一、核心功能与优势

在设置前,先了解其核心价值：

• AI智能分析：利用机器学习自动识别未知威胁、异常流量和高级持续性威胁。
• 一体化防护：集防火墙、IPS（入侵防御）、WAF（Web应用防火墙）、VPN、流量管控于一身。
• 可视化管理：通过直观的仪表盘实时监控网络流量、安全事件和威胁地图。
• 灵活部署：支持硬件设备、虚拟化（VMware/Hyper-V）及主流云环境（阿里云、腾讯云、AWS等）。

初始设置与部署

1. 硬件连接：
   • 将 WAN口 连接到互联网（如光猫/上级路由）。
   • 将 LAN口 连接到内部网络交换机。
   • 接通电源,启动设备。
2. 登录管理界面：
   • 用网线连接电脑和OpenClaw的管理口或任一LAN口。
   • 将电脑IP设为自动获取（DHCP），或手动设置为同一网段。
   • 打开浏览器,输入默认管理地址（如 https://192.168.1.1，请参阅设备标签）。
   • 使用默认用户名/密码登录（首次登录需强制修改）。
3. 初始化向导：
   • 首次登录通常会运行“快速配置向导”，依次设置：
     • 管理员密码：修改为高强度密码。
     • 网络模式：根据需求选择“路由模式”（常见）或“透明模式”。
     • WAN/LAN参数：设置WAN口上网方式（PPPoE拨号、DHCP或静态IP），配置LAN口IP段（如 168.10.1/24）。
     • 时区与时间：确保日志时间准确，建议启用NTP同步。
     • 激活授权：输入购买的产品序列号，激活特征库更新和AI服务。

主要功能配置方法

完成初始化后,进入核心配置：

1. 安全策略配置（核心）

   • 路径：安全策略 -> 策略管理
   • 操作：点击“新建”，按以下逻辑配置：
     • 源区域/地址：选择来自哪个区域（如LAN）或指定IP/地址组。
     • 目的区域/地址：选择去往哪个区域（如WAN、DMZ）或指定IP。
     • 服务：选择协议端口（如HTTP、HTTPS、ANY）。
     • 应用/URL分类：可利用AI识别功能，按应用类型（如微信、钉钉）或网站类别（如购物、赌博）进行控制。
     • 动作：允许、拒绝 或 SSL解密（用于深度检测加密流量）。
     • 安全配置文件（关键步骤）：关联以下子策略，实现深度防护：
       • IPS：启用入侵防御规则集，防御漏洞攻击。
       • AV：启用病毒检测，扫描传输文件。
       • WAF：如有Web服务器，启用Web应用防护规则。
     • 日志：务必勾选“记录日志”，便于审计和溯源。
   • 策略顺序：规则从上至下匹配，更具体的规则应放在前面。

2. 网络地址转换

   • SNAT（内网访问外网）：通常在安全策略中“允许”动作后自动生成，无需单独配置。
   • DNAT（发布内网服务器）：
     • 路径：网络配置 -> NAT策略 -> 目的NAT
     • 操作：新建规则，将公网IP的某个端口映射到内网服务器的IP和端口。

3. VPN配置（支持IPSec、SSL VPN）

   • 路径：VPN -> 选择相应VPN类型
   • IPSec VPN：用于站点到站点互联，配置两端公网IP、预共享密钥、保护的子网。
   • SSL VPN：用于移动用户远程接入，配置用户账号、资源（可访问的内网网段）和认证方式。

4. 流量管理与优化

   • 智能流控：
     • 路径：流量管理 -> 智能带宽控制
     • 操作：可基于应用（如视频会议、下载）或IP组，设置保障带宽和限制带宽，确保关键业务流畅。
   • 行为管理：
     • 路径：行为管理 -> 上网策略
     • 操作：可设置URL过滤、应用控制、上网时段等。

5. 开启与利用AI功能

   • 路径：AI威胁检测 或 智能分析
   • 操作：
     • 确保 “AI引擎” 开关已开启。
     • 查看 “威胁态势” 仪表盘，关注AI识别的异常连接、加密威胁等。
     • 在日志中心,筛选 “AI事件”，查看详细分析报告。

监控与维护

1. 仪表盘：首页查看网络状态、威胁拦截Top排名、流量趋势。
2. 日志中心：
   • 路径：日志与报告 -> 日志查询
   • 可分类查询安全日志、流量日志、操作日志，是排障和审计的关键。
3. 报表系统：定期生成安全运营周报/月报，直观呈现风险。
4. 系统维护：
   • 备份配置：系统维护 -> 配置管理，定期备份。
   • 升级更新：系统维护 -> 升级中心，定期更新病毒库、IPS特征库和系统固件。

配置示例

场景：允许内网（168.10.0/24）访问互联网，但禁止访问游戏网站和P2P下载，并对所有出站流量进行病毒扫描。

1. 创建地址组：对象管理 -> 地址簿，创建名为“内网办公”的组，IP为 168.10.0/24。
2. 创建安全策略：
   • 新建一条策略,源=“内网办公”，目的=“WAN”，服务=“ANY”。
   • 动作=“允许”。
   • 关联安全配置文件：启用“防病毒”和“应用控制”。
   • 在“应用控制”中，阻断“网络游戏”、“P2P下载”等分类。
   • 勾选“记录日志”。
3. 结果：内网用户可以正常上网、办公，但无法玩网页游戏或使用BT下载，且所有流量都经过病毒扫描。

注意事项与最佳实践

• 最小权限原则：安全策略只开放必要的端口和服务。
• 变更前备份：重大配置修改前，务必备份当前配置。
• 启用日志：所有关键策略必须开启日志记录。
• 定期审查：定期（如每月）审查安全策略和日志，清理过时规则。
• 分步实施：复杂策略建议先在非核心区域测试，再逐步推广。
• 善用AI分析：多关注AI给出的异常告警，它可能发现传统规则无法检测的潜伏威胁。

如果遇到复杂网络环境或特定需求（如双机热备、跨云组网），建议参考官方详细文档或联系AI小龙虾的技术支持获取针对性指导。

标签： 功能 优势