东软防火墙 NetEye FW 用户管理器 使用共23页

东软NetEye网络审计系统V5.0用户手册2014年9月目录第一部分产品快速向导 (1)1图形界面格式约定 (1)2环境要求 (1)3接线方式 (1)4登录设备 (2)5刷新/保存/注销 (3)6密码恢复 (3)第二部分产品配置 (4)7设备状态 (4)8实时监控 (6)8.1设备资源 (6)8.2物理接口 (7)8.3服务监控 (8)8.3.1服务趋势叠加图 (8)8.3.2服务组趋势图 (9)8.3.3活跃服务统计 (10)8.3.4所有服务统计 (10)8.4用户监控 (11)8.4.1流量分析 (11)8.4.2会话分析 (12)8.4.3活跃会话 (13)8.5上网行为 (14)8.6在线用户 (15)8.7防共享上网 (17)8.8当前黑名单 (18)8.9应用限额用户 (20)9系统配置 (21)9.1设备工作模式 (21)9.1.1网桥模式 (21)9.1.2路由模式 (23)9.1.3旁路模式 (24)9.2系统维护 (25)9.2.1系统升级 (25)9.2.2自动升级 (27)9.2.3备份与恢复 (28)9.2.4重启/关机 (29)9.3系统管理员 (30)9.3.1配置系统管理员 (30)9.3.2角色管理 (32)9.4网管策略 (33)9.6网络工具 (35)9.6.1Ping (35)9.6.2TraceRoute (36)9.7系统时间 (37)9.8系统信息 (38)9.9邮件配置 (38)9.10集中管理 (39)10系统对象 (40)10.1地址簿 (40)10.2网络服务 (41)10.2.1内置服务 (41)10.2.2自定义普通服务 (42)10.2.3自定义特征识别 (43)10.2.4自定义论坛/网评特征 (44)10.2.5协议剥离 (45)10.3时间计划 (47)10.4URL库 (48)10.5关键字组 (49)10.6文件类型 (50)11网络配置 (52)11.1接口配置 (52)11.1.1物理接口 (52)11.1.2链路聚合 (53)11.1.3VLAN接口 (54)11.1.4PPPoE (55)11.1.5DHCP客户端 (56)11.1.6GRE隧道 (56)11.2配置IP地址 (57)11.3静态路由 (58)11.4OSPF路由 (59)11.4.1网络配置 (59)11.4.2接口配置 (60)11.4.3参数配置 (61)11.4.4虚连接配置 (62)11.4.5信息显示 (63)11.5策略路由 (65)11.5.1策略路由 (65)11.5.2均衡策略 (67)11.5.3持续路由 (69)11.5.4链路健康检查 (70)11.6DNS 配置 (72)11.7DDNS 配置 (73)11.8智能DNS (73)11.8.3均衡策略 (75)11.8.4DNS策略 (77)11.9ARP表 (79)11.10DHCP配置 (80)11.10.1基本参数 (80)11.10.2DHCP中继 (81)11.10.3已分配IP地址 (82)11.11SNMP服务器 (82)11.12代理服务器列表 (82)11.13代理配置 (83)12防火墙 (85)12.1安全策略 (85)12.2NAT规则 (87)12.2.1内网代理 (87)12.2.2一对一地址转换 (88)12.2.3端口映射 (90)12.2.4服务器池 (92)12.3防DOS攻击 (93)12.4ARP 欺骗防护 (94)12.5应用层网关 (95)12.6加速老化 (96)12.7防病毒设置 (97)12.8移动终端管理 (97)13VPN配置 (99)13.1IPSec (99)13.1.1IPSec隧道 (99)13.1.2IPSec规则 (100)13.2PPTP (102)13.3L2TP (103)13.4VPN 用户 (104)14组织管理 (105)14.1组织结构 (105)14.1.1定位并选中当前操作对象 (105)14.1.2修改根组 (106)14.1.3新增子组 (106)14.1.4修改子组 (107)14.1.5新增普通用户 (109)14.1.6新增认证用户 (110)14.1.7修改用户 (111)14.1.8绑定检查 (112)14.1.9导出用户和组 (116)14.1.10移动用户和组 (117)14.2批量导入 (120)14.3LDAP/AD导入 (120)14.4扫描内网主机 (122)14.5临时账户管理 (124)14.5.1临时账户设置 (124)14.5.2申请临时账户的步骤（页面与Email获取密码） (127)14.5.3申请临时账户的步骤（短信获取密码） (129)14.5.4未审核账户列表 (130)14.5.5已审核账户列表 (131)14.5.6批量生成 (131)14.6Dkey管理 (132)15流量管理 (133)15.1线路带宽配置 (133)15.2基于策略的流控 (134)15.3基于用户的流控 (137)16行为管理 (141)16.1认证策略 (142)16.2上网策略 (145)16.2.1上网权限策略 (145)16.2.2终端提醒策略 (155)16.2.3准入策略 (158)16.2.4应用限额策略 (162)16.2.5黑名单策略 (163)16.2.6上网审计策略 (166)16.3认证选项 (169)16.3.1跨三层MAC识别 (169)16.3.2认证参数 (170)16.3.3自定义认证页面 (171)16.3.4未认证权限 (172)16.3.5SSO (173)16.3.6短信认证 (181)16.4认证服务器 (184)16.4.1RADIUS服务器 (184)16.4.2AD服务器 (185)16.4.3LDAP服务器 (186)16.4.4POP3服务器 (187)16.4.5服务器测试 (188)16.5白名单管理 (189)16.5.1IP 白名单 (190)16.5.2URL 白名单 (191)16.5.3即时通讯白名单 (192)17酒店管理-即插即用 (193)19系统日志 (197)19.1命令日志 (197)19.2事件日志 (198)19.3PPTP/Ｌ2TP日志 (199)19.4IPSec日志 (199)19.5黑名单日志 (200)19.6安全日志 (201)19.7日志服务器 (202)19.8短信配置 (203)19.9告警配置 (203)20故障排除 (209)20.1捕获数据包 (209)20.2查看数据包 (210)20.3调试信息下载 (210)20.4上网故障调试 (211)21报表中心 (212)21.1报表中心配置 (212)21.2内置报表中心 (213)第一部分产品快速向导1图形界面格式约定2环境要求设备系列产品可在如下环境使用：输入电压： 220～240V温度： -10～50 ℃湿度： 5～90%电源：交流电源110V ～230V为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。

