深信服上网行为管理-管理员手册

1、深信服上网行为管理-管理员手册深信服电子科技有限公司修订历史编R修订内容简述修订日期修订前版本号修订后版本号修订人批准人12版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。错误！未定义书签。错误！未定义书签。错误！未定义书签。目录第1章前言第2章系统管理设备登录管理员配置错误!未定义书签。修改管理员密码错误!未定义书签。创建二级管理员错误!未定义书签。系统基本信息配置错误!未定义书签。序列号错误!未定义书签。系统时间错误!未定义

2、书签。规则库升级错误!未定义书签。全局排除地址错误!未定义书签。设备配置备份与恢复错误!未定义书签。WEBU选项错误!未定义书签。远程维护错误!未定义书签。第3章网络配置错误!未定义书签。部署模式错误!未定义书签。静态路由错误!未定义书签。第4章策略管理错误!未定义书签。用户认证与管理错误!未定义书签。用户组管理错误!未定义书签。认证策略错误!未定义书签。不需要认证错误!未定义书签。IP/MAC绑定错误!未定义书签。不允许认证错误!未定义书签。策略管理错误!未定义书签。购物娱乐类网站错误!未定义书签。P2P及P2P媒体封堵错误!未定义书签。外发文件封堵错误!未定义书签。上网审计错误!未定义书签

3、。流量管理错误!未定义书签。线路带宽配置错误!未定义书签。保证通道错误!未定义书签。限制通道错误!未定义书签。终端接入管理错误!未定义书签。共享接入管理错误!未定义书签。第5章日志中心管理错误!未定义书签。日志中心配置错误!未定义书签。准备工作错误!未定义书签。外置日志中心安装过程错误!未定义书签。日志中心登录错误!未定义书签。同步策略设置错误!未定义书签。AC同步配置错误!未定义书签。日志中心登录错误!未定义书签。内置日志中心登录错误!未定义书签。外置日志中心登录错误!未定义书签。日志查询错误!未定义书签。所有行为日志错误!未定义书签。网站访问日志错误!未定义书签。邮件收发日志错误!未定义书

4、签。发帖/发微博日志错误!未定义书签。其他日志错误!未定义书签。日志导出错误!未定义书签。流量时长分析错误!未定义书签。报表中心错误!未定义书签。系统管理错误 ! 未定义书签。第1章前言本手册用于讲解AC常见功能操作方法，为管理员提供日常策略维护指导。第2章系统管理设备登录首先确保本机从网络可以访问到设备管理IP地址，然后在浏览器中输入网关的IP及端口。出现一个如下图的安全提示：点击继续浏览此网站（不推荐）后出现以下的登录界面：在登陆框输入【用户名】和【密码】，点击登录按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为admin。如果用户密码过于简单,则会被检测为弱密码,在控制台的处理

5、为:登录后检测为弱密码则提示修改密码，则会弹出如下提示：如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示：弱密码修改:管理员配置在【系统管理】-【系统配置】-【管理员账户】页面，可修改admin管理员密码、删除管理员账号以及创建二级管理员。修改管理员密码管理员账户页面找到admin管理员，直接点击编辑，输入旧密码，并设置新密码即可修改admin账号的密码信息。注：admin账号只可修改密码，不可删除。创建二级管理员在管理员账户页面，点击新增可以创建二级管理员。设备确实管理员角色有两种：administrator：内置的角色，该角色的管理员自动拥有管理整个组织结构的管辖范围，并且还能

6、够添加删除管理员帐户。common系统缺省创建的角色，可通过角色管理添加或者删除角色，该角色可设置管理员可以管理的组织结构范围。如果选择管理员角色为common在组织结构权限设置处，可以设置该管理员可以管理的组织结构范围。在页面权限设置处，可设置该管理员可以查看或编辑的控制台页面。系统基本信息配置序列号在【系统管理】-【系统配置】-【序列号】页面，可以查看设备当前的授权信息。序列号一般在出厂时已设置好，正常使用过程中无需修改，只有当设备相关服务到期时，才需要修改相关序列号。系统时间【系统管理】-【系统配置】-【系统时间】用于设定SANGFO殷备的系统时间。可以直接在界面上修改时间，也可以选择与

