2024年2月25日发(作者:赵光辉)
清信安上网行为管理系统
用户手册
清大信安(北京)科技有限公司
2014年3月
目 录
第一部分 产品概述 .................................................................................................................................................. 1
1 图形界面格式约定 .................................................................................................................................................. 1
2 环境要求 .................................................................................................................................................................. 1
3 接线方式 .................................................................................................................................................................. 1
4 登录设备 .................................................................................................................................................................. 2
5 刷新/保存/注销 ........................................................................................................................................................ 2
6 密码恢复 .................................................................................................................................................................. 3
第二部分 产品配置 .................................................................................................................................................. 4
7 设备状态 .................................................................................................................................................................. 4
8 实时监控 .................................................................................................................................................................. 5
8.1 设备资源 .................................................................................................................................................. 5
8.2 物理接口 .................................................................................................................................................. 6
8.3 服务监控 .................................................................................................................................................. 7
8.3.1 服务趋势叠加图 .............................................................................................................................. 7
8.3.2 服务组趋势图 .................................................................................................................................. 8
8.3.3 活跃服务统计 .................................................................................................................................. 9
8.3.4 所有服务统计 ................................................................................................................................ 10
8.4 用户监控 ................................................................................................................................................ 11
8.4.1 流量分析 ........................................................................................................................................ 11
8.4.2 会话分析 ........................................................................................................................................ 12
8.4.3 活跃会话 ........................................................................................................................................ 13
9 系统配置 ................................................................................................................................................................ 14
9.1 设备工作模式 ........................................................................................................................................ 14
9.1.1 网桥模式 ........................................................................................................................................ 14
9.1.2 路由模式 ........................................................................................................................................ 16
9.1.3 旁路模式 ........................................................................................................................................ 18
9.2 系统维护 ................................................................................................................................................ 19
9.2.1 系统升级 ........................................................................................................................................ 19
9.2.2 自动升级 ........................................................................................................................................ 20
9.2.3 备份与恢复 .................................................................................................................................... 21
9.2.4 重启/关机 ....................................................................................................................................... 22
9.3 系统管理员 ............................................................................................................................................ 23
9.3.1 配置系统管理员 ............................................................................................................................ 23
9.3.2 角色管理 ........................................................................................................................................ 25
9.4 网管策略 ................................................................................................................................................ 27
9.5 网管参数 ................................................................................................................................................ 28
9.6 网络工具 ................................................................................................................................................ 29
9.6.1 Ping ................................................................................................................................................. 29
9.6.2 TraceRoute ...................................................................................................................................... 29
9.7 系统时间 ................................................................................................................................................ 30
9.8 系统信息 ................................................................................................................................................ 31
9.9 邮件配置 ................................................................................................................................................ 31
9.10 集中管理 ................................................................................................................................................ 32
10 系统对象 ........................................................................................................................................................ 33
10.1 地址簿 .................................................................................................................................................... 33
10.2 网络服务 ................................................................................................................................................ 34
10.2.1 自定义普通服务 .................................................................................................................... 34
10.2.2 自定义特征识别 .................................................................................................................... 35
10.2.3 自定义论坛/网评特征........................................................................................................... 36
10.2.4 协议剥离 ................................................................................................................................ 37
10.3 时间计划 ................................................................................................................................................ 39
10.4 URL库 ..................................................................................................................................................... 41
10.5 白名单 .................................................................................................................................................... 42
10.6 关键字组 ................................................................................................................................................ 43
10.7 文件类型 ................................................................................................................................................ 44
11 网络配置 ........................................................................................................................................................ 45
11.1 接口配置 ................................................................................................................................................ 45
11.1.1 物理接口 ........................................................................................................................................ 45
11.1.2 链路聚合 ........................................................................................................................................ 46
11.1.3 VLAN接口 .................................................................................................................................... 47
11.1.4 PPPoE ............................................................................................................................................. 48
11.1.5 GRE隧道 ....................................................................................................................................... 48
11.2 配置IP地址 .......................................................................................................................................... 49
11.3 静态路由 ................................................................................................................................................ 50
11.4 策略路由 ................................................................................................................................................ 51
11.4.1 策略路由 ........................................................................................................................................ 51
11.4.2 均衡策略 ........................................................................................................................................ 53
11.4.3 持续路由 ........................................................................................................................................ 54
11.4.4 链路健康检查 ................................................................................................................................ 55
11.5 ***OSPF路由*** ................................................................................................................................... 56
11.5.1 网络配置 ........................................................................................................................................ 56
11.5.2 接口配置 ........................................................................................................................................ 57
11.5.3 参数配置 ........................................................................................................................................ 58
11.5.4 虚链路配置 .................................................................................................................................... 59
11.5.5 信息显示 ........................................................................................................................................ 60
11.6 DNS 配置 ................................................................................................................................................ 62
11.7 DDNS 配置 .............................................................................................................................................. 62
11.1 智能DNS ................................................................................................................................................. 63
11.1.1 全局配置 ........................................................................................................................................ 64
11.1.2 线路配置 ........................................................................................................................................ 64
11.1.3 均衡策略 ........................................................................................................................................ 65
11.1.4 DNS策略 ....................................................................................................................................... 66
11.2 ARP表 ..................................................................................................................................................... 68
11.3 DHCP配置 ............................................................................................................................................... 69
11.3.1 基本参数 ........................................................................................................................................ 69
11.3.2 DHCP中继 ..................................................................................................................................... 71
11.3.3 已分配IP地址 ............................................................................................................................... 71
11.4 SNMP服务器 ........................................................................................................................................... 71
12
13
14
15
11.5 代理服务器列表 .................................................................................................................................... 72
11.1 SSL代理配置 ......................................................................................................................................... 72
防火墙 ............................................................................................................................................................ 73
12.1 安全策略 ................................................................................................................................................ 73
12.2 NAT规则 ................................................................................................................................................. 76
12.2.1 内网代理 ........................................................................................................................................ 76
12.2.2 一对一地址转换 ............................................................................................................................ 78
12.2.3 端口映射 ........................................................................................................................................ 79
VPN配置 ....................................................................................................................................................... 81
13.1 IPSec ...................................................................................................................................................... 81
13.1.1 IPSec隧道 ...................................................................................................................................... 81
13.1.2 IPSec规则 ...................................................................................................................................... 83
13.2 PPTP ........................................................................................................................................................ 85
13.3 VPN 用户 ................................................................................................................................................ 86
组织管理 ........................................................................................................................................................ 87
14.1 组织结构 ................................................................................................................................................ 87
14.1.1 定位并选中当前操作对象 ............................................................................................................ 87
14.1.2 修改根组 ........................................................................................................................................ 88
14.1.3 新增子组 ........................................................................................................................................ 89
14.1.4 修改子组 ........................................................................................................................................ 90
14.1.5 新增普通用户 ................................................................................................................................ 92
14.1.6 新增认证用户 ................................................................................................................................ 93
14.1.7 修改用户 ........................................................................................................................................ 94
14.1.8 绑定检查 ........................................................................................................................................ 95
