a07-交付深信服下一代防火墙用户手册

NGAF用户手册..............................................................................................................................................viii前 手册内 本书约 图形界面格式约 各类标 技术支 致 第1章安装指 电 第2章控制台的使 登录WebUI配置界 第3章功能说 实时风 流量 会话 DHCP运行状 用户管 者 路 光口bypass设 IPS特征识别 WEB应用防护特征 实时分析识别 ISP地址 URL分类 服 IP 信任的颁发机 3.7.1.服务器 DoS/DDoS防 ARP防 地域控 WEB应用防 篡改防 篡改防护 WEB扫 实时分 与处 概 系 告 数据包日志与直 技术支 保护遭到及时提醒和保留第4章数据中 DOSWEB应用防 报 系 日志 第5章案例 二次部署案 ARP配置案 DHCP配置案 DHCP中继配置案 Dos/DDos防护配置案 IPS典型配置案 WEB应用防护配置案 WEB应用防护配置案例一 WEB应用防护配置案例二数据防泄 篡改防护2.0应用案 配置案 TCP应用配置案 附录SANGFOR设备升级系统的使 、Copyright©2016市深信服电子科技及其者保留一切权利。本公司，任何单位和个人不得擅自摘抄本书内容的部分或全部，并、不得以SANGFOR为市深信服电子科技的商标对于本手册出现的其他公司的商如需要获取手册，请联系深信服电子科技前手册内1SANGFORNGAFNGAF设备的外观特点及2SANGFORNGAF控制台的使用，如何登陆控制台等。3部分SANGFORNGAF的功能说明及使用。4SANGFORNGAF5本手册以深信服NGAF1320为例进行配置。由于各型号产品硬件和软件规格定差异，所有涉及产品规格的问题需要和深信服科技联系确认本书约图形界面格式约文字描代替符举“确定”按钮可简化为菜单项“系统设置”→选择【系统设置】→项[复选框选项“启用用户”可简化为[启用用户提示框中显示“保存配置成功，配置已修改,DLAN服务才能生效，是否立即重启该服务各类标警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成说明、提示、窍门：对操作内容的描述进行必要的补充和说明技术支用户支持邮箱 技术支持： 公司致议，您可以通过、或电子邮件回馈给我们，不胜感谢。第1章安装指SANGFORNGAF系列产品的构成与硬件安装。硬件安装正确之后，环境要SANGFORNGAF🗁🗁🗁报废应遵照国家相关要求进行。电SANGFORNGAF110V230V电源。在您接通电源之前，请保证产品外1：SANGFORNGAF前面板（以NGAF1320为例 告在设备启动期间是红灯长亮的一般一两分钟后红灯熄灭说明正常启动如红灯长时间不熄灭，请关闭设备等待5分钟后重新启动。如果还是长亮，请联系门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备正在写系统日志。控制口开发和测试调试使用。最终用户需通过控制台网口接入设备配置与管NGAFMANAGE(ETH0)IP51/24。MANAGE(ETH0)口到局域网或直接连接计算机。设备接线方在背板上连接电源线，打开电源开关，此时前面板的Power灯（绿色，电源指示灯）和Alarm灯（红色，告）会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。请用标准的RJ-45以太网线将MANAGE(ETH0)口与局域网连接对NGAF设备进登录控制面板后根据网络环境和部署要求配置『网络配置』和接线。（设备正常工作时POWER灯常亮，接线的数据接口LINK灯长亮，ACT灯在M（约一分钟正常工作时熄灭。如果在安装时此红灯长亮，请将设备断电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。网口直接连接MODEM和交换机应使用直联机、连接路由器和计算机网口应使用叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图：1直联机、交叉线第2章控制台的使NGAFHTTPSHTTPS协议的标准端口登录。如果初始登录从管理口(MANAGE)URL为：1、HTTPSWEBUINGAF可以防止配置过程在传输过程中被截获而2、如果开启SSL 成4430，则控制台的登陆方式为：如何登录NGAF设备控制台页面WEBSANGFORNGAF首先为登陆控制面板的计算机配置一个10.251.251.X网段的IP（如配置00在登陆框输入『用户名』和『』，点击登录按钮即可登录NGAF设备进行配置出厂情况下的用户名和为admin/adminIE配置和使容安全』、『IPS『』、『配置向导』控制台右下角 用于实时通知设备的一些系统信息和告警信息如果设备未曾激活过，登陆控制台后会出现如下激活页面，如下图所示期内享受完整的、首次激活一个月的服务、可查询硬件质保和咨询并自动在深信服技术社区生成一个账号。在激活过的设备控制台点击、 号台，点 激活快速的激活设备，如下图所示：号第3章功能说激活设备和技术社区导激活设输入号码和，勾选“我接受深信服隐私权保护”激活设备，激活后在服务期内享受完整的、首次激活一个月的服务、可查询硬件质保和咨询，并自动在深信服技术社区生成一个账号。在激活过的设备控制台点 社区的：号控制台，点 快速的激活设备，如下图所示：号进入技术社 、在设备的控制台页面，有进入技术社区的，包括发帖求助咨询和在技术社区、、，点击时会在浏览器新页面自动跳转到深信服社区系统。输入后的号码和，就可以进入社区。、，通过技术社区的自助服务，可以查询到设备的服务器有效期，维修进度服务资质和认证信息，如下图所示：运行状管理状态』、『DHCP运行状态』、『用户管理』、『者IP』。系统状会话，系统关键事件和安全风险等信息。选择显示模恢复默认显示模在【运行状态】页面点击恢复默认显示模块，会恢复到设备默认就显示的模块：[理问题][设备资源][今日系统状态][接口状态][僵尸主机TOP5][实时风险TOP5]、[会话]、[风险]、[数据风险]、[黑链风险]、[对外DOSTOP5]、[应用流速趋势开启投屏显示支制台超时而退出，建议投影到大屏幕安全信息状态时开启。