- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath GAP2000-CN系列安全隔离与信息交换系统
Web配置指导
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
安全隔离与信息交换系统专用于隔离网络间信息交换,俗称网闸。H3C SecPath安全隔离与信息交换系统是新华三技术有限公司利用自身的技术优势和在安全体系结构方面的研究成果,经过长期研发,推出的一种全新的、高效的、安全的网间隔离产品。
为了方便网络管理员对网络设备进行操作和维护,设备提供了Web网管功能。管理员可以使用Web界面直观地管理和维护网络设备。Web网管支持的浏览器:Google 109及以上版本。
为了方便网络管理员对网络设备进行操作和维护,设备提供了Web网管功能。管理员可以使用Web界面直观地管理和维护网络设备。
出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录网闸的Web界面。网闸默认web管理端IP地址内端:https://192.168.0.1,外端:https://192.168.0.2。
为了系统安全,初次使用设备出厂缺省密码登录系统后,请务必及时更换为更加安全的密码,并请妥善保存变更后的密码,以免影响使用。
采用三权分立的方式对设备进行管理,具体角色分类信息如下:
表2-1 网闸角色说明
|
类型 |
用户名/密码 |
功能介绍 |
|
系统管理员 |
admin/adminh3c |
负责系统管理员用户及权限管理、应用用户管理、网络管理、设备登录限制、设备管理、系统设置、HA设置、Syslog设置、负载均衡、病毒库管理、配置管理、网络检测工具、安全性设置 |
|
安全管理员 |
secrecy/secrecyh3c |
负责安全管理员用户及权限管理、策略配置、通道配置、业务邮件告警、系统日志审计、数据库同步、文件同步、license管理模块、IDP/IPS管理、ACL控制 |
|
审计管理员 |
audit/audith3c |
负责审计管理员用户及权限管理,审计日志,日志管理,邮件告警设置 |
图2-1 H3C网闸Web登录界面
图2-2 H3C网闸登录后的界面
表2-2 界面区域介绍
|
(1) 导航栏 |
(2) 辅助区 |
(3) 配置区 |
(4) 折线图区 |
(5) 系统信息 |
(6) 运行时长 |
说明:
· 导航栏:以导航树的形式组织设备的Web网管功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在配置区中。
· 辅助区:提供切换用户、切换设备密码服务等Web网管功能。
· 配置区:用户进行配置和查看的区域。
· 折线图区:显示内外端机CPU、内存、磁盘信息。
· 系统信息:显示系统信息,包括版本号,产品型号,产品S/N,系统时间等。
· 运行时长:所有登录的角色可以在首页查看到设备启动到现在的时间。
H3C SecPath GAP2000出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录网闸的Web界面。系统管理员默认的Web登录信息包括:
· 用户名:admin
· 密码:adminh3c
· 网闸内端默认Web管理端IP地址:https://192.168.0.1/
· 网闸外端默认Web管理端IP地址:https://192.168.0.1/
采用Web方式登录网闸的步骤如下:
(1) 连接设备和PC
用交叉以太网线将PC和设备的以太网口MAN管理口相连。
(2) 为PC配置IP地址,保证能与设备互通
设置一个192.168.0.0/24网段的IP(除192.168.0.1和192.168.0.2),例如192.168.0.3。
(3) 启动浏览器,输入登录信息
在PC上启动浏览器,在地址栏中输入地址<https://192.168.0.1>后回车,即可进入设备的Web登录页面,如图3-1所示。输入用户名<admin>、密码<adminh3c>,单击<用户登录>按钮即可登录。
这里的PC是进行设备基本配置时使用的PC,不一定是Web网管终端。Web网管终端是登录Web网管时使用的PC,只需与设备路由可达即可。
用户登录到Web网管界面后,可配置接口的IP地址。
同一时时间仅允许1个用户通过Web登录设备。
内外端登录方式一样。
图3-2 H3C网闸初始页面
表3-1 功能说明
|
功能说明 |
||
|
Admin小标签下拉选项 |
修改密码 |
修改admin用户的登录密码 |
|
安全退出 |
退出当前admin用户 |
|
|
修改系统时间 |
手动修改当前系统的时间 |
|
|
系统重启 |
重启当前系统 |
|
|
用户及权限管理 |
用户管理 |
新建系统管理员账号,设置用户级别 |
|
菜单管理 |
查看和修改菜单级别 |
|
|
应用用户管理 |
应用用户管理 |
添加用户管理策略,在FTP和邮件通道上追加用户管理策略 |
|
网络管理 |
网卡绑定 |
新建、修改、删除网口汇聚 |
|
IP地址管理 |
新建、修改、删除网闸网口IP地址 |
|
|
路由配置 |
新建、修改、删除网闸内端、外端静态路由 |
|
|
DNS配置 |
设置网闸内端、外端静态DNS |
|
|
网卡禁ping配置 |
外部无法ping通禁ping的网卡 |
|
|
监控模式配置 |
设置配置过网闸的直连网口 |
|
|
VLAN网卡 |
设置VLAN网卡 |
|
|
设备登录限制 |
设备登录限制 |
设置访问网闸web管理端的白名单IP地址 |
|
设备管理 |
系统设置 |
设置web管理端管理地址、SNMP设置、时间同步设置、服务管理、系统升级、恢复出厂设置功能、系统重置、集中管理中心设置、第三方证书 |
|
HA设置 |
双机热备设置,双机配置同步、HA监控网卡、主机信息 |
|
|
负载均衡 |
均衡两台网闸同一类型通道压力的功能配置 |
|
|
Syslog设置 |
Syslog配置、日志上报管理中心设置 |
|
|
病毒库管理 |
查看病毒库版本 |
|
|
配置管理 |
配置导入导出 |
网闸配置导入、导出功能 |
|
配置自动备份 |
页面内支持配置FTP服务器地址,FTP服务器端口,文件存储路径,FTP用户名密码,备份间隔时间(每时、每天),是否启用自动备份 |
|
|
网络检测工具 |
抓包工具 |
抓获网闸各个网卡上的包并可以下载; 抓包工具页面加?号提示,悬浮提示抓包工具常用命令) |
|
网络诊断 |
各种网络工具:ping、telnet、ss、traceroute、网卡IP、ARP目标地址、网卡路由、邻居列表查询 |
|
|
网卡状态监控 |
页面查询当前网卡的up、down状态、、实时流速显示) |
|
|
安全性设置 |
设置 |
密码设置(登录失败次数鉴别、过期天数和复杂度)和安全设置(无操作超时时长和登录失败锁定时长) |
用户管理功能用于添加系统管理员,并设置其用户级别。
(1) 点击<用户及权限管理>的<用户管理>,点击左上方<+>按钮。
图3-3 添加系统管理员
(2) 点击按钮,弹出新增用户窗口,输入用户名和密码,选择用户级别。
图3-4 配置系统管理员信息
添加用户时可配置用户的一级、二级、三级级别,一级最高,三级最低。
若要使用UKEY认证功能,需要使用UKEY采集器。
本页面不同版本存在差异,请以设备实际情况为准。
用于查看菜单名称和修改菜单级别。
(1) 点击<用户及权限管理>的<菜单管理>,选择对应的菜单,点击左上方<修改>按钮。
图3-5 查看功能菜单
(2) 点击按钮,弹出设置菜单级别窗口,选择对应的级别。
图3-6 设置菜单级别
功能菜单可配置为一级、二级、三级级别,一级最高,三级最低。
管理员可访问所有菜单,并拥有对菜单打标的权限。
不同级别的用户仅可访问对应级别的菜单,例如二级用户只可访问二级和三级菜单。
默认菜单级别为一级菜单,之前已添加用户的级别为一级。
为了进一步增强用户使用安全性,应用用户策略给FTP和邮件通道输入用户名和密码时要加上前缀才能正常访问。SIP-28181-UDP通道不需要加前缀但应用用户名需要填写上级平台的国标编号。
(1) 点击左上角<+>按钮,新增应用账号集。
图3-7 新增应用账号集
(2) 弹出窗口,输入名称和选择类型。
图3-8 配置应用账号集信息
(3) 先勾选策略集,然后在点击应用账号下的<+>按钮,添加策略。
图3-9 新增应用账号策略
(4) 在弹出的策略窗口中,输入策略内容。
图3-10 配置策略内容
应用账号密码可以配置为SQL注入方式(?and1=1),应用在通道也也能够连接成功,没有安全隐患,可以配置
(1) 在FTP通道中追加上此策略后,如FTP通道,通过网闸登录FTP服务器时,输入用户名和密码时需要加上此策略前缀。
FTP服务器的账号:策略中设置的用户账号$FTP服务器账号
FTP服务器密码:策略中设置的密码$FTP服务器密码
(2) 在邮件通道中追加此策略,如使用foxmail时,和FTP同理,这里要加上策略前缀,用户名对应地址,密码对应密码;格式:(策略用户账号$E-mail地址策略密码$邮箱密码)。
图3-11 使用foxmail新建账号
(3) 使用Sylpheed邮件工具时,需要在设置-发送-用户ID和密码里都加上
图3-12 使用Sylpheed邮件工具
(4) 在SIP-28181-UDP通道中追加此策略,使用青柿视频平台时,需要在国标级联-添加上级平台-SIP认证用户名和SIP认证密码里都加上
图3-13 使用青柿视频平台
网卡绑定用于聚合网闸同一端系统的多个物理网口,根据工作模式不同效果不同。如果网闸其中一端系统需要对接多台冗余设备或负载均衡,那就需要使用网卡绑定功能。
请确保绑定的多个网卡上都没有配置IP,或已经完全删除。绑定网口共享相同IP地址,必须在绑定设置成功后,才能设置绑定口IP地址。
(1) 点击<网络管理>中的<网卡绑定>显示如图。
图3-14 网卡绑定界面
(2) 选择内外端机要绑定网卡,并点击<增加绑定>,弹出下列选项框,如图。
图3-15 网卡绑定配置界面
(3) 选择绑定网卡的工作模式和连接状态监测方式,如图。
图3-16 配置网卡绑定
工作模式有如下三种:
主备:同时只有一个端口生效,其它端口处于备状态,当主端口断开时备端口生效。
负载均衡:所有端口同时生效,负载分担流量。
LACP:根据IEEE 802.3ad动态链路聚合,与对端设备协商具体哪些接口负载流量。
系统用来检测网口连接状态的方式共有2种,Mll是通过检测物理连接状态来判断网口状态。而ARP则是通过借助ARP询问机制来判断指定IP是否可以到达,检测层次更深,检测可靠性更高。如果网口只需要做物理检测,可直接保存,跳过下面(4)、(5)步骤。
聚合端口工作模式选择主备时,对端设备只需设置在一个vlan中即可,不需要配置聚合口;工作模式选择LACP或负载均衡时,对端设备需要配置聚合口,且LACP模式下,对端交换机需配置动态模式,不支持静态LACP聚合模式。
ARP探测地址不支持输入IPV6
绑定口的探测方式为ARP方式时,绑定口上的第一个IP地址要和添加ARP绑定时添加的ARP目标地址同网段,主要用来接收arp包返回;
HA环境下若开启自动同步配置功能,绑定口的探测方式不能使用ARP方式,只能使用MII检测方式,否则会导致业务异常;
HA环境下若不开启自动同步配置功能,绑定口的探测方式选择ARP探测时,主备机业务口的第一个地址不能配置一致;
(4) 选择连接状态检测方式为ARP如图。
图3-17 配置ARP连接状态检测方式
(5) 输入需要检测的IP地址(一般填写该网口所连接的网关IP),点击保存完成后如图。
图3-18 网卡绑定信息
用于设置网闸系统的IP地址。
(1) 点击<网络管理>中的<IP地址管理>,并选择其中一个网口(以GE0/0为例),点击<添加IP>如图。
图3-19 添加网卡IP地址
(2) 输入IP地址和掩码,保存设置。
图3-20 配置IP和掩码信息
(3) 保存成功后IP列表显示,如图。
图3-21 查看IP信息
修改IP地址报错时,请检查通道、ACL、HA监控、路由等模块是否有使用该IP地址
网闸路由分内端路由和外端路由。内端路由仅对内端系统生效,外端路由仅对外端系统生效。两边的路由协议不会贯通,也就不存在冲突或环的问题。网闸内部仅仅摆渡应用层数据,底层的任何协议都无法穿透过去。所以在设置内端路由时只需要考虑内端机需要和哪些内网客户端、服务器进行连接。设置外端路由只需要考虑外端机需要和哪些外网终端、服务器进行连接。新版本增加ipv6功能设置。
(1) 点击<网络管理>中的<路由管理>,进入路由管理页面。
(2) 点击<添加路由>添加路由,进入路由设置窗口。
图3-23 配置路由信息
表3-2 路由配置说明
|
参数 |
说明 |
注意事项 |
|
目的子网 |
目标网段 |
|
|
子网掩码 |
网段掩码 |
|
|
网卡 |
转发出口 |
|
|
网关 |
下一跳地址 |
|
路由配置支持ipv6。
路由配置时需要注意,直连路由优先级最高;
只能配置一条缺省路由
当需要使用到网闸HTTP代理功能,例如为内网用户代理上网时,外端系统必须设置DNS。这样当内端收到HTTP请求后,外端才能根据该请求做DNS解析,访问到实际服务器。
(1) 点击<网络管理>中的<DNS配置>,进入DNS配置页面。
图3-24 DNS配置页面
(2) 点击添加DNS,输入所要设置的DNS地址,并点击<保存>按钮。
图3-25 配置内、外端机DNS信息
(3) 弹出下列提示框后,表示设置成功。
图3-26 配置成功的提示页面
DNS配置支持ipv6。
外部网络无法ping通被禁ping 的网卡,但不影响其正常业务
(1) 点击<网络管理>中的<监控模式配置>,勾选网口。
内外端机同时勾选某对网卡后,该网卡在IP地址管理模块下不显示网卡信息。同样在监控模式配置模块下,不显示已配有IP的网卡。成对勾选后,无需建立通道,即可过网闸,访问目的地址。
(1) 点击<网络管理>中的<监控模式配置>,勾选网口。
图3-27 监控模式配置页面
内外端机同时勾选某对网卡后,该网卡在IP地址管理模块下不显示网卡信息。同样在监控模式配置模块下,不显示已配有IP的网卡。
