深信服上网行为管理管理员手册v

■版权声明

深信服上网行为管理-管理员手册

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。目录

第2章系统管理..........................................................................................................................

2.1设备登录...............................................................................................................................

2.2管理员配置........................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... . (7)

2.3系统基本信息配置............................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... .......................................................................................................................................

...............

第3章网络配置..........................................................................................................................

3.1部署模式...............................................................................................................................

3.2静态路由............................................................................................................................... 第4章策略管理..........................................................................................................................

4.1用户认证与管理................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... .............. . ....................................................................................................................................... ............... ....................................................................................................................................... ...............

4.2策略管理...............................................................................................................................

4.2.1购物娱乐类网站............................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ...............

4.3流量管理............................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ...............

4.4终端接入管理....................................................................................................................... ....................................................................................................................................... ...............

第5章日志中心管

理..................................................................................................................

5.1日志中心配置....................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ...............

5.2日志中心登录....................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ...............

5.3日志查询............................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... .. (65)

....................................................................................................................................... ...............

5.3流量时长分析.......................................................................................................................

5.4报表中心...............................................................................................................................

5.5系统管理............................................................................................................................... 第1章前言

本手册用于讲解AC常见功能操作方法，为管理员提供日常策略维护指导。

第2章系统管理

2.1设备登录

首先确保本机从网络可以访问到设备管理IP地址，然后在浏览器中输入网关的

IP及。出现一个如下图的安全提示：.x.x.254端口．

点击<继续浏览此网站(不推荐)>后出现以下的登录界面：

在登陆框输入【用户名】和【密码】，点击<登录>按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为admin。

如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:登录后检测为

弱密码则提示修改密码，则会弹出如下提示：

如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示：

弱密码修改:

2.2管理员配置

在【系统管理】-【系统配置】-【管理员账户】页面，可修改admin管理员密码、删除管理员账号以及创建二级管理员。

管理员账户页面找到admin管理员，直接点击<编辑>，输入旧密码，并设置新密码即可修改admin账号的密码信息。

注：admin账号只可修改密码，不可删除。

2.2.2创建二级管理员

在管理员账户页面，点击<新增>可以创建二级管理员。

设备确实管理员角色有两种：

administrator：内置的角色，该角色的管理员自动拥有管理整个组织结构的管辖范围，并且还能够添加删除管理员帐户。

common：系统缺省创建的角色，可通过角色管理添加或者删除角色，该角色可设置管理员可以管理的组织结构范围。

如果选择管理员角色为common，在<组织结构权限设置>处，可以设置该管理员可以管理的组织结构范围。

>处，可设置该管理员可以查看或编辑的控制台页面。页面权限设置在<系统基本信息配置2.3 序列号2.3.1 【序列号】页面，可以查看设备当前的授权信息。-【系统配置】-在【系统管理】．

序列号一般在出厂时已设置好，正常使用过程中无需修改，只有当设备相关服务到期时，才需要修改相关序列号。

2.3.2系统时间

【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR设备的系统时间。可以直接在界面上修改时间，也可以选择与[时间服务器]进行时间的同步。注：设备日志记录的时间与系统时间相关，请注意确保设备系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿工作时间操作。

2.3.3规则库升级

【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态，请确保设备管理IP能够访问互联网，以便设备自动更新规则库。

2.3.4全局排除地址

【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP不受任何监控和控制，直接放行。排除地址支持填写IPV4地址、IPV6地址、域名。

点击<自定义排除地址>页面的<添加>，在文本框内输入需要排除的IP或域名即可。

2.3.5设备配置备份与恢复

【配置备份与恢复】用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。

2.3.6WEBUI选项

【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数，如默认编码、控制登录端口、超时时间等。

2.3.7远程维护

【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允许从外网口远程登录设备，以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。

<启用远程维护>用于设置是否允许从外网口远程登录设备，勾选此项的同时，设备的WAN口自动开启允许ping，平时一般建议关闭该选项。

第3章网络配置

3.1部署模式

AC设备支持路由模式、网桥模式、旁路模式三种部署模式。

路由模式:一般用于没有防火墙的中小客户。设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；

网桥模式：可以把设备视为一条带过滤功能的网线使用，可不更改原有网络拓扑结构的情况下平滑架到网络中。目前在客户中使用最多的部署模式；

旁路模式：仅做旁路审计，需要交换机做镜像至AC。

本例以网桥模式部署为案例，配置需求及步骤如下：

需求：目前网络已部署防火墙设备IP地址为/24，AC网桥部署在防火墙和核心交换机之间，

1.通过【系统管理】-【网络配置】-【部署模式】进入配置界面，点击<开始配置>，选择<网桥模式>。

2.点击<下一步>，选择网桥的网口。本案例采用ETH0和ETH2作为一对网桥口，ETH0作为LAN区网口，ETH2作为WAN区网口。

3.点击<下一步>，设置AC设备的网桥IP：

4.点击<下一步>，设置DMZ管理口的IP地址，可保持默认配置：

：DNS，设置设备上网的网关和>下一步<点击5.

