中软上网行为和流量管理系统使用手册

中软上网行为和流量管理系统帮助文档 中软上网行为和流量管理系统使用手册V3.2.1中国软件与技术服务股份有限公司2011年5月目录关于本手册61 版权声明62 信息更新63 免责条款64 产品号65 阅读对象6第一部分 产品简介71 关于我们72 产品介绍73 登陆/退出83.1登陆83.2退出93.3个性设置93.4修改密码113.5修改邮箱12第二部分 使用说明131 用户管理131.1 导入用户131.2 导出用户151.3 组织管理161.3.1 新建用户161.3.2 编辑用户181.3.3 删除用户191.3.4 移动用户201.3.5 新建组211.3.6 编辑组221.3.7 删除组231.3.8 移动组241.3.9 清空组241.3.10 绑定/取消绑定251.3.11 设置密码261.4 群管理261.5 用户查询281.6 认证管理291.6.1 认证配置291.6.2 认证类型配置301.6.3 SNMP配置331.6.4 认证网段341.6.5 自动添加用户网段352 策略管理362.1 默认策略36功能描述：362.2 黑白名单362.2.1 IP黑白名单362.2.2 网址黑白名单372.2.3 导入黑白名单372.3 对象设置382.3.1 时间对象382.3.2 网站分类对象392.3.3 网址匹配对象412.3.4 用户自定义协议422.4策略管理432.4.1 阻断策略432.4.2 流控策略462.4.3 审计策略482.5 关键字过滤492.5.1 邮件关键字502.5.2 内容关键字522.6 提示页面532.7 防护设置542.7.1 报警开关542.7.2 用户防护设置552.7.3 系统防护设置582.8协议转换器603 审计日志653.1 查询653.1.1 应用流量663.1.2 网站访问673.1.3 邮件收发683.1.4 论坛发帖703.1.5 在线聊天713.1.6 在线视频723.1.7上线历史733.1.8 POST743.1.9 FTP743.1.10 telnet753.1.11 SSL763.1.12 邮件匹配773.1.13 内容匹配783.1.14 QQ文件793.1.15 搜索引擎803.2 统计813.2.1 用户统计813.2.2 应用流量823.2.3 网站访问833.2.4 邮件收发843.2.5 在线聊天853.2.6 POST863.2.7 FTP873.2.8 TELNET883.3报告883.3.1 流量分析报告883.3.2 用户排名报告903.3.3 应用排名报告913.3.4 网站访问报告923.3.5 时间走势报告934 系统监控944.1在线用户944.2综合监控954.2.1 实时流量监控：954.2.2 一小时流量监控964.2.3 一小时流量排名974.2.4 用户流量走势1004.2.5 应用流量走势1014.2.6 通道流量走势1024.3防护日志1034.3.1 用户防护日志1034.3.2 系统防护日志1044.3.3 ARP防护报警日志1045 系统管理1055.1 设备1055.1.1 基本信息1055.1.2 关机、重启1065.2 权限管理1075.3 网络1095.3.1 配置IP1095.3.2 配置管理口1105.3.3配置监控范围1105.3.4 网络测试工具1115.3.5总带宽1115.3.65 配置邮件服务1125.4 系统配置1125.4.3 备份/恢复1135.4.4 日志中心配置1145.4.5 集中管理配置1155.4.6 远程协助1165.5日志管理1165.5.1 系统日志管理1165.5.2 审计日志管理1175.6系统开关1175.6.1 系统参数开关1175.6.2 审计参数开关118第三部分 附录1201系统默认参数1202 支持的协议标准1203 URL数据库分类1304 正则表达式130关于本手册1 版权声明中国软件技术与服务股份有限公司版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属中国软件技术与服务股份有限公司（以下简称中软公司）所有，受到有关产权及版权法保护。未经中软公司书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。2 信息更新本文档仅用于为最终用户提供信息，并且随时可由中软公司更改或撤回。