| 产品线 | 问题 | 客户提交的答案 | 修正后答案 | 奖励 | 答案提交人昵称 |
| AF | AF的vpntun接口的用处是? | vpntun是VPN数据的虚拟路由口,用来引导数据发往VPN隧道,封装报文 | AF设备VPNTUN接口是VPN数据的虚拟路由口,主要引导数据发往VPN隧道封装报文,VPNTUN从标准版本AF4.1开始支持加入三层区域,且可针对VPN区域数据配置安全防护策略
以标准版本AF7.3版本操作路径为例,可在【网络配置】-【接口区域】-【区域】中将VPNTUN接口加入区域后,对该区域配置安全防护策略
注:新增区域时应用控制策略默认拦截所有数据,需先放通该区域的对应数据 | 30 | 新_手 |
| AF | AF联动封锁的IP会永久封锁吗? | 不会。默认封锁时间是10分钟。如果需要永久封锁,需要手动添加。 | AF联动封锁的IP不会永久封锁
默认封锁时间是10分钟,可在【运行状态】-【封锁攻击者IP】-【设置封锁时间】自定义封锁时间
如需要永久封堵,在【运行状态】-【封锁攻击者IP】中将被封锁的IP【添加到永久封堵】
①、以标准版本AF7.3版本操作路径为例,添加到永久封堵的IP,可在【系统】-【全局放行与封堵】-【封堵名单】中查看
②、以标准版本AF7.4版本操作路径为例,添加到永久封堵的IP,可在【策略】-【黑白名单】-【封堵名单】中查看
注:全局封堵功能需标准版本AF6.8版本及之后版本支持,之前版本可通过【应用控制策略】配置封堵策略 | 30 | adds |
| AF | AF链路检测发包频率是多少? | 可以自己设置 默认检查间隔2秒,失败阈值3次 | AF链路检测发包频率默认为2秒检测一次,三次检测不通即判断为故障
以标准版本AF7.3版本操作路径为例,可在【网络配置】-【接口区域】中对应接口配置中【链路故障检测】-【设置】中修改,或【网络配置】-【路由】-【策略路由】中对应的源地址策略路由配置中【链路故障检测】-【设置】中修改 | 30 | 星华时代徐建军 |
| AF | AF网关杀毒的方向是什么样的? | 默认是全方向,但可以自定义源和目的。 | AF设备的网关杀毒主要用于内网用户上网时查杀病毒文件或邮件附件,建议选择源区域为内网区域,目标区域为外网区域
①、以标准版本AF7.3版本操作路径为例,新建策略是默认为全方向,可在【内容安全】-【内容安全策略】中打开对应策略,【防护范围】选择【自定义】并点击【
设置防护源和目的】修改
②、以标准版本AF7.4版本操作路径为例,可在【策略】-【安全防护策略】-勾选【内容安全】后选择防护源和目的 | 10 | adds |
| AF | AF旁路部署,在IPS和WAF策略检测到攻击后怎么对攻击源进行阻止? | 通过AF设备发送TCP reset报文进行阻止。在“系统--系统配置--网络参数”下勾选“TCP reset”即可。 | 当检测到拦截策略的攻击特征数据后,AF可从管理口发送伪造的RST数据包以中断攻击的TCP连接,从而实现旁路防护
①、以标准版本AF7.3版本操作路径为例,需在【系统】-【系统配置】-【网络参数】中勾选【旁路 reset】功能
②、以标准版本AF7.4版本操作路径为例,需在【系统】-【系统配置】-【通用配置】-【网络参数】中勾选【旁路 reset】功能 | 30 | adds |
| AF | AF重置数据库需要admin权限吗? | 需要admin权限。 | 标准版本AF7.2版本新增控制台重置内置数据库功能,重置数据库需要admin权限
①、以标准版本AF7.3版本操作路径为例,可在【系统维护】-【技术支持工具】中点击【立即重置】,需输入admin的帐号密码后进行重置
②、以标准版本AF7.4版本操作路径为例,可在【系统】-【排障】-【技术支持工具】中点击【立即重置】,需输入admin的帐号密码后进行重置 | 20 | adds |
| AF | AF的命令控制台支持哪些命令呢? | “系统维护”|“命令控制台”,上面清楚的写着 | ①、以标准版本AF7.3版本操作路径为例,可在【系统维护】-【命令控制台】中查看或执行当前版本支持的命令
②、以标准版本AF7.4版本操作路径为例,可在【系统】-【排障】-【命令控制台】中查看或执行当前版本支持的命令
截止最新版本AF7.4版本,AF的命令控制台支持命令如下:
清屏:cls[clear][ctrl+l]
结束当前执行程序:term[ctrl+c]
查看vlan上的接口:vlan
查看arp表:arp