6.点击<下一步>，确认和提交配置：

注：点击<提交>后，设备会自动重启，重启时间一般为1-5分钟，请勿在工作时间修改设备部署模式配置。

3.2静态路由

1.通过【系统管理】-【网络配置】-【静态路由】进入配置界面。

2.点击<新增>，设置需要添加的路由目的地址、子网掩码，下一跳指向核心交换机。

3.点击<提交>完成配置，如果有多个网段，可添加多条路由。

第4章策略管理

4.1用户认证与管理

4.1.1用户组管理

为了便于区分员工角色进行策略管理，我们可以将上网用户进行分组管理，【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地方。在该页面<组织结构>下选择指定组，可在该组下创建用户以及用户组，在右边<成员列表>点击<新增>，选择新增类型<组>

定义组名，如“市场部”，点击提交即可，该组适用的上网策略，可在后面策略管理时指定。

4.1.2认证策略

【认证策略】决定了某个IP/网段/MAC地址上计算机的认证方式。通过【认证策略】设置内网用户的认证方式，以及新用户添加的策略。

认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。

认证策略可以指定的认证方式有不需要认证、密码认证、单点登录、不允许认证4种，根据不同的认证策略可实现不同的用户认证需求。

4.1.3不需要认证

在认证策略页面点击<新增>

设置该策略适用的范围后点击<下一步>，适用范围可以是IP、MAC、IP段以及子网。

选择认证方式为<不需要认证>，继续点击<下一步>

选择用户以组织结构中那个组的身份上线后点击<提交>即可。

4.1.4IP/MAC绑定

二层环境

1．与不需要认证用户设置方法相同，但<认证后处理>方式需勾选<自动录入绑定关系>-<自动录入IP和MAC的绑定关系>选项

2．用户上网后，在【用户认证与管理】-【用户管理】-【IP/MAC绑定】页面可以看到系统自动绑定了终端第一次上网的IP和MAC信息，在该页面可对相关信息进行添加、删除和修改操作。

三层环境

三层环境下，由于内网用户经过三层交换机后，MAC地址会被三层交换机替换掉，因此还需要在核心交换机上开启SNMP服务，以支持AC跨三层环境下的IP/MAC 绑定。

1.在核心交换机上开启SNMP服务。

华为交换机的配置命令：

system_view

snmp-agentcommunityreadpublic；其中public为三层交换机的Community snmp-agentsys-infoversionall；其中all表示所有版本

思科交换机的配置命令：

configterminal进入全局配置状态

CDP

启用Cdprun

snmp-servercommunitypublicro其中public为三层交换机的Community snmp-serverenabletraps允许设备将所有类型SNMPTrap发送出去

注：三层交换机需启用SNMP协议，AC作为SNMP客户端通过SNMP读取交换机，只支持SNMPv1,v2,v2c,不支持v3。

2.在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】页面，开启跨三层MAC识别功能。

可以新增多个SNMP服务器，如果内网存在多个三层交换机，则每个三层交换机的SNMP选项均需要开启，如下图

点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC，有返回结

果则能正常获取，如下图

完成新增SNMP服务器后，可以查看配置的所有交换机当前snmp获取的结果，如下图

接下来，需要配置排除核心交换机的MAC地址，如下图。

实际使用时，可开启设备自动识别三层交换机的MAC，并自动添加到MAC地址排除列表，如下图

启用“自动添加排除”，定义10分钟内同一个IP对应的MAC地址记录数，推荐配置5。当同一个MAC达到设置条件时，AC认为是三层交换机的MAC地址，自动将其排除。

3.与二次环境一样，设置认证策略，<认证后处理>选择自动录入IP和MAC的绑定关系。

4.1.5不允许认证

认证方式设置为<不允许认证>的网段，将无法通过设备访问任何网络。

在认证策略页面点击<新增>

设置该策略适用的范围后点击<下一步>

直接点击<提交>即可。

4.2策略管理

【策略管理】模块设置的策略主要包含封堵、审计等策略，以下分别以案例的形式介绍一些常见的策略设置方式。

4.2.1购物娱乐类网站

需求：禁止全公司上班时间访问购物、娱乐类网站。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。

点击应用下方的，进入【选择应用】窗口。 3.4.展开应用“访问网站”，选择“网上购物”和“娱乐”

5.点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成网上购物和娱乐类网站拒绝设置。

6.选择<适用对象>选项，进行策略与用户/组关联，勾选“所有用户”，即可关联全网用户。

7.点击提交按钮，完成整个策略设置。

4.2.2P2P及P2P流媒体封堵

需求：禁止市场部门用户及其所有子组在上班时间使用P2P和P2P流媒体。1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。．点击应用下方的，进入【选择应用】窗口。

3.

4.选择应用“P2P”和“P2P流媒体”

5.点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成P2P和P2P流媒体应用拒绝设置。

6.选择<适用对象>选项，进行策略与用户/组关联。

7.点击提交按钮，完成整个策略设置。

4.2.3外发文件封堵

需求：为了避免公司重要资料通过网络外泄，禁止研发和财务部门一切外发行为。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。

2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。

点击应用下方的，进入【选择应用】窗口。3.

