行为管理设备用户认证介绍

设备分级管理方案设备分级管理是指根据设备的性质、功能和安全等级，对不同级别的设备进行分类和管理的一种手段。

它旨在实现对设备资源的合理利用，提高设备的使用效率和安全性。

设备分级管理方案应包含设备分类、安全防护等级划分、设备权限控制、设备监测与管理等内容。

一、设备分类根据设备的特性和用途，可以将设备划分为以下几类：1.办公设备：如电脑、打印机、复印机、传真机等。

3.生产设备：如机械设备、生产线、工业机器人等。

4.安全设备：如监控摄像头、门禁系统、报警器等。

5.储存设备：如服务器、存储设备、网络设备等。

根据设备的种类和功能，将其进行分类，是合理进行设备分级管理的前提。

二、安全防护等级划分根据设备的重要性和涉及的安全风险，可以将设备分为以下几个等级：1.高安全等级设备：包括对国家安全、重要设施、重要数据的保护等有重要意义的设备。

2.中安全等级设备：包括对部门内部业务数据的保护、公司核心业务的支持等有一定意义的设备。

3.低安全等级设备：包括对一般办公、通信、生产等设备的管理，风险相对较低的设备。

根据安全等级划分设备，可以有针对性地制定不同的管理措施，并确保关键设备的安全性。

三、设备权限控制设备权限控制是指对设备的使用者进行身份验证，并授予相应的权限，确保设备的正常使用和安全管理。

设备权限控制可以按照以下原则进行：1.用户身份认证：对使用设备的用户进行身份验证，包括用户名、密码、指纹、人脸识别等多种方式。

2.权限分级管理：根据用户的职责和需要，对不同的用户分配不同的权限，确保他们只能访问和操作自己需要的设备和数据。

3.访问控制：对设备进行访问控制，限制未经授权的访问和使用，防止信息泄露和设备被恶意篡改。

四、设备监测与管理设备监测与管理是指通过监控设备的使用情况、运行状态和访问行为，及时发现和解决设备故障、安全隐患等问题。

1.设备使用监测：对设备的使用情况进行监测，包括使用时间、使用频率、使用地点等，确保设备的正常运行和合理利用。

深信服上网行为管理-管理员手册深信服电子科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第2章系统管理............................................................2.1设备登录...........................................................2.2管理员配置.........................................................2.2.1修改管理员密码...............................................2.2.2创建二级管理员...............................................2.3系统基本信息配置...................................................2.3.1序列号.......................................................2.3.2系统时间.....................................................2.3.3规则库升级...................................................2.3.4全局排除地址.................................................2.3.5设备配置备份与恢复...........................................2.3.6WEBUI选项....................................................2.3.7远程维护.....................................................第3章网络配置............................................................3.1部署模式...........................................................3.2静态路由...........................................................第4章策略管理............................................................4.1用户认证与管理.....................................................4.1.1用户组管理...................................................4.1.2认证策略.....................................................4.1.3不需要认证...................................................4.1.4IP/MAC绑定...................................................4.1.5不允许认证...................................................4.2策略管理...........................................................4.2.1购物娱乐类网站...............................................4.2.2P2P及P2P流媒体封堵..........................................4.2.3外发文件封堵.................................................4.2.4上网审计.....................................................4.3流量管理...........................................................4.3.1线路带宽配置.................................................4.3.2保证通道.....................................................4.3.3限制通道.....................................................4.4终端接入管理.......................................................4.4.1共享接入管理................................................. 第5章日志中心管理........................................................5.1日志中心配置.......................................................5.1.1准备工作.....................................................5.1.2外置日志中心安装过程.........................................5.1.3日志中心登录.................................................5.1.4同步策略设置.................................................5.1.5AC同步配置...................................................5.2日志中心登录.......................................................5.2.1内置日志中心登录.............................................5.2.2外置日志中心登录.............................................5.3日志查询...........................................................5.3.1所有行为日志.................................................5.3.2网站访问日志.................................................5.3.3邮件收发日志.................................................5.3.4发帖/发微博日志..............................................5.3.5其他日志.....................................................5.3.6日志导出.....................................................5.3流量时长分析.......................................................5.4报表中心...........................................................5.5系统管理........................................................... 第1章前言本手册用于讲解AC常见功能操作方法，为管理员提供日常策略维护指导。

