a07-交付-ac-管理员手册v1.1

管理员手册深信服科技股份有限公司 修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1完成管理员手册编写201610081.01.0lxf2优化201608181.01.1marui■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服科技股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经深信服科技股份有限公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录目录3第1章前言5第2章系统管理52.1设备登录52.2管理员配置72.2.1修改管理员密码72.2.2创建二级管理员72.3系统基本信息配置92.3.1序列号92.3.2系统时间102.3.3规则库升级102.3.4全局排除地址112.3.5设备配置备份与恢复112.3.6WEBUI选项122.3.7远程维护12第3章网络配置133.1部署模式133.2静态路由17第4章策略管理184.1用户认证与管理184.1.1用户组管理184.1.2认证策略194.1.3不需要认证204.1.4IP/MAC绑定224.1.5不允许认证274.2策略管理284.2.1购物娱乐类网站284.2.2P2P及P2P流媒体封堵324.2.3外发文件封堵354.2.4上网审计384.3流量管理404.3.1线路带宽配置404.3.2保证通道414.3.3限制通道454.4终端接入管理504.4.1共享接入管理50第5章日志中心管理52 5.1设备系统日志525.2日志中心配置535.2.1准备工作545.2.2外置日志中心安装过程555.2.3日志中心登录605.2.4同步策略设置605.2.5AC同步配置625.3日志中心登录625.3.1内置日志中心登录625.3.2外置日志中心登录635.4日志查询645.4.1所有行为日志645.4.2网站访问日志675.4.3邮件收发日志695.4.4发帖/发微博日志705.4.5其他日志735.4.6日志导出735.5流量时长分析745.6报表中心755.7系统管理76第6章VPN配置776.1SangforVPN配置776.2IPsecVPN配置82第7章技术支持88 第1章前言本手册用于讲解AC常见功能操作方法，为管理员提供日常策略维护指导。第2章系统管理2.1设备登录首先确保本机从网络可以访问到设备管理IP地址，然后在浏览器中输入网关的IP及端口https://192.x.x.254。出现一个如下图的安全提示：点击<继续浏览此网站(不推荐)>后出现以下的登录界面： 在登陆框输入【用户名】和【密码】，点击<登录>按钮即可登录AC设备进行配置，默认情况下的用户名和密码均为admin。如果用户密码过于简单,则会被检测为弱密码,在控制台的处理为:登录后检测为弱密码则提示修改密码，则会弹出如下提示：如果提示超过15天都没有修改则强制修改密码.则会弹出如下提示：弱密码修改: 2.2管理员配置在【系统管理】-【系统配置】-【管理员账户】页面，可修改admin管理员密码、删除管理员账号以及创建二级管理员。2.2.1修改管理员密码管理员账户页面找到admin管理员，直接点击<编辑>，输入旧密码，并设置新密码即可修改admin账号的密码信息。注：admin账号只可修改密码，不可删除。2.2.2创建二级管理员在管理员账户页面，点击<新增>可以创建二级管理员。 设备确实管理员角色有两种：administrator：内置的角色，该角色的管理员自动拥有管理整个组织结构的管辖范围，并且还能够添加删除管理员帐户。common：系统缺省创建的角色，可通过角色管理添加或者删除角色，该角色可设置管理员可以管理的组织结构范围。如果选择管理员角色为common，在<组织结构权限设置>处，可以设置该管理员可以管理的组织结构范围。在<页面权限设置>处，可设置该管理员可以查看或编辑的控制台页面。 2.3系统基本信息配置2.3.1序列号在【系统管理】-【系统配置】-【序列号】页面，可以查看设备当前的授权信息。 序列号一般在出厂时已设置好，正常使用过程中无需修改，只有当设备相关服务到期时，才需要修改相关序列号。2.3.2系统时间【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR设备的系统时间。可以直接在界面上修改时间，也可以选择与[时间服务器]进行时间的同步。