2022深信服云安全訪問服務(wù)平臺(tái)用戶手冊(cè)V3.0.1

深信服云安全訪問服務(wù)平臺(tái)SASE用戶手冊(cè)文檔版本03發(fā)布日期2022-04-19深信服云安全訪問服務(wù)平臺(tái)用戶手冊(cè)STYLEREFSANGFOR_1_標(biāo)題1前言文檔版本01（2021-06-19）注意事項(xiàng)配置好上網(wǎng)行為日志中心后保證云平臺(tái)能夠與外置日志中心服務(wù)器正常通信。用戶訪問數(shù)據(jù)中心查詢頁面的時(shí)候，需要保障用戶和服務(wù)器能相互通信。系統(tǒng)日志操作日志操作日志主要用于記錄管理員在該平臺(tái)所有操作行為，例如登陸、導(dǎo)入、導(dǎo)出、新增、編輯、下載、認(rèn)證策略、啟用、禁用等操作。支持對(duì)時(shí)間、操作對(duì)象、操作類型進(jìn)行篩選，一鍵導(dǎo)出日志等功能。策略配置策略模塊中主要包括上網(wǎng)策略、認(rèn)證策略、引流策略三大類型，您接入平臺(tái)后不僅需要安裝對(duì)應(yīng)設(shè)備或插件，更重要的是配置對(duì)應(yīng)策略，這樣才能真正管控公司的網(wǎng)絡(luò)，防范風(fēng)險(xiǎn)。互聯(lián)網(wǎng)訪問Web端審計(jì)WEB審計(jì)用于對(duì)內(nèi)網(wǎng)用戶通過設(shè)備訪問互聯(lián)網(wǎng)的行為和內(nèi)容進(jìn)行審計(jì)。例如：當(dāng)不允許運(yùn)功員工利用內(nèi)網(wǎng)訪問微博、論壇的行為，并對(duì)其進(jìn)行審計(jì)操作。配置流程：首先需要在[配置/用戶/用戶管理]配置好用戶信息，主要是配置需要審計(jì)的用戶。在[策略/上網(wǎng)行為/內(nèi)容識(shí)別]配置好SSL解密，如果不配置可能導(dǎo)致部分審計(jì)無法生效。在[策略/上網(wǎng)行為/Web端審計(jì)]配置需要審計(jì)的網(wǎng)站和應(yīng)用。操作步驟在[策略

/上網(wǎng)行為/

內(nèi)容識(shí)別]配置好SSL解密策略，如果為配置的話，需要新增一條，如新增一條SSL解密中間人解密策略，填寫策略名稱，描述信息可選，并啟用該策略。策略設(shè)置勾選SSL中間人解密，識(shí)別內(nèi)容勾選[應(yīng)用、網(wǎng)頁]選擇全部，適用范圍選擇需要解密和審計(jì)的用戶、終端、目的IP、IP段。在[策略

/上網(wǎng)行為/

Web端審計(jì)]新增一條策略，填寫策略名稱和描述信息（可選）狀態(tài)選擇啟用。審計(jì)內(nèi)容可選擇微博和論壇；文件類型選擇全部；動(dòng)作選擇審計(jì)；生效時(shí)間可選擇上班時(shí)間，適用范圍選項(xiàng)需要審計(jì)范圍的用戶、終端、目的IP和IP段，點(diǎn)擊<確定>配置完成。配置完成之后，用戶訪問微博和貼吧，客戶端會(huì)對(duì)客戶訪問的行為進(jìn)行審計(jì)和記錄訪問的日志?？稍赱分析/上網(wǎng)行為/全部行為]去查看已經(jīng)審計(jì)到員工訪問的日志行為，其中包括用戶名，類型和名稱、訪問記錄和時(shí)間等。客戶端與外設(shè)審計(jì)該策略是對(duì)U盤、移動(dòng)硬盤的外發(fā)／拷貝文件和客戶端應(yīng)用（其中包括IM審計(jì)、郵件客戶端、遠(yuǎn)程類、文件傳輸）進(jìn)行審計(jì)，未配置的內(nèi)容默認(rèn)不受審計(jì)。注意：使用引流設(shè)備的員工需下載插件并安裝至PC才能生效策略（客戶端用戶無安裝）。類別說明IM審計(jì)：通過準(zhǔn)入客戶端的方式審計(jì)內(nèi)網(wǎng)用戶的IM聊天記錄和外發(fā)附件的內(nèi)容?？蛇x微信、釘釘、QQ多種IM應(yīng)用，可根據(jù)需求單獨(dú)勾選內(nèi)容審計(jì)或附件審計(jì)。郵件客戶端僅審計(jì)發(fā)送郵件，接收郵件不支持審計(jì)。通過準(zhǔn)入客戶端的方式審計(jì)內(nèi)網(wǎng)用戶使用郵件客戶端發(fā)送郵件附件。遠(yuǎn)程類通過準(zhǔn)入客戶端的方式審計(jì)終端通過遠(yuǎn)程類軟件傳送的文件。目前包括TeamViewer、向日葵、AnyDesk、RDP四種遠(yuǎn)程類軟件可選運(yùn)維類通過準(zhǔn)入客戶端的方式審計(jì)終端通過運(yùn)維類工具發(fā)送的文件。目前包括XShell、PShell、MobaXterm、SecureCRT四種運(yùn)維工具。文件傳輸類通過準(zhǔn)入客戶端的方式審計(jì)終端通過文件傳輸類工具傳輸?shù)奈募Ｄ壳鞍╓inSCP、XFtp、FileZilla、SecrusFX四種文件傳輸工具。例如：當(dāng)某企業(yè)不允許員工對(duì)U盤外發(fā)／拷貝文件和使用遠(yuǎn)程類客戶端為了防止泄密，并對(duì)該行為進(jìn)行審計(jì)和監(jiān)控。操作步驟在[策略

