用户手册-sg快速安装

技术支持说为了在安装，调试、配置、和学习SANGFOR设备时，、快速、有效参考本快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。如果快速安装手册不能满足您的需要，您可以到SANGFOR技术或官网获得的完整版用户手册致电您的产品销售商（合同签约商SAGFOR的、。在不紧急的情况下，您可以SANGFOR的技术，寻求技术问题的解决方案和办致电SANGFOR中心，确认最适合您的服务方式和服务提供方，中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和SANGFOR技术 公司技术支持服务： （、固话均可拨打） 技术支持说 ...................................................................................................................................................3前 第1章SG系列硬件设备的安 环境要 电 产品外 配置与管 单设备接线方 双机备份接线方 第2章SG系列硬件设备部 路由模 路由模式部署配置案 网桥模 网桥多网 多网 旁路模 旁路模式部署配置案 单臂模 单臂模式部署配置案 第3章基本功能配 封堵P2P应用配置案 审计用户上网行为配置案 限制工具的网络流量配置案 保证重要应用网络流量配置案 上网加速配置案 上网配置案 第4章安全风险提 修改控制台登录........................................................................................................Copyright©2013市深信服电子科技及其者，保留一切利SANGFOR及图标为 本手册内容如发生更改，恕不另行通知如需要获取手册，请联系深信服电子科技前供G随术支持地址hp/ cn，详细用户手册在[资料&文档→C上网GA]（S/NC）。本手册以深信服SG3600为例进行配置。各型号产品硬件规格存在一定差异，但是设备配置以及基本使用方法一致，本手册适用于所有型号的SG设备。1SG系列本部分主要介绍了SANGFORSG系列产品的硬件安装。硬件安装正确之后，您可以进行环境要 系列硬件设备可在如下的环境下使输入电、。电SANGFORSG系列硬件设备使用交流110V到230V电源。在您接通电源之前，请保证产品外1：SANGFORSG前面板（M3600-SG为例1.CONSOLE（控制）口2.ETH3（WAN2）3.ETH1（DMZ） 6.电源 7.告告 在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭说明正常启动如红灯长时间不熄灭，请关闭设备等待5分钟后重新开机。如果还是长亮，请联系部门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备正在写系统日志。控制口 开发和测试调试使用。最终用户需从网口通过控制台接入设备出厂的默认IP接IPSG支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：，默认情况下的用户名和均为HTTPS登录WEBUI管理SG可以防止配置过程在传输过程中被截获而产生安全隐患如何登SG设备控制按照前面所示方法接好线后，通过WEB界面来配置SANGFORSG设备。方法00 及端口。在出现一个如下图的安全提示：点击是后出现以下的登录界面在登录框输入『用户名』和『点击登录按钮即可登录SG 情况下的用户名和均为admin。登录控制台不需要安装任何控件，支持用非IE的浏览器登录控制单设备接线方在背板上连接电源线，打开电源开关，此时前面板的Power灯（绿色，电源指示灯）请用标准的RJ-45以太网线将ETH0（LAN）口与内部局域网连接，对SG设备进置光纤收发器或ADSLModem等。登录控制台后根据网络拓扑配置『部署模注意：多线路的SG设备可以支持多条Internet线路，此时将WAN2口与第二条Internet接入设备相连，WAN3口与第三条Internet线路相连，依此类推外提供服务的WEB服务器、服务器等。SG设备可以为这些服务器提供安全保护。