用戶手冊-sg快速安裝

技術(shù)支持說為了在安裝，調(diào)試、配置、和學習SANGFOR設備時，、快速、有效參考本快速安裝手冊圖文指導，幫助你快速的完成部署、安裝SANGFOR設備。如果快速安裝手冊不能滿足您的需要，您可以到SANGFOR技術(shù)或官網(wǎng)獲得的完整版用戶手冊致電您的產(chǎn)品銷售商（合同簽約商SAGFOR的、。在不緊急的情況下，您可以SANGFOR的技術(shù)，尋求技術(shù)問題的解決方案和辦致電SANGFOR中心，確認最適合您的服務方式和服務提供方，中心會在您的技術(shù)問題得到解決后，幫助您獲得有效的服務信息和服務途徑，以便您在后續(xù)的產(chǎn)品使用和SANGFOR技術(shù) 公司技術(shù)支持服務： （、固話均可撥打） 技術(shù)支持說 ...................................................................................................................................................3前 第1章SG系列硬件設備的安 環(huán)境要 電 產(chǎn)品外 配置與管 單設備接線方 雙機備份接線方 第2章SG系列硬件設備部 路由模 路由模式部署配置案 網(wǎng)橋模 網(wǎng)橋多網(wǎng) 多網(wǎng) 旁路模 旁路模式部署配置案 單臂模 單臂模式部署配置案 第3章基本功能配 封堵P2P應用配置案 審計用戶上網(wǎng)行為配置案 限制工具的網(wǎng)絡流量配置案 保證重要應用網(wǎng)絡流量配置案 上網(wǎng)加速配置案 上網(wǎng)配置案 第4章安全風險提 修改控制臺登錄........................................................................................................Copyright?2013市深信服電子科技及其者，保留一切利SANGFOR及圖標為 本手冊內(nèi)容如發(fā)生更改，恕不另行通知如需要獲取手冊，請聯(lián)系深信服電子科技前供G隨術(shù)支持地址hp/ cn，詳細用戶手冊在[資料&文檔→C上網(wǎng)GA]（S/NC）。本手冊以深信服SG3600為例進行配置。各型號產(chǎn)品硬件規(guī)格存在一定差異，但是設備配置以及基本使用方法一致，本手冊適用于所有型號的SG設備。1SG系列本部分主要介紹了SANGFORSG系列產(chǎn)品的硬件安裝。硬件安裝正確之后，您可以進行環(huán)境要 系列硬件設備可在如下的環(huán)境下使輸入電、。電SANGFORSG系列硬件設備使用交流110V到230V電源。在您接通電源之前，請保證產(chǎn)品外1：SANGFORSG前面板（M3600-SG為例1.CONSOLE（控制）口2.ETH3（WAN2）3.ETH1（DMZ） 6.電源 7.告告 在設備啟動期間是紅燈長亮的。一般一兩分鐘后紅燈熄滅說明正常啟動如紅燈長時間不熄滅，請關(guān)閉設備等待5分鐘后重新開機。如果還是長亮，請聯(lián)系部門確認是否設備損壞。正常啟動后，有時紅燈會閃爍，這是正?，F(xiàn)象，紅燈閃爍表示設備正在寫系統(tǒng)日志?？刂瓶?開發(fā)和測試調(diào)試使用。最終用戶需從網(wǎng)口通過控制臺接入設備出廠的默認IP接IPSG支持安全的HTTPS登錄，使用的是HTTPS協(xié)議的標準端口登錄。