50-係統管理
本章節下載: 50-係統管理 (1.38 MB)
目 錄
可以通過手動點擊導入許可證來對應用監控升級服務/URL分類庫升級服務/惡意URL分類庫升級服務、入侵防禦/病毒防護升級服務以及非經SDK功能進行授權。如圖1-1所示。
圖1-1 導入許可證圖
通過菜單“係統管理 > 係統維護 > 授權管理”,進入如圖1-2所示頁麵。配置項含義如表1-1所示。
圖1-2 手動導入許可證頁麵
表1-1 手動導入許可證配置項含義描述表
標題項 |
說明 |
導入許可證 |
對係統軟件進行授權。 |
非經SDK功能授權 |
對非經SDK功能進行授權後,需要在命令行config視圖下配置rzx gam-audit | (enable/disable)選擇開啟或關閉 |
由於老版本非經配置過於繁瑣,為滿足市場需求,增加非經SDK功能使用授權特性。對非經SDK功能進行授權後,需要在命令行config視圖下配置如下命令選擇開啟或關閉:
rzx gam-audit | (enable/disable)
圖1-3 非經SDK配置命令
R6611P02及之後版本新增非經SDK功能,為了兼容R6611P02之前版本非經功能,web頁麵老的無線非經功能保留,已經使用老的無線非經功能的用戶可以升級新版本繼續兼容使用,也可以修改到新的SDK功能使用(需要進行授權才能使用),新用戶建議使用新的SDK功能,操作比較簡單,隻需授權激活,命令行config視圖下配置開啟命令(rzx gam-audit enable)
未導入非經SDK功能使用授權的license時無法啟用非經SDK功能,授權過期後會自動關閉非經SDK功能,再次重新授權後不會自動開啟非經SDK功能,需要手工開啟。
使用SDK功能需要設備可以和外網互通,設備可以通過ping 百度測試;設備mac地址在設備銘牌上有體現,同時對應設備的第一個接口mac地址
可以通過手動本地升級係統軟件版本和特征庫,也可自動升級URL分類特征庫和應用控製特征庫。
對於已發布的版本,通過上傳升級熱補丁,可以在不影響係統運行的情況下,完成對設備版本的缺陷進行修複,熱補丁正確加載後補丁文件立即生效。如圖1-4所示。
通過菜單“係統管理 > 係統維護 > 係統升級”,進入如圖1-5所示頁麵。各個配置項含義如表1-2所示。
標題項 |
說明 |
係統軟件 |
升級係統軟件版本或熱補丁。 升級係統軟件版本,升級後需要重啟設備方可生效; 升級熱補丁,不需重啟設備即可生效。 |
應用控製特征庫 |
升級應用控製特征庫。 |
入侵防禦特征庫 |
升級入侵防禦特征庫 |
病毒防護特征庫 |
升級病毒防護特征庫 |
通過菜單“係統管理 > 係統維護 > 係統升級”,進入如圖1-6所示頁麵,頁麵中的紅色圈選部分為配置項。各個配置項含義如表1-3所示。
標題項 |
說明 |
默認升級服務器 |
升級服務器設為默認升級服務器。 |
指定升級服務器 |
設置升級服務器地址。 |
定期升級 |
啟用定期自動升級。 |
每周 |
按星期定期自動升級。 |
每月 |
按每月日期自動升級,日期間以“,”分隔。 |
時間 |
每次自動升級的當天時間。 |
點擊<提交>按鈕,提交自動升級配置。
點擊<立即升級>按鈕,可立即更新特征庫,無需等到自動升級指定時間點,首次配置設備時建議進行一次立即升級。
采用自動升級功能時,需要在設備上設定有效的DNS。
通過菜單“係統管理>係統維護>係統升級”,進入如圖1-7所示界麵;單擊“係統軟件”中的“瀏覽”按鈕,選擇待上傳的補丁文件,單擊“上傳”按鈕上傳補丁文件。
單擊“補丁升級”進入如圖1-8所示界麵;選中要升級的補丁版本,單擊“”按鈕進行補丁升級。
升級成功後,版本狀態顯示為“已升級”,如圖1-9所示界麵。