/上網(wǎng)行為/

客戶端與外設(shè)審計(jì)]點(diǎn)擊新增一條策略。配置如下：策略名稱：例如防泄密描述信息：選填啟/禁用：?jiǎn)⒂脤徲?jì)對(duì)象：勾選［U盤及移動(dòng)硬盤］、［客戶端應(yīng)用］應(yīng)用類型：選擇“遠(yuǎn)程類”文件類型：選擇“全部”生效時(shí)間：選擇“全天”高級(jí)設(shè)置：保持默認(rèn)項(xiàng)，不支持準(zhǔn)入系統(tǒng)的終端允許上網(wǎng)適用范圍：選擇“全部”當(dāng)員工使用U盤和遠(yuǎn)程類的客戶端時(shí)，會(huì)被監(jiān)控和審計(jì)，可到[分析/上網(wǎng)行為/全部行為]看到員工訪問的時(shí)間和日志。Web與客戶端管控Web主要用于配置應(yīng)用可根據(jù)個(gè)性化標(biāo)簽降低工作效率、安全風(fēng)險(xiǎn)、發(fā)送電子郵件、SaaS應(yīng)用、微博和微博發(fā)帖、高帶寬消耗、和外發(fā)文件泄密風(fēng)險(xiǎn)等。以上應(yīng)用類型可以在設(shè)備聯(lián)網(wǎng)的情況下通過規(guī)則庫更新。Web文件主要又HTTP和FTP傳輸方式；郵件客戶端可根據(jù)發(fā)送郵件、接收郵件、關(guān)鍵詞、附件、限額等方式進(jìn)行設(shè)置審計(jì)。點(diǎn)擊新增策略，根據(jù)實(shí)際情況進(jìn)行填寫，以下為舉例配置說明。策略名稱：例如防泄密描述信息：選填啟/禁用：?jiǎn)⒂霉芸貎?nèi)容：根據(jù)實(shí)際需求選擇適用范圍：選擇［全部］配置完成后，可在[分析/上網(wǎng)行為/全部日志]，查看到對(duì)應(yīng)監(jiān)控審計(jì)的結(jié)果日志。外設(shè)管控該策略主要用于配置外部設(shè)備，如U盤、移動(dòng)硬盤、手機(jī)等的接入權(quán)限。例如：插入U(xiǎn)盤到受控電腦，當(dāng)您開啟外設(shè)管控策略后，您將無法從電腦中拷貝數(shù)據(jù)。未配置的內(nèi)容默認(rèn)不受管控。您可根據(jù)實(shí)際情況，選擇所需管控的設(shè)備。點(diǎn)擊新增策略，以下為舉例配置說明，您可根據(jù)實(shí)際需求進(jìn)行策略管控。策略名稱：例如U盤、移動(dòng)硬盤管控描述信息：選填啟/禁用：?jiǎn)⒂肬盤、移動(dòng)硬盤：選擇［允許］手機(jī)、平板：選擇［允許］網(wǎng)絡(luò)設(shè)備：選擇［允許］藍(lán)牙設(shè)備：選擇［允許］攝像頭：選擇［允許］打印機(jī)：選擇［允許］生效時(shí)間：選擇［全天］適用范圍：選擇［全部］配置完成后，可在[分析/上網(wǎng)行為/全部日志]，查看到對(duì)應(yīng)監(jiān)控審計(jì)的結(jié)果日志。流控策略支持查看應(yīng)用和用戶流速趨勢(shì)。支持基礎(chǔ)的流量管控，可針對(duì)單個(gè)用戶或應(yīng)用進(jìn)行流量限制。應(yīng)用場(chǎng)景適用于RT或BYOD場(chǎng)景。操作步驟1.配置流控策略a.請(qǐng)登錄云安全訪問服務(wù)平臺(tái)，點(diǎn)擊【策略】→【流控策略】，您可在此新增、刪除、啟用、禁用策略或調(diào)整策略的優(yōu)先級(jí)。b.點(diǎn)擊【新增】，選擇限制單個(gè)用戶或應(yīng)用最大帶寬，點(diǎn)擊【確定】，策略生效。我們可以通過“測(cè)速網(wǎng)”、“首頁【上網(wǎng)流量統(tǒng)計(jì)】“、“瀏覽視頻網(wǎng)站“感受流控效果。對(duì)受控員工來說，當(dāng)流控策略生效后，如管控單用戶最大帶寬為1Mb/s，這樣單個(gè)用戶最大使用帶寬為1Mb/s，如管控應(yīng)用，例如您選擇限制A、B、C三個(gè)視頻網(wǎng)站最大帶寬為10Mb/s，所有員工都可以瀏覽A、B、C三個(gè)應(yīng)用，當(dāng)達(dá)到10Mb/s時(shí)，訪問將受限，出現(xiàn)卡慢、加載中的情況。