科技企業(yè)管理員手冊范本

管理管控員手冊

深信服智安全

SANGFORSECURfTY

深信服科技XX

修訂歷史

但1=1修訂合適的內(nèi)容簡述修訂日期修訂前版本號修訂后版本號修訂人

1完成管理管控員手冊編寫201610081.01.0Ixf

2優(yōu)化201608181.01.1marui

■版權(quán)聲明

本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等合適的內(nèi)容，除另有特別注明，

版權(quán)均屬深信服科技XX所有，受到有關產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)深信服科技XX

的書面授權(quán)許可，不得以任何方式復制或引用本文的任何片斷。

目錄

目錄.....................................................................................3

第1章前言..............................................................................5

第2章系統(tǒng)霞管控.....................................................................5

2.1設備登錄.........................................................................5

2.2頻管控員配置..................................................................7

2.2.1修改管理管控員密碼........................................................7

2.2.2創(chuàng)建二級裝管控員........................................................7

2.3系統(tǒng)基本信息配置................................................................9

2.3.1序列號....................................................................9

23.2系統(tǒng)時間................................................................10

23.3規(guī)則庫升級..............................................................10

23.4全局排除典............................................................11

2.3.5設備配置備份與恢復.......................................................11

2.3.6WEBUI選項..............................................................12

2.3.7遠程維護..................................................................12

第3章網(wǎng)絡配置.........................................................................13

3.1犍模式.......................................................................13

3.2靜態(tài)路由........................................................................17

第4章策略管理管控....................................................................18

4.1用戶認證與管理管控.............................................................18

4.1.1用戶組管理管控...........................................................18

4.1.2認證策略..................................................................19

4.1.3不需要認證...............................................................20

41.4TP/MAC綁定..........................................................22

4.1.5不允許認證...............................................................27

4.2策略管理管控...................................................................28

4.2.1購物娛樂類網(wǎng)站...........................................................28

4.2.2P2P及P2P流媒體封堵....................................................32

4.2.3外發(fā)文件圭描.............................................................35

4.2.4上網(wǎng)審計..................................................................38

4.3流量管理管控...................................................................40

4.3.1線路帶寬配置.............................................................40

4.3.2保證通道.................................................................41

4.3.3限制通道..................................................................45

4.4終端接入管理管控...............................................................50

4.4.1共享接入霞管控.........................................................50

第5章日志中心管理管控................................................................52

5.1設備系統(tǒng)日志...................................................................52

5.2日志中心配置...................................................................53

5.2.1準備工作.................................................................54

5.2.2外置日志中心安裝過程.....................................................55

5.2.3日志中心登錄..............................................................60

5.2.4同步策略骸.............................................................60

5.2.5AC同步配置..............................................................62

5.3日志中心登錄...................................................................62

53.1內(nèi)置口志中心登錄.........................................................G2

5.3.2外置日志中心登錄.......................................................63

5.4日志直詢........................................................................64

5.4.1所有行為日志.............................................................64

5.4.2網(wǎng)站訪問日志.............................................................67

5.4.3郵件收發(fā)日志.............................................................69

5.4.4發(fā)帖/發(fā)微博日志..........................................................70

5.4.5其他日志.................................................................73

5.4.6日志導出..................................................................73

5.5靦時長分析...................................................................74

5.6報表中心.......................................................................75

5.7系統(tǒng)管理管控...................................................................76

第6章VPN配置........................................................................77

6.1SangforVPN配置...............................................................77

6.2IPsecVPN配置..................................................................82

第7章技術(shù)支持.........................................................................88

第1章前言

本手冊用于講解AC常見功能操作方法，為管理管控員提供日常策略維護指導。

第2章系統(tǒng)管理管控

2.1設備登錄

首先確保本機從網(wǎng)絡可以訪問到設備管理管控IP地址然后在瀏覽器中輸入網(wǎng)關的IP及端口。

出現(xiàn)一個如下圖的安全提示：

叵9|https7/192.^^B2MP-Gt庇林館￡：號《記阻止x

此網(wǎng)站的安全證書存在問題.

此網(wǎng)站出具的安例1壞母由硒sfiflwa"獻虹》?依發(fā)的.

安仝證書例?可能0小i<i圖歐JWF?町你1中匆司砂的蚊*c

HB4關閉化閑頁,并目不刪《俄3隨諛網(wǎng)站.

9單擊ttft關閉證網(wǎng)頁.

9建愛艘此網(wǎng)站不推宿.

@i￥Ws?

