A07-交付-AC-管理员手册v11

1、管理员手册深信服科技技股份有有限公司司修订历史编号修订内容简简述修订日期修订前版本本号修订后版本本号修订人1完成管理员员手册编编写20161100881.01.0lxf2优化20160081881.01.1maruii 版权声声明本文中出现现的任何何文字叙叙述、文文档格式式、插图图、照片片、方法法、过程程等内容容，除另另有特别别注明，版版权均属属深信服服科技股股份有限限公司所所有，受受到有关关产权及及版权法法保护。任任何个人人、机构构未经深深信服科科技股份份有限公公司的书书面授权权许可，不不得以任任何方式式复制或或引用本本文的任任何片断断。目录TOC o 1-3 h u HYPERLINK l

2、 _Toc31165 目录 PAGEREF _Toc31165 3 HYPERLINK l _Toc1471 第1章 前前言 PAGEREF _Toc1471 5 HYPERLINK l _Toc24603 第2章 系系统管理理 PAGEREF _Toc24603 5 HYPERLINK l _Toc21333 2.1 设设备登录录 PAGEREF _Toc21333 5 HYPERLINK l _Toc14956 2.2 管管理员配配置 PAGEREF _Toc14956 7 HYPERLINK l _Toc11206 2.2.11 修改改管理员员密码 PAGEREF _Toc11206 7

3、 HYPERLINK l _Toc26889 2.2.22 创建建二级管管理员 PAGEREF _Toc26889 7 HYPERLINK l _Toc11707 2.3 系系统基本本信息配配置 PAGEREF _Toc11707 9 HYPERLINK l _Toc6369 2.3.11 序列列号 PAGEREF _Toc6369 9 HYPERLINK l _Toc24492 2.3.22 系统统时间 PAGEREF _Toc24492 10 HYPERLINK l _Toc5833 2.3.33 规则则库升级级 PAGEREF _Toc5833 10 HYPERLINK l _Toc88

4、09 2.3.44 全局局排除地地址 PAGEREF _Toc8809 11 HYPERLINK l _Toc12887 2.3.55 设备备配置备备份与恢恢复 PAGEREF _Toc12887 11 HYPERLINK l _Toc22798 2.3.66 WEEBUII选项 PAGEREF _Toc22798 12 HYPERLINK l _Toc21649 2.3.77 远程程维护 PAGEREF _Toc21649 12 HYPERLINK l _Toc31108 第3章 网网络配置置 PAGEREF _Toc31108 13 HYPERLINK l _Toc20713 3.1 部部

5、署模式式 PAGEREF _Toc20713 13 HYPERLINK l _Toc4591 3.2 静静态路由由 PAGEREF _Toc4591 17 HYPERLINK l _Toc27499 第4章 策策略管理理 PAGEREF _Toc27499 18 HYPERLINK l _Toc29379 4.1 用用户认证证与管理理 PAGEREF _Toc29379 18 HYPERLINK l _Toc9475 4.1.11 用户户组管理理 PAGEREF _Toc9475 18 HYPERLINK l _Toc27225 4.1.22 认证证策略 PAGEREF _Toc27225 1

6、9 HYPERLINK l _Toc10051 4.1.33 不需需要认证证 PAGEREF _Toc10051 20 HYPERLINK l _Toc9777 4.1.44 IPP/MAAC绑定定 PAGEREF _Toc9777 22 HYPERLINK l _Toc13079 4.1.55 不允允许认证证 PAGEREF _Toc13079 27 HYPERLINK l _Toc12103 4.2 策策略管理理 PAGEREF _Toc12103 28 HYPERLINK l _Toc21054 4.2.11 购物物娱乐类类网站 PAGEREF _Toc21054 28 HYPERLIN

7、K l _Toc25134 4.2.22 P22P及PP2P流流媒体封封堵 PAGEREF _Toc25134 32 HYPERLINK l _Toc2243 4.2.33 外发发文件封封堵 PAGEREF _Toc2243 35 HYPERLINK l _Toc31310 4.2.44 上网网审计 PAGEREF _Toc31310 38 HYPERLINK l _Toc10935 4.3 流流量管理理 PAGEREF _Toc10935 40 HYPERLINK l _Toc4876 4.3.11 线路路带宽配配置 PAGEREF _Toc4876 40 HYPERLINK l _Toc4

8、940 4.3.22 保证证通道 PAGEREF _Toc4940 41 HYPERLINK l _Toc13572 4.3.33 限制制通道 PAGEREF _Toc13572 45 HYPERLINK l _Toc15848 4.4 终终端接入入管理 PAGEREF _Toc15848 50 HYPERLINK l _Toc6342 4.4.11 共享享接入管管理 PAGEREF _Toc6342 50 HYPERLINK l _Toc21925 第5章 日日志中心心管理 PAGEREF _Toc21925 52 HYPERLINK l _Toc16831 5.1 设设备系统统日志 PAG

