD報(bào)文MTU不匹配檢測]：運(yùn)行OSPF的設(shè)備在進(jìn)行數(shù)據(jù)庫同步時(shí)，使用DD報(bào)文描述自己的LSDB。默認(rèn)情況下，接口發(fā)送DD報(bào)文時(shí)不填充MTU值，即DD報(bào)文中MTU值為0。參數(shù)配點(diǎn)擊『OSPF』→『參數(shù)配置』，出現(xiàn)如下頁面[RouterID]：設(shè)置NGAF設(shè)備的RouterID[域內(nèi)優(yōu)先級]：域內(nèi)的LSA在計(jì)算后輸出到路由表時(shí)，所攜帶的優(yōu)先級(cisco設(shè)備中稱為管理距離AD)，默認(rèn)值為10。[域間優(yōu)先級]：域間LSA計(jì)算后輸出到路由表中的優(yōu)先級，默認(rèn)值為110[外部優(yōu)先級]：外部路由經(jīng)過SPF計(jì)算后，輸出到路由表時(shí)所賦予的優(yōu)先級，默150值是5s?！郝酚芍匕l(fā)布配置』：選擇是否需要將直連路由 路由，靜態(tài)路由、默認(rèn)路由引OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的 值[重發(fā)布直連路由]：選擇是否需要將直連路由引OSPF路由中作為外部路由信息，并可設(shè)置路由metric值，默認(rèn)10?？稍O(shè)置路由引入后的metric值，默認(rèn)度量值是20。[重發(fā)布靜態(tài)路由]：選擇是否需要將靜態(tài)路由引OSPF路由中作為外部路由信息，并可設(shè)置路由metric值，默認(rèn)20。[重發(fā)布默認(rèn)路由]：選擇是否需要將默認(rèn)路由引入 路由中作為外部路由信息metric參數(shù)，則使用該度量值作為路由引入后的跳數(shù)。度量值默認(rèn)值是10。設(shè)置完成后，點(diǎn)擊保存，保存和生效配置信息顯OSPF鏈路『OSPF鏈路信息』顯示頁面如下[Type]：LSAtype[ID]：LSA所在的RouterID。*代表設(shè)備自己產(chǎn)生的LSA。[AdvRouter]LSA給本設(shè)備。[Seq]：這條LSA的序列號。[Age]：表示收到該LSA已有多長時(shí)間。超時(shí)時(shí)間到了之后，該LSA將被老化[Cksum]：LSA的校驗(yàn)和[Len]：LSA的長度OSPF路由『OSPF路由信息』用來查看OSPF的路由，顯示頁OSPF鄰接『OSPF鄰接關(guān)系』顯示頁面如下[Pri]：鄰接路由器的優(yōu)先級。[Address]IPOSPF信息包被傳輸?shù)洁従?，此地址將是下一跳IP地址。OSPF_VL1是虛連接標(biāo)識。[Interfce]：鄰居與本設(shè)備相連的接口OSPF接口『OSPF接口信息』顯示頁面如下[IP]：接口的IP地址。[BDR]：該區(qū)域的候選BDR地址勾選[RIP]，啟用RIP功能，出現(xiàn)如下提示信息點(diǎn)擊是，保存配網(wǎng)絡(luò)配 網(wǎng)段。點(diǎn)擊新增，出現(xiàn)如下面]/接口配P』PP→自動生成的接口配置如下所點(diǎn)擊[接口名稱]，出現(xiàn)如下[IP]IP地址。[接口]：指定RIP在接口上的工作狀態(tài)，默認(rèn)選擇“否”時(shí)，可同時(shí)接RIPv1RIPv2的報(bào)文[版本設(shè)置（發(fā)送）]：指定在接口上發(fā)送的RIP報(bào)文的版本。RIPv1的報(bào)文傳送方式為廣播；RIPv2有兩種報(bào)文傳送方式：廣播和組播，缺省采用組播方式發(fā)送報(bào)文。當(dāng)發(fā)送的版本RIPv2RIPv1RIPv2的報(bào)文。ERIC[認(rèn)證方式]：可以選擇明文，MD5，不認(rèn)證。RIPv1不支持報(bào)文認(rèn)證，RIPv2支持明文和MD5認(rèn)證。[認(rèn)證口令]：設(shè)置明文或MD5認(rèn)證方式的口令鄰居配『鄰居配置』設(shè)置相鄰運(yùn)行RIP協(xié)議的設(shè)備IP地址信息，如下圖所示點(diǎn)擊提交，保參數(shù)配點(diǎn)擊『RIP』→『參數(shù)配置』，出現(xiàn)如下頁面『 基本參數(shù)』可進(jìn)行路由優(yōu)先級和定時(shí)器的設(shè)置P12。[定時(shí)更新]：設(shè)置路由定期更新的時(shí)間間隔，默認(rèn) 30s不可達(dá)，默180s。[收集]：收集定時(shí)器未超時(shí)之前 繼續(xù)向外界通告不可達(dá)的路由信息，果收集計(jì)時(shí)器也超時(shí)了，這一路由將從路由表中刪除并設(shè)置路由的度量值。[重發(fā)布直連路由]：選擇是否需要將直連路由引RIP路由中作為外部路由信息，并可設(shè)置路由引metric10?？稍O(shè)置路由引入后的metric值。默認(rèn)度量值是20。[重發(fā)布靜態(tài)路由]：選擇是否需要將直連路由引RIP路由中作為外部路由信息，并可設(shè)置路由引metric20。metric參數(shù)，則使用該度量值作為路由引入后的跳數(shù)。默10。點(diǎn)擊保存，保存和生效配置點(diǎn)擊恢復(fù)默認(rèn)配置并保存，將把各個(gè)參數(shù)恢復(fù)到默認(rèn)值保存查看路點(diǎn)擊『類型』旁邊的 可根據(jù)路由的類型進(jìn)行過濾顯示，如下圖所示點(diǎn) ，可刷新顯示的路由條目虛擬GAFABAPGAFBCGAF設(shè)于AC的?！禾摂M網(wǎng)線』的配置頁面如點(diǎn)擊新增，新增虛擬網(wǎng)線，配置頁面如下[名稱]和[描述]：填寫虛擬網(wǎng)線的名稱和描述信息[虛擬網(wǎng)線接口一]：選擇虛擬接口屬性的物理接口。[虛擬網(wǎng)線接口二]：選擇虛擬接口屬性的物理接口。只有虛擬接口才能配置成虛擬網(wǎng)線，虛擬接口和虛擬網(wǎng)線必須同時(shí)配置才能生效。