點擊〈繼續(xù)瀏覽此網(wǎng)站（不推薦）〉后出現(xiàn)以下的登錄界面：

在登陸框輸入【用戶名】和【密碼】，點擊〈登錄〉按鈕即可登錄AC設備進行配置，默認情況

下的用戶名和密碼均為admin.

如果用戶密碼過于簡單,則會被檢測為弱密碼，在控制臺的處理為:登錄后檢測為弱密碼則提示修

改密碼，則會彈出如下提示：

如果提示超過15天都沒有修改則強制修改密碼.則會彈出如下提示：

弱密碼修改:

修改密碼

癖碼：

確認親密碼：

密碼說用：①

提交耽肖

2.2管理管控員配置

在【系統(tǒng)管理管控】-【系統(tǒng)配置】-【管理管控員賬戶】頁面，可修改admin管理管控員密碼、

刪除管理管控員賬號以及創(chuàng)建二級管理管控員。

2.2.1修改管理管控員密碼

管理管控員賬戶頁面找到admin管理管控員，直接點擊〈編輯〉，輸入舊密碼，并設置新密碼

即可修改admin賬號的密碼信息，

注：admin賬號只可修改密碼，不可刪除。

r??1rim1r

*

S.it理員?戶

nag：xrw

IA：*VM49nm

二_

三

——

K戶GgMEimD

AfflNEb俄艮

，gC

，MM

?￡VWV

，mM?

?WMP

，QUd!

?VFNKS

2.2.2創(chuàng)建二級管理管控員

在管理管控員賬戶頁面，點擊〈新增〉可以創(chuàng)建二級管理管控員。

設備確實管理管控員角色有兩種：

administrator:內(nèi)置的角色該角色的管理管控員自動擁有管理管控整個組織結(jié)構(gòu)的管轄范圍，

并且還能夠添加刪除管理管控員帳戶。

,mon:系統(tǒng)缺省創(chuàng)建的角色，可通過角色管理管控添加或者刪除角色，該角色可設置管理管控

員可以管理管控的組織結(jié)構(gòu)范圍。

如果選擇管理管控員角色為.mon,在〈組織結(jié)構(gòu)權(quán)限設置＞處，可以設置該管理管控員可以管

理管控的組織結(jié)構(gòu)范圍。

在〈頁面權(quán)限設置＞處，可設置該管理管控員可以查看或編輯的控制臺頁面。

2.3系統(tǒng)基本信息配置

2.3.1序列號

在【系統(tǒng)管理管控】-【系統(tǒng)配置】-【序列號】頁面，可以查看設備當前的授權(quán)信息。

AV>問：FI6H彳，假代修鐵棧丹?

參助RUtW^Mn

RAMmt；f

<',詫：5

WAS5W林R雄a：m

HM?i：：?ns*Mtt2dtx?

二?PU.itZMCtDURXVMlQ知?<rw^???n

?wwe：n

出鬲b電

，加值

■美象?技收/位用長期“Ki■升?整X4

?2坪Q9眩”兌2：XBMB5：勺?事?發(fā)：AR”lglL■Mlim?：nKn

M和售N?：e序nwera

MB1卻tfWta；

m&E■九am

HE*WttKtnrwwe勖w-

IW如電心冷：—

序列號一般在出廠時已設置好，正常使用過程中無需修改，只有當設備相關服務到期時，才需

要修改相關序列號。

2.3.2系統(tǒng)時間

【系統(tǒng)管理管控】-【系統(tǒng)配置】-【系統(tǒng)時間】用于設定SANGFOR設備的系統(tǒng)時間?？梢灾?/p>

接在界面上修改時間，也可以選挎與［時間服務器］進行時間的同步。

注：設備日志記錄的時間與系統(tǒng)時間相關，請注意確保設備系統(tǒng)時間的準確性，手動獲取本地

時間和系統(tǒng)時間會重啟設備，請勿工作時間操作。

2.3.3規(guī)則庫升級

【系統(tǒng)管理管控】-【系統(tǒng)配置】-【系統(tǒng)更新】-【規(guī)則庫升級】可以查看當前設備規(guī)則庫的最

新狀態(tài)，請確保設備管理管控IP能夠訪問互聯(lián)網(wǎng)，以便設備自動更新規(guī)則庫。

…■11

?■t序名??21KB*auHfi?作

1iMKR，F(xiàn)*1。earn，??9

□2URIK“180725888201W-2520144^05??9

0)FWTSF.LFO8P_M"MtSP_2?7S??*9

□4smpaMIMS-31UMM201t-€5-31??9

n，w**ewut?

