深信服AC-1200配置手册

1、附件五上网行崛理AC-1200配置管理文档本系统网行管理遴采用深信服公司生的AC-12002.B1根据用混出的诩需求，AC-1200在本系统的渤能合理的分配，并两部工作人回上网行基,功能选必要的3 .镯画4信息3.1 AC-1200赭外形AC-1200赭外形和接口信息如图所示。1AC-1200带外形和接口信息图hSA'GFORACft面板以AC1200为例)2,ETH3(WAN2)3.ETH1(DMZ)4.ETH2(WAN15.ET1I0(LAN)6.电源灯7*告警T网接与管理方式AC-1200的ETH0LAN)口通透明网棚方式与核心交热CISCO4506的GE3/1连接，加入本地局域

2、网络ETH2(WAN1)与路由器CISCO2821与Internet接ETH1(DMZ端口作WEB管理端口避到核心交掘的G3/30设端口IP地址分配嵯1。WEB管理方式通遨幽UWEB管理端口,打开哪在地3 管理面獭用电和密码靠僦,址施https:1即可述管理界面，如图所示表1橘耨IP地址分配表接口IP地址ETH0 (LAN)透明模式描述与核心交接3/1接ETH1 (DMZ)1与VLAN5某端口避（WEB管理）ETH2 (WAN1)与路由器 G0/0/0接2 WEB登蕨192 1&8；.5 51/lo目转到4 .配置管理4

3、.1 WEBUI界面登最看到的是WEB管理的首页:包含左侧J功能菜神隹侧状盘息显示。如3所示。3WEB用管理界面4县4.2 系豌置系配置部分包含系缁息、管理配户系箍建信息4.2.1 系箍息系统息包含系我的序列号和license信息，如图所示。图系箍息il施上菅商序为写A.»两关耒落懵权赤列号用用漫别&IJRLK升级序列号查后僻Er.Hl址5所示管理滕列表5管理喊列表+新增闲色管理用户名管建员角色描迷新增系筑系统时间日期和时间设置系统日期2011-05-08系妩时间在耿系统时间获取本地时间地方时区(GMT+08: 0口)北京)上海,香港自动与Inter net时间服务器同步po

4、oL本系统除admin岷外,接酒篮用电,如需4.2.3 系葡日到期7内的项已全部遣自舜级系统级甘籍正¥如!唐8全局排除地址后，徘除地址排阵地址trom可用正制号入内百里R其他服郊在2012年4目定）:训际地址4.2.5全局排除地址4.3网翻置本系辅翻置遨明方式,ETH0(LAN)和ETH2(WAN14置网桥InternetDMZ涵从路由器搂到WAN1口，LAN端口整到核心交掘的VLAN1端口，配置为官!端口，加入VLAN5,IP地址海1。如9列表所示9网新置部署模式TS当前用关模式-多用桥莒理网口配置(«Ud)：1/25

5、5.255.2S5,0自动放通防火墙现则：启用网桥l(ethOG>eth2)网桥IP列表：/默X网关：192.168,4首选DHS：6L128.114166备用DXS：51.126.114333VLXHK置：禁用桥接方向：eth0<->tth24.4 防火墙防火墙能使用USG2220翦止糜做配置4.5 安全防护本崔跄安的物能是USG2220的部分相4.5.1 防DOS攻击DOS攻出拒服酸赤是通3W,耗尽服谭源，使得合法请求得不到响应本蹒DOS攻倒0®所示1防DOS攻置防DOS攻击0启用防DOS攻击0后用内网网段列表19

6、/a|192.168.2,0//255.255255.0/255,255255.0192,168,100.0/255,255*255t0v1noiao1mnfocjc；xun内网到本设备间通过一台/多台二层交换机直接*BS.没有再越任何的三层交换设备以下庐地址发起的攻击不会被拦魅10245001最大TCP连接数：量大攻击包次数：封锁攻击时间（分钟）:4.5.2 防ARP欺骗ARP欺骗一种常助内网病毒，中毒的容/端不断向内网牙播包，建影响局域网的通讯甚至断网。本瑞ARP欺骗蜀B所示。

7、酊防ARP欺骗EH1ARP默买的炉后用静态ARP逡定网关MAC广播间P嘉时间C钞/次）；104.5.3 网关幕本鬻网关未则辟服务病毒函2011-03-31之前，已遛全部恭功能。如图2所示硬网关施配置S用HTTP下戴条06用FTP下较乎重:只用POP3条多smartsaeen,mtro$oft,com 一.pdnddsaftw# & em 庄中“pardaoftware: com时用文件之町十蠹vbs尸IE4.6流量管理4.6.1 虚道速财麹蜥超酿星Internet的接入毓配置。我他置上、下行线路撷240Kbps(10Mbps)。如期所示。S3虚趟循量虚擦线路列哀虚拟线路规则I+新增线路

