《【財務管理內(nèi)部審計 】審計與流控》由會員分享，可在線閱讀，更多相關《【財務管理內(nèi)部審計 】審計與流控（23頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 {財務管理內(nèi)部審計}審 計與流控 UAG3000審計及流控 實驗指導 （Ver1.0） 杭州迪普培訓中心 2013年03月 目錄 1.設備初始化 1 1.1 概覽 1 1.2 網(wǎng)絡拓撲 1 1.3 配置 1：恢復設備出廠配置 2 1.4 配置 2：登陸設備 WEB 頁面 2 1.5 配置 3：修改管理口 IP 地址 3 2.組網(wǎng)模式選擇 4 2.1 概覽 4 2.2 網(wǎng)關模式[PPPOE]4 2.3 網(wǎng)關模式[DHCP]5 2.4 網(wǎng)關模式[固定 IP]6 2.5 網(wǎng)關模式[3G]7 2.6 透明模式-在線模式

2、8 2.7 透明模式-旁路模式 9 2.8 透明橋接模式 10 3.流量控制 12 3.1 概覽 12 3.2 網(wǎng)絡拓撲 12 3.3 配置 1：帶寬限速 12 1）選擇組網(wǎng)模式 12 2）創(chuàng)建內(nèi)網(wǎng)用戶 13 3）創(chuàng)建網(wǎng)絡應用組 14 4）配置帶寬限速 14 5）添加管理路由 15 6）配置 DNS 地址 15 3.4 配置 2：訪問控制 15 1）選擇組網(wǎng)模式 15 2）創(chuàng)建內(nèi)網(wǎng)用戶 16 3）創(chuàng)建網(wǎng)絡應用組 17 4）配置訪問控制 17 5）添加管理路由 18 6）配置 DNS 地址 18 7）配置日志輸出 18 3.5 配置 3：URL 過濾 1

3、9 1）選擇組網(wǎng)模式 19 2）創(chuàng)建內(nèi)網(wǎng)用戶 20 3）配置 URL 過濾 20 4）添加管理路由 21 5）配置 DNS 地址 21 6）配置日志輸出 21 4.行為管理 23 4.1 概覽 23 4.2 網(wǎng)絡拓撲 23 4.3 配置 1：行為審計 23 1）選擇組網(wǎng)模式 23 2）創(chuàng)建內(nèi)網(wǎng)用戶 24 3）配置行為審計 25 4）添加管理路由 25 5）配置 DNS 地址 25 6）配置日志輸出 26 4.4 配置 2：流量分析 26 1）選擇組網(wǎng)模式 26 2）創(chuàng)建內(nèi)網(wǎng)用戶 27 3）配置流量分析 28 4）添加管理路由 28 5

4、）配置 DNS 地址 29 6）配置日志輸出 29 5.終端接入控制 30 5.1 概覽 30 5.2 網(wǎng)絡拓撲 30 5.3 配置 1：WEB 認證 30 1）選擇組網(wǎng)模式 30 2）創(chuàng)建內(nèi)網(wǎng)用戶 31 3）創(chuàng)建 WEB 認證用戶 32 4）開啟 WEB 認證 32 5）配置 WEB 認證 32 6）添加管理路由 33 7）配置 DNS 地址 33 8）配置日志輸出 34 5.4 配置 2：MAC/IP 綁定 34 1）選擇組網(wǎng)模式 34 2）配置 MAC/IP 綁定 35 3）添加管理路由 36 4）配置 DNS 地址 37 5）配置日志輸出 37

5、6.其他常用配置 38 6.1 系統(tǒng)管理 38 1）系統(tǒng)名稱及時間 38 2）開啟 SNMP 配置 38 3）管理員權(quán)限配置 38 4）導出配置文件 39 5）特征庫升級 40 6）軟件版本升級 41 6.2 網(wǎng)絡管理 41 1）軟件 BYPASS41 2）診斷工作 42 6.3 日志管理 42 1）系統(tǒng)日志管理 42 2）操作日志管理 44 3）業(yè)務日志管理 45 7.修訂記錄（內(nèi)部保留）46 1. 設備初始化 1.1 概覽 通過此實驗,您將學習到： 恢復設備出廠配置 登陸設備 WEB 頁面 修改管理口 IP 地址

