深信服AC-1200配置手冊

深信服AC-1200配置手冊本系統(tǒng)的上網(wǎng)行為管理設(shè)備為AC-1200，由深信服公司生產(chǎn)。其主要功能是對網(wǎng)絡(luò)資源進行合理的分配，規(guī)范內(nèi)部工作人員的上網(wǎng)行為，并補充防火墻的功能。AC-1200的ETH0（LAN）口通過透明網(wǎng)橋的方式連接到核心交換機CISCO4506的GE3/1口，加入本地局域網(wǎng)絡(luò)。ETH2(WAN1)口與路由器CISCO2821連接，連接到Internet。ETH1(DMZ)端口作為WEB管理端口連接到核心交換機的G3/30口。設(shè)備端口IP地址分配見表1。本設(shè)備只提供WEB管理方式。通過網(wǎng)絡(luò)連接到WEB管理端口，打開瀏覽器，在地址欄輸入1，輸入用戶名和密碼，單擊“登錄”，即可進入管理界面。在WEB管理界面中，左側(cè)是功能菜單欄，右側(cè)是狀態(tài)信息顯示。系統(tǒng)配置部分包含系統(tǒng)信息、管理員帳戶、系統(tǒng)時鐘等信息。系統(tǒng)信息包含系統(tǒng)內(nèi)的序列號和license信息。管理員帳戶列表中除了admin帳戶外，還創(chuàng)建了一個gtyl管理員帳戶，其權(quán)限與admin相同。系統(tǒng)時間設(shè)置界面如圖6所示。需要注意的是，文章中有一些格式錯誤，需要刪除。同時，有些段落表述不夠清晰，需要進行小幅度的改寫。根據(jù)圖7列表顯示，除了病毒庫未購買升級服務(wù)和網(wǎng)關(guān)補丁不需要購買服務(wù)外，其他服務(wù)都將在2012年4月7日到期。在服務(wù)期內(nèi)的項目已經(jīng)全部設(shè)置為自動升級。到期后，可以根據(jù)實際情況決定是否購買這些服務(wù)。全局排除地址列表中的服務(wù)器網(wǎng)址不受監(jiān)控和限制，如圖8所示。本次設(shè)置未啟用該項目，但今后可以根據(jù)實際應(yīng)用情況進行設(shè)置。本系統(tǒng)的網(wǎng)絡(luò)配置采用透明方式，ETH0（LAN）和ETH2（WAN1）之間設(shè)置網(wǎng)橋。Internet線路從路由器連接到WAN1口，LAN端口連接到核心交換機的VLAN1端口。DMZ為管理端口，加入了VLAN5，IP地址為1。詳見圖9列表。防火墻功能使用USG2220實現(xiàn)，此處不做配置。本設(shè)備的安全防護功能是對USG2220的部分補充。其中，防DOS攻擊設(shè)置如圖10所示。DOS攻擊是通過發(fā)送大量請求，耗盡服務(wù)器資源，使得合法請求得不到響應(yīng)。ARP欺騙是一種常見的內(nèi)網(wǎng)病毒，中毒的客戶端不斷向內(nèi)網(wǎng)發(fā)廣播包，嚴(yán)重影響局域網(wǎng)的通訊，甚至導(dǎo)致斷網(wǎng)。本設(shè)備的防ARP欺騙設(shè)置如圖11所示。本設(shè)備的殺毒網(wǎng)關(guān)未購買病毒庫升級服務(wù)，病毒庫為2011-03-31之前，已設(shè)置全部殺毒功能。詳見圖12。虛擬線路配置實際就是Internet的接入線路配置。我們將上、下行線路帶寬均設(shè)置為10240Kbps（10Mbps），詳見圖13。通道配置是本設(shè)備進行網(wǎng)絡(luò)流量管理的核心內(nèi)容。通過添加不同的通道，并對它們進行網(wǎng)絡(luò)帶寬的分配，可以使符合該通道策略的應(yīng)用得到帶寬的保證或限制。通道配置詳見圖14。除了我們這次添加的上班時間流量管理項目外，其余項目均為系統(tǒng)根據(jù)實際情況已制定的通道。本次配置將全部應(yīng)用啟動。以低延時保障為例，詳見圖15和圖16。本設(shè)置適用于需要實時性較高的應(yīng)用，例如網(wǎng)游、股票行情和交易等。從圖15可以看出，系統(tǒng)預(yù)留20%的帶寬以保證這些應(yīng)用的流量需求。在實際操作中，我們添加了一個名為“上班時間流量限制”的通道作為示例，來介紹添加配置步驟。首先，在圖14的左上角單擊加號“添加通道”。如圖17所示，我們將通道設(shè)置為限制通道，最大上、下行帶寬為50%，優(yōu)先級為低，并且設(shè)置單IP資源不超過50Kbps。在通道適用范圍中，我們將其設(shè)置為適用于所有應(yīng)用，適用對象為臨時人員（自動獲取IP地址的人員），生效時間為工作時間，目標(biāo)IP組為自動獲取。如圖18所示。其中用戶組“臨時人員”、生效時間“工作時間”（周一到周日，9：00-19：00）、目標(biāo)IP組“自動獲取”都是已經(jīng)在對象定義和用戶管理中定義好的。當(dāng)帶寬資源已經(jīng)滿負(fù)荷時，系統(tǒng)將保證優(yōu)先級高的通道獲得帶寬資源。制定上網(wǎng)策略的目的是保證帶寬不被非公業(yè)務(wù)占用，并協(xié)助行政規(guī)定的實施。下面通過一個示例說明上網(wǎng)策略的配置方法（本策略未啟動）。策略目的：在上班時間段，禁止“臨時人員”、“綜合管理部人員”、“財務(wù)部人員”、“公司領(lǐng)導(dǎo)”通過互聯(lián)網(wǎng)使用“HTTP協(xié)議”、“QQ”、“淘寶”、“迅雷下載”“P2P網(wǎng)絡(luò)視頻”。策略啟動后結(jié)果：上述人員在周一到周日9：00-19：00，無法瀏覽網(wǎng)頁，不能通過QQ聊天，無法使用迅雷下載，無法觀看P2P視頻。設(shè)置步驟如下：1.添加上網(wǎng)策略：單擊導(dǎo)航菜單的“用戶與策略管理”->“上網(wǎng)策略”->“新增”->“上網(wǎng)權(quán)限策略”，如圖19所示。2.配置策略名稱和信息：在上網(wǎng)權(quán)限策略頁面中，輸入策略名稱“辦公策略”和策略信息“測試”，如圖20所示。3.選擇要配置的應(yīng)用：單擊“應(yīng)用”欄下面的顯示器圖標(biāo)，選擇要配置的應(yīng)用。進入圖22所顯示的畫面。選擇好應(yīng)用后，單擊“確定”。4.配置適用組和用戶：單擊圖23中的“適用組和用戶”，選中需要禁止應(yīng)用的用戶組，然后點擊“提交”如圖24所示。至此，本策略配置完成。在用戶管理中，我們可以對用戶進行分組和管理，以便更好地控制其上網(wǎng)行為。報表功能使用方便，能夠提供最全面的網(wǎng)絡(luò)資源使用數(shù)據(jù)，幫助IT管理員作出決策。本文檔不再做更多說明。圖37展示了內(nèi)置數(shù)據(jù)中心首頁，用戶可以通過該頁面快速了解數(shù)據(jù)中心的整體情況。圖