2.查看流控效果在首頁【上網(wǎng)行為】頁中可查看應(yīng)用流速趨勢(shì)和用戶流速趨勢(shì)。解密配置云安全訪問服務(wù)平臺(tái)提供解密配置，您可以通過解密配置解密SSL流量，從而實(shí)現(xiàn)更全面豐富的審計(jì)，本文介紹了解密配置的具體操作。應(yīng)用場(chǎng)景實(shí)現(xiàn)更全面豐富的審計(jì)效果，適用于RT和客戶端場(chǎng)景；如果不配置將導(dǎo)致web審計(jì)策略無法生效。為什么需要對(duì)SSL流量解密？SSL(SecureSocketsLayer)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，通過在瀏覽器和Web服務(wù)器之間構(gòu)造安全通道來進(jìn)行數(shù)據(jù)傳輸。為了保護(hù)敏感數(shù)據(jù)在傳送過程中的安全，互聯(lián)網(wǎng)超過80%的Web流量均采用SSL加密。因此，如果需要全面豐富的內(nèi)容審計(jì)，必須對(duì)加密流量進(jìn)行解密。操作步驟登錄云平臺(tái)，打開“策略>解密配置”頁面，查看使用幫助，可以了解兩種解密效果的區(qū)別和優(yōu)劣勢(shì)對(duì)比，您可以同時(shí)勾選或單獨(dú)選擇以下兩種解密方式。勾選開啟準(zhǔn)入解密選擇解密內(nèi)容為全部/自定義應(yīng)用、網(wǎng)頁，可以配置白名單，選擇不需要解密的內(nèi)容。在高級(jí)配置選擇拒絕QUIC協(xié)議，建議拒絕，以避免漏審。選擇此配置適用對(duì)象。完成準(zhǔn)入安裝配置，點(diǎn)擊后跳轉(zhuǎn)至“準(zhǔn)入與證書配置”頁面，詳情可在“準(zhǔn)入與證書配置”使用說明文檔查看。點(diǎn)擊“確定”提交，解密生效，可配置web審計(jì)策略，查看審計(jì)效果。勾選開啟證書解密選擇解密內(nèi)容，可勾選應(yīng)用網(wǎng)頁、郵件客戶端，可分別配置白名單。選擇此配置適用對(duì)象。完成證書安裝配置，點(diǎn)擊后跳轉(zhuǎn)至“準(zhǔn)入與證書配置”頁面，詳情可在“準(zhǔn)入與證書配置”使用說明文檔查看。點(diǎn)擊“確定”提交，解密生效，可配置web審計(jì)策略，查看審計(jì)效果。準(zhǔn)入與證書配置云安全訪問服務(wù)平臺(tái)提供準(zhǔn)入與證書配置，您可以在此配置準(zhǔn)入和證書的下載、安裝卸載方式等，本文介紹了配置的具體操作。應(yīng)用場(chǎng)景準(zhǔn)入配置適用于配置完準(zhǔn)入解密后，或需要單獨(dú)安裝準(zhǔn)入以實(shí)現(xiàn)客戶端、外設(shè)管控時(shí)，準(zhǔn)入的安裝；證書配置適用于配置完證書解密后，證書的安裝。操作步驟登錄云平臺(tái)，打開“準(zhǔn)入與證書配置”頁面，在右側(cè)使用幫助處，您可以了解這兩個(gè)配置的使用場(chǎng)景，使用效果。配置準(zhǔn)入插件選擇安裝方式為系統(tǒng)推送/手動(dòng)安裝，如果是系統(tǒng)安裝，則由系統(tǒng)下發(fā)到策略中所匹配到的用戶/IP，您可以預(yù)覽推送，并編輯推送內(nèi)容；如果是手動(dòng)安裝，您需要在右側(cè)下載安裝包并安裝至被管理者的電腦上。高級(jí)配置：選擇對(duì)無法運(yùn)行的終端允許上網(wǎng)/禁止上網(wǎng)；選擇是否開啟準(zhǔn)入卸載密碼。配置證書選擇證書的安裝方式為系統(tǒng)推送/手動(dòng)安裝，如果是系統(tǒng)安裝，可設(shè)置推送的范圍，并設(shè)置白名單，您可以預(yù)覽推送；如果是手動(dòng)安裝，您需要在右側(cè)下載安裝包并安裝至被管理者的電腦上?；ヂ?lián)網(wǎng)應(yīng)用庫深信服擁有強(qiáng)大的互聯(lián)網(wǎng)應(yīng)用庫，并定期更新。確保目前主流使用的網(wǎng)站、應(yīng)用等都能覆蓋，便于提升審計(jì)的精準(zhǔn)度，幫助企業(yè)防范風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)應(yīng)用庫主要用于審計(jì)或管控場(chǎng)景下。