《网康ngfw用户手册_1102》由会员分享,可在线阅读,更多相关《网康ngfw用户手册_1102(233页珍藏版)》请在金锄头文库上搜索。
1、NS-NFW用户手册网康科技下一代防火墙Next Generation Firewall用户手册Version 1.0北京网康科技有限公司2012年11月北京网康科技有限公司 - 235 -关于本手册版权声明北京网康科技有限公司2012版权所有,保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京网康科技有限公司(以下简称网康科技)所有,受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。信息更新本文档仅用于为最终用户提供信息,并且随时可由网康科技更改或撤回。免责条款根据适用法律的许
2、可范围,网康科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,网康科技都不会对最终用户或任何第三方因根据说明文档使用NGFW造成的任何直接或间接损失或损坏负责,即使网康科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。阅读对象本文的读者对象为企业IT决策人员、网康下一代防火墙的使用用户、网康科技的合作伙伴。目 录关于本手册I目 录II1. 简介11-1 公司简介11-2 产品简介22. 系统工作环境32-1 虚拟线模式32-2 Vlan模式32-3 网关模式42-4 NAT模式42-5
3、 镜像模式43. 系统登陆63-1-1 界面登录63-1-2 受限shell登录83-2 系统功能简介113-2-1 系统监控113-2-2 应用分析113-2-3 数据中心113-2-4 策略配置123-2-5 网络配置123-2-6 用户管理123-2-7 系统管理124. 系统监控134-1 应用监控144-1-1 应用风险系数144-1-2 Top应用154-1-3 Top高风险应用164-1-4 设备接口吞吐174-1-5 接口监控184-1-6 IP流量排名184-2 系统监控194-2-1 基本信息194-2-2 系统资源204-3 日志214-3-1 威胁日志214-3-2 U
4、RL日志214-3-3 告警日志225. 应用分析ACC245-1 应用排名245-2 网址排名255-3 威胁排名265-4 数据的钻取275-5 设置过滤条件285-6 界面工具条的使用295-7 应用系数295-8 与日志的关联296. 数据中心316-1 统计316-1-1 汇总概览316-1-2 应用对比统计346-1-3 应用趋势统计356-1-4 威胁排名统计386-1-5 IP对比统计406-1-6 IP趋势统计426-1-7 IP威胁统计436-2 日志456-2-1 流量日志456-2-2 网址过滤日志496-2-3 威胁日志516-2-4 配置日志546-2-5 告警日志
5、566-2-6 系统日志:596-2-7 用户上下线日志616-3 监控636-3-1 会话连接636-3-2 流量通道646-3-3 上线用户657. 安全策略677-1 策略配置677-1-1 安全策略677-1-2 地址转换717-1-3 DOS防护757-1-4 流量管理807-2 对象配置877-2-1 地址对象877-2-2 地址组对象897-2-3 服务对象907-2-4 服务组对象927-2-5 自定义应用对象937-2-6 应用过滤对象987-2-7 应用组对象1017-2-8 时间调度对象1047-2-9 运营商地址对象1097-3 动作配置1117-3-1 防病毒配置11
6、27-3-2 入侵防御配置1147-3-3 网址过滤配置1177-3-4 DOS防护配置1207-3-5 攻击防护配置1228. 网络配置1258-1 接口与区域1258-1-1 接口配置1258-2 路由1348-2-1 静态路由1348-2-2 Ospf路由1358-2-3 路由信息1418-3 高级网络1428-3-1 静态ARP1428-3-1 ARP代理1438-3-2 DHCP服务1438-4 虚拟专用网络(VPN)1458-4-1 基本ipsec节点互连配置(共享密钥方式)1458-4-2 数字证书方式的ipsec节点互连配置1488-4-3 一端为动态IP方式和DNS域名方式的
7、IPSec节点互连配置1508-4-4 穿NAT方式的Ipsec节点互连配置1518-4-5 多节点方式的Ipsec节点互连配置1528-4-5 配置实例1529. 用户管理1549-1 对象设置1549-1-1位置对象1549-1-2 工具对象1569-2 用户导入1569-2-1 IP 导入1569-2-2 LDAP导入1619-2-3 网康自定义1749-3 组织管理1769-3-1 账户管理1769-4 认证管理1889-4-1 登录界面1889-4-2 第三方服务器1919-4-3 认证配置1959-4-4 认证策略20710. 系统管理21110-1 系统配置21110-1-1 基
