东软防火墙NetEyeFW用户管理器使用

东软NetEye网络审计系统V5.0用户手册2014年9月目录第一部分产品快速向导 (1)1图形界面格式约定 (1)2环境要求 (1)3接线方式 (1)4登录设备 (2)5刷新/保存/注销 (3)6密码恢复 (3)第二部分产品配置 (4)7设备状态 (4)8实时监控 (6)8.1设备资源 (6)8.2物理接口 (7)8.3服务监控 (8)8.3.1服务趋势叠加图 (8)8.3.2服务组趋势图 (9)8.3.3活跃服务统计 (10)8.3.4所有服务统计 (10)8.4用户监控 (11)8.4.1流量分析 (11)8.4.2会话分析 (12)8.4.3活跃会话 (13)8.5上网行为 (14)8.6在线用户 (15)8.7防共享上网 (17)8.8当前黑名单 (18)8.9应用限额用户 (20)9系统配置 (21)9.1设备工作模式 (21)9.1.1网桥模式 (21)9.1.2路由模式 (23)9.1.3旁路模式 (24)9.2系统维护 (25)9.2.1系统升级 (25)9.2.2自动升级 (27)9.2.3备份与恢复 (28)9.2.4重启/关机 (29)9.3系统管理员 (30)9.3.1配置系统管理员 (30)9.3.2角色管理 (32)9.4网管策略 (33)9.6网络工具 (35)9.6.1Ping (35)9.6.2TraceRoute (36)9.7系统时间 (37)9.8系统信息 (38)9.9邮件配置 (38)9.10集中管理 (39)10系统对象 (40)10.1地址簿 (40)10.2网络服务 (41)10.2.1内置服务 (41)10.2.2自定义普通服务 (42)10.2.3自定义特征识别 (43)10.2.4自定义论坛/网评特征 (44)10.2.5协议剥离 (45)10.3时间计划 (47)10.4URL库 (48)10.5关键字组 (49)10.6文件类型 (50)11网络配置 (52)11.1接口配置 (52)11.1.1物理接口 (52)11.1.2链路聚合 (53)11.1.3VLAN接口 (54)11.1.4PPPoE (55)11.1.5DHCP客户端 (56)11.1.6GRE隧道 (56)11.2配置IP地址 (57)11.3静态路由 (58)11.4OSPF路由 (59)11.4.1网络配置 (59)11.4.2接口配置 (60)11.4.3参数配置 (61)11.4.4虚连接配置 (62)11.4.5信息显示 (63)11.5策略路由 (65)11.5.1策略路由 (65)11.5.2均衡策略 (67)11.5.3持续路由 (69)11.5.4链路健康检查 (70)11.6DNS 配置 (72)11.7DDNS 配置 (73)11.8智能DNS (73)11.8.3均衡策略 (75)11.8.4DNS策略 (77)11.9ARP表 (79)11.10DHCP配置 (80)11.10.1基本参数 (80)11.10.2DHCP中继 (81)11.10.3已分配IP地址 (82)11.11SNMP服务器 (82)11.12代理服务器列表 (82)11.13代理配置 (83)12防火墙 (85)12.1安全策略 (85)12.2NAT规则 (87)12.2.1内网代理 (87)12.2.2一对一地址转换 (88)12.2.3端口映射 (90)12.2.4服务器池 (92)12.3防DOS攻击 (93)12.4ARP 欺骗防护 (94)12.5应用层网关 (95)12.6加速老化 (96)12.7防病毒设置 (97)12.8移动终端管理 (97)13VPN配置 (99)13.1IPSec (99)13.1.1IPSec隧道 (99)13.1.2IPSec规则 (100)13.2PPTP (102)13.3L2TP (103)13.4VPN 用户 (104)14组织管理 (105)14.1组织结构 (105)14.1.1定位并选中当前操作对象 (105)14.1.2修改根组 (106)14.1.3新增子组 (106)14.1.4修改子组 (107)14.1.5新增普通用户 (109)14.1.6新增认证用户 (110)14.1.7修改用户 (111)14.1.8绑定检查 (112)14.1.9导出用户和组 (116)14.1.10移动用户和组 (117)14.2批量导入 (120)14.3LDAP/AD导入 (120)14.4扫描内网主机 (122)14.5临时账户管理 (124)14.5.1临时账户设置 (124)14.5.2申请临时账户的步骤（页面与Email获取密码） (127)14.5.3申请临时账户的步骤（短信获取密码） (129)14.5.4未审核账户列表 (130)14.5.5已审核账户列表 (131)14.5.6批量生成 (131)14.6Dkey管理 (132)15流量管理 (133)15.1线路带宽配置 (133)15.2基于策略的流控 (134)15.3基于用户的流控 (137)16行为管理 (141)16.1认证策略 (142)16.2上网策略 (145)16.2.1上网权限策略 (145)16.2.2终端提醒策略 (155)16.2.3准入策略 (158)16.2.4应用限额策略 (162)16.2.5黑名单策略 (163)16.2.6上网审计策略 (166)16.3认证选项 (169)16.3.1跨三层MAC识别 (169)16.3.2认证参数 (170)16.3.3自定义认证页面 (171)16.3.4未认证权限 (172)16.3.5SSO (173)16.3.6短信认证 (181)16.4认证服务器 (184)16.4.1RADIUS服务器 (184)16.4.2AD服务器 (185)16.4.3LDAP服务器 (186)16.4.4POP3服务器 (187)16.4.5服务器测试 (188)16.5白名单管理 (189)16.5.1IP 白名单 (190)16.5.2URL 白名单 (191)16.5.3即时通讯白名单 (192)17酒店管理-即插即用 (193)19系统日志 (197)19.1命令日志 (197)19.2事件日志 (198)19.3PPTP/Ｌ2TP日志 (199)19.4IPSec日志 (199)19.5黑名单日志 (200)19.6安全日志 (201)19.7日志服务器 (202)19.8短信配置 (203)19.9告警配置 (203)20故障排除 (209)20.1捕获数据包 (209)20.2查看数据包 (210)20.3调试信息下载 (210)20.4上网故障调试 (211)21报表中心 (212)21.1报表中心配置 (212)21.2内置报表中心 (213)第一部分产品快速向导1图形界面格式约定2环境要求设备系列产品可在如下环境使用：输入电压： 220～240V温度： -10～50 ℃湿度： 5～90%电源：交流电源110V ～230V为保证系统能长期稳定的运行，应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。

