TPN-2G全网行为管理网关用户手册_XXXX0212.docx

TPN-2G全网行为管理网关用户手册V6.12011年1月关于本手册版权声明上海安达通信息安全技术股份有限公司版权所有，保留一切权力。本文件中出现的任何文字叙述、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海安达通信息安全技术股份有限公司（以下简安达通）所有，受到有关产权及版权法保护。未经安达通书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。技术支持如果您购买了TPN-2G产品，或者你需要询问相关产品的信息，您可以致电本公司400-880-1233或021-51697070。若您通过代理商或集成商购买了TPN-2G产品，您也可以和销售商联系获得技术支持服务或产品保修。你还可以在网上查询安达通所提供的各种产品和服务，网址是：。阅读对象需要阅读本手册的人员应该是管理TPN的网络管理员，必须具备网络方面有关TCP/IP、网络规划和管理、域名系统、邮件系统以及Linux操作系统的基础知识，并有相关方面的实际工作经验。如果你是TPN-2G的管理员，你必须对所管理网络的路由、IP网段划分、网络所提供的服务、以及网络出口设置和方式等非常熟悉。目录关于本手册2版权声明2技术支持2阅读对象21.概述61.1.产品硬件61.2.工作模式61.3.功能简介82.管理员登录92.1.从网口登录92.2.从串口登录92.3.忘记密码103.系统管理113.1.系统状态113.2.设备信息123.3.系统时间123.4.管理员133.5.导入/导出配置153.6.恢复出厂配置163.7.关机/重启173.8.系统升级183.9.License管理183.10.集中管理193.11.系统日志203.12.威胁报告204.网络配置214.1.工作模式214.2.网口配置224.3.端口配置244.4.DNS配置254.5.DDNS配置254.6.VLAN TRUNK264.6.1.基本配置264.6.2.子接口274.7.静态路由配置284.8.防火墙配置284.8.1.包过滤规则284.8.2.链路配置294.8.3.NAT映射304.8.4.NAT端口映射315.策略管理335.1.网段认证335.2.认证服务器345.3.对象管理355.3.1.时间对象355.3.2.网站分类对象355.4.应用控制375.5.内容过滤385.6.网址控制395.6.1.网址库策略395.6.2.网页搜索策略405.7.应用审计415.8.流量控制445.8.1.带宽通道对象445.8.2.应用流控455.8.3.用户流控策略465.9.主机策略475.9.1.主机风险评估等级475.9.2.进程库管理555.9.3.非法外联565.9.4.补丁更新575.9.5.虚拟VLAN595.9.6.全局配置615.10.策略的引用和优先级625.10.1.策略的引用625.10.2.策略优先级636.用户管理646.1.组织结构646.1.1.添加部门646.1.2.添加用户656.1.3.用户属性666.2.禁用用户687.系统监控707.1.网络概况707.2.上网监控707.2.1.在线用户717.2.2.应用监控727.2.3.网站访问727.2.4.搜索引擎737.2.5.论坛发贴737.2.6.邮件收发747.2.7.即时通信757.2.8.当前阻断757.3.流量监控767.3.1.用户流量监控767.3.2.应用流量监控767.4.历史信息777.4.1.上下线日志777.4.2.应用日志787.4.3.网站日志787.4.4.搜索引擎日志797.4.5.论坛发贴日志807.4.6.邮件收发日志817.4.7.即时通信日志827.4.8.阻断日志838.统计和报告858.1.统计858.1.1.用户统计858.1.2.网站访问统计868.1.3.搜索引擎统计878.1.4.