上网行为管理：功能+应用场景+基本操作

上网行为管理：功能+应用场景+基本操作

功能

用户认证

​ 目的
​ 标识用户的身份，验证合法性，控制及审计上网行为
​ 实现方式

1. IP/MAC绑定：
   • 实现方式：将用户的IP地址或MAC地址与其身份进行绑定。
   • 工作原理：通过网关或交换机配置，限制只有绑定的IP或MAC地址才能访问网络服务。
   • 优势：简单易行，适用于小范围网络，能够有效控制特定设备或用户的访问。
2. 用户名+密码认证：
   • 实现方式：用户通过输入预先分配的用户名和密码进行登录验证。
   • 工作原理：验证用户名和密码的有效性，允许合法用户访问网络资源。
   • 优势：常见且易于管理，适用于大多数企业和机构网络。
3. 第三方服务器认证：
   • 实现方式：将认证服务外包给第三方，如RADIUS或LDAP服务器。
   • 工作原理：用户登录时，网关或服务器向第三方认证服务发起验证请求，以确认用户身份。
   • 优势：可与现有的身份验证基础设施集成，支持复杂的认证策略和多种身份验证方法。
4. Dkey认证：
   • 实现方式：使用硬件或软件生成的动态密码（一次性密码）进行认证。
   • 工作原理：用户除了用户名和密码外，还需输入由Dkey生成的动态密码，以增强认证安全性。
   • 优势：提高了登录的安全性，防范了密码被盗用的风险。
5. 单点登录（SSO）：
   • 实现方式：用户只需登录一次，即可访问多个相关系统或服务。
   • 工作原理：一旦用户通过认证，他们可以无需重新输入凭据就能访问其他受保护的系统。
   • 优势：提升了用户体验和管理效率，减少了多次登录带来的不便和错误。
6. 短信/二维码认证：
   • 实现方式：用户通过收到的短信验证码或扫描二维码来完成认证。
   • 工作原理：系统向用户注册的手机号发送验证码或生成二维码，用户验证后即可登录。
   • 优势：提供了额外的安全层，确保只有拥有访问权限的用户能够登录。
7. 终端类型识别：
   • 实现方式：识别连接到网络的设备类型（如PC、手机、平板等）。
   • 工作原理：根据设备类型应用相应的访问策略和权限控制。
   • 优势：帮助管理员根据设备特征管理网络访问，例如为移动设备提供特定的安全配置。

应用控制

​ 目的
​ 封堵应用流量
​ 实现方式

1. 应用特征识别库：
   • 实现方式：建立应用特征数据库，收集和分析应用程序的网络行为特征。
   • 工作原理：通过深度包检测（DPI）等技术，识别和分类不同应用程序的流量特征。
   • 优势：能够准确识别各种应用，包括加密和基于代理的应用程序，以便进行精细化管理和控制。
2. 应用管理标签化：
   • 实现方式：为每种应用程序分配管理标签，指定其访问权限和行为限制。
   • 工作原理：管理者根据标签制定策略，例如允许或限制特定类型或特定供应商的应用程序。
   • 优势：简化管理和策略应用，提高了管理的可操作性和效率。
3. 精细化管控：
   • 实现方式：根据应用的特定需求和安全策略，实施详细的管控措施。
   • 工作原理：对不同的应用程序实施定制的访问和使用策略，例如限制带宽、阻止特定功能或内容的访问等。
   • 优势：根据实际需求调整控制策略，确保资源的最优分配和安全的网络环境。
4. 防共享防翻墙：
   • 实现方式：通过技术手段防止用户使用共享账号或代理工具绕过网络控制。
   • 工作原理：实施身份验证、行为分析和审计等措施，监控和阻止非法访问行为。
   • 优势：减少资源滥用和安全风险，确保网络资源和服务的合法使用和安全性。

