NG全网行为管理网关用户手册XXXX

TPN-2G全网行为管理网关用户手册V6.1孙20端1隐1蠢年段1掘月关于本手册版权声明救上海安达通笋信息安全技拦术股份有限断公司版权所悠有，保留一置切权力。本乱文件中出现狮的任何文字袖叙述、插图次、照片、方挺法、过程等鼠内容，除另旨有特别注明膊，版权均属叫上海安达通绵信息安全技补术股份有限两公司（以下猛简安达通）哲所有，受到朵有关产权及纺版权法保护使。未经叙安达通积书面许可不干得擅自拷贝世、传播、复战制、泄露或绑复写本文档填的全部或部旨分内容。技术支持挺如果您购买魄了TPN冰-2G胸产品，或者弯你需要询问领相关产品的酷信息，您可肾以致电本公挥司400-扭880-1罢233或0傅21-51廊69707周0。攀若您通过代谎理商或集成仓商购买了格TPN-2术G泳产品，您也算可以和销售蛋商联系获得骤技术支持服甩务或产品保受修。椒你还可以在笑网上查询安随达通所提供衣的各种产品睬和服务，网间址是：ht讲tp://找a仓dtsec江。阅读对象闸需要阅读本擦手册的人员象应该是管理棵TPN的网鄙络管理员，功必须具备网着络方面有关才TCP/I筒P、网络规侍划和管理、挪域名系统、凡邮件系统以痕及Linu武x操作系统可的基础知识逢，并有相关暮方面的实际窝工作经验。详如果你是T革PN畜-2G挡的管理员，脸你必须对所划管理网络的育路由、IP午网段划分、乘网络所提供双的服务、以培及网络出口铺设置和方式途等非常熟悉驰。目录窃关于本手册宵纺2控版权声明固充2办技术支持桑敌2察阅读对象绣列2油1.事澡概述挪骤6燥1.1.眉辜产品硬件微贺6少1.2.王搏工作模式竹凝6够1.3.上判功能简介轿模8取2.泊妹管理员登录桐败9烂2.1.裂译从网口登录刮哭9俯2.2.考乞从串口登录谁蚕9鼠2.3.押遗忘记密码话翅10排3.拥输系统管理谈逮11桶3.1.消杰系统状态抬肥11热3.2.蔬协设备信息散田12锁3.3.及捐系统时间井泊12屈3.4.开覆管理员夏汤13晶3.5.俩指导入郑/馆导出配置团纸15头3.6.犁梳恢复出厂配餐置扛熟16挖3.7.斥粉关机巨/条重启翠脖17拒3.8.神队系统升级浓雅18继3.9.血聋Licen饺se确管理疏栽18党3.10.盯佳集中管理滤登19税3.11.沟妇系统日志形漂20遭3.12.梢锣威胁报告邀及20趣4.传浊网络配置古絮21四4.1.斯恋工作模式换源21千4.2.浙遣网口配置宇州22碰4.3.女智端口配置肃草24封4.4.丛难DNS辅配置昆驰25袜4.5.由送DDNS辩配置优痰25突4.6.避悠VLAN灌TRUNK涝庭26丢桌.役犹基本配置朝投26鸣冷.屋茂子接口惜怖27适4.7.铜阔静态路由配楼置合唇28上4.8.盆幻防火墙配置摊和28恳姿.大员包过滤规则流宜28栗罩.点快链路配置涉劫29垄伴.祝颈NAT赛映射轿否30帽蔑.熄俱NAT罩端口映射码礼31耳5.轮胆策略管理寨萝33秤5.1.摊揉网段认证梨虽33宁5.2.旧酱认证服务器岁转34获5.3.崭解对象管理臂满35殊腔.麻裁时间对象杨航35代奉.贝津网站分类对案象刻做35翠5.4.吐沃应用控制糕偿37率5.5.耐跳内容过滤闸卖38妥5.6.佳底网址控制泽抬39林报.脱腰网址库策略挣土39绿洗.叛欺网页搜索策会略栋冰40日5.7.挽坦应用审计民环41密5.8.储外流量控制名以44拴俩.任野带宽通道对纷象屋仓44折剂.甚护应用流控姑拖45动养.宫敢用户流控策禾略纱烦46络5.9.病鹅主机策略房和47伞阵.板欣主机风险评密估等级诞尚47胳暮.庆遍进程库管理萍米55纷外.南鸽非法外联稼已56播希.剧韵补丁更新酷环57粒狼.贪聋虚拟哲VLAN饿妙59骡菌.业锐全局配置当陪61锈5.10.姜扰策略的引用库和优先级五仪62庙5.10.耗1.叛耳策略的引用各西62栏5.10.畜2.势侮策略优先级担榴63耗6.牙细用户管理骨情64型6.1.运纱组织结构贴柴64狱止.辞远添加部门贱旱64酬和.啦冈添加用户弟巾65阿凡.训齐用户属性搂夺66信6.2.叔呈禁用用户纽战68办7.贸级系统监控取轮70虑7.1.攻脖网络概况推厘70域7.2.规凉上网监控辣梢70演沈.扯纹在线用户炉岩71枯搏.害肯应用监控稠代72腾导.煌窝网站访问问核72增霸.普姨搜索引擎献霜73赵谷.朱辩论坛发贴肾腊73末翠.若辉邮件收发恢寒74挤体.绝劝即时通信区亏75冠册.口麦当前阻断塌携75涨7.3.币侮流量监控雪货76熔忽.凯沫用户流量监测控芒柄76读青.御碧应用流量监债控漆稻76会7.4.煎惹历史信息旱乱77同镜.训哭上下线日志届普77捞葡.春乱应用日志牌断78注红.柜锯网站日志景骡78道拆.唤场搜索引擎日病志病家79晓陆.裙矿论坛发贴日痰志瓦趟80垒习.携极邮件收发日扯志苗链81仓伏.养捷即时通信日换志徐估82湖乌.抬终阻断日志无颜83循8.睁剃统计和报告估台85登8.1.召友统计况冷85秤琴.刘在用户统计性显85义卷.摄米网站访问统咱计烟株86久糕.森伙搜索引擎统旦计指双87喉误.咳尝邮件收发统悲计义要88散吐.炸兽即时通信统哲计怕狮90挎具.灿燃论坛发贴统狗计含闪91战呆.笨澡上网时长统碌计嫂棍92肥半.勿便文件审计统矛计断何93赤8.2.梳窄报告射栏94每拥.拴缠上网排名报两告石程94途顺.羊基流量走势报冲告稿否96际博.怎锻用户排名报全告桑捎98化蚂.呀柏网站访问走陶势报告吼茎99语扔.灿馅上网时长排益名报告旁服100上柏.悔屈日志数量走寨势报告诵知101弦9.灌辣常见故障处文理田胖102概述产品硬件爽以T220穷为例，设备铜正面如下所洞示：鼻各接口说明创如下：桃网口：建分为LAN盯，WAN，苦EXT0，牛EXT1，替可以根据具猾体网络环境飞和用户要求皂使用这些网静络接口。在命某些硬件平膨台上带一组锦硬件byp虾ass功能那（参考具体傻的产品参数缸）。筋COM1：犬通过超级终凡端连接，可广以提供系统困管理员登录咐，设置波特肌率(960裤0)嫩COM2：艺双机热备接哈口。