1、ACMACM培训培训2019-1产品概况产品概况产品主要分为两大功能1、网络控制功能2、应用审计功能网络控制及审计功能网络控制及审计功能 控制功能 访问控制控制 IP/MAC 带宽控制 P2P控制 认证控制 上网控制 审计功能 邮件审计 IM审计 股票及网络游戏审计 网络电话、电视审计 网站提交及网站访问 下载信息审计系统信息系统信息该页主要是查看系统运行情况:查看系统资源占用情况查看接口监控状态查看当前流量大小注意 接口处于“监控中”时表示设备处于审计运行中,否则需要手工启动产品注册产品注册产品注册信息中描述了设备状态,如果有效期和注册状态异常,则需要点击注册,注册不成功,请检查下列问题:1
2、、设备是否与互联网连接,是否为设备配置了地址、网关、域名、默认路由四个参数。2、如果配置正确仍不能注册,请ping 222.128.6.131,检查是否能通信。同时检查前端防火墙是否阻断了该通信。3、如仍有问题,请联系客服人员进行解决。产品服务产品服务产品服务信息中描述了应用软件识别库和URL分类库的在线升级期限,默认为三年。如果未激活,请点击激活按钮。若不能激活,请检查下列问题:1、设备是否与互联网连接,是否为设备配置了地址、网关、域名、默认路由四个参数。2、如果配置正确仍不能注册,请ping 222.128.6.131,检查是否能通信。同时检查前端防火墙是否阻断了该通信。3、如仍有问题,请
3、联系客服人员进行解决。系统配置系统配置公告配置该公告信息在用户启用了上网认证功能时,用户认证时会弹出。公告栏的信息用户可以自定义;公告内容可以是中、英文以及阿拉伯数字,公告长度最长为255 个中文字符。超时配置超时配置该参数配置为设备启用认证功能后,对用户的一些超时配置。“登录时长”:是指认证用户认证后所能使用网络的最大时长,超过此时长后用户需要重新认证方可使用网络;“心跳时长”:是指认证用户在认证成功后的最大空闲时间,在此时间段内如果用户没有产生网络流量,那么系统会认为用户已退出认证。服务器配置服务器配置如果对设备做集中管理时使用,一般情况下,该项无须进行配置,默认即可。“认证服务器IP”栏
4、用来配置用户认证时服务的栏用来配置用户认证时服务的IP。“网关服务器IP”栏用来配置网关服务器的栏用来配置网关服务器的IP。“管理端口”栏是指管理员进行管理时后台管理软件的接入端口。系统默认该端口号为:5577.“认证端口”栏是指上网用户在进行用户上网认证时,认证接口的端口号。系统默认该端口号为:7755.“网关端口”栏是指在进行AAA 认证时,系统连接的网关的端口号.系统默认该端口号为:5280.“代理端口”网关代理模块的端口,暂时没有使用。网关数据库配置网关数据库配置当系统使用外置数据库时,设备需要设置网关数据库,该外置数据库目前支持mysql目前设备内已经内置数据库,因此这里无需进行任何
5、设置,默认即可。网关数据库目前只存储网络控制的相关信息,至于审计数据不在该数据表内。审计数据库配置审计数据库配置当系统使用外置数据库时,设备需要设置审计数据库,该外置数据库目前支持mysql目前设备内已经内置数据库,因此这里无需进行任何设置,默认即可。审计数据库目前只存储网络审计的相关信息,至于网关数据不在该数据表内。升级配置升级配置库的升级分为两个,一个是URL过滤库,一个是应用识别库。可选择自动更新的时间点,建议按每周作为一个周期来更新。升级日志升级日志 升级日志主要记录了库升级的状态信息本地升级本地升级本地升级包括了URL库、应用识别库、软件版本、系统平台四部分。当设备不能与互联网通信时
