用户手册第2章控制台使用

NGAFV3.0用户手 前 致 第1章安装指 电 第2章控制台的使 登录WebUI配置界 第3章功能说 应用流量................................................................................................................. IP流量.....................................................................................................................用户流量............................................................................................................... 查看最近 IP流量...........................................................................................................................查看IP流量..............................................................................................................过滤IP流量..............................................................................................................用户流量........................................................................................................................ 应用流量........................................................................................................................ 3.1.11用户管 3.1.11联动源 VLAN接 区 路 OSPF链路信 OSPF路由信 OSPF邻接关 OSPF接口信 静态ARP ARP......................................................................................................................... 3.3.1特征识别 3.3.2WEB应用防护特征 3.3.3数据泄密防护识别 1预定义敏感信 ISP地址 设备出厂默认有、电信、中国移动、教育网四个ISP地址 URL分类 URL库列 新增URL 删除URL 修改URL 服 IP 概 PROXY单点登 Web单点登 1、PC登陆web服务器是设备 .3认证........................................................................................................................ ..................................................................................................................................... WEB过 概 系 Syslog设 3.13.8告 3.13.10页面定 ....................................................................................................................... 第4章数据中 ..............................................................................................................统计案 DOS............................................................................................................................. IPS查询案 查 查杀查询案 4.2.6..............................................................................................................查询案 报 系 第5章案例 ARP配置案 WEB应用防护配置案例一 Copyright©2012市深信服电子科技及其者，保留一切权利。未 前1SANGFORNGAF产品安装指南。该部分主要介绍NGAF设备的外观特点及2SANGFORNGAF控制台的使用，如何登陆控制台等。第3部分SANGFORNGAF的功能说明及使用。定差异，所有涉及产品规格的问题需要和深信服科技联系确认。图形界面格式约→[各类标 致 1输入电压温度湿度SANGFORNGAF110V230V电源。在您接通电源之前，请保证1：SANGFORNGAF前面板（NGAF1320为例 告在设备启动期间是红灯长亮的一般一两分钟后红灯熄灭明正常启动。如红灯长时间不熄灭，请关闭设备等待5分钟后重新开机。如果还是长亮，请联系部门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备ExplorerNGAF设备的管理口为MANAGE(ETH0)口，管理口默认出厂IP51/24。