科技股份有限公司管理員辦法

1、治理員手冊深信服科技股份有限公司修訂歷史編號(hào)修訂內(nèi)容簡述修訂日期修訂前版本號(hào)修訂后版本號(hào)修訂人1完成治理員手冊編寫201610081.01.0lxf2優(yōu)化201608181.01.1marui 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特不注明，版權(quán)均屬深信服科技股份有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法愛護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)深信服科技股份有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目錄TOC o 1-3 h u HYPERLINK l _Toc31165 目錄 PAGEREF _Toc31165 3 HYPERLINK l _Toc14

2、71 第1章 前言 PAGEREF _Toc1471 5 HYPERLINK l _Toc24603 第2章 系統(tǒng)治理 PAGEREF _Toc24603 5 HYPERLINK l _Toc21333 2.1 設(shè)備登錄 PAGEREF _Toc21333 5 HYPERLINK l _Toc14956 2.2 治理員配置 PAGEREF _Toc14956 7 HYPERLINK l _Toc11206 2.2.1 修改治理員密碼 PAGEREF _Toc11206 7 HYPERLINK l _Toc26889 2.2.2 創(chuàng)建二級(jí)治理員 PAGEREF _Toc26889 7 HYPER

3、LINK l _Toc11707 2.3 系統(tǒng)差不多信息配置 PAGEREF _Toc11707 9 HYPERLINK l _Toc6369 2.3.1 序列號(hào) PAGEREF _Toc6369 9 HYPERLINK l _Toc24492 2.3.2 系統(tǒng)時(shí)刻 PAGEREF _Toc24492 10 HYPERLINK l _Toc5833 2.3.3 規(guī)則庫升級(jí) PAGEREF _Toc5833 10 HYPERLINK l _Toc8809 2.3.4 全局排除地址 PAGEREF _Toc8809 11 HYPERLINK l _Toc12887 2.3.5 設(shè)備配置備份與恢復(fù)

4、PAGEREF _Toc12887 11 HYPERLINK l _Toc22798 2.3.6 WEBUI選項(xiàng) PAGEREF _Toc22798 12 HYPERLINK l _Toc21649 2.3.7 遠(yuǎn)程維護(hù) PAGEREF _Toc21649 12 HYPERLINK l _Toc31108 第3章 網(wǎng)絡(luò)配置 PAGEREF _Toc31108 13 HYPERLINK l _Toc20713 3.1 部署模式 PAGEREF _Toc20713 13 HYPERLINK l _Toc4591 3.2 靜態(tài)路由 PAGEREF _Toc4591 17 HYPERLINK l _T

5、oc27499 第4章 策略治理 PAGEREF _Toc27499 18 HYPERLINK l _Toc29379 4.1 用戶認(rèn)證與治理 PAGEREF _Toc29379 18 HYPERLINK l _Toc9475 4.1.1 用戶組治理 PAGEREF _Toc9475 18 HYPERLINK l _Toc27225 4.1.2 認(rèn)證策略 PAGEREF _Toc27225 19 HYPERLINK l _Toc10051 4.1.3 不需要認(rèn)證 PAGEREF _Toc10051 20 HYPERLINK l _Toc9777 4.1.4 IP/MAC綁定 PAGEREF _

6、Toc9777 22 HYPERLINK l _Toc13079 4.1.5 不同意認(rèn)證 PAGEREF _Toc13079 27 HYPERLINK l _Toc12103 4.2 策略治理 PAGEREF _Toc12103 28 HYPERLINK l _Toc21054 4.2.1 購物娛樂類網(wǎng)站 PAGEREF _Toc21054 28 HYPERLINK l _Toc25134 4.2.2 P2P及P2P流媒體封堵 PAGEREF _Toc25134 32 HYPERLINK l _Toc2243 4.2.3 外發(fā)文件封堵 PAGEREF _Toc2243 35 HYPERLINK

7、 l _Toc31310 4.2.4 上網(wǎng)審計(jì) PAGEREF _Toc31310 38 HYPERLINK l _Toc10935 4.3 流量治理 PAGEREF _Toc10935 40 HYPERLINK l _Toc4876 4.3.1 線路帶寬配置 PAGEREF _Toc4876 40 HYPERLINK l _Toc4940 4.3.2 保證通道 PAGEREF _Toc4940 41 HYPERLINK l _Toc13572 4.3.3 限制通道 PAGEREF _Toc13572 45 HYPERLINK l _Toc15848 4.4 終端接入治理 PAGEREF _T

8、oc15848 50 HYPERLINK l _Toc6342 4.4.1 共享接入治理 PAGEREF _Toc6342 50 HYPERLINK l _Toc21925 第5章 日志中心治理 PAGEREF _Toc21925 52 HYPERLINK l _Toc16831 5.1 設(shè)備系統(tǒng)日志 PAGEREF _Toc16831 52 HYPERLINK l _Toc18769 5.2 日志中心配置 PAGEREF _Toc18769 53 HYPERLINK l _Toc6885 5.2.1 預(yù)備工作 PAGEREF _Toc6885 54 HYPERLINK l _Toc18815

9、 5.2.2 外置日志中心安裝過程 PAGEREF _Toc18815 55 HYPERLINK l _Toc32547 5.2.3 日志中心登錄 PAGEREF _Toc32547 60 HYPERLINK l _Toc22412 5.2.4 同步策略設(shè)置 PAGEREF _Toc22412 60 HYPERLINK l _Toc26946 5.2.5 AC同步配置 PAGEREF _Toc26946 62 HYPERLINK l _Toc3709 5.3 日志中心登錄 PAGEREF _Toc3709 62 HYPERLINK l _Toc20005 5.3.1 內(nèi)置日志中心登錄 PAGE

