用戶手冊第2章控制臺使用

NGAFV3.0用戶手 前 致 第1章安裝指 電 第2章控制臺的使 登錄WebUI配置界 第3章功能說 應(yīng)用流量................................................................................................................. IP流量.....................................................................................................................用戶流量............................................................................................................... 查看最近 IP流量...........................................................................................................................查看IP流量..............................................................................................................過濾IP流量..............................................................................................................用戶流量........................................................................................................................ 應(yīng)用流量........................................................................................................................ 3.1.11用戶管 3.1.11聯(lián)動源 VLAN接 區(qū) 路 OSPF鏈路信 OSPF路由信 OSPF鄰接關(guān) OSPF接口信 靜態(tài)ARP ARP......................................................................................................................... 3.3.1特征識別 3.3.2WEB應(yīng)用防護(hù)特征 3.3.3數(shù)據(jù)泄密防護(hù)識別 1預(yù)定義敏感信 ISP地址 設(shè)備出廠默認(rèn)有、電信、中國移動、教育網(wǎng)四個ISP地址 URL分類 URL庫列 新增URL 刪除URL 修改URL 服 IP 概 PROXY單點登 Web單點登 1、PC登陸web服務(wù)器是設(shè)備 .3認(rèn)證........................................................................................................................ ..................................................................................................................................... WEB過 概 系 Syslog設(shè) 3.13.8告 3.13.10頁面定 ....................................................................................................................... 第4章數(shù)據(jù)中 ..............................................................................................................統(tǒng)計案 DOS............................................................................................................................. IPS查詢案 查 查殺查詢案 4.2.6..............................................................................................................查詢案 報 系 第5章案例 ARP配置案 WEB應(yīng)用防護(hù)配置案例一 Copyright?2012市深信服電子科技及其者，保留一切權(quán)利。未 前1SANGFORNGAF產(chǎn)品安裝指南。該部分主要介紹NGAF設(shè)備的外觀特點及2SANGFORNGAF控制臺的使用，如何登陸控制臺等。第3部分SANGFORNGAF的功能說明及使用。定差異，所有涉及產(chǎn)品規(guī)格的問題需要和深信服科技聯(lián)系確認(rèn)。圖形界面格式約→[各類標(biāo) 致 1輸入電壓溫度濕度SANGFORNGAF110V230V電源。在您接通電源之前，請保證1：SANGFORNGAF前面板（NGAF1320為例 告在設(shè)備啟動期間是紅燈長亮的一般一兩分鐘后紅燈熄滅明正常啟動。如紅燈長時間不熄滅，請關(guān)閉設(shè)備等待5分鐘后重新開機(jī)。如果還是長亮，請聯(lián)系部門確認(rèn)是否設(shè)備損壞。正常啟動后，有時紅燈會閃爍，這是正?，F(xiàn)象，紅燈閃爍表示設(shè)備ExplorerNGAF設(shè)備的管理口為MANAGE(ETH0)口，管理口默認(rèn)出廠IP51/24。設(shè)備接線方在背板上連接電源線，打開電源開關(guān)，此時前面板的Power燈（綠色，電源指示燈）和Alarm燈（紅色，告）會點亮。大約1-2分鐘后Alarm燈熄滅，說明網(wǎng)關(guān)正常工作。請用標(biāo)準(zhǔn)的RJ-45以太網(wǎng)線將MANAGE(ETH0)NGAF設(shè)備進(jìn)POWERLINK燈長亮，ACT燈在有數(shù)據(jù)圖1直連線、交叉2NGAF支持安全的HTTPS登錄，使用的是HTTPS協(xié)議的標(biāo)準(zhǔn)端口登錄。如果初始登錄從管理口(MANAGE)登錄，那么登錄的URL為：按照前面所示方法接好線后，通過WEB界面來SANGFORNGAF設(shè)備。方法如下：首先為登陸控制臺的電腦配置一個10.251.251.X網(wǎng)段的IP（如配置00），然后在IE瀏覽器中輸入管理口的默認(rèn)登陸IP及端口，出現(xiàn)一個如下廠情況下的用戶名和為admin/sangfor。 配置和使登錄WebUI配置界面后，可以看到以下配置模塊：包括『運行狀態(tài)』、『網(wǎng)絡(luò)配置』、『安全『風(fēng)險分析』 『流量管理『系統(tǒng)』、『『配置向?qū)А?3運行狀『運行狀態(tài)』主要用于查看設(shè)備的基本狀態(tài)信息，包括『系統(tǒng)狀態(tài)』、『最近安全事件』『服務(wù)器安全事件』、『終端安全事件』、『最近源』、『 流量』、『用戶流量』『應(yīng)用流量排名『流量管理狀態(tài)』、『在線用戶管理『聯(lián)動 系統(tǒng)狀選擇顯示模 恢復(fù)默認(rèn)顯示模