8、本配置21110-1-2 权限配置21710-1-3 授权与更新21910-1-4 高级配置22610-2 系统维护22710-2-1 系统配置维护2271. 简介1-1 公司简介网康科技有限公司(NetentSec,Inc.)成立于2004年,专注于研发、生产和销售互联网控制网关等系列产品及相关服务,网康科技在网络应用层内容识别与管理技术领域保持着领先的核心竞争力,是中国上网行为管理理念的缔造者,是互联网行为管理行业的领导品牌。产品与技术网康科技拥有雄厚的技术研发实力,多项自主知识产权和发明专利使网康科技成为世界最具技术创新和服务精神的企业之一。承担国家科技部、工信部、北京市科委的多项科研基
9、金项目。网康科技拥有全球领先的“互联网内容研究实验室”,有国内先进的网络应用层产品测试中心。超过100台的云分析设备覆盖全国各省份,组成了中国最大的网页分析云平台。网康科技拥有全球最大的中文网页分类库,可识别2000万条URL,中文网页识别率达到99%。此外,网康科技拥有中国最大的流行应用协议库,可识别600多种网络应用协议,创新XAI特征技术,对加密的应用实现跨包、跨链接、跨应用的第三代应用识别技术,领跑流行应用协议识别。网康科技引领应用层商业智能分析技术,可提供100余种用户互联网行为分析报告。客户与服务网康科技拥有全球超过8000家用户,高端客户覆盖率广。在中国,网康科技的客户遍及政府、
10、金融、能源、运营商、教育、制造等各行业,是众多世界500强、中国500强企业信赖的互联网应用层设备提供商。网康科技拥有完善的销售与服务网络,网康科技有限公司总部位于北京,在全国建立了以京津冀、华北、华东、华南、华中、东北、西北、西南等八大技术支持中心,29家直属办事处,在北美、日本、东南亚等地均有合作伙伴,可为广大用户提供专业、高效、快捷的服务。全国统一咨询服务热线:400-678-3600北京网康科技有限公司电话:010-62670909传真:010-62670958地址:北京市海淀区中关村东路66号,世纪科贸大厦A座3层 邮编:100190网址: 电子信箱: (市场部), (服务部)1-2
11、 产品简介本产品主要特性为基于应用而构建的高速防火墙,也称为下一代防火墙NGFW,除了基本防火墙功能,我们的产品还将覆盖UTM产品的优势特性,比如 IPS(入侵防护)、AV(病毒防护)和内容过滤特性。同时我们的产品更突出基于细粒度的应用和用户的业务安全控制、流量管理和行为安全管理等,重点为用户提供可视化的业务安全和高性能的应用安全。本产品的1.0版本为今年年度NGFW产品的第一个版本,同时定义为SMB的NGFW,覆盖实际网络带宽小于2G的需求,目标是今年年底前必须发布的一款新产品,为公司在2012重要开拓的新产品。同时NGFW产品是公司未来重点发展产品。2. 系统工作环境NGFW产品部署方式非
12、常灵活,主要分五种模式:虚拟线模式和、Vlan模式、网关模式、NAT模式镜像模式。NGFW产品在部署时能够透明接入,从而不修改网络拓扑结构、不修改用户网络配置、不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置。不同的网络部署模式分别适用于不同的网络拓扑结构。请根据实际情况,选择适合本企业的网络部署模式。2-1 虚拟线模式将两个物理口绑定在一起,允许所有类型的报文在两口间互通(包括带VLAN标签的报文),但不支持两口交换、路由和NAT等功能。虚拟线的功能类似于桥功能,但支持接口要求只能是2个,而免除MAC地址学习和接口交换功能。虚拟线最大的不同为,会附加增加端口联动功能,以
13、满足透明接入实际需求。图 21 虚拟线模式2-2 Vlan模式将两个或者两个以上的接口划入同一个Vlan,允许所有同Vlan的报文在网口见互通,同时支持Vlan口间的交换、路由功能。Vlan模式的功能类似于透明网桥,以满足透明桥接实际需求。图 22 vlan模式2-3 网关模式将两个或者多个不同的网络进行互联,实现各网络间的数据交换路由转发功能。图 23 网关模式2-4 NAT模式NAT模式主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT有以下优点:其一,通过使用少量的公有IP地址代表多数的私有IP地址,缓解了可用IP地址空间枯竭的速度。其二,NAT可以隐藏私有网络,达到保护私
14、有网络的目的。图 24 nat模式2-5 镜像模式镜像模式也叫Tap模式。该模式下,会定义Tap接口,Tap Interface主要为了监听网络中的业务,监听的业务流是通过交换机的SPAN镜像过来的流量。设备应用在旁听模式,主要为了对应用的可视化和审计等功能,而对于安全的控制和流量的QOS等是失效的。图 25 镜像模式3. 系统登陆网康下一代防火墙产品的工作环境部署好后,就可以登录系统的管理平台。系统提供了两种登录方式,分别为界面登录和受限shell登录。3-1-1 界面登录NGFW设备可通过管理口进行Web界面访问,从而对其进行管理控制。默认情况下,管理口IP地址为192.168.1.23,因此,首先需要给管理系统的PC设置与管理口相同网段的IP地址,如192.168.1.2。将PC连接NGFW的管理口,在PC上打开浏览器,在地址栏中输入“https:
