深信服AC1200配置手册

《深信服AC1200配置手册》由会员分享，可在线阅读，更多相关《深信服AC1200配置手册（21页珍藏版）》请在装配图网上搜索。

1、附件五 上网行为管理AC-1200配置管理文档1. 设备名称本系统上网行为管理设备采纳深信服公司生产的AC-1200。2. 设备功能依据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的安排，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。3. 设备硬件信息3.1 AC-1200产品外形AC-1200产品外形和接口信息如图1所示。图1 AC-1200产品外形和接口信息网络连接及管理方式 AC-1200的ETH0（LAN）口通过透亮网桥的方式及核心交换机CISCO4506的GE3/1连接，加入本地局域网络。ETH2(WAN1)口及路由器CISCO2

2、821，及Internet连接。ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。 设备端口IP地址安排见表1。 本设备只供应WEB管理方式。通过网络连接到WEB管理端口，打开阅读器，在地址栏输入.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。表1 设备端口IP地址安排表接口IP地址描述ETH0 (LAN)透亮模式及核心交换G3/1连接ETH1 (DMZ)及VLAN5某端口连接（WEB管理）ETH2 (WAN1)及路由器G0/0/0连接图2 WEB登录页面4. 配置管理4.1 WEBUI界面登录后看到的是WEB管理的首页，包含左侧的功能菜

3、单栏和右侧的状态信息显示。如图3所示。图3 WEB用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。4.2.1 系统信息系统信息包含系统内的序列号和license信息，如图4所示。图4 系统信息4.2.2 管理员帐户本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限及admin相同。图5所示为管理员帐户列表。图5 管理员帐户列表如需对管理员帐户进行配置，干脆单击蓝色用户名，如需创建新管理员，单击左上角“新增”图标，即可进入创建页面。4.2.3 系统时间系统时间设置界面如图6所示。图6 系统时间设置页面4.2.4 系统升级如图7列表中所显示的，除病

4、毒库未购买升级服务，网关补丁不需购买服务外，其他服务都在2012年4月7日到期，到时可依据实际状况确定是否购买。在服务期内的项目已全部设置自动升级。图7 系统升级4.2.5 全局解除地址全局解除地址列表中的服务器网址不受监控和限制，如图8所示。本次设置未启动该项目，今后可依据实际应用自行设置。图8 全局解除地址4.3 网络配置本系统网络配置为透亮方式，ETH0(LAN)和ETH2(WAN1)之间配置网桥，Internet线路从路由器连接到WAN1口，LAN端口连接到核心交换机的VLAN 1端口，配置DMZ为管理端口，加入VLAN 5，IP地址为192.168.5.41。如图9列表所示。图9 网

5、络配置4.4 防火墙防火墙功能运用USG2220实现，此处不做配置。4.5 平安防护本设备的平安防护功能是对USG2220的部分补充。4.5.1 防DOS攻击DOS攻击（拒绝服务攻击）是通过发送大量恳求，耗尽服务器资源，使得合法恳求得不到响应。本设备防DOS攻击设置如图10所示。图10 防DOS攻击设置4.5.2 防ARP欺瞒ARP欺瞒是一种常见的内网病毒，中毒的客户端不断向内网发广播包，严峻影响局域网的通讯，甚至断网。本设备防ARP欺瞒设置如图11所示。图11 防ARP欺瞒4.5.3 网关杀毒本设备的杀毒网关未购买病毒库升级服务，病毒库为2011-03-31之前，已设置全部杀毒功能。如图12

6、所示。图12 网关杀毒配置4.6 流量管理4.6.1 虚拟线路配置这里的虚拟线路配置实际就是Internet的接入线路配置。我们配置上、下行线路带宽均为10240Kbps(10Mbps)。如图13所示。图13 虚拟线路配置4.6.2 通道配置通道配置是本设备进行网络流量管理的核心内容。通过添加不同的通道，并对他们进行网络带宽的安排，可以使符合该通道策略的应用得到带宽的保证或限制。通道配置如图14所示。图14 通道配置配置列表中的项目，除上班时间流量管理是我们这次添加的项目，其余均为系统依据实际状况已制定的通道。此次配置将全部应用启动。下面已低延时保障为例，说明配置参数。如图15和图16所示。图