4.选择左侧应用标签“外发文件泄密风险”。

5.点击确定按钮。回到应用控制页面。生效时间选择全天，动作选择为拒绝。点击确定按钮，完成外发文件封堵设置。

6.选择<适用对象>选项，选择“研发部”和“财务部”。

7.点击提交按钮，完成整个策略设置。

4.2.4上网审计

需求：对内网所有用户开启审计，审计所有网络行为。

1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击<新增>按钮，选择上网审计策略，进入【上网审计策略】界面。填写策略名称，描述信息。

2.勾选<策略设置>-<应用审计>，右边进入<应用审计>编辑窗口。点击<添加>，进入添加审计对象页面。

点击审计对象下方的按钮，进入<选择审计对象>3.编辑窗口。选择需要开启的审计记录，设置审计访问网站的URL。选择<生效时间>为上班时间。

注：不建议开启未识别的网络应用日志，该日志类似防火墙日志，对上网行为管理审计来说意义不大。

4.选择适用的对象，这个需求选择<所有用户>即可：

5.点击<提交>按钮，完成整个策略。

4.3流量管理

【流量管理】支持保证和限制通道两种形式，分别用于针对重要应用的流量保障和大流量应用的带宽限制，

4.3.1线路带宽配置

设置流量管理配置前，需要先根据出口互联网带宽设置带宽参数。

点击对应的线路名称即可编辑带宽参数，如下图设置线路1上行4Mbps，下行100Mbps

4.3.2保证通道

需求：针对HTTP访问网站、DNS、视频会议保证上行2Mbps，下行20Mbps，以确保网络繁忙时这些应用能优先处理。

1.【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。

2.选则<保证通道>，设置上行带宽保证2Mbps，下行带宽保证20Mbps，优先级高。。>通道使用范围<点击

3.，点击进入按钮，进入<自定义适用服务与应用>编适用应用选择<自定义>辑窗口。

4.选择应用访问网站、DNS、网络会议，点击<确认>。

5.点击<确定>按钮，完成整个策略。

4.3.3限制通道

需求：针对普通员工，限制整个组的P2P和P2P流媒体上行不超过1Mbps，下行不超过10Mbps，单用户最大上行500Kbps，下行1Mbps，以避免普通员工P2P下载占满带宽，应用其他正常办公业务。

1.【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。

2.选择<限制通道>，设置上行带宽最大1Mbps，下行带宽最大10Mbps。

3.勾选<启用单IP最大带宽>，设置上行500kbps，下行1Mbps。

4.点击<通道使用范围>。

，点击进入按钮，进入<自定义>自定义适用服务与应用>5.适用应用选择< 编辑窗口。 >。选择应用6.P2P、P2P流媒体，点击<确认，点击进入按钮，进入<

自定义适用对象><7.适用对象选择自定义>编辑窗口。

8.选择<本地用户>-<普通员工>组，点击<确定>。

9.点击<确定>按钮，完成整个策略。

4.4终端接入管理

4.4.1共享接入管理

需求：用户内网存在大量电脑，移动终端共享热点，需要封堵电脑和移动用户的通过代理方式上网的行为。配置步骤如下：

1.【终端接入管理】-【共享接入管理】，右边进入【共享接入管理】的配置页面。勾选启用共享接入检测，如下图所示：

2.在【共享接入管理】页面，点击<编辑配置选项>，如下图所示：

<统计方式>选择“统计所有终端”，可识别PC与PC、PC与移动终端，移动终端与移动终端之间的共享。

<冻结选项>选择<冻结IP地址>，一个IP地址只允许一个用户上线。

3.【终端接入管理】-【共享接入管理】，右边进入【信任列表】的配置页面，对不需要开启代理检测的用户、用户组或IP地址，添加到信任列表。如下图所示：注：共享终端管理存在一定误判几率，建议可先开启检测不冻结运行一段时间后，确认误判率比较低后，再开启冻结。

第5章日志中心管理

日志中心配置5.1．

AC设备出厂时一般自带了500G的硬盘，如果您需要存储的日志较少，可直接使用内置日志中心。如果您需要保存的日志时间较长，由于设备内置存储的硬盘容量有限，并且设备日志查询和报表统计会消耗一定设备的性能，建议安装外置日志中心，设备会将相关日志同步到外置数据中心。

5.1.1准备工作

1、2008及之后的服务器操作系统，并且系统要求是64位操作系统。（请根据内置日志中心每天日志量合理评估服务器的存储空间，NTFS格式）

注：每天日志量超过20G，服务器配置选型请咨询深信服技术支持工程师。

2、数据中心安装包，请登录深信服官网下载相应的数据中心版本：

注：中文安装包支持在简体中文和繁体中文操作系统上运行，英文安装包仅支持在英文操作系统上运行。

3、日志中心服务器和AC之间需开放TCP810，以供数据同步。

4、日志中心服务器需开放443端口（可修改），以供外置日志中心登录。

5.1.2外置日志中心安装过程

从深信服网站上下载DataCenterSetup_11.0.exe安装程序，双击DataCenterSetup_11.0.exe程序，即出现程序安装向导，界面如下图所示：

