东软防火墙 NetEye FW 用户管理器 使用共23页

东软NetEye网络审计系统V5.0用户手册2014年9月目录第一部分产品快速向导 (1)1图形界面格式约定 (1)2环境要求 (1)3接线方式 (1)4登录设备 (2)5刷新/保存/注销 (3)6密码恢复 (3)第二部分产品配置 (4)7设备状态 (4)8实时监控 (6)8.1设备资源 (6)8.2物理接口 (7)8.3服务监控 (8)8.3.1服务趋势叠加图 (8)8.3.2服务组趋势图 (9)8.3.3活跃服务统计 (10)8.3.4所有服务统计 (10)8.4用户监控 (11)8.4.1流量分析 (11)8.4.2会话分析 (12)8.4.3活跃会话 (13)8.5上网行为 (14)8.6在线用户 (15)8.7防共享上网 (17)8.8当前黑名单 (18)8.9应用限额用户 (20)9系统配置 (21)9.1设备工作模式 (21)9.1.1网桥模式 (21)9.1.2路由模式 (23)9.1.3旁路模式 (24)9.2系统维护 (25)9.2.1系统升级 (25)9.2.2自动升级 (27)9.2.3备份与恢复 (28)9.2.4重启/关机 (29)9.3系统管理员 (30)9.3.1配置系统管理员 (30)9.3.2角色管理 (32)9.4网管策略 (33)9.6网络工具 (35)9.6.1Ping (35)9.6.2TraceRoute (36)9.7系统时间 (37)9.8系统信息 (38)9.9邮件配置 (38)9.10集中管理 (39)10系统对象 (40)10.1地址簿 (40)10.2网络服务 (41)10.2.1内置服务 (41)10.2.2自定义普通服务 (42)10.2.3自定义特征识别 (43)10.2.4自定义论坛/网评特征 (44)10.2.5协议剥离 (45)10.3时间计划 (47)10.4URL库 (48)10.5关键字组 (49)10.6文件类型 (50)11网络配置 (52)11.1接口配置 (52)11.1.1物理接口 (52)11.1.2链路聚合 (53)11.1.3VLAN接口 (54)11.1.4PPPoE (55)11.1.5DHCP客户端 (56)11.1.6GRE隧道 (56)11.2配置IP地址 (57)11.3静态路由 (58)11.4OSPF路由 (59)11.4.1网络配置 (59)11.4.2接口配置 (60)11.4.3参数配置 (61)11.4.4虚连接配置 (62)11.4.5信息显示 (63)11.5策略路由 (65)11.5.1策略路由 (65)11.5.2均衡策略 (67)11.5.3持续路由 (69)11.5.4链路健康检查 (70)11.6DNS 配置 (72)11.7DDNS 配置 (73)11.8智能DNS (73)11.8.3均衡策略 (75)11.8.4DNS策略 (77)11.9ARP表 (79)11.10DHCP配置 (80)11.10.1基本参数 (80)11.10.2DHCP中继 (81)11.10.3已分配IP地址 (82)11.11SNMP服务器 (82)11.12代理服务器列表 (82)11.13代理配置 (83)12防火墙 (85)12.1安全策略 (85)12.2NAT规则 (87)12.2.1内网代理 (87)12.2.2一对一地址转换 (88)12.2.3端口映射 (90)12.2.4服务器池 (92)12.3防DOS攻击 (93)12.4ARP 欺骗防护 (94)12.5应用层网关 (95)12.6加速老化 (96)12.7防病毒设置 (97)12.8移动终端管理 (97)13VPN配置 (99)13.1IPSec (99)13.1.1IPSec隧道 (99)13.1.2IPSec规则 (100)13.2PPTP (102)13.3L2TP (103)13.4VPN 用户 (104)14组织管理 (105)14.1组织结构 (105)14.1.1定位并选中当前操作对象 (105)14.1.2修改根组 (106)14.1.3新增子组 (106)14.1.4修改子组 (107)14.1.5新增普通用户 (109)14.1.6新增认证用户 (110)14.1.7修改用户 (111)14.1.8绑定检查 (112)14.1.9导出用户和组 (116)14.1.10移动用户和组 (117)14.2批量导入 (120)14.3LDAP/AD导入 (120)14.4扫描内网主机 (122)14.5临时账户管理 (124)14.5.1临时账户设置 (124)14.5.2申请临时账户的步骤（页面与Email获取密码） (127)14.5.3申请临时账户的步骤（短信获取密码） (129)14.5.4未审核账户列表 (130)14.5.5已审核账户列表 (131)14.5.6批量生成 (131)14.6Dkey管理 (132)15流量管理 (133)15.1线路带宽配置 (133)15.2基于策略的流控 (134)15.3基于用户的流控 (137)16行为管理 (141)16.1认证策略 (142)16.2上网策略 (145)16.2.1上网权限策略 (145)16.2.2终端提醒策略 (155)16.2.3准入策略 (158)16.2.4应用限额策略 (162)16.2.5黑名单策略 (163)16.2.6上网审计策略 (166)16.3认证选项 (169)16.3.1跨三层MAC识别 (169)16.3.2认证参数 (170)16.3.3自定义认证页面 (171)16.3.4未认证权限 (172)16.3.5SSO (173)16.3.6短信认证 (181)16.4认证服务器 (184)16.4.1RADIUS服务器 (184)16.4.2AD服务器 (185)16.4.3LDAP服务器 (186)16.4.4POP3服务器 (187)16.4.5服务器测试 (188)16.5白名单管理 (189)16.5.1IP 白名单 (190)16.5.2URL 白名单 (191)16.5.3即时通讯白名单 (192)17酒店管理-即插即用 (193)19系统日志 (197)19.1命令日志 (197)19.2事件日志 (198)19.3PPTP/Ｌ2TP日志 (199)19.4IPSec日志 (199)19.5黑名单日志 (200)19.6安全日志 (201)19.7日志服务器 (202)19.8短信配置 (203)19.9告警配置 (203)20故障排除 (209)20.1捕获数据包 (209)20.2查看数据包 (210)20.3调试信息下载 (210)20.4上网故障调试 (211)21报表中心 (212)21.1报表中心配置 (212)21.2内置报表中心 (213)第一部分产品快速向导1图形界面格式约定2环境要求设备系列产品可在如下环境使用：输入电压： 220～240V温度： -10～50 ℃湿度： 5～90%电源：交流电源110V ～230V为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。