勾选stp功能,在网络风暴情况下能够解除环路。
监控模式业务不随HA主备切换而切换
支持添加、修改和删除VLAN网口,VLAN网口可以添加删除修改IP
(1) 点击<网络管理>-<VLAN网卡配置>,勾选网卡进行操作
图3-28 VLAN网卡界面
(2) 添加VLAN网卡
图3-29 Vlan网卡添加
(3) 写入要在交换机上配置的VLAN ID,点击保存完成vlan网卡配置
图3-30 Vlan网卡配置
(4) 生成VLAN网卡,显示在界面上
图3-31 Vlan网卡配置详情
(5) 修改VLAN网卡:勾选VLAN网卡,点击修改按钮
图3-32 修改vlan网卡
(6) 在修改界面,可重新选择网卡和输入ID,点击保存完成修改配置
图3-33 修改vlan网卡和id配置
(7) 删除vlan网卡:直接勾选此网卡,点击删除按钮即可
图3-34 删除vlan网卡
vlan网卡和ip地址管理一样,正在被使用的网卡不能被删除
vlan网卡不能绑定
以白名单的方式,限制哪些IP地址可以对网闸进行管理,同时支持对ipv6和MAC地址绑定。
(1) 点击<设备登录限制>菜单,进入设置页面。
图3-35 设备登录限制白名单配置页面
(2) 点击左上方<+>按钮,添加允许访问网闸Web管理端的IP和MAC地址(白名单)。
图3-36 添加设备登录限制白名单
(3) 设置完成后,点击保存。
图3-37 查看添加的设备登录限制白名单
此功能中的mac地址限制放宽,一个IP地址可以拥有多个mac地址,但单独的mac地址不可重复。
系统功能配置,包括管理地址设置、集中管理中心设置、SNMP设置、时间同步设置、服务管理、第三方证书配置、系统重置、系统升级和恢复出厂设置功能。
设置管理口地址以及管理口网关。通讯口和管理口的路由是分割开的。此处网关和路由设置中的配置不会冲突,仅对MAN口生效。
输入正确的网关、地址和掩码后点击保存。
图3-38 管理地址配置页面
通过设置集中管理中心并结合INTERCONN通道,网闸可用于多级安全互联交换平台部件。配置后需要在平台的设备管理中添加网闸设备,配置集中管理中心设置的用户名/密码。
图3-39 集中管理中心设置页面
集中管理中心设置需要配合多级安全互联交换平台使用,配置后平台的设备管理中需要添加网闸设备。
设置SNMP基本参数。在未启用时,选中输入框,输入SNMP所需设置,设置完成后,选择启用并保存,通过SNMP客户端访问获取SNMP信息。
图3-40 SNMP配置页面
SNMP客户端IP地址应对应管理端IP网段,才能获取信息。
SNMP信息中可显示CPU、内存、磁盘信息。
通过NTP网络时间协议(Network Time Protocol)来同步网络中各个计算机时间的协议。输入NTP服务器地址后,点击保存,便可使网闸时间同步至网络中的正确时间。
图3-41 NTP服务器配置页面
时间同步地址是从网闸man口去连接获取,请确保MAN口能够和邮件服务器正常通信。
开启/关闭/重启网闸系统相关服务。选择服务对应的按钮,进行开启/关闭/重启等操作。
图3-42 服务管理页面
表3-3 服务功能说明
|
服务名称 |
操作 |
作用 |
|
WEB服务 |
重启 |
用于控制web页面配置与显示 |
|
数据摆渡服务 |
重启 |
内外端数据传输服务 |
|
SSHD服务 |
启动 |
ssh服务,默认关闭,开启后可通过ssh登录设备调试 |
|
病毒库服务 |
启动 |
启动开启病毒库服务 |
|
数据库同步服务 |
重启 |
用于数据库同步功能,需License开启 |
|
文件同步服务 |
重启 |
用于文件同步功能 |
数据库同步服务重启后加载配置需要时间,请等待数据库服务启动完成后再继续进行数据库同步的配置。
在系统设置界面支持上传第三方证书文件
将系统重置,所有配置清空。输入管理员密码,点击重置按钮,开始重启,等待重置完成即可。重置后配置清空,内端管理IP恢复为192.168.0.1,外端管理IP变为192.168.0.2。
图3-43 系统重置页面
点击选择文件,选中相匹配的升级包,点击开始升级即可。
图3-44 系统升级页面
将网闸版本恢复到出厂版本,所有配置清空。输入管理员密码,点击恢复出厂设置,等待恢复出厂设置完成即可。恢复出厂设置后内端管理IP变为192.168.0.1,外端管理IP变为192.168.0.2。
图3-45 恢复出厂设置页面
HA设置用于配置网闸双机热备或负载均衡功能。
双机热备情况下,同一时间仅一台网闸处于工作状态,另一台设备处于备用监测状态。只有当主设备发生异常或链路断开后,备用设备才会承接业务流量。
负载均衡情况下,配置与双机热备配置相同,两台设备同时负载业务流量。需与负载均衡配置配合使用。
(1) 点击外端机的<设备管理>中的<HA设置>功能,进入HA设置页面
图3-46 外端机HA设置页面
图3-47 内端机HA设置页面
(2) 选中HA设置中的各个选项进行输入,完成后点击保存
表3-4 HA设置
|
参数 |
说明 |
注意事项 |
|
工作模式 |
当前HA运行模式 |
内端机无 |
|
优先级 |
数值越高优先级越高 |
两台设备的优先级不能设置相同 |
|
协商模式 |
非抢占/抢占模式 |
内端机无 |
|
本机IP地址 |
本台设备HA的IP |
每台设备HA的地址不同 |
|
本机掩码 |
本机HA口掩码 |
|
|
对端IP地址 |
另一台设备HA的IP地址 |
|
|
对端掩码 |
对端HA口掩码 |
|
图3-48 HA网卡
网络设置里配置了哪些网口,此处就勾选哪些网口。当双机热备进程检测到这些网口发生异常时,比如线路断开,就认定此设备节点异常,需要切换设备。
若已经设置完成HA并保存后,若IP加入HA上的网卡地址有变化,请重新保存HA设置和重新勾选加入HA的网卡。
HA功能做主备时,主备机使用的业务口地址不一致时,备机无法禁用通道端口段类型流量,场景:主机使用192.168.50.120的业务口ip地址,而备机与主机设置不一致为192.168.50.200,给主机打上http端口段流量,进行主备机切换后,原主机的http端口段日志仍然会继续生成
HA设置本地地址IP和对端地址IP不能一致。
(4) 主机信息
图3-49 主机状态
图3-50 备机状态
当前设备角色显示当前此设备是主机还是备机。
设备健康状态显示当前设备状态,健康或者故障。
(5) 同步配置
单次同步:点击单次同步会手动同步到备机中
开启自动同步:开启自动同步后设备将每过5分钟进行一次配置检查,如配置不同会同步一次
图3-51 同步配置
本机与对端机机型,版本号,和网卡数目一致。
对端机IP必须为合法的ABC类IPv4地址
本机配置存在时可以手动单次或者自动同步进行同步
HA配置同步和配置导入导出支持一致,不支持的有:用户及权限管理、HA设置(除了HA监控网卡配置)、负载均衡、系统资源信息、系统连接数、通道流量流速信息、审计日志、License授权、管理地址设置、服务管理
HA场景下:
Ø HA组网模式下,网闸绑定的连接状态检测方式不能选择ARP的探测方式,否则会导致业务异常;若使用ARP探测方式,主备机绑定口的第一个IP不能配置一致且不能启用自动同步功能
Ø HA组网模式下使用监控模式,网闸和交换机侧只能开启一侧的STP功能,即网闸开启,交换机不开;或者交换机开启,网闸不开
Ø HA组网模式下使用监控模式,监控模式流量不随HA切换,比如,主机设备HA监控网卡故障,通道应用切至备机,但监控模式仍在主机设备上
Ø 开启HA自动同步配置,配置同步至备机时,备机服务会重启
(1) 点击<负载均衡>功能,进入负载均衡配置页面。
图3-52 负载均衡配置页面
(2) 点击虚拟服务下<+>按钮,添加虚拟服务。
图3-53 配置负载均衡虚拟服务
图3-54 负载均衡配置信息
|
参数 |
说明 |
注意事项 |
|
IP地址 |
虚拟的服务地址 |
相当于通道的监听地址,负载均衡开启后,就访问此地址 |
|
端口 |
虚拟服务的端口地址 |
相当于监听端口 |
|
端机 |
选择内、外端机 |
相当于监听的端机 |
|
网卡 |
网卡名称,例如GE0/0 |
设备真实存在的网卡 |
(3) 选中已添加的虚拟服务,点击真实服务下<+>按钮,添加真实服务。
图3-55 配置负载均衡真实服务
表3-5 配置真实服务信息说明
|
参数 |
说明 |
注意事项 |
|
IP地址 |
真实 的IP地址 |
虚拟服务所映射的真实IP |
|
所属设备 |
选择是本机还是对端机 |
|
真实服务必须得添加本机和对端服务。
网卡名称要和虚拟服务保持一致。
虚拟服务ip和真实服务ip必须同网段。
启用负载均衡后,必须得2台设备的HA设置模块也得设置完成,详情根据实际情况设置。
负载均衡仅支持tcp、http、smtp和pop3通道。
负载均衡不支持IPV6
负载均衡不支持端口段通道
负载均衡模式不支持文件同步和数据库同步
功能用于设置Syslog日志服务器。系统会从管理口MAN口将自身基础信息发送给指定的Syslog服务器。
(1) 点击<syslog配置>功能,进入syslog配置页面。
图3-56 syslog配置页面
(2) 在未启用的状态下,输入Syslog服务器监听的IP地址和端口号,设置完成后,点击保存。
功能用于将网闸的日志上传至管理中心。
1、 日志上报管理中心配置:输入在管理中心的相关设备ID,输入管理中心IP地址、输入连接管理中心端口515(默认),勾选保存完成配置
设置的IP地址应对应管理端IP网段,才能获取信息。
syslog信息中可显示cpu、内存、磁盘信息,其中的具体信息可对照syslog手册查阅。
syslog配置最多可同时有3个
日志上报管理中心前请先确认管理中心能纳管此网闸
系统设置新增病毒库管理界面,查看病毒库版本。
(1) 点击进入<病毒库管理>界面,而点击<刷新>按钮可查看内外端病毒库更新时间
图3-57 病毒库管理
病毒库随网闸版本升级,不支持其他方式升级
该功能用于网闸配置文件的备份及还原。
点击<配置导入导出>,进入配置管理界面:
图3-58 配置的导入导出页面
勾选配置选项中需要导出的配置,点击<导出配置>按钮,导出当前Web管理端配置,进行备份,也可给导出的文件设置密码;若需要设置密码,请在密码框中输入密码后,点击导出。
点击<导入配置>按钮,导入备份的配置信息,若导入的配置文件加密,请在导入对应的密码框中输入设置的密码后,点击导入。
必须是相同型号、端口形态和版本的配置才能互相导入,并请确认是否设置密码。
HA配置同步和配置导入导出支持一致,不支持的有:用户及权限管理、HA设置(除了HA监控网卡配置)、负载均衡、系统资源信息、系统连接数、通道流量流速信息、审计日志、License授权、管理地址设置、服务管理
配置自动备份页面,页面内支持配置FTP服务器地址,FTP服务器端口,文件存储路径,FTP用户名密码,备份间隔时间(每时、每天),是否启用自动备份;自动配置测试。
自动备份的备份日志,记录自动备份的备份时间、文件保存的路径、文件名(以备份时间年月日时分秒为名)、备份结果(成功、失败);日志支持按开始结束时间进行查询
图3-59 配置FTP自动备份页面
图3-60 FTP自动备份日志
此为FTP被动模式。
抓取网闸各个网卡上的网络流量信息。
(1) 点击<网络检测工具>中的<抓包工具>,进入抓包页面。
图3-61 抓包页面
(2) 勾选需要抓包的网卡,点击开始抓包,然后点击结束抓包;之后再点击下载。可在过滤条件中输入参数进行过滤。过滤条件格式与tcpdump过滤格式相同,页面加?号提示,悬浮提示抓包工具常用命令。
流量过大,抓包结束后无结束提示
查看网闸的连通性、网闸网卡信息、ARP目标地址和路由信息。
(1) 点击<网络检测工具>中的<网络诊断>,进入网络诊断页面。
图3-62 网络诊断页面
(2) 点击选择诊断工具的下拉框,选择使用的命令,输入需要诊断的项目后点击查询,查看详细信息。如使用ping诊断目标是否存在:
图3-63 网络诊断举例
查看网卡状态是up还是down、网卡接收和发送流速实时展示
点击<网络检测工具>中的<网卡状态监控>,进入网卡状态监控查询结果页面即可查看网卡状态和流速。
图3-64 网卡状态监控查询
系统安全性设置,包括登录失败次数设置、过期天数设置、密码复杂度设置、无操作超时管理和登录失败锁定设置。
设置Web管理端登录失败最大次数。拖动或手动输入次数,保存即可。
图3-65 登录失败次数设置页面
超过最大登录失败次数,该用户会被锁定,锁定时长依据用户设置锁定时长,默认时长5分钟。
设置密码过期天数,拖动或手动输入天数,保存即可。密码存在一定天数后需要再次修改密码。
图3-66 过期天数设置页面
设置密码的最小长度,拖动或手动输入密码最小长度,区间为:8-20。另外密码字符复杂度默认包含数字和字母,还可勾选特殊字符,保存即可。下次修改密码时生效。
图3-67 复杂度设置页面
设置用户登录web管理端后一定时间无操作退出的时间。拖动或手动输入时间,保存即可。
图3-68 无操作超时设置页面
设置用户登录失败次数超过设置后禁止登录的时长。拖动或手动输入时长,保存即可。
图3-69 登录失败锁定设置页面
修改当前登录用户密码,退出Web管理端,修改系统时间,系统重启和关机功能。
(1) 点击界面右上角用户,弹出窗口。
图3-70 系统管理设置页面
(2) 选择窗口中的功能,进行修改密码,退出Web管理端,修改系统时间,系统重启和系统关机操作。
图3-71 系统管理功能
图3-72 修改密码
(4) 修改系统时间
图3-73 修改系统时间
(5) 系统重启
图3-74 系统重启
修改系统时间若超过License授权有效期会导致License授权过期。Lincese授权有效期时长以导入授权时当前系统时间为准
子用户可以限制主用户登录,点击禁用选项或者启用选项限制主用户登录。
添加子用户,例如下面添加一个子用户“admin001”
图3-75 添加子用户
(1) 登录此子用户,点击右上角用户账号选框,选择点击<禁用当前主账号>。
图3-76 禁用当前主账号
(2) 选择是否禁用当前主账户状态 :是或否。未禁用时,主用户可以登录;禁用时,主用户登录提示:用户被禁用。
图3-77 禁用主账户界面
