深信服上网行为管理-管理员手册v1.0

合集下载

深信服上网行为管理-无线管理指南

DHCP
AP
server
AC
1、获取ip地址、DNS server地址 2、DNS解析www.sangforwlanac.com经过设备，AC拦截此解析返回1.2.3.4的地址给ap实现激活
3、AP向AC UDP7777发送单播请求
4、AP发送二层广播发现请求
注意：由于AC作为DHCP服务器不支持option 43字段，AC作为DHCP服务不支持这种方式
①
⑤无线模块发送认证信息给AC，终端从AC认证
AP
AP
上线
③
PART 5
ห้องสมุดไป่ตู้
无线网络配置
19
无线网络
密码认证
开放式无线网络
二维码认证
无需认证
WPA-PSK/ WPA2-PSK（个人）
密码认证二维码认证
无需认证
WPA/WPA2（企业）
本地用户 Radius中继
1.开放式无线网络
开放式无线网络指终端接入AP不受限制，不需要授权，安全性低，一般适用安全性要求不高的客户。
路由
网桥
Lan
Lan
Lan
Lan
AP AP
AP接入网络当中,AP是否需要做配置？有无WEB登录界面？
AP无需配置
①
AP发现AC
Lan AP
Lan AP

深信服上网行为管理-系统管理配置指南

经过设备的数据流会先按策略路由选路，如果没有配置策略路由规则或按策略路由没有查到对应的选路规则，则会进行多线路选路。多线路选路是由程序自动选路，无须配置策略路由规则，共有四种多线路选路策略。
注意
1. 多线路选路和策略路由功能只在路由模式下有效。 2. 需要使用外网多线路，在序列号中至少开启2条外网线路的授权。 3. 外网每条线路配置的DNS地址必须可以解析域名，策略路由程序会根据线路的DNS是否可以解析域名线路是否故障，DNS无法解析域名，则策略路由程序会检测此线路故障。 4.静态路由，策略路由和多线路选路的优先级关系。静态路由优先策略路由，策略路由优先多线路选路。 5.设备有多线路时，如果一条线路出现故障，则流程会切换到其它线路，直到故障线路恢复，从而实现线路智能切换。现场测试线路切换时，建议使用拨线路，浏览器打开网页的方式测试。
解决方案：AC设备提供两种技术---策略路由和多线路选路。
策略路由功能：根据源/目的IP、源/目的端口、协议等条件进行线路选择，以实现不同的数据走不同的外网线路的需求。多线路选路策略：根据每条线路的上、下行带宽进行分配或者平均分配带宽或者优先选择前面的线路等分配策略来选择不同的外网线路。 1、上述两种功能均能实现某条外网线路故障，选择从这条线路出去的流量自动切换到其他正常的链路。如果线路恢复，则自动切换回来。 2、策略路由和多线路选路只有在路由模式部署才生效

深信服上网行为管理系统用户手册

AC 12.0.18用户手册

前言 (2)

手册内容 (2)

本书约定 (2)

图形界面格式约定 (2)

各类标志 (3)

技术支持 (3)

致谢 (3)

第1 章安装指南 (4)

1.1.环境要求 (4)

1.2.电源 (4)

1.3.产品外观 (4)

1.4.配置与管理 (5)

1.5.单设备接线方式 (5)

1.6.双机备份接线方式 (7)

第2 章控制台的使用 (8)

2.1.登录WebUI配置界面 (8)

2.1.1.AC的web 登录方式 (8)

2.1.2.统一认证中心的登录方式 (11)

2.2.配置和使用 (12)

第3 章功能说明 (15)

3.1.增值服务导航 (15)

3.1.1.激活设备 (15)

3.1.2.进入技术社区 (17) 3.1.3.“信服君”机器人 (18) 3.2.行为感知系统 (19)

3.2.1.办公网上网态势 (22) 3.2.2.带宽分析 (31)

3.2.3.泄密追溯分析 (33) 3.2.

4.离职倾向分析 (36) 3.2.

5.工作效率分析 (40) 3.2.

6.未关机检测分析 (42) 3.3.实时状态 (43)

3.3.1.实时状态 (43)

3.4.对象定义 (89)

3.4.1.应用特征识别库 (91) 3.4.2.应用智能识别库 (97) 3.4.3.自定义应用 (100)

3.4.4.URL分类库 (104) 3.4.5.URL库列表 (104) 3.4.6.准入规则库 (109)

3.4.7.网络服务 (129)

深信服上网行为管理管理员手册v

深信服上网行为管理-管理员手册

深信服电子科技有限公司

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

第2章系统管理............................................................

