MPSecOS系统WEB配置手册v1.0

MPSecOS系统WEB配置手册v1.0 迈普通信版权所有翻印必究Copyright ? 2003 Maipu Communication. All Rights Reserved.

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved.

本手册著作权属成都迈普产业集团有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策 划： 研究院 资料服务处

* * *

成都迈普产业集团有限公司

地址：成都市高新区高朋大道10号航利大厦

技术支持热线：（+8628）85148120

传真：（+8628）85148948

E-mail ：support@a58ced5c312b3169a451a45b

网址：a58ced5c312b3169a451a45b

邮编：610041

* * * *

版次：2003年5月第1版

编号：mpsec030516

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 目 录

前 言 (1)

目的 (1)

读者对象 (1)

手册结构 (1)

本书约定 (1)

第一章 概述 (3)

1.1 系统要求 (3)

1.2 WEB 配置界面 (3)

1.2.1 主界面 (3)

1.2.2 按钮设置 (5)

1.2.3 设置结果消息 (5)

1.3 WEB 用户的登录 (6)

1.4 WEB 用户的注销 (6)

1.5 WEB 管理的语言 (7)

1.6 获得帮助 (7)

1.7 系统设置的保存 (8)

第二章 系统配置 (10)

2.1 系统基本配置 (10)

2.1.1 主机域名管理 (10)

2.1.2 设置系统域名服务器 (11)

2.1.3 同步系统内部时钟 (12)

2.2 系统网络配置管理 (13)

2.2.1 系统物理接口配置 (13)

2.2.2 VLAN 接口配置 (19)

2.2.3 静态路由表配置 (21)

2.3 热备份配置 (24)

2.3.1 热备份配置页面 (24)

2.3.2 热备份服务的启动与关闭 (25)

2.3.3 备份系统配置 (25)

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 2.4 SYSTEM 系统命令 (25)

2.4.1 关闭与重启系统 (25)

2.4.2 关闭系统 (26)

2.4.3 重启系统 (27)

2.4.4 系统配置文件管理 (28)

2.4.5 显示配置文件 (29)

2.4.6 下载配置文件 (30)

2.4.7 配置文件上传 (31)

第三章 AAA 和用户配置 (34)

3.1 AAA 配置 (34)

3.1.1 认证配置 (34)

3.1.2 记帐配置 (37)

3.1.3 AAA 服务器配置 (38)

3.1.4 共享密钥配置 (39)

3.2 本地用户配置 (40)

3.2.1 本地用户配置 (41)

3.2.2 本地组配置 (42)

第四章 系统访问策略配置 (45)

4.1 概述 (45)

4.2 一般性策略 (46)

4.3 普通规则配置 (47)

4.3.1 添加规则 (47)

4.3.2 修改规则 (50)

4.3.3 删除规则 (50)

4.4 NA T 转换策略配置（SNAT 和DNAT ） (51)

4.5 URL 过滤配置 (52)

4.6 邮件过滤配置 (53)

4.7 规则一致性检查（PCC ） (55)

第五章 VPN 配置 (58)

5.1 概述 (58)

5.2 IKE 配置 (59)

5.3 策略配置 (60)

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 5.4 VPN 访问控制列表 (60)

5.5 算法配置 (61)

5.6 自动协商安全联盟 (62)

5.7 手动协商安全联盟 (65)

5.8 私钥配置 (66)

5.9 公钥配置 (68)

第六章 流量检测 (69)

6.1 添加新规则 (69)

6.2 协议配置说明 (70)

6.3 修改规则 (71)

6.4 删除规则 (72)

6.5 显示流量规则统计数据 (72)

第七章 数字证书配置 (74)

7.1 CA 信任点（IDENTITY ）配置 (74)

7.1.1 添加结点 (75)

7.1.2 修改结点 (76)

7.1.3 删除结点 (76)

7.2 CA 证书配置 (76)

7.2.1 CA 证书在线申请 (77)

7.2.2 从文件中导入CA 证书 (78)

7.2.3 从IC 卡导入证书 (78)

7.3 用户证书配置 (79)

7.3.1 注册证书请求 (80)

7.3.2 取回申请的证书 (80)

7.3.3 从IC 卡导入证书 (80)

7.4 CRL 配置 (80)

7.4.1 CRL 在线申请 (81)

7.4.2 从文件中导入CRL (81)

第八章 系统服务 (83)

8.1 概述 (83)

8.2 WEB 和SSH 服务 (85)

8.3 系统代理 (86)

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 8.4 PPPOE 服务器端配置 (87)

