还剩32页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
前言企业信息化建设现状分析伴随网络的快速发展,互联网成为企业发展不可缺少的工具,同时互联网在企业创造效益的同时,也产生了一定的负面效果当前常规的企业网络建设方式,已经不能满足企业管理和发展的需要,不能解决企业网络安全,文档信息保护,高效利用网络带宽,___工上网,___工的工作情况等现实问题为了解决这些问题,很多企业需要多种解决方案,随之而来的信息化投资建设投入,这对于中小企业是个比较大的经济负担此外,__人员需要掌握多种软件的使用,不但增大了应用的难度,而且也增加了系统后续维护的困难网屏FH-__系列产品方向FH-__系列上网行为管理安全__是深圳市单双科技有限公司研发的新一代多功能上网行为管理产品FH-__系列__在全面理解、吸收现已有产品的基础上,精心搭建了灵活、可扩展、先进的产品架构设计,使我们的产品能做到让高端路由功能和特点的普及化该产品采用高性能嵌入式多核平台设计,具有高速处理性能、海量吞吐能力、运行稳定,基本能做到免维护FH-__系列上网行为管理安全__集成了上网行为管理、防火墙、___功能,强大而丰富的功能为用户提供全方位的服务多台设备的功能集于一台FH-__系列上网行为管理安全__能够为用户节省大量的设备投资FH-__系列上网行为管理安全__提供基于web的配置界面,该界面化繁为简、简单易学,普通用户轻松上手FH-__系列上网行为管理安全__提供全面的日志功能,方便用户对网络__进行实时监控并能为员工的考核提供详细的资料注本说明书是FH-NGFH-NSFH-__三个系列上网行为管理产品通用说明书第1章产品特点FH-__/NS/NG系列上网行为管理安全__是单双科技经过__的技术积累研发的新一代多功能上网行为管理产品该产品具有以下特点管理界面为全web界面简化了配置和维护工作,简单易学,用户可以轻松上手上网行为管理安全__的IOS、特征库终身免费升级,尽最大程度替用户着想,为用户节约大量的后继投入专业的研究团队不断跟踪互联网应用,实现特征库与互联网最新应用同步更新,为用户解除互联网发展太快上网行为管理安全__无法对最新应用进行控制的担忧上网行为管理安全__采用先进的嵌入式平台设计,不但处理性能远高于普通工控机,而且稳定性也优于普通工控机上网行为管理安全__集成防火墙、___功能,能够有效的提高用户网络的安全等级,为用户提供抵御网络攻击的安全防护手段支持二层和三层网络服务,上网行为管理安全__丰富协议的支持使其能够适合各种类型网络的部署支持串行、并行接入网络模式,并行接入网络模式不需要改变原来网络设备的设置、不会改原来网络的稳定性通过分时间段或全时间段对企业各部门的流量数据进行访问的P2P、即时通信、网络游戏、P2P视频、股票证券等上网行为进行管理,可以实现对80多种类型的__访问控制FH-__上网行为管理安全__支持PPPOE、PPTPE、WEBPortal、__c、ip等多种安全接入认证手段,能够有效的控制上网用户身份的合法性上网行为管理安全__提供详细的在线情况查询、详细的日志服务,并且提供实时流量情况查看,使用户能够随时对网络应用情况了如指掌第2章Web概述为了方便用户对FH-__/NS/NG系列上网行为管理安全__进行操作和维护,单双科技推出了WEB__功能,此功能通过图形化的WEB界面代替繁琐的命令行来对FH-__系列上网行为管理安全__进行配置和管理
2.
1.客户端要求PC已__网卡且网卡可用操作系统和浏览器操作系统支持Windows98/2000/XP、Solaris、RedhatLinux等浏览器要求IE
5.5以上、Netscape
7.1以上、Mozilla
1.4以上等
2.
2.登录web管理界面将PC和上网行为管理安全__连接好,打开电源上网行为管理安全__启动时将读取配置文件,包括一些基本的配置,如给LAN口配置IP地址、登录WEB页面的用户名和口令等等通过局域网连接的情况下,用户可以将PC设置为自动获取IP地址或者手工指定IP地址但无论设置为哪种方式,PC最终的IP地址必须与上网行为管理安全__的LAN口IP在同一网段,PC才能登录WEB__页面通过广域网连接的情况下,PC和上网行为管理安全__之间要路由可达,且上网行为管理安全__上已启用了远程管理功能,PC才能登录WEB__页面图
2.
