FHNG NS NM系列通用说明书.docx

FHNG NS NM系列通用说明书.docx

《FHNG NS NM系列通用说明书.docx》由会员分享，可在线阅读，更多相关《FHNG NS NM系列通用说明书.docx（31页珍藏版）》请在冰豆网上搜索。

FHNGNSNM系列通用说明书

前言

企业信息化建设现状分析

伴随网络的快速发展，互联网成为企业发展不可缺少的工具，同时互联网在企业创造效益的同时，也产生了一定的负面效果。

当前常规的企业网络建设方式，已经不能满足企业管理和发展的需要，不能解决企业网络安全，文档信息保护，高效利用网络带宽，管理员工上网，管理员工的工作情况等现实问题。

为了解决这些问题，很多企业需要多种解决方案，随之而来的信息化投资建设投入，这对于中小企业是个比较大的经济负担。

此外，网管人员需要掌握多种软件的使用，不但增大了应用的难度，而且也增加了系统后续维护的困难。

网屏FH-NM系列产品方向

FH-NM系列上网行为管理安全网关是深圳市单双科技有限公司研发的新一代多功能上网行为管理产品。

FH-NM系列网关在全面理解、吸收现已有产品的基础上，精心搭建了灵活、可扩展、先进的产品架构设计，使我们的产品能做到让高端路由功能和特点的普及化。

该产品采用高性能嵌入式多核平台设计，具有高速处理性能、海量吞吐能力、运行稳定，基本能做到免维护。

FH-NM系列上网行为管理安全网关集成了上网行为管理、防火墙、VPN功能，强大而丰富的功能为用户提供全方位的服务。

多台设备的功能集于一台FH-NM系列上网行为管理安全网关能够为用户节省大量的设备投资。

FH-NM系列上网行为管理安全网关提供基于web的配置界面，该界面化繁为简、简单易学，普通用户轻松上手。

FH-NM系列上网行为管理安全网关提供全面的日志功能，方便用户对网络事件进行实时监控。

并能为员工的考核提供详细的资料。

注：

本说明书是FH-NGFH-NSFH-NM三个系列上网行为管理产品通用说明书

第1章产品特点

FH-NM/NS/NG系列上网行为管理安全网关是单双科技经过长期的技术积累研发的新一代多功能上网行为管理产品。

该产品具有以下特点

✧管理界面为全web界面简化了配置和维护工作，简单易学，用户可以轻松上手

✧上网行为管理安全网关的IOS、特征库终身免费升级，尽最大程度替用户着想，为用户节约大量的后继投入

✧专业的研究团队不断跟踪互联网应用，实现特征库与互联网最新应用同步更新，为用户解除互联网发展太快上网行为管理安全网关无法对最新应用进行控制的担忧

✧上网行为管理安全网关采用先进的嵌入式平台设计，不但处理性能远高于普通工控机，而且稳定性也优于普通工控机

✧上网行为管理安全网关集成防火墙、VPN功能，能够有效的提高用户网络的安全等级，为用户提供抵御网络攻击的安全防护手段

✧支持二层和三层网络服务，上网行为管理安全网关丰富协议的支持使其能够适合各种类型网络的部署

✧支持串行、并行接入网络模式，并行接入网络模式不需要改变原来网络设备的设置、不会改原来网络的稳定性

✧通过分时间段或全时间段对企业各部门的流量数据进行访问的P2P、即时通信、网络游戏、P2P视频、股票证券等上网行为进行管理，可以实现对80多种类型的网站访问控制

✧FH-NM上网行为管理安全网关支持PPPOE、PPTPE、WEBPortal、mac、ip等多种安全接入认证手段，能够有效的控制上网用户身份的合法性

✧上网行为管理安全网关提供详细的在线情况查询、详细的日志服务，并且提供实时流量情况查看，使用户能够随时对网络应用情况了如指掌

第2章Web概述

为了方便用户对FH-NM/NS/NG系列上网行为管理安全网关进行操作和维护，单双科技推出了WEB网管功能，此功能通过图形化的WEB界面代替繁琐的命令行来对FH-NM系列上网行为管理安全网关进行配置和管理

