UAG3000审计及流控培训资料

UAG3000审计及流控试验指导（Ver1.0）杭州迪普培训中心2013年03月目录1.设备初始化11.1概览11.2网络拓扑11.3配置1：恢复设备出厂配置21.4配置2：登陆设备WEB页面21.5配置3：修改管理口IP地址32.组网模式选择42.1概览42.2网关模式[PPPoE]42.3网关模式[DHCP]52.4网关模式[固定IP]62.5网关模式[3G]72.6透亮     模式-在线模式82.7透亮     模式-旁路模式92.8透亮     桥接模式103.流量把握123.1概览123.2网络拓扑123.3配置1：带宽限速121）选择组网模式122）创建内网用户133）创建网络应用组144）配置带宽限速145）添加管理路由156）配置DNS地址153.4配置2：访问把握151）选择组网模式152）创建内网用户163）创建网络应用组174）配置访问把握175）添加管理路由186）配置DNS地址187）配置日志输出183.5配置3：URL过滤191）选择组网模式192）创建内网用户203）配置URL过滤204）添加管理路由215）配置DNS地址216）配置日志输出214.行为管理234.1概览234.2网络拓扑234.3配置1：行为审计231）选择组网模式232）创建内网用户243）配置行为审计254）添加管理路由255）配置DNS地址256）配置日志输出264.4配置2：流量分析261）选择组网模式262）创建内网用户273）配置流量分析284）添加管理路由285）配置DNS地址296）配置日志输出295.终端接入把握305.1概览305.2网络拓扑305.3配置1：WEB认证301）选择组网模式302）创建内网用户313）创建WEB认证用户324）开启WEB认证325）配置WEB认证326）添加管理路由337）配置DNS地址338）配置日志输出345.4配置2：MAC/IP绑定341）选择组网模式342）配置MAC/IP绑定353）添加管理路由364）配置DNS地址375）配置日志输出376.其他常用配置386.1系统管理381）系统名称准时间382）开启SNMP配置383）管理员权限配置384）导出配置文件395）特征库升级406）软件版本升级416.2网络管理411）软件bypass412）诊断工作426.3日志管理421）系统日志管理422）操作日志管理443）业务日志管理457.修订记录（内部保留）46设备初始化概览通过此试验，您将学习到：恢复设备出厂配置登陆设备WEB页面修改管理口IP地址网络拓扑描述：管理PC通过串口线连接设备CON口（设备串口）管理PC通过以太网线连接设备MGMT口（设备管理口）配置：管理PC：本地配置设备串口：9600波特率，密码DPTECH设备管理口：默认地址，用户名admin，密码admin配置1：恢复设备出厂配置登陆设备串口，进行如下操作：Password:<DPTECH>resetfactorydefaultWarning:resetfactorydefault.Areyousure?(Y/N)[N]:y配置2：登陆设备WEB页面等待设备初始化完成，直至串口信息显示“Password：”为止；输入用户名、密码及验证码进行WEB登陆。功能验证：无配置3：修改管理口IP地址方法1：访问基本>网络管理>接口配置（管理接口配置）方法2：使用串口进行管理地址修改Password:<DPTECH>conf-mode[DPTECH]interfacemeth0_7[DPTECH-meth0_7]ipaddress/24功能验证：无组网模式选择概览通过此试验，您将学习到：配置网关模式[PPPoE]配置网关模式[DHCP]配置网关模式[固定IP]配置网关模式[3G]配置透亮     模式-在线模式配置透亮     模式-旁路模式配置透亮     桥接模式网关模式[PPPoE]描述：此模式下，WAN口通过PPPoE拨号连接外网。配置：访问基本>网络管理>组网模式访问基本>网络管理>NAT（源NAT）功能验证：无网关模式[DHCP]描述：此模式下，WAN口通过DHCP猎取IP地址连接外网。配置：访问基本>网络管理>组网模式访问基本>网络管理>NAT（源NAT）功能验证：无网关模式[固定IP]描述：此模式下，手动配置WAN口IP地址连接外网。配置：访问基本>网络管理>组网模式访问基本>网络管理>NAT（源NAT）功能验证：无网关模式[3G]描述：此模式下，WAN口通过3G拨号连接外网。配置：访问基本>网络管理>组网模式访问基本>网络管理>NAT（源NAT）功能验证：无透亮     模式-在线模式描述：此模式适用于设备串接在现有网络中使用，不转变网络拓扑，增加平安功能。配置：访问基本>网络管理>组网模式功能验证：无透亮     模式-旁路模式描述：此模式下，旁路接口不存在接口对概念，只对镜像流量只做检测，无动作。配置：访问基本>网络管理>组网模式功能验证：无透亮     桥接模式描述：此模式在透亮     模式的基础上，供应了认证功能和带内管理功能。可以使用带内和带外两种管理方式（即：/24或，带内、带外地址不能冲突）。配置：访问基本>网络管理>组网模式功能验证：无流量把握概览通过此试验，您将学习到：配置带宽限速配置访问把握配置URL过滤网络拓扑描述：此模式在透亮     模式的基础上，供应了认证功能和带内管理功能。可以使用带内和带外两种管理方式（即：或，带内、带外地址不能冲突）。Server端对外供应FTP及HTTP服务。