东软防火墙 NetEye FW 用户管理器 使用共23页
东软NetEye网络审计系统产品用户手册
东软NetEye网络审计系统V5.0用户手册2014年9月目录第一部分产品快速向导 (1)1图形界面格式约定 (1)2环境要求 (1)3接线方式 (1)4登录设备 (2)5刷新/保存/注销 (3)6密码恢复 (3)第二部分产品配置 (4)7设备状态 (4)8实时监控 (6)8.1设备资源 (6)8.2物理接口 (7)8.3服务监控 (8)8.3.1服务趋势叠加图 (8)8.3.2服务组趋势图 (9)8.3.3活跃服务统计 (10)8.3.4所有服务统计 (10)8.4用户监控 (11)8.4.1流量分析 (11)8.4.2会话分析 (12)8.4.3活跃会话 (13)8.5上网行为 (14)8.6在线用户 (15)8.7防共享上网 (17)8.8当前黑名单 (18)8.9应用限额用户 (20)9系统配置 (21)9.1设备工作模式 (21)9.1.1网桥模式 (21)9.1.2路由模式 (23)9.1.3旁路模式 (24)9.2系统维护 (25)9.2.1系统升级 (25)9.2.2自动升级 (27)9.2.3备份与恢复 (28)9.2.4重启/关机 (29)9.3系统管理员 (30)9.3.1配置系统管理员 (30)9.3.2角色管理 (32)9.4网管策略 (33)9.6网络工具 (35)9.6.1Ping (35)9.6.2TraceRoute (36)9.7系统时间 (37)9.8系统信息 (38)9.9邮件配置 (38)9.10集中管理 (39)10系统对象 (40)10.1地址簿 (40)10.2网络服务 (41)10.2.1内置服务 (41)10.2.2自定义普通服务 (42)10.2.3自定义特征识别 (43)10.2.4自定义论坛/网评特征 (44)10.2.5协议剥离 (45)10.3时间计划 (47)10.4URL库 (48)10.5关键字组 (49)10.6文件类型 (50)11网络配置 (52)11.1接口配置 (52)11.1.1物理接口 (52)11.1.2链路聚合 (53)11.1.3VLAN接口 (54)11.1.4PPPoE (55)11.1.5DHCP客户端 (56)11.1.6GRE隧道 (56)11.2配置IP地址 (57)11.3静态路由 (58)11.4OSPF路由 (59)11.4.1网络配置 (59)11.4.2接口配置 (60)11.4.3参数配置 (61)11.4.4虚连接配置 (62)11.4.5信息显示 (63)11.5策略路由 (65)11.5.1策略路由 (65)11.5.2均衡策略 (67)11.5.3持续路由 (69)11.5.4链路健康检查 (70)11.6DNS 配置 (72)11.7DDNS 配置 (73)11.8智能DNS (73)11.8.3均衡策略 (75)11.8.4DNS策略 (77)11.9ARP表 (79)11.10DHCP配置 (80)11.10.1基本参数 (80)11.10.2DHCP中继 (81)11.10.3已分配IP地址 (82)11.11SNMP服务器 (82)11.12代理服务器列表 (82)11.13代理配置 (83)12防火墙 (85)12.1安全策略 (85)12.2NAT规则 (87)12.2.1内网代理 (87)12.2.2一对一地址转换 (88)12.2.3端口映射 (90)12.2.4服务器池 (92)12.3防DOS攻击 (93)12.4ARP 欺骗防护 (94)12.5应用层网关 (95)12.6加速老化 (96)12.7防病毒设置 (97)12.8移动终端管理 (97)13VPN配置 (99)13.1IPSec (99)13.1.1IPSec隧道 (99)13.1.2IPSec规则 (100)13.2PPTP (102)13.3L2TP (103)13.4VPN 用户 (104)14组织管理 (105)14.1组织结构 (105)14.1.1定位并选中当前操作对象 (105)14.1.2修改根组 (106)14.1.3新增子组 (106)14.1.4修改子组 (107)14.1.5新增普通用户 (109)14.1.6新增认证用户 (110)14.1.7修改用户 (111)14.1.8绑定检查 (112)14.1.9导出用户和组 (116)14.1.10移动用户和组 (117)14.2批量导入 (120)14.3LDAP/AD导入 (120)14.4扫描内网主机 (122)14.5临时账户管理 (124)14.5.1临时账户设置 (124)14.5.2申请临时账户的步骤(页面与Email获取密码) (127)14.5.3申请临时账户的步骤(短信获取密码) (129)14.5.4未审核账户列表 (130)14.5.5已审核账户列表 (131)14.5.6批量生成 (131)14.6Dkey管理 (132)15流量管理 (133)15.1线路带宽配置 (133)15.2基于策略的流控 (134)15.3基于用户的流控 (137)16行为管理 (141)16.1认证策略 (142)16.2上网策略 (145)16.2.1上网权限策略 (145)16.2.2终端提醒策略 (155)16.2.3准入策略 (158)16.2.4应用限额策略 (162)16.2.5黑名单策略 (163)16.2.6上网审计策略 (166)16.3认证选项 (169)16.3.1跨三层MAC识别 (169)16.3.2认证参数 (170)16.3.3自定义认证页面 (171)16.3.4未认证权限 (172)16.3.5SSO (173)16.3.6短信认证 (181)16.4认证服务器 (184)16.4.1RADIUS服务器 (184)16.4.2AD服务器 (185)16.4.3LDAP服务器 (186)16.4.4POP3服务器 (187)16.4.5服务器测试 (188)16.5白名单管理 (189)16.5.1IP 白名单 (190)16.5.2URL 白名单 (191)16.5.3即时通讯白名单 (192)17酒店管理-即插即用 (193)19系统日志 (197)19.1命令日志 (197)19.2事件日志 (198)19.3PPTP/L2TP日志 (199)19.4IPSec日志 (199)19.5黑名单日志 (200)19.6安全日志 (201)19.7日志服务器 (202)19.8短信配置 (203)19.9告警配置 (203)20故障排除 (209)20.1捕获数据包 (209)20.2查看数据包 (210)20.3调试信息下载 (210)20.4上网故障调试 (211)21报表中心 (212)21.1报表中心配置 (212)21.2内置报表中心 (213)第一部分产品快速向导1图形界面格式约定2环境要求设备系列产品可在如下环境使用:输入电压: 220~240V温度: -10~50 ℃湿度: 5~90%电源:交流电源110V ~230V为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。
东软防火墙 NetEye FW 用户管理器 使用
Neusoft Group Ltd.
防火墙
网卡
• 使用交叉线连接管理主机和防火 墙的管理口;
• 交叉线和网线有一定的区别; • 管理主机的IP必须为192.168.1.0
网段;
管理主机
6
2019/10/30
管理器连接防火墙
Neusoft Group Ltd.
• 在已有的地址簿中,选择要维护 的防火墙IP地址,进行连接;
14
2019/10/30
用户的约束关系
Neusoft Group Ltd.
用户 / 权限
root 用户管理
员 安全员 审计员
管理用户权限
用户管理 员
安全员 审计员
+
+
+Biblioteka ++
安全控制权 限
+
审计权 限
+
15
2019/10/30
Neusoft Group Ltd.
认证方式
• 本地认证代表用户名 / 口令信息存放在防火墙上 • Radius认证采用第三方标准的认证方式
1.帐号发起“登录防火墙”的请求
管理主机
5.防火墙根据Radius返回的认证信息,如果成功,则 允许此帐号登录;如果失败,给出相应的错误提示
防火墙
2.防火墙检测此帐号为Radius认证,将管理主机 发送过来的用户名 / 口令发送给Radius服务器
4. Radius服务器将认证 结果返回给防火墙主机
21
2019/10/30
Neusoft Group Ltd.
Q&A
Q:管理器的root帐号不能被删除?