9、EREF _Toc16831 52 HYPERLINK l _Toc18769 5.2 日日志中心心配置 PAGEREF _Toc18769 53 HYPERLINK l _Toc6885 5.2.11 准备备工作 PAGEREF _Toc6885 54 HYPERLINK l _Toc18815 5.2.22 外置置日志中中心安装装过程 PAGEREF _Toc18815 55 HYPERLINK l _Toc32547 5.2.33 日志志中心登登录 PAGEREF _Toc32547 60 HYPERLINK l _Toc22412 5.2.44 同步步策略设设置 PAGEREF _To

10、c22412 60 HYPERLINK l _Toc26946 5.2.55 ACC同步配配置 PAGEREF _Toc26946 62 HYPERLINK l _Toc3709 5.3 日日志中心心登录 PAGEREF _Toc3709 62 HYPERLINK l _Toc20005 5.3.11 内置置日志中中心登录录 PAGEREF _Toc20005 62 HYPERLINK l _Toc1490 5.3.22 外置置日志中中心登录录 PAGEREF _Toc1490 63 HYPERLINK l _Toc11471 5.4 日日志查询询 PAGEREF _Toc11471 64 H

11、YPERLINK l _Toc30714 5.4.11 所有有行为日日志 PAGEREF _Toc30714 64 HYPERLINK l _Toc6021 5.4.22 网站站访问日日志 PAGEREF _Toc6021 67 HYPERLINK l _Toc12657 5.4.33 邮件件收发日日志 PAGEREF _Toc12657 69 HYPERLINK l _Toc18162 5.4.44 发帖帖/发微微博日志志 PAGEREF _Toc18162 70 HYPERLINK l _Toc13779 5.4.55 其他他日志 PAGEREF _Toc13779 73 HYPERLIN

12、K l _Toc3960 5.4.66 日志志导出 PAGEREF _Toc3960 73 HYPERLINK l _Toc12894 5.5 流流量时长长分析 PAGEREF _Toc12894 74 HYPERLINK l _Toc4636 5.6 报报表中心心 PAGEREF _Toc4636 75 HYPERLINK l _Toc20928 5.7 系系统管理理 PAGEREF _Toc20928 76 HYPERLINK l _Toc3496 第6章 VVPN配配置 PAGEREF _Toc3496 77 HYPERLINK l _Toc25383 6.1 SSanggforr VP

13、PN配置置 PAGEREF _Toc25383 77 HYPERLINK l _Toc6644 6.2IPPsecc VPPN配置置 PAGEREF _Toc6644 82 HYPERLINK l _Toc5860 第7章 技技术支持持 PAGEREF _Toc5860 88第1章 前前言本手册用于于讲解AAC常见见功能操操作方法法，为管管理员提提供日常常策略维维护指导导。第2章 系系统管理理2.1 设设备登录录首先确保本本机从网网络可以以访问到到设备管管理IPP地址，然然后在浏浏览器中中输入网网关的IIP及端端口htttpss:/1922.x.x.2254。出出现一个个如下图图的安全全提示：

14、点击后后出现以以下的登登录界面面：在登陆框输输入【用用户名】和和【密码码】，点点击按按钮即可可登录AAC设备备进行配配置，默默认情况况下的用用户名和和密码均均为addminn。如果用户密密码过于于简单,则会被被检测为为弱密码码,在控控制台的的处理为为:登录录后检测测为弱密密码则提提示修改改密码，则则会弹出出如下提提示：如果提示超超过155天都没没有修改改则强制制修改密密码.则则会弹出出如下提提示： 弱弱密码修修改:2.2 管管理员配配置在【系统管管理】-【系统统配置】-【管理理员账户户】页面面，可修修改addminn管理员员密码、删删除管理理员账号号以及创创建二级级管理员员。2.2.11 修改

15、改管理员员密码管理员账户户页面找找到addminn管理员员，直接接点击，输入入旧密码码，并设设置新密密码即可可修改aadmiin账号号的密码码信息。注：admmin账账号只可可修改密密码，不不可删除除。2.2.22 创建建二级管管理员在管理员账账户页面面，点击击可以以创建二二级管理理员。设备确实管管理员角角色有两两种：adminnisttrattor：内置的的角色，该该角色的的管理员员自动拥拥有管理理整个组组织结构构的管辖辖范围，并并且还能能够添加加删除管管理员帐帐户。commoon：系系统缺省省创建的的角色，可可通过角角色管理理添加或或者删除除角色，该该角色可可设置管管理员可可以管理理的组织

16、织结构范范围。如果选择管管理员角角色为ccommmon，在在处，可可以设置置该管理理员可以以管理的的组织结结构范围围。在处，可可设置该该管理员员可以查查看或编编辑的控控制台页页面。2.3 系系统基本本信息配配置2.3.11 序列列号在【系统管管理】-【系统统配置】-【序列列号】页页面，可可以查看看设备当当前的授授权信息息。序列号一般般在出厂厂时已设设置好，正正常使用用过程中中无需修修改，只只有当设设备相关关服务到到期时，才才需要修修改相关关序列号号。2.3.22 系统统时间【系统管理理】-【系系统配置置】-【系系统时间间】用于于设定SSANGGFORR 设备备的系统统时间。可可以直接接在界面面

