用戶(hù)手冊(cè)-sc-ac客戶(hù)端2.控制臺(tái)使用獨(dú)立管理

前 SINFORSC-AC整體架 序列 生 .........................................................................................................................2.4.1.規(guī) 防DOS.....................................................................................................ARP防 數(shù)據(jù)中心............................................................................................... DHCP配 序列 生 .......................................................................................................................3.4.1.規(guī) 防DOS...................................................................................................ARP防 數(shù)據(jù)中心............................................................................................... Copyright?2008市深信服電子科技及其者，保留一切SINFOR為市深信服電子科技的商標(biāo)。對(duì)于本手冊(cè)出現(xiàn)的其他公司的商技術(shù)支持 前1SINFORSC-ACAC設(shè)備的外觀除、配置、DHCP服務(wù)等的具體配置方法和注意事項(xiàng)。對(duì)日志的查看方法也做了相應(yīng)圖形界面格式約定<<>表示按鈕名，如點(diǎn)擊<確定>[表示窗口名、菜單名和數(shù)據(jù)表，如彈出[新增用戶(hù)]// 2.LAN 3.DMZ SINFORAC110V240V電源。在您接通電源之前，請(qǐng)保證您的電源在配置網(wǎng)關(guān)之前，您需要配備一臺(tái)電腦，然后與SINFORAC連接在同一個(gè)局域網(wǎng)內(nèi)，Power燈（綠色，電源指示燈）和Alarm燈（紅色，告）會(huì)點(diǎn)亮。大約1-2分鐘后Alarm燈熄滅，說(shuō)明網(wǎng)關(guān)正腦對(duì)AC硬件網(wǎng)關(guān)進(jìn)行配置。RJ-45以太網(wǎng)線(xiàn)將WAN1Internet接入設(shè)備相連接，如路由器、光纖收發(fā)器或ADSLModem等。安全保護(hù)，防止包括SYNFLOOD在內(nèi)的多種DOS和。

SC受控端 SC-AC中心端：是一立的硬件設(shè)備，且只有M5100、M5500兩種型號(hào)。中心端設(shè)備承擔(dān)AC受控端部分模塊的配置管理、下發(fā)等工作，負(fù)責(zé)受控端設(shè)備。SC-ACM5x00-ACSC-AC中心端，Webagent服務(wù)器：用于中心端更新公網(wǎng)地址及受控端尋址。一般用于中心端的公網(wǎng)地問(wèn)Webagnet服務(wù)器即可獲得中心端的公網(wǎng)地址。PC1：PCSC-AC因SC-AC4.0中心端只承擔(dān)了配置管理、下發(fā)以及的工作，所以如果因?yàn)榫W(wǎng)絡(luò)故AC受控端加入中心端管理后，一部分模塊需要在中心端進(jìn)行配置管理，并通過(guò)中心端章講對(duì)加入中心端的AC設(shè)備各個(gè)模塊的管理模式講做詳細(xì)的介紹?？刂婆_(tái)的使用（獨(dú)立管理SINFORSC-AC受控端設(shè)備的使用，受控端設(shè)備配置的情況分兩種，WEBUI配置界

按照前面所示方法接好線(xiàn)后，通過(guò)WEBSINFORAC硬件網(wǎng)關(guān)設(shè)備。方法首先為本機(jī)器配置一10.251.251.X網(wǎng)段的IP（如配00，然后在IE瀏覽器中輸入網(wǎng)關(guān)的默認(rèn)登陸IP及端口。出現(xiàn)一個(gè)如下圖的安全提提示，可直接點(diǎn)擊登錄界面下方的<手動(dòng)ActiveX控件>，按照提示安裝控件。在登錄框輸入[用戶(hù)名]和[]，點(diǎn)擊<登錄>按鈕即可登錄AC網(wǎng)關(guān)進(jìn)行配置，默認(rèn)情況下的用戶(hù)名和均為Admin。一般開(kāi)機(jī)后1-2分鐘將自動(dòng)熄滅。運(yùn)行過(guò)有時(shí)會(huì)閃爍，說(shuō)明有告警產(chǎn)生。置，重新登錄AC網(wǎng)關(guān)控制臺(tái)即可。[網(wǎng)口配置]、[系統(tǒng)日期和時(shí)間]、[控制臺(tái)用戶(hù)管理]、[WEBUI配置]、[配置備份與恢復(fù)]、[重網(wǎng)關(guān)運(yùn)行狀態(tài)[會(huì)話(huà)數(shù)]、[網(wǎng)絡(luò)狀態(tài)]等，還可以[查看會(huì)話(huà)]、[查看流量]、[查看連接]、[如果點(diǎn)擊[查看會(huì)話(huà)]，那么可以看到通過(guò)AC硬件網(wǎng)關(guān)的情況，并可以看到具體IP所連接的會(huì)話(huà)數(shù)量。具體請(qǐng)參見(jiàn)[上網(wǎng)行為審計(jì)/實(shí)時(shí)日志查看/會(huì)話(huà)]如果點(diǎn)擊[查看流量]，則可以看到當(dāng)前上行流量和下行流量的前十名情況，并IP屬于哪個(gè)組，上行和下行的具體流量是多少，具體應(yīng)用是什么。點(diǎn)擊獲取機(jī)器名下的<獲取>IP對(duì)應(yīng)的機(jī)器名。具體請(qǐng)參見(jiàn)[上網(wǎng)行為審計(jì)/實(shí)時(shí)日志查看/流量]如果想斷開(kāi)這個(gè)IP的某個(gè)連接，在<選中>勾選，點(diǎn)擊[斷開(kāi)連接]即可。具體配置參見(jiàn)[上網(wǎng)行為審計(jì)/實(shí)時(shí)日志查看/連接]IP的登錄時(shí)間和時(shí)間，并可以在這個(gè)頁(yè)面<強(qiáng)制注銷(xiāo)>用戶(hù)，或者是<凍結(jié)上網(wǎng)>，具體網(wǎng)關(guān)安全狀態(tài)[網(wǎng)關(guān)安全狀態(tài)]顯示的是AC硬件網(wǎng)關(guān)一些方面的統(tǒng)計(jì)信息，包括郵件、文件、DOS或者ARP告警等信息。界面如下圖所示：序列號(hào)級(jí)序列號(hào)，多功能等，不同的序列號(hào)對(duì)應(yīng)著不同線(xiàn)路數(shù)量和，[網(wǎng)關(guān)殺毒授權(quán)]、[應(yīng)用識(shí)別/URL庫(kù)升級(jí)序列號(hào)]和[多功能]為可選模塊。[網(wǎng)關(guān)殺毒]用于激活殺毒模塊的庫(kù)升級(jí)。點(diǎn)擊<激活多功能>，填入序列號(hào)，即理數(shù)據(jù)中心。[應(yīng)用識(shí)別/URL庫(kù)升級(jí)序列號(hào)]URL，應(yīng)用識(shí)別等庫(kù)的更新有效期。網(wǎng)關(guān)模式配置路由模LAN口配置802.1Q－VLAN地址后，LAN口可以接支持VLAN的2層交換機(jī)的TRUNK口，AC可以在VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)（單臂路由，并可做LAN<->LAN方向的規(guī)則，即可以控制不同VLAN－ID之間的控制。