收藏
下载资源 加入VIP免费专享

′E网无忧网络管理机′使用手册.doc

上传人:yyf 文档编号:5119498 上传时间:2020-02-04 格式:DOC 页数:94 大小:5.13MB
返回 下载 相关 举报
′E网无忧网络管理机′使用手册.doc_第1页
第1页 / 共94页
′E网无忧网络管理机′使用手册.doc_第2页
第2页 / 共94页
′E网无忧网络管理机′使用手册.doc_第3页
第3页 / 共94页
′E网无忧网络管理机′使用手册.doc_第4页
第4页 / 共94页
′E网无忧网络管理机′使用手册.doc_第5页
第5页 / 共94页
亲,该文档总共94页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《′E网无忧网络管理机′使用手册.doc》由会员分享,可在线阅读,更多相关《′E网无忧网络管理机′使用手册.doc(94页珍藏版)》请在三一文库上搜索。

1、 目录第一章 简介11.1 企业网络化的弊端21.2 “e网无忧”解决手段31.3 产品功能31.4 多功能和高性能的结合4第二章 网络部署架构52.1 “e网无忧”网络管理机部署模式52.1.1 网关模式52.1.2 网桥模式62.1.3 旁路模式72.1.4 模式对比72.2 网络结构典型实例82.2.1 典型二层网络82.2.2 典型三层网络92.2.3 双线路接入网络10第三章 设备安装123.1 检查连通情况123.2 初始登陆账号133.3 系统登录界面143.4 系统界面说明153.5 故障恢复15第四章 设备管理164.1 设备状态164.2 设备控制184.3 网络配置194

2、.3.1 网络接口配置194.3.2 DHCP服务204.3.3 DDNS服务214.3.4 接口速率214.3.5 设备维护224.4 双线路说明224.4.1 负载均衡224.4.2 分流策略234.4.3 策略路由24第五章 防火墙255.1 安全策略265.1.1 通用防火墙265.1.2 IP/MAC地址绑定265.1.3 静态路由275.1.4 源地址转换285.1.5 端口映射285.1.6 高级配置295.2 对象配置305.2.1 时间对象305.2.2 地址对象315.2.3 服务对象325.3 防火墙日志335.3.1 连接跟踪表335.4 配置实例33第六章 VPN36

3、6.1 功能配置说明366.2 隧道监视386.3 设备认证386.4 智能模式396.5 分支节点396.6 隧道配置406.7 日志管理406.8 移动客户端416.8.1 接入监控416.8.2 接入配置416.8.3 发布授权416.9 配置实例42第七章 用户管理447.1 用户类型447.1.1 用户认证方式457.2 修改企业信息467.3 添加企业部门477.4 手工添加员工477.4.1 自定义格式导入487.4.2 域的用户手工同步497.5 修改用户姓名507.6 新认证用户507.7 免监控IP507.8 认证定制51第八章 上网行为管理528.1 文件过滤528.1.

4、1 文件后缀对象528.2 网页过滤538.2.1 网址审计对象538.3 应用层过滤548.3.1 应用层策略对象548.4 审计策略模版和配置548.4.1 下载文件限制548.4.2 网络应用层过滤558.4.3 URL过滤558.4.4 论坛言论过滤568.4.5 日志审计568.5 带宽控制578.5.1 带宽配置578.5.2 员工策略588.5.3 高级策略588.6 流量监视598.6.1 终端实时流量598.6.2 终端最近流量608.6.3 网关实时流量608.7 配置实例618.7.1 基于IP带宽流量限制618.7.2 基于WEB流量带宽保证618.7.3 上网审计快速

5、配置62第九章 桌面行为管理669.1 桌面行为669.1.1 界面说明669.1.2 基本信息679.1.3 工作状态689.1.4 发送通知699.2 资源审计699.2.1 本地硬件资源审计709.3 模块审计709.3.1 功能模块说明709.3.2 屏幕监视719.4 日志审计729.4.1 业绩分析729.4.2 资产告警739.4.3 工作流水739.4.4 屏幕日志739.4.5 聊天日志749.5 进程审计759.5.1 进程对象配置759.6 单机维护769.6.1 桌面审计策略769.6.2 远程命令执行779.6.3 共享目录管理789.6.4 网络连接跟踪789.7

