深信服上网行为管理管理员手册v.docx

资源描述

深信服上网行为管理管理员手册v.docx

《深信服上网行为管理管理员手册v.docx》由会员分享，可在线阅读，更多相关《深信服上网行为管理管理员手册v.docx（16页珍藏版）》请在冰豆网上搜索。

深信服上网行为管理管理员手册v.docx

深信服上网行为管理管理员手册v

深信服上网行为管理-管理员手册

深信服电子科技有限公司

修订历史

编号

修订内容简述

修订日期

修订前版本号

修订后版本号

修订人

批准人

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

第1章前言5

第2章系统管理5

2.1设备登录5

2.2管理员配置7

2.3系统基本信息配置9

第3章网络配置13

3.1部署模式13

3.2静态路由17

第4章策略管理18

4.1用户认证与管理18

4.2策略管理27

4.2.1购物娱乐类网站27

4.3流量管理38

4.4终端接入管理45

第5章日志中心管理47

5.1日志中心配置47

5.2日志中心登录55

5.3日志查询56

5.3流量时长分析66

5.4报表中心67

5.5系统管理68

第1章前言

本手册用于讲解AC常见功能操作方法，为管理员提供日常策略维护指导。

第2章系统管理

2.1设备登录

首先确保本机从网络可以访问到设备管理IP地址，然后在浏览器中输入网关的IP及端口.x.x.254。

出现一个如下图的安全提示：

点击<继续浏览此网站（不推荐）>后出现以下的登录界面：

在登陆框输入【用户名】和【密码】，点击<登录>按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为admin。

如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:

登录后检测为弱密码则提示修改密码，则会弹出如下提示：

如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示：

弱密码修改:

2.2管理员配置

在【系统管理】-【系统配置】-【管理员账户】页面，可修改admin管理员密码、删除管理员账号以及创建二级管理员。

管理员账户页面找到admin管理员，直接点击<编辑>，输入旧密码，并设置新密码即可修改admin账号的密码信息。

注：

admin账号只可修改密码，不可删除。

2.2.2创建二级管理员

在管理员账户页面，点击<新增>可以创建二级管理员。

设备确实管理员角色有两种：

administrator：

内置的角色，该角色的管理员自动拥有管理整个组织结构的管辖范围，并且还能够添加删除管理员帐户。

common：

系统缺省创建的角色，可通过角色管理添加或者删除角色，该角色可设置管理员可以管理的组织结构范围。

如果选择管理员角色为common，在<组织结构权限设置>处，可以设置该管理员可以管理的组织结构范围。

在<页面权限设置>处，可设置该管理员可以查看或编辑的控制台页面。

2.3系统基本信息配置

2.3.1序列号

在【系统管理】-【系统配置】-【序列号】页面，可以查看设备当前的授权信息。

序列号一般在出厂时已设置好，正常使用过程中无需修改，只有当设备相关服务到期时，才需要修改相关序列号。

2.3.2系统时间

【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR设备的系统时间。

可以直接在界面上修改时间，也可以选择与[时间服务器]进行时间的同步。

注：

设备日志记录的时间与系统时间相关，请注意确保设备系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿工作时间操作。

2.3.3规则库升级

【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态，请确保设备管理IP能够访问互联网，以便设备自动更新规则库。

2.3.4全局排除地址

【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP不受任何监控和控制，直接放行。

排除地址支持填写IPV4地址、IPV6地址、域名。

点击<自定义排除地址>页面的<添加>，在文本框内输入需要排除的IP或域名即可。

2.3.5设备配置备份与恢复

【配置备份与恢复】用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。

2.3.6WEBUI选项

【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数，如默认编码、控制登录端口、超时时间等。

2.3.7远程维护

【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允许从外网口远程登录设备，以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。

<启用远程维护>用于设置是否允许从外网口远程登录设备，勾选此项的同时，设备的WAN口自动开启允许ping，平时一般建议关闭该选项。

第3章网络配置

3.1部署模式

AC设备支持路由模式、网桥模式、旁路模式三种部署模式。

路由模式:

一般用于没有防火墙的中小客户。

设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；

网桥模式：

可以把设备视为一条带过滤功能的网线使用，可不更改原有网络拓扑结构的情况下平滑架到网络中。

目前在客户中使用最多的部署模式；

旁路模式：

仅做旁路审计，需要交换机做镜像至AC。

本例以网桥模式部署为案例，配置需求及步骤如下：

需求：

目前网络已部署防火墙设备IP地址为/24，AC网桥部署在防火墙和核心交换机之间，

1.通过【系统管理】-【网络配置】-【部署模式】进入配置界面，点击<开始配置>，选择<网桥模式>。

2.点击<下一步>，选择网桥的网口。

本案例采用ETH0和ETH2作为一对网桥口，ETH0作为LAN区网口，ETH2作为WAN区网口。

3.点击<下一步>，设置AC设备的网桥IP：

4.点击<下一步>，设置DMZ管理口的IP地址，可保持默认配置：

5.点击<下一步>，设置设备上网的网关和DNS：

6.点击<下一步>，确认和提交配置：

注：

点击<提交>后，设备会自动重启，重启时间一般为1-5分钟，请勿在工作时间修改设备部署模式配置。

3.2静态路由

1.通过【系统管理】-【网络配置】-【静态路由】进入配置界面。

2.点击<新增>，设置需要添加的路由目的地址、子网掩码，下一跳指向核心交换机。

3.点击<提交>完成配置，如果有多个网段，可添加多条路由。

第4章策略管理

4.1用户认证与管理

4.1.1用户组管理

为了便于区分员工角色进行策略管理，我们可以将上网用户进行分组管理，【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地方。

在该页面<组织结构>下选择指定组，可在该组下创建用户以及用户组，在右边<成员列表>点击<新增>，选择新增类型<组>

定义组名，如“市场部”，点击提交即可，该组适用的上网策略，可在后面策略管理时指定。

4.1.2认证策略

【认证策略】决定了某个IP/网段/MAC地址上计算机的认证方式。

通过【认证策略】设置内网用户的认证方式，以及新用户添加的策略。

认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先级。

通过认证策略可以为不同的网段配置不同的认证方式。

认证策略可以指定的认证方式有不需要认证、密码认证、单点登录、不允许认证4种，根据不同的认证策略可实现不同的用户认证需求。

4.1.3不需要认证

在认证策略页面点击<新增>

设置该策略适用的范围后点击<下一步>，适用范围可以是IP、MAC、IP段以及子网。

选择认证方式为<不需要认证>，继续点击<下一步>

选择用户以组织结构中那个组的身份上线后点击<提交>即可。

4.1.4IP/MAC绑定

二层环境

1．与不需要认证用户设置方法相同，但<认证后处理>方式需勾选<自动录入绑定关系>-<自动录入IP和MAC的绑定关系>选项

2．用户上网后，在【用户认证与管理】-【用户管理】-【IP/MAC绑定】页面可以看到系统自动绑定了终端第一次上网的IP和MAC信息，在该页面可对相关信息进行添加、删除和修改操作。

