DCN神州鲲泰DCBC-netlog 配置手册

DCBC-NetIog

配置手册V2.1

2021.12

录

第1章产品概述7

1.1图形界面格式约定7

1.2环境要求7

1.3接线方式7

1.4登录设备8

1.5刷新/保存/注销9

1.6密码恢兔9

第2章设备状态10

第3章实时监控12

3.1设备资源12

3.2物理接口13

3.3服务监控14

3.3.1服务趋势图14

3.3.2服务组趋势图14

3.3.3活跃服务统计15

3.3.4所有服务统计15

3.4用户监控16

3.4.1流量分析16

3.4.2活跃会话17

3.5实时攻击日志17

3.6待处理风险18

3.7在线用户19

第4章系统对象21

4.1网络服务21

4.1.1自定义普通服务21

4.1.2自定义特征设别22

4.1.3自定义论坛/网评特征23

4.1.4协议剥离24

4.2URL库25

4.3地址簿26

4.4时间计划27

4.5关健字组29

4.6文件类型30

4.7域名组31

4.8位置31

第5章网络配置33

5.1接口配置33

5.1.1物理接口33

5.1.2网桥34

5.1.3链路聚合35

5.1.4VLAN接口36

5.2安全区域37

5.3配置IP地址39

5.4链路对象40

5.5静态路由41

5.5.1IPv4静态路由41

5.5.2IPv6静态路由43

5.6策略路由44

5.6.1IPV444

5.6.2IPv651

5.7OSPF路由59

5.7.1网络配置59

5.7.2接口配置60

5.7.3参数配置61

5.7.4虚链路配置62

5.7.5信息显示63

5.8R1P路由66

5.8.1RIP网络配置66

5.8.2RIP接口配置66

5.8.3RIP参数配置67

5.8.4RIP信息显示68

5.9DNS配置69

5.9.1IPv4DNSnCfi69

5.9.2IPv6DNS配置69

5.10DDNS配置70

5.11智能DNS71

5.11.1全局配置71

5.11.2线路配置72

5.11.3均衡策略73

5.11.4DNS策略74

5.12ARP表/邻居表77

5.13DHCP配置78

5.13.1基本参数78

5.13.2DHCP中继79

5.13.3已分配IP80

5.14DHCPv680

5.15代理配置81

5.16IPSec84

5.16.1IPSec隧道84

5.16.2IPSec规则85

5.17PPTP86

5.18L2TP87

5.19VPN用户88

5.20SSLVPN89

5.20.1SSL设置89

5.20.2SSL用户90

第6章防火墙91

6.1安全策略91

6.2应用控制策略93

6.2.1URL过滤94

6.2.2关键字过滤95

6.2.3文件传输过滤97

6.2.4邮件过滤98

6.2.5SSL管理101

6.2.6其他类102

6.3NAT规则103

6.3.1内网代理104

6.3.2一对一地址转换106

6.3.3端口映身寸107

6.3.4服务器池108

6.3.5Nai66109

6.3.6Nat64115

6.4ARP欺骗防护119

6.5加速老化121

6.6DOS/DDOS防护122

6.6.1DOS/DDOS122

6.6.2对外攻击防井127

6.7白名单管理128

6.7.1IP白名单128

7.7.2URL白名单130

第7章IPS132

第8章病毒防护136

第9章服务器防护138

9.1服务器配置138

9.2WEB应用防护139

第10章流量管理143

10.1线路带宽配置143

10.2基于策略的流控143

103基于用户的流控148

第11章用户认证151

11.1认证策略151

11.2组织管理154

11.2.1组织结构154

11.2.2批量导入176

11.2.3LDAP/AD导入177

11.2.4扫描内网主巩180

11.2.5Dkcy管理182

11.3认证选项183

113.1跨三层MAC识别183

113.2认证参数184

11.3.3终端提示页面定制186

11.3.4未认证权限191

11.3.5SSO192

11.4认证服务器199

11.4.1RADIUS服务器199

IL4.2AD服务器200

11.4.3LDAP服务器201

11.4.4POP3服务器202

11.4.5PORTAL服务器203

11.4.6第三方服务器/SMP服务器204

11.4.7服务器测试206

11.4.8微信认证207

11.5短信认证213

第12章系统配置217

12.1系统维护217

12.1.1系统升级217

12.1.2自动升级219

12.1.3备份与恢复220

12.1.4重启/关机220

12.2系统管理员221

12.2.1系统管理员221

12.2.2角色管理223

12.3网管策略225

12.4网管参数226

12.5网络工具227

12.5.1Ping227

12.5.2TraceRoute228

12.5.3Ping6229

12.5.4TraceRoute6230

12.5.5捕获数据包231

12.5.6查看数据包232

12.6日期/时间232

12.7系统信息233

12.8邮件配置234

12.9集中管理235

12.10SNMP服务器236

12.11调试信息下载236

第13章系统日志236

13.1命令日志237

13.2事件日志238

13.3PPTP/L2TP日志239

13.4IPSEC日志239

第14章报表中心241

14.1报表中心配置241

14.2内置报表中心242

第1章产品概述

1.1图形界面格式约定

格式描述

[]代表菜单或子菜单名称

代表WEB网管配置路径：如【系统对象】〉【地址簿工表示“系统对冢，菜单下的“地

>

址簿”菜单

<>代表窗口中的选项或按钮名称

1.2环境要求

设备系列产品可在如下环境使用：

•输入电压：220〜240V

・温度：0〜40℃

・湿度：5〜90%

・电源；交流电源100V~240V

为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的

空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求。

提示：

1、保证设备工作在建议的环境要求内，否则可能导致设备损坏或提早老化,

2、设备良好的接地可以有效避免雷击。

1.3接线方式

请按照如下步骤进行设备的接线：

1.在后面板电源插座上插上电源线，打开电源开关，前面板的Power灯（绿色，电源指示

灯）和STATUS/HDD灯（红色，告警灯）会点亮。大约1-2分钟后STATUS/HDD灯熄灭，说

明设备正常工作。

2.用标准RJ-45以太网线将L3-LAN区域网口与内部局域网连接。

3.用标准RJ-45以太网线将L3-WAN区域网口与Internet接入设备相连接，如路由器、

光纤收发器或ADSLModem等。

4.网桥模式：网桥接口相当于普通的交换接口，不需要配置IP地址，不支持路由转发,

根据MAC地址表转发数据。每个桥之间是独立通信的，桥之间不能传递数据。

5.路由模式：可以接入多条出口线路，每个端口之间在策略允许的情况下可以通信。

6.旁路镜像模式：连接到有镜像功能的交换机上，用于镜像流经交换机的数据。

提示：如果开机5分钟后，红灯还长亮，请关闭电源5分钟，然后重开。

1.4登录设备

设备默认使用ETHO作为网管口，ETHO出厂地址为/24。设备默认支持HTTPS方式

的WEBUI登录：

安全的HTTPS登录，默认端口9090。初始登录URL为：安ps:〃192.16801:9090

默认的管理员账号是admin,密码是admin*PWD。正确输入用户名和密码后，点击〈登录〉按

钮即可进入管理界面。

*

提示:

1、配置之前，必须保证用于网管的电脑与防火墙的网管口地址在同一个网段。如果

第一次配置，请连接EHTO口，ETHO出厂地址为192.16801/24,电脑的地址应配

置为/24,但不允许为。

2、连接后可以增加/修改物理端口的IP地址，设备的每一个IP地址都可以用于网管。

3、首次进入设备请先升级到需要版本后，再恢复出厂设置。

1.5刷新/保存/注销

在设备提供的WEB方式的管理界面中的最右上角有三个链接，分别是“刷新"、,•保存”、“注

销”。点击“刷新”可手动刷新当前页。点击“保存”并确认后，可将当前配置保存到系统硬盘

中。点击“注销”并确认后，即可成功退出系统。

1.6密码恢复

如果管理员密码丢失，请按以下步骤恢复系统默认密码：

1.进入Console连接，使用recovery用户(username：recovery,password：root*PWD)登

录o

2.选择ResetWEBUIPassword,进入密码恢复菜单，然后输入yes,再回车。

密码恢复成功,网管密码恢复到出厂设置

3.(username：admin,password：admin*PWD)o

密码方案补充：

1.WEBUI管理界面默认使用admin,admin*PWD登录。

2.恢复密码用Console方式使用recovery,root*PWD账号恢复，密码不会改变，而且只能

通过console登录。

3.后台SSH用root,admin*PWD*PWD账号登录。

4.修改WEB管理员密码，后台SSH密码的跟随改变，使用WEB管理员(admin)的密码*PWD

作为SSH的密码。

比如admin的密码是qwe@3345,对应的SSH密码为qwe@3345*PWD。

5.命令行(SSH,Console)登录进去后，debug层的用户名/密码为admin/Login*PWD,这

个密码固定不变。

第2章设备状态

登录设备后，进入到设备首页，即设备状态页面。设备状态页面默认包含了设备版本信息、

设备资源、安全评级、安全事件类型、风险主机T0P5、最新攻击日志六项内容。

0

<S>技t利敏B

团§8@日

匕

V-FW-10...AJS-V-1.O..~URL-25XL6

电然访不应月除URU»8M5决R

©IPS

°MKF

CPU5JW

◎鬃务8K5护・lit

■M

O-ra

内存使阳H4/64000000M

HgdJR队正用户/«-

0MB石

®明十名站名

Mffi

・W国0处«队昨名：admin.

