站点
编辑站点
『租户』→『配置』→『站点』→『编辑』
此类配置推荐使用『模板』统一配置批量下发。
站点区域配置
确保在管理员界面开启站点区域管理,否则无法出现左侧的站点区域管理
初次开启站点区域管理时可双击建立根站点区域,需输入区域ID以及区域名称
- 区域ID(以字母、数字、下划线、中划线组成,4-32个字符)不可更改,不可重复
- 区域名称(1-20位中文、字母、数字、下划线、中划线组成的字符串)
- 中文字符6个就缩略,鼠标悬浮可以看到完整
- 双击可以重命名该区域
站点在有权限标签时,才会在站点区域被看到
鼠标悬浮于建立的“站点区域”右侧可出现更多操作
- 添加子站点区域与建立根站点区域相同;
- 可通过点击此处重命名进行名称的更改,也可以双击该站点区域对其进行重命名,在进行编辑后按回车或者点击空白处即可保存;
删除站点区域
- 若该站点区域下有子站点区域,则不可删除该站点区域
- 删除无子站点区域的站点区域时,若有站点绑定该站点区域,依然可删除该站点区域,同时站点自动绑定为其父站点区域
- 编辑站点时,通过权限标签与建立的站点区域进行绑定,绑定后,选择对应的站点区域时即可查看到该站点区域以及其子站点区域下所有的站点。
- 选择站点区域后,界面的监控只能看到该站点区域下的站点。info
可分配给租户运维管理员站点区域并管理对应的区域
站点配置导出
- 支持导出站点的VRF配置
- 包括:业务策略、传输网络QoS、ACL防火墙、静态路由、策略路由、TCP优化、SNAT、DNAT
- 导出文件是可被excel打开的xlsx后缀
1.导出所有站点的配置
配置-站点,点击“导出所有站点配置”
弹出窗口中,选择要导出的项目
导出文件内容如下
2.导出选中站点的配置
配置-站点,选择要导出配置的站点,然后点击“导出选中站点配置”
弹出窗口中,选择要导出的项目
导出文件内容如下
更多操作
关联VRF
可将租户下创建的VRF与选中的站点进行关联
删除
删除站点后无法恢复。
锁定站点
锁定站点后无法对站点进行编辑,配置,删除等操作。
锁定站点后需在更多中点击解锁站点进行解锁
生成激活URL
设备替换
授权许可
- 如果Nova专线带宽为空,则限制为1K
- 对于Hub-Spoke Internet或Hub-Spoke专线,如果带宽为空,则不对带宽进行限制
- 当同时存在Nova Internet和Nova 专线时,Nova Internet可以共享专线的带宽
配置站点
『租户』→『配置』→『站点』→『配置』
进入站点配置页面,站点的配置还可以通过模板来统一配置和批量下发,所以通用的配置建议通过模板来完成。
全局配置
WAN
WAN(Wide Area Network)口为广域网端口,设备通过该端口,将您LAN口所连接的本地网络连接至SD-WAN局域网中,您便可通过SD-WAN局域网与其他分支机构互通。本文为您介绍如何在控制台配置 WAN 口。
WAN配置-基础配置
- 可配置:默认使用CPE的WAN配置,选中后将覆盖CPE的WAN配置
在 IPv4 折叠面板中,配置以下信息,并单击确定
连接类型
- DHCP:WAN 口通过 DHCP 协议动态获取 IP 地址,用于网络访问。
- PPPOE:适用于运营商拨号场景,需要输入 PPPOE 账号和密码。
- 静态:通过静态配置 IP 地址进行网络互访。需要手动编辑 WAN 口的 IP 和网关 IP。
备用 IP
- 用于 WAN 口的备用地址,发生故障时可切换至该 IP 继续网络访问。
首选 DNS 服务器
- 指定首选 DNS 服务器地址,用于域名解析,提高网络稳定性。
备用 DNS 服务器
- 当首选 DNS 服务器不可用时,设备将自动切换至备用 DNS 服务器进行解析。
优先级
- 数值越小,优先级越高。优先级决定了南北向流量从哪个 WAN 口出,数值较小的 WAN 口将优先承载流量。