三层环境

三层环境下，由于内网用户经过三层交换机后，MAC地址会被三层交换机替换掉，因此还需要在核心交换机上开启SNMP服务，以支持AC跨三层环境下的IP/MAC绑定。

1.在核心交换机上开启SNMP服务。

华为交换机的配置命令：

system_view

snmp-agentcommunityreadpublic；其中public为三层交换机的Community

snmp-agentsys-infoversionall；其中all表示所有版本

思科交换机的配置命令：

configterminal进入全局配置状态

Cdprun启用CDP

snmp-servercommunitypublicro其中public为三层交换机的Community

snmp-serverenabletraps允许设备将所有类型SNMPTrap发送出去

注：

三层交换机需启用SNMP协议，AC作为SNMP客户端通过SNMP读取交换机，只支持SNMPv1,v2,v2c,不支持v3。

2.在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】页面，开启跨三层MAC识别功能。

可以新增多个SNMP服务器，如果内网存在多个三层交换机，则每个三层交换机的SNMP选项均需要开启，如下图

点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC，有返回结果则能正常获取，如下图

完成新增SNMP服务器后，可以查看配置的所有交换机当前snmp获取的结果，如下图

接下来，需要配置排除核心交换机的MAC地址，如下图。

实际使用时，可开启设备自动识别三层交换机的MAC，并自动添加到MAC地址排除列表，如下图

启用“自动添加排除”，定义10分钟内同一个IP对应的MAC地址记录数，推荐配置5。

当同一个MAC达到设置条件时，AC认为是三层交换机的MAC地址，自动将其排除。

3.与二次环境一样，设置认证策略，<认证后处理>选择自动录入IP和MAC的绑定关系。

4.1.5不允许认证

认证方式设置为<不允许认证>的网段，将无法通过设备访问任何网络。

在认证策略页面点击<新增>

设置该策略适用的范围后点击<下一步>

直接点击<提交>即可。

4.2策略管理

【策略管理】模块设置的策略主要包含封堵、审计等策略，以下分别以案例的形式介绍一些常见的策略设置方式。

4.2.1购物娱乐类网站

需求：

禁止全公司上班时间访问购物、娱乐类网站。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。

然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。

填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。

点击添加按钮。

3.点击应用下方的

，进入【选择应用】窗口。

4.展开应用“访问网站”，选择“网上购物”和“娱乐”

5.点击确定按钮。

回到应用控制页面。

生效时间选择上班时间，动作选择为拒绝。

点击确定按钮，完成网上购物和娱乐类网站拒绝设置。

6.选择<适用对象>选项，进行策略与用户/组关联，勾选“所有用户”，即可关联全网用户。

7.点击提交按钮，完成整个策略设置。

4.2.2P2P及P2P流媒体封堵

需求：

禁止市场部门用户及其所有子组在上班时间使用P2P和P2P流媒体。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。

然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。

填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。

点击添加按钮。

3.点击应用下方的

，进入【选择应用】窗口。

4.选择应用“P2P”和“P2P流媒体”

5.点击确定按钮。

回到应用控制页面。

生效时间选择上班时间，动作选择为拒绝。

点击确定按钮，完成P2P和P2P流媒体应用拒绝设置。

6.选择<适用对象>选项，进行策略与用户/组关联。

7.点击提交按钮，完成整个策略设置。

4.2.3外发文件封堵

需求：

为了避免公司重要资料通过网络外泄，禁止研发和财务部门一切外发行为。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。

