常熟电教馆AC培训.docx

常熟电教馆上网行为管理培训深信服科技有限公司2015年4月目 录一、基本功能介绍41、身份认证42、上网权限控制43、上网流量控制44、上网行为审计5二、基本操作培训51、界面介绍51.1实时状态51.2对象定义51.3用户与策略组管理61.4流量管理62、设备开关机操作63、登录设备管理控制台84、备份及恢复配置95、修改管理员密码10三、案例分享111、用户及用户组管理112、身份认证121.1、OA认证121.2、不认证133、上网权限控制141.1、封堵不良网站141.2、封堵指定网站171.3、论坛限制发帖201.4、防共享上网221.5、封堵P2P类型大流量231.6、封堵QQ游戏251.7、单独放通指定应用274、上网流量控制301.1、对P2P类型大流量进行限速301.2、对某个用户进行限速371.3、对某个IP地址进行带宽保障405、上网行为审计426、数据中心查询KEY的使用43四、故障排除451、全局排除地址452、上网故障排除463、断电BYPASS46五、答疑47一、 基本功能介绍1、 身份认证上网行为管理可以对用户的身份进行识别，识别到该用户当前的IP地址或者MAC地址。当然你也可以使用用户名+密码的方式，来对用户进行身份认证。如果使用IP或者MAC地址来识别用户，那么审计的日志中将会以IP或者MAC地址的方式来显示日志。使用用户名+密码认证的用户认证之后，将会以输入的用户名的方式来显示日志。当然你可以选择性的去配置用户的认证方式，具体的配置在后文中会讲到。2、 上网权限控制上网行为管理故名意思，对用户的上网行为能够进行管理。上网行为管理另外的一大功能点就是上网权限的控制。我们可以灵活的通过策略的配置，来实现我们的需求，例如阻止某用户访问不良网站，例如阻止某用户不能使用P2P下载工具进行下载，再例如阻止某用户上班时间不允许访问购物网站。3、 上网流量控制上网行为管理可以对用户的上网的流量进行流控，对非关键流量进行限速，优先保证关键流量能够有充足的带宽。流量控制既可以针对用户来做，也可以针对应用来做，也可以是二者的结合。后面会详细降到配置。4、 上网行为审计上网行为审计是深信服上网行为管理的又一大功能，它可以对用户上网的行为进行审计并记录到硬盘保存一段时间。同时用户可以通过报表中心，灵活的对这些记录进行统计和查阅。审计的内容是可配置的，也就是说你可以对你感兴趣的行为进行审计，而其他流量不涉及。审计的内容很封堵，包括访问的URL，BBS的发帖，邮件的内容，聊天内容等。默认审计策略不开启，需单独配置。二、 基本操作培训1、 界面介绍1.1实时状态1.2对象定义1.3用户与策略组管理1.4流量管理2、 设备开关机操作深信服设备为1U的设备，使用跟普通台式机一样的电源连接线。电源开关位于设备面板后面，如需关机，需要长按电源即可。3、 登录设备管理控制台深信服上网行为管理使用IE浏览器进行配置和管理。首先打开IE浏览器，并在地址栏中输入https:/x.x.x.x (x.x.x.x为AC的实际IP，截图示例中的AC的IP地址为53)，注意开头的是https:/而非http:/。输入IP地址之后点击回车键，打开该页面，浏览器会弹出告警页面，如下图所示。该告警为正常情况，请点击“继续浏览此网站（不推荐）”。点击之后将会打开AC设备的登录界面，输入预先设置好的用户名teacher，密码teacher。即可进入深信服上网行为管理的管理界面。4、 备份及恢复配置配置备份与恢复用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。备份配置：用于备份下载设备中已有的配置，点击点击下载配置，就可以对当前的配置进行备份。恢复配置：用于恢复已备份的配置文件。恢复配置文件有两种方式：方式一：从自动备份中恢复，设备会在每日凌晨自动备份一次配置，默认保存一周的配置文件，选择会要恢复的配置文件，点击恢复即可。方式二：从本地文件中恢复，点击浏览本地文件，并打开备份文件，点击恢复即可恢复备份配置。恢复出厂设置：用于将设备恢复到出厂设置，请慎用！5、 修改管理员密码【系统配置】-【管理员账号】选项中，选中需要修改的账户，点击打开后即可输入新的密码。