天清漢馬USG一體化安全網(wǎng)關(guān)-Web管理用戶手冊(cè)

天清漢馬USG一體化安全網(wǎng)關(guān)Web管理用戶手冊(cè)手冊(cè)版本V4.0資料狀態(tài)發(fā)行版權(quán)聲明啟明星辰公司版權(quán)所有,并保留對(duì)本手冊(cè)及本聲明的最終解釋權(quán)和修改權(quán)。本手冊(cè)的版權(quán)歸啟明星辰公司所有。未得到啟明星辰公司書面許可,任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語(yǔ)言、將其部分或全部用于商業(yè)用途。免責(zé)聲明本手冊(cè)依據(jù)現(xiàn)有信息制作,其內(nèi)容如有更改,恕不另行通知。啟明星辰公司在編寫該手冊(cè)的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠,但啟明星辰公司不對(duì)本手冊(cè)中的遺漏、不準(zhǔn)確或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。User’sManualCopyrightandDisclaimerCopyrightCopyrightVenusInfoTechInc.Allrightsreserved.ThecopyrightofthisdocumentisownedbyVenusInfoTechInc.WithoutthepriorwrittenpermissionobtainedfromVenusInfoTechInc.,thisdocumentshallnotbereproducedandexcerptedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandtranslatedintootherlanguages,appliedforacommercialpurposeinwholeorinpart.DisclaimerThisdocumentandtheinformationcontainedhereinisprovidedonan“ASIS”basis.VenusInfoTechInc.maymakeimprovementorchangesinthisdocument,atanytimeandwithoutnoticeandasitseesfit.TheinformationinthisdocumentwaspreparedbyVenusInfoTechInc.withreasonablecareandisbelievedtobeaccurate.However,VenusInfoTechInc.shallnotassumeresponsibilityforlossesordamagesresultingfromanyomissions,inaccuracies,orerrorscontainedherein.副本發(fā)布聲明啟明星辰公司的USG產(chǎn)品正常運(yùn)行時(shí),包含3款GPL協(xié)議的軟件(linux、zebra、OpenLDAP。啟明星辰公司愿意將GPL軟件提供給已經(jīng)購(gòu)買產(chǎn)品的且愿意遵守GPL協(xié)議的客戶,請(qǐng)需要GPL軟件的客戶提供(1已經(jīng)購(gòu)買的產(chǎn)品的序列號(hào),(2有效送達(dá)GPL軟件地址和聯(lián)系人,包括但不限于姓名、公司、電話、電子郵箱、地址、郵編等;(3人民幣100元的光盤費(fèi)和快遞費(fèi),客戶即可獲得產(chǎn)品所包含的GPL軟件。IIIVVIIIXXIXIIIXVXVIIXIXXXIWeb管理介紹1.1WEB管理概述通過(guò)運(yùn)行Internet瀏覽器的任何計(jì)算機(jī)使用HTTP或一個(gè)安全的HTTPS連接,便能夠配置并管理USG(天清漢馬一體化安全網(wǎng)關(guān)設(shè)備。在進(jìn)行Web管理前,必須配置USG設(shè)備使其能夠接受來(lái)自指定接口的HTTP或HTTPS管理。推薦使用IE6.0及以上版本、Mozilla5.0及以上版本瀏覽器,最佳顯示分辨率為1024×768。1.2工具條聯(lián)系客戶支持按鈕在新窗口中打開(kāi)啟明星辰公司首頁(yè)。