SANGFOR_AC(外置数据中心)

深信服AC防范泄密风险解决方案深信服科技有限公司2012年10月目录第1章应用背景 (1)第2章问题分析 (1)第3章防泄密解决办法 (1)3.1封堵泄密风险网络行为 (2)3.1.1URL智能过滤，只许看帖不准发帖， (2)3.2禁止HTTP上传/FTP传文件，IM传文件 (2)3.3禁止远程登录软件的使用 (2)3.4全面的应用行为审计 (3)3.4.1BBS发帖，webmail等正文附件的详细审计 (3)3.4.2邮件延迟审计 (3)3.4.3IM聊天内容得审计 (3)3.4.4免审计Key功能 (4)3.5 3.3安全防范 (5)3.5.1危险行为识别及管控 (5)3.5.2外发文件告警 (5)3.6快速便捷的日志检索功能 (5)第1章应用背景随着综合国力的增强和国际地位的提高，我国已成为各种情报窃密活动的重点目标，同时发达的互联网也为泄密窃密提供了方便的渠道和途径，泄密已经危害到了国家的安全，而另一方基于经济利益的泄密也十分泛滥，黑客通过网络获取他人银行账户里的钱财，组织机构、竞争对手的内部员工通过主动或是被动泄露的商业机密给组织带来了极大的损失，类似的案例屡见不鲜，各个机构都在极力想办法解决泄密的问题针对用户互联网访问行为的管控与审计，美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求；而中国于2006年3月1日实施《互联网安全保护技术措施规定》-简称公安部82号令的相关条款，也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志，包括登录和退出时间、账号、互联网地址或域名等信息，且行为日志至少保留六十天以上,做到有据可查。

第2章问题分析面对上述问题，以下几个问题是需要迫切需要解决的1．黑客通过木马等方式窃取机密信息，上至国家机密，下至商业机密，银行账户信息等2．内网用户通过webmail、、BLOG、BBS发帖等方式人为的泄露商业机密的行为3．内网用户通过mail人为泄密的行为4．内网用户通过QQ/MSN等IM工具或是FTP的方式的泄密行为5．外网用户通过telnet、netmeeting等远程登录的方式导致的内网信息泄密行为第3章防泄密解决办法通过上面的分析我们得知内网目前存在的各种各样的问题会导致的泄密风险？那么我们如何来解决这些问题，任何的上网行为的管理和控制策略都必须要基于用户或是用户组来施行，只有很好的对人员进行认证和区分才能很好的保障上网行为管理策略的成功实施，另一方面，我们需要对应用进行细致全面的识别，只有合理的识别应用类型，进行细致的归类和区分，才能保障我们的上网行为管理的效果，并对相应的应用行为进行细致全面的审计，对泄密的行为做到有效地阻止，对相关的泄密行为进行细致的行为记录，以便在后期有据可查。

