1、附件五上網(wǎng)行為管理AC-1200 KS管理文檔時(shí)間：2021.02.02創(chuàng)作：歐陽(yáng)術(shù)1 投備名稱本系統(tǒng)上網(wǎng)行為管理設(shè)備采用深信服公司生產(chǎn)的AC-1200O設(shè)備功能根據(jù)用戶提出的應(yīng)用需求，AC-1200在本系統(tǒng)中的設(shè)廿功 能是對(duì)網(wǎng)絡(luò)資淵進(jìn)行合理的分趾，并對(duì)內(nèi)部工作人員的上網(wǎng)行 為進(jìn)行觀范，以及對(duì)航火墻的功能進(jìn)行必要的補(bǔ)充。設(shè)備碩件信息3.1 AC-1200產(chǎn)品外形AC-1200產(chǎn)品外形和接口信息如圖1所示。圖1 AG1200產(chǎn)品外形和接口信息網(wǎng)絡(luò)連接與管理方式AC-1200的ETHO ( LAN ) 口通過(guò)透明網(wǎng)橋的方式與核心交換 機(jī)CISCO4506的GE3/1連接，加人本地局域網(wǎng)絡(luò)。 ETH

2、2(WAN1) 與路由器 CISCO2821,與 Internet 連接。 ETHl(DMZ)端口作為WEB管理端口連接到核心交換機(jī)的 G3/30o設(shè)備端口 IP地址分配見(jiàn)表1。本設(shè)備只提供WEB管理方式。通過(guò)網(wǎng)絡(luò)連接到WEB管理 端口，打開(kāi)測(cè)覽器，在地址欄輸入 HYPERLINK 1 1,進(jìn)人管 理頁(yè)面輸入用戶名和密碼，單擊登錄，即可進(jìn)人管理界 面，如圖2所示。表1設(shè)備端口 IP地址分配表接口IP地址描述ETHO (LAN)透明模式與核心交換G3/1連接ETH1 (DMZ)192.16& 5.41與VLAN5某端口連接（WEB管理）ETH2 (WAND192.16 &1.6與路由器G0/0/

3、0連接2 WEB登錄頁(yè)面4 配置管理4.1 WEBUI 界面登錄后看到的是WEB管理的首頁(yè)，包含左側(cè)的功能菜單欄 和右側(cè)的狀態(tài)信息顯示。如圖3所示。圖3 WEB用戶管理界面42系統(tǒng)配置系統(tǒng)趾置部分包含系統(tǒng)信息、管理員嗾戶、系統(tǒng)時(shí)卸等信 息。4.2.1系統(tǒng)信息系統(tǒng)信息包含系統(tǒng)內(nèi)的序列號(hào)和license信息，如圖4所 爪O圖4系統(tǒng)信息422管理員帳戶本系統(tǒng)內(nèi)除admin t戶外，另創(chuàng)建了一個(gè)gtyl管理員帳戶， 其權(quán)眼與admin相同。圖5所示為管理員帳戶列表。圖5管理員帳戶列表如需對(duì)管理員嗾戶進(jìn)行趾置，直接單擊藍(lán)色用戶名，如需創(chuàng) 建新管理員，單擊左上角“新增”圖標(biāo)，即可進(jìn)人刖建頁(yè)面。 4.2.3

4、系統(tǒng)時(shí)同系統(tǒng)時(shí)間設(shè)置界面如圖6所示。圖6系統(tǒng)時(shí)間設(shè)置頁(yè)面4.2.4系統(tǒng)升級(jí)如圖7列表中所顯示的，除病毒庫(kù)未購(gòu)買升級(jí)服務(wù)，網(wǎng)關(guān)補(bǔ) 丁不需購(gòu)買服務(wù)外,其他服務(wù)部在2012年4月7日到期,到時(shí) 可根據(jù)實(shí)際情況決定是否咧買。在服務(wù)期內(nèi)的項(xiàng)目已全部設(shè)置 自動(dòng)升級(jí)。7系統(tǒng)升級(jí)4.2.5全局排除地址全局排除地址列表中的服務(wù)器網(wǎng)址不受監(jiān)控和限制，如圖8所示。本次設(shè)置未啟動(dòng)該頂目，今后可根據(jù)實(shí)師應(yīng)用自行設(shè) 置。8全局排除地址4.3 H絡(luò)配置本系統(tǒng)網(wǎng)絡(luò)配置為透明方式,ETHO(LAN)和ETH2(WAN1)之間配置網(wǎng)橋Internet線路從路由器連接到WAN1 口，LAN端口連接到核心交換機(jī)的VLAN 1端口，配

