天融信上網(wǎng)行為管理ACM-用戶手冊

1、天融信上網(wǎng)行為管理系統(tǒng)TopACM 用戶手冊天融信TOPSEC北京市海淀區(qū)上地東路1號華控大廈 100085電話：+8610-82776666傳真：+8610-82776677服務(wù)熱線：+8610-8008105119 版權(quán)聲明本手冊中的所有內(nèi)容及格式的版權(quán)屬于北京天融信公司（以下簡稱天融信）所有，未經(jīng)天融信許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。版權(quán)所有 不得翻印 2012 天融信公司商標(biāo)聲明本手冊中所談及的產(chǎn)品名稱僅做識別之用。手冊中涉及的其他公司的注冊商標(biāo)或是版權(quán)屬各商標(biāo)注冊人所有，恕不逐一列明。TOPSEC 天融信公司信息反饋目 錄第一部分產(chǎn)品概述81圖形界面格式約定82環(huán)境要求8

2、3接線方式84登錄設(shè)備95刷新/保存/注銷96密碼恢復(fù)9第二部分產(chǎn)品配置117設(shè)備狀態(tài)118實時監(jiān)控128.1設(shè)備資源128.2物理接口138.3服務(wù)監(jiān)控148.3.1服務(wù)趨勢疊加圖148.3.2服務(wù)組趨勢圖158.3.3活躍服務(wù)統(tǒng)計158.3.4所有服務(wù)統(tǒng)計168.4用戶監(jiān)控178.4.1流量分析178.4.2會話分析178.4.3活躍會話189系統(tǒng)配置199.1設(shè)備工作模式199.1.1網(wǎng)橋模式199.1.2路由模式219.1.3旁路模式229.2系統(tǒng)維護(hù)239.2.1系統(tǒng)升級239.2.2自動升級249.2.3備份與恢復(fù)259.2.4重啟/關(guān)機259.3系統(tǒng)管理員269.3.1配置系統(tǒng)管

3、理員269.3.2角色管理289.4網(wǎng)管策略309.5網(wǎng)管參數(shù)309.6網(wǎng)絡(luò)工具319.6.1Ping319.6.2TraceRoute329.7系統(tǒng)時間339.8系統(tǒng)信息349.9郵件配置359.10集中管理3510系統(tǒng)對象3610.1地址簿3610.2網(wǎng)絡(luò)服務(wù)3710.2.1自定義普通服務(wù)3710.2.2自定義特征識別3810.2.3自定義論壇/網(wǎng)評特征3910.2.4協(xié)議剝離4110.3時間計劃4210.4URL庫4310.5白名單4510.6關(guān)鍵字組4510.7文件類型4611網(wǎng)絡(luò)配置4811.1接口配置4811.1.1物理接口4811.1.2鏈路聚合4811.1.3VLAN接口501

4、1.1.4PPPoE5011.1.5GRE隧道5111.2配置IP地址5211.3靜態(tài)路由5311.4策略路由5311.4.1策略路由5311.4.2均衡策略5511.4.3持續(xù)路由5711.4.4鏈路健康檢查5811.5OSPF路由5911.5.1網(wǎng)絡(luò)配置5911.5.2接口配置6011.5.3參數(shù)配置6111.5.4虛鏈路配置6211.5.5信息顯示6311.6DNS 配置6511.7DDNS 配置6511.1智能DNS6611.1.1全局配置6611.1.2線路配置6711.1.3均衡策略6711.1.4DNS策略6911.2ARP表7111.3DHCP配置7111.3.1基本參數(shù)711

5、1.3.2DHCP中繼7311.3.3已分配IP地址7311.4SNMP服務(wù)器7311.5代理服務(wù)器列表7411.1代理配置7412訪問規(guī)則7512.1安全策略7512.2NAT規(guī)則7712.2.1內(nèi)網(wǎng)代理7712.2.2一對一地址轉(zhuǎn)換7812.2.3端口映射8012.2.4防DDoS攻擊8113VPN配置8113.1IPSec8113.1.1IPSec隧道8113.1.2IPSec規(guī)則8313.2PPTP8413.3VPN 用戶8614組織管理8714.1組織結(jié)構(gòu)8714.1.1定位并選中當(dāng)前操作對象8714.1.2修改根組8814.1.3新增子組8914.1.4修改子組9014.1.5新增

6、普通用戶9214.1.6新增認(rèn)證用戶9314.1.7修改用戶9514.1.8綁定檢查9614.1.9導(dǎo)出用戶和組10114.1.10移動用戶和組10214.1.11刪除用戶和組10214.1.12查詢用戶和組10314.2批量導(dǎo)入10414.3LDAP/AD導(dǎo)入10414.4掃描內(nèi)網(wǎng)主機10514.5臨時賬戶管理10714.5.1臨時賬戶設(shè)置10714.5.2申請臨時帳號10814.5.3申請臨時賬戶10914.5.4未審核賬戶列表11014.5.5已審核賬戶列表11114.6免審計Key11115流量管理11215.1線路帶寬配置11315.2基于策略的流控11315.3基于用戶的流控117

7、15.4應(yīng)用限額管理12015.4.1應(yīng)用限額策略12015.4.2應(yīng)用限額用戶12216行為管理12216.1認(rèn)證策略12216.2上網(wǎng)策略對象12516.2.1URL過濾12516.2.2關(guān)鍵字過濾12616.2.3文件傳輸過濾12816.2.4即時通訊過濾12916.2.5郵件過濾13016.3認(rèn)證選項13216.3.1SNMP設(shè)置13216.3.2認(rèn)證參數(shù)13316.3.3自定義認(rèn)證頁面13416.3.4未認(rèn)證權(quán)限13416.4認(rèn)證服務(wù)器13616.4.1RADIUS服務(wù)器13616.4.2AD服務(wù)器13716.4.3LDAP服務(wù)器13816.4.4POP3服務(wù)器13916.4.5服務(wù)

8、器測試13916.5白名單管理14116.6黑名單管理14216.6.1黑名單規(guī)則14216.6.2當(dāng)前黑名單14416.7在線用戶14517即插即用14618HA配置14819系統(tǒng)日志14919.1命令日志14919.2事件日志15019.3用戶日志15019.4PPTP日志15119.5IPSec日志15119.6黑名單日志15219.7日志服務(wù)器15319.8告警配置15420故障排除15520.1捕獲數(shù)據(jù)包15520.2查看數(shù)據(jù)包15621報表中心15721.1內(nèi)容記錄配置15721.2報表中心配置15821.3內(nèi)置報表中心159首頁16022統(tǒng)計分析160在線用戶數(shù)16122.1用戶