设备接线方在背板上连接电源线，打开电源开关，此时前面板的Power灯（绿色，电源指示灯）和Alarm灯（红色，告）会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。请用标准的RJ-45以太网线将MANAGE(ETH0)NGAF设备进POWERLINK灯长亮，ACT灯在有数据图1直连线、交叉2NGAF支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从管理口(MANAGE)登录，那么登录的URL为：按照前面所示方法接好线后，通过WEB界面来SANGFORNGAF设备。方法如下：首先为登陆控制台的电脑配置一个10.251.251.X网段的IP（如配置00），然后在IE浏览器中输入管理口的默认登陆IP及端口，出现一个如下厂情况下的用户名和为admin/sangfor。 配置和使登录WebUI配置界面后，可以看到以下配置模块：包括『运行状态』、『网络配置』、『安全『风险分析』 『流量管理『系统』、『『配置向导』 3运行状『运行状态』主要用于查看设备的基本状态信息，包括『系统状态』、『最近安全事件』『服务器安全事件』、『终端安全事件』、『最近源』、『 流量』、『用户流量』『应用流量排名『流量管理状态』、『在线用户管理『联动 系统状选择显示模 恢复默认显示模

信息]、[今日安全日志汇总]、[系统关键事件]、[今日服务器安全]、[应用流量]、[状态查系统信【系统信息】主要用于显示设备系统资源的概况，包括CPU使用率，内存使用率，磁今日安全日志汇【今日安全日志汇总】主要用于显示设备当天检测和到的概况，包括查 系统关键事【系统关键事件】主要用于显示WEB应用防护，IPS，DOS/DDOS防护，管理员操作今日服务器安全 应用流量接口信 接口吞吐率折线应用流速趋势叠加IP流量用户流量 最近安全事查看最近安全事如图，显示的内容包括：发生事件、源IP、目的IP、类型以及的URL刷新间隔：5点 刷新间隔：5点 服务器安全查看服务器安全事刷新间隔：5点 刷新间隔：5点 终端安全事查看终端安全事 刷新间隔：5点 刷新间隔：5点 最近查看最近 刷新间隔：5点 刷新间隔：5点 IP流IP流量如图，根据IP的总流速进行，显示的内容包括IP地址，上行流速，下行流速，总流速，获取机器名，流量构成。在[获取机器名]一栏点击获取，用来获取对应IP的计算机名；在[流量构成]一栏，点击对应的应用会出现如下界面，来显示该IP具体的应用流量：刷新间隔：5点 刷新间隔：5点 IP流量点 『过滤对象』用来设置具体的IP用户流量查看用户流量 刷新间隔：5点 刷新间隔：5点 过滤用户流量点 [组过滤]、[用户过滤]、[IP过滤]三个条件只能选择一个，其中组过滤中“/”是表示所冻结用户上解冻用户上 应用流量查看应用流量如图，根据应用占用的带宽进行，显示的内容包括：应用类型、线路、上下行流速、刷新间隔：5点 刷新间隔：5点 过滤应用流量点 流量管理状刷新间隔：5点 刷新间隔：5点 点 查看速通道流量查【带宽分配】页面可以看到通道的名称、所属线路、瞬时速率、占用比例、通道用户数、保证带宽、最大带宽、状态等信息。在历史信息排除策略流量查3.1.11用户管查看用此处可以到所有通过设认证的用户登名（显示、所属组、P地址、、进。过滤用点 [过滤对象]勾选后可以选择根据[用户过滤]或者是[IP过滤]，输入指定的用户或者IP进冻结用点 解冻用强制注销用 点 3.1.11联动源『联动源IP』主要用于查看当IPS规则、WEB应用防护规则和数据泄密防护模块启用联动时，了哪些源IP以及是哪个安全策略触发的联动，界面如下：刷新间隔：5点 刷新间隔：5点 可以清除该IP地址点 时间网络配接口/区子接口、VLAN接口、区域、接口联动信息，如下图所示：物理接[连接类型]：显示接口IP地址获取的类型，包括ADSL、静态IP、DHCP 接线或者网口DOWN掉。 虚拟网线：虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转有关这三种不同接口类型的详细配置说明请参考5.1小节的案例。子接子接口用于配置物理接口是路由接口，并且该路由接口需要启用VLANtrunk的场景，配[接口名称]显示子接口的名称。接口名称自动生成，且不可修改。例如eth0口下VLAN2[地址]显示子接口的IP[MTU]显示子接口的MTU ]显示是否允 子接口VLAN接点击新增，添加VLAN[接口名称]设置VLANID。设备需要加入VLAN，就填写对应的VLANID即可。[基本属性]设置VLAN接口是否允许[连接类型]可以选择静态IPDHCP。静态IP地址填写对应VLAN网段的IP区路由接口，包括子接口和VLAN接口；如果选择虚拟网线区域，接口列表会显示未被划到[管理地址]设置可以登陆管理设备的源IP地址。点击 选择和新增IP组。接口联『接口联动』接口联动主要用于NGAF设备工作在流量负载均衡模式，把负责转发数点击是，启动接口LINK路路由配置页面包括静态路由，策略路由，OSPF，RIP和查看路由，当设备本身需要和不同网段的IP通信时，需要通过路由实现数据转发。静态路[目的IP地址]按照目的IP，目的掩码，下一跳地址，接口，度量值的格式填写，一行对应一条静态策略路『策略路由』主要用于设备有多个口接多条线路时，根据源/目的IP、源/目的务器需要验证的源IP地址，如果多次的源IP是不同的，则会断开连接，此时次安全应用的源IP地址是固定的。『OSPF』用于对NGAF设备开启和设置OSPF动态路由协议，包括网络配置，接口配勾选[启用OSPF]，启用OSPF用和配置虚连接。点 [区域ID]：填写骨干区域ID 一般设置为o间隔的4倍，默认值是40s。网络配[区域ID]：设置将该网段引入到哪个区域，一般填写骨干区域的ID接口配[接口名称]：『OSPF』→『网络配置』中发布的网段对应的接口名称。[接口IP]：接口IP地址。