01-正文
本章节下载: 01-正文 (5.42 MB)
H3C SecPath多级安全互联交换平台专用于隔离网络间信息交换,H3C SecPath多级安全互联交换平台是H3C利用自身的技术优势和在安全体系结构方面的研究成果,经过长期研发,推出的一种全新的、高效的、安全的网间隔离产品。
前置和后置分别是内网和外网网络协议的终点。所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离,被剥离的数据再通过数据迁移控制单元在前后置之间进行传输。前置与后置之间采用专用传输隔离硬件和专用协议相连,从而阻断了任何从一端机攻击另外一端机的可能。
为了方便网络管理员对网络设备进行操作和维护,设备提供了Web网管功能。管理员可以使用Web界面直观地管理和维护网络设备。
支持的浏览器:Google59.0.3071/Firefox 54.0.1版本以上
多级安全互联交换平台采用三权分立的用户管理机制,不同类型用户具备不同的操作权限
系统管理员(网络和系统配置):admin 密码:admin
安全管理员(安全通道配置):secrecy 密码:secrecy
审计管理员(查看所有审计日志):audit 密码:audit
图2-1 Web登录界面
图2-2 登录后:
(1)导航栏 |
(2)辅助区 |
(3)配置区 |
(4)系统信息 |
· 导航栏:以导航树的形式组织设备的Web网管功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在配置区中。
· 辅助区:提供切换用户、切换设备密码服务等Web网管功能。
· 配置区:用户进行配置和查看的区域。
· 系统信息:展示当前产品系统版本号、型号、S/N等信息。
系统管理员admin主要提供了对用户管理、安全性设置、网络配置、链路配置、系统管理、系统升级、授权导入、HA配置等功能模块的配置,以及首页硬件信息的查看。
表3-1 系统管理端菜单和页签功能介绍
菜单和页签 |
功能说明 |
|
首页 |
显示管理中心网卡显示状态,CPU使用率,内存使用率,磁盘根分区使用率,磁盘日志分区使用率 显示链路上前后置和部件内外端机的网卡显示状态,CPU使用率,内存使用率,磁盘使用率以及链路状态 |
|
Admin页签 |
修改密码,修改系统时间,管理中心设备重启和关闭 |
|
应用用户管理 |
应用用户管理策略 |
|
用户管理 |
新建系统管理员账号 |
|
设备管理 |
添加、修改、删除前后置和部件设备 |
|
业务链路管理 |
链路配置 |
添加、修改、删除、加载、启动、停止链路和显示链路详细 |
链路拓朴 |
放大、缩小、加载和下载链路拓扑 |
|
HA设置 |
节点管理,节点关联,设置双机热备,负载均衡 |
|
网络管理 |
部件网络管理 |
IP地址,路由管理,网卡绑定的新建、修改、删除 |
前后置网络管理 |
业务IP地址,业务路由管理,业务DNS管理,业务网卡绑定, |
|
网络诊断工具 |
各种网络工具:ping、telnet、ss、网卡IP、ARP目标地址、网卡路由,邻居(neigh)列表查询 |
|
平台配置 |
双机热备 |
管理中心双机热备配置,同步配置 |
Syslog配置 |
Syslog设置 |
|
Snmp配置 |
Snmp设置 |
|
平台管理地址配置 |
设置web管理端管理地址,网关 |
|
时间同步设置 |
设置时间同步服务 |
|
配置管理 |
平台配置的导入、导出、重置 |
|
服务管理 |
Web服务,数据库服务,sshd服务重启,停止,启动 |
|
系统升级 |
升级系统版本 |
|
安全性设置 |
登录相关设置 |
设置登录失败次数,密码过期天数,密码长度限制,无操作超时时长,登录失败锁定时长 |
管理客户端ip白名单 |
设置访问平台web管理端的白名单IP地址 |
|
Licence授权管理 |
导入licence |
导入licence授权文件 |
功能授权状态 |
查看当前功能的授权情况 |
|
设备授权状态 |
查看当前设备的授权情况 |
显示管理中心网卡显示状态,CPU使用率,内存使用率,磁盘根分区使用率,磁盘日志分区使用率。显示链路前置、后置、部件外端机、部件内端机CPU,内存,磁盘使用率,网卡和状态。
(1) 选择管理中心,或者链路,会显示对应的CPU使用率,内存使用率,磁盘使用率,网卡和状态,可以对其信息详细查询
图3-1 登录首页:
用户管理功能是添加系统管理员;
(1) 点击左上方“+”按钮;
图3-2 用户管理
(2) 点击按钮,弹出新增用户窗口,输入用户名和密码;
图3-3 添加用户
(3) 点击保存,显示<添加成功>提示。
为了进一步增强用户使用安全性,应用用户策略给FTP和邮件通道输入用户名和密码时要加上前缀才能正常访问(格式:应用用户账号$原始账户 应用用户密码$原始密码)。
(1) 点击左上角“+”按钮,新增应用账号集;
图3-4 添加应用账号集
(2) 弹出窗口,输入名称;
图3-5 输入应用账号集名称
(3) 先勾选策略集,然后在点击应用账号下的“+”按钮,添加策略;
图3-6 新增策略
(4) 在弹出的策略窗口中,输入策略内容。
图3-7 添加策略内容
管理中心设备连接前置和部件设备并对其进行操作管理
(1) 点击左上角“+”按钮,添加设备;
图3-8 添加设备
(2) 弹出窗口,输入ip,设备名称和选择类型,点保存;
图3-9 输入设备信息
该功能主要配置部件与前置的链路畅通性,以及显示链路连接状态是否正常
前提条件:设备管理已添加设备
(1) 点击 业务链路管理-链路配置,点击+,进行链路添加;
图3-10 添加链路
(2) 填写配置点击保存或者保存并启用;
图3-11 链路配置
表3-2 参数说明:
参数 |
说明 |
注意事项 |
链路名称 |
链路名称 |
可以修改 |
前置设备 |
前置设备地址ip |
设备管理添加过才会显示,且不能重复使用 |
前置TunIp |
前置TunIp |
内部通讯ip,默认为243.255.254.225 |
后置TunIp |
后置TunIp |
内部通讯ip,默认为243.255.254.234 |
部件设备 |
部件设备ip |
设备管理添加过才会显示,可以重复使用 |
部件内端机网卡ip |
部件内端机网卡ip |
默认243.255.254.234 |
部件外端机网卡ip |
部件外端机网卡ip |
默认243.255.254.225 |
(1) 点击 业务链路管理-链路拓补,查看设备连接情况
图3-12 链路拓扑
前提条件:链路配置已经完成
G9000-MC多级安全互联交换平台管理中心的HA接口必须使用GE0/5接口。
G9000-POS多级安全互联交换平台后置部件的HA接口必须使用GE0/0接口。
HA设置用于配置平台双机热备,负载均衡功能。该版本平台HA不负载业务流量,也不同步配置。同一时间仅一套平台处于工作状态,另一台设备处于备用监测状态。只有当主设备发生异常或链路断开后,备用设备才会承接业务流量。
(1) 点击 业务链路管理-ha设置-节点管理,点击”+”
图3-13 添加链路节点
图3-14 填写链路信息
表3-3 参数说明:
参数 |
说明 |
注意事项 |
链路名称 |
配置的链路名称 |
|
HA IP地址 |
本台设备HA的ip |
每台设备HA的地址不同 |
HA 掩码 |
本台设备HA的掩码 |
|
优先级 |
数值越高优先级越高 |
|
模式 |
当前HA运行模式 |
负载均衡模式,双机热备模式 |
图3-15 选择监控编辑网卡
图3-16 编辑监控网卡
· 网络设置里配置了哪些网口,此处就勾选哪些网口。当双机热备进程检测到这些网口发生异常时,比如线路断开,就认定此设备节点异常,需要切换设备。
· 若已经设置完成HA并保存后,若IP加入HA上的网卡地址有变化,请重新保存HA设置和重新勾选加入HA的网卡。
· HA设置不支持IPv6。
(1) 点击 业务链路管理-ha设置-节点关联,点击”+” 选择HA节点进行关联
图3-17
(1) 节点关联后,可以点击 业务链路管理-ha设置-节点管理,查看HA状态
图3-18 点击查看HA状态
图3-19 HA状态显示信息
