深信服AC1200配置手册.docx
《深信服AC1200配置手册.docx》由会员分享,可在线阅读,更多相关《深信服AC1200配置手册.docx(9页珍藏版)》请在冰豆网上搜索。
深信服AC1200配置手册
附件五上网行为管理AC-1200配置管理文档
1.设备名称
本系统上网行为管理设备采用深信服公司生产的AC-1200。
2.设备功能
根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合
理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的
补充。
3.设备硬件信息
3.1AC-1200产品外形
AC-1200产品外形和接口信息如图1所示。
图1AC-1200产品外形和接口信息
网络连接与管理方式
AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1
连接,加入本地局域网络。
ETH2(WAN1)口与路由器CISCO2821,与Internet连接。
ETH1(DMZ)端口作为
WEB管理端口连接到核心交换机的
G3/30。
设备端口
IP
地址分配见表
1。
本设备只提供WEB管理方式。
通过网络连接到WEB管理端口,打开浏览器,在地
址栏输入https:
//192.168.5.41,进入管理页面输入用户名和密码,单击“登录”,
即可进入管理界面,如图2所示。
表1设备端口IP地址分配表
接口
IP地址
描述
ETH0(LAN)
透明模式
与核心交换
G3/1连接
ETH1(DMZ)
192.168.5.41
与VLAN5某端口连接(WEB管理)
ETH2(WAN1)
192.168.1.6
与路由器G0/0/0连接
图2
WEB登录页面
4.配置管理
4.1WEBUI界面
登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显
示。
如图3所示。
图3WEB用户管理界面
4.2系统配置
系统配置部分包含系统信息、管理员帐户、系统时钟等信息。
4.2.1系统信息
系统信息包含系统内的序列号和license信息,如图4所示。
图4系统信息
4.2.2管理员帐户
本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。
图5所示为管理员帐户列表。
图5管理员帐户列表
如需对管理员帐户进行配置,直接单击蓝色用户名,如需创建新管理员,单击左上角“新增”图标,即可进入创建页面。
4.2.3系统时间
系统时间设置界面如图6所示。
图6系统时间设置页面
4.2.4系统升级
如图7列表中所显示的,除病毒库未购买升级服务,网关补丁不需购买服务外,其他服务都在2012年4月7日到期,到时可根据实际情况决定是否购买。
在服务期内的项目已全部设置自动升级。
图7系统升级
4.2.5全局排除地址
全局排除地址列表中的服务器网址不受监控和限制,如图8所示。
本次设置未启
动该项目,今后可根据实际应用自行设置。
图8全局排除地址
4.3网络配置
本系统网络配置为透明方式,ETH0(LAN)和ETH2(WAN1)之间配置网桥,Internet线路从路由器连接到WAN1口,LAN端口连接到核心交换机的VLAN1端口,配置DMZ为管理端口,加入VLAN5,IP地址为192.168.5.41。
如图9列表所示。
图9网络配置
4.4防火墙
防火墙功能使用USG2220实现,此处不做配置。
4.5安全防护
本设备的安全防护功能是对USG2220的部分补充。
4.5.1防DOS攻击
DOS攻击(拒绝服务攻击)是通过发送大量请求,耗尽服务器资源,使得合法请求得不到响应。
本设备防DOS攻击设置如图10所示。
图10防DOS攻击设置
4.5.2防ARP欺骗
ARP欺骗是一种常见的内网病毒,中毒的客户端不断向内网发广播包,严重影响
局域网的通讯,甚至断网。
本设备防ARP欺骗设置如图11所示。
图11防ARP欺骗
4.5.3网关杀毒
本设备的杀毒网关未购买病毒库升级服务,病毒库为2011-03-31之前,已设置全部杀毒功能。
如图12所示。
图12网关杀毒配置
4.6流量管理
4.6.1虚拟线路配置
这里的虚拟线路配置实际就是Internet的接入线路配置。
我们配置上、下行线
路带宽均为10240Kbps(10Mbps)。
如图13所示。
图13虚拟线路配置
4.6.2通道配置
通道配置是本设备进行网络流量管理的核心内容。
通过添加不同的通道,并对他们进行网络带宽的分配,可以使符合该通道策略的应用得到带宽的保证或限制。
通道配置如图14所示。
图14通道配置
配置列表中的项目,除上班时间流量管理是我们这次添加的项目,其余均为系统根据实际情况已制定的通道。
此次配置将全部应用启动。
下面已低延时保障为例,说明配置参数。
