深信服M5100配置方法

1）在vpn中应该如何防止别人修改ip后上网

利用DLAN————〉防火墙———〉NA T设置————〉IP MAC 邦定设置

IP MAC 邦定设置

IPMAC设置是用来设置IP地址与MAC地址的对应关系，防止用户通过更改IP地址来非法使用网络资源，如果启用,NAT在代理上网时会作IP和MAC地址的对应关系检查，然后按照设定的进行处理，如果选择”IP和MAC 不在本对应表中拒绝”,那么NAT不会代理列表中不存在的IP地址,即列表中不存在的IP地址无法通过NAT访问外部,如果选择”IP和MAC不在本对应表中放行”,那么NAT将会代理列表中不存在的IP地址,即列表中不存在的IP地址可以通过NAT访问外部.默认处于禁用状态

启用IPMAC设置后，可以通过自动搜索功能自动发现局域网内所有机器的IP和MAC地址，注意这是找到的机器是在这一时刻正在运行的计算机，如某台机器一关机，则不能被发现．可以通过新建功能添加单台机器的对应关系

点击自动获取可以自动得到指定IP地址机器的MAC地址，也可以手工添加如果某台机器更换了IP地址或MAC 地址，可以通过修改功能修改对应关系．

用户权限设置

DLAN————〉防火墙———〉NA T设置

1）服务定义

在服务定义模块中可以定义防火墙的各种服务，定义了防火墙的各种服务之后，在以后的过滤规则设置中可以根据不同的已定义了的服务来确定相应的过滤规则。

（可根据需要将要进行限制的发送邮件\网页浏览\数据传输\聊天工具\下载工具等进行添加）

点“新增”按钮,出现新增服务对话框，如图所示，我们新建一个netmeeting的服务

netmeeting的端口是1503和1720，在端口的对话框内输入相应的端口，点“确定：就完成了netm eeting 服务的定义。

2）用户组及其上网权限设置

用来设定用户访问网站的权限，可以对应不同的用户组采取不同的访问策略，如果不定义用户组的话，缺省用户就是内网中的所有用户（按您的要求，您可以设定根据四个访问级别的客户，设定为4个用户组）

新建一个用户组，输入用户组的名称

输入用户组对应的IP地址范围，

如果用户组的ip是不连续的，可以通过新建功能添加其它的地址

下一步进行用户组访问网站权限的设置，在前面URL组内设置的组名在上部都会出现，可以根据需要添加，可以设置是允许还是拒绝访问这些网站，缺省是允许访问设定的URL组，而拒绝用户访问设定以外的网站．

还可以设定用户可以访问的时间，在生效时间上点击，出现设定的时间组，可以选择对应的时间段

点击下一步进行外部服务的设定

可以设定用户组可以访问哪些外部服务，以及时间设置。

用户组的上网设置可以根据需要随时更改

针对您的要求，可对四组用户作如下设置：

1）允许所有网络服务

您不需要从上面选择任何外部服务，直接在下面选择缺省允许即可，

2）发送邮件\网页浏览\数据传输\聊天工具\下载工具

3）从上面选择HTTP，POP3，SMTP，MSN，qq等在前面定义的发送邮件\网页浏览\数据传输\聊天工具\下载工具等服务

将这些应用设置为允许

在下面选择缺省拒绝即可

4）发送邮件\网页浏览

从上面选择HTTP，POP3，SMTP 将这些应用设置为允许

在下面选择缺省拒绝即可

5）不允许上网

您不需要从上面选择任何外部服务，直接选择缺省拒绝即可，