H3C SecPath GAP2000系列安全隔离与信息交换系统 Web配置指导(E6005 E6006)-5W108

01-正文

本章节下载  (9.32 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/AQGL_XXJH/H3C_SecPath_GAP2000/Configure/Operation_Manual/H3C_GAP2000_WCG-5W108/202010/1348818_30005_0.htm

01-正文

目  

1 产品简介

2 WEB概述

2.1 简介

2.2 Web网管

3 系统管理员

3.1 系统管理端

3.1.1 登录系统管理端

3.1.2 系统管理端功能介绍

3.2 用户及权限管理

3.2.1 用户管理

3.2.2 菜单管理

3.3 应用用户管理

3.3.1 功能简介

3.3.2 操作步骤

3.3.3 使用方法

3.4 网络管理

3.4.1 网卡绑定

3.4.2 IP地址管理

3.4.3 路由管理

3.4.4 DNS配置

3.4.5 监控模式配置

3.5 管理客户端IP白名单

3.5.1 功能简介

3.5.2 操作步骤

3.6 设备管理

3.6.1 系统设置

3.6.2 HA设置

3.6.3 负载均衡

3.6.4 Syslog设置

3.7 配置导入导出

3.7.1 功能简介

3.7.2 导出配置

3.7.3 配置导入

3.8 网络检测工具

3.8.1 抓包工具

3.8.2 网络诊断

3.8.3 网卡状态查询

3.9 安全性设置

3.9.1 功能简介

3.9.2 登录失败次数设置

3.9.3 过期天数

3.9.4 复杂度设置

3.9.5 无操作超时设置

3.9.6 登录失败锁定设置

3.10 系统管理功能

3.10.1 功能简介

3.10.2 操作步骤

4 安全管理员

4.1 安全管理端

4.1.1 登录安全管理端

4.1.2 安全管理端功能介绍

4.2 首页(通道流量信息显示)

4.2.1 功能简介

4.2.2 操作步骤

4.3 用户管理

4.3.1 用户管理

4.3.2 菜单管理

4.4 策略管理

4.4.1 功能简介

4.4.2 客户端地址

4.4.3 FTP命令

4.4.4 FTP下载敏感词

4.4.5 FTP上传敏感词

4.4.6 FTP可下载文件名

4.4.7 FTP可上传文件名

4.4.8 FTP可删除文件名

4.4.9 FTP可下载文件类型

4.4.10 FTP可上传文件类型

4.4.11 FTP可删除文件类型

4.4.12 FTP可下载文件大小

4.4.13 HTTP URL

4.4.14 HTTP响应内容类型

4.4.15 HTTP响应内容敏感词

4.4.16 HTTP请求方法

4.4.17 邮件发件人

4.4.18 邮件收件人

4.4.19 邮件主题敏感词

4.4.20 邮件内容敏感词

4.4.21 邮件附件内容敏感词

4.4.22 邮件附件类型

4.4.23 挂载策略

4.5 通道管理

4.6 业务邮件告警

4.7 文件同步

4.7.1 文件同步支持类型

4.7.2 文件同步功能介绍

4.7.3 共享目录管理

4.7.4 文件类型管理

4.7.5 文件后缀名过滤

4.7.6 文件内容过滤管理

4.7.7 同步任务管理

4.7.8 文件传输状态

4.8 数据库同步

4.8.1 数据库同步支持版本

4.8.2 数据库同步功能介绍

4.8.3 同步数据库配置

4.8.4 关联数据库

4.8.5 同步表配置

4.8.6 数据库同步配置状态

4.9 系统日志审计

4.9.1 系统资源信息

4.9.2 系统连接数

4.9.3 应用日志

4.9.4 管理操作日志

4.9.5 文件同步日志

4.9.6 数据库同步日志

4.10 License管理

4.10.1 功能介绍

4.10.2 License导入

4.10.3 License模块信息

4.11 安全管理功能

4.11.1 功能简介

4.11.2 操作步骤

5 审计管理员

5.1 审计管理端

5.1.1 登录审计管理端

5.1.2 审计管理端功能介绍

5.2 用户管理

5.2.1 用户管理

5.2.2 菜单管理

5.3 日志管理

5.3.1 管理操作日志

5.3.2 日志回滚及告警

5.4 审计管理功能

5.4.1 功能简介

5.4.2 操作步骤

6 管理软件常见报错信息FAQ

6.1 报错情况1

6.2 报错情况2

6.3 报错情况3

6.4 报错情况4

6.5 报错情况5

6.6 报错情况6

7 注意事项

 


1 产品简介

安全隔离与信息交换系统专用于隔离网络间信息交换,俗称网闸。H3C SecPath安全隔离与信息交换系统是新华三技术有限公司利用自身的技术优势和在安全体系结构方面的研究成果,经过长期研发,推出的一种全新的、高效的、安全的网间隔离产品。

2 WEB概述

2.1  简介

为了方便网络管理员对网络设备进行操作和维护,设备提供了Web网管功能。管理员可以使用Web界面直观地管理和维护网络设备。Web网管支持的浏览器:Google/Firefox/IE 11。

图2-1 Web网管的运行环境

 

2.2  Web网管

为了方便网络管理员对网络设备进行操作和维护,设备提供了Web网管功能。管理员可以使用Web界面直观地管理和维护网络设备。

出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录网闸的Web界面。网闸默认web管理端IP地址:https://192.168.0.1。

为了系统安全,初次使用设备出厂缺省密码登录系统后,请务必及时更换为更加安全的密码,并请妥善保存变更后的密码,以免影响使用。

采用三权分立的方式对设备进行管理,具体角色分类信息如下:

表2-1 网闸角色说明

类型

用户名/密码

功能介绍

系统管理员

admin/adminh3c

负责系统管理员用户及权限管理、应用用户管理、网络管理、管理客户端IP白名单、设备管理、系统设置、HA设置、Syslog设置、配置导入导出、网络检测工具、安全性设置

安全管理员

secrecy/secrecyh3c

负责安全管理员用户管理、策略配置、通道配置、日志查询、文件同步、license管理模块

审计管理员

audit/audith3c

负责审计管理员用户管理,审计日志,及日志管理,邮件告警设置

 

图2-2 H3C网闸Web登录界面

 

图2-3 H3C网闸登录后的界面(E6006版本及其之前版本)

 

图2-4 H3C网闸登录后的界面(E6006P03版本及其之后版本)

 

表2-2 界面区域介绍

(1) 导航栏

(2) 辅助区

(3) 配置区

(4) 系统信息

 

说明:

·     导航栏:以导航树的形式组织设备的Web网管功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在配置区中。

·     辅助区:提供切换用户、切换设备密码服务等Web网管功能。

·     配置区:用户进行配置和查看的区域。

·     系统信息:显示系统信息,包括版本号,产品型号,产品S/N,系统时间等。

3 系统管理员

3.1  系统管理端

3.1.1  登录系统管理端

H3C SecPath GAP2000 Version 3.1, ESS 6006P03出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录网闸的Web界面。系统管理员默认的Web登录信息包括:

·     用户名:admin

·     密码:adminh3c

·     网闸默认Web管理端IP地址:https://192.168.0.1

采用Web方式登录网闸的步骤如下:

(1)     连接设备和PC

用交叉以太网线将PC和设备的以太网口MAN管理口相连。

(2)     为PC配置IP地址,保证能与设备互通

设置一个192.168.0.0/24网段的IP(除192.168.0.1),例如192.168.0.3。

(3)     启动浏览器,输入登录信息

在PC上启动浏览器,在地址栏中输入地址<https://192.168.0.1>后回车,即可进入设备的Web登录页面,如图3-1所示。输入用户名<admin>、密码<adminh3c>,单击<用户登录>按钮即可登录。

图3-1 H3C网闸Web登录界面

 

注意

·     这里的PC是进行设备基本配置时使用的PC,不一定是Web网管终端。Web网管终端是登录Web网管时使用的PC,只需与设备路由可达即可。

·     用户登录到Web网管界面后,可配置接口的IP地址。

 

3.1.2  系统管理端功能介绍

图3-2 H3C网闸初始页面(E6006版本及其之前版本)

 

图3-3 H3C网闸初始页面(E6006P03版本及其之后版本)

 

表3-1 功能说明

菜单和页签

功能说明

系统管理功能

修改密码

修改admin用户的登录密码

安全退出

退出当前admin用户

修改系统时间

手动修改当前系统的时间

系统重启

重启当前系统

系统关闭

退出并关闭当前系统

用户管理及权限管理

用户管理

新建系统管理员账号,设置用户级别

菜单管理

查看和修改菜单级别

应用用户管理

应用用户管理

添加用户管理策略,在FTP和邮件通道上追加用户管理策略

网络管理

网卡绑定

新建、修改、删除网口汇聚

IP地址管理

新建、修改、删除网闸网口IP地址

路由配置

新建、修改、删除网闸内端、外端静态路由

DNS配置

设置网闸内端、外端静态DNS

监控模式配置

设置过网闸的直连网口

管理客户端IP白名单

管理客户端IP白名单

设置访问网闸web管理端的白名单IP地址

设备管理

系统设置

设置web管理端管理地址、SNMP设置、时间同步设置、服务管理、系统升级和恢复出厂设置功能、系统重置

HA设置

双机热备设置

负载均衡

均衡两台网闸同一类型通道压力的功能配置

Syslog设置

Syslog配置

配置导入导出

配置导入导出

网闸配置导入、导出功能

网络检测工具

抓包工具

抓获网闸各个网卡上的包并可以下载

网络连通性检测

各种网络工具:ping、telnet、ss、traceroute、网卡IP、ARP目标地址、网卡路由

网卡状态查询

页面查询当前网卡的up、down状态

安全性设置

设置

密码设置(登录失败次数鉴别、过期天数和复杂度)和安全设置(无操作超时时长和登录失败锁定时长)

 

3.2  用户及权限管理

3.2.1  用户管理

1. 功能简介

用户管理功能用于添加系统管理员,并设置其用户级别。

2. 操作步骤

(1)     点击<用户及权限管理>的<用户管理>,点击左上方<+>按钮。

图3-4 添加系统管理员

 

 

(2)     点击按钮,弹出新增用户窗口,输入用户名和密码,选择用户级别。

图3-5 配置系统管理员信息

 

