深信服上网行为管理配置详解教学文案

深信服上网行为管理配置详解硬件安装1.2单设备接线方式用的RJ-45以太网线将ETH0（LAN）口与内部局域网电脑连接，对AC设备进行配置。用标准的RJ-45以太网线将ETH2（WAN1）口与Internet接入设备相连接，如路由器、光纤收发器或ADSLModem等。多线路的AC设备可以支持多条Internet线路，此时将WAN2口与第二条Internet接入设备相连，WAN3口与第三条Internet线路相连，依此类推。硬件安装1.3双机备份接线方式若采用若采用AC双机热备的工作方式，按以下接线控制台功能说明2.1WebUI配置界面AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251首先为本机器配置一个10.251.251.X网段的IP（如配置10.251.251.100），然后在IE浏览器中输入网关的默认登陆IP及端口https://10.251.251.251。出现一个证书告警框提示，点击是后出现登录界面。在登陆框输入『用户名』和『密码』，点击登录按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为Admin。登录控制台不需要安装任何控件，支持用非IE的浏览器登录控制台。控制台功能说明2.1WebUI配置界面登录界面如下图所示：控制台功能说明2.1WebUI配置界面如何消除登录控制台的证书告警框？首先，登录控制台，进入『系统配置』→『高级配置』→『WebUI选项』页面，点击下载证书，将证书下载到本地安装。控制台功能说明主界面控制台功能说明2.2实时状态【实时状态】主要用于查看设备的基本状态信息，包括：『运行状态』『安全状态』『流量状态』『上网行为监控』『在线用户管理』『邮件延迟审计』『DHCP运行状态』控制台功能说明2.2.1运行状态『运行状态』主要用于查看设备的资源信息，接口吞吐率折线图，应用流量排名，用户流量排名，应用流速趋势叠加图，接口信息，安全状态和上网行为监控信息。控制台功能说明2.2.1运行状态【资源信息】主要用于显示设备资源的概况，包括CPU使用率，内存使用率，磁盘使用率，设备会话数，在线用户数，无线热点数，系统时间和当天日志汇总等信息。点击可以设置是否启用自动刷新以及自动刷新的时间。控制台功能说明【接口信息】主要用于显示设备各个网口的状态，是否接线以及各个网口发送和接收实时流量。代表网口状态是已连接状态，代表网口状态是未连接状态，点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送和接收数据的情况。点击可以设置[选择时间段]来显示相应时间段接口转发数据的情况，在[选择流量单位2.2.1运行状态控制台功能说明【应用流速趋势叠加图】主要用于动态显示各个应用流速趋势叠加，不同的应用用不同的颜色显示。点击可以在[选择流量单位]设置显示的流速单位，在[选择线路]选择显示所有线路，线路1或者线路2等，在[流速类型]设置显示的是总流速，上行或者下行。2.2.1运行状态控制台功能说明【应用流量排名】用于显示前十名的应用排名情况，可以根据上下行流量和总流量来排名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【用户流量排名】用于显示前十名的用户流量排名情况，可以根据上下行流量和总流量来排名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【上网行为监控】主要用于显示实时的用户上网行为。点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【安全状态】主要用于显示设备检测到不的行为点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明『安全状态』主要用于显示设备检测到不安全的行为分别有[病毒行为]、[DOS和ARP攻击]、[端口扫描]、[异常外发邮件(频繁外发)]、[标准端口异常流量]、[协议异常]、[恶意脚本]、[拦截插件]、[恶意网址]、[不受信任的ssl网站访问]、[组织外线路]，会列出发生总数量，还有最后发生的时间，和最后发生的用户/IP，以及最近发生的10条不安全日志及详细事件信息。