17、上修改改时间，也也可以选选择与时间服服务器进行时时间的同同步。注：设备日日志记录录的时间间与系统统时间相相关，请请注意确确保设备备系统时时间的准准确性，手手动获取取本地时时间和系系统时间间会重启启设备，请请勿工作作时间操操作。2.3.33 规则则库升级级【系统管理理】-【系系统配置置】-【系系统更新新】-【规规则库升升级】可可以查看看当前设设备规则则库的最最新状态态，请确确保设备备管理IIP能够够访问互互联网，以以便设备备自动更更新规则则库。2.3.44 全局局排除地地址【系统管理理】-【系系统配置置】-【全全局排除除地址】可可设置指指定用户户IP或或访问的的目标服服务器的的IP不不受任何何监

18、控和和控制，直直接放行行。排除除地址支支持填写写IPVV4地址址、IPPV6地地址、域域名。点击页面的的，在在文本框框内输入入需要排排除的IIP或域域名即可可。2.3.55 设备备配置备备份与恢恢复【配置备份份与恢复复】用于于将设备备已有的的配置下下载保存存，或者者是将已已备份的的配置文文件恢复复到设备备中。2.3.66 WEEBUII选项【系统管理理】-【系系统配置置】-【高高级配置置】-【WWEBUUI选项项】页面面可以设设置当前前的页面面参数，如如默认编编码、控控制登录录端口、超超时时间间等。2.3.77 远程程维护【系统管理理】-【系系统配置置】-【高高级配置置】-【远远程维护护】页面

19、面用于设设置是否否允许从从外网口口远程登登录设备备，以及及自动上上报未识识别URRL、系系统错误误、未知知应用信信息和技技术支持持协助。用于设设置是否否允许从从外网口口远程登登录设备备，勾选选此项的的同时，设设备的WWAN口口自动开开启允许许pinng，平平时一般般建议关关闭该选选项。第3章 网网络配置置3.1 部部署模式式AC设备支支持路由由模式、网网桥模式式、旁路路模式和和认证模模式四种种部署模模式。路由模式:一般用用于没有有防火墙墙的中小小客户。设设备做为为一个路路由设备备使用，对对网络改改动最大大，但可可以实现现设备的的所有的的功能；网桥模式：可以把把设备视视为一条条带过滤滤功能的的网

20、线使使用，可可不更改改原有网网络拓扑扑结构的的情况下下平滑架架到网络络中。目目前在客客户中使使用最多多的部署署模式；旁路模式：仅做旁旁路审计计，需要要交换机机做镜像像至ACC。认证模式：用户统统一认证证上网，认认证中心心只支持持单臂模模式部署署在网络络中，每每分支部部署一台台AC用用于上网网管理，认认证中心心在总部部，各分分支ACC和总部部认证中中心对接接，实现现统一认认证；另另一场景景一般有有第三方方无线控控制器，认认证中心心和无线线控制器器对接，实实现统一一认证，出出口部署署AC实实现上网网管控。（认认证中心心不能单单独部署署，需要要结合AAC或第第三方无无线控制制器）本例以网桥桥模式部部

21、署为案案例，配配置需求求及步骤骤如下：需求：目前前网络已已部署防防火墙设设备IPP地址为为1922.1668.11.1/24，内内网三层层环境，核核心交换换机地址址1922.1668.11.2/24，AAC网桥桥部署在在防火墙墙和核心心交换机机之间，分分配给AAC设备备的地址址为1992.1168.1.33，配置置步骤如如下：1.通过【系系统管理理】-【网网络配置置】-【部部署模式式】进入入配置界界面，点点击，选选择。2. 点击击，选选择网桥桥的网口口。 本本案例采采用ETTH0和和ETHH2作为为一对网网桥口，EETH00作为LLAN区区网口，EETH22作为WWAN区区网口。 3.点点击，

22、设置置AC设设备的网网桥IPP： 44.点击击，设设置DMMZ管理理口的IIP地址址，可保保持默认认配置：5.点击，设设置设备备上网的的网关和和DNSS：6.点击，确确认和提提交配置置：注：点击后，设设备会自自动重启启，重启启时间一一般为11-5分分钟，请请勿在工工作时间间修改设设备部署署模式配配置。3.2 静静态路由由如上需求，由由于内网网三层环环境，需需要增加加内网网网段的回回包路由由指向核核心交换换机，如如内网有有1922.1668.110.00/244、1992.1168.20.0/224等。1.通过【系系统管理理】-【网网络配置置】-【静静态路由由】进入入配置界界面。2.点击，设置置

23、需要添添加的路路由目的的地址、子子网掩码码，下一一跳指向向核心交交换机。3.点击完成配配置，如如果有多多个网段段，可添添加多条条路由。第4章 策策略管理理4.1 用用户认证证与管理理4.1.11 用户户组管理理为了便于区区分员工工角色进进行策略略管理，我我们可以以将上网网用户进进行分组组管理，【用用户认证证与管理理】-【用用户管理理】-【组组/用户户】页面面是ACC用户组组织结构构管理的的地方。在该页面下下选择指指定组，可可在该组组下创建建用户以以及用户户组，在在右边点点击，选选择新增增类型定义组名，如如“市场部部”，点击击提交即即可，该该组适用用的上网网策略，可可在后面面策略管管理时指指定。