9、統(tǒng)計16122.1.1流量統(tǒng)計16122.2服務(wù)統(tǒng)計16222.2.1流量統(tǒng)計16222.3URL 統(tǒng)計16522.3.1流量統(tǒng)計165177設(shè)備狀態(tài)第一部分 產(chǎn)品概述1 圖形界面格式約定格式描述【 】代表菜單或子菜單名稱代表WEB網(wǎng)管配置路徑：如【系統(tǒng)對象】【地址簿】，表示“系統(tǒng)對象”菜單下的“地址簿”菜單代表窗口中的選項或按鈕名稱2 環(huán)境要求設(shè)備系列產(chǎn)品可在如下環(huán)境使用： 輸入電壓： 220240V 溫度： -1050 濕度： 590% 電源：交流電源110V 230V為保證系統(tǒng)能長期穩(wěn)定的運行，應(yīng)保證電源有良好的接地措施、防塵措施、保持使用環(huán)境的空氣通暢和室溫穩(wěn)定。本產(chǎn)品符合關(guān)于環(huán)境保護(hù)

10、方面的設(shè)計要求。提示：1、 保證設(shè)備工作在建議的環(huán)境要求內(nèi)，否則可能導(dǎo)致設(shè)備損壞或提早老化。2、 設(shè)備良好的接地可以有效避免雷擊。3 接線方式請按照如下步驟進(jìn)行設(shè)備的接線：1、 在后面板電源插座上插上電源線，打開電源開關(guān)，前面板的Power燈(綠色，電源指示燈)和Alarm燈(紅色，告警燈)會點亮。大約1-2分鐘后Alarm燈熄滅，說明設(shè)備正常工作。2、 用標(biāo)準(zhǔn) RJ-45 以太網(wǎng)線將 LAN 口與內(nèi)部局域網(wǎng)連接。3、 用標(biāo)準(zhǔn) RJ-45以太網(wǎng)線將 WAN 口與Internet接入設(shè)備相連接，如路由器、光纖收發(fā)器或ADSL Modem等。4、 橋接模式：LAN1和WAN1為網(wǎng)橋1，LAN2和W

11、AN2為網(wǎng)橋2、LANm和WANm為網(wǎng)橋m。每個橋之間是獨立通信的，橋之間不能傳遞數(shù)據(jù)。5、 路由模式：可以接入多條出口線路.提示：如果開機5分鐘后，紅燈還長亮，請關(guān)閉電源5分鐘，然后重開。 4 登錄設(shè)備設(shè)備默認(rèn)使用LAN1作為網(wǎng)管口(即1U設(shè)備前面板的eth0口，2U設(shè)備前面板的MGMT端口)，LAN1出廠地址為54/24。設(shè)備 支持WEBUI 登錄：1、 安全的 HTTPS 登錄，初始登錄 URL 為：https:/ 54默認(rèn)的管理員賬號是superman，密碼是 talent 正確輸入用戶名和密碼后，點擊按鈕即可進(jìn)入管理界面。提示：1、 配置之

12、前，必須保證用于網(wǎng)管的電腦與上網(wǎng)行為管理產(chǎn)品能夠互通。如果第一次配置，請連接LAN1口，LAN1出廠地址為54/24，電腦的IP地址應(yīng)配置為/24網(wǎng)段的，但不允許為54。2、 連接后可以增加/修改物理端口或者網(wǎng)橋的IP地址，設(shè)備的每一個IP地址都可以用于網(wǎng)管。5 刷新/保存/注銷在設(shè)備提供的 WEB 方式的管理界面中的最右上角有三個鏈接，分別是“刷新”、“保存”、“注銷”。點擊“刷新”可手動刷新當(dāng)前頁。點擊“保存”并確認(rèn)后，可將當(dāng)前配置保存到系統(tǒng)硬盤中。點擊“注銷”并確認(rèn)后，即可成功退出系統(tǒng)。6 密碼恢復(fù)如果管理員密碼丟失，請按

13、以下步驟恢復(fù)系統(tǒng)默認(rèn)密碼：1. 進(jìn)入Console連接，使用superman用戶（username：superman，password：talent）登錄。2. 選擇 Reset WEBUI Password，進(jìn)入密碼恢復(fù)菜單，然后輸入yes，再回車。 3. 密碼恢復(fù)成功后，WEB頁面登錄，用戶密碼恢復(fù)到出廠設(shè)置（username：superman，password：talent）第二部分 產(chǎn)品配置7 設(shè)備狀態(tài)登錄設(shè)備后，進(jìn)入到設(shè)備首頁，即設(shè)備狀態(tài)頁面。設(shè)備狀態(tài)頁面包含了設(shè)備版本信息、設(shè)備資源、實時網(wǎng)絡(luò)流量、前十名服務(wù)實時速率分布、前十名用戶實時速率排名、前十名站點排名、最近五次事件日志等七項

14、內(nèi)容。如下圖：圖1. 首頁“設(shè)備版本信息”描述了系統(tǒng)固件的版本、應(yīng)用特征的版本、URL庫的版本和授權(quán)類型的信息。授權(quán)類型有試用版和正式版兩種。點擊對應(yīng)的按鈕，可以連接到“系統(tǒng)升級”頁面，查看到更詳細(xì)的設(shè)備版本信息?！霸O(shè)備資源”動態(tài)顯示了CPU使用率、內(nèi)存使用率、活躍會話數(shù)、在線用戶數(shù)和在線認(rèn)證用戶數(shù)的信息?；钴S會話數(shù)的顯示格式為N/M，N表示當(dāng)前活躍的并發(fā)會話數(shù)，M表示設(shè)備最大并發(fā)會話數(shù)。當(dāng)鼠標(biāo)滑過某行時，會出現(xiàn)“顯示最近一小時的趨勢圖”的提示，點擊即可查看到最近一小時的趨勢圖。點擊對應(yīng)的按鈕，可以連接到“設(shè)備資源”頁面，查看到更詳細(xì)的設(shè)備資源信息?！皩崟r網(wǎng)絡(luò)流量”動態(tài)顯示了當(dāng)前UP的WAN口

15、的速率。當(dāng)鼠標(biāo)滑過WAN1、WAN2、WANm時，會出現(xiàn)“顯示最近一小時的趨勢圖”的提示，點擊即可查看到最近一小時的速率趨勢圖。點擊對應(yīng)的按鈕，可以連接到“物理接口”頁面，查看到更詳細(xì)的物理接口的統(tǒng)計信息?！扒笆?wù)實時流量分布”動態(tài)顯示了以總速率排名的前十名服務(wù)。當(dāng)鼠標(biāo)滑過某服務(wù)名稱時，會出現(xiàn)“顯示在線用戶”的提示，點擊即可查看該服務(wù)的在線用戶的信息。當(dāng)鼠標(biāo)滑過某服務(wù)后面的帶寬值時，會出現(xiàn)“顯示最近一小時的趨勢圖”的提示，點擊即可查看到該服務(wù)最近一小時的速率趨勢圖。點擊對應(yīng)的按鈕，可以連接到“服務(wù)趨勢圖”頁面，查看到前十名服務(wù)的速率疊加趨勢圖?！扒笆脩魧崟r流量排名”動態(tài)顯示了以總速率排