注意

·     添加用户时可配置用户的一级、二级、三级级别,一级最高,三级最低。

·     若要使用指纹认证功能,需要使用IE11浏览器和指纹采集器。

·     本页面不同版本存在差异,请以设备实际情况为准。

 

3.2.2  菜单管理

1. 功能简介

用于查看菜单名称和修改菜单级别。本功能仅E6006P03及其以上版本才支持。

2. 操作步骤

(1)     点击<用户及权限管理>的<菜单管理>,选择对应的菜单,点击左上方<修改>按钮。

图3-6 查看功能菜单

 

(2)     点击按钮,弹出设置菜单级别窗口,选择对应的级别。

图3-7 设置菜单级别

 

注意

·     功能菜单可配置为一级、二级、三级级别,一级最高,三级最低。

·     管理员可访问所有菜单,并拥有对菜单打标的权限。

·     不同级别的用户仅可访问对应级别的菜单,例如二级用户只可访问二级和三级菜单。

·     默认菜单级别为一级菜单,之前已添加用户的级别为一级。

 

3.3  应用用户管理

3.3.1  功能简介

为了进一步增强用户使用安全性,应用用户策略给FTP和邮件通道输入用户名和密码时要加上前缀才能正常访问。

3.3.2  操作步骤

(1)     点击左上角<+>按钮,新增应用账号集。

图3-8 新增应用账号集

 

(2)     弹出窗口,输入名称和选择类型。

图3-9 配置应用账号集信息

 

(3)     先勾选策略集,然后在点击应用账号下的<+>按钮,添加策略。

图3-10 新增应用账号策略

 

(4)     在弹出的策略窗口中,输入策略内容。

图3-11 配置策略内容

 

3.3.3  使用方法

(1)     在FTP通道中追加上此策略后,如FTP通道,通过网闸登录FTP服务器时,输入用户名和密码时需要加上此策略前缀。

FTP服务器的账号:策略中设置的用户账号$FTP服务器账号

FTP服务器密码:策略中设置的密码$FTP服务器密码

(2)     在邮件通道中追加此策略,如使用foxmail时,和FTP同理,这里要加上策略前缀,用户名对应地址,密码对应密码;格式:(策略用户账号$E-mail地址策略密码$邮箱密码)。

图3-12 使用foxmail新建账号

 

3.4  网络管理

3.4.1  网卡绑定

1. 功能简介

网卡绑定用于聚合网闸同一端系统的多个物理网口,根据工作模式不同效果不同。如果网闸其中一端系统需要对接多台冗余设备或负载均衡,那就需要使用网卡绑定功能。

注意

请确保绑定的多个网卡上都没有配置IP,或已经完全删除。绑定网口共享相同IP地址,必须在绑定设置成功后,才能设置绑定口IP地址。

 

2. 操作步骤

(1)     点击<网络管理>中的<网卡绑定>显示如图。

图3-13 网卡绑定界面

 

 

(2)     选择内外端机要绑定网卡,并点击<增加绑定>,弹出下列选项框,如图。

图3-14 网卡绑定配置界面

 

(3)     选择绑定网卡的工作模式和连接状态监测方式,如图。

图3-15 配置网卡绑定

 

工作模式有如下三种:

主备:同时只有一个端口生效,其它端口处于备状态,当主端口断开时备端口生效。

负载均衡:所有端口同时生效,负载分担流量。

LACP:根据IEEE 802.3ad动态链路聚合,与对端设备协商具体哪些接口负载流量。

注意

·     系统用来检测网口连接状态的方式共有2种,Mll是通过检测物理连接状态来判断网口状态。而ARP则是通过借助ARP询问机制来判断指定IP是否可以到达,检测层次更深,检测可靠性更高。如果网口只需要做物理检测,可直接保存,跳过下面(3)、(4)步骤。

·     聚合端口工作模式选择主备时,对端设备只需设置在一个vlan中即可,不需要配置聚合口;工作模式选择LACP或负载均衡时,对端设备需要配置聚合口,且LACP模式下,对端交换机需配置动态模式,不支持静态LACP聚合模式。

 

(4)     选择连接状态检测方式为ARP如图。

图3-16 配置ARP连接状态检测方式

 

(5)     输入需要检测的IP地址(一般填写该网口所连接的网关IP),点击保存完成后如图。

图3-17 网卡绑定信息

 

 

3.4.2  IP地址管理

1. 功能简介

用于设置网闸内、外端系统的IP地址。

2. 操作步骤

(1)     点击<IP地址管理>中的<内端机>或<外端机>,并选择其中一个网口(以SLOT0/0为例),点击<添加IP>如图。

图3-18 添加内、外端机网卡IP地址

 

 

(2)     输入IP地址和掩码,保存设置。

图3-19 配置IP和掩码信息

 

 

(3)     保存成功后IP列表显示,如图。

图3-20 查看IP信息

 

注意

·     网闸内外端IP地址支持ipv6,该功能仅E6006P03及其以上版本才支持。

·     支持IP配置的上传和下载,该功能仅E6006P03及其以上版本才支持。

 

3.4.3  路由管理

1. 功能简介

网闸路由分内端路由和外端路由。内端路由仅对内端系统生效,外端路由仅对外端系统生效。两边的路由协议不会贯通,也就不存在冲突或环的问题。网闸内部仅仅摆渡应用层数据,底层的任何协议都无法穿透过去。所以在设置内端路由时只需要考虑内端机需要和哪些内网客户端、服务器进行连接。设置外端路由只需要考虑外端机需要和哪些外网终端、服务器进行连接。

2. 操作步骤

(1)     点击<网络管理>中的<路由管理>,进入路由管理页面,选择<内端机>或<外端机>。

图3-21 添加内、外端机路由

 

(2)     点击<添加路由>添加路由,进入路由设置窗口。

图3-22 配置路由信息

 

表3-2 路由配置说明

参数

说明

注意事项

目的子网

目标网段

 

子网掩码

网段掩码

 

网卡

转发出口

 

网关

下一跳地址

 

 

注意

路由配置支持ipv6,该功能仅E6006P03及其以上版本才支持。

 

3.4.4  DNS配置

1. 功能简介

当需要使用到网闸HTTP代理功能,例如为内网用户代理上网时,外端系统必须设置DNS。这样当内端收到HTTP请求后,外端才能根据该请求做DNS解析,访问到实际服务器。

2. 操作步骤

(1)     点击<网络管理>中的<DNS配置>,进入DNS配置页面。

图3-23 内、外端机DNS配置页面

 

(2)     选中内外端机DNS输入框,输入所要设置的DNS地址,并点击<提交>按钮。

图3-24 配置内、外端机DNS信息

 

(3)     弹出下列提示框后,表示设置成功。

图3-25 配置成功的提示页面

 

注意

DNS配置支持ipv6,该功能仅E6006P03及其以上版本才支持。

 

3.4.5  监控模式配置

1. 功能简介

内外端机同时勾选某对网卡后,无需建立通道,即可过网闸,访问目的地址。

2. 操作步骤

(1)     点击<网络管理>中的<监控模式配置>,勾选网口。

图3-26 监控模式配置页面

 

注意

内外端机同时勾选某对网卡后,该网卡在IP地址管理模块下不显示网卡信息。同样在监控模式配置模块下,不显示已配有IP的网卡。

 

3.5  管理客户端IP白名单

3.5.1  功能简介

以白名单的方式,限制哪些IP地址可以对网闸进行管理,同时支持MAC地址绑定。

3.5.2  操作步骤

(1)     点击<管理客户端IP白名单>菜单,进入设置页面。

图3-27 管理客户端IP白名单配置页面

 

(2)     点击左上方<+>按钮,添加允许访问网闸Web管理端的IP和MAC地址(白名单)。

图3-28 添加管理客户端IP白名单

 

(3)     设置完成后,点击保存。

图3-29 查看添加的管理客户端IP白名单

 

注意

本页面不同版本存在差异,请以设备实际情况为准。

MAC地址配置功能仅E6006P03及其以上版本才支持。

 

3.6  设备管理

3.6.1  系统设置

1. 功能简介

系统功能配置,包括管理地址设置、SNMP设置、时间同步设置、服务管理、系统重置、系统升级和恢复出厂设置功能。

2. 管理地址设置

设置管理口地址以及管理口网关。通讯口和管理口的路由是分割开的。此处网关和路由设置中的配置不会冲突,仅对MAN口生效。

输入正确的网关、地址和掩码后点击保存。

图3-30 管理地址配置页面

 

3. SNMP设置

设置SNMP基本参数。在未启用时,选中输入框,输入SNMP所需设置,设置完成后,选择启用并保存,通过SNMP客户端访问获取SNMP信息。

图3-31 SNMP配置页面

 

注意

SNMP客户端IP地址应对应管理端IP网段,才能获取信息。

 

4. 时间同步设置

设置时间同步服务器的IP地址或域名。在输入框中输入NTP服务器IP地址或域名,保存即可。NTP服务器需与管理IP路由可达。若为域名方式,需要配置内端机DNS。

图3-32 NTP服务器配置页面

 

5. 服务管理

开启/关闭/重启网闸系统相关服务。选择服务对应的按钮,进行开启/关闭/重启等操作。

图3-33 服务管理页面

 

表3-3 服务功能说明

服务名称

作用

WEB服务

用于控制web页面配置与显示

数据摆渡服务

内外端数据传输服务

SSHD服务

ssh服务,默认关闭,开启后可通过ssh登录设备调试

时间同步服务

用于网闸内外端时间同步

数据库同步服务

用于数据库同步功能,需License开启

文件同步服务

用于文件同步功能

 

注意

数据库同步服务重启后加载配置需要时间,请等待数据库服务启动完成后再继续进行数据库同步的配置。可通过配置状态页面查看状态是否正常来判断启动完成。

 

6. 系统重置

将系统重置,所有配置清空。输入管理员密码,点击重置按钮,开始重启,等待重置完成即可。重置后配置清空,管理IP恢复为192.168.0.1。

图3-34 系统重置页面

 

7. 系统升级

点击选择文件,选中相匹配的升级包,点击开始升级即可。

图3-35 系统升级页面

 

注意

若当前为E6002以前的版本,升级前请联系技术支持检查是否满足升级条件,否则可能导致升级失败。

 