24、4.1.22 认证证策略【认证策略略】决定定了某个个IP/网段/MACC地址上上计算机机的认证证方式。通通过【认认证策略略】设置置内网用用户的认认证方式式，以及及新用户户添加的的策略。认证策略是是从上往往下逐条条匹配的的，可以以通过页页面上的的移动按按钮来调调整认证证策略优优先级。通通过认证证策略可可以为不不同的网网段配置置不同的的认证方方式。认证策略可可以指定定的认证证方式有有不需要要认证、密密码认证证、单点点登录、不不允许认认证4种种，根据据不同的的认证策策略可实实现不同同的用户户认证需需求。4.1.33 不需需要认证证在认证策略略页面点点击设置该策略略适用的的范围后后点击，适适用范围围可

25、以是是IP、MMAC、IIP段以以及子网网。选择认证方方式为，继续续点击选择用户以以组织结结构中那那个组的的身份上上线后点点击即即可。4.1.44 IPP/MAAC绑定定二层环境1与不需需要认证证用户设设置方法法相同，但但方式式需勾选选-选项项2用户上上网后，在在【用户户认证与与管理】-【用户户管理】-【IPP/MAAC绑定定】页面面可以看看到系统统自动绑绑定了终终端第一一次上网网的IPP和MAAC信息息，在该该页面可可对相关关信息进进行添加加、删除除和修改改操作。三层环境三层环境下下，由于于内网用用户经过过三层交交换机后后，MAAC地址址会被三三层交换换机替换换掉，因因此还需需要在核核心交换

26、换机上开开启SNNMP服服务，以以支持AAC跨三三层环境境下的IIP/MMAC绑绑定。1.在核心心交换机机上开启启SNMMP服务务。华为交换机机的配置置命令：systeem_vviewwsnmp-ageent commmunnityy reead pubblicc； 其中中pubblicc为三层层交换机机的Coommuunittysnmp-ageent syss-innfo verrsioon aall； 其中中alll表示所所有版本本思科交换机机的配置置命令：confiig ttermminaal 进进入全局局配置状状态Cdp rrun 启启用CDDPsnmp-serrverr coommu

27、unitty ppubllic ro 其中中pubblicc为三层层交换机机的Coommuunittysnmp-serrverr ennablle ttrapps 允允许设备备将所有有类型SSNMPP Trrap发发送出去去注：三层交交换机需需启用SSNMPP协议，AAC作为为SNMMP客户户端通过过SNMMP读取取交换机机，只支支持SNNMPvv1,vv2,vv2c,不支持持v3。2.在【用用户认证证与管理理】-【认认证高级级选项】-【跨三三层取MMAC】页页面，开开启跨三三层MAAC识别别功能。可以新增多多个SNNMP服服务器，如如果内网网存在多多个三层层交换机机，则每每个三层层交换机机的

28、SNNMP选选项均需需要开启启，如下下图点击上图“查看服服务器信信息”测试能能否从交交换机获获取PCC的IPP和MAAC，有有返回结结果则能能正常获获取，如如下图完成新增SSNMPP服务器器后，可可以查看看配置的的所有交交换机当当前snnmp获获取的结结果，如如下图接下来，需需要配置置排除核核心交换换机的MMAC地地址，如如下图。实际使用时时，可开开启设备备自动识识别三层层交换机机的MAAC，并并自动添添加到MMAC地地址排除除列表，如如下图启用“自动动添加排排除”，定义义10分分钟内同同一个IIP对应应的MAAC地址址记录数数，推荐荐配置55。当同同一个MMAC达达到设置置条件时时，ACC认

29、为是是三层交交换机的的MACC地址，自自动将其其排除。3.与二次次环境一一样，设设置认证证策略，选择自自动录入入IP和和MACC的绑定定关系。4.1.55 不允允许认证证认证方式设设置为的网段段，将无无法通过过设备访访问任何何网络。在认证策略略页面点点击设置该策略略适用的的范围后后点击直接点击即可。4.2 策策略管理理【策略管理理】模块块设置的的策略主主要包含含封堵、审审计等策策略，以以下分别别以案例例的形式式介绍一一些常见见的策略略设置方方式。4.2.11 购物物娱乐类类网站需求：禁止止全公司司上班时时间访问问购物、娱娱乐类网网站。1.【策略略管理】-【上网网策略】，右右边进入入【上网网策略

30、】编编辑页面面。然后后点击新新增按钮钮，选择择上网权权限策略略，进入入编编辑界面面。填写写策略名名称，描描述信息息。2.勾选-，右边边进入窗窗口。点点击添加加按钮。3.点击应应用下方方的，进进入【选选择应用用】窗口口。4.展开应应用“访问网网站”，选择择 “网上购购物”和“娱乐”5.点击确确定按钮钮。回到到应用控控制页面面。生效效时间选选择上班班时间，动动作选择择为拒绝绝。点击击确定按按钮，完完成网上上购物和和娱乐类类网站拒拒绝设置置。6.选择选选项，进进行策略略与用户户/组关关联，勾勾选“所有用用户”，即可可关联全全网用户户。7.点击提提交按钮钮，完成成整个策策略设置置。4.2.22 P22