7、时间服务器进行时间的同步。注：设备日志记录的时间与系统时间相关，请注意确保设备系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿工作时间操作。规则库升级【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态，请确保设备管理IP能够访问互联网，以便设备自动更新规则库。全局排除地址【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP不受任何监控和控制，直接放行。排除地址支持填写IPV4地址、IPV6地址、域名。点击自定义排除地址页面的添加，在文本框内输入需要排除的IP或域名即可。设备配置备份与恢复【配置备份与恢复】用于将

8、设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。WEBUI选项【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数，如默认编码、控制登录端口、超时时间等。远程维护【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允许从外网口远程登录设备，以及自动上报未识别URL系统错误、未知应用信息和技术支持协助。WAN 口启用远程维护用于设置是否允许从外网口远程登录设备，勾选此项的同时，设备的ping，平时一般建议关闭该选项。第3章网络配置部署模式AC设备支持路由模式、网桥模式、旁路模式三种部署模式。路由模式:一般用于没有防火墙的中小客户。

9、设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，可不更改原有网络拓扑结构的情况下平滑架到网络中。目前在客户中使用最多的部署模式；旁路模式：仅做旁路审计，需要交换机做镜像至AC。本例以网桥模式部署为案例，配置需求及步骤如下：需求：目前网络已部署防火墙设备IP地址为，内网三层环境，核心交换机地址，AC网桥部署在防火墙和核心交换机之间，分配给AC设备的地址为，配置步骤如下：1 .通过【系统管理】-【网络配置】-【部署模式】进入配置界面，点击开始配置，选择网桥模式。2 .点击下一步，选择网桥的网口。本案例采用ETH0和ETH2作为

10、一对网桥口，ETH0作为LAN区网口，ETH2作为WANK网口。3. 点击下一步，设置AC设备的网桥IP:4. 点击下一步，设置DMZf理口的IP地址，可保持默认配置：5. 点击下一步，设置设备上网的网关和DNS：6. 点击下一步，确认和提交配置：注：点击提交后，设备会自动重启，重启时间一般为1-5分钟，请勿在工作时间修改设备部署模式配置。静态路由如上需求，由于内网三层环境，需要增加内网网段的回包路由指向核心交换机，如内网有、等。1. 通过【系统管理】-【网络配置】-【静态路由】进入配置界面。2. 点击新增，设置需要添加的路由目的地址、子网掩码，下一跳指向核心交换机。3. 点击提交完成配置，如

11、果有多个网段，可添加多条路由。第4章策略管理用户认证与管理用户组管理为了便于区分员工角色进行策略管理，我们可以将上网用户进行分组管理，【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地方。成员列表点在该页面组织结构下选择指定组，可在该组下创建用户以及用户组，在右边击新增，选择新增类型组定义组名，如“市场部”，点击提交即可，该组适用的上网策略，可在后面策略管理时指定。认证策略【认证策略】决定了某个IP/网段/MAC地址上计算机的认证方式。通过【认证策略】设置内网用户的认证方式，以及新用户添加的策略。认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先

12、级。通过认证策略可以为不同的网段配置不同的认证方式。认证策略可以指定的认证方式有不需要认证、密码认证、单点登录、不允许认证4种，根据不同的认证策略可实现不同的用户认证需求。不需要认证在认证策略页面点击新增设置该策略适用的范围后点击下一步，适用范围可以是IP、MAC、IP段以及子网。选择认证方式为不需要认证，继续点击下一步选择用户以组织结构中那个组的身份上线后点击提交即可。IP/MAC绑定二层环境1 与不需要认证用户设置方法相同，但认证后处理方式需勾选自动录入绑定关系-自动录入IP和MAC勺绑定关系 选项2用户上网后，在【用户认证与管理】动绑定了终端第一次上网的 IP和MAC言息,在该页面可对相

