深信服科技 AC 2.0 用户手册.doc

AC 2.0 用户手册2009年10月目录声明vi前言vii手册内容vi本书约定viii图形界面格式约定viii各类标志viii技术支持ix致谢ix第1章 AC的安装101.1. 环境要求101.2. 电源101.3. 产品外观101.4. 配置与管理111.5. 单设备接线方式111.6. 双机备份接线方式13第2章 控制台的使用142.1. 登录WebUI配置界面142.2. 配置和使用15第3章 系统配置173.1. 网关运行状态173.2. 网关安全状态193.3. 序列号203.4. 网关模式配置203.4.1. 路由模式213.4.2. 网桥模式233.4.3. 旁路模式313.5. 网口配置353.6. 多机配置373.7. 系统日期和时间383.8. 控制台用户管理393.9. WEBUI配置433.10. 配置备份和恢复453.11. 重启操作453.12. 系统更新与维护463.13. 自动升级483.14. 路由配置503.14.1. 策略路由配置503.14.2. 系统路由配置523.15. 集中管理553.16. 证书生成563.17. 双机维护57第4章 对象设置614.1. 应用识别规则设置614.2. 智能识别规则设置644.3. 网络服务设置654.4. IP组设置674.5. 时间计划设置704.6. URL组设置724.6.1. URL库764.6.2. 智能识别764.7. 白名单设置874.8. 关键字组设置884.9. 文件类型组设置904.10. 准入规则设置914.11. SSL证书库管理101第5章 防火墙1025.1. 防火墙规则1025.1.1. LAN <-> DMZ1025.1.2. DMZ <-> WAN1045.1.3. WAN <-> LAN1055.1.4. VPN <-> WAN1065.1.5. VPN <-> LAN1075.1.6. LAN <-> LAN1095.1.7. DMZ <-> DMZ1105.2. NAT规则设置1115.2.1. 代理网段配置1125.2.2. 端口映射设置1145.3. 防DOS攻击1165.4. ARP欺骗防护119第6章 上网行为管理1216.1. 上网策略对象1216.1.1. 新增上网策略对象1246.1.2. 编辑上网策略对象1266.2. 认证选项设置1726.2.1. 新用户认证1726.2.2. 单点登录选项设置1756.2.3. 认证通过后页面跳转设置1916.2.4. 认证冲突设置1916.2.5. SNMP选项设置1926.2.6. 其它认证选项设置1936.3. 认证服务器设置1956.3.1. LDAP服务器1976.3.2. RADIUS服务器1976.3.3. POP3服务器1986.4. 组织结构1996.4.1. 查询2006.4.2. 新增子组2016.4.3. 编辑子组2036.4.4. 新增访问控制用户2096.4.5. 编辑访问控制用户2116.5. 用户导入2226.6. AD域用户同步2266.6.1. 按AD域组织结构同步2276.6.2. 按AD安全组同步2316.6.3. 查看同步报告2326.7. 在线用户管理234第7章 流量管理系统2367.1. 流量状态2367.1.1. 带宽通道2377.1.2. 排除策略2397.2. 流量管理2397.2.1. 带宽分配2417.3. 线路带宽配置2527.4. 虚拟线路配置252第8章 邮件延迟审计2578.1. 邮件审计策略2578.2. 已审计邮件2588.3. 未审计邮件259第9章 上网行为审计2609.1. 实时日志查看2609.1.1. 流量排名2609.1.2. 活动连接排名2679.1.3. 连接监控2699.1.4. 行为监控2699.2. 访问控制日志选项2709.3. 