2.1.客户端要求

PC已安装网卡且网卡可用

操作系统和浏览器操作系统支持Windows98/2000/XP、Solaris、RedhatLinux等。

浏览器要求IE5.5以上、Netscape7.1以上、Mozilla1.4以上等

2.2.登录web管理界面

将PC和上网行为管理安全网关连接好，打开电源。

上网行为管理安全网关启动时将读取配置文件，包括一些基本的配置，如给LAN口配置IP地址、登录WEB页面的用户名和口令等等。

通过局域网连接的情况下，用户可以将PC设置为自动获取IP地址或者手工指定IP地址。

但无论设置为哪种方式，PC最终的IP地址必须与上网行为管理安全网关的LAN口IP在同一网段，PC才能登录WEB网管页面。

通过广域网连接的情况下，PC和上网行为管理安全网关之间要路由可达，且上网行为管理安全网关上已启用了远程管理功能，PC才能登录WEB网管页面。

图2.1.Web登录页面

用户名:

admin。

密码：

缺省为myadmin。

如果用户修改了口令，请输入新口令。

如果用户无法看到如上登录页面，请做如下检查：

上网行为管理安全网关的电源线已经连接好并开启电源。

PC与上网行为管理安全网关已经连接好。

PC网卡可用。

PC的IP地址与LAN口IP在同一网段。

表2.1.各网口口的出厂IP地址

DMZ

LAN

WAN1

WAN2

10.0.0.200

192.168.1.1

 192.168.2.1

192.168.3.1

提示

如果网口地址已经更改，用户需将PC的IP地址修改为与FH-NM设备的IP地址在同一网段，否则无法接入。

FH-NM上网行为管理安全网关初始用户名为admin，密码为myadmin，为了安全，建议用户在第一次登录后立即修改登录口令

第3章系统

3.1.系统状态

点击web界面左侧导航栏“系统”-》“系统状态”进入系统状态信息界面。

该界面包含如下信息：

运行状态：

包含系统当前时间、系统运行时长、CPU使用率、内存使用率、系统连接数。

设备信息：

CPU型号、主频、固件版本号、本机license

用户信息：

当前用户名称、用户权限

分区信息：

分区名称、总大小、已使用、使用百分比

部分服务和策略的状态

各网络接口的流量状态

注意

本系统流量图采用svg格式绘制，对于Firefox用户，可以直接查看流量图。

用户如果无法通过浏览器查看流量图，则需要下载并安装adobe公司的svgviewer插件。

用户可以点击下载地址后面的链接来下载svgviewer插件。

下载并安装svgviewer插件后，重启浏览器后则可以正常查看网络流量图。

端口流量功能显示的是端口实时流量状态，管理员可以通过该流量状态掌握网络流量的实时情况。

管理员可以分别点击“显示LAN流量”、“显示WAN流量”、“显示DMZ流量”按钮来显示不同区域实时流量的状态。

在图3.1“系统流量图”显示的下方显示当前流量统计数据。

图3.1.系统流量图

提示

管理员可以将鼠标至端口流量图上移动，系统能够根据鼠标所处的位置显示对应时刻的流量状态数据

3.2.IP流量状态

点击web界面左侧导航栏“系统”-》“系统状态”，进入流量状态。

流量状态表中动态显示当前接收速率、接收包率、发送速率、发送包率最高的前100个IP设备。

系统默认排名为接收速率最高的前100个IP设备，管理员可以点击表栏的“接收速率”、“接收包率”、“发送速率”、“发送包率”选项以实现按照相应按钮进行IP设备的排序。

