天融信上网行为管理

格式：ppt
大小：955.01 KB
文档页数：59

下载文档原格式

技术说明书-天融信防火墙系统

1 前言
随着互联网应用类型的不断增加以及应用形式的不断变化，层出不穷的安全威胁时刻发生在我们身边。在这种情况下，防火墙作为边界安全防护手段的核心技术，在经历了多次的技术变革后，早已不是传统防火墙所诠释的概念了。而为了区别于传统型的防火墙技术，下一代防火墙的概念应运而生。著名市场分析咨询机构 Gartner 曾于 2009 年发表文章《定义下一代防火墙》，文章指出下一代防火墙在具有传统防火墙功能与特点的同时，还要具有“支持联动的集成化 IPS”、“应用管控与可视化”以及“智能化联动”相关特性。但在“云计算”、“WEB2.0”及“移动互联”等一系列新应用技术被广泛使用的今天，单纯从解决传统防火墙技术缺陷的角度去定义下一代防火墙产品则显得过于片面，需要的是站在一个全局的视角从解决用户网络面临的实际问题出发去定义下一代防火墙产品。
基于用户防护...................................................................................................................2 面向应用与内容安全.......................................................................................................3
流量管理.........................................................................................................................14 反垃圾邮件.....................................................................................................................14 攻击防护.........................................................................................................................14 病毒防御.........................................................................................................................14 上网行为管理.................................................................................................................15 远程接入.........................................................................................................................15 5 产品资质............................................................................................................................................16 6 典型应用............................................................................................................................................17 政府专网环境.................................................................................................................17 金融生产环境.................................................................................................................18 企业互联网边界.............................................................................................................19

天融信上网行为管理参数

·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计，方便用户对行为记录的查询、审计，并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤，如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤，支持根据邮件发件人、邮件附件类型过滤，发贴关键字过滤，文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略，父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理，免审计key支持批量导入用户：比如文件导入，LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组，可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名，这样大大的简化了动态用户的管理，增强了用户管理的灵活性支持公用账户、临时账户，支持对临时账户的自动和手动审核，从而减少管理员对临时账户的频繁配置，也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙，不仅保障网关设备安全，还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制，并提供相应的惩罚手段可基于业务应用划分优先级，将业务应用划分为高、中、低三个优先级，优先级越高的流量，优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式，并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式：系统支持一主一备，或一主多备的HA模式负载均衡模式：系统支持多个主设备(多主一备/多主多备)的HA模式，多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年，或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象，并进行对象排名根据组织结构中的逻辑树结构，可逐个展示用户，并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限：即用户上网记录的查询权限，必须用Key进行控制，任何其他人不允许有查询权限；·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别，通过信任列表进行管控；2、支持对代理软件或路由器共享上网的检测控制。

上网行为管理

.
日志传输加密：管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听
管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看权限，但可设置审计员账号；审核员无日志查看权限，但可审核审计员权限的合法性后才开通审计员权限；审计员无法设置自己的日志查看范围，但可在审核员通过权限审核后查看规定的日志内容
搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上搜索内容的合法性，避免不当关键词的搜索带来的负面影响。
URL管理：利用页分类库技术，对海量进行提前分类识别、记录、阻断确保上访问的的合法性。页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保页下载文件的合法性 .
第十四条互联上服务营业场所经营单位和上消费者不得利用互联上服务营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有下列内容的信息：
（一）反对宪法确定的基本原则的；（二）危害国家统一、主权和领土完整的；（三）泄露国家秘密，危害国家安全或者损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗、习惯的；（五）破坏国家宗教政策，宣扬邪教、迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）宣传淫秽、赌博、暴力或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）危害社会公德或者民族优秀文化传统的；
上行为管理产品及技术是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控、管理络资源使用情况，提高整体工作效率。上行为管理产品系列适用于需实施内容审计与行为监控、行为管理的络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。

