深信服URL组设置

SANGFOR SG快速安装手册技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：公司网址：技术支持服务热线：400-630-6430（手机、固话均可拨打）邮箱：support@目录技术支持说明 (1)目录 (2)声明 (3)前言 (4)第1章SG系列硬件设备的安装 (5)1.1环境要求 (5)1.2电源 (5)1.3产品接口说明 (5)1.4配置与管理 (6)1.5单设备接线方式 (8)1.6双机备份接线方式 (9)第2章SG系列硬件设备部署 (11)2.1路由模式 (12)2.1.1路由模式部署配置案例 (13)2.2网桥模式 (19)2.2.1网桥多网口 (19)2.2.2多网桥 (25)2.2.3DMZ口重定向 (32)2.3旁路模式 (37)2.3.1旁路模式部署配置案例 (38)2.4单臂模式 (43)2.4.1单臂模式部署配置案例 (43)2.5高可用性配置案例 (46)2.5.1多机同步 (46)2.5.2双机维护 (50)第3章基本功能配置 (55)3.1封堵P2P应用配置案例 (55)3.2审计用户上网行为配置案例 (59)3.3限制下载工具的网络流量配置案例 (61)3.4保证重要应用网络流量配置案例 (67)3.5上网加速配置案例 (73)3.6上网代理配置案例 (74)3.7防共享功能配置案例 (75)3.8无线管理配置案例 (78)3.8.1客户网络环境与需求 (78)3.8.2无线基本配置 (79)3.8.3配置开放式无线网络案例 (79)3.8.4配置企业级认证无线网络案例 (82)第4章密码安全风险提示 (86)4.1修改控制台登录密码 (86)声明Copyright©2015深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

Sangfor AF 路由模式设置1接口/区域设置：
1）设置 WAN口和LAN口属性
WAN口：勾选“WAN口”
静态IP地址：服务器外网地址/24
下一跳网关：服务器网关地址
LAN口：静态IP地址：服务器内网网关地址/24
下一跳IP地址 --空--
2）三层区域
将WAN口和LAN口添加到第三层区域
2添加路由
新增单个静态路由
目的地址：0.0.0.0
网络掩码：0.0.0.0
下一跳IP地址：服务器网关地址
接口:WAN口
度量值：0
3地址转换
1）代理上网：
新增源地址转换
源：区域：三层LAN区
IP组: 全部
目的：区域：三层WAN区
IP组/接口： IP组：全部
--其他默认--
2）开启5566端口映射-----远程控制使用端口新增目的地址转换
源：区域：三层WAN区
IP组：全部
目的：区域：—默认—
IP组：全部
协议：协议类型：TCP
源端口：所有端口
目的端口：5566
目的地址转换：指定IP：服务器内网网关地址
目的端口转换：不转换
3）开启9099端口映射-----健康档案使用端口同上5566
4防火墙
Dos/DDos防护
源区域：WAN/LAN （WAN）
其他全开。

