• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6616)-6W101

34-系统管理

本章节下载 34-系统管理  (2.30 MB)

34-系统管理


1 系统管理

1.1  授权管理

1.1.1  授权管理概述

可以通过手动点击导入许可证来对应用监控升级服务/URL分类库升级服务/恶意URL分类库升级服务、入侵防御/病毒防护升级服务以及非经SDK功能进行授权。如图1-1所示。

图1-1 导入许可证图

 

1.1.2  手动导入许可证

通过菜单“系统管理 > 系统维护 > 授权管理”,进入如图1-2所示页面。配置项含义如表1-1所示。

图1-2 手动导入许可证页面

 

表1-1 手动导入许可证配置项含义描述表

标题项

说明

导入许可证

对系统软件进行授权。

非经SDK功能授权

对非经SDK功能进行授权后,需要在命令行config视图下配置rzx gam-audit | (enable/disable)选择开启或关闭

1.1.3  非经SDK配置方法

为满足市场需求,增加非经SDK功能使用授权特性。对非经SDK功能进行授权后,需要在命令行config视图下配置如下命令选择开启或关闭:

rzx gam-audit | (enable/disable)

图1-3 非经SDK配置命令

说明

未导入任子行非经SDK功能使用授权的license时无法启用任子行非经SDK功能,授权过期后会自动关闭任子行非经SDK功能,再次重新授权后不会自动开启任子行非经SDK功能,需要手工开启。

 

1.2  升级管理

1.2.1  升级管理概述

可以通过手动本地升级系统软件版本和特征库,也可自动升级URL分类特征库和应用控制特征库。

对于已发布的版本,通过上传升级热补丁,可以在不影响系统运行的情况下,完成对设备版本的缺陷进行修复,热补丁正确加载后补丁文件立即生效。

 

注意

升级期间业务不可用,请谨慎操作。

 

1.2.2  手动升级

通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-4所示页面。各个配置项含义如表1-2所示。点击<选择文件>,选择升级文件,点击<上传>,上传完成后系统自动进行升级。

图1-4 手动升级页面

 

表1-2 手动升级各个配置项含义描述表

标题项

说明

系统软件

升级系统软件版本或热补丁。

升级系统软件版本,升级后需要重启设备方可生效;

升级热补丁,不需重启设备即可生效。

应用控制特征库

升级应用控制特征库

入侵防御特征库

升级入侵防御特征库

病毒防护特征库

升级病毒防护特征库

无线非经特征库

升级无线非经特征库

 

1.2.3  自动升级

通过菜单“系统管理 > 系统维护 > 系统升级”,进入如图1-5所示页面,页面中的红色圈选部分为配置项。各个配置项含义如表1-3所示。

图1-5 自动升级页面

 

表1-3 自动升级各个配置项含义描述表

标题项

说明

默认升级服务器

升级服务器设为默认升级服务器。

指定升级服务器

设置升级服务器地址。

定期升级

启用定期自动升级。

每周

按星期定期自动升级。

每月

按每月日期自动升级,日期间以“,”分隔。

时间

每次自动升级的当天时间。

 

点击<提交>按钮,提交自动升级配置。

点击<立即升级>按钮,可立即更新特征库,无需等到自动升级指定时间点,首次配置设备时建议进行一次立即升级。

说明

采用自动升级功能时,需要在设备上设定有效的DNS。

 

1.2.4  补丁升级

通过菜单“系统管理>系统维护>系统升级”,进入如图1-6所示界面;单击“系统软件”中的“浏览”按钮,选择待上传的补丁文件,单击“上传”按钮上传补丁文件。

图1-6 补丁升级上传界面

 

单击“补丁升级”进入如图1-7所示界面;选中要升级的补丁版本,单击“”按钮进行补丁升级。

图1-7 补丁升级界面

 

升级成功后,版本状态显示为“已升级”,如图1-8所示界面。

图1-8 升级成功界面

 

单击“”按钮可对已升级的补丁进行卸载,热补丁卸载成功后,在补丁升级框中该补丁显示已上传。

图1-9 卸载成功界面

 

单击“”按钮可对已上传或已卸载的补丁进行删除,热补丁删除成功后,在补丁升级框中该补丁被删除;正在加载的补丁不允许删除。

 

说明

·          上传热补丁数量限制为5个。

·          为了保证补丁操作进程堆栈安全,补丁的操作时间间隔为30S。

·          补丁文件必须以“.pat”作为扩展名,不支持中文。

 

1.2.5  代理设置

代理设置用于实现设备的HTTP代理升级功能,是指通过配置的代理服务器,通过代理服务器连接特征库版本服务器,进行特征库的自动升级。当设备不能访问互联网时,可以使用代理服务器升级特征库。

通过菜单“系统管理 > 系统维护 > 系统升级”,点击“代理设置”进行HTTP代理服务器的相关配置。如下图所示。

图1-10 代理设置页面

 

表1-4 代理配置各个配置项含义描述表

标题项

说明

启用代理服务器

是否启用代理服务,只支持HTTP代理。

IP地址

代理服务器的IP地址,只支持IPv4地址。

端口

代理服务器的端口,取值范围是1~65535。

验证用户

代理服务器是否需要启用验证用户,根据代理服务器的设置进行选择,启用后需要用户名密码进行代理验证。

用户

代理服务器的用户名,需要与代理服务器的配置一致,只支持输入汉字、数字、字母以及@._-()[]|:,支持的长度范围是1~63字符。

密码

代理服务器的密码,需配置为代理服务器对应用户名的密码,只支持输入数字、字母及特殊字符(除非法输入外),支持的长度范围是0~31字符。

 

