TPN-2G全网行为管理网关用户手册

全网行为管理网关用户手册

V6.3

上海安达通信息安全技术股份有限公司

2013年3月

目录

V6.3 (1)

关于本手册 (1)

版权声明 (1)

1.概述 (2)

1.1.产品硬件 (2)

1.2.工作模式 (2)

1.3.功能简介 (4)

2.管理员登录 (5)

2.1.从网口登录 (5)

2.2.从串口登录 (5)

2.3.忘记密码 (6)

3.系统管理 (7)

3.1.系统状态 (7)

3.2.设备信息 (8)

3.3.系统时间 (9)

3.4.管理员 (10)

3.5.导入/导出配置 (12)

3.6.恢复出厂配置 (14)

3.7.关机/重启 (15)

3.8.系统升级 (15)

3.9.L ICENSE管理 (16)

3.10.集中管理 (17)

3.11.数据管理 (18)

3.12.离线工具 (20)

3.13.网络工具 (21)

3.14.登录界面自定义 (22)

3.15.双机热备 (23)

3.16.自动发送邮件 (24)

3.17.日志与警告 (24)

4.网络配置 (27)

4.1.工作模式 (27)

4.2.网口配置 (28)

4.3.端口配置 (32)

4.4.DNS配置 (33)

4.5.DDNS配置 (33)

4.6.ARP表 (34)

4.7.VLAN TRUNK (34)

4.7.1.基本配置 (34)

4.7.2.VLAN子接口 (35)

4.8.网络路由 (36)

4.9.高级配置 (37)

5.防火墙配置 (39)

5.1.包过滤规则 (39)

5.2.链路对象 (40)

5.3.NAT映射 (41)

5.4.NAT端口映射 (42)

5.5.防ARP欺骗 (43)

6.IPSEC VPN配置 (44)

6.1.基本配置 (44)

6.2.安全隧道 (44)

6.3.VPN策略 (45)

6.4.数字证书 (46)

6.5.VPN日志 (46)

7.EZ-VPN (48)

7.1.名词解释 (48)

7.2.本地网段 (49)

7.3.EZ-VPN网关 (49)

7.4.EZ-VPN升级配置 (50)

8.SSL VPN配置 (51)

8.1.基本配置 (51)

8.2.数字证书 (51)

8.3.SSL VPN策略 (52)

8.4.WEB应用 (52)

8.5.VPN隧道应用 (53)

8.6.虚拟桌面应用 (54)

9.移动VPN (55)

9.1.IPHONE/IPAD接入策略 (55)

9.2.L2TP接入策略 (55)

10.证书服务器 (56)

10.1.基本配置 (56)

10.2.根证书 (56)

10.3.用户证书 (57)

10.4.CRL (58)

11.策略管理 (59)

11.1.网段认证 (59)

11.2.认证服务器 (60)

11.3.对象管理 (61)

11.3.1.时间对象 (61)

11.3.2.应用列表 (62)

11.4.应用控制 (62)

11.5.QQ黑白名单 (63)

11.6.内容过滤 (64)

11.7.网址控制 (65)

11.7.1.免监控网址 (65)

11.7.2.网址库分类对象 (66)

11.7.3.网址库策略 (68)

11.7.4.自定义网址 (69)

11.7.5.网址库分类修正 (70)

11.7.6.网址库智能识别 (71)

11.7.7.网址阻断提示 (71)

11.8.网页搜索 (71)

11.9.应用审计 (72)

11.10.网络会话 (75)

11.11.流量控制 (75)

11.11.1.带宽通道对象 (76)

11.11.2.应用流控策略 (77)

11.11.3.用户流控策略 (77)

11.11.4.高级配置 (78)

11.12.主机策略 (78)

11.12.1.主机风险评估等级 (79)

11.12.2.进程库管理 (87)

11.12.3.非法外联 (87)

11.12.4.补丁更新 (89)

11.12.5.虚拟VLAN (90)

11.12.6.工作效率报表 (93)

11.12.7.全局配置 (93)

12.用户管理 (95)

12.1.组织结构 (95)

12.1.1.添加部门 (95)

12.1.2.添加用户 (97)

12.1.3.用户属性 (98)

12.2.虚拟身份 (101)

12.3.用户导入导出 (101)

12.4.短信认证配置 (102)

12.5.第三方认证 (103)

