深信服AC-1200配置手册范本

范文 范例 学习 指导 word 整理版 附件五附件五 上网行为管理上网行为管理 AC 1200AC 1200 配置管理文档配置管理文档 1 1 设备名称设备名称 本系统上网行为管理设备采用深信服公司生产的 AC 1200 2 2 设备功能设备功能 根据用户提出的应用需求 AC 1200 在本系统中的设计功能是对网络资源进行 合理的分配 并对内部工作人员的上网行为进行规范 以及对防火墙的功能进行必 要的补充 3 3 设备硬件信息设备硬件信息 3 13 1 AC 1200AC 1200 产品外形产品外形 AC 1200 产品外形和接口信息如图 1 所示 图图 1 1 AC 1200 产品外形和接口信息 网络连接与管理方式网络连接与管理方式 AC 1200 的 ETH0 LAN 口通过透明网桥的方式与核心交换机 CISCO4506 的 GE3 1 连接 加入本地局域网络 ETH2 WAN1 口与路由器 CISCO2821 与 Internet 连接 ETH1 DMZ 端口作为 WEB 管理端口连接到核心交换机的 G3 30 设备端口 IP 地址分配见表 1 本设备只提供 WEB 管理方式 通过网络连接到 WEB 管理端口 打开浏览器 在 地址栏输入 https 192 168 5 41 进入管理页面输入用户名和密码 单击 登 录 即可进入管理界面 如图 2 所示 范文 范例 学习 指导 word 整理版 表表 1 1 设备端口 IP 地址分配表 接口IP 地址描述 ETH0 LAN 透明模式与核心交换 G3 1 连接 ETH1 DMZ 192 168 5 41 与 VLAN5 某端口连接 WEB 管理 ETH2 WAN1 192 168 1 6 与路由器 G0 0 0 连接 图图 2 2 WEB 登录页面 4 4 配置管理配置管理 4 14 1 WEBUIWEBUI 界面界面 登录后看到的是 WEB 管理的首页 包含左侧的功能菜单栏和右侧的状态信息显 示 如图 3 所示 范文 范例 学习 指导 word 整理版 图图 3 3 WEB 用户管理界面 4 24 2 系统配置系统配置 系统配置部分包含系统信息 管理员帐户 系统时钟等信息 4 2 14 2 1 系统信息系统信息 系统信息包含系统内的序列号和 license 信息 如图 4 所示 图图 4 4 系统信息 范文 范例 学习 指导 word 整理版 4 2 24 2 2 管理员帐户管理员帐户 本系统内除 admin 帐户外 另创建了一个 gtyl 管理员帐户 其权限与 admin 相 同 图 5 所示为管理员帐户列表 图图 5 5 管理员帐户列表 如需对管理员帐户进行配置 直接单击蓝色用户名 如需创建新管理员 单击 左上角 新增 图标 即可进入创建页面 4 2 34 2 3 系统时间系统时间 系统时间设置界面如图 6 所示 图图 6 6 系统时间设置页面 范文 范例 学习 指导 word 整理版 4 2 44 2 4 系统升级系统升级 如图 7 列表中所显示的 除病毒库未购买升级服务 网关补丁不需购买服务外 其他服务都在 2012 年 4 月 7 日到期 到时可根据实际情况决定是否购买 在服务期 内的项目已全部设置自动升级 图图 7 7 系统升级 4 2 54 2 5 全局排除地址全局排除地址 全局排除地址列表中的服务器网址不受监控和限制 如图 8 所示 本次设置未 启动该项目 今后可根据实际应用自行设置 图图 8 8 全局排除地址 范文 范例 学习 指导 word 整理版 4 34 3 网络配置网络配置 本系统网络配置为透明方式 ETH0 LAN 和 ETH2 WAN1 之间配置网桥 Internet 线路从路由器连接到 WAN1 口 LAN 端口连接到核心交换机的 VLAN 1 端口 配置 DMZ 为管理端口 加入 VLAN 5 IP 地址为 192 168 5 41 如图 9 列表所示 图图 9 9 网络配置 4 44 4 防火墙防火墙 防火墙功能使用 USG2220 实现 此处不做配置 4 54 5 安全防护安全防护 本设备的安全防护功能是对 USG2220 的部分补充 4 5 14 5 1 防防 DOSDOS 攻击攻击 DOS 攻击 拒绝服务攻击 是通过发送大量请求 耗尽服务器资源 使得合法 请求得不到响应 本设备防 DOS 攻击设置如图 10 所示 范文 范例 学习 指导 word 整理版 图图 1010 防 DOS 攻击设置 4 5 24 5 2 防防 ARPARP 欺骗欺骗 ARP 欺骗是一种常见的内网病毒 中毒的客户端不断向内网发广播包 严重影 响局域网的通讯 甚至断网 本设备防 ARP 欺骗设置如图 11 所示 图图 1111 防 ARP 欺骗 范文 范例 学习 指导 word 整理版 4 5 34 5 3 网关杀毒网关杀毒 本设备的杀毒网关未购买病毒库升级服务 病毒库为 2011 03 31 之前 已设置 全部杀毒功能 如图 12 所示 图图 1212 网关杀毒配置 4 64 6 流量管理流量管理 4 6 14 6 1 虚拟线路配置虚拟线路配置 范文 范例 学习 指导 word 整理版 这里的虚拟线路配置实际就是 Internet 的接入线路配置 我们配置上 下行线 路带宽均为 10240Kbps 10Mbps 如图 13 所示 图图 1313 虚拟线路配置 4 6 24 6 2 通道配置通道配置 通道配置是本设备进行网络流量管理的核心内容 通过添加不同的通道 并对 他们进行网络带宽的分配 可以使符合该通道策略的应用得到带宽的保证或限制 通道配置如图 14 所示 图图 1414 