50-系统管理
本章节下载: 50-系统管理 (1.38 MB)
目 录
可以通过手动点击导入许可证来对应用监控升级服务/URL分类库升级服务/恶意URL分类库升级服务、入侵防御/病毒防护升级服务以及非经SDK功能进行授权。如图1-1所示。
图1-1 导入许可证图
通过菜单“系统管理 > 系统维护 > 授权管理”,进入如图1-2所示页面。配置项含义如表1-1所示。
图1-2 手动导入许可证页面
表1-1 手动导入许可证配置项含义描述表
标题项 |
说明 |
导入许可证 |
对系统软件进行授权。 |
非经SDK功能授权 |
对非经SDK功能进行授权后,需要在命令行config视图下配置rzx gam-audit | (enable/disable)选择开启或关闭 |
由于老版本非经配置过于繁琐,为满足市场需求,增加非经SDK功能使用授权特性。对非经SDK功能进行授权后,需要在命令行config视图下配置如下命令选择开启或关闭:
rzx gam-audit | (enable/disable)
图1-3 非经SDK配置命令
R6611P02及之后版本新增非经SDK功能,为了兼容R6611P02之前版本非经功能,web页面老的无线非经功能保留,已经使用老的无线非经功能的用户可以升级新版本继续兼容使用,也可以修改到新的SDK功能使用(需要进行授权才能使用),新用户建议使用新的SDK功能,操作比较简单,只需授权激活,命令行config视图下配置开启命令(rzx gam-audit enable)
未导入非经SDK功能使用授权的license时无法启用非经SDK功能,授权过期后会自动关闭非经SDK功能,再次重新授权后不会自动开启非经SDK功能,需要手工开启。
使用SDK功能需要设备可以和外网互通,设备可以通过ping 百度测试;设备mac地址在设备铭牌上有体现,同时对应设备的第一个接口mac地址
可以通过手动本地升级系统软件版本和特征库,也可自动升级URL分类特征库和应用控制特征库。
对于已发布的版本,通过上传升级热补丁,可以在不影响系统运行的情况下,完成对设备版本的缺陷进行修复,热补丁正确加载后补丁文件立即生效。如图1-4所示。
通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-5所示页面。各个配置项含义如表1-2所示。
标题项 |
说明 |
系统软件 |
升级系统软件版本或热补丁。 升级系统软件版本,升级后需要重启设备方可生效; 升级热补丁,不需重启设备即可生效。 |
应用控制特征库 |
升级应用控制特征库。 |
入侵防御特征库 |
升级入侵防御特征库 |
病毒防护特征库 |
升级病毒防护特征库 |
通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-6所示页面,页面中的红色圈选部分为配置项。各个配置项含义如表1-3所示。
标题项 |
说明 |
默认升级服务器 |
升级服务器设为默认升级服务器。 |
指定升级服务器 |
设置升级服务器地址。 |
定期升级 |
启用定期自动升级。 |
每周 |
按星期定期自动升级。 |
每月 |
按每月日期自动升级,日期间以“,”分隔。 |
时间 |
每次自动升级的当天时间。 |
点击<提交>按钮,提交自动升级配置。
点击<立即升级>按钮,可立即更新特征库,无需等到自动升级指定时间点,首次配置设备时建议进行一次立即升级。
采用自动升级功能时,需要在设备上设定有效的DNS。
通过菜单“系统管理>系统维护>系统升级”,进入如图1-7所示界面;单击“系统软件”中的“浏览”按钮,选择待上传的补丁文件,单击“上传”按钮上传补丁文件。
单击“补丁升级”进入如图1-8所示界面;选中要升级的补丁版本,单击“”按钮进行补丁升级。
升级成功后,版本状态显示为“已升级”,如图1-9所示界面。
单击“”按钮可对已升级的补丁进行卸载,热补丁卸载成功后,在补丁升级框中该补丁显示已上传。
图1-10 卸载成功界面
单击“”按钮可对已上传或已卸载的补丁进行删除,热补丁删除成功后,在补丁升级框中该补丁被删除;正在加载的补丁不允许删除。
· 上传热补丁数量限制为5个。
· 为了保证补丁操作进程堆栈安全,补丁的操作时间间隔为30S。
· 补丁文件必须以“.pat”作为扩展名,不支持中文。
通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-11所示页面,通过页面中的红色圈选部分,查看升级记录。
通过菜单“系统管理 > 系统维护 > 系统重启”,进入如图1-12所示页面,选择“系统重启”。