A:防火墙的初始化帐号,必须存在,不能修改其认证 方式,不能修改名字,否则无法通过管理器登录到防 火墙。
NetEye防火墙中文资料
NetEye 防火墙支持海量日志的本地审计和网络审计,提供功能强大的实时监控工具, 可以帮助管理员有效甄别可疑网络流量,追踪网络活动和事件,阻止网络攻击,制止和限制 不恰当或无效的网络应用。通过灵活的、随需定制的报告界面,管理员可以总结出以往的网 络访问情况,包括个人或群体使用某一类型或某一组服务的情况,以及防火墙遭受攻击的类 型与时间等等,更有针对性地调整安全策略。
2. 深度过滤,保护应用
TCP/IP 网络协议是一种分层的体系结构,同样,在攻击检测与防御的方法上,NetEye 防火墙也创造性地采用了分层体系结构,在攻击防御、漏洞描述、协议分析以及底层平台之 间进行了清晰合理的层次划分。攻击防御分层结构的提出及实践,是深度防御技术领域的一 个重要突破和创新。
随着基于互联网的应用不断增加,攻击者的关注点己转移到应用层协议特别是 Web 协 议,各种不适当 Web 内容及恶意代码接踵而至,造成的威胁有越来越严重的趋势。因此,企 业对于功能更强大的 Web 等应用层协议过滤工具的需求也越来越迫切。为了使企业 Web 等应 用有一个安全稳定的网络环境,NetEye 防火墙可以对 HTTP、SMTP 等多种应用协议进行深度 过滤,清除其中隐藏的恶意代码及外部攻击。同时,还允许管理员对网络的访问类别和内容 进行控制,限制访问一些不适当或与工作无关的站点,保证组织的工作效率。
·全面满足关键行业用户信息安全保障要求
NetEye 防火墙功能设计紧密契合关键行业信息安全保障需求,提供包括 HTTP 访问审计、 VPN 接入用户访问审计、支持行业安全管理平台(如电力安全监控与审计平台等)、针对特殊 应用的长连接设置、异常流量的实时监控与分析、RADIUS 及 SecurID 认证、内部主机及应 用软件信息隐藏、VPN 通道控制、策略路由与策略 NAT 等一系列功能特性,充分满足重要行 业用户的信息安全保障要求。
求东软防火墙使用手册
求东软防火墙使用手册
东软Neteye 4032 防火墙维护手册
一、 Neteye 4032 的默认管理IP为192.168.1.100 ,我们用防火墙自带的一根交叉线和PC相连,PC的IP设置为和防火墙一个网段,在运行下ping 192.168.1.100,显示连通;在WEB浏览器下输入192.168.1.100,进入防火墙的WEB管理界面。
二、默认用户为:root 密码:eye 进入用户管理界面,此页面下可以创建用户,并设置权限(安全控制、审计、管理)
三、为方便调试已创建用户: xxxx 密码:xxxx 权限为:安全控制
四、用xxxx 这个用户进入WEB界面后,先看到防火墙的所有信息
然后根据需求,设置防火墙的工作模式,是交换还是路由,
1、交换模式下,Eth 口不需要配地址,也没有NAT的转换
2、路由模式下,根据需求可以配置NAT、默认路由,它既充当路由器,又起到防火墙的作用。
五、 Eth 0口为管理接口,只有在配置防火墙时才使用
Eth 1-4可随意定义为内网口、外网、DMZ区等
在我们这次配置中,Eth 口的定义:
Eth 1----内网
Eth 2---外网
Eth---3 用交叉线直连防火墙
Eth 4----xxx网
六、访问控制:允许Eth 1 访问 Eth 2 , 拒绝访问 Eth 3、4
允许Eth 2 访问 Eth 1 , 拒绝访问 Eth 3、4
允许Eth 3 访问 Eth 4 , 拒绝访问 Eth 1、2
允许Eth 4访问 Eth 3 , 拒绝访问 Eth 1、2
七、在配置完成后,一定要选择“应用并保存”选项。
东软防火墙 NetEye FW 安装
5
2012-10-8
Neusoft Group Ltd.