图3-78 禁用主账号界面
图3-79 主账号被禁界面
secrecy、audit子用户禁用主用户操作方法与admin子用户一致
由于H3C SecPath安全隔离与信息交换系统内端机、外端机IP地址管理配置相同,现以内端机为例。
登录内端机端在浏览器中输入http://192.168.0.1(默认管理地址)。
登录外端机端在浏览器中输入http://192.168.0.2(默认管理地址)。
安全管理端登录方式和系统管理端一样:
· 用户名:secrecy
· 密码:secrecyh3c
· 网闸默认Web内端管理端IP地址:https://192.168.0.1/
· 网闸默认Web外端管理端IP地址:https://192.168.0.2/
图4-1 H3C网闸安全管理端初始页面
表4-1 安全管理端功能介绍
|
功能说明 |
|||
|
首页 |
首页 |
通道流量显示 |
|
|
secrecy小标签下拉选项 |
修改密码 |
修改secrecy用户的登录密码 |
|
|
安全退出 |
退出当前secrecy用户 |
||
|
用户及权限管理 |
用户管理 |
安全管理员新增和删除,设置用户级别 |
|
|
菜单管理 |
查看和修改菜单级别 |
||
|
策略管理 |
客户端地址 |
定义允许访问源,可定义单个IP或网段,源端口 |
|
|
FTP |
FTP命令 |
对FTP通道中的指令进行黑名单控制 |
|
|
FTP下载敏感词 |
对FTP通道中的下载文件内容进行黑名单控制 |
||
|
FTP上传敏感词 |
对FTP通道中的上传文件内容进行黑名单控制 |
||
|
FTP可下载文件名 |
对FTP通道中的可下载文件名进行黑、白名单控制 |
||
|
FTP可上传文件名 |
对FTP通道中的可上传文件名进行黑、白名单控制 |
||
|
FTP可删除文件名 |
对FTP通道中的可删除文件名进行黑、白名单控制 |
||
|
FTP可下载文件类型 |
对FTP通道中的可下载文件类型进行黑、白名单控制 |
||
|
FTP可上传文件类型 |
对FTP通道中的可上传文件类型进行黑、白名单控制 |
||
|
FTP可删除文件类型 |
对FTP通道中的可删除文件类型进行黑、白名单控制 |
||
|
FTP可下载文件大小 |
对FTP通道中的可下载文件大小进行黑名单控制 |
||
|
邮件 |
邮件发件人 |
对SMTP、POP3、IMAP通道中的发件人邮箱地址进行黑、白名单控制 |
|
|
邮件收件人 |
对SMTP、POP3、IMAP通道中的收件人邮箱地址进行黑、白名单控制 |
||
|
邮件主题敏感词 |
对SMTP、POP3、IMAP通道中的邮件主题内容进行黑名单控制 |
||
|
邮件内容敏感词 |
对SMTP、POP3、IMAP通道中的邮件正文内容进行黑名单控制 |
||
|
邮件附件内容敏感词 |
对SMTP、POP3、IMAP通道中的邮件附件内容进行黑名单控制 |
||
|
邮件附件类型 |
对SMTP、POP3、IMAP通道中的邮件附件类型进行黑、白名单控制 |
||
|
HTTP |
HTTP URL |
对HTTP/HTTP Proxy通道中的URL进行黑、白名单控制 |
|
|
HTTP响应内容类型 |
对HTTP/HTTP Proxy通道中的响应内容类型进行黑、白名单控制 |
||
|
HTTP响应内容敏感词 |
对HTTP/HTTP Proxy通道中的响应内容敏感词进行黑名单控制 |
||
|
HTTP请求方法 |
对HTTP/HTTP Proxy通道中的请求方法进行黑、白名单控制 |
||
|
HTTP请求内容正则过滤 |
对HTTP通道中的请求内容正则进行黑、白名单控制 |
||
|
HTTP请求Content-Length最大值限制 |
对HTTP通道中的请求Content-Length最大值进行白名单控制 |
||
|
HTTP响应Content-Length最大值限制 |
对HTTP通道中的响应Content-Length最大值进行白名单控制 |
||
|
HTTP方法/URL正则和请求体过滤 |
对HTTP通道中的HTTP方法/URL正则和请求体进行黑、白名单控制 |
||
|
HTTP自定义头部域检查 |
对HTTP通道中的HTTP自定义头部域进行黑、白名单控制 |
||
|
数据库 |
数据库命令控制 |
对数据库创建、更改、删除的命令进行黑名单控制 |
|
|
表命令控制 |
对数据库中针对表的命令进行黑名单控制 |
||
|
登录用户管理 |
对登录数据库的用户进行黑、白名单控制 |
||
|
MODBUS |
功能码策略 |
对MODBUS产生的读写数据进行黑、白名单控制 |
|
|
S7COMM |
S7COMM功能码 |
支持s7comm协议解析及黑名单读写策略 |
|
|
OPC |
控制点增加 |
支持opc控制点对应tag的增加操作的过滤 |
|
|
控制点删除 |
支持opc控制点对应tag的删除操作的过滤 |
||
|
控制点读控制 |
支持opc控制点对应tag的点读操作的过滤 |
||
|
控制点写控制 |
支持opc控制点对应tag的点写操作的过滤 |
||
|
SIP |
SIP视频格式 |
对SIP_28181_UDP、SIP_28181_TCP通道中的视频格式进行白名单控制 |
|
|
SIP信令过滤 |
对SIP_28181_UDP、SIP_28181_TCP通道中的SIP信令进行黑名单控制 |
||
|
SIP35144签名验签 |
能对通过签名算法签名过的数据进行验证,验签通过则放行,不通过的拦截丢失并日志报警 |
||
|
SIP控制命令过滤 |
对视频云台、摄像头的操作控制命令过滤 |
||
|
SIP信令内容过滤 |
对SIP传输的信令内容进行过滤 |
||
|
SIP视频点位控制 |
对SIP摄像头点播视频进行过滤 |
||
|
通道管理 |
通道管理 |
新建、修改、删除网闸基本通道策略,映射实际服务器的IP、端口到网闸另一端,为另一边网络的用户提供访问接口。 |
|
|
业务邮件告警 |
业务邮件告警 |
通过设置通道连接数阈值、连通性等信息来实现业务邮件告警,同时添加邮件发件人和收件人等信息。 告警类型有:通道连通性告警、通道连接数告警、系统连接数告警、系统事件日志告警、IDS/IPS高危告警、数据库同步冲突告警、文件同步病毒告警、数据库同步病毒告警 |
|
|
文件同步 |
共享目录管理 |
添加、修改、删除文件同步共享目录,设置文件同步的共享目录(包含目录地址、路径等) |
|
|
文件特征库管理 |
上传文件生成此类文件的特征码,可用于过滤文件 |
||
|
文件后缀名过滤管理 |
配置文件的后缀名,可用于过滤文件 |
||
|
文件内容过滤管理 |
配置过滤内容,可用于过滤文件 |
||
|
文件大小过滤管理 |
文件大小过滤是限定文件大小范围的策略 |
||
|
同步任务管理 |
添加、修改、删除文件同步任务以及任务的启用和停止 |
||
|
文件传输状态 |
查看正在进行同步的文件传输状态 |
||
|
数据库同步 |
同步数据库配置 |
添加、删除用于同步的数据库 |
|
|
关联数据库 |
关联内外端用于同步的数据库 |
||
|
同步表配置 |
配置对数据库中的哪些表进行同步以及同步的方向等 |
||
|
冲突数据解决 |
显示所有待处理的冲突解决机制为手动解决的冲突数据 |
||
|
数据库同步策略管理 |
配置数据库同步策略 |
||
|
系统日志审计 |
系统资源信息 |
显示、查询系统CPU、内存、磁盘占用量 |
|
|
系统连接数 |
显示、查询系统并发连接情况 |
||
|
应用日志 |
显示、查询策略触发日志,主要用于查询违规访问情况 修改应用日志等级 |
||
|
管理操作日志 |
显示、查询、导出审计管理端配置情况 |
||
|
文件同步日志 |
显示、查询、导出文件同步日志信息 |
||
|
数据库同步日志 |
显示、查询、导出数据库同步日志信息 |
||
|
IDS/IPS日志 |
开启后IDS/IPS服务生成的IDS/IPS日志,通过syslog将日志发送到监听端口,并在IDS/IPS日志界面显示日志。可通过最近一小时、最近一天、最近一周、最近一月选择最近期间的数据。提供日志查询、导出日志、删除日志功能。 |
||
|
系统事件日志 |
显示、查询、导出系统事件日志 |
||
|
ACL日志 |
记录ACL控制的记录信息 |
||
|
License管理 |
License导入 |
导入视频协议功能、工控协议功能、数据库同步功能的授权;展示license使用指南二维码和跳转链接 |
|
|
License模块信息 |
查看视频模块、工控模块、数据库同步模块的授权信息 |
||
|
ACL控制 |
ACL控制 |
基于监控模式/路由模式增加对客户端IP与端口、服务端IP与端口、协议类型的五元组策略控制;添加、修改、删除、启停ACL策略 |
|
|
IDS/IPS管理 |
IDS/IPS管理 |
通过网卡、检测IP、检测端口、应用层协议解析端口的配置进行IDS/IPS服务配置,开启和关闭IDS/IPS服务的功能。提供检测IP的增删查改、检测端口的增删查改、应用层协议解析端口增删查改的功能。 |
|
根据通道类型、通道id等显示通道的实时和统计流量信息。
点击<首页>,进入流量统计页面,即可查看流量,可根据时间或者通道类型、通道id等查看。
图4-2 流量统计页面
用户管理功能用于添加安全管理员,并设置其用户级别。
(1) 点击<用户及权限管理>的<用户管理>,点击左上方<+>按钮,,与上文中admin用户的“权限管理”相同配法。
图4-3 添加安全管理员
(2) 点击按钮,弹出新增用户窗口,输入用户名和密码,选择用户级别。
图4-4 配置安全管理员信息
添加用户时可配置用户的一级、二级、三级级别,一级最高,三级最低。
若要使用UKEY认证功能,需要使用UKEY采集器。
本页面不同版本存在差异,请以设备实际情况为准。
用于查看菜单名称和修改菜单级别。
(1) 点击<用户及权限管理>的<菜单管理>,选择对应的菜单,点击左上方<修改>按钮。
图4-5 查看功能菜单
(2) 点击按钮,弹出设置菜单级别窗口,选择对应的级别。
图4-6 设置菜单级别
功能菜单可配置为一级、二级、三级级别,一级最高,三级最低。
管理员可访问所有菜单,并拥有对菜单打标的权限。
不同级别的用户仅可访问对应级别的菜单,例如二级用户只可访问二级和三级菜单。
默认菜单级别为一级菜单,之前已添加用户的级别为一级。
通道仅仅提供一条定向访问途径,用来连接对端网络限定的服务。但并不对访问源以及传输内容进行过滤。如果需要对访问源以及应用层内容做进一步过滤,就需要用到策略管理功能。不同的策略可以挂载到不同的通道上,实现灵活的、细粒度的访问控制。
此功能用于对访问源的IP进行限制。
(1) 定义策略集。选中<策略管理>中的<客户端地址>,再点击<+>按钮,如图。
图4-7 新增客户端地址策略集
图4-8 配置客户端地址策略集信息
表4-2 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的IP地址集 白名单:即允许通过的IP地址集 |
配置完成后不允许修改,只能删除重新配置 |
(2) 配置完成之后,点击<保存>,如图。
图4-9 查看配置的策略集
(3) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加IP地址或网段。
图4-10 为策略集添加策略项
设置策略对象,如下图所示。
图4-11 设置策略内容对象
设置策略内容是网段或源端口,如下图所示。
图4-12 设置策略内容是网段或源端口
表4-3 策略内容参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略项名称 |
|
|
策略内容 |
设置IP或网段对象 |
|
|
源端口 |
设置端口范围 |
选填 |
(4) 设置完成后,点击<保存>,如下图。
图4-13 查看配置的策略信息
客户端地址策略不支持IPV6地址。
用于连接访问mysql数据库、oracle数据库和oracle_shared数据库的协议;端口模式下支持数据库及客户端地址策略的配置;端口段模式下仅支持客户端地址策略。
(1) 选择<策略管理>中的<数据库>,下拉选择<数据库命令控制>,点击<+>按钮,新增策略集。
图4-14 新建数据库命令控制策略集
图4-15 配置数据库命令控制策略集
表4-4 数据库命令控制参数说明:
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的数据库命令指令 |
这个策略没有白名单; |
(2) 选中策略集,点击<+>,添加表命令策略。
图4-16 为策略集添加策略项
图4-17 配置策略内容
配置策略内容,点击“保存”后,策略信息如下图所示。
图4-18 查看策略信息
用于连接访问控制数据库中表的协议;端口模式下支持数据库及客户端地址策略的配置;端口段模式下仅支持客户端地址策略。
(1) 选择<策略管理>中的<数据库>,下拉选择<表命令控制>,点击<+>按钮,新增策略集。
图4-19 新增表命令控制策略集
图4-20 配置表命令策略集
表4-5 表命令控制参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的表命令指令 |
这个策略没有白名单; |
(2) 选中策略集,点击<+>,添加表命令策略。
图4-21 为策略集添加策略项
图4-22 配置策略内容
配置策略内容,点击“保存”后,策略信息如下图所示。
图4-23 查看策略信息
用于连接访问控制登录用户的协议;端口模式下支持数据库及客户端地址策略的配置;端口段模式下仅支持客户端地址策略。
(1) 定义策略集。选中<策略管理>中的<数据库>,下拉选择<登录用户管理>,再点击<策略集>中的<+>按钮。
图4-24 新增登录用户管理策略集
图4-25 配置表命令策略集
(2) 选中策略集,点击<+>,添加表命令策略。
图4-26 为策略集添加策略项
图4-27 配置策略内容