3 免责条款根据适用法律的许可范围，中软公司按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，中软公司都不会对最终用户或任何第三方因根据说明文档使用本设备造成的任何直接或间接损失或损坏负责，即使中软公司明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。4 产品号 中软上网行为和流量管理系统 版本：3.2.1。5 阅读对象本文的读者对象为企业 IT 决策人员、中软的使用用户、中软公司的合作伙伴。第一部分 产品简介1 关于我们中国软件与技术服务股份有限公司（简称：中软，股票简称：中国软件，股票代码：600536）,是中国电子信息产业集团公司（CEC）控股的大型高科技上市软件企业，国家规划布局内重点软件企业。中软是国内唯一可以为用户提供系统软件、安全软件、平台软件、政府信息化软件、企业信息化软件和全方位服务的综合性软件公司。主营业务包括：自主软件产品、行业解决方案及服务、软件外包服务。多年来，先后承担了数千项国家重大工程项目,在全国税务、信访、审计、安监、烟草、金融、交通、能源、卫生、工商等国民经济重要领域拥有上万家客户群体。中软上网行为管理与流量控制系统融合了同类产品的优势，凭借较高的性价比和优质的服务迅速获得业内认可，已拥有众多企业用户。公司积极推进国际化发展战略，与众多国际著名软件和IT厂商建立了紧密的合作关系，设立美国、日本等海外分支机构，加大国际化市场开拓力度，逐步实现品牌、市场、团队、技术、管理与国际化标准接轨。中软人以服务社会、振兴中国软件产业为己任，励精图治，改革创新，开拓进取，经过二十余年拼搏，取得了令人瞩目的业绩。展望未来，公司将抓住机遇，坚持以人为本，加大自主产品创新，提升重大工程实施能力，加快国际化进程，实现规模经济和跨越式发展，打造“中国软件第一品牌，世界一流知名企业”。2 产品介绍控制不正当网络行为最有效的途径：从边界入手，切断传播，实现内容过滤是最根本的解决方法。中软上网行为管理系统正是起源于这种网络背景下：管控网络应用，提高员工工作效率；优化带宽管理，保障核心业务及核心人员的访问速度；防范信息泄露，保障组织信息安全；过滤不良信息，规避网络攻击，提升上网安全度。实现优化组织IT管理环境的价值。上网行为管理3 登陆/退出 功能描述 ：本系统以用户名+密码方式来验证管理员身份。3.1登陆开启设备后，在浏览器地址栏中输入设备的IP地址https:/设备的IP地址（例如22），输入用户名和密码，点击登录即可成功登陆到服务器管理界面。系统的默认管理账号是：admin 密码是：admin；审计账号是：auditor 密码是：auditor。提示：首次登陆后建议及时修改管理员密码。忘记密码可以通过邮件重置。注：邮件重置密码在【配置邮件服务】之后生效。 登录成功后，进入中软系统的首页：3.2退出 系统界面右上角，提供了【退出】功能，如下图： 点击并确认后可退出本系统。3.3个性设置 系统界面右上角，提供了【个性设置】功能，可对界面模块显示风格进行设置。点击【个性设置】按钮，弹出如下界面：字段解释：n 综合l 曲线类型：双曲线流量监控图以双曲线（上传曲线和下载曲线）形式输出；三曲线流量监控图以三曲线（上传曲线、下载曲线和总流量）形式输出。l 刷新频率：指定系统监控中用户排名的刷新频率。l 默认首页：当用户登录系统后，中软出现的首页设定。l 时间模式：日志查询时间段默认是当天00：00：00-查询时刻。当查询时间更改为10：00：00-查询时刻，。若设时间模式为统一，切换日志查询标签项（应用流量，邮件收发等）日志都是10：00：00-查询时刻时间段内的。l 隐藏左侧菜单：【显示】管理页面显示左侧的菜单栏；【不显示】管理页面不显示左侧菜单栏。注：当隐藏菜单栏后 ，当鼠标移动到一级功能菜单时，系统会自动显示出在该功能下的所有子功能选项，用户可直接点击相应的功能进入。n 查询l 日期：日期的查询条件是否统一。默认值为不统一，即在审计日志中，用户在一个选项卡（如：应用流量）中输入了针对日期的查询条件，当切换到另一个选项卡（如：论坛发贴）中时，在上一个选项卡中选择的查询条件自动回复到默认值。若想在不同的选项卡中使用统一的查询条件，请选择“统一”选项。l 用户：用户的查询条件是否统一。默认值为不统一，即在审计日志中，用户在一个选项卡中输入了针对用户的查询条件，当切换到另一个选项卡中时，在上一个选项卡中选择的查询条件消失，恢复系统默认值。若想在不同的选项卡中使用统一的查询条件，请选择“统一”选项。n 统计l 各项意义参考【用户个性设置】【查询】n 报告l 各项意义参考【用户个性设置】【查询】n 默认值：系统出厂时各个选项的设置值。n 重置：恢复到本次操作修改前的设置值状态。