NGAFV3.0用戶(hù)手 前 致 第1章安裝指 電 第2章控制臺(tái)的使 登錄WebUI配置界 第3章功能說(shuō) 應(yīng)用流量................................................................................................................. IP流量.....................................................................................................................用戶(hù)流量............................................................................................................... 查看最近 IP流量...........................................................................................................................查看IP流量..............................................................................................................過(guò)濾IP流量..............................................................................................................用戶(hù)流量........................................................................................................................ 應(yīng)用流量........................................................................................................................ 3.1.11用戶(hù)管 3.1.11聯(lián)動(dòng)源 VLAN接 區(qū) 路 OSPF鏈路信 OSPF路由信 OSPF鄰接關(guān) OSPF接口信 靜態(tài)ARP ARP......................................................................................................................... 3.3.1特征識(shí)別 3.3.2WEB應(yīng)用防護(hù)特征 3.3.3數(shù)據(jù)泄密防護(hù)識(shí)別 1預(yù)定義敏感信 ISP地址 設(shè)備出廠默認(rèn)有、電信、中國(guó)移動(dòng)、教育網(wǎng)四個(gè)ISP地址 URL分類(lèi) URL庫(kù)列 新增URL 刪除URL 修改URL 服 IP 概 PROXY單點(diǎn)登 Web單點(diǎn)登 1、PC登陸web服務(wù)器是設(shè)備 .3認(rèn)證........................................................................................................................ ..................................................................................................................................... WEB過(guò) 概 系 Syslog設(shè) 3.13.8告 3.13.10頁(yè)面定 ....................................................................................................................... 第4章數(shù)據(jù)中 ..............................................................................................................統(tǒng)計(jì)案 DOS............................................................................................................................. IPS查詢(xún)案 查 查殺查詢(xún)案 4.2.6..............................................................................................................查詢(xún)案 報(bào) 系 第5章案例 ARP配置案 WEB應(yīng)用防護(hù)配置案例一 Copyright?2012市深信服電子科技及其者，保留一切權(quán)利。未 前1SANGFORNGAF產(chǎn)品安裝指南。該部分主要介紹NGAF設(shè)備的外觀特點(diǎn)及2SANGFORNGAF控制臺(tái)的使用，如何登陸控制臺(tái)等。第3部分SANGFORNGAF的功能說(shuō)明及使用。定差異，所有涉及產(chǎn)品規(guī)格的問(wèn)題需要和深信服科技聯(lián)系確認(rèn)。圖形界面格式約→[各類(lèi)標(biāo) 致 1輸入電壓溫度濕度SANGFORNGAF110V230V電源。在您接通電源之前，請(qǐng)保證1：SANGFORNGAF前面板（NGAF1320為例 告在設(shè)備啟動(dòng)期間是紅燈長(zhǎng)亮的一般一兩分鐘后紅燈熄滅明正常啟動(dòng)。如紅燈長(zhǎng)時(shí)間不熄滅，請(qǐng)關(guān)閉設(shè)備等待5分鐘后重新開(kāi)機(jī)。如果還是長(zhǎng)亮，請(qǐng)聯(lián)系部門(mén)確認(rèn)是否設(shè)備損壞。正常啟動(dòng)后，有時(shí)紅燈會(huì)閃爍，這是正?，F(xiàn)象，紅燈閃爍表示設(shè)備ExplorerNGAF設(shè)備的管理口為MANAGE(ETH0)口，管理口默認(rèn)出廠IP51/24。設(shè)備接線(xiàn)方在背板上連接電源線(xiàn)，打開(kāi)電源開(kāi)關(guān)，此時(shí)前面板的Power燈（綠色，電源指示燈）和Alarm燈（紅色，告）會(huì)點(diǎn)亮。大約1-2分鐘后Alarm燈熄滅，說(shuō)明網(wǎng)關(guān)正常工作。請(qǐng)用標(biāo)準(zhǔn)的RJ-45以太網(wǎng)線(xiàn)將MANAGE(ETH0)NGAF設(shè)備進(jìn)POWERLINK燈長(zhǎng)亮，ACT燈在有數(shù)據(jù)圖1直連線(xiàn)、交叉2NGAF支持安全的HTTPS登錄，使用的是HTTPS協(xié)議的標(biāo)準(zhǔn)端口登錄。如果初始登錄從管理口(MANAGE)登錄，那么登錄的URL為：按照前面所示方法接好線(xiàn)后，通過(guò)WEB界面來(lái)SANGFORNGAF設(shè)備。方法如下：首先為登陸控制臺(tái)的電腦配置一個(gè)10.251.251.X網(wǎng)段的IP（如配置00），然后在IE瀏覽器中輸入管理口的默認(rèn)登陸IP及端口，出現(xiàn)一個(gè)如下廠情況下的用戶(hù)名和為admin/sangfor。 配置和使登錄WebUI配置界面后，可以看到以下配置模塊：包括『運(yùn)行狀態(tài)』、『網(wǎng)絡(luò)配置』、『安全『風(fēng)險(xiǎn)分析』 『流量管理『系統(tǒng)』、『『配置向?qū)А?3運(yùn)行狀『運(yùn)行狀態(tài)』主要用于查看設(shè)備的基本狀態(tài)信息，包括『系統(tǒng)狀態(tài)』、『最近安全事件』『服務(wù)器安全事件』、『終端安全事件』、『最近源』、『 流量』、『用戶(hù)流量』『應(yīng)用流量排名『流量管理狀態(tài)』、『在線(xiàn)用戶(hù)管理『聯(lián)動(dòng) 系統(tǒng)狀選擇顯示模 恢復(fù)默認(rèn)顯示模

