深信服上网行为管理部署方式及功能实现配置说明.doc

深信服上网行为管理部署方式及功能实现配置说明（标化院） 设备出厂的默认IP见下表： 接口 IP地址 ETH0（LAN） 51/24 ETH1（DMZ） 52/24 ETH2（WAN1） 1/24 AC支持安全的登录，使用的是协议的标准端口登录。初始登录URL为：51dmin。 设备正常工作时POWER灯常亮，WAN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。 『』用于的工作模式，可设定为路由模式、网桥模式或旁路模式把视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用可以完全不需改变用户的网络环境，并且可以避免对用户网络造成中断的风险点击开始配置，会出现路由模式、网桥模式、旁路模式的选项，选择想要配置的网关模式是把作为一个路由设备使用，一般是把放在内网网关出口的位置，代理局域网上网；或者把放在路由器后面，再代理局域网上网点击开始配置，出现下一步下一步1．工作在路由模式时，局域网内电脑的网关都是指向的LAN口IP或指向三层交换机，三层交换机的网关再指向。上网数据由NAT或路由转发出去。 2．WAN、LAN应设置不同网段的IP。 ．网桥模式是把视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对进行一些配置即可使用。对原网关及内网用户而言，亦不知的存在，即所谓对原网关及内网用户透明。网桥模式的主要特点是：网桥模式对用户做到完全透明。运行环境1：连接到外网两条线路1、2上，运行环境2：为了加强网络的稳定性，减少单点故障，内网核心交换和路由器都采用双机方案如下所示 网桥多网口部署配置案例 客户环境和要求：如下是客户需要部署的拓扑，设备做网桥多网口模式，内网接三层交换机，内网网段有/、/两个网段。公网出口的两个防火墙分别承担流量用户的上网流量。 配置方法: 第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是51/24，在电脑上配置一个此网段的IP地址，通过51登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现下一步下一步点击开始配置，出现下一步旁路模式实现监控控制的功能的同时，可以完全不需改变用户的网络环境，并且可以避免对用户网络造成中断的风险。用于把接在交换机的镜像口或者接在HUB上，的监控与控制。这种模式对用户的网络环境完全没有影响，即使宕机也不会对用户的网络造成中断。 旁路模式部署配置案例 客户环境和需求：客户网络环境如下图所示，客户需要监控内网各个网段的上网数据，需要设备可以自动更新内置规则库，内网用户使用WEB认证，并且能够在内网随时登录设备控制台进行管理，希望通过旁路模式部署配置实现。 综合客户的需求和特殊的网络拓扑，采用如下部署方式： 因为需要设备可以上外网，同时和内网通信正常，AC设备旁路模式下，通过镜像口是不能上网的，解决办法是将设备的管理网口（DMZ口）连接到内网的交换机上，并且分配一个可以使用的IP地址，设备通过此地址完成和公网和内网的通信。同时将DMZ接到内网的交换机上。 配置方法： 第一步：先配置设备，通过默认IP登录设备。 第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现下一步1. 用户必须使用HUB或者交换机具有镜像口的情况。如果交换机没有镜像口，可以在交换机前加接HUB实现。 2.旁路模式下，的控制是通过DMZ口发送reset包实现的，因此要保证DMZ口发送的reset包都被和公网服务器收到。 ．旁路模式功能不能实现，比如VPN、DHCP等。 ．旁路模式主要起监控的作用，限制的功能没有路由模式和网桥模式那么全面。只能对TCP的连接进行限制，比如URL过滤，关键字过滤，邮件过滤等。对UDP比如P2P软件，QQ的登录等。，进入【选择应用】窗口。 第五步:在应用列表中找到p2p相关的所有应用，并勾选。 第六步:点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成p2p应用拒绝设置。 第七步:选择『适用组和用户』选项，进行策略与用户/组关联。 第八步:点击提交按钮，完成整个策略设置。 审计用户上网行为配置案例 客户需求：开启审计，记录所有内网用户上班时间访问网站的URL地址，和用户通过WEB BBS发帖，WEBMAIL邮件的内容及所有通过微博发送的内容（