点击<下一步>，选择是否同意许可协议，勾选<我愿意接受此协议>，即可点击<下一步>，继续安装，界面如下图所示：

点击<下一步>，弹出如下界面：

这一步用于设置程序安装目录、日志存放目录以及附件的存放目录：

点击<下一步>，弹出如下界面：

设置好Web服务端口，点击<下一步>，弹出如下界面：设置磁盘预警。请提供足够的磁盘空间用于存放期望的日志量。

点击<下一步>：设置是否开启磁盘异常告警和数据中心异常告警

点击<下一步>，设置预警邮件的发送和接收邮件地址：

点击<下一步>，安装程序会弹出详细的配置信息，界面如下图所示：

如果确认这些信息无误，则点击安装，此时程序将自动安装，整个安装过程可

能会占用您2-3分钟，请耐心等待。安装完成后，会出现如下界面：

点击完成，即完成了数据中心的整个安装过程。

5.1.3日志中心登录

日志中心安装过程中如果采用默认端口443，则日志中心的访问地址访问地址是：https://服务器IP地址https

登陆界面如下：在登录框中输入<用户名>和<密码>，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。

5.1.4同步策略设置

在日志中心【系统管理】-【系统配置】-【同步策略】创建同步策略，用于设置数据中心与网关同步日志的策略。如下图所示：

点击<新建>，新建同步策略：

<同步策略名>：同步策略名可以自定义设置，但是需与AC网关的数据中心同步配置的同步账号一致。

<接入密钥>：接入密钥也需与AC网关的数据中心同步配置的同步密钥保持一致。<描述>：设置同步策略的描述信息。

<同步选项>：设置从哪天的日志开始同步。

<选择需要同步的日志>：勾选需要同步到外置数据中心的日志类型。

点击提交，生效和保存配置。

5.1.5AC同步配置

在AC管理界面【系统管理】-【系统配置】-【日志中心配置】新增同步配置，根据外置日志中心设置的IP地址、同步策略名和密钥设置同步。

写入外置日志中心IP地址后，设备会自动发现日志中心创建的同步策略，选择之前定义的同步策略即可。

5.2日志中心登录

5.2.1内置日志中心登录

内置日志中心的登录接口在设备控制台页面右上角，点击即可进入内置日志中心。

5.2.2外置日志中心登录

日志中心安装过程中如果采用SSL加密方式登录，默认端口443，日志中心的访问地址为：https://服务器IP地址，如果服务器IP为，则访问地址为https

在登录框中输入用户名和密码，点击登录按钮即可登录数据中心的查询页面，默

认情况下的用户名和密码均为admin。

内置日志中心和外置日志中心登录后的界面基本相同。

5.3日志查询

5.3.1所有行为日志

用于查询用户或用户组的所有行为日志，步骤如下：

设置查询条件1.

2.选择需要查询的日期范围，需要查询的用户/组、应用，如果需要针对IP地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP 地址的所有上网日志。

4.点击每条记录最后面的<详情>，可查看这条日志的详细信息。

5.3.2网站访问日志

用于查询用户或用户组的网站访问日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组、网站分类，如果需要针对IP 地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP 地址的所有网站访问日志。

访问网站日志可以根据URL中的关键字进行搜索。

5.3.3邮件收发日志

用于查询用户或用户组的邮件日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组、邮件类别，如果需要针对IP 地址查询，可点击<显示高级选项>

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP 地址的所有邮件收发日志。

5.3.4发帖/发微博日志

用于查询用户或用户组的发帖和发微博日志，步骤如下：

1.设置查询条件

2.选择需要查询的日期范围，需要查询的用户/组，外发方式是发帖还是发微博，如果>

显示高级选项<地址查询，可点击IP需要针对．

3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP 地址的所有发帖和发微博日志。

如果希望根据发帖内容反查用户，可使用关键字搜索发帖纪录。

在发帖或微博内容选取一段做为关键字查询条件，点击<查询>即可。

5.3.5其他日志

AC设备还提供了外发文件、即时通讯、搜索关键字、终端接入日志、安全日志等日志可查询，查询方式基本类似不再赘述。

5.3.6日志导出

AC设备所有查询日志都可以导出为excel格式的表格以供二次分析，导出接口在界面右上角<导出日志>按钮。

点击<导出日志>后，点击下载即可。

5.3流量时长分析

流量时长分析用于流量分析和时长分析，流量分析可统计应用流量排行、网站分类流量排行、域名流量排行、应用流速趋势、流控通道趋势、网站分类流速趋势；时长分析可统计应用时长排行、网站分类时长排行和域名时长排行，所有统计出来的信息均可以pdf格式导出，以供汇报使用。