设备正常工POWER灯常亮，WANLANLINK灯长亮，ACT灯在有数ARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟，正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。WAN口直接连接MODEM应使用直连线、连接路由器应使用交叉线；LAN口连接交换机应使用直通线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图：1直连线、交若采用 双机热备的工作方式，按以下接线图方式进行线路和内网线路的接线使用标准RJ-45以太网线将两台SG设备ETH2（WAN1）口（若使用多线路技术，接用标准的RJ-45以太网线与Internet接入设备相连接，如路由器、光纤收发器或ADSLModem将配件箱中的Console线取出，将两台SG设备的Console口用串口线连接起使用标准RJ-45以太网线将两台SG设备ETH0（LAN）口接到同一交换机上，再使用标准的RJ-45以太网线与局域网交换机相连，连接到内部局域网。2SG系列路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有能单臂模式：单臂模式主要为了满足客户使用SG设备替代原有网络中的服务器的需求，设备可内网上网，同时实现控制和审计通过上网的行为。单臂模式下，部分功能实结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能，网桥模式下不支持DHCP功能。旁路模式：设备连接在内网交换机的镜像口或HUB择想要配置的网关模式P接IP路由模，再 ：路由模式部署配置网，公网线路是光纤接IP的。配置方法第一步：先配置设备，通过默认IP登录设备，比如LAN口登录设备，LAN口的默认IP是51/24，在电脑上配置一个此网段的IP地址，通过登第三步：定义LAN区网口和WAN区网口，选择空闲网口，点击增加，将空闲网口移其他空闲接口可以自定义其所属的区域第四步：完成网口定义，点击下一步LAN区网口IP地址，此例中LAN口区的网口是eth0，此处配置eth0的地址是：2/第五步：配WAN区网口，此例WAN口区的网eth2网IP地址的，所以选择[以太网]。1、如果线路是ADSL拨号，需要将WAN口和modem相连。勾选[自动拨号]作[账号]和密码]中输入拨号的账号和。第七步：T配置，用于设置上网规则，当设备做网关，直接接公网线路时，需要在设备上做上网设置，以内网用户正常上网。设置完成后，会在『NT上条“N。第八步：配置完毕，检查配置无误后，点击提设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。第九步：此例中由于内网网段跟设备AN口不在同一网段，需要加上设备到内网的系交换机。并且将内网交换机的上网路由指向SG设备的LAN口。设备工作在路由模式时，局域网内电脑的网关都是指向设备的LAN口IP或三层交换机的网关再指向设备上网数据由设备做NAT或路由转发出去。WAN、LAN、DMZ网口应设置不同网段的IP地址如果设置路由模式为有前置设备，请在第五步配置WAN口IP为与前置设备口同网段IP，其他操作一样网桥模网桥多网网桥多网口一般用于以下环运行环境1：交换机连接到两条线路FW1、FW2上，在交换机和之间接入运行环境2：为了加强网络的稳定性，减少单点故障，内网交换和路由器都采机，内网网/、/两个网段。公网出口的两个分别承担流量用户的上网流量配置方法第一步：先配置设备，通过默认IP登录第三步：选择网桥模式：网桥多网口模第四步：定义网桥接口，以及允许数据转发的方向。LANWAN区网口，选网口和两个口之间可以转发数据。第五步：完成网口定义，点击下一步，配置网桥IP、网桥网关等，此例中配置网桥为54，网关指向其中一个FW。注意：这里只能指定一个网关地址此例中没有VLAN，所以这里不勾选[启用VLAN]。第七步：配置DMZ口以及规则h1配置[IP地址]和[子网掩码]，注意：管理网口和网桥IP不能属于同一网段勾选[自动放通规则]：用于放通WAN<->LAN方向所有数据的规则第八步：配置完毕，查看各个配置项是否正确，如果正确，点击提交设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。