3.2、深信服上网行为管理与×××
3.2.1、控制台的使用

登录WebUI配置界面

SG支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。初始登录URL为:https://10.11.0.12HTTPS登录WEBUI管理SG可以防止配置过程在传输过程中被截获而产生的安全隐患。

按照前面所示方法接好线后,通过WEB界面来配置SINFOR SG硬件网关设备。方法如下:

首先为本机器配置一个10.251.251.X网段的IP(如配置10.251.251.100),然后在IE浏览器中输入网关的默认登陆IP及端口https://10.251.251.251。出现一个如下图的安全提示:

某某集团信息化建设项目(四)_target

点击是后出现以下的登录界面:

某某集团信息化建设项目(四)_h5_02

此时浏览器可能会弹出“安装ActiveX控件”的提示,请点击安装ActiveX控件。如无提示,可直接点击登陆界面下方的手动下载ActiveX控件,按照提示安装控件。

在登陆框输入『用户名』和『密码』,点击登录按钮即可登录SG网关进行配置,默认情况下的用户名和密码均为Admin。

登录后界面:

某某集团信息化建设项目(四)_blank_03

配置和使用

登录WebUI配置界面后,可以看到以下配置模块:包括『系统配置』、『对象设置』、『防火墙』、『上网行为管理』、『流量管理系统』、『上网加速』、『邮件延迟审计』、『上网行为审计』、『网关日志与策略故障排除』、『安全功能扩展』、『DHCP服务』、『使用帮助』等。

所有配置界面中如果有确定按钮,则配置完毕后,一定需要点击该按钮才能把设置保存到网关中,后面的文档不再赘述。当设置『内网接口』和『外网接口』配置时会引起网络中断,设备重启,需要重新登录。

所有配置界面右上角都有帮助按钮,可以点击查看当前配置项的简要帮助说明。

3.2.2、对象设置

『设置』包括『应用识别规则设置』、『智能识别规则设置』、『网络服务设置』、『IP组设置』、『时间计划设置』、『URL组设置』、『关键字组设置』、『文件类型组设置』、『准入规则设置』、『SSL证书库管理』几个部分。

应用识别规则设置

BT、Emule等下载软件会占用网络大量的带宽资源,QQ、MSN和炒股软件等即时通讯工具占用上班时间降低工作效率,目前很多公司都明文禁止使用这类软件,但是这些软件在设计的时候就加入了突破防火墙的设置,一般网络防火墙很难阻隔它们。

应用识别规则可以根据协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测流量,能够很好的检测P2P等流量内容。应用识别规则分为内置规则和自定义规则,内置规则不可修改,自定义规则可以增加、删除、修改等。应用识别规则按类型分类,检测出相应的类型流量,可以结合『上网行为管理』→『上网策略对象』→『上网权限』→『应用服务控制』、『流量管理系统』→『流量管理』来做策略。

SINFOR SG硬件网关采用了应用识别的方式可以有效的阻隔这些软件。每个软件与外部网络通讯时,它所发送的数据包都会有固定的特征值,SG硬件网关通过检测数据包中的特征值来识别是否需要阻隔。如果该数据包包含我们设定的特征值,那么它就不能够被发送或者接收,从而达到有效阻隔的目的。

某某集团信息化建设项目(四)_target_04

通过应用识别等手段来阻隔某些通讯,关键是分析出这些数据包的特征值,深信服公司会定期提供、更新常见P2P、IM等软件的特征值定义,用户也可以询问深信服技术支持申请应用识别规则包,手动导入,另外用户也可以自行分析数据包,定义自己的『应用识别规则设置』。点击新增按钮,出现【应用识别规则设置】对话框,如下图所示:

某某集团信息化建设项目(四)_blank_05

根据分析数据包的结果,设定里面的『匹配内容』特征码即可。

『应用识别规则设置』支持『导入』、『导出』规则。选中要导出的规则,在设置界面点击导出按钮,填写要导出的文件名,点击确定即可(内置规则不允许导出)。

如要导入,在设置界面点击浏览选择并打开需要导入的规则(*.ccf为后缀的规则文件),点击导入即可。

『规则搜索』应用于查找具体规则,在查找对话框内属于规则名称的关键字即可。

『规则优先』可以切换自定义规则和内置应用识别规则的优先顺序点击更改即可切换,当前优先规则将以红色字体显示。

智能识别规则设置

『智能识别规则设置』一般应用于智能识别明文或密文等形式P2P应用,根据skype行为智能识别加密skype数据,SSL网站证书的识别,SINFOR ×××数据的识别,代理工具数据识别,VOIP以及IM视频语音的数据识别。配置界面如下图所示:

某某集团信息化建设项目(四)_blank_06

网络服务设置

『网络服务设置』一般是和『防火墙』→『防火墙规则』和『上网行为管理』→『上网策略对象』→『上网权限』→『网络服务控制』配合使用的。

先在『网络服务设置』模块中定义防火墙的各种服务,包括服务所使用的端口和协议,然后在『防火墙』→『防火墙规则』中根据已定义了的服务来确定防火墙过滤规则或在『上网行为管理』→『上网策略对象』→『上网权限』→『应用服务控制』中根据已定义了的服务来确定上网权限。

界面如下图所示:

某某集团信息化建设项目(四)_blank_07

点击新增按钮,弹出新增服务对话框如下所示:

某某集团信息化建设项目(四)_h5_08

『服务名称』可填写便于理解记忆的文字,建议使用便于标识的文字。

点击『TCP』、『UDP』、『ICMP』、『其他』则选所定义服务用到的协议,支持TCP、UDP、ICMP或其它协议的定义。

选择好协议之后,勾选『添加端口』,出现如下界面填入『单个端口』,或者『端口范围』:

某某集团信息化建设项目(四)_h5_09

IP组设置

『IP组设置』用于定义一个包含某些IP地址的IP地址组,这个IP组可以是内网的IP段,也可以是公网的某些IP范围,或者全部IP。

『IP组设置』一般和『防火墙』→『防火墙规则』来配合使用,用于设定『防火墙规则』中的源IP,目的IP等。或者配合『上网行为管理』→『组织结构』→『用户属性』→『绑定IP或者MAC』→『绑定IP』→『从IP组获取』来定义内网用户。也可用于『上网行为管理』→『上网策略对象』→『上网权限』→『网络服务控制』中定义目标IP。

某某集团信息化建设项目(四)_blank_10

点击下面的新增按钮,出现以下【IP组设置】对话框:

某某集团信息化建设项目(四)_blank_11

『IP组名称』和『IP组描述』可填写自己便于理解的文字。

时间计划设置

『时间计划设置』用于定义常用的时间段组合,然后在『防火墙』→『防火墙规则』及『上网行为管理』→『上网策略对象』、『流量管理系统』→『流量管理』等设置时,可以选择设置好的时间段定义,以设定这些规则生效或失效的时间。

某某集团信息化建设项目(四)_blank_12

URL组设置

URL组设置分为『URL库』和『智能识别』,为『上网行为管理』→『上网策略对象』→『网页过滤』→『URL过滤』和『流量管理系统』→『流量管理』→『带宽分配』的规则中设置URL的访问权限和流量控制,实现URL过滤和流量管理。

某某集团信息化建设项目(四)_h5_13

SG产品出厂时内置了大量的分类URL组。『当前URL库日期』为设备最后自动更新URL库的时间。

如果由于设备不能上网导致URL库不能自动更新,也可手动更新URL库,点击浏览选择URL库文件,点击上传导入即可。

『当前智能URL库日期』为设备最后自动更新智能URL库的时间。

如果由于设备不能上网导致智能URL库不能自动更新,也可手动更新智能URL库,点击浏览选择URL库文件,点击上传导入即可。

在『URL查询』里输入一个域名可用于查询这个URL是否属于内置的某个组里,在URL查询输入www.sina.com,点击查询,显示如下页面:

某某集团信息化建设项目(四)_blank_14

智能识别

由于互联网具有较快的更新速度,非常广泛的覆盖范围以及异常丰富的内容,所以只靠传统的URL库分类来对用户所浏览的网页进行审计或过滤显然是不全面的。SINFOR SG产品的URL智能识别功能可以提供智能的网页分类功能,让URL库分类覆盖面更广、覆盖内容更丰富,从而使URL的审计和控制更为全面和准确。

URL智能识别设置界面如下:

某某集团信息化建设项目(四)_target_15

『启用智能识别』,启用和禁用用于控制是否开启URL的智能识别功能。『识别灵敏度』用于设置智能识别的灵敏度,默认的识别灵敏度为『中』,可以自行调整识别灵敏度阀值为『高』、『中』或者『低』,选中对应的单选框后点击设置使改动生效。

