用户手册2.2配置和使用

AC6.1用户手 ..................................................................................................................................................vi前 手册内 本书约 图形界面格式约 各类标 技术支 致 第1章安装指 环境要 电 产品外 配置与管 单设备接线方 双机备份接线方 第2章控制台的使 登录WebUI配置界 配置和使 第3章功能说 增值服务导 进入社 增值服 激活信 实时状 运行状 网络质量状 安全状 流量状 上网行为.........................................................................................................用户管 邮件延迟审 对象定 应用特征识别 应用智能识别 自定义应 URL分类 准入规则 网络服 IP 时间计划 黑白 关键字 文件类型 信任的颁发机 用户与策略管 上网策 用户管 用户认 流量管 概 流量通道匹配及优先 通道配 线路带宽配 虚拟线路配 终端接入管 共享接入管 移动终端管 安全防 防DOS........................................................................................................防ARP........................................................................................................网关杀 .............................................................................................................................386过滤规 NAT上 端口映 网络配 部署模 网口配 静态路 策略路 高可用 网络协议扩 无线配 无线状 接入用 无线网 接入点管 认证选 高级配 .............................................................................................................494置 基本设 用户管 连接管 多线路设 多线路选路策 本地子网列 隧道间路由设 第对 通用设 高级设 系统配 序列 管理员账 系统时 自动升 告警选 全局排除地 配置备份与恢 终端提示页面定 数据中心配 高级配 系统诊 日 抓包工 命令控制 上网故障排 重启操 第4章案例 策略配置案 针对某用户组设置封堵P2P的策 针对某用户组设置IM的策 针对某用户组设置开启审计功 安全桌面案 DMZ口重定向案 单点登录配置案 AD域单点登录功能配置案 单点登录配置案例 POP3单点登录配置案 Web单点登录配置案 Radius单点登录配置案 PPPoE单点登录配置案 第设备结合认证配置案 锐捷Sam系统结合认 支持HTTP单点登录的接口的设备结合认 城市热点结合认 H3CIMC系统结合认 深信服设备结合认 数据库系统结合认 认证配置案 通过设备内置模块发 通过安装在外部服务器上的模块发 使用运营商网 使用webservice方 认证测试综合案 认证配置步 公众平台中申请并启用开发者模 配置“深信服云 在AC设备配置认证策 在AC设备配 认 在AC设备配 认证页面模 认证效果演 终端管理配置案 防共享功能配置案 移动终端管理配置案 无线管理配置案 客户网络环境与需 基本配 配置开放式无线网 配置企业级认证无线网 综合案 客户网络环境与需 配置思 配置步 附录：SANGFOR设备升级系统的使 产品升级步 Copyright© 市深信服电子科技及其 ，保留一切利本公司，任何单位和个人不得擅自摘抄、本书内容的部分或全部，SANGFOR为市深信服电子科技的商标。对于本手册出现的其他公司的除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册内容如发生更改，恕不另行通如需要获取手册，请联系深信服电子科 前手册1SANGFORACAC设备的外观特点及功能特性第3部分案例集。通过应用案例说明各个模块的功能及配置步骤本手册以深信服 为例进行配置。由于各型号产品硬件和软件规格存在一定差异，所有涉及产品规格的问题需要和深信服科技联系确认。本书图形界面格式约定文字描述代替符号举→[本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数丢失或者设备警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成 说明、提示、窍门：对操作内容的描述进行必要的补充和说明。技术用户支持邮箱 技术支持： （、固话均可拨打）技术支持： 公司 致感谢您使用我们的产品及用户手册，如果您对我们的产品或用户手册有什么意见和建议，您可以通过 、或电子邮件反馈给我们，不胜感谢。1装指本部分主要介绍了SANGFORAC系列产品的构成与硬件安装。硬件安装正确之后，您才SANGFORAC设备可在如下的环境下使用为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境应遵照国家相关法律、要求进行。电SANGFORAC系列产品使用交流110V到230V电源。在您接通电源之前，请保证您的1：SANGFORAC前面板（以AC1200为例1.控制 6.电源 7.告告在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭，说明正常启动。如红灯长时间不熄灭请关闭设备等待5分钟后重新开机。如果还是长亮，请联系深信服客服部确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备正在写系统日志。控制口开发和测试调试使用。最终用户需从网口通过控制台接入用（InternetExplorer），然后把电SANGFORAC连接在同一个局域网内，通过网络对设备出厂的默认IP见下表接在背板上连接电源线，打开电源开关，此时前面板的Power灯（绿色，电源指示灯）和Alarm灯（红色，告）会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。请用标准的RJ-45以太网线将ETH0（LAN）口与内部局域网电脑连接，对AC设备进行请用标RJ-45以太网ETH2（WAN1）口Internet接入设备相连接，如路由器、光纤收发器或ADSLModem等。登录控制台后根据网络拓扑配置『部署模式』（参见章 注意线路的AC设备可以支持多条Internet线路，此时将WAN2口与第二条Internet接入设备相连，WAN3口与第三条Internet线路相连，依此类推。外提供服务的WEB服务器、服务器等。AC设备可以为这些服务器提供安全保护。设备正常工作时POWER灯常亮，WAN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟，正常工作时熄灭。