耕释设备贵背面暮如下所示：工作模式坝可以工作在谦三阶种典型的模巷式下：路由模式信路由模式下芬TPN作为朴一个三层设级备工作，通叮常部署在内驾外网的边界滤，提供路由嘱、地址转换剃（NAT）拢和防火墙的瑞功能；诊路由模式的纷典型示意图湿如下：网桥模式丢安全网关作昂为一个透明绕网桥工作在鞋二层，使用肯网桥模式可绢以不改变用狭户原有的网订络结构和地邮址规划，并美且能使非I俯P的其他协企议透过安全然网关；伟网桥模式分吴为单网桥和筋双网桥两种劫方式拜，TPN网霜关最多支持袄2组网桥扒；用网桥模式的院典型示意图许如下：旁路模式阶安全网关作未为一台网络桐行为审计设择备接入网络卖，通常接入赶核心交换机中的监听口；骡旁路模式下海安全网关可消以对流经设倾备监听口的借数据进行监述控、审计。啦旁路殖模式的典型橡示意图如下管：功能简介飞全网行为管贵理诵TPN拖-2G锹系统将坡上网行为垮管理、内网谅安全抬管理补、科主机救安全管理薪融为一体，把借助处于网缴络边界位置浓的支TPN饭-2G耗安全网关和化安装在每台解主机上的宗“浓主机威胁引清擎坊”惊的联动汪防御乎，将“本地妄局域网—远甜地局域网—绣移动接入节看点”的资源叛和安全策略值进行统一管桨理，一体化至解决去互联网访问飞行为、内网迎安全行为、率主机安全行当为宽的义统一管理饭问题，确保室用户网络平盲台框的糊可信、可控旨、可管。急全网行为管贫理TPN爸-2G壤系统在功能羡上，主要分料为两大块：注“网络行为休管理”浇和蹦“主机行为霸管理”名。较之当下兰流行的“上提网行为管理晒”系统，它率不仅能够管蛛控互联网的冰访问行为，湖而且能够管掩控内网以及目主机的安全美行为，具有东更全面的管卵控能力、更珍新的管理粒衫度和更高的水性价比。怠与安达通第梅一代TPN姿产品相比，邪TPN-2语G的功能更塞加丰富，性广能更加强大橡，部署方式亏更加灵活。芝TPN-2徐G安全网关搞可独立作为废上网行为管办理网关使用寻；如部署T滨PN客户端痛，即可实现靠网关和客户流端的联动；管理员登录从网口登录氧可以通过浏坦览器从任一子网关接口登抬录，锻TPN网-枪2G滨网关的缺省猛配置如下：贼LAN口I系P地址：丈192.1衔68.1.陕1及，菜掩码触：城255.2辱55.25狐5.0摘缺省管理端妈口：808继0魔缺省管理员分帐号：ro思ot碍缺省管理员我密码：疯chang仆eit捐可誉在浏览器栏锈输入:拢:租//192流.168.馋1.1:8改080纱进行管理员胆界面登录。从串口登录呆一般而情况下禽管理员从网虾口进行登录亏管理伸，永只有职在特殊条件少下需要从串耍口登录进行殖管理，剪如庆：罪忘记网关I仗P地址；墓忘记糠管理员密码炮；见从串口登录正只能进入设邪备的She辛ll模式（愁即所谓的后混台命令模式末），在Sh保ell模式泛下可以执行管Linux穴的命令。按进入She怖ll需要把漂电脑的CO姓M口连接到匙TPN设备闪的COM1模，并且把波必特率设置为刻9600。愈Shell咐常用命令如垫下：长命令辈说明畏I滤fconf号ig翠查看网络接灰口状态欲R这oute蠢查看路由表耳P挠s厅查看任务状稳态坏注意：进入末Shell版模式的具体仍操作请咨询葬ADT技术度人员或经销森商工程师。忘记密码真如果忘记了反管理员绢密码，描需要进入设汪备的she衡ll模式（雀即所谓的后栏台命令模式徒）场，在She播ll哭模式下可以志通过执行L仅inux命既令来恢复密窑码。怕注意：进入突Shell台模式翠恢复密码容的具体操作宪请咨询AD比T技术人员叠或经销商工季程师。系统管理系统状态扛在系统状态魄下，可以看折到TPN狡-2G安全虚网关没的基本信息燃和设备流量剑的分布柱状牛图，如下图深所示：扯基本信息包烟括惹如下内容截：资源使用衬CPU利用扬率内存利用率硬盘利用率连接数伯网关基本信情息网关名称工作模式软件版本客户端版本进程库版本碑Licen乖se信息序列号硬件版本用户数授权模块类型设备信息费在“设备信阁息”下可以事查看和编辑灰网关的名称泪、所有者、模管理员、邮绒件地址和联粥系方法。稀如下图所示萍：踢点击“修改从”按钮，可申以修改上述亿信息，如下大图所示：系统时间洲在“系统时术间”下可以码查看和修改周TPN网关盛当前日期和辜时间。如下寨图所示：撞修改时间和讽日期有两种熄方式：直接得修改、与本桑机同步惜（即把本电排脑上的时间慕和日期设置扩到TPN嫁-营2G网关上偏去）装。只要选择纺相应的方式锹，点击确定臭按钮即可。管理员病在污“体管理员啊”检选项下，可粱以添加圣超级迫管理梢员、设备操伞作员、审计班员、部门管锤理员帐号击，传和修改已有喷管理员的密木码睬。如下图所仓示：超级管理员浅超级管理员佣具有最高权抵限，具有脊配置或放修改安全网经关括所有控配置信息的仗权限邮，并蜻具备守查看胞“系统监控衰”、“统计温”和生成“梁报告”的权马限垃。奏可以通过点母击“添加”再按钮或“修泥改”按钮来短添加超级旷管理员帐号裕和修改已有溜超级葡管理碑员钞码，如下图偏所示：设备操作员篮设备操作员雪具有“系统龟管理”、“婆网络配置”珠、“策略管锦理”和“用船户管理”的稍权限，不具断备“系统监社控”、“统竟计”和“报老告”的权限迅。岭可以通过点怜击“添加”铺按钮或“修垮改”按钮来还添加疗设备操作员完帐号和修改资已有操作员掌密意码，如下图男所示：审计员犁审计员具有乞查看“系统振监控”、“靠统计”和生慌成报告的权皮限，不具备撕设备的配置青权限。悦可以通过点百击“添加”胃按钮或“修条改”按钮来绩添加差审计员帐号恼和修改已有饶审计煮员密码，如摘下图所示：部门管理员窝部门管理员插具有管理本尸部门用户的很权限和监控祝本部门用户血网络行为的浸权限，不具玩备设备孙的配置权限割。赌可以通过点吹击“添加”繁按钮或“修畏改”按钮来拼添加部门管荒理员帐号和掉修改已有部弃门管理冷员密燕码。添加部乳门管理员时天，需要边选定拿该管理员管也理的部门。楼如下图所示乒：摩导入疫/趋导出立配置馅在“导入/丝导出配置”扑选项下，冬可以将系统挎的揭配置猛文件原导出风和导出逮。剧如下图所示德：终导入配置的等步骤如下：剖选择左侧“肚系统管理”押->“导入尝/导出配置勉”，在右侧浑选择“导入玉配置”，点扑击“浏览”押按钮，选择克配置文件；宪点击“确定掘”按钮。押注意：导入布配置后需重调启设备才能盗生效。在重染启之前不要仿再次保存配师置。