全选、反选用于快速选中URL组,启用、禁用可以启用或者禁用所选中的URL的智能识别功能。

选中某URL组点击支持过滤,表示利用网页智能识别功能匹配到的URL分类支持在『上网行为管理\上网策略对象\上网权限\URL过滤』中做过滤控制。支持统计表示选中的URL组利用网页智能识别功能匹配到的URL分类在『上网行为管理\上网策略对象\上网权限\URL过滤』中只做审计,不做过滤控制。

3.2.3、防火墙配置

『防火墙』设置包括『防火墙规则』、『NAT规则设置』、『防DOS攻击』、『ARP欺骗防护』四个部分。如下图:

某某集团信息化建设项目(四)_blank_16

防火墙规则

『防火墙规则』是防火墙中对数据包访问进行具体设置的地方,SG硬件网关提供『LAN<->DMZ』、『DMZ<->WAN』、『WAN<->LAN』、『LAN<->LAN』、『DMZ<->DMZ』、『×××<->WAN』以及『×××<->LAN』之间的互访过滤规则设置。

LAN <-> DMZ

此界面用于设置LAN口与DMZ口之间互访的规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。

例如我们想要使LAN与DMZ口之间完全互通并且能够使用PING命令进行测试,那么我们就要在两个方向上开放所有的TCP、UDP以及ICMP访问规则。出厂时缺省内置了『LAN->DMZ』方向上放行所有的TCP,UDP,ICMP,但是规则是没有启用的,规则状态为禁用,如下图所示:

某某集团信息化建设项目(四)_target_17

如要启用规则,点击编辑,『启用规则』选择[启用]即可。

如果点击新增,出现如下界面:

某某集团信息化建设项目(四)_h5_18

备注:防火墙遵循从上向下匹配的原则,如果一个规则匹配了,就不会再向下匹配了,所以请注意规则的先后顺序。可通过『规则序号』来定义规则的先后顺序。另外,防火墙规则最后隐含一条拒绝所有。如果加入的规则都不匹配,数据包最后会被丢弃。

DMZ <-> WAN

此界面用于设置WAN口与DMZ口之间互访的规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参见0『LAN <-> DMZ』设置

WAN <-> LAN

此界面用于设置LAN口对外网访问时的规则,也用于设置内网对外网提供访问的规则。在缺省状态下,LAN口对外网的访问不受任何限制,而从WAN口访问内网是不允许的,如果要让外网的IP访问局域网内的某个IP则要开通相应的的过滤规则。

××× <-> WAN

『×××<->WAN』用于设置×××接口与WAN接口之间双向数据传输的防火墙过滤规则。如果×××客户端连入总部端后通过总部上网,则在总部端可通过设置×××<->WAN的过滤规则实现对分支上网数据的控制

××× <-> LAN

此界面用于设置×××接口与LAN接口之间数据传输的防火墙过滤规则,默认规则已放行了双向的所有TCP、UDP、ICMP数据

LAN <-> LAN

此界面用于设置LAN1口(原来的LAN口)与LAN2口(由闲置的WAN2切换成的)之间互访的规则或LAN口上绑定的几个不同网段的IP间的互访规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参见0『LAN <-> DMZ』设置。

DMZ <-> DMZ

此界面用于设置DMZ1口(原来的DMZ口)与DMZ2口(由闲置的WAN2切换成的)之间互访的规则或DMZ口上绑定的几个不同网段的IP间的互访规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。 配置方法请参见0『LAN <-> DMZ』设置。

端口映射设置

如果局域网内有服务器需要向Internet提供服务,那么就需要在网关上进行『端口映射设置』。SINFOR SG硬件网关也提供了这样的功能。设置界面如下:

某某集团信息化建设项目(四)_target_19

例如,现在内网有一台IP为10.251.251.61的电脑要对外网提供WEB服务,所使用的端口为80,那么我们的步骤为:

在『端口映射设置』中新增一条映射规则。『规则名称』可随便填写,便于标识。

『外网接口』指输入的网口。『协议转换条件』可选择『所有协议』,或『指定协议类型』为TCP,『源端口』为0(代表所有端口),『目标端口』:从80到80。『转换目标IP地址为』『指定IP地址』:10.251.251.61,『转换目标端口为』:从80到80。

3.2.4、上网加速配置

在现实的办公网络中,一个企业所拥有的互联网线路带宽通常是有限的,在有限的线路上,带宽的使用可能存在浪费,例如内网可能有成千上万的客户段去访问某知名网站,导致相同的数据传输了成千上万次。而深信服SG上网优化管理产品的上网加速功能可以在内网用户第一次访问某网站之后,对初期的数据做缓存,当内网其他人访问相同的外网资源时,直接从缓存中发送数据给请求者,因此无需再次从互联网上请求该资源。