邮件收发统计888.1.5.即时通信统计908.1.6.论坛发贴统计918.1.7.上网时长统计928.1.8.文件审计统计938.2.报告948.2.1.上网排名报告948.2.2.流量走势报告968.2.3.用户排名报告988.2.4.网站访问走势报告998.2.5.上网时长排名报告1008.2.6.日志数量走势报告1019.常见故障处理1021. 概述1.1. 产品硬件以T220为例，设备正面如下所示：各接口说明如下：网口：分为LAN，WAN，EXT0，EXT1，可以根据具体网络环境和用户要求使用这些网络接口。在某些硬件平台上带一组硬件bypass功能（参考具体的产品参数）。COM1：通过超级终端连接，可以提供系统管理员登录，设置波特率(9600)COM2：双机热备接口。设备背面如下所示：1.2. 工作模式可以工作在三种典型的模式下：Ø 路由模式² 路由模式下TPN作为一个三层设备工作，通常部署在内外网的边界，提供路由、地址转换（NAT）和防火墙的功能；² 路由模式的典型示意图如下：Ø 网桥模式² 安全网关作为一个透明网桥工作在二层，使用网桥模式可以不改变用户原有的网络结构和地址规划，并且能使非IP的其他协议透过安全网关；² 网桥模式分为单网桥和双网桥两种方式，TPN网关最多支持2组网桥；² 网桥模式的典型示意图如下：Ø 旁路模式² 安全网关作为一台网络行为审计设备接入网络，通常接入核心交换机的监听口；² 旁路模式下安全网关可以对流经设备监听口的数据进行监控、审计。² 旁路模式的典型示意图如下：1.3. 功能简介全网行为管理TPN-2G系统将上网行为管理、内网安全管理、主机安全管理融为一体，借助处于网络边界位置的TPN-2G安全网关和安装在每台主机上的“主机威胁引擎”的联动防御，将“本地局域网远地局域网移动接入节点”的资源和安全策略进行统一管理，一体化解决互联网访问行为、内网安全行为、主机安全行为的统一管理问题，确保用户网络平台的可信、可控、可管。全网行为管理TPN-2G系统在功能上，主要分为两大块：“网络行为管理”和“主机行为管理”。较之当下流行的“上网行为管理”系统，它不仅能够管控互联网的访问行为，而且能够管控内网以及主机的安全行为，具有更全面的管控能力、更新的管理粒度和更高的性价比。与安达通第一代TPN产品相比，TPN-2G的功能更加丰富，性能更加强大，部署方式更加灵活。TPN-2G安全网关可独立作为上网行为管理网关使用；如部署TPN客户端，即可实现网关和客户端的联动；2. 管理员登录2.1. 从网口登录可以通过浏览器从任一网关接口登录，TPN-2G网关的缺省配置如下：Ø LAN口IP地址：192.168.1.1，掩码：255.255.255.0Ø 缺省管理端口：8080Ø 缺省管理员帐号：rootØ 缺省管理员密码：changeit可在浏览器栏输入: http:/192.168.1.1:8080进行管理员界面登录。2.2. 从串口登录一般情况下管理员从网口进行登录管理，只有在特殊条件下需要从串口登录进行管理，如：Ø 忘记网关IP地址；Ø 忘记管理员密码；从串口登录只能进入设备的Shell模式（即所谓的后台命令模式），在Shell模式下可以执行Linux的命令。进入Shell需要把电脑的COM口连接到TPN设备的COM1，并且把波特率设置为9600。Shell常用命令如下：命令说明Ifconfig查看网络接口状态Route查看路由表Ps查看任务状态 注意：进入Shell模式的具体操作请咨询ADT技术人员或经销商工程师。2.3. 忘记密码如果忘记了管理员密码，需要进入设备的shell模式（即所谓的后台命令模式），在Shell模式下可以通过执行Linux命令来恢复密码。注意：进入Shell模式恢复密码的具体操作请咨询ADT技术人员或经销商工程师。3. 系统管理3.1. 