配置1：带宽限速1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）创建内网用户访问基本>网络管理>网络用户组>IP地址（地址对象），创建内网用户。说明：多个IP地址对象，可添加到一个IP地址对象组中。留意：IP地址子网掩码的划分。3）创建网络应用组访问业务>流控与审计>网络应用组管理，新建用户自定义应用组“FTP限速”，将指定特征拖至用户自定义应用组策略中，点击“确认”进行策略下发。4）配置带宽限速访问基本>流控与审计>带宽限速（用户组限速），将已创建的IP地址对象、网络应用组同时引用到上、下行接口，设置限速参数“FTP限速80Kbps”，点击“确认”进行策略下发。留意：为突出限速效果，建议限速策略配置双向。5）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。6）配置DNS地址访问基本>网络管理>DNS配置（DNS配置），添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。功能验证：ClientPC下载FTP服务器资源，达到限速效果。配置2：访问把握1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）创建内网用户访问基本>网络管理>网络用户组>IP地址（地址对象），创建内网用户。说明：多个IP地址对象，可添加到一个IP地址对象组中。留意：IP地址子网掩码的划分。3）创建网络应用组访问业务>流控与审计>网络应用组管理，新建用户自定义组“FTP限制”，将指定特征拖至用户自定义应用组策略中，点击“确认”进行策略下发。4）配置访问把握访问业务>流控与审计>访问把握，将已创建的IP地址对象、网络应用组同时引用到上下行接口，设置动作均阻断，点击“确认”进行策略下发。建议：访问把握策略配置双向。5）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。6）配置DNS地址访问基本>网络管理>DNS配置（DNS配置），添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。7）配置日志输出访问基本>日志管理>业务日志（业务日志配置），勾选“输出到SYSLOG日志主机”，并填入日志主机IP地址，及端口号。留意：通用端口号为514，UMC指定端口号为9514。功能验证：ClientPC下载FTP服务器资源，达到访问把握效果。配置3：URL过滤1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）创建内网用户访问基本>网络管理>网络用户组>IP地址（地址对象），创建内网用户。说明：多个IP地址对象，可添加到一个IP地址对象组中。留意：IP地址子网掩码的划分。3）配置URL过滤访问业务>流控与审计>URL过滤（URL过滤），过滤参数“IPV4”，选择已创建的IP地址对象，设置动作黑名单，点击“确认”进行策略下发。说明：假如对旗下全部网站进行URL过滤，需选择“过滤类型”为‘正则表达式’，且过滤参数为‘xxx’。4）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。5）配置DNS地址访问基本>网络管理>DNS配置(DNS配置)，添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。6）配置日志输出访问基本>日志管理>业务日志（业务日志配置），勾选“输出到SYSLOG日志主机”，并填入日志主机IP地址，及端口号。留意：通用端口号为514，UMC指定端口号为9514。功能验证：ClientPC无法访问http://。行为管理概览通过此试验，您将学习到：配置行为审计配置流量分析网络拓扑描述：此模式在透亮     模式的基础上，供应了认证功能和带内管理功能。可以使用带内和带外两种管理方式（即：或，带内、带外地址不能冲突）。Server端对外供应FTP及HTTP服务。配置1：行为审计1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）创建内网用户访问基本>网络管理>网络用户组>IP地址（地址对象），创建内网用户。说明：多个IP地址对象，可添加到一个IP地址对象组中。留意：IP地址子网掩码的划分。3）配置行为审计访问业务>流量与审计>行为审计（行为审计策略配置），选择已创建的IP地址对象，点击“确认”进行策略下发。建议：“用户/用户组”使用已创建内网用户。4）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。5）配置DNS地址访问基本>网络管理>DNS配置（DNS配置），添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。6）配置日志输出访问基本>日志管理>业务日志（业务日志配置），勾选“输出到SYSLOG日志主机”，并填入日志主机IP地址，及端口号。留意1：不勾选“输出到SYSLOG日志主机”，则行为审计日志在本地查看。留意2：通用端口号为514，UMC指定端口号为9514。留意3：必需勾选“审计日志”方可查看，且输出日志主机与保存本地查看只能选择其一。功能验证：ClientPC访问ServerPC的FTP及HTTP资源，可查看到对应审计日志。配置2：流量分析1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）创建内网用户访问基本>网络管理>网络用户组>IP地址（地址对象），新建内网用户。