深信服SD-WAN 产品使用手册目录前言 (11)手册内容 (11)本书约定 (12)技术支持 (13)致谢 (13)第1 章SDWAN 的安装 (15)1.1. 环境要求 (15)1.2. 电源 (15)1.3.产品形态 (15)1.3.1.SD-WAN-MIG 一体化网关 (16)1.3.2.SD-WAN-WOC (16)1.3.3.SDWAN 虚拟网元 (16)1.3.4.管控平台X-Central (17)1.3.5.硬件性能参数 (18)1.4.配置与管理 (19)1.5.设备接线方式 (19)1.6.设备开机方式 (20)第2 章SDWAN 组网方式 (21)2.1.hub-spoken 组网 (21)2.2.full mesh 组网 (21)2.3.partial mesh 组网 (22)第3 章SDWAN 的部署 (24)3.1.网关模式部署 (24)3.2.网桥模式部署 (24)3.3.网桥VPN 模式部署 (25)3.4.网桥多线路模式部署 (26)3.5.双网桥模式部署 (27)3.6.单臂模式的部署 (28)3.7.双单臂模式部署 (30)第4 章SD-WAN 易部署和应用选路 (32)4.1.分支邮件易部署 (32)4.2.AutoVPN (33)4.3.SD-WAN 应用选路 (34)4.3.1.指定线路 (34)4.3.2.高质量选路选路 (34)4.3.3.按剩余带宽负载 (35)4.3.4.带宽叠加 (35)4.3.5.线路质量探测原理与淘汰机制 (36)第5 章SDWAN 终端设备 (38)5.1.ssh 登录 (38)5.2.登录WebUI 配置界面 (38)5.3. 状态 (39)5.3.1.广域网优化状态 (39)5.3.2.流量监控 (42)5.3.3.DHCP 状态 (48)5.3.4.设备运行状态 (48)5.3.5.EoIP 状态 (48)5.4.路由设置 (49)5.4.1.系统设置 (50)5.4.2.部署设置 (54)5.4.3.路由设置 (85)5.4.4.用户管理 (93)5.4.5.网络对象 (97)5.4.6.DHCPv4 设置 (105)5.4.7.DHCPv6 设置 (108)5.4.8.Syslog & SNMP (109)5.4.9.SC 设置 (113)5.5.SD-WAN VPN (114)5.5.1.SDWAN 选路 (114)5.5.2. 服务端 (115)5.5.3. 客户端 (134)5.5.4. 多线路 (137)5.5.5.第三方认证 (140)5.5.6.高级设置 (144)5.6.SD-WAN VPN (153)5.6.1.第一阶段 (153)5.6.2.第二阶段 (156)5.6.3.安全选项 (159)5.6.4.EoIP 设置 (160)5.7.流量管理 (164)5.7.1.对象设置 (164)5.7.2.策略设置 (177)5.7.3.流控设置 (186)5.7.4.策略故障排除 (206)5.7.5.高级设置 (207)5.8.应用识别 (210)5.8.1.识别是管理的基础 (210)5.8.2.应用库说明 (211)5.9.NAT 设置 (212)5.9.1.代理上网网段 (212)5.9.2.端口映射 (214)5.10.安全防护能力 (216)5.10.1.端对端传输加密 (216)5.10.2.过滤规则 (217)5.10.3.防DoS 攻击 (219)5.10.4.ARP 欺骗防护 (221)5.10.5.涉及产品 (222)5.10.6.僵木蠕一次清理，保障终端安全 (223)5.10.7.已知威胁 (223)5.10.8.未知威胁 (224)5.11.高可用冗余保护 (225)5.11.1.双机部署方式 (226)5.11.2.双机维护 (227)5.13. 维护 (229)5.13.1. 日志 (230)5.13.2. 序列号 (231)5.13.3. 自动升级 (232)5.13.4. 备份/恢复 (233)5.13.5. 关机 (236)5.13.6.页面控制台 (236)5.13.7.远程技术支持 (238)第6 章方案整体设计 (240)6.1. 总部端 (240) (241) (241) (241)6.2. 数据中心互联 (241)6.3. 分支端 (242)6.4.大中型分支 (243)6.5.跨国分支 (244)6.6.智能应用选路 (245)第7 章广域网优化（SD-WAN 接入网元） (251)7.1.分钟级上线 (251)7.2.AUTO VPN (252)7.3.广域网数据传输优化 (253)7.4.广域网传输安全加固 (262)7.5.广域网立体安全防护 (263)7.6.应用及流量可视化，打造一张可管理的广域网 (267)7.7.应用识别功能 (267)对象设置 (270)策略设置 (283)流控设置 (292)7.7.1.HTP 高速传输协议解决高延迟高丢包 (312)7.7.2.改进型TCP 实现快速TCP 传输 (314)7.8.冗余数据削减技术，提高带宽吞吐 (314)7.8.1.基于码流特征的数据优化 (314)7.8.2.高效的数据流压缩算法 (316)7.8.3.全局IP 流量压缩，降低TCP 和UDP 流量占用 (316)7.9.应用加速，提升核心业务系统访问速度，提升工作效率 (317)7.9.1.传输协议优化 (317)7.9.2.应用协议优化 (318)7.9.3.CIFS 协议优化技术 (318)7.9.4.HTTP 和FTP 协议优化技术 (319)7.9.5.Exchange MAPI 协议优化技术 (320)7.9.6.RDP 与Citrix ICA 协议优化技术 (320)7.9.7.OracleTNS 协议优化技术 (320)7.9.8.常见应用系统加速效果 (321)7.10.广域网流量管理，实现流量整形和基于应用的带宽保障 (322)7.10.1.基于应用和内容的流量管理技术 (322)7.10.2.