[接口]：接口不发送OSPF链路状态，配置为接口后，直连路由可以发布，但接口的OSPF报文将会被阻塞，邻居无法建立。接口默认选“否”。[认证口令]：设置明文或MD5认证方式的口令。影响OSPF的选路结果，范围为1-65535，默认值为1。[优先级]：优先级为0的路由器不会被成DR或者BDR。DR由本网段路由器通过o报文共同，设备将自己选出的DR写入o报文中，发给网段上其他路由器。当同一网段的两台路由器都宣布自己是DR时，优先级高的胜出；如果优先级也相同，[DDMTU不匹配检测]OSPFDD报文描述自己的LSDB。默认情况下，接口发送DD报文时不填充MTU值，即DD报文中MTU值为0。参数配[RouterID]：设置NGAF设备的RouterID[SPF计算间隔]：当链路状态数据库LSDB发生变化时，需要重新计算最短路径，默认5s。作为外部路由信息，并可设置路由引入后的metric值。[直连路由]：选择是否需要将直连路由引入OSPF路由中作为外部路由信息，并可设置路由引入后的metric值，默认度量值是10。[RIP路由]：选择是否需要将RIP路由引入OSPF路由中作为外部路由信息，并可设置路由引入后的metric值，默认度量值是20。[静态路由]：选择是否需要将静态路由引入OSPF路由中作为外部路由信息，并可设置路由引入后的metric值，默认度量值是20。metric参数，则使用该度量值作为路由引入后的跳数。度量值默认值是10。信息显通过『信息显示』可以查看OSPF链路信息，OSPF路由信息，OSPF邻接关系，OSPF[Type]：LSA的type[ID]：LSA所在的RouterID。*代表设备自己产生的LSA。[AdvRouter]：表示由哪个设备通告的这条LSA给本设备。[Seq]：这条LSA的序列号。[Age]：表示收到该LSA已有多长时间。超时时间到了之后，该LSA『OSPF路由信息』用来查看OSPF[NeighborID]：邻接路由器的路由器ID。[Pri]：邻接路由器的优先级。[State]：[DeadTime]：显示如果邻居不发o报文，还有多长时间该路由器状态变为DEAD[Address]IP地址。当OSPF信息包被传输到邻居，此地址将是下一跳IP地址。OSPF_VL1是虚连接标识。[IP]：接口的IP地址。[DR]：该区域的DR地址。[BDR]：该区域的候选BDR『RIP』用于对NGAF设备开启和设置RIP动态路由协议，包括网络配置，接口配置，勾选[启用RIP]，启用RIP网络配接口配接口能收发RIP报文。如果在『RIP』→『网络配置』下新增了如下网段：[接口名称]：『RIP』→『网络配置』中发布的网段对应的接口名称。[接口IP]：接口IP地址。[版本设置（接收）]：指定在接口上接收的RIP报文的版本。当接收的版本选择为时，可同时接收RIPv1RIPv2[版本设置（发送）]：指定在接口上发送的RIP报文的版本。RIPv1的报文传送方式为本选择为RIPv2时，可同时发送RIPv1和RIPv2的报文。这条路由的METRIC是无穷大。缺省情况下不启用毒性逆转。[认证方式]：可以选择明文，MD5，不认证。RIPv1不支持报文认证，RIPv2支持明文和MD5认证。邻居配『邻居配置』设置相邻运行RIP协议的设备IP参数配先级的数值越大，其实际的优先级越低。可以手工配置RIP的优先级，默认值是120。180s。『路由重发布配置』配置将其他路由，如直连路由，OSPF路由，静态路由引入RIP中，置路由引入后的metric值。默认度量值是10。[OSPF路由]：选择是否需要将直连路由引入RIP路由中作为外部路由信息，并可设置路由引入后的metric值。默认度量值是20。置路由引入后的metric值。默认度量值是20。的metric参数，则使用该度量值作为路由引入后的跳数。默认度量值是10。点 查看路，目的，]，，接口虚拟网虚拟网线功能是指在NGAF设备上设置一个物理接口组，如A接口与B接口组成一组虚拟网线，数据包从A接口进入设备后，除了目标IP地址是NGAF设备本身的数据外，其据直接发送出去，但数据仍然受各种安全策略的控制。通过虚拟网线功能，能提高NGAF设备数据转发的效率，也能防止由于MAC表的导致数据转发错误。高级网络配高级网络配置包括ARP，DNS，SNMP『ARP配置』包括静态ARP表和ARP两部分ARP『静态ARP表』用于在设备设置静态绑定IP/MAC[IP地址]：设置需要绑定静态ARP条目的IP地址。[MAC地址]：设置需要绑定静态ARP条目的MAC地址。[接口]：设置与绑定的IP地址相同网段的设备接口。ARPARP功能即NGAF设备回应ARP请求，达到保护内网主机的目的。界面如下『DNS』页面用于NGAF设备本身公网的DNS服务器设置以及DNS功能的[首选DNS服务器]和[备选DNS服务器]：设置NGAF设备本身公网的DNS服[DNS]：开启此功能后，内网用户的DNS设置成NGAF设备的接口IP，通过设内网用户的DNS请求，转发到设备设置的首选DNS服务器和备选DNSSNMP用于支持其他设备或软件用SNMP方式来管理和查看SANGFOR设备的相勾选[开启SNMP]，则其他设备和管理软件可以通过SNMP设备信息SNMPV2协议连接设备，并约定连接参数。设定SNMPSNMP管理者为一个子网，该子网内的主机都可以通过SNMP管理设备。[地址]：设置SNMP管理者的IP于指定SNMP管理主机对象的IPSNMP管[团体名]：指定SNMP管理主机设备时的团体名。『SNMPV3』用于设置当以SNMPV3版本通讯时，需要设置的一些高级扩展选项，界码必须为8位字符并且不能包含空格，将以MD5算法进行加密。并且不能包含空格，将以DES算法进行加密。安全防护对特征识『ID』显示当前的ID，将ID输入搜索框，可以通过ID进行搜索。主要作用是当服务器被某个IPS规则了，可以到数据中心查看到ID。通过此处的ID查询，可以设置不此规则『类型』显示当前的类型，如bakdoor『等级』描述此的等级，一般有高、中、低三个等级，等级越高的则]、[启用，检测后放行]、[启用，与云分析引擎联动]、[禁用]四种。