8. 恢复出厂设置

将网闸版本恢复到出厂版本,所有配置清空。输入管理员密码,点击恢复出厂设置,等待恢复出厂设置完成即可。恢复出厂设置后管理IP变为192.168.0.1。

图3-36 恢复出厂设置页面

 

注意

·     若出厂版本为6001P03版本之前的版本,则恢复出厂后恢复为6001P03版本。

·     若出厂版本为6001P03版本之后的版本,则恢复出厂后恢复为出厂版本。

 

3.6.2  HA设置

1. 功能简介

HA设置用于配置网闸双机热备或负载均衡功能。

双机热备情况下,同一时间仅一台网闸处于工作状态,另一台设备处于备用监测状态。只有当主设备发生异常或链路断开后,备用设备才会承接业务流量。

负载均衡情况下,配置与双机热备配置相同,两台设备同时负载业务流量。需与负载均衡配置配合使用。

注:双机热备情况下,暂不支持同步配置。

2. 操作步骤

(1)     点击<设备管理>中的<HA设置>功能,进入HA设置页面

图3-37 HA设置页面

 

(2)     选中HA设置中的各个选项进行输入,完成后点击保存

图3-38 HA设置

参数

说明

注意事项

工作模式

当前HA运行模式

双机热备或者负载均衡

优先级

数值越高优先级越高

两台设备的优先级不能设置相同

本机IP地址

本台设备HA的IP

 

本机掩码

本机HA口掩码

 

本机设备ID

本台设备HA的ID

每台设备HA口的ID不同

对端设备ID

另一台设备HA的ID

 

对端IP地址

另一台设备HA的IP地址

 

对端掩码

对端HA口掩码

 

 

(3)     选择端机和需要检测的网卡

图3-39 HA网卡

 

注意

网络设置里配置了哪些网口,此处就勾选哪些网口。当双机热备进程检测到这些网口发生异常时,比如线路断开,就认定此设备节点异常,需要切换设备。

 

(4)     主机信息

图3-40 主机状态

 

注意

·     当前主机角色显示当前此设备是主机还是备机。

·     主机健康状态显示当前设备状态,健康或者故障。

 

3.6.3  负载均衡

(1)     点击<负载均衡>功能,进入负载均衡配置页面。

图3-41 负载均衡配置页面

 

(2)     点击虚拟服务下<+>按钮,添加虚拟服务。

图3-42 配置负载均衡虚拟服务

 

图3-43 负载均衡配置信息

参数

说明

注意事项

IP地址

虚拟的服务地址

相当于通道的监听地址,负载均衡开启后,就访问此地址

端口

虚拟服务的端口地址

相当于监听端口

端机

选择内、外端机

相当于监听的端机

网卡

网卡名称,例如SLOT0/0

设备真实存在的网卡

 

(3)     选中已添加的虚拟服务,点击真实服务下<+>按钮,添加真实服务。

图3-44 配置负载均衡真实服务

 

表3-4 配置真实服务信息说明

参数

说明

注意事项

IP地址

真实 的IP地址

虚拟服务所映射的真实IP

所属设备

选择是本机还是对端机

 

 

注意

·     真实服务必须得添加本机和对端服务。

·     网卡名称要和虚拟服务保持一致。

·     虚拟服务ip和真实服务ip必须同网段。

·     启用负载均衡后,必须得2台设备的HA设置模块也得设置完成,详情根据实际情况设置。

 

3.6.4  Syslog设置

功能用于设置Syslog日志服务器。系统会从管理口MAN口将自身基础信息发送给指定的Syslog服务器。

(1)     点击<syslog配置>功能,进入syslog配置页面。

图3-45 syslog配置页面

 

(2)     在未启用的状态下,输入Syslog服务器监听的IP地址和端口号,设置完成后,点击保存。

 

注意

·     设置的IP地址应对应管理端IP网段,才能获取信息。

·     syslog信息中可显示cpu、内存、磁盘信息,其中的具体信息可对照syslog手册查阅。

 

3.7  配置导入导出

3.7.1  功能简介

该功能用于网闸配置文件的备份及还原。

点击<配置导入导出>,进入配置管理界面:

图3-46 配置的导入导出页面

 

 

3.7.2  导出配置

勾选配置选项中需要导出的配置,点击<导出>按钮,导出当前Web管理端配置,进行备份,也可给导出的文件设置密码;若需要设置密码,请在在密码框中输入密码后,点击导出。

3.7.3  配置导入

点击<导入>按钮,导入备份的配置信息,若导入的配置文件加密,请在导入对应的密码框中输入设置的密码后,点击导入。

 

注意

必须是相同型号、端口形态和版本的配置才能互相导入,并请确认是否设置密码。

配置导入导出不支持备份恢复用户管理、安全性设置中的登录失败次数设置、负载均衡和HA配置。

 

3.8  网络检测工具

3.8.1  抓包工具

1. 功能介绍

抓取网闸各个网卡上的网络流量信息。

2. 操作步骤

(1)     点击<网络检测工具>中的<抓包工具>,进入抓包页面。

图3-47 抓包页面

 

(2)     勾选需要抓包的网卡,点击开始抓包,然后点击结束抓包;之后再点击下载。可在过滤条件中输入参数进行过滤。过滤条件格式与tcpdump过滤格式相同。

3.8.2  网络诊断

1. 功能介绍

查看网闸的连通性、网闸网卡信息、ARP目标地址和路由信息。

2. 操作步骤

(1)     点击<网络检测工具>中的<网络诊断>,进入网络诊断页面。

图3-48 网络诊断页面

 

(2)     点击选择诊断工具的下拉框,选择使用的命令,输入需要诊断的项目后点击查询,查看详细信息。如使用ping诊断目标是否存在:

图3-49 网络诊断举例

 

3.8.3  网卡状态查询

1. 功能介绍

查看网卡状态是up还是down

2. 操作步骤

点击<网络检测工具>中的<网卡状态查询>,进入网卡状态查询页面即可查看网卡状态。

图3-50 网卡状态查询

 

3.9  安全性设置

3.9.1  功能简介

系统安全性设置,包括登录失败次数设置、过期天数设置、密码复杂度设置、无操作超时管理和登录失败锁定设置。

3.9.2  登录失败次数设置

设置Web管理端登录失败最大次数。拖动或手动输入次数,保存即可。

图3-51 登录失败次数设置页面

 

注意

超过最大登录失败次数,该用户会被锁定,锁定时长依据用户设置锁定时长,默认时长5分钟。

 

3.9.3  过期天数

设置密码过期天数,拖动或手动输入天数,保存即可。密码存在一定天数后需要再次修改密码。

图3-52 过期天数设置页面

 

3.9.4  复杂度设置

设置密码的最小长度,拖动或手动输入密码最小长度,区间为:8-20。另外密码字符复杂度默认包含数字和字母,还可勾选特殊字符,保存即可。下次修改密码时生效。

图3-53 复杂度设置页面

 

注意

本页面不同版本存在差异,请以设备实际情况为准。

 

3.9.5  无操作超时设置

设置用户登录web管理端后一定时间无操作退出的时间。拖动或手动输入时间,保存即可。

图3-54 无操作超时设置页面

 

3.9.6  登录失败锁定设置

设置用户登录失败次数超过设置后禁止登录的时长。拖动或手动输入时长,保存即可。

图3-55 登录失败锁定设置页面

 

3.10  系统管理功能

3.10.1  功能简介

修改当前登录用户密码,退出Web管理端,修改系统时间,系统重启和关机功能。

3.10.2  操作步骤

(1)     点击界面右上角用户,弹出窗口。

图3-56 系统管理设置页面

 

(2)     选择窗口中的功能,进行修改密码,退出Web管理端,修改系统时间,系统重启和系统关机操作。

图3-57 系统管理功能

 

注意

系统关机用于退出并关闭当前系统,系统关闭为软件关机,硬件关机需要手动关闭电源。

 

4 安全管理员

4.1  安全管理端

4.1.1  登录安全管理端

安全管理端登录方式和系统管理端一样:

·     用户名:secrecy

·     密码:secrecyh3c

·     网闸默认Web管理端IP地址:https://192.168.0.1

4.1.2  安全管理端功能介绍

图4-1 H3C网闸安全管理端初始页面

 

