深信服上网行为管理系统用户手册

1、深信服上网行为管理系统用户手册AC 12.0.18 用户手册目录 HYPERLINK l _bookmark2 前言2 HYPERLINK l _bookmark3 手册内容2 HYPERLINK l _bookmark4 本书约定2 HYPERLINK l _bookmark5 图形界面格式约定2 HYPERLINK l _bookmark6 各类标志3 HYPERLINK l _bookmark7 技术支持3 HYPERLINK l _bookmark8 致谢3 HYPERLINK l _bookmark9 第 1 章 安装指南4 HYPERLINK l _bookmark10 环境要求4

2、 HYPERLINK l _bookmark11 电源4 HYPERLINK l _bookmark12 产品外观4 HYPERLINK l _bookmark13 配置与管理5 HYPERLINK l _bookmark14 单设备接线方式5 HYPERLINK l _bookmark15 双机备份接线方式7 HYPERLINK l _bookmark16 第 2 章 控制台的使用8 HYPERLINK l _bookmark17 登录 WebUI 配置界面8 HYPERLINK l _bookmark18 AC 的 web 登录方式8 HYPERLINK l _bookmark19 统一认

3、证中心的登录方式11 HYPERLINK l _bookmark20 配置和使用12 HYPERLINK l _bookmark21 第 3 章 功能说明15 HYPERLINK l _bookmark22 增值服务导航15 HYPERLINK l _bookmark23 激活设备15 HYPERLINK l _bookmark24 进入技术社区17 HYPERLINK l _bookmark25 “信服君”机器人18 HYPERLINK l _bookmark26 行为感知系统19 HYPERLINK l _bookmark27 办公网上网态势22 HYPERLINK l _bookmark

4、28 带宽分析31 HYPERLINK l _bookmark29 泄密追溯分析33 HYPERLINK l _bookmark30 离职倾向分析36 HYPERLINK l _bookmark31 工作效率分析40 HYPERLINK l _bookmark32 未关机检测分析42 HYPERLINK l _bookmark33 实时状态43 HYPERLINK l _bookmark34 实时状态43 HYPERLINK l _bookmark36 对象定义89 HYPERLINK l _bookmark37 应用特征识别库91 HYPERLINK l _bookmark38 应用智能识别

5、库97 HYPERLINK l _bookmark39 自定义应用100 HYPERLINK l _bookmark40 URL 分类库104 HYPERLINK l _bookmark41 URL 库列表104 HYPERLINK l _bookmark42 准入规则库109 HYPERLINK l _bookmark44 网络服务129 HYPERLINK l _bookmark45 IP 地址库131 HYPERLINK l _bookmark46 时间计划组139 HYPERLINK l _bookmark47 关键字组141 HYPERLINK l _bookmark48 文件类型组

6、143 HYPERLINK l _bookmark49 位置对象组144 HYPERLINK l _bookmark50 用户认证与管理147 HYPERLINK l _bookmark51 3.5.1. 原理147 HYPERLINK l _bookmark52 用户认证151 HYPERLINK l _bookmark56 用户管理220 HYPERLINK l _bookmark57 认证高级选项259 HYPERLINK l _bookmark58 策略管理277 HYPERLINK l _bookmark59 上网策略278 HYPERLINK l _bookmark60 策略高级选

7、项368 HYPERLINK l _bookmark61 流量管理375 HYPERLINK l _bookmark62 3.7.1. 概述375 HYPERLINK l _bookmark63 流量通道匹配及优先级377 HYPERLINK l _bookmark64 通道配置377 HYPERLINK l _bookmark65 线路带宽配置414 HYPERLINK l _bookmark66 虚拟线路配置415 HYPERLINK l _bookmark67 流量可视化425 HYPERLINK l _bookmark68 终端接入管理425 HYPERLINK l _bookmark

8、69 共享接入管理426 HYPERLINK l _bookmark70 移动终端管理430 HYPERLINK l _bookmark71 代理工具管理433 HYPERLINK l _bookmark72 上网安全438 HYPERLINK l _bookmark73 安全状态438 HYPERLINK l _bookmark74 安全配置441 HYPERLINK l _bookmark75 VPN 配置457 HYPERLINK l _bookmark76 DLAN 运行状态457 HYPERLINK l _bookmark77 多线路设置458 HYPERLINK l _bookma

9、rk78 SDWAN 智能选路460 HYPERLINK l _bookmark79 基本设置472 HYPERLINK l _bookmark80 用户管理474 HYPERLINK l _bookmark81 连接管理488 HYPERLINK l _bookmark82 虚拟 IP 池491 HYPERLINK l _bookmark83 本地子网列表492 HYPERLINK l _bookmark84 隧道间路由设置494 HYPERLINK l _bookmark85 第三方对接497 HYPERLINK l _bookmark86 通用设置509 HYPERLINK l _boo

10、kmark87 证书管理511 HYPERLINK l _bookmark88 高级设置515 HYPERLINK l _bookmark89 系统管理527 HYPERLINK l _bookmark90 3.11.1. 防火墙527 HYPERLINK l _bookmark91 网络配置544 HYPERLINK l _bookmark92 系统配置633 HYPERLINK l _bookmark93 系统诊断685 HYPERLINK l _bookmark94 网络安全法693 HYPERLINK l _bookmark95 第 4 章 案例集696 HYPERLINK l _bo