图3.2.IP流量图

管理员如果发现某个IP设备流量异常，或需要临时阻断该IP访问外网，可以点击IP对应的“临时屏蔽3分钟”按钮实现阻断该IP访问外网。

系统阻断时间为3分钟。

3分钟后，该IP可以恢复对外网的访问。

管理员可以点击“流量前100名状态”表中的IP地址以显示该IP地址当前的流量状况（如下图所示）

注意

如果点击“临时屏蔽3分钟”，会使对应IP设备的网络连接、网络应用中断。

管理员在使用该功能时需谨慎。

3.3.时间

点击web界面左侧导航栏“系统”-》“时间”，进入系统时间设置。

首先需要选择正确的时区，管理员根据所处的位置选择对应的时区。

管理员可以通过两种方式调整系统时间：

手动设置时间、NTP自动更新。

管理员选择手动设置时间后，需要在时间栏中输入正确的时间，格式为“年－月－日小时：

分钟：

秒”例如“2009－12－1410：

06：

57”。

如果管理员需要使用NTP自动更新，必须在在网络中具有可达的NTP服务器，

管理员需在NTP服务器栏中输入NTP服务器的IP或域名，如输入域名，则需要保证设备本身DNS服务器配置正确。

图3.3.手动设置时间

图3.4.NTP自动更新时间

注意

“时间”的设定是设置系统运行的时钟。

如果管理员配置了基于时钟的流量控制策略，系统会根据系统时钟来执行流量控制策略。

如果系统时钟与实际时钟不一致，将会导致流量控制策略执行不正确。

例如：

系统时钟与实际时间相差12个小时。

管理员设定的策略是8：

30～18：

00时间段员工不能访问娱乐网站，其余时间段可以访问。

因为系统时钟与实际时间相差12个小时，系统执行的效果将会是20：

30～6：

00不能访问娱乐网站，其余时间段员工可以正常访问娱乐网站。

3.4.DNS

点击web界面左侧导航栏“系统”-》“DNS”，进入DNS（DomainNameSystem）设置。

DNS配置是本系统作为DNS客户端解析DNS域名，如NTP服务器的域名解析。

该DNS配置不提供用户网络中计算机域名解析服务。

注意

如果管理员在“接口配置”中“接入模式中”选择了PPPOE/ADSL或DHCP上网，并且在接口配置里选择了“接受分配的DNS”，PPPOE/ADSL服务器、DHCP服务器分配的DNS地址将生效，DNS配置将失效。

图3.5.DNS设置

提示

DNS是域名系统（DomainNameSystem）的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。

在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析。

域名解析需要由专门的域名解析服务器来完成，DNS服务器就是进行域名解析的服务器。

第4章网络接口

4.1.接口配置

点击web界面左侧导航栏“网络接口”-》“接口配置”，进入接口配置设置。

点击每个接口最右边的“配置”按钮，就进入每个接口具体的配置页面。

图4.1.接口列表

上网方式设置的详细配置如下：

管理员可以选择该接口的三种接入接入方式：

“Static”（也就是固定IP方式），“DHCP”，“PPPOE”（也就是ADSL方式）。

对于DHCP和PPPOE方式，将会出现“接受分配的DNS”，（此处的打勾与“DNS”图4-2的设置相对应）“接受分配的网关地址”选项。

如果该接口作为外网口来使用（也就是WAN口），一般情况下需要勾选上“从该接口出去的包自动NAT”。

如果是作为内网口使用（也就是LAN口），则不勾选“从该接口出去的包自动NAT”。

管理员可以视自己的管理需要，勾选或不勾选“允许ping”，“允许http管理”，“启用DDNS”。

例如，如果管理员在WAN口上没有勾选“允许http管理”，那么就不能通过WAN来对FH-NM上网行为管理安全网关进行管理。

图4.2.ADSL/PPPOE上网方式配置

图4.3.固定IP上网方式配置

名词解释DDNS:

DDNS（DynamicDomainNameServer）是动态域名服务的缩写。

DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上，用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序，服务项目器程序负责提供DNS服务并实现动态域名解析。

申请方法：

到希网首页（http:

//www.3322.org），注册之后按提示操作。

4.2.VLAN接口配置

点击web界面左侧导航栏“网络接口”-》“接口配置”，进入VLAN接口配置列表。

此处能显示以前的设置（图4-4），点击新建VLAN接口添加VLAN。

图4.4.VLAN接口列表

添加VLAN，此处以LAN口为内网络接口为例添加VLAN3子接口

图4.5.添加VLAN接口

每添加一个子接口，就会在“系统”-》“系统状态”里面增加一个接可以显示其流量的选项，这样管理员可以方便的查看每个VLAN的流量。

提示

名词解释VLAN：

VLAN（VirtualLocalAreaNetwork）的中文名为"虚拟局域网"。

VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术，可以增加内网的安全性，减少广播的产生，提高网络使用率。

