DeepEdge _SOP_v1.5.docx

TrendMicro CDC DocumentDeep Edge Quick Deployment GuideDocument Version 1.50.1Trend Micro CONFIDENTIAL ENGINEERING DOCUMENTDeep Edge SupportAug, 2013Confidential and Internal Use OnlyUpdate HistoryRevision #Revised ByDate of ChangeChanges0.1Pepsi Bai2013-08-01Draft0.2Tony Wu2013-08-27Update0.5Pepsi Bai2013-09-03Update0.6Pepsi Bai2013-09-04Add check list0.7Pepsi Bai2013-09-05Remove CPU spec0.8Pepsi Bai 2013-09-05Update by Ben review0.9Pepsi Bai2013-09-11Update device online1.0Pepsi Bai2013-09-16Fix version1.1Pepsi Bai2013-11-121. HF_109902. 不同接口IP地址不能再同一网段3. UDP协议的SSL VPN4. 更改管理口IP地址1.2Pepsi Bai2013-11-261. 无法打Patch2. 更换网卡导致功能无法使用3. Bridge模式下应用SSL VPN1.5Pepsi Bai2013-11-29增加关于HF_10990TABLE OF CONTENTS1产品硬件51.1产品外观51.2硬件配置52系统安装63首次登陆73.1登陆Deep Edge Web控制台73.2切换语言（可选，原厂设备出厂默认为中文）83.3修改密码（推荐，建议及时更改出厂密码）83.4DNS配置（必须）83.5修改位置和时间（推荐）93.6设置代理服务器（可选）93.7体验改善（推荐）93.8产品激活（必须）103.9产品更新（必须）103.10指定默认网关（必须）103.11设置反垃圾邮件（推荐）113.12管理终端用户（必须）123.13设置内部地址（可选）133.14设置网络带宽（可选，用于带宽控制）133.15更换管理口地址（可选）134产品部署154.1桥接模式164.1.1部署指南164.1.2典型案例174.2路由模式174.2.1部署指南174.2.2典型案例194.2.3常见问题214.3旁路模式（仅限于用户前期评估）224.4混杂模式224.5双路ISP & WAN模式225设备上线235.1将设备连接到网络235.1.1接入模式（桥接或路由）235.1.2监控模式235.2测试网络连接235.3更新特征码246安全策略256.1安全策略匹配规则256.2关于默认规则256.3常见场景设置257带宽控制267.1指定出接口带宽267.2设置带宽控制规则268VPN278.1SSL VPN278.1.1创建SSL VPN服务278.1.2定制SSL VPN门户278.1.3创建SSL VPN访问用户288.1.4创建SSL VPN访问规则288.1.5安装SSL VPN客户端288.1.6SSL VPN客户端访问288.1.7SSL VPN常见问题299用户认证309.1.1用户管理309.1.2用户认证309.1.3常见问题3110FAQ3211关于DE 2.1 HF_10990331 产品硬件1.1 产品外观前面板后面板注意：默认情况下会使用eth0作为设备的管理口，也就是后面板中从左到右数第三个网络接口1.2 硬件配置请使用原厂设备进行测试，如果您使用的是非标准Deep Edge硬件设备做产品测试或产品试用，请务必满足以下硬件需求，否则将导致产品无法安装，产品功能异常，或产品性能无法满足要求等情况。