点击发生次数中的数值可以自动链接到数据中心，查看到对应的详细日志。2.2.2安全状态控制台功能说明『流量状态』主要用于显示设备的在线用户的流量信息、各个应用的流量信息、流量管理的通道状态信息和连接监控等信息。『上网行为监控』主要用于查看最近产生的用户上网行为。2.2.3流量状态、上网行为监控控制台功能说明『在线用户管理』主要用于管理已经通过设备认证的在线用户。『邮件延迟审计』主要用于查看被延迟审计的邮件以及对其进行相关操作，前提是『用户与策略管理』里有用户启用了邮件延迟审计的功能。界面如下：『DHCP运行状态』主要用于查看DHCP的分配情况，前提『DHCP』已经进行了相关启用的配置，界面如下：2.2.4在线用户管理、邮件延迟审计、DHCP运行状态控制台功能说明『对象定义』中定义的各种对象是设备做上网行为过滤、上网行为审计和流量管理的基础，各种控制和审计都是基于对象来做的。对象定义中包括：『应用特征识别库』、『应用智能识别库』、『自定义应用』、『URL分类库』、『准入规则库』、『网络服务』、『IP组』、『时间组』、『黑白名单组』、『关键字组』、『文件类型组』、『上网权限策略』、『信任的证书颁发机构』2.3对象定义控制台功能说明『用户与策略管理』的作用是管理用户和上网策略。用户与策略管理包括【上网策略】【用户管理】【用户认证】2.4用户与策略管理控制台功能说明『上网策略』页面用于对进行管理，管理员可以根据内户的权限分配情况设置不同的上网策略。上网策略分六种类型，其中包括『上网权限策略』『上网审计策略』『上网安全策略』『终端提醒策略』『流量配额与时长控制』『准入策略』2.4.1上网策略控制台功能说明『上网权限策略』包括应用控制、WEB过滤、SSL管理和邮件过滤。2.4.1.1上网权限策略控制台功能说明『上网审计策略』包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。2.4.1.2上网审计策略控制台功能说明『上网安全策略』包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。2.4.1.3上网权限策略控制台功能说明『终端提醒策略』包括上网时长提醒、上网流量提醒和公告页面。2.4.1.4终端提醒策略控制台功能说明『流量配额与时长控制』包括流量配额、上网时长控制和并发连接数控制。2.4.1.5流量配额与时长控制控制台功能说明『准入策略』包括准入策略、组织外线路检测和应用程序时长统计。2.4.1.6准入策略返回控制台功能说明上网行为管理设备所管理的对象是终端的上网用户，因此用户是网络权限分配的基本单元。管理员可以通过【组/用户】页面来对上网用户以及上网权限进行统一管理。用户管理包括【组/用户】【用户导入】【用户自动同步】2.4.2用户管理控制台功能说明『组/用户』页面可查看设备中已经存在的用户和组信息，在【组织结构】中选择需要查看的用户组，右边的【组织成员及上网策略设置】页面显示对应用户组的信息，包括：所属组、描述信息、组信息、上网策略等信息。2.4.2.1组/用户控制台功能说明第一步：在【组织结构】中选择需要添加子组的用户组，右边进入管理页面，在【成员管理】窗口中，点击新增按钮，然后选择新增类型[组]第二步：进入【添加组】窗口。设置[组名列表]即用户组的名称；设置[描述]即用户组的描述信息。点击[添加策略]，可以添加该组策略。第三步：点击[提交]，完成子组添加2.4.2.1.1新建用户组控制台功能说明第一步：在【组织结构】中选择需要添加上网策略的用户组，右边进入管理页面，在【策略列表】窗口中，点击添加策略按钮，然后弹出的【添加策略】页面，选择策略。第二步：点击添加策略，在【添加策略】中选择需要关联的上网策略工程师上网策略，勾选[递归应用于子组]表示添加的策略同时也会关联给子组，不勾选则表示子组不会添加该策略。