1、设备的安装与使用设备的安装与使用章节目录章节目录默认管理口默认管理口ETH2口口IP:192.168.218.218用户名:用户名:admin 密码:密码:PronetwaySH设备安装设备安装接入方式接入方式用户定位及管理范围设置用户定位及管理范围设置监控、日志、统计及查询等功能监控、日志、统计及查询等功能管理、控制、限制及权限等功能管理、控制、限制及权限等功能客户化定制客户化定制对于用户的一些特殊的功能需求,我们也能为其提供专业的研发队伍进行特殊功能的量身打造。概述概述上网行为管理上网行为管理非网络管理或桌面管理产品也非防火墙或入侵检测产品专注于上网行为管理的产品B/S架构架构Browse
2、r/Server(浏览器(浏览器/服务器)服务器)C/S架构Client/Server(客户端/服务器)单位面临的问题单位面临的问题安全威胁网页浏览(病毒、木马插件)IM即时通信(病毒文件传输)P2P共享(恶意代码)内部机密信息泄漏网页上传IM即时通讯邮件泄密工作效率下降网页浏览(非工作活动)IM即时通信(聊天)P2P共享(听歌、看电影)管理成本增加管理制度无法落实处罚没有依据网络使用状况不明法律风险网页浏览(色情、暴力)BBS发帖(政治敏感)IM即时通信(色情、政治敏感)带宽资源的滥用网页浏览文件下载P2P共享在线视频在线游戏上网行为设备着眼点上网行为设备着眼点上网行为管理设备专为员工上网管
3、理员工上网管理而设计,其目的是规规范员工上网行为,有效实施互联网管理策略,保障网络信范员工上网行为,有效实施互联网管理策略,保障网络信息安全,提高工作效率息安全,提高工作效率。保证互联网能真正为工作服务。该产品包括员工上网策略控制、内容监控、邮件拦截、带宽管理及上网统计分析等互联网管理需要的各种功能。本产品是一个硬件设备,直接面向管理人员,易用、实用,管理者无需专门技术和知识就可以使用本系统达到有效管理的目的。章节目录章节目录概述概述设备安装设备安装接入方式接入方式用户定位及管理范围设置用户定位及管理范围设置监控、日志、统计及查询等功能监控、日志、统计及查询等功能管理、控制、限制及权限等功能管
4、理、控制、限制及权限等功能设备安装设备安装接入方式接入方式旁路方式网桥方式网关方式旁路方式支持多端口同时监控旁路方式支持多端口同时监控透明网桥透明网桥设置菜单设置菜单参数设置参数设置网络监控设置网络监控设置旁路方式旁路方式注意:旁路或网关方式,设置好后要重新启动设备。注意:旁路或网关方式,设置好后要重新启动设备。网关方式网关方式注意:旁路或网关方式,设置好后要重新启动设备。注意:旁路或网关方式,设置好后要重新启动设备。路由设置路由设置什么是路由(什么是路由(gateway、gw)通俗解释:到目的地所经过的各个路口。最常用路由设置最常用路由设置缺省路由(默认路由)缺省网关返回路由(回指路由)ro
5、ute add-net 192.168.0.0/16 gw 192.168.0.254似的发射点似的发射点简单拓扑图简单拓扑图地址转换地址转换什么叫地址转换什么叫地址转换通俗解释:改变目的地址什么时候会用到地址转换什么时候会用到地址转换采用网关方式接入使用邮件拦截功能地址转换内容地址转换内容网关:iptables-t nat-A POSTROUTING-o eth0-s 192.168.0.0/24-j SNAT-to 210.14.93.159邮件拦截:iptables-t nat-A PREROUTING-i eth1-p tcp-dport 25-j REDIRECT-to-port 8
