.................................................................................................................................................vii前 手冊內 本書約 圖形界面格式約 各類標 技術支 致 第1章安裝指 環境要 電 產品外 配置與管 設備接線方 第2章控制臺的使 登錄WebUI配置界 配置和使 第3章功能說 運行狀 系統狀 實時風 最近安全事 服務器安全事 終端安全事 最近來 IP流量...........................................................................................................用戶流量.......................................................................................................應用流量.......................................................................................................流量管理狀 DHCP運行狀 用戶管 聯動源 網絡配 接口/區 路 虛擬網 高級網絡配 安全防護對 3.3.1.特征識別 WEB應用防護特征 實時分析識別 數據泄密防護識別 僵尸網絡識別規則 自定義規則 基本設 用戶管 連接管 虛擬IP 接口設置 內網接口設 多線路選路策 本地子網列 隧道間路由設 第對 通用設 高級設 對象定 應用特征識別 應用智能識別 自定義應 URL分類 服 IP 時間計 文件類型 信任的頒發機 認證系 用戶管 用戶認 ...........................................................................................................................256地址轉 連接數控 DoS/DDoS防 ARP防 內容安 應用控制策 防御策 WEB過 服務器保 WEB應用防 篡改防 風險發現和防 風險分 WEB掃 實時分 流量管 概 流量通道匹配及優先 通道配 虛擬線路配 系 系統配 管理員賬 高可用 日志設 郵件服務 郵件告 告 全局排除地 頁面定 集中管 ......................................................................................................................系統更 備份與恢 系統故障日 命令行控制 數據包日志與直 技術支 重啟網關/服 配置向 設備作為網關（路由模式 數據鏡像（旁路模式 不改變原有網絡（網橋透明模式 用戶認 保護服務 保護內網用戶上網安 保護內網用戶上網帶 保護遭到及時提醒和保留.................................................................第4章數據中 統計分 服務器安 終端安 流量統 應用統 .............................................................................................................殺毒統 日志查 DOS............................................................................................................WEB應用防 查 .............................................................................................................應用控 用戶登錄/注 系統操 報 報表訂 自定義報 系 系統設 日志 第5章案例 .設備部署配置案 路由接口配置案 透明接口配置案 虛擬網線接口配置案 旁路鏡像接口配置案 子接口配置案 混合部署配置案 策略路由配置案 策略路由配置案例 策略路由配置案例 ARP配置案 .DHCP配置案 服務器配置案 DHCP中繼配置案 Dos/DDos防護配置案 .內容安全配置案 應用控制策略配置案 URL過濾配置案 文件類型過濾配置案 IPS典型配置案 WEB應用防護配置案 WEB應用防護配置案例一 WEB應用防護配置案例二數據防泄 防篡改應用案 風險分析案 雙機熱備典型應用案 雙機熱備案例 雙機熱備案例 附錄SANGFOR設備升級系統的使 不得以本手冊內容如發生更改，恕不另行通知如需要獲取手冊，請聯系深信服電子科技前手冊內1SANGFORNGAFNGAF設備的外觀特點及2SANGFORNGAF控制臺的使用，如何登陸控制臺等。第3部分SANGFORNGAF的功能說明及使用。5部分案例集。講解各功能模塊在常見環境下的配置案例本手冊以深信服 GAF1320 為例進行配置。由于各型號產品硬件和軟件規格定差異，所有涉及產品規格的問題需要和深信服科技聯系確認。本書約圖形界面格文字描代替符舉“確定”按鈕可簡化為確『→[DLAN服務才能生效，是否立即重啟該服務各類標本書還采用各種醒目標志來表示在操作過程中應該特別注意的地方，這些標志的意下、注意：警告：該標志后的注釋需給予格外的關注，不當的操作可能會給人身造成 說明、提示、竅門：對操作內容的描述進行必要的補充和說明。技術支用戶支持郵箱 技術支持： 公司致過 、 ，。1裝指環境要SANGFORNGAF設備可在如下的環境??????關。電SANGFORNGAF110V230V電源。在您接通電源之前，請保證產品外1：SANGFORNGAF前面板（NGAF1320為例1.CONSOLE(控制) 7.MANAGE(管理)告 在設備啟動期間是紅燈長亮的。一般一兩分鐘后紅燈熄滅說明正常啟動如紅燈長時間不熄滅，請關閉設備等待5分鐘后重新開機。如果還是長亮，請聯系部門確認是否設備損壞。正常啟動后，有時紅燈會閃爍，這是正常現象，紅燈閃爍表示設備正在寫系統日志。控制口 開發和測試調試使用。最終用戶需通過控制臺網口接入設備用（如InternetExplorer然后把電腦與SANGFORNGAF連接在同一個局域網內，通過網NGAF設備的管理口為MANAGE(ETH0)口，管理口默認出廠IP為51/24。