6、1.2 網(wǎng)絡拓撲 描述： ? 管理 PC 通過串口線連接設備 CON 口（設備串口） ? 管理 PC 通過以太網(wǎng)線連接設備 MGMT 口（設備管理口） 配置： ? 管理 PC：本地配置 192.168.0.5/24 ? 設備串口：9600 波特率,密碼 DPTECH ? 設備管理口：默認地址 192.168.0.1/24,用戶名 admin,密碼 admin 1.3 配置 1：恢復設備出廠配置 登陸設備串口,進行如下操作： Password: resetfactorydefault Warning:resetfactorydefault. Areyou

7、sure?(Y/N)[N]:y 1.4 配置 2：登陸設備 WEB 頁面 等待設備初始化完成,直至串口信息顯示“Password：”為止；輸入用戶名、 密碼及驗證碼進行 WEB 登陸。 效用驗證：無 1.5 配置 3：修改管理口 IP 地址 方法 1：訪問基本>網(wǎng)絡管理>接口配置（管理接口配置） 方法 2：使用串口進行管理地址修改 Password: conf-mode [DPTECH]interfacemeth0_7 [DPTECH-meth0_7]ipaddress192.168.0.1/24 效用驗證：無 2. 組

8、網(wǎng)模式選擇 2.1 概覽 通過此實驗,您將學習到： 配置網(wǎng)關模式[PPPoE] 配置網(wǎng)關模式[DHCP] 配置網(wǎng)關模式[固定 IP] 配置網(wǎng)關模式[3G] 配置透明模式-在線模式 配置透明模式-旁路模式 配置透明橋接模式 2.2 網(wǎng)關模式[PPPoE] 描述： 此模式下,WAN 口通過 PPPoE 撥號連接外網(wǎng)。 配置： 訪問基本>網(wǎng)絡管理>組網(wǎng)模式 訪問基本>網(wǎng)絡管理>NAT（源 NAT） 效用驗證：無 2.3 網(wǎng)關模式[DHCP] 描述： 此模式下,WAN 口通過 DHCP 獲取 IP 地址連接外網(wǎng)。 配置： 訪問基本>網(wǎng)絡管理>組網(wǎng)模式 訪問基

9、本>網(wǎng)絡管理>NAT（源 NAT） 效用驗證：無 2.4 網(wǎng)關模式[固定 IP] 描述： 此模式下,手動配置 WAN 口 IP 地址連接外網(wǎng)。 配置： 訪問基本>網(wǎng)絡管理>組網(wǎng)模式 訪問基本>網(wǎng)絡管理>NAT（源 NAT） 效用驗證：無 2.5 網(wǎng)關模式[3G] 描述： 此模式下,WAN 口通過 3G 撥號連接外網(wǎng)。 配置： 訪問基本>網(wǎng)絡管理>組網(wǎng)模式 訪問基本>網(wǎng)絡管理>NAT（源 NAT） 效用驗證：無 2.6 透明模式-在線模式 描述： 此模式適用于設備串接在現(xiàn)有網(wǎng)絡中使用,不改變網(wǎng)絡拓撲,增加安全效用。 配置： 訪問基本>網(wǎng)絡管

10、理>組網(wǎng)模式 效用驗證：無 2.7 透明模式-旁路模式 描述： 此模式下,旁路接口不存在接口對概念,只對鏡像流量只做檢測,無動作。 配置： 訪問基本>網(wǎng)絡管理>組網(wǎng)模式 效用驗證：無 2.8 透明橋接模式 描述： 此模式在透明模式的基礎上,提供了認證效用和帶內(nèi)管理效用?？梢允褂脦? 內(nèi)和帶外兩種管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內(nèi)、帶外地址 不能沖突）。 配置： 訪問基本>網(wǎng)絡管理>組網(wǎng)模式 效用驗證：無 3. 流量控制 3.1 概覽 通過此實驗,您將學習到： 配置帶寬限速 配置訪

11、問控制 配置 URL 過濾 3.2 網(wǎng)絡拓撲 描述： 此模式在透明模式的基礎上,提供了認證效用和帶內(nèi)管理效用?？梢允褂脦? 內(nèi)和帶外兩種管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內(nèi)、帶外地址 不能沖突）。 2 Server 端對外提供 FTP 及 HTTP 服務。 3.3 配置 1：帶寬限速 1）選擇組網(wǎng)模式 訪問基本>網(wǎng)絡管理>組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應 帶內(nèi)管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 2 注意 1：物理接口上下行方向,eth0_0->eth0_1 為上行方向。 2 注意 2：如果連接物理線

