Deep Edge标准配置手册

Deep Edge标准配置手册
一、登陆设备控制界面：
1、使用笔记本与Deep Edge管理口直连，并配置笔记本IP地址与管理口在同一网段。

Deep
Edge的管理口默认为eth0口（板载电口靠左位置）。

如下图所示：
2、在计算机IE中输入https://DeepEdgeIP:8443(默认管理IP为192.168.252.1)可登陆
DeepEdge 的Web控制台，如下所示，默认用户名密码为admin/adminDeepEdge；如此可确认Deep Edge设备正常开机。

3、进入Deep Edge控制台，点击管理>关于，确认当前设备版本，默认为Deep Edge2.5 SP1。

二、激活产品序列号
1、点击管理>使用授权，点击新激活码菜单，输入下列激活码
“UT-EKDM-7RFYW-4EB2X-CKJGP-5TM44-MG9KK”，如下图所示：
2、点击下一步，激活序列号，并确认产品序列号时间，如果能够上网，则序列号时间会显示2020年7月29日到期，不能上网，则会显示2016年7月29日到期，能够上网之后，时间会自动调整至2020年。

三、升级补丁安装
1、进入Deep Edge控制台，点击管理>更新，系统更新，更新相应补丁程序。

主要涉及两个
补丁，分别是Deep edge 2.5 SP2（build 2047）补丁以及Patch1 for SP2（build 2058）。

补丁下载地址为：/index.php?regs=CH&clk=latest&clkval=4561&lang_l oc=15，下载对应的Service pack（SP1和SP2补丁，请都下载下来以备不时之需）和补丁程序（DeepEdge-25-lx64-en-sp2-patch1-b2058.tar.gz）其中更新SP2补丁需重启设备，请耐心等待。

更新SP2补丁，如下图所示：
2、更新patch1 for SP2补丁，如下图所示：
3、检查更新之后程序版本：版本号2.5.0 .2058。

四、设置部署模式
1、进入网络>部署菜单，选择接入模式，如下图所示：
2、点击网络>网桥菜单，点击新增，设置网桥地址信息，包括IP地址，子网掩码，网关等
设置，并勾选Web控制台，ping，SSH和SNMP的访问权限。

此处的网桥地址即为分行给该设备分配的地址。

端口请选择eth2和eth3（即桥接地址网卡的两个端口），如下图所示：
网桥口的两个口分别是eth2和eth3（左边为eth2）
设置DNS，点击网络>DNS，设置设备的DNS，该设置跟分行网络管理员咨询（公网有几个默认DNS分别是8.8.8.8（googleDNS），202.106.0.20（国内运营商DNS））
五、配置策略
(一)配置防恶意软件策略
点击策略>安全设置，在该菜单中可以看见入侵检测，防恶意软件，反垃圾邮件，Web 信誉服务；点击防恶意软件，出现以下设置界面，建议按照以下设置配置防恶意软件，并保存设置：
a)勾选“启用恶意软件安全措施”；
b)高级威胁扫描（不用勾选，需要与其他设备联动才能实现）
c)文件扩展名中设置允许扩展名和阻止的扩展名。

允许扩展名建议保持默认。

针对阻
止扩展名，可根据需要设置，默认为空。

（分行如果不允许通过互联网下载可执行
文件，则可将exe；com等可执行文件设置为阻止类型，否则不用设置）
d)扫描列表：选择全部；
e)扫描优化：跳过大小为5M的文件，跳过http mime文件类型设置保持默认即可，
程序自动跳过视频，图像，音频文件的MIME文件。

(二)设置反垃圾邮件策略
不用启用反垃圾邮件策略。

点击策略>安全设置，选择反垃圾邮件，确认该功能未启用。

如果用户使用该功能，则当用户访问互联网邮箱（比如126邮箱或者QQ邮箱等），这些邮件经过网关检测后，会针对垃圾邮件做标记分类，提醒用户识别垃圾邮件。

(三)设置Web信誉服务策略
点击策略>安全设置>Web信誉服务，设置Web信誉服务策略，选择“启用Web信誉服务安全措施”，安全级别设置为低。

(四)设置入侵防御策略
点击策略>安全设置>入侵防御，设置入侵防御策略，入侵防御策略在接入模式下不建议启用（影响设备性能及用户体验），因此建议不勾选该设置。

(五)设置对象
点击策略>对象>处理措施安全配置，点击新增，设置自定义安全设置，点击新增，在新增的编辑菜单中，设置新增策略：设置名称，安全功能中勾选防恶意软件，Web信誉服务2项，分别选择阻止，阻止。

点击确定，保存配置。

(六)设置规则
点击策略>规则，能够看到有一个默认规则，默认规则所有安全设置都是允许的。

需要用户添加新的规则加以设置。

点击新增，配置新规则：
在设置新规则时，首先设置源地址，源地址范围最大为any（任何），如果只希望设置某个网段，则可选择“选定的地址”，选定地址需要用户自定义。

设置目标，目标地址默认选择任何（any）
设置流量类型，选择任何即可；
设置时间段和处理措施，时间段选择始终，处理措施选择我们之前定义好的“互联网防病毒策略”
最后点击确定，保存配置。

新策略设置好之后，其优先级在缺省策略之下，需要选择该策略，点击上移，将策略移动到缺省策略之上，这样策略才会被执行。

最后点击应用，保存配置修改。

保存之后，配置如下所示：以下显示缺省策略被新增加的互联网防病毒策略所遮盖，可以保持默认即可。

六、设备上线
设备上线过程即将设备上架之后，将交换机与防火墙之间的网线拔掉，将Deep Edge设备串连在这两台设备之间。

起重eth2口接交换机，eth3口接防火墙。

七、设备验证
设备上线后，通过以下3个步骤来验证设备运行情况：
1、客户端上网：在互联网找一台客户端，访问互联网，确认互联网访问正常，上网体
验没有不良影响；
2、病毒网站访问测试：在客户端访问，下载测试病毒，确认测试
病毒可被网关设备拦截，确认设备起作用；
3、测试Deep Edge是否可正常访问，在互联网中找一台PC机，在IE中输入https：//Deep
EdgeIP：8443，检查是否可以出现登陆界面
4、病毒码更新，进入Deep Edge控制台，点击管理>更新>特征码更新，确认能够检测
到公网新病毒码，选择所有更新选项，点击更新，更新特征码。

八、设备应急
如出现设备上线后，影响用户正常上网的情况，请使用以下步骤逐步排查，恢复影响。

1、添加白名单：如果个别网站被拦截，则点击策略>黑白名单，在白名单中，将对应
网站的URL加入到白名单列表中，点击确定，并点击应用启用该设置调整。

2、取消扫描策略：如果是普遍性慢，则可将扫描策略取消，方法如下：点击策略>规
则，点击我们配置的防病毒扫描策略，将启用复选框取消。

点击确定，然后点击应
用。

如此所有策略均不会进行拦截。

3、设备旁路：如果以上两种方式依然存在问题，则将设备旁路下线，恢复交换机直连
防火墙的设置。