常熟电教馆上网行为管理培训

SANGFOR

深信服科技

常熟电教馆

上网行为管理培训

深信服科技有限公司

2015年4月

目录

一、基本功能介绍.............................................................3

1、身份认证.............................................................3

2、上网权限控制.........................................................3

3、上网流量控制.........................................................3

4、上网行为审计.........................................................4

二、基本操作培训.............................................................4

1、界面介绍.............................................................4

1.1实时状态...........................................................4

1.2对象定义...........................................................4

1.3用户与策略组管理...................................................4

L4流量管理............................................................5

2、设备开关机操作......................................................5

3、登录设备管理控制台..................................................7

4、备份及恢复配置......................................................8

5、修改管理员密码......................................................9

三、案例分享................................................................10

1、用户及用户组管理...................................................10

2、身份认证............................................................11

1.1、OA认证.........................................................11

1.2、不认证..........................................................12

3、上网权限控制........................................................13

1.1、封堵不良.......................................................13

1.2、封堵指定.......................................................16

1.3、论坛限制发帖...................................................19

1.4、防共享上网.....................................................21

1.5、封堵P2P类型大流量.............................................22

1.6、封堵QQ游戏....................................................24

1.7、单独放通指定应用...............................................26

4、上网流量控制.......................................................29

1.1、对P2P类型大流量进行限速......................................29

1.2、对某个用户进行限速.............................................36

1.3、对某个IP地址进行带宽保障.....................................39

5、上网行为审计.......................................................41

6、数据中心查询KEY的使用.............................................42

四、故障排除................................................................44

1、全局排除地址.......................................................44

2、上网故障排除.......................................................45

3、断电BYPASS.......................................................45

五、答疑....................................................................46

基本功能介绍

1、身份认证

上网行为管理可以对用户的身份进行识别，识别到该用户当前的IP地址或者MAC地址。

当然你也可以使用用户名+密码的方式，来对用户进行身份认证。

如果使用IP或者MAC地址来识别用户，那么审计的日志中将会以IP或者MAC地址的方

式来显示日志。

人上网行为查询结果

今首页上一页12345678910一一下一页|按最近时间排序回|每页显示5。条记录

点击列表:按；键查看下一条记录，按K键查看上一条记录：..按♦或一〉键向前或后翻页

用户名显示为MAct也址国点击这里选择您想查看的列

序专__________用户幺.•”-7组名主机IPJ也址目标地址应用类型具法应用日期与时间详细

11

7c-fa-df-54-36-d0|/上网/192.200.30.86-用户上网记录甥2014-12-2309:59:02国

260-d8-19-c8-50-9a/上网/192.200.30.103ssl.vpn.coa.cn访问网站I布业2014-12-2309:58:52国

360-d8-19-c8-50-9a上网192.200.30.103ssl.vpn.coa.cn访问网站I而业2014-12-2309:58:52国

458-91-cf-26-97-fl/上网/4open,qzone.qq....访问网站社交（W---2014-12-2309:58:51司

558-91-cf-26-97-fl/上网/192.200.30.94sTsr.dajie.cost访问网站求职招聘2014-12-2309:58:51国

658-91-cf-26-97-fl/上网/192.200.30.94open,qzone.qq....访问网站社交（W--2014-12-2309:58:49国

758-91-cf-26-97-fl/上网/192.200.30.94open,qzone.qq....访问网站社交3…2014-12-2309:58:49国

8d8-9e-3f-6e-a3-6c/上网/192.200.30.102-用户上网记录登录2014-12-2309:58:37国

9d8-9e-3f-6e-a3-6c，仕网/192.200.30.102-用户上网记录注销2014-12-2309:58:37被记录国

1058-91-cf-26-97-fl，'上网/192.200.30.94ww.jobui.cos访问网站求职招聘2014-12-2309:58:36被记录国

使用用户名+密码认证的用户认证之后，将会以输入的用户名的方式来显示日志。

人上网行为查询结果

首页上一页12345678910一一一下一页|按最近时间排序M|每页显示5c条记录M

点击列表;按；键查看下一条记录，按K键查看上一条记录，按〈-或键向前或后翻页

以用户名方式显示&点击这里选择您想查看的列

席且用户名主机I丹位址目标地Jit应用类型具体应用日期与时间加详细

1曾奇上海办/192.200.30.34髀Toe.apple,c...访问网站I饼目关2014-12-2310:01:02被记录国

2曾奇上海办」192.200.30.34js-loc.apple,c...访问网站I嘴关2014-12-2310:01:01被记录昌

Q----------------------上海办/192.200.30.47officeapps.liv...访问网站目关2014-12-2310:00:59被记录国