点击<提交>按钮,重启系统。
通过菜单“系统管理 > 系统维护 > 系统重启”,进入如图1-13所示页面,选择“恢复出厂设置”。
点击<提交>按钮,恢复出厂设置。
通过菜单“系统管理 > 系统维护 > 配置维护”,进入如图1-14所示页面,管理配置文件。各个配置项的含义如表1-4所示。
标题项 |
说明 |
系统配置导入 |
从本地主机中选择要导入的配置文件上传至设备。 |
系统配置导出 |
将保存的配置导出至本地主机。 注:导出的文件是UTF-8编码模式。 |
双备份配置 |
可以选择拷贝主配置文件到备份配置文件,或恢复备份配置文件到主配置文件。恢复备份配置后,需重启系统配置才可生效,重启前请勿保存配置。 |
设备出厂的默认配置自动创建了一个超级管理员用户admin,使用这个账号,可以登录设备对设备进行配置,包括配置其它的管理员,每个管理员都有它的管理地址。
管理员是登录设备对设备进行配置管理的用户。通过菜单“系统管理 > 系统设定 > 管理员”,进入管理员界面,如图1-15所示。各个显示项含义如表1-5所示。
图1-15 本地管理员显示界面
标题项 |
说明 |
用户名 |
管理员的名称。 |
角色 |
有两种管理员角色: · 管理员角色; · 审计员角色。 |
认证类型 |
有三种认证类型: · 本地认证; · RADIUS认证; · LDAP认证。 |
描述 |
管理员的描述信息。 |
管理地址 |
管理员的管理地址,只有在这个范围内的地址才能通过此管理员来管理设备。 |
点击图1-15的<新建>按钮,可以进入如图1-16所示的新建管理员界面。各个配置项的含义如表1-6所示。
配置项 |
说明 |
用户名 |
管理员的名称。 |
描述 |
针对管理员的说明。 |
认证类型 |
选择创建的账号的认证类型,选择第三方RADIUS和LDAP服务器认证时需提前配置服务器。 |
密码 |
用户对应的密码,最少6个字符。 |
确认密码 |
对输入的密码进行确认输入。 |
本地 |
在本地进行管理员认证。 |
RADIUS |
如果在用户组中包含了用户名、RADIUS服务器,如果用户本地存在则在本地进行认证,若不存在则发往RADIUS服务器进行认证。 |
LDAP |
如果在用户组中包含了用户名、LDAP服务器,如果用户本地存在则在本地进行认证,若不存在则发往LDAP服务器进行认证。 |
管理IP |
管理IP栏可以配置授权地址,最多可配置3个。缺省情况下,从任何地址都可以登录设备进行配置管理。 |
角色 |
管理员的角色,可选取管理员或审计员。 |
通过菜单“系统管理 > 系统设定 > 管理员”,然后再点击“在线信息”标签页,可以查看正在管理设备的管理员,如图1-17所示。各个显示项的含义如表1-7所示。
标题项 |
说明 |
用户名 |
管理员的名称。 |
管理地址 |
管理员登录的IP地址。 |
访问方式 |
管理员可以通过以下几种方式来管理设备: · WEB · CONSOLE · SSH · TELNET · DataCenter |
登录时间 |
管理员登录的时间。 |
操作 |
点击删除图标可以根据需要强制管理员下线 。 |
通过直接连接设备串口登录的管理员无法强制管理员下线。
通过菜单“系统管理 > 系统设定 > 管理员 > 阻断用户”,然后再点击“阻断用户”标签页,可以查看当前被阻断登录的用户信息,如图1-18所示。缺省情况下,阻断时间为一分钟,点击操作下面的删除图标可立即解除阻断。
通过菜单“系统管理 > 系统设定 > 管理设定”,进入管理设定配置页面,如图1-19所示。各个配置项的含义如表1-8所示。
标题项 |
说明 |
实时保存配置 |
是否实时的保存配置,通过web管理方式管理时,配置修改后将自动保存。 |
管理员唯一性检查 |
是否检查管理员的唯一性,即是否只允许一个管理员登录。 |
管理员双因子认证 |
管理员双因子认证,开启后当使用https方式登录设备时需要有经过授权的Ukey+合法账号才能登录设备。 Ukey管理软件:对Ukey进行初始化激活 Ukey客户端软件:通过客户端软件将设备端生成的用户证书导入Ukey |
最大登录尝试次数 |
允许管理员登录失败后重新登录的次数。 |
登录失败阻断间隔 |
管理员登录失败允许再次登录的间隔时间。 |
页面超时时间 |
页面超时时间,如操作时间超过该值页面将自动退出。 |
web在线管理员 |
同时web在线的管理员的最大个数。 |
管理员认证方式 |