8.5 PPPOE 客户端配置 (89)

8.6 DHCP 配置 (90)

8.6.1 DHCP 选项参数修改 (91)

8.6.2 添加绑定地址 (92)

8.6.3 修改绑定地址 (92)

8.6.4 删除绑定地址 (92)

8.6.5 添加地址池 (92)

8.6.6 修改地址池 (93)

8.6.7 删除地址池 (93)

8.7 IDS 配置 (93)

第九章 Monitor (96)

9.1 数据统计 (96)

9.1.1 Interf Stat.接口数据显示 (96)

9.1.2 Policy Stat. 策略数据显示 (96)

9.2 日志配置与显示 (97)

9.2.1 日志的设置 (97)

9.2.2 日志的显示 (99)

9.2.3 日志的查询显示 (100)

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 前 言

目的

为帮助用户更好地了解、使用及日常维护MPSecOS ，特出版本手册。本手册主要描述了MPSecOS 的Web 配置与管理内容。

读者对象

本手册适合以下人员阅读：

? 网络工程师

? 技术推广人员

? 网络管理人员

手册结构

本手册分为下列章节的内容：

? 概述——简单介绍MPSecOS 系统Web 管理界面的构成；

? 系统配置——介绍MPSecOS 系统的基本配置；

? AAA 和用户配置——介绍MPSecOS 系统的AAA 配置和用户配置；

? 系统访问策略――介绍MPSecOS 系统的系统访问策略配置；

? VPN 配置――介绍MPSecOS 系统的VPN 配置；

? 流量检测――介绍MPSecOS 系统的流量检测功能配置；

? 数字证书――介绍MPSecOS 系统的数值证书配置；

? 系统服务――介绍MPSecOS 系统的系统服务配置；

? Monitor ——介绍MPSecOS 系统的统计信息。

本书约定

? 关键字用黑体表示，参数用斜体表示。

? 竖线“|”用于分隔若干选项，表示两选一或多选一。

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. ? 大括号“{}”表示对其中所选项的选择是必须的，中括号“[]”表示对其中所选项的选择是可选

的。

? 内容注解前带有符号“ 注：”。

? 注意提示前带有符号“ 注意：”。

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 第一章 概述

本章主要描述MPSecOS 的WEB 界面，Web 方式为用户提供了形象、易懂的使用风格。

本章主要内容：

? 系统要求

? Web 配置界面

? Web 的登录

? Web 设置的保存

1.1 系统要求

MPSecOS 内部包含有Web 服务器，用户可以通过标准的浏览器对它进行配置和管理。 对浏览器要求： ? 支持Javascript

? 支持Cookie

? 支持 html 帧

建议使用Microsoft Internet Explorer 5.0或Netscape Communicator 5.0及其以上版本。

1.2 Web 配置界面

1.2.1 主界面

MPSecOSWeb 管理系统的界面主要包含三部分：主菜单区域、主显示区域和顶部区域。

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved.

图1-1 MPSec 系统 Web 配置的主界面

● 主菜单区域：

主菜单区域位于管理界面的左侧，包含以下一些系统功能菜单：Configure 、Web 、Interface 、System 、Policy 、VPN 、Certificate 、Traffic 、Statistic 、Log 、Save 。功能菜单分为四个方面：System 、Network 、Monitor 、Save 。其中 System 主要是配置系统的接口 IP 地址、路由表、系统时间、配置文件、用户管理、AAA 配置、DHCP 以及PPPoE 等；Network 主要是配置系统、VPN 、数字证书以及流量控制；Monitor 主要是显示系统中的各种统计数据和系统的日志；Save 是保存系统的配置。

● 主显示区域：

主显示区域位于管理界面的右侧，一般是由上面的功能标签、中间的配置显示区和下面的按钮、链接区三部分组成。功能标签是根据当前系统菜单所要求配置的内容，进一步划分的子模块。

● 顶部区域：

顶部区域位于页面的上部，用来管理当前登录用户的显示语言、帮助信息、关于信息、以及注销当前

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 用户。

1.2.2 按钮设置

几乎所有的页面都包含以下两种按钮：

选项

描述 Apply ：

应用按钮，将设置应用于系统。 Cancel ： 取消按钮，重新以系统中的设置显示页面内容。

另外还有下面的按钮：

选项

描述 OK ：

相当于Apply 按钮，将当前的配置应用于系统。但是对有些服务来说，他仅仅将配置写入系统，并不是配置立即生效。 Default ：

恢复系统的默认设置。 Sync ：

同步两台机器之间的设置（如时间、备份）。 Start ：

启动系统的某个服务或程序。 Stop ：

关闭系统的某个服务或程序的运行。 Add XXX ：

添加一个设置（XXX 代表不同的设置）。 Del XXX ：

删除一个设置（XXX 代表不同的设置）。 Prev ：

显示动态表的上一页数据。 Next : 显示动态表的下一页数据。

1.2.3 设置结果消息

对系统的任何设置的返回结果为两种，设置成功或者设置失败，对于设置失败的消息，消息体包含有失败的原因、提示消息等。

图 1-2 设置成功消息

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved.