信息]、[今日安全日志匯總]、[系統(tǒng)關(guān)鍵事件]、[今日服務(wù)器安全]、[應(yīng)用流量]、[狀態(tài)查系統(tǒng)信【系統(tǒng)信息】主要用于顯示設(shè)備系統(tǒng)資源的概況，包括CPU使用率，內(nèi)存使用率，磁今日安全日志匯【今日安全日志匯總】主要用于顯示設(shè)備當(dāng)天檢測和到的概況，包括查 系統(tǒng)關(guān)鍵事【系統(tǒng)關(guān)鍵事件】主要用于顯示W(wǎng)EB應(yīng)用防護(hù)，IPS，DOS/DDOS防護(hù)，管理員操作今日服務(wù)器安全 應(yīng)用流量接口信 接口吞吐率折線應(yīng)用流速趨勢疊加IP流量用戶流量 最近安全事查看最近安全事如圖，顯示的內(nèi)容包括：發(fā)生事件、源IP、目的IP、類型以及的URL刷新間隔：5點 刷新間隔：5點 服務(wù)器安全查看服務(wù)器安全事刷新間隔：5點 刷新間隔：5點 終端安全事查看終端安全事 刷新間隔：5點 刷新間隔：5點 最近查看最近 刷新間隔：5點 刷新間隔：5點 IP流IP流量如圖，根據(jù)IP的總流速進(jìn)行，顯示的內(nèi)容包括IP地址，上行流速，下行流速，總流速，獲取機(jī)器名，流量構(gòu)成。在[獲取機(jī)器名]一欄點擊獲取，用來獲取對應(yīng)IP的計算機(jī)名；在[流量構(gòu)成]一欄，點擊對應(yīng)的應(yīng)用會出現(xiàn)如下界面，來顯示該IP具體的應(yīng)用流量：刷新間隔：5點 刷新間隔：5點 IP流量點 『過濾對象』用來設(shè)置具體的IP用戶流量查看用戶流量 刷新間隔：5點 刷新間隔：5點 過濾用戶流量點 [組過濾]、[用戶過濾]、[IP過濾]三個條件只能選擇一個，其中組過濾中“/”是表示所凍結(jié)用戶上解凍用戶上 應(yīng)用流量查看應(yīng)用流量如圖，根據(jù)應(yīng)用占用的帶寬進(jìn)行，顯示的內(nèi)容包括：應(yīng)用類型、線路、上下行流速、刷新間隔：5點 刷新間隔：5點 過濾應(yīng)用流量點 流量管理狀刷新間隔：5點 刷新間隔：5點 點 查看速通道流量查【帶寬分配】頁面可以看到通道的名稱、所屬線路、瞬時速率、占用比例、通道用戶數(shù)、保證帶寬、最大帶寬、狀態(tài)等信息。在歷史信息排除策略流量查3.1.11用戶管查看用此處可以到所有通過設(shè)認(rèn)證的用戶登名（顯示、所屬組、P地址、、進(jìn)。過濾用點 [過濾對象]勾選后可以選擇根據(jù)[用戶過濾]或者是[IP過濾]，輸入指定的用戶或者IP進(jìn)凍結(jié)用點 解凍用強(qiáng)制注銷用 點 3.1.11聯(lián)動源『聯(lián)動源IP』主要用于查看當(dāng)IPS規(guī)則、WEB應(yīng)用防護(hù)規(guī)則和數(shù)據(jù)泄密防護(hù)模塊啟用聯(lián)動時，了哪些源IP以及是哪個安全策略觸發(fā)的聯(lián)動，界面如下：刷新間隔：5點 刷新間隔：5點 可以清除該IP地址點 時間網(wǎng)絡(luò)配接口/區(qū)子接口、VLAN接口、區(qū)域、接口聯(lián)動信息，如下圖所示：物理接[連接類型]：顯示接口IP地址獲取的類型，包括ADSL、靜態(tài)IP、DHCP 接線或者網(wǎng)口DOWN掉。 虛擬網(wǎng)線：虛擬網(wǎng)線接口也是普通的交換接口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，轉(zhuǎn)有關(guān)這三種不同接口類型的詳細(xì)配置說明請參考5.1小節(jié)的案例。子接子接口用于配置物理接口是路由接口，并且該路由接口需要啟用VLANtrunk的場景，配[接口名稱]顯示子接口的名稱。接口名稱自動生成，且不可修改。例如eth0口下VLAN2[地址]顯示子接口的IP[MTU]顯示子接口的MTU ]顯示是否允 子接口VLAN接點擊新增，添加VLAN[接口名稱]設(shè)置VLANID。設(shè)備需要加入VLAN，就填寫對應(yīng)的VLANID即可。[基本屬性]設(shè)置VLAN接口是否允許[連接類型]可以選擇靜態(tài)IPDHCP。靜態(tài)IP地址填寫對應(yīng)VLAN網(wǎng)段的IP區(qū)路由接口，包括子接口和VLAN接口；如果選擇虛擬網(wǎng)線區(qū)域，接口列表會顯示未被劃到[管理地址]設(shè)置可以登陸管理設(shè)備的源IP地址。點擊 選擇和新增IP組。接口聯(lián)『接口聯(lián)動』接口聯(lián)動主要用于NGAF設(shè)備工作在流量負(fù)載均衡模式，把負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)點擊是，啟動接口LINK路路由配置頁面包括靜態(tài)路由，策略路由，OSPF，RIP和查看路由，當(dāng)設(shè)備本身需要和不同網(wǎng)段的IP通信時，需要通過路由實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。靜態(tài)路[目的IP地址]按照目的IP，目的掩碼，下一跳地址，接口，度量值的格式填寫，一行對應(yīng)一條靜態(tài)策略路『策略路由』主要用于設(shè)備有多個口接多條線路時，根據(jù)源/目的IP、源/目的務(wù)器需要驗證的源IP地址，如果多次的源IP是不同的，則會斷開連接，此時次安全應(yīng)用的源IP地址是固定的?！篛SPF』用于對NGAF設(shè)備開啟和設(shè)置OSPF動態(tài)路由協(xié)議，包括網(wǎng)絡(luò)配置，接口配勾選[啟用OSPF]，啟用OSPF用和配置虛連接。點 [區(qū)域ID]：填寫骨干區(qū)域ID 一般設(shè)置為o間隔的4倍，默認(rèn)值是40s。網(wǎng)絡(luò)配[區(qū)域ID]：設(shè)置將該網(wǎng)段引入到哪個區(qū)域，一般填寫骨干區(qū)域的ID接口配[接口名稱]：『OSPF』→『網(wǎng)絡(luò)配置』中發(fā)布的網(wǎng)段對應(yīng)的接口名稱。[接口IP]：接口IP地址。[接口]：接口不發(fā)送OSPF鏈路狀態(tài)，配置為接口后，直連路由可以發(fā)布，但接口的OSPF報文將會被阻塞，鄰居無法建立。接口默認(rèn)選“否”。[認(rèn)證口令]：設(shè)置明文或MD5認(rèn)證方式的口令。影響OSPF的選路結(jié)果，范圍為1-65535，默認(rèn)值為1。[優(yōu)先級]：優(yōu)先級為0的路由器不會被成DR或者BDR。DR由本網(wǎng)段路由器通過o報文共同，設(shè)備將自己選出的DR寫入o報文中，發(fā)給網(wǎng)段上其他路由器。當(dāng)同一網(wǎng)段的兩臺路由器都宣布自己是DR時，優(yōu)先級高的勝出；如果優(yōu)先級也相同，[DDMTU不匹配檢測]OSPFDD報文描述自己的LSDB。默認(rèn)情況下，接口發(fā)送DD報文時不填充MTU值，即DD報文中MTU值為0。參數(shù)配[RouterID]：設(shè)置NGAF設(shè)備的RouterID[SPF計算間隔]：當(dāng)鏈路狀態(tài)數(shù)據(jù)庫LSDB發(fā)生變化時，需要重新計算最短路徑，默認(rèn)5s。作為外部路由信息，并可設(shè)置路由引入后的metric值。[直連路由]：選擇是否需要將直連路由引入OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的metric值，默認(rèn)度量值是10。[RIP路由]：選擇是否需要將RIP路由引入OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的metric值，默認(rèn)度量值是20。[靜態(tài)路由]：選擇是否需要將靜態(tài)路由引入OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的metric值，默認(rèn)度量值是20。