3.4修改密码 在系统界面右上角，提供了【修改密码】功能，用于更改管理员密码。点击【修改密码】按钮，弹出如下界面：按照修改密码信息卡中的内容，填入相应的信息点击修改，即可完成对密码的修改。注：1. 当新密码和密码确认中的信息不相同时，出现错误警告信息。2. 当旧密码不正确时，无法修改密码。若忘记了旧密码，请退出系统，通过邮箱重置进行修改。（邮件重置密码在【配置邮件服务】之后生效）3.5修改邮箱 在系统界面右上角，提供了【修改邮箱】功能，用户找回管理员密码，点击【修改邮箱】按钮，弹出如下界面：输入旧邮箱账号、用户密码和新邮箱账号后，点击修改，即完成对邮箱的修改。注：请牢记新邮箱的账号，这是管理员找回密码的唯一凭证。第二部分 使用说明1 用户管理用户是网络访问的主体，也是中软上网行为和流量管理系统管理的对象。用户管理是网内用户信息（用户名、IP地址等）及对用户信息的增加/删除/修改等。1.1 导入用户功能启动步骤：用户管理导入用户中软提供两种导入方式：一、扫描网段，二、文件导入。字段解释：n IP扫描：填写【起始IP】【终止IP】点击【扫描】，会列出该网段内所有IP；勾选【扫描开机用户】，则会扫描到网段内开启的计算机IP及MAC信息。n 文件导入：点击【浏览】将已经保存在本地的，或者按照指定格式书写的用户信息文件上传至服务器。详细操作过程： 1. 扫描IP网段导入用户：（1） 单击 【扫描】，将自动扫描网段内在线用户。页面下方会显示已成功扫描的用户列表。（2） 选择用户名，点击列表右上方的【提交】按钮，选择提交到的组名并确认。（3） 点击列表右上方的【显示提交失败用户】，可显示未提交成功的用户信息及失败的原因。2. 文件导入（1） 单击【浏览】，选择本地要上传的用户文件，单击【上传】按钮，显示成功上传的用户信息。选择需要上传的用户数据，点击【上传选中用户】。如果上传数据和系统中数据重复（用户名重复），则会以文件中数据为准。注：1. 上传的文件必须是.csv格式，并且符合用户信息表的规则，详情请参考关于.csv文件的详细介绍。 2. 点击用户列表中【名称】前的多选框，即可方便快捷的选择本页显示的所有用户。（2） 点击【上传选中用户】后会提示上传的数据个数。（3） 如果有失败提示，请点击列表右上方的【显示导入失败用户】按钮，可查询未导入的用户信息及失败的原因。（4） 若想使导入操作即刻有效，可以点击右上方的【立即生效】按钮。1.2 导出用户功能启动步骤：用户管理导出用户 点击导出用户，会将系统内用户/信息以【.csv】文件格式导出，进而保存到本地备份。注：1. 导出文件的格式为.csv，并且系统会自动命名，如果要修改名称，请确保改后的文件仍然是.csv格式，才可保证上传此文件成功。2. 导出的.csv文件可以使用excel表格进行查看。若需对文件内容进行修改，请用记事本形式打开修改并保存。若在excel中进行修改，将会导致原文件格式的改变。1.3 组织管理功能启动步骤：用户管理组织管理字段解释：n ROOT：设备出厂时会有一个默认的“根”组，名称为“ROOT”，此组不能新建、删除或编辑。管理员添加的任何用户/组都属于该组下。n 自动添加的用户：出厂时默认的另一个组是“自动添加的用户”组。开启系统“自动添加用户”功能后，系统会将通过认证的用户自动添加到该组下。n 第三方用户：通过LDAP/AD域认证的用户添加到该组下。1.3.1 新建用户 功能启动步骤：用户管理组织管理新用户字段解释：n 用户名：用户的标识。（必添）n 用户描述：对该用户的注释。（可选）n IP地址：用户PC机的IP地址。n MAC地址：用户PC机的MAC地址。n 可用策略、已有策略：用户可以匹配的策略（关于策略解释，请参阅“策略管理”），左侧列表表示所有策略的集合，右侧列表表示该用户匹配的策略。点击“”或者“”按钮可添加或移除策略。继承策略：用户所在组拥有的策略，对这个组下的所有成员有效。n 用户绑定IP：用户的用户名与IP地址关联。l 被绑定的用户只能用绑定的IP进行登录，主要是为了防止登录名被盗用。比如，将登录名小王，和IP 地址1绑定后，小王只能从IP为“1”的机器上登录该系统，而从IP地址为其它的机器上用“小王”的登录名进行认证并访问网页时，将被阻止。但从IP地址为“1”的机器上使用其他的用户名（如“张三”）进行认证并访问Web时，将被允许。 l 若对某一个组设置了【用户绑定IP】， 组内所有同时有IP和登录名的用户都将被绑定。 n IP绑定MAC：用户IP与MAC地址关联。三层IP-MAC绑定需要对SNMP进行配置（详细见SNMP配置过程）支持将用户的IP地址和网卡MAC地址绑定，被绑定的IP地址将不能被别的MAC地址使用，主要是为了防止IP地址被盗用，但并不禁止MAC使用别的IP。