例如公司不允許員工在工作時(shí)間瀏覽新聞網(wǎng)站、購物網(wǎng)站，就從應(yīng)用庫中勾選。一般情況，配置策略時(shí)候，建議勾選[全部]。URL分類庫深信服擁有強(qiáng)大的URL分類庫，并定期更新。確保目前主流使用的網(wǎng)站、應(yīng)用等都能覆蓋，便于提升審計(jì)的精準(zhǔn)度，幫助企業(yè)防范風(fēng)險(xiǎn)。支持自定義URL的新增和刪除，內(nèi)置URL不支持刪除。點(diǎn)擊新增，可新建一個(gè)URL類別。您可根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行填寫?？蛻舳诉M(jìn)程庫客戶端進(jìn)程庫主要展示進(jìn)程庫列表，支持新增、刪除、查找進(jìn)程功能。在此配置好的進(jìn)程后，您新增“客戶引流策略”時(shí)，會(huì)需要從進(jìn)程庫中選擇進(jìn)程做引流或不引流。例如：您希望客戶端的流量都進(jìn)行引流，從而達(dá)到審計(jì)、管控目的。但對(duì)于“釘釘”這個(gè)應(yīng)用卻不想審計(jì)／管控，那么您就可以在[客戶端進(jìn)程庫]中，新增“釘釘”這個(gè)進(jìn)程。然后在配置“客戶端引流策略”時(shí)，選擇“釘釘”這個(gè)進(jìn)程不引流。點(diǎn)擊<新增>，可新建一個(gè)進(jìn)程庫，您可根據(jù)實(shí)際需求進(jìn)行填寫。通用時(shí)間計(jì)劃組時(shí)間計(jì)劃組主要用于自定義時(shí)間組。此處配置好時(shí)間組后，在下發(fā)策略時(shí)，您就能選擇某策略應(yīng)用的時(shí)間組（通俗講就是時(shí)間段）。例如：您想新建一條禁止訪問娛樂網(wǎng)站的管控策略，生效時(shí)間就是工作日全天。此處的生效時(shí)間，就是您提前在[配置/時(shí)間計(jì)劃組]中配置好的。點(diǎn)擊新增，可新建時(shí)間計(jì)劃組，您可根據(jù)實(shí)際需求進(jìn)行選擇。告警設(shè)置告警設(shè)置主要用于監(jiān)測(cè)客戶端活躍情況，不活躍客戶端可能存在卸載客戶端、賬號(hào)錯(cuò)誤等異常情況。當(dāng)您開啟告警設(shè)置后，如客戶端超過設(shè)定天數(shù)未登陸，系統(tǒng)將會(huì)在首頁進(jìn)行告警提示，幫助企業(yè)提前防范風(fēng)險(xiǎn)。下載中心您可從此處下載引流客戶端、準(zhǔn)入插件、SSL根證書等。免密安裝包功能使用指南支持客戶端靜默安裝、免密認(rèn)證，幫助客戶實(shí)現(xiàn)對(duì)終端用戶的無感知審計(jì)與管控。應(yīng)用場(chǎng)景企業(yè)需具備域控或統(tǒng)一推送BYOD的能力，例如AD域。操作步驟整體部署流程如下：下載免密安裝包→統(tǒng)一推送、安裝→終端用戶登錄域或VPN自動(dòng)接入1.1下載免密安裝包a.請(qǐng)登錄云安全訪問服務(wù)平臺(tái)，點(diǎn)擊【配置】→【客戶端下載】；b.找到免密安裝包查看對(duì)應(yīng)說明，平臺(tái)對(duì)于Windows和Mac系統(tǒng)的終端提供了不同格式的安裝包，其中MAC暫不支持準(zhǔn)入功能，您可根據(jù)實(shí)際需求進(jìn)行下載。Windows場(chǎng)景下，我們提供了exe和msi兩種格式的安裝包，如您使用AD域進(jìn)行推送，請(qǐng)點(diǎn)擊msi格式安裝包，因?yàn)锳D域推送僅支持msi格式。c.點(diǎn)擊下載，平臺(tái)將彈窗提示，您需選擇終端用戶接入云端后的顯示名（統(tǒng)一的用戶特征信息）。平臺(tái)默認(rèn)勾選MAC、計(jì)算機(jī)名，作為保障應(yīng)對(duì)AD域或SSLVPN賬號(hào)名獲取不到的場(chǎng)景。舉例說明:如您使用AD域?qū)ζ髽I(yè)員工組織結(jié)構(gòu)等進(jìn)行管控，希望終端接入平臺(tái)后，能夠在平臺(tái)看到員工用AD域賬號(hào)名上線。此時(shí)您可勾選AD域賬號(hào)名，后續(xù)員工開機(jī)登錄域賬號(hào)后，就能以域賬號(hào)名在平臺(tái)上線。如特殊情況無法獲取域賬號(hào)名時(shí)，平臺(tái)會(huì)自動(dòng)獲取MAC或計(jì)算機(jī)名上線，這樣能夠確保極端場(chǎng)景下，我們也能輕松找到是哪個(gè)員工或者哪臺(tái)電腦存在風(fēng)險(xiǎn)。