如果初始登錄從LAN口登錄，那么登錄的URL為：，默認情況下的用戶名和均為HTTPS登錄WEBUI管理SG可以防止配置過程在傳輸過程中被截獲而產(chǎn)生安全隱患如何登SG設備控制按照前面所示方法接好線后，通過WEB界面來配置SANGFORSG設備。方法00 及端口。在出現(xiàn)一個如下圖的安全提示：點擊是后出現(xiàn)以下的登錄界面在登錄框輸入『用戶名』和『點擊登錄按鈕即可登錄SG 情況下的用戶名和均為admin。登錄控制臺不需要安裝任何控件，支持用非IE的瀏覽器登錄控制單設備接線方在背板上連接電源線，打開電源開關(guān)，此時前面板的Power燈（綠色，電源指示燈）請用標準的RJ-45以太網(wǎng)線將ETH0（LAN）口與內(nèi)部局域網(wǎng)連接，對SG設備進置光纖收發(fā)器或ADSLModem等。登錄控制臺后根據(jù)網(wǎng)絡拓撲配置『部署模注意：多線路的SG設備可以支持多條Internet線路，此時將WAN2口與第二條Internet接入設備相連，WAN3口與第三條Internet線路相連，依此類推外提供服務的WEB服務器、服務器等。SG設備可以為這些服務器提供安全保護。設備正常工POWER燈常亮，WANLANLINK燈長亮，ACT燈在有數(shù)ARM紅色指示燈只在設備啟動時因系統(tǒng)加載會長亮（約一分鐘，正常工作時熄滅。如果在安裝時此紅燈長亮，請將設備掉電重啟，重啟之后若紅燈一直長亮不能熄滅，請與我們聯(lián)系。WAN口直接連接MODEM應使用直連線、連接路由器應使用交叉線；LAN口連接交換機應使用直通線、直接連接電腦網(wǎng)口應使用交叉線。當指示燈顯示正常，但不能正常連接的時候，請檢查連接線是否使用錯誤。直連網(wǎng)線與交叉網(wǎng)線的區(qū)別在于網(wǎng)線兩端的線序不同，如下圖：1直連線、交若采用 雙機熱備的工作方式，按以下接線圖方式進行線路和內(nèi)網(wǎng)線路的接線使用標準RJ-45以太網(wǎng)線將兩臺SG設備ETH2（WAN1）口（若使用多線路技術(shù)，接用標準的RJ-45以太網(wǎng)線與Internet接入設備相連接，如路由器、光纖收發(fā)器或ADSLModem將配件箱中的Console線取出，將兩臺SG設備的Console口用串口線連接起使用標準RJ-45以太網(wǎng)線將兩臺SG設備ETH0（LAN）口接到同一交換機上，再使用標準的RJ-45以太網(wǎng)線與局域網(wǎng)交換機相連，連接到內(nèi)部局域網(wǎng)。2SG系列路由模式：設備做為一個路由設備使用，對網(wǎng)絡改動最大，但可以實現(xiàn)設備的所有能單臂模式：單臂模式主要為了滿足客戶使用SG設備替代原有網(wǎng)絡中的服務器的需求，設備可內(nèi)網(wǎng)上網(wǎng)，同時實現(xiàn)控制和審計通過上網(wǎng)的行為。單臂模式下，部分功能實結(jié)構(gòu)的情況下啟用，平滑架到網(wǎng)絡中，可以實現(xiàn)設備的大部分功能，網(wǎng)橋模式下不支持DHCP功能。旁路模式：設備連接在內(nèi)網(wǎng)交換機的鏡像口或HUB擇想要配置的網(wǎng)關(guān)模式P接IP路由模，再 ：路由模式部署配置網(wǎng)，公網(wǎng)線路是光纖接IP的。