SANGFOR_ALL_深信服设备各产品线接口默认ip表

SANGFOR_AF_ALL 端口映射配置与排错
深信服科技有限公司
2016年8月
AF端口映射配置配置与排错
配置端口映射的条件：首先需先确认服务器回应公网的数据包会经过AF，若不能确认，需先加一条SNAT，当公网访问服务器的数据从AF出去时，将公网源IP转换成AF出接口IP。

其次需保证服务器和设备之间能正常通讯。

一、名词解释
端口映射：AF端口映射包括目的地址转换和双向地址转换。

目的地址转换：也称为反向地址转换或地址映射。

目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外部用户提供服务的情况。

双向地址转换：是指在一条地址转换规则中，同时包含源地址和目标地址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址，主要用于内网用户通过公网地址访问内网服务器。

二、目的地址转换案例及配置
1、用户需求
某用户网络拓扑图如下，AF访火墙部署在网络出口，ETH2接外网线路，EHT1接内网线路，内网有一台WEB服务器，客户需要实现所有外网用户均能通过公网地址http://10.1.131.2访问内网的WEB服务器.
2、配置步骤：
三、双向地址转换案例及配置
1、用户需求：
某用户网络环境如图，AF防火墙部署在网络出口，内网有WEB服务器。

客户需要内网所有用户都可以通过10.1.129.2访问WEB服务器。

总结：。

深信服配置文档目录一、设置第一条线路1、用一条交叉网线（即配套黄色的网线）把深信服设备的DMZ口与电脑的网口相连起来，连接之后检查检查DMZ口和电脑的网口灯是否绿色，绿色代表正常。

2、配置本地电脑的网卡IP，配置IP：10.252.252.10，子网掩码：255.255.255.0，如下图3、IP配置好之后，打开IE浏览器输入https://10.252.252.252，会弹出一个安全警报对话框，图如下，点击“是”。

4、证书安装完之后弹出输入用户名和密码的窗口，如下图，5、点击手动下载ActiveX控件，然后保存到本地电脑上。

6、保存下来之后，用winrar解压，打开解压后的文件夹，直接运行文件名“setup.bat”这个批处理文件运行完之后会提示安装成功，如下图7、安装完成功之后，重新在IE浏览器上输入https://10.252.252.252，在弹出的窗口里输入用户名和密码，用户名是Admin，密码：Admin，点击登录。

8、点击“系统设置”下的“网关模式配置”，点击“开始配置”，如下图9、点击“开始配置”之后弹出网关模式的选择对话框，选择“路由模式”，如下图10、选择“路由模式”之后，在弹出的窗口里输入LAN口IP和子网掩码分别为192.168.1.1,255.255.255.011、配置完LAN配置之后，点击下一步，弹出WAN配置窗口，“线路类型”选择“ADSL拨号”（备注：有些店是用光纤上网的就选择以太网方式，输入相应的IP，DNS，网关等，视各店的实际情况而定），在“线路配置”的选项里输入相应的上网的拨号用户名和密码，并启用自动拨号按钮。

如下图12、配置完WAN口信息之后点击下一步，弹出NAT配置窗口，在代理网段里输入192.168.1.0/255.255.255.0，点击下一步，如下图13、最后点击完成，设备会重启，如下图14、等待20秒之后，在IE浏览器上重新输入https://10.252.252.252登录进去，点击DHCP服务下的DHCP配置，在右边的窗口输入相关信息，在“启用DHCP服务”复选框里选择“启用”，租期输入720分钟、网关输入192.168.1.1，DNS1和DNS2需根据各分店的实际情况而定，咨询相关服务运营商（如网通，电信等），DHCP地址范围里输入192.168.1.50-192.168.1.250，最后点击确定即可，如下图。

深信服上网行为管理部署方式及功能实现配置说明（标化院）设备出厂的默认IP见下表：AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。