metric參數(shù)，則使用該度量值作為路由引入后的跳數(shù)。度量值默認(rèn)值是10。信息顯通過『信息顯示』可以查看OSPF鏈路信息，OSPF路由信息，OSPF鄰接關(guān)系，OSPF[Type]：LSA的type[ID]：LSA所在的RouterID。*代表設(shè)備自己產(chǎn)生的LSA。[AdvRouter]：表示由哪個設(shè)備通告的這條LSA給本設(shè)備。[Seq]：這條LSA的序列號。[Age]：表示收到該LSA已有多長時間。超時時間到了之后，該LSA『OSPF路由信息』用來查看OSPF[NeighborID]：鄰接路由器的路由器ID。[Pri]：鄰接路由器的優(yōu)先級。[State]：[DeadTime]：顯示如果鄰居不發(fā)o報文，還有多長時間該路由器狀態(tài)變?yōu)镈EAD[Address]IP地址。當(dāng)OSPF信息包被傳輸?shù)洁従樱说刂穼⑹窍乱惶鳬P地址。OSPF_VL1是虛連接標(biāo)識。[IP]：接口的IP地址。[DR]：該區(qū)域的DR地址。[BDR]：該區(qū)域的候選BDR『RIP』用于對NGAF設(shè)備開啟和設(shè)置RIP動態(tài)路由協(xié)議，包括網(wǎng)絡(luò)配置，接口配置，勾選[啟用RIP]，啟用RIP網(wǎng)絡(luò)配接口配接口能收發(fā)RIP報文。如果在『RIP』→『網(wǎng)絡(luò)配置』下新增了如下網(wǎng)段：[接口名稱]：『RIP』→『網(wǎng)絡(luò)配置』中發(fā)布的網(wǎng)段對應(yīng)的接口名稱。[接口IP]：接口IP地址。[版本設(shè)置（接收）]：指定在接口上接收的RIP報文的版本。當(dāng)接收的版本選擇為時，可同時接收RIPv1RIPv2[版本設(shè)置（發(fā)送）]：指定在接口上發(fā)送的RIP報文的版本。RIPv1的報文傳送方式為本選擇為RIPv2時，可同時發(fā)送RIPv1和RIPv2的報文。這條路由的METRIC是無窮大。缺省情況下不啟用毒性逆轉(zhuǎn)。[認(rèn)證方式]：可以選擇明文，MD5，不認(rèn)證。RIPv1不支持報文認(rèn)證，RIPv2支持明文和MD5認(rèn)證。鄰居配『鄰居配置』設(shè)置相鄰運行RIP協(xié)議的設(shè)備IP參數(shù)配先級的數(shù)值越大，其實際的優(yōu)先級越低?？梢允止づ渲肦IP的優(yōu)先級，默認(rèn)值是120。180s?！郝酚芍匕l(fā)布配置』配置將其他路由，如直連路由，OSPF路由，靜態(tài)路由引入RIP中，置路由引入后的metric值。默認(rèn)度量值是10。[OSPF路由]：選擇是否需要將直連路由引入RIP路由中作為外部路由信息，并可設(shè)置路由引入后的metric值。默認(rèn)度量值是20。置路由引入后的metric值。默認(rèn)度量值是20。的metric參數(shù)，則使用該度量值作為路由引入后的跳數(shù)。默認(rèn)度量值是10。點 查看路，目的，]，，接口虛擬網(wǎng)虛擬網(wǎng)線功能是指在NGAF設(shè)備上設(shè)置一個物理接口組，如A接口與B接口組成一組虛擬網(wǎng)線，數(shù)據(jù)包從A接口進(jìn)入設(shè)備后，除了目標(biāo)IP地址是NGAF設(shè)備本身的數(shù)據(jù)外，其據(jù)直接發(fā)送出去，但數(shù)據(jù)仍然受各種安全策略的控制。通過虛擬網(wǎng)線功能，能提高NGAF設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)的效率，也能防止由于MAC表的導(dǎo)致數(shù)據(jù)轉(zhuǎn)發(fā)錯誤。高級網(wǎng)絡(luò)配高級網(wǎng)絡(luò)配置包括ARP，DNS，SNMP『ARP配置』包括靜態(tài)ARP表和ARP兩部分ARP『靜態(tài)ARP表』用于在設(shè)備設(shè)置靜態(tài)綁定IP/MAC[IP地址]：設(shè)置需要綁定靜態(tài)ARP條目的IP地址。[MAC地址]：設(shè)置需要綁定靜態(tài)ARP條目的MAC地址。[接口]：設(shè)置與綁定的IP地址相同網(wǎng)段的設(shè)備接口。ARPARP功能即NGAF設(shè)備回應(yīng)ARP請求，達(dá)到保護(hù)內(nèi)網(wǎng)主機(jī)的目的。界面如下『DNS』頁面用于NGAF設(shè)備本身公網(wǎng)的DNS服務(wù)器設(shè)置以及DNS功能的[首選DNS服務(wù)器]和[備選DNS服務(wù)器]：設(shè)置NGAF設(shè)備本身公網(wǎng)的DNS服[DNS]：開啟此功能后，內(nèi)網(wǎng)用戶的DNS設(shè)置成NGAF設(shè)備的接口IP，通過設(shè)內(nèi)網(wǎng)用戶的DNS請求，轉(zhuǎn)發(fā)到設(shè)備設(shè)置的首選DNS服務(wù)器和備選DNSSNMP用于支持其他設(shè)備或軟件用SNMP方式來管理和查看SANGFOR設(shè)備的相勾選[開啟SNMP]，則其他設(shè)備和管理軟件可以通過SNMP設(shè)備信息SNMPV2協(xié)議連接設(shè)備，并約定連接參數(shù)。設(shè)定SNMPSNMP管理者為一個子網(wǎng)，該子網(wǎng)內(nèi)的主機(jī)都可以通過SNMP管理設(shè)備。[地址]：設(shè)置SNMP管理者的IP于指定SNMP管理主機(jī)對象的IPSNMP管[團(tuán)體名]：指定SNMP管理主機(jī)設(shè)備時的團(tuán)體名。『SNMPV3』用于設(shè)置當(dāng)以SNMPV3版本通訊時，需要設(shè)置的一些高級擴(kuò)展選項，界碼必須為8位字符并且不能包含空格，將以MD5算法進(jìn)行加密。并且不能包含空格，將以DES算法進(jìn)行加密。安全防護(hù)對特征識『ID』顯示當(dāng)前的ID，將ID輸入搜索框，可以通過ID進(jìn)行搜索。主要作用是當(dāng)服務(wù)器被某個IPS規(guī)則了，可以到數(shù)據(jù)中心查看到ID。通過此處的ID查詢，可以設(shè)置不此規(guī)則『類型』顯示當(dāng)前的類型，如bakdoor『等級』描述此的等級，一般有高、中、低三個等級，等級越高的則]、[啟用，檢測后放行]、[啟用，與云分析引擎聯(lián)動]、[禁用]四種。這個動作可以自定義，點擊『名稱』編輯頁面，如下圖：WEB應(yīng)用防護(hù)特征點擊用于統(tǒng)一的修改WEB應(yīng)用防護(hù)規(guī)則。若選擇[默認(rèn)（系統(tǒng)初始狀態(tài)）]，則將保留系統(tǒng)自帶的規(guī)則狀態(tài)；若選擇[啟用嚴(yán)格規(guī)則檢測，并]，則對于所有防護(hù)規(guī)則的動作都將設(shè)置為“啟用，檢測后”。對于等級為中的規(guī)則來說，系統(tǒng)默認(rèn)的狀態(tài)會放行的，啟用嚴(yán)格檢測后，等級所有的規(guī)則也將被。 『等級』描述此的等級，一般有高、中、低三個等級，等級越高的則[啟用，檢測后放行]、[啟用，與云分析引擎聯(lián)動]、[禁用]四種。這個動作可以自定義，點擊『防護(hù)名稱』編輯頁面，如下圖：數(shù)據(jù)泄密防備時，設(shè)備會進(jìn)行，以保護(hù)用戶敏感信息不被出去。界面如下：預(yù)定義敏感信點擊新增按鈕，彈出【排除IP】框，界面如下選擇“排除URL”點擊新增按鈕，彈出【排除URL】框，界面如下自定義敏感信點擊用于設(shè)置針對哪些IP、以及哪些URL不進(jìn)行數(shù)據(jù)泄密防護(hù)?！