深信服流量控制功能说明

深信服EDR快速使用指南深信服EDR快速使用指南让产品帮您快速带来价值深信服EDR是一款轻量易用、实时保护、东西向可视可控的下一代终端安全产品客户端轻量化业务无感知，无需复杂配置，半自动化安全运维预防防护检测响应运营漏洞补丁管理系统安全基线核查微隔离流量可视微隔离流量可控USB管控一键端口封堵勒索诱饵防护无文件攻击专防进程黑白名单全球热点威胁同步远程登录防护文件实时监控Webshell检测暴力破解检测违规外联监控流行病毒快速检测框架SAVE引擎宏病毒修复僵尸网络举证进程溯源终端隔离清除&移除终端围剿式查杀资产信息清点可视化首页&报表警报API接口支持网端联动轻补丁漏洞免疫批量部署【轻量易用】【实时保护】创新微隔离技术基于业务维度让终端间流量可视可控，同时做到简单落地，高效运维【东西向可视可控】基于威胁攻击链多达30个功能构建多层次防御恶性病毒（感染型病毒，宏病毒，CAD病毒，勒索病毒等影响业务连续性的病毒）清除修复能力强网端联动达到Gartner定义的最高层级深信服终端检测响应平台EDR SANGFOR Endpoint Detection Response 深信服人工智能检测引擎SAVESANGFOR AI-based Vanguard Engine 01深信服EDR快速使用指南深信服EDR成功入围微软官方终端安全软件推荐名录，获得了兼容Windows 的微软WHQL徽标认证，其人工智能引擎SAVE 也入围了国际权威的Virustotal检测平台，技术能力位居业界前沿。

市场成绩第三方评测赛可达实验室-东方之星证书微软官方Windows 10/8/8.1推荐防病毒软件中国反网络病毒联盟成员单位赛可达优秀产品奖SKD AWARDS 02深信服EDR快速使用指南病毒千千万，担心我们内网系统会中毒，导致我们业务中断，能否快速有效的检测和修复病毒？当然没问题，EDR 基于AI 的漏斗型检测框架，统一配置下发病毒查杀策略，能够有效地针对恶性病毒（感染性病毒、CAD 病毒、宏病毒、勒索病毒等）进行快速处置修复，实现业务“零”干扰的安全防护！信服君03深信服EDR快速使用指南威胁检测打开【终端管理】->【策略中心】->【病毒查杀】->【扫描配置】进行多引擎扫描策略配置，如下图。

目录目录 (i)声明 ................................................................................................................................................. i v 技术支持.......................................................................................................................................... i v 本手册各章节内容.......................................................................................................................... i v 第1章BM的安装 . (1)1.1环境要求 (1)1.2电源 (1)1.3产品外观 (1)1.4配置与管理 (1)1.5单设备接线方式 (2)1.6登录WebUI配置界面 (2)1.7配置和使用 (4)第2章系统配置 (5)2.1网关运行状态 (6)2.1.1网关运行状态 (6)2.1.2流量状态 (8)2.1.3流量排名 (8)2.1.4活动连接排名 (12)2.1.5连接监控 (13)2.2序列号 (14)2.3网络配置 (15)2.3.1网桥模式 (15)2.3.2网络配置 (15)2.4系统日期和时间 (22)2.5控制台用户管理 (22)2.6 WEBUI配置 (25)2.7配置备份与恢复 (26)2.8重启操作 (27)2.9系统维护 (27)2.10自动升级 (28)2.11系统路由配置 (29)2.12防DOS攻击 (31)第3章对象设置 (32)3.1应用识别规则设置 (33)3.2智能识别规则设置 (36)3.3 IP组设置 (37)3.4时间计划设置 (38)3.5 URL组设置 (39)3.5.1 URL库 (40)3.5.2智能识别 (41)3.6文件类型组设置 (48)3.7 SSL证书库管理 (49)第4章策略管理 (50)4.1上网策略对象 (50)4.1.1新增上网策略对象 (52)4.1.2编辑上网策略对象 (54)4.2认证选项设置 (71)4.2.1新用户认证 (72)4.2.2单点登录选项设置 (75)4.2.3认证通过后页面跳转设置 (87)4.2.4认证冲突设置 (88)4.2.5其它认证选项设置 (89)4.3认证服务器设置 (91)4.3.1 LDAP服务器 (92)4.3.2 RADIUS服务器 (93)4.3.3 POP3服务器 (94)4.4组织结构 (94)4.4.1成员列表 (95)4.4.2上网策略列表 (103)4.4.3编辑访问控制用户 (105)4.4.4用户导入 (112)4.4.5 AD域同步 (116)4.4.6 AD域同步 (122)第5章流量管理系统 (124)5.1流量状态 (125)5.1.1带宽通道 (126)5.1.2排除策略 (127)5.2流量管理 (127)5.2.1带宽分配 (128)5.2.2排除策略 (135)5.3线路配置 (137)第6章流量审计系统 (140)6.1访问控制日志选项 (140)6.2数据中心入口 (141)第7章网关日志与故障排除 (142)7.1日志查看 (143)7.2策略故障排除 (144)第8章高级配置 (146)8.1代理服务器控制 (146)8.2排除IP地址 (147)8.3页面定制 (148)第9章使用帮助 (149)9.1新手向导 (149)第10章网关升级客户端 (149)声明Copyright © 2008 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