· 当前角色显示当前此设备是主机还是备机
· 主机健康状态显示当前设备状态,健康或者故障
(1) 点击 业务链路管理-HA设置-节点关联,点击添加节点选择模式为负载均衡、
图3-20
(2) 编辑真实服务,点击<编辑真实服务>功能,进入配置页面:
图3-21 添加真实服务界面
(3) 添加真实服务选择前置或者后置
图3-22 真实服务配置信息
表3-4 参数说明:
参数 |
说明 |
注意事项 |
IP |
真实 的IP地址 |
虚拟服务所映射的真实IP |
所属设备网卡 |
网卡 |
虚拟服务所映射的真实网卡 |
所属设备 |
选择是前置还是后置 |
|
启用负载均衡后,必须得2套设备的HA设置模块也得设置完成,详情根据实际情况设置。
(1) 点击 业务链路管理-HA设置-节点关联,点击+,选择已经配置好的两条链路关联
图3-23 添加节点关联
(2) 负载均衡模式需要编辑虚拟服务
图3-24 点击编辑虚拟服务
图3-25 虚拟服务界面
(3) 点击添加虚拟服务
图3-26 添加虚拟服务信息
表3-5 参数说明:
参数 |
说明 |
注意事项 |
虚拟ip |
虚拟的服务地址 |
相当于通道的监听地址,负载均衡开启后,就访问此地址 |
虚拟端口 |
虚拟服务的端口地址 |
相当于监听端口 |
选择节点1真实服务 |
节点管理中负载均衡模式配置的真实服务 |
|
选择节点2真实服务 |
节点管理中负载均衡模式配置的真实服务 |
|
节点关联配置需要【节点管理】中添加两个不同的链路相关联。
用于设置部件内外端系统的IP地址
(1) 点击<网络管理>中的<部件网络管理>中的<IP地址管理>,并选择设备,选择其中一个网卡(以GE0/1为例),点击<+>添加IP,
图3-27 部件内外端网卡IP地址添加
(2) 输入IP地址和掩码,保存设置,外端机同内端机配置
图3-28 IP地址输入信息
此网卡仅当做内部通信网卡使用,建议默认配置完成不修改此网卡IP地址。
(1) 点击<网络管理>中的<部件网络管理><路由管理>,进入路由管理页面,选择设备
图3-29 部件路由添加
(2) 点击<+>添加路由,进入路由设置窗口
图3-30 部件路由添加内容信息
表3-6 参数说明
参数 |
说明 |
注意事项 |
目的子网 |
目标网段 |
|
子网掩码 |
网段掩码 |
|
网卡 |
转发出口 |
|
网关 |
下一跳地址 |
|
网卡绑定用于聚合平台同一端系统的多个物理网口,类似于端口汇聚。如果平台其中一端系统需要对接多台冗余设备,那就需要使用网卡绑定功能。
请确保绑定的多个网卡上都没有配置IP,或已经完全删除。绑定网口共享相同IP地址,必须在绑定设置成功后,才能设置绑定口IP地址。
(1) 点击<网络管理>中的<部件网络管理><网卡绑定>,选择设备,内外端机,勾选网卡,点击+:
图3-31 部件网卡绑定添加界面
(2) 弹出下列工作模式选项框如图
图3-32 网卡绑定模式
表3-7 模式参数说明:
参数 |
说明 |
注意事项 |
LACP模式 |
表示支持802.3ad协议,和交换机的聚合LACP方式配合(需要xmit_hash_policy).标准要求所有设备在聚合操作时,要在同样的速率和双工模式,而且,和除了balance-rr模式外的其它bonding负载均衡模式一样,任何连接都不能使用多于一个接口的带宽。
特点:创建一个聚合组,它们共享同样的速率和双工设定。根据802.3ad规范将多个slave工作在同一个激活的聚合体下。外出流量的slave选举是基于传输hash策略,该策略可以通过xmit_hash_policy选项从缺省的XOR策略改变到其他策略。需要注意的是,并不是所有的传输策略都是802.3ad适应的,尤其考虑到在802.3ad标准43.2.4章节提及的包乱序问题。不同的实现可能会有不同的适应性。
必要条件: 条件1:ethtool支持获取每个slave的速率和双工设定 条件2:switch(交换机)支持IEEE802.3ad Dynamic link aggregation 条件3:大多数switch(交换机)需要经过特定配置才能支持802.3ad模式 |
需交换机支持 |
负载均衡模式 |
表示负载分担round-robin,并且是轮询的方式比如第一个包走eth0,第二个包走eth1,直到数据包发送完毕。 优点:流量提高一倍 缺点:需要接入交换机做端口聚合,否则可能无法使用 |
需交换机支持 |
主备模式 |
|
|
图3-33 网卡绑定信息
前后置网络管理中业务ip管理,业务路由管理,业务DNS管理,业务网卡绑定同部件网络管理配置操作相同,可参考部件网络管理。
用于设置前后置网卡的IP地址(支持IPv6)
(1) 点击<网络管理>中的<前后置网络管理><业务IP管理>,并选择设备,选择其中一个网口(以GE0/2为例),点击<+>添加IP;
图3-34 前后置业务IP管理添加界面
(2) 输入IP地址和掩码,保存设置,外端机同内端机配置
图3-35 IP添加信息
(1) 点击<网络管理>中的<前后置网络管理><业务路由管理>,进入业务路由管理页面,选择链路
图3-36 前后置路由添加
(2) 点击<+>添加路由,进入路由设置窗口
图3-37 前后置路由设置界面
表3-8 参数说明:
参数 |
说明 |
注意事项 |
目的子网 |
目标网段 |
同时支持ipv4和ipv6 |
子网掩码 |
网段掩码 |
同时支持ipv4和ipv6 |
网卡 |
转发出口 |
同时支持ipv4和ipv6 |
网关 |
下一跳地址 |
同时支持ipv4和ipv6 |
当需要使用到平台HTTP代理功能,例如为内网用户代理上网时,外端系统必须设置DNS。这样当内端收到HTTP请求后,外端才能根据该请求做DNS解析,访问到实际服务器。(DNS目前不支持IPv6)
(1) 点击<网络管理>中的<前置网络管理><业务DNS管理>,进入页面,选择链路;
图3-38 前后置DNS管理
(2) 选中前后置DNS输入框,输入所要设置的DNS地址,并点击<提交>按钮,弹出下列提示框后,表示设置成功;
图3-39 前后置DNS设置成功
网卡绑定用于聚合平台同一端系统的多个物理网口,类似于端口汇聚。如果平台其中一端系统需要对接多台冗余设备,那就需要使用网卡绑定功能。
请确保绑定的多个网卡上都没有配置IP,或已经完全删除。绑定网口共享相同IP地址,必须在绑定设置成功后,才能设置绑定口IP地址。
(1) 点击<网络管理>中的<前后置网络管理><网卡绑定>,选择链路,前后置,勾选网卡,点击<+>:
图3-40 前后置业务网卡绑定
(2) 弹出下列工作模式选项框
图3-41 前后置业务网卡绑定模式
表3-9 模式参数说明:
参数 |
说明 |
注意事项 |
LACP模式 |
表示支持802.3ad协议,和交换机的聚合LACP方式配合(需要xmit_hash_policy).标准要求所有设备在聚合操作时,要在同样的速率和双工模式,而且,和除了balance-rr模式外的其它bonding负载均衡模式一样,任何连接都不能使用多于一个接口的带宽。
特点:创建一个聚合组,它们共享同样的速率和双工设定。根据802.3ad规范将多个slave工作在同一个激活的聚合体下。外出流量的slave选举是基于传输hash策略,该策略可以通过xmit_hash_policy选项从缺省的XOR策略改变到其他策略。需要注意的是,并不是所有的传输策略都是802.3ad适应的,尤其考虑到在802.3ad标准43.2.4章节提及的包乱序问题。不同的实现可能会有不同的适应性。
必要条件: 条件1:ethtool支持获取每个slave的速率和双工设定 条件2:switch(交换机)支持IEEE802.3ad Dynamic link aggregation 条件3:大多数switch(交换机)需要经过特定配置才能支持802.3ad模式 |
需交换机支持 |
负载均衡模式 |
表示负载分担round-robin,并且是轮询的方式比如第一个包走eth0,第二个包走eth1,直到数据包发送完毕。 优点:流量提高一倍 缺点:需要接入交换机做端口聚合,否则可能无法使用 |
需交换机支持 |
主备模式 |
|
|
图3-42 网卡绑定完成