网页过滤

​ 目的
​ 过滤不让员工访问的网站
​ 实现方式

1. 千万级URL识别库：
   • 实现方式：建立庞大的URL识别库，包含数以千万计的已知网址。
   • 工作原理：通过更新和维护URL数据库，系统可以实时检索和识别用户访问的URL，以便对其进行分类和过滤。
   • 优势：确保对大多数常见和已知的网站进行准确的分类和控制，有效管理用户访问行为。
2. URL智能识别系统：
   • 实现方式：利用智能算法和机器学习技术，实现对未知或变种URL的动态识别。
   • 工作原理：系统可以分析URL的结构、域名和路径等特征，识别潜在的恶意或未知的网址，并根据安全策略进行处理。
   • 优势：提高了对新兴和变种威胁的检测能力，增强了系统的安全性和适应性。
3. URL云共享：
   • 实现方式：采用云端技术，将URL黑名单和安全信息共享给多个部署在不同位置的网络设备。
   • 工作原理：确保所有设备可以及时更新最新的URL过滤规则和安全威胁信息，提高整体的网络安全防护能力。
   • 优势：有效应对分布式和广泛传播的网络威胁，提高了安全响应和恢复能力。
4. 自定义URL：
   • 实现方式：允许管理员根据具体需求和策略，自定义添加或排除特定的URL。
   • 工作原理：管理员可以根据组织的特定需求和政策，管理和调整特定URL的访问权限和过滤规则。
   • 优势：增强了灵活性和管理的精细度，使得网页过滤能够更好地适应组织的特定需求和策略。
5. 恶意网址过滤：
   • 实现方式：通过集成安全服务和恶意网址数据库，检测和阻止用户访问已知的恶意网站。
   • 工作原理：系统实时查询恶意网址数据库，对用户访问的网址进行验证和过滤，防止用户受到恶意软件和网络攻击的威胁。
   • 优势：提高了网络安全性，有效预防用户因访问恶意网址而受到的安全威胁和风险。

行为审计

​ 目的
​ 记录内网用户的上网行为
​ 实现方式

1. 网页访问审计：
   • 实现方式：通过代理服务器或防火墙设备实现网页访问审计。
   • 工作原理：设备记录和分析用户访问的URL、访问时间、访问持续时间等信息。
   • 优势：可以识别和记录访问的具体网页内容，以便分析和审计用户的上网行为。
2. 邮件审计：
   • 实现方式：使用邮件网关或邮件服务器进行审计。
   • 工作原理：记录和分析所有进出邮件的主题、附件、发送者、接收者等信息。
   • 优势：检测和防止机密信息的泄露，监控员工是否遵守安全策略和行为规范。
3. IM聊天应用审计：
   • 实现方式：使用专门的IM审计软件或集成到安全设备中。
   • 工作原理：监控并记录IM聊天应用（如微信、QQ、Skype等）的聊天内容、参与者、时间等。
   • 优势：防止机密信息的泄露，确保员工在IM中的沟通符合企业政策和法规。
4. 外发文件审计：
   • 实现方式：通过数据防泄漏（DLP）解决方案实现。
   • 工作原理：监测和阻止敏感文件（如机密文档、财务报告等）的外发行为，包括电子邮件附件和云存储上传。
   • 优势：防止敏感信息的误发或恶意泄露，确保数据安全和合规性。
5. 微博、论坛发帖等审计：
   • 实现方式：利用网络安全设备或第三方监控工具实现。
   • 工作原理：监控和记录员工在社交媒体平台上的发帖内容、时间和参与情况。
   • 优势：遵守企业的社交媒体政策，防止员工在公开平台上发布敏感或不当言论，维护企业形象和品牌声誉。