SANGFOR BM流量管理网关概要说明一、前言网络、尤其互联网的发展与普及改变着生产与生活，网络在带来便利的同时也带来诸多问题与困扰，其中包括安全和威胁防范、网络访问行为管理、网络流量管理等。

尤其随着近年来信息系统的普及和完善，一方面例如OA、ERP、视频会议、VOIP等业务系统纷纷部署上线；另一方面迅雷、BT、电骡等P2P工具，以及QQLive、PPStream等在线流媒体软件，和土豆、酷六、优酷等电影/视频网站也在流行与泛滥，组织原有的互联网带宽不堪重负、组织的内部专线网络也存在明显的带宽滥用问题。

IT管理者遭受用户关于网速慢、系统慢等诸多抱怨。

有些组织机构几度扩容带宽，但很快发现带宽又被占满，网速、带宽效率依然无法有效提升。

实际上即使在P2P等带宽杀手泛滥前，业界已经具有流量管理产品，尤其在互联网带宽、DDN等专线带宽较为有效的年代，通过流量管理设备实现带宽资源的合理划分与分配是很多高端客户的普遍之选。

随着近年来带宽滥用行为越来越普遍，所以越来越多的中高端客户对单纯扩容带宽等于成本无底洞的认识更加明确。

适度管控、疏导才是带宽滥用、流量泛滥的有效方法。

二、带宽管理的必要性组织单位的互联网带宽显然存在明显的带宽滥用问题，同时中高端客户所部署的运营商专线也存在带宽滥用、带宽分配不公、核心业务难以保障的问题。

以下是互联网流量构成的第三方调研数据：左图为德国、东欧、澳大利亚等国互联网流量中P2P的占用统计情况，右图为以上各国互联网络中P2P流量的详细组成，其中BT、eDonkey等占用较多。

且德国互联网调研机构ipoque称，P2P已经彻底统治了当今的互联网，其中50-90％的总流量都来自P2P程序。

再看国内，中国电信集团总工程师韦乐平曾直言不讳地说：“目前中国电信长途网上有50%的流量是P2P，在城域网上，白天60%~70%的流量也是P2P，而到了晚上，这一数字就变成了90%”。