侯A(yù)定對象定ISP地址『ISP地址庫』用于設(shè)置網(wǎng)絡(luò)運營商的IP地址段，此IP地址段主要用于『策略路由』中點擊刪除，用于將已選的ISP點擊新增，用于新建ISP『名稱』用于設(shè)置ISP『WHOIS標(biāo)志』用于設(shè)置相應(yīng)的ISP地址段對應(yīng)的whois標(biāo)志，便于根據(jù)標(biāo)志識別不應(yīng)用特征識的檢測通過端口或協(xié)議無法區(qū)分的應(yīng)用類型，比如QQ、P2P等。定義規(guī)則詳細(xì)介紹見章節(jié)3.4.5）。查看應(yīng)用識別規(guī)應(yīng)用類別中細(xì)化的分類，如IM中的QQ，MSN等。啟用/禁用應(yīng)用識別規(guī)3.4.2行禁用，如圖篩選出QQ相關(guān)的應(yīng)用：勾選具體應(yīng)用“QQ”，點擊啟用或者禁用，即可對QQ點 或 HTTP協(xié)議的數(shù)據(jù)識別。所以設(shè)備限制此類規(guī)則不能被禁應(yīng)用智能識『應(yīng)用智能識別庫』也是用于識別各種上網(wǎng)數(shù)據(jù)的應(yīng)用類型的，它和『應(yīng)用特征識別庫』的P2P應(yīng)用、skype、SSL、SANGFOR數(shù)據(jù)的識別、自由門，等工具數(shù)據(jù)。配置界面如下：啟用/禁用應(yīng)用智能識別規(guī) 語音識別規(guī)則】的編輯框，列出所有 編輯P2P行為識別規(guī)P2P 數(shù)據(jù)可能是未識別的P2P數(shù)據(jù)，這時可以將此處的靈敏度調(diào)高一些。比一些應(yīng)用本不進(jìn)行P2P智能識別，可以避免部分誤判的情況。自定義應(yīng)新增自定義應(yīng)用規(guī)：[協(xié)議]：設(shè)置數(shù)據(jù)所采用的協(xié)議類型，此例中郵件發(fā)送是TCP協(xié)議；[IP地址]：設(shè)置源IP、目標(biāo)IP或者是識別后的目標(biāo)IP 發(fā)送郵件的帶寬。（）建議設(shè)置自定義規(guī)則時要加上目標(biāo)端口、IP和等識別信息，如果識別的條件過于寬泛，可能會和內(nèi)置的應(yīng)用識別規(guī)則有導(dǎo)致應(yīng)用識別，從而導(dǎo)致部分控制啟用/禁用/刪除自定義應(yīng)用規(guī)導(dǎo)入/導(dǎo)出自定義應(yīng)用規(guī)『URL分類庫』是根據(jù)網(wǎng)頁的內(nèi)容定義出不同的URL類型，幫助設(shè)備識別各類，以實現(xiàn)對各種類型的進(jìn)行權(quán)限控制和流量控制。『URL庫列表』中顯示的是內(nèi)置URL組和自定義的URLURL組由深信服定期在服務(wù)器上進(jìn)行更新，設(shè)備通過上網(wǎng)連接服務(wù)器進(jìn)行更新，此類更新需要。自定義URL組是在內(nèi)置URL組不滿足需求時，客戶可以通過已知的URL設(shè)置的URL組。URL庫列『URL庫列表』包括設(shè)備內(nèi)置的URL庫和用戶自定義的URL庫。內(nèi)置URL設(shè)備定時更新，但更新內(nèi)置庫需要序列號，且保證設(shè)備能夠上網(wǎng)。自定義URL庫可以進(jìn)行增加、刪除和修改等操作（參見章節(jié)3.4.7小節(jié)。在【導(dǎo)航菜單】頁面中的『對象定義』→『UL分類庫』，右邊進(jìn)入【UL分類庫】頁面：點擊【UL庫列表】頁面，頁面上方顯示了內(nèi)置UL庫版本以及內(nèi)置UL在【導(dǎo)航菜單】頁面中的『對象定義』→『URL分類庫』，右邊進(jìn)入【URL分類庫】查詢的，點擊查詢后，查詢結(jié)果中會顯示URL對應(yīng)的類別。URL字則被識別成該URL組，關(guān)鍵字匹配優(yōu)先級低于內(nèi)置URL庫和自定義URL庫。1、用*號表示通配，比如要設(shè)置一個URL表示新浪的子頁面，包括新浪 .cn）、新浪體育（ .cn）、新浪（ URL刪除URL組用于刪除用戶自定義的URL組，設(shè)備內(nèi)置的URL組是不能刪除的庫列表】頁面，勾選自定義的URL庫，點擊刪除，則可刪除對應(yīng)的URLURL修改URL組既可以修改用戶自定義的URL組也可以修改內(nèi)置的URL組，不過兩者有對于用戶自定義的URL組，進(jìn)行編輯時，可以編輯URL組的描述以及URL、關(guān)內(nèi)置庫中已有的URL，只能在[URL]和[關(guān)鍵字]中添加URL和關(guān)鍵字，作為對內(nèi)置URL直接點擊需要修改的URL組的名稱，然后彈出【編輯URL服預(yù)定義服自定義服協(xié)議用于設(shè)置服務(wù)的協(xié)議類及端，分別擊T、UD、[P、其他，TCPUDP的填寫格式是一行一個端口或者端口范圍，ICMP填寫格式為“type:a,code:b”（不帶引號）ab0-255的整數(shù)，可以輸入多行。服務(wù)IP『IP組設(shè)置』用于定義一個包含某些IP地址的IP地址組，這個IP組可以是內(nèi)網(wǎng)的IP段，也可以是公網(wǎng)的某些IP范圍，或者是全部IP?！篒P組設(shè)置』可以被『』→『地址轉(zhuǎn)換』、『內(nèi)容安全』→『應(yīng)用控制策略』、『流量管理』→『通道配置』等處。在【導(dǎo)航菜單】頁面中的『對象定義』→『IP組』，右邊進(jìn)入【IP組】編輯頁面來的IP地址追加到IP用DNS地址，能正常解析。時間計『時間計劃』用于定義常用的時間段組合，然后在『內(nèi)容安全』→『應(yīng)用控制策略』單次時間計循環(huán)時間計點 文件類型『文件類型組』用于定義需要的文件類型，并可應(yīng)用到『內(nèi)容安全』→『 過濾』→『文件過濾』中，限制文件HTTP和FTP的上傳和，也可用于『流量管理』→『通設(shè)備默認(rèn)自帶有、音樂、文本、壓縮文件、應(yīng)用程序的大部分文件類型，信任的頒發(fā)機(jī)『信任的頒發(fā)機(jī)構(gòu)』用于『內(nèi)容安全』→『WEB過濾』→『ActiveX過濾』，當(dāng)勾型的的ActivX控件。用戶可以導(dǎo)入或者刪除這個的。支持從本地導(dǎo)入格式為crt或cer。

，選 不存在CN名，則采用最后一個字段的名（字段的排列順序和IE有可能不一樣）認(rèn)證系用戶管概用戶管用戶認(rèn)相比基于IP地址的管理來說更直觀，也更精確。要實現(xiàn)基于用戶的管理，本系統(tǒng)必須要知道某個IP地址上某個時刻是哪個用戶在使用 系統(tǒng)進(jìn)行結(jié)合，以識別出某個IP地址上目前正在使用的用戶，用戶上網(wǎng)時不會再要求先輸ActiveDirectory域的單點登錄（.1.1）結(jié)合服務(wù)器的單點登錄（參見章節(jié).1.2）結(jié)合POP3郵件服務(wù)器的單點登錄（.1.3）結(jié)合WEB表單認(rèn)證的單點登錄（參見章節(jié).1.4）3、基于IP地址、MAC地址、計算機(jī)名的識別根據(jù)數(shù)據(jù)包的源IP地址/MAC地址，上網(wǎng)計算機(jī)的計算機(jī)名來識別用戶。此種識別用戶類IP/MAC組/用查看用戶/組、綁定信息（用戶綁定的IP、MAC信息、過期時間（用戶、描述信息、狀態(tài)（啟用或選擇功能：此功能用于快速選擇當(dāng)前頁和全部頁的用戶、用戶組，點擊彈出索IP地址]、[搜索MAC地址]，在后面的輸入框中輸入內(nèi)容，按回車鍵進(jìn)行搜索。新增用戶/ 置IP或者M(jìn)AC條件，用于設(shè)備判斷用戶的認(rèn)證方式?？蛻魞?nèi)網(wǎng)/網(wǎng)段的電腦全部采用用戶名的認(rèn)證方式，并在IP范圍（即限制登錄的IP范圍）為-00，可以多人同時登陸。第一步：客戶需求是：網(wǎng)的電腦全采用戶名的認(rèn)證在『用戶認(rèn)證』→『認(rèn)證策略』中設(shè)置認(rèn)證策略，設(shè)置此用戶的IP或者M(jìn)AC范圍證區(qū)域。