三、 案例分享1、 用户及用户组管理场景：A学校需要把上网的用户分成三组，分别为教师组、行政组、学生组。并且把对应的用户放到对应的用户组中，以便关联不同的策略【用户与策略管理】-【用户管理】-【组/用户】选项中，新建用户组，命名为“教师组”，以此类推，可以新建学生组和行政组。2、 身份认证1.1、 OA认证场景：A学校教师的IP地址段为/，现在为了实现审计到的行为可以和人对应起来，要求开启OA认证，教师和行政人员必须使用自己的OA账户和密码通过认证后才可以访问互联网A.新建用户认证策略，为该策略命名，适用范围填写为该学校的网段：/。然后选择认证方式为【密码认证/单点登录】即可。1.2、 不认证场景：还是A学校，已经使用了OA认证，但是其中学生IP地址0，希望不使用OA认证，而其他的IP继续使用OA认证。A.新建用户认证策略，为该策略命名，适用范围填写该不需要认证的IP地址：0。然后选择认证方式为【不需要认证/单点登录】。B.通过箭头移动该认证策略，让该策略的位置位于OA认证之上。3、 上网权限控制1.1、 封堵不良网站场景：A学校，不允许内网用户访问成人、非法及不良网站。A 新建一条上网权限策略。B 为该策略命名为“封堵不良网站”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。C 点击下图所示的小电脑状的图标，打开应用列表。勾选需要封堵的网站类型，并点击确定按钮。本示例中需要封堵成人、非法及不良分类，如下图所示。D 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。1.2、 封堵指定网站场景：A学校，上班时间不允许访问网站A 打开【对象定义】-【URL分类库】选项，并创建一个名为淘宝，URL为*.的URL分类B 新建一条上网权限策略。C 为该策略命名为“封堵淘宝”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。D 点击下图所示的小电脑状的图标，打开应用列表。可以看到我们新建的URL分类库“淘宝”，勾选淘宝URL分类库，如下图所示。E 由于是上班时间不允许访问淘宝，因此生效时间选择上班时间。F 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。1.3、 论坛限制发帖场景：天涯论坛，仅允许用户看帖子，但不允许发帖。A 新建一条上网权限策略。B 为该策略命名为“论坛限制”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。C 点击下图所示的小电脑状的图标，打开应用列表。如下图所示。D 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。1.4、 防共享上网场景：需要禁止私接路由器，代理上网A 【终端接入管理】-【共享接入管理】选项中，勾选启用共享接入检测。B 点击“编辑配置选项”，配置允许的终端数量和冻结时间。1.5、 封堵P2P类型大流量场景：A学校，上班时间不允许不允许P2P下载，也不允许观看P2P视频。C 新建一条上网权限策略（由于图片重复，为节约篇幅，请参照前面案例）D 为该策略命名为“封堵P2P”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。E 点击小电脑状的图标，打开应用列表F 勾选需要封堵的应用，这里我们要封堵P2P下载和P2P流媒体，因此勾选这两项。G 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。1.6、 封堵QQ游戏场景：A学校，上班时间不允许不允许玩QQ游戏。A 新建一条上网权限策略（由于图片重复，为节约篇幅，请参照前面案例）B 为该策略命名为“封堵QQ游戏”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。C 点击小电脑状的图标，打开应用列表D 勾选需要封堵的应用，这里我们要封堵QQ游戏，因此勾选这相关的三项，QQ游戏属于游戏这一个大分类，可以使用应用的所有工具来进行检索。