8、上行下行1线路110240(Kbps)10240(Kbps)4.6.2通道配置通道配置是本瑞进网赞量管理的核心内容。通藕加不同的通道，并釉们进网错跑分配，可以使符合该！道策略的周得到蹴僦限制通道配置如图4所示。14通道配置以安中不住WKt ： l(EMO(Kb*«)TG l(U4XKbfa)54秘林IE写p通用时靠餐时让厘刚切*的苔鼎口茶端E用i¥I3，防有鬲户斗事就胃用尸八量匚F。拓件用.口HJ* s所除用户适用应用目后ma断百盛用自甘秆解此较崇» BI5 ：CWP HH . £* 年*薄CLF1*P”港MT停.抬.±9 撕胃座用金鼻心孺承：

9、用户上用优先Ut 5DdB/i)4 W(Xf ±«W L加制痣t WMH I tffiW申! 16(D/«) 11(.(Itf 16/，IMCK .像LWRMH I 5 型 傕配置列表中的明，除上班眦流量制是我血添加m, 其余均源统根据辗情况已制定的通道。此次配置将全部四启动卜面已低延腺障例，说配置参数。如图5和16所示15低延睡障通道配置口启用通道通道名标：低时延应用便以所属通道：/通道安镉菜单通遒使用范围带宽通道设直生效找跳：线路1带靠iB道类型0保证通道上行带宽：保证20最大100下行带宽：保证20大100优先级:高16低延速道典范围回启用通道通道名称：低时

10、延应用保障所愿通道：/通道编辑菜单通道使用范围）带宽通道设置-通道使用范围>il道使用范围适用应用：。所有应用®自定义已连应用：游/全部、股票行情/全歆股票交厦适用对象：。所有用户O自定义生效时泪:全天7目标】用a：I全部Y从16可以看出，本谓适用于臂的质，如网游、股票行情和交易等。从15可以看到，系缅20%的麓鹿用的流量需求。实藤作中,我傕加了 一个命名M班回流量限制的通道,以此颂添加配置步骤首先，聃倒左上角的加号“添加通道如17所示，我假置SO制通道，最大上、下行带宽50%,优级氐并目置单源不超60Kbps在通道适用范围L我傕用于所有牖，适用豫随时员自动蹶IP地址的人员，生

11、效间为作卸囊取女所示。其中用廉、生效时&仰靖（周一到周日，9:00-19:00）、目根组自获取”都是已g象定我用管理中定位当蒙源已统荷时系舞保箴的通道的横面配置瑜1簟物昼道名称：上班时间流量限制听朦通道：/通道或辑菜单带贪通道设置带即遇道设置限制通道通道使用范国上行带宽：最大50|%640下行带宽：量大50%640优先级：低0启用PB制单IP最大帚蜜上行50KB/s,下行50KB/s-18通道适用范圈日启用通道通道名称：上班时间流量限制所属通道：/通道色辑菜单通道使用范围I»希宽通道设置通道使用范围图遒使用陀围适用应用:©所有应用O自定义适用对象：O所有用户

12、4;自定义丁：/I临时人员/生效时间：但犁能源工作时间目标1P姐：自动衣取4.7用涮上网策略4.7.1 上网策略制定上网策略的目的是保证带宽被非公财聊助行政舞的施。这弧个示例调上网策略的配置方法（本策略不被启动。策略目的：在上班刖段，禁±滥、“粽管理部人员、螂队HTTP城、QQ"、“淘宝”、“迅雷下教"P2P网辄频。策略启菊桀：上述人标周一到周日 9: 00-19:00,无法激不能19添加上网策略扁相 0禁用令L移 一厂移策鸣类别适用组和用尸aw，yan除 /上网权限策略上网审计策略上网安全策喈跨篇提凿策略流量配颔与时长控制准入策略以模板新增实时状态对象定义用户与

13、策营理用尸营理姐/用户用户导入 LDAP自动同步通QQ聊天，无法使用迅雷下载无法瓒P2P魏下:1）添加上网策略单脚撷“用以策略管理”“上网策略”“新增”“上网楔策略”,如独所不。上.一上网权限策噌/dtfault/行上网审计策略/muit/网站）上网安演彳U7U2）配置策略名称和信息在上网覆策略面中，辙策略名称“分策略”和策略信息“测，如图20配置策略名称和信息启用谖策略办公策略例试I策略名标：描逑信息：策咆表置II适用蛆和用户II高级配置上网权限策略_日口应用控制口废用控制口端口控制口代理控制框面的显器徽iam1。进:的画面。魂后，酒“确定'滞选：显示全部已选列表已选应用：7个HTT

14、P应用/HTTP，协议IM/QQIM/淘宝旺旺下载工具/条线程下数迅雷/全部P2P/全部P2P流媒体/全部m回全部日圆所有已知应用eQdhs国口1口）?自画HTTP应用KHP.POST网站浏览EKTTP协议HTTP-代理SQFTPISSSL图口邮件|£>IM国匚口1传文件囹画下戢工具+VP2P>网络流婵体*/P2F流媒体图口游戏在'一,股票行情图口股票交易里办公。人24配置适用细用户确定取消确定后选图所示两23HTTP 而用，MTTF - M）也H/QQ1，闺M旺旺一工且J普线程下*,停弟赛四工作时间0指婚适用期机用户献配置上W策略叵国用校制X口拄制代裳控制Ee3