信息]、[今日安全日志匯總]、[系統(tǒng)關(guān)鍵事件]、[今日服務(wù)器安全]、[應(yīng)用流量]、[狀態(tài)查系統(tǒng)信【系統(tǒng)信息】主要用于顯示設(shè)備系統(tǒng)資源的概況，包括CPU使用率，內(nèi)存使用率，磁今日安全日志匯【今日安全日志匯總】主要用于顯示設(shè)備當(dāng)天檢測(cè)和到的概況，包括查 系統(tǒng)關(guān)鍵事【系統(tǒng)關(guān)鍵事件】主要用于顯示W(wǎng)EB應(yīng)用防護(hù)，IPS，DOS/DDOS防護(hù)，管理員操作今日服務(wù)器安全 應(yīng)用流量接口信 接口吞吐率折線(xiàn)應(yīng)用流速趨勢(shì)疊加IP流量用戶(hù)流量 最近安全事查看最近安全事如圖，顯示的內(nèi)容包括：發(fā)生事件、源IP、目的IP、類(lèi)型以及的URL刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 服務(wù)器安全查看服務(wù)器安全事刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 終端安全事查看終端安全事 刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 最近查看最近 刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) IP流IP流量如圖，根據(jù)IP的總流速進(jìn)行，顯示的內(nèi)容包括IP地址，上行流速，下行流速，總流速，獲取機(jī)器名，流量構(gòu)成。在[獲取機(jī)器名]一欄點(diǎn)擊獲取，用來(lái)獲取對(duì)應(yīng)IP的計(jì)算機(jī)名；在[流量構(gòu)成]一欄，點(diǎn)擊對(duì)應(yīng)的應(yīng)用會(huì)出現(xiàn)如下界面，來(lái)顯示該IP具體的應(yīng)用流量：刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) IP流量點(diǎn) 『過(guò)濾對(duì)象』用來(lái)設(shè)置具體的IP用戶(hù)流量查看用戶(hù)流量 刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 過(guò)濾用戶(hù)流量點(diǎn) [組過(guò)濾]、[用戶(hù)過(guò)濾]、[IP過(guò)濾]三個(gè)條件只能選擇一個(gè)，其中組過(guò)濾中“/”是表示所凍結(jié)用戶(hù)上解凍用戶(hù)上 應(yīng)用流量查看應(yīng)用流量如圖，根據(jù)應(yīng)用占用的帶寬進(jìn)行，顯示的內(nèi)容包括：應(yīng)用類(lèi)型、線(xiàn)路、上下行流速、刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 過(guò)濾應(yīng)用流量點(diǎn) 流量管理狀刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 點(diǎn) 查看速通道流量查【帶寬分配】頁(yè)面可以看到通道的名稱(chēng)、所屬線(xiàn)路、瞬時(shí)速率、占用比例、通道用戶(hù)數(shù)、保證帶寬、最大帶寬、狀態(tài)等信息。在歷史信息排除策略流量查3.1.11用戶(hù)管查看用此處可以到所有通過(guò)設(shè)認(rèn)證的用戶(hù)登名（顯示、所屬組、P地址、、進(jìn)。過(guò)濾用點(diǎn) [過(guò)濾對(duì)象]勾選后可以選擇根據(jù)[用戶(hù)過(guò)濾]或者是[IP過(guò)濾]，輸入指定的用戶(hù)或者IP進(jìn)凍結(jié)用點(diǎn) 解凍用強(qiáng)制注銷(xiāo)用 點(diǎn) 3.1.11聯(lián)動(dòng)源『聯(lián)動(dòng)源IP』主要用于查看當(dāng)IPS規(guī)則、WEB應(yīng)用防護(hù)規(guī)則和數(shù)據(jù)泄密防護(hù)模塊啟用聯(lián)動(dòng)時(shí)，了哪些源IP以及是哪個(gè)安全策略觸發(fā)的聯(lián)動(dòng)，界面如下：刷新間隔：5點(diǎn) 刷新間隔：5點(diǎn) 可以清除該IP地址點(diǎn) 時(shí)間網(wǎng)絡(luò)配接口/區(qū)子接口、VLAN接口、區(qū)域、接口聯(lián)動(dòng)信息，如下圖所示：物理接[連接類(lèi)型]：顯示接口IP地址獲取的類(lèi)型，包括ADSL、靜態(tài)IP、DHCP 接線(xiàn)或者網(wǎng)口DOWN掉。 虛擬網(wǎng)線(xiàn)：虛擬網(wǎng)線(xiàn)接口也是普通的交換接口，不需要配置IP地址，不支持路由轉(zhuǎn)發(fā)，轉(zhuǎn)有關(guān)這三種不同接口類(lèi)型的詳細(xì)配置說(shuō)明請(qǐng)參考5.1小節(jié)的案例。子接子接口用于配置物理接口是路由接口，并且該路由接口需要啟用VLANtrunk的場(chǎng)景，配[接口名稱(chēng)]顯示子接口的名稱(chēng)。接口名稱(chēng)自動(dòng)生成，且不可修改。例如eth0口下VLAN2[地址]顯示子接口的IP[MTU]顯示子接口的MTU ]顯示是否允 子接口VLAN接點(diǎn)擊新增，添加VLAN[接口名稱(chēng)]設(shè)置VLANID。設(shè)備需要加入VLAN，就填寫(xiě)對(duì)應(yīng)的VLANID即可。[基本屬性]設(shè)置VLAN接口是否允許[連接類(lèi)型]可以選擇靜態(tài)IPDHCP。靜態(tài)IP地址填寫(xiě)對(duì)應(yīng)VLAN網(wǎng)段的IP區(qū)路由接口，包括子接口和VLAN接口；如果選擇虛擬網(wǎng)線(xiàn)區(qū)域，接口列表會(huì)顯示未被劃到[管理地址]設(shè)置可以登陸管理設(shè)備的源IP地址。點(diǎn)擊 選擇和新增IP組。接口聯(lián)『接口聯(lián)動(dòng)』接口聯(lián)動(dòng)主要用于NGAF設(shè)備工作在流量負(fù)載均衡模式，把負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)點(diǎn)擊是，啟動(dòng)接口LINK路路由配置頁(yè)面包括靜態(tài)路由，策略路由，OSPF，RIP和查看路由，當(dāng)設(shè)備本身需要和不同網(wǎng)段的IP通信時(shí)，需要通過(guò)路由實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。靜態(tài)路[目的IP地址]按照目的IP，目的掩碼，下一跳地址，接口，度量值的格式填寫(xiě)，一行對(duì)應(yīng)一條靜態(tài)策略路『策略路由』主要用于設(shè)備有多個(gè)口接多條線(xiàn)路時(shí)，根據(jù)源/目的IP、源/目的務(wù)器需要驗(yàn)證的源IP地址，如果多次的源IP是不同的，則會(huì)斷開(kāi)連接，此時(shí)次安全應(yīng)用的源IP地址是固定的?！篛SPF』用于對(duì)NGAF設(shè)備開(kāi)啟和設(shè)置OSPF動(dòng)態(tài)路由協(xié)議，包括網(wǎng)絡(luò)配置，接口配勾選[啟用OSPF]，啟用OSPF用和配置虛連接。點(diǎn) [區(qū)域ID]：填寫(xiě)骨干區(qū)域ID 一般設(shè)置為o間隔的4倍，默認(rèn)值是40s。網(wǎng)絡(luò)配[區(qū)域ID]：設(shè)置將該網(wǎng)段引入到哪個(gè)區(qū)域，一般填寫(xiě)骨干區(qū)域的ID接口配[接口名稱(chēng)]：『OSPF』→『網(wǎng)絡(luò)配置』中發(fā)布的網(wǎng)段對(duì)應(yīng)的接口名稱(chēng)。[接口IP]：接口IP地址。[接口]：接口不發(fā)送OSPF鏈路狀態(tài)，配置為接口后，直連路由可以發(fā)布，但接口的OSPF報(bào)文將會(huì)被阻塞，鄰居無(wú)法建立。接口默認(rèn)選“否”。[認(rèn)證口令]：設(shè)置明文或MD5認(rèn)證方式的口令。影響OSPF的選路結(jié)果，范圍為1-65535，默認(rèn)值為1。[優(yōu)先級(jí)]：優(yōu)先級(jí)為0的路由器不會(huì)被成DR或者BDR。DR由本網(wǎng)段路由器通過(guò)o報(bào)文共同，設(shè)備將自己選出的DR寫(xiě)入o報(bào)文中，發(fā)給網(wǎng)段上其他路由器。當(dāng)同一網(wǎng)段的兩臺(tái)路由器都宣布自己是DR時(shí)，優(yōu)先級(jí)高的勝出；如果優(yōu)先級(jí)也相同，[DDMTU不匹配檢測(cè)]OSPFDD報(bào)文描述自己的LSDB。默認(rèn)情況下，接口發(fā)送DD報(bào)文時(shí)不填充MTU值，即DD報(bào)文中MTU值為0。參數(shù)配[RouterID]：設(shè)置NGAF設(shè)備的RouterID[SPF計(jì)算間隔]：當(dāng)鏈路狀態(tài)數(shù)據(jù)庫(kù)LSDB發(fā)生變化時(shí)，需要重新計(jì)算最短路徑，默認(rèn)5s。作為外部路由信息，并可設(shè)置路由引入后的metric值。[直連路由]：選擇是否需要將直連路由引入OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的metric值，默認(rèn)度量值是10。[RIP路由]：選擇是否需要將RIP路由引入OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的metric值，默認(rèn)度量值是20。[靜態(tài)路由]：選擇是否需要將靜態(tài)路由引入OSPF路由中作為外部路由信息，并可設(shè)置路由引入后的metric值，默認(rèn)度量值是20。metric參數(shù)，則使用該度量值作為路由引入后的跳數(shù)。度量值默認(rèn)值是10。信息顯通過(guò)『信息顯示』可以查看OSPF鏈路信息，OSPF路由信息，OSPF鄰接關(guān)系，OSPF[Type]：LSA的type[ID]：LSA所在的RouterID。*代表設(shè)備自己產(chǎn)生的LSA。[AdvRouter]：表示由哪個(gè)設(shè)備通告的這條LSA給本設(shè)備。