6、拓扑编辑799.8 配置实例809.8.1 员工策略配置80第十章 数据管理8410.1 界面说明8410.2 功能说明8510.2.1 日志自动删除8510.2.2 历史数据删除8510.3 报表中心8610.3.1 企业报表8610.3.2 个人报表86 网络管理机 用户指南 第一章 简介现代企业越来越离不开电脑和网络,但是电脑和网络的管理成为一大问题,员工经常用电脑来聊天,做私事、打游戏、下载、访问网站,这样不仅影响工作,而且对公司文化建设产生不好的影响。另外,公司电脑多了以后,经常都是到资产检查的时候才发现电脑的内存、硬盘、CPU更换、丢失。伴随网络的快速发展,互联网成为企业发展不可缺

7、少的工具,然而,目前多数企业的网络管理方式,已经不能满足企业管理和发展的需要,不能解决企业网络安全,文档信息保护,高效利用网络带宽,管理员工上网,管理员工的工作情况等现实问题。为了解决这些问题,很多企业需要多种解决方案,同时伴随大量的信息化投资建设。这对于中小企业是个比较大的经济负担,并且,网管人员需要掌握多种软件的使用,增大了应用的难度,同时也增加了系统后续维护的困难。“e网无忧”网络管理机,是一款功能强大的网络管理工具,它一方面控制管理组织的上网行为、有效进行宽带管理,另一方面能对局域网计算机进行全面的管理,具备监视、控制与管理功能。总而言之,“e网无忧”网络管理机包括了企业防火墙路由器、

8、VPN互联、上网行为管理、桌面行为管理等功能,它为企业提供一站式的网络管理解决方案,通过高科技、实用、易用,以及高性价比来满足客户的需求,为客户创造商业价值。1.1 企业网络化的弊端图1.1 企业网络风险图互联网在为企业创造效益的同时,也起到了一定的负面效果。公司员工在上班时间用计算机是在工作吗,还是在玩游戏、聊天、上网、看电影?既浪费时间影响工作效率,又影响公司网络安全。在互联网为企业带来便利和效率的同时,企业也正在受到意想不到的损失。 随意访问网站、下载安装软件等操作是造成公司局域网内病毒、木马泛滥的根源。网络中存在病毒,造成资源浪费,让系统变慢,不堪重负,甚至各种后门程序会盗走贵重信息资

9、料。企业设备多了,资产管理就造成麻烦,资产管理人员很难过目每台电脑。如果内存、CPU、硬盘被人偷换了,如果不彻底检查,难以发现资产信息是否准确。如果公司有子公司或分支机构,那公司网络的整体管理就更加麻烦。1.2 “e网无忧”解决手段图1.2 “e网无忧”功能实现图基于现状,天助网“e网无忧”系列的出现能帮助企业管好网络,用好网络。同时解决企业的网络安全问题,从而提高了工作效率,企业竞争力,并为企业创造更有效的利益和价值。1.3 产品功能“e网无忧”网络管理机的三大主流功能: VPN/防火墙保证企业的上网,解决企业分支之间的互联问题; 上网行为管理控制上网相关行为,避免员工在网络上浪费时间,专注

10、工作; 桌面行为管理规范和监管员工在电脑桌面上的行为,提高员工工作效率;管理电脑硬件资产,规范电脑的软件使用;1.4 多功能和高性能的结合各个模块高度集成起来需要一个很好的核心纽带,“e网无忧”网络管理机的核心纽带就是实名制的管理模式。“e网无忧”网络管理机的所有功能都采用模块化设计,模块的功能可以自由选择和配置。其采取的实名管理模式,突破传统的IP方式的管理,直观、简单、高效。同时,通过简单的配置,就可以明确被管理对象的权限、信息、日志等。“e网无忧”网络管理机在硬件上采用了高性能的配置,具有很好的处理能力,在存储上也配备了大容量的硬盘。并且其软件设计也十分出色,良好的模块化设计,高优化的算