SANGFOR DC用户手册2010年08月目录声明 ................................................................................................................................................. i v 前言 .. (v)手册内容 (v)本书约定 (v)图形界面格式约定 (v)各类标志 (v)技术支持 ................................................................................................................................. v i 致谢 ......................................................................................................................................... v i 第1章数据中心的安装 . (2)1.1. 服务器硬件要求 (2)1.2. 服务器软件要求 (2)1.3. 数据中心工作过程 (2)1.4. 数据中心安装过程 (4)第2章数据中心配置端 (9)2.1. 数据库配置 (10)2.2. 数据同步帐号 (12)2.3. 同步器状态查看 (15)2.4. 日志查看 (16)2.5. 工具栏菜单 (17)2.6. 数据中心同步 (20)第3章数据中心日志查看 (22)3.1. 登录WEBUI日志查看器 (22)3.2. 首页 (23)3.3. 历史报表 (23)3.4. 自定义报表 (26)3.4.1. 自定义报表向导 (27)3.4.2. 报表模板 (44)3.5. 风险行为智能报表 (47)3.5.1. 智能报表向导 (47)3.5.2. 智能报表模板 (51)3.6. 对比报表 (52)3.6.1. 汇总对比 (53)3.6.2. 指定对比 (54)3.7. 统计 (60)3.7.1. 上网流量统计 (60)3.7.2. 上网行为统计 (73)3.7.3. 上网关键字统计 (98)3.7.4. 病毒信息统计 (107)3.7.5. 上网时间统计 (112)3.7.6. 快速链接 (122)3.8. 日志查询 (125)3.8.1. 上网行为 (125)3.8.2. 上网流量 (148)3.8.3. 上网时长 (151)3.8.4. 访问指定网站的时长 (152)3.8.5. 网关杀毒日志 (154)3.8.6. 安全事件日志 (155)3.8.7. 准入系统日志 (157)3.8.8. 防火墙日志 (159)3.8.9. 控制台操作日志 (161)3.9. 趋势 (162)3.9.1. 流量趋势 (163)3.9.2. 行为趋势 (174)3.9.3. 快速链接 (182)3.10. 内容搜索 (185)3.10.1. 内容搜索管理 (187)3.10.2. 高级搜索 (192)3.10.3. 主题订阅 (193)3.10.4. 全部内容搜索 (197)3.10.5. 网页搜索 (199)3.10.6. 邮件搜索 (201)3.10.7. 关键字搜索 (203)3.10.8. WebMail/BBS搜索 (204)3.10.9. 聊天内容搜索 (206)3.11. 系统管理 (207)3.11.1. 日志库管理 (208)3.11.2. 用户管理 (210)3.11.3. 系统设置 (213)3.11.4. 配置导入导出 (215)声明Copyright ©2010 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权利。

内置数据中心KEY配置步骤
3、效果演示（对比dkey和nodkey用户登录数据中心查询效果）
dkey用户登录， 有no日d志ke查y用询户权登限录， 没有日志查询权限
外置数据中心KEY配置步骤
1、设备多功能序列号激活数据中心查询key功能，前面有介绍，这里不再重复。 2、建立外置数据中心管理员帐号，如下图
数据中心KEY
适用场景
客户对对日志安全性要求非 常高，只要拿到设备登录密 码，都可以登录数据中心查 询日志，而密码很容易泄漏。 我们推出数据中心key，只有 持有key的人才可以查询进行 日志查询。内置和外置数据 中心都可以使用KEY
内置数据中心KEY配置步骤
1、激活数据中心key
数据中心Key功能默认没有激活。所以测试实施前，请先确认设备是否激活了此功 能，如果没有请联系厂商处理。数据中心key通过多功能序列号激活，如下图所示
该图显示 的是正在 索引时的 状态信息
注意
1、索引没有100%完成时，建立不要通过内容搜索系统搜索日志，如果 搜索了日志，则会导致索引中断，半小时后才继续建立索引，导致整体索 引进度变慢。
2、当外置数据中心只有一天日志时，不能建立索引，所以测试实施请注 意，要从内置同步多天的日志到外置数据中心，才可以建立索引，使用内 容搜索生效。
内置数据中心KEY配置步骤
2、新建控制台用户
生成key前，先 下载key驱动
如图，新建控制台 用户dkey，先安装 key驱动。插入数据 中心查询key，输入 dkey密码。该用户 的“组织权限设置” 和“页面权限设置” 全选。
内置数据中心KEY配置步骤
2、新建控制台用户
生成key前，先 下载key驱动
内容搜索系统使用

测试指导书SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书深信服科技有限公司目录1 介绍 (3)1.1 文档目的 (3)2 需求背景 (3)3 实现方式 (3)4 测试环境 (3)4.1 测试条件 (3)5 测试过程 (3)6 测试效果 (12)7 注意事项 (12)1 介绍1.1 文档目的为了方便快速达到功能测试效果，减少现场测试出现问题机率。

2 需求背景客户自己的服务器上安装并使用了我司的外置日志中心，最早安装时，日志和附件可能都保存在C盘某路径下，后续日志增多，C盘存储不够，客户想将所有日志迁移到新的磁盘或新的外置服务器上使用，保证新旧日志不受影响。

3 实现方式1.通过重装DC程序实现快速迁移2.通过修改DC配置文件路径实现快速迁移4 测试环境4.1 测试条件一台安装了AC11.0外置日志中心的服务器，并有空闲可供迁移的磁盘。