比如：若设置了“1 - 00:11:22:33:44:55”之间的绑定关系，则MAC地址为“11:22:33:44:55:66”的计算机使用 IP“1”访问互联网时将被阻止；但MAC地址为“00:11:22:33:44:55”的计算机使用 IP“1”访问互联网时将被允许。 l 对某一个组设置了【IP绑定MAC】， 组内所有同时有IP和MAC地址的用户都将被绑定。n 用户绑定MAC：用户名与MAC地址关联。主要是防止用户名被盗用，但并不禁止MAC使用别的用户名。比如：若将用户“张三”与MAC为“11:22:33:44:55:66”的计算机进行了用户绑定MAC，则用户名为“张三”的用户只能在MAC为“11:22:33:44:55:66”的计算机上登录中软系统；但是在MAC地址为“11:22:33:44:55:66”的计算机上，使用其他用户名访问1.3.2 编辑用户功能启动步骤：用户管理组织管理详细操作过程：（1） 若想查看、编辑用户的详细信息，点击左边列表中成员对应的组，右侧列出该组下所有用户，点击需要修改的【用户名】，弹出如下编辑框：（2） 修改用户信息后，点击【确定】按钮提交信息；【取消】按钮返回用户列表。1.3.3 删除用户功能启动步骤：用户管理组织管理删除详细操作过程：（1） 找到需要删除的用户，钩选用户名前的多选框，如下图：（2） 点击列表上方的【删除】按钮，确认后即完成对该用户的删除操作。1.3.4 移动用户 功能启动步骤：用户管理组织管理移动详细操作过程：（1） 找到需要移动的用户，钩选用户名前的多选框，如下图：（2） 点击列表上方的【移动】按钮，弹出如下提示框，为用户选择新组。（3） 在组列表中选择要移动到的组名，弹出移动成功的提示框。1.3.5 新建组功能启动步骤：用户管理组织管理新组详细操作过程：（1） 点击新组后，弹出如下界面： 字段解释：n 组名：组的标识。（必添）n 策略：该组需要匹配的策略（关于策略解释，请参阅“策略管理”），左侧列表表示所有策略的集合，右侧列表表示该用户匹配的策略。点击“”或者“”按钮添加或移除策略。组添加的策略，对该组下所有用户全部生效。n 点击【确定】添加组信息；点击【取消】返回用户列表。1.3.6 编辑组功能启动步骤：用户管理组织管理详细操作过程：（1） 点击需要修改组的名称，弹出界面如下图：（2） 修改组信息后，点击【确定】完成修改；【取消】按钮返回用户列表。1.3.7 删除组功能启动步骤：用户管理组织管理删除详细操作过程：（1） 点击【组织管理】列表中要删除组的父结点，勾选组名。，点击列表上方【删除】按钮，确认后即完成对该组的删除操作。注意：删除会将该组的子组或组下用户全被级联删除。删除组下用户只需选择要删除的用户，点击【删除】即可。1.3.8 移动组 功能启动步骤：用户管理组织管理移动详细操作过程：（1） 选中组织管理列表中需要移动的组，点击列表上方的【移动】按钮（2） 在组列表中选择要移动到的组名，弹出移动成功的提示框。1.3.9 清空组功能描述：将组下的用户全部删除。功能启动步骤：用户管理组织管理清空详细操作过程：（1） 点击组织管理列表中需要清空的组，点击【清空】，如下图：（2） 点击【确定】将删除左侧组中所有的成员，小心操作！注意：所有操作结束后点击界面右上方的【立即生效】，操作才会即刻有效。1.3.10 绑定/取消绑定功能解释：实现用户与IP、MAC或IP与MAC之间的绑定与取消。功能启动步骤：用户管理组织管理绑定/取消绑定详细操作过程：（1） 设置绑定：【组织管理】选择需要绑定的组/用户，点击页面右上方【绑定】按钮，如下图：（2） 取消绑定：在【组织管理】中选择需要取消绑定的组/用户，点击【取消绑定】按钮，如下图：选择要取消的绑定，点击【确定】即可。1.3.11 设置密码功能解释：设置用户WEB认证时的密码。功能启动步骤：用户管理组织管理设置密码字段解释：n 统一密码：为用户设置相同的初始密码。n 随机密码：用户密码随机产生，下载列表可以获取用户密码。1.4 群管理功能描述：群是在组的基础上对用户的再次分类，任何组默认都是不允许修改的群。功能启动步骤：使用审计用户登录后。用户管理群管理。 详细操作过程：（1） 原组默认的群是不允许修改的，如果需要重新建立用户集合，点击界面中的【新群】按钮。输入群信息，点击【确定】（2） 点击【用户信息】，弹出如下界面左侧列表是所有的组、用户和群，可从列表选择用户加入群。选中右侧列表中的用户，点击【删除】从群中删除用户；上方的【名称】和【IP地址】是对群中用户的筛选；点击清空则删除该群中的所有用户；点击【确定】按钮完成群的编辑。