16、名的前十名用戶。當(dāng)鼠標(biāo)滑過某用戶時，會出現(xiàn)“顯示活躍服務(wù)”的提示，點擊即可查看該用戶正在使用的服務(wù)的信息。當(dāng)鼠標(biāo)滑過某用戶后面的帶寬值時，會出現(xiàn)“顯示最近一小時的趨勢圖”的提示，點擊即可查看到該用戶最近一小時的速率趨勢圖。點擊對應(yīng)的按鈕，可以連接到“用戶流量分析”頁面，查看到前五十名用戶的速率排名統(tǒng)計信息。“前十名站點排名”動態(tài)顯示了以被訪問次數(shù)排名的前十名網(wǎng)站?！白罱宕问录罩尽眲討B(tài)顯示了最近五次的事件日志。點擊按鈕，可以連接到“事件日志”頁面，查看和搜索更多的事件日志。8 實時監(jiān)控實時監(jiān)控部分用于查看設(shè)備實時的工作狀態(tài)，包括設(shè)備資源、物理接口、服務(wù)監(jiān)控、用戶監(jiān)控四大部分。8.1 設(shè)備資源

17、設(shè)備資源包括了CPU使用率、內(nèi)存使用率、活躍會話數(shù)、在線用戶數(shù)、在線認(rèn)證用戶數(shù)、磁盤信息等共六部分。如下圖：圖2. 設(shè)置資源各分頁詳細(xì)說明如下： CPU使用率：查看最近一小時CPU使用率； 內(nèi)存使用率：查看最近一小時內(nèi)存使用率； 活躍會話數(shù)：查看最近一小時活躍會話數(shù)的統(tǒng)計趨勢圖； 在線用戶數(shù)：查看最近一小時在線用戶數(shù)的統(tǒng)計趨勢圖； 在線認(rèn)證用戶數(shù)：查看最近一小時在線認(rèn)證用戶數(shù)的統(tǒng)計趨勢圖；每個圖的下方均顯示了最新值(最近一個采樣點的值)、最近一小時的最大值、最小值、平均值及每個值對應(yīng)的時間點。圖中還用箭頭指明了最大值，如果這些值分布在多個時間點，則顯示最后一個時間點。例如，最大值分布在15:0

18、9:11和15:45:23兩個時間點，那么圖中箭頭指明的時間點和圖下方最大值對應(yīng)的括號中的時間點都是最后一個點15:45:23。8.2 物理接口物理接口頁面的內(nèi)容含兩部分：所有端口的全局信息、每個端口的速率趨勢圖。第一：物理接口的全局信息，如下圖：圖3. 物理接口統(tǒng)計圖全局信息包括了以下內(nèi)容： 柱狀圖顯示了每個物理接口收發(fā)速率。 表格顯示了每個接口的收發(fā)數(shù)據(jù)的統(tǒng)計信息，每個物理接口上面一行對應(yīng)該接口接收數(shù)據(jù)的統(tǒng)計信息，下面一行對應(yīng)該接口發(fā)送數(shù)據(jù)的統(tǒng)計信息。 表格中的古藍(lán)色圓餅代表該端口為連接狀態(tài)，灰色圓餅代表該端口為未連接狀態(tài)。第二：單個物理接口的統(tǒng)計信息包括了總的速率、接收速率、發(fā)送速率，如

19、下圖：圖4. LAN1物理接口統(tǒng)計圖每個接口分頁的下方都顯示了最新值(最近一個采樣點的值)、最近一小時的最大值、最小值、平均值及每個值對應(yīng)的時間點。圖中還用箭頭指明了最大值，如果這些值分布在多個時間點，則顯示最后一個時間點。例如，最大值分布在15:09:11和15:45:23兩個時間點，那么圖中箭頭指明的時間點和圖下方最大值對應(yīng)的括號中的時間點都是最后一個點15:45:23。8.3 服務(wù)監(jiān)控服務(wù)監(jiān)控頁面顯示了前十名服務(wù)趨疊加勢圖、服務(wù)組趨勢圖、活躍服務(wù)、所有服務(wù)四部分。8.3.1 服務(wù)趨勢疊加圖服務(wù)趨勢疊加圖如下：圖5. 服務(wù)監(jiān)控統(tǒng)計圖這里顯示了所有服務(wù)的疊加趨勢圖，其中列出了前十名和Othe

20、r。Other表示網(wǎng)絡(luò)中除了前十名以外的其它服務(wù)的速率值。8.3.2 服務(wù)組趨勢圖服務(wù)組趨勢圖如下：圖6. 服務(wù)組監(jiān)控統(tǒng)計圖這里顯示了所有服務(wù)組的疊加趨勢圖，一共有自定義普通服務(wù)、自定義特征識別、常用服務(wù)、HTTP下載、P2P下載、WEB視頻、流媒體、即時通訊、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)上銀行、其他服務(wù)等13種類型。8.3.3 活躍服務(wù)統(tǒng)計“活躍服務(wù)”將顯示當(dāng)前所有的活躍的服務(wù)，如下圖：圖7. 活躍服務(wù)監(jiān)控統(tǒng)計圖參數(shù)說明： 最新速率：表示某服務(wù)最后一個采樣點的速率值。上箭頭后面的值表示上行速率，下箭頭后面的值表示下行速率。 最近一小時總流量：表示某服務(wù)最近一小時傳輸?shù)牧髁刊B加值。上箭頭后

21、面的值表示上行流量，下箭頭后面的值表示下行流量。 最近一小時平均速率：表示某服務(wù)最近一小時的平均速率。上箭頭后面的值表示上行速率，下箭頭后面的值表示下行速率。點擊對應(yīng)服務(wù)操作欄的按鈕，查看該服務(wù)最近一小時的速率趨勢圖。點擊，查看正在使用該服務(wù)的用戶的信息。8.3.4 所有服務(wù)統(tǒng)計“所有服務(wù)”將分類顯示所有的服務(wù)統(tǒng)計值，如下圖：圖8. 所有服務(wù)監(jiān)控統(tǒng)計參數(shù)說明： 最新速率：表示某服務(wù)最后一個采樣點的速率值。上箭頭后面的值表示上行速率，下箭頭后面的值表示下行速率。 最近一小時總流量：表示某服務(wù)最近一小時傳輸?shù)牧髁刊B加值。上箭頭后面的值表示上行流量，下箭頭后面的值表示下行流量。 最近一小時平均速率：