管理主机的配置要求
• 硬件要求 – Pentium 450、256M内存、硬盘4GB以上的自由空间、 10M/100M以太网卡(ISA/PCI) • 软件要求 – Windows 2000、Windows XP – 安装Internet Explorer 4.0或以上版本 – TCP/IP协议 – IP地址为192.168.1.0网段
6
2012-10-8
Neusoft Group Ltd.
管理软件ቤተ መጻሕፍቲ ባይዱ安装
• • •
将机箱中 NetEye 防火墙管理系统安装光盘放入管理主机的光驱中,自动弹出“选择 安装程序”窗口; 此光盘显示:管理工具和认证客户端,其中管理工具安装在管理主机上; 想浏览整个光盘的内容,点击右下角的光盘图标;
7
2012-10-8
12
2012-10-8
Neusoft Group Ltd.
管理软件的安装
13
2012-10-8
Neusoft Group Ltd.
管理软件的安装
14
2012-10-8
Neusoft Group Ltd.
浏览开始菜单
• 四个应用程序
15
NetEye Firewall的架构
•
网卡
• • •
防火墙
管理主机
• •
防火墙是接入到网络中实现访问控 制等功能的网络设备; 防火墙上的所有软件在出厂时已经 安装完毕; 防火墙没有配置鼠标、键盘、显示 器等设备; 管理主机用于管理防火墙,配置防 火墙的安全策略等; 管理主机和防火墙之间的通信是经 过加密的; 管理主机需要用户单独准备;
NetEye东软防火墙配置手册
东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范,同时,也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。
1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》(电监会5号令)、《电力系统安全防护总体方案》(国家电力监管委员会[2006]34号文及配套文件)和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。
通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。
项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障贵州电网安全稳定运行。
第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。
东软防火墙配置手册01
第1章用户管理该章节中的操作仅在root用户登录后可用。
语法:1.添加用户NetEye(config)# user username{ local | radius } { security [ audit ] | audit [ security ] } 2.配置RADIUS服务器NetEye(config)# radius-server host ipaddress]3.配置RADIUS服务器端口NetEye(config)#radius-server port number4.设置RADIUS服务器密码NetEye(config)# radius-server secret5.将RADIUS服务器设置为默认状态NetEye(config)# no radius-server6.查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye# show radius-server7.删除用户NetEye(config)# no user username8.更改用户口令NetEye(config)# password [ username ]9.显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye#show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。
东软防火墙配置过程
(一)初始化设备1)初始化配置步骤:1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。
完成初始配置后,可不再使用控制台。
2.打开NetEye 设备的电源开关。
3.终端控制台将显示如下提示:LILO 22.7.11 NetEye_FW_4_2_build_200080.install2 bootmgrPress key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。
4.配置设备。
Config the firewall or quit (y/n)(n)y5.修改主机名。
Please input the host name for this systemHost name: <new hostname>SZYCZ_FW52006.输入系统时间。
Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04 10:22:367.设置系统语言。