1.2統(tǒng)一推送安裝請(qǐng)前往AD域進(jìn)行客戶端軟件的分發(fā)，實(shí)現(xiàn)全局靜默部署。1.3終端用戶免密接入終端用戶開機(jī)登錄AD域或VPN（目前僅支持深信服SSLVPN），將以AD域賬號(hào)名或VPN賬號(hào)名作為顯示名，自動(dòng)接入SASE平臺(tái)。接入管理身份管理用戶管理用戶管理主要用于創(chuàng)建組織結(jié)構(gòu)及用戶，管理員可在此對(duì)用戶進(jìn)行統(tǒng)一管理。點(diǎn)擊【組織結(jié)構(gòu)】右側(cè)的+（新增按鈕），可新增組織結(jié)構(gòu)。您可根據(jù)實(shí)際需求進(jìn)行填寫，點(diǎn)擊確定，完成新組的創(chuàng)建。同時(shí)，組右側(cè)需要建立對(duì)應(yīng)的用戶。點(diǎn)擊【用戶列表】中的新增，可新增用戶賬號(hào)，您可根據(jù)實(shí)際需求進(jìn)行填寫。點(diǎn)擊確定，用戶列表中就新增一個(gè)用戶賬號(hào)。用戶數(shù)量較多時(shí)，您可選擇批量導(dǎo)入功能。點(diǎn)擊下載模板，填寫好模板所需信息，再進(jìn)行導(dǎo)入。點(diǎn)擊導(dǎo)出，為確保信息安全，需進(jìn)行手機(jī)號(hào)驗(yàn)證。認(rèn)證策略該策略主要設(shè)置上網(wǎng)方式，不設(shè)置則默認(rèn)全部允許上網(wǎng)并不做認(rèn)證。當(dāng)用戶需要上網(wǎng)時(shí)，可選擇“用戶名密碼認(rèn)證”、“短信認(rèn)證”或“不需要認(rèn)證”。開啟該策略后，我們可以針對(duì)不同IP范圍選擇不同的認(rèn)證方式。例如：內(nèi)部員工可以采用“密碼認(rèn)證”方式，訪客可采用“不需要認(rèn)證”或“短信認(rèn)證”。點(diǎn)擊新增策略，以下為推薦設(shè)置，您可根據(jù)實(shí)際需求進(jìn)行填寫。策略名稱：例如員工認(rèn)證。描述信息：選填。啟/禁用：選擇［啟用］。適用范圍：輸入需認(rèn)證網(wǎng)段，例如-54。上網(wǎng)許可：選擇［允許（需認(rèn)證）］。認(rèn)證方式：選擇［賬號(hào)密碼認(rèn)證］。高級(jí)設(shè)置：選擇［認(rèn)證后跳轉(zhuǎn)至認(rèn)證結(jié)果頁面］。訪客上線組：選擇［員工組］，勾選［上線后自動(dòng)錄入該組］。單點(diǎn)登錄配置在客戶有域控能力情況下，員工電腦開機(jī)登陸域即自動(dòng)通過認(rèn)證，用戶以域身份直接上網(wǎng)，實(shí)現(xiàn)對(duì)員工上網(wǎng)的無感知審計(jì)、管控。應(yīng)用場(chǎng)景企業(yè)在網(wǎng)絡(luò)出口處采用深信服SASE引流設(shè)備，且使用AD域?qū)ζ髽I(yè)組織結(jié)構(gòu)等進(jìn)行管理。操作步驟整體部署流程如下：引流設(shè)備上架→SASE平臺(tái)下載腳本→推送腳本至終端→SASE平臺(tái)配置認(rèn)證策略→終端用戶接入1.1引流設(shè)備上架在企業(yè)網(wǎng)絡(luò)出口處完成SASE引流設(shè)備的相關(guān)部署。1.2SASE平臺(tái)下載腳本登錄云安全訪問服務(wù)平臺(tái)，點(diǎn)擊【配置】→【單點(diǎn)登錄配置】，下載腳本和配置說明。1.3推送腳本至終端通過AD域統(tǒng)一推送腳本至終端，具體操作請(qǐng)參見“單點(diǎn)登錄配置說明”。1.4配置認(rèn)證策略返回云安全訪問服務(wù)平臺(tái)，點(diǎn)擊【策略】→【認(rèn)證策略】，進(jìn)行認(rèn)證策略的配置。勾選【上網(wǎng)許可】處的【單點(diǎn)登錄】，填寫相關(guān)配置信息，點(diǎn)擊確定即可生效。終端用戶登錄AD域后，將自動(dòng)以AD域賬號(hào)身份接入到SASE平臺(tái)。1.5終端用戶接入終端用戶電腦開機(jī)登陸域即自動(dòng)通過認(rèn)證，用戶以域身份直接上網(wǎng)。用戶源配置支持同步LDAP、IDAAS用戶源信息，填寫相關(guān)配置信息，即可同步用戶源?？