10、REF _Toc20005 62 HYPERLINK l _Toc1490 5.3.2 外置日志中心登錄 PAGEREF _Toc1490 63 HYPERLINK l _Toc11471 5.4 日志查詢 PAGEREF _Toc11471 64 HYPERLINK l _Toc30714 5.4.1 所有行為日志 PAGEREF _Toc30714 64 HYPERLINK l _Toc6021 5.4.2 網(wǎng)站訪問日志 PAGEREF _Toc6021 67 HYPERLINK l _Toc12657 5.4.3 郵件收發(fā)日志 PAGEREF _Toc12657 69 HYPERLINK

11、 l _Toc18162 5.4.4 發(fā)帖/發(fā)微博日志 PAGEREF _Toc18162 70 HYPERLINK l _Toc13779 5.4.5 其他日志 PAGEREF _Toc13779 73 HYPERLINK l _Toc3960 5.4.6 日志導(dǎo)出 PAGEREF _Toc3960 73 HYPERLINK l _Toc12894 5.5 流量時(shí)長分析 PAGEREF _Toc12894 74 HYPERLINK l _Toc4636 5.6 報(bào)表中心 PAGEREF _Toc4636 75 HYPERLINK l _Toc20928 5.7 系統(tǒng)治理 PAGEREF _T

12、oc20928 76 HYPERLINK l _Toc3496 第6章 VPN配置 PAGEREF _Toc3496 77 HYPERLINK l _Toc25383 6.1 Sangfor VPN配置 PAGEREF _Toc25383 77 HYPERLINK l _Toc6644 6.2IPsec VPN配置 PAGEREF _Toc6644 82 HYPERLINK l _Toc5860 第7章 技術(shù)支持 PAGEREF _Toc5860 88第1章 前言本手冊用于講解AC常見功能操作方法，為治理員提供日常策略維護(hù)指導(dǎo)。第2章 系統(tǒng)治理2.1 設(shè)備登錄首先確保本機(jī)從網(wǎng)絡(luò)能夠訪問到設(shè)備治

13、理IP地址，然后在掃瞄器中輸入網(wǎng)關(guān)的IP及端口https:/192.x.x.254。出現(xiàn)一個(gè)如下圖的安全提示：點(diǎn)擊后出現(xiàn)以下的登錄界面：在登陸框輸入【用戶名】和【密碼】，點(diǎn)擊按鈕即可登錄AC設(shè)備進(jìn)行配置，默認(rèn)情況下的用戶名和密碼均為admin。假如用戶密碼過于簡單,則會(huì)被檢測為弱密碼,在操縱臺(tái)的處理為:登錄后檢測為弱密碼則提示修改密碼，則會(huì)彈出如下提示：假如提示超過15天都沒有修改則強(qiáng)制修改密碼.則會(huì)彈出如下提示： 弱密碼修改:2.2 治理員配置在【系統(tǒng)治理】-【系統(tǒng)配置】-【治理員賬戶】頁面，可修改admin治理員密碼、刪除治理員賬號(hào)以及創(chuàng)建二級(jí)治理員。2.2.1 修改治理員密碼治理員賬戶頁

14、面找到admin治理員，直接點(diǎn)擊，輸入舊密碼，并設(shè)置新密碼即可修改admin賬號(hào)的密碼信息。注：admin賬號(hào)只可修改密碼，不可刪除。2.2.2 創(chuàng)建二級(jí)治理員在治理員賬戶頁面，點(diǎn)擊能夠創(chuàng)建二級(jí)治理員。設(shè)備確實(shí)治理員角色有兩種：administrator：內(nèi)置的角色，該角色的治理員自動(dòng)擁有治理整個(gè)組織結(jié)構(gòu)的管轄范圍，同時(shí)還能夠添加刪除治理員帳戶。common：系統(tǒng)缺省創(chuàng)建的角色，可通過角色治理添加或者刪除角色，該角色可設(shè)置治理員能夠治理的組織結(jié)構(gòu)范圍。假如選擇治理員角色為common，在處，能夠設(shè)置該治理員能夠治理的組織結(jié)構(gòu)范圍。在處，可設(shè)置該治理員能夠查看或編輯的操縱臺(tái)頁面。2.3 系統(tǒng)差不

15、多信息配置2.3.1 序列號(hào)在【系統(tǒng)治理】-【系統(tǒng)配置】-【序列號(hào)】頁面，能夠查看設(shè)備當(dāng)前的授權(quán)信息。序列號(hào)一般在出廠時(shí)已設(shè)置好，正常使用過程中無需修改，只有當(dāng)設(shè)備相關(guān)服務(wù)到期時(shí)，才需要修改相關(guān)序列號(hào)。2.3.2 系統(tǒng)時(shí)刻【系統(tǒng)治理】-【系統(tǒng)配置】-【系統(tǒng)時(shí)刻】用于設(shè)定SANGFOR 設(shè)備的系統(tǒng)時(shí)刻。能夠直接在界面上修改時(shí)刻，也能夠選擇與時(shí)刻服務(wù)器進(jìn)行時(shí)刻的同步。注：設(shè)備日志記錄的時(shí)刻與系統(tǒng)時(shí)刻相關(guān)，請(qǐng)注意確保設(shè)備系統(tǒng)時(shí)刻的準(zhǔn)確性，手動(dòng)獵取本地時(shí)刻和系統(tǒng)時(shí)刻會(huì)重啟設(shè)備，請(qǐng)勿工作時(shí)刻操作。2.3.3 規(guī)則庫升級(jí)【系統(tǒng)治理】-【系統(tǒng)配置】-【系統(tǒng)更新】-【規(guī)則庫升級(jí)】能夠查看當(dāng)前設(shè)備規(guī)則庫的最新狀

