深信服设备排除策略使用说明

深信服EDR快速使用指南深信服EDR快速使用指南让产品帮您快速带来价值深信服EDR是一款轻量易用、实时保护、东西向可视可控的下一代终端安全产品客户端轻量化业务无感知，无需复杂配置，半自动化安全运维预防防护检测响应运营漏洞补丁管理系统安全基线核查微隔离流量可视微隔离流量可控USB管控一键端口封堵勒索诱饵防护无文件攻击专防进程黑白名单全球热点威胁同步远程登录防护文件实时监控Webshell检测暴力破解检测违规外联监控流行病毒快速检测框架SAVE引擎宏病毒修复僵尸网络举证进程溯源终端隔离清除&移除终端围剿式查杀资产信息清点可视化首页&报表警报API接口支持网端联动轻补丁漏洞免疫批量部署【轻量易用】【实时保护】创新微隔离技术基于业务维度让终端间流量可视可控，同时做到简单落地，高效运维【东西向可视可控】基于威胁攻击链多达30个功能构建多层次防御恶性病毒（感染型病毒，宏病毒，CAD病毒，勒索病毒等影响业务连续性的病毒）清除修复能力强网端联动达到Gartner定义的最高层级深信服终端检测响应平台EDR SANGFOR Endpoint Detection Response 深信服人工智能检测引擎SAVESANGFOR AI-based Vanguard Engine 01深信服EDR快速使用指南深信服EDR成功入围微软官方终端安全软件推荐名录，获得了兼容Windows 的微软WHQL徽标认证，其人工智能引擎SAVE 也入围了国际权威的Virustotal检测平台，技术能力位居业界前沿。

市场成绩第三方评测赛可达实验室-东方之星证书微软官方Windows 10/8/8.1推荐防病毒软件中国反网络病毒联盟成员单位赛可达优秀产品奖SKD AWARDS 02深信服EDR快速使用指南病毒千千万，担心我们内网系统会中毒，导致我们业务中断，能否快速有效的检测和修复病毒？当然没问题，EDR 基于AI 的漏斗型检测框架，统一配置下发病毒查杀策略，能够有效地针对恶性病毒（感染性病毒、CAD 病毒、宏病毒、勒索病毒等）进行快速处置修复，实现业务“零”干扰的安全防护！信服君03深信服EDR快速使用指南威胁检测打开【终端管理】->【策略中心】->【病毒查杀】->【扫描配置】进行多引擎扫描策略配置，如下图。

SANGFOR BVT用户手册目录技术支持说明 (3)声明 (4)前言 (5)第1章BVT系列硬件设备的配置 (6)快速配置 (6)1.设备登录 (6)2.业务系统配置 (8)2.1.资产管理配置 (8)2.2.告警策略配置（必配） (21)2.3.检查策略配置（选配） (24)2.4.任务管理（必配） (31)2.5.离线任务配置（选配） (46)2.6.安全仪表板查看 (47)3.脆弱性查询 (51)3.1.漏洞查看 (51)3.2.安全基线违规 (53)3.3.变更管理 (55)3.4web漏洞查看 (58)4.实施后设备运行检查 (60)4.1.整体运行状态检查 (60)4.2.设备日志检查 (61)4.3.主要功能使用情况检查 (62)5.常见问题处理 (62)5.1.配置了资产，却采集不到数据 (62)6.漏洞库更新 (64)技术支持说明为了让您在安装，调试、配置、维护和学习SANGFOR设备时，能及时、快速、有效的获得技术支持服务，我们建议您：1.参考快速安装手册图文指导，帮助你快速的完成部署、安装SANGFOR设备。

如果快速安装手册不能满足您的需要，您可以到深信服社区或官网获取电子版的完整版用户手册或者其他技术资料，以便您获得更详尽的信息。

2.致电您的产品销售商（合同签约商），寻求技术支持。

为了更快速地响应您的服务要求和保证服务质量，您所在地的SANGFOR的产品销售商配备有经过厂家认证的技术工程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3.在不紧急的情况下，您可以访问深信服社区，寻求技术问题的解决方案和办法。