- 多个 WAN 口优先级相同时,可配置 WAN 口的 负载权重 进行流量分担,权重较大的 WAN 口将分担更多的流量。若优先级不同,则权重设置无效。
- MTU(最大传输单元),默认为 1500 字节,范围
[1-1500]。
WAN 探测 IP
- 用于检测 WAN 口的连通性,通常为外部公共 IP 地址,例如
223.5.5.5(阿里云 DNS)或119.29.29.29(腾讯云 DNS)。 - 设备会定期发送探测包(如 ICMP)检查 WAN 口的在线状态。
在 IPv6 折叠面板中,配置以下信息,并单击确定
连接类型
- SLAAC:通过无状态自动地址配置(SLAAC)协议,设备根据网络中的路由器广告自动获取 IPv6 地址,无需手动配置。
- 静态:手动配置静态 IPv6 地址,用于确保设备始终使用固定的地址进行通信。
备用 IP
- 用于 WAN 口的备用地址,发生故障时可切换至该 IP 继续网络访问。
首选 DNS 服务器
- 指定首选 DNS 服务器地址,用于域名解析,提高网络稳定性。
备用 DNS 服务器
- 当首选 DNS 服务器不可用时,设备将自动切换至备用 DNS 服务器进行解析。
WAN 探测 IP
- 用于检测 WAN 口的连通性,通常为外部公共 IPv6 地址,例如
2001:4860:4860::8888(Google DNS)或2408:8100:2112::1(腾讯云 DNS)。 - 设备会定期发送探测包(如 ICMPv6)检查 WAN 口的在线状态。
优先级
- 数值越小,优先级越高。优先级决定了南北向流量从哪个 WAN 口出,数值较小的 WAN 口将优先承载流量。
- 多个 WAN 口优先级相同时,可配置 WAN 口的 负载权重 进行流量分担,权重较大的 WAN 口将分担更多的流量。若优先级不同,则权重设置无效。
在 其他 折叠面板中,配置以下信息,并单击确定
端口/子接口
- 用于指定 WAN 口对应的物理端口或子接口,用户可以根据实际需求灵活配置。该选项允许用户自定义 WAN 接口的绑定端口,支持修改物理端口或虚拟子接口,以满足特定网络架构的需要。
WAN 探测
- 检查正常次数:连续达到指定次数的 ping 测试,若该 WAN 口的连接稳定,将被视为正常畅通。如果该 WAN 口优先级较高,则流量会回切回来。
- 检查异常次数:连续达到指定次数的 ping 测试失败,路由将被视为不可用,流量会自动切换到其他 WAN 口。
- 检查间隔:指定每次 ping 测试的间隔时间,单位为秒,用于检测 WAN 口的实时状态。
其他设置
- 禁用 Internet 能力:决定该 WAN 口是否具备访问 Internet 的能力,若启用此选项,WAN 口将无法访问外部互联网。
- 允许使用该接口与控制器连接:在启用「禁用 Internet 能力」后,决定该 WAN 口是否能够连接到控制器。若选择此选项,WAN 口将可用于与控制器进行通信,确保管理和控制的能力。
在 IPv6源网段策略 折叠面板中,配置以下信息,并单击确定
IPv6 源网段策略
- 允许网段:配置允许从南北向出局的 IPv6 地址。默认情况下,独占地址池中的网段会自动放行,无需额外配置。
- 其他网段行为:默认为丢弃,表示对于未在允许网段中的其他地址会丢弃。该行为可以统一修改为放行或转换为出接口地址。
WAN配置-传输网络配置
在 传输网络 对话框中,配置以下信息,并单击确定
传输网络
- 传输网络:用于与远端建立隧道,决定了该WAN用什么样的链路进行组网
- 传输网络有四种类型:Nova专线、Nova Internet、Hub-Spoke专线、Hub-Spoke Internet
- WAN优化:增加传输网络时可通过FEC技术对WAN进行优化
- 隧道标签:拥有相同标签的WAN会建立隧道,不填则匹配任意建立隧道