系统状态在系统状态下，可以看到TPN-2G安全网关的基本信息和设备流量的分布柱状图，如下图所示：基本信息包括如下内容：Ø 资源使用² CPU利用率² 内存利用率² 硬盘利用率² 连接数Ø 网关基本信息² 网关名称² 工作模式² 软件版本² 客户端版本² 进程库版本Ø License信息² 序列号² 硬件版本² 用户数² 授权模块² 类型3.2. 设备信息在“设备信息”下可以查看和编辑网关的名称、所有者、管理员、邮件地址和联系方法。如下图所示：点击“修改”按钮，可以修改上述信息，如下图所示：3.3. 系统时间在“系统时间”下可以查看和修改TPN网关当前日期和时间。如下图所示：修改时间和日期有两种方式：直接修改、与本机同步（即把本电脑上的时间和日期设置到TPN-2G网关上去）。只要选择相应的方式，点击确定按钮即可。3.4. 管理员在“管理员”选项下，可以添加超级管理员、设备操作员、审计员、部门管理员帐号，和修改已有管理员的密码。如下图所示：Ø 超级管理员超级管理员具有最高权限，具有配置或修改安全网关所有配置信息的权限，并具备查看“系统监控”、“统计”和生成“报告”的权限。可以通过点击“添加”按钮或“修改”按钮来添加超级管理员帐号和修改已有超级管理员码，如下图所示： Ø 设备操作员设备操作员具有“系统管理”、“网络配置”、“策略管理”和“用户管理”的权限，不具备“系统监控”、“统计”和“报告”的权限。可以通过点击“添加”按钮或“修改”按钮来添加设备操作员帐号和修改已有操作员密码，如下图所示： Ø 审计员审计员具有查看“系统监控”、“统计”和生成报告的权限，不具备设备的配置权限。可以通过点击“添加”按钮或“修改”按钮来添加审计员帐号和修改已有审计员密码，如下图所示：Ø 部门管理员部门管理员具有管理本部门用户的权限和监控本部门用户网络行为的权限，不具备设备的配置权限。可以通过点击“添加”按钮或“修改”按钮来添加部门管理员帐号和修改已有部门管理员密码。添加部门管理员时，需要选定该管理员管理的部门。如下图所示：3.5. 导入/导出配置在“导入/导出配置”选项下，可以将系统的配置文件导出和导出。如下图所示：导入配置的步骤如下：1 选择左侧“系统管理”->“导入/导出配置”，在右侧选择“导入配置”，点击“浏览”按钮，选择配置文件；2 点击“确定”按钮。注意：导入配置后需重启设备才能生效。在重启之前不要再次保存配置。导出配置的步骤如下：1 选择左侧“系统管理”->“导入/导出配置”，在右侧选择“导出配置”，点击“确定”按钮；2 在弹出的对话框中选择“保存”，选择保存的路径，点击“确定”按钮。如下图所示：3.6. 恢复出厂配置在“恢复出厂配置”下，可以清空TPN-2G网关的配置数据和内容数据库，如下图所示：点击“清空配置数据”按钮，即可清空配置；注意：清空配置后，需重启网关才能生效，如下图：点击“清空数据库”按钮，即可清空数据库。3.7. 关机/重启在“关机/重启”选项下，可以关闭和重启设备。如下图所示：选择左侧“系统管理”->“关机/重启”，在右侧选择“关机系统”，即可关机。注意：需等设备完全关闭后再拔掉电源。选择左侧“系统管理”->“关机/重启”，在右侧选择“重启系统”，即可重启设备。3.8. 系统升级系统升级包括内核软件升级、客户端升级和进程库升级。如下图所示：系统升级步骤如下：1 选择左侧“系统管理”->“系统升级”，在列表中选择“内核升级”或“客户端升级”或“进程库升级”；2 点击“浏览”按钮，选择相应的升级文件包，点击“确定”按钮；注意：系统内核文件和客户端文件的扩展名均为“gz”。注意：进程特征库文件的扩展名为ps；升级进程特征库后无需重启网关即可生效；安达通公司会定期发布进程特征库；3.9. License管理在“License管理”下可以查看当前设备的license信息，并且可以导入新的license文件。如下图所示：点击右侧列表中的“查看”链接，可以查看当前license的信息，如下图：点击右侧列表中的“导入”链接，可以导入新License，如下图：注意：license文件的扩展名为lic，导入license文件后立即生效。3.10. 