这个动作可以自定义，点击『名称』编辑页面，如下图：WEB应用防护特征点击用于统一的修改WEB应用防护规则。若选择[默认（系统初始状态）]，则将保留系统自带的规则状态；若选择[启用严格规则检测，并]，则对于所有防护规则的动作都将设置为“启用，检测后”。对于等级为中的规则来说，系统默认的状态会放行的，启用严格检测后，等级所有的规则也将被。 『等级』描述此的等级，一般有高、中、低三个等级，等级越高的则[启用，检测后放行]、[启用，与云分析引擎联动]、[禁用]四种。这个动作可以自定义，点击『防护名称』编辑页面，如下图：数据泄密防备时，设备会进行，以保护用户敏感信息不被出去。界面如下：预定义敏感信点击新增按钮，弹出【排除IP】框，界面如下选择“排除URL”点击新增按钮，弹出【排除URL】框，界面如下自定义敏感信点击用于设置针对哪些IP、以及哪些URL不进行数据泄密防护。『预定对象定ISP地址『ISP地址库』用于设置网络运营商的IP地址段，此IP地址段主要用于『策略路由』中点击删除，用于将已选的ISP点击新增，用于新建ISP『名称』用于设置ISP『WHOIS标志』用于设置相应的ISP地址段对应的whois标志，便于根据标志识别不应用特征识的检测通过端口或协议无法区分的应用类型，比如QQ、P2P等。定义规则详细介绍见章节3.4.5）。查看应用识别规应用类别中细化的分类，如IM中的QQ，MSN等。启用/禁用应用识别规3.4.2行禁用，如图筛选出QQ相关的应用：勾选具体应用“QQ”，点击启用或者禁用，即可对QQ点 或 HTTP协议的数据识别。所以设备限制此类规则不能被禁应用智能识『应用智能识别库』也是用于识别各种上网数据的应用类型的，它和『应用特征识别库』的P2P应用、skype、SSL、SANGFOR数据的识别、自由门，等工具数据。配置界面如下：启用/禁用应用智能识别规 语音识别规则】的编辑框，列出所有 编辑P2P行为识别规P2P 数据可能是未识别的P2P数据，这时可以将此处的灵敏度调高一些。比一些应用本不进行P2P智能识别，可以避免部分误判的情况。自定义应新增自定义应用规：[协议]：设置数据所采用的协议类型，此例中邮件发送是TCP协议；[IP地址]：设置源IP、目标IP或者是识别后的目标IP 发送邮件的带宽。（）建议设置自定义规则时要加上目标端口、IP和等识别信息，如果识别的条件过于宽泛，可能会和内置的应用识别规则有导致应用识别，从而导致部分控制启用/禁用/删除自定义应用规导入/导出自定义应用规『URL分类库』是根据网页的内容定义出不同的URL类型，帮助设备识别各类，以实现对各种类型的进行权限控制和流量控制。『URL库列表』中显示的是内置URL组和自定义的URLURL组由深信服定期在服务器上进行更新，设备通过上网连接服务器进行更新，此类更新需要。自定义URL组是在内置URL组不满足需求时，客户可以通过已知的URL设置的URL组。URL库列『URL库列表』包括设备内置的URL库和用户自定义的URL库。内置URL设备定时更新，但更新内置库需要序列号，且保证设备能够上网。自定义URL库可以进行增加、删除和修改等操作（参见章节3.4.7小节。在【导航菜单】页面中的『对象定义』→『UL分类库』，右边进入【UL分类库】页面：点击【UL库列表】页面，页面上方显示了内置UL库版本以及内置UL在【导航菜单】页面中的『对象定义』→『URL分类库』，右边进入【URL分类库】查询的，点击查询后，查询结果中会显示URL对应的类别。URL字则被识别成该URL组，关键字匹配优先级低于内置URL库和自定义URL库。1、用*号表示通配，比如要设置一个URL表示新浪的子页面，包括新浪 .cn）、新浪体育（ .cn）、新浪（ URL删除URL组用于删除用户自定义的URL组，设备内置的URL组是不能删除的库列表】页面，勾选自定义的URL库，点击删除，则可删除对应的URLURL修改URL组既可以修改用户自定义的URL组也可以修改内置的URL组，不过两者有对于用户自定义的URL组，进行编辑时，可以编辑URL组的描述以及URL、关内置库中已有的URL，只能在[URL]和[关键字]中添加URL和关键字，作为对内置URL直接点击需要修改的URL组的名称，然后弹出【编辑URL服预定义服自定义服协议用于设置服务的协议类及端，分别击T、UD、[P、其他，TCPUDP的填写格式是一行一个端口或者端口范围，ICMP填写格式为“type:a,code:b”（不带引号）ab0-255的整数，可以输入多行。服务IP『IP组设置』用于定义一个包含某些IP地址的IP地址组，这个IP组可以是内网的IP段，也可以是公网的某些IP范围，或者是全部IP。『IP组设置』可以被『』→『地址转换』、『内容安全』→『应用控制策略』、『流量管理』→『通道配置』等处。在【导航菜单】页面中的『对象定义』→『IP组』，右边进入【IP组】编辑页面来的IP地址追加到IP用DNS地址，能正常解析。时间计『时间计划』用于定义常用的时间段组合，然后在『内容安全』→『应用控制策略』单次时间计循环时间计点 文件类型『文件类型组』用于定义需要的文件类型，并可应用到『内容安全』→『 过滤』→『文件过滤』中，限制文件HTTP和FTP的上传和，也可用于『流量管理』→『通设备默认自带有、音乐、文本、压缩文件、应用程序的大部分文件类型，信任的颁发机『信任的颁发机构』用于『内容安全』→『WEB过滤』→『ActiveX过滤』，当勾型的的ActivX控件。用户可以导入或者删除这个的。支持从本地导入格式为crt或cer。