22、表示某服務(wù)最近一小時的平均速率。上箭頭后面的值表示上行速率，下箭頭后面的值表示下行速率。點擊對應(yīng)服務(wù)操作欄的按鈕，查看該服務(wù)最近一小時的速率趨勢圖。點擊，查看正在使用該服務(wù)的用戶的信息。8.4 用戶監(jiān)控用戶監(jiān)控頁面顯示了前五十名用戶的實時傳輸速率、新建會話速率和活躍會話數(shù)。8.4.1 流量分析前五十名用戶的實時傳輸速率統(tǒng)計圖如下：點擊按鈕，查看該用戶最近一小時的速率趨勢圖。點擊按鈕，查看該用戶當(dāng)前使用的服務(wù)的信息。8.4.2 會話分析前五十名用戶的新建會話的統(tǒng)計圖如下：點擊按鈕，查看該用戶最近一小時的速率趨勢圖。點擊按鈕，查看該用戶當(dāng)前使用的服務(wù)的信息。8.4.3 活躍會話前五十名用戶的當(dāng)前活

23、躍會話統(tǒng)計圖如下：系統(tǒng)配置點擊按鈕，查看該用戶最近一小時的速率趨勢圖。點擊按鈕，查看該用戶當(dāng)前使用的服務(wù)的信息。9 系統(tǒng)配置“系統(tǒng)配置”主要包括設(shè)備工作模式、系統(tǒng)維護(hù)、系統(tǒng)管理員、網(wǎng)絡(luò)配置、網(wǎng)管策略、重啟操作、關(guān)機操作、網(wǎng)絡(luò)工具、系統(tǒng)信息等。9.1 設(shè)備工作模式“設(shè)備工作模式”用來設(shè)置設(shè)備的工作模式，可以設(shè)定為網(wǎng)橋模式、路由模式和旁路模式，默認(rèn)為網(wǎng)橋模式。用戶可根據(jù)網(wǎng)絡(luò)中的實際情況選擇相應(yīng)的接入模式。9.1.1 網(wǎng)橋模式功能描述：網(wǎng)橋模式是把“設(shè)備”視為一條帶過濾功能的網(wǎng)線使用，把“設(shè)備”接在原有網(wǎng)關(guān)及內(nèi)網(wǎng)用戶之間，不用更改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和配置，這種模式于用戶可以做到完全“透明”。如下圖所示：

24、單網(wǎng)橋模式 雙網(wǎng)橋模式 配置路徑：【系統(tǒng)配置】【工作模式】配置描述：進(jìn)入【工作模式】頁面，工作模式選擇網(wǎng)橋模式，并配置網(wǎng)橋類型、端口配置、網(wǎng)關(guān)IP。如下圖：圖9. 工作模式參數(shù)說明： 網(wǎng)橋類型：根據(jù)組網(wǎng)情況，選擇網(wǎng)橋數(shù)，并為其配置IP地址（網(wǎng)橋的IP地址的配置是可選的）。未配置為網(wǎng)橋的端口為獨立端口，可用于網(wǎng)管或路由。 端口配置：根據(jù)需要對未配置為網(wǎng)橋的端口進(jìn)行IP地址的配置。 網(wǎng)關(guān)IP：默認(rèn)路由(0/0)的網(wǎng)關(guān)地址。若不在此處配置，可以在【網(wǎng)絡(luò)配置路由配置靜態(tài)路由】頁面進(jìn)行默認(rèn)路由的配置。提示：1、 設(shè)備工作在網(wǎng)橋模式時，局域網(wǎng)內(nèi)電腦的網(wǎng)關(guān)不需要改變。2、 設(shè)備工作在網(wǎng)橋模式時，必須保證原有

25、上網(wǎng)數(shù)據(jù)穿透設(shè)備，即不能存在內(nèi)網(wǎng)用戶可繞過設(shè)備，到達(dá)原有網(wǎng)關(guān)的物理線路。3、 設(shè)備工作在網(wǎng)橋模式時，穿透數(shù)據(jù)時要保證 WAN區(qū)接連接外網(wǎng)方向的路由設(shè)備，LAN區(qū)接內(nèi)網(wǎng)的交換機，不能接反。4、 設(shè)備的網(wǎng)橋模式是在數(shù)據(jù)鏈路層(OSI第二層)上實現(xiàn)的透明，是通過把設(shè)備的兩個網(wǎng)口橋接起來實現(xiàn)的。所以數(shù)據(jù)鏈路層及以上各層的數(shù)據(jù)均可穿透。5、 網(wǎng)橋模式時，設(shè)備支持 VLAN TRUNK穿透，設(shè)備可以透明接在 VLAN TRUNK的主干道上。9.1.2 路由模式功能描述：此模式下設(shè)備工作類似一個路由器，可以進(jìn)行路由拓?fù)錁?gòu)造。每個物理接口可以工作在不同的子網(wǎng)中，使LAN與Internet之間建立一個安全網(wǎng)關(guān)。

26、如下圖所示： 單鏈路路由模式 雙鏈路路由模式配置路徑：【系統(tǒng)配置】【工作模式】配置描述: 進(jìn)入【工作模式】頁面，工作模式選擇路由模式，并配置網(wǎng)橋類型、端口配置、網(wǎng)關(guān)IP。如下圖：圖10. 路由模式參數(shù)說明： 端口配置：根據(jù)需要對物理端口進(jìn)行IP地址的配置。 網(wǎng)關(guān)IP：默認(rèn)路由(0/0)的網(wǎng)關(guān)地址。若不在此處配置，可以在【網(wǎng)絡(luò)配置路由配置靜態(tài)路由】頁面進(jìn)行默認(rèn)路由的配置。9.1.3 旁路模式功能描述：此模式下，設(shè)備只對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行記錄和監(jiān)控，不對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行過濾和控制。如下圖所示：配置路徑：【系統(tǒng)配置】【工作模式】配置描述:進(jìn)入【工作模式】頁面，工作模式選擇旁路模式，如下圖：圖11. 旁