16、態(tài)，請(qǐng)確保設(shè)備治理IP能夠訪問互聯(lián)網(wǎng)，以便設(shè)備自動(dòng)更新規(guī)則庫。2.3.4 全局排除地址【系統(tǒng)治理】-【系統(tǒng)配置】-【全局排除地址】可設(shè)置指定用戶IP或訪問的目標(biāo)服務(wù)器的IP不受任何監(jiān)控和操縱，直接放行。排除地址支持填寫IPV4地址、IPV6地址、域名。點(diǎn)擊頁面的，在文本框內(nèi)輸入需要排除的IP或域名即可。2.3.5 設(shè)備配置備份與恢復(fù)【配置備份與恢復(fù)】用于將設(shè)備已有的配置下載保存，或者是將已備份的配置文件恢復(fù)到設(shè)備中。2.3.6 WEBUI選項(xiàng)【系統(tǒng)治理】-【系統(tǒng)配置】-【高級(jí)配置】-【W(wǎng)EBUI選項(xiàng)】頁面能夠設(shè)置當(dāng)前的頁面參數(shù)，如默認(rèn)編碼、操縱登錄端口、超時(shí)時(shí)刻等。2.3.7 遠(yuǎn)程維護(hù)【系統(tǒng)治

17、理】-【系統(tǒng)配置】-【高級(jí)配置】-【遠(yuǎn)程維護(hù)】頁面用于設(shè)置是否同意從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，以及自動(dòng)上報(bào)未識(shí)不URL、系統(tǒng)錯(cuò)誤、未知應(yīng)用信息和技術(shù)支持協(xié)助。用于設(shè)置是否同意從外網(wǎng)口遠(yuǎn)程登錄設(shè)備，勾選此項(xiàng)的同時(shí)，設(shè)備的WAN口自動(dòng)開啟同意ping，平常一般建議關(guān)閉該選項(xiàng)。第3章 網(wǎng)絡(luò)配置3.1 部署模式AC設(shè)備支持路由模式、網(wǎng)橋模式、旁路模式和認(rèn)證模式四種部署模式。路由模式:一般用于沒有防火墻的中小客戶。設(shè)備做為一個(gè)路由設(shè)備使用，對(duì)網(wǎng)絡(luò)改動(dòng)最大，但能夠?qū)崿F(xiàn)設(shè)備的所有的功能；網(wǎng)橋模式：能夠把設(shè)備視為一條帶過濾功能的網(wǎng)線使用，可不更改原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下平滑架到網(wǎng)絡(luò)中。目前在客戶中使用最多的部署模式

18、；旁路模式：僅做旁路審計(jì)，需要交換機(jī)做鏡像至AC。認(rèn)證模式：用戶統(tǒng)一認(rèn)證上網(wǎng)，認(rèn)證中心只支持單臂模式部署在網(wǎng)絡(luò)中，每分支部署一臺(tái)AC用于上網(wǎng)治理，認(rèn)證中心在總部，各分支AC和總部認(rèn)證中心對(duì)接，實(shí)現(xiàn)統(tǒng)一認(rèn)證；另一場景一般有第三方無線操縱器，認(rèn)證中心和無線操縱器對(duì)接，實(shí)現(xiàn)統(tǒng)一認(rèn)證，出口部署AC實(shí)現(xiàn)上網(wǎng)管控。（認(rèn)證中心不能單獨(dú)部署，需要結(jié)合AC或第三方無線操縱器）本例以網(wǎng)橋模式部署為案例，配置需求及步驟如下：需求：目前網(wǎng)絡(luò)已部署防火墻設(shè)備IP地址為/24，內(nèi)網(wǎng)三層環(huán)境，核心交換機(jī)地址/24，AC網(wǎng)橋部署在防火墻和核心交換機(jī)之間，分配給AC設(shè)備的地址為，配置步驟如下：1.通過【系統(tǒng)治理】-【網(wǎng)絡(luò)配置】

19、-【部署模式】進(jìn)入配置界面，點(diǎn)擊，選擇。2. 點(diǎn)擊，選擇網(wǎng)橋的網(wǎng)口。 本案例采納ETH0和ETH2作為一對(duì)網(wǎng)橋口，ETH0作為LAN區(qū)網(wǎng)口，ETH2作為WAN區(qū)網(wǎng)口。 3.點(diǎn)擊，設(shè)置AC設(shè)備的網(wǎng)橋IP： 4.點(diǎn)擊，設(shè)置DMZ治理口的IP地址，可保持默認(rèn)配置：5.點(diǎn)擊，設(shè)置設(shè)備上網(wǎng)的網(wǎng)關(guān)和DNS：6.點(diǎn)擊，確認(rèn)和提交配置：注：點(diǎn)擊后，設(shè)備會(huì)自動(dòng)重啟，重啟時(shí)刻一般為1-5分鐘，請(qǐng)勿在工作時(shí)刻修改設(shè)備部署模式配置。3.2 靜態(tài)路由如上需求，由于內(nèi)網(wǎng)三層環(huán)境，需要增加內(nèi)網(wǎng)網(wǎng)段的回包路由指向核心交換機(jī)，如內(nèi)網(wǎng)有/24、/24等。1.通過【系統(tǒng)治理】-【網(wǎng)絡(luò)配置】-【靜態(tài)路由】進(jìn)入配置界面。2.點(diǎn)擊，設(shè)置

20、需要添加的路由目的地址、子網(wǎng)掩碼，下一跳指向核心交換機(jī)。3.點(diǎn)擊完成配置，假如有多個(gè)網(wǎng)段，可添加多條路由。第4章 策略治理4.1 用戶認(rèn)證與治理4.1.1 用戶組治理為了便于區(qū)分職員角色進(jìn)行策略治理，我們能夠?qū)⑸暇W(wǎng)用戶進(jìn)行分組治理，【用戶認(rèn)證與治理】-【用戶治理】-【組/用戶】頁面是AC用戶組織結(jié)構(gòu)治理的地點(diǎn)。在該頁面下選擇指定組，可在該組下創(chuàng)建用戶以及用戶組，在右邊點(diǎn)擊，選擇新增類型定義組名，如“市場部”，點(diǎn)擊提交即可，該組適用的上網(wǎng)策略，可在后面策略治理時(shí)指定。4.1.2 認(rèn)證策略【認(rèn)證策略】決定了某個(gè)IP/網(wǎng)段/MAC地址上計(jì)算機(jī)的認(rèn)證方式。通過【認(rèn)證策略】設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式，以及新