图 1-3 设置失败消息

1.3 Web 用户的登录

在浏览器URL 地址栏中，输入MPSec 的内部接口IP 地址，如https://128.255.12.127。然后出现如下登录认证对话框。

图 1-4 登录认证对话框

输入初始用户名root 和初始密码mpsec ，然后点击“确定”按钮，就登录到MPSec 上了。

注：

1．在URL 地址栏输入接口地址时，是使用https ，而不是http 。

2．用户名和密码是大小写敏感的。 MPSec 出厂时用户名为root ，密码为mpsec 。

1.4 Web 用户的注销

在页面的顶部区域点击logout 按钮，将注销用户的登录。如下图：

图1-5 用户的注销

注：

建议用户在退出Web 管理系统关闭浏览器之前先注销用户。

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 1.5 Web 管理的语言

Web 管理系统支持中英文配置管理，用户的缺省语言是英语。如果想更改配置的语言，点击顶部区域中的 English | 中文 链接，设定当前的语言。例如设定当前配置语言为中文， 点击 中文 链接，如图：

图1-6 Web 管理语言设定

页面更新后Web 管理系统如下图：

图1-7 中文系统界面

1.6 获得帮助

Web 管理系统内置用户帮助系统，用户可以方便的查看Web 帮助，也可以到MAIPU 公司的主页或者是客户服务中心获取更进一步的帮助。

要查看Web 帮助，点击顶部区域上的 help 链接。将打开Web 帮助窗口，如图：

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved.

图1-8 系统的帮助系统

要到MAIPU 公司主页，点击顶部区域中的about 链接，将访问MAIPU 公司的主页。

1.7 系统设置的保存

在通过Web 配置管理MPSecOS 系统时，针对系统所做的所有配置、修改都只是应用到当前运行时刻配置文件（Running-configure ）当中, 该文件在关闭系统之后将会丢失。因此如果需要保存当前的配置信息，并在下一次重新启动之后生效，可以点击窗口左侧系统主菜单Save 项。将运行时刻配置文件保存到启动配置文件（Startup-configure ）当中。见下图：

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 图 1-9 配置的保存

点击Save 链接之后将会出现确认对话框，见下图：

图 1-10 保存配置确认

点击“确认”按钮，系统将会把内存中的运行时刻配置文件（Running-configure ）写入启动配置文件(Startup-configure)中。

注：

关于Running-configure 与Startup-configure 的详细信息，请参见Shell 命令部分的相关说明。

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 第二章 系统配置

2.1 系统基本配置

点击页面左侧主菜单中System 部份的Configure 项，则进入了主机网络配置区。在这里，可以对系统主机本身的网络参数进行配置，如配置主机名和域名、调整系统主机的时钟等。

2.1.1 主机域名管理

在进入主机网络配置功能后，在右侧的显示窗口上方的功能条上选择“General ”项，可以对系统的主机名进行配置，如图2-1：

图 2-1 General 页面信息

在本页面中，显示的信息：

选项

描述 Operation Mode ：

系统的工作模式，Route 路由模式、Bridge 桥模式。 Software Version ： 系统的版本号。

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. Host Name ：

系统的主机名。 Domain ：

本网络的域名。 DNS Server ：

域名服务器地址列表。 Show DNS Table ：

显示详细的域名服务器名字列表，并编辑他们。 System time ：

系统的内部时钟，05/23/2002 11:08:05表示2002年5月23日 11时08分05秒。 Local time ： 显示了系统管理工作站所使用系统的本机时间，05/23/2002 11:08:15 注意：

系统工作模式的转换是在Interface 菜单下的Trusted 接口下设置的。

2.1.2 设置系统域名服务器

点击 Show DNS Table 右侧的 View 按钮，出现如图2-2的 DNS 服务器配置页面：

图2-2 DNS 服务器配置

可以在此页面中添加、编辑、删除DNS 服务器地址列表。当添加DNS 服务器时出现输入地址框，如图2-3，输入正确的IP 地址，点击确定按钮。

图2-3 添加DNS 服务器地址

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 编辑修改一个DNS 服务器的IP 地址，先在地址列表框中选择要修改的IP 地址，然后点击Edit 按钮，出现修改框（图2-4）。修改该IP 地址，点击确定按钮，完成修改。