对于组织机构，无论政府机关、企事业单位、高校普教等同样遇到了P2P严重占用带宽资源的问题。

SANGFOR FGAP v3.0 深信服安全隔离与信息单向导入系统用户手册目录目录 (2)声明 (4)手册内容 (4)本书约定 (5)技术支持 (6)致谢 (6)第1章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的安装 (7)1.1. 电源 (7)1.2. 产品接口说明 (7)1.3. 配置与管理 (8)1.3.1. 开始使用 (8)1.3.2. 设备关闭 (9)1.3.3. WEB管理 (9)1.3.4. 登录/注销 (9)1.3.5功能区域介绍 (10)1.4. 设备接线方式 (11)第2章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的部署 (13)2.1.网络部署 (13)第3章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的配置 (14)3.1.用户管理 (14)3.1.1. 说明 (14)3.1.2. 权限分立 (14)3.1.3. 登录限制 (16)3.1.4. 修改密码 (16)3.2.系统管理 (17)3.2.1. 基本设置 (17)3.2.2. 设备时间 (18)3.2.3. 双机热备 (19)3.2.4. 设备管理 (19)3.2.5. 网络接口 (20)3.2.6. 诊断工具 (22)3.2.7. 备份恢复 (26)3.2.8. 系统升级 (29)3.2.9. 设备状态 (31)3.3. 策略管理 (32)3.3.1. 地址绑定 (34)3.3.2. 存储管理 (35)3.3.3. 内容审查 (36)3.3.4. 关键字过滤 (36)3.3.5. 文件类型过滤 (38)3.3.6防病毒 (39)3.3.7数据传输 (39)3.3.8文件交换 (42)3.3.9邮件转发 (45)3.3.10组播策略 (47)3.3.12数据库同步 (48)3.3.13文件查看 (51)3.3.14校验传输 (51)3.4. 日志审计 (53)3.4.1. 管理日志 (53)3.4.2. 审计员日志 (55)3.4.3. 系统日志 (56)3.4.4. 交换日志 (57)3.4.5. 邮件日志 (57)3.4.6. 连接日志 (58)3.4.7. 内容过滤 (58)3.4.8. 数据库同步日志 (59)第4章SANGFOR_FGAP安全隔离与信息单向导入系统产品部署案例 (60)4.1.FTP自动交换 (60)4.2.数据库同步 (63)4.3.数据传输 (65)声明Copyright © 2019 深圳市深信服科技股份有限公司及其许可者版权所有，保留一切权利。

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。

如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。

ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。

选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

深信服上网行为管理功能参数AC-4300-RY上网行为管理产品功能性能参数项目指标具体功能要求性能吞吐量2.5Gbps，标配6个千兆电口，4个千兆光口，标准2U设备，配备冗余电源部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP 等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；被控设备加入统一平台支持以硬件证书验证身份；告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；加密连接具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；排障工具提供图形化排障工具，便于管理员排查策略错误等故障；上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证；双因素认证支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期指定账户支持有效期限制，并支持自动过期；单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；可强制指定用户、指定IP段的用户使用单点登录；强制AD认证指定用户用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；LDAP服务器的域对象的策略管理与同步主要目的是对已有的AC 与LDAP服务器结合进行优化，便于客户实现策略管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中即可实现策略管理功能认证失败支持为认证失败用户提供基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：1.跳转到用户原本输入的URL地址；2.跳转到管理员指定的URL地址；3.跳转到该用户上网信息排行页面；4.跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；支持从外部LDAP服务器导入账户及分组信息；组织结构用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码包括数字或字母或特殊字符；应用管理应用识别规则库1、支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；2、支持给每个应用自定义标签；3、支持根据标签选择一类应用做控制；4、支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；5、支持给每一种应用列上图标，易于客户了解应用的特征。

流量控制技术说明1.带宽管理1.1流量可视化带宽有限，应用无限——组织不断地扩展互联网出口带宽，但仍然感觉不充裕，一旦内网存在网络行为不规范、滥用带宽资源的用户，IT管理员的工作就会饱受抱怨：网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。

对此，AC为IT管理员提供了网络流量可视化方案，登陆AC控制台后，管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况（包括DOS 攻击、ARP欺骗等）等信息，直观了解当前网络运行状况。

此外，数据中心（Network Database Center，NDC）对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮助管理员了解流量TOP N用户、TOP N应用等，并自动形成报表文档，定时发送到指定邮箱，让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。