拣导出配置的杆步骤如下：遇选择左侧“引系统管理”罗->“导入咱/导出配置每”，在右侧愁选择“导出府配置”，点救击“确定”及按钮；气在弹出的对找话框中选择涝“保存”，朱选择保存的夏路径，点击忌“确定”按煎钮。如下图滥所示：勺恢复出厂配苏置辟在“恢复出贿厂配置”下逗，可以清空风TPN-2罗G网关的配皮置数据和内郑容数据库，阅如下图所示复：交点击“清空展配置数据”躬按钮，即可均清空配置；边注意：清空真配置后，波需介重启网关才刻能生效凯，如下图：佣点击“清空必数据库”按犬钮，即可清疗空数据库。关机/重启个在“关机/孩重启”选项来下，可以关敞闭和重启设淋备。如下图冒所示：渴选择左侧“瓦系统管理”桐->“关机造/重启”，娘在右侧选择商“关机系统纳”，即可关谣机。注意：胳需等设备完闻全关闭后再筹拔掉电源。假选择左侧“峡系统管理”携->“关机郊/重启”，梢在右侧选择查“重启系统跪”，即可重谈启设备。系统升级受系统升级包肿括内核软件避升级、飘客户端升级蓄和进程库升穿级区。旗如下图所示胃：捎系统侍升级步骤如鼻下：长选择左侧“缺系统管理”城->“系统强升级”闪，在列表中羽选择“内核插升级”或“裕客户端井升级”桌或“进程库水升级”稀；盏点击“浏览涝”按钮，选网择相应的升造级文件包，欧点击“确定病”按钮；灭注意：系统轧内核文件和疮客户端文件鸡的扩展名均微为占“gz”。无注意：进程砖特征库文件坏的扩展名为掀ps；升级宏进程特征库叔后无需重启坡网关即可生解效；安达通揪公司会定期糕发布进程特塘征库；珍Licen疗se皱管理道在“Lic刺ense管蚀理”下可以殿查看当前设糠备的lic幸ense信内息路，并且可以采导入新的l浩icens翁e文件。如塌下图所示：施点击右侧列箭表中的“查穷看”链接，身可以查看当咬前lice瑞nse的信牌息，如下图盗：算点击右侧列吗表中的“导复入”链接，欺可以驳导入新Li露cense楚，如下图似：稳注意：li两cense荐文件的扩展移名为抄lic盟，导入li雕cense抵文件后争立即阔生效。集中管理顺集中管理功陡能是配合“秀安全网关网轧管系统”碌实现对网关惭的集中监控升和策略分发部的功能。屑注意：使用馆该功能必须防在已经安装猪了一台“安渴全网关网管畏系统“的前笑提下。覆开启集中管肠理的步骤如蛋下：郑在左侧树形像结构中，选斧择“系统管铁理”->“卖集中管理”翁；冬在右侧信息仔栏中选中“陷启用集中管错理功能”，床输入集中管绩理中心Ip渐，即网管服厨务器的Ip灵地址，端口搅默认为80蜡80，涛发送周期默丧认为5邮秒，输入登郑录闪名亲和蝶登陆凯密码，点击军“确定”即猫可。伤如下图：释登陆状态可船以显示出撕该安全网关对登录妨安全网关逐网管系统衡是否成功。肉注意：登录伶名和登陆密拢码在网管系新统上设定。侦关于集中管令理的详细使觉用方法，可池参考“安全打网关网管系欧统”的相关晚手册和资料斩。系统日志醒在“系统日藏志”下，可惧以查看存放申在网关里的蒙日志信息。咱如下图所示终：纳可以在上面址设置查看日侵志的过滤条其件，包括日桐期范围、级筹别、日志类约型等。热网关日志分遍为：错误、引紧急、警告晒、报告、通窑知、调试六书类；揪日志类型分周为：开管理日志、旺用户日志、莫系统日志三彼类；威胁报告赢TPN-2纵G客户端会漫向网关实时迹上报威胁事醒件报告，管压理员能够从盈网关上能够狠查询到所有纠TPN用户倚的威胁事件宽，点击左侧尿“惠系统管理着”捐中的“威胁继报告”，即政可查看到所烈有的威胁报孤告。愉通过选择导芝航栏上的鼓“时段”、蹲“级别疮”袭和“用户”机选项鸦，可以查看烈某时段某用阅户气某一类型的滴威胁报告。颈如下图：网络配置彼在网络配置结下可以网络糖相关的内容菊。工作模式鬼TPN-2四G准网关可以工垫作在路由模涛式、蔑桥模式敏或旁路模式础下，桥模式久下可以同时寿配置多组桥替。唉配置模式的患步骤如下：看选择左侧“锄网络设置妖”->“希工作模式升”，在右侧拾列表中坛选择“缎路由配置蔬”或胀“湿桥配置脏”止或“旁路配斤置”部，如下图所想示：御疗谋如果是路由烈模式，直接捆点“确定”壶按钮；臂如果是桥模颂式，点击“所桥配置蝴”按钮，添防加桥周的相关配置无，包括IP币地址、掩码废和包含接口尿，如下图所凑示：双注意：当配链置网桥后，央原接口IP技将失效，用在网桥IP地蔑址取代。巷如果是旁路孩模式，盏点击“旁路爆配置”，添榨加安全网关练的管理地址旬和默认网关同，如下图：稳注意：旁路坐模式下，安畅全网关的任踏一接属口都可以作特为监听口。速注意：工作座模式改变后混立即生效，截可能会导致必网络不通，凡配置之前需达慎重。网口配置集在网口配置焰下，可以查腾看、编辑设惊备的网口信籍息，如下图稍：隆选中接口，星点击“修改法”按钮，或顿者双击接口旬，可以修改虏该接口的参勿数，包括：基本配置闸是否启用该线接口章接口类型（愧内网、外网仰）工作模式MTU值怕接口工作模烈式隔（速率、双痕工模式）地址配置IP地址子网掩码默认网关县DHCP服袄务器奴如下图所示晕：鼓匙端口配置枪在端口配置星中，可以设兆置安全网关画的尾管理端口和扎用户认证端谨口。底TPN-2瓣G安全网关雅的管理方式凡支持htt色p和htt肠ps两种方缓式，两种管商理方式下可竿以自定义具狮体管理端口锯，费其中员方毒式的默认管犯理端口为8侵080，h惊ttps方血式的默认管木理端口为8域888争。偶TPN-2械G安全网关识的用户认证衡方式支持h竿ttp和h奔ttps两戴种方式，两捏种认证方式等下响可以自定义报具体认证端斥口，闲其中妨方打式的默认补认证因端口为80某，孙s边方式的默认偿认证快端口为44盆3荡。订修改管理端矛口和用户认形证端口的步唤骤如下：准1、拼点击章左侧“网络各配置”->盘“端口配置谱”，在右侧品列表中修改往“管理端口其”和“用户地认证端口”谎。入下图：热罚2、点瞎击“确定”沉返回，即完烟成端口修改妨。DNS配置爷DNS选项享中指定一个饲主DNS服目务器地址和嫁一个备用D圣NS服务器捏地址，用于筛网关本身对乒域名进行解该析；当安全俘网关对局域拼网内其他主犬机提供DN罢S中继服柿务时，也通制过这些设定狠的DNS服单务器进行域芹名解析。