网康NGFW用户手册

网康科技•下一代防火墙

NextGenerationFirewall

用

户

手

册

Version1.0

北京网康科技有限公司

2012年11月

关于本手册

版权声明

北京网康科技有限公司©2012版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格

式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简

称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复

制、泄露或复写本文档的全部或部分内容.

信息更新

本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。

免责条款

根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但

不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终

用户或任何第三方因根据说明文档使用NGFW造成的任何直接或间接损失或损坏负责，即使网康科技

明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。

阅读对象

本文的读者对象为企业IT决策人员、网康下一代防火墙的使用用户、网康科技的合作伙伴。

目录

关于本手册...............................................................................I

目录...................................................................................II

1.简介................................................................................5

1-1公司简介........................................................................5

1-2产品简介........................................................................6

2.系统工作环境.......................................................................7

2-1虚拟线模式......................................................................7

2-2Vian模式........................................................................7

2-3网关模式........................................................................8

2-4NAT模式........................................................................8

2-5镜像模式........................................................................8

3.系统登陆..........................................................................10

3-1-1界面登录.................................................................10

3-1-2受限shell登录............................................................12

3-2系统功能简介...................................................................14

3-2-1系统监控.................................................................14

3-2-2应用分析.................................................................14

3-2-3数据中心.................................................................14

3-2-4策略配置.................................................................15

3-2-5网络配置.................................................................15

3-2-6用户管理.................................................................15

3-2-7系统管理.................................................................15

4.系统监控..........................................................................16

4-1应用监控.......................................................................17

4-1-1应用风险系数.............................................................17

4-1-2Top应用..................................................................17

4-1-3Top图风险应用...........................................................19

4-1-4设备接口吞吐.............................................................20

4-1-5接口监控.................................................................21

4-1-6IP流量排名..............................................................21

4-2系统监控.......................................................................22

4-2-1基本信息.................................................................22

4-2-2系统资源.................................................................23

4-3日志...........................................................................24

4-3-1威胁日志.................................................................24

4-3-2URL日志.................................................................24

4-3-3告警日志.................................................................25

5.应用分析ACC..............................................................................................................................27

5-1应用排名.......................................................................27

5-2网址排名.......................................................................28

5-3威胁排名.......................................................................29

5-4数据的钻取....................................................................30

5-5设置过滤条件...................................................................30

5-6界面工具条的使用..............................................................31

5-7应用系数.......................................................................32

5-8与日志的关联...................................................................32

6.数据中心..........................................................................33

6-1统计...........................................................................33

6-1-1汇总概览.................................................................33

6-1-2应用对比统计.............................................................36

6-1-3应用趋势统计.............................................................37

6-1-4威胁排名统计.............................................................39

6-1-5IP对比统计..............................................................42

6-1-6IP趋势统计..............................................................43

6-1-7IP威胁统计..............................................................44

6-2日志...........................................................................46

6-2-1流量日志.................................................................46

6-2-2网址过滤日志.............................................................50

6-2-3威月办日志.................................................................53

6-2-4配置日志.................................................................56

6-2-5告警日志.................................................................58

6-2-6系统日志：...............................................................60

6-2-7用户上下线日志..........................................................62

6-3监控...........................................................................64

6-3-1会话连接.................................................................64

6-3-2流量通道.................................................................65

6-3-3上线用户.................................................................65

7.安全策略..........................................................................68

7-1策略配置.......................................................................68

7-1-1安全策略.................................................................68

7-1-2地址转换.................................................................71

7-1-3DOS防护................................................................75

7-1-4流量管理.................................................................79

7-2对象配置.......................................................................87

7-2-1地址对象.................................................................87

7-2-2地址组对象..............................................................88

7-2-3服务对象.................................................................90

7-2-4服务组对象..............................................................91

7-2-5自定义应用对象..........................................................93

7-2-6应用过滤对象.............................................................97

7-2-7应用组对象..............................................................99

7-2-8时间调度对象............................................................102

7-2-9运营商地址对象.........................................................106

7-3动作配置......................................................................107

7-3-1防病毒配置.............................................................108

7-3-2入侵防御配置............................................................111

7-3-3网址过滤配置............................................................114

7-3-4DOS防护配置...........................................................117

7-3-5攻击防护配置............................................................119

8.网络配置.........................................................................122