初次登陸設備，請用網線連接MANAGE(ETH0)口到局域網或直接連接電腦。設備接線方在背板上連接電源線，打開電源開關，此時前面板的Power燈（綠色，電源指示燈）和Alarm燈（紅色，告）會點亮。大約1-2分鐘后Alarm燈熄滅，說明網關正常工作。請用標準的RJ-45以太網線將MANAGE(ETH0)口與局域網連接，對NGAF設備進行 設備正常工作時POWER燈常亮，接線的數據接口LINK燈長亮，ACT燈在有數據流量時會不停閃爍。ARM紅色指示燈只在設備啟動時因系統加載會長亮（約一分鐘，正常工作時熄滅。如果在安裝時此紅燈長亮，請將設備斷電重啟，重啟之后若紅燈一直長亮不能熄滅，請與我們聯系。網口直接連接MODEM和交換機應使用直連線、連接路由器和電腦網口應使用交叉線。當指示燈顯示正常，但不能正常連接的時候，請檢查連接線是否使用錯誤。直連網線與交叉網線的區別在于網線兩端的線序不同，如下圖：1直連線、交2制臺的使登錄WebUI錄從管理口(MANAGE)登錄，那么登錄的URL為：HTTPS登錄WEBUI管理NGAF可以防止配置過程在傳輸過程中被截獲而產生如何登NGAF設備控制臺頁10.251.251.XIP（00點擊是后出現以下的登錄界在登陸框輸入『用戶名』和『』，點擊登錄按鈕即可登錄NGAF 廠情況下的用戶名和為admin/admin。IE 控制臺右下角 用于實時通知設備的一些系統信息和告警信息所有配置界面中的圖標，當鼠標放到此圖標上時，可以顯示當前配置項的簡要幫助3能說運行狀『運行狀態』主要用于查看設備的基本狀態信息，包括『系統狀態』、『實時風險』近 近 『 『『聯動源IP系統量。在【系統狀態】界面點擊選擇顯示模塊，出現如下界面在此來選擇【系統狀態】頁面中需要顯示的狀態信息在【運行狀態】界面點擊恢復默認顯示模塊，會恢復到設備默認就顯示的模塊：[系統信息]、[今日安全日志匯總]、[最近發現的服務器風險]、[篡改防護]、[系統關鍵事件]、[今日服務器安全]、[應用流量]、[接口信息]。狀態查系統信【系統信息】主要用于顯示設備系統資源的概CPU使用率，內存使用率，磁點擊可以設置是否啟用自動刷新以及自動刷新的時間，界面如下今日安全日志匯DOS，IPS，WEB應用防護，APT檢測的信息，界面如下點擊可以設置自動刷新的時間服務器、等級、防護狀態等信息。風險查點 到『系統狀態』→『實時風險』風險查系統關鍵事WEB應用防護，IPS，DOS/DDOS防護，管理員操作點擊可以設置自動刷新的時間今日服務器【今日服務器安全】主要用于顯示設置當天服務器的安全情況，界面如下點擊可以設置自動刷新的時間應用流【應用流量】主要用于顯示設備實時的應用服務的流量情況，界面如下點擊可以設置自動刷新的時間接口信代表網口狀態是已連接狀態，代表網口狀態是未連接狀態，點擊可以設置動刷新的時間接口吞吐率折線點擊可以設置接口吞吐率折線圖參數，界面如下可以設置[選擇時間段來顯示相應時間段接口轉發數據的情況，在[選擇流量單位]應用流速趨勢疊加點擊可以設置自動刷新的時間IP【IP流量】主要用于顯示IP的帶寬使用情況，界面如下點擊可以設置自動刷新的時間用戶流【用戶流 】主要用于顯示最大流量的用 和占用帶寬情況，界面如下點擊可以設置自動刷新的時間篡改防『』→『，點擊可以設置自動刷新的時間點擊查看詳情，可以跳轉到『服務器保護』→『篡改防護』模塊顯示實時風查風、重、這里只顯示了風險的概要信息，如需要了解詳情及解決方案報最近安全『最近安全事件』主要用于顯示最近發生的事件，界面如下如圖，顯示的內容包括：發生事件、源IP、目的IP、類型以及的URL。點擊刷新間隔：5秒用于設置頁面上的刷新時間間隔；點擊立即刷新可以立即進行刷新服務器安全事『服務器安全事件』主要用于顯示目標服務器的類型，界面如下、L、及。：5的；點擊立即刷新可以立即進行刷新終端安全『終端安全事件』主要用于顯示終端用戶的類型，界面如下端P、及。 秒用于設置頁面上的刷新時間間隔；最近來查看最近來『最近來源』主要用于顯示最近發生事件的來源，界面如下如圖，顯示的內容包括：發生事件、來源、類型以及的詳情。點擊刷新間隔：5秒用于設置頁面上的刷新時間間隔；點擊立即刷新可以立即進行刷新IP流IP『IP流量』主要用于顯示IP的使用帶寬情況，界面如下流速，獲取機器名，流量構成。在[獲取機器名]IP的計算機名；在[流量構成]一欄，點擊對應的應用會出現如下界面，來顯示該IP具體的應用流量： 秒用于設置頁面上的刷新時間間隔；IP點擊過濾條件，可以指定IP流量的過濾條件，界面如下『過濾類型』用于設置查看的線路和應用類型。[選擇線路]選擇具體需要查看的線路[應用類型]用于指定需要查看的應用服務，點擊后出現如下頁面『過濾對象』用來設置具體的IP『顯示選項』用于設置顯示流量前多少名的IP用戶流『用戶流量』主要用于顯 用戶的使用帶寬的情況，界面如下行（示上行總速是凍上網獲機名流構成在凍上網一點，用在[流量構成]一欄，點擊具體應用會出現如下界面，來顯示該用戶具體的應用流量 秒用于設置頁面上的刷新時間間隔；點擊過濾條件，可以指定用戶流量的過濾條件『過濾類型』用于設置查看的線路和應用，界面如下[選擇線路選擇具體需要查看的線路，[應用類型『過濾對象』是用來設置具體的用戶或 IP，界面如下組過濾、[用戶過濾、P過濾/勾選需要查看的組，或者是在空行里輸入相應組名，然后點擊確定即『顯示選項』用于設置顯示流量前多少名的用戶，界面如下中一個『用戶流量』里面的用戶，點擊凍結，來設置凍結上網的時間，以分鐘為單位，界面如下時跳轉到【用戶管】頁面，面下：在這里找到被凍結的用戶，選擇該用戶點擊解凍即可應用流『應用流量』主要用于顯示設備實時的應用服務的流量情況，界面如下 秒用于設置頁面上的刷新時間間隔；點擊過濾條件，可以指定應用流量的過濾條件，界面如下『過濾對象』用于設置查看[選擇線路]選擇具體需要查[顯示選項]用于設置顯示流量前多少名的應用流量管理點擊刷新間隔 秒用于設置頁面上的刷新時間間隔點擊立即刷新可以立即進行刷新點擊進入流量管理系統，進入流量管理頁查看速【帶寬分配】可以查看通道流量，界面如【排除策略】主要用于查看流量管理里面排除策略的流量信息，界面如下DHCP用戶查看用『用戶管理』主要用于管理已經通過設備認證的用戶，界面如下此處可以看到所有的通過設備認證的用戶的登錄名（顯示名、所屬組、IP地址、索]的用在【用戶管理】中可以[以登錄名搜索]或者[以 