21、用戶添加的策略。認(rèn)證策略是從上往下逐條匹配的，能夠通過頁面上的移動(dòng)按鈕來調(diào)整認(rèn)證策略優(yōu)先級(jí)。通過認(rèn)證策略能夠?yàn)椴煌木W(wǎng)段配置不同的認(rèn)證方式。認(rèn)證策略能夠指定的認(rèn)證方式有不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄、不同意認(rèn)證4種，依照不同的認(rèn)證策略可實(shí)現(xiàn)不同的用戶認(rèn)證需求。4.1.3 不需要認(rèn)證在認(rèn)證策略頁面點(diǎn)擊設(shè)置該策略適用的范圍后點(diǎn)擊，適用范圍能夠是IP、MAC、IP段以及子網(wǎng)。選擇認(rèn)證方式為，接著點(diǎn)擊選擇用戶以組織結(jié)構(gòu)中那個(gè)組的身份上線后點(diǎn)擊即可。4.1.4 IP/MAC綁定二層環(huán)境1與不需要認(rèn)證用戶設(shè)置方法相同，但方式需勾選-選項(xiàng)2用戶上網(wǎng)后，在【用戶認(rèn)證與治理】-【用戶治理】-【IP/MAC綁定】

22、頁面能夠看到系統(tǒng)自動(dòng)綁定了終端第一次上網(wǎng)的IP和MAC信息，在該頁面可對(duì)相關(guān)信息進(jìn)行添加、刪除和修改操作。三層環(huán)境三層環(huán)境下，由于內(nèi)網(wǎng)用戶通過三層交換機(jī)后，MAC地址會(huì)被三層交換機(jī)替換掉，因此還需要在核心交換機(jī)上開啟SNMP服務(wù)，以支持AC跨三層環(huán)境下的IP/MAC綁定。1.在核心交換機(jī)上開啟SNMP服務(wù)。華為交換機(jī)的配置命令：system_viewsnmp-agent community read public； 其中public為三層交換機(jī)的Communitysnmp-agent sys-info version all； 其中all表示所有版本思科交換機(jī)的配置命令：config term

23、inal 進(jìn)入全局配置狀態(tài)Cdp run 啟用CDPsnmp-server community public ro 其中public為三層交換機(jī)的Communitysnmp-server enable traps 同意設(shè)備將所有類型SNMP Trap發(fā)送出去注：三層交換機(jī)需啟用SNMP協(xié)議，AC作為SNMP客戶端通過SNMP讀取交換機(jī)，只支持SNMPv1,v2,v2c,不支持v3。2.在【用戶認(rèn)證與治理】-【認(rèn)證高級(jí)選項(xiàng)】-【跨三層取MAC】頁面，開啟跨三層MAC識(shí)不功能。能夠新增多個(gè)SNMP服務(wù)器，假如內(nèi)網(wǎng)存在多個(gè)三層交換機(jī)，則每個(gè)三層交換機(jī)的SNMP選項(xiàng)均需要開啟，如下圖點(diǎn)擊上圖“查看服務(wù)

24、器信息”測試能否從交換機(jī)獵取PC的IP和MAC，有返回結(jié)果則能正常獵取，如下圖完成新增SNMP服務(wù)器后，能夠查看配置的所有交換機(jī)當(dāng)前snmp獵取的結(jié)果，如下圖接下來，需要配置排除核心交換機(jī)的MAC地址，如下圖。實(shí)際使用時(shí)，可開啟設(shè)備自動(dòng)識(shí)不三層交換機(jī)的MAC，并自動(dòng)添加到MAC地址排除列表，如下圖啟用“自動(dòng)添加排除”，定義10分鐘內(nèi)同一個(gè)IP對(duì)應(yīng)的MAC地址記錄數(shù)，推舉配置5。當(dāng)同一個(gè)MAC達(dá)到設(shè)置條件時(shí)，AC認(rèn)為是三層交換機(jī)的MAC地址，自動(dòng)將其排除。3.與二次環(huán)境一樣，設(shè)置認(rèn)證策略，選擇自動(dòng)錄入IP和MAC的綁定關(guān)系。4.1.5 不同意認(rèn)證認(rèn)證方式設(shè)置為的網(wǎng)段，將無法通過設(shè)備訪問任何網(wǎng)絡(luò)。

25、在認(rèn)證策略頁面點(diǎn)擊設(shè)置該策略適用的范圍后點(diǎn)擊直接點(diǎn)擊即可。4.2 策略治理【策略治理】模塊設(shè)置的策略要緊包含封堵、審計(jì)等策略，以下分不以案例的形式介紹一些常見的策略設(shè)置方式。4.2.1 購物娛樂類網(wǎng)站需求：禁止全公司上班時(shí)刻訪問購物、娛樂類網(wǎng)站。1.【策略治理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入編輯界面。填寫策略名稱，描述信息。2.勾選-，右邊進(jìn)入窗口。點(diǎn)擊添加按鈕。3.點(diǎn)擊應(yīng)用下方的，進(jìn)入【選擇應(yīng)用】窗口。4.展開應(yīng)用“訪問網(wǎng)站”，選擇 “網(wǎng)上購物”和“娛樂”5.點(diǎn)擊確定按鈕?；氐綉?yīng)用操縱頁面。生效時(shí)刻選擇上班時(shí)刻，動(dòng)作選擇為拒絕。點(diǎn)擊確定

