任子行互联网管理软件v4.5使用手册.doc

任子行互联网管理软件用户手册 目 录1公司简介32概述32.1版权声明32.2系统概述42.3本手册的使用方法43适用网络结构44环境搭建及系统安装54.1对计算机软硬件的要求54.2任子行系统的安装与卸载64.2.1安装包描述64.2.2系统安装64.2.3系统卸载85基本操作说明95.1系统设置简明步骤95.2系统登录135.3系统概况166详细操作说明196.1现场观察196.1.1系统状态196.1.2实时跟踪206.2网络控制206.2.1控制设置206.2.2网络控制优先级256.2.3黑白名单276.2.4全局控制306.2.5分组控制356.3流量分析496.3.1实时流量496.3.2机器历史流量516.3.3协议历史流量526.3.4协议端口设置526.4日志管理526.4.1清单查询526.4.2内容查询546.4.3日志设置586.5报表管理596.5.1统计报表596.5.2统计设置736.6系统维护746.6.1用户权限746.6.2监听检测766.6.3网络诊断766.6.4系统升级776.6.5产品注册786.6.6系统备份806.6.7终端配置806.6.8用户配置806.6.9登陆IP配置817常见问题解答827.1使用常见问题解答828重大问题紧急处理办法889售后服务89 第- 2 -页 任子行互联网管理软件用户手册 1 公司简介深圳市任子行网络技术有限公司成立于2000年5月，是由深圳国际技术创新研究院投资，专业从事计算机网络及信息安全技术产品研发的高科技企业。公司依托哈尔滨工业大学雄厚的科研实力，为政府、金融、电信、各类企业和大中小学校提供全方位、优质的计算机网络及信息安全解决方案。任子行公司现已获得深圳市高新技术企业和深圳市软件企业资格认证，并以其完善的开发、服务体系，在网络内容安全行业中最先获得了ISO9001国际质量管理体系认证；公司凭借其强大的技术实力以及相关产品带来的显著经济和社会效益，先后获得了广东省计算机信息系统安全服务二级资质证书、深圳市计算机信息系统集成资质二级资质证书。任子行公司作为国家网络安全产业化项目示范工程承担企业，持续引领着网络内容安全技术的创新和飞跃，现已成为中国著名的网络内容安全软件开发商。任子行公司主要致力于互联网内容安全方面的研究和产品开发，现已开发出从低端家庭用户到高端电信级ISP的全方位系列化的网络内容安全审计和管理产品，产品全部通过国家权威机构的认证。尤其是任子行公司开发的“网吧”安全审计管理系统在目前的国家网吧安全治理专项斗争中得到较为广泛的应用，并取得显著的成效。任子行公司还承担了多项国家重点网络安全项目，在取得显著的经济和社会效益同时也为国家互联网内容安全技术贡献了智慧和力量。公司创造了“以人为本”的企业文化氛围，并吸引了一批高瞻远瞩、经验丰富、成绩辉煌的高科技技术和管理人才，强大的人力资源成就了企业的不断发展。展望明天，任子行公司将秉承“诚信、敬业、协同、创新”的企业精神，以适应市场的发展为导向，以提供安全、可靠、经济、具有超前性的安全产品和服务为使命，让用户安全地遨游于广阔的网络空间，充分享受互联网带给人们的全新生活理念与发展机遇。2 概述2.1 版权声明任子行互联网管理软件V4.5（以下简称任子行系统）由深圳市任子行网络技术有限公司(以下简称任子行公司)独立研制开发并发行，任子行公司对本程序、包装、使用手册等产品及其内容拥有版权等知识产权，受版权法和国际条约的保护。未经任子行公司的正式许可，任何单位及个人不得以任何方式或理由对上述产品、信息、材料的任何部分进行使用、复制、修改、抄录、传播或与其它产品捆绑使用或销售，否则将受到相应的刑事及民事制裁，并将在法律许可的范围内受到最大程度的起诉。本手册的内容仅供参考，以后若有更改，恕不另行通知，不应将此理解为任子行公司的责任。任子行公司无需对可能出现在本文档所包含的信息内容中的错误承担任何责任或义务。对于本手册的内容，任子行公司拥有最终的解释权。任子行、任子行标志是任子行公司在中国和/或其他国家注册的商标。Microsoft、Windows、Microsoft Internet Explorer、Microsoft Internet Information Server框架是微软公司在中国和/或其他国家注册的商标。2.2 系统概述任子行系统是深圳市任子行网络技术有限公司开发的一套全新的网络安全监控管理系统。为了帮助用户最大程度提升单位人员使用互联网的效率，任子行系统涵盖了强大全面的网络监控、封堵、内容审计功能，以及快速精确的网络活动日志分析与统计报表等功能。2.3 本手册的使用方法 通过阅读使用说明书的目录，您可以快速的浏览到您所要了解的信息。 通过阅读本手册的第5章“基本操作说明”和第6章“详细操作说明”，您可以快速熟悉掌握本系统的使用方法。 