集中管理集中管理功能是配合“安全网关网管系统”实现对网关的集中监控和策略分发的功能。注意：使用该功能必须在已经安装了一台“安全网关网管系统“的前提下。开启集中管理的步骤如下：1、 在左侧树形结构中，选择“系统管理”->“集中管理”；2、 在右侧信息栏中选中“启用集中管理功能”，输入集中管理中心Ip，即网管服务器的Ip地址，端口默认为8080，发送周期默认为5秒，输入登录名和登陆密码，点击“确定”即可。如下图：登陆状态可以显示出该安全网关登录安全网关网管系统是否成功。注意：登录名和登陆密码在网管系统上设定。关于集中管理的详细使用方法，可参考“安全网关网管系统”的相关手册和资料。3.11. 系统日志在“系统日志”下，可以查看存放在网关里的日志信息。如下图所示：可以在上面设置查看日志的过滤条件，包括日期范围、级别、日志类型等。Ø 网关日志分为：错误、紧急、警告、报告、通知、调试六类；Ø 日志类型分为：管理日志、用户日志、系统日志三类；3.12. 威胁报告TPN-2G客户端会向网关实时上报威胁事件报告，管理员能够从网关上能够查询到所有TPN用户的威胁事件，点击左侧“系统管理”中的“威胁报告”，即可查看到所有的威胁报告。通过选择导航栏上的“时段”、“级别”和“用户”选项，可以查看某时段某用户某一类型的威胁报告。如下图：4. 网络配置在网络配置下可以网络相关的内容。4.1. 工作模式TPN-2G网关可以工作在路由模式、桥模式或旁路模式下，桥模式下可以同时配置多组桥。配置模式的步骤如下：1 选择左侧“网络设置”->“工作模式”，在右侧列表中选择“路由配置”或“桥配置”或“旁路配置”，如下图所示： 2 如果是路由模式，直接点“确定”按钮；3 如果是桥模式，点击“桥配置”按钮，添加桥的相关配置，包括IP地址、掩码和包含接口，如下图所示：注意：当配置网桥后，原接口IP将失效，用网桥IP地址取代。4 如果是旁路模式，点击“旁路配置”，添加安全网关的管理地址和默认网关，如下图：注意：旁路模式下，安全网关的任一接口都可以作为监听口。注意：工作模式改变后立即生效，可能会导致网络不通，配置之前需慎重。4.2. 网口配置在网口配置下，可以查看、编辑设备的网口信息，如下图：选中接口，点击“修改”按钮，或者双击接口，可以修改该接口的参数，包括：Ø 基本配置² 是否启用该接口² 接口类型（内网、外网）Ø 工作模式² MTU值² 接口工作模式（速率、双工模式）Ø 地址配置² IP地址² 子网掩码² 默认网关Ø DHCP服务器如下图所示：4.3. 端口配置在端口配置中，可以设置安全网关的管理端口和用户认证端口。TPN-2G安全网关的管理方式支持http和https两种方式，两种管理方式下可以自定义具体管理端口，其中http方式的默认管理端口为8080，https方式的默认管理端口为8888。TPN-2G安全网关的用户认证方式支持http和https两种方式，两种认证方式下可以自定义具体认证端口，其中http方式的默认认证端口为80，https方式的默认认证端口为443。修改管理端口和用户认证端口的步骤如下：1、点击左侧“网络配置”->“端口配置”，在右侧列表中修改“管理端口”和“用户认证端口”。入下图： 2、点击“确定”返回，即完成端口修改。4.4. DNS配置DNS选项中指定一个主DNS服务器地址和一个备用DNS服务器地址，用于网关本身对域名进行解析；当安全网关对局域网内其他主机提供DNS 中继服务时，也通过这些设定的DNS服务器进行域名解析。如下图：4.5. DDNS配置DDNS即动态域名服务，为设备在只有动态IP的情况下（比如ADSL拨号、DHCP获取地址）提供一个固定的域名，其它用户或者设备可以通过该固定域名直接访问安全网关设备。在配置DDNS之前，需要用户预先为安全网关注册一个域名，安全网关支持花生壳动态域名。安达通公司提供专业级花生壳DDNS域名。在“网络配置”->“DDNS配置”下，开启DDNS服务，输入相关的参数，点击“确定”即可，如下图所示：4.6. VLAN TRUNK在此项下进行Vlan TRUNK的相关配置。