流量管理

​ 目的
​ 根据业务需求，对带宽进行合理分配
​ 实现方式

1. 基于用户/用户组/应用/网站类型的流控：
   • 使用深度数据包检查（DPI）技术，识别并分类用户、用户组、应用和网站类型的流量。
   • 配置策略规则，根据识别的分类对流量进行优先级排序、限制带宽、设定访问时间等控制。
2. 多级父子通道：
   • 配置多级队列管理（Hierarchical Queue Management），允许你在不同级别上管理和控制流量。
   • 确保父级队列可以按照设定的规则分配和限制子级队列的流量，从而实现更细粒度的流量管理。
3. 动态流控：
   • 使用智能流量分析和实时监控工具，监测网络流量的动态变化。
   • 基于实时数据和预设的策略，动态调整带宽分配和流控策略，以应对网络负载的变化和优化用户体验。
4. P2P智能流控：
   • 部署专门的P2P流量管理系统，可以识别和控制特定的P2P协议。
   • 利用P2P流量特征，实施基于应用识别、带宽限制、连接数限制等策略，确保P2P流量不会过度占用网络资源。
5. 流控黑名单：
   • 维护和更新流控黑名单，包括恶意网站、危险应用、不良P2P客户端等。
   • 使用黑名单过滤技术，阻止黑名单中的流量或应用程序，以保护网络安全和合规性。

应用选路

​ 目的
​ 确保网络流量能够按照预设的策略进行管理和控制
​ 实现方法

1. 功能需求：
   • 审计功能：确保应用能够全面记录和分析员工的上网行为，包括网页访问、应用使用、邮件和IM聊天等。
   • 策略和规则管理：支持灵活的策略配置和规则制定，以符合组织的安全政策和合规需求。
   • 实时监控与报告：能够实时监控和生成详细的报告，帮助管理员快速识别和应对潜在的安全风险。
2. 安全性和合规性：
   • 确保应用符合行业标准和法规要求，特别是数据保护和隐私法规（如GDPR等）。
   • 提供足够的安全措施，防止数据泄露和未经授权的访问。
3. 易用性和部署：
   • 应用界面友好易用，能够简化管理和监控工作。
   • 支持灵活的部署方式，可以根据组织的网络架构选择本地部署或云端解决方案。
4. 集成和兼容性：
   • 能够与现有的安全设备和IT基础架构集成，以便与其他安全解决方案配合使用。
   • 支持跨平台和多种设备类型的管理和监控，如PC、移动设备等。
5. 技术支持和服务：
   • 提供可靠的技术支持和及时的服务响应，确保在需要时能够得到帮助和支持。
6. 成本效益：
   • 综合考虑应用的总体成本，包括购买费用、部署和维护费用，以及可能的培训成本。

应用场景

1. 上网行为管理：
   • 这包括监控和管理员工在工作期间的互联网使用行为，确保其符合公司政策和安全标准。可通过应用程序和网站访问控制、时间段限制等功能实现。
2. 互联网上网行为管控：
   • 确保企业网络用户的互联网访问符合安全和合规要求。这通常通过网关设备实现，包括防火墙、内容过滤和反病毒保护等功能。
3. 一体化网关：
   • 一体化网关设备集成了多种网络安全功能，例如防火墙、入侵检测和预防系统（IDPS）、虚拟专用网络（VPN）等，用于保护和管理企业网络的入口和出口流量。
4. 无线WiFi管控营销：
   • 这可能涉及到通过WiFi网络提供的服务管理和市场营销。例如，通过WiFi认证页面或营销广告进行访客的身份验证和信息收集，同时提供广告和推广内容。
5. 办公网出口上网与审计：
   • 确保办公网出口流量的安全和合规性，包括对员工上网行为的审计和监控。这可以通过网关设备实现详细的日志记录和报告功能。
6. 无线防共享上网：
   • 防止未经授权的设备连接到企业的无线网络，并限制或监控其访问行为。这可以通过WiFi网络的访问控制和身份验证功能来实现。
7. 全网上网态势分析：
   • 使用网络流量分析工具和态势感知技术实时监控和分析整个企业网络中的上网活动。这有助于发现安全威胁、网络性能问题和员工行为异常。