如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。

ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。

如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。

选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

深信服下一代防火墙设备功能配置系列二：地址转换功能
案例需求:
某客户拓扑图如下，客户需要让内网用户和服务器群都能够通过NGAF防火墙上网，此时需要在NGAF设备上添加源地址转换规则，将192.168.1.0/24和172.16.1.0/24上网的数据经过NGAF后转换成 1.2.1.1，也就是NGAF设备出接口ETH1的IP地址。

配置详述：
1.在配置源地址转换规则之前，首先要在网络配置中定义好接口所属的区域，在对象定义中定义好内网网段所属的IP组。

因此，将ETH1接口定义为外网区域，ETH2定义为内网区域。

网段17
2.16.1.0/24和192.168.1.0/24定义成内网IP组。

2.在地址转换栏目中新增地址转换策略并启用该策略。

同时，设置源区域和IP组，用于设置需要进行源地址转换即匹配此条规则的源IP条件，只有来自指定的源区域和指定IP组的数据才会匹配该规则、进行源地址转换。

3.设置外网区域为目标区域，数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据，才匹配该规则。

同时，将源地址转换设置为出接口地址，即外网接口地址。

4.保存并启用该策略。

SANGFOR_AD端口映射配置指导
深信服科技有限公司
2012年07月12日
一、端口映射配置及其检验
设置条件入接口源目的IP及其协议端口。

设定转换地址及端口即可。

验证一条端口映射是否生效可以通过AD webconsole界面检查。

通过输入iptables命令检查iptables规则是否在后台生效。

二、特殊端口映射
Lan-lan映射是比较特殊的端口映射，使用端口映射以到达内网通过访问本地公网地址来访问内网服务器的效果。

案例如下：假定内网网段192.168.1.0/24网段要访问本地公网IP 1.1.1.1来访问到内网服务器地址172.16.1.1/24的TCP 80端口。

配置如下：
这时候数据包已经被设备由源IP是内网网段192.168.1.0/24目的IP 1.1.1.1
转换为源IP是内网网段192.168.1.0/24 目的IP为172.16.1.1的数据包。

这时候必须保证源IP进行转换，否则对于源IP的172.16.1.1的回包，192.168.1.0/24的网段并不会进行处理，因为其原先发起访问的目的IP为1.1.1.1。

Lan-lan配置完成，通过webconsole命令行检验后台配置是否生效。

需要注意的是AD设备中端口映射优先级低于虚拟服务。

如果服务端口同时存在与虚拟服务和端口映射。

以虚拟服务的配置为准。

SANGFOR_AD_6.4_设备管理_序列号_用户配置指导书深信服科技有限公司文档编号AD_CONF_07_01审核huangbing修订记录版本时间修订内容1.02016年7月目录1说明 (1)1.1文档说明 (1)1.2缩写和标志说明 (1)1.3使用反馈 (1)2应用场景 (2)3模块介绍及运用 (2)3.1设备管理 (2)3.1.1管理网口 (2)3.1.2日期/时间 (4)3.1.3配置备份与恢复 (5)3.1.4关机/重启 (7)3.1.5WebConsole (8)4序列号 (12)4.1应用分析授权 (14)4.2安全分析授权 (14)5用户 (16)1说明1.1文档说明本文档深信服公司及其许可者版权所有，并保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式出版传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。

1.2缩写和标志说明本文中AD均指应用交付管理系统。

本文还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。

说明、提示、窍门：对操作内容的描述进行必要的补充和说明1.3使用反馈如果您在使用过程中发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术支持论坛：用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430感谢您的支持与反馈，我们将会做的更好！2应用场景方便现场部署和网络维护人员了解如何登陆和管理AD设备；掌握设备配置的备份与恢复；在设备界面简单调试AD。

了解设备开通了哪些授权以及可以使用设备具体功能和对应功能的应用场景。

U盘恢复配置使用说明深信服电子科技有限公司2013年6月26日1.功能描述在U盘里分别放入对应功能名称的txt文件，通过将U盘插入设备的USB口来实现以下一些功能。