網(wǎng)橋模AACBR2ABDC [網(wǎng)口選擇和定義]應(yīng)用于選擇多網(wǎng)口。[LAN區(qū)網(wǎng)口列表]中選擇的網(wǎng)口接內(nèi)網(wǎng)，[WAN向原有網(wǎng)關(guān)即可（即指向前置設(shè)備的內(nèi)網(wǎng)接口IP。AC硬件網(wǎng)關(guān)工作在網(wǎng)橋模式時(shí)，必須保證原有上網(wǎng)數(shù)據(jù)必須AC，即不能存在內(nèi)網(wǎng)用戶(hù)可繞過(guò)AC硬件設(shè)備，到達(dá)原有網(wǎng)關(guān)的物理線(xiàn)路。AC硬件網(wǎng)關(guān)工作在網(wǎng)橋模式時(shí)，數(shù)據(jù)時(shí)要保證WAN區(qū)接前置的路由設(shè)備，LANAC硬件網(wǎng)關(guān)的網(wǎng)橋模式是在數(shù)據(jù)鏈路層（OSI第二層）上實(shí)現(xiàn)的透明，是通過(guò)把AC的及DHCP等需要第二層數(shù)據(jù)的功能能正常使用。庫(kù)等，則需配置網(wǎng)橋IP，默認(rèn)網(wǎng)關(guān)和DNS，AC本身（可通過(guò)升級(jí)控制臺(tái)工具測(cè)試。WEBAC如果二層交換機(jī)上PC有多個(gè)網(wǎng)段（非VLAN）IP。AC如啟用殺毒，郵件過(guò)濾，準(zhǔn)入規(guī)則和WEB認(rèn)證等需要重定向到AC上的功能時(shí)要把這幾個(gè)網(wǎng)段的IP也配置到[網(wǎng)橋模式/多IP綁定]里。網(wǎng)橋模式時(shí)，AC網(wǎng)橋支持VLANTRUNK，網(wǎng)橋的IP地址支持802.1Q-VLAN的地址。即AC網(wǎng)關(guān)可以透明接在VLANTRUNK的主干道上。在[網(wǎng)關(guān)運(yùn)行模式/網(wǎng)橋模式/VLAN配置]可以設(shè)置網(wǎng)橋模式支持VLANTRUNK。配置界面如下圖所示：在這里填入[VID]VLANIP地址和掩碼，點(diǎn)擊<添加>。如啟用殺毒，郵件過(guò)濾，IP也可以。旁路模ACACHUB上，對(duì)這里配置的[IP地址]為管理網(wǎng)口（DMZ口）IP地址配置，要使能用控制臺(tái)或者升級(jí)口上。點(diǎn)擊<下一步>，填入要的網(wǎng)段。由于旁路時(shí)只需一根網(wǎng)線(xiàn)把AC的LAN口或WAN1口接在HUB或者交換機(jī)的鏡像口上，AC并不知道哪些屬于內(nèi)網(wǎng)的地址，因此在[網(wǎng)段列表]里面出現(xiàn)的地址，AC就認(rèn)為是內(nèi)網(wǎng)地址進(jìn)行記錄，不在該列表的地址則再點(diǎn)擊<下一步>進(jìn)行[IP地址配置]。[IP地址列表]主要是當(dāng)一個(gè)地址本來(lái)屬址列表]里面，即[排除IP地址列表]里面的地址不做記錄?？梢栽诮粨Q機(jī)前加接HUB實(shí)現(xiàn)。旁路模式下，TCP的控制是通過(guò)DMZ口發(fā)送reset包實(shí)現(xiàn)的，因此要保證DMZ口發(fā)送的reset包都能被PC和公網(wǎng)服務(wù)器收到。旁路模式主要起的作用，限制的功能沒(méi)有路由模式和網(wǎng)橋模式那么全面。只能對(duì)TCP的連接進(jìn)行限制，比如URL過(guò)濾，關(guān)鍵字過(guò)濾，郵件過(guò)濾等。對(duì)UDP的沒(méi)法限制，比如P2P軟件，QQ的登錄等。[LAN口基本信息]LANIPIP地址，這里可以添加需要綁定的IP，點(diǎn)擊<下一步>，[啟用VLAN]選擇<啟用>或<禁用>，如內(nèi)網(wǎng)的交換AC直接相連的接口啟用了TrunkLAN口配上各個(gè)VLANIPVLANID。LAN802.1Q-VLAN地址后，LAN口可以接支持VLAN2TRUNK墻規(guī)則，即可以控制VLAN之間的控制?？捎糜诩嫒軻LAN（802.1Q）下的網(wǎng)絡(luò)環(huán)境。[WAN口基本信息]下配置線(xiàn)路的上網(wǎng)方式。如果有多條線(xiàn)路，則在WAN2口進(jìn)行[接口與多線(xiàn)路配置信息]下配置DLAN的內(nèi)網(wǎng)接口、掩碼和多條線(xiàn)路的帶寬分配策略。DLAN的子網(wǎng)掩碼用于設(shè)定內(nèi)網(wǎng)中需要與網(wǎng)絡(luò)互聯(lián)的網(wǎng)絡(luò)范圍，一般要求和內(nèi)網(wǎng)子網(wǎng)掩碼一致，如果LAN中還有其他VLAN或DDN網(wǎng)絡(luò)需要與網(wǎng)絡(luò)互聯(lián)，而又不方便設(shè)置多子網(wǎng)，可以修改DLAN的子網(wǎng)掩碼，將其他VLAN或DDN網(wǎng)絡(luò)包含進(jìn)來(lái)。 系統(tǒng)日期和時(shí)間則修改AC硬件網(wǎng)關(guān)的系統(tǒng)時(shí)間為控制臺(tái)登錄所在計(jì)算機(jī)的時(shí)間?？刂婆_(tái)用戶(hù)管理權(quán)限設(shè)置分[組織管理]、[系統(tǒng)配置]、[對(duì)象配置]、[]、[上網(wǎng)行為管理]、[流量管擴(kuò)展]、[DHCP服務(wù)]。列出AC中的組織結(jié)構(gòu)，選擇可以管理的組即可。 WEBUI[默認(rèn)編碼設(shè)置]可以設(shè)置當(dāng)?shù)降臄?shù)據(jù)遇到無(wú)法辨別的編碼時(shí)，默認(rèn)以哪種編碼配置備份與恢復(fù)[自動(dòng)升級(jí)]用于對(duì)[庫(kù)]、[URL庫(kù)]、[網(wǎng)關(guān)Fireware]、[應(yīng)用識(shí)別庫(kù)]、[準(zhǔn)入規(guī)則庫(kù)相應(yīng)規(guī)則，可以在[服務(wù)器]配置處設(shè)置<HTTP>的相關(guān)配置項(xiàng)。需要填寫(xiě)服務(wù)為了保證升級(jí)的速度，可通過(guò)[服務(wù)器選擇]AC上策略路由設(shè)置SINFORAC硬件網(wǎng)關(guān)提供的[策略路由設(shè)置]AC硬件網(wǎng)關(guān)具有多條外種方式設(shè)定源/目的IP：<所有IP地址>、<單個(gè)IP地址>、<IP地址范圍>、<子網(wǎng)>。這里假設(shè)電信的地址段都在/20，所以設(shè)定目標(biāo)IP地址系統(tǒng)路由設(shè)置當(dāng)企業(yè)內(nèi)網(wǎng)有多個(gè)網(wǎng)段，且這些內(nèi)網(wǎng)網(wǎng)段都想通過(guò)SINFORAC硬件網(wǎng)關(guān)共享上網(wǎng)時(shí)，需要添加[系統(tǒng)路由]AC硬件網(wǎng)關(guān)把不同網(wǎng)段電腦的數(shù)據(jù)包正確回給的內(nèi)網(wǎng)交換路10.251.251.X192.168.2.X，兩個(gè)網(wǎng)段通過(guò)三層交換機(jī)互連互通，各網(wǎng)段內(nèi)電腦網(wǎng)關(guān)指向三層交換機(jī)各自網(wǎng)段的網(wǎng)關(guān)，AC硬件網(wǎng)關(guān)的10.251.251.X和192.168.2.X網(wǎng)段都想通過(guò)AC硬件網(wǎng)關(guān)作為公網(wǎng)出口，共享上網(wǎng)。192.168.2.XACLAN口（51）不在同一網(wǎng)段，則AC硬件網(wǎng)關(guān)需要添加[系統(tǒng)路由]，以把192.168.2.X的數(shù)據(jù)包發(fā)回給內(nèi)網(wǎng)三層交換機(jī)53來(lái)處理，最終才能回到192.168.2.X網(wǎng)段的電腦上。