，选 不存在CN名，则采用最后一个字段的名（字段的排列顺序和IE有可能不一样）认证系用户管概用户管用户认相比基于IP地址的管理来说更直观，也更精确。要实现基于用户的管理，本系统必须要知道某个IP地址上某个时刻是哪个用户在使用 系统进行结合，以识别出某个IP地址上目前正在使用的用户，用户上网时不会再要求先输ActiveDirectory域的单点登录（.1.1）结合服务器的单点登录（参见章节.1.2）结合POP3邮件服务器的单点登录（.1.3）结合WEB表单认证的单点登录（参见章节.1.4）3、基于IP地址、MAC地址、计算机名的识别根据数据包的源IP地址/MAC地址，上网计算机的计算机名来识别用户。此种识别用户类IP/MAC组/用查看用户/组、绑定信息（用户绑定的IP、MAC信息、过期时间（用户、描述信息、状态（启用或选择功能：此功能用于快速选择当前页和全部页的用户、用户组，点击弹出索IP地址]、[搜索MAC地址]，在后面的输入框中输入内容，按回车键进行搜索。新增用户/ 置IP或者MAC条件，用于设备判断用户的认证方式。客户内网/网段的电脑全部采用用户名的认证方式，并在IP范围（即限制登录的IP范围）为-00，可以多人同时登陆。第一步：客户需求是：网的电脑全采用户名的认证在『用户认证』→『认证策略』中设置认证策略，设置此用户的IP或者MAC范围证区域。如图，本例用以选择内网区做认证为例。区域设置请参考章节。勾选[本地]，在[]的输入框中输入用户登录认证的。[绑定IP/MAC地址]用于将该用户和IP/MAC地址绑定。此例中需要：单向绑定IP围（即限制登录的IP范围）-00，在输入框中填入名和，点击登录。如果用户名验证正确并且符合绑定的IP条件，则认证通过。如果用户名正确，但登录使用的IP地址不属于绑定的IP范围，则认证不通过，提客户内网/网段的电脑全部采用用户名的认证方式，并在工程师组中新增一个用户：工程李，此用户的认证方式是用户名认证，并且双向绑定IP/MAC17/00-1C-25-AC-4C-44（即此用户认证时必须使用IP/MAC，并且其第一步：客户需求是：/网段的电脑全部采用用户名的认证在『用户认证』→『认证策略』中设置认证策略，设置此用户的IP或者MAC范围第四步：设置『用户属性』，勾选[本地]，在[]的输入框中输入用户登录认证。17/00-1C-25-AC-4C-44（即此用户认证时必须使用此IP/MAC，并且其他用户不能使用此IP/MAC）。，在输入框中填入名和，点击登录。如果用户名验证正确并且符合绑定的IP条件，则认证通过。方式时，用户可以不用输入用户名直接上网，此时设备是以IP地址、MAC地址或者是一对一的关系，此时可以根据IP/MAC识别到对应的用户。2『用户认证』→『认证策略』中设置不需要认证，并以IP地址或MAC地址或者IPMAC地址或者计算机名，匹配IP/MAC进行双向绑定，即只有主管的电脑才可以使用此账号上网。主管电脑的IP/MAC定。此例中需要：双向绑定IP/MAC为17/00-1C-25-AC-4C-44。[IP/MAC地址]的双向绑定，因为这项设置具有唯一性，不能在添加多用户时设删除用户/该组删除。）批量编辑用户/多个组进行编辑，批量编辑用户时不能设置[IP/MAC地址]的双向绑定，因为这两项把“4，master，3，2，，工程张”这六个用户的描述都写为工程部；设置同样的用户名认证；单向绑定IP地址范围：-55；用户有效期到2012年11号。第二步：勾选[描述]，填上工程师。勾选[设置]和[本地]，填上第三步：勾选[绑定IP/MAC地址]和[启用IP/MAC绑定]，选择[修改IP/MAC地址]，填上-55。勾选[账号过期时间]，选择[过期日期]，选择时间为2012-01-01导入导出用户/ 面进行用户的导入，详细配置请参见章节第二步：控制台上有提示“导出成功”，然后弹出框。点击导出的移动用户/将用户support-xwb与support-pc移动到“/点击移动按钮成功移动support-xwb第二步：点击移动按钮成功移动support-pc和support-xwb用户导『扫IP导入』IP/MAC绑定的用户时，可以通过[IP导入]扫描内网用户IP/MACIP和已有的用户绑定的IP有时，无法导入此用户。MSActiveDiretory服务器上导入用户。此处的域用户导入时，域服务器中的安全组会CSV格式文件导通过一个CSV的文件导入用户，导入的用户时可以同时导入显示名、认证方式、绑存该格式的表格文件，例如常见的微软EXCEL电子表格软件就可以编辑该类型的文件，而XLSCSVcsv文件格式很简单，不表格中编辑用户信息，导入时，再转换成csv格式后导入。

IPMAC地址，并且支持将扫描出的用户导入设备，用户名是用扫描IP配置案第一步：选择『扫描IP导入，点

点 1unknow表示机器名没有获取到，机器名是通过登录控制netbios协议获取的，扫描不到机器名，请确认以下几点：目标电脑上是否开启了netbios协议；目标电脑上是否配置了多IP；目标电脑上是否有过滤了netbios协议；网络路径中是否有设备做了netbios协议的过滤。从外部LDAP服务器上导入用用于将LDAP服务器中的用户同步到设备中，该功能仅支持从MSActiveDiretory服务器上导入用户，如果是其他类型的LDAP服务器，请通过『用户管理』→『LDAP自动同步』来完成用户的导入（参见章节）。实现从LDAP服务器上导入用户，首先需要配置LDAP服务器（具体设置参见：『功能说明』→『用户与策略管理』→『用户认证』→）1、LDAPLDAPIE浏常到和导入LDAP服务器中的用户信息。LDAP自动同『LDAP自动同步』用于将域服务器中的用户、组织结构、安全组同步到设备上，并且0点-6点的一AD域）][按组织结构(OU)同步]：适用于所有类型的LDAPLDAP到设备，用户同步到设备仍然属于对应的OU组。[按安全组同步（仅AD域）]：仅适用于微软的LDAP服务器，即AD域。按照这种方式同步时，AD域服务器中的安全组会以用户组的形式同步到设备，安全组没有组织结构，新增同步策按组织结构（OU）同LDAPLDAPOU会以用备仍然属于对应的OU组。LDAP服务器中的OU=工程部，OU=市场部，OU=IT部同步到设备中，同时同步这些OU对应的子OU和用户。