选择管理员认证方式(本地认证或外部认证)。 · 本地认证:使用设备本地管理员账号密码登录设备; · 外部认证:选择外部服务器进行外部认证。 |
HTTPS端口 |
设备HTTPS管理端口,默认为443,可修改为1024-65534之间未被系统使用的端口 |
HTTP端口 |
设备HTTP管理端口,默认为80,可修改为1024-65534之间未被系统使用的端口 |
TELNET端口 |
设备TELNET管理端口,默认为23,可修改为1024-65534之间未被系统使用的端口 |
SSH端口 |
设备SSH管理端口,默认为22,可修改为1024-65534之间未被系统使用的端口 |
目前系统管理员支持认证方式:radius服务器认证方式、LDAP服务器认证方式,这两种认证方式都需要在设备上建立管理员账户,对于本地用户名密码校验是合理的,但是对于其它两种外部认证方式,本地保存用户名对于认证过程没有作用,不仅会增加维护复杂性,还会导致账户外泄,增加安全隐患。
为了更好的提高设备可维护性,在RADIUS服务器校验方式、LDAP服务器校验方式中,不再需要配置用户名。
本功能具有如下功能点:
· 全局设定支持管理员认证方式切换:本地认证、外部服务器认证;
· 在保留现有本地认证方式的基础上增加支持外部服务器认证。
通过菜单“系统管理 > 系统设定 > 管理设定”,进入如图1-20所示页面。在该页面上可以配置管理员外部认证的相关功能。各个配置项含义如表1-9所示。
标题项 |
说明 |
管理员认证方式 |
选择管理员认证方式(本地认证或外部认证)。 · 本地认证:使用设备本地管理员账号密码登录设备; · 外部认证:选择外部服务器进行外部认证。 |
认证服务器 |
选择管理员外部登录时使用哪种认证服务器(Radius或Ldap)。 |
radius/ldap |
选择认证服务器对象。 |
服务器异常开启本地认证 |
选择外部认证时可以选择服务器异常是否开启本地认证,默认为开启状态。 |
设备的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。
三权分立共有四种管理员,分别为原内嵌管理员admin,三权分立后account用户、authority用户、audit用户,可以分别有以下权限:
· admin账户:内嵌管理员用户,三权模式下由authority用户对其进行功能授权,以实现对功能点权限为只读或可读写,进而对功能进行操作控制。
· account用户:account负责账号创建,可新建自定义系统管理员;可进行操作日志查看。
· authority用户:可以系统管理员功能模块授权,模块细分读写或只读模式。
· audit用户:审核管理员可对用户权限监控及操作日志查看。
通过菜单“系统管理>系统设定>管理设定>模式切换”,进入模式切换页面,进行普通模式到三权模式的切换,如图1-21所示。该动作不可逆,提交后,当前配置页面将退出登录状态。
· 账户新建只能由accout用户新建。
· 切换三权模式需慎重,配置界面不可回切。
· 所有用户初始密码均为admin。
· 三权模式下系统管理员admin的缺省密码在切换为三权模式前已经更改,请使用修改后的密码进行登录,此次登录不会强制要求修改密码。
· 账号管理员、权限管理员以及审计员在首次登录设备时,系统要求强制修改默认密码,且不能与默认密码相同。
进入三权模式后,将自动生成三个管理员账号:account,authority,audit。
Account(账号管理员)登录后,可以进行管理员账号的新建、删除,以及对账号管理员操作日志的查看,如图1-22所示。同时,该账号可编辑自身账号的管理员名称及密码。
authority(权限管理员)登录后,可以进行管理员账号的权限进行新建、删除、编辑,以及对权限管理员操作日志的查看。同时,该账号可编辑自身账号的管理员名称及密码,如图1-23、图1-24所示。
权限状态为“待分配”表示当前该管理员账号未授予权限,权限管理员分配权限后,状态将变为“已分配”。
Audit(审核员)登录后,可以进行对当前管理员账号权限状态的审计,以及对所有账号操作日志的审计查看,如图1-25、图1-26所示。同时,该账号可编辑自身账号的管理员名称及密码。
配置系统时间有两种方式,手动配置和通过配置NTP同步获得系统时间。通过菜单“系统管理 >系统设定 > 时间设定”进入时间设定页面,如图1-27所示。各个配置项的含义如表1-10所示。
标题项 |
子标题项 |
说明 |
系统当前时间 |
系统时间 |
显示当前系统时间。 |
时区 |
选择系统当前时区。 |
|