[Seq]：這條LSA的序列號(hào)。[Age]：表示收到該LSA已有多長(zhǎng)時(shí)間。超時(shí)時(shí)間到了之后，該LSA『OSPF路由信息』用來(lái)查看OSPF[NeighborID]：鄰接路由器的路由器ID。[Pri]：鄰接路由器的優(yōu)先級(jí)。[State]：[DeadTime]：顯示如果鄰居不發(fā)o報(bào)文，還有多長(zhǎng)時(shí)間該路由器狀態(tài)變?yōu)镈EAD[Address]IP地址。當(dāng)OSPF信息包被傳輸?shù)洁従?，此地址將是下一跳IP地址。OSPF_VL1是虛連接標(biāo)識(shí)。[IP]：接口的IP地址。[DR]：該區(qū)域的DR地址。[BDR]：該區(qū)域的候選BDR『RIP』用于對(duì)NGAF設(shè)備開(kāi)啟和設(shè)置RIP動(dòng)態(tài)路由協(xié)議，包括網(wǎng)絡(luò)配置，接口配置，勾選[啟用RIP]，啟用RIP網(wǎng)絡(luò)配接口配接口能收發(fā)RIP報(bào)文。如果在『RIP』→『網(wǎng)絡(luò)配置』下新增了如下網(wǎng)段：[接口名稱(chēng)]：『RIP』→『網(wǎng)絡(luò)配置』中發(fā)布的網(wǎng)段對(duì)應(yīng)的接口名稱(chēng)。[接口IP]：接口IP地址。[版本設(shè)置（接收）]：指定在接口上接收的RIP報(bào)文的版本。當(dāng)接收的版本選擇為時(shí)，可同時(shí)接收RIPv1RIPv2[版本設(shè)置（發(fā)送）]：指定在接口上發(fā)送的RIP報(bào)文的版本。RIPv1的報(bào)文傳送方式為本選擇為RIPv2時(shí)，可同時(shí)發(fā)送RIPv1和RIPv2的報(bào)文。這條路由的METRIC是無(wú)窮大。缺省情況下不啟用毒性逆轉(zhuǎn)。[認(rèn)證方式]：可以選擇明文，MD5，不認(rèn)證。RIPv1不支持報(bào)文認(rèn)證，RIPv2支持明文和MD5認(rèn)證。鄰居配『鄰居配置』設(shè)置相鄰運(yùn)行RIP協(xié)議的設(shè)備IP參數(shù)配先級(jí)的數(shù)值越大，其實(shí)際的優(yōu)先級(jí)越低?？梢允止づ渲肦IP的優(yōu)先級(jí)，默認(rèn)值是120。180s。『路由重發(fā)布配置』配置將其他路由，如直連路由，OSPF路由，靜態(tài)路由引入RIP中，置路由引入后的metric值。默認(rèn)度量值是10。[OSPF路由]：選擇是否需要將直連路由引入RIP路由中作為外部路由信息，并可設(shè)置路由引入后的metric值。默認(rèn)度量值是20。置路由引入后的metric值。默認(rèn)度量值是20。的metric參數(shù)，則使用該度量值作為路由引入后的跳數(shù)。默認(rèn)度量值是10。點(diǎn) 查看路，目的，]，，接口虛擬網(wǎng)虛擬網(wǎng)線(xiàn)功能是指在NGAF設(shè)備上設(shè)置一個(gè)物理接口組，如A接口與B接口組成一組虛擬網(wǎng)線(xiàn)，數(shù)據(jù)包從A接口進(jìn)入設(shè)備后，除了目標(biāo)IP地址是NGAF設(shè)備本身的數(shù)據(jù)外，其據(jù)直接發(fā)送出去，但數(shù)據(jù)仍然受各種安全策略的控制。通過(guò)虛擬網(wǎng)線(xiàn)功能，能提高NGAF設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)的效率，也能防止由于MAC表的導(dǎo)致數(shù)據(jù)轉(zhuǎn)發(fā)錯(cuò)誤。高級(jí)網(wǎng)絡(luò)配高級(jí)網(wǎng)絡(luò)配置包括ARP，DNS，SNMP『ARP配置』包括靜態(tài)ARP表和ARP兩部分ARP『靜態(tài)ARP表』用于在設(shè)備設(shè)置靜態(tài)綁定IP/MAC[IP地址]：設(shè)置需要綁定靜態(tài)ARP條目的IP地址。[MAC地址]：設(shè)置需要綁定靜態(tài)ARP條目的MAC地址。[接口]：設(shè)置與綁定的IP地址相同網(wǎng)段的設(shè)備接口。ARPARP功能即NGAF設(shè)備回應(yīng)ARP請(qǐng)求，達(dá)到保護(hù)內(nèi)網(wǎng)主機(jī)的目的。界面如下『DNS』頁(yè)面用于NGAF設(shè)備本身公網(wǎng)的DNS服務(wù)器設(shè)置以及DNS功能的[首選DNS服務(wù)器]和[備選DNS服務(wù)器]：設(shè)置NGAF設(shè)備本身公網(wǎng)的DNS服[DNS]：開(kāi)啟此功能后，內(nèi)網(wǎng)用戶(hù)的DNS設(shè)置成NGAF設(shè)備的接口IP，通過(guò)設(shè)內(nèi)網(wǎng)用戶(hù)的DNS請(qǐng)求，轉(zhuǎn)發(fā)到設(shè)備設(shè)置的首選DNS服務(wù)器和備選DNSSNMP用于支持其他設(shè)備或軟件用SNMP方式來(lái)管理和查看SANGFOR設(shè)備的相勾選[開(kāi)啟SNMP]，則其他設(shè)備和管理軟件可以通過(guò)SNMP設(shè)備信息SNMPV2協(xié)議連接設(shè)備，并約定連接參數(shù)。設(shè)定SNMPSNMP管理者為一個(gè)子網(wǎng)，該子網(wǎng)內(nèi)的主機(jī)都可以通過(guò)SNMP管理設(shè)備。[地址]：設(shè)置SNMP管理者的IP于指定SNMP管理主機(jī)對(duì)象的IPSNMP管[團(tuán)體名]：指定SNMP管理主機(jī)設(shè)備時(shí)的團(tuán)體名?！篠NMPV3』用于設(shè)置當(dāng)以SNMPV3版本通訊時(shí)，需要設(shè)置的一些高級(jí)擴(kuò)展選項(xiàng)，界碼必須為8位字符并且不能包含空格，將以MD5算法進(jìn)行加密。并且不能包含空格，將以DES算法進(jìn)行加密。安全防護(hù)對(duì)特征識(shí)『ID』顯示當(dāng)前的ID，將ID輸入搜索框，可以通過(guò)ID進(jìn)行搜索。主要作用是當(dāng)服務(wù)器被某個(gè)IPS規(guī)則了，可以到數(shù)據(jù)中心查看到ID。通過(guò)此處的ID查詢(xún)，可以設(shè)置不此規(guī)則『類(lèi)型』顯示當(dāng)前的類(lèi)型，如bakdoor『等級(jí)』描述此的等級(jí)，一般有高、中、低三個(gè)等級(jí)，等級(jí)越高的則]、[啟用，檢測(cè)后放行]、[啟用，與云分析引擎聯(lián)動(dòng)]、[禁用]四種。這個(gè)動(dòng)作可以自定義，點(diǎn)擊『名稱(chēng)』編輯頁(yè)面，如下圖：WEB應(yīng)用防護(hù)特征點(diǎn)擊用于統(tǒng)一的修改WEB應(yīng)用防護(hù)規(guī)則。若選擇[默認(rèn)（系統(tǒng)初始狀態(tài)）]，則將保留系統(tǒng)自帶的規(guī)則狀態(tài)；若選擇[啟用嚴(yán)格規(guī)則檢測(cè)，并]，則對(duì)于所有防護(hù)規(guī)則的動(dòng)作都將設(shè)置為“啟用，檢測(cè)后”。對(duì)于等級(jí)為中的規(guī)則來(lái)說(shuō)，系統(tǒng)默認(rèn)的狀態(tài)會(huì)放行的，啟用嚴(yán)格檢測(cè)后，等級(jí)所有的規(guī)則也將被。 『等級(jí)』描述此的等級(jí)，一般有高、中、低三個(gè)等級(jí)，等級(jí)越高的則[啟用，檢測(cè)后放行]、[啟用，與云分析引擎聯(lián)動(dòng)]、[禁用]四種。這個(gè)動(dòng)作可以自定義，點(diǎn)擊『防護(hù)名稱(chēng)』編輯頁(yè)面，如下圖：數(shù)據(jù)泄密防備時(shí)，設(shè)備會(huì)進(jìn)行，以保護(hù)用戶(hù)敏感信息不被出去。界面如下：預(yù)定義敏感信點(diǎn)擊新增按鈕，彈出【排除IP】框，界面如下選擇“排除URL”點(diǎn)擊新增按鈕，彈出【排除URL】框，界面如下自定義敏感信點(diǎn)擊用于設(shè)置針對(duì)哪些IP、以及哪些URL不進(jìn)行數(shù)據(jù)泄密防護(hù)。『預(yù)定對(duì)象定ISP地址『ISP地址庫(kù)』用于設(shè)置網(wǎng)絡(luò)運(yùn)營(yíng)商的IP地址段，此IP地址段主要用于『策略路由』中點(diǎn)擊刪除，用于將已選的ISP點(diǎn)擊新增，用于新建ISP『名稱(chēng)』用于設(shè)置ISP『WHOIS標(biāo)志』用于設(shè)置相應(yīng)的ISP地址段對(duì)應(yīng)的whois標(biāo)志，便于根據(jù)標(biāo)志識(shí)別不應(yīng)用特征識(shí)的檢測(cè)通過(guò)端口或協(xié)議無(wú)法區(qū)分的應(yīng)用類(lèi)型，比如QQ、P2P等。定義規(guī)則詳細(xì)介紹見(jiàn)章節(jié)3.4.5）。查看應(yīng)用識(shí)別規(guī)應(yīng)用類(lèi)別中細(xì)化的分類(lèi)，如IM中的QQ，MSN等。啟用/禁用應(yīng)用識(shí)別規(guī)3.4.2行禁用，如圖篩選出QQ相關(guān)的應(yīng)用：勾選具體應(yīng)用“QQ”，點(diǎn)擊啟用或者禁用，即可對(duì)QQ點(diǎn) 或 HTTP協(xié)議的數(shù)據(jù)識(shí)別。