功能1：使用U盘恢复设备网络配置。

使用场景：客户需要恢复设备的默认网络配置（接口IP地址）。

功能2：使用U盘查看网口配置。

使用场景：客户忘记设备各网口的IP地址、子网掩码等信息。

功能3：使用U盘恢复控制台密码。

使用场景：客户忘记设备网关控制台的登录密码。

2.使用步骤2.1.恢复网络配置1、将reset-network.txt文件拷贝到U盘根目录；2、插入U盘，重启设备；3、当设备的LED红灯熄灭之后，拔出U盘；4、查看U盘中的结果文件reset-network.log，若恢复成功则在该文件中可以看到恢复后的网络配置，否则其中记录的是恢复失败信息；5、重启设备以使新的网络配置生效。

每个产品线恢复的网络接口不一样，具体需请参阅各产品线版本新增功能列表，新版本如增加了此功能的支持，会在产品线产品公告版块发布相关的具体说明，产品公告版块链接；/thread.php?fid-117.html2.2.查看网口配置1、将show-ifconfig.txt文件拷贝到U盘根目录；2、插入U盘，重启设备；3、当设备的LED红灯熄灭之后，拔出U盘；4、查看U盘中的结果文件show-ifconfig.log，可知当前的网口配置。

2.3.恢复控制台密码1、将reset-password.txt文件拷贝到U盘根目录；2、插入U盘，重启设备；3、当设备的LED红灯熄灭之后，拔出U盘；4、查看U盘中的结果文件reset-password.log，若恢复成功在该文件中记录恢复后的控制台密码，否则记录的是恢复失败信息。

3.各产品线版本支持列表AD4.2及以后版本、AC5.0R1及以后版本、APM3.0及之后版本，SSL5.65及以后版本，AF2.6及以后版本，WOC7.5及以后版本，具体请关注技术论坛各产品线产品公告版块：/thread.php?fid-117.html4.使用注意事项1、这三个txt文件可以直接在windows系统上建立空白txt文件，将文件名字改成对应功能要求的文件名即可；2、txt文件必须在U盘的根目录下；3、U盘可以为单分区或多分区。

sg的设备eth0（即lan口）是面板上看到的manager口，默认ip跟ac的一样是10.251.251.251。

保留IP:10.111.222.33/255.255.255.252
AC:128.127.125.252/255.255.255.248(LAN口）128.128.125.252/255.255.255.248(DMZ) AD设备，管理口(MANAGE)默认IP为：10.252.252.252
MIG设备lan口出厂IP地址：10.254.254.253/255.255.255.0；
dmz口出厂IP地址：10.253.253.253/255.255.255.0
APM 管理口(MANAGE)默认IP为：12.254.254.254
登录方法：首先为PC机配置一个12.254.254.X网段的IP（如配置12.254.254.100），掩码配置为255.255.255.0，然后在IE浏览器中输入设备的默认登录IP及端口，输入https://12.254.254.254
以上内容来自:/forum/read.php?tid=39
内部测试地址:
北京已经准备了设备的演示平台，大家方便的时候可以登录进行查看
使用如下地址登录：/ssl/bjbsypt.php
vpn的用户名和密码分别是
用户名：渠道演示平台
密码：qdyspt
进去之后选择渠道演示资源组，就可以看到设备的连接，有问题请随时与我联系，谢谢！暂时发布上去的是SG、AD、SSL三个设备，请大家不要修改部署模式，谢谢！
此文档请不要外发,各位人员留好，并请大家一起完善
但前文档版本号1.01，大家可以共同修改、添加完善文档，版本号+0.01后上传到群共享一楼:乔硕 1.01。