各种网络工具:ping、telnet、ss、网卡IP、ARP目标地址、网卡路由进行检测连通性,还可以对邻居(neigh)列表查询,以下均以前置来举例说明:
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择ping诊断工具;
图3-43 ping诊断工具界面
(2) 输入IP地址,点击<查询>,出现成功提示,如下图
图3-44 ping查询成功
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择telnet诊断工具;
图3-45 telnet诊断工具
(2) 输入IP地址和端口,点击<查询>,出现成功提示,如下图
图3-46 telnet成功
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择SS诊断工具;
图3-47 SS诊断工具
(2) 命令选择所有进程,点击<查询>,出现成功提示,如下图
图3-48 SS诊断成功
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择网卡IP查询;
图3-49 网卡IP查询
(2) 网卡选择GE0/2,点击<查询>,出现成功提示,如下图
图3-50 网卡IP查询成功
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择网卡路由;
图3-51 网卡路由查询
(2) 网卡选择GE0/2,点击<查询>,出现成功提示,如下图
图3-52 网卡路由查询成功
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择ARP目标IP地址诊断工具;
图3-53 ARP目标IP地址诊断
(2) 点击<查询>,出现成功提示,如下图
图3-54 ARP目标IP地址诊断成功
(1) 点击网络管理-网络诊断工具,选择链路,选择前置设备,选择邻居(neigh)列表工具;
图3-55 邻居(neigh)列表工具
(2) 输入IP地址和端口,点击<查询>,出现成功提示,如下图
图3-56 邻居(neigh)列表工具查询成功
(1) 选择工作模式、输入优先级、本机HA地址、本机HA掩码、对端HA地址、对端HA掩码
图3-57 HA设置界面
图3-58 双机热备开启后显示当前主机角色以及主机健康状态
图3-59 将本机配置同步至对端机器
双机热备不支持IPv6
syslog是UNIX系统中提供的一种日志记录方法(RFC3164),syslog本身是一个服务器,程序中凡是使用syslog记录的信息都会发送到该服务器,服务器根据配置决定此信息是否记录,是记录到磁盘文件还是其他地方,这样使系统内所有应用程序都能以统一的方式记录日志,为系统日志的统一审计提供了方便。
(1) 点击平台配置-syslog配置,输入ip和填写端口,勾选启动后点击保存,如下图:
图3-60 syslog配置
SNMP是被广泛接受并投入使用的工业标准,用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告。
(1) 输入读团体字、系统位置、系统联系人,勾选启用后点击保存,如下图:
图3-61 Snmp配置界面
(1) 输入管理设备地址ip,默认网关、掩码和DNS后点击保存,如下图:
图3-62 平台管理地址界面
通过NTP网络时间协议(Network Time Protocol)来同步网络中各个计算机时间的协议。此处用来同步平台的准确时间。
(1) 以北京大学的NTP服务器地址为例,进行时间同步,输入NTP服务器地址后,点击保存,便可使平台时间同步至网络中的正确时间。
图3-63 时间同步界面
该功能用于平台配置文件的备份及还原,配置重置。
(1) 点击<导出配置>按钮,导出当前web管理端配置,进行备份,以压缩包形式进行导出,不允许解压查看。
图3-64 配置管理
(2) 点击导入配置,选择文件,点击上传
图3-65 导入配置
(3) 点击配置重置,弹出提示语,点击确定即可。
重启Web服务,启用 停用时间同步服务、SSHD服务
图3-66 管理中心服务管理
选择不同链路,分别重启不同链路的数据库同步服务、文件同步服务、数据摆渡服务
图3-67 链路前后置服务管理
(1) 选择升级包类型,点击上传,选中相匹配的升级包,点击上传。
(2) 选择要相对应的链路名称,设备类型,点击升级即可
图3-68 系统升级界面
(1) 登录失败次数设置:设置web管理端登录失败最大次数
图3-69 登录失败次数设置
超过最大登录失败次数,该用户会被锁定,解锁时间以登录失败锁定时长设置为准。
(2) 密码过期天数和长度设置
图3-70 密码过期天数和长度设置
· 超过设置天数密码会过期,平台系统将自动退出,需要重新登录设置新的密码。
· 用户密码长度最少为8位。如果用户管理下添加用户时,设置新用户的密码长度少于复杂度设置的长度,保存新用户不成功。
(3) 无操作超时设置
图3-71 超时设置
超过设置的时长没有操作的话,平台系统将自动退出,用户需要重新登入平台,才能对平台操作。
(4) 登录失败锁定设置
图3-72 锁定时间设置
超过设置的锁定时长,该用户才会被解禁,重新登录页面。
以白名单的方式,限制哪些IP地址可以对平台进行管理。
(1) 点击安全性设置-管理客户端ip白名单,点<+>;
图3-73 管理客户端IP白名单设置
(2) 按照正确格式添加允许访问web管理端的IP地址ip,点击保存;
图3-74 IP添加
图3-75 License上传
图3-76 点击导入license授权
图3-77 查看全部功能授权
图3-78 查看已授权
(2) 选择授权模块点击绑定授权,把授权绑定链路上
图3-79 绑定授权
(3) 选择授权模块解除链路绑定
图3-80 解绑授权
图3-81 查看全部设备授权状态
修改当前登录用户密码,退出web管理端,管理中心重启和关机功能。
(1) 点击界面右上角用户,弹出窗口;
图3-82 系统管理用户
(2) 选择窗口中的功能,进行修改密码,退出web管理端,管理中心重启和关机操作。
图3-83 用户管理窗口
安全管理员Secrecy主要提供了对用户管理、安全传输通道配置、策略集策略配置、数据库同步、文件同步等功能模块的配置安全管理端登录方式和系统管理端一样:
表4-1 安全管理端菜单和页签功能说明
菜单和页签 |
功能说明 |
|||
首页 |
通道流量 |
通道流量显示,流量统计和排名 |
||
Secrecy页签 |
修改密码 |
修改安全管理员密码 |
||
安全退出 |
安全管理员退出管理页面 |
|||
用户管理 |
安全管理员 |
安全管理员新增和删除 |
||
策略管理 |
客户端地址 |
对通道访问源客户端IP地址进行限制 |
||
HTTP |
HTTP URL |
对HTTP通道中的URL进行黑、白名单控制 |
||
HTTP响应内容类型 |
对HTTP通道中的响应内容类型进行黑、白名单控制 |
|||
HTTP响应内容敏感词 |
对HTTP通道中的响应内容敏感词进行黑名单控制 |
|||
HTTP请求方法 |
对HTTP通道中的请求方法进行黑、白名单控制 |
|||
FTP |
FTP命令 |
对FTP通道中的指令进行黑名单控制 |
||
FTP下载敏感词 |
对FTP通道中的下载文件内容进行黑名单控制 |
|||
FTP上传敏感词 |
对FTP通道中的上传文件内容进行黑名单控制 |
|||
FTP可下载文件名 |
对FTP通道中的可下载文件名进行黑、白名单控制 |
|||
FTP可上传文件名 |
对FTP通道中的可上传文件名进行黑、白名单控制 |
|||
FTP可删除文件名 |
对FTP通道中的可删除文件名进行黑、白名单控制 |
|||
FTP可下载文件类型 |
对FTP通道中的可下载文件类型进行黑、白名单控制 |
|||
FTP可上传文件类型 |
对FTP通道中的可上传文件类型进行黑、白名单控制 |
|||
FTP可删除文件类型 |
对FTP通道中的可删除文件类型进行黑、白名单控制 |
|||
FTP可下载文件大小 |
对FTP通道中的可下载文件大小进行白名单控制 |
|||
邮件 |
邮件发件人 |