配置如下：火墻/NAT規(guī)則設(shè)置/網(wǎng)段配置][數(shù)據(jù)加密密鑰]：如果中心端設(shè)置了WebAgent尋址加密，設(shè)置了加密密鑰，則此處也生應(yīng)用識(shí)別規(guī)則設(shè)置BT、Emule等軟件會(huì)占用網(wǎng)絡(luò)大量的帶寬資源，QQ、MSN和炒股軟件等即時(shí)通P2P等流量?jī)?nèi)容。應(yīng)用識(shí)別規(guī)則分為內(nèi)置規(guī)則和自定義規(guī)部網(wǎng)絡(luò)通訊時(shí)，它所發(fā)送的數(shù)據(jù)包都會(huì)有固定的特征值，AC硬件網(wǎng)關(guān)通過(guò)檢測(cè)數(shù)據(jù)包中的P2P、IM等軟件的特征值定義，用戶(hù)也可以詢(xún)問(wèn)深信服技術(shù)支持申如要導(dǎo)入，在設(shè)置界面點(diǎn)擊<瀏覽>選擇并<打開(kāi)>需要導(dǎo)入的規(guī)則（*.ccf為后綴的規(guī)則智能識(shí)別規(guī)則設(shè)置[智能識(shí)別規(guī)則設(shè)置]P2Pskype行為智能識(shí)別加密skype數(shù)據(jù)，SSL的識(shí)別，SINFOR數(shù)據(jù)的識(shí)別。配置界面被識(shí)別，加密等形式的P2P數(shù)據(jù)就會(huì)不識(shí)別。3．[智能識(shí)別規(guī)則設(shè)置/SSL/SSL]是對(duì)SSL協(xié)議的識(shí)別，通過(guò)這條規(guī)則檢測(cè)SSL的根，如果這條規(guī)則不啟用，后續(xù)[上網(wǎng)行為管理/上網(wǎng)策略對(duì)象/網(wǎng)頁(yè)過(guò)濾/SSL控制]的設(shè)網(wǎng)絡(luò)服務(wù)設(shè)置//

/后在 規(guī)則]中根據(jù)已定義了的服務(wù)來(lái)確定過(guò)濾規(guī)則或在[上網(wǎng)行為管理/IP也可以是公網(wǎng)的某些IP范圍，或者全部IP。/[IP組設(shè)置]一般和 /IP等?；蛘吲浜蟍上網(wǎng)行為管理/組織結(jié)構(gòu)/用戶(hù)屬性/IPMAC/IP/IP組義目標(biāo)IP。時(shí)間計(jì)劃設(shè)置/ /URLURL組可以用于[上網(wǎng)行為管理/上網(wǎng)策略對(duì)象/網(wǎng)頁(yè)過(guò)濾/URL過(guò)濾]選擇URL庫(kù)文件，點(diǎn)擊<上傳>導(dǎo)入即可。在<URL查詢(xún)>里輸入一個(gè)可用于查詢(xún)這個(gè)URL是否屬于內(nèi)置的某個(gè)組里， *作為通配符只能放在URL的最前面，*最多能匹配的一級(jí)（比如* 用于匹配 ，不能匹配 需用 關(guān)鍵字組設(shè)置文件類(lèi)型組設(shè)置策略對(duì)象/網(wǎng)頁(yè)過(guò)濾/文件類(lèi)型]中，限制文件HTTP和FTP的上傳和，也可用于[流量管準(zhǔn)入規(guī)則設(shè)置[手動(dòng)更新內(nèi)置規(guī)則]可以手動(dòng)<上傳>導(dǎo)出的文件是.conf格式的。[規(guī)則導(dǎo)入]就是把后綴為.conf的規(guī)則文件再<導(dǎo)入>設(shè)備。<操作系統(tǒng)>AC硬件網(wǎng)關(guān)上網(wǎng)的電腦的操作系統(tǒng)版本。例如公司W(wǎng)indowsXP系統(tǒng)，為了避免內(nèi)網(wǎng)用戶(hù)由于未打WindowsXP的SP2補(bǔ)丁而染的風(fēng)險(xiǎn)，現(xiàn)做如下設(shè)置：對(duì)所有通過(guò)AC網(wǎng)SP2補(bǔ)丁，未打補(bǔ)丁的用戶(hù)不允許連接互聯(lián)網(wǎng)，配置界面如下圖輸入[規(guī)則類(lèi)型]，可以選擇下拉菜單里的規(guī)則類(lèi)型，也可以直接在框內(nèi)輸入<進(jìn)程>AC硬件網(wǎng)關(guān)上網(wǎng)的電腦上的進(jìn)程。<新增>一個(gè)進(jìn)程的準(zhǔn)入規(guī)用戶(hù)正在運(yùn)行>或<用戶(hù)沒(méi)有運(yùn)行>此進(jìn)程，選擇進(jìn)程的<MD5>以及<文件大小>，并對(duì)況下，可檢測(cè)系統(tǒng)下是否存在特定的文件的時(shí)候。比如要判斷系統(tǒng)是否存在某個(gè)dll文件，來(lái)確定用戶(hù)機(jī)器是否安裝了特定的軟件。在此輸入準(zhǔn)入[規(guī)則類(lèi)型]、[規(guī)則名稱(chēng)]、[規(guī)則描述]，選擇此文件<PC存在>或<用 ，一般為C:\WINDOWS或者C:\WINNT ：//C:\sand//C:\Program<其它>：用于實(shí)現(xiàn)跨三層交換機(jī)的IP-MAC綁定和限制客戶(hù)機(jī)不以管理員登錄客戶(hù)機(jī)上網(wǎng)（避免。個(gè)選項(xiàng)前打勾就能實(shí)現(xiàn)客戶(hù)機(jī)以管理員登錄PC上網(wǎng)。設(shè)備，MAC）的環(huán)境下。除應(yīng)用準(zhǔn)入規(guī)則外，還要在[上網(wǎng)行為管理/組織結(jié)構(gòu)/新增IPMAC認(rèn)證用戶(hù)]里做好IP-MAC綁定的設(shè)置。（具體可參見(jiàn)后面章節(jié)關(guān)于[上網(wǎng)行為管理/組織結(jié)構(gòu)/新增IPMAC認(rèn)證用戶(hù)]的部分）SSL庫(kù)管[可信任根列表]和[上網(wǎng)行為管理/上網(wǎng)策略對(duì)象/網(wǎng)頁(yè)過(guò)濾/SSL控制]對(duì)應(yīng)，如果啟檢查異同是根據(jù)MD5值來(lái)判斷的，如果MD5值不一樣那么就判斷為不同.1.規(guī)[規(guī)則]是中對(duì)數(shù)據(jù)包進(jìn)行具體設(shè)置的地方，AC硬件網(wǎng)關(guān)提LAN<-LANDMZ口之間互訪(fǎng)的規(guī)則，可以開(kāi)放使用某種協(xié)議的所有服例如我們想要使LAN與DMZ口之間完全互通并且能夠使用命令進(jìn)試，那[LAN->DMZ]TCP，UDP，ICMP，但是規(guī)則是沒(méi)有啟用的，規(guī)則狀態(tài)為DMZ<-[LAN<->DMZ]設(shè)置。缺省界面如WAN<-果要讓的IP局域網(wǎng)內(nèi)的某個(gè)IP則要開(kāi)通相應(yīng)的的過(guò)濾規(guī)則。LAN<-LAN1口（LAN口）LAN2口（由閑置的WAN2切換成的）的所有服務(wù)也可是自己所定義的某個(gè)特定的服務(wù)。配置方法請(qǐng)參照[LAN<->DMZ]設(shè)置。缺DMZ<-DMZIP間的互訪(fǎng)規(guī)則，可以開(kāi)放使用某種NAT.網(wǎng)段設(shè)例如：要建立一條局域網(wǎng)內(nèi)所有人上網(wǎng)的規(guī)則，假設(shè)局域網(wǎng)IP地址為選擇好[接口]，即輸出網(wǎng)口或直接選擇<應(yīng)用于所有WAN口>，即輸出到所有可用圍（只在要指定到某段目的IP通過(guò)某條線(xiàn)網(wǎng)等特殊應(yīng)用時(shí)才填寫(xiě)該項(xiàng)一般選擇<使指定IP段時(shí)才進(jìn)行源地址轉(zhuǎn)換。端口映射設(shè)置Internet提供服務(wù)，那么就需要在網(wǎng)關(guān)上進(jìn)行[端口映射設(shè)置]。SINFORAC硬件網(wǎng)關(guān)也提供了這樣的功能。設(shè)置界面如下：例如，現(xiàn)在內(nèi)網(wǎng)有一臺(tái)IP為1的電腦要對(duì)提供WEB服務(wù)，所使用的端口為80，那么我們的步驟為：[接口]指輸入的網(wǎng)口。[協(xié)議轉(zhuǎn)換條件]可選擇<所有協(xié)議>，或<指定協(xié)議類(lèi)型>為T(mén)CP，[源端口]0（代表所有端口）[目標(biāo)端口]：從80到80。