深信服_AC_V3.0_用户手册_

AC 3.0 用户手册

2010年8月

目录

声明 (4)

前言 (5)

手册内容 (5)

本书约定 (5)

图形界面格式约定 (5)

各类标志 (5)

技术支持................................................................................................. 错误！未定义书签。

致谢 (6)

第1章安装指南 (7)

1.1环境要求 (7)

1.2电源 (7)

1.3产品外观 (7)

1.4配置与管理 (8)

1.5单设备接线方式 (8)

1.6双机备份接线方式 (10)

第2章控制台的使用 (11)

2.1登录WebUI配置界面 (11)

2.2配置和使用 (13)

第3章功能说明 (16)

3.1实时状态 (16)

3.1.1运行状态 (16)

3.1.2安全状态 (22)

3.1.3流量状态 (23)

3.1.4上网行为监控 (31)

3.1.5在线用户管理 (33)

3.1.6邮件延迟审计 (36)

3.1.7DHCP运行状态 (39)

3.2对象定义 (39)

3.2.1应用特征识别库 (41)

3.2.2应用智能识别库 (44)

3.2.3自定义应用 (48)

3.2.4URL分类库 (51)

3.2.5准入规则库 (64)

3.2.6网络服务 (80)

3.2.7IP组 (82)

3.2.8时间计划组 (83)

3.2.9黑白名单组 (85)

3.2.10关键字组 (86)

3.2.11文件类型组 (87)

3.2.12信任的证书颁发机构 (88)

3.3用户与策略管理 (89)

3.3.1上网策略 (90)

3.3.2用户管理 (189)

3.3.3用户认证 (241)

3.4流量管理 (295)

3.4.1概述： (295)

3.4.2流量通道匹配及优先级 (296)

3.4.3通道配置 (296)

3.4.4线路带宽配置 (321)

3.4.5虚拟线路配置 (322)

3.5安全防护 (329)

3.5.1防DOS攻击 (329)

3.5.2防ARP欺骗 (331)

3.5.3网关杀毒 (332)

3.5.4入侵防御 (334)

3.5.5垃圾邮件过滤 (338)

3.6防火墙 (345)

3.6.1过滤规则 (345)

3.6.2NA T代理上网 (347)

3.6.3端口映射 (353)

3.7网络配置 (359)

3.7.1部署模式 (359)

3.7.2网口配置 (395)

3.7.3静态路由 (401)

3.7.4策略路由 (402)

3.7.5高可用性 (408)

3.7.6DHCP (416)

3.7.7VPN (418)

3.8系统配置 (457)

3.8.1序列号 (457)

3.8.2管理员账号 (458)

3.8.3系统时间 (475)

3.8.4自动升级 (476)

3.8.5告警选项 (478)

3.8.6全局排除地址 (480)

3.8.7配置备份与恢复 (482)

3.8.8终端提示页面定制 (483)

3.8.9数据中心配置 (485)

3.8.10高级配置 (487)

3.9系统诊断 (493)

3.9.1系统日志 (493)

3.9.2抓包工具 (494)

3.9.3命令控制台 (495)

3.9.4Bypass与拦截定位 (496)

3.9.5重启操作 (498)

附录：网关升级客户端的使用 (499)

产品升级步骤 (505)

声明

Copyright ? 2010 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

SANGFOR为深圳市深信服电子科技有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

本手册内容如发生更改，恕不另行通知。

如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。

前言

手册内容

第1部分SANGFOR AC产品概述。该部分主要介绍AC设备的外观特点及功能特性和性能参数，以及连接前的准备和注意事项。

第2部分SANGFOR AC控制台的使用。

第3部分SANGFOR AC的功能说明及使用。

本手册以深信服AC1200-QS为例进行配置。由于各型号产品硬件和软件规格存在一定差异，所有涉及产品规格的问题需要和深信服科技有限公司联系确认。

本书约定

图形界面格式约定

文字描述代替符号举例

按钮边框+阴影+底纹“确定”按钮可简化为确定

菜单项『』菜单项“系统设置”可简化为『系统设置』

连续选择菜单项及子菜单项→选择【系统设置】→【接口配置】

下拉框、单选框、复选框选项[ ] 复选框选项“启用用户”可简化为[启用用户]

窗口名【】如点击弹出【新增用户】窗口

提示信息“”提示框中显示“保存配置成功，配置已修改,需要重启DLAN服务才能生效，是否立即重启该服务?”

