常熟电教馆AC培训(深信服).docx

常熟电教馆 上网行为管理培训 深信服科技有限公司 2015年4月 目 录 一、 基本功能介绍 4 1、 身份认证 4 2、 上网权限控制 4 3、 上网流量控制 4 4、 上网行为审计 5 二、 基本操作培训 5 1、 界面介绍 5 1.1实时状态 5 1.2对象定义 5 1.3用户与策略组管理 6 1.4流量管理 6 2、 设备开关机操作 6 3、 登录设备管理控制台 8 4、 备份及恢复配置 9 5、 修改管理员密码 10 三、 案例分享 11 1、 用户及用户组管理 11 2、 身份认证 12 1.1、 OA认证 12 1.2、 不认证 13 3、 上网权限控制 14 1.1、 封堵不良网站 14 1.2、 封堵指定网站 17 1.3、 论坛限制发帖 20 1.4、 防共享上网 22 1.5、 封堵P2P类型大流量 23 1.6、 封堵QQ游戏 25 1.7、 单独放通指定应用 27 4、 上网流量控制 30 1.1、 对P2P类型大流量进行限速 30 1.2、 对某个用户进行限速 37 1.3、 对某个IP地址进行带宽保障 40 5、 上网行为审计 42 6、 数据中心查询KEY的使用 43 四、 故障排除 45 1、 全局排除地址 45 2、 上网故障排除 46 3、 断电BYPASS 46 五、 答疑 47 一、 基本功能介绍 1、 身份认证 上网行为管理可以对用户的身份进行识别，识别到该用户当前的IP地址或者MAC地址。当然你也可以使用用户名+密码的方式，来对用户进行身份认证。 如果使用IP或者MAC地址来识别用户，那么审计的日志中将会以IP或者MAC地址的方式来显示日志。 使用用户名+密码认证的用户认证之后，将会以输入的用户名的方式来显示日志。 当然你可以选择性的去配置用户的认证方式，具体的配置在后文中会讲到。 2、 上网权限控制 上网行为管理故名意思，对用户的上网行为能够进行管理。上网行为管理另外的一大功能点就是上网权限的控制。 我们可以灵活的通过策略的配置，来实现我们的需求，例如阻止某用户访问不良网站，例如阻止某用户不能使用P2P下载工具进行下载，再例如阻止某用户上班时间不允许访问购物网站。 3、 上网流量控制 上网行为管理可以对用户的上网的流量进行流控，对非关键流量进行限速，优先保证关键流量能够有充足的带宽。 流量控制既可以针对用户来做，也可以针对应用来做，也可以是二者的结合。后面会详细降到配置。 4、 上网行为审计 上网行为审计是深信服上网行为管理的又一大功能，它可以对用户上网的行为进行审计并记录到硬盘保存一段时间。同时用户可以通过报表中心，灵活的对这些记录进行统计和查阅。 审计的内容是可配置的，也就是说你可以对你感兴趣的行为进行审计，而其他流量不涉及。 审计的内容很封堵，包括访问的URL，BBS的发帖，邮件的内容，聊天内容等。 默认审计策略不开启，需单独配置。 二、 基本操作培训 1、 界面介绍 1.1实时状态 1.2对象定义 1.3用户与策略组管理 1.4流量管理 2、 设备开关机操作 深信服设备为1U的设备，使用跟普通台式机一样的电源连接线。电源开关位于设备面板后面，如需关机，需要长按电源即可。 3、 登录设备管理控制台 深信服上网行为管理使用IE浏览器进行配置和管理。首先打开IE浏览器，并在地址栏中输入https://x.x.x.x (x.x.x.x为AC的实际IP，截图示例中的AC的IP地址为192.200.30.253)，注意开头的是https://而非http://。 输入IP地址之后点击回车键，打开该页面，浏览器会弹出告警页面，如下图所示。该告警为正常情况，请点击“继续浏览此网站（不推荐）”。 点击之后将会打开AC设备的登录界面，输入预先设置好的用户名teacher，密码teacher。即可进入深信服上网行为管理的管理界面。 4、 备份及恢复配置 『配置备份与恢复』用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。 『备份配置』：用于备份下载设备中已有的配置，点击点击下载配置，就可以对当前的配置进行备份。 『恢复配置』：用于恢复已备份的配置文件。恢复配置文件有两种方式： 方式一：从自动备份中恢复，设备会在每日凌晨自动备份一次配置，默认保存一周的配置文件，选择会要恢复的配置文件，点击恢复即可。 方式二：从本地文件中恢复，点击浏览本地文件，并打开备份文件，点击恢复即可恢复备份配置。 『恢复出厂设置』：用于将设备恢复到出厂设置，请慎用！ 5、 修改管理员密码 【系统配置】--【管理员账号】选项中，选中需要修改的账户，点击打开后即可输入新的密码。 三、 案例分享 1、 用户及用户组管理 场景：A学校需要把上网的用户分成三组，分别为教师组、行政组、学生组。