GSI SGX&SGE系列產品安裝手冊-20100505 - 繁體 - PDF

[GSI SGX/SGE 系列設備]
使用手冊
Version 1.0
2010-05-03
關於本手冊
版權聲明
GSI 公司版權所有，保留一切權利。本檔中出現的任何文字敘述、文件檔案格式、插圖、照片、方法、
過程等內容，除另有特別注明，版權屬 GSI 公司所有，受到有關產權及版權法保護。非經本公司書面許可，
任何單位和個人不得擅自拷貝、傳播、複製、洩露本文檔的全部或部分書內容。
資訊更新
本文檔案僅用於為最終使用者提供資訊，並且隨時可 GSI 公司更改或撤回。如需要獲取最新手冊，請聯
繫 GSI 公司客戶服務部。
術語說明
¾ LDAP：羽量級目錄訪問協定（Lightweight Directory Access Protocol）的英文縮寫。該協定定義了一
種在客戶機/伺服器模型中本地或遠端存取和更新目錄（資料庫）中的資訊的標準方法。
¾ Console：控制台或控制台終端。
¾ POST：HTTP 協議提供的一種方法，經常用於在網頁中提交表單數據。
¾ IM：即時通信（Instant Messenger）的英文縮寫。
¾ P2P：全稱叫做 Peer-to-Peer，即對等 Internet 路技術，或簡稱點對點網路技術。P2P 使得用戶可以直

接連接到其它使用者的電腦，進行檔案共用與交換。
¾ Session：會話類應用，是 Internet 應用的一種類型。
¾ Games：網路遊戲，是 Internet 應用的一種類型。
¾ P2Pstreaming：網路電視。
¾ Streaming Media：流媒體應用。
目錄
第一部分產品概述 .................................................................................................................................................. 6
1 圖形介面格式約定 .................................................................................................................................................. 6
2 面版說明 .................................................................................................................................................................. 6
3 環境要求 .................................................................................................................................................................. 6
4 接線方式 .................................................................................................................................................................. 7
5 登錄設備 .................................................................................................................................................................. 7
6 更新/儲存/登出 ........................................................................................................................................................ 7
7 密碼恢復 .................................................................................................................................................................. 8
第二部分產品配置 .................................................................................................................................................. 9
8 設備狀態 .................................................................................................................................................................. 9
9 即時監控 ................................................................................................................................................................ 10
9.1 設備資源 ................................................................................................................................................ 10
9.2 實體介面 ................................................................................................................................................ 11
9.3 服務監控 ................................................................................................................................................ 12
9.3.1 服務趨勢疊加圖 ............................................................................................................................ 12
9.3.2 服務組趨勢圖 ................................................................................................................................ 13
9.3.3 活躍服務統計 ................................................................................................................................ 14
9.3.4 所有服務統計 ................................................................................................................................ 15
9.4 用戶監控 ................................................................................................................................................ 16
9.4.1 流量分析 ........................................................................................................................................ 16
9.4.2 新建會話速率 ................................................................................................................................ 17
9.4.3 連線數分析 .................................................................................................................................... 18
10 系統設定 ........................................................................................................................................................ 19
10.1 設備工作模式 ........................................................................................................................................ 19
10.1.1 橋接器模式 ............................................................................................................................ 19
10.1.2 路由模式 ................................................................................................................................ 21
10.2 系統維護 ................................................................................................................................................ 22
10.2.1 系統升級 ................................................................................................................................ 22
10.2.2 備份與恢復 ............................................................................................................................ 24
10.2.3 重啟操作 ................................................................................................................................ 25
10.3 系統管理員 ............................................................................................................................................ 25
10.4 網管策略 ................................................................................................................................................ 27
10.5 網管參數 ................................................................................................................................................ 28
10.6 網路工具 ................................................................................................................................................ 29
10.6.1 Ping ......................................................................................................................................... 29
10.6.2 TraceRoute .............................................................................................................................. 30
10.7 系統時間 ................................................................................................................................................ 31
10.8 系統資訊 ................................................................................................................................................ 33
11 系統物件 ........................................................................................................................................................ 33
11.1 地址簿 .................................................................................................................................................... 33
11.2 網路服務 ................................................................................................................................................ 35
11.2.1 自訂普通服務 ........................................................................................................................ 35
11.2.2 自訂特徵識別 ........................................................................................................................ 37
11.2.3 常用服務 ................................................................................................................................ 38
11.3 時間計畫 ................................................................................................................................................ 39
11.4 URL 庫 ..................................................................................................................................................... 41
11.5 關鍵字組 ................................................................................................................................................ 43
11.6 檔案類型 ................................................................................................................................................ 44
12 網路設定 ........................................................................................................................................................ 46
12.1 端口設定 ................................................................................................................................................ 46
12.1.1 實體介面 ................................................................................................................................ 46
12.1.2 VLAN 介面 ............................................................................................................................ 47
12.1.3 PPPoE ..................................................................................................................................... 49
12.1.4 GRE 隧道 ............................................................................................................................... 50
12.2 IP 位址設定 ........................................................................................................................................... 52
12.3 路由配置 ................................................................................................................................................ 53
12.3.1 靜態路由 ................................................................................................................................ 53
12.3.2 策略路由 ................................................................................................................................ 55
12.4 本機 DNS ................................................................................................................................................. 58
12.5 ARP 表 ..................................................................................................................................................... 59
12.6 DHCP 配置 ............................................................................................................................................... 61
12.6.1 基本參數 ................................................................................................................................ 61
12.6.2 已分配 IP 地址 ....................................................................................................................... 63
13 防火牆 ............................................................................................................................................................ 64
13.1 安全性原則 ............................................................................................................................................ 64
13.2 NAT 規則 ................................................................................................................................................. 67
13.2.1 內網代理 ................................................................................................................................ 67
13.2.2 一對一位址轉換 .................................................................................................................... 69
13.2.3 埠鏡射 .................................................................................................................................... 70
14 流量管理 ........................................................................................................................................................ 72
14.1 線路頻寬配置 ........................................................................................................................................ 73
14.2 基於策略的流控 .................................................................................................................................... 73
14.3 基於用戶的流控 .................................................................................................................................... 78
15 行為管理 ........................................................................................................................................................ 81
15.1.1 認證策略 ................................................................................................................................ 81
15.2 上網行為策略 ........................................................................................................................................ 84
15.2.1 URL 過濾 ............................................................................................................................... 85
15.2.2 關鍵字過濾 ............................................................................................................................ 86
15.2.3 檔案傳輸過濾 ........................................................................................................................ 88
15.2.4 即時通訊過濾 ........................................................................................................................ 88
15.2.5 郵件過濾 ................................................................................................................................ 89
15.3 組織管理 ................................................................................................................................................ 90
15.3.1 組織結構 ................................................................................................................................ 91
15.3.2 批量導入 .............................................................................................................................. 108
15.3.3 LDAP 導入 ........................................................................................................................... 109
15.3.4 AD 導入................................................................................................................................ 111
15.3.5 掃描內網主機 ...................................................................................................................... 113
15.4 認證選項 .............................................................................................................................................. 116
15.4.1 SNMP 設置 .......................................................................................................................... 116
15.4.2 認證參數 .............................................................................................................................. 118
15.4.3 未認證許可權 ...................................................................................................................... 118
15.5 認證伺服器 .......................................................................................................................................... 119
15.5.1 RADIUS 伺服器................................................................................................................... 119
15.5.2 AD 伺服器............................................................................................................................ 121
15.5.3 LDAP 伺服器 ....................................................................................................................... 122
15.5.4 POP3 伺服器 ........................................................................................................................ 124
15.6 黑名單管理 .......................................................................................................................................... 125
15.6.1 黑名單規則 .......................................................................................................................... 125
15.6.1 當前黑名單 .......................................................................................................................... 127
15.7 線上用戶 .............................................................................................................................................. 129
16 IPv6 配置 ...................................................................................................................................................... 131
16.1 網路工具 .............................................................................................................................................. 131
16.1.1 Ping6 ..................................................................................................................................... 131
16.1.2 TraceRoute6 .......................................................................................................................... 132
16.2 配置 IPv6 位址 .................................................................................................................................... 133
16.3 靜態路由 .............................................................................................................................................. 135
16.4 無狀態自動位址配置 .......................................................................................................................... 137
16.5 靜態路由 .............................................................................................................................................. 137
16.6 本機 DNS ............................................................................................................................................... 139
16.7 鄰居表 .................................................................................................................................................. 139
16.8 防火牆 .................................................................................................................................................. 141
17 HA 配置 ....................................................................................................................................................... 143
18 系統日誌 ...................................................................................................................................................... 144
18.1 命令日誌 .............................................................................................................................................. 144
18.2 事件日誌 .............................................................................................................................................. 145
18.3 使用者日誌 .......................................................................................................................................... 146
18.4 黑名單日誌 .......................................................................................................................................... 147
19 故障排除 ...................................................................................................................................................... 148
19.1 捕獲數據封包 ...................................................................................................................................... 148
19.2 查看數據封包 ...................................................................................................................................... 150
20 Reporter ........................................................................................................................................................ 150
20.1 內容記錄配置 ...................................................................................................................................... 151
20.2 內置 Reporter ....................................................................................................................................... 153
第一部分產品概述
1 圖形介面格式約定
格式描述
【】代表菜單或子功能表名稱
代表 WEB 網管配置路徑：如【系統物件】>【位址簿】
，表示“系
>
統物件”功能表下的“位址簿”功能表
< > 代表視窗中的選項或按鈕名稱
2 面版說明
前面板，如下圖所示，由左至右為：公司 LOGO、2 個 USB 埠、LAN1、WAN1、LAN2、WAN2、……、產品型號、
電源指示燈。
{請根據實際型號說明}
後面板，如下圖所示，由左至右為：電源風扇、電源介面、電源開關、……。
{請根據實際型號說明}
3 環境要求
設備系列產品可在如下環境使用：
¾ 溫度： -10～50 ℃
¾ 濕度： 5～90%
¾ 電源：交流電源 110V ～240V
為保證系統能長期穩定的運行，應保證電源有良好的接地措施、防塵措施、保持使用環境的空氣通暢和室溫
穩定。本產品符合關於環境保護方面的設計要求。
提示：
1、保證設備工作在建議的環境要求內，否則可能導致設備損壞或提早老化。
2、設備良好的接地可以有效避免雷擊。
4 接線方式
請按照如下步驟進行硬體設備的接線：
1、在後面板電源插座上插上電源線，打開電源開關，前面板的 Power 燈(綠色，電源指示燈)和 Alarm 燈(紅

色，告警燈)會點亮。大約 1-2 分鐘後 Alarm 燈熄滅，說明設備正常工作。
2、用標準 RJ-45 乙太網線將 LAN 埠與內部區域網連接。
3、用標準 RJ-45 乙太網線將 WAN 埠與 Internet 接入設備相連接，如路由器、光纖收發器或 ADSL Modem 等。
4、橋接模式：LAN1 和 WAN1 為橋接器 1，LAN2 和 WAN2 為橋接器 2、……、LANm 和 WANm 為橋接器 m。每個橋
接之間是獨立通信的，橋之間不能傳遞資料。
5、路由模式：可以接入多條出口線路，每個埠之間在策略允許的情況下可以通信。
提示：如果開機 5 分鐘後，紅燈還長亮，請關閉電源 5 分鐘，然後重開。
5 登錄設備
設備預設使用 LAN1 作為網管口，LAN1 出廠地址為
192.168.0.1/24。設備支援兩種方式的 WEBUI 登錄：
1、安全的 HTTPS 登錄，默認埠 9090。初始登錄 URL

為：https:// 192.168.0.1:9090
2、傳統的 HTTP 登錄，默認埠 9090。初始登錄 URL

為：http://192.168.0.1:9090
系統預設使用 HTTPS 的登錄方式，預設的管理員帳號

是 admin，密碼是 admin*PWD。正確輸入用戶名和密碼
後，點擊，<登錄>按鈕即可進入管理介面。
提示：
1、配置之前，必須保證用於網管的電腦與 NSSP 的網管口位址在同一個網段。如果第一次配置，請
連接 LAN1 埠，LAN1 出廠位址為 192.168.0.1/24，電腦的位址應配置為 192.168.0.0/24，但不允
許為 192.168.0.1。
2、連接後可以增加/修改物理埠或者橋接器的 IP 位址，設備的每一個 IP 位址都可以用於網管。
6 更新/儲存/登出
在設備提供的 WEB 方式的管理介面中的最右上角有三個連結，分別是“更新”、“儲存”、“登出”。點
擊“刷新”可手動更新當前頁。點擊“儲存”並確認後，可將當前配置儲存到系統硬
碟中。點擊“登出”並確認後，即可成功退出系統。
7 密碼恢復
如果管理員密碼丟失，請按以下步驟恢復系統預設密碼：
1. 進入 Console 連接，使用 root 用戶（username：root，password：root*PWD）登錄。
2. 選擇 Reset WEBUI Password，進入密碼恢復功能表，然後敲入 yes，再回車。
3. 密碼恢復成功，網管密碼恢復到出廠設置（username：admin，password：admin*PWD）
。
第二部分產品配置
8 設備狀態
登錄設備後，進入到設備首頁，即設備狀態頁面。設備狀態頁面包含了設備版本資訊、設備資源即時網
路流量、前十名服務即時流量分佈、前十名用戶即時流量排名等五大部分內容。如下圖：
图1. 首頁
“設備版本資訊”描述了系統 Firmware 的版本、應用特徵的版本、URL 庫的版本和授權類型的資訊。授

權類型有試用版和正式版兩種。點擊對應的“詳細”按鈕，可以連接到“系統升級”頁面，查看到更詳細的
設備版本資訊。
“設備資源”動態顯示了 CPU 使用率、記憶體使用率、活躍會話數、線上用戶數和線上認證使用者數的

資訊。活躍會話數的顯示格式為 N/M，N 表示當前活躍的併發會話數，M 表示設備並最大發會話數。當滑鼠滑
過某行時，會出現“顯示最近一小時的趨勢圖”的提示，點擊即可查看到最近一小時的趨勢圖。點擊對應的
“詳細”按鈕，可以連接到“設備資源”頁面，查看到更詳細的設備資源資訊。
“即時網路流覽”動態顯示了當前 UP 的 WAN 口的速率。當滑鼠滑過 WAN1、WAN2、……、WANm 時，會

出現“顯示最近一小時的趨勢圖”的提示，點擊即可查看到最近一小時的速率趨勢圖。點擊對應的“詳細”
按鈕，可以連接到“實體介面”頁面，查看到更詳細的實體介面的統計資訊。
“前十名服務即時流量分佈”動態顯示了以總速率排名的前十名服務。當滑鼠滑過某服務名稱時，會出
現“顯示線上使用者”的提示，點擊即可查看該服務的線上使用者的資訊。當滑鼠滑過某服務後面的頻寬值
時，會出現“顯示最近一小時的趨勢圖”的提示，點擊即可查看到該服務最近一小時的速率趨勢圖。點擊對
應的“詳細”按鈕，可以連接到“服務趨勢圖”頁面，查看到前十名服務的速率疊加趨勢圖。
“前十名使用者即時流量排名”動態顯示了以總速率排名的前十名用戶。當滑鼠滑過某使用者時，會出
現“顯示活躍服務”的提示，點擊即可查看該使用者正在使用的服務的資訊。當滑鼠滑過某使用者後面的頻
寬值時，會出現“顯示最近一小時的趨勢圖”的提示，點擊即可查看到該使用者最近一小時的速率趨勢圖。
點擊對應的“詳細”按鈕，可以連接到“使用者流量分析”頁面，查看到前五十名使用者的速率排名統計資
訊。
9 即時監控
即時監控部分用於查看設備即時的工作狀態，包括設備資源、實體介面、服務監控、使用者監控四大部
分。
9.1 設備資源
設備資源包括了 CPU 使用率、記憶體使用率、會話數、線上用戶數、線上認證使用者數、磁片資訊等共
六部分。如下圖：
图2. 設置資源
各分頁詳細說明如下：
¾ CPU 使用率：查看最近一小時 CPU 使用率。
¾ 記憶體使用率：查看最近一小時記憶體使用率。
¾ 活躍會話數：查看最近一小時活躍會話數的統計趨勢圖。
¾ 線上 IP 數：查看最近一小時線上用戶數的統計趨勢圖。
¾ 線上認證用戶數：查看最近一小時線上認證用戶數的統計趨勢圖。
每個圖的下方都顯示了最近一小時的最大值、最小值、平均值、最新值(最近一個採樣點的值)及每個值
對應的時間點，圖中還用箭頭指明了最大值。如果這些值分佈在多個時間點，則顯示最後一個時間點。例如，
最大值分佈在 15:09:11 和 15:45:23 兩個時間點，那麼圖中箭頭指明的時間點和圖下方最大值對應的括弧中
的時間點都是最後一個點 15:45:23。
點擊頁面上方的“Reporter”可以進入 Reporter 系統查看各參數的歷史統計資訊。
9.2 實體介面
實體介面頁面的內容含兩部分：所有埠的全域資訊、每個埠的速率趨勢圖。
第一：實體介面的全域資訊，如下圖：
图3. 實體介面統計圖
全域資訊包括了以下內容：
¾ 柱圖顯示了每個實體介面收發速率。
¾ 表格顯示了每個介面的收發資料的統計資訊，每個實體介面上面一行對應該介面接收資料的統計資訊，
下面一行對應該介面發送資料的統計資訊。
¾ 表格中的古藍色圓餅代表該埠為連接狀態，灰色圓餅代表該埠為未連接狀態。
第二：單個實體介面的統計資訊包括了總的速率、接收速率、發送速率，如下圖：
图4. LAN1 實體介面統計圖
每個介面分頁的下方都顯示了最近一小時的最大值、最小值、平均值、最近一個採樣點的值及每個值對
應的時間點，圖中還用箭頭指明了最大值。如果這些值分佈在多個時間點，則顯示最後一個時間點。例如，
最大值分佈在 15:09:11 和 15:45:23 兩個時間點，那麼圖中箭頭指明的時間點和圖下方最大值對應的括弧中
的時間點都是最後一個點 15:45:23。
點擊頁面下方的“Reporter”可以進入 Reporter 系統查看各埠的歷史統計資訊。
9.3 服務監控
服務監控頁面顯示了前十名服務趨疊加勢圖、服務組趨勢圖、活躍服務、所有服務四部分。
9.3.1 服務趨勢疊加圖
服務趨勢疊加圖如下：
图5. 服務監控統計圖
這裡顯示了所有服務的疊加趨勢圖，其中列出了前十名和 Other。Other 表示網路中除了前十名以外的其它服