如下图所示状态查待处理设备资今日系统状【今日系统状态】主要用于显示设备的记录，用户数和系统时间，双机状接口状僵尸主机【僵尸主机(TOP5)】主要用于显示设备昨天/今天/7C&C实时风险【实时风险(TOP5)】主要用于显示个数最多的前5个IP，如下图所示会【会话主要用于显示设备实时/最近24小时/最近7天的并发会话数和新建会话数，风险【风险(TOP10)主要用于显示AF设备昨天/今天/最近7天的有效和未命中的WEBS 后门、SQL注入、系统命令注入、WEBS 录遍历、WEB会话管理、XSS、CC防护、WEB整站系统次数。如下图数据风【数据风险主要用于显示AF设备昨天/今天/最近7天未防护和已防护配置敏感信息，源代码，账号信息，其他信息的次数。如下图所示：黑链AF设备昨天/今天/最近7天检测到的服务器黑链类型的次数，对外DOS【对外DOS(TOP5)】主要用于显示AF设备昨天/今天/最近7天检测到的内网对外网区域发起的DOS前5位，如下图所示：应用流速趋势叠加应用流速趋势叠加图支持查看IPv6环境中的应用流速安全状『安全状况』用于显示待处理的安全问题，风险，僵尸主机，对外DOS，时风险，数据风险和黑链风险待处理的问点击处理记录，显示管理员处理的时间，IPIP风『风险』用于查看AF设备昨天/今天/最近7天检测到的有效和未命中的僵尸主AF设备昨天/今天/7天检测到的僵尸主机的次数。如下图“扫描”功能彻底清除主机中的僵尸活跃时间，以及高危活跃次数。点击受的主机，跳转到该主机详细风险概况和详情页数据风『数据风险』用于显示AF设备昨天/今天/最近7天未防护和已防护的数据信息次点击风险类型，可查险概况，以及服务器主机，如下图所示黑链风『黑链风险』用于显示AF设备检测到的黑链类型分布，黑链主机，如下图所示点 ，可将黑链风险详细数据通过表格方式导出到本地保存DOS『对外DOS用于显示AF设备昨天/今天/最近7天检测到的对外发起DOS的通过对外详情，可以了解到开始时间，持续时间，源IP，目标IP地址日志。点击日志详情，跳转到如下页面，可查看详情，以及添加例外，或者添加实时风查风这里只显示了风险的概要信息，如需要了解详情及解决方案，可点击查看完整安全事最近安全事『最近安全事件』主要用于显示最近发生的事件，页面如下如图，显示的内容包括：发生时间、源IP、目的IP、类型以及的URL点击刷新间隔：5秒用于设置页面上的刷新时间间隔最近安全事件支持查看基于IPv6的WEB应用信息服务器安全事『服务器安全事件』主要用于显示目标服务器的类型，页面如下如图，显示的内容包括：发生时间、目标服务器、URL、类型以及详情点击刷新间隔：5秒用于设置页面上的刷新时间间隔服务器安全事件支持查看基于IPv6的WEB应用信息终端安全事『终端安全事件』主要用于显示终端用户的类型，界面如下如图，显示的内容包括：发生时间、终端IP、用户名以及用户所属的组、类型以点击刷新间隔：5秒用于设置页面上的刷新时间间隔查看最近来『最近来源』主要用于显示最近发生事件的来源，页面如下如图，显示的内容包括：发生时间、来源、类型以及的详情点击刷新间隔：5秒用于设置页面上的刷新时间间隔最近来源支持查看基于IPv6的WEB应用信息流用户流查看用『用户流量』主要用于显示用户的使用带宽的情况，界面如下如图，根据用户的总流速进行。显示内容分别包含：用户名（显示名）、所属组、用于将对应的用户冻结上网；在[获取机器名]点击刷新间隔：5秒用于设置页面上的刷新时间间隔过滤用点击过滤条件，可以指定用户流量的过滤条件边[已选列表][组过滤]、[用户过滤]、[IP过滤]三个条件只能选择一个，其中组过滤中“/”冻结用户上中一个『用户流量』里面的用户，点击冻结，来设置冻结上网的时间，以分钟为单位，解冻用户上此时会跳转到【用户管理】的页面，页面如下应用流查看应『应用流量』主要用于显示设备实时的应用服务的流量情况，界面如下点击刷新间隔：5秒用于设置页面上的刷新时间间隔应用流量支持IPv6环境中的应用流量统计过滤应点击过滤条件，可以指定应用流量的过滤条件，界面如下IPIP『IP流量』主要用于显示IP的使用带宽情况，页面如下流速，获取机器名，流量构成。在[获取机器名]IP名；在[流量构成]IP点击刷新间隔：5秒用于设置页面上的刷新时间间隔IP流量支持查看IPv6环境中的IP地址流量情况IP点击过滤条件，可以指定IP流量的过滤条件，页面如下边[已选列表]IPIPv4、IPv6异常流IPIP、目的端口、风会会『会话』主要用于查看通过AF设备的会话情况，可根据总会话数或者每秒钟新建会话数，显示TOP10、TOP10、TOP30或者TOP60位。会话查点 ，可以回话IP，如下图所示会话记『会话记录主要用于定期IP的新建和并发会话数使用时需要先设置IP组，IP点 ，可手动输入指定IP，或者导入IP流量管理状点击刷新间隔：5秒用于设置页面上的刷新时间间隔查看速通道流量查排除策略流量查DHCP运行状用户管查看用『用户管理』主要用于管理已经通过设备认证的用户，页面如下此处可以看到所有的通过设备认证的用户的登录名（显示名）、所属组、IP地址、在【组织结构】页面的[搜索]栏中输入来搜索用户组，查询相应用户组的用过滤用[过滤对象]勾选后可以选择根据[用户过滤]或者是[IP过滤]IP冻结用点击冻结或者是在[操作]栏点击图示，出现如下页面设置[冻结上网时间]解冻用点击解冻或者是需要解冻的用户的[操作]一栏点击图示，即可立即解冻该用户强制注销用管理员在该页面中可以强制注销用户，但不能对不需要认证和临时用户进行注销对认证和单点登录的用户可以进行强制注销，具体操作如下点击是，即可注销该用户3.2.11.者『者IP主要用于查看当IPS规则WEB应用防护规则和数据泄密防护模块APT检测启用联动时，了哪些源IP以及是哪个安全策略触发的。界面如下点击刷新间隔：5[添加者IP]：用于将源IP或者目标IP加入，并设置时间，[添加到放行]：将设备已的者IP放行，后续该IP地址也不会被。IP

[添加到封堵]：用于将IP地址加入到封堵，所有与封堵中的IP地址的通勾选相应条目，点 可以清除该IP地址点击可以清除所有源IP，将恢复所有IP 权限点击设 时间10分钟，10分钟后将自动，可以在此处设置更长的时间[搜索]IP网络配接口/区子接口、VLAN接口、聚合接口、区域、接口联动信息，如下图所示：物理接 [连接类型]IPADSLIPv4IPv4、DHCPIPv4、IPv6、DHCPIPv6。[地址]IP[拨号状态]ADSL 接线或者网口DOWN掉。 检测和DNS检测方式检测eth0MACIPIPv4、IPv6IPv4IP、DHCP、ADSL三种配置，IPv6IP、DHCP两种配置。