天融信上网行为管理

·全面权威的行为日志审计分级分权的日志账户管理图形化日志统计，方便用户对行为记录的查询、审计，并支持饼状图、柱状图、曲线图等形式直观显示结果·强大灵活的上网行为管理内容过滤，如即时聊天内容及文件传输过滤、网页URL及搜索关键字过滤、HTTP 及FTP文件传输过滤、以及非标准端口FTP过滤，支持根据邮件发件人、邮件附件类型过滤，发贴关键字过滤，文件下载过滤策略管理方面支持策略对象复用、策略继承、强制策略继承即子组也可以继承父组的策略，父组也可以强制子组继承自己的策略·用户管理黑名单、白名单管理，免审计key支持批量导入用户：比如文件导入，LDAP/AD用户导入等支持L2/L3层网络环境的IP+MAC和VLAN ID的绑定支持用户自动分组，可按IP、MAC地址、主机名、VLAN ID等多种方式来定义用户名，这样大大的简化了动态用户的管理，增强了用户管理的灵活性支持公用账户、临时账户，支持对临时账户的自动和手动审核，从而减少管理员对临时账户的频繁配置，也统一了临时账户的上网权限和使用期限的管理·多种身份认证方式支持网页重定向支持多种认证方式的混合使用支持WEB认证、LDAP认证、AD域认证、Radius认证、POP3认证等·安全防护支持基于状态监测的防火墙，不仅保障网关设备安全，还能保护内网安全支持一对一的地址转换、多对一的PAT转换、端口映像等多种NAT转换策略·带宽资源管理支持对具体URL的带宽管理支持对具体应用协议的带宽管理支持对单用户、单IP的带宽管理支持应用的流量配额控制、在线时长控制、并发Session控制、新建会话控制，并提供相应的惩罚手段可基于业务应用划分优先级，将业务应用划分为高、中、低三个优先级，优先级越高的流量，优先传送提供最大带宽限制、保障带宽、预留带宽等一系列强大的带宽管理功能·网络适应性支持静态路由、策略路由支持DHCP服务器、DHCP中继功能支持DNS代理、DNS缓存、VLAN等功能支持链路的负载均衡、主备链路的备份功能支持GRE VPN、PPTP VPN、IPSec VPN功能支持PPPOE拨号方式，并支持对多条PPPOE线路做负载均衡·高可靠性(HA)主备模式：系统支持一主一备，或一主多备的HA模式负载均衡模式：系统支持多个主设备(多主一备/多主多备)的HA模式，多个主设备间可实现负载均衡·详实的报表分析曲线图、饼状图、柱状图等图文并茂的数据统计报表展现以小时、天、周、月、年，或自定义时间段为单位的统计分析报表以用户、用户组、服务、服务组、线路等为对象，并进行对象排名根据组织结构中的逻辑树结构，可逐个展示用户，并将每个用户的上网行为分项统计支持报表的Email自动订阅, 便于管理员掌握某个时间段内网络的运行状态、流量和行为的趋势信息·日志查看USBkey控制日志查看权限：即用户上网记录的查询权限，必须用Key进行控制，任何其他人不允许有查询权限；·无线热点控制与防共享上网管理1、支持对无线热点、智能终端接入的识别，通过信任列表进行管控；2、支持对代理软件或路由器共享上网的检测控制。

天融信网管系统1.1.1 天融信网管系统,天融信网络管理软件系统局域网基本版是天融信信息技有限公司针对市场现状，面向各级企业用户，自主开发推出的完全中文化的网络管理平台，它具有智能化，功能实用性强、支持多种设备类型的通用性特点，提供了拓扑图显示管理、查看网络信息、设备视图、性能分析、网络诊断工具、事件监视、告警、用户管理、日志管理等,大功能，支持大规模的局域网，为用户提供了安全、可靠、稳定和可扩展的解决方案。