[轉(zhuǎn)換目標(biāo)IP地址為]<指定IP地址>：1，[轉(zhuǎn)換目標(biāo)端口為]：從80到80。[IP地址轉(zhuǎn)換條件]一般是選<所有IP地址>，可以IP為<指定網(wǎng)段IP地址>[目標(biāo)IP地址轉(zhuǎn)換條件]一般是選擇<指定網(wǎng)絡(luò)接口地址>，如果接口有多個(gè)IP，也可以選擇<指定目標(biāo)地址網(wǎng)段>指定一個(gè)或一段IP映射到內(nèi)網(wǎng)。 在[/規(guī)則/WAN<->LAN]中<新增>一條允許從任意IP本地DOSDOS（服務(wù)，通常是以消耗服務(wù)器端資源、迫使服務(wù)停止響應(yīng)為目標(biāo)，應(yīng)答，以實(shí)現(xiàn)其目的。SINFORAC網(wǎng)關(guān)的防DOS功能即可以防止對(duì)內(nèi)網(wǎng)的DOS，也可以?xún)?nèi)網(wǎng)的機(jī)器或使用工具發(fā)起的DOS。AC設(shè)備會(huì)通過(guò)IP或者M(jìn)AC來(lái)判斷者。[內(nèi)網(wǎng)網(wǎng)段列表]：內(nèi)網(wǎng)網(wǎng)段列表是指通過(guò)SINFORAC網(wǎng)關(guān)上網(wǎng)的內(nèi)網(wǎng)網(wǎng)段，如果IPAC的數(shù)據(jù)包都會(huì)被拋棄處AC網(wǎng)關(guān)上網(wǎng)也不能通過(guò)LAN和DMZAC設(shè)備（如果該項(xiàng)設(shè)置WAN口登入。該列表可以不設(shè)置，設(shè)置該列表可以更好地幫助SINFORAC網(wǎng)關(guān)抵御DOS，例如的IP。NAT）ACLANDMZ口不在同一網(wǎng)段的電腦經(jīng)過(guò)路MACMACAC設(shè)備一個(gè)網(wǎng)段的MAC地址了?？稍诖颂幪钊肼酚善鳎ɑ蛉龑咏粨Q機(jī)）ACIP [每臺(tái)主機(jī)在一秒鐘內(nèi)可發(fā)送的最大包次數(shù)（包種類(lèi)包括SYN、ICMP包以及送的最大SYN和ICMP包及TCP、UDP的所有小包包的數(shù)量。如超過(guò)設(shè)定的數(shù)值則把該IP或MAC指定的時(shí)間（時(shí)間的設(shè)置見(jiàn)本小節(jié)。[檢測(cè)到以后對(duì)主機(jī)的時(shí)間（分鐘）]：設(shè)置AC網(wǎng)關(guān)檢測(cè)到以后對(duì)攻2．[內(nèi)網(wǎng)網(wǎng)段列表]建議設(shè)置，這樣可以抵御IP發(fā)起的。如果添加[內(nèi)網(wǎng)網(wǎng)段列表]，務(wù)必把所有內(nèi)網(wǎng)的網(wǎng)段都添加進(jìn)去，沒(méi)有在[內(nèi)網(wǎng)網(wǎng)段列表]里的IP發(fā)到AC或經(jīng)過(guò)AC的數(shù)據(jù)會(huì)被AC丟棄。如果內(nèi)網(wǎng)有路由器或三層交換機(jī)，務(wù)必把路由設(shè)備和AC直接相連的網(wǎng)口的IP添加[內(nèi)網(wǎng)路由器列表]里，這樣可以把這個(gè)網(wǎng)口的MAC地址排除在防DOS之外，避免被。一般如果WAN口這端有或路由器，也要把這個(gè)路由設(shè)備的網(wǎng)口地址也加到[內(nèi)網(wǎng)路由由于迅雷的發(fā)起連接很大，具有某些DOS的特征，可能會(huì)導(dǎo)致防DOS把使用為[每個(gè)IP地址在一分鐘內(nèi)可發(fā)起的最大TCP連接數(shù)]調(diào)為1024，[每臺(tái)主機(jī)在一秒鐘內(nèi)可發(fā)送的最大包次數(shù)]調(diào)為512。ARP防[ARP設(shè)置]PCAC的接口，那就需要在這里設(shè)置，比如AC使用網(wǎng)橋模式，內(nèi)網(wǎng)PC的網(wǎng)關(guān)地址應(yīng)該是前面的路由器（或）接口地址，這時(shí)AC那獲取正確的網(wǎng)關(guān)IP/MACPC機(jī)上網(wǎng)關(guān)的IP/MAC對(duì)應(yīng)是準(zhǔn)確的。議設(shè)成10秒。除后，可通過(guò)該按鈕迅速的恢復(fù)內(nèi)網(wǎng)PC的ARP表。上網(wǎng)行為管上網(wǎng)策略對(duì)象象可以被用戶(hù)或用戶(hù)組，用于上網(wǎng)行為的控制和。設(shè)置界面如下圖所示：新增上網(wǎng)策略對(duì)象編輯上網(wǎng)策略對(duì)象 上網(wǎng)權(quán)為了方便網(wǎng)絡(luò)管理人員對(duì)內(nèi)部局域網(wǎng)用戶(hù)的上網(wǎng)行為做出限制，SINFORAC硬件網(wǎng)關(guān)提供了基于數(shù)據(jù)包內(nèi)容檢測(cè)來(lái)對(duì)具體應(yīng)用服務(wù)的控制，也提供了根據(jù)目的IP、協(xié)議端口、應(yīng)用服務(wù)控制一條[應(yīng)用服務(wù)控制]規(guī)則的設(shè)置。例如限制內(nèi)網(wǎng)只能基于HTTP協(xié)議的應(yīng)用，即把所有HTTP的應(yīng)用和DNS應(yīng)用允許即可（應(yīng)用類(lèi)型、應(yīng)用名稱(chēng)、規(guī)則名稱(chēng)的定義，請(qǐng)參見(jiàn)前面網(wǎng)絡(luò)服務(wù)控制選擇[IP組]、[服務(wù)]、[時(shí)間]和[動(dòng)作]后點(diǎn)擊<確認(rèn)新增>即完成一條[網(wǎng)絡(luò)服務(wù)控制]HTTP高級(jí)配置去掉勾選<允許該組用戶(hù)使用HTTP>和<允許該組用戶(hù)使用SOCK4、SOCK5代去掉勾選<允許在HTTP協(xié)議和SSL協(xié)議標(biāo)準(zhǔn)端口使用其它協(xié)議>用于防止一些應(yīng)用程序使用標(biāo)準(zhǔn)的HTTP端口（TCP80）SSL端口（TCP443）來(lái)傳輸自己的數(shù)據(jù)，從而逃避AC的限制。HTTPSSL網(wǎng)頁(yè)過(guò)[網(wǎng)頁(yè)過(guò)濾]功能包含[URL過(guò)濾]、[關(guān)鍵字過(guò)濾]、[文件類(lèi)型]和[SSL控制]四部分。URL過(guò)在<未生效的URL組>里。生效時(shí)間由前面[對(duì)象設(shè)置/時(shí)間計(jì)劃設(shè)置]點(diǎn)擊<上移>和<下移>可移動(dòng)選定URL組的順序。URL過(guò)濾規(guī)則，不勾選則在匹配完列表中的規(guī)點(diǎn)擊<未生效的URL組>URL庫(kù)和已定義好的URL組地址。加入到<已生效的URL組>。關(guān)鍵字過(guò)濾[HTTP上傳]關(guān)鍵字過(guò)濾用于過(guò)濾上傳（HTTP_POST）內(nèi)容中含有的關(guān)鍵字，例如過(guò)濾內(nèi)網(wǎng)用戶(hù)在BBS發(fā)貼或WEB郵箱發(fā)郵件時(shí)，內(nèi)容中所包含的關(guān)鍵字。操作類(lèi)似搜文件類(lèi)型WebMail上傳附件或BBS上傳附件。ACWEBFTPSSL控由于SSL方式時(shí)是加密的，并不知道真正的URL，因此過(guò)濾不了SSL登錄的。SSL控制通過(guò)黑白和是否允許過(guò)期來(lái)控制客戶(hù)機(jī)能否控制SSL的可以進(jìn)一步提高SSL的安全性（黑白、不運(yùn)行過(guò)期，檢設(shè)置SSL控制信息，界面如下圖：[不允許如下機(jī)構(gòu)頒發(fā)的]，即為；[僅允許如下機(jī)構(gòu)頒發(fā)的]，即為白。上面的[啟用/禁用]SSL控制功能的開(kāi)關(guān)。