设置完成后点击确定。第三步：返回【策略列表】页面，查看用户组关联的。2.4.2.1.2设置用户组的上网策略控制台功能说明举例：在“/工程师”组设置一个用户：主管，此用户不需要认证，并且将此用户和主管电脑的IP/MAC进行双向绑定，即只有主管的电脑才可以使用此账号上网。主管电脑的IP/MAC是：192.168.1.117(00-1C-25-AC-4C-44)。步聚：第一步：在『用户认证』→『认证策略』中设置认证策略，设置此用户的IP或者MAC范围，勾选认证方式为[不需要认证/单点登录]。2.4.2.1.3新增用户控制台功能说明第二步：在【组织结构】中选择需要添加用户的用户组，右边进入管理页面，在【成员管理】窗口中，点击新增按钮，然后选择新增类型[用户]第三步：进入【添加用户】窗口。勾选[启用该用户]，填写[登录名]，[描述]，[显示名]和[当前所属组]。2.4.2.1.3新增用户控制台功能说明第四步：设置『用户属性』，勾选[绑定IP/MAC地址]用于将该用户和IP/MAC地址绑定。点击[绑定方式]，在弹出的页面中选择[用户和地址双向绑定]勾选[绑定IP和MAC]，在输入框中填入192.168.1.117(00-1C-25-AC-4C-44)。[过期时间]用于设置该用户的过期时间。2.4.2.1.3新增用户控制台功能说明第五步：添加该用户的上网策略，点击进入【策略列表】页面，点击【添加策略】，在弹出的【添加策略】页面选择需要关联的策略。第六步：完成用户属性与策略的编辑后，点击提交，完成用户的添加。第七步：通过设备上网时，验证IP和MAC是否正确，如果正确则认证通过，客户端不会弹出认证页面。如果IP/MAC地址和绑定的IP/MAC不符，则认证不通过，此时没有提示页面，但客户端的现象是上不了网。2.4.2.1.3新增用户控制台功能说明『用户导入』用于把用户批量导入，它提供三种方式：『CSV格式文件导入』：是通过一个CSV的文件导入用户，导入时可以同时导入显示名、认证方式、绑定IP/MAC信息、密码等。『扫描IP导入』：当导入IP/MAC绑定的用户时，可以通过[扫描IP导入]扫描内网用户的MAC地址，方便此类用户的导入。『从外部LADP服务器上导入用户』：用于将LDAP服务器中的用户同步到设备中，支持从MSActiveDiretory服务器上导入用户。2.4.2.2用户导入控制台功能说明用户自动同步可使用三种不同的同步方法：LDAP同步、数据库同步、H3CCAMS同步要使用同步必须在『用户认证』→『外部认证服务器』增加所需要的同步服务器。2.4.2.3用户自动同步返回控制台功能说明『用户认证』用于设置用户认证的相关设置，包括『认证策略』、『认证选项』、『外部认证服务器』。所有计算机上网前，都必须经过用户认证，以识别上网计算机的身份『认证策略』决定了某个IP/网段/MAC地址上计算机的认证方式。通过『认证策略』设置内网用户的认证方式，以及新用户添加的策略。。有以下选项：1、不需要认证；2、密码认证（包括本地密码认证和外部服务器认证）；3、单点登录；4、DKEY『认证选项设置』主要是用来设置设备上用户认证的相关配置信息，包括『单点登录选项』、『认证通过跳转』、『认证冲突』、『跨三层MAC识别』『其他认证选项』。『外部认证服务器』用来设置第三方认证服务器的信息，设备支持定义LDAP，RADIUS，POP3、数据库、H3CCAMS五种第三方认证服务器。2.4.3用户认证控制台功能说明2.5流量管理流量管理是通过建立流量管理通道对各种上网应用的流量大小进行控制。流量管理系统提供了带宽保证和带宽限制功能，通过带宽保证可以保证重要应用的访问带宽，通过带宽限制可以做到限制用户组/用户上下行总带宽、各种应用的带宽等。流量管理系统同时提供流量子通道的功能，可以根据需求建立流量子通道，对通道流量做更为细化的分配。【通道配置】【线路带宽配置】【虚拟线路配置】控制台功能说明2.5.1通道配置控制台功能说明2.5.1通道配置【带宽通道设置】：用于设置生效线路、通道类型、限制或保证的带宽、单个用户带宽等。