数据中心配置2719.4. 数据中心入口274第10章 网关日志与故障排除27610.1. 日志查看27610.2. 策略故障排除27910.3. 数据包抓取281第11章 高级配置28611.1. 告警方式设置28611.2. 代理服务器控制28711.3. 网页访问跟踪选项28811.4. 排除IP地址或域名29011.5. 页面定制291第12章 安全功能扩展29312.1. 网关杀毒29312.2. 垃圾邮件过滤29512.2.1. 过滤规则设置29512.2.2. 黑白名单设置29912.2.3. 邮件过滤选项30012.3. 入侵防御系统30212.3.1. 功能选项30212.3.2. 规则设置30412.4. VPN信息设置30612.4.1. DLAN运行状态30612.4.2. 基本设置30712.4.3. 用户管理30912.4.4. 连接管理31312.4.5. 虚拟IP池31612.4.6. 多线路设置31812.4.7. 多线路选路策略32112.4.8. 本地子网列表32512.4.9. 隧道间路由设置32612.4.10. 第三方对接32912.4.11. 通用设置33812.4.12. 高级设置34012.4.13. 证书生成347第13章 DHCP服务34913.1. DHCP运行状态34913.2. DHCP配置349第14章 使用帮助35214.1. 新手向导352附录：网关升级客户端的使用353产品升级步骤360第1章 对象设置设置包括应用识别规则设置、智能识别规则设置、网络服务设置、IP组设置、时间计划设置、URL组设置、关键字组设置、文件类型组设置、准入规则设置、SSL证书库管理几个部分。1.1. 应用识别规则设置BT、Emule等下载软件会占用网络大量的带宽资源，QQ、MSN和炒股软件等即时通讯工具占用上班时间降低工作效率，目前很多公司都明文禁止使用这类软件，但是这些软件在设计的时候就加入了突破防火墙的设置，一般网络防火墙很难阻隔它们。应用识别规则可以根据协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测流量，能够很好的检测P2P等流量内容。应用识别规则分为内置规则和自定义规则，内置规则不可修改，自定义规则可以增加、删除、修改等。应用识别规则按类型分类，检测出相应的类型流量，可以结合上网行为管理上网策略对象上网权限应用服务控制、流量管理系统流量管理来做策略。SINFOR AC硬件网关采用了应用识别的方式可以有效的阻隔这些软件。每个软件与外部网络通讯时，它所发送的数据包都会有固定的特征值，AC硬件网关通过检测数据包中的特征值来识别是否需要阻隔。如果该数据包包含我们设定的特征值，那么它就不能够被发送或者接收，从而达到有效阻隔的目的。通过应用识别等手段来阻隔某些通讯，关键是分析出这些数据包的特征值，深信服公司会定期提供、更新常见P2P、IM等软件的特征值定义，用户也可以询问深信服技术支持申请应用识别规则包，手动导入，另外用户也可以自行分析数据包，定义自己的应用识别规则设置。点击新增按钮，出现【应用识别规则设置】对话框，如下图所示：根据分析数据包的结果，设定里面的匹配内容特征码即可。应用识别规则设置支持导入、导出规则。选中要导出的规则，在设置界面点击导出按钮，填写要导出的文件名，点击确定即可（内置规则不允许导出）。如要导入，在设置界面点击浏览选择并打开需要导入的规则（*.ccf为后缀的规则文件），点击导入即可。规则搜索应用于查找具体规则，在查找对话框内属于规则名称的关键字即可。规则优先可以切换自定义规则和内置应用识别规则的优先顺序点击更改即可切换，当前优先规则将以红色字体显示。1由于BT或IM软件版本的不同或更新，可能会使个别应用识别规则对有些版本的软件失效。深信服科技会定时更新应用识别规则。如要保证AC能及时更新应用识别规则，请确保设备能正常上网。