深信服上网行为管理-管理员手册 深信服电子科技有限公司
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 第1章前言 ..................................................................................................................... 错误!未定义书签。第2章系统管理 ............................................................................................................. 错误!未定义书签。 设备登录 ............................................................................................................... 错误!未定义书签。 管理员配置............................................................................................................ 错误!未定义书签。 修改管理员密码............................................................................................ 错误!未定义书签。 创建二级管理员............................................................................................ 错误!未定义书签。 系统基本信息配置................................................................................................ 错误!未定义书签。 序列号............................................................................................................ 错误!未定义书签。 系统时间........................................................................................................ 错误!未定义书签。 规则库升级.................................................................................................... 错误!未定义书签。 全局排除地址................................................................................................ 错误!未定义书签。 设备配置备份与恢复.................................................................................... 错误!未定义书签。 WEBUI选项 .................................................................................................... 错误!未定义书签。 远程维护........................................................................................................ 错误!未定义书签。第3章网络配置 ............................................................................................................. 错误!未定义书签。 部署模式 ............................................................................................................... 错误!未定义书签。 静态路由 ............................................................................................................... 错误!未定义书签。第4章策略管理 ............................................................................................................. 错误!未定义书签。 用户认证与管理.................................................................................................... 错误!未定义书签。 用户组管理.................................................................................................... 错误!未定义书签。 认证策略........................................................................................................ 错误!未定义书签。 不需要认证.................................................................................................... 错误!未定义书签。 IP/MAC绑定 ................................................................................................... 