高級網(wǎng)絡(luò)高級網(wǎng)絡(luò)配置包括ARP，DNS，DHCP，SNMP『ARP配置』包括靜態(tài)ARP表和ARP兩部分靜態(tài)ARP『靜ARP表』用于在設(shè)備設(shè)置靜態(tài)IP/MAC條目，頁面如下點(diǎn)擊新增，可以新增靜態(tài)ARP條目，如下圖所示[IP地址]：設(shè)置需要綁定靜態(tài)ARP條目的IP地址。[接口]：設(shè)置與綁定的IP地址相同網(wǎng)段的設(shè)備接口。ARP有關(guān)ARP的的詳細(xì)配置說明請參考5.3小節(jié)的案例[首選DNS服務(wù)器]和[備選DNS服務(wù)器]：設(shè)置NGAF設(shè)備本身公網(wǎng)的DNS服器內(nèi)網(wǎng)用戶的DNS請求，轉(zhuǎn)發(fā)到設(shè)備設(shè)置的首選DNS服務(wù)器和備選DNS服務(wù)器?！篋HCP』頁面用于NGAF設(shè)備作為DHCP服務(wù)器的設(shè)置以及DHCP中繼功能的設(shè)置DHCP服務(wù)『DHCP服務(wù)器』頁面如下勾選[啟用DHCP服務(wù)器]，出現(xiàn)如下提點(diǎn)擊是，保存和開啟DHCP服務(wù)置通過這些接口分配IP地址。DHCP服務(wù)器的詳細(xì)配置說明請5.4.1小節(jié)的案例DHCP中DHCP中繼的詳細(xì)配置說明請參5.4.2小節(jié)的案例SNMP用于支持其他設(shè)備或軟件用SNMP方式來管理和查看SANGFOR設(shè)備的相在【導(dǎo)航菜單】頁面中的『網(wǎng)絡(luò)配置』→MP】編輯勾選[開啟SNMP]，則其他設(shè)備和管理軟件可以通過SNMP設(shè)備信息『管理主機(jī)』用于設(shè)置允許其他設(shè)備通過SNMPV2協(xié)議連接設(shè)備，并約定連接點(diǎn)擊新增，可以新增一個(gè)管理主機(jī)，配置如下[名稱]：設(shè)置該管理主機(jī)的名稱[MPMPMP[地址]：設(shè)SNMPIP地址或地址范圍，當(dāng)管理主機(jī)類型為“主機(jī)”時(shí)，用于指定SNMP管理主機(jī)對象的IP地址；當(dāng)管理主機(jī)類型為“子網(wǎng)”時(shí)，用于指定SNMP管[團(tuán)體名]：指定SNMP管理主機(jī)設(shè)備時(shí)的團(tuán)體名。[用戶名稱]：添加該用戶的名稱[認(rèn)證]和[確認(rèn)認(rèn)證]：指定SNMPV3用戶對象進(jìn)行認(rèn)證時(shí)使用的，認(rèn)證密8位字符并且不能包含空MD5算法進(jìn)行加密。[加密]和[確認(rèn)加密]：指定消息加密時(shí)使用的，認(rèn)證必須為8位字符并且不能包含DES算法進(jìn)行加密。點(diǎn)擊提交完成配置bypass設(shè)支持光口bypass功能，配置界面如下[類型]：僅支產(chǎn)opticalbypass,注意不支持光口bypass與雙機(jī)熱備同時(shí)啟用[新增旁路光模塊]：選擇相應(yīng)的光模塊接口進(jìn)行配置安全防護(hù)對特征識別『序行的些置該：『開啟云分析引擎聯(lián)動』云分析引擎聯(lián)動，是指將設(shè)備未識別，但疑似行為的行為于?！篒D』顯示當(dāng)前的ID，將ID輸入搜索框 通過ID進(jìn)行搜索。主要作用是當(dāng)服務(wù)器被某個(gè)IPS規(guī)則了，可以到數(shù)據(jù)中心查看到ID。通過此處的ID查詢，可以設(shè)置不此規(guī)則。『名稱』顯示名稱『類型』顯示當(dāng)前的類型，如backdoor『此的則的攔截、[啟用，檢測后放行]、[啟用，與云分析引擎聯(lián)動]、[禁用]四種。這個(gè)動作可以自定『』：后此行相此行記會。此行，[禁用]：表示禁用當(dāng)前規(guī)則，當(dāng)規(guī)則禁用后，設(shè)備不會對該進(jìn)行檢測1. 特征庫的放行和 屬性出廠已經(jīng)配置好，當(dāng)需要修改某條規(guī)則的時(shí)候編輯該條規(guī)則即可。2.一次只能編輯一條特征識別庫的規(guī)則WEB應(yīng)用防護(hù)特征點(diǎn)擊用于統(tǒng)一的修改EB應(yīng)用防護(hù)規(guī)則。若選擇[默認(rèn)（系統(tǒng)初始狀并護(hù)認(rèn)的狀態(tài)會放行的，啟用嚴(yán)格檢測后，等級所有的規(guī)則也將被『防護(hù)類型』顯示當(dāng)前防護(hù)類型的規(guī)則庫，點(diǎn)擊，可以根據(jù)防護(hù)類型查看對應(yīng)的規(guī)ID。界面如下『防護(hù)名稱』顯示該防護(hù)規(guī)則對應(yīng)的名稱『類型』顯示當(dāng)前防護(hù)規(guī)則對應(yīng)的防護(hù)類型，如SQL注入『此的則[啟用，檢測后放行]、[啟用，與云分析引擎聯(lián)動]、[禁用]四種。這個(gè)動作可以自定義，點(diǎn)擊『防護(hù)名稱』編輯頁面，如下圖：[啟用，檢測后]：表示啟用當(dāng)前規(guī)則，當(dāng)檢測到此的行為時(shí)，相應(yīng)的數(shù)包有，會。此行，[禁用]：表示禁用當(dāng)前規(guī)則，當(dāng)規(guī)則禁用后，設(shè)備不會對該規(guī)則進(jìn)行檢測實(shí)時(shí)分析識別全問題，并以報(bào)表的形式把的危害和解決辦法展現(xiàn)給用戶。規(guī)則包括了：EB服務(wù)器dabase器TP器ail器h器。界面如下界面右上角，可以輸入規(guī)則名稱或規(guī)則ID查找規(guī)則 點(diǎn)擊某一條規(guī)則的名稱，可以查看到規(guī)則詳情『動作』：包括啟用和禁用兩類，當(dāng)禁用后，設(shè)備不會對該進(jìn)行檢測數(shù)據(jù)泄密防護(hù)識別『數(shù)據(jù)泄密防護(hù)識別庫』內(nèi)置了一些敏感信息的正則表達(dá)式，如、號碼、備行被：點(diǎn)擊用于設(shè)置針對哪些IP、以及哪些URL不進(jìn)行數(shù)據(jù)泄密防護(hù)，界面下點(diǎn)擊新增按鈕，彈出【排除IP】框，界面如下選擇“排除URL”點(diǎn)擊新增按鈕，彈出【排除URL】框，界面如下自定義敏感信『自定義敏感信息』用于用戶自己定義哪些信息是敏感信息，界面如點(diǎn)擊新增按鈕，彈出【新增敏感信息】框，用戶輸入敏感信可僵尸網(wǎng)絡(luò)識別規(guī)則洞、工具、這9類規(guī)則防護(hù)類型，界面如下：、工具、這9種防護(hù)類型自定義規(guī)在『自定義WEB應(yīng)用防護(hù)規(guī)則庫』頁面，點(diǎn)擊新『規(guī)則名稱『描述『影響』可根據(jù)情況自己定義『動作』：可選擇[啟用，檢測后]、[啟用，檢測后放行]、[禁用]三類[啟用，檢測后]：表示啟用當(dāng)前規(guī)則，當(dāng)檢測到此的行為時(shí)，相應(yīng)的數(shù)包有，會。