另外，给客户提供的测试机一定要有TrendMicro的官方标识，避免出现Dell等字样。网络接口及数量4个千兆铜口，其中两个为故障直通口（必须保证有两个或两个以上的故障直通端口）硬盘3.5SATA(7.2K RPM): 500GB内存（不能低于）8G2 系统安装请参阅Deep Edge安装向导完成Deep Edge系统安装过程。从2013年8月起，我们推荐用户使用Deep Edge 2.1 GM(b1090 repack)版本进行产品测试或产品试用，可从以下地址获取该版本的安装镜像文件及最新的产品补丁（HF_b10990）：/index.php?regs=CH&clk=latest&clkval=4410&lang_loc=15 注意：1. 标准出产Deep Edge 300设备无需自己安装2. 非原产的Deep Edge 300设备将无法做到恢复出厂设置功能3. 首次安装完毕后，请务必安装产品补丁，步骤如下：a) 登录Deep Edge web控制台，进入 “管理 升级 软件补丁” 页面b) 选择并上传de_hotfix_*.tar.gz 组件c) 在“导入Patch”对话框中，点击“应用”，新的补丁将会应用到系统当中4. 如果在上传补丁时出现“Patch 软件包无效”错误提示，请使用firefox浏览器重试该操作5. 如果初次安装后更换了网卡硬件，比如将4口网卡换成了6口网卡，则需要重新安装设备，以确保新硬件能正确被识别，功能能正常使用3 首次登陆首次登录Deep Edge web控制台，管理员可根据下表提供的项目对产品做基本配置：配置项目必须推荐可选3.2切换语言3.3修改密码3.4 DNS配置3.5修改位置和时间3.6设置代理服务器3.7体验改善3.8产品激活3.9产品更新3.10指定默认网关3.11设置反垃圾邮件3.12管理终端用户3.13设置内部地址3.14设置网络带宽3.15 更换管理口地址3.1 登陆Deep Edge Web控制台1. 将笔记本或其他终端设备与Deep Edge的管理口相连接（请注意默认管理口eth0的位置）2. Deep Edge支持以下浏览器对web控制台的访问，推荐使用Firefox浏览器3. 登陆地址“https:/:8443”4. 输入在安装过程中设置的用户名和密码5. 原厂设备默认管理口IP地址是：, 用户名：admin，密码：adminDeep Edge3.2 切换语言（可选，原厂设备出厂默认为中文）3.3 修改密码（推荐，建议及时更改出厂密码）3.4 DNS配置（必须）1. 进入“管理”“系统设置”“常规”3.5 修改位置和时间（推荐）1. 进入“管理”“系统设置”“位置和时间”2. 注意，请选择靠近自己的城市，以便使用本地区的特征码3.6 设置代理服务器（可选）1. 进入“系统”“系统设置”“代理服务器设置”注意：在桥接模式中，Deep Edge分别有一个内部和外部接口，为了确保更新功能正常，更新的配置代理和服务器设置必须在同一边，如果Deep Edge以被部署为其他代理服务器， 下一跳自动更新代理和服务代理设置应该是和接口相同一边。3.7 体验改善（推荐）1. 进入“系统”“系统设置”“体验改善”2. 点击“加入体验改善”，并点击“应用”生效注意：选中加入体验改善复选框，以为趋势科技贡献系统配置信息来帮助改善该产品。未曾向趋势科技发送过任何设备名称或 IP 信息。趋势科技获得的信息仅限于正在使用哪些功能。而趋势科技无法了解这些功能的配置方法。3.8 产品激活（必须）1. 进入“管理”“使用授权”，点击“激活使用授权”链接2. 此时跳出激活向导窗口，键入激活码，点击“下一步”，最后点击“完成”完成激活。