勾選<啟用SSL鏈控制>即可根據(jù)[對(duì)象設(shè)置/SSL庫(kù)管理]里的信任列表里的來(lái)校驗(yàn)鏈，如果下級(jí)的頒發(fā)機(jī)構(gòu)和上級(jí)的頒發(fā)機(jī)構(gòu)對(duì)應(yīng)不上或在頒發(fā)過(guò)郵件過(guò)發(fā)送或接收郵使用公司的郵箱來(lái)發(fā)送郵件，可以勾選[僅允許以下后綴的郵件地址發(fā)送郵件].cnSMTP協(xié)議發(fā)郵件時(shí)，只能使用.cn<不允許發(fā)送標(biāo)題和內(nèi)容中包含有如下關(guān)鍵字的郵件>和<不允許發(fā)送帶有如下類(lèi)型附件的郵件>用于限制內(nèi)網(wǎng)用戶(hù)發(fā)送郵件的內(nèi)容，勾選選項(xiàng)并輸入相應(yīng)的關(guān)鍵字及后綴名即<開(kāi)啟郵件過(guò)濾（僅對(duì)接受的郵件過(guò)濾）>用于激活郵件過(guò)濾功能，用于內(nèi)網(wǎng)用戶(hù)使用POP3協(xié)議收郵件時(shí)，對(duì)郵件進(jìn)行過(guò)濾。更具體的設(shè)置，請(qǐng)參照后面[郵延遲審計(jì)規(guī)則件無(wú)需延遲審計(jì)>里填入本公司郵件服務(wù)器的，比 .cn。這樣發(fā)送應(yīng)用審[應(yīng)用審計(jì)]主要用于內(nèi)網(wǎng)用戶(hù)通過(guò)AC硬件網(wǎng)關(guān)互聯(lián)網(wǎng)的信息和記錄。勾選< 勾選[網(wǎng)頁(yè)內(nèi)容審計(jì)]會(huì)產(chǎn)生大量的日志，如果需設(shè)置某些或者文件類(lèi)型不審計(jì)，流量統(tǒng)計(jì)與上網(wǎng)計(jì)時(shí)流量與上網(wǎng)時(shí)長(zhǎng)統(tǒng)計(jì)上網(wǎng)時(shí)間控制連接數(shù)控制或者使用P2P等同時(shí)開(kāi)啟大量連接的工具。也可以降低通過(guò)掃描大量連接其他機(jī)準(zhǔn)入系準(zhǔn)入規(guī)則控制的作用是限制使用軟件，跨三層的IP-MAC綁定和IM加密的聊生效時(shí)間由前面[對(duì)象設(shè)置/時(shí)間計(jì)劃設(shè)置]的網(wǎng)絡(luò)服務(wù)控制1，則繼續(xù)檢測(cè)到上網(wǎng)行為控制1，而不往下匹配策略2的網(wǎng)絡(luò)服務(wù)控制2策略不需要疊加的部分包括：上網(wǎng)權(quán)限→高級(jí)配置、網(wǎng)頁(yè)過(guò)濾→SSL認(rèn)證選項(xiàng)設(shè)置新用戶(hù)認(rèn)證新用戶(hù)的處理方式<到服務(wù)器去驗(yàn)證（要求登錄）>：這種認(rèn)證方式是一種通過(guò)第認(rèn)證服務(wù)器進(jìn)行用戶(hù)名驗(yàn)證的認(rèn)證方式。如果通過(guò)第認(rèn)證服務(wù)器認(rèn)證的用戶(hù)名不在用戶(hù)名列表器去驗(yàn)證>、<到POP3服務(wù)器去驗(yàn)證>。新用戶(hù)認(rèn)證通過(guò)后的處理方式單點(diǎn)登錄選項(xiàng)設(shè)置單點(diǎn)登錄：當(dāng)用戶(hù)機(jī)器登錄到第服務(wù)器認(rèn)證的時(shí)候，自動(dòng)通過(guò)WEB認(rèn)證，而不需 [單點(diǎn)登錄選項(xiàng)設(shè)置]用于設(shè)置有關(guān)單點(diǎn)登錄的配置。包括域單點(diǎn)登錄，POP3單點(diǎn)登錄和Proxy單點(diǎn)登錄的配置。另外，有一個(gè)選項(xiàng)用于配置網(wǎng)口，該網(wǎng)口用于網(wǎng)絡(luò)里L(fēng)DAP單點(diǎn)域單點(diǎn)登錄LAN：10251251WAN：20020020域服務(wù)器：10251251域單點(diǎn)登錄分三種：一種是通過(guò)在域控上安裝一個(gè)單點(diǎn)登錄組件截獲域的登錄日志實(shí)C過(guò)使用口截獲交換機(jī)鏡像口或HUB發(fā)過(guò)來(lái)數(shù)據(jù)里的登錄信。安裝組件模式在域服務(wù)器要安裝單點(diǎn)登錄組件程序，安裝結(jié)束時(shí)會(huì)提示輸入[ACIP地址]、[共享密域服務(wù)器組策略模式AC的登錄。 Policy> 在彈出的登錄編輯窗口中點(diǎn)擊<添加>按鈕，在添加窗口中，點(diǎn)擊<瀏覽>，選loon.exeIP，依次操作配置登錄程序的步驟，在彈出的組策略編輯器中依次點(diǎn)擊[用戶(hù)配 在彈出的注銷(xiāo)編輯窗口中點(diǎn)擊<添加>按鈕，在添加窗口中，點(diǎn)擊<瀏覽>，選擇保存的AD注銷(xiāo)文件（即logff_release.ee，并在參數(shù)中輸入在配置登錄參數(shù)時(shí)輸入的IP51WindowsIPLANIP、用戶(hù)機(jī)器能使用模式。勾選[使用模式]并在[登錄服務(wù)器如下]里填入域控服務(wù)器如認(rèn)證數(shù)據(jù)不經(jīng)過(guò)AC，使用模式做單點(diǎn)登錄要先設(shè)置口才可用?？赑OP3單點(diǎn)時(shí)，認(rèn)證系統(tǒng)會(huì)自動(dòng)登錄到指定的POP3服務(wù)器，如果登錄成功，說(shuō)明該用戶(hù)名當(dāng)用戶(hù)使用Outlook、Foxmail之類(lèi)的郵件客戶(hù)端登錄POP3服務(wù)器時(shí)，認(rèn)證系統(tǒng)會(huì)自動(dòng)識(shí)網(wǎng)絡(luò)環(huán)境M5100-M5100-POP3如果POP3服務(wù)器和認(rèn)證的PC都處于內(nèi)網(wǎng)時(shí)，認(rèn)證數(shù)據(jù)不經(jīng)過(guò)AC，要實(shí)現(xiàn)自動(dòng)認(rèn)證操作過(guò)程設(shè)置后即可到網(wǎng)絡(luò)里客戶(hù)機(jī)到POP3服務(wù)器的認(rèn)證的信息。如認(rèn)證數(shù)據(jù)不經(jīng)過(guò)AC，單點(diǎn)登錄要先設(shè)置口才可用?？诘脑O(shè)置具體問(wèn)基本服務(wù)（根組權(quán)限，HTTP除外）>，并在根組里開(kāi)放這個(gè)POP3服務(wù)器的權(quán)限。Proxy單點(diǎn)Proxy認(rèn)證適應(yīng)客戶(hù)使用Proxy上網(wǎng)的環(huán)境。設(shè)置為Proxy認(rèn)證方式時(shí)，用戶(hù)屬于Proxy服務(wù)器上存在的用戶(hù)。當(dāng)用戶(hù)通過(guò)Proxy服務(wù)器上網(wǎng)，并使用Proxy服務(wù)器的用戶(hù)名、驗(yàn)證。如果驗(yàn)證成功，說(shuō)明該用戶(hù)名、是對(duì)的，認(rèn)證通過(guò)；如果驗(yàn)證失敗，則認(rèn)證不通過(guò)。AC通過(guò)截獲用戶(hù)到Proxy服務(wù)器的驗(yàn)證信息來(lái)把一個(gè)IP和用戶(hù)名對(duì)應(yīng)起來(lái)。網(wǎng)絡(luò)環(huán)境M5100-M5100-Proxy服務(wù)操作過(guò)程口，設(shè)置后即可到網(wǎng)絡(luò)中客戶(hù)機(jī)到Proxy服務(wù)器的認(rèn)證的信息。鏡像網(wǎng)口僅允許單點(diǎn)登錄設(shè)置必須使用單點(diǎn)登錄的內(nèi)網(wǎng)用戶(hù)的IP段，設(shè)置界面如下圖：ACIP但勾選了不需認(rèn)證，或者某些用戶(hù)啟用了DKEY認(rèn)證，則不強(qiáng)制使用單點(diǎn)登錄。認(rèn)證通過(guò)后頁(yè)面跳轉(zhuǎn)設(shè)置[認(rèn)證通過(guò)后頁(yè)面跳轉(zhuǎn)設(shè)置]WEB認(rèn)證用戶(hù)在通過(guò)認(rèn)證后的跳轉(zhuǎn)頁(yè)面。