6、025抓包口设置抓包口设置串接(网关、网桥)串接(网关、网桥)内网口(LAN口),接交换机。旁路旁路抓包口,交换机镜像口。章节目录章节目录概述概述设备安装设备安装接入方式接入方式用户定位及管理范围设置用户定位及管理范围设置监控、日志、统计及查询等功能监控、日志、统计及查询等功能管理、控制、限制及权限等功能管理、控制、限制及权限等功能管理方式管理方式设置菜单设置菜单网络设置网络设置多种管理方式多种管理方式可以同时使用多种管理方式,但不能交叉使用,如产生交可以同时使用多种管理方式,但不能交叉使用,如产生交集集“优先级优先级”不可以相同,从不可以相同,从0到到9优先级降低。优先级降低。本地验证本地验
7、证本地验证界面本地验证界面用户管理及部门划分用户管理及部门划分设置菜单设置菜单部门管理部门管理多级部门多级部门用户管理用户管理设置菜单设置菜单用户管理用户管理用户管理用户管理某用户详细信息某用户详细信息用户批量导入用户批量导入无固定格式,只要导入的文件是无固定格式,只要导入的文件是.csv的的Excel表格,并且表表格,并且表格中包含所需信息即可。格中包含所需信息即可。部门部门IP地址段设置地址段设置设置菜单设置菜单参数设置参数设置部门部门IP地址段设置地址段设置设置部门和设置部门和IP范围的对应关系,人员管理。范围的对应关系,人员管理。对用户数较多的客户减少对人员部门划分的工作量。对用户数较
8、多的客户减少对人员部门划分的工作量。章节目录章节目录概述概述设备安装设备安装接入方式接入方式用户定位及管理范围设置用户定位及管理范围设置监控、日志、统计及查询等功能监控、日志、统计及查询等功能管理、控制、限制及权限等功能管理、控制、限制及权限等功能首页首页饼图(左上)和网站排行(右下),新设备安装后要收集饼图(左上)和网站排行(右下),新设备安装后要收集2-3小时数据后才有显示。小时数据后才有显示。实时监控和历史记录实时监控和历史记录实时监控中的内容是最近一段时间刚产生的数据,能够自实时监控中的内容是最近一段时间刚产生的数据,能够自动刷新显示。动刷新显示。历史记录中的内容是所有保存在本地的日志
9、,有更多查询历史记录中的内容是所有保存在本地的日志,有更多查询条件。条件。IP访问记录中可以查看每一条访问记录中可以查看每一条IP连接所访问的地址、使用连接所访问的地址、使用的端口、应用及流量等的端口、应用及流量等网站访问日志记录的是访问的网址、网页标题,并做分类,网站访问日志记录的是访问的网址、网页标题,并做分类,不记录网页内容。不记录网页内容。带宽使用情况带宽使用情况实时监控菜单实时监控菜单用户即时流量(查看每个用户当前带宽和流量)用户即时流量(查看每个用户当前带宽和流量)实时监控菜单实时监控菜单网络服务流量监控(查看每种应用当前流量和网络服务流量监控(查看每种应用当前流量和带宽)带宽)表
10、单和邮件内容查看表单和邮件内容查看查看详细内容,要在该行空白处双击,会弹出新窗口显示。查看详细内容,要在该行空白处双击,会弹出新窗口显示。表单显示的是所发内容,而非所发表单的网站页面。表单显示的是所发内容,而非所发表单的网站页面。聊天记录、聊天记录、FTP/TELNET、阻断日志、阻断日志聊天内容,默认情况下可以记录所有明文聊天工具的聊天聊天内容,默认情况下可以记录所有明文聊天工具的聊天内容,使用客户端的电脑可以记录其大部分常用聊天功能内容,使用客户端的电脑可以记录其大部分常用聊天功能的内容(包括的内容(包括QQ、网易、网易POPO等)。等)。FTP/TELNET,可以记录,可以记录FTP和和