带宽通道实现智能带宽保证 (322)7.10.3.虚拟线路技术有效保障视频会议带宽，提升访问体验 (323)7.11.视频会议优化，零距离协同办公 (323)7.11.1.智能带宽保障 (323)7.11.2.丢包补偿（UDP 代理+FEC 前向校验） (324)7.11.3.业务数据压缩 (325)7.12.SD-WAN 广域网优化其他亮点技术 (326)7.12.1.移动客户端的广域网优化 (326)7.12.2.多线路复用 (327)7.12.3.HTTP 和FTP 文件预取功能 (327)7.12.4.数据中心智能报表，帮助用户智慧决策 (328)7.12.5.策略路由 (329)7.13.SD-WAN 广域网优化能为您解决的问题 (329)7.14.服务配置说明 (331)7.14.1.应用设置 (332)7.14.2.流缓存设置 (339)7.14.3.视频优化设置 (339)7.14.4. 服务端 (340)7.14.5. 客户端 (346)7.14.6.数字证书 (352)7.14.7.高级设置 (359)7.14.8.LDAP 服务器 (362)7.14.9.高级设置 (364)第8 章灰白盒化交付 (369)8.1.产品介绍 (369)8.2.集中可视可控运营管理 (371)第9 章虚拟化SD-WAN (377)9.1.性能部署要求 (377)9.1.1.场景描述 (377)9.1.2.性能相关要求 (377)9.1.3.检测性能参数 (377)9.1.4.场景拓扑 (378)9.2.前期准备 (378)9.3.部署操作 (378)9.3.1. 云部署 (378)9.3.2.WOC 基础配置 (398)9.3.3.VPN 配置 (402)9.3.4.配置引流策略 (405)9.3.5.验证VPN 业务 (405)9.4.业务配置 (406)9.4.1.加速配置 (406)9.4.2.流量管理 (406)9.4.3.SDWAN 智能选路 (406)9.5. FAQ (407)第10 章SDWAN 管控平台使用说明 (408)10.1.平台性能参数 (408)10.2.首页地图 (408)10.3.智能监控 (410)10.3.1.智能告警 (410)10.3.2.设备配置管理 (411)10.4.Restful API (412)10.4.1.协议规范说明 (412)10.4.2.用户管理接口格式 (413)10.4.3.设备管理接口格式 (414)10.4.4.虚拟网元管理网络编排接口格式 (414)10.4.5.设备功能调用接口格式 (415)10.4.6.平台管理接口格式 (415)10.4.7.数据分析输出接口格式 (415)第11 章数据中心的使用 (417)11.1. 首页 (417)11.2.流量分析 (418)11.2.1.流量排名 (418)11.2.2.带宽分布 (421)11.3.带宽优化 (423)11.4. 报表 (425)11.5. 日志 (430)11.5.1.管理日志 (430)11.5.2.防火墙日志 (431)11.6.系统设置 (433)11.6.1.数据库清理 (433)11.6.3. 子网 (435)第12 章案例集 (438)12.1.双单臂模式部署配置案例 (438)12.2.VLAN 环境下的单网桥部署配置案例 (439)12.3.网桥VPN 部署配置案例 (442)12.4.网桥多线路部署配置案例 (443)12.5.WCCP 的应用场景及配置案例 (445)12.6.MAC 跟踪的应用场景及配置案例 (447)12.7.加速本地子网和静态路由的配置案例 (450)12.8.网关VPN 模式EoIP 部署案例 (452)12.9.添加加速用户的案例 (460)12.10.Sangfor VPN 的配置案例 (462)12.10.1.隧道内NAT 案例 (462)12.10.2.移动PDLAN 用户接入WOC 设备的案例 (466)12.10.3.VPN 内网权限的设置案例 (472)12.10.4.VPN 多线路配置案例 (476)12.10.5.移动用户使用LDAP 认证接入案例 (481)12.10.6.VPN 多子网配置案例 (484)12.10.7.通过隧道间路由实现分支间互访的案例 (487)12.10.8.通过目的路由用户上网的配置案例 (489)12.11.和CISCO PIX 标准IPSEC VPN 互连的案例 (492)12.12.WOC 加速互连的案例 (500)12.12.1.为分支WOC 设备创建用户并关联策略的案例 (500)12.12.2.加速HTTP 或HTTPS 访问的Oracle EBS 案例 (501)12.12.3.加速访问Citrix 服务器的案例 (504)12.12.4.加速访问RDP 服务器的案例 (507)12.12.5.跟总部建立加速连接的配置案例 (510)12.12.6.加速Outlook Anywhere 访问Exchange 服务器的案例 (511)12.12.7.使用透明传输模式的案例 (516)12.12.8.使用反向加速建立双向加速连接的案例 (517)12.12.9.对FTP 服务器的预取案例 (524)12.12.10.通过排除规则对指定网段进行加速的案例 (525)12.13.UDP 优化配置案例 (527)12.14.委派的配置案例 (532)12.15.策略路由配置案例 (540)12.16.综合案例 (546)12.16.1.客户环境与需求 (546)12.16.2.配置思路 (546)12.16.3.总部WOC 设备配置步骤 (547)12.16.4.分支WOC 设备配置步骤 (553)附录A：SANGFOR 设备升级系统的使用 (556)附录B：通过USB 口恢复默认配置 (559)功能1：使用U 盘查看网口配置 (559)功能2：使用U 盘恢复控制台密码 (559)注意事项 (560)前言手册内容第1 部分SANGFOR SDWAN 产品介绍和安装。