14.1.9 导出用户和组 .............................................................................................................................. 101
14.1.10 移动用户和组 ...................................................................................................................... 102
14.1.11 删除用户和组 ...................................................................................................................... 104
14.1.12 查询用户和组 ...................................................................................................................... 104
14.2 批量导入 .............................................................................................................................................. 105
14.3 LDAP/AD导入 ....................................................................................................................................... 106
14.4 扫描内网主机 ...................................................................................................................................... 107
14.5 临时账户管理 ...................................................................................................................................... 109
14.5.1 临时账户设置 .............................................................................................................................. 109
14.5.2 生产临时帐号 .............................................................................................................................. 111
14.5.3 申请临时账户 .............................................................................................................................. 112
14.5.4 未审核账户列表 .......................................................................................................................... 113
14.5.5 已审核账户列表 .......................................................................................................................... 114
14.6 免审计Key ........................................................................................................................................... 115
流量管理 ...................................................................................................................................................... 115
15.1 线路带宽配置 ...................................................................................................................................... 116
15.2 基于策略的流控 .................................................................................................................................. 116
15.3 基于用户的流控 .................................................................................................................................. 121
15.4 应用限额管理 ...................................................................................................................................... 125
15.4.1 应用限额策略 .............................................................................................................................. 125
15.4.2 应用限额用户 .............................................................................................................................. 127
16
17
18
19
20
行为管理 ...................................................................................................................................................... 127
16.1 认证策略 .............................................................................................................................................. 127
16.2 上网策略对象 ...................................................................................................................................... 130
16.2.1 URL过滤 ..................................................................................................................................... 131
16.2.2 关键字过滤 .................................................................................................................................. 133
16.2.3 文件传输过滤 .............................................................................................................................. 134
16.2.4 即时通讯过滤 .............................................................................................................................. 135
16.2.5 邮件过滤 ...................................................................................................................................... 136
16.3 认证选项 .............................................................................................................................................. 137
16.3.1 SNMP设置 .................................................................................................................................. 138
16.3.2 认证参数 ...................................................................................................................................... 139
16.3.3 自定义认证页面 .......................................................................................................................... 140
16.3.4 未认证权限 .................................................................................................................................. 141
16.4 认证服务器 .......................................................................................................................................... 143
16.4.1 RADIUS服务器........................................................................................................................... 143
16.4.2 AD服务器 .................................................................................................................................... 143
16.4.3 LDAP服务器 ............................................................................................................................... 144
16.4.4 POP3服务器 ................................................................................................................................ 145
16.4.5 服务器测试 .................................................................................................................................. 146
16.5 白名单管理 .......................................................................................................................................... 147
16.6 黑名单管理 .......................................................................................................................................... 149
16.6.1 黑名单规则 .................................................................................................................................. 149
16.6.2 当前黑名单 .................................................................................................................................. 151
16.7 在线用户 .............................................................................................................................................. 152
IPv6配置 ...................................................................................................................................................... 154
17.1 网络工具 .............................................................................................................................................. 154
17.1.1 Ping6 ............................................................................................................................................. 154
17.1.2 TraceRoute6 .................................................................................................................................. 155
17.2 配置IPv6地址 .................................................................................................................................... 156
17.3 无状态自动地址配置 .......................................................................................................................... 157
17.4 静态路由 .............................................................................................................................................. 159
17.5 本机DNS ............................................................................................................................................... 160
17.6 邻居表 .................................................................................................................................................. 161
17.7 防火墙 .................................................................................................................................................. 163
酒店管理-即插即用 ..................................................................................................................................... 165
高可靠性(HA) .............................................................................................................................................. 166
系统日志 ...................................................................................................................................................... 167
20.1 命令日志 .............................................................................................................................................. 168
20.2 事件日志 .............................................................................................................................................. 169
20.3 用户日志 .............................................................................................................................................. 169
20.4 PPTP日志 ............................................................................................................................................ 170
20.5 IPSec日志 ............................................................................................................................................ 171
20.6 黑名单日志 .......................................................................................................................................... 172
20.7 日志服务器 .......................................................................................................................................... 173
20.8 邮件配置告警 ...................................................................................................................................... 174
21 故障排除 ...................................................................................................................................................... 175
21.1 捕获数据包 .......................................................................................................................................... 175
21.2 查看数据包 .......................................................................................................................................... 176
22 报表中心 ...................................................................................................................................................... 176
22.1 内容记录配置 ...................................................................................................................................... 176
22.2 内置报表中心 ...................................................................................................................................... 179
22.3 外置报表中心配置 .............................................................................................................................. 179
第一部分 产品概述
1 图形界面格式约定
格式
【 】
>
<>
代表菜单或子菜单名称
代表WEB网管配置路径:如【系统对象】>【地址簿】,表示“系统对象”菜单下的“地址簿”菜单
代表窗口中的选项或按钮名称
描述
2 环境要求
设备系列产品可在如下环境使用:
➢ 输入电压: 220~240V
➢ 温度: -10~50 ℃
➢ 湿度: 5~90%
➢ 电源:交流电源110V ~230V
为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求。
提示:
1、 保证设备工作在建议的环境要求内,否则可能导致设备损坏或提早老化。
2、 设备良好的接地可以有效避免雷击。
3 接线方式
请按照如下步骤进行设备的接线:
1、 在后面板电源插座上插上电源线,打开电源开关,前面板的Power灯(绿色,电源指示灯)和Alarm灯(红色,告警灯)会点亮。大约1-2分钟后Alarm灯熄灭,说明设备正常工作。
2、 用标准 RJ-45 以太网线将 LAN 口与内部局域网连接。
3、 用标准 RJ-45以太网线将 WAN 口与Internet接入设备相连接,如路由器、光纤收发器或ADSL Modem等。
4、 桥接模式:LAN1和WAN1为网桥1,LAN2和WAN2为网桥2、……、LANm和WANm为网桥m。每个桥之间是独立通信的,桥之间不能传递数据。
5、 路由模式:可以接入多条出口线路,每个端口之间在策略允许的情况下可以通信。
提示:如果开机5分钟后,红灯还长亮,请关闭电源5分钟,然后重开。
4 登录设备
设备默认使用LAN1作为网管口,LAN1出厂地址为192.168.0.1/24。设备 支持两种方式的
WEBUI 登录:
1、 安全的 HTTPS 登录,默认端口9090。初始登录 URL 为: 192.168.0.99
系统默认使用 HTTPS 的登录方式,默认的管理员账号是admin,密码是admin*PWD。正确输入用户名和密码后,点击<登录>按钮即可进入管理界面。
提示:
1、 配置之前,必须保证用于网管的电脑与网络设备管理产品的网管口地址在同一个网段。如果第一次配置,请连接LAN1口,LAN1出厂地址为192.168.0.1/24,电脑的地址应配置为192.168.0.0/24,但不允许为192.168.0.99。
2、 连接后可以增加/修改物理端口或者网桥的IP地址,设备的每一个IP地址都可以用于网管。
5 刷新/保存/注销
在设备提供的 WEB 方式的管理界面中的最右上角有三个链接,分别是“刷新”、“保存”、“注销”。点击
“刷新”可手动刷新当前页。点击“保存”并确认后,可将当前配置保存到系统硬盘中。点击“注销”并确认后,即可成功退出系统。
6 密码恢复
如果管理员密码丢失,请按以下步骤恢复系统默认密码:
1. 进入Console连接,使用root用户(username:root,password:root*PWD)登录。
2. 选择 Reset WEBUI Password,进入密码恢复菜单,然后输入yes,再回车。
3. 密码恢复成功,网管密码恢复到出厂设置(username:admin,password:admin*PWD)。
第二部分 产品配置
7 设备状态
登录设备后,进入到设备首页,即设备状态页面。设备状态页面包含了设备版本信息、设备资源、实时网络流量、前十名服务实时速率分布、前十名用户实时速率排名、前十名站点排名、最近五次事件日志等七项内容。如下图:
图1. 首页
“设备版本信息”描述了系统固件的版本、应用特征的版本、URL库的版本和授权类型的信息。授权类型有试用版和正式版两种。点击对应的<详细>按钮,可以连接到“系统升级”页面,查看到更详细的设备版本信息。
“设备资源”动态显示了CPU使用率、内存使用率、活跃会话数、在线用户数和在线认证用户数的信息。活跃会话数的显示格式为N/M,N表示当前活跃的并发会话数,M表示设备最大并发会话数。当鼠标滑过某行时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到最近一小时的趋势图。点击对应的<详细>按钮,可以连接到“设备资源”页面,查看到更详细的设备资源信息。
“实时网络流量”动态显示了当前UP的WAN口的速率。当鼠标滑过WAN1、WAN2、……、WANm时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到最近一小时的速率趋势图。点击对应的<详细>按钮,可以连接到“物理接口”页面,查看到更详细的物理接口的统计信息。
“前十名服务实时流量分布”动态显示了以总速率排名的前十名服务。当鼠标滑过某服务名称时,会出现“显示在线用户”的提示,点击即可查看该服务的在线用户的信息。当鼠标滑过某服务后面的带宽值时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到该服务最近一小时的速率趋势图。点击对应的<详细>按钮,可以连接到“服务趋势图”页面,查看到前十名服务的速率叠加趋势图。
“前十名用户实时流量排名”动态显示了以总速率排名的前十名用户。当鼠标滑过某用户时,会出现“显示活跃服务”的提示,点击即可查看该用户正在使用的服务的信息。当鼠标滑过某用户后面的带宽值时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到该用户最近一小时的速率趋势图。点击对应的<详细>按钮,可以连接到“用户流量分析”页面,查看到前五十名用户的速率排名统计信息。
“前十名站点排名”动态显示了以被访问次数排名的前十名网站。
“最近五次事件日志”动态显示了最近五次的事件日志。点击<详细>按钮,可以连接到“事件日志”页面,查看和搜索更多的事件日志。8 实时监控
实时监控部分用于查看设备实时的工作状态,包括设备资源、物理接口、服务监控、用户监控四大部分。
8.1 设备资源
设备资源包括了CPU使用率、内存使用率、活跃会话数、在线用户数、在线认证用户数、磁盘信息等共六部分。如下图:
图2. 设置资源
各分页详细说明如下:
➢ CPU使用率:查看最近一小时CPU使用率;
➢ 内存使用率:查看最近一小时内存使用率;
➢ 活跃会话数:查看最近一小时活跃会话数的统计趋势图;
➢ 在线用户数:查看最近一小时在线用户数的统计趋势图;
➢ 在线认证用户数:查看最近一小时在线认证用户数的统计趋势图;
每个图的下方都显示了最新值(最近一个采样点的值)、最近一小时的最大值、最小值、平均值及每个值对应的时间点。图中还用箭头指明了最大值,如果这些值分布在多个时间点,则显示最后一个时间点。例如,最大值分布在15:09:11和15:45:23两个时间点,那么图中箭头指明的时间点和图下方最大值对应的括号中的时间点都是最后一个点15:45:23。
8.2 物理接口
物理接口页面的内容含两部分:所有端口的全局信息、每个端口的速率趋势图。
第一:物理接口的全局信息,如下图:
图3. 物理接口统计图
全局信息包括了以下内容:
➢ 柱状图显示了每个物理接口收发速率。
➢ 表格显示了每个接口的收发数据的统计信息,每个物理接口上面一行对应该接口接收数据的统计信息,下面一行对应该接口发送数据的统计信息。
➢ 表格中的古蓝色圆饼代表该端口为连接状态,灰色圆饼代表该端口为未连接状态。
第二:单个物理接口的统计信息包括了总的速率、接收速率、发送速率,如下图:
图4. LAN1物理接口统计图
每个接口分页的下方都显示了最新值(最近一个采样点的值)、最近一小时的最大值、最小值、平均值及每个值对应的时间点。图中还用箭头指明了最大值,如果这些值分布在多个时间点,则显示最后一个时间点。例如,最大值分布在15:09:11和15:45:23两个时间点,那么图中箭头指明的时间点和图下方最大值对应的括号中的时间点都是最后一个点15:45:23。
8.3 服务监控
服务监控页面显示了前十名服务趋叠加势图、服务组趋势图、活跃服务、所有服务四部分。
8.3.1 服务趋势叠加图
服务趋势叠加图如下:
图5. 服务监控统计图
这里显示了所有服务的叠加趋势图,其中列出了前十名和Other。Other表示网络中除了前十名以外的其它服务的速率值。
8.3.2 服务组趋势图
服务组趋势图如下:
图6. 服务组监控统计图
这里显示了所有服务组的叠加趋势图,一共有自定义普通服务、自定义特征识别、常用服务、HTTP下载、P2P下载、WEB视频、流媒体、即时通讯、网络电话、网络游戏、股票交易、网上银行、其他服务等13种类型。
8.3.3 活跃服务统计
“活跃服务”将显示当前所有的活跃的服务,如下图:
图7. 活跃服务监控统计图
参数说明:
➢ 最新速率:表示某服务最后一个采样点的速率值。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
➢ 最近一小时总流量:表示某服务最近一小时传输的流量叠加值。上箭头后面的值表示上行流量,下箭头后面的值表示下行流量。
➢ 最近一小时平均速率:表示某服务最近一小时的平均速率。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
点击对应服务操作栏的<趋势图>按钮,查看该服务最近一小时的速率趋势图。点击<在线用户>,查看正在使用该服务的用户的信息。
8.3.4 所有服务统计
“所有服务”将分类显示所有的服务统计值,如下图:
图8. 所有服务监控统计
参数说明:
➢ 最新速率:表示某服务最后一个采样点的速率值。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
➢ 最近一小时总流量:表示某服务最近一小时传输的流量叠加值。上箭头后面的值表示上行流量,下箭头后面的值表示下行流量。
➢ 最近一小时平均速率:表示某服务最近一小时的平均速率。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
点击对应服务操作栏的<趋势图>按钮,查看该服务最近一小时的速率趋势图。点击<在线用户>,查看正在使用该服务的用户的信息。
8.4 用户监控
用户监控页面显示了前五十名用户的实时传输速率、新建会话速率和活跃会话数。
8.4.1 流量分析
前五十名用户的实时传输速率统计图如下:
点击<趋势图>按钮,查看该用户最近一小时的速率趋势图。
点击<活跃服务>按钮,查看该用户当前使用的服务的信息。
8.4.2 会话分析
前五十名用户的新建会话的统计图如下:
点击<趋势图>按钮,查看该用户最近一小时的速率趋势图。
点击<活跃服务>按钮,查看该用户当前使用的服务的信息。
8.4.3 活跃会话
前五十名用户的当前活跃会话统计图如下:
点击<趋势图>按钮,查看该用户最近一小时的速率趋势图。
点击<活跃服务>按钮,查看该用户当前使用的服务的信息。
9 系统配置
“系统配置”主要包括设备工作模式、系统维护、系统管理员、网络配置、网管策略、重启操作、关机操作、网络工具、系统信息等。
9.1 设备工作模式
“设备工作模式”用来设置设备的工作模式,可以设定为网桥模式、路由模式和旁路模式,默认为网桥模式。用户可根据网络中的实际情况选择相应的接入模式。
9.1.1 网桥模式
功能描述:网桥模式是把“设备”视为一条带过滤功能的网线使用,把“设备”接在原有网关及内网用户之间,不用更改网络拓扑结构和配置,这种模式于用户可以做到完全“透明”。如下图所示:
单网桥模式 双网桥模式
配置路径:【系统配置】>【工作模式】
配置描述:进入【工作模式】页面,工作模式选择[网桥模式],并配置[网桥类型]、[端口配置]、[网关IP]。如下图:
图9. 工作模式
参数说明:
➢ 网桥类型:根据组网情况,选择网桥数,并为其配置IP地址(网桥的IP地址的配置是可选的)。未配置为网桥的端口为独立端口,可用于网管或路由。
➢ 端口配置:根据需要对未配置为网桥的端口进行IP地址的配置。
➢ 网关IP:默认路由(0/0)的的网关地址。若不在此处配置,可以在【网络配置>路由配置>静态路由】页面进行默认路由的配置。
提示:
1、 设备工作在网桥模式时,局域网内电脑的网关不需要改变。
2、 设备工作在网桥模式时,必须保证原有上网数据穿透设备,即不能存在内网用户可绕过设备,到达原有网关的物理线路。
3、 设备工作在网桥模式时,穿透数据时要保证 WAN区接连接外网方向的路由设备,LAN区接内网的交换机,不能接反。
4、 设备的网桥模式是在数据链路层(OSI第二层)上实现的透明,是通过把设备的两个网口桥接起来实现的。所以数据链路层及以上各层的数据均可穿透。
5、 网桥模式时,设备支持 VLAN TRUNK穿透,设备可以透明接在 VLAN TRUNK的主干道上。
9.1.2 路由模式
功能描述:此模式下设备工作类似一个路由器,可以进行路由拓扑构造。每个物理接口可以工作在不同的子网中,使LAN与Internet之间建立一个安全网关。如下图所示:
单链路路由模式 双链路路由模式
配置路径:【系统配置】>【工作模式】
配置描述: 进入【工作模式】页面,工作模式选择[路由模式],并配置[网桥类型]、[端口配置]、[网关IP]。如下图:
图10. 路由模式
参数说明:
➢ 端口配置:根据需要对物理端口进行IP地址的配置。
➢ 网关IP:默认路由(0/0)的的网关地址。若不在此处配置,可以在【网络配置>路由配置>静态路由】页面进行默认路由的配置。
9.1.3 旁路模式
功能描述:此模式下,设备只对网络中的数据进行记录和监控,不对网络中的数据进行过滤和控制。如下图所示:
配置路径:【系统配置】>【工作模式】
配置描述:进入【工作模式】页面,工作模式选择[旁路模式],如下图:
图11. 旁路模式
参数说明:
➢ 端口配置:根据需要对物理端口进行IP地址的配置。
➢ 网关IP:默认路由(0/0)的的网关地址。若不在此处配置,可以在【网络配置>路由配置>静态路由】页面进行默认路由的配置。
➢ 监控网段列表:被监控的内网IP地址。
9.2 系统维护
9.2.1 系统升级
功能描述:升级设备的系统文件,可以升级的系统文件包括:系统固件、应用特征库、URL库、授权文件。
➢ 系统固件:设备软件程序
➢ 应用特征库:应用特征码的库文件
➢ URL库:内置URL库文件
➢ 授权文件:给设备进行授权的文件。当前授权文件包括以下信息:
设备序列号:标示设备的唯一序列号。
授权类型:试用版/正式版;试用版是指给客户试用的版本,正式版是指正式销售的版本。
授权有效期: 授权文件的有效期限。
升级服务有效期: 正式版的升级服务有效期,在有效期之前可升级系统固件、应用特征库、URL库,过期则不能升级。
配置路径:【系统配置】>【系统维护】>【系统升级】
配置描述:
第一:进入【系统升级】页面,可以查看设备的各种系统文件信息。如下图:
图12.