配置界<跳轉(zhuǎn)到最近請(qǐng)求的WEB頁(yè)面>WEB頁(yè)面跳轉(zhuǎn)到用<URL>WEB頁(yè)面跳轉(zhuǎn)到自定認(rèn)證設(shè)[認(rèn)證設(shè)置]用于不允許多人同時(shí)登錄的帳號(hào)，如果認(rèn)證時(shí)發(fā)現(xiàn)此帳號(hào)已登錄，AC其它認(rèn)證選項(xiàng)設(shè)置是否能DNS服務(wù)，未通過(guò)認(rèn)證用戶(hù)可以基本服務(wù)。配置界面如下圖：通過(guò)認(rèn)證前能使用除TCP80端口外的根組的權(quán)限。修改。如果連續(xù)3次修改失敗，則該用戶(hù)會(huì)被凍結(jié)1分鐘。打開(kāi)修改用戶(hù)修改的頁(yè)面，地址為http://網(wǎng)關(guān)IP，進(jìn)入后選擇下面的<修改 認(rèn)證服務(wù)器設(shè)置[認(rèn)證服務(wù)器設(shè)置]用于設(shè)置第認(rèn)證服務(wù)器的信息，AC支持三種外部認(rèn)證服務(wù)器，包括LDAP、RADIUS和POP3三種。LDAPRADIUSPOP3，rootroot組的子組。AC1.9中可以建立組與組之間屬于和繼承的關(guān)系，便于劃分父組與子[上網(wǎng)策略]列出各成員使用的上網(wǎng)策略類(lèi)型，類(lèi)型分為[使用父組策略]和[使用自己策略[查和<MAC地址>只用于查詢(xún)用戶(hù)。新增子路徑即為“編輯子<導(dǎo)出>和<導(dǎo)入到當(dāng)前組>用于需要將某組織及其成員保存下來(lái)，或者到另一個(gè)組新增控制用編輯控制用綁定IP點(diǎn)擊<格式說(shuō)明>，查看IP或者M(jìn)AC填寫(xiě)的格式。者IP范圍。地址掃描時(shí)通過(guò)本機(jī)使用NETBIOS協(xié)議進(jìn)行掃描的，可以跨網(wǎng)段掃描，但必須保證被掃描網(wǎng)段的NETBIOS協(xié)議開(kāi)啟，并且沒(méi)有）同時(shí)綁定需要掃描的IP段，掃描此IP段的MAC地址。不綁所屬組選擇認(rèn)證方式選擇[認(rèn)證方式]包括<認(rèn)證>、<DKEY認(rèn)證>、<不需要認(rèn)證>和<僅允許單點(diǎn)登錄>。界<認(rèn)證>用于對(duì)新增的用戶(hù)進(jìn)行基于WEB的用戶(hù)名、認(rèn)證。<LDAP認(rèn)證>，<RADIUS認(rèn)證>和<POP3認(rèn)證>用于選擇該用戶(hù)名對(duì)應(yīng)的第 在[請(qǐng)輸入DKEY初始]輸入DKEY的初始，在[請(qǐng)?jiān)俅屋斎隓KEY初始再次確認(rèn)。該即為DKEY的初始點(diǎn)擊<開(kāi)始寫(xiě)入DKEY>可進(jìn)行生成DKEY過(guò)期時(shí)間設(shè)置用戶(hù)狀態(tài)設(shè)置例如，認(rèn)證的時(shí)候四種認(rèn)證都勾選了，則依次匹配自設(shè)，LDAP認(rèn)證，RADIUS認(rèn)證生成DKEY前請(qǐng)先DKEY驅(qū)動(dòng)并安裝，插入DKEY后方可點(diǎn)擊<開(kāi)始寫(xiě)入DKEY>進(jìn)行DKEY生成的操作。DKEY分兩種類(lèi)型，一種用于認(rèn)證，一種用于防。兩種類(lèi)型的DKEY不能混用。生成的時(shí)候一定要勾選<啟用DKEY防>。在IE瀏覽器里，輸入網(wǎng)關(guān)IP，在該頁(yè)面上點(diǎn)擊<DKEY認(rèn)證客戶(hù)端>，認(rèn)證客戶(hù)端并安裝。插入DKEY后，打開(kāi)認(rèn)證客戶(hù)端，出現(xiàn)如下框輸入后，認(rèn)證通過(guò)。如果該DKEY是防DKEY，認(rèn)證客戶(hù)端會(huì)提示現(xiàn)在不受個(gè)IP地址。上網(wǎng)策略設(shè)置字段有多個(gè)值，比如多個(gè)IP，多種認(rèn)證方式的，請(qǐng)以“,”逗號(hào)隔開(kāi)。則相應(yīng)的機(jī)器名，IP和MAC地址會(huì)出現(xiàn)在[內(nèi)容]的列表里。AD[AD域同步]LADPACLDAP服類(lèi)：<按AD域組織結(jié)構(gòu)同步>和<按AD域安全組同步>。按AD域組織結(jié)構(gòu)同步選擇工作模式<按AD域組織結(jié)構(gòu)同步>后，點(diǎn)擊<新增策略>，出現(xiàn)以下配置頁(yè)面：[自動(dòng)同步]用于設(shè)置是否自動(dòng)同步，啟用[自動(dòng)同步]0點(diǎn)-5點(diǎn)隨機(jī)選[導(dǎo)入到本地位置]AC的某個(gè)組。點(diǎn)擊<選擇>AC的組織結(jié)構(gòu)，選擇要同步的本地位置，此處以導(dǎo)入到“C-一級(jí)部門(mén)”[要導(dǎo)入的目標(biāo)]此處用于設(shè)置需要同步的域服務(wù)器的OU。點(diǎn)擊<選擇>出現(xiàn)域服務(wù)器的組織結(jié)構(gòu)（OU為單位OUOUou1ou2。所填的OU開(kāi)始導(dǎo)入，選擇<從所填OU的子OU開(kāi)始導(dǎo)入>OU開(kāi)始導(dǎo)入，上級(jí)OU及上級(jí)OU直屬用戶(hù)都不會(huì)導(dǎo)入。不會(huì)導(dǎo)入，但此OU下的用戶(hù)也會(huì)導(dǎo)入并同步到該組。按AD安全組同步查看同步報(bào)告用戶(hù)管理[用戶(hù)管理]用于查看通過(guò)AC認(rèn)證的用戶(hù)，可以對(duì)用戶(hù)進(jìn)行查詢(xún)和管理，流量管理系 帶寬通排除策[啟用流量管理系統(tǒng)]用于開(kāi)啟流量管理功能，選擇<啟用>或<禁用>帶寬分適用對(duì)象、生效時(shí)間、線(xiàn)路、目標(biāo)IP來(lái)選擇帶寬分配策略，實(shí)現(xiàn)帶寬保證或帶寬限制新增帶寬分配策略 務(wù)時(shí)，保證每用戶(hù)至少2KB/S的上行帶寬；<高級(jí)選項(xiàng)設(shè)置>此項(xiàng)如果勾選上，則以連接通道內(nèi)內(nèi)網(wǎng)用戶(hù)的IP作為節(jié)點(diǎn)，將外選擇及編輯帶寬分配策略效時(shí)間]、[生效線(xiàn)路]、[目標(biāo)IP組]、[啟用通道]設(shè)置同上。排除策[目標(biāo)IP組]填入的目標(biāo)服務(wù)器IP地址。線(xiàn)路帶寬配置郵件延遲審郵件審計(jì)策略發(fā)送出去的郵件只能在AC硬件網(wǎng)關(guān)的[上網(wǎng)行為審計(jì)/數(shù)據(jù)中心/郵件日志]來(lái)進(jìn)行查詢(xún)?？稍赱查詢(xún)對(duì)象]選定查詢(xún)的對(duì)象，比如<控制組>，<控制用戶(hù)>和<IP地址>。上網(wǎng)行為審計(jì)實(shí)時(shí)日志查看流量前十個(gè)用戶(hù)，可依據(jù)IP地址獲取對(duì)應(yīng)主機(jī)名，并可對(duì)選中的用戶(hù)進(jìn)行凍結(jié)上網(wǎng)的操作。 會(huì)話(huà)細(xì)查看該IP的當(dāng)前連接情況： 連接IP與外部網(wǎng)絡(luò)建立的所有連接，也可選擇一些連接強(qiáng)制斷開(kāi)。顯示被查看用戶(hù)Internet的所有連接，最多只顯示200個(gè)。點(diǎn)擊<斷開(kāi)連接>可斷開(kāi)選中的連接。點(diǎn)擊<查看>按鈕刷新查看該IP的連接情況。設(shè)置界面如下圖：控制日志選項(xiàng)功能：用于設(shè)置是否需要系統(tǒng)自動(dòng)刪除已記錄的控制日志。選擇<啟用自動(dòng)刪數(shù)據(jù)中心配置[數(shù)據(jù)中心主地址]和[數(shù)據(jù)中心備份地址]SINFORAC數(shù)據(jù)中心服務(wù)器地址，支持IP或的方式，填寫(xiě)時(shí)必須保證AC設(shè)備能夠正確解析對(duì)應(yīng)。