初次使用本系统的用户请您首先阅读5.1中的“系统设置简明步骤”，了解使本系统发挥最大功能所必经的步骤，以及一些必要的设置。3 适用网络结构为了保证任子行系统能够对整个局域网内的所有计算机进行有效控制，即将安装本系统的网络必须符合以下几种结构之一：A、网络内交换机不可设置镜像端口时，安装任子行系统的机器连接到总出口的HUB上：B、安装任子行系统的机器连接到中心交换机的镜像端口上：4 环境搭建及系统安装4.1 对计算机软硬件的要求n 最低硬件环境要求CPU：Intel PIII 800内存：256M硬盘：40Gn 推荐硬件环境CPU：Intel P4 1.7G 或以上内存：512M或以上硬盘: 80G或以上n 支持的操作系统及其相应软件操作系统环境名称操作系统Windows 2000 ProfessionalWindows 2000 Family ServerWindows 2000 Advanced ServerWindows XpWindows 2003 客户端浏览器Internet Explorer (IE 浏览器) 6.0 以上版本Windows操作系统的安装程序需由用户自行获取，任子行系统安装包中不提供操作系统软件的安装文件。4.2 任子行系统的安装与卸载4.2.1 安装包描述任子行互联网管理软件的安装目前存在一套安装包。下面介绍产品安装包具体安装步骤。温馨提示：为了加强保护任子行软件的使用版权，请在任子行系统安装前，先在任其服务器的USB接口上插入我公司提供的加密狗，且在系统运行过程中不可将加密狗拔出，否则将导致系统无法正常运行。4.2.2 系统安装在任子行系统的安装包中找到AutoRun.exe安装程序，双击该图标进入安装程序界面，如图： 在该界面中选择“安装 任子行互联网管理软件V4.5”，将进入任子行系统的安装界面，如下图：若系统环境已符合要求，请点击下一步，进入本系统的最终用户许可协议查看界面：如果您同意此协议，请选择“是”将进入安装路径选择界面，如下图：注：系统安装路径不支持中文，日文等非英文字符路径，请务必选择由英文字符，空格，数字等标准ASCII码组成的文件夹名称。设置完路径，点击下一步，系统将开始复制文件。如下图：复制完成后，将弹出最后的安装界面，如下图：至此，系统已经安装完毕，点击“完成”，重新启动计算机，任子行互联网管理系统将开始正常运行，此时，您可以从“开始菜单-程序”中看到“任子行互联网管理软件”的程序菜单。安装补丁：为了完善软件功能，我们提供补丁程序，对一些问题进行了修复，请查看补丁说明。运行AutoRun.exe，点击安装补丁按钮，即可正确安装补丁程序。4.2.3 系统卸载卸载有两种方法：1 点击“开始菜单-设置-控制面板-添加/删除程序”，在打开的“更改或删除程序” 界面中选择“任子行互联网管理软件”，点击“”，卸载程序就会自动将您系统中的任子行系统卸载。为了达到更好的重装效果，请在安装前对帐号等信息进行导出备份，卸载完成后手动清除安装目录下残余文件。2 运行安装包卸载。5 基本操作说明在使用本系统前，为了得到最佳的显示效果，我们建议您将显示器的分辨率调整为1024768。如果当前显示器的分辨率不是为1024768，则本系统将提示如下信息：5.1 系统设置简明步骤如果您是初次使用任子行互联网管理软件，系统将弹出系统配置向导，此向导将帮助您快速直观地完成配置本系统。请您认真阅读此章节，按照以下的步骤，配置本系统，从而引导您快速、方便地使任子行系统发挥出其强大功能。在您完成任子行系统的安装后第一次使用系统时，您需要按下列步骤完成本系统的相关设置：第一步：登录系统，进入任子行系统功能界面，具体登录方法请参考本手册5.2中的说明；第二步：进入“配置向导”功能，依次完成 “控制方式”、“网卡绑定”、“内网网段”、“封堵提示”的设置，具体操作请参考本手册6.2.1中的说明。也可以使用“系统配置向导”完成以上操作，具体步骤如下：n 启用向导：安装后第一次使用系统会自己弹出，以后可以点击，如图所示：如果您不想在下一次使用本系统时再次弹出“系统配置向导”，请复选“下次启动本系统时不再显示此向导”。 单击“下一步”，进行“控制方式”。n 网络控制方式：根据您当前使用的网络结构，选择您所使用的网络控制方式，如图所示：单击“下一步”，进行“网卡绑定”。n 网卡绑定：根据您的网络环境，设置监听网卡和通讯网卡，如何选择请参阅选择时软件上的说明，如图所示：单击“下一步”，进行“内网网段”。n 内网网段：根据您当前的网络组织结构，设置您所使用的网段信息，如图所示：单击“下一步”，进行“封堵提示”。n 封堵提示信息：设置所访问网络资源被禁止时，访问者在浏览器中所看到的提示信息，如图所示：单击“下一步”，进行“完成向导”。n 完成系统配置向导，如图所示：单击“完成”，这样才真正的完成了整个系统配置向导。如配置成功，系统将关闭“系统配置向导”对话框，否则弹出错误信息。第三步：进行黑白名单控制设置。在“黑白名单”中根据实际需要设置始终断开或开放网络活动的局域网机器，以及始终允许或禁止访问的网址，即设置机器或网站的黑白名单，具体操作请参考本手册6.2.3中的说明（此步骤的设置为可选项，您可以在以后配置这些功能项）； 第四步：进行全局控制设置。在“全局控制”中对“站点类别”、“即时通讯”、“网络游戏”、“文件类型” 和“IP与MAC绑定”等进行配置，以达到全局控制的目的，具体操作请参考本手册6.2.4中的说明；第五步：进行策略设置控制。若用户在网络控制方式中选择 “机器IP/MAC管理模式”，在“分组控制”中完成对局域网内机器的搜索和分组，设置机器控制策略，并可对各机器组进行分配策略的设置，具体操作请参考本手册中的说明。若选择的是“帐号管理模式”，则需要您在“分组控制”中输入各帐号的编号，以及设置帐号控制时间段和帐号控制策略，具体操作请参考本手册中的说明。 完成了上述所有步骤的设置操作后，任子行系统功能便可以正常运作了。5.2 系统登录在安装了任子行系统的计算机上，您可以通过以下方法进入系统：点击“开始”“程序”“任子行”，点击“任子行互联网管理软件”，即会进入本系统的登录界面。为方便用户使用，任子行系统采用了“B/S（浏览器/服务器）结构”，您可以在任意一台能与安装了任子行系统的机器正常通讯的计算机上，通过以下方法访问本系统的功能界面：在浏览器地址栏中输入“http: /服务器IP地址:8080/netmgmt/”（其中“服务器IP地址”为安装了任子行系统的机器的IP），按“回车”键后即进入任子行系统的登录界面：初次安装本系统后，默认的用户名为“admin”，密码为admin12345（为了确保系统安全，请您即时修改密码），您在登录界面输入了正确的用户名和密码，及校验码，点击“”按钮即可进入系统功能界面（进入系统后，默认显示的界面为“系统状态”详细信息，有关该功能的详细介绍请参考本手册6.1.1中的说明）。如果您输入的用户名和密码不正确，会有如下提示：点击“”后，系统自动返回登录界面。 点击登录界面右下方的“”按钮，您可以更改当前用户的登录密码。为了保证本系统的安全性，用户如果在登录后240分钟之内没有进行任何操作，系统将会默认该用户退出，此时您若尝试对本系统进行任何操作，系统会弹出超时提示对话框：用户确认后返回登录界面。 请您注意：如果打开本系统登陆界面，出现如下图所示情况：请检查服务器的USB接口上是否正常插入了我公司所提供的加密狗，如果没有加密狗请及时向我公司申请，因为它将影响到整个系统的正常运行，且在系统的整个运行期间，加密狗不能拔出，否则系统将停止捕包，并影响您的正常使用。如果在您的使用过程中不小心将加密狗移除，导致系统停止捕包，请及时将加密狗插回即可。 插入加密狗后刷新系统登陆页面将如下图所示：若系统注册过后，显示如下图：登陆系统后打开“关于“将可看到系统版本以及加密狗所支持的用户数等信息，如下图： 温馨提示：本系统提供30天的免费试用期，该期间内任何用户均可正常使用本系统的所有功能。试用期过后，如果用户仍没有注册您所使用的任子行互联网管理软件，那么用户将不能操作此系统，试用期间您所做的任何设置及所有数据将失去其实际的作用。为了避免此类情况的发生，在试用期间您可以提前向我公司申请软件使用序列号，在网络通畅情况下点击“我要注册”处进行软件注册，具体流程及方法请参考本手册6.6.5中的说明。 5.3 系统概况本系统界面采用了框架结构，分为以下四个主要部分：标题区、功能列表区、详细信息显示区和控制方式状态显示区。系统网络控制主界面将根据用户选择的控制方式不同而显示为以下三种模式。当控制方式选择机器IP/MAC管理模式，分组控制主要显示：机器分组和机器策略。选择帐号管理模式，分组控制主要显示：机器分组，帐号分组，帐号策略。选择混合控制模式，分组控制主要显示：机器分组，帐号分组，机器策略，帐号策略。四种控制模式之间的区别可参考中说明。网络控制主界面说明如下：1. 标题区：主要显示系统名称、当前登录用户、所处位置（页面路径）、系统快捷链接、系统日期。2. 功能列表区：列出本系统的主要功能及子功能，并以下拉菜单形式显示，用户可以点击主要功能左侧的 “”按钮查看各主要功能下的所有子功能列表。3. 详细信息显示区：显示本系统各功能详细信息及数据，对各种数据信息的浏览、增加、修改、删除、查询、打印等操作均在此区域内进行。4. 系统快捷链接：配置向导：通过此链接可以直接打开“网络控制-控制设置”页面。系统状态：通过此链接可以直接打开“现场观察-系统状态”页面。帮助：提供系统操作说明及常见问题解答。关于：显示任子行互联网管理系统的版本、产品等信息。退出：关闭主窗口，退出整个操作界面。