天融信网管系统

天融信网管系统1.1.1 天融信网管系统,天融信网络管理软件系统局域网基本版是天融信信息技有限公司针对市场现状，面向各级企业用户，自主开发推出的完全中文化的网络管理平台，它具有智能化，功能实用性强、支持多种设备类型的通用性特点，提供了拓扑图显示管理、查看网络信息、设备视图、性能分析、网络诊断工具、事件监视、告警、用户管理、日志管理等,大功能，支持大规模的局域网，为用户提供了安全、可靠、稳定和可扩展的解决方案。

广泛适用于教育、电信、政府、金融、邮政以及企业网络中心的应用。

天融信,网络管理软件系统局域网基本版可以提供全中文帮助界面，更加适合国内用户应用，真正满足客户的使用习惯。

,天融信网络管理软件系统局域网基本版完全支持网管协议SNMPv1,v2,v3版本;拥有开放的API接口和管理数据接口，可以自定义告警及监控策略;全中文的操作界面;能显示物理端口连接状态，显示通用和专用的设备面板图;通过设备面板图能详细了解网络设备的运行状态，并对端口进行开启/关闭控制;有拓扑图编辑功能，并能显示多级拓扑图;精美的三维图形和表格的形式表示;可以自定义告警及监控策略，用户可以为设备监控参数设定阈值和故障级别分类;提供对任意多种网络指标体系进行数据采集，历史数据进行分析统计，并自动形成网络报表。

天融信网管系统具有跨厂商通用网络管理平台。

能优化管理 Cisco 、神州数码、 3COM 、D-LINK、 NORTEL 、华为等各主要国内外网络厂商的网络产品(路由器、交换机)，以及网络链路、主机等，同时可管理局域网和广域网设备。

天融信网管系统具有所见即所得的动态拓扑图。

拓扑图自动发现，可在一张拓扑图中显示网络线路状态，网络线路类型，网络线路容量和负载率，网络设备的状态、类型、名称、负载率和服务器的状态和负载率等全面的信息，能在屏幕上轻松的定位故障设备和服务器。

所有网络和系统状态一目了然，符合 IETF颁布的SNMPv1及v2C、v3规范。

天融信网络卫士安全网关系统上网行为管理系列

教育机构
适用于各类教育机构，保障校园网络的安全和稳定运行。
02
CATALOGUE
上网行为管理功能
用户上网行为管理
记录上网日志
系统能够详细记录用户的上网行为日志，包括访问网址、浏览内容、网络活动等，便于后续审计和追溯。
限制上网行为
根据组织的需求，系统可以限制用户的上网行为，如禁止访问特定网站、限制网络使用时间等，以保障工作效率和网络安全。
天融信网络卫士安全网关系统上网行为管理系列
contents
目录
• 天融信网络卫士安全网关系统概述 • 上网行为管理功能 • 系统架构与部署方式 • 实施与运维服务 • 成功案例与用户反馈 • 未来发展与展望
01
CATALOGUE
天融信网络卫士安全网关系统概述
产品简介
是一款基于先进的多核处理器的安全网关系统，具备高性能、高可用性和高扩展性。
开放API接口
提供丰富的API接口，支持第三方应用集成和二次开发。
硬件配置与性能
高性能处理器
采用多核高性能处理器，确保系统快速处理数据和指令。
内存与存储
配备大容量内存和存储空间，支持大量用户和数据的管理与存储。
扩展槽与接口
提供多种扩展槽和接口，支持扩展额外的硬件设备和功能模块。
部署方式与适用环境
抵御网络攻击
系统具备抵御各种网络攻击的能力，如DDoS攻击、ARP欺骗等，能够确保网络的稳定性和安全性。
03
CATALOGUE
系统架构与部署方式
系统架构设计
分布式架构
采用分布式架构，支持多台设备集群部署，提供高可用性和可扩展性。
模块化设计
系统采用模块化设计，可根据实际需求灵活配置和扩展功能模块。