说明

在升级特征库前,需要在设备上设定有效的DNS。

 

1.2.6  升级记录查看

通过菜单“系统管理 > 系统维护 > 系统升级”,在“升级历史”列表中可以查看升级记录。如下图所示。

图1-11 查看升级记录

 

1.2.7  HTTP代理自动升级配置举例

1. 组网需求

图1-12所示,某公司内网设备不能直接访问互联网,要通过代理服务器进行特征库升级,在设备上配置代理服务器配置。

图1-12 HTTP代理自动升级功能组网图

 

1.3  配置思路

·              配置代理服务器

·              升级特征库

1.4  配置注意事项

在升级特征库前需配置DNS服务器。

1.5  配置步骤

(1)      配置代理服务器

进入“系统管理>系统维护>系统升级”,页面上点击选择“代理设置”,输入IP、端口、用户和密码,点击“提交”。

图1-13 配置代理服务器

 

(2)      配置DNS服务器

进入“网络配置>基础网络>DNS服务>DNS服务器”,配置DNS服务器地址。

图1-14 配置DNS服务器

 

1.6  验证配置

在设备的Web管理页面上进入“系统管理>系统维护>系统升级”,在“自动升级”页面单击“立即升级”,升级成功后可以在升级历史中查看升级结果,如下图所示。

图1-15 HTTP代理自动升级

 

1.3  系统重启

1.3.1  系统重启

注意

·          重启过程中业务不可用,请谨慎操作。

·          恢复设备出厂设置将会清除所有业务数据,请谨慎操作。

·          建议在系统重启之前保存配置。

 

通过菜单“系统管理 > 系统维护 > 系统重启”,进入如图1-16所示页面,选择“系统重启”。

图1-16 系统重启页面

 

点击<提交>按钮,重启系统。

1.3.2  恢复出厂设置

通过菜单“系统管理 > 系统维护 > 系统重启”,进入如图1-17所示页面,选择“恢复出厂设置”。

图1-17 恢复出厂设置

 

 

点击<提交>按钮,恢复出厂设置。

1.4  配置文件

通过菜单“系统管理 > 系统维护 > 配置文件”,进入如图1-18所示页面,管理配置文件。各个配置项的含义如表1-5所示。

图1-18 配置文件管理页面

 

表1-5 配置文件管理各个配置项含义描述表

标题项

说明

系统配置导入

从本地主机中选择要导入的配置文件上传至设备。

系统配置导出

将保存的配置导出至本地主机。

注:导出的文件是UTF-8编码模式。

双备份配置

双备份配置是指设备同时保存主备两份配置文件,设备重启时加载主配置文件。

可以选择拷贝主配置文件到备份配置文件,或恢复备份配置文件到主配置文件。恢复备份配置后,需重启系统配置才可生效,重启前请勿保存配置。

·          拷贝:将当前配置保存为备配置文件,设备重启后备配置文件不生效,只用于文件保存。设备重新修改配置后,备配置文件不受影响。

·          恢复:将备配置文件替换为主配置文件,设备重启后备配置文件生效。

 

1.5  配置管理员

1.5.1  管理员概述

设备出厂的默认配置自动创建了一个超级管理员用户admin,使用这个账号,可以登录设备对设备进行配置,包括配置其它的管理员,每个管理员都有它的管理地址。

可以对管理员的权限进行划分,实现分级分权管理:

·              将管理员分为不同的等级,高等级管理员比低等级管理员的权限高,可以修改低等级管理员配置的策略。

·              将不同的功能权限分配给不同的管理员,每个管理员只能看到被赋予权限的页面;

·              将用户组以对象的形式分配给不同的管理员,每个管理员只能管理自己的用户群体。

1.5.2  新建管理员

在导航栏中选择“系统管理 > 系统设定 > 管理员”,进入管理员页面,点击“新建”按钮,进入管理员页面,如图1-19所示。各个显示项含义如表1-6所示。

图1-19 管理员显示页面

 

 

表1-6 管理员显示页面详细说明

标题项

说明

用户名

管理员的名称

角色

管理员角色有内置角色(admin和audit)和自定义角色两大类。

创建者

管理员的创建者,选择内置角色创建者为空,选择自定义角色后,创建者为当前登录的管理员。

用户组

选择内置角色不绑定用户组,选择自定义角色绑定用户组。

认证类型

有三种认证类型:

·          本地认证

·          RADIUS认证

·          LDAP认证

描述

管理员的描述信息

管理地址

管理员的管理地址,只有在这个范围内的地址才能通过此管理员来管理设备。

操作

http://10.0.163.51/webui/images/default/icons/icon_mod_key.gif:修改管理员密码;

http://10.0.163.51/webui/images/basic/icons/icon_edit.gif:编辑修改管理员配置;

http://10.0.163.51/webui/images/basic/icons/icon_del.gif:删除管理员,admin管理员为内置管理员不能删除。

 

点击“新建”按钮,进入管理员配置页面,如图1-20所示。如果选择自定义角色,需要绑定用户组,如图1-21所示。各个配置项的说明如表1-7所示。

图1-20 新建管理员页面

 

 

图1-21 新建管理员页面-自定义角色

 

 

表1-7 管理员配置页面详细说明

项目

说明

用户名

输入管理员的用户名。1~63字符。

描述

填写管理员的描述信息(可选)。

认证类型

选择管理员账号的认证方式,支持本地、RADIUS和LDAP三种方式。如果选择了本地认证,需同时设置登录密码;如果选择了RADIUS或LDAP认证,需同时配置相应的认证服务器。

Radius服务器不支持IPv6地址的认证。

密码

管理员对应的密码,8~31字符,密码必须包括数字、字母以及字符(!@#$%’,-.)