31、P及PP2P流流媒体封封堵需求：禁止止市场部部门用户户及其所所有子组组在上班班时间使使用P22P和PP2P流流媒体。1.【策略略管理】-【上网网策略】，右右边进入入【上网网策略】编编辑页面面。然后后点击新新增按钮钮，选择择上网权权限策略略，进入入编编辑界面面。填写写策略名名称，描描述信息息。2.勾选-，右边边进入窗窗口。点点击添加加按钮。3.点击应应用下方方的，进进入【选选择应用用】窗口口。4.选择应应用“P2PP”和“P2PP流媒体体”5.点击确确定按钮钮。回到到应用控控制页面面。生效效时间选选择上班班时间，动动作选择择为拒绝绝。点击击确定按按钮，完完成P22P和PP2P流流媒体应应用拒绝绝

32、设置。6.选择选选项，进进行策略略与用户户/组关关联。7.点击提提交按钮钮，完成成整个策策略设置置。4.2.33 外发发文件封封堵需求：为了了避免公公司重要要资料通通过网络络外泄，禁禁止研发发和财务务部门一一切外发发行为。1.【策略略管理】-【上网网策略】，右右边进入入【上网网策略】编编辑页面面。然后后点击新新增按钮钮，选择择上网权权限策略略，进入入编编辑界面面。填写写策略名名称，描描述信息息。2.勾选-，右边边进入窗窗口。点点击添加加按钮。3.点击应应用下方方的，进进入【选选择应用用】窗口口。4.选择左左侧应用用标签“外发文文件泄密密风险”。 5.点击确确定按钮钮。回到到应用控控制页面面。生

33、效效时间选选择全天天，动作作选择为为拒绝。点点击确定定按钮，完完成外发发文件封封堵设置置。6.选择选选项，选选择“研发部部”和“财务部部”。7.点击提提交按钮钮，完成成整个策策略设置置。4.2.44 上网网审计需求：对内内网所有有用户开开启审计计，审计计所有网网络行为为。1.【策略略管理】-【上网网策略】，右右边进入入【上网网策略】编编辑页面面。然后后点击按钮，选选择上网网审计策策略，进进入【上上网审计计策略】界界面。填填写策略略名称，描描述信息息。2.勾选-，右边边进入编编辑窗口口。点击击，进进入添加加审计对对象页面面。3.点击审审计对象象下方的的按钮，进进入编辑窗窗口。选选择需要要开启的的

34、审计记记录，设设置审计计访问网网站的UURL。选选择为上上班时间间。注：不建议议开启未未识别的的网络应应用日志志，该日日志类似似防火墙墙日志，对对上网行行为管理理审计来来说意义义不大。4.选择适适用的对对象，这这个需求求选择即即可：5.点击按钮，完完成整个个策略。4.3 流流量管理理【流量管理理】支持持保证和和限制通通道两种种形式，分分别用于于针对重重要应用用的流量量保障和和大流量量应用的的带宽限限制， 4.3.11 线路路带宽配配置设置流量管管理配置置前，需需要先根根据出口口互联网网带宽设设置带宽宽参数。点击对应的的线路名名称即可可编辑带带宽参数数，如下下图设置置线路11上行44Mbpps，

35、下下行1000Mbbps4.3.22 保证证通道需求：针对对HTTTP访问问网站、DDNS、视视频会议议保证上上行2MMbpss，下行行20MMbpss，以确确保网络络繁忙时时这些应应用能优优先处理理。1. 【流流量管理理】-【通通道配置置】，右右边进入入【通道道配置】编编辑页面面。然后后点击按按钮，选选择一级级通道，进进入【新新增一级级通道】界界面。填填写策略略名称。2.选则，设设置上行行带宽保保证2MMbpss，下行行带宽保保证200Mbpps，优优先级高高。3.点击。适用应用选选择，点击击进入按按钮，进进入编辑辑窗口。4.选择应应用访问问网站、DDNS、网网络会议议，点击击。5.点击按钮

36、，完完成整个个策略。4.3.33 限制制通道需求：针对对普通员员工，限限制整个个组的PP2P和和P2PP流媒体体上行不不超过11Mbpps，下下行不超超过100Mbpps，单单用户最最大上行行5000Kbpps，下下行1MMbpss，以避避免普通通员工PP2P下下载占满满带宽，应应用其他他正常办办公业务务。1. 【流流量管理理】-【通通道配置置】，右右边进入入【通道道配置】编编辑页面面。然后后点击按按钮，选选择一级级通道，进进入【新新增一级级通道】界界面。填填写策略略名称。2.选择，设设置上行行带宽最最大1MMbpss，下行行带宽最最大100Mbpps。3.勾选，设设置上行行5000kbpps

