h3c seccenter csap-nta流量探针产品web配置指导

1、H3C SecCenter CSAP-NTA 流量探针Web 配置指导新华三技术资料版本：5W100-20181130Copyright 2018 新华三技术及其者所有，保留一切权利。本书内容的部分或全部，并不得以任何本公司，任何和个人不得擅自摘抄、形式。除新华三技术权利人拥有。的商标外，本手册中出现的其它公司的商标、标识及商品名称，由各自前 言本配置指导主要介绍 H3C SecCenter CSAP-NTA 流量探针页面参数解释、配置步骤等。前言部分包含如下内容：Web 配置方法，包括主要功能简介、读者对象本书约定资料意见反馈读者对象本手册主要适用于如下工程师：网络规划现场技术支持与维护负责

2、网络配置和维护的网络管理员本书约定1. 命令行格式约定2. 图形界面格式约定格 式意 义带尖括号“”表示按钮名，如“单击按钮”。 带方括号“ ”表示窗口名、菜单名和数据表，如“弹出新建用户窗口”。/多级菜单用“/”隔开。如文件/新建/文件夹多级菜单表示文件菜单下的新建子菜单下的文件夹菜单项。格 式意 义粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。 表示用“ ”括起来的部分在命令配置时是可选的。 x | y | . 表示从多个选项中仅选取一个。 x | y | . 表示从多个选项中选取一个或者不选。 x |

3、y | . *表示从多个选项中至少选取一个。 x | y | . *表示从多个选项中选取一个、多个或者不选。&表示符号&前面的参数可以重复输入1n次。#由“#”号开始的行表示为注释行。3. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：4. 图标约定本书使用的图标及其含义如下：该图标及其相关描述文字代表一般网络设备，如路由器、交换机、等。该图标及其相关描述文字代表一般意义下的路由器，以及其他运行了路由协议的设备。该图标及其相关描述文字代表二、三层以太网交换机，以及运行了二层协议的设备。该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线交换

4、机的无线控制引擎设备。该图标及其相关描述文字代表无线接入点设备。T该图标及其相关描述文字代表无线终结单元。T该图标及其相关描述文字代表无线终结者。该图标及其相关描述文字代表无线Mesh设备。该图标代表发散的无线射频信号。该图标代表点到点的无线射频信号。该图标及其相关描述文字代表、UTM、多业务安全网关、负载均衡等。该图标及其相关描述文字代表插卡、负载均衡插卡、NetStream插卡、SSL插卡、IPS插卡、ACG插卡等安全插卡。该标志后的注释需给予格外关注，不当的操作可能会对人身造成。提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。为确保设备配置成功或者正常工作而需要特别关注

5、的操作或信息。对操作内容的描述进行必要的补充和说明。配置、操作、或使用设备的技巧、小窍门。5. 示例约定由于设备型号不同、配置不同、版本升级等原因，可能造成本手册中的内容与用户使用的设备显示信息不一致。实际使用中请以设备显示的内容为准。本手册中出现的端口编号仅作示例，并不代表设备上实际具有此编号的端口，实际使用中请以设备上存在的端口编号为准。资料意见反馈如果您在使用过程中发现：资料的任何问题，可以通过以下方式反馈：感谢您的反馈，让我们做得更好！目录1 Web管理概述1-11.1 简介1-11.2 设备默认配置1-11.2.1 管理口默认配置1-11.2.2 默认管理员用户1-11.3 登录设备

6、1-11.4 WEB界面布局描述1-21.5 WEB配置主要菜单1-21.6 列表1-61.7 图标1-62 首页2-12.1 概述2-12.2 系统信息2-12.3 系统2-22.4 用户流量排名2-32.5 实时流量图2-42.6 系统日志2-43 业务设置3-13.1 简介3-13.2 业务设置概述3-13.3 接口配置3-13.3.1 接口显示3-13.3.2 接口修改3-23.3.3 以太网接口配置举例3-43.4 链路配置3-63.4.1 链路和虚链路概述3-63.4.2 虚链路配置3-63.4.3 链路配置3-73.5 用户配置3-93.5.1 用户概述3-93.5.2 创建用户