对SMTP、POP3通道中的发件人邮箱地址进行黑、白名单控制 |
||
邮件收件人 |
对SMTP、POP3通道中的收件人邮箱地址进行黑、白名单控制 |
|||
邮件主题敏感词 |
对SMTP、POP3通道中的邮件主题内容进行黑名单控制 |
|||
邮件内容敏感词 |
对SMTP、POP3通道中的邮件正文内容进行黑名单控制 |
|||
邮件附件敏感词 |
对SMTP、POP3通道中的邮件正文内容进行黑名单控制 |
|||
数据库 |
数据库命令控制 |
对mysql、oracle通道中的数据库进行黑、白名单控制 |
||
表命令控制 |
对mysql、oracle通道中的数据库的表进行黑、白名单控制 |
|||
登录用户管理 |
对mysql、oracle通道中的数据库的用户进行黑、白名单控制 |
|||
业务通道管理 |
通道管理 |
新建、修改、删除平台基本通道策略,映射实际服务器的IP、端口到平台另一端,为另一边网络的用户提供访问接口。 |
||
业务邮件告警 |
业务邮件告警 |
设置连接数阈值、邮件告警周期、告警类型,还可设置收件人邮箱地址、发件人服务器地址、发件人邮箱账号、发件人邮箱密码,是否发送告警邮件 |
||
可信增强管理 |
客户端在线列表 |
显示客户端在线IP地址 |
||
增强服务端配置 |
设置开启前置或后置服务监听 |
|||
日志管理 |
日志审计 |
应用日志 |
显示、查询、导出和删除策略触发日志,主要用于查询违规访问情况,还可设置日志等级 |
|
管理操作日志 |
显示、查询、导出和删除审计管理端配置情况 |
|||
文件同步日志 |
显示、查询、导出和删除文件同步日志信息 |
|||
数据库同步日志 |
显示、查询、导出和删除数据库同步日志信息 |
|||
统计报表 |
系统连接数 |
查询平台应用通道连接数 |
||
文件同步 |
共享目录管理 |
配置内外端机共享目录 |
||
文件管理 |
配置文件特征码 |
|||
文件后缀名过滤 |
配置文件名后缀 |
|||
同步任务管理 |
配置同步任务 |
|||
文件传输状态 |
显示文件传输状态 |
|||
数据库同步 |
同步数据库配置 |
配置前置、后置同侧的数据库 |
||
关联数据库 |
关联数据库 |
|||
同步表配置 |
配置同步表的方向等 |
|||
数据库同步配置状态 |
显示数据库关联状态 |
|||
显示个通道相应的流量信息。
(1) 建立通道并有应用流量经过,才能够在此查询和显示流量信息。
图4-1 安全管理首页
用户管理功能是添加安全管理员。
(1) 点击左上方“+”按钮;
图4-2 添加管理账户
(2) 点击按钮,弹出新增用户窗口,输入用户名和密码;
图4-3 添加用户信息界面
通道仅仅提供一条定向访问途径,用来连接对端网络限定的服务。但并不对访问源以及传输内容进行过滤。如果需要对访问源以及应用层内容做进一步过滤,就需要用到策略管理功能。不同的策略可以挂在到不同的通道上,实现灵活的、细粒度的访问控制。
此功能用于对访问源的IP进行限制。
(1) 定义策略集。选中<策略管理>中的<客户端地址>,再点击<策略集>中的<+>按钮,如图:
图4-4 客户端地址策略集添加
图4-5 策略集信息
表4-2 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许通过的IP地址集 白名单:即允许通过的IP地址集 |
配置完成后不允许修改,只能删除重新配置 |
(2) 配置完成之后,点击<保存>,如图:
图4-6 策略集添加完成
(3) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加IP地址或网段
图4-7 定义策略项
(4) 设置单个IP对象:
图4-8 策略项名称和内容
(5) 设置网段对象,点击保存:
图4-9 设置网段对象内容
表4-3 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略项名称 |
|
策略内容 |
设置IP或网段对象 |
按照正确格式填写 |
此功能针对FTP类型通道,对FTP客户端提交的控制命令进行过滤。
(1) 选择FTP→<FTP命令>→ <+>,添加策略集,点击保存
图4-10 FTP策略集添加
图4-11 策略集名称和类型
表4-4 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许通过的FTP指令 |
配置完成后不允许修改,只能删除重新配置; |
(2) 点击已经添加好的策略集,然后在策略中点击<+>,添加策略(内容可以选择也可以自定义,用户选择自定义策略时,格式请和下拉选择的内容格式填写一致)
图4-12 策略集选择
(3) 点击”保存“后:
图4-13 策略集保存后
此功能针对FTP类型通道,对FTP下载文件内容进行过滤。
(1) 选择<FTP下载敏感词>,点击<+>,添加策略集
图4-14 添加策略集名称
表4-5 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:FTP下载文件中不允许包含的内容 |
配置完成后不允许修改,只能删除重新配置 该功能仅支持txt文档; 这个策略没有白名单; |
(2) 点击已经添加好的策略集,然后在策略中点击<+>,添加策略
图4-15 添加策略
图4-16 填写策略内容
此功能针对FTP类型通道,对FTP上传文件内容进行过滤。
同FTP下载敏感词操作。
此功能针对FTP类型通道,对FTP下载文件名进行过滤。
(1) 选择<FTP可下载文件名>,点击<+>,添加策略集
图4-17 策略集添加
表4-6 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:FTP不允许下载的文件名 白名单:FTP仅允许下载的文件名 |
配置完成后不允许修改,只能删除重新配置 |
(2) 点击已经添加好的策略集,然后在策略中点击<+>,添加策略,完成后点击保存。
图4-18 添加策略
图4-19 填写策略内容
此功能针对FTP类型通道,对FTP上传文件名进行过滤。
同FTP可下载文件名一样。
此功能针对FTP类型通道,对FTP删除文件名进行过滤。
(1) 选择<FTP可删除文件名>,点击<+>,添加策略集
图4-20 添加策略集
表4-7 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:FTP不允许删除的文件名 白名单:FTP仅允许删除的文件名 |
配置完成后不允许修改,只能删除重新配置 |
(2) 点击已经添加好的策略集,然后在策略中点击<+>,添加策略
图4-21 添加策略
(3) 输入完成后,点击保存:
图4-22 填写策略内容
此功能针对FTP类型通道,对FTP下载文件类型进行过滤。
(1)选择<FTP可下载文件类型>,点击<+>,添加策略集
图4-23 添加策略集
表4-8 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:ftp不允许下载的文件类型 白名单:ftp仅允许下载的文件类型 |
配置完成后不允许修改,只能删除重新配置 |
(2) 点击已经添加好的策略集,然后在策略中点击<+>,添加策略
图4-24 添加策略
(3) 输入完成后,点击保存:
图4-25 填写策略内容
此功能针对FTP类型通道,对FTP上传文件类型进行过滤。
同FTP可下载文件类型一样。
此功能针对FTP类型通道,对FTP删除文件类型进行过滤。
同FTP可下载文件类型一样。
此功能针对FTP类型通道,对FTP下载文件大小进行过滤。
(1) 选择<FTP可下载文件大小>,点击<+>,添加策略集
图4-26 添加策略集
表4-9 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:ftp允许下载文件上限 |
配置完成后不允许修改,只能删除重新配置; 这个策略没有白名单; |
(2) 点击已经添加好的策略集,然后在策略中点击<+>,添加策略
图4-27 添加策略
(3) 输入完成后,点击保存:
图4-28 填写策略内容