如果在安装时此红灯长亮，请将设备断电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。WAN口直接连接MODEM应使用直连线、连接路由器应使用交叉线；LAN口连接交换机应使用直连线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图：1若采用 双机热备的工作方式，按以下接线方式进行线路和内网线路的接线使用标RJ-45以太网线将两AC设备ETH2（WAN1）口（若使用多线路技术，接用标准RJ-45以太网线Internet接入设备相连接，如路由ADSLModem将配件箱中的Console线取出，将两台AC设备的Console口用串口线连接起来使用标RJ-45以太网线将两AC设备ETH0（LAN）口接到同一交换机上，再使用标准的RJ-45以太网线与局域网交换机相连，连接到内部局域网。2制台的登录WebUI配置界AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录HTTPS登录控制台界面管理AC可以防止配置过程在传输过程中被截获而产生的安全隐患。1、如何登录AC设备控制台页面？首先为本机器配置一个10.251.251.X网段的IP（如配置00），然后在IE浏览器中输入网关的默认登陆 及端口。出现一个如下图的安全提示点击是后出现以下的登在登陆框输入『用户名』和『』，点击登录按钮即可登录AC设备进行配置，默认情况下的用户名和均为admin。如果用户过于简单,则会被检测为弱,在控制台的处理为:登录后检测为弱则提示修改，则会弹出如下提示：如果提示超过15天都没有修改则强制修改.则会弹出如下提示弱修改延伸：数据中心提示和AC控制台一致。弱提示(未超过15天):弱提示(超过15天如果需要查看当前网关的版本号，点击查看版本，即显示当前设备的版本信息。登录控制台不需要安装任何控件，支持用非E的浏览器登录控制台。2、如何消除登录控制台的告警框？登录控制台时，浏览器上会弹 警告框，如何消除此警告框首先，登录控制台，进入『系统配置』→『高级配置』→『 选项』页面默认是设备LAN口地址。以从LAN口登录为例：点，然后，点 到本地，点击保点，从[控制台 颁发给]中指定的地址登录，并且登录控制台的电脑安装过警告框才会消除。如果从其他地址登录设备，或者电脑上没有安装，那么登录控制台还是会弹出警告框。登录WebUI配置界面后，可以看到以下配置模块：包括『实时状态』、『对象定义』置』、『无线配置』、『配置』、『系统配置』、『系统诊断』。所有配置界面中如果有提交按钮，则配置完毕后，一定需要点击该按钮。配置完毕后，配置不会立即生效，一般需要5-10秒的时间。如果需要配置立即生效，可以点击控制台页控制台右下角的用于实时通知设备的一些系统信息和告警信息所有配置界面中的图标，当鼠标放到此图标上时，可以显示当前配置项的简要帮助说明。后面的文档不再赘述。的[正序]或者[倒序]，可以对对应的列进行排序。3能说增值服务导进入社深信服社区（ .cn）是深信服公司向用户提供的以深信服产品为，与伙伴和企业员工进行讨论、交流的平台。和，就可以进入社区。增值服点击『增值服务』，会在设备web页面跳转到深信服社区专有欢迎页面“我有问题”技术专家为您解答分析各种网络难题“我要”用户场景、部署案例、使用心得、业界与您宝贵经验“我有建议”产品易用性改进，新需求讨论，在这里您将直接研发规划经理。点击立即进入社区，即刻开启您的交流之旅。激活信点击『激活信息』，跳转到深信服设备激活页面，用来激活管理员信息明，点击立即激活。成功激活后，您的设备在服务器内将享受完整的。如果您以前激活过：切换到已验证号激活页面，直接输入已验证的号码，勾选接受深信服隐私权保护，点击立即激活，成功激活后，您的设备在服务器内将享受完整的售完成激活后，可以点击激活信息，确认管理员激活信息正确无误『安全状态』、『流量状态』、『上网行为』、『用户管理』、『邮件延迟审计』运行状『运行状态』主要用于查看设备的资源信息，接口吞吐率折线图，Web质量监测，选择显示模块在【运行状态】界面点击选择显示模块，出现如下界在此来选择需要【运行状态】页面中需要显示的状态信息恢复默认显示模块在【运行状态】界面点击恢复默认显示模块，会恢复到设备默认就显示的模块：[资源信息、接口吞吐率折图、Web量监测、应用流量。资源信息【资源信息】主要用于显示设备资源的概况，包括CPU使用率，内存使用率，磁盘使用率，设备会话数，用户数，今日网络质量，最近7天发现的移动终端数，系统时间和当天点击可以设置是否启用自动刷新以及自动刷新的时间，界面如下点击进入内置数据中心可以连接到设备内置数据中心的页面，去进行日志查询和统计等操作。接口吞吐率折线图点击出现如下图可以设置[选择时间段]来显示相应时间段接口转发数据的情况，在[选择流量单位]设置显示的流量单位，[选择网口]来设置具体显示指定的网口。Web质量监测【 质量监测】主要用于显示设备监测到网络质量，界面如下点击可以设置质量定义Web质量监测配置『实时状态』→『网络质量监测』（参见章节应用流量点击可以设置自动刷新的时间用户流量点击可以设置自动刷新的时间应用流速趋势叠加图点击出现如下图在[选择流量单位]设置显示的流速单位，在[选择线路]选择显示所有线路，线路12等，在[流速类型]接口信息代表网口状态是已连接状态，代表网口状态是未连接状态点击可以设置自动刷新的时间。安全状态【安全状态】主要用于显示设备检测到不安全的行为次数，界面如下点击可以设置自动刷新的时间上网行为【上网行为】主要用于显示实时的用户上网行为，界面如下点击可以设置自动刷新的时间网络质量状『网络质量状态』主要用于显示设备监测到的网络质量，对所有上网IP进行质量评估，结果分两类：优、差，结果为差时将提供潜在问题分析建议；另外，还提供单用户检测功能，在整体网络质量判定不能解决问题时，可以对单用户进行针对性检测，提供更精确的数据统计。界面如下：监测汇总可以用来查看当前网络质量监测状态，近日网络质量，当前网络质量及网络诊断结果。勾选【启用网络质量监测功能】根据提示选择是，开启网络质量监测功能。点击用于设置监测网络质量定义（同 质量监测 实时质量定义（5分钟）：每5分钟记录一默认质量定义有三种：优，良，差。用户可以自定义监测百分比统计网络质量的活跃用户少于N人数可以自定义填写。默认10人，允许输入1-之间的数字全天质量查的定义：用于监测判断，当全天质量查的时间累积超过N分钟时，判断为网络质量差，默30分钟，允许输入10-300之间的数字。【选择日期】可以查看一周内的网络质量状态【监测对象】用来选择网络监测的。默认选择所有。用户也可以指定要监测的网站，最多可以有3个监测列表，每个列表最多100个。点击自定义列表进行切换监测点击管理，进行编辑列表横坐标是时间，每5分钟一个点，00:00，00:05，00:10每个点显示的是之前5分钟内的用户汇总信息，如当前是00:05，则显示00:00~00:05的汇总。纵坐标是统计到的在上网的用户个数，网络质量好的用户数+差的用户数。鼠标移到波形图上，可以查看当前时间上网质量优和差的用户个数。