，K?1H

?如3FT6

2.3.4全局排除地址

【系統(tǒng)管理管控】-【系統(tǒng)配置】-【全局排除地址】可設置指定用戶IP或訪問的目標服務器的

IP不受任何監(jiān)控和控制，直接放行。排除地址支持填寫IPV4地址、IPV6地址、域名。

點擊〈自定義排除地址》頁面的〈添加》，在文本框內(nèi)輸入需要排除的IP或域名即可。

2.3.5設備配置備份與恢復

【配置備份與恢復】用于將設備已有的配置下載保存，或者是將已備份的配置文件恢復到設備

中。

2.3.6WEBUI選項

【系統(tǒng)管理管控】-【系統(tǒng)配置】-【高級配置】-【W(wǎng)EBUI選項】頁面可以設置當前的頁面參

數(shù)，如默認編碼、控制登錄端口、超時時間等。

S^RO^Eji^WebUIjM

?序列阿>..b￥I版

IhA編目：G8K-

，代性能券2J設生

全JI泰??位：B/s-

）利峭

>oS?tP

安食■位道制：lOOOiBM（?$）-0

>吉■逢噴HTTPSiJBHD：443

，加入案中■圖設!！

至圖物帆，翎謝《分的一60

>ssassH

>與依復融陽SSUiE4W^.取

，證書生成

>弊州!系頁面策制自定義*1多？0）.60/卞書8過千齡不者名

>日壬中心附>swoiSH

?嘉8tt聶當甫證秘拔依：1010.10.4

D系癡溺點擊不余證力

，祇出

1!交

」用戶溫*與&理

?ma*Awv

2.3.7遠程維護

【系統(tǒng)管理管控】-【系統(tǒng)配置】-【高級配置】-【遠程維護】頁面用于設置是否允許從外網(wǎng)口

遠程登錄設備，以及自動上報未識別URL、系統(tǒng)錯誤、未知應用信息和技術(shù)支持協(xié)助。

?一口送噴集中?建信息仁不克也可以M5

伸1腐務55設歌

，啟用近衩維承D

＞的繕價?余網(wǎng)未識別UR1自幼上傳①

＞外森“1。成1!?啟網(wǎng)系統(tǒng)耀誤自均才睹i

?啟用未應用僮息自動上糧

-加A.M中筐型女置

啟用技術(shù)支壯愉的

，也口名林KU日用后白搐人①

＞證書箋戢

>SJW★胃

?&f陵式送防II文

〈啟用遠程維護〉用于設置是否允許從外網(wǎng)口遠程登錄設備，勾選此項的同時，設備的WAN口

自動開啟允許ping,平時一般建議關閉該選項。

第3章網(wǎng)絡配置

3.1部署模式

AC設備支持路由模式、網(wǎng)橋模式、旁路模式^認證模式四種部署模式。

路由模式:一般用于沒有防火墻的中小客戶。設備做為一個路由設備使用，對網(wǎng)絡改動最大，但

可以實現(xiàn)設備的所有的功能；

網(wǎng)橋模式：可以把設備視為一條帶過濾功能的網(wǎng)線使用，可不更改原有網(wǎng)絡拓撲結(jié)構(gòu)的情況下

平滑架到網(wǎng)絡中。目前在客戶中使用最多的部署模式；

旁路模式：僅做旁路審計，需要交換機做鏡像至AC。

認證模式：用戶統(tǒng)一認證上網(wǎng)，認證中心只支持單臂模式部署在網(wǎng)絡中，每分支部署一臺AC

用于上網(wǎng)管理管控，認證中心在總部,各分支AC和總部認證中心對接，實現(xiàn)統(tǒng)一認證；另一場景

一般有第三方無線控制器，認證中心和無線控制器對接，實現(xiàn)統(tǒng)一認證，出口部署AC實現(xiàn)上網(wǎng)管

控。（認證中心不能單獨部署，需要結(jié)合AC或第三方無線控制器）

本例以網(wǎng)橋模式部署為案例，配置需求及步驟如下：

需求：目前網(wǎng)絡已部署防火墻設備IP地址為/24,內(nèi)網(wǎng)三層環(huán)境，核心交換機地

址/24AC網(wǎng)橋部署在防火墻和核心交換機之間分配給AC設備的地址為,

配置步驟如下：

1.通過【系統(tǒng)管理管控】?【網(wǎng)絡配置】-【部署模式】進入配置界面，點擊〈開始配置〉，選擇

（網(wǎng)橋模式

.部署模式選擇

當前網(wǎng)關模式

o路由模式《使用防火t的關的路由功能）

廠網(wǎng)析模式《透明轉(zhuǎn)發(fā)方式，K改竟原有網(wǎng)絡結(jié)構(gòu)）

「登路模式（不改竟原有網(wǎng)絡結(jié)構(gòu)，只需在交檢機的適像口如斤數(shù)據(jù)即可，無法控制UDP應用）

2.點擊〈下一步〉，選擇網(wǎng)橋的網(wǎng)口。本案例采用ETHO和ETH2作為一對網(wǎng)橋口，ETHO作

為LAN區(qū)網(wǎng)口，ETH2作為WAN區(qū)網(wǎng)口。

網(wǎng)橋短式°

網(wǎng)口配置網(wǎng)陋置管理口出置后鈕置

用口法蟀叫義

3g區(qū)河口選事網(wǎng)格列表W”AJO

Sethi(GE)工7Ko(GEX>>2?t^(0B)

e<th3(GE)