12、后,接口無法 UP,請在串口下開啟該接口。 Password: conf-mode [DPTECH]interfaceeth0_0 [DPTECH-eth0_0]noshutdown [DPTECH-eth0_0]exit [DPTECH]interfaceeth0_1 [DPTECH-eth0_1]noshutdown 2 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內(nèi)網(wǎng)用戶 訪問基本>網(wǎng)絡管理>網(wǎng)絡用戶組>IP 地址（地址對象）,創(chuàng)建內(nèi)網(wǎng)用戶。 2 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。

13、 2 注意：IP 地址子網(wǎng)掩碼的劃分。 3）創(chuàng)建網(wǎng)絡應用組 訪問業(yè)務>流控與審計>網(wǎng)絡應用組管理,新建用戶自定義應用組“FTP 限速”, 將指定特征拖至用戶自定義應用組策略中,點擊“確認”進行策略下發(fā)。 4）配置帶寬限速 訪問基本>流控與審計>帶寬限速（用戶組限速）,將已創(chuàng)建的 IP 地址對象、 網(wǎng)絡應用組同時引用到上、下行接口,設置限速參數(shù)“FTP 限速 80Kbps”,點 擊“確 認”進行策略下發(fā)。 2 注意：為突出限速效果,建議限速策略配置雙向。 5）添加管理路由 訪問基本>網(wǎng)絡管理>單播 IPv4 路由>靜態(tài)路由（配置靜態(tài)路由）,添加管理 路由,用于對設備跨網(wǎng)段管

14、理,下一跳指向網(wǎng)關。 6）配置 DNS 地址 訪問基本>網(wǎng)絡管理>DNS 配置（DNS 配置）,添加 DNS 服務器地址,用于 對設備進行域名解析,特征庫自動升級等地方使用。 效用驗證： ClientPC 下載 FTP 服務器資源,達到限速效果。 3.4 配置 2：訪問控制 1）選擇組網(wǎng)模式 訪問基本>網(wǎng)絡管理>組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應 帶內(nèi)管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 2 注意 1：物理接口上下行方向,eth0_0->eth0_1 為上行方向。 2 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口

15、。 Password: conf-mode [DPTECH]interfaceeth0_0 [DPTECH-eth0_0]noshutdown [DPTECH-eth0_0]exit [DPTECH]interfaceeth0_1 [DPTECH-eth0_1]noshutdown 2 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內(nèi)網(wǎng)用戶 訪問基本>網(wǎng)絡管理>網(wǎng)絡用戶組>IP 地址（地址對象）,創(chuàng)建內(nèi)網(wǎng)用戶。 2 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 2 注意：IP 地址子網(wǎng)掩碼的劃分。 3）創(chuàng)建網(wǎng)絡應

16、用組 訪問業(yè)務>流控與審計>網(wǎng)絡應用組管理,新建用戶自定義組“FTP 限制”,將 指定特征拖至用戶自定義應用組策略中,點擊“確認”進行策略下發(fā)。 4）配置訪問控制 訪問業(yè)務>流控與審計>訪問控制,將已創(chuàng)建的 IP 地址對象、網(wǎng)絡應用組同時 引用到上下行接口,設置動作均阻斷,點擊“確認”進行策略下發(fā)。 2 建議：訪問控制策略配置雙向。 5）添加管理路由 訪問基本>網(wǎng)絡管理>單播 IPv4 路由>靜態(tài)路由（配置靜態(tài)路由）,添加管理 路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。 6）配置 DNS 地址 訪問基本>網(wǎng)絡管理>DNS 配置（DNS 配置）,添加 DN

17、S 服務器地址,用于 對設備進行域名解析,特征庫自動升級等地方使用。 7）配置日志輸出 訪問基本>日志管理>業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志 主機”,并填入日志主機 IP 地址,及端口號。 2 注意：通用端口號為 514,UMC 指定端口號為 9514。 效用驗證： ClientPC 下載 FTP 服務器資源,達到訪問控制效果。 3.5 配置 3：URL 過濾 1）選擇組網(wǎng)模式 訪問基本>網(wǎng)絡管理>組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應 帶內(nèi)管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 2 注意 1：物理接口上下行方