(4) 设置FTP可下载文件大小时:
只输入数字,以字节为准;(例:设置黑名单策略,输入5000,文件超过5000大小则部分下载,不会超过5000。)
此功能针对HTTP类型的通道,对传输的URL进行过滤。仅适用于HTTP_PROXY类型通道。
(1) 定义策略集。选中<策略管理>中的< HTTP>,选中<HTTP URL>再点击<策略集>中的<+>按钮,如图:
图4-29 添加策略集
表4-10 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许通过的URL 白名单:即允许通过的URL |
配置完成后不允许修改,只能删除重新配置 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加URL
图4-30 添加策略项
(3) 输入完成后,点击保存:
图4-31 填写策略内容
参数 |
说明 |
注意事项 |
名称 |
定义策略项名称 |
|
自定义项 |
设置URL对象 |
|
此功能针对HTTP响应内容类型进行过滤。仅适用于HTTP类型通道。
(1) 点击选中<策略管理>→<HTTP响应内容类型>,点击<+>,新增需要的策略集名称及过滤类型
图4-32 添加策略集
表4-12 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许通过的HTTP响应内容类型(例如:text/html) 白名单:即允许通过的HTTP响应内容类型 |
配置完成后不允许修改,只能删除重新配置 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加响应内容类型
图4-33 添加策略项
表4-13 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略项名称 |
|
自定义项 |
设置HTTP响应内容类型 |
可选常规项,也可以自定义。勾选自定义的时候,下面的类型填写格式(例:image/gif),否则无法识别 |
此功能针对HTTP类型的通道,对HTTP网页内容进行过滤。
(1) 点击选中<HTTP响应内容敏感词>→<+>,增加策略集
图4-34 添加策略集
表4-14 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许通过平台访问含有敏感词的http响应内容 |
这个策略没有白名单 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮,添加策略
图4-35 添加策略项
注:内容(例如:交换机),则不允许通过平台访问含有<交换机>的http响应内容。
此功能针对HTTP类型的通道,对HTTP请求方法进行过滤。
(1) 点击选中<HTTP请求方法>→ <+>,增加策略集
图4-36 添加策略集
表4-15 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许通过平台通过策略里面设置的请求方法(使用不允许的请求方法,没有任何形式的返回信息) 白名单:即只允许通过平台通过策略里面设置的请求方法 |
配置完成后不允许修改,只能删除重新配置 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮,新增策略(内容只能选择,不可以自定义)
图4-37 添加策略
此功能针对邮件类型通道,如SMTP、POP3,对发件人邮箱地址进行过滤。
(1) 选择<邮件发件人>,点击<+>,添加新策略集
图4-38 添加策略集
表4-16 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许发送邮件的邮箱地址 白名单:即仅允许发送邮件的邮箱地址 |
配置完成后不允许修改,只能删除重新配置 |
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮,添加策略
图4-39 添加策略
(3) 内容填写正确的邮箱格式。
此功能针对POP3邮件类型通道,对收件人邮箱地址进行过滤。
表4-17 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即不允许接收邮件的邮箱地址 白名单:即允许接收邮件的邮箱地址 |
配置完成后不允许修改,只能删除重新配置 仅适用于POP3类型通道 |
此功能针对邮件类型通道,如SMTP、POP3,对邮件主题进行过滤。
(1) 点击选中<邮件主题敏感词>→<+>,添加策略集,点击保存
图4-40 添加策略集
表4-18 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即该邮件主题包含此类敏感词不允许发送、接收 |
配置完成后不允许修改,只能删除重新配置 此策略集没有白名单 |
(2) 选中策略集,点击+:
图4-41 添加策略
此功能针对邮件类型通道, 如SMTP、POP3,对邮件内容进行过滤。
配置参考邮件主题敏感词。
表4-19 参数说明:
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即该邮件正文内容包含此类敏感词不允许发送、接收 |
配置完成后不允许修改,只能删除重新配置 此策略集没有白名单 |
此功能针对邮件类型通道, 如SMTP、POP3,对邮件附件内容进行过滤。
(1) 下拉选择邮件附件敏感词,点击策略集下“+”,添加策略集:
图4-42 添加策略集
表4-20 参数说明:
说明 |
注意事项 |
|
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
白名单:即该邮件附件正文内容包含此类敏感词允许发送、接收,不包含的不允许发送,接受 |
配置完成后不允许修改,只能删除重新配置
|
(2) 在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮,添加策略:
图4-43 添加策略
表4-21 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略名称 |
可以修改 |
邮件附件内容目前仅支持txt类型文件的内容过滤。
此功能是对数据库命令进行黑、白名单控制
(1) 下拉选择数据库控制命令,点击策略集下“+”,添加策略集:
图4-44 添加策略集
表4-22 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即该邮件附件正文内容包含此类敏感词不允许发送、接受 白名单:即该邮件附件正文内容包含此类敏感词允许发送、接受,不包含的不允许发送,接受 |
配置完成后不允许修改,只能删除重新配置
|
(2) 选中指定的策略集,点击策略下”+“按钮,添加策略:
图4-45 添加策略
表4-23 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略名称 |
可以修改 |
此功能是对表命令进行黑、白名单控制
(1) 下拉选择表命令控制,点击策略集下“+”,添加策略集:
图4-46 添加策略集
表4-24 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即该邮件附件正文内容包含此类敏感词不允许发送、接受 白名单:即该邮件附件正文内容包含此类敏感词允许发送、接受,不包含的不允许发送,接受 |
配置完成后不允许修改,只能删除重新配置
|
(2) 选中指定的策略集,点击策略下”+“按钮,添加策略:
图4-47 添加策略
表4-25 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略名称 |
可以修改 |
此功能是对登录用户进行黑、白名单控制
(1) 下拉选择表命令控制,点击策略集下“+”,添加策略集:
图4-48 添加策略集
表4-26 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略集名称 |
可以修改 |
过滤类型 |