11、okmark96 .单点登录配置案例696 HYPERLINK l _bookmark97 AD 域单点登录功能配置案例696 HYPERLINK l _bookmark98 PROXY 单点登录配置案例723 HYPERLINK l _bookmark99 POP3 单点登录配置案例732 HYPERLINK l _bookmark100 Web 单点登录配置案例737 HYPERLINK l _bookmark101 与第三方设备结合单点登录配置案例741 HYPERLINK l _bookmark102 深信服设备结合认证756 HYPERLINK l _bookmark103 数据库系

12、统结合认证759 HYPERLINK l _bookmark104 .不需要认证用户配置案例762 HYPERLINK l _bookmark105 .密码认证用户配置案例769 HYPERLINK l _bookmark106 短信认证769 HYPERLINK l _bookmark107 微信及二维码认证787 HYPERLINK l _bookmark108 密码认证801 HYPERLINK l _bookmark109 .其他认证配置案例810 HYPERLINK l _bookmark110 .与 cas 第三方认证配置案例825 HYPERLINK l _bookmark111

13、 .策略配置案例828 HYPERLINK l _bookmark112 针对某用户组设置封堵 P2P 和 P2P 流媒体的策略828 HYPERLINK l _bookmark113 针对某用户组设置 IM 监控的策略832 HYPERLINK l _bookmark114 针对某用户组设置开启审计功能836 HYPERLINK l _bookmark115 .终端管理配置案例838 HYPERLINK l _bookmark116 防共享功能配置案例838 HYPERLINK l _bookmark117 移动终端管理配置案例840 HYPERLINK l _bookmark118 代理工

14、具理配置案例841 HYPERLINK l _bookmark119 4.8.SNMP TRAP 配置案例842 HYPERLINK l _bookmark120 4.9.综合案例846 HYPERLINK l _bookmark121 客户网络环境与需求846 HYPERLINK l _bookmark122 配置思路847 HYPERLINK l _bookmark123 配置步骤847 HYPERLINK l _bookmark124 附录：SANGFOR 设备升级系统的使用865 HYPERLINK l _bookmark125 产品升级步骤868前言手册内容第 1 部分 SANGFO

15、R AC 产品概述。该部分主要介绍 AC 设备的外观特点及功能特性和性能参数，以及连接前的准备和注意事项。第 2 部分 SANGFOR AC 控制台的使用以及功能说明。第 3 部分 案例集。通过应用案例说明各个模块的功能及配置步骤。本手册以 SANGFORAC-1000-C400 为例进行配置。由于各型号产品硬件和软件规格存在一定差异，所有涉及产品规格的问题需要和深信服科技有限公司联系确认。本书约定图形界面格式约定文字描述代替符号举例按钮边框+阴影+底纹“确定”按钮可简化为确定菜单项 菜单项“系统设置”可简化为系统设置连续选择菜单项及子菜单项选择系统设置接口配置下拉框、单选框、复选框选项 复选

16、框选项“启用用户”可简化为启用用户窗口名【 】如点击弹出【新增用户】窗口提示信息“”提示框中显示“保存配置成功，配置已修改,需要重启 DLAN 服务才能生效，是否立即重启该服务?”各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义 如下：小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、 数据丢失或者设备损坏。 警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成伤害。 说明、提示、窍门：对操作内容的描述进行必要的补充和说明。第 1 章 安装指南本部分主要介绍了 SANGFOR AC 系列产品的构成与硬件安装。硬件安装正确之后，您

17、才可以进行配置和调试。环境要求SANGFOR AC 设备可在如下的环境下使用。 输入电压： 110V230V 温度：045 湿度：590为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环 境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使用和 报废应遵照国家相关法律、法规要求进行。电源SANGFOR AC 系列产品使用交流 110V 到 230V 电源。在您接通电源之前，请保证您的电源有良好的接地措施。产品外观图 1：SANGFOR AC 前面板（以 AC-1000-C400 为例）1.控制口2.高可用性状态灯3.电源灯4.告警灯5.硬件型号

18、告警灯在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭，说明正常启动。如红灯长时间不熄灭，请关闭设备等待 5 分钟后重新开机。如果还是长亮，请联系深信服科技客服部确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁 表示设备正在写系统日志。控制口仅供开发和测试调试使用。最终用户需从网口通过控制台接入。配置与管理在配置设备之前，您需要配备一台电脑，配置之前请确定该电脑的网页浏览器能正常使 用（如 Internet Explorer），然后把电脑与 SANGFOR AC 连接在同一个局域网内，通过网络对设备进行配置。设备出厂的默认 IP 见下表：接口ACETH0（LAN）51/2

19、4ETH1（DMZ）52/24ETH2（WAN1）1/24单设备接线方式在背板上连接电源线，打开电源开关，此时前面板的 Power 灯（绿色，电源指示灯）和 Alarm 灯（红色，告警灯）会点亮。大约 1-2 分钟后 Alarm 灯熄灭，说明网关正常工作。请用标准的 RJ-45 以太网线将 ETH0（LAN）口与内部局域网电脑连接，对 AC 设备进行配置。请用标准的 RJ-45 以太网线将 ETH2（WAN1）口与 Internet 接入设备相连接，如路由器、光纤收发器或 ADSL Modem 等。登录控制台后根据网络拓扑配置部署模式（参见章节 3.12.2）注意：多线路的 AC 设备可以支持