深信服上网行为管理安全网关一、深信服上网行为管理安全网关产品SINFOR M5100-AC-S 38000元/台适用中小型网络，标配4个100M电口；SINFOR M5400-AC-S 100000元/台适用中型网络，标配2个100M电口4个1000M 电口；SINFOR M5400-AC-P 150000元/台适用中大型网络，标配4个1000M电口2个1000M光口二、深信服上网行为管理安全网关产品截图(1)防火墙模块（2）分组模块（3）控制模块（4）流量控制模块（5）记录审计模块三、深信服产品介绍针对网络安全问题和用户需求，SINFOR M5X000－AC上网行为管理设备为您提供了完善的解决方案。

针对内网用户的各种互联网访问行为，能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为；封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P 应用；杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等；独特的敏感内容拦截和安全审计功能，防止机密泄露；全面记录网络行为日志，避免法律风险，并让IT 管理者对网络效能和行为进行方便的统计、审计、分析、报表；再辅以SINFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全。

四、深信服上网行为管理安全网关产品特色产品主要特点：网关+终端、行为+内容的完整上网行为管理解决方案；业界最丰富的用户认证方式，网络准入规则提供安全终端接入；针对用户组、用户、应用提供更细粒度的访问控制；针对应用协议、网站类型、文件类型等智能流量管理；URL库数量：1000万以上最全的应用识别协议库，24大类，370多条应用识别规则；精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容；独立日志中心，提供海量存储、内容检索、模糊查询、自动报表等功能支持网关、网桥、旁路等多种部署方式；网桥模式下并支持多路桥接功能功能特性：一、上网行为控制，规范员工上网行为，提高工作效率； 多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限； 独特的WEB认证、基于浏览器实现方便的用户识别与认证； 网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。

深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言.......................................................... 错误!未定义书签。

第2章系统管理...................................................... 错误!未定义书签。

设备登录....................................................... 错误!未定义书签。

修改管理员密码............................................. 错误!未定义书签。

创建二级管理员............................................. 错误!未定义书签。

系统基本信息配置............................................... 错误!未定义书签。

序列号..................................................... 错误!未定义书签。

系统时间................................................... 错误!未定义书签。

规则库升级................................................. 错误!未定义书签。

全局排除地址............................................... 错误!未定义书签。

设备配置备份与恢复......................................... 错误!未定义书签。

Ｄ－Ｌｉｎｋ　ＤＩ－８系上网行为管理认证路由器用户手册声明Copyright © 1986-2013友讯电子设备（上海）有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其它原因，本手册内容会不定期进行更新，为获得最新版本的信息，请定时访问公司网站。

具体的产品型号具有的功能以固件版本本身为准，该手册仅为路由器通用用户操作指导文档，友讯电子设备有限公司试图在本资料中提供准确的信息，但对于可能出现的疏漏概不负责。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。