如下图：魄DDNS配商置勒DDNS即贼动态域名服锄务，为设备货在只有动态尖IP的情况远下（比如A枣DSL拨号职、DHCP疏获取地址）毛提供一个固顷定的域名，扬其它用户或北者设备可以纯通过该固定俊域名直接访肉问安全网关赔设备。秀在配置DD劫NS之前，猫需要用户预茂先为安全网自关注册一个咏域名，安全素网关支持花音生壳动态域糕名。安达通腐公司提供专改业级花生壳亲DDNS域初名。浮在“网络配沿置”->“掩DDNS配蚂置”下，开爸启DDNS引服务，输入川相关的参数吩，点击承“烛确定惜”棚即可，如下粮图所示：峰傲VLAN毫TRUNK冬在此项下进眯行Vlan星TRUN饥K的粗相关驾配置。基本配置狸Vlan脾TRUNK瓣的基本配置奏界面如下图递所示：怠双击需要开掌启TRUN辱K功能的接筑口可以进行倾开启/关闭量接口的TR摔UNK功能聪，如下图所漫示：贺状态开启后醋可以选择是科否开启子接咸口。幸如果开启子姜接口，设备倍将在该端口化下虚拟出一聚些逻辑接口狸；桌寇如果不开启胳子接口，在础下班VLA盗N范围中输弹入需要分配惊的VLAN雄范围即可。子接口倡当选择添加蚊子接口后，浮可以在子接玩口中配置子匠接口的信息遇，如下图所院示：歉点击添加按当键，可以添体TRUNK慢接口下的子未接口信息。致每天就一个玉接口，就可掏以分配一个竖VLAN司ID，如下可图所示：筋子接口配置铅成功后，可污以到网络接右口配置界面嗓配置地址或扁启用DHC殖P。予注意：糟TRUNK纤模式下，启庄用或不启用论子接口，每池个客户端获裤取到的地址顺都是不能互削相访问的！嚼静态路由配见置拴在该选项下音可以查看、送添加、删除漂、修改TP叔N-2G网富关中的静态吊路由表项居，如下图：牺点击“添加虽”按钮，在盟弹出的对话兄框中输入I赌P地址、掩喝码和网关地积址，秒点击“确定瑞”按钮，佣即完成添加膀静态路由，柔如下图所示明：董点击“修汉改”按钮，并可编辑当前俭选中的路由首表项；灭点击“删骂除”按钮，穷则删除当前酸选中的路由签表项；防火墙配置熊在此项下配犬置防火墙相染关内容。包过滤规则铃包过滤规则封用于配置防印火墙的包过躁滤策略，如愤下图所示：朋点击“添加柔”按钮，在忙弹出的对话谨框内输入包券过滤策略的质五元组莫，检和动作蹦，点击“确豆定”按钮，宪即可完成包每过滤策略的吧添加淋，险如下图所示贤：延点击“修呀改”按钮，涨可编辑当前烧选中的包过数滤策略；哈点击“删跟除”按钮，岂则删除当前恩选中的包过凉滤策略；链路配置系链路配置用雷于貌配置链路对亲象，被NA界T映射策略败引用，链路眼对象可以是债单链路，也浸可以是多链静路极，如下图所享示：惑配置链路雹对象部的步骤如下呈：铲选择左侧“挪网络配置”农->“防火挎墙配置”-轮>“链路对谱象”，在右怒侧点击“添削加”按钮，轰在弹出的对肌话框中输入旦链路名称，榴再添加链路丧，如下图所宅示：套点击“确定横”按钮。只注意：链路土配置通常用吊于路由模式期，不用于桥侨模式。疤注意：需在脏接口上的接谁口类型设置妹成外网，见才能在链路陶设置中的线艘路中被选择升，如下图：NAT映射景NAT映射豆用于配置地身址池映射（茶即多对一的凭映射），配质置NAT映义射后，可以泪提供内网用候户上网。绿配置NAT公映射的步骤纸如下：吴选择左侧“佩网络配置”岁->“防火雀墙配置”-碰>“NAT竿映射”，在鸦右侧点击“滨添加”按钮系，在弹出的磨对话框中输智入尤NAT映射杂的五元组信近息，并选择坐链路名称，笼如下图所示贤：窗点击“确定捧”按钮渔，如下图所币示：控注意：配置伶“NAT映布射”之前傲需降先在“链路翠配置”中配顶置好链路信冈息。耻NAT端口昌映射赛NAT端口偶映射即静态呆端口映射（涉静态NAP蓄T），废可以将内网感的主机的某沿一个或几个桶端口映射到垃公网IP的凑某个端口上连，通常用于务向外提供服砌务。陶配置NAT狡端口映射的疯步骤如下：庆选择左侧“湾网络配置”理->“防火馋墙配置”-薪>“NAT爹端口映射”夜，在右侧点寸击“添加”拘按钮，在弹需出的对话框究中输入NA诵T踢端口明映射的寒相关拌信息变，包括内网拔IP地址、蜡端口、转换乖后端口、协盏议祸，并选择警外网接口微，如下图所改示：守点击“确定循”按钮，如顷下图所示：策略管理券在策略管理阻下可以配置叠TPN-2士G网关的各唤种策略和参紫数。网段认证纹网段认证用挡于配置策略胞起作用的I载P范围和该委段IP的认豪证方式。怕认证方式是拣指：如何确凑定IP地址煤和用户的关鲁系，目前支帜持的跌认证方式包稻括：MAC识别意用户上网时柔，根据数据纯包里面的源读IP写地址并通过俗各种技术手勇段探测到该重用户实际使配用的姻MAC文地址，和用腐户信息里面抱的辈MAC前地址比较一痒致的就认为退是该用户的抛数据，记录壶其现使用的优IP违地址并登记胃为在线用户常此管理方式签主要针对局扩域网用户采熔用动态庙IP垃地址的管理呼形式。IP识别脊用户上网时凶根据数据包此里面的源I傻P地址跟用核户数据库里问面的IP地验址进行比较邮，一致的就纤定位目前数栗据包里面包咳含这个IP袭地址就是该该用户的数据椒，记录其现巧使用的IP形地址并登记鸦为在线用户粪。此管理方胖式主要针对殿局域网用户剥采用固定I彻P地址的管纯理形式。手动识别滨通过用户手桂工输入用户吐名密码，或热其他方式来要确定用户身粪份，一旦认塑证成功，即提把该IP与碎该用户对应斜起来，直至微该用户下线标。青配置网段认叠证的步骤如韵下：咱选择左侧“参策略管理”帐->“网段贤认证”，在障右侧点击“它添加”按钮搞，在弹出的饿对话框中输帆入认证网段体的IP范围桐，和部门，队以及认证方塞式，如下图什所示：密点击“确定恳”按钮，如斜下图所示：认证服务器纵“认证服务掘器”选项用滚于第三方认姻证服务器认谦证时使用。抵目前丽TPN-2纹G支持袭的第三方服艘务器惠包括卫AD、LD走AP、Ra脂dius三你种。尘添加“认证帜服务器”的画步骤如下：闹选择左侧“旅策略管理”宝->“认证稿服务器”，倾在右侧点击切“添加”按腊钮，在弹出钢的对话框中殖输入第三方绑服务器的相童关参数如下掉图所示：映点击“确定鼓”按钮，如辨下图所示：对象管理菠对象管理用彻于配置时间效对象和网站普分类对象。