2021.1022IS2MH

tt17i16.105,145

WWfliitkffiPIS：WEia.IEU：

2021-10-22152W0

172.1&10SJ45

加&：*ming

2021-10-2215KM6

tt17i16.105.145

"W员宗“Admin,iwmt：

2G21-10-221453:44

1721Gg45

MBWWUa用户Wadmin.IP!8

2021-102214:33:43

由17i16.105.145

ranilM用QN：Xmin.IEU：

2021-10-2214^CJ0

172.1&104200

・318量工«动,帕奇：Admin.IRQ

2021-10-22140649

tt：17M6.KM200

wwawstir.丽a“WKIPW

2021-102214M18

tt17i16.104^00

图1.首页

右上角的“+”号，可以自定义增加膜块：前十名服务实时用户速率分布、前十名站点排名、

前十名实时速率排名、最近五次事件日志这四个膜块，如下图：

图2.自定义模块

・“设备版本信息''描述了系统固件的版本、应用特征的版本、URL库的版本和授权类型

的信息。授权类型有试用版和正式版两种。点击对应的v详细刃安钮，可以连接到“系统

升级〃页面，查看到更详细的设备版本信息。

“设备资源''动态显示了CPU使用率、内存使用率、活跃会话数、在线用户数和在线认

证用户数的信息。活跃会话数的显示格式为N/M,N表示当前活跃的并发会话数，M

表示设备最大并发会话数。点击对应的〈详纸〉按钮，可以连接到“设备资源〃页面，查

看到更详细的设备资源信息。

“安全评级〃主要主机风险、服务器风险、外部风险以及设备自身风险这四个维度来持

续评估客户的安全状况。评分标准：90W综合评分W100为安全，80W综合评分190

为低危，60W综合评分V80为中危，0W综合评分V60为高危。

“安全事件类型”是对“安全评级”的详细输出，点击〈详细＞按钮会跳转到待处理问

题的详细页面，该页面会列举网络中存在的风险和漏洞，以及对应的处理建议。

“风险主机T0P5”针对内部产生攻击的主机按照主机、风险等级、风险类型做T0P5

排行。点击〈详细〉按钮跳转到风险主机菜单，可以详细查看主机IP、用户名、严重等

级、发起攻击次数、主动攻击次数、攻击类型以及操作建议建议。

“最新攻击日志”针对DOS/DDOS.IPS、病毒防护、服务器防护这几个维度的实时漏

洞展示，点击〈详细〉按钮跳转到实时攻击日志页面，可以做详细了解。

“前十名服务实时流量分布”动态显示了以总速率排名的前十名服务。当鼠标滑过某

服务名称时，会出现“显示在线用户〃的提示，点击即可查看该服务的在线用户的信息。

“前十名用户实时流量排名”动态显示了以总速率排名的前十名用户。当鼠标滑过某

用户时，会出现“显示活跃服务”的提示，点击即可查看该用户正在使用的服务的信

息。

“前十名站点排名”动态显示了以被访问次数排名的前十名网站。

“最近五次事件日志”动态显示了最近五次的事件日志。点击〈详细〉按钮，可以连接

到“事件日志”页面，查看和搜索更多的事件日志。

第二代防火墙第3章实时监控

第3章实时监控

实时监控部分用于查看设备实时的工作状态，包括设备资源、物理接口、服务监控、用户监

控、实时攻击日志、待处理风险、在线用户七大部分。

3.1设备资源

设备资源包括了CPU使用率、内存使用率、活跃会话数、新建会话速率、在线用户数、在线

认证用户数、磁盘信息等共七部分。如下图：

在线认证用户数

©流量统计/模计/CPU伎秘

1g近一小时的CPU使用率星近一天的CPU使用率

图3.设置资源

各分页详细说明如下：

•CPU使用率：查看最近一小时/最近一天CPU使用率；

・内存使用率：查看最近一小时/最近一天内存使用率；