注：设备日志记录的时间与系统时间相关，请注意确保设备系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿工作时间操作。2.3.3规则库升级【系统管理】-【系统配置】-【系统更新】-【规则库升级】可以查看当前设备规则库的最新状态，请确保设备管理IP能够访问互联网，以便设备自动更新规则库。 2.3.4全局排除地址【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问的目标服务器的IP不受任何监控和控制，直接放行。排除地址支持填写IPV4地址、IPV6地址、域名。点击<自定义排除地址>页面的<添加>，在文本框内输入需要排除的IP或域名即可。2.3.5设备配置备份与恢复【配置备份与恢复】用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。 2.3.6WEBUI选项【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面可以设置当前的页面参数，如默认编码、控制登录端口、超时时间等。2.3.7远程维护 【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否允许从外网口远程登录设备，以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。<启用远程维护>用于设置是否允许从外网口远程登录设备，勾选此项的同时，设备的WAN口自动开启允许ping，平时一般建议关闭该选项。第3章网络配置3.1部署模式AC设备支持路由模式、网桥模式、旁路模式和认证模式四种部署模式。路由模式:一般用于没有防火墙的中小客户。设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；网桥模式：可以把设备视为一条带过滤功能的网线使用，可不更改原有网络拓扑结构的情况下平滑架到网络中。目前在客户中使用最多的部署模式；旁路模式：仅做旁路审计，需要交换机做镜像至AC。 认证模式：用户统一认证上网，认证中心只支持单臂模式部署在网络中，每分支部署一台AC用于上网管理，认证中心在总部，各分支AC和总部认证中心对接，实现统一认证；另一场景一般有第三方无线控制器，认证中心和无线控制器对接，实现统一认证，出口部署AC实现上网管控。（认证中心不能单独部署，需要结合AC或第三方无线控制器）本例以网桥模式部署为案例，配置需求及步骤如下：需求：目前网络已部署防火墙设备IP地址为192.168.1.1/24，内网三层环境，核心交换机地址192.168.1.2/24，AC网桥部署在防火墙和核心交换机之间，分配给AC设备的地址为192.168.1.3，配置步骤如下：1.通过【系统管理】-【网络配置】-【部署模式】进入配置界面，点击<开始配置>，选择<网桥模式>。2.点击<下一步>，选择网桥的网口。本案例采用ETH0和ETH2作为一对网桥口，ETH0作为LAN区网口，ETH2作为WAN区网口。 3.点击<下一步>，设置AC设备的网桥IP：4.点击<下一步>，设置DMZ管理口的IP地址，可保持默认配置： 5.点击<下一步>，设置设备上网的网关和DNS：6.点击<下一步>，确认和提交配置： 注：点击<提交>后，设备会自动重启，重启时间一般为1-5分钟，请勿在工作时间修改设备部署模式配置。3.2静态路由如上需求，由于内网三层环境，需要增加内网网段的回包路由指向核心交换机，如内网有192.168.10.0/24、192.168.20.0/24等。1.通过【系统管理】-【网络配置】-【静态路由】进入配置界面。 2.点击<新增>，设置需要添加的路由目的地址、子网掩码，下一跳指向核心交换机。3.点击<提交>完成配置，如果有多个网段，可添加多条路由。第4章策略管理4.1用户认证与管理4.1.1用户组管理为了便于区分员工角色进行策略管理，我们可以将上网用户进行分组管理，【用户认证与管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理的地方。 在该页面<组织结构>下选择指定组，可在该组下创建用户以及用户组，在右边<成员列表>点击<新增>，选择新增类型<组>定义组名，如“市场部”，点击提交即可，该组适用的上网策略，可在后面策略管理时指定。4.1.2认证策略【认证策略】决定了某个IP/网段/MAC地址上计算机的认证方式。通过【认证策略】设置内网用户的认证方式，以及新用户添加的策略。认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。 