5、置DMZ為管理端口，加人V LAN 5, IP地址為1c如圖9列表所示。9網(wǎng)絡(luò)配置4.4防火塔防火墻功能使用USG2220實(shí)現(xiàn)，此處不做配置。45安全防護(hù)本設(shè)備的安全肪護(hù)功能是對(duì)USG2220的部分補(bǔ)充。4.5.1防DOS攻擊DOS攻擊（拒絕服務(wù)攻擊）是通過(guò)發(fā)送大量請(qǐng)求，耗盡服 務(wù)器資源，使得合法靖求得不到響應(yīng)。本設(shè)備肪DOS攻擊設(shè)置 如圖10所示。10肪DOS攻擊設(shè)置4.5.2 KarpesARP 是一種常見(jiàn)的內(nèi)網(wǎng)病毒，中毒的客戶端不斷向內(nèi) 網(wǎng)發(fā)廣播包，嚴(yán)重影響局域網(wǎng)的通訊，甚至斷網(wǎng)。本設(shè)備肪 ARP欺騙設(shè)置如圖11所示。11肪ARP欺騙4.5.3網(wǎng)關(guān)殺毒本設(shè)備的殺毒網(wǎng)關(guān)未卿買病毒庫(kù)升級(jí)服務(wù)

6、，病毒庫(kù)為2011-03-31之前,已設(shè)置全部殺毒功能。如圖12所示。12網(wǎng)關(guān)殺毒配置4.6 1量管理461虛抑裁路配置這里的虛抓線路I!置實(shí)際就是Internet的接人線路配置。我們配置上、下行線路帶寬均為10240Kbps(10Mbps)o如圖13所爪O13虛擁線路配置4.6.2通道配置通道配置是本設(shè)備進(jìn)行網(wǎng)絡(luò)流量管理的核心內(nèi)容。通過(guò)添Jin 不同的通道，并對(duì)他們進(jìn)行網(wǎng)絡(luò)帶寬的分配，可以使符合該通 道策齡的應(yīng)用停到帶寬的保證或限制。通道配置如圖14所示。配置列表中的頂目,除上班時(shí)間流量管理是我們M添加的 項(xiàng)目，其余均為系統(tǒng)根據(jù)實(shí)際情況已制定的通道。此次配置將 全部應(yīng)用啟動(dòng)。下面已低延時(shí)保障

7、為例，說(shuō)明趾置參數(shù)。如圖15和圖16所 爪O圖15延時(shí)保障通道配置圖16低延時(shí)通道應(yīng)用范圍從圖16可以看出，本設(shè)置適用于實(shí)時(shí)性較高的應(yīng)用，如網(wǎng) 游、股票行情和交易等。、圖15可以看到，系統(tǒng)預(yù)留20%的帶 寬保證這類應(yīng)用的流量需求。實(shí)際操作中,我們添加了一個(gè)命名為上冊(cè)時(shí)間流量限制的通 道，以此為例，講解添加配置步驟。首先，單擊圖14左上角的加號(hào)“添加通道”。如圖17所 示，我們?cè)O(shè)置通道為限制通道，最大上、下行帶寬為50%,優(yōu) 先級(jí)為低，并且設(shè)置單IP資源不超11 50Kbpso在通道適用范圍中，找們?cè)O(shè)置為適用于所有應(yīng)用，適用對(duì)象 為臨時(shí)人員（自動(dòng)獲取IP地址的人員），生效時(shí)間為工作時(shí) 間，目標(biāo)I

8、P組為自動(dòng)獲取。如圖18所示。其中用戶組“臨時(shí)人員”、生效時(shí)間“工作時(shí)間（周一到 周日，9: 00-19: 00）、目標(biāo)IP組“自動(dòng)獲取都是已經(jīng)在對(duì) 象定義和用戶管理中定義好。當(dāng)帶寬資源已經(jīng)滿負(fù)荷時(shí)，系統(tǒng)將保證優(yōu)先級(jí)高的通道的帶 寬。圖17配置帶寬通道設(shè)置實(shí)例圖18通道適用范圍設(shè)置實(shí)例47用戶和上網(wǎng)策峪4.7.1上網(wǎng)策峪制定上網(wǎng)策略的目的是保證帶寬不被非公業(yè)務(wù)占用和怵助行 政規(guī)定的實(shí)施。這里通過(guò)一個(gè)示例說(shuō)明上網(wǎng)策略的配置方法。（本策略不被 啟動(dòng)）O策略目的：在上訊時(shí)IO,禁止臨時(shí)人員、綜合管理 部人員、“財(cái)務(wù)部人員、“公司領(lǐng)導(dǎo)”通過(guò)互聯(lián)網(wǎng)使用“HTTP怵議”、“QQ、 “漓寶”、“迅雷下載”

