深信服上网行为管理-流量管理指南

深信服上网行为管理系统用户手册深信服上网行为管理系统用户手册AC 12.0.18用户手册目录前言 (2)手册内容 (2)本书约定 (2)图形界面格式约定 (2)各类标志 (3)技术支持 (3)致谢 (3)第1 章安装指南 (4)1.1.环境要求 (4)1.2.电源 (4)1.3.产品外观 (4)1.4.配置与管理 (5)1.5.单设备接线方式 (5)1.6.双机备份接线方式 (7)第2 章控制台的使用 (8)2.1.登录WebUI配置界面 (8)2.1.1.AC的web 登录方式 (8)2.1.2.统一认证中心的登录方式 (11)2.2.配置和使用 (12)第3 章功能说明 (15)3.1.增值服务导航 (15)3.1.1.激活设备 (15)3.1.2.进入技术社区 (17) 3.1.3.“信服君”机器人 (18) 3.2.行为感知系统 (19)3.2.1.办公网上网态势 (22) 3.2.2.带宽分析 (31)3.2.3.泄密追溯分析 (33) 3.2.4.离职倾向分析 (36) 3.2.5.工作效率分析 (40) 3.2.6.未关机检测分析 (42) 3.3.实时状态 (43)3.3.1.实时状态 (43)3.4.对象定义 (89)3.4.1.应用特征识别库 (91) 3.4.2.应用智能识别库 (97) 3.4.3.自定义应用 (100)3.4.4.URL分类库 (104) 3.4.5.URL库列表 (104) 3.4.6.准入规则库 (109)3.4.7.网络服务 (129)3.4.8.IP 地址库 (131)3.4.9.时间计划组 (139)3.4.10.关键字组 (141)3.4.11.文件类型组 (143) 3.4.12.位置对象组 (144) 3.5.用户认证与管理 (147) 3.5.1.原理 (147)3.5.2.用户认证 (151)3.5.3.用户管理 (220)3.5.4.认证高级选项 (259) 3.6.策略管理 (277)3.6.1.上网策略 (278)3.6.2.策略高级选项 (368)3.7.流量管理 (375)3.7.1.概述 (375)3.7.3.通道配置 (377)3.7.4.线路带宽配置 (414)3.7.5.虚拟线路配置 (415)3.7.6.流量可视化 (425)3.8.终端接入管理 (425)3.8.1.共享接入管理 (426)3.8.2.移动终端管理 (430)3.8.3.代理工具管理 (433)3.9.上网安全 (438)3.9.1.安全状态 (438)3.9.2.安全配置 (441)3.10.VPN配置 (457)3.10.1.DLAN运行状态 (457) 3.10.2.多线路设置 (458)3.10.3.SDWAN智能选路 (460) 3.10.4.基本设置 (472)3.10.5.用户管理 (474)3.10.6.连接管理 (488)3.10.7.虚拟IP 池 (491)3.10.8.本地子网列表 (492) 3.10.9.隧道间路由设置 (494) 3.10.10.第三方对接 (497)3.10.11.通用设置 (509)3.10.12.证书管理 (511)3.10.13.高级设置 (515)3.11.系统管理 (527)3.11.1.防火墙 (527)3.11.2.网络配置 (544)3.11.3.系统配置 (633)3.12.网络安全法 (693)第4 章案例集 (696)4.1.单点登录配置案例 (696)4.1.1AD域单点登录功能配置案例 (696)4.1.2PROXY单点登录配置案例 (723)4.1.3POP3单点登录配置案例 (732)4.1.4Web单点登录配置案例 (737)4.1.5与第三方设备结合单点登录配置案例 (741)4.1.6深信服设备结合认证 (756)4.1.7数据库系统结合认证 (759)4.2.不需要认证用户配置案例 (762)4.3.密码认证用户配置案例 (769)4.3.1短信认证 (769)4.3.2微信及二维码认证 (787)4.3.3密码认证 (801)4.4.其他认证配置案例 (810)4.5.与cas第三方认证配置案例 (825)4.6.策略配置案例 (828)4.6.1针对某用户组设置封堵P2P 和P2P流媒体的策略 (828) 4.6.2针对某用户组设置IM 监控的策略 (832)4.6.3针对某用户组设置开启审计功能 (836)4.7.终端管理配置案例 (838)4.7.1防共享功能配置案例 (838)4.7.2移动终端管理配置案例 (840)4.7.3代理工具理配置案例 (841)4.8.SNMPTRAP配置案例 (842)4.9.综合案例 (846)4.9.1客户网络环境与需求 (846)4.9.2配置思路 (847)附录：SANGFOR设备升级系统的使用 (865)产品升级步骤 (868)前言手册内容第1 部分SANGFOR AC 产品概述。

深信服上网行为管理-管理员手册(总71页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 ................................................................................................................... 错误!未定义书签。

第2章系统管理 ........................................................................................................... 错误!未定义书签。