5 测试过程方法1.保留日志重装外置日志中心程序（推荐）1.客户原来日志存放在C盘DClog下，现在由于C盘存储不够，想全部迁移到服务器上的D盘下面2. 直接选择卸载外置日志中心程序3.卸载的时候，选择保留数据4.卸载完成后，在之前的日志保存路径下可以看到保留下来的日志5.重装外置日志中心程序，重新选择新的存储路径6.将旧日志迁入到新的路径下即可将原C盘下的DClog下的所有文件夹迁移到新的D盘目录的DClog下即可。

1.停掉外置日志中心所有服务2.修改日志中心配置文件中的路径信息一共修改三个配置文件：第一个，/外置日志中心程序安装路径/mysql_path.ini第二个，/外置日志中心程序安装路径/dc/config/sys_config.js第三个，/外置日志中心程序安装路径/ldb/bin/mdb.ini3. 将旧日志迁移到新的路径下4.启动外置日志中心所有服务日志迁移后，旧的日志可以正常查询，新的日志可以正常同步查询。

如图，迁移后，旧日志可以正常查询，说明迁移成功。

AC&SG外置数据中心迁移与重装深信服科技有限公司2011年11月17日11、文档范围 (2)2、适用环境 (3)2.1 操作系统 (3)2.2 硬件配置 (3)3、数据中心重装 (4)3.1备份 (4)3.2 重装步骤 (7)3.3 异常处理方法 (8)4、数据中心迁移 (9)4.1 本机迁移 (9)4.2 完全迁移 (10)1、文档范围本文档仅适用于当前已发布的AC&SG版本，即AC&SG3.X版本，最新至3.3r4、3.4、3.5版本，1.9X，2.X版本适用。

考虑到目前设备发货版本均为3.X，本文仅以AC 3.3r3版本为案例描述相关步骤。

22、适用环境外置数据中心无论是迁移或者安装对于服务器的配置有相应的软硬件要求。

2.1 操作系统1、3.x版本数据中心支持2000 SERVER、2003 SERVER、2008 SERVER2、3.0之前版本的数据中心支持2000 SERVER、2003 SERVER3、数据中心目前不支持64位系统4、中文数据中心只支持安装在中文操作系统上，不支持安装在英文操作系统上；英文数据中心只支持安装在英文操作系统上，不支持安装在中文操作系统上。

备注：1、建议数据中心安装在2003 SERVER或2008 SERVER系统，特别是日志量较大的情况下。

2、对于3.X支持2008 SERVER版本，3.0版本有专门另外的安装包，因此3.0版本如果从2003 SERVER 迁移到2008 SERVER版本时需要在2008服务器上面安装支持2008的外置数据中心，再将数据导入。

3.3版本同一个安装包可以支持SERVER 2003 和2008，无需以上操作。

2.2 硬件配置1、硬件配置一般建议内存大于2G，CPU最好双核以上。

2、至少4GB以上硬盘空间，具体需求可根据客户一天日志量大小估算。

33、数据中心重装在某些情况下软件运行出现不稳定或者出现数据中心报错，比如无法启动服务等需要对外置数据中心进行重装。

深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能，有效管理用户上网 (3)4.2防DOS攻击功能，有效防御内外网的DOS攻击 (3)4.3IPS系统，保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能，保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。