4.致电深信服科技技术服务中心，确认最适合您的服务方式和服务提供方，技术服务中心会在您的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430（手机、固话均可拨打）深信服社区：深信服科技服务商及服务有效期查询：/plugin.php?id=service:query公司网址：返修查询，在线咨询，欢迎您关注深信服科技官方技术服务微信：声明©2000-2018深信服科技股份有限公司版权所有，保留一切权利。

深信服SD-WAN 产品使用手册目录前言 (11)手册内容 (11)本书约定 (12)技术支持 (13)致谢 (13)第1 章SDWAN 的安装 (15)1.1. 环境要求 (15)1.2. 电源 (15)1.3.产品形态 (15)1.3.1.SD-WAN-MIG 一体化网关 (16)1.3.2.SD-WAN-WOC (16)1.3.3.SDWAN 虚拟网元 (16)1.3.4.管控平台X-Central (17)1.3.5.硬件性能参数 (18)1.4.配置与管理 (19)1.5.设备接线方式 (19)1.6.设备开机方式 (20)第2 章SDWAN 组网方式 (21)2.1.hub-spoken 组网 (21)2.2.full mesh 组网 (21)2.3.partial mesh 组网 (22)第3 章SDWAN 的部署 (24)3.1.网关模式部署 (24)3.2.网桥模式部署 (24)3.3.网桥VPN 模式部署 (25)3.4.网桥多线路模式部署 (26)3.5.双网桥模式部署 (27)3.6.单臂模式的部署 (28)3.7.双单臂模式部署 (30)第4 章SD-WAN 易部署和应用选路 (32)4.1.分支邮件易部署 (32)4.2.AutoVPN (33)4.3.SD-WAN 应用选路 (34)4.3.1.指定线路 (34)4.3.2.高质量选路选路 (34)4.3.3.按剩余带宽负载 (35)4.3.4.带宽叠加 (35)4.3.5.线路质量探测原理与淘汰机制 (36)第5 章SDWAN 终端设备 (38)5.1.ssh 登录 (38)5.2.登录WebUI 配置界面 (38)5.3. 状态 (39)5.3.1.广域网优化状态 (39)5.3.2.流量监控 (42)5.3.3.DHCP 状态 (48)5.3.4.设备运行状态 (48)5.3.5.EoIP 状态 (48)5.4.路由设置 (49)5.4.1.系统设置 (50)5.4.2.部署设置 (54)5.4.3.路由设置 (85)5.4.4.用户管理 (93)5.4.5.网络对象 (97)5.4.6.DHCPv4 设置 (105)5.4.7.DHCPv6 设置 (108)5.4.8.Syslog & SNMP (109)5.4.9.SC 设置 (113)5.5.SD-WAN VPN (114)5.5.1.SDWAN 选路 (114)5.5.2. 服务端 (115)5.5.3. 客户端 (134)5.5.4. 多线路 (137)5.5.5.第三方认证 (140)5.5.6.高级设置 (144)5.6.SD-WAN VPN (153)5.6.1.第一阶段 (153)5.6.2.第二阶段 (156)5.6.3.安全选项 (159)5.6.4.EoIP 设置 (160)5.7.流量管理 (164)5.7.1.对象设置 (164)5.7.2.策略设置 (177)5.7.3.流控设置 (186)5.7.4.策略故障排除 (206)5.7.5.高级设置 (207)5.8.应用识别 (210)5.8.1.识别是管理的基础 (210)5.8.2.应用库说明 (211)5.9.NAT 设置 (212)5.9.1.代理上网网段 (212)5.9.2.端口映射 (214)5.10.安全防护能力 (216)5.10.1.端对端传输加密 (216)5.10.2.过滤规则 (217)5.10.3.防DoS 攻击 (219)5.10.4.ARP 欺骗防护 (221)5.10.5.涉及产品 (222)5.10.6.僵木蠕一次清理，保障终端安全 (223)5.10.7.已知威胁 (223)5.10.8.