上网行为管理用户手册模板

金山KingGate上网行为管理用户手册V4.0（企业版）金山信息

目录TOC\o"1-4"\h\z\u1 序言 52 准备工作 62.1 准备PC 62.2 系统默认值 62.3 网络连接 62.4 网络检验 72.5 登录系统 73 系统设定 83.1 系统配置 83.1.1 管理设置 8 密码管理 8 系统设置 9 汇报配置 9 升级配置 10 License 10 用户管理 113.1.2 用户认证 13 基础配置 13 用户列表 13 免认证地址 143.1.3 流量统计 143.1.4 配置管理 153.1.5 系统更新 153.2 网络配置 153.2.1 网络模式 16 网关模式 16 网桥模式 18 旁路模式 193.2.2 网络设置 19 多IP绑定 19 DNS 20 远程管理 21 代理设置 21 内网服务器 22 SMTP路由 23 负载均衡 233.2.3 DHCP 23 基础配置 24 DHCP服务 24 子网设置 24 MAC地址绑定 25 IP分配列表 263.2.4 SNMP 263.3 邮件过滤 273.3.1 邮件审核设置 27 策略设置 283.3.2 邮件署名 30 基础设置 30 署名策略 303.3.3 警告邮件模板 31 垃圾邮件模板 31 邮件审计模板 313.4 Web过滤 323.4.1 关键字 323.4.2 过滤网址 333.4.3 文件和应用 353.4.4 上网策略 363.4.5 模板定义 383.5 应用控制 383.5.1 MSN过滤 38 基础设置 38 关键字 39 策略设置 393.5.2 QQ过滤 403.5.3 P2P控制 413.6 防火墙 423.6.1 基础设置 423.6.2 访问控制 433.6.3 地址设置 44 地址设置 45 分组管理 473.6.4 服务设置 47 预定义服务 48 服务设置 48 服务组 493.6.5 时间段 503.6.6 虚拟IP 513.7 路由设置 523.7.1 静态路由 523.7.2 策略路由 533.7.3 动态路由 54 RIP 54 OSPF 553.8 审计管理 553.8.1 过滤统计 563.8.2 每日详情 563.8.3 应用日志 573.8.4 访问日志 583.8.5 流量统计 593.8.6 邮件审计 623.8.7 日志设置 623.8.8 操作日志 653.9 串口管理 65序言版权申明本文件全部内容受版权保护而且归金山信息全部。未经金山信息明确书面许可，不得以任何形式复制、传输本文件（全部或部分）。金山及Kingsoft是金山信息注册商标，本文中包含到其它产品名称和品牌为其相关企业或组织商标或注册商标，特此鸣谢。金山信息不对本文件内容、使用，或本文件中说明产品负担任何责任或确保，尤其对相关商业机能和适用任何特殊目标隐含性确保不负担任何责任。另外，金山信息保留修改本文件和本文件中所描述产品权力。如有修改，恕不另行通知。信息更新本产品最新版本信息、升级信息和相关技术文档将在金山信息.com网站上立即推出，敬请留心。支持信息假如期望得到相关金山信息产品报价、产品信息和技术支持，请查阅企业网站：.com。准备工作金山KingGate上网行为管理产品能够经过远程方法进行使用和管理。用户在远程管理PC上经过Web浏览器对金山KingGate上网行为管理产品使用和管理。准备PC配置机器操作系统浏览器网络接口串口类型管理PCWindows/XP/ServerIE5.5以上10/100MbRS232系统默认值项目默认值系统帐号和管理方法管理方法：Web登录管理帐号：用户名：systemmaster密码：1234abcd管理方法：SSH管理账号：用户名：systemmaster密码：1234abcd管理方法：Console管理账号：用户名：systemmaster密码：1234abcd管理帐号：用户名：KingGate密码：KingGate登录方法00接口IPEth0:00/Eth1:/Eth2:0/Eth3:00/注：不一样型号，接口数量、类型也不一样。接口属性Eth0:lan1，不可修改网口属性，只能为内网口Eth1:wan1，可修改属性，可为lan、wan、dmzEth2:dmz1，能够修改属性，可为lan、wan、dmzEth3:lan2，能够修改属性，可为lan、wan、dmz注：配置网口属性必需有一个为wan口管理IP/任何IP能够管理管理口系统默认管理口为Eth0（lan1），经过系统每一个接口均可管理系统控制口属性超级终端连接属性为：每秒位数：9600，数据位：8，奇偶校验：无，停止位：1，数据流控制：无网络连接连接方法：连接电源线，并打开开关。将Eth0和电脑相连（通常使用平行线），而且将电脑IP配置成和Eth0（lan）口相同段IP地址，缺省为：00/，提议PCIP地址为：01/。