12.6.禁用用户 (103)

13.系统监控 (105)

13.1.网络概况 (105)

13.2.上网监控 (105)

13.2.1.在线用户 (106)

13.2.2.网络会话 (106)

13.2.3.网站访问 (107)

13.2.4.搜索引擎 (107)

13.2.5.论坛发帖 (108)

13.2.6.邮件收发 (111)

13.2.7.即时通信 (111)

13.2.8.TELNET信息 (112)

13.2.9.FTP信息 (112)

13.2.10.当前阻断 (113)

13.3.流量监控 (113)

13.3.1.用户流量监控 (113)

13.3.2.应用流量监控 (114)

13.4.历史信息 (114)

13.4.1.上下线日志 (115)

13.4.2.网站日志 (115)

13.4.3.搜索引擎日志 (116)

13.4.4.论坛发帖日志 (117)

13.4.5.邮件收发日志 (118)

13.4.6.即时通信日志 (119)

13.4.7.TELNET日志 (119)

13.4.8.FTP日志 (120)

13.4.9.阻断日志 (121)

14.统计 (123)

14.1.用户统计 (123)

14.2.网站访问统计 (124)

14.3.搜索引擎统计 (125)

14.4.邮件收发统计 (125)

14.5.即时通信统计 (126)

14.6.论坛发帖统计 (127)

14.7.上网时长统计 (128)

14.8.文件审计统计 (129)

15.报告 (130)

15.1.上网排名报告 (130)

15.2.流量走势报告 (132)

15.3.用户排名报告 (133)

15.4.网站访问走势报告 (134)

15.5.上网时长排名报告 (136)

15.6.工作效率报表 (137)

全网行为管理网关用户手册关于本手册

版权声明

上海安达通信息安全技术股份有限公司版权所有，保留一切权力。本文件中出现的任何文字叙述、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海安达通信息安全技术股份有限公司（以下简安达通）所有，受到有关产权及版权法保护。未经安达通书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

技术支持

如果您购买了TPN-2G产品，或者您需要询问相关产品的信息，您可以致电本公司400-880-1233或021-********。

若您通过代理商或集成商购买了TPN-2G产品，您也可以和销售商联系获得技术支持服务或产品保修。

您还可以在网上查询安达通所提供的各种产品和服务，网址是：2bfd1c9414791711cd791774。

阅读对象

需要阅读本手册的人员应该是管理TPN的网络管理员，必须具备网络方面有关TCP/IP、网络规划和管理、域名系统、邮件系统以及Linux操作系统的基础知识，并有相关方面的实际工作经验。

如果您是TPN-2G的管理员，您必须对所管理网络的路由、IP网段划分、网络所提供的服务、以及网络出口设置和方式等非常熟悉。

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第1页

全网行为管理网关用户手册1.概述

1.1.产品硬件

以SJW74-T520为例，各接口说明如下：

网口：分为LAN，WAN，EXT0，EXT1，可以根据具体网络环境和用户要求使用这些网络接口。在某些硬件平台上带一组或多组硬件bypass功能（参考具体的产品参

数）。

COM1：通过超级终端连接，可以提供系统管理员登录，设置波特率(9600)

1.2.工作模式

可以工作在三种典型的模式下：

路由模式

?路由模式下TPN作为一个三层设备工作，通常部署在内外网的边界，提供路

由、地址转换（NAT）和防火墙的功能；

?路由模式的典型示意图如下：

网桥模式

?安全网关作为一个透明网桥工作在二层，使用网桥模式可以不改变用户原有的

网络结构和地址规划，并且能使非IP的其他协议透过安全网关；

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第2页

全网行为管理网关用户手册

上海安达通信息安全技术股份有限公司2bfd1c9414791711cd791774 第3页?

网桥模式分为单网桥和多网桥方式；?

网桥模式的典型示意图如下： 旁路模式

?安全网关作为一台网络行为审计设备接入网络，通常接入核心交换机的监听

口；

?