求东软防火墙使用手册
东软Neteye 4032 防火墙维护手册
一、 Neteye 4032 的默认管理IP为192.168.1.100 ,我们用防火墙自带的一根交叉线和PC相连，PC的IP设置为和防火墙一个网段，在运行下ping 192.168.1.100，显示连通；在WEB浏览器下输入192.168.1.100,进入防火墙的WEB管理界面。

二、默认用户为：root 密码：eye 进入用户管理界面，此页面下可以创建用户，并设置权限（安全控制、审计、管理）
三、为方便调试已创建用户: xxxx 密码：xxxx 权限为：安全控制
四、用xxxx 这个用户进入WEB界面后，先看到防火墙的所有信息
然后根据需求，设置防火墙的工作模式，是交换还是路由，
1、交换模式下，Eth 口不需要配地址，也没有NAT的转换
2、路由模式下，根据需求可以配置NAT、默认路由，它既充当路由器，又起到防火墙的作用。

五、 Eth 0口为管理接口，只有在配置防火墙时才使用
Eth 1-4可随意定义为内网口、外网、DMZ区等
在我们这次配置中，Eth 口的定义：
Eth 1----内网
Eth 2---外网
Eth---3 用交叉线直连防火墙
Eth 4----xxx网
六、访问控制：允许Eth 1 访问 Eth 2 , 拒绝访问 Eth 3、4
允许Eth 2 访问 Eth 1 , 拒绝访问 Eth 3、4
允许Eth 3 访问 Eth 4 , 拒绝访问 Eth 1、2
允许Eth 4访问 Eth 3 , 拒绝访问 Eth 1、2
七、在配置完成后，一定要选择“应用并保存”选项。

东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范，同时，也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。

1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》（电监会5号令）、《电力系统安全防护总体方案》（国家电力监管委员会[2006]34号文及配套文件）和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。

通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。

项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复绝大部分功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障贵州电网安全稳定运行。

第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。

第1章用户管理该章节中的操作仅在root用户登录后可用。

语法：1．添加用户NetEye(config)＃ user username{ local | radius } { security [ audit ] | audit [ security ] } 2．配置RADIUS服务器NetEye(config)＃ radius-server host ipaddress]3．配置RADIUS服务器端口NetEye(config)＃radius-server port number4．设置RADIUS服务器密码NetEye(config)＃ radius-server secret5．将RADIUS服务器设置为默认状态NetEye(config)＃ no radius-server6．查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye＃ show radius-server7．删除用户NetEye(config)＃ no user username8．更改用户口令NetEye(config)＃ password [ username ]9．显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye＃show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。

