42-系统管理
本章节下载: 42-系统管理 (1.30 MB)
目 录
可以通过手动点击导入许可证来对应用监控升级服务/URL分类库升级服务/恶意URL分类库升级服务进行授权。如图1-1所示。
图1-1 导入许可证图
通过菜单“系统管理 > 授权管理”,进入如图1-2所示页面。配置项含义如表1-1所示。
图1-2 手动导入许可证页面
表1-1 手动导入许可证配置项含义描述表
标题项 |
说明 |
导入许可证 |
对系统软件进行授权。 |
可以通过手动本地升级系统软件版本和特征库,也可自动升级URL分类特征库和应用控制特征库。
对于已发布的版本,通过上传升级热补丁,可以在不影响系统运行的情况下,完成对设备版本的缺陷进行修复,热补丁正确加载后补丁文件立即生效。如图1-3所示。
通过菜单“系统管理 > 系统设定 > 系统升级”,进入如图1-4所示页面。各个配置项含义如表1-2所示。
标题项 |
说明 |
系统软件 |
升级系统软件版本或热补丁。 升级系统软件版本,升级后需要重启设备方可生效; 升级热补丁,不需重启设备即可生效。 |
应用控制特征库 |
升级应用控制特征库。 |
通过菜单“系统管理 > 系统设定 > 系统升级”,进入如图1-5所示页面,页面中的红色圈选部分为配置项。各个配置项含义如表1-3所示。
标题项 |
说明 |
默认升级服务器 |
升级服务器设为默认升级服务器。 |
指定升级服务器 |
设置升级服务器地址。 |
定期升级 |
启用定期自动升级。 |
每周 |
按星期定期自动升级。 |
每月 |
按每月日期自动升级,日期间以“,”分隔。 |
时间 |
每次自动升级的当天时间。 |
点击<提交>按钮,提交自动升级配置。
点击<立即升级>按钮,可立即更新特征库,无需等到自动升级指定时间点,首次配置设备时建议进行一次立即升级。
采用自动升级功能时,需要在设备上设定有效的DNS。
通过菜单“系统管理>系统设定>系统升级”,进入如图1-6所示界面;单击“系统软件”中的“浏览”按钮,选择待上传的补丁文件,单击“上传”按钮上传补丁文件。
单击“补丁升级”进入如图1-7所示界面;选中要升级的补丁版本,单击“”按钮进行补丁升级。
升级成功后,版本状态显示为“已升级”,如图1-8所示界面。
单击“”按钮可对已升级的补丁进行卸载,热补丁卸载成功后,在补丁升级框中该补丁显示已上传。
图1-9 卸载成功界面
单击“”按钮可对已上传或已卸载的补丁进行删除,热补丁删除成功后,在补丁升级框中该补丁被删除;正在加载的补丁不允许删除。
· 上传热补丁数量限制为5个。
· 为了保证补丁操作进程堆栈安全,补丁的操作时间间隔为30S。
· 补丁文件必须以“.pat”作为扩展名,不支持中文。
通过菜单“系统管理 > 系统设定 > 系统升级”,进入如图1-10所示页面,通过页面中的红色圈选部分,查看升级记录。
通过菜单“系统管理 > 系统设定 > 系统重启”,进入如图1-11所示页面,选择“系统重启”。
点击<提交>按钮,重启系统。
通过菜单“系统管理 > 系统设定 > 系统重启”,进入如图1-12所示页面,选择“恢复出厂设置”。
点击<提交>按钮,恢复出厂设置。
通过菜单“系统管理 > 系统设定 > 配置文件”,进入如图1-13所示页面,管理配置文件。各个配置项的含义如表1-4所示。
标题项 |
说明 |
系统配置导入 |
从本地主机中选择要导入的配置文件上传至设备。 |
系统配置导出 |
将保存的配置导出至本地主机。 注:导出的文件是UTF-8编码模式。 |
双备份配置 |
可以选择拷贝主配置文件到备份配置文件,或恢复备份配置文件到主配置文件。恢复备份配置后,需重启系统配置才可生效,重启前请勿保存配置。 |
设备出厂的默认配置自动创建了一个超级管理员用户admin,使用这个账号,可以登录设备对设备进行配置,包括配置其它的管理员,每个管理员都有它的管理地址。
管理员是登录设备对设备进行配置管理的用户。通过菜单“系统管理 > 管理员 > 管理员”,进入管理员界面,如图1-10所示。各个显示项含义如表1-5所示。
图1-14 本地管理员显示界面
标题项 |
说明 |
用户名 |
管理员的名称。 |
角色 |
有两种管理员角色: · 管理员角色; · 审计员角色。 |
认证类型 |
有三种认证类型: · 本地认证; · RADIUS认证; · LDAP认证。 |
描述 |
管理员的描述信息。 |
管理地址 |