系统升级
第二:选择需要升级的文件类型,点击<浏览>,找到文件的位置,再点击<升级>按钮开始升级。如下图:
图13. 系统升级
提示:
1、 未选中的文件类型后面显示当前的版本信息。
2、 升级系统固件后,必须重启系统才能运行新的版本。
3、 升级应用特征库、URL库文件、ISP自动地址表和授权文件后,不需要重启系统即可生效。
9.2.2 自动升级
功能描述:用户对“应用特征库”、“URL库”的自动升级。
配置路径:【系统配置】>【系统维护】>【自动升级】
配置描述:进入【自动升级】页面,可自动升级系统文件。如下图:
图14. 自动升级
参数说明:
➢ 启用自动升级:勾选后,即启用了对应库的自动升级功能,设备会定期去服务器检查是否有新版本,若有就会自动升级新的库文件;
➢ 立即升级:点击此按钮,则立即去获取最新的版本并升级;
➢ 回滚:将库文件回滚到上一次升级的版本;
➢ 服务器:自动去该服务器上获取新版本,可配置IP或者域名。配置域名,则需要在【网络配置>DNS配置】页面设置DNS服务器;
➢ 延迟升级:当有新版本时,是否延迟升级。选择“不延迟”,则立即升级;选择“延迟…”,则延迟一段时间再升级。
9.2.3 备份与恢复
功能描述:设备支持配置文件备份与恢复功能。
配置路径:【系统配置】>【系统维护】>【备份与恢复】
配置描述:
第一:进入【备份与恢复】页面,如下图:
图15. 配置备份与恢复
➢ 备份:系统会将所有的配置以文件的形式存储,然后可将这个配置文件导出到PC。
➢ 恢复:导入一个配置文件(备份到PC的.conf的压缩文件),导入后会覆盖原来的配置文件,设备将自动重启。
➢ 恢复出厂配置:将设备的配置恢复到出厂值,设备将自动重启。
第二:选择备份或恢复,点击<确定>
9.2.4 重启/关机
功能描述:重启或关闭设备
配置路径:【系统配置】>【系统维护】>【重启/关闭】
配置描述:进入【重启/关闭】页面,选择重启或关机,再点击<确定>按钮,可重启或关闭设备。如下图:
图16. 重启/关机
提示:移动设备或切换电源时,最好先关机,30秒后再切断电源。
9.3 系统管理员
9.3.1 配置系统管理员
功能描述:配置系统管理员。
配置路径:【系统配置】>【系统管理员】
配置描述:
第一:进入【系统管理员】页面,可以看到当前的管理员列表,如下图:
图17. 系统管理员
第二:点击<新增>,进入新增管理员的界面,填写各项参数,然后点击<确定>。如下图:
图18. 新增系统管理员
参数说明:
➢ 用户名:输入用户名称,由数字、英文、下划线、中杠线、点组成,开头必须为字母或数字,且长度为1-16个字符;[必选项]
➢ 认证方式:口令认证;
➢ 口令策略:包括手工配置口令和自动生成(邮件通知)口令。手工配置密码可以直接在下面的密码、确认密码框中输入用户密码;
➢ 密码强度:系统会根据密码强度规则自动检测用户输入密码的安全强度;
➢ 设置密码/确认密码:不限字符,但不能设置空格键;[必选项]
➢ 自动生成密码:要求[邮箱地址]为必填项,系统生成的密码发到该邮箱地址中。如下图:
图19. 新增系统管理员
➢ 真实姓名:输入对应登录名的真实姓名,不限字符;[必选项]
➢ 手机号码:即管理员的手机号码;[可选项]
➢ 邮箱地址:即管理员的邮箱地址,当管理员的配置信息有变更时,系统会通过邮件方式通知管理员;
➢ 角色:将定义的用户分配一个角色;[必选项]。
系统默认配置了三个角色(超级管理员、Guest、审计员),您可以根据准备工作中确定的用户权限来
灵活自定义分配的角色。如果要自定义角色,请参见本文【角色管理】章节。
➢ 所属组:报表中心(Reporter)的权限。例如,一个名为Mary的管理员,“所属组”配置为“Root/财务部”,那么Mary只能查看“根组(Root)”下的“财务部”组下的所有人的记录。点击<选择>按钮,可选择所属组,如下图:
➢ 状态:启用或禁用该用户,默认启用。
➢ 备注:主要是作为描述该用户的附加注释信息。[可选项]
提示:自动生成密码:要求[邮箱地址]为必填项,且必须在【系统配置>邮件配置】中设置好邮件服务器的相关参数才会生效。
9.3.2 角色管理
功能描述:配置系统管理员的角色分类,即管理权限。
配置路径:【系统配置】>【系统管理员】
配置描述:
第一:进入管理员新增页面,点击<角色配置>按钮,进入下图:
图20. 系统管理员
第二:点击<新增>,进入新增系统角色的界面,填写各项参数,然后点击<确定>。如下图:
图21. 新增系统角色
参数说明:
➢ 角色名称:输入管理员的角色名称;[必选项]
➢ 角色描述:可以输入描述该角色的注释等。[可选项]
➢ 权限列表:选择为该角色分配的权限。[编辑权限]表示可以对设备进行读写操作。[查看权限]表示对设备仅有读操作权限。[必选项]
提示:
1、 系统默认配置了三个管理员:
➢ admin:具有所有权限,可以配置设备、查看设备、管理Reporter。
➢ guest:仅具有查看设备权限,默认密码为guest*PWD。
➢ reporter:管理Reporter,所属组为根组,默认密码为reporter*PWD。
2、 系统默认的管理员(admin、guest、reporter)不能删除,可修改密码。
3、 超级管理员可以修改其它管理员的属性,其它管理员只能修改自己的密码。
4、 新增的用户可以修改密码,可以被删除。
5、 具有管理Reporter权限的管理员,先登录了设备后,可以不用再次登录即可管理Reporter。当先登录Reporter,必须要再次登录才可以管理设备。
9.4 网管策略
功能描述:设置网管策略,可允许部分IP能网管设备,以限制非法用户访问设备。
配置路径:【系统配置】>【网管策略】
配置描述:
第一:进入【网管策略】页面,如下图:
图22. 网管策略
第二:选择策略类型,再点击右上角的<确定>
第三:点击<新增>按钮,增加“允许网管设备的策略”。
图23. 新增网管策略
第四:改变“状态”栏的值,再点击<修改状态>可以改变配置条目的状态。
提示:
1、 策略类型:默认为“允许所有IP网管”,这时所有IP都可以网管设备。
2、 策略类型选择为“根据下面策略进行控制”时,如果网管策略里没有配置任何策略,则所有IP都可以网管设备;如果配置了策略,则只有符合这些策略的才可以网管设备。
3、 状态复选框:勾选,表示此条配置的状态为“启用”。不勾选,即此条配置的状态为“禁用”,即此策略未生效。
9.5 网管参数
功能描述:对网管参数的设置,包括WEBUI及SSH网管参数的设置。
配置路径:【系统配置】>【网管参数】
图24. 网管参数
参数说明:
➢ WEBUI网管方式:支持安全的 HTTPS 方式和传统的 HTTP 方式,默认为HTTPS方式 。
➢ WEBUI登录端口:为安全起见,系统的 WEB 网管默认采用 TCP 9090 端口,可以改成 TCP 协议的其它端口,不能改成 80 端口。
➢ WEBUI超时:WEBUI未操作超时时间,默认 10 分钟。
➢ REPORTER登录端口:为安全起见,系统的 WEB 网管默认采用 TCP 9091 端口,可以改成 TCP 协议的其它端口,不能改成 80 端口。
➢ REPORTER超时:REPORTER的WEBUI未操作超时时间,默认 10 分钟。
➢ SSH登录端口:为了安全性,系统的 SSH 网管默认采用 TCP 2222 端口,可以改成 TCP 协议的其它端口。
9.6 网络工具
“网络工具”包括Ping 和 TraceRoute
9.6.1 Ping
功能描述:用于测试网络的连通性。
配置路径:【系统配置】>【网络工具】>【Ping】,设置界面如下图:
图25. PING工具
参数说明:
➢ IP/域名:目的 IP 地址或者域名,如果设置域名,需要先配置本机DNS。
➢ 报文长度:Ping报文的长度,20-8000 字节,默认64字节。
➢ Ping次数: 发送Ping报文的数量,1~2000000000,默认 5次。
提示:如果输入域名,需要先配置本地 DNS 服务器,详见【网络配置>DNS 配置】。
9.6.2 TraceRoute
功能描述:用于确定 IP 数据访问目标所采取的路径。
配置路径:【系统配置】>【网络工具】>【TraceRoute】,设置界面如下图:
图26. TraceRoute工具
参数说明:
➢ IP/域名:目的 IP 地址或者域名,如果设置域名,需要先配置本机DNS。
➢ 超时设置:1-10秒,缺省 10秒。
➢ 最小 TTL:1-255,缺省 1。
➢ 最大 TTL:1-255,缺省 10。
提示:如果输入域名,需要先配置本地 DNS 服务器,详见【网络配置>DNS 配置】。
9.7 系统时间
功能描述:用于设定设备的系统时间。
配置路径:【系统配置】>【系统时间】,设置界面如下图:
图27. 设置系统时间
如需启用SNTP功能,则勾选[自动与SNTP服务器同步],然后可配置[SNTP服务器]和[同步间隔]。如下图:
图28. 设置系统时间
点击 <立即同步>按钮,可立即与所配置的服务器进行时间的同步。
提示:启用 [自动与SNTP服务器同步]后,系统日期和系统时间两项不可配置。
9.8 系统信息
功能描述:设备基本信息描述。
配置路径:【系统配置】>【系统信息】,配置页面如下:
图29. 系统信息
9.9 邮件配置
功能描述:配置设备发送告警邮件的参数。
配置路径:【系统配置】>【邮件配置】,配置页面如下:
图30. 邮件配置
参数说明:
➢ 邮件使用语音:发送邮件时使用的语言。
➢ 邮件服务器:设置邮件发服务器地址。
➢ 端口号:设置邮件端口号。
➢ 发件人:设置告警邮件的发送者。
➢ 发件人显示名:设置告警邮件发送者显示的姓名。
➢ 需要认证:选择是否需要进行密码安全认证。
➢ 用户名:需要安全认证时,必须填入用户名。
➢ 密码:需要安全认证时,必须填入用户密码。
➢ 收件人:设置告警邮件的收件人邮箱地址,可以设置多个,一行一个收件人地址。
9.10 集中管理
功能描述:配置设备是否加入集中管理平台。
配置路径:【系统配置】>【集中管理】,配置页面如下:
图31. 集中管理
参数说明:
➢ 启用集中管理:配置设备是否加入集中管理,加入后即成为集中管理的客户端或网点。
➢ 中心端IP地址:配置集中管理的中心端的IP地址。
➢ 通讯端口:配置与中心端通信的端口号,默认是1194。须与中心端配置的通讯端口一致。
➢ 网点名称:配置设备在中心端的区域结构中显示的设备名称。
➢ 数据加密密钥:与中心端通信时的数据是加密的,此处配置的密钥与中心端上该网点密钥一致。
➢ 已获取的虚拟IP:中心端分配给设备的虚拟IP地址。
与中心端连接状态:显示与中心端的连接状态。“连接”表示与中心端的数据通道连接正常,“断开”表示与中心端的数据通道连接已断开。“最后响应时间”表示最后一次与中心端通信的时间。
10 系统对象
“系统对象”包括地址薄、网络服务、时间计划、URL库、关键字、文件类型等。
10.1 地址簿
功能描述:用于定义一个包含某些 IP 地址的 IP 地址组,这个 IP 组可以是任意的一个IP、一段IP或者IP范围的任意组合。“地址簿”将被【防火墙>安全策略】、【防火墙>NAT规则】、【行为管理】及【流量管理】中定义的规则时引用。
配置路径:【系统对象】>【地址簿】
配置描述:
第一:进入【地址簿】页面,如下图:
图32. 地址簿
第二:点击<新增>按钮,增加地址簿,如下图:
图33. 新增地址簿
提示:如果某地址簿已经被引用,则不能被删除。删除前必须先解除引用。
10.2 网络服务
网络服务共分为:自定义普通服务、自定义特征识别、自定义论坛/网评、常用服务、HTTP应用、WEB视频、P2P下载、流媒体、网络游戏、即时通讯、股票交易、网上银行、网络电话、其他服务。其中[自定义普通服务]与[常用服务]是基于端口的服务,在【防火墙>安全策略】中被引用;其他服务都是基于内容识别的服务,在【流量管理】中将被引用。
10.2.1 自定义普通服务
功能描述:自定义基于端口的四层服务
配置路径:【系统对象】>【网络服务】>【自定义普通服务】
配置描述:
第一:进入【自定义普通服务】页面,可看到当前已定义的服务,如下图:
图34. 自定义普通服务
第二:点击表格右上角的<新增>按钮,增加服务,配置页面如下:
图35. 新增自定义普通服务
点击
优先级:默认低于系统定义的常用服务。
提示:
1、 某一种服务,可同时包含TCP、UDP、ICMP、IP类型的子服务。
2、 如果某服务已经被引用,则不能被删除。要删除某服务,必须先解除引用。
10.2.2 自定义特征识别
功能描述:自定义基于特征识别的7层服务
配置路径:【系统对象】>【网络服务】>【自定义特征识别】
配置描述:
第一:进入【自定义特征识别】页面,可看到当前已定义的服务,如下图:
图36. 自定义特征识别规则
第二:点击表格右上角的<新增>按钮,增加服务,配置页面如下:
图37. 新增自定义特征识别规则
参数说明:
➢ 协议类型:选择本条规则的协议类型,可选择 TCP、UDP 或者 TCP+UDP
➢ 目的端口:可选择[所有端口]或者[端口范围]
➢ IP地址:可选择[所有 IP 地址]或者[指定的 IP 地址]
➢ 数据长度:可选择[任意数据长度]或者[指定数据长度];该长度不计算 TCP/UDP 的头部,仅是
Payload 的长度。符合设定长度的报文才会被匹配。
➢ 特征字符串:报文的特征,用正则表达式来表示。
➢ 优先级:默认低于系统定义的特征。
提示:如果某服务已经被引用,则不能被删除。要删除某服务,必须先解除引用。
10.2.3 自定义论坛/网评特征
功能描述:自定义HTTP论坛或者网页评论页面的特征。
配置路径:【系统对象】>【网络服务】>【自定义论坛/网评特征】
配置描述:
第一:进入【自定义论坛/网评特征】页面,可看到当前已经定义好的[自定义论坛/网评特征]列表,如下图:
图38. 自定义论坛/网评特征
第二:点击表格右上角的<新增>按钮,新增[论坛/网评特征],配置页面如下:
图39. 新增自定义论坛/网评特征
参数说明:
➢ URL:HTTP 报文第一行 POST 头与 HTTP/1. 之间的内容,如:。
➢ HOST:HTTP 报文的 HOST 字段的内容,如: 或者 IP 地址。
➢ 编码类型:网页的编码类型。
➢ 是否 MIME 型:选择[是]或[否],当 Content-Type 字段含有“boundary=----”时,即为 MIME 型。
➢ 主题关键字:tilte、topic、subject 或其他。即下面“发表帖子”和“回复帖子”两个图例中1所指的部分所包含的关键字。
○
➢ 内容关键字:message、content、body、remark 或其他。即下面“发表帖子”和“回复帖子”两个图例中2所指的部分包含的关键字。
○
图40. 发表帖子
图41. 回复帖子
➢ 优先级:默认低于系统定义的特征。
提示:
1. 以上各条件是"与"的关系, 即每个条件都满足,才能匹配到本条特征。
2. 如果某服务已经被引用,则不能被删除。要删除某服务,必须先解除引用。
10.2.4 协议剥离
在某些网络环境中,通讯数据包经过了一些特殊协议类型的封装(PPPoE、MPLS等),这些协议数据包在普通 IP 包的基础上添加了各自协议特有的头部标识,使得一般带有协议分析功能的设备也无法正常分析。
本设备通过协议剥离功能,分析出这些特殊协议数据包的特点,并与内置特殊协议规则匹配,在设备内部剥离掉特殊协议的协议头,这样可以支持对特殊协议封装内的原始数据进行认证、审计和控制。
设备内部目前内置了[VLAN(Q-in-Q)协议的剥离] 和 [PPPoE 协议的剥离],并且支持[自定义协议的剥离]。
如果网络环境中存在非普通 IP 报文的其他特殊协议,但该协议不在内置的协议剥离列表,在可
以设置自定义的协议剥离。配置方法如下:
配置路径:【系统对象】>【网络服务】>【协议剥离】
配置描述:进入【协议剥离】页面,如下图:
图42. 自定义协议剥离
参数说明:
➢ 协议剥离:启用或禁用协议剥离功能。
➢ 匹配协议头特征:指明需要做协议剥离的特殊协议的协议头在整个数据包中(含以太头)的起始位址和协议头特征值。
➢ IP头起始位址:指明经过此特殊协议封装后 IP 头的起始位址。
提示:
1、 路由模式不支持协议剥离。
2、 网桥模式下支持协议剥离,可对协议剥离后的数据进行自动认证、应用审计和控制,但特殊环境下部分功能不生效,如 Web 认证、准入认证、SSL内容识别,MSN传文件控制等等。
3、 旁路模式下支持协议剥离,协议剥离环境下仅支持自动认证和审计,不支持控制功能。
4、 协议剥离环境下,不支持以计算机名作为用户名、不支持以 MAC 地址作为用户名、不支持用户绑定MAC地址。
5、 某些数据经特殊协议封装后,会有2个 IP 头部,如L2TP,协议剥离后最外层的 IP 头(底层)已经剥离,所以最终认证、审计、控制是根据最里层(上层)的 IP 来控制的,同时设备策略不应该组织外层 IP 通讯。
6、 设备默认支持单层的 802.1Q VLAN 剥离、Q-in-Q VLAN 剥离、PPPoE 剥离、VLAN+PPPoE 剥离,Q-in-Q+PPPoE支持,以及对PPPoE SSO支持。对这些协议的支持,不必开启协议剥离功能,就能自动运行。
7、 协议剥离均不支持协议以压缩、加密的方式通讯。
10.3 时间计划
功能描述:用于定义时间段,然后可在【防火墙>安全策略】、【流量管理】、【行为管理】中引用,以控制这些策略生效或失效的时间,从而可对各种策略分时间段管理。
配置路径:【系统对象】>【时间计划】
配置描述:
第一:进入【时间计划】页面,可以看到当前已配置的时间计划,如下图:
图43. 时间计划
第二:点击<新增>按钮,增加时间计划,如下图:
图44. 新增时间计划
按钮说明:
<选定>:选中横坐标和纵坐标对应的时间格子,当格子为黑色时,点击<选定>,格子颜色变为绿色,即选中了时间。
<取消选定>:选中横坐标和纵坐标对应的时间格子,当格子为黑色时,点击<取消选定>,格子颜色变为灰色,即取消了选中的时间。
<重置>:取消所有选中的时间。
第三:选中时间后,点击<确定>按钮,配置成功。
提示:
1、 每个格子代表半小时,只有格子为绿色时,才是已经选定的时间。
2、 如果某时间计划已经被引用,则不能被删除。要删除某时间计划,必须先解除引用。
10.4 URL库
功能描述:
包括内置和自定义的URL库。URL库可用于【行为管理>上网策略对象>URL 过滤】,实现对URL的过滤。
配置路径:【系统对象】>【URL库】
配置描述:
第一:进入【URL库】页面,可以看到当前的[内置 URL 库],如下图:
图45. 内置URL库
第二:点击<自定义URL库>选项卡,进入自定义 URL 库页面,如下图:
图46. 自定义URL库
操作说明:
➢ 【上网策略对象>URL 过滤】页面进行URL过滤时,遵循从按顺序从前往后匹配的原则,如果一个条目匹配了,就不会再向下匹配,所以序号小的条目优先级高。
➢ 此处的URL条目的顺序决定了【上网策略对象>URL 过滤】页面的关键字条目的匹配顺序,可以通过<移动>和<插入>来调整关键字组条目的顺序。
第三:点击<新增>按钮,可以很方便的自定义URL库。如下图:
图47. 新增自定义URL
在“URL”输入框内填写URL,一行一个 URL 关键字(或 URL 全名)。采用子串匹配方式,如配置 ,将匹配 、、/hardware 等。
10.5 白名单
功能描述:用于定义白名单。白名单中的域名或IP不受【上网策略对象>关键字过滤】中定义的规则的限制。
配置路径:【系统对象】>【白名单】
配置描述:
第一:进入【白名单】页面,可以看到当前已定义的白名单。如下图:
图48. 白名单
第二:点击<新增>按钮,可定义白名单组。如下图:
图49. 新增白名单
10.6 关键字组
功能描述:用于设置关键字,并把关键字分组,这些关键字组可用于【上网策略对象>关键字过滤】中限制某些关键字的搜索和上传。
配置路径:【系统对象】>【关键字组】
配置描述:
第一:进入【关键字组】页面,可以看到当前已定义的关键字组,如下图:
图50. 关键字组
操作说明:
➢ 【上网策略对象>关键字过滤】页面进行关键字过滤时,遵循从按顺序从前往后匹配的原则,如果一个条目匹配了,就不会再向下匹配,所以序号小的条目优先级高。
➢ 此处的关键字条目的顺序决定了【上网策略对象>关键字过滤】页面的关键字条目的匹配顺序,可以通过<移动>和<插入>来调整关键字组条目的顺序。
第二:点击<新增>按钮,定义关键字组。一行一个关键字,支持通配符匹配,如输入 snow*n,,将匹配 snowman
或 snowmn 等。如下图:
图51. 新增关键字组
2024年2月25日发(作者:赵光辉)
清信安上网行为管理系统
用户手册
清大信安(北京)科技有限公司
2014年3月
目 录
第一部分 产品概述 .................................................................................................................................................. 1
1 图形界面格式约定 .................................................................................................................................................. 1
2 环境要求 .................................................................................................................................................................. 1
3 接线方式 .................................................................................................................................................................. 1
4 登录设备 .................................................................................................................................................................. 2
5 刷新/保存/注销 ........................................................................................................................................................ 2
6 密码恢复 .................................................................................................................................................................. 3
第二部分 产品配置 .................................................................................................................................................. 4
7 设备状态 .................................................................................................................................................................. 4
8 实时监控 .................................................................................................................................................................. 5
8.1 设备资源 .................................................................................................................................................. 5
8.2 物理接口 .................................................................................................................................................. 6