點(diǎn)擊首頁(yè)上方的“客戶支持與培訓(xùn)”,可以查看相關(guān)內(nèi)容,包括:●售后服務(wù)●客戶培訓(xùn)●下載中心配置向?qū)О粹o在新窗口中打開(kāi)配置向?qū)ы?yè)面,可以根據(jù)向?qū)У奶崾具M(jìn)行設(shè)備初步配置(具體參見(jiàn)配置向?qū)д鹿?jié)。語(yǔ)言配置按鈕在新窗口中打開(kāi)語(yǔ)言配置頁(yè)面,可以選擇系統(tǒng)語(yǔ)言為中文或英文。1修改密碼按鈕在新窗口中打開(kāi)修改密碼頁(yè)面。配置步驟:參數(shù)說(shuō)明:用戶名:管理員名稱。舊密碼:管理員的舊密碼。新密碼:設(shè)置的新密碼。確認(rèn)新密碼:確認(rèn)設(shè)置的新密碼。控制臺(tái)訪問(wèn)按鈕打開(kāi)網(wǎng)頁(yè)內(nèi)嵌控制臺(tái)窗口,通過(guò)該控制臺(tái)能夠?qū)υO(shè)備進(jìn)行Telnet管理。在使用本功能前需要打開(kāi)指定接口的Telnet訪問(wèn)權(quán)限。存盤按鈕永久保存配置更改。USG設(shè)備默認(rèn)不永久保存配置更改,如果進(jìn)行配置更改后,不點(diǎn)擊存盤按鈕,則設(shè)備下一次啟動(dòng)后會(huì)丟失上次所做的配置。注銷按鈕立即注銷當(dāng)前登錄用戶。直接點(diǎn)擊瀏覽器的“關(guān)閉”按鈕也能起到注銷按鈕的作用,下一次進(jìn)行Web管理時(shí)會(huì)要求輸入用戶名和密碼。1.3Web管理Web管理界面由菜單、標(biāo)簽欄和頁(yè)面組成,每個(gè)菜單有相應(yīng)的多個(gè)標(biāo)簽欄,每個(gè)標(biāo)簽有相關(guān)的頁(yè)面。當(dāng)您點(diǎn)擊一個(gè)菜單項(xiàng)目,如系統(tǒng)管理,系統(tǒng)菜單會(huì)擴(kuò)展為一個(gè)子菜單。接著點(diǎn)擊其中一個(gè)子菜單后,相關(guān)聯(lián)的頁(yè)面會(huì)在其對(duì)應(yīng)的標(biāo)簽欄中顯示。點(diǎn)擊標(biāo)簽欄查看不同的頁(yè)面內(nèi)容。菜單提供了USG設(shè)備的主要配置選項(xiàng)。系統(tǒng)管理:系統(tǒng)配置和管理。包括狀態(tài)、會(huì)話管理、管理員、維護(hù)和監(jiān)控。網(wǎng)絡(luò)管理:網(wǎng)絡(luò)相關(guān)配置。包括接口、NAT、基本配置、DHCP功能的配置。防火墻:防火墻相關(guān)配置。包括安全策略、防ARP攻擊、Web認(rèn)證、MAC過(guò)濾、IDS聯(lián)動(dòng)、天珣聯(lián)動(dòng)的配置。對(duì)象管理:對(duì)象相關(guān)配置。包括時(shí)間對(duì)象、服務(wù)對(duì)象、地址對(duì)象、認(rèn)證用戶以及CA中心的配置。路由:路由相關(guān)配置。包括查看路由表,配置路由表、靜態(tài)路由、策略路由、動(dòng)態(tài)路由和多播路由。VPN:配置VPN。包括IPSec、SSL遠(yuǎn)程接入、SSL網(wǎng)關(guān)、L2TPVPN和本地證書的配置。入侵防御:配置入侵防御。包括基于特征的入侵防御、防攻擊和Web防護(hù)。防病毒:配置防病毒系統(tǒng)。包括防病毒基本配置、文件掃描列表和文件屏蔽列表的配置。上網(wǎng)行為管理:監(jiān)控IM和P2P消息和文件傳輸,監(jiān)控流媒體、網(wǎng)絡(luò)游戲、股票軟件。內(nèi)網(wǎng)安全:配置啟明星辰天珣策略服務(wù)器功能。結(jié)合天珣客戶端,可以對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)行為管理、準(zhǔn)入控制、終端管理等功能。反垃圾郵件:配置反垃圾郵件功能。包括IP地址分析、發(fā)件人認(rèn)證、收件人認(rèn)證、自定義策略及郵件日志等功能。應(yīng)用過(guò)濾:配置WEB過(guò)濾及郵件過(guò)濾功能。高可用性:配置雙擊熱備和VRRP功能。日志與報(bào)告:配置和查看日志。包括基本的日志和NetFlow配置,以及本地日志的查看。