7、3-93.5.3 创建用户组3-10i3.5.4 配置用户识别范围3-113.5.5 用户配置举例3-123.6 服务器配置3-143.6.1 服务器概述3-143.6.2 服务器配置3-143.6.3 自动识别网段配置3-163.6.4 服务器扫描配置3-173.6.5 服务器配置举例3-173.7 应用配置3-193.7.1 应用概述3-193.7.2 应用模式3-193.7.3 预定义应用3-203.7.4 自定义应用3-213.7.5 审计配置3-233.7.6 应用配置举例3-253.8 威胁检测3-263.8.1 威胁检测概述3-263.8.2 扫描检测3-263.9 数据接口3-

8、273.9.1 数据接口概述3-273.9.2 日志服务器配置3-273.9.3 日志过滤配置3-283.9.4 日志配置举例3-303.10告警设置3-323.10.1 告警通知概述3-323.10.2 用户告警配置3-323.10.3 服务器告警配置3-333.10.4 应用告警配置3-343.10.5 审计告警3-353.10.6 告警配置举例3-36流量过滤3-393.11.1 全局配置3-403.11.2 策略配置3-403.114 流量分析4-14.1 流量分析概述4-14.2 流量选择4-1ii4.3 概要分析4-24.4 物理地址4-44.5 网络应用4-54.6 IP地址4-

9、54.7 IP会话4-64.8 端口统计4-7日志5-15.1 简介5-15.2 审计日志5-15.2.1 审计日志简介5-15.2.2 文件日志5-255.2.3 社区/日志5-35.2.4 搜索引擎5-45.2.5日志5-55.2.6 邮件5-65.2.7 TELNET日志5-75.2.8股票日志5-85.2.9 IM日志5-95.2.10 DNS日志5-105.2.11 数据库5-115.2.12 FTP日志5-125.3 威胁日志5-135.3.1 扫描 5-135.4 告警日志5-145.4.1 流量告警日志5-145.4.2 审计告警日志5-165.日志5-175.6 管理日志5-

10、17系统设置6-16.1 简介6-16.2 登录管理6-16.2.1 管理员配置6-16.2.2 管理设定6-266.2.3信息6-36.2.4 阻断用户6-46.2.5 管理员配置举例6-4iii6.3 配置管理6-76.3.1 系统升级6-76.3.2 配置文件6-86.3.3 时间设定6-86.3.4 磁盘6-96.4 维护管理6-106.4.1 系统重启6-106.4.2 系统状态6-106.4.3 网络抓包6-126.5管理6-.2管理概述6-13管理配置6-13iv11.1Web管理概述简介在 PC 上运行 IE 浏览器并使用安全 HTTPS 连接，即可通过 W

11、eb 方式管理流量安全可视化分析系统设备。例如，可以根据需求调整管理地址、管理方式、等。请用户使用火狐、chrome、IE9.0 以上版本浏览器对 NTA 设备进行 WEB 管理，最佳显示分辨率为1366768。如使用其他版本浏览器可能出现显示上兼容性不佳的情况。1.2设备默认配置1.2.1 管理口默认配置管理口的默认地址配置为 /24。默认允许对该接口进行 SSH、HTTPS、Ping、Telnet操作。1.2.2 默认管理员用户系统默认的管理员用户为 admin，默认为 admin。用户可以使用该管理员账号从任何可设备的地址登录设备，并且使用设备的所有功能。1.3登录

12、设备系统采用 B/S 架构，用户可以通过浏览器的方式登录设备。将管理 PC 的网口和设备的管理接口连接起来，并配置 PC 的 IP 地址为 /24 网段内（除 以外）的 IP 地址，然后打开浏览器，在浏览器的地址栏中输入单击回车即可连接到设备登录界面。图1-1 登录设备，按照登录界面提示在输入框中输入用户名和，单击即可登录设备管理界面。设备的默认用户名/为 admin/admin。1-1图1-2 设备管理界面1.4WEB界面布局描述Web 管理界面由主菜单、左树菜单、栏和页面组成，每个菜单有相应的多个栏，每个有相关的页面。单击一个菜单项目，如“系统设

13、置配置管理”，菜单会扩展为一个子菜单。单击其中一个子菜单，相关联的页面会在对应的栏中显示。单击栏查看不同的页面内容。1.5WEB配置主要菜单菜单提供了流量安全可视化分析系统设备的主要选项，如 表 1-1 所示：表1-1页面菜单说明1-2主菜单分类功能说明首页系统信息显示设备基本信息，包括软件序列号、主机名称、型号、系统版本、APP库版本、系统时间、当前会话数等系统显示设备当前硬件使用情况，包含CPU利用率、内存利用率、硬盘利用率用户流量排名以列表的形式显示当前使用流量top20用户信息，包括用户名、所属用户组、上下行流速以及总流速。支持查看单个用户的应用流速信息（TOP5）实时流量图显示设备最