东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范，同时，也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。

1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》（电监会5号令）、《电力系统安全防护总体方案》（国家电力监管委员会[2006]34号文及配套文件）和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。

通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。

项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复绝大部分功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障贵州电网安全稳定运行。

第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。

第1章用户管理该章节中的操作仅在root用户登录后可用。

语法：1．添加用户NetEye(config)＃ user username{ local | radius } { security [ audit ] | audit [ security ] } 2．配置RADIUS服务器NetEye(config)＃ radius-server host ipaddress]3．配置RADIUS服务器端口NetEye(config)＃radius-server port number4．设置RADIUS服务器密码NetEye(config)＃ radius-server secret5．将RADIUS服务器设置为默认状态NetEye(config)＃ no radius-server6．查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye＃ show radius-server7．删除用户NetEye(config)＃ no user username8．更改用户口令NetEye(config)＃ password [ username ]9．显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye＃show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。

阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南，它详细地介绍了CLI的功能和操作。

通过阅读本手册，用户可以掌握NetEye防火墙CLI的使用方法。

〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。

用户在使用防火墙之前请仔细阅读本手册，以免误操作，造成不必要的损失。

〖手册构成〗本手册主要由以下几个部分组成：1.2.3.4. 第1章用户管理介绍管理员（root）登录CLI后所能进行的操作，如添加、编辑或删除其他具有管理权限的用户，以及修改自身或其它用户口令。

第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作，主要是防火墙接口的配置以及各种规则的配置。

第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。

附录命令速查为用户提供了快速查找命令的工具。

〖手册约定〗CLI约定y斜体——命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。

y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。

y{ x | y | ... }——表示从两个或多个选项中必须选取一个。

y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。

范例：sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式，分别为：普通模式：管理员（root）和安全员可以进入该模式。