27、路模式參數(shù)說明： 端口配置：根據(jù)需要對物理端口進(jìn)行管理IP地址的配置。數(shù)據(jù)偵聽端口最好接LAN1端口，管理端口使用其他空閑端口均可。 網(wǎng)關(guān)IP：網(wǎng)關(guān)地址。若不在此處配置，可以在【網(wǎng)絡(luò)配置路由配置靜態(tài)路由】頁面進(jìn)行默認(rèn)路由的配置。 監(jiān)控網(wǎng)段列表：被監(jiān)控的內(nèi)網(wǎng)IP地址。如果內(nèi)網(wǎng)IP不添加則此網(wǎng)段的IP上網(wǎng)行為無法被審計到。9.2 系統(tǒng)維護(hù)9.2.1 系統(tǒng)升級功能描述：升級設(shè)備的系統(tǒng)文件，可以升級的系統(tǒng)文件包括：系統(tǒng)固件、應(yīng)用特征庫、URL庫、授權(quán)文件。 系統(tǒng)固件：設(shè)備軟件程序 應(yīng)用特征庫：應(yīng)用特征碼的庫文件 URL庫：內(nèi)置URL庫文件 授權(quán)文件：給設(shè)備進(jìn)行授權(quán)的文件。當(dāng)前授權(quán)文件包括以下信息： 設(shè)

28、備序列號：標(biāo)示設(shè)備的唯一序列號。 授權(quán)類型：試用版/正式版；試用版是指給客戶試用的版本，正式版是指正式銷售的版本。 授權(quán)有效期: 授權(quán)文件的有效期限。 升級服務(wù)有效期: 正式版的升級服務(wù)有效期，在有效期之前可升級系統(tǒng)固件、應(yīng)用特征庫、URL庫，過期則不能升級。配置路徑：【系統(tǒng)配置】【系統(tǒng)維護(hù)】【系統(tǒng)升級】配置描述：第一：進(jìn)入【系統(tǒng)升級】頁面，可以查看設(shè)備的各種系統(tǒng)文件信息。如下圖：圖12. 系統(tǒng)升級第二：選擇需要升級的文件類型，點擊，找到文件的位置，再點擊按鈕開始升級。如下圖：圖13. 系統(tǒng)升級提示：1、 未選中的文件類型后面顯示當(dāng)前的版本信息。2、 升級系統(tǒng)固件后，必須重啟系統(tǒng)才能運行新的版

29、本。3、 升級應(yīng)用特征庫、URL庫文件、ISP自動地址表和授權(quán)文件后，不需要重啟系統(tǒng)即可生效。9.2.2 自動升級功能描述：用戶對“應(yīng)用特征庫”、“URL庫”的自動升級。配置路徑：【系統(tǒng)配置】【系統(tǒng)維護(hù)】【自動升級】配置描述：進(jìn)入【自動升級】頁面，可自動升級系統(tǒng)文件。如下圖：圖14. 自動升級參數(shù)說明： 啟用自動升級：勾選后，即啟用了對應(yīng)庫的自動升級功能，設(shè)備會定期去服務(wù)器檢查是否有新版本，若有就會自動升級新的庫文件； 立即升級：點擊此按鈕，則立即去獲取最新的版本并升級； 回滾：將庫文件回滾到上一次升級的版本； 服務(wù)器：自動去該服務(wù)器上獲取新版本，可配置IP或者域名。配置域名，則需要在【網(wǎng)絡(luò)配

30、置DNS配置】頁面設(shè)置DNS服務(wù)器； 延遲升級：當(dāng)有新版本時，是否延遲升級。選擇“不延遲”，則立即升級；選擇“延遲”，則延遲一段時間再升級。9.2.3 備份與恢復(fù)功能描述：設(shè)備支持配置文件備份與恢復(fù)功能。配置路徑：【系統(tǒng)配置】【系統(tǒng)維護(hù)】【備份與恢復(fù)】配置描述：第一：進(jìn)入【備份與恢復(fù)】頁面，如下圖：圖15. 配置備份與恢復(fù) 備份：系統(tǒng)會將所有的配置以文件的形式存儲，然后可將這個配置文件導(dǎo)出到PC。 恢復(fù)：導(dǎo)入一個配置文件（備份到PC的.conf的壓縮文件），導(dǎo)入后會覆蓋原來的配置文件，設(shè)備將自動重啟。 恢復(fù)出廠配置：將設(shè)備的配置恢復(fù)到出廠值，設(shè)備將自動重啟。第二：選擇備份或恢復(fù)，點擊9.2.4

31、 重啟/關(guān)機功能描述：重啟或關(guān)閉設(shè)備配置路徑：【系統(tǒng)配置】【系統(tǒng)維護(hù)】【重啟/關(guān)閉】配置描述：進(jìn)入【重啟/關(guān)閉】頁面，選擇重啟或關(guān)機，再點擊按鈕，可重啟或關(guān)閉設(shè)備。如下圖：圖16. 重啟/關(guān)機提示：移動設(shè)備或切換電源時，最好先關(guān)機，30秒后再切斷電源。9.3 系統(tǒng)管理員9.3.1 配置系統(tǒng)管理員功能描述：配置系統(tǒng)管理員。配置路徑：【系統(tǒng)配置】【系統(tǒng)管理員】配置描述：第一：進(jìn)入【系統(tǒng)管理員】頁面，可以看到系統(tǒng)自帶的3個管理員列表（其中 guest賬戶的密碼為guest*PWD ;reporter賬戶的密碼為reporter*PWD），如下圖：圖17. 系統(tǒng)管理員第二：點擊，進(jìn)入新增管理員的界面，

32、填寫各項參數(shù)，然后點擊。如下圖：圖18. 新增系統(tǒng)管理員參數(shù)說明： 用戶名：輸入用戶名稱，由數(shù)字、英文、下劃線、連接線、點組成，開頭必須為字母或數(shù)字，且長度為1-16個字符；必選項 認(rèn)證方式：口令認(rèn)證； 口令策略：包括手工配置口令和自動生成（郵件通知）口令。手工配置密碼可以直接在下面的密碼、確認(rèn)密碼框中輸入用戶密碼； 密碼強度：系統(tǒng)會根據(jù)密碼強度規(guī)則自動檢測用戶輸入密碼的安全強度； 設(shè)置密碼/確認(rèn)密碼：不限字符，但不能設(shè)置空格鍵；必選項 自動生成密碼：要求郵箱地址為必填項，系統(tǒng)生成的密碼發(fā)到該郵箱地址中。如下圖：圖19. 新增系統(tǒng)管理員 真實姓名：輸入對應(yīng)登錄名的真實姓名，不限字符；必選項 手