1.5 用户查询功能启动步骤：用户管理用户查询。 详细操作过程：（1） 输入查询条件，选择【提交查询】按钮。下方列出符合条件的用户列表。所有字段均支持模糊查询（不输入任何查询条件将检索出全部用户/组）。（2） 选择用户列表单位，单击【保存到本地】，可对选择的用户以csv格式下载到本地。1.6 认证管理功能启动步骤：用户管理认证管理1.6.1 认证配置 功能启动步骤：用户管理认证管理认证配置字段解释：n 是否允许多个IP登陆：指web认证时，网内的用户是否可以在多个IP上通过WEB认证，允许在多个IP上通过web认证时的处理方式（A.可以 B.强制注销以前的登录，在当前IP上认证通过。C.提示在其他IP上登录，不注销以前登录）。即当中软采用web认证时，用户进行互联网访问时，需要输入用户名和密码进行验证登陆。是否允许多个IP登陆，指使用同一个用户名在多个IP上同时访问互联网的行为是否受限制。l 可以在多个不同IP的计算机上，同时使用同一个用户名通过web认证l 强制注销以前的登陆，在当前IP上认证通过不能使用同一个用户名在多个IP上同时登陆，该选项会注销此前在其他IP上的登陆，在新IP地址中重新认证登陆。l 提示在其它IP上登陆，不注销以前的登陆提示在其他IP已登录，但仍可通过认证。注：该功能会在系统采用web认证后生效。n 用户默认认证方式：内网用户进行互联网访问时默认的认证方式。n 在线用户没有流量后自动下线：用户在无网络流量后被认作下线的时限。n 认证失败后的重定向页面：用户认证失败后跳转页面的设置，用户可根据模板更改页面信息。1.6.2 认证类型配置功能描述：主要完成LDAP/AD认证配置。功能启动步骤：用户管理认证管理认证配置字段解释：n 服务器地址：服务器IP地址信息。n 入口DN：确定导入用户数据的导入点,由域名和用户组名组成。n 认证类型：AD认证或LDAP认证。n 添加：添加一个认证服务器。n 删除：删除认证服务器。n 配置：修改当前的认证服务器信息。详细操作过程：点击【添加】，弹出“新建认证配置”页面，如下图：注：认证类型：可选AD和LDPAP两种认证。相同的认证方式并且是相同的配置，只能添加一次。AD认证：字段解释：l 服务器IP：运行AD服务的服务器IP地址。l 管理员全路径：AD服务器管理员帐号在AD服务器中的全路径。l 管理员密码：域管理密码。l AD测试：测试AD服务器配置是否成功。l 高级设置：进一步设置AD认证的详细参数。举例说明：添加AD认证：在AD服务器上，管理员为administrator，所管辖域为yanfabulocal，并且该账号保存在users组中，则管理员全路径为cn=administrator,cn=users,dc=yanfabu,dc=local。在AD、LDAP服务器中，也支持administratoryanfabu.local的写法。填写好界面上信息后，点击【AD测试】，输入用户名、密码，则可测试AD域服务器是否配置成功。AD认证的高级设置：点击【高级设置】弹出如下界面：字段解释：l 导入证书：从证书服务器中导入证书，用来修改LDAP用户密码。l 过滤条件：如果用户数据存在多个组中时，需要填写该参数，以保证入口下的所有用户都能够正确认证，格式为“用户属性=%s”；AD域的LDAP服务器默认填为：sAMAccountName=%s；sun的LDAP服务器默认填为：uid=%s；novell edirectory的LDAP服务器默认填为：uid=%s；openldap的LDAP服务器默认填为：cn=%s。l 服务器端口：默认为389。l 用户属性：用户的属性，如：cn、uid，当填写过滤条件时，该参数无效。l 入口（BaseDN）：确定导入用户数据的导入点，由域名和用户组名组成。格式为： ou= 2级用户组，ou=1级用户组，dc=N级域名，dc=2级域名，dc=1级域名。例如：LDAP服务器所管辖域yanfabu. local的1级用户 组为“users”，（即 yanfabu.local users），如果您想将“users”下的所有组及用户都导入到组织管理中的根目录。需要填导入入口为：ou= users,dc=yanfabu,dc=local。（若想导入域yanfabu.local下面的所用户组和用户的数据，则填写导入入口为：dc= yanfabu,dc= local）。l 支持匿名查询：是否支持AD域的匿名查询。l AD版本：选择所使用AD的版本,可选为版本2,版本3。默认使用V2。l 采用TLS：连接LDAP服务器时是否需要采用TLS加密方式，由服务器配置决定是否需要。