DeepEdge标准配置手册一、登陆设备控制界面:1、使用笔记本与DeepEdge管理口直连,并配置笔记本IP地址与管理口在同一网段。DeepEdge的管理口默认为eth0口(板载电口靠左位置)。如下图所示:2、在计算机IE中输入(默认管理IP为192.168.252.1)可登陆DeepEdge的Web控制台,如下所示,默认用户名密码为admin/adminDeepEdge;如此可确认DeepEdge设备正常开机。3、进入DeepEdge控制台,点击管理关于,确认当前设备版本,默认为DeepEdge2.5SP1。二、激活产品序列号1、点击管理使用授权,点击新激活码菜单,输入下列激活码“UT-EKDM-7RFYW-4EB2X-CKJGP-5TM44-MG9KK”,如下图所示:2、点击下一步,激活序列号,并确认产品序列号时间,如果能够上网,则序列号时间会显示2020年7月29日到期,不能上网,则会显示2016年7月29日到期,能够上网之后,时间会自动调整至2020年。三、升级补丁安装1、进入DeepEdge控制台,点击管理更新,系统更新,更新相应补丁程序。主要涉及两个补丁,分别是Deepedge2.5SP2(build2047)补丁以及Patch1forSP2(build2058)。补丁下载地址为:=CH&clk=latest&clkval=4561&lang_loc=15,下载对应的Servicepack(SP1和SP2补丁,请都下载下来以备不时之需)和补丁程序(DeepEdge-25-lx64-en-sp2-patch1-b2058.tar.gz)其中更新SP2补丁需重启设备,请耐心等待。更新SP2补丁,如下图所示:2、更新patch1forSP2补丁,如下图所示:3、检查更新之后程序版本:版本号2.5.0.2058。四、设置部署模式1、进入网络部署菜单,选择接入模式,如下图所示:2、点击网络网桥菜单,点击新增,设置网桥地址信息,包括IP地址,子网掩码,网关等设置,并勾选Web控制台,ping,SSH和SNMP的访问权限。此处的网桥地址即为分行给该设备分配的地址。端口请选择eth2和eth3(即桥接地址网卡的两个端口),如下图所示:网桥口的两个口分别是eth2和eth3(左边为eth2)设置DNS,点击网络DNS,设置设备的DNS,该设置跟分行网络管理员咨询(公网有几个默认DNS分别是8.8.8.8(googleDNS),202.106.0.20(国内运营商DNS))五、配置策略(一)配置防恶意软件策略点击策略安全设置,在该菜单中可以看见入侵检测,防恶意软件,反垃圾邮件,Web信誉服务;点击防恶意软件,出现以下设置界面,建议按照以下设置配置防恶意软件,并保存设置:a)勾选“启用恶意软件安全措施”;b)高级威胁扫描(不用勾选,需要与其他设备联动才能实现)c)文件扩展名中设置允许扩展名和阻止的扩展名。允许扩展名建议保持默认。针对阻止扩展名,可根据需要设置,默认为空。(分行如果不允许通过互联网下载可执行文件,则可将exe;com等可执行文件设置为阻止类型,否则不用设置)d)扫描列表:选择全部;e)扫描优化:跳过大小为5M的文件,跳过httpmime文件类型设置保持默认即可,程序自动跳过视频,图像,音频文件的MIME文件。(二)设置反垃圾邮件策略不用启用反垃圾邮件策略。点击策略安全设置,选择反垃圾邮件,确认该功能未启用。如果用户使用该功能,则当用户访问互联网邮箱(比如126邮箱或者QQ邮箱等),这些邮件经过网关检测后,会针对垃圾邮件做标记分类,提醒用户识别垃圾邮件。(三)设置Web信誉服务策略点击策略安全设置Web信誉服务,设置Web信誉服务策略,选择“启用Web信誉服务安全措施”,安全级别设置为低。(四)设置入侵防御策略点击策略安全设置入侵防御,设置入侵防御策略,入侵防御策略在接入模式下不建议启用(影响设备性能及用户体验),因此建议不勾选该设置。(五)设置对象点击策略对象处理措施安全配置,点击新增,设置自定义安全设置,点击新增,在新增的编辑菜单中,设置新增策略:设置名称,安全功能中勾选防恶意软件,Web信誉服务2项,分别选择阻止,阻止。点击确定,保存配置。(六)设置规则点击策略规则,能够看到有一个默认规则,默认规则所有安全设置都是允许的。需要用户添加新的规则加以设置。点击新增,配置新规则:在设置新规则时,首先设置源地址,源地址范围最大为any(任何),如果只希望设置某个网段,则可选择“选定的地址”,选定地址需要用户自定义。设置目标,目标地址默认选择任何(any)设置流量类型,选择任何即可;设置时间段和处理措施,时间段选择始终,处理措施选择我们之前定义好的“互联网防病毒策略”最后点击确定,保存配置。新策略设置好之后,其优先级在缺省策略之下,需要选择该策略,点击上移,将策略移动到缺省策略之上,这样策略才会被执行。最后点击应用,保存配置修改。保存之后,配置如下所示:以下显示缺省策略被新增加的互联网防病毒策略所遮盖,可以保持默认即可。六、设备上线设备上线过程即将设备上架之后,将交换机与防火墙之间的网线拔掉,将DeepEdge设备串连在这两台设备之间。起重eth2口接交换机,eth3口接防火墙。七、设备验证设备上线后,通过以下3个步骤来验证设备运行情况:1、客户端上网:在互联网找一台客户端,访问互联网,确认互联网访问正常,上网体验没有不良影响;2、病毒网站访问测试:在客户端访问,下载测试病毒,确认测试病毒可被网关设备拦截,确认设备起作用;3、测试DeepEdge是否可正常访问,在互联网中找一台PC机,在IE中输入https://DeepEdgeIP:8443,检查是否可以出现登陆界面4、病毒码更新,进入DeepEdge控制台,点击管理更新特征码更新,确认能够检测到公网新病毒码,选择所有更新选项,点击更新,更新特征码。八、设备应急如出现设备上线后,影响用户正常上网的情况,请使用以下步骤逐步排查,恢复影响。1、添加白名单:如果个别网站被拦截,则点击策略黑白名单,在白名单中,将对应网站的URL加入到白名单列表中,点击确定,并点击应用启用该设置调整。2、取消扫描策略:如果是普遍性慢,则可将扫描策略取消,方法如下:点击策略规则,点击我们配置的防病毒扫描策略,将启用复选框取消。点击确定,然后点击应用。如此所有策略均不会进行拦截。3、设备旁路:如果以上两种方式依然存在问题,则将设备旁路下线,恢复交换机直连防火墙的设置。