8-1接口与区域...................................................................122

8-1-1接口配置................................................................122

8-2路由..........................................................................130

8-2-1静态路由................................................................131

8-2-2Ospf路由...............................................................131

8-2-3路由信息................................................................137

8-3高级网络......................................................................137

8-3-1静态ARP.................................................................................................................137

8-3-1ARP代理................................................................138

8-3-2DHCP服务..............................................................138

8-4虚拟专用网络(VPN)........................................................................................................140

8-4-1基本ipsec节点互连配置(共享密钥方式)..................................140

8-4-2数字证书方式的ipsec节点互连配置......................................143

8-4-3一端为动态IP方式和DNS域名方式的IPSec节点互连配置................144

8-4-4穿NAT方式的Ipsec节点互连配置.......................................145

8-4-5多节点方式的Ipsec节点互连配置........................................146

8-4-5配置实例...............................................................146

9.用户管理.........................................................................148

9-1对象设置......................................................................148

9-1-1位置对象................................................................148

9-1-2工具对象................................................................150

9-2用户导入......................................................................150

9-2-1IP导入..................................................................150

9-2-2LDAP导入..............................................................154

9-2-3网康自定义.............................................................165

9-3组织管理......................................................................166

9-3-1账户管理................................................................167

9-4认证管理......................................................................178

9-4-1登录界面................................................................178

9-4-2第三方服务器............................................................181

9-4-3认证配置................................................................184

9-4-4认证策略................................................................196

10.系统管理........................................................................200