所以設(shè)備限制此類(lèi)規(guī)則不能被禁應(yīng)用智能識(shí)『應(yīng)用智能識(shí)別庫(kù)』也是用于識(shí)別各種上網(wǎng)數(shù)據(jù)的應(yīng)用類(lèi)型的，它和『應(yīng)用特征識(shí)別庫(kù)』的P2P應(yīng)用、skype、SSL、SANGFOR數(shù)據(jù)的識(shí)別、自由門(mén)，等工具數(shù)據(jù)。配置界面如下：?jiǎn)⒂?禁用應(yīng)用智能識(shí)別規(guī) 語(yǔ)音識(shí)別規(guī)則】的編輯框，列出所有 編輯P2P行為識(shí)別規(guī)P2P 數(shù)據(jù)可能是未識(shí)別的P2P數(shù)據(jù)，這時(shí)可以將此處的靈敏度調(diào)高一些。比一些應(yīng)用本不進(jìn)行P2P智能識(shí)別，可以避免部分誤判的情況。自定義應(yīng)新增自定義應(yīng)用規(guī)：[協(xié)議]：設(shè)置數(shù)據(jù)所采用的協(xié)議類(lèi)型，此例中郵件發(fā)送是TCP協(xié)議；[IP地址]：設(shè)置源IP、目標(biāo)IP或者是識(shí)別后的目標(biāo)IP 發(fā)送郵件的帶寬。（）建議設(shè)置自定義規(guī)則時(shí)要加上目標(biāo)端口、IP和等識(shí)別信息，如果識(shí)別的條件過(guò)于寬泛，可能會(huì)和內(nèi)置的應(yīng)用識(shí)別規(guī)則有導(dǎo)致應(yīng)用識(shí)別，從而導(dǎo)致部分控制啟用/禁用/刪除自定義應(yīng)用規(guī)導(dǎo)入/導(dǎo)出自定義應(yīng)用規(guī)『URL分類(lèi)庫(kù)』是根據(jù)網(wǎng)頁(yè)的內(nèi)容定義出不同的URL類(lèi)型，幫助設(shè)備識(shí)別各類(lèi)，以實(shí)現(xiàn)對(duì)各種類(lèi)型的進(jìn)行權(quán)限控制和流量控制?！篣RL庫(kù)列表』中顯示的是內(nèi)置URL組和自定義的URLURL組由深信服定期在服務(wù)器上進(jìn)行更新，設(shè)備通過(guò)上網(wǎng)連接服務(wù)器進(jìn)行更新，此類(lèi)更新需要。自定義URL組是在內(nèi)置URL組不滿(mǎn)足需求時(shí)，客戶(hù)可以通過(guò)已知的URL設(shè)置的URL組。URL庫(kù)列『URL庫(kù)列表』包括設(shè)備內(nèi)置的URL庫(kù)和用戶(hù)自定義的URL庫(kù)。內(nèi)置URL設(shè)備定時(shí)更新，但更新內(nèi)置庫(kù)需要序列號(hào)，且保證設(shè)備能夠上網(wǎng)。自定義URL庫(kù)可以進(jìn)行增加、刪除和修改等操作（參見(jiàn)章節(jié)3.4.7小節(jié)。在【導(dǎo)航菜單】頁(yè)面中的『對(duì)象定義』→『UL分類(lèi)庫(kù)』，右邊進(jìn)入【UL分類(lèi)庫(kù)】頁(yè)面：點(diǎn)擊【UL庫(kù)列表】頁(yè)面，頁(yè)面上方顯示了內(nèi)置UL庫(kù)版本以及內(nèi)置UL在【導(dǎo)航菜單】頁(yè)面中的『對(duì)象定義』→『URL分類(lèi)庫(kù)』，右邊進(jìn)入【URL分類(lèi)庫(kù)】查詢(xún)的，點(diǎn)擊查詢(xún)后，查詢(xún)結(jié)果中會(huì)顯示URL對(duì)應(yīng)的類(lèi)別。URL字則被識(shí)別成該URL組，關(guān)鍵字匹配優(yōu)先級(jí)低于內(nèi)置URL庫(kù)和自定義URL庫(kù)。1、用*號(hào)表示通配，比如要設(shè)置一個(gè)URL表示新浪的子頁(yè)面，包括新浪 .cn）、新浪體育（ .cn）、新浪（ URL刪除URL組用于刪除用戶(hù)自定義的URL組，設(shè)備內(nèi)置的URL組是不能刪除的庫(kù)列表】頁(yè)面，勾選自定義的URL庫(kù)，點(diǎn)擊刪除，則可刪除對(duì)應(yīng)的URLURL修改URL組既可以修改用戶(hù)自定義的URL組也可以修改內(nèi)置的URL組，不過(guò)兩者有對(duì)于用戶(hù)自定義的URL組，進(jìn)行編輯時(shí)，可以編輯URL組的描述以及URL、關(guān)內(nèi)置庫(kù)中已有的URL，只能在[URL]和[關(guān)鍵字]中添加URL和關(guān)鍵字，作為對(duì)內(nèi)置URL直接點(diǎn)擊需要修改的URL組的名稱(chēng)，然后彈出【編輯URL服預(yù)定義服自定義服協(xié)議用于設(shè)置服務(wù)的協(xié)議類(lèi)及端，分別擊T、UD、[P、其他，TCPUDP的填寫(xiě)格式是一行一個(gè)端口或者端口范圍，ICMP填寫(xiě)格式為“type:a,code:b”（不帶引號(hào)）ab0-255的整數(shù)，可以輸入多行。服務(wù)IP『IP組設(shè)置』用于定義一個(gè)包含某些IP地址的IP地址組，這個(gè)IP組可以是內(nèi)網(wǎng)的IP段，也可以是公網(wǎng)的某些IP范圍，或者是全部IP?！篒P組設(shè)置』可以被『』→『地址轉(zhuǎn)換』、『內(nèi)容安全』→『應(yīng)用控制策略』、『流量管理』→『通道配置』等處。在【導(dǎo)航菜單】頁(yè)面中的『對(duì)象定義』→『IP組』，右邊進(jìn)入【IP組】編輯頁(yè)面來(lái)的IP地址追加到IP用DNS地址，能正常解析。時(shí)間計(jì)『時(shí)間計(jì)劃』用于定義常用的時(shí)間段組合，然后在『內(nèi)容安全』→『應(yīng)用控制策略』單次時(shí)間計(jì)循環(huán)時(shí)間計(jì)點(diǎn) 文件類(lèi)型『文件類(lèi)型組』用于定義需要的文件類(lèi)型，并可應(yīng)用到『內(nèi)容安全』→『 過(guò)濾』→『文件過(guò)濾』中，限制文件HTTP和FTP的上傳和，也可用于『流量管理』→『通設(shè)備默認(rèn)自帶有、音樂(lè)、文本、壓縮文件、應(yīng)用程序的大部分文件類(lèi)型，信任的頒發(fā)機(jī)『信任的頒發(fā)機(jī)構(gòu)』用于『內(nèi)容安全』→『WEB過(guò)濾』→『ActiveX過(guò)濾』，當(dāng)勾型的的ActivX控件。用戶(hù)可以導(dǎo)入或者刪除這個(gè)的。支持從本地導(dǎo)入格式為crt或cer。

，選 不存在CN名，則采用最后一個(gè)字段的名（字段的排列順序和IE有可能不一樣）認(rèn)證系用戶(hù)管概用戶(hù)管用戶(hù)認(rèn)相比基于IP地址的管理來(lái)說(shuō)更直觀，也更精確。要實(shí)現(xiàn)基于用戶(hù)的管理，本系統(tǒng)必須要知道某個(gè)IP地址上某個(gè)時(shí)刻是哪個(gè)用戶(hù)在使用 系統(tǒng)進(jìn)行結(jié)合，以識(shí)別出某個(gè)IP地址上目前正在使用的用戶(hù)，用戶(hù)上網(wǎng)時(shí)不會(huì)再要求先輸ActiveDirectory域的單點(diǎn)登錄（.1.1）結(jié)合服務(wù)器的單點(diǎn)登錄（參見(jiàn)章節(jié).1.2）結(jié)合POP3郵件服務(wù)器的單點(diǎn)登錄（.1.3）結(jié)合WEB表單認(rèn)證的單點(diǎn)登錄（參見(jiàn)章節(jié).1.4）3、基于IP地址、MAC地址、計(jì)算機(jī)名的識(shí)別根據(jù)數(shù)據(jù)包的源IP地址/MAC地址，上網(wǎng)計(jì)算機(jī)的計(jì)算機(jī)名來(lái)識(shí)別用戶(hù)。此種識(shí)別用戶(hù)類(lèi)IP/MAC組/用查看用戶(hù)/組、綁定信息（用戶(hù)綁定的IP、MAC信息、過(guò)期時(shí)間（用戶(hù)、描述信息、狀態(tài)（啟用或選擇功能：此功能用于快速選擇當(dāng)前頁(yè)和全部頁(yè)的用戶(hù)、用戶(hù)組，點(diǎn)擊彈出索IP地址]、[搜索MAC地址]，在后面的輸入框中輸入內(nèi)容，按回車(chē)鍵進(jìn)行搜索。新增用戶(hù)/ 置IP或者M(jìn)AC條件，用于設(shè)備判斷用戶(hù)的認(rèn)證方式?？蛻?hù)內(nèi)網(wǎng)/網(wǎng)段的電腦全部采用用戶(hù)名的認(rèn)證方式，并在IP范圍（即限制登錄的IP范圍）為-00，可以多人同時(shí)登陸。第一步：客戶(hù)需求是：網(wǎng)的電腦全采用戶(hù)名的認(rèn)證在『用戶(hù)認(rèn)證』→『認(rèn)證策略』中設(shè)置認(rèn)證策略，設(shè)置此用戶(hù)的IP或者M(jìn)AC范圍證區(qū)域。如圖，本例用以選擇內(nèi)網(wǎng)區(qū)做認(rèn)證為例。區(qū)域設(shè)置請(qǐng)參考章節(jié)。勾選[本地]，在[]的輸入框中輸入用戶(hù)登錄認(rèn)證的。[綁定IP/MAC地址]用于將該用戶(hù)和IP/MAC地址綁定。此例中需要：?jiǎn)蜗蚪壎↖P圍（即限制登錄的IP范圍）-00，在輸入框中填入名和，點(diǎn)擊登錄。如果用戶(hù)名驗(yàn)證正確并且符合綁定的IP條件，則認(rèn)證通過(guò)。