未知威胁 (224)5.11.高可用冗余保护 (225)5.11.1.双机部署方式 (226)5.11.2.双机维护 (227)5.13. 维护 (229)5.13.1. 日志 (230)5.13.2. 序列号 (231)5.13.3. 自动升级 (232)5.13.4. 备份/恢复 (233)5.13.5. 关机 (236)5.13.6.页面控制台 (236)5.13.7.远程技术支持 (238)第6 章方案整体设计 (240)6.1. 总部端 (240) (241) (241) (241)6.2. 数据中心互联 (241)6.3. 分支端 (242)6.4.大中型分支 (243)6.5.跨国分支 (244)6.6.智能应用选路 (245)第7 章广域网优化（SD-WAN 接入网元） (251)7.1.分钟级上线 (251)7.2.AUTO VPN (252)7.3.广域网数据传输优化 (253)7.4.广域网传输安全加固 (262)7.5.广域网立体安全防护 (263)7.6.应用及流量可视化，打造一张可管理的广域网 (267)7.7.应用识别功能 (267)对象设置 (270)策略设置 (283)流控设置 (292)7.7.1.HTP 高速传输协议解决高延迟高丢包 (312)7.7.2.改进型TCP 实现快速TCP 传输 (314)7.8.冗余数据削减技术，提高带宽吞吐 (314)7.8.1.基于码流特征的数据优化 (314)7.8.2.高效的数据流压缩算法 (316)7.8.3.全局IP 流量压缩，降低TCP 和UDP 流量占用 (316)7.9.应用加速，提升核心业务系统访问速度，提升工作效率 (317)7.9.1.传输协议优化 (317)7.9.2.应用协议优化 (318)7.9.3.CIFS 协议优化技术 (318)7.9.4.HTTP 和FTP 协议优化技术 (319)7.9.5.Exchange MAPI 协议优化技术 (320)7.9.6.RDP 与Citrix ICA 协议优化技术 (320)7.9.7.OracleTNS 协议优化技术 (320)7.9.8.常见应用系统加速效果 (321)7.10.广域网流量管理，实现流量整形和基于应用的带宽保障 (322)7.10.1.基于应用和内容的流量管理技术 (322)7.10.2.带宽通道实现智能带宽保证 (322)7.10.3.虚拟线路技术有效保障视频会议带宽，提升访问体验 (323)7.11.视频会议优化，零距离协同办公 (323)7.11.1.智能带宽保障 (323)7.11.2.丢包补偿（UDP 代理+FEC 前向校验） (324)7.11.3.业务数据压缩 (325)7.12.SD-WAN 广域网优化其他亮点技术 (326)7.12.1.移动客户端的广域网优化 (326)7.12.2.多线路复用 (327)7.12.3.HTTP 和FTP 文件预取功能 (327)7.12.4.数据中心智能报表，帮助用户智慧决策 (328)7.12.5.策略路由 (329)7.13.SD-WAN 广域网优化能为您解决的问题 (329)7.14.服务配置说明 (331)7.14.1.应用设置 (332)7.14.2.流缓存设置 (339)7.14.3.视频优化设置 (339)7.14.4. 服务端 (340)7.14.5. 客户端 (346)7.14.6.数字证书 (352)7.14.7.高级设置 (359)7.14.8.LDAP 服务器 (362)7.14.9.高级设置 (364)第8 章灰白盒化交付 (369)8.1.产品介绍 (369)8.2.集中可视可控运营管理 (371)第9 章虚拟化SD-WAN (377)9.1.性能部署要求 (377)9.1.1.场景描述 (377)9.1.2.性能相关要求 (377)9.1.3.检测性能参数 (377)9.1.4.场景拓扑 (378)9.2.前期准备 (378)9.3.部署操作 (378)9.3.1. 云部署 (378)9.3.2.WOC 基础配置 (398)9.3.3.VPN 配置 (402)9.3.4.配置引流策略 (405)9.3.5.验证VPN 业务 (405)9.4.