物品清单在包装箱完整的情况下，开启包装箱。

箱内应包含如下各项：一台路由器主机一条电源线一条网线一本快速安装手册一张安装指导光盘一张保修卡、合格证注意：如果发现有任何配件损坏或遗漏，请及时与经销商联系。

本手册为　Ｄ－Ｌｉｎｋ　ＤＩ－８系上网行为管理认证路由器用户手册，具体产品型号为实物为准。

目录第一章网络基础知识 (5)1.1 局域网入门 (5)1.2 IP地址 (5)1.3 子网掩码 (5)第二章设备的安装与连接 (6)2.1 面板布置 (6)2.2 硬件的安装 (7)2.3 配置您计算机网络设置 (7)2.4 连接到路由器 (9)第三章路由器基本设置 (12)3.1 配置向导 (12)3.2 带宽控制 (13)3.2.1速度限制 (13)3.2.2带宽保证 (14)3.2.3流量控制例外 (15)3.3 行为管控 (16)3.3.1 IP地址组 (16)3.3.2 WEB访问控制 (17)3.3.3网络通告 (19)3.3.4聊天软件过滤 (21)3.3.5视频软件过滤 (22)3.3.6 P2P软件过滤 (22)3.3.7代理软件过滤 (23)3.4 基础配置 (23)3.4.1基本选项 (23)3.4.2 LAN口配置 (24)3.4.3广域网口设置 (26)3.4.4 DHCP服务器设置 (28)端口设3.4.5置 (29)3.5 无线设置 (30)3.5.1 基本设置 (30)3.5.2 无线安全 (31)3.5.3 WDS设置 (36)3.5.4 WPS设置 (38)3.5.5 无线用户列表 (39)3.6 高级配置 (40)3.6.1虚拟服务 (40)3.6.2 静态路由 (41)3.6.3 策略路由 (42)3.6.4 DDNS设置 (46)3.6.5 URL重定向 (47)3.6.6 VLAN设置 (48)3.6.7 UPNP设置 (49)3.7 PPPOE认证 (49)3.7.1 基本设置 (49)3.7.2 PPPOE SER管理 (51)3.7.3 用户管理 (52)3.8 网络安全 (54)3.8.1 攻击防御 (54)3.8.2 连接限制 (56)3.8.3 ARP静态绑定 (56)3.8.4 ARP主动防御 (58)3.8.5 病毒检测 (58)3.8.6 MAC地址过滤 (58)3.8.7 防火墙设置 (59)3.9 系统状态及日志 (61)3.10 VPN应用 (64)3.10.1 VPN基本设置 (64)3.10.2 VPN服务端的建立 (64)3.10.3 路由器客户端的设置 (66)3.10.4 PC客户端的设置 (67)3.10.5 VPN状态 (70)3.10.6 VPN证书 (70)3.10.7 VPN日志 (71)第四章快捷菜单设置 (73)4.1 配置管理 (73)4.2 用户管理 (73)4.3 系统维护 (74)第一章网络基础知识1.1 局域网入门路由器是指能将两个网络连接起来的设备，路由器能连接局域网或者一组电脑到互联网，处理并校验在网络中传输的数据。

附件五上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。

3.设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。

ETH2(WAN1)口与路由器CISCO2821，与Internet连接。

ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。

通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。

表1设备端口IP地址分配表接口IP地址描述ETH0 (LAN) 透明模式与核心交换G3/1连接ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接（WEB管理）ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接图2WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。