33、機號碼：即管理員的手機號碼；可選項 郵箱地址：即管理員的郵箱地址，當(dāng)管理員的配置信息有變更時，系統(tǒng)會通過郵件方式通知管理員； 角色：將定義的用戶分配一個角色；必選項。系統(tǒng)默認(rèn)配置了三個角色（超級管理員、Guest、審計員），您可以根據(jù)準(zhǔn)備工作中確定的用戶權(quán)限來靈活自定義分配的角色。如果要自定義角色，請參見本文【角色管理】章節(jié)。 所屬組：報表中心（Reporter）的權(quán)限。例如，一個名為Mary的管理員，“所屬組”配置為“Root/財務(wù)部”，那么Mary只能查看“根組(Root)”下的“財務(wù)部”組下的所有人的記錄。點擊按鈕，可選擇所屬組，如下圖： 狀態(tài)：啟用或禁用該用戶，默認(rèn)啟用。 備注：主要是

34、作為描述該用戶的附加注釋信息?？蛇x項 提示：自動生成密碼：要求郵箱地址為必填項，且必須在【系統(tǒng)配置郵件配置】中設(shè)置好郵件服務(wù)器的相關(guān)參數(shù)才會生效。9.3.2 角色管理功能描述：配置系統(tǒng)管理員的角色分類，即管理權(quán)限。配置路徑：【系統(tǒng)配置】【系統(tǒng)管理員】配置描述：第一：進(jìn)入管理員新增頁面，點擊按鈕，進(jìn)入下圖：圖20. 系統(tǒng)管理員第二：點擊，進(jìn)入新增系統(tǒng)角色的界面，填寫各項參數(shù)，然后點擊。如下圖：圖21. 新增系統(tǒng)角色參數(shù)說明： 角色名稱：輸入管理員的角色名稱；必選項 角色描述：可以輸入描述該角色的注釋等?？蛇x項 權(quán)限列表：選擇為該角色分配的權(quán)限。編輯權(quán)限表示可以對設(shè)備進(jìn)行讀寫操作。查看權(quán)限表示對設(shè)

35、備僅有讀操作權(quán)限。必選項 提示：1、 系統(tǒng)默認(rèn)配置了三個管理員： superman：具有所有權(quán)限，可以配置設(shè)備、查看設(shè)備、管理Reporter。 guest：僅具有查看設(shè)備權(quán)限，默認(rèn)密碼為guest*PWD。 reporter：管理Reporter，所屬組為根組，默認(rèn)密碼為reporter*PWD。2、 系統(tǒng)默認(rèn)的管理員(superman、guest、reporter)不能刪除，可修改密碼。3、 超級管理員可以修改其它管理員的屬性，其它管理員只能修改自己的密碼。4、 新增的用戶可以修改密碼，可以被刪除。5、 具有管理Reporter權(quán)限的管理員，先登錄了設(shè)備后，可以不用再次登錄即可管理Repo

36、rter。當(dāng)先登錄Reporter，必須要再次登錄才可以管理設(shè)備。9.4 網(wǎng)管策略功能描述：設(shè)置網(wǎng)管策略，可允許部分IP能網(wǎng)管設(shè)備，以限制非法用戶訪問設(shè)備。配置路徑：【系統(tǒng)配置】【網(wǎng)管策略】配置描述：第一：進(jìn)入【網(wǎng)管策略】頁面，如下圖：圖22. 網(wǎng)管策略第二：選擇策略類型，再點擊右上角的第三：點擊按鈕，增加“允許網(wǎng)管設(shè)備的策略”。圖23. 新增網(wǎng)管策略第四：改變“狀態(tài)”欄的值，再點擊可以改變配置條目的狀態(tài)。提示：1、 策略類型：默認(rèn)為“允許所有IP網(wǎng)管”，這時所有IP都可以網(wǎng)管設(shè)備。2、 策略類型選擇為“根據(jù)下面策略進(jìn)行控制”時，如果網(wǎng)管策略里沒有配置任何策略，則所有IP都可以網(wǎng)管設(shè)備；如果配

37、置了策略，則只有符合這些策略的才可以網(wǎng)管設(shè)備。3、 狀態(tài)復(fù)選框：勾選，表示此條配置的狀態(tài)為“啟用”。不勾選，即此條配置的狀態(tài)為“禁用”，即此策略未生效。9.5 網(wǎng)管參數(shù)功能描述：對網(wǎng)管參數(shù)的設(shè)置，包括WEBUI及SSH網(wǎng)管參數(shù)的設(shè)置。配置路徑：【系統(tǒng)配置】【網(wǎng)管參數(shù)】圖24. 網(wǎng)管參數(shù)參數(shù)說明： WEBUI網(wǎng)管方式：支持安全的 HTTPS 方式和傳統(tǒng)的 HTTP 方式，默認(rèn)為HTTPS方式 。 WEBUI登錄端口：為安全起見，系統(tǒng)的 WEB 網(wǎng)管默認(rèn)采用 TCP 443 端口，可以改成 TCP 協(xié)議的其它端口，不能改成 80 端口。 WEBUI超時：WEBUI未操作超時時間，默認(rèn) 10 分鐘。

38、 REPORTER登錄端口：為安全起見，系統(tǒng)的 WEB 網(wǎng)管默認(rèn)采用 TCP 9091 端口，可以改成 TCP 協(xié)議的其它端口，不能改成 80 端口。 REPORTER超時：REPORTER的WEBUI未操作超時時間，默認(rèn) 10 分鐘。 SSH登錄端口：為了安全性，系統(tǒng)的 SSH 網(wǎng)管默認(rèn)采用 TCP 2222 端口，可以改成 TCP 協(xié)議的其它端口。9.6 網(wǎng)絡(luò)工具“網(wǎng)絡(luò)工具”包括Ping 和 TraceRoute9.6.1 Ping功能描述：用于測試網(wǎng)絡(luò)的連通性。配置路徑：【系統(tǒng)配置】【網(wǎng)絡(luò)工具】【Ping】，設(shè)置界面如下圖：圖25. PING工具參數(shù)說明： IP/域名：目的 IP 地址或

39、者域名，如果設(shè)置域名，需要先配置本機DNS。 報文長度：Ping報文的長度，20-8000 字節(jié)，默認(rèn)64字節(jié)。 Ping次數(shù)： 發(fā)送Ping報文的數(shù)量，12000000000，默認(rèn) 5次。提示：如果輸入域名，需要先配置本地 DNS 服務(wù)器，詳見【網(wǎng)絡(luò)配置DNS 配置】。9.6.2 TraceRoute功能描述：用于確定 IP 數(shù)據(jù)訪問目標(biāo)所采取的路徑。配置路徑：【系統(tǒng)配置】【網(wǎng)絡(luò)工具】【TraceRoute】，設(shè)置界面如下圖：圖26. TraceRoute工具參數(shù)說明： IP/域名：目的 IP 地址或者域名，如果設(shè)置域名，需要先配置本機DNS。 超時設(shè)置：1-10秒，缺省 10秒。 最小 T