6、,URL库和应用识别库可通过本地升级的方式来实现。软件版本是当前系统工作的主要部分,通常软件升级就选择它来升级。系统平台是指底层的内核版本,该内核版本通常情况是不需要升级的。备份与恢复备份与恢复备份与恢复分为两部分,一部分是备份,一部分是恢复。这里的备份只能备份网络控制的配置文件,至于审计内容的备份在网络审计的配置中去实现。同时,配置文件可事先下载保存,同时也支持将配置文件导入上传的功能。恢复出厂设置时在这里点击。数据库表备份数据库表备份数据库表备份是指网络控制功能的数据库表备份。备份出来的数据可在“上传/下载”表单里。备份数据的上传下载备份数据的上传下载上传下载是指将网络控制功能的备份文件进
7、行恢复与下载认证用户账号导入认证用户账号导入账号导入是指将设置的认证用户的账号导入。可根据红色字体提示格式进行自定义。可将导出的上网用户信息备份出后,使用账户导入功能。系统日志系统日志系统日志是指管理员对设备的全部操作记录。可根据管理员以及模块进行单独查询。报警日志报警日志报警日志是在模块规则中设置了阻断、告警等功能,如果有用户行为违反了这些行为,系统会发出告警,这些告警会记录在这里。因此,阻断和告警是否生效,可查看这里的报警日志,如果没有,说明该行为没有触发,换句话是没有生效。网络接入网络接入在“网络接入”中选择部署模式,以及配置网卡地址和接口类型。注意:通常只选择内网作为监控模式,其他选择
8、为“管理”即可。接口类型中有“其他”,是指该接口外联数据库,设备将审计数据发送到外部数据库。“管理”是指旁路接入时使用该接口进行设备管理。VLAN设置设置802.1Q设置是在VLAN TRUNK环境下使用,如该设备接入到VLAN TRUNK环境中,那么设备就要让trunk包从设备中通过,此时就要根据两端的VLAN ID分别设置虚拟子接口,然后在子接口之间设置透明或者路由。对于非VLAN TRUNK环境,在此不必做任何设置。透明方式透明方式 如果要透明接入,可在此进行设置,并选择桥的接口。本地网段本地网段本地网段的设置非常重要!本地网段是指需要对哪个网络进行监控和控制,通常是指被监控的内网网段。
9、如果没有设置或设置不正确,那么将监控不到任何数据。如上所设,目前只监控192.168.5.0/24这个网络,其他都不监控。静态路由静态路由静态路由主要是设置设备的网关,设置好后设备能远程管理、同时也保证设备与互联网能正常通信。地址转换地址转换这里设置SNAT/DNAT的配置方法和防火墙一样MASQ概念与SNAT基本相同,不同的地方在于可直接输入设备接口名,这样系统自动根据设备的接口地址进行转换,不需要单独设置转好后的地址。ACL列表列表ACL配置就是简单防火墙的配置方法。“其他”是指一些命令列表,如通过命令行来设置访问控制规则,通常情况都不需要设置。IP/MAC绑定绑定绑定注意下面几个问题;如
10、果是路由模式,可直接用接口进行探测并绑定如果是透明模式,这里探测时接口就要选择如“brg0”,而不是eth0.一旦启用绑定功能后,未绑定的任何PC终端都不允许访问网络。即插即用即插即用 即插即用是指在公共场合部署网络,所有人只要插上网线就可使用网络,自己电脑无须做任何设置,如机场、酒店等。在目前使用的网络中,通常无须这样的设置。DHCP DHCP的设置和普通DHCP的设置一样联动设置和联动设置和NTP联动设置是指设备与三层交换机互联时,通常看不到实际的MAC地址,如果启用该功能后,设备可从交换机ARP表中读取MAC地址表NTP服务是指设备系统时间可与NTP服务器自动同步时间,设置完后大约10分