第一步：设置需要同步的LDAP服务器，设置IP、端口、登陆用户名等信息，具体请参见『用户认证』→『外部认证服务器』（）第二步：进入『认证系统』→『LDAP自动同步』，点击新增，在弹出的【LDAP同步】窗第三步：在【 同步】窗口中，设置[策略名称]、[策略描述]、[同步工作模式]、[第四步：[同步来源配置]用于设置需要同步的LDAP服务器的OU[LDAP服务器]用于设置需要同步的LDAP服务器，此处选择的服务器即为步骤一中设[从以下目标同步]用于指定需要同步LDAP服务器中哪些OU，点击选择，在窗【组织结构选择】中选择需要同步的OU：OU=工程部，OU=市场部，OU=IT部选择完成勾选[从目标的根节点开始创建本地组织结构]表示LDAP中的根也会以组的形式同步过来，且同步的OU都是它的子组。勾选[从目标的当前选点开始创建本地组织结构]表示同步从所选的OU开始勾选[从目标的当前选点的子节点开始创建本地组织结构]表示同步从所选OU的子OU开始同步，所选OU和所选OU的直属用户此时都不会同步到设备上。[导入OU的最大深度]：用于设置导入的OU深度，此处设置的是10，表示从所选OU9级子OU9级以下的OU不会以用户组同步到设备了，9级以下OU的用户还是可以同步到设备的，这些用户同步过来是属于第9级OU的。第五步：[同步目标配置]用于设置导入方式、同步的OU和用户被放置在设备组织结构[导入方式]用于选择同步时是否OU和用户。勾选[同步LDAP的OU组织结构和用户到本地]OUOUOU对应的用户组下。勾选[同步LDAP的用户到本地，忽略OU组织结构]表示将OU中的用户同步到设OU。勾选[LDAPOU组织结构到本地，不导入用户]OU 第六步：设置完同步策略，点击提交，添加策略完成。在【LDAP自动同步】页面查看OU和用户同LDAP服务器中的完全一致。按安全组同步（AD域MSActiveDiretoryAD域。按照这种方式同步时，AD域服务器LDAP中安全组没有组织结构的概念，设备LDAP服务器中的CN=IT人员，CN=经理组，CN=普通上网组同步到设备中，同时第一步：设置需要同步的LDAP服务器，设置IP、端口、登陆用户名等信息，具体请参见『用户认证』→『外部认证服务器』（）第二步：进入『用户与策略管理』→『LDAP自动同步』，点击新增，在弹出的【LDA同动同步]。[同步工作模式]选择按安全组同步，[自动同步]选择启用，自动同步一天同步一次。[LDAP服务器]用于设置需要同步的LDAP服务器，此处选择的服务器即为步骤一中设 目标同步]用于指定需要同步LDAP服务器中哪些安全组，点击，勾选[从目标的根节点开始创建本地组织结构]表示LDAP中的根也会以组的形式同步过来，且同步的OU都是它的子组。勾选[从目标的当前选点开始创建本地组织结构]表示同步从所选的OU开始勾选[从目标的当前选点的子节点开始创建本地组织结构]表示同步从所选OU的子OU开始同步，所选OU和所选OU的直属用户此时都不会同步到设备上。[导入OU的最大深度]第六步：设置完同步策略，点击提交，添加策略完成。在【LDAP自动同步】页面查看删除同步策查看同步报点 用户认『用户认证』用于设置用户认证的相关设置，包括『认证策略』、『认证选项』、『外部认证义中定义P来实现对内网C的各种保护，此时用户以及记录日志均以P地址的方式认证策概1、不需要认证；2、认证（包括本地认证和外部服务器认证；3、单点登录；IPMAC地址、上网计算到对应的用户。（注意『认证策略』中设置的IP/MAC范围需要包含绑定的IP/MAC）。IPMAC地址或者IPMAC地址或者计算机名，匹配否为password，如果正确，则认证成功，否则，认证失败。上进行设置（参见章节.1）。通过设置[例外的用户]，排除一部分用户无需使用单点登录认证，通过手动输入用户 择以IP地址做为用户名或者以MAC地址做为用户名或者以计算机名作为用户名；2、单点选择认证区义ETH2口为区，ETH1口为内网区。新增认证策新用户自动添加到“/IPIP一一对应。内网其他网段的用户不需要认证，以IP作为用户名，新用户自动添加到“/默认LDAP认证服务器（）第二步：设置『用户认证』→『认证策略』，点击新增，弹出【认证策略】窗口。在[策略适用IP/MAC范围]中填写IP、IP段或者MACIPMAC匹配用户对应本例中需要做第服务器认证，所以勾选[本地认证/外部认证/单点登勾选[到外部LDAP上认证的新用户，不添加到选择的本地组，而是自动触发该用户的同步，添加到相应的组中]此项勾选表示用户如果是LDAP第认证或者是单点登录的用LDAPLDAP同步的策略将用户][，此选择对认证用户有此例中需要选择[双向绑定]的绑定方式，并且勾选第一项[绑定第一次登录的 地址用户名；此处不需要勾选[本地]，因为勾选本地后，此用户就拥有本地认证的属性，用户认证时不再到外部服务器上认证；勾选[IP/MAC地址]设置需要绑定的IP需求：内网其他网段的用户不需要认证，以IP作为用户名，新用户自动添加到“/默认『认证方式』：勾选[不需要认证/单点登录]中的[以IP作为用户名『新用户选项』：勾选[添加到指定的本地组中]，并选择“/默认组/”认证策略是从上往下匹配的，所以本例中设置的两条认证策略，设置顺序应如下图所 内网 第一步：在『用户认证』→『认证选项』→『跨三层MAC识别』中设置SNMP跨三层获取MAC的选项。（参见章节.4）勾选[绑定IP/MAC地址]和[绑定第一次登录的MAC地址，IP不绑定]『认证选项』→『跨三层MAC1NETBIOS协议来获取上网计算机的计算机名，可能会出现获取电脑上是否配置了多IP；电脑上是否有过滤了NETBIOS协议；网络路径中是否有设备做了NETBIOS协议的过滤。如果获取不到计算机名，则系统会把该计算机当成临时MACSNMP协议，获取离上网计算机最近的三层交换机（也就是上网计算机指向的网关设备）ARPIP地址上真正的源MAC地址。/AD域单点登录进行认证，即用户在登录系统通过AD域认证时，同时通过设备的认证，AD域中的用户可以同步到设备上。要求如果这个网段的电脑单点登录失败或者是没有登录域的时候，以IP地址做用户名，不需要勾选[到外部LDAP上认证的新用户，不添加到选择的本地组，而是自动触发该用户的注意此处不能设置[绑定IP/MAC地址]进行双向绑定，因为未做单点登录的用户自动添删除认证策批量编辑认证策第二步：，点