确认密码

对输入的密码进行确认输入

地址项目

设置授权的管理IP地址和MAC地址,IP地址支持配置子网地址、范围地址和主机地址的IPv4\IPv6地址,设置完成后管理员仅可以从指定的IP地址或地址段登录到设备。管理员可通过HTTPS、TELNET或SSH端口登录到设备,有关登录端口配置的更多信息,请参考管理设定。

MAC地址,默认可以不填,与管理IP是一一绑定,缺省情况下,从任何MAC都可以登录设备进行配置管理。

已添加项目

已经添加的子网地址、主机地址和范围地址。

角色

默认内置admin和audit两个角色,这两个角色不绑定用户组,如果选择自定义角色,则管理员需要绑定用户组。

用户组

管理员绑定的用户组,只支持用户组,不支持属性组。

 

说明

·          创建的管理员如果选择admin或audit角色,则不用绑定用户组,只有选择自定义角色时才会绑定用户组。

·          当管理员绑定了用户组之后,使用新建管理员登录设备,在控制策略和审计策略匹配条件用户选项,只能看到与管理员绑定的用户组,其他用户组和属性组无法看到。

·          管理员绑定用户组不支持选择属性组。

·          创建的管理员如果选择admin或audit角色时,创建者列将显示为空,因为选择内容角色管理员不进行分级显示,只有选择自定义角色时,创建者显示为当前登录的管理员。

 

1.5.3  角色管理

在导航栏中选择“系统管理 > 系统设定 > 管理员 > 角色管理”,进入角色管理页面,如图1-22所示。系统内置了admin和audit两个管理员角色,不能对内置的角色进行修改和删除操作,可以对自定义角色进行修改和删除操作,未被引用的角色可以删除,被引用的角色无法删除。

图1-22 管理员角色显示页面

 

页面的详细说明如表1-8所示。

表1-8 角色管理详细说明

项目

说明

名称

角色的名称

描述

针对角色的说明

操作

系统内置两个角色admin和audit,不能进行修改删除操作,新建角色可以进行修改和删除操作。

http://10.0.163.51/webui/images/basic/icons/icon_edit.gif:修改角色配置;

http://10.0.163.51/webui/images/basic/icons/icon_del.gif:删除角色,未被引用的角色可以删除,被引用的角色无法删除。

 

点击<新建>,在弹出的角色授权对话框中设置名称,并对角色进行授权,点击<提交>。

图1-23 角色授权页面

 

表1-9 角色授权详细配置说明

项目

说明

名称

输入角色的名称。

描述

填写角色的描述信息(可选)。

权限管理

在左侧树状菜单中选择需要设置的权限,勾选后的功能项添加在权限列表中,取消勾选则不在权限列表中展示,勾选只读后,使用该角色对相关功能只有查看的权限,不勾选只读则该角色对相关功能具有可读可写可执行的权限。

 

1.5.4  查看在线信息

在导航栏中选择“系统管理 > 系统设定 > 管理员 > 在线信息”,进入在线信息页面,可以查看当前正在管理设备的管理员,如图1-24所示。

图1-24 在线信息页面

 

页面的详细说明如表1-10所示。

表1-10 查看在线信息详细说明

项目

说明

用户名

管理员的名称

管理地址

管理员登录的IP地址

访问方式

管理员可以通过以下几种方式来管理设备:

·          WEB

·          CONSOLE

·          SSH

·          CONSOLE

·          DataCenter

登录时间

管理员登录设备的时间

操作

点击删除图标可以根据需要强制管理员下线

 

说明

通过直接连接设备串口登录的管理员无法强制管理员下线。

 

1.5.5  查看阻断用户

在导航栏中选择“系统管理 > 系统设定 > 管理员”,然后再点击“阻断用户”标签页,可以查看当前被阻断登录的用户信息,如图1-25所示。缺省情况下,阻断时间为一分钟,点击操作下面的删除图标可立即解除阻断。

图1-25 查看阻断用户页面

1.5.6  管理员分级分权配置举例

1. 组网需求

PC1和PC2分别属于group1和group2组通过设备访问外网,现需在设备上创建两个管理员admin1和admin2分别绑定group1和group2用户组,通过创建的管理员登录设备分别创建各自的审计策略和控制策略对下面的用户进行审计及控制。

·              admin1管理员可以看到admin2创建的审计策略和控制策略但不能修改,也不能看到group2组下相关用户产生的审计日志和控制日志;

·              admin2管理员可以看到admin1创建的审计策略和控制策略,但不能修改,也不能看到group1用户组下相关用户产生的审计日志和控制日志。