如应用流量排行，可根据用户、用户组、终端类型、位置、应用进行流量统计。在右边的统计选项设置需要统计的TOPN以及统计的依据和时间范围，即可生成相关的统计报表。

5.4报表中心

报表中心包括【报表收藏】和【报表订阅】两部分。分别用于管理和个性化定义报表寄报表内容。

报表收藏用于管理通过流量时长分析（流量分析、时长分析)、用户行为分析（用户行为分析、网站分类分析、单用户分析）、终端接入分析（终端接入分析、终端接入安全）三个模块收藏的报表。

Webui：报表中心>收藏>报表收藏

报表收藏分为名称、页面、编辑、删除四列，界面如下：

报表订阅用于管理内置分析报表和自定义报表模板，设置此报表生成后自动发送的邮箱地址，帮助管理员管理报表。

5.5系统管理

【系统管理】用于查看数据中心的系统状态、管理同步账号、登录数据中心的用户、系统参数设置、导入导出日志等。

可通过【磁盘空间】查看当前日志中心磁盘剩余空间以及已存储的日志量。．

上网行为管理路由器配置-网络配置篇

上网行为管理路由器配置-网络配置篇 一、配置您的计算机网络设置 1、打开路由器的电源开关，等待片刻，当路由器前面板的灯匀速闪烁后，表示路由器 已经进入工作状态，可以接受配置。 2、请正确配置计算机的网络配置，并加载TCP/IP协议。 3、由于路由器默认带有DHCP服务，您的计算机会自动获取192.168.0.2-192.168.0.254 之间的IP地址，子网掩码为255.255.255.0，网关为192.168.0.1。 4、单击计算机的“开始菜单”→“运行”，在运行中输入cmd，可以使用下面的命令来 检查您的计算机和本产品是否正常连通。如图1-1所示： 图1-1 测试连通性 如果出现以上显示，表示网络连接正确，可以进行下一步的操作，如果屏幕提示为：Pinging 192.168.1.1 with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out 说明设备未正确的安装，可以按照下面的步骤进行检查： 1、设备的物理连接是否正确？ 与计算机网卡相连的双绞线的另一端必须接路由器内网口并且网线两段的网 络接口的指示灯必须正常点亮。 2、计算机的TCP/IP协议是否设置正确？ 您的计算机IP 地址必须为192.168.0.* （*的范围2—254），子网掩码为 255.255.255.0（即在同一网段）。 二、登录界面： 将路由器LAN 口与计算机连接好后，计算机会自动获取到192.168.1.1/24 段地址，在浏览器的地址栏中输入192.168.1.1 后，出现用户名和密码对话框，路由器配置默认的用户名和密码都是admin，然后点击“确定”按钮，即进人路由器配置界面，如图1-2 所示：

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册 深信服电子科技有限公司

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。

上网行为管理方案最新版本

上网行为管理方案 (员工上网控制) 构建安全、稳定、高效的企业网络行业背景分析 CNNIC最新数据表明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提高工作效率，进行实时沟通的有力保证和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。 据美国科技调查机构IDC的调查指出：企业员工大约30％～40％对网络的使用是跟工作无关的。中国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。 如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。 行业网络需求分析 多线高速接入 因为拨号接入方式比专线、光纤便宜很多，一般企业多采用ADSL这类的宽带接入。随着网络的应用越来越多，管理难度越来越大，很多企业一条宽带不够，再增加一条宽带；两条条宽带不够，再增加两条宽带。但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。 因此企业需要多路宽带接入，特别是在业务范围覆盖全国的企业，还需要电信、联通线路的同时接入访问，消除跨网互通的问题。 网络带宽管理 一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无节制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到保障，企业大量投资的宽带网络速度一天

深信服上网行为管理部署方式及功能实现配置说明.

深信服上网行为管理部署方式及功能实现配置说明（标化院） 设备出厂的默认IP见下表： 接口IP地址 ETH0（LAN）10.251.251.251/24 ETH1（DMZ）10.252.252.252/24 ETH2（W AN1）200.200.20.61/24 AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。 『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能； 网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能； 旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且

可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。 路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。 配置方法： 第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现以下页面：配置设备模式为路由模式，点击下一步

上网行为管理技术方案4.doc

上网行为管理技术方案4 （1）项目目标 建立信息安全等级保护体系，增强网络接入准入认证，对上网行为进行管理。增强网络及电脑等终端设备安全性，防止信息泄露，病毒感染。 为了实现实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅实现功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，故需要一套管理平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。管理平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。 可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。 互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为，而如果又没有证据，无法找到直接责任人，IT部门将成为该事件压力的承担者。本项目

需要事先帮助管理员实现基于内容的外发信息过滤，管控文件、邮件发送行为，对网络中的异常流量、用户异常行为及时发起告警，更有数据中心保留相关日志，风险智能报表发现潜在的泄密用户，实现“事前预防、事发拦截、事后追查”。 并保证安全可靠，保证环保及其他上传数据安全稳定运行，不会因此系统原因造成中断。 （2）项目范围 本次招标范围限于***************。 本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。 投标方的主要工作范围如下： 1.硬件设备安装调试 1)负责信息设备的拆箱及上架工作。 2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。 3)负责网络设备的配置调试工作，达到可以正常稳定运行条件。 4)负责项目的具体实施工作。 2.实施测试 1) 负责网络设备及网络使用等相关配置和故障测试等工