如果您是一位大型机构的CIO或CEO，您需要面对的问题将远不止这些，而AC数据中心的功能需要您亲身体验和掌握。

当您面对数据中心的Web页面，通过几次鼠标点击就发现网络及管理中存在的问题时，您将感受到领先技术带来的极富乐趣的用户体验。

1.2流量管理当您了解了带宽的使用情况，并对带宽进行优化和分配后，我们即将对用户(组)的上网行为做进一步的管理和控制。

1.2.1多线路复用和智能选路很多组织拥有电信、网通等两条以上互联网出口链路，如何同时复用多条链路并做到流量的负载均衡与智能分担？通过AC特有的多线路复用及带宽叠加技术，AC复用多条链路形成一条互联网总出口，提升整体带宽水平。

再结合多线路智能选路专利技术（专利号：ZL200610061591.9），AC将出网流量自动匹配最佳出口。

1.2.2基于应用/网站/文件类型的智能流量管理有限的带宽资源如何分配给不同部门/用户、不同应用，如何保障核心用户核心业务带宽，限制网络杀手如BT迅雷等等占用资源？AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。

SINFOR AC上网控制常用设置SINFOR AC上网控制常用设置 (1)1. 如何禁止WEB上传？ (2)2. 如何禁止WEB发邮件？ (4)3. 监控聊天内容： (5)4. 控制聊天软件： (6)如何封QQ？ (6)如何封MSN？ (7)如何封ICQ？ (9)如何封YahooMsg？ (10)如何封网易泡泡？ (11)如何封新浪UC？ (12)如何封搜狐搜Q？ (13)5. 控制P2P下载： (14)6. 阻止迅雷搜索资源： (15)7. 控制在线媒体： (16)8. 控制在线游戏： (18)封QQ游戏 (18)封传奇游戏 (19)封奇迹游戏 (20)封魔兽世界 (21)封浩方游戏 (22)封联众游戏 (23)1.如何禁止WEB上传？在（访问控制和监控->访问控制组：网页过滤：上传下载）中配置禁止的文件类型：2.如何禁止WEB发邮件？在（访问控制和监控->访问控制组：网页过滤：关键字过滤：不允许通过HTTP上传含有如下关键字的内容）中设置关键字：Subject3. 监控聊天内容：步骤1：在（访问控制和监控->访问控制组：访问跟踪）中选择：步骤2：在（网络准入系统->准入策略设置）中：从右上框的可选列表中移动所有IM监控条目到左上框（如红线所圈），从右下框移动需要监控聊天内容的访问控制组名称到左下框（如红线所圈）。

注意：此方法需要在PC上安装一个控件，在Pc上需要用超级用户上一下网以便自动安装控件（有提示）。

4. 控制聊天软件：常用方法：在上网权限中禁止IM的常用端口，常用端口封掉之后，IM会尝试在80或443端口上登录，方法是在上网权限中禁止在HTTP和SSL端口上使用其他协议。

有的IM 会使用标准的HTTP协议登录，这时需要在网页过滤->关键字过滤中过滤掉IM的特征字段，也可以在内容检测中过滤特征字段。

如何封QQ？步骤1：禁止QQ常用UDP端口8000（对象设置->网络服务设置）中新建并设置QQ端口：在（访问控制和监控->访问控制组：上网权限）中禁止QQ服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：如何封MSN？步骤1：禁止MSN常用TCP端口1863（对象设置->网络服务设置）中新建并设置msn端口：在（访问控制和监控->访问控制组：上网权限）中禁止MSN服务：步骤2：在（访问控制和监控->访问控制组：网页过滤：关键字过滤：Http上传）中禁止：MSNP1 首先在（对象设置->关键字组设置）中新建关键字组MSN如下：过滤该组关键字：如何封ICQ？步骤1：禁止ICQ常用TCP端口5190（对象设置->网络服务设置）中新建并设置ICQ端口：在（访问控制和监控->访问控制组：上网权限）中禁止ICQ服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：如何封YahooMsg？步骤1：在（访问控制和监控->访问控制组：内容检测）中阻止IM类型：如何封网易泡泡？方法1：在（访问控制和监控->访问控制组：上网权限）中取消选择：方法2：在（访问控制和监控->访问控制组：内容检测）中阻止IM类型：如何封新浪UC？步骤1：禁止UC常用UDP端口3001,3002（对象设置->网络服务设置）中新建并设置UC端口：在（访问控制和监控->访问控制组：上网权限）中禁止UC服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：如何封搜狐搜Q？步骤1：禁止SouQ常用TCP端口3502（对象设置->网络服务设置）中新建并设置SouQ端口：在（访问控制和监控->访问控制组：上网权限）中禁止SouQ服务：步骤2：在（访问控制和监控->访问控制组：上网权限）中取消选择：5. 控制P2P下载：封堵方法1 ：在（访问控制和监控->访问控制组：内容检测）中阻止P2P：此方法是基于数据包特征检测，由于P2P下载只在会话的开始部分数据有明显特征，此方法不适用于流控，该设置仅适用于新建立的P2P连接，如果设置之前P2P软件已经进入稳定的下载状态则不能阻止。