[禁用]：表示禁用當(dāng)前規(guī)則，當(dāng)規(guī)則禁用后，設(shè)備不會對該規(guī)則進(jìn)行檢測則代表跳過此在『自定義IPS規(guī)則庫』頁面，點(diǎn)擊新增『規(guī)則名稱『描述『影響』可根據(jù)情況自己定義『動作』：可選擇[啟用，檢測后]、[啟用，檢測后放行]、[禁用]三類[啟用，檢測后]：表示啟用當(dāng)前規(guī)則，當(dāng)檢測到此的行為時(shí)，相應(yīng)的數(shù)包有，會。[禁用]：表示禁用當(dāng)前規(guī)則，當(dāng)規(guī)則禁用后，設(shè)備不會對該規(guī)則進(jìn)行檢測『』用于對功能進(jìn)行配置，并且查看的連接狀態(tài)需要使用 DLAN運(yùn)行此頁面可以查看當(dāng)前的連接和網(wǎng)絡(luò)流量信息。頁面如下點(diǎn)擊刷新狀態(tài)可刷新的連接狀態(tài)和流量狀態(tài)點(diǎn)擊分支NAT狀態(tài)可查看當(dāng)前分支NAT狀態(tài)，包括用戶名、原子網(wǎng)網(wǎng)段、子網(wǎng)網(wǎng)點(diǎn)擊停止服務(wù)可暫時(shí)停止服務(wù)點(diǎn)擊查找用戶，輸入用戶名，可以快速找到當(dāng)前用戶的連接情況，頁點(diǎn)擊顯示選項(xiàng)，可以對顯示的列進(jìn)行篩選，頁面如下基本 連接所需的Webagent信息、 縮值、連接鑒權(quán)端口、連接模式、廣播包和性能設(shè)置。[Webagent指動態(tài)IP尋址文件在WEB服務(wù)器中的地址，包括主Webagent和備份Webagent地址。見下圖如果是“動態(tài)尋址（總部非固定IP）”請?zhí)顚憽癢ebagnet網(wǎng)頁地址”（一般為以.php結(jié)尾的網(wǎng)頁地址），填寫完Webagent “固定IP”，請按照“IP 地址：端口”的格式填寫，如33:4009。點(diǎn)擊修改密碼可以設(shè)置Webagent，以防止用戶盜用Webagent更新虛假IP地址。點(diǎn)擊共享密鑰可以設(shè)置共享密鑰，防止設(shè)備接入。如果設(shè)置了『Webagent 一旦遺失該則無法恢復(fù)，只能聯(lián)系深信服科技客戶服務(wù)中心重新生成一個(gè)不包含aget的文件并替換原有文件。如果設(shè)置了『共有網(wǎng)點(diǎn)都必須設(shè)置相同的『共享密鑰』才能相互連接通信。如果是多線路且都是固定P的情況下，可以采用“1#2or”的方式來填寫age。[MTU值]用于設(shè)置數(shù)據(jù)的最大MTU值，默認(rèn)為1500[最小壓縮值]用于設(shè)置對數(shù)據(jù)啟用壓縮的最小數(shù)據(jù)包大小，默認(rèn)為100 [修改MSS]用于設(shè)置UDP傳輸模式下數(shù)據(jù)的最大分片。[TU 值]、最小壓縮值、修改 MSS]一般情況下請保留默認(rèn)值，如需設(shè)置在深信服技術(shù)支持工程師的指導(dǎo)下修能通過端口等方式讓Internet用戶可以到網(wǎng)關(guān)設(shè)備的端口，則可設(shè)置為“直連”，不能獲得InternetIP的連接方式則需設(shè)置為“非直連點(diǎn)擊高級，可以進(jìn)行DLAN性能設(shè)置，啟用廣播和組播，用來設(shè)置 目以及是否在通道內(nèi)傳遞廣播和組播包。界面如下：[線程數(shù)]：控制設(shè)備的最大連接個(gè)數(shù)，默認(rèn)值300，最大可支持1280個(gè)接入。[啟用廣播包]：是否在隧道內(nèi)傳遞廣播包，并且只傳遞指定端口范圍的廣播包免。[啟用組播包]：是否 隧道內(nèi)傳遞組播包用戶『用戶管理』用于管理接入賬號信息，設(shè)置允許接入的用戶賬號、，否啟用硬件鑒權(quán)或DKEY認(rèn)證、是否啟用虛擬IP、設(shè)置賬號使用的加密算法、賬號有點(diǎn)擊檢測USB-KEY將檢測當(dāng)前登錄網(wǎng)關(guān)控制臺的計(jì)算機(jī)是否了USBKey，如沒安裝DKey驅(qū)動則提示用戶是否需要，用戶可以點(diǎn)擊USBKEY驅(qū)動直接安裝DKey前必須安裝DKey驅(qū)動，否則計(jì)算機(jī)無法識DKey硬件，為避因程序?qū)е翶ey驅(qū)動無法正常安裝，請?jiān)诎惭b過程中關(guān)閉第殺毒軟件、等程序。點(diǎn)擊刪除可對勾選的用戶進(jìn)行刪除操作點(diǎn)擊導(dǎo)入域用戶可從域服務(wù)器導(dǎo)入用戶信息使用[導(dǎo)入域用戶]功能之前，請先在『』→『高級設(shè)置』→『 服務(wù)設(shè)置』中設(shè)LDAP服務(wù)器信息點(diǎn)擊導(dǎo)入文本用戶可從TXTCSV文件中導(dǎo)入用戶信息點(diǎn)擊導(dǎo)出用戶可從設(shè)備上將用戶導(dǎo)出到本地進(jìn)行保存，并可選擇導(dǎo)出的用戶點(diǎn)擊新增組可設(shè)置用戶組名稱、描述以及組成員公共屬性（包括[加密算法][][內(nèi)網(wǎng)權(quán)限]三項(xiàng)設(shè)置點(diǎn)擊高級可進(jìn)行選路策略設(shè)置，組播服務(wù)設(shè)置，隧道參數(shù)設(shè)置『『[認(rèn)證屬性]用于設(shè)置用戶認(rèn)證類型，可選本地認(rèn)證（即硬件設(shè)備認(rèn)證、 認(rèn)證[類型]用于設(shè)置使用此賬號的類型，可選移動和分支[使用組屬性]選項(xiàng)用于對用戶進(jìn)行分組，如勾選[使用組屬性]則可激活選擇[用戶組]設(shè)設(shè)置[使用組屬性]前請先新增用戶組。