认证策略可以指定的认证方式有不需要认证、密码认证、单点登录、不允许认证4种，根据不同的认证策略可实现不同的用户认证需求。4.1.3不需要认证在认证策略页面点击<新增>设置该策略适用的范围后点击<下一步>，适用范围可以是IP、MAC、IP段以及子网。 选择认证方式为<不需要认证>，继续点击<下一步> 选择用户以组织结构中那个组的身份上线后点击<提交>即可。4.1.4IP/MAC绑定二层环境1．与不需要认证用户设置方法相同，但<认证后处理>方式需勾选<自动录入绑定关系>-<自动录入IP和MAC的绑定关系>选项2．用户上网后，在【用户认证与管理】-【用户管理】-【IP/MAC绑定】页面可以看到系统自动绑定了终端第一次上网的IP和MAC信息，在该页面可对相关信息进行添加、删除和修改操作。 三层环境三层环境下，由于内网用户经过三层交换机后，MAC地址会被三层交换机替换掉，因此还需要在核心交换机上开启SNMP服务，以支持AC跨三层环境下的IP/MAC绑定。1.在核心交换机上开启SNMP服务。华为交换机的配置命令：system_viewsnmp-agentcommunityreadpublic；其中public为三层交换机的Communitysnmp-agentsys-infoversionall；其中all表示所有版本思科交换机的配置命令：configterminal进入全局配置状态Cdprun启用CDPsnmp-servercommunitypublicro其中public为三层交换机的Communitysnmp-serverenabletraps允许设备将所有类型SNMPTrap发送出去 注：三层交换机需启用SNMP协议，AC作为SNMP客户端通过SNMP读取交换机，只支持SNMPv1,v2,v2c,不支持v3。2.在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】页面，开启跨三层MAC识别功能。可以新增多个SNMP服务器，如果内网存在多个三层交换机，则每个三层交换机的SNMP选项均需要开启，如下图点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC，有返回结果则能正常获取，如下图 完成新增SNMP服务器后，可以查看配置的所有交换机当前snmp获取的结果，如下图接下来，需要配置排除核心交换机的MAC地址，如下图。 实际使用时，可开启设备自动识别三层交换机的MAC，并自动添加到MAC地址排除列表，如下图启用“自动添加排除”，定义10分钟内同一个IP对应的MAC地址记录数，推荐配置5。当同一个MAC达到设置条件时，AC认为是三层交换机的MAC地址，自动将其排除。3.与二次环境一样，设置认证策略，<认证后处理>选择自动录入IP和MAC的绑定关系。 4.1.5不允许认证认证方式设置为<不允许认证>的网段，将无法通过设备访问任何网络。在认证策略页面点击<新增>设置该策略适用的范围后点击<下一步> 直接点击<提交>即可。4.2策略管理【策略管理】模块设置的策略主要包含封堵、审计等策略，以下分别以案例的形式介绍一些常见的策略设置方式。4.2.1购物娱乐类网站需求：禁止全公司上班时间访问购物、娱乐类网站。1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。 2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。3.点击应用下方的，进入【选择应用】窗口。 4.展开应用“访问网站”，选择“网上购物”和“娱乐” 5.点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成网上购物和娱乐类网站拒绝设置。6.选择<适用对象>选项，进行策略与用户/组关联，勾选“所有用户”，即可关联全网用户。 7.点击提交按钮，完成整个策略设置。4.2.2P2P及P2P流媒体封堵需求：禁止市场部门用户及其所有子组在上班时间使用P2P和P2P流媒体。1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。 3.点击应用下方的，进入【选择应用】窗口。4.选择应用“P2P”和“P2P流媒体” 5.点击确定按钮。回到应用控制页面。生效时间选择上班时间，动作选择为拒绝。点击确定按钮，完成P2P和P2P流媒体应用拒绝设置。6.选择<适用对象>选项，进行策略与用户/组关联。 7.点击提交按钮，完成整个策略设置。