列出网口的连接情况:mii-tool
查看网口信息:ifconfig
查看mac转发表:switch-mac
测试主机地址连通性:ping
测试端口连通性:telnet
查看网卡信息:ethtool
显示路由表:route
跟踪数据包转发路径:traceroute
抓包命令:tcpdump | 30 | dan |
| AF | AF的ospf如何引入静态路由和默认路由? | 在OSPF参数配置中设置路由重发布配置里面选择重发布静态路由和默认路由。 | 以标准版本AF7.3版本操作路径为例,OSPF需引入静态路由和默认路由,可在【网络配置】-【路由】-【OSPF】-【3-参数配置】-【路由重发布配置】中【重发布静态路由】和【重发布默认路由】选择【是】 | 30 | sunliang2527 |
| AF | AF启用DNS代理后内网PC打不开网页,怎么办? | 1、检查AF的DNS配置是否正确。“网络配置--高级网络配置--DNS” 2、检查AF到内网PC的路由是否正确,以及是否有添加回包路由。网络配置--路由。 3、内网PC的DNS代理是否填写正确。 | 1、检查AF通过【命令控制台】PING DNS能否通,PING不通可检查路由是否正常
2、检查AF通过【命令控制台】PING 域名能否正常,PING不通可更换域名
3、检查AF通过【命令控制台】能否telnet通解析后的IP地址的80端口
4、检查电脑能否PING通AF启用DNS代理的接口地址、能否PING通域名,如不通更换电脑DNS为公网DNS测试,如不通检查AF的路由配置
5、【系统维护】-【数据包拦截日志与直通】开启直通测试能否正常PING通域名、打开网页
5、全局排除内网电脑IP查看是否能正常PING通域名、打开网页
6、电脑直接接联网线路,配公网IP是否能正常打开
备注:
若按照上述步骤操作还是无法解决您的问题,建议您选择联系人工处理
您可以输入“需要人工服务”了解人工服务途径 | 50 | adds |
| AF | 防篡改2.0同时做了ip和邮件认证,哪个优先呢? | IP认证优先。 | 若两种认证方法都勾选,则以IP认证优先,白名单内IP可以直接访问管理url,而白名单外的IP会弹出邮箱认证页面
①、以标准版本AF7.3版本操作路径为例,可在【服务器保护】-【网站篡改防护2.0】中对应的服务器策略中配置
②、以标准版本AF7.4版本操作路径为例,可在【认证系统】-【服务器访问认证】中对应的服务器策略中配置 | 20 | adds |
| AF | AF怎么同步日志到外置数据中心呢? | 首先要在相应的策略里面开启记录日志,然后在服务器上面安装外置数据中心,新建同步账号和密码,在设备控制台-系统里面选择日志设置,配置外置数据中心IP和同步账号密码等信息.最后再日志设置---日志功能开启里面选择相应日志下面的外置数据中心 | 以标准版本AF7.3版本操作路径为例:
1、在相应的策略里面开启记录日志
2、下载与AF版本对应的外置数据中心安装包并安装到能与AF正常通信的外置服务器上,并配置好相关配置
3、在AF控制台【系统】-【日志设置】中勾选日志同步到外置数据中心,并填写好对应的外置数据中心信息
<p>更多配置详情建议参考链接:<a href="http://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=25873" target="_self">点击这里</a></p> | 50 | sunliang2527 |
| AF | AF同步日志使用的端口是? | 默认使用810端口,但可以更改。 | AF与外置数据中心同步日志默认使用TCP810端口
AF与SYSLOG服务器同步日志默认使用UDP514端口,可根据服务器需求直接修改
AF与安全感知系统同步日志默认使用TCP4430端口
①、以标准版本AF7.3版本操作路径为例,可在【系统】-【日志设置】中查看或调整
②、以标准版本AF7.3版本操作路径为例,可在【系统】-【系统配置】-【日志设置】中查看或调整 | 20 | adds |
| AC | aBOS怎么解决可靠性? | 无类似答案 | aBOS使用集群部署方式来解决可靠性 |
| |
| AC | 在AC的在线用户里面手动注销了免认证用户,免认证还会生效的吗? | 无类似答案 | AC设备有两种免认证方式,一种是mac 免认证,一种是cookie免认证,在AC在线用户列表手动注销免认证用户,下一次认证,mac免认证会生效,cookie免认证不生效 |
