金盾软件NACP10.1产品用户手册(准入控制)

中新金盾防火墙系统产品安装手册版本号：20130717版权信息©安徽中新软件有限公司，版权所有2002－2013本文件所有内容受版权保护并且归中新软件所有。

未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

中新软件、JDFW、JDIS、金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

目录1前言 (1)1.1文档的目的 (1)1.2读者对象 (1)1.3约定 (1)1.3.1命令语法全部采用以下约定 (1)1.3.2图形界面操作的描述采用以下约定 (1)1.3.3网络拓扑中设备的约定 (1)1.4技术服务体系 (2)2产品介绍 (3)2.1产品概述 (3)2.2产品型号及参数 (4)2.2.1ZXFW-8110 (4)2.2.2ZXFW-8210 (5)2.2.3ZXFW-8410 (6)2.2.4ZXFW-8610 (7)2.2.5ZXFW-8810 (8)2.2.6ZXFW-8910 (9)3设备的安装 (10)3.1防火墙的硬件安装 (10)3.2登录中新金盾防火墙 (10)3.2.1串口连接 (10)3.2.2WEB方式登录防火墙 (13)3.2.3SSH软件登录 (14)3.3中新金盾防火墙出厂设置 (15)3.3.1恢复出厂设置 (15)4配置案例 (17)4.1案例1：作为路由网关 (17)4.1.1网络拓扑结构如下所示 (17)4.1.2网络拓扑简介 (18)4.1.3用户的配置需求 (18)4.1.4具体的配置步骤 (18)4.2透明模式接入网络 (20)4.2.1网络拓扑结构如下 (20)4.2.2网络拓扑简介 (20)4.2.3用户的配置需求 (21)4.2.4具体的配置步骤 (21)4.3案例三：防火墙作为VPN网关接入网络 (23)4.3.1网络拓扑结构如下 (23)4.3.2网络拓扑简介 (23)4.3.3用户的配置需求 (23)4.3.4具体的配置步骤 (23)4.4案例四：防火墙主备模式接入网络 (26)4.4.1网络拓扑结构如下 (26)4.4.2网络拓扑简介 (26)4.4.3用户的配置要求 (27)4.4.4具体的配置步骤 (27)5常见问题故障处理 (29)5.1口令丢失情况下的处理 (29)5.2电源系统故障处理 (29)5.3配置系统故障处理 (29)1前言本手册主要介绍中新金盾防火墙的安装和使用。

身份认证、接入控制解决方案金盾身份认证、接入控制解决方案以身份识别，杜绝非法入侵和接入保护为主要设计理念，金盾准入控制保护系统是金盾软件公司独创的，国际领先的产品功能，是产品的核心功能之一，具有实施简单，主动发现、自动防御、效果显著等特点，极大提升了内网的防御能力和用户的体验效果。

方案简介□如何防止非授权终端的接入内部局域网窃取涉密资料？□如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头?□如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统？方案功能安全状态评估□终端补丁检测：评估客户端的补丁安装是否合格，包括：操作系统(Windows98/me/2000/XP/2003/Vista/win7/2008 )。

□客户端版本检测：检测安全客户端的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。

□终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，发现异常客户端或被卸载时自动阻断网络，强制安装。

□终端防病毒联动：主要包含两个方面，终端用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。

□端点用户接入网络后，定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。

安全接入审核□强身份认证：非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。

□网络隔离区：对于安全状态评估不合格的用户，可以限制其访问权限，被隔离到金盾网络隔离区，待危险终端到达安全级别后方可入网。

□软件安装和运行检测：检测终端软件的安装和运行状态。

可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。

金盾软件NACP10.1产品用户手册山东华软金盾软件股份有限公司2017年4月27日目录一、前言....................................................... - 3 -(一) 简介....................................................... - 3 -(二) 文档目的................................................... - 3 -(三) 读者对象................................................... - 3 -二、登录系统................................................... - 3 -(一) 登录管控平台............................................... - 3 -(二) 管控平台配置............................................... - 5 -(三) 帐户配置................................................... - 6 -(四) 管理员密码修改............................................. - 9 -三、模块功能操作.............................................. - 10 -(一) 部门配置.................................................. - 10 -(二) 用户管理.................................................. - 12 -1、新用户审核配置管理........................................ - 12 -2、新用户入网审批............................................ - 14 -3、用户基本信息.............................................. - 17 -4、用户策略设置.............................................. - 21 -(三) 策略...................................................... - 23 -1、策略配置库................................................ - 23 -- 1 -2、终端通信网段配置.......................................... - 29 -3、安全规范库................................................ - 31 -(四) 图表...................................................... - 39 -1、在线状态分析.............................................. - 39 -2、测评状态分析.............................................. - 39 -3、入网风险分析.............................................. - 40 -4、违规事件分析.............................................. - 41 -5、系统运行状态分析.......................................... - 42 -6、入网审批分析.............................................. - 43 -7、网络使用分析.............................................. - 44 -(五) 系统...................................................... - 44 -1、系统日志.................................................. - 44 -2、系统设置.................................................. - 46 -- 2 -一、前言(一)简介金盾NACP网络接入控制与身份认证系统—简称NACP，是集首页、视图、用户、策略、审批、图表、系统于一身的安全管理系统。