單擊“”按鈕可對已升級的補丁進行卸載,熱補丁卸載成功後,在補丁升級框中該補丁顯示已上傳。
圖1-10 卸載成功界麵
單擊“”按鈕可對已上傳或已卸載的補丁進行刪除,熱補丁刪除成功後,在補丁升級框中該補丁被刪除;正在加載的補丁不允許刪除。
· 上傳熱補丁數量限製為5個。
· 為了保證補丁操作進程堆棧安全,補丁的操作時間間隔為30S。
· 補丁文件必須以“.pat”作為擴展名,不支持中文。
通過菜單“係統管理 > 係統維護 > 係統升級”,進入如圖1-11所示頁麵,通過頁麵中的紅色圈選部分,查看升級記錄。
通過菜單“係統管理 > 係統維護 > 係統重啟”,進入如圖1-12所示頁麵,選擇“係統重啟”。
點擊<提交>按鈕,重啟係統。
通過菜單“係統管理 > 係統維護 > 係統重啟”,進入如圖1-13所示頁麵,選擇“恢複出廠設置”。
點擊<提交>按鈕,恢複出廠設置。
通過菜單“係統管理 > 係統維護 > 配置維護”,進入如圖1-14所示頁麵,管理配置文件。各個配置項的含義如表1-4所示。
標題項 |
說明 |
係統配置導入 |
從本地主機中選擇要導入的配置文件上傳至設備。 |
係統配置導出 |
將保存的配置導出至本地主機。 注:導出的文件是UTF-8編碼模式。 |
雙備份配置 |
可以選擇拷貝主配置文件到備份配置文件,或恢複備份配置文件到主配置文件。恢複備份配置後,需重啟係統配置才可生效,重啟前請勿保存配置。 |
設備出廠的默認配置自動創建了一個超級管理員用戶admin,使用這個賬號,可以登錄設備對設備進行配置,包括配置其它的管理員,每個管理員都有它的管理地址。
管理員是登錄設備對設備進行配置管理的用戶。通過菜單“係統管理 > 係統設定 > 管理員”,進入管理員界麵,如圖1-15所示。各個顯示項含義如表1-5所示。
圖1-15 本地管理員顯示界麵
標題項 |
說明 |
用戶名 |
管理員的名稱。 |
角色 |
有兩種管理員角色: · 管理員角色; · 審計員角色。 |
認證類型 |
有三種認證類型: · 本地認證; · RADIUS認證; · LDAP認證。 |
描述 |
管理員的描述信息。 |
管理地址 |
管理員的管理地址,隻有在這個範圍內的地址才能通過此管理員來管理設備。 |
點擊圖1-15的<新建>按鈕,可以進入如圖1-16所示的新建管理員界麵。各個配置項的含義如表1-6所示。
配置項 |
說明 |
用戶名 |
管理員的名稱。 |
描述 |
針對管理員的說明。 |
認證類型 |
選擇創建的賬號的認證類型,選擇第三方RADIUS和LDAP服務器認證時需提前配置服務器。 |
密碼 |
用戶對應的密碼,最少6個字符。 |
確認密碼 |
對輸入的密碼進行確認輸入。 |
本地 |
在本地進行管理員認證。 |
RADIUS |
如果在用戶組中包含了用戶名、RADIUS服務器,如果用戶本地存在則在本地進行認證,若不存在則發往RADIUS服務器進行認證。 |
LDAP |
如果在用戶組中包含了用戶名、LDAP服務器,如果用戶本地存在則在本地進行認證,若不存在則發往LDAP服務器進行認證。 |
管理IP |
管理IP欄可以配置授權地址,最多可配置3個。缺省情況下,從任何地址都可以登錄設備進行配置管理。 |
角色 |
管理員的角色,可選取管理員或審計員。 |
通過菜單“係統管理 > 係統設定 > 管理員”,然後再點擊“在線信息”標簽頁,可以查看正在管理設備的管理員,如圖1-17所示。各個顯示項的含義如表1-7所示。
標題項 |
說明 |
用戶名 |
管理員的名稱。 |
管理地址 |
管理員登錄的IP地址。 |
訪問方式 |