在音视频传输场景中,丢包问题非常敏感,丢包会导致视频花屏、声音卡顿等问题。FEC(Forward Error Correction)技术能够有效解决网络丢包问题。FEC 会根据链路状态和应用需求,动态调整冗余度和校验方式,确保实时音视频传输的稳定性。 然而,启用 FEC 功能会显著增加带宽的占用,最多可能使用双倍带宽。因此,在解决网络丢包问题时,首先应考虑是否可以通过 TCP 优化来解决,而不是直接启用 FEC,特别是在带宽有限的情况下。
在 接入/接口IP 折叠面板中,配置以下信息,并单击确定
接入/接口 IP
- 接入 IP:当站点作为 Hub 节点时,必须配置公网 IP,Spoke 节点将通过该 IP 与 Hub 节点建立连接。
- 接口 IP:如果接入 IP 是浮动 IP 时,必须配置接口 IP。接口 IP 是 WAN 口的实际 IP 地址或备用 IP 地址。
在 使用IPv6地址创建隧道 折叠面板中,使能该功能
使用IPv6地址创建隧道
- 支持手动创建 IPv6 隧道,前提是配置有有效的 IPv6 地址,且该 IPv6 地址与对端可达(例如,能够通过 ping 测试互通)
- 当站点为 Hub 节点时,外层隧道是否使用 IPv6 协议由 Spoke 节点的配置决定。
WAN配置-QoS配置
QoS
- 设备支持 QoS(Quality of Service),可对 WAN 口进行 上行带宽限速,优化不同业务流量的优先级与带宽分配。
- 提供 四种速率保障级别:
- 金(高优先级):保障关键业务流量,确保最低速率要求,优先级最高。
- 银(中优先级):适用于重要业务流量,在带宽充足时可获得较高保障。
- 铜(低优先级):分配较低带宽,适用于普通上网或非关键业务。
- 默认 :未指定优先级的流量,将按照默认策略进行分配。
- 保障速率应小于 License 许可速率,避免带宽超限影响整体性能。
- 由于 数据包头存在额外开销,实际可用带宽会略低于配置值。
- QoS 配置可有效提升关键业务体验,但仍需合理规划带宽,避免影响整体网络性能。
WAN配置-告警
在 带宽告警 折叠面板中,配置以下信息,并单击确定
用于监测 WAN 口的带宽使用情况,避免异常流量影响网络稳定性。
- 告警带宽 (Mbps):当 WAN 口的带宽使用超过此值时,触发告警。
- 告警阈值 (%):带宽使用超过设定的百分比时,触发告警。
- 阈值持续时间 (分钟):带宽使用超过阈值的持续时间,达到设定时间后才触发告警,避免瞬时流量波动导致误报。
在 连通性监测 折叠面板中,配置以下信息,并单击确定
- 对于没有overlay隧道的设备,提供WAN连通性监控的功能。
- 监测地址组:选择一个监测地址组,定期通过WAN对此地址组进行ping测试。当所有IP地址都不可达时,将产生事件[WAN连通性异常]。 查看 "监测地址组" 配置
若在 网络对象 里没有看到 监测地址组 标签,请联系高技确认账号权限
WAN路由
WAN路由-静态路由
在 新建IPv4静态路由 对话框中,配置以下信息,并单击确定
- WAN静态路由 配置WAN的静态路由,不会被发布。
- IP前缀 可配置多个或单个IP前缀。
- 区域 选择所需区域。可参考 区域地址库
- 下一跳 VRF 路由 下一跳的VRF路由是WAN到LAN的路由,通常在配置了NO-NAT场景时使用。
- 接口直连 配置直连接口。
- 路由探测 关联路由探测后,系统将自动检查探测结果。如果发现探测异常,将取消或撤销该路由。
- 描述 配置该路由的描述信息。路由探测 配置
在 新建IPv6静态路由 对话框中,配置以下信息,并单击确定
- WAN静态路由 配置WAN的静态路由,不会被发布。
- IP前缀 可配置多个或单个IP前缀。
- 下一跳 VRF 路由 下一跳的VRF路由是WAN到LAN的路由,通常在配置了NO-NAT场景时使用。
- 接口直连 配置直连接口。