20、多条 Internet 线路，此时将 WAN2 口与第二条 Internet 接入设备相连，WAN3 口与第三条 Internet 线路相连，依此类推。使用标准 RJ-45 以太网线将 DMZ 口与 DMZ 区的网络连接，一般而言，DMZ 区放置对外提供服务的 WEB 服务器、EMAIL 服务器等。AC 设备可以为这些服务器提供安全保护。设备正常工作时 POWER 灯常亮，WAN 口和 LAN 口 LINK 灯长亮，ACT 灯在有数据流量时会不停闪烁。ALARM 红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备断电重启，重启之后若红灯一直长

21、亮不能熄灭，请与我们联系。WAN 口直接连接 MODEM 应使用直连线、连接路由器应使用交叉线；LAN 口连接交换机应使用直连线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能 正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端 的线序不同，如下图：图 1 直连线、交叉线 线序双机备份接线方式若采用 AC 双机热备的工作方式，按以下接线方式进行外网线路和内网线路的接线。使用标准 RJ-45 以太网线将两台 AC 设备的 ETH2（WAN1）口（若使用多线路技术， 接线方式类似，保证两台设备的外网接口接到同一个外网线路即可）接到同一交换机上，再 使用标准的 R

22、J-45 以太网线与 Internet 接入设备相连接，如路由器、光纤收发器或 ADSLModem 等。选一个空闲网口作为 HA 口，将两台 AC 设备的 HA 口用网线连接起来。使用标准 RJ-45 以太网线将两台 AC 设备的 ETH0（LAN）口接到同一交换机上，再使用标准的 RJ-45 以太网线与局域网交换机相连，连接到内部局域网。接线完毕后，分别打开两台设备的电源，即可进行系统配置。双机系统配置时和单机系统配置一样，仅对一台主设备进行配置，另外一台从设备将自动进行同步，无需另行配置。第 2 章 控制台的使用登录 WebUI 配置界面AC 的 web 登录方式AC 支持安全的 HTTP

23、S 登录，使用的是 HTTPS 协议的标准端口登录。如果初始登录从LAN 口登录，那么登录的 URL 为： HYPERLINK 51/ 51HTTPS 登录控制台界面管理 AC 可以防止配置过程在传输过程中被截获而产生的安全隐患。1、如何登录 AC 设备控制台页面？按照前面所示方法接好线后，通过 WEB 界面来配置 SANGFOR AC 设备。方法如下： 首先为本机器配置一个 10.251.251.X 网段的 IP（如配置 00），然后在 IE浏览器中输入网关的默认登陆 IP 及端口 51。出现一个如下图的安全提示：点击是后出现以下的登录界面：在登陆框输入用户名和密码，并阅读用户协议&隐私政策

24、，同意勾选“我 已阅读并同意用户协议&隐私政策”（若对用户协议&隐私政策有疑问，可以联系“深信服”沟通），点击登录按钮即可登录 AC 设备进行配置，默认情况下的用户名和密码均为 admin。如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:登录后检测为弱密码 则提示修改密码，则会弹出如下提示：如果提示超过 15 天都没有修改则强制修改密码.则会弹出如下提示：弱密码修改:如果需要查看当前网关的版本号，点击查看版本，即显示当前设备的版本信息。登录控制台不需要安装任何控件，支持用非 IE 的浏览器登录控制台。2、如何消除登录控制台的证书告警框？登录控制台时，浏览器上会弹出证书警告框，如何消

25、除此警告框？首先，登录控制台，进入系统管理系统配置高级配置WebUI 选项页面：在控制台 SSL 证书颁发给中设置证书的颁发给地址，此处需要设置登录网口的地址， 默认是设备 LAN 口地址。以从 LAN 口登录为例：然后，点击点击下载证书，将证书下载到本地，点击保存证书下载到本地后，双击证书进行安装，安装完成后再从 LAN 口登录，就不会弹出警告框了。从控制台 SSL 证书颁发给中指定的地址登录，并且登录控制台的电脑安装过证书，警告框才会消除。如果从其他地址登录设备，或者电脑上没有安装证书，那么登录控 制台还是会弹出警告框。统一认证中心的登录方式认证服务器和 AC 一致，默认使用 eth0 口

26、登录设备，默认地址 51/24按照前面所示方法接好线后，通过 WEB 界面来配置认证中心设备。方法如下：首先为本机器配置一个 10.251.251.X 网段的 IP（如配置 00），然后在 IE浏览器中输入网关的默认登陆 IP 及端口 51。出现一个如下图 web 页面：在登陆框输入用户名和密码，并阅读用户协议&隐私政策，同意勾选“我 已阅读并同意用户协议&隐私政策”（若对用户协议&隐私政策有疑问，可以联系“深信服”沟通），默认情况下的用户名和密码均为 admin。输入帐号和密码之后即可登录到认证中心服务器页面。配置和使用登录 WebUI 配置界面后，可以看到以下配置模块：包括实时状态、对象定