管理員可以通過以下幾種方式來管理設備: · WEB · CONSOLE · SSH · TELNET · DataCenter |
登錄時間 |
管理員登錄的時間。 |
操作 |
點擊刪除圖標可以根據需要強製管理員下線 。 |
通過直接連接設備串口登錄的管理員無法強製管理員下線。
通過菜單“係統管理 > 係統設定 > 管理員 > 阻斷用戶”,然後再點擊“阻斷用戶”標簽頁,可以查看當前被阻斷登錄的用戶信息,如圖1-18所示。缺省情況下,阻斷時間為一分鍾,點擊操作下麵的刪除圖標可立即解除阻斷。
通過菜單“係統管理 > 係統設定 > 管理設定”,進入管理設定配置頁麵,如圖1-19所示。各個配置項的含義如表1-8所示。
標題項 |
說明 |
實時保存配置 |
是否實時的保存配置,通過web管理方式管理時,配置修改後將自動保存。 |
管理員唯一性檢查 |
是否檢查管理員的唯一性,即是否隻允許一個管理員登錄。 |
管理員雙因子認證 |
管理員雙因子認證,開啟後當使用https方式登錄設備時需要有經過授權的Ukey+合法賬號才能登錄設備。 Ukey管理軟件:對Ukey進行初始化激活 Ukey客戶端軟件:通過客戶端軟件將設備端生成的用戶證書導入Ukey |
最大登錄嚐試次數 |
允許管理員登錄失敗後重新登錄的次數。 |
登錄失敗阻斷間隔 |
管理員登錄失敗允許再次登錄的間隔時間。 |
頁麵超時時間 |
頁麵超時時間,如操作時間超過該值頁麵將自動退出。 |
web在線管理員 |
同時web在線的管理員的最大個數。 |
管理員認證方式 |
選擇管理員認證方式(本地認證或外部認證)。 · 本地認證:使用設備本地管理員賬號密碼登錄設備; · 外部認證:選擇外部服務器進行外部認證。 |
HTTPS端口 |
設備HTTPS管理端口,默認為443,可修改為1024-65534之間未被係統使用的端口 |
HTTP端口 |
設備HTTP管理端口,默認為80,可修改為1024-65534之間未被係統使用的端口 |
TELNET端口 |
設備TELNET管理端口,默認為23,可修改為1024-65534之間未被係統使用的端口 |
SSH端口 |
設備SSH管理端口,默認為22,可修改為1024-65534之間未被係統使用的端口 |
目前係統管理員支持認證方式:radius服務器認證方式、LDAP服務器認證方式,這兩種認證方式都需要在設備上建立管理員賬戶,對於本地用戶名密碼校驗是合理的,但是對於其它兩種外部認證方式,本地保存用戶名對於認證過程沒有作用,不僅會增加維護複雜性,還會導致賬戶外泄,增加安全隱患。
為了更好的提高設備可維護性,在RADIUS服務器校驗方式、LDAP服務器校驗方式中,不再需要配置用戶名。
本功能具有如下功能點:
· 全局設定支持管理員認證方式切換:本地認證、外部服務器認證;
· 在保留現有本地認證方式的基礎上增加支持外部服務器認證。
通過菜單“係統管理 > 係統設定 > 管理設定”,進入如圖1-20所示頁麵。在該頁麵上可以配置管理員外部認證的相關功能。各個配置項含義如表1-9所示。
標題項 |
說明 |
管理員認證方式 |
選擇管理員認證方式(本地認證或外部認證)。 · 本地認證:使用設備本地管理員賬號密碼登錄設備; · 外部認證:選擇外部服務器進行外部認證。 |
認證服務器 |
選擇管理員外部登錄時使用哪種認證服務器(Radius或Ldap)。 |
radius/ldap |
選擇認證服務器對象。 |
服務器異常開啟本地認證 |
選擇外部認證時可以選擇服務器異常是否開啟本地認證,默認為開啟狀態。 |
設備的三權分立主要為一些資質審核公司要求管理員互相製約互相監控的功能。
三權分立共有四種管理員,分別為原內嵌管理員admin,三權分立後account用戶、authority用戶、audit用戶,可以分別有以下權限:
· admin賬戶:內嵌管理員用戶,三權模式下由authority用戶對其進行功能授權,以實現對功能點權限為隻讀或可讀寫,進而對功能進行操作控製。
· account用戶:account負責賬號創建,可新建自定義係統管理員;可進行操作日誌查看。
· authority用戶:可以係統管理員功能模塊授權,模塊細分讀寫或隻讀模式。
· audit用戶:審核管理員可對用戶權限監控及操作日誌查看。
通過菜單“係統管理>係統設定>管理設定>模式切換”,進入模式切換頁麵,進行普通模式到三權模式的切換,如圖1-21所示。該動作不可逆,提交後,當前配置頁麵將退出登錄狀態。
· 賬戶新建隻能由accout用戶新建。
· 切換三權模式需慎重,配置界麵不可回切。
· 所有用戶初始密碼均為admin。
· 三權模式下係統管理員admin的缺省密碼在切換為三權模式前已經更改,請使用修改後的密碼進行登錄,此次登錄不會強製要求修改密碼。
· 賬號管理員、權限管理員以及審計員在首次登錄設備時,係統要求強製修改默認密碼,且不能與默認密碼相同。
進入三權模式後,將自動生成三個管理員賬號:account,authority,audit。
Account(賬號管理員)登錄後,可以進行管理員賬號的新建、刪除,以及對賬號管理員操作日誌的查看,如圖1-22所示。同時,該賬號可編輯自身賬號的管理員名稱及密碼。
authority(權限管理員)登錄後,可以進行管理員賬號的權限進行新建、刪除、編輯,以及對權限管理員操作日誌的查看。同時,該賬號可編輯自身賬號的管理員名稱及密碼,如圖1-23、圖1-24所示。
權限狀態為“待分配”表示當前該管理員賬號未授予權限,權限管理員分配權限後,狀態將變為“已分配”。
Audit(審核員)登錄後,可以進行對當前管理員賬號權限狀態的審計,以及對所有賬號操作日誌的審計查看,如圖1-25、圖1-26所示。同時,該賬號可編輯自身賬號的管理員名稱及密碼。
配置係統時間有兩種方式,手動配置和通過配置NTP同步獲得係統時間。通過菜單“係統管理 >係統設定 > 時間設定”進入時間設定頁麵,如圖1-27所示。各個配置項的含義如表1-10所示。
標題項 |
子標題項 |
說明 |
係統當前時間 |
係統時間 |
顯示當前係統時間。 |
時區 |
選擇係統當前時區。 |
|
手動設定係統時間 |
係統時間 |
手動設置的係統時間。 |
時區 |
手動設置的時區。 |
|
NTP時間設定 |
主服務器 |
NTP主服務器。 |
備服務器 |
NTP備服務器。 |
|
同步間隔 |
NTP每次同步間隔,單位:分鍾。 |
首次登錄設備時會自動彈出快速配置框,也可以通過“係統管理 > 係統設定 > 快速配置”手動打開。通過快速配置向導的提示可以設置主機名稱、係統時間等,根據網絡拓撲以及應用場景選擇工作模式,並完成接口、路由、DNS等功能的快速配置,可以在快速配置的引導下實現網關模式、網橋模式、旁路模式的快速配置。
首次登錄設備後,係統自動彈出“快速配置”頁麵,在歡迎界麵單擊“下一步”。如圖1-28所示。
在係統設定中完成主機名稱、時間以及默認策略的配置,並單擊“下一步”。如圖1-29所示。
圖1-29 快速配置1-係統設定
根據組網需求選擇工作模式,並單擊“下一步”。如圖1-30所示。
圖1-30 快速配置2-選擇工作模式
根據組網需求配置接口相關內容,比如接口IP,管理方式等,然後單擊“下一步”。如圖1-31所示。
圖1-31 快速配置3-接口配置
在路由配置界麵單擊“添加”,在新建框中填寫路由相關配置,單擊“提交”,然後單擊“下一步”。如圖1-32所示。
圖1-32 快速配置4-路由配置