管理员的管理地址,只有在这个范围内的地址才能通过此管理员来管理设备。 |
点击图1-10的<新建>按钮,可以进入如图1-12所示的新建管理员界面。各个配置项的含义如表1-6所示。
配置项 |
说明 |
用户名 |
管理员的名称。 |
描述 |
针对管理员的说明。 |
认证类型 |
选择创建的账号的认证类型,选择第三方RADIUS和LDAP服务器认证时需提前配置服务器。 |
密码 |
用户对应的密码,最少6个字符。 |
确认密码 |
对输入的密码进行确认输入。 |
本地 |
在本地进行管理员认证。 |
RADIUS |
如果在用户组中包含了用户名、RADIUS服务器,如果用户本地存在则在本地进行认证,若不存在则发往RADIUS服务器进行认证。 |
LDAP |
如果在用户组中包含了用户名、LDAP服务器,如果用户本地存在则在本地进行认证,若不存在则发往LDAP服务器进行认证。 |
管理IP |
管理IP栏可以配置授权地址,最多可配置3个。缺省情况下,从任何地址都可以登录设备进行配置管理。 |
角色 |
管理员的角色,可选取管理员或审计员。 |
通过菜单“系统管理 > 系统管理员 > 管理员”,然后再点击“在线信息”标签页,可以查看正在管理设备的管理员,如图1-16所示。各个显示项的含义如表1-7所示。
标题项 |
说明 |
用户名 |
管理员的名称。 |
管理地址 |
管理员登录的IP地址。 |
访问方式 |
管理员可以通过以下几种方式来管理设备: · WEB · CONSOLE · SSH · TELNET · DataCenter |
登录时间 |
管理员登录的时间。 |
操作 |
点击删除图标可以根据需要强制管理员下线 。 |
通过直接连接设备串口登录的管理员无法强制管理员下线。
通过菜单“系统管理 > 系统管理员 > 管理员 > 阻断用户”,然后再点击“阻断用户”标签页,可以查看当前被阻断登录的用户信息,如图1-17所示。缺省情况下,阻断时间为一分钟,点击操作下面的删除图标可立即解除阻断。
通过菜单“系统管理 >管理员 > 管理设定”,进入管理设定配置页面,如图1-18所示。各个配置项的含义如表1-8所示。
标题项 |
说明 |
实时保存配置 |
是否实时的保存配置,通过web管理方式管理时,配置修改后将自动保存。 |
管理员唯一性检查 |
是否检查管理员的唯一性,即是否只允许一个管理员登录。 |
管理员双因子认证 |
管理员双因子认证,开启后当使用https方式登录设备时需要有经过授权的Ukey+合法账号才能登录设备。 Ukey管理软件:对Ukey进行初始化激活 Ukey客户端软件:通过客户端软件将设备端生成的用户证书导入Ukey |
最大登录尝试次数 |
允许管理员登录失败后重新登录的次数。 |
登录失败阻断间隔 |
管理员登录失败允许再次登录的间隔时间。 |
页面超时时间 |
页面超时时间,如操作时间超过该值页面将自动退出。 |
web在线管理员 |
同时web在线的管理员的最大个数。 |
管理员认证方式 |
选择管理员认证方式(本地认证或外部认证)。 · 本地认证:使用设备本地管理员账号密码登录设备; · 外部认证:选择外部服务器进行外部认证。 |
HTTPS端口 |
设备HTTPS管理端口,默认为443,可修改为1024-65534之间未被系统使用的端口 |
HTTP端口 |
设备HTTP管理端口,默认为80,可修改为1024-65534之间未被系统使用的端口 |
TELNET端口 |
设备TELNET管理端口,默认为23,可修改为1024-65534之间未被系统使用的端口 |
SSH端口 |
设备SSH管理端口,默认为22,可修改为1024-65534之间未被系统使用的端口 |
目前系统管理员支持认证方式:radius服务器认证方式、LDAP服务器认证方式,这两种认证方式都需要在设备上建立管理员账户,对于本地用户名密码校验是合理的,但是对于其它两种外部认证方式,本地保存用户名对于认证过程没有作用,不仅会增加维护复杂性,还会导致账户外泄,增加安全隐患。
为了更好的提高设备可维护性,在RADIUS服务器校验方式、LDAP服务器校验方式中,不再需要配置用户名。
本功能具有如下功能点:
· 全局设定支持管理员认证方式切换:本地认证、外部服务器认证;
· 在保留现有本地认证方式的基础上增加支持外部服务器认证。