用戶加入用戶組后，該用戶的[算法]、[啟[啟用硬件鑒權(quán)]選項(xiàng)用于設(shè)置基于硬件特性的認(rèn)證，啟用后請選擇對應(yīng)此用戶（*.id入計(jì)算機(jī)的USB接口再點(diǎn)擊[生成DKE]。IPIP地址（IPIP池范則系統(tǒng)會自動為該用戶從虛擬IP池中分配一個(gè)內(nèi)網(wǎng)IP地址。啟用虛擬IP功能之前，請先在『 』→『虛擬IP池』中設(shè)置虛擬IP池范圍[。如 選。[啟用壓縮]選項(xiàng)用于設(shè)置對網(wǎng)關(guān)設(shè)備與該用戶之間傳輸?shù)臄?shù)據(jù)使用壓縮算法進(jìn)行壓該設(shè)置是SANGFOR 的獨(dú)特技術(shù)在低帶寬的環(huán)境下能有效利用有限加速數(shù)據(jù)傳輸，但并不適用于所有網(wǎng)絡(luò)環(huán)境，實(shí)際應(yīng)用中可根據(jù)情況進(jìn)行設(shè)置。后移通過 能。[啟用多用戶登錄]選項(xiàng)用于設(shè)置是否允許多個(gè)用戶同時(shí)共用該賬號登 [修改]選項(xiàng)用于設(shè)置移動用戶是否能夠在連上 錄，不勾則允許移動用戶自行修改登錄。權(quán)限設(shè)置用于設(shè)置用戶接入后的權(quán)限，即設(shè)置用戶只能某些服務(wù)，默認(rèn)使用[權(quán)限設(shè)置]前，請先在『 』→『高級設(shè)置』→『內(nèi)網(wǎng)服務(wù)設(shè)置』添加需服務(wù)高級用于設(shè)置用戶接入后的一些高級屬性，包括選路策略設(shè)、隧道參數(shù)設(shè)置、隧道間NT設(shè)置等。選路策略即為不同的接入用戶選擇不同的線路選路策戶 內(nèi)T主要是解決兩個(gè)內(nèi)網(wǎng)網(wǎng)段相同址：分支用戶的高級選項(xiàng)設(shè)置頁選路策略設(shè)置詳見3.3.9[多線路選路策略]小組播服務(wù)設(shè)置詳見[組播服務(wù)設(shè)置]小節(jié)，界面 [隧道超時(shí)時(shí)間]在網(wǎng)絡(luò)時(shí)延較大、丟包率較高環(huán)境下，ANOR可以針對這20[啟用隧道動態(tài)速度探測]在本端或?qū)Χ藫碛卸嗑€路情況下有效，此 設(shè)備將會定時(shí)探測多線路里各條線路的延時(shí)及丟包情況綜合選擇最優(yōu)線路進(jìn)行數(shù)據(jù)傳輸[啟用隧道內(nèi)流控]用在多個(gè)分支或者移動用戶接入時(shí)，為了避免其中某一個(gè)分支或者移動用戶將總部帶寬全部占滿導(dǎo)致其他分支或者移動用戶速度變慢，可以針對每個(gè)接入的用戶分配一個(gè)上下行帶寬，從而保證所有用戶都能得到較理想的速度。[啟用隧道內(nèi)流控]設(shè)置的限制值只是一個(gè)范圍值，而不是準(zhǔn)確值，例如：流控設(shè)為100k，則實(shí)際流量會控制在80-120k的范圍內(nèi)，是在100k左右上下小幅波動。[隧道內(nèi) 用于設(shè)置將分支用戶內(nèi)網(wǎng)網(wǎng)段轉(zhuǎn)換為虛擬IP池網(wǎng)段的地址，如下圖點(diǎn)擊新增，既可在框中輸入這條規(guī)則所需要匹配原子網(wǎng)網(wǎng)段、子網(wǎng)網(wǎng)段、子網(wǎng)掩碼，也可以讓設(shè)備自動從虛擬IP池中分配一個(gè)IP網(wǎng)段，頁面如下：[原子網(wǎng)網(wǎng)段]：分支真實(shí)的內(nèi)網(wǎng)子網(wǎng)網(wǎng)段。[子網(wǎng)掩碼]：分支真實(shí)的內(nèi)網(wǎng)子網(wǎng)掩碼。[子網(wǎng)網(wǎng)段]：分支轉(zhuǎn)換后的虛擬網(wǎng)段配置時(shí)需要注意子網(wǎng)掩碼一定要匹配，隧道內(nèi)NAT只對掩碼網(wǎng)段NAT，主機(jī)號隧道間NAT總部-SANGFOR設(shè)備采用路由模式部署， （/24）需要通過接入總部， （/24）同樣需要通過接入總部。則總部-SANGFOR設(shè)備需要添加隧道內(nèi)NAT設(shè)置，解決 與之間內(nèi)網(wǎng)網(wǎng)段的問題。步驟如下：1、在[IP池]中新增一段IP/24IP2、在[用戶管理]中新增一個(gè)分支賬號，點(diǎn)擊高級按鈕選擇[隧道內(nèi)NAT 設(shè)置]選項(xiàng)卡，勾選[啟用隧道內(nèi)NAT]新增一條/24網(wǎng)段與該分支賬號進(jìn)行關(guān)聯(lián)。頁點(diǎn)擊[確定]后規(guī)則生效，則分支-在不修改內(nèi)網(wǎng)IP的情況下也能順利接入總部，此時(shí)總部-可以通過/24這個(gè)網(wǎng)段中對應(yīng)的IP地址來分支-深使用[高級]里的組播服務(wù)前，請先在『 』→『高級設(shè)置』→『組播服務(wù)』添加所需服務(wù)。使用[高級]里的隧道內(nèi)NAT前，請先在『 』→『虛擬IP池』添加所需的分支虛擬IP網(wǎng)段。此時(shí)分支- 和分支 之間無法通過隧道間路由進(jìn)行互訪。如需分支和分支-要通過隧道間路由互訪，則分支-和分支-都需要啟用隧道內(nèi)NAT功能分別轉(zhuǎn)2個(gè)不IP網(wǎng)段，然后再添加隧道間路由，源為真實(shí)物IP網(wǎng)段，目地為對端虛擬IP網(wǎng)段即可。連接連接管理只有此設(shè)備當(dāng)分支使用需要連接其他總部設(shè)備時(shí)才需要啟用，否則本是總部設(shè)備情況下不需要啟用連接管理點(diǎn)擊新增可以添加到一個(gè)總部的連接。如下圖所示[總部名稱]和[描述]用于標(biāo)記連接名稱，可以任意填寫 Webagent是否工作正常，結(jié)果如下所示：測試請求均是從本機(jī)發(fā)起的而不是設(shè)備發(fā)起的。