14、近1个小时的流速趋势图，支持查看单个时间节点的流速信息，支持手动刷新系统日志显示当前系统日志时间和内容1-3主菜单分类功能说明流量分析流量历史分析默认显示近5小时内的流量趋势，支持打点间隔切换，支持时间范围的拖动选择，支持链路类型和数据类型切换，支持手动刷新概要分析支持接口状态统计，物理地址、网络应用、IP地址、IP会话、服务端口统计前TOP5信息物理地址支持统计物理地址、总字节数、总字节数、接收总字节数、每秒字节数、总数据包数、总数据包、接收总数据包、每秒数据包数、广播数据包数、组播数据包数网络应用支持统计应用名称、总字节、总数据包、总负载字节数、总负载数据包数、TCP同步包数、TCP同步确

15、认包数、TCP重置包数IP地址支持统计端点、地理位置、总字节数、 总字节、接收总字节、总数据包数、 总数据包、接收总数据包、 TCP同步包数、接收TCP同步包数、 TCP同步确认包数、接收TCP同步确认包数、发送TCP重置包数、接收TCP重置包数IP会话支持统计端点1、端点1地理位置、端点2、端点2地理位置、总字节数、总数据包、端点1总字节数、端点1总数据包数、端点2 总字节数、端点2总数据包数、TCP同步包数、TCP同步确认包数、TCP重置包数、UDP会话数、TCP会话数端口统计支持统计端口、总字节数、总数据包、总负载字节数、总负载数据包数、TCP同步包数、TCP同步确认包数、TCP重置包数

16、用户配置用户配置用户用户名称（1-31字符）用户IP导入、导出用户、用户组支持导入、导出新建、删除用户、用户组支持新建、删除用户组用户组名称（1-31字符）用户组描述（0-127字符）用户组父级选择，可支持四级子用户组用户组网络地址，可支持IP、IP范围及子网模糊支持用户，用户组的查找功能一键删除支持一键删除所有的用户用户识别范围支持用户识别范围配置、用户排除范围配置1-4主菜单分类功能说明应用配置应用应用自定义支持应用自定义功能支持基于地址，端口，或URL的应用自定义预定义应用显示预定义分类，互联网应用模式支持19个分类，内网应用模式支持4个分类显示分为名称、分类、可自定义应用使能状态应用模

17、式支持互联网应用、内网应用审计策略支持策略增删改查、启用/禁用、优先级调整支持策略匹配次数清零策略匹配条件：源IP地址、目的IP地址支持基于应用的应用类型组选择日志日志系统日志管理日志操作日志告警日志流量告警日志详情，类型包括用户、服务器和应用审计告警日志详情。审计DNSDNS相关审计日志IM日志IM聊天应用日志社区/日志社区/应用审计日志FTPFTP审计日志日志审计日志TELNETTELNET审计日志/股票日志股票应用软件日志数据库数据库审计日志邮件邮件审计日志搜索引擎搜索引擎审计日志文件日志文件传输日志威胁日志扫描日志扫描日志1-5主菜单分类功能说明业务设置接口配置物理接口启用/关闭支持添

18、加描述，字符长度（0-127）IPv4地址类型：静态接口管理方式：HTTPS、HTTP、SSH、Telnet、Ping协商模式：自动、强制链路：支持物理接口绑定链路接口属性：管理接口、接口MTU，修改范围1280-1500服务器配置自定义服务器、服务器组、服务器识别网段和服务器自动扫描数据接口配置日志服务器、日志过滤告警设置用户、服务器、应用告警配置威胁检测扫描扫描检测流量过滤支持配置流量过滤策略，过滤出符合条件的流量，避免无关流量影响链路配置虚链路配置虚链路配置，类型包括IP、MAC、MPLS链路配置支持绑定到虚链路系统设置登录管理新建、管理、查看管理员信息及阻断用户信息配置管理时间设定设定