通过菜单“系统管理 > 管理设定”,进入如图1-19所示页面。在该页面上可以配置管理员外部认证的相关功能。各个配置项含义如表1-9所示。
标题项 |
说明 |
管理员认证方式 |
选择管理员认证方式(本地认证或外部认证)。 · 本地认证:使用设备本地管理员账号密码登录设备; · 外部认证:选择外部服务器进行外部认证。 |
认证服务器 |
选择管理员外部登录时使用哪种认证服务器(Radius或Ldap)。 |
radius/ldap |
选择认证服务器对象。 |
服务器异常开启本地认证 |
选择外部认证时可以选择服务器异常是否开启本地认证,默认为开启状态。 |
设备的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。
三权分立共有四种管理员,分别为原内嵌管理员admin,三权分立后account用户、authority用户、audit用户,可以分别有以下权限:
· admin账户:内嵌管理员用户,三权模式下由authority用户对其进行功能授权,以实现对功能点权限为只读或可读写,进而对功能进行操作控制。
· account用户:account负责账号创建,可新建自定义系统管理员;可进行操作日志查看。
· authority用户:可以系统管理员功能模块授权,模块细分读写或只读模式。
· audit用户:审核管理员可对用户权限监控及操作日志查看。
通过菜单“系统管理>管理设定>模式切换”,进入模式切换页面,进行普通模式到三权模式的切换,如图1-20所示。该动作不可逆,提交后,当前配置页面将退出登录状态。
· 账户新建只能由accout用户新建。
· 切换三权模式需慎重,配置界面不可回切。
· 所有用户初始密码均为admin。
进入三权模式后,将自动生成三个管理员账号:account,authority,audit。
Account(账号管理员)登录后,可以进行管理员账号的新建、删除,以及对账号管理员操作日志的查看,如图1-21所示。同时,该账号可编辑自身账号的管理员名称及密码。
Authority(权限管理员)登录后,可以进行管理员账号的权限进行新建、删除、编辑,以及对权限管理员操作日志的查看。同时,该账号可编辑自身账号的管理员名称及密码,如图1-22、图1-23所示。
权限状态为“待分配”表示当前该管理员账号未授予权限,权限管理员分配权限后,状态将变为“已分配”。
Audit(审核员)登录后,可以进行对当前管理员账号权限状态的审计,以及对所有账号操作日志的审计查看,如图1-24、图1-25所示。同时,该账号可编辑自身账号的管理员名称及密码。
配置系统时间有两种方式,手动配置和通过配置NTP同步获得系统时间。通过菜单“系统管理 >系统设定 > 时间设定”进入时间设定页面,如图1-26所示。各个配置项的含义如表1-10所示。
标题项 |
子标题项 |
说明 |
系统当前时间 |
系统时间 |
显示当前系统时间。 |
时区 |
选择系统当前时区。 |
|
手动设定系统时间 |
系统时间 |
手动设置的系统时间。 |
时区 |
手动设置的时区。 |
|
NTP时间设定 |
服务器地址/名称 |
NTP服务器地址或域名。 |
推荐服务器 |
系统推荐的服务器地址。 |
|
同步间隔 |
NTP每次同步间隔,单位:分钟。 |
通过菜单“系统管理 > 部署方式”,进入如图1-27所示页面。各个配置项的含义如表1-11所示。
启用接口旁路部署方式只对报文进行监听,不进行转发。
标题项 |
说明 |
接口名称 |
当前系统所有的接口名称。 |
状态 |
当前系统部署状态,绿色对号图标为该接口是旁路口。 |
启用 |
勾选接口启用,代表该接口启用旁路口。 |
设备旁路部署时支持认证和阻断功能。旁路模式并不替换用户的路由器,也不提供任何NAT、DHCP或者DNS服务。通常部署在交换机旁边,通过镜像的方式,仅仅提供认证和阻断的功能。旁路模式不修改网络结构,不关心网络细节,关机也不掉线。
适用一些密度高度集中的场所,如大型展会,大型推销活动,演唱会,火车站或者运动会等。
· 对于没有认证的用户发送http 302报文重定向。
· 控制策略为拒绝时,对匹配到安全策略的TCP报文发送reset报文,阻止用户访问网络。
通过菜单“系统管理 > 部署方式 > 高级配置”,进入如图1-28所示页面。在该页面上可以配置旁路认证和阻断相关功能。各个配置项含义如表1-12所示。
标题项 |
说明 |
旁路阻断 |