黑名单:即该邮件附件正文内容包含此类敏感词不允许发送、接受 白名单:即该邮件附件正文内容包含此类敏感词允许发送、接受,不包含的不允许发送,接受 |
配置完成后不允许修改,只能删除重新配置
|
(2) 选中指定的策略集,点击策略下”+“按钮,添加策略:
图4-49 添加策略
表4-27 参数说明:
参数 |
说明 |
注意事项 |
名称 |
定义策略名称 |
可以修改 |
策略内容 |
数据库用户名 |
|
策略定义完后并不是对所有通道都生效。必须要将其挂载到需要做过滤的通道上才会起作用。并且策略类型和通道类型是相对应的,比如HTTP的策略只能挂载到HTTP类型的通道上;数据库策略只能挂载到MYSQL通道以及ORACLE通道;FTP类型的策略只能挂载到FTP类型的通道上;邮件类型的策略只能挂载到邮件类型的通道上,如SMTP、POP3。仅<客户端地址>策略可以挂载到所有类型通道上。
(1) 设置通道时,会在通道设置框下部自动显示可挂载的策略集。
图4-50 显示可挂在的策略
· 过滤类型分黑白名单两种。白名单控制机制,仅允许和策略内容相符的信息通过,其它都不允许通过。黑名单控制机制,只要和策略内容相匹配,都禁止通过,其它都允许通过。通道添加完毕后会默认开启服务。每一条通道就相当于一个独立的服务。
· 在一条通道上,某一策略集类型只允许一种过滤类型。若一条通道上需要挂载同一个策略集类型的若干个策略集,要么全部挂载白名单类型策略集,要么全部挂载黑名单类型策略集,不允许既有白名单类型又有黑名单类型。
通道是平台的基本策略。任何穿过平台的应用都必须通过通道来实现。每一条通道相当于一个应用。当然,有些应用协议比较复杂,可能需要多条通道来实现。以内到外的访问举例,内网访问源(客户端)只能访问到平台内端系统的IP1,而外网服务端的地址IP2和端口PORT2对于内网访问源来说是路由不可达。准确的说,是TCP/IP协议无法到达的。平台通道,就是将外网服务端IP2和PORT2映射到内端系统IP1的某一个端口 PORT1上,构成一对一的映射关系。当内网客户端访问IP1上的PORT1时,就好像在外网直接访问IP2上的PORT2服务一样。外到内的访问也类似,不再举例。
图4-51 通道组网图
· 平台配置的方向是指TCP层访问方向。当两边连接建立起来后,其上层应用数据是可以双向传输的。
· 通道目前只有TCP、HTTP、POP3、SMTP通道支持IPv6,其它类型暂不支持IPV6 。
(1) 点击<业务通道管理>;
图4-52 业务通道管理界面
(2) 点击<+>,添加新的应用通道;
图4-53 添加业务通道
表4-28 通道参数说明:
参数 |
说明 |
注意事项 |
选择链路 |
选择已经设置好的链路 |
链路配置在admin用户下 |
类型 |
共有14种分别为TCP、UDP、HTTP、HTTP_PROXY、FTP、ORACLE、MYSQL、SMTP、POP3、SIP_GB28181_TCP、SIP_GB28181_UDP 、SIP_DB33、RTSP,MAC这几种协议。配置应用时请选择对应协议类型 |
HTTP_PROXY为HTTP代理功能,靠近服务器的那一端系统需要设置DNS(DNS配置中已提到过),并且访问源的浏览器必须设置代理模式,其代理地址为通道源机IP地址,代理端口为通道源机端口 |
共享连接(oracle通道) |
Oracle 11G数据库选择共享连接”是” Oracle 10G数据库选择共享连接”否” |
|
通道方向 |
选择前置到后置或者后置到前置 |
|
端口类型 |
选择端口还是端口段 |
|
密钥认证 |
是否开启密钥认证 |
|
可信增强 |
是否开启可信增强 |
|
连接数限制 |
填写通道连接数 |
0代表无限制 |
标记 |
添加标记 |
除标记通道,对其它通道停止使用 |
监听IP地址 |
前置/后置映射的接口IP |
任意两条通道的源机IP地址和源机端口,不允许完全相同。即同一个源机IP和源机端口的组合只能映射一个服务。 |
监听端口 |
前置/后置映射的服务端口 |
|
目的机IP地址 |
另一端实际服务器的IP地址 |
|
目的机端口 |
另一端实际服务器的服务端口 |
|
端口段 |
服务端口 |
可填写单个端口,或者区间端口,注意格式。端口段不支持目的地址为域名格式。 |
空闲超时时间 |
设置空闲超时时间 |
默认0s |
FIN超时时间 |
设置FIN超时时间 |
默认30s |
连接地址 |
平台靠近服务端的IP地址。重新分装数据包时,以此IP作为源地址 |
若平台到服务端不在同一网段,并且多个网口设置了不同网段的IP。请选择正确出口IP,避免服务器返回的报文因没有回址路由而丢失 |
策略集 |
挂载策略 |
|
备注 |
填写备注 |
选填 |
(3) 选中通道ID复选框,并点击右上方的<启用>或<停用>按钮,即可启动或停止通道服务,如下图:
图4-54 通道停启用按钮栏
(4) 符号依次代表:添加、修改、删除、刷新、启用、停用、显示通道配置信息
· 策略集:一个通道上可挂载多个策略做进一步的应用层过滤,或者对访问源IP地址进行限制。如果把通道比作通往另一端服务的管道,那么策略集就好像管道中的过滤网,用来过滤非法访问及数据传输。关于策略集配置参考第4.4章节的策略管理。
· 通道添加完毕后会默认开启服务。每一条通道就相当于一个独立的服务。
· 编辑或删除通道前,必须先将通道停用。
· 编辑完毕后,需要启用通道才能使用。
· MYSQL通道挂载数据库策略目前只支持cmd命令窗口下mysql命令连接。
· ORACLE通道挂载数据库策略目前只支持cmd命令窗口下sqlplus命令连接。
(1) 依次输入连接数阈值、邮件告警周期、选择告警类型(通道连接数告警,系统连接数告警)、勾选是否发送、填写收件人邮箱地址、发件人服务器地址、发件人邮箱账号、发件人邮箱密码,填写完成测试连接成功后点击保存;
图4-55 业务邮件告警界面
(1) 点击<增强服务端配置>,然后再点“+”如图:
图4-56 可信增强服务界面配置
图4-57 添加配置信息
表4-29 参数说明:
参数 |
说明 |
注意事项 |
选择链路 |
选择已配置的链路 |
|
选择设备 |
设置服务器监听在前置或者后置 |
|
选择绑定IP |
默认全网段,不可修改 |
|
监听端口 |
设置监听的端口 |
|
超时时间 |
无 |
|
· 设置保存完成后,默认设置的前后置所有网卡的IP都默认监听设置的端口;
· 监听端口设置后,此端口无法在通道中再次使用,已被占用;
· 此功能需配合相应的主机加固客户端使用。
(1) 点击<客户端在线列表>,如图:
图4-58 客户端在线列表
表4-30 参数说明:
参数 |
说明 |
注意事项 |
选择链路 |
选择相应使用的链路 |
|
选择设备 |
查看建立链接在前置或者后置 |
|
客户端在线列表 |
显示在线客户端地址的IP |
|
(1) 点击<文件同步>-<共享目录管理>,进入创建共享目录页面,如图;
图4-59 共享目录管理
(2) 选择前置,点击<+>,进行添加共享目录,如图下拉框有三种共享类型,smb,nfs,sftp选择。
图4-60 共享目录配置
(3) 填写完成后,点击测试连接,弹出测试连接成功提示后,点击确定,点击保存按钮。
(4) 后置同前置操作步骤一样。
表4-31 参数说明:
参数 |
说明 |
注意事项 |
链路管理 |
选择已配置的链路 |
Admin用户下配置 |
共享类型 |
共享目录支持三种协议类型:SMB、NFS、SFTP |
注意用户权限,中文文件权限,文件所属用户权限组,Windows下nfs,sftp现阶段不能传输大量文件 |
ip |
服务器地址(ipv4/ipv6) |
|
端口 |
默认端口号 |
可修改 |
共享目录 |
传输目录 |
服务器配置文件可查询 |
同步目录 |
共享目录下的子目录 |
服务器规定层数 |
共享账号 |
服务器用户名 |
|
密码 |
服务器密码 |
|
· 在添加和修改共享目录时,可以检测该共享目录是否可访问;
· SMB、NFS两种协议可填写共享名称,SFTP不可填写;
· 同一端的共享目录最多20个;
· 被任务使用的共享目录不能被删除和修改;
· 共享目录可批量删除。
