28-系统管理
本章节下载 (776.02 KB)
目 录
可以通过手动点击导入许可证来对应用监控升级服务/URL分类库升级服务/恶意URL分类库升级服务进行授权。如图1-1所示。
图1-1 导入许可证图
通过菜单“系统管理 > 许可证”,进入如图1-2所示页面。配置项含义如表1-1所示。
图1-2 手动导入许可证页面
表1-1 手动导入许可证配置项含义描述表
标题项 |
说明 |
导入许可证 |
对系统软件进行授权。 |
可以通过手动本地升级系统软件版本和特征库,也可自动升级URL分类特征库和应用控制特征库。如图1-3所示。
通过菜单“系统管理 > 系统设定 > 系统升级”,进入如图1-4所示页面。各个配置项含义如表1-2所示。
标题项 |
说明 |
系统软件 |
升级系统软件版本。 |
URL分类特征库 |
升级URL分类特征库。 |
应用控制特征库 |
升级应用控制特征库。 |
入侵防御特征库 |
升级入侵防御特征库 |
病毒防护特征库 |
升级病毒防护特征库 |
通过菜单“系统管理 > 系统设定 > 系统升级”,进入如图1-5所示页面,页面中的红色圈选部分为配置项。各个配置项含义如表1-3所示。
标题项 |
说明 |
默认升级服务器 |
升级服务器设为默认升级服务器。 |
指定升级服务器 |
设置升级服务器地址。 |
定期升级 |
启用定期自动升级。 |
每周 |
按星期定期自动升级。 |
每月 |
按每月日期自动升级,日期间以“,”分隔。 |
时间 |
每次自动升级的当天时间。 |
点击<提交>按钮,提交自动升级配置。
点击<立即升级>按钮,可立即更新特征库,无需等到自动升级指定时间点,首次配置设备时建议进行一次立即升级。
采用自动升级功能时,需要在设备上设定有效的DNS。
通过菜单“系统管理 > 系统设定 > 系统升级”,进入如图1-6所示页面,通过页面中的红色圈选部分,查看升级记录。
通过菜单“系统管理 > 系统设定 > 系统重启”,进入如图1-7所示页面,选择“系统重启”。
点击<提交>按钮,重启系统。
通过菜单“系统管理 > 系统设定 > 系统重启”,进入如图1-8所示页面,选择“恢复出厂设置”。
点击<提交>按钮,恢复出厂设置。
通过菜单“系统管理 > 系统设定 > 配置文件”,进入如图1-9所示页面,管理配置文件。各个配置项的含义如表1-4所示。
标题项 |
说明 |
系统配置导入 |
从本地主机中选择要导入的配置文件上传至设备。 |
系统配置导出 |
将保存的配置导出至本地主机。 注:导出的文件是UTF-8编码模式。 |
双备份配置 |
可以选择拷贝主配置文件到备份配置文件,或恢复备份配置文件到主配置文件。恢复备份配置后,需重启系统配置才可生效,重启前请勿保存配置。 |
设备出厂的默认配置自动创建了一个超级管理员用户admin,使用这个账号,可以登录设备对设备进行配置,包括配置其它的管理员,每个管理员都有它的管理地址。
管理员是登录设备对设备进行配置管理的用户。通过菜单“系统管理 > 管理员 > 管理员”,进入管理员界面,如图1-10所示。各个显示项含义如表1-5所示。
图1-10 本地管理员显示界面
标题项 |
说明 |
用户名 |
管理员的名称。 |
角色 |
有两种管理员角色: · 管理员角色; · 审计员角色。 |
认证类型 |
有三种认证类型: · 本地认证; · RADIUS认证; · LDAP认证。 |
描述 |
管理员的描述信息。 |
管理地址 |
管理员的管理地址,只有在这个范围内的地址才能通过此管理员来管理设备。 |
点击图1-10的<新建>按钮,可以进入如图1-12所示的新建管理员界面。各个配置项的含义如表1-6所示。
配置项 |
说明 |
用户名 |
管理员的名称。 |
描述 |
针对管理员的说明。 |
认证类型 |
选择创建的账号的认证类型,选择第三方RADIUS和LDAP服务器认证时需提前配置服务器。 |
密码 |
用户对应的密码,最少6个字符。 |
确认密码 |
对输入的密码进行确认输入。 |
本地 |
在本地进行管理员认证。 |
RADIUS |
如果在用户组中包含了用户名、RADIUS服务器,如果用户本地存在则在本地进行认证,若不存在则发往RADIUS服务器进行认证。 |