2.1设备登录...........................................................

2.2管理员配置.........................................................

2.2.1修改管理员密码...............................................

2.2.2创建二级管理员...............................................

2.3系统基本信息配置...................................................

2.3.1序列号.......................................................

2.3.2系统时间.....................................................

2.3.3规则库升级...................................................

深信服上网行为管理配置详解

控制台功能说明设备在网桥模式下无论前置设备上是否接了多条线路或者设备做多网桥模式接了多个出口对于设备来讲经过设备的数据认为是一条线路的数据设备的流控默认情况下是针对线路总和进行控制的如果需要在网桥模式下对多条线路区分控制需要借助虚拟线路现处理同志关系上搞庸俗关系学热衷于迎来送往
深信服上网行为管理配置
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【安全状态】主要用于显示设备检测到不的行为
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.2安全状态
『安全状态』主要用于显示设备检测到不安全的行为
分别有[病毒行为]、[DOS和ARP攻击]、[端口扫描]、[异常外发邮件(频繁外发 )]、[标准端口异常流量]、[协议异常]、[恶意脚本]、[拦截插件]、[恶意网址]、[不受信任的ssl网站访问]、[组织外线路]，会列出发生总数量，还有最后发生的时间，和最后发生的用户/IP，以及最近发生的10条不安全日志及详细事件信息。点击发生次数中的数值可以自动链接到数据中心，查看到对应的详细日志。
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况，包括CPU使用率，内存使用率，磁盘使用率，设备会话数，在线用户数，无线热点数，系统时间和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。

深信服上网行为管理部署方式及功能实现配置说明

深信服上网行为管理部署方式及功能实现配置说明（标化院）

设备出厂的默认IP见下表：

接口IP地址

ETH0（LAN）10.251.251.251/24

ETH1（DMZ）10.252.252.252/24

ETH2（W AN1）200.200.20.61/24

AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；

网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且

可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

深信服上网行为管理管理员手册v

深信服上网行为管理-管理员手册

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。目录

第2章系统管理..........................................................................................................................

2.1设备登录...............................................................................................................................

2.2管理员配置........................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... . (7)

深信服上网行为管理-基本操作介绍

同时，AC/SG设备eth1口也有保留IP地址128.128.125.252/29，也可以通过交叉线电脑接到设备eth1口，且电脑配置IP为128.128.125.253/29，通过https://128.128.125.252登录设备控制台。注意：路由模式部署时eth0和eth1口都有保留地址，旁路模式部署时管理口即eth1口有保留地址，网桥模式部署无保留地址。
2、通过SANGFOR 升级系统工具查找设备地址后，通过查找得到的地址进设备控制台（1）安装SANGFOR 升级系统工具的PC和设备使用交叉线直连（2）关闭PC上安装的防火墙及windows自带防火墙，如下图
（3）通过SANGFOR 升级系统工具查找设备地址，如下图所示（4）通过SANGFOR 升级系统工具查到的地址登录设备
•如何登录设备控制台
如果设备接口地址被修改，在不知道更改后接口地址的情况下，提供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为 128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0口，通过https://128.127.125.252登录设备网关控制台。
2、通过SANGFOR 升级系统工具恢复出厂配置
如何恢复设备出厂配置
如果无法登录设备(如无法获得设备接口地址)，可以尝试以下方法恢复出厂配置

深信服上网行为管理-管理员手册

深信服电子科技有限公司

第1章前言.......................................................... 错误!未定义书签。第2章系统管理...................................................... 错误!未定义书签。

设备登录....................................................... 错误!未定义书签。

修改管理员密码............................................. 错误!未定义书签。

创建二级管理员............................................. 错误!未定义书签。

系统基本信息配置............................................... 错误!未定义书签。

序列号..................................................... 错误!未定义书签。

系统时间................................................... 错误!未定义书签。

深信服使用手册

深信服是一家专注于网络安全技术的公司，提供全方位的网络安全解决方案。作为其产品的使用手册，本文将详细介绍深信服产品的安装、配置和使用步骤，以及一些常见问题的解决方法。通过阅读本手册，您将能够充分利用深信服产品的功能，确保您的网络安全。