[生效线路]用于选择通道适用的线路，也就是当数据走此条线路时才会匹配到此通道。[带宽通道类型]用于选择通道类型并定义带宽值,有保证通道和限制通道。[启用限制单IP最大带宽]用于限制匹配到此通道的单个IP占用的带宽值。[用户间带宽分配策略]用于设置匹配到此通道的用户，带宽怎样在用户间进行分配，默认选择的是[平均分配]，还可选择[自由竞争]。『高级选项设置』勾选此项表示把每一个外网IP作为通道内的用户，使得通道的用户间公平分配带宽以及单用户最高带宽属性对外网IP有效。控制台功能说明2.5.1通道配置【带宽使用范围】：用于设置哪些类型的数据会匹配到此通道，即通道的使用范围，此处设置的范围包括：应用类型、适用对象、生效时间和目标IP组，这些条件需要全部满足才能匹配到此通道。[适用应用]用于设置应用类型，勾选[所有应用]表示针对所有类型的数据有效，勾选[自定义]选择特定的应用类型。[适用对象]用于设置此通道对哪些用户、用户组、IP生效，勾选[所有用户]表示对内网所有用户有效，勾选[自定义]用于指定特定的用户和用户组。生效时间]用于设置此通道的生效时间。[目标IP组]用于设置目标IP条件。控制台功能说明2.5.2线路带宽配置线路带宽配置用于配置公网线路的带宽值，设备根据配置的公网线路带宽值进行带宽分配。控制台功能说明2.5.3虚拟线路配置设备在网桥模式下，无论前置设备上是否接了多条线路，或者设备做多网桥模式接了多个出口，对于设备来讲经过设备的数据认为是一条线路的数据，设备的流控默认情况下是针对线路总和进行控制的，如果需要在网桥模式下对多条线路区分控制，需要借助虚拟线路现控制台功能说明2.6安全防护【防DOS攻击】攻击功能既可以防止外网对内的攻击功能既可以防止外网对内的攻击，也可以阻止内网的机器中毒或使用攻击工具发起DOS攻击。【防ARP欺骗】设备通过不接受有攻击特征的设备通过不接受有攻击特征的ARP请求或回复来保护设备本身的请求或回复来保护设备本身的ARP缓存，实现自身的免疫。如果设备的访问控制用户有绑定IP/MAC，则设备会以绑定的IP/MAC信息为准。安装了准入客户端后，准入客户端会和设备通讯，获取设备和网关的正确IP/MAC关系并静态绑定。【网关杀毒】网关杀毒主要用于对经过设备的数据进行病毒查杀，保护内网计算机的安全。设备能针对HTPP，FTP，POP3和SMTP这四种常用协议进行查杀病毒。【无线热点发现】无线热点发现功能能够帮助用户实现无线智能终端的管理，误国无线终端的接入，防范无线智能终端设备接入引起无线安全漏洞导致泄密。控制台功能说明2.7防火墙『过滤规则』通过过滤规则的设置对设备各个接口之间的数据转发进行过滤，过滤的条件包括目标协议和端口、源IP、目标IP、时间等。『NAT代理上网』的主要作用是设置SNAT规则代理内网用户上网，也可以设置SNAT规则进行其他的源地址转换。『端口映射』的主要作用是发布内网服务器到公网，通过设置DNAT规则进行目标地址转换。『NAT代理上网』、『端口映射』仅适用于设备做路由模式部署的情况下。控制台功能说明2.8网络配置『部署模式』用于设置设备的工作模式，可把设备设定为路由模式、网桥模式或旁路模式。『网口配置』路由模式下，可以在这个界面配置网口的信息。多网桥模式下，可以在这个界面配置网桥信息。『静态路由』的作用是设置静态路由策略，当设备本身需要和不同网段的IP通信时，需要通过设置静态路由实现。『策略路由』主要用于设备做路由模式，并且外网口接多条外网线路时，根据源/目的IP、源/目的端口、协议等条件进行线路选择，以实现不同的数据走不同的外网线路的需求，实现手动选路功能。『高可用性』包括『多机同步』和『双机维护』两个功能。『DHCP』是自动给内网电脑分配IP的服务，此服务只在设备做路由模式时可用。点『网络协议扩展』通过协议剥离功能，分析出特殊协议数据包的特点，并与内置特殊协议规则匹配。控制台功能说明2.9VPN配置在DLAN运行状态页面可以查看当前的VPN连接和网络流量信息。