在该模式下可以进行的操作有：进入特权模式、退出和语言管理。

特权模式：管理员（root）和安全员可以进入该模式。

在该模式下，可以查看系统信息及配置信息，可以对系统进行高级别的操作，但不能更改配置信息。

不同权限的用户进入特权模式后，所能做的操作也不同。

管理员（root）进入特权模式后可以进行的操作有：进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。

NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换（NAT） (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样，成为国家稳定和发展的关键基础设施。

因此，保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。

在这些应用环境中，业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏，后果不堪设想，因此必须采用高性能的防火墙设备加以严密保护。

政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。

本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。

关键行业骨干节点的边界安全防护有着共同的特点，最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。

以性能的要求为例，一些大型商业银行数据中心的服务器数量高达上千台，仅备份网络的带宽就达 2.5G；大型政府网站的对外服务处理的查询量高达每秒20000次以上，而响应时间的要求是5秒以下。

因此，理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性，达到以下标准：l将高安全性放在首要地位，可抵御各种网络入侵和攻击，在瞬间做出安全和流量路由决策，即使在处理数Gbps的网络流量时也能做到这一点；l支持多样化的部署方式，具备面向复杂应用环境的功能特性，适应复杂且变化迅速的业务需求；l采用高性能的硬件架构，提供最佳的产品性价比，提高行业安全项目建设的投资回报率。

NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换（NAT） (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样，成为国家稳定和发展的关键基础设施。

因此，保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。

在这些应用环境中，业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏，后果不堪设想，因此必须采用高性能的防火墙设备加以严密保护。

政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。

本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。

关键行业骨干节点的边界安全防护有着共同的特点，最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。

以性能的要求为例，一些大型商业银行数据中心的服务器数量高达上千台，仅备份网络的带宽就达 2.5G；大型政府网站的对外服务处理的查询量高达每秒20000次以上，而响应时间的要求是5秒以下。

因此，理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性，达到以下标准：l将高安全性放在首要地位，可抵御各种网络入侵和攻击，在瞬间做出安全和流量路由决策，即使在处理数Gbps的网络流量时也能做到这一点；l支持多样化的部署方式，具备面向复杂应用环境的功能特性，适应复杂且变化迅速的业务需求；l采用高性能的硬件架构，提供最佳的产品性价比，提高行业安全项目建设的投资回报率。