配置方法第一步：先配置設備，通過默認IP登錄設備，比如LAN口登錄設備，LAN口的默認IP是51/24，在電腦上配置一個此網(wǎng)段的IP地址，通過登第三步：定義LAN區(qū)網(wǎng)口和WAN區(qū)網(wǎng)口，選擇空閑網(wǎng)口，點擊增加，將空閑網(wǎng)口移其他空閑接口可以自定義其所屬的區(qū)域第四步：完成網(wǎng)口定義，點擊下一步LAN區(qū)網(wǎng)口IP地址，此例中LAN口區(qū)的網(wǎng)口是eth0，此處配置eth0的地址是：2/第五步：配WAN區(qū)網(wǎng)口，此例WAN口區(qū)的網(wǎng)eth2網(wǎng)IP地址的，所以選擇[以太網(wǎng)]。1、如果線路是ADSL撥號，需要將WAN口和modem相連。勾選[自動撥號]作[賬號]和密碼]中輸入撥號的賬號和。第七步：T配置，用于設置上網(wǎng)規(guī)則，當設備做網(wǎng)關(guān)，直接接公網(wǎng)線路時，需要在設備上做上網(wǎng)設置，以內(nèi)網(wǎng)用戶正常上網(wǎng)。設置完成后，會在『NT上條“N。第八步：配置完畢，檢查配置無誤后，點擊提設置完畢需要重啟設備才可以生效，在彈出的提示框中點擊是。第九步：此例中由于內(nèi)網(wǎng)網(wǎng)段跟設備AN口不在同一網(wǎng)段，需要加上設備到內(nèi)網(wǎng)的系交換機。并且將內(nèi)網(wǎng)交換機的上網(wǎng)路由指向SG設備的LAN口。設備工作在路由模式時，局域網(wǎng)內(nèi)電腦的網(wǎng)關(guān)都是指向設備的LAN口IP或三層交換機的網(wǎng)關(guān)再指向設備上網(wǎng)數(shù)據(jù)由設備做NAT或路由轉(zhuǎn)發(fā)出去。WAN、LAN、DMZ網(wǎng)口應設置不同網(wǎng)段的IP地址如果設置路由模式為有前置設備，請在第五步配置WAN口IP為與前置設備口同網(wǎng)段IP，其他操作一樣網(wǎng)橋模網(wǎng)橋多網(wǎng)網(wǎng)橋多網(wǎng)口一般用于以下環(huán)運行環(huán)境1：交換機連接到兩條線路FW1、FW2上，在交換機和之間接入運行環(huán)境2：為了加強網(wǎng)絡的穩(wěn)定性，減少單點故障，內(nèi)網(wǎng)交換和路由器都采機，內(nèi)網(wǎng)網(wǎng)/、/兩個網(wǎng)段。公網(wǎng)出口的兩個分別承擔流量用戶的上網(wǎng)流量配置方法第一步：先配置設備，通過默認IP登錄第三步：選擇網(wǎng)橋模式：網(wǎng)橋多網(wǎng)口模第四步：定義網(wǎng)橋接口，以及允許數(shù)據(jù)轉(zhuǎn)發(fā)的方向。LANWAN區(qū)網(wǎng)口，選網(wǎng)口和兩個口之間可以轉(zhuǎn)發(fā)數(shù)據(jù)。第五步：完成網(wǎng)口定義，點擊下一步，配置網(wǎng)橋IP、網(wǎng)橋網(wǎng)關(guān)等，此例中配置網(wǎng)橋為54，網(wǎng)關(guān)指向其中一個FW。注意：這里只能指定一個網(wǎng)關(guān)地址此例中沒有VLAN，所以這里不勾選[啟用VLAN]。第七步：配置DMZ口以及規(guī)則h1配置[IP地址]和[子網(wǎng)掩碼]，注意：管理網(wǎng)口和網(wǎng)橋IP不能屬于同一網(wǎng)段勾選[自動放通規(guī)則]：用于放通WAN<->LAN方向所有數(shù)據(jù)的規(guī)則第八步：配置完畢，查看各個配置項是否正確，如果正確，點擊提交設置完畢需要重啟設備才可以生效，在彈出的提示框中點擊是。