并且把对应的用户放到对应的用户组中，以便关联不同的策略 【用户与策略管理】--【用户管理】--【组/用户】选项中，新建用户组，命名为“教师组”，以此类推，可以新建学生组和行政组。 2、 身份认证 1.1、 OA认证 场景：A学校教师的IP地址段为192.168.1.0/255.255.255.0，现在为了实现审计到的行为可以和人对应起来，要求开启OA认证，教师和行政人员必须使用自己的OA账户和密码通过认证后才可以访问互联网 A.新建用户认证策略，为该策略命名，适用范围填写为该学校的网段：192.168.1.0/255.255.255.0。然后选择认证方式为【密码认证/单点登录】即可。 1.2、 不认证 场景：还是A学校，已经使用了OA认证，但是其中学生IP地址192.168.0.10，希望不使用OA认证，而其他的IP继续使用OA认证。 A.新建用户认证策略，为该策略命名，适用范围填写该不需要认证的IP地址：192.168.1.10。然后选择认证方式为【不需要认证/单点登录】。 B.通过箭头移动该认证策略，让该策略的位置位于OA认证之上。 3、 上网权限控制 1.1、 封堵不良网站 场景：A学校，不允许内网用户访问成人、非法及不良网站。 A． 新建一条上网权限策略。 B． 为该策略命名为“封堵不良网站”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。 C． 点击下图所示的小电脑状的图标，打开应用列表。勾选需要封堵的网站类型，并点击确定按钮。本示例中需要封堵成人、非法及不良分类，如下图所示。 D． 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。 1.2、 封堵指定网站 场景：A学校，上班时间不允许访问网站 A． 打开【对象定义】--【URL分类库】选项，并创建一个名为淘宝，URL为*的URL分类 B． 新建一条上网权限策略。 C． 为该策略命名为“封堵淘宝”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。 D． 点击下图所示的小电脑状的图标，打开应用列表。可以看到我们新建的URL分类库“淘宝”，勾选淘宝URL分类库，如下图所示。 E． 由于是上班时间不允许访问淘宝，因此生效时间选择上班时间。 F． 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。 1.3、 论坛限制发帖 场景：天涯论坛，仅允许用户看帖子，但不允许发帖。 A． 新建一条上网权限策略。 B． 为该策略命名为“论坛限制”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。 C． 点击下图所示的小电脑状的图标，打开应用列表。如下图所示。 D． 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。 1.4、 防共享上网 场景：需要禁止私接路由器，代理上网 A． 【终端接入管理】--【共享接入管理】选项中，勾选启用共享接入检测。 B． 点击“编辑配置选项”，配置允许的终端数量和冻结时间。 1.5、 封堵P2P类型大流量 场景：A学校，上班时间不允许不允许P2P下载，也不允许观看P2P视频。 C． 新建一条上网权限策略（由于图片重复，为节约篇幅，请参照前面案例） D． 为该策略命名为“封堵P2P”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。 E． 点击小电脑状的图标，打开应用列表 F． 勾选需要封堵的应用，这里我们要封堵P2P下载和P2P流媒体，因此勾选这两项。 G． 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。 1.6、 封堵QQ游戏 场景：A学校，上班时间不允许不允许玩QQ游戏。 A． 新建一条上网权限策略（由于图片重复，为节约篇幅，请参照前面案例） B． 为该策略命名为“封堵QQ游戏”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。 C． 点击小电脑状的图标，打开应用列表 D． 勾选需要封堵的应用，这里我们要封堵QQ游戏，因此勾选这相关的三项，QQ游戏属于游戏这一个大分类，可以使用应用的所有工具来进行检索。 E． 选中【使用对象】选项卡，为该策略选择用户，本案例中是要求所有人均封堵，一次使用对象选中所有人。当然你也可以仅关联部分用户。 1.7、 单独放通指定应用 场景：还是A学校，由于A学校在上班时间封堵了P2P下载和P2P流媒体，因此在上班时间无法进行P2P下载。