回顾2004年以来，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球企业造成了巨大的损失。

据统计，仅2005年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

与此同时，越来越多的企业发现，安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。

据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。

比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。

不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。

此时，传统的防火墙已经显得无能为力。

例如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。

传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。

部署方式 网关模式 网桥模式 旁路模式 多路桥接
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构；海外有5个分支机构（香港、泰国、印度、新加波 品备件；
深圳总部设有60个座席的CTI中心，两路800电话提供7*24小时不间断服务；客户服务
对互联网应用的识别广泛度，正是考验各厂商技术实力的关键所在，不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库，帮助客户有效识别所有主流互联网应用； 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库，专业团队维护，支持自动更新。 允许管理者手工创建新URL分类； 通过网址关键字识别URL及其分类； 根据管理者提供的关键字、或网址等学习材料，网关实现未知网页的自动识别和分类； 对于SSL加密的网址，网关能够识别和过滤(无需通过封堵TCP 443端口实现）； 网关能够过滤搜索引擎输入的指定关键字； 网关能够过滤正文含有指定关键字的网页访问行为； 网关能够过滤含有指定关键字的网络发贴行为； 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为； 网关能够基于关键字过滤SSL加密的网络发贴行为； 允许用户浏览论坛、BBS上的帖子，但不允许发送网络帖子； 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置，并封堵； 对于通过HTTP/HTTPS端口传输非网页流量的行为，支持识别并过滤； 能够过滤通过HTTP下载、上传的文件类型，且允许用户通过白名单中网站下载任何文件； 能够过滤通过FTP下载、上传的文件类型，且允许用户通过白名单中网站下载任何文件； 包含24个大类，500多条应用识别规则，涵盖主流互联网应用，国内最大； 管理者可通过协议类型、IP、端口、域名、数据包特征字段等，自定义应用识别规则； 基于数据包应用层特征字段实现对应用的识别； 基于数据包与域名之间的关联实现应用的识别； 基于应用协议行为特征实现应用的识别； 当网关完成数据包的强特征识别后，后续数据包通过若特征识别技术即可完成识别，效率更好、速度 更快； 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别； 识别超过37种IM聊天软件； 识别超过10种IM传文件行为； 识别超过75种网络游戏软件； 识别常见的23种P2P应用，同时可识别加密P2P应用； 针对P2P软件种类多、版本杂、更新快的问题，网关通过对P2P软件行为的分析和统计，智能识别各 种P2P软件并封堵； 识别超过36种在线流媒体软件； 识别超过27种网络炒股软件； 识别超过18种远程登录和木马软件； 识别超过6种加密代理、翻墙软件； 识别超过16种网上银行访问行为； 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤； 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件，网关将主动 拦安截 装，Em并a在il客人户工端审软核件后，再配外置发使；用SSL加密的POP3和SMTP行为，网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件； 基于正文关键字过滤外发Webmail邮件行为； 允许用户登录webmail邮箱接收邮件，但不准外发； 即使通过SSL加密的webmail外发邮件，网关仍然能基于关键字过滤； 网关能过滤来自互联网的垃圾邮件；

4.4支持支持支持支持4.5（4.5RX）支持支持支持支持注：（1）4.3及以上版本的准入已支持监控QQ2011/2012/2013聊天内容，以及MSN2009/2011（带保护盾），（2）2.0（2.0RX）/2.1（2.1RX）/3.3RX/3.4/3.5/4.0-4.2请联系400打QQ监控补丁包，以监控QQ2011/（3）1.96（1.96RX）/3.0（3.0RX）/3.3请升级到更高版本并打QQ监控补丁包，或升级到4.3及以上版本（4）普通方式的MSN聊天内容明文传输，不需要启用准入。

（5）4.X版本监控QQ2013beta6版本请联系400打QQ监控补丁包。

（6）AC4.0开始支持web-msn明文聊天内容。

外置数据中心版本Win2003(32位)Win2008(32位)Win2008（64位）英文系统DC1.96x支持不支持不支持不支持DC2.0x支持不支持不支持不支持DC2.1支持不支持不支持不支持DC3.0x支持支持不支持不支持DC3.2支持支持不支持不支持支持支持不支持不支持支持支持不支持不支持支持支持不支持不支持支持支持不支持不支持支持支持支持不支持支持支持支持不支持支持支持支持不支持支持支持支持不支持支持支持支持不支持DC4.5X支持支持支持不支持DC4.6支持支持支持不支持安装数据中心注意事项：1、建议安装在windows 2003/2008 server服务器上。

2、DC4.0R1外置数据中心开始支持64位操作系统。

3、安装硬盘需要至少4GB的硬盘空间。

4、硬盘分区格式必须是NTFS格式。

5、数据库和操作系统不支持安装在不同的硬盘上。

MSN2011（保护盾）不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持支持支持不支持不支持不支持支持支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持支持支持不支持不支持不支持支持支持不支持不支持不支持支持支持不支持不支持不支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持虚拟机RAID 网络磁盘不支持支持不支持不支持支持不支持不支持支持不支持不支持支持不支持不支持支持不支持QQ2013QQ2013（beta1-beta5）QQ2013（beta6） MSN2009（保护盾）009/2011（带保护盾），SKYPE的聊天内容。

