深信服M-5100-AC管理手册-USB迷|专注于互联网分享

2024年2月28日发(作者：百里秋月)

深信服M-5100-AC管理手册

系统配置........................................................................................................................................... 2

网关运行模式配置 ................................................................................................................... 2

内网接口配置 ......................................................................................................................... 12

外网接口配置 ......................................................................................................................... 15

网关运行状态 ......................................................................................................................... 18

限制IP登录............................................................................................................................ 18

路由设置......................................................................................................................................... 19

系统路由设置 ......................................................................................................................... 19

策略路由设置 ......................................................................................................................... 21

NAT规则设置 ......................................................................................................................... 23

防火墙规则设置 ..................................................................................................................... 26

QoS功能设置 ......................................................................................................................... 30

访问控制和监控 ............................................................................................................................. 34

用户认证方式设置 ................................................................................................................. 34

IP-MAC认证用户设置............................................................................................................ 43

WEB认证用户设置 ................................................................................................................ 45

访问控制组 ............................................................................................................................. 48

1 / 66

深信服M-5100-AC管理手册

系统配置

网关运行模式配置

[网关运行模式配置]用于设定ac 硬件网关的工作模式，可把ac 硬件网关设定为，路由模式，透明模式，网桥模式和旁路模式。设置界面如下：

2 / 66

深信服M-5100-AC管理手册

选择[路由模式]，[透明模式]，[网桥模式]，[旁路模式]。点击[设置生效]保存配置，然后ac硬件网关会自动重启，[确定]。重启后，ac 硬件网关的运行模式即改变生效。

a．路由模式

[路由模式]是把ac 硬件网关作为一个路由设备使用，一般是把ac 硬件设备放在内网网关出口的位置，代理局域网上网；或者把ac 硬件设备放在路由器后面，再代理局域网上网。如下图所示：

硬件网关工作在路由模式时，局域网内电脑的网关都是指向ac 硬件网关的lan 口ip 或指向三层交换机，三层交换机的网关再指向ac。上网数据由ac 硬件网关做nat 或路由转发除去。

2．wan、lan 应设置不同网段的ip。

3．如果wan2 口没有被使用，可以把wan2 自定义成一个lan2 或dmz2。

4．lan 口配置802.1q－vlan 地址后，lan 口可以接支持v3 / 66

深信服M-5100-AC管理手册

lan 的2 层交换机的trunk 口，ac 可以在vlan 间转发数据（单臂路由），并可做lan[-]lan 方向的防火墙规则，即可以控制不同vlan－id 之间的访问控制。

b．透明模式

透明模式是把ac 硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac 硬件进行一些配置即可使用。对原网关及内网用户而言，亦不知ac 硬件网关的存在，即所谓对原网关及内网用户透明。如下图所示：

硬件网关工作在透明模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。

硬件网关工作在透明模式时，必须为ac 硬件网关的wan、lan 设置同一网段的ip，ac 硬件设备的网关指向原有网关（即指向前置设备的内网接口ip）。

4 / 66

深信服M-5100-AC管理手册

硬件网关工作在透明模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac 硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可[绕过]ac 硬件设备，到达原有网关的物理线路。

硬件网关工作在透明模式时，ac 硬件网关的wan2 和dmz 口不起作用，亦不能配置。只有wan1 和lan1 是可用的。且要保证wan1 口接前置的路由设备，lan 口接内网的交换机，不能接反。

硬件网关的透明模式是在网络层(osi 第三层)上实现的透明，是通过arp 欺骗技术实现的，可能会影响内网某些基于数据链路层（osi 第二层）或基于mac 地址的应用，请慎重启用ac

硬件网关的透明模式功能。例如原有网关不能启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能。

6.在透明模式不要启用nat 功能。

7. 在透明模式下ac 本机的ip-mac 绑定和vpn 功能可用。

8.不要把设备的wan1 口和lan 接到同个交换机，这会在内网引起arp 欺骗，导致通讯异常。

5 / 66

深信服M-5100-AC管理手册

9. 有前置设备情况下，启用网关杀毒、邮件过滤等功能，或ac 需要自动升级url 等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证ac 设备可访问外网。

10.一般不建议把设备切换到透明模式，因为透明模式只能穿透网络层的数据，需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn 功能时才启用透明模式，否者强烈建议使用网桥模式。如需要用vpn 的情况下，建议使用路由模式。

c．网桥模式

网桥模式和透明模式类似，是把ac 硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac 硬件进行一些配置即可使用。对原网关及内网用户而言，亦不知ac 硬件网关的存在，即所谓对原网关及内网用户透明。网桥模式和透明模式的主要区别是，网桥模式是可以穿透数据链路层的数据，对用户做到完全透明。一般在这种网络拓扑下强烈建议用网桥模式。如下图所示：

6 / 66

深信服M-5100-AC管理手册

配置界面如下图所示：

硬件网关工作在网桥模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。

硬件网关工作在网桥模式时，wan 口和lan 口桥接起来了。wan 和lan 口处于同一个交换域内，相当于交换机的两个接口。wan 口和lan 口的ip 不可配置。网桥模式下内外网接口配置在配置界面上也隐藏起来了。设备可配置一个网桥ip（此为设备的一个虚ip），用于设备本身的上网或把设备的日志同步到数据中心，要保证有路由到达公网或数据中心的电脑。