第九步：此例中由于内网网段跟设备AN口不在同一网段，需要加上设备到内网的系本例中要添加 /、 两个网段的路由，由下一跳指向内网的三层交换机第十步：基本配置完毕后，将设备接入网络中，WAN1口、WAN2FW，LAN口多网运行环境一：设备一进一出VRRPHSRP环境，架上设备做多网桥实现基本审.多网桥部署配置案客户环境和需求：客户的FW和交换机之间走VRRP协议，FW对应的虚拟IP，设备双进双出做双网桥部署在交换机和FW之间配置方法第一步：先配置设备，通过默认IP登录第三步：选择网桥模式：多网桥模式第四步：分别选择LAN区网口和WAN区网口，组成两对网桥，如图所示[LAN网口选择]用于选择内网接口[WAN网口选择]用于选择接口IPDNSDNS，和是否启用在『网桥配置』中配置设备的两个网桥IP、默认网关和DNS地址。此例中两个网桥是处于同一网段的，网桥IP可以设置同一网段的IP但是不能设置相同的IP，按照网络中空闲的IP地址分配两个地址用做网桥IP，默认网关指向前置FW的虚拟IP地址，DNS设置网络运营商分配的公网DNS地址。设备做网桥，有VLAN数据穿过设备，才需要设置VLAN的相关信息。此例中没VLAN，所以这里不勾选[启用VLAN]1、此处如果没有多余的空闲地址分配做网 IP，不会影响内网上网的数据，此时设备没有有效的IP和内网、进行通讯，某些功能会受到影响，比如：内置库更新WEB认证、准入等第六步：配置管理网口和规管理网口DMZ口，选择一个设备空闲的的网口（非网桥口）做为管理网口设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。LAN1口、LAN2口接内网交换机。旁路模设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在HUB上，保证内网用户上网的数据经过此交换机或者HUB，并且设置镜像需要同时镜像上下行的数旁路模式部署配置客户环境和需求：要，B综合客户的需求和特殊的网络拓扑，采用如下部署方式因为需要设备可以上，同时和内网通信正常 设备旁路模式下，通过镜像口不能上网的，解决办法是将设备的管理网口（Z口）连接到内网的交换机上，并且分配PZ接到内网配置方法第一步：通过默认IP登录设第二步：配置管理网口地址：旁路模式下，管理网口默认是 口，并且不可修改交换机上，所以填写一个可以和交换机以及内网通信的IP地址。[默认网关]指的是设备的网关，此例中填写和 口连接的交换机的网口地址在[首选DNS]和[备用DNS]中填写公网可以使用的DNS地址。第三步：配置网段和服务器列表：『网段与排除IP地址列表』中填写需要的网段，以及需要排除的地址。此处填写内网网段/，则此时这个网段其他网段的数据都会被监控，这个网段之间的不会被。排除网段用“--0”表示，填入后表示-0这个范围内的IP其他网段（）的数据不会被。『高级配置』中用于设置[服务器列表]，填入列表中的地址，在被网段中的IP访问时，数据也会被。例如内网有一台web服务器，用户想要记录内网用户这台服务以上说的是的设置，因为旁路模式下可以实现部分P控制功能，控制功能是在能。第四步：确认配置信息，点击提设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。用户必须使用HB 或者交换机具有镜像口的情况。如果交换机没有镜像口，可以在交换机前加接HB实现。旁路模式下，TCPDMZ口发resetDMZ口发送的reset包都能被PC和公网服务器收到。旁路模式下很多功能不能实现，比如、DHCP等旁路模式主要起的作用，限制的功能没有路由模式和网桥模式那么全面。只能对P的连接进行限制，比如RL过滤，关键字过滤，邮件过滤等。对P不做限制，比如2P软件，Q的登录等。单臂模设备在单臂模式下主要用作服务器，内网用户上网，同时对上网行为进行控HAN的。单臂模式部署配置客户环境和需求：客户原先使用了一台ISA服务器做HTTP，想要通过SG设备替代ISA服务器，主要用到上网加速和的功能，实现一些控制功能。要求尽量不改动原来的网络环境。配置方法第一步：通过默认IP登录设第三步：确认配置信息，点击提设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。单臂模式下不支持设备自带 功能，准入功能，SNAT和DNAT功能SG单臂模式下ETH0(LAN)口的网关和DNS必须设置正确，确保设备能正常公网，否则将导致SG设备内网上网不成功。