TOPSEC管理中心使用手册

TOPSEC管理中心
使用手册
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦 100085
电话：+8610-82776666
传真：+8610-82776677
服务热线：+8610-8008105119
版权声明 本手册中的所有内容及格式的版权属于北京天融信公司所有。

未经北京天融信公司许可，任何人不得复制、拷贝、转译或任意引用。

版权所有不得翻印© 2005天融信公司
商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC®天融信公司
信息反馈
目录
1前言 (1)
2TOPSEC管理中心的安装和配置 (2)
2.1安装TOPSEC管理中心 (2)
2.2添加管理节点 (6)
2.3TOPSEC管理中心基本功能介绍 (9)
2.3.1调用管理组件 (9)
2.3.2网络拓扑 (10)
2.3.3集中监控 (13)
2.3.4报警 (16)
3安全管理工具 (19)
3.1健康记录 (19)
3.2系统升级 (20)
3.3地址本 (21)
3.4报文调试 (23)
3.4.1设置报文调试规则 (23)
3.4.2启用报文调试 (26)
3.4.3报文的导出 (28)
3.5连接监控 (28)
1前言
网络卫士防火墙，以天融信公司具有自主知识产权的TOS操作系统（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、入侵检测、VPN、身份认证等多种安全解决方案，构建了一个安全、高效、易于管理和扩展的网络防火墙。

网络卫士防火墙提供了三种管理方式：CLI命令行管理、WEBUI管理和GUI管理。

针对三种不同的管理方式，天融信公司分别提供了三种类型的使用文档。

本文档只是作为《网络卫士防火墙WEBUI用户手册》的补充文档，介绍网络卫士防火墙无法通过WEBUI进行管理配置的功能。

文档的主要内容包括：
z TOPSEC管理中心的安装和配置：介绍如何安装TOPSEC管理中心，以及如何在管理中心添加防火墙设备。

另外，还介绍了TOPSEC管理中心的主要功能：网络拓
扑、监控和报警等；
z安全管理工具：主要介绍网络卫士防火墙的健康记录功能、系统升级功能、地址本功能、报文调式功能和连接监控功能。

有关网络卫士防火墙其他主要功能的具体配置请参见《网络卫士防火墙WEBUI用户手册》。

2TOPSEC管理中心的安装和配置
TOPSEC管理中心给用户提供了一种方便、安全的工具来远程配置、管理网络卫士防火墙。

通过TOPSEC管理中心，管理员可以使用设备管理器，通过友好的图形界面来完成功能选项的配置。

同时，由于管理器与防火墙的通信是由SSL机制进行加密保护的，用户不必担心安全信息的泄漏问题。

TOPSEC管理中心可以同时管理多个网络卫士防火墙或其他天融信安全产品。

2.1 安装TOPSEC管理中心
网络卫士防火墙配有专用的集中管理软件，防火墙产品的随机光盘内包含了安装程序。

安装TOPSEC管理中心的步骤如下：
1）运行随机光盘上的集中管理器安装程序，进入安装界面，如下图所示。

2）点击“下一步”按钮，进入许可证协议窗口。

3）如果同意，点击“是”按钮，进入信息窗口，显示关于此集中管理器的相关信息。

4）点击“下一步”按钮，进入客户信息窗口，可在此窗口输入用户相关的信息。

5）点击“下一步”按钮，进入选择安装路径窗口。

系统默认的安装路径是当前操作系统盘符下的\Program Files\TOPSEC\TOPSEC管理中心目录下，用户可点击“浏览”按钮自行更改，然后点击“确认”后，返回安装界面。

6）点击“下一步”按钮后，系统开始安装集中管理器软件，安装完成后，弹出如下界面，则表示安装已经完成。

2.2 添加管理节点
成功安装TOPSEC安全管理中心软件后，需要向管理中心中添加要管理的TOS设备。

添加TOS设备的步骤如下：
1）进入“TOPSEC管理中心”界面，选中左侧导航菜单中的“TOPSEC管理中心”，点击右键，在弹出菜单中选择“添加下级地区项目”，如下图所示。