26、按鈕，完成網(wǎng)上購物和娛樂類網(wǎng)站拒絕設(shè)置。6.選擇選項(xiàng)，進(jìn)行策略與用戶/組關(guān)聯(lián)，勾選“所有用戶”，即可關(guān)聯(lián)全網(wǎng)用戶。7.點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。4.2.2 P2P及P2P流媒體封堵需求：禁止市場部門用戶及其所有子組在上班時(shí)刻使用P2P和P2P流媒體。1.【策略治理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入編輯界面。填寫策略名稱，描述信息。2.勾選-，右邊進(jìn)入窗口。點(diǎn)擊添加按鈕。3.點(diǎn)擊應(yīng)用下方的，進(jìn)入【選擇應(yīng)用】窗口。4.選擇應(yīng)用“P2P”和“P2P流媒體”5.點(diǎn)擊確定按鈕?；氐綉?yīng)用操縱頁面。生效時(shí)刻選擇上班時(shí)刻，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕

27、，完成P2P和P2P流媒體應(yīng)用拒絕設(shè)置。6.選擇選項(xiàng)，進(jìn)行策略與用戶/組關(guān)聯(lián)。7.點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。4.2.3 外發(fā)文件封堵需求：為了幸免公司重要資料通過網(wǎng)絡(luò)外泄，禁止研發(fā)和財(cái)務(wù)部門一切外發(fā)行為。1.【策略治理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁面。然后點(diǎn)擊新增按鈕，選擇上網(wǎng)權(quán)限策略，進(jìn)入編輯界面。填寫策略名稱，描述信息。2.勾選-，右邊進(jìn)入窗口。點(diǎn)擊添加按鈕。3.點(diǎn)擊應(yīng)用下方的，進(jìn)入【選擇應(yīng)用】窗口。4.選擇左側(cè)應(yīng)用標(biāo)簽“外發(fā)文件泄密風(fēng)險(xiǎn)”。 5.點(diǎn)擊確定按鈕?；氐綉?yīng)用操縱頁面。生效時(shí)刻選擇全天，動(dòng)作選擇為拒絕。點(diǎn)擊確定按鈕，完成外發(fā)文件封堵設(shè)置。6.選擇選項(xiàng)，選擇“研

28、發(fā)部”和“財(cái)務(wù)部”。7.點(diǎn)擊提交按鈕，完成整個(gè)策略設(shè)置。4.2.4 上網(wǎng)審計(jì)需求：對(duì)內(nèi)網(wǎng)所有用戶開啟審計(jì)，審計(jì)所有網(wǎng)絡(luò)行為。1.【策略治理】-【上網(wǎng)策略】，右邊進(jìn)入【上網(wǎng)策略】編輯頁面。然后點(diǎn)擊按鈕，選擇上網(wǎng)審計(jì)策略，進(jìn)入【上網(wǎng)審計(jì)策略】界面。填寫策略名稱，描述信息。2.勾選-，右邊進(jìn)入編輯窗口。點(diǎn)擊，進(jìn)入添加審計(jì)對(duì)象頁面。3.點(diǎn)擊審計(jì)對(duì)象下方的按鈕，進(jìn)入編輯窗口。選擇需要開啟的審計(jì)記錄，設(shè)置審計(jì)訪問網(wǎng)站的URL。選擇為上班時(shí)刻。注：不建議開啟未識(shí)不的網(wǎng)絡(luò)應(yīng)用日志，該日志類似防火墻日志，對(duì)上網(wǎng)行為治理審計(jì)來講意義不大。4.選擇適用的對(duì)象，那個(gè)需求選擇即可：5.點(diǎn)擊按鈕，完成整個(gè)策略。4.3 流

29、量治理【流量治理】支持保證和限制通道兩種形式，分不用于針對(duì)重要應(yīng)用的流量保障和大流量應(yīng)用的帶寬限制， 4.3.1 線路帶寬配置設(shè)置流量治理配置前，需要先依照出口互聯(lián)網(wǎng)帶寬設(shè)置帶寬參數(shù)。點(diǎn)擊對(duì)應(yīng)的線路名稱即可編輯帶寬參數(shù)，如下圖設(shè)置線路1上行4Mbps，下行100Mbps4.3.2 保證通道需求：針對(duì)HTTP訪問網(wǎng)站、DNS、視頻會(huì)議保證上行2Mbps，下行20Mbps，以確保網(wǎng)絡(luò)繁忙時(shí)這些應(yīng)用能優(yōu)先處理。1. 【流量治理】-【通道配置】，右邊進(jìn)入【通道配置】編輯頁面。然后點(diǎn)擊按鈕，選擇一級(jí)通道，進(jìn)入【新增一級(jí)通道】界面。填寫策略名稱。2.選則，設(shè)置上行帶寬保證2Mbps，下行帶寬保證20Mbp

30、s，優(yōu)先級(jí)高。3.點(diǎn)擊。適用應(yīng)用選擇，點(diǎn)擊進(jìn)入按鈕，進(jìn)入編輯窗口。4.選擇應(yīng)用訪問網(wǎng)站、DNS、網(wǎng)絡(luò)會(huì)議，點(diǎn)擊。5.點(diǎn)擊按鈕，完成整個(gè)策略。4.3.3 限制通道需求：針對(duì)一般職員，限制整個(gè)組的P2P和P2P流媒體上行不超過1Mbps，下行不超過10Mbps，單用戶最大上行500Kbps，下行1Mbps，以幸免一般職員P2P下載占滿帶寬，應(yīng)用其他正常辦公業(yè)務(wù)。1. 【流量治理】-【通道配置】，右邊進(jìn)入【通道配置】編輯頁面。然后點(diǎn)擊按鈕，選擇一級(jí)通道，進(jìn)入【新增一級(jí)通道】界面。填寫策略名稱。2.選擇，設(shè)置上行帶寬最大1Mbps，下行帶寬最大10Mbps。3.勾選，設(shè)置上行500kbps，下行1Mb