天融信TOPSEC网络安全管理整体解决方案1.doc

天融信TOPSEC网络安全管理整体解决方案1天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的TOPSEC技术体系上，在“全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOPSEC解决方案包括综合管理系统，各类安全产品如防火墙、IDS、VPN、安全网关、个人安全套件以及综合安全审计系统等。

全面、联动、高效、易于管理网络安全是整体的。

我们可以通过选择优秀的产品、优秀的服务构建一个解决方案，但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略；这样势必形成安全漏洞，给入侵者可乘之机。

网络安全是动态的。

如果各个优秀的产品、服务等各环节之间是孤立的，则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略。

因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。

天融信公司在国内独创的TOPSEC技术体系上，在"全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOPSEC解决方案架构在天融信独创的、先进T-SCM(（Topsec Security Center Management）-－天融信安全集中管理平台，T-SCP（Topsec Security cooperation platform）---天融信安全产品标协作平台，T-SAS（Topsec Security Audition System）天融信安全审计平台3个核心技术平台之上。

TopsecManager通过T-SCM 实现对各种安全产品和非安全产品的综合管理；各种安全产品通过T-SCP实现不同产品之间的联动、协同工作；SAS通过T-SAS实现对网络中的安全设备和非安全设备的集中审计、分析。

天融信上网行为管理-精选文档

系统配置
• • • •
公告配置该公告信息在用户启用了上网认证功能时，用户认证时会弹出。公告栏的信息用户可以自定义；公告内容可以是中、英文以及阿拉伯数字，公告长度最长为255 个中文字符。
超时配置
•
该参数配置为设备启用认证功能后，对用户的一些超时配置。
•
“登录时长”：是指认证用户认证后所能使用网络的最大时长，超过此时长后用户需要重新认证方可使用网络；
ACM培训
2019-1
产品概况
产品主要分为两大功能 1、网络控制功能 2、应用审计功能
网Байду номын сангаас控制及审计功能
• 控制功能
– 访问控制控制 – IP/MAC – 带宽控制 – P2P控制 – 认证控制 – 上网控制
• 审计功能
– – – – – – 邮件审计 IM审计股票及网络游戏审计网络电话、电视审计网站提交及网站访问下载信息审计
备份数据的上传下载
•
上传下载是指将网络控制功能的备份文件进行恢复与下载
认证用户账号导入
• • •
账号导入是指将设置的认证用户的账号导入。可根据红色字体提示格式进行自定义。可将导出的上网用户信息备份出后，使用账户导入功能。
系统日志
• •
系统日志是指管理员对设备的全部操作记录。可根据管理员以及模块进行单独查询。
报警日志
•
报警日志是在模块规则中设置了阻断、告警等功能，如果有用户行为违反了这些行为，系统会发出告警，这些告警会记录在这里。因此，阻断和告警是否生效，可查看这里的报警日志，如果没有，说明该行为没有触发，换句话是没有生效。
网络接入
• •
在“网络接入”中选择部署模式，以及配置网卡地址和接口类型。注意：通常只选择内网作为监控模式，其他选择为“管理”即可。接口类型中有“其他”，是指该接口外联数据库，设备将审计数据发送到外部数据库。“管理”是指旁路接入时使用该接口进行设备管理。