11、法处理,这些因素都保证了产品的高处理能力和稳定运行情况。第二章 网络部署架构“e网无忧”网络管理机作为一个安全网关设备,首先考虑的是设备应该如何部署在网络中。这需要了解两方面的问题:一是它支持哪种接入方式和运行模式;二是您现有的网络架构适合哪种接入方式。2.1 “e网无忧”网络管理机部署模式“e网无忧”网络管理机支持三种运行模式:网关模式、网桥模式、旁路模式。2.1.1 网关模式图2.1.1 网关模式网关模式是把“e网无忧”网络管理机作为一个路由设备使用,一般是把它架设在在局域网的网关出口的位置,代理局域网上网。l “e网无忧”网络管理机工作在网关模式时,局域网内电脑的网关IP都指向其LAN口

12、IP,数据由它做NAT转发出去。l 在企业条件允许的情况下,我们强烈建议使用网关模式。2.1.2 网桥模式图2.1.2 网桥模式网桥模式是把“e网无忧”网络管理机视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下选择该模式。把“e网无忧”网络管理机接在原有的网关和交换机之间。网桥模式的主要特点是:可以穿透数据链路层的数据,对用户做到完全透明。l 在网桥模式启用时,不能使用NAT功能。l “e网无忧”网络管理机工作在网桥模式时,必须保证所有数据穿过它,不能存在内网用户绕行而到达网关的物理线路。l “e网无忧”网络管理机工作在网桥模式时,局域网内电脑的网关地址无需更改。2.1.

13、3 旁路模式图2.1.3 旁路模式旁路模式实现监控和管理的同时,可以不必更改公司的网络架构,可以避免设备中断对网络用户访问造成的风险。用户把“e网无忧”网络管理机接在交换机的镜像接口或者接在HUB上,对网络进行旁路式的监听和控制。l 用户必须使用具有端口镜像的交换机或者HUB。如果交换机没有镜像端口,可以在交换机前加接HUB实现。2.1.4 模式对比根据自己的网络结构情况,选择适合自己的模式来部署。下表是三种模式的优缺点对比:接入模式优势劣势网关模式设备的WAN口一般具备公网IP地址,“e网无忧”网络管理机的管理软件,不需要端口映射,就可以实现远程的网络管理,用户在可以上网的任何地方进行管理,

14、查看日志信息等。并且可以充分的利用“e网无忧”网络管理机的VPN等功能。完成公司、分公司的互联,建立自己的虚拟专网,共享企业资源。可能需要修改现有网络配置,也可能要替换现有的路由上网设备或者防火墙设备,因为这部分功能和“e网无忧”网络管理机的功能重复。网桥模式不需要改变用户网络配置,方便连接和使用,设备配置部署快速。保护现有设备投资,高档路由设备和“e网无忧”网络管理机协同工作,同时提升网络处理性能和网络管理能力。设备不具备公网IP地址,外部管理需要端口映射。不支持VPN功能。对于没有高档路由设备的用户,这种模式不能发挥“e网无忧”网络管理机的网络处理和防火墙方面的优势,限制了设备的价值。旁路

15、模式当“e网无忧”网络管理机设备发生故障或意外地中断时,对网络的运行不会造成影响。数据包不通过这个设备,所以还需在交换机的端口上启用端口镜像(交换机支持端口镜像),如果没有端口镜像功能,就要接一个HUB,如果不启用端口镜像或接入HUB,“e网无忧”网络管理机功能会有所丧失。表2.1.42.2 网络结构典型实例企业的网络结构是多样化的,我们列举三个最为常见的结构,用户可以根据实例部署自己的网络。对于在部署过程中遇到的问题,可以通过我司400-716-6100电话做技术咨询。2.2.1 典型二层网络这是一个非常典型的二层网络架构的拓扑图,ADSL的拨号接入,路由器为网关,该网络架构能够满足目前绝大

16、多数企业用网需求(如下图2.2.1-1)。图2.2.1-1“e网无忧”网络管理机的接入实际上代替了路由器,在功能上也实现了一个网关的作用,内网所有计算机的网关都指向其局域网地址,通过拨号设置代理上网,也可以启用DHCP服务,让内网计算机自动获取IP(如下图2.2.1-2)。图2.2.1-22.2.2 典型三层网络固定IP接入,内网电脑超过200台(如下图2.2.2-1)。图2.2.2-1不改变原网络结构,在路由器和三层交换机之前接入“e网无忧”网络管理机,使用网桥模式或旁路模式(如下图2)。图2.2.2-22.2.3 双线路接入网络单一的ADSL不能保证带宽需求,同时,公司需要将不同的部门网络