27、义、用户认证与管理、策略管理、流量管理、终端接入管理、安全防护、VPN 配置、系统管理。所有配置界面中如果有提交按钮，则配置完毕后，一定需要点击该按钮。配置完毕后，配置不会立即生效，一般需要 5-10 秒的时间。如果需要配置立即生效，可以点击控制台页面右下角 按钮。后面的文档不再赘述。控制台右下角 用于实时通知设备的一些系统信息和告警信息。所有配置界面中 图标，当鼠标放到此图标上时，可以显示当前配置项的简要帮助 说明。后面的文档不再赘述。控制台界面中以列表显示配置信息和状态的页面，大部分都可以选择需要显示的列，如 下图所示：以【在线用户管理】页面为例，界面上会显示选中的列信息，选择对应列的正序

28、或者倒序，可以对对应的列进行排序。第 3 章 功能说明增值服务导航通过增值服务导航可以快速跳转 SANGFOR 社区以及帮助管理员激活设备。可通过序列号页面查询服务的有效期。激活设备激活设备可在服务期内享受完整的售后服务、首次激活赠送一个月的远程服务、可查询 硬件质保和在线咨询，并自动在 SANGFOR 社区生成一个账号。新设备以及未曾激活过的设备，管理员登陆控制台后会出现如下在线激活页面，如下图 所示：输入手机号码和验证码，勾选“我接受深信服隐私权保护声明”激活设备，激活后在服务期内享受完整的售后服务、首次激活赠送一个月的远程服务、可查询硬件质保和在线咨询，并自动在 SANGFOR 社区生成

29、一个账号。在激活过的设备控制台点击、时，会自动跳转到 SANGFOR 社区注册设置密码页面，设置密码后完成技术社区的注册：如果同一个用户有多台 SANGFOR 设备，第一台设备激活后，管理员登陆其他SANGFOR 设备的控制台，点击已验证手机号快速的激活设备，如下图所示：完成激活后，可以点击激活信息，确认管理员激活信息正确无误。进入技术社区深信服社区（）是深信服科技向用户提供的以深信服科技产品为核 心，与渠道伙伴和企业员工进行讨论、交流的平台。在设备的控制台页面，有进入技术社区的入口，包括发帖求助、在线咨询和在技术社区 内搜索问题和资料的功能，如下图所示：点击、时，会在浏览器新页面自动跳转到

30、SANGFOR 社区系统。输入注册后的手机号码和密码，就可以进入社区。通过技术社区的自助服务，可以查询到设备的服务器有效期，维修进度，渠道服务资质 和渠道认证证书信息，如下图所示：“信服君”机器人设备控制台合入社区机器人，日常咨询小问题，可以利用机器人，一秒解决您的问题。当设备可以联网时，点击机器人：行为感知系统行为感知系统基于原深信服 AC 外置数据中心的全新架构，基于海量的上网日志，以多种应用商店为载体，提供多种行为感知应用帮助解决分析问题。内置网关提供办公网上网态势、日志中心、带宽分析、泄密追溯分析和未关机检测分析 应用体验。进入行为感知系统后，点击【办公网上网态势分析】该图标后，弹出如

31、下提示：点击确认后启用该项功能。点击【办公网上网态势分析】图标后，直接进入【办公网上网态势分析】系统。点击按钮，弹出更多应用介绍，点击，可以通过提示联系方式申请试用更多应用。办公网上网态势应用场景适用于单设备(办公网)的网络流量以及网络安全监控，通过收集上网行为管理的上网数 据和下一代防火墙的安全数据，针对特定办公网提供网络管理和安全可视化，帮助管理员直 观掌握整体网络上网概况，及时发现威胁并处理。配置方法如上图所示，在地图右上角点击当前位置，设置当前地区位置为您的所在区域，点击确认保存配置。地图中展示的是当前设备访问其他网络地址的情况。点击设置，进入办公网上网态势分析的配置页面，通过设置内容

32、布局、不良内容定义、显示设置等 3 个部分内容，来定义展示内容。点击恢复默认配置，可以将当前配置恢复为默认配置。点击保存，可以将当前配置保存生效。.内容布局如上图所示，设置内容布局：深信服防火墙接入用于启用与深信服防火墙外置对接功能，启用后可以在展示屏上显 示与防火墙相关的板块（需要您的防火墙外置数据中心支持对接）。启用方法：点击启用，填写外置数据中心 IP、外置数据中心端口、接入密钥即可。显示内容分为流量分析和安全分析2 个部分，勾选上的内容都会在首页上展示，选择的内容越多，展示的密度越大，建议选择分辨率合适的屏幕进行展示。流量分析包含总体应用流速趋势、单位流量分布、热点单位轮播、应用流量分

33、布、热 门应用排行等 5 个内容。安全分析包含用户不良应用流量排行、非合规性应用排行、攻击信息、威胁类型分布、 用户不良访问网站行为排行、用户遭受攻击次数排行、用户威胁等级排行、攻击源排行等 8 个内容。布局设置根据需求调整整体布局模型，有大图居左、大图居中、大图局右 3 种选择。标题设置如下图所示，定义首页展示内容的大标题。模块标题如上图所示，定义首页展示的各模块的标题名称。如下图所示，模块名为各模块名称，双击需要修改的模块所在行，即可编辑使用标题处的模块名称，修改完成后，点击确定保存配置。不良内容定义如上图所示，勾选首页需要展示的不良应用和不良网站。不良应用定义中勾选需要展示的具体不良应用