如未获得激活码，可点击“在线注册”链接，按照要求获得激活码，并完成上述产品激活过程。3.9 产品更新（必须）1. 从下面链接下载最新的产品补丁（最新版本为HF_10990）:/index.php?regs=CH&clk=latest&clkval=4410&lang_loc=15 2. 进入“管理”“更新”3. 点击“浏览”，选择并上传de_hotfix_*.tar.gz 组件4. 在“导入Patch”对话框中，点击“应用”，新的补丁将会应用到系统当中5. 如果在上传补丁时出现“Patch 软件包无效”错误提示，请使用firefox浏览器重试该操作3.10 指定默认网关（必须，便于产品与Internet连接）1. 进入“网络”“路由”“静态路由”2. 点击“新增”，并输入以下：a) 网络: /0b) 下一跳地址: 默认网关地址3.11 设置反垃圾邮件（推荐）1. 设置邮件白名单a) 进入“策略”“安全设置”“反垃圾邮件”b) 在“允许的发件人”一栏中加入常用的邮件或邮件域名（建议把本公司以及有业务往来的其他公司的邮件域名加入邮件白名单，以减少由于误判导致的邮件丢失）2. 设置垃圾邮件敏感度级别a) 进入“策略”“安全设置”“反垃圾邮件”b) 在“反垃圾邮件捕获率”一栏中，选择“低”（针对国内客户，推荐将该选项设置为“低”以减少误判率）3. 设置垃圾邮件扫描策略a) 进入“策略”“规则”“新增”，增加一条策略，正确选定出入端口，邮件扫描只扫从外到内的邮件，内部发出邮件不需要扫描。提高扫描效率，避免误判。3.12 管理终端用户（必须）1. 进入“管理”“终端用户管理”“常规设置”a) 如果有LDAP，并且希望通过LDAP做用户识别及用户管理，那么在“用户类型”中请选择“LDAP”，否则，默认将使用“本地用户”b) 对于“认证缓存”，可选择固定时限，也可以选择最后活动时间2. 如果选择“LDAP”，那么再进入“管理”“终端用户管理”“LDAP设置”a) 选择认证服务器类型，基准DN，用户名，密码等，如下图：3. 如果选择“本地用户”，那么再进入“管理”“终端用户管理”“本地用户”，点击“新增”a) 输入用户名，密码，邮件，用户组等信息，创建本地用户及用户组，如下图：4. 如果需要实现用户客户可视化及管理，还需要做相关的用户认证，详情请参照第8章3.13 设置内部地址（可选）1. 对于使用非常规IP地址或IP地址段作为内部IP地址来使用的情况下，需要指明这些地址或地址段为内部地址，以便于IPS识别数据流方向。如果客户所使用的IP地址或IP地址段已包含在默认内部地址内，则本步骤可以忽略2. 进入“网络”“部署”“内部地址”3.14 设置网络带宽（可选，用于带宽控制）1. 用户在使用带宽控制功能之前，需要指定相关出接口，以及相应的出口带宽2. 进入“网络”“部署”“带宽设置”3. 在操作列中，单击要修改的接口(通常为出接口)所在行的编辑图标()，将显示编辑带宽设置窗口4. 要设置带宽控制，请选择启用带宽控制5. 指定以下详细信息（根据客户出口带宽设定）a) 允许的最大上行带宽b) 允许的最大下行带宽3.15 更换管理口地址（可选）1. 由于用户实际所用的管理口地址和设备安装时所设置的管理口地址有可能不一样，所以，首次登录后通常需要改动管理口地址，以便设备接入网络后管理员能访问并管理该设备2. 进入“网络”“接口”3. 点击eth0（默认eth0为管理口，当然也可以选择其他接口作为管理口），弹出“编辑接口”对话框4. 更改该接口的IP地址，并点击“应用”5. 使用新的URL登录Deep Edge web控制台：https:/:84436. 请注意，任何L3接口的IP地址不能配置在同一网段内，比如eth0的IP地址为00，那么其他L3接口的IP地址一定不能在/24之内，否则将导致路由表混乱，设备无法访问，或网络不通等问题。