深信服AC-1200配置手冊(cè)

深信服AC-1200配置手冊(cè)本系統(tǒng)的上網(wǎng)行為管理設(shè)備為AC-1200，由深信服公司生產(chǎn)。其主要功能是對(duì)網(wǎng)絡(luò)資源進(jìn)行合理的分配，規(guī)范內(nèi)部工作人員的上網(wǎng)行為，并補(bǔ)充防火墻的功能。AC-1200的ETH0（LAN）口通過透明網(wǎng)橋的方式連接到核心交換機(jī)CISCO4506的GE3/1口，加入本地局域網(wǎng)絡(luò)。ETH2(WAN1)口與路由器CISCO2821連接，連接到Internet。ETH1(DMZ)端口作為WEB管理端口連接到核心交換機(jī)的G3/30口。設(shè)備端口IP地址分配見表1。本設(shè)備只提供WEB管理方式。通過網(wǎng)絡(luò)連接到WEB管理端口，打開瀏覽器，在地址欄輸入1，輸入用戶名和密碼，單擊“登錄”，即可進(jìn)入管理界面。在WEB管理界面中，左側(cè)是功能菜單欄，右側(cè)是狀態(tài)信息顯示。系統(tǒng)配置部分包含系統(tǒng)信息、管理員帳戶、系統(tǒng)時(shí)鐘等信息。系統(tǒng)信息包含系統(tǒng)內(nèi)的序列號(hào)和license信息。管理員帳戶列表中除了admin帳戶外，還創(chuàng)建了一個(gè)gtyl管理員帳戶，其權(quán)限與admin相同。系統(tǒng)時(shí)間設(shè)置界面如圖6所示。需要注意的是，文章中有一些格式錯(cuò)誤，需要?jiǎng)h除。同時(shí)，有些段落表述不夠清晰，需要進(jìn)行小幅度的改寫。根據(jù)圖7列表顯示，除了病毒庫未購(gòu)買升級(jí)服務(wù)和網(wǎng)關(guān)補(bǔ)丁不需要購(gòu)買服務(wù)外，其他服務(wù)都將在2012年4月7日到期。在服務(wù)期內(nèi)的項(xiàng)目已經(jīng)全部設(shè)置為自動(dòng)升級(jí)。到期后，可以根據(jù)實(shí)際情況決定是否購(gòu)買這些服務(wù)。全局排除地址列表中的服務(wù)器網(wǎng)址不受監(jiān)控和限制，如圖8所示。本次設(shè)置未啟用該項(xiàng)目，但今后可以根據(jù)實(shí)際應(yīng)用情況進(jìn)行設(shè)置。本系統(tǒng)的網(wǎng)絡(luò)配置采用透明方式，ETH0（LAN）和ETH2（WAN1）之間設(shè)置網(wǎng)橋。Internet線路從路由器連接到WAN1口，LAN端口連接到核心交換機(jī)的VLAN1端口。DMZ為管理端口，加入了VLAN5，IP地址為1。詳見圖9列表。防火墻功能使用USG2220實(shí)現(xiàn)，此處不做配置。本設(shè)備的安全防護(hù)功能是對(duì)USG2220的部分補(bǔ)充。其中，防DOS攻擊設(shè)置如圖10所示。DOS攻擊是通過發(fā)送大量請(qǐng)求，耗盡服務(wù)器資源，使得合法請(qǐng)求得不到響應(yīng)。ARP欺騙是一種常見的內(nèi)網(wǎng)病毒，中毒的客戶端不斷向內(nèi)網(wǎng)發(fā)廣播包，嚴(yán)重影響局域網(wǎng)的通訊，甚至導(dǎo)致斷網(wǎng)。本設(shè)備的防ARP欺騙設(shè)置如圖11所示。本設(shè)備的殺毒網(wǎng)關(guān)未購(gòu)買病毒庫升級(jí)服務(wù)，病毒庫為2011-03-31之前，已設(shè)置全部殺毒功能。詳見圖12。虛擬線路配置實(shí)際就是Internet的接入線路配置。我們將上、下行線路帶寬均設(shè)置為10240Kbps（10Mbps），詳見圖13。