5.1 口，是否与 出口线路匹配[链路故障检测]：用于检测线路的有效性，如果有多条线路的场景，某条线路DNS解析或者的方式来检测，如[高级配置]：可设置接口的工作模式，MTUMACETH0管理口的接口模式为路由口，不可更改接口模式ETH0口可以增加管理IP地址，但是默认的IP地址51/24除任何接口的IPv4地址不允许设置在/24网段范围只有WAN口属性的接口，才能选择与 出口线路匹配链路检测与双机热备中的抢占功能不能同时子接VLANtrunk的场景，[接口名称]eth0[地址]IP[MTU]MTU ]显示是否允 子接口有关子接口的详细配置过程请参考5.1.41、任何接口的IP地址不允许设置在/24网段范围2、子接口不支持配置IPv6地址VLAN接『VLANVLANVLAN[接口名称]VLANIDVLANVLANID[基本属性]设置VLAN接口是否允 [连接类型]IPDHCPIPVLANIP1、任何接口的IP地址不允许设置在/24网段范围2、VLAN接口不支持配置IPv6地址聚合接1、聚合接口不支持配置IPv6地址区路接口，三层区域可以选择所有路由接口和tun接口，虚网线区域可以选择所有虚拟网VLAN接口；如果选择虚拟网线区域，接口列表会显示未被划到[接口]其中WEBUI和SSH支持IPv6地址一个接口只能属于一个区域，一个区域可以选择多个接一个区域可以同时选择LAN属性和WAN属性的接口接口联『接口联动』接口联动主要用于NGAF设备工作在流量负载均衡模式，把负责转发数LINKLINKIPv6地址的物理接口。如果某接口的IP地址设置成“IP/掩码-HA”的形式，则此接口不能设置成接口联动路路由配置页面包括静态路由，策略路由，OSPF，RIP和查看路由，当设备本身需要和IP通信时，需要通过路由实现数据转发。静态路在【导航菜单】页面中的『网络配置』→IPv4、IPv6[IP地址][IP地址][接口]点 可以根据指定条件搜索路由条目1、静态路由选择的接口，一般情况下建议设置“自动选择”，当设备存在多个接口在同网段的情况下，需要手动指定静态路由的接口2、导入、导出功能分别支持IPv4和IPv6的路由导入导出策略路『策略路由』主要用于设备有多个口接多条线路时，根据源/目的IP、源/目的功能。需要接口/IPv4IPv6的策略路由。在【导航菜单】页面中的『网络配置』→务器需要验证的源IP地址，如果多次的源IP是不同的，则会断开连接，此时或下一跳出去，保证每次安全应用的源IP地址是固定的。2、设备上有多条线路，通过新增多线路负载策略路由，轮询，带宽比例，最具体详细配置请参见章节1、IPv6环境中，支持IPv6的源地址策略路由，但不支持根据应用。不持添加IPv6的多线路负载路由2、VLAN和子接口不支持策略路由『OSPFNGAFOSPF动态路由协议，包括网络配置，接口配IPv4IPv6OSPF。勾选[OSPF]OSPFNGAFOSPF[RouterID]ID『定时器』：设 o包间隔，重传间隔，传输时延，失效间隔，单位是秒 o间隔 o报文的重发间隔时间，默认值是10s一般设置为o间隔的4倍，默认值是40s。『』：设置报文发送的，可以选择明文，MD5或者不认证的方式NBMA网络配接口配[IP]IP地址。：[接口]接口不发送OSPF链路状态，配置为接口后，直连路由可以发布，但接口的OSPF报文将会被阻塞，邻居无法建立。接口默认选“否”。：[认证口令]MD5认证方式的口令。OSPF1-655351。 o报文的间隔时间，默认为10s[优先级]：优先级为0的路由器不会被成DR或者BDR。DR由本网段路由器 o报文共同，设备将自己选出的DR写入 o报文中，发给网段上其他路由器。当同一网段的两台路由器都宣布自己是DR时，优先级高的胜出；如果优先级也相同，RouterID大的设备胜出。优先级默认值是1。[重传时间间隔（s）]LSA5s[DDMTU不匹配检测]OSPFDD报文描述自己的LSDB。默认情况下，接口发送DD报文时不填充MTU值，即DD报文中MTU0。参数配[RouterID]NGAFRouterIDAD)10OSPFv2。[域间优先级]：域间LSA计算后输出到路由表中的优先级，默认值为110。只支持[SPF计算间隔]LSDB发生变化时，需要重新计算最短路径，默认5sOSPFv2。『路由重发布配置』：选择是否需要将直连路由，RIPOSPFmetric[重发布直连路由]OSPF路由中作为外部路由信息，并metric10。[RIP路由]RIPOSPF路由中作为外部路由信息，并metric20OSPFv2。[重发布静态路由]OSPF路由中作为外部路由信息，并metric20。[重发布默认路由]OSPFmetric10。1、路由重发布配置中的所有度量值都只对OSPFv2有效信息显OSPF链路信息，OSPF路由信息，OSPF邻接关系，OSPFOSPF链路信『OSPF[Type]：LSAtype[ID]：LSA所在的RouterID。*代表设备自己产生的LSA。[AdvRouter]LSA给本设备。[Seq]LSA的序号。[Age]LSALSA 以接收该邻居的消息。[Cksum]：LSA[Len]：LSAOSPF路由信『OSPFOSPFOSPF邻接关『OSPF[NeighborID]ID。[Pri]：邻接路由器的优先级。[DeadTime]：显示如果邻居不发o报文，还有多长时间该路由器状态变为DEAD[Address]IPOSPF信息包被传输到邻居，此地址IP地址。OSPF_VL1是虚连接标识。OSPF接口信『OSPF[IP]：接口的IP地址。[DR]DR地址。[BDR]BDR地址。.4调试选通过『调试选项』可以开启和调试日志『RIPNGAFRIP动态路由协议，包括网络配置，接口配置，勾选[RIP]RIP网络配RIP接口配RIP报文。如果在『RIP』→『网络配置』下新增了如下网段：[IP]IP地址。[接口]：指定RIP在接口上的工作状态，默认选择“否”RIPv1RIPv2[版本设置（发送）]RIP报文的版本。RIPv1的报文传送方式为RIPv2RIPv1RIPv2的报文。METRIC是无穷大。缺省情况下不启用毒性逆转。[认证方式]：可以选择明文，MD5，不认证。RIPv1不支持报文认证，RIPv2MD5[认证口令]MD5邻居配RIPIP.4参数配『RIPRIP120。180s。[收集]：收集定时器未超时之前，RIP继续向外界通告不可达的路由信息，果收集定时器也超时了，这一路由将从路由表中删除并设置路由的度量值。metric10。[OSPF路由]RIP路由中作为外部路由信息，并metric20。metric20。metric10。查看路IPv4IPv6点击『类型』旁边的，可根据路由的类型进行过滤显示，如下图所示点 ，可刷新显示的路由条目虚拟网虚拟网线功能是指在NGAF设备上设置一个物理接口组，如A接口与B接口组成一组虚拟网线，数据包从A接口进入设备后，除了目标IP地址是NGAF设备本身的数据外，其他所有的数据均从B接口转发即不经过二层MAC地址表查找以及三层的路由检查就将数据直接发送出去，但数据仍然受各种安全策略的控制。