天融信上网行为管理ACM-用户手册201501

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录一、产品概述 (8)1图形界面格式约定 (8)2环境要求 (8)3接线方式 (8)4登录设备 (9)5刷新/保存/注销 (10)6密码恢复 (10)二、产品配置 (10)1设备状态 (10)2实时监控 (12)2.1设备资源 (12)2.2物理接口 (13)2.3服务监控 (14)2.3.1服务趋势叠加图 (14)2.3.2服务组趋势图 (14)2.3.3活跃服务统计 (15)2.3.4所有服务统计 (16)2.4用户监控 (16)2.4.1流量分析 (16)2.4.2会话分析 (17)2.4.3活跃会话 (17)2.5上网行为 (18)2.6在线用户 (18)2.7防共享上网 (20)2.8当前黑名单 (20)2.9应用限额用户 (21)3系统配置 (22)3.1设备工作模式 (22)3.1.1网桥模式 (22)3.1.2路由模式 (23)3.1.3旁路模式 (24)3.2系统维护 (26)3.2.1系统升级 (26)3.2.2自动升级 (27)3.2.3备份与恢复 (27)3.2.4重启/关机 (28)3.3系统管理员 (28)3.3.1配置系统管理员 (28)3.3.2角色管理 (30)3.4网管策略 (32)3.5网管参数 (32)3.6网络工具 (33)III3.8系统信息 (36)3.9邮件配置 (37)3.10集中管理 (37)3.11中心配置 (38)4系统对象 (39)4.1地址簿 (39)4.2网络服务 (39)4.2.1自定义普通服务 (40)4.2.2自定义特征识别 (40)4.2.3自定义论坛/网评特征 (41)4.2.4协议剥离 (43)4.3时间计划 (44)4.4URL库 (45)4.5关键字组 (47)4.6文件类型 (48)5网络配置 (49)5.1接口配置 (49)5.1.1物理接口 (49)5.1.2链路聚合 (49)5.1.3VLAN接口 (51)5.1.4PPPoE (51)5.1.5DHCP客户端 (52)5.1.6GRE隧道 (52)5.2配置IP地址 (53)5.3静态路由 (54)5.4OSPF路由 (54)5.4.1网络配置 (55)5.4.2接口配置 (56)5.4.3参数配置 (57)5.4.4虚连接配置 (58)5.4.5信息显示 (59)5.5策略路由 (61)5.5.1策略路由 (61)5.5.2均衡策略 (63)5.5.3持续路由 (65)5.5.4链路健康检查 (66)5.6DNS 配置 (67)5.7DDNS 配置 (67)5.8智能DNS (68)5.8.1全局配置 (68)5.8.2线路配置 (69)IV5.10DHCP配置 (73)5.10.1基本参数 (73)5.10.2DHCP中继 (74)5.10.3已分配IP地址 (75)5.11SNMP服务器 (75)5.12代理服务器列表 (75)5.1代理配置 (76)6防火墙 (77)6.1安全策略 (77)6.2NAT规则 (79)6.2.1内网代理 (79)6.2.2一对一地址转换 (80)6.2.3端口映射 (81)6.2.4服务器池 (82)6.3防DOS攻击 (83)6.4ARP 欺骗防护 (84)6.5应用层网关 (85)6.6加速老化 (86)6.7移动终端管理 (86)7组织管理 (87)7.1组织结构 (87)7.1.1定位并选中当前操作对象 (87)7.1.2修改根组 (88)7.1.3新增子组 (89)7.1.4修改子组 (90)7.1.5新增普通用户 (91)7.1.6新增认证用户 (93)7.1.7修改用户 (94)7.1.8绑定检查 (95)7.1.9导出用户和组 (99)7.1.10移动用户和组 (100)7.1.11删除用户和组 (101)7.1.12查询用户和组 (101)7.2批量导入 (102)7.3LDAP/AD导入 (102)7.4扫描内网主机 (104)7.5临时账号设置 (105)7.5.1临时账号设置 (105)7.5.2未审核账户列表 (108)7.5.3已审核账户列表 (108)7.5.4批量生成 (109)V7.6免审计Key (109)8流量管理 (110)8.1线路带宽配置 (111)8.2基于策略的流控 (111)8.3基于用户的流控 (115)9行为管理 (117)9.1认证策略 (118)9.2上网策略 (120)9.2.1上网权限策略 (120)9.2.2终端提醒策略 (129)9.2.3应用限额策略 (131)9.2.4黑名单策略 (133)9.2.5上网审计策略 (135)9.3认证选项 (137)9.3.1SNMP设置 (137)9.3.2认证参数 (139)9.3.3自定义认证页面 (139)9.3.4未认证权限 (140)9.3.5SSO (141)9.3.6短信认证 (147)9.4认证服务器 (150)9.4.1RADIUS服务器 (150)9.4.2AD服务器 (150)9.4.3LDAP服务器 (151)9.4.4POP3服务器 (152)9.4.5服务器测试 (152)9.5白名单管理 (154)9.5.1IP 白名单 (154)9.5.2URL 白名单 (155)9.5.3即时通讯白名单 (156)10即插即用 (157)11VPN配置 (158)11.1IPSec (158)11.1.1IPSec隧道 (158)11.1.2IPSec规则 (159)11.2PPTP (160)11.3L2TP (161)11.4VPN 用户 (162)12HA配置 (163)13系统日志 (165)13.1命令日志 (165)13.2事件日志 (166)13.3PPTP/L2TP日志 (166)13.4IPSec日志 (167)VI13.5黑名单日志 (168)13.6日志服务器 (169)13.7短信配置 (170)13.8告警配置 (171)14故障排除 (175)14.1捕获数据包 (175)14.2查看数据包 (176)14.3调试信息下载 (177)15报表中心 (177)15.1报表中心配置 (177)15.2内置报表中心 (178)VII8一、产品概述1 图形界面格式约定2 环境要求设备系列产品可在如下环境使用：输入电压： 220～240V温度： -10～50 ℃湿度： 5～90% 电源：交流电源110V ～230V为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。

