深信服上网行为管理器配置为网桥模式，并且禁止某个网段上网

最早调试深信服的上网行为管理器是2006年的事情了，同类产品：网康，是2008年接触的；当时就被它强大的监测功能震惊了——竟然能监控QQ聊天记录，并且另存到内置硬盘和其他服务器上。

发展到今天，功能肯定是更强大了，但我觉得吧，这也是双刃剑……

还是这个拓扑图，前面已经写过路由器和防火墙的配置了，本文来讲一下上网行为管理器网桥模式的配置。

简单来说，网桥模式就是把设备看作一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用；对原网关设备及内网用户而言，不必知道网桥设备的存在，即所谓对原网关及内网用户透明，所以也称为透明模式。

1、配置网桥模式

这台上网行为管理器的默认和管理口为EHT1，IP地址为10.252.252.252/24，电脑设置为同一网段任意IP，然后网线接入ETH1口，就能https登录设备了；

依次点击“导航菜单”页面中的“系统管理”→“网络配置”→“部署模式”，然后选择“网桥模式”。

然后就是选择接口，一个是上连防火墙的接口eth2，一个是下连核心交换机的接口eth0；紧接着，再设置网桥的IP地址，防火墙内网接口IP是20.1.1.1/24，核心交换机三层口IP地址是20.1.1.2/24，所以将网桥IP设置为20.1.1.3/24，后期可以通过这个IP地址来管理设备。

注意，网桥模式配置成功后，ETH0和ETH2两个接口的IP地址是同一个地址，这没什么好奇怪的。

2、添加静态路由

去互联网的默认路由，自动生成了；但是去局域网的静态路由，需要手动配置一下。

3、确认上网监控功能是否正常

要实现上网行为管理，首先要能正确监控到上网行为，所以先打开“实时状态”菜单，点击“上网行为监控”，能看到就表示基础配置没问题了。

4、流量管控

刚把网络配通没多长时间，用户就报上网非常卡顿，赶紧看一下流量，好家伙，因为暂时只接入了一条20兆的专线，有台电脑正在下载，直接把宽带占满了，这还得了。

设置默认宽带是300兆的，赶紧按照实际情况调整一下；

启用流量管理，保障时延敏感应用的宽带和优先级

5、上网策略

禁止VLAN11和12两个网段上网，需要创建一个“上网权限策略”，“应用控制”中，勾选“所有已知应用”，动作当然是“拒绝”；

源IP即VLAN11和12，输入192.168.11.0/24和192.168.12.0/24，结果自动显示为192.168.11.0-192.168.12.255；

6、备份配置

按照客户要求，初步配置完成，导出配置文件。

本文只是上网行为管理器的基础配置，更多细化功能等客户提出具体要求的时候，再写文章记录。