然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。

填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。

点击添加按钮。

3.点击应用下方的

，进入【选择应用】窗口。

4.选择左侧应用标签“外发文件泄密风险”。

5.点击确定按钮。

回到应用控制页面。

生效时间选择全天，动作选择为拒绝。

点击确定按钮，完成外发文件封堵设置。

6.选择<适用对象>选项，选择“研发部”和“财务部”。

7.点击提交按钮，完成整个策略设置。

4.2.4上网审计

需求：

对内网所有用户开启审计，审计所有网络行为。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。

然后点击<新增>按钮，选择上网审计策略，进入【上网审计策略】界面。

填写策略名称，描述信息。

2.勾选<策略设置>-<应用审计>，右边进入<应用审计>编辑窗口。

点击<添加>，进入添加审计对象页面。

3.点击审计对象下方的

按钮，进入<选择审计对象>编辑窗口。

选择需要开启的审计记录，设置审计访问网站的URL。

选择<生效时间>为上班时间。

注：

不建议开启未识别的网络应用日志，该日志类似防火墙日志，对上网行为管理审计来说意义不大。

4.选择适用的对象，这个需求选择<所有用户>即可：

5.点击<提交>按钮，完成整个策略。

4.3流量管理

【流量管理】支持保证和限制通道两种形式，分别用于针对重要应用的流量保障和大流量应用的带宽限制，

4.3.1线路带宽配置

设置流量管理配置前，需要先根据出口互联网带宽设置带宽参数。

点击对应的线路名称即可编辑带宽参数，如下图设置线路1上行4Mbps，下行100Mbps

4.3.2保证通道

需求：

针对HTTP访问网站、DNS、视频会议保证上行2Mbps，下行20Mbps，以确保网络繁忙时这些应用能优先处理。

1.【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。

然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。

填写策略名称。

2.选则<保证通道>，设置上行带宽保证2Mbps，下行带宽保证20Mbps，优先级高。

3.点击<通道使用范围>。

适用应用选择<自定义>，点击进入

按钮，进入<自定义适用服务与应用>编辑窗口。

4.选择应用访问网站、DNS、网络会议，点击<确认>。

5.点击<确定>按钮，完成整个策略。

4.3.3限制通道

需求：

针对普通员工，限制整个组的P2P和P2P流媒体上行不超过1Mbps，下行不超过10Mbps，单用户最大上行500Kbps，下行1Mbps，以避免普通员工P2P下载占满带宽，应用其他正常办公业务。

1.【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。

然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。

填写策略名称。

2.选择<限制通道>，设置上行带宽最大1Mbps，下行带宽最大10Mbps。

3.勾选<启用单IP最大带宽>，设置上行500kbps，下行1Mbps。

4.点击<通道使用范围>。

5.适用应用选择<自定义>，点击进入

按钮，进入<自定义适用服务与应用>编辑窗口。

6.选择应用P2P、P2P流媒体，点击<确认>。

7.适用对象选择<自定义>，点击进入

按钮，进入<自定义适用对象>编辑窗口。

8.选择<本地用户>-<普通员工>组，点击<确定>。

9.点击<确定>按钮，完成整个策略。

4.4终端接入管理

4.4.1共享接入管理

需求：

用户内网存在大量电脑，移动终端共享热点，需要封堵电脑和移动用户的通过代理方式上网的行为。

配置步骤如下：

1.【终端接入管理】-【共享接入管理】，右边进入【共享接入管理】的配置页面。

勾选启用共享接入检测，如下图所示：

2.在【共享接入管理】页面，点击<编辑配置选项>，如下图所示：

<统计方式>选择“统计所有终端”，可识别PC与PC、PC与移动终端，移动终端与移动终端之间的共享。

<冻结选项>选择<冻结IP地址>，一个IP地址只允许一个用户上线。

3.【终端接入管理】-【共享接入管理】，右边进入【信任列表】的配置页面，对不需要开启代理检测的用户、用户组或IP地址，添加到信任列表。

如下图所示：

注：

共享终端管理存在一定误判几率，建议可先开启检测不冻结运行一段时间后，确认误判率比较低后，再开启冻结。

第5章日志中心管理

5.1日志中心配置

AC设备出厂时一般自带了500G的硬盘，如果您需要存储的日志较少，可直接使用内置日志中心。

如果您需要保存的日志时间较长，由于设备内置存储的硬盘容量有限，并且设备日志查询和报表统计会消耗一定设备的性能，建议安装外置日志中心，设备会将相关日志同步到外置数据中心。

5.1.1准备工作

1、2008及之后的服务器操作系统，并且系统要求是64位操作系统。

（请根据内置日志中心每天日志量合理评估服务器的存储空间，NTFS格式）

注：

每天日志量超过20G，服务器配置选型请咨询深信服技术支持工程师。

2、数据中心安装包，请登录深信服官网下载相应的数据中心版本：

注：

中文安装包支持在简体中文和繁体中文操作系统上运行，英文安装包仅支持在英文操作系统上运行。

3、日志中心服务器和AC之间需开放TCP810，以供数据同步。

4、日志中心服务器需开放443端口（可修改），以供外置日志中心登录。

5.1.2外置日志中心安装过程

从深信服网站上下载DataCenterSetup_11.0.exe安装程序，双击DataCenterSetup_11.0.exe程序，即出现程序安装向导，界面如下图所示：