未开启流控带宽不足（如果当天存在连续10分钟http流量占带宽90%）P2P抢占带宽，建议限速，（如果当天连续10分钟p2p流量占带宽90%）建议设置保证通道（流控有丢包10%以上且未设保证通道）策略（xxx）策略（xxx）今日某时ppsDNS配置提示内侧或外侧性能瓶颈单用户检户名或IP地址或者点击选择用户在下列组织结构中勾选用户：确定提交后，在监测地址点击设置，设置地址终端页面重定向：可以选择是重定向到测试页面或者所有web重定向到监视地址：可以选择使用内置监测地址库或者自定义监测地址确定提交后，点击开始设置 为例用户，重定到测试页面点击开始测试后，用户开始检测。测试时会有时间提示此时，管理员页面显示开始检测用户检测完毕管理员页面显示检测结果安全状『安全状态』主要用于显示设备检测到不安全的行为，界面如下图分别有[行为]、[DOS和ARP]、[端口扫描]、[异常外发邮件(频繁外发)]、[标准端口异常流量][协议异常][][插件][][不受信任的ssl]、[组织外线路]，会列出发生总数量，还有最后发生的时间，和最后发生的用户/IP，以及最近发生的10条不安全日志及详细信息。点击发生次数中的数值可以自动到数据中心，查看到对应的详细日志。流量状的通道状态信息和连接等信息。用户流量查看用户『用户流量』主要用于显示用户的使用带宽的情况，界面如下如图：根据用户上行和下行流速进行。显示内容分别包含：用户名、所属组、上下行流速、总流速、会话数、是否冻结上网、获取机器名和流量构成。在[冻结上网]一栏点击，用于将对应的用户冻结上网；在[获取机器名]一栏点击获取，用来获取对应用户计算机名；在[流量构成]一栏，点击应用会出现如下界面，来显示该用户具体的应用流量 秒用于设置页面上的刷新时间间隔；过滤用户点击过滤条件，可以指定具体用户流量的过滤条件『过滤类型』用于设置查看的线路和应用，界面[选择线路]选择具体需要查看的线路，[应用类型]用于指定需要查看是应用服务，点击后出现如下页面：[筛选]里面有显示全部、显示选中和显示未选三种选择，下面可以勾选具体的应用，边[已选列表]显示已经选中的应用，点确定即可保存『过滤对象』是用来设置具体的用户或 IP，界面如下勾选需要查看的组，或者是在空行里输入相应组名，然后点击确定即可『显示选项』用于设置显示流量前多少名的用户，界面如下冻结用户上网中一个『用户流量』里面的用户，点击冻结，来设置冻结上网的时间，以分钟为单位，界面如下解冻用户上网如果被冻结上网的用户需要立即放开限制，解冻上网，可以点击去用户列表解冻用户，此时会跳转到【用户管理】的页面，界面如下：在这里找到被冻结的用户，选择该用户点击解冻即可应用流量查看应用『应用流量』主要用于显示设备实时的应用服务的流量情况，界面如下如图：根据应用占用的带宽进行，看到的内容包括：应用类型、上下行流速、总流速、线路、占用带宽的百分比以及应用流量的主要用户构成。点击[主要用户构成]一栏中的用户，速率以及总速率，界面如下 秒用于设置页面上的刷新时间间隔；过滤应用点击过滤条件，可以指定具体需要查看的应用流量条件，界面如下流量管理状态 秒用于设置页面上的刷新时间间隔；点击进入流量管理系统，进入流量管理页面状态查看通道流量查看【带宽分配】可以查看通道流量，界面如下[历史信息]中可以选择不显示或者显示相应时间内的历史流量信息；在[显示选项]中可以选择查看“全部通道”或者是“仅运行中的通道”。排除策略流量查看【排除策略】主要用于查看流量管理里面排除策略的流量信息，界面如下连接IP地址查默认是通过IP地址查询，输入05，点击，出现如下界面IP的连接信息了，比如源、目标、协议、应用类型、应用名称和方向等通过用户名查询点击[通过用户名查询]，选择通过用户名查询，如下界上网行为查看上网行为『上网行为』主要用于查看最近产生的用户上网行为，界面如下此处可以看到对应用户的上网行为、发生时间、IP地址、应用类型、应用名称和详细点击过滤条件，可以设置具体需要查看的行为，界面如下『过滤类型』用于设置需要查看的用户，可以在[组过滤]、[用户过滤]和[IP过滤]中选『过滤对象』用于设置需要查看的行为，有[搜索关键字]、[与]、[邮件]、[外件]、[IM聊天内容]、[]和[其他]可供选择。『过滤动作』用于设置需要查看的动作，有[]、[被记录]、[发现]可供选择用户管查看用『用户管理』主要用于管理已经通过设备认证的用户，界面如下在【组织结构】页面的[搜索]栏中输入关键字来搜索用户组，查询相应用户组的用在【用户管理】中可以[以登录名搜索]或者 地址搜索]搜索指定用户，界面如下过滤用点击过滤条件，可以设置指定条件查看相应的用户，界面如下『用户状态』可以选择所有、已冻结用户和活跃用户这三种『终端类型』可以选择所有、移动终端、PC、多终端这三种『过滤对象』勾选后可以选择根据[用户过滤]或者是 过滤]，输入指定的用户或者进行过滤，设置完成点击提交即可冻结用选中一个或者多个用户点击冻结，便可以立即断开选中用户的上网连接，使其不能通点击冻结或者是在[操作]栏点击图标，出现如下界面设置[冻结上网时间]后，点击提交，该用户就被冻结上网了，此时该用户状态解冻用被冻结的用户需要立即解冻去上网，也可以在此操作，具体操作如下：选择需要解冻的用户：点击解冻或者是需要解冻的用户的[操作]一栏点击图标，即可立即解冻该用户强制注销用对认证和单点登录的用户可以进行强制注销，具体操作如下：点击强制注销，出现如下界面点击是，即可注销该用户邮件延迟审延迟邮件查看延迟邮件查询点击过滤条件，可以查看指定条件的延迟邮件，界面如下 过滤]三者中选择一种指定条件查看，最后点提点击[操作]一栏下面的，可以把邮 到本地查看延迟邮件删除如果需要删除某些被延迟审计的邮件，可以进行如下操作：选中需要删除的邮件：点击删除或者点击[操作]一栏中的，出现如下界面点击是，即可删除该邮件。邮件删除后，则邮件不能发到目标邮箱延迟邮件审核如果需要审核通过发送被延迟审计的邮件，可以进行如下操作：选中需要审核的邮件：点 或者点击[操作]一栏中 ，出现如下界面这时可以看到[邮件状态]是等待发送，只要设备可以正常和邮件服务器正常通信，最后就可以发送成功。其中审核通过有优先级的设置，界面如下延迟审计选项点击配置审计超时值/动作，页面会跳转到【高级配置】下【邮件延迟审计选项】，在这里进行相关设置，界面如下：通过这两类应用识别规则为基础，还可以进行『SSL管理』、『上网审计』、『终端提醒』等；的统计和控制。『应用特征识别库』还可以通过深信服公司的服务器进行定期更新，深信『自定义应用』是提供给客户自己定义应用规则的，提供数据包特征设置，如果使用用户具备抓包和数据包特征分析的能力，可以通过『自定义应用』设置规则。一般情况下不建议自定义规则，以免和内置的应用识别规则有导致应用识别，从而导致部分控制和审计失效。『URLURLURL进行了分类，URL分类库中包含了深信服设备内置的URL库、客户自定义的URL库和智能URL识别。用户可以『上网策略』→『上网权限策略』→『应用控制』→『应用控制』中这类对象，对的进行控制表等，还可以通过准入实现加密IM的聊天内容审计。用户在此处设置的准入规则，可以在『上网策略』→『准入策略』中被，实现对客户端电脑的检测和控制』据进行控制；用户还可以在『』→『过滤规则』中这类对象。网策略』→『上网权限策略』→『端口控制』、『流量管理』→『通道配置』、『』→『过滤规则』中这类对象表统计时也可以到这些时间计划组。『黑白组』通过设置URL组作为黑白组，在上网策略中。用户可以在『上 『关键字组』此处设置的关键字组用于『上网策略』→『上网权限策略』→『应用控制→『Web关键字过滤』制』→『Web文件类型过滤』和『流量管理』→『通道配置』。