SECCNAC系列产品说明书

SECCN用户行为管理防火墙AC系列用户手册用户行为管理企业级防火墙专业VPN智能路由带宽叠加负载均衡动态寻址流量监控访问控制双机热备集中管理Revision2.62012年8月1日适用于固件版本2.X适用于AC系列产品关于本手册版权声明广州鼎成信息科技有限公司©2012版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属广州鼎成科技有限公司所有，受到有关产权及版权法保护。未经广州鼎成科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。信息更新本文档仅用于为最终用户提供信息，并且随时可由鼎成科技更改或撤回。免责条款根据适用法律的许可范围，鼎成科技按提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，鼎成科技都不会对最终用户或任何第三方因根据说明文档使用造成的任何直接或间接损失或损坏负责，即使鼎成科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。阅读对象本文的读者对象为企业IT决策人员、网关的使用用户、鼎成科技的合作伙伴。目录前言..........................................................1一、系统信息。.................................................3二、网络配置。.................................................3三、对象管理。.................................................6四、策略模版。.................................................8五、用户管理。................................................13六、行为审计。................................................16七、防火墙。..................................................17八、VPN管理。.................................................18九、系统管理。................................................19十、设备日志。................................................20十一、中心端管理。............................................20附录.........................................................211前言1、设备接口分布。网口说明CONSOLE计算机可用串口与本设备通过超级终端连接，做高级设置使用。WANWAN口可接各种线路或网络设备，例如ADSLMODEM、光纤收发器。LANLAN口(以太网口)连入局域网的设备，例如集线器或交换机。WAN2/DMZ本网口可在界面里调整使用功能，默认为DMZ口，与LAN口功能相同。另可调整或独立为WAN2口，与WAN口功能相同。WAN3本网口可在界面里调整使用功能，默认为WAN3口，与WAN口功能相同。WAN4本网口可在界面里调整使用功能，默认为WAN4口，与WAN口功能相同。2、连接本设备。WAN口要连接外网进线或有外网出口的上级设备，LAN口连接内网服务器或交换机，如使用单机要对本设备进行配置，则需要使用本设备配线盒中的蓝色网线，连接本设备LAN口与电脑的网卡。3、设置本设备。设置本设备需要用浏览器，建议使用FireFox或IE8浏览器；在接好网线并开启本设备两分钟之后，设置本地连接IP为：192.168.0.100，然后在浏览器地址栏在英文状态下输入：，在弹出安全警告中选择是或选择添加一个例外即可显示登陆页面，如还是不能登陆可以在浏览器设置中，把登陆地址添加到安全站点里；默认登陆用户名为admin，密码为888888。设置设备网络连接常用方法主要有两种：A网关模式：网络配置→部署模式→外网接口管理→WAN1配置→内网接口管理→生效配置。此种模式适用于可以直接把AC设备替换掉原有网关设备的案例：2B桥接模式：网络配置→部署模式→桥接或旁路→生效配置。此种模式适用于不方便更改已有网络结构的案例：设置行为管理及审计步骤：对象管理(按所需定义各种对象方便后面调用)→策略模板(定义具体的策略、审计、流量模板，方便后面把相应的权限赋予某个用户或用户组)→用户管理(根据实际需要定义用户组或用户，一般针对公司来说，可以按部门或行为权限区分规则)。例如按照权限可分为：服务器用户组、无限用户组、受限用户组等，则从对象管理中就以之为基础设置名称，如服务器地址组、服务器端口；服务器策略、服务器审计、服务器流量…如此定义的好处就是当做相关设置时，能直观的选择正确的项目，方便管理。广州鼎成信息科技有限公司3一、系统信息。1.1系统信息。本项菜单是显示本设备运行过程中的基本信息，以及各网口的连接情况。1.2当前用户列表。本项菜单是显示与本设备连接的IP及相关信息。1.3流速排名。本项菜单是显示经过本设备的用户流量情况，并排序显示。1.4接口应用流量。本项菜单是显示本设备所有接口的流量情况。1.5用户应用流量。本项菜单是显示经过本设备的所有用户细分应用流量的情况，并排序显示。1.6连接监控。本项菜单是显示某用户当前所有应用连接端口的状态及方向。1.7命令行工具。本项菜单是通过命令的方式，辅助诊断设备的运行情况及故障。二、网络配置。2.1部署模式。