4.2.3外发文件封堵需求：为了避免公司重要资料通过网络外泄，禁止研发和财务部门一切外发行为。1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击新增按钮，选择上网权限策略，进入<上网权限策略>编辑界面。填写策略名称，描述信息。2.勾选<策略设置>-<上网权限策略>-<应用控制>，右边进入<应用控制>窗口。点击添加按钮。 3.点击应用下方的，进入【选择应用】窗口。4.选择左侧应用标签“外发文件泄密风险”。 5.点击确定按钮。回到应用控制页面。生效时间选择全天，动作选择为拒绝。点击确定按钮，完成外发文件封堵设置。 6.选择<适用对象>选项，选择“研发部”和“财务部”。7.点击提交按钮，完成整个策略设置。4.2.4上网审计需求：对内网所有用户开启审计，审计所有网络行为。1.【策略管理】-【上网策略】，右边进入【上网策略】编辑页面。然后点击<新增>按钮，选择上网审计策略，进入【上网审计策略】界面。填写策略名称，描述信息。2.勾选<策略设置>-<应用审计>，右边进入<应用审计>编辑窗口。点击<添加>，进入添加审计对象页面。 3.点击审计对象下方的按钮，进入<选择审计对象>编辑窗口。选择需要开启的审计记录，设置审计访问网站的URL。选择<生效时间>为上班时间。注：不建议开启未识别的网络应用日志，该日志类似防火墙日志，对上网行为管理审计来说意义不大。 4.选择适用的对象，这个需求选择<所有用户>即可：5.点击<提交>按钮，完成整个策略。4.3流量管理【流量管理】支持保证和限制通道两种形式，分别用于针对重要应用的流量保障和大流量应用的带宽限制，4.3.1线路带宽配置设置流量管理配置前，需要先根据出口互联网带宽设置带宽参数。 点击对应的线路名称即可编辑带宽参数，如下图设置线路1上行4Mbps，下行100Mbps4.3.2保证通道需求：针对HTTP访问网站、DNS、视频会议保证上行2Mbps，下行20Mbps，以确保网络繁忙时这些应用能优先处理。1.【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。2.选则<保证通道>，设置上行带宽保证2Mbps，下行带宽保证20Mbps，优先级高。 3.点击<通道使用范围>。 适用应用选择<自定义>，点击进入按钮，进入<自定义适用服务与应用>编辑窗口。 4.选择应用访问网站、DNS、网络会议，点击<确认>。5.点击<确定>按钮，完成整个策略。 4.3.3限制通道需求：针对普通员工，限制整个组的P2P和P2P流媒体上行不超过1Mbps，下行不超过10Mbps，单用户最大上行500Kbps，下行1Mbps，以避免普通员工P2P下载占满带宽，应用其他正常办公业务。1.【流量管理】-【通道配置】，右边进入【通道配置】编辑页面。然后点击<新增通道>按钮，选择一级通道，进入【新增一级通道】界面。填写策略名称。2.选择<限制通道>，设置上行带宽最大1Mbps，下行带宽最大10Mbps。 3.勾选<启用单IP最大带宽>，设置上行500kbps，下行1Mbps。4.点击<通道使用范围>。 5.适用应用选择<自定义>，点击进入按钮，进入<自定义适用服务与应用>编辑窗口。 6.选择应用P2P、P2P流媒体，点击<确认>。7.适用对象选择<自定义>，点击进入按钮，进入<自定义适用对象>编辑窗口。 8.选择<本地用户>-<普通员工>组，点击<确定>。9.点击<确定>按钮，完成整个策略。 4.4终端接入管理4.4.1共享接入管理需求：用户内网存在大量电脑，移动终端共享热点，需要封堵电脑和移动用户的通过代理方式上网的行为。配置步骤如下：1.【终端接入管理】-【共享接入管理】，右边进入【共享接入管理】的配置页面。勾选启用共享接入检测，如下图所示：2.在【共享接入管理】页面，点击<编辑配置选项>，如下图所示： <统计方式>选择“统计所有终端”，可识别PC与PC、PC与移动终端，移动终端与移动终端之间的共享。<冻结选项>选择<冻结IP地址>，一个IP地址只允许一个用户上线。3.【终端接入管理】-【共享接入管理】，右边进入【信任列表】的配置页面，对不需要开启代理检测的用户、用户组或IP地址，添加到信任列表。如下图所示： 注：共享终端管理存在一定误判几率，建议可先开启检测不冻结运行一段时间后，确认误判率比较低后，再开启冻结。