资源预览内容
第1页 / 共88页
第2页 / 共88页
第3页 / 共88页
第4页 / 共88页
第5页 / 共88页
第6页 / 共88页
第7页 / 共88页
第8页 / 共88页
第9页 / 共88页
第10页 / 共88页
亲,该文档总共88页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
管理员手册深信服科技股份有限公司修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1完成管理员手册编写201610081.01.0lxf2优化201608181.01.1marui 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服科技股份有限公司所有,受到有关产权及版权法保护。任何个人、机构未经深信服科技股份有限公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。目录目录3第1章 前言5第2章 系统管理52.1 设备登录52.2 管理员配置72.2.1 修改管理员密码72.2.2 创建二级管理员72.3 系统基本信息配置92.3.1 序列号92.3.2 系统时间102.3.3 规则库升级102.3.4 全局排除地址112.3.5 设备配置备份与恢复112.3.6 WEBUI选项122.3.7 远程维护12第3章 网络配置133.1 部署模式133.2 静态路由17第4章 策略管理184.1 用户认证与管理184.1.1 用户组管理184.1.2 认证策略194.1.3 不需要认证204.1.4 IP/MAC绑定224.1.5 不允许认证274.2 策略管理284.2.1 购物娱乐类网站284.2.2 P2P及P2P流媒体封堵324.2.3 外发文件封堵354.2.4 上网审计384.3 流量管理404.3.1 线路带宽配置404.3.2 保证通道414.3.3 限制通道454.4 终端接入管理504.4.1 共享接入管理50第5章 日志中心管理525.1 设备系统日志525.2 日志中心配置535.2.1 准备工作545.2.2 外置日志中心安装过程555.2.3 日志中心登录605.2.4 同步策略设置605.2.5 AC同步配置625.3 日志中心登录625.3.1 内置日志中心登录625.3.2 外置日志中心登录635.4 日志查询645.4.1 所有行为日志645.4.2 网站访问日志675.4.3 邮件收发日志695.4.4 发帖/发微博日志705.4.5 其他日志735.4.6 日志导出735.5 流量时长分析745.6 报表中心755.7 系统管理76第6章 VPN配置776.1 Sangfor VPN配置776.2IPsec VPN配置82第7章 技术支持88第1章 前言本手册用于讲解AC常见功能操作方法,为管理员提供日常策略维护指导。第2章 系统管理2.1 设备登录首先确保本机从网络可以访问到设备管理IP地址,然后在浏览器中输入网关的IP及端口https:/192.x.x.254。出现一个如下图的安全提示:点击后出现以下的登录界面:在登陆框输入【用户名】和【密码】,点击按钮即可登录AC设备进行配置,默认情况下的用户名和密码均为admin。如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:登录后检测为弱密码则提示修改密码,则会弹出如下提示:如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示: 弱密码修改:2.2 管理员配置在【系统管理】-【系统配置】-【管理员账户】页面,可修改admin管理员密码、删除管理员账号以及创建二级管理员。2.2.1 修改管理员密码管理员账户页面找到admin管理员,直接点击,输入旧密码,并设置新密码即可修改admin账号的密码信息。注:admin账号只可修改密码,不可删除。2.2.2 创建二级管理员在管理员账户页面,点击可以创建二级管理员。设备确实管理员角色有两种:administrator:内置的角色,该角色的管理员自动拥有管理整个组织结构的管辖范围,并且还能够添加删除管理员帐户。common:系统缺省创建的角色,可通过角色管理添加或者删除角色,该角色可设置管理员可以管理的组织结构范围。如果选择管理员角色为common,在处,可以设置该管理员可以管理的组织结构范围。在处,可设置该管理员可以查看或编辑的控制台页面。2.3 系统基本信息配置2.3.1 序列号在【系统管理】-【系统配置】-【序列号】页面,可以查看设备当前的授权信息。序列号一般在出厂时已设置好,正常使用过程中无需修改,只有当设备相关服务到期时,才需要修改相关序列号。2.3.2 系统时间【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR 设备的系统时间。可以直接在界面上修改时间,也可以选择与时间服务器进行时间的同步。注:设备日志记录的时间与系统时间相关,请注意确保设备系统时间的准确性,手动获取本地时间和系统时间会重启设备,请勿工作时间操作。2.3.3 规则库升级【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态,请确保设备管理IP能够访问互联网,以便设备自动更新规则库。