旁路阻断开关,开启旁路阻断配合IPV4控制实现旁路阻断功能,默认为关闭。 |
旁路认证 |
旁路认证开关,开启旁路认证配合用户认证实现旁路认证功能,默认为关闭。 |
当前的网络环境中,出于信息安全的考虑对用户上网的数据进行控制和审计的限制;但是存在一些特权的用户(高层领导、特权管理员),他们不希望自己上网的数据被限制或者被审计;全局白名单可以针对特殊用户排除这些繁琐的策略审计,实现数据全放通。
本功能具有如下功能点:
· 支持对源IP地址配置(包括主机地址、网段地址、地址范围)配置白名单;
· 支持对源MAC地址配置白名单;
通过菜单“系统管理 > 全局白名单”,进入如图1-29所示页面。在该页面上可以配置全局白名单的相关功能,各个配置项含义如表1-13所示。
标题项 |
说明 |
名称 |
全局白名单策略的名称,必填项。 |
地址 |
配置全局白名单的地址,可支持配置IP地址和MAC地址两种方式。 |
描述 |
全局白名单策略的描述,选填项。 |
状态 |
全局白名单策略的状态分启用和禁用两种状态,勾选表示启用,不勾选表示禁用。 |
操作 |
操作选项可以对全局白名单策略执行编辑修改描述、地址、状态操作,也可以删除单条全局白名单策略操作。 |
· 全局白名单只对会话中的源IP、源MAC进行匹配。
· 配置全局白名单的用户仅做会话识别,不做其它控制策略。
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Ping”,进入如图1-30所示页面。各个配置项的含义如表1-14所示。
表1-14 Ping各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要ping的IP地址,或域名。 |
探测包数目 |
发送探测包的数量。 |
探测包大小 |
每个探测包的大小。 |
Ping结果 |
显示ping包返回的结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Traceroute”,进入如图1-31所示页面。各个配置项的含义如表1-15所示。
表1-15 Traceroute各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要探测的地址。 |
探测方式 |
可以选择UDP/ICMP两种探测方式。 |
Traceroute探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > TCP Syn”,进入如图1-32所示页面。各个配置项的含义如表1-16所示。
表1-16 TCP Syn各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要探测的地址。 |
端口 |
TCP端口号。 |
探测包数目 |
探测包的发送数量。 |
TCP Syn包探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 抓包工具”,进入如图1-33所示页面。各个配置项的含义如表1-18所示。
标题项 |
说明 |
接口 |
要抓取报文的接口。 |
协议 |
抓取报文的协议类型。 |
源IP |
抓取报文的源IP地址,全零或空表示任意地址。 |
源端口 |
抓取报文的源端口号,零或空表示任意端口号。 |
目的IP |
抓取报文的目的IP地址,全零或空表示任意地址。 |
目的端口 |
抓取报文的目的端口号,零或空表示任意端口号。 |
抓取新建会话 |
抓取新建连接的前N个报文,取值为0~1024。 |
应用 |
根据应用协议抓取报文。 |
抓取结束后,抓取的报文文件将以.pcap格式保存,在如图1-34所示的页面中显示,并提供导出。各个配置项的含义如表1-18所示。
标题项 |
说明 |
文件名称 |
抓取报文的文件名称。 |
文件大小 |
抓取报文的文件大小。 |
结束时间 |
抓取报文的结束时间。 |
操作 |
可删除或导出对应文件。 |
如图1-35所示,设备以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:
· 设备开启三权模式,设备使用的IP地址为192.168.1.1/24。
· 需要authority用户给admin用户分配权限,分别为分配:网络配置、网络优化、对象管理、上网行为管理的执行权限。