表4-6 登录用户管理参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的用户 白名单:仅允许通过的用户 |
|
(3) 配置策略内容,点击“保存”后,策略信息如下图所示。
图4-28 查看策略信息
根据modbus功能码的定义来控制modbus通道。
(1) 定义策略集。选中<策略管理>中的<MODBUS>,再点击<策略集>中的<+>按钮。
图4-29 新建MODBUS策略集
图4-30 配置modbus策略集
表4-7 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许执行的功能码 白名单:仅允许执行的功能码 |
|
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加。
图4-31 为策略集配置策略项
(3) 输入完成后,点击保存:
图4-32 配置策略内容
此功能针对FTP类型通道,对FTP客户端提交的控制命令进行过滤。
(1) 选择<策略管理>中的<FTP>,下拉选择<FTP命令>,点击<+>按钮,新增策略集。
图4-33 新增FTP命令策略集
图4-34 配置FTP命令策略集
表4-8 FTP命令策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的FTP指令 |
配置完成后不允许修改,只能删除重新配置; 这个策略没有白名单; |
(2) 选中策略集,点击<+>,添加策略(内容可以选择也可以自定义,用户选择自定义策略时,格式请和下拉选择的内容格式填写一致,自定义时策略内容必须为大写英文命令的格式)。
图4-35 为策略集添加策略项
图4-36 配置策略内容
图4-37 配置自定义策略内容
(3) 配置策略内容,点击“保存”后,策略信息如下图所示。
图4-38 查看策略信息
此功能针对FTP类型通道,对FTP下载文件内容进行过滤。
(1) 选择<FTP下载敏感词>,点击<+>,新增策略集。
图4-39 新增FTP下载敏感词策略集
表4-9 FTP下载敏感词策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:FTP下载文件中不允许包含的内容 |
配置完成后不允许修改,只能删除重新配置 该功能仅支持txt文档; 这个策略没有白名单; |
(2) 选中策略集,点击<+>,添加策略。
图4-40 为策略集新增策略项
图4-41 配置策略内容
此功能针对FTP类型通道,对FTP上传文件内容进行过滤。
同FTP下载敏感词一样。
此功能针对FTP类型通道,对FTP可下载文件名进行过滤。
(1) 选择<FTP可下载文件名>,点击<+>,新增策略集。
图4-42 配置FTP可下载文件名策略集
表4-10 FTP可下载文件名策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:FTP不允许下载的文件名 白名单:FTP仅允许下载的文件名 |
配置完成后不允许修改,只能删除重新配置 |
(2) 选中策略集,点击<+>,添加策略,完成后点击保存。
图4-43 为策略集新增策略项
图4-44 配置策略内容
此功能针对FTP类型通道,对FTP上传文件名进行过滤。
同FTP可下载文件名一样。
此功能针对FTP类型通道,对FTP可删除文件名进行过滤。
(1) 选择<FTP可删除文件名>,点击<+>,新增策略集。
图4-45 配置FTP可删除文件名策略集
表4-11 FTP可删除文件名策略集参数说明:
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:FTP不允许删除的文件名 白名单:FTP仅允许删除的文件名 |
配置完成后不允许修改,只能删除重新配置 |
(2) 选中策略集,点击<+>,添加策略。
图4-46 为策略集配置策略项
输入策略内容完成后,点击保存,如下图所示。
图4-47 配置策略内容
此功能针对FTP类型通道,对FTP可下载文件类型进行过滤。
(1) 选择<FTP可下载文件类型>,点击<+>,新增策略集。
图4-48 配置FTP可下载文件类型策略集
表4-12 FTP可下载文件类策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:ftp不允许下载的文件类型 白名单:ftp仅允许下载的文件类型 |
配置完成后不允许修改,只能删除重新配置 |
(2) 选中策略集,点击<+>,添加策略。
图4-49 为策略集添加策略项
输入策略内容完成后,点击保存。
图4-50 配置策略内容
此功能针对FTP类型通道,对FTP上传文件类型进行过滤。
同FTP可下载文件类型一样。
此功能针对FTP类型通道,对FTP删除文件类型进行过滤。
同FTP可下载文件类型一样。
此功能针对FTP类型通道,对FTP下载文件大小进行过滤。
(1) 选择<FTP可下载文件大小>,点击<+>,新增策略集。
图4-51 配置FTP可下载文件大小策略集
表4-13 FTP可下载文件大小策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:ftp允许下载文件上限 |
配置完成后不允许修改,只能删除重新配置; 这个策略没有白名单; |
(2) 选中策略集,点击<+>,添加策略。
图4-52 为策略集配置策略项
输入完成后,点击保存。
图4-53 配置策略内容
注:设置FTP可下载文件大小时,策略内容为输入文件大小(数字),下方选择大小单位。
· 单位不同,数值可相同,数值大小不验重
此功能针对HTTP/HTTP PROXY类型的通道,对传输的URL进行过滤。
(1) 定义策略集。选中<策略管理>中的< HTTP>,下拉选择<HTTP URL>,点击<+>按钮,新增策略集。
图4-54 配置策略集
表4-14 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的URL 白名单:即允许通过的URL |
配置完成后不允许修改,只能删除重新配置 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加URL。
图4-55 为策略集配置策略项
输入完成后,点击保存:
图4-56 配置策略内容
表4-15 策略参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略项名称 |
|
|
策略内容 |
设置URL对象 |
应用于http通道时,策略内容url不包含主机名,如https://www.baidu.com/wenku.html,策略内容不能包含https://www.baidu.com。 应用于http proxy通道时,策略内容可以为url全部或部分。 |
此功能针对HTTP/HTTP PROXY类型的通道,对HTTP响应内容类型进行过滤。
(1) 选择<HTTP响应内容类型>,点击<+>,新增策略集。
图4-57 配置策略集
表4-16 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过的HTTP响应内容类型(例如:text/html) 白名单:即允许通过的HTTP响应内容类型 |
配置完成后不允许修改,只能删除重新配置 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加响应内容类型。
图4-58 为策略集配置策略项
输入完成后,点击保存。
图4-59 配置策略内容
表4-17 策略参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略项名称 |
|
|
是否自定义 |
选择是否自定义HTTP响应内容类型 |
自定义选项时,内容类型格式为大写英文加上/的形式,如:“TEXT/CSS” |
|
策略内容 |
选择HTTP响应内容类型 |
下拉框中已有许多类型,如不足;可自定义填写(注意如自定义,那服务器中必须存在此类型) |
此功能针对HTTP/HTTP PROXY类型的通道,对HTTP网页内容进行过滤。
(1) 点击选中<HTTP响应内容敏感词>,点击<+>,新增策略集。
图4-60 配置策略集
表4-18 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过网闸访问含有敏感词的http响应内容 |
采用模糊匹配方式 |
(2) 选中策略集名称,点击<+>,新增策略并保存。
图4-61 配置策略内容
注:策略内容(例如:H3C),则不允许通过网闸访问含有<H3C>的http响应内容
此功能针对HTTP/HTTP PROXY类型的通道,对HTTP请求方法进行过滤。
(1) 选中<HTTP请求方法>,点击<+>,新增策略集。
图4-62 配置策略集
表4-19 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许通过网闸通过策略里面设置的请求方法(使用不允许的请求方法,没有任何形式的返回信息) 白名单:即只允许通过网闸通过策略里面设置的请求方法 |
配置完成后不允许修改,只能删除重新配置 |
(2) 选中策略集,点击<+>,新增策略(内容只能选择,不可以自定义)并保存。
图4-63 配置策略内容
HTTP策略新增HTTP请求内容正则过滤,不支持代理通道
(1) 选择<HTTP类型>,点击<+>,新增策略集。
图4-64 配置策略集
(2) 选择<http请求内容正则过滤类型>,勾选策略集,再点击<+>,添加策略。
图4-65 配置策略内容
此功能针对HTTP类型的通道,对HTTP请求Content-Length最大值限制进行过滤。
(1) 定义策略集。选中<策略管理>中的<HTTP>,下拉选择<HTTP请求Content-Length最大值限制>,再点击<策略集>中的<+>按钮。
图4-66 新建HTTP请求Content-Length最大值限制策略集
表4-20 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即只允许通过网闸通过策略里面设置的HTTP请求Content-Length最大值限制 |
这个策略没有黑名单; |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加。
图4-67 为策略集配置策略项
输入完成后,点击保存:
图4-68 配置策略内容
此功能针对HTTP类型的通道,对HTTP响应Content-Length最大值限制进行过滤。
(1) 定义策略集。选中<策略管理>中的<HTTP>,下拉选择<HTTP响应Content-Length最大值限制>,再点击<策略集>中的<+>按钮。
图4-69 新建HTTP响应Content-Length最大值限制策略集
表4-21 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即只允许通过网闸通过策略里面设置的HTTP响应Content-Length最大值限制 |
这个策略没有黑名单; |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加。
图4-70 为策略集配置策略项
输入完成后,点击保存:
图4-71 配置策略内容
此功能针对HTTP类型的通道,对HTTP方法/URL正则和请求体进行过滤。
(1) 定义策略集。选中<策略管理>中的<HTTP>,下拉选择<HTTP方法/URL正则和请求体过滤>,再点击<策略集>中的<+>按钮。
图4-72 新建HTTP方法、URL正则和请求策略集
表4-22 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:不允许通过网闸通过策略里面设置的HTTP方法/URL正则和请求体 白名单:即只允许通过网闸通过策略里面设置的HTTP方法/URL正则和请求体 |
|
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加。
图4-73 为策略集配置策略项
输入完成后,点击保存:
图4-74 配置策略内容
此功能针对HTTP类型的通道,对HTTP自定义头部域进行过滤。
(1) 定义策略集。选中<策略管理>中的<HTTP>,下拉选择<HTTP自定义头部域检查>,再点击<策略集>中的<+>按钮。
图4-75 新建HTTP自定义头部域检查策略集
表4-23 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:不允许通过网闸通过策略里面设置的HTTP自定义头部域 白名单:即只允许通过网闸通过策略里面设置的HTTP自定义头部域
|
|
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加。
图4-76 为策略集配置策略项
输入完成后,点击保存:
图4-77 配置策略内容
此功能针对邮件类型通道,如SMTP、POP3、IMAP,对发件人邮箱地址进行过滤。
(1) 选择<邮件发件人>,点击<+>,新增策略集。
图4-78 配置策略集
表4-24 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许发送邮件的邮箱地址 白名单:即仅允许发送邮件的邮箱地址 |
配置完成后不允许修改,只能删除重新配置 仅适用于SMTP类型通道 |
(2) 选中策略集,点击<+>,添加策略。
图4-79 配置策略内容
注:策略内容需要填写正确的邮箱格式。
此功能针对POP3、IMAP邮件类型通道,对收件人邮箱地址进行过滤。
配置同邮件发件人一样。
表4-25 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即不允许接受邮件的邮箱地址 白名单:即允许接受邮件的邮箱地址 |
配置完成后不允许修改,只能删除重新配置 仅适用于POP3类型通道 |
此功能针对邮件类型通道,如SMTP、POP3,IMAP,对邮件主题进行过滤。
(1) 选中<邮件主题敏感词>,点击<+>,新增策略集。
图4-80 配置策略集
