H3C SecPath GAP2000系列安全隔离与信息交换系统 Web配置指导

H3CSecPathGAP2000系列安全隔离与信息交换系统Web配置指导PAGE\*romanPAGE\*romaniv目录产品介 1WEB概述 1简介 1Web网管 1系统理员 3系统管理端 3登录系统管理端 3系统管理端功能介绍 4用户及权限管理 5用户管理 5菜单管理 6应用用户管理 7功能简介 7操作步骤 8使用方法 9网络管理 10网卡绑定 10IP地址管理 12路由管理 14DNS配置 15监控模式配置 17管理客户端IP白名单 17功能简介 17操作步骤 17设备管理 18系统设置 18HA设置 23负载均衡 24Syslog设置 26配置导入导出 27功能简介 27导出配置 28配置导入 28网络检测工具 28抓包工具 28网络诊断 29网卡状态查询 30安全性设置 30功能简介 30登录失败次数设置 30过期天数 31复杂度设置 31无操作超时设置 32登录失败锁定设置 32系统管理功能 32功能简介 32操作步骤 32安全理员 34安全管理端 34登录安全管理端 34安全管理端功能介绍 34首页（通道流量信息显示） 36功能简介 36操作步骤 36用户管理 37用户管理 37菜单管理 38策略管理 40功能简介 40客户端地址 40FTP命令 43FTP下载敏感词 45FTP上传敏感词 47FTP可下载文件名 48FTP可上传文件名 49FTP可删除文件名 50FTP可下载文件类型 51FTP可上传文件类型 53FTP可删除文件类型 54FTP可下载文件大小 54HTTPURL 55HTTP响应内容类型 58HTTP响应内容敏感词 60HTTP请求方法 61邮件发件人 63邮件收件人 64邮件主题敏感词 64邮件内容敏感词 65邮件附件内容敏感词 65邮件附件类型 67挂载策略 68通道管理 69业务邮件告警 73文件同步 75文件同步支持类型 75文件同步功能介绍 75共享目录管理 75文件类型管理 81文件后缀名过滤 84文件内容过滤管理 85同步任务管理 86文件传输状态 91数据库同步 92数据库同步支持版本 92数据库同步功能介绍 92同步数据库配置 92关联数据库 98同步表配置 100数据库同步配置状态 103系统日志审计 104系统资源信息 104系统连接数 105应用日志 106管理操作日志 110文件同步日志 112数据库同步日志 115License管理 116功能介绍 116License导入 116License模块信息 117安全管理功能 118功能简介 118操作步骤 118审计理员 119审计管理端 119登录审计管理端 119审计管理端功能介绍 119用户管理 120用户管理 120菜单管理 121日志管理 122管理操作日志 122日志回滚及告警 122审计管理功能 124功能简介 124操作步骤 124管理件见错息FAQ 1256.1报错情况1 1256.2报错情况2 1256.3报错情况3 1266.4报错情况4 1266.5报错情况5 1266.6报错情况6 126注意项 127PAGEPAGE10产品简介H3CSecPathWEB概述简介WebWeb界面直观地管理和维护网络设备。Web网管支持的浏览器：Google/Firefox/IE。WebWeb网管WebWeb界面直观地管理和维护网络设备。出厂时已经设置默认的Web登录信息，用户可以直接使用该默认信息登录网闸的Web界面。网闸默认web管理端IP地址：。采用三权分立的方式对设备进行管理，具体角色分类信息如下：表2-1网闸角色说明类型用户名/密码功能介绍系统管理员admin/adminh3c负责系统管理员用户及权限管理、应用用户管理、网络管理、管理客户端IP白名单、设备管理、系统设置、HA设置、Syslog设置、配置导入导出、网络检测工具、安全性设置安全管理员secrecy/secrecyh3c文件同步、license管理模块类型用户名/密码功能介绍审计管理员audit/audith3c负责审计管理员用户管理，审计日志，及日志管理，邮件告警设置图2-1H3C网闸Web登录界面图2-2H3C网闸登录后的界面(E6006P04版本及其之后版本)(1)导航栏(4)系统信息(1)导航栏(4)系统信息(3)配置区(2)辅助区说明：WebWebS/N系统管理员系统管理端登录系统管理端H3CSecPathGAP2000Version3.1,ESS6006P04出厂时已经设置默认的Web登录信息，用户可以直接使用该默认信息登录网闸的Web界面。系统管理员默认的Web登录信息包括：admin密码：adminh3c网闸默认WebIP地址：采用WebPC用交叉以太网线将PC和设备的以太网口MAN管理口相连。PCIP92180024P除9218011926803。