點(diǎn)擊<測(cè)試>可測(cè)試與SINFORAC數(shù)據(jù)中心服務(wù)器的連通性。數(shù)據(jù)中心功能：AC1.9硬件網(wǎng)關(guān)提供了內(nèi)置數(shù)據(jù)中心系統(tǒng)，無(wú)需另外安裝數(shù)據(jù)中心即可實(shí)現(xiàn)日策略故障排除可設(shè)置各種條件進(jìn)行過(guò)濾，包括[IP地址]、[IP]、[協(xié)議類(lèi)型]、[源端口]和[目標(biāo)點(diǎn)擊<開(kāi)啟列表并直通>按鈕可以開(kāi)啟列表并把所有數(shù)據(jù)包都繞過(guò)AC設(shè)備的 告式設(shè)[SMTP服務(wù)器地址]：指發(fā)送告警郵件使用的SMTP服務(wù)器地址。服務(wù)器控制端口，供等模塊使用該地址和端口。必須保證發(fā)往服務(wù)器的數(shù)據(jù)先經(jīng)過(guò)AC網(wǎng)關(guān)，也就是服務(wù)器應(yīng)該處于AC 網(wǎng)頁(yè)選部HTTP文件類(lèi)型，是否記錄含有指定前綴和后綴的URL。勾選<只記錄對(duì)根 的>，就不會(huì)記錄詳細(xì)的URL，只記錄根 的URL。勾選<不記錄以下類(lèi)型的HTTP文件類(lèi)型>，則不記錄填入框的文件類(lèi)型，有勾選<不記錄含有如下前綴的URL（前綴每個(gè)占一行）>，則不記錄含有填入框的前綴的URL，支持模糊匹配，不支持通配。勾選<不記錄含有如下后綴的URL（前綴每個(gè)占一行）>，則不記錄含有填入框的后綴的URL，支持模糊匹配，不支持通配。前綴就是從第一個(gè)字符開(kāi)始匹配，支持模糊匹配，不支持通配。比如填了www.s， IP地址的所有行為，均不受上網(wǎng)行為管理模塊的和控制。注意如果在規(guī)則有設(shè)IM服務(wù)器IP地址有多個(gè)且易多變，啟用排除IP地址并不能完全不受IM。定制頁(yè)面：可以選擇需要定制的頁(yè)面，可定制的頁(yè)面包括認(rèn)證結(jié)果頁(yè)面、（authresult.htm）（disable.htm、發(fā)現(xiàn)（ .htm（insal.htm（use.htm（index.htm、安全功能擴(kuò)AC硬件網(wǎng)關(guān)能針對(duì)HTTP，F(xiàn)TP，POP3和SMTP這四種常用協(xié)議進(jìn)行查殺。AC硬件網(wǎng)關(guān)內(nèi)置了冰島著名殺毒廠(chǎng)商F-PROT的殺毒引擎，具有識(shí)別率高和查殺效率高的[升級(jí)服務(wù)有效期至]：顯示網(wǎng)關(guān)殺毒的自動(dòng)更新有效期，在有效期內(nèi)AC設(shè)備會(huì)自動(dòng)連 上更新庫(kù)。[自動(dòng)升級(jí)時(shí)間設(shè)置]：顯示AC硬件網(wǎng)關(guān)每天自動(dòng)升級(jí)庫(kù)的時(shí)間。AC硬件網(wǎng)關(guān)每[不需要?dú)⒍镜模▋H適用于HTTP殺毒]：可設(shè)置特殊的數(shù)據(jù)不需[HTTPFTP殺毒]：用于定義需要?dú)⒍镜奈募?wèn)到目標(biāo)IP的相應(yīng)協(xié)議（即能正常上網(wǎng)）才能開(kāi)啟相應(yīng)的殺毒功能。對(duì)信任的可加入到[不需要?dú)⒍镜模ǎ?，僅適用于HTTP殺毒]的列表中。對(duì)包含的HTTP頁(yè)面，AC硬件網(wǎng)關(guān)會(huì)頁(yè)面打開(kāi)。對(duì)HTTP或FTP的文件，AC硬件網(wǎng)關(guān)會(huì)破壞的文件的完整性，因此到文件是無(wú)法打開(kāi)的。對(duì)接收到的有的郵件，AC硬件網(wǎng)關(guān)會(huì)把郵件打包并標(biāo)明為郵件發(fā)給用戶(hù)。郵件過(guò)濾郵件過(guò)濾選項(xiàng)用于設(shè)置接收的郵件過(guò)濾規(guī)則，AC設(shè)備會(huì)根據(jù)這些規(guī)則來(lái)判斷郵件過(guò)濾規(guī)則設(shè)置鍵字后，將立即判為郵件。權(quán)重，則各關(guān)鍵字權(quán)重相加大于等于[內(nèi)容過(guò)濾中，當(dāng)可根據(jù)實(shí)際情況選擇其中一種，<EML格式的附件發(fā)送給用戶(hù)>、<把郵件直黑白設(shè)以從RBL服務(wù)器上實(shí)時(shí)獲得。如圖所示： 的判斷工作是在Internet上進(jìn)行的，不需要用戶(hù)進(jìn)行和手動(dòng)添加。可選擇列表中內(nèi)置的RBL或者輸入RBL服務(wù)器。當(dāng)內(nèi)網(wǎng)用戶(hù)接收郵件時(shí)，AC設(shè)備會(huì)把發(fā)件人的郵箱地址提交到RBL服務(wù)器上去校驗(yàn)，郵件過(guò)濾選項(xiàng)該選項(xiàng)設(shè)置不被網(wǎng)關(guān)過(guò)濾的郵件服務(wù)器地址。開(kāi)啟郵件過(guò)濾時(shí)，從內(nèi)網(wǎng)發(fā)往Internet上防御系統(tǒng)功能選防御系統(tǒng)（IntrusionPreventionSystem）依靠對(duì)數(shù)據(jù)包的檢測(cè)來(lái)發(fā)現(xiàn)對(duì)內(nèi)網(wǎng)系統(tǒng)SINFORAC3種防御規(guī)則，分別為<高>、<中>、<低>三種級(jí)別。可根據(jù)網(wǎng)絡(luò)安全狀況，對(duì)于不同的規(guī)則啟用防御。對(duì)于所有匹配到規(guī)則的可疑行為，[發(fā)現(xiàn)后防御者IP]功能是指一旦檢測(cè)到行為的發(fā)生，AC網(wǎng)關(guān)將立刻對(duì)攻180秒，可根據(jù)實(shí)際情況這樣可以有效對(duì)內(nèi)網(wǎng)進(jìn)行保護(hù)的同時(shí)保證AC網(wǎng)關(guān)的效率。上圖即就是一個(gè)對(duì)內(nèi)網(wǎng)8這臺(tái)WEB服務(wù)器設(shè)置的例子。規(guī)則設(shè)正常的應(yīng)用被IPS誤判了，可把誤判的規(guī)則優(yōu)先級(jí)降低。如下圖：配置[配置]SINFORACIPsec服務(wù)方面的設(shè)置、管理和狀態(tài)顯示。下圖為[DLAN狀態(tài)]ACIPsec服務(wù)當(dāng)前運(yùn)行狀態(tài)、接 [流量]和[ 網(wǎng)IP]、[接入時(shí)間]指網(wǎng)絡(luò)節(jié)點(diǎn)接入系統(tǒng)的時(shí)間、該連接采用的[傳輸類(lèi)型]（TCP或UDP。 隧道斷開(kāi)， 節(jié)點(diǎn)重連一 WebAgentWebAgentIPWEBWebAgentWebAgent用于動(dòng)態(tài)尋址或固定IP，如果是“動(dòng)態(tài)尋址”請(qǐng)?zhí)顚?xiě)“WebAgent網(wǎng)頁(yè)”（一般如果是“固定IP”，請(qǐng)按照“IP地址:端口”的格式填寫(xiě)，如33:4009。<修改>按鈕可以修改WebAgent，以防止用戶(hù)盜用WebAgentWebAgent。傳輸過(guò)的數(shù)據(jù)。通過(guò)端口映射等方式讓Internet用戶(hù)可以到網(wǎng)關(guān)設(shè)備的端口，則可設(shè)置為<直連>，不能獲得InternetIP的連接方式則需設(shè)置為<非直連>。多線(xiàn)路配置WAN口線(xiàn)路時(shí)，必須設(shè)置[多線(xiàn)路配置]，這里可以對(duì)線(xiàn)路的信息進(jìn)行增刪必須為正常工作的公網(wǎng)DNS地址。如果為ADSL撥號(hào)等，則可不填。的，一般用于線(xiàn)路DNS檢測(cè)有問(wèn)題時(shí)才使用。