- 描述 配置该路由的描述信息。
WAN路由-静态路由探测
在 新建IPv6静态路由 对话框中,配置以下信息,并单击确定
- 名称 配置路由探测的名称。
- 探测IP 探测IP用于检查路由是否畅通。若探测失败,将自动取消该路由,以确保流量能够顺利走其他可用的路由路径。 探测IP支持填写多个,以英文逗号分隔。每个探测IP都会被ping,任一个IP ping测试成功则认为该次检查是正常的。
- 检查正常次数 连续达到指定的「检查正常次数」ping测试成功时,路由将被视为正常畅通,并会重新生效。
- 检查异常次数 连续达到指定的「检查异常次数」ping测试失败时,路由将被视为异常不畅通,并会自动取消该路由。
- 检查间隔 每隔指定的「检查间隔」秒执行一次ping测试,单位为秒。
- 源IP 配置用于ping测试的源IP。
- 源接口 配置用于ping测试的源接口。
IP地址池
定义公网IP的地址池,用于NAT策略。可以配置共享地址池(所有VRF都可以使用)/独享地址池(指定VRF可以使用)
在 新建IPv4地址池 对话框中,配置以下信息,并单击确定
- 地址池名称 配置地址池的名称。
- WAN口 配置WAN口。
- 类型 共享地址池/独享地址池。
- 禁止从其他WAN口出 当指定的WAN口DOWN时,禁止流量从其他WAN口出。设备6.4.0及以上版本支持。 设备6.4.0以下版本,当地址池指定的WAN口DOWN时,流量会从其他WAN口出。
- 开启代理ARP 当地址池中的IP无法路由可达时,可开启代理ARP。
- 地址范围 配置地址池的地址范围。
在 新建IPv6地址池 对话框中,配置以下信息,并单击确定
- 地址池名称 配置地址池的名称。
- WAN口 配置WAN口。
- 类型 独享地址池。
- IP前缀 配置地址池的地址范围。
- 关联VRF 选择一个VRF。
IP端口池
定义IP端口池,需要先配置共享地址池并引用,支持从地址池分配一个或一段IP。
在 新建IP端口地址池 对话框中,配置以下信息,并单击确定
- 地址池名称 配置地址池的名称。
- IP地址池 可选择一个 共享地址池 。
- IP端口 可配置IP前缀,一个和多个端口。
- 关联VRF 选择一个VRF。
Host限速策略
Host限速策略:支持全局IP地址池QoS限速。
在 新建限速策略 对话框中,配置以下信息,并单击确定
- 策略名称 配置策略名称。
- 描述 配置策略的描述信息。
- 源地址池 需先在IP地址池中定义独享地址池并保存配置后才能在此处选择。 IP地址池 配置
- 目的地址池 需先在IP地址池中定义独享地址池并保存配置后才能在此处选择。
- 源主机限速 配置源主机的限速。
- 目的主机限速 配置目的主机的限速。
传输网络优先级
- 值调整WAN在各个传输网络中的优先级;
- 不同WAN配置了相同的[传输网络],可输入优先级值,调整WAN在各个传输网络中的优先级,决定了东西向流量优先从哪个WAN出;
- 优先级值越小,优先级越高;优先级相同时负载均衡。当修改WAN所属的传输网络时,会重新调整WAN在各个传输网络中的优先级;
- 此处配置的是各个传输网络内不同WAN口的优先级,包括业务保障优先级和路由优先级;传输网络间的业务保障优先级请到 [VRF配置 > 保障级别行为] 进行配置;传输网络间的路由优先级请到 [VRF配置 > Overlay路由策略] 进行配置。
端口定义
VLAN子接口
- 创建了子接口的物理接口将不能被使用
- bond口支持配置VLAN子接口
- bond被HB选用后,不支持再配置VLAN子接口
- bond配置子接口后,只有bond子接口可以选做lan口
端口聚合
HA高可用功能
- 支持指定bond端口为HA心跳口
- 设备版本大于等于6.3.0时才可更改HA口
WI-FI
只有具备WI-FI能力NSE才可以打开此配置项,配置完WI-FI后在LAN定义中调用。