10-1系统配置....................................................................200

10-1-1基本配置..............................................................200

10-1-2权限酉己置..............................................................205

10-1-3授权与更新............................................................207

10-1-4高级配置..............................................................215

10-2系统维护....................................................................215

10-2-1系统配置维护..........................................................215

1.简介

1-1公司简介

网康科技有限公司（NetentSec,Inc.）成立于2004年，专注于研发、生产和销售互联网控制网

关等系列产品及相关服务，网康科技在网络应用层内容识别与管理技术领域保持着领先的核心竞争

力，是中国上网行为管理理念的缔造者，是互联网行为管理行业的领导品牌。

产品与技术

网康科技拥有雄厚的技术研发实力，多项自主知识产权和发明专利使网康科技成为世界最具技

术创新和服务精神的企业之一。承担国家科技部、工信部、北京市科委的多项科研基金项目。

网康科技拥有全球领先的“互联网内容研究实验室”，有国内先进的网络应用层产品测试中心。

超过100台的云分析设备覆盖全国各省份，组成了中国最大的网页分析云平台。

网康科技拥有全球最大的中文网页分类库，可识别2000万条URL,中文网页识别率达到99%。此

外，网康科技拥有中国最大的流行应用协议库，可识别600多种网络应用协议，创新XAI特征技术，

对加密的应用实现跨包、跨链接、跨应用的第三代应用识别技术，领跑流行应用协议识别。

网康科技引领应用层商业智能分析技术，可提供100余种用户互联网行为分析报告。

客户与服务

网康科技拥有全球超过8000家用户，高端客户覆盖率广。在中国，网康科技的客户遍及政府、

金融、能源、运营商、教育、制造等各行业，是众多世界500强、中国500强企业信赖的互联网应用

层设备提供商。

网康科技拥有完善的销售与服务网络，网康科技有限公司总部位于北京，在全国建立了以京津

冀、华北、华东、华南、华中、东北、西北、西南等八大技术支持中心，29家直属办事处，在北美、

日本、东南亚等地均有合作伙伴，可为广大用户提供专业、高效、快捷的服务。

全国统一咨询服务热线：400-678-3600

北京网康科技有限公司

电话：传真：

地址：北京市海淀区中关村东路66号，世纪科贸大厦A座3层邮编：100190

网址：

电子信箱：（市场部），（服务部）

1-2产品简介

本产品主要特性为基于应用而构建的高速防火墙，也称为下一代防火墙NGFW,除了基本防火墙功

能，我们的产品还将覆盖UTM产品的优势特性，比如IPS（入侵防护）、AV（病毒防护）和内容过滤特性。

同时我们的产品更突出基于细粒度的应用和用户的业务安全控制、流量管理和行为安全管理等，重

点为用户提供可视化的业务安全和高性能的应用安全。

本产品的1.0版本为今年年度NGFW产品的第一个版本，同时定义为SMB的NGFW,覆盖实际网络带

宽小于2G的需求，目标是今年年底前必须发布的一款新产品，为公司在2012重要开拓的新产品。同

时NGFW产品是公司未来重点发展产品。

2.系统工作环境

NGFW产品部署方式非常灵活，主要分五种模式：虚拟线模式和、VIan模式、网关模式、NAT模式

镜像模式。

NGFW产品在部署时能够透明接入，从而不修改网络拓扑结构、不修改用户网络配置、不需要在

客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置。

不同的网络部署模式分别适用于不同的网络拓扑结构。请根据实际情况，选择适合本企业的网

络部署模式。

2-1虚拟线模式

将两个物理口绑定在一起，允许所有类型的报文在两口间互通（包括带VLAN标签的报文），但不

支持两口交换、路由和NAT等功能。虚拟线的功能类似于桥功能，但支持接口要求只能是2个，而免

除MAC地址学习和接口交换功能。虚拟线最大的不同为，会附加增加端口联动功能，以满足透明接入

实际需求。

Noroutingor

switchingperformed

Internet

图2-1虚拟线模式

2-2Vian模式

将两个或者两个以上的接口划入同一个Vian,允许所有同Vian的报文在网口见互通，同时支持

Vian口间的交换、路由功能。Vian模式的功能类似于透明网桥，以满足透明桥接实际需求。

Switchingbetween

twonetworks

Usernetwork

图2-2vlan模式

2-3网关模式

将两个或者多个不同的网络进行互联，实现各网络间的数据交换路由转发功能。

Routingbetween

twonetworks

图2-3网关模式

2-4NAT模式

NAT模式主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT有以下优点：其

一，通过使用少量的公有IP地址代表多数的私有IP地址，缓解了可用IP地址空间枯竭的速度。其二,

NAT可以隐藏私有网络，达到保护私有网络的目的。

Routingbetween

twonetworks

图2-4nat模式

2-5镜像模式

镜像模式也叫Tap模式。该模式下，会定义Tap接口，TapInterface主要为了监听网络中的业务,

监听的业务流是通过交换机的SPAN镜像过来的流量。设备应用在旁听模式，主要为了对应用的可视

化和审计等功能，而对于安全的控制和流量的QOS等是失效的。

图2-5镜像模式

3.系统登陆

网康下一代防火墙产品的工作环境部署好后，就可以登录系统的管理平台。系统提供了两种登

录方式，分别为界面登录和受限shell登录。

3-1-1界面登录

NGFW设备可通过管理口进行Web界面访问，从而对其进行管理控制。默认情况下，管理口IP地址

为192.168.1.23,因此，首先需要给管理系统的PC设置与管理口相同网段的IP地址，如192.168.1.2。

将PC连接NGFW的管理口，在PC上打开浏览器，在地址栏中输入“https:〃192.168.1.23”并回

车（请注意，该地址是以https开头，而非http）,IE显示提示页面（以IE为例，其他浏览器可能会

有所不同），如下图所示：

图3-1提示界面

请点击“继续浏览此网站（不推荐）”，会看到如下界面:

https192.168.i.23▼Google

NS-NGFW

下一代防火墙

您的UCENSE授权本法或已过期，

谓导.新的LICgE8文件.