常见⽹络安全设备默认⼝令常见⽹络安全设备默认⼝令：看到某位⼤佬总结的特别全，我就直接拿来主义了，收藏⼀波，下⾯有转载地址^_^：设备默认账号默认密码深信服产品sangfor sangfor sangfor@2018 sangfor@2019深信服科技 AD dlanrecover深信服负载均衡 AD 3.6admin admin深信服WAC ( WNS V2.6)admin admin深信服VPN Admin Admin深信服ipsec-VPN (SSL 5.5)Admin Admin深信服AC6.0admin adminSANGFOR防⽕墙admin sangfor深信服AF(NGAF V2.2)admin sangfor深信服NGAF下⼀代应⽤防⽕墙(NGAF V4.3)admin admin深信服AD3.9admin admin深信服上⽹⾏为管理设备数据中⼼Admin密码为空SANGFOR_AD_v5.1admin admin⽹御漏洞扫描系统leadsec leadsec天阗⼊侵检测与管理系统 V7.0Admin venus70Audit venus70adm venus70天阗⼊侵检测与管理系统 V6.0Admin venus60Audit venus60adm venus60⽹御WAF集中控制中⼼(V3.0R5.0)admin leadsec.wafaudit leadsec.wafadm leadsec.waf联想⽹御administrator administrator⽹御事件服务器admin admin123联想⽹御防⽕墙PowerV administrator administrator联想⽹御⼊侵检测系统lenovo default⽹络卫⼠⼊侵检测系统admin talent⽹御⼊侵检测系统V3.2.72.0adm leadsec32admin leadsec32联想⽹御⼊侵检测系统IDS root111111admin admin123科来⽹络回溯分析系统csadmin colasoft中控考勤机web3.0administrator123456H3C iMC admin adminH3C SecPath系列admin adminH3C S5120-SI test123H3C智能管理中⼼admin adminH3C ER3100admin adminer3100 H3C ER3200admin adminer3200 H3C ER3260admin adminer3260 H3C admin adminer admin adminadmin h3capadminh3c h3c360天擎admin admin⽹神防⽕墙firewall firewall天融信防⽕墙NGFW4000superman talent⿊盾防⽕墙admin adminrule abc123audit abc123华为防⽕墙telnetuser telnetpwd ftpuser ftppwd⽅正防⽕墙admin admin飞塔防⽕墙admin密码为空Juniper_SSG__5防⽕墙netscreen netscreen中新⾦盾硬件防⽕墙admin123kill防⽕墙(冠群⾦⾠)admin sys123天清汉马USG防⽕墙admin venus.fw Audit venus.audituseradmin er阿姆瑞特防⽕墙admin manager⼭⽯⽹科hillstone hillstone绿盟安全审计系统weboper weboper webaudit webauditconadmin conadminadmin adminshell shell绿盟产品nsfocus123 TopAudit⽇志审计系统superman talent LogBase⽇志管理综合审计系统admin safetybase⽹神SecFox运维安全管理与审计系统admin!1fw@2soc#3vpn 天融信数据库审计系统superman telent Hillstone安全审计平台hillstone hillstone⽹康⽇志中⼼ns25000ns25000⽹络安全审计系统（中科新业）admin123456天玥⽹络安全审计系统Admin cyberaudit明御WEB应⽤防⽕墙admin adminadmin adminadmin明御攻防实验室平台root123456明御安全⽹关admin adminadmin明御运维审计与册风险控制系统admin1q2w3e system1q2w3e4rauditor1q2w3e4roperator1q2w3e4r明御⽹站卫⼠sysmanager sysmanager888亿邮邮件⽹关eyouuser eyou_admin eyougw admin@(eyou)admin+-cccccadmin cyouadminWebsense邮件安全⽹关administrator admin梭⼦鱼邮件存储⽹关admin admin。

各产品线命令控制台功能介绍深信服电子科技有限公司2013年7月31日第1章命令控制台简介命令控制台提供一个简单的控制台命令行，可用于对设备的一些简单信息进行查看，支持的命令包括：vlan（查看vlan上的接口）、arp（查看arp表）、mii-tool（列出网口的连接情况）、ifconfig（查看网口信息）、ping（测试主机地址连通）、telnet（测试端口连通性）、ethtool（查看网卡信息）、route（显示路由表）和traceroute（跟踪数据包转发路径），在命令行页面直接输入命令回车即可，如下图：目前深信服AC/SG、WOC、AF产品线都带有命令控制台功能，给问题的排查提供了简单快捷的排错方式，掌握命令控制台的使用方法，可以有效提高问题的处理效率，本文以AC 的命令控制台为例讲解其使用方法，其他产品线使用方法类似。