索引的作用类似目录，它能将关键字和日志所在的表记
录下来，这样能方便用户进行快速查询，每个网关只能对应一
个索引。
打开内容搜索主页
点击【内容搜索】 点击【内容搜索】
所能搜索的内容
外置数据中心的安装及使用
4、外置数据中心的使用
4.4 内容搜索索引的建立-内容搜索管理(启用系统)
启用搜索系统
配置完后点击 【保存配置】
外置数据中心的安装及使用
4、外置数据中心的使用
4.1 行为日志查询-WebBBS发帖查询
查询结果
点击【WebBBS发帖查询】
举例设定条件：查询 192.200.90.100~110这段 IP在2010年7月28日当天， 全天的BBS发帖纪录
查看【详细】信息
外置数据中心的安装及使用
4、外置数据中心的使用
4.3 自定义报表及查询-报表查看
点击历史报表
如下是刚才生成的 两个报表，点击其
中一如个图进，行可查对看 （以汇报总表报执表行为打例）
印、导出为 PDF及以邮 件形式发送 至管理员邮 箱的操作
以上报表图并不 完整，作为示例
外置数据中心的安装及使用
4、外置数据中心的使用
4.4 内容搜索索引的建立- 介绍
默认用 户名密 码均为 admin( a小写）
外置数据中心的安装及使用
4、外置数据中心的使用
4.1 行为日志查询-上网行为查询
查询结果
点击上网行为查询
点
可设定各种查询条
击
件进行明细查询
加
举例设定条件：查询
号
展开后如图
192.200.0.100~110这段 IP在2010年7月28日到30
展开后如图配置相应查询项后

上网行为管理双机热备解决方案深信服科技有限公司20XX年XX月XX日目录第1章需求分析 (1)第2章上网行为管理双机热备解决方案 (1)第3章上网行为管理双机热备解决方案的价值 (4)第4章客户案例 (5)第1章需求分析互联网承载着公司和企业的全部业务和对外平台，越来越多的客户为了保障业务系统全天候无故障进行，都会对网络的重要设备采取双机热备的方式，去掉网络中的单点故障，确保网络的稳定。

上网行为管理产品从授权、访问控制、流量管理和上网记录四个方面对内网员工的上网行为进行全面的管理。

在客户大的网络环境下，上网行为管理作为安全设备部署对于贵公司大的环境形成了网路线路的单点。

当单点出现故障又不能切换到可靠状态的时候，对贵公司内部的业务系统会有一定的影响，特别是对实时性要求很高的对外开放服务器，和通过VPN 介入的内网用户访问公司内部业务系统，产生延误和搁置，会让企业损失不少业务和经费。

因此，我们推荐您采用上网行为管理双机热备解决方案，让你在对公司员工进行上网行为管理的同时，保障网络的稳定，不形成不必要的单点故障。

第2章上网行为管理双机热备解决方案根据网络稳定性需求，在您的网络中部署深信服上网行为管理设备，通过对网络流量的识别分析，制定访问控制和流量策略，来规范员工在上班时间的上网行为。

分三种情形：（网关模式）由于内网人数不是很多，在网关处部署深信服上网行为管理，做NA T转换，开启防火墙功能，防御外网的攻击。

上网行为管理设备作为内外网隔离的中间设备，在整个网络环境中有着把门关的重要作用，当设备出现异常瘫痪时，必须马上有其他设备进行接管，否则内网用户上不了网，外网不能访问内网的服务器，会对公司的业务造成中断或者不稳定的影响。

如上图所示，在上网行为管理设备旁边部署另一台上网行为管理设备，两台做相同的配置，当主机工作时，另一台设备处于热备状态，在一定时间内通过心跳线新发送数据包，探测主机的工作状态，若出现主机异常，备机立刻接管主机的工作，成为主机。

