FH-NG NS NM系列通用说明书

NetworkSecurityManagement 使用手册（中文简体版）

前 言

企业信息化建设现状分析

伴随网络的快速发展，互联网成为企业发展不可缺少的工具，同时互联网在企业创造效益的同时，也产生了一定的负面效果。当前常规的企业网络建设方式，已经不能满足企业管理和发展的需要，不能解决企业网络安全， 文档信息保护，高效利用网络带宽，管理员工上网，管理员工的工作情况等现实问题。为了解决这些问题，很多企业需要多种解决方案，随之而来的信息化投资建设投入，这对于中小企业是个比较大的经济负担。此外，网管人员需要掌握多种软件的使用，不但增大了应用的难度，而且也增加了系统后续维护的困难。 网屏FH-NM系列产品方向

FH-NM系列上网行为管理安全网关是深圳市单双科技有限公司研发的新一代多功能上网行为管理产品。 FH-NM系列网关在全面理解、吸收现已有产品的基础上，精心搭建了灵活、可扩展、先进的产品架构设计， 使我们的产品能做到让高端路由功能和特点的普及化。该产品采用高性能嵌入式多核平台设计， 具有高速处理性能、海量吞吐能力、运行稳定，基本能做到免维护。

FH-NM系列上网行为管理安全网关集成了上网行为管理、防火墙、VPN功能，强大而丰富的功能为用户提供全方位的服务。 多台设备的功能集于一台FH-NM系列上网行为管理安全网关能够为用户节省大量的设备投资。 FH-NM系列上网行为管理安全网关提供基于web的配置界面，该界面化繁为简、简单易学，普通用户轻松上手。 FH-NM系列上网行为管理安全网关提供全面的日志功能，方便用户对网络事件进行实时监控。并能为员工的考核提供详细的资料。

注：本说明书是FH-NG FH-NS FH-NM三个系列上网行为管理产品通用说明书

1

NetworkSecurityManagement 使用手册（中文简体版）

第一章 产品特点

FH-NM/NS/NG系列上网行为管理安全网关是单双科技经过长期的技术积累研发的新一代多功能上网行为管理产品。该产品具有以下特点 ? ?

管理界面为全web界面简化了配置和维护工作，简单易学，用户可以轻松上手 上网行为管理安全网关的IOS、特征库终身免费升级，尽最大程度替用户着想，为用户节约大量的后继投入 ?

专业的研究团队不断跟踪互联网应用，实现特征库与互联网最新应用同步更新，为用户解除互联网发展太快上网行为管理安全网关无法对最新应用进行控制的担忧 ?

上网行为管理安全网关采用先进的嵌入式平台设计，不但处理性能远高于普通工控机，而且稳定性也优于普通工控机 ?

上网行为管理安全网关集成防火墙、VPN功能，能够有效的提高用户网络的安全等级，为用户提供抵御网络攻击的安全防护手段 ?

支持二层和三层网络服务，上网行为管理安全网关丰富协议的支持使其能够适合各种类型网络的部署 ?

支持串行、并行接入网络模式，并行接入网络模式不需要改变原来网络设备的设置、不会改原来网络的稳定性 ?

通过分时间段或全时间段对企业各部门的流量数据进行访问的P2P、即时通信、网络游戏、P2P视频、股票证券等上网行为进行管理，可以实现对80多种类型的网站访问控制 ?

FH-NM上网行为管理安全网关支持PPPOE、PPTPE、WEB Portal、mac、ip等多种安全接入认证手段，能够有效的控制上网用户身份的合法性 ?

上网行为管理安全网关提供详细的在线情况查询、详细的日志服务，并且提供实时流量情况查看，使用户能够随时对网络应用情况了如指掌

2

NetworkSecurityManagement 使用手册（中文简体版）

第二章 Web概述

为了方便用户对FH-NM/NS/NG系列上网行为管理安全网关进行操作和维护，单双科技推出了WEB 网管功能， 此功能通过图形化的WEB界面代替繁琐的命令行来对FH-NM系列上网行为管理安全网关进行配置和管理

2.1. 客户端要求

PC 已安装网卡且网卡可用

操作系统和浏览器 操作系统支持 Windows 98/2000/XP、Solaris、Red hat Linux 等。 浏览器要求 IE5.5 以上、Netscape7.1 以上、Mozilla 1.4 以上等

2.2. 登录web管理界面

将 PC 和上网行为管理安全网关连接好，打开电源。 上网行为管理安全网关启动时将读取配置文件，包括一些基本的配置，如给LAN口配置IP地址、登录WEB页面的用户名和口令等等。 通过局域网连接的情况下，用户可以将 PC 设置为自动获取IP 地址或者手工指定IP 地址。但无论设置为哪种方式，PC 最终的IP 地址必须与上网行为管理安全网关的LAN口IP 在同一网段，PC 才能登录WEB 网管页面。 通过广域网连接的情况下，PC和上网行为管理安全网关之间要路由可达，且上网行为管理安全网关上已启用了远程管理功能，PC才能登录WEB 网管页面。

