深信服上网行为管理管理员手册v10Word文件下载.docx
- 文档编号:13333406
- 上传时间:2022-10-09
- 格式:DOCX
- 页数:63
- 大小:4.29MB
深信服上网行为管理管理员手册v10Word文件下载.docx
《深信服上网行为管理管理员手册v10Word文件下载.docx》由会员分享,可在线阅读,更多相关《深信服上网行为管理管理员手册v10Word文件下载.docx(63页珍藏版)》请在冰豆网上搜索。
首先确保本机从网络可以访问到设备管理IP地址,然后在浏览器中输入网关的IP及端口https:
//192.x.x.254。
出现一个如下图的安全提示:
点击<
继续浏览此(不推荐)>
后出现以下的登录界面:
在登陆框输入【用户名】和【密码】,点击<
登录>
按钮即可登录AC设备进行配置,默认情况下的用户名和密码均为admin。
如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:
登录后检测为弱密码则提示修改密码,则会弹出如下提示:
如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示:
弱密码修改:
2.2管理员配置
在【系统管理】-【系统配置】-【管理员账户】页面,可修改admin管理员密码、删除管理员账号以及创建二级管理员。
2.2.1修改管理员密码
管理员账户页面找到admin管理员,直接点击<
编辑>
,输入旧密码,并设置新密码即可修改admin账号的密码信息。
注:
admin账号只可修改密码,不可删除。
2.2.2创建二级管理员
在管理员账户页面,点击<
新增>
可以创建二级管理员。
设备确实管理员角色有两种:
administrator:
置的角色,该角色的管理员自动拥有管理整个组织结构的管辖围,并且还能够添加删除管理员帐户。
common:
系统缺省创建的角色,可通过角色管理添加或者删除角色,该角色可设置管理员可以管理的组织结构围。
如果选择管理员角色为common,在<
组织结构权限设置>
处,可以设置该管理员可以管理的组织结构围。
在<
页面权限设置>
处,可设置该管理员可以查看或编辑的控制台页面。
2.3系统基本信息配置
2.3.1序列号
在【系统管理】-【系统配置】-【序列号】页面,可以查看设备当前的授权信息。
序列号一般在出厂时已设置好,正常使用过程中无需修改,只有当设备相关服务到期时,才需要修改相关序列号。
2.3.2系统时间
【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR设备的系统时间。
可以直接在界面上修改时间,也可以选择与[时间服务器]进行时间的同步。
设备日志记录的时间与系统时间相关,请注意确保设备系统时间的准确性,手动获取本地时间和系统时间会重启设备,请勿工作时间操作。
2.3.3规则库升级
【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态,请确保设备管理IP能够访问互联网,以便设备自动更新规则库。
2.3.4全局排除地址
【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP不受任监控和控制,直接放行。
排除地址支持填写IPV4地址、IPV6地址、域名。
自定义排除地址>
页面的<
添加>
,在文本框输入需要排除的IP或域名即可。
2.3.5设备配置备份与恢复
【配置备份与恢复】用于将设备已有的配置下载保存,或者是将已备份的配置文件恢复到设备中。
2.3.6WEBUI选项
【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数,如默认编码、控制登录端口、超时时间等。
2.3.7远程维护
【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允从外网口远程登录设备,以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。
<
启用远程维护>
用于设置是否允从外网口远程登录设备,勾选此项的同时,设备的WAN口自动开启允ping,平时一般建议关闭该选项。
第3章网络配置
3.1部署模式
AC设备支持路由模式、网桥模式、旁路模式三种部署模式。
路由模式:
一般用于没有防火墙的中小客户。
设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;
网桥模式:
可以把设备视为一条带过滤功能的网线使用,可不更改原有网络拓扑结构的情况下平滑架到网络中。
目前在客户中使用最多的部署模式;
旁路模式:
仅做旁路审计,需要交换机做镜像至AC。
本例以网桥模式部署为案例,配置需求及步骤如下:
需求:
目前网络已部署防火墙设备IP地址为192.168.1.1/24,网三层环境,核心交换机地址192.168.1.2/24,AC网桥部署在防火墙和核心交换机之间,分配给AC设备的地址为192.168.1.3,配置步骤如下:
1.通过【系统管理】-【网络配置】-【部署模式】进入配置界面,点击<
开始配置>
,选择<
网桥模式>
。
2.点击<
下一步>
,选择网桥的网口。
本案例采用ETH0和ETH2作为一对网桥口,ETH0作为LAN区网口,ETH2作为WAN区网口。
3.点击<
,设置AC设备的网桥IP:
4.点击<
,设置DMZ管理口的IP地址,可保持默认配置:
5.点击<