LDAP |
如果在用户组中包含了用户名、LDAP服务器,如果用户本地存在则在本地进行认证,若不存在则发往LDAP服务器进行认证。 |
管理IP |
管理IP栏可以配置授权地址,最多可配置3个。缺省情况下,从任何地址都可以登录设备进行配置管理。 |
角色 |
管理员的角色,可选取管理员或审计员。 |
通过菜单“系统管理 > 系统管理员 > 管理员”,然后再点击“在线信息”标签页,可以查看正在管理设备的管理员,如图1-12所示。各个显示项的含义如表1-7所示。
标题项 |
说明 |
用户名 |
管理员的名称。 |
管理地址 |
管理员登录的IP地址。 |
访问方式 |
管理员可以通过以下几种方式来管理设备: · WEB · CONSOLE · SSH · TELNET · DataCenter |
登录时间 |
管理员登录的时间。 |
操作 |
点击删除图标可以根据需要强制管理员下线 。 |
通过直接连接设备串口登录的管理员无法强制管理员下线。
通过菜单“系统管理 > 系统管理员 > 管理员 > 阻断用户”,然后再点击“阻断用户”标签页,可以查看当前被阻断登录的用户信息,如图1-13所示。缺省情况下,阻断时间为一分钟,点击操作下面的删除图标可立即解除阻断。
通过菜单“系统管理 >管理员 > 管理设定”,进入管理设定配置页面,如图1-14所示。各个配置项的含义如表1-8所示。
标题项 |
说明 |
实时保存配置 |
是否实时的保存配置,通过web管理方式管理时,配置修改后将自动保存。 |
管理员唯一性检查 |
是否检查管理员的唯一性,即是否只允许一个管理员登录。 |
管理员双因子认证 |
管理员双因子认证,开启后当使用https方式登录设备时需要有经过授权的Ukey+合法账号才能登录设备。 Ukey管理软件:对Ukey进行初始化激活 Ukey客户端软件:通过客户端软件将设备端生成的用户证书导入Ukey |
最大登录尝试次数 |
允许管理员登录失败后重新登录的次数。 |
登录失败阻断间隔 |
管理员登录失败允许再次登录的间隔时间。 |
页面超时时间 |
页面超时时间,如操作时间超过该值页面将自动退出。 |
web在线管理员 |
同时web在线的管理员的最大个数。 |
HTTPS端口 |
设备HTTPS管理端口,默认为443,可修改为1024-65534之间未被系统使用的端口 |
HTTP端口 |
设备HTTP管理端口,默认为80,可修改为1024-65534之间未被系统使用的端口 |
TELNET端口 |
设备TELNET管理端口,默认为23,可修改为1024-65534之间未被系统使用的端口 |
SSH端口 |
设备SSH管理端口,默认为22,可修改为1024-65534之间未被系统使用的端口 |
模式切换页面,进行普通模式到三权模式的切换。该动作不可逆,提交后,当前配置页面将退出登录状态。并且切换至三权模式后,将无法切换回普通模式。
图1-15 模式切换配置页面
进入三权模式后,将自动生成三个管理员账号:account, authority, audit. 密码为设备初始化密码。
account(账号管理员)登录后,可以进行管理员账号的新建、删除,以及对账号管理员操作日志的查看。同时,该账号可编辑自身账号的管理员名称及密码。
图1-16 账号管理员配置页面
authority(权限管理员)登录后,可以进行管理员账号的权限进行新建、删除、编辑,以及对权限管理员操作日志的查看。同时,该账号可编辑自身账号的管理员名称及密码。
权限状态为“待分配”表示当前该管理员账号未授予权限,权限管理员分配权限后,状态将变为“已分配”。
图1-17 权限管理员配置页面
图1-18 权限管理员权限编辑页面
audit(审核员)登录后,可以进行对当前管理员账号权限状态的审计,以及对所有账号操作日志的审计查看。同时,该账号可编辑自身账号的管理员名称及密码。
图1-19 审核员审核页面
图1-20 审核员审核页面
配置系统时间有两种方式,手动配置和通过配置NTP同步获得系统时间。通过菜单“系统管理 >系统设定 > 时间设定”进入时间设定页面,如图1-21所示。各个配置项的含义如表1-9所示。
标题项 |
子标题项 |
说明 |
系统当前时间 |