使用一根交叉线连接设备和电脑，如果连接电脑和设备的eth0口，电脑配置一 个10.251.251.0网段的IP地址（10.251.251.251除外），确保电脑和设备eth0口 IP在同网段后，在电脑的浏览器中输入 登录设备的网关控制台，控制台默认 的账号密码为Admin/Admin
如果交叉线连接设备的eth1口，请配置电脑IP为和eth1口IP同网段的IP，并使 用eth1口IP地址登录网关控制台。 一般情况下，eth0和eth1口是登录设备的常用接口。
1、带宽滥用，上网速度慢（P2P流量超过一半，访问网页，ERP等无法顺利进行，带宽无 法有效的分配和利用）
2、工作效率下降（上班时间网络聊天、炒股、网游、看新闻等行为泛滥） 3、机密信息被泄露，信息安全遭威胁（上网授权缺失，用户肆意上网，为通过网络泄密提
供了通道，泄密后无据可查，责任难追究) 4、违法网络行为为企业带来法律风险（肆意浏览色情、反动网站，无具体日志记录，无法
行为管理：应用授权
实现权限与职责的匹配，防止越权访问与泄密风险 管控与业务无关的上网行为，提升员工工作效率 过滤不良信息，防止法律风险
上网权限管理
上网策略对象化
树形的组织结构
灵活的权限管控
“策略”与“用 户、用户组”灵 活关联
分级的网络管 理员，制定分 级的上网策略
与组织的行政 架构保持一致
控制维度： 用户/应用/内容 /时间
基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件，提交人工审核
管理SSL 2
加密邮件
过滤/审计Foxmail等外发的加密邮件（使用SSL加密邮箱） 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
过滤垃圾邮件，避免病毒、木马、钓鱼等威胁 拦截外发垃圾邮件，避免被运营商追查和邮件骚扰

SQL Server安装指南（2）
（3）操作系统：Windows 2000 Server 或Windows 2003 Server 数据库：SQL Server 2000 企业版 强烈建议使用（3)中的操作系统和数据库组合。由于个人版和开发 版数据库性能存在问题，不适合大规模的商业应用。当数据量比较 大的时候会导致数据库响应缓慢而导致ODBC超时。 3.安装SQL server时验证方式必须配置成使用sa验证，不能使用windows 集成验证方式。
4.客户机能访问到数据中心Web服务器的Web服务端口（缺省 是80，如修改过请使用改过的端口）
数据中心典型部署（1）
I nt er net
200. 200. 0. 200
AC，数据中心和SQL服务器在同 一个内网。且数据中心和SQL在 同一台机器上。只要保证AC跟 数据中心能通讯就行 查询的客户机只要能访问到 数据中心的Web服务器就行。 可以是在内网的PC也可以是 在公网上通过端口映射或 VPN接入内网来访问
修改登录配置 端的密码
自动删除几天 前的日志 修改Web Server端口
数据中心安装指南（5）
只有一种类型 可选：MSSQL
填数据库服务 器的IP 数据库的用户名密码 该用户要有建库的权限， 最好是超级用户sa 数据库的服务端口
设置完了点击应用以重 启服务 保存附件的目录 ，包括记录下的邮件， http的上传和ftp的上传下载以及IPS记 录的数据包。不要用中文目录。
SQ L 数数数 192. 200. 200. 4
AC和数据中心不在同一网段且 数据中心和数据库不在同个网 段上。与典型部署（3）类似， 还要注意数据中心能把数据插 入到SQL服务器里（还是注意 路由）。

【AC/SG】数据中心Key使用介绍
一、外观AC/SG数据中心Key的外壳颜色是咖啡色的。

见下图：
图片:图片1.png
二、功能
启用数据中心key后，只有使用key登陆的用户才能在数据中心进行日志的详细查询，提高了数据中心所存放日志的机密性，保证审计日志的安全。

有Key管理员：有日志中心全部权限，能查询到详细日志；
无Key管理员：只能查询报表，无具体日志查询权限；
三、使用步骤1、通过多功能序列号，激活AC/SG设备的“数据中心DKey查询”功能；见下图：
（请务必购买数据中心Key之后才激活该功能，否则激活后，无Key管理员将无法查询具体日志的）
图片:图片2.png
2、在AC/SG内置或外置数据中心，创建管理员用户，并生成数据中心Key；见下图
（外置数据中心Key是在外置数据中心的【系统管理】处建立管理员用户时生成。