PC<>Web登3-1<admin><>图3-1H3C网闸Web登录界面PCWebWebWeb网管时使用的PC，只需与设备路由可达即可。WebIP系统管理端功能介绍图3-2H3C网闸初始页面(E6006P04版本及其之后版本)表3-1功能说明菜单和页签功能说明系统管理功能修改密码修改admin用户的登录密码安全退出退出当前admin用户修改系统时间手动修改当前系统的时间系统重启重启当前系统系统关闭退出并关闭当前系统用户管理及权限管理用户管理新建系统管理员账号，设置用户级别菜单管理查看和修改菜单级别应用用户管理应用用户管理添加用户管理策略，在FTP和邮件通道上追加用户管理策略网络管理网卡绑定新建、修改、删除网口汇聚IP地址管理新建、修改、删除网闸网口IP地址路由配置新建、修改、删除网闸内端、外端静态路由DNS配置设置网闸内端、外端静态DNS监控模式配置设置过网闸的直连网口管理客户端IP白名单管理客户端IP白名单设置访问网闸web管理端的白名单IP地址设备管理系统设置设置web管理端管理地址、SNMP设置、时间同步设置、服务管置HA设置双机热备设置负载均衡均衡两台网闸同一类型通道压力的功能配置菜单和页签功能说明Syslog设置Syslog配置配置导入导出配置导入导出网闸配置导入、导出功能网络检测工具抓包工具抓获网闸各个网卡上的包并可以下载网络连通性检测各种网络工具：ping、telnet、ss、traceroute、网卡IP、ARP目标地址、网卡路由网卡状态查询页面查询当前网卡的up、down状态安全性设置设置密码设置（登录失败次数鉴别、过期天数和复杂度）和安全设置（无操作超时时长和登录失败锁定时长）用户及权限管理用户管理用户管理功能用于添加系统管理员，并设置其用户级别。点击<<<+>按钮。图3-3添加系统管理员图3-4配置系统管理员信息若要使用指纹认证功能，需要使用菜单管理用于查看菜单名称和修改菜单级别。本功能仅E6006P03及其以上版本才支持。点击<<<按钮。图3-5查看功能菜单图3-6设置菜单级别应用用户管理功能简介FTP操作步骤图3-7新增应用账号集图3-8配置应用账号集信息图3-9新增应用账号策略图3-10配置策略内容使用方法FTP通道中追加上此策略后，如FTPFTPFTP服务器的账号：策略中设置的用户账号$FTP服务器账号FTP服务器密码：策略中设置的密码$FTP服务器密码在邮件通道中追加此策略，如使用foxmailFTP（$E-mail。图3-11使用foxmail新建账号SQL网络管理网卡绑定IPIPIP点击<><图3-12网卡绑定界面<>图3-13网卡绑定配置界面图3-14配置网卡绑定工作模式有如下三种：主备：同时只有一个端口生效，其它端口处于备状态，当主端口断开时备端口生效。负载均衡：所有端口同时生效，负载分担流量。LACP：根据IEEE802.3ad动态链路聚合，与对端设备协商具体哪些接口负载流量。2ARPIP（4vlanLACPLACPLACPARPIPV6ARP图3-15ARPIPIP）图3-16网卡绑定信息IP地址管理用于设置网闸内、外端系统的IP地址。点击<IP>内端机或<>SLOT0/0），点击<图3-17IPIP图3-18IPIP图3-19IP信息IPipv6E6006P03IPE6006P03路由管理点击<><><或<>。图3-20添加内、外端机路由点击<>图3-21配置路由信息表3-2路由配置说明参数说明注意事项目的子网目标网段子网掩码网段掩码网卡转发出口网关下一跳地址路由配置支持ipv6，该功能仅E6006P03及其以上版本才支持。DNS配置当需要使用到网闸HTTP代理功能，例如为内网用户代理上网时，外端系统必须设置DNS。这样当内端收到HTTP请求后，外端才能根据该请求做DNS解析，访问到实际服务器。点击<><DNS配置>DNS图3-22DNSDNSDNS<保存>图3-23DNS信息图3-24配置成功的提示页面DNS配置支持ipv6，该功能仅E6006P03及其以上版本才支持。监控模式配置内外端机同时勾选某对网卡后，无需建立通道，即可过网闸，访问目的地址。(1) 点击<><>图3-25监控模式配置页面IPIP管理客户端IP白名单功能简介以白名单的方式，限制哪些IP地址可以对网闸进行管理，同时支持MAC地址绑定。操作步骤点击<IP>图3-26IPWebIPMAC图3-27IP图3-28IP白名单本页面不同版本存在差异，请以设备实际情况为准。MAC地址配置功能仅E6006P03及其以上版本才支持。设备管理系统设置系统功能配置，包括管理地址设置、SNMP设置、时间同步设置、服务管理、系统重置、系统升级和恢复出厂设置功能。MAN输入正确的网关、地址和掩码后点击保存。图3-29管理地址配置页面SNMP设置SNMP基本参数。在未启用时，选中输入框，输入SNMP所需设置，设置完成后，选择启用并保存，通过SNMP客户端访问获取SNMP信息。