Please set system language(1) English(2) ChinesePlease input a choice[1-2,q](2) <1、2 或q>选择2,中文,回车8.更改根管理员口令。
(此步骤可选,但东软强烈建议首次登录后修改口令。
)Changing default password of root?(y/n)(y):Old password(6-128): neteyePassword(6-128): < 新密码>Repeat Password(6-128): < 新密码>这里我们不更改它的默认密码,选择n9.添加根系统管理员及选择登录方式。
东软防火墙配置
阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南,它详细地介绍了CLI的功能和操作。
通过阅读本手册,用户可以掌握NetEye防火墙CLI的使用方法。
〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。
用户在使用防火墙之前请仔细阅读本手册,以免误操作,造成不必要的损失。
〖手册构成〗本手册主要由以下几个部分组成:1.2.3.4. 第1章用户管理介绍管理员(root)登录CLI后所能进行的操作,如添加、编辑或删除其他具有管理权限的用户,以及修改自身或其它用户口令。
第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作,主要是防火墙接口的配置以及各种规则的配置。
第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。
附录命令速查为用户提供了快速查找命令的工具。
〖手册约定〗CLI约定y斜体——命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。
y{ x | y | ... }——表示从两个或多个选项中必须选取一个。
y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。
范例:sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式,分别为:普通模式:管理员(root)和安全员可以进入该模式。
在该模式下可以进行的操作有:进入特权模式、退出和语言管理。
特权模式:管理员(root)和安全员可以进入该模式。
在该模式下,可以查看系统信息及配置信息,可以对系统进行高级别的操作,但不能更改配置信息。
不同权限的用户进入特权模式后,所能做的操作也不同。
管理员(root)进入特权模式后可以进行的操作有:进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。
NetEye FW 过滤规则配置
4-13
连接建立过程
内网接口 192.168.0.2
外网接口 Internet
服务器
客户端
3 2 ‘
ACK SYN ACK SYN
3 ‘ 2 1 ‘
ACK SYN ACK SYN
1
NetEye Firewall 使用指南
4-14
外到内的访问,拒绝
提示: • 允许只是部分的允许; • 拒绝是绝对的禁止;
NetEye Firewall 使用指南
4-6
经过防火墙的典型访问
192.168.0.0/24 ……
内部网络
Internet
•
举例: 192.168.0.2 能够通过防火墙访问 ;
NetEye Firewall 使用指南
4-32
新建包过滤规则-3.2
•
•
可以输入:单个IP地址、IP地 址范围、域名; “去除下列地址”是指在一个 地址范围中,被去除的地址不 匹配此规则;
NetEye Firewall 使用指南
4-33
新建包过滤规则-3.3
•
例如: 192.168.0.16 属于 192.168.0.15 - 192.168.0.20 这个范围,但管理员不希望这 个IP匹配这个规则,就 “去 除”这个IP地址的,去除的IP 地址前面用“!”标识;
• •
NetEye Firewall 使用指南
4-28
新建包过滤规则-2.1
• • • 拒绝”意味着匹配该规则的连 接不允许通过; “允许”意味着匹配该规则的 连接可以通过;“允许”包括 两个内容; 选中复选框“对TCP连接进行 认证” ,表示:防火墙对TCP 请求包进行认证后,才允许通 过,认证需要的用户名/密码信 息存放在指定的认证域中,关 于认证域请参见《NetEye Firewall安全控制台使用指南》 中的“认证管理”章节;
东软防火墙NetEye FW5000系列技术白皮书
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
NetEye FW 配置使用技术培训v3
Page 4
认识工程
NETEYE防火墙是基于工程的 结构框架,实现对防火墙运行 模式、硬件配置、规则策略制 定等功能操作。左框架为防火 墙工作于路由模式的一个基本 配置结构。
•