设备登录 .............................................................................................................. 错误!未定义书签。

管理员配置 .......................................................................................................... 错误!未定义书签。

修改管理员密码 ......................................................................................... 错误!未定义书签。

深信服上网行为管理随着互联网的快速发展和普及，让人们更加容易上网，高端甚至普通的手机设备也给大众带来了便利。

每个人都可以随时随地上网，获取各种信息和服务。

同时，也存在一些不良上网行为，这些行为有可能侵犯其他人的权益和利益，对个人和社会都会造成很大的影响。

为了规范和管理上网行为，深信服上网行为管理应运而生。

接下来，就让我们来详细地了解一下深信服上网行为管理的相关内容。

深信服上网行为管理是一个完整的网络上网管理方案，它包括网络上网行为监控、网络上网流量管理、上网行为审计、过滤与控制等方面。

其目的是规范和保障网络操作的安全性、合法性和合理性，确保网络资源的合理利用。

首先，网络上网行为监控是深信服上网行为管理的重要一环，它可以对网络用户的上网行为进行实时、准确、全面的监控和记录。

通过实时监控，可以及时发现和阻止不良上网行为，避免网络犯罪或其他不法行为的发生。

通过准确记录，可以为后续网络管理和维护提供重要的数据支持。

其次，网络上网流量管理是指对网络上网流量进行有效的管理和控制。

此管理可以精确测算网络上网用户的流量消耗情况，从而合理规划和利用网络带宽，减少网络瘫痪的情况产生。

同时，对于不合理的流量操作，如高流量、过度的流量等，我们可以通过一系列的控制措施进行管理和控制，保证网络正常运行。

第三，上网行为审计是深信服上网行为管理中的另一个重要部分。

通过对上网行为进行审计，我们可以对用户的上网情况进行精确评估，进而发现和消除潜在的网络风险。

同样，该审计还可以为网络管理人员提供有用的信息和数据，支持网络管理人员制定更加合理的网络管理计划。

最后，对于不良网络行为和不良内容，我们可以通过过滤和控制的方式来防止和消除。

深信服上网行为管理会通过各种先进的技术手段来过滤和控制网络上不良内容、欺诈交易、病毒等有害内容，保障网络环境的规范化、健康化，为用户带来更高品质的网络体验。

总之，深信服上网行为管理是一种完整和高效的上网管理方案，它旨在规范和保障网络操作的安全性、合法性和合理性。

流量控制技术说明1.带宽管理1.1流量可视化带宽有限，应用无限——组织不断地扩展互联网出口带宽，但仍然感觉不充裕，一旦内网存在网络行为不规范、滥用带宽资源的用户，IT管理员的工作就会饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。

对此，AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS 攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。

此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。

如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。

当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。

1.2流量管理当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。

1.2.1多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。

再结合多线路智能选路专利技术（专利号：ZL200610061591.9），AC将出网流量自动匹配最佳出口。

1.2.2基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。

如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。

ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。

选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

深信服上网行为管理由于互联网的普及，人们可以随时随地在自己的电脑或手机上访问各种网站和应用程序。

虽然这样的便利给我们的生活带来了很多乐趣，但是也带来了不少问题。

其中最重要的问题是如何管理上网行为，以保护个人和企业的隐私和安全。

这就是深信服上网行为管理所要解决的问题。

根据深信服的介绍，上网行为管理是指对企业和机构内部网络使用情况进行监控和管理，以确保网络资源的安全和有效利用。

一般而言，上网行为管理可以分为以下几个方面：1. 访问控制。

这个方面是指通过设置网络防火墙和访问控制规则，禁止一些不安全或不必要的网络连接，以避免病毒、背景音乐等对网络的破坏和浪费。

2. 员工监控。

这个方面是指通过网络监控软件，实时监测企业的内部网络使用情况，记录员工的网络活动，包括网站访问、打印和复制文件等操作。

这种监控可以帮助企业防范信息泄露和员工不当使用网络资源的行为。

3. 数据保护。

这个方面是指对企业机密信息进行加密和存储，防止黑客、病毒等非法入侵和窃取。

此外，深信服还提供了异地备份和自动恢复等功能，保障企业在网络灾难和硬件故障时仍能保持数据安全。

4. 网络优化。

这个方面是指通过访问统计和流量分析等工具，了解网络使用情况，判断网络流量波峰和波谷，调整网络带宽，使网络资源的利用率最大化。

综上所述，深信服上网行为管理不仅可以帮助企业保护网络的安全和隐私，同时还可以提高网络资源的利用效率，增强企业的生产力和竞争力。

但是，由于监控和管理员工的上网活动涉及个人隐私，企业在使用上网行为管理的时候应该遵循以下几个原则：1. 进行明确的告知。

企业在使用上网行为管理之前，应该事先向员工做出相关的告知，让他们明白使用网络的条件和限制。

2. 合理使用。

在使用上网行为管理时，企业应该根据工作需要和风险评估的结果，制定合理、科学的网络管理策略，避免滥用和误用网络监控和管理的权利。

3. 保护员工隐私。

在进行员工监控时，企业应该保证员工个人隐私的保护，合法使用网络监控软件，不违反相关法律法规和规定。

深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言.......................................................... 错误!未定义书签。