13、关信息进行添加、删除和修改操作。-【用户管理】-【IP/MAC绑定】页面可以看到系统自其中public 为三层交换机的Community其中all 表示所有版本进入全局配置状态启用 CDP其中 public 为三层交换机的Community允许设备将所有类型 SNMP Trap发送出去三层环境三层环境下，由于内网用户经过三层交换机后，MAC地址会被三层交换机替换掉，因此还需要在核心交换机上开启SNMPJ艮务，以支持AC跨三层环境下的IP/MAC绑定。1 .在核心交换机上开启SNMPI艮务。华为交换机的配置命令：system_viewsnmp-agentcommunityreadpublicsn

14、mp-agentsys-infoversionall思科交换机的配置命令：configterminalCdprunsnmp-servercommunitypublicrosnmp-serverenabletraps注：三层交换机需启用SNMP协议，AC作为SNMP客户端通过SNMP读取交换机，只支持SNMPv1,v2,v2c,不支持v3。2 .在【用户认证与管理】-【认证高级选项】-【跨三层取MAC页面，开启跨三层MACR别功SNM建项可以新增多个SNMP服务器，如果内网存在多个三层交换机，则每个三层交换机的均需要开启，如下图点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC有返

15、回结果则能正常获取，如下图完成新增SNMPI艮务器后，可以查看配置的所有交换机当前snmp获取的结果，如下图接下来，需要配置排除核心交换机的MACM址，如下图。实际使用时，可开启设备自动识别三层交换机的MAC并自动添加到MACM址排除列表，如下图启用“自动添加排除”，定义10分钟内同一个IP对应的MACM址记录数，推荐配置5。当同一个MACfe到设置条件时，AC认为是三层交换机的MAG&址，自动将其排除。3 .与二次环境一样，设置认证策略，认证后处理选择自动录入IP和MAC勺绑定关系。不允许认证认证方式设置为不允许认证的网段，将无法通过设备访问任何网络。在认证策略页面点击新增直接点击提

16、交即可。策略管理【策略管理】模块设置的策略主要包含封堵、审计等策略，以下分别以案例的形式介绍一些常见的策略设置方式。购物娱乐类网站需求：禁止全公司上班时间访问购物、娱乐类网站。1. 【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入上网权限策略编辑界面。填写策略名称，描述信息。2. 勾选策略设置-上网权限策略-应用控制，右边进入应用控制窗口。点击添加按钮。3. 点击应用下方的，进入【选择应用】窗口。4. 展开应用“访问网站”，选择“网上购物”和“娱乐”5. 点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成网

17、上购物和娱乐类网站拒绝设置。6. 选择适用对象选项，进行策略与用户/组关联，勾选“所有用户”，即可关联全网用户。7. 点击提交按钮，完成整个策略设置。P2P及P2P流媒体封堵需求：禁止市场部门用户及其所有子组在上班时间使用P2P和P2P流媒体。1. 【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入上网权限策略编辑界面。填写策略名称，描述信息。2. 勾选策略设置-上网权限策略-应用控制，右边进入应用控制窗口。点击添加按钮。3. 点击应用下方的，进入【选择应用】窗口。4. 选择应用“P2P'和"P2P流媒体”5. 点击确定按钮。回

18、到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成P2P和P2P流媒体应用拒绝设置。6. 选择适用对象选项，进行策略与用户/组关联。7. 点击提交按钮，完成整个策略设置。外发文件封堵需求：为了避免公司重要资料通过网络外泄，禁止研发和财务部门一切外发行为。1. 【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入上网权限策略编辑界面。填写策略名称，描述信息。2. 勾选策略设置-上网权限策略-应用控制，右边进入应用控制窗口。点击添加按钮。3. 点击应用下方的，进入【选择应用】窗口。4. 选择左侧应用标签“外发文件泄密风险”。5.