19、系统时间，包括手动和NTP设定时间系统升级升级系统软件和特征库，并查看升级历史磁盘设置磁盘容量占比，查看磁盘容量分配和使用情况配置文件配置文件导入、导出、恢复出厂设置维护管理系统重启支持重启系统或者恢复出厂设置系统状态查看当前系统信息抓包工具系统自带抓包设置及报文管理查看、更改序列号及导入License1.6列表很多管理配置页面都是以列表的形式呈现，例如服务器配置等，如 图 1-3 所示：图1-3 列表列表中的条目显示各项信息。双击配置可对该条目进行编辑操作。通过列表上方的按钮，可以增加条目。1.7图标页面中有很多图标可以帮助各功能项进行配置管理操作，表 1-2 页面中的图标进行说明。表1-2

20、图标1-6图标名称说明新建新建条目删除删除选中条目搜索符合条件的条目修改/删除编辑配置启用启用选中条目刷新刷新当前页面或图表导入从本地导入用户用户组到设备导出从设备导出用户到本地提交提交当前页面的配置内容取消取消当前页面的配置内容22.1首页概述登录设备后首先看到的界面就是首页，该页面可查看设备当前系统信息、排名、实时流量趋势图以及系统日志。如 图 2-1 所示。使用状况、用户流量图2-1首页概览2.2系统信息系统信息了系统的基本情况，包括系统的软件序列号、名称、型号、版本等，如 图 2-2 所示。图2-2 系统信息系统信息中，各项参数如 表 2-1 所示。2-1表2-1 系统信息参数说明在该

21、页面单击主机名称后面的按钮，可以编辑主机名称，编辑完成后，单击编辑框后的即可完成主机名称的修改。图2-3 修改主机名称2.3 系统系统展示了当前系统CPU、内存和硬盘的使用情况，如 图 2-4 所示。图2-4 系统2-2参数说明软件S/N系统的软件序列号，是系统的唯一标识主机名称系统主机的名称，默认为NTA，可自行修改型号的具体型号系统版本系统版本信息APP版本应用识别特征库版本系统时间当前系统时间，可以在系统设置中修改当前会话数显示当前识别的流量中的会话数2.4用户流量排名用户流量排名以表格的形式展示了当前使用流量TOP20 的用户数据，如 图 2-5 所示。图2-5 用户流量排名用户流量排

22、名的各参数说明如下。表2-2 用户流量排名说明将鼠标放在某个用户的用户名上，可以在弹出的浮窗中查看当前用户的应用的流速TOP5 情况，如图 2-6 所示。2-3参数说明用户用户名称以及IP，用户显示为IP地址用户组用户所属的用户组名称，用户显示为空上行对应用户的当前上行速率下行对应用户的当前下行速率总流速对应用户的上下行流速之和图2-6 查看用户的应用流速 TOP5 情况2.5实时流量图实时流量图展示了设备近一小时的流速趋势图，包括上行流速和下行流速。将鼠标放在某个时间点处，可以查看该时间点的上下行流速的具体数值，如 图 2-7 所示。图2-7 实时流量图单击下方的“下行”或者“上行”可以选择

23、或者下行或者上行的流速趋势图。2.6系统日志系统日志展示了系统自身产生的一些日志信息，如接口状态变化、用户登录登出信息等。如图 2-8所示。2-4图2-8系统日志2-533.1业务设置简介业务设置主要包括接口和链路设置，用户和应用对象配置，日志服务器和告警输出设置、威胁检测和流量过滤，还有服务器配置和扫描等。通过业务设置可以将配置设备的基本业务包括接口管理、流量过滤、应用识别、威胁检测以及日志和告警输出等。3.2业务设置概述业务设置菜单囊括了所有的配置选项，设备所有的配置都在此菜单栏下进行配置，具体配置内容见下 表 3-1 所示。表3-1设置内容3.3接口配置3.3.1 接口显示在导航栏中进入

24、“业务设置 接口配置”，进入物理接口列表页面。该界面呈现的是所有接口当前状态，包括接口、状态、工作模式、速率、连接状态、启用状态等，如 图 3-1 所示。3-1配置任务说明操作步骤接口配置配置接口详见3.3链路配置配置链路及虚链路详见3.4用户配置配置用户、用户组及识别范围详见3.5服务器配置配置服务器、服务器组、识别范围和服务器扫描详见3.6应用配置配置自定义应用、审计策略及预定义应用详见3.7威胁检测配置扫描检测详见3.8数据接口配置日志接收服务器、日志过滤详见3.9告警设置配置流量告警和审计告警详见3.10流量过滤配置流量过滤策略详见3.11图3-1 接口界面接口界面相关字段说明，下方