（LDAP版本3才支持TLS。）l 确认：保存以上配置信息。l 取消：返回上一页面。 LDAP认证：认证类型选为LDAP，弹出如下页面：与AD认证配置类似，请参照AD认证配置方式。1.6.3 SNMP配置功能描述：通过SNMP服务的配置实现三层IP-MAC绑定功能功能启动步骤：用户管理认证管理SNMP配置字段解释：n IP：SNMP服务器地址（三层交换机的IP地址）n COMMUNITY：三层交换机团体名，即：三层交换机中SNMP的读属性。n 是否启用：【】图标表示启用，点击后禁用。【】图标表示禁用，点击后启用。n SNMP网段：需要IP/MAC绑定的网段。n 访问间隔：SNMP服务扫描三层交换机下IP/MAC绑定主机信息的时间间隔。详细操作过程：（1） 添加：点击列表上方的【添加】按钮弹出操作界面：填写IP和团体名后确认，完成添加SNMP服务器过程。（2） 编辑：点击服务器列表中的IP地址，可编辑相应服务器。（3） 设置SNMP网段：点击服务器列表中的【设置】按钮，为相应服务器设置SNMP网段。字段解释：n 已有IP段：已添加的IP段n 删除：删除监控网段。n 添加：填写起始和终止IP，点击【添加】按钮完成添加设置完成后，点击【确定】保存修改1.6.4 认证网段功能描述：对不同网段的用户可设置不同的认证方式，优先级高于【认证管理】【认证配置】中默认的认证方式。功能启动步骤：用户管理认证管理认证网段详细操作过程：字段解释：n 起始IP：网段的起始IP。n 终止IP：网段的终止IP。n 认证类型：网段的认证方式。可选的类型有IP、MAC和WEB三种方式。1.6.5 自动添加用户网段功能描述：通过该功能的设置，经过认证的合法用户会自动添加到指定的目标组下。功能启动步骤：用户管理认证管理自动添加用户网段。详细操作过程：字段解释：n 起始IP：网段的起始IP。n 终止IP：网段的终止IP。n 目标组：为自动添加的用户选择指定的组。注：此功能需要开启【系统管理】【系统开关】【系统参数开关】【开启自动添加用户】选项1.6.6 AD域同步功能描述：用于将LDAP服务器的用户和组织结构同步到AC中，可以实现LDAP服务器上的用户和组织结构自动同步，此功能目前只支持MS Active Directory。同步方式分为两类：和。功能启动步骤：用户管理认证管理AD域同步字段解释：n 同步域工作模式：设置AD域同步的工作模式。n 查看同步报告：查看域信息同步策略详细信息。n 添加：添加一个域信息同步策略。n 删除：删除域信息同步策略。详细操作过程：（1） 添加一个新策略按AD域组织结构同步选择工作模式后，点击【添加】，出现以下配置页面。字段解释：l 名称：域信息标识的唯一名称。l 描述：该策略的文本行注释。l 自动同步：是否自动同步。l AD域服务器：选择需要同步的域服务器。l 导入到本地位置：将域服务器上域用户和组织结构信息同步到AC的某个组。l 导入的远程目标：设置需要同步的域服务器的OU。l 过滤条件：根据域参数设置过滤条件。此处不填，默认为不限制。按照AD域安全组同步该工作模式是按照AD域中的用户组GROUP导入的。配置方式与按AD域组织结构同步方式相同，请参照【按AD域组织结构同步】。注：在AD域安全组同步配置设置中，导入的远程目标选择的是LDAP服务器的group用户组，按照组导入。（2） 查看同步报告点击【查看同步报告】，进入如下界面：字段解释：l 同步报告名：显示报告名称，点击报告名称，即可查看到报告的详细内容。l 同步方式：显示同步策略同步的方式，分为立即同步和自动同步。l 同步时间：显示同步报告生成时间。l 同步状态：显示同步是否成功。2 策略管理2.1 默认策略功能描述：用户默认匹配的策略。功能启动步骤：策略管理默认策略。字段解释：n 审计会话：行为的审计。n 审计内容：内容的审计。n 允许通过：允许没有匹配策略的用户上网，反之，则不允许没有匹配策略的用户上网。n 是否平均带宽：没有设置此项，通过默认策略的用户自由争用默认通道带宽；若设置此项则可对通过默认通道中的用户进行平均带宽的限制。注：默认通道是总带宽中没有被使用的带宽。2.2 黑白名单2.2.1 IP黑白名单功能描述：IP无条件阻塞/允许功能启动步骤：策略管理黑白名单IP黑/白名单详细操作过程：（1） 添加：点击IP黑名单列表上方的【添加】按钮，输入IP和描述，单击【确定】【立即生效】，即可完成操作。（2） 删除：选择需要删除的IP列表，点击上方的【删除】【立即生效】即可完成删除操作。（3） 导出：选择要导出的IP黑白名单，可将黑白名单批量导出。2.2.2 网址黑白名单功能描述：对URL无条件地阻塞/阻塞。