图3-30SNMP配置页面SNMP客户端IP地址应对应管理端IP网段，才能获取信息。设置时间同步服务器的IP地址或域名。在输入框中输入NTP服务器IP地址或域名，保存即可。NTP服务器需与管理IP路由可达。若为域名方式，需要配置内端机DNS。图3-31NTP服务器配置页面开启/关闭/重启网闸系统相关服务。选择服务对应的按钮，进行开启/关闭/重启等操作。图3-32服务管理页面表3-3服务功能说明服务名称作用WEB服务用于控制web页面配置与显示数据摆渡服务内外端数据传输服务SSHD服务ssh服务，默认关闭，开启后可通过ssh登录设备调试时间同步服务用于网闸内外端时间同步数据库同步服务用于数据库同步功能，需License开启PAGE22PAGE22服务名称作用文件同步服务用于文件同步功能数据库同步服务重启后加载配置需要时间，请等待数据库服务启动完成后再继续进行数据库同步的配置。可通过配置状态页面查看状态是否正常来判断启动完成。IP。图3-33系统重置页面点击选择文件，选中相匹配的升级包，点击开始升级即可。图3-34系统升级页面若当前为E6002IP。图3-35恢复出厂设置页面6001P036001P036001P03通过设置集中管理中心并结合INTERCONN/图3-36集中管理中心设置页面集中管理中心设置需要配合多级安全互联交换平台使用，配置后平台的设备管理中需要添加网闸设备。PAGEPAGE100HA设置HA设置用于配置网闸双机热备或负载均衡功能。使用。注：双机热备情况下，暂不支持同步配置。点击<><HA设置>HA图3-37HA设置页面选中HA表3-4HA设置参数说明注意事项工作模式当前HA运行模式双机热备或者负载均衡优先级数值越高优先级越高两台设备的优先级不能设置相同本机IP地址本台设备HA的IP本机掩码本机HA口掩码对端IP地址另一台设备HA的IP地址对端掩码对端HA口掩码图3-38HA网卡图3-39图3-40负载均衡点击<>图3-41负载均衡配置页面图3-42配置负载均衡虚拟服务图3-43负载均衡配置信息参数说明注意事项IP地址虚拟的服务地址相当于通道的监听地址，负载均衡开启后，就访问此地址端口虚拟服务的端口地址相当于监听端口端机选择内、外端机相当于监听的端机网卡网卡名称，例如SLOT0/0设备真实存在的网卡图3-44配置负载均衡真实服务表3-5配置真实服务信息说明参数说明注意事项IP地址真实的IP地址虚拟服务所映射的真实IP所属设备选择是本机还是对端机ipip2台设备的HAtcphttp、smtp和pop3IPV6Syslog设置功能用于设置Syslog日志服务器。系统会从管理口MAN口将自身基础信息发送给指定的Syslog服务器。点击<syslog>syslog图3-45syslog配置页面SyslogIPIPIPsyslogcpusyslog配置导入导出功能简介>图3-46配置的导入导出页面导出配置勾选配置选项中需要导出的配置，点击<导出>按钮，导出当前Web管理端配置，进行备份，也可给导出的文件设置密码；若需要设置密码，请在在密码框中输入密码后，点击导出。配置导入点击<>必须是相同型号、端口形态和版本的配置才能互相导入，并请确认是否设置密码。HA网络检测工具抓包工具抓取网闸各个网卡上的网络流量信息。点击<><图3-47抓包页面tcpdump流量过大，抓包结束后无结束提示网络诊断查看网闸的连通性、网闸网卡信息、ARP目标地址和路由信息。点击<><>图3-48网络诊断页面ping图3-49网络诊断举例网卡状态查询查看网卡状态是up还是down点击<网络检测工具>中的<网卡状态查询>，进入网卡状态查询页面即可查看网卡状态。图3-50网卡状态查询安全性设置功能简介登录失败次数设置设置Web管理端登录失败最大次数。拖动或手动输入次数，保存即可。图3-51登录失败次数设置页面超过最大登录失败次数，该用户会被锁定，锁定时长依据用户设置锁定时长，默认时长5分钟。过期天数设置密码过期天数，拖动或手动输入天数，保存即可。密码存在一定天数后需要再次修改密码。图3-52过期天数设置页面复杂度设置设置密码的最小长度，拖动或手动输入密码最小长度，区间为：8-20。另外密码字符复杂度默认包含数字和字母，还可勾选特殊字符，保存即可。下次修改密码时生效。图3-53复杂度设置页面本页面不同版本存在差异，请以设备实际情况为准。无操作超时设置设置用户登录web管理端后一定时间无操作退出的时间。拖动或手动输入时间，保存即可。图3-54无操作超时设置页面登录失败锁定设置设置用户登录失败次数超过设置后禁止登录的时长。拖动或手动输入时长，保存即可。图3-55系统管理功能功能简介修改当前登录用户密码，退出Web管理端，修改系统时间，系统重启和关机功能。操作步骤图3-56Web图3-57系统管理功能系统关机用于退出并关闭当前系统，系统关闭为软件关机，硬件关机需要手动关闭电源。