第九步：此例中由于內(nèi)網(wǎng)網(wǎng)段跟設備AN口不在同一網(wǎng)段，需要加上設備到內(nèi)網(wǎng)的系本例中要添加 /、 兩個網(wǎng)段的路由，由下一跳指向內(nèi)網(wǎng)的三層交換機第十步：基本配置完畢后，將設備接入網(wǎng)絡中，WAN1口、WAN2FW，LAN口多網(wǎng)運行環(huán)境一：設備一進一出VRRPHSRP環(huán)境，架上設備做多網(wǎng)橋?qū)崿F(xiàn)基本審.多網(wǎng)橋部署配置案客戶環(huán)境和需求：客戶的FW和交換機之間走VRRP協(xié)議，F(xiàn)W對應的虛擬IP，設備雙進雙出做雙網(wǎng)橋部署在交換機和FW之間配置方法第一步：先配置設備，通過默認IP登錄第三步：選擇網(wǎng)橋模式：多網(wǎng)橋模式第四步：分別選擇LAN區(qū)網(wǎng)口和WAN區(qū)網(wǎng)口，組成兩對網(wǎng)橋，如圖所示[LAN網(wǎng)口選擇]用于選擇內(nèi)網(wǎng)接口[WAN網(wǎng)口選擇]用于選擇接口IPDNSDNS，和是否啟用在『網(wǎng)橋配置』中配置設備的兩個網(wǎng)橋IP、默認網(wǎng)關(guān)和DNS地址。此例中兩個網(wǎng)橋是處于同一網(wǎng)段的，網(wǎng)橋IP可以設置同一網(wǎng)段的IP但是不能設置相同的IP，按照網(wǎng)絡中空閑的IP地址分配兩個地址用做網(wǎng)橋IP，默認網(wǎng)關(guān)指向前置FW的虛擬IP地址，DNS設置網(wǎng)絡運營商分配的公網(wǎng)DNS地址。設備做網(wǎng)橋，有VLAN數(shù)據(jù)穿過設備，才需要設置VLAN的相關(guān)信息。此例中沒VLAN，所以這里不勾選[啟用VLAN]1、此處如果沒有多余的空閑地址分配做網(wǎng) IP，不會影響內(nèi)網(wǎng)上網(wǎng)的數(shù)據(jù)，此時設備沒有有效的IP和內(nèi)網(wǎng)、進行通訊，某些功能會受到影響，比如：內(nèi)置庫更新WEB認證、準入等第六步：配置管理網(wǎng)口和規(guī)管理網(wǎng)口DMZ口，選擇一個設備空閑的的網(wǎng)口（非網(wǎng)橋口）做為管理網(wǎng)口設置完畢需要重啟設備才可以生效，在彈出的提示框中點擊是。LAN1口、LAN2口接內(nèi)網(wǎng)交換機。旁路模設備對用戶網(wǎng)絡造成中斷的風險。用于把設備接在交換機的鏡像口或者接在HUB上，保證內(nèi)網(wǎng)用戶上網(wǎng)的數(shù)據(jù)經(jīng)過此交換機或者HUB，并且設置鏡像需要同時鏡像上下行的數(shù)旁路模式部署配置客戶環(huán)境和需求：要，B綜合客戶的需求和特殊的網(wǎng)絡拓撲，采用如下部署方式因為需要設備可以上，同時和內(nèi)網(wǎng)通信正常 設備旁路模式下，通過鏡像口不能上網(wǎng)的，解決辦法是將設備的管理網(wǎng)口（Z口）連接到內(nèi)網(wǎng)的交換機上，并且分配PZ接到內(nèi)網(wǎng)配置方法第一步：通過默認IP登錄設第二步：配置管理網(wǎng)口地址：旁路模式下，管理網(wǎng)口默認是 口，并且不可修改交換機上，所以填寫一個可以和交換機以及內(nèi)網(wǎng)通信的IP地址。[默認網(wǎng)關(guān)]指的是設備的網(wǎng)關(guān)，此例中填寫和 口連接的交換機的網(wǎng)口地址在[首選DNS]和[備用DNS]中填寫公網(wǎng)可以使用的DNS地址。第三步：配置網(wǎng)段和服務器列表：『網(wǎng)段與排除IP地址列表』中填寫需要的網(wǎng)段，以及需要排除的地址。