如图3所示。

图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。

图4系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。

图5所示为管理员帐户列表。

上网行为管理操作手册2022年4月25日一、网络拓扑图 (1)二、网络规划 (1)三、IP地址分配 (1)四、账号分配表 (4)五、主要设备账户及密码 (6)1、上网行为管理路由器 (6)2、核心交换机 (6)3、研发交换机 (6)4、综合交换机 (6)5、硬盘录像机 (6)6、无线AP (6)六、主要配置 (7)1、上网行为管理器配置 (7)1、创建部门 (7)2、给每个部门创建用户 (7)3、创建用户组 (8)4、给用户组添加部门 (9)5、新建上网认证策略 (9)6、配置认证选项 (9)7、配置外网接口网络 (10)8、配置内网接口网络 (11)9、配置管理接口网络 (11)10、配置静态路由 (12)11、配置策略路由 (12)12、配置带宽策略 (13)13、配置源NAT (15)14、配置虚拟服务器（端口映射） (16)15、配置域间规则 (17)16、配置本地策略 (17)2、交换机 (18)一、网络拓扑图二、网络规划三、IP地址分配四、账号分配表五、主要设备账户及密码1、上网行为管理路由器IP地址：1.1.1.12、核心交换机3、研发交换机4、综合交换机5、硬盘录像机6、无线AP六、主要配置1、上网行为管理器配置1、创建部门2、给每个部门创建用户1）创建账号及密码2）加入所属部门3）加入所属用户组3、创建用户组4、给用户组添加部门5、新建上网认证策略1）填写局域网的所有网段2）使用用户名密码认证6、配置认证选项1)启用radius单点登录2)配置密码有效期3)注销无流量的已认证用户时间7、配置外网接口网络8、配置内网接口网络9、配置管理接口网络10、配置静态路由11、配置策略路由1）内网口允许所有用户通过2）外网口允许所有用户通过3）管理口允许所有用户通过12、配置带宽策略1）WAN-LAN允许所有用户通过并且不限流2）LAN-WAN允许所有用户通过并且不限流13、配置源NAT1)WAN->LAN2)LAN->WAN14、配置虚拟服务器（端口映射）15、配置域间规则WAN->LAN,LAN->WAN,DMZ->LAN,LAN->DMZ,WAN->DMZ,DMZ->WAN 所有动作都是放行（permit）16、配置本地策略1)源安全域LAN口所有原地址动作都放行（permit）2)源安全域WAN口所有原地址动作都放行（permit）3)源安全域DMZ口所有原地址动作都放行（permit）2、交换机核心交换机#!Software Version V100R005C01SPC100sysname HeXin#vlan batch 30 40 50 100 to 102#dhcp enableuser-bind static ip-address 192.168.1.88 mac-address 0022-681c-eacf vlan 30user-bind static ip-address 192.168.1.88 mac-address 0022-681c-eacf interface GigabitEthernet0/0/10#undo http server enable#drop illegal-mac alarm#ip pool vlan30ip pool vlan40ip pool vlan50#acl number 2000rule 5 deny source 192.168.30.0 0.0.0.255rule 10 permit#acl number 2001#acl number 2002#acl number 2003#ip pool vlan30gateway-list 192.168.1.254network 192.168.1.0 mask 255.255.255.0dns-list 221.228.255.1 114.114.114.114#ip pool vlan40gateway-list 192.168.30.254network 192.168.30.0 mask 255.255.255.0static-bind ip-address 192.168.30.27 mac-address 0022-681c-eacfdns-list 221.228.255.1 114.114.114.114#ip pool vlan50gateway-list 192.168.40.254network 192.168.40.0 mask 255.255.255.0dns-list 221.228.255.1 114.114.114.114#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher 6)'^BYE(;F31<%AOH#3\4Q!! local-user admin privilege level 3#interface Vlanif1#interface Vlanif30ip address 192.168.1.1 255.255.255.0dhcp select global#interface Vlanif40ip address 192.168.30.254 255.255.255.0dhcp select global#interface Vlanif50ip address 192.168.40.254 255.255.255.0#interface Vlanif100ip address 192.168.100.1 255.255.255.0#interface Vlanif101ip address 1.1.1.2 255.255.255.0#interface Vlanif102#interface MEth0/0/1#interface GigabitEthernet0/0/1port link-type accessport default vlan 30#interface GigabitEthernet0/0/2port link-type accessport default vlan 30#interface GigabitEthernet0/0/3port link-type accessport default vlan 30#interface GigabitEthernet0/0/4port default vlan 30#interface GigabitEthernet0/0/5 port link-type accessport default vlan 30#interface GigabitEthernet0/0/6 port link-type accessport default vlan 30#interface GigabitEthernet0/0/7 port link-type accessport default vlan 30#interface GigabitEthernet0/0/8 port link-type accessport default vlan 30#interface GigabitEthernet0/0/9 port link-type accessport default vlan 30#interface GigabitEthernet0/0/10 port link-type accessport default vlan 30#interface GigabitEthernet0/0/11 port link-type accessport default vlan 40#interface GigabitEthernet0/0/12 port link-type accessport default vlan 40#interface GigabitEthernet0/0/13 port link-type accessport default vlan 40#interface GigabitEthernet0/0/14 port link-type accessport default vlan 40#interface GigabitEthernet0/0/15port default vlan 40#interface GigabitEthernet0/0/16port link-type accessport default vlan 40#interface GigabitEthernet0/0/17port link-type accessport default vlan 40#interface GigabitEthernet0/0/18port link-type accessport default vlan 40#interface GigabitEthernet0/0/19port link-type accessport default vlan 50#interface GigabitEthernet0/0/20port link-type accessport default vlan 50#interface GigabitEthernet0/0/21port link-type trunkport trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/22port link-type trunkport trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/23port link-type accessport default vlan 101#interface GigabitEthernet0/0/24port link-type trunkport trunk allow-pass vlan 2 to 4094#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 1.1.1.1ip route-static 0.0.0.0 0.0.0.0 58.214.246.30 ip route-static 0.0.0.0 0.0.0.0 58.214.246.29ip route-static 192.168.10.0 255.255.255.0 