另外界面上当前内置规则库日期为规则库最后更新日期。2内置规则是不能修改和查看的，也不能导出的，只能修改其所在的规则类型。1.2. 智能识别规则设置智能识别规则设置一般应用于智能识别明文或密文等形式P2P应用，根据skype行为智能识别加密skype数据，SSL网站证书的识别，SINFOR VPN数据的识别，代理工具数据识别,VOIP以及IM视频语音的数据识别。配置界面如下图所示：1应用识别规则设置也包括P2P类应用的检测，但是只针对明文方式的P2P数据。如果智能识别规则设置P2PP2P行为禁用的话，那么明文方式的P2P数据仍然能被识别，加密等形式的P2P数据就会不识别。2Skype的数据是加密的，通过启用智能识别规则设置P2PSkype规则来识别skype，实现控制和记录。智能识别Skype行为的前提条件是智能识别规则设置P2PP2P行为这条规则要启用，再启用这条智能识别规则设置P2PSkype规则。3IM,VOIP等视频语音应用可以通过启用智能识别规则设置IM和智能识别规则设置VOIP来实现控制和记录1.3. 网络服务设置网络服务设置一般是和防火墙防火墙规则和上网行为管理上网策略对象上网权限网络服务控制配合使用的。先在网络服务设置模块中定义防火墙的各种服务，包括服务所使用的端口和协议，然后在防火墙防火墙规则中根据已定义了的服务来确定防火墙过滤规则或在上网行为管理上网策略对象上网权限应用服务控制中根据已定义了的服务来确定上网权限。界面如下图所示：点击新增按钮，弹出新增服务对话框如下所示：服务名称可填写便于理解记忆的文字，建议使用便于标识的文字。点击TCP、UDP、ICMP、其他则选所定义服务用到的协议，支持TCP、UDP、ICMP或其它协议的定义。选择好协议之后，勾选添加端口，出现如下界面填入单个端口，或者端口范围：其他中可填写协议号，协议号0代表所有的协议。1.4. IP组设置IP组设置用于定义一个包含某些IP地址的IP地址组，这个IP组可以是内网的IP段，也可以是公网的某些IP范围，或者全部IP。IP组设置一般和防火墙防火墙规则来配合使用，用于设定防火墙规则中的源IP，目的IP等。或者配合上网行为管理组织结构用户属性绑定IP或者MAC绑定IP从IP组获取来定义内网用户。也可用于上网行为管理上网策略对象上网权限网络服务控制中定义目标IP。点击下面的新增按钮，出现以下【IP组设置】对话框：IP组名称和IP组描述可填写自己便于理解的文字。点击添加按钮在下面填入起始地址和结束地址即可。点击自动解析，会出现如下界面，填入域名，点击自动解析，再点确定即可。自动解析功能是通过电脑进行解析，所以要求电脑能正常上网，并且能正常解析域名。1.5. 时间计划设置时间计划设置用于定义常用的时间段组合，然后在防火墙防火墙规则及上网行为管理上网策略对象、流量管理系统流量管理等设置时，可以选择设置好的时间段定义，以设定这些规则生效或失效的时间。点击新增按钮，出现对话框如下：名称和描述可以填写便于理解的文字，在时间坐标里选取相应的时间段组合，然后点击规则生效，则定义了该时间段使规则生效。点确定完成时间组的定义。1.6. URL组设置URL组设置分为URL库和智能识别，为上网行为管理上网策略对象网页过滤URL过滤和流量管理系统流量管理带宽分配的规则中设置URL的访问权限和流量控制，实现URL过滤和流量管理。AC产品出厂时内置了大量的分类URL组。当前URL库日期为设备最后自动更新URL库的时间。如果由于设备不能上网导致URL库不能自动更新，也可手动更新URL库，点击浏览选择URL库文件，点击上传导入即可。当前智能URL库日期为设备最后自动更新智能URL库的时间。如果由于设备不能上网导致智能URL库不能自动更新，也可手动更新智能URL库，点击浏览选择URL库文件，点击上传导入即可。