表4-26 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即该邮件主题包含此类敏感词不允许发送、接受 |
配置完成后不允许修改,只能删除重新配置 此规则集类型无白名单 |
(2) 选中策略集,点击<+>。
图4-81 为策略集配置策略项
此功能针对邮件类型通道, 如SMTP、POP3,IMAP,对邮件内容进行过滤。
配置同邮件主题敏感词。
表4-27 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即该邮件正文内容包含此类敏感词不允许发送、接受 |
完成配置后,名称绑定类型,不可更改类型,但可以修改此策略集名称 |
此功能针对邮件类型通道, 如SMTP、POP3、IMAP,对邮件附件内容进行过滤。
(1) 下拉选择邮件附件内容敏感词,点击策略集下<+>,新增策略集。
图4-82 配置策略集
表4-28 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即该邮件附件正文内容包含此类敏感词不允许发送、接受 |
完成配置后,名称绑定类型,不可更改类型,但可以修改此策略集名称 |
(2) 选中指定的策略集,点击策略下<+>按钮,添加策略。
图4-83 为策略集配置策略项
表4-29 策略参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略名称 |
可以修改 |
|
策略内容 |
仅允许输入禁止邮件附件中出现的内容 |
附件内容过滤只支持txt文件,模糊匹配方式 |
邮件附件内容目前仅支持txt类型文件的内容过滤。
此功能针对邮件类型通道, 如SMTP、POP3、IMAP,对邮件附件以后缀名的方式进行过滤。
(1) 下拉选择邮件附件类型,点击策略集下<+>,新增策略集。
图4-84 配置策略集
表4-30 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即该邮件附件后缀名包含此类敏感词不允许发送、接受 白名单:即该邮件附件类型包含此类敏感词允许发送、接受,不包含的不允许发送,接受 |
完成配置后,名称绑定类型,不可更改类型,但可以修改此策略集名称 |
(2) 选中指定的策略集,点击策略下<+>按钮,添加策略。
图4-85 为策略集配置策略项
表4-31 策略参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略名称 |
可以修改 |
|
策略内容 |
仅允许输入禁止邮件附件中出现的内容 |
附件类型后缀名区分大小写 |
此功能针对SIP类型通道,只支持SIP_ 28181_TCP和SIP_28281_UDP。对sip视频格式进行过滤。
(1) 选择<sip视频格式>,点击<+>,添加新策略集
图4-86 添加SIP视频格式策略集
表4-32 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置 仅适用于SIP_ 28181_TCP和SIP_28281_UDP类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-87 添加策略
此功能针对SIP类型通道,只支持SIP_ 28181_TCP和SIP_28281_UDP。对sip信令进行过滤。
(1) 选择<sip信令过滤>,点击<+>,添加新策略集
图4-88 添加SIP信令过滤策略集
表4-33 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即仅拦截符合过滤规则的策略信令 |
配置完成后不允许修改,只能删除重新配置 仅适用于SIP_ 28181_TCP和SIP_28281_UDP类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-89 添加策略
此功能针对SIP类型通道,只支持SIP_28281_UDP。对SIP签名验签进行过滤。
(1) 选择<sip35114签名验签>,点击<+>,添加新策略集
图4-90 添加SIP签名验签策略集
表4-34 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置仅适用于SIP_ 28181_TCP和SIP_28181_UDP类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-91 添加策略
证书上传”选择文件”处只能选择不大于5kb的文件
此功能针对SIP类型通道,只支持SIP_28181_UDP。对视频云台、摄像头的操作控制命令过滤。
(1) 选择<SIP控制命令过滤>,点击<+>,添加新策略集
图4-92 添加SIP控制命令过滤策略集
表4-35 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置仅适用于SIP_28181_UDP类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-93 添加策略
此功能针对SIP类型通道,只支持SIP_28181_UDP,对SIP传输的信令内容进行过滤。
(1) 选择<SIP信令内容过滤>,点击<+>,添加新策略集
图4-94 添加SIP信令内容过滤
表4-36 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置仅适用于SIP_28181_UDP类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-95 添加策略
此功能针对SIP类型通道,只支持SIP_28181_UDP,对SIP传输的信令内容进行过滤。
(1) 选择<SIP视频点位控制>,点击<+>,添加新策略集
图4-96 添加SIP视频点位控制过滤策略集
表4-37 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置仅适用于SIP_28181_UDP类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-97 添加策略
此功能针对S7COMM类型通道,支持s7comm协议解析及黑名单读写策略。
(1) 选择<S7COMM功能码>,点击<+>,添加新策略集
图4-98 添加S7COMM功能码过滤策略集
表4-38 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置 仅适用于S7COMM类型通道 |
(2) 选中策略集,点击<+>,添加策略
图4-99 添加策略
此功能针对ACL路由模式下opc类型策略,支持opc控制点对应tag的增加操作的过滤。
(1) 选择<控制点增加>,点击<+>,添加新策略集。
图4-100 添加控制点增加过滤策略集
表4-39 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置 仅适用于acl路由模式下的opc协议类型策略 |
(2) 选中策略集,点击<+>,添加策略
图4-101 添加策略
此功能针对ACL路由模式下opc类型策略,支持opc控制点对应tag的删除操作的过滤。
(1) 选择<控制点删除>,点击<+>,添加新策略集。
图4-102 添加控制点删除过滤策略集
表4-40 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置 仅适用于acl路由模式下的opc协议类型策略 |
(2) 选中策略集,点击<+>,添加策略
图4-103 添加策略
此功能针对ACL路由模式下opc类型策略,支持opc控制点对应tag的点读操作。
(1) 选择<控制点读控制>,点击<+>,添加新策略集。
图4-104 添加控制点读控制过滤策略集
表4-41 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置 仅适用于acl路由模式下的opc协议类型策略 |
(2) 选中策略集,点击<+>,添加策略
图4-105 添加策略
此功能针对ACL路由模式下opc类型策略,支持opc控制点对应tag的点写操作。
(1) 选择<控制点写控制>,点击<+>,添加新策略集。
图4-106 添加控制点写控制过滤策略集
表4-42 策略集参数说明
|
参数 |
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
|
过滤类型 |
白名单:即仅允许符合过滤规则的策略通过 黑名单:即仅允许不符合过滤规则的策略通过 |
配置完成后不允许修改,只能删除重新配置 仅适用于acl路由模式下的opc协议类型策略 |
(2) 选中策略集,点击<+>,添加策略
图4-107 添加策略
策略定义完后并不是对所有通道都生效。必须要将其挂载到需要做过滤的监听通道上才会起作用。并且策略类型和通道类型是相对应的,比如HTTP的策略只能挂载到HTTP类型的通道上;FTP类型的策略只能挂载到FTP类型的通道上;邮件类型的策略只能挂载到邮件类型的通道上,如SMTP、POP3、IMAP。仅<客户端地址>策略可以挂载到除(sip_28181_tcp/sip_db33/sip_28181_udp/opc/modbus/interconn/h323_q931/h225_ras/S7COMM)所有类型通道上。
图4-108 为通道挂载策略
过滤类型分黑名单、白名单两种。白名单控制机制,仅允许和策略内容相符的信息通过,其它都不允许通过黑名单控制机制,只要和策略内容相匹配,都禁止通过,其它都允许通过。每一条通道就相当于一个独立的服务。
在一条通道上,某一策略集类型只允许一种过滤类型。若一条通道上需要挂载同一个策略集类型的若干个策略集,要么全部挂载白名单类型策略集,要么全部挂载黑名单类型策略集,不允许既有白名单类型又有黑名单类型。
通道是网闸的基本策略。任何穿过网闸的应用都必须通过通道来实现。每一条通道相当于一个应用。当然,有些应用协议比较复杂,可能需要多条通道来实现。以内到外的访问举例,内网访问源(客户端)只能访问到网闸内端系统的IP1,而外网服务端的地址IP2和端口PORT2对于内网访问源来说是路由不可达。准确的说,是TCP/IP协议无法到达的。网闸通道,就是将外网服务端IP2和PORT2映射到内端系统IP1的某一个端口PORT1上,构成一对一的映射关系。当内网客户端访问IP1上的PORT1时,就好像在外网直接访问IP2上的PORT2服务一样。外到内的访问也类似,不再举例。
图4-109 网闸内外端系统
1. 网闸配置的方向是指TCP层访问方向。当两边连接建立起来后,其上层应用数据是可以双向传输的。
(1) 点击<通道管理>
图4-110 通道管理页面
(2) 点击<+>,添加新的应用通道,参数配置如下表。点击保存并启用可直接启用通道,点击保存可保存通道,需要手动启用。
图4-111 通道配置
|
参数 |
说明 |
注意事项 |
|
类型 |
共有TCP、UDP、HTTP、HTTP_PROXY、FTP、ORACLE、SMTP、POP3、SIP-28181-UDP、SIP-28181-TCP、SIP-DB33、RTSP、MODBUS、OPC、IMAP、ORACLE_RAC、H323_Q931、SIP_XINCHAN、MYSQL、ORACLE_SHARED、GAT_1400、H255_RAS、INTERCONN、S7COMM、DNP3_TCP这几种协议。配置应用时请选择对应协议类型 |
HTTP_PROXY为HTTP代理功能,靠近服务器的那一端系统需要设置DNS(参考DNS配置),并且客户端的浏览器必须设置代理模式,其代理地址为通道监听IP地址,代理端口为通道监听端口 |
|
通道方向 |
客户端访问服务器的方向:监听通道、连接通道 |
客户端在内端机一侧,内端机配置监听通道,外端机配置连接通道 客户端在外端机一侧,外端机配置监听通道,内端机配置连接通道 |
|
端口类型 |
通道的端口类型 |
端口段类型监听端口需与目的端口一致 |
|
连接数限制 |
连接数限制 |
可以限制连接的个数,默认是0不限制,根据通道类型与机器内存限制连接数,不同类型的通道连接数限制不一样,端口与端口段都生效 |
|
流速限制 |
流速限制 |
可以限制流量的速度,默认0代表无限速 |
|
监听地址 |
网闸内/外端机映射的接口IP |
任意两条通道的监听地址和监听端口,不允许完全相同。即同一个源机IP和源机端口的组合只能映射一个服务。 |
|
监听端口 |
网闸内/外端机映射的服务端口 |
|
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
|
监听端口段 |
端口段模式下监听端口和目的端口范围 |
端口段类型配置时,以“,:”分隔的段数不能超过15位 |
|
空闲超时时间 |
链接超时时间设置 |
设置为0S时,不检测 |
|
是否检查连接状态 |
是否检查连接状态 |
开启或者关闭检查连接状态 |
|
可访问时间段 |
可以设置通道允许访问的时间段,在可访问时间段内进行传输,通道正常使用无变化; 在不可访问时间段内进行传输,通道不能正常使用,如同黑名单策略,通道不能进行传输 |
不在访问时间段传输的通道,传输动作不记入日志,无应用日志。 |
|
连接地址 |
网闸靠近服务端的IP地址。重新封装数据包时,以此IP作为源地址 |
若网闸到服务端不在同一网段,并且多个网口设置了不同网段的IP。请选择正确出口IP,避免服务器返回的报文因没有回址路由而丢失。 |
|
策略集 |
选择通道挂载的策略 |
一条通道上,相同类型的策略只能挂载同一种过滤类型的策略集 |
|
备注 |
备注信息 |
|
(3) 选中通道ID勾选框,并点击左上方的<启用>或<停用>按钮,即可启动或停止通道服务,如下图。
图4-112 通道管理
说明:图上符号依次代表:添加、修改、删除、刷新、启用、停用、下载通道、上传通道。
详细下方对应的蓝色“i”图标,可查看通道详细配置。