第5章日志中心管理企业对上网日志审计的需求主要是因为政府监管部门明文要求及出现事故后能够事后追踪，《中华人民共和国网络安全法》为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《中华人民共和国网络安全法》要求：第三章网络运行安全第一节一般规定第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；5.1设备系统日志设备本身记录30天系统日志，为了满足网络安全法六个月以上日志保存的要求，建议配置AC设备的【系统管理】——【高级配置】——【外部syslog设置】功能，将系统日志保存到外部syslog日志服务器上。 5.2日志中心配置AC设备出厂时一般自带了500G的硬盘，可直接使用内置日志中心。如果您需要保存的日志时间较长，由于设备内置存储的硬盘容量有限，并且设备日志查询和报表统计会消耗一定设备的性能，建议安装外置日志中心，设备会将相关日志同步到外置数据中心。计算公式：1.上网审计按照推荐开启功能： 2.按照步骤一配置后，理论评估一个用户一天产生２Ｍ日志2M*日均累计用户数*180（天）=大致6个月日志量，从而进行估算磁盘空间是否充足l如果不是确认是否为500G硬盘，请联系深信服科技确认磁盘大小l如果计算的日志量超过500G，请一定要选择外置数据中心5.2.1准备工作1、2008及之后的服务器操作系统，并且系统要求是64位操作系统。（请根据内置日志中心每天日志量合理评估服务器的存储空间，NTFS格式）注：每天日志量超过20G，服务器配置选型请咨询深信服技术支持工程师。2、数据中心安装包，请登录深信服官网下载相应的数据中心版本： http://bbs.sangfor.com/plugin.php?id=service:download&action=view&fid=100000002253587#/100000007141875/all注：中文安装包支持在简体中文和繁体中文操作系统上运行，英文安装包仅支持在英文操作系统上运行。3、日志中心服务器和AC之间需开放TCP810，以供数据同步。4、日志中心服务器需开放443端口（可修改），以供外置日志中心登录。5.2.2外置日志中心安装过程从深信服网站上下载DataCenterSetup_11.0.exe安装程序，双击DataCenterSetup_11.0.exe程序，即出现程序安装向导，界面如下图所示：点击<下一步>，选择是否同意许可协议，勾选<我愿意接受此协议>，即可点击<下一步>，继续安装，界面如下图所示： 点击<下一步>，弹出如下界面：这一步用于设置程序安装目录、日志存放目录以及附件的存放目录：点击<下一步>，弹出如下界面： 这一步用于设置Web服务的监听端口，推荐使用默认的443端口（登陆方式：https://ip），如果443端口已被其他程序占用，则可以修改成服务器上其他的空闲端口，界面如下图所示：设置好Web服务端口，点击<下一步>，弹出如下界面：设置磁盘预警。请提供足够的磁盘空间用于存放期望的日志量（依据网络安全法要求，推荐配置180天以上）。点击<下一步>：设置是否开启磁盘异常告警和数据中心异常告警 点击<下一步>，设置预警邮件的发送和接收邮件地址：点击<下一步>，安装程序会弹出详细的配置信息，界面如下图所示： 如果确认这些信息无误，则点击安装，此时程序将自动安装，整个安装过程可能会占用您2-3分钟，请耐心等待。安装完成后，会出现如下界面：点击完成，即完成了数据中心的整个安装过程。 5.2.3日志中心登录日志中心安装过程中如果采用默认端口443，则日志中心的访问地址访问地址是：https://服务器IP地址，如果服务器IP为192.168.1.240，则访问地址为https://192.168.1.240登陆界面如下：在登录框中输入<用户名>和<密码>，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。5.2.4同步策略设置在日志中心【系统管理】-【系统配置】-【同步策略】创建同步策略，用于设置数据中心与网关同步日志的策略。如下图所示： 点击<新建>，新建同步策略：<同步策略名>：同步策略名可以自定义设置，但是需与AC网关的数据中心同步配置的同步账号一致。<接入密钥>：接入密钥也需与AC网关的数据中心同步配置的同步密钥保持一致。<描述>：设置同步策略的描述信息。<同步选项>：设置从哪天的日志开始同步。 <选择需要同步的日志>：勾选需要同步到外置数据中心的日志类型。点击提交，生效和保存配置。5.2.5AC同步配置在AC管理界面【系统管理】-【系统配置】-【日志中心配置】新增同步配置，根据外置日志中心设置的IP地址、同步策略名和密钥设置同步。写入外置日志中心IP地址后，设备会自动发现日志中心创建的同步策略，选择之前定义的同步策略即可。