E 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。1.7、 单独放通指定应用场景：还是A学校，由于A学校在上班时间封堵了P2P下载和P2P流媒体，因此在上班时间无法进行P2P下载。但此时张三这个用户，由于某些特殊原因，在日常办公中需要用到P2P下载。因此需要单独放通张三的P2P下载权限。A 新建一条上网权限策略（由于图片重复，为节约篇幅，请参照前面案例）B 为该策略命名为“放通P2P访问”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。C 点击小电脑状的图标，打开应用列表D 勾选需要封堵的应用，这里我们要放通P2P下载，因此勾选下载工具和P2P，并点击确定。E 注意，上面的案例中都是封堵应用，因此策略的动作都是拒绝，而本策略是需要放通P2P下载，因此策略的动作需要选择成允许，如下图所示。F 选中【使用对象】选项卡，为该策略选择用户，注意：前面的案例选择的都是所有人，而本案例中仅张三需要放通P2P下载，因此使用对象选中张三。4、 上网流量控制1.1、 对P2P类型大流量进行限速场景：B学校需要对用户进行P2P限速，出口带宽为10M，要求所有人的P2P流量最大不超过4M，单个用户最大不超过200K。A. 设置B学校的带宽情况，【流量管理】-【虚拟线路配置】选项，配置线路1的上下行带宽。B学校为10M宽带，单位为bit，换算成字节10Mpbs/8=1.25MByte。B. 【流量管理】-【通道配置】选项，勾选【启用流量管理系统】C. 点击【新增通道】-【新增子通道】，新建一条流控策略。D. 为该策略命名，设置通道类型为限制通道，上行带宽和下行带宽都分别为40%（需要限制P2P到4M，即总带宽的40%，也可以直接输入值）E. 该场景需求除了P2P总带宽限制在4M之外，还需要限制单用户最大200K。拖动滚动条，勾选【启用限制单IP最大带宽】，上下行分别设置为200。F. 选中【通道使用范围】选项卡，适用应用选择【自定义】，并点击【请选择】的按钮，可以打开选项卡，选择要做流控的应用。本案例需要对P2P进行限速，因此应用选中P2P。1.2、 对某个用户进行限速场景：C学校发现有一个IP地址的流量特别大，想要对这个IP进行限速，限速到上下行最大100K。C学校出口带宽为10M。A. 设置C学校的带宽情况，【流量管理】-【虚拟线路配置】选项，配置线路1的上下行带宽。C学校为10M宽带，单位为bit，换算成字节10Mpbs/8=1.25MByte。B. 【流量管理】-【通道配置】选项，勾选【启用流量管理系统】C. 点击【新增通道】-【新增子通道】，新建一条流控策略。D. 为该策略命名，设置通道类型为限制通道，上行带宽和下行带宽都分别为100KB/SE. 选中【通道使用范围】选项卡，【适用对象】选择自定义，然后选中需要限速的用户。1.3、 对某个IP地址进行带宽保障场景：某学校对单个用户进行了流控，学校的某些特殊人员，由于工作需要，需要较大的带宽，那么可以对这些用户进行带宽保障。A 新建一条流控策略，类型选择保障带宽B 选中【通道使用范围】选项卡，【适用对象】选择自定义，然后选中需要保障的用户。5、 上网行为审计场景：D学校需要对内网用户进行审计，仅记录行为不记录内容。C 新建一条上网审计策略D 勾选应用审计为策略命名，并勾选需要审计的项。本案例勾选访问的URL和其他网络应用行为。E 当然你也可以根据需要勾选其他的需要审计的项，包括聊天记录，邮件内容。6、 数据中心查询KEY的使用启用了数据中心DKEY查询的功能之后，内置数据中心在没有插入DKEY的情况下，无法查询具体的上网日志。需给管理员生成DKEY之后访客产讯。A【系统配置】-【管理员账户】选项，选中teacher账户，并点击打开。B.将DKEY插入电脑的USB接口上，并点击生成DKEYC.初始化DKEY的密码即可，如电脑未安装驱动，可点击“下载DKEY驱动”按钮下载，并安装。 DDKEY激活后，即可将DKEY插入电脑，查看用户的访问日志。四、 故障排除1、 全局排除地址场景：某个用户访问某网站受阻，需要临时放开，其IP地址为。可以将该用户的IP地址加