通过虚拟网线功能，能提高NGAF设备数据转发的效率，也能防止由于MAC表的导致数据转发错误。只有虚拟网线类型的物理接口或聚合接口才能配成虚拟网虚拟接口和虚拟网线须同时配置才能生效高级网络配ARP，DNS，DHCP，SNMP，TCPMSS，HOSTS『ARP配置』包括静态ARP表和ARP两部分ARPARPIP/MACARP[IP地址]ARPIP地址。[MAC地址]ARPMAC地址。[接口]IP地址相同网段的设备接口。ARPARP功能即NGAF设备响应ARP请求达到保护内网主机的目的界面如下有关ARP的的详细配置说明请参考5.3小节的案例『DNS』页面用于NGAF设备本身公网的DNS服务器设置以及DNS功能的[首选DNS服务器]和[备选DNS服务器]：设置NGAF设备本身公网的DNS服务[DNS]：开启此功能后，内网用户的DNS设置成NGAF设备的接口IP，通过设备DNSDNSDNS服务器。DHCP服务『DHCP勾选[DHCP服务器]DHCP【DHCPVLAN接口，可以分IP地址。有关DHCP服务器的详细配置说明请参考5.4.1小节的案例DHCP中DHCPDHCPDHCPIPIP网段的应用场景，配有关DHCP中继的详细配置说明请参考5.4.2小节的案例SNMP用于支持其他设备或软件用SNMP方式来管理和查看SANGFOR设备的相勾选[开启SNMP]，则其他设备和管理软件可以通过SNMP设备信息MIBAFMIBSNMPSNMP管理者为一台主机；“子网”SNMP管理者为一个子网，该子网内的主机都可以SNMP管理设备。[地址]SNMPIP地址或地址范围，当管理主机类型为“主机”时，用于指定SNMP管理主机对象的IP地址；当管理主机类型为“子网”时，用于指定SNMP管理子IPv6地址。[团体名]：指定SNMP管理主机设备时的团体名8MD5算法进行加密。[加密]和[确认加密]：指定消息加密时使用的，认证必须大于8位字DES算法进行加密。『SNMPTrap』：SNMPTrapSNMP信息到管理端，以方便管理员实时AF的运行状态。[Trap消息类型]AFSNMP（OIDSNMP

查看[目的IP地址设置发送报文的目标主机地址即SNMP客户端的IP地址，ipv4ipv6地址。[端口]：用于目标主机的端[版本号]SNMPV1、V2、V3[团体名]：指定发送消息的团体名当[版本号]SNMPV3时，[团体名][引擎ID]：目标主机的引擎ID号（snmpEngineID），十六进制字符串形式，不包括前0x。[用户名]SNMPSNMPV3[认证方式]：SNMPV3MD5SHA（SHA）。[认证]：SNMPV3用户的认证密的时候，可以填写以及加密[]：SNMPV3Trap消息的，支持DES、AES（默认是AES）[加密]：SNMPV3Trap消息的加密。TCPTCPMSS（MaxitumSegmentSize）：TCP数据包每次能够传输的最大数据分段大小。对于匹配一定条件的数据，AFTCPMSS值。使用此项的目的是为了适在【导航菜单】页面中的『网络配置』→『高级网络配置』，右边进入【TCPMSS】勾选[启用]TCPMSS[MSS值]TCPMSS[源]IP[目的]IPHOSTSAFHOSTAFIPIPIPbypass设bypass[类型]：仅支产opticalbypass，注意不支持光口bypass与双机热备同时启用安全防护对IPS特征识别『IPS特征识别库』内置了利用系统、应用程序而进行的包特征，当这些包穿越设备时，可以根据用户设置该包，以保护服务器。界面如下：自动上传的深信服云端服务器上，和云端服务器已有的流量模式进行分析识别匹配，从而联动识别，判断该流量是否属于行为的状态会放行的，启用严格检测后，等级所有的规则也将被。IPS规则支持搜索功能，可以通过设置[类别]、[查询类别]，输入名称、ID等进行搜索，如下图所示：『ID』显示当前的ID，主要作用是当服务器被某个IPS规则了，可以到数据中心查看到ID，通过此处的ID查询，可以设置不此规则。『名称』显示名称『类型』显示当前的类型，如backdoor『等级』描述此的等级，一般有高、中、低三个等级，等级越高的则]、[启用，检测后放行]、[启用，与云分析引擎联动]、[禁用]四种。这个动作可以自定义，点击『名称』编辑页面，如下图：[启用，检测后]：表示启用当前规则，当有利用此进行的行为时，相[启用，与云分析引擎联动]：表示启用当前规则，当有利用此进行的行为时，[禁用]：表示禁用当前规则，当规则禁用后，设备不会对该进行检测1.特征库的放行和属性出厂已经配置好，当需要修改某条规则的时候编辑该条规则即可WEB应用防护特征『WEB应用防护特征库』内置了利用SQL注入、XSS、木马、扫描、WEBS、跨站请求、系统命令注入、文件包含、遍历、信息攻击、WEB整站系统等的应用层包特征，当这些包穿越设备时，可以根据用户设置该包，以保护服务器。界面如下：自动上传的深信服云端服务器上，和云端服务器已有的流量模式进行分析识别匹配，从而联动识别，判断该流量是否属于行为。点击用于统一的修改WEB应用防护规则。若选择[默认（系统初始状状态会放行的，启用严格检测后，等级所有的规则也将被。 SQL『等级』描述此的等级，一般有高、中、低三个等级，等级越高的则『动作描述如果设备检测到该行为时设备所采取的动作包括[启用检测]、[启用，检测后放行]、[启用，与云分析引擎联动]、[禁用]四种。这个动作可以自定义，点击『防护名称』编辑页面，如下图：[启用，检测后放行]：表示启用当前规则，当检测到有的行为时，只是记录日志，[启用，与云分析引擎联动]：表示启用当前规则，当有利用此进行的行为时，行WEB应用的防护。实时分析识别洞问题，并以报表的形式把的危害和解决办法展现给用户。规则包括了：WEB服务器、database服务器、FTP服务器、mail服务器、ssh服务器等。ID 『名称』：显示该对应的名称『描述』：显示关于该的详细解释『影响』：显示该可能导致的『解决方案』：显示避免改可采用的方法『动作』：包括启用和禁用两类，当禁用后，设备不会对该进行检测数据泄密防护识别备时，设备会进行，以保护用户敏感信息不被出去。界面如下：预定义敏感信『预定义敏感信息中包含了设备内置的一些敏感信息的正则表达式如MD5、点 用于设置针对哪些IP、以及哪些URL不进行数据泄密防护，界面点击新增按钮，弹出【排除IP】框，界面如下选择“排除URL”点击新增按钮，弹出【排除URL】框，界面如下自定义敏感信点击新增按钮，弹出【新增敏感信息】框，用户输入敏感信息的正则表达式即 僵尸网络识别规则『僵尸网络识别规则库』包含了木马、软件、软件，软件、后门、蠕虫、工具、这9类规则防护类型，页面如下、、，『类型』：僵尸网络识别规则库包含了，木马软件软件软件、后门、蠕虫、、工具、这9种防护类型、、，『禁用』：选定的规则库自定义规则WEB『规则名称』、『描述』、『影响』可根据情况自己定义『等级』：可以选择高、中、低三个级别，用于定义规则的等级『动作』：可选择[启用，检测后]、[启用，检测后放行]、[禁用]三类[启用，检测后]：表示启用当前规则，当检测到此的行为时，相应的数据包。