務的速率值。
9.3.2 服務組趨勢圖
服務組趨勢圖如下：
這裡顯示了所有服務組的疊加趨勢圖，一共有自訂普通服務、自訂特徵識別、常用服務、HTTP 下載、P2P
下載、WEB 視頻、流媒體、即時通訊、網路電話、網路遊戲、股票交易、網上銀行、其他服務等 13 種類型。
9.3.3 活躍服務統計
“活躍服務”將顯示當前所有的活躍的服務，如下圖：
最新速率：表示某服務最後一個採樣點的速率值。上箭頭後面的值表示上傳速率，下箭頭後面的值表示
下載速率。
最近一小時總流量：表示某服務最近一小時傳輸的流量疊加值。上箭頭後面的值表示上傳流量，下箭頭
後面的值表示下載流量。
最近一小時平均速率：表示某服務最近一小時的平均速率。上箭頭後面的值表示上傳速率，下箭頭後面
的值表示下載速率。
點擊對應服務操作欄的<趨勢圖>按鈕，可以查看此服務最近一小時的速率趨勢圖。點擊<線上用戶>可以
查看正在使用此服務的使用者的資訊。
9.3.4 所有服務統計
“所有服務”將分類顯示所有的服務統計值，如下圖：
最新速率：表示某服務最後一個採樣點的速率值。上箭頭後面的值表示上傳速率，下箭頭後面的值表示
下載速率。
最近一小時總流量：表示某服務最近一小時傳輸的流量疊加值。上箭頭後面的值表示上傳流量，下箭頭
後面的值表示下載流量。
最近一小時平均速率：表示某服務最近一小時的平均速率。上箭頭後面的值表示上傳速率，下箭頭後面
的值表示下載速率。
點擊對應服務操作欄的<趨勢圖>按鈕，可以查看此服務最近一小時的速率趨勢圖。點擊<線上用戶>可以
查看正在使用此服務的使用者的資訊。
9.4 用戶監控
使用者監控頁面顯示了前五十名使用者的即時傳輸速率、新建會話速率和活躍會話數。
9.4.1 流量分析
前五十名用戶的即時傳輸速率統計圖如下：
點擊<趨勢圖>按鈕可以查看該使用者最近一小時的速率趨勢圖。
點擊<活躍服務>按鈕可以查看該使用者當前使用的服務的資訊。
點擊頁面上方的“Reporter”可以進入 Reporter 系統查看更多關於使用者的歷史統計資訊。
9.4.2 新建會話速率
前五十名用戶的新建會話的統計圖如下：
9.4.3 連線數分析
前五十名用戶的當前活躍會話統計圖如下：
10 系統設定
“系統設定”主要包括設備工作模式、系統維護、系統管理員、網管策略、網管參數、網路工具、系統
時間、系統資訊八個大項。
10.1 設備工作模式
“設備工作模式”用來設置設備的工作模式，可以設定為橋接器模式和路由模式，預設為橋接器模式。
使用者可根據網路中的實際情況選擇相應的接入模式。
提示：改變設備的工作模式，設備的配置被清空，並自動重啟。
10.1.1 橋接器模式
功能描述：
橋接器模式是把設備視為一條帶過濾功能的網線使用，把設備接在原有閘道及內網使用者之間，不用更改
網路拓撲結構和配置，這種模式於使用者可以做到完全“透明”。如下圖所示：
單橋接器模式雙橋接器模式
配置路徑：【系統設定】>【工作模式】
配置描述：
第一：進入【工作模式】頁面，如下圖：
图6. 工作模式
第二：【工作模式】預設為橋接器模式，在<橋接器類型>中選擇希望配置的橋，點擊<確定>按鈕。
提示：
1、設備工作在橋接器模式時，局域網內電腦的閘道都不需要改變。
2、設備工作在橋接器模式時，必須保證原有上網資料穿透設備，即不能存在內網使用者可繞過設
備，到達原有閘道的實體線路。
3、設備工作在橋接器模式時，穿透資料時要保證 WAN 區接連接外網方向的路由設備，LAN 區接
內網的交換機，不能接反。資料從 LAN 區發到 WAN 區的能進行上網行為的監控和控制。
4、設備的橋接器模式是在資料連結層(OSI 第二層)上實現的透明，是通過把設備的兩個網口橋接
起來實現的。所以資料連結層及以上各層的資料均可穿透。
5、橋接器模式時，設備支援 VLAN TRUNK 穿透，設備可以透明接在 VLAN TRUNK 的主幹道上。
6、在橋接器模式不能啟用 NAT 功能。
10.1.2 路由模式
功能描述：
此模式下設備工作類似一個路由器，可以進行路由拓撲構造。每個實體介面可以工作在不同的子網中，使 LAN
與 Internet 之間建立一個安全閘道。如下圖所示：
單鏈路路由模式雙鏈路路由模式
配置路徑：【系統設定】>【工作模式】
配置描述:
進入【工作模式】頁面，選擇<路由模式>，點擊<確定>按鈕，如下圖：
图7. 路由模式
10.2 系統維護
10.2.1 系統升級
功能描述：
升級設備的系統檔，可以升級的系統檔包括：系統 Firmware、應用特徵庫、URL 庫、授權文件。
¾ 系統 Firmware：設備軟體程式。
¾ 應用特徵庫：應用特徵碼的庫檔。
¾ URL 庫：內置 URL 庫文件。
¾ 授權文件：給設備進行授權的檔。當前授權檔包括以下資訊：
設備序號：唯一標示設備的序號。
授權類型：試用版/正式版；試用版代表給客戶試用的版本，正式版代表正式銷售的版本。
授權有效期: 試用版授權文件的有效期。
系統升級有效期: 正式版的系統升級有效期，在有效期之前可升級系統 Firmware、應用特徵庫、

URL 庫，過期則不能升級。
配置路徑：【系統設定】>【系統維護】>【系統升級】
配置描述：
第一：進入【系統升級】頁面，可以查看設備的各種系統檔資訊。如下圖：
图8. 系統升級
第二：選擇需要升級的檔案類型，找到檔的位置，點擊<升級>按鈕即可。如下圖：
图9. 系統升級
提示：
1、未選中的檔案類型後面顯示當前的版本資訊。
2、升級系統 Firmware 後，必須重啟設備才能運行新的版本。
3、升級應用特徵庫、URL 庫檔和授權檔後，不需要重啟設備。
10.2.2 備份與恢復
功能描述：設備支援設定檔備份與恢復功能。
配置路徑：【系統設定】>【系統維護】>【備份與恢復】
配置描述：
第一：進入【備份與恢復】頁面，如下圖：
图10. 配置備份與恢復
¾ 備份：系統會將所有的配置以檔的形式存儲，然後可以將這個設定檔匯出到 PC。
¾ 恢復：導入一個設定檔（備份到 PC 的.conf 的壓縮檔）

，導入後會覆蓋原來的設定檔，設備將自動重
啟。
¾ 恢復出廠配置：將設備的配置恢復到出廠值，設備將自動重啟。
第二：選擇備份或恢復，點擊<確定>
提示：
1、恢復設備的配置，設備將自動重啟。
2、恢復出廠配置，設備將自動重啟。
10.2.3 重啟操作
功能描述：重啟設備
配置路徑：【系統設定】>【系統維護】>【重啟啟動】
配置描述：
第一：進入【重啟啟動】頁面，點擊<確定>按鈕，重啟設備。如下圖：
图11. 重啟啟動
10.3 系統管理員
功能描述：配置系統管理員。
配置路徑：【系統設定】>【系統管理員】
配置描述：
第一：進入【系統管理員】頁面，可以看到當前的管理員列表，如下圖：
图12. 系統管理員
第二：點擊<修改密碼>，進入修改密碼介面，填寫原始密碼、新密碼和確認密碼，然後點擊<確定>。
第三：點擊<刪除>，可刪除某個用戶。
第四：點擊<新增>按鈕，進入新增管理員的介面，填寫各項參數，然後點擊<確定>。如下圖：
图13. 新增系統管理員
管理員許可權：系統支援三種許可權，即配置設備、查看設備、管理 Reporter，三種許可權可以複選。
¾ 配置設備：可以查看和配置設備；
¾ 查看設備：僅能查看設備，不能配置設備；
¾ Reporter 許可權：可以管理 Reporter，且可分級管理，與“所屬組”對應起來。例如，一個名為 Mary

的管理員，Reporter 許可權如果勾選了“管理 Reporter”，且“所屬組”配置為“Root/財務部”，那
麼 Mary 只能查看“根組(Root)”下的“財務部”組下的所有人的記錄。
提示：
1、系統預設配置了三個管理員：
¾ admin：具有所有權限，除了可以配置設備、查看設備、管理 Reporter 外，還擁有配置管理
員的許可權。預設密碼為 admin*PWD。許可權詳細如下：
(1) 新增管理員，其它管理員不能再新增管理員。
(2) 可以修改任何管理員的密碼，其它管理員只能修改自己的密碼。
(3) 可以刪除所有新增的管理員，其它管理員不能刪除任何管理員。
¾ guest：查看設備，預設密碼為 guest*PWD。
¾ reporter：管理 Reporter，許可權為根組許可權，預設密碼為 reporter*PWD。
2、所有用戶的許可權不可修改。
3、系統預設的管理員(admin、guest、reporter)不能刪除，可修改密碼。
4、新增的使用者可以修改密碼，可以被刪除。
5、密碼的長度為 6-16 位，可以為任何值，但不能為中文。
6、擁有查看或者配置設備，並且有管理 Reporter 許可權的管理員，先登錄了設備後，可以不用再次
登錄即可管理 Reporter。當先登錄 Reporter，必須要再次登錄才可以管理設備。
10.4 網管策略
功能描述：設置網管策略，可允許部分 IP 能網管設備，以限制非法使用者訪問設備。
配置路徑：【系統設定】>【網管策略】
配置描述：
第一：進入【網管策略】頁面，如下圖：
图14. 網管策略
第二：選擇策略類型，再點擊右上角的<確定>。
第三：點擊<新增>按鈕，增加“允許網管設備的 IP”。按鈕，啟用該功能。
第四：改變“狀態”欄的值，再點擊<修改狀態>可以改變配置條目的狀態。
提示：
1、策略類型：預設為“允許所有 IP 網管”，這時所有 IP 都可以網管設備。
2、策略類型選擇為“僅允許以下 IP 網管”時，如果允許網管設備的 IP 裡沒有配置任何 IP 位址，
則所有 IP 都可以網管設備；如果配置了 IP 位址，則只有這些 IP 可以網管設備。
3、狀態核取方塊：勾選，表示此條配置的狀態為“啟用”，則這條配置包含的 IP 位址可以網管設
備。不勾選，即此條配置的狀態為“禁用”，則這條配置包含的 IP 位址不生效，不可以網管設
10.5 網管參數
功能描述：對網管參數的設置，包括 WEBUI 及 SSH 網管參數的設置。
配置路徑：【系統設定】>【網管參數】
图15. 網管參數
參數說明：
¾ WEBUI 網管方式：支援安全的 HTTPS 方式和傳統的 HTTP 方式，預設為 HTTPS 方式。
¾ WEBUI 登錄埠：為安全起見，系統的 WEB 網管預設採用 TCP 9090 埠，可以改成 TCP 協議的其它埠，

不能改成 80 埠。
¾ SSH 登錄埠：為了安全性，系統的 SSH 網管預設採用 TCP 2222 埠，可以改成 TCP 協議的其它埠。
10.6 網路工具
“網路工具”包括 Ping 和 TraceRoute。
10.6.1 Ping
功能描述：用於測試網路的連通性。
配置路徑：【系統設定】>【網路工具】>【Ping】，設置介面如下圖：
图16. PING 工具
參數說明：
¾ IP/功能變數名稱：目的 IP 位址或者功能變數名稱，如果設置功能變數名稱，需要先配置本機 DNS。
¾ 封包長度：Ping 封包的長度，20-8000 位元組，預設 64 位元組。
¾ Ping 次數：發送 Ping 封包的數量，1～2000000000，預設 5 次。
提示：如果輸入功能變數名稱，需要先配置本地DNS。配置路徑：【網路配置】>【本機DNS】
10.6.2 TraceRoute
功能描述：用於確定 IP 資料訪問目標所採取的路徑。
配置路徑：【系統設定】>【網路工具】>【TraceRoute】，設置介面如下圖：
图17. TraceRoute 工具
參數說明：
¾ 超時設置：1-10 秒，預設 10 秒。
¾ 最小 TTL：1-255，預設 1。
¾ 最大 TTL：1-255，預設 10。
提示：如果輸入功能變數名稱，需要先配置本地DNS。配置路徑：【網路配置】>【本機DNS】
10.7 系統時間
功能描述：用於設定設備的系統時間。
配置路徑：【系統設定】>【系統時間】
，設置介面如下圖：
图18. 設置系統時間
如需啟用 SNTP 則勾選“自動與 SNTP 伺服器同步”，然後可配置 SNTP 伺服器和同步間隔。如下圖：

图19. 設置系統時間
點擊 SNTP 伺服器輸入框後面的“立即同步”，可立即與所配置的伺服器進行時間的同步。啟用 “自動

與 SNTP 伺服器同步”後，系統日期和系統時間兩項不可配置。
提示：啟用 “自動與SNTP伺服器同步”後，系統日期和系統時間兩項不可配置。
10.8 系統資訊
功能描述：設備基本資訊描述。
配置路徑：【系統設定】>【系統資訊】
，配置頁面如下：
图20. 系統資訊
11 系統物件
“系統物件”包括位址薄、網路服務、時間計畫、URL 庫、關鍵字、檔案類型等 6 個部分。
11.1 地址簿
功能描述：
用於定義一個包含某些 IP 位址的 IP 位址組，這個 IP 組可以是任意的一個 IP、一段 IP 或者 IP 範圍的任