通道配置是本設(shè)備進(jìn)行網(wǎng)絡(luò)流量管理的核心內(nèi)容。通過添加不同的通道，并對(duì)它們進(jìn)行網(wǎng)絡(luò)帶寬的分配，可以使符合該通道策略的應(yīng)用得到帶寬的保證或限制。通道配置詳見圖14。除了我們這次添加的上班時(shí)間流量管理項(xiàng)目外，其余項(xiàng)目均為系統(tǒng)根據(jù)實(shí)際情況已制定的通道。本次配置將全部應(yīng)用啟動(dòng)。以低延時(shí)保障為例，詳見圖15和圖16。本設(shè)置適用于需要實(shí)時(shí)性較高的應(yīng)用，例如網(wǎng)游、股票行情和交易等。從圖15可以看出，系統(tǒng)預(yù)留20%的帶寬以保證這些應(yīng)用的流量需求。在實(shí)際操作中，我們添加了一個(gè)名為“上班時(shí)間流量限制”的通道作為示例，來介紹添加配置步驟。首先，在圖14的左上角單擊加號(hào)“添加通道”。如圖17所示，我們將通道設(shè)置為限制通道，最大上、下行帶寬為50%，優(yōu)先級(jí)為低，并且設(shè)置單IP資源不超過50Kbps。在通道適用范圍中，我們將其設(shè)置為適用于所有應(yīng)用，適用對(duì)象為臨時(shí)人員（自動(dòng)獲取IP地址的人員），生效時(shí)間為工作時(shí)間，目標(biāo)IP組為自動(dòng)獲取。如圖18所示。其中用戶組“臨時(shí)人員”、生效時(shí)間“工作時(shí)間”（周一到周日，9：00-19：00）、目標(biāo)IP組“自動(dòng)獲取”都是已經(jīng)在對(duì)象定義和用戶管理中定義好的。當(dāng)帶寬資源已經(jīng)滿負(fù)荷時(shí)，系統(tǒng)將保證優(yōu)先級(jí)高的通道獲得帶寬資源。制定上網(wǎng)策略的目的是保證帶寬不被非公業(yè)務(wù)占用，并協(xié)助行政規(guī)定的實(shí)施。下面通過一個(gè)示例說明上網(wǎng)策略的配置方法（本策略未啟動(dòng)）。策略目的：在上班時(shí)間段，禁止“臨時(shí)人員”、“綜合管理部人員”、“財(cái)務(wù)部人員”、“公司領(lǐng)導(dǎo)”通過互聯(lián)網(wǎng)使用“HTTP協(xié)議”、“QQ”、“淘寶”、“迅雷下載”“P2P網(wǎng)絡(luò)視頻”。策略啟動(dòng)后結(jié)果：上述人員在周一到周日9：00-19：00，無法瀏覽網(wǎng)頁，不能通過QQ聊天，無法使用迅雷下載，無法觀看P2P視頻。設(shè)置步驟如下：1.添加上網(wǎng)策略：?jiǎn)螕魧?dǎo)航菜單的“用戶與策略管理”->“上網(wǎng)策略”->“新增”->“上網(wǎng)權(quán)限策略”，如圖19所示。2.配置策略名稱和信息：在上網(wǎng)權(quán)限策略頁面中，輸入策略名稱“辦公策略”和策略信息“測(cè)試”，如圖20所示。3.選擇要配置的應(yīng)用：?jiǎn)螕簟皯?yīng)用”欄下面的顯示器圖標(biāo)，選擇要配置的應(yīng)用。進(jìn)入圖22所顯示的畫面。選擇好應(yīng)用后，單擊“確定”。4.配置適用組和用戶：?jiǎn)螕魣D23中的“適用組和用戶”，選中需要禁止應(yīng)用的用戶組，然后點(diǎn)擊“提交”如圖24所示。至此，本策略配置完成。在用戶管理中，我們可以對(duì)用戶進(jìn)行分組和管理，以便更好地控制其上網(wǎng)行為。報(bào)表功能使用方便，能夠提供最全面的網(wǎng)絡(luò)資源使用數(shù)據(jù)，幫助IT管理員作出決策。本文檔不再做更多說明。圖37展示了內(nèi)置數(shù)據(jù)中心首頁，用戶可以通過該頁面快速了解數(shù)據(jù)中心的整體情況。圖