很多管理配置頁(yè)面是列表的形式,例如管理員、接口、安全策略等。列表中的條目顯示項(xiàng)信息。列表中最右面的列一般為圖標(biāo)按鈕列,可對(duì)該條目進(jìn)行一些操作,例如重置統(tǒng)計(jì)次數(shù)、編輯、移動(dòng)、插入、刪除等。通過(guò)列表上方的新建按鈕,可以增加條目。新建按鈕切換到對(duì)話框形式的頁(yè)面,新建和編輯操作的頁(yè)面是基本一致的。頁(yè)面中有很多圖標(biāo)幫助進(jìn)行配置管理操作。當(dāng)鼠標(biāo)停留到圖標(biāo)上時(shí),會(huì)出現(xiàn)提示信息,以1.4設(shè)備默認(rèn)配置就能夠通過(guò)Web對(duì)USG進(jìn)行管理、配置。系統(tǒng)默認(rèn)的管理員用戶為admin,密碼為venus.usg。用戶可以使用這個(gè)管理員賬號(hào)從任何地址登錄設(shè)備,并且使用設(shè)備的所有功能。系統(tǒng)默認(rèn)的審計(jì)員用戶為audit,密碼為venus.audit。用戶可以使用這個(gè)賬號(hào)對(duì)安全策略和日志系統(tǒng)進(jìn)行審計(jì)。系統(tǒng)默認(rèn)的用戶管理員用戶為useradmin,密碼為venus.user。用戶可以使用這個(gè)賬號(hào)用于配置系統(tǒng)管理員。系統(tǒng)狀態(tài)2.1系統(tǒng)狀態(tài)概述通過(guò)Web登錄設(shè)備后默認(rèn)進(jìn)入系統(tǒng)狀態(tài)頁(yè)面,該頁(yè)面顯示系統(tǒng)當(dāng)前運(yùn)行狀態(tài)和接口信息。本章介紹該頁(yè)面中各個(gè)部分。2.2系統(tǒng)狀態(tài)進(jìn)入系統(tǒng)管理>狀態(tài),可以查看系統(tǒng)狀態(tài)。單擊可以列出在頁(yè)面上顯示出哪些系統(tǒng)狀態(tài)。進(jìn)入系統(tǒng)管理>狀態(tài),可以看到主機(jī)信息。設(shè)備序列號(hào):天清漢馬USG的唯一標(biāo)識(shí),是設(shè)備出廠時(shí)設(shè)定好的。主機(jī)名稱:可以由管理員用戶配置,可以通過(guò)主機(jī)名稱區(qū)分設(shè)備。軟件版本:當(dāng)前設(shè)備運(yùn)行的系統(tǒng)軟件的版本號(hào)。入侵防御特征庫(kù)版本:當(dāng)前系統(tǒng)使用的入侵防御特征庫(kù)的版本號(hào),版本采用日期的格式,2代表了入侵防御特征庫(kù)版本發(fā)布的時(shí)間。安天防病毒特征庫(kù)版本:當(dāng)前系統(tǒng)使用的安天防病毒特征庫(kù)的版本號(hào),版本采用日期的格式,代表了防病毒特征庫(kù)版本發(fā)布的時(shí)間?？ò退够啦《咎卣鲙?kù)版本:當(dāng)前系統(tǒng)使用的卡巴斯基防病毒特征庫(kù)的版本號(hào),版本采用日期的格式,代表了防病毒特征庫(kù)版本發(fā)布的時(shí)間。運(yùn)行時(shí)間:表示系統(tǒng)從上次啟動(dòng)已經(jīng)運(yùn)行的時(shí)間。系統(tǒng)時(shí)間:表示系統(tǒng)當(dāng)前時(shí)間。虛擬系統(tǒng):表示虛擬系統(tǒng)功能是否啟用。允許虛擬系統(tǒng)數(shù):系統(tǒng)允許的最大虛擬系統(tǒng)數(shù)。修改主機(jī)名為了方便區(qū)分設(shè)備,有時(shí)候需要修改主機(jī)名。配置步驟:1.進(jìn)入系統(tǒng)管理>狀態(tài),在主機(jī)信息一欄中點(diǎn)擊更改當(dāng)前主機(jī)名:天清漢馬USG目前主機(jī)名。定義主機(jī)名:天清漢馬USG修改后的主機(jī)名。2.在定義主機(jī)名中輸入新定義的主機(jī)名稱3.點(diǎn)擊提交按鈕。進(jìn)入系統(tǒng)管理>狀態(tài),可以查看當(dāng)前系統(tǒng)的資源使用情況。CPU占用率:當(dāng)前系統(tǒng)cpu的使用率。內(nèi)存占用率:當(dāng)前系統(tǒng)內(nèi)存的使用率。