基本操作

上网行为管理：功能+应用场景+基本操作

功能

用户认证

​ 目的
​ 标识用户的身份，验证合法性，控制及审计上网行为
​ 实现方式

1. IP/MAC绑定：
   • 实现方式：将用户的IP地址或MAC地址与其身份进行绑定。
   • 工作原理：通过网关或交换机配置，限制只有绑定的IP或MAC地址才能访问网络服务。
   • 优势：简单易行，适用于小范围网络，能够有效控制特定设备或用户的访问。
2. 用户名+密码认证：
   • 实现方式：用户通过输入预先分配的用户名和密码进行登录验证。
   • 工作原理：验证用户名和密码的有效性，允许合法用户访问网络资源。
   • 优势：常见且易于管理，适用于大多数企业和机构网络。
3. 第三方服务器认证：
   • 实现方式：将认证服务外包给第三方，如RADIUS或LDAP服务器。
   • 工作原理：用户登录时，网关或服务器向第三方认证服务发起验证请求，以确认用户身份。
   • 优势：可与现有的身份验证基础设施集成，支持复杂的认证策略和多种身份验证方法。
4. Dkey认证：
   • 实现方式：使用硬件或软件生成的动态密码（一次性密码）进行认证。
   • 工作原理：用户除了用户名和密码外，还需输入由Dkey生成的动态密码，以增强认证安全性。
   • 优势：提高了登录的安全性，防范了密码被盗用的风险。
5. 单点登录（SSO）：
   • 实现方式：用户只需登录一次，即可访问多个相关系统或服务。
   • 工作原理：一旦用户通过认证，他们可以无需重新输入凭据就能访问其他受保护的系统。
   • 优势：提升了用户体验和管理效率，减少了多次登录带来的不便和错误。
6. 短信/二维码认证：
   • 实现方式：用户通过收到的短信验证码或扫描二维码来完成认证。
   • 工作原理：系统向用户注册的手机号发送验证码或生成二维码，用户验证后即可登录。
   • 优势：提供了额外的安全层，确保只有拥有访问权限的用户能够登录。
7. 终端类型识别：
   • 实现方式：识别连接到网络的设备类型（如PC、手机、平板等）。
   • 工作原理：根据设备类型应用相应的访问策略和权限控制。
   • 优势：帮助管理员根据设备特征管理网络访问，例如为移动设备提供特定的安全配置。

应用控制

​ 目的
​ 封堵应用流量
​ 实现方式

1. 应用特征识别库：
   • 实现方式：建立应用特征数据库，收集和分析应用程序的网络行为特征。
   • 工作原理：通过深度包检测（DPI）等技术，识别和分类不同应用程序的流量特征。
   • 优势：能够准确识别各种应用，包括加密和基于代理的应用程序，以便进行精细化管理和控制。
2. 应用管理标签化：
   • 实现方式：为每种应用程序分配管理标签，指定其访问权限和行为限制。
   • 工作原理：管理者根据标签制定策略，例如允许或限制特定类型或特定供应商的应用程序。
   • 优势：简化管理和策略应用，提高了管理的可操作性和效率。
3. 精细化管控：
   • 实现方式：根据应用的特定需求和安全策略，实施详细的管控措施。
   • 工作原理：对不同的应用程序实施定制的访问和使用策略，例如限制带宽、阻止特定功能或内容的访问等。
   • 优势：根据实际需求调整控制策略，确保资源的最优分配和安全的网络环境。
4. 防共享防翻墙：
   • 实现方式：通过技术手段防止用户使用共享账号或代理工具绕过网络控制。
   • 工作原理：实施身份验证、行为分析和审计等措施，监控和阻止非法访问行为。
   • 优势：减少资源滥用和安全风险，确保网络资源和服务的合法使用和安全性。

网页过滤

​ 目的
​ 过滤不让员工访问的网站
​ 实现方式

1. 千万级URL识别库：
   • 实现方式：建立庞大的URL识别库，包含数以千万计的已知网址。
   • 工作原理：通过更新和维护URL数据库，系统可以实时检索和识别用户访问的URL，以便对其进行分类和过滤。
   • 优势：确保对大多数常见和已知的网站进行准确的分类和控制，有效管理用户访问行为。
2. URL智能识别系统：
   • 实现方式：利用智能算法和机器学习技术，实现对未知或变种URL的动态识别。
   • 工作原理：系统可以分析URL的结构、域名和路径等特征，识别潜在的恶意或未知的网址，并根据安全策略进行处理。
   • 优势：提高了对新兴和变种威胁的检测能力，增强了系统的安全性和适应性。
3. URL云共享：
   • 实现方式：采用云端技术，将URL黑名单和安全信息共享给多个部署在不同位置的网络设备。
   • 工作原理：确保所有设备可以及时更新最新的URL过滤规则和安全威胁信息，提高整体的网络安全防护能力。
   • 优势：有效应对分布式和广泛传播的网络威胁，提高了安全响应和恢复能力。
4. 自定义URL：
   • 实现方式：允许管理员根据具体需求和策略，自定义添加或排除特定的URL。
   • 工作原理：管理员可以根据组织的特定需求和政策，管理和调整特定URL的访问权限和过滤规则。
   • 优势：增强了灵活性和管理的精细度，使得网页过滤能够更好地适应组织的特定需求和策略。
5. 恶意网址过滤：
   • 实现方式：通过集成安全服务和恶意网址数据库，检测和阻止用户访问已知的恶意网站。
   • 工作原理：系统实时查询恶意网址数据库，对用户访问的网址进行验证和过滤，防止用户受到恶意软件和网络攻击的威胁。
   • 优势：提高了网络安全性，有效预防用户因访问恶意网址而受到的安全威胁和风险。

行为审计

​ 目的
​ 记录内网用户的上网行为
​ 实现方式

1. 网页访问审计：
   • 实现方式：通过代理服务器或防火墙设备实现网页访问审计。
   • 工作原理：设备记录和分析用户访问的URL、访问时间、访问持续时间等信息。
   • 优势：可以识别和记录访问的具体网页内容，以便分析和审计用户的上网行为。
2. 邮件审计：
   • 实现方式：使用邮件网关或邮件服务器进行审计。
   • 工作原理：记录和分析所有进出邮件的主题、附件、发送者、接收者等信息。
   • 优势：检测和防止机密信息的泄露，监控员工是否遵守安全策略和行为规范。
3. IM聊天应用审计：
   • 实现方式：使用专门的IM审计软件或集成到安全设备中。
   • 工作原理：监控并记录IM聊天应用（如微信、QQ、Skype等）的聊天内容、参与者、时间等。
   • 优势：防止机密信息的泄露，确保员工在IM中的沟通符合企业政策和法规。
4. 外发文件审计：
   • 实现方式：通过数据防泄漏（DLP）解决方案实现。
   • 工作原理：监测和阻止敏感文件（如机密文档、财务报告等）的外发行为，包括电子邮件附件和云存储上传。
   • 优势：防止敏感信息的误发或恶意泄露，确保数据安全和合规性。
5. 微博、论坛发帖等审计：
   • 实现方式：利用网络安全设备或第三方监控工具实现。
   • 工作原理：监控和记录员工在社交媒体平台上的发帖内容、时间和参与情况。
   • 优势：遵守企业的社交媒体政策，防止员工在公开平台上发布敏感或不当言论，维护企业形象和品牌声誉。

流量管理

​ 目的
​ 根据业务需求，对带宽进行合理分配
​ 实现方式

1. 基于用户/用户组/应用/网站类型的流控：
   • 使用深度数据包检查（DPI）技术，识别并分类用户、用户组、应用和网站类型的流量。
   • 配置策略规则，根据识别的分类对流量进行优先级排序、限制带宽、设定访问时间等控制。
2. 多级父子通道：
   • 配置多级队列管理（Hierarchical Queue Management），允许你在不同级别上管理和控制流量。
   • 确保父级队列可以按照设定的规则分配和限制子级队列的流量，从而实现更细粒度的流量管理。
3. 动态流控：
   • 使用智能流量分析和实时监控工具，监测网络流量的动态变化。
   • 基于实时数据和预设的策略，动态调整带宽分配和流控策略，以应对网络负载的变化和优化用户体验。
4. P2P智能流控：
   • 部署专门的P2P流量管理系统，可以识别和控制特定的P2P协议。
   • 利用P2P流量特征，实施基于应用识别、带宽限制、连接数限制等策略，确保P2P流量不会过度占用网络资源。
5. 流控黑名单：
   • 维护和更新流控黑名单，包括恶意网站、危险应用、不良P2P客户端等。
   • 使用黑名单过滤技术，阻止黑名单中的流量或应用程序，以保护网络安全和合规性。