以深信服VPN-M5200-S为例演示配置
1.本机网线接到VPN的LAN口,本机IP配置为10。

254。

254.252，
子网掩码为255.255.255。

0，默认网关10。

254.254。

254
2.通过http：//10。

254。

254。

254:1000登陆VPN控制台，安装控
件
默认的登录名和密码均为Admin
3网络接口配置
在系统配置-网络接口配置中配置内外网IP地址,子网掩码和网关
其中多IP绑定为为外网为以太网的模式下使用.功能是设备外网接口能获取多个IP，需要把这些IP都映射到内网服务器时使用。

有2种线路类型，如果是ADSL还要设置相应的用户名和密码，注意勾上自动拨号。

4 代理上网设置
防火墙设置—NA T设置—代理上网设置中设置LAN口内网的代理上网
5 端口映射
在防火墙设置–NAT设置–端口映射中设置端口映射
按照以上5个步骤配置就能完成基本的VPN 和本地子网的上网，以及外网地址对服务器的直接访问。

深信服VPN售后电话：
800-830-6430
400-830-6430。

Sangfor AC设备操作手顺欧智卡信息系统商贸（上海）有限公司2013年7月30日第一部分：基本操作1、打开sangfor在浏览器中输入深信服的管理地址https://192.168.1.2 回车，然后点击“继续浏览此网站”。

（建议使用ie7或ie8浏览器。

本手顺假定sangfor的管理ip地址是192.168.1.2）2、登录sangfor默认的用户名是admin 密码是A dmin （注意：密码的第一个字母是大写）输入之后请点击“登录”按钮。

3、移动用户到其他组按红色箭头顺序点击“用户与策略管理---组/用户---临时组”，找到将要移动的目标用户，这里我新建了个例子用户ocnsh008，点击他前面的复选框，以便选中该用户，最后点击功能栏上的“移动”按钮。

接下来会弹出“组织结构选择”页面，如下图。

这时你就可以将已选中的用户“ocnsh008”移动到目的组，你只需要用光标点击一下目标组即可，这里我们选择“default”组。

（注意：蓝色底的组名就是目标用户的当前组）4、查看用户和组的策略按红色箭头顺序点击“用户与策略管理---组/用户---临时组---策略列表”，在这里可以看到“临时组”的所有策略，这里我们着重看自定义的禁止策略“某公司禁止策略”。

你可以点击该策略名字，以查看该策略的具体内容。

此时，既会弹出该条策略的具体内容设定页面。

常用设定在web过滤中进行设定，你可以按红色箭头所指顺序点击到最终的条件设置区域。

（注意：该条策略的动作是拒绝，也就是说在这个策略里面所选定的所有网站分类都是被拒绝的，即用户无法登陆这些被选中的分类网站。

如果你对策略调整不是很熟悉，建议不要轻易更改策略等相关操作，以免造成用户访问网站出现莫名问题，如需帮助，请联系我们）接下来弹出如下图页面，我们再继续点击红色方框圈中的地方，以编辑该条策略。

下图就是最终的URL网站分类，被选中的类别就会被拒绝访问。

5、开放指定的网站由第四条手顺你应该可以了解到，sangfor将Internet上的网站大多都按照自己的规则分类统一起来，这样的好处是便于用户管理。

深信服序列号激活向导--AC产品规则库
1、登陆设备控制台。

2、进⼊菜单“系统配置”-“序列号”页⾯，在“⽹关杀毒授权序列号”项点击“修改序列号”，输⼊新的⽹关杀毒序列号。

如图：
3、进⼊菜单“系统配置”-“⾃动升级”页⾯，选择“URL库”和“应⽤识别”，点击后⾯
的“⽴即更新”按钮，将库更新⾄最新版本。

如遇，点击“⽴即更新”后⽆法更新⾄最新版本，可以按照如下⽅式操作：
1）点击此页⾯“升级服务器配置”，重新选择其他的服务器（需要先测试选择的服务器可⽤性）。

选择其他服务器后再次进⾏“⽴即更新”
2）如果“应⽤识别库”重新选择其他服务器更新后还是不能更新到最新版本，考虑先“回滚”，再进⾏“⽴即更新”。

若还是存在问题，请联系⼯程师协助。

深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中，如下图所示：配置案例：某用户网络是跨三层的环境，购买NGAF 设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP 的。