页面如下：点击查找用户，输入用户名，可以快速找到当前用户的连接情况，页面如下：点击停止服务可暂时停止VPN服务。控制台功能说明2.9.1基本设置『基本设置』用于设置VPN连接所需的Webagent信息、VPN数据的MTU值、最小压缩值、VPN监听端口、VPN连接模式、广播包和性能设置控制台功能说明2.9.2用户管理『用户管理』用于管理VPN接入账号信息，设置允许接入VPN的用户账号、密码，是否启用硬件捆绑鉴权或DKEY认证、是否启用虚拟IP、设置账号使用的加密算法、账号有效时间、账号的内网权限，对用户进行分组并设置组成员的公共属性等用户策略。控制台功能说明2.9.2.1新增用户选项『认证方式』用于设置用户认证类型，可选本地认证（即硬件设备认证）、LDAP认证、Radius认证。『启用硬件捆绑鉴权』用于设置基于硬件特性的证书认证，启用后请选择对应此用户的证书文件（*.id）。[启用DKEY]用于设置是否对移动用户启用DKey认证，启用后请先将DKey插入计算机的USB接口再点击生成DKEY。[启用虚拟IP]用于给移动用户分配虚拟IP。[接入总部后禁止该用户上网]勾选该选项，则可以让移动用户在连通VPN后，只能访问服务端VPN内网，而不能访问互联网。[启用多用户登录]用于设置是否允许多用户同时共用该账号登录VPN。[禁止在线修改密码]用于设置移动用户是否能够在连上VPN后自行修改移动端登录密码，不勾选表示允许用户自行修改密码。『权限设置』用于设置用户接入VPN后的访问权限，即设置用户只能访问某些服务，默认不做限制。控制台功能说明2.9.3连接管理为了实现多个网络节点的互联（组成“网状”网络），设备提供了对网络节点互联的自主管理和设置功能。可在『连接管理』中进行相关的设置。连接管理只有此设备当分支使用需要连接其他总部设备时才需要启用，否则本端是总部设备情况下不需要启用连接管理。。控制台功能说明2.9.4虚拟IP池『虚拟IP池』是指由SANGFOR硬件设备指定设备内网中空闲的一段IP作为移动用户接入时的虚拟IP。当移动用户接入后，分配一个虚拟IP给移动用户，移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。例如使用虚拟IP的移动用户入后，可以访问总部局域网内的任何一台计算机，即使该计算机没有把网关指向总部SANGFOR网关。可以为接入的移动用户指定DNS等网络属性。控制台功能说明2.9.5多线路设置在使用多条WAN口线路时，必须设置『多线路设置』，这里可以对线路的信息进行增删和修改，以及修改多线路的选择策略。控制台功能说明2.9.6多线路选路策略SANGFORVPN网关提供了功能强大的VPN多线路选路策略，可基于多条线路的连接状况，动态的在多条线路中选择最优线路进行传输，并且可以设置多条线路同时进行传输，既能保证数据始终在连接状态较好的线路上传输，保证数据的传输质量，又能保证数据在多条链路同时传输，提高了线路的利用率。控制台功能说明2.9.7本地子网列表『本地子网列表』用于硬件设备的内网有多个子网的情况下，VPN接入用户需要与总部内网的其它子网互访。控制台功能说明2.9.8隧道间路由SANGFOR设备提供了强大的VPN隧道间路由功能，通过设置隧道间路由，可轻松实现多个VPN（软/硬件）之间的互联，真正实现“网状”VPN网络。控制台功能说明2.9.9第三方对接SANGFOR设备提供了与第三方VPN设备互联的功能，能与第三方的VPN设备建立标准IPSecVPN连接。控制台功能说明2.9.10通用设置『通用设置』包含『时间计划设置』和『算法列表设置』两个子模块。『时间计划设置』用于定义常用的时间段组合，这些时间组合可在『用户管理』、『内网权限』中使用，该时间以设备上当前时间为准。『算法列表设置』提供了对设备支持的数据加密算法进行查看和添加的功能，加密算法会在硬件设备所构建的VPN网络中对传输的所有数据进行加密，以保障数据的安全性。控制台功能说明2.9.11高级设置『高级设置』包括『内网服务设置』、『VPN接口设置』、『组播服务』、『LDAP服务器设置』和『Radius服务器设置』。