1nM4(⑻

匕ethS(GE)

xOBGE)

”一區(qū)網(wǎng)口不引

Sethi(GE)

r4th3(GE)

reth4(GE)

eath5(GE)

^elhS(GE)

開修網(wǎng)藥料路同步（當網(wǎng)橋的一個網(wǎng):：1力態(tài)由“連接-也開”或“我開造接”，另一彳網(wǎng)口的狀強自動蚓兩航轉(zhuǎn)換，棄

理IVTfMWi個網(wǎng)口狀態(tài)冏步?通常用于行冗余網(wǎng)絡環(huán)城中通知對埃設備謝端正發(fā)生了颯或已從故園中恢復。）

亞梅巖上一步下一步

3.點擊〈下一步〉，設置AC設備的網(wǎng)橋IP:

網(wǎng)榜模式??

網(wǎng)口配25網(wǎng)格由黃管理口隨岡關田匿配置完成

同橋l(eth0v->eth2)

IP地址：格式：一行一個吸!址，IP地址與子網(wǎng)搐碼以“廣分牖，vlan格式，

如："200,200.20.1/'?'88//"

192.168.1.卦

取:聞S，費上一步下一步

4.點擊〈下一步〉，設置DMZ管理管控口的IP地址，可保持默認配置：

網(wǎng)橋模式???

網(wǎng)口配2E網(wǎng)葡陽5管理口配置同美ME酰浣成

送您管理口：ethi*

Mirx

me址：格式：一行一個me址，n■地址與子所碼以分隔，也言格式，

如：“200.20020,1/255.2552550"JR1488/200.200.20.5/255.255,2550"

0/

Oir*

?i?es上一步T->

5.點擊〈下一步〉，設置設備上網(wǎng)的網(wǎng)關和DNS:

網(wǎng)精模式????

網(wǎng)口黑舌網(wǎng)格ai舌E理口配青網(wǎng)關窗者冢置完成

0IPV4

默i炳關：

首選DNS:33

BfflDNS;8

LIPv6

“自幼故通防火IS投則

（說明：禁用WAN<->SN已有的曬,馱增被通WAN<->"向所有數(shù)據(jù)的防火18規(guī)則，史啤不珀定請勾送〉

6.點擊〈下一步〉，確認和提交配置：

網(wǎng)橋模式

網(wǎng)口隨網(wǎng)后配5E含理口H立網(wǎng)美配置比疊餐成

管物口配貨(?tM):10252252252/5552552550

自動前通防火，齦則：B用

默認網(wǎng)民：192.1681.3

首送DKS:202.96134.133

ftiiDKS:202%128.68

(ethOoethzjn

網(wǎng)橋IP列為：192.1681.3Z25S.2S5.25S.0

格接方向：?thO<->.tL2

取消恥送上一步18交

汪：點擊〈提交〉后，設備會目動重啟,重啟時間一般為1-5分鐘，請勿在_1_作時間修改設備

部署模式配置。

3.2靜態(tài)路由

如上需求，由于內(nèi)網(wǎng)三層環(huán)境，需要增加內(nèi)網(wǎng)網(wǎng)段的回包路由指向核心交換機，如內(nèi)網(wǎng)有

/24,/24等。

1.通過【系統(tǒng)管理管控】-【網(wǎng)絡配置】-【靜態(tài)路由】進入配置界面。

2.點擊〈新增〉，設置需要添加的路由目的地址、子網(wǎng)掩碼，下一跳指向核心交換機。

勢塔IPV4靜態(tài)路由X

目的地址：

子網(wǎng)摘碼：

下一跳I訓址:

接口：自動選搽接口

敲］廠取消

3.點擊（提交＞完成配置，如果有多個網(wǎng)段，可添加多條路由。

第4章策略管理管控

4.1用戶認證與管理管控

4.1.1用戶組管理管控

為了便于區(qū)分員工角色進行簧略管理管控，我們可以將上網(wǎng)用戶進行分組管理管控，【用戶認

證與管理管控】?【用戶管理管控】-【組/用戶】頁面是AC用戶組織結(jié)構(gòu)管理管控的地方。

，■攀?