错误!未定义书签。 不允许认证.................................................................................................... 错误!未定义书签。 策略管理 ............................................................................................................... 错误!未定义书签。 购物娱乐类网站............................................................................................ 错误!未定义书签。 P2P及P2P流媒体封堵 ................................................................................... 错误!未定义书签。 外发文件封堵................................................................................................ 错误!未定义书签。 上网审计........................................................................................................ 错误!未定义书签。 流量管理 ............................................................................................................... 错误!未定义书签。 线路带宽配置................................................................................................ 错误!未定义书签。 保证通道........................................................................................................ 错误!未定义书签。 限制通道........................................................................................................ 错误!未定义书签。 终端接入管理........................................................................................................ 错误!未定义书签。 共享接入管理................................................................................................ 错误!未定义书签。第5章日志中心管理...................................................................................................... 错误!未定义书签。 日志中心配置........................................................................................................ 错误!未定义书签。 准备工作........................................................................................................ 错误!未定义书签。 外置日志中心安装过程................................................................................ 错误!未定义书签。 日志中心登录................................................................................................ 错误!未定义书签。 同步策略设置................................................................................................ 错误!未定义书签。 AC同步配置 ................................................................................................... 错误!未定义书签。 日志中心登录........................................................................................................ 错误!未定义书签。 内置日志中心登录........................................................................................ 错误!未定义书签。 外置日志中心登录........................................................................................ 错误!未定义书签。 日志查询 ............................................................................................................... 错误!未定义书签。 所有行为日志................................................................................................ 错误!未定义书签。 网站访问日志................................................................................................ 错误!未定义书签。 邮件收发日志................................................................................................ 错误!未定义书签。