第2章命令使用介绍vlan用于查看vlan下的接口；例：可以看出eth3属于trunk口，允许通过的vlan为1-1000和1002-1005（vlan1和1002~1005是自动创建，为特殊用途，trunk默认放行。

vlan1用于默认管理，1002~~1005保留给与令牌环和FDDI交换相关的功能使用）。

Eth2为一个acess口，属于vlan4.arp查看设备上指定的接口学习到的arp；例：常见情况：pc访问不到设备，通过dmz口可以，lan口下二层网络，此时通过dmz口登录设备查看arp表项，看设备是否能学习到pc的arp表。

学不到肯定通信不了，查网络原因。

mii-tool看所有网卡当前的工作模式，接线情况；例：Eth0口自动协商100M 全双工接线状态ok查看网络配置，包括接口ip、mac、收发包状态以及错误包等信息；例：ping测试和目的主机之间的网络连通性；例：telnet测试到目的主机端口的连通性；例：ethtool查看网卡工作模式，接线状态等；例：查看设备的路由；例：sangfor vpn对接学习到的对方的路由可以用这个命令查看到注：如果第三方对接用route命令无法查看学习到路由。

SANGFOR_WOC_ALL_⽹桥部署全攻略WOC⽹桥部署全攻略深信服科技有限公司2011年10⽉24⽇1.1 应⽤场景和部署前提条件 (1)1.1.1 应⽤场景： (1)1.1.2 部署前提条件 (1)1.2 ⽹桥部署基本配置思路和注意事项 (2)1.2.1 单⽹桥模式 (2)1.2.2 双⽹桥模式部署 (3)1.3 三．⽹桥模式特殊环境部署案例 (5)1.3.1 VLAN还原的使⽤案例及配置步骤 (5)1.3.2 前置设备流控+WOC加速案例及配置步骤 (6)1.4 ⽹桥部署基本排查思路 (7)1.5 双⽹桥下的配置注意事项 (7)1.6 常见问题FAQ (8)1.1 应⽤场景和部署前提条件1.1.1应⽤场景：SANGFOR WOC⽹桥部署在专线路由器和核⼼交换机中，在不改动原有⽹络结构的同时，既能对专线上的应⽤配置不同优先级的流量策略，⼜削减了总部分⽀间⼤量的重复流量。

不但保障了重要业务的流量优先，⽽且优化了总部分⽀的访问体验，使有限的带宽发挥更⼤的价值。

此部署模式可以使⽤bypass功能，保障设备故障时快速恢复⽹络。

1.1.2部署前提条件⽹桥模式下，因为⽹桥模式下VPN功能⽆效，连接双⽅必须已经通过其他VPN设备建⽴好了VPN连接，或者通过专线连接，且保证2个加速设备互相能正常访问（5400端⼝互通）。

1.2 ⽹桥部署基本配置思路和注意事项1.2.1单⽹桥模式基本配置步骤：（1）在『系统』→『部署设置』→『⽹络接⼝』⾥切换到纯加速模式并选择部署⽅式为⽹桥模式（2）配置逻辑接⼝IP地址、⽹关IP地址、管理IP地址以及DNS地址（3）配置加速（4）如果内⽹是三层环境：5.0之前版本必须配置到内⽹各个⽹段的静态路由5.0及以上版本可以通过【启⽤MAC地址跟踪】免除配置静态路由（MAC地址跟踪只在⽹桥模式下⽣效）1.2.2双⽹桥模式部署基本配置步骤：（1）在『系统』→『部署设置』→『⽹络接⼝』⾥切换到纯加速模式并选择部署⽅式为双⽹桥。