IPSecVPN隧道:當(dāng)前所建立的IPSecVPN隧道數(shù)目SSLVPN用戶在線:當(dāng)前的SSLVPN用戶數(shù)目準(zhǔn)入用戶在線:當(dāng)前的準(zhǔn)入用戶在線數(shù)目天清漢馬USG設(shè)備分別為七個(gè)模塊進(jìn)行授權(quán),分別是入侵防御、安天防病毒、卡巴斯基防病毒、VPN、反垃圾郵件、URL分類、天珣聯(lián)動(dòng)、內(nèi)網(wǎng)安全(天珣基礎(chǔ)版和內(nèi)網(wǎng)安全(天珣增強(qiáng)版。其中,入侵防御、防病毒和URL分類模塊的授權(quán)是限制特征庫(kù)能否在線升級(jí),授權(quán)過(guò)期以后,模塊功能仍然可以使用,只是不能進(jìn)行特征庫(kù)的升級(jí);其他幾個(gè)模塊都是限制模塊功能是否可用,授權(quán)過(guò)期后這些模塊的功能就不能再使用了。內(nèi)網(wǎng)安全模塊有兩個(gè)授權(quán),分別是天珣基礎(chǔ)版和天珣增強(qiáng)版,區(qū)別如下:天珣基礎(chǔ)版:僅包含“主機(jī)行為管理”功能,包括主機(jī)防火墻功能,主機(jī)外聯(lián)控制,流量控制和攻擊防護(hù)。天珣增強(qiáng)版:包含天珣基礎(chǔ)版在內(nèi)的所有內(nèi)網(wǎng)安全功能,天珣基礎(chǔ)版功能是天珣增強(qiáng)版功能的子集。內(nèi)網(wǎng)安全模塊的授權(quán)還有兩點(diǎn)和其他模塊不同:1.限制內(nèi)網(wǎng)終端主機(jī)點(diǎn)數(shù),點(diǎn)數(shù)限制和有效期同時(shí)生效,如果輸入多個(gè)授權(quán),授權(quán)“有效期”是疊加的關(guān)系,而“點(diǎn)數(shù)”是覆蓋的關(guān)系,即后面輸入的授權(quán)點(diǎn)數(shù)會(huì)覆蓋前面的授權(quán)點(diǎn)數(shù);2.內(nèi)網(wǎng)安全模塊輸入授權(quán)后,需要在線激活授權(quán)才能生效,激活過(guò)程中,需要USG設(shè)備能夠正常訪問(wèn)互聯(lián)網(wǎng),USG設(shè)備會(huì)自動(dòng)向啟明星辰的郵箱發(fā)送一封注冊(cè)郵件(啟明星辰承諾郵件內(nèi)容僅僅為模塊的相關(guān)授權(quán)信息,不包含其他內(nèi)容。進(jìn)入系統(tǒng)管理>狀態(tài),可以查看當(dāng)前系統(tǒng)的各項(xiàng)特性的授權(quán)情況。入侵防御:入侵防御特征庫(kù)能夠在線升級(jí)的時(shí)間限制。安天防病毒:防病毒模塊安天病毒庫(kù)在線升級(jí)的時(shí)間限制?？ò退够啦《?防病毒模塊卡巴斯基病毒庫(kù)在線升級(jí)的時(shí)間限制。VPN:是否具有VPN模塊的使用權(quán),VPN模塊包括IPSecVPN,SSLVPN和L2TPVPN。反垃圾郵件:反垃圾郵件模塊使用的時(shí)間限制。URL分類:URL分類庫(kù)在線升級(jí)的時(shí)間限制。天珣聯(lián)動(dòng):是否具有天珣聯(lián)動(dòng)模塊的使用權(quán)。內(nèi)網(wǎng)安全(天珣基礎(chǔ)版:內(nèi)網(wǎng)安全(天珣基礎(chǔ)版模塊使用的時(shí)間限制和終端主機(jī)點(diǎn)數(shù)。內(nèi)網(wǎng)安全(天珣增強(qiáng)版:內(nèi)網(wǎng)安全(天珣增強(qiáng)版模塊使用的時(shí)間限制和終端主機(jī)點(diǎn)數(shù)。有效期:授權(quán)有效的剩余時(shí)間,對(duì)于內(nèi)網(wǎng)安全模塊還會(huì)標(biāo)明有效的終端點(diǎn)數(shù)。未激活授權(quán):對(duì)于內(nèi)網(wǎng)安全模塊,激活后這部分授權(quán)才會(huì)疊加到有效期。授權(quán)點(diǎn)數(shù)是覆蓋的關(guān)系,不是疊加的關(guān)系?？梢酝ㄟ^(guò)輸入新的授權(quán)碼更新授權(quán)。配置步驟:1.進(jìn)入系統(tǒng)管理>狀態(tài)>授權(quán)信息,點(diǎn)擊更改,進(jìn)入授權(quán)信息頁(yè)面。