第一步：通过管理口(ETH0) 的默认IP 登录设备。

管理口的默认IP 是10.251.251.251/24 ，在计算机上配置一个相同网段的IP 地址，通过https://10.251.251.251 登录设备。

第二步：配置外网接口，通过『网络』→『接口/区域』，点击需要设置成外网接口的接口，如eth2，出现以下页面：接口[类型]选择路由。

[基本属性]可以设置是否为WAN 口和允许PING。

如果是WAN 口，是否与IPSEC VPN 出口线路匹配。

连接上行链路的接口需要勾选WAN 口。

[区域]选择接口eth2 所属的区域。

区域需要提前设置，本例将ETH2 划入WAN 区域，对于区域的设置请参考章节3.3.1.5 区域设置。

选择配置IPv4 地址：[连接类型]包括静态IP、DHCP、ADSL 拨号三种，根据该线路的特征进行配置，如果选择静态IP，需要填写好IP 地址/掩码以及下一跳网关；如果该接口是DHCP 自动获得地址，则设置DHCP；如果线路是ADSL 拨号，则配置好拨号所需的用户名、密码和其他拨号参数。

静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式，后一种形式表示同步网口配置时，不同步IP 地址，“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。

本案例中外网接口连接的是静态IP 的光纤线路，所以选择静态IP，并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。

点击可以修改带宽单位，包括KB/s，MB/s，GB/s。

[链路故障检测]用于检测链路的好坏。

SANGFOR_AC&SG_v 3.x URL过滤专题文档深信服科技有限公司2011年06月23日SANGFOR AC URL过滤专题文档一、URL过滤功能的作用及应用场景SANGFOR AC设备的URL过滤功能用于检测访问网站的URL地址，对访问网站的行为进行控制。

例如只允许员工上班时间访问与工作相关的网站，全天均不允许访问反动，暴力，色情类网站。

二、URL过滤功能配置案例2.1 案例一：某银行客户要求不允许员工访问色情，赌博和反动网站2.1.1配置思路：1.SANGFOR AC自带URL内置库，含有色情和反动类的URL。

通过新增上网权限策略，在WEB过滤”—“HTTP URL过滤”和“HTTPS URL过滤”下选择色情，赌博和反动的URL组，设置动作拒绝，确认和保存设置。

2.将设置好的上网权限策略关联给用户或者用户组即可。

2.1.2配置步骤和截图：1.新增上网权限策略，拒绝色情，赌博和反动URL组选择需要拒绝的URL组，点击“确定“：点击“提交“，保存并生效配置：如果需要对HTTPS的网站进行与HTTP URL过滤同样的设置，出现如下提示选择【是】或者在HTTPS URL过滤页面勾选【复用HTTP浏览网页过滤设置】，如下图所示：2.将设置好的上网权限策略关联给用户或者用户组2.2案例二：某公司客户要求上班时间不允许员工访问淘宝网站2.2.1 配置思路1. 由于AC的URL内置库包含的是相同类别的网站集合，对于单个网站的允许或者拒绝操作，需要首先在“对象设置”—“URL分类库”下手动新增URL组，包含这个网站的网址。

2. 通过新增上网权限策略，在WEB过滤”—“HTTP URL过滤”和“HTTPS URL过滤”下选择自定义的URL组，设置动作拒绝，生效时间为上班时间，确认和保存设置。

3.将设置好的上网权限策略关联给用户或者用户组即可。

2.2.2配置步骤和截图1.“对象设置“自定义URL组，包含淘宝网站的网址将淘宝网站的所有URL地址填入到URL列表，支持用*通配，代表这个主页和主页下面的所有子链接，/仅代表主页。

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。

如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。

ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。

选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

深信服VPN移动客户端配置说明1.从广西区党校主页“vpn专栏”中下载VPN移动客户端软件”PDLAN4.32_R3_SETUP(20151105).zip”, 双击下载文件并点击下一步,如图1-1:2. 安装过程中，请您退出杀毒软件和迅雷下载软件。

图2-1图2-2注:在这里, 主Webagent设置里填入上图中的区党校IP:58.59.136.46（58.59.136.46:4009 TCP）输入完成后,点测试按钮测试一下是否通,如下图:然后下一步在这里输入区党校给到的用户名与密码,然后点下一步!(账号密码由广西区党校派发)完成后双击右下角的VPN图标查看运行状态,如下图:图中两个红色框“运行中”和“序号1”中的内容必须有。

否则请重新在“工具”---“DLAN配置向导“，手动重新配置过一遍。

至此,移动VPN的设置完成,我们可以打开区党校内网网页进行测试:内网主页http://10.145.1.2/如能正常浏览,则说明移动VPN正常使用!图书馆资源请访问/newsview.asp?newsid=7556链接内的列表中为可以访问的资源(以下设置为跳过配置向导后,手工进行的设置说明)双击右下角的VPN图标点击[基本设置],[基本设置]包括[主备Webagent设置]、[MTU值]、[最小压缩值]、[VPN监听端口]、[权限设置]等选项，页面如下：主Webagent设置里填入上图中的区党校IP:58.59.136.46:4009其它的不用填写,默认就行.然后点右下角的[设置生效]注意：MTU值和最小压缩值一般保留默认即可，如需修改，请在深信服技术工程师指导下进行。