意組合。“地址簿”將在【防火牆 > 安全性原則】
、【防火牆 > NAT 規則 > 內網代理】
、【安全性原則】、
【行
為管理】及【流量管理】中定義的規則是引用。
配置路徑：【系統物件】>【位址簿】
配置描述：
第一：進入【位址簿】頁面，如下圖：
图21. 地址簿
第二：點擊表格右上角的<新增>按鈕，增加位址簿，並填入地址簿的第一個 IP/IP 段/IP 範圍。
第三：點擊<刪除所有>按鈕，可刪除所有位址簿。
第四：點擊某個位址簿操作欄裡的<新增>按鈕，增加更多 IP。比如，點擊財務部後面的<新增>按鈕，可為財
務部增加更多 IP。
第五：點擊操作欄裡的<刪除>按鈕，可刪除某個位址簿。
第六：點擊操作欄裡的<詳細>按鈕，可以查看某位址簿的所有 IP 配置，如下圖：
图22. 地址簿列表
參數說明：
¾ 表頭的括弧裡是本地址簿的名稱，如(名稱：財務部)。
¾ 點擊表格右上角的<新增>按鈕，也可以為本位址簿增加更多的 IP。
¾ 點擊操作欄的<修改>按鈕，可以修改某條 IP 配置。
¾ 點擊操作欄的<刪除>按鈕，可以刪除某條 IP 配置。
提示：如果某地址簿已經被引用，則不能被刪除。刪除前必須先解除引用。
11.2 網路服務
網路服務共分為：自訂普通服務、自訂特徵識別、常用服務、WEB 下載、WEB 視頻、P2P 下載、流媒體、
網路遊戲、即時通訊、股票交易、網上銀行、網路電話、其他服務。這些服務在【防火牆>安全性原則】及【流
量管理】中將被引用。其中自訂普通服務和常用服務為基於埠的服務，其餘的都是基於內容識別的服務。
11.2.1 自訂普通服務
功能描述：自訂基於埠的四層服務
配置路徑：【系統物件】>【網路服務】>【自訂普通服務】
配置描述：
第一：進入【自訂普通服務】頁面，可看到當前已定義的服務，如下圖：
图23. 自訂普通服務
第二：點擊表格右上角的<新增>按鈕，增加服務，配置頁面如下：
图24. 新增自訂普通服務
點擊<TCP>、<UDP>、<ICMP>或<IP>，可選擇協議類型。如果選擇 TCP 或者 UDP，則需要填寫目的埠和源埠。
如果選擇 ICMP，需要填寫類型值和代碼值。如果選擇 IP，則只需要填寫協議號即可。
優先順序：預設低於系統定義的常用服務。
提示：
1、某一種服務，可同時包含 TCP、UDP、ICMP、IP 類型的子服務。
2、如果某服務已經被引用，則不能被刪除。要刪除某服務，必須先解除引用。
11.2.2 自訂特徵識別
功能描述：自訂基於特徵識別的 7 層服務。
配置路徑：【系統物件】>【網路服務】>【自訂特徵識別】
配置描述：
第一：進入【自訂特徵識別】頁面，可看到當前已定義的服務，如下圖：
图25. 自訂特徵識別規則
第二：點擊表格右上角的<新增>按鈕，增加服務，配置頁面如下：
图26. 新增自訂特徵識別規則
參數說明：
¾ 協議類型：選擇本條規則的協定類型，可選擇TCP、UDP或者TCP+UDP。
¾ 目的埠：可選擇所有埠或者指定的埠範圍。
¾ IP地址：可選擇所有IP或者指定的IP位址。
¾ 數據長度：不計算TCP/UDP的頭部，即Payload的長度。符合設定長度的封包才會被匹配。
¾ 特徵字串：封包的特徵，用規則運算式來表示。
¾ 優先順序：預設低於系統定義的特徵。
提示：如果某服務已經被引用，則不能被刪除。要刪除某服務，必須先解除引用。
11.2.3 常用服務
功能描述：查看基於埠的常用的四層服務。
配置路徑：【系統物件】>【網路服務】>【常用服務】
配置描述：
進入【常用服務】頁面，可看到常用服務清單，如下圖：
图27. 常用服務
11.3 時間計畫
功能描述：
用於定義時間段，然後可在【防火牆>安全性原則】
、【流量管理】
、【行為管理】中引用，以控制這些策略生效
或失效的時間，從而可對各種策略分時間段管理。
配置路徑：【系統物件】>【時間計畫】
配置描述：
第一：進入【時間計畫】頁面，可以看到當前已配置的時間計畫，如下圖：
图28. 時間計畫
第二：點擊<新增>按鈕，增加時間計畫，如下圖：
图29. 新增時間計畫
按鈕說明：
<選定>：選中橫坐標和縱坐標對應的時間格子，當格子為黑色時，點擊<選定>，格子顏色變為綠色，即選中
了時間。
<取消選定>：選中橫坐標和縱坐標對應的時間格子，當格子為黑色時，點擊<取消選定>，格子顏色變為灰色，
即取消了選中的時間。
<重置>：取消所有選中的時間。
第二：選中時間後，點擊<確定>按鈕，配置成功。
提示：
1、每個格子代表半小時，只有格子為綠色時，才是已經選定的時間。
2、如果某時間計畫已經被引用，則不能被刪除。要刪除某時間計畫，必須先解除引用。
11.4 URL 庫
功能描述：
包括內置和自訂的 URL 庫。URL 庫可用于【行為管理 > 上網策略物件 > URL 過濾】，實現對 URL 的過濾。
配置路徑：【系統物件】>【URL 庫】
配置描述：
第一：進入【URL 庫】頁面，可以看到當前的內置 URL 庫，如下圖：
图30. 內置 URL 庫
第二：點擊<自訂 URL 庫>分頁標題，進入自訂 URL 庫頁面，如下圖：
图31. 自訂 URL 庫
第三：點擊<新增>按鈕，可以很方便的定義 URL 庫。如下圖：
图32. 新增自訂 URL

在“URL”輸入框內填寫 URL，一行一個 URL 關鍵字(或 URL 全名)。採用子串匹配方式，如配置 xyz.com，
將匹配 www.xyz.com、www.xyz.com.cn、www.xyz.com/hardware 等。
11.5 關鍵字組
功能描述：
用於設置關鍵字，並把關鍵字分組，這些關鍵字組可用於【上網行為管理 > 網頁過濾】中限制某些關鍵字的

搜索和上傳。
配置路徑：【系統物件】>【關鍵字組】
配置描述：
第一：進入【關鍵字組】頁面，可以看到當前已定義的關鍵字組，如下圖：
第二：點擊<新增>按鈕可定義關鍵字組。如下圖：
图33. 新增關鍵字組
一行一個關鍵字，支持萬用字元匹配，如輸入 snow*n,，將匹配 snowman 或 snowmn 等。
11.6 檔案類型
功能描述：
用於定義檔案類型，並把檔案類型分組。這些檔案類型可用於【上網行為管理>網頁過濾】中限制這些類型的
檔的上傳和下載。
配置路徑：【系統物件】>【檔案類型】
配置描述：
第一：進入【檔案類型】頁面，可以看到當前已定義的檔案類型分組。如下圖：
图34. 新增檔案類型
第二：點擊<新增>按鈕可定義檔案類型分組。一行一個檔案類型，格式為“.尾碼名”, 如 .zip。如下圖：
12 網路設定
“網路設定”包括：端口設定、IP 位址設定、路由設定、本地 DNS、ARP 表、DHCP 設定和 SNMP 伺服器配置。
12.1 端口設定
包括實體端口、VLAN 介面、PPPoE、GRE 隧道四部分。
12.1.1 實體介面
功能描述：
實體介面指和產品面板上一一對應的資料介面，不同產品型號介面數目不一樣。
配置路徑：【網路設定】>【端口設定】>【實體端口】，配置頁面如下圖所示：
配置描述：
第一：進入【實體端口】頁面，如下圖：
图35. 實體埠
提示：物理介面的狀態為“未連接”時，工作速率為 0 M
第二：點擊操作欄的<修改>按鈕，對實體介面的參數進行配置，如下圖所示：
图36. 修改實體埠參數
提示：當協商類型為自協商時，工作速率不可配置。
12.1.2 VLAN 介面
功能描述：通過配置 802.1Q 的 VLAN 介面位址，來實現 VLAN 間的資料轉發，設備產品支援連接第二層交
換機的 TRUNK 埠。
配置路徑：【網路設定】>【端口設定】>【VLAN 介面】
第一：進入【VLAN 介面】介面，可以看到當前已經建立的 VLAN 介面。如下圖：

图37. VLAN 介面
介面名稱是實體介面和 VLAN ID 的組合。例如，LAN1.2 表示實體介面為 LAN1，VLAN ID 為 2 的 VLAN 介

面。然後在【網路配置>配置 IP 位址】處，可以為 VLAN 介面配置 IP 位址。
第二：點擊<新增>按鈕，增加 VLAN 介面。如下圖：

图38. 新增 VLAN 介面
12.1.3 PPPoE
功能描述：配置 PPPoE 撥號帳號，實現 PPPoE 撥號。
配置路徑：【網路設定】>【端口設定】>【PPPoE】
第一：進入【PPPoE】介面，可以看到當前已經建立的 PPPoE 配置。如下圖：
图39. PPPoE
參數說明：
¾ 名稱：為 PPPoE 撥號配置取的名字。
¾ 外網埠：撥號鏈路連接的外網實體埠，即WAN 埠。一個 WAN 埠只能連接一個撥號。
¾ 帳號：PPPoE 的帳號。
¾ IP地址：撥號成功後，獲得的IP地址；未成功時，IP地址為空。
¾ 子網路遮罩：撥號成功後，獲得的IP地址對應的遮罩；未成功時，遮罩為空。
¾ 閘道：撥號成功後，獲得的閘道地址；未成功時，閘道地址為空。
¾ 連接狀態：撥號成功後，狀態為“連接”；未成功時，狀態為“斷線”。
第二：點擊<新增>按鈕，增加 PPPoE 配置。如下圖：

图40. 新增 PPPoE
12.1.4 GRE 隧道
功能描述：配置 GRE 隧道。
配置路徑：【網路設定】>【端口設定】>【GRE】
第一：進入【GRE】介面，可以看到當前已經建立的 GRE 配置。如下圖：

图41. GRE
第二：點擊<新增>按鈕，增加 PPPoE 配置。如下圖：
图42. 新增 PPPoE
參數說明：
¾ 隧道名稱：為 GRE 隧道取的名字。
¾ 隧道IP：隧道的標識位址, 可設置任意 IP, 隧道兩端的標識位址應該配置為同一網段。
¾ 子網路遮罩：隧道IP的子網路遮罩。
¾ 來源地址：隧道的來源端位址, 與本端發出 GRE 封包的介面位址相同或同網段。
¾ 目的地址：隧道的目的端位址, 與對端接收 GRE 封包的介面位址相同或同網段。
提示：配置完GRE隧道後，在【網路配置 > 路由配置】添加路由，選擇GRE隧道。
12.2 IP 位址設定
功能描述：
用於給設備的介面或橋接器 IP 位址設定。在單橋接器模式下，可對橋接器和其它獨立的網口 IP 位址設定；

在路由模式下可為每個介面 IP 位址設定。
配置路徑：【網路設定】>【IP 位址設定】
配置描述：
第一：進入【IP 位址設定】頁面，如下圖所示：
图43. IP 位址配置
第二：點擊<新增>按鈕，為介面增加 IP 位址。新增頁面的實體介面名稱隨工作模式的改變而不同，單橋接器
時實體介面名稱為 Bridge1、LAN2、WAN2，……；雙橋接器時實體介面名稱為：Bridge1 和 Bridge1，……；
路由模式時時實體介面名稱為 LAN1、LAN2、WAN1、WAN2，……。下圖是四個網口，單橋接器模式下新增 IP 位
址的頁面：
图44. 實體埠名稱
提示：
1、可對實體介面、VLAN 介面、橋接器配置 IP 位址。
2、不同的介面不能配置相同網段的 IP 位址。
3、每個介面可配置多個不同網段的 IP 位址。
12.3 路由配置
路由部分包括靜態路由和策略路由兩部分。
12.3.1 靜態路由
功能描述：配置靜態路由。
配置路徑：【網路設定】>【路由設定】>【靜態路由】
配置描述：
第一：進入【靜態路由】頁面，如下圖所示：
图45. 靜態路由
第二：進入點擊<新增>按鈕，增加靜態路由。如下圖：
图46. 新增靜態路由
閘道可以選擇為“IP 位址”、“GRE 隧道”或者“PPPoE”。選擇 GRE 隧道和 PPPoE，需先分別到【網
路配置 > GRE 隧道】和【網路配置>PPPoE 】頁面配置 GRE 隧道 PPPoE 撥號。
提示：
1、直連路由不可以修改和刪除。
2、 <刪除所有>按鈕表示刪除所有靜態路由。
3、子網路遮罩可以輸入遮罩長度或者點分十進位的格式，如 16 或者 255.255.0.0。
12.3.2 策略路由
配置路徑：【網路設定】>【路由設定】>【策略路由】
配置描述：
第一：進入【策略路由】頁面，可以看到當前配置的策略路由。如下圖所示：
图47. 策略路由
策略路由的優先順序：序號越小的優先順序越高，可通過<插入>和<移動>來改變路由的優先順序。新增的策
略路由放於最後。
按鈕說明：
新增：增加策略路由。
修改狀態：在已策略路由清單裡，改變“狀態”列核取方塊的值，然後再點擊“修改狀態”按鈕，則可
改變某條(些)策略路由的狀態。狀態列對應的核取方塊如果為“勾選”狀態，則表示本條策略路由是啟
用(有效)的；狀態列對應的核取方塊如果為“不勾選”狀態，則表示本條策略路由是禁用(無效)的。
刪除所有：刪除所有策略路由。
修改：修改某條策略路由。
插入：在本條路由之前插入一條路由。
移動：移動某條路由到其他路由之前或之後，以改變路由的優先順序。
刪除：刪除某條路由。
第二：進入點擊<新增>按鈕，增加策略路由。如下圖：
图48. 新增策略路由
參數說明：
LAN 介面：連接內網的實體埠，ALL-LAN 表示所有 LAN 埠。
源地址：匹配封包的源位址，可以輸入多個位址。格式範例：192.168.1.1、192.168.1.5-192.168.1.9、
192.168.0.0/16 或 192.168.0.0/255.255.0.0。
目的地址：匹配封包的目的地址，可以輸入多個位址。如果類型為“IP“，則格式範例為：192.168.1.1、
192.168.1.5-192.168.1.9、192.168.0.0/16 或 192.168.0.0/255.255.0.0。如類型選擇為“ISP自動位
址表”，表示自動根據各 ISP 廠商的位址表來選路，後面會出現一個下拉清單，下拉清單的值為：電信、
移動、網通、鐵通。
協議類型：封包的協議類型，包括：全部、TCP、UDP、ICMP、IP。“全部”表示所有協定類型。“TCP”
表示協議類型為 TCP，同時還需配置 TCP 目的埠；埠範圍可以是全部或設定埠範圍。“UDP”表示協議
類型為 UDP，同時還需配置 UDP 目的埠；埠範圍可以是全部或設定埠範圍。“ICMP”表示協議類型為
ICMP 的封包。“IP”表示協議類型為 IP 的封包，同時還需配置協定號的值。
閘道：路由的閘道位址，分為基本類型和高級類型。詳細說明如下：
¾ 基本類型：表示只有一個閘道位址。包括 “IP”和“PPPoE”兩種類型。如果選擇“IP”，則直接
在後面的輸入框內填入閘道 IP 位址即可。如果選擇“PPPoE”，在直接在後面的下拉清單裡選擇之
前配置好的 PPPoE 撥號的名稱即可。
¾ 高級類型：表示有多個閘道位址。包括“鏈路均衡”和“鏈路備份”兩種類型。如果選擇“鏈路均
衡”，則最多可以配置 8 條鏈路，每條鏈路的閘道類型可選擇為“IP”或“PPPoE”。如果選擇為
“鏈路備份”，則可以配置一條主鏈路和一條備份鏈路，每條鏈路的閘道類型可選擇為“IP”或
“PPPoE”。高級類型在後面有圖例說明。
狀態：啟用或禁用。啟用後表示此條路由有效，禁用後表示此條路由無效。
12.3.2.1 鏈路均衡
鏈路均衡是在策略路由中實現的，在【策略路由】模組，點擊<新增>按鈕，如下圖：
图49. 新增策略路由-鏈路均衡
在<閘道>一行選擇“高級類型”，再選擇“鏈路均衡”就會出現配置鏈路的表格。最多可以支援 8 條鏈
路之間均衡，每條鏈路的閘道類型可選擇為“IP”或“PPPoE”。如果選擇“IP”，則直接在後面的輸入框內
填入閘道 IP 位址即可。如果選擇“PPPoE”，在直接在後面的下拉清單裡選擇之前配置好的 PPPoE 撥號的
名稱即可。在<下載頻寬>一列，必須要輸入鏈路的實際的行頻寬，以便實現均衡功能。
12.3.2.2 鏈路備份
鏈路備份是在策略路由中實現的，在【策略路由】模組，點擊<新增>按鈕，如下圖：
图50. 新增策略路由-鏈路備份
在<閘道>一行選擇“高級類型”，再選擇“鏈路備份”，然後可以看到“主鏈路”和“備份鏈路”兩項。
“主鏈路”和“備份鏈路”可選擇為“IP”或“PPPoE”。如果選擇“IP”，則直接在後面的輸入框內填入閘
道 IP 位址即可。如果選擇“PPPoE”，在直接在後面的下拉清單裡選擇之前配置好的 PPPoE 撥號的名稱即
可。
提示：
12.4 本機 DNS
功能描述：
配置設備的 DNS 伺服器，以便於設備自身能訪問Internet。

配置路徑：【網路設定】>【本機DNS】
配置描述：進入【本機 DNS】頁面，配置 DNS 伺服器。如下圖所示：
图51. 本地 DNS 配置
12.5 ARP 表
功能描述：查看 ARP 表，配置靜態 ARP。
配置路徑：【網路設定】>【ARP表】
配置描述：
第一：進入【ARP表】頁面，可查看到當前ARP。如下圖：
图52. ARP 表
類型為“動態”代表自動學習到的 ARP 條目；為“靜態”代表將固定的 IP 和 MAC 綁定在一起。
第二：當選“靜態”列的核取方塊，再點擊<轉為靜態>，可以將動態學習到的 ARP 轉換為靜態 ARP。當類型

為“靜態”時，對應 ARP 條目的“靜態”列的核取方塊消失。勾選表頭的“靜態”核取方塊，可以選中所有
的動態ARP條目。
第三：點擊<新增>按鈕，可添加靜態 ARP 條目，如下圖：

图53. 新增靜態 ARP
12.6 DHCP 配置
12.6.1 基本參數
功能描述：配置 DHCP 基本參數。
配置路徑：【網路設定】>【DHCP配置】>【基本參數】
配置描述：
第一：進入【基本參數】頁面，可以看到當前已建立的 DHCP 配置。如下圖：