31、ps。4.點(diǎn)擊。5.適用應(yīng)用選擇，點(diǎn)擊進(jìn)入按鈕，進(jìn)入編輯窗口。6.選擇應(yīng)用P2P、P2P流媒體，點(diǎn)擊。7.適用對(duì)象選擇，點(diǎn)擊進(jìn)入按鈕，進(jìn)入編輯窗口。8.選擇-組，點(diǎn)擊。9.點(diǎn)擊按鈕，完成整個(gè)策略。4.4 終端接入治理4.4.1 共享接入治理需求：用戶內(nèi)網(wǎng)存在大量電腦，移動(dòng)終端共享熱點(diǎn)，需要封堵電腦和移動(dòng)用戶的通過代理方式上網(wǎng)的行為。配置步驟如下：1.【終端接入治理】-【共享接入治理】，右邊進(jìn)入【共享接入治理】的配置頁面。勾選啟用共享接入檢測，如下圖所示：2.在【共享接入治理】頁面，點(diǎn)擊，如下圖所示：選擇“統(tǒng)計(jì)所有終端”，可識(shí)不PC與PC、PC與移動(dòng)終端，移動(dòng)終端與移動(dòng)終端之間的共享。選擇，一個(gè)

32、IP地址只同意一個(gè)用戶上線。3.【終端接入治理】-【共享接入治理】，右邊進(jìn)入【信任列表】的配置頁面，對(duì)不需要開啟代理檢測的用戶、用戶組或IP地址，添加到信任列表。如下圖所示：注：共享終端治理存在一定誤判幾率，建議可先開啟檢測不凍結(jié)運(yùn)行一段時(shí)刻后，確認(rèn)誤判率比較低后，再開啟凍結(jié)。第5章 日志中心治理企業(yè)對(duì)上網(wǎng)日志審計(jì)的需求要緊是因?yàn)檎O(jiān)管部門明文要求及出現(xiàn)事故后能夠事后追蹤，中華人民共和國網(wǎng)絡(luò)安全法為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，愛護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康進(jìn)展制定。由全國人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日公布，自2017年6月

33、1日起施行。中華人民共和國網(wǎng)絡(luò)安全法要求：第三章網(wǎng)絡(luò)運(yùn)行安全 第一節(jié) 一般規(guī)定第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級(jí)愛護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)愛護(hù)制度的要求，履行下列安全愛護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志許多于六個(gè)月；5.1 設(shè)備系統(tǒng)日志設(shè)備本身記錄30天系統(tǒng)日志，為了滿足網(wǎng)絡(luò)安全法六個(gè)月以上日志保存的要求，建議配置AC設(shè)備的【系統(tǒng)治理】【高級(jí)配置】【外部syslog設(shè)置】功能，將系統(tǒng)日志保存到外部syslog日志服務(wù)器上。5.2 日志中心配置AC設(shè)備出廠

34、時(shí)一般自帶了500G的硬盤，可直接使用內(nèi)置日志中心。假如您需要保存的日志時(shí)刻較長，由于設(shè)備內(nèi)置存儲(chǔ)的硬盤容量有限，同時(shí)設(shè)備日志查詢和報(bào)表統(tǒng)計(jì)會(huì)消耗一定設(shè)備的性能，建議安裝外置日志中心，設(shè)備會(huì)將相關(guān)日志同步到外置數(shù)據(jù)中心。計(jì)算公式：1.上網(wǎng)審計(jì)按照推舉開啟功能：按照步驟一配置后，理論評(píng)估一個(gè)用戶一天產(chǎn)生日志2M*日均累計(jì)用戶數(shù)*180（天）=大致6個(gè)月日志量，從而進(jìn)行估算磁盤空間是否充足假如不是確認(rèn)是否為500G硬盤，請(qǐng)聯(lián)系深信服科技確認(rèn)磁盤大小假如計(jì)算的日志量超過500G，請(qǐng)一定要選擇外置數(shù)據(jù)中心5.2.1 預(yù)備工作1、2008及之后的服務(wù)器操作系統(tǒng)，同時(shí)系統(tǒng)要求是64位操作系統(tǒng)。（請(qǐng)依照內(nèi)置

35、日志中心每天日志量合理評(píng)估服務(wù)器的存儲(chǔ)空間，NTFS格式）注：每天日志量超過20G，服務(wù)器配置選型請(qǐng)咨詢深信服技術(shù)支持工程師。2、數(shù)據(jù)中心安裝包，請(qǐng)登錄深信服官網(wǎng)下載相應(yīng)的數(shù)據(jù)中心版本： HYPERLINK /plugin.php?id=service:download&action=view&fid=100000002253587#/100000007141875/all /plugin.php?id=service:download&action=view&fid=100000002253587#/100000007141875/all注：中文安裝包支持在簡體中文和繁體中文操作系統(tǒng)上運(yùn)行，

36、英文安裝包僅支持在英文操作系統(tǒng)上運(yùn)行。3、日志中心服務(wù)器和AC之間需開放 TCP 810，以供數(shù)據(jù)同步。4、日志中心服務(wù)器需開放443端口（可修改），以供外置日志中心登錄。5.2.2 外置日志中心安裝過程從深信服網(wǎng)站上下載DataCenterSetup_11.0.exe安裝程序，雙擊DataCenterSetup_11.0.exe程序，即出現(xiàn)程序安裝向?qū)?，界面如下圖所示：點(diǎn)擊，選擇是否同意許可協(xié)議，勾選，即可點(diǎn)擊，接著安裝，界面如下圖所示：點(diǎn)擊，彈出如下界面：這一步用于設(shè)置程序安裝目錄、日志存放目錄以及附件的存放目錄：點(diǎn)擊，彈出如下界面：這一步用于設(shè)置Web服務(wù)的監(jiān)聽端口，推舉使用默認(rèn)的443