4.3.桥模式配置

桥接模式不需要改变用户的网络拓扑及配置。

使用桥模式，被桥模式链接起来的接口两端看起来是透明的，FH-NM网关仍然可以对通过它的包进行各种过滤控制。

点击web界面左侧导航栏“网络接口”-》“接口配置”，进入桥模式配置界面。

点击右边的“新建桥接”按钮，可以新建一个桥接接口。

图4.6.桥接口列表

图4.7.桥接口配置

桥接口：

网桥两边的进出接口，桥模式只能选择两个接口，一个为进口一个为出口。

通常选择为LAN、WAN接口。

桥IP地址：

桥IP是用来管理FH-NM上网行为管理安全网关的地址，与网络中的普通IP一样，只要不与其它设备冲突即可。

桥IP掩码：

跟计算机的子网掩码一样，用来划分IP所属哪个网段。

第5章路由

5.1.静态路由

点击web界面左侧导航栏“路由”-》“静态路由”，进入静态路由列表界面。

管理员可以点击已有静态路由后面的“修改”或“删除”按钮来修改或删除静态路由。

如果管理员希望新建静态路由，则点击右侧下方的“新建静态路由”。

图5.1.静态路由列表

图5.2.新建静态路由

在新建静态路由选项（图5-2）中选择了“高级选项”，后会出现新建路由高级选项对话框

图5.3.新建静态路由高级选项

目的网络：

可以填写一个网段地址或路由组名称，也可以用0.0.0.0/0代替所有网段。

进入接口：

需要使用该路由的用户数据进入网关的接口；

源网段：

需要使用该路由的用户所在的网段；

出去的接口：

该路由的出接口；

网关地址：

上一级网络的网关地址。

如果接口为动态地址（例如接口配置使用了ADSL/PPPOE、DHCP），则不需要填写该配置

Metric：

路由的花费。

提示：

静态路由是指由网络管理员手工配置的路由信息。

当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。

静态路由信息在缺省情况下是私有的，不会传递给其他的网络设备。

当然，网管员也可以通过对网络设备进行设置使之成为共享的。

静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

5.2.路由组

如果企业有多个网络出口，为了实现网络的高效利用、负载均衡，可以使用路由组的方式。

典型的应用例子如单位租用了电信、网通、教育三条外联出口，通过路由组的方式可以根据访问的目的地址最优原则实现电信、网通、教育线路的选择。

具体的配置方法是将电信的目的地址定义为一个组，网通的目的地址定义为一个组，教育的目的地址定义为一个组，如图所示

图5.4.路由组列表

定义一个路由组的方法，点击“新建路由组对象”按钮，可以新建一个路由组，如下图

图5.5.新增一个路由组

为了能够让出去的数据流按照路由组定义的方式访问外网，在路由组定义完成后，需要在静态路由配置中将路由组应用在网关出口上，如下图所示：

图5.6.路由组应用

上图是将“education”路由组应用在“wan”接口上。

第6章服务

6.1.DHCP

FH-NM网关支持DHCP服务器功能，能够为网络中的PC提供DHCP服务。

点击web界面左侧导航栏“服务”-》“DHCP”，进入DHCP服务设置界面。

在列表中已经列出了DHCP服务的状态。

图6.1.DHCP服务列表

点击列表右侧的配置按钮，可以对相应的接口进行DHCP的相关配置,如图

图6.2.DHCP服务设置

此处以LAN口开启DHCP为例，DHCP能获取的地址范围为：

192.168.1.2--192.168.1.10

DHCP的所分配的网关为：

192.168.1.1分配的DNS为：

202.96.134.133和202.96.128.68。

DHCP服务器设置要以后，如果网络内的PC如果需要动态获得FH-NM上网行为管理安全网关下发的IP地址，则需要进行如下设置。

我们对一台运行WindowsXP的客户端电脑面前进行了如下设置:

在桌面上右击“网上邻居”图标，执行“属性”命令。

在打开的“网络连接”窗口中右击“本地连接”图标并执行“属性”，打开“本地连接属性”对话框。

然后双击“Internet协议（TCP/IP）”选项，点选“自动获得IP地址”单选框，并依次单击“确定”按钮。

具体设置如图

图6.3.在PC上进行DHCP上网设置

提示

DHCP是DynamicHostConfigurationProtocol（动态主机分配协议）缩写，它的前身是BOOTP。

BOOTP原本是用于无磁盘主机连接的网络上面的：

网络主机使用BOOTROM而不是磁盘起动并连接上网络，BOOTP则可以自动地为那些主机设定TCP/IP环境。

但BOOTP有一个缺点：

您在设定前须事先获得客户端的硬件地址，而且，与IP的对应是静态的。

换而言之，BOOTP非常缺乏"动态性"，若在有限的IP资源环境中，BOOTP的一对一对应会造成非常可观的浪费。

DHCP可以说是BOOTP的增强版本，它分为两个部份：

一个是服务器端，而另一个是客户端。

所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。

比较起BOOTP，DHCP透过"租约"的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP也完全照顾了BOOTPClient的需求。

