搜索
深信服上网行为管理配置(ACv4.5)•硬件安装•控制台功能说明•案例分析硬件安装1.1产品外观设备出厂的默认IP见下表:硬件安装1.2单设备接线方式用标准的RJ-45以太网线将ETH0(LAN)口与内部局域网电脑连接,对AC设备进行配置。用标准的RJ-45以太网线将ETH2(WAN1)口与Internet接入设备相连接,如路由器、光纤收发器或ADSLModem等。多线路的AC设备可以支持多条Internet线路,此时将WAN2口与第二条Internet接入设备相连,WAN3口与第三条Internet线路相连,依此类推。硬件安装1.3双机备份接线方式若采用若采用AC双机热备的工作方式,按以下接线控制台功能说明2.1WebUI配置界面AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录,那么登录的URL为:首先为本机器配置一个10.251.251.X网段的IP(如配置10.251.251.100),然后在IE浏览器中输入网关的默认登陆IP及端口。出现一个证书告警框提示,点击是后出现登录界面。在登陆框输入『用户名』和『密码』,点击登录按钮即可登录AC设备进行配置,默认情况下的用户名和密码均为Admin。登录控制台不需要安装任何控件,支持用非IE的浏览器登录控制台。控制台功能说明2.1WebUI配置界面登录界面如下图所示:控制台功能说明2.1WebUI配置界面如何消除登录控制台的证书告警框?首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项』页面,点击下载证书,将证书下载到本地安装。控制台功能说明主界面控制台功能说明2.2实时状态【实时状态】主要用于查看设备的基本状态信息,包括:『运行状态』『安全状态』『流量状态』『上网行为监控』『在线用户管理』『邮件延迟审计』『DHCP运行状态』控制台功能说明2.2.1运行状态『运行状态』主要用于查看设备的资源信息,接口吞吐率折线图,应用流量排名,用户流量排名,应用流速趋势叠加图,接口信息,安全状态和上网行为监控信息。控制台功能说明2.2.1运行状态【资源信息】主要用于显示设备资源的概况,包括CPU使用率,内存使用率,磁盘使用率,设备会话数,在线用户数,无线热点数,系统时间和当天日志汇总等信息。点击可以设置是否启用自动刷新以及自动刷新的时间。控制台功能说明【接口信息】主要用于显示设备各个网口的状态,是否接线以及各个网口发送和接收实时流量。代表网口状态是已连接状态,代表网口状态是未连接状态,点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送和接收数据的情况。点击可以设置[选择时间段]来显示相应时间段接口转发数据的情况,在[选择流量单位2.2.1运行状态控制台功能说明【应用流速趋势叠加图】主要用于动态显示各个应用流速趋势叠加,不同的应用用不同的颜色显示。点击可以在[选择流量单位]设置显示的流速单位,在[选择线路]选择显示所有线路,线路1或者线路2等,在[流速类型]设置显示的是总流速,上行或者下行。2.2.1运行状态控制台功能说明【应用流量排名】用于显示前十名的应用排名情况,可以根据上下行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比,选中下行则显示下行流量的百分比。点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【用户流量排名】用于显示前十名的用户流量排名情况,可以根据上下行流量和总流量来排名,界面如下:选中上行则显示上行流量的百分比,选中下行则显示下行流量的百分比。点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【上网行为监控】主要用于显示实时的用户上网行为。点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明【安全状态】主要用于显示设备检测到不的行为点击可以设置自动刷新的时间。2.2.1运行状态控制台功能说明『安全状态』主要用于显示设备检测到不安全的行为分别有[病毒行为]、[DOS和ARP攻击]、[端口扫描]、[异常外发邮件(频繁外发)]、[标准端口异常流量]、[协议异常]、[恶意脚本]、[拦截插件]、[恶意网址]、[不受信任的ssl网站访问]、[组织外线路],会列出发生总数量,还有最后发生的时间,和最后发生的用户/IP,以及最近发生的10条不安全日志及详细事件信息。点击发生次数中的数值可以自动链接到数据中心,查看到对应的详细日志。2.2.2安全状态控制台功能说明『流量状态』主要用于显示设备的在线用户的流量信息、各个应用的流量信息、流量管理的通道状态信息和连接监控等信息。『上网行为监控』主要用于查看最近产生的用户上网行为。2.2.3流量状态、上网行为监控控制台功能说明『在线用户管理』主要用于管理已经通过设备认证的在线用户。『邮件延迟审计』主要用于查看被延迟审计的邮件以及对其进行相关操作,前提是『用户与策略管理』里有用户启用了邮件延迟审计的功能。界面如下:『DHCP运行状态』主要用于查看DHCP的分配情况,前提『DHCP』已经进行了相关启用的配置,界面如下:2.2.4在线用户管理、邮件延迟审计、DHCP运行状态控制台功能说明『对象定义』中定义的各种对象是设备做上网行为过滤、上网行为审计和流量管理的基础,各种控制和审计都是基于对象来做的。对象定义中包括:『应用特征识别库』、『应用智能识别库』、『自定义应用』、『URL分类库』、『准入规则库』、『网络服务』、『IP组』、『时间计划组』、『黑白名单组』、『关键字组』、『文件类型组』、『上网权限策略』、『信任的证书颁发机构』2.3对象定义控制台功能说明『用户与策略管理』的作用是管理用户和上网策略。