允许访问的URL是网址白名单；相反地，被直接阻塞访问的URL是网址黑名单。功能启动步骤：策略管理黑白名单网址黑/白名单详细操作过程：（1） 添加：点击【添加】按钮。输入URL和描述，【确定】【立即生效】，即可。（2） 删除：选择需要删除的URL列表，点击上方的【删除】【立即生效】即可。（3） 导出：选择要导出的URL黑白名单，可将黑白名单批量导出。注：网址黑白名单支持模式匹配，具体的匹配规则为： 1若网址黑白名单中包含的URL为域名下的子目录，则匹配该子目录下的所有文件。例如：URL为“/2006”，则匹配“/2006”目录下所有的的内容。 2若网址黑白名单中包含的URL为域名且不含路径，则匹配所有对该域名及其子域名的访问，例如：URL为“”，则匹配对””及“”、 “”等子域的访问。2.2.3 导入黑白名单功能启动步骤：策略管理黑白名单导入黑白名单详细操作过程：（1） 单击【浏览】，选择要导入的文件，单击【上传文件】。（2） 在黑白名单列表中显示文件内容：（3） 选择要导入的IP信息，单击【上传选中的项】，弹出名单类型选项框：（4） 选择相应的名单类型，单击【确定】【立即生效】完成操作。2.3 对象设置功能描述：对象是策略的重要组成部分，策略可以看成是基于对象（组）的规则。合理地构建和管理对象，是建立有效的访问控制策略的前提。功能启动步骤：策略管理对象设置2.3.1 时间对象功能启动步骤：策略管理对象设置时间对象详细操作过程：（1） 添加：点击该按钮，可以添加一条时间对象 （2） 编辑：点击某个时间对象的链接可以编辑所选择的对象（3） 删除：选择某个时间对象后，点击该按钮，可以删除所选择的对象 注： 正在被策略使用的时间对象是不允许删除的，执行删除操作时，系统会弹出警告2.3.2 网站分类对象功能启动步骤：策略管理对象设置网站分类对象详细操作过程：（1） 添加：点击【添加】按钮，弹出如下图所示的操作界面：字段解释：n 名称：分类对象的唯一标识，不能为空。n 分类：分类列表中的信息为中软的URL库，分为30多个类。每个分类是每种网站类型的集合（如：门户网站类型中包含网易、搜狐、TOM等门户型网站）。点击右侧的【】按钮将该类型添加至此网站分类类型，也就是说每个网站分类下可包含一种或多种的网站类型n 例外：用户也可以为所选的网站分类增加一些例外网址。点击右上方的“添加”按钮后，在弹出的窗口中输入网址后，点击“确定”按钮即可。添加例外具体的匹配规则为：l 若例外网址为域名下的子目录，则匹配该子目录下的所有文件。如例外网址为，则匹配目录下所有的内容。l 若例外网址为域名且不含路径，则匹配所有对该域名、子域名的访问。例如例外网址为，匹配对及 、、等子域的访问。 【举例】 假设上班时间不允许访问新闻媒体、娱乐类等影响工作的网站，这就需要定义一个网站分类对象，命名为“休闲娱乐类网站”，在该对象中添加“门户搜索”、 “文学”和“娱乐”等网站分类。如果在建立“阻断策略”时选择“阻塞”，那么访问以上所选的网站分类将被禁止。此时访问（属于门户搜索）将被阻塞。 新建网站分类对象时，可以为该对象定义一些例外网址。例如如果在阻塞门户搜索类网站的同时，不希望阻塞，只需在右侧的例外网址中添加。这样当建立策略阻塞“门户搜索”时，访问将不被阻塞。如要取消例外网址，则首先选择要取消的网址，然后点击例外网址列表左侧的【】即可。 （2） 删除：选择需要删除的网站分类对象，点击【删除】【立即生效】即可。（3） 自定义网站分类：除了系统内建的网站分类对象外，用户还可以自己定义网站分类对象，并显示在“网站分类”列表中，供添加网站分类对象时使用。添加例外具体的匹配规则为l 若例外网址为域名下的子目录，则匹配该子目录下的所有文件。如例外网址为，则匹配目录下所有的内容。l 若例外网址为域名且不含路径，则匹配所有对该域名、子域名的访问。例如例外网址为，匹配对及 、、等子域的访问。 2.3.3 网址匹配对象功能描述：网址匹配对象可作为网页浏览控制时的匹配条件之一。它使用正则表达式对Web访问网址进行匹配。当内网用户访问的网址符合匹配条件时，即匹配了引用该对象的网页阻断策略，从而达到控制用户对该类网址的访问的目的。功能启动步骤：策略管理对象设置网址匹配对象。详细操作过程：（1） 添加：输入名称和正确的正则式后按【确定】完成操作。（正则表达式书请参考附录正则表达式）（2） 编辑：点击网站匹配对象的名称，弹出如下图所示的操作界面：编辑名称和正则式后【确定】完成该对象的编辑。（3） 删除：选择要删除的网站匹配对象，点击列表上方的【删除】按钮，点击【立即生效】即可完成操作。注：正在被策略使用的网址匹配是不允许删除的，执行删除操作时，系统会弹出警告。