8.3 服务监控 .................................................................................................................................................. 7
8.3.1 服务趋势叠加图 .............................................................................................................................. 7
8.3.2 服务组趋势图 .................................................................................................................................. 8
8.3.3 活跃服务统计 .................................................................................................................................. 9
8.3.4 所有服务统计 ................................................................................................................................ 10
8.4 用户监控 ................................................................................................................................................ 11
8.4.1 流量分析 ........................................................................................................................................ 11
8.4.2 会话分析 ........................................................................................................................................ 12
8.4.3 活跃会话 ........................................................................................................................................ 13
9 系统配置 ................................................................................................................................................................ 14
9.1 设备工作模式 ........................................................................................................................................ 14
9.1.1 网桥模式 ........................................................................................................................................ 14
9.1.2 路由模式 ........................................................................................................................................ 16
9.1.3 旁路模式 ........................................................................................................................................ 18
9.2 系统维护 ................................................................................................................................................ 19
9.2.1 系统升级 ........................................................................................................................................ 19
9.2.2 自动升级 ........................................................................................................................................ 20
9.2.3 备份与恢复 .................................................................................................................................... 21
9.2.4 重启/关机 ....................................................................................................................................... 22
9.3 系统管理员 ............................................................................................................................................ 23
9.3.1 配置系统管理员 ............................................................................................................................ 23
9.3.2 角色管理 ........................................................................................................................................ 25
9.4 网管策略 ................................................................................................................................................ 27
9.5 网管参数 ................................................................................................................................................ 28
9.6 网络工具 ................................................................................................................................................ 29
9.6.1 Ping ................................................................................................................................................. 29
9.6.2 TraceRoute ...................................................................................................................................... 29
9.7 系统时间 ................................................................................................................................................ 30
9.8 系统信息 ................................................................................................................................................ 31
9.9 邮件配置 ................................................................................................................................................ 31
9.10 集中管理 ................................................................................................................................................ 32
10 系统对象 ........................................................................................................................................................ 33
10.1 地址簿 .................................................................................................................................................... 33
10.2 网络服务 ................................................................................................................................................ 34
10.2.1 自定义普通服务 .................................................................................................................... 34
10.2.2 自定义特征识别 .................................................................................................................... 35
10.2.3 自定义论坛/网评特征........................................................................................................... 36
10.2.4 协议剥离 ................................................................................................................................ 37
10.3 时间计划 ................................................................................................................................................ 39
10.4 URL库 ..................................................................................................................................................... 41
10.5 白名单 .................................................................................................................................................... 42
10.6 关键字组 ................................................................................................................................................ 43
10.7 文件类型 ................................................................................................................................................ 44
11 网络配置 ........................................................................................................................................................ 45
11.1 接口配置 ................................................................................................................................................ 45
11.1.1 物理接口 ........................................................................................................................................ 45
11.1.2 链路聚合 ........................................................................................................................................ 46
11.1.3 VLAN接口 .................................................................................................................................... 47
11.1.4 PPPoE ............................................................................................................................................. 48
11.1.5 GRE隧道 ....................................................................................................................................... 48
11.2 配置IP地址 .......................................................................................................................................... 49
11.3 静态路由 ................................................................................................................................................ 50
11.4 策略路由 ................................................................................................................................................ 51
11.4.1 策略路由 ........................................................................................................................................ 51
11.4.2 均衡策略 ........................................................................................................................................ 53
11.4.3 持续路由 ........................................................................................................................................ 54
11.4.4 链路健康检查 ................................................................................................................................ 55
11.5 ***OSPF路由*** ................................................................................................................................... 56
11.5.1 网络配置 ........................................................................................................................................ 56
11.5.2 接口配置 ........................................................................................................................................ 57
11.5.3 参数配置 ........................................................................................................................................ 58
11.5.4 虚链路配置 .................................................................................................................................... 59
11.5.5 信息显示 ........................................................................................................................................ 60
11.6 DNS 配置 ................................................................................................................................................ 62
11.7 DDNS 配置 .............................................................................................................................................. 62
11.1 智能DNS ................................................................................................................................................. 63
11.1.1 全局配置 ........................................................................................................................................ 64
11.1.2 线路配置 ........................................................................................................................................ 64
11.1.3 均衡策略 ........................................................................................................................................ 65
11.1.4 DNS策略 ....................................................................................................................................... 66
11.2 ARP表 ..................................................................................................................................................... 68