深信服AC使用说明
默认内网地址登陆：https://10.50.66.53（可修改）
默认管理账号：Admin（注意大小写）
密码：Admin（注意大小写）
1、增加用户
2、在default组下添加用户：选取default，点击新增。

本地密码勾选、允许多人同时使用该账户、允许修改本地密码
3、 新增上网权限策略
勾选应用控制，点击增加，
勾选要的应用
4、新增时间计划组
5、在用户组中选中需要管理的组，点击策略列表，勾选需要的策略
6、并发连接数控制：点击新增流量配额与时长控制
7、修改配置的网段、网关
8、查看日志信息，在界面右上角点击内置数据中心
（1）无需密码认证
（2）需要密码认证
认证界面如下
如果与IP地址绑定，在非绑定的IP地址使用账户登录后会进入如下页面：。

深信服用户管理以及流量管理配置教程一、新增用户组登陆设备后点击左边的“导航菜单”→“用户与策略管理”→“组/用户”在右边会出现设备的用户组织结构，这里出现了default、公司领导、普通员工、服务器和网络管理中心五个用户组。

其中default用户组是系统默认存在的，其它四个是通过以下方法增加的。

如下图所示，点击右边的“成员管理”→“新增”选择“组”选项，就会出现如下界面在“组名列表”种输入工作组的名称点击“提交”即可。

公司领导、普通员工、服务器和网络管理中心四个用户组都是这样添加进去的。

二、在用户组中添加用户如下图所示，以在“网络管理中心”用户组增加新用户为例，点击“网络管理中心”用户组，右边会列出该用户组中的所有用户，点击“成员管理”→“新增”→“用户”出现如下图界面,其中在“启用此用户”那里打钩，这里的策略是用IP地址作为用户名，在“显示名”那里填写了显示名后，该显示名会附加出现在登陆名后。

有时候会出现下面的警告这是因为该IP地址以前已经被设备识别了，被设备默认加入了default用户组中了，而同一个用户是不能同时存在两个不同的用户组中的。

因此，去default用户组寻找到该用户，并将该用户移动到“网络管理中心”用户组中。

如下图所示：出现以下界面单击选择“网络管理中心”，出现以下界面点击“移动”即可。

这样，就可以把所有需要的用户添加到相应的用户组中了。

三、新增线路所谓线路这里就是指出去外网的链路，藤县水利电业有限公司现在只有一条正在使用的外网链路，所以只需要设置一条线路即可。

如上图所示，进入导航菜单→流量管理→虚拟线路配置在右边的“虚拟线路列表”中点击“新增”出现以下界面因为藤县水利电业有限公司的外网带宽为10Mb/s，折算后为1280KB/S，点击“提交”即可。

四、通道配置所谓通道这里就是把同一条物理线路为不同的用户组划分为不同的逻辑线路，以实现网络带宽的合理分配。

如上图所示，进入导航菜单→流量管理→通道配置，在右边的“带宽分配”那里点击“新增通道”，则出现点击“新增一级通道”，出现下面界面必须勾选“启用通道”，在“通道名称”里输入名称，这里是服务器的通道，所以输入“服务器”三字。