全面网络优化方案提升带宽价值深信服科技有限公司2010年5月目录全面网络优化方案，提升带宽价值 (1)深信服AC上网行为管理——实现内网有序管控 (2)深信服SSL VPN——全面的移动安全接入方案 (3)深信服IPSec VPN——异地网络安全、快速组网 (4)深信服广域网加速——让网络飞驰起来 (5)深信服BM流量管理——优化带宽资源 (6)深信服SG上网优化网关——提升上网效率 (7)深信服AD应用交付——链路、应用负载双优化 (9)招商局集团部署深信服产品解决网络性能问题 (10)更多成功客户： (12)全面网络优化方案，提升带宽价值——深信服科技深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商，致力于通过创新、高品质的产品及卓越的服务，帮助用户提升互联网带宽的价值。

通过专业、创新、高性价比的产品，围绕商业用户Internet带宽资源，帮助用户降低成本（VPN实现网间互联、替代专线）、提高效率（广域网加速让应用更快捷）、产生效益（SSL VPN实现无处不在的移动办公）、防范风险（AC上网行为管理网关保证内、外网安全）、优化资源（BM流量控制实现带宽合理管控）、提高访问体验（AD应用交付实现链路及服务器双负载均衡），提供全面的网络优化解决方案！深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。

丰富的产品系列给客户更大的选择空间。

不同层次、不同需求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。

截止到2010年5月，已有超过16，000家用户选择了同深信服合作并取得了显著收益。

这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业，也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。

在中国入选世界500强的企业中，超过一半的企业都是深信服的用户。

目前，深信服科技总人数已达900人，直属分支机构36个，销售网络遍布全国，并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。

SANGFOR AD 快速安装手册技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR 设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速的响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问SANGFOR的技术论坛，寻求技术问题的解决方案和办法。

4.致电SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：公司网址：技术支持服务热线：400-630-6430（手机、固话均可拨打）邮箱：*******************.cn目录技术支持说明 (1)声明 (3)前言 (4)第1章AD系列硬件设备的安装 (5)1.1.环境要求 (5)1.2.电源 (5)1.3.产品接口说明 (5)1.4.配置与管理 (6)1.5.设备接线方式 (8)第2章AD系列硬件设备的部署 (10)2.1.路由模式 (10)2.1.1.AD路由模式介绍 (10)2.1.2.AD路由模式部署案例 (10)2.2.旁路模式 (23)2.2.1.AD旁路模式介绍 (23)2.2.2.AD旁路模式部署案例 (23)第3章AD应用配置案例 (28)3.1.客户环境与需求 (28)3.2.配置思路 (28)3.3. AD设备配置步骤 (29)第4章密码安全风险提示 (38)4.1 修改控制台登陆密码 (38)4.2 修改网关升级与恢复系统登陆密码 (39)声明Copyright © 2012 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

等保一体机5.0.0运维手册v1.0深信服科技有限公司目录1.关于文档 (2)2.等保一体机控制台登陆方式............................................错误！未定义书签。

3.等保一体机授权导入 (3)4.等保一体机安全架构配置................................................错误！未定义书签。

4.1.创建业务物理出口.............................................................错误！未定义书签。

4.2.创建安全应用 (15)4.3.自定义网络拓扑 (16)4.4.模板 (17)4.5.单点登陆 (18)5.等保一体机日常管理功能使用 (19)5.1.首页 (20)5.2.运营中心 (21)5.3.应用市场 (22)5.4.资源池 (18)5.5.系统管理 (22)6.常见问题 (29)1.关于文档介绍如何在日常工作中对等保一体机进行运维。

2.等保一体机控制台的登录方式等保一体机默认IP地址是10.251.251.251，将笔记本电脑配置一个10.251.251.0/24的IP，并与安装完成的主机eth0口直连。

在浏览器中输入https://10.251.251.251，并使用默认账号密码：admin/admin登录安全服务平台。

3.等保一体机授权导入当等保一体机授权需要更改的时候，可以在控制台“系统”——“平台授权”进行授权的更改，导入授权文件，授权文件为.cert格式的除了平台授权，部署安全应用还需要开相应的应用授权，否则没有应用授权创建不了安全应用。