11.3 DHCP配置 ............................................................................................................................................... 69
11.3.1 基本参数 ........................................................................................................................................ 69
11.3.2 DHCP中继 ..................................................................................................................................... 71
11.3.3 已分配IP地址 ............................................................................................................................... 71
11.4 SNMP服务器 ........................................................................................................................................... 71
12
13
14
15
11.5 代理服务器列表 .................................................................................................................................... 72
11.1 SSL代理配置 ......................................................................................................................................... 72
防火墙 ............................................................................................................................................................ 73
12.1 安全策略 ................................................................................................................................................ 73
12.2 NAT规则 ................................................................................................................................................. 76
12.2.1 内网代理 ........................................................................................................................................ 76
12.2.2 一对一地址转换 ............................................................................................................................ 78
12.2.3 端口映射 ........................................................................................................................................ 79
VPN配置 ....................................................................................................................................................... 81
13.1 IPSec ...................................................................................................................................................... 81
13.1.1 IPSec隧道 ...................................................................................................................................... 81
13.1.2 IPSec规则 ...................................................................................................................................... 83
13.2 PPTP ........................................................................................................................................................ 85
13.3 VPN 用户 ................................................................................................................................................ 86
组织管理 ........................................................................................................................................................ 87
14.1 组织结构 ................................................................................................................................................ 87
14.1.1 定位并选中当前操作对象 ............................................................................................................ 87
14.1.2 修改根组 ........................................................................................................................................ 88
14.1.3 新增子组 ........................................................................................................................................ 89
14.1.4 修改子组 ........................................................................................................................................ 90
14.1.5 新增普通用户 ................................................................................................................................ 92
14.1.6 新增认证用户 ................................................................................................................................ 93
14.1.7 修改用户 ........................................................................................................................................ 94
14.1.8 绑定检查 ........................................................................................................................................ 95
14.1.9 导出用户和组 .............................................................................................................................. 101
14.1.10 移动用户和组 ...................................................................................................................... 102
14.1.11 删除用户和组 ...................................................................................................................... 104
14.1.12 查询用户和组 ...................................................................................................................... 104
14.2 批量导入 .............................................................................................................................................. 105
14.3 LDAP/AD导入 ....................................................................................................................................... 106
14.4 扫描内网主机 ...................................................................................................................................... 107
14.5 临时账户管理 ...................................................................................................................................... 109
14.5.1 临时账户设置 .............................................................................................................................. 109
14.5.2 生产临时帐号 .............................................................................................................................. 111
14.5.3 申请临时账户 .............................................................................................................................. 112
14.5.4 未审核账户列表 .......................................................................................................................... 113
14.5.5 已审核账户列表 .......................................................................................................................... 114
14.6 免审计Key ........................................................................................................................................... 115
流量管理 ...................................................................................................................................................... 115
15.1 线路带宽配置 ...................................................................................................................................... 116
15.2 基于策略的流控 .................................................................................................................................. 116
15.3 基于用户的流控 .................................................................................................................................. 121
15.4 应用限额管理 ...................................................................................................................................... 125
15.4.1 应用限额策略 .............................................................................................................................. 125
15.4.2 应用限额用户 .............................................................................................................................. 127
16
17
18
19
20
行为管理 ...................................................................................................................................................... 127
16.1 认证策略 .............................................................................................................................................. 127
16.2 上网策略对象 ...................................................................................................................................... 130
16.2.1 URL过滤 ..................................................................................................................................... 131
16.2.2 关键字过滤 .................................................................................................................................. 133
16.2.3 文件传输过滤 .............................................................................................................................. 134
16.2.4 即时通讯过滤 .............................................................................................................................. 135
16.2.5 邮件过滤 ...................................................................................................................................... 136
16.3 认证选项 .............................................................................................................................................. 137
16.3.1 SNMP设置 .................................................................................................................................. 138
16.3.2 认证参数 ...................................................................................................................................... 139
16.3.3 自定义认证页面 .......................................................................................................................... 140
16.3.4 未认证权限 .................................................................................................................................. 141
16.4 认证服务器 .......................................................................................................................................... 143
16.4.1 RADIUS服务器........................................................................................................................... 143
16.4.2 AD服务器 .................................................................................................................................... 143
16.4.3 LDAP服务器 ............................................................................................................................... 144
16.4.4 POP3服务器 ................................................................................................................................ 145
16.4.5 服务器测试 .................................................................................................................................. 146
16.5 白名单管理 .......................................................................................................................................... 147
16.6 黑名单管理 .......................................................................................................................................... 149
16.6.1 黑名单规则 .................................................................................................................................. 149