接下来,点击[主连接参数设置][主连接参数设置]：用来设置连接VPN总部所需要的信息、跨运营商优化的信息，页面如下：[用户名]和[密码]：填写区党校分配给的用户名及密码。

然后点右下角的[设置生效]就可以完成设置![传输模式]：TCP 注:更换传输模式后要点右下角的设置生效![跨运营商优化]：适用于总部分支采用了不同运营商线路互联且经常丢包的情况下。

.微信认证配置说明一、顾客使用效果 (2)1.微信认证“点一点”申请上网方案效果 (2)2.微信认证“扫一扫”申请上网方案效果 (5)二、管理员配置简要 (6)三、管理员配置详细说明 (6)1.在微信公众平台中申请公众号并启用开发者模式 (6)1.1.多种微信公众账号类型的区别 (6)1.2.申请微信公众账号 (8)1.3.进行微信认证 (8)1.4.启用开发者模式 (8)2.在AC设备配置微信认证选项 (9)2.1.客户英文简称 (10)2.2.“点一点”上网方案所需配置 (10)2.3.“扫一扫”上网方案所需配置 (10)3.在AC设备修改其它认证选项 (13)4.在第三方服务器部署示例代码 (13)4.1.部署代码 (14)4.2.示例代码config.php修改说明 (15)4.3.“点一点”方案中config.php修改说明 (15)4.4.“扫一扫”方案中config.php修改说明 (17)4.5.生成微信公众账号菜单 (18)5.在AC设备配置认证策略 (20)5.1.选择认证方式 (20)5.2.微信认证通过后必须经过一次短信认证 (21)5.3.选择认证模板 (22)6.在AC设备配置专属portal认证页面模板 (23)四、微信第三方平台示例代码下载 (24)一、顾客使用效果深信服支持两种不同效果的微信认证：“点一点”和“扫一扫”。

“点一点”方案支持所有类型的微信公众号。

“扫一扫”方案仅支持经过微信官方认证的服务号。

针对已经微信认证的服务号，可以同时使用“扫一扫”和“点一点”解决方案。

1.微信认证“点一点”申请上网方案效果图1“点一点”方案效果图步骤说明：1.连接热点2.浏览器弹出portal页面，提示顾客加微信关注图2浏览器弹出portal页面3.顾客打开微信，添加微信公众号关注4.点击公众号菜单“我要上网”获取上网链接（若您的微信账号没有自定义菜单权限，也可以让顾客发送字母如“X”来获取上网链接）图3获取上网链接5.点击链接后，通过认证，免费上网图4通过认证若管理员配置了“经过微信认证后必须进行短信认证”，那么这里将跳转到短信认证页面，顾客必须经过一次短信认证才可上网（仅需短信认证一次，后续再来上网时仅需微信认证，不需再次短信认证）：图5短信认证页面2.微信认证“扫一扫”申请上网方案效果图6“扫一扫”方案效果图步骤说明：1.顾客进入店铺内部，看到商家在墙体等地方张贴的微信认证上网说明及微信二维码；2.顾客连接商家热点；3.顾客打开微信，扫描该二维码，微信会自动跳转至关注页面；若该客户已关注，则会直接跳转会话页面。

1）在vpn中应该如何防止别人修改ip后上网利用DLAN————〉防火墙———〉NA T设置————〉IP MAC 邦定设置IP MAC 邦定设置IPMAC设置是用来设置IP地址与MAC地址的对应关系，防止用户通过更改IP地址来非法使用网络资源，如果启用,NAT在代理上网时会作IP和MAC地址的对应关系检查，然后按照设定的进行处理，如果选择”IP和MAC 不在本对应表中拒绝”,那么NAT不会代理列表中不存在的IP地址,即列表中不存在的IP地址无法通过NAT访问外部,如果选择”IP和MAC不在本对应表中放行”,那么NAT将会代理列表中不存在的IP地址,即列表中不存在的IP地址可以通过NAT访问外部.默认处于禁用状态启用IPMAC设置后，可以通过自动搜索功能自动发现局域网内所有机器的IP和MAC地址，注意这是找到的机器是在这一时刻正在运行的计算机，如某台机器一关机，则不能被发现．可以通过新建功能添加单台机器的对应关系点击自动获取可以自动得到指定IP地址机器的MAC地址，也可以手工添加如果某台机器更换了IP地址或MAC 地址，可以通过修改功能修改对应关系．用户权限设置DLAN————〉防火墙———〉NA T设置1）服务定义在服务定义模块中可以定义防火墙的各种服务，定义了防火墙的各种服务之后，在以后的过滤规则设置中可以根据不同的已定义了的服务来确定相应的过滤规则。