策略集:一个通道上可挂载多个策略做进一步的应用层过滤,或者对访问源IP地址进行限制。如果把通道比作通往另一端服务的管道,那么策略集就好像管道中的过滤网,用来过滤非法访问及数据传输。关于策略集配置将在下一段做详细介绍。
通道添加完毕后会默认开启服务。每一条通道就相当于一个独立的服务。
编辑或删除通道前,必须先将通道停用。
编辑完毕后,需要启用通道才能使用。
通道TCP、UDP、FTP、HTTP、GAT_1400、SMTP、POP3和IMAP类型通道可使用IPv6,其他通道不支持IPV6;
端口段支持客户端地址策略。
使用ipv6通道,支持端口段。
端口段类型配置时,以“,:”分隔的段数不能超过15位。
端口段类型通道,不记录应用日志。
UDP类型通道,只记录拒绝的应用日志。
网闸默认不主动释放连接,若有业务存在客户端不释放连接的情况,需根据业务情况配置通道空闲超时时间,在连接无数据传输时,网闸主动释放连接。否则会导致连接不释放占用系统并发连接,影响业务使用
Rtsp通道同时支持tcp流和udp流
连接状态指示灯灰色表示不支持或者未开启检查连接状态,红色表示服务端口异常,绿色表示服务端口正常
默认是不限制连接的数,如果填写连接数请注意连接个数
FTP应用通道在配置时只需要配置控制连接端口(21),数据传输端口由网闸自动协商,不需要额外配置通道。
设置指定连接数的阈值,达到阈值向指定邮箱发送邮件,已示提醒。
(1) 输入连接阈值数、邮件告警周期;勾选邮件告警类型、勾选是否发送告警邮件;填写收件人邮件账号、发件人服务器地址、发件人邮箱账号发件人邮箱密码
设置完毕后,可以点击“邮件测试”按钮,查看告警是否设置成功。
在内外端机上添加要同步的服务器目录对象
(1) 点击<+>按钮开始添加传输目录对象
图4-113 共享目录管理
(2) 点击<+>按钮后,弹出配置窗口:
图4-114 添加SMB共享目录配置
图4-115 添加NFS共享目录配置
图4-116 添加FTP共享目录配置
图4-117 添加SFTP共享目录配置
|
参数 |
说明 |
注意事项 |
|
共享类型 |
选择传输方式:samba、nfs、sftp、ftp |
ftp不支持双向传输 NFS的windows ipv6不支持 |
|
协议版本号 |
可选择协议版本,默认自动选择 |
仅限SMB、NFS |
|
ftp编码格式 |
可选择编码格式 |
仅限FTP |
|
IP |
从网闸内端机/外端机所要连接服务器的IP地址 |
/ |
|
端口 |
服务器监听端口 |
Smb默认端口:445 Nfs默认端口:111 Sftp默认端口:22 ftp默认端口:21 |
|
共享目录 |
服务器的目录名称 |
结合各个服务器实际目录填写 |
|
同步目录 |
位于共享目录下的子目录名称 |
Nfs 无需填写同步目录 |
|
共享账号 |
服务器所在的用户账号 |
NFS无共享账号 |
|
密码 |
服务器所在的用户密码 |
NFS无密码设置 |
(3) 输入完成配置后,先点击<测试链接>按钮,测试服务器上的传输目录是否与网闸链接畅通
图4-118 添加SMB共享目录配置
(4) 如果测试 连接成功,则显示:
(2) 测试成功详情配置
(5) 不成功,则会显示:
测试失败详情配置
· 如果内外端机所要连接的服务器不在一个网络里,那么内外端机所对应的服务器是分开测试的,即内端机所对应的服务器,测试连接只能测试与内端机的连接是否畅通,外端机亦然;也就是不可用内端机的测试连接去连外端机服务器,反之同样。
· 测试连接不通,则必然文件同步传输不成功,所以建立文件同步任务之前,务必请测试连接成功
(6) 在输入配置和测试连接完成后,点击<保存>按钮退出
共享目录添加成功配置
(7) 实例模拟:
图4-119 SMB目录配置
图4-120 NFS目录配置
图4-121 Sftp目录配置
图4-122 FTP目录配置
文件特征库管理是通过检测文件的类型特征码再加上自定义的名字类型标记,用以配合策略使用。
图4-123 文件特征库配置
(1) 在“类型名称”中输入正确格式的名称(可以输入任何英文字符但不能超出32位同时不能输入空格):
添加配置
(2) 点击“选择文件”按钮,浏览本地资源,选择上传文件。
上传特征库文件配置
(3) 点击“生成特征码”按钮后,生成“样本文件名”和文件特征码”生成。
文件特征码生成配置
(4) 点击“保存”按钮退出,显示保存成功。
添加成功状态显示配置
图4-124 添加成功配置
只能上传小于50M的文件
文件后缀名过滤是通过检测文件的后缀名,用以配合策略使用。
(1) 点击<+>按钮添加文件后缀名:
添加文件后缀名配置
(2) 点击<+>按钮后,弹出配置窗口:
添加策略配置
(3) 保存配置后,如图:
图4-125 添加成功配置
文件内容过滤是通过检测txt、doc、docx、xls、xlsx类型文件中的内容用以配合策略来使用的
(1) 在“过滤内容”中点击<+>按钮。
图4-126 添加文件内容过滤配置
(2) 弹出输入框,输入内容。
图4-127 添加策略内容配置
文件大小过滤是限定文件大小范围的策略操作。
(1) 点击<文件大小过滤管理>-,点击<+>按钮。
图4-128 添加文件大小过滤配置
(2) 选择限制类型、文件单位,输入文件大小。
图4-129 添加策略内容配置
(3) 点击保存,完成配置
图4-130 策略添加成功配置
配置文件同步任务
(1) 进入文件同步“同步任务管理”,点击<+>按钮,进入任务配置。
图4-131 添加同步任务配置
(2) 填写任务ID。
图4-132 添加任务ID配置
(3) 填写任务名称。
图4-133 添加任务名称配置
(4) 设认置扫描间隔时间(一般默认)。
图4-134 添加扫描间隔时间配置
(5) 进入任务配置后设置扫描时间。
图4-135 设置扫描时间配置
(6) 进入任务配置后选择同步方向。
图4-136 选择同步方向配置
(7) 选择传输关系。
图4-137 选择传输关系配置
(8) 选择勾选“是否删除文件”,相当于移动传输模式,勾选后传输完成,源端文件删除。
图4-138 选择文件传输方式配置
(9) 在已勾选“是否删除源文件”选项后,出现新选项“是否删除源目录”,如勾选后可将指定源目录删。
图4-139 选择配置
(10) 当勾选“是否删除原目录”选项后,出现新选项“保留目录层数”,可填写保留目录层数。
图4-140 添加目录层数配置
移动源端模式下,勾选是否删除源目录,同时弹出保留目录层数输入框,填写要保存的层数,注意目录的权限问题
(11) 选择勾选“是否同步删除”,在复制模式下,源端一文件被删除,目的端同步删除此文件。
图4-141 选择文件传输方式配置
(12) 选择勾选“是否开启病毒扫描”,勾选后可对传输文件进行病毒扫描在已勾选“是否开启病 毒扫描”选项后,出现新选项“是否删除病毒文件”,如勾选后可将扫描出的病毒文件自动删除。
图4-142 选择配置
(13) 文件冲突是否解决,可配置文件冲突解决策略(覆盖、重命名、忽略)
图4-143 选择配置
(14) 保留文件历史版本,可配置版本控制策略(保留几个历史版本)。
图4-144 文件历史版本配置
(15) 设置优先级。
图4-145 优先级配置
(16) 勾选内/外端机传输目录对象。
图4-146 传输目录对象配置
(17) 选择所采取的文件类型策略(过滤模式):
图4-147 文件类型策略配置
图4-148 勾选要使用的策略中所采取的类型。
(18) 文件后缀名策略:
图4-149 文件后缀名策略配置
(19) 勾选要使用的策略中所采取的类型。
图4-150 勾选策略配置
(20) 文件内容策略:
图4-151 文件内容策略配置
图4-152 勾选要使用的策略:
(21) 文件大小过滤。
图4-153 文件大小过滤配置
图4-154 勾选要使用的策略。
(22) 点击<保存>按钮退出,任务创建完毕:
图4-155 任务创建成功详情显示配置
(23) 点击<保存>退出,任务创建,点击<启动>传输文件:
图4-156 启动文件同步配置
(24) 勾选一个任务,点击<显示详细>,可以看到任务配置详情。
图4-157 任务配置详情
(25) 此时点击<隐藏详细>或点击右上角关闭按钮,可退出任务详情。
文件同步任务最多只能建60个
文件同步支持跨协议传输
文件同步支持ipv6 (除windows下nfs)
共享目录及同步目录不支持带空格的文件夹名
支持全角字符。按Windows限制执行
文件冲突和保留历史版本策略都是接收端策略,只在接收端配置并且只在接收端生效
勾选保留历史版本策略后,出现的文件带有独特的后缀名
在任务启动的过程中显示传输中的进度状况。
图4-158 文件传输状态显示
mysql5.0.2/5.5.60/5.7/8.0
oracle10g/11g/12c(CDB)
DB2 9.7/V11.1.2020.1393
sql server 2005/2008R2
GBASE 8
postgreSQL 8/10
kingbase V8R6(V8R3以上版本)
DM 8
将网闸内外端数据库进行同步,实现内、外网之间,自动安全信息交换。
此功能需要License授权。
添加网闸内外网需要同步的数据库连接方式。可进行测试连接和强制删除操作。
(1) 选择内端机的步数据库配置
图4-159 内网同步数据库的配置页面
(2) 点击<+>新增节点
图4-160 新增内网同步数据库
(3) 填写数据库配置
图4-161 同步数据库参数配置
表4-44 同步数据库参数说明
|
说明 |
|
|
节点ID |
内外端节点ID必须一致 |
|
描述 |
填写该配置描述信息 |
|
数据库类型 |
选择配置数据库 可选择:Mysql类型、Oracle类型、Db2类型、Sqlserver类型、KingbaseES类型、DM类型、Gbase类型、PostgreSQL类型 |
|
数据库地址 |
使用数据库地址 |
|
数据库端口 |
使用数据库端口 |
|
数据库名称 |
使用database |
|
数据库用户名 |
使用数据库用户(具有dba和远程连接权限) |
|
数据库用户密码 |
使用用户密码 |
|
Jdbc参数 |
Mysql的jdbc参数可选择配置;Sqlserver数据库同步时,同步表中涉及date、time等时间字段时,需添加Jdbc参数:sendTimeAsDateTime=false |
|
大字段病毒检测 |
开启大字段病毒检测后当前节点下需要同步到对端的所有数据都需要进行病毒的检测,检测的条件是每一列数据都进行病毒检测,且检测病毒的列数据要满足一定条件才会检测 |
图4-162 填写同步数据库参数
(4) 点击测试连接,是否可以连接到数据库
图4-163 测试数据库连接
(5) 测试连接成功后,点击保存按钮。
图4-164 查看配置完成的同步数据库
内端机节点创建成功。
(6) 外端机节点创建步骤与内端机相同
(7) 数据库创建后的测试连接
图4-165 点击测试连接
(8) 强制删除功能
页面右上角勾选强制删除功能,显示强制删除按钮。
图4-166 勾选强制删除
点击需要强制删除的数据库,确认即可强制删除数据库配置。
图4-167 点击强制删除
数据库同步内外端最多各支持配置20个。
强制删除功能会导致数据库中存在残留配置,仅限网闸与数据库无法正常连接时使用,正常情况下通过网闸正常删除即可。
强制删除功能会导致数据库同步服务重启,在一侧强制删除后需要等待重启完成后才能继续进行操作,否则可能导致配置下发混乱,连续强制删除操作之间间隔一分钟。
强制删除功能需要内外端数据库成对使用,不能只删除一端数据库。
Sqlserver数据库同步时,同步表中涉及date、time等时间字段时,需添加Jdbc参数:sendTimeAsDateTime=false
数据库同步之前要有主键
数据库字段在不区分大小写的情况下,不可以相同
sql server数据库不支持sql_variant类型字段,存在时查询表会报错
将网闸内、外网需要进行同步的数据库进行关联。
(1) 点击<+>添加数据库关联
图4-168 添加数据库关联
(2) 选择待使用内端机数据库,选择待使用外端机数据库
图4-169 选择内、外端关联数据库
(3) 选择同步方式
图4-170 选择同步方式
(4) 点击保存
图4-171 保存关联数据库配置
(5) 数据库关联创建成功
图4-172 查看已配置的关联数据库
同步方式包含增量同步和历史同步。
增量同步:默认是增量同步。
历史同步:同步准则包括以同步方向源表为标准和以同步方向目的表为准两种方式;
以同步方向源表为标准:当源端和目标端数据主键冲突时,源端表数据覆盖目标端数据;
以同步方向目的表为准:当源端和目标端数据主键冲突时,目的端表数据不改变。
(1) 添加数据库关联配置
选择关联的数据库,点击<同步方式>添加
图4-173 添加数据库同步方式
图4-174 选择增量同步方式
图4-175 选择历史同步方式
配置添加内、外网数据库中的需要进行同步的表。
(1) 添加同步表配置
选择关联的数据库,点击<+>添加
图4-176 添加关联数据库的同步表
点击查询源表按钮和查询目的表按钮,查询内外端数据库中的表,选择同步配置。
Oracle/DB2/Sqlserver/kingbase/PostgreSQL/DM需填写schema进行过滤,schema必须为大写。
图4-177 查询源表和目的表
(2) 配置完成后,点击保存,查看已配置的同步表管理。
图4-178 查看已配置的同步表管理
(3) 修改同步表配置
选中同步表点击修改。
图4-179 修改同步表配置
当关联任务启动时,禁止修改同步表,需要先停止关联任务。
图4-180 关联启用时同步配置
可进行修改同步方向、同步配置。
图4-181 修改同步方向、同步配置
l 同步表添加后可以修改表的同步方向,同步配置,如有主外键表,则要先修改主表且表配置必须一致
数据库同步之前要有主键
l 数据库字段在不区分大小写的情况下,不可以相同
l sql server数据库不支持sql_variant类型字段,存在时查询表会报错
l 数据库的 库名 表名 列名应遵从数据库命名规范:1)采用26个英文字母(区分大小写)和0-9的自然数(经常不需要)加上下划线'_'组成,命名简洁明确,多个单词用下划线'_'分隔,2)全部小写命名,禁止出现大写,3)禁止使用数据库关键字,如:name,time ,datetime,password等,4)数据库不支持使用truncat进行清空表或者截断表同步