如圖，本例用以選擇內(nèi)網(wǎng)區(qū)做認(rèn)證為例。區(qū)域設(shè)置請參考章節(jié)。勾選[本地]，在[]的輸入框中輸入用戶登錄認(rèn)證的。[綁定IP/MAC地址]用于將該用戶和IP/MAC地址綁定。此例中需要：單向綁定IP圍（即限制登錄的IP范圍）-00，在輸入框中填入名和，點擊登錄。如果用戶名驗證正確并且符合綁定的IP條件，則認(rèn)證通過。如果用戶名正確，但登錄使用的IP地址不屬于綁定的IP范圍，則認(rèn)證不通過，提客戶內(nèi)網(wǎng)/網(wǎng)段的電腦全部采用用戶名的認(rèn)證方式，并在工程師組中新增一個用戶：工程李，此用戶的認(rèn)證方式是用戶名認(rèn)證，并且雙向綁定IP/MAC17/00-1C-25-AC-4C-44（即此用戶認(rèn)證時必須使用IP/MAC，并且其第一步：客戶需求是：/網(wǎng)段的電腦全部采用用戶名的認(rèn)證在『用戶認(rèn)證』→『認(rèn)證策略』中設(shè)置認(rèn)證策略，設(shè)置此用戶的IP或者M(jìn)AC范圍第四步：設(shè)置『用戶屬性』，勾選[本地]，在[]的輸入框中輸入用戶登錄認(rèn)證。17/00-1C-25-AC-4C-44（即此用戶認(rèn)證時必須使用此IP/MAC，并且其他用戶不能使用此IP/MAC）。，在輸入框中填入名和，點擊登錄。如果用戶名驗證正確并且符合綁定的IP條件，則認(rèn)證通過。方式時，用戶可以不用輸入用戶名直接上網(wǎng)，此時設(shè)備是以IP地址、MAC地址或者是一對一的關(guān)系，此時可以根據(jù)IP/MAC識別到對應(yīng)的用戶。2『用戶認(rèn)證』→『認(rèn)證策略』中設(shè)置不需要認(rèn)證，并以IP地址或MAC地址或者IPMAC地址或者計算機(jī)名，匹配IP/MAC進(jìn)行雙向綁定，即只有主管的電腦才可以使用此賬號上網(wǎng)。主管電腦的IP/MAC定。此例中需要：雙向綁定IP/MAC為17/00-1C-25-AC-4C-44。[IP/MAC地址]的雙向綁定，因為這項設(shè)置具有唯一性，不能在添加多用戶時設(shè)刪除用戶/該組刪除。）批量編輯用戶/多個組進(jìn)行編輯，批量編輯用戶時不能設(shè)置[IP/MAC地址]的雙向綁定，因為這兩項把“4，master，3，2，，工程張”這六個用戶的描述都寫為工程部；設(shè)置同樣的用戶名認(rèn)證；單向綁定IP地址范圍：-55；用戶有效期到2012年11號。第二步：勾選[描述]，填上工程師。勾選[設(shè)置]和[本地]，填上第三步：勾選[綁定IP/MAC地址]和[啟用IP/MAC綁定]，選擇[修改IP/MAC地址]，填上-55。勾選[賬號過期時間]，選擇[過期日期]，選擇時間為2012-01-01導(dǎo)入導(dǎo)出用戶/ 面進(jìn)行用戶的導(dǎo)入，詳細(xì)配置請參見章節(jié)第二步：控制臺上有提示“導(dǎo)出成功”，然后彈出框。點擊導(dǎo)出的移動用戶/將用戶support-xwb與support-pc移動到“/點擊移動按鈕成功移動support-xwb第二步：點擊移動按鈕成功移動support-pc和support-xwb用戶導(dǎo)『掃IP導(dǎo)入』IP/MAC綁定的用戶時，可以通過[IP導(dǎo)入]掃描內(nèi)網(wǎng)用戶IP/MACIP和已有的用戶綁定的IP有時，無法導(dǎo)入此用戶。MSActiveDiretory服務(wù)器上導(dǎo)入用戶。此處的域用戶導(dǎo)入時，域服務(wù)器中的安全組會CSV格式文件導(dǎo)通過一個CSV的文件導(dǎo)入用戶，導(dǎo)入的用戶時可以同時導(dǎo)入顯示名、認(rèn)證方式、綁存該格式的表格文件，例如常見的微軟EXCEL電子表格軟件就可以編輯該類型的文件，而XLSCSVcsv文件格式很簡單，不表格中編輯用戶信息，導(dǎo)入時，再轉(zhuǎn)換成csv格式后導(dǎo)入。

IPMAC地址，并且支持將掃描出的用戶導(dǎo)入設(shè)備，用戶名是用掃描IP配置案第一步：選擇『掃描IP導(dǎo)入，點

點 1unknow表示機(jī)器名沒有獲取到，機(jī)器名是通過登錄控制netbios協(xié)議獲取的，掃描不到機(jī)器名，請確認(rèn)以下幾點：目標(biāo)電腦上是否開啟了netbios協(xié)議；目標(biāo)電腦上是否配置了多IP；目標(biāo)電腦上是否有過濾了netbios協(xié)議；網(wǎng)絡(luò)路徑中是否有設(shè)備做了netbios協(xié)議的過濾。從外部LDAP服務(wù)器上導(dǎo)入用用于將LDAP服務(wù)器中的用戶同步到設(shè)備中，該功能僅支持從MSActiveDiretory服務(wù)器上導(dǎo)入用戶，如果是其他類型的LDAP服務(wù)器，請通過『用戶管理』→『LDAP自動同步』來完成用戶的導(dǎo)入（參見章節(jié)）。實現(xiàn)從LDAP服務(wù)器上導(dǎo)入用戶，首先需要配置LDAP服務(wù)器（具體設(shè)置參見：『功能說明』→『用戶與策略管理』→『用戶認(rèn)證』→）1、LDAPLDAPIE瀏常到和導(dǎo)入LDAP服務(wù)器中的用戶信息。LDAP自動同『LDAP自動同步』用于將域服務(wù)器中的用戶、組織結(jié)構(gòu)、安全組同步到設(shè)備上，并且0點-6點的一AD域）][按組織結(jié)構(gòu)(OU)同步]：適用于所有類型的LDAPLDAP到設(shè)備，用戶同步到設(shè)備仍然屬于對應(yīng)的OU組。[按安全組同步（僅AD域）]：僅適用于微軟的LDAP服務(wù)器，即AD域。按照這種方式同步時，AD域服務(wù)器中的安全組會以用戶組的形式同步到設(shè)備，安全組沒有組織結(jié)構(gòu)，新增同步策按組織結(jié)構(gòu)（OU）同LDAPLDAPOU會以用備仍然屬于對應(yīng)的OU組。LDAP服務(wù)器中的OU=工程部，OU=市場部，OU=IT部同步到設(shè)備中，同時同步這些OU對應(yīng)的子OU和用戶。第一步：設(shè)置需要同步的LDAP服務(wù)器，設(shè)置IP、端口、登陸用戶名等信息，具體請參見『用戶認(rèn)證』→『外部認(rèn)證服務(wù)器』（）第二步：進(jìn)入『認(rèn)證系統(tǒng)』→『LDAP自動同步』，點擊新增，在彈出的【LDAP同步】窗第三步：在【 同步】窗口中，設(shè)置[策略名稱]、[策略描述]、[同步工作模式]、[第四步：[同步來源配置]用于設(shè)置需要同步的LDAP服務(wù)器的OU[LDAP服務(wù)器]用于設(shè)置需要同步的LDAP服務(wù)器，此處選擇的服務(wù)器即為步驟一中設(shè)[從以下目標(biāo)同步]用于指定需要同步LDAP服務(wù)器中哪些OU，點擊選擇，在窗【組織結(jié)構(gòu)選擇】中選擇需要同步的OU：OU=工程部，OU=市場部，OU=IT部選擇完成勾選[從目標(biāo)的根節(jié)點開始創(chuàng)建本地組織結(jié)構(gòu)]表示LDAP中的根也會以組的形式同步過來，且同步的OU都是它的子組。勾選[從目標(biāo)的當(dāng)前選點開始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選的OU開始勾選[從目標(biāo)的當(dāng)前選點的子節(jié)點開始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選OU的子OU開始同步，所選OU和所選OU的直屬用戶此時都不會同步到設(shè)備上。[導(dǎo)入OU的最大深度]：用于設(shè)置導(dǎo)入的OU深度，此處設(shè)置的是10，表示從所選OU9級子OU9級以下的OU不會以用戶組同步到設(shè)備了，9級以下OU的用戶還是可以同步到設(shè)備的，這些用戶同步過來是屬于第9級OU的。