n “机器IP/MAC管理模式”网络控制主界面：n “帐号管理模式”网络控制主界面：n “混合管理模式”网络控制主界面：6 详细操作说明6.1 现场观察6.1.1 系统状态在该功能界面中显示本系统当前时刻的各种控制状态和日志所在磁盘等信息，方便用户即时掌握任子行系统的控制状态，以及安装了本系统的操作系统的当前状态信息。如下图：1. 系统配置状态：主要显示系统控制设置，并通过不同颜色的图标来表示站点类别，即时通讯，网络游戏，P2P下载等策略控制状态。图标说明如下： “”代表该项处于封堵状态；“”代表该项处于开放状态或功能打开；“”代表该项处于策略控制中。2. 当前网络活动状态：主要包括上网总人数、封堵总人数、各网络活动访问在线人数及相应的跟踪信息。当有用户处于网络活动状态，相应的按钮便可用，单击“”按钮，弹出实时跟踪界面，该界面显示相应的网络活动信息，具体操作请参考6.1.2中说明。用户可根据需要设置时间刷新网络活动人数。3. 系统资源状态：主要显示日志所在磁盘使用率的相关信息。系统提供刷新频率或自动刷新（复选框状态为，则启用自动刷新）功能，方便用户了解日志所在磁盘空间情况，及时调整磁盘空间。6.1.2 实时跟踪在该功能界面中，系统以自动刷新列表的方式为您显示处于本系统监控范围内的所有机器最近一次网络活动的实时日志信息。1. 若跟踪时间设置为10分钟，即在10分钟内的网络活动进行实时跟踪最新信息。2. 若在10分钟没有网络活动，列表将自动清除此内网IP的实时信息。3. 实时跟踪的条件设置：组名、机器名/帐号ID、内网IP、关键字、网络活动、协议类型、封堵类型、跟踪时间等。如下图：确定：设置实时跟踪条件后，点击“”按钮，将会查询出符合条件的记录。重置：点击“”按钮，将所有条件的值恢复到最初状态。6.2 网络控制“网络控制”功能用来完成网络活动监控管理的参数设置。用户通过设置功能，可以实现对机器或网络活动的开放、封堵等控制。网络控制功能主要包括黑白名单、全局控制、分组控制、控制设置四个子功能。6.2.1 控制设置如果您是初次使用任子行系统，您首先应完成本系统的控制设置（参考5.1）。控制设置包括对系统管理模式，捕包网卡，数据通信网卡，内网网段等设置。只有完成网络控制的设置，系统才能进入正常的网络控制。 控制方式控制方式是指用户对所管理的机器或帐号所采用的管理方式或方法，主要包括系统管理模式，新增机器的管理模式，帐户注销等配置。如下图：1系统管理模式针对所管理的对象不同，管理模式分为机器IP管理模式、机器MAC管理模式、帐号管理模式和混合管理模式， 设置不同管理模式，系统网络控制-分组控制主界面不同，具体说明及界面请参考本手册5.3。1）机器IP管理模式：以IP地址来标识具体机器，通过机器对应到上网人员，通过对机器组设置的控制策略可达到网络管理的目的。2）机器MAC管理模式：以MAC地址来标识具体机器,通过机器对应到上网人员,网络管理方法和机器IP管理模式一样。但切勿在三层交换下使用该管理模式。3）帐号管理模式：以相应的帐号标识上网人员，管理员须为每个人员分配有效的帐号，人员在上网前必须登录验证才能上网,通过对帐号组设置控制策略可达到网络管理的目的。4）混合管理模式：指通过“机器IP管理模式”和“帐号管理模式”两种混合管理的模式。温馨提示：1）若从其它管理模式切换到混合管理模式，各机器的原有管理模式将不会发生任何变化；反之，若从混合管理模式切换其他管理模式，则所有机器将会自动被设置为相应的管理模式。2）若从机器IP/MAC管理模式切换到帐号管理模式,所有机器将会自动被设置为帐号管理模式，并且机器上网前必须登录验证；反之切换，所有机器将被自动设置为机器IP/MAC管理模式。3）系统管理模式的切换会影响报表统计功能，不同的管理模式将会产生不同标志的日志，从而会影响数据的分析和统计，所以在您安装完本系统后首先建议您确定系统管理模式。2新增机器管理模式 当用户选择“发现新机器时，根据分组IP段自动保存机器”时，系统发现了新机器，系统将根据新增机器的默认管理模式来管理这台新机器。根据系统管理模式不同的，新增机器的模式管理模式也不同。3自动注销账户当用户设置系统管理模式为“帐号管理模式”或“混合管理模式”时，才有该功能。被管理的机器以帐号登录上网时，若在指定时间内没有网络活动，系统将自动注销该帐号的登录，并终止该帐号的一切网络活动直到该帐号重新登录。默认情况下该时间为30分钟。复选框状态为，则启动自动注销功能。4自动发现新机器当用户选择“发现新机器时，根据分组IP段自动保存机器”时，系统对所来的每一个机器网络活动（数据包），判断其IP是否已经存在于本系统中的数据库中，若没有则认为是新发现的机器，此时将根据分组IP段(分组IP的设置参考)自动保存新机器。复选框状态为，则启动该功能。 网卡绑定网卡绑定功能主要用来设置监听网卡和数据通讯网卡。