2. 组网图

图1-26 管理员配置举例组网图

 

3. 配置步骤

(1)      根据组网图配置设备的接口IP地址、默认路由及NAT。

(2)      配置用户组绑定IP网段

登录设备的Web管理页面,选择“用户管理>用户组织结构”,配置group1、group2用户组,分别绑定IP网段,如下图所示。

图1-27 配置用户组绑定IP网段

 

(3)      创建角色并分配权限

图1-28 创建角色admin1

 

图1-29 创建角色admin2

 

(4)      创建管理员admin1和admin2,分配角色并绑定用户组,如图1-30图1-31所示,配置完成后单击“提交”按钮,如下图所示。管理员都是在admin管理员下创建的,所以创建者都是admin。

图1-30 创建管理员admin1,并绑定用户组

 

图1-31 创建管理员admin2,并绑定用户组

 

(5)      使用admin1管理员登录设备创建控制策略和审计策略,在策略中用户组只能选择管理员绑定的group1组,策略创建成功之后策略的创建者为admin1。

图1-32 admin1登录设备创建控制策略

 

 

图1-33 admin1登录设备创建审计策略

 

(6)      使用admin2管理员登录设备创建控制策略和审计策略,在策略中用户组只能选择管理员绑定的group2组,策略创建成功之后策略的创建者为admin2。

图1-34 admin2登录设备创建控制策略

 

图1-35 admin2登录设备创建审计策略

4. 结果验证

(1)      使用admin1管理员登录设备可以看到admin2管理员创建的策略,但是无法编辑修改操作。

图1-36 admin1登录设备修改admin2创建的控制策略

图1-37 admin1登录设备修改admin2创建的审计策略

 

(2)      使用admin1管理员登录设备只能看到group1组下用户产生的控制日志和审计日志。

图1-38 admin1登录设备查看控制日志

 

图1-39 admin1登录设备查看审计日志

 

(3)      使用admin2管理员登录设备可以看到admin1管理员创建的策略,但是无法编辑修改操作。

(4)      使用admin2管理员登录设备只能看到group2组下用户产生的控制日志和审计日志。

图1-40 admin2登录设备查看控制日志

 

图1-41 admin2登录设备查看审计日志

 

1.6  管理设定

1.6.1  管理设定配置

通过菜单“系统管理 > 系统设定 > 管理设定”,进入管理设定配置页面,如图1-42所示。各个配置项的含义如表1-11所示。

图1-42 管理设定配置页面

 

表1-11 管理设定配置项含义描述表

标题项

说明

实时保存配置

是否实时的保存配置,通过web管理方式管理时,配置修改后将自动保存。

管理员唯一性检查

是否检查管理员的唯一性,即是否只允许一个管理员登录。

管理员双因子认证

管理员双因子认证,开启后当使用https方式登录设备时需要有经过授权的Ukey+合法账号才能登录设备。

Ukey管理软件:对Ukey进行初始化激活

Ukey客户端软件:通过客户端软件将设备端生成的用户证书导入Ukey

最大登录尝试次数

允许管理员登录失败后重新登录的次数。

登录失败阻断间隔

管理员登录失败允许再次登录的间隔时间。

页面超时时间

页面超时时间,如操作时间超过该值页面将自动退出。

web在线管理员

同时web在线的管理员的最大个数。

管理员认证方式

选择管理员认证方式(本地认证或外部认证)。

·          本地认证:使用设备本地管理员账号密码登录设备;

·          外部认证:选择外部服务器进行外部认证。

HTTPS端口

设备HTTPS管理端口,默认为443,可修改为1024-65534之间未被系统使用的端口

HTTP端口

设备HTTP管理端口,默认为80,可修改为1024-65534之间未被系统使用的端口

TELNET端口

设备TELNET管理端口,默认为23,可修改为1024-65534之间未被系统使用的端口

SSH端口

设备SSH管理端口,默认为22,可修改为1024-65534之间未被系统使用的端口

RESTful API

默认处于开启状态。开启后,设备的Restful API接口才允许被访问;关闭后,设备的RESTful API接口不允许被访问。

RESTful API信任地址

和“RESTful API”开关配合使用,在“RESTful API”开关开启的情况下,选择已存在的地址对象或新建地址对象后再选择。被选中的地址对象所对应的客户端可以访问设备的RESTful API 接口。支持配置单个IP和网段作为请求来源。

密码周期

启用复选框后及开启密码周期功能,密码周期范围1~180天。时间到期后,会提示修改密码。

 

1.6.2  管理员外部认证

1. 管理员外部认证概述

目前系统管理员支持认证方式:radius服务器认证方式、LDAP服务器认证方式,这两种认证方式都需要在设备上建立管理员账户,对于本地用户名密码校验是合理的,但是对于其他两种外部认证方式,本地保存用户名对于认证过程没有作用,不仅会增加维护复杂性,还会导致账户外泄,增加安全隐患。

为了更好的提高设备可维护性,在RADIUS服务器校验方式、LDAP服务器校验方式中,不再需要配置用户名。

本功能具有如下功能点:

·              全局设定支持管理员认证方式切换:本地认证、外部服务器认证;

·              在保留现有本地认证方式的基础上增加支持外部服务器认证。

2. 配置管理员外部认证

通过菜单“系统管理 > 系统设定 > 管理设定”,进入如图1-43所示页面。在该页面上可以配置管理员外部认证的相关功能。各个配置项含义如表1-12所示。

图1-43 管理员外部认证配置页面

 