应用选路

​ 目的
​ 确保网络流量能够按照预设的策略进行管理和控制
​ 实现方法

1. 功能需求：
   • 审计功能：确保应用能够全面记录和分析员工的上网行为，包括网页访问、应用使用、邮件和IM聊天等。
   • 策略和规则管理：支持灵活的策略配置和规则制定，以符合组织的安全政策和合规需求。
   • 实时监控与报告：能够实时监控和生成详细的报告，帮助管理员快速识别和应对潜在的安全风险。
2. 安全性和合规性：
   • 确保应用符合行业标准和法规要求，特别是数据保护和隐私法规（如GDPR等）。
   • 提供足够的安全措施，防止数据泄露和未经授权的访问。
3. 易用性和部署：
   • 应用界面友好易用，能够简化管理和监控工作。
   • 支持灵活的部署方式，可以根据组织的网络架构选择本地部署或云端解决方案。
4. 集成和兼容性：
   • 能够与现有的安全设备和IT基础架构集成，以便与其他安全解决方案配合使用。
   • 支持跨平台和多种设备类型的管理和监控，如PC、移动设备等。
5. 技术支持和服务：
   • 提供可靠的技术支持和及时的服务响应，确保在需要时能够得到帮助和支持。
6. 成本效益：
   • 综合考虑应用的总体成本，包括购买费用、部署和维护费用，以及可能的培训成本。

应用场景

1. 上网行为管理：
   • 这包括监控和管理员工在工作期间的互联网使用行为，确保其符合公司政策和安全标准。可通过应用程序和网站访问控制、时间段限制等功能实现。
2. 互联网上网行为管控：
   • 确保企业网络用户的互联网访问符合安全和合规要求。这通常通过网关设备实现，包括防火墙、内容过滤和反病毒保护等功能。
3. 一体化网关：
   • 一体化网关设备集成了多种网络安全功能，例如防火墙、入侵检测和预防系统（IDPS）、虚拟专用网络（VPN）等，用于保护和管理企业网络的入口和出口流量。
4. 无线WiFi管控营销：
   • 这可能涉及到通过WiFi网络提供的服务管理和市场营销。例如，通过WiFi认证页面或营销广告进行访客的身份验证和信息收集，同时提供广告和推广内容。
5. 办公网出口上网与审计：
   • 确保办公网出口流量的安全和合规性，包括对员工上网行为的审计和监控。这可以通过网关设备实现详细的日志记录和报告功能。
6. 无线防共享上网：
   • 防止未经授权的设备连接到企业的无线网络，并限制或监控其访问行为。这可以通过WiFi网络的访问控制和身份验证功能来实现。
7. 全网上网态势分析：
   • 使用网络流量分析工具和态势感知技术实时监控和分析整个企业网络中的上网活动。这有助于发现安全威胁、网络性能问题和员工行为异常。

基本操作

外观和版本

1U

2U

软件版本

登录设备

首次拿到AC/SG设备时，可以通过以下方法登录设备控制台：

SANGFOR AC/SG设备，各网口默认的出厂IP为：

eth0(LAN)：10.251.251.251/24 , eth1(DMZ)10.252.252.252/24

1、使用一根交叉线连接设备和电脑

​ (1) 如果电脑连接的是设备的eth0口，需先在电脑上配置一个10.251.251.0/24网段的地 址（10.251.251.251除外），打开浏览器输入https://10.251.251.251 登录设备网关控制台。

​ (2) 如果电脑连接的是设备的eth1口，需先在电脑上配置一个10.252.252.0/24网段的地址（10.252.252.252除外），打开浏览器输入https://10.252.252.252 登录设备网关控制台。

2、输入控制台admin帐号登录设备。默认的管理员用户名和密码为admin/admin。

如果设备接口地址被修改，在不知道更改后接口地址的情况下，提供以下2种方法登录设备：

1、SANGFOR AC/SG设备的lan口(默认eth0定义为lan)有保留IP地址为128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0口，通过https://128.127.125.252登录设备网关控制台。