说明：多个IP地址对象，可添加到一个IP地址对象组中。留意：IP地址子网掩码的划分。3）配置流量分析访问业务>流量与审计>流量分析>流量分析（流量统计配置），勾选接口流量统计和每IP流量统计，网络用户组选择已创建的IP地址对象。建议：发送间隔时间保持默认5分钟。4）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。5）配置DNS地址访问基本>网络管理>DNS配置（DNS配置），添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。6）配置日志输出访问基本>日志管理>业务日志（业务日志配置），勾选“输出到SYSLOG日志主机”，并填入日志主机IP地址，及端口号。留意1：不勾选“输出到SYSLOG日志主机”，则流量分析日志在本地查看。留意2：通用端口号为514，UMC指定端口号为9514。功能验证：ClientPC访问ServerPC的FTP及HTTP资源，可查看到对应流量分析日志。终端接入把握概览通过此试验，您将学习到：配置WEB认证配置MAC/IP绑定网络拓扑描述：此模式在透亮     模式的基础上，供应了认证功能和带内管理功能。可以使用带内和带外两种管理方式（即：或，带内、带外地址不能冲突）。Server端对外供应FTP及HTTP服务。配置1：WEB认证1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）创建内网用户访问基本>网络管理>网络用户组>IP地址（地址对象），创建内网用户。说明：多个IP地址对象，可添加到一个IP地址对象组中。留意：IP地址子网掩码的划分。3）创建WEB认证用户访问业务>平安中心>Protal认证>本地认证用户（本地认证），手动添加或批量导入用户信息，点击“确认”进行策略下发。4）开启WEB认证访问业务>平安中心>Protal认证>认证配置（基本认证配置），启用WEB认证，勾选本地认证，点击“确认”进行策略下发。5）配置WEB认证访问业务>平安中心>Protal认证>认证配置（Web认证配置），选择“用户组”参数中去除ALLUSERS用户，勾选内网IP，点击“确认”进行策略下发。说明：如需要弹出用户登陆状态框，则勾选“显示登陆状态框”。6）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。7）配置DNS地址访问基本>网络管理>DNS配置（DNS配置），添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。8）配置日志输出访问基本>日志管理>业务日志（业务日志配置），勾选“输出到SYSLOG日志主机”，并填入日志主机IP地址，及端口号。留意：通用端口号为514，UMC指定端口号为9514。功能验证：ClientPC访问http://，在认证通过后，可以访问HTTP资源。配置2：MAC/IP绑定1）选择组网模式访问基本>网络管理>组网模式，配置组网模式为透亮     桥接模式，并设置相应带内管理地址和掩码，点击“确认”进行组网模式修改。留意1：物理接口上下行方向，eth0_0->eth0_1为上行方向。留意2：假如连接物理线后，接口无法UP，请在串口下开启该接口。Password:<DPTECH>conf-mode[DPTECH]interfaceeth0_0[DPTECH-eth0_0]noshutdown[DPTECH-eth0_0]exit[DPTECH]interfaceeth0_1[DPTECH-eth0_1]noshutdown留意3：透亮     桥IP地址的子网掩码，需与所在网段全都。2）配置MAC/IP绑定访问业务>平安中心>MAC/IP绑定（MAC/IP绑定），开启功能并选择指定接口，点击“确认”进行策略下发。访问业务>平安中心>MAC/IP绑定（MAC/IP绑定自动学习），点击“从报文中自动学习”一段时间后，查看当前学习结果，勾选指定IP添加到绑定表中。说明：MAC/IP绑定支持手动添加和自动学习（报文学习、三层交换机学习）。建议：三层交换机开启全部SNMP版本，用于MAC/IP自学习。留意：如除绑定地址以外的地址无法通过，需勾选“MAC/IP绑定（仅限以下绑定地址通过）。3）添加管理路由访问基本>网络管理>单播IPv4路由>静态路由（配置静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。4）配置DNS地址访问基本>网络管理>DNS配置（DNS配置），添加DNS服务器地址，用于对设备进行域名解析，特征库自动升级等地方使用。5）配置日志输出访问基本>日志管理>业务日志（业务日志配置），勾选“输出到SYSLOG日志主机”，并填入日志主机IP地址，及端口号。留意：通用端口号为514，UMC指定端口号为9514。功能验证：ClientPC修改IP地址，无法访问。其他常用配置系统管理1）系统名称准时间访问基本>系统管理>设备管理>设备设置（设备信息设置），修改系统名称及系统时间。2）开启SNMP配置访问基本>系统管理>SNMP（SNMP），开启SNMP功能，并填写正确读写团体字。3）管理员权限配置访问基本>系统管理>管理员（管理员），进行修改密码、添加账户等操作。访问基本>系统管理>管理员（配置范围管理），创建自定义配置权限的范围，可细化到具体功能模块，并引用在“管理员”的‘配置范围’中。访问基本>系统管理>管理员（WEB访问协议设置），为提高设