在DNS配置頁麵配置DNS服務器地址,並根據需求選擇啟用DNS全局代理。如圖1-33所示。
核對配置信息,確認配置無誤後,單擊“提交”,即可完成快速配置。如圖1-34所示。
圖1-34 快速配置6-核對配置信息
· 首次登錄設備時會自動彈出快速配置頁麵,忽略或者完成後,下次不再彈出。
· 如果已經在快速配置的頁麵選擇了“下一次登錄不再提示”,則後續登錄不會彈出快速配置頁麵。
· 可以通過“係統管理 > 係統設定 > 快速配置”手動開啟快速配置向導。
通過菜單“係統管理 > 係統維護 > 係統診斷工具 > Ping”,進入如圖1-35所示頁麵。各個配置項的含義如表1-11所示。
表1-11 Ping各個配置項含義描述表
標題項 |
說明 |
目的地址 |
需要ping的IP地址,或域名。 |
探測包數目 |
發送探測包的數量。 |
探測包大小 |
每個探測包的大小。 |
Ping結果 |
顯示ping包返回的結果。 |
通過菜單“係統管理 > 係統維護 > 係統診斷工具 > Traceroute”,進入如圖1-36所示頁麵。各個配置項的含義如表1-12所示。
表1-12 Traceroute各個配置項含義描述表
標題項 |
說明 |
目的地址 |
需要探測的地址。 |
探測方式 |
可以選擇UDP/ICMP兩種探測方式。 |
Traceroute探測結果 |
顯示探測結果。 |
通過菜單“係統管理 > 係統維護 > 係統診斷工具 > TCP Syn”,進入如圖1-37所示頁麵。各個配置項的含義如表1-13所示。
表1-13 TCP Syn各個配置項含義描述表
標題項 |
說明 |
目的地址 |
需要探測的地址。 |
端口 |
TCP端口號。 |
探測包數目 |
探測包的發送數量。 |
TCP Syn包探測結果 |
顯示探測結果。 |
通過菜單“係統管理 > 係統維護 > 抓包工具”,進入如圖1-38所示頁麵。各個配置項的含義如表1-14所示。
標題項 |
說明 |
接口 |
要抓取報文的接口。 |
協議 |
抓取報文的協議類型。 |
源IP |
抓取報文的源IP地址,全零或空表示任意地址。 |
源端口 |
抓取報文的源端口號,零或空表示任意端口號。 |
目的IP |
抓取報文的目的IP地址,全零或空表示任意地址。 |
目的端口 |
抓取報文的目的端口號,零或空表示任意端口號。 |
抓取新建會話 |
抓取新建連接的前N個報文,取值為0~1024。 |
應用 |
根據應用協議抓取報文。 |
抓取結束後,抓取的報文文件將以.pcap格式保存,在如圖1-39所示的頁麵中顯示,並提供導出。各個配置項的含義如表1-15所示。
標題項 |
說明 |
文件名稱 |
抓取報文的文件名稱。 |
文件大小 |
抓取報文的文件大小。 |
結束時間 |
抓取報文的結束時間。 |
操作 |
可刪除或導出對應文件。 |
係統告警支持郵件外發功能,報表管理支持郵件外發和FTP外發,可通過服務器管理頁麵配置郵件服務器和FTP服務器來實現郵件外發及FTP外發。
通過菜單“係統管理>服務器管理>FTP服務器”,進入FTP服務器配置頁麵,如圖1-40所示。
圖1-40 FTP服務器配置頁麵
頁麵的詳細說明如表1-16所示。
表1-16 FTP服務器配置詳細說明
項目 |
說明 |
服務器地址/域名 |
發送的FTP服務器的IP地址或域名 |
FTP服務器端口 |
FTP服務器的端口 |
用戶名 |
登錄FTP服務器的用戶名 |
密碼 |
登錄FTP服務器的密碼 |
單擊<驗證用戶和密碼>驗證FTP服務器的用戶名和密碼訪問是否成功,並顯示驗證結果,如圖1-41所示。
圖1-41 FTP用戶名和密碼驗證成功