广泛适用于教育、电信、政府、金融、邮政以及企业网络中心的应用。

天融信,网络管理软件系统局域网基本版可以提供全中文帮助界面，更加适合国内用户应用，真正满足客户的使用习惯。

,天融信网络管理软件系统局域网基本版完全支持网管协议SNMPv1,v2,v3版本;拥有开放的API接口和管理数据接口，可以自定义告警及监控策略;全中文的操作界面;能显示物理端口连接状态，显示通用和专用的设备面板图;通过设备面板图能详细了解网络设备的运行状态，并对端口进行开启/关闭控制;有拓扑图编辑功能，并能显示多级拓扑图;精美的三维图形和表格的形式表示;可以自定义告警及监控策略，用户可以为设备监控参数设定阈值和故障级别分类;提供对任意多种网络指标体系进行数据采集，历史数据进行分析统计，并自动形成网络报表。

天融信网管系统具有跨厂商通用网络管理平台。

能优化管理 Cisco 、神州数码、 3COM 、D-LINK、 NORTEL 、华为等各主要国内外网络厂商的网络产品(路由器、交换机)，以及网络链路、主机等，同时可管理局域网和广域网设备。

天融信网管系统具有所见即所得的动态拓扑图。

拓扑图自动发现，可在一张拓扑图中显示网络线路状态，网络线路类型，网络线路容量和负载率，网络设备的状态、类型、名称、负载率和服务器的状态和负载率等全面的信息，能在屏幕上轻松的定位故障设备和服务器。

所有网络和系统状态一目了然，符合 IETF颁布的SNMPv1及v2C、v3规范。

天融信TOPSEC网络安全管理整体解决方案1天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的TOPSEC技术体系上，在“全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOPSEC解决方案包括综合管理系统，各类安全产品如防火墙、IDS、VPN、安全网关、个人安全套件以及综合安全审计系统等。

全面、联动、高效、易于管理网络安全是整体的。

我们可以通过选择优秀的产品、优秀的服务构建一个解决方案，但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略；这样势必形成安全漏洞，给入侵者可乘之机。

网络安全是动态的。

如果各个优秀的产品、服务等各环节之间是孤立的，则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略。

因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。

天融信公司在国内独创的TOPSEC技术体系上，在"全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOPSEC解决方案架构在天融信独创的、先进T-SCM(（Topsec Security Center Management）-－天融信安全集中管理平台，T-SCP（Topsec Security cooperation platform）---天融信安全产品标协作平台，T-SAS（Topsec Security Audition System）天融信安全审计平台3个核心技术平台之上。

TopsecManager通过T-SCM 实现对各种安全产品和非安全产品的综合管理；各种安全产品通过T-SCP实现不同产品之间的联动、协同工作；SAS通过T-SAS实现对网络中的安全设备和非安全设备的集中审计、分析。