9、“P2P網(wǎng)絡(luò) 視頤O策略啟動(dòng)后結(jié)果：上述人員在周一到周日9: 00-19: 00,無(wú) 法瀏覽網(wǎng)頁(yè)，不能通11 QQ i天，無(wú)法使用迅雷下裁，無(wú)法觀 看P2P視頫。設(shè)置步驟如下：1）添加上網(wǎng)策略單擊導(dǎo)航菜單的“用戶與策略管理”上網(wǎng)策略“新增” “上網(wǎng)權(quán)限策即，如圖19所示。圖19添加上網(wǎng)策略2）配置策略名稱和信息在上網(wǎng)權(quán)限策略頁(yè)面中，輸入策略名稱亦公策略”和策略 信息“測(cè)試”，如圖20所示。圖20配置策略名稱和信息然后單擊“應(yīng)用”欄下面的顯示器圖標(biāo)，選擇要趾置的應(yīng)用。進(jìn)人圖22所顯示的畫面。選擇好應(yīng)用后，單擊確定”。22應(yīng)用選擇確定后進(jìn)入圖23所示頁(yè)面。234）配置適用組和用戶單擊圖23中的“適

10、用組和用戶”，選中需要禁止應(yīng)用的用戶組,點(diǎn)“提交”如圖24所示。圖24配置適用組和用戶至此，本策昭配置完成。4.7.2用戶管理在用戶管理部分，已經(jīng)把終端客戶按部門分組添加到系統(tǒng) 中，每個(gè)用戶與一個(gè)或幾個(gè)IP地址綁定，臺(tái)式機(jī)用戶綁定一 個(gè),筆圮本用戶綁定兩個(gè),領(lǐng)導(dǎo)綁定三個(gè)。圖25所示為組/用戶視圖，左側(cè)為用戶組列表，右側(cè)為選中 用戶組中的成員。圖25中選中的是公司領(lǐng)導(dǎo)用戶組，右側(cè)顯示的是改組 成員名單。單擊右側(cè)列表中的具體成員名稱，可以進(jìn)人該用戶的具體趾 置信息視圖。在此可以對(duì)該用戶進(jìn)行配置。配置的內(nèi)容包括用 戶屬性（圖26）和策略列表（圖27）o如圖26中設(shè)置用戶“張先龍綁定IP地址192.1

11、6800.202,圖27中設(shè)置該用戶應(yīng)用策略“亦公策略”，（該策略未啟動(dòng)）O25組/用戶視圖26用戶屬性設(shè)置 27用戶策略列表48對(duì)象定義對(duì)象定義部分包含系統(tǒng)趾置所用到的基礎(chǔ)信息的定義。其中 各種庫(kù)資渦都由系統(tǒng)自定義，并可從網(wǎng)上自動(dòng)升級(jí)。本次配置 我們定義了 IP組（圖28）和時(shí)間廿則組（圖29）兩頂內(nèi)容， 其他內(nèi)容可根據(jù)需求再iiJDo28 IP組定義29時(shí)間計(jì)劃組定義49實(shí)時(shí)狀態(tài)監(jiān)控實(shí)施狀態(tài)中包括運(yùn)行狀態(tài)、安全狀態(tài)、流量狀態(tài)、上網(wǎng)行為 監(jiān)控和在線用戶管理等功能。下面做分別介紹。4.9.1運(yùn)彳亍狀盜圖3所示的是系統(tǒng)實(shí)時(shí)運(yùn)行狀態(tài)楓覽，色含資湄信息、接口 吞吐率折線圖、應(yīng)用流量排名、用戶流量排名

12、等。此視圖內(nèi)容 可自定義。4.9.2安全狀態(tài)本項(xiàng)統(tǒng)廿安全事件列表，如圖30所示。30安全狀態(tài)監(jiān)控4.9.3浦量狀態(tài)本頂內(nèi)容包括用戶流量排名（圖31 ）、應(yīng)用流量排名（圖32）、流量管理狀態(tài)（圖33）和連接監(jiān)控（圖34）。31用戶流量排名32應(yīng)用流量排名33流量狀態(tài)管理34連接監(jiān)控4.9.4上網(wǎng)行為監(jiān)控針對(duì)各個(gè)用戶的上網(wǎng)行為的監(jiān)控功能。如圖35所示。35上網(wǎng)行為監(jiān)控4.9.5在線用戶管理本項(xiàng)功能是針對(duì)在線用戶進(jìn)行控制管理。如圖36所示。36在線用戶管理4.10 it 報(bào)表在管理頁(yè)面的任何一貢,單擊右上角的“內(nèi)置數(shù)據(jù)中心”, 將會(huì)彈岀新的頁(yè)面（圖37）,這就是內(nèi)置數(shù)據(jù)中心。在這里可 以査詢各種歷史記錄和貌廿