通過菜單“係統管理>服務器管理>郵件服務器”,進入郵件服務器配置頁麵,如圖1-42所示。
頁麵的詳細說明如表1-17所示。
項目 |
說明 |
發件人地址 |
發件人郵箱地址 |
郵箱服務器 |
發送地址的郵箱服務器 |
服務器端口 |
服務器端口 |
SSL |
選中後可設置SSL協議端口號 |
smtp 服務器身份驗證 |
配置smtp 服務器身份驗證的用戶名、密碼,如果不需要驗證可不選。 |
測試郵箱有效性 |
檢查配置是否正確,正確則會收到測試郵件 |
如圖1-43所示,設備以透明模式串接在某公司網絡的核心交換機和出口路由器之間,具體應用需求如下:
· 設備開啟三權模式,設備使用的IP地址為192.168.1.1/24。
· 需要authority用戶給admin用戶分配權限,分別為分配:網絡配置、網絡優化、對象管理、上網行為管理的執行權限。
設備account用戶新建自定義用戶為test,隻分配監控統計、日誌查詢、上網行為管理的隻讀權限。
如圖1-44所示,設備管理模式為“三權模式”,並點擊<提交>。
如圖1-45所示,使用account用戶新建管理員test。
圖1-45 使用account用戶新建管理員test
如圖1-46所示,使用authority用戶對admin用戶進行讀寫授權。
圖1-46 使用authority用戶對admin用戶進行讀寫授權
如圖1-47所示,使用authority用戶登錄,點擊admin賬號後圖標,分配:網絡管理、策略配置的執行權限,將全選隻讀勾掉,在此頁麵上點擊<提交>。
如圖1-48所示,使用authority用戶登錄,點擊test賬號後圖標,分配數據中心的隻讀權限,在此頁麵上點擊<提交>。
驗證admin用戶權限
如圖1-49所示,使用admin用戶對策略配置、網絡配置等授權功能模塊可讀可寫可執行。
圖1-49 admin用戶權限驗證
如圖1-50所示,使用自定義test用戶對數據中心的授權隻讀模塊隻有隻讀權限。
圖1-50 自定義test用戶權限驗證
如圖1-51所示,audit用戶登錄隻有審核員權限。
圖1-51 audit審核員登錄
管理員可以訪問設備登錄頁麵,如果配置外部認證方式,使用外部服務器內的賬號可以登錄設備。
· 設備到外部服務器可達。
· 如果設備到外部服務器不可達,開啟服務器異常進行本地認證,使用本地賬號可以登錄。
(1) 配置RADIUS服務器。如圖1-52所示。
圖1-52 RADIUS服務器配置頁麵
(2) 配置管理員外部radius認證。如圖1-53所示。
圖1-53 管理員radius認證配置
(1) 配置完成後,用戶訪問設備登錄頁麵,使用radius服務器內的賬號密碼登錄設備,登錄成功,使用本地賬號密碼登錄,提示賬號密碼錯誤。
(2) “服務器異常開啟本地認證”開關選擇“開啟”時,如果設備與服務器無法通訊,使用本地賬號密碼可以登錄成功。
(3) “服務器異常開啟本地認證”開關選擇“關閉”時,如果設備與服務器無法通訊,使用本地賬號無法登錄設備。
· 管理員外部認證功能隻針對管理員模式生效,三權模式不支持。
· 外部認證時,隻支持選擇服務器對象且隻能選擇一個,不支持同時選擇多個,不支持服務器對象組。
檢測設備網絡是否暢通。
按照圖1-54所示配置。
點擊<提交>按鈕,提交配置。
查看診斷結果。如圖1-55所示。
檢測設備網絡是否暢通。
按照圖1-56所示配置。
點擊<提交>按鈕,提交配置。
查看診斷結果。如圖1-57所示。
檢測設備網絡是否暢通。
按照圖1-58所示配置。
點擊<提交>按鈕,提交配置。
查看診斷結果。如圖1-59所示。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!