上网行为管理方案完整篇.doc

上网行为管理方案1上网行为管理方案(员工上网控制)构建安全、稳定、高效的企业网络⏹行业背景分析CNNIC最新数据表明：94.8%的中小企业配备了电脑、92.7%的中国中小企业接入互联网；57.2%的中小企业正在利用互联网与客户沟通及为客户提供咨询服务。

从企业门户平台的建设到公文、数据的传递，从VPN企业专用信息通道到网络视频会议，网络应用已经成为广大企业提高工作效率，进行实时沟通的有力保证和手段；同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。

然而，网络也是各种娱乐活动的渠道，是分散员工精力、生产力流失的根源，重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。

据美国科技调查机构IDC的调查指出：企业员工大约30％～40％对网络的使用是跟工作无关的。

中国企业的情况略高于这个比例。

中国员工每周花在网上处理私人事务的时间为5.6小时，中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪，83%的中层管理人员在办公时间内浏览与工作无关的网站。

如果缺乏管理制度和技术手段，员工不加监管、随意使用网络将导致三个重大问题：工作效率低下、网络性能恶化、网络违法隐患。

⏹行业网络需求分析多线高速接入因为拨号接入方式比专线、光纤便宜很多，一般企业多采用ADSL这类的宽带接入。

随着网络的应用越来越多，管理难度越来越大，很多企业一条宽带不够，再增加一条宽带；两条条宽带不够，再增加两条宽带。

但这样就会出现多路接入、多个出口的问题，接入设备多，维护成本增大，给管理带来困难。

因此企业需要多路宽带接入，特别是在业务范围覆盖全国的企业，还需要电信、联通线路的同时接入访问，消除跨网互通的问题。

网络带宽管理一般来说，一个2M外网带宽的局域网，只要有2个以上的用户毫无节制地使用BT，所有人的正常网络浏览都将成为不可完成的任务。

如果缺乏有效的技术手段，BT、迅雷、电驴、PPLive 等P2P软件和在线影音等行为就会严重吞噬带宽资源，导致正常工作的带宽得不到保障，企业大量投资的宽带网络速度一天比一天慢；IT部门经常遭到抱怨，要求提升上网的带宽；而有趣的是抱怨的人中常常包括那些下载音乐文件或看视频电影的员工。