如果Webagent 是 形式測試成功代表該網(wǎng)頁存在，否則網(wǎng)頁不存在。如果Webagent采用固定IP方式，則測試成功代表填寫的IP:PORT格式正確。該測試成功并不代表 [傳輸類型]可選“TCP”或“UDP”，用于決定傳 數(shù)據(jù)包的類型，默認(rèn)為模式[數(shù)據(jù)加密密鑰]、[用戶名]和[]根據(jù)總部提供的接入賬號信息來填寫、和?？邕\(yùn)營商功能需要額外激活，否則該功能無效。如果總部激活跨運(yùn)營商功能，則所有連接到該總部的移動用戶可以直接使用跨運(yùn)營商功能，其他所有連接到該總部的硬件分支設(shè)備，也需要激活跨運(yùn)營商功能。點(diǎn)擊內(nèi)網(wǎng)權(quán)限可以對連接對端進(jìn)行權(quán)限設(shè)置，即指定連接對端只能本置信息虛擬IP『虛擬P池』是指由ANOR硬件設(shè)備指定某一段空閑的P擬P由NOR硬件設(shè)備指定任意的一段P作為擬P段，解決兩個(gè)擁有相同網(wǎng)段的分支同時(shí)通過時(shí)P的問題。當(dāng)移動用戶接入后，分配一個(gè)虛擬P給移動用戶，移動用戶對總部的任何操作都是PPS等網(wǎng)絡(luò)屬性。IP1、創(chuàng)建虛IP池，虛IP池中IPSANGFOR硬件設(shè)備所在局域網(wǎng)的空閑IP2、指定移動用戶使用虛擬IP。如果設(shè)置虛擬IP為表示自動分配虛擬IP，當(dāng)移動用戶接入后，總部SANGFOR設(shè)備從虛擬IP池中選擇一個(gè)空閑IP分配給移動，也可以為移動用戶指定虛擬IP。點(diǎn)擊新增按鈕，出現(xiàn)『虛擬IP池』設(shè)置框，設(shè)置IP池的起止IP即可，頁面如下DNS、WINS服務(wù)器信息，頁面如下當(dāng)設(shè)置了“虛擬IP池”的[高級選項(xiàng)]之后移動客戶端電腦中的虛擬網(wǎng)“SANGFORvirtualnetworkadapter”必須設(shè)置為自動獲取IP和DNS，否則“高級2PPP的原網(wǎng)段替換成虛擬P池中的一個(gè)網(wǎng)段，以解決當(dāng)兩個(gè)相同網(wǎng)段的分支同時(shí)接入到總部時(shí)網(wǎng)P擬P始P、設(shè)定虛擬P段數(shù)，P[IP]：分支虛IP段的第一IP地址[IP]：分支虛IP段的最后一個(gè)IP地址。[計(jì)算]：自動計(jì)算虛IPIP地址[網(wǎng)段數(shù)]：設(shè)置多少個(gè)虛擬IP段。[子網(wǎng)掩碼]：虛擬IP段的子網(wǎng)掩碼。與分支端內(nèi)網(wǎng)子網(wǎng)掩碼保持一致擬P段后，在[/用戶管理]里新建用戶，用戶類型選分支]，然后在[高/NTIP總部SANGFOR設(shè)備采用路由模式部署，外地移動辦公用戶需要通過 IPLAN口相同網(wǎng)段且沒有被內(nèi)網(wǎng)用戶所使用的IP地址段。頁面如下：在『用戶管理』中移動P000PPP接口『接口設(shè)置』用來定義設(shè)備需要作為連接的接口，如下圖點(diǎn)擊新增，添加接口，如下圖[接口]：選擇作為 接口，只有WAN口類型的路由接口才可以作為的接口。[網(wǎng)關(guān)]：接口對應(yīng)的網(wǎng)關(guān)地址，只有接口類型為靜態(tài) 的方式才需要填寫網(wǎng)關(guān)ADSLDHCP方式的接口類型無需填[測試DNS]：此線路運(yùn)營商提供的DNS地址，ADSL方式的線路類型接口無需進(jìn)行寫則選擇直連Internet。[具有固定InternetIP]：填寫接口配置的固定公網(wǎng)IP地址點(diǎn)擊高級配置圖標(biāo)進(jìn)行DNS檢測設(shè)置，如下圖1. 接口只能選擇WAN口屬性的物理接口，且必須是路由口 接口，用于實(shí) 的多線路選路內(nèi)網(wǎng)接口『內(nèi)網(wǎng)接口設(shè)置』用來定義設(shè)備需要作為連接的內(nèi)網(wǎng)接口，如下圖點(diǎn)擊添加，選定內(nèi)網(wǎng)接口，如下圖只有非WAN口類型，固定IP的接口才能選擇 的內(nèi)網(wǎng)接口[本機(jī)接口設(shè)置]用于設(shè)置服務(wù)虛擬網(wǎng)卡IP注意：默認(rèn)情況下請?jiān)O(shè)置為[使用自動分配的 接口IP]，如果出現(xiàn)IP 示，可改為自定義IP并進(jìn)行設(shè)置。物理接口

接口是SANGFOR硬件網(wǎng)關(guān)系統(tǒng)的虛擬接口，外觀上并不存在對應(yīng)的真多線路選路策NGOR設(shè)備提供功能強(qiáng)大的端設(shè)點(diǎn)擊新增，顯示【多線路選路策略編輯 框，如下圖[策略名稱]任意設(shè)置策略的名 [備線路組]設(shè)置備 連接的線路組[流量分配模式]可選擇按會話平均分配或按包平均分設(shè)置了多線路選路策略后，需要在『用戶管理』的用戶或用戶組[高級]選項(xiàng)中選本地子網(wǎng)『本地子網(wǎng)列表』用于總部硬件設(shè)備的內(nèi)網(wǎng)有多個(gè)子網(wǎng)的情況下，其他接入用戶需192.200.200.x，1、在『本地子網(wǎng)列表』里配置需要互聯(lián)的子網(wǎng)，頁面如下點(diǎn)擊新增進(jìn)行本地子網(wǎng)的添加，頁面如下[子網(wǎng)網(wǎng)段]、[子網(wǎng)掩碼]設(shè)置為總部內(nèi) 設(shè)備非直連網(wǎng)段的網(wǎng)絡(luò)號、子網(wǎng)掩碼2、在『靜態(tài)路由』中為需互聯(lián)的子網(wǎng)設(shè)置路由。（具體可參照『網(wǎng)絡(luò)配置』→『路由→『靜態(tài)路這里的『本地子網(wǎng)列表』僅相當(dāng)于一種“ ”作用，在此定義的網(wǎng)段，都會設(shè)備和軟件客戶端視為網(wǎng)段，所有這些網(wǎng)段的數(shù)據(jù)包經(jīng)過設(shè)備或軟后，都會被封裝到隧道中傳輸。