如图15和图16所示。
图15低延时保障通道配置
图16低延时通道应用范围
从图16可以看出,本设置适用于实时性较高的应用,如网游、股票行情和交易等。
从图15可以看到,系统预留20%的带宽保证这类应用的流量需求。
实际操作中,我们添加了一个命名为上班时间流量限制的通道,以此为例,讲解添加配置步骤。
首先,单击图14左上角的加号“添加通道”。
如图17所示,我们设置通道为限制通道,最大上、下行带宽为50%,优先级为低,并且设置单IP资源不超过50Kbps。
在通道适用范围中,我们设置为适用于所有应用,适用对象为临时人员(自动
获取IP地址的人员),生效时间为工作时间,目标IP组为自动获取。
如图18所示。
其中用户组“临时人员”、生效时间“工作时间”(周一到周日,9:
00-19:
00)、目标IP组“自动获取”都是已经在对象定义和用户管理中定义好。
当带宽资源已经满负荷时,系统将保证优先级高的通道的带宽。
图17配置带宽通道设置实例
图18通道适用范围设置实例
4.7用户和上网策略
4.7.1上网策略
制定上网策略的目的是保证带宽不被非公业务占用和协助行政规定的实施。
这里通过一个示例说明上网策略的配置方法。
(本策略不被启动)。
策略目的:
在上班时间段,禁止“临时人员”、“综合管理部人员”、“财务部人员”、“公司领导”通过互联网使用“HTTP协议”、“QQ”、“淘宝”、“迅雷下载”“P2P网络视频”。
策略启动后结果:
上述人员在周一到周日9:
00-19:
00,无法浏览网页,不能
通过QQ聊天,无法使用迅雷下载,无法观看P2P视频。
设置步骤如下:
1)添加上网策略
单击导航菜单的“用户与策略管理”“上网策略”“新增”“上网权限策略”,如图19所示。
图19添加上网策略
2)配置策略名称和信息
在上网权限策略页面中,输入策略名称“办公策略”和策略信息“测试”,如图
20所示。
图20配置策略名称和信息
然后单击“应用”栏下面的显示器图标,选择要配置的应用。
进入图22所显示
的画面。
选择好应用后,单击“确定”。
图22应用选择
确定后进入图23所示页面。
图23
4)配置适用组和用户
单击图23中的“适用组和用户”,选中需要禁止应用的用户组,点“提交”如图24所示。
图24配置适用组和用户
至此,本策略配置完成。
4.7.2用户管理
在用户管理部分,已经把终端客户按部门分组添加到系统中,每个用户与一个或
几个IP地址绑定,台式机用户绑定一个,笔记本用户绑定两个,领导绑定三个。
图25所示为组/用户视图,左侧为用户组列表,右侧为选中用户组中的成员。
图25中选中的是“公司领导”用户组,右侧显示的是改组成员名单。
单击右侧列表中的具体成员名称,可以进入该用户的具体配置信息视图。
在此可
以对该用户进行配置。
配置的内容包括用户属性(图26)和策略列表(图27)。
如图26中设置用户“张先龙”绑定IP地址192.168.100.20-192.168.100.22,
图27中设置该用户应用策略“办公策略”,(该策略未启动)。
图25组/用户视图
图26用户属性设置
图27用户策略列表
4.8对象定义
对象定义部分包含系统配置所用到的基础信息的定义。
其中各种库资源都由系统
自定义,并可从网上自动升级。
本次配置我们定义了IP组(图28)和时间计划组(图
29)两项内容,其他内容可根据需求再添加。
图28IP组定义
图29时间计划组定义
4.9实时状态监控
实施状态中包括运行状态、安全状态、流量状态、上网行为监控和在线用户管理等功能。
下面做分别介绍。
4.9.1运行状态
图3所示的是系统实时运行状态概览,包含资源信息、接口吞吐率折线图、应用流量排名、用户流量排名等。
此视图内容可自定义。
4.9.2安全状态
本项统计安全事件列表,如图30所示。
图30安全状态监控
4.9.3流量状态
本项内容包括用户流量排名(图31)、应用流量排名(图32)、流量管理状态(图
33)和连接监控(图34)。
图31用户流量排名
图32应用流量排名
图33流量状态管理
图34连接监控
4.9.4上网行为监控
针对各个用户的上网行为的监控功能。
如图35所示。
图35上网行为监控
4.9.5在线用户管理
本项功能是针对在线用户进行控制管理。
如图36所示。
图36在线用户管理
4.10统计报表
在管理页面的任何一页,单击右上角的“内置数据中心”,将会弹出新的页面(图
37),这就是内置数据中心。
在这里可以查询各种历史记录和统计报表。
报表以表格、柱状图和饼图等形式展现。
图38所示,历史记录报表表格。
图39所示为统计报表中应用流量统计中2011年5月8日全天的各种应用的流量分布。
此统计方式为饼图。
报表功能使用方便,能够提供最全面的网络资源使用数据,帮助IT管理员作出
决策。
本文档不做更多说明。
图37内置数据中心首页
图38历史记录报表
图39应用流量统计图
2018-5-4
升级会员 