硬件网关工作在网桥模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac 硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可绕过ac 硬件设备，到达原有网关的物理线路。

硬件网关工作在网桥模式时，ac 硬件网关的wan2 不起作用，亦不能配置，dmz 口可配置一个管理ip。穿透数据时只有w7 / 66

深信服M-5100-AC管理手册

an1 和lan1 是可用的。且要保证wan1 口接前置的路由设备，lan

口接内网的交换机，不能接反。

硬件网关的网桥模式是在数据链路层(osi 第二层)上实现的透明，是通过把ac 的wan1 口和lan 口桥接实现的。数据链路层及以上各层的数据均可穿透。原有网关启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能能正常使用。

6.在网桥模式不要启用nat 功能。

7.在网桥模式下ac 本机的ip-mac 绑定和vpn 功能不可用。

8.不要把设备的wan1 口和lan 接到同个交换机，这相当于把一根网线接到交换机的两个口，会引起二层上的环路，导致通讯异常。

9．如启用杀毒、邮件过滤等功能或要让设备能够自动升级url库，内容检测，病毒库等，则须配置需设置网桥ip，默认网关和dns，并保证ac本身访问外网（可通过升级控制台工具ping测试）。

10.如启用web认证、准入规则或其他需要重定向到ac网关上的功能，同时内网有多网段时，须添加到内网非直连网段的路由指8 / 66

深信服M-5100-AC管理手册

向内网路由设备。

11.如果二层交换机上的pc 有多个网段（非vlan），网关上也有多个网段的ip。ac 如启用杀毒，邮件过滤，准入规则和web

认证等需要重定向到ac 上的功能时要把这几个网段的ip 也配置到[网桥模式]多ip 绑定]里。否则可不配置。

12.网桥模式时，ac 网桥支持vlan trunk 穿透，网桥的ip

地址支持802.1q-vlan 的地址。即ac 网关可以透明接在vlan trunk 的主干道上。点击[网关模式设置vlan 设置]可以设置网桥模式支持vlan trunk。

弹出如下的vlan 设置对话框：

在这里可以勾选[启用vlan]，添加vlan id 与ip 地址之间的对应关系。

如启用杀毒，邮件过滤，准入规则和web 认证等需要重定向到ac 上的功能时才需要配置这个ip，否则不配置vlan ip 也可以。

9 / 66

深信服M-5100-AC管理手册

d.旁路模式

旁路模式实现监控控制的功能的同时，可以完全不需改变用户的网络环境，并且可以避免ac对用户网络造成中断的风险。用于把ac 接在交换机的镜像口或者接着hub 上，对最整个局域网进行旁路模式的监控与控制。这种模式对用户的网络环境完全没有影响，即使down 机也不会对用户的网络造成中断。网络拓扑如下图所示：

在[网关运行模式]里面可以把ac设置为旁路模式运行，如下图所示：

左边为管理网口（dmz 口）的ip 地址配置，要使能用控制台或者升级系统连接ac 进行管理，必须正确设置该网口的ip 地址和网关，并且网线要接着dmz 口上。

右边为要监控的网段和排除的网段列表。由于旁路时只需一10 / 66

深信服M-5100-AC管理手册

根网线把ac的lan口或wan1口接在hub或者交换机的镜像口上，ac并不知道哪些属于内网外网的地址，因此在[监控网段列表]里面出现的地址，ac就认为是内网地址进行记录，不在该列表的地址则不记录。[排除地址列表]主要是当一个地址本来属于[监控网段列表]里面的地址，但是又想把该地址不记录,此时就需要该地址输入到[排除地址列表]里面，即[排除地址列表]里面的地址不做记录。这里划分内网外网主要是只有数据是内网外网之间的交换数据时，才会进行监控记录，而内网之间的数据交换不会记录。要想记录内网自己交换的数据，必须勾上复选框[监控内网自己传输的数据]。

1. 用户必须使用hub 或者交换机具有镜像口的情况。如果交换机没有镜像口，可以在交换机前加接hub 实现。

2.旁路模式下，流量显示，会话连接数功能不起作用。

3．旁路模式下，ipmac 认证无效。

4．旁路模式下，监控内网之间的数据的时，会把一个tcp

连接的数据的回包也记录下来，比如a 访问b 的80 端口，网络监控日志里不光有a 到b 80 端口的数据，也会有b 到a 的一个随机端口的数据。

11 / 66

深信服M-5100-AC管理手册

5．旁路模式下，使用代理，要在旁路上绑定和代理网段同一网段的ip 地址（或者有路由能够到达此ip），使其发送的reset

包能都被pc 和代理服务器收到。（发reset 包给代理服务器）

6．旁路模式的很多路由模式下的功能没有实现，比如vpn、dhcp 和准入规则等。

7．旁路模式主要起监控的作用，限制的功能没有路由模式和网桥模式那么全面。只能对tcp 的连接进行限制，比如url 过滤，关键字过滤，邮件过滤等。对udp 的没法限制，比如p2p 软件，qq

的登录等。

内网接口配置

[内网接口配置]用来设定每个内部网络接口网卡的ip 地址，掩码等基本网络属性。分为lan,dmz 两种接口。

[lan接口]：这是防火墙要保护的区域，包括全部的内部网络设备及用户主机。这个区域是防火墙的可信区域。

[dmz（非军事区）接口]：它是从企业内部网络中划分的一个12 / 66

深信服M-5100-AC管理手册

小区域，在其中就包括内部网络中用于公众服务的外部服务器，如web服务器、邮件服务器、ftp服务器、外部dns服务器等，它们都是为互联网提供某种信息服务。防火墙将该区域的服务开放给wan的同时还提供对该区域的攻击保护。