37、，下下行1MMbpss。4.点击。5.适用应应用选择择，点点击进入入按钮，进进入编辑辑窗口。6.选择应应用P22P、PP2P流流媒体，点点击。7.适用对对象选择择，点点击进入入按钮，进进入编辑辑窗口。8.选择-组，点点击。9.点击按钮，完完成整个个策略。4.4 终终端接入入管理4.4.11 共享享接入管管理需求：用户户内网存存在大量量电脑，移移动终端端共享热热点，需需要封堵堵电脑和和移动用用户的通通过代理理方式上上网的行行为。配配置步骤骤如下：1.【终端端接入管管理】-【共享享接入管管理】，右右边进入入【共享享接入管管理】的的配置页页面。勾勾选启用用共享接接入检测测，如下下图所示示：2.在【共

38、共享接入入管理】页页面，点点击，如下下图所示示：选择择“统计所所有终端端”，可识识别PCC与PCC、PCC与移动动终端，移移动终端端与移动动终端之之间的共共享。选择择，一一个IPP地址只只允许一一个用户户上线。3.【终端端接入管管理】-【共享享接入管管理】，右右边进入入【信任任列表】的的配置页页面，对对不需要要开启代代理检测测的用户户、用户户组或IIP地址址，添加加到信任任列表。如如下图所所示：注：共享终终端管理理存在一一定误判判几率，建建议可先先开启检检测不冻冻结运行行一段时时间后，确确认误判判率比较较低后，再再开启冻冻结。第5章 日日志中心心管理企业对上网网日志审审计的需需求主要要是因为为

39、政府监监管部门门明文要要求及出出现事故故后能够够事后追追踪，中中华人民民共和国国网络安安全法为为保障网网络安全全，维护护网络空空间主权权和国家家安全、社社会公共共利益，保保护公民民、法人人和其他他组织的的合法权权益，促促进经济济社会信信息化健健康发展展制定。由由全国人人民代表表大会常常务委员员会于220166年111月7日日发布，自自20117年66月1日日起施行行。中华人民民共和国国网络安安全法要要求：第三章网络络运行安安全 第一节 一一般规定定第二十一条条 国家家实行网网络安全全等级保保护制度度。网络络运营者者应当按按照网络络安全等等级保护护制度的的要求，履履行下列列安全保保护义务务，保障

40、障网络免免受干扰扰、破坏坏或者未未经授权权的访问问，防止止网络数数据泄露露或者被被窃取、篡篡改：采取监测、记记录网络络运行状状态、网网络安全全事件的的技术措措施，并并按照规规定留存存相关的的网络日日志不少少于六个个月；5.1 设设备系统统日志设备本身记记录300天系统统日志，为为了满足足网络安安全法六六个月以以上日志志保存的的要求，建建议配置置AC设设备的【系系统管理理】【高级级配置】【外部syslog设置】功能，将系统日志保存到外部syslog日志服务器上。5.2 日日志中心心配置AC设备出出厂时一一般自带带了5000G的的硬盘，可可直接使使用内置置日志中中心。如如果您需需要保存存的日志志时

41、间较较长，由由于设备备内置存存储的硬硬盘容量量有限，并并且设备备日志查查询和报报表统计计会消耗耗一定设设备的性性能，建建议安装装外置日日志中心心，设备备会将相相关日志志同步到到外置数数据中心心。计算公式：1.上网审审计按照照推荐开开启功能能：按照步骤一一配置后后，理论论评估一个个用户一一天产生生日日志2M*日均均累计用用户数*1800（天）=大致66个月日日志量，从从而进行行估算磁磁盘空间间是否充充足如果不是确确认是否否为5000G硬硬盘，请请联系深深信服科科技确认认磁盘大大小如果计算的的日志量量超过5500GG，请一一定要选选择外置置数据中中心5.2.11 准备备工作1、20008及之之后的

42、服服务器操操作系统统，并且且系统要要求是664位操操作系统统。（请请根据内内置日志志中心每每天日志志量合理理评估服服务器的的存储空空间，NNTFSS格式）注：每天日日志量超超过200G，服服务器配配置选型型请咨询询深信服服技术支支持工程程师。2、数据中中心安装装包，请请登录深深信服官官网下载载相应的的数据中中心版本本： HYPERLINK /plugin.php?id=service:download&action=view&fid=100000002253587#/100000007141875/all http:/bbbs.sanngfoor.ccom/pluuginn.phhp?iid=

43、sservvicee:doownlloadd&acctioon=vvieww&fiid=11000000000222535587#/10000000000714418775/aall注：中文安安装包支支持在简简体中文文和繁体体中文操操作系统统上运行行，英文文安装包包仅支持持在英文文操作系系统上运运行。3、日志中中心服务务器和AAC之间间需开放放 TCCP 8810，以以供数据据同步。4、日志中中心服务务器需开开放4443端口口（可修修改），以以供外置置日志中中心登录录。5.2.22 外置置日志中中心安装装过程从深信服网网站上下下载DaataCCentterSSetuup_111.00.exxe

44、安装装程序，双双击DaataCCentterSSetuup_111.00.exxe程序序，即出出现程序序安装向向导，界界面如下下图所示示：点击，选选择是否否同意许许可协议议，勾选选，即即可点击击，继继续安装装，界面面如下图图所示：点击，弹弹出如下下界面：这一步用于于设置程程序安装装目录、日日志存放放目录以以及附件件的存放放目录：点击，弹弹出如下下界面：这一步用于于设置WWeb服服务的监监听端口口，推荐荐使用默默认的4443端端口（登登陆方式式：htttpss:/ip），如如果4443端口口已被其其他程序序占用，则则可以修修改成服服务器上上其他的的空闲端端口，界界面如下下图所示示：设置好Weeb