所以，一般情況下，在『本地子網(wǎng)列表』里添加了子網(wǎng)網(wǎng)段，都需要配合『靜態(tài)路由』配置來完成對多子網(wǎng)的隧道間路由設(shè)SANGFOR設(shè)備提供了強(qiáng)大的 例如：總部（“”192.168.1.x/24）同時(shí)與分支（“”172.16.1.x/24（“廣 聯(lián)但“”與“廣州”之間沒有連接，通過設(shè)置適當(dāng)?shù)摹八淼篱g路由”規(guī)則，即可實(shí)現(xiàn)“”與“廣州”之間的相互。具體配置如下：1、在分支“”的『隧道間路由設(shè)置』中勾選[啟用路由]點(diǎn)擊新增，添加廣[網(wǎng)絡(luò)號（源）]設(shè)置源地址網(wǎng)絡(luò)號，本例中應(yīng)設(shè)置為[子網(wǎng)掩碼（源）]設(shè)置源地址子網(wǎng)掩碼，本例中應(yīng)設(shè)置為[網(wǎng)絡(luò)號（目的）]設(shè)置目的地址網(wǎng)絡(luò)號，本例中應(yīng)設(shè)置為。[子網(wǎng)掩碼（目的）]設(shè)置目的地址子網(wǎng)掩碼，本例中應(yīng)設(shè)置 [目的路由用戶]設(shè)置路由指向的連接用戶，本例中應(yīng)設(shè)置為與建立[網(wǎng)絡(luò)號（源）]、[網(wǎng)絡(luò)號（目的）]用于匹配數(shù)據(jù)的源IP地址、目的IP地址，當(dāng)隧道中傳輸?shù)臄?shù)據(jù)匹配設(shè)置時(shí)，則此路由設(shè)置生效，數(shù)據(jù)將被轉(zhuǎn)發(fā)給相應(yīng)的設(shè)備。[目的路由用戶]可理解為，“要將路由的數(shù)據(jù)發(fā)往哪一個(gè)設(shè)備”，本例中分支“”在『連接管理』中設(shè)置了使用用戶名“-”與總部建立了連接，因此以用戶名“-”標(biāo)示將路由的數(shù)據(jù)發(fā)往總部。2[啟用路由][網(wǎng)絡(luò)號（源）]設(shè)置源地址網(wǎng)絡(luò)號，本例中應(yīng)設(shè)置 [子網(wǎng)掩碼（源）]設(shè)置源地址子網(wǎng)掩碼，本例中應(yīng)設(shè)置為。[網(wǎng)絡(luò)號（目的）]設(shè)置目的地址網(wǎng)絡(luò)號，本例中應(yīng)設(shè)置為。[子網(wǎng)掩碼（目的）]設(shè)置目的地址子網(wǎng)掩碼，本例中應(yīng)設(shè)置 [目的路由用戶]設(shè)置路由指向的連接用戶，本例中應(yīng)設(shè)置為廣州與建立支：[網(wǎng)絡(luò)號（源）]設(shè)置源地址網(wǎng)絡(luò)號，設(shè)置本端需要通過總部上網(wǎng)的網(wǎng)[目的路由用戶]設(shè)置路由指向的連接用戶。1.通過總部線 址轉(zhuǎn)換』中添加對網(wǎng)段的源地址轉(zhuǎn)換規(guī)則，詳見部分設(shè)置說明。2.如果 當(dāng)總部，要實(shí)現(xiàn)分支通過總部上網(wǎng)，請?jiān)谏钚欧こ處熤笇?dǎo)下進(jìn)行操作第對SANGFOR設(shè)備提供了與第設(shè)備互聯(lián)的功能，能與第的 準(zhǔn)IPSec 第一階『第一階段』用于設(shè)置需要與SANGFOR硬件網(wǎng)關(guān)建立標(biāo)準(zhǔn)IPSec連接的對端 備的相關(guān)信息，也就是標(biāo)準(zhǔn)IPSec協(xié)議協(xié)商的第一階段。頁面如下：選擇線路出口，點(diǎn)擊新增，顯示【設(shè)備列表設(shè)置】框，頁面如下點(diǎn)擊高級，顯示『高級選項(xiàng)』框，可進(jìn)行其它高級設(shè)置，頁面如下第二階『第二階段』用于設(shè)置標(biāo)準(zhǔn)IPSec協(xié)議協(xié)商的第二階段的參數(shù)，頁面如下『入站策略』用于設(shè)置由對端發(fā)到本端的數(shù)據(jù)包放行規(guī)則，點(diǎn)擊新增，顯示策設(shè)置框，頁面如下『出站策略』和『入站策略』中的[出站服務(wù)]、[入站服務(wù)]和[時(shí)間設(shè)置]均SANGFOR擴(kuò)展的規(guī)則，此類規(guī)則僅在本端設(shè)備生效，在與第設(shè)備建立連接的過程IP地址是指[IP類型]和[本/對端服務(wù)]中所設(shè)置的IP的交集。安全選在建立與第設(shè)備的IPSec連接前，請先確定對端設(shè)備采用何種連接策略，包括：使1AES或SINFOR_DES，點(diǎn)擊新增，添加新的選項(xiàng)，頁面如下：SANGFOR設(shè)備會使用設(shè)置好的連接策略與對端協(xié)商建立IPSec連接『安全選項(xiàng)』中的[加密算法]用于設(shè)置標(biāo)準(zhǔn)IPSec 連接的第二階段所使用的數(shù)據(jù)密算法，如果要與多個(gè)采用不同連接策略的設(shè)備互聯(lián)，需要分別將各個(gè)設(shè)備使用的連接策略添加到『安全選項(xiàng)』中。通用『通用設(shè)置』包含『時(shí)間計(jì)劃設(shè)置』和『算法列表設(shè)置』兩個(gè)子模塊點(diǎn)擊新增按鈕，出現(xiàn)【時(shí)間計(jì)劃設(shè)置】框，頁面如下『算法列表設(shè)置』提供了對設(shè)備支持的數(shù)據(jù)加密算法進(jìn)行查看和添加的功能，加密算在硬件設(shè)備所構(gòu)建的網(wǎng)絡(luò)中對傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密，以保障數(shù)據(jù)的安全性。頁面設(shè)備內(nèi)置了DES、3DES、MD5、AES、SHA-1、SINFOR_DES多種加密、認(rèn)證算法，高級服務(wù)器設(shè)置『RIP設(shè)置『生成』。NGOR設(shè)備可以為接入的用戶指定相應(yīng)的權(quán)限，可以限制分支用戶內(nèi)網(wǎng)的某個(gè)P、某個(gè)移動用戶只能內(nèi)網(wǎng)的特定計(jì)算機(jī)的特定服務(wù)和與第設(shè)備互連時(shí)設(shè)戶est總部的B服務(wù)器的EB對EB戶banch1個(gè)P訪問總部的QL它P的被服現(xiàn)。