,设置设备上网的网关和DNS:
6.点击<
,确认和提交配置:
提交>
后,设备会自动重启,重启时间一般为1-5分钟,请勿在工作时间修改设备部署模式配置。
3.2静态路由
如上需求,由于网三层环境,需要增加网网段的回包路由指向核心交换机,如网有192.168.10.0/24、192.168.20.0/24等。
1.通过【系统管理】-【网络配置】-【静态路由】进入配置界面。
2.点击<
,设置需要添加的路由目的地址、子网掩码,下一跳指向核心交换机。
3.点击<
完成配置,如果有多个网段,可添加多条路由。
第4章策略管理
4.1用户认证与管理
4.1.1用户组管理
为了便于区分员工角色进行策略管理,我们可以将上网用户进行分组管理,【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地。
在该页面<
组织结构>
下选择指定组,可在该组下创建用户以及用户组,在右边<
成员列表>
,选择新增类型<
组>
定义组名,如“市场部”,点击提交即可,该组适用的上网策略,可在后面策略管理时指定。
4.1.2认证策略
【认证策略】决定了某个IP/网段/MAC地址上计算机的认证式。
通过【认证策略】设置网用户的认证式,以及新用户添加的策略。
认证策略是从上往下逐条匹配的,可以通过页面上的移动按钮来调整认证策略优先级。
通过认证策略可以为不同的网段配置不同的认证式。
认证策略可以指定的认证式有不需要认证、密码认证、单点登录、不允认证4种,根据不同的认证策略可实现不同的用户认证需求。
4.1.3不需要认证
在认证策略页面点击<
设置该策略适用的围后点击<
,适用围可以是IP、MAC、IP段以及子网。
选择认证式为<
不需要认证>
,继续点击<
选择用户以组织结构中那个组的身份上线后点击<
即可。
4.1.4IP/MAC绑定
二层环境
1.与不需要认证用户设置法相同,但<
认证后处理>
式需勾选<
自动录入绑定关系>
-<
自动录入IP和MAC的绑定关系>
选项
2.用户上网后,在【用户认证与管理】-【用户管理】-【IP/MAC绑定】页面可以看到系统自动绑定了终端第一次上网的IP和MAC信息,在该页面可对相关信息进行添加、删除和修改操作。
三层环境
三层环境下,由于网用户经过三层交换机后,MAC地址会被三层交换机替换掉,因此还需要在核心交换机上开启SNMP服务,以支持AC跨三层环境下的IP/MAC绑定。
1.在核心交换机上开启SNMP服务。
华为交换机的配置命令:
system_view
snmp-agentcommunityreadpublic;
其中public为三层交换机的Community
snmp-agentsys-infoversionall;
其中all表示所有版本
思科交换机的配置命令:
configterminal进入全局配置状态
Cdprun启用CDP
snmp-servercommunitypublicro其中public为三层交换机的Community
snmp-serverenabletraps允设备将所有类型SNMPTrap发送出去
三层交换机需启用SNMP协议,AC作为SNMP客户端通过SNMP读取交换机,只支持SNMPv1,v2,v2c,不支持v3。
2.在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】页面,开启跨三层MAC识别功能。
可以新增多个SNMP服务器,如果网存在多个三层交换机,则每个三层交换机的SNMP选项均需要开启,如下图
点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC,有返回结果则能正常获取,如下图
完成新增SNMP服务器后,可以查看配置的所有交换机当前snmp获取的结果,如下图
接下来,需要配置排除核心交换机的MAC地址,如下图。
实际使用时,可开启设备自动识别三层交换机的MAC,并自动添加到MAC地址排除列表,如下图
启用“自动添加排除”,定义10分钟同一个IP对应的MAC地址记录数,推荐配置5。
当同一个MAC达到设置条件时,AC认为是三层交换机的MAC地址,自动将其排除。
3.与二次环境一样,设置认证策略,<
选择自动录入IP和MAC的绑定关系。
4.1.5不允认证
认证式设置为<
不允认证>
的网段,将无法通过设备访问任网络。
直接点击<
4.2策略管理
【策略管理】模块设置的策略主要包含封堵、审计等策略,以下分别以案例的形式介绍一些常见的策略设置式。
4.2.1购物娱乐类
禁止全公司上班时间访问购物、娱乐类。
1.【策略管理】-【上网策略】,右边进入【上网策略】编辑页面。
然后点击新增按钮,选择上网权限策略,进入<
上网权限策略>
编辑界面。
填写策略名称,描述信息。
2.勾选<
策略设置>
应用控制>
,右边进入<
窗口。
点击添加按钮。
3.点击应用下的
,进入【选择应用】窗口。
4.展开应用“访问”,选择“网上购物”和“娱乐”
5.点击确定按钮。
回到应用控制页面。
生效时间选择上班时间,动作选择为拒绝。
点击确定按钮,完成网上购物和娱乐类拒绝设置。
6.选择<
适用对象>
选项,进行策略与用户/组关联,勾选“所有用户”,即可关联全网用户。
7.点击提交按钮,完成整个策略设置。
4.2.2P2P及P2P流媒体封堵
禁止市场部门用户及其所有子组在上班时间使用P2P和P2P流媒体。
4.选择应用“P2P
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深信 上网 行为 管理 管理员 手册 v10