深信服上网行为管理

深信服上网行为管理 深信服AC系列产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服上网行为管理产品拥有领先的网络行为识别能力，产品内置业界最大的应用识别库，可对多达500多种互联网应用软件进行管控；基于统计学的P2P智能识别技术，可实现对加密的、新版本甚至未知版本的P2P应用进行识别，为彻底管控P2P应用提供了技术保证。 基于8年多来公司在网络核心技术领域的长期积累，以及充分优化的系统架构、高性能的硬件平台，深信服上网行为管理产品的性能遥遥领先于其他同类产品，可管控5万人以上的大型网络。 目前，在中国上网行为管理的高端市场中，深信服AC产品拥有着极高的占有率，6000多家客户中有2000多家属于中高端客户。深信服上网行为管理产品获得了包括国资委监事会、卫生部卫生监督中心、北海舰队、招商局集团、招商银行、中国银行、中银保险、华夏基金、中国南方航空、广州丰田、东风日产、四川长虹、中粮集团等大型知名用户的认同，是上网行为管理市场当之无愧的第一品牌。 产品功能 1、上网行为控制，规范员工上网行为，提高工作效率

多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；独特的WEB认证、基于浏览器实现方便的用户识别和认证；网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。 独有的网络访问准入系统，只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁； 2、强大的监控和审计，保护内部数据安全、防止机密信息泄露 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；特有的邮件延迟审计技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄露；同时具有独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录； 3、流量控制和带宽管理，优化带宽资源的使用 多线路复用和智能选路技术，提升出口带宽，流量负载分担，智能选择最优上网线路。对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户（组）、应用类别、时间段等进行带宽分配； 4、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

网络安全等级保护-联合大学上网行为管理集中管控方案

联合大学 网络安全等级保护上网行为集中管控解 决方案

目录 第1章概述——需求分析 (1) 第2章深信服解决方案 (1) 2.1组网拓扑 (2) 第3章方案价值 (3) 3.1控制功能：细致的访问控制，有效管理用户上网 (3) 3.2带宽及流量管理功能：强大流量分析及带宽划分与分配 (4) 3.3方便高效的集中管理 (4) 3.3.1集中管理 (4) 3.3.2实时监控 (5) 3.3.3智能升级 (5) 第4章典型客户 (5)

第1章概述——需求分析 随着互联网行业的逐渐发展，网络已经发展成为联合大学不可或缺的办公依托，然而校园网内用户肆意的上网行为也带来挑战。网络中心的监管压力，内部的管理压力，这一切都要求联合大学对各个分校区的互联网进行有效的管理，具体问题如下： 1）大量的非业务资源的访问（P2P/BT/在线影音）、超大文件的传输、上传、下载吞噬出口带宽资源，造成关键业务应用访问速度严重降低，带宽出口的瓶颈日益显现出来。 2）互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，如何在日常工作中过滤这些不良网页，为学校创造一个健康的绿色的网络环境。 3）网络的开放性给网民带来更多的言论自由，但互联网上部分不负责任人士发表一些类似色情、反动、迷信或者暴力的信息，影响其他人士，造成了不必要的影响。 第2章深信服解决方案 充分考虑联合大学的实际网络状况，建议采用上网行为管理的集中部署解决方案。 上网行为管理策略： 1）通过强大的流量管理系统轻实现基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制，进行带宽划分和分配，实现带宽资源利用率的最大化。 2）内置千万级URL库，具备URL智能识别功能，对反人类、反政府、色情、赌博、毒品等包含不良信息的网页进行过滤。 3）可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站，可设置看帖看不允许发帖，或者实行发帖关键字过滤，避免发表不良言论给学校带来法律追究责任的风险。 4）对所有日志进行报表呈现、数据分析，做到全网网络的透明化管理。 整套网络由联合大学总部及4个分校区组成，由总部集中管理设备实现统一管理： 1）方便快速部署：通过总部的集中管理平台，实现对各校区上网行为管理的配置、选

上网行为管理_深信服上网行为管理解决方案模版

上网行为管理方案建议书

目录 第1章需求概述 (1) 1.1 背景介绍 (1) 1.2 上网行为管理需求 (1) 1.2.1 用户和终端多样化，管理复杂 (1) 1.2.2 应用和内容不可视，存在风险 (2) 1.2.3 网络流量识不全，控不住 (3) 第2章可视可控、感知风险的上网管理方案 (5) 2.1 全面的上网可视可控 (5) 2.2 用户的可视与可控 (5) 2.2.1 安全便捷的身份识别 (6) 2.2.2 安全可视的用户管理 (7) 2.3 行为的可视与可控 (8) 2.3.1 全面精准的应用识别 (8) 2.3.2 应用标签化管控 (8) 2.3.3 灵活细致的权限控制 (8) 2.3.4 非法的内容识别与管控 (9) 2.3.5 全面完整的行为审计 (10) 2.4 流量的可视与可控 (16) 2.4.1 网络流量可视化 (16) 2.4.2 合理有效的流量控制 (17) 第3章方案优势 (20) 3.1 全面完整 (20) 3.2 细致精准 (20) 3.3 灵活有效 (20) 3.4 简单便捷 (21) -2-