（可根据需要将要进行限制的发送邮件\网页浏览\数据传输\聊天工具\下载工具等进行添加）点“新增”按钮,出现新增服务对话框，如图所示，我们新建一个netmee ting的服务netmeeting的端口是1503和1720，在端口的对话框内输入相应的端口，点“确定：就完成了netm eeting 服务的定义。

2）用户组及其上网权限设置用来设定用户访问网站的权限，可以对应不同的用户组采取不同的访问策略，如果不定义用户组的话，缺省用户就是内网中的所有用户（按您的要求，您可以设定根据四个访问级别的客户，设定为4个用户组）新建一个用户组，输入用户组的名称输入用户组对应的IP地址范围，如果用户组的ip是不连续的，可以通过新建功能添加其它的地址下一步进行用户组访问网站权限的设置，在前面URL组内设置的组名在上部都会出现，可以根据需要添加，可以设置是允许还是拒绝访问这些网站，缺省是允许访问设定的URL组，而拒绝用户访问设定以外的网站．还可以设定用户可以访问的时间，在生效时间上点击，出现设定的时间组，可以选择对应的时间段点击下一步进行外部服务的设定可以设定用户组可以访问哪些外部服务，以及时间设置。

SINFOR AC上网控制常用设置SINFOR AC上网控制常用设置 (1)1. 如何禁止WEB上传？ (2)2. 如何禁止WEB发邮件？ (4)3. 监控聊天内容： (5)4. 控制聊天软件： (6)如何封QQ？ (6)如何封MSN？ (7)如何封ICQ？ (9)如何封YahooMsg？ (10)如何封网易泡泡？ (11)如何封新浪UC？ (12)如何封搜狐搜Q？ (13)5. 控制P2P下载： (14)6. 阻止迅雷搜索资源： (15)7. 控制在线媒体： (16)8. 控制在线游戏： (18)封QQ游戏 (18)封传奇游戏 (19)封奇迹游戏 (20)封魔兽世界 (21)封浩方游戏 (22)封联众游戏 (23)1.如何禁止WEB上传？在（访问控制和监控->访问控制组：网页过滤：上传下载）中配置禁止的文件类型：2.如何禁止WEB发邮件？在（访问控制和监控->访问控制组：网页过滤：关键字过滤：不允许通过HTTP上传含有如下关键字的内容）中设置关键字：Subject3. 监控聊天内容：步骤1：在（访问控制和监控->访问控制组：访问跟踪）中选择：步骤2：在（网络准入系统->准入策略设置）中：从右上框的可选列表中移动所有IM监控条目到左上框（如红线所圈），从右下框移动需要监控聊天内容的访问控制组名称到左下框（如红线所圈）。

注意：此方法需要在PC上安装一个控件，在Pc上需要用超级用户上一下网以便自动安装控件（有提示）。

4. 控制聊天软件：常用方法：在上网权限中禁止IM的常用端口，常用端口封掉之后，IM会尝试在80或443端口上登录，方法是在上网权限中禁止在HTTP和SSL端口上使用其他协议。

有的IM 会使用标准的HTTP协议登录，这时需要在网页过滤->关键字过滤中过滤掉IM的特征字段，也可以在内容检测中过滤特征字段。

如何封QQ？步骤1：禁止QQ常用UDP端口8000（对象设置->网络服务设置）中新建并设置QQ端口：在（访问控制和监控->访问控制组：上网权限）中禁止QQ服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：如何封MSN？步骤1：禁止MSN常用TCP端口1863（对象设置->网络服务设置）中新建并设置msn端口：在（访问控制和监控->访问控制组：上网权限）中禁止MSN服务：步骤2：在（访问控制和监控->访问控制组：网页过滤：关键字过滤：Http上传）中禁止：MSNP1 首先在（对象设置->关键字组设置）中新建关键字组MSN如下：过滤该组关键字：如何封ICQ？步骤1：禁止ICQ常用TCP端口5190（对象设置->网络服务设置）中新建并设置ICQ端口：在（访问控制和监控->访问控制组：上网权限）中禁止ICQ服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：如何封YahooMsg？步骤1：在（访问控制和监控->访问控制组：内容检测）中阻止IM类型：如何封网易泡泡？方法1：在（访问控制和监控->访问控制组：上网权限）中取消选择：方法2：在（访问控制和监控->访问控制组：内容检测）中阻止IM类型：如何封新浪UC？步骤1：禁止UC常用UDP端口3001,3002（对象设置->网络服务设置）中新建并设置UC端口：在（访问控制和监控->访问控制组：上网权限）中禁止UC服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：如何封搜狐搜Q？步骤1：禁止SouQ常用TCP端口3502（对象设置->网络服务设置）中新建并设置SouQ端口：在（访问控制和监控->访问控制组：上网权限）中禁止SouQ服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：5. 控制P2P下载：封堵方法1 ：在（访问控制和监控->访问控制组：内容检测）中阻止P2P：此方法是基于数据包特征检测，由于P2P下载只在会话的开始部分数据有明显特征，此方法不适用于流控，该设置仅适用于新建立的P2P连接，如果设置之前P2P软件已经进入稳定的下载状态则不能阻止。