表4-1 安全管理端功能介绍

菜单和页签

功能说明

首页

首页

通道流量显示

用户及权限管理

用户管理

安全管理员新增和删除,设置用户级别

菜单管理

查看和修改菜单级别

安全管理功能

修改密码

修改secrecy用户的登录密码

安全退出

退出当前secrecy用户

策略管理

客户端地址

定义允许访问源,可定义单个IP或网段

FTP

FTP命令

对FTP通道中的指令进行黑单控制

FTP下载敏感词

对FTP通道中的下载文件内容进行黑名单控制

FTP上传敏感词

对FTP通道中的上传文件内容进行黑名单控制

FTP可下载文件名

对FTP通道中的可下载文件名进行黑、白名单控制

FTP可上传文件名

对FTP通道中的可上传文件名进行黑、白名单控制

FTP可删除文件名

对FTP通道中的可删除文件名进行黑、白名单控制

FTP可下载文件类型

对FTP通道中的可下载文件类型进行黑、白名单控制

FTP可上传文件类型

对FTP通道中的可上传文件类型进行黑、白名单控制

FTP可删除文件类型

对FTP通道中的可删除文件类型进行黑、白名单控制

FTP可下载文件大小

对FTP通道中的可下载文件大小进行黑单控制

邮件

邮件发件人

对SMTP、POP3通道中的发件人邮箱地址进行黑、白名单控制

邮件收件人

对SMTP、POP3通道中的收件人邮箱地址进行黑、白名单控制

邮件主题敏感词

对SMTP、POP3通道中的邮件主题内容进行黑名单控制

邮件内容敏感词

对SMTP、POP3通道中的邮件正文内容进行黑名单控制

邮件附件内容敏感词

对SMTP、POP3通道中的邮件附件内容进行黑名单控制

邮件附件类型

对SMTP、POP3通道中的邮件附件类型进行黑名单控制

HTTP

HTTP URL

对HTTP/HTTP Proxy通道中的URL进行黑、白名单控制

HTTP响应内容类型

对HTTP/HTTP Proxy通道中的响应内容类型进行黑、白名单控制

HTTP响应内容敏感词

对HTTP/HTTP Proxy通道中的响应内容敏感词进行黑名单控制

HTTP请求方法

对HTTP/HTTP Proxy通道中的请求方法进行黑、白名单控制

通道管理

通道管理

新建、修改、删除网闸基本通道策略,映射实际服务器的IP、端口到网闸另一端,为另一边网络的用户提供访问接口。

业务邮件告警

业务邮件告警

通过设置通道连接数阈值、连通性等信息来实现业务邮件告警,同时添加邮件发件人和收件人等信息。

文件同步

共享目录管理

添加、修改、删除文件同步共享目录

文件类型管理

添加文件类型特征,用于同步任务中的文件类型过滤黑白名单设置

文件后缀名过滤

添加、删除文件过滤的后缀名

文件内容过滤管理

添加、删除文件过滤的内容

同步任务管理

添加、修改、删除文件同步任务以及任务的启用和停止

文件传输状态

查看正在进行同步的文件传输状态

数据库同步

同步数据库配置

添加、删除用于同步的数据库

关联数据库

关联内外端用于同步的数据库

同步表配置

配置对数据库中的哪些表进行同步以及同步的方向等

数据库同步配置状态

查看数据库同步配置的状态是否正常

日志管理

系统资源信息

显示、查询系统CPU、内存、磁盘占用量

系统连接数

显示、查询系统并发连接情况

应用日志

显示、查询策略触发日志,主要用于查询违规访问情况

修改应用日志等级

管理端操作日志

显示、查询、导出审计管理端配置情况

文件同步日志

显示、查询、导出文件同步日志信息

数据库同步日志

显示、查询、导出数据库同步日志信息

License管理

License导入

导入视频通道、工控功能、数据库同步功能的授权

License模块信息

查看视频模块、工控功能、数据库同步模块的授权信息

 

4.2  首页(通道流量信息显示)

4.2.1  功能简介

根据通道类型、通道id等显示通道的实时和统计流量信息。

4.2.2  操作步骤

点击<首页>,进入流量统计页面,即可查看流量,可根据时间或者通道类型、通道id等查看。

图4-2 流量统计页面

 

4.3  用户管理

4.3.1  用户管理

1. 功能简介

用户管理功能用于添加安全管理员,并设置其用户级别。

2. 操作步骤

(1)     点击<用户及权限管理>的<用户管理>,点击左上方<+>按钮。

图4-3 添加安全管理员

 

(2)     点击按钮,弹出新增用户窗口,输入用户名和密码,选择用户级别。

图4-4 配置安全管理员信息

 

注意

·     添加用户时可配置用户的一级、二级、三级级别,一级最高,三级最低。

·     若要使用指纹认证功能,需要使用IE11浏览器和指纹采集器。

·     本页面不同版本存在差异,请以设备实际情况为准。

 

4.3.2  菜单管理

1. 功能简介

用于查看菜单名称和修改菜单级别。本功能仅E6006P03及其以上版本才支持。

2. 操作步骤

(1)     点击<用户及权限管理>的<菜单管理>,选择对应的菜单,点击左上方<修改>按钮。

图4-5 查看功能菜单

 

(2)     点击按钮,弹出设置菜单级别窗口,选择对应的级别。

图4-6 设置菜单级别

 

注意

·     功能菜单可配置为一级、二级、三级级别,一级最高,三级最低。

·     管理员可访问所有菜单,并拥有对菜单打标的权限。

·     不同级别的用户仅可访问对应级别的菜单,例如二级用户只可访问二级和三级菜单。

·     默认菜单级别为一级菜单,之前已添加用户的级别为一级。

 

4.4  策略管理

4.4.1  功能简介

通道仅仅提供一条定向访问途径,用来连接对端网络限定的服务。但并不对访问源以及传输内容进行过滤。如果需要对访问源以及应用层内容做进一步过滤,就需要用到策略管理功能。不同的策略可以挂载到不同的通道上,实现灵活的、细粒度的访问控制。

4.4.2  客户端地址

1. 功能介绍

此功能用于对访问源的IP进行限制。

2. 操作步骤

(1)     定义策略集。选中<策略管理>中的<客户端地址>,再点击<+>按钮,如图。

图4-7 新增客户端地址策略集

 

图4-8 配置客户端地址策略集信息

 

表4-2 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许通过的IP地址集

白名单:即允许通过的IP地址集

配置完成后不允许修改,只能删除重新配置

 

(2)     配置完成之后,点击<保存>,如图。

图4-9 查看配置的策略集

 

(3)     在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加IP地址或网段。

图4-10 为策略集新增策略项

 

设置策略内容是单个IP对象,如下图所示。

图4-11 设置策略内容是单个IP对象

 

设置策略内容是网段对象,如下图所示。

图4-12 设置策略内容是网段对象

 

表4-3 策略内容参数说明

参数

说明

注意事项

名称

定义策略项名称

 

自定义项

设置IP或网段对象

 

 

(4)     设置完成后,点击<保存>,如下图。

图4-13 查看配置的策略信息

 

4.4.3  FTP命令

1. 功能介绍

此功能针对FTP类型通道,对FTP客户端提交的控制命令进行过滤。

2. 操作步骤

(1)     选择<策略管理>中的<FTP>,下拉选择<FTP命令>,点击<+>按钮,新增策略集。

图4-14 新增FTP命令策略集

 

图4-15 配置FTP命令策略集

 

表4-4 FTP命令策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许通过的FTP指令

配置完成后不允许修改,只能删除重新配置;

这个策略没有白名单;

 

(2)     选中策略集,点击<+>,添加策略(内容可以选择也可以自定义,用户选择自定义策略时,格式请和下拉选择的内容格式填写一致)。

图4-16 为策略集新增策略项

 

配置策略内容,点击“保存”后,策略信息如下图所示。

图4-17 查看策略信息

 

4.4.4  FTP下载敏感词

1. 功能介绍

此功能针对FTP类型通道,对FTP下载文件内容进行过滤。

2. 操作步骤

(1)     选择<FTP下载敏感词>,点击<+>,新增策略集。

图4-18 新增FTP下载敏感词策略集

 

表4-5 FTP下载敏感词策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:FTP下载文件中不允许包含的内容

配置完成后不允许修改,只能删除重新配置

该功能仅支持txt文档;

这个策略没有白名单;

 

(2)     选中策略集,点击<+>,添加策略。

图4-19 为策略集新增策略项

 

图4-20 配置策略内容

 

4.4.5  FTP上传敏感词

1. 功能介绍

此功能针对FTP类型通道,对FTP上传文件内容进行过滤。

2. 操作步骤

同FTP下载敏感词一样。

4.4.6  FTP可下载文件名

1. 功能介绍

此功能针对FTP类型通道,对FTP可下载文件名进行过滤。

2. 操作步骤

(1)     选择<FTP可下载文件名>,点击<+>,新增策略集。

图4-21 配置FTP可下载文件名策略集

 

表4-6 FTP可下载文件名策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:FTP不允许下载的文件名

白名单:FTP仅允许下载的文件名

配置完成后不允许修改,只能删除重新配置

 

(2)     选中策略集,点击<+>,添加策略,完成后点击保存。

图4-22 为策略集新增策略项

 

图4-23 配置策略内容

 

4.4.7  FTP可上传文件名

1. 功能介绍

此功能针对FTP类型通道,对FTP上传文件名进行过滤。

2. 操作步骤

同FTP可下载文件名一样。

4.4.8  FTP可删除文件名

1. 功能介绍

此功能针对FTP类型通道,对FTP可删除文件名进行过滤。

2. 操作步骤

(1)     选择<FTP可删除文件名>,点击<+>,新增策略集。

图4-24 配置FTP可删除文件名策略集

 

表4-7 FTP可删除文件名策略集参数说明:

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:FTP不允许删除的文件名

白名单:FTP仅允许删除的文件名

配置完成后不允许修改,只能删除重新配置

 

(2)     选中策略集,点击<+>,添加策略。

图4-25 为策略集配置策略项

 

输入策略内容完成后,点击保存,如下图所示。

图4-26 配置策略内容

 

4.4.9  FTP可下载文件类型

1. 功能介绍

此功能针对FTP类型通道,对FTP可下载文件类型进行过滤。

2. 操作步骤

(1)     选择<FTP可下载文件类型>,点击<+>,新增策略集。

图4-27 配置FTP可下载文件类型策略集

 

表4-8 FTP可下载文件类策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:ftp不允许下载的文件类型

白名单:ftp仅允许下载的文件类型

配置完成后不允许修改,只能删除重新配置

 

(2)     选中策略集,点击<+>,添加策略。

图4-28 为策略集新增策略项

 

输入策略内容完成后,点击保存。

图4-29 配置策略内容

 

4.4.10  FTP可上传文件类型

1. 功能介绍

此功能针对FTP类型通道,对FTP上传文件类型进行过滤。

2. 操作步骤

同FTP可下载文件类型一样。

4.4.11  FTP可删除文件类型

1. 功能介绍

此功能针对FTP类型通道,对FTP删除文件类型进行过滤。

2. 操作步骤

同FTP可下载文件类型一样。

4.4.12  FTP可下载文件大小

1. 功能介绍

此功能针对FTP类型通道,对FTP下载文件大小进行过滤。

2. 操作步骤

(1)     选择<FTP可下载文件大小>,点击<+>,新增策略集。

图4-30 配置FTP可下载文件大小策略集

 

表4-9 FTP可下载文件大小策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:ftp允许下载文件上限

配置完成后不允许修改,只能删除重新配置;

这个策略没有白名单;

 

(2)     选中策略集,点击<+>,添加策略。

图4-31 为策略集配置策略项

 

输入完成后,点击保存。

图4-32 配置策略内容

 

注:设置FTP可下载文件大小时,只输入数字即可。

4.4.13  HTTP URL

1. 功能介绍

此功能针对HTTP/HTTP PROXY类型的通道,对传输的URL进行过滤。

2. 操作步骤

(1)     定义策略集。选中<策略管理>中的< HTTP>,下拉选择<HTTP URL>,点击<+>按钮,新增策略集。

图4-33 配置策略集

 

 

表4-10 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许通过的URL

白名单:即允许通过的URL

配置完成后不允许修改,只能删除重新配置

 