安全管理员安全管理端登录安全管理端安全管理端登录方式和系统管理端一样：secrecy密码：secrecyh3c网闸默认WebIP地址：安全管理端功能介绍图4-1H3C网闸安全管理端初始页面表4-1安全管理端功能介绍菜单和页签功能说明首页首页通道流量显示用户及权限管理用户管理安全管理员新增和删除，设置用户级别菜单管理查看和修改菜单级别安全管理功能修改密码修改secrecy用户的登录密码安全退出退出当前secrecy用户策略管理客户端地址定义允许访问源，可定义单个IP或网段菜单和页签功能说明FTPFTP命令对FTP通道中的指令进行黑名单控制FTP下载敏感词对FTP通道中的下载文件内容进行黑名单控制FTP上传敏感词对FTP通道中的上传文件内容进行黑名单控制FTP可下载文件名对FTP通道中的可下载文件名进行黑、白名单控制FTP可上传文件名对FTP通道中的可上传文件名进行黑、白名单控制FTP可删除文件名对FTP通道中的可删除文件名进行黑、白名单控制FTP可下载文件类型对FTP通道中的可下载文件类型进行黑、白名单控制FTP可上传文件类型对FTP通道中的可上传文件类型进行黑、白名单控制FTP可删除文件类型对FTP通道中的可删除文件类型进行黑、白名单控制FTP可下载文件大小对FTP通道中的可下载文件大小进行黑名单控制邮件邮件发件人对SMTP、POP3通道中的发件人邮箱地址进行黑、白名单控制邮件收件人对SMTP、POP3通道中的收件人邮箱地址进行黑、白名单控制邮件主题敏感词对SMTP、POP3通道中的邮件主题内容进行黑名单控制邮件内容敏感词对SMTP、POP3通道中的邮件正文内容进行黑名单控制邮件附件内容敏感词对SMTP、POP3通道中的邮件附件内容进行黑名单控制邮件附件类型对SMTP、POP3通道中的邮件附件类型进行黑名单控制HTTPHTTPURL对HTTP/HTTPProxy通道中的URL进行黑、白名单控制HTTP响应内容类型对HTTP/HTTPProxy通道中的响应内容类型进行黑、白名单控制HTTP响应内容敏感词对HTTP/HTTPProxy通道中的响应内容敏感词进行黑名单控制HTTP请求方法对HTTP/HTTPProxy通道中的请求方法进行黑、白名单控制通道管理通道管理IP口到网闸另一端，为另一边网络的用户提供访问接口。业务邮件告警业务邮件告警通过设置通道连接数阈值、连通性等信息来实现业务邮件告警，同时添加邮件发件人和收件人等信息。文件同步共享目录管理添加、修改、删除文件同步共享目录文件类型管理添加文件类型特征，用于同步任务中的文件类型过滤黑白名单设置文件后缀名过滤添加、删除文件过滤的后缀名文件内容过滤管理添加、删除文件过滤的内容同步任务管理添加、修改、删除文件同步任务以及任务的启用和停止文件传输状态查看正在进行同步的文件传输状态数据库同步同步数据库配置添加、删除用于同步的数据库关联数据库关联内外端用于同步的数据库菜单和页签功能说明同步表配置配置对数据库中的哪些表进行同步以及同步的方向等数据库同步配置状态查看数据库同步配置的状态是否正常日志管理系统资源信息显示、查询系统CPU、内存、磁盘占用量系统连接数显示、查询系统并发连接情况应用日志显示、查询策略触发日志，主要用于查询违规访问情况修改应用日志等级管理端操作日志显示、查询、导出审计管理端配置情况文件同步日志显示、查询、导出文件同步日志信息数据库同步日志显示、查询、导出数据库同步日志信息License管理License导入导入视频通道、工控功能、数据库同步功能的授权License模块信息查看视频模块、工控功能、数据库同步模块的授权信息首页（通道流量信息显示）功能简介根据通道类型、通道id等显示通道的实时和统计流量信息。操作步骤点击<首页>，进入流量统计页面，即可查看流量，可根据时间或者通道类型、通道id等查看。图4-2用户管理用户管理用户管理功能用于添加安全管理员，并设置其用户级别。点击<<<+>按钮。图4-3添加安全管理员图4-4配置安全管理员信息若要使用指纹认证功能，需要使用菜单管理用于查看菜单名称和修改菜单级别。本功能仅E6006P03及其以上版本才支持。点击<<<按钮。图4-5查看功能菜单图4-6设置菜单级别策略管理功能简介客户端地址此功能用于对访问源的IP进行限制。<>中的>，再点击图4-7新增客户端地址策略集图4-8配置客户端地址策略集信息表4-2策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许通过的IP地址集白名单：即允许通过的IP地址集配置完成后不允许修改，只能删除重新配置>图4-9查看配置的策略集<+>IP图4-10为策略集添加策略项设置策略内容是单个IP对象，如下图所示。图4-11IP设置策略内容是网段对象，如下图所示。