第五步：[同步目標(biāo)配置]用于設(shè)置導(dǎo)入方式、同步的OU和用戶被放置在設(shè)備組織結(jié)構(gòu)[導(dǎo)入方式]用于選擇同步時是否OU和用戶。勾選[同步LDAP的OU組織結(jié)構(gòu)和用戶到本地]OUOUOU對應(yīng)的用戶組下。勾選[同步LDAP的用戶到本地，忽略O(shè)U組織結(jié)構(gòu)]表示將OU中的用戶同步到設(shè)OU。勾選[LDAPOU組織結(jié)構(gòu)到本地，不導(dǎo)入用戶]OU 第六步：設(shè)置完同步策略，點擊提交，添加策略完成。在【LDAP自動同步】頁面查看OU和用戶同LDAP服務(wù)器中的完全一致。按安全組同步（AD域MSActiveDiretoryAD域。按照這種方式同步時，AD域服務(wù)器LDAP中安全組沒有組織結(jié)構(gòu)的概念，設(shè)備LDAP服務(wù)器中的CN=IT人員，CN=經(jīng)理組，CN=普通上網(wǎng)組同步到設(shè)備中，同時第一步：設(shè)置需要同步的LDAP服務(wù)器，設(shè)置IP、端口、登陸用戶名等信息，具體請參見『用戶認(rèn)證』→『外部認(rèn)證服務(wù)器』（）第二步：進(jìn)入『用戶與策略管理』→『LDAP自動同步』，點擊新增，在彈出的【LDA同動同步]。[同步工作模式]選擇按安全組同步，[自動同步]選擇啟用，自動同步一天同步一次。[LDAP服務(wù)器]用于設(shè)置需要同步的LDAP服務(wù)器，此處選擇的服務(wù)器即為步驟一中設(shè) 目標(biāo)同步]用于指定需要同步LDAP服務(wù)器中哪些安全組，點擊，勾選[從目標(biāo)的根節(jié)點開始創(chuàng)建本地組織結(jié)構(gòu)]表示LDAP中的根也會以組的形式同步過來，且同步的OU都是它的子組。勾選[從目標(biāo)的當(dāng)前選點開始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選的OU開始勾選[從目標(biāo)的當(dāng)前選點的子節(jié)點開始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選OU的子OU開始同步，所選OU和所選OU的直屬用戶此時都不會同步到設(shè)備上。[導(dǎo)入OU的最大深度]第六步：設(shè)置完同步策略，點擊提交，添加策略完成。在【LDAP自動同步】頁面查看刪除同步策查看同步報點 用戶認(rèn)『用戶認(rèn)證』用于設(shè)置用戶認(rèn)證的相關(guān)設(shè)置，包括『認(rèn)證策略』、『認(rèn)證選項』、『外部認(rèn)證義中定義P來實現(xiàn)對內(nèi)網(wǎng)C的各種保護(hù)，此時用戶以及記錄日志均以P地址的方式認(rèn)證策概1、不需要認(rèn)證；2、認(rèn)證（包括本地認(rèn)證和外部服務(wù)器認(rèn)證；3、單點登錄；IPMAC地址、上網(wǎng)計算到對應(yīng)的用戶。（注意『認(rèn)證策略』中設(shè)置的IP/MAC范圍需要包含綁定的IP/MAC）。IPMAC地址或者IPMAC地址或者計算機(jī)名，匹配否為password，如果正確，則認(rèn)證成功，否則，認(rèn)證失敗。上進(jìn)行設(shè)置（參見章節(jié).1）。通過設(shè)置[例外的用戶]，排除一部分用戶無需使用單點登錄認(rèn)證，通過手動輸入用戶 擇以IP地址做為用戶名或者以MAC地址做為用戶名或者以計算機(jī)名作為用戶名；2、單點選擇認(rèn)證區(qū)義ETH2口為區(qū)，ETH1口為內(nèi)網(wǎng)區(qū)。新增認(rèn)證策新用戶自動添加到“/IPIP一一對應(yīng)。內(nèi)網(wǎng)其他網(wǎng)段的用戶不需要認(rèn)證，以IP作為用戶名，新用戶自動添加到“/默認(rèn)LDAP認(rèn)證服務(wù)器（）第二步：設(shè)置『用戶認(rèn)證』→『認(rèn)證策略』，點擊新增，彈出【認(rèn)證策略】窗口。在[策略適用IP/MAC范圍]中填寫IP、IP段或者M(jìn)ACIPMAC匹配用戶對應(yīng)本例中需要做第服務(wù)器認(rèn)證，所以勾選[本地認(rèn)證/外部認(rèn)證/單點登勾選[到外部LDAP上認(rèn)證的新用戶，不添加到選擇的本地組，而是自動觸發(fā)該用戶的同步，添加到相應(yīng)的組中]此項勾選表示用戶如果是LDAP第認(rèn)證或者是單點登錄的用LDAPLDAP同步的策略將用戶][，此選擇對認(rèn)證用戶有此例中需要選擇[雙向綁定]的綁定方式，并且勾選第一項[綁定第一次登錄的 地址用戶名；此處不需要勾選[本地]，因為勾選本地后，此用戶就擁有本地認(rèn)證的屬性，用戶認(rèn)證時不再到外部服務(wù)器上認(rèn)證；勾選[IP/MAC地址]設(shè)置需要綁定的IP需求：內(nèi)網(wǎng)其他網(wǎng)段的用戶不需要認(rèn)證，以IP作為用戶名，新用戶自動添加到“/默認(rèn)『認(rèn)證方式』：勾選[不需要認(rèn)證/單點登錄]中的[以IP作為用戶名『新用戶選項』：勾選[添加到指定的本地組中]，并選擇“/默認(rèn)組/”認(rèn)證策略是從上往下匹配的，所以本例中設(shè)置的兩條認(rèn)證策略，設(shè)置順序應(yīng)如下圖所 內(nèi)網(wǎng) 第一步：在『用戶認(rèn)證』→『認(rèn)證選項』→『跨三層MAC識別』中設(shè)置SNMP跨三層獲取MAC的選項。（參見章節(jié).4）勾選[綁定IP/MAC地址]和[綁定第一次登錄的MAC地址，IP不綁定]『認(rèn)證選項』→『跨三層MAC1NETBIOS協(xié)議來獲取上網(wǎng)計算機(jī)的計算機(jī)名，可能會出現(xiàn)獲取電腦上是否配置了多IP；電腦上是否有過濾了NETBIOS協(xié)議；網(wǎng)絡(luò)路徑中是否有設(shè)備做了NETBIOS協(xié)議的過濾。如果獲取不到計算機(jī)名，則系統(tǒng)會把該計算機(jī)當(dāng)成臨時MACSNMP協(xié)議，獲取離上網(wǎng)計算機(jī)最近的三層交換機(jī)（也就是上網(wǎng)計算機(jī)指向的網(wǎng)關(guān)設(shè)備）ARPIP地址上真正的源MAC地址。/AD域單點登錄進(jìn)行認(rèn)證，即用戶在登錄系統(tǒng)通過AD域認(rèn)證時，同時通過設(shè)備的認(rèn)證，AD域中的用戶可以同步到設(shè)備上。要求如果這個網(wǎng)段的電腦單點登錄失敗或者是沒有登錄域的時候，以IP地址做用戶名，不需要勾選[到外部LDAP上認(rèn)證的新用戶，不添加到選擇的本地組，而是自動觸發(fā)該用戶的注意此處不能設(shè)置[綁定IP/MAC地址]進(jìn)行雙向綁定，因為未做單點登錄的用戶自動添刪除認(rèn)證策批量編輯認(rèn)證策第二步：，點

[][用戶選項]的相關(guān)策略不會變化，仍然是原來的策略。相反，只編輯[新用戶選項]，批量編認(rèn)證策略優(yōu)先級調(diào)戶認(rèn)證時，從上往下進(jìn)行匹配。一旦IP或MAC符合該策略，則執(zhí)行該策略的認(rèn)證方式。勾選“市場部小組一”策略，點擊上移，向上移動到“市場部”策略上面，讓“市場部小組一策略優(yōu)級別更，192.1682.1-92.168.210的用戶可以先認(rèn)“市場小導(dǎo)入認(rèn)證策 ，按照示例文件的格式編輯『認(rèn)證策略』認(rèn)證選選項』、『認(rèn)證通過跳轉(zhuǎn)『認(rèn)證』、『跨三層MAC識別』『其他認(rèn)證選項』。單點登錄選使用和第認(rèn)證服務(wù)器同一套用戶名。目前設(shè)備支持的單點登錄類型包括：AD域單點登錄、Proxy單點登錄、POP3單點登錄和Web單點登錄。此處設(shè)置的是只是實現(xiàn)單點登別在『用戶管理『外部認(rèn)證服務(wù)器』證策略』中設(shè)（參見章節(jié)、、）。如果客戶的網(wǎng)絡(luò)中已有一臺微軟AD域服務(wù)器做用戶管理，并且客戶內(nèi)網(wǎng)用戶登錄電腦用域下發(fā)或登錄域的數(shù)據(jù)包兩種方式實現(xiàn)。域單點登錄只適用于微軟AD域（MSActiveDirectory）。域下發(fā)模式配置2、域返回成功登陸信息給務(wù)器』進(jìn)行設(shè)置（參見章節(jié)）