4.6.1. 基本配置Vlan TRUNK的基本配置界面如下图所示：双击需要开启TRUNK功能的接口可以进行开启/关闭接口的TRUNK功能，如下图所示：状态开启后可以选择是否开启子接口。如果开启子接口，设备将在该端口下虚拟出一些逻辑接口； 如果不开启子接口，在下班VLAN范围中输入需要分配的VLAN范围即可。4.6.2. 子接口当选择添加子接口后，可以在子接口中配置子接口的信息，如下图所示：点击添加按键，可以添TRUNK接口下的子接口信息。每天就一个接口，就可以分配一个VLAN ID，如下图所示：子接口配置成功后，可以到网络接口配置界面配置地址或启用DHCP。注意：TRUNK模式下，启用或不启用子接口，每个客户端获取到的地址都是不能互相访问的！4.7. 静态路由配置在该选项下可以查看、添加、删除、修改TPN-2G网关中的静态路由表项，如下图：点击“添加”按钮，在弹出的对话框中输入IP地址、掩码和网关地址，点击“确定”按钮，即完成添加静态路由，如下图所示：点击 “修改”按钮，可编辑当前选中的路由表项；点击 “删除”按钮，则删除当前选中的路由表项；4.8. 防火墙配置在此项下配置防火墙相关内容。4.8.1. 包过滤规则包过滤规则用于配置防火墙的包过滤策略，如下图所示：点击“添加”按钮，在弹出的对话框内输入包过滤策略的五元组，和动作，点击“确定”按钮，即可完成包过滤策略的添加，如下图所示：点击 “修改”按钮，可编辑当前选中的包过滤策略；点击 “删除”按钮，则删除当前选中的包过滤策略；4.8.2. 链路配置链路配置用于配置链路对象，被NAT映射策略引用，链路对象可以是单链路，也可以是多链路，如下图所示：配置链路对象的步骤如下：1 选择左侧“网络配置”->“防火墙配置”->“链路对象”，在右侧点击“添加”按钮，在弹出的对话框中输入链路名称，再添加链路，如下图所示：2 点击“确定”按钮。注意：链路配置通常用于路由模式，不用于桥模式。注意：需在接口上的接口类型设置成外网，才能在链路设置中的线路中被选择，如下图：4.8.3. NAT映射NAT映射用于配置地址池映射（即多对一的映射），配置NAT映射后，可以提供内网用户上网。配置NAT映射的步骤如下：1 选择左侧“网络配置”->“防火墙配置”->“NAT映射”，在右侧点击“添加”按钮，在弹出的对话框中输入NAT映射的五元组信息，并选择链路名称，如下图所示：2 点击“确定”按钮，如下图所示：注意：配置“NAT映射”之前需先在“链路配置”中配置好链路信息。4.8.4. NAT端口映射NAT端口映射即静态端口映射（静态NAPT），可以将内网的主机的某一个或几个端口映射到公网IP的某个端口上，通常用于向外提供服务。配置NAT端口映射的步骤如下：1 选择左侧“网络配置”->“防火墙配置”->“NAT端口映射”，在右侧点击“添加”按钮，在弹出的对话框中输入NAT端口映射的相关信息，包括内网IP地址、端口、转换后端口、协议，并选择外网接口，如下图所示：2 点击“确定”按钮，如下图所示：5. 策略管理在策略管理下可以配置TPN-2G网关的各种策略和参数。5.1. 网段认证网段认证用于配置策略起作用的IP范围和该段IP的认证方式。认证方式是指：如何确定IP地址和用户的关系，目前支持的认证方式包括：Ø MAC识别² 用户上网时，根据数据包里面的源IP地址并通过各种技术手段探测到该用户实际使用的MAC地址，和用户信息里面的MAC地址比较一致的就认为是该用户的数据，记录其现使用的IP地址并登记为在线用户此管理方式主要针对局域网用户采用动态IP地址的管理形式。Ø IP识别² 用户上网时根据数据包里面的源IP地址跟用户数据库里面的IP地址进行比较，一致的就定位目前数据包里面包含这个IP地址就是该用户的数据，记录其现使用的IP地址并登记为在线用户。此管理方式主要针对局域网用户采用固定IP地址的管理形式。Ø 手动识别² 通过用户手工输入用户名密码，或其他方式来确定用户身份，一旦认证成功，即把该IP与该用户对应起来，直至该用户下线。