1.Web登录页面用户名:admin__缺省为myadmin如果用户修改了口令,请输入新口令如果用户无法看到如上登录页面,请做如下检查上网行为管理安全__的电源线已经连接好并开启电源PC与上网行为管理安全__已经连接好PC网卡可用PC的IP地址与LAN口IP在同一网段表
2.
1.各网口口的出厂IP地址DMZLANWAN1WAN
210.
0.
0.
200192.
168.
1.1
192.
168.
2.
1192.
168.
3.1提示如果网口地址已经更改,用户需将PC的IP地址修改为与FH-__设备的IP地址在同一网段,否则无法接入FH-__上网行为管理安全__初始用户名为admin,__为myadmin,为了安全,建议用户在第一次登录后立即修改登录口令第3章系统
3.
1.系统状态__web界面左侧导航栏“系统”-》“系统状态”进入系统状态信息界面该界面包含如下信息运行状态包含系统当前时间、系统运行时长、CPU使用率、内存使用率、系统连接数设备信息CPU型号、主频、固件版本号、本机li__nse用户信息当前用户名称、用户权限分区信息分区名称、总大小、已使用、使用百分比部分服务和策略的状态各网络接口的流量状态注意本系统流量图采用svg格式绘制,对于Firefox用户,可以直接查看流量图用户如果无法通过浏览器查看流量图,则需要下载并__adobe公司的svgviewer插件用户可以__下载地址后面的链接来下载svgviewer插件下载并__svgviewer插件后,重启浏览器后则可以正常查看网络流量图端口流量功能显示的是端口实时流量状态,___可以通过该流量状态掌握网络流量的实时情况___可以分别__“显示LAN流量”、“显示WAN流量”、“显示DMZ流量”按钮来显示不同区域实时流量的状态在图
3.1“系统流量图”显示的__显示当前流量统计数据图
3.
1.系统流量图提示___可以将鼠标至端口流量图上__,系统能够根据鼠标所处的位置显示对应时刻的流量状态数据
3.
2.IP流量状态__web界面左侧导航栏“系统”-》“系统状态”,进入流量状态流量状态表中动态显示当前接收速率、接收包率、发送速率、发送包率最高的前100个IP设备系统默认排名为接收速率最高的前100个IP设备,___可以__表栏的“接收速率”、“接收包率”、“发送速率”、“发送包率”选项以实现按照相应按钮进行IP设备的排序图
3.
2.IP流量图___如果发现某个IP设备流量异常,或需要临时阻断该IP____,可以__IP对应的“临时屏蔽3分钟”按钮实现阻断该IP____系统阻断时间为3分钟3分钟后,该IP可以恢复对外网的访问___可以__“流量前100名状态”表中的IP地址以显示该IP地址当前的流量状况(如下图所示)注意如果__“临时屏蔽3分钟”,会使对应IP设备的网络连接、网络应用中断___在使用该功能时需谨慎
3.
3.时间__web界面左侧导航栏“系统”-》“时间”,进入系统时间设置首先需要选择正确的时区,___根据所处的位置选择对应的时区___可以通过两种方式调整系统时间手动设置时间、NTP自动更新___选择手动设置时间后,需要在时间栏中输入正确的时间,格式为“年-月-日小时分钟秒”例如“2009-12-14100657”如果___需要使用NTP自动更新,必须在在网络中具有可达的NTP服务器,___需在NTP服务器栏中输入NTP服务器的IP或域名,如输入域名,则需要保证设备本身DNS服务器配置正确图
3.
3.手动设置时间图
3.
4.NTP自动____注意“时间”的设定是设置系统运行的时钟如果___配置了基于时钟的流量控制策略,系统会根据系统时钟来执行流量控制策略如果系统时钟与实际时钟不一致,将会导致流量控制策略执行不正确例如系统时钟与实际时间相差12个小时___设定的策略是830~1800时间段员工不能访问___站,其余时间段可以访问因为系统时钟与实际时间相差12个小时,系统执行的效果将会是2030~600不能访问___站,其余时间段员工可以正常访问___站
3.