金盾新一代网络准入控制系统NACP产品介绍目录1. 金盾新一代网络准入控制系统 (3)1.1. 系统概述 (3)1.2. 功能介绍 (4)2. 身份鉴别认证系统 (6)2.1. 系统概述 (6)2.2. 功能介绍 (8)3. 终端安全技术测评系统 (10)3.1. 系统概述 (10)3.2. 功能介绍 (10)4. 终端违规报警配置系统 (14)4.1. 系统概述 (14)4.2. 功能介绍 (14)5. 终端网络通信域系统 (22)5.1. 系统概述 (22)5.2. 功能介绍 (23)6. USB存储介质管理系统 (23)6.1. 系统概述 (23)6.2. 功能介绍 (24)7. 终端安全规范系统 (25)7.1. 系统概述 (25)7.2. 功能介绍 (25)8. IT资产系统 (26)8.1. 系统概述 (26)8.2. 功能介绍 (27)9. 网络运维系统 (30)9.1. 系统概述 (30)9.2. 功能介绍 (30)10. 级联管理系统 (32)10.1. 系统概述 (32)10.2. 功能介绍 (33)1.金盾新一代网络准入控制系统1.1.系统概述新一代网络准入控制系统根据国家四部委联合下发的《信息安全等级保护管理办法》和国家保密局《涉及国家秘密的信息系统分级保护管理办法》《涉及国家秘密的计算机信息系统分级保护技术要求》的规定要求，以身份鉴别，杜绝非法入侵和接入保护为主要设计理念，秉承“不改变网络、不依赖网络设备、部署简单”的特性，兼容各种复杂的网络环境，支持分散式快速部署，为您解决网络准入控制的合规性要求，达到“违规不入网、入网必合规”的管理规范。

