深信服AC维护手册

登录界面：

系统默认DMZ端口IP为：10.252.252.252 LAN端口IP为：10.251.251.251 登录方式：

https://10.252.252.252 (DMZ端口) https://10.251.251.251 (LAN端口)

用户名：Admin 密码：Admin

一、系统设置：

1.1、网关状态：

可以查看CPU使用量，会话数，活动连接排名，实时流量。

1.2、网关安全状态：

1.3、序列号:

1.4、网关运行模式：

配置网关的工作模式。

网桥是一种透明的方式，对目前的网络状态不构成影响，路由为代替网关的模式，旁路为从交换机抓取数据。我们可以点击右下面的“开始配置”：

A、我们以“路由模式”为例：

选择路由模式-“下一步”，出现LAN的地址配置界面如下：

默认地址为：10.251.251.251,您可以修改自己的IP地址根据需要。

“下一步”将进入WAN口配置，您可以选择“ADSL拔号”输入用户名与密码，也可以选择“以太网”进行固定IP配置，或自动获取IP。

“下一步”按钮，进入代理网段设置：

这个网段比较重要，例如，您的LAN口地址必须是10.251.251.0/255.255.255.0，如果在路由模式192.168.0.1，那么代理网段为192.168.0.0/255.255.255.0

配置正确后，我们将进入最后的保存状态：

点击“完成”或“取消配置，进行保存或放弃保存。

B、网桥模式：（以原客户网络地址为192.168.0.*为例），我们在路由器与交换机之间设置AC产品。

“下一步”点击后，输入基于网桥工作状态下的IP地址与掩码，请先点击“清空列表”清除原有默认的IP地址，在IP地址，子网输入的正确的IP与掩码后，点击“添加”，输入本网中的默认网关与DNS地址。

“下一步”，如果是基于三层交换机的，请输入VLAN的地址。

如果客户购买的是多WAN口的，并已经经过出厂授权的，将看到多WAN状态，可分别对双WAN与双LAN口（其中一个为DMZ）进行网桥模式工作，适合于双WAN口线路，双路由器方式，默认会出现:LAN<->WAN.

管理口地址为DMZ端口的IP地址，这个地址可以默认为原出厂地址，不能跟局域网地址一样。

完成最后保存或放弃保存操作：

C、旁路模式：

旁路模式将有许多功能无法控制到。

保存或放弃保存：

1.5、网口配置：（如果这里显示有WAN与WAN2并有LAN与DMZ，说明是双线路的，双LAN口。）

1.6、自动升级（有许多升级在到期后是需要向厂家购买的）：

1.7、路由设置：

策略路由：（可以针对网通地址或是某些特别应用，指定出口）

系统路由（当同网络中有多个网关，如VPN时，流向VPN的数据包在指定网在后，返回数据指向VPN的网关）：

2、对像设置：

2.1、应用策略识别：

2.2、智能识别规则

2.3、网络服务设置：

2.4、IP组设置：

3、防火墙：

3.1、防火墙规则：

LAN对DMZ，就是，两个LAN口之间的通讯，DMZ-WAN，我们如果是单线路的，我们主要用WAN-LAN比较多些，举例：

如禁止LAN局域网中的IP访问外网的POP3服务，封锁内网的用户访问外网的POP3服务，这将是整体的封锁，我们最好在上网行为管理中去限制内网访问。：

3.2、防DOS攻击：

3.2、ARP攻击：

4、上网行为管理

这一块将是我们重点维护时遇到的问题。

4.1、上网策略对象，这个出厂默认了许多的策略规则。

我们可以举例在默认的外，新建策略，例如新建一个规则是禁止访问远程桌面软件的，我们可新增一条策略：

4.2、认证选项配置（深信服的AC产品可支持客户端上网必须需要通过输入用户名与密码来通过网关的验证，当用户自己修改IP地址，试图避开网关的管理时，有很大作用，并且可以限制外来机器接入网络的连接的安全性）

我们下面将进入AC的重点功能部分：组织结构

当我们的AC在开机状态中，客户端机器将会不断连接到AC网关，在组织结构中将显示出所有的连接客户端，我们可以对这些客户端进行管理与策略分发管理、认证设置，这是我们的重点部分。

以已连接到网关进行上网的192.168.0.10为例：

我们单击上图中的IP地址，进入配置界面，您会发现，可以绑定IP与绑定MAC地址，或同时绑定，可以设置用户组归类，最重要的是，认证方式，所有的连接客户端默认是“不需要认证的”

如果针对这个用户进行上网行为策略管理，系统默认是采用父组策略，如果需要自定义管理，请去掉“使用父策略”，点击增加策略，选择系统已存有的策略规则，或增加新的自定义规则。

4．3、导入用户

4.4、认证用户名与AD同步

我们可以采用密码与用户名与AD同步，更安全与方便的管理用户的上网认证过程。

4.5、在线用户管理：

5、流量管理：

5.1、流量状态

5.2、流量管理规则定义

5.3、虚拟线路

6、邮件延时审计：

7、上网行为审计：

我们重点讲数据中心入口

所有的上网行为报表都将在数据中心入口中。

8、高级配置：

8.1、告警方式设置：

8.2、对网络中使用代理服务器的监控：

对于通过设置代理的方式上网的情况，因为用户所有数据是发往代理服务器的，而防火墙等模块是通过检测目的地址和端口来判断是否要拒绝该连接，所以很多功能会失效。因此要使防火墙等模块有效，必须能正确识别出发往代理服务器的数据其真实要连接的目的地址和端口，供防火墙等模块使用该地址和端口。

也就是只有发往此列表地址的数据才会被检测是否为代理数据，并对其进行上网权限。

1. 保证发往代理服务器的数据先经过AC网关，也就是代理服务器应该处于AC的WAN口那边。

2.现在只能针对HTTP的代理进行识别。

3.AC设备工作在网桥模式下且有代理服务器的环境，准入规则不能使用。