34、类型，不良网站定义中勾选需要展示 的不良网站类型。两者都支持模糊查询。显示设置如上图所示，定义显示设置。查询维度可选以用户组或用户为查询对象。 查询时间定义查询当天最近多少小时的数据。数据刷新频率定义数据刷新的间隔时间。以秒为单位，默认为 180 秒，最小 60 秒，最大支持 3600 秒。内容显示定义不良应用流量阈值百分比，即当不良应用流量占比超过所定义的阈值时，单位状态显示为异常。定义不良访问网站阈值百分百，即当不良访问网站次数占比超过 所定义的阈值时，单位状态显示为异常。显示数量如下图所示，定义首页展示的各模块的最大显示对象数。模块名为各模块名称，双击需要修改的模块所在行，即可编辑最大显

35、示对象数，修改完成后，点击确定保存配置。注意，受展示框大小和美观度影响，请根据实际情况调整展示对象数量。最后，点击保存，并点击是确认保存当前配置。由于办公网上网态势分析的数据采集是实时从 AC 设备上获取的，因此以上所有配置生效后，需要耐心等待一段时间后，才能看到分析结果。办公网上网态势分析如上图所示，鼠标移动到展示模块处，可以查询该模块展示内容的详细数据。红框中展示的是热点单位轮播内容，会以滚动的方式展示每个热点单位的使用情况， 默认以组为单位显示。如需修改为以用户为单位，则在显示设置中的查询维度处修改即可。修改后整个办公网上网态势分析都是以用户为单位的。带宽分析应用场景运维人员想了解内网带

36、宽是否够用、高带宽消耗应用具体有什么，从应用和用户维度了 解流量的使用情况，从而能够及时对内网的带宽做一个调整分析，各个分支对接外置 DC 或行为感知系统 BA 成功后，在带宽分析应用针对单台设备进行分析。配置方法在应用商店选择【带宽分析模块】然后在【我的应用】点击【带宽分析】在右上角选择查看的分支设备，可以查看当天、本周、本月的数据，点击【设置】。 提示：若是内置数据中心，则是没有分支设备选择；若是外置数据中心，则有且 都有线路的选择。超负荷配置：设置超负荷判断条件，分别针对当天、周、月负荷设置条件。高带宽消耗应用配置：设置高带宽消耗应用阈值和自定义选择内网带宽消耗高的应用。数据分析根据设置

37、后的条件，可以看到最近一周的带宽数据分析。 可以根据带宽分析结果对分支某个应用流量比较大的做流控管理。泄密追溯分析应用场景为防护政府或企业内网核心数据有丢失或者是核心人员顺走了机密文件，将重要数据资 产外发的情况，可以使用泄密追溯分析。配置方法在【我的应用】点击【泄密追踪分析】。内置数据中心效果是：内置配置：在界面右上角可以选择查询的日期范围，点击【设置】可以设置泄密应用。外置数据中心效果是：外置配置：在界面右上角可以选择查询的日期范围，点击【设置】可以设置泄密应用。效果分析配置好相关设置之后，可以在主界面查看到内网用户相关的行为。 说明：如果需要体验泄密追踪或风险预警功能，请联系深信服科技了

38、解行为感知 系统。离职倾向分析应用场景为避免公司核心骨干员工突然离职对公司造成损失或者影响，离职倾向分析通过识别用 户的上网行为，提前识别出有离职倾向的员工，帮助企业管理员做好员工离职倾向的事前发 现，并有效接入，减少公司损失。配置方法打开离职倾向分析模块，点击右上角的设置按钮，如下图：组织结构：离职倾向分析主要针对用户部门，如果有用户组没有归属到所属部门，则该 组用户数据不做分析。点击【前往设置】，会跳转到【系统配置】-【应用设置】-【组织 结构设置】，定义好用户组和部门的关系。求职网站：设备内置包括一些常见的求职网站，且只针对 http 的网址进行数据分析， 点击新增，自定义网址。员工白名

39、单：加入到员工白名单的用户不会做分析。恢复设置：将用户配置项恢复到初始状态，包含求职网站，员工白名单等，但是不会影 响到原始日志记录。效果分析点击日期范围的过滤条件，如下图根据前一步做的设置，在离职倾向分析首页会输出相关数据，从部门和个人两个方面，包含离职倾向人数、高危人数、离职倾向部门、离职倾向员工。点 可以查看详细数据。如点击离职倾向员工详细：根据用户简历投递，访问招聘网站次数以及站内搜索关键字和站内职位申请的次数来判断用户离职风险倾向。如果用户有投递简历，站内申请职位的任一行为，设备会标记为高危， 如果只有多次访问招聘网址，设备会标记为疑似。简历投递：对审计下来的 http 外发文件，若