11、钟后会看到完成。带宽设置的基本配置带宽设置的基本配置这里需要注意几个问题如果设备需要设置阻断或带宽控制,那么这里必须指定内网、外网,而且必须设置正确。外网卡带宽设置是在指定外外网后,对外网出入的流量进行控制,特别需要注意的是这里单位为Byteps,如果要换算成bps,那么需要除以8来进行换算。如限制带宽为24Mbps,那么这里设置时要设置为3MBps。运行模式的控制功能一定要启用,否则带宽控制无法生效。协议管理协议管理带宽控制中的协议管理在设备中已经进行了预分类,这些协议不可修改和编辑。对于如P2P下载阻断的设置中可能阻断其他应用问题,如可能阻断163、126邮箱登陆的问题,这里只需要在自定义
12、协议里添加443端口的协议,只要在协议里添加了该端口,那么该端口就被排除在外,不予阻断。如果设置完P2P下载后数据库无法使用,可在协议管理中的应用列表中将该IP地址添加进去,端口号为065535,这样设置后,该IP地址不再进行限制。带宽管理带宽管理带宽管理可以进行流量控制和P2P阻断带宽控制中有下发和不下发的功能,下发是指“分享”,如对一个网段限制带宽为1M,如果下发,就表示每个用户都有1M的流量,如果选择不下发,就表示这个网段所有用户“共享”1M的带宽。如果限制P2P下载,则只需将上行、下行带宽设置为0即可。注意带宽控制中的单位为Bps,是指每秒有多少字节的流量,如果要换算成bit(位),那
13、么注意要除以8,否则你会发现流量限制不准确。认证认证如果要用使用认证功能,这里首先要启用认证功能。认证功能启用后,下一步要将认证网段指定出来,这里很关键,否则无法进行认证。认证网段及免认证认证网段及免认证如果启用认证功能,则这里必须指定需要认证的网段,不在该网段内的用户无法访问网络。免认证IP必须在认证网段内,否则不生效。如果加入了免认证,则该用户上网无限制。免认证服务器是指启用认证后,对外提供服务的服务器ip不在认证范围内,任何用户访问该服务器都无需认证。认证后策略认证后策略认证后策略格式如下其中域名默认要选择“允许”,否则无法上网,该权限根据需求设置。“上网策略”“时间段策略”“计费策略”
14、对应的策略设置即可。“IP 绑定绑定”是指用户上网认证时必须要求帐号与是指用户上网认证时必须要求帐号与IP 与用户信息中一致,否与用户信息中一致,否则用户将无法通过系统认证。“MAC 绑定绑定”同样道理。同样道理。“第一次MAC 绑定绑定”:该权限设置后组内用户上网认证时其帐号将会自动与第:该权限设置后组内用户上网认证时其帐号将会自动与第一次认证时一次认证时的主机MAC 进行绑定,以后再进行认证时第一次绑定的MAC 必须与该账户相一致,否则用户将无法通过系统认证。“当前状态”选择激活即可。审计功能审计功能系统备份系统备份 系统备份包括系统的“备份规则”、“本地备份”和“远程备份”三个部分,系统
15、备份缺省显示的是“备份规则”页面。“备份规则”用于系统定期自动备份数据,界面显示如上图所示。l 可以选择的备份对象如上图所示,包括:整个数据库;分类数据配 置数据、应用数据、统计报表、报警记录;模块数据邮件信息、IM 信息、股票软件、网络游戏、网络电话、网络提交、网站访问、下载信 息、自定义信息等。l 可以选择的备份周期包括:每天、每周、每月。l 备份后,已经备份的数据可以选择是保留在数据库中,或者自动删除。l 点击“手工备份手工备份”按钮可以对选择的对象进行手工备份。l 修改自动备份规则后应当点击“保存修改保存修改”按钮,保存所做修改。备份规则备份规则数据管理数据管理“数据管理”用于管理系统
16、中已有的数据备份文件,界面显示如下图所示:上传本地的数据备份文件:点击“浏览浏览”按钮,弹出下列选择窗口:选择本地的数据备份文件(*.tar.gz),如上图的“MAIL_20190116000100.tar.gz”。然后点击“打开打开”按钮,将自动把所选文件的路径名称填入本地数据文件的文本框中,如下图所示。点击“上传上传”按钮,将把该文件上传到上网行为管理系统设备中。配置远程FTP服务器,使系统自动将备份文件保存到服务器上。界面显示如下图所示:远程备份远程备份选中“远程FTP备份”选择框,设置FTP服务器地址、端口、用户名、口令后,系统将按照自动备份规则将备份文件保存至FTP服务器。“是否删除