16.6.2 当前黑名单 .................................................................................................................................. 151
16.7 在线用户 .............................................................................................................................................. 152
IPv6配置 ...................................................................................................................................................... 154
17.1 网络工具 .............................................................................................................................................. 154
17.1.1 Ping6 ............................................................................................................................................. 154
17.1.2 TraceRoute6 .................................................................................................................................. 155
17.2 配置IPv6地址 .................................................................................................................................... 156
17.3 无状态自动地址配置 .......................................................................................................................... 157
17.4 静态路由 .............................................................................................................................................. 159
17.5 本机DNS ............................................................................................................................................... 160
17.6 邻居表 .................................................................................................................................................. 161
17.7 防火墙 .................................................................................................................................................. 163
酒店管理-即插即用 ..................................................................................................................................... 165
高可靠性(HA) .............................................................................................................................................. 166
系统日志 ...................................................................................................................................................... 167
20.1 命令日志 .............................................................................................................................................. 168
20.2 事件日志 .............................................................................................................................................. 169
20.3 用户日志 .............................................................................................................................................. 169
20.4 PPTP日志 ............................................................................................................................................ 170
20.5 IPSec日志 ............................................................................................................................................ 171
20.6 黑名单日志 .......................................................................................................................................... 172
20.7 日志服务器 .......................................................................................................................................... 173
20.8 邮件配置告警 ...................................................................................................................................... 174
21 故障排除 ...................................................................................................................................................... 175
21.1 捕获数据包 .......................................................................................................................................... 175
21.2 查看数据包 .......................................................................................................................................... 176
22 报表中心 ...................................................................................................................................................... 176
22.1 内容记录配置 ...................................................................................................................................... 176
22.2 内置报表中心 ...................................................................................................................................... 179
22.3 外置报表中心配置 .............................................................................................................................. 179
第一部分 产品概述
1 图形界面格式约定
格式
【 】
>
<>
代表菜单或子菜单名称
代表WEB网管配置路径:如【系统对象】>【地址簿】,表示“系统对象”菜单下的“地址簿”菜单
代表窗口中的选项或按钮名称
描述
2 环境要求
设备系列产品可在如下环境使用:
➢ 输入电压: 220~240V
➢ 温度: -10~50 ℃
➢ 湿度: 5~90%
➢ 电源:交流电源110V ~230V
为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求。
提示:
1、 保证设备工作在建议的环境要求内,否则可能导致设备损坏或提早老化。
2、 设备良好的接地可以有效避免雷击。
3 接线方式
请按照如下步骤进行设备的接线:
1、 在后面板电源插座上插上电源线,打开电源开关,前面板的Power灯(绿色,电源指示灯)和Alarm灯(红色,告警灯)会点亮。大约1-2分钟后Alarm灯熄灭,说明设备正常工作。
2、 用标准 RJ-45 以太网线将 LAN 口与内部局域网连接。
3、 用标准 RJ-45以太网线将 WAN 口与Internet接入设备相连接,如路由器、光纤收发器或ADSL Modem等。
4、 桥接模式:LAN1和WAN1为网桥1,LAN2和WAN2为网桥2、……、LANm和WANm为网桥m。每个桥之间是独立通信的,桥之间不能传递数据。
5、 路由模式:可以接入多条出口线路,每个端口之间在策略允许的情况下可以通信。
提示:如果开机5分钟后,红灯还长亮,请关闭电源5分钟,然后重开。
4 登录设备
设备默认使用LAN1作为网管口,LAN1出厂地址为192.168.0.1/24。设备 支持两种方式的
WEBUI 登录:
1、 安全的 HTTPS 登录,默认端口9090。初始登录 URL 为: 192.168.0.99
系统默认使用 HTTPS 的登录方式,默认的管理员账号是admin,密码是admin*PWD。正确输入用户名和密码后,点击<登录>按钮即可进入管理界面。
提示:
1、 配置之前,必须保证用于网管的电脑与网络设备管理产品的网管口地址在同一个网段。如果第一次配置,请连接LAN1口,LAN1出厂地址为192.168.0.1/24,电脑的地址应配置为192.168.0.0/24,但不允许为192.168.0.99。
2、 连接后可以增加/修改物理端口或者网桥的IP地址,设备的每一个IP地址都可以用于网管。
5 刷新/保存/注销
在设备提供的 WEB 方式的管理界面中的最右上角有三个链接,分别是“刷新”、“保存”、“注销”。点击
“刷新”可手动刷新当前页。点击“保存”并确认后,可将当前配置保存到系统硬盘中。点击“注销”并确认后,即可成功退出系统。
6 密码恢复
如果管理员密码丢失,请按以下步骤恢复系统默认密码:
1. 进入Console连接,使用root用户(username:root,password:root*PWD)登录。
2. 选择 Reset WEBUI Password,进入密码恢复菜单,然后输入yes,再回车。
3. 密码恢复成功,网管密码恢复到出厂设置(username:admin,password:admin*PWD)。
第二部分 产品配置
7 设备状态
登录设备后,进入到设备首页,即设备状态页面。设备状态页面包含了设备版本信息、设备资源、实时网络流量、前十名服务实时速率分布、前十名用户实时速率排名、前十名站点排名、最近五次事件日志等七项内容。如下图:
图1. 首页
“设备版本信息”描述了系统固件的版本、应用特征的版本、URL库的版本和授权类型的信息。授权类型有试用版和正式版两种。点击对应的<详细>按钮,可以连接到“系统升级”页面,查看到更详细的设备版本信息。
“设备资源”动态显示了CPU使用率、内存使用率、活跃会话数、在线用户数和在线认证用户数的信息。活跃会话数的显示格式为N/M,N表示当前活跃的并发会话数,M表示设备最大并发会话数。当鼠标滑过某行时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到最近一小时的趋势图。点击对应的<详细>按钮,可以连接到“设备资源”页面,查看到更详细的设备资源信息。
“实时网络流量”动态显示了当前UP的WAN口的速率。当鼠标滑过WAN1、WAN2、……、WANm时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到最近一小时的速率趋势图。点击对应的<详细>按钮,可以连接到“物理接口”页面,查看到更详细的物理接口的统计信息。
“前十名服务实时流量分布”动态显示了以总速率排名的前十名服务。当鼠标滑过某服务名称时,会出现“显示在线用户”的提示,点击即可查看该服务的在线用户的信息。当鼠标滑过某服务后面的带宽值时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到该服务最近一小时的速率趋势图。点击对应的<详细>按钮,可以连接到“服务趋势图”页面,查看到前十名服务的速率叠加趋势图。
“前十名用户实时流量排名”动态显示了以总速率排名的前十名用户。当鼠标滑过某用户时,会出现“显示活跃服务”的提示,点击即可查看该用户正在使用的服务的信息。当鼠标滑过某用户后面的带宽值时,会出现“显示最近一小时的趋势图”的提示,点击即可查看到该用户最近一小时的速率趋势图。点击对应的<详细>按钮,可以连接到“用户流量分析”页面,查看到前五十名用户的速率排名统计信息。
“前十名站点排名”动态显示了以被访问次数排名的前十名网站。
“最近五次事件日志”动态显示了最近五次的事件日志。点击<详细>按钮,可以连接到“事件日志”页面,查看和搜索更多的事件日志。8 实时监控
实时监控部分用于查看设备实时的工作状态,包括设备资源、物理接口、服务监控、用户监控四大部分。
8.1 设备资源
设备资源包括了CPU使用率、内存使用率、活跃会话数、在线用户数、在线认证用户数、磁盘信息等共六部分。如下图:
图2. 设置资源
各分页详细说明如下:
➢ CPU使用率:查看最近一小时CPU使用率;
➢ 内存使用率:查看最近一小时内存使用率;
➢ 活跃会话数:查看最近一小时活跃会话数的统计趋势图;
➢ 在线用户数:查看最近一小时在线用户数的统计趋势图;
➢ 在线认证用户数:查看最近一小时在线认证用户数的统计趋势图;
每个图的下方都显示了最新值(最近一个采样点的值)、最近一小时的最大值、最小值、平均值及每个值对应的时间点。图中还用箭头指明了最大值,如果这些值分布在多个时间点,则显示最后一个时间点。例如,最大值分布在15:09:11和15:45:23两个时间点,那么图中箭头指明的时间点和图下方最大值对应的括号中的时间点都是最后一个点15:45:23。
8.2 物理接口
物理接口页面的内容含两部分:所有端口的全局信息、每个端口的速率趋势图。
第一:物理接口的全局信息,如下图:
图3. 物理接口统计图
全局信息包括了以下内容:
➢ 柱状图显示了每个物理接口收发速率。
➢ 表格显示了每个接口的收发数据的统计信息,每个物理接口上面一行对应该接口接收数据的统计信息,下面一行对应该接口发送数据的统计信息。
➢ 表格中的古蓝色圆饼代表该端口为连接状态,灰色圆饼代表该端口为未连接状态。
第二:单个物理接口的统计信息包括了总的速率、接收速率、发送速率,如下图:
图4. LAN1物理接口统计图
每个接口分页的下方都显示了最新值(最近一个采样点的值)、最近一小时的最大值、最小值、平均值及每个值对应的时间点。图中还用箭头指明了最大值,如果这些值分布在多个时间点,则显示最后一个时间点。例如,最大值分布在15:09:11和15:45:23两个时间点,那么图中箭头指明的时间点和图下方最大值对应的括号中的时间点都是最后一个点15:45:23。
8.3 服务监控
服务监控页面显示了前十名服务趋叠加势图、服务组趋势图、活跃服务、所有服务四部分。
8.3.1 服务趋势叠加图
服务趋势叠加图如下:
图5. 服务监控统计图
这里显示了所有服务的叠加趋势图,其中列出了前十名和Other。Other表示网络中除了前十名以外的其它服务的速率值。
8.3.2 服务组趋势图
服务组趋势图如下:
图6. 服务组监控统计图
这里显示了所有服务组的叠加趋势图,一共有自定义普通服务、自定义特征识别、常用服务、HTTP下载、P2P下载、WEB视频、流媒体、即时通讯、网络电话、网络游戏、股票交易、网上银行、其他服务等13种类型。
8.3.3 活跃服务统计
“活跃服务”将显示当前所有的活跃的服务,如下图:
图7. 活跃服务监控统计图
参数说明:
➢ 最新速率:表示某服务最后一个采样点的速率值。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
➢ 最近一小时总流量:表示某服务最近一小时传输的流量叠加值。上箭头后面的值表示上行流量,下箭头后面的值表示下行流量。
➢ 最近一小时平均速率:表示某服务最近一小时的平均速率。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
点击对应服务操作栏的<趋势图>按钮,查看该服务最近一小时的速率趋势图。点击<在线用户>,查看正在使用该服务的用户的信息。
8.3.4 所有服务统计
“所有服务”将分类显示所有的服务统计值,如下图:
图8. 所有服务监控统计
参数说明:
➢ 最新速率:表示某服务最后一个采样点的速率值。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
➢ 最近一小时总流量:表示某服务最近一小时传输的流量叠加值。上箭头后面的值表示上行流量,下箭头后面的值表示下行流量。
➢ 最近一小时平均速率:表示某服务最近一小时的平均速率。上箭头后面的值表示上行速率,下箭头后面的值表示下行速率。
点击对应服务操作栏的<趋势图>按钮,查看该服务最近一小时的速率趋势图。点击<在线用户>,查看正在使用该服务的用户的信息。
8.4 用户监控
用户监控页面显示了前五十名用户的实时传输速率、新建会话速率和活跃会话数。
8.4.1 流量分析
前五十名用户的实时传输速率统计图如下:
点击<趋势图>按钮,查看该用户最近一小时的速率趋势图。
点击<活跃服务>按钮,查看该用户当前使用的服务的信息。
8.4.2 会话分析
前五十名用户的新建会话的统计图如下:
点击<趋势图>按钮,查看该用户最近一小时的速率趋势图。
点击<活跃服务>按钮,查看该用户当前使用的服务的信息。
8.4.3 活跃会话
前五十名用户的当前活跃会话统计图如下:
点击<趋势图>按钮,查看该用户最近一小时的速率趋势图。
点击<活跃服务>按钮,查看该用户当前使用的服务的信息。
9 系统配置
“系统配置”主要包括设备工作模式、系统维护、系统管理员、网络配置、网管策略、重启操作、关机操作、网络工具、系统信息等。
9.1 设备工作模式
“设备工作模式”用来设置设备的工作模式,可以设定为网桥模式、路由模式和旁路模式,默认为网桥模式。用户可根据网络中的实际情况选择相应的接入模式。
9.1.1 网桥模式
功能描述:网桥模式是把“设备”视为一条带过滤功能的网线使用,把“设备”接在原有网关及内网用户之间,不用更改网络拓扑结构和配置,这种模式于用户可以做到完全“透明”。如下图所示:
单网桥模式 双网桥模式
配置路径:【系统配置】>【工作模式】
配置描述:进入【工作模式】页面,工作模式选择[网桥模式],并配置[网桥类型]、[端口配置]、[网关IP]。如下图:
图9. 工作模式
参数说明:
➢ 网桥类型:根据组网情况,选择网桥数,并为其配置IP地址(网桥的IP地址的配置是可选的)。未配置为网桥的端口为独立端口,可用于网管或路由。
➢ 端口配置:根据需要对未配置为网桥的端口进行IP地址的配置。
➢ 网关IP:默认路由(0/0)的的网关地址。若不在此处配置,可以在【网络配置>路由配置>静态路由】页面进行默认路由的配置。
提示:
1、 设备工作在网桥模式时,局域网内电脑的网关不需要改变。
2、 设备工作在网桥模式时,必须保证原有上网数据穿透设备,即不能存在内网用户可绕过设备,到达原有网关的物理线路。
3、 设备工作在网桥模式时,穿透数据时要保证 WAN区接连接外网方向的路由设备,LAN区接内网的交换机,不能接反。
4、 设备的网桥模式是在数据链路层(OSI第二层)上实现的透明,是通过把设备的两个网口桥接起来实现的。所以数据链路层及以上各层的数据均可穿透。
5、 网桥模式时,设备支持 VLAN TRUNK穿透,设备可以透明接在 VLAN TRUNK的主干道上。
9.1.2 路由模式
功能描述:此模式下设备工作类似一个路由器,可以进行路由拓扑构造。每个物理接口可以工作在不同的子网中,使LAN与Internet之间建立一个安全网关。如下图所示:
单链路路由模式 双链路路由模式
配置路径:【系统配置】>【工作模式】
配置描述: 进入【工作模式】页面,工作模式选择[路由模式],并配置[网桥类型]、[端口配置]、[网关IP]。如下图:
图10. 路由模式
参数说明:
➢ 端口配置:根据需要对物理端口进行IP地址的配置。
➢ 网关IP:默认路由(0/0)的的网关地址。若不在此处配置,可以在【网络配置>路由配置>静态路由】页面进行默认路由的配置。
9.1.3 旁路模式
功能描述:此模式下,设备只对网络中的数据进行记录和监控,不对网络中的数据进行过滤和控制。如下图所示:
配置路径:【系统配置】>【工作模式】
配置描述:进入【工作模式】页面,工作模式选择[旁路模式],如下图:
图11. 旁路模式
参数说明:
➢ 端口配置:根据需要对物理端口进行IP地址的配置。
➢ 网关IP:默认路由(0/0)的的网关地址。若不在此处配置,可以在【网络配置>路由配置>静态路由】页面进行默认路由的配置。
➢ 监控网段列表:被监控的内网IP地址。
9.2 系统维护
9.2.1 系统升级
功能描述:升级设备的系统文件,可以升级的系统文件包括:系统固件、应用特征库、URL库、授权文件。
➢ 系统固件:设备软件程序
➢ 应用特征库:应用特征码的库文件
➢ URL库:内置URL库文件
➢ 授权文件:给设备进行授权的文件。当前授权文件包括以下信息:
设备序列号:标示设备的唯一序列号。
授权类型:试用版/正式版;试用版是指给客户试用的版本,正式版是指正式销售的版本。
授权有效期: 授权文件的有效期限。
升级服务有效期: 正式版的升级服务有效期,在有效期之前可升级系统固件、应用特征库、URL库,过期则不能升级。
配置路径:【系统配置】>【系统维护】>【系统升级】
配置描述:
第一:进入【系统升级】页面,可以查看设备的各种系统文件信息。如下图:
图12.