如果在网桥上面配置IP地址，那么该IP地址同样不能和其他L3接口的IP地址在同一网段内！4 产品部署l 桥接模式（透明膜式）:部署架设简单，不需要对原有网络拓扑做出改变。Deep Edge 在网络设备间充当一个二层桥，就像路由器和交换机一样。Deep Edge无需修改浏览器或者网络设备。这是一个最简单的扫描两个方向通信的外部部署模式，部署桥接模式需要2个网络接口；一个连接内网一个连接外网。l 路由模式:支持PPPoE，LAN，具有普通路由器的功能，并提供VPN功能。在路由模式中，Deep Edge作为一个具有通信分流扫描功能的3层路由器。部署路由器模式需要配置2个网络接口：一个连接内网一个连接外网。l 旁路模式(不推荐):对网络进行监测评估，不会影响用户上网行为。在旁路模式下，Deep Edge会申请一个策略来反映流量产生的日志和报告，但是没有任何阻止行动会被强制执行。l 混杂模式(不推荐): 桥接模式+路由模式。在混杂模式下，Deep Edge既可使用两个桥接接口实现桥接功能，又可以通过将另外两个接口定义为三层接口来实现路由功能。l 双路ISP & WAN模式(不推荐): 支持双路ISP&WAN接入。非正式支持部署模式，请联系趋势产品支持工程师。管理员可结合下表提供的配置项目来对产品进行部署配置：配置项目桥接模式路由模式选择部署方式必须必须默认路由必须必须桥接必须N/A接口IP地址N/A必须SNATN/A必须DNATN/A可选策略必须必须VPN可选可选用户认证可选可选4.1 桥接模式4.1.1 部署指南1. 进入“网络”“部署”，确认已选择“接入模式”单选按钮。2. 进入“网络”“桥接”3. 选择桥接接口（通常使用eth2和eth3作为桥接接口，eth2和eth3为故障直通口）7. 可以在“Advanced”选项中为该桥接指定IP地址，可通过该IP地址实现对Web控制台的访问。请注意，如果在网桥上面配置IP地址，那么该IP地址不能和其他L3接口的IP地址在同一网段内！4.1.2 典型案例1. 网络环境：有10兆连接互联网2. 主要动机：小型数据中心(web 与数据库服务器)安全3. 部署方式：以桥接模式部署4. 功能：防火墙、入侵检测、防病毒、防垃圾邮件、上网行为管理、网页信誉检测、网页分类过滤4.2 路由模式4.2.1 部署指南1. 进入“网络”“部署”，确认已选择“接入模式”单选按钮。2. 进入“网络”“接口”，设置接口类型。点击您想配置的接口名称链接，它们可以对应信任网络（内部）和不可信任网络（外部），这些接口将数据在互联网和内部网络系统中传输。3. 设置接口类型为“L3”，可选择静态，DHCP及PPPoE模式4. 请注意，任何L3接口的IP地址不能配置在同一网段内，比如eth0的IP地址为00，那么其他L3接口的IP地址一定不能在/24之内，否则将导致路由表混乱，设备无法访问，或网络不通等问题。如果在网桥上面配置IP地址，那么该IP地址同样不能和其他L3接口的IP地址在同一网段内！ 配置PPPoE（推荐）1. 进入“网络”“接口”。2. 选择PPPoE连接所需的接口，选择L3类型，PPPoE模式，如下： 配置路由（推荐）1. 进入“网络”“路由”2. 可进行静态路由，RIP及OSPF动态路由配置。 配置NAT（推荐）3. 进入“网络”“NAT”4. 可进行源NAT及目标NAT的配置 4.2.2 典型案例1. 网络环境：有20兆连接互联网2. 主要动机：有100个办公桌面客户端，1个对外发布服务器3. 部署方式：以路由模式部署4. 功能：防火墙、入侵检测、防病毒、防垃圾邮件、上网行为管理、网页信誉检测、网页分类过滤5. 部署步骤a) 创建接口i. 创建3个L3类型接口，采用静态IP地址，分别是：eth0-1（公网）, eth2-（内部办公桌面终端网段网关）, eth3-47（服务器网段网关）b) 创建NATi. 