深信服AC1200配置手册.doc

1、附件五 上网行为管理 AC-1200 配置管理文档1. 设备名称本系统上网行为管理设备采用深信服公司生产的 AC-1200。2. 设备功能根据用户提出的应用需求，AC-1200 在本系统中的设计功能是对网络资源进行合理的分配，并对内部工作人员的上网行为进行规范，以及对防火墙的功能进行必要的补充。3. 设备硬件信息3.1 AC-1200 产品外形AC-1200 产品外形和接口信息如图 1 所示。图 1 AC-1200 产品外形和接口信息网络连接与管理方式AC-1200 的 ETH0（LAN）口通过透明网桥的方式与核心交换机 CISCO4506 的GE3/1 连接，加入本地局域网络。ETH2(WA

2、N1)口与路由器 CISCO2821，与 Internet连接。ETH1(DMZ)端口作为 WEB 管理端口连接到核心交换机的 G3/30。设备端口 IP 地址分配见表 1。 本设备只提供 WEB 管理方式。通过网络连接到 WEB 管理端口，打开浏览器，在地址栏输入 https:/192.168.5.41 ，进入管理页面输入用户名和密码，单击“登录”，即可进入管理界面，如图 2 所示。表 1 设备端口 IP 地址分配表接口 IP 地址 描述ETH0 (LAN) 透明模式 与核心交换 G3/1 连接ETH1 (DMZ) 192.168.5.41 与 VLAN5 某端口连接（WEB 管理）ETH2

3、 (WAN1) 192.168.1.6 与路由器 G0/0/0 连接图 2 WEB 登录页面4. 配置管理4.1 WEBUI 界面登录后看到的是 WEB 管理的首页，包含左侧的功能菜单栏和右侧的状态信息显示。如图 3 所示。图 3 WEB 用户管理界面4.2 系统配置系统配置部分包含系统信息、管理员帐户、系统时钟等信息。4.2.1 系统信息系统信息包含系统内的序列号和 license 信息，如图 4 所示。图 4 系统信息4.2.2 管理员帐户本系统内除 admin 帐户外，另创建了一个 gtyl 管理员帐户，其权限与 admin 相同。图 5 所示为管理员帐户列表。图 5 管理员帐户列表如需

4、对管理员帐户进行配置，直接单击蓝色用户名，如需创建新管理员，单击左上角“新增”图标，即可进入创建页面。4.2.3 系统时间系统时间设置界面如图 6 所示。图 6 系统时间设置页面4.2.4 系统升级如图 7 列表中所显示的，除病毒库未购买升级服务，网关补丁不需购买服务外，其他服务都在 2012 年 4 月 7 日到期，到时可根据实际情况决定是否购买。在服务期内的项目已全部设置自动升级。图 7 系统升级4.2.5 全局排除地址全局排除地址列表中的服务器网址不受监控和限制，如图 8 所示。本次设置未启动该项目，今后可根据实际应用自行设置。图 8 全局排除地址4.3 网络配置本系统网络配置为透明方式

5、，ETH0(LAN)和 ETH2(WAN1)之间配置网桥，Internet 线路从路由器连接到 WAN1 口，LAN 端口连接到核心交换机的 VLAN 1 端口，配置 DMZ 为管理端口，加入 VLAN 5，IP 地址为 192.168.5.41。如图 9 列表所示。图 9 网络配置4.4 防火墙防火墙功能使用 USG2220 实现，此处不做配置。4.5 安全防护本设备的安全防护功能是对 USG2220 的部分补充。4.5.1 防 DOS 攻击DOS 攻击（拒绝服务攻击）是通过发送大量请求，耗尽服务器资源，使得合法请求得不到响应。本设备防 DOS 攻击设置如图 10 所示。图 10 防 DOS

6、 攻击设置4.5.2 防 ARP 欺骗ARP 欺骗是一种常见的内网病毒，中毒的客户端不断向内网发广播包，严重影响局域网的通讯，甚至断网。本设备防 ARP 欺骗设置如图 11 所示。图 11 防 ARP 欺骗4.5.3 网关杀毒本设备的杀毒网关未购买病毒库升级服务，病毒库为 2011-03-31 之前，已设置全部杀毒功能。如图 12 所示。图 12 网关杀毒配置4.6 流量管理4.6.1 虚拟线路配置这里的虚拟线路配置实际就是 Internet 的接入线路配置。我们配置上、下行线路带宽均为 10240Kbps(10Mbps)。如图 13 所示。图 13 虚拟线路配置4.6.2 通道配置通道配置是

7、本设备进行网络流量管理的核心内容。通过添加不同的通道，并对他们进行网络带宽的分配，可以使符合该通道策略的应用得到带宽的保证或限制。通道配置如图 14 所示。图 14 通道配置配置列表中的项目，除上班时间流量管理是我们这次添加的项目，其余均为系统根据实际情况已制定的通道。此次配置将全部应用启动。下面已低延时保障为例，说明配置参数。如图 15 和图 16 所示。图 15 低延时保障通道配置图 16 低延时通道应用范围从图 16 可以看出，本设置适用于实时性较高的应用，如网游、股票行情和交易等。从图 15 可以看到，系统预留 20%的带宽保证这类应用的流量需求。实际操作中，我们添加了一个命名为上班时间流量限制的通道，以此为例，讲