11、TELNET的网络会话日的网络会话日志,默认志,默认FTP传文件只记录文件名,如有需求也可以抓取传文件只记录文件名,如有需求也可以抓取FTP传文件的文件。传文件的文件。阻断日志和告警日志显示的是触犯了限制规则和告警规则阻断日志和告警日志显示的是触犯了限制规则和告警规则的网络行为日志。的网络行为日志。统计和图表统计和图表提供多种格式、多种内容、多种条件的统计分析报表,以提供多种格式、多种内容、多种条件的统计分析报表,以饼状图、柱状图、趋势图等图表,并都可以导出或打印。饼状图、柱状图、趋势图等图表,并都可以导出或打印。日志保存及清理日志保存及清理设置菜单设置菜单参数设置参数设置自动整理设置自动整理
12、设置 和和 系统数据删除系统数据删除日志默认保存到本地硬盘,可以设置保存的最大天数和最日志默认保存到本地硬盘,可以设置保存的最大天数和最大条数,超出部分会自动将旧数据覆盖,并且可以手动清大条数,超出部分会自动将旧数据覆盖,并且可以手动清楚早期数据楚早期数据远程备份和离线浏览远程备份和离线浏览备份数据的作用:备份下来的数据是供客户离线查看(脱离网备份数据的作用:备份下来的数据是供客户离线查看(脱离网络督察环境)所使用的,除特定数据外通常不支持导回。络督察环境)所使用的,除特定数据外通常不支持导回。存储的日志可以设置本地备份和异地备份,设置界面在设置菜存储的日志可以设置本地备份和异地备份,设置界面
13、在设置菜单单参数设置参数设置自动备份设置。自动备份设置。本地备份的数据可以从系统菜单本地备份的数据可以从系统菜单数据备份查询中下载。数据备份查询中下载。异地备份的数据,可以通过异地备份的数据,可以通过FTP或网络共享的方式直接传到客或网络共享的方式直接传到客户提供的其它服务器中。户提供的其它服务器中。离线浏览器离线浏览器离线浏览器是一个运行在离线浏览器是一个运行在Windows平台上的绿色版小软件,平台上的绿色版小软件,大小约为大小约为300K,它可以对设备的备份数据通过不同条件,它可以对设备的备份数据通过不同条件进行查询,在不登录设备的环境下找到要查找的日志记录。进行查询,在不登录设备的环境
14、下找到要查找的日志记录。章节目录章节目录概述概述设备安装设备安装接入方式接入方式用户定位及管理范围设置用户定位及管理范围设置监控、日志、统计及查询等功能监控、日志、统计及查询等功能管理、控制、限制及权限等功能管理、控制、限制及权限等功能规则设置规则设置规则设置菜单规则设置菜单上网控制规则设定上网控制规则设定规则优先级:控制规则可以针对个人设置,可以针对一个规则优先级:控制规则可以针对个人设置,可以针对一个部门或所有人设置,优先级个人最高部门或所有人设置,优先级个人最高日期分类日期分类按照不同日期设定规则首先要设定日期分类。按照不同日期设定规则首先要设定日期分类。规则设置菜单规则设置菜单控制规则
15、基础数据控制规则基础数据日期分类。日期分类。例如:添加一个时间周期例如:添加一个时间周期“工作日工作日”,在右边窗口中定义,在右边窗口中定义“工作日工作日”为为“每周每周”的的1到到5,就可以做只在工作日(周,就可以做只在工作日(周一到周五)生效的规则了。一到周五)生效的规则了。注意:这里每周的第一天是星期日,用0表示。日期分类功能比较灵活,可以是任意的几天,也可以是每日期分类功能比较灵活,可以是任意的几天,也可以是每年的哪些天、每月的哪些天或每周的哪些天。年的哪些天、每月的哪些天或每周的哪些天。按照不同日期或时间设定规则按照不同日期或时间设定规则这里的工作日是前边设定好的,如果设定了更多日期