地址搜索]搜索指定用戶，界面下過濾用點擊過濾條件，可以設置指定條件查看相應的用戶，界[用戶狀態]可以選擇所有、已凍結用戶和活躍用戶這三凍結用點擊凍結或者是在[操作]欄點擊圖標，出現如下界面設置[凍結上網時間]后，點擊提交，該用戶就被凍結上網了，此時該用戶狀態如解凍用被凍結的用戶需要立即解凍去上網，也可以在此操作，具體操作如下選擇需要解點擊解凍或者是需要解凍的用戶的[操作]一欄點擊圖標，即可立即解凍該用戶強制注銷用銷，對認證和點錄的用可進行強注，具體作下點擊強制注銷，出現如下界點擊是，即可注銷該用戶聯動源『聯動源IP』主要用于查看當IPS規則、WEB應用防護規則和數據泄密防護模塊，APT檢測啟用聯動時，了哪些源IP以及是哪個安全策略觸發的聯動，界面如 勾選相應條目，點擊可以清除 IP地址點擊可以清除所有源IP，將恢復所有IP 權限點擊設 時間，對于觸發制定安全策略的源IP，默 時間10分鐘，10分鐘后將自動，可以在此處設置更長的時間網絡配接口/區接口、VLAN接口、聚合接口、區域、接口聯動信息，如下圖所示：物理接，，TU， ：[地址]：列出為此接口配置的IP地址，沒有則留空[撥號狀態]：當接口類型為ADSL時，撥號狀態顯示連接、斷開類型[]：顯示接口是否允許。[網口狀態]：以圖標顏色顯示網口的鏈路狀態 表示已連接，表示接口接線或者網口DOWN掉 [狀態]：顯示接口是否啟用，表示當前接口已啟用如點擊接口名 eth3，可以進入對應接口編輯頁面進行基本設置，如下圖[類型]的配置即接口模式配置，它決定了設備數據的轉發功能，有四種類型路由：若選擇為路由接口，則需要給該接口配置IP地址，并且該接口包含路由轉發能透明：透明接口相當于普通的交換接口，不需要配置IP地址，不支持路由轉發，根MAC地址表轉發數據51小節的案例。 ETH0口可以增加管IPIP51/24不能除任何接口IP/24網段范圍子接的子接口，則自動生成為eth0.2[地址]顯示子接口的IP地址。[MTU]顯示子接口的MTU值。[鏈路狀態]顯示子接口是否開啟鏈路檢測有關子接口的詳細配置過程請參考5.1.4小節的任何接口IP地址不允許設置/24網段范圍VLAN接『VLAN接口』用于設置設備的VLAN列表，配置界面如下點擊新增，添加VLAN接口，如下圖所示[接口名稱]VLANID。設備需要加入哪個VLAN，就填寫對應的VLANID即可[基本屬性]設置VLAN接口是否允 [鏈路故障檢測]與[高級配置]與路由接口設置方法相同，此處不再累述任何接口IP地址不允許設置/24網段范圍聚合接『聚合接口』用于設置設備的聚合接口列表，配置界面如下點擊新增，添加聚合接口，如下圖所示haR[鏈路故障檢測]與[高級配置]與路由接口設置方法相同，此處不再累述區『區域』用于設置接口所屬的區域，以供內容安全、流量管理、等模塊調用。可接口，三層區域可以選擇所有路由接口和un接口，虛網線區域可以選擇所有虛擬網線點擊新增，區域新增頁面如[名稱]設置區域的名稱[AN[接口]選擇接口到區域。可通過增加，移除按鈕來添加和刪除接口[管理選項]設置是否允許從該區域登陸管理設備。可選擇通 三種方式登陸和管理設備。界面如下[管理地址]設置可以登陸管理設備的源IP地址。點擊選擇和新增IP組。1.一個接口只能屬于一個區域，一個區域可以選擇多個接口。2.LAN屬性WAN屬性的接口接口聯『接口聯動』接口聯動主要用于NGAF設備工作在流量負載均衡模式，把負責轉發數據『啟用接口 狀態聯動』為開啟接口聯動功能的總開關，勾選后，出現如下頁面點擊是，啟動接口LINK狀態聯動點擊新增，添加接口聯動，頁面如下[名稱]設置接口聯動組的名點擊提交，保如果某接口的IP 地址設置成“IP/掩碼-HA”的形式則此接口不能設置成接口聯動路路由配置頁面包括靜態路由，策略路由，OSPF，RIP和查看路由，當設備本身需要和不同網段的IP通信時，需要通過路由實現數據轉發。靜態路在【導航菜單】頁面中的『網絡配置』→『路由』，右邊進入【靜態路由】編輯頁點擊新增會彈出【靜態路由】的配置界面，選擇新增單個靜態路由或新增多個靜態由新增單個靜態路由的頁面如[目的IP地址]：需要到達的目標網絡[目的掩碼]：目標網絡對應的子網掩碼[下一跳IP地址]：達到目標網絡的下一跳地址新增多個靜態路由的頁面如IP，目的掩碼，下一跳地址，接口，度量值的格式填寫，一行對應一條靜態點擊保存，保點擊可以根據指定條件搜索路由條目靜態路由選擇的接口，一般情況下建議設置“自動選擇”，當設備存在多個接口 在同網段的情況下，需要手動指定靜態路由的接策略路『策略路由』主要用于設備有多個口接多條線路時，根據源/目的IP、源/目的端在【導航菜單】頁面中的『網絡配置』→『路由』，右邊進入【策略路由】編輯頁『策略路由』常用的兩種需求是1源P證源P次源P過『策略路由』功能實現這些安全應用固定從某一個接口或下一跳出去，保證每次安全IP地址是固定的。2條，使勾選[啟用OSPF]，啟用OSPF功能，出現如下提示信息點擊是，保存配用和配置虛連接。點擊配置虛連接，彈出如下頁面：勾選[啟用]，開啟虛連接[ID]：填寫骨干區域ID[RouterID]：填寫建立虛連接的對端路由器ID，指明與哪一臺路由器建立虛連[o間隔]：o報文的重發間隔時間，默認值是10s[重傳間隔]：與接口相鄰的連接狀態報文重發時間，默認值 10s[傳輸時延]：傳輸一個鏈路狀態更新數據包的估計時間，默認值 5s一般設置為o間隔的4倍，默認值是40s。 或者不認證的方式網絡配[運行網段]：設置需要發布的網段地址，填寫格式為：IP/掩碼[區域ID]：設置將該網段引入到哪個區域，一般填寫骨干區域的ID接口配PF→PF→自動生成的接口配置如下所點擊[接口名稱]，出現如下[接口IP]：接口IP地址。[接口]：接口不發送OSPF鏈路狀態，配置為接口后，直連路由可以發布，但接口的OSPF報文將會被阻塞，鄰居無法建立。接口默認選“否”。[認證口令]：設置明文或MD5認證方式的口令。影響OSPF的選路結果，范圍為1-65535，默認值為1。[鄰居老化時間（s）]：默認失效時間為40s[發送報文間隔時間（s）]：o報文的間隔時間，默認為10s[優先級]：優先級為0的路由器不會被成DR或者BDR。DR由本網段路由器通過o報文共同，設備將自己選出的DR寫入o報文中，發給網段上其他路由器。當同一網段的兩臺路由器都宣布自己是DR時，優先級高的勝出；如果優先級也相同，RouterID大的設備勝出。優先級默認值是1[重傳時間間隔（s）]：缺省情況下，相鄰路由重傳LSA的時間間隔值為5s[啟用DD報文MTU不匹配檢測]：運行OSPF的設備在進行數據庫同步時，使用DD報文描述自己的LSDB。默認情況下，接口發送DD報文時不填充MTU值，即DD報文中MTU值為0。