运行模式: 运行模式: 运行模式是防火墙一个重要 属性,他指定防火墙运行方 式。 交换模式:也称为桥模式, 是一种不更改网络拓朴的应 用模式。运行此模式下的防 火墙多处于原网络路由及交 换机间 路由模式:与桥模式相对不 同,此模式需对原网络结构 进行修改。运行此模式下的 防火墙可以看作是一台路由 器及运行于桥模式下的防火 墙
© 2004, 东软
Page 2
首次登录
防火墙初始root用户,密码为 neteye。此用户只可用于管理 用户(如新增用户,重置用户密 码)。初始化帐户ROOT无法更 改用户名,但用户可以根据自 己需要更改其初始密码。
•
注意事项: 注意事项: NETEYE系列防火墙对登录 错误是有限制,超过五次错 误登录,防火墙将暂时锁定 请于半个小时再次登录。锁 定期间,即使输入正确用户 名及密码防火墙也不予登录 内置ROOT用户的权限权可 管理用户。并可重置用户新 建帐户的密码,所以请慎重 更改其口令。如防火墙管理 帐户口令遗失或忘记可与我 们联系。
步骤 1
步骤 2
步骤 3
新建工程
建立规则
应用规则
© 2004, 东软
Page 5
新建工程
新建工程时,首先需要确认的 就是此工程的运行模式。图示 选择为交换模式。系统默认的 default工程即为一个全通规则 的交换模式工程。 •
小知识: 小知识:
源路由攻击: 源路由攻击: 攻击者利用TCP/IP协议支 持IP包的源路由选项这一特 性,指定一个IP包传输时所 经过的特定路由,从而绕开 网络安全检查。
东软NetEye统一身份管理系统.pdf
东软NetEye统一身份管理系统(NABH)密函打印客户端使用手册沈阳东软系统集成工程有限公司2014年8月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于沈阳东软系统集成工程有限公司所有。
未经沈阳东软系统集成工程有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。
本手册中的信息受中国知识产权法和国际公约保护。
版权所有,翻版必究©目录1前言 (1)1.1 文档目的 (1)1.2 相关文档 (1)1.3 打印机适用范围 (1)1.4 读者对象 (1)2使用步骤 (2)2.1 安装客户端 (2)2.2 配置密函打印员 (6)2.3 安装USBKEY驱动和导入证书 (6)2.4 客户端的使用 (6)2.4.1. 密函打印申请 (6)2.4.2. 密函打印审批 (15)2.4.3. 密函打印 (16)3密函打印字段和样式 (17)3.1 密函打印模板 (17)3.2 密函打印字段 (19)3.3 密函信封样式 (19)1前言1.1文档目的本文档编写目的主要是介绍如何安装、使用沈阳东软系统集成工程有限公司的密函打印客户端,于此同时,也介绍密函打印审批的过程。
对于密函打印支持的打印机,模版样式,信封样式做了说明。
通过阅读本文档,读者能够正确地安装和配置密函打印客户端,以及如何使用密函打印功能。
1.2相关文档《飞天key使用手册》《东软NetEye统一身份管理系统(NABH)维护手册》《东软NetEye统一身份管理系统(NABH)快速配置手册》1.3打印机适用范围沈阳东软系统集成工程有限公司的密函打印客户端支持通用的针式打印机。
1.4读者对象本手册适用于密函打印员和设备帐户管理员。
2使用步骤2.1 安装客户端安装密函打印客户端软件,安装文件在随机光盘中:密函打印客户端.rar”步骤:双击安装包中的APClientsetup.exe,进行安装:点击“下一步(N)”:选择“我接受该许可证书协议中的条款(A)”,然后点击“下一步(N)”:填写用户姓名和单位,点击“下一步”:选择安装路径后,点击“下一步”:点击“安装(I)”:最后点击“完成”,完成密函打印客户端的安装。
NetEye使用说明
NetEye 网络配置使用说明EYE win2.0 监控系统采用客户服务器结构,既可单机运行也可配置成多机系统运行,各工作站通过以太网连接,通过NetEye.exe可以完成EYE win2.0系统的网络配置功能,在系统运行时NetEye也可完成网络上各工作站的网络通信状态实时监视及网络身份显示功能。
保存配置增加记录选中某条记录后,点击此图标删除该记录网络状态刷新外挂模块配置一.网络配置1.1网络节点配置启动NetEye.exe显示如下画面,图1图1选中网络配置可编辑定义网络配置信息:1.节点名:填写网络节点的计算机名,这里的节点是指网络上的一台计算机2.A网地址:网络节点第一块网卡的IP地址,如无效,填-13.B网地址:网络节点第二块网卡的IP地址,如无效,填-14.主控机:该节点在运行当中是否可成为主机(具体程序为EYEwin.exe),点击该处,如图2会出现下拉列表框供选择,选中“是”则该节点在运行当中可以成为主服务器,如网络上有主服务器运行,则该节点做为主服务器的热备用以备服务器的身份运行,一旦主服务器退出,则备服务器切换为主服务器;选中“否”则该节点在运行当中只是作为客户机运行。
图25.前置机:该节点是否可启动前置机程序(具体程序为PremNet.exe),点击该处,如图3出现下拉列表框,选中“是”,则该节点可以启动前置机程序,“否”则不能启动,即便把前置程序启起来,主服务器也会认为其非法,不会与之建立连接。