16、,下这里的工作日是前边设定好的,如果设定了更多日期,下拉菜单中也都会显示出来。拉菜单中也都会显示出来。设定好日期分类之后,就可以针对不同日期做控制规则。设定好日期分类之后,就可以针对不同日期做控制规则。时间段不需要事先设定,只要在这里输入即可。时间段不需要事先设定,只要在这里输入即可。例如:添加上图的规则后,就可以实现周一到周五,每天例如:添加上图的规则后,就可以实现周一到周五,每天上午禁止访问外网,而每天下午及周末不会受到它的限制。上午禁止访问外网,而每天下午及周末不会受到它的限制。网络服务限制网络服务限制网络服务限制可以针对一些常见应用做控制。网络服务限制可以针对一些常见应用做控制。控制包
17、括:禁止服务(例如禁止上控制包括:禁止服务(例如禁止上QQ)、允许(与禁止)、允许(与禁止服务相对应,就是允许服务)、禁止上网(一但发现使用服务相对应,就是允许服务)、禁止上网(一但发现使用某应用,就自动禁止该用户上网)、使用带宽(一但发现某应用,就自动禁止该用户上网)、使用带宽(一但发现使用某应用,就将该用户整体带宽限制到一个值)。使用某应用,就将该用户整体带宽限制到一个值)。在网络服务限制和网址库限制标签中找到相应的项,添加在网络服务限制和网址库限制标签中找到相应的项,添加到下面的表中,然后点应用即生效,如已添加但未点应用,到下面的表中,然后点应用即生效,如已添加但未点应用,会在第二天自动
18、生效。会在第二天自动生效。网络服务限制部分说明网络服务限制部分说明限制迅雷:限制迅雷多点下载,即资源数,控制只从原始限制迅雷:限制迅雷多点下载,即资源数,控制只从原始地址下载。地址下载。旁路下服务限制:旁路方式下监控内容同其他方式没有区旁路下服务限制:旁路方式下监控内容同其他方式没有区别,但是服务限制方面有一定缺陷,对除别,但是服务限制方面有一定缺陷,对除QQ以外的以外的UDP协议应用不能控制。协议应用不能控制。常见UDP应用:BT下载、网络视频等。常见TCP应用:网站访问、收发邮件等。网址库限制网址库限制设备自身集成网址库,将大量网址分成不同类别,通过选设备自身集成网址库,将大量网址分成不同
19、类别,通过选择禁止某些类别,可以限制网址库内包含的该类别的网站择禁止某些类别,可以限制网址库内包含的该类别的网站的访问。的访问。网络服务策略和网址库策略网络服务策略和网址库策略网络服务策略和网址库策略是与前面提到的网络服务限制网络服务策略和网址库策略是与前面提到的网络服务限制和网址库限制相对应的。和网址库限制相对应的。所谓策略就是把要限制的内容做成一个集(组合),整体所谓策略就是把要限制的内容做成一个集(组合),整体应用于某一对象。应用于某一对象。优点:可以把一系列同样规则赋予不同的对象。优点:可以把一系列同样规则赋予不同的对象。缺点:表中所有内容都只能在同一时间周期生效。缺点:表中所有内容都
20、只能在同一时间周期生效。网址内容限制网址内容限制网址内容(网址内容(URL关键字)关键字)非网页正文内容,是访问的网站的网址的关键字。例如:http:/ 网址。IP地址限制地址限制IP地址限制功能包括:限制地址限制功能包括:限制TCP或或UDP协议、限制目的地协议、限制目的地址或目的地址范围、限制目的端口或端口范围。址或目的地址范围、限制目的端口或端口范围。什么是目的地址:什么是目的地址:通俗解释:无论我们上网站,还是用QQ,还是网络游戏,其实都是从我们的电脑,访问一台服务器。网站有网站的服务器,QQ有QQ的服务器,虽然我们访问的时候并不一定需要知道或输入服务器的IP地址,但是实际网络上还是从