4.DNS__web界面左侧导航栏“系统”-》“DNS”,进入DNS(Do__inNameSystem)设置DNS配置是本系统作为DNS客户端解析DNS域名,如NTP服务器的域名解析该DNS配置不提供用户网络中计算机域名解析服务注意如果___在“接口配置”中“接入模式中”选择了PPPOE/ADSL或DHCP上网,并且在接口配置里选择了“接受分配的DNS”,PPPOE/ADSL服务器、DHCP服务器分配的DNS地址将生效,DNS配置将失效图
3.
5.DNS设置提示DNS是域名系统Do__inNameSystem的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析域名解析需要由专门的域名解析服务器来完成,DNS服务器就是进行域名解析的服务器第4章网络接口
4.
1.接口配置__web界面左侧导航栏“网络接口”-》“接口配置”,进入接口配置设置__每个接口最右边的“配置”按钮,就进入每个接口具体的配置页面图
4.
1.接口列表上网方式设置的详细配置如下___可以选择该接口的三种接入接入方式“Static”(也就是固定IP方式),“DHCP”,“PPPOE”(也就是ADSL方式)对于DHCP和PPPOE方式,将会出现“接受分配的DNS”,(此处的打勾与“DNS”图4-2的设置相对应)“接受分配的__地址”选项如果该接口作为外网口来使用(也就是WAN口),一般情况下需要勾选上“从该接口出去的包自动NAT”如果是作为内网口使用(也就是LAN口),则不勾选“从该接口出去的包自动NAT”___可以视自己的管理需要,勾选或不勾选“允许ping”,“允许http管理”,“启用DDNS”例如,如果___在WAN口上没有勾选“允许http管理”,那么就不能通过WAN来对FH-__上网行为管理安全__进行管理图
4.
2.ADSL/PPPOE上网方式配置图
4.
3.固定IP上网方式配置名词解释DDNS:DDNS(DynamicDo__inNameServer)是动态域名服务的缩写DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务项目器程序负责提供DNS服务并实现动态域名解析申请方法到希网首页(http://___.
3322.org),注册之后按提示操作
4.
2.VLAN接口配置__web界面左侧导航栏“网络接口”-》“接口配置”,进入VLAN接口配置列表此处能显示以前的设置(图4-4),__新建VLAN接口添加VLAN图
4.
4.VLAN接口列表添加VLAN,此处以LAN口为内网络接口为例添加VLAN3子接口图
4.
5.添加VLAN接口每添加一个子接口,就会在“系统”-》“系统状态”里面增加一个接可以显示其流量的选项,这样___可以方便的查看每个VLAN的流量提示名词解释VLAN VLAN(VirtualLocalAreaNetwork)的中文名为虚拟局域网VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术,可以增加内网的安全性,减少广播的产生,提高网络使用率
4.
3.桥模式配置桥接模式不需要改变用户的网络拓扑及配置使用桥模式,被桥模式链接起来的接口两端看起来是透明的,FH-____仍然可以对通过它的包进行各种过滤控制__web界面左侧导航栏“网络接口”-》“接口配置”,进入桥模式配置界面__右边的“新建桥接”按钮,可以新建一个桥接接口图
4.
6.桥接口列表图
4.
7.桥接口配置桥接口网桥两边的进出接口,桥模式只能选择两个接口,一个为进口一个为出口通常选择为LAN、WAN接口桥IP地址桥IP是用来管理FH-__上网行为管理安全__的地址,与网络中的普通IP一样,只要不与其它设备冲突即可桥IP掩码跟计算机的子网掩码一样,用来划分IP所属哪个网段第5章路由
5.
1.静态路由__web界面左侧导航栏“路由”-》“静态路由”,进入静态路由列表界面___可以__已有静态路由后面的“修改”或“删除”按钮来修改或删除静态路由如果___希望新建静态路由,则__右侧__的“新建静态路由”图
5.