15、TEB过滤kttpURiiliCFlKTTFSUlLSif4）配置适用细用户单23中的“适用郛用户，速需要禁止牖的用翱，点“提交”如24所示。启用读餐咻办公笨略节略名称:Ml试耘述信息：弟略点百II适用料和用户II曷”配置俎织结构鬲色:丁主部7.uWWTAJ5口公司领导I口蓄建1£二工程监理匚工程告理部:物业部物资设科邰亘然含者理部匚it*蝮警*y朋务音理部已选刊表/临时人员叼/公司转导中/集含曾理部H网务肯理部至此，本策略配置完成4.7.2用詹理在用管理部分，已整趟客按部附缰加到系缔，每个用肖一个或几个IP地址继，台式机用唐E个,笔泡用邠的个,领缠三个。25所示和视图左邮底右侧造用

16、H中翔娱25中速的是“公司每则）乐的灵斓掾单25锦趣单击侧表中的具体成增称，可以迷度的具体配置信息溯在此可以就行配置。配置的内容包括用爵性）和策略列表（图7）。如26中谩用户张龙维IP地址0-227中遢度应用第咯9策略ft*:SuffiUR.J（哈时人员 T公司银导 菱建口 /工鼻盖登 立工程酋理取 T物业司物设 ，含管趋前 ，计划爆营目 1哨务管理营登录名：指让：显示名:密路役：除司纬耳修苒相名与匕违Bit110：蟆*蛔港暴：子狙融：。,直第用尸1期:6,起用尸TITl包含子购）;6电利用：办么*晤电曷后理|震笔列表卜勒增X-K-1,/，、

17、造梯£导人导出冷QA03T<M*名彝，m*±mm）mm<14,墟竽耳新篇俎*日同|盟1M100一1T7键,永不过斯2$属李母与所看嵋相同IS2.100务1位.豕不过WI38算先期厉新醒媚相同192tealoo20-192.,索不过财4乂/*才月楣司1眨1的100一14-皿朱不过m58雪*不与所需相福同闺陋looz3r忆永不过m6a«rac与所属也相同>92lea100.n-122,永不过JQ筋用属性遹可启用速用户当前所属组:用尸量性IIM加本地密码.；信用DKEY认证回鳏定1P/MACM址：底定方式崛定IP第定MAC绑定 1P40MAC192,1

18、68.100.20-192169400.22瓯用策略列表启用该用户量录名：张先龙29间划组义描述:显示名：当前所属组:用户雇性策再列表卜添加策略X移除|沙查看用户的策略结果集序号策咯名称移除!177141HR八、fJtPr7R«611Jri办公策略x4.8象定义福凝分包含系前置所用到的基册 息的定义其中各种度源都由系统目定义并可从网上自初级本次配置我彳定义IP组28）和间划组图29）两顿容，其他内容可根据需求再添加28IP组义对象定义应用特征识别库应用智能识别库自定义应用URL分类库准入短则武网络务序号名称1全部23 I僧理员4 踪合管理部5 财务部6 计划部7 物资部8 工程部QT

19、程处程4.9 m实眦包括运行状态安全状态流量状态上网行肺和s线管理等功能。下面做分另介貂4.9.1 运行状态3所示的是系皴避行状概览包含鲸信息、接口吞吐率折绷流量排名、用检量排名等。此幅内容可自定义4.9.2 安全状态本琬锭全事件列表，如图0所示。30安全状海安全状右最后鼓汁时间：2011-5-91203:57它数量01次序号类型病毒行为DOS和ARF攻击疏口扫描异常外发邮件1频繁外发）标准端口异常端量府议异常当意脚本拦截前件不受信任的营”网站访问最近发生的10条日志4.9.3 流量状态本项容包括用就量排名（31）、用流量排名（32）、流量管理状态图33）和蓬掖（34）31用标量排名35上网行

20、命好名用户名1立孑量lS丁君JMH*zIVIY9V/±6<)tL|M(K>AiJ下行调ifZX'=11)3/1126gBi秆啾机名R藐梅或iOtii?宣Tpjfp由国24B6tA/G2班rmt9221won/i)q55iXB/s)g07(T/sJ454不取1P"FfTAST.PEl霹3班收，工It管整ftl33S3/G«ATlQB/s)12BM(U/i)TB，界具触F2F行力halt1VZ1”IB211/*，vJ±/2航g/)109O00/1)1123S03/v)13鼻FnikHXxw5张型文，听就转用部，5073g/。2.im/i)52B9(D/i)5HIl直畸lEPMiStft张手/1«