单频设备
双频设备
管理口
IP获取方式支持 DHCP和静态IP 静态IP时,可以配置网关IP 开启DHCP Server时,必须配置DHCP地址范围 具有WLAN的管理口可以隐藏SSID
HA口管理
修改HA接口ip, 流量可能会有中断且主备设备修改的指定端口IP需连续,请谨慎操作
IPSec
此处需点击覆盖模版配置后才可选择加密算法,建议在模板的全局配置中配置。
- 加密算法:支持国密,AES256, AES128, NULL算法。
- 配置端口:
- IKE发起端源端口默认为500
- 服务端口默认为1443
- NAT-T发起端源端口默认为4500
- 服务端口默认为1444。可修改配置为其他端口。
设备时区管理
设备时区管理:配置时间服务器和时间偏移量
DNS
配置WAN的域名代理解析与本地域名解析
默认DNS服务器为空时,将使用WAN口的DNS服务器。此处配置的两台DNS服务器将同时请求,采用先收到应答包的结果。 勾选强制代理后,所有网络上的DNS查询都会被强制重定向到本设备的DNS服务器进行解析
底层DSCP标记
运营商向用户提供4种服务协约(SLA):金,银,铜,默认。
- 对于这4种服务,可以指定配置不通的DSCP标签
- EF 加速转发
- AF 确保转发
- 01 低丢弃优先级
- 10 中丢弃优先级
- 11 高丢弃优先级
- CS 类别选择
防火墙
可防止来自WAN侧的扫描
功能管理
开启SNMP
支持SNMPv1/v2和SNMPv3
开启IPv6
支持开启站点IPv6功能
VRF网络配置
推荐采用模版统一配置,部分需要个性化定制的部分再覆盖模板进行配置
LAN
LAN定义
配置LAN名称、LAN接口,支持多个LAN,支持Vlan子接口
LAN配置
配置LAN IP,配置DHCP。
只有定义LAN后,才会出现LAN配置项
- DHCP-BOOT配置
- 导入导出DHCP静态绑定
VRF路由
配置策略路由、静态路由、WAN侧静态路由探测。
配置BGP和OSPF。
静态路由下一跳WAN表示要从本地WAN出去不走东西向隧道;
静态路由下一跳BLACK HOLE表示Null0路由;
静态路由优先级:路由的度量值,同种协议的路由,度量值越大优先级越低;
静态路由管理距离:路由协议的优先级,一般为一个0到255之间的数字,数字越大则优先级越低;
策略路由和静态路由支持配置目的为国家/区域的路由条目;
设备对区域所配置的条目有一定的限制(10w条), 例如:亚太地区 + 北美 不可保存(条目过多)
VRF路由发布优先级,用于发布相同路由条目的站点,主站点优先级高,备站点优先级低;
BGP[隐藏AS]可以过滤LAN侧BGP路由中的AS-Path号,但不能过滤路由条目;
BGP[AS Path Prepend长度]可以向LAN侧发出的路由增加AS-Path跳数;
BGP[发布策略]和[接收策略]中勾选[严格匹配]则掩码必须精确匹配,不勾选[严格匹配]则掩码为模糊匹配。
- 勾选:ip prefix-list vrf1_out_w198.20.0.13 seq 5 permit 199.255.0.0/24;
- 不勾选:ip prefix-list vrf1_out_w198.20.0.13 seq 10 permit 199.255.1.0/24 le 32)
HA高可用
HA高可用功能开启会导致传输网络优先级发生变化。若确定开启,请及时调整传输网络优先级。
配置步骤如下:
启用HA,选择VRRP主设备:『租户』→『配置』→『站点』→『配置』→『全局配置』
配置NSE的备用IP:『租户』→『配置』→『站点』→『配置』→『VRF配置』
认证策略
认证策略
参数说明:
- “开启本地认证”:开启/关闭站点的身份认证功能
- “认证方式”:目前支持“WEB认证”
- “认证范围”:指定需要认证的IP地址/IP网段