图54. DHCP 基本參數
第二：進入點擊<新增>按鈕，增加 DHCP 配置。如下圖：
图55. 新增 DHCP 參數
參數說明：
¾ 介面名稱：選擇啟用 DHCP 服務的介面名稱。
¾ 首選 DNS 伺服器/備用 DNS 伺服器：配置 DHCP 用戶端所獲得的 DNS 配置資訊。
¾ IP 位址集區：配置 DHCP 用戶端所獲得的 IP 地址的範圍。一行一個位址，格式範例：192.168.2.2

或 192.16.2.2-192.168.2.253。位址範圍必須與介面位址同網段，多個範圍間位址不能重疊。
¾ 固定 IP ：可根據 MAC 綁定 IP，即根據 MAC 位址把固定的 IP 位址分配給對應的用戶端。一行

一個固定 IP，固定 IP 的地址必須在 IP 位址集區範圍內，名稱不能為中文。格式範例：名稱/IP/MAC,
如 Tom/192.168.1.1/00:19:21:3f:a1:11
¾ 子網路遮罩：配置 DHCP 用戶端所獲得的 IP 地址的遮罩。
¾ 網管 IP：配置 DHCP 用戶端所獲得的閘道 IP 地址。一般為第一行選擇的介面的IP。
¾ 租用期限：設置 DHCP 獲得的 IP 地址的有效期，默認為永遠有效。
提示：
1、配置 IP 位址集區時，一行一個位址範圍，起始位址與結束位址間以英文中線(-)隔開。
2、位址範圍必須與 LAN 埠位址同網段，不要包含網路位址及網段廣播位址，多個範圍間位址不能
重疊。
3、固定 IP 位址應包含在 IP 位址集區中。
4、每個介面都可以啟用 DHCP，包括橋介面，如 bridge1。
12.6.2 已分配 IP 地址
該清單顯示當前 DHCP 分配的 IP 總數，所分配的 IP 位址、電腦名稱、MAC 位址及分配的 IP 地址到期時間。如
下圖所示：
图56. 已分配 IP 清單資訊
13 防火牆
“防火牆”設置包括安全性原則、NAT 規則設置。NAT 規則包含內網代理、一對一位址轉換、埠鏡射三部分。
13.1 安全性原則
功能描述：
安全性原則定義了對資料流程的控制規則；可以通過指定封包的來源位址、目的地址、服務、時間段等參數
來控制資訊流。
安全性原則的匹配原則是按順序從前往後匹配，從第一條開始順序匹配，遇到第一個匹配的條目就停止，所
以同一群組原則中，序號小的優先順序高。
配置路徑：【防火牆】>【安全性原則】
配置描述：
第一：進入【防火牆】頁面，如下圖：
图57. 安全性原則
點擊<刪除所有>，將刪除所有的安全性原則。
點擊<刪除本組>，將刪除本組的安全性原則，如刪除 LAN2ÆWAN2 的所有安全性原則。
點擊<刪除>，刪除本條安全性原則。
點擊<修改>，修改本條安全性原則的參數，但不能修改本條安全性原則的方向。
點擊<插入>，在當前位置之前插入一條安全性原則。
點擊<移動>，改變對應安全性原則的序號，從而改變安全性原則的優先順序。
改變狀態列核取方塊的值，再點擊<修改狀態>，可修改安全性原則的狀態(“勾選”表示啟用，“不勾選”表
示禁用)。點擊表頭的“狀態”核取方塊，可以改變所有安全性原則的狀態。
第二：點擊<新增>按鈕，新增安全性原則，如下圖：
图58. 新增安全性原則
參數說明：
¾ 策略方向：代表資料流程的方向。
¾ 源地址：資料流程的來源位址，可輸入 IP 位址或選擇位址簿。位址簿在【系統物件 > 地址簿】中

配置。
¾ 目的地址：資料流程的目的地址，可輸入 IP 位址或選擇位址簿。
¾ 服務：資料流程的服務類型。
¾ 生效時間：本策略的有效時間段。
¾ 動作：安全性原則允許、拒絕服務的動作。
¾ 狀態：啟用或禁用本規則，預設啟用。
提示：
1、策略規則遵循從按順序從前往後匹配的原則，如果一個規則匹配了，就不會再向下匹配，所以
序號小的規則優先順序高。請注意規則的先後順序，先定義的規則，位置排在前面，可通過<插
入>或<移動>來改變規則的先後順序。
2、系統隱含了一條允許所有的安全性原則，如果加入的安全性原則都不匹配，資料包最後將匹配
隱含的策略。所以系統在預設情況，是允許所有封包通過的。
13.2 NAT 規則
“NAT 規則”包括三種 NAT 方式，包括：內網代理、一對一位址轉換、埠鏡射。
13.2.1 內網代理
功能描述：作為內部網路的代理閘道，轉換內部主機上網資料流程的源 IP 位址。內部網路的所有主機均可
共用一個或者多個合法外部 IP 位址實現對 Internet 的訪問。
內網代理的匹配原則是按順序從前往後匹配，從第一條開始順序匹配，遇到第一個匹配的條目就停止，所以
序號小的優先順序高。
配置路徑：【防火牆】>【NAT策略】>【內網代理】
配置描述：
图59. 內網代理規則
點擊<刪除所有>，將刪除所有的內網代理規則。
點擊<刪除>，刪除本條規則。
點擊<修改>，修改本條規則的參數，但不能修改流量方向。
點擊<插入>，在當前位置之前插入一條規則。
點擊<移動>，改變對應規則的序號，從而改變規則的優先順序。
改變狀態列核取方塊的值，再點擊<修改狀態>，可改變規則狀態(“勾選”表示啟用，“不勾選”表示禁用)。
點擊表頭的“狀態”核取方塊，可以改變所有規則的狀態。
第二：點擊<新增>按鈕，新增規則，如下圖：
图60. 新增內網代理規則
參數說明：
¾ 規則名稱：內網代理規則的名稱。
¾ 流量方向：代表資料流程的方向，方向必須從內網埠（LAN1、LAN2）到外網埠（WAN1、WAN2）。
¾ 內部源位址：內網主機發出的資料流程的源位址，可輸入 IP 位址或選擇位址簿。位址簿在【系統
物件 > 地址簿】中配置。
¾ 目的地址：資料流程的目的地址，可輸入 IP 位址或選擇位址簿。
¾ 服務：選中的服務才可通過 NAT 轉換上網。
¾ 轉換後源位址：資料流程從設備出去時的源 IP 位址，可選擇外網口位址（如 WAN1 介面位址）或

輸入一個位址範圍。
提示：內網代理規則遵循從上向下匹配的原則，如果一個規則匹配了，就不會再向下匹配了，所以
請注意規則的先後順序。先定義的規則，位置排在前面，可通過<插入>或<移動>來改變規則的先後
順序。
13.2.2 一對一位址轉換
功能描述：
將內網的私有 IP 轉換為公有 IP，一個私有 IP 只能對應一個公有 IP，主要用於對內網伺服器的轉換。
配置路徑：【防火牆】>【NAT規則】>【一對一位址轉換】
配置描述：
第一：進入【一對一位址轉換】頁面，如下圖：
图61. 一對一靜態位址轉換
點擊<修改>，修改本條規則的參數，但外網口不能修改。
图62. 新增轉換規則
參數說明：
¾ 規則名稱：一對一位址轉換規則的名稱。
¾ 外網口：連接外網的實體介面，如 WAN1、WAN2。
¾ 內部 IP 位址：內網主機的IP位址範圍，與“對外鏡射 IP 位址”一一對應。
¾ 對外鏡射 IP 位址：對外網鏡射的公網IP位址範圍，與“內部 IP 地址”一一對應。
提示：一次可以配置多個連續的轉換 IP，但“內部 IP 位址”與“對外鏡射 IP 位址”的個數要相等。
13.2.3 埠鏡射
功能描述：
如果內網有伺服器需要向 Internet 提供服務，且只提供某些埠的服務，那麼就需要在閘道上做埠鏡射。
配置路徑：【防火牆】>【NAT規則】>【埠鏡射】
配置描述：
第一：進入【埠鏡射】頁面，如下圖：
图63. 埠鏡射
點擊<修改>，修改本條規則的參數，但外網口不能修改。
图64. 新增埠鏡射
參數說明：
¾ 外網口：連接外網的實體介面，如 WAN1、WAN2。
¾ 內部位址：內網主機的 IP 位址，，與“對外鏡射 IP 位址”一一對應。
¾ 對外鏡射位址：對外網鏡射的公網位址，與“內部 IP 位址”一一對應。
¾ 協議號：需要轉換的協定類型（TCP 或 UDP）。
¾ 內部埠：伺服器在內部網路中的埠號。
¾ 對外鏡射埠號：提供給外網訪問的埠號。
14 流量管理
“流量管理”包括線路頻寬配置、基於策略的流控、基於用戶的流控。
¾ 線路頻寬配置：用於限制出口(WAN 埠)線路的總頻寬，如限制 WAN1 埠為 100M、WAN2 埠為 300M。
¾ 基於策略的流控：根據封包的來源位址、目的地址、服務類型、時間段等參數組合成各種流量，可
對這些流量提供最大頻寬限制、保障頻寬、預留頻寬的功能。
¾ 基於用戶的流控：對單個主機進行頻寬限制、會話控制、分類服務限制以及分時段管理。
提示：三種流量控制方式同時生效，所以控制的結果是數位小的優先順序高。
14.1 線路頻寬配置
功能描述：用於限制出口(WAN 埠)線路的總頻寬。
配置路徑：【流量管理】>【線路頻寬設定】，配置頁面如下圖：
图65. 線路頻寬配置
WAN1：WAN1 線路的頻寬限制，配置範圍在 8～1000000，單位 kb/s。
WAN2：WAN2 線路的頻寬限制，配置範圍在 8～1000000，單位 kb/s。
14.2 基於策略的流控
功能描述：設備提供強大的流量頻寬管理功能，可以根據封包的來源位址、目的地址、服務類型、時間段等
參數組合成各種流量，可對這些流量提供最大頻寬限制、保障頻寬、預留頻寬的功能。既能保證重要應用的
訪問頻寬，又能限制總上下載頻寬，還能針對服務類型、使用者組、IP地址等建立頻寬保證和頻寬限制。
策略規則的匹配原則是按順序從前往後匹配，從第一條開始順序匹配，遇到第一個匹配的條目就停止，所以
同一群組原則中，序號小的優先順序高。
配置路徑：【流量管理】>【基於策略的流控】
配置描述：
第一：進入【基於策略的流控】頁面，如下圖：
图66. 策略流控
點擊<刪除所有>，刪除所有的流控規則。
點擊<刪除本組>，刪除某線路所有的流控規則。
點擊<刪除>，刪除某條流控規則。
點擊<修改>，修改本條流控規則，但規則名稱和生效線路不能修改。
點擊<插入>，在當前位置插入一條流控規則。
點擊<移動>，改變對應流控規則的序號，從而改變該規則的優先順序。
改變狀態列核取方塊的值，再點擊<修改狀態>，可修改流控規則的狀態(“勾選”表示啟用，“不勾選”表示
禁用)。點擊表頭的“狀態”核取方塊，可以改變所有規則的狀態。
第二：點擊<新增>按鈕，增加基於策略的流控規則，如下圖：
图67. 新增策略流控規則
策略的匹配條件可以由以下幾種條件任意組合而成：
¾ 生效線路：流控規則的生效線路。
¾ 內網地址：內網使用者的主機位址或者使用者組名稱，可輸入 IP 地址、選擇地址簿或用戶組。位
址簿在【系統物件 > 地址簿】中配置，使用者組在【組織管理 > 組織結構】中配置。
¾ 外網地址：資料流程的目的地址，可輸入 IP 位址、選擇位址簿或用戶組。
¾ 流控行為：如果選擇“阻斷流量”，則拒絕本規則的流量通過。如果選擇“控制頻寬”，則對本規
則流量做頻寬控制，控制參數如下：
優先順序：在實現流量控制時，可將核心業務應用、時延要求高的應用、以及重要人物的流量
配置為高優先順序，同時將 P2P、網路電視、WEB視頻等非核心的、佔用頻寬資源較高的應用配
置為低優先順序。
最大頻寬：為某些用戶或特定應用指定最大頻寬，百分比為佔用本線路頻寬值的比例。
保障頻寬：結合最大頻寬和優先順序，根據需要為某些關鍵應用或者 VIP 客戶保障一定頻寬。

當網路繁忙時，這些關鍵應用或者 VIP 客戶至少可以得到設定的保障頻寬，並還可以租借空
閒的或低優先順序流量的頻寬；當網路空閒時，低優先順序的流量亦可使用當前空閒頻寬。
從而保證了頻寬的合理、高效的使用。百分比為佔用本線路頻寬值的比例。
預留頻寬：為某種特定應用或某些重點客戶預留一定頻寬，以保證在不同時間段、不同的網
路使用環境中某種流量都能得到同樣的頻寬。預留頻寬不能被其他資料流程使用，百分比為
佔用本線路頻寬值的比例。
¾ 生效時間：本規則的有效時間段，可分時段控制資料流程，比如9：00～12：00和14：00～18：00，
不允許員工用 QQ；下拉清單內容為事先定義好的“時間計畫”名稱。
¾ 狀態：啟用或禁用本規則。
¾ 服務：默認選擇“所有”。如要控制一種或多種服務，請選擇<自訂>。如下圖：
图68. 自選服務
然後點擊<選擇服務>按鈕，出現以下配置頁面：
图69. 自選服務配置頁面
此配置頁面可以選擇需要進行流量控制或者阻斷流量的服務，每種類型的服務用一個分頁列出，一次可以選
擇多個服務類型，每個類型可以選擇多種服務。
選中想要的服務後，點擊<確定>按鈕，返回新增“基於策略的流控”配置頁面，如下圖：
图70. 配置自選服務
提示：
1、 “預留頻寬”不能大於“保障頻寬”，“保障頻寬”不能大於“最大頻寬”。
2、當所有規則的保障頻寬總和小於或等於線路頻寬時，根據配置值分配保障頻寬。
3、當所有規則的保障頻寬總和大於線路頻寬時，優先保障優先順序高的流量的頻寬。
4、某一優先順序的保障頻寬總和大於線路頻寬時，根據每條規則配置的值大小按比例分配保障頻
寬。
14.3 基於用戶的流控
功能描述：
可以對單個主機進行頻寬限制、會話控制、分類服務限制以及分時段管理。策略規則的匹配原則是按順序從
前往後匹配，即從第一條規則開始順序匹配，一旦遇到一條匹配的規則就停止，所以序號越小的規則優先順
序越高。
配置路徑：【流量管理】>【基於用戶的控制】
配置描述：
第一：進入【基於使用者的控制】頁面，如下圖：
图71. 基於 IP 的流控
“最大頻寬”顯示值的“↑”表示上傳，“↓”表示下載。
“會話數”顯示值的“↑”表示上傳，“↓”表示下載。
“匹配計數”表示本條策略被匹配的次數。
點擊<刪除所有>，刪除所有的流控規則。
點擊<刪除>，刪除某條流控規則。
點擊<修改>，修改本條流控規則。
點擊<插入>，在當前位置插入一條流控規則。
點擊<移動>，改變對應流控規則的序號，從而改變該規則的優先順序。
改變狀態列核取方塊的值，再點擊<修改狀態>，可修改流控規則的狀態(“勾選”表示啟用，“不勾選”表示
禁用)。點擊表頭的“狀態”核取方塊，可以改變所有規則的狀態。
第二：點擊<新增>按鈕，增加基於使用者的流控規則，如下圖：
图72. 新增流控規則
參數說明：
¾ 規則名稱：合法的字元是數位(0-9)，字母(A-Z，a-z)和底線，中劃線及中文漢字。
¾ 地址：內網使用者主機位址或者使用者組名稱，可輸入 IP 地址、選擇地址簿或用戶組。位址簿在
【系統物件 > 地址簿】中配置，使用者組在【組織管理 > 組織結構】中配置。
¾ 最大上傳頻寬：限制單個IP/用戶的上傳總頻寬，包含特定服務頻寬值。
¾ 最大下載頻寬：限制單個IP/用戶的下載總頻寬，包含特定服務頻寬值。
¾ 來源會話數：限制單個IP/用戶的來源會話數。
¾ 目的會話數：限制單個IP/使用者的目的會話數。
¾ 生效時間：選擇此規則的生效時間，在“系統物件”中預先配置時間計畫。
¾ 頻寬細分配：預設為“禁用”；當“啟用”時，將顯示“頻寬細分配”配置頁面。“頻寬細分配”
是指限制某個主機的最大頻寬的同時，可以再對這個主機的某些服務限制一定頻寬，可以配置三組，
每組可以包含多個服務。如下圖：
图73. 頻寬細分配
點擊<清除>按鈕，刪除本組服務與頻寬的配置，恢復到“未配置”狀態。
點擊<配置>按鈕，進入服務與頻寬配置頁面，如下圖：
图74. 頻寬細分配
此配置頁面可以選擇需要單獨進行流量控制的服務，每種類型的服務用一個分頁列出，一次可以選擇多
個服務類型，每個類型可以選擇多種服務。頁面上端的“最大上傳頻寬”和“最大下載頻寬”是控制這些選
中的服務的最大頻寬。再點擊<確定>按鈕，返回新增“新增使用者流控規則”頁面。
提示：
1、 “頻寬細分配”中的最大頻寬應小於或等於本規則的最大頻寬。
15 行為管理
“行為管理”包括認證策略、上網行為策略、組織結構、認證選項、認證伺服器、黑名單管理、線上用
戶等七部分。
15.1.1 認證策略
功能描述：定義認證的條件、認證方式及使用的認證伺服器。策略規則的匹配原則是按順序從前往後匹配，
即從第一條規則開始順序匹配，一旦遇到一條匹配的規則就停止，所以序號越小的規則優先順序越高。
配置路徑：【行為管理】> 【認證策略】
配置描述：
第一：進入【認證策略】配置頁面，如下圖：
图75. 認證策略列表
點擊<刪除所有>，刪除所有的認證策略。
點擊<刪除>，刪除本條認證策略。
點擊<修改>，修改本條認證策略。
點擊<插入>，在當前位置插入一條認證策略。
點擊<移動>，改變認證策略的序號。
改變狀態列核取方塊的值，再點擊<修改狀態>，可修改認證策略的狀態(“勾選”表示啟用，“不勾選”表示
禁用)。點擊表頭的“狀態”核取方塊，可以改變所有認證策略的狀態。
提示：
1、沒有配置任何策略的情況下，系統預設以 IP 位址作為新用戶名，自動加入到根組(Root)，並自
動綁定 IP 位址。
第二：點擊<新增>，新增認證策略，如下圖：
图76. 新增認證策略 1
图77. 新增認證策略 2
參數說明：
¾ 名稱：認證策略的名稱。
¾ IP 地址：匹配認證條件的內網地址。
¾ 認證方式：根據內網位址的 IP 位址來判斷使用者採取的認證方式，共有如下五種：
新用戶以 IP 地址作為用戶名：內網使用者不需要密碼認證，並且當該使用者不在組織結構中
時，自動以用戶的 IP 位址為用戶名。
新用戶以 MAC 地址作為用戶名：內網使用者不需要密碼認證，並且當該使用者不在組織結構中