4李信/上海办/192.200.30.47200.200.0.20访问网站其他2014-12-2310:00:50被记录国

5李将上海办192.200.30.47officeapps.liv...访问网站I并目关2014-12-2310:00:49被记录目

6王欣欣/上海办/192.200.30.54200.200.0.20访问网站其他2014-12-2310:00:46被记录国

7小王宇上海办；192.200.30.85saike.baidu.com访问网站搜索引擎2014-12-2310:00:41被记录昌

8安智文，'上海办/1is.baidu.cos访问网站搜索引擎2014-12-2310:00:40被记录昌

9安智文，'上海办/1ws.baidu.con访问网站搜索弓1擎2014-12-2310:00:39被记录国

当然你可以选择性的去配置用户的认证方式，具体的配置在后文中会讲到。

2、上网权限控制

上网行为管理故名意思，对用户的上网行为能够进行管理。上网行为管理另外的一大功

能点就是上网权限的控制。

我们可以灵活的通过策略的配置，来实现我们的需求，例如阻止某用户访问不良，例如

阻止某用户不能使用P2P下载工具进行下载，再例如阻止某用户上班时间不允许访问购物。

3、上网流量控制

上网行为管理可以对用户的上网的流量进行流控，对非关键流量进行限速，优先保证关

键流量能够有充足的带宽。

流量控制既可以针对用户来做，也可以针对应用来做，也可以是二者的结合。后面会详

细降到配置。

4、上网行为审计

上网行为审计是深信服上网行为管理的又一大功能，它可以对用户上网的行为进行审计

并记录到硬盘保存一段时间。同时用户可以通过报表中心，灵活的对这些记录进行统计和查

阅。

审计的容是可配置的，也就是说你可以对你感兴趣的行为进行审计，而其他流量不涉及。

审计的容很封堵，包括访问的URL,BBS的发帖，的容，聊天容等。

默认审计策略不开启，需单独配置。

基本操作培训

1、界面介绍

1.1实时状态

1.2对象定义

，对象定义+M»|x口手动赖内as令导入导出一Q皿查询内置规则库日期：2014-12-2209:00:00升级部J期至：2015-07-07报a*分糊皿

应用特征识别后URL类规名称幽翻除□

新闻门户包括提笊锦闻和时衣许论的网站,包括网络黑体、SWSTJ.发行流通的宗志或其它媒体所创办的网站内・

应用智能识别库A

网上购18包括支持碓1均美商品与藤务的网站内置X"■

*自钗

成人内容除含有成人用品.性鞍育.不再点裸＜1.人体三术.夜总会等成人娱乐场所资料和点评.销售女士内衣和泳装的网站内置

＞VKL分类库

技谢包括各陶沙及求职和招1•相关停息的网站内置X,■

,准入规则库1IS2钊8IT行业资讯.IT人物.嘉程设计.网珞资标及各种针对开发者的论坛内置X•

越8服务t£S皿各种文小o裁w机构,及钝立；0强供敏育资料.书考试侑息等河站内置X•

包括国家宗教W3部11及各类亲尊献?网站.各种合法亲教相关信息网站内置

包括眄机构.义工组织.行业协会等各种不以后利为目的的社会沮织创办的网站内置

科学技术包括有关斫充・观事与存在及具相关规律的学说及他达科学技术的网站内量

娱乐造讯锄£提供娱乐JB资讯.用国信息.梆点人物.星座评涌等休闲娱乐信息的网站内置

文字小说包侬供小说.诗歌.歆文等各种体献反学作品及其评论的网站,如告在线小说网读、小说下蛾及相关信息服务的…为重

存―音豆下载包括徨供在卸t放或不蝴务的网站.除色塔外内置

红包括提供正规体育影累和福利彩■信息及怛关第*展务的网站内置

期翳蟠＜£8讯和游戏论坛的网站内置

JWeb应用V

1.3用户与策略组管理

WSANGFORiAC6.0当前用户：admin［退出］［祥助H内贵敦揖中心1

＞实时状态+新招，X管看用户策略返遽：言，：一.r「丁

►对象定义□序号称上移/下修过期日期

，用户与第”9m上网或网出

＞上网策略□1放行a'pay所有用户adnn永久生总

□2拒电所肓所有用户admin永久生效

，用户管理^SS

＞组/用户

用户导入

用户自动同步

，用户认证

＞终入SB

＞安全防护

►防火堵

►网络配首

►VPNES

►S5t£S

1.4流量管理

2、设备开关机操作

深信服设备为1U的设备，使用跟普通台式机一样的电源连接线。电源开关位于设备面

板后面，如需关机，需要长按电源即可。

U日LJULJLJ

3、登录设备管理控制台

深信服上网行为管理使用IE浏览器进行配置和管理。首先打开IE浏览器，并在地址栏

中输入https：//x.x.x.x（x.x.x.x为AC的实际IP,截图示例中的AC的IP地址为

192.200.30.253）,注意开头的是https：〃而非。

注意是https:〃

输入IP地址之后点击回车键，打开该页面，浏览器会弹出告警页面，如下图所示。该

告警为正常情况，请点击“继续浏览此（不推荐）”O

此问题。

此网站出具的安全证书不是由受信任的证书颁发机构颁发的.