深信服上网行为管理部署方式及功能实现配置说明(标化院) 设备出厂的默认IP见下表: 接口IP地址 ETH0(LAN)10.251.251.251/24 ETH1(DMZ)10.252.252.252/24 ETH2(W AN1)200.200.20.61/24 AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。 『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能; 网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能; 旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且
可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。 路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。 配置方法: 第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。 第二步:在【导航菜单】页面中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,出现以下页面:配置设备模式为路由模式,点击下一步
附件五上网行为管理AC-1200配置管理文档 1. 设备名称 本系统上网行为管理设备采用深信服公司生产的AC-1200。 2.设备功能 根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。 3.设备硬件信息 3.1 AC-1200产品外形 AC-1200产品外形和接口信息如图1所示。 图1 AC-1200产品外形和接口信息 网络连接与管理方式 AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。ETH2(WAN1)口与路由器CISCO2821,与Internet连接。ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。 设备端口IP地址分配见表1。 本设备只提供WEB管理方式。通过网络连接到WEB管理端口,打开浏览器,在地址栏输入https://192.168.5.41 ,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。
表1设备端口IP地址分配表 接口IP地址描述 ETH0 (LAN) 透明模式与核心交换G3/1连接 ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接 图2WEB登录页面 4. 配置管理 4.1 WEBUI界面 登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。如图3所示。
图3 WEB用户管理界面 4.2 系统配置 系统配置部分包含系统信息、管理员帐户、系统时钟等信息。 4.2.1 系统信息 系统信息包含系统内的序列号和license信息,如图4所示。 图4系统信息
登录不了SANGFOR设备控制台的解决办法 一、登录不了SANGFOR设备控制台的解决办法: 1.确认登录设备的方法是否正确: P5X00,S5X00,SSL VPN设备默认登录控制台的方式:http://x.x.x.x:1000 AC,BM,SG,NAC,WOC,AD设备默认的登录控制台的方式:https://x.x.x.x 2.检查电脑的IE设置: 1)如果浏览器配置了IE代理,SANGFOR设备的地址没有填写到【例外情况】,那么就会导致登录不了设备的控制台。 2)如果在连接当中添加了宽带连接等连接方式,当这些连接没有连接上的时候,那么就会一直提示脱机状态无法打开网页,删除再访问就可以了。
3.浏览器本身的问题 首先清除浏览器的缓存,如果不行,看浏览器访问其他网站是否正常,换IE浏览器或者换台电脑登录控制台试试。 4.测试控制台端口和TCP51111端口是否能通 测试控制台端口是否能通,例如AC设备,从电脑telnet AC443端口是否能通,测试TCP51111端口是否能通,从电脑telnet设备51111端口是否能通,如果控制台端口和TCP51111端口能通,登录不了设备控制台,请联系SANGFOR 处理 5.尝试使用保留IP登录设备 如果设备与电脑在同一个局域网,或者电脑单机直接接设备的环境下,可以尝试使用保留IP登录设备。 AC/SG/BM/NAC LAN口保留IP:128.127.125.252/255.255.255.248 电脑配置同网段IP,如128.127.252.253/255.255.255.248 AC/SG2.0及其之后版本DMZ口保留IP:128.128.125.252/255.255.255.248 电脑配置同网段IP,如128.128.252.253/255.255.255.248
深信服上网行为AC-5000 管理设备功能 1) 控制功能:细致的访问控制,有效管理用户上网 对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。 表1:访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构,支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类; 关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤; 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件;
深信服部署模式