37、端口（登陸方式：https:/ip），假如443端口已被其他程序占用，則能夠修改成服務(wù)器上其他的空閑端口，界面如下圖所示：設(shè)置好Web服務(wù)端口，點(diǎn)擊，彈出如下界面：設(shè)置磁盤預(yù)警。請(qǐng)?zhí)峁┳銐虻拇疟P空間用于存放期望的日志量（依據(jù)網(wǎng)絡(luò)安全法要求，推舉配置180天以上）。點(diǎn)擊：設(shè)置是否開啟磁盤異常告警和數(shù)據(jù)中心異常告警點(diǎn)擊，設(shè)置預(yù)警郵件的發(fā)送和接收郵件地址：點(diǎn)擊，安裝程序會(huì)彈出詳細(xì)的配置信息，界面如下圖所示：假如確認(rèn)這些信息無誤，則點(diǎn)擊安裝，現(xiàn)在程序?qū)⒆詣?dòng)安裝，整個(gè)安裝過程可能會(huì)占用您2-3分鐘，請(qǐng)耐心等待。安裝完成后，會(huì)出現(xiàn)如下界面：點(diǎn)擊完成，即完成了數(shù)據(jù)中心的整個(gè)安裝過程。5.2.3 日志中心登錄

38、日志中心安裝過程中假如采納默認(rèn)端口443，則日志中心的訪問地址訪問地址是： HYPERLINK https:/服務(wù)器IP地址 https:/服務(wù)器IP地址，假如服務(wù)器IP為40，則訪問地址為 HYPERLINK 40 40登陸界面如下：在登錄框中輸入和，點(diǎn)擊登錄按鈕即可登錄數(shù)據(jù)中心的查詢頁面，默認(rèn)情況下的用戶名和密碼均為admin。5.2.4 同步策略設(shè)置在日志中心【系統(tǒng)治理】-【系統(tǒng)配置】-【同步策略】創(chuàng)建同步策略，用于設(shè)置數(shù)據(jù)中心與網(wǎng)關(guān)同步日志的策略。如下圖所示：點(diǎn)擊，新建同步策略：同步策略名能夠自定義設(shè)置，然而需與AC網(wǎng)關(guān)的數(shù)據(jù)中心同步配置的同步賬號(hào)一致。：接入密鑰也需與AC網(wǎng)關(guān)的數(shù)據(jù)中

39、心同步配置的同步密鑰保持一致。： 設(shè)置同步策略的描述信息。： 設(shè)置從哪天的日志開始同步。：勾選需要同步到外置數(shù)據(jù)中心的日志類型。點(diǎn)擊提交，生效和保存配置。5.2.5 AC同步配置在AC治理界面【系統(tǒng)治理】-【系統(tǒng)配置】-【日志中心配置】新增同步配置，依照外置日志中心設(shè)置的IP地址、同步策略名和密鑰設(shè)置同步。寫入外置日志中心IP地址后，設(shè)備會(huì)自動(dòng)發(fā)覺日志中心創(chuàng)建的同步策略，選擇之前定義的同步策略即可。5.3 日志中心登錄5.3.1 內(nèi)置日志中心登錄內(nèi)置日志中心的登錄接口在設(shè)備操縱臺(tái)頁面右上角，點(diǎn)擊即可進(jìn)入內(nèi)置日志中心。5.3.2 外置日志中心登錄日志中心安裝過程中假如采納SSL加密方式登錄，默認(rèn)

40、端口443，日志中心的訪問地址為： HYPERLINK https:/服務(wù)器IP地址 https:/服務(wù)器IP地址，假如服務(wù)器IP為1，則訪問地址為1在登錄框中輸入用戶名和密碼，點(diǎn)擊登錄按鈕即可登錄數(shù)據(jù)中心的查詢頁面，默認(rèn)情況下的用戶名和密碼均為admin。內(nèi)置日志中心和外置日志中心登錄后的界面差不多相同。5.4 日志查詢5.4.1 所有行為日志用于查詢用戶或用戶組的所有行為日志，步驟如下：1.設(shè)置查詢條件2.選擇需要查詢的日期范圍，需要查詢的用戶/組、應(yīng)用，假如需要針對(duì)IP地址查詢，可點(diǎn)擊3.在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊，即可查詢出那個(gè)IP地址的所有上網(wǎng)日志。4.點(diǎn)擊每條記錄

41、最后面的，可查看這條日志的詳細(xì)信息。5.4.2 網(wǎng)站訪問日志用于查詢用戶或用戶組的網(wǎng)站訪問日志，步驟如下：1.設(shè)置查詢條件2.選擇需要查詢的日期范圍，需要查詢的用戶/組、網(wǎng)站分類，假如需要針對(duì)IP地址查詢，可點(diǎn)擊3.在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊，即可查詢出那個(gè)IP地址的所有網(wǎng)站訪問日志。訪問網(wǎng)站日志能夠依照URL中的關(guān)鍵字進(jìn)行搜索。5.4.3 郵件收發(fā)日志用于查詢用戶或用戶組的郵件日志，步驟如下：1.設(shè)置查詢條件2.選擇需要查詢的日期范圍，需要查詢的用戶/組、郵件類不，假如需要針對(duì)IP地址查詢，可點(diǎn)擊3.在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊，即可查詢出那個(gè)IP地址的所有