第1章需求概述 1.1背景介绍 随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变： ?网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务； ?沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟 通和交流，提升工作效率，获取资讯和知识，维系人脉关系； ?移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统， 员工更喜欢通过WLAN、移动终端类开展工作； ?新的法规要求：2017年6月1日，网络安全法正式推出，其中对组织明 确提出上网行为审计的要求，并且要求至少留存上网日志6个月。 因此，在员工的日常工作中，#XX客户#需要针对互联网出口平台的如下上 网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。 1.2上网行为管理需求 互联网已经成为重要的生产资料，越来越多组织的业务在向互联网迁移，然而互联网却是一把“双刃剑”，管理得好可以让办公效率大增，促进业务的发展；而缺乏管理的互联网将带来诸多问题，不仅降低工作效率，还给组织带来各种业务风险。 而且互联网也在不断发生变化，从最早使用PC、有线局域网，到更多使用 移动终端、WLAN来进行办公，从早期的网页、PC应用，到移动APP的广泛发展，愈加复杂的上网环境，“看不见管不住”，使得上网管理困难重重。由于互联网应用的多样化，一些看似正常的上网行为，也可能隐藏着巨大的风险。 1.2.1用户和终端多样化，管理复杂 1.2.1.1BYOD上网难管理 随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通

深信服NC500上网行为管理系统技术规格要求.doc

深信服NC-500上网行为管理系统技术规格要求、产品服务明细： 技术指标：吞吐量》800Mbps并发会话数》800,000,用户规模》3000，接口：6个千兆电口, 2个千兆光口，1个RJ45串口，尺寸2U。 二、服务要求： 1.质保期限：36个月； 2.安装调试服务：提供上门进行实施和调试，保证设备实施工作和调试工作； 3.产品质保服务：本次投标全部产品验收通过后，深信服科技承诺对用户所购买的深信服产品（包括 硬件设备、模块、部件等）享受所购服务期内的维修或更换保修服务。 4?软件升级服务：提供服务期限内免费产品软件版本升级服务； 5.URL库升级：提供服务期限内免费URL库升级服务； 6.7x24小时电话支持：全国免费售后服务热线：400-630-6430为用户解答设备使用中遇到的 问题，并及时提出解决问题的建议和操作方法；7x24小时在线技术支持服务；技术支持论坛：技术支持邮箱： 7?增值服务：承诺出具技术人员给予现场安装、调试、现场技术培训及集中技术培训，并提供供应商上门取送修服务； 8.故障响应：针对本次投标的所有产品提供5*8小时现场保修和技术支持服务，报修后2小 时内电话响应，24小时内上门相应，72小时内实现故障修复，如诊断为硬件故障，携带备件并进行现场更换，承诺尽力在最短时间内恢复系统正常运行，如果故障不能在72小时内排除，提供免费替换服务。 9.产品和配件更换：当本次投标产品发生非人为因素严重故障时，免费在七日内将补充或者更换的产 品运抵发生故障的货物所在地，由此产生的一切相关费用由深信服负担。保修期内所有因更换或修理货物或部件而导致货物停止运行的时间应从质保期内扣除。所有的替代零配件是新的原厂、未使用和未经修复的。 三、资质要求 1.投标人需是中央国家机关政府采购网深信服产品协议供货商，且在本地或在本地有销售 或服务网点。 2.投标人所投报价为最终报价，从服务起始时间到服务终止时间等一切费用，我单位不再另 行支付任何费用。 3.投标人报价后被选中却无法按竞价要求提供服务的，将列入我单位“不诚信供货商”清单, 不再准许参与我单位相关采购活动。

深信服上网行为管理产品功能

深信服上网行为管理 主要作用： 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等，和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载，防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能，防止机密泄露 全面记录网络行为日志，避免法律风险，并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能，全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果： 1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率 上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。 2.流量控制、带宽管理，提升带宽利用率 对严重吞噬带宽的P2P行为，SANGFOR AC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SANGFOR AC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SANGFOR AC亦能侦测发现，从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SANGFOR AC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SANGFOR AC同样可以过滤和记录；而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。