图 2.1. Web登录页面

用户名 : admin。 密码：缺省为 myadmin。如果用户修改了口令，请输入新口令。 如果用户无法看到如上登录页面，请做如下检查：

3

NetworkSecurityManagement 使用手册（中文简体版）

上网行为管理安全网关的电源线已经连接好并开启电源。 PC 与上网行为管理安全网关已经连接好。 PC 网卡可用。

PC 的IP 地址与LAN 口IP 在同一网段。

表 2.1. 各网口口的出厂IP地址

DMZ 10.0.0.200

LAN 192.168.1.1

WAN1 192.168.2.1

WAN2 192.168.3.1

提示

如果网口地址已经更改，用户需将PC的IP地址修改为与FH-NM设备的IP地址在同一网段，否则无法接入。

FH-NM上网行为管理安全网关初始用户名为admin，密码为myadmin，为了安全，建议用户在第一次登录后立即修改登录口令

第三章 系 统

3.1. 系统状态

点击web界面左侧导航栏“系统”-》“系统状态”进入系统状态信息界面。该界面包含如下信息： 运行状态：包含系统当前时间、系统运行时长、CPU使用率、 内存使用率、系统连接数。 设备信息：CPU型号、主频、固件版本号、本机license 用户信息：当前用户名称、用户权限

分区信息：分区名称、总大小、已使用、使用百分比 部分服务和策略的状态 各网络接口的流量状态

4

NetworkSecurityManagement 使用手册（中文简体版）

注意

本系统流量图采用svg格式绘制，对于Firefox用户，可以直接查看流量图。

用户如果无法通过浏览器查看流量图，则需要下载并安装adobe公司的svg viewer插件。 用户可以点击下载地址后面的链接来下载svg viewer插件。 下载并安装svg viewer插件后，重启浏览器后则可以正常查看网络流量图。

端口流量功能显示的是端口实时流量状态，管理员可以通过该流量状态掌握网络流量的实时情况。 管理员可以分别点击“显示LAN流量”、“显示WAN流量”、“显示DMZ流量”按钮来显示不同区域实时流量的状态。 在图 3.1 “系统流量图”显示的下方显示当前流量统计数据。

图 3.1. 系统流量图

提示

管理员可以将鼠标至端口流量图上移动，系统能够根据鼠标所处的位置显示对应时刻的流量状态数据

3.2. IP流量状态

点击web界面左侧导航栏“系统”-》“系统状态”，进入流量状态。

流量状态表中动态显示当前接收速率、接收包率、发送速率、发送包率最高的前100个IP设备。 系统默认排名为接收速率最高的前100个IP设备，管理员可以点击表栏的“接收速率”、“接收包率”、“发送速率”、“发送包率”选项以实现按照相应按钮进行IP设备的排序。

图 3.2. IP流量图

5

NetworkSecurityManagement 使用手册（中文简体版）

4.3. 桥模式配置

桥接模式不需要改变用户的网络拓扑及配置。

使用桥模式，被桥模式链接起来的接口两端看起来是透明的，FH-NM网关仍然可以对通过它的包进行各种过滤控制。

点击web界面左侧导航栏“网络接口”-》“接口配置”，进入桥模式配置界面。点击右边的“新建桥接”按钮，可以新建一个桥接接口。

图 4.6. 桥接口列表

图 4.7. 桥接口配置

桥接口：网桥两边的进出接口，桥模式只能选择两个接口，一个为进口一个为出口。通常选择为LAN、WAN接口。

桥IP地址：桥IP是用来管理FH-NM上网行为管理安全网关的地址，与网络中的普通IP一样，只要不与其它设备冲突即可。

桥IP掩码：跟计算机的子网掩码一样，用来划分IP所属哪个网段。

第五章 路 由

5.1. 静态路由

点击web界面左侧导航栏“路由”-》“静态路由”，进入静态路由列表界面。 管理员可以点击已有静态路由后面的“修改”或“删除”按钮来修改或删除静态路由。 如果管理员希望新建静态路由，则点击右侧下方的“新建静态路由”。

11

NetworkSecurityManagement 使用手册（中文简体版）

图 5.1. 静态路由列表

图 5.2. 新建静态路由

在新建静态路由选项（图5-2）中选择了“高级选项”，后会出现新建路由高级选项对话框

图 5.3. 新建静态路由高级选项

目的网络：可以填写一个网段地址或路由组名称，也可以用0.0.0.0/0代替所有网段。 进入接口：需要使用该路由的用户数据进入网关的接口； 源网段：需要使用该路由的用户所在的网段； 出去的接口：该路由的出接口；