12對的。內(nèi)網(wǎng)權(quán)限案例學(xué)某客戶需要實(shí)現(xiàn)僅允許分支用戶branch的內(nèi)網(wǎng)IP00總部的FTP服務(wù)器0，其它IP發(fā)起的請求或?qū)ζ渌?wù)的請求全部，具體操作步驟如在『內(nèi)網(wǎng)服務(wù)設(shè)置』中點(diǎn)擊新增出現(xiàn)【設(shè)置內(nèi)網(wǎng)服務(wù)『服務(wù)名稱』一個(gè)便于識別的名稱，勾選協(xié)議類型（本例中FTP服務(wù)使用TCP協(xié)議1、點(diǎn)擊新增出現(xiàn)【 范圍設(shè)置】框，逐項(xiàng)進(jìn)行設(shè)置，頁面如下[目的端口]：FTP的服務(wù)端口20-21。這里的內(nèi)網(wǎng)服務(wù)設(shè)置只是一種“定義”，定義好服務(wù)之后，需要在『用戶管理』里面為用戶賬號分配內(nèi)網(wǎng)權(quán)限來最終實(shí)現(xiàn)“內(nèi)網(wǎng)權(quán)限”的設(shè)定。內(nèi)網(wǎng)服務(wù)設(shè)置還可應(yīng)用于『第對接』中設(shè)置『出站策略』的『本端服務(wù)』參數(shù)和『入站策略』的『對端服務(wù)』參數(shù)，具體設(shè)置可參考『第對接』相關(guān)章節(jié)。2、在『用戶管理』中選擇編輯用 Branch，點(diǎn)擊權(quán)限設(shè)置，頁面如下3、在『權(quán)限設(shè)置』框中將設(shè)置好的Branch服務(wù)右移到服務(wù)列表中，設(shè)置為允許，F(xiàn)TP服務(wù)器0，分支Branch內(nèi)網(wǎng)的其它IP發(fā)起的請求都會被這樣設(shè)置完成后，總部其他電腦去 分支Branch也一樣會 其他電腦發(fā)起分支的請求，分支電腦回應(yīng)該請求時(shí)，因分支電腦發(fā)回的數(shù)據(jù)包里目標(biāo)IP不是0這臺服務(wù)器，也會被內(nèi)網(wǎng)權(quán)限組播服 使用VOIP和會議等需要組播支持應(yīng)用的需求，SANGFOR支持組口范圍是1-65535。頁面如下：點(diǎn)擊新增出現(xiàn)組播服務(wù)編輯頁面，在這里可以設(shè)置組播服務(wù)所用的組播地址和端口。->LDAPSANGFOR設(shè)備的服務(wù)支持使用第LDAP認(rèn)證，如需要啟用第認(rèn)證，請?jiān)凇篖DAP服務(wù)器設(shè)置』中正確設(shè)置第LDAP服務(wù)器信（包括LDAP服務(wù)器IPLDAP服務(wù)器端口、LDAP管理員如下圖：設(shè)置好LDAP服務(wù)器信息后 高級，顯示[LDAP高級設(shè)置]框，按照實(shí)際求設(shè)LDAP信息，如下圖Radius服務(wù)器設(shè)SANGFOR設(shè)備的服務(wù)支持使用第Radius認(rèn)證，如需要啟用第Radius認(rèn)證，請?jiān)凇篟adius服務(wù)器設(shè)置』中正確設(shè)置第Radius服務(wù)器信息（包括Radius服務(wù)器IP、Radius服務(wù)器端口、Radius認(rèn)證共享密鑰、Radius協(xié)議RIP『RIP設(shè)置』主要用于設(shè)SANGFOR設(shè)備通過RIP協(xié)議和其它網(wǎng)絡(luò)設(shè)備相互交換或習(xí)路由信息，以實(shí)現(xiàn)路由信息的動態(tài)更新，如下圖 告已與本端建立連接的對端網(wǎng)絡(luò)的信息（更新其他設(shè)備的路由表，添加到對端的路由指向SANGFOR設(shè)備，連接斷開后會通告路由設(shè)備刪除該路由。[啟用驗(yàn)證]：用于設(shè)置交換 協(xié)議信息時(shí)需要驗(yàn)證的，一般不需設(shè)置[IP地址]和[端口]：用于設(shè)置主哪個(gè)IP發(fā)布路由更新信息[需要觸發(fā)更新][記錄日志]勾選，則設(shè)備會記錄RIP路由更新的具體信息生于同的該證該可保被。生點(diǎn) 選擇保存路徑即可生成硬 并保存到本地計(jì)算機(jī)上。頁面如下生將生成好的發(fā)給總部管理員，由總部管理員在新建用戶賬號的時(shí)候選擇硬件對象定點(diǎn)擊刪除，用于將已選的ISP信息刪除點(diǎn)擊新增，用于新建ISP信息，配置界『名稱』用于設(shè)置ISP『地址范圍』用于手動設(shè)置該運(yùn)營商的網(wǎng)絡(luò)IP段『WHOIS標(biāo)志』用于設(shè)置相應(yīng)的ISP地址段對應(yīng)的whois標(biāo)志，便于根據(jù)標(biāo)志識別不設(shè)備出廠默認(rèn)有 、電信、中國移動、教育網(wǎng)四個(gè)ISP地址應(yīng)用特征識別過端口或協(xié)議無法區(qū)分的應(yīng)用類型，比如、P2P等。（自定354。用戶可以在『內(nèi)容安全』→『應(yīng)用控制策略』中應(yīng)用識別規(guī)則，對相關(guān)的應(yīng)用做制4275【應(yīng)用分類】中顯示的是應(yīng)用識別規(guī)則的分類， IM，游戲等選擇對應(yīng)的應(yīng)用類型，【具體應(yīng)用】中會顯示此類應(yīng)用中包含的具體應(yīng)用，屬的應(yīng)用類別中細(xì)化的分類，如IM中的，MSN等在[篩選]中選擇需要查詢的規(guī)則類型：勾選【全部】表示篩選符合條件的全部規(guī)則；勾符合條件的規(guī)則。在[搜索]中需要查詢的規(guī)則關(guān)鍵字，如篩選條件設(shè)置為“”，回車后啟用/3.4.2，禁用，如圖篩選出相關(guān)的應(yīng)用：勾選具體應(yīng)用“”，點(diǎn)擊啟用或者禁用，即可對登錄的所有規(guī)則進(jìn)行禁用或用擊規(guī)則設(shè)置，會彈出一個(gè)【識別規(guī)則】的編輯框，列出所有“”的相關(guān)規(guī)則，勾選規(guī)則，點(diǎn)擊啟用或者禁用，即可對規(guī)則進(jìn)行禁用或啟1、某些基礎(chǔ)協(xié)議的應(yīng)用識別規(guī)則是不能被禁用的，比如：HTTP，這種基礎(chǔ)協(xié)議如果禁用的話，會影響其他基于P協(xié)議的數(shù)據(jù)識別。