设置界面如下图所示：

根据需要，在[lan 接口]及[dmz 接口]设置ac 硬件网关lan、dmz 口所需的ip 地址及掩码，再点[设置生效]保存配置即可。（dmz 口不使用时，则可保留原有配置不动）如有需要，可点击[多ip 绑定]可为ac 硬件网关的lan 口绑定多个ip，界面如下：

单击[增加]出现如下界面：

如内网的交换机跟ac 直接相连的接口启用了trunk，则可在lan 配上各个vlan 的ip 还有vlan id。

13 / 66

深信服M-5100-AC管理手册

单击[vlan 设置]按钮，把各个vlan 的ip 和vlan id 都增加到设备上，界面如下：

单击[增加]，出现下图：

lan 口配置802.1q－vlan 地址后，lan 口可以接支持vlan

的2 层交换机的trunk 口，ac 可以在vlan 间转发数据（单臂路由），并可做lan[-]lan 方向的防火墙规则，即可以制不同vlan－id 之间的访问控制。可用于兼容vlan（802.1q）下的网络环境。

[内网接口配置]中还需要选定vpn 所包含的网络，即哪部分内网需要被vpn 对端用户访问。

如果仅需将lan 区加入到vpn 网络，则将[dlan 的内网接口]勾选选为[lan 接口]；如果也需要将dmz 接口加入到vpn 网络，则许再勾选[dmz 接口]为[dlan 的内网接口]，并设置相应内网的[子网掩码]信息。

14 / 66

深信服M-5100-AC管理手册

[dlan 的子网掩码]一般要求和内网子网掩码一致，如果lan 中还有其他vlan 或ddn 网络，而又不方便设置多子网，可以修改dlan 的子网掩码，将这些网络也包进来。

如果重新设定了lan 口或dmz 口，会导致网络中断，设备重启，请重新登录。

外网接口配置

在[外网接口配置]中设置外网线路的上网方式，包括wan1 和wan2

接口等。如下图：

先选择[线路]，然后设定[线路类型]，包括[以太网]、[拨号(adsl)]两种方式。

选择[以太网]方式，则需设定ip 地址、掩码、网关、dns

等信息，根据实际情况，或isp所提供的ip 地址信息进行设置。

15 / 66

深信服M-5100-AC管理手册

点击[多ip 绑定]可为ac 硬件网关设备的wan 口绑定多个公网ip，如下图所示：

单击[增加]出现下图：

如果是adsl 上网，[线路类型]选[拨号]，在设置界面填写完[用户名]和[密码]信息后，注意勾上[自动拨号]，配置完毕点[确定]保存设置，设备会重启，重新登录后点击[开始拨号]，则以后设备在断线后[自动重拨]了。如下图：

ac 硬件网关设备支持多线路时，则设置完[线路1]后，选择其它线路继续设置。

点击[高级配置]按钮可配置拨号属性，建议值入下图：

16 / 66

深信服M-5100-AC管理手册

单击[线路属性]可设置线路的上下行带宽。入下图所示：

1.线路属性用于qos 判断线路带宽的依据，请按实际情况填写。

2.用户只需填入上下行带宽，其他值请在深信服客服部门指导下修改。

分配策略：适用于多线路版本，可选择带宽在线路上的分配策略。

点击[分配策略]按钮，出现以下对话框，此处是设定整个设备对外网线路选择的策略，每个选项的详细介绍可以参照对话框上的帮助提示。

17 / 66

深信服M-5100-AC管理手册

网关运行状态

[网关运行状态]用来查看网关的工作状态。可以查看[cpu

的使用率]，[外网ip 地址]，[网络流量]等，还可以设定是否[允许远程维护]。如果勾选[允许远程维护]，那么可以通过internet登录ac 硬件硬件网关进行设置，点[设置生效]即可。[允许网关自动更新]用于网关设备的自动更新。

如果外网线路是通过前置设备共享上网的，则[允许远程维护]后，需要在前置上网设备做控制台管理端口tcp1970 的端口映射及开放防火墙规则。

限制IP登录

[限制ip 登录]用于设定能登录ac 硬件网关的内、外网ip，以限制非法用户从不被授权的ip地址来登录ac 硬件网关。设置界面如下所示：

勾选右下角的[启用]即可激活[限制ip 登录]功能，点击[新

18 / 66

深信服M-5100-AC管理手册

建]按钮，输入[能登录ac 硬件网关的机器ip]，[确定]并[设置生效]即可。

如果启用[限制ip 登录]，则在设置[能登录网关的机器ip]时，必须确保该ip 合法有效，且应该记住这些ip，否则[限制ip

路由设置

系统路由设置

sinfor ac 硬件网关提供的[系统路由设置]功能，类似于windows

系统自带的路由功能，具体设置的路由只对ac 硬件网关自身生效。设置界面见下图：

点击[新建]按钮，出现下图:

[系统路由设置]主要用于实现两种功能：

1.代理多网段上网时添加回包路由

19 / 66

深信服M-5100-AC管理手册

2.设备单臂工作时添加默认路由

3.对于内部机器上网分流路由和vpn内部进行多子网路由时要在[vpn配置/路由设置]内添加。

a.代理多网段上网时添加回包路由

当企业内网有多个网段，且这些内网网段都想通过sinfor ac 硬件网关共享上网时，需要添加[系统路由]，以实现把不同网段电脑的数据包，ac 硬件网关都能把数据包回给正确的内网交换路由设备。

举例设置如下：公司内网有两个网段192.168.1.x 和192.168.2.x，两个网段通过三层交换机互连互通，各网段内电脑网关指向三层交换机各自网段的网关254，ac 硬件网关的lan 口ip 为192.168.1.1，放在192.168.1.x 网段，并配置wan 口连接internet。

现192.168.1.x 和192.168.2.x 网段都想通过ac 硬件网关作为公网出口，共享上网。

由于192.168.2.x 网段和ac 硬件网关的lan 口(192.168.1.1)不在同一网段，则ac 硬件网关需要添加[ 系统路由] ，以把192.168.2.x 的数据包发回给内网三层交换机192.168.1.254 来处理，最终才能回到192.168.2.x 网段的电脑上。配置如下：

a、添加多个[代理网段]：包括192.168.1.0/24 和192.168.2.0/24。（具体设置参照[防火墙/nat 规则设置/代理网段配置]。）

20 / 66

深信服M-5100-AC管理手册

b、添加[系统路由]：192.168.2.0/24－》192.168.1.254，配置见下图,

b.设备单臂工作时添加默认路由

某些特殊的情况下，需要让设备单臂工作。所谓单臂工作是指设备wan 口不使用，只在lan口接线来工作。此时由于wan 口不工作，wan 口不能配置网关，而lan 口设置也配置不了网关，所以，必须通过[系统路由设置]来添加一条默认路由。该默认路由为：0.0.0.0/0－》gateway，配置如下图：

策略路由设置

sinfor ac 硬件网关提供的[策略路由设置]功能，主要用于ac 硬件网关具有多条外网线路时，根据源/目的ip、源/目的端口、协议等条件，设定基于某些策略的路由，以确定从哪条外网线路作为外网出口，实现[手动选路]功能。设置界面见下图：

点击[新建]按钮，出现[策略路由新建/修改]对话框如下：

[规则名称]可随便填写需要的文字。

[源ip]和[目的ip]填写策略路由匹配数据包时所需的源ip、目的ip。支持四种方式设定源/目的ip：单个ip、ip 范围、子网、所有。

[协议]选择数据包的协议，可选择为tcp、udp、icmp 和ot21 / 66

深信服M-5100-AC管理手册

her。[协议]选择tcp/udp 时，需要在下面设定[源/目标端口]；选择other 时，需要设定[协议号]。

[源端口]和[目标端口]填写策略路由匹配数据包时所需的源端口、目的端口。

[目标线路]选择当匹配上面策略路由条件时，选择哪条线路作为外网出口发送数据包。

例如：ac 硬件网关有两条外网线路，线路1 为电信线路，线路2 为网通线路，想实现上网[分流]时，可设定类似的[策略路由]规则，见下图：

这里假设网通的地址段都在221.199.32.0/20，所以设定[目标ip]为221.199.32.0/20，[目标端口]为80 时，数据包都走[目标线路]为线路2 的策略路由。

通过[上移]和[下移]按钮可调节路由的匹配顺序，相同条件的路由，在上面的优先匹配。

1.如指定的目标线路不可用，ac 会自动把数据切换到可用线路上。

2．如需要网通路由表，可联系深信服科技客服部门。取得路由表后,单击[导入],选择[二进制文件],单击[确定],选择文件导入即可，如下图示：

22 / 66

深信服M-5100-AC管理手册

防火墙设置

NAT规则设置

[nat 规则设置]包括[代理网段设置]和[端口映射设置]两个部分。如下图：

a.代理网段设置

[代理网段设置]是用来设置防火墙代理局域网上网的网段，即：snat（源地址转换）规则。在此我们可以添加需要ac硬件网关代理上网的网段，缺省状态下该设置不包含代理网段信息，要手动添加。代理上网规则，如下图所示：

例如：要建立一条代理局域内所有人上网的规则，假设局域网ip地址为：192.100.100.0 /255.255.255.0，那么我们步骤如下：

点击[新建]，出现[新建snat 规则]对话框，为代理网段取一个[名称]，可随便填写，只做标识用。选择好[网口]，即输出网口23 / 66

深信服M-5100-AC管理手册

或直接勾选[应用于所有wan 口]，即输出到所有可用的外网接口。填写[转换条件--源ip 地址]，即要代理上网的网段，在这里我们填写192.100.100.0，[子网掩码]:255.255.255.0。[转换条件—目标ip]一般留空，代表所有的公网ip，只在要指定到某段目的ip 走某条线路等特殊应用时才填写这项。[转换条件--协议]一般也留空，代表所有的协议，只在要指定到某些协议走某条线路等特殊应用时才填写这项。[转换源ip 地址为]一般是勾选[使用接口地址]即可，如要指定转换为接口的某个ip，可直接填写该ip。最后点击[确定]，并[设置生效]即可。