对于所有内部网段，需要做源NAT，如下：ii. 对于对外发布服务器（发布端口80），需要做目标NAT，如下：c) 创建防火墙规则i. 对于内部办公桌面终端，采用一般扫描，对于对外发布服务器，仅开放80端口4.2.3 常见问题1. 接口IP地址冲突a) 通常情况下，Deep Edge上任意接口（包括L3接口，以及桥接接口）的IP地址不能重复，且不能同属同一网段，否则会造成网络无法连通等问题2. 客户端无法访问外部网络a) 请检查源NAT配置3. 外部用户无法访问对外发布服务器a) 请检查目标NAT配置4. 设备部署上线后网络无法连通a) 检查接口IP地址b) 检查默认网关以及静态路由c) 检查源NAT/目标NATd) 检查策略e) 重启下层交换机，强制子网中的设备更新ARP cache，否则有可能导致下层网络设备与DE之间无法通讯，造成网络连通故障。4.3 旁路模式（仅限于用户前期评估）把Deep Edge配置成旁路模式，你需要：l 决定哪个接口将会接收监控传输。l 将网络交换机的镜像端口连接到Deep Edge指定的镜像接口。1. 进入“网络”“部署模式”。2. 点击“监控模式”单选按钮。3. 在选择接口的窗口，在右边找到合适的接口，然后点击“+”来添加这个接口。4.4 混杂模式非正式支持部署模式，请联系趋势产品支持工程师。4.5 双路ISP & WAN模式非正式支持部署模式，请联系趋势产品支持工程师。计划在2014年发布的Deep Edge 2.5版本中将会正式支持该功能。5 设备上线5.1 将设备连接到网络5.1.1 接入模式（桥接或路由）请选择设备后面板最左边的两个网口（故障直通端口）做桥接或路由5.1.2 监控模式5.2 测试网络连接通常情况下，Deep Edge需要与internet连接来更新特征码，更新使用授权，以及进行安全扫描查询等操作，所以，请务必保证Deep Edge与internet之间的网络连通，测试方法如下：1. 查看网络信息a) 进入“实时监控”“系统信息”，查看“网络信息”小窗口2. 通过CLI方式测试a) 进入“管理”“设备管理”“Web命令行”b) 在命令行中直接输入：ping ，如成功，则表明Deep Edge设备与internet连接成功，否则，需要检查DNS，默认网关，代理服务器设置等3. 通过更新特征码方式测试a) 请参考下节4. 常见问题请参考 4.2.3 章节5.3 更新特征码1. 为保证客户的网络环境得到及时的安全防护，我们强烈推荐设备初次上线时手动进行特征码更新2. 进入“管理”“更新”“特征码更新”3. 选择需要更新的组件，然后点击“更新”4. 常见问题a) 特征码更新失败i. 请检查Deep Edge与internet连接是否正常，可参考上节方法进行测试ii. 请检查产品是否激活，如果产品没有被激活，是无法更新特征码的iii. 请检查是否能正确访问下面的链接：http:/Deep E/activeupdate/china/server.ini 6 安全策略6.1 安全策略匹配规则1. 从优先级最高（最上面）的规则开始，从高到低进行匹配2. 一旦和某个规则匹配成功，则不会继续和下面的规则进行匹配3. 新添加的或者克隆的规则，默认情况下会以最低优先级添加到所有规则的最后面，这事需要按实际情况调整期优先级4. 通常情况下，默认规则会以最低优先级放在所有规则的最后面6.2 关于默认规则1. 在产品出厂设置中，会保留一条默认规则，该规则用于确保：a) From-any-to-any的数据流畅通，保证用户不会断网b) From-any-to-any的数据流会经过Deep Edge的常规扫描，保证基本的数据内容安全2. 通常情况下，默认规则会以最低优先级放在所有规则的最后面3. 通常情况下，我们建议保留该默认规则，规则的处理措施可以自己设置4. 