40、TL：1-255，缺省 1。 最大 TTL：1-255，缺省 10。提示：如果輸入域名，需要先配置本地 DNS 服務(wù)器，詳見【網(wǎng)絡(luò)配置DNS 配置】。9.7 系統(tǒng)時間功能描述：用于設(shè)定設(shè)備的系統(tǒng)時間。配置路徑：【系統(tǒng)配置】【系統(tǒng)時間】，設(shè)置界面如下圖： 圖27. 設(shè)置系統(tǒng)時間如需啟用SNTP功能，則勾選自動與SNTP服務(wù)器同步，然后可配置SNTP服務(wù)器和同步間隔。如下圖：SNTP服務(wù)器也可寫IP地址：01圖28. 設(shè)置系統(tǒng)時間點擊 按鈕，可立即與所配置的服務(wù)器進(jìn)行時間的同步。提示：啟用 自動與SNTP服務(wù)器同步后，系統(tǒng)日期和系統(tǒng)時間兩項不可配置。9.8 系統(tǒng)信息功能描述：

41、設(shè)備基本信息描述。配置路徑：【系統(tǒng)配置】【系統(tǒng)信息】，配置頁面如下：圖29. 系統(tǒng)信息9.9 郵件配置功能描述：配置設(shè)備發(fā)送告警郵件的參數(shù)。配置路徑：【系統(tǒng)配置】【郵件配置】，配置頁面如下：圖30. 郵件配置參數(shù)說明： 郵件使用語音：發(fā)送郵件時使用的語言。 郵件服務(wù)器：設(shè)置郵件發(fā)服務(wù)器地址。 端口號：設(shè)置郵件端口號。 發(fā)件人：設(shè)置告警郵件的發(fā)送者。 發(fā)件人顯示名：設(shè)置告警郵件發(fā)送者顯示的姓名。 需要認(rèn)證：選擇是否需要進(jìn)行密碼安全認(rèn)證。 用戶名：需要安全認(rèn)證時，必須填入用戶名。 密碼：需要安全認(rèn)證時，必須填入用戶密碼。 收件人：設(shè)置告警郵件的收件人郵箱地址，可以設(shè)置多個，一行一個收件人地址。9.

42、10 集中管理功能描述：配置設(shè)備是否加入集中管理平臺。配置路徑：【系統(tǒng)配置】【集中管理】，配置頁面如下：圖31. 集中管理參數(shù)說明： 啟用集中管理：配置設(shè)備是否加入集中管理，加入后即成為集中管理的客戶端或網(wǎng)點。 中心端IP地址：配置集中管理的中心端的IP地址。 通訊端口：配置與中心端通信的端口號，默認(rèn)是1194。須與中心端配置的通訊端口一致。 網(wǎng)點名稱：配置設(shè)備在中心端的區(qū)域結(jié)構(gòu)中顯示的設(shè)備名稱。 數(shù)據(jù)加密密鑰：與中心端通信時的數(shù)據(jù)是加密的，此處配置的密鑰與中心端上該網(wǎng)點密鑰一致。 已獲取的虛擬IP：中心端分配給設(shè)備的虛擬IP地址。與中心端連接狀態(tài)：顯示與中心端的連接狀態(tài)?！斑B接”表示與中心端

43、的數(shù)據(jù)通道連接正常，“斷開”表示與中心端的數(shù)據(jù)通道連接已斷開。“最后響應(yīng)時間”表示最后一次與中心端通信的時間。10 系統(tǒng)對象“系統(tǒng)對象”包括地址薄、網(wǎng)絡(luò)服務(wù)、時間計劃、URL庫、關(guān)鍵字、文件類型等。10.1 地址簿功能描述：用于定義一個包含某些 IP 地址的 IP 地址組，這個 IP 組可以是任意的一個IP、一段IP或者IP范圍的任意組合?！暗刂凡尽睂⒈弧驹L問規(guī)則安全策略】、【訪問規(guī)則NAT規(guī)則】、【行為管理】及【流量管理】中定義的規(guī)則時引用。配置路徑：【系統(tǒng)對象】【地址簿】配置描述：第一：進(jìn)入【地址簿】頁面，如下圖：圖32. 地址簿第二：點擊按鈕，增加地址簿，如下圖：圖33. 新增地址簿提示

44、：如果某地址簿已經(jīng)被引用，則不能被刪除。刪除前必須先解除引用。10.2 網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)共分為：自定義普通服務(wù)、自定義特征識別、自定義論壇/網(wǎng)評、常用服務(wù)、HTTP應(yīng)用、WEB視頻、P2P下載、流媒體、網(wǎng)絡(luò)游戲、即時通訊、股票交易、網(wǎng)上銀行、網(wǎng)絡(luò)電話、其他服務(wù)。其中自定義普通服務(wù)與常用服務(wù)是基于端口的服務(wù)，在【訪問規(guī)則安全策略】中被引用；其他服務(wù)都是基于內(nèi)容識別的服務(wù)，在【流量管理】中將被引用。10.2.1 自定義普通服務(wù)功能描述：自定義基于端口的四層服務(wù)配置路徑：【系統(tǒng)對象】【網(wǎng)絡(luò)服務(wù)】【自定義普通服務(wù)】配置描述：第一：進(jìn)入【自定義普通服務(wù)】頁面，可看到當(dāng)前已定義的服務(wù)，如下圖：圖34. 自

45、定義普通服務(wù)第二：點擊表格右上角的按鈕，增加服務(wù)，配置頁面如下：圖35. 新增自定義普通服務(wù)點擊、或選項卡，可選擇協(xié)議類型。如果選擇TCP或UDP，則需要填寫目的端口和源端口。如果選擇ICMP，需要填寫類型值和代碼值。如果選擇IP，則只需要填寫協(xié)議號即可。優(yōu)先級：默認(rèn)低于系統(tǒng)定義的常用服務(wù)。提示：1、 某一種服務(wù)，可同時包含TCP、UDP、ICMP、IP類型的子服務(wù)。2、 如果某服務(wù)已經(jīng)被引用，則不能被刪除。要刪除某服務(wù)，必須先解除引用。10.2.2 自定義特征識別功能描述：自定義基于特征識別的7層服務(wù)配置路徑：【系統(tǒng)對象】【網(wǎng)絡(luò)服務(wù)】【自定義特征識別】配置描述：第一：進(jìn)入【自定義特征識別】頁