(2)     在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加URL。

图4-34 为策略集配置策略项

 

输入完成后,点击保存:

图4-35 配置策略内容

 

表4-11 策略参数说明

参数

说明

注意事项

名称

定义策略项名称

 

自定义项

设置URL对象

应用于http通道时,策略内容url不包含主机名,如https://www.baidu.com/wenku.html,策略内容不能包含https://www.baidu.com。

应用于http proxy通道时,策略内容可以为url全部或部分。

 

4.4.14  HTTP响应内容类型

1. 功能介绍

此功能针对HTTP/HTTP PROXY类型的通道,对HTTP响应内容类型进行过滤。

2. 操作步骤

(1)     选择<HTTP响应内容类型>,点击<+>,新增策略集。

图4-36 配置策略集

 

表4-12 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许通过的HTTP响应内容类型(例如:text/html)

白名单:即允许通过的HTTP响应内容类型

配置完成后不允许修改,只能删除重新配置

 

(2)     在策略集中定义策略项。选中策略集后,点击下方策略中的<+>按钮添加响应内容类型。

图4-37 为策略集配置策略项

 

输入完成后,点击保存。

图4-38 配置策略内容

 

 

表4-13 策略参数说明

参数

说明

注意事项

名称

定义策略项名称

 

是否自定义

选择是否自定义HTTP响应内容类型

可选常规项,也可以自定义。勾选自定义的时候,下面的类型填写格式(例:image/gif),否则无法识别

策略内容

选择HTTP响应内容类型

 

 

4.4.15  HTTP响应内容敏感词

1. 功能介绍

此功能针对HTTP/HTTP PROXY类型的通道,对HTTP网页内容进行过滤。

2. 操作步骤

(1)     点击选中<HTTP响应内容敏感词>,点击<+>,新增策略集。

图4-39 配置策略集

 

表4-14 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许通过网闸访问含有敏感词的http响应内容

这个策略没有白名单

 

(2)     选中策略集名称,点击<+>,新增策略并保存。

图4-40 配置策略内容

 

注:策略内容(例如:H3C),则不允许通过网闸访问含有<H3C>的http响应内容

4.4.16  HTTP请求方法

1. 功能介绍

此功能针对HTTP/HTTP PROXY类型的通道,对HTTP请求方法进行过滤。

2. 操作步骤

(1)     选中<HTTP请求方法>,点击<+>,新增策略集。

图4-41 配置策略集

 

表4-15 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许通过网闸通过策略里面设置的请求方法(使用不允许的请求方法,没有任何形式的返回信息)

白名单:即只允许通过网闸通过策略里面设置的请求方法

配置完成后不允许修改,只能删除重新配置

 

(2)     选中策略集,点击<+>,新增策略(内容只能选择,不可以自定义)并保存。

图4-42 配置策略内容

 

4.4.17  邮件发件人

1. 功能介绍

此功能针对SMTP邮件类型通道,对发件人邮箱地址进行过滤。

2. 操作步骤

(1)     选择<邮件发件人>,点击<+>,新增策略集。

图4-43 配置策略集

 

表4-16 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许发送邮件的邮箱地址

白名单:即仅允许发送邮件的邮箱地址

配置完成后不允许修改,只能删除重新配置

仅适用于SMTP类型通道

 

(2)     选中策略集,点击<+>,添加策略。

图4-44 配置策略内容

 

注:策略内容需要填写正确的邮箱格式。

4.4.18  邮件收件人

1. 功能介绍

此功能针对POP3邮件类型通道,对收件人邮箱地址进行过滤。

2. 操作步骤

配置同邮件发件人一样。

表4-17 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即不允许接受邮件的邮箱地址

白名单:即允许接受邮件的邮箱地址

配置完成后不允许修改,只能删除重新配置

仅适用于POP3类型通道

 

4.4.19  邮件主题敏感词

1. 功能介绍

此功能针对邮件类型通道,如SMTP、POP3,对邮件主题进行过滤。

2. 操作步骤

(1)     选中<邮件主题敏感词>,点击<+>,新增策略集。

图4-45 配置策略集

 

表4-18 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即该邮件主题包含此类敏感词不允许发送、接受

配置完成后不允许修改,只能删除重新配置

此规则集类型无白名单

 

(2)     选中策略集,点击<+>。

图4-46 为策略集配置策略项

 

4.4.20  邮件内容敏感词

1. 功能介绍

此功能针对邮件类型通道, 如SMTP、POP3,对邮件内容进行过滤。

2. 操作步骤

配置同邮件主题敏感词。

表4-19 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即该邮件正文内容包含此类敏感词不允许发送、接受

配置完成后不允许修改,只能删除重新配置

此策略集类型无白名单

 

4.4.21  邮件附件内容敏感词

1. 功能介绍

此功能针对邮件类型通道, 如SMTP、POP3,对邮件附件内容进行过滤。

2. 操作步骤

(1)     下拉选择邮件附件内容敏感词,点击策略集下<+>,新增策略集。

图4-47 配置策略集

 

 

表4-20 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即该邮件附件正文内容包含此类敏感词不允许发送、接受

配置完成后不允许修改,只能删除重新配置

此策略集类型无白名单

 

(2)     选中指定的策略集,点击策略下<+>按钮,添加策略。

图4-48 为策略集配置策略项

 

表4-21 策略参数说明

参数

说明

注意事项

名称

定义策略名称

可以修改

策略内容

输入允许或者禁止附件中出现的内容

 

 

注意

邮件附件内容目前仅支持txt类型文件的内容过滤。

 

4.4.22  邮件附件类型

1. 功能介绍

此功能针对邮件类型通道, 如SMTP、POP3,对邮件附件以后缀名的方式进行过滤。

2. 操作步骤

(1)     下拉选择邮件附件类型,点击策略集下<+>,新增策略集。

图4-49 配置策略集

 

表4-22 策略集参数说明

参数

说明

注意事项

名称

定义策略集名称

可以修改

过滤类型

黑名单:即该邮件附件后缀名包含此类敏感词不允许发送、接受

白名单:即该邮件附件类型包含此类敏感词允许发送、接受,不包含的不允许发送,接受

配置完成后不允许修改,只能删除重新配置

 

(2)     选中指定的策略集,点击策略下<+>按钮,添加策略。

图4-50 为策略集配置策略项

 

表4-23 策略参数说明

参数

说明

注意事项

名称

定义策略名称

可以修改

策略内容

输入允许或者禁止附件中出现的类型

 

 

4.4.23  挂载策略

策略定义完后并不是对所有通道都生效。必须要将其挂载到需要做过滤的通道上才会起作用。并且策略类型和通道类型是相对应的,比如HTTP的策略只能挂载到HTTP/HTTP PROXY类型的通道上;FTP类型的策略只能挂载到FTP类型的通道上;邮件类型的策略只能挂载到邮件类型的通道上,如SMTP、POP3。仅<客户端地址>策略可以挂载到所有类型通道上。

设置通道时,会在通道设置框上出现可挂载的策略集。

图4-51 为通道挂载策略

 

注意

·     过滤类型分黑名单、白名单两种。白名单控制机制,仅允许和策略内容相符的信息通过,其它都不允许通过黑名单控制机制,只要和策略内容相匹配,都禁止通过,其它都允许通过。每一条通道就相当于一个独立的服务。

·     在一条通道上,某一策略集类型只允许一种过滤类型。若一条通道上需要挂载同一个策略集类型的若干个策略集,要么全部挂载白名单类型策略集,要么全部挂载黑名单类型策略集,不允许既有白名单类型又有黑名单类型。

 

4.5  通道管理

1. 功能介绍

通道是网闸的基本策略。任何穿过网闸的应用都必须通过通道来实现。每一条通道相当于一个应用。当然,有些应用协议比较复杂,可能需要多条通道来实现。以内到外的访问举例,内网访问源(客户端)只能访问到网闸内端系统的IP1,而外网服务端的地址IP2和端口PORT2对于内网访问源来说是路由不可达。准确的说,是TCP/IP协议无法到达的。网闸通道,就是将外网服务端IP2和PORT2映射到内端系统IP1的某一个端口PORT1上,构成一对一的映射关系。当内网客户端访问IP1上的PORT1时,就好像在外网直接访问IP2上的PORT2服务一样。外到内的访问也类似,不再举例。

图4-52 网络拓扑示意图

IMG_256

 

注意

网闸配置的方向是指TCP层访问方向。当两边连接建立起来后,其上层应用数据是可以双向传输的。

 

2. 操作步骤

(1)     点击<通道管理>

图4-53 通道管理页面

 

(2)     点击<+>,添加新的应用通道,参数配置如下表。点击保存并启用可直接启用通道,点击保存可保存通道,需要手动启用。

图4-54 通道配置

 

 

表4-24 通道配置参数说明

参数

说明

注意事项

类型

共有TCP、UDP、HTTP、HTTP_PROXY、FTP、ORACLE、SMTP、POP3、SIP-28181-UDP、SIP-28181-TCP、SIP-DB33、RTSP、Modbus、OPC这几种协议。配置应用时请选择对应协议类型

HTTP_PROXY为HTTP代理功能,靠近服务器的那一端系统需要设置DNS(参考DNS配置),并且客户端的浏览器必须设置代理模式,其代理地址为通道监听IP地址,代理端口为通道监听端口

通道方向

客户端访问服务器的方向

客户端在内端机一侧就选内端机

客户端在外端机一侧就选外端机

端口类型

通道的端口类型

端口段类型监听端口需与目的端口一致

监听地址

网闸内/外端机映射的接口IP

任意两条通道的监听地址和监听端口,不允许完全相同。即同一个源机IP和源机端口的组合只能映射一个服务。

监听端口

网闸内/外端机映射的服务端口

目的地址

另一端实际服务器的IP地址

 

目的端口

另一端实际服务器的服务端口

 

监听端口段

端口段模式下监听端口和目的端口范围

端口段类型配置时,以“,:”分隔的段数不能超过15位

空闲超时时间

链接超时时间设置

设置为0S时,不检测

FIN超时时间

半链接超时时间设置

本功能仅E6006P03之前的版本才支持

可访问时间段

可以设置通道允许访问的时间段,在可访问时间段内进行传输,通道正常使用无变化;

在不可访问时间段内进行传输,通道不能正常使用,如同黑名单策略,通道不能进行传输

本功能仅E6006P03及其之后的版本才支持;