時，自動以用戶的 MAC 位址為用戶名。
新使用者以主機名作為用戶名：內網使用者不需要密碼認證，並且當該使用者不在組織結構中
時，自動以用戶的主機名稱。
新用戶以 VLAN ID 作為用戶名：內網使用者不需要密碼認證，並且當該使用者不在組織結構中

時，自動以用戶的 VLAN ID 位址為用戶名。
到伺服器去認證：內網使用者需要用戶名和密碼認證，並選擇認證伺服器。
¾ 自動添加到組織結構：認證成功的新使用者自動添加到組織結構中去，新使用者指不在組織結構中
的使用者。“所屬組”表示自動添加到那個組，點擊輸入框後面的<選擇>按鈕，可選擇組。
¾ 自動綁定：在自動添加使用者時，是否要配置綁定檢查。隨著選擇認證方式不同，自動綁定選項也
稍微有區別，具體如下：
新用戶以 IP 地址作為用戶名：可以選擇為“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

MAC”，預設已選擇“綁定 IP”。
新用戶以 MAC 地址作為用戶名：可以選擇為“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

MAC”，預設已選擇“綁定 MAC”。
新使用者以主機名作為用戶名：可以選擇為“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

MAC”，預設已選擇“綁定 IP”。
新用戶以 VLAN ID 作為用戶名：只能且必須選擇為“綁定 VLAN”。
到伺服器去認證：可以選擇為“無綁定”、“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

MAC”，預設已選擇“無綁定”。
狀態：啟用或禁用本策略，默認啟用。
15.2 上網行為策略
“上網行為策略”用於設置內網用戶的上網策略，上網策略包括“URL 過濾”、“關鍵字過濾”、“檔案
傳輸過濾”、“即時通訊過濾”和“郵件過濾”等幾部分。每個策略物件可以同時設置這 5 部分的內容。
這裡設置的上網策略物件可以同時被多個使用者組或用戶引用，從而對內網用戶進行上網行為的控制。
引用方式詳見：修改根組、新增子組、修改子組、新增普通用戶、新增認證用戶、修改用戶。配置介面如下：
图78. 上網策略對象
郵件管理：開啟郵件管理模組，啟用後方可記錄郵件內容或進行郵件過濾。
點擊<刪除所有>，刪除所有的上網策略物件。
點擊<刪除>，刪除某條上網策略對象。
點擊<修改>，修改本條上網策略對象。
15.2.1 URL 過濾
功能描述：對 URL 的 HTTP Get 進行過濾。
配置路徑：【行為管理】>【上網行為策略】
配置描述：
第一：進入【上網行為策略】頁面，點擊<新增>按鈕，增加上網策略對象。
第二：選擇“URL 過濾 > 內置 URL 庫”，配置“生效時間”，勾選需要過濾的 URL 條目的“阻斷”核取方

塊，“未勾選”的條目表示允許。如下圖：
图79. 上網行為策略-URL 過濾
“自訂 URL 庫”的過濾與“內置 URL 庫”的過濾方法相同，只是需要先定義 URL 分組，詳見 URL 庫的配置。
提示：
1、 URL 條目遵循從按順序從前往後匹配的原則，如果一個條目匹配了，就不會再向下匹配，所以
序號小的條目優先順序高。
2、未勾選“阻斷”的條目視為“允許”，將不被過濾。
15.2.2 關鍵字過濾
功能描述：1、對在搜尋引擎中搜索的關鍵字進行過濾，即阻止某些關鍵字的搜索。2、對論壇發帖的內容進
行關鍵字進行過濾，即阻止包括某些關鍵字的帖子發送。
配置描述：
第一：進入【上網行為策略】頁面，點擊<新增>按鈕，增加上網策略對象。或者繼續前面新增“辦公室組”
策略物件的基礎上配置關鍵字過濾。
第二：選擇“關鍵字過濾 > 引擎搜索”，配置“生效時間”，勾選需要過濾的關鍵字條目的“阻斷”核取方

塊，“未勾選”的條目表示不過濾。如下圖：
图80. 上網策略對象-關鍵字過濾
第三：選擇“關鍵字過濾 > 發帖內容”，配置“生效時間”，勾選需要過濾的關鍵字的“阻斷”核取方塊，

“未勾選”的條目表示不過濾。如下圖：
图81. 上網策略對象-關鍵字過濾
設定檔過濾前需要先配置關鍵字組，詳見關鍵字組的配置。

提示：只有“勾選”的條目才被過濾。
15.2.3 檔案傳輸過濾
功能描述：通過檔尾碼名的方式對 HTTP/FTP 檔的上傳和下載進行過濾。
配置描述：
策略物件的基礎上設定檔傳輸過濾。
第二：選擇“檔案傳輸過濾 > HTTP 上傳”，配置“生效時間”，勾選需要過濾的檔案類型條目的“阻斷”核

取方塊，“未勾選”的條目表示不過濾。如下圖：
图82. 上網行為策略-檔案傳輸過濾
HTTP 下載、FTP 上傳和 FTP 下載的配置方法同 HTTP 上傳。
設定檔過濾前需要先設定檔類型，詳見檔案類型的配置。
提示：只有“勾選”的條目才被過濾。
15.2.4 即時通訊過濾
功能描述：拒絕 MSN /YMSG/AIM/ICQ 的文字聊天、語音聊天或檔案傳輸，拒絕 QQ/TM 的登錄。
配置描述：
第二：選擇“即時通訊過濾”，勾選需要過濾的項，配置“生效時間”。如下圖：
图83. 上網行為策略-即時通訊過濾
提示：
1、對於 MSN /YMSG/AIM/ICQ，可以部分拒絕或完全拒絕。勾選了某個軟體的“登錄”，則表示
完全拒絕此軟體的使用。
2、 QQ/TM 只能完全拒絕。
15.2.5 郵件過濾
功能描述：用於對內網用戶使用郵件用戶端(POP3/SMTP/WebMail)協定收發郵件時，對收發郵寄地址、郵件主
題、郵件內容及附件進行檢查，對符合郵件過濾條件的郵件進行過濾。
配置描述：
第二：選擇“郵件過濾”，配置過濾條件。如下圖：
图84. 上網行為策略-即時通訊過濾
參數說明：
¾ 寄件者過濾：可選擇<不允許寄件者的郵寄地址包含以下尾碼>或<僅允許寄件者的郵寄地址包含以下
尾碼>。比如：只允許尾碼為 yahoo.com.cn 的人發郵件，則選擇<僅允許寄件者的郵寄地址包含以
下尾碼>，在後面的文字方塊中進入“yahoo.com.cn”
¾ 主題和內容關鍵字過濾：對發送郵件的主題及內容的關鍵字進行過濾。
¾ 附件過濾：對郵件附件的檔案類型進行過濾。比如：過濾檔案類型為“exe”的附件，則在文字方塊
中輸入“*.exe”
提示：
1、如某個條件未配置任何值，則不檢查此項內容。
2、 <寄件者過濾>、<主題和內容關鍵字過濾>、<附件過濾>中任何一個條件滿足，就會被過濾。
15.3 組織管理
“組織管理”包括組織結構的手動創建、批量導入、LDAP/AD 導入、掃描內網主機。
15.3.1 組織結構
通過設備提供的 Web 管理介面，可以輸入、維護使用者和組的資訊，從而建立起和本單位實際組織結構相一
致的組織資訊。用戶和組的維護功能包括新建、刪除、更新、改變所屬關係、綁定 MAC 位址。
15.3.1.1 定位並選中當前操作物件
功能描述：在針對用戶和組操作時，應首先流覽、定位、選中當前要操作的用戶或組。
配置路徑：【行為管理】>【組織管理】>【組織結構】
配置描述：
第一：進入【組織結構】頁面，在下圖中，點擊左邊的組織結構中的節點，右邊的清單中將顯示該組織的成
員，可以通過右面列表中的核取方塊選擇要操作的用戶或組。如下圖：
图85. 組織結構-定位當前操作物件
左邊是當前所有使用者組的樹型結構，預設有一個 Root 根組，所有建立的組和用戶都在根組之下。右邊是左

邊已定為的組所包含的所有直屬用戶和子組。名稱列圖示為兩個人的表示子組，圖示為一個人且顏色為彩色
的表示線上使用者，圖示為一個人且顏色為黑白的表示離線用戶。
第二：若想查看或編輯當前組下面的用戶和子組，點擊右邊列表中名稱列子組或使用者應的連結。
15.3.1.2 修改根組
功能描述：修改根組的名稱、上網策略、黑名單控制。
配置描述：
第一：進入【組織結構】頁面，點擊頂部的<修改根組>按鈕，彈出“修改根組”頁面，如下圖：
图86. 組織結構-修改根組
參數說明：
組名：根組的名稱，預設 Root，可填入需要修改的名稱。
上網策略：引用上網策略物件裡面已配置好的條目。預設不控制，即不對上網做任何限制。
黑名單控制：引用黑名單規則裡已配置好的條目。預設不控制，即不做黑名單控制。黑名單規則配置詳
見黑名單規則部分。
強制繼承：強制子組和所含用戶繼承上網策略和黑名單控制的配置，預設未啟用。啟用後，所有的用戶
和子組的上網策略和黑名單控制都被修改為根組的配置。
15.3.1.3 新增子組
功能描述：新增子組，並設置子組的上網策略和黑名單控制。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，點擊頂部的<新增子組>按鈕，彈出“新增子組”頁面，
如下圖：
图87. 組織結構-新增子組
參數說明：
組名：子組的名稱，一次可以創建多個子組，一行一個組名，支援漢字、數位、字母、底線、中劃線。
所屬組：預設已經填好剛才進入新增頁面時的父組，也可以點擊後面的<選擇>，就出現選擇用戶組的框，
可改變父組。
上網策略：引用上網策略物件裡面已配置好的條目。預設繼承父組配置，也可選擇自己獨立的配置。
黑名單控制：引用黑名單規則裡已配置好的條目。預設繼承父組配置，也可選擇自己獨立的配置。黑名
單規則配置詳見黑名單規則部分。
15.3.1.4 修改子組
功能描述：修改子組的配置上網策略和黑名單控制。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，點擊右邊列表中名稱列對應的子組的連結。比如要修改 Root
下面的 cctv-1。先定位到 Root，然後點擊名稱列的 cctv-1，如下圖：
图88. 組織結構-修改子組
第二：進入子組的修改頁面，填入需要修改的值。如下圖：
图89. 組織結構-修改子組
參數說明：
組名：子組的名稱，不可修改。
所屬組：點擊後面的<選擇>按鈕，出現選擇使用者組的框，可改變父組。
上網策略：引用上網策略物件裡面已配置好的條目。
黑名單控制：引用黑名單規則裡已配置好的條目。黑名單規則配置詳見黑名單規則部分。
強制繼承：強制子組和所含用戶繼承上網策略和黑名單控制的配置，預設未啟用。啟用後，所含用戶和
子組的上網策略和黑名單控制都被修改為本組的配置。
15.3.1.5 新增普通用戶
功能描述：新增普通用戶，並設置子組的上網策略和黑名單控制。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，點擊頂部的<新增使用者>按鈕，彈出“新增使用者”頁
面，使用者類型選擇“普通用戶”。如下圖：
图90. 組織結構-新增普通使用者
參數說明：
用戶名：用戶名稱。
顯示名：用戶的別名，如果是以用戶的 IP、MAC、主機名稱等為用戶名，在顯示名處可填入用戶真實的姓
名，在統計的時候就會看到真實的姓名，方便記憶。
可改變父組。
用戶類型：普通使用者表示不需密碼認證的使用者，認證用戶表示在上網之前需要輸入用戶名和密碼認
證的使用者。
綁定檢查：用來綁定 IP、MAC、IP+MAC 和 VLAN ID，以保證過濾策略的準確有效。普通用戶和認證用戶

的綁定含義不盡相同，後面將詳細描述。
狀態：正常或凍結。正常表示該用戶可用，凍結表示暫時不可用。
15.3.1.6 新增認證用戶
功能描述：新增普通用戶，並設置子組的上網策略和黑名單控制。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，點擊頂部的<新增使用者>按鈕，彈出“新增使用者”頁
面，“使用者類型”選擇“認證用戶”。如下圖：
图91. 組織結構-新增認證使用者
參數說明：
用戶名：用戶名稱。
顯示名：用戶的別名，如果是以用戶的 IP、MAC、主機名稱等為用戶名，在顯示名處可填入用戶真實的姓
可改變父組。
用戶類型：普通使用者表示不需密碼認證的使用者。認證使用者表示在上網之前需要輸入用戶名和密碼
認證的使用者。
綁定檢查：用來綁定 IP、MAC、IP+MAC 和 VLAN ID，以保證過濾策略的準確有效。普通用戶和認證用戶

的綁定含義不盡相同，後面將詳細描述。
認證方式：包括本地認證、到伺服器去認證。本地認證表示在帳號放於設備本地，這時候需要為使用者
設置密碼。到伺服器去認證，表示到外部伺服器去認證，不用設置密碼。外部伺服器包括：Radius 伺服
器、LDAP 伺服器、AD 伺服器、POP3 服務。
公用帳號：表示可以多人同時使用同一帳號登錄，0 表示不限制登錄人數。當超出登錄人數時，處理方
法包括：
¾ 本次登錄失敗。
¾ 註銷已認證的摸個登錄，本次認證成功。
有效期：用戶有效期，當有效期到了，就自動將該使用者從設備中刪除。默認為“永遠有效”。
狀態：正常或凍結。正常表示該用戶可用，凍結表示暫時不可用。
15.3.1.7 修改用戶
功能描述：修改使用者的配置。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，點擊右邊列表中名稱列對應的使用者的連結。比如要修
改 Root/cctv-1 下面的 Susan 用戶。先定位到 Root/cctv-1，然後點擊名稱列的 Susan 使用者的連結，如下
圖：
图92. 組織結構-修改使用者
第二：進入使用者的修改頁面，填入需要修改的值。如下圖：
图93. 組織結構-修改使用者
15.3.1.8 綁定檢查
綁定檢查用來綁定 IP、MAC、IP+MAC 和 VLAN ID，以保證過濾策略的準確有效。普通用戶和認證用戶的

綁定含義不盡相同，後面將詳細描述。
¾ 普通用戶：必須要選擇一個綁定檢查條件，即在 IP、MAC、IP+MAC 和 VLAN ID 的綁定檢查條件中選

擇一個，預設選擇了“綁定 IP”。當綁定 IP、或綁定 MAC、或綁定 VLAN ID 時，表示符合綁定條件
的流量會被統計到該用戶名上。當綁定 IP+MAC 時，表示符合綁定條件的流量會被統計到該用戶名上
的同時，還會對 IP 和 MAC 進行綁定檢查，如果 IP 和 MAC 位址不相符，就不能上網。
¾ 認證用戶：預設選擇“不綁定”，即沒有綁定任何條件。也可在 IP、MAC、IP+MAC 和 VLAN ID 的綁

