深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)操作手冊(cè)

1、深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)操作手冊(cè)(Ver3.3)武漢匯通時(shí)代一、 產(chǎn)品說(shuō)明1.1產(chǎn)品外觀圖1-1設(shè)備1.控制口 2.ETH3（WAN2） 3.ETH1（DMZ） 4.ETH2（WAN1） 5.ETH0（LAN）6.電源燈 7.告警燈1.2配置與管理在M6300 SG中一共有10個(gè)接口，其中有2個(gè)控制口，2個(gè)光口和6個(gè)以太網(wǎng)接口，默認(rèn)情況下ETH0、ETH1、ETH2的IP地址已經(jīng)配置好。控制口僅供開發(fā)和測(cè)試調(diào)試使用，最終用戶需從網(wǎng)口通過(guò)控制臺(tái)接入。用戶如果需要對(duì)設(shè)備配置只需在瀏覽器中輸入管理的IP的地址。在配置設(shè)備之前，您需要配備一臺(tái)電腦，配置之前請(qǐng)確定該電腦的網(wǎng)頁(yè)瀏覽器能正常使用（如Interne

2、t Explorer），然后把電腦與SANGFOR SG連接在同一個(gè)局域網(wǎng)內(nèi)，通過(guò)網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行配置。設(shè)備出廠的默認(rèn)IP見(jiàn)下表：接口 SG ETH0（LAN） 51/24 ETH1（DMZ） 52/24 ETH2（WAN1） 1/24 1.3設(shè)備接線方式WAN口直接連接MODEM應(yīng)使用直連線、連接路由器應(yīng)使用交叉線；LAN口連接交換機(jī)應(yīng)使用直通線、直接連接電腦網(wǎng)口應(yīng)使用交叉線。當(dāng)指示燈顯示正常，但不能正常連接的時(shí)候，請(qǐng)檢查連接線是否使用錯(cuò)誤。二、 功能介紹2.1用戶登陸在瀏覽器中輸入4

3、4即可到達(dá)登陸頁(yè)面，在“用戶名”和“密碼”中分別輸入Admin就可以登陸到SG上了。圖2-1登陸2.2部署方式部署模式用于設(shè)置設(shè)備的工作模式，可把設(shè)備設(shè)定為路由模式、網(wǎng)橋模式或旁路模式。選擇一個(gè)合適的部署模式，是順利將設(shè)備架到網(wǎng)絡(luò)中并且使其能正常使用的基礎(chǔ)。路由模式：設(shè)備做為一個(gè)路由設(shè)備使用，對(duì)網(wǎng)絡(luò)改動(dòng)最大，但可以實(shí)現(xiàn)設(shè)備的所有的功能；網(wǎng)橋模式：可以把設(shè)備視為一條帶過(guò)濾功能的網(wǎng)線使用，一般在不方便更改原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下啟用，平滑架到網(wǎng)絡(luò)中，可以實(shí)現(xiàn)設(shè)備的大部分功能； 旁路模式：設(shè)備連接在內(nèi)網(wǎng)交換機(jī)的鏡像口或HUB上，鏡像內(nèi)網(wǎng)用戶的上網(wǎng)數(shù)據(jù)，通過(guò)鏡像的數(shù)據(jù)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)上網(wǎng)數(shù)據(jù)的監(jiān)控和控制，可

4、以完全不需改變用戶的網(wǎng)絡(luò)環(huán)境，并且可以避免設(shè)備對(duì)用戶網(wǎng)絡(luò)造成中斷的風(fēng)險(xiǎn)，但這種模式下設(shè)備的控制能力較差，部分功能實(shí)現(xiàn)不了。選擇【導(dǎo)航菜單】中的網(wǎng)絡(luò)配置部署模式，右邊進(jìn)入【部署模式】編輯頁(yè)面，點(diǎn)擊開始配置，會(huì)出現(xiàn)路由模式、網(wǎng)橋模式、旁路模式的選項(xiàng)，選擇想要配置的網(wǎng)關(guān)模式。圖2-2部署模式選擇圖2-3當(dāng)前模式2.3添加用戶與組在【組織結(jié)構(gòu)】中選擇需要添加子組的用戶組，右邊進(jìn)入管理頁(yè)面，在【成員管理】窗口中，點(diǎn)擊新增按鈕，然后選擇新增類型組。圖2-4組圖2-5新增組和用戶圖2-6添加組默認(rèn)情況下用戶連接到網(wǎng)絡(luò)后，網(wǎng)絡(luò)用戶會(huì)自動(dòng)顯示在default組中，如需要移動(dòng)到其它的組需要以下操作：圖2-7移動(dòng)用