Sip通道不能使用可访问时间段;

不在访问时间段传输的通道,传输动作不记入日志,无应用日志。

连接地址

网闸靠近服务端的IP地址。重新封装数据包时,以此IP作为源地址

若网闸到服务端不在同一网段,并且多个网口设置了不同网段的IP。请选择正确出口IP,避免服务器返回的报文因没有回址路由而丢失。

策略集

选择通道挂载的策略

一条通道上,相同类型的策略只能挂载同一种过滤类型的策略集

备注

备注信息

 

 

(3)     选中通道ID勾选框,并点击左上方的<启用>或<停用>按钮,即可启动或停止通道服务,如下图。

图4-55 通道管理

 

说明:图上符号依次代表:添加、修改、删除、刷新、启用、停用、下载通道、上传通道。

详细下方对应的蓝色“i”图标,可查看通道配置详细。

注意

·     策略集:一个通道上可挂载多个策略做进一步的应用层过滤,或者对访问源IP地址进行限制。如果把通道比作通往另一端服务的管道,那么策略集就好像管道中的过滤网,用来过滤非法访问及数据传输。关于策略集配置将在下一段做详细介绍。

·     通道添加完毕后会默认开启服务。每一条通道就相当于一个独立的服务。

·     编辑或删除通道前,必须先将通道停用。

·     编辑完毕后,需要启用通道才能使用。

·     FTP、SMTP、POP3、HTTP以及TCP协议通道支持ipv6,此功能仅E6006P03及其以上版本才支持。

·     使用ipv6通道,支持端口段。

·     端口段类型配置时,以“,:”分隔的段数不能超过15位。

·     端口段类型通道,不记录应用日志。

·     UDP类型通道,只记录拒绝的应用日志。

·     FTP通道使用端口段时,被动模式:监听端ip与目的端ip配置为相同ip地址。主动模式:客户端ip与连接端ip配置为相同ip地址,且放行服务器至客户端方向>1024端口的tcp端口段通道。

·     RTSP和SIP通道使用端口段时,监听地址和目的地址需保持一致。

·     网闸默认不主动释放连接,若有业务存在客户端不释放连接的情况,需根据业务情况配置通道空闲超时时间,在连接无数据传输时,网闸主动释放连接。否则会导致连接不释放占用系统并发连接,影响业务使用

 

4.6  业务邮件告警

1. 功能介绍

设置指定连接数的阈值,达到阈值向指定邮箱发送邮件,以示提醒。本功能仅E6006P03及其以上版本才支持。

2. 操作步骤

(1)     点击<业务邮件告警>,显示内容如下图

图4-56 业务邮件告警配置页面

 

表4-25 邮件告警配置参数说明

参数

说明

注意事项

连接数阈值

通道连接数达到设置阈值时会发送告警邮件到设置的邮箱中

 

邮件告警周期

设置邮件告警的周期,默认为30,单位为分钟,可自行修改

 

邮件告警类型

设置邮件告警类型,分为通道连通性告警、连接数告警、连接阈值告警三种。

 

是否发送告警邮件

勾选是否发送告警邮件

 

收件人邮箱地址

用于接收告警邮件的邮箱地址

 

发件人服务器地址

用于发送告警邮件的邮件服务器地址

配置为域名时需要配置内网端dns服务器

发件人邮箱账号

用于发送告警邮件的邮箱账号

 

发件人邮箱密码

用于发送告警邮件的邮箱密码

 

 

(2)     设置完成后,点击保存按钮。

 

注意

设置完毕后,可以点击“邮件测试”按钮,查看告警是否设置成功。

 

4.7  文件同步

4.7.1  文件同步支持类型

支持windows/linux下的SMB、NFS、FTP、SFTP类型的文件同步。

4.7.2  文件同步功能介绍

提供服务器之间文件目录同步的交换功能,当有文件需要传输时不再需要人工干预手动传输,目录中的文件可自动进行传输。

4.7.3  共享目录管理

1. 功能介绍

在内外端机上添加要同步的服务器目录对象

2. 操作步骤

(1)     选择“内端机”或“外端机”,点击<+>按钮,添加同步目录对象

图4-57 配置内、外共享目录对象

 

(2)     配置同步目录相关参数如下:

图4-58 共享目录配置页面

 

表4-26 共享目录参数说明

参数

说明

注意事项

共享类型

选择传输方式:SMB、NFS、FTP、SFTP

FTP协议传输方式仅E6006P03及其以上版本才支持

NFSwindows ipv6不支持

IP

从网闸内端机/外端机所要连接服务器的IP地址

 

端口

服务器服务端口

SMB默认端口:445

NFS默认端口:111

FTP默认端口:21

SFTP默认端口:22

共享目录

服务器的目录名称

SMB共享目录不用在目录前加“/”;NFS共享目录E6006及其之前版本要加“/”; NFS共享目录E6006之后版本不用在目录前加“/”;NFS共享目录在服务器为linux系统时要写全路径;FTP和SFTP无共享目录

同步目录

位于共享目录下的子目录名称

在FTP和SFTP设置中是根目录下的子目录,且目录前需要加“/”

共享账号

服务器所在的用户账号

NFS无共享账号

密码

服务器所在的用户密码

NFS无密码设置

 

(3)     输入完成配置后,先点击“测试连接”按钮,测试服务器上的传输目录是否与网闸链接畅通:

图4-59 测试连接

 

如果测试连接成功,则显示如下页面:

图4-60 测试成功提示页面

 

不成功,则会显示如下:

图4-61 测试失败提示页面

 

注意

如果内外端机所要连接的服务器不在一个网络里,那么内外端机所对应的服务器是分开测试的,即内端机所对应的服务器,测试连接只能测试与内端机的连接是否畅通,外端机亦然;也就是不可用内端机的测试连接去连外端机服务器,反之同样。

 

(4)     在输入配置和测试连接完成后,点击“保存”按钮退出。

图4-62 查看共享目录配置

 

3. 配置举例

图4-63 SMB目录配置举例

 

图4-64 NFS目录配置举例(E6006及其之前版本)

图4-65 NFS目录配置举例(E6006之后版本)

 

图4-66 FTP目录配置举例

 

注意

·     文件同步支持FTP协议,本功能仅E6006P03及其以上版本才支持

·     FTP文件同步不支持双向传输。

 

图4-67 SFTP目录配置举例

 

4.7.4  文件类型管理

1. 功能介绍

文件类型管理是通过检测文件的类型特征码再加上自定义的名字类型标记,用以配合策略使用

2. 操作步骤

(1)     在“类型名称”中输入正确格式的名称(可以输入任何英文字符但不能超出32位同时不能输入空格):

图4-68 文件类型配置页面

 

(2)     点击“选择文件”按钮,浏览本地资源,选择上传文件。

图4-69 点击上传文件

 

(3)     点击“生成特征码”按钮后,生成“样本文件名”和“文件特征码”。

图4-70 生成特征码

 

(4)     点击“保存”按钮退出,显示保存成功

图4-71 配置成功的提示页面

 

图4-72 查看添加的文件类型

 

注意

只能上传小于50M的文件

 

4.7.5  文件后缀名过滤

1. 功能介绍

文件后缀名过滤是通过检测文件的后缀名,用以配合策略使用。本功能仅E6006P03及其以上版本才支持。

2. 操作步骤

(1)     在“类型名称”中输入正确格式的名称(可以输入小写字母、数字或特殊符号,不能超过64个字符):

图4-73 文件后缀名配置页面

 

(2)     点击“保存”按钮退出,显示保存成功

图4-74 配置成功的提示页面

 

图4-75 查看添加的文件后缀名

 

注意

后缀名过滤不区分大小写,只能输入小写字母

 

4.7.6  文件内容过滤管理

1. 功能介绍

文件内容过滤管理是通过检测文件的内容,用以配合策略使用。本功能仅E6006P03及其以上版本才支持。

2. 操作步骤

(1)     在“过滤内容”中输入想要过滤的内容信息(最多输入64位字符或21个汉字):

图4-76 文件内容过滤配置页面

 

(2)     点击“保存”按钮退出,显示保存成功

图4-77 配置成功的提示页面

 

图4-78 查看添加的文件过滤内容

 

注意

仅支持txt类型文件内容过滤。

 

4.7.7  同步任务管理

1. 功能介绍

配置文件同步任务

2. 操作步骤

(1)     进入文件同步“同步任务管理”,点击“添加”按钮,进入任务配置。

图4-79 添加文件同步任务

 

(2)     填写任务名称。

图4-80 添加任务名称

 

(3)     设置扫描间隔时间(一般默认)。

图4-81 填写扫描间隔时间

 

(4)     设置任务开始时间、结束时间。

图4-82 选择任务开始和结束时间

 

(5)     选择同步方向。

图4-83 配置同步方向

 

(6)     选择勾选“是否删除源文件”,相当于剪切模式,勾选后传输完成源端文件删除。

图4-84 选择“是否删除源文件”

 

(7)     在已勾选“是否删除源文件”选项后,出现新选项“是否删除源目录”,如勾选后可将指定源目录删除。

图4-85 选择“是否删除源目录”

 

注意

移动源端模式下,勾选是否删除源目录,同时弹出保留目录层数下拉框,选择要保存的层数,注意目录的权限问题。

 

(8)     选择勾选“是否同步删除”,在复制模式下,源端一文件被删除,目的端同步删除此文件。

图4-86 选择“是否同步删除”

 

注意

选择双向同步时不能勾选是否删除源文件和是否同步删除。

 

(9)     设置优先级。

图4-87 配置优先级

 

(10)     勾选内端机传输目录对象。

图4-88 选择内端机传输目录对象

 

(11)     勾选外端机传输目录对象。

图4-89 选择外端机传输目录对象

 

(12)     选择所采取的文件类型策略(过滤模式)。

图4-90 选择文件类型过滤模式

 

(13)     勾选要使用的策略中所采取的类型。

图4-91 选择文件类型过滤格式

 

(14)     选择所采取的文件后缀名策略(过滤模式)。

图4-92 选择过文件后缀名滤模式

 

(15)     勾选要使用的策略中所采取的类型。

图4-93 选择文件后缀名过滤格式

 