控制台功能说明2.10系统配置『序列号』『管理员账号』『系统时间』『自动升级』『告警选项』『全局排除地址』『配置备份与恢复』『终端提示页面定制』『数据中心配置』『高级配置』控制台功能说明2.10.1序列号『序列号』设置包括：设备序列号、多功能项序列号、跨运营商序列号、网关杀毒授权序列号、应用识别&URL库升级序列号、软件升级序列号和安全桌面。点击修改序列号，填入序列号，即可激活相应功能的授权。控制台功能说明2.10.2管理员账号『管理员账户』用来设置能够通过控制台管设备的登录用户。控制台功能说明2.10.3系统时间『系统时间』用于设定SANGFOR设备的系统时间。可以直接在界面上修改时间，也可以选择与[时间服务器]进行时间的同步。控制台功能说明2.10.4自动升级『自动升级』用于对设备的网关补丁和内置库（病毒库、URL库、智能识别URL库、应用识别库、准入规则库、恶意网址库、审计规则库）进行升级管理。控制台功能说明2.10.5告警选项『告警选项』用于设置当设备检测到有攻击、发现病毒、有泄密文件、有需要延迟审计的邮件、发现危险行为、磁盘剩余空间不足或设备流量超过阀值时以邮件的方式管理员进行告警。控制台功能说明2.10.6全局排除地址『全局排除地址』：当内网用户IP或访问的目标服务器的IP属于『全局排除地址』列表中的IP时，内网用户上网或访问目标服务器，不受任何监控和控制，直接放行。排除地址支持填写域名。控制台功能说明2.10.7配置备份与恢复『配置备份与恢复』用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。控制台功能说明2.10.8终端提示页面定制『终端提示页面定制』用于对设备重定向到终端的页面进行自定义，可以定义的页面包括：认证结果页面、禁止访问页面、发现病毒页面、上网超时页面、网络准入客户端页面、修改密码页面、公告页面、Web认证页面、上网时长提醒页面、上网流量提醒页面、日流量配额页面、月流量配额页面、用户冻结提示页面、强制单点登陆提示页面、防共享上网提示页面和无线热点拒绝提示页面。控制台功能说明2.10.9数据中心配置『数据中心配置』用于设置同步日志的外置数据中心服务器IP、同步账号、同步密码、外置数据中心WEB服务端口信息，以及设置是否需要系统自动删除已记录的访问控制日志，控制台功能说明2.10.10高级配置『高级配置』用于设置设备的一些其它系统配置，包括『WebUI选项』『日志记录』『URL过滤』『代理服务器设置』『远程维护』『外部Syslog设置』『准入故障排除』『邮件延迟审计选项』『上网时长排除应用列表』『加入集中管理设置』『设备名称设置』『证书生成』控制台功能说明2.10.10高级配置『WebUI选项』下可以设定[默认编码]、[全局流速单位]、[HTTPS登录端口]、[控制超时]、[控制台SSL证书颁发给]、[点击下载证书]控制台功能说明2.10.10高级配置『日志记录』用于设置设备审计访问网站日志和准入IM传文件内容记录的详细程度。它包括[日志记录]、[URL审计过滤规则]和[准入IM传文件内容记录]。控制台功能说明2.10.10高级配置『URL过滤』用于设置设备在进行URL过滤权限控制策略的匹配时，是否禁止直接以IP地址访问网站或者是否自动放行网页中包含的外部域名资源。控制台功能说明2.10.10高级配置对于通过设置代理的方式上网的情况，因为用户所有数据是发往代理服务器的，而防火墙等模块是通过检测目的地址和端口来判断是否要拒绝该连接，所以很多功能会失效。因此要使防火墙等模块有效，必须能正确识别出发往代理服务器的数据其真实要连接的目的地址和端口，供防火墙等模块使用该地址和端口。控制台功能说明2.10.10高级配置『远程维护』用于设置是否允许从外网口远程登录设备，以及自动上报未识别URL、系统错误和未知应用信息。控制台功能说明2.10.10高级配置『外部Syslog设置』用于将设备上的调试日志、信息日志、告警日志和错误日志同步到syslog服务器上。