在URL查询里输入一个域名可用于查询这个URL是否属于内置的某个组里，在URL查询输入，点击查询，显示如下页面：1.6.1. URL库传统的URL库除设备内置的URL库分类之外，也可以手动定义URL组，点击新增，可以很方便的定义一个URL组，每个URL占一行，见下图示例：URL组名称、URL组描述定义方便理解的名称和描述，在URL里添加需要设置的域名，一个URL组可以包含多个域名，域名支持通配符匹配，也可以定义域名关键字，根据URL中的关键字自动匹配URL组，定义完后点击确定保存。1.6.2. 智能识别由于互联网具有较快的更新速度，非常广泛的覆盖范围以及异常丰富的内容，所以只靠传统的URL库分类来对用户所浏览的网页进行审计或过滤显然是不全面的。SINFOR AC产品的URL智能识别功能可以提供智能的网页分类功能，让URL库分类覆盖面更广、覆盖内容更丰富，从而使URL的审计和控制更为全面和准确。URL智能识别设置界面如下：启用智能识别，启用和禁用用于控制是否开启URL的智能识别功能。识别灵敏度用于设置智能识别的灵敏度，默认的识别灵敏度为中，可以自行调整识别灵敏度阀值为高、中或者低，选中对应的单选框后点击设置使改动生效。全选、反选用于快速选中URL组，启用、禁用可以启用或者禁用所选中的URL的智能识别功能。选中某URL组点击支持过滤，表示利用网页智能识别功能匹配到的URL分类支持在上网行为管理上网策略对象上网权限URL过滤中做过滤控制。支持统计表示选中的URL组利用网页智能识别功能匹配到的URL分类在上网行为管理上网策略对象上网权限URL过滤中只做审计，不做过滤控制。点击新建类别可以自定义URL类别，设置界面如下：URL组名称、URL组描述用方便理解的文字表示。识别用途用于设置根据智能识别匹配到该URL组的URL是否支持在上网行为管理的对应设置中做URL的过滤，选择统计则只支持审计，不支持过滤。URL组状态可以设置URL组是否启用智能识别结果的URL自动归类，状态为禁用的URL组不支持智能识别的URL自动归类。识别结果适用于用于设置智能识别的结果是匹配整个域名还是只匹配完整目录。识别结果对整个域名有效，即只要当前URL和以前的识别记录在域名上相同，则认为他们的类别一致。识别结果只对完整目录有效，则只有当前URL和历史访问记录的URL的目录完全相同时，才认为它们的类别是一致的。对于已经存在的且有智能识别记录的URL组可以看到匹配过的词库词数和已训练的网页数辅助识别选项用于设置网页智能识别的辅助识别条件，点击则出现如下界面：关键词表，网页中包含关键词表中列出的关键字，则该网页会被智能识别成该URL类别。一行一个关键字，若一行设置多个关键字则多个关键字之间用逗号分隔，同一行的多个关键字是与的关系。关键词表下的匹配选项用于设置关键词表中关键字匹配的位置，可以选择仅在TITLE和META信息中或者是网页全文。排除的关键词表访问网页时，先进行关键词表匹配，如果没有匹配到，且该网页中含有排除的关键词表中的关键词，则该网页一定不属于该URL类别。排除的关键词表下的匹配选项用于设置排除的关键词表中关键字匹配的位置，可以选择仅在TITLE和META信息中或者是网页全文。设置完成后点击确定即可保存当前配置。URL智能识别的学习来源，除了上文中提到的辅助识别选项中的关键字匹配外，主要的学习手段是网页学习：点击网页学习，出现如下界面：URL组名称点击下拉框可以选择需要设置网页学习的URL组类别。在学习来源中指定用于网页学习的URL，一行一个URL地址，BM流控设备会以学习来源中填写的URL网页为样本，提取网页特征，若访问的其他URL网页和此样本网页特征匹配，则访问的URL网页会自动归类到该URL组。备注中可添加对该URL组的描述信息。URL的智能识别界面还提供其他的操作，如点击清除所有识别记录则清空了所有的历史识别记录。也可点击查询识别记录来查询历史识别记录，查询识别记录的界面如下：URL的种类用于选择需要查询的URL组类别，默认为全部类别，URL中的关键字可以指定域名中的关键字查询，为空则查询所有，点击查询则完成按指定条件查询的动作。