如果客户有额外的网络安全需求，建议新增防火墙规则来满足需求，而不要在默认规则上做改动5. 如果修改了默认规则中的源/目标/通讯类型等匹配条件，有可能导致数据流找不到与之匹配的防火墙规则，造成数据流被阻止，从而导致断网或无法访问网络等问题6. 通常在网络访问控制非常严格的场景下，会将默认规则中的处理措施设置为“阻止”6.3 常见场景设置1. 请参照Deep Edge 2.1部署向导中“适用于部署模式的安全策略配置”一章进行安全策略配置2. 通常情况下，对于“除之外”这种场景，需要创建两条防火墙规则来实现，比如：除老板之外，任何人不得使用QQ，对应的防火墙规则如下：7 带宽控制7.1 指定出接口带宽1. 请参考3.12 设置网络带宽7.2 设置带宽控制规则1. 进入“策略”“带宽控制”，点击“新增”2. 采用和防火墙规则一样的方式对“源和用户，目标，通信类型，时段”进行设置3. 在“时段和带宽”一栏中，对“下行流量”设置“保证带宽”或“最大带宽”4. 也可点击“高级设置”， 对“上行流量”设置“保证带宽”或“最大带宽”，以及此规则的优先级8 VPN8.1 SSL VPN8.1.1 创建SSL VPN服务1. 进入“网络”“用户VPN” “SSL VPN”2. 选中“启用SSL VPN”，默认选择“TCP”协议，可指定端口号3. 在“覆盖主机名”一栏，如果客户端能根据Deep Edge配置的主机名访问到Deep Edge，就不需要填写，否则需要在本栏填写Deep Edge外网口IP地址，保证客户端直接通过IP地址访问SSLVPN4. 关于“本地网络”，意思是SSL VPN能访问到的内部网络资源5. 关于“虚拟IP池”，意思是分配给SSL VPN客户端的IP地址池，注意不要和实际已用地址段冲突6. 注意，通常情况下需要选中“高级设置”中的“启用地址伪装”，以自动添加NAT规则8.1.2 定制SSL VPN门户7. 进入“网络”“用户VPN” “门户定制”8. 为本公司定制 “公司徽标”，“公司名称”以及“欢迎消息”，可点击“预览”查看效果8.1.3 创建SSL VPN访问用户9. 进入“管理” “终端用户管理”，如果选择了“LDAP”，本步可跳过，如果选择了“本地用户”，那么请先创建本地用户及本地用户组，以确保客户端有SSL VPN帐号可以登录8.1.4 创建SSL VPN访问规则10. 通常情况下，用户需要细化SSL VPN客户端对内网资源的访问规则，这时需要借助防火墙规则来完成相关配置11. 进入“策略”“规则” “新增”来创建SSL VPN客户端对内网资源的访问规则8.1.5 安装SSL VPN客户端12. 打开浏览器，在地址栏中输入https:/SSL VPN地址或主机名，登录SSL VPN门户，根据提示下载SSL VPN客户端软件安装包，按照相关提示进行安装8.1.6 SSL VPN客户端访问13. 安装成功后，进入VPN客户端登陆界面，输入SSL VPN用户名及密码，点击“登录”开始VPN连接14. 如果SSL VPN连接创建成功，在屏幕右下角会看到以下提示：15. 如果从SSL VPN客户端ping内网资源没问题，说明SSL VPN已经正常工作，并且能够访问到相关内网资源8.1.7 SSL VPN常见问题16. 关于SSL VPN搭建环境a) 通常情况下我们建议在路由模式下创建SSL VPNb) 桥接模式下创建SSL VPN请参照后面的案例17. 