控制台功能说明2.10.10高级配置『准入故障排除』用于设置对于不支持运行准入插件和安全桌面插件的计算机和移动终端，是否允许其上网。控制台功能说明2.10.10高级配置『邮件延迟审计选项』用于邮件审计策略的定义，包括审计超时动作和发送尝试限制。控制台功能说明2.10.10高级配置『上网时长排除应用列表』用于设置在进行上网时长统计和上网时长控制时，排除某些应用不进行上网时长统计和上网时长控制。『上网时长排除应用列表』由[内置列表]和[自定义列表]两部分组成。控制台功能说明2.10.10高级配置『加入集中管理』用于设置AC设备是否加入集中管理进行受控，加入集中管理后中心端管理员可以对该设备下发策略，并且受控端的权限也可以由中心端下发。例如可以不允许受控端修改流量管理界面。控制台功能说明2.10.10高级配置『设备名称设置』用于设置设备的名称，主要作用是当有多台设备加入中心端时，可以通过设备名称区分受控端设备，或者是当有多台设备使用同一账号同步数据到外置数据中心时，用于区分同步数据的设备。控制台功能说明2.10.10高级配置『证书生成』是加入集中管理中心端的时候使用。硬件证书用于唯一识别本机器，加入中心端时为了防止其它机器与本机共用一个帐户，可以在这里生成硬件证书，并导入到集中管理中心端设备的帐户中。控制台功能说明2.11系统诊断『系统日志』用于查看设备各模块运行状态日志，可通过日志判断设备各模块是否正常。『抓包工具』用于对经过设备的数据包进行抓取，以便快速定位问，可以作为排错的辅助工具。『命令控制台』提供一个简单的控制台命令行，可用于对设备的一些简单信息进行查看，支持的命令包括：arp（查看arp表）、mii-tool（列出网口的连接情况）、ifconfig（查看网口信息）、ping（测试主机地址连通）、telnet（测试端口连通性）、ethtool（查看网卡信息）、route（显示路由表）和traceroute（跟踪数据包转发路径），在命令行页面直接输入命令回车即可。『上网故障排除』用于查询一个数据包在通过设备时是被哪个模块拒绝，是什么原因被拒绝，以便快速定位配置错误，也可用来测试一些规则是否生效，点击设置并开启，出现【设置开启条件】界面，可设置各种过滤条件，包括[拦截日志过滤条件]和[同时开启数据直通]。『重启操作』页面提供重启网关和重启服务两个功能按钮。案例分析3.1背景和要求背景：某客户网络结构如下图，公网出口线路带宽10M，内网上网用户在500人左右。由于带宽本身不足，加上上班时间经常有人下载，看电影等导致全网打开网页也十分慢，员工上班效率很低。要求：1）尽量不改动原有的网络环境。2）要求实现IP/MAC地址的一一绑定。3）员工上班时间不允许P2P下载和观看在线流媒体，全天不允许访问非法及不良网站，对员工发邮件，论坛发帖，发微博及QQ聊天内容做审计。4）领导组不做控制和审计，开启恶意网页过滤来保证上网的安全。5）对HTTP应用做带宽保证，至少分配60%的带宽；上班时间对P2P，下载工具，在线流媒体应用带宽限制在20%以内。案例分析3.2思路分析1）根据客户的需求，将AC设备网桥模式部署在核心交换和防火墙之间。网桥模式配置：网桥模式，网桥IP，系统路由。2）用户组设置：根据客户的管理要求，将用户分为普通员工组和领导组。3）认证策略配置：新建两条认证策略，领导组绑定IP/MAC，自动加入到领导组；普通员工绑定IP/MAC，自动加入到普通员工组。4）普通员工组上网策略设置：新建上网权限策略，通过应用控制上班时间封堵P2P和在线流媒体；通过WEB过滤封堵非法及不良网站。新建上网审计策略，通过应用审计，审计所有HTTP外发内容和邮件内容。新建准入策略，添加IM聊天内容审计。5）领导组上网策略设置：新建上网安全策略，开启恶意网页过滤。6）流量管理策略设置：新建保证通道，对HTTP应用分配60%-100%的通道带宽；新建限制通道，对P2P，下载工具和在线流媒体应用上班时间分配最高20%的带宽。案例分析3.3解决步骤第一步，通过交叉线连接电脑与设备的ETH0（LAN）口，电脑配置10.251.251.X/24地址，使用https://10.251.251.251登录AC设备控制台。