2.3.4 全局排除地址【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP不受任何监控和控制,直接放行。排除地址支持填写IPV4地址、IPV6地址、域名。点击页面的,在文本框内输入需要排除的IP或域名即可。2.3.5 设备配置备份与恢复【配置备份与恢复】用于将设备已有的配置下载保存,或者是将已备份的配置文件恢复到设备中。2.3.6 WEBUI选项【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数,如默认编码、控制登录端口、超时时间等。2.3.7 远程维护【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允许从外网口远程登录设备,以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。用于设置是否允许从外网口远程登录设备,勾选此项的同时,设备的WAN口自动开启允许ping,平时一般建议关闭该选项。第3章 网络配置3.1 部署模式AC设备支持路由模式、网桥模式、旁路模式和认证模式四种部署模式。路由模式:一般用于没有防火墙的中小客户。设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,可不更改原有网络拓扑结构的情况下平滑架到网络中。目前在客户中使用最多的部署模式;旁路模式:仅做旁路审计,需要交换机做镜像至AC。认证模式:用户统一认证上网,认证中心只支持单臂模式部署在网络中,每分支部署一台AC用于上网管理,认证中心在总部,各分支AC和总部认证中心对接,实现统一认证;另一场景一般有第三方无线控制器,认证中心和无线控制器对接,实现统一认证,出口部署AC实现上网管控。(认证中心不能单独部署,需要结合AC或第三方无线控制器)本例以网桥模式部署为案例,配置需求及步骤如下:需求:目前网络已部署防火墙设备IP地址为192.168.1.1/24,内网三层环境,核心交换机地址192.168.1.2/24,AC网桥部署在防火墙和核心交换机之间,分配给AC设备的地址为192.168.1.3,配置步骤如下:1.通过【系统管理】-【网络配置】-【部署模式】进入配置界面,点击,选择。2. 点击,选择网桥的网口。 本案例采用ETH0和ETH2作为一对网桥口,ETH0作为LAN区网口,ETH2作为WAN区网口。 3.点击,设置AC设备的网桥IP: 4.点击,设置DMZ管理口的IP地址,可保持默认配置:5.点击,设置设备上网的网关和DNS:6.点击,确认和提交配置:注:点击后,设备会自动重启,重启时间一般为1-5分钟,请勿在工作时间修改设备部署模式配置。3.2 静态路由如上需求,由于内网三层环境,需要增加内网网段的回包路由指向核心交换机,如内网有192.168.10.0/24、192.168.20.0/24等。1.通过【系统管理】-【网络配置】-【静态路由】进入配置界面。2.点击,设置需要添加的路由目的地址、子网掩码,下一跳指向核心交换机。3.点击完成配置,如果有多个网段,可添加多条路由。第4章 策略管理4.1 用户认证与管理4.1.1 用户组管理为了便于区分员工角色进行策略管理,我们可以将上网用户进行分组管理,【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地方。在该页面下选择指定组,可在该组下创建用户以及用户组,在右边点击,选择新增类型定义组名,如“市场部”,点击提交即可,该组适用的上网策略,可在后面策略管理时指定。4.1.2 认证策略【认证策略】决定了某个IP/网段/MAC地址上计算机的认证方式。通过【认证策略】设置内网用户的认证方式,以及新用户添加的策略。认证策略是从上往下逐条匹配的,可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。认证策略可以指定的认证方式有不需要认证、密码认证、单点登录、不允许认证4种,根据不同的认证策略可实现不同的用户认证需求。4.1.3 不需要认证在认证策略页面点击设置该策略适用的范围后点击,适用范围可以是IP、MAC、IP段以及子网。选择认证方式为,继续点击选择用户以组织结构中那个组的身份上线后点击即可。4.1.4 IP/MAC绑定二层环境1与不需要认证用户设置方法相同,但方式需勾选-选项2用户上网后,在【用户认证与管理】-【用户管理】-【IP/MAC绑定】页面可以看到系统自动绑定了终端第一次上网的IP和MAC信息,在该页面可对相关信息进行添加、删除和修改操作。三层环境三层环境下,由于内网用户经过三层交换机后,MAC地址会被三层交换机替换掉,因此还需要在核心交换机上开启SNMP服务,以支持AC跨三层环境下的IP/MAC绑定。1.在核心交换机上开启SNMP服务。华为交换机的配置命令:system_viewsnmp-agent community read public; 其中public为三层交换机的Communitysnmp-agent sys-info version all; 其中all表示所有版本思科交换机的配置命令:config terminal 进入全局配置状态Cdp run
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号