监听网卡是指用于连接管理其它受控机器的网卡，数据通讯网卡是指本系统所在机器与外界网络通讯的网卡。为了保证本系统能够准确的监听到您希望对其进行管理的网段中全部机器的网络活动，您需要在此界面中将系统与所在机器的特定网卡绑定起来，若您的机器上安装有多块网卡，根据您实际情况的不同，可以绑定其中一块或多块网卡，绑定之后本系统即会对被绑定的网卡进行监听，并据此进行网络活动管理（注：因为本系统在进行管理的同时需要与局域网内其他机器通讯，所以您必须为系统指定一块可以正常与局域网内机器通讯的网卡）。界面如下图： 内网网段为了使系统准确的将内网段与外网IP地址区别开来，从而进行正确的控制行为，用户需要将局域网内所有现存网段添加进该功能界面下的内网网段列表中，如下图所示：您在上图的相应输入框中填入某个网段的起始和结束IP地址，并填入该网段内机器的默认网关，点击“”按钮以添加该内网网段信息，重复以上操作以添加多个网段（添加时请您注意：“起始IP地址”与“结束IP地址”必须是同一地址段内的两个IP地址，且后者必须大于前者）。请您注意：若您未设置或者设置了错误的内网网段，系统将不能封堵局域网中的机器登录QQ等及时通讯软件，且“网络流量”功能中的流量统计功能也将产生错误结果，所以请您务必填入正确的内网网段地址和网关。 封堵提示封堵提示功能用来设置当用户被封堵以后弹出的提示页面。当机器网络活动被封堵时，若设置了“启用封堵提示”，系统将向被封堵的机器发出“封堵提示页面”，告知其已经被封堵；如下图所示：您可以定制“提示页面”中显示的文字信息，点击“”链接进入修改提示信息界面：在封堵提示内容输入框中填入您希望的内容，选择“启用”选项，最后点击“”按钮以使您刚才所作的设置生效。温馨提示：系统是否能向被封堵的机器发出封堵提示页面,和网络活动有关,如电子邮件,即时通讯,网络游戏等活动系统将不会发出封堵提示页面,一般情况下,WEB类的网络活动都会有封堵提示.若选择了“不启用”封堵提示功能，则机器被封堵时，浏览器将显示其自带的错误提示页面。 代理服务器配置代理服务器功能是当本系统所管理的机器通过代理服务器访问外部网络时，必须将代理服务器添加到以上列表中。如下图所示： 配置代理服务器时： 代理协议类型可为：ISA2000，SOCK5，HTTP. 代理服务器的IP地址：不能被系统的内网网段配置区域所包含，必须将包含代理服务器的IP地址的内网网段拆分为两个网段，本系统会自动检测并拆分； 代理服务器端口：ISA20000对应的端口必须为1745； 可以配置多个代理服务器，也可修改或删除相关代理服务器的相关信息。6.2.2 网络控制优先级 上图描述了网络控制各个功能的优先级。当一个机器的网络活动到来时,系统将按右图优先级来进行网络控制. 当机器进入策略控制时，将只能进入“无条件开放”、“无条件封堵”和“机器或帐号策略控制”三个流程之一。当进入“机器或帐号策略控制”时，系统将根据相应的网络活动进行分类处理。具体“机器或帐号策略控制”的设置，请参考机器策略和帐号策略两节的设置。6.2.3 黑白名单在该功能中，您可以根据需要设置无条件允许或者无条件禁止其网络活动的局域网内的机器，以及无条件允许或者无条件禁止某些站点可以被局域网中的计算机访问。 机器白名单对于局域网中隶属于“机器白名单”内的机器，系统在任何条件下都不对其进行封堵。如图：在该界面上方的操作区中用户可以对不需要封堵控制的机器名进行新增、修改操作，1新增“机器白名单”机器系统提供了三种方式来添加机器。1） 在相应输入框中填入计算机名称、IP地址、MAC地址等信息后，点击“”按钮即将该机器加入“机器白名单”中；2） 导入机器导入必须按照本系统要求的格式导入，1) 导入源文件类型必须为文本文件（.txt）；2) 导入的内容格式：字段与字段之间用制表符（键盘上的TAB键）隔开，记录与记录之间用回 车符分隔；内容格式如：机器IP地址机器MAC地址机器名称实例如： 42-2A-4A-AE-AD-A8机器A3) 不能导入空，重复，或已经存在的记录。导入对话框如下图：3） 点击“”按钮进入“机器列表对话框”，如下图所示： 在该界面中选择全部或部分系统已搜索到的机器，点击“”将这些机器添加到“机器白名单”中（进行该操作时，您应该确保新添加的机器不在当前“机器白名单”中，否则系统会提示您操作失败）。2修改“机器白名单”中的机器点击机器列表中的某行记录，该机器的信息即会显示于操作区的相应输入框中，此时您可以对该机器的相应信息进行修改，最后点击“”按钮以使改动生效；3删除“机器白名单”中的机器删除单个机器时，直接点击该机器对应的“”删除按钮，便可将该机器从“机器白名单”中删除。删除多个或全部机器，选中多个或全部机器，点击“”，确定“删除提示”，即可删除所选机器。 