參數配點擊『OSPF』→『參數配置』，出現如下頁面[RouterID]：設置NGAF設備的RouterID[域內優先級]：域內的LSA在計算后輸出到路由表時，所攜帶的優先級(cisco設備中稱為管理距離AD)，默認值為10。[域間優先級]：域間LSA計算后輸出到路由表中的優先級，默認值為110[外部優先級]：外部路由經過SPF計算后，輸出到路由表時所賦予的優先級，默150值是5s。『路由重發布配置』：選擇是否需要將直連路由 路由，靜態路由、默認路由引OSPF路由中作為外部路由信息，并可設置路由引入后的 值[重發布直連路由]：選擇是否需要將直連路由引OSPF路由中作為外部路由信息，并可設置路由metric值，默認10。可設置路由引入后的metric值，默認度量值是20。[重發布靜態路由]：選擇是否需要將靜態路由引OSPF路由中作為外部路由信息，并可設置路由metric值，默認20。[重發布默認路由]：選擇是否需要將默認路由引入 路由中作為外部路由信息metric參數，則使用該度量值作為路由引入后的跳數。度量值默認值是10。設置完成后，點擊保存，保存和生效配置信息顯OSPF鏈路『OSPF鏈路信息』顯示頁面如下[Type]：LSAtype[ID]：LSA所在的RouterID。*代表設備自己產生的LSA。[AdvRouter]LSA給本設備。[Seq]：這條LSA的序列號。[Age]：表示收到該LSA已有多長時間。超時時間到了之后，該LSA將被老化[Cksum]：LSA的校驗和[Len]：LSA的長度OSPF路由『OSPF路由信息』用來查看OSPF的路由，顯示頁OSPF鄰接『OSPF鄰接關系』顯示頁面如下[Pri]：鄰接路由器的優先級。[Address]IPOSPF信息包被傳輸到鄰居，此地址將是下一跳IP地址。OSPF_VL1是虛連接標識。[Interfce]：鄰居與本設備相連的接口OSPF接口『OSPF接口信息』顯示頁面如下[IP]：接口的IP地址。[BDR]：該區域的候選BDR地址勾選[RIP]，啟用RIP功能，出現如下提示信息點擊是，保存配網絡配 網段。點擊新增，出現如下面]/接口配P』PP→自動生成的接口配置如下所點擊[接口名稱]，出現如下[IP]IP地址。[接口]：指定RIP在接口上的工作狀態，默認選擇“否”時，可同時接RIPv1RIPv2的報文[版本設置（發送）]：指定在接口上發送的RIP報文的版本。RIPv1的報文傳送方式為廣播；RIPv2有兩種報文傳送方式：廣播和組播，缺省采用組播方式發送報文。當發送的版本RIPv2RIPv1RIPv2的報文。ERIC[認證方式]：可以選擇明文，MD5，不認證。RIPv1不支持報文認證，RIPv2支持明文和MD5認證。[認證口令]：設置明文或MD5認證方式的口令鄰居配『鄰居配置』設置相鄰運行RIP協議的設備IP地址信息，如下圖所示點擊提交，保參數配點擊『RIP』→『參數配置』，出現如下頁面『 基本參數』可進行路由優先級和定時器的設置P12。[定時更新]：設置路由定期更新的時間間隔，默認 30s不可達，默180s。[收集]：收集定時器未超時之前 繼續向外界通告不可達的路由信息，果收集計時器也超時了，這一路由將從路由表中刪除并設置路由的度量值。[重發布直連路由]：選擇是否需要將直連路由引RIP路由中作為外部路由信息，并可設置路由引metric10。可設置路由引入后的metric值。默認度量值是20。[重發布靜態路由]：選擇是否需要將直連路由引RIP路由中作為外部路由信息，并可設置路由引metric20。metric參數，則使用該度量值作為路由引入后的跳數。默10。點擊保存，保存和生效配置點擊恢復默認配置并保存，將把各個參數恢復到默認值保存查看路點擊『類型』旁邊的 可根據路由的類型進行過濾顯示，如下圖所示點 ，可刷新顯示的路由條目虛擬GAFABAPGAFBCGAF設于AC的。『虛擬網線』的配置頁面如點擊新增，新增虛擬網線，配置頁面如下[名稱]和[描述]：填寫虛擬網線的名稱和描述信息[虛擬網線接口一]：選擇虛擬接口屬性的物理接口。[虛擬網線接口二]：選擇虛擬接口屬性的物理接口。只有虛擬接口才能配置成虛擬網線，虛擬接口和虛擬網線必須同時配置才能生效。高級網絡高級網絡配置包括ARP，DNS，DHCP，SNMP『ARP配置』包括靜態ARP表和ARP兩部分靜態ARP『靜ARP表』用于在設備設置靜態IP/MAC條目，頁面如下點擊新增，可以新增靜態ARP條目，如下圖所示[IP地址]：設置需要綁定靜態ARP條目的IP地址。[接口]：設置與綁定的IP地址相同網段的設備接口。ARP有關ARP的的詳細配置說明請參考5.3小節的案例[首選DNS服務器]和[備選DNS服務器]：設置NGAF設備本身公網的DNS服器內網用戶的DNS請求，轉發到設備設置的首選DNS服務器和備選DNS服務器。『DHCP』頁面用于NGAF設備作為DHCP服務器的設置以及DHCP中繼功能的設置DHCP服務『DHCP服務器』頁面如下勾選[啟用DHCP服務器]，出現如下提點擊是，保存和開啟DHCP服務置通過這些接口分配IP地址。DHCP服務器的詳細配置說明請5.4.1小節的案例DHCP中DHCP中繼的詳細配置說明請參5.4.2小節的案例SNMP用于支持其他設備或軟件用SNMP方式來管理和查看SANGFOR設備的相在【導航菜單】頁面中的『網絡配置』→MP】編輯勾選[開啟SNMP]，則其他設備和管理軟件可以通過SNMP設備信息『管理主機』用于設置允許其他設備通過SNMPV2協議連接設備，并約定連接點擊新增，可以新增一個管理主機，配置如下[名稱]：設置該管理主機的名稱[MPMPMP[地址]：設SNMPIP地址或地址范圍，當管理主機類型為“主機”時，用于指定SNMP管理主機對象的IP地址；當管理主機類型為“子網”時，用于指定SNMP管[團體名]：指定SNMP管理主機設備時的團體名。[用戶名稱]：添加該用戶的名稱[認證]和[確認認證]：指定SNMPV3用戶對象進行認證時使用的，認證密8位字符并且不能包含空MD5算法進行加密。[加密]和[確認加密]：指定消息加密時使用的，認證必須為8位字符并且不能包含DES算法進行加密。點擊提交完成配置bypass設支持光口bypass功能，配置界面如下[類型]：僅支產opticalbypass,注意不支持光口bypass與雙機熱備同時啟用[新增旁路光模塊]：選擇相應的光模塊接口進行配置安全防護對特征識別『序行的些置該：『開啟云分析引擎聯動』云分析引擎聯動，是指將設備未識別，但疑似行為的行為于。『ID』顯示當前的ID，將ID輸入搜索框 通過ID進行搜索。主要作用是當服務器被某個IPS規則了，可以到數據中心查看到ID。