序号显示URL对应的序号，URL显示了查询到的具体URL，识别结果则显示了URL智能识别匹配到的URL组类别，若识别结果的归类不满足需要，可以选中该URL并选择移动到类别，选择移动的目标类别后，点击移动，则将URL移动到传统URL库中。也可以利用全选、反选按钮来快速选中或取消选中多条URL。点击返回则返回到URL智能识别页面：序号显示URL组的序号，描述显示了对此URL的描述信息，类别标识了URL组的类别，一般有内置和自定义两种类别，识别用途表明URL智能识别的结果所支持的用途，一般有两种用途，过滤和统计，只有识别用途为过滤的才支持结合上网策略对象URL过滤做URL过滤。已识别数显示了对应URL库的历史识别条目，词库词数显示了URL包含的词库中关键词的数目，词库词数包括内置智能URL库的词数和手动网页学习学习到的条目。点击清空识别记录则清空了对应URL组的历史识别记录，点击词库回滚则可将指定URL组的词库回滚到上一次或上几次的状态，支持回滚到前三次状态，页面如下：点击回滚则将词库回滚到上一次更新前的状态。1内置URL智能识别库不可以进行网页学习，手动建立的识别库可以进行网页学习。2内置类别和自定义类别总共最多支持100个，自定义类别最多支持10个启用状态的类别，允许有多个禁用状态的类别。1.7. 白名单设置白名单设置用于定义域名白名单。白名单中的域名可在网页过滤选项中文件类型、插件过滤、脚本过滤中引用。点击新增 ，出现下图，名称、描述自定义，域名一个一行，支持添加IP地址。添加完确定即可。1.8. 关键字组设置关键字组用于设置关键字，并把关键字分组，这些关键字组可用于上网行为管理上网策略对象网页过滤关键字过滤中限制某些关键字的搜索和上传。点击新增，出现下图，一个关键字一行，添加完确定即可。1.9. 文件类型组设置对象设置文件类型组设置用于定义需要的文件类型，并可应用到上网行为管理上网策略对象网页过滤文件类型中，限制文件HTTP和FTP的上传和下载，也可用于流量管理系统流量管理带宽分配的规则中设置文件类型上传下载的流量控制。点击新增，出现下图，填入文件的扩展名，格式如下：同一个文件类型不能定义在不同的文件类型组中。1.10. 准入规则设置在这里设置用户上网必须满足的规则，如限制使用代理软件，跨三层的IP-MAC绑定和监控IM加密的聊天记录等，所创建的规则将应用于上网行为管理上网策略对象准入系统。若策略中启用了准入系统，则用户上网时必须满足相应规则才允许用户计算机连接互联网，用户首次上网需要安装准入控件。AC网关内置了多条准入规则，用户也可自定义准入规则。手动更新内置规则可以手动上传内置的规则文件，此文件需向深信服技术支持索要。规则导入是和规则列表下面的导出按钮相对应的，可以选中相应的准入规则导出，导出的文件是.conf格式的。规则导入就是把后缀为.conf的规则文件再导入设备。选中两个或者两个以上的规则，点击组合选中的规则，会出现如下界面：进行规则的组合，可以选择任一条成立或者所有条件成立，再进行相应的操作。规则名称用于给这个组合规则写个名称。关系用于选择任一条成立或者所有条件成立，就是对组合里规则进行与或关系的选择。操作用于选择符合关系中的条件时的动作，有禁止用户上网、不操作(仅提交报告)两个动作。规则类型用于选择该组合规则属于的类型，点确认添加即可添加组合规则成功。点击新增，出现如下界面：如果要同时新增规则类型，可以直接在规则类型的对话框内填上自定义的规则类型名称。规则类别有操作系统、进程、文件、注册表、任务计划、其他六项。操作系统：用于限制内网通过AC硬件网关上网的电脑的操作系统版本。例如公司内部上网的用户计算机系统都使用微软公司的Windows XP系统，为了避免内网用户由于未打Windows XP的SP2补丁而存在感染病毒的风险，现做如下设置：对所有通过AC网关上网的内网用户必须打SP2补丁，未打补丁的用户不允许连接互联网，配置界面如下图所示：具体设置如下：1新增准入规则，选择规则类别为：操作系统（若设置其他类别的规则，则选择相应的规则类别即可）2输入规则类型，可以选择下拉菜单里的规则类型，也可以直接在对话框内输入自己定义的规则类型名称。