25、表 3-2。表3-2接口字段说明3.3.2 接口修改在导航栏中进入“业务设置 接口配置”，进入物理接口列表页面，单击接口后对应的操作按钮“ ”，进入“编辑接口”页面。配置界面分为基本设置和高级设置，如 图 3-2 所示。3-2字段说明接口名称设备出厂接口名称，不可更改接口类型可以分为管理接口和接口，管理接口可以配置IP地址用于设备本机的管理；接口用于网络中的流量用于流量分析链路接口所属的链路名称描述接口描述信息IP地址该接口当前IPv4地址网关该接口指定的网关地址DNS该接口配置的DNSMAC地址接口的MAC地址工作模式接口默认的工作模式，默认为route双工模式接口的传输模式，一般为全双工或

26、半双工速率接口协商速率，千兆电口分为10Mbps、100Mbps、1000Mbps，万兆口为10000Mbps连接状态当前接口的状态down或up启用状态当前接口是否启用，“ ”表示启用，“ ”表示禁用操作单击进入后，可针对当前接口进行编辑图3-2编辑接口界面接口编辑界面说明如 表 3-3 所示。表3-3 编辑接口基本设置说明基本设置3-3启用物理接口的管理状态，勾选时启用，不选时接口不启用接口名称物理接口名称，接口名称不可修改接口类型分为管理接口和接口，管理接口可以配置IP地址用于设备本机的管理；接口用于网络中的流量用于流量分析链路选择接口所属的链路名称。当接口类型为管理接口时不可绑定链路描

27、述接口描述信息，0-127个字符MAC地址接口缺省MAC地址，不可修改配置项说明IP类型高级配置3.3.3 以太网接口配置举例1. 组网需求配置以太网接口 ge9-2 为百兆全双工模式，接口配置 IP 地址 5/23 以及网关地址，并启用 HTTPS、HTTP、SSH、Telnet、Ping 管理。2. 配置步骤(1)如 图 3-3 所示，进入“业务设置 接口配置”打开物理接口显示页面；单击ge9-2 接口后面的“操作”，进入编辑接口页面中对ge9-2 口进行配置。3-4协商模式支持选择自动协商或者强制协商： 自协商模式下，端口的所有参数都是

28、自动协商出来的，不能设置端口的速率和双工模式参数 强制模式下，可以设置端口的速率和双工模式，双方端口的参数设置必须一致，否则会导致端口工作不正常，造成端口不通或者丢包等问题万兆口不支持选择协商模式速率当千兆口选择强制协商模式时，可以选择协商速率为10M、100M、1000M。双工模式选择接口的双工模式为全双工或者半双工。MTU接口报文的最大长度，缺省为1500，为字节地址模式仅支持静态地址接口主地址物理接口的主地址，仅可配置一个IP地址网关接口对应的网关地址，需要和接口主地址在同一个网段DNS列表DNS服务器地址，可以同时配置多个DNS服务器地址管理方式配置端口是否允许HTTPS、HTTP、S

29、SH、Telnet、Ping管理服务配置项说明图3-3编辑接口信息(2)单击，返回物理接口页面，可以看到ge9-2 的配置已经修改，如 图 3-4 所示。图3-4查看接口信息3-53.4链路配置3.4.1 链路和虚链路概述当前虚链路配置，主要针对流量中带 IP、MAC、MPLS 标记的报文进行识别和呈现，同时将上述字段在会话中显示出来，对会话进行标注，更加直观的展示此类报文。3.4.2 虚链路配置导航栏中选择“业务设置 链路配置 虚链路配置”，进入虚链路配置界面。虚链路配置页面展示了当前的虚链路配置，并且支持对虚链路进行新建、编辑、删除、启用/禁用、导入/导出以及刷新。如 图 3-5 所示。图

30、3-5 虚链路配置单击进入“新增虚链路配置”界面，如 图 3-6 所示，字段说明见 表 3-4。图3-6新增虚链路配置3-6表3-4 新增虚链路配置字段说明配置完成后，单击即可完成新增虚链路的配置。配置后需要再将虚链路绑定到链路中，具体配置方式请参见 链路配置。3.4.3 链路配置在导航栏中选择“业务设置 链路配置”，进入链路配置页面，此页面展示了当前配置的链路情况，并且支持对链路进行新建、编辑、删除、启用/禁用以及刷新。如 图 3-7 所示。图3-7 链路配置单击进入“新增链路配置”界面，如 图示，字段说明见 表 3-5。3-7配置项配置子项说明启用启用虚链路配置类型IP通过IP子网或者范围