旁路模式下安全网关可以对流经设备监听口的数据进行监控、审计。?旁路模式的典型示意图如下：

全网行为管理网关用户手册1.3.功能简介

全网行为管理TPN-2G系统将上网行为管理、准入控制管理、IPSEC/SSL VPN融为一体，借助处于网络边界位置的TPN-2G安全网关可以有效地对用户上网行为管理和审计，对接入用户进行准入控制。通过与“主机威胁引擎”的联动防御，将“本地局域网—远程局域网—移动接入节点”的资源和安全策略进行统一管理，确保用户网络平台的可信、可控、可管。

全网行为管理TPN-2G系统在功能上，主要分为三大块：“上网行为管理”、“准入控制管理”和“VPN功能”。较之当下流行的“上网行为管理”系统，它不仅能够管控互联网的访问行为，而且能够管控内网以及主机的安全行为，具有强大的VPN功能，有更全面的管控能力、更细的管理粒度和更高的性价比。

与安达通第一代TPN产品相比，TPN-2G的功能更加丰富，性能更加强大，部署方式更加灵活。TPN-2G安全网关可独立作为上网行为管理网关使用；如部署TPN客户端，即可实现网关和客户端的联动；

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第4页

全网行为管理网关用户手册2.管理员登录

2.1.从网口登录

可以通过浏览器从任一网关接口登录，TPN-2G网关的缺省配置如下：

LAN口IP地址：192.168.1.1，掩码：255.255.255.0

缺省管理端口：8888

缺省管理员账号：root

缺省管理员密码：changeit

可在浏览器栏输入:https://192.168.1.1:8888进行管理员界面登录。

2.2.从串口登录

一般情况下管理员从网口进行登录管理，只有在特殊条件下需要从串口登录进行管理，如：

忘记网关IP地址；

忘记管理员密码；

从串口登录只能进入设备的Shell模式（即所谓的后台命令模式），在Shell模式下可以执行Linux的命令。

进入Shell需要把电脑的COM口连接到TPN-2G网关的COM1，并且把波特率设置为9600。

Shell常用命令如下：

命令说明

ifconfig查看网络接口状态\接口IP地址

route查看路由表

ps查看任务状态

注意：进入Shell模式的具体操作请咨询ADT技术人员或经销商工程师。

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第5页

全网行为管理网关用户手册2.3.忘记密码

如果忘记了管理员密码，需要进入设备的shell模式（即所谓的后台命令模式），在Shell 模式下可以通过执行Linux命令来恢复密码。

注意：进入Shell模式恢复密码的具体操作请咨询ADT技术人员或经销商工程师。

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第6页

全网行为管理网关用户手册3.系统管理

3.1.系统状态

在系统状态下，可以看到TPN-2G安全网关的基本信息和设备流量的分布柱状图，如下图所示：

基本信息包括如下内容：

资源使用

?CPU利用率

?内存利用率

?硬盘利用率

?连接数

?总用户数

?在线用户数

?总连接数

?流控通道数

网关基本信息

?设备名称

?工作模式

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第7页

全网行为管理网关用户手册

?内核版本

?应用库版本

?进程库版本

?URL库版本

客户端信息

?客户端版本

?默认服务器IP

?包含模块

License信息

?序列号

?硬件版本

?用户数

?类型

?授权用户

3.2.设备信息

在“设备信息”下可以查看和编辑网关的名称、所有者、管理员、邮件地址和联系方法。如下图所示：

点击“修改”按钮，可以修改上述信息，如下图所示：

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第8页

全网行为管理网关用户手册

3.3.系统时间

在“系统时间”下可以查看和修改TPN网关当前日期和时间。如下图所示：

通过同步时间和直接修改两种设置方式，与服务器同步、与本机同步（即把本电脑上的时间和日期设置到TPN-2G网关上去）、直接修改。只要选择相应的方式，点击确定按钮即可。

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第9页

全网行为管理网关用户手册上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774 第10页3.4.管理员

在“管理员”选项下，可以添加超级管理员、设备操作员、审计员、审核员、部门管理员账号，和修改已有管理员的密码。如下图所示：

超级管理员

超级管理员具有最高权限，具有配置或修改安全网关所有配置信息的权限，并具备查看“系统监控”、“统计

”和生成“报告”的权限。

可以通过点击“添加”按钮或“修改”按钮来添加超级管理员账号和修改已有超级管理员码，如下图所示：

设备操作员

设备操作员具有“系统管理”、“网络配置”、“策略管理”和“用户管理”的权限，不具备“系统监控”、“统计”和“报告”的权限。

可以通过点击“添加”按钮或“修改”按钮来添加设备操作员账号和修改已有操作员密

全网行为管理网关用户手册

上海安达通信息安全技术股份有限公司2bfd1c9414791711cd791774 第11页码，如下图所示：

审计员

审计员具有查看“系统监控”、“统计”和生成报告的权限，不具备设备的配置权限。可以通过点击

“添加”按钮或“修改”按钮来添加审计员账号和修改已有审计员密码，如下图所示：

审核员

审核员具有查看“系统状态”、“管理员”和“日志与警告”的权限，不具备设备的配置权限。可以通过点击“添加”按钮或“修改”按钮来添加审核员账号和修改已有审核员密码，如下图所示：