注意：输入的规则类型名称必须在95个字节以内（一个汉字占三个字节）。3输入规则名称。注意：输入的规则名称必须在95个字节以内（一个汉字占三个字节）。4选择操作系统版本。缺省是禁用的，先选中相应的版本，点击启用，那么这个版本信息的状态是启用的。5选择操作。这里可以选择是禁止用户上网或者不操作6点确定使规则生效。进程：用于控制通过AC硬件网关上网的电脑上的进程。新增一个进程的准入规则，我们选择规则类别为：进程，如图所示：在此输入规则类型、规则名称、规则描述、进程名、窗口名、程序路径，选择用户正在运行或用户没有运行此进程，选择进程的程序MD5以及文件大小，并对用户是否正在运行该进程选择相应的操作，如：禁止用户上网、停止进程、开启进程或不操作（仅提交报告）。点击确定，即完成规则添加。文件：用于对内网通过AC硬件网关上网的PC上文件的控制。如启用准入系统的情况下，可检测系统目录下是否存在特定的文件的时候。比如要判断系统目录是否存在某个dll文件，来确定用户机器是否安装了特定的软件。新增规则类别为文件的准入规则，如图所示：在此输入准入规则类型、规则名称、规则描述，选择此文件用户PC存在或用户PC不存在，在文件路径中填入该文件的路径，选择文件MD5、文件大小，选择并填入更新日期比当前日期滞后，再选择操作是禁止用户上网、删除文件或不操作（仅提交报告）。点击确定完成规则添加。如上图：检测通过AC上网的PC上裝的杀毒软件是否有及时升级。可以通过检查杀毒软件的病毒库的修改日期来判断杀毒软件是什么时间更新的。如果超过设置的滞后天数没有更新就判断为规则生效，并做相应的操作。1文件的路径支持文件路径转义。因为操作系统安装目录的不同，系统目录也不相同，因此，有必要实现宏目录的路径转义功能。比如%SystemRoot%就代表Windows的系统目录（以C盘为系统盘为例），一般为C:WINDOWS或者C:WINNT2在新增文件类型的准入规则时，文件路径可以直接输入可以转义的宏目录。目前支持的宏目录及其代表含义如下（不分大小写）：格式意义（以C盘为系统盘为例）%SystemDrive%C:%SystemRoot%C:WINNT%System%C:WINNTsystem32%Windir%C:WINNT%UserProfile%C:Documents and SettingsSINFOR%Temp%C:Documents and SettingsSINFORLocal SettingsTemp%Program%C:Program Files注册表：用于对通过AC上网的PC的操作系统注册表的检查，以此发现操作系统上安装的软件或安全问题。新增规则类别为注册表的准入规则，如图所示：任务计划：用于设置客户端定时运行某些自定义的脚本和程序（脚本和程序需要客户自己根据需求编写），并通过返回的值，对客户端上网进行管理。新增规则类别为任务计划的准入规则，如图所示：规则类型用于设置该规则属于的类型。规则名称、规则描述用于设置该规则的名称和描述信息。任务属性配置用于设置该任务脚本执行时间，可以选择准入启用时运行一次、周期运行。选择周期运行，可以设置周期执行时间，如上图。检查返回结果和不检查返回结果用来设置是否需要对任务脚本的执行结果进行检查，获取返回结果的超时用来设置超时时间，任务运行返回1操作、任务运行返回2操作用于对检查任务脚本后获取的不同返回结果进行相应的处理，操作动作可以选择只记录、提示、禁止用户上网、禁止用户上网并提示用户。目前可支持的脚本类型包括可执行程序、Jscript 、Vbscript ，任务路径用于填写任务脚本存放在客户端电脑上的详细路径。