『上网加速』包括『加速状态报告』和『加速配置选项』两部分。通过缓存对HTTP应用进行加速,提高网页访问速度。如图:

某某集团信息化建设项目(四)_h5_20

加速状态报告

『加速状态报告』主要呈现上网加速的加速缓存状态和加速结果,包括『系统状态』和『加速效果』两部分。如图:

某某集团信息化建设项目(四)_target_21

系统状态

系统状态页面用于显示上网加速的『磁盘使用情况』、『会话数』、『内存使用情况』、『缓存对象数量』。如图:

某某集团信息化建设项目(四)_blank_22

『磁盘使用情况』显示加速已占用的磁盘空间大小以及加速可以占用的最大磁盘空间大小,『会话数』显示第5分钟时间点的会话数,『内存使用情况』则显示加速已占用的内存空间大小以及加速可以占用的最大内存空间大小,『缓存对象数量』用于显示已经被缓存的内存对象和磁盘对象总数。

加速效果

『加速效果』分为『加速效果』和『缓存命中』两部分内容

『加速效果』分为[流速]和[流量]两种显示方式,可以分别统计[一天]、[一周]、[一月]的流量或流速。

[流量]统计经过上网加速模块的外网流量和节省流量。其中外网流量是指经过SG设备后到达外网服务器的流量。[节省流量]则是用户访问外网服务器时,命中了SG设备的缓存、由SG设备直接应答的流量。这部分流量体现了SG的节省外网带宽、加速应用的特点。

[流速]显示方式为直角坐标图,以时间为横坐标,带宽为纵坐标,显示了经过上网加速模块的流速。

流速分为[内网带宽]和[外网带宽]。[内网带宽]是指内网用户请求网页时由SG设备直接响应用户请求的带宽,这一部分数据并没有到达公网、不占用公网线路带宽; [外网带宽]则是指SG设备将用户访问网页的请求转发给外网服务器以及外网服务器响应所占用的带宽,如图:

某某集团信息化建设项目(四)_h5_23

缓存命中

『缓存命中』处理情况图为[柱图]和[饼图],命中方式分为[对象命中]和[字节命中],请求命中是指命中缓存对象的比例或次数,字节命中则以流量的角度给出命中缓存对象的比例或流量。如以下对比图:

某某集团信息化建设项目(四)_h5_24

某某集团信息化建设项目(四)_target_25

[内存命中]指内网用户的上网请求被SG设备的内存缓存命中并加速的数据;[磁盘命中] 指内网用户的上网请求被SG设备的磁盘缓存命中并加速的数据;[即时请求]则指用户第一次访问的请求,或者缓存没有命中的请求;[不可缓存]指被访问的服务器声明不可写缓存,或者客户端浏览器声明不要读缓存的请求,以及系统配置里面规定不缓存大于__KB的缓存对象。

加速配置选项

『加速配置选项』分为『系统配置』和『参数配置』。如图:

某某集团信息化建设项目(四)_blank_26

参数配置

『参数配置』是上网加速配置的主页面。分为『基本配置』和『高级配置』。如图:

某某集团信息化建设项目(四)_h5_27

基本配置

『基本配置』分为『缓存时间设置』和『其他设置』。如图:

某某集团信息化建设项目(四)_blank_28

勾选[最短更新时间__分钟]可以设置缓存更新最短时间,小于这个时间间隔的缓存对象即使过期了也不更新。

勾选[过期后继续缓存时间__天]可以设置缓存最大过期时间,大于这个时间间隔的过期缓存对象会被删除,节省磁盘空间和内存。

勾选[限制内存缓存小于__ MB]可以设置内存缓存最大值,系统会自动设置合适的值,一般不建议手动更改此值。

勾选[不缓存大于__KB的对象]可以设置写入缓存的单个文件最大值,过于大的文件容易消耗掉SG设备的磁盘使用空间。

填写[排除以下网站]可以指定特定的网站不做缓存,一般实时性要求很高的网站可不做缓存。

设置完后,点击确定保存当前配置,点击取消放弃当前配置。点击恢复默认配置则可以恢复加速模块的出厂配置。

高级配置

『高级配置』用于设置缓存有效时间、请求更新的方式和优先缓存的网站。如图:

某某集团信息化建设项目(四)_blank_29

勾选[默认有效时间为__分钟]可以设置默认的缓存更新时间。由于很多网站都没有给网页设置过期时间,默认不勾选的话,对于没有设置过期时间的网页是作为不可缓存进行处理,如果勾选的话,程序会自动给这些网页加上过期时间。

勾选[每次请求都检查更新]设置每次请求都检查更新,启用后可以确保每次获取的对象都是最新的,但会降低缓存命中率。

填写[优先缓存以下网站]可以优先缓存一些网站,可以是域名、IP地址或IP地址范围,内网用户访问以下列表的网站时,不管访问频率的高低,优先做缓存处理。

点击确定保存当前配置,点击取消可以放弃当前配置,点击恢复默认配置恢复默认的配置。

3.2.5、上网行为管理

『上网行为管理』包括『上网策略对象』、『认证选项设置』、『认证服务器设置』、『组织结构』、『用户导入』、『AD域同步』以及『在线用户管理』。设置界面如下图:

某某集团信息化建设项目(四)_blank_30

上网策略对象

『上网策略对象』主要是用于设置内网用户的上网策略,上网策略包括[上网权限]、[网页过滤]、[邮件过滤]、[SSL管理]、[应用审计]、[流量统计与上网计时]、[准入系统]、[危险行为识别]及[智能提醒]。此处设置的策略对象可以被多个用户或用户组同时引用,用于上网行为的控制和监控。设置界面如下图所示:

某某集团信息化建设项目(四)_blank_31

『上网策略对象列表』用于显示已经设置完成的策略对象。显示内容包括:『策略名称』、『描述』、『过期时间』、『状态』和『操作』。如下图:

某某集团信息化建设项目(四)_blank_32

重命名用于重新定义策略的名称,点击重命名,出现如下界面:

某某集团信息化建设项目(四)_h5_33

填入重新命名的名称,点击确定,保存配置。

新增上网策略对象

点击『上网策略对象』中的新增,进入策略编辑页面,如下图:

某某集团信息化建设项目(四)_target_34

『名称』和『描述』可填写便于理解记忆的文字,建议使用便于标识的文字。

『过期日期』定义策略过期时间或选择[永不过期]。

『状态』设置策略当前状态,选择[启用]。

通过选择[单条策略]或[多条策略]可在一次添加一条策略或多条策略之间进行切换。如选择[多条策略]可一次添加多条相同属性的策略,如下图:

某某集团信息化建设项目(四)_target_35

点击确定后会添加一条或多条策略。

编辑上网策略对象

通过点击『上网策略对象』中需要编辑的策略名称进入策略编辑页面。如下图:

某某集团信息化建设项目(四)_blank_36

在『当前编辑策略』中选择需要编辑的策略对象进行编辑。

『过期日期』可以设置[永不过期]或者设置[在指定日期之后过期],过期的策略将不再生效。

『状态』设置策略当前状态,状态可以为[启用]或者[禁用],被禁用的策略将不再生效。

『上网策略对象』设置分九个模块:[上网权限]、[网页过滤]、[邮件过滤]、[SSL管理]、[应用审计]、[流量统计与上网计时]、[准入系统]、[危险行为识别]和[智能提醒]。

认证选项设置

『认证选项设置』主要是用于设置SG硬件网关与用户认证相关的配置信息。设置界面如下图所示:

某某集团信息化建设项目(四)_target_37

3.2.6、组织结构

『组织结构』用于设置内网用户和用户组的结构,并且用于设置策略与用户和用户组的关联关系。配置界面如下:

某某集团信息化建设项目(四)_h5_38

设备默认自带的组为root组(根组),root组不能删除,组名不能修改,用户自建的组都是root组的子组。可以建立组与组之间属于和继承的关系,便于划分父组与子组,父组与用户之间的组织关系,更符合一个公司的组织结构管理。

『成员列表』用于列出直属于本组的子组和用户。

『上网策略列表』用于列出本组使用的上网策略。

『序号』列出属于本组的成员序号。

『类型』列出成员的类型,类型包括子组和用户。

『名称』列出成员的名称。[全选/反选]用于快速的选中要编辑的成员。

『所属组』列出成员所属组织结构的路径。

『上网策略』列出各成员使用的上网策略类型,类型分为[使用父组策略]和[使用自己策略],[使用父组策略]表示成员的上网策略完全继承父组的上网策略,本成员无法自己设置策略。[使用自己策略]表示本成员的上网策略在本成员的[上网策略列表]中自己设置。

『摘要』列出各成员的简要信息。

『描述』列出各成员的描述信息。