TOPSEC管理中心可以通过建立下级地区项目对可管理的设备进行分组管理，如果用户网络中的可管理设备较少，可以省略此步骤。

2）选中左侧导航菜单中的“TOPSEC管理中心”或已经建立的下级地区项目，点击
右键，在弹出菜单中选择“添加设备”或者直接在工具栏中选择 “”图标。

如下图所示。

3）设置设备的基本属性。

“设备类型”分为“TOS安全设备”、“TOPSEC防火墙4000”和“日志服务器”，用户可以通过下拉列表选择要添加的设备类型。

输入“设备名称”和“管理地址”，“管理地址”是被管理的防火墙、TOS设备或日志服务器的IP地址。

另外，也可以在“管理员名”和“口令”文本框中输入管理员的用户名和密码，网络卫士防火墙默认是“superman”和“talent”。

设置好以后，点击“确定”，设备就添加到管理器里了，如下图。

这时，用户也可以将设备的名称、IP地址、用户名和密码等信息存储到USBkey中，以实现帐号的安全存储。

具体的方法为：
A．选中需要使用USBkey的设备或区域名称；
B．选择 文件>存储方式，弹出如下图的窗口；
C．勾选“使用UKey存储设备信息”选项，并单击“确定”按钮；
D．将USBKey插入管理主机；
E．选择 文件>验证PIN码，弹出如下图的窗口；
F．在文本框中输入USBKey的PIN码，并点击“验证”按钮；
G．验证成功后，选择 工具>保存设备信息到USB；
H． 当用户需要管理设备时， TOPSEC 管理中心会自动读取USBKey 中的认证信息。

4）设备添加完成后，只需双击设备名称便可进入该设备管理器的登录窗口。

至此，用户便可通过TOPSEC 管理中心实现对TOS 设备的管理和设置。

网络卫士防火墙3.2.88版本开始使用WEBUI 管理界面，不需要指
定管理组件，而之前的版本则需要为其指定管理组件。

指定管理组件的具体方法为右键选中设备名称，选择 组件信息，弹出“设备管理器信息”窗口，在该窗口的“组件版本”下拉框中选择组件便可。

2.3 TOPSEC 管理中心基本功能介绍
用户可以通过TOPSEC 管理中心对TOPSEC 网络安全设备进行远程管理、监控。

管理中心通过调用管理组件实现远程管理，同时集成了集中监控、拓扑、统计和报警功能。

下面各节分别将对这些功能的使用进行详细的说明和介绍。

2.3.1 调用管理组件
TOPSEC 管理中心通过调用管理组件提供设备配置管理功能。

在使用USBKey 的情况下，通过帐号和设备信息的集中存储，为管理员的日常维护工作提供方便。

具体的使用方法为：
1）双击要管理的设备名称，或者通过右键菜单选择 管理 ，弹出如下图的安全警报窗口。

说明
2）点击“是”按钮进入登录信息页面，如下图。

3）输入用户名和密码便可进入TOS设备的管理窗口对其进行管理和设置。

如果之前用户已经设定了TOS设备的登录信息（用户名和密码），此时将自动填充到对应的输入框中。

2.3.2 网络拓扑
网络拓扑功能将所有设备和地区列举到拓扑图中。

每个地区分别用不同的窗口打开，在拓扑图初次打开时，设备依次排列。

使用网络拓扑功能的具体步骤为：
1）选择 文件>网络拓扑，或者点击工具栏中的图标“”进入网络拓扑窗口，如下图所示。

2）管理员可以利用工具条中的线条等工具，连接设备或者添加文本说明；
3）选择 工具>图形盒中拖放常见的网络设备到拓扑图中，以方便表达网络设备拓扑关系，如下图所示。

另外，用户也可以选中图中防火墙、日志服务器等设备，用右键弹出的菜单进行管理，如下图。

另外，通过双击地区名称可以进入其下一级的地区；下级的地区则用向上工具按钮“”到上级地区。

同时可以通过工具条中的图标“”来指定特定的背景图，如下图所示。

用户可以点击“”按钮选择背景图片，如下图便是以中国地图为背景图。

2.3.3 集中监控
监控功能主要提供了对TOS设备性能信息的监视，主要包括CPU信息、内存信息、接口信息和连接信息等。

启动监控功能的具体操作为：
1）选中要监控的TOS设备，右键菜单选择“启动监控”，如下图所示。

2）“监控列表”中出现了设备的统计信息。

双击列表中的设备名称，将会出现此设备接口的详细信息，如下图所示。

3）点击监视信息窗口左下方的页签可以选择查看该TOS设备的性能和吞吐的详细信息，如下图所示。

性能信息图：
吞吐信息图：
在吞吐信息窗口中，用户还可以点击“清除”按钮清除数据收发统计信息；另外也可以在“指定接口”文本框中输入接口名称，并点击“设置”按钮来查看某一接口数据的收发信息，如下图所示。