如下图所示：

请开放lan-]wan 的相关防火墙规则。

b.端口映射设置

有时在局域网内有服务器需要向internet 提供服务，那么就需要在网关上做[端口映射设置]。sinfor ac 硬件网关也提供了这样的功能。设置界面如下：

24 / 66

深信服M-5100-AC管理手册

例如，现在内网有一台ip 为192.100.100.61 的电脑要对外网提供web 服务，所使用的端口为80，那么我们的步骤为：

1：在[端口映射设置]中[新建]一条映射规则。[名称]可随便填写，便于标识为原则。[网络接口]指输入的网口。[转换条件--源ip 地址]一般留空，指来自公网的所有ip。[转换条件--目标ip 地址]为要映射的公网ip，如果外网接口的ip 是动态（adsl）的或想使用wan1 口的ip，可直接勾选[使用接口地址]。[转换条件--协议]，[协议]:tcp,[源端口]：所有，[目标端口]:80 到80。[转换目标ip

为]:192.100.100.61,[转换目标端口为]：80 到80。最后确定并设置生效就行了。见下图：

1.如果不勾选[转换条件--协议]即对该ip 进行全部映射，全部映射是在wan 口绑定有多个ip 时才能使用，一般情况下不能启用。

2.在[防火墙规则设置/wan﹤=﹥lan]中[新增]一条允许从任意外网ip 访问本地ip 192.100.100.61 的80 端口的放行规则。见25 / 66

深信服M-5100-AC管理手册

下图：

防火墙规则设置

[防火墙规则设置]是防火墙中对数据包访问进行具体设置的地方，ac 硬件网关提供lan[=]dmz、dmz[=]wan、lan[=]wan,lan[=]lan,dmz[=]dmz 之间总共10 个方向的互访过滤规则设置。

﹤=﹥dmz

此界面用于设置lan 口与dmz 口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。

例如我们想要使lan 与dmz 口之间完全互通并且能够使用ping 命令进行测试，那么我们就要在两个方向上开放所有的tcp udp 以及icmp 访问规则。出厂时缺省内置了lan=]dmz方向上放行所有的tcp，udp，icmp，但是规则是没有启用的，规则前面的红圈标志为红色，如要启用，请双击规则，并勾选[启用]即可。见下图：

26 / 66

深信服M-5100-AC管理手册

1.规则前面的圆圈标识规则是否启用，如启用状态圆圈为绿色，未启用为红色。有些规则如果暂时不想启用，可把[启用规则]前的勾去掉。

2.防火墙遵循从上向下匹配的原则，如果一个规则匹配了，就不会再向下匹配了，所以请注意规则的先后顺序。可通过[上移]和[下移]来调节规则的先后顺序。另外，防火墙规则最后隐含一条拒绝所有。如果加入的规则都不匹配，数据包最后会被丢弃。

﹤=﹥wan

此界面用于设置wan 口与dmz 口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan﹤=﹥dmz 设置。缺省界面如下：

﹤=﹥lan

27 / 66

深信服M-5100-AC管理手册

此界面用于设置lan 口对外网访问时的规则，也用于设置内网对外网提供访问的规则。在缺省状态下，lan 口对外网的访问不受任何限制，而从wan 口访问内网是不允许的，如果要让外网的ip

访问局域网内的某个ip 则要开通相应的的过滤规则。

如下图所示为放行从外网访问内网80 端口的例子，相当于开放wan-]lan 方向的80 端口。

上面的[服务]、[源ip 组]、[目的ip 组]和[时间]都可以在前面的[对象定义]中定义好，点击旁边的[新建]按钮，亦可建立相应[对象定义]，详细设置参见前面章节。

由于最常用的时wan[=]lan 方向的设置，ac 硬件网关默认内置了常用的规则，下图显示的就是防火墙wan﹤=﹥lan 的缺省规则设置，包括lan-]wan 方向的三条放行规则。

﹤=﹥lan

28 / 66

深信服M-5100-AC管理手册

此界面用于设置lan1 口（原来的lan 口）与lan2 口(由闲置的wan2 切换成的)之间互访的规则或lan 口上绑定的几个不同网段的ip 间的互访规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan﹤=﹥dmz 设置。缺省界面如下：

﹤=﹥dmz

此界面用于设置dmz1 口（原来的dmz 口）与dmz2 口(由闲置的wan2 切换成的)之间互访的规则或dmz 口上绑定的几个不同网段的ip 间的互访规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan﹤=﹥dmz 设置。缺省界面如下：

设置好了规则之后，我们可以点[规则测试]按钮来测试过滤规则设置的正确与否。

29 / 66

深信服M-5100-AC管理手册

如下图，我们可以虚拟一个数据包，指定数据包的源ip 和目的ip，设定数据包的方向，从哪个接口到哪个接口，协议和目标端口是哪个，点[测试]之后，虚拟放出的数据包会在规则列表中逐条匹配各条规则，以验证每条规则设置的正确性。

QoS功能设置

qos 即：quality of service，服务品质保证。在网络带宽不足的情况下，通过qos 设定来保证一些重要的服务能获得充足的网络带宽。可以设定各优先级能够得到的带宽比例，在网络繁忙时将按照设定的比例来分配网络带宽，保证整个出口线路上，通过防火墙的重要服务能够顺畅进行。