表1-12 管理员认证方式配置项含义表

标题项

说明

管理员认证方式

选择管理员认证方式(本地认证或外部认证)。

·          本地认证:使用设备本地管理员账号密码登录设备;

·          外部认证:选择外部服务器进行外部认证。

认证服务器

选择管理员外部登录时使用哪种认证服务器(RADIUS或LDAP)。

RADIUS/LDAP

选择认证服务器对象。

服务器异常开启本地认证

选择外部认证时可以选择服务器异常是否开启本地认证,默认为开启状态。即选择的外部认证服务器出现异常后切换回本地认证方式。

 

1.6.3  管理端口漂移

管理端口漂移的作用在于能够即时方便的修改http,https,ssh,telnet四种协议的通讯端口。更换相应的协议端口号后,原有的链接将会断开。

通过菜单“系统管理 > 系统设定 > 管理设定”,进入如图1-44所示的页面。在该页面上,可以修改http、https、ssh、telnet四种协议的通讯端口,各个配置项的含义如表1-13所示,管理设定的其它配置项含义详见管理设定

图1-44 修改http,https,ssh,telnet四种协议的通讯端口

 

表1-13 http,https,ssh,telnet四种协议的通讯端口配置项含义

标题项

说明

HTTPS端口

HTTPS管理端口,默认443端口

HTTP端口

HTTP管理端口,默认80端口

TELNET端口

TELNET管理端口,默认23端口

SSH端口

SSH管理端口,默认22端口

 

说明

http默认端口号是80,https默认端口号是443,ssh默认端口号是22,telnet默认端口号是23。它们可以配置的端口号是1024-65534之间未被系统其它进程使用的端口号。

 

1.6.4  三权分立

1. 三权分立概述

设备的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。

启用该功能后,系统会删除所有切换前的管理员及角色,并自动生成三个账号:account、authority和audit,默认密码均为admin。三权模式下的账号权限如下:

·              account用户:创建及删除系统管理员账号,查看account账号的操作日志,修改自身的用户名和密码。

·              authority用户:对新建的管理员账号进行角色授权,查看authority账号的操作日志,修改新建管理员账号或自身账号的用户名和密码。

·              audit用户:审核管理员可对用户权限监控及操作日志查看。

 

2. 模式切换

通过菜单“系统管理>系统设定>管理设定>模式切换”,进入模式切换页面,进行普通模式到三权模式的切换,如图1-45所示。该动作不可逆,提交后,当前配置页面将退出登录状态。

图1-45 模式切换配置页面

 

 

说明

·          切换到三权模式后,当前账户将会退出Web管理平台,且无法在Web管理平台切换至普通模式,需通过设备CLI界面切换至普通模式,请谨慎操作。

·          普通模式切换到三权模式,或三权模式切换到普通模式,系统会删除所有切换前的管理员及角色,切换后创建内置角色和管理员账号,所有密码都会恢复到设备初始密码;切换模式前创建的控制策略和审计策略在切换模式后创建者都会置空。

 

(1)      account登录

account(账号管理员)登录后,进入“系统管理>系统设定>管理员”页面,点击<新建>可以创建新的系统管理员账号,或在操作列下点击http://10.20.80.42/webui/css/images/assets/img/iconEdit.png图标修改已有的系统管理员账号,如图1-46所示。

图1-46 账号管理员配置页面

 

新建管理员账号的角色不可编辑,默认为“default”。

图1-47 新建管理员页面

 

(2)      authority登录

authority(权限管理员)登录后,进入“系统管理>系统设定>管理员>角色管理”页面,可以查看系统的角色并对角色进行授权,如图1-48所示。角色管理的配置请参考角色管理

图1-48 角色管理配置页面

 

 

对于尚未分配权限的系统管理员,在操作列下点击图标分配角色,如下图所示。

图1-49 分配管理员角色页面

 

如果对新建的管理员分配了管理员配置权限,如图1-50所示。使用新建的管理员账号登录设备之后可以创建新的管理员账号。

图1-50 分配管理员配置权限

 

(3)      audit登录

audit(审核员)登录后,进入“系统管理>系统设定>管理员>角色管理”页面,可以查看所有系统管理员的权限状态,也可修改新建管理员的角色权限;或在“数据中心>日志中心>操作日志”页面查看所有账号的操作日志,如图1-51图1-52所示。同时,该账号可编辑自身账号的管理员名称及密码。

图1-51 审核员查看管理员角色权限页面

 

图1-52 审核员操作日志查看页面

 

1.7  时间设定

配置系统时间有两种方式,手动配置和通过配置NTP同步获得系统时间。通过菜单“系统管理 >系统设定 > 时间设定”进入时间设定页面,如图1-53所示。各个配置项的含义如表1-14所示。

图1-53 设置系统时间页面

 

 

表1-14 时间设定配置项描述表

标题项

子标题项

说明

系统当前时间

系统时间

显示当前系统时间。

时区

选择系统当前时区。

手动设定系统时间

系统时间

手动设置的系统时间。

时区

手动设置的时区。

NTP时间设定

主服务器

NTP主服务器。

备服务器

NTP备服务器。

同步间隔

NTP每次同步间隔,单位:分钟。

 