40、文件名包含简历、resume、Resume 任意一个就会识别为简历投递。访问招聘网站：显示访问各个招聘网站的次数，点击“更多”，会跳转到用户访问的详细记录站内申请职位：一般是在招聘网站内进行在线投递简历的行为记录 离职风险数据分析不需要上网行为管理设备开内容审计，只开应用审计即可，只 支持 http 的数据分析。工作效率分析应用场景随着互联网的发展，企业办公网和互联网已经打通，很多业务需要在互联网上进行，因 此员工访问互联网是必然的事情；但企业员工在访问互联网的同时，部分人员在工在上班时 间利用互联网做一些工作无关的内容，导致工作效率下降，工作效率分析可通过自定义不同 的时间段，进行过滤，过滤

41、上班时间段员工的上网时长以及一些访问的无关应用，帮助企业 提高整体人员的工作效率。配置方法定义和工作无关应用，进入工作效率模块，选 设置，如下图：对象时间设置里面选择需要过滤的时间，通过定义怠工标准的时长，然后选择与工作无 关应用，如果需要排除部分用户，则可以添加员工白名单。点击“保存”即可。效果分析效果分析分为 3 大块，【整体怠工分析】、【怠工人员分析】以及【时长分析】，点击每个模块的箭头标记，可以递进查询详细信息，查询效果如下：如要查询某段时间内的以及部分用户的信息，可以如下编辑日期范围以及过滤条件。未关机检测分析应用场景随着发展企业办公电子化普及，提高了办公效率的同时，有些员工不良的工

42、作习惯给企业造成了资源浪费，深信服先提出具有绿色环保、节约企业资源的理念应用“可视电表”未关机分析应用，通过对企业员工上网行为分析，识别出未关机的用户，为企业提供参考数据， 用于化企业内部资源。配置方法首先点击【未关机检测分析】，点击【立即配置】按钮设置对应组织结构效果分析实时状态实时状态实时状态主要用于查看设备的基本状态信息，包括首页、在线用户管理、故障监控中心、流量状态、上网行为监控、受惩用户列表、DHCP 运行状态、安全状态、网安状态检测。首页首页主要用于查看当前设备的一些接入状态以及设备的使用状况，能够及时反应内 网用户当前的上网状态，包括【信息概览】、【流量分析】、【行为风险分析】和

43、【系统状 态】等。首页功能完整使用，要求必须配置设备名称。如果和外置日志中心或外置行为感知系统联动，需要保障 tcp801 端口和外置服务器互通。选择显示模块在【首页】界面点击选择显示模块，如下图，整个首页界面可以分为 4 个部分，其中【行为风险分析】是一个可选项，通过显示模块选择是否显示该项。状态查看信息概览打开【首页】页面即会显示，当前的一个设备状态以及管理状态，对用户，流量，行为 做到可视可控。设备状态显示设备的一个整体使用概况，包括 cpu、内存、磁盘的使用率以及设备序列号状态是否有效。已接入用户查看当前内网用户上网的总人数，并区分 pc、移动终端、多终端等。已受 EDR 保护设备与

44、EDR 对接后，内网终端用户可以收到 EDR 的实时保护，这里会显示保护状态。流量分析主要以最近 1 小时内用户的流量为参考分析，点击【评级设置】可以定义最近 1 小时内的流量评级。点击【查看详情】可以会跳转到内置行为感知系统的带宽分析，可以查看多条外网线路 的带宽利用率。行为日志：实时记录内网用户的上网数据。流量分析流量分析主要包括接口吞吐率折线图、用户流量排名、应用流量排名接口吞吐率折线图【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送和接收数据的情 况，界面如下：点 出现如下图：可以设置选择时间段来显示相应时间段接口转发数据的情况，在选择流量单位设置 显示的流量单位，选择网

45、口来设置具体显示指定的网口。用户流量排名【用户流量排名】用于显示前八名的用户流量排名情况，可以根据上下行流量和会话数来排名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。点 可以设置自动刷新的时间，选择用户名称，可以显示当前用户在使用的应用详细信息。应用流量排名【应用流量排名】用于显示前八名的应用排名情况，可以根据上下行流量和总流速来排 名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。点 可以设置自动刷新的时间，选择用户名称应用类型，可以查看到当时使用该应 用的用户详细信息。行为风险分析行为风险分析主要包括泄密风险、终端接入、工作效率、

46、违规访问和上网安全。 首页行为风险分析数据依靠行为感知系统的应用分析结果，默认关联内置行为感知系统，如果勾选了关闭内置日志中心，以减少设备的资源消耗，提高日志记录性能功能，和外置行为感知系统联动，需要放通设备和外置行为感知系统服务器之间 TCP801端口且设备必须配置设备名称。泄密风险【泄密风险】主要是统计内网用户文件外发等信息，和行为感知 APP 的泄密风险做的联动。默认关联内置行为感知系统，点 可以设置泄密风险参数设置，包括网络暴露应用 以及数据外发应用和适用对象等。点击查看详情可以跳转到内置行为感知系统中泄密追溯分析应用进行数据分析，如果应用未安装或未启用，则会提示此 APP 尚未开启或