[qos 功能设置]包括qos 级别设置、qos 上传规则设置和qos 下载规则设置三个部分。如下图：

级别设置

30 / 66

深信服M-5100-AC管理手册

[启用qos 功能]是防火墙qos 功能的开关，勾选即可激活qos 功能。

通过滑杆调节可以定义不同[优先级别]对应的网络带宽比例。

规则对于带宽的处理，并不是静态地保留，而是动态的分配。即较高优先级别的qos 服务并没使用时，低级别的qos 服务一样可以占用比自己所属级别多的带宽，以充分利用多余的带宽。只有在两种不同级别的qos 服务同时需要占用带宽发生矛盾时，高优先级别的qos服务数据包就会比低优先级别的数据包优先发送。

一般对tcp 协议传输服务的效果比较明显，常用的应用系统大多数为tcp 协议。

上传规则设置

[qos 上传规则设置]是用来把数据业务进行分类，根据qos

规则设置所选定的数据投递优先级进行投递，以保证重要数据的及时传输。设置界面如下：

31 / 66

深信服M-5100-AC管理手册

点击[新建]会弹出[新建qos 规则]向导，根据向导依次填入[名称]、[描述]、[源ip]、[目的ip]、[协议]、[源端口]、[目标端口]、[优先级别]等信息（各项设置的意义见下面说明），最后点[完成]即可。

设定好一条qos 规则之后，选中该规则，点[修改]，可查看和修改前面定义qos 规则时所填写的各项设置，出现如下对话框：

[服务名称]和[服务描述]可随意填写说明文字,只做标识。

[ip 地址]填写该qos 规则匹配数据包时用到的[源ip]和[目的ip]，可定义为[所有ip]或[指定ip 范围]。

[协议]填写该qos 规则定义的服务所使用的协议，可选为tcp、udp 或icmp。

[源端口]和[目标端口]填写该qos 规则定义的服务所使用的端口，可选为[所有端口]或[指定端口]。

32 / 66

深信服M-5100-AC管理手册

1.由于是定义[qos 上传规则]，规则是用来匹配wan 口往外发送的数据包，所以一般是定义[源端口]来区别不同的服务。

例如：定义一条规则来保证[内网对外网提供web 服务]的优先级时，则对于[上传规则]而言，应该定义规则的[源端口]为80；而目标端口一般为客户端随机选择的，所以[目标端口]应定义为所有端口，设置如上图说示。

2.[服务优先级]选择需要的优先级即可。这里除了前面定义的四个优先级别外，还有一个[特权级]，代表能占用100%的带宽。

下载规则设置

[qos 下载规则设置]是用来把数据业务进行分类，根据qos

规则设置所设定的不同服务优先级进行投递，以保证重要数据的及时。设置界面如下：

和qos 上传规则相类似，点击[新建]，并根据向导提示即可完成[qos 下载规则设置]。

33 / 66

深信服M-5100-AC管理手册

以下仅举一例子说，例如我们想保证访问外网ftp 服务资源时，优先级别较高，则可定义[源端口]为20-21 的[qos 下载规则]，设置如下图所示：

由于是定义[qos 下载规则]，规则是用来匹配wan 口从外下载的数据包，所以一般是定义下载方向的[源端口]来区别不同的服务。如上例定义[源端口]为20-21 的服务为ftp 服务。

访问控制和监控

用户认证方式设置

[用户认证方式设置]主要是用于设置ac 硬件网关启用[web 认证]方式时，所需设置的一些认证配置信息。设置界面如下图所示：

a．web认证方式设置

34 / 66

深信服M-5100-AC管理手册

勾选界面底部的[启用web 认证]选项，即可激活ac 硬件网关的[web 认证]功能。

在[web 认证方式设置]后，ac 硬件网关支持四种方式的认证。包括[用户名/密码认证]、[ldap认证]、[radius 认证]和[pop3]认证。

(1)用户名/密码认证

选择[用户名/密码认证]时，可通过[访问控制和监控/web

认证用户设置]手动添加用户名、密码。

(2)ldap认证

选择[ldap 认证]则需点击旁边的按钮设置一下[ldap 服务器设置]。

[ldap 服务器设置]界面如下：

35 / 66

深信服M-5100-AC管理手册

单击[修改]，出现如下界面：

详细参数设置可咨询ldap 服务器系统管理员，一般情况下只需填写[服务器ip 地址]，[认证端口]，[服务器用户]和[用户密码],其他参数都保存默认就行。

单点登录

单点登录：当用户机器登陆到域服务器的时候，自动通过web 认证，而不需再次输入用户名密码登录。

只需用户输入一次密码登陆到域即可自动认证通过，减少用户输入密码的次数，降低密码泄露的风险

网络环境：

网络结构如图：

36 / 66

深信服M-5100-AC管理手册

域服务器处于内网，也就是pc1、pc2 未通过认证前可以登录到域服务器，域服务器的ip 地址和ac 的lan 口同一网段，这样登陆信息可以发到ac 的lan 口（wan 口不行）。也就是要求域服务器ip、网关lan 口ip、用户机器ip 至少有一个ip 地址是同一网段，用户机器的第一dns 还应设为域服务器的ip 地址。

操作过程：

启用ldap 认证，勾选[单点登陆选项]，输入共享密钥：

在域服务器要安装单点登陆组件程序，安装结束时会提示输入[ac 的ip 地址]、[共享密码]，[确认密码]的设置，要和ac 上设置的共享密钥相同，否则不能正常使用单点登陆功能。