17、隔离,分成两个网络来上网(如下图2.2.3-1)。图2.2.3-1这种网络结构有两个作用,既可以保证部门之间的隔离,又可以保证某些部门的关键业务不受到整个网络流量的影响。通常用户选用“e网无忧”网络管理机,需要对这两个网络都进行管理。“e网无忧”网络管理机的连接方法(如下图2.2.3-2)。图2.2.3-2在这种环境下,“e网无忧”网络管理机通过配置双线路和防火墙,从而控制两个网段之间的互通。“e网无忧”网络管理机对两个网段的用户统一做管理。这种模式下“e网无忧”网络管理机作路由器使用,通过其路由规则来确定转发线路。第三章 设备安装“e网无忧”网络管理机的物理接口:LAN口,即局域网口,一般与

18、交换机连接;WAN口,即外部出口,一般与路由器或ADSL MODEM连接;DMZ口,即扩展口,当使用双线路上网时,则需要使用该接口。“e网无忧”网络管理机TZ3100的网络接口不能自适应,所以连接路由器时,需要使用交叉网线;连接交换机时,可以使用直连线。下列为物理接口初始地址:接口地址LAN口192.168.1.1WAN口192.168.0.200DMZ口10.0.0.2003.1 检查连通情况首先将“e网无忧”网络管理机接入电源,加电启动。再将计算机用交叉线连接至“e网无忧”网络管理机的任意接口。如果是通过交换机可以使用直通网线。假如接到设备的LAN口,把计算机IP地址设置在同一个网段(19

19、2.168.1.xxx,掩码255.255.255.0),此时可以通过ping检查是否正常启动。点击Windows的开始运行,输入CMD,回车,在出现的界面里输入:ping 192.168.1.1 。如果屏幕显示为图1表示计算机已经和“e网无忧”网络管理机连通;如果屏幕显示为图2表示计算机未和“e网无忧”网络管理机连通。图1图2如果不通,请按照下列顺序检查: 1) 硬件连接是否正确确定“e网无忧”网络管理机的LAN、WAN、DMZ等接口接入正常,也可以从面板上的端口指示灯上判断连接状况。 2)计算机的TCP/IP设置是否正确如果“e网无忧”网络管理机的IP地址为 192.168.1.1,那么计

20、算机的IP地址必须为192.168.1.x (x范围是2254)。 3.2 初始登陆账号登陆“e网无忧”网络管理机时,系统已设置四个初始账号,并且可以为默认用户更改密码、权限和类型,也可以手动添加管理用户,只需填写相关信息和选择用户权限、认证方式和用户类型即可生成。用户全名用户登陆ID认证方式密码读写权限用户类型超级用户root密码方式password读写权限超级用户老板boss密码方式123456读写权限行政管理员系统管理员system密码方式123456读写权限网络管理员文档管理员doc密码方式123456读写权限文档管理员表3.2从下图可以看到,添加系统管理员时,需要填写用户的基本信息(

21、姓名、用户名、密码、UKey序列号、用户权限、认证方式、用户类型);在高级认证选项中,还可以指定用户登录的终端机器,设置MAC地址或者IP地址与该用户绑定;右侧是可以选择该用户可管理的部门。图3.2 登录用户管理3.3 系统登录界面“e网无忧”网络管理机以直观的界面体现给用户,安装“e网无忧”网络管理机管理系统后,双击快捷方式弹出登陆界面(如下图3.3):图3.3 登陆界面接入认证,即登陆设备的地址,支持IP地址和动态域名(动态域名目前只支持 3322.org的动态域名)、用户名、密码。终端设备选择:可以添加常用的“e网无忧”网络管理机(如下图3.31)。图3.31 认证设备配置3.4 系统界