18、向,eth0_0->eth0_1 為上行方向。 2 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。 Password: conf-mode [DPTECH]interfaceeth0_0 [DPTECH-eth0_0]noshutdown [DPTECH-eth0_0]exit [DPTECH]interfaceeth0_1 [DPTECH-eth0_1]noshutdown 2 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內(nèi)網(wǎng)用戶 訪問基本>網(wǎng)絡管理>網(wǎng)絡用戶組>IP 地址（地址對象）,創(chuàng)建內(nèi)網(wǎng)用戶。 2 說

19、明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 2 注意：IP 地址子網(wǎng)掩碼的劃分。 3）配置 URL 過濾 訪問業(yè)務>流控與審計>URL 過濾（URL 過濾）,過濾參數(shù)“IPV4”,選擇已創(chuàng) 建的 IP 地址對象,設置動作黑名單,點擊“確認”進行策略下發(fā)。 2 說明：如果對旗下所有網(wǎng)站進行 URL 過濾,需選擇“過濾類型”為‘正則表 達式’,且過濾參數(shù)為‘xxx’。 4）添加管理路由 訪問基本>網(wǎng)絡管理>單播 IPv4 路由>靜態(tài)路由（配置靜態(tài)路由）,添加管理 路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。 5）配置 DNS 地址 訪問基本>

20、網(wǎng)絡管理>DNS 配置(DNS 配置),添加 DNS 服務器地址,用于對 設備進行域名解析,特征庫自動升級等地方使用。 6）配置日志輸出 訪問基本>日志管理>業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志 主機”,并填入日志主機 IP 地址,及端口號。 2 注意：通用端口號為 514,UMC 指定端口號為 9514。 效用驗證： ClientPC 無法訪問 10.99.0.5。 4. 行為管理 4.1 概覽 通過此實驗,您將學習到： 配置行為審計 配置流量分析 4.2 網(wǎng)絡拓撲 描述： 此模式在透明模式的基礎上,提供了認證效用和帶內(nèi)管理

21、效用?？梢允褂脦? 內(nèi)和帶外兩種管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內(nèi)、帶外地址 不能沖突）。 2 Server 端對外提供 FTP 及 HTTP 服務。 4.3 配置 1：行為審計 1）選擇組網(wǎng)模式 訪問基本>網(wǎng)絡管理>組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應 帶內(nèi)管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 2 注意 1：物理接口上下行方向,eth0_0->eth0_1 為上行方向。 2 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。 Password: conf-mode [DP

22、TECH]interfaceeth0_0 [DPTECH-eth0_0]noshutdown [DPTECH-eth0_0]exit [DPTECH]interfaceeth0_1 [DPTECH-eth0_1]noshutdown 2 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內(nèi)網(wǎng)用戶 訪問基本>網(wǎng)絡管理>網(wǎng)絡用戶組>IP 地址（地址對象）,創(chuàng)建內(nèi)網(wǎng)用戶。 2 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 2 注意：IP 地址子網(wǎng)掩碼的劃分。 3）配置行為審計 訪問業(yè)務>流量與審計>行為審計（行為審計策略配置）

23、,選擇已創(chuàng)建的 IP 地 址對象,點擊“確認”進行策略下發(fā)。 2 建議：“用戶/用戶組”使用已創(chuàng)建內(nèi)網(wǎng)用戶。 4）添加管理路由 訪問基本>網(wǎng)絡管理>單播 IPv4 路由>靜態(tài)路由（配置靜態(tài)路由）,添加管理 路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。 5）配置 DNS 地址 訪問基本>網(wǎng)絡管理>DNS 配置（DNS 配置）,添加 DNS 服務器地址,用于 對設備進行域名解析,特征庫自動升級等地方使用。 6）配置日志輸出 訪問基本>日志管理>業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志 主機”,并填入日志主機 IP 地址,及端口號。 2 注意 1：不勾選“輸

24、出到 SYSLOG 日志主機”,則行為審計日志在本地查 看。 2 注意 2：通用端口號為 514,UMC 指定端口號為 9514。 2 注意 3：必須勾選“審計日志”方可查看,且輸出日志主機與保存本地查看 只能選擇其一。 效用驗證： ClientPC 訪問 ServerPC 的 FTP 及 HTTP 資源,可查看到對應審計日志。 4.4 配置 2：流量分析 1）選擇組網(wǎng)模式 訪問基本>網(wǎng)絡管理>組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應 帶內(nèi)管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 2 注意 1：物理接口上下行方向,eth0_0->eth0_1