图4-12设置策略内容是网段对象表4-3策略内容参数说明参数说明注意事项名称定义策略项名称策略内容设置IP或网段对象<>图4-13查看配置的策略信息FTP命令此功能针对FTP类型通道，对FTP客户端提交的控制命令进行过滤。选择<><FTP><FTP>，点击图4-14新增FTP图4-15配置FTP表4-4FTP命令策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许通过的FTP指令配置完成后不允许修改，只能删除重新配置;这个策略没有白名单；<+>,。图4-16为策略集添加策略项图4-17配置策略内容图4-18配置自定义策略内容配置策略内容，点击“保存”后，策略信息如下图所示。图4-19查看策略信息FTP下载敏感词此功能针对FTP类型通道，对FTP下载文件内容进行过滤。选择<FTP>，点击<+>图4-20新增FTP下载敏感词策略集表4-5FTP下载敏感词策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：FTP下载文件中不允许包含的内容该功能仅支持txt文档；这个策略没有白名单；<+>图4-21为策略集新增策略项图4-22配置策略内容FTP上传敏感词此功能针对FTP类型通道，对FTP上传文件内容进行过滤。同FTP下载敏感词一样。FTP可下载文件名此功能针对FTP类型通道，对FTP可下载文件名进行过滤。选择<FTP>，点击<+>图4-23配置FTP可下载文件名策略集表4-6FTP可下载文件名策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：FTP不允许下载的文件名白名单：FTP仅允许下载的文件名配置完成后不允许修改，只能删除重新配置<+>图4-24为策略集新增策略项图4-25配置策略内容FTP可上传文件名此功能针对FTP类型通道，对FTP上传文件名进行过滤。同FTP可下载文件名一样。FTP可删除文件名此功能针对FTP类型通道，对FTP可删除文件名进行过滤。选择<FTP>，点击<+>图4-26配置FTP可删除文件名策略集表4-7FTP可删除文件名策略集参数说明：参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：FTP不允许删除的文件名白名单：FTP仅允许删除的文件名配置完成后不允许修改，只能删除重新配置<+>图4-27为策略集配置策略项输入策略内容完成后，点击保存，如下图所示。图4-28配置策略内容FTP可下载文件类型此功能针对FTP类型通道，对FTP可下载文件类型进行过滤。选择<FTP>，点击<+>图4-29配置FTP表4-8FTP参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：ftp不允许下载的文件类型白名单：ftp仅允许下载的文件类型配置完成后不允许修改，只能删除重新配置<+>图4-30为策略集添加策略项输入策略内容完成后，点击保存。图4-31配置策略内容FTP可上传文件类型此功能针对FTP类型通道，对FTP上传文件类型进行过滤。同FTP可下载文件类型一样。FTP可删除文件类型此功能针对FTP类型通道，对FTP删除文件类型进行过滤。同FTP可下载文件类型一样。FTP可下载文件大小此功能针对FTP类型通道，对FTP下载文件大小进行过滤。选择<FTP>，点击<+>图4-32配置FTP可下载文件大小策略集表4-9FTP可下载文件大小策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：ftp允许下载文件上限配置完成后不允许修改，只能删除重新配置；这个策略没有白名单；<+>图4-33为策略集配置策略项输入完成后，点击保存。图4-34配置策略内容注：设置FTP可下载文件大小时，只输入数字即可。HTTPURL此功能针对HTTP/HTTPPROXY类型的通道，对传输的URL进行过滤。<>中的<HTTP><HTTPURL>图4-35配置策略集表4-10策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许通过的URL白名单：即允许通过的URL配置完成后不允许修改，只能删除重新配置<+>URL。图4-36为策略集配置策略项输入完成后，点击保存：图4-37配置策略内容表4-11策略参数说明参数说明注意事项名称定义策略项名称策略内容设置URL对象应用于http通道时，策略内容url不包含主机名，如https:///wenku.html，策略内容不能包含https://www.ba。应用于httpproxy通道时，策略内容可以为url全部或部分。HTTP响应内容类型此功能针对HTTP/HTTPPROXY类型的通道，对HTTP响应内容类型进行过滤。