本项菜单是设置本设备接入网络的基本设置。2.1.1桥接或旁路模式。当设备接入已有网络，并不改变原有网络结构的情况下，要使用本设备的内网管理功能，则需要启用本功能，并把设备架设在网关设备和内网交换机之间，让所有数据通过本设备的网口进去，再转到网关设备上即可；桥模式的网口分为外网口和内网口，外网口就是接上层网关的网口，内网口一般是接交换机的网口，与内网口相连的机器会被设备管理。所以不要选错。上行速率和下行速率按照实际的外网速率配置，在进行智能流控的时候会根据这个速率自动调整用户速率。旁路监控服务器是把本设备连接到交换机的镜像端口上，并指定网关设备的MAC地址，可实现对上网行为的审计功能，但用户及行为策略则无法控制。广州鼎成信息科技有限公司42.1.2外网接口管理。可配置外网接口及相关设置。2.1.2.1选项。可调整WAN口的几种模式及MSS值，如无特殊需求，默认即可。2.1.2.2WAN口策略路由配置。默认内置四种国内主流运营商的IP地址，也可根据自己需要添加，添加完成之后，在后面配置WAN口的时候可以选择。2.1.2.3WAN口配置。WAN口类型，根据线路实际情况选择，包括ADSL，静态IP及DHCP；如是ADSL线路，则需要根据运营商分配的用户名和密码依次填入本页面，如是静态IP线路，也需要根据运营商提供的IP掩码网关DNS依次填入，如需对带宽进行管理，则需要根据实际情况，设置好带宽；如是单线路或同种运营商的多线路，下面WAN口策略路由不需勾选；如有多条线路接入可依次配置其他几个WAN口，如使用其他运营商的线路可根据需要选择下面的策略路由。广州鼎成信息科技有限公司52.1.3内网接口管理。可配置内网接口及相关设置。包含设备指的是，可以把其中几个网口做成桥模式，假如使用环境只有一条外网线路，而内网一个还不够，这时可以在包含设备里选择除了WAN1口的其他网口，然后再配置一个内网IP地址，配置后变成1个WAN3个LAN的设备，使用起来更灵活；802.1QVLAN是针对部分支持这个协议的网管交换机对接使用的，可以更好的管理由交换机划分出来的VLAN；IP地址格式为：IP/掩码，如指定多个IP则每个IP占一行即可。2.1.4DMZ接口管理。可配置DMZ接口及相关设置。根据实际情况，如需启用DMZ功能则在本项开启，并指定哪个网口为DMZ口，然后设置网口的IP地址即可，IP地址格式为：IP/掩码，设置方法同LAN口设置。2.1.5生效配置。做完网口设置后，要使相关设置生效就需要重新启动。2.2静态路由。本项菜单是设置本设备到其他网段的路由表。2.2.1根据实际情况，指定好目标网段和掩码及网关，保存即可生效。2.3内网DHCP。本项菜单是为自动获取IP的用户做分配IP用途。2.3.1如有自动获取IP的用户则需要打开DHCP服务，并指定IP起点和终点后确定即可，如内网口有多个IP段可依次使用IP1-4设置网段，如只有一段则只设置IP1中的范围即可，这里IP起点与终点根据实际需要填写，并不要与其他指定IP地址的用户或VPN用户冲突，以免出现问题；其他网关和DNS的设置可不填，默认为本设备即可；启用IP/MAC绑定的用户，如是自动获取IP的，可以把最后一项设置开启。广州鼎成信息科技有限公司62.4DDNS配置。本项菜单是设置绑定本设备的动态或静态DNS。2.4.1配置本机的DDNS。同时支持4种DDNS同时捆绑，设备出厂即已绑好2种，DDNS1默认为本公司提供的SECCN.COM后缀的域名，规则为：序列号.SECCN.COM(注：序列号为2位英文+7位数字的组合，帖在设备电源接口或网口附近)；DDNS2默认为希网提供的免费域名，格式为：序列号.3322.org，用户名密码同为：序列号(小写)；如设备恢复出厂值，则本项要重新配置，启用DDNS1并输入序列号保存即可，其他选项默认。2.4.2配置静态DNS。根据需要指定IP和域名之间对应的关系，前提是IP是静态或不经常变动的，指定后内网通过本设备做DNS，就可解析相应的域名。2.5SNMP配置。可使用本网管协议，查询设备的特性、数据吞吐量、通信超载和错误等。2.6高可用性。本项菜单是设置设备扩展功能，双机热备。2.6.1配置双机热备。启用本设置的前提是有2台同型号同版本的硬件设备，一台做主机，另一台做备份机，设置好心跳包接口，并指定需要检测的网口即可。2.6.2配置双机虚拟IP。当使用2台设备做双机的时候，需要把网口设为与实际地址同段的中转地址，并在本项中用实际地址设置成某网口的虚拟IP即可。三、对象管理。3.1IP对象。本项菜单是定义基于IP策略的对象；支持格式IP、IP1-IP2、IP/掩码；方便后面的策略中调用。3.2网络服务对象。本项菜单是定义基于端口策略的对象；支持格式PORT、PORT1-PORT2；方便后面的策略中调用。广州鼎成信息科技有限公司73.3时间对象。本项菜单是定义基于时间策略的对象；支持特定时间循环或时间段内的特定时间循环；方面后面的策略中调用。3.4帐号对象。本项菜单是定义基于帐号策略的对象；支持QQ、MSN、飞信、魔兽等帐号；方便后面的策略中调用。3.5文件类型对象。本项菜单是定义基于文件扩展名的对象；内置了多种常见格式扩展名，可按需要进行自定义，方便后面的策略中调用。3.6HTTP关键字对象。本项菜单是定义基于网页数据包中的关键字对象；方便后面的策略中调用。广州鼎成信息科技有限公司83.7URL组对象。本项菜单是定义基于网页URL的对象；内置了多类URL库，其中内置部分前台无显示，只显示自定义部分，可根据需要自定义类别；方面后面的策略中调用。3.8数据库审计对象。本项菜单是定义基于数据库传输的对象；支持多种数据库类别的定义，针对某种数据库应用进行管理，以便策略中调用。四、策略模版。4.1过滤策略。配置过滤规则的模板；使用方法：先创建规则组，再选择相应组点击子规则编辑，进入子规编辑页，编辑所有规则到这个规则组中；之后在用户管理(用户组管理)中选择调用相应规则组