（一）初始化设备1)初始化配置步骤：1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。

完成初始配置后，可不再使用控制台。

2.打开NetEye 设备的电源开关。

3.终端控制台将显示如下提示：LILO 22.7.11 NetEye_FW_4_2_build_200080.install2 bootmgrPress key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。

4.配置设备。

Config the firewall or quit (y/n)(n)y5.修改主机名。

Please input the host name for this systemHost name: <new hostname>SZYCZ_FW52006.输入系统时间。

Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04 10:22:367.设置系统语言。

Please set system language(1) English(2) ChinesePlease input a choice[1-2,q](2) <1、2 或q>选择2，中文，回车8.更改根管理员口令。

（此步骤可选，但东软强烈建议首次登录后修改口令。

）Changing default password of root?(y/n)(y):Old password(6-128): neteyePassword(6-128): < 新密码>Repeat Password(6-128): < 新密码>这里我们不更改它的默认密码，选择n9.添加根系统管理员及选择登录方式。

阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南，它详细地介绍了CLI的功能和操作。

通过阅读本手册，用户可以掌握NetEye防火墙CLI的使用方法。

〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。

用户在使用防火墙之前请仔细阅读本手册，以免误操作，造成不必要的损失。

〖手册构成〗本手册主要由以下几个部分组成：1.2.3.4. 第1章用户管理介绍管理员（root）登录CLI后所能进行的操作，如添加、编辑或删除其他具有管理权限的用户，以及修改自身或其它用户口令。

第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作，主要是防火墙接口的配置以及各种规则的配置。

第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。

附录命令速查为用户提供了快速查找命令的工具。

〖手册约定〗CLI约定y斜体——命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。

y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。

y{ x | y | ... }——表示从两个或多个选项中必须选取一个。

y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。

范例：sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式，分别为：普通模式：管理员（root）和安全员可以进入该模式。

在该模式下可以进行的操作有：进入特权模式、退出和语言管理。

特权模式：管理员（root）和安全员可以进入该模式。

在该模式下，可以查看系统信息及配置信息，可以对系统进行高级别的操作，但不能更改配置信息。

不同权限的用户进入特权模式后，所能做的操作也不同。

管理员（root）进入特权模式后可以进行的操作有：进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。

NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换（NAT） (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样，成为国家稳定和发展的关键基础设施。

因此，保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。

在这些应用环境中，业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏，后果不堪设想，因此必须采用高性能的防火墙设备加以严密保护。

政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。

本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。

关键行业骨干节点的边界安全防护有着共同的特点，最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。

以性能的要求为例，一些大型商业银行数据中心的服务器数量高达上千台，仅备份网络的带宽就达 2.5G；大型政府网站的对外服务处理的查询量高达每秒20000次以上，而响应时间的要求是5秒以下。

因此，理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性，达到以下标准：l将高安全性放在首要地位，可抵御各种网络入侵和攻击，在瞬间做出安全和流量路由决策，即使在处理数Gbps的网络流量时也能做到这一点；l支持多样化的部署方式，具备面向复杂应用环境的功能特性，适应复杂且变化迅速的业务需求；l采用高性能的硬件架构，提供最佳的产品性价比，提高行业安全项目建设的投资回报率。

东软NetEye统一身份管理系统（NABH）密函打印客户端使用手册沈阳东软系统集成工程有限公司2014年8月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于沈阳东软系统集成工程有限公司所有。

未经沈阳东软系统集成工程有限公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本手册中的信息受中国知识产权法和国际公约保护。

版权所有，翻版必究©目录1前言 (1)1.1 文档目的 (1)1.2 相关文档 (1)1.3 打印机适用范围 (1)1.4 读者对象 (1)2使用步骤 (2)2.1 安装客户端 (2)2.2 配置密函打印员 (6)2.3 安装USBKEY驱动和导入证书 (6)2.4 客户端的使用 (6)2.4.1. 密函打印申请 (6)2.4.2. 密函打印审批 (15)2.4.3. 密函打印 (16)3密函打印字段和样式 (17)3.1 密函打印模板 (17)3.2 密函打印字段 (19)3.3 密函信封样式 (19)1前言1.1文档目的本文档编写目的主要是介绍如何安装、使用沈阳东软系统集成工程有限公司的密函打印客户端，于此同时，也介绍密函打印审批的过程。