其它：用于实现跨三层交换机的IP-MAC绑定和限制客户机不以管理员身份登录客户机上网（避免中毒）。新增规则类别为其它的准入规则，如图所示：在此输入准入规则的规则类型、规则名称、规则描述等，在在客户端验证IP/MAC这个选项前打勾即可实现跨三层交换机的IP/MAC绑定。在为防止感染病毒，修改系统文件和注册表，禁止以Admin身份登录的机器上网这个选项前打勾就能实现禁止客户机以管理员身份登录PC上网。点击确定即完成规则添加。通过准入规则进行IP-MAC绑定主要是应用于PC和AC不在一个网段（跨过三层设备，MAC地址改变）的环境下。除应用准入规则外，还要在上网行为管理组织结构新增IPMAC认证用户里做好IP-MAC绑定的设置。（具体可参见第六面章节关于上网行为管理组织结构新增IPMAC认证用户的部分）1.11. SSL证书库管理可信任根证书列表和上网行为管理上网策略对象网页过滤SSL控制对应，如果启用SSL控制，那么SSL证书库的根证书都是受信任的。用户也可以导入或者删除这个证书库里的证书。添加可信任根证书只支持导入证书格式为crt或cer，证书只能从本地导入。检查证书异同是根据证书MD5值来判断的，如果MD5值不一样那么就判断为不同的证书，相同证书无法重复导入。证书主体的名称一般是IE里对应这个证书主题的CN名，如果该证书的主题里不存在CN名，则采用主题最后一个字段的名字（主题字段的排列顺序和IE有可能不一样）。第2章 防火墙防火墙设置包括防火墙规则、NAT规则设置、防DOS攻击、ARP欺骗防护四个部分。如下图：2.1. 防火墙规则防火墙规则是防火墙中对数据包访问进行具体设置的地方，AC硬件网关提供LAN<->DMZ、DMZ<->WAN、WAN<->LAN、LAN<->LAN、DMZ<->DMZ、VPN<->WAN以及VPN<->LAN之间的互访过滤规则设置。2.1.1. LAN <-> DMZ此界面用于设置LAN口与DMZ口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。例如我们想要使LAN与DMZ口之间完全互通并且能够使用PING命令进行测试，那么我们就要在两个方向上开放所有的TCP、UDP以及ICMP访问规则。出厂时缺省内置了LAN->DMZ方向上放行所有的TCP，UDP，ICMP，但是规则是没有启用的，规则状态为禁用，如下图所示：如要启用规则，点击编辑，启用规则选择启用即可。如果点击新增，出现如下界面：防火墙遵循从上向下匹配的原则，如果一个规则匹配了，就不会再向下匹配了，所以请注意规则的先后顺序。可通过规则序号来定义规则的先后顺序。另外，防火墙规则最后隐含一条拒绝所有。如果加入的规则都不匹配，数据包最后会被丢弃。2.1.2. DMZ <-> WAN此界面用于设置WAN口与DMZ口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。 配置方法请参照LAN<->DMZ 设置。缺省界面如下：2.1.3. WAN <-> LAN此界面用于设置LAN口对外网访问时的规则，也用于设置内网对外网提供访问的规则。在缺省状态下，LAN口对外网的访问不受任何限制，而从WAN口访问内网是不允许的，如果要让外网的IP访问局域网内的某个IP则要开通相应的的过滤规则。如下图所示为放行从外网访问内网80端口的例子，相当于开放WAN->LAN方向的80端口。上面的服务对象、源IP组、目的IP组和时间组都可以在前面章节对象设置中定义好，点击旁边的新增按钮，亦可建立相应对象设置，详细设置参见前面章节。由于最常用的是WAN<->LAN方向的设置，AC硬件网关默认内置了常用的规则，防火墙缺省定义了WAN<-LAN方向的三条缺省放行规则。2.1.4. VPN <-> WANVPN<->WAN用于设置VPN接口与WAN接口之间双向数据传输的防火墙过滤规则。