25、 為上行方向。 2 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。 Password: conf-mode [DPTECH]interfaceeth0_0 [DPTECH-eth0_0]noshutdown [DPTECH-eth0_0]exit [DPTECH]interfaceeth0_1 [DPTECH-eth0_1]noshutdown 2 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內(nèi)網(wǎng)用戶 訪問基本>網(wǎng)絡管理>網(wǎng)絡用戶組>IP 地址（地址對象）,新建內(nèi)網(wǎng)用戶。 2 說明：多個 IP 地址對象,可添加

26、到一個 IP 地址對象組中。 2 注意：IP 地址子網(wǎng)掩碼的劃分。 3）配置流量分析 訪問業(yè)務>流量與審計>流量分析>流量分析（流量統(tǒng)計配置）,勾選接口流量 統(tǒng)計和每 IP 流量統(tǒng)計,網(wǎng)絡用戶組選擇已創(chuàng)建的 IP 地址對象。 2 建議：發(fā)送間隔時間保持默認 5 分鐘。 4）添加管理路由 訪問基本>網(wǎng)絡管理>單播 IPv4 路由>靜態(tài)路由（配置靜態(tài)路由）,添加管理 路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。 5）配置 DNS 地址 訪問基本>網(wǎng)絡管理>DNS 配置（DNS 配置）,添加 DNS 服務器地址,用于 對設備進行域名解析,特征庫自動升級等地方使用

27、。 6）配置日志輸出 訪問基本>日志管理>業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志 主機”,并填入日志主機 IP 地址,及端口號。 2 注意 1：不勾選“輸出到 SYSLOG 日志主機”,則流量分析日志在本地查 看。 2 注意 2：通用端口號為 514,UMC 指定端口號為 9514。 效用驗證： ClientPC 訪問 ServerPC 的 FTP 及 HTTP 資源,可查看到對應流量分析日志。 5. 終端接入控制 5.1 概覽 通過此實驗,您將學習到： 配置 WEB 認證 配置 MAC/IP 綁定 5.2 網(wǎng)絡拓撲 描述：

28、此模式在透明模式的基礎上,提供了認證效用和帶內(nèi)管理效用?？梢允褂脦? 內(nèi)和帶外兩種管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內(nèi)、帶外地址 不能沖突）。 2 Server 端對外提供 FTP 及 HTTP 服務。 5.3 配置 1：WEB 認證 1）選擇組網(wǎng)模式 訪問基本>網(wǎng)絡管理>組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應 帶內(nèi)管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 2 注意 1：物理接口上下行方向,eth0_0->eth0_1 為上行方向。 2 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。 Passwo

29、rd: conf-mode [DPTECH]interfaceeth0_0 [DPTECH-eth0_0]noshutdown [DPTECH-eth0_0]exit [DPTECH]interfaceeth0_1 [DPTECH-eth0_1]noshutdown 2 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內(nèi)網(wǎng)用戶 訪問基本>網(wǎng)絡管理>網(wǎng)絡用戶組>IP 地址（地址對象）,創(chuàng)建內(nèi)網(wǎng)用戶。 2 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 2 注意：IP 地址子網(wǎng)掩碼的劃分。 3）創(chuàng)建 WEB

30、 認證用戶 訪問業(yè)務>安全中心>Protal 認證>本地認證用戶（本地認證）,手動添加或批 量導入用戶信息,點擊“確認”進行策略下發(fā)。 4）開啟 WEB 認證 訪問業(yè)務>安全中心>Protal 認證>認證配置（基本認證配置）,啟用 WEB 認 證,勾選本地認證,點擊“確認”進行策略下發(fā)。 5）配置 WEB 認證 訪問業(yè)務>安全中心>Protal 認證>認證配置（Web 認證配置）,選擇“用戶組” 參數(shù)中去除 ALLUSERS 用戶,勾選內(nèi)網(wǎng) IP,點擊“確認”進行策略下發(fā)。 2 說明：如需要彈出用戶登陸狀態(tài)框,則勾選“顯示登陸狀態(tài)框”。 6）添加管理路由 訪問基本>網(wǎng)絡管理>單播 IPv4 路由>靜態(tài)路由（配置靜態(tài)路由）,添加管理 路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。 科教興國 23