表4-45 同步表配置参数说明
|
参数 |
说明 |
注意事项 |
|
内端表 |
自动查询内端表,并选择要同步的数据表 |
|
|
内端schema |
根据数据库类型选择对应的schema约束限定为指定的数据库;Oracle/DB2/Sqlserver/kingbase/PostgreSQL/DM配置同步时,需要使用正确的schema |
|
|
外端schema |
根据数据库类型选择对应的schema约束限定为指定的数据库;Oracle/DB2/Sqlserver/kingbase/PostgreSQL/DM配置同步时,需要使用正确的schema |
|
|
外端表 |
数据库关联后,自行查询外端表,并选择要同步的数据表 |
|
|
自定义列同步 |
一个表有很多列,指定一些列进行同步。 勾选自定义列同步之后会显示出内外端表的字段列,可以自由选择同步的列 |
添加同步表时两端表字段名或者类型不同时必须要选择自定义列同步,同步方式为历史同步时也必须要选择自定义列同步; 同种数据类型之间可以自由选择同步列(单向同步时源表列字段设置的有效长度要小于或等于目标表字段设置的有效长度,双向同步时字段有效长度必须相等) |
|
自定义列同步-自定义过滤策略 |
对一个列使用策略判断,满足过滤条件的所在整行数据不进行同步,不满足条件的数据进行同步 |
|
|
自定义条件同步 |
对一个列使用条件过滤,满足条件正常同步,不满足所在整行数据不进行同步(无日志记录) |
使用者可以自定义内外端触发器条件,选择列下拉框可以显示出该端表的列,之后选择条件,最后在“值”里面输入自己的条件值(若选择的列是字符类型的,此处需要加单引号) |
|
同步条件 |
只有满足条件的数据操作才会同步 |
|
|
表冲突决策 |
主键检查决策:表示仅使用主键来检测冲突。如果存在具有相同主键的行,则在更新或删除期间不会检测到冲突。更新和删除行仅使用主键列进行解析。如果在插入期间已经存在行,则检测到冲突。 被改变的数据监测(已更改数据检测):表示将使用主键加上源系统上已更改的任何数据来检测冲突。如果目标系统上存在与源系统上已更改列的旧值相同的行,则在更新或删除期间不会检测到冲突。如果在插入期间已经存在行,则检测到冲突。(如数据中包含主键,则会将定义的主键和已更改数据同时作为检测判断依据)。 旧值(旧数据值检测):表示所有旧数据值都用于检测冲突。旧数据是更改之前源系统上的行的数据值。如果目标系统上存在与源系统上相同的旧值的行,则在更新或删除期间不会检测到冲突。如果在插入期间已经存在行,则检测到冲突。(如数据中包含主键,则会将定义的主键和旧数据值同时作为检测判断依据)。 时间截(时间戳列检测):指示主键加上时间戳列“date”将指示是否发生冲突。如果目标时间戳列不等于旧的源时间戳列,则检测到冲突。如果在插入期间已经存在行,则检测到冲突。 您必须要指定时间戳的列的名称,如“date”。(如数据中包含主键,则会将定义的主键和时间戳列同时作为检测判断依据,时间类型:date、datetime)。 版本(版本列检测):表示主键加上版本列“version”将指示是否发生冲突。如果目标版本列不等于旧的源版本列,则检测到冲突。如果在插入期间已经存在行,则检测到冲突。 您必须要指版本号的列的名称,如“version”。(如数据中包含主键,则会将定义的主键和版本列同时作为检测判断依据,版本类型:int、number)。 |
表冲突决策只对增量同步的表生效,不支持对历史同步的表生效 |
|
表冲突决策机制 |
手动解决:当检测到冲突时,批处理将保持错误,直到发生手动干预。插入想要插入的值,或者选择忽略。 软件自主判断:表示当检测到冲突时,系统应自动应用更改。如果源操作是插入,则将尝试更新。如果源操作是更新并且该行不存在,则将尝试插入。如果源操作是删除并且该行不存在,则删除将被忽略。 忽略:表示当检测到冲突时,系统应自动忽略传入的更改。 比较:表示当检测到冲突时,源或目标将根据哪一方具有较新的“时间戳”或较高的“版本号”而获胜。(冲突决策“比较”机制只有选择时间戳时才可选择) |
当前关联下的一条数据冲突之后,如果不进行处理,那么当前关联下的同步任务不会再继续进行,需要等到冲突解决之后才会进行。各个关联之间互不干扰 |
冲突检测是确定插入、更新或删除是否由于目标数据行与插入/更新/删除之前的源数据不一致而处于“冲突”状态的行为。在没有任何覆盖配置的情况下,系统默认使用 “主键” 检测和 “软件自主判断” 解决。
冲突分为 2 个关键部分:
检测 - 如何在目标加载数据时检测冲突。
解决方案 - 当一行发生冲突时,在目标加载时如何处理它
在配置同步表时可选择“表冲突策略”,如果使用主键列进行更新,在插入过程中已经存在一行,则会产生主键冲突。选择“主键检查决策”时,可解决主键冲突。
图4-182 选择主键检查决策
选择“被改变的数据”时,如果源端和目标端有相同数据,只更改源端数据不更改目标端数据,不会产生冲突,会直接同步到目标端;如果先修改目标端,再修改源端,目标端修改后存在的行没有与源端修改的列旧值(修改之前)相同,会产生冲突。
图4-183 选择被改变的数据
选择“旧值”时,表示所有旧数据值都用于检测冲突。旧数据是更改之前源系统上行的数据值。如果目标系统上存在与源系统上的旧值相同的行,则在更新或删除期间不会检测到冲突。如果插入期间已存在行,则检测到冲突。
图4-184 选择旧值
选择“时间戳”时,如果同步数据和目的端数据的时间戳列存在冲突,则会进行比较,选择最新的时间。
图4-185 选择时间戳
选择“版本”时,表示主键加上版本列是否发生了冲突。如果目标版本列不等于旧源版本列,则检测到冲突。如果插入期间已存在行,则检测到冲突
图4-186 选择版本
当检测到冲突时,批处理将保持错误,直到发生手动干预。插入想要插入的值,或者选择忽略。
软件自主判断
当检测到冲突时,系统应自动应用更改。 如果源操作是插入,则将尝试更新。 如果源操作是更新并且该行不存在,则将尝试插入。 如果源操作是删除并且该行不存在,则将忽略删除。
当检测到冲突时,系统应自动忽略传入的更改。
此解决机制是时间戳以及版本独有的,系统会以最新时间或者最大的版本的数据为准,更新旧的时间或者版本的数据。
图4-187 查看表冲突解决机制
图4-188 查看表冲突解决机制:比较
l 表冲突决策只对增量同步的表生效,不支持对历史同步的表生效
显示所有待处理的冲突解决机制为手动解决的冲突数据,自主选择手动修改冲突数据或忽略冲突。
(1) 选择数据库同步中的冲突数据解决,查看冲突数据解决
图4-189 查看冲突数据解决
(2) 当解决方式选择手动输入时,可手动输入数据进行修改。
图4-190 手动修改数据
(3) 数据修改完成后,点击保存后处理状态变成“正在处理”
图4-191 修改数据保存
(4) 解决方式选择“忽略”
图4-192 查看处理状态
图4-193 忽略冲突数据
(5) 点击保存
图4-194 保存
勾选自定义列同步之后会显示出内外端表的字段列,可以自由选择同步的列
点击菜单<同步表配置>进行添加。
图4-195 查看自定义同步配置
添加同步表时两端表字段名或者类型不同时必须要选择自定义列同步,同步方式为历史同步时也必须要选择自定义列同步;
同种数据类型之间可以自由选择同步列(单向同步时源表列字段设置的有效长度要小于或等于目标表字段设置的有效长度,双向同步时字段有效长度必须相等)
自定义条件同步可以自己设置同步条件,只有满足条件之后数据才会同步,否则数据不会同步。
使用者可以自定义内外端触发器条件,选择列下拉框可以显示出该端表的列,之后选择条件,最后在“值”里面输入自己的条件值(若选择的列是字符类型的,此处需要加单引号)
点击菜单<同步表配置>进行添加。
图4-196 查看自定义条件同步配置
内外端表状态会显示表是否正常,检测机制包括数据库连通性、数据路由功能、触发器状态,触发器路由,只有在所有条件都满足的状态下同步表状态显示为正常,同步功能才可以使用。
点击菜单<同步表>进行查看。
图4-197 查看数据库同步配置内、外端状态
数据库同步支持ipv6。
数据表出现错误时,可通过重启数据表来修复。
这个页面是策略管理界面,增删改查所有可以使用的策略,如果策略已经在使用了,就不能删除和修改,如果策略已经存在不能添加
(1) 点击菜单<数据库同步配置策略管理>。
图4-198 查看数据库同步配置策略管理
(2) 点击”+”进行添加同步策略
图4-199 添加数据库同步策略
(3) 进入添加策略内容
图4-200 添加策略内容
(4) 选择策略类型“正则过滤”
图4-201 选择策略类型
(5) 输入内容保存
图4-202 保存
(6) 该条记录显示在数据库同步策略管理页面
图4-203 策略管理界面
(7) 点击<删除>按钮即可删除选择的记录
图4-204 删除
该日志显示系统资源使用情况,包含CPU、内存、磁盘等占用量信息。
(1) 点击<系统资源信息>菜单,进入查询页面,默认显示内端机系统资源信息。
图4-205 查看内端机系统资源信息
(2) 输入IP进入外端机secrecy,查看外端机系统资源信息。
图4-206 查看外端机系统资源信息
系统连接数-通道连接数:记录每个通道的连接数变化折线图;
系统连接数-系统总连接数:显示为所有通道连接数总和的变化折线图(显示延迟2分钟左右)
(1) 点击<系统连接数>菜单,进入查询页面。
图4-207 查看通道的系统连接数
(2) 输入通道ID后,点击查询,查看对应通道的并发连接数。
图4-208 查询指定通道的系统连接数
(3) 查询系统连接总数。
图4-209 查看系统总连接数
端口段形式配置的通道不记录并发连接数。
查询、导出、删除通道连接日志以及策略匹配的结果,等级在应用日志等级中调整。
(1) 点击<应用日志>菜单,进入应用日志页面,默认显示所有应用日志
图4-210 查看应用日志
(2) 点击<日志查询>按钮,配置过滤条件,查看符合指定条件的应用日志。
图4-211 设置过滤条件筛选应用日志
可通过重置按钮清空过滤条件。
(3) 点击<导出日志>按钮,配置过滤条件,设置导出文件密码,导出所有或指定的应用日志。
图4-212 导出应用日志
可通过重置按钮清空过滤条件。
(4) 点击<删除日志>按钮,配置过滤条件,删除所有或指定的应用日志。
图4-213 删除日志
可通过重置按钮清空过滤条件。
查看应用日志必须先开启应用日志等级。
(5) 点击<日志等级设置>按钮,选择应用日志等级,并保存。
图4-214 日志等级设置
应用日志分3个级别,分别是不开启、记录被禁止的连接、记录所有连接。考虑到存储空间有限,建议仅仅在查找问题时使用该功能,平常尽可能选择不记录。
图4-215 选择应用日志等级
(6) 刷新日志
图4-216 刷新应用日志
查询、导出、删除审计管理员登录配置信息新增操作用户地址IP列信息,获取的用户地址ip 为客户机的真实地址ip ,为ipv4地址。
(1) 点击<管理操作日志>菜单,进入管理操作日志页面,默认显示审计管理员所有操作记录。
图4-217 查看管理操作日志
(2) 点击<日志查询>按钮,配置过滤条件,查看符合指定条件的管理操作日志。
图4-218 配置过滤条件筛选管理操作日志
可通过重置按钮清空过滤条件。
(3) 点击<导出日志>按钮,配置过滤条件,设置导出文件密码,导出所有或指定的管理操作日志。
图4-219 导出管理操作日志
可通过重置按钮清空过滤条件。
(4) 点击<删除日志>按钮,配置过滤条件,删除所有或指定的管理操作日志。
图4-220 删除管理操作日志
可通过重置按钮清空过滤条件。
(5) 刷新管理操作日志
图4-221 刷新管理操作日志
查询、导出、删除文件同步过程中的文件同步信息。
(1) 点击<文件同步日志>菜单,进入文件同步应用日志页面。
图4-222 查看文件同步应用日志
(2) 点击<日志查询>按钮,配置过滤条件,查看符合指定条件的文件同步日志。
图4-223 配置过滤条件筛选文件同步应用日志
可通过重置按钮清空过滤条件。
(3) 点击<导出日志>按钮,配置过滤条件,导出所有或指定的文件同步日志。
图4-224 导出文件同步日志
可通过重置按钮清空过滤条件。
(4) 点击<删除日志>按钮,配置过滤条件,删除所有或指定的文件同步日志。
图4-225 删除文件同步日志
可通过重置按钮清空过滤条件。
(5) 刷新文件同步日志
图4-226 刷新文件同步日志
查询、导出、删除数据库同步过程中的数据库同步信息。需要License开启数据库同步功能后才可查看。
(1) 点击<数据库同步日志>菜单,进入数据库同步应用日志页面。
图4-227 查看数据库同步应用日志
(2) 点击<日志查询>按钮,配置过滤条件,查看符合指定条件的数据库同步日志。
图4-228 设置过滤条件筛选数据库同步日志
可通过重置按钮清空过滤条件。
(3) 点击<导出日志>按钮,配置过滤条件,导出所有或指定的数据库同步日志。
图4-229 导出数据库同步日志
可通过重置按钮清空过滤条件。
(4) 点击<删除日志>按钮,配置过滤条件,删除所有或指定的数据库同步日志。
图4-230 删除数据库同步日志
可通过重置按钮清空过滤条件。
(5) 刷新数据库同步日志
图4-231 删除数据库同步日志
将开启后IDS/IPS服务生成的IDS/IPS日志,通过syslog将日志发送到监听端口,并在IDS/IPS日志界面显示日志。可通过最近一小时、最近一天、最近一周、最近一月选择最近期间的数据。提供日志查询、导出日志、删除日志功能。
(1) 点击<IDS/IPS日志>菜单,进入IDS/IPS日志页面。
图4-232 配置过滤条件筛选IDS/IPS日志
(2) 点击<IDS/IPS日志>菜单,配置过滤条件,查看符合指定条件的IDS/IPS日志。
图4-233 配置过滤条件筛选IDS/IPS日志
(3) 点击<导出日志>按钮,配置过滤条件,导出所有或指定的IDS/IPS日志。
图4-234 配置过滤条件,导出所有或指定的IDS/IPS日志
(4) 点击<删除日志>按钮,配置过滤条件,删除所有或指定的IDS/IPS日志。
图4-235 删除IDS/IPS日志