蛻舳私尤胍鞑呗钥蛻舳丝蓪?duì)用戶訪問的網(wǎng)站和應(yīng)用等進(jìn)行引流設(shè)置，引流對(duì)象包括目的IP、域名、進(jìn)程，或者將不引流的應(yīng)用的IP、域名或者進(jìn)程名配置排除流的策略里。(客戶端引流策略僅適用于軟件引流)。如下常用配置參考。需求場(chǎng)景客戶有一臺(tái)裝有客戶端的終端，需要向固定IP地址:23開放8080端口，且需要訪問內(nèi)網(wǎng)服務(wù)器地址，現(xiàn)在想實(shí)現(xiàn)對(duì)該終端上網(wǎng)行為的審計(jì)并且不影響對(duì)外提供的服務(wù)。操作步驟在[配置/客戶端引流]新增一條策略，策略名稱可根據(jù)需求填寫，選擇啟用狀態(tài)。2.根據(jù)場(chǎng)景需求設(shè)置策略，設(shè)置對(duì)象：勾選目的IP，地址填寫如“23”，動(dòng)作選擇不引流。生效時(shí)間選擇全部，適用范圍：選擇需要審計(jì)的客戶端，點(diǎn)擊<確定>完成配置。3.再新增一條審計(jì)該終端的上網(wǎng)行為且排除的引流策略，設(shè)置對(duì)象：勾選目的IP，地址填寫如“-55”，動(dòng)作選擇引流。勾選域名，地址填寫“”，動(dòng)作不引流。生效時(shí)間選擇全部，適用范圍：選擇需要審計(jì)的客戶端，點(diǎn)擊<確定>完成配置。4.兩個(gè)策略創(chuàng)建成功，將排除策略的優(yōu)先級(jí)調(diào)整到最高。5.當(dāng)使用客戶的用戶去訪問目的地址和內(nèi)部服務(wù)器時(shí)，不會(huì)被引流，且能正常訪問，當(dāng)用戶訪問其他網(wǎng)站和應(yīng)用時(shí)，會(huì)被審計(jì)，可在[分析/上網(wǎng)行為/

全部行為]查看到引流的行為日志?？蛻舳伺渲觅徺I了客戶端服務(wù)的才需要進(jìn)行這個(gè)模塊的配置，其中默認(rèn)選擇開啟終端防退出、防卸載、DNS引流設(shè)置。以下為推薦設(shè)置，您可根據(jù)實(shí)際需求進(jìn)行填寫。信任IP：當(dāng)您既有RT設(shè)備和BYOD時(shí)，為了防止引流沖突，需要配置信任域。已支持受信檢測(cè)的信任AC：當(dāng)IP沖突時(shí)，輸入網(wǎng)關(guān)序列號(hào)，確保正常引流。信任VPN：如您用到VPN訪問，但不希望被引流時(shí)，可輸入信任VPN，開啟后，訪問VPN，將不再引流。高級(jí)設(shè)置開啟終端防退出密碼保護(hù)：輸入設(shè)定密碼，防止終端用戶退出客戶端。開啟終端防卸載密碼保護(hù)：輸入設(shè)定密碼，防止終端用戶卸載客戶端。開啟DNS引流：防止郵件漏審，建議開啟。需配置公網(wǎng)DNS，配置非公網(wǎng)DNS將導(dǎo)致引流后DNS不可用。攔截IPv6DNS請(qǐng)求，建議開攔截，不開啟可能會(huì)出現(xiàn)漏審的情況。設(shè)備接入使用云圖授權(quán)接入SASE（適用于SDW-R）步驟1：付費(fèi)下單一線銷售在深信服訂單系統(tǒng)下單，備注：使用SASE引流功能，升級(jí)到SDW-R4.0.52版本步驟2：登錄云圖，訪問授權(quán)中心點(diǎn)擊“現(xiàn)在激活”，即可開始綁定設(shè)備步驟3：激活設(shè)備可以選擇通過訂單號(hào)或者網(wǎng)關(guān)ID添加設(shè)備。步驟4：完成添加步驟5：設(shè)備接入完成上述操作后，將對(duì)應(yīng)SD-WAN-R設(shè)備接入公網(wǎng)，即可自動(dòng)接入SASE平臺(tái)。使用接入碼接入SASE步驟1：查看/更新接入碼配置?接入管理?設(shè)備管理?引流接入碼接入設(shè)備需要使用接入碼才可以接入SASE平臺(tái)。租戶獲得該接入碼后，在設(shè)備端填寫該接入碼，即可成功接入SASE平臺(tái)。步驟2：在引流設(shè)備上填寫接入碼登錄引流設(shè)備前端，填寫接入碼并保存。步驟3：設(shè)備接入完成上述操作后，將對(duì)應(yīng)信銳設(shè)備接入公網(wǎng)，即可自動(dòng)接入SASE平臺(tái)。引流設(shè)備管理查看設(shè)備配置?接入管理?設(shè)備管理引流設(shè)備不需要用戶在SASE平臺(tái)手動(dòng)創(chuàng)建，由設(shè)備端對(duì)接成功后，SASE平臺(tái)前端自動(dòng)展示相應(yīng)設(shè)備的信息。