此處填寫內(nèi)網(wǎng)網(wǎng)段/，則此時這個網(wǎng)段其他網(wǎng)段的數(shù)據(jù)都會被監(jiān)控，這個網(wǎng)段之間的不會被。排除網(wǎng)段用“--0”表示，填入后表示-0這個范圍內(nèi)的IP其他網(wǎng)段（）的數(shù)據(jù)不會被?！焊呒壟渲谩恢杏糜谠O置[服務器列表]，填入列表中的地址，在被網(wǎng)段中的IP訪問時，數(shù)據(jù)也會被。例如內(nèi)網(wǎng)有一臺web服務器，用戶想要記錄內(nèi)網(wǎng)用戶這臺服務以上說的是的設置，因為旁路模式下可以實現(xiàn)部分P控制功能，控制功能是在能。第四步：確認配置信息，點擊提設置完畢需要重啟設備才可以生效，在彈出的提示框中點擊是。用戶必須使用HB 或者交換機具有鏡像口的情況。如果交換機沒有鏡像口，可以在交換機前加接HB實現(xiàn)。旁路模式下，TCPDMZ口發(fā)resetDMZ口發(fā)送的reset包都能被PC和公網(wǎng)服務器收到。旁路模式下很多功能不能實現(xiàn)，比如、DHCP等旁路模式主要起的作用，限制的功能沒有路由模式和網(wǎng)橋模式那么全面。只能對P的連接進行限制，比如RL過濾，關(guān)鍵字過濾，郵件過濾等。對P不做限制，比如2P軟件，Q的登錄等。單臂模設備在單臂模式下主要用作服務器，內(nèi)網(wǎng)用戶上網(wǎng)，同時對上網(wǎng)行為進行控HAN的。單臂模式部署配置客戶環(huán)境和需求：客戶原先使用了一臺ISA服務器做HTTP，想要通過SG設備替代ISA服務器，主要用到上網(wǎng)加速和的功能，實現(xiàn)一些控制功能。要求盡量不改動原來的網(wǎng)絡環(huán)境。配置方法第一步：通過默認IP登錄設第三步：確認配置信息，點擊提設置完畢需要重啟設備才可以生效，在彈出的提示框中點擊是。單臂模式下不支持設備自帶 功能，準入功能，SNAT和DNAT功能SG單臂模式下ETH0(LAN)口的網(wǎng)關(guān)和DNS必須設置正確，確保設備能正常公網(wǎng)，否則將導致SG設備內(nèi)網(wǎng)上網(wǎng)不成功。3本功能配P2P應用配置案在【時間計劃組】頁面點新增，則彈出【時間組計劃設置】頁面點擊[新增時間段]可以設置具體的時間周期以及時間范圍。如圖如果需要設置幾個不連續(xù)的時間段，可以新增多個時間策略名稱，描:第四步:點擊應用下方 ，進入【選擇應用】窗口有關(guān)的應:點擊定鈕?；貞刂祈?。效時間擇班時間動選擇為。點擊確定按鈕，完成p2p用。第七步:選擇『適用組和用戶』選項，進行策略與用戶/組關(guān)聯(lián)第八步:點擊提交按鈕，完成整個策略設客戶需求：開啟審計，記錄所有內(nèi)網(wǎng)用戶上班時間的URL地址，和用戶通過WEBBBS發(fā)帖，WEBMAIL郵件的內(nèi)容及所有通過發(fā)送的內(nèi)容（包括、、音配置方法名稱，描述信息第三步:點擊審計對象下方的按鈕，進入【選擇審計對象】編輯窗口。選擇『HTTP附件內(nèi)容，包括WebMail附件]，[內(nèi)容]，[包含附件（、、音樂）]。/第四步:選擇 』，然后勾選[URL]，設置審計的URL。/擇『生效時間』為上班第五步:選擇適用的組和用第六步:點擊提交按鈕，完成整個策略限制工具的網(wǎng)絡流量配置案客戶需求：公司租用了一條10Mb/s電信線路，內(nèi)網(wǎng)有1000名上網(wǎng)用戶，發(fā)現(xiàn)很多市場每個用戶的P2P速度限制在30KB/s以內(nèi)。