[][用户选项]的相关策略不会变化，仍然是原来的策略。相反，只编辑[新用户选项]，批量编认证策略优先级调户认证时，从上往下进行匹配。一旦IP或MAC符合该策略，则执行该策略的认证方式。勾选“市场部小组一”策略，点击上移，向上移动到“市场部”策略上面，让“市场部小组一策略优级别更，192.1682.1-92.168.210的用户可以先认“市场小导入认证策 ，按照示例文件的格式编辑『认证策略』认证选选项』、『认证通过跳转『认证』、『跨三层MAC识别』『其他认证选项』。单点登录选使用和第认证服务器同一套用户名。目前设备支持的单点登录类型包括：AD域单点登录、Proxy单点登录、POP3单点登录和Web单点登录。此处设置的是只是实现单点登别在『用户管理『外部认证服务器』证策略』中设（参见章节、、）。如果客户的网络中已有一台微软AD域服务器做用户管理，并且客户内网用户登录电脑用域下发或登录域的数据包两种方式实现。域单点登录只适用于微软AD域（MSActiveDirectory）。域下发模式配置2、域返回成功登陆信息给务器』进行设置（参见章节）

第三步：在AD域服务器上配置登录程序 存的登陆文件(即logon.exe)，并在参数中输入IP(IP是属于设备端的IP)，端(固定是1773)，密钥(必须与设备端设置的一致)。注意每个参数以空格分隔，后点击应用第四步：在LDAP上配置注销程序。设置注销的目的是在用户注销域的时候在弹出的注销编辑窗口左下脚点击“显示文件”(在此为ShowFile)，将打开一个然后将注销(即logoff.exe)文件保存在该 IP，依次关闭所有的组策略属性页面配置。第五步：设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置（参见章节.3）。1PCDNSIP地址，否则会因无法解析域的IP而导致登录不了域服务器。登陆到域，可以进入windows，但实际上没有登录到域，此时单点登录无效，用户上网时仍会弹出认证框要求输入用户名和，这个主要是因为windows可以记住上次输入的正模式配置模式是通过PC登录域服务器的数据，从到的数据中获取用户登录的信息，从登陆域的数据经过设备或者是通过口镜像到设备。设备通过UDP88端口的登陆信勾选[计算机登录域的数据，获取登录信息]，表示使用模式实现单点登录。在[的域控制器地址列表]中输入域服务器的IP和端口，如果有多个域服务器，则一行一个IP和端口，如下图所示： IPMAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置（参见章节.3）。务器』进行设置（参见章节）勾选[计算机登录域的数据，获取登录信息]，表示使用模式实现单点登录。在[的域控制器地址列表]中输入域服务器的IP和端口，如果有多个域服务器，则一行一个IP和端口，如下图所示：IPMAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置（参见章节.3）。销的状态所以可能会出现PC已经注销了但设备的用户列表中还没有注销此用户PROXY单点登一般适用于用户使用Proxy上网的环境，并且每个用户均分配了服务器的账号。使用Proxy单点登录的认证方式时，当用户通过Proxy服务器的验证时，同时通过设备的认证。Proxy单点登录使用的是模式，也是通过登录数据完成单点登录的。1、用户通过Proxy服务器上网，设备PC和Proxy服务器的交勾选[启用PROXY单点登录]启用PROXY单点登录功能；服务器，则一行一个IP和端口，此处的端口设置Proxy ProxyIPMAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置（参见章节.3）第四步：PC登录Proxy果y这个服务器的权限（详细设置方法请参见章节381），并在【认证选项】→『其他认证选项』中勾选[通过认用户以本服务（P外）]如所示：客户网络中有邮件服务器，用户信息存放在POP3服务器上，在上网之前，用户使用Outlook、Foxmail之类的客户端登陆POP3服务器收发一次邮件，设备通过模式到次输入用户名。同时适用POP3服务器在内网和情况。下面分两种情况讲述POP32、邮件客户端成功登陆POP3服务器的同时，设备自动认证用户，上网不需要再次需3、由于数据交互是在内网，内网登录POP3服务器的数据不经过设备，需要在设备上 第一步：设置认证POP3服务器，点击进入『用户认证』→『认证选项』→『外部认证服务器』进行设置（参见章节）『用户认证』→『认证选项』→『单点登录选项』→『POP3单点登录』页面进行配置。勾选[启用POP3单点登录]启用POP3单点登录功能；在[邮件服务器地址列表]中输入POP3服务器的IP和端口，如果有多个POP3服务器，则一行一个IP和端口，此处的端口设置POP3认证的端口（一般默认是TCP110），如 略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置（参见章 .3）1、PC登陆P0P3服务器是设备服务器』进行设置（参见章节）『用户认证』→『认证选项』→『单点登录选项』→『POP3单点登录』页面进行配置。勾选[启用POP3单点登录]启用POP3单点登录功能；在[邮件服务器地址列表]中输入POP3服务器的IP和端口，如果有多个POP3服务器，则一行一个IP和端口，此处的端口设置POP3认证的端口（一般默认是TCP110），如略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置（参见章节36213）。第四步：C通过邮件客户端收发一次邮件，登录O3果3这个服务器的权限（详细设置方法请参见章节381），并在【认证选项】→『其他认证选项』中勾选[通过认用户以本服务（P外）]如所示：Web单点登陆一般适用于用户有自己的web服务器，且帐号信息均保存在web服务器上，客户想要实现，用户上网前通过自己Web服务器的认证同时也通过设备的认证。适用于Web服务器在内网或的环境。面。