3本功能配P2P应用配置案在【时间计划组】页面点新增，则弹出【时间组计划设置】页面点击[新增时间段]可以设置具体的时间周期以及时间范围。如图如果需要设置几个不连续的时间段，可以新增多个时间策略名称，描:第四步:点击应用下方 ，进入【选择应用】窗口有关的应:点击定钮。回应控制页。效时间择班时间动选择为。点击确定按钮，完成p2p用。第七步:选择『适用组和用户』选项，进行策略与用户/组关联第八步:点击提交按钮，完成整个策略设客户需求：开启审计，记录所有内网用户上班时间的URL地址，和用户通过WEBBBS发帖，WEBMAIL邮件的内容及所有通过发送的内容（包括、、音配置方法名称，描述信息第三步:点击审计对象下方的按钮，进入【选择审计对象】编辑窗口。选择『HTTP附件内容，包括WebMail附件]，[内容]，[包含附件（、、音乐）]。/第四步:选择 』，然后勾选[URL]，设置审计的URL。/择『生效时间』为上班第五步:选择适用的组和用第六步:点击提交按钮，完成整个策略限制工具的网络流量配置案客户需求：公司租用了一条10Mb/s电信线路，内网有1000名上网用户，发现很多市场每个用户的P2P速度限制在30KB/s以内。配置方法第一步：进入『流量管理』→『线路带宽配置』配置公网线路带宽，点击线 1，弹设置成10(Mb/s)/8=1.25MB/s。第二步 进入『流量管理』→『通道配置』，先启用流量管理系统勾选[启用流量管理系统]，启用流量管第三步:本例中是对市场部人员的P2P应用的数据进行流控，限制这些应用占用的总带宽不超2Mb/s。[启用通道]【带宽通道设置】：用于设置生效线路、通道类型、限制或保证的带宽、单个用户带等[生效线路]用于选择通道适用的线路。本例中只有一条公网线路，所以[生效线路]选择“线路1。的2P等数据进行带宽限制，则此处勾选[限制通道]，设置[上行带宽]、[下行带宽]分别为20%的总10b2bs。『启用限制单IP最大带宽』用于限制匹配到此通道的单个IP占用的带宽值，此例中需要入30KB/s。置的范围包括：应用类型、适用对象、生效时间和目标IP组，这些条件需要全部满足才能匹[适用应用]用于设置应用类型。勾选[自定义]选择特定的应用类型，点击选择自定义用，在弹出框【自定义适用服务与应用】中选择应用类型，此例中需要对2P工具数据进行流控，则此处选择应用：文件/全部、2/全部、2P流/全[适用对象]用于设置此通道对哪些用户、用户组、P生效。勾选[自定义]用于指定特定要对市场部门的所有用户做带宽限制，则此处选择“市场部门”用户组。选择好适用对象[生效时间]用于设置此通道的生效时间[IP组]用于设置目IP条件设置完成后，显示如下设置完成后，点击确定，完成限制通道的设置保证重要应用网络流量配置案客户需求：10Mb/s1000名上网用户，保证财务部网上银行和收发邮件的数据在占用带宽也不小于2Mb/s，但是最大过5Mb/s。配置方法第一步：进入『流量管理』→『线路带宽配置』配置公网线路带宽，点击线 1，弹【线路带宽编辑】窗口，本例中公司的线路是一条10M的电信线路则将[上行]、[下行]分别设置成10(Mb/s)/8=1.25MB/s。第二步 进入『流量管理』→『通道配置』，先启用流量管理系统勾选[启用流量管理系统]，启用流量管第三步:本例中是对财务部人员的网上银行类别的以及收发邮件的数据做带宽保证[启用通道]在【通道编辑菜单】中选择[带宽通道设置]，在右边窗口中设置通道的相关属性【带宽通道设置】：用于设置生效线路、通道类型、限制或保证的带宽、单个用户带等[生效线路用于选择通道适用的线路。此例中只有一条线路，所以[生效线路1总带宽，总带宽是10Mb/s，则保证带宽为2Mb/s，最大带宽为5Mb/s。置的范围包括：应用类型、适用对象、生效时IP组，这些条件需要全部满足才能匹配到此通[适用应用]用于设置应用类型。勾选[自定义]选择特定的应用类型，点击选择自定义应用，在弹出框【自定义适用服务与应用】中选择应用类型和类型要网上银行类别的以及收发邮件的数据做带宽保证，则此处选择应用：邮件[。在【已选列表】中确认选择的范围是否正确，点击确定，完成适用应用的设置[适用对象]用于设置此通道对哪些用户、用户组、P生效。勾选[自定义]用于指定特定[适用对象]后，[生效时间]用于设置此通道的生效时间[IP组]用于设置目IP条件设置完成后，显示如下设置完成后，点击确定，完成保证通道的设置1、保证带宽通道百分比之和可能会超过100%时，当超过100%时，各保证通道30%，第二条设为90%，则第一条实际分配到30/（9