2.3.4 用户自定义协议功能描述：中软拥有超过260种流行应用协议分析特征库，除了这些内建的网络应用协议，用户可以定义其他网络应用，如基于某个端口的应用，或基于某个目标服务器的应用。自定义协议和系统内建的其他协议一样，可用于策略中的网络应用控制、带宽管理，并可进行网络应用实时监控等。注：自定义协议优先级最高，即当自定义协议与系统内置协议冲突时（如端口相同），中软将识别为用户自定义的网络应用协议。功能启动步骤：策略管理对象设置用户自定义。详细操作过程：（1） 添加：点击【添加】按钮弹出如下图所示的操作界面：填写所需的信息后【确定】【立即生效】完成该对象的添加。（2） 编辑：点击需要编辑的自定义协议对象的名称，弹出如下图所示界面：修改信息后【确定】【立即生效】完成即可。（3） 删除：选择需要删除的网站匹配对象，点击列表上方的【删除】按钮，确认删除后【立即生效】即完成删除操作。2.4策略管理功能描述：对象建立后，就可以建立策略了。建立和设置策略是实施互联网访问控制的核心工作之一。在“策略设置”中建立的策略，有三类：阻断策略、流控策略、审计策略。注：所设策略在用户端重新建立应用连接时生效。2.4.1 阻断策略功能启动步骤：策略管理策略设置阻断策略字段解释：n 名称：该策略的唯一标识名；n 控制方式：允许/阻塞；n 优先级：按由上至下的执行顺序，点击“”、“”提升或降低策略的优先级；“”将优先级提为最高，“”将优先级将为最低。n 描述：该策略的文本行注释；n 状态：策略是激活还是禁用；【】图标表示启用，点击后禁用。【】图标表示禁用，点击后启用。n 摘要：点击【查看】可以查看该策略的配置信息；n 高级：策略参数的设置详细操作过程：（1） 新建：点击列表上方的【添加】按钮弹出操作界面：填写并选择对象匹配后【确定】完成该策略的添加，点击【立即生效】，使得所建策略即时生效。【举例】禁止所有用户炒股，详细配置如下：名称：阻断所有用户 选择用户：ROOT 时间：所有时间 协议列表：勾选股票应用（2） 编辑：点击要修改的策略名称，弹出如下页面，可以对已有策略重新编辑。（3） 删除：选中要删除的策略，点击上方的【删除】按钮，确认删除后即完成对该策略的删除。（4） 激活：选中需要激活的策略，点击列表上方的【激活】按钮或直接点击策略对应的【状态】按钮：（5） 禁用：选中需要禁用的策略，点击列表上方的【禁用】按钮或直接点击策略对应的【状态】按钮：（6） 高级设置：点击策略所对应的【设置】，弹出如下设置界面字段解释：n 类型：策略支持的参数类别，包含IP，PORT，URL，HOST，CA。n 规则：策略参数项的设置 l 等于：策略对象（网站分类对象，协议）与参数相等时，该策略生效。l 不等于：策略对象不与参数相等时，策略生效。l 包含于：策略对象包含于设置的参数范围内时，策略生效。l 不包含于：策略对象的内容不包含于设置的参数范围内，策略生效。l LIKE：该参数支持通配，当策略对象与设置的参数匹配时，策略生效。l UN LIKE：支持通配，与LIKE相反n 内容：具体的参数设置 l 具体IP、PORT或IP、PORT范围 。l 具体或带通配符（*）的URL地址,HOST名称,CA证书名称。高级设置是对策略的细化。策略是否生效由策略对象（协议，用户，时间等）和高级设置中参数（下面简称高级参数）决定。高级参数包括IP、ROTR、URL、HOST、CA五项。用户的行为与策略对象完全匹配时，策略生效。【举例一】：阻断策略：选择用户【ROOT】，【全部协议】，【所有时间】，控制方式【阻塞】。结果：ROOT组下用户的网络行为被阻塞。【举例二】：在阻断策略不变的基础上，添加策略参数：高级设置3：URL等于/和URL等于/结果3：所用用户访问【百度】或【新浪】时，被阻断；其它网络行为正常。更多的高级参数设置均按此方式匹配生效。2.4.2 流控策略功能启动步骤：策略管理策略设置流控策略字段解释：n 名称：该策略的唯一标识名；n 描述：该策略的文本行注释；n 保障速率：该通道上传下载能使用的最小带宽；n 最大速率：该通道上传下载能使用的最大带宽；n 优先级：用户匹配策略的优先顺序；按由上至下的执行顺序，点击“”、“”提升或降低策略的优先级；“”将优先级提为最高，“”将优先级将为最低。n 状态：策略是激活还是禁用；n 摘要：点击【查看】可以看到该策略的基本信息；n 高级：策略参数的设置详细操作过程：（1） 新建：点击列表上方的【添加】按钮弹出新建流控策略操作界面：填写并选择对象匹配后点击【确定】完成该策略的添加。【举例】给公关部1M带宽，但是同时每个人最大上传/下载速率不超过100KB/S，详细配置如