1.静态路由列表图
5.
2.新建静态路由在新建静态路由选项(图5-2)中选择了“高级选项”,后会出现新建路由高级选项对话框图
5.
3.新建静态路由高级选项进入接口需要使用该路由的用户数据进入__的接口;源网段需要使用该路由的用户所在的网段;出去的接口该路由的出接口;__地址上一级网络的__地址如果接口为动态地址(例如接口配置使用了ADSL/PPPOE、DHCP),则不需要填写该配置Metric路由的花费提示静态路由是指由网络___手工配置的路由信息当网络的拓扑结构或链路的状态发生变化时,网络___需要手工去修改路由表中相关的静态路由信息静态路由信息在缺省情况下是私有的,不会传递给其他的网络设备当然,__员也可以通过对网络设备进行设置使之成为共享的静态路由一般适用于比较简单的网络环境,在这样的环境中,网络___易于清楚地了解网络的拓扑结构,便于设置正确的路由信息
5.
2.路由组如果企业有多个网络出口,为了实现网络的高效利用、负载均衡,可以使用路由组的方式典型的应用例子如单位租用了__、__、教育三条外联出口,通过路由组的方式可以根据访问的目的地址最优原则实现__、__、教育线路的选择具体的配置方法是将__的目的地址定义为一个组,__的目的地址定义为一个组,教育的目的地址定义为一个组,如图所示图
5.
4.路由组列表定义一个路由组的方法,__“新建路由组对象”按钮,可以新建一个路由组,如下图图
5.
5.新增一个路由组为了能够让出去的数据流按照路由组定义的方式____,在路由组定义完成后,需要在静态路由配置中将路由组应用在__出口上,如下图所示图
5.
6.路由组应用上图是将“education”路由组应用在“wan”接口上第6章服务
6.
1.DHCPFH-____支持DHCP服务器功能,能够为网络中的PC提供DHCP服务__web界面左侧导航栏“服务”-》“DHCP”,进入DHCP服务设置界面在列表中已经列出了DHCP服务的状态图
6.
1.DHCP服务列表__列表右侧的配置按钮,可以对相应的接口进行DHCP的相关配置如图图
6.
2.DHCP服务设置DHCP服务器设置要以后,如果网络内的PC如果需要动态获得FH-__上网行为管理安全__下发的IP地址,则需要进行如下设置我们对一台运行WindowsXP的客户端电脑面前进行了如下设置:在桌面上右击“网上邻居”图标,执行“属性”命令在打开的“网络连接”窗口中右击“本地连接”图标并执行“属性”,打开“本地连接属性”对话框然后双击“Internet协议TCP/IP”选项,点选“自动获得IP地址”单选框,并依次单击“确定”按钮具体设置如图图
6.
3.在PC上进行DHCP上网设置提示DHCP是DynamicHostConfigurationProtocol动态主机分配协议缩写,它的前身是BOOTPBOOTP原本是用于无磁盘主机连接的网络上面的网络主机使用BOOTROM而不是磁盘起动并连接上网络,BOOTP则可以自动地为那些主机设定TCP/IP环境但BOOTP有一个缺点您在设定前须事先获得客户端的硬件地址,而且,与IP的对应是静态的换而言之,BOOTP非常缺乏动态性,若在有限的IP资源环境中,BOOTP的一对一对应会造成非常可观的浪费DHCP可以说是BOOTP的增强版本,它分为两个部份一个是服务器端,而另一个是客户端所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据比较起BOOTP,DHCP透过租约的概念,有效且动态的分配客户端的TCP/IP设定,而且,作为兼容考虑,DHCP也完全照顾了BOOTPClient的需求
6.
2.Web认证接入支持通过用户名,__认证上网
6.
3.PPPoE服务FH-__上网行为管理安全__支持PPPOE服务器功能,能够为网络PC提供PPPOE服务__web界面左侧导航栏“服务”-》“PPPOE”,进入PPPOE服务设置界面在列表中已经列出了PPPOE服务的状态图
6.
4.PPPOE服务列表__列表右侧的配置按钮,可以对相应的接口进行PPPOE的相关配置如图图
6.