第2章系统管理...................................................... 错误!未定义书签。

设备登录....................................................... 错误!未定义书签。

修改管理员密码............................................. 错误!未定义书签。

创建二级管理员............................................. 错误!未定义书签。

系统基本信息配置............................................... 错误!未定义书签。

序列号..................................................... 错误!未定义书签。

系统时间................................................... 错误!未定义书签。

规则库升级................................................. 错误!未定义书签。

全局排除地址............................................... 错误!未定义书签。

设备配置备份与恢复......................................... 错误!未定义书签。

深信服上⽹⾏为管理操作步骤（傻⽠版）
⼀．建⽴应⽤⿊名单库
1.点击“对象定义”---“⾃定义应⽤”（图1）
(图1)
2.点击“新增”，新增相应的应⽤内容，添加后点击“提交”（图2）（图3）
（图2）
（图3）
3.添加完成后可以看到在“⾃定义应⽤”表中多了⼀个“禁⽌⽹上交易”的类型，（图4），请注意：必须勾选“⽤户⾃定义规则优先”
（图4）
⼆．制定应⽤过滤策略并指派给⽤户或组
1.点击“⽤户与策略管理”----“新增”---“上⽹权限策略”（图5）
2.勾选“应⽤控制”（图6）
（图6）
3.点击应⽤分类的添加键“”添加应⽤“禁⽌⼴发WEB交易”分类（图7）
（图7）
4.填⼊相应的策略名称，动作选择“拒绝”,⽣效时间选择“全天”（图8）
（图8）
5.点击“适合的组和⽤户”，将策略指派给某个⽤户或组（图8）
6.完成以上所有操作，即可以在“上⽹策略“中看到刚刚所做的策略（图9）
（图9）。

深信服用户管理以及流量管理配置教程一、新增用户组登陆设备后点击左边的“导航菜单”→“用户与策略管理”→“组/用户”在右边会出现设备的用户组织结构，这里出现了default、公司领导、普通员工、服务器和网络管理中心五个用户组。

其中default用户组是系统默认存在的，其它四个是通过以下方法增加的。

如下图所示，点击右边的“成员管理”→“新增”选择“组”选项，就会出现如下界面在“组名列表”种输入工作组的名称点击“提交”即可。

公司领导、普通员工、服务器和网络管理中心四个用户组都是这样添加进去的。

二、在用户组中添加用户如下图所示，以在“网络管理中心”用户组增加新用户为例，点击“网络管理中心”用户组，右边会列出该用户组中的所有用户，点击“成员管理”→“新增”→“用户”出现如下图界面,其中在“启用此用户”那里打钩，这里的策略是用IP地址作为用户名，在“显示名”那里填写了显示名后，该显示名会附加出现在登陆名后。

有时候会出现下面的警告这是因为该IP地址以前已经被设备识别了，被设备默认加入了default用户组中了，而同一个用户是不能同时存在两个不同的用户组中的。

因此，去default用户组寻找到该用户，并将该用户移动到“网络管理中心”用户组中。

如下图所示：出现以下界面单击选择“网络管理中心”，出现以下界面点击“移动”即可。

这样，就可以把所有需要的用户添加到相应的用户组中了。

三、新增线路所谓线路这里就是指出去外网的链路，藤县水利电业有限公司现在只有一条正在使用的外网链路，所以只需要设置一条线路即可。

如上图所示，进入导航菜单→流量管理→虚拟线路配置在右边的“虚拟线路列表”中点击“新增”出现以下界面因为藤县水利电业有限公司的外网带宽为10Mb/s，折算后为1280KB/S，点击“提交”即可。

四、通道配置所谓通道这里就是把同一条物理线路为不同的用户组划分为不同的逻辑线路，以实现网络带宽的合理分配。

如上图所示，进入导航菜单→流量管理→通道配置，在右边的“带宽分配”那里点击“新增通道”，则出现点击“新增一级通道”，出现下面界面必须勾选“启用通道”，在“通道名称”里输入名称，这里是服务器的通道，所以输入“服务器”三字。

流量控制技术说明1.带宽管理1.1流量可视化带宽有限，应用无限——组织不断地扩展互联网出口带宽，但仍然感觉不充裕，一旦内网存在网络行为不规范、滥用带宽资源的用户，IT管理员的工作就会饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。

对此，AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS 攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。

此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。

如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。

当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。

1.2流量管理当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。

1.2.1多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。

再结合多线路智能选路专利技术（专利号：ZL200610061591.9），AC将出网流量自动匹配最佳出口。

1.2.2基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。