，ME

?加夕?>q，/IWMIAMM

u.t

tnt-H個lh4?■*■■?■；o.￡1|戶。一<=乜），Q

T.MMIiW*±Rf5??mtl>

uiim

"Mt_W1*

MM??1t?xr?&?-93入、dr《

u”15ftr制IQM±R*HI裁twTNMig假

rji/??■???<wutRn^-

.MW

P2”$8Mt”《?討上月行為?

電UQtt。*：3?IWB<WHlRn^>?

■.TTSn<wisut作0?

在該頁面〈組織結(jié)構(gòu)〉下選擇指定組，可在該組下創(chuàng)建用戶以及用戶組，在右邊〈成員列表〉點

擊〈新增〉，選擇新增類型＜組＞

定義組名，如“市場部"，點擊提交即可，該組適用的上網(wǎng)策略，可在后面策略管理管控時指

定。

4.1.2認證策略

【認證策略】決定了某個IP/網(wǎng)段/MAC地址上計算機的認證方式。通過【認證策略】設置內(nèi)

網(wǎng)用戶的認證方式，以及新用戶添加的策略。

認證策略是從上往下逐條匹配的,可以通過頁面上的移動按鈕來調(diào)整認證策略優(yōu)先級。通過認

證策略可以為不同的網(wǎng)段配置不同的認證方式。

京中?電T0化石為嗣以戢耳

11..司0M用ttOW*<MI,導入工acgo?上3-

□MWii的磯1U初式上線城上WWMi

□1?飾號9lQ2l6eiOM4lWl6*111001不，?送01以?槽的：7aMi?,X?

□2比LgXR16110017215翔認*/??X?

□3A172161101-172161110不曾費送e哎"硝R：/??X?

10.10l?OG4/t?X?

□5-0皆碼兇1.110密磯*??X0

□?1.111王￡3etaur??X0

□7讓1.1.12MUii>09MV??X0

口?云*??二?已'誣1113?oateuv??X0

9itara0000-255255255255-fFWW不時ra證?以p體無用?：/?4

認證策略可以指定的認證方式有不需要認證、密碼認證、單點登錄、不允許認證4種，根據(jù)不

同的認證策略可實現(xiàn)不同的用戶認證需求。

4.1.3不需要認證

在認證策略頁面點擊〈新增〉

設置該策略適用的范圍后點擊〈下一步〉，適用范圍可以是IP、MAC、IP段以及子網(wǎng)。

選擇認證方式為〈不需要認證〉，繼續(xù)點擊〈下一步〉

選擇用戶以組織結(jié)構(gòu)中那個組的身份上線后點擊＜提交＞即可。

4.1.4IP/MAC綁定

二層環(huán)境

1.與不需要認證用戶設置方法相同，但e認證后處理＞方式需勾選〈自動錄入綁定關系＞-＜自

動錄入IP和MAC的綁定關系》選項

2.用戶上網(wǎng)后，在【用戶認證與管理管控】-【用戶管理管控】?UP/MAC綁定】頁面可以看

到系統(tǒng)自動綁定了終端第一次上網(wǎng)的IP和MAC信息，在該頁面可對相關信息進行添加、刪除和修

改操作。

?Aff?95人YflfM*

new3肛

三層環(huán)境

三層環(huán)境下，由于內(nèi)網(wǎng)用戶經(jīng)過三層交換機后，MAC地址會被三層交換機替換掉，因此還需

要在核心交換機上開啟SNMP服務，以支持AC跨三層環(huán)境下的IP/MAC綁定。

L在核心交換機上開啟SNMP服務。

華為交換機的配置命令：

system_view

snmp-agent.munityreadpublic;其中public為三層交換機的Community

snmp-agentsys-infoversionall;其中all表示所有版本

思科交換機的配置命令：

configterminal進入全局配置狀態(tài)

Cdprun啟用CDP

snmp-server.munitypublicro其中public為三層交換機的Community

snmp-serverenabletraps允許設備將所有類型SNMPTrap發(fā)送出去

注：三層交換機需啟用SNMP協(xié)議，AC作為SNMP客戶端通過SNMP讀取交換機，只支持

SNMPvl,v2,v2c,不支持v3。

2.在【用戶認證與管理管控】【認證高級選項】【跨三層取MAC］頁面,開啟跨三層MAC

識別功能。

導捕柒中《認證總必國用

＞磁0RHEHHAC

＞認證通噴，2用將三層皿識別

▼用戶認證與包理＞”?y用戶

/