如果有設(shè)備接入，按如下展示編輯設(shè)備模式與設(shè)備模板點(diǎn)擊設(shè)備后，可以切換模式；云端模式時(shí)，設(shè)備端會(huì)獲取云端配置的內(nèi)容，不使用設(shè)備本地的配置；本地模式時(shí)，設(shè)備端使用設(shè)備本地的配置。點(diǎn)擊設(shè)備后，可以切換模板；若引流配置模式為云端模式，則設(shè)備會(huì)按照模板的配置執(zhí)行引流功能；修改引流狀態(tài)若用戶需要修改設(shè)備的引流開關(guān)，可以在設(shè)備詳情處開啟或關(guān)閉引流。預(yù)計(jì)1分鐘內(nèi)，引流狀態(tài)會(huì)生效。修改引流節(jié)點(diǎn)設(shè)備接入后會(huì)分配默認(rèn)引流節(jié)點(diǎn)至設(shè)備端，若用戶需要修改引流節(jié)點(diǎn)，可以在設(shè)備詳情處點(diǎn)擊切換，手動(dòng)選擇POP點(diǎn)，若用戶存在私有POP節(jié)點(diǎn)，也可以自行切換至私有節(jié)點(diǎn)。刪除設(shè)備存在已經(jīng)被下架的設(shè)備時(shí)，可以在設(shè)備狀態(tài)為離線時(shí)，在SASE平臺(tái)上將對(duì)應(yīng)設(shè)備刪除。如果設(shè)備為在線狀態(tài)，則不被允許刪除。設(shè)備引流模板查看模板配置?接入管理?模板管理租戶存在默認(rèn)模板，當(dāng)設(shè)備接入時(shí)，會(huì)默認(rèn)使用默認(rèn)模板，可在引流設(shè)備管理頁切換成其他模板。新增/編輯模板點(diǎn)擊新增、編輯后，會(huì)跳轉(zhuǎn)到規(guī)則頁，此時(shí)可以編輯基礎(chǔ)匹配規(guī)則以及域名匹配規(guī)則?；A(chǔ)匹配規(guī)則是基于五元組的匹配規(guī)則，用戶可以根據(jù)自己的需要，設(shè)定需要引流或者需要排流的IP、端口、協(xié)議。域名匹配規(guī)則是基于域名的匹配規(guī)則，用戶可以根據(jù)需要，設(shè)定針對(duì)某些域名的引流或者排流。域名匹配規(guī)則的優(yōu)先級(jí)默認(rèn)高于基于匹配規(guī)則。刪除模板如果存在不需要的模板，點(diǎn)擊刪除即可。默認(rèn)模板、以及已被關(guān)聯(lián)的模板不被允許刪除。3.9個(gè)人中心在平臺(tái)右上方點(diǎn)擊【個(gè)人中心】，下拉查看選項(xiàng)。點(diǎn)擊賬號(hào)管理，可跳轉(zhuǎn)至云圖平臺(tái)，展示用戶基本信息，包括用戶名、郵箱、電話，可編輯修改賬號(hào)信息。點(diǎn)擊切換語言，可切換語言為中/英文，切換后平臺(tái)支持記憶，在下次登錄時(shí)移舊保留所選語言。點(diǎn)擊退出登錄，則注銷賬號(hào)并回到登錄頁。4.SASEVPN配置指南4.1.1連接器新增連接器使用SPA租戶登錄租戶平臺(tái)，進(jìn)入導(dǎo)航》策略配置》連接器首次進(jìn)入連接器功能頁面如下圖，點(diǎn)擊創(chuàng)建連接器彈出新增連接器輸入框，連接器名稱輸入“newcon”（名字可任?。┬略龀晒蠹纯煽吹轿覀冃略龅倪B接器“newcon”，除了連接器名稱，還有軟件版本、關(guān)聯(lián)應(yīng)用數(shù)量、操作（下載連接器、刪除）刪除連接器使用SPA租戶登錄租戶平臺(tái)，進(jìn)入導(dǎo)航》策略配置》連接器，點(diǎn)擊操作中的刪除按鈕彈出確認(rèn)刪除提示框，點(diǎn)擊“確認(rèn)”，即可完成連接器的刪除（注：如果該連接器安裝包功能將會(huì)失效，即使部署成功，也不能與平臺(tái)對(duì)接；部署連接器流程可參考2.1.3.連接器部署）。注：（1）當(dāng)連接器已關(guān)聯(lián)內(nèi)部應(yīng)用后，刪除按鈕會(huì)處于置灰狀態(tài)，無法刪除，需要先刪除所有關(guān)聯(lián)的內(nèi)網(wǎng)應(yīng)用后，才可以刪除連接器；如何查看關(guān)聯(lián)內(nèi)網(wǎng)應(yīng)用及刪除內(nèi)網(wǎng)應(yīng)用可參考步驟2.2.內(nèi)網(wǎng)應(yīng)用管理。