点击<下一步>，选择是否同意许可协议，勾选<我愿意接受此协议>，即可点击<下一步>，继续安装，界面如下图所示：

点击<下一步>，弹出如下界面：

这一步用于设置程序安装目录、日志存放目录以及附件的存放目录：

点击<下一步>，弹出如下界面：

设置好Web服务端口，点击<下一步>，弹出如下界面：

设置磁盘预警。

请提供足够的磁盘空间用于存放期望的日志量。

点击<下一步>：

设置是否开启磁盘异常告警和数据中心异常告警

点击<下一步>，设置预警邮件的发送和接收邮件地址：

点击<下一步>，安装程序会弹出详细的配置信息，界面如下图所示：

如果确认这些信息无误，则点击安装，此时程序将自动安装，整个安装过程可能会占用您2-3分钟，请耐心等待。

安装完成后，会出现如下界面：

点击完成，即完成了数据中心的整个安装过程。

5.1.3日志中心登录

日志中心安装过程中如果采用默认端口443，则日志中心的访问地址访问地址是：

https:

//服务器IP地址https

登陆界面如下：

在登录框中输入<用户名>和<密码>，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。

5.1.4同步策略设置

在日志中心【系统管理】-【系统配置】-【同步策略】创建同步策略，用于设置数据中心与网关同步日志的策略。

如下图所示：

点击<新建>，新建同步策略：

<同步策略名>：

同步策略名可以自定义设置，但是需与AC网关的数据中心同步配置的同步账号一致。

<接入密钥>：

接入密钥也需与AC网关的数据中心同步配置的同步密钥保持一致。

<描述>：

设置同步策略的描述信息。

<同步选项>：

设置从哪天的日志开始同步。

<选择需要同步的日志>：

勾选需要同步到外置数据中心的日志类型。

点击提交，生效和保存配置。

5.1.5AC同步配置

在AC管理界面【系统管理】-【系统配置】-【日志中心配置】新增同步配置，根据外置日志中心设置的IP地址、同步策略名和密钥设置同步。

写入外置日志中心IP地址后，设备会自动发现日志中心创建的同步策略，选择之前定义的同步策略即可。

5.2日志中心登录

5.2.1内置日志中心登录

内置日志中心的登录接口在设备控制台页面右上角，点击即可进入内置日志中心。

5.2.2外置日志中心登录

日志中心安装过程中如果采用SSL加密方式登录，默认端口443，日志中心的访问地址为：

https:

//服务器IP地址，如果服务器IP为，则访问地址为https

在登录框中输入用户名和密码，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。

内置日志中心和外置日志中心登录后的界面基本相同。

5.3日志查询

5.3.1所有行为日志

用于查询用户或用户组的所有行为日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组、应用，如果需要针对IP地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有上网日志。

4.点击每条记录最后面的<详情>，可查看这条日志的详细信息。

5.3.2网站访问日志

用于查询用户或用户组的网站访问日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组、网站分类，如果需要针对IP地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有网站访问日志。

访问网站日志可以根据URL中的关键字进行搜索。

5.3.3邮件收发日志

用于查询用户或用户组的邮件日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组、邮件类别，如果需要针对IP地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有邮件收发日志。

5.3.4发帖/发微博日志

用于查询用户或用户组的发帖和发微博日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组，外发方式是发帖还是发微博，如果需要针对IP地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有发帖和发微博日志。

如果希望根据发帖内容反查用户，可使用关键字搜索发帖纪录。

在发帖或微博内容选取一段做为关键字查询条件，点击<查询>即可。

5.3.5其他日志

AC设备还提供了外发文件、即时通讯、搜索关键字、终端接入日志、安全日志等日志可查询，查询方式基本类似不再赘述。

5.3.6日志导出

AC设备所有查询日志都可以导出为excel格式的表格以供二次分析，导出接口在界面右上角<导出日志>按钮。

点击<导出日志>后，点击下载即可。

5.3流量时长分析

流量时长分析用于流量分析和时长分析，流量分析可统计应用流量排行、网站分类流量排行、域名流量排行、应用流速趋势、流控通道趋势、网站分类流速趋势；时长分析可统计应用时长排行、网站分类时长排行和域名时长排行，所有统计出来的信息均可以pdf格式导出，以供汇报使用。

如应用流量排行，可根据用户、用户组、终端类型、位置、应用进行流量统计。

在右边的统计选项设置需要统计的TOPN以及统计的依据和时间范围，即可生成相关的统计报表。

展开阅读全文