22、面说明“e网无忧”网络管理机为用户提供个性化的操作界面,易于操作。“e网无忧”管理系统全功能包括:标准网络服务、VPN、防火墙、上网行为审计、上网行为日志、桌面行为审计、桌面行为日志等。3.5 故障恢复 忘记设备登录地址1. 通过DMZ口连接设备,把计算机IP地址设置成10.0.0.x,登录设备(DMZ口出厂地址为10.0.0.200),通过查看设备管理网络设置或设备状态就可知道设备所有接口的IP地址。2. 通过“客户端维护工具”也可以查寻到设备地址,打开“客户端维护工具”点击设备维护,通过“获取设备地址”就可以得到。 忘记账号密码可以用“客户端维护工具”进行设备恢复,这样就可以让设备恢复到出

23、厂默认配置。 无法登录“e网无忧”网络管理机检查登录地址、域名接入认证信息是否正确,通过ping检查计算机和设备之间是否连通。第四章 设备管理我们通过设备管理界面对“e网无忧”网络管理机进行设备配置,状态查询,设备功能控制和设备维护。设备管理主要对“e网无忧”网络管理机的网络基本服务进行配置,包括网络接口、DHCP、DDNS、接口速率等。同时根据设备的连接方式,配置相应的运行模式,例如网关模式、网桥模式。如果企业对自己的网络带宽有所需求,那么还可以使用双线路接入,并对其进行配置。除此之外还可以查看设备状态,从而了解连接到设备的线路、端口等是否正常。4.1 设备状态设备状态我们可以了解设备的运行

24、情况。系统状态显示设备当前时间、设备序列号、设备型号、软件版本、认证状态、防火墙状态、网桥模式、DDNS状态和资源使用状况(如下图4.1-1)。图4.1-1 系统状态l 认证状态只与VPN配置有关系,如果没有配置VPN,该状态没有意义。内网口状态显示LAN口的基本信息,有:MAC地址、速率模式、端口状态和IP地址(如下图4.1-2)。图4.1-2 LAN口状态外网口状态显示WAN口的基本信息,有:MAC地址、速率模式、上网方式、IP地址、网关和状态(如下图4.1-3)。图4.1-3 WAN口状态扩展口的状态信息与外网口相同(如下图4.1-4)。图4.1-4 DMZ口状态4.2 设备控制设备控制

25、是启用、停止上网行为、桌面行为、IP/MAC绑定功能按钮,只有在功能被启用的状态下,上网行为、桌面行为、IP/MAC绑定才能使用(如下图4.2-1)。图4.2-1 设备控制“e网无忧”网络管理机作为网关和网桥两种模式下,可以开启认证失败处理策略。如果勾选禁止上网后,网络内认证失败的用户就无法访问互联网(如下图4.2-2)。图4.2-2 认证失败处理策略网桥模式下无法使用端口映射,因此造成外网用户不能访问企业内部的服务器,这种情况可以将允许访问的IP添加到列表中(如下图4.2-3)。图4.2-2 放行IP列表如果勾选启用“提示未配置模版的员工”,那么系统会提醒登录用户有未配置模板的人员。4.3

26、网络配置网络接口参数和设备提供的网络服务配置。包括网络接口的配置,DHCP服务,DDNS域名服务,接口速率。根据“e网无忧”网络管理机的接入方式,配置相应的运行模式,例如网关模式。4.3.1 网络接口配置根据设备在网络中的接入方式可以知道其当前的运行模式,一般我们在接口上只需要配置局域网、广域网、扩展口。具体配置方法如下:1、 网关模式【1】 局域网配置,内网网关地址;【2】 广域网配置,选择上网方式;【3】 广域网配置,ADSL的用户名和密码;【4】 广域网配置,固定IP的网关;【5】 广域网配置,固定IP地址。2、 网桥模式【1】 启用网桥模式;【2】 桥IP即“e网无忧”网络管理机的IP

27、地址,桥网关即网关设备的IP地址。4.3.2 DHCP服务DHCP服务,即动态主机配置协议:计算机用来获得配置信息的协议。DHCP允许给某一计算机自动分发IP地址而不需要管理者在服务器数据中配置有关该计算机信息。我们可以在“e网无忧”网络管理机中开启DHCP服务,从而让计算机自动获取计算机信息并分配动态IP地址(如下图4.3.2)。图4.3.2 启用DHCP这里我们只需要手动添加动态分配的地址段,比如公司有100台电脑,即192.168.1.2-192.168.1.102。l 启用DCHP服务后,无法实现IP/MAC地址绑定。l 网桥模式下不支持DHCP服务。4.3.3 DDNS服务DDNS是