通道配置 配置列表中的项目 除上班时间流量管理是我们这次添加的项目 其余均为系 统根据实际情况已制定的通道 此次配置将全部应用启动 下面已低延时保障为例 说明配置参数 如图 15 和图 16 所示 图图 1515 低延时保障通道配置 范文 范例 学习 指导 word 整理版 图图 1616 低延时通道应用范围 从图 16 可以看出 本设置适用于实时性较高的应用 如网游 股票行情和交易 等 从图 15 可以看到 系统预留 20 的带宽保证这类应用的流量需求 实际操作中 我们添加了一个命名为上班时间流量限制的通道 以此为例 讲 范文 范例 学习 指导 word 整理版 解添加配置步骤 首先 单击图 14 左上角的加号 添加通道 如图 17 所示 我们设置通道为限 制通道 最大上 下行带宽为 50 优先级为低 并且设置单 IP 资源不超过 50Kbps 在通道适用范围中 我们设置为适用于所有应用 适用对象为临时人员 自动 获取 IP 地址的人员 生效时间为工作时间 目标 IP 组为自动获取 如图 18 所示 其中用户组 临时人员 生效时间 工作时间 周一到周日 9 00 19 00 目标 IP 组 自动获取 都是已经在对象定义和用户管理中定义好 当带宽资源已经满负荷时 系统将保证优先级高的通道的带宽 图图 1717 配置带宽通道设置实例 图图 1818 通道适用范围设置实例 范文 范例 学习 指导 word 整理版 4 74 7 用户和上网策略用户和上网策略 4 7 14 7 1 上网策略上网策略 制定上网策略的目的是保证带宽不被非公业务占用和协助行政规定的实施 这里通过一个示例说明上网策略的配置方法 本策略不被启动 策略目的 在上班时间段 禁止 临时人员 综合管理部人员 财务部人 员 公司领导 通过互联网使用 HTTP 协议 QQ 淘宝 迅雷下载 P2P 网络视频 策略启动后结果 上述人员在周一到周日 9 00 19 00 无法浏览网页 不能 通过 QQ 聊天 无法使用迅雷下载 无法观看 P2P 视频 设置步骤如下 1 添加上网策略 单击导航菜单的 用户与策略管理 上网策略 新增 上网权 限策略 如图 19 所示 范文 范例 学习 指导 word 整理版 图图 1919 添加上网策略 2 配置策略名称和信息 在上网权限策略页面中 输入策略名称 办公策略 和策略信息 测试 如 图 20 所示 图图 2020 配置策略名称和信息 然后单击 应用 栏下面的显示器图标 选择要配置的应用 进入图 22 所显示 的画面 选择好应用后 单击 确定 范文 范例 学习 指导 word 整理版 图图 2222 应用选择 确定后进入图 23 所示页面 图图 2323 4 配置适用组和用户 单击图 23 中的 适用组和用户 选中需要禁止应用的用户组 点 提交 范文 范例 学习 指导 word 整理版 如图 24 所示 图图 2424 配置适用组和用户 至此 本策略配置完成 4 7 24 7 2 用户管理用户管理 在用户管理部分 已经把终端客户按部门分组添加到系统中 每个用户与一个 或几个 IP 地址绑定 台式机用户绑定一个 笔记本用户绑定两个 领导绑定三个 图 25 所示为组 用户视图 左侧为用户组列表 右侧为选中用户组中的成员 图 25 中选中的是 公司领导 用户组 右侧显示的是改组成员名单 单击右侧列表中的具体成员名称 可以进入该用户的具体配置信息视图 在此 可以对该用户进行配置 配置的内容包括用户属性 图 26 和策略列表 图 27 如图 26 中设置用户 张先龙 绑定 IP 地址 192 168 100 20 192 168 100 22 图 27 中设置该用户应用策略 办公策略 该策略未启动 范文 范例 学习 指导 word 整理版 图图 2525 组 用户视图 图图 2626 用户属性设置 范文 范例 学习 指导 word 整理版 图图 2727 用户策略列表 4 84 8 对象定义对象定义 对象定义部分包含系统配置所用到的基础信息的定义 其中各种库资源都由系 统自定义 并可从网上自动升级 本次配置我们定义了 IP 组 图 28 和时间计划 组 图 29 两项内容 其他内容可根据需求再添加 图图 2828 IP 组定义 范文 范例 学习 指导 word 整理版 图图 2929 时间计划组定义 4 94 9 实时状态监控实时状态监控 实施状态中包括运行状态 安全状态 流量状态 上网行为监控和在线用户管 理等功能 下面做分别介绍 4 9 14 9 1 运行状态运行状态 图 3 所示的是系统实时运行状态概览 包含资源信息 接口吞吐率折线图 应 用流量排名 用户流量排名等 此视图内容可自定义 4 9 24 9 2 安全状态安全状态 本项统计安全事件列表 如图 30 所示 图图 3030 安全状态监控 4 9 34 9 3 流量状态流量状态 本项内容包括用户流量排名 图 31 应用流量排名 图 32 流量管理状态 图 33 和连接监控 图 34 图图 3131 用户流量排名 范文 范例 学习 指导 word 整理版 图图 3232 应用流量排名 图图 3333 流量状态管理 图图 3434 连接监控 4 9 44 9 4 上网行为监控上网行为监控 针对各个用户的上网行为的监控功能 如图 35 所示 图图 3535 上网行为监控 范文 范例 学习 指导 word 整理版 4 9 54 9 5 在线用户管理在线用户管理 本项功能是针对在线用户进行控制管理 如图 36 所示 图图 3636 在线用户管理 4 104 10 统计报表统计报表 在管理页面的任何一页 单击右上角的 内置数据中心 将会弹出新的页面 图 37