42、郵件收發(fā)日志。5.4.4 發(fā)帖/發(fā)微博日志用于查詢用戶或用戶組的發(fā)帖和發(fā)微博日志，步驟如下：1.設(shè)置查詢條件2.選擇需要查詢的日期范圍，需要查詢的用戶/組，外發(fā)方式是發(fā)帖依舊發(fā)微博，假如需要針對(duì)IP地址查詢，可點(diǎn)擊3.在源IP地址處，輸入需要查詢的IP地址，點(diǎn)擊，即可查詢出那個(gè)IP地址的所有發(fā)帖和發(fā)微博日志。假如希望依照發(fā)帖內(nèi)容反查用戶，可使用關(guān)鍵字搜索發(fā)帖紀(jì)錄。在發(fā)帖或微博內(nèi)容選取一段做為關(guān)鍵字查詢條件，點(diǎn)擊即可。5.4.5 其他日志AC設(shè)備還提供了外發(fā)文件、即時(shí)通訊、搜索關(guān)鍵字、終端接入日志、安全日志等日志可查詢，查詢方式差不多類似不再贅述。5.4.6 日志導(dǎo)出AC設(shè)備所有查詢?nèi)罩径寄軌驅(qū)?/p>

43、出為excel格式的表格以供二次分析，導(dǎo)出接口在界面右上角按鈕。點(diǎn)擊后，點(diǎn)擊下載即可。5.5 流量時(shí)長分析流量時(shí)長分析用于流量分析和時(shí)長分析，流量分析可統(tǒng)計(jì)應(yīng)用流量排行、網(wǎng)站分類流量排行、域名流量排行、應(yīng)用流速趨勢、流控通道趨勢、網(wǎng)站分類流速趨勢；時(shí)長分析可統(tǒng)計(jì)應(yīng)用時(shí)長排行、網(wǎng)站分類時(shí)長排行和域名時(shí)長排行，所有統(tǒng)計(jì)出來的信息均能夠pdf格式導(dǎo)出，以供匯報(bào)使用。如應(yīng)用流量排行，可依照用戶、用戶組、終端類型、位置、應(yīng)用進(jìn)行流量統(tǒng)計(jì)。在右邊的統(tǒng)計(jì)選項(xiàng)設(shè)置需要統(tǒng)計(jì)的TOPN以及統(tǒng)計(jì)的依據(jù)和時(shí)刻范圍，即可生成相關(guān)的統(tǒng)計(jì)報(bào)表。5.6 報(bào)表中心報(bào)表中心包括【報(bào)表收藏】和【報(bào)表訂閱】兩部分。分不用于治理和個(gè)性

44、化定義報(bào)表寄報(bào)表內(nèi)容。報(bào)表收藏用于治理通過流量時(shí)長分析（流量分析、時(shí)長分析)、用戶行為分析（用戶行為分析、網(wǎng)站分類分析、單用戶分析）、終端接入分析（終端接入分析、終端接入安全）三個(gè)模塊收藏的報(bào)表。Webui：報(bào)表中心 收藏 報(bào)表收藏報(bào)表收藏分為名稱、頁面、編輯、刪除四列，界面如下：報(bào)表訂閱用于治理內(nèi)置分析報(bào)表和自定義報(bào)表模板，設(shè)置此報(bào)表生成后自動(dòng)發(fā)送的郵箱地址，關(guān)心治理員治理報(bào)表。5.7 系統(tǒng)治理【系統(tǒng)治理】用于查看數(shù)據(jù)中心的系統(tǒng)狀態(tài)、治理同步賬號(hào)、登錄數(shù)據(jù)中心的用戶、系統(tǒng)參數(shù)設(shè)置、導(dǎo)入導(dǎo)出日志等?？赏ㄟ^【磁盤空間】查看當(dāng)前日志中心磁盤剩余空間以及已存儲(chǔ)的日志量。第6章 VPN配置6.1 Sa

45、ngfor VPN配置需求：總部和分支分不一臺(tái)AC做出口，路由部署，需要實(shí)現(xiàn)vpn互聯(lián)，分支能夠正常訪問總部業(yè)務(wù)。配置步驟如下：第一步：開通授權(quán)第二步：總部配置 先查看網(wǎng)絡(luò)配置在【系統(tǒng)治理】【網(wǎng)絡(luò)配置】-【網(wǎng)口配置】，確定wan口地址?？偛颗渲貌畈欢嘣O(shè)置。在【vpn配置】【差不多設(shè)置】，填寫出口的webagent地址。 配置用戶治理。在【vpn配置】-【用戶治理】-【新增用戶】給分支新建帳號(hào)和密碼，類型選擇【分支】。點(diǎn)擊“確定”，分支用戶添加成功。 配置vpn內(nèi)網(wǎng)接口，公布lan口的網(wǎng)段在【vpn配置】【高級(jí)設(shè)置】-【vpn接口設(shè)置】，將lan1口默認(rèn)的4個(gè)0的掩碼改成和lan口真實(shí)的掩碼一致

46、。第三步：分支配置 1 ）配置連接治理在導(dǎo)航菜單【vpn配置】【連接治理】，添加總部給的賬號(hào)密碼。點(diǎn)擊“完成”，會(huì)提示重啟vpn服務(wù)，再查看dlan運(yùn)行狀態(tài)的連接數(shù)即可。配置vpn內(nèi)網(wǎng)接口公布lan口路由。在【vpn配置】【高級(jí)設(shè)置】-【vpn接口設(shè)置】，將lan1口默認(rèn)的4個(gè)0的掩碼改成和lan口真實(shí)的掩碼一致。測試效果： Vpn建立連接成功，兩端內(nèi)網(wǎng)pc能夠正?；ピL。注意事項(xiàng)：1、第一次打開【用戶治理】模塊的時(shí)候掃瞄器會(huì)提示會(huì)需要安裝插件，安裝好插件才會(huì)有【新增用戶】的選項(xiàng)。 2、假如事兩臺(tái)硬件設(shè)備做對(duì)接，新增用戶的時(shí)候【類型】選擇【分支】，假如是移動(dòng)用戶，則選擇【移動(dòng)】。 3、假如內(nèi)網(wǎng)有不同于設(shè)備lan口的網(wǎng)段需