求东软防火墙使用手册
东软Neteye 4032 防火墙维护手册
一、 Neteye 4032 的默认管理IP为192.168.1.100 ,我们用防火墙自带的一根交叉线和PC相连，PC的IP设置为和防火墙一个网段，在运行下ping 192.168.1.100，显示连通；在WEB浏览器下输入192.168.1.100,进入防火墙的WEB管理界面。

二、默认用户为：root 密码：eye 进入用户管理界面，此页面下可以创建用户，并设置权限（安全控制、审计、管理）
三、为方便调试已创建用户: xxxx 密码：xxxx 权限为：安全控制
四、用xxxx 这个用户进入WEB界面后，先看到防火墙的所有信息
然后根据需求，设置防火墙的工作模式，是交换还是路由，
1、交换模式下，Eth 口不需要配地址，也没有NAT的转换
2、路由模式下，根据需求可以配置NAT、默认路由，它既充当路由器，又起到防火墙的作用。

五、 Eth 0口为管理接口，只有在配置防火墙时才使用
Eth 1-4可随意定义为内网口、外网、DMZ区等
在我们这次配置中，Eth 口的定义：
Eth 1----内网
Eth 2---外网
Eth---3 用交叉线直连防火墙
Eth 4----xxx网
六、访问控制：允许Eth 1 访问 Eth 2 , 拒绝访问 Eth 3、4
允许Eth 2 访问 Eth 1 , 拒绝访问 Eth 3、4
允许Eth 3 访问 Eth 4 , 拒绝访问 Eth 1、2
允许Eth 4访问 Eth 3 , 拒绝访问 Eth 1、2
七、在配置完成后，一定要选择“应用并保存”选项。

东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范，同时，也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。

1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》（电监会5号令）、《电力系统安全防护总体方案》（国家电力监管委员会[2006]34号文及配套文件）和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。

通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。

项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复绝大部分功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障贵州电网安全稳定运行。

第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。

第1章用户管理该章节中的操作仅在root用户登录后可用。

语法：1．添加用户NetEye(config)＃ user username{ local | radius } { security [ audit ] | audit [ security ] } 2．配置RADIUS服务器NetEye(config)＃ radius-server host ipaddress]3．配置RADIUS服务器端口NetEye(config)＃radius-server port number4．设置RADIUS服务器密码NetEye(config)＃ radius-server secret5．将RADIUS服务器设置为默认状态NetEye(config)＃ no radius-server6．查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye＃ show radius-server7．删除用户NetEye(config)＃ no user username8．更改用户口令NetEye(config)＃ password [ username ]9．显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye＃show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。

（一）初始化设备1)初始化配置步骤：1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。

完成初始配置后，可不再使用控制台。

2.打开NetEye 设备的电源开关。

3.终端控制台将显示如下提示：LILO 22.7.11 NetEye_FW_4_2_build_200080.install2 bootmgrPress key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。

4.配置设备。

Config the firewall or quit (y/n)(n)y5.修改主机名。

Please input the host name for this systemHost name: <new hostname>SZYCZ_FW52006.输入系统时间。

Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04 10:22:367.设置系统语言。

Please set system language(1) English(2) ChinesePlease input a choice[1-2,q](2) <1、2 或q>选择2，中文，回车8.更改根管理员口令。

（此步骤可选，但东软强烈建议首次登录后修改口令。

）Changing default password of root?(y/n)(y):Old password(6-128): neteyePassword(6-128): < 新密码>Repeat Password(6-128): < 新密码>这里我们不更改它的默认密码，选择n9.添加根系统管理员及选择登录方式。