『信任的颁发机构』：内网用户使用SSL协议时，设备可以校验的，如果SSL协议使用的是在『信任的颁发机构』的范围内，则认为是合法的，客户可以删除或新增受信任的SSL。『上网策略』→『上网权限策略』→『SSL管理』→『SSL安全保护』中启用SSL链控制]即是启用了SSL检测。应用特征识别应用特征识别库中包括两种类型第一类应用识别规则是根据数据包的特征值或者协议、端口、方向、数据包长度匹配、分的应用类型，比如QQ、P2P等。无法编辑和删除，部分应用可以禁用，但涉及到基础协议判断的应用是不能被禁用的第二类应用是复用了『对象定义』→『URLURL组，做为子类放URLURLURL组，这里只是复用，编辑需要到『对象定义』→『URL分类库』中进行编辑，详细介绍见章节3.3.4。查看应用识别“应用总数：2158”显示的是设备当前内置的应用规则和URL组的总数【】中显示的是应用分类，“应用”是对应用分类的一种补充，同一个应用只能属于一个应用分类，但可能对应多个，例如“迅雷”属于应用分类的“工点击全部，右边【应用特征识别库】中会显示所有应用类型自定坛和发帖”、“发送电子邮件”是设备内置的6个，这些内置是会随应用识别库更新而更新的，内置中的应用不能删除和新增。如果需要自定义，则点击自定行配置。所有的都可以在『上网策略』→『上网权限策略』→『应用控制』中进行。在[筛选]中选择需要查询的规则类型：勾选【全部】表示筛选符合条件【启用】表示筛选已经启用了的符合搜索条件的规则；勾选【禁用】表示筛选已经禁用了的符合条件的规则。在[搜索]中需要查询的规则关键字，如筛选条件设置为“QQ”，回车后如图：点击手动更新应用特征识别库，用于将应用识别规则文件手动导入设备如何新增一个 ，并关联应用呢自定首先点 点击添加，输入定义的名称自定然后在关联应用处，点击请选择：勾选属于这个的应最后点击提交，即完成了的配置启用/禁用应用识别规则页面，先筛选出想要设置的应用（）QQ传文件的应用规则进行禁用，如图筛选出QQ传文件的应用：在【状态】那一列，点击对应应用的，即可将这类应用规则都禁用掉，同样点击对应应用的，即可将这类应用规则都启用。的话，会影响其他基于HTTP协议的数据识别。所以设备限制此类规则不能被禁用掉。2、应用特征识别库中的“移动终端应用”类别，对应的是在智能、平板电脑等移动终端上使用的应用软件。3、部分URL组没有放在应用类别[ ]中，而是做为web应用放在对应的应用类别中。比如“”类的URL被包含在应用类别[]中，如果在上网策略中添加对[微博]类别的应用控制，就可以同时控制通过web浏览器的行为和通过客户端的行为。如图，基于web的应用包括如下几种：应用智能识别P2P应用、skype、SSL、SANGFOR数据的识别、Web、VOIP、IM语音数据等。配置界面如下：启用/禁用应用智能识别规则在【应用规则状态】那一列，点击对应应用的，即可将这类应用规则禁用掉，同样点击对应应用的，即可将这类应用规则启用。编辑P2P行为识别规则 行为识别规则是应用特征识别的补充，对于应用特征识别库中识别不出来 数据进行智能识别。P2P行为规则是可以进行编辑的，点击P2P行为，会弹出规则编辑框是未识别的2P数据，这时可以将此处的灵敏度调高一些。比一些应用本不是2P的数据，却被识别成P2P点。[排除扫描端口]设置排除端口项，数据的目标端口是排除端口的话，设备不对此类数据进行P2P智能识别，可以避免部分误判的情况。编辑、自由门（加密）识别规、自由门（加密、自由门（加密）规则是可以进行编辑的，点击、自由门（加密[检测灵敏度]对规则的灵敏度设置，可设置为高、中、低三项，可以根据需要调整检测灵说明中第2点的“点击此处配置”会自动到『系统配置』→『自动升级』页面，以确说明中第3点的“点击此处配置”会自动到『系统配置』→『全局排除地址』页面，编辑 识别规Web识别规则是可以进行编辑的，点

，会弹出规则编辑框说明中第 点的“点击此处配置”会自动到『系统配置』→『自动升级』页面说明中第3点的“点击此处配置”会自动到『系统配置』→『全局排除地址』页面，面新增自定义应用规在【自定义应用】编辑页面点新增，弹出【新增自定义规则】窗口，具体设置方法下第二步：设置匹配数据包的类【方向】设置数据通过设备的方向，匹配到此方向的才会继续往下识别【协议】设置数据所采用的协议类型，此例中邮件发送是TCP【目标端口】设置数据所的目标端口，此例中邮件发送是TCP25端口【IP地址】设置源IP、目标IP或者是识别后的目标IP【匹配目标】设置数据包的目标地址，此例中设置公司的邮箱地址，比如“ .cn。第三步：设置完成后点击提交，完成此条规则的设置送邮件的带宽。（参见章）建议设置自定义规则时要加上目标端口、IP 等识别信息，如果识别的条件于宽泛，可能会和内置的应用识别规则有导致应用识别，从而导致部分控制和审计失效。启用/禁用/删除自定义应用规在【自定义应用】页面中，勾选自定义的规则，点击启用、禁用或者删除对自定义规则做相应的操作。导入/导出自定义应用规点击导出，用于导出自定义的应用规URL『URL分类库』是根据网页的内容定义出不同的URL类型，帮助设备识别各类，和『URL智能识别系统』。其中『URLURL组和自定义的URL组，内置URL组由深信服定期在服务器上进行更新，设备通过上网连接服务器进行更新，此类更新需要。自定义URL组是在内置URL组不满足需求时，客户可以自定义URL组。『URL智能识别系统』是用于在『URL库列表』中有无法识别某网页类型时，通过检测网页中的内容，智能判断该网页的类型，并对识别出的URL进行记录，以便下次再URLURL『URL分类库』被复用到『应用特征识别库』中，所以如果需要对内网用户的类别进行过滤，请在『上网策略』→『上网权限策略』→『应用控制』中进行配置『URLURLURLURL库由设备定时更新，但更新内置库需要序列号，且保证设备能够上网。自定义URL库可以进行增加、删除和修改等操作（.2-.4）。在【导航菜单】页面中的『对象定义』→『URL分类库』，右边进入【URL分类库】页面：点击【URL库列表】页面，页面上方显示了内置URL库更新的日期以及内置URLURL查在【导航菜单】页面中的『对象定义』→『 分类库』，右边进入【 分类库→【URL库列表】的编辑页面。点击URL查询，会弹出一个【URL查询】窗口要查询的，点击查询后，查询结果中会显示URL对应的类别URL查询不支持模糊查询。URL新增URL组，用于用户自定义URL。在【URL库列表】页面，点击新增，弹出【新增URL类型】窗口：『URL组名称』定义方便理解的名『URL组描述』定义方便理解的描『URL』添加需要设置的URL，一个URL组可以包含多个URL，URL支持通配符配字则被识别成该URL组，关键字匹配优先级低于内置URL库和自定义URL库。1*号表示通配，比如要设置一个URL表示新浪的子页面，包括新浪（ .cn）、新浪体育（ cn）、新浪（ cn）等，那么就在[URL]中输入“* cn”。注意：*号只能表示一级的匹配，另外*号只能放在URL的最前面，不能放在中间，否则此URL将不会生效。2、此处新增自定义的URL组后，在『URL智能识别系统』中也会相应的增加一个名称相同的智能识别URL组。URL删除URL组用于删除用户自定义的URL组，设备内置的URL组是不能删除URL库列表】页面，勾选自定义的URL库，点击删除，则可删除对应的URL组。