- “白名单”:在认证范围内,指定免认证的IP地址/IP网段
静态绑定
注意事项:
- 同一ip只能绑定1个用户
业务策略
业务策略支持基于IP五元组、基于应用组、基于DSCP进行流量分类等,支持对流量进行队列优先级调度、流量整形等QoS策略,支持通过DSCP重标记等QoS功能。 为了满足不同的配置场景,提供了两种QoS配置策略,一种是Overlay网络的QoS,一种是Underlay配置的QoS称。两种QoS的实现原理相同,只是策略应用的范围不同。
当拥塞的情况下有最小的带宽保证
当发生拥塞时如满足所有类保证带宽后,还有多余带宽,各个类class会按着优先级来占用多余带宽;
业务策略
保障级别行为
针对不同的业务,提供不同的保障模式
- 指定传输网路
- 质量优先
- 故障切换
传输网络QoS
[带宽拥塞阈值] 配置带宽拥塞的上限和下限,当大于上限时,链路会进入拥塞状态;当小于下限时,链路会进入非拥塞状态。结合业务策略和业务保障使用。
- 由于传输链路的隧道包头导致带宽值应该设定为wan口带宽的95%
- 当前qos带宽的力度是基于transport, 如果同一个transport有两个不同带宽的wan,需要可以同时基于wan来设置
设置每一个传输组的带宽、带宽告警阈值、告警持续时间还有速率保障的百分比;
QoS优先级映射
默认情况下,业务的所有流量(包括优先级为默认、金、银、铜)都映射为底层的金流量。
防火墙
防火墙分为普通防火墙和应用防火墙,应用防火墙在普通防火墙的基础上支持应用识别。推荐使用模板配置,如有个别站点有特殊配置,可以用站点配置来覆盖模板配置。
NAT
DNAT
用于配置DNAT功能,可将 [ 转换前IP/网段,协议,端口 ] 映射成 [ 转换后IP端口池/IP地址池,协议,端口 ],外部网络可以通过映射后地址访问内部网络,从而使内部网络可对外提供服务。
SNAT
用于配置SNAT功能,可将 [ 转换前IP/网段 ] 映射成 [ IP地址池/VRF独享地址池/不转换 ],内部网络可以通过映射后地址访问外部网络,但外部网络不能通过映射后地址主动发起对内部网络的访问
TCP优化
当SDWAN链路端到端延时大(>20ms)且链路质量不佳时,单个TCP Flow带宽上不去(尤其是Windows终端)可以为指定的服务配置TCP优化功能,提高传输速率。 配置TCP优化的设备应该尽可能的接近数据发送方,比如:
- 从应用加速出口下载大文件,应该配置在NSS设备;
- 上传大文件,应该配置在接入侧的CPE;
- 源或目的中,匹配条件只能选择IP地址或地址组中的一类,不可同时选择
- 服务与服务端口只能选一个类型,当前服务只支持FTP服务
- 建立的优化规则是按照顺序依次匹配的
各型号设备默认会话数和CPS记录
| NE006 | NE106 | NE206(4G)-SWG | NE206 | NE600 | NE800 | NE900 | |
|---|---|---|---|---|---|---|---|
| 最大会话数 | 1000 | 1000 | 5000 | 10000 | 64510 | 64510 | 10000 |
| 新建会话速率 | 100 160 | 200 285 | 300 400 | 400 600 | 1000 1500 | 1000 1500 | 200 |
当超过最大会话数和新建会话速率的TCP流量将不代理,正常转发
NE206开启TCP优化前后性能对比
| 型号 | 丢包率 | 抖动 | 延迟 | 协议 | 方向 | 无TCP优化 | 有TCP优化 |
|---|---|---|---|---|---|---|---|
| NE206(8G) | 0.1% | 2ms | 80ms | SMB | 下载 | 1Mb/s | 210Mb/s |
本地上网
通过策略路由,强制流量从本地WAN口出去。可以选择配置匹配目的IP/区域的方式