5、戶用戶除了可以自動(dòng)添加到默認(rèn)組外，系統(tǒng)還可以手動(dòng)添加用戶到指定的組，手動(dòng)添加用戶可以綁定一個(gè)IP地址，當(dāng)然也可以綁定一個(gè)網(wǎng)段如圖：圖2-8導(dǎo)入用戶圖2-9綁定IP當(dāng)然除了以上兩種法式外，管理員還可以用CSV格式的文件導(dǎo)入、掃描IP導(dǎo)入和外部LDAP服務(wù)器導(dǎo)入。 圖2-10導(dǎo)入用戶2.4上網(wǎng)策略用戶/用戶組和上網(wǎng)策略在設(shè)備上都是獨(dú)立的元素，需要將上網(wǎng)策略關(guān)聯(lián)給相應(yīng)的用戶/用戶組后，上網(wǎng)策略才會(huì)起作用。用戶/用戶組上網(wǎng)時(shí)將匹配與其關(guān)聯(lián)的上網(wǎng)策略。新建上網(wǎng)策略時(shí)，可以直接添加需要匹配此策略的用戶/用戶組。第一步：在上網(wǎng)策略中點(diǎn)擊新增策略第二步：點(diǎn)擊進(jìn)入【適用組和用戶】頁(yè)面，在【組織結(jié)構(gòu)】中選擇需要匹

6、配此策略的用戶組或者在【當(dāng)前組路徑】中選擇用戶或子組。勾選新增子組及用戶表示此用戶組市場(chǎng)部門后面新增的子組和用戶也會(huì)匹配到此策略，不勾選的情況下，后續(xù)新增的子組和用戶不會(huì)匹配此策略。圖2-11制定上網(wǎng)權(quán)限策略將上網(wǎng)權(quán)限策略應(yīng)用到適用組和用戶圖2-12策略用戶三、 案例3.1上網(wǎng)認(rèn)證所有計(jì)算機(jī)上網(wǎng)前，都必須經(jīng)過(guò)用戶認(rèn)證，以識(shí)別上網(wǎng)計(jì)算機(jī)的身份。認(rèn)證策略決定了某個(gè)IP/網(wǎng)段/MAC地址上計(jì)算機(jī)的認(rèn)證方式。通過(guò)認(rèn)證策略設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式，以及新用戶添加的策略。設(shè)備的認(rèn)證方式有以下幾種： 1、不需要認(rèn)證；2、密碼認(rèn)證（包括本地密碼認(rèn)證和外部服務(wù)器認(rèn)證）；3、單點(diǎn)登錄；4、DKEY認(rèn)證。配置舉例1：

7、設(shè)置工程部/網(wǎng)段的電腦使用本地密碼認(rèn)證，新用戶自動(dòng)添加到“/員工”組，同時(shí)用戶名要和IP綁定做雙向綁定，即用戶名要和IP一一對(duì)應(yīng)。內(nèi)網(wǎng)其他網(wǎng)段的用戶不需要認(rèn)證，以IP作為用戶名，新用戶自動(dòng)添加到“/默認(rèn)組”。（此例中以本地密碼認(rèn)證，其他類型的外部認(rèn)證服務(wù)器設(shè)置步驟類似）第一步：設(shè)置用戶認(rèn)證認(rèn)證策略，點(diǎn)擊新增，彈出【認(rèn)證策略】窗口。在名稱中填寫認(rèn)證策略的名稱，必填項(xiàng)。圖3-1認(rèn)證策略第二步：設(shè)置認(rèn)證策略新用戶選項(xiàng)，設(shè)置對(duì)新用戶的處理方式：圖3-2策略用戶第三步：設(shè)置編輯用戶用戶屬性，設(shè)置用戶的本地密碼：圖3-3本地密碼按照以上方法設(shè)置后，本地用戶