第二步，网桥模式设置，分配防火墙与三层交换机直连网段的地址10.10.10.3/29给AC设备的网桥IP。通过『网络配置』→『部署模式』进入配置界面，点击开始配置，选择网桥模式点击下一步案例分析3.3解决步骤此处选择多网桥或者网桥多网口均可。点击下一步案例分析3.3解决步骤选择网桥的网口。此处采用ETH0和ETH2作为一对网桥口，ETH0作为LAN区网口，ETH2作为WAN区网口。点击下一步案例分析3.3解决步骤设置AC设备的网桥IP，网关和DNS地址，点击下一步案例分析3.3解决步骤点击下一步，设置DMZ管理口的IP地址，可保持默认配置案例分析3.3解决步骤点击下一步，设置DMZ管理口的IP地址，可保持默认配置案例分析3.3解决步骤点击下一步，确认和提交配置案例分析3.3解决步骤第三步：用户组设置，新增普通员工组和领导组，通过『用户与策略管理』→『用户管理』→『组/用户』进入配置界面案例分析3.3解决步骤添加组，组名与组名之间通过英文逗号隔开，可实现同时添加多个用户组，点击提交，保存和生效配置。案例分析3.3解决步骤第四步：认证策略设置，新增普通员工组用户认证策略和领导组认证策略，通过『用户与策略管理』→『用户认证』→『认证策略』进入配置页面，点击新增，设置普通用户组和领导组认证策略案例分析3.3解决步骤第五步：跨三层MAC识别设置，本案例中，AC设备与内网用户之间通过三层交换机转发数据，需要开启跨三层MAC识别，才能在AC设备上绑定用户正确的IP/MAC地址。通过『用户与策略管理』→『用户认证』→『认证选项』→『跨三层MAC识别』进入配置。勾选[启用SNMP设置]，添加服务器，点击提交，保存和生效配置。案例分析3.3解决步骤第六步：普通用户组上网权限设置，通过『用户与策略管理』→『上网策略』进入配置页面，点击新增，选择上网权限策略，在『应用控制』里勾选[应用控制]设置上班时间封堵P2P和在线流媒体应用案例分析3.3解决步骤在『WEB过滤』里勾选[HTTPURL过滤]，全天拒绝非法及不良网站案例分析3.3解决步骤[HTTPSURL过滤]中，勾选[复用HTTP浏览网页过滤设置]，拒绝HTTPS方式的非法及不良网站访问。案例分析3.3解决步骤【适用组和用户】中，选择“普通用户组”，点击提交，保存和生效配置。案例分析3.3解决步骤普通用户组上网审计策略设置：新增上网审计策略，勾选[应用审计]，添加审计的对象，点击确定，提交配置。案例分析3.3解决步骤【适用组和用户】中，选择“普通用户组”，点击提交，保存和生效配置。案例分析3.3解决步骤普通用户组上网审计策略设置：新增上网审计策略，勾选[应用审计]，添加审计的对象，点击确定，提交配置。案例分析3.3解决步骤普通用户组准入策略设置：新增准入策略，勾选[准入策略]，添加IM聊天内容监控案例分析3.3解决步骤【适用组和用户】中，选择“普通用户组”，点击提交，保存和生效配置。案例分析3.3解决步骤第七步：领导组上网安全策略设置：选择[恶意网页过滤]，勾选[启用恶意网址库过滤]和[启用恶意脚本过滤]：案例分析3.3解决步骤【适用组和用户】中，选择“领导组”，点击提交，保存和生效配置。案例分析3.3解决步骤第八步：流量管理策略设置，首先设置线路带宽，通过『流量管理』→『线路带宽配置』，点击线路1，设置线路上下行带宽，10Mbps=1280KB/s，点击提交，保存和生效配置。案例分析3.3解决步骤其次，再设置流量管理通道，通过『流量管理』→『通道配置』进入配置界面，勾选[启用流量管理系统]，点击新增通道，选择[新增一级通道]，设置HTTP应用的保证通道，点击确定，保存和生效配置。案例分析3.3解决步骤点击新增通道，选择[新增一级通道]，设置P2P，下载工具和在线流媒体应用的限制通道，点击确定，保存和生效配置。案例分析3.3解决步骤第九步：AC设备上架。将AC设备的ETH0（LAN）口连接三层交换机，ETH2（WAN）口连接防火墙内网口。THEEND谢谢！此下载可自行编辑修改，仅供参考！感谢您的支持，我们努力做得更好！谢谢