全网行为管理网关用户手册上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774 第12页 部门管理员

部门管理员具有管理本部门用户的权限和监控本部门用户网络行为的权限，不具备设备的配置权限。

可以通过点击

“添加”按钮或“修改”按钮来添加部门管理员账号和修改已有部门管理员密码。添加部门管理员时，需要选定该管理员管理的部门。如下图所示：

3.5.导入/导出配置

在“导入/导出配置”选项下，可以将系统的配置信息和VPN 配置信息分别导出入和导出，二者的配置信息各自独立。如下图所示：

全网行为管理网关用户手册

导入配置的步骤如下：

1．选择左侧“系统管理”->“导入/导出配置”，在右侧选择“导入配置”，点击“浏览”按钮，选择配置文件；

2．点击“确定”按钮。

注意：导入配置后需重启设备才能生效。在重启之前不要再次保存配置。

导出配置的步骤如下：

1．选择左侧“系统管理”->“导入/导出配置”，在右侧选择“导出配置”，点击“确定”按钮；

2．在弹出的对话框中选择“保存”，选择保存的路径，点击“确定”按钮。如下图所示：VPN配置信息的导入和导出与上述方法一致。

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第13页

全网行为管理网关用户手册

3.6.恢复出厂配置

在“恢复出厂配置”下，可以清空TPN-2G网关的配置数据和内容数据库，如下图所示：

点击“清空配置数据”按钮，即可清空配置；注意：清空配置后，需重启网关才能生效，如下图：

上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774第14页

全网行为管理网关用户手册上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774 第15页点击“清空数据库”按钮，即可清空数据库。

3.7.关机/重启

在“关机/重启”选项下，可以关闭和重启设备。如下图所示：

选择左侧“系统管理”->“关机/重启

”，在右侧选择“关机系统”，即可关机。注意：需等设备完全关闭后再拔掉电源。

选择左侧“系统管理”->“关机/重启”，在右侧选择“重启系统”，即可重启设备。

3.8.系统升级

TPN-2G 安全网关提供手动升级和自动升级两种升级方式。如下图所示：

其中，网关内核、TPN 客户端、SSL VPN 隧道客户端以及虚拟桌面客户端需手动升级；应用库、进程库以及URL 库支持手动升级和自动升级两种升级方式；备份数据离线查看工具与自定义特征库工具只支持自动升级方式。

可以通过点击“获取最新版本”按钮来查询当前安达通各种文件的最新版本，通过与最新版本比对来决定是否需要升级。

手动升级：需先从网站或安达通工程师获得升级文件。升级界面如下图所示：

全网行为管理网关用户手册上海安达通信息安全技术股份有限公司

2bfd1c9414791711cd791774 第16页手动升级步骤：

1．选择左侧“系统管理”->点击相应升级内容右侧的“手动升级”按钮；

2．点击“浏览”按钮，选择相应的升级文件包，点击“确定”按钮，将升级文件上传至安

全网关进行自解压升级；

自动升级：在从网关到互联网通畅的情况下，可以选择自动升级，网关会自动连接到安达通的升级服务器上，查找新的版本。查找完成后会显示网关当前版本和最新版本，可根据需要选择对应的项目选择“立即升级”。

注意：网关内核、TPN 客户端、虚拟桌面客户端、SSL VPN 隧道客户端、URL 库和应用库文件的扩展名均为“.gz”；进程库文件的扩展名为“.ps”；备份数据离线查看工具与自定义特征库工具的扩展名为“.exe”。

注意：升级进程特征库后无需重启网关即可生效；

3.9.License 管理

在“License

管理”下可以查看当前设备的license 信息，并且可以导入新的license 文件。如下图所示：

点击右侧列表中的“查看”链接，可以查看当前license 的信息，如下图：

本文来源：https://www.bwwdw.com/article/sdbq.html