系统升级
第二:选择需要升级的文件类型,点击<浏览>,找到文件的位置,再点击<升级>按钮开始升级。如下图:
图13. 系统升级
提示:
1、 未选中的文件类型后面显示当前的版本信息。
2、 升级系统固件后,必须重启系统才能运行新的版本。
3、 升级应用特征库、URL库文件、ISP自动地址表和授权文件后,不需要重启系统即可生效。
9.2.2 自动升级
功能描述:用户对“应用特征库”、“URL库”的自动升级。
配置路径:【系统配置】>【系统维护】>【自动升级】
配置描述:进入【自动升级】页面,可自动升级系统文件。如下图:
图14. 自动升级
参数说明:
➢ 启用自动升级:勾选后,即启用了对应库的自动升级功能,设备会定期去服务器检查是否有新版本,若有就会自动升级新的库文件;
➢ 立即升级:点击此按钮,则立即去获取最新的版本并升级;
➢ 回滚:将库文件回滚到上一次升级的版本;
➢ 服务器:自动去该服务器上获取新版本,可配置IP或者域名。配置域名,则需要在【网络配置>DNS配置】页面设置DNS服务器;
➢ 延迟升级:当有新版本时,是否延迟升级。选择“不延迟”,则立即升级;选择“延迟…”,则延迟一段时间再升级。
9.2.3 备份与恢复
功能描述:设备支持配置文件备份与恢复功能。
配置路径:【系统配置】>【系统维护】>【备份与恢复】
配置描述:
第一:进入【备份与恢复】页面,如下图:
图15. 配置备份与恢复
➢ 备份:系统会将所有的配置以文件的形式存储,然后可将这个配置文件导出到PC。
➢ 恢复:导入一个配置文件(备份到PC的.conf的压缩文件),导入后会覆盖原来的配置文件,设备将自动重启。
➢ 恢复出厂配置:将设备的配置恢复到出厂值,设备将自动重启。
第二:选择备份或恢复,点击<确定>
9.2.4 重启/关机
功能描述:重启或关闭设备
配置路径:【系统配置】>【系统维护】>【重启/关闭】
配置描述:进入【重启/关闭】页面,选择重启或关机,再点击<确定>按钮,可重启或关闭设备。如下图:
图16. 重启/关机
提示:移动设备或切换电源时,最好先关机,30秒后再切断电源。
9.3 系统管理员
9.3.1 配置系统管理员
功能描述:配置系统管理员。
配置路径:【系统配置】>【系统管理员】
配置描述:
第一:进入【系统管理员】页面,可以看到当前的管理员列表,如下图:
图17. 系统管理员
第二:点击<新增>,进入新增管理员的界面,填写各项参数,然后点击<确定>。如下图:
图18. 新增系统管理员
参数说明:
➢ 用户名:输入用户名称,由数字、英文、下划线、中杠线、点组成,开头必须为字母或数字,且长度为1-16个字符;[必选项]
➢ 认证方式:口令认证;
➢ 口令策略:包括手工配置口令和自动生成(邮件通知)口令。手工配置密码可以直接在下面的密码、确认密码框中输入用户密码;
➢ 密码强度:系统会根据密码强度规则自动检测用户输入密码的安全强度;
➢ 设置密码/确认密码:不限字符,但不能设置空格键;[必选项]
➢ 自动生成密码:要求[邮箱地址]为必填项,系统生成的密码发到该邮箱地址中。如下图:
图19. 新增系统管理员
➢ 真实姓名:输入对应登录名的真实姓名,不限字符;[必选项]
➢ 手机号码:即管理员的手机号码;[可选项]
➢ 邮箱地址:即管理员的邮箱地址,当管理员的配置信息有变更时,系统会通过邮件方式通知管理员;
➢ 角色:将定义的用户分配一个角色;[必选项]。
系统默认配置了三个角色(超级管理员、Guest、审计员),您可以根据准备工作中确定的用户权限来
灵活自定义分配的角色。如果要自定义角色,请参见本文【角色管理】章节。
➢ 所属组:报表中心(Reporter)的权限。例如,一个名为Mary的管理员,“所属组”配置为“Root/财务部”,那么Mary只能查看“根组(Root)”下的“财务部”组下的所有人的记录。点击<选择>按钮,可选择所属组,如下图:
➢ 状态:启用或禁用该用户,默认启用。
➢ 备注:主要是作为描述该用户的附加注释信息。[可选项]
提示:自动生成密码:要求[邮箱地址]为必填项,且必须在【系统配置>邮件配置】中设置好邮件服务器的相关参数才会生效。
9.3.2 角色管理
功能描述:配置系统管理员的角色分类,即管理权限。
配置路径:【系统配置】>【系统管理员】
配置描述:
第一:进入管理员新增页面,点击<角色配置>按钮,进入下图:
图20. 系统管理员
第二:点击<新增>,进入新增系统角色的界面,填写各项参数,然后点击<确定>。如下图:
图21. 新增系统角色
参数说明:
➢ 角色名称:输入管理员的角色名称;[必选项]
➢ 角色描述:可以输入描述该角色的注释等。[可选项]
➢ 权限列表:选择为该角色分配的权限。[编辑权限]表示可以对设备进行读写操作。[查看权限]表示对设备仅有读操作权限。[必选项]
提示:
1、 系统默认配置了三个管理员:
➢ admin:具有所有权限,可以配置设备、查看设备、管理Reporter。
➢ guest:仅具有查看设备权限,默认密码为guest*PWD。
➢ reporter:管理Reporter,所属组为根组,默认密码为reporter*PWD。
2、 系统默认的管理员(admin、guest、reporter)不能删除,可修改密码。
3、 超级管理员可以修改其它管理员的属性,其它管理员只能修改自己的密码。
4、 新增的用户可以修改密码,可以被删除。
5、 具有管理Reporter权限的管理员,先登录了设备后,可以不用再次登录即可管理Reporter。当先登录Reporter,必须要再次登录才可以管理设备。
9.4 网管策略
功能描述:设置网管策略,可允许部分IP能网管设备,以限制非法用户访问设备。
配置路径:【系统配置】>【网管策略】
配置描述:
第一:进入【网管策略】页面,如下图:
图22. 网管策略
第二:选择策略类型,再点击右上角的<确定>
第三:点击<新增>按钮,增加“允许网管设备的策略”。
图23. 新增网管策略
第四:改变“状态”栏的值,再点击<修改状态>可以改变配置条目的状态。
提示:
1、 策略类型:默认为“允许所有IP网管”,这时所有IP都可以网管设备。
2、 策略类型选择为“根据下面策略进行控制”时,如果网管策略里没有配置任何策略,则所有IP都可以网管设备;如果配置了策略,则只有符合这些策略的才可以网管设备。
3、 状态复选框:勾选,表示此条配置的状态为“启用”。不勾选,即此条配置的状态为“禁用”,即此策略未生效。
9.5 网管参数
功能描述:对网管参数的设置,包括WEBUI及SSH网管参数的设置。
配置路径:【系统配置】>【网管参数】
图24. 网管参数
参数说明:
➢ WEBUI网管方式:支持安全的 HTTPS 方式和传统的 HTTP 方式,默认为HTTPS方式 。
➢ WEBUI登录端口:为安全起见,系统的 WEB 网管默认采用 TCP 9090 端口,可以改成 TCP 协议的其它端口,不能改成 80 端口。
➢ WEBUI超时:WEBUI未操作超时时间,默认 10 分钟。
➢ REPORTER登录端口:为安全起见,系统的 WEB 网管默认采用 TCP 9091 端口,可以改成 TCP 协议的其它端口,不能改成 80 端口。
➢ REPORTER超时:REPORTER的WEBUI未操作超时时间,默认 10 分钟。
➢ SSH登录端口:为了安全性,系统的 SSH 网管默认采用 TCP 2222 端口,可以改成 TCP 协议的其它端口。
9.6 网络工具
“网络工具”包括Ping 和 TraceRoute
9.6.1 Ping
功能描述:用于测试网络的连通性。
配置路径:【系统配置】>【网络工具】>【Ping】,设置界面如下图:
图25. PING工具
参数说明:
➢ IP/域名:目的 IP 地址或者域名,如果设置域名,需要先配置本机DNS。
➢ 报文长度:Ping报文的长度,20-8000 字节,默认64字节。
➢ Ping次数: 发送Ping报文的数量,1~2000000000,默认 5次。
提示:如果输入域名,需要先配置本地 DNS 服务器,详见【网络配置>DNS 配置】。
9.6.2 TraceRoute
功能描述:用于确定 IP 数据访问目标所采取的路径。
配置路径:【系统配置】>【网络工具】>【TraceRoute】,设置界面如下图:
图26. TraceRoute工具
参数说明:
➢ IP/域名:目的 IP 地址或者域名,如果设置域名,需要先配置本机DNS。
➢ 超时设置:1-10秒,缺省 10秒。
➢ 最小 TTL:1-255,缺省 1。
➢ 最大 TTL:1-255,缺省 10。
提示:如果输入域名,需要先配置本地 DNS 服务器,详见【网络配置>DNS 配置】。
9.7 系统时间
功能描述:用于设定设备的系统时间。
配置路径:【系统配置】>【系统时间】,设置界面如下图:
图27. 设置系统时间
如需启用SNTP功能,则勾选[自动与SNTP服务器同步],然后可配置[SNTP服务器]和[同步间隔]。如下图:
图28. 设置系统时间
点击 <立即同步>按钮,可立即与所配置的服务器进行时间的同步。
提示:启用 [自动与SNTP服务器同步]后,系统日期和系统时间两项不可配置。
9.8 系统信息
功能描述:设备基本信息描述。
配置路径:【系统配置】>【系统信息】,配置页面如下:
图29. 系统信息
9.9 邮件配置
功能描述:配置设备发送告警邮件的参数。
配置路径:【系统配置】>【邮件配置】,配置页面如下:
图30. 邮件配置
参数说明:
➢ 邮件使用语音:发送邮件时使用的语言。
➢ 邮件服务器:设置邮件发服务器地址。
➢ 端口号:设置邮件端口号。
➢ 发件人:设置告警邮件的发送者。
➢ 发件人显示名:设置告警邮件发送者显示的姓名。
➢ 需要认证:选择是否需要进行密码安全认证。
➢ 用户名:需要安全认证时,必须填入用户名。
➢ 密码:需要安全认证时,必须填入用户密码。
➢ 收件人:设置告警邮件的收件人邮箱地址,可以设置多个,一行一个收件人地址。
9.10 集中管理
功能描述:配置设备是否加入集中管理平台。
配置路径:【系统配置】>【集中管理】,配置页面如下:
图31. 集中管理
参数说明:
➢ 启用集中管理:配置设备是否加入集中管理,加入后即成为集中管理的客户端或网点。
➢ 中心端IP地址:配置集中管理的中心端的IP地址。
➢ 通讯端口:配置与中心端通信的端口号,默认是1194。须与中心端配置的通讯端口一致。