45、服务务端口，点点击，弹出出如下界界面：设设置磁盘盘预警。请请提供足足够的磁磁盘空间间用于存存放期望望的日志志量（依依据网络络安全法法要求，推推荐配置置1800天以上上）。点击：设置是是否开启启磁盘异异常告警警和数据据中心异异常告警警点击，设设置预警警邮件的的发送和和接收邮邮件地址址：点击，安安装程序序会弹出出详细的的配置信信息，界界面如下下图所示示：如果确认这这些信息息无误，则则点击安安装，此此时程序序将自动动安装，整整个安装装过程可可能会占占用您22-3分分钟，请请耐心等等待。安安装完成成后，会会出现如如下界面面：点击完成，即即完成了了数据中中心的整整个安装装过程。5.2.33 日志志中心登

46、登录日志中心安安装过程程中如果果采用默默认端口口4433，则日日志中心心的访问问地址访访问地址址是： HYPERLINK https:/服务器IP地址 httpss:/服务器器IP地地址，如如果服务务器IPP为1992.1168.1.2240，则则访问地地址为 HYPERLINK 40 hhttpps:/1992.1168.1.2240登陆界面如如下：在在登录框框中输入入和和，点点击登录录按钮即即可登录录数据中中心的查查询页面面，默认认情况下下的用户户名和密密码均为为admmin。5.2.44 同步步策略设设置在日志中心心【系统统管理】-【系统统配置】-【同步步策略】创创建同步步策略，用用于设

47、置置数据中中心与网网关同步步日志的的策略。如如下图所所示：点击，新新建同步步策略：同步策策略名可可以自定定义设置置，但是是需与AAC网关关的数据据中心同同步配置置的同步步账号一一致。：接接入密钥钥也需与与AC网网关的数数据中心心同步配配置的同同步密钥钥保持一一致。： 设置置同步策策略的描描述信息息。： 设置从从哪天的的日志开开始同步步。：勾选选需要同同步到外外置数据据中心的的日志类类型。点击提交，生生效和保保存配置置。5.2.55 ACC同步配配置在AC管理理界面【系系统管理理】-【系系统配置置】-【日日志中心心配置】新新增同步步配置，根根据外置置日志中中心设置置的IPP地址、同同步策略略名和

48、密密钥设置置同步。写入外置日日志中心心IP地地址后，设设备会自自动发现现日志中中心创建建的同步步策略，选选择之前前定义的的同步策策略即可可。5.3 日日志中心心登录5.3.11 内置置日志中中心登录录内置日志中中心的登登录接口口在设备备控制台台页面右右上角，点点击即可可进入内内置日志志中心。5.3.22 外置置日志中中心登录录日志中心安安装过程程中如果果采用SSSL加加密方式式登录，默默认端口口4433，日志志中心的的访问地地址为： HYPERLINK https:/服务器IP地址 htttps:/服服务器IIP地址址，如果果服务器器IP为为1，则则访问地地址为hhttpp

49、s:/11在登录框中中输入用用户名和和密码，点点击登录录按钮即即可登录录数据中中心的查查询页面面，默认认情况下下的用户户名和密密码均为为admmin。内置日志中中心和外外置日志志中心登登录后的的界面基基本相同同。5.4 日日志查询询5.4.11 所有有行为日日志用于查询用用户或用用户组的的所有行行为日志志，步骤骤如下：1.设置查查询条件件2.选择需需要查询询的日期期范围，需需要查询询的用户户/组、应应用，如如果需要要针对IIP地址址查询，可可点击3.在源IIP地址址处，输输入需要要查询的的IP地地址，点点击，即即可查询询出这个个IP地地址的所所有上网网日志。4.点击每每条记录录最后面面的，可可

50、查看这这条日志志的详细细信息。5.4.22 网站站访问日日志用于查询用用户或用用户组的的网站访访问日志志，步骤骤如下：1.设置查查询条件件2.选择需需要查询询的日期期范围，需需要查询询的用户户/组、网网站分类类，如果果需要针针对IPP地址查查询，可可点击3.在源IIP地址址处，输输入需要要查询的的IP地地址，点点击，即即可查询询出这个个IP地地址的所所有网站站访问日日志。访问网站日日志可以以根据UURL中中的关键键字进行行搜索。5.4.33 邮件件收发日日志用于查询用用户或用用户组的的邮件日日志，步步骤如下下：1.设置查查询条件件2.选择需需要查询询的日期期范围，需需要查询询的用户户/组、邮邮