第三步：在AD域服務(wù)器上配置登錄程序 存的登陸文件(即logon.exe)，并在參數(shù)中輸入IP(IP是屬于設(shè)備端的IP)，端(固定是1773)，密鑰(必須與設(shè)備端設(shè)置的一致)。注意每個參數(shù)以空格分隔，后點擊應(yīng)用第四步：在LDAP上配置注銷程序。設(shè)置注銷的目的是在用戶注銷域的時候在彈出的注銷編輯窗口左下腳點擊“顯示文件”(在此為ShowFile)，將打開一個然后將注銷(即logoff.exe)文件保存在該 IP，依次關(guān)閉所有的組策略屬性頁面配置。第五步：設(shè)置認(rèn)證策略，根據(jù)需要使用單點登錄的用戶的IP或MAC設(shè)置認(rèn)證策略，點擊『用戶認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見章節(jié).3）。1PCDNSIP地址，否則會因無法解析域的IP而導(dǎo)致登錄不了域服務(wù)器。登陸到域，可以進(jìn)入windows，但實際上沒有登錄到域，此時單點登錄無效，用戶上網(wǎng)時仍會彈出認(rèn)證框要求輸入用戶名和，這個主要是因為windows可以記住上次輸入的正模式配置模式是通過PC登錄域服務(wù)器的數(shù)據(jù)，從到的數(shù)據(jù)中獲取用戶登錄的信息，從登陸域的數(shù)據(jù)經(jīng)過設(shè)備或者是通過口鏡像到設(shè)備。設(shè)備通過UDP88端口的登陸信勾選[計算機(jī)登錄域的數(shù)據(jù)，獲取登錄信息]，表示使用模式實現(xiàn)單點登錄。在[的域控制器地址列表]中輸入域服務(wù)器的IP和端口，如果有多個域服務(wù)器，則一行一個IP和端口，如下圖所示： IPMAC設(shè)置認(rèn)證策略，點擊『用戶認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見章節(jié).3）。務(wù)器』進(jìn)行設(shè)置（參見章節(jié)）勾選[計算機(jī)登錄域的數(shù)據(jù)，獲取登錄信息]，表示使用模式實現(xiàn)單點登錄。在[的域控制器地址列表]中輸入域服務(wù)器的IP和端口，如果有多個域服務(wù)器，則一行一個IP和端口，如下圖所示：IPMAC設(shè)置認(rèn)證策略，點擊『用戶認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見章節(jié).3）。銷的狀態(tài)所以可能會出現(xiàn)PC已經(jīng)注銷了但設(shè)備的用戶列表中還沒有注銷此用戶PROXY單點登一般適用于用戶使用Proxy上網(wǎng)的環(huán)境，并且每個用戶均分配了服務(wù)器的賬號。使用Proxy單點登錄的認(rèn)證方式時，當(dāng)用戶通過Proxy服務(wù)器的驗證時，同時通過設(shè)備的認(rèn)證。Proxy單點登錄使用的是模式，也是通過登錄數(shù)據(jù)完成單點登錄的。1、用戶通過Proxy服務(wù)器上網(wǎng)，設(shè)備PC和Proxy服務(wù)器的交勾選[啟用PROXY單點登錄]啟用PROXY單點登錄功能；服務(wù)器，則一行一個IP和端口，此處的端口設(shè)置Proxy ProxyIPMAC設(shè)置認(rèn)證策略，點擊『用戶認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見章節(jié).3）第四步：PC登錄Proxy果y這個服務(wù)器的權(quán)限（詳細(xì)設(shè)置方法請參見章節(jié)381），并在【認(rèn)證選項】→『其他認(rèn)證選項』中勾選[通過認(rèn)用戶以本服務(wù)（P外）]如所示：客戶網(wǎng)絡(luò)中有郵件服務(wù)器，用戶信息存放在POP3服務(wù)器上，在上網(wǎng)之前，用戶使用Outlook、Foxmail之類的客戶端登陸POP3服務(wù)器收發(fā)一次郵件，設(shè)備通過模式到次輸入用戶名。同時適用POP3服務(wù)器在內(nèi)網(wǎng)和情況。下面分兩種情況講述POP32、郵件客戶端成功登陸POP3服務(wù)器的同時，設(shè)備自動認(rèn)證用戶，上網(wǎng)不需要再次需3、由于數(shù)據(jù)交互是在內(nèi)網(wǎng)，內(nèi)網(wǎng)登錄POP3服務(wù)器的數(shù)據(jù)不經(jīng)過設(shè)備，需要在設(shè)備上 第一步：設(shè)置認(rèn)證POP3服務(wù)器，點擊進(jìn)入『用戶認(rèn)證』→『認(rèn)證選項』→『外部認(rèn)證服務(wù)器』進(jìn)行設(shè)置（參見章節(jié)）『用戶認(rèn)證』→『認(rèn)證選項』→『單點登錄選項』→『POP3單點登錄』頁面進(jìn)行配置。勾選[啟用POP3單點登錄]啟用POP3單點登錄功能；在[郵件服務(wù)器地址列表]中輸入POP3服務(wù)器的IP和端口，如果有多個POP3服務(wù)器，則一行一個IP和端口，此處的端口設(shè)置POP3認(rèn)證的端口（一般默認(rèn)是TCP110），如 略，點擊『用戶認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見章 .3）1、PC登陸P0P3服務(wù)器是設(shè)備服務(wù)器』進(jìn)行設(shè)置（參見章節(jié)）『用戶認(rèn)證』→『認(rèn)證選項』→『單點登錄選項』→『POP3單點登錄』頁面進(jìn)行配置。勾選[啟用POP3單點登錄]啟用POP3單點登錄功能；在[郵件服務(wù)器地址列表]中輸入POP3服務(wù)器的IP和端口，如果有多個POP3服務(wù)器，則一行一個IP和端口，此處的端口設(shè)置POP3認(rèn)證的端口（一般默認(rèn)是TCP110），如略，點擊『用戶認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見章節(jié)36213）。第四步：C通過郵件客戶端收發(fā)一次郵件，登錄O3果3這個服務(wù)器的權(quán)限（詳細(xì)設(shè)置方法請參見章節(jié)381），并在【認(rèn)證選項】→『其他認(rèn)證選項』中勾選[通過認(rèn)用戶以本服務(wù)（P外）]如所示：Web單點登陸一般適用于用戶有自己的web服務(wù)器，且?guī)ぬ栃畔⒕４嬖趙eb服務(wù)器上，客戶想要實現(xiàn)，用戶上網(wǎng)前通過自己Web服務(wù)器的認(rèn)證同時也通過設(shè)備的認(rèn)證。適用于Web服務(wù)器在內(nèi)網(wǎng)或的環(huán)境。面。然后點『單點登錄選項設(shè)置』→『Web單點登錄』進(jìn)入Web單點登錄配置頁面，先勾選證前，進(jìn)行網(wǎng)頁都會重定向到此頁面上進(jìn)行Web單點登錄。第五步：選擇[認(rèn)證成功關(guān)鍵字]或者[認(rèn)證成功關(guān)鍵字]，用來識別Web登錄是否成功的關(guān)鍵字。比如選了[認(rèn)證成功關(guān)鍵字]，則在POST的返回結(jié)果中，如果包含了設(shè)定的關(guān)鍵字，則判斷為Web單點登錄成功，選擇了[認(rèn)證失敗關(guān)鍵字]POST的返回結(jié)果中，如果包含了設(shè)定的關(guān)鍵字，則判斷為Web單點登錄失敗，反之單點登錄成功。 1、PC登陸web服務(wù)器是設(shè)備面。