定檢查條件中選擇一個。當綁定了任何條件，認證時，用戶名必須要和綁定條件一致，才能認證成
功，否則認證失敗，主要是為了防止用戶名被盜用。比如，用戶名為 Tom 的用戶綁定了 IP 為
172.16.5.3，那麼只有從 IP 位址為 172.16.5.3 的機器上用“Tom”的用戶名進行認證才能認證成功。
15.3.1.8.1 綁定 IP
功能描述：綁定用戶的IP地址。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，然後進入新增或修改使用者頁面，進行 IP 綁定。下面以
新增使用者頁面來說明，如下圖：
图94. 組織結構-綁定 IP
第二：在綁定檢查一行，選擇“綁定 IP”，輸入需要綁定的 IP 位址。一個用戶可以綁定一個或多個 IP 位址。

IP 位址格式範例為： 192.168.1.1 或 192.168.1.5-192.168.1.9 或 192.168.0.0/255.255.0.0 或
192.168.0.0/16 。
<清空清單>按鈕可以清空輸入框內已填入的 IP 位址。
15.3.1.8.2 綁定 MAC
功能描述：綁定用戶的 MAC 地址。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，然後進入新增或修改使用者頁面，進行 MAC 綁定。下面

以新增使用者頁面來說明，如下圖：
图95. 組織結構-綁定 MAC
第二：在綁定檢查一行，選擇“綁定 MAC”，輸入需要綁定的 MAC 位址。一個用戶可以綁定一個或多個 MAC 位

址。MAC 位址格式範例為：00:24:8C:51:24:22 或 00:19:e0:2b:92:c4#(172.16.3.126)，括弧裡面的 IP 地址
是對 MAC 的注釋。
<清空清單>按鈕可以清空輸入框內已填入的 MAC 位址。
<掃描 MAC 位址>按鈕可以掃描某個（些）IP 的 MAC 位址。點擊<掃描 MAC 位址>，然後在“掃描起始 IP”和“掃

描結束 IP”裡面填入要掃描的 IP 位址，再點擊<立即掃描>按鈕，即可掃描出對應 IP 的 MAC 位址。如下圖：
图96. 組織結構-綁定 MAC-掃描 MAC
掃描的結構會自動填入輸入框內，MAC 位址後面的 IP 是表示改 MAC 當前對應的 IP 位址，是對 MAC 的一種注釋。
提示：
1、此處的掃描 MAC 位址是設備通過 NetBIOS 協定去掃描的，而不是依靠的 SNMP 協議去

第三層交換機上獲取，所以此處的掃描需要內網電腦支援並啟用了 NetBIOS 協議，且第三
層交換機沒有對 NetBIOS 協議做限制。
2、當跨第三層交換機的網路需要綁定 MAC 位址時，必須開啟 SNMP 選項功能。具體配置詳

見【行為管理 > 認證選項 > SNMP 設置】
15.3.1.8.3 綁定 IP+MAC
功能描述：綁定用戶的 IP 和 MAC 地址。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，然後進入新增或修改使用者頁面，進行 IP+MAC 綁定。下

面以新增使用者頁面來說明，如下圖：
图97. 組織結構-綁定 IP+MAC
第二：在綁定檢查一行，選擇“同時綁定 IP 和 MAC”，輸入需要綁定的 IP 和 MAC 位址。一個用戶可以綁定一

個或多個 IP+MAC。格式範例為 192.168.1.2(00:24:8C:51:24:23)。
<清空清單>按鈕可以清空輸入框內已填入的 IP+MAC 位址。
<掃描 MAC 位址>按鈕可以掃描某個（些）IP 的 MAC 位址。點擊<掃描 MAC 位址>，然後在“掃描起始 IP”和“掃

描結束 IP”裡面填入要掃描的 IP 位址，再點擊<立即掃描>按鈕，即可掃描出對應 IP 的 MAC 位址。如下圖：
图98. 組織結構-綁定 IP+MAC-掃描 MAC
提示：
3、此處的掃描 MAC 位址是設備通過 NetBIOS 協定去掃描的，而不是依靠的 SNMP 協議去

第三層交換機上獲取，所以此處的掃描需要內網電腦支援並啟用了 NetBIOS 協議，且第三
層交換機沒有對 NetBIOS 協議做限制。
4、當跨第三層交換機的網路需要綁定 MAC 位址時，必須開啟 SNMP 選項功能。具體配置詳

見【行為管理 > 認證選項 > SNMP 設置】
15.3.1.8.4 綁定 VLAN
功能描述：綁定用戶的 VLAN ID。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，然後進入新增或修改使用者頁面，進行 VLAN 綁定。下面

以新增使用者頁面來說明，如下圖：
图99. 組織結構-綁定 VLAN
第二：在綁定檢查一行，選擇“綁定 VLAN”，輸入需要綁定的 VLAN ID。一個用戶可以綁定一個或多個 VALN。

格式範例：108 或 121-123。
<清空清單>按鈕可以清空輸入框內已填入的 VLAN ID。
當封包裡攜帶的 VLAN Tag 與綁定的 VLAN ID 不一致時，表示綁定檢查失敗。
15.3.1.9 匯出用戶和組
功能描述：匯出使用者和組的配置。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，勾選要匯出的組和用戶，然後點擊<匯出>按鈕，如下圖：
图100. 組織結構-匯出使用者和組
第二：將選中的用戶和組保存到 PC。如下圖：
15.3.1.10 移動用戶和組
功能描述：移動用戶和子組的到另外一個父組下。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，勾選要移動的組和用戶，然後點擊<移動>按鈕，如下圖：
图101. 組織結構-移動使用者和組
第二：彈出移動框，然後輸入將被移動到的目的組的路徑。也可以點擊輸入框後面的<選擇>按鈕，選擇目的
組。如下圖：
图102. 組織結構-移動使用者和組
第三：選擇好目的組後，點擊目的組下面的<移動>按鈕，移動已選中的用戶和組。
15.3.1.11 刪除用戶和組
功能描述：刪除用戶和組。
配置描述：
第一：進入【組織結構】頁面，流覽定位相應的組，勾選要刪除的組和用戶，然後點擊<刪除>按鈕，如下圖：
图103. 組織結構-刪除使用者和組
第二：彈出詢問框“確定要刪除嗎? ”，點擊<確定>即刪除選中的用戶和組，點擊<取消>回到原來頁面。
15.3.1.12 查詢用戶和組
功能描述：查詢用戶和組。
配置描述：
第一：進入【組織結構】頁面，然後點擊<查詢>按鈕，彈出查詢框。如下圖：
图104. 組織結構-刪除使用者和組
第二：輸入查詢準則，然後點擊<查詢>按鈕，查詢整個組織結構中符合條件的使用者或組。
15.3.2 批量導入
功能描述：手動將已匯出的組織結構檔，或者自訂的檔批量導入。
配置路徑：【行為管理】>【組織管理】>【批量導入】
配置描述：進入【批量導入】頁面，如下圖：
图105. 組織結構-批量導入
參數說明：
¾ 檔案類型：包括“已匯出檔”和“自訂檔”兩種類型。已匯出檔表示從設備組織結構中匯出的檔，可包
含組和用戶，以及對應的所屬組。自訂檔表示自訂格式，只能導入用戶到某個組，支援 xls 格式。點擊
<範例>按鈕，可以查看檔範例。
¾ 檔位置：點擊<流覽>按鈕，選擇要導入的檔。
¾ 所屬組：點擊<選擇>按鈕，選擇將要導入的子組和用戶放于哪個父組下面。
¾ 衝突處理：當導入的用戶或組已經存在時，是否要覆蓋。
15.3.3 LDAP 導入
功能描述：通過 LDAP 伺服器導入和更新使用者資訊。
配置路徑：【行為管理】>【組織管理】>【LDAP/AD導入】
配置描述：
第一：進入【LDAP/AD導入】頁面，如下圖：
图106. 組織結構-LDAP 導入
第二：配置各個參數，參數說明如下：
¾ 伺服器類型：選擇“LDAP 伺服器”。
¾ 伺服器地址：運行 LDAP 服務的伺服器 IP 位址。
¾ 伺服器埠：LDAP 服務的埠，預設值 389。
¾ 導入入口：確定導入使用者資料的導入點，由功能變數名稱和用戶組名組成。格式為：[ ou=2 級用戶組，

ou=1 級用戶組，dc=N 級功能變數名稱，……，dc=2 級功能變數名稱，dc=1 級功能變數名稱]。
¾ 衝突處理：更新時是否覆蓋已有用戶，“勾選”表示覆蓋，“不勾選”表示保留已有用戶。
¾ 自動更新：定時自動同步 LDAP 伺服器上的使用者和組資訊，預設未啟用。點擊<啟用>按鈕，選擇自動更

新的時間，頁面如下：
图107. 組織結構-LDAP 導入
第三：點擊<確定>按鈕，以上參數配置成功。
第四：點擊<立即導入>按鈕後，會出現“導入時將刪除原有組織結構資訊，確定要導入嗎？”的提示。點擊<
確定>，刪除原有組織結構資訊並立即導入 LDAP 伺服器上的使用者和組資訊。
第五：點擊<立即更新>按鈕，可將 LDAP 伺服器上的更新部分的組和使用者同步到設備。
15.3.4 AD 導入
功能描述：通過 AD 伺服器導入和更新使用者資訊。
配置路徑：【行為管理】>【組織管理】>【LDAP/AD導入】
配置描述：
第一：進入【LDAP/AD導入】頁面，如下圖：
图108. 組織結構-AD 導入
第二：配置各個參數，參數說明如下：
¾ 伺服器類型：選擇“AD 伺服器”。
¾ 伺服器地址：運行 AD 服務的伺服器 IP 位址。
¾ 伺服器埠：AD 服務的埠，預設值 389。
¾ 導入入口：確定導入使用者資料的導入點，由功能變數名稱和用戶組名組成。格式為：[ ou=2 級用戶組，

ou=1 級用戶組，dc=N 級功能變數名稱，……，dc=2 級功能變數名稱，dc=1 級功能變數名稱]。
¾ 用戶名：AD 中任何一個用戶的名稱。
¾ 密碼：對應上面輸入的用戶名的密碼。
¾ 衝突處理：更新時是否覆蓋已有用戶，“勾選”表示覆蓋，“不勾選”表示保留已有用戶。
¾ 自動更新：定時自動同步 LDAP 伺服器上的使用者和組資訊，預設未啟用。點擊<啟用>按鈕，選擇自動更

新的時間，頁面如下：
图109. 組織結構-AD 導入
第三：點擊<確定>按鈕，以上參數配置成功。
第四：點擊<立即導入>按鈕後，會出現“導入時將刪除原有組織結構資訊，確定要導入嗎？”的提示。點擊<
確定>，刪除原有組織結構資訊並立即導入 AD 伺服器上的使用者和組資訊。
第五：點擊<立即更新>按鈕，可將 AD 伺服器上的更新部分的組和使用者同步到設備。
15.3.5 掃描內網主機
功能描述：通過 NetbIOS 協定掃描內網的主機資訊。
配置路徑：【行為管理】>【組織管理】>【掃描內網主機】
配置描述：
第一：進入【掃描內網主機】頁面，如下圖：
图110. 組織結構-掃描內網主機
第二：在“IP 位址”輸入框內輸入要掃描的 IP 位址，格式範例為：192.168.1.1 或 192.168.1.5-192.168.1.9

或 192.168.0.1/24。最大只能輸入 C 類位址。
第三：點擊<立即掃描>按鈕，掃描當前開機的主機。然後在“掃描結果清單”將列出掃描到的主機。如上圖，
掃描結果將列出每個主機的 IP 位址、MAC 位址和主機名稱，以及“是否已加入組織結構”。“是否已加入組
織結構”一列有顯示掃描到的使用者是否已經在組織結構中。“否”表示不在組織結構中，“是”表示已經
在組織結構中，括弧後面表示所屬組路徑及用戶名。
第四：點擊<清空清單>按鈕，可清空當前掃描結果清單。
第五：勾選掃描到的主機，再點擊<加入組織結構>按鈕，彈出將掃描到的主機加入組織結構的介面，如下圖：
參數說明：
¾ 用戶名：通過單選框可以選擇以 IP、MAC 或者主機名稱為用戶名，預設以 IP 地址作為用戶名。
¾ 顯示名：用戶的別名，如果是以用戶的 IP、MAC、主機名稱等為用戶名，在顯示名處可填入用戶真實的姓
¾ 綁定 IP：主機的 IP 位址。勾選“綁定 IP”前的核取方塊，表示添加用戶時自動綁定 IP 位址。
¾ 綁定 MAC：主機的 MAC 位址。勾選“綁定 MAC”前的核取方塊，表示添加用戶時自動綁定 MAC 位址。
¾ 主機名稱：主機名稱。
¾ 所屬組：將用戶添加到哪個組下。點擊表頭的<選擇所有用戶的組>，選擇所有用戶的組。點擊每個使用
者後面對應的<選擇>按鈕，選擇希某個使用者的組。如下圖：
15.4 認證選項
認證選項包含 SNMP 設置、認證參數和未認證許可權的配置。
15.4.1 SNMP 設置
功能描述：用在第三層環境下綁定 MAC 或綁定 IP+MAC 進行上網認證的實現方式。設備將主動去讀取第三
層交換機上的內網主機的 MAC 位址。
配置路徑：【行為分析】>【認證選項】>【SNMP 設置】，配置頁面如下：
图113. SNMP 設置
參數說明：
¾ 功能狀態：選擇<啟用>或<禁用>開啟或關閉“SNMP設置”功能。當跨第三層交換機的網路需要綁定
MAC 位址時, 必須開啟此功能。
¾ SNMP伺服器列表：第三層交換機的 IP 地址、MAC 地址、SNMP 的 Oid 和第三層交換機的

community。一行一個伺服器, 最多支持64個。格式為：IP/MAC/Oid/Community，IP 和 MAC 為第三
層交換機離設備最近的介面的 IP 和 MAC 位址。Oid一般為 .1.3.6.1.2.1.4.22.1.2
和 .1.3.6.1.2.1.3.1.1.2，例如：
192.168.2.1/00:01:03:0A:EF:03/.1.3.6.1.2.1.4.22.1.2/public
¾ 超時設置：訪問第三層交換機的超時時間。保持預設值即可。
¾ 訪問間隔：訪問第三層交換機的間隔，用於配置設備多久去第三層交換機上取一次內網用戶的 MAC
位址表。保持預設值即可。
提示：
3、如果啟用“SNMP 選項”功能，第三層交換機必須支援 SNMP 服務，且正確配置第三層交換

機的 Community 和 SNMP 版本（版本為 v2）
。
4、比如，在實例中內網有 3 台第三層交換機，其中一台為核心交換機，另外兩台分別為連接到核
心交換機的第三層交換機 A 和 B，A 和 B 分別連接到內網的兩個部門。則三台交換機的
IP/MAC/Oid/Community 都必須填入到 SNMP 伺服器列表中。核心交換機不要求一定能支持
SNMP，但是設置 SNMP 選項時必須要把核心交換機的 IP、MAC 填寫進去，在不支援 SNMP 時，
oid 和 community 可以隨便設置。
15.4.2 認證參數
功能描述：設置用戶端 WEB 認證視窗登錄介面設置
配置路徑：【行為管理】>【認證選項】>【認證參數】，配置頁面如下：
图114. 配置認證參數
參數說明：
¾ 使用者語言：選擇認證介面顯示的語言。
¾ 認證埠：預設 80。
¾ 認證超時：認證成功後，在設定的時間內沒有流量，認證用戶自動下線。
¾ 認證頁面歡迎語：自訂認證介面歡迎語，預設是“使用者身份認證系統”。
¾ 認證成功頁面：認證成功後 IE 流覽器自動跳轉到相應的網頁。
¾ 公告資訊：管理員可以設置一些資訊公告給每個使用者，將在認證用戶端頁面顯示。
¾ 黑名單公告資訊：管理員可以設置一些資訊公告給每個使用者，將在使用者進入黑名單時顯示到用
戶端。
15.4.3 未認證許可權
功能描述：設置認證失敗或未認證用戶的許可權。
配置路徑：【行為管理】>【認證選項】 >【未認證許可權】，配置頁面如下：
图115. 配置認證參數
當用戶未通過認證時，可以訪問 DNS 和 Ping 服務。如果不勾選，未通過認證的使用者不能訪問任何服務。
15.5 認證伺服器
認證伺服器包括 RADIUS 伺服器、AD 伺服器、LDAP 伺服器和 POP3 伺服器。
15.5.1 RADIUS 伺服器

功能描述：配置 RADIUS 認證伺服器。
配置路徑：【用戶認證】>【認證伺服器】>【RADIUS 伺服器】
配置描述：
第一：進入【RADIUS 伺服器】頁面，如下圖：
图116. RADIUS 伺服器配置清單
第二：點擊<新增>按鈕，配置 RADIUS 認證伺服器，如下圖：
图117. 新增 RADIUS 伺服器

參數說明：
¾ 名稱：合法的字元是數位(0-9)，字母(A-Z，a-z)和底線，中劃線及中文漢字。
¾ IP地址：RADUIS伺服器IP地址。
¾ 認證埠：伺服器中用於認證的埠號，預設 1812。
¾ 共用金鑰：與RADUIS伺服器交換資料時進行加密的金鑰。
15.5.2 AD 伺服器
功能描述：配置 AD 認證伺服器。
配置路徑：【用戶認證】>【認證伺服器】>【AD 伺服器】
配置描述：
第一：進入【AD 伺服器】頁面，如下圖：
图118. AD 伺服器配置清單
第二：點擊<新增>按鈕，配置 AD 認證伺服器，如下圖：
图119. 新增 AD 伺服器
參數說明：
¾ IP地址：AD伺服器IP地址。
¾ AD功能變數名稱：網域控制站功能變數名稱，例如 abc.com。
¾ 查找用戶DN：AD 伺服器中的用戶認證是基於用戶 DN 完成的，為了完成認證用戶名到 AD域使用者

DN 的轉換，需要根據使用者輸入的用戶名在 AD 伺服器中執行查找操作。例如，功能變數名稱＝
abc.com，用戶組為 software，用戶名為 searcher，則查找用戶 DN 的格式為
cn=searcher,cn=software,dc=abc,dc=com。如果不知道用戶的 DN，可以在 AD 伺服器的 Doc 介面
執行 dsquery user 命令，即可顯示 AD 伺服器中使用者的 DN。
¾ 查找用戶名密碼：查找使用者在 AD 伺服器中的密碼。
15.5.3 LDAP 伺服器

功能描述：配置 LDAP 認證伺服器。
配置路徑：【用戶認證】>【認證伺服器】>【LDAP 伺服器】
配置描述：
第一：進入【LDAP 伺服器】頁面，如下圖：
图120. LDAP 伺服器配置清單
第二：點擊<新增>按鈕，配置 LDAP 認證伺服器，如下圖：
图121. 新增 LDAP 伺服器

參數說明：
¾ IP地址：LDAP 伺服器IP地址。
¾ 認證埠：伺服器中用於認證的埠號，預設為 389。
¾ DN：LDAP 伺服器用通用名稱識別字搜索具體條目時所使用的路徑，如
cn=searcher,cn=software,dc=abc,dc=com。
¾ CN：識別在 LDAP 伺服器中輸入的個體的識別字，如 cn=uid 。
15.5.4 POP3 伺服器

功能描述：配置 POP3 認證伺服器。
配置路徑：【用戶認證】>【認證伺服器】>【POP3 伺服器】
配置描述：
第一：進入【POP3 伺服器】頁面，如下圖：
图122. POP3 伺服器列表
第二：點擊<新增>按鈕，配置 POP3 認證伺服器，如下圖：

图123. 新增 POP3 伺服器
參數說明：
¾ IP/功能變數名稱：POP3伺服器IP地址或功能變數名稱。
15.6 黑名單管理
為了防止網路資源的濫用和方便管理員管理使用者，設備支援將超量使用網路資源(流量、頻寬、會話)
的用戶加入黑名單，以示懲罰。對進入黑名單的用戶可以採取懲罰機制，懲罰期限到了之後，該使用者又可
以正常使用網路。使用黑名單功能，需先定義黑名單規則，然後在【行為管理 > 組織管理 > 組織結構】的
使用者和子組中引用黑名單規則。
15.6.1 黑名單規則
功能描述：將超量使用網路資源(流量、頻寬、會話)的用戶加入黑名單，以示懲罰。
配置路徑：【行為管理】>【黑名單管理】>【黑名單規則】
配置描述：
第一：進入【黑名單規則】配置頁面，如下圖：
图124. 黑名單規則
第二：點擊<新增>按鈕，增加黑名單規則，如下圖：
图125. 新增黑名單規則
參數說明：
¾ 名稱：黑名單規則的名稱。
¾ 每日流量配額：每天允許使用的流量值，總流量、上傳流量、下載流量三個值獨立計算。
¾ 每週流量配額：每天允許使用的流量值，總流量、上傳流量、下載流量三個值獨立計算。
¾ 每月流量配額：每天允許使用的流量值，總流量、上傳流量、下載流量三個值獨立計算。
¾ 最大速率：連續多少分鐘內，速率超過一定閥值，上傳速率和下載速率分開計算。
¾ 最大會話數：連續多少分鐘內，速率超過一定閥值，上傳速率和下載速率分開計算。
¾ 懲罰方式：當使用者進入黑名單時的懲罰方式，包括：強制下線、修改頻寬和會話。強制下線表示該用
戶不能上網，修改頻寬和會話表示修改用戶的頻寬和會話值。
¾ 懲罰時長：用戶進入黑名單的時間。當懲罰時間到了，用戶又可以正常上網。
¾ 加倍懲罰：當用戶在一段時間內(包括：在一周內、在一月內、在一季度內) 連續進入黑名單的次數超過
預設閥值後，將被加倍懲罰。比如，懲罰時間將變為原來的 3 倍。
¾ 生效時間：在生效時間內才進行黑名單的控制；在生效時間外，不對使用者的速率和會話進行限制，用
戶產生的流量也不記入黑名單的流量配額內。
提示：
1、流量配額、最大速率、最大會話數裡面的每個閥值是或的關係，只有一個值達到閥值，則都會
進入黑名單。
2、先黑名單規則，然後需在【行為管理>組織管理>組織結構】的使用者和子組中引用黑名單規則。
15.6.1 當前黑名單
功能描述：查看當前黑名單用戶，以及手動添加和解除黑名單用戶。
配置路徑：【行為管理】>【黑名單管理】>【當前黑名單】
配置描述：
第一：進入【當前黑名單】頁面，如下圖：
图126. 當前黑名單
查詢準則：
¾ 用戶名：根據用戶名來查找。
¾ 原因：根據進入黑名單的原因來查找。
¾ 黑名單規則：根據黑使用者引用的黑名單規則來查找。
¾ 時間範圍：根據進入黑名單的時間範圍來查找。
預設顯示所有使用者。輸入查詢準則後，點擊<查詢>按鈕，顯示滿足查詢準則的當前黑名單。
當前黑名單：顯示當前的黑名單，相關按鈕說明如下：
¾ 手動添加：手動將某個用戶加入黑名單。
¾ 刪除所有：刪除所有的當前黑名單用戶，相當於接觸所有黑名單用戶。
¾ 解除：解除某個黑名單用戶。
¾ 修改：只有手動添加的黑名單使用者才有<修改>按鈕，即修改手動添加的黑名單使用者的配置。
第二：點擊<手動添加>按鈕，手動添加黑名單用戶。如下圖：
图127. 手動添加黑名單用戶
參數說明：
¾ 用戶名：用戶的名稱。
¾ 懲罰方式：當使用者進入黑名單時的懲罰方式。“強制下線”表示該用戶不能上網，“修改頻寬和
會話”表示修改用戶的頻寬和會話值。
¾ 懲罰時長：用戶進入黑名單的時間。當懲罰時間到了，用戶又可以正常上網。
15.7 線上用戶
顯示了當前線上使用者的統計資訊。如下圖：
图128. 線上用戶統計
查詢準則：
¾ 用戶名：根據用戶名來查找。
¾ 所屬組：根據使用者組來查找，點擊輸入框後面的<選擇>按鈕，選擇使用者組。
¾ IP 地址：根據使用者的 IP 位址來查找。
¾ MAC 地址：根據使用者的 MAC 位址來查找。
¾ 時間範圍：根據進入上線的時間範圍來查找。
預設顯示所有使用者。輸入查詢準則後，點擊<查詢>按鈕，顯示滿足查詢準則的線上使用者。
線上用戶：顯示當前線上的所有使用者，共三種類型，如下：
¾ 已認證且在組織結構中：顯示已經認證，並且已加入組織結構的線上使用者。
¾ 已認證但不在組織結構中：顯示已經認證，但未加入組織結構的線上使用者。
¾ 未認證用戶：顯示未通過認證的線上用戶。
參數說明：
¾ 用戶名/用戶組：顯示用戶名稱和所屬組。
¾ 地址：顯示使用者的 IP 位址和 MAC 地址。
¾ 實體介面：表示使用者連接到設備的哪個實體介面。
¾ 線上流量：用戶從上線到當前時刻的流量總和。上箭頭後面的值表示上傳流量的值，下箭頭後面的
值表示下載流量的值。當用戶下線後，其對應的線上流量會被清零。
¾ 最新速率：使用者最後一個採樣點的速率值。上箭頭後面的值表示上傳速率的值，下箭頭後面的值
表示下載速率的值。
¾ 活躍會話：用戶當前的活躍會話數。上箭頭後面的值表示上傳會話數，即用戶主動發起的會話。下
箭頭後面的值表示下載會話數，即用戶被別人連接時產生的會話。
按鈕說明：
¾ 趨勢圖：連結到該使用者的趨勢圖頁面。
¾ 活躍服務：連結到該使用者的活躍服務頁面。
¾ 黑名單：連結到手動加入黑名單頁面，可將該使用者手動加入黑名單。
¾ 強制下線：將該用戶牽制下線。
16 IPv6 配置
16.1 網路工具
IPv6 的“網路工具”包括 Ping6 和 TraceRoute6。
16.1.1 Ping6
配置路徑：【IPv6 配置】>【網路工具】>【Ping6】
，設置介面如下圖：
图129. PING 工具
參數說明：
¾ 封包長度：Ping 封包的長度，40-8000 位元組，預設 64 位元組。
¾ Ping 次數：發送 Ping 封包的數量，1～2000000000，預設 5 次。
提示：
1、如果輸入功能變數名稱，需要先配置本地DNS。配置路徑：【IPv6 配置】>【本機DNS】
2、 IPv6 相容 IPv4 的地址。
16.1.2 TraceRoute6
功能描述：用於確定 IPv6 資料訪問目標所採取的路徑。
配置路徑：【IPv6 配置】>【網路工具】>【TraceRoute6】，設置介面如下圖：
图130. TraceRoute6 工具
參數說明：
¾ 超時設置：1-10 秒，預設 10 秒。
¾ 最小 TTL：1-255，預設 1。
¾ 最大 TTL：1-255，預設 10。
提示：
1、如果輸入功能變數名稱，需要先配置本地DNS。配置路徑：【IPv6 配置】>【本機DNS】
2、 IPv6 相容 IPv4 的地址。
16.2 配置 IPv6 位址
功能描述：
用於給設備的介面或橋接器配置 IPv6 位址。在單橋接器模式下，可對橋接器和其它獨立的網口配置 IPv6 位

址；在路由模式下可為每個介面配置 IPv6 位址。
配置路徑：【IPv6 配置】>【配置 IPv6 位址】
配置描述：
第一：進入【配置 IPv6 位址】頁面，如下圖所示：

图131. IP 位址配置
第二：點擊<新增>按鈕，為介面增加 IPv6 位址。新增頁面的實體介面名稱隨工作模式的改變而不同，單橋接

器時實體介面名稱為 Bridge1、LAN2、WAN2，……；雙橋接器時實體介面名稱為：Bridge1 和 Bridge1，……；
路由模式時時實體介面名稱為 LAN1、LAN2、WAN1、WAN2，……。下圖是四個網口，單橋接器模式下新增 IPv6
位址的頁面：
图132. 實體埠名稱
提示：
1、可對實體介面、VLAN 介面、橋接器配置 IP 位址。
2、不同的介面不能配置相同網段的 IP 位址。
3、每個介面可配置多個不同網段的 IP 位址。
16.3 靜態路由
配置路徑：【IPv6 配置】>【靜態路由】
配置描述：
图133. 靜態路由
图134. 新增靜態路由
閘道可以選擇為“IP位址”、“GRE隧道”或者“PPPoE”。選擇 GRE 隧道和 PPPoE，需先分別到【網路

配置>GRE 隧道】和【網路配置>PPPoE】頁面配置 GRE 隧道 PPPoE 撥號。
提示：
16.4 無狀態自動位址配置
配置路徑：【IPv6 配置】>【無狀態自動位址】，設置介面如下圖：
图135. PING 工具
參數說明：
16.5 靜態路由
配置路徑：【IPv6 配置】>【靜態路由】
配置描述：
图136. 靜態路由
图137. 新增 IPv6 靜態路由

提示：
16.6 本機 DNS
功能描述：配置設備的 IPv6 DNS 伺服器，以便於設備自身能訪問Internet。
配置路徑：【IPv6 配置】>【本機DNS】
配置描述：進入【本機 DNS】頁面，配置 DNS 伺服器。如下圖所示：
图138. IPv6 本地 DNS 配置
16.7 鄰居表
功能描述：查看 IPv6 鄰居表，配置靜態鄰居表。
配置路徑：【IPv6 配置】>【鄰居表】
配置描述：
第一：進入【鄰居表】頁面，可查看到當前的鄰居表。如下圖：
图139. ARP 表
類型為“動態”代表自動學習到的 ARP 條目；為“靜態”代表將固定的 IPv6 地址和 MAC 綁定在一起。
第二：點擊<新增>按鈕，可添加靜態鄰居表條目，如下圖：
图140. 新增靜態鄰居
參數說明：
¾ IPv6 地址：鄰居的 IPv6 地址。
¾ MAC 地址：鄰居的 MAC 地址。
¾ 介面名稱：鄰居連接到哪個介面。
16.8 防火牆
功能描述：
防火牆的安全性原則定義了對 IPv6 資料流程的控制規則；可以通過指定封包的來源位址、目的地址、服務、

時間段等參數來控制資訊流。
安全性原則的匹配原則是按順序從前往後匹配，從第一條開始順序匹配，遇到第一個匹配的條目就停止，所
以同一群組原則中，序號小的優先順序高。
配置路徑：【IPv6 配置】>【防火牆】
配置描述：
图141. 安全性原則
點擊<刪除所有>，將刪除所有的安全性原則。
點擊<刪除本組>，將刪除本組的安全性原則，如刪除 LAN2ÆWAN2 的所有安全性原則。

點擊<刪除>，刪除本條安全性原則。
點擊<修改>，修改本條安全性原則的參數，但不能修改本條安全性原則的方向。
點擊<插入>，在當前位置之前插入一條安全性原則。
點擊<移動>，改變對應安全性原則的序號，從而改變安全性原則的優先順序。
改變狀態列核取方塊的值，再點擊<修改狀態>，可修改安全性原則的狀態(“勾選”表示啟用，“不勾選”表
示禁用)。點擊表頭的“狀態”核取方塊，可以改變所有安全性原則的狀態。
第二：點擊<新增>按鈕，新增安全性原則，如下圖：
图142. 新增安全性原則
參數說明：
¾ 名稱：規則名稱。
¾ 策略方向：代表資料流程的方向。
¾ 來源地址：資料流程的來源地址。
¾ 目的地址：資料流程的目的地址。
¾ 服務：資料流程的服務類型。
¾ 生效時間：本策略的有效時間段。
¾ 動作：安全性原則允許、拒絕服務的動作。
提示：
2、系統隱含了一條允許所有的安全性原則，如果加入的安全性原則都不匹配，資料包最後將匹配
隱含的策略。所以系統在預設情況，是允許所有封包通過的。
17 HA 配置
功能描述：配置設備的 HA 參數。
配置路徑：【HA 配置】>【HA 配置】
配置描述：進入【HA 配置】頁面，如下圖：
图143. HA 配置
參數說明：
¾ 功能狀態：開啟或關閉 HA 功能。
¾ 心跳間隔：發送心跳封包的時間間隔。
¾ 死亡間隔：多久沒有收到心跳封包，將認為對方死亡。
¾ 心跳埠：發送心跳封包的埠。
¾ 連接內網的埠：連接內網的埠名稱。
¾ 本節點名稱：本節點的設備系統名稱。預設使用系統的名稱，如果此處修改了，將會把系統名稱一
併修改。
¾ 其他節點名稱：集群中其他節點的名稱，多節點之間用英文逗號(,)分隔。
¾ 主設備：配置主設備。配置一個主設備，則為主備模式；配置多個主設備，則為負載均衡模式。集
群中每個節點的主設備配置必須相同。一行一個物件，格式為：節點名稱/虛擬 IP/虛擬 IP 遮罩/
廣播位址，虛擬 IP 為內網上一跳設備的閘道 IP。如 node1/192.168.2.1/24/192.168.2.255。
¾ 強制搶佔: 原主設備狀態由故障恢復正常後，是否要強制轉換為主設備。
¾ 鏈路健康檢查：當主設備檢測到自己鏈路出現故障時, 就切換到備份狀態。
18 系統日誌
設備提供了內置 Reporter 系統，無需另外安裝 Reporter 即可實現對即時監控、統計分析、行為分析的記
錄與查詢功能。在內置 Reporter 中，默認已開啟對流量的即時監控、統計分析，行為分析等所有的記錄。行
為分析部分也可根據需要選擇記錄部分內容，具體配置方法參照【內容記錄配置】。
18.1 命令日誌
功能描述：將管理員對設備配置的命令記錄下來，以便查詢。
配置路徑：【系統日誌】>【命令日誌】
配置描述：
第一：進入【命令日誌】頁面，如下圖：
图144. 查看命令日誌
查詢準則：
¾ 管理員：根據配置設備的管理員名稱來查找。
¾ IP 地址：根據配置設備的管理員使用的 IP 位址來查找。
¾ 命令內容：根據配置的命令的內容來查找。
¾ 實行結果：根據配置的結果(失敗/成功)來查找。
¾ 時間範圍：根據管理員配置設備時的時間範圍來查找。
預設顯示所有命令日誌。輸入查詢準則後，點擊<查詢>按鈕，顯示滿足查詢準則的命令日誌。
點擊<清空>按鈕，清空所有的命令日誌。
18.2 事件日誌
功能描述：設備提供事件日誌，用於監視系統事件的發生。
配置路徑：【系統日誌】>【事件日誌】
配置描述：
第一：進入【事件日誌】頁面，如下圖：
事件日誌的內容包括：管理員登錄設備成功/失敗、實體介面 UP/Down、設備啟動成功、ARP 衝突、線路健康