）
图片:图片4.png
3、用数据中心Key，登录AC/SG的内置或外置数据中心，勾选“使用DKey登录”，并输入PIN码登录；见下图
图片:图片3.png
四、注意事项
1、内置数据中心和外置数据中心不能同时使用同一个Key进行登录；
2、VPN Key(蓝色)、认证Key(绿色)、免审计key(紫色)和数据中心Key(咖啡色)不能混用，即不能相互生成；
3、数据中心Key支持的浏览器有：IE6、IE7、IE8；
4、数据中心Key支持的操作系统有：Windows2000、Windows2003、Windows XP、Windows 7；。

“每周一案例”之一XXX市教育城域网解决方案一、整体解决方案二、互联网出口安全解决方案（AC+AF）AC上网行为管理：深信服AC产品放置于教育局互联网出口位置，主要负责对于师生上网行为的管理、审计、流控；同时AC也放置于XXX市各学校的网络出口，作网关使用。

教育局布放一台SC集中管理平台，对下属学区中小学的AC设备进行策略统一下发。

完善的网址、应用识别管控。

深信服AC具有全面的应用识别库与千万级的URL库，规范中小学学生在上课时段的上网行为，禁止上课时间进行QQ聊天、网络游戏等应用访问网络。

同时全时段拒绝其对反动、暴力等不良网站的访问，保护师生的身心成长。

性能稳定，多种认证方式。

帮助各学校IT管理员有效区分学校师生，实现用户与行为的一一对应，方便管理员实施上网行为管理解决方案。

可以防止带宽资源滥用。

通过细致带宽分配策略，减小P2P等不良应用所占用的带宽，保障教育城域网上的教学业务获得足够的带宽支持，提升师生上网速度和教育系统业务的使用顺畅。

可以完善记录上网轨迹满足法规要求。

深信服AC可以详尽记录XXX市中小学师生的上网记录，满足公安部82号令对网络行为记录的相关要求、规避可能的法规风险。

AF下一代应用防火墙：深信服NGAF产品放置于教育城域网的互联网出口的位置，代替传统防火墙实现教育内网的防护，保护了下属中小学校园内网中的终端电脑、教育教学数据中心的信息安全。

同时将教育局官网web服务器放置于NGAF的DMZ区，通过NGAF保护对外发布服务器的安全。

1.对校园内网的安全防护：全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威胁网站和应用，同时通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段，避免因为用户无意中的网络访问行为将病毒、木马引入终端，完善内容级安全防护：灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。

服务与支持-常见问题深信服--A C/S G/N A C/B MS G上网加速告警：系统压力过大通知驱动b y p a s s日志提示：上网加速告警21:19:38 w1:work_server.cpp:745 系统压力下降，通知驱动继续转发上网加速告警21:19:22 w1:work_server.cpp:724 系统压力过大，通知驱动bypass可能原因：设备的cpu（或者内存）使用率持续偏高，如cpu持续达到95%并且持续达到10S就会进入加速bypass。

相关问题：加速bypass不影响其它策略流控等，只是没有加速效果而已。

经常出现这种提示，比较大可能是设备性能不足，导致bypass，停用上网加速模块，就不会提醒bypass了占用带宽排行榜为空？【问题】网关运行状态里的流量图是空的，什么数据都是没有可能原因：·不同版本之间因为控制台控件问题导致无法显示流量。

可以通过在控制台手动下载控件重新安装解决·检查是否在高级配置--排除IP地址与域名中添加了内网网段·是否设备接线接反设备做网桥，丢包很多，跳过设备正常可能原因：·内网到设备线路有问题或者兼容性问题。