天融信ACM-PPT精选文档

上班时间发生了全球70％的色情互联网访问
（色情网站的浏览量集中在每天9-17时）
滥用互联网对企业产生的负面影响

引发安全威胁
– – –

生产力下降
– – –
网页浏览(病毒、木马插件) IM即时通讯(病毒文件传输) P2P文件共享(恶意代码)
网页浏览(非工作活动) IM即时通讯(聊天) P2P文件共享(听歌、看电影)
互联网

内部机密信息泄漏
– – –

带宽资源的滥用
– – – –
网页上传 IM即时通讯邮件泄密
网页浏览 IM即时通讯 P2P文件共享在线游戏
什么是上网行为管理
• 上网行为管理是帮助互联网用户控制和管理对互联网的使用，其中包括：
网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等等。
• 平台
– 高端和中端使用8.8 2U平台，低端使用6.5 1U平台。
• 工作方式
– 可串行接入（支持透明和路由）、可旁路接入。
• 资质
– 使用“网络卫士安全网关系统”的资质。
公司产品型号及配置
型号硬件平台 CPU 内存硬盘电源网络接口
TG-3214-ACM 6.5平台（默认300用户，（1U）可扩展到400用户） TG-5130-ACM 8.8平台（默认500用户，（2U）可扩展到800用户） TG-5230-ACM 8.8平台（默认1000用户，（2U）可扩展到1500用户）
×
× × × × × × × ×
我司产品有软件bypass功能，断网风险较低
无防火墙功能无此功能无自动探测功能无认证计费功能无此功能 P2P应用识别率很低对BBS等回放不好对P2P识别不太好