用户与策略管理包括【上网策略】【用户管理】【用户认证】2.4用户与策略管理控制台功能说明『上网策略』页面用于对进行管理,管理员可以根据内户的权限分配情况设置不同的上网策略。上网策略分六种类型,其中包括『上网权限策略』『上网审计策略』『上网安全策略』『终端提醒策略』『流量配额与时长控制』『准入策略』2.4.1上网策略控制台功能说明『上网权限策略』包括应用控制、WEB过滤、SSL管理和邮件过滤。2.4.1.1上网权限策略控制台功能说明『上网审计策略』包括应用审计、外发文件告警、流量与上网时长审计和网页内容审计。2.4.1.2上网审计策略控制台功能说明『上网安全策略』包括危险行为识别、ActiveX插件过滤、恶意网页过滤和安全桌面。2.4.1.3上网权限策略控制台功能说明『终端提醒策略』包括上网时长提醒、上网流量提醒和公告页面。2.4.1.4终端提醒策略控制台功能说明『流量配额与时长控制』包括流量配额、上网时长控制和并发连接数控制。2.4.1.5流量配额与时长控制控制台功能说明『准入策略』包括准入策略、组织外线路检测和应用程序时长统计。2.4.1.6准入策略返回控制台功能说明上网行为管理设备所管理的对象是终端的上网用户,因此用户是网络权限分配的基本单元。管理员可以通过【组/用户】页面来对上网用户以及上网权限进行统一管理。用户管理包括【组/用户】【用户导入】【用户自动同步】2.4.2用户管理控制台功能说明『组/用户』页面可查看设备中已经存在的用户和组信息,在【组织结构】中选择需要查看的用户组,右边的【组织成员及上网策略设置】页面显示对应用户组的信息,包括:所属组、描述信息、组信息、上网策略等信息。2.4.2.1组/用户控制台功能说明第一步:在【组织结构】中选择需要添加子组的用户组,右边进入管理页面,在【成员管理】窗口中,点击新增按钮,然后选择新增类型[组]第二步:进入【添加组】窗口。设置[组名列表]即用户组的名称;设置[描述]即用户组的描述信息。点击[添加策略],可以添加该组策略。第三步:点击[提交],完成子组添加2.4.2.1.1新建用户组控制台功能说明第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。第二步:点击添加策略,在【添加策略】中选择需要关联的上网策略工程师上网策略,勾选[递归应用于子组]表示添加的策略同时也会关联给子组,不勾选则表示子组不会添加该策略。设置完成后点击确定。第三步:返回【策略列表】页面,查看用户组关联的。2.4.2.1.2设置用户组的上网策略控制台功能说明举例:在“/工程师”组设置一个用户:主管,此用户不需要认证,并且将此用户和主管电脑的IP/MAC进行双向绑定,即只有主管的电脑才可以使用此账号上网。主管电脑的IP/MAC是:192.168.1.117(00-1C-25-AC-4C-44)。步聚:第一步:在『用户认证』→『认证策略』中设置认证策略,设置此用户的IP或者MAC范围,勾选认证方式为[不需要认证/单点登录]。2.4.2.1.3新增用户控制台功能说明第二步:在【组织结构】中选择需要添加用户的用户组,右边进入管理页面,在【成员管理】窗口中,点击新增按钮,然后选择新增类型[用户]第三步:进入【添加用户】窗口。勾选[启用该用户],填写[登录名],[描述],[显示名]和[当前所属组]。2.4.2.1.3新增用户控制台功能说明第四步:设置『用户属性』,勾选[绑定IP/MAC地址]用于将该用户和IP/MAC地址绑定。点击[绑定方式],在弹出的页面中选择[用户和地址双向绑定]勾选[绑定IP和MAC],在输入框中填入192.168.1.117(00-1C-25-AC-4C-44)。[过期时间]用于设置该用户的过期时间。2.4.2.1.3新增用户控制台功能说明第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在弹出的【添加策略】页面选择需要关联的策略。第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面,但客户端的现象是上不了网。2.4.2.1.3新增用户控制台功能说明『用户导入』用于把用户批量导入,它提供三种方式:『CSV格式文件导入』:是通过一个CSV的文件导入用户,导入时可以同时导入显示名、认证方式、绑定IP/MAC信息、密码等。『扫描IP导入』:当导入IP/MAC绑定的用户时,可以通过[扫描IP导入]扫描内网用户的MAC地址,方便此类用户的导入。『从外部LADP服务器上导入用户』:用于将LDAP服务器中的用户同步到设备中,支持从MSActiveDiretory服务器上导入用户。2.4.2.2用户导入控制台功能说明用户自动同步可使用三种不同的同步方法:LDAP同步、数据库同步、H3CCAMS同步要使用同步必须在『用户认证』→『外部认证服务器』增加所需要的同步服务器。2.4.2.3用户自动同步返回控制台功能说明『用户认证』用于设置用户认证的相关设置,包括『认证策略』、『认证选项』、『外部认证服务器』。所有计算机上网前,都必须经过用户认证,以识别上网计算机的身份『认证策略』决定了某个IP/网段/MAC地址上计算机的认证方式。通过『认证策略』设置内网用户的认证方式,以及新用户添加的策略。。有以下选项:1、不需要认证;2、密码认证(包括本地密码认证和外部服务器认证);3、单点登录;4、DKEY『认证选项设置』主要是用来设置设备上用户认证的相关配置信息,包括『单点登录选项』、『认证通过跳转』、『认证冲突』、『跨三层MAC识别』『其他认证选项』。『外部认证服务器』用来设置第三方认证服务器的信息,设备支持定义LDAP,RADIUS,POP3、数据库、H3CCAMS五种第三方认证服务器。2.4.3用户认证控制台功能说明2.5流量管理流量管理是通过建立流量管理通道对各种上网应用的流量大小进行控制。流量管理系统提供了带宽保证和带宽限制功能,通过带宽保证可以保证重要应用的访问带宽,通过