————————————————————————————————作者:————————————————————————————————日期:
一、AC\SG部署模式: 1.1部署模式拓扑图: 1.1.1路由部署 1.1.2网桥部署:
1.1.3旁路部署: 1.2部署指导 ? 1.2.1 路由模式_部署指导 首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署: 1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。 2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。 3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。 ? 1.2.2网桥模式_部署指导 1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。 2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。 网桥多网口常见应用场景: a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。 b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。 多网桥常见应用场景:
a.设备一进一出做单网桥 b.客户内网有VRRP或HSRP环境 ? 1.2.3 旁路模式_部署指导 1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计; 2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来; 3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。 二、AF部署模式: 2.1 部署模式拓扑图: 2.1.1 路由模式:
公司深信服WOC设备测试报告 一、测试时间: 2016年8月-10月 二、测试地点基本情况 测试地点线路类型测试设备 深信服WOC 4050 数据中心联通干线,通过VLAN 划分通信线路 山东分公司联通4M MSTP线路深信服WOC 3150 河北分公司联通2M MSTP线路深信服WOC 3150 三、参与测试人员: 信息技术部: 深信服天津分公司: 四、测试目的: 与数据中心之间的MSTP专线是各分公司的主业务通道,用于传输业务数据和办公数据。由于分公司业务量逐步增加和数据中心部分信息化系统由CS模式变更为BS模式两方面因素影响,部分分公司和数据中心之间专线压力随之增加,专线原有2Mbps带宽已经无法满足机构日常的工作需要。 截至目前,山东、湖北、江苏、陕西、河南、江西分公司已经将2Mbps专线升级到了4Mbps专线。河北、安徽分公司等部分机构2Mbps专线带宽日常使用压力也很大,他们均希望尽快解决带宽不足的问题。同时需要注意的是,河南和山东分公司升级后的4Mbps带宽还是不能完全满足日常工作需要,带宽压力持续很大。 解决专线带宽不足的问题,除了优化业务系统、财务系统等信息化系统,降低系统数据传输带宽占用之外,还可采取以下两种措施: 1、将专线带宽升级到合适的速率;
2、安装使用WOC带宽加速设备。 本次测试的目的是了解WOC设备解决带宽不足问题的能力,确定该设备是否适合在我公司网络中使用。 五、测试拓扑: 1、数据中心网络拓扑 2、分公司网络拓扑 六、接口配置说明 测试地点数据中心山东分公司河北分公司 设备型号WOC4050 WOC3150 WOC3150 WOC设备通讯地址172.16.200.1/24 172.16.200.2/24 172.16.200.3/24 网桥内侧口eth0 eth0 eth0 网桥外侧口eth2 eth2 eth2
深信服AC1200上网行为管理 设备功能介绍与特性: 识别作为管理的基础,是上网行为管理产品功能是否健全的有利保障。SANGFOR AC上网行为管理具有强大的识别功能。基于用户识别的功能支持以IP、MAC、IP/MAC绑定、用户名密码、USB-Key识别,公用账号认证,同时支持LDAP认证、Radius认证、POP3认证、WEB认证等等,其中WEB认证支持以windows认证框方式实现web认证也支持以HTTP POST方式实现web 认证。其次SANGFOR AC还能够对终端进行识别,包括用户操作系统的版本、补丁、系统进程、系统文件、注册表、自定义的脚本、识别规则与或的组合等等。面对互联网应用的不断扩大,SANGFOR AC具备强大的应用识别功能,能帮助客户识别各种互联网应用,特别是目前SSL加密网页越来越多。基于关键字、流特征、深度内容检测、关联识别等等技术的应用,能够识别SSL加密的网页、IM聊天软件、P2P、流媒体、炒股等等多种应用。而经过SSL加密的论坛/BBS 发帖、webmail外发邮件、SMTP/POP3,AC都能对其进行识别。 控制功能:细致的访问控制,有效管理用户上网 对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。针对目前P2P行为泛滥的趋势,SANGFOR
SANGFOR_AF_v6.8_登陆新设备指导书 深信服科技有限公司 文档编号审核 修订记录 版本时间修订内容 1.02016年9月
目录 1介绍 (3) 1.1文档说明 (3) 1.2读者对象 (3) 1.3缩写和约定 (3) 1.4使用反馈 (3) 2功能简介 (3) 3应用场景 (3) 4必要条件说明 (4) 5配置思路 (4) 6配置方式及截图 (4) 6.1接好物理连线 (4) 6.2AF设备开机 (4) 6.3电脑配置IP地址 (4) 6.4测试连通性 (7) 6.5设备登陆 (11) 7注意事项 (12)