7、15 低延时保障通道配置图16 低延时通道应用范围从图16可以看出，本设置适用于实时性较高的应用，如网游、股票行情和交易等。从图15可以看到，系统预留20%的带宽保证这类应用的流量需求。实际操作中，我们添加了一个命名为上班时间流量限制的通道，以此为例，讲解添加配置步骤。首先，单击图14左上角的加号“添加通道”。如图17所示，我们设置通道为限制通道，最大上、下行带宽为50%，优先级为低，并且设置单IP资源不超过50Kbps。 在通道适用范围中，我们设置为适用于全部应用，适用对象为临时人员（自动获得IP地址的人员），生效时间为工作时间，目标IP组为自动获得。如图18所示。 其中用户组“临时人员”、

8、生效时间“工作时间”（周一到周日，9：00-19：00）、目标IP组“自动获得”都是已经在对象定义和用户管理中定义好。 当带宽资源已经满负荷时，系统将保证优先级高的通道的带宽。图17 配置带宽通道设置实例图18 通道适用范围设置实例4.7 用户和上网策略4.7.1 上网策略制定上网策略的目的是保证带宽不被非公业务占用和帮助行政规定的实施。这里通过一个示例说明上网策略的配置方法。（本策略不被启动）。策略目的：在上班时间段，禁止“临时人员”、“综合管理部人员”、“财务部人员”、“公司领导”通过互联网运用“HTTP协议”、“QQ”、“淘宝”、“迅雷下载”“P2P网络视频”。策略启动后结果：上述人员在

9、周一到周日9：00-19：00，无法阅读网页，不能通过QQ闲聊，无法运用迅雷下载，无法观看P2P视频。设置步骤如下：1) 添加上网策略单击导航菜单的“用户及策略管理”“上网策略” “新增” “上网权限策略”，如图19所示。图19 添加上网策略2） 配置策略名称和信息在上网权限策略页面中，输入策略名称“办公策略”和策略信息“测试”，如图20所示。图20 配置策略名称和信息 然后单击“应用”栏下面的显示器图标，选择要配置的应用。进入图22所显示的画面。选择好应用后，单击“确定”。图22 应用选择确定后进入图23所示页面。图234）配置适用组和用户单击图23中的“适用组和用户”，选中须要禁止应用的用

10、户组，点“提交”如图24所示。图24 配置适用组和用户至此，本策略配置完成。4.7.2 用户管理在用户管理部分，已经把终端客户按部门分组添加到系统中，每个用户及一个或几个IP地址绑定，台式机用户绑定一个，笔记本用户绑定两个，领导绑定三个。图25所示为组/用户视图，左侧为用户组列表，右侧为选中用户组中的成员。图25中选中的是“公司领导”用户组，右侧显示的是改组成员名单。单击右侧列表中的详细成员名称，可以进入该用户的详细配置信息视图。在此可以对该用户进行配置。配置的内容包括用户属性（图26）和策略列表（图27）。如图26中设置用户“张先龙”绑定IP地址，图27中设置该用户应用策略“办公策略”，（该

11、策略未启动）。图25 组/用户视图图26 用户属性设置图 27 用户策略列表4.8 对象定义对象定义部分包含系统配置所用到的基础信息的定义。其中各种库资源都由系统自定义，并可从网上自动升级。本次配置我们定义了IP组（图28）和时间安排组（图29）两项内容，其他内容可依据需求再添加。图28 IP组定义图29 时间安排组定义4.9 实时状态监控实施状态中包括运行状态、平安状态、流量状态、上网行为监控和在线用户管理等功能。下面做分别介绍。4.9.1 运行状态图3所示的是系统实时运行状态概览，包含资源信息、接口吞吐率折线图、应用流量排名、用户流量排名等。此视图内容可自定义。4.9.2 平安状态本项统计

12、平安事务列表，如图30所示。图30 平安状态监控4.9.3 流量状态本项内容包括用户流量排名（图31）、应用流量排名（图32）、流量管理状态（图33）和连接监控（图34）。图31 用户流量排名图32 应用流量排名图33 流量状态管理图34 连接监控4.9.4 上网行为监控针对各个用户的上网行为的监控功能。如图35所示。图35 上网行为监控4.9.5 在线用户管理本项功能是针对在线用户进行限制管理。如图36所示。图36 在线用户管理4.10 统计报表在管理页面的任何一页，单击右上角的“内置数据中心”，将会弹出新的页面（图37），这就是内置数据中心。在这里可以查询各种历史记录和统计报表。报表以表格、柱状图和饼图等形式呈现。图38所示，历史记录报表表格。图39所示为统计报表中应用流量统计中2011年5月8日全天的各种应用的流量分布。此统计方式为饼图。报表功能运用便利，能够供应最全面的网络资源运用数据，帮助IT管理员作出决策。本文档不做更多说明。图37 内置数据中心首页图38 历史记录报表图39 应用流量统计图2018-5-4