46、面，可看到當(dāng)前已定義的服務(wù)，如下圖：圖36. 自定義特征識別規(guī)則第二：點擊表格右上角的按鈕，增加服務(wù)，配置頁面如下：圖37. 新增自定義特征識別規(guī)則參數(shù)說明： 協(xié)議類型：選擇本條規(guī)則的協(xié)議類型，可選擇 TCP、UDP 或者 TCP+UDP 目的端口：可選擇所有端口或者端口范圍 IP地址：可選擇所有 IP 地址或者指定的 IP 地址 數(shù)據(jù)長度：可選擇任意數(shù)據(jù)長度或者指定數(shù)據(jù)長度；該長度不計算 TCP/UDP 的頭部，僅是 Payload 的長度。符合設(shè)定長度的報文才會被匹配。 特征字符串：報文的特征，用正則表達(dá)式來表示。 優(yōu)先級：默認(rèn)低于系統(tǒng)定義的特征。提示：如果某服務(wù)已經(jīng)被引用，則不能被刪除。

47、要刪除某服務(wù)，必須先解除引用。10.2.3 自定義論壇/網(wǎng)評特征功能描述：自定義HTTP論壇或者網(wǎng)頁評論頁面的特征。配置路徑：【系統(tǒng)對象】【網(wǎng)絡(luò)服務(wù)】【自定義論壇/網(wǎng)評特征】配置描述：第一：進(jìn)入【自定義論壇/網(wǎng)評特征】頁面，可看到當(dāng)前已經(jīng)定義好的自定義論壇/網(wǎng)評特征列表，如下圖：圖38. 自定義論壇/網(wǎng)評特征第二：點擊表格右上角的按鈕，新增論壇/網(wǎng)評特征，配置頁面如下：圖39. 新增自定義論壇/網(wǎng)評特征參數(shù)說明： URL：HTTP 報文第一行 POST 頭與 HTTP/1. 之間的內(nèi)容，如：post.jsp。 HOST：HTTP 報文的 HOST 字段的內(nèi)容，如：或者 IP 地址。 編碼類型：

48、網(wǎng)頁的編碼類型。 是否 MIME 型：選擇是或否，當(dāng) Content-Type 字段含有“boundary=-”時，即為 MIME 型。 主題關(guān)鍵字：title、topic、subject 或其他。即下面“發(fā)表帖子”和“回復(fù)帖子”兩個圖例中所指的部分所包含的關(guān)鍵字。 內(nèi)容關(guān)鍵字：message、content、body、remark 或其他。即下面“發(fā)表帖子”和“回復(fù)帖子”兩個圖例中所指的部分包含的關(guān)鍵字。圖40. 發(fā)表帖子圖41. 回復(fù)帖子 優(yōu)先級：默認(rèn)低于系統(tǒng)定義的特征。提示：1. 以上各條件是與的關(guān)系， 即每個條件都滿足，才能匹配到本條特征。2. 如果某服務(wù)已經(jīng)被引用，則不能被刪除。要刪

49、除某服務(wù)，必須先解除引用。10.2.4 協(xié)議剝離在某些網(wǎng)絡(luò)環(huán)境中，通訊數(shù)據(jù)包經(jīng)過了一些特殊協(xié)議類型的封裝（PPPoE、MPLS等），這些協(xié)議數(shù)據(jù)包在普通 IP 包的基礎(chǔ)上添加了各自協(xié)議特有的頭部標(biāo)識，使得一般帶有協(xié)議分析功能的設(shè)備也無法正常分析。本設(shè)備通過協(xié)議剝離功能，分析出這些特殊協(xié)議數(shù)據(jù)包的特點，并與內(nèi)置特殊協(xié)議規(guī)則匹配，在設(shè)備內(nèi)部剝離掉特殊協(xié)議的協(xié)議頭，這樣可以支持對特殊協(xié)議封裝內(nèi)的原始數(shù)據(jù)進(jìn)行認(rèn)證、審計和控制。設(shè)備內(nèi)部目前內(nèi)置了VLAN（Q-in-Q）協(xié)議的剝離 和 PPPoE 協(xié)議的剝離，并且支持自定義協(xié)議的剝離。如果網(wǎng)絡(luò)環(huán)境中存在非普通 IP 報文的其他特殊協(xié)議，但該協(xié)議不在內(nèi)置的

50、協(xié)議剝離列表，在可以設(shè)置自定義的協(xié)議剝離。配置方法如下：配置路徑：【系統(tǒng)對象】【網(wǎng)絡(luò)服務(wù)】【協(xié)議剝離】配置描述：進(jìn)入【協(xié)議剝離】頁面，如下圖：圖42. 自定義協(xié)議剝離參數(shù)說明： 協(xié)議剝離：啟用或禁用協(xié)議剝離功能。 匹配協(xié)議頭特征：指明需要做協(xié)議剝離的特殊協(xié)議的協(xié)議頭在整個數(shù)據(jù)包中（含以太頭）的起始位址和協(xié)議頭特征值。 IP頭起始位址：指明經(jīng)過此特殊協(xié)議封裝后 IP 頭的起始位址。提示：1、 路由模式不支持協(xié)議剝離。2、 網(wǎng)橋模式下支持協(xié)議剝離，可對協(xié)議剝離后的數(shù)據(jù)進(jìn)行自動認(rèn)證、應(yīng)用審計和控制，但特殊環(huán)境下部分功能不生效，如 Web 認(rèn)證、準(zhǔn)入認(rèn)證、SSL內(nèi)容識別，MSN傳文件控制等等。3、 旁

51、路模式下支持協(xié)議剝離，協(xié)議剝離環(huán)境下僅支持自動認(rèn)證和審計，不支持控制功能。4、 協(xié)議剝離環(huán)境下，不支持以計算機名作為用戶名、不支持以 MAC 地址作為用戶名、不支持用戶綁定MAC地址。5、 某些數(shù)據(jù)經(jīng)特殊協(xié)議封裝后，會有2個 IP 頭部，如L2TP，協(xié)議剝離后最外層的 IP 頭（底層）已經(jīng)剝離，所以最終認(rèn)證、審計、控制是根據(jù)最里層（上層）的 IP 來控制的，同時設(shè)備策略不應(yīng)該組織外層 IP 通訊。6、 設(shè)備默認(rèn)支持單層的 802.1Q VLAN 剝離、Q-in-Q VLAN 剝離、PPPoE 剝離、VLAN+PPPoE 剝離，Q-in-Q+PPPoE支持，以及對PPPoE SSO支持。對這些協(xié)議的支持，不必開啟協(xié)議剝離功能，就能自動運行。7、 協(xié)議剝離均不支持協(xié)議以壓縮、加密的方式通訊。10.3 時間計劃功能描述：用于定義時間段，然后可在【訪問規(guī)則安全策略】、【流量管理】、【行為管理】中引用，以控制這些策略生效或失效的時間，從而可對各種策略分時間段管理。配置路徑：【系統(tǒng)對象】【時間計劃】配置描述：第一：進(jìn)入【時