机器黑名单对于局域网中隶属于“机器黑名单”内的机器，系统将无条件禁止其与互联网通讯的一切活动，这些机器尝试访问互联网的行为均会被系统记入“封堵日志”。系统以列表的形式列出“机器黑名单”中包含所有机器信息，该功能界面及其操作方法均与“机器白名单”相同。 站点白名单对隶属于“站点白名单”中的站点，除“机器黑名单”中的机器不能访问该站点之外，其它机器均可访问该站点。，如下图所示： 1新增站点点击列表右下方的“”按钮转换到新增站点界面，如下图所示：在输入框中输入要添加的站点地址（不要输入重复站点），若输入多个站点地址，请在输入完每个地址后点击回车键以隔开，之后点击“”确认，系统会出现如图所示的信息用以提示您记录处理成功与否“”。2删除站点您首先需要选中某行记录，点击“”按钮将该站点移出白名单，也可以选中多行记录，再点击“”，从而将部分或全部站点地址移出“站点黑名单”。 站点黑名单对隶属于“站点黑名单”中的站点，除“机器白名单”中的机器能访问该站点之外，其它机器均不可访问该站点。该功能的详细信息界面及其操作方法均与“站点白名单”相同。6.2.4 全局控制“全局控制”实现在所有管理范围内的机器控制，当在全局控制范围内设置某个机器或某项网络活动的封堵时，即使“分组控制”中进行进行了同样网络活动的策略设置，也将不起作用。全局控制的优先级，总是高于分组控制。 站点类别本系统自带了公司搜集的不良网站、娱乐休闲、专业学术、教育培训、其它类别共五大类站点库。同时每个大类又分了许多小类。其中公司自带的不良站点库，是国内最大的站点列表。 1站点查询系统向用户提供了站点的核对功能，用户可以在如下编辑框中输入站点，核对和查询站点是否存在于任子行公司提供的系统站点类别库中。2自定站点类别用户可以根据自己的需要添加自定义类别，点击“”，弹出如下对话框： 在上图中，可以看到左边所有自定义类别，用户可以添加、修改或删除自定义类别； 在点击某个类别之后，用户可以添加、修改或删除类别中包含的自定义站点。1）新增自定义站点点击站点的 “”按钮进入到添加站点操作界面，如下图：在站点输入框中输入一条或多条站点，点击“”添加站点。 2）导入导出自定义站点导入：选择自定义类别后，点击“”按钮，按弹出的对话框说明中的格式导入即可。导出：点击“”按钮，即可导出txt格式的站点信息。 3）批量改组您可以通过对已经存在的站点，修改它的类别。点击“”按钮，如下图： 从“自定义类别”列表框中选择新的自定义类别，然后点击“”，站点的站点类别就修改了。最后点击“”按钮以使设置生效。温馨提示：任子行公司将一直为您提供站点库的升级服务，请您参考本手册6.6.4中的说明定期升级您系统中的该站点库。 即时通讯用户可以对MSN、YAHOO MESSENGER、QQ和ICQ等，共11种即时通讯工具设置开放或封堵功能（在后续版本中我们还会支持更多的即时通讯工具）。如图：在该界面中各选项的功能说明如下：n 选择“开放”，则本系统将允许在局域网内所有机器上使用相应所选的即时通讯软件，此时您在“机器策略”功能中对即时通讯工具的设置将失效；n 选择“封堵”，则本系统将不允许在局域网内所有机器上使用相应所选的即时通讯软件，此时您在“机器策略”功能中对即时通讯工具的设置将失效；n 选择“策略控制”，则本系统将依据您在“机器策略”功能中设置的状态对各种即时通讯工具进行管理。 网络游戏用户可设置局域网内机器是否可以进行边锋、联众、浩方和QQ游戏等，共19种在线网络游戏（在后续版本中我们还会支持对更多的网络游戏）。如图：在该界面中各选项的功能说明如下：n 选择“开放”，则局域网内用户在机器上运行相应所选网络游戏时，本系统将允许该游戏程序与互联网进行通讯，此时您在“机器策略”功能中对“网络游戏”的设置将失效；n 选择“封堵”，则局域网内用户在机器上运行相应所选网络游戏时，本系统将不允许该游戏程序与互联网进行任何通讯，此时您在“机器策略”功能中对“网络游戏”的设置将失效；n 选择“策略控制”，则本系统将依据您在“机器策略”功能中对“网络游戏”设置的状态对各种网络游戏进行管理。 P2P下载用户可设置BT或Emule下载工具是否执行下载。如下图：n 选择“开放”，则本系统将允许在局域网内所有机器上使用下载功能，此时您在“机器策略”功能中对下载的设置将失效；n 选择“封堵”，则本系统将不允许在局域网内所有机器上使用下载功能，此时您在“机器策略”功能中对下载的设置将失效；n 选择“策略控制”，则本系统将依据您在“机器策略”功能中设置的内容对下载进行管理。 文件类型在该功能中，您可以设置是否允许局域网中机器是否可以与互联网进行某些类型的文件的传输。1）新增文件类型点击“”按钮进入到文件类型的新增界面，如图：在文本类型输入框中输入单个或多个文件类型，点击“”添加文件类型。如图2）导入，导出，删除功能具体操作可参考中说明。 IP与MAC绑定用户可以通过该功能设置每台机器唯一的IP和MAC地址的对应关系。