結果等等資訊。
點擊<清空>按鈕，清空所有的命令日誌。
18.3 使用者日誌
功能描述：用於記錄內網使用者登錄、認證、下線的消息和結果。
配置路徑：【系統日誌】>【使用者日誌】
配置描述：
第一：進入【使用者日誌】頁面，如下圖：
查詢準則：
¾ 用戶名：根據用戶名稱來查找。
¾ IP 地址：根據使用者的 IP 位址來查找。
¾ 時間範圍：根據使用者登錄、認證、下線的時間範圍來查找。
預設顯示所有使用者日誌。輸入查詢準則後，點擊<查詢>按鈕，顯示滿足查詢準則的使用者日誌。
點擊<清空>按鈕，清空所有的使用者日誌。
18.4 黑名單日誌
功能描述：顯示使用者進入和解除黑名單的日誌資訊。
配置路徑：【系統日誌】>【黑名單日誌】
配置描述：
第一：進入【黑名單日誌】頁面，如下圖：
查詢準則：
¾ 用戶員：根據用戶名稱來查找。
¾ IP 地址：根據進入或解除黑名單的原因來查找。
¾ 時間範圍：根據進入或解除黑名單的時間範圍來查找。
預設顯示所有黑名單日誌。輸入查詢準則後，點擊<查詢>按鈕，顯示滿足查詢準則的黑名單日誌。
點擊<清空>按鈕，清空所有的黑名單日誌。
19 故障排除
19.1 捕獲數據封包
功能描述：配置捕獲資料封包的規則，然後可以捕獲資料封包，進行故障排除分析。
配置路徑：【故障排除】>【捕獲資料封包】
配置描述：進入【捕獲資料封包】頁面，如下圖：
图148. 故障排除-捕獲資料封包 1
图149. 故障排除-捕獲資料封包 2
參數說明：
¾ 捕獲封包個數：捕獲封包的總個數。
¾ 實體介面：捕獲在此介面收到的封包，“全部”代表設備所有的實體介面。
¾ 簡易配置：根據封包來源 IP、目的 IP、來源埠、目的埠和協定類型來捕獲封包。
¾ 高級配置：根據過濾規則運算式來進行封包的捕獲。如要抓取單個 IP 位址的所有 TCP 包，則輸入：

host 1.1.1.1 and tcp。
配置好捕獲規則後，點擊<開始捕獲>按鈕，開始封包的捕獲。點擊<停止捕獲>，停止封包的捕獲。然後到【故
障排除 > 查看資料包】頁面去查看捕獲到的資料封包檔。
19.2 查看數據封包
功能描述：查看已捕獲的資料封包。
配置路徑：【故障排除】>【查看資料封包】
配置描述：進入【查看資料封包】頁面，如下圖：
图150. 故障排除-查看資料封包
點擊<下載>按鈕後，即下載已捕獲的的檔，然後可通過 Sniffer 或 Ethereal 等軟體進行封包分析。
20 Reporter
設備提供了內置 Reporter 系統，無需另外安裝 Reporter 即可實現對即時監控、統計分析、行為分析的記
錄與查詢功能。在內置 Reporter 中，預設已開啟對流量的即時監控、統計分析，行為分析等所有的記錄。行
為分析部分也可根據需要選擇記錄部分內容，具體配置方法參照【內容記錄配置】
。
20.1 內容記錄配置
功能描述：過濾 Reporter 行為分析的記錄內容，如：對某些使用者只記錄 URL 記錄和 FTP 記錄等。
配置路徑：【Reporter】>【內容記錄配置】
配置描述：
第一：進入【內容記錄配置】頁面，如下圖：
图151. 內容記錄配置清單
記錄方式：“全部記錄”表示記錄所有內容。“根據以下規則記錄”表示根據配置的內容記錄規則來記錄。
預設“全部記錄”。
點擊<刪除所有>，刪除所有規則。
點擊<刪除>，刪除本規則。
點擊<修改>，修改本條規則各參數。
點擊<插入>，在當前位置插入規則。
點擊<移動>，改變對應規則的序號，從而改變該規則的優先順序。
改變狀態列核取方塊的值，再點擊<修改狀態>，可修改網頁過濾規則的狀態(“勾選”表示啟用，“不勾選”
表示禁用)。點擊表頭的“狀態”核取方塊，可以改變所有規則的狀態。
第二：點擊“新增”配置頁面如下
图152. 新增內容記錄配置規則
參數說明：
¾ 內網地址：內網主機位址，可輸入IP位址、選擇位址簿或用戶組。位址簿在系統物件中配置，使用
者組在認證使用者中配置。
¾ 即時通訊：可複選“登錄資訊”和“通訊內容”。“登錄資訊”記錄即時通訊的登錄資訊。“通訊
內容”記錄聊天內容、檔案傳輸、語音記錄。
¾ 郵件記錄：可複選“基本資訊”、“郵件正文”和“郵件附件”。“基本資訊”記錄的資訊包括：
寄件者、收件人、郵件主題、日期。 “郵件正文”記錄郵件的基本資訊和郵件正文的內容。“郵件
附件”記錄郵件的基本資訊和郵件附件，附件將保存到硬碟中，可以下載到本地。
¾ WEB記錄：可複選“URL位址”、“網頁標題”、“發帖資訊”、“搜索關鍵字”和“檔上傳”。 “URL
位址”記錄URL的全址。“網頁標題”記錄WEB頁面的標題。“發帖資訊”記錄在論壇上發貼的內容。
“搜索關鍵字”記錄在搜尋引擎上搜索的關鍵字。“檔上傳”記錄通過WEB上傳的檔的記錄。
¾ FTP記錄：啟用FTP記錄，可激烈FTP的登錄資訊，上傳下載檔案資訊。
¾ 會話記錄：記錄會話資訊。
提示：
1、預設已開啟對流量的即時監控、統計分析，行為分析部分也可根據需要選擇記錄部分內容。
入>和<移動>來改變規則的先後順序。
20.2 內置 Reporter
功能描述：進入內置 Reporter 查看統計記錄。
配置路徑：【Reporter】>【內置 Reporter】
配置描述：點擊【內置 Reporter】
，進入 Reporter 首頁，如下：
图153. 內置 Reporter 首頁

GSI SGX&SGE系列產品安裝手冊-20100505 - 繁體 - PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GSI SGX&SGE系列產品安裝手冊-20100505 - 繁體 - PDF

Uploaded by

Copyright:

Available Formats

[GSI SGX/SGE 系列設備]

¾ P2P：全稱叫做 Peer-to-Peer，即對等 Internet 路技術，或簡稱點對點網路技術。P2P 使得用戶可以直

¾ Session：會話類應用，是 Internet 應用的一種類型。

¾ Games：網路遊戲，是 Internet 應用的一種類型。

< > 代表視窗中的選項或按鈕名稱

¾ 電源：交流電源 110V ～240V

1、 在後面板電源插座上插上電源線，打開電源開關，前面板的 Power 燈(綠色，電源指示燈)和 Alarm 燈(紅

2、 用標準 RJ-45 乙太網線將 LAN 埠與內部區域網連接。

3、 用標準 RJ-45 乙太網線將 WAN 埠與 Internet 接入設備相連接，如路由器、光纖收發器或 ADSL Modem 等。

提示：如果開機 5 分鐘後，紅燈還長亮，請關閉電源 5 分鐘，然後重開。

1、 安全的 HTTPS 登錄，默認埠 9090。初始登錄 URL

2、 傳統的 HTTP 登錄，默認埠 9090。初始登錄 URL

系統預設使用 HTTPS 的登錄方式，預設的管理員帳號

1. 進入 Console 連接，使用 root 用戶（username：root，password：root*PWD）登錄。

2. 選擇 Reset WEBUI Password，進入密碼恢復功能表，然後敲入 yes，再回車。

“設備版本資訊”描述了系統 Firmware 的版本、應用特徵的版本、URL 庫的版本和授權類型的資訊。授

“設備資源”動態顯示了 CPU 使用率、記憶體使用率、活躍會話數、線上用戶數和線上認證使用者數的

“即時網路流覽”動態顯示了當前 UP 的 WAN 口的速率。當滑鼠滑過 WAN1、WAN2、……、WANm 時，會

¾ CPU 使用率：查看最近一小時 CPU 使用率。

點擊頁面上方的“Reporter”可以進入 Reporter 系統查看各參數的歷史統計資訊。

點擊頁面下方的“Reporter”可以進入 Reporter 系統查看各埠的歷史統計資訊。

這裡顯示了所有服務的疊加趨勢圖，其中列出了前十名和 Other。Other 表示網路中除了前十名以外的其它服

點擊頁面上方的“Reporter”可以進入 Reporter 系統查看更多關於使用者的歷史統計資訊。

點擊頁面上方的“Reporter”可以進入 Reporter 系統查看更多關於使用者的歷史統計資訊。

點擊頁面上方的“Reporter”可以進入 Reporter 系統查看更多關於使用者的歷史統計資訊。

升級設備的系統檔，可以升級的系統檔包括：系統 Firmware、應用特徵庫、URL 庫、授權文件。

¾ URL 庫：內置 URL 庫文件。

 系統升級有效期: 正式版的系統升級有效期，在有效期之前可升級系統 Firmware、應用特徵庫、

¾ 恢復：導入一個設定檔（備份到 PC 的.conf 的壓縮檔）

¾ Reporter 許可權：可以管理 Reporter，且可分級管理，與“所屬組”對應起來。例如，一個名為 Mary

¾ WEBUI 網管方式：支援安全的 HTTPS 方式和傳統的 HTTP 方式，預設為 HTTPS 方式 。

¾ WEBUI 登錄埠：為安全起見，系統的 WEB 網管預設採用 TCP 9090 埠，可以改成 TCP 協議的其它埠，

¾ SSH 登錄埠：為了安全性，系統的 SSH 網管預設採用 TCP 2222 埠，可以改成 TCP 協議的其它埠。

¾ IP/功能變數名稱：目的 IP 位址或者功能變數名稱，如果設置功能變數名稱，需要先配置本機 DNS。

¾ 封包長度：Ping 封包的長度，20-8000 位元組，預設 64 位元組。

¾ Ping 次數： 發送 Ping 封包的數量，1～2000000000，預設 5 次。

¾ IP/功能變數名稱：目的 IP 位址或者功能變數名稱，如果設置功能變數名稱，需要先配置本機 DNS。

如需啟用 SNTP 則勾選“自動與 SNTP 伺服器同步”，然後可配置 SNTP 伺服器和同步間隔。如下圖：

點擊 SNTP 伺服器輸入框後面的“立即同步”，可立即與所配置的伺服器進行時間的同步。啟用 “自動

用於定義一個包含某些 IP 位址的 IP 位址組，這個 IP 組可以是任意的一個 IP、一段 IP 或者 IP 範圍的任

第二：點擊表格右上角的<新增>按鈕，增加位址簿，並填入地址簿的第一個 IP/IP 段/IP 範圍。

第一：進入【URL 庫】頁面，可以看到當前的內置 URL 庫，如下圖：

第三：點擊<新增>按鈕，可以很方便的定義 URL 庫。如下圖：

图32. 新增自訂 URL

用於設置關鍵字，並把關鍵字分組，這些關鍵字組可用於【上網行為管理 > 網頁過濾】中限制某些關鍵字的

一行一個關鍵字，支持萬用字元匹配，如輸入 snow*n,，將匹配 snowman 或 snowmn 等。

第一：進入【VLAN 介面】介面，可以看到當前已經建立的 VLAN 介面。如下圖：

介面名稱是實體介面和 VLAN ID 的組合。例如，LAN1.2 表示實體介面為 LAN1，VLAN ID 為 2 的 VLAN 介

第二：點擊<新增>按鈕，增加 VLAN 介面。如下圖：

第一：進入【PPPoE】介面，可以看到當前已經建立的 PPPoE 配置。如下圖：

¾ 名稱：為 PPPoE 撥號配置取的名字。

¾ 外網埠：撥號鏈路連接的外網實體埠，即WAN 埠。一個 WAN 埠只能連接一個撥號。

第二：點擊<新增>按鈕，增加 PPPoE 配置。如下圖：

第一：進入【GRE】介面，可以看到當前已經建立的 GRE 配置。如下圖：

第二：點擊<新增>按鈕，增加 PPPoE 配置。如下圖：

¾ 隧道名稱：為 GRE 隧道取的名字。

¾ 隧道IP：隧道的標識位址, 可設置任意 IP, 隧道兩端的標識位址應該配置為同一網段。

¾ 來源地址：隧道的來源端位址, 與本端發出 GRE 封包的介面位址相同或同網段。

¾ 目的地址：隧道的目的端位址, 與對端接收 GRE 封包的介面位址相同或同網段。

提示：配置完GRE隧道後，在【網路配置 > 路由配置】添加路由，選擇GRE隧道。

用於給設備的介面或橋接器 IP 位址設定。在單橋接器模式下，可對橋接器和其它獨立的網口 IP 位址設定；

 LAN 介面：連接內網的實體埠，ALL-LAN 表示所有 LAN 埠。

配置 設備的 DNS 伺服器，以便於設備自身能訪問Internet。

1、在後面板電源插座上插上電源線，打開電源開關，前面板的 Power 燈(綠色，電源指示燈)和 Alarm 燈(紅

2、用標準 RJ-45 乙太網線將 LAN 埠與內部區域網連接。

3、用標準 RJ-45 乙太網線將 WAN 埠與 Internet 接入設備相連接，如路由器、光纖收發器或 ADSL Modem 等。

1、安全的 HTTPS 登錄，默認埠 9090。初始登錄 URL

2、傳統的 HTTP 登錄，默認埠 9090。初始登錄 URL

系統升級有效期: 正式版的系統升級有效期，在有效期之前可升級系統 Firmware、應用特徵庫、

¾ WEBUI 網管方式：支援安全的 HTTPS 方式和傳統的 HTTP 方式，預設為 HTTPS 方式。

¾ Ping 次數：發送 Ping 封包的數量，1～2000000000，預設 5 次。

LAN 介面：連接內網的實體埠，ALL-LAN 表示所有 LAN 埠。

配置設備的 DNS 伺服器，以便於設備自身能訪問Internet。

¾ 固定 IP ：可根據 MAC 綁定 IP，即根據 MAC 位址把固定的 IP 位址分配給對應的用戶端。一行

WAN1：WAN1 線路的頻寬限制，配置範圍在 8～1000000，單位 kb/s。

WAN2：WAN2 線路的頻寬限制，配置範圍在 8～1000000，單位 kb/s。

保障頻寬：結合最大頻寬和優先順序，根據需要為某些關鍵應用或者 VIP 客戶保障一定頻寬。

¾ 認證方式：根據內網位址的 IP 位址來判斷使用者採取的認證方式，共有如下五種：

新用戶以 MAC 地址作為用戶名：內網使用者不需要密碼認證，並且當該使用者不在組織結構中

新用戶以 VLAN ID 作為用戶名：內網使用者不需要密碼認證，並且當該使用者不在組織結構中

新用戶以 IP 地址作為用戶名：可以選擇為“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

新用戶以 MAC 地址作為用戶名：可以選擇為“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

新使用者以主機名作為用戶名：可以選擇為“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

新用戶以 VLAN ID 作為用戶名：只能且必須選擇為“綁定 VLAN”。

到伺服器去認證：可以選擇為“無綁定”、“綁定 IP”、“綁定 MAC”或“同時綁定 IP 和

“自訂 URL 庫”的過濾與“內置 URL 庫”的過濾方法相同，只是需要先定義 URL 分組，詳見 URL 庫的配置。

設定檔過濾前需要先配置關鍵字組，詳見關鍵字組的配置。

設定檔過濾前需要先設定檔類型，詳見檔案類型的配置。

黑名單控制：引用黑名單規則裡已配置好的條目。黑名單規則配置詳見黑名單規則部分。

綁定檢查：用來綁定 IP、MAC、IP+MAC 和 VLAN ID，以保證過濾策略的準確有效。普通用戶和認證用戶

綁定檢查：用來綁定 IP、MAC、IP+MAC 和 VLAN ID，以保證過濾策略的準確有效。普通用戶和認證用戶

1、此處的掃描 MAC 位址是設備通過 NetBIOS 協定去掃描的，而不是依靠的 SNMP 協議去

2、當跨第三層交換機的網路需要綁定 MAC 位址時，必須開啟 SNMP 選項功能。具體配置詳

3、此處的掃描 MAC 位址是設備通過 NetBIOS 協定去掃描的，而不是依靠的 SNMP 協議去

4、當跨第三層交換機的網路需要綁定 MAC 位址時，必須開啟 SNMP 選項功能。具體配置詳