17、本地备份”可以设备不再在本地产生备份文件。修改后,点击“保存”按钮可以保存远程备份设置。增加部门用户增加部门用户 在左侧的“网络审计网络审计”菜单下的选择“审计用户审计用户”菜单页中的“部门列表部门列表”菜单页,弹出如下窗口单击“添加添加”按钮,转入界面:在这个各个项目拦里添加新的部门名字,IP段,描述之后点击“添加”按钮。则新的部门就被加入到系统当中。增加用户列表增加用户列表点击左侧“用户管理”菜单页下的“用户列表”菜单页,弹出如下窗口此页面列出了用户的姓名,部门,IP,MAC主机名字等信息。可以点击各个列表项目的名字(如“用户名”)以便按照各个项目的来排序显示所有用户。在用户列表界面,点击
18、“添加”按钮进入添加页面:添如各个项目之后点击页面上方的“添加”按钮,并确认后,新的用户就被添加到了 系统中。添加策略组列表添加策略组列表点击左侧“用户管理用户管理”菜单页下的“策略组列表策略组列表”菜单页,弹出如下窗口此页面列出了已有策略组的名称、建立时间等信息。可以点击策略组名,可以进入策略组修改界面。在策略组列表界面,点击“添加”按钮进入添加页面:在左侧可选部门和用户中选择需要的(可以多选)添加到策略组中,并填写策略组名和描述,再点击“保存”按钮,即可新增策略组。按钮添加到新增策略组中;按钮从策略组中删除;按钮全部添加;按钮全部删除 模块规则模块规则模块规则是审计和控制的主要功能设置点,
19、这里包括内容较为丰富,需要逐个进行设置。添加审计规则添加审计规则添加模块规则的步骤如下:首先填写要监控的 IP 地址(地址(IP、IP 段),或者从列表中选择部门段),或者从列表中选择部门/用户用户/策略策略组(支组(支持CTRL、SHIFT 键进行多选);然后在模块列表中选择要监控启动的模块(支持CTRL、SHIFT 键进行多选);填写本条规则的优先级,默认为500;值越小,优先级越高。可以针对所选择模块设定具体项目;针对“项目”的设定,选择对应的关系;针对“项目”及“关系”的设置,输入对应的管理内容;然后用鼠标点选模块的启动时间:包括星期和时间;选择相应的处理动作模块规则中的细项模块规则中
20、的细项每个模块都有可选择的细项,如点击发送邮件,如图可看见6个小项,可根据这项项目进行审计、阻断、告警。如果要阻断,则先要设置审计,优先级为500,然后再设置一个阻断,把优先级设置为400,相当于设置一个阻断,必须要设置两条规则才能起作用,唯一不同的地方是优先级不一样。其他规则其他规则Bypass设置的目的是让这里的IP地址和网络行为不受限制和审计。Bypass要激活才能生效。ARP异常检测设置异常检测设置这里对arp激活后,每隔10分钟刷新一次arp表,这张表可在审计数据中查询到,如果网络中有异常arp,则能看到arp异常报告。报警设置报警设置邮件报警是指在模块规则中设置了邮件告警后,系统会向邮箱发送告警信息定制提示页面是指如果对URL分类库中的URL进行阻断设置后,用户访问了这些禁止访问的网页,此时会根据设置的提示页面内容显示。阻断发送设置是指旁路接入时需要设置阻断,此时设置可对TCP协议的通信进行阻断,这里设置的就是由哪个接口发送这个阻断信息。URL分类分类URL分类在系统中已经预分类完成这些分类对用户是不可见的,用户不可见是因为URL库是保密资源,任何厂商都不会公开此库。用户可为该库添加新的URL地址。结束!