一、产品安装

1.下载与操作系统兼容的安装包

在深信服官方网站上下载与您的操作系统兼容的安装包。请确保选择正确的版本，并注意系统的架构（32位或64位）。

2.执行安装程序

按照安装包的提示，执行安装程序。在安装过程中，您需要提供一些必要的信息，如产品许可证、管理账户等。请确保提供的信息准确无误。

3.完成安装

安装程序将自动完成产品的安装，同时也会创建一个快捷方式，方便您快速启动深信服产品。

二、产品配置

1.登录管理界面

启动深信服产品，并使用管理员账户登录管理界面。在登录界面输

入正确的账户和密码，点击登录按钮即可。

2.网络设置

进入网络设置页面，根据您的网络环境配置相关参数。包括IP地址、子网掩码、网关、DNS服务器等。请注意核对所输入的信息，确

保与网络环境相匹配。

3.安全策略配置

根据您的实际需求，配置相应的安全策略。包括入侵检测、流量控制、VPN设置等。深信服产品提供了一系列的配置选项，可根据具体

情况进行设置。

4.用户管理

在用户管理页面，您可以添加、删除和编辑用户账户。请设置强密码，并合理分配权限，确保只有授权人员能够访问和管理深信服产品。

三、产品使用

1.安全日志查看

在安全日志页面，您可以查看实时的安全事件信息。通过查看安全

日志，您可以了解到网络上的安全威胁，并及时采取相应的措施。

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册

深信服电子科技有限公司

第1 章前言 (5)

第2 章系统管理 (5)

2.1 设备登录 (5)

2.2 管理员配置 (7)

2.2.1 修改管理员密码 (7)

2.2.2 创建二级管理员 (7)

2.3 系统基本信息配置 (9)

2.3.1 序列号 (9)

2.3.2 系统时间 (10)

2.3.3 规则库升级 (10)

2.3.4 全局排除地址 (11)

2.3.5 设备配置备份与恢复 (11)

2.3.6WEBUI 选项 (12)

2.3.7 远程维护 (12)

第3 章网络配置 (13)

3.1 部署模式 (13)

3.2 静态路由 (17)

第4 章策略管理 (18)

4.1 用户认证与管理 (18)

4.1.1 用户组管理 (18)

4.1.2 认证策略 (19)

4.1.3 不需要认证 (19)

4.1.4IP/MAC 绑定 ....................................

4.1.5 不允许认证 (26)

4.2 策略管理 (27)

4.2.1 购物娱乐类网站 (27)

4.2.2P2P 及P2P 流媒体封堵 (30)

4.2.3 外发文件封堵 (33)

4.2.4 上网审计 (36)

4.3 流量管理 (38)

4.3.1 线路带宽配置 (38)

4.3.2 保证通道 (39)

深信服上网行为管理管理员手册v

深信服上网行为管理-管理员手册

深信服电子科技有限公司

明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

第2章系统管理..........................................................................................................................

2.1设备登录...............................................................................................................................

2.3系统基本信息配置............................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ......................................................................................................................................................

深信服上网行为管理操作步骤(傻瓜版)

一．建立应用黑名单库

1.点击“对象定义”---“自定义应用”（图1）

(图1)

2.点击“新增”，新增相应的应用内容，添加后点击“提交”（图2）（图3）

（图2）

（图3）

3.添加完成后可以看到在“自定义应用”表中多了一个“禁止网上交易”的类型，（图4），请注意：必须勾选“用户自定义规则优先”