(1) 点击<文件同步>-<文件管理>,进入页面,点击+,如图;
图4-61 文件类型管理
(2) 输入类型名称,点击选择文件,点击生成特征码,点击保存如图
图4-62 生成特征码
· 可对小于50M的文件检查文件特征;
· 被任务使用的文件类型不能删除。
(1) 点击<文件同步>-<文件后缀名过滤>,进入页面,点击+,如图;
图4-63 文件后缀名添加
(2) 输入后缀名名称,点击保存如图
图4-64 填写后缀名
(1) 点击<文件同步>-<同步任务管理>,进入页面,点击+,如图;
图4-65 同步任务管理配置界面
(2) 填写任务名称
(3) 填写扫描间隔
(4) 选择开始时间,结束时间
(5) 任务支持三种同步方向:内到外、外到内、双向
(6) 单向任务可选择“是否删除源文件”、“是否同步删除”
(7) 双向同步的任务不可选择“是否删除源文件”、“是否同步删除”
(8) 任务可选择过滤模式,根据格式列表过滤文件,过滤模式有3种:“不启用”,“白名单”,“黑名单”
(9)
· 同步任务最多20个
· 可查看任务详细配置
· 可启用、停用任务
· 启用中的任务不可修改
· 支持断点续传
· 文件同步支持IPV6
(1) 点击<文件同步>-<文件传输状态>,,如图;
图4-66 文件传输状态
(2) 可查看当前正在传输的文件情况。
· 可查看任务详细配置
· 传输列表每2秒自动刷新一次
· 配置导入导出中包含文件同步配置
· 系统重置时,可重置文件同步配置
数据库同步主要面向平台部件两侧前后置端的物理设备。支持的数据库产品主要有Oracle,Sql server,DB2,Mysql。完成两个数据库之间的同步需要如下配置
将两个待同步的数据库分别配置在内外端机。通过内外端机页签来区分数据库配置的物理依赖
(1) 点击同步数据库配置,选择前后置,点击“+”按钮:打开【添加数据库配置】窗口。
图4-67 数据库配置添加
(2) 填写完以上配置信息,点击测试连接,点击保存
表4-32 数据库配置参数说明:
参数 |
说明 |
注意事项 |
链路名称 |
已配置的链路 |
Admin用户下配置 |
备机链路 |
备机链路 |
双机热备开启时,创建数据库同步必须勾选备机链路,双机热备未开启时勾选备机链路无法创建数据库同步配置 |
描述 |
对这个数据库节点的说明 |
建议描述具有业务意义,支持64位字符 |
数据库类型 |
待同步数据库的产品类型 |
下拉列表选择,选项:Oracle,Sql server,DB2,Mysql(default-storage_engine = innodb) |
数据库地址 |
待同步数据库的物理地址(ipv4/ipv6) |
必须使用访问数据库的IP地址 |
数据库端口 |
待同步数据库的应用程序端口 |
默认值为各数据库的默认端口,可修改 |
数据库名称 |
待同步数据库的数据库名称(DATABASENAME),支持64位字符 |
建议在具有业务意义的基础上尽量简短。
|
数据库用户名 |
待同步数据库的用户名称 |
用户必须具备的以下权限 Mysql:super ,trigger,routine on databasename.* Oracle: CONNECT, RESOURCE,ANY TRIGGER, EXECUTE ON UTL_RAW, DBA_CONS_COLUMNS , ALL_CONSTRAINTS SQL Server: CREATE TABLE, CREATE FUNCTION, REFERENCES ON, ALTER, SELECT, INSERT, DELETE, UPDATE, EXECUTE ON DATABASENAME.* DB2:DBA, BUFFERPOOL PAGESIZE >= 8K,BLOB<16336b |
数据库密码 |
待同步数据库的密码 |
|
Jdbc参数 |
JDBC参数可根据库的情况具体使用 |
|
测试连接 |
各项参数设置完成后,测试是否能根据设置的参数访问到数据库 |
|
· 数据库物理资源较少的情况下创建和删除节点以及测试连接耗时较长,请耐心等待。
· 在未开启双机热备下请勿在多套环境上配置相同数据库的数据库同步,多套配置数据库同步会导致数据库冲突数据无法同步。
(3) 前后置添加成功相应的数据库配置后,显示如下:
图4-68 添加成功后
(4) 点击右上角列表按钮,勾选强制删除功能,显示如下:
图4-69 强制删除功能
· 此功能在具备完整的数据库配置,数据库同步无法访问节点数据库的情况下使用
· 强制删除时会重启数据库服务,需稍作等待数据库服务重启完成才能进行其他操作
前提:已经在前后置分别成功创建了两个数据库节点。
(1) 点击新增按钮,打开【关联数据库】配置窗口
图4-70 关联数据库
(2) 内外端数据库配置分别勾选一个,点击保存。
图4-71 配置完成后
(3) 停止同步
关联成功后默认同步,选择待停止同步的关联,点击停止按钮,停止成功后页面提示“停止成功”,已停止同步的关联,选择后点击停止,页面提示:“该数据已经停止,不能重复停止”。
图4-72 停止同步成功
图4-73 停止失败
(4) 开始同步
选择待开始同步的数据,点击启动按钮,启动成功后页面提示“启动成功”,选择了已启动的数据,点击移动按钮,页面提示“该数据已经启动,不能重复启动”。
图4-74 启动同步成功
图4-75 不能重复启动
(5) 显示/隐藏详细
表示该关联的详细数据。默认为隐藏。点击该关联的任意位置,点击显示详细则右侧展示该关联的详细数据;点击隐藏按钮则隐藏掉详细数据的展示。
图4-76 显示/隐藏详细
图4-77 详细信息显示
· 选择待解除的关联记录,点击删除按钮,解除成功后页面提示“删除成功”
· 关联数据库耗时较长,请耐心等待。
只有配置同步表之后,数据才会发生同步。目前同步只支持到两端数据库具有相同的catalog和schema,同步表名称和相同的表结构,同步最小的单位为数据库表的一行。
同步表管理:包括新增、修改和删除同步表,及按钮的新增、修改、删除。
(1) 新增同步表:先选择已关联的数据库,点击“+”按钮,打开【添加同步表配置】窗口。
图4-78 添加同步表
(2) 在配置同步表时,能够针对两端同步数据库的表进行检索,下拉框中能够进行搜索动作。
图4-79 检索表
表4-33 参数说明:
参数 |
说明 |
注意事项 |
源表(以内端表举例) |
数据库同步方向的源端,表示数据库主动发生变化的一端。点击同步表旁边的查询内端表按钮进行源表查询,就会将当前catalog和shema下的所有非“SYM_”打头的所有表查出来填充在内端表的下拉列表中以供选择。 |
源表可以是内端表,也可以是外端表,由同步方向决定 |
目的表(以外端表举例) |
数据库同步方向的目的端,表示数据库主动发生变化的一端。点击同步表旁边的查询外端表按钮进行目的端表查询,就会将当前catalog和shema下的所有非“SYM_”打头的所有表查出来填充在外端表的下拉列表中以供选择。 |
目的表可以是内端表,也可以是外端表,由同步方向决定 |
同步方向 |
表同步的方向 |
|
同步配置 |
数据库同步可选择的针对表的三种操作类型,包含插入,修改和删除 |
引用表或外键 引用表先增,先改,先删;被引用表后增,后改,后删。 例如:A表引用了B表的c字段作为A表的外键,此时B表先增,先改,先删;A表后增,后改,后删。目前程序中已经实现了引用表的新增检查。如本例中,如果先配置A表,在保存时会失败,同时页面提示:请先添加被引用表[B]配置。修改和删除数据库同步程序还未实现自动检查,需要用户自己注意引用的修改和删除顺序。每次配置完同步表予下一次配置都要点击查询源表,不可直接下拉选择同步表 |
因mysql数据库没有catalog与schema参数,系统默认mysql数据库无此参数
该功能主要查看当前环境所有数据库同步配置的状态,每隔5秒钟实时请求后台数据,将页面描述数据更新
图4-80 同步配置状态
表4-34 参数说明:
参数 |
说明 |
注意事项 |
设备类型 |
描述数据库同步应用程序所部署的物理设备类型 |
|
同步数据库ID |
数据库同步创建时syncweb程序为当前数据库生成的ID |
|