2.點(diǎn)擊更新授權(quán)按鈕此處輸入授權(quán)碼,點(diǎn)擊提交完成授權(quán)更新。如果授權(quán)中包含內(nèi)網(wǎng)安全模塊,需要執(zhí)行激活過(guò)程授權(quán)才能正式生效,其他模塊不需要激活。為了使用戶更好的體驗(yàn)USG產(chǎn)品的各模塊功能,產(chǎn)品提供了免費(fèi)3個(gè)月(90天的試用授權(quán),試用授權(quán)不需要輸入任何授權(quán)碼,試用授權(quán)對(duì)所有模塊生效,模塊功能和正式授權(quán)功能一樣。試用授權(quán)只能使用一次,激活試用的時(shí)間沒(méi)有限制,如果試用時(shí)產(chǎn)品已經(jīng)輸入正式授權(quán),則會(huì)在正式授權(quán)的有效期上疊加3個(gè)月的授權(quán)期限。進(jìn)入系統(tǒng)管理>狀態(tài)>授權(quán)信息,點(diǎn)擊更改,進(jìn)入授權(quán)信息頁(yè)面,點(diǎn)擊“試用”按鈕,可以激活試用授權(quán),試用授權(quán)激活后,此按鈕永遠(yuǎn)不再可用。進(jìn)入系統(tǒng)管理>狀態(tài),可以查看當(dāng)前天清漢馬USG的產(chǎn)品接口示意圖。圖中,左半部分顯示的是產(chǎn)品的型號(hào),右半部分是設(shè)備的物理接口示意圖,當(dāng)前在線的接口顯示為藍(lán)色,沒(méi)有插上的接口則顯示為灰白色。當(dāng)鼠標(biāo)位于接口圖上時(shí),可以顯示接口的信息,包括接口名稱,IP地址,鏈路狀態(tài)等。列出入侵防御事件。用戶也可以通過(guò)進(jìn)入日志與報(bào)告>本地日志查看更多的入侵事件。單擊右上的顯示可以編輯刷新統(tǒng)計(jì)的時(shí)間間隔和最頻繁的入侵防御事件的條數(shù)。列出防病毒事件。用戶也可以通過(guò)進(jìn)入日志與報(bào)告>本地日志查看更多的病毒信息。單擊右上的顯示可以編輯刷新統(tǒng)計(jì)的時(shí)間間隔和最頻繁的防病毒日志的條數(shù)。進(jìn)入系統(tǒng)管理>狀態(tài),可以查看系統(tǒng)最近發(fā)生的三條告警信息。用戶也可以通過(guò)進(jìn)入日志與報(bào)告>本地日志查看更多的告警信息,需要注意的是級(jí)別在“告警”以上的日志才在首頁(yè)中顯示。點(diǎn)擊事件數(shù)字后的詳細(xì)圖標(biāo),可以查看相關(guān)條目的詳細(xì)告警信息。顯示各種業(yè)務(wù)流量隨時(shí)間變化的曲線。顯示該設(shè)備的連接情況。單擊右上的顯示可以編輯刷新統(tǒng)計(jì)的時(shí)間間隔和要顯示的條數(shù)以及類型。顯示連接數(shù)隨時(shí)間的變化曲線。查看接口流量顯示設(shè)備某個(gè)接口的流量隨時(shí)間的變化曲線?？梢苑謩e顯示最后60分鐘、最后1天、最后7天的變化曲線。單擊右上的顯示可以通過(guò)此頁(yè)面設(shè)置需要顯示的接口的流量信息。2.3接口信息進(jìn)入系統(tǒng)管理>狀態(tài)>接口信息,可以查看當(dāng)前天清漢馬USG產(chǎn)品接口的詳細(xì)信息。會(huì)話管理3.1會(huì)話管理概述會(huì)話管理功能,即基于狀態(tài)的資源控制,用于保護(hù)USG資源。對(duì)USG產(chǎn)品來(lái)說(shuō),資源是十分寶貴的,當(dāng)受到外來(lái)的DDOS一類攻擊時(shí),設(shè)備內(nèi)部的資源大量被攻擊流所占用,此時(shí)正常的報(bào)文必然會(huì)受到影響。啟動(dòng)會(huì)話管理服務(wù)后,設(shè)備會(huì)對(duì)所建流進(jìn)行監(jiān)控,將這些流區(qū)分為全連接和半連接:當(dāng)有新建連接長(zhǎng)時(shí)間未得到應(yīng)答就會(huì)一直處于半連接狀態(tài),直至得到正確應(yīng)答才會(huì)轉(zhuǎn)成全連接狀態(tài)。當(dāng)設(shè)備內(nèi)的半連接超過(guò)限制時(shí),就判斷有可能是遭受到了攻擊,這時(shí)設(shè)備將會(huì)做相應(yīng)的處理。