如果VPN客户端连入总部端后通过总部上网，则在总部端可通过设置VPN<->WAN的过滤规则实现对分支上网数据的控制，界面如下：2.1.5. VPN <-> LAN此界面用于设置VPN接口与LAN接口之间数据传输的防火墙过滤规则，默认规则已放行了双向的所有TCP、UDP、ICMP数据，页面如下：例如：需要允许接入总部的VPN分支（172.16.1.0/24）的部分IP（172.16.1.100-172.16.1.200）访问总部内网服务器（192.168.1.20）的WEB服务但禁止访问SQL SERVER服务，首先新建WEB服务过滤规则，页面如下：其他如限制总部访问分支服务、限制分支通过总部上网的数据等需求都可以通过在相应接口之间设置过滤规则实现。2.1.6. LAN <-> LAN此界面用于设置LAN1口（原来的LAN口）与LAN2口（由闲置的WAN2切换成的）之间互访的规则或LAN口上绑定的几个不同网段的IP间的互访规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照LAN<->DMZ 设置。缺省界面如下：2.1.7. DMZ <-> DMZ此界面用于设置DMZ1口（原来的DMZ口）与DMZ2口（由闲置的WAN2切换成的）之间互访的规则或DMZ口上绑定的几个不同网段的IP间的互访规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。 配置方法请参照LAN<->DMZ设置。缺省界面如下：2.2. NAT规则设置NAT规则设置包括代理网段配置和端口映射设置两个部分。如下图：2.2.1. 代理网段配置例如：要建立一条代理局域网内所有人上网的规则，假设局域网IP地址为：192.168.1.0.0/255.255.255.0，那么我们步骤如下：点击新增，出现代理上网网段设置页面，为代理网段取一个规则名称，可随便填写，只做标识用。选择好外网接口，即输出网口或直接选择应用于所有WAN口，即输出到所有可用的外网接口。在代理网段可以选择代理所有IP地址或者代理指定网段，即要代理上网的网段，在这里我们填写子网网段：10.251.251.0，子网掩码：255.255.255.0。转换源IP地址为选择使用外网接口地址，选择使用如下地址可以指定一段IP范围（只在要指定到某段目的IP通过某条线路上网等特殊应用时才填写该项），一般选择使用外网接口地址代表外网接口上所有的公网IP，这样就代理了指定的内网网段所有的上网应用。如果勾选高级配置，则可以进行更细化的设置。目标IP地址转换条件一般选择所有目标IP地址，可以选择指定目标地址网段为指定IP段时才进行源地址转换。目标IP地址转换条件和代理网段可以复合使用，如果两者都有设置，那么要两者同时满足才会进行地址转换，如果只设置其一，就只要匹配相应条件即转换。协议转换条件选择所有协议，代表所有的协议，指定协议类型只在要指定到某些协议通过某条线路上网等特殊应用时才填写该项。最后点击确定，即可。配置界面如下图所示：请开放LAN->WAN的相关防火墙规则。2.2.2. 端口映射设置如果局域网内有服务器需要向Internet提供服务，那么就需要在网关上进行端口映射设置。SINFOR AC硬件网关也提供了这样的功能。设置界面如下：例如，现在内网有一台IP为10.251.251.61的电脑要对外网提供WEB服务，所使用的端口为80，那么我们的步骤为：在端口映射设置中新增一条映射规则。规则名称可随便填写，便于标识。外网接口指输入的网口。协议转换条件可选择所有协议，或指定协议类型为TCP，源端口为0（代表所有端口），目标端口：从80到80。转换目标IP地址为指定IP地址：10.251.251.61，转换目标端口为：从80到80。如果勾选高级配置，则可以进行更细化的设置。源IP地址转换条件一般是选所有IP地址，可以指定源IP为指定网段的IP地址才进行目标地址转换。目标IP地址转换条件一般是选择指