- 指定业务流量本地上网:通过策略路由,强制流量从本地WAN口出去。可以选择配置匹配目的IP的方式
- 集中上网:开启后,本站点将成为集中上网网关,其他站点的上网流量将转发至上网网关进行出局
集中上网的IP可通过提供的CIDR工具进行合并去重,检验是否有效
DNS
OverLay路由策略
基于策略路由和cpe内部acl:
- 可以提供一种新的加速场景
- 可以在站点配置匹配ip和domain的将流量导入隧道上
- 加速网关只发布0.0.0.1和128.0.0.0/1的default路由
VRF安全配置
推荐采用模版统一配置,部分需要个性化定制的部分再覆盖模板进行配置
安全服务
安全服务策略
对流量进行转发控制和高级安全功能检测
- 记录日志若打开,则将匹配的规则以日志的形式记录下来
URL过滤配置文件
文件过滤配置文件
对使用特定应用传输的文件进行文件类型识别,控制文件传输行为
- 应用范围:默认支持FTP、HTTP、 SMTP、POP3、IMAP、SMB协议,以及多种论坛、博客、网盘和网页邮箱。
- 最大解压文件大小:最大支持解压文件大小为2MB,超过最大解压文件大小的文件将直接放行,不进行文件过滤。
内容过滤配置文件
对使用特定应用传输、且含有关键字信息的数据,进行有效识别及行为管控
- 应用范围:默认支持FTP、HTTP、 SMTP、POP3、IMAP、SMB协议,以及多种论坛、博客、网盘和网页邮箱。
- 文件类型:默认支持HTML、TXT、DOC、DOCX、XLS、XLSX、PPT、PPTX、PDF、RTF、XML、TEX
- 最大解压文件大小:最大支持解压文件大小为2MB,超过最大解压文件大小的文件将直接放行,不进行内容过滤。
邮件过滤配置文件
基于收发件人的邮件过滤和反垃圾邮件过滤
反病毒配置文件
通过反病毒引擎对传输的文件或邮件进行缓存后,对整个文件或邮件内容进行病毒检测
- 应用解码:通过对 HTTP、SMB 和 FTP 方式上传、下载文件,或 SMTP、POP3、IMAP 协议发送的电子 邮件及其附件等进行病毒扫描,并可以根据扫描结果进行相应的处理
- 自定义病毒:对 AV 病毒库的补充。自定义病毒的优先级高于病毒库中的优先级。进行 AV 检测时,先匹配自定义病毒
- 最大支持解压文件大小为2MB,超过最大解压文件大小的文件将直接放行,不进行病毒检测。
漏洞防护配置文件
对常见的系统漏洞进行防护 例外规则:仅支持128条例外规则
防间谍软件配置文件
对常见的间谍软件进行防护
安全防护
攻击防护
对Flood、恶意扫描、异常包攻击、ICM管控等进行攻击防护。加入攻击防护白名单的地址,流量不进行攻击防护检测,直接放行。
警戒值:0-50000包/秒,0表示不开启
会话限制
限制并发连接数或新建连接数,0-3000000,0不表示限制,默认不限制
黑白名单
地址白名单
加入白名单的 IP 地址,将免于文件过滤、内容过滤、邮件过滤、反病毒、漏洞防护、防间谍软件、会话限制、威胁情报、处置中心等功能的检测。地址白名单仅对流量的源 IP 生效,且优先级高于黑名单。
地址黑名单
域名白名单
当用户访问加入白名单的域名时,将免于反病毒、漏洞防护、防间谍软件、威胁情报等功能的检测。域名白名单的优先级高于域名黑名单。
域名黑名单
当用户访问加入黑名单的域名时,直接拒绝流量通过。
批量黑IP封堵
禁止来自外网的大量黑 IP 攻击内网主机。
自定义内网地址
- 站点安全策略支持自定义内网地址, 安全模板不支持自定义内网地址
- 输入后可以定义公网IP为内网地址,从而避免地址库错误的识别流量的地址信息
高级参数
- 允许非对称路径:默认情况下,不允许非对称路径。勾选后,将允许非对称路径
- 私有IP地址进行URL过滤:默认情况下,URL对应的IP地址为私有地址时,不进行URL过滤。勾选后,将进行URL过滤。