东软东软NetEye日志审计系统用户手册1目录一、概述 (4)1.1日志审计的必要性 (4)1.2日志审计系统 (4)二、日志审计系统架构和运行环境 (5)2.1总体架构 (5)2.2运行环境 (5)三、硬件配置平台 (6)3.1初始状态说明： (6)3.2网络配置 (7)3.3时间调整 (8)3.4数据备份 (8)四、主要业务及流程 (9)4.1采集管理 (9)4.2资产管理 (10)4.3事件分析 (10)4.4审计管理 (10)4.5安全监控 (10)4.6报表管理 (11)五、基础功能 (11)5.1功能概述 (11)5.1.1什么是日志 (11)5.1.2日志是如何采集的 (11)5.1.3什么是安全事件 (12)5.1.4标准化 (12)5.1.5什么是过滤和归并 (13)5.2采集管理 (13)5.2.1相关操作 (13)5.3资产管理 (20)5.3.1什么是安全资产 (20)5.3.2安全资产的属性 (20)5.3.3什么是网络 (21)5.3.4什么是资产视图 (21)5.3.5相关操作 (21)5.4事件分析 (26)5.4.1安全事件的关联 (26)5.4.2相关操作 (27)5.5审计管理 (34)5.5.1什么是审计 (34)5.5.2相关操作 (34)5.6安全监控 (54)5.6.1什么是告警 (54)5.6.2告警的级别 (54)5.6.3告警的处理 (54)5.6.4什么是实时监控 (55)5.6.5相关操作 (55)5.7报表管理 (59)5.7.1相关操作 (59)5.8知识库管理 (65)5.8.1知识库有哪些分类 (65)5.8.2相关操作 (65)5.9拓扑管理 (67)5.9.1相关操作 (67)5.10系统管理 (72)5.10.1用户管理 (72)5.10.2日志管理 (79)5.10.3系统参数管理 (81)5.10.4内置对象管理 (84)5.10.5升级管理 (85)5.10.6许可证管理 (85)5.11其它 (86)5.11.1安全概览 (86)5.11.2个人工作台 (87)5.11.3全文检索 (88)附录1专家模式查询语法 (88)一、概述1.1日志审计的必要性随着信息技术持续地发展，各类组织、企业对信息系统的运用也不断深入，为了在复杂条件下应付各类安全情况（如黑客的攻击、内部员工的有意或无意地进行越权或违规操作），企业部署了大量的、不同种类、形态各异的信息安全产品：⏹为了监控黑客的攻击控制，部署了各种入侵检测或入侵防御设备⏹为了控制内部员工的非法接入，部署了网络终端管理、网络准入等系统⏹为了控制数据的非法泄露或重要数据被修改，部署了防泄漏系统、数据库审计系统⏹…另外，除了这些专用安全设备或系统每日会产生各种日志，组织或企业日常使用的业务系统、主机系统、网络设备等也会生成许多和安全相关的日志，这存在如下问题：⏹它们格式差异巨大，没有统一标准⏹它们数量巨大，用户无法进行重点分析⏹难以挖掘各类日志之间的关联关系，从而难以审计上述这些原因均会导致日志审计工作难以开展，所以各组织或企业需要部署集中的日志分析系统；另外，各组织或企业部署集中日志分析系统的意义在于：⏹它是信息安全管理的需要：因为日志审计是日常信息安全管理中最为重要的环节之一；能从纷繁复杂的日志中萃取出具有价值的部分是各类信息安全管理者、参与者、相关者最大的诉求，故选择一款高可靠、高性能、具备强大功能的日志集中审计系统就成为必须；⏹它是安全技术保障体系建设要求的需要：一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成，而日志审计是检测、分析安全事件的不可或缺的重要手段之一。

NetEye 网络配置使用说明EYE win2.0 监控系统采用客户服务器结构，既可单机运行也可配置成多机系统运行，各工作站通过以太网连接，通过NetEye.exe可以完成EYE win2.0系统的网络配置功能，在系统运行时NetEye也可完成网络上各工作站的网络通信状态实时监视及网络身份显示功能。

保存配置增加记录选中某条记录后，点击此图标删除该记录网络状态刷新外挂模块配置一．网络配置1．1网络节点配置启动NetEye.exe显示如下画面，图1图1选中网络配置可编辑定义网络配置信息：1．节点名：填写网络节点的计算机名，这里的节点是指网络上的一台计算机2．A网地址：网络节点第一块网卡的IP地址，如无效，填-13．B网地址：网络节点第二块网卡的IP地址，如无效，填-14．主控机：该节点在运行当中是否可成为主机（具体程序为EYEwin.exe），点击该处，如图2会出现下拉列表框供选择，选中“是”则该节点在运行当中可以成为主服务器，如网络上有主服务器运行，则该节点做为主服务器的热备用以备服务器的身份运行，一旦主服务器退出，则备服务器切换为主服务器；选中“否”则该节点在运行当中只是作为客户机运行。

图25．前置机：该节点是否可启动前置机程序（具体程序为PremNet.exe），点击该处，如图3出现下拉列表框，选中“是”，则该节点可以启动前置机程序，“否”则不能启动，即便把前置程序启起来，主服务器也会认为其非法，不会与之建立连接。

图31．2 数据库外挂模块配置EYE win2.0 系统数据库外挂模块放置在Plugin目录下，主要有五防、VQC、接地选线、双位遥信等功能模块，这些模块的启用也可通过NetEye.exe配置，在系统默认情况下，数据库外挂模块是由主服务器启动的，也可通过配置分布到各个节点上分别启动。

NetEye启动时会将Plugin目录下所有的模块显示到界面中，点击工具栏图标，会弹出外挂模块调用方式配置对话框，如图4，有两种调用方式，一种是仅主机启动，如选中此配置，点击保存后，如图5则所有的数据库外挂模块都由运行中的主服务器启动，当主服务器发生切换时，所有的数据库外挂模块也随之迁移。