（图4）

二．制定应用过滤策略并指派给用户或组

1.点击“用户与策略管理”----“新增”---“上网权限策略”（图5）

（图5）

2.勾选“应用控制”（图6）

（图6）

3.点击应用分类的添加键“”添加应用“禁止广发WEB交易”分类（图7）

（图7）

4.填入相应的策略名称，动作选择“拒绝”,生效时间选择“全天”（图8）

（图8）

5.点击“适合的组和用户”，将策略指派给某个用户或组（图8）

（图8）

6.完成以上所有操作，即可以在“上网策略“中看到刚刚所做的策略（图9）

（图9）

深信服使用手册

摘要：

一、深信服使用手册简介

1.深信服的背景与作用

2.使用手册的目的与适用人群

二、使用手册的主要内容

1.产品概述

2.安装与配置

3.功能模块与操作方法

4.安全策略与注意事项

5.常见问题与解决方案

三、深信服使用手册的实际应用

1.帮助用户快速上手和熟练操作深信服产品

2.保障网络安全与提高工作效率

3.有效应对潜在的安全威胁

四、深信服使用手册的更新与维护

1.定期更新以适应新版本产品

2.收集用户反馈以改进手册质量

3.提供在线支持与服务

正文：

深信服使用手册是一本针对深信服产品（如防火墙、VPN等）的详细操作

指南，旨在帮助用户更好地了解和运用深信服产品，提高网络安全和工作效率。本手册适用于所有使用深信服产品的用户，无论是初学者还是有经验的网络管理员。

使用手册主要包括以下几个方面的内容：

1.产品概述：介绍深信服产品的功能、特点、适用场景等，帮助用户了解产品的基本情况。

2.安装与配置：详细说明深信服产品的安装流程和注意事项，包括硬件安装、软件安装、配置设置等，确保用户能够正确地完成产品部署。

3.功能模块与操作方法：详细介绍深信服产品的各项功能模块，如防火墙、VPN、入侵检测等，并提供详细的操作步骤和方法，帮助用户快速掌握各项功能的使用技巧。

4.安全策略与注意事项：阐述深信服产品的安全策略和最佳实践，以及在使用过程中需注意的安全事项，帮助用户提高网络安全意识，防止潜在的安全威胁。

5.常见问题与解决方案：列举深信服产品使用过程中可能遇到的问题及解决方法，方便用户在遇到问题时快速定位和解决。

深信服使用手册在实际应用中发挥着重要作用。首先，它能帮助用户快速上手和熟练操作深信服产品，节省学习成本。其次，手册提供了丰富的安全策略和注意事项，有助于保障网络安全和提高工作效率。最后，通过提供常见问题与解决方案，使用手册能够有效应对潜在的安全威胁，确保深信服产品的稳定运行。

深信服上网行为管理-无线管理指南

开放式无线网络共有三种认证方式，密码认证，二维码审核和无需认证
1.1 开放式+密码认证
1.开放式+密码认证配置
如果客户需求，实名上网，则可以选用此认证方式。智能终端接入AP，不需要授权，但上网时会弹portal页面，要求认证后才可以上网。如下图。
该无线网络在哪些 ap上创建
终端打开网页的认证方
AP前面板
前视图
双频
从左到右依次说明：『WLAN2G』：当AP有启用2G频段的网络时，改标识灯会亮起来『WLAN5G』：当AP有启用5G频段的网络时，改标识灯会亮起来『STATUS』：AP状态灯，数据转发时会闪烁『POWER』：电源灯，接上电源就会亮起来。
2.部署
AC使用无线功能时，支持的部署模式有路由和网桥，不支持多机，双机，旁路，单臂及AC和WAC(深信服无线控制器)混合部署场景。
本高
认证单一，多用户授权不方便区分
ACSG6.0版本合入无线控制功能给我们带来什么价值？？
顾客商户组网方便：已经购买AC的客户。这些客户只需要升级下软件，在购买几个
AP，就可以快速组建无线网络
降低成本：AC合入无线功能，无需购买WAC,少了WAC的购买和IT管理成本认证授权多样化：二维码扫描，微信认证，短信认证,WEB认证.... 无线数据可安全管控：利用AC的上网控制功能，可分析无线上网的数据提供给商户做数据收集。可加入SC集中管理

深信服上网行为管理-系统管理配置指南

策略路由配置
策略路由选路是根据路由规则选路的，前面介绍导入策略路由表的方式，也可以不导入策略路表，根据实际情况，手动建立策略路由规则。如可以配置根据源地址选路，内网192.168.10.0/24段所有流量走线路1， 192.168.20.0/24段所有流量走线路2，如下图所示。
多线路选路配置
解决方案：AC设备提供两种技术---策略路由和多线路选路。
策略路由功能：根据源/目的IP、源/目的端口、协议等条件进行线路选择，以实现不同的数据走不同的外网线路的需求。多线路选路策略：根据每条线路的上、下行带宽进行分配或者平均分配带宽或者优先选择前面的线路等分配策略来选择不同的外网线路。 1、上述两种功能均能实现某条外网线路故障，选择从这条线路出去的流量自动切换到其他正常的链路。如果线路恢复，则自动切换回来。 2、策略路由和多线路选路只有在路由模式部署才生效
深信服上网行为管理系统管理配置指南
培训内容策略路由和多线路选路事件告警功能
SNMP
培训目标
掌握策略路由适用场景，能够根据实际场景正确配置策略路由并达到效果
掌握事件告警功能种类，能够根据实际场景配置事件告警功能并达到效果
掌握设备支持SNMP版本，并且能够正确配置SNMP 网管软件管理设备
问题思考
1、静态路由，策略路由和多线路选路优先级关系是怎样的？ 2、如果设备外网线路无法解析域名，策略路由是否生效？为什么？