通過此處的ID查詢，可以設置不此規則。『名稱』顯示名稱『類型』顯示當前的類型，如backdoor『此的則的攔截、[啟用，檢測后放行]、[啟用，與云分析引擎聯動]、[禁用]四種。這個動作可以自定『』：后此行相此行記會。此行，[禁用]：表示禁用當前規則，當規則禁用后，設備不會對該進行檢測1. 特征庫的放行和 屬性出廠已經配置好，當需要修改某條規則的時候編輯該條規則即可。2.一次只能編輯一條特征識別庫的規則WEB應用防護特征點擊用于統一的修改EB應用防護規則。若選擇[默認（系統初始狀并護認的狀態會放行的，啟用嚴格檢測后，等級所有的規則也將被『防護類型』顯示當前防護類型的規則庫，點擊，可以根據防護類型查看對應的規ID。界面如下『防護名稱』顯示該防護規則對應的名稱『類型』顯示當前防護規則對應的防護類型，如SQL注入『此的則[啟用，檢測后放行]、[啟用，與云分析引擎聯動]、[禁用]四種。這個動作可以自定義，點擊『防護名稱』編輯頁面，如下圖：[啟用，檢測后]：表示啟用當前規則，當檢測到此的行為時，相應的數包有，會。此行，[禁用]：表示禁用當前規則，當規則禁用后，設備不會對該規則進行檢測實時分析識別全問題，并以報表的形式把的危害和解決辦法展現給用戶。規則包括了：EB服務器dabase器TP器ail器h器。界面如下界面右上角，可以輸入規則名稱或規則ID查找規則 點擊某一條規則的名稱，可以查看到規則詳情『動作』：包括啟用和禁用兩類，當禁用后，設備不會對該進行檢測數據泄密防護識別『數據泄密防護識別庫』內置了一些敏感信息的正則表達式，如、號碼、備行被：點擊用于設置針對哪些IP、以及哪些URL不進行數據泄密防護，界面下點擊新增按鈕，彈出【排除IP】框，界面如下選擇“排除URL”點擊新增按鈕，彈出【排除URL】框，界面如下自定義敏感信『自定義敏感信息』用于用戶自己定義哪些信息是敏感信息，界面如點擊新增按鈕，彈出【新增敏感信息】框，用戶輸入敏感信可僵尸網絡識別規則洞、工具、這9類規則防護類型，界面如下：、工具、這9種防護類型自定義規在『自定義WEB應用防護規則庫』頁面，點擊新『規則名稱『描述『影響』可根據情況自己定義『動作』：可選擇[啟用，檢測后]、[啟用，檢測后放行]、[禁用]三類[啟用，檢測后]：表示啟用當前規則，當檢測到此的行為時，相應的數包有，會。[禁用]：表示禁用當前規則，當規則禁用后，設備不會對該規則進行檢測則代表跳過此在『自定義IPS規則庫』頁面，點擊新增『規則名稱『描述『影響』可根據情況自己定義『動作』：可選擇[啟用，檢測后]、[啟用，檢測后放行]、[禁用]三類[啟用，檢測后]：表示啟用當前規則，當檢測到此的行為時，相應的數包有，會。[禁用]：表示禁用當前規則，當規則禁用后，設備不會對該規則進行檢測『』用于對功能進行配置，并且查看的連接狀態需要使用 DLAN運行此頁面可以查看當前的連接和網絡流量信息。頁面如下點擊刷新狀態可刷新的連接狀態和流量狀態點擊分支NAT狀態可查看當前分支NAT狀態，包括用戶名、原子網網段、子網網點擊停止服務可暫時停止服務點擊查找用戶，輸入用戶名，可以快速找到當前用戶的連接情況，頁點擊顯示選項，可以對顯示的列進行篩選，頁面如下基本 連接所需的Webagent信息、 縮值、連接鑒權端口、連接模式、廣播包和性能設置。[Webagent指動態IP尋址文件在WEB服務器中的地址，包括主Webagent和備份Webagent地址。見下圖如果是“動態尋址（總部非固定IP）”請填寫“Webagnet網頁地址”（一般為以.php結尾的網頁地址），填寫完Webagent “固定IP”，請按照“IP 地址：端口”的格式填寫，如33:4009。點擊修改密碼可以設置Webagent，以防止用戶盜用Webagent更新虛假IP地址。點擊共享密鑰可以設置共享密鑰，防止設備接入。如果設置了『Webagent 一旦遺失該則無法恢復，只能聯系深信服科技客戶服務中心重新生成一個不包含aget的文件并替換原有文件。如果設置了『共有網點都必須設置相同的『共享密鑰』才能相互連接通信。如果是多線路且都是固定P的情況下，可以采用“1#2or”的方式來填寫age。[MTU值]用于設置數據的最大MTU值，默認為1500[最小壓縮值]用于設置對數據啟用壓縮的最小數據包大小，默認為100 [修改MSS]用于設置UDP傳輸模式下數據的最大分片。[TU 值]、最小壓縮值、修改 MSS]一般情況下請保留默認值，如需設置在深信服技術支持工程師的指導下修能通過端口等方式讓Internet用戶可以到網關設備的端口，則可設置為“直連”，不能獲得InternetIP的連接方式則需設置為“非直連點擊高級，可以進行DLAN性能設置，啟用廣播和組播，用來設置 目以及是否在通道內傳遞廣播和組播包。界面如下：[線程數]：控制設備的最大連接個數，默認值300，最大可支持1280個接入。[啟用廣播包]：是否在隧道內傳遞廣播包，并且只傳遞指定端口范圍的廣播包免。[啟用組播包]：是否 隧道內傳遞組播包用戶『用戶管理』用于管理接入賬號信息，設置允許接入的用戶賬號、，否啟用硬件鑒權或DKEY認證、是否啟用虛擬IP、設置賬號使用的加密算法、賬號有點擊檢測USB-KEY將檢測當前登錄網關控制臺的計算機是否了USBKey，如沒安裝DKey驅動則提示用戶是否需要，用戶可以點擊USBKEY驅動直接安裝DKey前必須安裝DKey驅動，否則計算機無法識DKey硬件，為避因程序導致Key驅動無法正常安裝，請在安裝過程中關閉第殺毒軟件、等程序。點擊刪除可對勾選的用戶進行刪除操作點擊導入域用戶可從域服務器導入用戶信息使用[導入域用戶]功能之前，請先在『』→『高級設置』→『 服務設置』中設LDAP服務器信息點擊導入文本用戶可從TXTCSV文件中導入用戶信息點擊導出用戶可從設備上將用戶導出到本地進行保存，并可選擇導出的用戶點擊新增組可設置用戶組名稱、描述以及組成員公共屬性（包括[加密算法][][內網權限]三項設置點擊高級可進行選路策略設置，組播服務設置，隧道參數設置『『[認證屬性]用于設置用戶認證類型，可選本地認證（即硬件設備認證、 認證[類型]用于設置使用此賬號的類型，可選移動和分支[使用組屬性]選項用于對用戶進行分組，如勾選[使用組屬性]則可激活選擇[用戶組]設設置[使用組屬性]前請先新增用戶組。用戶加入用戶組后，該用戶的[算法]、[啟[啟用硬件鑒權]選項用于設置基于硬件特性的認證，啟用后請選擇對應此用戶（*.id入計算機的USB接口再點擊[生成DKE]。IPIP地址（IPIP池范則系統會自動為該用戶從虛擬IP池中分配一個內網IP地址。啟用虛擬IP功能之前，請先在『 』→『虛擬IP池』中設置虛擬IP池范圍[。