1介绍 1.1文档说明 本文档深信服公司及其许可者版权所有,并保留一切权利。未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式出版传播。 由于产品版本升级或其他原因,本手册内容有可能变更。深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,深信服尽全力在本手册中提供准确的信息,但是并不确保手册内容完全没有错误。 1.2读者对象 本配置指导文档主要适用于如下工程师: ?网络或应用管理人员 ?现场技术支持与维护人员 ?负责网络配置和维护的网络管理 1.3缩写和约定 本文中AF均指代SANGFOR AF设备或服务。 1.4使用反馈 如果您在使用过程中发现本资料的任何问题,欢迎及时反馈给我们,可以通过反馈到深信服技术社区:https://www.doczj.com/doc/8411383618.html, 感谢您的支持与反馈,我们将会做的更好! 2功能简介 为了方便用户拿到新设备能够快速登录。 3应用场景 登陆新设备应用场景: 1、用户对新设备登陆不熟悉,有针对性的对用户可能遇到的问题进行了详细的解释 2、方便用户快捷登陆设备登陆设备
第1章整体方案价值 深信服科技作为全球领先的前沿网络设备供应商,凭借多年行业经验,并结合其在企业业务和网络发展趋势的理解,为用户提供量身打造的网络准入控制解决方案,旨在帮助客户构建“终端+网关”的双向安全机制,提高网络的整体安全级别,降低泄密风险。 1.1网络准入控制 深信服NAC方案提供的网络准入控制功能对网络接入终端强制进行身份认证和安全评估,为访问网络资源的终端设备提供足够保护,以防御网络安全威胁。网络准入控制功能评估终端安全级别并依据评估结果,将不同用户、不同安全级别的终端隔离出来,形成独立的隔离区,拒绝隔离区中的终端与正常通过安全策略检测的终端进行通讯,从而有效的限制了病毒、蠕虫和间谍软件等损害网络安全。 网络准入控制功能的隔离效果: 新接入网络的终端,未通过认证时,默认不能和安全区内的终端通信,管理员可选将其加入未认证的用户隔离区中,限制其外网访问权限、服务器区访问权限; 接入网络的终端,通过认证后,会根据管理员配置的网络准入控制策略检测用户是否通过评估,通过安全评估的用户会进入安全用户区,安全用户区不能和未通过评估的隔离区通讯;未通过安全评估的用户不能和安全用户区内的用户通讯; 未通过安全评估的用户,根据管理员设置的隔离条件进入相应隔离区,隔离区内用户可访问的网络资源受所在隔离区的配置控制。
新接入用户终端安全级别 评估 存在安全威胁! 不符合安全策略 隔离区A 隔离区B 管理员 安全用户 通过评估安全服务器区 互联网 对指定用户使用“网络准入控制”管理隔离区用户配置隔离区访问策略 1.2防病毒软件检测 深信服NAC具有防病毒软件检测功能,可以检测终端计算机是否安装了防病毒软件,是否开启了自动防护,病毒库是否出于最新状况,并可以根据检测结果来执行指定操作。防病毒软件检测功能帮助管理员消除内网安全短板,保证终端计算机和内网安全。 根据检测结果,管理员可设置NAC主动向用户发起安全检测提示,强制执行远程应用程序如强制安装防病毒软件、强制升级病毒库(需要配合第三方防病毒产品),将安全级别不足的用户放入指定隔离区进行访问权限控制,这些操作可以任意组合并在用户计算机违反相关安全策略后自动执行。在完成修复并达到安全策略要求后,终端将被解除隔离,允许访问网络和内网其他终端。 图:防病毒软件检测客户端安全检测提示
深信服配置文档 目录 一、设置第一条线路........................................................................................错误!未定义书签。 二、设置第二条线路........................................................................................错误!未定义书签。 三、代理网段设置............................................................................................错误!未定义书签。 四、分店设备接线............................................................................................错误!未定义书签。
一、设置第一条线路 1、用一条交叉网线(即配套黄色的网线)把深信服设备的DMZ口与电脑的网口相连起来, 连接之后检查检查DMZ口和电脑的网口灯是否绿色,绿色代表正常。 2、配置本地电脑的网卡IP,配置IP:,子网掩码:,如下图 3、IP配置好之后,打开IE浏览器输入,会弹出一个安全警报对话框,图如下,点击“是”。
4、证书安装完之后弹出输入用户名和密码的窗口,如下图, 5、点击手动下载ActiveX控件,然后保存到本地电脑上。 6、保存下来之后,用winrar解压,打开解压后的文件夹,直接运行文件名“”这个批处理 文件运行完之后会提示安装成功,如下图 7、安装完成功之后,重新在IE浏览器上输入,在弹出的窗口里输入用户名和密码,用户名 是Admin,密码:Admin,点击登录。 8、点击“系统设置”下的“网关模式配置”,点击“开始配置”,如下图
深信服AC上网行为管理系统介绍 1)AC产品简况 深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。 深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力,除了识别普通的明文数据外,AC还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。 由于采用了高性能的硬件平台,以及不受硬盘空间限制、可独立部署的数据中心,深信服AC的性能领先于其他同类产品,更好的满足了大规模网络的苛刻要求。 目前,在中国上网行为管理的高端市场中,深信服AC拥有着极高的占有率,其客户包括:中国电力投资集团、中国环境监测总站、卫生部卫生监督中心、北海舰队、中国银行、中银保险、华夏基金、东风日产、比亚迪汽车、四川长虹、天士力集团等大型知名用户。 2)AC功能特点 高性价比 ?百兆设备,多WAN口设计; ?支持2条Internet线路的带宽叠加,扩大网络出口带宽; 主要技术特点: ?深度内容检测技术,封堵所有P2P软件 ?邮件延迟审计专利,保证所有邮件先延迟、后发送; ?监控所有即时通讯软件(QQ、MSN等)聊天记录; ?独有的网络访问准入规则,只允许符合上网策略的用户连接Internet; ?详细的日志中心,记录所有上网行为; ?分组管理,对特定组启用监控/不监控;