19、点击确定按钮。回到应用控制页面。生效时间选择全天，动作选择为拒绝。点击确定按钮，完成外发文件封堵设置。6. 选择适用对象选项，选择“研发部”和“财务部”。7. 点击提交按钮，完成整个策略设置。上网审计需求：对内网所有用户开启审计，审计所有网络行为。1. 【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网审计策略，进入【上网审计策略】界面。填写策略名称，描述信息。2. 勾选策略设置-应用审计，右边进入应用审计编辑窗口。点击添加，进入添加审计对象页面。3. 点击审计对象下方的按钮，进入选择审计对象编辑窗口。选择需要开启的审计记录，设置审计访问网站的URb选择生效时

20、间为上班时间。注：不建议开启未识别的网络应用日志，该日志类似防火墙日志，对上网行为管理审计来说意义不大。4. 选择适用的对象，这个需求选择所有用户即可：5. 点击提交按钮，完成整个策略。流量管理【流量管理】支持保证和限制通道两种形式，分别用于针对重要应用的流量保障和大流量应用的带宽限制，线路带宽配置设置流量管理配置前，需要先根据出口互联网带宽设置带宽参数。点击对应的线路名称即可编辑带宽参数，如下图设置线路1上行4Mbps,下行100Mbps保证通道需求：针对HTTP访问网站、DNS视频会议彳证上行2Mbps,下行20Mbps,以确保网络繁忙时这些应用能优先处理。1. 【流量管理】-【通道配置】

21、，右边进入【通道配置】编辑页面。然后点击新增通道按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。2. 选则保证通道,设置上行带宽保证2Mbps,下行带宽保证20Mbps,优先级高。3. 点击通道使用范围。适用应用选择自定义，点击进入按钮，进入自定义适用服务与应用编辑窗口。4. 选择应用访问网站、DNS网络会议，点击确认。5. 点击确定按钮，完成整个策略。限制通道需求：针对普通员工，限制整个组的P2P和P2P流媒体上行不超过1Mbps,下行不超过10Mbps,单用户最大上行500Kbps,下行1Mbps,以避免普通员工P2P下载占满带宽，应用其他正常办公业务。1. 【流量管理】-【通

22、道配置】，右边进入【通道配置】编辑页面。然后点击新增通道按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。2. 选择限制通道，设置上行带宽最大1Mbps,下行带宽最大10Mbp33. 勾选启用单IP最大带宽,设置上行500kbps,下行1Mbps=4. 点击通道使用范围。5. 适用应用选择自定义，点击进入按钮，进入自定义适用服务与应用编辑窗口。6. 选择应用P2RP2P流媒体，点击确认。7. 适用对象选择自定义，点击进入按钮，进入自定义适用对象编辑窗口。8. 选择本地用户-普通员工组，点击确定。9. 点击确定按钮，完成整个策略。终端接入管理共享接入管理需求：用户内网存在大量电脑，移动

23、终端共享热点，需要封堵电脑和移动用户的通过代理方式上网的行为。配置步骤如下：1. 【终端接入管理】-【共享接入管理】，右边进入【共享接入管理】的配置页面。勾选启用共享接入检测，如下图所示：2. 在【共享接入管理】页面，点击编辑配置选项，如下图所示：统计方式选择“统计所有终端”，可识别PC与PC、PC与移动终端，移动终端与移动终端之间的共享。冻结选项选择冻结IP地址，一个IP地址只允许一个用户上线。3. 【终端接入管理】-【共享接入管理】，右边进入【信任列表】的配置页面，对不需要开启代理检测的用户、用户组或IP地址，添加到信任列表。如下图所示：注：共享终端管理存在一定误判几率，建议可先开启检测不

24、冻结运行一段时间后，确认误判率比较低后，再开启冻结。第5章日志中心管理日志中心配置AC设备出厂时一般自带了500G的硬盘，如果您需要存储的日志较少，可直接使用内置日志中心。如果您需要保存的日志时间较长，由于设备内置存储的硬盘容量有限，并且设备日志查询和报表统计会消耗一定设备的性能，建议安装外置日志中心，设备会将相关日志同步到外置数据中心。准备工作1、2008及之后的服务器操作系统，并且系统要求是64位操作系统。（请根据内置日志中心每天日志量合理评估服务器的存储空间，NTFS格式）注：每天日志量超过20G,服务器配置选型请咨询深信服技术支持工程师。2、数据中心安装包，请登录深信服官网下载相应的数