要求用户机器第一dns 应该设置为域服务器的ip 地址，否则加入域时可能找不到域服务器。而且第一次登陆成功后，如果后来用户的机器修改了dns 或者ip 地址，此时用正确的密码登陆到域，37 / 66

深信服M-5100-AC管理手册

可以进入windows，但是实际上是没有登陆到域，此时单点登陆无效，用户上网仍输入用户名密码才行。这主要是windows 可以记住上次输入的正确密码，没有登陆到实际的域服务器也可以进入windows。

要求域服务器ip、网关lan 口ip、用户机器能互相访问到。

适用于启用ldap 认证情况下，并且用户的机器在登陆windows 时登陆到域服务器。

(3)radius认证

选择[radius 认证]则需点击旁边的按钮设置一下[radius

服务器设置]。界面如下图：

详细参数设置可咨询radius 服务器系统管理员，需填写[服务器ip 地址]，[认证端口]，[共享密钥]，[认证超时时间]和采用的协议。

(4)pop3 认证

38 / 66

深信服M-5100-AC管理手册

一般适应于用户使用内部邮件系统，并且每个用户均分配了邮件帐号，并且启用邮件过滤。

适应客户使用邮件系统的环境，增加认证方式的多样化，使认证方式更加方便快捷人性化。设置为pop3 认证方式时，用户属于pop3 服务器上存在的用户。当用户输入用户名密码时，认证系统会自动登陆到指定的pop3 服务器，如果登陆成功，说明该用户名密码是对的，认证通过；如果登陆失败，则认证不通过。如果勾选了[自动认证]选项，当用户使用outlook、foxmail之类的客户端登陆pop3 服务器时，认证系统会自动识别并认证通过该用户，此时用户可以直接上网，而不需再次输入用户名密码。

网络环境：

网络结构如图

pop3 服务器必须处于外网(或wan 口一端)，如果pop3 服务器处于内网时，自动认证无效，但可以手动认证，即访问网页时弹出对话框输入用户名和密码进行认证。

39 / 66

深信服M-5100-AC管理手册

操作过程：

首先确认启用邮件过滤

在web 认证方式页面选择[pop3 认证方式]，选中[pop3 认证]，如需自动认证，请勾选[启用pop3 自动认证]

如果pop3 服务器处于外网，要启用自动认证，则必须勾选[未启用通过用户，可以访问基本服务（默认组权限，http 除外）]

如果处于内网，可以不勾选[启用pop3 自动认证]和[未启用通过用户，可以访问基本服务（默认组权限，http 除外）]，但是自动认证无效，必须手动认证

点击[pop3 服务器设置]，弹出如下窗口：

在这里设置pop3 的服务器列表，可设置[服务器ip 地址]，[认证端口]和[认证超时时间]。

b．web认证选项

40 / 66

深信服M-5100-AC管理手册

[允许新用户（不知[web 认证用户设置]列表中的用户）认证，并在成功认证后将其加到列表和组中]：主要用于启用第三方认证（ldap 认证， radius 认证和pop3 认证），又没有在[web认证用户设置]中导入该第三方认证的用户名或新建用户名跟第三方服务器里相同的用户名时，如果一个用户认证成功，自动把用户名添加到[web

认证用户设置]里去，并加到某个组里。

[在用户通过认证之前，允许其访问dns 服务]用于允许在通过验证前访问dns。

[用户认证后（5）分钟内没有流量，视为超时]用于设定一个超时时间，如果多长时间没有流量就需要重新web 认证。

[只允许以下ip 地址查看，在线用户列表]用于限定特定ip

才能查看通过web 认证的用户列表。如下图：

[上传html 公告文件，在用户通过认证之前显示]：用于在web 认证前弹出公告的提示页面。

41 / 66

深信服M-5100-AC管理手册

把网页的目录打包成zip 文件（其中要显示的页面命名为）然后上传上去。

[未启用通过用户，可以访问基本服务（默认组权限，http

除外）]：用于允许用户在没有通过认证前能使用出tcp 80 端口外的缺省组的权限。

1.在用户名/密码的认证方式下，支持用户自己修改自己的密码，而不需网管来修改。如果连续3 次修改密码失败，则该用户会被冻结1 分钟。

2.打开修改用户修改密码的页面，地址为网关ip/。

输入要修改密码的用户名、旧密码、新密码和确认新密码，点击提交即可。

42 / 66

深信服M-5100-AC管理手册

IP-MAC认证用户设置

[ip-mac 认证用户设置]和下一小节的[web 认证用户设置]都用于设定内网用户的ip、mac、帐号等，以便在[访问控制组]中，针对不同的内网用户进行不同的控制和监控。

1.[ip-mac 认证用户设置]和[web 认证用户设置]是二者选其一的，当在前面的[用户认证方式设置]里激活了“web 认证”方式，则只有[web 认证用户设置]可用，[ip-mac 认证用户设置]按钮为灰色，不可用。反之亦然，当关闭web 认证时，则只有[ip-mac 认证用户设置]可用。

2.切换认证方式的时候导致所有访问控制组丢失，切换前会有提示，请注意。

ip-mac 认证用户设置界面如下图所示：

点击[新建]按钮，出现[新建/修改内网用户]对话框如下：

43 / 66

深信服M-5100-AC管理手册

这里可以设定“某用户名”对应的ip/mac 地址，或者设定“某组名”所包含的一系列ip/mac地址。可通过点击[新建]一个个手动添加ip 地址，亦可以通过点击[从ip 组获得]添加一组ip地址（ip 组可通过[对象设置/ip 组设置]定义好）。见下图所示：