(5) 刷新IDS/IPS日志
图4-236 刷新IDS/IPS日志
该日志功能记录HA事件、网卡事件、磁盘事件日志的记录。
(1) 点击<系统事件日志>菜单,进入系统事件日志页面。
图4-237 查看系统事件日志
(2) 点击<系统事件日志>菜单,进入系统事件日志查询页面,选择完指定日期或事件类型,点击搜索,查询出系统事件日志。
图4-238 查询系统事件日志
(3) 点击<系统事件日志>菜单,进入系统事件日志导出页面,选择导出日志条件,自定义密码,导出日志。
图4-239 导出系统事件日志
(4) 点击<系统事件日志>菜单,进入系统事件日志查询页面,选择完指定日期或事件类型,点击搜索,删除出系统事件日志。
图4-240 删除系统事件日志
(5) 刷新系统事件日志
图4-241 刷新系统事件日志
该日志功能记录ACL控制的记录。日志分3个级别,分别是不记录、记录被禁止的连接、记录所有连接。考虑到存储空间有限,建议仅仅在查找问题时使用该功能,平常尽可能选择不记录
(1) 点击<ACL日志>功能,进入查询页面:
图4-242 查询ACL日志页面
(2) 点击<日志查询>按钮后,选择完指定日期后,点击搜索,查询出ACL日志
图4-243 查询ACL日志页面
(3) 点击<导出日志>按钮,选择导出日志条件,导出日志
图4-244 导出ACL日志页面
(4) 点击<删除日志>按钮,选择完指定日期或事件类型,点击<删除>,删除ACL日志
图4-245 删除ACL日志页面
(5) 日志等级分3个级别,分别是不开启、记录被禁止的连接、记录所有连接。考虑到存储空间有限,建议仅仅在查找问题时使用该功能,平常尽可能选择不记录
图4-246 全局日志等级设置页面
(6) 点击刷新按钮,实时刷新日志内容信息
图4-247 刷新ACL日志页面
基于监控模式、路由模式增加对客户端IP与端口服务端IP与端口协议类型的五元组策略控制,模式选择新增:路由模式,协议类型有tcp、udp、icmp、HTTP和OPC;ACL控制页面,支持添加、修改、删除、启停ACL策略。
ACL支持配置最多2000条策略。
(1) 点击<ACL控制>进入ACL控制页面
图4-248 查看ACL控制页面
(2) 点击<+>,进行添加控制策略
图4-249 添加ACL控制
图4-250 配置ACL控制
图4-251 查看配置的ACL控制策略
ACL策略中的网卡处在监控模式下时,必须保证没有网络环路
所有通道“动作”中的“允许”与“拒绝”作为判定策略的第一先决条件,其他条件放在之后比较
移动策略位置,对应策略优先级,序号越小的策略优先级高
优先级的比较:在于同一网卡、同一协议、同一地址之间的
(3) 点击<停启按钮>,启动或者停止此策略
图4-252 查看启停用按钮
(4) 点击<停启按钮>,选择任务停止按钮,点击修改策略进行修改
图4-253 修改ACL控制通道
(5) 输入相对应的参数,点击保存
图4-254 修改ACL策略
(6) 点击<停启按钮>,选择任务停止按钮,点击删除按钮进行删除
图4-255 删除ACL控制
(7) 点击<停启按钮>,选择任务停止按钮,点击移动按钮进行移动
图4-256 移动ACL控制
(8) 输入需要移动真实存在的序号
图4-257 移动序号
(9) 点击刷新按钮,进行任务刷新
图4-258 查看ACL控制刷新
(10) 点击<允许>或<拒绝>,ACL控制允许或拒绝全局控制
图4-259 ACL策略全局控制
关于ACL全局允许解释
1)当没有策略时点击全局允许,此时监控网卡模式就和以往一样使用,此时网闸类似于一根网线,直连起了客户端与服务端,从客户端就能直接访问服务端了
2)当创建策略通道后,点击全局允许,此时除开启的策略通道中状态为“拒绝”的通道以外的所有都能被放行{包含:未创建的(以往监控模式测试方法)、关闭的通道、开启的“允许”通道}
关于ACL全局拒绝的解释
1)当使用ACL控制时,最好点击全局拒绝进行策略通道的创建;点击全局拒绝后,此时的ACL控制只针对当前创建的策略通道进行管理,也就是拒绝的通道视之为不可放行,而关闭的、未创建的 都在策略范围之外,不予考虑
对视频模块、数据库同步模块和工控模块的授权进行控制,导入和显示视频模块、数据库同步模块和工控模块的授权信息。
用于导入License,开放对应模块功能
(1) 点击<License导入>菜单,进入License导入页面
图4-260 License导入页面
点击红色字体跳转链接或者扫描二维码可以跳转到官网网闸license使用指南页面
(2) 点击<选择文件>按钮,选择License文件
图4-261 选择License文件
(3) 点击<导入License>按钮,导入License
图4-262 点击导入License
显示License模块授权信息,包括模块状态和有效时间。
(1) 点击<License模块信息>菜单,进入License功能模块页面,查看当前License状态。
图4-263 查看当前License状态
(2) 点击<同步License信息>按钮,将内端的License信息同步至外端。
图4-264 同步License信息
通过网卡、检测IP、检测端口、应用层协议解析端口的配置进行IDS/IPS服务配置,开启和关闭IDS/IPS服务的功能。提供检测IP的增删查改、检测端口的增删查改、应用层协议解析端口增删查改的功能。
(1) 点击<IDS/IPS管理>菜单,进入IDS/IPS管理页面
图4-265 查看IDS/IPS
(2) 点击<IDS/IPS管理>菜单,进入IDS/IPS管理页面,添加检测IP
图4-266 添加检测IP
(3) 输入参数,点击保存。
图4-267 添加IP和类型
(4) 点击<IDS/IPS管理>菜单,进入IDS/IPS管理页面,添加检测端口
(5) 在<检测端口>中点击<+>。
图4-268 添加检测端口
(6) 输入参数,点击保存。
图4-269 输入端口号和类型
(7) 点击<IDS/IPS管理>菜单,进入IDS/IPS管理页面,添加应用层协议解析端口
(8) 在<应用层协议解析端口>中点击<+>。
图4-270 添加应用层协议解析端口
(9) 输入参数,点击保存。
图4-271 输入应用层协议解析端口和类型
(10) 点击“保存并启动IDS/关闭IDS”按钮,开启IDS服务或停止IDS服务,点击“保存并
(11) 启动IPS/关闭IPS”按钮,开启IPS服务或停止IPS服务
图4-272 关闭IDS
图4-273 保存并启动IDS
图4-274 保存并启动IPS
图4-275 关闭IPS
(12) 点击<IDS/IPS管理>菜单,进入IDS/IPS管理页面,点击修改检测IP、检测端口、应用层协议解析端口,先勾选相关选项,在进行修改按钮。
图4-276 修改检测IP、检测端口、应用层协议解析端口
能修改相关参数,但不能修改类型
修改时保证IDS管理或IPS管理和处于关闭状态
(13) 点击<IDS/IPS管理>菜单,进入IDS/IPS管理页面,点击删除检测IP、检测端口、应用层协议解析端口,先勾选相关选项,在进行删除按钮。
图4-277 删除检测IP、检测端口、应用层协议解析端口
内端和外端操作一致
删除时保证IDS管理或IPS管理和处于关闭状态
修改当前登录用户密码和退出Web管理端。
(1) 点击界面右上角用户,弹出窗口。
图4-278 安全管理设置页面
(2) 选择窗口中的功能,进行修改密码和退出Web管理端操作。
图4-279 安全管理功能
由于H3C SecPath安全隔离与信息交换系统内端机、外端机IP地址管理配置相同,现以内端机为例。
登录内端机端在浏览器中输入http://192.168.0.1(默认管理地址)
登录外端机端在浏览器中输入http://192.168.0.2(默认管理地址)
用户名:audit
密码:audith3c
网闸默认web内端管理IP地址:https://192.168.0.1/
网闸默认web外端管理IP地址:https://192.168.0.2/
图5-1 H3C网闸审计管理端界面
表5-1 审计管理端功能介绍
|
菜单和页签 |
功能说明 |
|
|
首页 |
首页 |
通道流量显示 |
|
audit小标签下拉选项 |
修改密码 |
修改audit用户的登录密码 |
|
安全退出 |
退出当前audit用户 |
|
|
用户及权限管理 |
用户管理 |
安全管理员新增和删除,设置用户级别 |
|
安全退出 |
退出当前audit用户 |
|
|
日志管理 |
管理操作日志 |
系统管理端、安全管理端的配置管理日志信息 |
|
管理中心管理操作日志 |
管理中心的配置管理日志信息 |
|
|
日志回滚及警告 |
设置系统最小和最大日志保存数及日志告警设置 |
|
用户管理功能用于添加审计管理员,并设置其用户级别。
(1) 点击<用户及权限管理>的<用户管理>,点击左上方<+>按钮。
图5-2 添加审计管理员
(2) 点击按钮,弹出新增用户窗口,输入用户名和密码,选择用户级别。
图5-3 配置审计管理员信息
添加用户时可配置用户的一级、二级、三级级别,一级最高,三级最低。
若要使用UKEY认证功能,需要使用UKEY采集器。
本页面不同版本存在差异,请以设备实际情况为准。
用于查看菜单名称和修改菜单级别。
(1) 点击<用户及权限管理>的<菜单管理>,选择对应的菜单,点击左上方<修改>按钮。
图5-4 查看功能菜单
(2) 点击按钮,弹出设置菜单级别窗口,选择对应的级别。
图5-5 设置菜单级别
功能菜单可配置为一级、二级、三级级别,一级最高,三级最低。
管理员可访问所有菜单,并拥有对菜单打标的权限。
不同级别的用户仅可访问对应级别的菜单,例如二级用户只可访问二级和三级菜单。
默认菜单级别为一级菜单,之前已添加用户的级别为一级。
查询、导出、删除系统管理端和安全管理端的配置管理信息。
请参考安全管理端管理操作日志。
图5-6 查看管理操作日志
查询、导出、删除系统管理端和安全管理端的配置管理中心管理信息。
请参考安全管理端管理操作日志。
图5-7 查看管理中心管理操作日志
设置日志最大和最小保留条数,以及达到设置阈值后邮件告警。
(1) 点击<日志回滚及告警>菜单,进入设置页面。
图5-8 设置日志回滚及告警
(2) 配置日志回滚及告警参数,输入完成后,点击保存,参数说明如下。
表5-2 日志回滚及告警参数说明
|
功能名称 |
说明 |
注意事项 |
|
日志回滚后最小保留数(条) |
日志条数达到最大条数时,保留最近时间的日志条数 |
|
|
日志回滚阈值(条) |
日志条数达到此阈值时开始回滚,删除旧的日志 |
|
|
邮件告警阈值(条) |
日志条数达到设置条数时会发送告警邮件到设置的邮箱中 |
值要在最大和最小日志之间 |
|
是否发送告警邮件 |
是否勾选开启发送邮件 |
|
|
收件人邮箱账号 |
用于接收告警邮件的邮箱账号 |
|
|
发件人服务器地址 |
用于发送告警邮件的邮件服务器地址 |
配置为域名时需要配置内网端dns服务器 |
|
发件人邮箱账号 |
用于发送告警邮件的邮箱账号 |
|
|
发件人邮箱密码 |
用于发送告警邮件的邮箱密码 |
|
开启邮箱告警功能后,从网闸MAN口发出系统告警邮件,请确保MAN口能够和邮件服务器正常通信。
修改当前登录用户密码和退出Web管理端。
(1) 点击界面右上角用户,弹出窗口。
图5-9 审计管理设置页面
(2) 选择窗口中的功能,进行修改密码和退出Web管理端操作。
图5-10 审计管理功能
(3) 修改密码
· 问题现象:网卡绑定,无法绑定,删除或者修改,出现如下提示:
图6-1 网卡绑定失败提示页面
· 问题产生条件:
(2) HA设置中正在使用此网卡
(4) 设置ARP绑定模式时,ARP目标IP地址设置错误
(5) ACL策略中正在使用此网卡
(6) 网闸内部通信异常,请致电我公司技术支持部,进一步排错指导
· 规避措施:
(2) 取消HA监视此网卡
(3) 清空此网卡IP绑定的路由
(4) 请检查此IP是否有效
· 问题现象:路由管理,无法添加路由,并提示失败。
图6-2 路由添加失败提示页面
· 问题产生条件:
(1) 选择的网卡上没有配置IP地址
(2) 网关IP地址网段没有和所选网卡IP地址对应
(3) 网闸内部通信异常,请致电我公司技术支持部,进一步排错指导
· 规避措施:
图6-3 配置导入失败提示页面
· 问题产生条件:
(3) 网闸内部通信异常,请致电我公司技术支持部,进一步排错指导
· 规避措施:
· 问题现象:无法给正常通道添加策略,停用、启用通道等操作失败时,并提示失败。
图6-4 通道管理失败提示页面
· 问题产生条件:网闸内部通信异常,请致电我公司技术支持部,进一步排错指导
· 问题现象:FTP通道挂载可下载或者可上传敏感词策略时,不生效。
· 问题产生条件:
(1) FTP通道上追加的FTP可上传和下载敏感词策略不是txt格式类型
(2) 网闸内部通信异常,请致电我公司技术支持部,进一步排错指导
· 规避措施:使用此类型策略时,文件类型需要使用txt格式。
· 问题现象:执行重置或者重启命令时,内外端机系统无法正常启动。
· 问题产生条件:执行类似重启命令时
· 规避措施:切断电源,然后插上电源重新开机启动
注意事项是为保护用户和其它人免遭可能发生的人体伤害、财产损失或者其它损害以及如何正确、顺利地操作设备提供了重要信息,把可能发生的危害减少到最低点。
· 不要擅自拆卸或修理设备。
· 设备应远离火源或者加热器等热源,否则可能引起设备故障或不工作。
· 如果设备散发出烟雾或者任何不正常的气味,立刻采取下列措施:
1、关掉设备电源开头。
2、把电源插头从电源插座上拔掉。
3、联系我们。
· 如果设备受到重摔或者严重的电击,要立刻关掉设备,把电源插头从电源插座上拔掉。
· 用干燥的手把电源插头牢固地插进电源插座里。
· 必须使用本机所附带的电源线。
· 在使用设备时,不要使用超过电额限量的电源插座或接线工具。
· 不要把装满液体的敞口容器,如杯子放在设备附近。
· 不要让诸如订书钉、回形针等金属物进入设备内。
· 不要把物体放在设备上面遮住上面的通风孔。
· 不要使用有机溶剂擦洗设备,例如苯或稀释剂。
· 不要用湿布擦拭设备表面。
· 如无遇到特殊情况需要关闭设备时,请不要直接拔下电源。
支持