8、上網(wǎng)需要通過(guò)認(rèn)證，否則無(wú)法上網(wǎng)。圖3-4上網(wǎng)認(rèn)證系統(tǒng)3.2上網(wǎng)權(quán)限策略企業(yè)領(lǐng)導(dǎo)禁止員工在上班時(shí)間內(nèi)看視頻、聽(tīng)音樂(lè)、玩游戲做其它與工作無(wú)關(guān)的事，上網(wǎng)優(yōu)化網(wǎng)關(guān)可以通過(guò)添加策略來(lái)限制用戶的非法操作。配置舉例1：設(shè)置公司所有用戶/網(wǎng)段的電腦在上班時(shí)間內(nèi)不允許看視頻、聽(tīng)歌、玩游戲?？梢酝ㄟ^(guò)上網(wǎng)權(quán)限策略來(lái)限制用戶的上網(wǎng)行為。第一步:點(diǎn)擊新增，然后選擇上網(wǎng)權(quán)限策略，進(jìn)入新策略編輯界面。圖3-5上網(wǎng)策略第二步:勾選上啟用該策略，開啟該策略。注意：此處如果不勾選啟用，則設(shè)置的策略將不會(huì)生效。圖3-6策略設(shè)置第三步:填寫策略名稱與描述信息。其中策略名稱為策略的唯一

9、標(biāo)識(shí)，不能重復(fù)并且必須填寫。描述信息是對(duì)策略的概要，非必須填寫。第四步:進(jìn)入【策略設(shè)置】頁(yè)面，根據(jù)需要設(shè)置相應(yīng)的上網(wǎng)權(quán)限策略。第五步:設(shè)置【適用組和用戶】，此處選中的用戶組和用戶將全部匹配此上網(wǎng)策略設(shè)置的權(quán)限。在窗口【組織結(jié)構(gòu)】里，選擇需要操作的用戶組，在右側(cè)窗口【當(dāng)前組路徑】中勾選需要使用此條上網(wǎng)策略的用戶或用戶組。您可以同時(shí)添加多個(gè)組或用戶，對(duì)于您已經(jīng)選擇的用戶組和用戶，會(huì)被顯示在下方【已選列表】里面，便于您查看所有已選的對(duì)象。圖3-7策略用戶完成以上步驟后，如果員工上網(wǎng)看視頻就會(huì)出來(lái)以下提示：圖3-8出錯(cuò)3.3郵件過(guò)濾收發(fā)郵件是企業(yè)員工必備的工作，然而為了保證公司重要信息的安全可靠和網(wǎng)絡(luò)的流暢性，一般會(huì)過(guò)濾垃圾信息和延遲審計(jì)郵件內(nèi)容，做為一款優(yōu)化的上網(wǎng)優(yōu)化網(wǎng)關(guān)而言這也是必備的功能。第一步:點(diǎn)擊新增，然后選擇上網(wǎng)權(quán)限策略，進(jìn)入新策略編輯界面。圖3-5上網(wǎng)策略第二步:勾選上啟用該策略，開啟該策略。注意：此處如果不勾選啟用，則設(shè)置的策略將不會(huì)生效。圖3-6策略設(shè)置第三步:填寫策略名稱與描述信息。其中策略名稱為策略的唯一標(biāo)識(shí)，不能重復(fù)并且必須填寫。描述信息是對(duì)策略的概要，非必須填寫。第四步:進(jìn)入【策略設(shè)置】頁(yè)面，根據(jù)需要設(shè)置相應(yīng)的上網(wǎng)權(quán)限策略。第六步:設(shè)置右側(cè)窗口【郵件過(guò)濾】中【發(fā)送或接收郵件】 “