网关地址：上一级网络的网关地址。如果接口为动态地址（例如接口配置使用了ADSL/PPPOE、DHCP），则不需要填写该配置 Metric：路由的花费。 提示：

静态路由是指由网络管理员手工配置的路由信息。

当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

静态路由信息在缺省情况下是私有的，不会传递给其他的网络设备。 当然，网管员也可以通过对网络设备进行设置使之成为共享的。

静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

12

NetworkSecurityManagement 使用手册（中文简体版）

5.2. 路由组

如果企业有多个网络出口，为了实现网络的高效利用、负载均衡，可以使用路由组的方式。

典型的应用例子如单位租用了电信、网通、教育三条外联出口，通过路由组的方式可以根据访问的目的地址最优原则实现电信、网通、教育线路的选择。

具体的配置方法是将电信的目的地址定义为一个组，网通的目的地址定义为一个组，教育的目的地址定义为一个组，如图所示

图 5.4. 路由组列表

定义一个路由组的方法，点击“新建路由组对象”按钮，可以新建一个路由组，如下图

图 5.5. 新增一个路由组

为了能够让出去的数据流按照路由组定义的方式访问外网，在路由组定义完成后，需要在静态路由配置中将路由组应用在网关出口上，如下图所示：

图 5.6. 路由组应用

上图是将“education”路由组应用在“wan”接口上。

13

NetworkSecurityManagement 使用手册（中文简体版）

第六章 服 务

6.1. DHCP

FH-NM网关支持DHCP服务器功能，能够为网络中的PC提供DHCP服务。

点击web界面左侧导航栏“服务”-》“DHCP”，进入DHCP服务设置界面。在列表中已经列出了DHCP服务的状态。

图 6.1. DHCP服务列表

点击列表右侧的配置按钮，可以对相应的接口进行DHCP的相关配置,如图

图 6.2. DHCP服务设置

此处以LAN口开启DHCP为例，DHCP能获取的地址范围为：192.168.1.2--192.168.1.10 DHCP的所分配的网关为：192.168.1.1分配的DNS为：202.96.134.133和202.96.128.68。 DHCP服务器设置要以后，如果网络内的PC如果需要动态获得FH-NM上网行为管理安全网关下发的IP地址，则需要进行如下设置。

我们对一台运行Windows XP的客户端电脑面前进行了如下设置:在桌面上右击“网上邻居”图标，执行“属性”命令。

14

NetworkSecurityManagement 使用手册（中文简体版）

在打开的“网络连接”窗口中右击“本地连接”图标并执行“属 性”，打开“本地连接 属性”对话框。 然后双击“Internet协议(TCP/IP)”选项，点选“自动获得IP地址”单选框，并依次单击“确定”按钮。具体设置如图

图 6.3. 在PC上进行DHCP上网设置

提示

DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，它的前身是 BOOTP。

BOOTP 原本是用于无磁盘主机连接的网络上面的：网络主机使用 BOOT ROM 而不是磁盘起动并连接上网络，BOOTP 则可以自动地为那些主机设定 TCP/IP 环境。

但 BOOTP 有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与 IP 的对应是静态的。

换而言之，BOOTP 非常缺乏 \动态性\，若在有限的 IP 资源环境中，BOOTP 的一对一对应会造成非常可观的浪费。

DHCP 可以说是 BOOTP 的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。

所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。

比较起 BOOTP ，DHCP 透过 \租约\的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 也完全照顾了 BOOTP Client 的需求。

15

NetworkSecurityManagement 使用手册（中文简体版）

6.2. Web认证接入

支持通过用户名，密码认证上网。

6.3. PPPoE服务

FH-NM上网行为管理安全网关支持PPPOE服务器功能，能够为网络PC提供PPPOE服务。 点击web界面左侧导航栏“服务”-》“PPPOE”，进入PPPOE服务设置界面。在列表中已经列出了PPPOE服务的状态。

图 6.4. PPPOE服务列表

点击列表右侧的配置按钮，可以对相应的接口进行PPPOE的相关配置,如图。

图 6.5. PPPOE服务设置

此处以LAN口开启PPPOE服务，PPPOE认证方式为CHAP，分配的地址为：10.0.0.102-10.0.0.103两个地址（可以拨上两个用户）， 子网掩码为24位，DNS为：202.96.128.68/202.96.128.166为例配置PPPOE服务。认证方式采用的是CHAP的认证方式。

16

NetworkSecurityManagement 使用手册（中文简体版）

提示

pppoe是point-to-point protocol over ethernet的简称，可以使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上。

通过pppoe协议，远端接入设备能够实现对每个接入用 户的控制和计费。

与传统的接入方式相比，pppoe具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式 adsl就使用了pppoe协议。

6.4. PPTP服务器

FH-NM上网行为管理安全网关支持PPTP服务器功能，能够为网络PC提供PPTP服务。

点击web界面左侧导航栏“服务”-》“PPTP”，进入PPTP服务设置界面。PPTP服务设置（图6-6）中选择了“启动PPTP”服务后，系统会弹出整个PPTP配置服务器界面（图6-7）。

图 6.6. PPTP服务设置

例如此处以FH-NM上网行为管理安全网关本地IP为：172.99.0.1，地址池范围：172.99.0.2-100（98个）认证方式：PAP采用MPPE-128位加密技术。

广播在隧道上传输（如果打勾可以用计算机名的方法访问对方电脑）DNS以深圳DNS：202.96.134.133/202.96.128.68为例。不写路由所有的数据都走VPN隧道。

17

本文来源：https://www.bwwdw.com/article/h26a.html