192.168.100.2 ip route-static 192.168.20.0 255.255.255.0 192.168.100.2 ip route-static 192.168.30.0 255.255.255.0 192.168.100.3 #snmp-agentsnmp-agent local-engineid 000007DB7F000001000060DC snmp-agent sys-info version v3#user-interface con 0idle-timeout 0 0user-interface vty 0 4authentication-mode aaauser privilege level 15#port-group 1group-member GigabitEthernet0/0/1group-member GigabitEthernet0/0/2group-member GigabitEthernet0/0/3group-member GigabitEthernet0/0/4group-member GigabitEthernet0/0/5group-member GigabitEthernet0/0/6group-member GigabitEthernet0/0/7group-member GigabitEthernet0/0/8group-member GigabitEthernet0/0/9group-member GigabitEthernet0/0/10#port-group 2group-member GigabitEthernet0/0/11group-member GigabitEthernet0/0/12group-member GigabitEthernet0/0/13group-member GigabitEthernet0/0/14group-member GigabitEthernet0/0/15group-member GigabitEthernet0/0/16group-member GigabitEthernet0/0/17group-member GigabitEthernet0/0/18#port-group 3group-member GigabitEthernet0/0/19group-member GigabitEthernet0/0/20#return研发交换机#sysname YanFa#vlan batch 1 10 20 100 to 101#cluster enablentdp enablentdp hop 16ndp enable#voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Siemens phonevoice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000 description Cisco phonevoice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000 description Avaya phonevoice-vlan mac-address 0060-b900-0000 mask ffff-ff00-0000 description Philips/NEC phonevoice-vlan mac-address 00d0-1e00-0000 mask ffff-ff00-0000 description Pingtel phonevoice-vlan mac-address 00e0-7500-0000 mask ffff-ff00-0000 description Polycom phonevoice-vlan mac-address 00e0-bb00-0000 mask ffff-ff00-0000 description 3com phone#undo http server enable#acl number 2000#acl number 2001rule 5 deny source 192.168.30.0 0.0.0.255rule 10 permit#acl number 2002#acl number 2003rule 5 deny source 192.168.40.0 0.0.0.255rule 10 permit#dhcp server ip-pool vlan#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 221.228.255.1 114.114.114.114#dhcp server ip-pool vlan20network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.254dns-list 221.228.255.1 114.114.114.114#interface Vlanif1#interface Vlanif10description yanfaip address 192.168.10.254 255.255.255.0 #interface Vlanif20ip address 192.168.20.254 255.255.255.0 #interface Vlanif100ip address 192.168.100.2 255.255.255.0 #interface Vlanif101#interface MEth0/0/1#interface GigabitEthernet0/0/1port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/2port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/3port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/4port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/5 port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/6 port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/7 port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/8 port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/9 port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/10 port link-type accessport default vlan 10bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/11port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/12port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/13port link-type accessport default vlan 20user-bind static ip-address 192.168.20.20 vlan 20 bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/14port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/15port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/16port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/17 port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/18 port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/19 port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/20 port link-type accessport default vlan 20bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/21 port default vlan 1bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/22 port default vlan 1bpdu enablentdp enablendp enable#interface GigabitEthernet0/0/23 port link-type accessbpdu enablentdp enablendp enable#interface GigabitEthernet0/0/24port default vlan 1port trunk allow-pass vlan 1 to 4094bpdu enablentdp enablendp enable#interface NULL0#traffic-filter vlan 10 inbound acl 2003 rule 5traffic-filter vlan 10 inbound acl 2003 rule 10traffic-filter vlan 10 outbound acl 2003 rule 5traffic-filter vlan 10 outbound acl 2003 rule 10#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher E(/GLH9$P#'Q=^Q`MAF4<1!! local-user admin level 3local-user admin ftp-directory flash:#dhcp server forbidden-ip 