➢ 网点名称:配置设备在中心端的区域结构中显示的设备名称。
➢ 数据加密密钥:与中心端通信时的数据是加密的,此处配置的密钥与中心端上该网点密钥一致。
➢ 已获取的虚拟IP:中心端分配给设备的虚拟IP地址。
与中心端连接状态:显示与中心端的连接状态。“连接”表示与中心端的数据通道连接正常,“断开”表示与中心端的数据通道连接已断开。“最后响应时间”表示最后一次与中心端通信的时间。
10 系统对象
“系统对象”包括地址薄、网络服务、时间计划、URL库、关键字、文件类型等。
10.1 地址簿
功能描述:用于定义一个包含某些 IP 地址的 IP 地址组,这个 IP 组可以是任意的一个IP、一段IP或者IP范围的任意组合。“地址簿”将被【防火墙>安全策略】、【防火墙>NAT规则】、【行为管理】及【流量管理】中定义的规则时引用。
配置路径:【系统对象】>【地址簿】
配置描述:
第一:进入【地址簿】页面,如下图:
图32. 地址簿
第二:点击<新增>按钮,增加地址簿,如下图:
图33. 新增地址簿
提示:如果某地址簿已经被引用,则不能被删除。删除前必须先解除引用。
10.2 网络服务
网络服务共分为:自定义普通服务、自定义特征识别、自定义论坛/网评、常用服务、HTTP应用、WEB视频、P2P下载、流媒体、网络游戏、即时通讯、股票交易、网上银行、网络电话、其他服务。其中[自定义普通服务]与[常用服务]是基于端口的服务,在【防火墙>安全策略】中被引用;其他服务都是基于内容识别的服务,在【流量管理】中将被引用。
10.2.1 自定义普通服务
功能描述:自定义基于端口的四层服务
配置路径:【系统对象】>【网络服务】>【自定义普通服务】
配置描述:
第一:进入【自定义普通服务】页面,可看到当前已定义的服务,如下图:
图34. 自定义普通服务
第二:点击表格右上角的<新增>按钮,增加服务,配置页面如下:
图35. 新增自定义普通服务
点击
优先级:默认低于系统定义的常用服务。
提示:
1、 某一种服务,可同时包含TCP、UDP、ICMP、IP类型的子服务。
2、 如果某服务已经被引用,则不能被删除。要删除某服务,必须先解除引用。
10.2.2 自定义特征识别
功能描述:自定义基于特征识别的7层服务
配置路径:【系统对象】>【网络服务】>【自定义特征识别】
配置描述:
第一:进入【自定义特征识别】页面,可看到当前已定义的服务,如下图:
图36. 自定义特征识别规则
第二:点击表格右上角的<新增>按钮,增加服务,配置页面如下:
图37. 新增自定义特征识别规则
参数说明:
➢ 协议类型:选择本条规则的协议类型,可选择 TCP、UDP 或者 TCP+UDP
➢ 目的端口:可选择[所有端口]或者[端口范围]
➢ IP地址:可选择[所有 IP 地址]或者[指定的 IP 地址]
➢ 数据长度:可选择[任意数据长度]或者[指定数据长度];该长度不计算 TCP/UDP 的头部,仅是
Payload 的长度。符合设定长度的报文才会被匹配。
➢ 特征字符串:报文的特征,用正则表达式来表示。
➢ 优先级:默认低于系统定义的特征。
提示:如果某服务已经被引用,则不能被删除。要删除某服务,必须先解除引用。
10.2.3 自定义论坛/网评特征
功能描述:自定义HTTP论坛或者网页评论页面的特征。
配置路径:【系统对象】>【网络服务】>【自定义论坛/网评特征】
配置描述:
第一:进入【自定义论坛/网评特征】页面,可看到当前已经定义好的[自定义论坛/网评特征]列表,如下图:
图38. 自定义论坛/网评特征
第二:点击表格右上角的<新增>按钮,新增[论坛/网评特征],配置页面如下:
图39. 新增自定义论坛/网评特征
参数说明:
➢ URL:HTTP 报文第一行 POST 头与 HTTP/1. 之间的内容,如:。
➢ HOST:HTTP 报文的 HOST 字段的内容,如: 或者 IP 地址。
➢ 编码类型:网页的编码类型。
➢ 是否 MIME 型:选择[是]或[否],当 Content-Type 字段含有“boundary=----”时,即为 MIME 型。
➢ 主题关键字:tilte、topic、subject 或其他。即下面“发表帖子”和“回复帖子”两个图例中1所指的部分所包含的关键字。
○
➢ 内容关键字:message、content、body、remark 或其他。即下面“发表帖子”和“回复帖子”两个图例中2所指的部分包含的关键字。
○
图40. 发表帖子
图41. 回复帖子
➢ 优先级:默认低于系统定义的特征。
提示:
1. 以上各条件是"与"的关系, 即每个条件都满足,才能匹配到本条特征。
2. 如果某服务已经被引用,则不能被删除。要删除某服务,必须先解除引用。
10.2.4 协议剥离
在某些网络环境中,通讯数据包经过了一些特殊协议类型的封装(PPPoE、MPLS等),这些协议数据包在普通 IP 包的基础上添加了各自协议特有的头部标识,使得一般带有协议分析功能的设备也无法正常分析。
本设备通过协议剥离功能,分析出这些特殊协议数据包的特点,并与内置特殊协议规则匹配,在设备内部剥离掉特殊协议的协议头,这样可以支持对特殊协议封装内的原始数据进行认证、审计和控制。
设备内部目前内置了[VLAN(Q-in-Q)协议的剥离] 和 [PPPoE 协议的剥离],并且支持[自定义协议的剥离]。
如果网络环境中存在非普通 IP 报文的其他特殊协议,但该协议不在内置的协议剥离列表,在可
以设置自定义的协议剥离。配置方法如下:
配置路径:【系统对象】>【网络服务】>【协议剥离】
配置描述:进入【协议剥离】页面,如下图:
图42. 自定义协议剥离
参数说明:
➢ 协议剥离:启用或禁用协议剥离功能。
➢ 匹配协议头特征:指明需要做协议剥离的特殊协议的协议头在整个数据包中(含以太头)的起始位址和协议头特征值。
➢ IP头起始位址:指明经过此特殊协议封装后 IP 头的起始位址。
提示:
1、 路由模式不支持协议剥离。
2、 网桥模式下支持协议剥离,可对协议剥离后的数据进行自动认证、应用审计和控制,但特殊环境下部分功能不生效,如 Web 认证、准入认证、SSL内容识别,MSN传文件控制等等。
3、 旁路模式下支持协议剥离,协议剥离环境下仅支持自动认证和审计,不支持控制功能。
4、 协议剥离环境下,不支持以计算机名作为用户名、不支持以 MAC 地址作为用户名、不支持用户绑定MAC地址。
5、 某些数据经特殊协议封装后,会有2个 IP 头部,如L2TP,协议剥离后最外层的 IP 头(底层)已经剥离,所以最终认证、审计、控制是根据最里层(上层)的 IP 来控制的,同时设备策略不应该组织外层 IP 通讯。
6、 设备默认支持单层的 802.1Q VLAN 剥离、Q-in-Q VLAN 剥离、PPPoE 剥离、VLAN+PPPoE 剥离,Q-in-Q+PPPoE支持,以及对PPPoE SSO支持。对这些协议的支持,不必开启协议剥离功能,就能自动运行。
7、 协议剥离均不支持协议以压缩、加密的方式通讯。
10.3 时间计划
功能描述:用于定义时间段,然后可在【防火墙>安全策略】、【流量管理】、【行为管理】中引用,以控制这些策略生效或失效的时间,从而可对各种策略分时间段管理。
配置路径:【系统对象】>【时间计划】
配置描述:
第一:进入【时间计划】页面,可以看到当前已配置的时间计划,如下图:
图43. 时间计划
第二:点击<新增>按钮,增加时间计划,如下图:
图44. 新增时间计划
按钮说明:
<选定>:选中横坐标和纵坐标对应的时间格子,当格子为黑色时,点击<选定>,格子颜色变为绿色,即选中了时间。
<取消选定>:选中横坐标和纵坐标对应的时间格子,当格子为黑色时,点击<取消选定>,格子颜色变为灰色,即取消了选中的时间。
<重置>:取消所有选中的时间。
第三:选中时间后,点击<确定>按钮,配置成功。
提示:
1、 每个格子代表半小时,只有格子为绿色时,才是已经选定的时间。
2、 如果某时间计划已经被引用,则不能被删除。要删除某时间计划,必须先解除引用。
10.4 URL库
功能描述:
包括内置和自定义的URL库。URL库可用于【行为管理>上网策略对象>URL 过滤】,实现对URL的过滤。
配置路径:【系统对象】>【URL库】
配置描述:
第一:进入【URL库】页面,可以看到当前的[内置 URL 库],如下图:
图45. 内置URL库
第二:点击<自定义URL库>选项卡,进入自定义 URL 库页面,如下图:
图46. 自定义URL库
操作说明:
➢ 【上网策略对象>URL 过滤】页面进行URL过滤时,遵循从按顺序从前往后匹配的原则,如果一个条目匹配了,就不会再向下匹配,所以序号小的条目优先级高。
➢ 此处的URL条目的顺序决定了【上网策略对象>URL 过滤】页面的关键字条目的匹配顺序,可以通过<移动>和<插入>来调整关键字组条目的顺序。
第三:点击<新增>按钮,可以很方便的自定义URL库。如下图:
图47. 新增自定义URL
在“URL”输入框内填写URL,一行一个 URL 关键字(或 URL 全名)。采用子串匹配方式,如配置 ,将匹配 、、/hardware 等。
10.5 白名单
功能描述:用于定义白名单。白名单中的域名或IP不受【上网策略对象>关键字过滤】中定义的规则的限制。
配置路径:【系统对象】>【白名单】
配置描述:
第一:进入【白名单】页面,可以看到当前已定义的白名单。如下图:
图48. 白名单
第二:点击<新增>按钮,可定义白名单组。如下图:
图49. 新增白名单
10.6 关键字组
功能描述:用于设置关键字,并把关键字分组,这些关键字组可用于【上网策略对象>关键字过滤】中限制某些关键字的搜索和上传。
配置路径:【系统对象】>【关键字组】
配置描述:
第一:进入【关键字组】页面,可以看到当前已定义的关键字组,如下图:
图50. 关键字组
操作说明:
➢ 【上网策略对象>关键字过滤】页面进行关键字过滤时,遵循从按顺序从前往后匹配的原则,如果一个条目匹配了,就不会再向下匹配,所以序号小的条目优先级高。
➢ 此处的关键字条目的顺序决定了【上网策略对象>关键字过滤】页面的关键字条目的匹配顺序,可以通过<移动>和<插入>来调整关键字组条目的顺序。
第二:点击<新增>按钮,定义关键字组。一行一个关键字,支持通配符匹配,如输入 snow*n,,将匹配 snowman
或 snowmn 等。如下图:
图51. 新增关键字组