31、的方式将需要的IP地址相关的数据归为一个虚链路MAC通过设定MAC地址的方式将需要的流量数据归类为一个虚链路MPLS根据MPLS协议中的来区分虚链路MPLS（Multi-Protocol Label Switching，多协议交换）是新一代的IP高速骨干网络交换标准。MPLS是利用标记（label）进行数据转发的。当分组进入网络时，要为其分配固定长度的短的标记，并将标记与分组封装在一起， 在整个转发过程换节点仅根据标记进行转发描述信息虚链路的描述信息，0-63字符图3-8新增链路配置表3-5新增链路配置说明配置完成后，单击即可完成新增链路的配置。此时在流量分析中，可以选择对应的链路实现流量的过

32、滤。如 图 3-9 所示。图3-9 过滤线路流量分析情况3-8配置项说明启用启用或者关闭该链路，勾选为启用设为默认将该链路设置设备的默认链路链路名链路的名称，0-31个字符虚链路类型选择需要绑定的虚链路类型。可以选择默认、IP、MAC和MPLS虚链路名称选择需要绑定的虚链路的名称，按住键可以同时选择多个已经创建的虚链路（此操作方式因浏览器而异，建议使用火狐或者chrome）描述该链路的描述信息，0-63字符3.5用户配置3.5.1 用户概述用户主要包括用户、用户组、用户识别范围三大功能。管理员可以将用户与 IP 进行绑定，将用户组与 IP 范围进行绑定，方便管理；通过设定用户识别范围，系统可以

33、自动识别哪些 IP 为用户。3.5.2 创建用户导航栏中选择“业务设置 用户配置”，选择用户页签进入用户页面，在该页面支持对用户进行新建、删除、导入/导出、刷新、清除所有用户和图3-10 用户页面操作，如 图 3-10 所示。单击进入“新增用户”界面，如 图 3-11 所示。新增用户页面的说明如 表 3-6 所示。图3-11 新增用户表3-6 新增用户字段说明3-9配置项说明名称用户的名称，1-31个字符IP地址用户的IP地址，提交后不可修改描述用户描述信息，0-127个字符3.5.3 创建用户组导航栏中选择“业务设置 用户设置”，选择“用户组”页签进入用户组页面，在该页面支持对用户组进行新建

34、、删除、导入/导出、刷新和图3-12 用户组页面操作，如 图 3-12 所示。单击进入“新增用户组”界面，如 图 3-13 所示。图3-13 新增用户组表3-7 新增用户组字段说明配置完成后单击即可完成用户组配置。3-10配置项说明名称用户组的名称用户组父级用户组所属的父级组，默认为所有用户组，也可指定其他父级组，最大支持四级用户组网络地址用户组所属的网络地址，可以为IP（如）、网段（如/24）、IP范围（如-54）描述用户组描述信息，0-127字符3.5.4 配置用户识别范围导航栏中选择“业务设置 用户设

35、置”，选择用户识别范围页签，进入用户识别范围页面，在该页面支持配置用户识别范围和排除范围，如 图 3-14 所示。图3-14用户识别范围表3-8 用户识别范围字段说明用户识别范围3-11地址项目子网地址识别范围为IP子网段范围地址识别范围为IP地址范围添加将输入的IP网段或IP地址范围添加到项目列表中配置项说明用户排除范围配置完成后，单击，即可完成用户识别范围设置，此时用户排名中统计的用户均为用户识别范围内除排除范围外的用户。3.5.5 用户配置举例1. 组网需求将 /16 网段加入用户识别范围，配置用户的用户名为 hht1 ,IP 为 01/2

36、4； 然后创建用户组 group-hht1，网络地址为 ，并将用户 hht1 加入用户组 group-hht1.2. 配置步骤(1)选择“业务设置 用户配置”进入用户配置页面，单击进入“新增用户”界面，配置IP地址为“01”，用户名为“hht1”，如 图 3-15 所示。图3-15 新增用户配置配置完成后，单击返回到“用户”主页面，用户配置完成：3-12地址项目子网地址排除某些子网地址范围地址排除某些范围内地址主机地址排除某些主机地址添加将输入的IP网段或IP地址范围添加到项目列表中已添加项目当前已经添加的IP网段或范围配置项说明已添加项目当