如 選。[啟用壓縮]選項用于設置對網關設備與該用戶之間傳輸的數據使用壓縮算法進行壓該設置是SANGFOR 的獨特技術在低帶寬的環境下能有效利用有限加速數據傳輸，但并不適用于所有網絡環境，實際應用中可根據情況進行設置。后移通過 能。[啟用多用戶登錄]選項用于設置是否允許多個用戶同時共用該賬號登 [修改]選項用于設置移動用戶是否能夠在連上 錄，不勾則允許移動用戶自行修改登錄。權限設置用于設置用戶接入后的權限，即設置用戶只能某些服務，默認使用[權限設置]前，請先在『 』→『高級設置』→『內網服務設置』添加需服務高級用于設置用戶接入后的一些高級屬性，包括選路策略設、隧道參數設置、隧道間NT設置等。選路策略即為不同的接入用戶選擇不同的線路選路策戶 內T主要是解決兩個內網網段相同址：分支用戶的高級選項設置頁選路策略設置詳見3.3.9[多線路選路策略]小組播服務設置詳見[組播服務設置]小節，界面 [隧道超時時間]在網絡時延較大、丟包率較高環境下，ANOR可以針對這20[啟用隧道動態速度探測]在本端或對端擁有多線路情況下有效，此 設備將會定時探測多線路里各條線路的延時及丟包情況綜合選擇最優線路進行數據傳輸[啟用隧道內流控]用在多個分支或者移動用戶接入時，為了避免其中某一個分支或者移動用戶將總部帶寬全部占滿導致其他分支或者移動用戶速度變慢，可以針對每個接入的用戶分配一個上下行帶寬，從而保證所有用戶都能得到較理想的速度。[啟用隧道內流控]設置的限制值只是一個范圍值，而不是準確值，例如：流控設為100k，則實際流量會控制在80-120k的范圍內，是在100k左右上下小幅波動。[隧道內 用于設置將分支用戶內網網段轉換為虛擬IP池網段的地址，如下圖點擊新增，既可在框中輸入這條規則所需要匹配原子網網段、子網網段、子網掩碼，也可以讓設備自動從虛擬IP池中分配一個IP網段，頁面如下：[原子網網段]：分支真實的內網子網網段。[子網掩碼]：分支真實的內網子網掩碼。[子網網段]：分支轉換后的虛擬網段配置時需要注意子網掩碼一定要匹配，隧道內NAT只對掩碼網段NAT，主機號隧道間NAT總部-SANGFOR設備采用路由模式部署， （/24）需要通過接入總部， （/24）同樣需要通過接入總部。則總部-SANGFOR設備需要添加隧道內NAT設置，解決 與之間內網網段的問題。步驟如下：1、在[IP池]中新增一段IP/24IP2、在[用戶管理]中新增一個分支賬號，點擊高級按鈕選擇[隧道內NAT 設置]選項卡，勾選[啟用隧道內NAT]新增一條/24網段與該分支賬號進行關聯。頁點擊[確定]后規則生效，則分支-在不修改內網IP的情況下也能順利接入總部，此時總部-可以通過/24這個網段中對應的IP地址來分支-深使用[高級]里的組播服務前，請先在『 』→『高級設置』→『組播服務』添加所需服務。使用[高級]里的隧道內NAT前，請先在『 』→『虛擬IP池』添加所需的分支虛擬IP網段。此時分支- 和分支 之間無法通過隧道間路由進行互訪。如需分支和分支-要通過隧道間路由互訪，則分支-和分支-都需要啟用隧道內NAT功能分別轉2個不IP網段，然后再添加隧道間路由，源為真實物IP網段，目地為對端虛擬IP網段即可。連接連接管理只有此設備當分支使用需要連接其他總部設備時才需要啟用，否則本是總部設備情況下不需要啟用連接管理點擊新增可以添加到一個總部的連接。如下圖所示[總部名稱]和[描述]用于標記連接名稱，可以任意填寫 Webagent是否工作正常，結果如下所示：測試請求均是從本機發起的而不是設備發起的。如果Webagent 是 形式測試成功代表該網頁存在，否則網頁不存在。如果Webagent采用固定IP方式，則測試成功代表填寫的IP:PORT格式正確。該測試成功并不代表 [傳輸類型]可選“TCP”或“UDP”，用于決定傳 數據包的類型，默認為模式[數據加密密鑰]、[用戶名]和[]根據總部提供的接入賬號信息來填寫、和。跨運營商功能需要額外激活，否則該功能無效。如果總部激活跨運營商功能，則所有連接到該總部的移動用戶可以直接使用跨運營商功能，其他所有連接到該總部的硬件分支設備，也需要激活跨運營商功能。點擊內網權限可以對連接對端進行權限設置，即指定連接對端只能本置信息虛擬IP『虛擬P池』是指由ANOR硬件設備指定某一段空閑的P擬P由NOR硬件設備指定任意的一段P作為擬P段，解決兩個擁有相同網段的分支同時通過時P的問題。當移動用戶接入后，分配一個虛擬P給移動用戶，移動用戶對總部的任何操作都是PPS等網絡屬性。IP1、創建虛IP池，虛IP池中IPSANGFOR硬件設備所在局域網的空閑IP2、指定移動用戶使用虛擬IP。如果設置虛擬IP為表示自動分配虛擬IP，當移動用戶接入后，總部SANGFOR設備從虛擬IP池中選擇一個空閑IP分配給移動，也可以為移動用戶指定虛擬IP。點擊新增按鈕，出現『虛擬IP池』設置框，設置IP池的起止IP即可，頁面如下DNS、WINS服務器信息，頁面如下當設置了“虛擬IP池”的[高級選項]之后移動客戶端電腦中的虛擬網“SANGFORvirtualnetworkadapter”必須設置為自動獲取IP和DNS，否則“高級2PPP的原網段替換成虛擬P池中的一個網段，以解決當兩個相同網段的分支同時接入到總部時網P擬P始P、設定虛擬P段數，P[IP]：分支虛IP段的第一IP地址[IP]：分支虛IP段的最后一個IP地址。[計算]：自動計算虛IPIP地址[網段數]：設置多少個虛擬IP段。[子網掩碼]：虛擬IP段的子網掩碼。與分支端內網子網掩碼保持一致擬P段后，在[/用戶管理]里新建用戶，用戶類型選分支]，然后在[高/NTIP總部SANGFOR設備采用路由模式部署，外地移動辦公用戶需要通過 IPLAN口相同網段且沒有被內網用戶所使用的IP地址段。頁面如下：在『用戶管理』中移動P000PPP接口『接口設置』用來定義設備需要作為連接的接口，如下圖點擊新增，添加接口，如下圖[接口]：選擇作為 接口，只有WAN口類型的路由接口才可以作為的接口。[網關]：接口對應的網關地址，只有接口類型為靜態 的方式才需要填寫網關ADSLDHCP方式的接口類型無需填[測試DNS]：此線路運營商提供的DNS地址，ADSL方式的線路類型接口無需進行寫則選擇直連Internet。[具有固定InternetIP]：填寫接口配置的固定公網IP地址點擊高級配置圖標進行DNS檢測設置，如下圖1. 接口只能選擇WAN口屬性的物理接口，且必須是路由口 接口，用于實 的多線路選路內網接口『內網接口設置』用來定義設備需要作為連接的內網接口，如下圖點擊添加，選定內網接口，如下圖只有非WAN口類型，固定IP的接口才能選擇 的內網接口[本機接口設置]用于設置服務虛擬網卡IP注意：默認情況下請設置為[使用自動分配的 接口IP]，如果出現IP 示，可改為自定義IP并進行設置。物理接口