21、我们自己的IP访问了对方的IP。目的地址,指的就是对方(服务器)的IP地址。什么是目的端口:什么是目的端口:端口的概念之前的培训已经提到过。目的端口,指的就是所访问的目的地址的端口。综合参数综合参数这里提供了一些缺省规则、访问时间或流量限制、计算机这里提供了一些缺省规则、访问时间或流量限制、计算机绑定及异常管理的设置。绑定及异常管理的设置。规则查询规则查询规则设置菜单规则设置菜单控制规则查询控制规则查询用于查询某条或某些规则用于查询某条或某些规则如果做了大量规则后,可能会忘记某条规则是作用于某个人还是某个部门。某些限制是由于那些规则导致的等。那么就可以在这里进行查询。敏感信息定义敏感信息定义规
22、则设置菜单规则设置菜单敏感信息规则定义敏感信息规则定义可以将一些敏感内容设定成不同类别的规则。可以将一些敏感内容设定成不同类别的规则。敏感邮件规则和敏感表单规则,可以把包含敏感内容的邮件或表单分组显示,方便查看。IM告警规则,可以把包含敏感内容的聊天记录在网络督察告警界面上做告警当有任何一种敏感内容都可以设置邮件告警,即当有敏感内容产生,网络督察就会发一封邮件到指定邮箱中。客户端管理功能客户端管理功能联网客户端联网客户端显示当前已装客户端并在线的电脑聊天内容监控聊天内容监控显示客户端插件抓取到的聊天内容当前系统信息当前系统信息显示某台电脑的系统信息(计算机名、内存、硬盘、系统版本等)当前运行进
23、程当前运行进程显示某台电脑运行的进程当前屏幕当前屏幕显示某台电脑当前的桌面(截图,非动态但每隔几秒自动刷新)客户端规则及准入规则客户端规则及准入规则禁止或允许某些进程运行禁止或允许某些进程运行禁止或允许某些进程集运行禁止或允许某些进程集运行规则设置菜单中的服务限制是阻止某些应用访问互联网,规则设置菜单中的服务限制是阻止某些应用访问互联网,而客户端管理菜单中的进程规则是禁止某些应用运行。而客户端管理菜单中的进程规则是禁止某些应用运行。准入规则,不运行某些进程的电脑禁止访问互联网。准入规则,不运行某些进程的电脑禁止访问互联网。例如:运行杀毒软件的电脑禁止上网,来保证网络的安全。系统管理员权限及移动
24、密宝系统管理员权限及移动密宝可以建立多个管理员,并为每个管理员划分不同的权限。可以建立多个管理员,并为每个管理员划分不同的权限。移动密宝,通过移动密宝生成的动态密码登录管理网络督察。移动密宝,通过移动密宝生成的动态密码登录管理网络督察。其他功能其他功能黑白名单管理,设置菜单中的网络设置中只能针对黑白名单管理,设置菜单中的网络设置中只能针对IP范围范围划分管理方式,黑白名单功能可以针对划分管理方式,黑白名单功能可以针对MAC地址等划分地址等划分管理方式,弥补网络设置对某些特殊环境设置上的不足。管理方式,弥补网络设置对某些特殊环境设置上的不足。(无特殊要求通常设备无此功能)(无特殊要求通常设备无此
25、功能)禁止内网私设代理,让没有上网权限的用户通过有上网权禁止内网私设代理,让没有上网权限的用户通过有上网权限用户的电脑代理上网。(此功能效果并不很完善,仅做限用户的电脑代理上网。(此功能效果并不很完善,仅做辅助功能,不能当作卖点,通常设备无此功能。)辅助功能,不能当作卖点,通常设备无此功能。)其他功能其他功能限制表单敏感字的发送限制表单敏感字的发送可以阻止论坛、博客、WEBMAIL敏感字的发送可以阻止搜索引擎敏感字的搜索旁路方式下不能使用信息发布功能,在使用本地验证时可以在验证界面发布公告。信息发布功能,在使用本地验证时可以在验证界面发布公告。(通常无此功能)(通常无此功能)网络异常检测设置,纯软件网络异常检测设置,纯软件BYPASS。(通常无此功能)(通常无此功能)DHCP设置,用网络督察做设置,用网络督察做DHCP服务器。(通常无此功能)服务器。(通常无此功能)代理服务器,用网络督察做代理服务器。(通常无此功能,不代理服务器,用网络督察做代理服务器。(通常无此功能,不推荐使用。)推荐使用。)谢谢大家谢谢大家