37、前已经添加的IP网段或范围图3-16 用户列表(2)进入“用户组”页面，单击进入新增用户组，配置用户组名称为“group-hht1”，用户组父级为默认“所有用户”，网络地址为“/24”。配置完成后，如 图 3-17 所示。图3-17新增用户组界面配置完成后，单击返回到用户组页面，用户组配置完成：图3-18 用户组列表(3)进入“用户识别范围”界面，在地址项目中选择“子网地址”并在输入框中输入/16，单击，配置好参数后，单击，用户识别范围配置完成。如 图3-19 所示。3-13图3-19 用户识别范围配置界面3.6 服务器配置3.6.1 服务器概述

38、支持在设备上通过手动配置或服务器扫描页面指定网段扫描后添加服务器；与其它非服务器网段进行区分和单独配置，针对服务器开放的端口进行探测和展示。3.6.2服务器配置导航栏中选择“业务设置 服务器设置 服务器”，进入自定义服务器界面；自定义服务器界面左边为服务器组列表，右边为服务器列表，如 图 3-20 所示。图3-20 服务器界面1. 服务器组服务器组列表支持添加、修改、删除、导入/导出操作，最多支持 128 个服务器组。 导出”，使用系统自带的模板编辑，然后再如果有批量的服务器组需要创建，可先单击“ 执行，如下图为系统自带模板。图3-21 服务器导入模板3-14服务器组列表单击，进入“新增服务器

39、组”界面，可手动输入名称和描述信息，如 图 3-22 所示。图3-22 新增服务器界面2. 服务器列表服务器界面右边为服务器列表，该列表显示所有的服务器信息，包括自定义服务器名称、地址及端口。服务器列表中的端口，为创建服务器后系统会自动针对服务器进行端口扫描，将识别的端口进行展示。该页面支持对服务器进行添加、修改、删除、移动、导入/导出、刷新、型号最多支持 4096 个服务器。如 图 3-23 所示。图3-23 服务器列表等操作，高端 导出”，使用系统自带的模板编辑，然后再执行，如 图 3-24 为系统自带模板。图3-24 服务器导入模板服务器列表单击，进入“新增服务器”界面；选择“所属分组”

40、、输入名称、地址、描述，然后单击即可完成新增服务器的配置，如 图 3-25 所示。3-15图3-25 新增服务器界面 清除所有”，会清空所有服务器配置。支持一键删除所有服务器：单击“3.6.3 自动识别网段配置设备会根据配置的自动识别网段检测该网段内的服务器端口及流量信息；如果不配置，则代表测服务器流量信息。通过这种方式来定向检测服务器信息。在导航栏中选择“业务设置 服务器”，选择“自动识别网段配置”页签进入识别网段配置页面，可根据服务器网段，输入子网地址或范围地址，然后添加到项目中，最后单击即可，如3-26 所示。图图3-26自动识别网段配置界面3-163.6.4 服务器扫描配置服务器较多的

41、情况下，可通过输入网段，系统自动扫描、识别出地址及开放端口，然后需要执行编辑操作，即可将扫描到的设备加入到服务器列表中。导航栏中选择“业务设置 服务器配置 服务器扫描”进入服务器扫描界面，在名称中输入需要扫描的目标IP或者网段，然后单击即可执行扫描。如 图 3-27 所示。图3-27 服务器扫描界面单击扫描结果列表后面的“”按钮进入“编辑服务器信息”界面，选择所属分组，输入名称、地址及描述，单击即可将扫描到的服务器添加到服务器列表，如 图 3-28 所示。图3-28编辑服务器信息界面3.6.5服务器配置举例1. 组网需求新建服务器 server1，IP 为 14，并加

42、入服务器组 Group1。3-172. 配置步骤(1)(2)进入“业务设置 服务器配置 服务器”页面。服务器组列表中，单击进入“新增服务器组”界面，配置服务器组名称为“Group1”， 如 图 3-29 所示。图3-29 新增服务器组界面单击返回服务器组列表。图3-30 服务器组列表(3)服务器列表中单击进入“新增服务器”界面，所属分组选择Group1、配置服务器名称server1，IP地址为 14，如 图 3-31 所示。3-18图3-31新增服务器界面(4)单击返回服务器列表。图3-32 服务器列表界面3.7 应用配置3.7.1 应用概述设备能识别出会话中的应用，