时间对象仍时间对象孝描述了一个约个时间段的局集合，暂被痛策略引用，开用于指定该免策略的生效咏时间。赛设备缺省内乱置一个“所译有时间”。丧添加时间对正象的步骤如聚下：仓选择左侧“左策略管理”目->“对象翼管理”->奇“时间对象愤”，在右侧谅点击“添加灶”按钮，在下弹出的对话杀框中输入鞠时间对象的备名称贞，并选择具哑体的时间段尽，谣如下图所示仆：击点击“确定烤”按钮，如父下图所示：宴注意：趁每个时间对沃象中轻最多只能支添持两个时间傻段。毫网站分类对瓦象后网站分类对桨象用于描述狼网址库中的筑若干网站的离集合，被网茅页控制策略猛引用，用于例对网址的清审计和性控制。哈网站分类对汗象恩配置北分为两类：熔网站分类对生象和自定义玩网站分类对局象圾。在添加网站分坊类对象的步蛛骤如下：持选择左侧“甚策略管理”亦->“对象悬管理”->追“网站分类漏对象”，在境右侧住上方“网站逮分类对象”岗栏中忠点击“添加哗”按钮，在跃弹出的对话静框中输入迫网站分类即对象名称，荒并选择具体亏的返网站籍，如下图所伞示：妻点击“确定蜻”按钮，如矮下图所示：兔添加自定义锅网站分类对蜓象的步骤如寇下：卡选择左侧“沟策略管理”梢->“对象搅管理”->健“网站分类葡对象”，在授右侧诸下血方“娱自定义直网站分类对劝象”栏中点翠击“添加”旁按钮，在弹柿出的对话框领中输入我自定义饶网站分类对忙象名称，直并面重复侨点击“添加捏”按钮这，输入自定独义网站的关杨键字亦，晋如下图所示掏：浩点击“确定吩”按钮，如弊下图所示：陆注意：网站共分类对象中块可以包含自穗定义网站分香类对象。应用控制津在“应用控菜制”中可以昨配置对用户添进行应用控扬制的策略。闹TPN-2煌G通过对网丰络上端口的却控制和协议在的识别，能皆够对各种网萝络应用实行沫阻断和放行疗的控制。弦对应用的控甜制那在扇一定程度上度依赖于网关爷中的协议特星征库。样配置应用控望制策略的步秧骤如下：蝶选择左侧“伯策略管理”蚀->“应用宅控制”，在颂右侧点击“缴添加”按钮蓝，在弹出的押对话框中输集入策略名称或、描述范；鬼选择用户、谷生效时间、王操作，并将济要控制的应由用从左侧列扁表选择到右灵侧列表，如闷下图所示：赖点击“确定懒”按钮，如莲下图所示：白注意：对于技被阻断的应僚用，可以在阅“系统监控壁”-四>裹“上网监控歼”-油>遥“当前阻断丈”怨和誉“系统监控劳”-红>绳“历史信息鸣”-灯>绕“阻断日志将”践下查看。内容过滤焰在“内容过晒滤”中可以帆配置对用户牺某种应用的侍关键字进行逗过滤的寨策略。阻TPN-2玻G半安全网关译通过对网络盆上宴传输数据的叔分析，能够差在基于尤“用户泉”、“时间该”和“应用峰类型”的条伏件下涨对设定的关迈键字进行过乳滤。胁配置挽内容过滤额策略的步骤青如下：擦选择左侧“留策略管理”耗->滨“内容过滤望”，在右侧辫点击“添加灶”按钮，在隔弹出的对话蒜框中输入策绿略名称、描隔述；版选择用户、仿生效时间坛，换在“关键字宇”对话框中貌输入要过滤蓝的关键字，搁并将揪相应的应用海或全部应用纽从左侧列表床选择到右侧妹列表，如下但图所示：糠点击“确定蔽”按钮，如询下图所示：私注意：对于算被过滤的关奔键字信息荐，可以在“欺系统监控”杯-立>畜“上网监控烘”-渡>逃“当前阻断码”想和蝶“系统监控捉”-运>哲“历史信息站”-户>闷“阻断日志俊”下查看。网址控制阅在“网址昆控制”中可棍以配置对访蒜问网站的控极制策略。下取面包括“益网址库策略楼”和“网页典搜索策略”涝两个子项逗，分别用于教对网址的控临制和搜索关挥键字的控制娱。网址库策略画对网站的控饶制可以根据滨设备内置的腰网址库分类喘进行配置，瞒管理员也可症以自定义网端址库后，被在策略引用。令配置网页控卧制策略的步巷骤如下：牧选择左侧“扫策略管理”狐->“网页策控制”->窗“欢网址库策略柳”，在右侧沈点击“添加酬”按凝钮，在弹出删的对话框中义输入策略名坝称、描述；乎选择用户、址生效时间、结控制蹈，并蝶选择哥要控制的网愤站分类对象普（在“策略毫管理”->糟“对象管理东”->“网派站分类对象鹊”中定义）严，如下图所蛛示：权点击“确定旗”按钮，如搂下图所示：枣注意：只有锅在胃网址库策略是中配置了允扑许策略，才俗能在接“系统监控喇”-哥>享“上网监控涝”-雕>祖“网站访问短”迷中看到网站乌记录。因此零通常建议休将默认生成晶的雄“允许衰所有网站绒”勇的策略，放男在最后一条求。华注意：当有楼用户访问了悟策略禁止的涛网站，可以绵在策“系统监司控”-圣>孝“上网监控限”-栏>浪“当前阻断工”着和船“系统监控柳”-粱>户“历史信息贩”-赖>掠“阻断日志得”下查看卫到相关内容支。恒网页搜索策躁略惨通过网页搜援索策略，可绿以控制是否书允许搜索某春些关键字，四和记录哪些埋搜索内容。搂配置网页控缺制策略的步折骤如下：别选择左侧“潜策略管理”黎->“网页庙控制”->轻“网页搜索慰策略”，在掌右侧点击“幸添加”按钮基，在弹出的绕对话框中输先入策略名称刮、描述；菊选择用户、爪生效时间，朗输入关键字岸（多个关键醋字用序英文输入法但下的逗号松隔开）膏，并选择要备控制摘策略我，生控制策略包嫌括“记录”省、“禁止”探和“禁止并大记录”，哄如下图所示龙：浮点击“确定肆”按钮，如持下图所示：骨注意：种和迈网址库趣策略相同，初只有配置了菊相关关键字垮“记录”策泉略韵，才能在继“系统监控棕”-弯>俱“上网监控连”-叛>啄“必搜索引擎卷”尼中看到网站舌记录。因此阔通常建议束将默认生成钱的“允许所圆有”吩记录任何搜缺索关键字的起策略混（输入关键究字为*即可耳）讨，放在最后旁一条吐，如下图：乱注意：目前纳只支持百度夺和谷歌两种贼搜索引擎。应用审计祖在应用审计遗中可以配置聪对用户上网宿内容的审计津策略。停应用审计策史略包括4项纲：发贴审计贞邮件接收审垒计弟邮件发送审纺计MSN审计神配置应用审蓄计策略的步垒骤如下：习选择左侧“壳策略管理”惧->“应用召审计”，在牵右侧选中一妙类要配置的奉策略，点击置“修改”按附钮或双击该悲策略，在弹村出的对话框姓中选择要生墓效的用户、脏生效时间，冈并选择相关敌的参数，如蔽下图所示：捎点击“确定同”按钮，如幅下图所示：莫注意：对于较WebM叫ail，只旋能审计到发沾送，无法审亚计到接收。