配置方法第一步：進入『流量管理』→『線路帶寬配置』配置公網(wǎng)線路帶寬，點擊線 1，彈設置成10(Mb/s)/8=1.25MB/s。第二步 進入『流量管理』→『通道配置』，先啟用流量管理系統(tǒng)勾選[啟用流量管理系統(tǒng)]，啟用流量管第三步:本例中是對市場部人員的P2P應用的數(shù)據(jù)進行流控，限制這些應用占用的總帶寬不超2Mb/s。[啟用通道]【帶寬通道設置】：用于設置生效線路、通道類型、限制或保證的帶寬、單個用戶帶等[生效線路]用于選擇通道適用的線路。本例中只有一條公網(wǎng)線路，所以[生效線路]選擇“線路1。的2P等數(shù)據(jù)進行帶寬限制，則此處勾選[限制通道]，設置[上行帶寬]、[下行帶寬]分別為20%的總10b2bs?！簡⒂孟拗茊蜪P最大帶寬』用于限制匹配到此通道的單個IP占用的帶寬值，此例中需要入30KB/s。置的范圍包括：應用類型、適用對象、生效時間和目標IP組，這些條件需要全部滿足才能匹[適用應用]用于設置應用類型。勾選[自定義]選擇特定的應用類型，點擊選擇自定義用，在彈出框【自定義適用服務與應用】中選擇應用類型，此例中需要對2P工具數(shù)據(jù)進行流控，則此處選擇應用：文件/全部、2/全部、2P流/全[適用對象]用于設置此通道對哪些用戶、用戶組、P生效。勾選[自定義]用于指定特定要對市場部門的所有用戶做帶寬限制，則此處選擇“市場部門”用戶組。選擇好適用對象[生效時間]用于設置此通道的生效時間[IP組]用于設置目IP條件設置完成后，顯示如下設置完成后，點擊確定，完成限制通道的設置保證重要應用網(wǎng)絡流量配置案客戶需求：10Mb/s1000名上網(wǎng)用戶，保證財務部網(wǎng)上銀行和收發(fā)郵件的數(shù)據(jù)在占用帶寬也不小于2Mb/s，但是最大過5Mb/s。配置方法第一步：進入『流量管理』→『線路帶寬配置』配置公網(wǎng)線路帶寬，點擊線 1，彈【線路帶寬編輯】窗口，本例中公司的線路是一條10M的電信線路則將[上行]、[下行]分別設置成10(Mb/s)/8=1.25MB/s。第二步 進入『流量管理』→『通道配置』，先啟用流量管理系統(tǒng)勾選[啟用流量管理系統(tǒng)]，啟用流量管第三步:本例中是對財務部人員的網(wǎng)上銀行類別的以及收發(fā)郵件的數(shù)據(jù)做帶寬保證[啟用通道]在【通道編輯菜單】中選擇[帶寬通道設置]，在右邊窗口中設置通道的相關(guān)屬性【帶寬通道設置】：用于設置生效線路、通道類型、限制或保證的帶寬、單個用戶帶等[生效線路用于選擇通道適用的線路。此例中只有一條線路，所以[生效線路1總帶寬，總帶寬是10Mb/s，則保證帶寬為2Mb/s，最大帶寬為5Mb/s。置的范圍包括：應用類型、適用對象、生效時IP組，這些條件需要全部滿足才能匹配到此通[適用應用]用于設置應用類型。勾選[自定義]選擇特定的應用類型，點擊選擇自定義應用，在彈出框【自定義適用服務與應用】中選擇應用類型和類型要網(wǎng)上銀行類別的以及收發(fā)郵件的數(shù)據(jù)做帶寬保證，則此處選擇應用：郵件[。在【已選列表】中確認選擇的范圍是否正確，點擊確定，完成適用應用的設置[適用對象]用于設置此通道對哪些用戶、用戶組、P生效。勾選[自定義]用于指定特定[適用對象]后，[生效時間]用于設置此通道的生效時間[IP組]用于設置目IP條件設置完成后，顯示如下設置完成后，點擊確定，完成保證通道的設置1、保證帶寬通道百分比之和可能會超過100%時，當超過100%時，各保證通道30%，第二條設為90%，則第一條實際分配到30/（9