各类标志

本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：

小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。

警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成伤害。

说明、提示、窍门：对操作内容的描述进行必要的补充和说明。

致谢

感谢您使用我们的产品及用户手册，如果您对我们的产品或用户手册有什么意见和建议，您可以通过电话、论坛或电子邮件反馈给我们，我们将不胜感谢。

第1章安装指南

本部分主要介绍了SANGFOR AC系列产品的构成与硬件安装。硬件安装正确之后，您才可以进行配置和调试。

1.1环境要求

SANGFOR AC设备可在如下的环境下使用。

输入电压： 110V~230V

温度：0～45℃

湿度：5～90％

为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使用和报废应遵照国家相关法律、法规要求进行。

1.2电源

SANGFOR AC系列产品使用交流110V到230V电源。在您接通电源之前，请保证您的电源有良好的接地措施。

1.3产品外观

图1：SANGFOR AC前面板（以AC1200-QS为例）

1.控制口

2.ETH3（W AN2）

3.ETH1（DMZ）

4.ETH2（W AN1）

5.ETH0（LAN）

6.电源灯

7.告警灯

告警灯在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭，说明正常启动。如红灯长时间不熄灭，请关闭设备等待5分钟后重新开机。如果还是长亮，请联系客服部门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备正在写系统日志。

控制口仅供开发和测试调试使用。最终用户需从网口通过控制台接入。

1.4配置与管理

在配置设备之前，您需要配备一台电脑，配置之前请确定该电脑的网页浏览器能正常使用（如Internet Explorer），然后把电脑与SANGFOR AC连接在同一个局域网内，通过网络对设备进行配置。

设备出厂的默认IP见下表：

接口AC

ETH0（LAN）10.251.251.251/24

ETH1（DMZ）10.252.252.252/24

ETH2（W AN1）200.200.20.61/24

1.5单设备接线方式

在背板上连接电源线，打开电源开关，此时前面板的Power灯（绿色，电源指示灯）和Alarm灯（红色，告警灯）会点亮。大约1-2分钟后Alarm灯熄灭，说明网关正常工作。

请用标准的RJ-45以太网线将ETH0（LAN）口与内部局域网连接，对AC设备进行配置。

请用标准的RJ-45以太网线将ETH2（WAN1）口与Internet接入设备相连接，如路由器、

光纤收发器或ADSL Modem等。

登录控制台后根据网络拓扑配置『部署模式』（参见章节3.7.1）

注意：多线路的AC设备可以支持多条Internet线路，此时将W AN2口与第二条Internet接入设备相连，W AN3口与第三条Internet线路相连，依此类推。

使用标准RJ-45以太网线将DMZ口与DMZ区的网络连接，一般而言，DMZ区放置对外提供服务的WEB服务器、EMAIL服务器等。AC设备可以为这些服务器提供安全保护。

设备正常工作时POWER灯常亮，W AN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

WAN口直接连接MODEM应使用直连线、连接路由器应使用交叉线；LAN口连接交换机应使用直通线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图：

图 1 直连线、交叉线线序

1.6双机备份接线方式

若采用AC双机热备的工作方式，按以下接线图方式进行外网线路和内网线路的接线。

使用标准RJ-45以太网线将两台AC设备的ETH2（WAN1）口（若使用多线路技术，接线方式类似，保证两台设备的外网接口接到同一个外网线路即可）接到同一交换机上，再使用标准的RJ-45以太网线与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。

将配件箱中的Console线取出，将两台AC设备的Console口用串口线连接起来。

使用标准RJ-45以太网线将两台AC设备的ETH0（LAN）口接到同一交换机上，再使用标准的RJ-45以太网线与局域网交换机相连，连接到内部局域网。

接线完毕后，分别打开两台设备的电源，即可进行系统配置。双机系统配置时和单机系统配置一样，仅对一台主设备进行配置，另外一台从设备将自动进行同步，无需另行配置。

第2章控制台的使用

2.1登录WebUI配置界面

AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251

HTTPS登录WEBUI管理AC可以防止配置过程在传输过程中被截获而产生的安全隐患。

1、如何登录AC设备控制台页面？

按照前面所示方法接好线后，通过WEB界面来配置SANGFOR AC设备。方法如下：

首先为本机器配置一个10.251.251.X网段的IP（如配置10.251.251.100），然后在IE浏览器中输入网关的默认登陆IP及端口https://10.251.251.251。在出现一个如下图的安全提示：

点击是后出现以下的登录界面：

在登陆框输入『用户名』和『密码』，点击登录按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为Admin。