| |
| AC | AC可以针对域用户做用户名绑定MAC地址的吗? | 可以。认证策略“认证方式--认证服务器”选择域服务器; 认证策略【认证后处理】-【自动录入绑定关系】-【自动录入用户和IP/MAC的绑定关系】勾选绑定MAC | AC可以针对域用户做用户名绑定MAC地址,在【用户认证与管理】-【认证策略】-【认证方式】-【认证服务器】选择域服务器,【认证后处理】勾选自动录入绑定关系,绑定用户的MAC即可 | 40 | adds |
| AC | AC内网访问服务器正常,但是公网访问内网服务器很慢? | 1、WAN-->LAN或WAN-->DMZ有做流速限制。
2、公网链路带宽有限。
3、服务器到公网的带宽利用率高,导致出口设备处理不了来自公网访问服务器的流量。 | 1、在AC上针对内网服务器开启上网故障排除功能,【系统管理】-【系统诊断】-【上网故障排除】排除策略影响
2、对比设备内网访问和外网访问,中间是否有其他设备影响速度
3、检查AC设备外网口流量是否跑满,排除带宽影响
备注:
若按照上述步骤操作还是无法解决您的问题,建议您选择联系人工处理
您可以输入“需要人工服务”了解人工服务途径 | 30 | adds |
| AC | AC设置VPN对接失败,报错提示经DPD超时,与其相关的隧道已经中断? | DPD(dead peer detection)功能来检测对端peer是否存活,看参数是否一致 | AC设置VPN,提示DPD超时,检查VPN两端的DPD配置,是参数配置不一致导致的 | 30 | 小huihui |
| AC | AC用户限额策略和认证策略有关系吗? | 没有关系。用户限额策略可以单独针对IP进行限制。 | AC设备用户限额策略属于上网策略,策略可以关联给用户和IP组,认证策略属于认证模块,两者没有关系 | 20 | adds |
| AC | AC旁路部署什么情况下需要选择多个镜像口? | 当交换机有配置多个镜像口时,AC也需要选择多个镜像口。 | 完全采纳 | 40+50 | adds |
| ADESK | 怎么看VMP是否打了补丁包? | VMP控制台--管理--设备升级--升级详情,在“当前版本”可以看到VMP是否打了补丁包。 | 登录的VMP的控制台,点击【管理】-【设备升级】-【升级详情】,鼠标停留在当前版本就可以看到当前设备是否打了补丁包 | 40 | adds |
| ADESK | VMP上更新模板虚拟机会更新计算机名称吗? | 不会更新计算机名称 | VMP上更新模板虚拟机不会更新计算机名称 | 20 | 有纪 |
| ADESK | 软件VDC网关模式部署,需要在VDC上写路由吗? | 需要,需写一条内网的回包路由 | 软件VDC网关模式部署,如果内网lan口存在多网段,需要在VDC上写路由指向内网 | 20 | 霄霄 |
| ADESK | 没有raid卡可以安装VMP使用虚拟存储吗? | 可以使用。 | 没有raid卡可以安装VMP使用虚拟存储,VMP可以读取到底层的物理磁盘,就可以做虚拟存储 | 20 | adds |
| ADESK | 为什么VDI用户登录进去看到2个资源? | 在VDC的角色授权里对同一个用户授权了两个不同的资源 | 在VDC的角色授权里对同一个用户授权了两个不同的资源,或者策略组里面指定了跳转另外一个资源,VDI用户登录进去可以看到2个资源 | 30 | 霄霄 |
| ADESK | 桌面云可以实现部分U盘只读,部分U盘读写吗? | 可以的,通过增加两个不同的组策略,然后关联给相应的用户就可以实现 | 桌面云可以实现部分U盘只读,部分U盘读写,通过增加两个不同的组策略,然后关联给相应的用户就可以实现 | 30 | tyjhz |
| ADESK | 在VDC上能不能把虚拟机移动到其他分组? | 不可以。分组是VMP上的配置,VDC无权调用 | 截止当前最新正式版本5.2R1,暂时不支持VDC上移动虚拟机的分组 | 20 | adds |
| ADESK | VDI用户个人磁盘的数据,是跟着用户走的吗? | 无正确答案 | 云盘部署的情况下,VDI用户个人磁盘的数据,是跟着用户走,非云盘部署情况,个人磁盘的数据跟虚拟机绑定 |
| |
| ADESK | 硬件特征码怎么在VDC上解绑? | VDI设置--用户管理--硬件特征码管理,将无用的绑定关系删除即可 | 登录的VDC的控制台,点击【VDI设置】-【用户管理】-【硬件特征码】,删除无用的绑定关系删除即可 | 40 | adds |