5.PPPOE服务设置提示pppoe是point-to-pointprotocoloverethernet的简称,可以使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上通过pppoe协议,远端接入设备能够实现对每个接入用户的控制和计费与传统的接入方式相比,pppoe具有较高的性能__比,它在包括小区组网建设等一系列应用中被广泛采用,目前流行的宽带接入方式adsl就使用了pppoe协议
6.
4.PPTP服务器FH-__上网行为管理安全__支持PPTP服务器功能,能够为网络PC提供PPTP服务__web界面左侧导航栏“服务”-》“PPTP”,进入PPTP服务设置界面PPTP服务设置(图6-6)中选择了“启动PPTP”服务后,系统会弹出整个PPTP配置服务器界面(图6-7)图
6.
6.PPTP服务设置例如此处以FH-__第7章对象管理
7.
1.用户管理用户管理功能用于___对上网用户进行网络准入的管理__web界面左侧导航栏“对象管理”-》“用户管理”,进入用户列表界面系统列表中显示了系统中已经定义的用户,并对用户做修改和删除图
7.
1.用户对象列表对于已经建立的用户,通过__用户名右侧的“修改”、“删除”按钮对用户进行编辑如需建立新的用户,则__“新建用户对象”按钮,可以新建一个用户并且可以设置其权限,是否允许使用PPPOE、PPTPE、WEBPortal方式接入,设置其登录的__(如图7-2)图
7.
2.本地用户对象在设置用户类型的时候,可以选择本地认证—“本地用户”或radius服务器认证“RADIUS”选择了“本地用户”后,需要为用户设置相应的__,用户上网的时候需要输入正确的__才能上网如果选择了“RADIUS”,则需要选择相应的radius服务器,用户上网的时候需要输入radius服务器上的正确__才能上网下图例子为用户选择了“RADIUS”,选择了RADIUS认证服务器为“server1”图
7.
3.RADIUS用户对象
7.
2.当前登录用户管理“当前登录用户管理”功能能够显示当前用户登录状态,可以通过“强制下线功能”阻断用户的网络连接__web界面左侧导航栏“对象管理”-》“当前登录用户管理”,进入当前登录用户管理界面___可以看到所有用PPTP(VNP)或PPPOE(拨号)登录的用户及状态,并能对之进行下线操作图
7.
4.当前登录用户
7.
3.RADIUS客户端“RADIUS客户端”功能用于设定RADIUS相关参数,如果___在用户管理中设置了RADIUS认证方式,则需要配置该参数__web界面左侧导航栏“对象管理”-》“RADIUS客户端”,进入RADIUS客户端列表界面在这里可以添加、删除、修改RADIUS客户端信息图
7.
5.RADIUS服务器列表可以__RADIUS服务器栏后面的“修改”“删除”对该RADIUS服务器相关的参数进行修改可以__“新建RADIUS客户端”设定新RADIUS服务器的相关参数下图示例“新建RADIUS客户端”功能,这里的RADIUS客户端信息可以用于用户管理中的用户认证图
7.
6.添加RADIUS服务器
7.
4.地址对象“地址对象”用于定义IP地址组群__web界面左侧导航栏“对象管理”-》“地址对象”,进入地址对象列表界面在这里可以查看、添加、删除、修改地址对象图
7.
7.地址对象列表IP地址范围的形式可以是单个地址、IP/掩码、IP段,也可以是他们的结合图7-8显示配置“行政部”IP地址范围的示例图
7.
8.编辑地址对象
7.
5.地址和用户组对象“地址和用户组对象”功能用于将地址群组编入上网权限功能组中__web界面左侧导航栏“对象管理”-》“地址和用户组对象”,进入地址和用户租对象列表界面这里可以查看、添加、删除、修改用户组图
7.
9.地址和用户组对象列表一个用户组可以有多个组成员构成,这个成员可以是地址对象,也可以是用户对象图7-10为定义地址和用户组对象的示例图
7.
10.编辑地址和用户组对象
7.
6.时间对象“时间对象”用户定义工作与非工作时间段,___可以对工作和非工作时间段启用对上网用户行为进行区别管理__web界面左侧导航栏“对象管理”-》“时间对象”,进入时间对象管理页面,这里可以添加、查看,重复时间对象和一次性时间对象(图7-11)图
7.