上网行为管理部署方案分析

上网行为管理部署方案分析 上网行为管理产品在网络管理中已经是一个不可或缺的部分，并且已经得到了广泛的使用。 大家在选购上网行为管理产品的时候，一般都关注功能和价格。实际上，产品的部署方案才是优先考虑的因素。 本文将讨论上网行为管理产品的几种典型部署方案，及各自的优缺点分析。旁路部署方案 旁路部署的网络结构图如下（以WFilter上网行为管理软件为例）： 旁路部署方案的优点 1.旁路部署方案是对当前网络影响最小的监控模式。 2.充分利用已有硬件的功能，部署方便，不会影响现有的网络结构。 3.不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据， 对原始数据包不会造成延时。 4.旁路监控设备一旦故障或者停止运行，不会影响现有网络。 5.旁路部署方案一样可以对上网行为进行控制。 旁路部署方案的缺点 1.需要交换机或者路由支持“端口镜像”功能才可以实现监控。

2.旁路模式采用发送RST包的方式来断开TCP连接，不能禁止UDP通讯。对 于UDP应用，一般还需要在路由器上面禁止UDP端口进行配合。 旁路部署方案总结 如果现有的网络设备运行稳定，且对网络的稳定性要求高。在不考虑升级硬件的情况下，首先应当考虑旁路部署的软件方案，这样可以以最小的代价来部署上网行为管理，而且不会影响现有网络的稳定性。 串联部署方案 串联部署方案有两种：网关模式，网桥模式。如下图：

?网关模式：用上网行为管理产品替换现有的网关（路由器、防火墙）。 ?网桥模式：用上网行为管理产品串联在网关和核心交换机之间。 串联部署方案的优点 1.解决了旁路部署方案的缺点，可以进行流控，可以禁止UDP通讯。 2.硬件维护比较单一，避免了软件的兼容性问题。 串联部署方案的缺点 1.需要购买新的硬件产品，并替换掉现有的网关。造成硬件资源的浪费。 2.网络中增加了新的硬件，稳定性需要时间的磨合。 3.增加了单点故障的可能性。串联设备一旦死机或者掉电，会导致网络中断。串联部署方案总结 公司决定升级现有设备时，可以考虑购买一台行为管理硬件产品，并且进行串联部署。但是串联部署的设备一定要进行一段时间的稳定性测试，确保不影响网络稳定性。 总体来说，根据公司的预算，现有网络状况来判断是进行旁路部署还是串联部署。旁路部署优选软件方案（推荐WFilter上网行为管理软件），串联部署优选硬件方案。

上网行为管理参数

网络审计参数 一、性能及配置要求 项目性能 吞吐量≥500Mb 并发会话数≥500,000 用户规模≥1200人 设备接口6个千兆电口，1个RJ45串口 硬盘≥250GB 内存≥1GB BYPASS 支持 二、功能要求 项目指标具体功能要求 部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中； 旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接*支持多路桥接功能，最多可支持四进四出四网桥模式；多主模式*支持两台及两台以上设备同时做主机的部署模式； 网关管理管理界面*支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理*不同用户组的管理权限支持分配给不同管理员； 集中管理多台设备支持通过统一平台集中管理、集中配置等； *被控设备加入统一平台支持以硬件证书验证身份； 告警管理*支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证； 双因素认证*支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等； 支持通过SNMP服务器跨三层获取MAC地址； 支持当用户MAC地址变动时，需要重新认证；

深信服上网行为 管理设备功能介绍(2)

深信服上网行为AC-5000 管理设备功能 1) 控制功能：细致的访问控制，有效管理用户上网 对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。 表1：访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类； 关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤； 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件；

上网行为管理路由器配置-管控配置篇

上网行为管理路由器配置-管控配置篇 互联网是信息时代企业的生产工具，随着Internet在中小企业的不断普及，一方面员工上网的条件不断改善，另一方面因为缺乏有效的应用管理，网络资源往往得不到合理利用，并给企业带来诸多困扰和安全威胁。 上网行为管理路由器应用示例 西默上网行为管理路由器是面对中小型企业，给予专业网络安全平台，为企业量身定做的高性价比上网行为管理设备。通过URL 过滤、文件类型过滤、关键字过滤、内容检测等多种方式，彻底防止了色情网站、网络游戏、BT 等互联网滥用的行为。通过应用软件的过滤，可以禁止员工在工作时间聊天、播放在线视频，防止带宽滥用，保障关键业务的开展。通过邮件监控可以防止企业重要机密泄露。 同时，智能QOS会根据内网用户数量、上下行带宽使用比率等参数自动均衡每个IP的带宽，充分利用企业带宽资源，保障网络通畅。 假设一家公司的IP 段是192.168.2.1—192.168.2.254 其中研发为 192.168.2.240—192.168.2.254 ，要求研发人员周一到周五上班时间不能下载，不能玩游戏。同时也要对其它上网行为进行限制。 第一步：添加IP对象组：点击“系统菜单”→“上网行为”→“IP对象组设置”，如图1-1所示： 图1-1“添加IP对象组” 在IP 对象组名称中输入“yanfan”（这里必须是字母、数字以及下划线），在IP 地址中输入192.168.2.240 到192.168.2.254，填写完成后点击“添加”，然后点击“提交”。得到如图1-2 所示： 图1-2 “IP对象组” 完成后点击“应用”即可生效。 第二步：时间设置：点击“系统菜单”→“上网行为”→“时间计划设置”得到图1-3：