然后點『單點登錄選項設(shè)置』→『Web單點登錄』進(jìn)入Web單點登錄配置頁面，先勾選證前，進(jìn)行網(wǎng)頁都會重定向到此頁面上進(jìn)行web單點登錄。第五步：選擇[認(rèn)證成功關(guān)鍵字]或者[認(rèn)證成功關(guān)鍵字]，用來識別Web登錄是否成功的關(guān)鍵字。比如選了[認(rèn)證成功關(guān)鍵字]，則在POST的返回結(jié)果中，如果包含了設(shè)定的關(guān)鍵字，含了設(shè)定的關(guān)鍵字，則判斷為Web單點登錄失敗，反之單點登錄成功。的數(shù)據(jù)，勾選一個空閑接口進(jìn)行。這個口在域單點登錄模式、POP3單點登錄以及Web單點登錄等實現(xiàn)時均需要設(shè)置。認(rèn)證通過跳認(rèn)證他IP上登錄，不注銷以前的登錄]。頁面如下：跨三層IP/MAC識需要啟用『跨三層MAC識別』的功能，用于獲取內(nèi)網(wǎng)用戶的MAC地址。使用此功能的前提是內(nèi)網(wǎng)交換機(jī)支持SNMP功能。原理：設(shè)備上的會定期發(fā)snmprequest到三層交換機(jī)請求交換機(jī)的MAC表，并保存在設(shè)備內(nèi)存中。此時如果三層交換機(jī)其它網(wǎng)段的電腦經(jīng)過設(shè)備上網(wǎng)時，如一臺PC（和設(shè)備lan口不在同一網(wǎng)段）經(jīng)過設(shè)備上網(wǎng)，該PC數(shù)據(jù)包經(jīng)過設(shè)備時，設(shè)備校驗此數(shù)據(jù)包的MAC是三層的MAC，則對此MAC這個IP去內(nèi)存中查找其真實的MAC地址，實現(xiàn)對用戶真正MAC的驗證。第一步：在三層交換機(jī)上開啟SNMP第二步：點擊進(jìn)入『用戶認(rèn)證』→『認(rèn)證選項』→『跨三層MAC識別』進(jìn)行設(shè)置，在設(shè)備界面上勾選『啟用SNMP設(shè)置』，啟用SNMP功能。第三步：設(shè)置[SNMP服務(wù)器超時時間設(shè)置]和[SNMP服務(wù)器時間間隔]，一般第四步：在[SNMP服務(wù)器列表]添加服務(wù)器，點 服務(wù)器】的編輯窗口，輸入SNMPIP

第五步：設(shè)置認(rèn)證策略，根據(jù)需要使MAC驗證的用戶的IP或MAC設(shè)置認(rèn)證策略，其他認(rèn)證選[用戶未通過認(rèn)證前，允許DNS服務(wù)]用于允許在用戶通過認(rèn)證前DNS服務(wù)。[未通過認(rèn)證用戶可以基本服務(wù)（根組權(quán)限，HTTP除外）]用于允許用戶在通過認(rèn)證前能使用除HTTP服務(wù)外的根組權(quán)限。[mac地址發(fā)生變動時，需要重新認(rèn)證]原本認(rèn)證通過的用戶，MAC地址變化了會要求重新認(rèn)證。比如一個IP為的用戶，認(rèn)證方式為用戶名和認(rèn)證，當(dāng)這個用戶下線后，由于有一段時間不會注銷該用戶，這時另一個用戶把IP改成，這樣MAC間。如圖是登陸三次失敗后凍結(jié)該用戶1分鐘。

外部認(rèn)證服務(wù)器，包括LDAP，RADIUS，POP3三種。點新增，出現(xiàn)一個下拉框：新增外部認(rèn)證服務(wù)證服務(wù)器』。進(jìn)入【外部認(rèn)證服務(wù)器】的編輯窗口。點擊新增，選擇[LDAP服務(wù)器]，會彈服務(wù)器的具體路徑。五種:[MSActiveDirectory][OPENLDAP][SUNLDAP][IBMLDAP][OTHERLADAP]。[搜索配置][使用擴(kuò)展方式函數(shù)]如果ldapldap_search，不支持的情況一般是服務(wù)器禁用或ldap軟件未實現(xiàn)（如較老版本的openldap）[頁面大小]ldap服務(wù)器管理員。(通常配置時會選用800/400/200...往小的試，直到可以同步為止)[大小限制]SizeLimits選項，用于設(shè)置同步時的sizelimit，除非服務(wù)端有明確配置，否[Radius服務(wù)器配置]Radius服務(wù)器的IP地址、端口、超時時間、共享密鑰以出一個【外部認(rèn)證服務(wù)器（POP3）】編輯框。[POP3服務(wù)器配置]用于設(shè)置POP3服務(wù)器的IP刪除外部認(rèn)證服務(wù)啟用/禁用外部認(rèn)證服務(wù)第一步：選擇【導(dǎo)航菜單】窗口中的『用戶與策略管理』菜單。點擊『用戶認(rèn)證』選項，/禁用的服務(wù)器?！骸荒K主要用于設(shè)置『地址轉(zhuǎn)換』、『連接數(shù)控制』、『Dos/DDos防護(hù)』、。其中地址轉(zhuǎn)源地址轉(zhuǎn)換配置案某客戶拓?fù)鋱D如下，客戶需要讓內(nèi)網(wǎng)用戶和服務(wù)器群都能夠通過NGAF上網(wǎng)，據(jù)經(jīng)過NGAF，也就是NGAF設(shè)備出接口ETH1IP地址。接口對象定義』→『IP組』定義好內(nèi)網(wǎng)網(wǎng)段所屬的【IP組】。詳細(xì)配置，請參考和3.4.8章節(jié)。此案例中將ETH1定義為[區(qū)]，ETH2定義為[內(nèi)網(wǎng)區(qū)]。/24和/24定義成IP組[內(nèi)網(wǎng)]。如圖：IP條件，只有來自指定的源區(qū)域和指定IP組的數(shù)據(jù)才會匹配該規(guī)則、進(jìn)行源地址轉(zhuǎn)換。如路由接口內(nèi)網(wǎng)上網(wǎng)，則一般配置源區(qū)域為內(nèi)網(wǎng)、源IP組為內(nèi)網(wǎng)IP網(wǎng)段，或者全部。此案例中選擇區(qū)域為[內(nèi)網(wǎng)區(qū)]，[IP組]為[內(nèi)網(wǎng)]，如圖：標(biāo)區(qū)域、哪些目標(biāo)IP組、或者從哪個接口出去的數(shù)據(jù)，才匹配該規(guī)則。如路由接口代理內(nèi)網(wǎng)上網(wǎng)，則一般配置目標(biāo)區(qū)域為公網(wǎng)、目標(biāo)IP組為全部。本案例中選擇目標(biāo)區(qū)域為[外網(wǎng)區(qū)]，IP組為[全部]，如圖： 內(nèi)網(wǎng)服務(wù)器的服務(wù)映射到公網(wǎng)，使Internet用戶可以到網(wǎng)絡(luò)內(nèi)部服務(wù)器。在【地址轉(zhuǎn)換】目的地址轉(zhuǎn)換配置舉某客戶拓?fù)淙缦拢蛻魞?nèi)網(wǎng)有一臺WEB0080戶希望用戶輸入也能到內(nèi)網(wǎng)00服務(wù)器。此處需要使用目的區(qū)]，ETH2定義為[內(nèi)網(wǎng)區(qū)]。如圖：：勾選啟用：轉(zhuǎn)換。此處目的IP是數(shù)據(jù)包目的地址轉(zhuǎn)換之前用戶的地址，一般是設(shè)備自身接口的公I(xiàn)P。本案例中設(shè)置為[]，頁面如下：為HTTP80端口屬于TCP80。頁面配置如下：端口的轉(zhuǎn)換。本案例中真正提供TCP80端口服務(wù)的內(nèi)網(wǎng)服務(wù)器IP00，并且只配置參見3.8.1應(yīng)用控制策略。設(shè)置目的端口轉(zhuǎn)換為[轉(zhuǎn)換]，并設(shè)置端口為8080。頁面如下：點 雙向地址轉(zhuǎn)換配置案某客戶拓?fù)淙缦拢瑑?nèi)網(wǎng)有一臺WEB服務(wù)00。已經(jīng)申請了一個指向。目前通過目的地址轉(zhuǎn)換已經(jīng)實現(xiàn)了用戶輸入可以到WEB服務(wù)器。但是內(nèi)網(wǎng)用戶/24無法通過該到。此時需要使向地址轉(zhuǎn)換來實現(xiàn)內(nèi)網(wǎng)用戶輸入到WEB服務(wù)器。好接口所屬的【區(qū)域】、『對象定義』→『IP組』定義好接口IP所屬的【IP組】。詳細(xì)3.4.8章節(jié)。此案例中將ETH2定義為[內(nèi)網(wǎng)區(qū)