:2入UCEHSE；

.版权所有©2004-2012北京网康科技有限公司俣望所有权利

全国服务热线400-678-3600

部件支持.xupporlGneteMssccon

建议显示器分辨率：1024*768及以上

图3-2导入证书界面

点击导入LICENSE,会弹出导入证书窗口，如下图:

A"T~192.168I23r11>•/11a痴二

产品授权]

产品授权信念

►当前授权偿息

当前无可用授权或授权信息不合法

，史联授权

0万式一：上钱默的授权文件选择文件：D:\Pr^CtHsacenent[.笼…]

O方式二：直搔枯贴授权内容到下面的文本框中

立即更歉茯取便件信JB返回

https.//J3/systei»_confi8/license#⑶3

图3-3产品授权界面

窗口为用户提供了两种方式导入，导入文件和导入内容，通过任意一种方式导入有效证书后,

点击立即更新，提示上传成功后，重新登录，即可打开NGFW的登录界面，如下图所示：

■q同嚎科技

HdNETENYSK

智能应用防火墙

图3-4登录界面

NGFW超级管理员的用户名和密码默认为admin和ngfw2012。输入正确的用户名和密码后，点击“登

录”按钮，进入NGFW系统的主页面。

进入界面后，超级管理员可以通过策略配置和网络配置模块根据自己的需要配置策略和网络，

还可以通过系统配置创建管理员并赋予权限等，具体参考第7,8,10章节。系统的简单介绍请参考内

容第3章的第2小节，具体功能及配置详细介绍请参看后面4至10章节。

3-1-2受限shell登录

在管理系统的PC上安装SecureCRT或Xshell软件，以SecureCRT软件为例，介绍登录过程。

第一步：打开SecureCRT软件，点击型（QuickConnect按钮）或画（Connect按钮），通过SSH

建立PC和系统的连接，有如下两种方式：

1）点击QuickConnect按钮，弹出QuickConnect窗口，设置hostname为管理口地址3,

username为admin后，点击connect（见如下图）,弹出EnterSecureShellPassword,输入密码

ngfw2012,点击OK（见如下图）。

2）点击（Connect按钮），弹出Connect窗口，点击NewSession,弹出NewSessionWizard窗

口，选择SSH2后，点击下一步（见如下图），设置hostname为管理口地址3,username

为admin后，点击下一步（见如下图），选择SFTP后，点击下一步（见如下图），最后点击完成,

输入密码admin,点击OK。

RevSessionVizard区

WhatisthenameorIPaddressoftheremotehost?

Theusernamecanbeleftblank.

Hostname：,3

Mi22

Eirtwall：Non*

ysername：admin

|<上一步[)][下一步W)>][取清]

第二步：输入config,进入受限shell配置界面，通过命令行对系统进行配置，关于受限shell的使用,

可参看相关章节。

3-2系统功能简介

NGFW界面提供如下功能:

系统监控应用分析数据中心策略配置网络配置用户管理系统管理

3-2-1系统监控

系统监控作为登录系统界面的首页面，主要用来展示设备的基本信息，应用排名、IP排名和接

口流速，并通过三个日志显示最近10条威胁、阻断的网址和告警信息。通过此模块，用户可以快速

直接地了解设备基本信息、访问应用和流量及产生的日志情况。

3-2-2应用分析

应用分析界面显示用户在不同时间段的不同应用、不同网址类别、遭受威胁的整体统计信息。

其中可以显示用户网络中风险级别和威胁检测最活跃的、高风险的应用，以及在最繁忙的应用类型

中检测威胁和所有应用的风险水平。

3-2-3数据中心

数据中心用来记录日志，包括通过设备产生的流量日志，对设备的配置日志，设备收到的威胁

和网址过滤日志，用户上下线日志等等，也会记录当前建立的会话连接情况，通道流速情况以及当

前上线用户，还会统计最近时间段内与之前相同时间段应用和IP对比、统计最近一段时间IP产生

流量和设备受到威胁情况等信息。

3-2-4策略配置

策略配置主要用来配置策略，包括安全策略，地址转换，Dos防护以及流量管理等，还可以设

置攻击防护配置等，NGFW的管理者可以自定义适合本单位的控制策略，灵活的保障网络应用。

3-2-5网络配置

网络配置主要用来配置物理接口信息，vlan、虚拟线及区域，可以设置路由，创建VPN,也可

以设置高级网络。

3-2-6用户管理

用户管理主要用来设置内网用户认证方式等。当设置用户为web认证后，用户每次登录必须经

过认证后才可以访问外网，当管理员强制某个用户下线后，该用户需要重新认证。

3-2-7系统管理

系统管理主要用来修改系统时间，修改管理口地址，设置DNS,也可以创建管理员，给管理员

设置不同权限，可以实现版本的授权与升级，系统的关机与重启也是在该功能模块进行。

关于NGFW每个功能模块的详细介绍，请阅读以下章节内容。

4.系统监控

系统监控作为整个界面上的第一模块，主要展示设备的基本信息，应用排名、接口流速及三个

日志等信息。通过此模块，用户可以比较快速直接地了解设备基本信息、内网访问情况及产生的日

志情况。

图4.1系统监控页面

进入系统监控，默认情况下，会有11个小窗口以三列视图形式显示在该界面上，分别为应用风

险系数、Top应用、Top高风险应用，设备接口吞吐、设备监控、IP流量排名，基本信息、系统资源,

威胁日志、URL日志、告警日志。

在系统监控上设置了功能选择、视图选择、默认配置及功能刷新按钮（如图4.2）。用户可以根

据自己的喜好改变默认显示，通过功能选择按钮自由选择显示/隐藏某些窗口，通过视图选择按钮实

现选择以二列/三列视图显示，用户也可以随意拖动某个窗口的位置，最后用户还可以通过默认配置

按钮，实现最初配置显示，通过功能刷新按钮，用户可以点击手动刷新按钮实现刷新界面上所有窗

口的显示情况。用户可以设置刷新时间为1分钟/2分钟/5分钟自动刷新，此时只是对系统资源、威胁

日志、URL日志和告警日志窗口自动刷新。

图4.2系统监控的工具栏

在功能选择中，将11个小窗口分为四大部分，分别为应用监控、流量监控、系统监控及日志。

应用风险系数、Top应用、Top高风险应用属于应用监控，设备接口吞吐、设备监控、IP流量排

名属于流量监控，基本信息、系统资源属于系统监控，威胁日志、URL日志、告警日志属于日志。

（见图4.3）

□功能选择(10/11)，超视图选择1

功能选择(1811)，0J视图选择

困应用监控》

因应用监控》n应用风险系数

图流量监控►

星流量监控►□设备接口吞吐

Top应用•­

一系统监控►I接口监控

§系统监控►Top高风险应用

日志

日志►□1F流量排名

ab

cd

图4.3功能选择展开

接下来分别对四大部分进行介绍。

4-1应用监控

4-1-1应用风险系数

应用风险系数窗口以风险系数尺的形式显示最近一小时内所有应用的风险平均值(见图4.3)。