·设备到前置设备线路有问题或者兼容性问题。

排查方法：·ping设备是否丢包，如果丢包说明内网到设备有问题。

·使用升级客户端登录设备，ping设备前置的防火墙，如果丢包说明设备到前置设备有问题·查看一下升级工具中的查看网络配置，看各个网口是否有错误包之类的。

如果有，说明设置存在兼容性问题。

·在设备与前置设备之类洄上一个小交换机，看能否正常，如果正常确认是兼容性问题，可以通过升级客户端修改网口工作模式试试，或者直接使用交换机。

相关问题：如果是测试设备，购买新设备的时候，下单要注意把测试设备的SN码带小，让发货的时候，发一个与现在测试设备不同平台的设备，解决兼容性的问题。

如果邮件服务器在外网，客户端通过AC/SG收发邮件异常的话，需要进行以下 步骤的排查： 1. 检查邮件过滤功能是否有开启，如果有开启邮件过滤功能，检查是否有不恰 当的邮件过滤选项，可以关闭邮件过滤功能，看收发邮件功能是否恢复。 2. 如果关闭邮件过滤功能，客户端收发邮件正常，需要检查下AC/SG设备本身 是否可以上外网，AC/SG网桥模式部署，网桥IP必须正确配置能上外网的IP和 网关。 3. 如果AC/SG本身能上外网，只要开启邮件过滤，客户端收发邮件就不正常， 关闭邮件过滤又能恢复，需要检查下AC/SG设备的系统日志，看是否有程序异常 的日志。
5. 如果系统日志有其他告警或者错误日志，请联系400处理。
外置数据中心数据库连接 失败
外置数据连接数据库失败
连接数据库失败大多都是由于SangforMySql服务起不来（对应mysqld-nt.exe进
程），可以尝试手动启动该服务。需要注意的是，引起SangforMySql服务无法启 动的原因较多，下面总结常见的会引起SangforMySql服务无法启动的情况： 1. mysql安装时没有和操作系统安装在同一块硬盘上 目前要求mysql和操作系统安装在一块物理硬盘上，他们可以不在一个磁盘分区 。（但是支持RAID磁盘阵列）。 2. 服务器上已安装了其他数据库（比如SQL SEREVER） 建议服务器上不要安装其他数据库，以免冲突。 3. 服务器磁盘满了
SANGFOR AC&SG常见 问题排错指导
培训内容
所有用户上网断网 上网策略导致访问异常 内网收发邮件异常 查不到上网行为日志 外置数据中心同步失败 外置数据中心数据库连接失败 外置数据中心无法建立索引
培训目标 1.掌握所有用户断网情况下的问题排查思路 1.掌握由于上网策略不正确导致访问异常的排查方法 1. 掌握内网用户收发邮件异常情况下的排查方法 1. 掌握查不到上网行为日志的排查方法 1. 掌握外置数据中心同步失败的排查方法 1. 掌握外置数据中心数据库连接失败的排查方法 1.掌握数据中心无法建立 索引时的排查步骤

数据中心介绍
3、当内置数据中心日志量很大时，此时可能影响设备性能，建立使用外置数据中 心。内置数据中心和外置数据中心可以共存，但如果因日志量大而影响了设备性能 ，建立关闭内置数据中心，只使用外置数据中心。内置数据中心关闭方法如下：
数据中心介绍
外置数据中心由以下三部分组成： 1、数据中心主程序：用于数据同步 2、数据库程序：用于存储数据 3、 WEB服务：用于用户查询数据
自定义报表-网络概况与风险报表
外置数据中心使用
查看已生成的报表
下载已生成的报表，报表为pdf格式
外置数据中心使用
报表发送到管理员邮箱。周期性报表自动生成后，可以发送到管理员邮箱，通过查询邮件就可以了 解当前网络情况，如下图，需要先邮件服务器地址
设置邮箱的账号密码
外置数据中心使用
报表发送至管理员邮箱
空，点击登录
点击应用保存，这
时会重启Apache服
勾选需要同步的日志类型 务，点击确定即可
点击确定保存
配置完成 点击应用
外置数据中心安装
外置数据中心同步配置
进入【系统配置】->【数据中心配置】页面，点击【新增】进行外置数据中心同步配置
配置完成， 点提交
点击立即将数据同步 填写到安外装置外数置据数中据心中 心的服务器IP地址； 点击可测试与数据所中配置好的同步账号 心服务器的连通性和置定密 数 的码据页点置；中面击数以心访可据及软问以中安件端直心装时口接登外指。进录入界外面
生成报表时，选择“订阅此报 表”，并填写接收邮件地址
外置数据中心使用
查看日志库大小
可以查看到数据中心记录了哪些天的日志。同时可以按天选中需要删除的 日志库。
外置数据中心使用
查看磁盘空间使用情况