当该控制功能发现某台机器的IP和MAC与列表中的对应关系发生变化时（即IP相同但MAC地址不同，或MAC地址相同但IP不同），系统对该台机器进行封堵，如图：1） 启动绑定选择需要绑定的机器(复选框为)，点击“”，则启动IP与MAC绑定。2） 新增机器具体操作可参考中说明的三种新增方式。请您注意：该功能的实现需要用户的网络结构符合以下条件：即安装了任子行系统的机器必须与您想要控制的所有机器处于同一网段之中。 禁用IP段 “禁用IP段”一般为用户单位内部不允许使用的IP段，用户可通过此功能来设置不允许使用的IP段，当有人使用这些IP时将被封堵。如下图：6.2.5 分组控制分组控制是本系统的核心的功能，主要完成机器或帐号的分组管理，并可对每个组进行网络活动的控制策略设置，一旦某个组被设置了控制策略，该组内的所有机器或帐号将执行该控制策略。网络控制的优先级请参考6.2.2一节。根据系统管理模式（可参考设置），分组控制的界面不同，若是“机器IP/MAC管理模式”，则界面只显示“机器分组”和“机器策略”功能；若是“帐号管理模式”,则显示“机器分组“、“帐号分组”和帐号策略功能；若是“混合管理模式”，则显示“机器分组”、“机器策略”、“帐号分组”和“帐号策略”功能。1. 分组系统允许用户对机器和帐号进行分组，分组的方法比较灵活，用户可按照组织的架构，按机器的地理位置等进行分组。2控制策略系统实现对组进行策略控制，当为组设置了控制策略时，组里的所有机器都将执行该控制策略。控制策略的设置包括时间和网络活动控制项两个部分的参数设置。主要实现在“何人（机器）”在“何时”能进行“何种网络活动”。具体可参考下面的说明。机器策略和帐号策略没有什么区别，仅仅是控制的对象不同。 机器分组该功能主要实现对机器的分组，详细信息显示区分为两部分，左边为“机器分组列表区”，右边为 “机器信息列表区”，如图所示： 1机器分组“机器分组列表区”列出了用户对局域网内所有机器的分组，在该区域中，用户除了可以看到所有机器组的情况，也可以对机器组进行添加、修改、删除。在“机器分组列表区”下方的操作区输入新的机器组名，点击“”按钮，系统将该机器组加入现有机器组列表中；若您想改变某现有机器组的名称，请先选中该机器组，在操作区中输入您希望改为的组名，点击“”按钮后即可将现有组名改为您输入的名称；若您想删除某现有机器组，选中该组后点击“”即可。温馨提示：删除组时，将删除该组包含的所有机器信息，并且删除该组设定的策略。2IP段分组点击“”按钮，可以为已经分好的机器组设置其包括的机器的IP范围。当设置了分组的IP段后，若用户在“网络控制-控制设置-控制方式”选择了“发现新机器时，根据分组IP段自动保存机器”时的选项之后，当系统发现新机器时，将根据您已经设置好的分组的IP段，自动归类机器到指定的机器分组里。“IP段分组”的界面如下图：3机器信息维护当您点选“机器分组列表区”中某机器组后，该机器组包含的所有机器信息即以列表的形式显示于“机器信息列表区”，如图所示：在“机器信息列表区”中的每行机器信息记录右侧均有一个“”修改的链接，点击该链接后即进入机器信息修改界面，在此可以修改机器信息，点击“”按钮保存修改后的机器信息；您也可以在该区域的列表中多项或单独选中某机器，点击“”该变其所属组。若您想快速定位机器，点击“”按钮可进入查询界面。对于新添加的机器组，组里面是没有机器的，此时可以选择下列方式添加机器：1）手工搜索机器点击“”按钮，弹出如下的机器搜索配置界面：首先用户需根据实际网络环境在“起始IP地址”和“结束IP地址”中添加局域网内所有IP地址段，添加的起始IP地址和结束IP地址必须在同一网段，点击“”按钮，保存该设定IP地址段（通过重复上面的操作以进行多网段的添加），随后，在已添加的网段列表中选定单个或多个需搜索的IP地址段，点击“”链接，并点击“”进行确认，系统将自动搜索所选IP地址段内所有在线的机器信息并以列表的形式显示（根据您所在局域网网段的数量和机器数量的不同，搜索时间可能会持续几分钟，请您耐心等待）。搜索完毕后系统会自动列出所有机器信息，并以列表的形式显示每个机器名、所在机器组、机器IP、MAC地址等信息，如下图：此时各机器所在的机器组为每个机器的物理分组（在Windows中“我的电脑”图标上点击右键，选择“属性”，在弹出的“系统特性”对话框中选择“网络标识”，在该界面中您就可以看到当前机器所在的物理工作组），“机器信息”中三个选项说明如下：n 选择“只追加新的机器”，系统将只添加所选组中不存在的机器信息，而对已存在于其他组中的机器信息不更新（进行该操作时，若某机器信息已经存在于所选组，系统会判定此次操作失败）；n 选择“追加新机器并修改存在的机器”，系统除了添加所选组中不存在的机器信息以外，对于已存在于其他组中的机器信息，系统会将其从原有组中删除并添加至所选组中；n 选择“覆盖所有机器”，系统首先将清空所选组中现有的所有机器信息，将此次选中的机器信息全部添加到所选机器组中。