URL修改URL组既可以修改用户自定义的URL组也可以修改内置的URL组，不过两者有些对于用户自定义的URL组，进行编辑时，可以编辑URL组的描述以及URL、关键对于设备内置的URL组，进行编辑时，不能编辑URL组的名称和描述，并且不能编辑内置库中已有的URL，只能在[URL]和[关键字]中添加URL和关键字，作为对内置URL库的直接点击需要修改的URL组的名称，然后弹出【编辑URL类型】窗口（详细设置方URL在【UL 库列表】页面，点击手动更新内置库，弹出选择文件窗口，再选择内置库文件，打开即可。导入和导出自定义URL在【URL库列表】页面，点击导入导出，弹出选择文件窗口，再选择导出自定义的组，选择保存路径和文件名，“确认”则导出所有自定义URL组内容选择导入自定义的URL组，上传csv格式的文件自定义URL组导入是同名覆盖，不是新增的方式，新导入的URL组与已有的增URL组处理。URL库分类来对用户所浏览的网页进行审计或过滤显然是不全面的。URL智能识别功能可以提供智能的网页分类功能，让URL库分类覆盖面更广、覆盖内容更丰富，从而使URL『URL智能识别系统』用来开启网页智能学习的功能，设备可通过学习内网用户的网页内容，智能分辨出此网页的类型，做到对内置URL库中的补充，同时做到更全面的记录或封堵某类型的。在【导航菜单】页面中的『对象定义』→『 分类库』，右边进入【 分类库→【URL智能识别系统】页面勾选[URL智能识别系统]URL智能识别的功能，开启此项后，当内网用户的某URL即不在URL库中也不在自定义URL库中时，则会对URL连接的网页进行智能识别，智能判断URL的类型。[词库总词数]用于显示所有URL类别的词数总和[内置规则库日期]用于显示当前URL智能识别词库的日期，此词库可以从深信服服务器上定期更新。更新需要URL库升级，并且设备要求可以上网。[升级有效期至]用于显示当前设备的URL智能识别词库的升级有效期，即的有效期。URL智能识别词库和URL内置库的更新同属于一个序列号控制。[识别灵敏度]用于设置智能识别的灵敏度，默认的识别灵敏度为『中』，可以自行调整识为“中（推荐）”（灵敏度越高越容易误判，灵敏度越低漏判的几率较大，也可根据实际情况适当调整灵敏度）。查看URL智能识别页面自定义URL组是一致的。『描述』中显示的是URL组的描述，和对应的内置URL组、自定义URL组是一致的『类型』显示URL智能识别组的类型，和对应的内置URL组、自定义URL组是一致的，并且内置的URL智能识别组的词库是可以定时更新的，自定义的没有更新。『词库词数』用于显示此类URL智能识别组中识别网页所具有的词库词数，有些内置URL组的词库词数是为0的，这是因为此类网页并没有特征关键字，无法根据内容判断网页的类型。这类URL也是无法进行智能识别的，比如：个人银行、传销等类别。自定义URL组的词库数也为0，但可以通过『网页学习』学词（参见章节.6）。『训练网页数』用于显示对应的词库学习的网页数目经被智能识别出来URL，如下图：URL识别出的结果做什么用途，用途分为两种：统计和过滤。选择统计：表示此类URL智能识别出的结果只用于审计和统计。选择过滤：表示此类URL智能识别出的结果不仅用于审计和统计，如果策略中设置了此类URL的过滤，那么智能识URL也会被过滤。 按钮是用于清空此类URL组已经智能识别出来的历史结果，按URL组的词库，回滚到最后一次更新之前的词库，当发现更新词库后有严重『状态』用于显示此类URL组的智能识别是否『删除』用于删除某类URL的智能识别功能包括词库，内置URL的智能识别是不能被删除的，可以删除的只能是自定义URL对应的智能识别库。新增智能识别URL在【导航菜单】页面中的『对象定义』→『 分类库』，右边进入【 分类库→【 智能识别系统】页面点击新增，弹出【新增智能识别】编辑框第一步：设置URL组易于理解的URL组名称以及描述『识别用途』用于设置智能URL识别出的结果做什么用途，用途分为两种：统计和过滤。选择统计：表示此类URL智能识别出的结果只用于审计和统计。选择过滤：表示此类URL智能识别出的结果不仅用于审计和统计，如果策略中设置了此类URL的过滤，那么智能识别出的URL也会被过滤。『识别结果适用于』用于设置智能识别的结果是匹配『整个』还是只匹配『完整目录』。识别结果对整个有效，即只要当前URL和以前的识别记录在上相同，则认为他们的类别一致。识别结果只对完整有效，则只有当前URL和历史记录的URL的目录完全相同时，才认为它们的类别是一致的。第二步：填写识别需要的『匹配』用于设置『表』中关键字匹配的位置，可以选择[仅在 META信息中]或者是[全文]第三步：设置排除中含有『排除的表』中的，则该网页一定不属于该URL类别。『匹配』用于设置『排除的』中关键字匹配的位置，可以选择[仅在和META信息中]或者是[全文]设置完成后点击提交即可保存当前配查看识别结果在【导航菜单】页面中的『对象定义』→『 分类库』，右边进入【 分类库→【UL 智能识别系统】页面，点击查询全部识别结果来查询历史识别记录，查询识别记录的界面如下：此处显示的是所有已经识别出来的URL如果只需要查看某个类别 智能识别的结果

筛选类别，在弹出的【请选要筛选的类别】页面中选择需要查看的URL类别点击弹出的下拉框，选择正确的URL类别即可。如果需要批量修改某些URL的类别，那么先勾选需要修改的URL，点击批量更改类别，删除/启用/禁用智能识别 在【URL智能识别系统】页面，勾选自定义的URL库，点删除、启用、修改则可对创建URL组做相应操作。修改智能识别URL方法见.3）网页学习习到关键字，此关键字用于对此类网页的识别。建议网页学习时能一次提供尽量多的同类别网站，这样可以保证学习到的的正确率，减少误判。在【导航菜单】页面中的『对象定义』→『 分类库』，右边进入【 分类库→【 智能识别系统】页面，点击网页学习，弹出【网页学习】编辑框自定义URL组进行网页学习。『备注』中可添加对该URL组的描述信息『学习来源』中指定用于网页学习的URL，一行一个URL地址URL识别的优先级是：先匹配内置URL库和自定义URL库；匹配不到再匹配域名关键字；匹配不到最后进行URL智能识别。的内容包括操作系统、进程、文件、表等，还可以通过准入实现加密IM的聊天内容审计以及QQ、MSN传文件的文件内容审计。『准入规则库』是用来设置这些检测规则的，在此『准入策略』（参见章节3.41.46。若策略中启用了准入系统，则用户上网时必须满足相应则，用户也可根据需要自定义准入规则。在【导航菜单】页面中的『对象定义』→『准入规则库』→『准入规则』，右边进入【准入新增准入规则在【准入规则】编辑页面，点击新增，会弹出新增准入的类型，分为『操作系统规则『进程规则』、『文件规则』、『表规则』、『计划任务规则』、『其他规则』。如新增操作系统规则『操作系统规则』用于设置对客户端电脑的操作系统做检测的规则会弹出【操作系统规则】新增页面。[规则名称]用于设置规则名称，注意：输入的规则名称必须在95个字节以内[规则类型]可以选择下拉菜单里的规则类型，也可以直接在框内输入自己定义的规则类型名称。注意：输入的规则类型名称必须在95个字节以内。[规则描述]填写对该规则的描述[只允许使用以下操作系统规则]用于限制内网通过设备上网的电脑的操作系统版本。