如果用戶(hù)名正確，但登錄使用的IP地址不屬于綁定的IP范圍，則認(rèn)證不通過(guò)，提客戶(hù)內(nèi)網(wǎng)/網(wǎng)段的電腦全部采用用戶(hù)名的認(rèn)證方式，并在工程師組中新增一個(gè)用戶(hù)：工程李，此用戶(hù)的認(rèn)證方式是用戶(hù)名認(rèn)證，并且雙向綁定IP/MAC17/00-1C-25-AC-4C-44（即此用戶(hù)認(rèn)證時(shí)必須使用IP/MAC，并且其第一步：客戶(hù)需求是：/網(wǎng)段的電腦全部采用用戶(hù)名的認(rèn)證在『用戶(hù)認(rèn)證』→『認(rèn)證策略』中設(shè)置認(rèn)證策略，設(shè)置此用戶(hù)的IP或者M(jìn)AC范圍第四步：設(shè)置『用戶(hù)屬性』，勾選[本地]，在[]的輸入框中輸入用戶(hù)登錄認(rèn)證。17/00-1C-25-AC-4C-44（即此用戶(hù)認(rèn)證時(shí)必須使用此IP/MAC，并且其他用戶(hù)不能使用此IP/MAC）。，在輸入框中填入名和，點(diǎn)擊登錄。如果用戶(hù)名驗(yàn)證正確并且符合綁定的IP條件，則認(rèn)證通過(guò)。方式時(shí)，用戶(hù)可以不用輸入用戶(hù)名直接上網(wǎng)，此時(shí)設(shè)備是以IP地址、MAC地址或者是一對(duì)一的關(guān)系，此時(shí)可以根據(jù)IP/MAC識(shí)別到對(duì)應(yīng)的用戶(hù)。2『用戶(hù)認(rèn)證』→『認(rèn)證策略』中設(shè)置不需要認(rèn)證，并以IP地址或MAC地址或者IPMAC地址或者計(jì)算機(jī)名，匹配IP/MAC進(jìn)行雙向綁定，即只有主管的電腦才可以使用此賬號(hào)上網(wǎng)。主管電腦的IP/MAC定。此例中需要：雙向綁定IP/MAC為17/00-1C-25-AC-4C-44。[IP/MAC地址]的雙向綁定，因?yàn)檫@項(xiàng)設(shè)置具有唯一性，不能在添加多用戶(hù)時(shí)設(shè)刪除用戶(hù)/該組刪除。）批量編輯用戶(hù)/多個(gè)組進(jìn)行編輯，批量編輯用戶(hù)時(shí)不能設(shè)置[IP/MAC地址]的雙向綁定，因?yàn)檫@兩項(xiàng)把“4，master，3，2，，工程張”這六個(gè)用戶(hù)的描述都寫(xiě)為工程部；設(shè)置同樣的用戶(hù)名認(rèn)證；單向綁定IP地址范圍：-55；用戶(hù)有效期到2012年11號(hào)。第二步：勾選[描述]，填上工程師。勾選[設(shè)置]和[本地]，填上第三步：勾選[綁定IP/MAC地址]和[啟用IP/MAC綁定]，選擇[修改IP/MAC地址]，填上-55。勾選[賬號(hào)過(guò)期時(shí)間]，選擇[過(guò)期日期]，選擇時(shí)間為2012-01-01導(dǎo)入導(dǎo)出用戶(hù)/ 面進(jìn)行用戶(hù)的導(dǎo)入，詳細(xì)配置請(qǐng)參見(jiàn)章節(jié)第二步：控制臺(tái)上有提示“導(dǎo)出成功”，然后彈出框。點(diǎn)擊導(dǎo)出的移動(dòng)用戶(hù)/將用戶(hù)support-xwb與support-pc移動(dòng)到“/點(diǎn)擊移動(dòng)按鈕成功移動(dòng)support-xwb第二步：點(diǎn)擊移動(dòng)按鈕成功移動(dòng)support-pc和support-xwb用戶(hù)導(dǎo)『掃IP導(dǎo)入』IP/MAC綁定的用戶(hù)時(shí)，可以通過(guò)[IP導(dǎo)入]掃描內(nèi)網(wǎng)用戶(hù)IP/MACIP和已有的用戶(hù)綁定的IP有時(shí)，無(wú)法導(dǎo)入此用戶(hù)。MSActiveDiretory服務(wù)器上導(dǎo)入用戶(hù)。此處的域用戶(hù)導(dǎo)入時(shí)，域服務(wù)器中的安全組會(huì)CSV格式文件導(dǎo)通過(guò)一個(gè)CSV的文件導(dǎo)入用戶(hù)，導(dǎo)入的用戶(hù)時(shí)可以同時(shí)導(dǎo)入顯示名、認(rèn)證方式、綁存該格式的表格文件，例如常見(jiàn)的微軟EXCEL電子表格軟件就可以編輯該類(lèi)型的文件，而XLSCSVcsv文件格式很簡(jiǎn)單，不表格中編輯用戶(hù)信息，導(dǎo)入時(shí)，再轉(zhuǎn)換成csv格式后導(dǎo)入。

IPMAC地址，并且支持將掃描出的用戶(hù)導(dǎo)入設(shè)備，用戶(hù)名是用掃描IP配置案第一步：選擇『掃描IP導(dǎo)入，點(diǎn)

點(diǎn) 1unknow表示機(jī)器名沒(méi)有獲取到，機(jī)器名是通過(guò)登錄控制netbios協(xié)議獲取的，掃描不到機(jī)器名，請(qǐng)確認(rèn)以下幾點(diǎn)：目標(biāo)電腦上是否開(kāi)啟了netbios協(xié)議；目標(biāo)電腦上是否配置了多IP；目標(biāo)電腦上是否有過(guò)濾了netbios協(xié)議；網(wǎng)絡(luò)路徑中是否有設(shè)備做了netbios協(xié)議的過(guò)濾。從外部LDAP服務(wù)器上導(dǎo)入用用于將LDAP服務(wù)器中的用戶(hù)同步到設(shè)備中，該功能僅支持從MSActiveDiretory服務(wù)器上導(dǎo)入用戶(hù)，如果是其他類(lèi)型的LDAP服務(wù)器，請(qǐng)通過(guò)『用戶(hù)管理』→『LDAP自動(dòng)同步』來(lái)完成用戶(hù)的導(dǎo)入（參見(jiàn)章節(jié)）。實(shí)現(xiàn)從LDAP服務(wù)器上導(dǎo)入用戶(hù)，首先需要配置LDAP服務(wù)器（具體設(shè)置參見(jiàn)：『功能說(shuō)明』→『用戶(hù)與策略管理』→『用戶(hù)認(rèn)證』→）1、LDAPLDAPIE瀏常到和導(dǎo)入LDAP服務(wù)器中的用戶(hù)信息。LDAP自動(dòng)同『LDAP自動(dòng)同步』用于將域服務(wù)器中的用戶(hù)、組織結(jié)構(gòu)、安全組同步到設(shè)備上，并且0點(diǎn)-6點(diǎn)的一AD域）][按組織結(jié)構(gòu)(OU)同步]：適用于所有類(lèi)型的LDAPLDAP到設(shè)備，用戶(hù)同步到設(shè)備仍然屬于對(duì)應(yīng)的OU組。[按安全組同步（僅AD域）]：僅適用于微軟的LDAP服務(wù)器，即AD域。按照這種方式同步時(shí)，AD域服務(wù)器中的安全組會(huì)以用戶(hù)組的形式同步到設(shè)備，安全組沒(méi)有組織結(jié)構(gòu)，新增同步策按組織結(jié)構(gòu)（OU）同LDAPLDAPOU會(huì)以用備仍然屬于對(duì)應(yīng)的OU組。LDAP服務(wù)器中的OU=工程部，OU=市場(chǎng)部，OU=IT部同步到設(shè)備中，同時(shí)同步這些OU對(duì)應(yīng)的子OU和用戶(hù)。第一步：設(shè)置需要同步的LDAP服務(wù)器，設(shè)置IP、端口、登陸用戶(hù)名等信息，具體請(qǐng)參見(jiàn)『用戶(hù)認(rèn)證』→『外部認(rèn)證服務(wù)器』（）第二步：進(jìn)入『認(rèn)證系統(tǒng)』→『LDAP自動(dòng)同步』，點(diǎn)擊新增，在彈出的【LDAP同步】窗第三步：在【 同步】窗口中，設(shè)置[策略名稱(chēng)]、[策略描述]、[同步工作模式]、[第四步：[同步來(lái)源配置]用于設(shè)置需要同步的LDAP服務(wù)器的OU[LDAP服務(wù)器]用于設(shè)置需要同步的LDAP服務(wù)器，此處選擇的服務(wù)器即為步驟一中設(shè)[從以下目標(biāo)同步]用于指定需要同步LDAP服務(wù)器中哪些OU，點(diǎn)擊選擇，在窗【組織結(jié)構(gòu)選擇】中選擇需要同步的OU：OU=工程部，OU=市場(chǎng)部，OU=IT部選擇完成勾選[從目標(biāo)的根節(jié)點(diǎn)開(kāi)始創(chuàng)建本地組織結(jié)構(gòu)]表示LDAP中的根也會(huì)以組的形式同步過(guò)來(lái)，且同步的OU都是它的子組。勾選[從目標(biāo)的當(dāng)前選點(diǎn)開(kāi)始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選的OU開(kāi)始勾選[從目標(biāo)的當(dāng)前選點(diǎn)的子節(jié)點(diǎn)開(kāi)始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選OU的子OU開(kāi)始同步，所選OU和所選OU的直屬用戶(hù)此時(shí)都不會(huì)同步到設(shè)備上。[導(dǎo)入OU的最大深度]：用于設(shè)置導(dǎo)入的OU深度，此處設(shè)置的是10，表示從所選OU9級(jí)子OU9級(jí)以下的OU不會(huì)以用戶(hù)組同步到設(shè)備了，9級(jí)以下OU的用戶(hù)還是可以同步到設(shè)備的，這些用戶(hù)同步過(guò)來(lái)是屬于第9級(jí)OU的。第五步：[同步目標(biāo)配置]用于設(shè)置導(dǎo)入方式、同步的OU和用戶(hù)被放置在設(shè)備組織結(jié)構(gòu)[導(dǎo)入方式]用于選擇同步時(shí)是否OU和用戶(hù)。勾選[同步LDAP的OU組織結(jié)構(gòu)和用戶(hù)到本地]OUOUOU對(duì)應(yīng)的用戶(hù)組下。勾選[同步LDAP的用戶(hù)到本地，忽略O(shè)U組織結(jié)構(gòu)]表示將OU中的用戶(hù)同步到設(shè)OU。