天融信上网行为管理系统TopACM用户使用手册天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 2012 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录一、产品概述 (8)1图形界面格式约定 (8)2环境要求 (8)3接线方式 (8)4登录设备 (9)5刷新/保存/注销 (10)6密码恢复 (10)二、产品配置 (10)1设备状态 (10)2实时监控 (12)2.1设备资源 (12)2.2物理接口 (13)2.3服务监控 (14)2.3.1服务趋势叠加图 (14)2.3.2服务组趋势图 (14)2.3.3活跃服务统计 (15)2.3.4所有服务统计 (16)2.4用户监控 (16)2.4.1流量分析 (16)2.4.2会话分析 (17)2.4.3活跃会话 (17)2.5上网行为 (18)2.6在线用户 (18)2.7防共享上网 (20)2.8当前黑名单 (20)2.9应用限额用户 (21)3系统配置 (22)3.1设备工作模式 (22)3.1.1网桥模式 (22)3.1.2路由模式 (23)3.1.3旁路模式 (24)3.2系统维护 (26)3.2.1系统升级 (26)3.2.2自动升级 (27)3.2.3备份与恢复 (27)3.2.4重启/关机 (28)3.3系统管理员 (28)3.3.1配置系统管理员 (28)3.3.2角色管理 (30)3.4网管策略 (32)3.5网管参数 (32)3.6网络工具 (33)III3.8系统信息 (36)3.9邮件配置 (37)3.10集中管理 (37)3.11中心配置 (38)4系统对象 (39)4.1地址簿 (39)4.2网络服务 (39)4.2.1自定义普通服务 (40)4.2.2自定义特征识别 (40)4.2.3自定义论坛/网评特征 (41)4.2.4协议剥离 (43)4.3时间计划 (44)4.4URL库 (45)4.5关键字组 (47)4.6文件类型 (48)5网络配置 (49)5.1接口配置 (49)5.1.1物理接口 (49)5.1.2链路聚合 (49)5.1.3VLAN接口 (51)5.1.4PPPoE (51)5.1.5DHCP客户端 (52)5.1.6GRE隧道 (52)5.2配置IP地址 (53)5.3静态路由 (54)5.4OSPF路由 (54)5.4.1网络配置 (55)5.4.2接口配置 (56)5.4.3参数配置 (57)5.4.4虚连接配置 (58)5.4.5信息显示 (59)5.5策略路由 (61)5.5.1策略路由 (61)5.5.2均衡策略 (63)5.5.3持续路由 (65)5.5.4链路健康检查 (66)5.6DNS 配置 (67)5.7DDNS 配置 (67)5.8智能DNS (68)5.8.1全局配置 (68)5.8.2线路配置 (69)IV5.10DHCP配置 (73)5.10.1基本参数 (73)5.10.2DHCP中继 (74)5.10.3已分配IP地址 (75)5.11SNMP服务器 (75)5.12代理服务器列表 (75)5.1代理配置 (76)6防火墙 (77)6.1安全策略 (77)6.2NAT规则 (79)6.2.1内网代理 (79)6.2.2一对一地址转换 (80)6.2.3端口映射 (81)6.2.4服务器池 (82)6.3防DOS攻击 (83)6.4ARP 欺骗防护 (84)6.5应用层网关 (85)6.6加速老化 (86)6.7移动终端管理 (86)7组织管理 (87)7.1组织结构 (87)7.1.1定位并选中当前操作对象 (87)7.1.2修改根组 (88)7.1.3新增子组 (89)7.1.4修改子组 (90)7.1.5新增普通用户 (91)7.1.6新增认证用户 (93)7.1.7修改用户 (94)7.1.8绑定检查 (95)7.1.9导出用户和组 (99)7.1.10移动用户和组 (100)7.1.11删除用户和组 (101)7.1.12查询用户和组 (101)7.2批量导入 (102)7.3LDAP/AD导入 (102)7.4扫描内网主机 (104)7.5临时账号设置 (105)7.5.1临时账号设置 (105)7.5.2未审核账户列表 (108)7.5.3已审核账户列表 (108)7.5.4批量生成 (109)V7.6免审计Key (109)8流量管理 (110)8.1线路带宽配置 (111)8.2基于策略的流控 (111)8.3基于用户的流控 (115)9行为管理 (117)9.1认证策略 (118)9.2上网策略 (120)9.2.1上网权限策略 (120)9.2.2终端提醒策略 (129)9.2.3应用限额策略 (131)9.2.4黑名单策略 (133)9.2.5上网审计策略 (135)9.3认证选项 (137)9.3.1SNMP设置 (137)9.3.2认证参数 (139)9.3.3自定义认证页面 (139)9.3.4未认证权限 (140)9.3.5SSO (141)9.3.6短信认证 (147)9.4认证服务器 (150)9.4.1RADIUS服务器 (150)9.4.2AD服务器 (150)9.4.3LDAP服务器 (151)9.4.4POP3服务器 (152)9.4.5服务器测试 (152)9.5白名单管理 (154)9.5.1IP 白名单 (154)9.5.2URL 白名单 (155)9.5.3即时通讯白名单 (156)10即插即用 (157)11VPN配置 (158)11.1IPSec (158)11.1.1IPSec隧道 (158)11.1.2IPSec规则 (159)11.2PPTP (160)11.3L2TP (161)11.4VPN 用户 (162)12HA配置 (163)13系统日志 (165)13.1命令日志 (165)13.2事件日志 (166)13.3PPTP/L2TP日志 (166)13.4IPSec日志 (167)VI13.5黑名单日志 (168)13.6日志服务器 (169)13.7短信配置 (170)13.8告警配置 (171)14故障排除 (175)14.1捕获数据包 (175)14.2查看数据包 (176)14.3调试信息下载 (177)15报表中心 (177)15.1报表中心配置 (177)15.2内置报表中心 (178)VII8一、 产品概述1 图形界面格式约定2 环境要求设备系列产品可在如下环境使用：输入电压： 220～240V温度： -10～50 ℃湿度： 5～90% 电源：交流电源110V ～230V为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。