配置网段认证的步骤如下：1 选择左侧“策略管理”->“网段认证”，在右侧点击“添加”按钮，在弹出的对话框中输入认证网段的IP范围，和部门，以及认证方式，如下图所示：2 点击“确定”按钮，如下图所示：5.2. 认证服务器“认证服务器”选项用于第三方认证服务器认证时使用。目前TPN-2G支持的第三方服务器包括AD、LDAP、Radius三种。添加“认证服务器”的步骤如下：1 选择左侧“策略管理”->“认证服务器”，在右侧点击“添加”按钮，在弹出的对话框中输入第三方服务器的相关参数如下图所示：2 点击“确定”按钮，如下图所示：5.3. 对象管理对象管理用于配置时间对象和网站分类对象。5.3.1. 时间对象时间对象描述了一个个时间段的集合，被策略引用，用于指定该策略的生效时间。设备缺省内置一个“所有时间”。添加时间对象的步骤如下：1 选择左侧“策略管理”->“对象管理”->“时间对象”，在右侧点击“添加”按钮，在弹出的对话框中输入时间对象的名称，并选择具体的时间段，如下图所示：2 点击“确定”按钮，如下图所示：注意：每个时间对象中最多只能支持两个时间段。5.3.2. 网站分类对象网站分类对象用于描述网址库中的若干网站的集合，被网页控制策略引用，用于对网址的审计和控制。网站分类对象配置分为两类：网站分类对象和自定义网站分类对象。添加网站分类对象的步骤如下：1 选择左侧“策略管理”->“对象管理”->“网站分类对象”，在右侧上方“网站分类对象”栏中点击“添加”按钮，在弹出的对话框中输入网站分类对象名称，并选择具体的网站，如下图所示：2 点击“确定”按钮，如下图所示：添加自定义网站分类对象的步骤如下：选择左侧“策略管理”->“对象管理”->“网站分类对象”，在右侧下方“自定义网站分类对象”栏中点击“添加”按钮，在弹出的对话框中输入自定义网站分类对象名称，并重复点击“添加”按钮，输入自定义网站的关键字，如下图所示：1 点击“确定”按钮，如下图所示：注意：网站分类对象中可以包含自定义网站分类对象。5.4. 应用控制在“应用控制”中可以配置对用户进行应用控制的策略。TPN-2G通过对网络上端口的控制和协议的识别，能够对各种网络应用实行阻断和放行的控制。对应用的控制在一定程度上依赖于网关中的协议特征库。配置应用控制策略的步骤如下：1 选择左侧“策略管理”->“应用控制”，在右侧点击“添加”按钮，在弹出的对话框中输入策略名称、描述；选择用户、生效时间、操作，并将要控制的应用从左侧列表选择到右侧列表，如下图所示：2 点击“确定”按钮，如下图所示：注意：对于被阻断的应用，可以在“系统监控”->“上网监控”->“当前阻断”和“系统监控”->“历史信息”->“阻断日志”下查看。5.5. 内容过滤在“内容过滤”中可以配置对用户某种应用的关键字进行过滤的策略。TPN-2G安全网关通过对网络上传输数据的分析，能够在基于“用户”、“时间”和“应用类型”的条件下对设定的关键字进行过滤。配置内容过滤策略的步骤如下：1、 选择左侧“策略管理”->“内容过滤”，在右侧点击“添加”按钮，在弹出的对话框中输入策略名称、描述；选择用户、生效时间，在“关键字”对话框中输入要过滤的关键字，并将相应的应用或全部应用从左侧列表选择到右侧列表，如下图所示：2、 点击“确定”按钮，如下图所示：注意：对于被过滤的关键字信息，可以在“系统监控”->“上网监控”->“当前阻断”和“系统监控”->“历史信息”->“阻断日志”下查看。5.6. 网址控制在“网址控制”中可以配置对访问网站的控制策略。下面包括“网址库策略”和“网页搜索策略”两个子项，分别用于对网址的控制和搜索关键字的控制。5.6.1. 网址库策略对网站的控制可以根据设备内置的网址库分类进行配置，管理员也可以自定义网址库后，被策略引用。