1.8  快速配置

1.8.1  快速配置概述

首次登录设备时会自动弹出快速配置框,也可以通过“系统管理 > 系统设定 > 快速配置”手动打开。通过快速配置向导的提示可以设置主机名称、系统时间等,根据网络拓扑以及应用场景选择工作模式,并完成接口、路由、DNS等功能的快速配置,可以在快速配置的引导下实现网关模式、网桥模式、旁路模式的快速配置。

1.8.2  快速配置向导

首次登录设备后,系统自动弹出“快速配置”页面,在欢迎界面单击“下一步”。如图1-54所示。

图1-54 快速配置向导欢迎界面

 

在系统设定中完成主机名称、时间以及默认策略的配置,并单击“下一步”。如图1-55所示。

图1-55 快速配置1-系统设定

 

根据组网需求选择工作模式,设备支持网关、网桥、旁路三种工作模式。配置完成后单击“下一步”。如图1-56所示。

·              网关模式,设备一般部署于网络边界,所有流量通过接口进出设备。

·              网桥模式又称为透明模式,用户无需更改原有网络结构,只需将连通内外网的网线接入到设备的网桥接口上并完成简单配置即可完成部署上线。是设备的典型工作模式。

·              旁路模式仅对流量进行统计、扫描或记录,不进行流量转发,网络流量也不会受到设备故障的影响。对于仅有审计需求的业务场景,旁路部署模式更加有效。

 

图1-56 快速配置2-选择工作模式

 

根据组网需求配置接口相关内容,比如接口IP,管理方式等,然后单击“下一步”。如图1-57所示。

图1-57 快速配置3-接口配置

 

在路由配置界面单击“添加”,在新建框中填写路由相关配置,单击“提交”,然后单击“下一步”。如图1-58所示。

图1-58 快速配置4-路由配置

 

在DNS配置页面配置DNS服务器地址,并根据需求选择启用DNS全局代理。如图1-59所示。

图1-59 快速配置5-DNS配置

 

核对配置信息,确认配置无误后,单击“提交”,即可完成快速配置。如图1-60所示。

图1-60 快速配置6-核对配置信息

 

说明

·          首次登录设备时会自动弹出快速配置页面,忽略或者完成后,下次不再弹出。

·          如果已经在快速配置的页面选择了“下一次登录不再提示”,则后续登录不会弹出快速配置页面。

·          可以通过“系统管理 > 系统设定 > 快速配置”手动开启快速配置向导。

 

1.9  网管配置

网管是用来管理设备的平台,以监控设备的运行状态。该功能用于设备与网管平台的联动,设备通过平台配置选择网管平台,同时通过认证配置中的设备注册名称及密码设置本设备的标识。在选择的网管平台输入相应的设备注册名称及密码即可管理该设备。

在导航栏中选择“系统管理 > 系统设定 >网管配置”,进入网管配置页面,编辑相关信息,点击“提交”。

图1-61 网管配置页面

表1-15 网管配置页面详细说明

标题项

说明

服务器地址

网管平台服务器的IP。

服务器端口

网管平台服务器使用的端口。

上传日志

上传日志有三种方式,分别是:

·          不上传日志:设备的日志不上传到网管服务器。

·          syslog日志:设备的日志通过syslog日志端口上传到网管服务器。

·          SFTP上传:设备的日志通过SFTP端口上传到网管服务器,SFTP与syslog方式上传的日志格式相同。

设备注册名称

设备在网管平台注册的名称。

设备注册密码

设备在网管平台注册使用的密码。

 

1.10  BA平台配置

用户行为感知平台BA(User Behavioral Awareness and Analytics System)基于网络内上网行为管理设备产生的海量数据,对上网用户进行建模分析。根据不同上网行为建立对应的行为应用,深挖数据,分析用户上网行为,提前预知风险。通过可视化的数据呈现,极大的提升了管理员的使用体验,提高了数据分析的效率。

在导航栏中选择“系统管理 > 系统设定 > BA平台配置”,进入BA平台配置页面,编辑相关信息,点击“提交”。

图1-62 BA平台配置页面

表1-16 BA平台配置页面详细说明

标题项

说明

启用

勾选复选框在创建完成后立即启用该条策略。

上传日志

选择BA平台上传日志的方式,有以下两种方式:

·          SYSLOG上传:设备的日志通过SYSLOG日志端口上传到BA平台,适用于设备没有硬盘的情况。

·          SFTP上传:设备的日志通过SFTP端口上传到到BA平台,适用于有硬盘的设备,有硬盘的设备也可以选择SYSLOG方式上传。

SFTP与SYSLOG方式上传的日志格式相同。

BA平台地址

BA平台服务器的IP。

BA平台端口

配置BA平台端口,范围为1-65535,默为443。

根据实际组网情况进行配置,需要与BA服务器设置的HTTPS服务的端口保持一致。

同步策略名

BA平台服务器中的“同步策略”的名称,系统自动读取后选择。

接入密钥

BA平台服务器中“同步策略”对应的密钥。

 

1.11  系统诊断工具

设备内置了Ping,Traceroute,TCP Syn和上网故障检测四个系统诊断工具,出现网络故障时用户可以使用这些工具进行测试查找故障原因。

·              Ping工具用于测试目标IP是否可达;