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

即插即用
• 即插即用是指在公共场合部署网络，所有人只要插上网线就可使用网络，自己电脑无须做任何设置，如机场、酒店等。
• 在目前使用的网络中，通常无须这样的设置。
DHCP • DHCP的设置和普通DHCP的设置一样
联动设置和NTP
• 联动设置是指设备与三层交换机互联时，通常看不到实际的MAC地址，如果启用该功能后，设备可从交换机ARP表中读取MAC地址表
备份规则
“备份规则”——用于系统定期自动备份数据，界面显示如上图所示。
可以选择的备份对象如上图所示，包括：整个数据库；分类数据——配置数据、应用数据、统计报表、报警记录；模块数据—— 邮件信息、IM 信息、股票软件、网络游戏、网络电话、网络提交、网站访问、下载信息、自定义信息等。
可以选择的备份周期包括：每天、每周、每月。
本地升级
• 本地升级包括了URL库、应用识别库、软件版本、系统平台四部分。 • 当设备不能与互联网通信时，URL库和应用识别库可通过本地升级的方式来
实现。 • 软件版本是当前系统工作的主要部分，通常软件升级就选择它来升级。 • 系统平台是指底层的内核版本，该内核版本通常情况是不需要升级的。
备份与恢复
报警日志
• 报警日志是在模块规则中设置了阻断、告警等功能，如果有用户行为违反了这些行为，系统会发出告警，这些告警会记录在这里。因此，阻断和告警是否生效，可查看这里的报警日志，如果没有，说明该行为没有触发，换句话是没有生效。
网络接入
• 在“网络接入”中选择部署模式，以及配置网卡地址和接口类型。 • 注意：通常只选择内网作为监控模式，其他选择为“管理”即可。接口类型
• 备份与恢复分为两部分，一部分是备份，一部分是恢复。 • 这里的备份只能备份网络控制的配置文件，至于审计内容的备份在网络审计的
配置中去实现。同时，配置文件可事先下载保存，同时也支持将配置文件导入上传的功能。 • 恢复出厂设置时在这里点击。
数据库表备份
• 数据库表备份是指网络控制功能的数据库表备份。 • 备份出来的数据可在“上传/下载”表单里。
带宽管理
• 带宽管理可以进行流量控制和P2P阻断 • 带宽控制中有下发和不下发的功能，下发是指“分享”，如对一个网段限制
带宽为1M，如果下发，就表示每个用户都有1M的流量，如果选择不下发，就表示这个网段所有用户“共享”1M的带宽。 • 如果限制P2P下载，则只需将上行、下行带宽设置为0即可。 • 注意带宽控制中的单位为Bps，是指每秒有多少字节的流量，如果要换算成bit （位），那么注意要除以8，否则你会发现流量限制不准确。
静态路由
• 静态路由主要是设置设备的网关，设置好后设备能远程管理、同时也保证设备与互联网能正常通信。
地址转换
• 这里设置SNAT/DNAT的配置方法和防火墙一样 • MASQ概念与SNAT基本相同，不同的地方在于可直接输入设备接口名，这样
系统自动根据设备的接口地址进行转换，不需要单独设置转好后的地址。
协议管理
• 带宽控制中的协议管理在设备中已经进行了预分类，这些协议不可修改和编辑。
• 对于如P2P下载阻断的设置中可能阻断其他应用问题，如可能阻断163、126 邮箱登陆的问题，这里只需要在自定义协议里添加443端口的协议，只要在协议里添加了该端口，那么该端口就被排除在外，不予阻断。
• 如果设置完P2P下载后数据库无法使用，可在协议管理中的应用列表中将该 IP地址添加进去，端口号为0~65535，这样设置后，该IP地址不再进行限制。
ACL列表
• ACL配置就是简单防火墙的配置方法。 • “其他”是指一些命令列表，如通过命令行来设置访问控制规则，通常情况
都不需要设置。
IP/MAC绑定
• 绑定注意下面几个问题; • 如果是路由模式，可直接用接口进行探测并绑定 • 如果是透明模式，这里探测时接口就要选择如“brg0”，而不是eth0. • 一旦启用绑定功能后，未绑定的任何PC终端都不允许访问网络。
• 1、设备是否与互联网连接，是否为设备配置了地址、网关、域名、默认路由四个参数。
• 2、如果配置正确仍不能注册，请ping 222.128.6.131，检查是否能通信。同时检查前端防火墙是否阻断了该通信。
• 3、如仍有问题，请联系客服人员进行解决。
系统配置
• 公告配置 • 该公告信息在用户启用了上网认证功能时，用户认证时会弹出。 • 公告栏的信息用户可以自定义； • 公告内容可以是中、英文以及阿拉伯数字，公告长度最长为255 个中文字
单击“添加”按钮，转入界面：
在这个各个项目拦里添加新的部门名字，IP段，描述之后点击“添加”按钮。则新的部门就被加入到系统当中。
网关数据库配置
• 当系统使用外置数据库时，设备需要设置网关数据库，该外置数据库目前支持 mysql