设备account用户新建自定义用户为test,只分配监控统计、日志查询、上网行为管理的只读权限。
如图1-36所示,设备管理模式为“三权模式”,并点击<提交>。
如图1-37所示,使用account用户新建管理员test。
图1-37 使用account用户新建管理员test
如图1-38所示,使用authority用户对admin用户进行读写授权。
图1-38 使用authority用户对admin用户进行读写授权
如图1-39所示,使用authority用户登录,点击admin账号后图标,分配:网络管理、上网行为管理的执行权限,将全选只读勾掉,在此页面上点击<提交>。
如图1-40所示,使用authority用户登录,点击test账号后图标,分配:监控统计、数据中心,在此页面上点击<提交>。
验证admin用户权限
如图1-41所示,使用admin用户对网络配置等授权功能模块可读可写可执行。
图1-41 H3C SecPath ACG1000 设备admin用户权限验证
如图1-42所示,使用自定义test用户对监控等授权只读模块只有只读权限。
图1-42 H3C SecPath ACG1000 设备自定义test用户权限验证
如图1-43所示,audit用户登录只有审核员权限。
图1-43 H3C SecPath ACG1000设备audit审核员登录
管理员可以访问设备登录页面,如果配置外部认证方式,使用外部服务器内的账号可以登录设备。
· 设备到外部服务器可达。
· 如果设备到外部服务器不可达,开启服务器异常进行本地认证,使用本地账号可以登录。
(1) 配置RADIUS服务器。如图1-44所示。
图1-44 RADIUS服务器配置页面
(2) 配置管理员外部radius认证。如图1-45所示。
图1-45 管理员radius认证配置
(1) 配置完成后,用户访问设备登录页面,使用radius服务器内的账号密码登录设备,登录成功,使用本地账号密码登录,提示账号密码错误。
(2) “服务器异常开启本地认证”开关选择“开启”时,如果设备与服务器无法通讯,使用本地账号密码可以登录成功。
(3) “服务器异常开启本地认证”开关选择“关闭”时,如果设备与服务器无法通讯,使用本地账号无法登录设备。
· 管理员外部认证功能只针对管理员模式生效,三权模式不支持。
· 外部认证时,只支持选择服务器对象且只能选择一个,不支持同时选择多个,不支持服务器对象组。
测试终端通过设备访问外网资源,设备对测试终端所有用户(图中测试终端PC除外)访问外网资源进行审计并对终端访问外网要优先进行WEB认证,以及工作时间禁止使用即时通讯软件。
· 测试终端和设备网络可达。
· 设备上用户识别范围包含测试终端所在网段。
图1-46 全局白名单组网图
(1) 配置用户识别范围。如图1-47所示。
(2) 配置IPV4审计策略。如图1-48所示。
图1-48 IPV4审计策略配置页面
(3) 配置IPV4控制策略。如图1-49所示。
图1-49 IPV4控制策略配置
(4) 配置认证策略。如图1-50所示。
(5) 配置全局白名单,如图1-51所示。
配置完成后,在白名单用户测试PC(20.1.1.21)上访问外网不需要经过认证即可上网,且上网访问的记录将不会进行审计,工作时间登录qq也是正常的。
在其它非白名单用户终端(20.1.1.10)上访问外网首先需要进行认证才能访问外网,且访问外网的相关记录设备上可以进行审计,工作时间登录qq被阻断。
(1) 非白名单用户访问外网需要优先进行认证,如图1-52所示。
(2) 非白名单用户浏览网页审计记录正常,如图1-53所示。
(3) 非白名单用户即时通讯软件阻断正常,如图1-54所示。
检测设备网络是否畅通。
按照图1-55所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-56所示。
检测设备网络是否畅通。
按照图1-57所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-58所示。
检测设备网络是否畅通。
按照图1-59所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-60所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!