勾选[启用ip/mac 绑定]，并点击[自动扫描mac]，ac 硬件网关即会自动扫描该用户或该组ip 所对应的mac，并对这些用户启用[ip/mac 绑定]功能。

当点击[自动扫描mac]进行ip/mac 地址扫描时，是由ac 硬件网关控制台所在电脑发arp请求来实现的，所以被扫描的ip 地址，必须是和控制台电脑在同一网段的。因此当控制台是在外网登录，或被扫描ip 段跨越了三层交换机等阻隔arp 通信的情况下，会扫描不到mac 地址的。

44 / 66

深信服M-5100-AC管理手册

WEB认证用户设置

[web 认证用户设置]主要用于设定进行[web 认证]时，内网用户通过web 认证所用到的[用户名/密码]。ac 硬件网关支持手动添加，或者通过ldap、radius 服务器等的导入[用户名/密码]。

点击[新建]按钮，出现[添加/修改用户]对话框如下：

[用户名]和[密码]可根据需要设置。[描述]用于填写备注信息，可随便填写，以方便辨识为原则。

[绑定ip]和[绑定mac]可用于绑定该[用户名/密码]对应电脑的ip 及mac 地址。

勾选[不需要web 认证]选项，则该用户上网时不需进行[用户名/密码]验证，但必须为该用户[绑定ip]或[绑定ip 范围]。也可在启用web 认证的同时[绑定ip]或[绑定mac]，也可同时绑定。

缺省情况下一个帐号只能一人使用。如果要建立一个用户名45 / 66

深信服M-5100-AC管理手册

可让多人登录（比如来宾帐号），可勾上[允许同一帐号多人同时登录]。

最后点击[确定]并[设置生效]。

1.如内网一部分用户需用web 认证，一部分需用ip-mac 认证时。可把ac 切换到[web 认证]，要用ip-mac 认证的用户可在建用户时[绑定ip]和[绑定mac]并勾上[不需要web 认证]。web 认证的用户按正常方法新建就行。

2.如果启用了[ldap 认证]、[radius 认证]或[pop3 认证]，则用户名/密码的认证会转向相应的服务器进行认证。ac 硬件网关可导入相应认证服务器的用户名列表，或新建跟服务器里的用户名对应的用户名，这样方便把用户分到不通的组管理。

3.启用了[ldap 认证]、[radius 认证]或[pop3 认证]也可不新建或导入用户，这样客户输入用户名的时候，ac 网关设备会连接到认证服务器去验证用户名密码。如果认证服务器通过了用户的认证，ac 网关设备就会让该用户上网。如果勾选[允许新用户（不在“web

认证用户设置”列表中的用户）认证，并在成功认证后将其加到列表和组中]，ac 网关设备会把通过验证的用户添加到相应的组里。

46 / 66

深信服M-5100-AC管理手册

点击[导入]按钮，出现以下对话框

导入支持ldap 服务器和txt 文件，点选[txt 文件]会出现txt 文件的选择对话框，选好适当的txt 文件即可。如果选择[ldap 服务器]，则出现如上图的[选择服务器]对话框（这里供选择的服务器由前面的[用户认证方式设置]所定义设置。），选择好服务器地址后，ac 硬件网关就会连接[认证服务器]，导入用户名列表，界面如下：

最后[确定]并[设置生效]保存设置即可。

1.导入[txt 文件]的用户名列表时，txt 文本格式是，一行一个用户名。

47 / 66

深信服M-5100-AC管理手册

2.导入域用户时只能导入user 的用户，不能导入group 的用户。

访问控制组

[访问监控组]可以实现对不同的内网用户进行各种各样的监控和控制，包括网页过滤、邮件过滤、上网权限、内容检测、访问跟踪、流量与p2p 控制等功能。设置界面见下图：

要对内网不同的用户进行不同的监控和控制，必须建立不同的访问控制组，右键点击[访问控制组]，选选菜单中的[新建组]，出现以下对话框：

在左上角填写[组名]，然后把右边可用的[内网用户]移到到左边，成为该组的[成员]，即完成[访问控制组]及该组[内网用户]的定义，最后[确定]即可。

48 / 66

深信服M-5100-AC管理手册

建立一个访问控制组之后，在[访问控制组]下会显示已经建立的各个[访问控制组]的组名，点选不同的[访问控制组]，控制台界面的右边会显示该组的[访问监控和控制]各项的具体设定。

包括网页过滤、邮件过滤、上网权限、内容检测、访问跟踪、流量与p2p 控制等功能。

1.缺省状态下，[访问控制组]中就包含了一个[默认组]，这个[默认组]是指那些没有定义好的内网用户，或其它访问控制组也都未包含的内网用户，则都属于[默认组]成员，受[默认组]规则的控制和监控。

2.如果启用了[web 认证]并启用了[准入规则]，应开放默认组的tcp 82 端口和udp 667 端口的上网权限，以便[准入规则]能正常工作。

a.网页过滤

[网页过滤]功能包含[url 过滤]、[关键字过滤]、[文件类型]和[ssl 控制]四部分。

（1） url过滤

49 / 66