任天行网络安全管理系统企业版v27用户使用手册build42 patch18精简版Word文件下载.docx

1、随着人们对信息网络互联要求的不断提高，宽带接入已经越来越受到了人们的欢迎。但是，随着互联网的不断发展，人们对互联网上传播的信息也尤为关注，网络在带给人们方便的同时，也充塞着大量的不良信息。因此，对互联网上信息的管理已变得更加重要。任天行网络安全管理系统可应用于企业、学校和宽带小区等宽带接入用户，适用于这些单位上网的管理，系统除具有管理部门所要求的安全审计功能外，还具有针对单位管理需要上网管理功能，可以很好的满足单位内部的联网管理的需要，真正做到切实维护互联网正常的使用秩序，适用于网吧、宾馆、企事业单位、学校、小区等多种性质的宽带公共上网用户。1.2产品型号介绍任天行网络安全管理系统硬件设备按可

2、承受的网络流量分为百兆系列、千兆系列两大类；按用户数分为T100、T300、T500、T1000、T1500、T3000、T5000、T10000，其中T3000及以上的机型为千兆系列的机器。百兆系列适用于百兆网络环境，千兆系列适用于千兆网络环境。1.3主要功能概述 实时封堵互联网不良信息系统实时拦截任何访问不良站点的网络行为，并返回警告页面信息给用户端。 实时封堵即时通讯及网络游戏系统实时控制用户端的QQ、MSN、ICQ、YahooMessenger等通讯及文件传输，控制QQ游戏、联众、边锋等网络游戏的登录。 实时封堵股票软件系统实时控制用户端登录股票软件系统，如大智慧行情分析、飞天行情分析

3、、龙卷风行情分析等。 P2P下载及下载文件类型控制由于终端客户机上网时可能下载一些与工作内容无关的大数据量的文件，比如AVI、MPEG等文件，这些文件在下载时极大地影响了整体的网络速度。网络管理者可以控制是否允许P2P下载、定义可以下载的文件类型，以确保正常的网络速度。比如：“eMule”和“BT软件”。 URL地址关键字过滤根据上网请求URL之中的关键字进行智能模糊匹配过滤，与关键字匹配的网址将被限制访问。 收发邮件控制可以设置WEBMAIL邮箱的URL控制列表，以实现禁止使用指定的WEBMAIL收发邮件。可以设置POP3、SMTP协议的邮件服务器控制列表，通过选择只封堵或只开放该列表中的邮

4、件服务器来实现对收发邮件的控制。 局域网内机器管理和帐号管理可以实现对局域网内IP地址和机器名的搜索，并对搜索到的机器信息进行分组管理；还可以设定部分或全部机器须用帐号上网，通过对帐号的分组管理，可实现在同一机器上不同用户具有不同的上网活动权限。 全面直观的网络控制策略管理人员可以根据实际需要实现灵活的网络控制策略，包括对全局、机器组、帐号组进行网络控制策略设置，以满足部分小组对网络使用的特殊需要。 IP与MAC绑定允许您将特定机器或批量机器设置成绑定机器的IP地址和MAC地址。该功能杜绝了改动IP地址就不受控制策略限制的情况。 内容审计功能通过设置内容审计条件，可实时获取局域网内用户进行各种

5、网络访问的详细内容，可审计到的项有电子邮件、HTTP网页、TELNET远程登录、FTP文件传输、MSN及YahooMessenger即时通讯、网上发贴，此外，可通过设置源IP地址来进行以上各项的内容审计。 实时查看上网情况可实时查看当天流量情况，查看正在进行网络活动的用户及活动情况，以获知当前网络流量比较大的用户及距当前某段时间内上网很活跃的用户。 记录全面的互联网访问信息系统通过捕获并分析网络数据包，还原出完整的协议原始信息，并准确记录网络访问的关键信息。分析协议包括HTTP、HTTPS、SMTP、POP3、TELNET、FTP、QQ、MSN、ICQ等。日志记录保存在产品自身的存储设备中，用