11.时间对象列表图
7.
12.修改重复性时间对象对于仅需要执行一次的策略可以使用“修改一次性时间对象”,例如图7-132010年5月1日劳动节制定临时策略图
7.
13.修改一次性时间对象
7.
7.数据流特征“数据流特征”功能用于定义数据的特征,用户自己可以定义一些需要约束、限制的数据流类型__web界面左侧导航栏“对象管理”-》“数据流特征”,此处可以查看、修改、删除、新建数据流特征(图8-1)图
7.
14.数据流特征对象列表_____“新建数据流特征”按钮,可以灵活设置任何基于端口、TCP、UDP协议的数据流特征下图例举定义了“木马AttackFTP”_____“新建数据流特征”后,在“添加”对话框中依次添加名称、协议、端口以及描述信息图
7.
15.编辑数据流特征对象第8章防火墙
8.
1.应用协议阻止“应用协议阻止”功能提供限制网络应用的访问控制__web界面左侧导航栏“对象管理”-》“应用协议阻止”,进入“应用协议阻止”页面在此界面可以查看所有的阻止策略,并能对之进行修改、删除、新建,如下图图
8.
1.应用协议阻止列表__新建行为策略,根据需要选择需要禁止的应用层协议例禁止游戏组的成员在任何时间玩游戏和炒股票图
8.
2.编辑应用协议过滤策略
8.
2.自定义行为策略管理“自定义行为策略管理”可以执行___定义的访问控制类型,方便___对一些具有明显特征的网络应用或网络病毒进行控制__web界面左侧导航栏“对象管理”-》“自定义行为策略管理”,进入“自定义行为策略管理”的行为策略列表页面,以查看所有的自定义策略,并能对之进行修改、删除、新建图
8.
3.自定义行为策略列表__“新建行为策略”___可以建立新的策略图
8.
4.建立新的行为策略
8.
3.流控管理“流控管理”提供基于IP地址或IP地址范围的PC上网流量控制功能__web界面左侧导航栏“对象管理”-》“流控管理”,进入流控管理页面在此界面可以新建、删除、添加流控规则用户可以为每台PC设定最大收发流量带宽及最大收发包速率图
8.
5.流控策略列表下图例举了新建流控策略规则图
8.
6.编辑流控策略提示地址模式有自定义地址范围,和内置对象两种,其中内置对象是在地址和用户对象里面配置过的对象,而自定义对象可以是一个地址或是一段地址并发连接是除带宽控制之外能更加合理利用网络资源的又一控制方法,一般一台电脑100个连接数足够使用
8.
4.并发连接数控制“并发连接控制”提供基于IP地址或IP地址范围的PC上网并发连接数控制功能__web界面左侧导航栏“对象管理”-》“并发连接控制”,进入并发连接控制页面,在此界面可以修改、删除、新建规则图
8.
7.并发连接控制策略列表点“新建规则”添加并发连接控制,图8-14示例添加并发连接控制图
8.
8.新增并发连接控制策略
8.
5.__C地址绑定“__C”地址管理提供__C与IP地址绑定服务__web界面左侧导航栏“对象管理”-》“__C地址绑定”,进行__C地址绑定配置图
8.
9.__C地址绑定选项说明禁止冒充绑定列表中的IP地址打勾之后,绑定列表中的IP地址其它计算机不能使用,否则不能上网但绑定表中的计算机能使用其它IP上网没有绑定的IP不受影响禁止绑定列表中的计算机地址使用其它IP:打勾之后,绑定列表中的计算机不能用其它IP上网,只能用自己绑定的IP上网没有绑定的IP不授影响额外的__C地址绑定列表这里可以用手输入没有上线或是留给某服务器的IP地址与__C地址进行绑定提示__C地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部IP地址即也可以称为互联网地址或Internet地址是用来唯一标识互联网上计算机的逻辑地址每台连网计算机都依靠IP地址来标识自己___要绑定__C与IP地址:IP地址的修改非常容易,而__C地址存储在网卡的EEPROM中,而且网卡的__C地址是唯一确定的因此,为了防止内部人员进行非法IP盗用例如盗用权限更高人员的IP地址,以获得权限外的信息,可以将内部网络的IP地址与__C地址绑定,盗用者即使修改了IP地址,也因__C地址不匹配而第9章URL过滤
9.1自定义URL对象可以根据客户的实际情况制作自己的URL库,实现黑白__功能,从而达到网络访问的控制、
9.2URL过滤第10章、流量控制通过流量的控制来实现公司网络带宽不被下载全部占用,方便员工查找信息第11章NAT
11.