28、动态域名服务的缩写。DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析(如下图4.3.3)。 图4.3.3 DDNS服务4.3.4 接口速率“e网无忧”网络管理机的物理接口LAN、WAN、扩展口均可设置端口速率,分别有10M/100M全速、半速等选项;一般没有特定需求,都设置为自适应(如下图4.3.4)。图4.3.4 接口速率4.3.5 设备维护设备维护可以升级设备的软件系统,重启硬件机器,修改客户端机器注册的设备地址,查看客户端版

29、本号。如果用户的设备当前软件版本需要升级,可以通过升级按钮。设备升级过程请在厂商技术人员支持下完成,否则可能会带来不可恢复的故障;修改客户端注册地址作用是为了电脑安装客户端后快捷地寻找“e网无忧”网络管理机。设置时间校准可以将“e网无忧”网络管理机与PC同步,可以手动设置其时间,也可以通过与网络时间服务器进行时间同步。4.4 双线路说明双线路实际上是物理性的带宽增加,即2M+3M=5M。双线路方案主要解决了1.企业上网带宽的局限性;2.企业所在的地域通信的高延迟。有些企业单一的线路带宽已经不能满足其需求,由于10M以上的光纤费用昂贵,此时我们的解决方法就是采用双线路,提高上网带宽。在中国,南方

30、的用户大多使用电信上网,北方大多使用网通上网,这样就造成使用不同供应商提供的线路之间访问延迟过高,延迟高通信就会慢。此时我们推荐企业在网络上使用双线路,采用电信/网通线路共存的方式来解决南北通信高延迟的问题。4.4.1 负载均衡负载均衡是以拖动条的形式设置,作用是分配使用线路的带宽比率。比如某公司选择双线路上网,一条是3M另一条2M,那么出口总带宽为5M,这样我们可以设置流量比例,让WAN1的数据流占总线路带宽的60%,而WAN2的数据流占总线路带宽的40%。实际上这个比率是按照带宽的需求自定义设置的(如下图4.4.1)。图4.4.1 权重比例4.4.2 分流策略分流策略是以路由定向的方式指令

31、数据到指定线路,从而保证了带宽使用率。比如公司使用了双线路上网,需要让某台电脑、某个网段、某种服务的数据走指定的线路,那么我们在该线路分流策略信息表中添加源地址、目的地址、协议和端口号即可。下面举例说明设置方法(如下图4.4.2-1):图4.4.2-1 列举拓扑图某公司的网络已是双线路接入,局域网网段是192.168.100.0,允许员工使用QQ,还要访问公网的邮件服务器61.177.148.15和网站服务器211.68.154.175,通过以上条件设置业务数据分流。在分流策略界面下,首先将QQ的所有数据指向WAN1,原因是避免QQ断线(如下图4.4.2-2);图4.4.2-2 分流策略下一步

32、添加内网访问外部邮件服务器和网站服务器的策略路由,我们的目的是让两个业务各走不同的线路,避免访问过大导致网络堵塞。假如让邮件服务器走WAN1,网站服务器走WAN2(如下图4.4.2-3)。图4.4.2-3 分流策略配置4.4.3 策略路由策略路由是选择不同ISP供应商的线路时,系统会自动匹配该线路的路由,使该线路会按照路由表内的地址访问互联网,从而达到低延迟,快速通信的效果。这里我们只要确认接口线路的ISP供应商,比如您的网络WAN1是电信,WAN2网通,那么在界面中只要对应选择,即可完成设置。图4.4.3 策略路由第五章 防火墙在网络中,所谓“防火墙”,是指一种将内网和公网分开的方法,它实际

33、上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。“e网无忧”网络管理机的防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。“e网无忧”网络管理机防火墙的优

34、点:1) 防火墙能强化安全策略。2) 防火墙能有效地记录Internet上的活动。3) 防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。4) 防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。5.1 安全策略“e网无忧”网络管理机拥有防火墙的基本功能:访问控制策略、IP/MAC地址绑定、静态路由、源地址转换、端口映射以及连接数限制等功能选项。5.1.1 通用防火墙“e网无忧”网络管理机的通用防火墙主要以安全策略逻辑地进行控制,安全策略是基于时间、网络地址和应