勾選[LDAPOU組織結(jié)構(gòu)到本地，不導(dǎo)入用戶(hù)]OU 第六步：設(shè)置完同步策略，點(diǎn)擊提交，添加策略完成。在【LDAP自動(dòng)同步】頁(yè)面查看OU和用戶(hù)同LDAP服務(wù)器中的完全一致。按安全組同步（AD域MSActiveDiretoryAD域。按照這種方式同步時(shí)，AD域服務(wù)器LDAP中安全組沒(méi)有組織結(jié)構(gòu)的概念，設(shè)備LDAP服務(wù)器中的CN=IT人員，CN=經(jīng)理組，CN=普通上網(wǎng)組同步到設(shè)備中，同時(shí)第一步：設(shè)置需要同步的LDAP服務(wù)器，設(shè)置IP、端口、登陸用戶(hù)名等信息，具體請(qǐng)參見(jiàn)『用戶(hù)認(rèn)證』→『外部認(rèn)證服務(wù)器』（）第二步：進(jìn)入『用戶(hù)與策略管理』→『LDAP自動(dòng)同步』，點(diǎn)擊新增，在彈出的【LDA同動(dòng)同步]。[同步工作模式]選擇按安全組同步，[自動(dòng)同步]選擇啟用，自動(dòng)同步一天同步一次。[LDAP服務(wù)器]用于設(shè)置需要同步的LDAP服務(wù)器，此處選擇的服務(wù)器即為步驟一中設(shè) 目標(biāo)同步]用于指定需要同步LDAP服務(wù)器中哪些安全組，點(diǎn)擊，勾選[從目標(biāo)的根節(jié)點(diǎn)開(kāi)始創(chuàng)建本地組織結(jié)構(gòu)]表示LDAP中的根也會(huì)以組的形式同步過(guò)來(lái)，且同步的OU都是它的子組。勾選[從目標(biāo)的當(dāng)前選點(diǎn)開(kāi)始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選的OU開(kāi)始勾選[從目標(biāo)的當(dāng)前選點(diǎn)的子節(jié)點(diǎn)開(kāi)始創(chuàng)建本地組織結(jié)構(gòu)]表示同步從所選OU的子OU開(kāi)始同步，所選OU和所選OU的直屬用戶(hù)此時(shí)都不會(huì)同步到設(shè)備上。[導(dǎo)入OU的最大深度]第六步：設(shè)置完同步策略，點(diǎn)擊提交，添加策略完成。在【LDAP自動(dòng)同步】頁(yè)面查看刪除同步策查看同步報(bào)點(diǎn) 用戶(hù)認(rèn)『用戶(hù)認(rèn)證』用于設(shè)置用戶(hù)認(rèn)證的相關(guān)設(shè)置，包括『認(rèn)證策略』、『認(rèn)證選項(xiàng)』、『外部認(rèn)證義中定義P來(lái)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)C的各種保護(hù)，此時(shí)用戶(hù)以及記錄日志均以P地址的方式認(rèn)證策概1、不需要認(rèn)證；2、認(rèn)證（包括本地認(rèn)證和外部服務(wù)器認(rèn)證；3、單點(diǎn)登錄；IPMAC地址、上網(wǎng)計(jì)算到對(duì)應(yīng)的用戶(hù)。（注意『認(rèn)證策略』中設(shè)置的IP/MAC范圍需要包含綁定的IP/MAC）。IPMAC地址或者IPMAC地址或者計(jì)算機(jī)名，匹配否為password，如果正確，則認(rèn)證成功，否則，認(rèn)證失敗。上進(jìn)行設(shè)置（參見(jiàn)章節(jié).1）。通過(guò)設(shè)置[例外的用戶(hù)]，排除一部分用戶(hù)無(wú)需使用單點(diǎn)登錄認(rèn)證，通過(guò)手動(dòng)輸入用戶(hù) 擇以IP地址做為用戶(hù)名或者以MAC地址做為用戶(hù)名或者以計(jì)算機(jī)名作為用戶(hù)名；2、單點(diǎn)選擇認(rèn)證區(qū)義ETH2口為區(qū)，ETH1口為內(nèi)網(wǎng)區(qū)。新增認(rèn)證策新用戶(hù)自動(dòng)添加到“/IPIP一一對(duì)應(yīng)。內(nèi)網(wǎng)其他網(wǎng)段的用戶(hù)不需要認(rèn)證，以IP作為用戶(hù)名，新用戶(hù)自動(dòng)添加到“/默認(rèn)LDAP認(rèn)證服務(wù)器（）第二步：設(shè)置『用戶(hù)認(rèn)證』→『認(rèn)證策略』，點(diǎn)擊新增，彈出【認(rèn)證策略】窗口。在[策略適用IP/MAC范圍]中填寫(xiě)IP、IP段或者M(jìn)ACIPMAC匹配用戶(hù)對(duì)應(yīng)本例中需要做第服務(wù)器認(rèn)證，所以勾選[本地認(rèn)證/外部認(rèn)證/單點(diǎn)登勾選[到外部LDAP上認(rèn)證的新用戶(hù)，不添加到選擇的本地組，而是自動(dòng)觸發(fā)該用戶(hù)的同步，添加到相應(yīng)的組中]此項(xiàng)勾選表示用戶(hù)如果是LDAP第認(rèn)證或者是單點(diǎn)登錄的用LDAPLDAP同步的策略將用戶(hù)][，此選擇對(duì)認(rèn)證用戶(hù)有此例中需要選擇[雙向綁定]的綁定方式，并且勾選第一項(xiàng)[綁定第一次登錄的 地址用戶(hù)名；此處不需要勾選[本地]，因?yàn)楣催x本地后，此用戶(hù)就擁有本地認(rèn)證的屬性，用戶(hù)認(rèn)證時(shí)不再到外部服務(wù)器上認(rèn)證；勾選[IP/MAC地址]設(shè)置需要綁定的IP需求：內(nèi)網(wǎng)其他網(wǎng)段的用戶(hù)不需要認(rèn)證，以IP作為用戶(hù)名，新用戶(hù)自動(dòng)添加到“/默認(rèn)『認(rèn)證方式』：勾選[不需要認(rèn)證/單點(diǎn)登錄](méi)中的[以IP作為用戶(hù)名『新用戶(hù)選項(xiàng)』：勾選[添加到指定的本地組中]，并選擇“/默認(rèn)組/”認(rèn)證策略是從上往下匹配的，所以本例中設(shè)置的兩條認(rèn)證策略，設(shè)置順序應(yīng)如下圖所 內(nèi)網(wǎng) 第一步：在『用戶(hù)認(rèn)證』→『認(rèn)證選項(xiàng)』→『跨三層MAC識(shí)別』中設(shè)置SNMP跨三層獲取MAC的選項(xiàng)。（參見(jiàn)章節(jié).4）勾選[綁定IP/MAC地址]和[綁定第一次登錄的MAC地址，IP不綁定]『認(rèn)證選項(xiàng)』→『跨三層MAC1NETBIOS協(xié)議來(lái)獲取上網(wǎng)計(jì)算機(jī)的計(jì)算機(jī)名，可能會(huì)出現(xiàn)獲取電腦上是否配置了多IP；電腦上是否有過(guò)濾了NETBIOS協(xié)議；網(wǎng)絡(luò)路徑中是否有設(shè)備做了NETBIOS協(xié)議的過(guò)濾。如果獲取不到計(jì)算機(jī)名，則系統(tǒng)會(huì)把該計(jì)算機(jī)當(dāng)成臨時(shí)MACSNMP協(xié)議，獲取離上網(wǎng)計(jì)算機(jī)最近的三層交換機(jī)（也就是上網(wǎng)計(jì)算機(jī)指向的網(wǎng)關(guān)設(shè)備）ARPIP地址上真正的源MAC地址。/AD域單點(diǎn)登錄進(jìn)行認(rèn)證，即用戶(hù)在登錄系統(tǒng)通過(guò)AD域認(rèn)證時(shí)，同時(shí)通過(guò)設(shè)備的認(rèn)證，AD域中的用戶(hù)可以同步到設(shè)備上。要求如果這個(gè)網(wǎng)段的電腦單點(diǎn)登錄失敗或者是沒(méi)有登錄域的時(shí)候，以IP地址做用戶(hù)名，不需要勾選[到外部LDAP上認(rèn)證的新用戶(hù)，不添加到選擇的本地組，而是自動(dòng)觸發(fā)該用戶(hù)的注意此處不能設(shè)置[綁定IP/MAC地址]進(jìn)行雙向綁定，因?yàn)槲醋鰡吸c(diǎn)登錄的用戶(hù)自動(dòng)添刪除認(rèn)證策批量編輯認(rèn)證策第二步：，點(diǎn)

[][用戶(hù)選項(xiàng)]的相關(guān)策略不會(huì)變化，仍然是原來(lái)的策略。相反，只編輯[新用戶(hù)選項(xiàng)]，批量編認(rèn)證策略?xún)?yōu)先級(jí)調(diào)戶(hù)認(rèn)證時(shí)，從上往下進(jìn)行匹配。一旦IP或MAC符合該策略，則執(zhí)行該策略的認(rèn)證方式。勾選“市場(chǎng)部小組一”策略，點(diǎn)擊上移，向上移動(dòng)到“市場(chǎng)部”策略上面，讓“市場(chǎng)部小組一策略?xún)?yōu)級(jí)別更，192.1682.1-92.168.210的用戶(hù)可以先認(rèn)“市場(chǎng)小導(dǎo)入認(rèn)證策 ，按照示例文件的格式編輯『認(rèn)證策略』認(rèn)證選選項(xiàng)』、『認(rèn)證通過(guò)跳轉(zhuǎn)『認(rèn)證』、『跨三層MAC識(shí)別』『其他認(rèn)證選項(xiàng)』。單點(diǎn)登錄選使用和第認(rèn)證服務(wù)器同一套用戶(hù)名。目前設(shè)備支持的單點(diǎn)登錄類(lèi)型包括：AD域單點(diǎn)登錄、Proxy單點(diǎn)登錄、POP3單點(diǎn)登錄和Web單點(diǎn)登錄。此處設(shè)置的是只是實(shí)現(xiàn)單點(diǎn)登別在『用戶(hù)管理『外部認(rèn)證服務(wù)器』證策略』中設(shè)（參見(jiàn)章節(jié)、、）。如果客戶(hù)的網(wǎng)絡(luò)中已有一臺(tái)微軟AD域服務(wù)器做用戶(hù)管理，并且客戶(hù)內(nèi)網(wǎng)用戶(hù)登錄電腦用域下發(fā)或登錄域的數(shù)據(jù)包兩種方式實(shí)現(xiàn)。域單點(diǎn)登錄只適用于微軟AD域（MSActiveDirectory）。域下發(fā)模式配置2、域返回成功登陸信息給務(wù)器』進(jìn)行設(shè)置（參見(jiàn)章節(jié)）