呼目前Web析Mail墨只支持雅虎雀邮箱、网易驰163邮箱布、网易12赴6邮箱和新挨浪邮箱四种暴。流量控制材在流量控制弊中可以配置旅流量控制策箭略。妙流量控制策童略茧通常食分为用户流起控和应用流跨控两种。倒带宽通道对丈象原配置流量控沉制策略之前泼需要先哪配置带宽通良道对象，磁用于被毯流量控制策钳略引用。篇带宽通道参众数说明如下析：通道类型：湾独享动态通政道：逆对引用该些类型史通道的用户妈实行动态流裤控，帝动态流控功旗能可以自动翻识别大流量返下载的用户押，对其进行肯限制带宽，怨从而保证正海常上网用户照的带宽，达派到一个上网睡流量的均衡抛。挽该类型通道眨只能在用户庄流控中使用细。慈目前该类型竖通道只能被乒用户承策略引用。右独享静态通梁道：惠对引用涨该挪类型残通道的用户洁实行泡带宽保证和易限制，即确启保该用户可号以使用这个铅带宽，但也野不可以超过县。土目前该类型景通道只能被幸用户赚策略引用。骤共享静态通秆道：丝对引用该类布型通道的用扭户，共享一动个设定的带烧宽，不可以卷超过该设定眠的带宽。天目前该类型仔通道只能被有P棋2P应用流返控策略引用端。鹊检测时间：僵只用于户独享动态通练道反，企指检测大流完量的雾时间居间隔吩，通常保持既默认值即可码；殊优先级：库用于设定通板道的优先级定，分为8个汗优先级，从布1到8，优点先级8最高厘；斯上行最大流杨量：雅确保和限制六的最大上行争带宽；幕下行最大流卸量：心确保和限制裤的最大下行炎带宽；长配置带宽通歼道对象的步抗骤如下：锐选择左侧“端策略管理”捡->“瘦流量控制灰”似->“带宽臣通道对象”北，在右侧点肯击“坊添加搭”按钮，在椅弹出的对话罪框中选择罗通道类型、沾和其他滤相关的参数执，如下图所举示：散点击“确定富”按钮，如望下图所示：应用流控埋应用流控贺是辽用于对甚所有耍数据流进行烦基于应用识己别的流控。颈配置应用流快控的步骤如傲下：哈选择左侧“墙策略管理”坐->“流量氧控制”->头“应用流控梨”，在右侧匙点击“添加题”按钮，在善弹出的对话贷框中选择柏要生效的用六户、生效时朝间，并多在相应的应垄用上选择要赚引用的通道储，斜如下图所示溉：咳点击“确定乌”按钮，如娇下图所示：皂用户流控策刻略泪用旱户流控策略落是以袖用户涂或用户组茅为怪限定对象的笨流量控制狐策略。迈配置用户流湿控策略的步欲骤如下：亲1、选择左亏侧“策略管脏理”->“举流量控制”收->“用户升流控策略”誓，在右侧列从表中点击“速添加”按钮楚，在弹出的增对话框中输码入名称、描冷述；选择要祸进行流控的舌用户、生效闸时间；选择索设定好的通批道。如下图转所示：蚀2阴、点击“确姨定”按钮，势如下图所示肾：拥注意：添加为了用户流控低策略后可以副在“用户管哄理”->“锻组织结构”沈->“用户多组”下仿对应仅的用户属性述中查看引用胁的用户流控中策略。主机策略读专主机策略最是配合赤CS客户端难用户的蚂策略，丛其中可以设旷置主机风险楼评估等级、规进程库管理户、非法外联买、补丁更新诊、虚拟VL闹AN和全局号配置。愈主机风险评体估等级刮主机风险评就估等级请是对撇“进程蜜管理”含、柜“杀毒软件励”坐、屿“防火墙”扭、“晕补丁更新”说、抓“应用审计光”、董“虚拟VL走AN”、“损非法外联诸”损等全网行为搅管理功能的衣一个归医纳，管理员定可以把上述塔每种功能权购限的不同配石置组合为一尸个等级，供暑部门或用户由引用。跟设备出厂默糊认添加了“锦高”、“中衰”、“低”做三个主机风员险评估等级升，预置了相战应的一些功秘能配置，对桥应着相对较袖紧、中等和舰宽松的控制刚策略。近添加、修改音“主机风险真评估等级”忧的步骤如下客：冈选择左侧的玉“主机策略胃”->壶“主机风险石评估等级”源；晌点击“添加燥”按钮（如魔果修改配置横，点击“修射改税”按钮），泥在弹出的对密话框中输入摊名称，在每承个页签中选销择是否开启堵每个权限功贺能，并对相牌应的权限进粗行设置；曾点击“确定懂”按钮；头如下图所示纲：忽每个功能的问具体配置将雨在下面详细糊介绍。进程控制瓶进程控制该包括威胁进据程和禁用进今程梢：胶威胁进程包给括：木马、能安全扫描、辉嗅探、蠕虫谋、流氓软件堪等；朽禁用进程包葱括：远程管穷理、P2P挑下载、聊天呼、网络游戏摘、股票分析跑软件、代理屡软件等；扇可以点击左浇侧的“桐主机策略”卧->“进程蜻库管理”击来查看这些勇进程名称；楚所有这三类孟进程特征均怠存放在网关营的进程特征匆库中，更新粉进程特征库氧的方法请参劈照“系统升配级”部分。技进程控制丈功能的具体幼配置步骤如恋下：兴选择左侧的恰“美主机策略”渔->郊“主机风险帽评估等级”吓，选择相应乖的等级，双胁击、撤或者点击导叉航栏上的“涌修改糟”按钮；匪在弹出的对沟话框中选择幸进程类别和脖子类别，选丹中相应的进侦程（可以通泛过按住sh漫ift键来面多选），选友择对这些进闯程控制生效棉的时间表（壮时间表配置燃参考微“策略管理汇->“对象啦管理”->搅“时间对象拌”），点击拿右侧的执行扯策略。溪点击“确定迈”。醉进程控制默执行策略的今说明：兄报告：把检测到该进许程后，在“槐威胁报告”胀中记录，但抄允许运行；杠禁止应用：矛检测到该进义程后，强制膜结束此进程丘，并在客户冬端弹出气泡豪提示，同时蚂在网关“威碧胁报告”中礼记录；脚禁用帐号：龙检测到该进健程后，对呜登录的阴帐号飞禁用一段时轰间，具体禁驾用时间参考蓝“组主机策略”舞->“全局酷设置”慌里的“帐号暖禁用”选项筑；蜡不检测：外对该进程不结检测，此进藏程的特征库幼不会下发到鬼客户端，运遥行此进程不谎会在“威胁跑报告”中记冷录；心禁止登录：运只有在“强太制进程”中拨才有用，当析某进程选择肌了“禁止登纺录”后，没遗有检测到该僵进程的用户迎无法登录，昌并在客户端柳给出相应提贺示。准入控制投准入控制主肤要用于对丢接入内网的鬼主机进行全嘴面的主机安刮全评估，如壤果发现主机着上存在安全玩威胁或未阔达到该接入加网络要求的笑安全级别（扬如：没有启各用杀毒软件宋、防火墙、惩杀毒软件没驰有及时更新法病毒库沟、操作系统勤未按规定打催补丁弄等），则不强允许该主机绍访问外网炮或限制其对棉内网的资源太访问。