上网行为管理AC-1200实际配置管理手册.doc

《上网行为管理AC-1200实际配置管理手册.doc》由会员分享，可在线阅读，更多相关《上网行为管理AC-1200实际配置管理手册.doc（21页珍藏版）》请在咨信网上搜索。

附件五 上网行为管理AC-1200配置管理文档 1. 设备名称 本系统上网行为管理设备采用深信服公司生产的AC-1200。 2. 设备功能 根据用户提出的应用需求，AC-1200在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。 3. 设备硬件信息 3.1 AC-1200产品外形 AC-1200产品外形和接口信息如图1所示。 图1 AC-1200产品外形和接口信息 网络连接与管理方式 AC-1200的ETH0（LAN）口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接，加入本地局域网络。ETH2(WAN1)口与路由器CISCO2821，与Internet连接。ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。 设备端口IP地址分配见表1。 本设备只提供WEB管理方式。通过网络连接到WEB管理端口，打开浏览器，在地址栏输入https://192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图2所示。 表1 设备端口IP地址分配表 接口 IP地址 描述 ETH0 (LAN) 透明模式 与核心交换G3/1连接 ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接（WEB管理） ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接 图2 WEB登录页面 4. 配置管理 4.1 WEBUI界面 登录后看到的是WEB管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。如图3所示。 图3 WEB用户管理界面 4.2 系统配置 系统配置部分包含系统信息、管理员帐户、系统时钟等信息。 4.2.1 系统信息 系统信息包含系统内的序列号和license信息，如图4所示。 图4 系统信息 4.2.2 管理员帐户 本系统内除admin帐户外，另创建了一个gtyl管理员帐户，其权限与admin相同。图5所示为管理员帐户列表。 图5 管理员帐户列表 如需对管理员帐户进行配置，直接单击蓝色用户名，如需创建新管理员，单击左上角“新增”图标，即可进入创建页面。 4.2.3 系统时间 系统时间设置界面如图6所示。 图6 系统时间设置页面 4.2.4 系统升级 如图7列表中所显示的，除病毒库未购买升级服务，网关补丁不需购买服务外，其他服务都在2012年4月7日到期，到时可根据实际情况决定是否购买。在服务期内的项目已全部设置自动升级。 图7 系统升级 4.2.5 全局排除地址 全局排除地址列表中的服务器网址不受监控和限制，如图8所示。本次设置未启动该项目，今后可根据实际应用自行设置。 图8 全局排除地址 4.3 网络配置 本系统网络配置为透明方式，ETH0(LAN)和ETH2(WAN1)之间配置网桥，Internet线路从路由器连接到WAN1口，LAN端口连接到核心交换机的VLAN 1端口，配置DMZ为管理端口，加入VLAN 5，IP地址为192.168.5.41。如图9列表所示。 图9 网络配置 4.4 防火墙 防火墙功能使用USG2220实现，此处不做配置。 4.5 安全防护 本设备的安全防护功能是对USG2220的部分补充。 4.5.1 防DOS攻击 DOS攻击（拒绝服务攻击）是通过发送大量请求，耗尽服务器资源，使得合法请求得不到响应。本设备防DOS攻击设置如图10所示。 图10 防DOS攻击设置 4.5.2 防ARP欺骗 ARP欺骗是一种常见的内网病毒，中毒的客户端不断向内网发广播包，严重影响局域网的通讯，甚至断网。本设备防ARP欺骗设置如图11所示。 图11 防ARP欺骗 4.5.3 网关杀毒 本设备的杀毒网关未购买病毒库升级服务，病毒库为2011-03-31之前，已设置全部杀毒功能。如图12所示。 图12 网关杀毒配置 4.6 流量管理 4.6.1 虚拟线路配置 这里的虚拟线路配置实际就是Internet的接入线路配置。我们配置上、下行线路带宽均为10240Kbps(10Mbps)。如图13所示。 图13 虚拟线路配置 4.6.2 通道配置 通道配置是本设备进行网络流量管理的核心内容。通过添加不同的通道，并对他们进行网络带宽的分配，可以使符合该通道策略的应用得到带宽的保证或限制。 通道配置如图14所示。 图14 通道配置 配置列表中的项目，除上班时间流量管理是我们这次添加的项目，其余均为系统根据实际情况已制定的通道。