連接器部署步驟1：下載連接器使用SPA租戶登錄租戶平臺(tái)，進(jìn)入導(dǎo)航》策略配置》連接器，選擇剛創(chuàng)建的連接器，點(diǎn)擊操作中的下載連接器等待下載完成后，將剛下載的壓縮包，導(dǎo)入提前準(zhǔn)備的服務(wù)器中注：（1）服務(wù)器版本要求：centos7.9及以上；ubuntu支持5.2.1及以上（建議ubuntu-16.04.7）；目前僅支持64位系統(tǒng)（2）服務(wù)器硬件要求：4核8G起步驟2：上傳安裝包將連接器安裝包上傳到Linux服務(wù)器，放在/home路徑下。步驟3：解壓安裝包輸入命令：cd/home輸入命令：tar-xfconnector-xxx.tar（xxx為連接器名稱）輸入命令：ls示例：步驟4：進(jìn)入安裝目錄輸入命令：cdtarget輸入命令：ls示例：步驟5：執(zhí)行安裝輸入命令：./install.sh示例：步驟6：修改配置文件輸入命令：vim/opt/sangfor/spa-connector/connector/conf/dev.toml將租戶相關(guān)配置route中/16改成/11執(zhí)行：按Esc鍵，點(diǎn)擊“:”輸入：wq保存配置后執(zhí)行：systemctlrestartconnector步驟7：安裝成功查看連接器運(yùn)行狀態(tài)，狀態(tài)為active(running)表示安裝成功。輸入命令：systemctlstatusconnector常見連接器排障方法FAQ1:如何查看連接器是否正常執(zhí)行systemctlstatusconnetor，查看狀態(tài)是否正常，顯示active（running）即為正常查看連接器日志執(zhí)行tail-100f/var/logs/spa/connector/conns.log檢查是否與CServer連接器異常，如提示getcasconfigerr；檢查域名是否能ping通FAQ2:內(nèi)網(wǎng)應(yīng)用無法訪問，連接器能抓到包但沒有回包在連接器執(zhí)行：tcpdump-isangfortun-nnehost目的IP查看提示unreachable檢查iptables；回包被iptables攔截執(zhí)行：iptables-tnat-F刪除nat表所有規(guī)則即可解決注意：注意備份手動(dòng)添加的iptables規(guī)則FAQ3:內(nèi)網(wǎng)應(yīng)用無法訪問，連接器無法抓到包檢查租戶是否開通了多個(gè)POP節(jié)點(diǎn)通過訪問百度搜索ip；查看當(dāng)前ip歸屬地，確認(rèn)當(dāng)前歸屬地的pop節(jié)點(diǎn)是否上線SPA業(yè)務(wù)FAQ4:內(nèi)部應(yīng)用域名引流失敗（1）域名引流需要手動(dòng)在sase平臺(tái)開啟DNS引流；開啟路徑：導(dǎo)航》接入管理》高級(jí)設(shè)置；找到開啟DNS引流4.2.1內(nèi)網(wǎng)應(yīng)用管理功能1：新增內(nèi)網(wǎng)應(yīng)用使用SPA租戶登錄租戶平臺(tái)，進(jìn)入導(dǎo)航》策略配置》配置》內(nèi)網(wǎng)應(yīng)用進(jìn)入內(nèi)網(wǎng)應(yīng)用配置界面，點(diǎn)擊新增彈出新增界面輸入應(yīng)用名稱：任意取名選擇分組：默認(rèn)為默認(rèn)組；如需要選擇其他分組需要手動(dòng)先創(chuàng)建分組，創(chuàng)建分組方法可以參考功能2：創(chuàng)建分組協(xié)議：支持http、https、tcp、udp協(xié)議；http協(xié)議默認(rèn)端口80、https默認(rèn)端口為443；選擇tcp和udp協(xié)議支持自定義端口號(hào)應(yīng)用地址：支持配置iP、ip端或域名；如選擇協(xié)議為tcp及udp協(xié)議，則不支持配置域名端口：一行輸入一個(gè)，最多可支持128行，支持設(shè)定端口范圍，如1-65535；（注：僅在協(xié)議選擇tcp或udp時(shí)展示）連接器：選擇我們剛創(chuàng)建的連接器即可功能2：創(chuàng)建分組點(diǎn)擊應(yīng)用組右邊“+”即可新增分組功能3：搜索內(nèi)網(wǎng)應(yīng)用支持通過選擇指定連接器或全部連接器，輸入應(yīng)用名稱或應(yīng)用地址檢索內(nèi)網(wǎng)應(yīng)用4.2.2內(nèi)網(wǎng)訪問策略功能1：添加內(nèi)網(wǎng)訪問策略使用SPA租戶登錄租戶平臺(tái)，進(jìn)入導(dǎo)航》策略配置》內(nèi)網(wǎng)訪問》