选择<HTTP>，点击<+>图4-38配置策略集表4-12策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许通过的HTTP响应内容类型（例如：text/html）白名单：即允许通过的HTTP响应内容类型配置完成后不允许修改，只能删除重新配置<+>图4-39为策略集配置策略项输入完成后，点击保存。图4-40表4-13参数说明注意事项名称定义策略项名称是否自定义选择是否自定义HTTP响应内容类型自定义选项时，内容类型格式为大写英文加上/的形式，如：“TEXT/CSS”策略内容选择HTTP响应内容类型下拉框中已有许多类型，如不足；可自定义填写（注意如自定义，那服务器中必须存在此类型）HTTP响应内容敏感词此功能针对HTTP/HTTPPROXY类型的通道，对HTTP网页内容进行过滤。<HTTP><+>图4-41配置策略集表4-14策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型词的http响应内容采用模糊匹配方式<+>图4-42配置策略内容HC3C的hpHTTP请求方法此功能针对HTTP/HTTPPROXY类型的通道，对HTTP请求方法进行过滤。选中<HTTP<+>图4-43配置策略集表4-15策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许通过网闸通过策略里面设置的请求方法（使用不允许的请求方法，没有任何形式的返回信息）白名单：即只允许通过网闸通过策略里面设置的请求方法配置完成后不允许修改，只能删除重新配置<+>）图4-44配置策略内容邮件发件人此功能针对SMTP邮件类型通道，对发件人邮箱地址进行过滤。选择<><+>图4-45配置策略集表4-16策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许发送邮件的邮箱地址白名单：即仅允许发送邮件的邮箱地址配置完成后不允许修改，只能删除重新配置仅适用于SMTP类型通道<+>图4-46配置策略内容注：策略内容需要填写正确的邮箱格式。邮件收件人此功能针对POP3邮件类型通道，对收件人邮箱地址进行过滤。配置同邮件发件人一样。表4-17策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即不允许接受邮件的邮箱地址白名单：即允许接受邮件的邮箱地址配置完成后不允许修改，只能删除重新配置仅适用于POP3类型通道邮件主题敏感词此功能针对邮件类型通道，如SMTP、POP3，对邮件主题进行过滤。选中<<+>图4-47配置策略集表4-18策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即该邮件主题包含此类敏感词不允许发送、接受配置完成后不允许修改，只能删除重新配置此规则集类型无白名单<+>。图4-48为策略集配置策略项邮件内容敏感词此功能针对邮件类型通道,如SMTP、POP3，对邮件内容进行过滤。配置同邮件主题敏感词。表4-19策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型敏感词不允许发送、接受完成配置后，名称绑定类型，不可更改类型，但可以修改此策略集名称邮件附件内容敏感词此功能针对邮件类型通道,如SMTP、POP3，对邮件附件内容进行过滤。<+>图4-49配置策略集表4-20策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即该邮件附件正文内容包含此类敏感词不允许发送、接受但可以修改此策略集名称图4-50为策略集配置策略项表4-21策略参数说明参数说明注意事项名称定义策略名称可以修改策略内容仅允许输入禁止邮件附件中出现的内容附件内容过滤只支持txt文件，模糊匹配方式邮件附件内容目前仅支持txt类型文件的内容过滤。邮件附件类型此功能针对邮件类型通道,如SMTP、POP3，对邮件附件以后缀名的方式进行过滤。<+>图4-51配置策略集表4-22策略集参数说明参数说明注意事项名称定义策略集名称可以修改过滤类型黑名单：即该邮件附件后缀名包含此类敏感词不允许发送、接受白名单：即该邮件附件类型包含此类敏感词允许发送、接受，不包含的不允许发送，接受完成配置后，名称绑定类型，不可更改类型，但可以修改此策略集名称图4-52为策略集配置策略项表4-23策略参数说明参数说明注意事项名称定义策略名称可以修改策略内容仅允许输入禁止邮件附件中出现的内容附件类型后缀名区分大小写挂载策略HTTP的策略只能挂载到HTTP/HTTPPROXYFTPSMTPPOP3<设置通道时，会在通道设置框上出现可挂载的策略集。图4-53为通道挂载策略通道管理1.