[启用，检测后放行]：表示启用当前规则，当检测到有的行为时，只是记录日志，并不IPS『规则名称』、『描述』、『影响』可根据情况自己定义『等级』：可以选择高、中、低三个级别，用于定义规则的等级『动作』：可选择[启用，检测后]、[启用，检测后放行]、[禁用]三类[启用，检测后放行]：表示启用当前规则，当检测到有的行为时，只是记录日志，IPS 』包括 和 两 功能SSL功能需要通过序列号开启.用在『用户』里面可以查看当前登录SSL 勾选相应的用户，然后点击『断开连接』，该用户则断开SSL 开并禁用』，并点击立即生效，则该用户被断开后将被登录。部署模选择网关模式时，不仅需要配置内网接口，同时也必须指定接口。页面如下用户管『用户管理』用于建立SSL 符合企业管理结构，采用分层的用户组管理用户。新建用『名称』即标识该SSL用户组的名字，必须填写『所属组』在其下拉框中可选择当前新建用户组所隶属的用户组。/『最大并发用户数』控制该用户组及其下级组可以同时登录的用户数勾选[继承用户组关联角色、认证方式]，当前用户组自动关联用户组的角色、勾选[继承用户组认证方式]，当前用户组『认证选项』内的功能项与用『认证选项』内是用户组的登录认证方式的相关设置[私有用户组]指该用户组中的所有用户账号仅仅允许一个人使用登录SSL，两个『主要认证』是用户名认证，『辅助认证』可选可不选[硬件特征码]把SSL用户账号和计算机的部分硬件特性（如网卡、硬盘等）生成点击新建角色并关联按钮，打开【新建角色】框并编辑新角色，编辑完成点击保存按钮，保存该角色并关联给当前用户组。具体设置可以参考『角色』章节。点 为该用户组选择相应的角色，如下图所示点击添加关联按钮，用来选择需要关联的角色，弹出【添加关联角色】的框，如下新建用『名称』即 用户登 时所使用的帐号『』和『确认』用于设定 登录帐号的『号码』用于填写用户的号码承用户组的认证策略。高级搜点击用户列表中『名称』，即可对用户、用户组进行升降序排列。点击『列』，可根据下拉表的选项进行显示列的筛选，如下图：点击『类型』，可以选择列出不同类型的用户，方便管理，如下图所示点击『类型』、『描述』、『其他信息』、『状态』等后的，即可对用户/用户在【用户管理】界面勾选用户（组），然后点击删除按钮即可批量删除用户（组）勾选好某个目标用户（组），点击编辑按钮，可进入用户（组）标用户（组）特征码勾选用户，点击批准按钮即可批量用户特征码点 按钮，可以根据里面的示例格式来编写特征码文件在『筛选』中，可以分别选择显示[全部]、[已]、[未]的硬件特征码导入用示号码”、“用户描述”等信息的导入，其中“用户名”示（的用户账号和设备用户列表中的原有用户名字相同），新导入的用户信息会覆盖原有（其他操导csv 导出信息包含所勾选的用户组中用户的用户名，所属用户组经过深信服公司研 绑定角点击添加关联按钮，会显示出所有在『角色』中定义的角色，如下图所示高级搜查看资资源管『资源管理』的主要作用是用户定义SSL内网的可用资源资源为了更好地对资源进行管理、更符合用户使用，以及SSL客户端可以更有条点击新建按钮，选择[资源组]在 用户成功登录后，出现的“资源组列表”中选择[文本显示]，可勾选右边的[显示描述信息]，在“资源组列表”中显示出该“资源组内“资源”『所属管理组』即该“资源组”TCP应『TCP应用』主要用于定义各种类型的 协议的应用程序 内网资源的需求选择[TCP应用]，弹出框，设置界面如下『名称』和『描述』可随意填写便于理解的文字，『名称』填写的文字会显示SSL用户成功登录SSL后出现的“资源列表”中『类型』选择所建立『TCP应用』的服务类型，设备内置了常用应用服务的定义，直C/S.1“资源组”章节）。如果不勾选[允许用户可见]选项，则登录SSL 后，在“TCP应用列表”中不显示该1、首次使用『TCP应用』时计算机会自动安装控件，需要以administrator录系统才可以安装上。若PC上有或杀毒软件，可能会抯挡PC安装插件，可先关或杀毒软件2、TCP应用不支持文件共享类的资源 』主要用于定义、配置和管理各种基于IP协议的SSL 各种各样不同协议（TCP/UDP/ICMP）的应用程序SSL 选择 ]，弹出【编辑 资源】框，设置界面如下『名称』和『描述』可随意填写便于理解的文字，『名称』填写的文字会显示SSL用户成功登录 后，出现的“资源列表”中L3资源的协议类型，SSL内置了常用应用服务的定义，直接若类型选择为[OTHER]，则需要选择『协议』，可选择为TCP、UDP或ICMP，根据定义『L3』所使用的协议进行选择。『地址』填写提供L3服务的服务器地址，支持“单IP或”和“IP段”的形式。点 『启用资源地址』：勾选后将隐藏资源的址，防止服务器地址其它操导出操rclist.csv导入操

来编辑资源，将编辑完成的.csv勾选[覆盖原有资源]，若导入的资源名称和原有的资源名称，则覆盖原有资源资源排注：移动的时候，只能移动资源，不能移动资源组『筛选』可以根据资源组或资源类型选择显示的资源。可选择显示[全部]、[资源组][TCP应用]和[L3应用]角新建角登录用户/用户组和SSL内网资源“关联”起来的。通过角色可以把多个“用户/用户组”『给』显示关联了该角色的用户『描述』可随意填写便于理解和的描述语言点 按钮，下面的列表会列出『用户管理』中所定义好的用户/组（定义用户/章节），在列表中勾选相应的用户/组，即可完成“用户/组的关联”，属于该角色的用户，会具有该角色关联资源的权限。在『资源列表』设置中，可以设置该角色需要关联的资源。点表按钮，弹出【编辑资源列表】页面，选择相应的资源。（资源添加请参考节）『生成权限报告』用来生成显示用户可资源的报表。勾选[为指定的用户生成可的资源列表]，点击下一步按钮，如下图所示勾选[生成可指定资源的用户列表]，点击下一步按钮，如下图所示接入选『接入选项』用于设置登陆SSL的端口，webagent设置等。『用户』设置 服务端口『HTTPS端口』设置HTTPS的端口，默认值为TCP443端口1.如果更改了这些标准的协议端口，则SSL登录页面时，需要在主机地址后面加端口来登录，所以，如无必要，修改增/删或修改WebAgent。