43、依赖设备自身的应用库，设备出厂时已经预设了预定义应用，包含一些常见的应用类型，同时还可以根据实际使用情况，新建自定义应用。3.7.2 应用模式应用模式根据实际使用的场景分为互联网应用和内网应用。互联网应用模式下识别互联网应用并对互联网应用进行统计分析；内网应用模式下识别内网应用并对内网应用进行统计分析。通过区分内网和应用，可以更快的分析出网络中或者内网的流量情况。选择“业务设置 应用配置 应用模式”，进入应用模式配置页面，选择合适的场景模式（互联网应用或者内网应用），然后单击。重启后该配置生效，重启前请注意保存配置。如 图 3-33 所示。3-19图3-33 应用模式选择3.7.3 预定义应用

44、导航栏中进入“业务设置 应用配置 预定义应用”，可以看到左边默认的预定义应用的所有类型，右边则是详细的应用名称，如 图 3-34 所示。图3-34 预定义应用预定义应用界面左边为“应用类”，该应用类的所有列表中，包含应用大类，分别为即时通信、P2P 软件等，如 图 3-35 所示。图3-35 应用类列表预定义应用界面右边，即为应用小类，如、新浪 UC 应用小类属于即时通讯应用大类。单击应用列表右边的“”可展开对应的应用描述界面，查看详细信息，如 图 3-36 所示。3-20图3-36 应用详细信息预定义应用列表中的所有应用类，默认为启用状态，选中应用后可单击右上角“启用或者禁用。”选择3.7.

45、4 自定义应用当某些应用在预定义信息中没有时，可以通过自定义的方式来创建应用。在导航栏中选择“业务设置 应用配置 自定义应用”，进入自定义应用配置界面，该界面可根据需要，配置指定的类型为自定义应用，如 图 3-37 所示。图3-37 自定义应用页面单击进入自定义应用配置页面，可根据需求创建自定义应用，如 图 3-示。3-21图3-38自定义应用界面表3-9自定义应用字段说明表3-22配置项说明使能启用或不启用自定义应用名称自定义应用名称协议默认为any，可选为UDP、TCP描述描述信息应用类所属的应用大类应用级别该应用的级别源端口指定该应用的源端口，留空代表所有端口。目标端口可指定所有端口或指

46、定端口：留空代表所有端口源IP可指定所有IP或指定IP：留空代表所有IP目的IP可指定所有IP或指定IP：留空代表所有IP/URL可指定所有URL或指定URL：留空代表所有或URL配置自定义应用时，目标端口、IP 地址、/URL 不能同时为空。界面上方有导入和导出选项，可以导出系统自带的模版，配置完成后，批量导入。3.7.5 审计配置导航栏中进入“业务设置 应用配置审计策略”，进入审计配置界面。如 图 3-39 所示。图3-39审计配置表3-10审计界面字段说明单击审计界面的，进入“新增应用审计”界面，如 图 3-40 所示。3-23字段说明状态审计配置当前的状态：启用或非禁用，可通过菜单栏上

47、面的“启用、禁用”修改源地址审计的源IP范围地址目的地址审计的目的IP范围地址审计内容审计内容，包含11种审计行为，详见审计配置界面介绍匹配次数该条审计配置命中次数操作可单击进入进行审计配置的修改，或直接删除本条审计配置图3-40新增应用审计界面表3-11新增应用审计界面字段说明3-24字段说明启用启用或禁用该审计配置源地址审计的源IP地址范围目的地址审计的目的IP地址范围审计内容配置审计内容，共11种行为日志，详见审计内容列表3.7.6 应用配置举例1. 组网需求新建自定义应用 yingyong1，应用类为“即时通讯”，目标端口为“所有端口”，指定 IP 为01。2

48、. 配置步骤(1)(2)进入“业务设置 应用配置 自定义应用”页面，单击，进入自定义应用配置页面。选择“使能”，配置名称为“yingyong1”，协议选择“any”，应用类选择“即时通讯”， 应用级别选择“import”，源IP地址指定IP 01。配置页面如 图 3-41 所示。图3-41新建自定义应用 yingyong-1单击并返回自定义主页面，自定义应用配置成功。图3-42 自定义应用列表3-253.8威胁检测3.8.1 威胁检测概述威胁检测功能主要是对网络中的扫描进行检测和告警，包括目的端口扫描检测和目的 IP 扫描检测。3.8.2 扫描检测导航栏中选择“业务设置 威胁检测 扫描”，进入扫描检测配置界面。该界面针对扫描检测进行配置，包括目的端口扫描防护、目的IP扫描防护，如 图 3-43 所示，字