6.2.Web认证接入

支持通过用户名，密码认证上网。

6.3.PPPoE服务

FH-NM上网行为管理安全网关支持PPPOE服务器功能，能够为网络PC提供PPPOE服务。

点击web界面左侧导航栏“服务”-》“PPPOE”，进入PPPOE服务设置界面。

在列表中已经列出了PPPOE服务的状态。

图6.4.PPPOE服务列表

点击列表右侧的配置按钮，可以对相应的接口进行PPPOE的相关配置,如图。

图6.5.PPPOE服务设置

此处以LAN口开启PPPOE服务，PPPOE认证方式为CHAP，分配的地址为：

10.0.0.102-10.0.0.103两个地址（可以拨上两个用户），子网掩码为24位，DNS为：

202.96.128.68/202.96.128.166为例配置PPPOE服务。

认证方式采用的是CHAP的认证方式。

提示

pppoe是point-to-pointprotocoloverethernet的简称，可以使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上。

通过pppoe协议，远端接入设备能够实现对每个接入用户的控制和计费。

与传统的接入方式相比，pppoe具有较高的性能价格比，它在包括小区组网建设等一系列应用中被广泛采用，目前流行的宽带接入方式adsl就使用了pppoe协议。

6.4.PPTP服务器

FH-NM上网行为管理安全网关支持PPTP服务器功能，能够为网络PC提供PPTP服务。

点击web界面左侧导航栏“服务”-》“PPTP”，进入PPTP服务设置界面。

PPTP服务设置（图6-6）中选择了“启动PPTP”服务后，系统会弹出整个PPTP配置服务器界面（图6-7）。

图6.6.PPTP服务设置

例如此处以FH-NM上网行为管理安全网关本地IP为：

172.99.0.1，地址池范围：

172.99.0.2-100（98个）认证方式：

PAP采用MPPE-128位加密技术。

广播在隧道上传输（如果打勾可以用计算机名的方法访问对方电脑）DNS以深圳DNS：

202.96.134.133/202.96.128.68为例。

不写路由所有的数据都走VPN隧道。

第7章对象管理

7.1.用户管理

用户管理功能用于管理员对上网用户进行网络准入的管理。

点击web界面左侧导航栏“对象管理”-》“用户管理”，进入用户列表界面。

系统列表中显示了系统中已经定义的用户，并对用户做修改和删除。

图7.1.用户对象列表

对于已经建立的用户，通过点击用户名右侧的“修改”、“删除”按钮对用户进行编辑。

如需建立新的用户，则点击“新建用户对象”按钮，可以新建一个用户。

并且可以设置其权限，是否允许使用PPPOE、PPTPE、WEBPortal方式接入，设置其登录的密码（如图7-2）。

图7.2.本地用户对象

在设置用户类型的时候，可以选择本地认证—“本地用户”或radius服务器认证“RADIUS”。

选择了“本地用户”后，需要为用户设置相应的密码，用户上网的时候需要输入正确的密码才能上网。

如果选择了“RADIUS”，则需要选择相应的radius服务器，用户上网的时候需要输入radius服务器上的正确密码才能上网。

下图例子为用户选择了“RADIUS”，选择了RADIUS认证服务器为“server1”。

图7.3.RADIUS用户对象

7.2.当前登录用户管理

“当前登录用户管理”功能能够显示当前用户登录状态，可以通过“强制下线功能”阻断用户的网络连接。

点击web界面左侧导航栏“对象管理”-》“当前登录用户管理”，进入当前登录用户管理界面。

管理员可以看到所有用PPTP（VNP）或PPPOE（拨号）登录的用户及状态，并能对之进行下线操作。

图7.4.当前登录用户

7.3.RADIUS客户端

“RADIUS客户端”功能用于设定RADIUS相关参数，如果管理员在用户管理中设置了RADIUS认证方式，则需要配置该参数。

点击web界面左侧导航栏“对象管理”-》“RADIUS客户端”，进入RADIUS客户端列表界面。

在这里可以添加、删除、修改RADIUS客户端信息。

图7.5.RADIUS服务器列表

可以点击RADIUS服务器栏后面的“修改”“删除”对该RADIUS服务器相关的参数进行修改。

可以点击“新建RADIUS客户端”设定新RADIUS服务器的相关参数。

下图示例“新建RADIUS客户端”功能，这里的RADIUS客户端信息可以用于用户管理中的用户认证。

图7.6.添加RADIUS服务器

7.4.地址对象

“地址对象”用于定义IP地址组群。

点击web界面左侧导航栏“对象管理”-》“地址对象”，进入地址对象列表界面。

在这里可以查看、添加、删除、修改地址对象。

图7.7.地址对象列表

IP地址范围的形式可以是单个地址、IP/掩码、IP段，也可以是他们的结合。

图7-8显示配置“行政部”IP地址范围的示例。

图7.8.编辑地址对象

7.5.