6、户可自行设定日志保留的天数及磁盘限额。 日志备份与恢复可以通过将记录上传至指定的FTP服务器来备份日志。备份的方式有自动备份和临时手工备份。当因异常导致系统日志数据丢失时，还可从备份服务器中恢复以前的日志数据到系统中。 丰富的日志报表和趋势分析图系统提供各种上网活动的排名、统计、趋势分析图。可对分组、对人员进行网络活动排名，对访问资源进行统计，对各网络活动进行访问趋势分析。 自定义封堵站点及报表用户可自行设置需要封堵或策略控制的站点列表，还可选择各种报表输出和显示图样，以满足个性化需求。第二章 安装与配置2.1安装步骤 第一步：准备连接的网络设备与任天行设备连接的网络设备必须是共享式集线器（H

7、UB）或者能够进行端口镜像的交换机（SWITCH），并将网络出口的端口镜像于一个空闲端口，任天行设备需要连接该镜像端口。任天行硬件设备整体为黑匣子设计，用户无需再对硬件主机内部结构和安装作调整，只需要根据实际运行环境将主机放置在平稳的平面或者固定在标准工业机架上。特别提示：由于设备的加长特性，必须安装在相对平稳的平台上面！ 第二步：接入网络中典型的连接方式（百兆与千兆相同），如下图所示：只需将硬件设备的监测网络接口（默认为eth0）接到总出口的交换机镜像端口上或者任意一个HUB端口，通讯网络接口（默认为eth1）接入到空闲交换机的普通端口或者HUB的端口，即可进行网络审计和信息过滤。eth2主

8、要是备用网口。针对网络出口使用共享式集线器（HUB）或者出口使用的交换机本身具有端口映射功能的网络系统，我们建议采取并联方式接入硬件设备，这种接入方式在设备故障或断电的情况下不会影响整个网络的畅通，保证了原有网络的可靠性。2.2相关配置按照上述要求完成物理连接后，需要根据实际的网络环境对硬件设备进行配置后才可以使用本系统。本系统可以使用WEB浏览器进行配置。以下介绍使用WEB浏览器进行配置的步骤和注意事项：1. 使用本系统前必须准备一个空闲的局域网内部IP地址（不要求准备外部Internet的IP地址）。2. 任天行设备内设默认IP地址192.168.0.99，系统在应用于实际环境之前必须根据

9、实际的网络环境修改系统网络配置。3. 准备一台装有IE浏览器的Windows客户机连接至硬件设备的通讯网络接口上，将Windows机器的IP地址设置为与硬件设备同一网段192.168.0.10（子网掩码255.255.255.0）（只要不是192.168.0.99即可）。4. 打开IE浏览器，在地址栏中键入“.99/manage/”，回车进入用户信息注册页面，该页面的操作方法请参考本手册功能操作详解中的说明，在系统的网络配置中按照实际的网络环境设置通讯口的IP地址，并设置正确、有效的网关地址。5. 设置好通讯口的信息后，Windows客户机的IE浏览器会与任天行设备断开连接，这是正常现象，因为

10、任天行设备的IP地址已经修改为与Windows客户机不同网段的IP地址。6. 关闭设备的电源（为了保障设备的正常运行，应该通过软件关机），将硬件设备连接至实际网络环境，再开机即可正常运行。7. 开机后通过“https:/修改后的通讯口的IP地址/manage/ ”进入系统界面。为了避免出现一些脚本运行权限的问题，建议您把任天行的IP地址列入IE的可信任站点列表。如下图所示：第三章 界面简要说明3.1主界面风格本系统管理平台的每一个页面分成四个部分，页面的上部为标题、快捷按钮区，页面的左边为导航子菜单区与导航菜单区，中间为系统状态显示区。导航菜单区可以选择隐藏，菜单是系统操作的导航，各个功能页面

11、均通过菜单来相互切换，在进行切换操作时，中间页面将呈现不同的内容。主页面布局如下图。标题、快捷按钮区系统状态显示区导航菜单区导航子菜单区在使用本系统时，为了得到最佳的显示效果，我们建议您将显示器的分辨率调整为1024768。同时确保你的IE浏览器为5.5或以上的版本，且设置浏览器不会屏蔽弹出窗口。3.2细节说明在系统页面的顶部，显示了系统名称、当前登录用户、所处位置（页面路径）、系统快捷链接、系统时间，如下图一。图一在系统页面的底部，显示了距当前某段时间内的在线人数统计数据，及本日的封堵次数、网络流量的统计数据，如下图二。点“刷新”链接可实时刷新数据，若勾选“登录时弹出提示”复选框，下次登录系