例如Wndos XP 网WndosXP丁SP4 [操作]这里可以选择设备对不符合规则的用户的操作，可以选[用户上网]或新增进程规则『进程规则』用于设置对客户端电脑上运行的程序做检测的规则在【准入规则】编辑页面，点击新增，会弹出新增准入的类型，选择『进程规则』，会弹出【进程规则】新增页面。[规则名称]输入自定义的规则名在[进程状态]选择“正在运行”时，[规则操作]可以选择[用户上网]、[停止进程][不操作（仅提交报告在[进程状态]选择“没有运行”时，[规则操作]可以选择[用户上网]、[启用进程][不操作（仅提交报告[进程名]输入完整的进程名，不支持通配符[窗口名]输入完整的窗口名称，不支持通配符[程序路径]输入程序的安装路径，支持系统环境变量，如下图[进程状态]可以选择[正在运行]或[没有运行]此进程，若选择[正在运行]，则可以设置高级条件，设置该进程的[匹配程序MD5值]以及[匹配程序大小]，如图，新增文件规则『文件规则』用于设置对客户端电脑上的某些文件做检测的规则在【准入规则】编辑页面，点击新增，会弹出新增准入的类型，选择『文件规则』，会弹出【文件规则】新增页面。[规则名称]输入定义的规则名在[文件状态]选择“文件存在”时，[规则操作]可以选择[用户上网]、[删除文件][不操作（仅提交报告在[文件状态]选择“文件不存在”时，[规则操作]可以选择[用户上网]或[不操作（仅[文件路径]输入完整文件存放路径，支持环境变量，如『文件状态』包括[文件存在]和[文件不存在]，若文件存在，则可以点击高级条件，弹出【高级条件】的设置框。如图，新增表规『表规则』用于设置对客户端电脑上的某些表做检测的规则在【准入规则】编辑页面，点击新增，会弹出新增准入的类型，选择『表规则』，会弹出【表规则】新增页面。[规则名称]输入定义的规则名在[表项状态]选择“用户表中含有”时，[规则操作]可以选择[用户上网]、[删除该项]或[不操作（仅提交报告）]在[表项状态]选择“用户表中没有”时，[规则操作]可以选择[用户上网]、[添加该项]或[不操作（仅提交报告）][表项]填写表项，即为【表编辑器】窗口的左边窗格中显示的文件夹路径。[表项状态]包括[用户表中含有]和[用户表中没有]新增计划任务规则JscriptVbscript，用户可以在这些执行文件中设置返回值，准入通过返回值执行相应的动作会弹出【计划任务规则】新增页面。[规则类型]用于设置该规则属于的类型[程序类型]包括[可执行程序]、[Jscript]、[Vbscript]。[程序路径]用于填写程序存放在客户端电脑上的详细路径，必须是适用这条规则的所有用户都能执行权限的网络地址[任务执行计划]包括[周期运行]和[计算机上的准入程序启用时运行一次][任务返回结果检查]包括[检查返回结果]和[查返回结果]用来设置是否需要对任务本的执行结果进行检查，[获取返回结果的超时][任务运行返回1的操作]、[任务运行返回2的操作]用于对检查任务后获取的不同返回结果进行相应的处理，操作动作可以选择[只记录]、[提示]、[用户上网]、[用户上网并提示用户]。新增其他规则在【准入规则】编辑页面，点击新增，会弹出新增准入的类型，选择『其他规则』，会弹出【其他规则】新增页面。[以计算机的超级管理员登陆计算机，否则该计算机上网]这个选项前打勾就能实现客户机以管理员登录PC上网。[IP/MAC登陆条件]这个选项勾上即可实现跨三层绑定电脑IP/MAC。删除准入规则在【准入规则】编辑页面，勾选自定义的准入规则，点击删除，设备会弹出一个操作确认框，点击是，删除规则。修改准入规则批量编辑准入规则导入/导出准入规则准入规则支持导入导出，在【准入规则】编辑页面，选择相应的规则，点击导出，即可将选中的规则导出，注意：内置的准入规则无法导出。点击导入，选中需要导入的准入规则文件，即可进行导入。手动更新内置库组合规则列表准入规则可以进行组合，通过组合实现多条准入规则与和或的关系新增组合规则[规则名称]填写组合规则的名[规则类型]选择组合规则的规则[不符合下列规则时]包括[用户上网]和[不操作（仅提交报告[组合规则成立需要]包括[任意一个规则成立]和[所有规则成立]任意一个规则或者是所有规则则执行[不符合下列规则时]的操作。[组合规则设定]选择自定义规则，点击增加则添加规则件 。测杀毒软件的进程以实际进程为准，此例中的进程设置不保证实时正确性。软件就允许上网，那么组合规则选择[组合规则成立需要]：“所有规则成立”，即两个杀毒软件进程都没有运行时规则成立，选择规则成立执行动作[用户上网]。章.6）删除和修改规则组合在【规则组合列表】编辑页面，勾选需要删除/修改的规则组合，点击删除即可删除规则。点击规则名，则会弹出编辑页面，除了[规则名称]外，其他的配置都可以进行修改。如图网络服墙』→『过滤规则』中根据已定义了的服务来确定过滤规则或在『用户与策略管理』在【导航菜单】页面中的『对象定义』→『网络服务』，右边进入【网络服务】编辑面在【网络服务】页面点新增，会弹出【新增网络服务】窗口[服务名称]设置服务的名[服务配置]用于设置服务的协议类型及端，分别点击[TCP]、[UDP]、[ICMP]、[其他]，选择好相应的协议则在下面的窗口中添加相应的端口。点击提交，完成网络服务对象的设置『其他』中可填写协议号，协议号0代表所有的协议。IP『IP组设置』用于定义一个包含某些IP地址的IP地址组，这个IP组可以是内网的段，也可以是公网的某些IP范围，或者是全部IP『IP组设置』一般于『』→『过滤规则』，用于设定『规则』中的源IP，目的IP等。或者于『用户与策略管理』→『用户管理』→『组/用户』→『用户控制』中定义目标IP。也同样可以用于『流量管理』→『通道配置』。在【导航菜单】页面中的『对象定义』→『 组』，右边进入【 组】编辑页面在【IP组】页面点新增，会弹出【IP组设置】窗口[IP组描述]用于设置IP组的描述信[解析]用于自动解析某些对应 地址，通过该功能可以自动将解析出来[解析]功能是通过电脑进行解析，所以要求电脑能正常上网，并且能正常解析名的时间段定义，以设定这些规则生效或失效的时间面在【时间计划组】页面点新增，则弹出【时间组计划设置】页面[名称]用于设置时间计划组的名[描述]用于设置时间计划组的描述信点击[新增时间段]可以设置具体的时间周期以及时间范围。如图如果需要设置几个不连续的时间段，可以新增多个时间段黑白页过滤』中。面在【黑白组】编辑页面，点击新增，会弹出【新增黑白组】的窗口，如图[URL]一行一条URL，注意URL的条目过512[包含以下URL分类库]将内置的URL组到黑白关键字关键字组用于设置关键字，并把关键字分组，这些关键字组可用于『用户与策略管理→『上网策略』→『上网权限策略』→『WEB过滤』→『关键字过滤』中限制某些关键字的搜索和上传。在【导航菜单】页面中的『对象定义』→『关键字组』，右边进入【关键字组】页面在【关键字组】页面点新增，则弹出【关键字组编辑】页面[关键字组名称]设置关键字组的名[关键字组描述]设置关键字组的描述信匹配，每一行允许输入一个或多个（最多5个），多个间用逗号（英文标点符号）分隔开，一行中设置多个关键字时需要这一行的多个同时出现才视为满足条件。