35、用服务三个对象,选择策略动作放行或阻止数据通过,从而达到访问的限制。通过定义对象,可以灵活的设置各种规则,来满足企业需求。在通用防火墙中添加策略,只需要设置由时间对象,源、目的地址,服务对象,策略动作和策略生效这样一组元素构成。并且防火墙包含一个顺序准则,是先添加允许通过的策略,再添加阻止通过的策略。图5.1.1 访问控制策略5.1.2 IP/MAC地址绑定什么时候会用到IP/MAC地址绑定功能:1、 不希望IP地址由于相同而造成IP冲突;2、 当流动人员多,常常有新的人员加进网内,不希望不经授权而访问外网;3、 小区网络以MAC为身份验证时;4、 当设定访问规则时,需要严格的区分权限。界面说

36、明(如下图5.1.2):【1】 表内显示的是“e网无忧”网络管理机所获取到的内网IP和MAC地址;【2】 已绑定的地址,可以配置绑定名称、绑定规则、是否生效、是否允许接入Internet;【3】 已禁止用户接入Internet,管理者能一目了然查询到哪些用户不允许上网。l IP/MAC绑定在出厂设置下为停用。l 如果启用绑定功能,绑定表内无绑定IP,绑定功能则没有启动。5.1.3 静态路由网关模式和网桥模式下,设置静态路由让不同网段数据传出外网。例:有这样一个网络结构的公司,三层交换内有3个业务vlan(192.168.1030),上行至设备,“e网无忧”网络管理机的网关地址192.168.4

37、0.1(如下图5.1.3)。图5.1.3 静态路由在路由表中添加业务vlan:5.1.4 源地址转换源地址转换是对于多网关的网络,可以通过对源地址转换,使其找到正确的路由返回(如下图5.1.4)。图5.1.4 源地址转换5.1.5 端口映射如果局域网内有服务器需要向Internet提供服务,那么就需要在网关上进行端口映射设置。“e网无忧”网络管理机也提供了这样的功能。设置界面如下(如下图5.1.5-1):图5.1.5-1 端口映射例如,内网有一台IP为192.168.32.200的电脑要对外网提供WEB服务,所使用的端口为80,那么我们的步骤为:在端口映射中添加一条映射规则。对象名称可随便填写

38、,便于标识。:192.168.32.200,可选择为TCP或UDP,内网端口为80(0代表所有端口)。如果勾选,则可以进行更细化的设置(如下图5.1.5-2)。图5.1.5-2端口映射设置为WAN1接口地址,为需要设定的服务端口。l 一般对高级设置中的外网IP,建议使用固定IP接入的才对使用,由于ADSL拨号的外网IP是动态获取的,不适合指定外网IP。5.1.6 高级配置l TCP协议分片值此值设定TCP/IP协议传输数据报时的最大传输单元。MTU值可以解决“部分网站打不开”、“上网速度慢”等问题,并且可以适当提升上网速度。但并不是数值越大越好,有可能会造成丢包,所以如果不是很明确该如何设置,

39、可以使用默认值(1350)。 l 连接数限制为了保护网络正常使用,建议配置每个中断的合法连接数,从而保证每个机器能够在异常状况下正常上网,如果配置为0标识不进行连接数限制。5 N4 |4 . f2 W l; 设置方法:1.可以全局设定所有PC的连接数(如下图5.1.6-1):图5.1.6-1连接数设置2.指定IP的连接数(如下图5.1.6-2):图5.1.6-2端口映射l 我们常用的操作系统Windows,它的默认值为10,微软这样做是为了防止蠕虫等病毒的传播。但限制了对点对点(P2P)协议数据传输的连接速度和下载速度。5.2 对象配置对象主要是设定策略配置的条件准则。通过定义对象,满足对象条