12、统时将弹出在线统计信息提示框，点“弹出”链接可即刻弹出在线统计信息提示框。图二以下对系统页面顶部的各个系统快捷链接进行详细说明： 现场观察：通过此链接（鼠标所指处）可以快速查看到“当前活动”、“实时日志”、“实时流量”页面。如下图三。在“当前活动”分页，以列表的方式，显示了某时间范围内（可从页面的下拉框中选择）所有受控机器中上网活跃的机器、网络活动内容等信息。在“实时日志”分页，滚动显示了各机器当前正在进行的网络活动信息，在该界面上单击鼠标可使列表停止滚动，双击鼠标则使列表继续滚动。在“实时流量”分页，可以查看到所有受控机器的流量大小趋势和流量排名。图三 系统状态：通过此链接（鼠标所指处）可以

13、查看整个系统的设置情况。如下图四。图四 帮助：提供系统操作说明及常见问题解答等。如下图五。图五 关于：显示任天行网络安全管理系统的版本、产品信息等。在当前版本信息后有两个链接：“补丁说明”、“附加模块”，点击“补丁说明”后系统会新打开一网页，显示已打补丁的信息；将鼠标移到“附加模块”上时，系统会以提示的形式显示附加的独立模块名，若未装任何独立模块，则显示“无”。 退出：关闭主窗口，退出整个操作界面。第四章 功能操作详解4.1系统登录使用系统前，必须经过登录。需要输入合法的用户名、密码和校验码，通过系统验证后才能进入系统。系统登录所进行的操作都记录在系统操作日志中。为方便用户使用，任天行系统采用

14、了“B/S（浏览器/服务器）结构”，您可以在任意一台能与任天行硬件系统正常通讯的计算机上，通过以下方法访问本系统的功能界面：在浏览器地址栏中输入“https: /任天行硬件系统IP地址/manage/”（其中“任天行硬件系统IP地址”是您在2.2相关配置中所设置的IP，如果您从未进行设置，则默认为192.168.0.99），按“回车”键后即进入任天行系统的登录界面。您在登录界面输入正确的用户名、密码、校验码后，点击“登录”按钮即可进入系统主界面。本系统提供30天的免费试用期（从第一次开始安装系统时开始计算），该期间内任何用户均可正常使用本系统的所有功能。试用期过后，如果用户仍未进行产品注册，那

15、么用户将不能操作此系统，试用期间您所做的任何设置及所有数据将失去其实际的作用。为了避免此类情况的发生，在试用期间，您可以随时点击登录界面右下方的“我要注册”链接，注册您的软件。具体流程及方法请参考本手册4.10.9产品注册中的说明。如果您是第一次使用本系统，首先要注册一个用户帐号，用户帐号注册好后，便可以通过该帐号登录系统。注册帐号如下图：注册帐号时请填写正确的常用邮箱地址、密码提示问题和问题答案，以方便忘记帐号密码时取回密码；如果您没有正确填写相关信息，当密码忘记时，请与任子行客服人员联系。（具体联系方式请查阅售后服务）4.2全局控制该模块可对局域网中所有受控机器的网络活动进行全局控制。您可

16、以在此进行各项上网权限设置，设置好后点“确定”按钮，即可使所做设置立即生效。上网权限主要有以下几种设置：1. 开放 or 封堵 如：分类站点、IP访问网页，下图一为IP形式访问网页的上网权限设置页面。2. 开放 or 封堵 or 策略控制 如：自定义分类、游戏控制、P2P下载，下图二为自定义分类的上网权限设置页面。3. 关键字 如：文件类型、搜索关键字、Webmail，下图三为文件类型的封堵设置页面。在设置区的文本框内输入需要封堵的关键字，点“确定”后即以列表的形式显示在页面右方的显示区；提供查询功能，可在查询区对已设关键字进行查询，查询结果将显示在结果显示区；提供删除功能，若需要取消对某关键

17、字或所有关键字的封堵，则可在右边列表中勾选部分或全部记录将其删除。设置内容显示区查询结果显示区设置区查询区在设置关键字前，请参阅各项封堵设置所对应的规则说明，并依照说明进行设置。 各类设置的功能如下： 开放：允许局域网内所有受控机器进行对应的网络活动，例如，将“IP访问网页”设置成“开放”，则所有受控机器均可以通过IP访问网页。此时“分组控制策略设置”功能模块中的相关设置将失效。 封堵：禁止局域网内所有受控机器进行对应的网络活动，例如，将“IP访问网页”设置成“封堵”，则所有受控机器均不能通过IP访问网页。 策略控制：将依据“分组控制策略设置”功能模块中的设置进行上网控制。有关策略设置的相关内

18、容，请参见本手册4.3.4策略设置。 关键字：含有所设关键字的对应的网络活动将被禁止，例如，设置一文件类型关键字“exe”，则所有受控机器均不能下载exe类型的文件。此外，系统还对某些网络活动提供了更多的可设置项，如网络活动“即时通讯”、“邮件控制”，具体内容详见以下各相关章节的说明。机器白名单内的机器处于所有网络控制的范围外，即处于机器白名单内的机器的所有网络活动都不受系统的控制。4.2.1 分类站点任天行系统自带了我公司特有的分类站点库，该站点库将众多站点分为色情、不良、游戏电玩、毒品、不良言论等20多类，是国内最大的站点列表。在该功能模块，您可根据实际需要选择是否禁止局域网内机器访问这些

19、站点。我公司有专人负责搜集与整理各类分类站点，在我公司专有服务器上会定期升级该站点库，请您参见本手册4.10.11.2中的说明，定期升级您系统中的该站点库。4.2.2 自定义分类该功能模块提供自定义分类封堵设置功能，您可以统一设置开放、封堵或策略控制某分类站点。任天行系统提供您自行定义分类站点的功能（您可根据需要定义一些相同类型的站点为一个分类，在分类里可以添加一些站点地址。有关自定义分类和分类站点的具体操作，请参见本手册4.10.5自定义分类）。此处的自定义分类的显示与4.3.4分类站点中的分类相对应。系统默认显示“Games”和“Shopping”这两项，若您在4.3.4分类站点中将此二分

20、类删除，则此处页面将提示“目前还没有设置站点分类, 前往设置:”；若您在4.3.4分类站点中增加了新分类，则此处页面也将显示新分类，并可对其进行封堵设置。4.2.3 即时通讯在该功能模块中，您可以对QQ、MSN、ICQ、Yahoo Messenger等15种即时通讯工具统一设置开放、封堵或策略控制。此外，还可设置为“开放”但“禁止文件传输”，如下图的设置：允许通过QQ和MSN进行即时通讯，但不允许通过QQ和MSN发送或接收文件。在后续版本中我们还会支持对更多的即时通讯工具的控制。QQ封堵功能的有效性依赖于系统中的“系统管理内网网段”设置，若未设内网网段或设置了错误的内网网段，则QQ封堵无效或封

21、堵不稳定。有关内网网段的设置，请参见本手册4.10.4内网网段。4.2.4 游戏控制在该功能模块中，您可以对QQ游戏、联众、中国游戏中心、边锋、远航、浩方、魔兽世界等21种在线网络游戏统一设置开放、封堵或策略控制。在后续版本中我们还会支持对更多的网络游戏的控制。4.2.5 股票软件在该功能模块中，您可以对大智慧行情分析、飞天行情分析、龙卷风行情分析等10种股票软件统一设置开放、封堵或策略控制。在后续版本中我们还会支持对更多的股票软件的控制。4.2.6 P2P下载在该功能模块中，您可以对“BT”、“eMule”等P2P下载工具统一设置开放、封堵或策略控制。目前系统能控制的BT软件有：BitCom

22、et、BitTorrent Deadman Walking、比特精灵Bit Spirit、TurboBT等，在后续版本中我们还会支持对更多的P2P下载软件的控制。P2P下载封堵的有效性依赖于系统中的“系统管理内网网段”设置，若未设内网网段或设置了错误的内网网段，则P2P下载封堵无效或封堵不稳定。此外，若已开始下载，再进行封堵，则无效。4.2.7 IP访问网页在该功能模块中，您可选择是否允许局域网内机器使用IP形式访问网页。目前系统仅能控制HTTP协议网页的基于IP访问，对于HTTPS网页的IP访问控制尚在开发中。此处的控制设置对处于内网网段中的地址不起作用，即：若设置封堵IP访问网页，则仍能以

23、IP形式访问处于内网网段中的地址。4.2.8 文件类型在该功能模块中，您可以禁止受控机器从互联网上（以http协议）下载指定类型（后缀）的文件。4.2.9 搜索关键字在该功能模块中，您可以设定一些搜索关键字，以使受控机器无法在搜索引擎中搜索该关键字的信息。4.2.10 Webmail在该功能模块中，您可以设定一些webmail地址，以使受控机器无法通过这些webmail地址进行邮件收发。4.2.11 音视频在该功能模块中，您可以对“Media Player”、“Real Player”、“QQ Live”、“PP Live”等网络在线音视频统一设置开放、封堵或策略控制。4.2.12 邮件控制邮

24、件控制是对邮件服务器的控制。在该功能模块中，您可以根据需要灵活设置：可选择“只开放”或“只封堵”，可添加邮件服务器或使邮件服务器列表为空，通过两者结合来实现对邮件服务器的控制。 若选择了“只封堵”，且添加了邮件服务器（邮件服务器列表非空），则系统仅封堵列表中的邮件服务器，对其他的邮件服务器不进行控制。 若选择了“只封堵”，而邮件服务器列表为空，则系统不对任何邮件服务器进行封堵，即可以通过任何邮件服务器收发邮件。 若选择了“只开放”，且添加了邮件服务器（邮件服务器列表非空），则系统仅开放列表中的邮件服务器，对其他的邮件服务器均进行封堵。 若选择了“只开放”，而邮件服务器列表为空，则系统对任何邮件

25、服务器都进行封堵。如下图的设置：只禁止通过163邮件服务器发邮件，对于通过163邮件服务器收邮件、以及通过其他邮件服务器收发邮件，均不封堵。此处可添加、查询、删除邮件服务器地址，其操作与文件类型等处的“关键字”的操作类似，可参阅对于“关键字”的操作说明。为了使邮件控制生效，须对任天行系统配置正确的DNS地址。4.2.13 控制方式在该模块，您可以根据需要设置对受控机器的控制方式。系统提供了IP控制方式、MAC控制方式、帐号控制方式和混合控制方式四种控制方式供您选择。选择“帐号控制方式”或“混合控制方式”时，还需选择相关的认证方式。4.2.13.1 功能关联控制方式的选择，将决定“分组控制”（参

26、见4.3章节）中的子菜单显示及其“策略设置”处的对象列表。 当选择“IP控制方式”或“MAC控制方式”时，分组控制相关内容显示如下图一。 当选择“帐号控制方式”时，分组控制相关内容显示如下图二。 当选择“混合控制方式”时，分组控制相关内容显示如下图三。 图三当为“混合控制方式”时，“机器管理”页面中的“操作项：”下拉框中，较其它控制方式时多了“设为帐号控制”和“设为IP控制”的操作项。4.2.13.2 帐号认证相关设置当选择“帐号控制方式”或“混合控制方式”时，需要设置帐号认证相关项：帐号自动注销时间、帐号认证方式。系统默认的帐号注销时间（当超出此时间仍无网络活动，帐号将自动注销上网）为240分钟，您可以根据需要修改之。系统的帐号认证方式，即处于帐号控制的机器（包括帐号控制方式时的所有机器、混合控制方式时被设为了帐号控制的机器）在使用帐号进行上网登录时的认证方式，分为本地认证、远程Windows域用户认证、远程Lotus-LDAP用户认证。使用非本地认证时，需正确地配置认证服务所需信息，否则，域用户认证功能将不能正常进行。对于任天行系统，Windows域认证时，需获得认证服务器地址、域名、域管理员帐号及密码、域服务器根证书，Lotus-LDAP认证时，需获知认证服务器地址和域名。不同的认证方式对应不同的帐号类型（本地帐号、Windows域帐号、Lotus域