配置网页控制策略的步骤如下：1 选择左侧“策略管理”->“网页控制”->“网址库策略”，在右侧点击“添加”按钮，在弹出的对话框中输入策略名称、描述；选择用户、生效时间、控制，并选择要控制的网站分类对象（在“策略管理”->“对象管理”->“网站分类对象”中定义），如下图所示：2 点击“确定”按钮，如下图所示：注意：只有在网址库策略中配置了允许策略，才能在“系统监控”->“上网监控”->“网站访问”中看到网站记录。因此通常建议将默认生成的“允许所有网站”的策略，放在最后一条。注意：当有用户访问了策略禁止的网站，可以在 “系统监控”->“上网监控”->“当前阻断”和“系统监控”->“历史信息”->“阻断日志”下查看到相关内容。5.6.2. 网页搜索策略通过网页搜索策略，可以控制是否允许搜索某些关键字，和记录哪些搜索内容。配置网页控制策略的步骤如下：1 选择左侧“策略管理”->“网页控制”->“网页搜索策略”，在右侧点击“添加”按钮，在弹出的对话框中输入策略名称、描述；选择用户、生效时间，输入关键字（多个关键字用英文输入法下的逗号隔开），并选择要控制策略，控制策略包括“记录”、“禁止”和“禁止并记录”，如下图所示：2 点击“确定”按钮，如下图所示：注意：和网址库策略相同，只有配置了相关关键字“记录”策略，才能在“系统监控”->“上网监控”->“搜索引擎”中看到网站记录。因此通常建议将默认生成的“允许所有”记录任何搜索关键字的策略（输入关键字为*即可），放在最后一条，如下图：注意：目前只支持百度和谷歌两种搜索引擎。5.7. 应用审计在应用审计中可以配置对用户上网内容的审计策略。应用审计策略包括4项：Ø 发贴审计Ø 邮件接收审计Ø 邮件发送审计Ø MSN审计配置应用审计策略的步骤如下：1 选择左侧“策略管理”->“应用审计”，在右侧选中一类要配置的策略，点击“修改”按钮或双击该策略，在弹出的对话框中选择要生效的用户、生效时间，并选择相关的参数，如下图所示：2 点击“确定”按钮，如下图所示：注意：对于Web Mail，只能审计到发送，无法审计到接收。目前Web Mail只支持雅虎邮箱、网易163邮箱、网易126邮箱和新浪邮箱四种。5.8. 流量控制在流量控制中可以配置流量控制策略。流量控制策略通常分为用户流控和应用流控两种。5.8.1. 带宽通道对象配置流量控制策略之前需要先配置带宽通道对象，用于被流量控制策略引用。带宽通道参数说明如下：Ø 通道类型：² 独享动态通道：对引用该类型通道的用户实行动态流控，动态流控功能可以自动识别大流量下载的用户，对其进行限制带宽，从而保证正常上网用户的带宽，达到一个上网流量的均衡。该类型通道只能在用户流控中使用。目前该类型通道只能被用户策略引用。² 独享静态通道：对引用该类型通道的用户实行带宽保证和限制，即确保该用户可以使用这个带宽，但也不可以超过。目前该类型通道只能被用户策略引用。² 共享静态通道：对引用该类型通道的用户，共享一个设定的带宽，不可以超过该设定的带宽。目前该类型通道只能被P2P应用流控策略引用。Ø 检测时间：只用于独享动态通道，指检测大流量的时间间隔，通常保持默认值即可；Ø 优先级：用于设定通道的优先级，分为8个优先级，从1到8，优先级8最高；Ø 上行最大流量：确保和限制的最大上行带宽；Ø 下行最大流量：确保和限制的最大下行带宽；配置带宽通道对象的步骤如下：1 选择左侧“策略管理”->“流量控制”->“带宽通道对象”，在右侧点击“添加”按钮，在弹出的对话框中选择通道类型、和其他相关的参数，如下图所示：2 点击“确定”按钮，如下图所示：5.8.2. 应用流控应用流控是用于对所有数据流进行基于应用识别的流控。配置应用流控的步骤如下：1 选择左侧“策略管理”->“流量控制”->“应用流控”，在右侧点击“添加”按钮，在弹出的对话框中选择要生效的用户、生效时间，并在相应的应用上选择要引用的通道，如下图所示：2 点击“确定”按钮，如下图所示：5.8.3. 用户流控策略 用户流控策略是以用户或用户组为限定对象的流量控制策略。配置用户流控策略的步骤如下：1、选择左侧“策略管理”->“流量控制”->“用户流控策略”，在右侧列表中点击“添加”按钮，在弹出的对话框中输入名称、描述；选择要进行流控的用户、生效时间；选择设定好的通道。