接口是SANGFOR硬件網關系統的虛擬接口，外觀上并不存在對應的真多線路選路策NGOR設備提供功能強大的端設點擊新增，顯示【多線路選路策略編輯 框，如下圖[策略名稱]任意設置策略的名 [備線路組]設置備 連接的線路組[流量分配模式]可選擇按會話平均分配或按包平均分設置了多線路選路策略后，需要在『用戶管理』的用戶或用戶組[高級]選項中選本地子網『本地子網列表』用于總部硬件設備的內網有多個子網的情況下，其他接入用戶需192.200.200.x，1、在『本地子網列表』里配置需要互聯的子網，頁面如下點擊新增進行本地子網的添加，頁面如下[子網網段]、[子網掩碼]設置為總部內 設備非直連網段的網絡號、子網掩碼2、在『靜態路由』中為需互聯的子網設置路由。（具體可參照『網絡配置』→『路由→『靜態路這里的『本地子網列表』僅相當于一種“ ”作用，在此定義的網段，都會設備和軟件客戶端視為網段，所有這些網段的數據包經過設備或軟后，都會被封裝到隧道中傳輸。所以，一般情況下，在『本地子網列表』里添加了子網網段，都需要配合『靜態路由』配置來完成對多子網的隧道間路由設SANGFOR設備提供了強大的 例如：總部（“”192.168.1.x/24）同時與分支（“”172.16.1.x/24（“廣 聯但“”與“廣州”之間沒有連接，通過設置適當的“隧道間路由”規則，即可實現“”與“廣州”之間的相互。具體配置如下：1、在分支“”的『隧道間路由設置』中勾選[啟用路由]點擊新增，添加廣[網絡號（源）]設置源地址網絡號，本例中應設置為[子網掩碼（源）]設置源地址子網掩碼，本例中應設置為[網絡號（目的）]設置目的地址網絡號，本例中應設置為。[子網掩碼（目的）]設置目的地址子網掩碼，本例中應設置 [目的路由用戶]設置路由指向的連接用戶，本例中應設置為與建立[網絡號（源）]、[網絡號（目的）]用于匹配數據的源IP地址、目的IP地址，當隧道中傳輸的數據匹配設置時，則此路由設置生效，數據將被轉發給相應的設備。[目的路由用戶]可理解為，“要將路由的數據發往哪一個設備”，本例中分支“”在『連接管理』中設置了使用用戶名“-”與總部建立了連接，因此以用戶名“-”標示將路由的數據發往總部。2[啟用路由][網絡號（源）]設置源地址網絡號，本例中應設置 [子網掩碼（源）]設置源地址子網掩碼，本例中應設置為。[網絡號（目的）]設置目的地址網絡號，本例中應設置為。[子網掩碼（目的）]設置目的地址子網掩碼，本例中應設置 [目的路由用戶]設置路由指向的連接用戶，本例中應設置為廣州與建立支：[網絡號（源）]設置源地址網絡號，設置本端需要通過總部上網的網[目的路由用戶]設置路由指向的連接用戶。1.通過總部線 址轉換』中添加對網段的源地址轉換規則，詳見部分設置說明。2.如果 當總部，要實現分支通過總部上網，請在深信服工程師指導下進行操作第對SANGFOR設備提供了與第設備互聯的功能，能與第的 準IPSec 第一階『第一階段』用于設置需要與SANGFOR硬件網關建立標準IPSec連接的對端 備的相關信息，也就是標準IPSec協議協商的第一階段。頁面如下：選擇線路出口，點擊新增，顯示【設備列表設置】框，頁面如下點擊高級，顯示『高級選項』框，可進行其它高級設置，頁面如下第二階『第二階段』用于設置標準IPSec協議協商的第二階段的參數，頁面如下『入站策略』用于設置由對端發到本端的數據包放行規則，點擊新增，顯示策設置框，頁面如下『出站策略』和『入站策略』中的[出站服務]、[入站服務]和[時間設置]均SANGFOR擴展的規則，此類規則僅在本端設備生效，在與第設備建立連接的過程IP地址是指[IP類型]和[本/對端服務]中所設置的IP的交集。安全選在建立與第設備的IPSec連接前，請先確定對端設備采用何種連接策略，包括：使1AES或SINFOR_DES，點擊新增，添加新的選項，頁面如下：SANGFOR設備會使用設置好的連接策略與對端協商建立IPSec連接『安全選項』中的[加密算法]用于設置標準IPSec 連接的第二階段所使用的數據密算法，如果要與多個采用不同連接策略的設備互聯，需要分別將各個設備使用的連接策略添加到『安全選項』中。通用『通用設置』包含『時間計劃設置』和『算法列表設置』兩個子模塊點擊新增按鈕，出現【時間計劃設置】框，頁面如下『算法列表設置』提供了對設備支持的數據加密算法進行查看和添加的功能，加密算在硬件設備所構建的網絡中對傳輸的所有數據進行加密，以保障數據的安全性。頁面設備內置了DES、3DES、MD5、AES、SHA-1、SINFOR_DES多種加密、認證算法，高級服務器設置『RIP設置『生成』。NGOR設備可以為接入的用戶指定相應的權限，可以限制分支用戶內網的某個P、某個移動用戶只能內網的特定計算機的特定服務和與第設備互連時設戶est總部的B服務器的EB對EB戶banch1個P訪問總部的QL它P的被服現。12對的。內網權限案例學某客戶需要實現僅允許分支用戶branch的內網IP00總部的FTP服務器0，其它IP發起的請求或對其它服務的請求全部，具體操作步驟如在『內網服務設置』中點擊新增出現【設置內網服務『服務名稱』一個便于識別的名稱，勾選協議類型（本例中FTP服務使用TCP協議1、點擊新增出現【 范圍設置】框，逐項進行設置，頁面如下[目的端口]：FTP的服務端口20-21。這里的內網服務設置只是一種“定義”，定義好服務之后，需要在『用戶管理』里面為用戶賬號分配內網權限來最終實現“內網權限”的設定。內網服務設置還可應用于『第對接』中設置『出站策略』的『本端服務』參數和『入站策略』的『對端服務』參數，具體設置可參考『第對接』相關章節。2、在『用戶管理』中選擇編輯用 Branch，點擊權限設置，頁面如下3、在『權限設置』框中將設置好的Branch服務右移到服務列表中，設置為允許，FTP服務器0，分支Branch內網的其它IP發起的請求都會被這樣設置完成后，總部其他電腦去 分支Branch也一樣會 其他電腦發起分支的請求，分支電腦回應該請求時，因分支電腦發回的數據包里目標IP不是0這臺服務器，也會被內網權限組播服 使用VOIP和會議等需要組播支持應用的需求，SANGFOR支持組口范圍是1-65535。頁面如下：點擊新增出現組播服務編輯頁面，在這里可以設置組播服務所用的組播地址和端口。