同步数据库描述 |
数据库同步创建时用户填写的对该数据库节点的描述 |
|
数据库设备地址 |
创建数据库同步时填写的访问数据库的IP地址 |
|
数据库名称 |
创建数据库节点时填写的数据库名称 |
|
数据库链接状态 |
节点有误成功创建。由“成功”、“失败”两种状态描述。创建成功的标志:后台创建46张数据库表,DB2内端机创建47张系统表,生成节点属性文件。 |
|
同步数据库配置状态 |
|
|
数据库关联状态 |
一对前后置的数据库节点关联的结果状态。由“成功”、“失败”、“未关联”三种状态描述。成功的标志在前后置节点数据库SYMC_NODE中存在前后置节点信息。 |
|
同步表名称 |
|
|
同步表触发器状态 |
配置同步表时dbsyncserver程序在同步表上创建的触发器,主要用于该表收集数据库insert、update、delete操作的数据。由“成功”、“失败”两种状态描述。成功的标志是内端机生成的触发器已经同步到外端机“SYM_TRIGGER”表中 |
|
同步表路由状态 |
配置同步表时dbsyncserver程序在同步表上创建的路由,主要用于记录该表数据库同步的机制。由“成功”、“失败”两种状态描述。成功的标志是前置或后置生成的触发器已经同步到前后置“SYM_ROUTER”表中。 |
|
同步表触发器路由状态 |
|
|
数据库同步支持IPv6
该日志功能用来查看策略功能中匹配的结果,记录日志需先调整日志等级设置,日志等级分为,不开启,记录所有连接,记录被禁止的连接。
(1) 点击 日志管理-日志审计-应用日志,如图
图4-81 应用日志界面
(2) 点击日志查询按钮,可选择一个或多个条件进行查询,点击重置按钮可重新选择或者点击取消,如图
图4-82 应用日志查询
(3) 日志删除,日志导出同理,日志导出需要设置导出文件密码
图4-83 日志导出密码
应用等级设置默认为不开启,默认不记录日志。
该日志主要记录审计用户audit登录,操作,状态类型等。
(1) 点击日志管理-日志审计-管理操作日志,进入页面
图4-84 管理操作日志
(2) 点击日志查询,选择一个或多个进行查询
图4-85 操作日志查询
(3) 日志删除,日志导出同日志查询同理,日志导出需要设置文件导出密码
图4-86 导出文件密码设置
该日志功能记录文件同步传输。
(1) 点击<文件同步日志>功能,进入查询页面:
图4-87 文件同步日志页面
(2) 选择日志查询,选择查询条件,点击查询
图4-88 日志查询
(3) 日志删除,日志导出同理,选择条件,点击删除或导出。
该日志功能记录数据库同步传输。
(1) 点击<数据库同步日志>功能,进入查询页面:
图4-89 数据库同步日志
(2) 选择日志查询,选择查询条件,点击查询
图4-90 日志查询
(3) 日志删除,日志导出同理,选择条件,点击删除或导出。
该日志显示平台并发连接数。
(1) 点击左侧连接数日志功能,进入查询页面,显示每个通道的连接数,以及每个时间点的连接数情况。
图4-91 系统连接数
(2) 输入通道ID,点击查询按钮,可查询该通道的连接数,悬停鼠标,查询更精确:
图4-92 通道ID查询连接数
连接数日志每隔一周清理一次,请注意查询日期。
审计管理端登录方式和系统管理端一样:
· 用户名:audit
· 密码:audit
· 默认web管理端IP地址:https://192.168.0.1
表5-1 审计管理端菜单和页签功能说明
菜单和页签 |
功能说明 |
|
首页 |
首页 |
|
Audit页签 |
修改密码 |
修改审计管理员密码 |
安全退出 |
退出管理页面 |
|
用户管理 |
用户管理 |
新建、删除审计管理员账号 |
日志管理 |
管理操作日志 |
系统管理端、安全管理端的配置管理日志信息 |
日志回滚及警告 |
设置系统最小和最大日志保存数及日志告警设置 |
用户管理功能是添加审计管理员。
(1) 点击左上方“+”按钮;
图5-1 管理账户添加
(2) 点击按钮,弹出新增用户窗口,输入用户名和密码;
图5-2 输入用户信息
查询、导出、删除系统管理端和安全管理端的配置管理信息。
请参考安全管理端查询,审计端管理日志操作步骤一样。
设置日志最大和最小保留条数,以及达到设置阈值后邮件告警。
(1) 点击日志回滚及告警,进入设置页面:
图5-3 日志回滚及告警配置界面1
图5-4 日志回滚及告警配置界面2
(2) 输入完成后,请点击保存。
表5-2 参数说明
功能项 |
参数 |
说明 |
注意事项 |
日志回滚与告警配置 |
日志回滚后最小保留数(条) |
日志条数达到最大条数时,保留最近时间的老日志条数 |
|
日志回滚阈值(条) |
|
|
|
邮件告警阈值(条) |
日志条数达到设置条数时会发送到设置的邮箱中 |
值要在最大和最小日志之间 |
|
系统资源告警配置 |
CPU使用率阈值(%) |
CPU使用率达到设置的百分比数值时会发送到设置的邮箱中 |
|
内存使用率阈值(%) |
内存使用率达到设置的百分比数值时会发送到设置的邮箱中 |
|
|
磁盘使用率阈值(%) |
磁盘使用率达到设置的百分比数值时会发送到设置的邮箱中 |
|
|
邮件信息配置 |
是否发送告警邮件 |
是否勾选开启发送邮件 |
|
收件人邮箱账号 |
默认输入收件人的邮箱账号 |
|
|
发件服务器地址 |
默认输入发件服务器的地址 |
|
|
发件人邮箱账号 |
默认输入发件人的邮箱账号 |
|
|
发件人邮箱密码 |
默认输入发件人的邮箱密码 |
|
网卡绑定,无法绑定,删除或者修改,出现如下提示:
问题产生条件:
通道中正在使用此网卡上的IP
HA设置中正在使用此网卡
路由设置中正在使用此网卡
设置ARP绑定模式时,IP设置错误
平台内部通信异常,请致电我公司技术支持部,进一步排错指导
规避措施:
删除此通道或清空此网卡上IP
取消HA加入的次网卡
清空此网卡IP绑定的路由
请检查此IP是否有效
问题现象:
路由管理,无法添加路由,并提示:
问题产生条件:
选择的网卡上没有填写IP地址
网关IP地址网段没有和所选网卡IP地址对应
平台内部通信异常,请致电我公司技术支持部,进一步排错指导
规避措施:
确认网卡上是否有相应的IP
确认编辑路由时各项设置是否正确
问题现象:
无法给导入用户配置,并提示:
问题产生条件:
配置文件不匹配
导入的配置文件设置有密码
平台内部通信异常,请致电我公司技术支持部,进一步排错指导
规避措施:
检查导入的文件是否匹配
确认导入的文件是否设置的有密码
确认编辑路由时各项设置是否正确
问题现象:
无法给正常通道添加策略、对IP进行操作、停启用通道等平台操作时,并提示:
问题产生条件:
平台内部通信异常,请致电我公司技术支持部,进一步排错指导
问题现象:
FTP通道追加可下载或者可上传敏感词策略时无效
问题产生条件:
FTP通道上追加的FTP可上传和下载敏感词策略不是txt格式类型
平台内部通信异常,请致电我公司技术支持部,进一步排错指导
规避措施:
使用此类型策略时,建议文件类型使用txt格式。
注意事项是为保护用户和其他人免遭可能发生的人体伤害、财产损失或者其他损害以及如何正确、顺利地操作设备提供了重要信息,把可能发生的危害减少到最低点。
· 不要擅自拆卸或修理设备。
· 设备应远离火源或者加热器等热源,否则可能引起设备故障或不工作。
· 如果设备散发出烟雾或者任何不正常的气味,立刻采取下列措施:
1、关掉设备电源开头。
2、把电源插头从电源插座上拔掉。
3、联系我们。
· 如果设备受到重摔或者严重的电击,要立刻关掉设备,把电源插头从电源插座上拔掉。
· 用干燥的手把电源插头牢固地插进电源插座里。
· 必须使用本机所附带的电源线。
· 在使用设备时,不要使用超过电额限量的电源插座或接线工具。
· 不要把装满液体的敞口容器,如杯子放在设备附近。
· 不要让诸如订书钉、回形针等金属物进入设备内。
· 不要把物体放在设备上面遮住上面的通风孔。
· 不要使用有机溶剂擦洗设备,例如苯或稀释剂。
· 不要用湿布擦拭设备表面。
· 如无遇到特殊情况需要关闭设备时,请不要直接拔下电源。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!