• 目前设备内已经内置数据库，因此这里无需进行任何设置，默认即可。 • 网关数据库目前只存储网络控制的相关信息，至于审计数据不在该数据表内。
审计数据库配置
• 当系统使用外置数据库时，设备需要设置审计数据库，该外置数据库目前支持mysql
备份后，已经备份的数据可以选择是保留在数据库中，或者自动删除。
点击“手工备份”按钮可以对选择的对象进行手工备份。
修改自动备份规则后应当点击“保存修改”按钮，保存所做修改。
数据管理
“数据管理”——用于管理系统中已有的数据备份文件，界面显示如下图所示：
上传本地的数据备份文件：点击“浏览”按钮，弹出下列选择窗口：
系统信息
• 该页主要是查看系统运行情况：
• 查看系统资源占用情况
• 查看接口监控状态
• 查看当前流量大小
注意
接口处于“监控中 ”时表示设备处于审计运行中，否则需要手工启动
产品注册
• 产品注册信息中描述了设备状态，如果有效期和注册状态异常，则需要点击注册，注册不成功，请检查下列问题：
• 1、设备是否与互联网连接，是否为设备配置了地址、网关、域名、默认路由四个参数。
• 2、如果配置正确仍不能注册，请ping 222.128.6.131，检查是否能通信。同时检查前端防火墙是否阻断了该通信。
• 3、如仍有问题，请联系客服人员进行解决。
产品服务
• 产品服务信息中描述了应用软件识别库和URL分类库的在线升级期限，默认为三年。如果未激活，请点击激活按钮。若不能激活，请检查下列问题：
• NTP服务是指设备系统时间可与NTP服务器自动同步时间，设置完后大约10分钟后会看到完成。
带宽设置的基本配置
• 这里需要注意几个问题 • 如果设备需要设置阻断或带宽控制，那么这里必须指定内网、外网，而且必
须设置正确。 • 外网卡带宽设置是在指定外外网后，对外网出入的流量进行控制，特别需要
注意的是这里单位为Byteps，如果要换算成bps，那么需要除以8来进行换算。如限制带宽为24Mbps，那么这里设置时要设置为3MBps。 • 运行模式的控制功能一定要启用，否则带宽控制无法生效。
服务器配置
• 如果对设备做集中管理时使用，一般情况下，该项无须进行配置，默认即可。 • “认证服务器IP”栏用来配置用户认证时服务的IP。 • “网关服务器IP”栏用来配置网关服务器的IP。 • “管理端口”栏是指管理员进行管理时后台管理软件的接入端口。系统默认该端口号为：5577. • “认证端口”栏是指上网用户在进行用户上网认证时，认证接口的端口号。系统默认该端口号为：7755. • “网关端口”栏是指在进行AAA 认证时，系统连接的网关的端口号.系统默认该端口号为：5280. • “代理端口”网关代理模块的端口，暂时没有使用。
• 目前设备内已经内置数据库，因此这里无需进行任何设置，默认即可。 • 审计数据库目前只存储网络审计的相关信息，至于网关数据不在该数据表内
。
升级配置
• 库的升级分为两个，一个是URL过滤库，一个是应用识别库。 • 可选择自动更新的时间点录了库升级的状态信息
• 对于非VLAN TRUNK环境，在此不必做任何设置。
透明方式
• 如果要透明接入，可在此进行设置，并选择桥的接口。
本地网段
• 本地网段的设置非常重要！！！ • 本地网段是指需要对哪个网络进行监控和控制，通常是指被监控的内网网段。 • 如果没有设置或设置不正确，那么将监控不到任何数据。 • 如上所设，目前只监控192.168.5.0/24这个网络，其他都不监控。
选中“远程FTP备份”选择框，设置FTP服务器地址、端口、用户名、口令后，系统将按照自动备份规则将备份文件保存至FTP服务器。“是否删除本地备份”可以设备不再在本地产生备份文件。修改后，点击“保存” 按钮可以保存远程备份设置。
增加部门用户
在左侧的“网络审计”菜单下的选择“审计用户”菜单页中的“部门列表”菜单页，弹出如下窗口
将无法通过系统认证。“MAC 绑定”同样道理。 • “第一次MAC 绑定”：该权限设置后组内用户上网认证时其帐号将会自动与第
一次认证时的主机MAC 进行绑定，以后再进行认证时第一次绑定的MAC 必须与该账户相一致，否则用户将无法通过系统认证。 • “当前状态”选择激活即可。
审计功能
系统备份
系统备份包括系统的“备份规则”、“本地备份”和“远程备份”三个部分，系统备份缺省显示的是“备份规则”页面。
符。
超时配置
• 该参数配置为设备启用认证功能后，对用户的一些超时配置。 • “登录时长”：是指认证用户认证后所能使用网络的最大时长，超过此时长
后用户需要重新认证方可使用网络； • “心跳时长”：是指认证用户在认证成功后的最大空闲时间，在此时间段内
如果用户没有产生网络流量，那么系统会认为用户已退出认证。
中有“其他”，是指该接口外联数据库，设备将审计数据发送到外部数据库。“管理”是指旁路接入时使用该接口进行设备管理。