->LDAPSANGFOR設備的服務支持使用第LDAP認證，如需要啟用第認證，請在『LDAP服務器設置』中正確設置第LDAP服務器信（包括LDAP服務器IPLDAP服務器端口、LDAP管理員如下圖：設置好LDAP服務器信息后 高級，顯示[LDAP高級設置]框，按照實際求設LDAP信息，如下圖Radius服務器設SANGFOR設備的服務支持使用第Radius認證，如需要啟用第Radius認證，請在『Radius服務器設置』中正確設置第Radius服務器信息（包括Radius服務器IP、Radius服務器端口、Radius認證共享密鑰、Radius協議RIP『RIP設置』主要用于設SANGFOR設備通過RIP協議和其它網絡設備相互交換或習路由信息，以實現路由信息的動態更新，如下圖 告已與本端建立連接的對端網絡的信息（更新其他設備的路由表，添加到對端的路由指向SANGFOR設備，連接斷開后會通告路由設備刪除該路由。[啟用驗證]：用于設置交換 協議信息時需要驗證的，一般不需設置[IP地址]和[端口]：用于設置主哪個IP發布路由更新信息[需要觸發更新][記錄日志]勾選，則設備會記錄RIP路由更新的具體信息生于同的該證該可保被。生點 選擇保存路徑即可生成硬 并保存到本地計算機上。頁面如下生將生成好的發給總部管理員，由總部管理員在新建用戶賬號的時候選擇硬件對象定點擊刪除，用于將已選的ISP信息刪除點擊新增，用于新建ISP信息，配置界『名稱』用于設置ISP『地址范圍』用于手動設置該運營商的網絡IP段『WHOIS標志』用于設置相應的ISP地址段對應的whois標志，便于根據標志識別不設備出廠默認有 、電信、中國移動、教育網四個ISP地址應用特征識別過端口或協議無法區分的應用類型，比如、P2P等。（自定354。用戶可以在『內容安全』→『應用控制策略』中應用識別規則，對相關的應用做制4275【應用分類】中顯示的是應用識別規則的分類， IM，游戲等選擇對應的應用類型，【具體應用】中會顯示此類應用中包含的具體應用，屬的應用類別中細化的分類，如IM中的，MSN等在[篩選]中選擇需要查詢的規則類型：勾選【全部】表示篩選符合條件的全部規則；勾符合條件的規則。在[搜索]中需要查詢的規則關鍵字，如篩選條件設置為“”，回車后啟用/3.4.2，禁用，如圖篩選出相關的應用：勾選具體應用“”，點擊啟用或者禁用，即可對登錄的所有規則進行禁用或用擊規則設置，會彈出一個【識別規則】的編輯框，列出所有“”的相關規則，勾選規則，點擊啟用或者禁用，即可對規則進行禁用或啟1、某些基礎協議的應用識別規則是不能被禁用的，比如：HTTP，這種基礎協議如果禁用的話，會影響其他基于P協議的數據識別。所以設備限制此類規則不能被禁用掉。2、此處禁用規則并不是封堵相應的應用，封堵規則請查看內容安全章節部分的內容。此處如果禁用，就表明設備無法識別這種應用。一般情況下不需要禁用這些規則，排查故障的情況下可能會使用。應用智能識別斷方式有所不同，可以識別一些加密的數據，比如明文或密文等P2P應用、skype、SSL、SANGFOR數據的識別、自由門，等工具數據。配置界面如下：啟用/勾選應用名稱“skype”，點擊禁用或者啟用，即可對skype skype”中的某條規則，點擊規則設置，會彈出一個【skypeskypeP2P 行為識別規則是應用特征識別的補充，對于應用特征識別庫中識別不出來 數據進行智能識別。P2P行為規則是可以進行編輯的，點擊P2P行為，會彈出規則編輯框據可能是未識別的P2P數據，這時可以將此處的靈敏度調高一些。比一些應用本不是2P自定義應：第二步：設置匹配數據包的[協議]：設置數據所采用的協議類型，此例中郵件發送TCP協議；[目標端口]：設置數據所的目標端口，此例中郵件發送是TCP25端口[IP地址]：設置源IP、目標IP或者是識別后的目標IP標包標的，如 .c。第三步：設置完成后點擊提交，完成此條規則的設置送郵件的帶寬。（參見章）建議設置自定義規則時要加上目標端口、IP 等識別信息，如果識別的件過于寬泛，可能會和內置的應用識別規則有導致應用識別，從而導致部分控制和審計失效。啟用/禁用/導入/『URL分類庫』是根據網頁的內容定義出不同的URL類型，幫助設備識別各類，以實現對各種類型的進行權限控制和流量控制。『URL庫列表』中顯示的是內置URLURLURL組由深信服定期在服務器上進行更新，設備通過上戶可以通過已知的URL設置的URL組。URL定時更新，但更新內置庫需要序列號，且保證設備能夠上網。自定義URL庫可以進行增加、刪除和修改等操作（小節。面：點擊【URL庫列表】頁面，頁面上方顯示了內置URL庫版本以及內置URL升級的有在【導航菜單】頁面中的『對象定義』→『URL分類庫』，右邊進入【URL分類庫】 ，點擊查詢后，查詢結果中會顯示URL對應的類別。URL查詢不支持模糊查詢。URL新增URL組，用于用戶自定義URL。在【URL庫列表】頁面，點擊新增，彈出【新URL類型】窗口：『URL組名稱』定義方便理解的名『URL組描述』定義方便理解的描『URL』添加需要設置的URL，一個URL組可以包含多個URL，URL支持通配符配字則被識別成該URL組，關鍵字匹配優先級低于內置URL庫和自定義URL庫。1、用*號表示通配，比如要設置一個 表示新浪的子頁面，包括新（ cn、新浪體育（ cn、新浪（ cn）么就在[R]中輸入“* cn”。注意：*號只能表示一級的匹配，另外*號只能放在L的最前面，不能放在中間，否則此RL將不會生效。URL庫列表】頁面，勾選自定義的URL庫，點擊刪除，則可刪除對應的URL組。URL修改URL組既可以修改用戶自定義的URL組也可以修改內置的URL組，不過兩者有對于用戶自定義的URL組，進行編輯時，可以編輯URL組的描述以及URL、關對于設備內置的URL組，進行編輯時，不能編輯URL組的名稱和描述，并且不能編輯直接點擊需要修改的URL組的名稱，然后彈出【編輯URL類型】窗口中設置服』、。『預定義服務』中內置了常見的網絡服務，界面如下切換到【自定義服務】頁面點新增，會彈出【新增自定義服務】窗口[名稱]設置服務[描述]設置對該服務的描協議端擊P]、[UD]、IM]、他]，點擊提交，完成網絡服務對象的設置『其他』中可填寫協議號，協議號0代表所有的協議。可填寫0-255的整數TCPUDP的填寫格式是一行一個端口或者端口范圍，ICMP填寫格式為“type:a,code:b”（不帶引號）ab0-255的整數，可以輸入多行。服務點擊新增，新增一個服務組[名稱]設置服務組的名[描述]設置對該服務的描[協議用于設置該服務組所包含的服務，點擊選擇服務，可同時選擇預定義服務IP『IP組設置』用于定義一個包含某IPIP地址組，這IP組可以是內網的段，也可以是公網的某些IP范圍，或者是全部IP管理』→『通道配置