25、据中心版本：&action=view&fid=87#/75/all注：中文安装包支持在简体中文和繁体中文操作系统上运行，英文安装包仅支持在英文操作系统上运行。3、日志中心服务器和AC之间需开放TCP810,以供数据同步。4、日志中心服务器需开放443端口（可修改），以供外置日志中心登录。外置日志中心安装过程从深信服网站上下载安装程序，双击程序，即出现程序安装向导，界面如下图所示：点击下一步，选择是否同意许可协议，勾选我愿意接受此协议，即可点击下一步，继续安装，界面如下图所示：点击下一步，弹出如下界面：这一步用于设置程序安装目录、日志存放目录以及附件的存放目录：点击下一步，弹出如

26、下界面：这一步用于设置Web服务的监听端口，推荐使用默认的443端口（登陆方式：，如果443端口已被其他程序占用，则可以修改成服务器上其他的空闲端口，界面如下图所示：设置好Web服务端口，点击下一步，弹出如下界面：设置磁盘预警。请提供足够的磁盘空间用于存放期望的日志量。点击下一步：设置是否开启磁盘异常告警和数据中心异常告警点击下一步，设置预警邮件的发送和接收邮件地址：点击下一步，安装程序会弹出详细的配置信息，界面如下图所示：如果确认这些信息无误，则点击安装，此时程序将自动安装，整个安装过程可能会占用您2-3分钟，请耐心等待。安装完成后，会出现如下界面：点击完成，即完成了数据中心的整个安装过程。

27、日志中心登录日志中心安装过程中如果采用默认端口443，则日志中心的访问地址访问地址是：，如果服务器IP为，则访问地址为登陆界面如下：在登录框中输入用户名和密码，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。同步策略设置在日志中心【系统管理】-【系统配置】-【同步策略】创建同步策略，用于设置数据中心与网关同步日志的策略。如下图所示：点击新建，新建同步策略：同步策略名：同步策略名可以自定义设置，但是需与AC网关的数据中心同步配置的同步账号一致。接入密钥：接入密钥也需与AC网关的数据中心同步配置的同步密钥保持一致。描述：设置同步策略的描述信息。同步选项：设置从哪天的

28、日志开始同步。选择需要同步的日志：勾选需要同步到外置数据中心的日志类型。点击提交，生效和保存配置。AC同步配置在AC管理界面【系统管理】-【系统配置】-【日志中心配置】新增同步配置，根据外置日志中心设置的IP地址、同步策略名和密钥设置同步。写入外置日志中心IP地址后，设备会自动发现日志中心创建的同步策略，选择之前定义的同步策略即可。日志中心登录内置日志中心登录内置日志中心的登录接口在设备控制台页面右上角，点击即可进入内置日志中心。外置日志中心登录日志中心安装过程中如果采用SSL加密方式登录，默认端口443，日志中心的访问地址为：，如果服务器IP为，则访问地址为在登录框中输入用户名和密码，点击登

29、录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。内置日志中心和外置日志中心登录后的界面基本相同。日志查询所有行为日志用于查询用户或用户组的所有行为日志，步骤如下：1. 设置查询条件2. 选择需要查询的日期范围，需要查询的用户/组、应用，如果需要针对IP地址查询，可点击显示高级选项3. 在源IP地址处，输入需要查询的IP地址，点击查询，即可查询出这个IP地址的所有上网日志。4. 点击每条记录最后面的详情，可查看这条日志的详细信息。网站访问日志用于查询用户或用户组的网站访问日志，步骤如下：1. 设置查询条件2. 选择需要查询的日期范围，需要查询的用户/组、网站分类，如果需要针对IP地址查询，可点击显示高级选项3. 在源IP地址处，输入需要查询的IP地址，点击查询，即可查询出这个IP地址的所有网站访问日志。访问网站日志可以根据URL中的关键字进行搜索。邮件收发日志用于查询用户或用户组的邮件日志，步骤如下：1. 设置查询条件2. 选择需要查询的