图2-4 修改DNS 服务器地址

2.1.3 同步系统内部时钟

系统的时钟可能会和真实的时钟相差较大，通常在出厂时这种情况较为常见，这时可用系统时钟同步功能将系统管理员所在浏览器主机的时钟加载到系统中。

在修改系统网络主机名的显示页面的左下方，有一个按键“Sync ”，提示信息为“Synchronize system clock with this client ”，用客户端时钟来同步系统时钟。

选项

描述 Sync ： 同步管理工作站与系统的时钟。

系统时钟的值显示在General 页面的System Time 项，管理工作站时钟显示在Local Time 项中。

点击“Sync ”按键将用浏览器所在主机的时钟去设置系统的时钟，使得两者同时，按键操作完成后，页面将刷新显示最新同步后的时钟。如图 2-5：

同步按钮

同步前时钟显示

同步后时钟显示

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 图 2-5 时钟的同步

注：

由于网络传输以及程序上的延迟，可能会造成显示上的不同步。

2.2 系统网络配置管理

本小节主要讲解系统接口的IP 地址、路由表、VLAN 的配置和管理，以及系统的工作模式（桥模式和路由模式）的转换。

2.2.1 系统物理接口配置

本部分操作用于对系统的各网络接口本身的属性进行浏览与编辑。

点击页面左侧系统菜单System 部份的Interface 项，则进入网络接口浏览选项，在浏览器右侧的显示窗口中，将列出所有的系统接口信息，根据功能区别，分成三个大类显示，Trusted ，DMZ ，Untrusted 。

2.2.1.1 Trusted 接口设置

Trusted 接口表明该接口所连接的网络是受信任的网络，通常，这个受信任的网络是指企业的内部网络，在这个网络中，主机能得到比不受信任网络Untrusted 更多的网络通行权限。但是，无限制的对内网口开放权限可能导致严重的安全隐患。

点击选择该功能项后，缺省显示的接口信息为Trusted 。如下图：

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved.

图 2-6 接口管理

图 2-6 显示出了浏览系统信任内网接口Trusted 的接口情况，各列的信息描述如下：

? Name ——该接口的系统网络接口名字。

? IP ——该接口的IP 地址。桥模式下，IP 地址可能为0.0.0.0。

? Netmask ——该接口的所在网段的子网掩码地址。

? Gateway ——该接口的网关地址。

? Link ——本接口的启动状态，UP ：启动，DOWN ：关闭。

? Mode ——系统目前所处的工作模式。

? Configure —— 对该接口进行配置的功能链接。

系统工作模式列表：

选项

描述 Route ：

系统处于路由工作模式 Bridge ： 系统处于桥工作模式

上面各项中，IP 地址与子网掩码决定了该接口所在工作网段，对网段内的主机发来信息，该接口将进行处理，而对网段外的主机发来的信息，该接口将不予理会；Mode 项表明了系统的工作模式，而非Trusted

迈普通信版权所有 翻印必究 Copyright ? 2003 Maipu Communication. All Rights Reserved. 接口本身的工作模式。

2.2.1.2 Trusted 接口设置修改

点击Edit 链接，进入Trusted 接口设置修改的页面。

图 2-7 Trusted 口设置

上图显示了系统接口Trusted 属性编辑情况，各项解释如下：

选项

描述 Interface Name ：

当前设置的接口名 IP Address ：

该接口的当前IP 地址 Netmask ：

该接口的当前网络子网掩码 Work Mode ： 显示了系统当前的工作模式

系统的工作模式Work Mode 可选项如下：

选项

描述 Route ：

系统处于路由工作模式 Bridge ： 系统处于桥工作模式

上图中，当前的系统网络接口名为Trusted ，系统正处于路由模式，可以选择为Bridge 桥模式。工作模式影响整个系统的工作模式，而并非单影响系统中Trusted 接口本身。修改结束后，点击Apply 按键，所有的设置将立即生效，如果其中有一项所填入的值是不正确的，那么在那条出错配置之前的配置生效，出错配置与其后的设置不改变。点击Cancel 按键，将取消任何的修改还原到系统中该接口的当前设置值。 注意：

1、系统工作模式的切换将会丢失接口的IP 地址，如果是从WebUI 来配置系统，将会断开与系统的连接。这时，需要从串口来配置系统，有关从串口配置系统具体内容，请参阅MPSecFW-Shell 配置手册。

本文来源：https://www.bwwdw.com/article/5gfe.html