5.3日志中心登录5.3.1内置日志中心登录内置日志中心的登录接口在设备控制台页面右上角，点击即可进入内置日志中心。 5.3.2外置日志中心登录日志中心安装过程中如果采用SSL加密方式登录，默认端口443，日志中心的访问地址为：https://服务器IP地址，如果服务器IP为10.10.10.11，则访问地址为https://10.10.10.11在登录框中输入用户名和密码，点击登录按钮即可登录数据中心的查询页面，默认情况下的用户名和密码均为admin。内置日志中心和外置日志中心登录后的界面基本相同。 5.4日志查询5.4.1所有行为日志用于查询用户或用户组的所有行为日志，步骤如下：1.设置查询条件 2.选择需要查询的日期范围，需要查询的用户/组、应用，如果需要针对IP地址查询，可点击<显示高级选项> 3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有上网日志。4.点击每条记录最后面的<详情>，可查看这条日志的详细信息。 5.4.2网站访问日志用于查询用户或用户组的网站访问日志，步骤如下：1.设置查询条件2.选择需要查询的日期范围，需要查询的用户/组、网站分类，如果需要针对IP地址查询，可点击<显示高级选项> 3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有网站访问日志。访问网站日志可以根据URL中的关键字进行搜索。 5.4.3邮件收发日志用于查询用户或用户组的邮件日志，步骤如下：1.设置查询条件 2.选择需要查询的日期范围，需要查询的用户/组、邮件类别，如果需要针对IP地址查询，可点击<显示高级选项>3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有邮件收发日志。5.4.4发帖/发微博日志用于查询用户或用户组的发帖和发微博日志，步骤如下：1.设置查询条件 2.选择需要查询的日期范围，需要查询的用户/组，外发方式是发帖还是发微博，如果需要针对IP地址查询，可点击<显示高级选项> 3.在源IP地址处，输入需要查询的IP地址，点击<查询>，即可查询出这个IP地址的所有发帖和发微博日志。如果希望根据发帖内容反查用户，可使用关键字搜索发帖纪录。在发帖或微博内容选取一段做为关键字查询条件，点击<查询>即可。 5.4.5其他日志AC设备还提供了外发文件、即时通讯、搜索关键字、终端接入日志、安全日志等日志可查询，查询方式基本类似不再赘述。5.4.6日志导出AC设备所有查询日志都可以导出为excel格式的表格以供二次分析，导出接口在界面右上角<导出日志>按钮。点击<导出日志>后，点击下载即可。 5.5流量时长分析流量时长分析用于流量分析和时长分析，流量分析可统计应用流量排行、网站分类流量排行、域名流量排行、应用流速趋势、流控通道趋势、网站分类流速趋势；时长分析可统计应用时长排行、网站分类时长排行和域名时长排行，所有统计出来的信息均可以pdf格式导出，以供汇报使用。如应用流量排行，可根据用户、用户组、终端类型、位置、应用进行流量统计。在右边的统计选项设置需要统计的TOPN以及统计的依据和时间范围，即可生成相关的统计报表。 5.6报表中心报表中心包括【报表收藏】和【报表订阅】两部分。分别用于管理和个性化定义报表寄报表内容。报表收藏用于管理通过流量时长分析（流量分析、时长分析)、用户行为分析（用户行为分析、网站分类分析、单用户分析）、终端接入分析（终端接入分析、终端接入安全）三个模块收藏的报表。Webui：报表中心>收藏>报表收藏报表收藏分为名称、页面、编辑、删除四列，界面如下： 报表订阅用于管理内置分析报表和自定义报表模板，设置此报表生成后自动发送的邮箱地址，帮助管理员管理报表。5.7系统管理【系统管理】用于查看数据中心的系统状态、管理同步账号、登录数据中心的用户、系统参数设置、导入导出日志等。 可通过【磁盘空间】查看当前日志中心磁盘剩余空间以及已存储的日志量。第6章VPN配置6.1SangforVPN配置需求：总部和分支分别一台AC做出口，路由部署，需要实现vpn互联，分支能够正常访问总部业务。配置步骤如下：第一步：开通授权 第二步：总部配置1）先查看网络配置在【系统管理】---【网络配置】--【网口配置】，确定wan口地址。2）总部配置基本设置。在【vpn配置】---【基本设置】，填写出口的webagent地址。3）配置用户管理。在【vpn配置】--【用户管理】--【新增用户】给分支新建帐号和密码，类型选择【分支】。 点击“确定”，分支用户添加成功。 