4）另外，被监控设备的性能可以使用“设备统计”工具视图进行比较，最多可显示10台性能指标排序在前10名的设备。

选择 文件>设备统计，便可启用设备统计工具，如下图所示。

2.3.4 报警
TOPSEC管理中心的“监控报警状态”显示了当前监控设备的数量，并分类统计了报警次数。

查看报警信息的具体操作为：
1）选择 文件>报警，弹出如下图所示的窗口。

2）选择报警的类别，并点击窗口底部的“查看详细”按钮可以查看各类报警的详细信息，如下图所示。

3）双击报警条目可以查看报警的详细信息，如下图所示。

另外，用户也可以通过 动作 菜单对选中的报警进行确认、删除操作，也可以清空
所有报警信息。

在设置防火墙的报警规则时，必须将报警类别设置为控制台报警，防火墙才会将报警信息发送到TOPSEC管理中心。

关于报警规则的设置
请参见《网络卫士防火墙WEBUI用户手册》的相关章节；
只有在设备启动监控后，TOPSEC管理中心才可以接收该设备发送的
报警信息。

3安全管理工具
本章主要介绍了如何使用TOPSEC管理中心的安全工具对网络卫士防火墙进行部分功能的设置和管理。

本章内容主要包括：
z健康记录：介绍如何通过安全工具下载网络卫士防火墙的健康记录，以帮助用户快速确定故障发生的原因；
z系统升级：介绍如何通过安全工具对网络卫士防火墙系统进行升级；
z地址本：介绍如何使用网络卫士防火墙的地址本功能；
z报文调试：介绍如何利用网络卫士防火墙的报文调试功能来分析和解决网络通信问题；
z实时监控：主要介绍如何通过实时监控功能查看网络卫士防火墙当前的网络连接。

以上各功能的配置都需要在TOPSEC管理中心的安全工具中进行设置和维护，进入安全工具的方法为：右键选中要管理的设备名称，并选择“安全工具”。

3.1 健康记录
当网络卫士防火墙出现故障时，管理员可以通过安全工具下载安全设备的健康记录。

天融信的技术支持人员可以根据客户保存的健康记录来确定故障发生的原因，从而进一步解决故障。

1）选择 安全工具 > 健康记录，弹出“导出设备健康运行记录”窗口，如下图所示。

2）点击“下载”按钮设置保存路径和文件名，健康记录文件就可以下载到运行设
备管理器的主机上了。

健康记录是供天融信技术支持人员使用的已加密文件。

3.2 系统升级
网络卫士防火墙提供了系统升级的功能，用户可以通过安全工具对网络卫士防火墙进行升级，以方便用户及时获取新功能或提升系统性能。

1）选择安全工具 > 系统升级，弹出系统升级窗口，如下图所示。

说明
2）填写防火墙设备IP地址，点击“浏览”选择升级包文件路径。

3）点击“升级”，即可完成系统升级。

如果使用此项功能，管理员首先应开放该登录接口的升级权限。

具体操作请参见《网络卫士防火墙系统用户手册》中“开放服务”章节。

3.3 地址本
地址本用于记录网络中主机IP与其硬件地址的对应关系。

可以用多种方式来添加项目，最有用途的方式是从防火墙设备的ARP表中导入, 可以自动获取设备的动态信息。

查看与维护地址本的操作如下：
1）选择 安全工具 > 地址本，弹出地址本对话框。

2）点击鼠标右键，选择“从ARP表导入”便可将防火墙设备上的ARP表中的主机地址信息导入到地址本中。

3）鼠标右键，选择“自动发现”，弹出“自动搜索选项”对话框，如下图所示。

设置搜索范围，搜索范围主要分为两种：
¾本机所在子网：TOPSEC管理中心搜索管理主机所在网段中的所有主机；
¾自定义IP范围：TOPSEC管理中心根据用户定义的起始IP和结束IP来搜索该IP范围内的主机。

管理中心会将搜索到的主机IP和MAC地址信息自动加入到地址本中。

4）新建地址项目。

右键选择“新建地址项目”，用户可以手工为地址本添加地址信息，如下图所示。

5）另外，在地址本窗口中通过右键可以执行对已有的地址项目进行修改、删除，清空地址本等操作。

操作比较简单，这里就不再一一介绍。

6) 导入/导出地址本。

通过右键菜单可以将地址本内容导入/导出，导出时将地址本内容存储为.txt格式的文件；导入时则可以将用户导出的或自定义的.txt格式的地址本文件导入。

3.4 报文调试
网络卫士防火墙在安装调试时会遇到各种网络环境及各种情况。

安全工具能够提供强大的调试能力，准确获取网络通信信息，给技术支持和程序开发人员提供分析问题的帮助。

3.4.1设置报文调试规则
使用报文调试，具体方法如下：
1）选择 安全工具 > 报文调试，在工具栏点击“设置”按钮，系统弹出“报文调试-设置过滤器”窗口，如下图所示。