•活跃会话数：查看最近一小时/最近一天活跃会话数的统计趋势图；

.新建会话速率：查看最近一小时/最近一天新建会话速率的统计趋势图；

•在线用户数：查看最近一小时/最近一天在线用户数的统计趋势图；

・在线认证用户数：查看最近一小时/最近一天在线认证用户数的统计趋势图；

•磁盘信息：查看系统盘/数据存储盘的使用情况，能查看到磁盘总容量、已用空间/可

用空间的磁盘容量以及对应的百分比。

第二代防火墙第3章实时监控

3.2物理接口

物理接口页面的内容含两部分：所有端口的全局信息、每个端口的速率趋势图。

第一：物理接口的全局信息，如下图：

ethOIeth1

©点击iS=统计/取装计/检理授口♦看更多他€

接口名称字节数包个双*我弃**突

S82K893000

ethO

122K289000

5.4M52821000

ethl

57.6M17073000

图4.物理接口统计图

全局信息包括了以下内容：

・柱状图显示了每个物理接口收发速率。

•表格显示了每个接口的收发数据的统计信息，每个物理接口上面一行对应该接口接收

数据的统计信息，下面一行对应该接口发送数据的统计信息。

第二：单个物理接口的统计信息包括最近一小时/最近一天的接收速率和发送速率，如下图:

全RIFhOIPth1

©点击现统计/JI本姿计/性骨接口立0B多但息

ethl最近一小时的速率eth1M近一天的速率

-o®«单位(bpi)-o-»«-O56S

图5.etho物理接口统计图

第二代防火墙第3章实时监控

3.3服务监控

服务监控页面显示了服务趋势图、服务组趋势图、活跃服务,所有服务四部分。

3.3.1服务趋势图

服务趋势图如下:

@点由初的十侯计/无触所t/霰筠腌】查■星

最近一小时的速率

・位lb”1HTTPQQ/E-ODNS。十2外己儆履务

SOM

70M

60”加：18X)4:40

SSl/TLS:02Mbp5

50MRffM盘Fit32.1Mbp5

®5ZPPS:0.4Mbps

40MHTTP:OMbps

QQ/TM:OMbps

DNS：OMbps

十名外已识别・务:0.1Mbps

20V

10M

17:07:4017:112017:150)17:18401722201729401733201737:00174(M01744201748^017:51>4017552017:59KX)1802)401W)6c20

图6.服务趋势图

这里显示了所有服务的服务趋势图，其中列出了前十名和十名外已识别服务。十名外已识别

服务表示网络中除了前十名以外的其它服务的速率值。

3.3.2服务组趋势图

服务组趋势图如下:

©点击长蛾计/杠%计/鬣务美如冶)蠢・更多Z里

展近一小时的速率

-O.创法。HTTP左用。FTPSR-O。P2PTMSJI(X。且重SWOBMlgS。珈行情。KXx«

80Ml

70M・

时河：1&04：10

8M.

16Mbps

HHPfiffl:7£Mbp5

50M-

ITP^m：8./Mbps

WEOMbps

40V-

P2PT«tOMbps

硼依OMbps

30M-网络IP戏:0Mb%

瞒足班OMbps

20M-OMbps

&R交易:OMbps

10M-

■一・,▼一■1

0M41…：嬴7।・・■一__L

17:14201717:^40

17:07817:104017K2017：2W>0173Mo1736gPMCMX)1743刈1747:201751817：如017*2018XJM01加冷40

图7.服务组监控统计图

第二代防火墙第3章实时监控

这里显示了所有服务组的叠加趋势图，一共有常用服务、HTTP应用、FTP应用、WEB视频、

P2P下载、流媒体、网络游戏、即时通讯、股票交易、股票交易一共10种类型。

3.3.3活跃服务统计

“活跃服务”将显示当前所有