手动设定系统时间 |
系统时间 |
手动设置的系统时间。 |
时区 |
手动设置的时区。 |
|
NTP时间设定 |
主服务器 |
NTP主服务器。 |
备服务器 |
NTP备服务器。 |
|
同步间隔 |
NTP每次同步间隔,单位:分钟。 |
首次登录设备时会自动弹出快速配置框,也可以通过“系统管理 > 系统设定 > 快速配置”手动打开。通过快速配置向导的提示可以设置主机名称、系统时间等,根据网络拓扑以及应用场景选择工作模式,并完成接口、路由、DNS等功能的快速配置,可以在快速配置的引导下实现网关模式、网桥模式、旁路模式的快速配置。
首次登录设备后,系统自动弹出“快速配置”页面,在欢迎界面单击“下一步”。如图1-28所示。
在系统设定中完成主机名称、时间以及默认策略的配置,并单击“下一步”。如图1-29所示。
图1-29 快速配置1-系统设定
根据组网需求选择工作模式,并单击“下一步”。如图1-30所示。
图1-30 快速配置2-选择工作模式
根据组网需求配置接口相关内容,比如接口IP,管理方式等,然后单击“下一步”。如图1-31所示。
图1-31 快速配置3-接口配置
在路由配置界面单击“添加”,在新建框中填写路由相关配置,单击“提交”,然后单击“下一步”。如图1-32所示。
图1-32 快速配置4-路由配置
在DNS配置页面配置DNS服务器地址,并根据需求选择启用DNS全局代理。如图1-33所示。
核对配置信息,确认配置无误后,单击“提交”,即可完成快速配置。如图1-34所示。
图1-34 快速配置6-核对配置信息
· 首次登录设备时会自动弹出快速配置页面,忽略或者完成后,下次不再弹出。
· 如果已经在快速配置的页面选择了“下一次登录不再提示”,则后续登录不会弹出快速配置页面。
· 可以通过“系统管理 > 系统设定 > 快速配置”手动开启快速配置向导。
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Ping”,进入如图1-35所示页面。各个配置项的含义如表1-11所示。
表1-11 Ping各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要ping的IP地址,或域名。 |
探测包数目 |
发送探测包的数量。 |
探测包大小 |
每个探测包的大小。 |
Ping结果 |
显示ping包返回的结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Traceroute”,进入如图1-36所示页面。各个配置项的含义如表1-12所示。
表1-12 Traceroute各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要探测的地址。 |
探测方式 |
可以选择UDP/ICMP两种探测方式。 |
Traceroute探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 系统诊断工具 > TCP Syn”,进入如图1-37所示页面。各个配置项的含义如表1-13所示。
表1-13 TCP Syn各个配置项含义描述表
标题项 |
说明 |
目的地址 |
需要探测的地址。 |
端口 |
TCP端口号。 |
探测包数目 |
探测包的发送数量。 |
TCP Syn包探测结果 |
显示探测结果。 |
通过菜单“系统管理 > 系统维护 > 抓包工具”,进入如图1-38所示页面。各个配置项的含义如表1-14所示。
标题项 |
说明 |
接口 |
要抓取报文的接口。 |
协议 |
抓取报文的协议类型。 |
源IP |
抓取报文的源IP地址,全零或空表示任意地址。 |
源端口 |
抓取报文的源端口号,零或空表示任意端口号。 |
目的IP |
抓取报文的目的IP地址,全零或空表示任意地址。 |
目的端口 |
抓取报文的目的端口号,零或空表示任意端口号。 |
抓取新建会话 |
抓取新建连接的前N个报文,取值为0~1024。 |
应用 |
根据应用协议抓取报文。 |
抓取结束后,抓取的报文文件将以.pcap格式保存,在如图1-39所示的页面中显示,并提供导出。各个配置项的含义如表1-15所示。
标题项 |
说明 |
文件名称 |
抓取报文的文件名称。 |
文件大小 |
抓取报文的文件大小。 |
结束时间 |
抓取报文的结束时间。 |
操作 |
可删除或导出对应文件。 |
系统告警支持邮件外发功能,报表管理支持邮件外发和FTP外发,可通过服务器管理页面配置邮件服务器和FTP服务器来实现邮件外发及FTP外发。