51、件类别别，如果果需要针针对IPP地址查查询，可可点击3.在源IIP地址址处，输输入需要要查询的的IP地地址，点点击，即即可查询询出这个个IP地地址的所所有邮件件收发日日志。5.4.44 发帖帖/发微微博日志志用于查询用用户或用用户组的的发帖和和发微博博日志，步步骤如下下：1.设置查查询条件件2.选择需需要查询询的日期期范围，需需要查询询的用户户/组，外外发方式式是发帖帖还是发发微博，如如果需要要针对IIP地址址查询，可可点击3.在源IIP地址址处，输输入需要要查询的的IP地地址，点点击，即即可查询询出这个个IP地地址的所所有发帖帖和发微微博日志志。如果希望根根据发帖帖内容反反查用户户，可使使用

52、关键键字搜索索发帖纪纪录。在发帖或微微博内容容选取一一段做为为关键字字查询条条件，点点击即即可。5.4.55 其他他日志AC设备还还提供了了外发文文件、即即时通讯讯、搜索索关键字字、终端端接入日日志、安安全日志志等日志志可查询询，查询询方式基基本类似似不再赘赘述。5.4.66 日志志导出AC设备所所有查询询日志都都可以导导出为eexceel格式式的表格格以供二二次分析析，导出出接口在在界面右右上角按按钮。点击后，点点击下载载即可。5.5 流流量时长长分析流量时长分分析用于于流量分分析和时时长分析析，流量量分析可可统计应应用流量量排行、网网站分类类流量排排行、域域名流量量排行、应应用流速速趋势、

53、流流控通道道趋势、网网站分类类流速趋趋势；时时长分析析可统计计应用时时长排行行、网站站分类时时长排行行和域名名时长排排行，所所有统计计出来的的信息均均可以ppdf格格式导出出，以供供汇报使使用。如应用流量量排行，可可根据用用户、用用户组、终终端类型型、位置置、应用用进行流流量统计计。在右边的统统计选项项设置需需要统计计的TOOPN以以及统计计的依据据和时间间范围，即即可生成成相关的的统计报报表。5.6 报报表中心心报表中心包包括【报报表收藏藏】和【报报表订阅阅】两部部分。分分别用于于管理和和个性化化定义报报表寄报报表内容容。报表收藏用用于管理理通过流流量时长长分析（流流量分析析、时长长分析)、

54、用户户行为分分析（用用户行为为分析、网网站分类类分析、单单用户分分析）、终终端接入入分析（终终端接入入分析、终终端接入入安全）三三个模块块收藏的的报表。Webuii：报表表中心 收收藏 报表表收藏报表收藏分分为名称称、页面面、编辑辑、删除除四列，界界面如下下：报表订阅用用于管理理内置分分析报表表和自定定义报表表模板，设设置此报报表生成成后自动动发送的的邮箱地地址，帮帮助管理理员管理理报表。5.7 系系统管理理【系统管理理】用于于查看数数据中心心的系统统状态、管管理同步步账号、登登录数据据中心的的用户、系系统参数数设置、导导入导出出日志等等。可通过【磁磁盘空间间】查看看当前日日志中心心磁盘剩剩余

55、空间间以及已已存储的的日志量量。第6章 VVPN配配置6.1 SSanggforr VPPN配置置需求：总部部和分支支分别一一台ACC做出口口，路由由部署，需需要实现现vpnn互联，分分支能够够正常访访问总部部业务。配置步骤如下：第一步：开开通授权权第二步：总总部配置置 先查看网络络配置在【系统管管理】【网网络配置置】【网口口配置】，确确定waan口地地址。总部配置基基本设置置。在【vpnn配置】【基基本设置置】，填填写出口口的weebaggentt地址。 配置用户户管理。在【vpnn配置】【用用户管理理】【新增增用户】给给分支新新建帐号号和密码码，类型型选择【分分支】。点击“确定定”，分支支

56、用户添添加成功功。 配置vppn内网网接口，发发布laan口的的网段在【vpnn配置】【高高级设置置】【vppn接口口设置】，将将lann1口默默认的44个0的的掩码改改成和llan口口真实的的掩码一一致。第三步：分分支配置置 1 ）配配置连接接管理在导航菜单单【vppn配置置】【连连接管理理】，添添加总部部给的账账号密码码。点击“完成成”，会提提示重启启vpnn服务，再再查看ddlann运行状状态的连连接数即即可。配置vpnn内网接接口发布布lann口路由由。在【vpnn配置】【高高级设置置】【vppn接口口设置】，将将lann1口默默认的44个0的的掩码改改成和llan口口真实的的掩码一一

57、致。测试效果： Vpnn建立连连接成功功，两端端内网ppc可以以正常互互访。注意事项：1、第一次次打开【用用户管理理】模块块的时候候浏览器器会提示示会需要要安装插插件，安安装好插插件才会会有【新新增用户户】的选选项。 2、如如果事两两台硬件件设备做做对接，新新增用户户的时候候【类型型】选择择【分支支】，如如果是移移动用户户，则选选择【移移动】。 3、如如果内网网有不同同于设备备lann口的网网段需要要通过vvpn访访问，则则还需要要配置本本地子网网掩码，路路径在【vvpn配配置】【本本地子网网掩码】以以发布vvpn路路由。 4、当当总部wwan口口有多个个公网地地址的时时候，wwebaagennt的填填写格式式是：IIP1#IP22:40009;如果wwan口口是拨号号的，则则可以联联系4000申请请webbageent.6.2IPPsecc