当最近一小时内没有访问任何应用时，数值显示为0,标尺小三角在标尺的最左端，否则风险系数将

是1-5之间的数值，该数值越大，表明风险越大。

图4.4应用风险系数

4-1-2Top应用

【Top应用】主要显示通过设备访问所有的应用中流量或连接数排在前面的应用。默认情况下，

Top应用是以图形的形式显示最近15min内所有应用中按连接数排名前十名的应用信息(如图4.5)。

图4.5Top应用

Top应用窗口右上方设有四个按钮，当鼠标悬停每个按钮时，会有提示信息，依次为配置、最

大化、刷新和关闭。用户可以通过点击配置按钮修改默认设置，可以点击最大化按钮实现将窗口最

大化，最大化后可以点击还原按钮实现还原窗口，可以点击刷新按钮实现刷新当前信息信息，可以

关闭窗口，如果想重新显示该窗口，可以点击功能选择，应用监控，将Top应用选中。

当用户点击配置按钮时，会弹出设置选项小窗口（如图4.6）。

日回国

设置选项

Top个数：10▼

时间范围：最近15分钟▼

排名依据：连接数▼

图4.6设置选项

用户在小窗口中可以对Top个数、时间范围及排名依据进行设置。其中，

♦Top个数：可选5/10/20/50,10为默认；

♦时间范围：可选最近15分钟/最近一小时，默认为15分钟；

♦排名依据：可选流量/连接数，默认为连接数。

当用户设置完成后，Top应用窗口会立即按照设置显示Top应用。设置完成后用户需点击设置选

项窗口的关闭按钮来关闭设置窗口。

Top应用图中单元格颜色代表风险等级，共5种等级，分别用红、橙、黄、蓝、绿表示，依次代

表风险等级为5、4、3、2、1。当鼠标悬停在某个单元格上时，可显示名称、排名、会话数、字节

数、威胁数和风险系数。点击单元格，可带条件跳转关联至应用分析查看具体信息。

4-1-3Top高风险应用

【Top高风险应用】主要显示通过设备访问所有风险等级为4或5的应用中流量或连接数排在前

面的应用。和Top应用相似，默认情况下，Top高风险应用也显示最近15min内所有风险系数为4或5

的应用中连接数排名前十名的应用信息（如图4.7）。

图4.7Top高风险应用

Top高风险应用窗口右上方设有四个按钮，当鼠标悬停每个按钮时，会有提示信息，依次为配

置、最大化、刷新和关闭。用户可以通过点击配置按钮修改默认设置，可以点击最大化按钮实现将

窗口最大化，最大化后可以点击还原按钮实现还原窗口，可以点击刷新按钮实现刷新当前信息信息,

可以关闭窗口，如果想重新显示该窗口，可以点击功能选择，应用监控，将Top高风险应用选中。

当用户点击配置按钮时，会弹出设置选项小窗口（如图4.6）。

用户在小窗口中可以对Top个数、时间范围及排名依据进行设置。其中，

♦Top个数：可选5/10/20/50,10为默认；

♦时间范围：可选最近15分钟/最近一小时，默认为15分钟；

♦排名依据：可选流量/连接数，默认为连接数。

当用户设置完成后，Top高风险应用窗口会立即按照设置显示Top高风险应用。设置完成后用户

需点击设置选项窗口的关闭按钮来关闭设置窗口。

Top高风险应用图中单元格颜色只有红色和橙色，分别代表风险系数为5和4。当鼠标悬停在单

元格上时，可显示名称、排名、会话数、字节数、威胁数和风险系数。点击单元格，可带条件跳转

关联至应用分析查看具体信息。

流量监控

4-1-4设备接口吞吐

【设备接口吞吐】通过折线图的形式动态显示最近5分钟内网络接口的上行速率和下行速率情

况，界面如下：

女名修口吞吐

接口：ethO上行：下行：48.55Kbps

156.3Kbps

15:5615:5816:00

图4.8设备接口吞吐窗口界面

设备接口吞吐窗口右上方设有三个按钮，当鼠标悬停每个按钮时，会有提示信息，依次为配置、

最大化和关闭。用户可以通过点击配置按钮选择需要显示的接口，通过点击最大化按钮实现将窗口

最大化，可以点击关闭按钮关闭该窗口，如果想重新显示该窗口，可以点击功能选择,流量监控，

将设备接口吞吐选中。

当用户点击配置按钮时，会弹出设置选项小窗口（如