因此，除了平台授权外，还需要导入相应的应用授权。

等保一体机支持安全应用列表为：安全应用应用规格AF下一代防火墙100M、200M、500M、1G、2G、3G、4G AD应用交付100M、200M、500M、1G、2G、3G、4G AC上网行为管理100M、200M、500M、1G、2G、3G、4G SSLVPN1-10000并发DAS数据库审计100M、200M、400MEDR1-2000并发10资产、20资产、50资产、100资产、OSM运维安全管理200资产、300资产、500资产20资产、50资产、100资产、LAS日志审计200资产、300资产、500资产50资产、100资产、BVT基线核查200资产、300资产、500资产20资产、50资产、100资产、聚铭日志审计200资产、300资产安全应用授权有效期包括安全应用功能有效期和服务有效期，功能有效期是永久的，但是服务有效期是有期限的，超出服务有效期，产品版本不能更新，规则库不能更新。

深信服防火墙AF配置
1.深信服防火墙AF设备出厂manage口ip地址为10.251.251.251，首先给自己电
脑配置同网段ip地址10.251.251.200，把AF设备manage口和笔记本用网线连起来，打开浏览器输入https://10.251.251.251,输入用户名：admin、密码：admin，登录WEB控制台，
2.防火墙网关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接口eth1和eth2。

3.配置网络接口，wan区域eth1口配置公网ip地址，lan区域配置内网规划ip
地址
4.配置默认路由和去往内网的回包路由
5.配置源地址转换，代理内网用户上网，转换为出接口ip地址
6.防火墙默认拒绝所有，应用控制策略放通。

7.配置僵尸网络，内网pc上网防护。

8.配置IPS防护内网客户端
9.配置流量管控，对内网pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，首先启用流控，内网用户p2p下载和在线影视限制50M。

深信服参数表产品型号硬件参数深信服AF-9070-05标配8个千兆电口，8个千兆光口，4个万兆光口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-1070-05标配4个10/100/1000BASE-T接口，2个高速USB2.0接口，1个RJ45串口，配置IPSEC VPN深信服AF-1370-05标配6个10/100/1000BASE-T接口，2个高速USB2.0接口，1个RJ45串口，配置IPSEC VPN深信服AF-1570-05标配4个10/100/1000BASE-T接口，2个SFP 接口，2个高速USB2.0接口，1个RJ45串口，配置IPSEC VPN 深信服AF-1870-05标配10个10/100/1000BASE-T接口，4个SFP接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-2070-05标配8个10/100/1000BASE-T接口，2个SFP 接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-4070-05标配10个10/100/1000BASE-T接口，4个SFP接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-8070-05标配8个10/100/1000BASE-T接口，4个万兆光口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-6070-05标配8个10/100/1000BASE-T接口，4个SFP 接口，2个高速USB2.0接口，1个RJ45串口，双电源，配置IPSEC VPN深信服AF-7070-05标配8个10/100/1000BASE-T接口，4个SFP 接口，2个高速USB2.0接口，1个RJ45串口，双电源性能参数功能参数最大并发连接数100万每秒新建连接数2万最大吞吐量1.2Gbps最大并发连接数150万每秒新建连接数9万最大吞吐量5Gbps最大并发连接数150万每秒新建连接数10万最大吞吐量6Gbps最大并发连接数220万每秒新建连接数13万最大吞吐量10Gbps最大并发连接数230万每秒新建连接数13万最大吞吐量12Gbps最大并发连接数600万每秒新建连接数21万最大吞吐量18Gbps最大并发连接数800万每秒新建连接数25万最大吞吐量20Gbps最大并发连接数1200W每秒新建连接数28W最大吞吐量24Gbps最大并发连接数1500万每秒新建连接数32万最大吞吐量30Gbps最大并发连接数1600万；每秒新建连接数60万，最大吞吐量80Gbps 深信服应用防火墙，含基础防火墙、攻击防护、NAT、VPN 等安全功能。