业务配置 (406)9.4.1.加速配置 (406)9.4.2.流量管理 (406)9.4.3.SDWAN 智能选路 (406)9.5. FAQ (407)第10 章SDWAN 管控平台使用说明 (408)10.1.平台性能参数 (408)10.2.首页地图 (408)10.3.智能监控 (410)10.3.1.智能告警 (410)10.3.2.设备配置管理 (411)10.4.Restful API (412)10.4.1.协议规范说明 (412)10.4.2.用户管理接口格式 (413)10.4.3.设备管理接口格式 (414)10.4.4.虚拟网元管理网络编排接口格式 (414)10.4.5.设备功能调用接口格式 (415)10.4.6.平台管理接口格式 (415)10.4.7.数据分析输出接口格式 (415)第11 章数据中心的使用 (417)11.1. 首页 (417)11.2.流量分析 (418)11.2.1.流量排名 (418)11.2.2.带宽分布 (421)11.3.带宽优化 (423)11.4. 报表 (425)11.5. 日志 (430)11.5.1.管理日志 (430)11.5.2.防火墙日志 (431)11.6.系统设置 (433)11.6.1.数据库清理 (433)11.6.3. 子网 (435)第12 章案例集 (438)12.1.双单臂模式部署配置案例 (438)12.2.VLAN 环境下的单网桥部署配置案例 (439)12.3.网桥VPN 部署配置案例 (442)12.4.网桥多线路部署配置案例 (443)12.5.WCCP 的应用场景及配置案例 (445)12.6.MAC 跟踪的应用场景及配置案例 (447)12.7.加速本地子网和静态路由的配置案例 (450)12.8.网关VPN 模式EoIP 部署案例 (452)12.9.添加加速用户的案例 (460)12.10.Sangfor VPN 的配置案例 (462)12.10.1.隧道内NAT 案例 (462)12.10.2.移动PDLAN 用户接入WOC 设备的案例 (466)12.10.3.VPN 内网权限的设置案例 (472)12.10.4.VPN 多线路配置案例 (476)12.10.5.移动用户使用LDAP 认证接入案例 (481)12.10.6.VPN 多子网配置案例 (484)12.10.7.通过隧道间路由实现分支间互访的案例 (487)12.10.8.通过目的路由用户上网的配置案例 (489)12.11.和CISCO PIX 标准IPSEC VPN 互连的案例 (492)12.12.WOC 加速互连的案例 (500)12.12.1.为分支WOC 设备创建用户并关联策略的案例 (500)12.12.2.加速HTTP 或HTTPS 访问的Oracle EBS 案例 (501)12.12.3.加速访问Citrix 服务器的案例 (504)12.12.4.加速访问RDP 服务器的案例 (507)12.12.5.跟总部建立加速连接的配置案例 (510)12.12.6.加速Outlook Anywhere 访问Exchange 服务器的案例 (511)12.12.7.使用透明传输模式的案例 (516)12.12.8.使用反向加速建立双向加速连接的案例 (517)12.12.9.对FTP 服务器的预取案例 (524)12.12.10.通过排除规则对指定网段进行加速的案例 (525)12.13.UDP 优化配置案例 (527)12.14.委派的配置案例 (532)12.15.策略路由配置案例 (540)12.16.综合案例 (546)12.16.1.客户环境与需求 (546)12.16.2.配置思路 (546)12.16.3.总部WOC 设备配置步骤 (547)12.16.4.分支WOC 设备配置步骤 (553)附录A：SANGFOR 设备升级系统的使用 (556)附录B：通过USB 口恢复默认配置 (559)功能1：使用U 盘查看网口配置 (559)功能2：使用U 盘恢复控制台密码 (559)注意事项 (560)前言手册内容第1 部分SANGFOR SDWAN 产品介绍和安装。