系统时间 |
显示当前系统时间。 |
时区 |
选择系统当前时区。 |
|
手动设定系统时间 |
系统时间 |
手动设置的系统时间。 |
时区 |
手动设置的时区。 |
|
NTP时间设定 |
服务器地址/名称 |
NTP服务器地址或域名。 |
推荐服务器 |
系统推荐的服务器地址。 |
|
同步间隔 |
NTP每次同步间隔,单位:分钟。 |
通过菜单“系统管理 > 部署方式”,进入如图1-22所示页面。各个配置项的含义如表1-10所示。
启用接口旁路部署方式只对报文进行监听,不进行转发。
图1-22 旁路部署页面
表1-10 旁路部署各配置项和显示项含义表
标题项 |
说明 |
接口名称 |
当前系统所有的接口名称。 |
状态 |
当前系统部署状态,绿色对号图标为该接口是旁路口。 |
启用 |
勾选接口启用,代表该接口启用旁路口。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Ping”,进入如图1-23所示页面。各个配置项的含义如表1-11所示。
表1-11 Ping各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要ping的IP地址,或域名。 |
探测包数目 |
发送探测包的数量。 |
探测包大小 |
每个探测包的大小。 |
Ping结果 |
显示ping包返回的结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Traceroute”,进入如图1-24所示页面。各个配置项的含义如表1-12所示。
表1-12 Traceroute各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要探测的地址。 |
探测方式 |
可以选择UDP/ICMP两种探测方式。 |
Traceroute探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Traceroute”,进入如图1-25所示页面。各个配置项的含义如表1-13所示。
表1-13 TCP Syn各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要探测的地址。 |
端口 |
TCP端口号。 |
探测包数目 |
探测包的发送数量。 |
TCP Syn包探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 抓包工具”,进入如图1-26所示页面。各个配置项的含义如表1-15所示。
标题项 |
说明 |
接口 |
要抓取报文的接口。 |
协议 |
抓取报文的协议类型。 |
源IP |
抓取报文的源IP地址,全零或空表示任意地址。 |
源端口 |
抓取报文的源端口号,零或空表示任意端口号。 |
目的IP |
抓取报文的目的IP地址,全零或空表示任意地址。 |
目的端口 |
抓取报文的目的端口号,零或空表示任意端口号。 |
抓取新建会话 |
抓取新建连接的前N个报文,取值为0~1024。 |
应用 |
根据应用协议抓取报文。 |
抓取结束后,抓取的报文文件将以.pcap格式保存,在如图1-27所示的页面中显示,并提供导出。各个配置项的含义如表1-15所示。
标题项 |
说明 |
文件名称 |
抓取报文的文件名称。 |
文件大小 |
抓取报文的文件大小。 |
结束时间 |
抓取报文的结束时间。 |
操作 |
可删除或导出对应文件。 |
检测设备网络是否畅通。
按照图1-28所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-29所示。
检测设备网络是否畅通。
按照图1-30所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-31所示。
检测设备网络是否畅通。
按照图1-32所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-33所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!