功能介绍户端IP1IP2PORT2TCP/IPIP2和PORT2IP1PORT1上的PORT1IP2PORT2图4-54网络拓扑示意图TCP点击<>图4-55通道管理页面点击图4-56通道配置表4-24通道配置参数说明参数说明注意事项共有TCPUDPHTTPHTTP_PROXY、HTTP_PROXY为HTTP代理功能，靠近服FTP、ORACLE、SMTP、POP3、务器的那一端系统需要设置DNS（参考类型SIP-28181-UDP、SIP-28181-TCP、DNS配置），并且客户端的浏览器必须设SIP-DB33、RTSP、Modbus、OPC这几置代理模式，其代理地址为通道监听IP地种协议。配置应用时请选择对应协议类型址，代理端口为通道监听端口通道方向客户端访问服务器的方向客户端在内端机一侧就选内端机（内端→参数说明注意事项外端方向）客户端在外端机一侧就选外端机（内端方向）端口类型通道的端口类型端口段类型监听端口需与目的端口一致监听地址网闸内/外端机映射的接口IP任意两条通道的监听地址和监听端口，不允许完全相同。即同一个源机IP和源机端口的组合只能映射一个服务。监听端口网闸内/外端机映射的服务端口目的地址另一端实际服务器的IP地址目的端口另一端实际服务器的服务端口监听端口段端口段模式下监听端口和目的端口范围能超过15位空闲超时时间链接超时时间设置设置为0S时，不检测FIN超时时间半链接超时时间设置本功能仅E6006P03之前的版本才支持可访问时间段化；行传输本功能仅E6006P03及其之后的版本才支持；Sip通道不能使用可访问时间段；不在访问时间段传输的通道，传输动作不记入日志，无应用日志。连接地址网闸靠近服务端的IP地址。重新封装数据包时，以此IP作为源地址若网闸到服务端不在同一网段，并且多个网口设置了不同网段的IP。请选择正确出口IP，避免服务器返回的报文因没有回址路由而丢失。策略集选择通道挂载的策略一条通道上，相同类型的策略只能挂载同一种过滤类型的策略集备注备注信息ID启用或<>图。图4-57通道管理说明：图上符号依次代表：添加、修改、删除、刷新、启用、停用、下载通道、上传通道。详细下方对应的蓝色“i”图标，可查看通道详细配置。IP地址进行限制。FTPSMTP、POP3、HTTPTCPipv6E6006P03使用ipv6“,:”15UDPFTPipipip户端ipipip>1024tcp通道。RTSPSIPtelnetRtsptcpudp流业务邮件告警E6006P03点击<>图4-58表4-25参数说明注意事项连接数阈值通道连接数达到设置阈值时会发送告警邮件到设置的邮箱中邮件告警周期设置邮件告警的周期，默认为30，单位为分钟，可自行修改邮件告警类型设置邮件告警类型，分为通道连通性告警、连接数告警、连接阈值告警三种。是否发送告警邮件勾选是否发送告警邮件收件人邮箱地址用于接收告警邮件的邮箱地址发件人服务器地址用于发送告警邮件的邮件服务器地址配置为域名时需要配置内网端dns服务器发件人邮箱账号用于发送告警邮件的邮箱账号发件人邮箱密码用于发送告警邮件的邮箱密码设置完毕后，可以点击“邮件测试”按钮，查看告警是否设置成功。文件同步文件同步支持类型支持windows/linux下的SMB、NFS、FTP、SFTP类型的文件同步。文件同步功能介绍共享目录管理在内外端机上添加要同步的服务器目录对象图4-59配置内、外共享目录对象图4-60表4-26参数说明注意事项共享类型选择传输方式：SMB、NFS、FTP、SFTPFTP协议传输方式仅E6006P03及其以上版本才支持NFS的windowsipv6不支持IP从网闸内端机/外端机所要连接服务器的IP地址端口服务器服务端口SMB默认端口：445（默认不可修改）NFS默认端口：111（默认不可修改）FTP默认端口：21（可以修改）SFTP默认端口：22（可以修改）共享目录服务器的目录名称NFS共享目录在服务器为linux系统时要写全路径；FTP和SFTP无共享目录共享目录不支持带空格的文件夹名同步目录位于共享目录下的子目录名称在FTP和SFTP设置中是根目录下的子目录（绝对路径）注：以实际服务器为准同步目录不支持带空格的文件夹名共享账号服务器所在的用户账号NFS无共享账号密码服务器所在的用户密码NFS无密码设置图4-61如果测试连接成功，则显示如下页面：图4-62测试成功提示页面不成功，则会显示如下：图4-63测试失败提示页面图4-64查看共享目录配置图4-65SMB目录配置举例图4-66NFS目录配置举例（E6006之后版本）图4-67FTP目录配置举例文件同步支持FTPE6006P03FTP图4-68SFTP目录配置举例文件类型管理文件类型管理是通过检测文件的类型特征码再加上自定义的名字类型标记，用以配合策略使用。