WebagentwebagentWebagentwebagentWebagent1、如果是AF部署在内网，公网ADSL拨号，通过端口 环境，不支持Webagent寻址IP此页面设置SSL 用户登录总部L3 资源时使用的虚拟IP。该IP不能够和内网其它地址，建议设置成比较生僻的IP段，或保留默认的—54等。『IPIPIPIP点击新建按钮，出现【虚拟IP池】框，如下IPIP段不能包含各个IPIP地址池中的IP段不能和内网IP段登录管『页面标题』用来设置登陆 后页面显示的标题信息『背景色』用来设置登陆 后页面的背景颜色『公告信息』可以编写一些公告或者提示信息，支持HTML，过1024个字符认证设主要认主要认证方式包括本地认证。点击本地认证后面的设置，弹出界面如下图后，用户下次登录会进行安全检查，不符合安全策略的会要求修改。改的用户名，再启用该选项。注意：上述策略只对本 认证的用户有效辅助认[自动]勾选此项后，用户提交的硬件特征码不需要管理员手工，可自动通过审交了硬件特征码并通过了则其他用户用此计算机登录所提交的硬件特征码可自动通。认证选项设『认证选项设置』包含『认证选项』『认证选项』用于设置当用户通过用户名方式认证登录SSL时的一些相勾选[启用软键盘]，可以在SSL 登录页面启用软键盘和图形，增强登录的点击输入框后的小键盘图标，页面如下IP地址连续输错多少次，则启用图形或者锁定该IP一段时间。配置如下图所示：图形选项设置中，输入0表示强制启用，即默认启用图形；输入小于Windows3设『设备』用于配置设备的，将用于客户端与设备建立SSL会话。设备支际标准(RSA)点击查看则可以查看设备当前的，显示如下点 之前的设备替换掉在[为设备生成一个请求]下点

保存。显示如下注：这里安装的格式类型只支持*.crt或*.cer资源服务选『资源服务选项』用于配置L3应用类型资源的参数设置。界面如下图所示『资源模式』设置L3资源的模式。如果选择使用设备的IP地址作为源地址，那么SSL用户内网服务器资源时，服务器看到的源IP地址为AF设备在SSLIPSSL用户内网服务器资源时，服务器看到的源IP地址为虚拟IP地址。（虚拟IP设置参考IP池）『传输协议选择』选择L3应用的传输模式勾选[仅使用TCP]，则在使用L3 应用的时候，只启用TCP隧道进行数据传输。勾选[自动选择TCP或UDP]，则会优先启用UDP隧道进行数据传输。关设备端口给AF设备，默认是442。内网解 支持需要通过才能的资源应用。内网存在此类应用时，一般一台或多台内网DNS服务器，给内网电脑提供内网解析服务。通过SSL 此类应用时，可以通过『内网解析』配置来实现。在『内网解析』中分别把内网DNS服务器的IP地址填写在『首选DNS』和『备份DNS』上，如果只有一台内网DNS服务器，则只需填写『首选DNS』。然后在SSL资源设置下填写资源主机地址或URL时以方式填写（资源相关的具体设置可参考章[DNSDNS服务器]DNSDNSSSLDNS作为内网DNS服务器时登录SSL后的内网服务器需通过域控制器来认证的情况如果没有勾选[接入计算机使用此DNS服务器作为首选的DNS服务器]，且存在大量的应用资源，在设置好『内网解析』后，可以进一步采用『内网DNS规则设置』处点击新建出现【新建解析规则】框『』在规则列表中需要的『描述』可随意填写便于理解的文字可参考章节:资源管理）。客户端SSL的资源时，如果的符合在此定义的规则，将由设备的HOST表或『内网解析』中的DNS服务器进行解析，并将解析结果发送给客户端（HOST）。勾选相应的解析规则，点击删除或编辑，对选中的规则进行删除和编辑操作。如果资源中使用的地址是，且内网有专门的DNS服务器进行解析推荐在此添加规则，使得这部分的解析请求优先由内网DNS服务器解析，否则不要在此处添加的规则最多支持100条；不支持中文解析IPSec需要使用功能时，设备上必须拥有至少一个三层接口即可 功能需要开相应的多功能DLAN运行状此页面可以查看当前的连接和网络流量信息。页面如下点击刷新状态可刷新的连接状态和流量状态点击分支NAT状态可查看当前分支NAT状态，包括用户名、原子网网段、子点击停止服务可暂时停止服务基本设、『基本设置』用于设置连接所需的Webagent信息数据的MTU值、最小缩值、连接鉴权端口、连接模式、广播包和性能设置。、[Webagent]指动态IP寻址文件在WEB服务器中的地址，包括主WebagentWebagent如果是“动态寻址（IP）”请填写“Webagnet网页地址”（一般为以.php的网页地址），填写完Webagent后可以点击测试按钮查看是否能够连通，如果总部是“IP”，请按照“IP地址：端口”33:4009

置Webagent，以防止用户盗用Webagent更新虚假IP地址。点击共享密钥可以置共享密钥，防止设备接入如果设置了『Webagent』，一旦遗失该则无法恢复，只能联系深信服技客户服务中心重新生成一个不包含Webagent的文件并替换原有文件。如果设置『共享密钥』，则所有网点都必须设置相同的『共享密钥』才能相互连接通信。如是多线路且都是固IP的情况下，可以采用“IP1#IP2:port”的方式来填写Webagent。[MTU值]用于设 数据的最大MTU值，默认为1500 数据启用压缩的最小数据包大小，默认为100 服务的端口，缺省为4009，可根据需要设置。[修改MSS]用于设置UDP传输模式下 [MTU值]、[最小压缩值]、[修改MSS]一般情况下请保留默认值，如需设置，在深信服技术支持工程师的指导下修改[直连]、[非直连]用于设置网关与Internet的连接方式，如果能直接获得InternetIP或者能通过端口映像等方式让Internet用户可以到网关设备的 不能获得InternetIP的连接方式则需设置为“非直连”。目以及是否在通道内传递广播和组播包。界面如下[线程数]：控制设备的最大3001280个接入。[启用广播包]：是否在隧道内传递广播包，并且只传递指定端口范围的广播包，尽可能避免两边的广播风暴产生。 隧道内传递组播包用户管否启用硬件鉴权或DKEY认证、是否启用虚拟IP、设置账号使用的加密算法、账号有KeyUSBKEYUSBKEY