所以設(shè)備限制此類規(guī)則不能被禁用掉。2、此處禁用規(guī)則并不是封堵相應(yīng)的應(yīng)用，封堵規(guī)則請查看內(nèi)容安全章節(jié)部分的內(nèi)容。此處如果禁用，就表明設(shè)備無法識別這種應(yīng)用。一般情況下不需要禁用這些規(guī)則，排查故障的情況下可能會使用。應(yīng)用智能識別斷方式有所不同，可以識別一些加密的數(shù)據(jù)，比如明文或密文等P2P應(yīng)用、skype、SSL、SANGFOR數(shù)據(jù)的識別、自由門，等工具數(shù)據(jù)。配置界面如下：啟用/勾選應(yīng)用名稱“skype”，點(diǎn)擊禁用或者啟用，即可對skype skype”中的某條規(guī)則，點(diǎn)擊規(guī)則設(shè)置，會彈出一個(gè)【skypeskypeP2P 行為識別規(guī)則是應(yīng)用特征識別的補(bǔ)充，對于應(yīng)用特征識別庫中識別不出來 數(shù)據(jù)進(jìn)行智能識別。P2P行為規(guī)則是可以進(jìn)行編輯的，點(diǎn)擊P2P行為，會彈出規(guī)則編輯框據(jù)可能是未識別的P2P數(shù)據(jù)，這時(shí)可以將此處的靈敏度調(diào)高一些。比一些應(yīng)用本不是2P自定義應(yīng)：第二步：設(shè)置匹配數(shù)據(jù)包的[協(xié)議]：設(shè)置數(shù)據(jù)所采用的協(xié)議類型，此例中郵件發(fā)送TCP協(xié)議；[目標(biāo)端口]：設(shè)置數(shù)據(jù)所的目標(biāo)端口，此例中郵件發(fā)送是TCP25端口[IP地址]：設(shè)置源IP、目標(biāo)IP或者是識別后的目標(biāo)IP標(biāo)包標(biāo)的，如 .c。第三步：設(shè)置完成后點(diǎn)擊提交，完成此條規(guī)則的設(shè)置送郵件的帶寬。（參見章）建議設(shè)置自定義規(guī)則時(shí)要加上目標(biāo)端口、IP 等識別信息，如果識別的件過于寬泛，可能會和內(nèi)置的應(yīng)用識別規(guī)則有導(dǎo)致應(yīng)用識別，從而導(dǎo)致部分控制和審計(jì)失效。啟用/禁用/導(dǎo)入/『URL分類庫』是根據(jù)網(wǎng)頁的內(nèi)容定義出不同的URL類型，幫助設(shè)備識別各類，以實(shí)現(xiàn)對各種類型的進(jìn)行權(quán)限控制和流量控制?！篣RL庫列表』中顯示的是內(nèi)置URLURLURL組由深信服定期在服務(wù)器上進(jìn)行更新，設(shè)備通過上戶可以通過已知的URL設(shè)置的URL組。URL定時(shí)更新，但更新內(nèi)置庫需要序列號，且保證設(shè)備能夠上網(wǎng)。自定義URL庫可以進(jìn)行增加、刪除和修改等操作（小節(jié)。面：點(diǎn)擊【URL庫列表】頁面，頁面上方顯示了內(nèi)置URL庫版本以及內(nèi)置URL升級的有在【導(dǎo)航菜單】頁面中的『對象定義』→『URL分類庫』，右邊進(jìn)入【URL分類庫】 ，點(diǎn)擊查詢后，查詢結(jié)果中會顯示URL對應(yīng)的類別。URL查詢不支持模糊查詢。URL新增URL組，用于用戶自定義URL。在【URL庫列表】頁面，點(diǎn)擊新增，彈出【新URL類型】窗口：『URL組名稱』定義方便理解的名『URL組描述』定義方便理解的描『URL』添加需要設(shè)置的URL，一個(gè)URL組可以包含多個(gè)URL，URL支持通配符配字則被識別成該URL組，關(guān)鍵字匹配優(yōu)先級低于內(nèi)置URL庫和自定義URL庫。1、用*號表示通配，比如要設(shè)置一個(gè) 表示新浪的子頁面，包括新（ cn、新浪體育（ cn、新浪（ cn）么就在[R]中輸入“* cn”。注意：*號只能表示一級的匹配，另外*號只能放在L的最前面，不能放在中間，否則此RL將不會生效。URL庫列表】頁面，勾選自定義的URL庫，點(diǎn)擊刪除，則可刪除對應(yīng)的URL組。URL修改URL組既可以修改用戶自定義的URL組也可以修改內(nèi)置的URL組，不過兩者有對于用戶自定義的URL組，進(jìn)行編輯時(shí)，可以編輯URL組的描述以及URL、關(guān)對于設(shè)備內(nèi)置的URL組，進(jìn)行編輯時(shí)，不能編輯URL組的名稱和描述，并且不能編輯直接點(diǎn)擊需要修改的URL組的名稱，然后彈出【編輯URL類型】窗口中設(shè)置服』、?！侯A(yù)定義服務(wù)』中內(nèi)置了常見的網(wǎng)絡(luò)服務(wù)，界面如下切換到【自定義服務(wù)】頁面點(diǎn)新增，會彈出【新增自定義服務(wù)】窗口[名稱]設(shè)置服務(wù)[描述]設(shè)置對該服務(wù)的描協(xié)議端擊P]、[UD]、IM]、他]，點(diǎn)擊提交，完成網(wǎng)絡(luò)服務(wù)對象的設(shè)置『其他』中可填寫協(xié)議號，協(xié)議號0代表所有的協(xié)議?？商顚?-255的整數(shù)TCPUDP的填寫格式是一行一個(gè)端口或者端口范圍，ICMP填寫格式為“type:a,code:b”（不帶引號）ab0-255的整數(shù)，可以輸入多行。服務(wù)點(diǎn)擊新增，新增一個(gè)服務(wù)組[名稱]設(shè)置服務(wù)組的名[描述]設(shè)置對該服務(wù)的描[協(xié)議用于設(shè)置該服務(wù)組所包含的服務(wù)，點(diǎn)擊選擇服務(wù)，可同時(shí)選擇預(yù)定義服務(wù)IP『IP組設(shè)置』用于定義一個(gè)包含某IPIP地址組，這IP組可以是內(nèi)網(wǎng)的段，也可以是公網(wǎng)的某些IP范圍，或者是全部IP管理』→『通道配置