同时，AC/SG设备dmz口(默认eth1定义为dmz)也有保留IP地址128.128.125.252/29，也可以通过交叉线电脑接到设备eth1口，且电脑配置IP为128.128.125.253/29，通过https://128.128.125.252登录设备控制台。

2、通过SANGFOR 升级系统工具查找设备地址后，通过查找得到的地址进设备控制台

（1）安装SANGFOR 升级系统工具的PC和设备使用交叉线直连

（2）关闭PC上安装的防火墙及windows自带防火墙，如下图

（3）通过SANGFOR 升级系统工具查找设备地址，如下图所示

（4）通过SANGFOR 升级系统工具查到的地址登录设备

注意：

（1） 路由模式部署时lan和dmz都有保留地址，网桥模式网桥br0和dmz有保留地址，旁路模式部署时管理口有保留地址。

（2） 路由模式出厂默认eth0定义为lan，eth1口定义为dmz

举例：配置被重新定义过网口，如eth2口定义为lan，eth0定义为dmz,此时eth2口有

lan口保留地址,eth0口有dmz口保留地址；网桥和旁路模式部署网口的保留地址同样遵循此原则。

恢复设备出场设置

1、通过控制台界面恢复出厂配置

恢复出厂配置会重启设备，通过此方法恢复出厂配置后，再次登录控制台，右下角会有“恢复成功”的提示，如下图。

2、通过SANGFOR 升级系统工具恢复出厂配置

通过SANGFOR 升级系统工具恢复出厂配置

3、交叉线短接设备两个电口恢复

如果无法登录设备(如无法获得设备接口地址)，可以尝试以下方法恢复出厂配置

(1)先将设备关机。

(2)准备一根交叉线。

(3)使用交叉线连接设备面板上任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不能短接这两个口恢复密码）

(4)将设备加电开机。一直等待，直到设备重启（说明设备恢复出厂配置成功），此时务必拨掉短接电口的交叉线。

(5)等设备运行起来后，即可通过出厂地址，默认控制台帐号和密码登录设备

4、U盘恢复出厂设置

如果无法登录设备(如无法获得设备接口地址)，可以尝试以下方法恢复出厂配置

(1)新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为FAT 32的

(2)AC上插入U盘，重启设备

(3)当设备的LED红灯熄灭之后，alram灯闪烁，拔出U盘

注意事项：U盘恢复出厂配置，需要重启设备

恢复控制台密码

如果忘记了admin的密码，导致无法登录设备，又需要保留设备配置（即不能恢复出厂配置），可以通过下面两种方法单独恢复admin的密码。

交叉线恢复控制台密码

1.确保电脑和设备可以通信，访问设备地址，https://acip/php/rp.php，如下图，提示“创建文件成功，请连接交叉线并重启设备”。

2.准备交叉线短接设备任意两个非一组bypass电口（例如eth0和eth2是bypass口，就不能短接这两个口恢复密码）

3.手动重启设备，重启过程中，注意观察交叉线短接的两个电口ACT灯状态，两个电口ACT灯同时闪烁10次后，说明密码恢复完成，此时可以拔掉短接的交叉线，通过默认的控制台帐号密码admin/admin登录设备即可。设备重启到密码恢复成功大约3到5分钟左右。

4.如果第3步无法根据网口灯状态判断密码恢复是否成功，你可以一直等待，等待5到10分钟左右，尝试通过默认帐号admin/admin帐号登录设备

U盘恢复密码

1.新建一个txt文档，将其重命名为reset-cfg.txt，将txt文档拷贝到U盘根目录，U盘格式为FAT 32的。

2.确保电脑和设备可以通信，访问设备地址 https://ACIP/php/rp.php

3.AC上插入U盘，重启设备

4.当设备的LED红灯熄灭之后，alram灯闪烁即恢复密码成功，拔出U盘

注意事项：U盘恢复密码,需要设备重启