通过菜单“系统管理>服务器管理>FTP服务器”,进入FTP服务器配置页面,如图1-40所示。
图1-40 FTP服务器配置页面
页面的详细说明如表1-16所示。
表1-16 FTP服务器配置详细说明
项目 |
说明 |
服务器地址/域名 |
发送的FTP服务器的IP地址或域名 |
FTP服务器端口 |
FTP服务器的端口 |
用户名 |
登录FTP服务器的用户名 |
密码 |
登录FTP服务器的密码 |
单击<验证用户和密码>验证FTP服务器的用户名和密码访问是否成功,并显示验证结果,如图1-41所示。
图1-41 FTP用户名和密码验证成功
通过菜单“系统管理>服务器管理>邮件服务器”,进入邮件服务器配置页面,如图1-42所示。
页面的详细说明如表1-17所示。
项目 |
说明 |
发件人地址 |
发件人邮箱地址 |
邮箱服务器 |
发送地址的邮箱服务器 |
服务器端口 |
服务器端口 |
SSL |
选中后可设置SSL协议端口号 |
smtp 服务器身份验证 |
配置smtp 服务器身份验证的用户名、密码,如果不需要验证可不选。 |
测试邮箱有效性 |
检查配置是否正确,正确则会收到测试邮件 |
如图1-43所示,设备以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:
· 设备开启三权模式,设备使用的IP地址为192.168.1.1/24。
· 需要authority用户给admin用户分配权限,分别为分配:网络配置、网络优化、对象管理、上网行为管理的执行权限。
设备account用户新建自定义用户为test,只分配监控统计、日志查询、上网行为管理的只读权限。
如图1-44所示,设备管理模式为“三权模式”,并点击<提交>。
如图1-45所示,使用account用户新建管理员test。
图1-45 使用account用户新建管理员test
如图1-46所示,使用authority用户对admin用户进行读写授权。
图1-46 使用authority用户对admin用户进行读写授权
如图1-47所示,使用authority用户登录,点击admin账号后图标,分配:网络管理、策略配置的执行权限,将全选只读勾掉,在此页面上点击<提交>。
如图1-48所示,使用authority用户登录,点击test账号后图标,分配数据中心的只读权限,在此页面上点击<提交>。
验证admin用户权限
如图1-49所示,使用admin用户对策略配置、网络配置等授权功能模块可读可写可执行。
图1-49 admin用户权限验证
如图1-50所示,使用自定义test用户对数据中心的授权只读模块只有只读权限。
图1-50 自定义test用户权限验证
如图1-51所示,audit用户登录只有审核员权限。
图1-51 audit审核员登录
管理员可以访问设备登录页面,如果配置外部认证方式,使用外部服务器内的账号可以登录设备。
· 设备到外部服务器可达。
· 如果设备到外部服务器不可达,开启服务器异常进行本地认证,使用本地账号可以登录。
(1) 配置RADIUS服务器。如图1-52所示。
图1-52 RADIUS服务器配置页面
(2) 配置管理员外部radius认证。如图1-53所示。
图1-53 管理员radius认证配置
(1) 配置完成后,用户访问设备登录页面,使用radius服务器内的账号密码登录设备,登录成功,使用本地账号密码登录,提示账号密码错误。
(2) “服务器异常开启本地认证”开关选择“开启”时,如果设备与服务器无法通讯,使用本地账号密码可以登录成功。
(3) “服务器异常开启本地认证”开关选择“关闭”时,如果设备与服务器无法通讯,使用本地账号无法登录设备。
· 管理员外部认证功能只针对管理员模式生效,三权模式不支持。
· 外部认证时,只支持选择服务器对象且只能选择一个,不支持同时选择多个,不支持服务器对象组。
检测设备网络是否畅通。
按照图1-54所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-55所示。
检测设备网络是否畅通。
按照图1-56所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-57所示。
检测设备网络是否畅通。
按照图1-58所示配置。
点击<提交>按钮,提交配置。
查看诊断结果。如图1-59所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!