47、者是尚未安装。终端接入【终端接入】主要用于显示内网用户是否有私接 wifi 等操作，会实时显示共享接入的人数。点击查看详情会跳转到【终端接入管理】-【共享接入管理】-【共享状态列表】，查看更多共享信息。工作效率【工作效率分析】是检测内网用户某个时间段是否有过多使用影响工作效率的应用。默认关联内置行为感知系统，点 可以设置工作效率参数配置，自定义选择工作 无关的应用、用户组、以及时间对象。点击查看详情，会跳转到数据中心应用时长排行，查看更多用户信息。违规访问【违规访问】是用于查看某个时间段内内网用户是否有违规访问。点 可以设置违规访问参数配置，自定义选择访问违规应用、用户组。点击查看详情，会跳转

48、到数据中心热门应用排行查看更多用户上网信息。上网安全【上网安全】是内网上网安全监控概览，可以看到风险用户情况和具体风险行为次数， 点击“查看详情”，可以跳转到“安全状态”页，查看更多详细信息。系统状态系统状态显示设备当前的系统时间和双机状态，以及设备当前状态下一个并发会话数。接口状态【接口状态】主要用于显示设备各个网口的状态，是否接线以及各个网口发送和接收实 时流量，界面如下：代表网口状态是已连接状态，代表网口状态是未连接状态。在线用户管理查看在线用户在线用户管理主要用于管理已经通过设备认证的在线用户，界面如下：此处可以看到所有的通过设备认证的在线用户的登录名（显示名）、所属组、IP 地址、终

49、端类型、认证方式、登录时间/冻结时间、在线时长以及对其进行操作。在【组织结构】页面的搜索栏中输入关键字来搜索用户组，查询相应用户组的在线用户的情况。在【在线用户管理】中可以以登录名搜索或者IP 地址搜索搜索指定用户，界面如下：过滤在线用户点击过滤条件，可以设置指定条件查看相应的用户，界面如下：用户状态可以选择所有、已冻结用户和活跃用户这三种。终端类型可以选择所有、移动终端、PC、多终端这三种。过滤对象勾选后可以选择根据用户过滤或者是IP 过滤，输入指定的用户或者 IP进行过滤，设置完成点击提交即可。冻结在线用户选中一个或者多个用户点击冻结，便可以立即断开选中用户的上网连接，使其不能通过设备上网

50、，具体操作如下： 选中一个用户：点击冻结或者是在操作栏点击图标，出现如下界面：设置冻结上网时间后，点击提交，该用户就被冻结上网了，此时该用户状态如下：解冻在线用户被冻结的用户需要立即解冻去上网，也可以在此操作，具体操作如下： 选择需要解冻的用户：点击解冻或者是需要解冻的用户的操作一栏点击图标，即可立即解冻该用户。强制注销在线用户管理员在该界面中可以强制注销在线用户，但不能对不需要认证、DKEY 用户和临时用户进行注销，对这类用户点击强制注销会出现如下提示：对密码认证和单点登录的用户可以进行强制注销，具体操作如下： 选中用户：点击强制注销，出现如下界面：点击是，即可注销该在线用户。网络故障监测故

51、障监控中心包括网络故障排查、权限策略故障排查、用户认证故障排查、web 访问质量监测和单用户检测五个部分。用于帮助运维人员、工程师等专业人士进行故障自 查。界面如下：网络故障排查用来监控网络状态，当网络出现异常，提供参考解决方案，目前可以识别有如下 4 种异常：内网 DOS 攻击事件说明：内网 DOS 攻击事件 xx 次，攻击流量会导转发设备性能超限、线路拥塞，造成上网卡慢或者无法访问网络。解决方案：错误类型：内网 DOS 攻击；解决方案：请检查网络拓扑变化，是否构成环路。请隔离对应 ip 设备并对该设备进行病毒查杀。网口丢包异常事件说明：网口丢包事件 xx 次，网口丢包、错误包会造成上网卡慢

52、，影响用户上网体验。解决方案：错误类型：rx_crc_errors；解决方案：该错误表明数据包传输物理层故障。请更换连接 对应网口的网线，或者更换和网线直连的对端网口。ARP 异常事件说明： arp 异常事件 xx 次，设备网关存在 arp 无回复或回复异常。解决方案： 错误类型：ARP 异常；解决方案：请检查网关设备的运行状态及连通性。网关 PPS 异常事件说明： 设备 pps 超限事件 xx 次，pps 超限会造成设备所有控制和审计功能失效。解决方案： 错误类型：网关 PPS 异常；解决方案：设备持续 pps 超限，表明当前设备性能不足，建议对经过设备的流量进行分流，或者联系商务渠道更换更

53、高端平台设备。 效果如图：折线图可以拖动，放大显示关心时间点。最右侧有还原按钮。 功能默认不启用，按需开启功能。可自定义配置检测项：权限策略故障排查上网策略配置后，用户匹配异常工程师无从下手排查，只能通过直通的方式慢慢查找， 效率差！为解决此类问题，深信服推出“权限策略故障排查”工具。工具用来查看用户和上网权限策略匹配情况，当策略匹配的用户与实际期望不符合时， 运维人员或工程师可以使用该功能进行排查。在输入框输入异常用户的 IP 地址，点击开始监测，可以看到该用户匹配到的所有策略。通过与实际需求的对比，找到异常点，调成策略。根据跟踪结果分析该用户的情况。如下图：可以看到具体匹配的应用类型、每个