三.产品安装及测试 1.AC核心价值介绍 下面介绍AC为用户带来的几大核心价值: 1)网络带宽管理 网络流量管理 AC 上网行为管理产品通过审计、控制、优化和带宽叠加等功能,协助管理者全面 分析和优化广域网带宽资源。 AC 的数据中心(Network Data Center, NDC)对局域网发生的所有网络行为进行记录、分析和趋势报告。借助图形化的数据和报表,用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源,网页浏览,收发邮件,还是P2P 下载。同样,我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃,哪些部门在上班时间观看了最多的在线影片。通过对网络使用情况的深入了解,管理者能够制定出最适合自身组织机构情况和的互联网访问策略。 P2P 软件控制 P2P 技术使人们可以高速获得海量的网络资源,但是P2P 软件对带宽的占用也使其 招致种种恶言。一个2M 以太网出口的局域网,只要有2 个以上的员工不限速地使用BT,所有人的正常网络浏览都将成为不可完成的任务。AC通过对P2P下载软件的智能检测管理甚至可以彻底封锁所有的P2P 流量。 带宽优化和多线路策略 QoS(网络服务质量)技术包括专用带宽、抖动抑制和延迟、丢包率的改进以及对 指定高优先级网络服务的流量保证。AC 同样采用了QoS 技术,对流经WAN 和LAN 癿数据进行了优先级处理,保证了重要服务的带宽质量。 AC 产品也继承了深信服科技(SINFOR)其他产品线的领先技术。借助多线路负载 均衡技术,内网用户访问不同的运营商网络时可以自动匹配最优的网络出口;而通过配置带宽叠加策略,组织可以把多条Internet 线路合并为一条公网总出口,以获得更好的互联网
sg的设备eth0(即lan口)是面板上看到的manager口,默认ip跟ac的一样是10.251.251.251。 保留IP:10.111.222.33/255.255.255.252 AC:128.127.125.252/255.255.255.248(LAN口)128.128.125.252/255.255.255.248(DMZ) AD设备,管理口(MANAGE)默认IP为:10.252.252.252 MIG设备lan口出厂IP地址:10.254.254.253/255.255.255.0; dmz口出厂IP地址:10.253.253.253/255.255.255.0 APM 管理口(MANAGE)默认IP为:12.254.254.254 登录方法:首先为PC机配置一个12.254.254.X网段的IP(如配置12.254.254.100),掩码配置为255.255.255.0,然后在IE浏览器中输入设备的默认登录IP及端口,输入https://12.254.254.254 以上内容来自:https://www.doczj.com/doc/8411383618.html,/forum/read.php?tid=39 内部测试地址:
北京已经准备了设备的演示平台,大家方便的时候可以登录进行查看 使用如下地址登录:https://www.doczj.com/doc/8411383618.html,/ssl/bjbsypt.php vpn的用户名和密码分别是 用户名:渠道演示平台 密码:qdyspt 进去之后选择渠道演示资源组,就可以看到设备的连接,有问题请随时与我联系,谢谢!暂时发布上去的是SG、AD、SSL三个设备,请大家不要修改部署模式,谢谢! 此文档请不要外发,各位人员留好,并请大家一起完善 但前文档版本号1.01,大家可以共同修改、添加完善文档,版本号+0.01后上传到群共享一楼:乔硕 1.01
SANGFOR SG快速安装手册
技术支持说明 为了让您在安装,调试、配置、维护和学习SANGFOR设备时,能及时、快速、有效的获得技术支持服务,我们建议您: 1.参考本快速安装手册图文指导,帮助你快速的完成部署、安装SANGFOR设备。如果快速安装手册不能满足您的需要,您可以到SANGFOR技术论坛或官网获得电子版的完整版用户手册或者其他技术资料,以便你获得更详尽的信息。 2.致电您的产品销售商(合同签约商),寻求技术支持。为了更快速的响应您的服务要求和保证服务质量,您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师,会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。 3.在不紧急的情况下,您可以访问SANGFOR的技术论坛,寻求技术问题的解决方案和办法。 4.致电SANGFOR客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。 SANGFOR技术论坛:https://www.doczj.com/doc/8411383618.html, 公司网址:https://www.doczj.com/doc/8411383618.html, 技术支持服务热线:400-630-6430(手机、固话均可拨打) 邮箱:support@https://www.doczj.com/doc/8411383618.html,
目录 技术支持说明 (1) 目录 (2) 声明 (3) 前言 (4) 第1章SG系列硬件设备的安装 (5) 1.1环境要求 (5) 1.2电源 (5) 1.3产品接口说明 (5) 1.4配置与管理 (6) 1.5单设备接线方式 (8) 1.6双机备份接线方式 (9) 第2章SG系列硬件设备部署 (11) 2.1路由模式 (12) 2.1.1路由模式部署配置案例 (13) 2.2网桥模式 (19) 2.2.1网桥多网口 (19) 2.2.2多网桥 (25) 2.2.3DMZ口重定向 (32) 2.3旁路模式 (37) 2.3.1旁路模式部署配置案例 (38) 2.4单臂模式 (43) 2.4.1单臂模式部署配置案例 (43) 2.5高可用性配置案例 (46) 2.5.1多机同步 (46) 2.5.2双机维护 (50) 第3章基本功能配置 (55) 3.1封堵P2P应用配置案例 (55) 3.2审计用户上网行为配置案例 (59) 3.3限制下载工具的网络流量配置案例 (61) 3.4保证重要应用网络流量配置案例 (67) 3.5上网加速配置案例 (73) 3.6上网代理配置案例 (74) 3.7防共享功能配置案例 (75) 3.8无线管理配置案例 (78) 3.8.1客户网络环境与需求 (78) 3.8.2无线基本配置 (79) 3.8.3配置开放式无线网络案例 (79) 3.8.4配置企业级认证无线网络案例 (82) 第4章密码安全风险提示 (86) 4.1修改控制台登录密码 (86)