无法显示SSL VPN登录窗口a) 如果使用主机名来进行访问，请确认主机名称能正确解析，并且解析出的IP地址可达b) 如果用IP地址访问，请确保IP地址可达18. SSL VPN客户端连接失败a) SSL VPN用户登录成功后，屏幕右下角会显示与主机的连接，如果连接成功，会看到已分配的IP地址，如果没看到分配的IP地址，说明客户端连接失败b) 进入“网络” “用户VPN” “SSL VPN”，查看“覆盖主机名”，确认SSL VPN客户端可以正常访问该主机名或IP地址c) 可能的原因有VPN客户端地址段没有做NAT，通常需要进入“网络” “用户VPN” “SSL VPN”，选中“高级设置”中的“启用地址伪装”，以自动添加NAT规则19. SSL VPN客户端无法访问本地网络a) SSL VPN客户端已经成功分配IP地址，但无法成功访问本地网络b) 请检查NAT设置，并查看是否被防火墙规则拦截20. 使用TCP方式无法创建VPN连接a) 通常是由于TCP端口被禁用所致，可使用“telnet ”查看该VPN端口是否可以成功访问b) 如果TCP端口无法成功访问，可将协议改为“UDP”，端口改为“161”再进行尝试21. 基于SSL VPN用户的策略无法生效a) 通常情况下，DE可以针对用户创建网络访问策略，在2.1 GM b1090版本中发现基于SSL VPN用户创建的策略无法生效，该问题属于产品bug，目前已通过HF_10990补丁修正22. 如何在桥接模式下创建SSL VPNa) 桥接模式下SSL VPN的配置步骤和路由方式下的基本一致，唯一的不同点在于：在路由方式下可以选择“高级设置”中的“启用地址伪装”，以自动添加NAT规则，但是该选项在2.1版本中仅对路由模式下部署生效，如果用户使用透明方式部署，则仍需手工添加NAT规则来确保VPN的正确访问，请参考下面案例：i. eth2和eth3为桥接数据口，IP：46，eth1为VPN接口，IP ：22ii. VPN本地网络：/24，VPN虚拟地址池：/24iii. 此时需要添加一条SNAT规则，这样VPN客户端即可访问到内部网络资源，配置如下：b) 在即将发布的DE 2.5版本中，我们将解决上述问题，用户选中“高级设置”中的“启用地址伪装”，在透明模式下也会自动创建NAT规则，不必手动添加NAT规则即可实现VPN的访问。9 用户认证9.1.1 用户管理1. 首先，请参考3.10章节设置终端用户类型，并做设置LDAP或创建本地用户9.1.2 用户认证1. Deep Edge提供两种认证方式：网页认证、透明认证2. 对于本地用户，只能使用网页认证，对于LDAP，可以使用透明认证，也可以使用网页认证，还可以选择混合认证（网页认证+透明认证）。混合认证的流程是：Deep Edge先通过AD查询用户的登录信息，对于能够得到的登录信息（包括登录时间，用户名，IP地址等），Deep Edge会缓存到本地，然后将从数据流中得到的IP地址与登录用户匹配，从而显示出用户名，如果无法查到用户的登录信息，那么客户端将会弹出认证页面，用户使用域用户及密码登录成功后，Deep Edge会得到相应的IP地址及登录信息，从而实现用户的可视化管理3. 进入“策略”“认证”“终端识别”，点击“新增”4. 对于LDAPa) 可选择“透明认证”，或“网页认证”，或“透明认证”+“网页认证”混合认证的方式来实现用户认证b) 选择需要做终端认证的IP地址或地址段，如果不选，默认所有地址都会启用终端认证5. 对于本地用户a) 用户只能选择“网页认证”方式b) 选择需要做终端认证的IP地址或地址段，如果不选，默认所有地址都会启用终端认证6. 如果选择了“网页认证”，需要进入“管理”“设备管理”“管理服务”，选中需要做认证的网段对应的网络接口，以确保认证对话框正确弹出，如果是桥接接口，需进入“网络”“桥接”的高级设置中进行选择7. 如果仅允许通过用户认证的用户访问网络资源，那么，需要添加一条防火墙策略，“源和用户”中选择“未知用户”，处理措施选择“阻止”。如果不设置该防火墙规则，即使各种认证失败，也不会影响用户对网络资源的访问9.1.3 常见问题1. 应用“网页认证”导致大多用户无法访问网络a) 通常情况下