深信服用户管理以及流量管理配置教程一、新增用户组登陆设备后点击左边的“导航菜单”→“用户与策略管理”→“组/用户”在右边会出现设备的用户组织结构，这里出现了default、公司领导、普通员工、服务器和网络管理中心五个用户组。

其中default用户组是系统默认存在的，其它四个是通过以下方法增加的。

如下图所示，点击右边的“成员管理”→“新增”选择“组”选项，就会出现如下界面在“组名列表”种输入工作组的名称点击“提交”即可。

公司领导、普通员工、服务器和网络管理中心四个用户组都是这样添加进去的。

二、在用户组中添加用户如下图所示，以在“网络管理中心”用户组增加新用户为例，点击“网络管理中心”用户组，右边会列出该用户组中的所有用户，点击“成员管理”→“新增”→“用户”出现如下图界面,其中在“启用此用户”那里打钩，这里的策略是用IP地址作为用户名，在“显示名”那里填写了显示名后，该显示名会附加出现在登陆名后。

有时候会出现下面的警告这是因为该IP地址以前已经被设备识别了，被设备默认加入了default用户组中了，而同一个用户是不能同时存在两个不同的用户组中的。

因此，去default用户组寻找到该用户，并将该用户移动到“网络管理中心”用户组中。

如下图所示：出现以下界面单击选择“网络管理中心”，出现以下界面点击“移动”即可。

这样，就可以把所有需要的用户添加到相应的用户组中了。

三、新增线路所谓线路这里就是指出去外网的链路，藤县水利电业有限公司现在只有一条正在使用的外网链路，所以只需要设置一条线路即可。

如上图所示，进入导航菜单→流量管理→虚拟线路配置在右边的“虚拟线路列表”中点击“新增”出现以下界面因为藤县水利电业有限公司的外网带宽为10Mb/s，折算后为1280KB/S，点击“提交”即可。

四、通道配置所谓通道这里就是把同一条物理线路为不同的用户组划分为不同的逻辑线路，以实现网络带宽的合理分配。

如上图所示，进入导航菜单→流量管理→通道配置，在右边的“带宽分配”那里点击“新增通道”，则出现点击“新增一级通道”，出现下面界面必须勾选“启用通道”，在“通道名称”里输入名称，这里是服务器的通道，所以输入“服务器”三字。

URL组设置组设置URL组设置包括内置的URL组和自定义的URL组，实现URL过滤功能。

其中内置的URL组是在AC出厂的时候就内置了大量的分类URL组，如果勾选了启用自动更新内置URL库，在保证AC硬件网关能正常上网的情况下会自动连接到升级服务器升级URL库。

下面以自定义一个某用户组拒绝用户看视频的URL组为例。

步骤：1．进入控制台2．如图1，在左边列表中点击“对象设置”—>“URL组设置”，出现URL 组设置页面。

图13．点击“新增”，出现如图2，“URL组名称”与“URL组描述”建议客户填写便于理解和记忆的名称或语句，在这里填URL组名称为“视频”，URL组描述为“视频网站”，在添加URL中输入视频网址，然后点击“添加”，或是直接在URL文本框里填写网址。

添加URL地址支持通配符*，且只支持一级通配，例如*，无法通配，只能定义多一个*来通配。

图24．点击“确定”，即完成了一个URL组的设置，如图3：图35．接下来对访问控制组进行编辑，如图4，在左侧列表中点击“上网行为管理”—>“访问控制组”，并会出现右侧页面，如果对访问控制组9898进行编辑。

图46．点击图4中的9898对应的“编辑”可对访问控制组进行编辑如图5，相继选择网页过滤—>URL过滤，勾选“启用URL过滤”，设置“缺省允许”，此时点击“未生效的URL组”。

图57．经过步骤6会显示所有内置的URL组和自定义的URL组，如图6勾选视频一栏，设置操作为“拒绝”，同时也可以设置生效时间全天或上班时间等，并点击下方的“生效”。

8．点击“确定”会出现如图7页面，再点击“确定”即可。

通过以上8个详细的步骤并可以完成该组不能访问视频网站的功能。