<按用戶(hù)分路模式>即對(duì)不同的IPsec用戶(hù)設(shè)置不同的“選路策略”（勾選<按用戶(hù)量平均）線(xiàn)路主備模式>和<動(dòng)態(tài)適應(yīng)模式>，請(qǐng)根據(jù)需要進(jìn)行相應(yīng)選擇。網(wǎng)絡(luò)參數(shù)設(shè)置[網(wǎng)絡(luò)參數(shù)設(shè)置]ACTCP/UDP端口，該選項(xiàng)缺省已經(jīng)設(shè)置為設(shè)置界面中的[最小壓縮包]、[MTU大小]及[MSS]等設(shè)置項(xiàng)，僅在某些特殊情況下路由設(shè)置（DLAN路由上網(wǎng)分流路由局域網(wǎng)內(nèi)部的計(jì)算機(jī)如果需要加入IPsec網(wǎng)絡(luò)、被其他的IPsec節(jié)點(diǎn)，WAN口發(fā)出；當(dāng)傳輸?shù)氖瞧胀ㄉ暇W(wǎng)數(shù)據(jù)時(shí)，設(shè)備會(huì)根據(jù)上面設(shè)置的“上網(wǎng)分流路由”把數(shù)據(jù)轉(zhuǎn)發(fā)到另一個(gè)上網(wǎng)出口網(wǎng)關(guān)，從而實(shí)現(xiàn)數(shù)據(jù)多子網(wǎng)路由當(dāng)網(wǎng)絡(luò)中的總部或分支內(nèi)部有多個(gè)網(wǎng)段的網(wǎng)絡(luò)時(shí)，我們稱(chēng)之為多子網(wǎng)。這些網(wǎng)絡(luò)如果需要加入到網(wǎng)絡(luò)中，以便中的分支，移動(dòng)或總部之間的內(nèi)網(wǎng)相互訪(fǎng)換機(jī)相連互通，三層交換機(jī)上連接這兩個(gè)網(wǎng)段的端口IP分別為54和54，我們的設(shè)備的LANIP192.168.1.X網(wǎng)段。默認(rèn)情況下移動(dòng)和分支連接總部的之后，只能192.168.1.X網(wǎng)段，如需要實(shí)現(xiàn)移動(dòng)或分支接入后可以192.168.2.X網(wǎng)段，需要定義[多子網(wǎng)設(shè)置]及添加“多子網(wǎng)路加一個(gè)多子網(wǎng)192.168.2.X如下：指向能通往192.168.2.X的三層交換機(jī)接口54。[路由動(dòng)作]選擇<路由>。連接管SINFORACSINFORDLAN軟件總部進(jìn)行連試WebAgent是否工作正常，結(jié)果如下所示：進(jìn)行通信。如果和多個(gè)深信服硬件設(shè)備或軟件總部之間設(shè)置這樣的互聯(lián)關(guān)系，算法查建的網(wǎng)絡(luò)中、對(duì)所有的傳輸數(shù)據(jù)進(jìn)行加密，以保障數(shù)據(jù)的安全性。生成點(diǎn)擊<生成>按鈕，然后選擇好保存路徑（如上圖，就可以自動(dòng)生成包含硬件特性的認(rèn)證。這時(shí)需要將該通過(guò)某種方式（如電子郵件、或U盤(pán)等）提供給需要接入的站點(diǎn)管理員，由該站點(diǎn)管理員對(duì)進(jìn)行管理。以后每次連接其他站點(diǎn)時(shí)，如果該站點(diǎn)啟用戶(hù)管 [從用戶(hù)xx]可用于快速生成具有相同權(quán)限和屬性的帳號(hào)，只需簡(jiǎn)單修改用戶(hù)名勾選[啟用硬件鑒權(quán)]或[啟用DKEY]選項(xiàng)，會(huì)出現(xiàn)相應(yīng)的按鈕以進(jìn)行設(shè)置?？煞謩e綁定硬件鑒權(quán)和生成DKEY（默認(rèn)為不啟用。則系統(tǒng)會(huì)自動(dòng)為該用戶(hù)從虛擬IP池中隨機(jī)分配一個(gè)內(nèi)網(wǎng)IP地址。如需使用支持網(wǎng)上鄰居功能，則必須勾選[啟用網(wǎng)上鄰居]。用戶(hù)在連通后，只能總部?jī)?nèi)網(wǎng)，而不能互聯(lián)網(wǎng)。規(guī)則所設(shè)置條件的情況下，才準(zhǔn)許接入總部網(wǎng)絡(luò)。準(zhǔn)入規(guī)則的應(yīng)用設(shè)置，可點(diǎn)擊<高路進(jìn)行連接。 則執(zhí)行此“缺省權(quán)限”，一般需利用[缺省動(dòng)作]和右邊的[允許權(quán)限列表]配合來(lái)限制接入后面的[虛擬IP池設(shè)置]相關(guān)內(nèi)容。IP池設(shè)置[IP池]是指由SINFORACIP作為移動(dòng)用戶(hù)IPIPIP的移動(dòng)接入后，可以總部局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)，即使該計(jì)算機(jī)沒(méi)有把網(wǎng)關(guān)指向總部SINFORAC硬件網(wǎng)關(guān)；可以為接入的移動(dòng)用戶(hù)指定DNS等網(wǎng)絡(luò)屬性。IPIPIP，當(dāng)virtualnetworkadapterIPDNS，否則<高級(jí)選項(xiàng)>里面設(shè)置多子網(wǎng)設(shè)置SINFORAC硬件網(wǎng)關(guān)的“多子網(wǎng)”功能，AC硬件網(wǎng)關(guān)內(nèi)網(wǎng)的多個(gè)子網(wǎng)和分支的多（12160.x；1000.x；172.16.3.x 隧道分支的兩個(gè)網(wǎng)絡(luò)，分支也能總部的兩個(gè)網(wǎng)絡(luò)。在[路由設(shè)置]里為需互聯(lián)的子網(wǎng)設(shè)置路由；（具體可參照[安全功能擴(kuò)展/ 的設(shè)備和軟件客戶(hù)端視為網(wǎng)段，所有這些網(wǎng)段的數(shù)據(jù)包倘若到達(dá)我們的里添加了子網(wǎng)網(wǎng)段，都需要配合[安全功能擴(kuò)展/設(shè)置/路由設(shè)置]來(lái)完成多子網(wǎng)的設(shè)內(nèi)網(wǎng)服務(wù)設(shè)置SINFORAC硬件網(wǎng)關(guān)可以為接入用戶(hù)指定相應(yīng)的權(quán)限，可以限制某個(gè)用戶(hù)只能訪(fǎng)問(wèn)內(nèi)網(wǎng)的特定計(jì)算機(jī)的特定應(yīng)用。比如：允許用戶(hù)test總部的WEB服務(wù)器，test總部的SQL數(shù)據(jù)庫(kù)服務(wù)器等。注意：權(quán)限都是指分支和移動(dòng)總部?jī)?nèi)服務(wù)的權(quán)限。 [IP地址]為提供內(nèi)網(wǎng)服務(wù)供 用戶(hù)接入的內(nèi)網(wǎng)服務(wù)器IP。內(nèi)網(wǎng)權(quán)限來(lái)最終實(shí)現(xiàn)內(nèi)網(wǎng)權(quán)限的設(shè)定。QoS級(jí)別設(shè)置QoS（QualityofService，服務(wù)品質(zhì)保證）QoS設(shè)定[QoS功能]QoS功能的開(kāi)關(guān)，勾選即啟用了設(shè)備的QoS功能。信服科技門(mén)。QoS規(guī)則設(shè)置[QoS規(guī)則設(shè)置]QoS規(guī)則設(shè)置所選定的數(shù)據(jù)投遞優(yōu)QoS的方向是根據(jù)數(shù)據(jù)發(fā)送方向設(shè)置的，例如：總部?jī)?nèi)網(wǎng)中一臺(tái)機(jī)器是是1433端口。廣播包和性能設(shè)置 動(dòng)態(tài)路由信息設(shè)置[動(dòng)態(tài)路由信息設(shè)置]主要用于設(shè)置SINFORAC硬件網(wǎng)關(guān)通過(guò)RIP協(xié)議和其它網(wǎng)絡(luò)設(shè)備[啟用路由選擇信息協(xié)議]是整個(gè)動(dòng)態(tài)路由更新功能的開(kāi)關(guān)，激活后，SINFORAC硬件RIP路由[需要觸發(fā)更新]勾選后，SINFORAC硬件網(wǎng)關(guān)則只有在系統(tǒng)路由有變化時(shí)才觸發(fā)路由更新信息，這時(shí)下面設(shè)置