此次配置将全部应用启动。 下面已低延时保障为例，说明配置参数。如图15和图16所示。 图15 低延时保障通道配置 图16 低延时通道应用范围 从图16可以看出，本设置适用于实时性较高的应用，如网游、股票行情和交易等。从图15可以看到，系统预留20%的带宽保证这类应用的流量需求。 实际操作中，我们添加了一个命名为上班时间流量限制的通道，以此为例，讲解添加配置步骤。 首先，单击图14左上角的加号“添加通道”。如图17所示，我们设置通道为限制通道，最大上、下行带宽为50%，优先级为低，并且设置单IP资源不超过50Kbps。 在通道适用范围中，我们设置为适用于所有应用，适用对象为临时人员（自动获取IP地址的人员），生效时间为工作时间，目标IP组为自动获取。如图18所示。 其中用户组“临时人员”、生效时间“工作时间”（周一到周日，9：00-19：00）、目标IP组“自动获取”都是已经在对象定义和用户管理中定义好。 当带宽资源已经满负荷时，系统将保证优先级高的通道的带宽。 图17 配置带宽通道设置实例 图18 通道适用范围设置实例 4.7 用户和上网策略 4.7.1 上网策略 制定上网策略的目的是保证带宽不被非公业务占用和协助行政规定的实施。 这里通过一个示例说明上网策略的配置方法。（本策略不被启动）。 策略目的：在上班时间段，禁止“临时人员”、“综合管理部人员”、“财务部人员”、“公司领导”通过互联网使用“HTTP协议”、“QQ”、“淘宝”、“迅雷下载”“P2P网络视频”。 策略启动后结果：上述人员在周一到周日9：00-19：00，无法浏览网页，不能通过QQ聊天，无法使用迅雷下载，无法观看P2P视频。 设置步骤如下： 1) 添加上网策略 单击导航菜单的“用户与策略管理”à“上网策略”à “新增”à “上网权限策略”，如图19所示。 图19 添加上网策略 2） 配置策略名称和信息 在上网权限策略页面中，输入策略名称“办公策略”和策略信息“测试”，如图20所示。 图20 配置策略名称和信息 然后单击“应用”栏下面的显示器图标，选择要配置的应用。进入图22所显示的画面。选择好应用后，单击“确定”。 图22 应用选择 确定后进入图23所示页面。 图23 4）配置适用组和用户 单击图23中的“适用组和用户”，选中需要禁止应用的用户组，点“提交” 如图24所示。 图24 配置适用组和用户 至此，本策略配置完成。 4.7.2 用户管理 在用户管理部分，已经把终端客户按部门分组添加到系统中，每个用户与一个或几个IP地址绑定，台式机用户绑定一个，笔记本用户绑定两个，领导绑定三个。 图25所示为组/用户视图，左侧为用户组列表，右侧为选中用户组中的成员。 图25中选中的是“公司领导”用户组，右侧显示的是改组成员名单。 单击右侧列表中的具体成员名称，可以进入该用户的具体配置信息视图。在此可以对该用户进行配置。配置的内容包括用户属性（图26）和策略列表（图27）。 如图26中设置用户“张先龙”绑定IP地址192.168.100.20-192.168.100.22，图27中设置该用户应用策略“办公策略”，（该策略未启动）。 图25 组/用户视图 图26 用户属性设置 图 27 用户策略列表 4.8 对象定义 对象定义部分包含系统配置所用到的基础信息的定义。其中各种库资源都由系统自定义，并可从网上自动升级。本次配置我们定义了IP组（图28）和时间计划组（图29）两项内容，其他内容可根据需求再添加。 图28 IP组定义 图29 时间计划组定义 4.9 实时状态监控 实施状态中包括运行状态、安全状态、流量状态、上网行为监控和在线用户管理等功能。下面做分别介绍。 4.9.1 运行状态 图3所示的是系统实时运行状态概览，包含资源信息、接口吞吐率折线图、应用流量排名、用户流量排名等。此视图内容可自定义。 4.9.2 安全状态 本项统计安全事件列表，如图30所示。 图30 安全状态监控 4.9.3 流量状态 本项内容包括用户流量排名（图31）、应用流量排名（图32）、流量管理状态（图33）和连接监控（图34）。 图31 用户流量排名 图32 应用流量排名 图33 流量状态管理 图34 连接监控 4.9.4 上网行为监控 针对各个用户的上网行为的监控功能。如图35所示。 图35 上网行为监控 4.9.5 在线用户管理 本项功能是针对在线用户进行控制管理。如图36所示。 图36 在线用户管理 4.10 统计报表 在管理页面的任何一页，单击右上角的“内置数据中心”，将会弹出新的页面（图37），这就是内置数据中心。在这里可以查询各种历史记录和统计报表。 报表以表格、柱状图和饼图等形式展现。 图38所示，历史记录报表表格。 图39所示为统计报表中应用流量统计中2011年5月8日全天的各种应用的流量分布。此统计方式为饼图。 报表功能使用方便，能够提供最全面的网络资源使用数据，帮助IT管理员作出决策。本文档不做更多说明。 图37 内置数据中心首页 图38 历史记录报表 图39 应用流量统计图