40、件的策略则受到访问和控制;时间对象还会在 上网行为使用到。对象类型有三种:时间对象通过设置日期、时间段来定义对象;地址对象通过设置IP地址、IP段或集合形式的地址组来定义对象;服务对象通过设置协议类型、源端口、目的端口号设定服务类型定义对象。5.2.1 时间对象时间对象用于定义常用的时间段组合,除在通用防火墙中会使用以外,还会在上网行为设置时,可以选择设置好的时间段定义,以设定这些规则生效或失效的时间。点击添加按钮,出现对话框如下(如下图5.2.1):图5.2.1 时间对象名称可以填写便于理解的文字,对应周期进行选择,然后添加时间段,点确定完成时间组的定义。5.2.2 地址对象地址对象是以IP

41、地址为对象条件,可以选择设定添加好的地址对象、对象组定义,以设定这些对象生效或失效。点击添加按钮,出现对话框(如下图5.2.2):图5.2.2 地址对象设置对话框内可以填写对象的IP地址,这个对象可为一个地址,也可以是一个地址段(例如:192.168.5.0 255.255.255.0 或 192.168.5.120 255.255.255.255)。也可以对地址和地址段进行捆绑,以小组的形式作为对象。选择地址对象组,点击添加按钮,出现对话框如下(如下图):选择对象目标,加入组,填写对象名称,确定,即完成添加对象组设置。5.2.3 服务对象先在服务对象中定义各种服务所使用的端口和协议,然后根据

42、已定义了的服务来确定防火墙过滤规则或控制管理中根据已定义的服务来确定上网权限。界面如下图:点击添加按钮,弹出新增服务对话框如下所示(如下图5.2.3):图5.2.3 服务对象设置对象名称可填写便于理解的文字,选择服务用到的协议,支持TCP、UDP。选好协议后,填写源端口号和目的端口号。5.3 防火墙日志“e网无忧”网络管理机的日志包括防火墙日志、应用层日志和连接跟踪表,记录内网向外(Internet)访问时的活动,如下图:图5.4 防火墙日志网络阻断日志含有“通用防火墙”、“未通过认证”、“超过连接数限制”、“入侵日志”四项日志。“通用防火墙”策略添加启用后,相关行为在日志里才会保留;同样安装

43、客户端的电脑,才会在未通过认证界面显示信息;当启用连接数限制时,日志会保留超过连接数的终端信息。应用层日志也是对应用层所记录相符的选择进行过滤保留。5.3.1 连接跟踪表连接跟踪表是面向管理者维护设备时,方便查看“e网无忧”网络管理机与外网连接的终端的连接信息。5.4 配置实例假设公司为员工宿舍提供了上网条件,上网时间是周一至周五的17:3023:00,周六、周日全天开放,其余时间禁止上网,宿舍使用的网段是192.168.100.0,网关是192.168.100.1,接口是“e网无忧”网络管理机的扩展口。办公室网段是192.168.10.0,网关是192.168.10.1,接口是设备的LAN口

44、,禁止办公室网段与宿舍的网段互访。登录“e网无忧”网络管理机的管理系统,点击防火墙对象配置,在时间对象下,添加宿舍的时间段,点击添加,设置对象名称:允许宿舍上网时间,时间选中周一至周五,设置时间范围17:3023:00(如下图5.4-1);图5.4-1 添加时间对象再设置对象名称:禁止宿舍上网时间,时间选中周一至周五,设置时间范围23:0000:00和00:0017:30(如下图5.4-2);图5.4-2 添加时间对象接下来点击地址对象,添加两个地址段,一是办公网段192.168.10.0,掩码255.255.255.0;另一个是宿舍的网段192.168.100.0,掩码255.255.255.0(如下图5.4-3);图5.4-3 添加地址对象然后在安全策略中的通用防火墙里设置访问控制策略。在通用防火墙里有个准则,是先允许通过,再禁用阻止的顺序。右键点击插入,在弹出的对话框中时间对象选择:允许宿舍上网时间;源地址对象选择:宿舍网段;目的网段选择:ANY;服务对象选择:ANY;策略动作选择:放行,并选择策略生效(如下图5.4-4);图5.4-4 设置防火墙策略继续添加一条针对时间对象是周末的策略,然后添加一条以禁止宿舍上网时间为对象、动作为阻止的策略(如下图5.4-5);图5.4-5 设置防火墙策略最后设置两条以地址为

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 工程管理


经营许可证编号:宁ICP备18001539号-1