(16)     选择所采取的文件内容策略(过滤模式)。

图4-94 选择文件内容过滤模式

 

(17)     勾选要使用的策略中所采取的类型。

图4-95 选择文件内容过滤格式

 

(18)     点击“保存”按钮退出,任务创建完毕。

图4-96 配置完成提示页面

 

图4-97 查看同步任务

 

(19)     点击“保存并启用”退出,任务创建并启动同步任务。

图4-98 任务创建完成并启动同步任务

 

(20)     勾选一个任务,点击“显示详细”,可以看到任务配置详情。

图4-99 查看同步任务配置详情

 

 

此时点击“隐藏详细”或点击右上角关闭按钮,可退出任务详情

 

注意

·     同步任务最多只能同时存在20个。

·     文件同步支持跨协议。

·     文件内容过滤为新增功能。

·     文件同步支持ipv6 (除windows下nfs)。

 

4.7.8  文件传输状态

1. 功能介绍

在任务启动的过程中显示传输中的进度状况。

2. 操作步骤

打开文件传输状态即可查看。同时最多显示8个文件,每2秒刷新一次。

图4-100 查看文件传输状态

 

注意

本页面不同版本存在差异,请以设备实际情况为准。

 

4.8  数据库同步

4.8.1  数据库同步支持版本

mysql5.0.77及以上版本

Oracle10g、11g、12c

Sqlserver2005及以上版本

Db2 9.7及以上版本

4.8.2  数据库同步功能介绍

将网闸内外端数据库进行同步,实现内、外网之间,自动安全信息交换。

此功能需要License开启。

4.8.3  同步数据库配置

1. 功能介绍

添加网闸内外网需要同步的数据库连接方式。可进行测试连接和强制删除操作。

2. 操作步骤

(1)     选择内端机

图4-101 内网同步数据库的配置页面

 

(2)     点击<+>新增节点

图4-102 新增内网同步数据库

 

(3)     填写数据库配置

图4-103 同步数据库参数配置

 

表4-27 同步数据库参数说明

参数

说明

描述

填写该配置描述信息

数据库类型

选择配置数据库

可选择:

Mysql类型

Oracle类型

Db2类型

Sqlserver类型

数据库地址

使用数据库地址

数据库端口

使用数据库端口

数据库名称

使用database

数据库用户名

使用数据库用户(具有dba和远程连接权限)

数据库密码

使用用户密码

Jdbc参数

Mysql的jdbc参数可选择配置;Sqlserver数据库同步时,同步表中涉及date、time等时间字段时,需添加Jdbc参数:sendTimeAsDateTime=false

 

图4-104 填写同步数据库参数

 

(4)     点击测试连接,是否可以连接到数据库

图4-105 测试数据库连接

 

(5)     测试连接成功后,点击保存按钮。

图4-106 查看配置完成的同步数据库

 

内端机节点创建成功。

(6)     外端机节点创建步骤与内端机相同

(7)     数据库创建后的测试连接

图4-107 点击测试连接

 

(8)     强制删除功能

页面右上角勾选强制删除功能,显示强制删除按钮。

图4-108 勾选强制删除

 

点击需要强制删除的数据库,确认即可强制删除数据库配置。

图4-109 点击强制删除

 

注意

·     数据库同步内外端最多各支持配置20个。

·     强制删除功能会导致数据库中存在残留配置,仅限网闸与数据库无法正常连接时使用,正常情况下通过网闸正常删除即可。

·     强制删除功能会导致数据库同步服务重启,在一侧强制删除后需要等待重启完成后才能继续进行操作,否则可能导致配置下发混乱,连续强制删除操作之间间隔一分钟。

·     强制删除功能需要内外端数据库成对使用,不能只删除一端数据库。

·     Sqlserver数据库同步时,同步表中涉及date、time等时间字段时,需添加Jdbc参数:sendTimeAsDateTime=false

 

4.8.4  关联数据库

1. 功能介绍

将网闸内、外网需要进行同步的数据库进行关联。

2. 操作步骤

(1)     点击<+>添加数据库关联

图4-110 添加数据库关联

 

(2)     选择待使用内端机数据库,选择待使用外端机数据库

图4-111 选择内、外端关联数据库

 

(3)     点击保存

图4-112 保存关联数据库配置

 

(4)     数据库关联创建成功

图4-113 查看已配置的关联数据库

 

关联数据库成功

4.8.5  同步表配置

1. 功能介绍

配置添加内、外网数据库中的需要进行同步的表。

2. 操作步骤

(1)     添加同步表配置

选择关联的数据库,点击<+>添加

图4-114 添加关联数据库的同步表

 

点击查询源表按钮和查询目的表按钮,查询内外端数据库中的表,选择同步配置。

Oracle/sqlserver/db2需填写schema进行过滤,schema必须为大写。

图4-115 查询源表和目的表

 

 

表4-28 同步表管理的参数说明

参数

说明

内端catalog、

外端catalog

用于配置表属于数据库中的catalog(默认不用选择配置)

内端schema、

外端schema

用于配置表属于数据库中的schema

Oracle、Sqlserver 、Db2数据库必须填写,schema必须为大写

内端表

选择使用要同步的表

外端表

选择使用要同步的表

同步方向

选择同步的方向

同步配置

选择需要同步的操作

 

配置时可选择“自定义同步冲突策略”,如果使用主键列进行更新,在插入过程中已经存在一行,则会产生主键冲突。“同步冲突检查机制”选择“主键检查决策”时,可解决主键冲突。“同步冲突解决机制”选择“软件自主判断”时进行插入或更新,则根据目的端的主键进行更改;选择“忽略”时,则自动忽略传入的更改。

图4-116 选择自定义同步冲突策略

 

选择“时间戳”时,如果同步数据和目的端数据的时间戳列存在冲突,则会进行比较,选择最新的时间。

图4-117 选择时间戳

 

配置完成后,点击保存, 查看同步表管理配置。

图4-118 查看已配置的同步表管理

 

(2)     修改同步表配置

选中同步表点击修改。

图4-119 修改同步表配置

 

可进行修改同步方向、同步配置。

图4-120 修改同步方向、同步配置

 

注意

·     同步表添加后可以修改表的同步方向,同步配置,如有主外键表,则要先修改主表且表配置必须一致。

·     数据库同步支持自定义同步冲突功能。

·     冲突检查机制选择“时间戳”时,时间戳列只能选择时间类型的属性列。

·     本页面不同版本存在差异,请以设备实际情况为准。

 

4.8.6  数据库同步配置状态

1. 功能介绍

查看数据库同步配置中的节点配置文件状态,节点创建状态,节点关联状态,同步表触发器状态,同步表路由状态,同步表触发器路由状态等。

2. 操作步骤

点击菜单<数据库同步配置状态>进行查看。

图4-121 查看数据库同步配置状态

 

注意

·     数据库同步支持ipv6。

·     数据表出现错误时,可通过重启数据表来修复。

·     本页面不同版本存在差异,请以设备实际情况为准。

 

4.9  系统日志审计

4.9.1  系统资源信息

1. 功能介绍

该日志显示系统资源使用情况,包含CPU、内存、磁盘等占用量信息。

2. 操作步骤

(1)     点击<系统资源信息>菜单,进入查询页面,默认显示内端机系统资源信息。

图4-122 查看内端机系统资源信息

 

(2)     选择<系统>下的外端机,查看外端机系统资源信息。

图4-123 查看外端机系统资源信息

 

4.9.2  系统连接数

1. 功能介绍

该日志显示网闸通道的并发连接数。

2. 操作步骤

(1)     点击<系统连接数>菜单,进入查询页面。

图4-124 查看通道的系统连接数

 

(2)     输入通道ID后,点击查询,查看对应通道的并发连接数。

图4-125 查询指定通道的系统连接数

 

注意

端口段形式配置的通道不记录并发连接数。

 

4.9.3  应用日志

1. 功能介绍

查询、导出、删除通道连接日志以及策略匹配的结果,等级在应用日志等级中调整。

2. 操作步骤

(1)     点击<应用日志>菜单,进入应用日志页面,默认显示所有应用日志

图4-126 查看应用日志

 

(2)     点击<日志查询>按钮,配置过滤条件,查看符合指定条件的应用日志。

图4-127 设置过滤条件筛选应用日志

 

可通过重置按钮清空过滤条件。

(3)     点击<导出日志>按钮,配置过滤条件,设置导出文件密码,导出所有或指定的应用日志。

图4-128 导出应用日志

 

可通过重置按钮清空过滤条件。

(4)     点击<删除日志>按钮,配置过滤条件,删除所有或指定的应用日志。

图4-129 删除日志

 

可通过重置按钮清空过滤条件。

注意

查看应用日志必须先开启应用日志等级。

 

(5)     点击<日志等级设置>按钮,选择应用日志等级,并保存。

图4-130 日志等级设置

 

应用日志分3个级别,分别是不开启、记录被禁止的连接、记录所有连接。考虑到存储空间有限,建议仅仅在查找问题时使用该功能,平常尽可能选择不记录。

图4-131 选择应用日志等级

 

4.9.4  管理操作日志

1. 功能介绍

查询、导出、删除审计管理员登录配置信息。

2. 操作步骤

(1)     点击<管理操作日志>菜单,进入管理操作日志页面,默认显示审计管理员所有操作记录。

图4-132 查看管理操作日志

 

(2)     点击<日志查询>按钮,配置过滤条件,查看符合指定条件的管理操作日志。

图4-133 配置过滤条件筛选管理操作日志

 

可通过重置按钮清空过滤条件。

(3)     点击<导出日志>按钮,配置过滤条件,设置导出文件密码,导出所有或指定的管理操作日志。

图4-134 导出管理操作日志

 

可通过重置按钮清空过滤条件。

(4)     点击<删除日志>按钮,配置过滤条件,删除所有或指定的管理操作日志。

图4-135 删除管理操作日志

 

可通过重置按钮清空过滤条件。

4.9.5  文件同步日志

1. 功能介绍

查询、导出、删除文件同步过程中的文件同步信息。

2. 操作步骤

(1)     点击<文件同步日志>菜单,进入文件同步应用日志页面。

图4-136 查看文件同步应用日志

 

(2)     点击<日志查询>按钮,配置过滤条件,查看符合指定条件的文件同步日志。

图4-137 配置过滤条件筛选文件同步应用日志

 