图31.2 数据库外挂模块配置EYE win2.0 系统数据库外挂模块放置在Plugin目录下,主要有五防、VQC、接地选线、双位遥信等功能模块,这些模块的启用也可通过NetEye.exe配置,在系统默认情况下,数据库外挂模块是由主服务器启动的,也可通过配置分布到各个节点上分别启动。
NetEye启动时会将Plugin目录下所有的模块显示到界面中,点击工具栏图标,会弹出外挂模块调用方式配置对话框,如图4,有两种调用方式,一种是仅主机启动,如选中此配置,点击保存后,如图5则所有的数据库外挂模块都由运行中的主服务器启动,当主服务器发生切换时,所有的数据库外挂模块也随之迁移。
东软防火墙配置过程
Password(6-128): < 密码>Repeat Password(6-128): < 密码>选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
1.选择配置系统的方式并配置一个可连接的端口。
Allow managing the firewall by using the WebUI?(y/n)(y):yAllow managing the firewall by using the CLI?(y/n)(y):n管理员可以通过WebUI 界面配置系统,或者通过CLI 界面配置系统。
Select an interface from the list :( 1 ) eth0( 2 ) eth1( 3 ) eth2( 4 ) eth3Please input ethernet interface [1-4](1): < 端口ID 或序号> 1Please input IP address (192.168.1.100): <IP 地址>192.168.1.100Please input subnet mask (255.255.255.0): < 子网掩码>255.255.255.0Please input default router to use with selected interface (192.168.1.1): <缺省路由>192.168.1.1You have input the following parameters:Interface for initial connection: <eth0>IP address: <192.168.1.100>Subnet mask: <255.255.255.0>Default route: < 192.168.1.1>Is this information correct(y/n) yYou now have access to WebUI and CLI and can continue to configure thesystem via these interface.Start SCM Server?(y/n)(n): < 开启SCM Server>n Allow managing the firewall by using the SCMServer(y/n)(n): <允许SCM Server管理>n2.登录NetEye 系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4
2020/5/3
物理连接防火墙
Neusoft Group Ltd.
防火墙
网卡
• 使用交叉线连接管理主机和防火 墙的管理口;
• 交叉线和网线有一定的区别; • 管理主机的IP必须为192.168.1.0
网段;
管理主机
5
2020/5/3
管理器连接防火墙
Neusoft Group Ltd.
• 使用串口线连接防火墙的串口和管理主机的串口; • 启动管理主机中,程序->附件->超级终端; • 设置属性,还原为默认值(波特率为9600) • 用户名/口令为:root / neteye; • 此帐号为超级终端的登录帐号,与管理器中的root没有任何关系;
19
2020/5/3
Neusoft Group Ltd.
Q&A
Q:使用同一个帐号连续登录5次失败后,帐号不可用? A:防火墙认为你可能进行暴力破解,为保护帐号安
全,故锁定,必须等待20分钟后,此帐号自动激活。 在此期间,即使输入正确密码也无效。
Q:登录管理器的root口令忘记,怎么办?
A:通过超级终端登录到防火墙,进入目录 /fwsys/services/bin ,执行 ./authuser –n root ,即 可根据提示修改口令。
– RSA公司的Secure ID等等……
16
2020/5/3
Neusoft Group Ltd.
Radius认证的工作原理
1.帐号发起“登录防火墙”的请求
管理主机
5.防火墙根据Radius返回的认证信息,如果成功,则 允许此帐号登录;如果失败,给出相应的错误提示
防火墙
2.防火墙检测此帐号为Radius认证,将管理主机 发送过来的用户名 / 口令发送给Radius服务器
10
2020/5/3
维护防火墙用户
Neusoft Group Ltd.