·              Traceroute工具用于测试报文从发送主机到目的IP所经过的网关;

·              TCP Syn工具用于测试目标IP地址及端口是否可达;

·              上网故障检测用于测试转发报文在哪个模块丢包。

1.11.1  Ping

通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Ping”,进入如图1-63所示页面。各个配置项的含义如表1-17所示。

图1-63 Ping页面

 

表1-17 Ping各个配置项含义描述表

标题项

说明

目的地址

需要ping的IP地址,或域名。

探测包数目

发送探测包的数量。

探测包大小

每个探测包的大小。

Ping结果

显示ping包返回的结果。

1.11.2  Traceroute

通过菜单“系统管理 > 系统维护 > 系统诊断工具 > Traceroute”,进入如图1-64所示页面。各个配置项的含义如表1-18所示。

图1-64 Traceroute页面

 

表1-18 Traceroute各个配置项含义描述表

标题项

说明

目的地址

需要探测的地址。

探测方式

可以选择UDP/ICMP两种探测方式。

Traceroute探测结果

显示探测结果。

 

1.11.3  TCP Syn

通过菜单“系统管理 > 系统维护 > 系统诊断工具 > TCP Syn”,进入如图1-65所示页面。各个配置项的含义如表1-19所示。

图1-65 TCP Syn页面

 

表1-19 TCP Syn各个配置项含义描述表

标题项

说明

目的地址

需要探测的地址。

端口

TCP端口号。

探测包数目

探测包的发送数量。

TCP Syn包探测结果

显示探测结果。

 

1.11.4  上网故障检测

通过菜单“系统管理 > 系统维护 > 系统诊断工具 > 上网故障检测”,进入上网故障检测页面,设置检测报文的过滤条件,如协议、源目的IP、目的端口等,点击<开始>,系统会根据配置的过滤条件过滤需检测的报文,当报文发生丢包时会记录相关丢包模块和原因。在下面结果区域查看丢包原因,如下图所示。

图1-66 上网故障检测页面

 

说明

勾选流控模块直通时,流量不通过流量管理模块,流量管理功能失效。不再存在流控放通行为的丢包标记。全部数据直通可能会导致线路流量过大。

 

1.11.5  信息收集

设备可以记录系统运行信息,出现严重故障或异常时会生成异常信息,管理员可以下载这些信息为故障排除提供依据。

1. 收集系统信息

选择“系统管理>系统维护>信息收集”查看运行信息或异常信息,在操作列下点击 图标可以下载选中的信息。

图1-67 信息收集页面

 

选择手动采集,点击<提交>,系统立即采集数据,采集成功后会在列表中展示。

选择自动采集,设置采集周期(30~7200,单位为秒)并勾选<启用>,点击<提交>启用,设备就可以按照设定的周期自动生成信息采集文件,选择“循环收集”可以在设备启动后继续收集信息,收集完成后可以对设备文件进行下载、删除等操作。

图1-68 自动采集系统信息

2. 导出异常信息

通过异常信息导出模块,可以收集系统因异常而记录的日志信息,主要用于问题定位。

选择“系统管理>系统维护>信息收集>异常信息导出”,进入异常信息导出页面,如下图所示。单击对应异常信息后的图标,即可将该异常信息导出。

图1-69 异常信息导出

 

1.12  抓包工具

设备内置了抓包工具,对指定接口上的协议报文进行抓取,技术人员可以通过抓包文件对网络安全事件进行分析。

通过菜单“系统管理 > 系统维护 > 抓包工具”,进入如图1-70所示页面。各个配置项的含义如表1-20所示。

图1-70 抓包工具页面

 

表1-20 抓包工具各个配置项含义描述表

标题项

说明

接口

要抓取报文的接口。

协议

抓取报文的协议类型。

源IP

抓取报文的源IP地址,全零或空表示任意地址。

源端口

抓取报文的源端口号,零或空表示任意端口号。

目的IP

抓取报文的目的IP地址,全零或空表示任意地址。

目的端口

抓取报文的目的端口号,零或空表示任意端口号。

抓取新建会话

抓取新建连接的前N个报文,取值为0~1024。

应用

根据应用协议抓取报文。

 

抓取结束后,抓取的报文文件将以.pcap格式保存,在文件列表中点击图标,下载抓包文件至本地,使用Wireshark等软件可查看抓包文件。

图1-71 文件列表页面

 

说明

2G及以下内存的设备,抓取的报文文件最大为20M;2G以上内存的设备,抓取的报文文件最大为50M。当用户抓包的报文文件达到最大值或者抓包时间为300s时,系统自动停止抓包,也可以手动停止抓包。

 

1.13  服务器管理

1.13.1  服务器管理概述

系统告警支持邮件外发功能,报表管理支持邮件外发和FTP外发,可通过服务器管理页面配置邮件服务器和FTP服务器来实现邮件外发及FTP外发。

1.13.2  FTP服务器的配置

通过菜单“系统管理>服务器管理>FTP服务器”,进入FTP服务器配置页面,如图1-72所示。

图1-72 FTP服务器配置页面

 

页面的详细说明如表1-21所示。

表1-21 FTP服务器配置详细说明

项目

说明

服务器地址/域名

发送的FTP服务器的IP地址或域名

FTP服务器端口

FTP服务器的端口

用户名

登录FTP服务器的用户名

密码

登录FTP服务器的密码

 