直接DKey前必须安装好DKey驱动，否则计算机无法识别DKey硬件，为避因程序导致DKey驱动无法正常安装，请在安装过程中关闭第杀毒软件、点击导入域用户可从域服务器导入用户信息使用[导入域用户]功能之前，请先在 』→『高级设置』→『LDAP服务设置』中设置LDAP服务器信息TXTCSV点击导出用户可从设备上将用户导出到本地进行保存，并可选择导出的用户是点击新增组可设置用户组名称、描述以及组成员公共属性（包括[加密算法]、[点击高级可进行选路策略设置，组播服务设置，隧道参数设置点击新增用户可依次设置接入账号的『用户名』、『』、『描述』、『算法』[认证属性]（即硬设备认证LDAPRadius[类型]用于设置使用此账号的类型，可选移动和分支设置[使用组属性]前请先新增用户组。用户加入用户组后，该用户的[算法]、[用网上邻居]、[权限设置]将无法再单独设置[启用硬件鉴权]选项用于设置基于硬件特性的认证，启用后请选择对应此用户的文件（*.id）。[DKEY]DKEYDKEY插USB接口再点击[DKE]。[IP]IP。IPIP地址（IPIP池范围内IPIPIP，IPIP地址。启用虚拟IP功能之前，请先在 』→『 』→『虚拟IP池』中置虚IP池范围如接入用户需要使用网上邻居服务，则必须勾选[启用网上邻居]。该设置是 的独特技术在低带宽的环境下能有效利用有限带宽加速数据传输，但并不适用于所有网络环境，实际应用中可根据情况进行设置移动用户在连通后，只能通过 [修改]选项用于设置移动用户是否能够在连上后自行修改移动端登权限设置用于设置用户接入后的权限，即设置用户只能某些服务，默使用[权限设置]前，请先在 』→『 』→『高级设置』→『内服务设置』添加所需服高级用于设置用户接入后的一些高级属性，包括选路策略设置，组播服务设置要是避免某个接入的用户NAT主要是解决两个内网网段相同的分支同时接入到总部的地址问题。移动用户的高级选项设置页面如下：多线路选路策略]3.2组播服务设置][隧道参数设置]包括了隧道超时时间、隧道动态速度探测、隧道内流控等内容， [启用隧道动态速度探测]在本端或对端拥有多线路情况下有效，此时SANGFOR[启用隧道内流控]用在多个分支或者移动用户接入时，为了避免其中某一个分支或者移动用户将总部带宽全部占满导致其他分支或者移动用户速度变慢，可以针对每个接入的用户分配一个上下行带宽，从而保证所有用户都能得到较理想的速度。[启用隧道内流控]设置的限制值只是一个范围值，而不是准确值，例如：流控设100k，则实际流量会控制在80-120k的范围内，是在100k左右上下小幅波动[NAT]IPIPIP池]点击新增，既可在框中输入这条规则所需要匹配原子网网段、子网网段子网掩码，也可以让设备自动从虚拟IP池中分配一个IP网段，页面如下：[原子网网段]：分支真实的内网子网网段。[子网掩码]：分支真实的内网子网掩码。[子网网段]：分支转换后的虚拟网段。配置时需要注意子网掩码一定要匹配，隧NAT只对掩码网NAT，主机号隧道NAT案例学总部-SANGFOR设备采用路由模式部署， （/24）需要通过接入总部， （/24）同样需要通过接入总部。则总部-SANGFOR设备需要添加隧道内NAT设置，解决 与深圳之间内网网段的问题。步骤如下：分支总部

分支1、在[IP池]中新增一段IP/24的虚拟IP池范围。页面如下：2、在[用户管理]中新增一个分支账号，点击高级按钮选择[隧道内NAT设置]选项卡，勾选[启用隧道内NAT]新增一条/24网段与该分支账号进行关联。页面如下：点击[确定]后规则生效则分支-在不修改内网IP的情况下也能顺利接入总部，此时总部-可以通过/24这个网段中对应的IP地址来分支-深圳内网提供的服务。使用[高级]里的组播服务前，请先在 』→『 』→『高级设置→『组播服务』添加所需服务使用[高级]里的隧道内NAT前，请先在『 』→『虚拟IP池』添加所需的分支虚拟IP网段。此时分支-和分支-之间无法通过隧道间路由进行互访如需分支-和分支-要通过隧道间路由互访，则分支-和分支-都需要启用隧道内功能分别转2IP网段，然后再添加隧道间路由，源为真实物IP网段，目地为对端虚拟IP网段即可。连接管连接管理只有此设备当分支使用需要连接其他总部设备时才需要否则是总部设备情况下不需要启用连接管理[主/备份Webagent]用于填写需要连接的总部的对应WebagentWebagent测试请求均是从本机发起的而不是设备发起的。如果Webagent是用形式测试成功代表该网页存在，否则网页不存在。如果Webagent采用固定IP方式，则测试成功代表填写的IP:PORT格式正确。该测试成功并不代表 [数据加密密钥]、[用户名]和[]根据总部提供的接入帐户信息来填写跨运营商功能需要额外启动，否则该功能无效。如果总部启动跨运营商功所有连接到该总部的移动用户可以直接使用跨运营商功能，其他所有连接到该总部的硬件分支设备，也需要启动跨运营商功能。点击内网权限可以对连接对端进行权限设置，即指定连接对端只能IP『虚拟IP池』是指由SANGFOR硬件设备指定某一段空闲的IP地址作为移动用户接入时的虚拟IP地址或者是由SANGFOR硬件设备指定任意的一段IP作为接入后的虚拟IP段，解决两个拥有相同网段的分支同时通过接入到总部时IP的IPIPIPDNS等网络属性。IP的步骤：1IPIPIPSANGFORIP2、指定移动用户使用虚拟IP。如果设置虚拟IP为表示自动分配虚拟IP，当移动用户接入后，总部SANGFOR设备从虚拟IP池中选择一个空闲IP分配给移动，也可以为IP。点击新增按钮，出现『虚拟IP池』设置框，设置IP池的起止IP即可，页面如下IPIPDNS、WINS当设置了“IP池”的[高级选项]之后，移动客户端计算机中的虚拟网卡 virtualnetworkadapter”必须设置为自动获取IPDNS，否则“高级选2、创建分支虚拟IP池。分支虚拟IP池中的虚拟IP段提供给分支接入到总部时将分支IP池中的一个网段，以解决当两个相同网段的分支同时接入到总部时的内网IP问题。设置时设定虚拟IP的开始IP、设定虚拟IP的掩码和分支的网段数IP[IP]IPIP[结束IP]：分支虚拟IP段的最后一个IP地址。[网段数]IP段。[子网掩码]IP设定分支虚拟IP段后，在[/用户管理]里新建用户，用户类型选[分支]，然后在[高级/NAT设置]里配置需要转换的分支网段。IP池案例总部SANGFOR设备采用路由模式部署，外地移动办公用户需要通过 IPLAN口相同网段且没有被内网用户所IP地址段。页面如下：在『用户管理』中[新增用户]，类型选择[移动]IP默认为“”则表示自动分IPIPIP即可。多线路设 多线路传输功能IP地址，则勾选[InternetIP]，并配置固定的公网IP地址。在『测试』和『测试DNS』下设置相应的域DNS服务器地址，用于检测该线路的通讯状态是否正常。显示如下：DNS接口设『接口设置』用来定义设备需要作为连接的内网接口，如下图点击添加，选定内网接口，如下图只有非WAN口类型，固定IP的接口才能选择成的内网接口[本机接口设置]用于设置服务虚拟网卡IP 接口IP]，如果出现IP的提示，可改为自定义IP并进行设置。