54、的五元组、是否匹配到、是否特殊放通（全局排除）用户认证故障排查给内网用户关联认证策略后，用户出现异常无法上网、上线错误等异常问题工程师无从 下手排查，只能通过直通的方式慢慢查找，效率差！或者联系 400 工程师远程排查，缺乏自主性等等，为解决此类问题，深信服推出“用户认证故障排查”工具。工具用来查看用户在认证过程中出现的异常情况，将异常结果显示到控制台，方便运维 人员或工程师利用工具进行定位，从而解决问题。在输入框输入异常用户的用户名/IP/mac 地址，点击搜索，可以看到改用户认证过程中的异常情况，跟进提示，调整异常配置或环境。 PAGE 69web 访问质量监测主要用于显示设备监测网络质量

55、，对设备出口网络状态及所有上网 IP 进行质量评估， 结果分两类：优、差，结果为差时将提供潜在问题分析建议；可以用来查看当前网络质量监 测状态，近日网络质量，当前网络质量及网络诊断结果。勾选【启用 Web 访问质量监测】根据提示选择是，Web 访问质量监测功能。点击用于设置监测网络质量定义（同 Web 访问质量监测）；实时质量定义（5 分钟）：每 5 分钟记录一次默认质量定义有三种：优，良，差。用户可以自定义监测百分比。统计网络质量的活跃用户少于 N 人数可以自定义填写。默认 10 人，允许输入 1 - 100之间的数字。全天质量查的定义：用于监测判断，当全天质量查的时间累积超过 N 分钟时，

56、判断为网络质量差，默认 30 分钟，允许输入 10 - 300 之间的数字。【选择日期】可以查看一周内的网络质量状态。【监测对象】用来选择网络监测的网站。默认选择所有网站。用户也可以指定要监测的 网站，最多可以有 3 个监测列表，每个列表最多 100 个域名。点击自定义网站列表进行切换监测网站。点击管理，进行编辑网站列表。鼠标移到波形图上，出现悬浮框，可以看到详细的网络质量状态，当网络质量为差的时 候，可以点击查看，进行查看上网慢用户列表。横坐标是时间，每 5 分钟一个点，00:00，00:05，00:10 每个点显示的是之前 5 分钟内的用户汇总信息，如当前是 00:05，则显示 00:00

57、00:05 的汇总。纵坐标是统计到的在上网的用户个数，网络质量好的用户数+差的用户数。 鼠标移到波形图上，可以查看当前时间上网质量优和差的用户个数。【网络诊断结果】用来查看详细的网络质量，可以显示若干条详细网络质量较差的原因：1.未开启流控。2.带宽不足（如果当天存在连续 10 分钟 http 流量占带宽 90%）。3.P2P 抢占带宽，建议限速，（如果当天连续 10 分钟 p2p 流量占带宽 90%）。4.建议设置保证通道 （流控有丢包 10%以上且未设保证通道）。5.策略（xxx）流控限制较低。6.策略（xxx）连接数限制较低。7.今日某时 pps 有突发。8.DNS 配置错误。9.提示内

58、侧或外侧性能瓶颈。单用户检测提供单用户检测功能，在整体网络质量判定不能解决问题时，可以对单用户进行针对性 检测。例如：在发现用户 A 的在上网慢的列表中，可以在单用户检测检测对象中输入用户名或 IP 地址或者点击选择用户在下列组织结构中勾选用户：确定提交后，在监测地址点击设置，设置监控地址：终端页面重定向：可以选择访问百度是重定向到测试页面或者所有 web 访问重定向到测试页面。监视地址：可以选择使用内置监测地址库或者自定义监测地址确定提交后，点击开始设置以 HYPERLINK / 为例：用户访问 HYPERLINK / ，重定到测试页面。点击开始测试后，用户开始检测。测试时会有时间提示。此时

59、，管理员页面显示开始检测：用户检测完毕：管理员页面显示检测结果。流量状态流量状态主要用于显示设备的在线用户的流量信息、各个应用的流量信息、流量管 理的通道状态信息和连接监控等信息。用户流量排名查看用户排名用户流量排名主要用于显示在线用户的使用带宽的情况，界面如下：如图：根据用户上行和下行流速进行排名。显示内容分别包含：用户名、所属组、上下 行流速、总流速、会话数、是否冻结上网、获取机器名和流量构成。在冻结上网一栏点击，用于将对应的用户冻结上网；在获取机器名一栏点击获取，用来获取对应用户计算机名；在流量构成一栏，点击应用会出现如下界面，来显示该用户具体的应用流量：点击刷新间隔：5 秒用于设置页面

60、上的排行刷新时间间隔；点击立即刷新可以立即进行刷新。过滤用户排名点击过滤条件，可以指定具体用户流量排名的过滤条件。过滤类型用于设置查看的线路和应用，界面如下：选择线路选择具体需要查看的线路，应用类型用于指定需要查看是应用服务，点击 后出现如下页面： PAGE 79筛选里面有显示全部、显示选中和显示未选三种选择，下面可以勾选具体的应用，右边已选列表显示已经选中的应用，点确定即可保存。过滤对象是用来设置具体的用户或者 IP，界面如下：组过滤、用户过滤、IP 过滤三个条件只能选择一个，其中组过滤中“/”是表示所有组，点击选择会出现如下界面：勾选需要查看的组，或者是在空行里输入相应组名，然后点击确定即