| ADESK | 桌面云定制版极域屏幕广播支持窗口广播吗? | 不支持。只支持教师屏幕广播和学生屏幕广播 | 截止当前最新正式版本5.2R1,暂时不支持桌面云定制版极域屏幕广播时候窗口广播 | 20 | adds |
| ADESK | 桌面云开启显卡直通模式的地方是灰色的是什么原因? | 无 | 服务器不是3D服务器的时候桌面云开启显卡直通模式的地方是灰色 | 0 |
|
| ADESK | 桌面云虚拟机支持使用AMD的显卡吗? | 不支持,现只支持英伟达的:Quadro M6000 24GB,Quadro M5000,Quadro M4000,Quadro M2000,GRID K1,GRID K2,M60显卡。 | 截止当前最新正式版本5.2R1,暂时不支持桌面云桌面云虚拟机使用AMD的显卡,目前支持英伟达的:Quadro M6000 24GB,Quadro M5000,Quadro M4000,Quadro M2000,GRID K1,GRID K2,M60显卡 | 40 | 霄霄 |
| ADESK | 桌面云怎么让虚拟机的IP不受模板更新的影响? | 在vdc-虚拟机管理中,设置好虚拟机的ip地址即可 | 在VDC上指定虚拟机IP可以让虚拟机的ip不受模板更新的影响,【VDI设置】-【虚拟机管理】-点击需要操作的虚拟机,点击编辑,选择指定IP地址就可以,如果需要指定的用户多,可以选择【批量指定用户IP】 | 30 | 信服科技_白手套 |
| SSL | SSL 短信认证用户绑定错了手机号码怎么办? | 在SSL设备控制台里面用户管理修改相应用户的手机号码 | 短信认证用户绑定错手机号码后,可以由管理员在【SSL VPN设置】-【用户管理】编辑对应用户,修改用户绑定的手机号码 | 30 | sunliang2527 |
| SSL | SSL 登录控制台提示登录IP不在允许范围内是什么原因? | 管理员登录策略做了限制。系统设置--管理员账号,编辑管理员“允许登录IP设置”,该终端IP不在允许的IP范围里或该IP在限制登录的IP范围里 | 请用超级管理员在【系统设置】-【管理员账号】编辑管理员检查是否设置了【允许登录IP设置】,将当前IP加入允许登录范围内,或者取消IP限制即可 | 40 | adds |
| SSL | SSL 怎么修改PIN码? | 用户登录后在EasyConnect个人设置可以修改pin码 | 用户登录SSL VPN后,右键EasyConnect系统托盘图标或者浮标选择个人设置,然后修改PIN码 | 30 | adds |
| SSL | SSL 二级管理员只有查看设备状态的权限怎么配置? | 1、系统设置--管理员账号,新建管理组,管理权限下只勾选“运行状态”。
2、系统设置--管理员账号,新建管事员,所属管理组选择第1步的管理组。 | 1、在【系统设置】-【管理员帐号】新建管理员,类型选择【访客】,访客对设备配置仅有查看权限
2、编辑管理员所属管理组的【管理权限】和【管理内容】,可以设置管理员可查看的模块和内容 | 40 | adds |
| SSL | SSL 一个wan口能不能填2个运营商地址? | 可以。外网接口,选择某条线路进行编辑,在多IP绑定里输入多个IP | SSL wan口支持绑定多IP,在【系统设置】-【网络配置】-【部署模式】-【外网接口】配置外网线路,线路类型选择【以太网】,在【多IP绑定】配置多IP | 30 | adds |
| SSL | SSL 可以批量重置VPN用户密码吗? | 可以,用户管理选择多个用户,点击编辑 | SSL支持批量编辑用户并修改密码,在【SSL VPN设置】-【用户管理】勾选需要重置密码的用户,然后点击编辑,统一设置密码,最后保存立即生效即可 | 30 | undo |
| SSL | SSL 如何批量禁用用户? | 可以,在用户管理,选中多个用户,编辑,在账号状态前面勾选,点击禁用 | 在【SSL VPN配置】-【用户管理】选中需要禁用的用户,点击编辑进入批量编辑界面,在【账号状态】设置为禁用 | 30 | undo |
| SSL | SSL 第三方ca认证需要申请哪些证书? | 只需要申请ca根证书即可 | 第三方CA认证需要申请CA证书、用户证书 | 20 | adds |
发表于 2017-11-8 09:42
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
楼主
技术研究员2级 