如下图所示： 2、点击“确定”按钮，如下图所示：注意：添加了用户流控策略后可以在“用户管理”->“组织结构”->“用户组”下对应的用户属性中查看引用的用户流控策略。5.9. 主机策略 主机策略是配合CS客户端用户的策略，其中可以设置主机风险评估等级、进程库管理、非法外联、补丁更新、虚拟VLAN和全局配置。5.9.1. 主机风险评估等级主机风险评估等级是对“进程管理”、“杀毒软件”、“防火墙”、“补丁更新”、“应用审计”、“虚拟VLAN”、“非法外联”等全网行为管理功能的一个归纳，管理员可以把上述每种功能权限的不同配置组合为一个等级，供部门或用户引用。设备出厂默认添加了“高”、“中”、“低”三个主机风险评估等级，预置了相应的一些功能配置，对应着相对较紧、中等和宽松的控制策略。添加、修改“主机风险评估等级”的步骤如下：1 选择左侧的“主机策略”->“主机风险评估等级”；2 点击“添加”按钮（如果修改配置，点击“修改”按钮），在弹出的对话框中输入名称，在每个页签中选择是否开启每个权限功能，并对相应的权限进行设置；3 点击“确定”按钮；如下图所示：每个功能的具体配置将在下面详细介绍。5.9.1.1. 进程控制进程控制包括威胁进程和禁用进程：Ø 威胁进程包括：木马、安全扫描、嗅探、蠕虫、流氓软件等；Ø 禁用进程包括：远程管理、P2P下载、聊天、网络游戏、股票分析软件、代理软件等；可以点击左侧的“主机策略”->“进程库管理”来查看这些进程名称；所有这三类进程特征均存放在网关的进程特征库中，更新进程特征库的方法请参照“系统升级”部分。进程控制功能的具体配置步骤如下：1 选择左侧的“主机策略”->“主机风险评估等级”，选择相应的等级，双击、或者点击导航栏上的“修改”按钮；2 在弹出的对话框中选择进程类别和子类别，选中相应的进程（可以通过按住shift键来多选），选择对这些进程控制生效的时间表（时间表配置参考“策略管理->“对象管理”->“时间对象”），点击右侧的执行策略。3 点击“确定”。进程控制执行策略的说明：Ø 报告：检测到该进程后，在“威胁报告”中记录，但允许运行；Ø 禁止应用：检测到该进程后，强制结束此进程，并在客户端弹出气泡提示，同时在网关“威胁报告”中记录；Ø 禁用帐号：检测到该进程后，对登录的帐号禁用一段时间，具体禁用时间参考“主机策略”->“全局设置”里的“帐号禁用”选项；Ø 不检测：对该进程不检测，此进程的特征库不会下发到客户端，运行此进程不会在“威胁报告”中记录；Ø 禁止登录：只有在“强制进程”中才有用，当某进程选择了“禁止登录”后，没有检测到该进程的用户无法登录，并在客户端给出相应提示。5.9.1.2. 准入控制准入控制主要用于对接入内网的主机进行全面的主机安全评估，如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别（如：没有启用杀毒软件、防火墙、杀毒软件没有及时更新病毒库、操作系统未按规定打补丁等），则不允许该主机访问外网或限制其对内网的资源访问。5.9.1.2.1. 杀毒软件检测杀毒软件检测是指在TPN-2G用户登录时对主机上的杀毒软件进行检测，未安装指定杀毒软件或者病毒库过期的主机无法登录，并在客户端给出相应提示。配置步骤如下：1 选择左侧的“主机策略”->“主机风险评估等级”，选择相应的等级，双击、或者点击导航栏上的“属性”按钮；2 在弹出的对话框中选择“准入控制”->“杀毒软件”页签，选择方式为“任意杀毒软件”、“以下任意一款”（当选择为“以下任意一款”时，需在下面列表中选择相应的杀毒软件名称）。3 点击“确定”按钮；如下图所示：检测方式说明：Ø 任意杀毒软件：² 当操作系统为WinXP或着为Vista时，只要安全中心未弹出杀毒软件的安全警报，即认为检测合格，否则认为不合格；这种方式下既检查杀毒软件运行状态，也检查病毒库是否过期；² 当操作系统为Win2000或Win2003时，只要检测到本地运行的杀