如果需要查看当前网关的版本号，点击查看版本，即显示当前设备的版本信息。

登录控制台不需要安装任何控件，支持用非IE的浏览器登陆控制台

2、如何消除登录控制台的证书告警框？

登录控制台时，浏览器上会弹出证书警告框，如何消除此警告框？

首先，登录控制台，进入『系统配置』→『高级配置』→『WebUI选项』页面：

在[控制台SSL证书颁发给]中设置证书的颁发给地址，此处需要设置登陆网口的地址，

默认是设备LAN口地址。以从LAN口登录为例：

然后，点击点击下载证书，将证书下载到本地，点击保存

证书下载到本地后，双击证书进行安装，安装完成后再从LAN口登录，就不会弹出警告框了。

从[控制台SSL证书颁发给]中指定的地址登录，并且登录控制台的电脑安装过证书，警告框才会消除。如果从其他地址登录设备，或者电脑上没有安装证书，那么登录控制台还是会弹出警告框。

2.2配置和使用

登录WebUI配置界面后，可以看到以下配置模块：包括『实时状态』、『对象定义』、『用户与策略管理』、『流量管理』、『安全防护』、『防火墙』、『网络配置』、『系统配置』、『系统诊

断』。

所有配置界面中如果有提交按钮，则配置完毕后，一定需要点击该按钮。配置完毕后，配置不会立即生效，一般需要5-10秒的时间。如果需要配置立即生效，可以点击控制台页面右下角的按钮。后面的文档不再赘述。

控制台右下角的用于实时通知设备的一些系统信息和告警信息。

所有配置界面中的图标，当鼠标放到此图标上时，可以显示当前配置项的简要帮助说明。后面的文档不再赘述。

控制台界面中以列表显示配置信息和状态的页面，大部分都可以选择需要显示的列，如下图所示：以【成员管理】页面为例，界面上会显示选中的列信息。

部分页面可以对信息进行排序，如下图所示：以【在线用户管理】页面为例，选择对应列的[正序]或者[倒序]，可以对对应的列进行排序。

当配置『网络配置』→『部署模式』、『系统配置』→『系统时间』、『系统配置』→『高级配置』→『WebUI选项』→『默认编码』时，设备会进行重启，需要重新登录。

第3章功能说明

3.1实时状态

『实时状态』主要用于查看设备的基本状态信息，包括『运行状态』、『安全状态』、『流量状态』、『上网行为监控』、『在线用户管理』、『邮件延迟审计』、『DHCP运行状态』。

3.1.1运行状态

『运行状态』主要用于查看设备的资源信息，接口信息，接口吞吐率，应用流速趋势，流量排名，上网行为监控和安全状态等信息。

3.1.1.1选择显示模块

在【运行状态】界面点击选择显示模块，出现如下界面：

在此来选择需要【运行状态】页面中需要显示的状态信息。

3.1.1.2恢复默认显示模块

在【运行状态】界面点击恢复默认显示模块，会恢复到设备默认就显示的模块：[资源信息]、[接口信息]、[接口吞吐率折线图]、[应用流速趋势叠加图]、[应用流量排名]、[用户流量排名]。

3.1.1.3状态查看

3.1.1.3.1资源信息

【资源信息】主要用于显示设备资源的概况，包括CPU使用率，内存使用率，磁盘使用率，设备会话数，在线用户数，系统时间和当天日志汇总等信息，界面如下：

点击可以设置是否启用自动刷新以及自动刷新的时间，界面如下：

点击进入内置数据中心可以连接到设备内置数据中心的页面，去进行日志查询和统计等操作。

3.1.1.3.2接口信息

【接口信息】主要用于显示设备各个网口的状态，是否接线以及各个网口发送和接收实时流量，界面如下：

代表网口状态是已连接状态，代表网口状态是未连接状态，点击可以设置自动刷新的时间。

3.1.1.3.3接口吞吐率折线图

【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送和接收数据的情况，界面如下：

点击出现如下图：

可以设置[选择时间段]来显示相应时间段接口转发数据的情况，在[选择流量单位]设置显示的流量单位，[选择网口]来设置具体显示指定的网口。

3.1.1.3.4应用流速趋势叠加图

【应用流速趋势叠加图】主要用于动态显示各个应用流速趋势叠加，不同的应用用不同的颜色显示，如下图：

点击出现如下图：

在[选择流量单位]设置显示的流量单位，在[选择线路]选择显示所有线路，线路1或者线路2等，在[流速类型]设置显示的是总流速，上行或者下行。

3.1.1.3.5应用流量排名

【应用流量排名】用于显示前十名的应用排名情况，可以根据上下行流量和总流量来排名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。

点击可以设置自动刷新的时间。

3.1.1.3.6用户流量排名

【用户流量排名】用于显示前十名的用户流量排名情况，可以根据上下行流量和总流量来排名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。

点击可以设置自动刷新的时间。

3.1.1.3.7上网行为监控

【上网行为监控】主要用于显示实时的用户上网行为，界面如下：

本文来源：https://www.bwwdw.com/article/kk5e.html