11
2020/5/3
添加用户
Neusoft Group Ltd.
• 3个权限代表可以使用不同的管理组 件; – 管理器 – 安全控制台和实时监控 – 审计分析系统
12
2020/5/3
Neusoft Group Ltd.
不同用户的权限
20
2020/5/3
Neusoft Group Ltd.
Q&A
Q:管理器的root帐号不能被删除?
A:防火墙的初始化帐号,必须存在,不能修改其认证 方式,不能修改名字,否则无法通过管理器登录到防 火墙。
Q:超级终端登录的root口令忘记怎么办? A:向东软NetEye产品维护人员寻求帮助。
21更多精品资ຫໍສະໝຸດ 访问22020/5/3
启动管理器
Neusoft Group Ltd.
• 会默认地去打开“地址簿”窗口; • 几个管理组件共用一个“地址簿”; • 因为地址簿的存在,一个管理主机
可以同时维护多个防火墙;
3
2020/5/3
添加防火墙IP
Neusoft Group Ltd.
• IP地址是指要维护的防火墙IP地址,通常为防火墙的管理口IP;出厂时,管理 口网卡默认为eth0,IP地址为192.168.1.100;
管理用户权限
用户管理 员
安全员 审计员
+
+
+
+
+
安全控制权 限
+
审计权 限
+
14
2020/5/3
Neusoft Group Ltd.
认证方式
• 本地认证代表用户名 / 口令信息存放在防火墙上 • Radius认证采用第三方标准的认证方式
15
2020/5/3
Neusoft Group Ltd.
NetEye防火墙支持的Radius认证 • 只要是其认证产品符合标准的Radius协议,都可 以与NetEye防火墙的认证机制兼容
4. Radius服务器将认证 结果返回给防火墙主机
3. Radius服务器根据用 户名 / 口令检查数据库
User pass admin *** ……
Radius服务器
17
2020/5/3
Neusoft Group Ltd.
Radius认证的设置
– 通过超级终端修改防火墙主机上的文件
/fwsys/var/conf/auth.conf ,格式如下
RADIUS:host
192.168.1.105
RADIUS:port
1645
RADIUS:secret secretkey
–执行“/fwsys/scripts/rc.auth restart”,使配置生 效
18
2020/5/3
通过超级终端调试防火墙
串口
Neusoft Group Ltd.
防火墙
管理主机
更多品资源请访问
2020/5/3
目标
• 维护管理用户信息
Neusoft Group Ltd.
1
2020/5/3
Neusoft Group Ltd.
用户分类
• 管理用户 – 本章讲述的内容 – 配置、维护防火墙主机
• 普通认证用户 – 《NetEye Firewall安全控制台使用指南》中讲述 – 对经过防火墙的网络连接进行身份认证
• 不同权限的用户,具有不同的NetEye专业称谓 – 使用管理器的用户为:用户管理员; – 使用安全控制台和实时监控系统的用户为:安全员; – 使用审计分析系统的用户为:审计员;
13
2020/5/3
用户的约束关系
Neusoft Group Ltd.
用户 / 权限
root 用户管理
员 安全员 审计员
• 再启动一个防火墙管理器程序,当需要同时管理多台防 火墙时,用到此功能。
8
2020/5/3
Neusoft Group Ltd.
断开连接
• 管理员在工作过程中,可能会因为某些原因,需要暂时 离开一段时间,建议管理员在这种情况下执行“断开连 接”。
9
2020/5/3
更改登录口令
Neusoft Group Ltd.
• 在已有的地址簿中,选择要维护 的防火墙IP地址,进行连接;
6
2020/5/3
管理器连接防火墙
Neusoft Group Ltd.
root neteye
• 防火墙出厂时,管理器默认的用户名 / 口令为: root / neteye ;
7
2020/5/3
Neusoft Group Ltd.
新建NetEye防火墙管理器