會(huì)話管理主要功能:●連接數(shù)管理●系統(tǒng)/協(xié)議連接總數(shù)限制●系統(tǒng)/協(xié)議半連接總數(shù)限制●系統(tǒng)/協(xié)議半連接速率總數(shù)限制●連接監(jiān)控●指定連接刪除●臨時(shí)阻斷●基于源/目的IP/目的端口的連接統(tǒng)計(jì)●流量統(tǒng)計(jì)●協(xié)議超時(shí)管理相關(guān)術(shù)語(yǔ)解釋:●系統(tǒng)連接總數(shù):所有協(xié)議的連接總數(shù)之和?！裣到y(tǒng)半連接總數(shù):所有協(xié)議的半連接總數(shù)之和。●系統(tǒng)半連接速率總數(shù):所有協(xié)議的半連接速率總數(shù)之和。●協(xié)議連接總數(shù):該協(xié)議當(dāng)前建流數(shù),包括全連接和半連接。●協(xié)議半連接總數(shù):該協(xié)議當(dāng)前所建流中仍處于半連接狀態(tài)的流數(shù)。●協(xié)議半連接速率總數(shù):該協(xié)議當(dāng)前一分鐘內(nèi)所建流中仍處于半連接狀態(tài)的流數(shù)。3.2配置會(huì)話管理配置步驟:1.點(diǎn)擊系統(tǒng)管理>會(huì)話管理>連接數(shù)管理,點(diǎn)擊進(jìn)行編輯:3參數(shù)說(shuō)明:閾值:系統(tǒng)/協(xié)議連接總數(shù)限制,取值范圍:1~2000000上限:系統(tǒng)/協(xié)議半連接/半連接速率總數(shù)上限,取值范圍:-1或1~2000000下限:系統(tǒng)/協(xié)議半連接/半連接速率總數(shù)下限,取值范圍:1~20000002.更改各限制值。3.點(diǎn)擊提交以使配置生效。系統(tǒng)/協(xié)議半連接總數(shù)上限2000000可更改設(shè)置系統(tǒng)/協(xié)議半連接總數(shù)下限40000可更改設(shè)置系統(tǒng)/協(xié)議半連接速率總數(shù)上限2000000可更改設(shè)置系統(tǒng)/協(xié)議半連接速率總數(shù)下限40000可更改設(shè)置在web界面中,不能配臵開(kāi)啟/關(guān)閉會(huì)話管理,也不能配臵修改老化時(shí)間,若要進(jìn)行上述配臵,請(qǐng)進(jìn)入命令行界面。臨時(shí)阻斷功能:當(dāng)管理員發(fā)現(xiàn)有可疑流量時(shí),可以通過(guò)臨時(shí)阻斷在設(shè)定時(shí)間內(nèi)精確阻斷該流量。配置步驟:1.進(jìn)入系統(tǒng)管理>會(huì)話管理>臨時(shí)阻斷2.點(diǎn)擊新建按鈕,創(chuàng)建臨時(shí)阻斷策略。參數(shù)說(shuō)明:協(xié)議:阻斷的協(xié)議類型,有ANY/TCP/UDP/ICMP/OTHER五種,根據(jù)選擇的協(xié)議不同,隨后的配置頁(yè)面也會(huì)有變化,默認(rèn)為ANY;源IP/子網(wǎng):要阻斷的流的源IP地址,可以輸入地址/子網(wǎng)掩碼/地址范圍;目的IP/子網(wǎng):要阻斷的流的目的IP地址,可以輸入地址/子網(wǎng)掩碼/地址范圍;阻斷時(shí)間:阻斷生效后的持續(xù)時(shí)間,單位為分鐘,輸入值范圍1-65535,默認(rèn)15當(dāng)協(xié)議選擇TCP/UDP時(shí):參數(shù)說(shuō)明:源端口/范圍:要阻斷的流的源端口,可以輸入端口/端口范圍;目的端口/范圍:要阻斷的流的目的端口,可以輸入端口/端口范圍;當(dāng)協(xié)議選擇ICMP時(shí):參數(shù)說(shuō)明:Type:要阻斷的ICMP流的Type值Code:要阻斷的ICMP流的Code值當(dāng)協(xié)議選擇OTHER時(shí),配置界面如下:參數(shù)說(shuō)明:協(xié)議號(hào):要阻斷的流的協(xié)議號(hào),范圍1-255,不能輸入ICMP、TCP和UDP對(duì)應(yīng)的協(xié)議號(hào)(ICMP:1、TCP:6、UDP:17,不設(shè)值時(shí)默認(rèn)為阻斷所有其它協(xié)議3.