4）配置vpn内网接口，发布lan口的网段在【vpn配置】---【高级设置】--【vpn接口设置】，将lan1口默认的4个0的掩码改成和lan口真实的掩码一致。第三步：分支配置1）配置连接管理在导航菜单【vpn配置】---【连接管理】，添加总部给的账号密码。 点击“完成”，会提示重启vpn服务，再查看dlan运行状态的连接数即可。2）配置vpn内网接口发布lan口路由。在【vpn配置】---【高级设置】--【vpn接口设置】，将lan1口默认的4个0的掩码改成和lan口真实的掩码一致。测试效果：Vpn建立连接成功，两端内网pc可以正常互访。 注意事项：1、第一次打开【用户管理】模块的时候浏览器会提示会需要安装插件，安装好插件才会有【新增用户】的选项。2、如果事两台硬件设备做对接，新增用户的时候【类型】选择【分支】，如果是移动用户，则选择【移动】。3、如果内网有不同于设备lan口的网段需要通过vpn访问，则还需要配置本地子网掩码，路径在【vpn配置】---【本地子网掩码】以发布vpn路由。4、当总部wan口有多个公网地址的时候，webagent的填写格式是：IP1#IP2:4009;如果wan口是拨号的，则可以联系400申请webagent.6.2IPsecVPN配置需求：总部或者分支有一台AC设备，分支/总部有其他厂商vpn设备，想通过ipsecvpn建立连接实现资源共享，配置步骤如下：拓扑：AC设备路由部署在出口通过公网能正常与思科设备连接 前提：开通授权第一步：AC设备【第三方对接】第一阶段配置 【说明】：该案例中两边都是固定公网IP，即选择主模式连接；任何一端是拨号或者动态域名，用野蛮模式；任何一端设备不是直连公网，是被出口设备nat出去的，采用野蛮模式两边vpn连接模式必须相同第二步：第二阶段入站策略配置 第三步：第二阶段出站策略配置 至此AC设备的配置已完毕，剩下的就是对端厂商的配置，各个厂商的配置略有不同，对端的配置按照他们厂商的要求配置即可Cisco案例配置如下：conft//进入特权模式配置cryptoisakmppolicy100//创建isakmp策略（第一阶段）hashmd5//hash算法encry3des//加密算法group2//DH群authpre-share//身份认证方式exit//退出isakmp策略配置cryptoisakmppeeraddress201.1.1.2//创建isakmp对端地址setmain-modepasswordsangfor//创建预共享密钥exit//退出cryptoipsectransform-setsangforesp-3desesp-md5-hmac//创建变换集及策略modetunnel//配置成隧道模式 exit//退出access-list100permitip192.168.30.00.0.0.255192.168.10.00.0.0.255access-list100permitip192.168.30.00.0.0.255192.168.20.00.0.0.255//创建ACL，类似我们的出入站策略，允许本端网段访问对端网段cryptomapsangfor100ipsec-isakmp//创建映射图setpeer220.10.10.10//配置对端地址setpfsgroup2//配置完美密钥向前保护（跟第一阶段一致）settransform-setsangfor//绑定变换集到映射图setsecurity-associationlifetimeseconds28800//设置第二阶段SA时间matchaddress100//匹配ACLexit//退出inte0/0//进入接口cryptomapsangfor//将映射图绑定到接口exit//退出第四步：野蛮模式配置说明 测试效果：注意事项：1.只支持ikev1版本，不支持ikev2，只支持隧道tunnel模式，不支持传输transform模式2.第二阶段里面这个PFS也是有group选项的，只不过我们的PFSgroup选择默认跟第一阶段的group选项保持一致，有的厂商是可以自由配置的，如果有配置的时候需要保持跟我们一致3.任何一端是拨号或者动态域名，用野蛮模式；任何一端设备不是直连公网，是被出口设备nat出去的，采用野蛮模式4.ACvpn支持标准ipsec协议的对接，不分对方是什么厂商5.第三方最重要的就是保持连接参数一致第7章技术支持用户支持邮箱：support@sangfor.com.cn技术支持热线电话：400-630-6430（手机、固话均可拨打）技术支持论坛：http://bbs.sangfor.com.cn公司网址：http://www.sangfor.com.cn