接口是SANGFOR硬件网关系统的虚拟接口，外观上并不存在实物理接口连接的接口必须是NGAF设备的WAN属性的物理接口且勾“与出口线路匹配”，如下图所示：多线路选路策SANGFOR设备提供了功能强大的多线路选路策略可根据本端和对端设点击新增，显示【多线路选路策略编辑】框，如下图，[线路组设置]设置本端设备的线路条数连接对端的线路条数，有效负载线路，[主线路组]设置首要连接的线路组合通过右移操作，将选中的线路组合加入备线路组。 连接的线路组设置了多线路选路策略后，需要在『用户管理』的用户或用户组[高级]选项中择使用本地子网列『本地子网列表』用于总部硬件设备的内网有多个子网的情况下，其他接入用户通过配置“本地子网列表”，可实现分支、移动与总部内网各网段相互。具体配置如下点击新增进行本地子网的添加，页面如下：[子网网段]、[子网掩码]设置为总部内网设备非直连网段的网络号、子网掩码→『静态路由』）这里的『本地子网列表』仅相当于一种“”作用，在此定义的网段，都会设备和软件客户端视为网段，所有这些网段的数据包经过设备或软件后，都会被封装到隧道中传输。所以，一般情况下，在『本地子网列表』里添加了隧道间路由设SANGFOR设备提供了强大的 隧道间路由案例例如：总部（“”192.168.1.x/24）同时与分支（“”172.16.1.x/24）、（“广但“”与“广州”之间没有连接通过设置适当的“隧道间路由”规则即可实现“”与“广州”之间的相互。具体配置如下：1、在分支“”的『隧道间路由设置』中勾选[启用路由]，点击新增，添加到“广州[网络号（目的）]。[目的路由用户]设置路由指向的连接用户，本例中应设置为与建立[网络号（源）]、[网络号（目的）]用于匹配数据的源IP地址、目的IP当隧道中传输的数据匹配设置时，则此路由设置生效，数据将被转发给相应的设备。[目的路由用户]可理解为，“要将路由的数据发往哪一个设备”，本例中分支“上海”在『连接管理』中设置了使用用户名“-”与总部建立了连接，因此以用户2、在分支“广州”的『隧道间路由设置』中勾选[启用路由]，点击新增，添加到“[网络号（目的）]。[目的路由用户]设置路由指向的连接用户，本例中应设置为广州与建立例如，在分支设置通过总部上网，页面如下：[子网掩码（源）]。 通过总部线网时，则必须在总部设备『』→『地址转换』→『源址转换』中添加对网段的源地址转换规则，详见部分设置说明如果AF当总部，要实现分支通过总部上网，请在深信服工程师指导下进行操作第对SANGFOR设备提供了与第 设备互联的功能能与第的 准IPSec连接。第一阶『第一阶段』用于设置需要与SANGFOR硬件网关建立标准IPSec连接的对端 备的相关信息，也就是标准IPSec协议协商的第一阶段。页面如下：选择线路出口，点击新增，显示【设备列表设置】框，页面如下点击高级，显示『高级选项』框，可进行其它高级设置，页面如下第二阶IPSec『入站策略』用于设置由对端发到本端的数据包放行规则，点击新增，显示策略设置框，页面如下：『出站策略』和『入站策略』中的[出站服务]、[入站服务]和[时间设置]均为SANGFOR扩展的规则，此类规则仅在本端设备生效，在与第设备建立连接的过程中不会协商此类规则。『出站策略』和『入站策略』中策略所对应的IP地址是指[源IP类型]和[本/对端服务]中所设置的源IP的交集。安全选在建立与第设备的IPSec连接前，请先确定对端设备采用何种连接策略，包括：使AESSINFOR_DES），SANGFORIPSec『安全选项』中的[加密算法]用于设置标准IPSec连接的第二阶段所使用的数据密算法，如果要与多个采用不同连接策略的设备互联，需要分别将各个设备使用的连接策略添加到『安全选项』中。通用设时间计划设点击新增按钮，出现【时间计划设置】框，页面如下算法列表设会在设备所构建的网络中对传输的所有数据进行加密，以保障数据的安全性。页面高级设『高级设置』用于设置『内网服务设置』、『组播服务设置』、『LDAP服务器设置』和『Radius服务器设置』、『动态路由设置』、『生成』、『与专线互备路由』。内网服务设SANGFOR设备可以为接入的用户指定相应的权限，可以限制分支用户内网的某个IP、某个移动用户只能内网的特定计算机的特定服务和与第设备互连时设置出入站策略的服务参数。例如：仅允许用户test总部的WEB服务器的WEB服务，对WEB服务器其它服务的请求都将被仅允许分支用户branch1内网的一个IP访务进行即可实现隧道内的安全管理。省状况下系统没有对接入用户的权限做任何限制，下面以一个例子作为说明。内网权限案例学某客户需要实现仅允许分支用户branch的内网IP00总部的FTP服务器0，其它IP发起的请求或对其它服务的请求全部，具体操作步骤如在『内网服务设置』中点击新增出现【设置内网服务】框，『服务名称』可自义一个便于识别的名称，勾选协议类型（FTPTCP协议），1、点击新增出现【IP范围设置】框，逐项进行设置，页面如下[IP]IP00。[IP]FTPIP0。[目的端口]：FTP20-21。这里的内网服务设置只是一种“定义”，定义好服务之后，需要在『用户管理』面为用户账号分配内网权限来最终实现 内网权限”的设定。内网服务设置还可应用『第对接』中设置『出站策略』的『本端服务』参数和『入站策略』的『对端服务』参数，具体设置可参考『第对接』相关章节。2Branch3、在『权限设置』框中将设置好的Branch服务右移到服务列表中，设置为允许，因为本例中仅允许该服务，故将『缺省动作』设置为[缺省]，页面如下：完成以上三步设置后即实现仅允许分支用户Branch的内网IP00总部FTP服务器0，分支Branch内网的其它IP发起的请求都会被这样设置完成后，总部其他计算机去分支Branch也一样会不到。因为包里目IP0这台服务器，也会被内网权限给拦掉。组播服 使用VOIP和会议等需要组播支持应用的需求，SANGFOR支持端口范围是1-65535。页面如下：LDAP服务器设SANGFOR设备的服务支持使用第LDAP认证，如需要启用第认证，请『LDAP服务器设置中正确设置第LDAP服务器信（包括LDAP服务器IPLDAP服务器端口、LDAP管理员），如下图：设置好LDAP服务器信息后 高级，显示[LDAP高级设置]框，按照实际LDAPRadius服务器设SANGFOR设备的服务支持使用第Radius认证，如需要启用第认证，请在『Radius服务器设置』中正确设置第Radius服务器信息（包括Radius服务IP、Radius服务器端口、Radius认证共享密钥、Radius协议），如下图：动态路由设SANGFORRIP协议和其它网络设备相互交告已与本端建立连接的对端网络的信息（更新其他设备的路由表，添加到对端SANGFOR设备，连接断开后会通告路由设备删除该路由）。[启用验证]：用于设置交换RIP协议信息时需要验证的，一般不需设置[IP地址]和[端口]：用于设置主哪个IP发布路由更新信息[记