然后点『单点登录选项设置』→『Web单点登录』进入Web单点登录配置页面，先勾选证前，进行网页都会重定向到此页面上进行Web单点登录。第五步：选择[认证成功关键字]或者[认证成功关键字]，用来识别Web登录是否成功的关键字。比如选了[认证成功关键字]，则在POST的返回结果中，如果包含了设定的关键字，则判断为Web单点登录成功，选择了[认证失败关键字]POST的返回结果中，如果包含了设定的关键字，则判断为Web单点登录失败，反之单点登录成功。 1、PC登陆web服务器是设备面。然后点『单点登录选项设置』→『Web单点登录』进入Web单点登录配置页面，先勾选证前，进行网页都会重定向到此页面上进行web单点登录。第五步：选择[认证成功关键字]或者[认证成功关键字]，用来识别Web登录是否成功的关键字。比如选了[认证成功关键字]，则在POST的返回结果中，如果包含了设定的关键字，含了设定的关键字，则判断为Web单点登录失败，反之单点登录成功。的数据，勾选一个空闲接口进行。这个口在域单点登录模式、POP3单点登录以及Web单点登录等实现时均需要设置。认证通过跳认证他IP上登录，不注销以前的登录]。页面如下：跨三层IP/MAC识需要启用『跨三层MAC识别』的功能，用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能。原理：设备上的会定期发snmprequest到三层交换机请求交换机的MAC表，并保存在设备内存中。此时如果三层交换机其它网段的电脑经过设备上网时，如一台PC（和设备lan口不在同一网段）经过设备上网，该PC数据包经过设备时，设备校验此数据包的MAC是三层的MAC，则对此MAC这个IP去内存中查找其真实的MAC地址，实现对用户真正MAC的验证。第一步：在三层交换机上开启SNMP第二步：点击进入『用户认证』→『认证选项』→『跨三层MAC识别』进行设置，在设备界面上勾选『启用SNMP设置』，启用SNMP功能。第三步：设置[SNMP服务器超时时间设置]和[SNMP服务器时间间隔]，一般第四步：在[SNMP服务器列表]添加服务器，点 服务器】的编辑窗口，输入SNMPIP

第五步：设置认证策略，根据需要使MAC验证的用户的IP或MAC设置认证策略，其他认证选[用户未通过认证前，允许DNS服务]用于允许在用户通过认证前DNS服务。[未通过认证用户可以基本服务（根组权限，HTTP除外）]用于允许用户在通过认证前能使用除HTTP服务外的根组权限。[mac地址发生变动时，需要重新认证]原本认证通过的用户，MAC地址变化了会要求重新认证。比如一个IP为的用户，认证方式为用户名和认证，当这个用户下线后，由于有一段时间不会注销该用户，这时另一个用户把IP改成，这样MAC间。如图是登陆三次失败后冻结该用户1分钟。

外部认证服务器，包括LDAP，RADIUS，POP3三种。点新增，出现一个下拉框：新增外部认证服务证服务器』。进入【外部认证服务器】的编辑窗口。点击新增，选择[LDAP服务器]，会弹服务器的具体路径。五种:[MSActiveDirectory][OPENLDAP][SUNLDAP][IBMLDAP][OTHERLADAP]。[搜索配置][使用扩展方式函数]如果ldapldap_search，不支持的情况一般是服务器禁用或ldap软件未实现（如较老版本的openldap）[页面大小]ldap服务器管理员。(通常配置时会选用800/400/200...往小的试，直到可以同步为止)[大小限制]SizeLimits选项，用于设置同步时的sizelimit，除非服务端有明确配置，否[Radius服务器配置]Radius服务器的IP地址、端口、超时时间、共享密钥以出一个【外部认证服务器（POP3）】编辑框。[POP3服务器配置]用于设置POP3服务器的IP删除外部认证服务启用/禁用外部认证服务第一步：选择【导航菜单】窗口中的『用户与策略管理』菜单。点击『用户认证』选项，/禁用的服务器。『』模块主要用于设置『地址转换』、『连接数控制』、『Dos/DDos防护』、。其中地址转源地址转换配置案某客户拓扑图如下，客户需要让内网用户和服务器群都能够通过NGAF上网，据经过NGAF，也就是NGAF设备出接口ETH1IP地址。接口对象定义』→『IP组』定义好内网网段所属的【IP组】。详细配置，请参考和3.4.8章节。此案例中将ETH1定义为[区]，ETH2定义为[内网区]。/24和/24定义成IP组[内网]。如图：IP条件，只有来自指定的源区域和指定IP组的数据才会匹配该规则、进行源地址转换。如路由接口内网上网，则一般配置源区域为内网、源IP组为内网IP网段，或者全部。此案例中选择区域为[内网区]，[IP组]为[内网]，如图：标区域、哪些目标IP组、或者从哪个接口出去的数据，才匹配该规则。如路由接口代理内网上网，则一般配置目标区域为公网、目标IP组为全部。本案例中选择目标区域为[外网区]，IP组为[全部]，如图： 内网服务器的服务映射到公网，使Internet用户可以到网络内部服务器。在【地址转换】目的地址转换配置举某客户拓扑如下，客户内网有一台WEB0080户希望用户输入也能到内网00服务器。此处需要使用目的区]，ETH2定义为[内网区]。如图：：勾选启用：转换。此处目的IP是数据包目的地址转换之前用户的地址，一般是设备自身接口的公IP。本案例中设置为[]，页面如下：为HTTP80端口属于TCP80。页面配置如下：端口的转换。本案例中真正提供TCP80端口服务的内网服务器IP00，并且只配置参见3.8.1应用控制策略。设置目的端口转换为[转换]，并设置端口为8080。页面如下：点 双向地址转换配置案某客户拓扑如下，内网有一台WEB服务00。已经申请了一个指向。目前通过目的地址转换已经实现了用户输入可以到WEB服务器。但是内网用户/24无法通过该到。此时需要使向地址转换来实现内网用户输入到WEB服务器。好接口所属的【区域】、『对象定义』→『IP组』定义好接口IP所属的【IP组】。详细3.4.8章节。此案例中将ETH2定义为[内网区