1.SNATSNAT是源地址转换其作用是将ip数据包的源地址转换成另外一个地址__web界面左侧导航栏“NAT”-》“SNAT”,进入SNAT管理界面,可以新建、修改、删除SNAT规则图
11.
1.SNAT策略列表又又图
11..
2.编辑SNAT策略提示SNAT代表着Sour__NetworkAddressTranslation,源地址转换意思就是说经过这么一个规则,包经过FH-__上网行为管理安全__后,他原来IP包中的源IP将会被转换成指定的IP一般所称的NAT上网指的就是SNAT转换因为Internet的地址是有限的,这个地址一般只被上网设备FH-__上网行为管理安全__所拥有,而内网的电脑拥有的都是内部IP,无法在公网使用的,这时候就需要使用到SNAT,将内网机器发到公网的包的源地址都替换成FH-__上网行为管理安全__所拥有的公网IP,这样内网机器才能正常访问公网
11.
2.DNATDNAT是改变数据报的目的IP地址__web界面左侧导航栏“NAT”-》“DNAT”,进入DNAT管理界面可以新建、添加、删除DNAT规则图
11.
3.DNAT策略列表图
11.
4.编辑DNAT策略提示DNAT代表着DestinationNetworkAddressTranslation,意思就是目的地址转换这种技术又被称为VirtualAddress(虚拟地址)或者VirtualServer(虚拟服务器)这种应用的典型场合就是内网有一台服务器,比如web服务器,需要提供给公网访问,它拥有一个私网IPFH-____接入公网,在服务器前面保护它为了能从公网访问这个服务器,我们就需要在FH-__上网行为管理安全__配置一个DNAT规则上图就是一个DNAT的典型规则表示的是从WAN口进入的,目的端口为80的包,将其目的地址转换成
192.
168.
1.190,
192.
168.
1.190这个地址就是web服务器的地址第12章___
12.
1.PPTP客户端FH-__上网行为管理安全__支持PPTP客户端功能__web界面左侧导航栏“___”-》“PPTP客户端”,进入PPTP客户端配置页面可以进行新建、删除、修改操作图
12.
1.PPTP客户端列表FH-____可以用PPTP客户端和windows服务器的PPTP服务在一起建立__也可以和FH-____自带的PPTP服务一起建立__添加PPTP客户端后,直接路由列表里面所列出的所有路由都将走该__出去建PPTP客户端
12.
2.GREFH-__上网行为管理安全__支持PPTP客户端功能__web界面左侧导航栏“___”-》“GRE__”,进入GRE__管理界面可以进行新建、修改、删除操作图
10.
3.PPTP客户端列表例举添加GRE__后配置,如图图
10.
4.新建GRE__在上面界面图中,本地地址指的是__建立后的两个端点间互相看到的私有地址,这个地址只被这个__两端的FH-__路由列表表示在此列表中的所有路由都将通过该__出去GRE__速度非常快,如果是FH-__上网行为管理安全__之间互联,推荐使用此__方式提示GRE(GenericRoutingEncapsulation)即通用路由封装协议是对某些网络层协议(如IP和IPX)的数据报进行封装使这些被封装的数据报能够在另一个网络层协议(如IP)中传输GRE是___(VirtualPrivateNetwork)的第三层__协议,即在协议层之间采用了一种被称之为Tunnel(__)的技术GRE规定了如何用一种网络协议去封装另一种网络协议的方法GRE的__由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP
2、OSPF等)通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址注本说明书是FH-NGFH-NSFH-__三个系列上网行为管理产品通用说明书。