點(diǎn)擊提交以使配置生效。網(wǎng)絡(luò)設(shè)備對(duì)不同協(xié)議的連接都有超時(shí)刪除功能,以保護(hù)設(shè)備的連接資源。在USG中,對(duì)TCP協(xié)議的全連接,默認(rèn)超時(shí)時(shí)間是1小時(shí),UDP協(xié)議為30秒。有些應(yīng)用程序在全連接建立后,報(bào)文只會(huì)根據(jù)實(shí)際的數(shù)據(jù)進(jìn)行交互,而沒(méi)有?；顧C(jī)制,往往會(huì)導(dǎo)致連接超時(shí)刪除,后續(xù)的數(shù)據(jù)無(wú)法通過(guò)設(shè)備。協(xié)議管理功能提供了設(shè)置特定服務(wù)超時(shí)時(shí)間的功能,可以解決這種需要長(zhǎng)時(shí)間空閑連接的問(wèn)題。配置步驟:1、進(jìn)入系統(tǒng)管理>會(huì)話管理>協(xié)議管理2、點(diǎn)擊新建按鈕參數(shù)說(shuō)明:名稱:該協(xié)議管理的名稱;協(xié)議:選擇該協(xié)議管理的協(xié)議類型,TCP或UDP;端口:填寫該協(xié)議對(duì)應(yīng)的業(yè)務(wù)端口;超時(shí)時(shí)間:<1-65535>,單位為分鐘;描述:對(duì)該協(xié)議管理進(jìn)行注釋說(shuō)明;3、點(diǎn)擊提交按鈕以使配置生效。如下圖為配置好的協(xié)議管理。配臵協(xié)議管理后,對(duì)新建的連接才會(huì)生效。USG設(shè)備會(huì)話管理中的臨時(shí)阻斷功能添加了全部阻斷(即完全阻斷的功能。全部阻斷的含義是阻斷所有經(jīng)過(guò)設(shè)備進(jìn)行轉(zhuǎn)發(fā)的會(huì)話報(bào)文,對(duì)于發(fā)給本設(shè)備和本設(shè)備發(fā)出的會(huì)話報(bào)文并不阻斷。目前全部阻斷功能僅支持web配置模式。由于阻斷功能是基于IP的,因此全部阻斷的配置策略是通過(guò)全0的源/子網(wǎng)和全0的目的/子網(wǎng)實(shí)現(xiàn)的。而配置策略中的全0的IP不需要用戶手動(dòng)輸入,只要開(kāi)啟全部阻斷功能,由系統(tǒng)自動(dòng)完成。該功能允許管理員通過(guò)點(diǎn)擊按鈕,即“全部阻斷”按鈕,開(kāi)啟全部阻斷功能。用戶可以選擇全部阻斷的會(huì)話協(xié)議類型,可以設(shè)置全部阻斷的時(shí)間。通過(guò)點(diǎn)擊按鈕,即“刪除”按鈕,便可關(guān)閉全部阻斷功能。配置步驟:1.進(jìn)入會(huì)話管理>臨時(shí)阻斷,如圖1所示。圖12.點(diǎn)擊全部阻斷按鈕,如圖2所示。圖2參數(shù)說(shuō)明:協(xié)議:允許阻斷的會(huì)話的協(xié)議類型,共有ANY、TCP、UDP、ICMP和OTHER五種可供用戶選擇。ANY是指所有的協(xié)議,OTHER是指除了TCP、UDP、ICMP之外的協(xié)議。默認(rèn)為ANY。源IP/子網(wǎng)和目的IP/子網(wǎng):由系統(tǒng)自動(dòng)填充為0,代表全部阻斷。阻斷時(shí)間:用于設(shè)置全部阻斷的時(shí)間,可以設(shè)置的阻斷時(shí)間范圍是1-65535,單位是分鐘,默認(rèn)值是15分鐘。用戶可以點(diǎn)擊協(xié)議的下拉列表,選擇阻斷的會(huì)話協(xié)議類型,可以根據(jù)需要設(shè)置合法的阻斷時(shí)間。設(shè)置完畢,若不想開(kāi)啟全部阻斷功能,點(diǎn)擊“取消”按鈕,則自動(dòng)跳回圖1界面。3.點(diǎn)擊提交按鈕以使配置生效,如圖3所示。圖3圖3中顯示的是當(dāng)前開(kāi)啟的全部阻斷功能的配置策略,通過(guò)點(diǎn)擊右端的“刪除”按鈕,便可關(guān)閉當(dāng)前的全部阻斷功能。4.點(diǎn)擊刪除按鈕,則關(guān)閉全部阻斷功能,如圖4所示。圖4此時(shí)若點(diǎn)擊“確認(rèn)”按鈕,則刪除當(dāng)前的全部阻斷策略,即關(guān)閉當(dāng)前的全部阻斷功能,自動(dòng)跳回圖1界面。