安全证书问襄可能显示试网欺篝你或截获你向服务器发送的数据.

建议关闭此网页,并且不要继像浏览该网站.

9单击此处关闭该网页.

|,继续浏览此网站不推荐）.|

0详细信息

点击之后将会打开AC设备的登录界面，输入预先设置好的用户名teacher,密码teacher。

即可进入深信服上网行为管理的管理界面。

SANGFOR

4、备份及恢复配置

『配置备份与恢复』用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复

到设备中。

三SANGFORIAC5.7当前用户：admin【退出）［帮助］［内置数掳中心1

雀I酉港备份与恢复

备份配置

点击下载配置

恢复配贵

方式一：从自动备份中恢复

方式二：从本地文件中恢复

浏览本地文件

恢复出厂设置

恢复出厂设置

『备份配置』：用于备份下载设备中已有的配置，点击点击下载配置，就可以对当前的

配置进行备份。

『恢复配置』：用于恢复已备份的配置文件。恢复配置文件有两种方式：

方式一：从自动备份中恢复，设备会在每日凌晨自动备份一次配置，默认保存一周的配

置文件，选择会要恢复的配置文件，点击恢复即可。

方式二：从本地文件中恢复，点击浏览本地文件，并打开备份文件，点击恢复即可恢复

备份配置。

『恢复出厂设置』：用于将设备恢复到出厂设置，请慎用！

5、修改管理员密码

【系统配置】一【管理员账号】选项中，选中需要修改的账户，点击打开后即可输

入新的密码。

三、案例分享

1、用户及用户组管理

场景：A学校需要把上网的用户分成三组，分别为教师组、行政组、学生组。并且把对应的

用户放到对应的用户组中，以便关联不同的策略

【用户与策略管理】一【用户管理】一【组/用户】选项中，新建用户组，命名为“教师组

以此类推，可以新建学生组和行政组。

►实时状态

＞对象定义组路径：修改组名与槌

，用户与苗略管理描述信息：

组信息：子组个数：!■•直属用户个轨：42,总用户个数（包含子组）：55

上网策略

策路引用：放行皿押拒绝所有

户管理

|组用户|-------

用户导入要jifanfci

用户自动同步jinzheng

，用户认证

UuF%IBgtesttcst

位员工

►流量管理

0张潇

空访客

总陈永胜

学陶暖

目

B蛤证码已发送未使用

第1页,共3页＞MW街页显示条数20当前显示1-20条共5磔

2、身份认证

1.1、0A认证

场景：A学校教师的IP地址段为192.168.1.0/255.255.255.0,现在为了实现

审计到的行为可以和人对应起来，要求开启0A认证，教师和行政人员必须使用自

己的0A账户和密码通过认证后才可以访问互联网

A.新建用户认证策略，为该策略命名，适用围填写为该学校的网段：

192.168.1.0/255.255.255.0„然后选择认证方式为【密码认证/单点登录】即

可。

1.2、不认证

场景：还是A学校，已经使用了0A认证，但是其中学生IP地址192.168.0.10,

希望不使用0A认证，而其他的IP继续使用OA认证。

A.新建用户认证策略，为该策略命名，适用围填写该不需要认证的IP地址:

192.168.1.10„然后选择认证方式为【不需要认证/单点登录

B.通过箭头移动该认证策略，让该策略的位置位于OA认证之上。

3、上网权限控制

1.1、封堵不良

场景：A学校，不允许网用户访问成人、非法及不良。

A.新建一条上网权限策略。

号SANGFORAC5.7/当前用户：admin［退出］［期助］［内置数提中心］

融藻单

H上网策隆

►实时状态+领滑，K-/「0；'♦，心9导入"查看用户策略过漉：ttAQjfcW、

,对象定义|上网初8策晤运用用户适用位■透月线羯上移/下修过期日期状态

,用户与策略管理上网审计策18

上月安全策略

卜上网争1A季攻耒酝置未配置admin，永久筋✓

终误徨建策略仄允许上网，素皿末Hadmint，永久生效✓

流最配项与时长控制

组/用户■证码巳发送未使用A内机设♦/,魔道人员/.止期未H东Madmint4永久生效✓

）用户导入

用户自动同步

□2流量统计本地全部用户未距置耒配置adrnnf永久生效✓

，用户认证

认证策理

认证选项

外部认证服务器

►防火堵

B.为该策略命名为“封堵不良”，并勾选“应用控制”选项，勾选后点击

添加按钮，添加一条策略。

上网权限策略X

C.点击下图所示的小电脑状的图标，打开应用列表。勾选需要封堵的类型,