第三步：在AD域服務(wù)器上配置登錄程序 存的登陸文件(即logon.exe)，并在參數(shù)中輸入IP(IP是屬于設(shè)備端的IP)，端(固定是1773)，密鑰(必須與設(shè)備端設(shè)置的一致)。注意每個(gè)參數(shù)以空格分隔，后點(diǎn)擊應(yīng)用第四步：在LDAP上配置注銷(xiāo)程序。設(shè)置注銷(xiāo)的目的是在用戶(hù)注銷(xiāo)域的時(shí)候在彈出的注銷(xiāo)編輯窗口左下腳點(diǎn)擊“顯示文件”(在此為ShowFile)，將打開(kāi)一個(gè)然后將注銷(xiāo)(即logoff.exe)文件保存在該 IP，依次關(guān)閉所有的組策略屬性頁(yè)面配置。第五步：設(shè)置認(rèn)證策略，根據(jù)需要使用單點(diǎn)登錄的用戶(hù)的IP或MAC設(shè)置認(rèn)證策略，點(diǎn)擊『用戶(hù)認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見(jiàn)章節(jié).3）。1PCDNSIP地址，否則會(huì)因無(wú)法解析域的IP而導(dǎo)致登錄不了域服務(wù)器。登陸到域，可以進(jìn)入windows，但實(shí)際上沒(méi)有登錄到域，此時(shí)單點(diǎn)登錄無(wú)效，用戶(hù)上網(wǎng)時(shí)仍會(huì)彈出認(rèn)證框要求輸入用戶(hù)名和，這個(gè)主要是因?yàn)閣indows可以記住上次輸入的正模式配置模式是通過(guò)PC登錄域服務(wù)器的數(shù)據(jù)，從到的數(shù)據(jù)中獲取用戶(hù)登錄的信息，從登陸域的數(shù)據(jù)經(jīng)過(guò)設(shè)備或者是通過(guò)口鏡像到設(shè)備。設(shè)備通過(guò)UDP88端口的登陸信勾選[計(jì)算機(jī)登錄域的數(shù)據(jù)，獲取登錄信息]，表示使用模式實(shí)現(xiàn)單點(diǎn)登錄。在[的域控制器地址列表]中輸入域服務(wù)器的IP和端口，如果有多個(gè)域服務(wù)器，則一行一個(gè)IP和端口，如下圖所示： IPMAC設(shè)置認(rèn)證策略，點(diǎn)擊『用戶(hù)認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見(jiàn)章節(jié).3）。務(wù)器』進(jìn)行設(shè)置（參見(jiàn)章節(jié)）勾選[計(jì)算機(jī)登錄域的數(shù)據(jù)，獲取登錄信息]，表示使用模式實(shí)現(xiàn)單點(diǎn)登錄。在[的域控制器地址列表]中輸入域服務(wù)器的IP和端口，如果有多個(gè)域服務(wù)器，則一行一個(gè)IP和端口，如下圖所示：IPMAC設(shè)置認(rèn)證策略，點(diǎn)擊『用戶(hù)認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見(jiàn)章節(jié).3）。銷(xiāo)的狀態(tài)所以可能會(huì)出現(xiàn)PC已經(jīng)注銷(xiāo)了但設(shè)備的用戶(hù)列表中還沒(méi)有注銷(xiāo)此用戶(hù)PROXY單點(diǎn)登一般適用于用戶(hù)使用Proxy上網(wǎng)的環(huán)境，并且每個(gè)用戶(hù)均分配了服務(wù)器的賬號(hào)。使用Proxy單點(diǎn)登錄的認(rèn)證方式時(shí)，當(dāng)用戶(hù)通過(guò)Proxy服務(wù)器的驗(yàn)證時(shí)，同時(shí)通過(guò)設(shè)備的認(rèn)證。Proxy單點(diǎn)登錄使用的是模式，也是通過(guò)登錄數(shù)據(jù)完成單點(diǎn)登錄的。1、用戶(hù)通過(guò)Proxy服務(wù)器上網(wǎng)，設(shè)備PC和Proxy服務(wù)器的交勾選[啟用PROXY單點(diǎn)登錄](méi)啟用PROXY單點(diǎn)登錄功能；服務(wù)器，則一行一個(gè)IP和端口，此處的端口設(shè)置Proxy ProxyIPMAC設(shè)置認(rèn)證策略，點(diǎn)擊『用戶(hù)認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見(jiàn)章節(jié).3）第四步：PC登錄Proxy果y這個(gè)服務(wù)器的權(quán)限（詳細(xì)設(shè)置方法請(qǐng)參見(jiàn)章節(jié)381），并在【認(rèn)證選項(xiàng)】→『其他認(rèn)證選項(xiàng)』中勾選[通過(guò)認(rèn)用戶(hù)以本服務(wù)（P外）]如所示：客戶(hù)網(wǎng)絡(luò)中有郵件服務(wù)器，用戶(hù)信息存放在POP3服務(wù)器上，在上網(wǎng)之前，用戶(hù)使用Outlook、Foxmail之類(lèi)的客戶(hù)端登陸POP3服務(wù)器收發(fā)一次郵件，設(shè)備通過(guò)模式到次輸入用戶(hù)名。同時(shí)適用POP3服務(wù)器在內(nèi)網(wǎng)和情況。下面分兩種情況講述POP32、郵件客戶(hù)端成功登陸POP3服務(wù)器的同時(shí)，設(shè)備自動(dòng)認(rèn)證用戶(hù)，上網(wǎng)不需要再次需3、由于數(shù)據(jù)交互是在內(nèi)網(wǎng)，內(nèi)網(wǎng)登錄POP3服務(wù)器的數(shù)據(jù)不經(jīng)過(guò)設(shè)備，需要在設(shè)備上 第一步：設(shè)置認(rèn)證POP3服務(wù)器，點(diǎn)擊進(jìn)入『用戶(hù)認(rèn)證』→『認(rèn)證選項(xiàng)』→『外部認(rèn)證服務(wù)器』進(jìn)行設(shè)置（參見(jiàn)章節(jié)）『用戶(hù)認(rèn)證』→『認(rèn)證選項(xiàng)』→『?jiǎn)吸c(diǎn)登錄選項(xiàng)』→『POP3單點(diǎn)登錄』頁(yè)面進(jìn)行配置。勾選[啟用POP3單點(diǎn)登錄](méi)啟用POP3單點(diǎn)登錄功能；在[郵件服務(wù)器地址列表]中輸入POP3服務(wù)器的IP和端口，如果有多個(gè)POP3服務(wù)器，則一行一個(gè)IP和端口，此處的端口設(shè)置POP3認(rèn)證的端口（一般默認(rèn)是TCP110），如 略，點(diǎn)擊『用戶(hù)認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見(jiàn)章 .3）1、PC登陸P0P3服務(wù)器是設(shè)備服務(wù)器』進(jìn)行設(shè)置（參見(jiàn)章節(jié)）『用戶(hù)認(rèn)證』→『認(rèn)證選項(xiàng)』→『?jiǎn)吸c(diǎn)登錄選項(xiàng)』→『POP3單點(diǎn)登錄』頁(yè)面進(jìn)行配置。勾選[啟用POP3單點(diǎn)登錄](méi)啟用POP3單點(diǎn)登錄功能；在[郵件服務(wù)器地址列表]中輸入POP3服務(wù)器的IP和端口，如果有多個(gè)POP3服務(wù)器，則一行一個(gè)IP和端口，此處的端口設(shè)置POP3認(rèn)證的端口（一般默認(rèn)是TCP110），如略，點(diǎn)擊『用戶(hù)認(rèn)證』→『認(rèn)證策略』→『新增認(rèn)證策略』進(jìn)行配置（參見(jiàn)章節(jié)36213）。第四步：C通過(guò)郵件客戶(hù)端收發(fā)一次郵件，登錄O3果3這個(gè)服務(wù)器的權(quán)限（詳細(xì)設(shè)置方法請(qǐng)參見(jiàn)章節(jié)381），并在【認(rèn)證選項(xiàng)】→『其他認(rèn)證選項(xiàng)』中勾選[通過(guò)認(rèn)用戶(hù)以本服務(wù)（P外）]如所示：Web單點(diǎn)登陸一般適用于用戶(hù)有自己的web服務(wù)器，且?guī)ぬ?hào)信息均保存在web服務(wù)器上，客戶(hù)想要實(shí)現(xiàn)，用戶(hù)上網(wǎng)前通過(guò)自己Web服務(wù)器的認(rèn)證同時(shí)也通過(guò)設(shè)備的認(rèn)證。適用于Web服務(wù)器在內(nèi)網(wǎng)或的環(huán)境。面。然后點(diǎn)『?jiǎn)吸c(diǎn)登錄選項(xiàng)設(shè)置』→『Web單點(diǎn)登錄』進(jìn)入Web單點(diǎn)登錄配置頁(yè)面，先勾選證前，進(jìn)行網(wǎng)頁(yè)都會(huì)重定向到此頁(yè)面上進(jìn)行Web單點(diǎn)登錄。第五步：選擇[認(rèn)證成功關(guān)鍵字]或者[認(rèn)證成功關(guān)鍵字]，用來(lái)識(shí)別Web登錄是否成功的關(guān)鍵字。比如選了[認(rèn)證成功關(guān)鍵字]，則在POST的返回結(jié)果中，如果包含了設(shè)定的關(guān)鍵字，則判斷為Web單點(diǎn)登錄成功，選擇了[認(rèn)證失敗關(guān)鍵字]POST的返回結(jié)果中，如果包含了設(shè)定的關(guān)鍵字，則判斷為Web單點(diǎn)登錄失敗，反之單點(diǎn)登錄成功。 