2）点击“增加”，弹出“报文调试-过滤条件增加”窗口，如下图所示。

3）选择“接口”和“以太类型”，当“以太类型”选择为“IP”时，还需要设置所使用的IP协议和源/目的地址等参数，即上图中的红色区域的参数。

4）设置源/目的地址。

用户可以在文本框中直接输入MAC或IP地址也可以从树列表中拖放MAC或者IP地址到相应的输入框中，如下图所示。

5）设置完成报文调试的过滤条件后，点击“确定”按钮，便成功添加了一条报文调试规则。

6）可以设置多条报文调试规则，如下图。

7）设置完成后，点击“关闭”按钮。

设置报文过滤规则时，如不填写具体参数值（如IP 、端口、MAC
地址等），默认为所有。

3.4.2 启用报文调试
启用一条报文过滤规则，并截获数据报文的具体操作如下： 1）选择 安全工具 > 报文调试
，在工具栏点击启动按钮“
”。

2）在弹出的报文调试规则窗口选择相应的规则，并点击“设置”便启动了针对该
规则的报文调试功能，如下图所示。

3）符合该规则的报文将会被系统截获，并显示在监控窗口，并且输出系统内部的处理信息，如下图所示。

说明
上面窗口中报文和下面窗口中处理信息根据前面的序号来对应。

4）用户可以通过选择工具栏中的“切换”菜单来察看某个报文对应的详细二进制信息和相应处理信息，如下图所示。

5）用户要终止报文监控时，只需在工具栏中点击中止图标“”，系统便会停止对该规则的报文监控。

3.4.3报文的导出
报文调试时输出的报文判断信息是报文的概要信息，可能存在描述不准确的情况。

如果需要查看更详细的信息解释，需要用户将截获的数据报文导出。

导出报文的具体操作为：
1）点击工具栏上的导出图标“”，如下图所示。

2）选择存放导出文件的路径并键入文件名。

导出成功后会生成后缀为“.cap”的文件，用户可以使用ethereal或者sniffer等工具进行详细分析。

3.5 连接监控
与TOPSEC管理中心提供的监控功能不同，安全工具的连接监控功能主要是监控当前通过防火墙所建立的连接的统计信息（连接信息），包括活动连接和已关闭连接。

同时，也可以实时地手工强制中断某些连接。

使用连接监控功能的具体方法如下：
1）选择 安全工具 > 连接监控，在工具栏中点击“启动”图标启动连接监控功能，如下图所示。

应该注意的是，连接监控功能会利用防火墙的资源来对数据包进行实时的审计和监视，所以可能会造成防火墙性能的下降。

启动监控的同时，会出现“设置过滤器”的窗口：
¾如果是第一次设置过滤条件，右键单击“增加”并根据实际情况设置过滤条件，点击“设置”，启动实时监控功能；
¾如果过滤器中已有过滤条件， 用户可以根据需要，选择“增加”、“修改”
或“删除”三种方式，并点击“设置”启动实施监控功能。

¾直接点击“关闭”按钮，退出实时监控。

操作界面如下图所示：
2）设置新过滤条件。

点击“增加”按钮，打开过滤条件的设置窗口，如下图所示。

在匹配条件中输入源、目的IP（起始IP地址为0.0.0.0，结束IP地址为：
255.255.255.255表示该区域的所有设备），以及起始、结束端口号（端口号为0表示所有端口）。

在选项中选择要监控的协议（包括TCP、UDP和ICMP），并设置是否要使用长连接、是否采用本机、是否是多播、是否进行源NAT，以及是否进行目的NAT等。

3）过滤器的的条件设置完成后，点击“确定”，如下图所示。

4）点击“设置”使该过滤条件即时生效，此时的过滤条件将会自动保存起来。

用户在此可以通过Ctrl键选择多条过滤条件，TOS设备按照匹配的先后顺序对数据进行过滤。

下图便是一防火墙某时刻的连接监控图。

在上图的“活动连接”列表中用户可以通过删除连接功能，强制中断某些连接；而清空连接列表功能则用于清除列表中的显示内容（但是并不会中断连接），清空列表后安全工具的连接监控功能又会自动、即时地显示防火墙设备当前的活动连接；同样，在“关闭连接”列表中用户也可通过右键来清空连接列表的显示。

如果重新启动监控，过滤器将自动载入上次（最近一次）设置的过滤条件。

如果更换了网络卫士防火墙，针对以前网络卫士防火墙所保存的过滤条件将不能使用。

如果用户重新设置了过滤条件，所显示的所有信息将被清空，根据新的过滤条件显示新信息。