但此时张三这个用户，由于某些特殊原因，在日常办公中需要用到P2P下载。因此需要单独放通张三的P2P下载权限。 A． 新建一条上网权限策略（由于图片重复，为节约篇幅，请参照前面案例） B． 为该策略命名为“放通P2P访问”，并勾选“应用控制”选项，勾选后点击添加按钮，添加一条策略。 C． 点击小电脑状的图标，打开应用列表 D． 勾选需要封堵的应用，这里我们要放通P2P下载，因此勾选下载工具和P2P，并点击确定。 E． 注意，上面的案例中都是封堵应用，因此策略的动作都是拒绝，而本策略是需要放通P2P下载，因此策略的动作需要选择成允许，如下图所示。 F． 选中【使用对象】选项卡，为该策略选择用户，注意：前面的案例选择的都是所有人，而本案例中仅张三需要放通P2P下载，因此使用对象选中张三。 4、 上网流量控制 1.1、 对P2P类型大流量进行限速 场景：B学校需要对用户进行P2P限速，出口带宽为10M，要求所有人的P2P流量最大不超过4M，单个用户最大不超过200K。 A. 设置B学校的带宽情况，【流量管理】--【虚拟线路配置】选项，配置线路1的上下行带宽。B学校为10M宽带，单位为bit，换算成字节10Mpbs/8=1.25MByte。 B. 【流量管理】--【通道配置】选项，勾选【启用流量管理系统】 C. 点击【新增通道】--【新增子通道】，新建一条流控策略。 D. 为该策略命名，设置通道类型为限制通道，上行带宽和下行带宽都分别为40%（需要限制P2P到4M，即总带宽的40%，也可以直接输入值） E. 该场景需求除了P2P总带宽限制在4M之外，还需要限制单用户最大200K。拖动滚动条，勾选【启用限制单IP最大带宽】，上下行分别设置为200。 F. 选中【通道使用范围】选项卡，适用应用选择【自定义】，并点击【请选择】的按钮，可以打开选项卡，选择要做流控的应用。本案例需要对P2P进行限速，因此应用选中P2P。 1.2、 对某个用户进行限速 场景：C学校发现有一个IP地址的流量特别大，想要对这个IP进行限速，限速到上下行最大100K。C学校出口带宽为10M。 A. 设置C学校的带宽情况，【流量管理】--【虚拟线路配置】选项，配置线路1的上下行带宽。C学校为10M宽带，单位为bit，换算成字节10Mpbs/8=1.25MByte。 B. 【流量管理】--【通道配置】选项，勾选【启用流量管理系统】 C. 点击【新增通道】--【新增子通道】，新建一条流控策略。 D. 为该策略命名，设置通道类型为限制通道，上行带宽和下行带宽都分别为100KB/S E. 选中【通道使用范围】选项卡，【适用对象】选择自定义，然后选中需要限速的用户。 1.3、 对某个IP地址进行带宽保障 场景：某学校对单个用户进行了流控，学校的某些特殊人员，由于工作需要，需要较大的带宽，那么可以对这些用户进行带宽保障。 A． 新建一条流控策略，类型选择保障带宽 B． 选中【通道使用范围】选项卡，【适用对象】选择自定义，然后选中需要保障的用户。 5、 上网行为审计 场景：D学校需要对内网用户进行审计，仅记录行为不记录内容。 C． 新建一条上网审计策略 D． 勾选应用审计为策略命名，并勾选需要审计的项。本案例勾选访问的URL和其他网络应用行为。 E． 当然你也可以根据需要勾选其他的需要审计的项，包括聊天记录，邮件内容。 6、 数据中心查询KEY的使用 启用了数据中心DKEY查询的功能之后，内置数据中心在没有插入DKEY的情况下，无法查询具体的上网日志。需给管理员生成DKEY之后访客产讯。 A．【系统配置】--【管理员账户】选项，选中teacher账户，并点击打开。 B.将DKEY插入电脑的USB接口上，并点击生成DKEY C.初始化DKEY的密码即可，如电脑未安装驱动，可点击“下载DKEY驱动”按钮下载，并安装。 D．DKEY激活后，即可将DKEY插入电脑，查看用户的访问日志。 四、 故障排除 1、 全局排除地址 场景：某个用户访问某网站受阻，需要临时放开，其IP地址为192.168.1.2。可以将该用户的IP地址加入到全局排除地址中。加入其中后，该IP地址的流量将不受任何策略限制。 2、 上网故障排除 场景：网络故障，需要排查是否AC策略问题。开启上网故障排除故障依旧。即可排除非AC问题 场景：AC策略配置错误，导致内网全部上网有问题。开启上网故障排除，紧急恢复网络。 3、 断电BYPASS 场景：AC设备故障，导致网络中断。关闭设备电源，设备进入bypass模式，恢复网络。设备bypass之后，会像一条网线一样串接在网络中，恢复网络。 开启方式：无需配置，断电后设备自动启用bypass。 断电方式可以拔掉电源，或者可以长按设备后面板的开关进行关机操作。 五、 答疑