以单个用户为控制粒度，划分不同的网络安全域，允许或拒绝用户对受控网络资源的访问，规范用户的网络使用权限，提高整体网络安全性。

同一网络支持对不同网络区域进行区别管理，可灵活设置准入管辖网络区域，隔离区域，安全区域，内外网分离，准入端口和准入IP等。

金盾抗DDOS防火墙用户操作手册选择金盾，铸就成功―――――――――――――――――――――――――――――AnHui ZXSoft Co. Ltd.©版权所有 2002-2008目录物品清单一、用户手册简介 (2)1. 用途 (2)2. 约定 (2)3. 概述 (2)二、产品概述 (3)1. DOS/DDOS简介 (3)2. 金盾抗DDOS防火墙 (3)1) 技术优势 (3)a)DOS/DDOS攻击检测及防护 (3)b)通用方便的报文规则过滤 (4)c)专业的连接跟踪机制 (4)d)简洁丰富的管理 (4)e)广泛的部署能力 (4)f)优质的售后服务 (4)2) 防护原理 (4)a)攻击检测 (4)b)协议分析 (5)c)主机识别 (5)d)连接跟踪 (5)e)端口防护 (5)3) 产品系列 (5)a) 软件产品 (5)b)硬件产品 (5)三、安装指南 (6)1.设备类型及构成 (6)1)JDFW-100+ (6)2)JDFW-1000+ (6)3)JDFW-8000+ (7)4) J DFW-2000+ (7)5) 集群型号 (8)2.硬件设备安装 (8)1) 单路型防火墙 (8)2) 双路型防火墙 (8)3) 集群型防火墙 (8)3.注意事项 (9)四、防火墙功能描述 (10)1.用户登录 (10)2.系统信息 (10)1)内核版本号及构建日期 (10)2)序列号码 (10)AnHui ZXSoft Co. Ltd.©版权所有 2002-20083.规则设置 (10)1)地址 (10)2) 端口 (11)3)标志位 (11)4)模式匹配 (11)5)方向选择 (11)6)规则行为 (11)4.防护状态 (11)1) SYN保护模式 (11)2) SYN危急保护模式 (12)3) ACK&RST保护模式 (12)4) UDP保护模式 (12)5) ICMP保护模式 (12)6)碎片保护模式 (12)7) NonIP保护模式 (13)8) 忽略模式 (13)9) 禁止模式 (13)10) WebCC保护模式 (13)11) GameCC保护模式 (13)12) 高级UDP保护模式 (13)5.参数设置 (13)1) 系统控制 (14)a)系统时间 (14)b) 流量控制 (14)c）策略选项 (14)2)攻击检测 (14)a)SYN Flood保护 (14)b）SYN Flood高压保护 (14)c）SYN Flood单机保护 (14)d）ACK&RST Flood保护 (14)e）TCP端口自动关闭触发 (15)f）UDP保护触发 (15)g ) ICMP保护触发 (15)h) 碎片保护触发 (15)i) NonIP保护触发 (15)3) 流量限制 (15)a）紧急触发状态 (15)b）简单过滤流量限制 (15)c）忽略主机流量限制 (15)d）伪造源流量限制 (15)4) TCP防护 (15)a) 屏蔽持续时间： (16)b) 连接数量保护 (16)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008d) 默认黑名单策略 (16)5) UDP防护设置 (16)a) 请求连接超时 (16)b) 建立连接超时 (16)6) 变量设置 (16)6.端口策略 (16)1)防护类型 (16)a)标准防护(default) (16)b) 动态验证(WEB Service Protection) (17)c) 频率保护(Game Service Protection) (17)2) 连接攻击检测 (17)3) 连接数量限制 (17)4) 端口探测限制 (17)5) 防护标志 (17)a) 超时连接 (17)b) 超出屏蔽 (17)c) 延时提交 (17)d) 接受协议 (18)6)模块参数 (18)五、管理及配置 (18)1.登录页面 (18)1)语言 (18)2)用户/密码 (18)2.状态监控页面 (19)1)全局统计 (18)2) 系统负载 (19)3) 主机状态 (20)a) 主机 (20)b) 带宽 (21)c) 频率 (21)d) 连接 (21)e) 防护模式 (21)4) 单一主机状态 (21)a)主机地址 (22)b)网关IP地址 (22)c)网关MAC地址 (22)d)流量策略 (22)e) 连接策略 (22)f) 黑名单策略 (22)g) 保护设置集序号 (23)h) 分时流量 (23)i)防护插件 (23)5)连接监控 (23)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008b) 本地地址 (23)c)远端地址 (23)d)当前状态 (23)e)选择连接 (24)6)屏蔽列表 (24)a) 控制 (24)b) 本地地址 (24)c)远端地址 (24)d)当前状态 (24)7) 黑名单管理 (24)3.攻击防御页面 (25)1) 全局参数 (25)2) 规则设置 (25)a)规则设置集 (26)b)控制 (26)c)协议 (26)d)地址 (26)e)细节 (26)f)匹配 (26)3)规则编辑页面 (26)a) 规则序号 (27)b) 规则描述 (27)c) 报文长度 (27)d) 本地地址 (27)e) 远程地址 (27)f)协议类型 (27)g)本地端口/远程端口 (27)h)TCP标志位 (27)i)ICMP类型/ICMP代码 (28)j)模式匹配 (28)k)方向选择 (28)l)规则行为 (28)4.日志记录页面 (29)5.系统配置页面 (30)1）保存配置 (30)2）系统设备 (31)3)集群参数 (31)4)用户管理 (32)5) SNMP系统配置 (33)6) SNMP用户 (33)7)SNMP视图列表 (34)6.服务支持 (35)1) 关于我们 (35)AnHui ZXSoft Co. Ltd.©版权所有 2002-20082）版本信息 (35)3）报文捕捉 (35)4)产品升级 (36)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008物品清单小心打开包装箱，检查包装箱里应有的配件：➢一台防火墙➢一根交流电源线➢一根直连网线➢一根交叉网线➢一份《用户手册》➢一份宣传册➢一对LC-LC光纤线➢螺丝若干一、用户手册简介首先，感谢您购买我公司的防火墙产品！本防火墙功能实用，性能优秀，配置简单，是您安全链条中不可缺少的一环。

金盾软件NACP10.1产品用户手册山东华软金盾软件股份有限公司2017年4月27日目录一、前言....................................................... - 3 -(一) 简介....................................................... - 3 -(二) 文档目的................................................... - 3 -(三) 读者对象................................................... - 3 -二、登录系统................................................... - 3 -(一) 登录管控平台............................................... - 3 -(二) 管控平台配置............................................... - 5 -(三) 帐户配置................................................... - 6 -(四) 管理员密码修改............................................. - 9 -三、模块功能操作.............................................. - 10 -(一) 部门配置.................................................. - 10 -(二) 用户管理.................................................. - 12 -1、新用户审核配置管理........................................ - 12 -2、新用户入网审批............................................ - 14 -3、用户基本信息.............................................. - 17 -4、用户策略设置.............................................. - 21 -(三) 策略...................................................... - 23 -1、策略配置库................................................ - 23 -2、终端通信网段配置.......................................... - 29 -3、安全规范库................................................ - 31 -(四) 图表...................................................... - 39 -- 1 -1、在线状态分析.............................................. - 39 -2、测评状态分析.............................................. - 39 -3、入网风险分析.............................................. - 40 -4、违规事件分析.............................................. - 41 -5、系统运行状态分析.......................................... - 42 -6、入网审批分析.............................................. - 43 -7、网络使用分析.............................................. - 44 -(五) 系统...................................................... - 44 -1、系统日志.................................................. - 44 -2、系统设置.................................................. - 46 -- 2 -一、前言(一)简介金盾NACP网络接入控制与身份认证系统—简称NACP，是集首页、视图、用户、策略、审批、图表、系统于一身的安全管理系统。