“机器分组”中三个选项说明如下：n 选择“使用默认机器组”，系统将追加的机器，按默认的物理分组来归纳机器；n 选择“根据IP段分组决定机器所属组”，将按用户划分的分组IP段添加到系统里，若用户没有为分组设置IP段（参考“IP段分组”一节），发现的新机器将被放在系统的“临时组”里；n 选择“指定机器组”，系统将追加的机器，按用户指定的机器组来归纳机器。 选择完毕后点击“”按钮以使操作生效，系统处理完成后会弹出对话框提示您操作是否成功，全部处理成功的提示如下图：处理错误的提示如下图：温馨提示：请首先仔细阅读使用手册，避免操作失败。2）发现新机器时，根据分组IP段自动保存新机器参考一节的自动保存机器功能。3）导入机器导入必须按照本系统要求的格式导入，导入对话框如下图：4）手工新增机器您也可以通过在“机器分组列表区”的“新增”功能来增加机器，点击“”按钮，如下图： 在该界面中输入机器的相应信息（机器名称、机器IP，MAC地址均为必填项），在“机器组”下拉列表中选择希望该机器加入的分组，最后点击“”按钮将此机器信息加入所选分组。5）修改机器管理模式在”机器IP/MAC管理模式”下，所有的机器只能通过机器IP/MAC管理模式管理，不允许用户修改管理模式。在“帐号管理模式”下，所有的机器只能通过帐号管理模式管理，不允许用户修改管理模式。在“混合管理模式”，系统允许用户修改机器的管理模式。混合管理模式下，机器的管理模式有机器IP管理模式和帐号管理模式。4。策略浏览点击浏览控制中“”按钮，系统将弹出机器网络配置明细列表。如图:此列表主要方便用户快速了解机器所有策略控制项。1）全局策略配置信息：综合显示机器在黑白名单及全局控制中所设置的策略控制项。（详细策略控制可参考6.2.3黑白名单，6.2.4全局控制）当用户设置相应的策略控制项时，存在于状态显示为，否则显示为。其中“”代表该项处于封堵状态；其中“”代表该项处于开放状态；其中“”代表该项处于策略控制中。2）机器策略配置信息：显示机器在相应的策略控制项中设置的策略时间及策略。（详细策略控制可参考中的机器策略）其中“”代表该项处于封堵状态；其中“”代表该项处于开放状态；其中“”代表该项处于未控制状态。 机器策略在该功能中，您可以根据需要来为已存在的机器组定义和分配“机器控制策略”，从管理的针对性考虑，本系统可以为局域网内特定机器组制定专有的上网权限，称之为“机器控制策略”；从管理的灵活性考虑，本系统允许您对不同的机器分组设置不同的策略，该功能的主要界面如下： 在数据显示界面中，左侧为“机器组列表区”，系统在每个组名后列出了该组当前所应用的控制策略。当为机器组设置了控制策略之后，该组下的所有机器将继承该组的控制策略。在数据区界面中，右侧为“机器策略详细信息显示区”，显示了选中机器组的当前的控制策略详细信息。即如下图所示：关于机器策略的详细信息现说明如下：温馨提示：用户设置或修改策略，勿忘点击“”按钮以使设置生效。1）设置策略生效时间在上图中，您可以看到系统列出了星期一至星期天的时间，您可以通过鼠标拖动定义时间。时间的最小单元为30分钟。您也可以通过快捷方式设置时间。全选：点击“”按钮可选择一周七天的所有时间段。应用：选择某天中生效的开始和结束时间。将设置某天的时间段，应用于一天或多天。 清空：点击“”按钮可清除所设置的所有时间段。2）设置策略控制模式“根据策略控制网络”：表示系统将根据用户设定的策略进行控制。“无条件开放网络”：表示系统将无条件开放网络，所有策略控制项中设置的策略将无效。“无条件断开网络”：表示系统将无条件封堵网络，所有策略控制项中设置的策略将无效。3）设置策略控制项欲使策略控制项设置生效，应选择“根据策略控制网络”模式。每一大类的策略控制小项的优先级，按界面从上到下的顺序依次降低。网络控制总体优先级别请参考6.2.2。策略控制项包括如下项：基本控制：主要按总体过滤控制（站点访问、即时通讯、WEB聊天等）和端口号进行策略控制。总体过滤控制：系统将对所选中的基本控制项进行无条件封堵，即对选中的基本控制项，单独设置的一切控制内容都无效。若想对控制项单独设置，则不能在此处选中封堵。端口号：主要按端口号（如：80、8080等）进行策略控制。站点访问：主要按协议类型（HTTP、HTTPS），站点类别，URL关键字，文件类型进行策略控制。即时通讯：主要按聊天工具类型（ICQ、QQ、MSN、YAHOO MESSENGER等），登录帐号，聊天内容，文件传输，音视频及网络硬盘进行策略控制。WEB聊天：主要按WEBCHAT服务器（、163.com等）和登录帐号进行策略控制。网络游戏：主要按网络游戏类型(边锋、联众、浩方、QQ游戏等)和