旦杀毒软件检鼠测文杀毒软件检妥测是指在T未PN坏-2G肾用户登录时迈对主机上的掏杀毒软件进餐行检测，未宁安装指定杀脖毒软件或者剪病毒库过期本的主机无法爽登录，并在深客户端给出弟相应提示。枯配置步骤如岂下：税选择左侧的害“主机策略劝”->是“主机风险移评估等级”俘，选择相应志的等级，双盈击、或者点池击导航栏上舱的“属性”剧按钮；前在弹出的对箱话框中选择基“准入控制驾”部->“杀毒乡软件”挥页签，选择昼方式为“任悼意杀毒软件胆”、“以下害任意一款”土（当选择为葡“以下任意于一款”时，穗需在下面列要表中选择相应应的杀毒软太件名称）。齿点击“确定裳”按钮；饥如下图所示敲：犁检测方式说聋明：阁任意杀毒软袭件毙：距当操作系统阅为WinX京P或着为V役ista时泛，只要安全坛中心未弹出钓杀毒软件的堵安全警报，浅即认为检测趟合格，否则启认为不合格功；这种方式堵下既检查杀晓毒软件运行藏状态，也检足查病毒库是书否过期；帆当操作系统阀为Win2怖000或W察in200我3时，只要张检测到本地狗运行的杀毒婆软件进程特恶征符合进程桑库中的任意腾杀毒软件特绑征，即认为再检测合格，撒否则认为不密合格；这种筐方式下仅检最查杀毒软件暮运行状态，舟不检查病毒庄库是否过期扣；脖以下任意一径款鉴：邻当操作系统炕为WinX狭P或着为V既ista时润，在安全中杜心未弹出杀奏毒软件的安妥全警报的前氧提下，同时洞运行的杀毒视软件在选择逐的杀毒软件蹦列表中，即跃认为检测合前格，否则认游为不合格；畜这种方式下表既检查杀毒毙软件运行状川态，也检查专病毒库是否救过期；劈当操作系统凯为Win2盒000或W钢in200脂3时，只要伍检测到本地赔运行的杀毒搜软件进程特抓征符合选中城杀毒软件任践意一款的特呜征，即认为怠检测合格，扣否则认为不激合格；这种拦方式下仅检切查杀毒软件墙运行状态，赠不检查病毒瘦库是否过期猾；蹄不检测：丢即为关闭此翅功能；操作说明：泪禁止登录健：东选择“禁止妇登录”后，姓当拘客户端主机鉴不符合杀毒顶软件的准入竿条件，禁止宏该用户登录磨TPN，并陵在右下角弹粉出气泡提示喜；升仅提示厨：双选择“支仅提示布”后，当逢客户端主机保不符合杀毒狗软件的准入仔条件，仍然健允许该用户枣登录TPN奏，但在右下样角弹出气泡神提示；狭气泡提示如敌下图：防火墙检测暂防火墙检测纠是指在TP鼻N鲜-2G书用户登录时道对主机上的才个人防火墙涂进行检测，朋未安装指定迈防火墙的主于机无法登录落，并在客户更端给出相应层提示。象配置步骤如盐下：名选择左侧的告“主机策略绣”虏->策“主机风险舌评估等级”贪，选择相应奥的等级，双扯击、或者点路击导航栏上抖的“属性”浓按钮；梢在弹出的对怖话框中选择版“准入控制敢”穿->“防火摊墙”声页签，选择希方式为“任倍意防火墙”诊、“以下任熟意一款”（朴当选择为“判以下任意一只款”时，需作在下面列表点中选择相应扮的防火墙名妻称）。哭点击“确定默”按钮；群检测方式说魄明：汗“任意链防火墙浓”：秧当操作系统涌为WinX思P或着为V有ista时厘，只要安全烛中心未弹出糊防火墙的安甲全警报，即榜认为检测合坑格，否则认捆为不合格；闸当操作系统植为Win2脆000或W言in200易3时，只要涉检测到本地影运行的防火歌墙进程特征组符合进程库贼中的任意防宾火墙特征，渴即认为检测谢合格，否则谈认为不合格顾；匙“以下任意悔一款”：毁当操作系统欣为WinX白P或着为V铺ista时融，在安全中若心未弹出防签火墙的安全找警报的前提幻下，同时运狠行的个人防龙火墙在选择读的防火墙列掩表中，即认赵为检测合格男，否则认为消不合格；即当操作系统沟为Win2趣000或W坝in200洽3时，只要缘检测到本地俯运行的防火冒墙进程特征拆符合选中防嫩火墙任意一贞款的特征，摄即认为检测渠合格，否则朝认为不合格劣；骂“不检测”绪：骤即为关闭此顽功能；操作说明：骄禁止登录回：趣选择“禁止饥登录”后，假当挪客户端主机搜不符合防火苗墙的准入条顿件，禁止该鲜用户登录T膏PN，并在坝右下角弹出杜气泡提示；诉仅提示觉：筋选择“允仅提示懂”后，当算客户端主机崇不符合防火骆墙的准入条锈件，仍然允烫许该用户登工录TPN，贱但在右下角狐弹出气泡提糕示；强制进程激强制进程包替括：一般为核用户自定义箩的必须运行幼的软件。吸可以点击左瑞侧的“主机技策略”->恳“进程库管曲理”来查看乘这些进程名反称；诊强制进程特帽征文件与禁姻用进程文件束和威胁进程赠文件均存放盛在网关的进能程特征库中侄，更新进程晕特征库的方秋法请参照“佳系统升级”姿部分。揪强制进程功防能的具体配关置步骤如下撇：艘选择左侧的松“主机策略夺”->“主阀机风险评估浩等级”，选冈择相应的等忆级，双击、发或者点击导睛航栏上的“邮修改”按钮努；垃在弹出的对抓话框中选择讲“准入控制沃”->“胖强制进程”网，选中相应岛的进程（可偏以通过按住湾shift横键来多选）讨。孕点击“确定肺”。如下图顿所示：予检测方式说素明：圾“以下任意艳一款”：铜当操作系统见为WinX牵P或着为V薪ista时偿，在安全中罚心未弹出防乎火墙的安全盗警报的前提卧下，同时运屈行的个人防富火墙在选择窝的防火墙列疏表中，即认践为检测合格携，否则认为沈不合格；拜当操作系统露为Win2贴000或W消in200壁3时，只要娃检测到本地千运行的防火满墙进程特征卷符合选中防吐火墙任意一总款的特征，滑即认为检测券合格，否则艺认为不合格殊；嫂“不检测”刻：丘即为关闭此器功能；操作说明：蓬禁止登录邮：哄选择“禁止帽登录”后，宝当诚客户端主机竭不符合防火词墙的准入条颤件，禁止该讯用户登录T伯PN，并在舟右下角弹出哈气泡提示；补丁更新室详细配置请施参阅娱绑章节应用审计茫应用审计主当要是对QQ致聊天内容审馅计，配置步宵骤如下：脏选择左侧“狡主机策略”罢->“主机章风险评估”摇选择相应的援等级，双击蓝、或者点击沟导航栏上的愉“修改”按溪钮；轿在弹出的对浑话框中选择泪“应用审计榜”页签，选茄择“开启祖应用审计”姻，选中“Q倘Q”。如下埋图所示：穗点击“确定象”按钮。蕉注意：QQ虾审计内容可筐以在“系统乎监控”->巩“上网监控妨”->“即洋时通信”中甩查看。典虚拟VLA环N希详细配置请匹参阅晨铸章节非法外联类详细配置请达参阅番居章节进程库管理链在“进程库残管理”中，宜可以查看安亏全网关当前寻进程特征库针中的各种进般程名称、分守类。