若點(diǎn)擊“取消”按鈕,則不刪除當(dāng)前的全部阻斷策略,即不關(guān)閉當(dāng)前的全部阻斷功能,自動(dòng)跳回圖3界面。若阻斷時(shí)間到,則全部阻斷策略將失效,全部阻斷功能將關(guān)閉。3.3會(huì)話監(jiān)控與維護(hù)配置步驟:點(diǎn)擊系統(tǒng)管理>會(huì)話管理>連接數(shù)管理,進(jìn)入連接數(shù)管理頁(yè)面,該頁(yè)面顯示當(dāng)前系統(tǒng)及各協(xié)議會(huì)話連接數(shù)及連接限制值,點(diǎn)擊刷新獲得當(dāng)前值:配置步驟:1.點(diǎn)擊系統(tǒng)管理>會(huì)話管理>會(huì)話統(tǒng)計(jì),進(jìn)入會(huì)話統(tǒng)計(jì)頁(yè)面,該頁(yè)面根據(jù)下拉菜單中的選項(xiàng)統(tǒng)計(jì)系統(tǒng)當(dāng)前連接數(shù),可根據(jù)源IP統(tǒng)計(jì)、目的IP統(tǒng)計(jì)、業(yè)務(wù)端口統(tǒng)計(jì),還可指定詳細(xì)條件,統(tǒng)計(jì)出的連接數(shù)按數(shù)量降序排列,最多顯示前50項(xiàng)。2.在下拉菜單中選擇排序條件:源IP統(tǒng)計(jì)、目的IP統(tǒng)計(jì)、業(yè)務(wù)端口統(tǒng)計(jì),默認(rèn)為按源IP統(tǒng)計(jì);3.在輸入框中填寫詳細(xì)的端口或IP匹配條件,可輸入IP地址/范圍/掩碼或端口號(hào)/范圍,如果不輸入,默認(rèn)為全部統(tǒng)計(jì);4.點(diǎn)擊進(jìn)行統(tǒng)計(jì);5.結(jié)果顯示后,若想查看詳細(xì)信息,點(diǎn)擊進(jìn)入會(huì)話監(jiān)控頁(yè)面查看連接詳細(xì)信息6.或者若認(rèn)為連接異常,點(diǎn)擊進(jìn)入新建臨時(shí)阻斷頁(yè)面阻斷該連接。配置步驟:1.點(diǎn)擊系統(tǒng)管理>會(huì)話管理>會(huì)話監(jiān)控,進(jìn)入會(huì)話監(jiān)控頁(yè)面,該頁(yè)面根據(jù)輸入的協(xié)議、源/目的IP,業(yè)務(wù)端口,連接狀態(tài)等條件進(jìn)行組合查詢,顯示匹配條件的連接,最多顯示1000條。2.在下拉菜單中選擇想要監(jiān)控連接的類型和協(xié)議,輸入源IP,目的IP,業(yè)務(wù)端口等條件,默認(rèn)為所有3.點(diǎn)擊進(jìn)行查詢4.結(jié)果顯示后,若認(rèn)為該連接有異常,可以點(diǎn)擊刪除該連接5.或者點(diǎn)擊進(jìn)入新建臨時(shí)阻斷頁(yè)面阻斷該連接配置步驟:點(diǎn)擊系統(tǒng)管理>會(huì)話管理>流量統(tǒng)計(jì),進(jìn)入流量統(tǒng)計(jì)頁(yè)面:統(tǒng)計(jì)類型有主機(jī)統(tǒng)計(jì)和目的端口統(tǒng)計(jì)兩種,默認(rèn)采用主機(jī)統(tǒng)計(jì)。根據(jù)總流量,由大到小進(jìn)行顯示,最多顯示50項(xiàng)?？梢苑謩e輸入主機(jī)IP和目的端口/范圍進(jìn)行過(guò)濾顯示。3.4配置案例案例描述:發(fā)現(xiàn)有不正常連接,配置臨時(shí)阻斷。配置步驟:1.進(jìn)入系統(tǒng)管理>會(huì)話管理>連接數(shù)管理,查看連接數(shù)2.進(jìn)入系統(tǒng)管理>會(huì)話管理>會(huì)話統(tǒng)計(jì),以源IP統(tǒng)計(jì)所有連接3.點(diǎn)擊進(jìn)入會(huì)話監(jiān)控頁(yè)面查看連接詳細(xì)信息4.從個(gè)別連接的流量來(lái)看,可能是在使用BT一類的下載工具,決定阻斷掉這個(gè)源IP5.點(diǎn)擊提交,完成臨時(shí)阻斷設(shè)置以使配置生效。管理員4.1管理員概述本章講述了管理員用戶以及用戶組的配置,以及如何配置管理員權(quán)限表。4.2配置管理員啟明星辰天清漢馬USG設(shè)備出廠的默認(rèn)配置包括一個(gè)超級(jí)