Deep Edge标准配置手册

DeepEdge标准配置手册一、登陆设备控制界面：1、使用笔记本与DeepEdge管理口直连，并配置笔记本IP地址与管理口在同一网段。DeepEdge的管理口默认为eth0口（板载电口靠左位置）。如下图所示：2、在计算机IE中输入(默认管理IP为192.168.252.1)可登陆DeepEdge的Web控制台，如下所示，默认用户名密码为admin/adminDeepEdge；如此可确认DeepEdge设备正常开机。3、进入DeepEdge控制台，点击管理关于，确认当前设备版本，默认为DeepEdge2.5SP1。二、激活产品序列号1、点击管理使用授权，点击新激活码菜单，输入下列激活码“UT-EKDM-7RFYW-4EB2X-CKJGP-5TM44-MG9KK”，如下图所示：2、点击下一步，激活序列号，并确认产品序列号时间，如果能够上网，则序列号时间会显示2020年7月29日到期，不能上网，则会显示2016年7月29日到期，能够上网之后，时间会自动调整至2020年。三、升级补丁安装1、进入DeepEdge控制台，点击管理更新，系统更新，更新相应补丁程序。主要涉及两个补丁，分别是Deepedge2.5SP2（build2047）补丁以及Patch1forSP2（build2058）。补丁下载地址为：=CH&clk=latest&clkval=4561&lang_loc=15，下载对应的Servicepack（SP1和SP2补丁，请都下载下来以备不时之需）和补丁程序（DeepEdge-25-lx64-en-sp2-patch1-b2058.tar.gz）其中更新SP2补丁需重启设备，请耐心等待。更新SP2补丁，如下图所示：2、更新patch1forSP2补丁，如下图所示：3、检查更新之后程序版本：版本号2.5.0.2058。四、设置部署模式1、进入网络部署菜单，选择接入模式，如下图所示：2、点击网络网桥菜单，点击新增，设置网桥地址信息，包括IP地址，子网掩码，网关等设置，并勾选Web控制台，ping，SSH和SNMP的访问权限。此处的网桥地址即为分行给该设备分配的地址。端口请选择eth2和eth3（即桥接地址网卡的两个端口），如下图所示：网桥口的两个口分别是eth2和eth3（左边为eth2）设置DNS，点击网络DNS，设置设备的DNS，该设置跟分行网络管理员咨询（公网有几个默认DNS分别是8.8.8.8（googleDNS），202.106.0.20（国内运营商DNS））五、配置策略(一)配置防恶意软件策略点击策略安全设置，在该菜单中可以看见入侵检测，防恶意软件，反垃圾邮件，Web信誉服务；点击防恶意软件，出现以下设置界面，建议按照以下设置配置防恶意软件，并保存设置：a)勾选“启用恶意软件安全措施”；b)高级威胁扫描（不用勾选，需要与其他设备联动才能实现）c)文件扩展名中设置允许扩展名和阻止的扩展名。允许扩展名建议保持默认。针对阻止扩展名，可根据需要设置，默认为空。（分行如果不允许通过互联网下载可执行文件，则可将exe；com等可执行文件设置为阻止类型，否则不用设置）d)扫描列表：选择全部；e)扫描优化：跳过大小为5M的文件，跳过httpmime文件类型设置保持默认即可，程序自动跳过视频，图像，音频文件的MIME文件。(二)设置反垃圾邮件策略不用启用反垃圾邮件策略。点击策略安全设置，选择反垃圾邮件，确认该功能未启用。如果用户使用该功能，则当用户访问互联网邮箱（比如126邮箱或者QQ邮箱等），这些邮件经过网关检测后，会针对垃圾邮件做标记分类，提醒用户识别垃圾邮件。(三)设置Web信誉服务策略点击策略安全设置Web信誉服务，设置Web信誉服务策略，选择“启用Web信誉服务安全措施”，安全级别设置为低。(四)设置入侵防御策略点击策略安全设置入侵防御，设置入侵防御策略，入侵防御策略在接入模式下不建议启用（影响设备性能及用户体验），因此建议不勾选该设置。(五)设置对象点击策略对象处理措施安全配置，点击新增，设置自定义安全设置，点击新增，在新增的编辑菜单中，设置新增策略：设置名称，安全功能中勾选防恶意软件，Web信誉服务2项，分别选择阻止，阻止。点击确定，保存配置。(六)设置规则点击策略规则，能够看到有一个默认规则，默认规则所有安全设置都是允许的。需要用户添加新的规则加以设置。点击新增，配置新规则：在设置新规则时，首先设置源地址，源地址范围最大为any（任何），如果只希望设置某个网段，则可选择“选定的地址”，选定地址需要用户自定义。设置目标，目标地址默认选择任何（any）设置流量类型，选择任何即可；设置时间段和处理措施，时间段选择始终，处理措施选择我们之前定义好的“互联网防病毒策略”最后点击确定，保存配置。新策略设置好之后，其优先级在缺省策略之下，需要选择该策略，点击上移，将策略移动到缺省策略之上，这样策略才会被执行。最后点击应用，保存配置修改。保存之后，配置如下所示：以下显示缺省策略被新增加的互联网防病毒策略所遮盖，可以保持默认即可。六、设备上线设备上线过程即将设备上架之后，将交换机与防火墙之间的网线拔掉，将DeepEdge设备串连在这两台设备之间。起重eth2口接交换机，eth3口接防火墙。七、设备验证设备上线后，通过以下3个步骤来验证设备运行情况：1、客户端上网：在互联网找一台客户端，访问互联网，确认互联网访问正常，上网体验没有不良影响；2、病毒网站访问测试：在客户端访问，下载测试病毒，确认测试病毒可被网关设备拦截，确认设备起作用；3、测试DeepEdge是否可正常访问，在互联网中找一台PC机，在IE中输入https：//DeepEdgeIP：8443，检查是否可以出现登陆界面4、病毒码更新，进入DeepEdge控制台，点击管理更新特征码更新，确认能够检测到公网新病毒码，选择所有更新选项，点击更新，更新特征码。八、设备应急如出现设备上线后，影响用户正常上网的情况，请使用以下步骤逐步排查，恢复影响。1、添加白名单：如果个别网站被拦截，则点击策略黑白名单，在白名单中，将对应网站的URL加入到白名单列表中，点击确定，并点击应用启用该设置调整。2、取消扫描策略：如果是普遍性慢，则可将扫描策略取消，方法如下：点击策略规则，点击我们配置的防病毒扫描策略，将启用复选框取消。点击确定，然后点击应用。如此所有策略均不会进行拦截。3、设备旁路：如果以上两种方式依然存在问题，则将设备旁路下线，恢复交换机直连防火墙的设置。