机在“进程库下管理”中可坚以“开启”能或“禁用”谢进程特征库宏中某进程文稀件。排配置方法如且下：用选择左侧“摧策略管理”床->“主机姜策略”->模“进程库管提理”，通过狂进程类别选阵择想要开启浸或禁用的进估程，点击右仅上角“启用验进程”或“庸禁用进程”懒即可。如下忌图所示：非法外联库通过正常网魂络访问途径虽以外的方法拦与其它网络缝、主机通信捏被视为非法令外联。迁简单来讲，弦更改主机的贝默认网关即缎被认为非法炒外联。允许富的默认网关寺即“信任网厘关”。泰“非法外联泛”功能依赖赌于自“信任网关允”列表，势客户端上的沉“非法推外联代”功能确保矮主机的默认狸网关只能设菠置为“信任铺网关”列表壮中的任意一今个IP，否将则将删除主凡机上的默认肚网关。羊配置非法外擦联的步骤如洁下：牌在左侧稿“脆主机策略摩”礼->灰“非法英外联慰”咏下，点击导逗航栏上的“摸添加”按钮齿，添加信任特网关，如果三信任网关列忧表已经存在季则无需添加骨；考点击导航栏唯的“属性”王按钮，躬选中“启用虽非法外联控仰制”，零点击“确定乱”辈，如下图：宋在主机风险邻评估相应的情等级下口点击“非法丰外联”页签圣，饭选中“非法钩外联日检测”，并疫选择相应的票控制策略，熊点击“确定砍”按钮。镇控制策略可鲁分为“报告药”和“阻能止”，伯“报告”是陡指检测到非卸法狡外联砖后，在主机饭端提示并在遭网关上记录规；“阻止”激是指检测到业非法晴外联久后不仅提示渣和记录，并乘阻断非法柔外联盒的通信。共注意：只要孔检测到主机恰的默认网关镇为“信任网炼段”列表中膨的任意一个评IP，即认翁为检测合格钩；仪注意：TP蒙N网关的各棋接口地址默悄认加入到“惯信任网段”收列表，因此会通常路由方链式部署时无慎需额外添加拔“信任网段趁”列表，而应透明方式部具署时需要手培工添加“信圈任网段”列烟表；灾注意：构非法外联功滔能当TPN弟客户端离线贷时也起作用同，因此间对于秃允许禁经常移动天上网的肌笔记本小电脑企用户，驳不应启用箱非法外联篇功能，否则疮会导致更换闻上网环境后跑无法上网；补丁更新道TPN-2觉G的补丁更丙新功能，可晋以把用户的羽补丁情况作幼为一个准入跑条件，来控脉制是否允许戒用户接入网描络，以及给湾予明确的提螺示；私同时，该功歇能可以设置钩用户计算机拐的补丁服务摸器为默认微摘软补丁服务剧器或手工指悔定一个本地候服务器，如劝果采用手工障指定本地服私务器的方式羊，需要在用捧户内网突安装一个丧W后SUS服务犯器，并将乡W珍SUS服务馅器的地址设鼠置到TPN奏系统中隙。伙开启并配置勺补丁更新功玩能的步骤如幼下：撇选择语左侧侮“主机策略商”唤->醉“顺补丁更新迁”指，在右侧列暴表中选中“杂开启补丁更幅新”，并选近择采用Wi以ndows宜默认的补丁郊服务器还是舒手工指定一之台补丁服务讽器，如果手狼工指定，需旗要输入该服配务器的地址训，如下图所谢示：基点击“确定伐”按钮；健在主机风险市评估相应的参等级下洽点击“准入因控制”->欠“补丁更新烘”页签，乘选中“呈补丁更新壳”旱，配置准入触分值（默认末为80分）险，选择操作渔策略为“禁瞒止登录”或杠“提示”抵，端如有必要，久输入“必须老安装补丁”秧的编号或“胳可以排除的络补丁”的编典号点，如下独图：泪点击“确定岩”按钮，艳准入检测具奇体说明如下妹：蹦准入总检测厌的猾分值算法：帖补丁检测准疼入检测分值贸初始值为1即00分，当忌检测到缺少言一个“紧急便”类型的补铜丁，就扣5像分；当检测趣到缺少一个波“重要”类选型的补丁，船就扣3分；骗缺少其他类雷型的补丁不我扣分。最终滴的分值如果铸小于准入分提值，则为不作满足准入条涨件；如果大掉于准入分值骡，则认为满联足准入条件捧。束必须安装补采丁：氧如果检测到慰未安装的补岛丁在“必须谁安装补丁”辨列表中，则胜准入分值无唉条件为0分骑。桑可以排除补菌丁：演如果检测到等未安装的补即丁在“可以问排除补丁”饱列表中，则陶不论该补丁挂为何种类型药，均不扣分澡。检虚拟VLA星N鸣“虚拟VL涝AN”功能庄可以控制安筑装了TPN连-2G客户芝端的主机只渣能都在线时拐才能互相访妙问，进而控身制到只允许所同一组内的低在线用户之扔间互相访问敲。愧当“虚拟V那LAN”功丸能开启后，玉不在“信任柄MAC”列刑表中拿的主机对酬“信任MA番C”列表中将主机胃的访问被须TPN客户析端阻断，从挡而起到在内抓网建立一个忆逻辑VLA鉴N的效果。假“虚拟V蛋LAN”功始能依赖于“禽信任MAC添”列表，便列表途中坝的MAC鼓地址炕组成一个信幻任域，“非陈法接入”功野能确保只有韵信任域内的泄主机（进而摧可控制到信壶任域内同一碧用户组内的沙主机）才能现相互通信。吐“祸信任MAC郊”的来源分足为客户端自定动提交和管均理员手工配燕置，分别对卧应为动态和吵静态。拘动态信任M递AC是由客黎户端自动提棍交网关，同淋时还提交该触MAC的主顺机最近使用单的IP地址竭、主机名和循最后一次更私新时间骗；罢静态信任M机AC由管理筛员添加，通需常是无法安桐装TPN客锅户端而又需药要和在线主给机互相通信迈的那些服务乞器或者网络读设备（比如伤Linux萌主机或路由表器等等）。镜添加静态信翅任MAC可哑以从“网络乱设置”高－》桨“ARP表质”中选中要再添加的MA歼C，点右键钱，选择“添容加到信任M石AC表”，挡点确定按钮比即可，如下族图所示：凉可以点击谎“权限对象虫”－》“主逆机风险评估纯等级”－》狠“废虚拟VLA训N临”气查看信任A霸MC列表：提配置虚拟V徐LAN的步伏骤如下：淋在左侧的“矩主机策略座”挨->壮“并虚拟VLA站N社”下，点击躬导航栏的“六属性”按钮换，选中“启施用策虚拟VLA咸N班控制”，点臭击“确定”坝。连在主机风险晴评估相应的哀等级下缘点击“虚拟元VLAN”油页签，语选中“殖启用虚拟V课LAN旧”东；在下面的吃“离线控制后策略”选项顿选择“控制欣”或者“不迷控制”；点永击“确定”晴按钮；倍“离线控制鱼策略”是指犯配置TPN氏客户端在不登登录的的情夕况下，是否浪允许与其他触主机通信。凑如果选择“柜控制”，在址未登录状态轻下，无法与旨任何其他P房C