可通过重置按钮清空过滤条件。

(3)     点击<导出日志>按钮,配置过滤条件,导出所有或指定的文件同步日志。

图4-138 导出文件同步日志

 

可通过重置按钮清空过滤条件。

(4)     点击<删除日志>按钮,配置过滤条件,删除所有或指定的文件同步日志。

图4-139 删除文件同步日志

 

可通过重置按钮清空过滤条件。

4.9.6  数据库同步日志

1. 功能介绍

查询、导出、删除数据库同步过程中的数据库同步信息。需要License开启数据库同步功能后才可查看。

2. 操作步骤

(1)     点击<数据库同步日志>菜单,进入数据库同步应用日志页面。

图4-140 查看数据库同步应用日志

 

(2)     点击<日志查询>按钮,配置过滤条件,查看符合指定条件的数据库同步日志。

图4-141 设置过滤条件筛选数据库同步应用日志

 

可通过重置按钮清空过滤条件。

(3)     点击<导出日志>按钮,配置过滤条件,导出所有或指定的数据库同步日志。

图4-142 导出数据库同步日志

 

可通过重置按钮清空过滤条件。

(4)     点击<删除日志>按钮,配置过滤条件,删除所有或指定的数据库同步日志。

图4-143 删除数据库同步日志

 

可通过重置按钮清空过滤条件。

4.10  License管理

4.10.1  功能介绍

对视频模块、数据库同步模块和工控模块的授权进行控制,导入和显示视频模块、数据库同步模块和工控模块的授权信息。

4.10.2  License导入

1. 功能介绍

用于导入License,开放对应模块功能

 

2. 操作步骤

(1)     点击<License导入>菜单,进入License导入页面

图4-144 License导入页面

 

(2)     点击<选择文件>按钮,选择License文件

图4-145 选择License文件

 

(3)     点击<导入License>按钮,导入License

图4-146 点击导入License

 

4.10.3  License模块信息

1. 功能介绍

显示License模块授权信息,包括模块状态和有效时间。

2. 操作步骤

(1)     点击<License模块信息>菜单,进入License功能模块页面,查看当前License状态。

图4-147 查看当前License状态

4.11  安全管理功能

4.11.1  功能简介

修改当前登录用户密码和退出Web管理端。

4.11.2  操作步骤

(1)     点击界面右上角用户,弹出窗口。

图4-148 安全管理设置页面

 

(2)     选择窗口中的功能,进行修改密码和退出Web管理端操作。

图4-149 安全管理功能

 

5 审计管理员

5.1  审计管理端

5.1.1  登录审计管理端

审计管理端登录方式和系统管理端一样:

·     用户名:audit

·     密码:audith3c

·     网闸默认Web管理端IP地址:https://192.168.0.1

5.1.2  审计管理端功能介绍

图5-1 H3C网闸审计管理端界面

 

表5-1 审计管理端功能介绍

功能说明

用户及权限管理

用户管理

新建审计管理员账号,设置用户级别

菜单管理

查看和修改菜单级别

审计管理功能

修改密码

修改audit用户的登录密码

安全退出

退出当前audit用户

日志管理

管理操作日志

系统管理端、安全管理端的配置管理日志信息

日志回滚及警告

设置系统最小和最大日志保存数及日志告警设置

 

5.2  用户管理

5.2.1  用户管理

1. 功能简介

用户管理功能用于添加审计管理员,并设置其用户级别。

2. 操作步骤

(1)     点击<用户及权限管理>的<用户管理>,点击左上方<+>按钮。

图5-2 添加审计管理员

 

 

(2)     点击按钮,弹出新增用户窗口,输入用户名和密码,选择用户级别。

图5-3 配置审计管理员信息

 

注意

·     添加用户时可配置用户的一级、二级、三级级别,一级最高,三级最低。

·     若要使用指纹认证功能,需要使用IE11浏览器和指纹采集器。

·     本页面不同版本存在差异,请以设备实际情况为准。

 

5.2.2  菜单管理

1. 功能简介

用于查看菜单名称和修改菜单级别。本功能仅E6006P03及其以上版本才支持。

2. 操作步骤

(1)     点击<用户及权限管理>的<菜单管理>,选择对应的菜单,点击左上方<修改>按钮。

图5-4 查看功能菜单

 

(2)     点击按钮,弹出设置菜单级别窗口,选择对应的级别。

图5-5 设置菜单级别

 

注意

·     功能菜单可配置为一级、二级、三级级别,一级最高,三级最低。

·     管理员可访问所有菜单,并拥有对菜单打标的权限。

·     不同级别的用户仅可访问对应级别的菜单,例如二级用户只可访问二级和三级菜单。

·     默认菜单级别为一级菜单,之前已添加用户的级别为一级。

 

5.3  日志管理

5.3.1  管理操作日志

1. 功能介绍

查询、导出、删除系统管理端和安全管理端的配置管理信息。

2. 操作步骤

请参考安全管理端管理操作日志。

5.3.2  日志回滚及告警

1. 功能介绍

设置日志最大和最小保留条数,以及达到设置阈值后邮件告警。

2. 操作步骤

(1)     点击<日志回滚及告警>菜单,进入设置页面。

图5-6 设置日志回滚及告警

 

(2)     配置日志回滚及告警参数,输入完成后,点击保存,参数说明如下。

表5-2 日志回滚及告警参数说明

功能名称

说明

注意事项

日志回滚后最小保留数(条)

日志条数达到最大条数时,保留最近时间的日志条数

 

日志回滚阈值(条)

日志条数达到此阈值时开始回滚,删除旧的日志

 

邮件告警阈值(条)

日志条数达到设置条数时会发送告警邮件到设置的邮箱中

值要在最大和最小日志之间

是否发送告警邮件

是否勾选开启发送邮件

 

收件人邮箱地址

用于接收告警邮件的邮箱地址

 

发件人服务器地址

用于发送告警邮件的邮件服务器地址

配置为域名时需要配置内网端dns服务器

发件人邮箱账号

用于发送告警邮件的邮箱账号

 

发件人邮箱密码

用于发送告警邮件的邮箱密码

 

 

注意

开启邮箱告警功能后,从网闸MAN口发出系统告警邮件,请确保MAN口能够和邮件服务器正常通信。

 

5.4  审计管理功能

5.4.1  功能简介

修改当前登录用户密码和退出Web管理端。

5.4.2  操作步骤

(1)     点击界面右上角用户,弹出窗口。

图5-7 审计管理设置页面

 

(2)     选择窗口中的功能,进行修改密码和退出Web管理端操作。

图5-8 审计管理功能

 

6 管理软件常见报错信息FAQ

6.1  报错情况1

·     问题现象:网卡绑定,无法绑定,删除或者修改,出现如下提示:

图6-1 网卡绑定失败提示页面

 

·     问题产生条件:

(1)     通道中正在使用此网卡上的IP

(2)     HA设置中正在使用此网卡

(3)     路由设置中正在使用此网卡

(4)     设置ARP绑定模式时,ARP目标IP地址设置错误

(5)     网闸内部通信异常,请致电我公司技术支持部,进一步排错指导

·     规避措施:

(1)     删除此通道或清空此网卡上IP

(2)     取消HA监视此网卡

(3)     清空此网卡IP绑定的路由

(4)     请检查此IP是否有效

6.2  报错情况2

·     问题现象:路由管理,无法添加路由,并提示失败。

图6-2 路由添加失败提示页面

 

·     问题产生条件:

(1)     选择的网卡上没有配置IP地址

(2)     网关IP地址网段没有和所选网卡IP地址对应

(3)     网闸内部通信异常,请致电我公司技术支持部,进一步排错指导

·     规避措施:

(1)     确认网卡上是否有相应的IP

(2)     确认编辑路由时各项设置是否正确

6.3  报错情况3

·     问题现象:配置导入失败,并提示操作失败。

图6-3 配置导入失败提示页面

 

·     问题产生条件:

(1)     配置文件不匹配

(2)     导入的配置文件设置有密码

(3)     网闸内部通信异常,请致电我公司技术支持部,进一步排错指导

·     规避措施:

(1)     检查导入的文件是否匹配

(2)     确认导入的文件是否设置的有密码

6.4  报错情况4

·     问题现象:无法给正常通道添加策略,停用、启用通道等操作失败时,并提示失败。

图6-4 通道管理失败提示页面

 

·     问题产生条件:网闸内部通信异常,请致电我公司技术支持部,进一步排错指导

6.5  报错情况5

·     问题现象:FTP通道挂载可下载或者可上传敏感词策略时,不生效。

·     问题产生条件:

(1)     FTP通道上追加的FTP可上传和下载敏感词策略不是txt格式类型

(2)     网闸内部通信异常,请致电我公司技术支持部,进一步排错指导

·     规避措施:使用此类型策略时,文件类型需要使用txt格式。

6.6  报错情况6

·     问题现象:执行重置或者重启命令时,内外端机系统无法正常启动。

·     问题产生条件:执行类似重启命令时

·     规避措施:切断电源,然后插上电源重新开机启动

7 注意事项

注意事项是为保护用户和其它人免遭可能发生的人体伤害、财产损失或者其它损害以及如何正确、顺利地操作设备提供了重要信息,把可能发生的危害减少到最低点。

注意

·     不要擅自拆卸或修理设备。

·     设备应远离火源或者加热器等热源,否则可能引起设备故障或不工作。

 

警告

·     如果设备散发出烟雾或者任何不正常的气味,立刻采取下列措施:

1、关掉设备电源开头。

2、把电源插头从电源插座上拔掉。

3、联系我们。

·     如果设备受到重摔或者严重的电击,要立刻关掉设备,把电源插头从电源插座上拔掉。

·     用干燥的手把电源插头牢固地插进电源插座里。

·     必须使用本机所附带的电源线。

·     在使用设备时,不要使用超过电额限量的电源插座或接线工具。

·     不要把装满液体的敞口容器,如杯子放在设备附近。

·     不要让诸如订书钉、回形针等金属物进入设备内。

 

注意

·     不要把物体放在设备上面遮住上面的通风孔。

·     不要使用有机溶剂擦洗设备,例如苯或稀释剂。

·     不要用湿布擦拭设备表面。

·     如无遇到特殊情况需要关闭设备时,请不要直接拔下电源。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们