深信服使用手册一、简介深信服是一家专注于网络安全解决方案的公司，通过其领先的技术和产品，为企业提供全方位的网络安全保障。

深信服产品覆盖网络安全、终端安全、云安全等多个领域，为企业用户提供了一揽子的网络安全解决方案，帮助用户提高了网络安全的防护水平，保护了企业的数据安全。

二、深信服产品介绍1. 网络安全产品：深信服提供包括防火墙、入侵防御系统、安全网关等在内的一系列网络安全产品，能够保护企业网络不受来自互联网的各种攻击威胁。

2. 终端安全产品：深信服的终端安全产品包括反病毒软件、终端防护系统等，可以保护企业终端设备的安全，防范恶意软件和网络攻击。

3. 云安全产品：深信服的云安全产品为企业的云计算环境提供了安全服务，包括云防火墙、云访问控制等，保障了企业在云端的数据和应用的安全。

三、深信服的使用指南1. 安装与配置在使用深信服产品之前，首先需要进行产品的安装与配置。

一般来说，深信服产品都配备有详细的安装指南和操作手册，用户可以按照指南一步步操作，完成产品的安装与配置工作。

在安装过程中，需要注意选择合适的安装位置，遵循操作步骤进行配置，确保产品可以正常工作。

2. 使用说明深信服的产品一般都配备有使用说明书，不同产品的使用说明书内容可能有所不同，但用户可以从使用说明书中了解产品的功能与特点、操作方法、常见问题解决方法等内容。

在使用深信服产品时，用户可以参考相应的使用说明书来进行操作，确保产品能够正常使用，发挥最大的效益。

3. 技术支持如果在使用深信服产品的过程中遇到问题，例如安装失败、配置错误、无法正常使用等情况，用户可以通过深信服官方提供的技术支持渠道进行求助。

通常情况下，深信服会为用户提供电话、邮件、在线客服等多种技术支持渠道，用户可以根据自己的实际情况选择合适的渠道进行求助，得到及时的技术支持。

四、深信服产品的维护与升级为了保证深信服产品的正常运行与提供最新的安全保护，用户需要对产品进行定期的维护与升级。

首先网络中遇见问题，我们需要向办法先确认下问题大概是出在哪台设备上。

首先查看设备的接口灯是否正常（电口左边的灯会闪，右边的灯长亮）右上角的红色的警告灯是否长亮-------长亮则不正常，闪是正常的。

AC网桥部署网关部署排查方法都一样
在设备控制台----系统诊断-----上网故障排除------点击开启
拦截日志过滤条件中添加0.0.0.0-255.255.255.255
勾选上同时开启数据直通填写有问题的那台电脑的IP 地址
开启好，再测试下，不能访问的网站应用等的网络问题有没有解决
1.可以访问了，则说明该网络中的问题就是我们设备的策略等因素导致的问题，可以选择
给我们打电话联系我们帮你们处理。

具体方法后续跟进说明。

2.如果还是不能访问则说明和我们设备没关系，可以选择找其他设备的问题。

对于情况一问题排查方法
案例：我自己做了一个策略禁止百度所有相关的网站。

现在我不能访问百度等相关的网站。

这个时候查看下我自己PC 的地址为
然后进入设备的控制台开启上网故障排查，测试！
测试结果为我可以访问百度类的网站了
这个时候确认问题出在我们设备上。

这个时候进入设备的数据中心，同时让该用户多访问几次不能访问的应用这样就更便于查找到具体被什么策略挡住了。

填写好我们需要查找的用户只需要查找被拒绝的就好了。

这样我们会查到很多的内容
就可以看到用户被什么策略挡住了，然后进行相应的修改就好了。

深信服终端检测响应平台EDR 用户手册产品版本 3.5.18文档版本01发布日期2022-2-14深信服科技股份有限公司深信服终端检查响应平台EDR用户手册密级：公开版权声明版权所有©深信服科技股份有限公司2022。

保留一切权利（包括但不限于修订、最终解释权）。

除非深信服科技股份有限公司（以下简称“深信服公司”）另行声明或授权，否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权（包括但不限于版权、商标权、专利权、商业秘密等）及相关权利，均归深信服公司或其关联公司所有。