→『上网权限策略』→『WEBHTTPFTP的文件上传和，也可用于『流量管理』→『通道配置』→『带宽分配』的规则中设置文件类型上传下在【导航菜单】页面中的『对象定义』→『文件类型组』，右边进入【文件类型组】面在【文件类型组】页面点击新增，则弹出【新增文件类型组】窗口，如图[文件类型组名称]用于设置名[文件类型组描述]用于设置文件组的描述信在[文件类型]输入框中输入各种类型文件的后缀名，如“*.mp3”或者“mp3信任的颁发机『信任的颁发机构』用于『用户与策略管理』→『上网策略』→『上网权限策略→『SSL管理』→『SSL安全保护』，如果启用SSL链控制，那么SSL库的根证颁发机构在【信任的颁发机构】页面点击 颁发机构支持导入格式为crt或cer，只能从本地导入主体的名称一般是IE里对应这个 的CN名，如果该的里不存在CN名，则采用最后一个字段的名字（字段的排列顺序和IE有可能不一样）『用户与策略管理』的作用是管理用户和上网策略。设备上定义的用户针对的是内网的终端上网用户，用户是网络权限分配的基本单元。管理员可以通过『用户管理』页面来对上网用户进行统一管理。用户的上网权限是通过『上网策略』页面进行管理的，管理员可以通过不同上网策『上网安全策略』、『终端提醒策略』、『流量与时长控制』、『准入策略』（参见章节3.4.14综了上权、上审、上安、终提策、量与长控策和准入策略的策略。手册中主要以分类策略介绍各项功能。上网策略介绍上网权限策略介绍『上网权限策略』包括应用控制、SSL管理、邮件过滤和QQ号白，如下图『应用控制』包括：『应用控制』、『端口控制』、『控制』、『 关键字滤』、『Web文件类型过滤』『应用控制』：设备中有针对各种常见网络应用设置的应用规则库和针对的URL分类库（参见章节3.3.1-3.3.4），『应用控制』正是了这些规则，实现对网络应用的控制和对各类的控制。针 做控制，又分为[浏览]、[文件上传]、[其他上传]和[HTTPS][浏览]是通过检测的URL，对的行为进行控制，此处设置的URL引用的是『对象定义』→『URL分类库』中的URL组，设URL组，由专门的人员收集了大量的URL并进行了分类，您可以这些内置的URL组，同时您也可以根据自己的需求自定义URL组（参见章节3.3.4）；[文件上传]和[其他上传]的作用是对某类URL组时通过HTTPPOST协议上传文件或[HTTPS]的作用是对使用HTTPS协议的进行过滤，和浏览过滤相同的是，这类过滤也是通过匹配『对象定义』→『URL分类库』中的URL组进行过滤的。不同的是检测URL的方式不同，因为用HTTPS协议安全时，数据是加密的，设备无法检您如果要自定义一个HTTPS的URL，请根据此的中“颁发给”字段设置URL。『端口控制』是通过对数据包的IP地址、协议号、端进行检测，从而实现对上网数据的控制，您可以在『对象定义』→『IP组』中设置需要控制目标IP组，在『对象定义』『控制』包括是否允许HTTP、SOCK的选项，是否使用防共享上网检测等。您可以通过这些选项，来设置内网用户是否可以使用HTTP、SOCK和防共享上网检测等。选项[不允许在HTTP，SSL协议的标准端口上使用其它协议]用于防止一些应用程序使用标准的HTTP端口（TCP80）和SSL端口（TCP443）来传输自己的数据，从而逃避设『Web关键字过滤』包括两个方面的过滤『搜索引擎搜索词』和『HTTP上传』，其中前者是对在搜索引擎上搜索的关键字进行过滤或告警，后者是对通过HTTP协议上传的关键字进行过滤或告警，的关键字是『对象定义』→『关键字组』中定义的关键字（参见章节3.3.10）。注意：两者的设置都是针对所有HTTP的，这里无法对指定的URL进行关键『文件类型过滤』中可以设置通过HTTP协议和FTP协议上传和的文件类型过滤。引用的文件类型是『对象定义』→『文件类型组』中定义的文件类型（参见章节3.3.11）。『SSL管理』包括『SSL安全保护』和『SSL内容识别』。『SSL安全保护』的作用是通过检测颁发机构、有效性等，判断是否是符合要求的安全，如果不符合要求，则此类通过SSL协议进行连接的应用。可以设置黑白、判断是否过期以及是否判断根是否受信任等条件。『SSL内容识别』的作用是对使用SSL安全协议连接的应用，包括HTTPS、加密的SMTP、加密的POP3，进行内容审计和控制。出于安全考虑网上银行、网上支付等除外。『邮件过滤』用于对内网客户端通过SMTP和POP3协议发送和接收的邮件进行过滤，过滤的条件可以设置收发邮件地址，邮件标题和正文的关键字等。同时可以设置邮件延迟审计，设置邮件延迟审计后，符合条件的邮件只有在通过管理员审核后才可以发出。另外，邮件过滤也是在此处启用的。『QQ号白』仅允许使用列表中的QQ号，无需再QQ堵策略；支持PC移动QQ应用。上网审计策略介绍『应用审计』用于对内网用户通过设备的行为和内容进行审计。审计对象包HTTP外发内容、/、邮件、IM、FTP、NET、网络应用行为等『外件告警』用于对所有外发的，并且被记录下来的文件进行告警检查，如果内网用户有发送特定类型的文件，那么设备会发告警给管理员。此处的文件检测并非只是根据文件后缀名进行的简单判断，设备通过深入分析数据特征会得到文件的类型，所以，即使内网用户在『网页内容审计』用于设置是否对内网用户互联网网页的网页内容进行审计，您可以通过此处的设置审计到网页标题、正文内容，以及指定只审计指定URL类型的网页标题及网页内容。对网页中含有特定关键字的网页内容，可以设置、记录、记录并网页内容中含有特定关键字的网页。注意，此项如果开启将比较消耗设备性能，请慎用。上网安全策略介绍『上网安全策略』包括行为识别、 插件过滤、网页过滤和安全桌面『行为识别』用于对的网络行为进行识别和，检测的内容包括 木马SMTP木马、端口扫描、异常HTTP流量、异常外发邮件等可能存在的网络行为『ActiveX插件过滤』于对页时的件进行识别和过。网页中的一些插件可能使浏览器不能正常工作，甚至可以监视上网行为、盗取个人信息等，而通过浏览器自动安装ActveX控件插件主要之。过对ctiveX控件的签名进行过滤等，防止不被信任的插件安装到内网机器当中，从而起到保护内网安全的作用。形的、木马。设备通过内置的库和对内网用户的网页进行特征识别，对发起到库中的的和到浏览器执行前进行，从而起到保护内网安全的作用。支持对avaScript和VBScript的过滤。误安装其他软件而导致信息丢失等严重。终端提醒策略介绍『终端提醒策略』包括上网时长提醒、上网流量提醒和公告页面，如下图『上网时长提醒』可以分时段设置内网用户某些应用的上网时间，当客户连续使用应的时长超过设置值时，通过设备返回提醒页面，提醒内网用户『公告页面』是用于定期向内网用户弹出指定的页面流量与时长控制策略介绍『流量与时长控制』包括流量、上网时长控制和并发连接数控制，如下图超过了流量，将限制此用户上网。准入策略介绍『准入策略』包括准入策略、组织外线路检测和应用程序时长统计，如下图内容包括操作系统、进程、文件、表等，还可以通过准入实现加密IM的聊天内容和IM发送文件内容审计，启用网络准入系统后，用户上网时必须满足相应规则，设备才允许用户计算机连接互联网。如何给特定的对象添加上网策略配置方法设备上有哪些上网对象？在策略设置—适用对象中，可以看到策略可关联的上网对象，如下图对象包括三种类型：用户、位置、终端类用户：包括本地用户、域用户、域安全组、域属性、 1、对于这三种类型的对象，他们之间是并且的关系。例如在用户中选择了 用户；位置中选择了“研发总部”IP段；终端类型选择了“PC”。那么这条策略的生效范围是：研发IP段内并且终端类型PC并且用户test的。2、这3如果某个类型没有进行选择，那么这个类型将不会作为过滤条件，例如位置不进行配置，那么位置这个类型将不再作为条件过滤。