1、PC登陸web服務(wù)器是設(shè)備面。然后點(diǎn)『?jiǎn)吸c(diǎn)登錄選項(xiàng)設(shè)置』→『Web單點(diǎn)登錄』進(jìn)入Web單點(diǎn)登錄配置頁(yè)面，先勾選證前，進(jìn)行網(wǎng)頁(yè)都會(huì)重定向到此頁(yè)面上進(jìn)行web單點(diǎn)登錄。第五步：選擇[認(rèn)證成功關(guān)鍵字]或者[認(rèn)證成功關(guān)鍵字]，用來(lái)識(shí)別Web登錄是否成功的關(guān)鍵字。比如選了[認(rèn)證成功關(guān)鍵字]，則在POST的返回結(jié)果中，如果包含了設(shè)定的關(guān)鍵字，含了設(shè)定的關(guān)鍵字，則判斷為Web單點(diǎn)登錄失敗，反之單點(diǎn)登錄成功。的數(shù)據(jù)，勾選一個(gè)空閑接口進(jìn)行。這個(gè)口在域單點(diǎn)登錄模式、POP3單點(diǎn)登錄以及Web單點(diǎn)登錄等實(shí)現(xiàn)時(shí)均需要設(shè)置。認(rèn)證通過(guò)跳認(rèn)證他IP上登錄，不注銷(xiāo)以前的登錄](méi)。頁(yè)面如下：跨三層IP/MAC識(shí)需要啟用『跨三層MAC識(shí)別』的功能，用于獲取內(nèi)網(wǎng)用戶(hù)的MAC地址。使用此功能的前提是內(nèi)網(wǎng)交換機(jī)支持SNMP功能。原理：設(shè)備上的會(huì)定期發(fā)snmprequest到三層交換機(jī)請(qǐng)求交換機(jī)的MAC表，并保存在設(shè)備內(nèi)存中。此時(shí)如果三層交換機(jī)其它網(wǎng)段的電腦經(jīng)過(guò)設(shè)備上網(wǎng)時(shí)，如一臺(tái)PC（和設(shè)備lan口不在同一網(wǎng)段）經(jīng)過(guò)設(shè)備上網(wǎng)，該P(yáng)C數(shù)據(jù)包經(jīng)過(guò)設(shè)備時(shí)，設(shè)備校驗(yàn)此數(shù)據(jù)包的MAC是三層的MAC，則對(duì)此MAC這個(gè)IP去內(nèi)存中查找其真實(shí)的MAC地址，實(shí)現(xiàn)對(duì)用戶(hù)真正MAC的驗(yàn)證。第一步：在三層交換機(jī)上開(kāi)啟SNMP第二步：點(diǎn)擊進(jìn)入『用戶(hù)認(rèn)證』→『認(rèn)證選項(xiàng)』→『跨三層MAC識(shí)別』進(jìn)行設(shè)置，在設(shè)備界面上勾選『?jiǎn)⒂肧NMP設(shè)置』，啟用SNMP功能。第三步：設(shè)置[SNMP服務(wù)器超時(shí)時(shí)間設(shè)置]和[SNMP服務(wù)器時(shí)間間隔]，一般第四步：在[SNMP服務(wù)器列表]添加服務(wù)器，點(diǎn) 服務(wù)器】的編輯窗口，輸入SNMPIP

第五步：設(shè)置認(rèn)證策略，根據(jù)需要使MAC驗(yàn)證的用戶(hù)的IP或MAC設(shè)置認(rèn)證策略，其他認(rèn)證選[用戶(hù)未通過(guò)認(rèn)證前，允許DNS服務(wù)]用于允許在用戶(hù)通過(guò)認(rèn)證前DNS服務(wù)。[未通過(guò)認(rèn)證用戶(hù)可以基本服務(wù)（根組權(quán)限，HTTP除外）]用于允許用戶(hù)在通過(guò)認(rèn)證前能使用除HTTP服務(wù)外的根組權(quán)限。[mac地址發(fā)生變動(dòng)時(shí)，需要重新認(rèn)證]原本認(rèn)證通過(guò)的用戶(hù)，MAC地址變化了會(huì)要求重新認(rèn)證。比如一個(gè)IP為的用戶(hù)，認(rèn)證方式為用戶(hù)名和認(rèn)證，當(dāng)這個(gè)用戶(hù)下線(xiàn)后，由于有一段時(shí)間不會(huì)注銷(xiāo)該用戶(hù)，這時(shí)另一個(gè)用戶(hù)把IP改成，這樣MAC間。如圖是登陸三次失敗后凍結(jié)該用戶(hù)1分鐘。

外部認(rèn)證服務(wù)器，包括LDAP，RADIUS，POP3三種。點(diǎn)新增，出現(xiàn)一個(gè)下拉框：新增外部認(rèn)證服務(wù)證服務(wù)器』。進(jìn)入【外部認(rèn)證服務(wù)器】的編輯窗口。點(diǎn)擊新增，選擇[LDAP服務(wù)器]，會(huì)彈服務(wù)器的具體路徑。五種:[MSActiveDirectory][OPENLDAP][SUNLDAP][IBMLDAP][OTHERLADAP]。[搜索配置][使用擴(kuò)展方式函數(shù)]如果ldapldap_search，不支持的情況一般是服務(wù)器禁用或ldap軟件未實(shí)現(xiàn)（如較老版本的openldap）[頁(yè)面大小]ldap服務(wù)器管理員。(通常配置時(shí)會(huì)選用800/400/200...往小的試，直到可以同步為止)[大小限制]SizeLimits選項(xiàng)，用于設(shè)置同步時(shí)的sizelimit，除非服務(wù)端有明確配置，否[Radius服務(wù)器配置]Radius服務(wù)器的IP地址、端口、超時(shí)時(shí)間、共享密鑰以出一個(gè)【外部認(rèn)證服務(wù)器（POP3）】編輯框。[POP3服務(wù)器配置]用于設(shè)置POP3服務(wù)器的IP刪除外部認(rèn)證服務(wù)啟用/禁用外部認(rèn)證服務(wù)第一步：選擇【導(dǎo)航菜單】窗口中的『用戶(hù)與策略管理』菜單。點(diǎn)擊『用戶(hù)認(rèn)證』選項(xiàng)，/禁用的服務(wù)器?！骸荒K主要用于設(shè)置『地址轉(zhuǎn)換』、『連接數(shù)控制』、『Dos/DDos防護(hù)』、。其中地址轉(zhuǎn)源地址轉(zhuǎn)換配置案某客戶(hù)拓?fù)鋱D如下，客戶(hù)需要讓內(nèi)網(wǎng)用戶(hù)和服務(wù)器群都能夠通過(guò)NGAF上網(wǎng)，據(jù)經(jīng)過(guò)NGAF，也就是NGAF設(shè)備出接口ETH1IP地址。接口對(duì)象定義』→『IP組』定義好內(nèi)網(wǎng)網(wǎng)段所屬的【IP組】。詳細(xì)配置，請(qǐng)參考和3.4.8章節(jié)。此案例中將ETH1定義為[區(qū)]，ETH2定義為[內(nèi)網(wǎng)區(qū)]。/24和/24定義成IP組[內(nèi)網(wǎng)]。如圖：IP條件，只有來(lái)自指定的源區(qū)域和指定IP組的數(shù)據(jù)才會(huì)匹配該規(guī)則、進(jìn)行源地址轉(zhuǎn)換。如路由接口內(nèi)網(wǎng)上網(wǎng)，則一般配置源區(qū)域?yàn)閮?nèi)網(wǎng)、源IP組為內(nèi)網(wǎng)IP網(wǎng)段，或者全部。此案例中選擇區(qū)域?yàn)閇內(nèi)網(wǎng)區(qū)]，[IP組]為[內(nèi)網(wǎng)]，如圖：標(biāo)區(qū)域、哪些目標(biāo)IP組、或者從哪個(gè)接口出去的數(shù)據(jù)，才匹配該規(guī)則。如路由接口代理內(nèi)網(wǎng)上網(wǎng)，則一般配置目標(biāo)區(qū)域?yàn)楣W(wǎng)、目標(biāo)IP組為全部。本案例中選擇目標(biāo)區(qū)域?yàn)閇外網(wǎng)區(qū)]，IP組為[全部]，如圖： 內(nèi)網(wǎng)服務(wù)器的服務(wù)映射到公網(wǎng)，使Internet用戶(hù)可以到網(wǎng)絡(luò)內(nèi)部服務(wù)器。在【地址轉(zhuǎn)換】目的地址轉(zhuǎn)換配置舉某客戶(hù)拓?fù)淙缦拢蛻?hù)內(nèi)網(wǎng)有一臺(tái)WEB0080戶(hù)希望用戶(hù)輸入也能到內(nèi)網(wǎng)00服務(wù)器。此處需要使用目的區(qū)]，ETH2定義為[內(nèi)網(wǎng)區(qū)]。如圖：：勾選啟用：轉(zhuǎn)換。此處目的IP是數(shù)據(jù)包目的地址轉(zhuǎn)換之前用戶(hù)的地址，一般是設(shè)備自身接口的公I(xiàn)P。本案例中設(shè)置為[]，頁(yè)面如下：為HTTP80端口屬于TCP80。頁(yè)面配置如下：端口的轉(zhuǎn)換。本案例中真正提供TCP80端口服務(wù)的內(nèi)網(wǎng)服務(wù)器IP00，并且只配置參見(jiàn)3.8.1應(yīng)用控制策略。設(shè)置目的端口轉(zhuǎn)換為[轉(zhuǎn)換]，并設(shè)置端口為8080。頁(yè)面如下：點(diǎn) 雙向地址轉(zhuǎn)換配置案某客戶(hù)拓?fù)淙缦?，?nèi)網(wǎng)有一臺(tái)WEB服務(wù)00。已經(jīng)申請(qǐng)了一個(gè)指向。目前通過(guò)目的地址轉(zhuǎn)換已經(jīng)實(shí)現(xiàn)了用戶(hù)輸入可以到WEB服務(wù)器。但是內(nèi)網(wǎng)用戶(hù)/24無(wú)法通過(guò)該到。此時(shí)需要使向地址轉(zhuǎn)換來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)用戶(hù)輸入到WEB服務(wù)器。好接口所屬的【區(qū)域】、『對(duì)象定義』→『IP組』定義好接口IP所屬的【IP組】。詳細(xì)3.4.8章節(jié)。此案例中將ETH2定義為[內(nèi)網(wǎng)區(qū)