未经深信服公司书面许可，任何人不得擅自对本文件及其内容进行使用（包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等）。

特别提示您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新，如有变更，恕不另行通知。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保，深信服科技股份有限公司不对本文档中的遗漏、变更及错误所导致的损失和损害承担任何责任。

联系我们售前咨询热线：400-806-6868售后服务热线：400-630-6430（中国大陆）深信服科技官方网站：7*24小时智能客服，排障咨询好帮手：https:///plugin.php?id=common_plug:online&ref=文档符号说明在本文中可能出现下列标志，它们所代表的含义如下。

在本文中会出现图形界面格式，它们所代表的含义如下。

目录目录 (iv)1.产品概述 (1)1.1.产品简介 (1)1.2.关键特性 (2)2.首次上线 (3)2.1.准备工作 (3)2.1.1.管理端安装环境 (3)2.1.2.客户端安装环境 (3)2.1.3.网络连通性要求 (4)2.1.4.收集白名单文件 (5)2.2.管理端部署 (5)2.2.1.软件管理端部署 (5)2.2.2.硬件管理端部署 (9)2.3.产品激活 (11)2.3.1.销售授权激活 (12)2.3.2.试用授权激活 (21)2.4.分组管理 (25)2.5.策略配置 (26)2.5.1.白名单配置 (26)2.5.2.安全策略配置 (27)2.6.终端部署 (30)2.6.1.Windows系统部署 (30)2.6.2.Linux服务器部署 (45)2.6.3.MAC OS部署 (49)2.6.4.终端Agent部署成功确认 (53)3.管理端使用 (54)3.1.管理端登录 (54)3.2.首页展示 (54)3.3.终端管理 (64)3.3.1.终端分组管理 (64)3.3.2.终端清点 (74)3.3.3.终端发现 (78)3.3.4.策略中心 (79)3.4.微隔离 (119)3.4.1.业务梳理 (119)3.4.2.创建对象 (119)3.4.3.策略配置 (122)3.4.4.流量查看 (123)3.5.威胁检测 (124)3.5.1.终端病毒查杀 (124)3.5.2.终端漏洞查补 (127)3.5.3.终端基线检查 (130)3.6.响应中心 (133)3.6.1.威胁响应 (133)3.6.2.漏洞响应 (136)3.6.3.远程运维 (139)3.7.日志报表 (139)3.7.1.安全日志 (140)3.7.2.联动日志 (140)3.7.3.运维日志 (141)3.7.4.操作日志 (141)3.7.5.风险报告 (141)3.8.系统管理 (142)3.8.1.联动管理 (143)3.8.2.分支管控 (199)3.8.3.账号管理 (205)3.8.4.授权管理 (210)3.8.5.系统设置 (214)4.Agent使用 (226)4.1.Windows系统Agent使用 (226)4.1.1.首页展示 (226)4.1.2.安全中心 (226)4.1.3.病毒查杀 (227)4.1.4.漏洞防护 (230)4.1.5.实时防护 (231)4.1.6.系统工具 (233)4.1.7.设置中心 (233)4.1.8.安全日志 (237)4.1.9.隔离区/信任区 (238)4.1.10.托盘 (239)4.2.MAC OS Agent使用 (241)4.2.1.病毒查杀 (241)4.2.2.隔离区 (242)5.产品升级 (243)5.1.新版本升级 (243)5.2.安全补丁更新 (245)5.3.病毒库升级 (248)5.4.漏洞规则库升级 (249)6.高危操作 (250)7.FAQ (252)7.1.安装部署 (252)7.2.病毒查杀 (254)7.3.微隔离 (256)7.4.终端Agent卸载 (257)7.4.1.Windows系统卸载Agent (257)7.4.2.Linux服务器卸载Agent (258)7.4.3.管理端卸载Agent (258)7.5.其它 (259)8.缩略语 (260)1.产品概述终端检测响应平台EDR（Endpoint Detection and Response）是深信服公司提供的一套终端安全解决方案，方案由轻量级端点安全软件Agent和管理端组成。