3、如果某条策略三个类型都没有进行配置，则这条策略是一条空策略，这条空策略只有策略内容，不关联任何用户，也不会对任何用户生效。用户类型：目前支持的分类有：本地用户、域用户、域安全组、域属性、 IP“域用户”、“域安全组”、“域属性”只有在建立 外部服务器以后才能到OULDAP服务器，可以在这里对OU或域用户进行选择。OULDAP服务器，但是这里只能选择安全组，不能选择域用户以及OU组。“域属性”LDAP 服务器上符合指定属性的用户。在域属性页面，点击新增，定义属性条件，一条规则可以设置最多5个条件，多个条件之间是与的关系。“源IP”：内网用户的源IP范围1、用户类型下的本地用户、域用户、域安全组、域属性、源 IP。它们的关系是叠加关系，而非并且关系。例如选择了某个本地用户A以后，再选择某个域用户B，则策略生效是对本地用户A和域用户B生效的。2、“域用户”、“域安全组”、“域属性”只有在建立了LDAP外部服务器以后才能看到。如何给特定的上网对象添加上网策略？新建上网策略时，可以直接添加需要匹配此策略的上网对象。第一步：在『上网策略』中点击新增策略第三步：【已选列表】中列出了所有已经选择的用户/用户组，方便查看，确认无误后点击提交，完成策略和用户的关联。在用户管理中添加上网策略（仅本地用户第一步：进入『用户管理』→『组/用户』管理页面，在【组织结构】中选择需要添加策略的用户组。第三步：点击添加策略，在【添加策略】中选择需要关联的上网策略勾选[递归应用到子组]表示添加的策略同时关联给子组，不勾选则表示当前子组不会添加策略，但当前组的直属用户以及后续新增子组默认会添加该策略。设置完成后点击确定第四步：返回【策略列表】页面，查看用户组关联的策略列表。[应用于全部用户及子组用户]用于显示该策略是否被所有子组用户及直属用户。『上网策略』页面提供查看用户策略的功能。界点击查看用户策略，在[搜索名称]中输入需要查询的用户，即可显示此用户所有关联的策略。1、做为临时用户上网的域用户，因为不是本地用户，不能在『组/用户』中进行策略管理。此时可以通过【查看用户策略】页面，查看这些用户关联的策略，并在『上网策略』→『适用对象』中进行策略管理。2、【查看用户策略】页面不会显示位置和终端策略，举例说明：如果某用户匹配到某条策略中的位置条件，此处不显示这条策略，但实际上用户是会匹配到这条策略的。那么对应的位置和终端匹配哪些策略呢？可以直接通过【上网策略】页面的策略列表查看。上网策略如何匹配当用户/用户组同时关联了多条策略时，策略的匹配是有顺序的。上网策略中各种配，直至匹配到最后一条；另一类是不支持多策略叠加的，即设置会以第一条生效的为准，不会往下匹配。eb关键字过滤』、『eb件类型过滤』、『准入策略』、『应用审计』、『上网时长提醒』、『上网流量提醒』。上网权限策略的匹配顺序如下图所示：其他可叠加策略从上往下匹配件过滤』、『外件告警』、『流量与上网时长审计』、『网页内容审计』、『行为识别』、『ActiveX插件过滤』、『网页过滤』、『安全桌面』、『公告页面』、『流量』、『上网时长控制』、『并发连接数控制』。这些策略以第一条生效的策略为准。策略列表中将策略的顺序调整后，『用户管理』→『策略列表』中的策略顺序也会相应的调整顺序，保证所有的策略顺序都是一致的。新增上网权限策略如何设置一条上网权限策略？设置步骤如下第一步:点击新增，然后选择[上网权限策略]，进入新策略编辑界面第三步:填写『策略名称』与『描述信息』。其中策略名称为策略的唯一标识，不能重复并且必须填写。描述信息是对策略的概要，非必须填写第四步:进入【策略设置】页面，根据需要设置相应的上网权限策略。首先在【上网权限策略】页面选择需要设置的控制类型，然后在右面窗口中设置细化的策略。上网权限策略包括了『应用控制』、『SSL管理』、『邮件过滤』、『QQ号白』四个模块（这几类控制模块的具体设置和作用请参见后续章节）。第五步:设置【适用对象】，此处选中的用户组和用户将全部匹配此上网策略设置的权限第六步:设置【高级配置】:高级配置中包含『策略过期日期设置』、『同级别管理员查看编辑权限设置』、『允许低级管理员查看』。『策略过期日期设置』是设置该策略的生效期。如果设置为[永不过期]，则策略将永久有效。如果设置[过期时期]，比如选择日期为2015-06-01，则表示此策略在2015-06-01之后过期，成为无效策略。『同级别管理员查看编辑权限设置』：两种权限可以选择[允许查看]和[允许编辑]。此处的“同级别管理员”指的是在『系统配置』『管理员账户』中属于同一角色的管理员，如果勾选[允许查看][允许编辑]，则同级别管理员默认拥有[允许查看]权限，并且可以对此策略进行修改（注意：此处允许编辑的前提是管理员的管辖范围是包含关系或者管辖范围完全一致，具体注意事项请参见章节3.11.2）[允许低级管理员查看]：勾选此项，则低级管理员可查看此策略，权限只限于查看，不能修改策略。“低级管理员”指的是在『系统配置』→『管理员账户』中设置的角色级别低于建立此策略的管理员级别的管理员。第七步:设置完成，点击提交，完成新策略添加应用控制应用控制设备中有针对各种常见网络应用设置的应用规则库和针对的URL分类库（参见章节3.3.1-3.34），『应用控制』正是了这些规则，实现对网络应用的控制和对各类的控制。P2PQQ，等，设置相对应的控制策『应用控制』也可以 的行为进行过滤，包括HTTPURL过滤、HTTPS过滤及HTTP上传过滤下面分两部分介绍『应用控制』的配置方法，一是针对应用类型进行控制的配置方法；一是针对HTTPURL过滤的配置方法。a、针对应用类型进行控制下面设置一条P2P相关应用的实例第一步:勾选『应用控制』，右边进入【应用控制】编辑页面。然后点击添加按钮，选择添加[应用]点『应用下方的按钮并弹出选择应用框此处分别 『应用特识别库』、『应用智能识别库』、『自定义应用』和『时间计划组』（具体设置参见章节331-333、338）第二步:在弹出的【选择应用】页面，选择需要允许或的应用。勾 P2P第三步:返回到之前的配置界面，设置『动作』为，动作『生效』时间为全天（[生效时间]的设置请参见3.3.8点击确定。完成2P应用的策略。『生效』时间的具体设置参见：3.3.8『对象定义』→『时间计划组』第四步：如果需要修改已设置的应用控制策略。勾选上需要修改的应用，可以点除来删除掉该策略。点击

以把策略动作改为。点 则把策略动作改为点击上移和下移，则可以把策略的序号进行调整。在进行策略规则匹配的时候，『序号』靠前的策略优先被匹配到。第五步：如果此策略中您只需要做应用控制，则点击提交按钮完成此策略的编辑，如果您还需要编辑其他类型的策略，则继续选择其他控制类型进行编辑。设备对其他未设置的应用类型默认是允许 的bHTTPURL进行控制 用银 :对用户上班时间“网上银行”“银行”类别的策略进行设置。点击『应用』下第二步 在弹出的【选择应用】的窗口中，找到“”这一类别，在“金融”URL中找到“网上银行”、“银行”两类URL组在对应的类别，勾选动作[浏览]，即开启对这类的HTTPURL过滤【已选列表】中会同步显示已经选中的应用，确认选择无误，点击确定，完成URL （『生效时间』的设置请参见3.3.8），点击确定。完成 时银 的单个策略1、动作选择[文件上传]、[其他上传]是对某类URL组时通过HTTP协议上传文件或上传其他内容的行为进行过