192.168.10.254dhcp server forbidden-ip 192.168.20.254dhcp enable#ip route-static 0.0.0.0 0.0.0.0 1.1.1.1ip route-static 0.0.0.0 0.0.0.0 192.168.100.1ip route-static 0.0.0.0 0.0.0.0 2.2.2.1ip route-static 0.0.0.0 0.0.0.0 58.214.246.29ip route-static 0.0.0.0 0.0.0.0 58.214.246.30#user-interface con 0user-interface vty 0 4authentication-mode aaauser privilege level 15#port-group 1group-member GigabitEthernet0/0/1group-member GigabitEthernet0/0/2group-member GigabitEthernet0/0/3group-member GigabitEthernet0/0/4group-member GigabitEthernet0/0/5group-member GigabitEthernet0/0/6group-member GigabitEthernet0/0/7group-member GigabitEthernet0/0/8group-member GigabitEthernet0/0/9group-member GigabitEthernet0/0/10#port-group 2group-member GigabitEthernet0/0/11group-member GigabitEthernet0/0/12group-member GigabitEthernet0/0/13group-member GigabitEthernet0/0/14group-member GigabitEthernet0/0/15group-member GigabitEthernet0/0/16group-member GigabitEthernet0/0/17group-member GigabitEthernet0/0/18group-member GigabitEthernet0/0/19group-member GigabitEthernet0/0/20#return综合交换机#!Software Version V100R005C01SPC100sysname YunYing#vlan batch 40 100#cluster enablentdp enablentdp hop 16ndp enable#bpdu enable#dhcp enabledhcp snooping enabledhcp server detectuser-bind static ip-address 192.168.30.35 mac-address 50e5-49e6-a424 interface Ethernet0/0/1#undo http server enable#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type httplocal-user yunying password cipher 6)'^BYE(;F31<%AOH#3\4Q!! local-user yunying privilege level 3#interface Vlanif1ip address dhcp-alloc#interface Vlanif40ip address 192.168.30.254 255.255.255.0#interface Vlanif100ip address 192.168.100.3 255.255.255.0#interface Ethernet0/0/1port link-type accessport default vlan 40ntdp enablendp enablearp anti-attack check user-bind enableip source check user-bind enable#interface Ethernet0/0/2port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/3port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/4port link-type accessport default vlan 40 ntdp enablendp enable#interface Ethernet0/0/5 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/6 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/7 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/8 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/9 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/10 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/11 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/12 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/13 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/14 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/15 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/16 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/17 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/18 port link-type access port default vlan 40 ntdp enablendp enable#interface Ethernet0/0/19port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/20port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/21port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/22port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/23port link-type accessport default vlan 40ntdp enablendp enable#interface Ethernet0/0/24port link-type accessport default vlan 40ntdp enablendp enable#interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 4094 ntdp enablendp enable#interface GigabitEthernet0/0/2ntdp enablendp enable#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 192.168.100.1ip route-static 0.0.0.0 0.0.0.0 1.1.1.1ip route-static 0.0.0.0 0.0.0.0 1.1.1.9ip route-static 0.0.0.0 0.0.0.0 58.214.246.30ip route-static 0.0.0.0 0.0.0.0 58.214.246.29#snmp-agentsnmp-agent local-engineid 000007DB7F0000010000336F snmp-agent sys-info version v3#user-interface con 0idle-timeout 0 0user-interface vty 0 4authentication-mode aaa#port-group 1group-member Ethernet0/0/1group-member Ethernet0/0/2group-member Ethernet0/0/3group-member Ethernet0/0/4group-member Ethernet0/0/5group-member Ethernet0/0/6group-member Ethernet0/0/7group-member Ethernet0/0/8group-member Ethernet0/0/9group-member Ethernet0/0/10group-member Ethernet0/0/11group-member Ethernet0/0/12group-member Ethernet0/0/13group-member Ethernet0/0/14group-member Ethernet0/0/15group-member Ethernet0/0/16group-member Ethernet0/0/17group-member Ethernet0/0/18group-member Ethernet0/0/19group-member Ethernet0/0/20group-member Ethernet0/0/21group-member Ethernet0/0/22group-member Ethernet0/0/23group-member Ethernet0/0/24# return。