32）：图4-69文件类型配置页面图4-70点击上传文件图4-71生成特征码图4-72图4-73只能上传小于50M的文件文件后缀名过滤E6006P0364个字符）：图4-74文件后缀名配置页面图4-75配置成功的提示页面图4-76查看添加的文件后缀名后缀名过滤不区分大小写，只能输入小写字母文件内容过滤管理E6006P036421）：图4-77文件内容过滤配置页面图4-78配置成功的提示页面图4-79查看添加的文件过滤内容仅支持txt类型文件内容过滤。同步任务管理配置文件同步任务图4-80添加文件同步任务图4-81添加任务名称。图4-82填写扫描间隔时间图4-83选择任务开始和结束时间图4-84配置同步方向图4-85选择“是否删除源文件”图4-86图4-87选择“是否同步删除”选择双向同步时不能勾选是否删除源文件和是否同步删除。图4-88配置优先级图4-89选择内端机传输目录对象图4-90选择外端机传输目录对象（。图4-91选择文件类型过滤模式图4-92选择文件类型过滤格式）。图4-93选择过文件后缀名滤模式图4-94选择文件后缀名过滤格式（。图4-95选择文件内容过滤模式图4-96选择文件内容过滤格式图4-97配置完成提示页面图4-98查看同步任务图4-99任务创建完成并启动同步任务图4-100查看同步任务配置详情此时点击“隐藏详细”或点击右上角关闭按钮，可退出任务详情20文件同步支持ipv6（windows下nfs）在源端共享目录下创建名称为tcp_sync_filterRDPrdp在文件传输开始后，文件修改日期不在发生变化，windows记录ID文件传输状态在任务启动的过程中显示传输中的进度状况。打开文件传输状态即可查看。同时最多显示8个文件，每2秒刷新一次。图4-101查看文件传输状态本页面不同版本存在差异，请以设备实际情况为准。数据库同步数据库同步支持版本mysql5.0.77及以上版本Oracle10g、11g、12cSqlserver2005及以上版本Db29.7及以上版本数据库同步功能介绍License同步数据库配置添加网闸内外网需要同步的数据库连接方式。可进行测试连接和强制删除操作。图4-102图4-103新增内网同步数据库图4-104同步数据库参数配置表4-27同步数据库参数说明参数说明描述填写该配置描述信息数据库类型选择配置数据库可选择：Mysql类型Oracle类型Db2类型Sqlserver类型数据库地址使用数据库地址数据库端口使用数据库端口数据库名称使用database数据库用户名使用数据库用户（具有dba和远程连接权限）数据库密码使用用户密码参数说明Jdbc参数Mysql的jdbc参数可选择配置；Sqlserver数据库同步时，同步表中涉及date、time等时间字段时，需添加Jdbc参数：sendTimeAsDateTime=false图4-105填写同步数据库参数图4-106测试数据库连接图4-107查看配置完成的同步数据库内端机节点创建成功。图4-108点击测试连接页面右上角勾选强制删除功能，显示强制删除按钮。图4-109勾选强制删除点击需要强制删除的数据库，确认即可强制删除数据库配置。图4-110点击强制删除20个。Sqlserverdate、timeJdbcsendTimeAsDateTime=falsesqlserver数据库不支持sql_variant关联数据库将网闸内、外网需要进行同步的数据库进行关联。点击<+>图4-111添加数据库关联图4-112选择内、外端关联数据库图4-113保存关联数据库配置图4-114查看已配置的关联数据库关联数据库成功同步表配置配置添加内、外网数据库中的需要进行同步的表。选择关联的数据库，点击<+>添加图4-115添加关联数据库的同步表点击查询源表按钮和查询目的表按钮，查询内外端数据库中的表，选择同步配置。Oracle/sqlserver/db2需填写schema进行过滤，schema必须为大写。图4-116查询源表和目的表表4-28同步表管理的参数说明参数说明内端catalog、外端catalog用于配置表属于数据库中的catalog（默认不用选择配置）内端schema、外端schema用于配置表属于数据库中的schemaOracle、Sqlserver、Db2数据库必须填写，schema必须为大写内端表选择使用要同步的表外端表选择使用要同步的表同步方向选择同步的方向同步配置选择需要同步的操作图4-117选择自定义同步冲突策略图4-118选择时间戳配置完成后，点击保存，查看同步表管理配置。图4-119查看已配置的同步表管理图4-120修改同步表配置可进行修改同步方向、同步配置。图4-121修改同步方向、同步配置BcAB表A表，[B]数据库同步配置状态查看数据库同步配置中的节点配置文件状态，节点创建状态，节点关联状态，同步表触发器状态，同步表路由状态，同步表触发器路由状态等。点击菜单<数据库同步配置状态>进行查看。图4-122查看数据库同步配置状态ipv6。系统日志审计系统资源信息该日志显示系统资源使用情况，包含CPU、内存、磁盘等占用量信息。点击<>图4-123查看内端机系统资