对于密函打印支持的打印机，模版样式，信封样式做了说明。

通过阅读本文档，读者能够正确地安装和配置密函打印客户端，以及如何使用密函打印功能。

1.2相关文档《飞天key使用手册》《东软NetEye统一身份管理系统（NABH）维护手册》《东软NetEye统一身份管理系统（NABH）快速配置手册》1.3打印机适用范围沈阳东软系统集成工程有限公司的密函打印客户端支持通用的针式打印机。

1.4读者对象本手册适用于密函打印员和设备帐户管理员。

2使用步骤2.1 安装客户端安装密函打印客户端软件，安装文件在随机光盘中：密函打印客户端.rar”步骤：双击安装包中的APClientsetup.exe，进行安装：点击“下一步（N）”：选择“我接受该许可证书协议中的条款(A)”,然后点击“下一步(N)”:填写用户姓名和单位，点击“下一步”：选择安装路径后，点击“下一步”：点击“安装(I)”:最后点击“完成”，完成密函打印客户端的安装。

NetEye 网络配置使用说明EYE win2.0 监控系统采用客户服务器结构，既可单机运行也可配置成多机系统运行，各工作站通过以太网连接，通过NetEye.exe可以完成EYE win2.0系统的网络配置功能，在系统运行时NetEye也可完成网络上各工作站的网络通信状态实时监视及网络身份显示功能。

保存配置增加记录选中某条记录后，点击此图标删除该记录网络状态刷新外挂模块配置一．网络配置1．1网络节点配置启动NetEye.exe显示如下画面，图1图1选中网络配置可编辑定义网络配置信息：1．节点名：填写网络节点的计算机名，这里的节点是指网络上的一台计算机2．A网地址：网络节点第一块网卡的IP地址，如无效，填-13．B网地址：网络节点第二块网卡的IP地址，如无效，填-14．主控机：该节点在运行当中是否可成为主机（具体程序为EYEwin.exe），点击该处，如图2会出现下拉列表框供选择，选中“是”则该节点在运行当中可以成为主服务器，如网络上有主服务器运行，则该节点做为主服务器的热备用以备服务器的身份运行，一旦主服务器退出，则备服务器切换为主服务器；选中“否”则该节点在运行当中只是作为客户机运行。

图25．前置机：该节点是否可启动前置机程序（具体程序为PremNet.exe），点击该处，如图3出现下拉列表框，选中“是”，则该节点可以启动前置机程序，“否”则不能启动，即便把前置程序启起来，主服务器也会认为其非法，不会与之建立连接。

图31．2 数据库外挂模块配置EYE win2.0 系统数据库外挂模块放置在Plugin目录下，主要有五防、VQC、接地选线、双位遥信等功能模块，这些模块的启用也可通过NetEye.exe配置，在系统默认情况下，数据库外挂模块是由主服务器启动的，也可通过配置分布到各个节点上分别启动。

NetEye启动时会将Plugin目录下所有的模块显示到界面中，点击工具栏图标，会弹出外挂模块调用方式配置对话框，如图4，有两种调用方式，一种是仅主机启动，如选中此配置，点击保存后，如图5则所有的数据库外挂模块都由运行中的主服务器启动，当主服务器发生切换时，所有的数据库外挂模块也随之迁移。

Password(6-128): < 密码>Repeat Password(6-128): < 密码>选择y，添加ycz用户，设备相应密码，Web管理，Telnet。

1.选择配置系统的方式并配置一个可连接的端口。

Allow managing the firewall by using the WebUI?(y/n)(y):yAllow managing the firewall by using the CLI?(y/n)(y):n管理员可以通过WebUI 界面配置系统，或者通过CLI 界面配置系统。

Select an interface from the list :( 1 ) eth0( 2 ) eth1( 3 ) eth2( 4 ) eth3Please input ethernet interface [1-4](1): < 端口ID 或序号> 1Please input IP address (192.168.1.100): <IP 地址>192.168.1.100Please input subnet mask (255.255.255.0): < 子网掩码>255.255.255.0Please input default router to use with selected interface (192.168.1.1): <缺省路由>192.168.1.1You have input the following parameters:Interface for initial connection: <eth0>IP address: <192.168.1.100>Subnet mask: <255.255.255.0>Default route: < 192.168.1.1>Is this information correct(y/n) yYou now have access to WebUI and CLI and can continue to configure thesystem via these interface.Start SCM Server?(y/n)(n): < 开启SCM Server>n Allow managing the firewall by using the SCMServer(y/n)(n): <允许SCM Server管理>n2.登录NetEye 系统。