1行为管理设备用户认证介绍1.1 用户管理用户是上网行为管理产品最核心的要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。

网康ICG提供了丰富的用户认证方式以及符合企业实际的用户管理能力，很好地满足企业对于用户的管理要求。

1.1.1用户身份信息维护管理⏹按照企业组织结构建立用户组当用户数目较多、组织结构比较复杂时，按照实际的组织结构管理用户是最有效的方式，易于管理员查询、定位和设置策略。

网康ICG支持树型结构管理用户，能够完全按照企业的实际情况建立用户组，如下图所示：图2-24按照企业组织结构管理用户⏹IP网段自动分组任何互联网行为管控和审计策略最终都将赋予到用户或用户组上，对于以IP网段划分部门的机构，如果用户数目众多或者IP分配变化频繁（如大学的院系），针对每一个用户进行单独的设置是不现实的，这些机构关心的更多的是对某一类用户进行管理，而不是特定的用户。

网康ICG可以按照网段进行分组并设置策略，属于某网段的IP会自动适用该网段的策略。

ICG支持将新入网的未注册IP自动加入到所属的IP分组中，从而自动为该IP分配预定义的管控策略。

对于那些临时来访的外来用户，管理员可以将其计算机设备统一划分在某一IP范围内，并对该IP网段分组制定相关限制性策略，大大增强了动态用户管理的灵活性。

此外，如果管理员没有预先设置IP网段，ICG可以将未注册的用户实时加入系统的未定义用户组中，管理员可以在合适的时机将其移动到已定义用户组中，从而逐步完善用户的定义。

⏹支持用户的权限组管理网康ICG支持权限组的定义和管理。

可在各级用户组织中建立“权限组”，可将任意用户添加入“权限组”中，一个用户可以同时隶属于多个权限组。

这一功能提高了用户策略管理的灵活性，在不改变原用户的组织结构的情况下，可实现对一些分散在各组中的用户进行统一策略管理。

⏹支持AD域权限组导入网康ICG可将AD域服务器中用户权限组信息导入到用户组织列表中，并自动创建相对应的权限组，可定义各权限组的互联网行为管控策略。

Netoray® NSG上网行为管理系统用户手册V6.0莱克斯科技(北京)有限公司L YX Solutions(Beijing) Inc.A1104 Jiahua Tower,#9 Shangdi No.3 StreetHaidian District, BeijingPeople's Republic of China© Copyright 2005-2010 LYX Solutions(BeiJing) Inc. The information contained herein is subject to change with-out notice. All Rights Reserved.The information contained in this document is subject to copyright protection. Any part of this document may not be reproduced, photocopied, or translated into other languages without the prior written approvals from L YX Solutions.DisclaimerThe information contained in this document is subject to change without notice.L YX SOLUTIONS MAKES NO W ARRANTY OF ANY KIND WITH REGARD TO THIS MATERIAL. L YX Solutions shall not be liable for errors contained herein or for incidental or consequential damages in connection with the furnishing, performance, or use of this material, neither as for technical or editorial errors or omissions contained herein莱克斯信息技术（北京）有限公司中华人民共和国北京市海淀区上地三街9 号嘉华大厦A1104©版权所有 2005-2010，莱克斯科技(北京)有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属莱克斯科技(北京)有限公司所有，受到有关产权及版权法保护。

上网行为管理操作手册
1、打开浏览器输入：https://10.201.24.130或者https://10.201.24.123,登陆上网行为管理设
备，如图所示：
2、提示安装插件，单击浏览器下方工具条“右键”，安装插件，如图所示：
安装插件：
点击安装完成输入用户名和密码进入主界面：
3、点击“系统配置”模块下的“序列号”选项，可以查看设备序列号：
示：
5、点击“系统配置”模块下的“系统日期和时间”选项，可设置当前日期和时间：
6、点击“系统配置”模块下的“控制台用户管理”选项，可进行设备用户管理和设置：
7、点击“系统配置”模块下的“配置备份和恢复”选项，可进行设备配置的备份和恢复：
8、点击“系统配置”模块下的“重启操作”选项，可执行设备重启和服务重启操作：
护，如图所示：
10、点击“系统配置”模块下的“自动升级”选项，可执行设备相关库的升级操作：
如图所示：
定制，如图所示：
如图所示：
点击“进入内置数据中心”：
全屏：
行为统计”操作，如图所示：
报表统计，如图所示：
还可以对报表生成条目进行定制，如图所示：
16、进入“配置导入导出”选项，可进行配置文件的备份和恢复，如图所示：
助。