单击<验证用户和密码>验证FTP服务器的用户名和密码访问是否成功,并显示验证结果,如图1-73所示。

图1-73 FTP用户名和密码验证成功

 

1.13.3  邮件服务器的配置

通过菜单“系统管理>服务器管理>邮件服务器”,进入邮件服务器配置页面,如图1-74所示。

图1-74 邮件服务器配置页面

 

页面的详细说明如表1-22所示。

表1-22 邮箱服务器配置详细说明

项目

说明

发件人地址

发件人邮箱地址

邮箱服务器

发送地址的邮箱服务器

加密方式

选择加密方式。选择非加密方式存在安全风险,建议选择SSL或STARTTLS加密方式,防止用户名和密码在传输中泄露。

服务器端口

服务器端口

smtp 服务器身份验证

配置smtp 服务器身份验证的用户名、密码,如果不需要验证可不选。

测试邮箱有效性

检查配置是否正确,正确则会收到测试邮件

 

1.14  短信服务

1.14.1  概述

短信网关是当终端与设备对接时,给认证终端指定的手机号下发授权验证码的设备。目前设备已支持与多家短信厂商的对接,并支持基于HTTP协议及soap协议的短信网关通用框架,实现与预定义之外的短信厂商服务器对接。

配置短信认证,需要先根据对接的短信厂商不同,配置对应的短信服务网关。短信认证的详细配置请参考“用户和用户认证”章节。

1.14.2  配置短信网关

1. 配置预定义短信厂商

在导航栏中选择“系统管理>服务器管理>短信服务”,单击新建进入短信服务设置页面,单击厂商列表选择对接的短信厂商名称,如下图所示。

图1-75 短信服务设置页面

 

页面的详细说明如下表所示。

表1-23 短信服务配置说明

项目

说明

 

名称

短信服务对象的名称

描述

可输入该短信服务对象的作用等信息

厂商

通过下拉框方式选择系统内置的不同短信厂商(不同厂商需要填写信息各不相同,实际情况请根据所选厂商进行填写,此处以“亿美软通”为例说明)。

短信内容前缀

短信内容前面部分的描述信息

网关地址

短信厂商提供的通信地址

序列号

短信厂商提供的产品序列号

密码

短信厂商提供的产品密码

短信key

短信厂商提供的产品key值

扩展号段

短信厂商提供的扩展功能号码

短信测试

输入测试短信的接收手机号码,点击“测试有效性”,可以测试与短信网关的通信是否正常。

测试之前需要配置有效的DNS服务器。

 

 

2. 配置HTTP短信网关

在导航栏中选择“系统管理 >服务器管理 >短信服务”,厂商选择“HTTP协议”,进入HTTP短信网关配置页面,如下图所示。

图1-76 HTTP短信网关配置页面

 

页面的详细说明如下表所示。

表1-24 HTTP短信网关配置页面详细说明

项目

说明

名称

创建的HTTP短信网关名称。

描述

创建的HTTP短信网关的描述信息。

厂商

创建的短信网关厂商信息,此处选择HTTP协议。

网关地址

对接的HTTP短信网关服务器的地址信息。

Content-type

需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。

Content-Type(内容类型),一般是指HTTP Header中的Content-Type参数,用于定义网络文件的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件。支持三种方式:

application/json;charset=utf-8:采用utf-8编码的JSON数据格式。

text/html;charset=utf-8:采用utf-8编码的HTML格式。

application/x-www-form-urlencoded<form encType=””>参数中默认的encTypeform表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式)。

报文主体

需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档格式填写。比如:如上图,填入企业编号、用户编号、用户密码、短信内容、短信类型等信息

报文内容运算

需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写,如果接口文档中对报文内容有运算要求,勾选相应的运算方式。支持:转jsonUnicode编码、base64编码三种方式。

报文格式

需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。支持:jsonformdata两种方式。

响应头

需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。支持:jsonxmltext三种方式。

响应标记

需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。

短信测试

输入测试短信的接收手机号码,点击“测试有效性”,可以测试与短信网关的通信是否正常。

测试之前需要配置有效的DNS服务器。

 

3. 配置soap短信网关

在导航栏中选择“系统管理 >服务器管理 >短信服务”,厂商选择“soap”,进入soap短信网关配置页面,如下图所示。

图1-77 soap短信网关配置页面

 

页面的详细说明如下表所示。

表1-25 soap短信网关配置页面详细说明

项目

说明

名称

输入新建soap短信网关的名称

描述

新建的soap短信网关的描述信息。

厂商

选择短信网关的类型,此处选择soap

网关地址

对接的soap短信网关服务器的地址信息。

报文内容

报文内容有2种方式可以输入:

1xml文件的方式,把需要交互的内容使用xml的各种保存问题标准的xml文件,上传该文件;

2、手动输入方式,把需要和短信网关服务器交互的内容,按照xml文件的格式填入到手动输入框中。

响应标记

响应标记有三个字段信息,分别是:1、短信发送成功后的成功状态的标记字段名;2、短信发送成功后的成功返回的标记字段值;3、短信发送成功后的成功返回消息。

短信测试

输入测试短信的接收手机号码,点击“测试有效性”,可以测试与短信网关的通信是否正常。

测试之前需要配置有效的DNS服务器。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们