网络检验 使用ping命令，在管理PC上对金山KingGate上网行为管理产品进行检测，看网络连接正常是否。假如网络连接没有问题，就能够登录到金山KingGate上网行为管理产品上了。以下图：登录系统在管理PC上，打开浏览器，在IE地址栏里输入，就能够登录到金山KingGate上网行为管理产品管理界面。以下图：输入账号，用户名：systemmaster，密码：1234abcd，登录系统。系统设定系统配置金山KingGate上网行为管理系统配置包含系统管理设置、用户认证、流量统计、配置管理、系统更新，经过本部分功效，能够完成系统基础配置。管理设置密码管理：修改目前用户密码；系统配置：重启关闭设备以立即间修改；汇报配置：配置定时发送汇报参数；升级配置：定义升级服务器；License：License查询和更新；用户管理：添加删除和修改登录用户；用户认证：启用系统帐号认证，在用户接入外网时，需经过认证后方可接入外网；流量统计：对网络进行实时和延时数据统计；配置管理：对系统配置备份和恢复、恢复出厂值；系统更新：版本升级和补丁上传；管理设置为了帮助用户对内部网络进行全方面管理，金山KingGate上网行为管理经过方便易用Web管理界面，为用户提供远程管理升级功效。包含修改用户密码、系统配置、汇报配置、升级配置、license、用户管理。密码管理系统配置-〉管理设置-〉密码管理，输入以下信息，能够修改密码，以下图：系统管理员旧密码：旧密码；系统管理员新密码：新密码；确定密码：再次确定新密码；确定：密码修改生效；注：密码规则，最小8位，最大19位，数字字母组合，不识别空格符号。修改只是目前登录用户密码。系统设置系统配置-〉管理设置-〉系统设置，以下图：获取系统时间：点击获取系统时间能够取得目前系统时间；修改系统时间：在日期和时间栏里输入对应参数，点击修改系统时间则能够修改目前系统时间；重启设备：系统重新开启；关闭设备：系统关闭，电源自动关闭；注：时间修改标准，通常时间不要进行修改，且时间修改不能超出12小时，以免影响License校验。汇报配置系统配置-〉管理设置-〉汇报配置，以下图：经过这个界面能够设置过滤处理方法中定时发送汇报相关汇报配置。用户能够在这里设置定时发送汇报邮件账号信息。SMTP服务器：输入邮件账号所在服务器；邮件地址：完整邮件地址；用户名：输入发送邮件用户名；密码：假如邮件服务器需要验证，输入邮件账号密码；查看邮件IP：设置汇报邮件内查看邮件连接里IP地址。这个设置用于用户设置外网访问IP地址，方便外部用户能够查看其被过滤邮件，通常地址为公网IP；发送时间间隔：发送汇报时间间隔（单位为：小时）。注意：只有在这个账号信息设置后，功效模块里选择发送定时汇报和转发警告信功效才能生效，而且这里发送信息是针对SMTP病毒信息。升级配置系统配置-〉管理设置-〉升级配置，以下图经过这个界面能够设置数据升级参数。因为金山KingGate上网行为管理产品不一样过滤功效全部有数据升级要求，如病毒特征库升级等。所以用户能够设置对应参数来帮助产品数据升级。升级服务器：选择数据升级服务器；启用代理：因为金山KingGate上网行为管理数据下载是经过HTTP协议来完成，所以假如在金山KingGate上网行为管理通往Internet连接上采取了HTTP代理，那就需要配置代理参数。代理服务器设置在系统配置-〉网络设置-〉代理设置；代理账号：假如代理服务器需要验证，那就设置代理服务器验证账号；密码：设置验证账号密码；License系统配置-〉管理设置-〉license，以下图：经过这个界面能够更新、查看License信息。License更新：产品序列号：显示金山KingGate上网行为管理序列号。同时，产品序列号在产品背部面板上能够查看；授权码：输入16位License授权码。然后点击确定，就会将License更新，授权码影响产品使用功效和使用时间，注：正式授权码过期不影响功效使用，但不能更新和升级数据；测试授权码过期过滤功效不能使用和不能更新和升级数据。系统信息产品名称：产品完整名称；机器型号：产品型号；序列号：产品序列号，和产品背部面板序列号保持一致；授权码：激活功效验证信息；注册时间：产品出厂时间或最新更新授权码时间；有效时间：产品在服务器时间；用户类别：正式用户或试用用户；功效模块：产品含有功效模块；管理系统版本：产品目前系统版本；用户管理系统配置-〉管理设置-〉用户管理，以下图用户管理选项用于添加管理用户。只有拥有用户管理权限管理用户能够添加新管理用户、修改管理用户权限和删除现有管理用户。systemmaster是缺省管理用户，不能被删除和修改。增加用户：点击增加用户，出现上述用户添加界面。管理用户输入对应设置，就能够添加相关管理用户；用户名：输入新增管理用户用户名；密码：输入新增管理用户密码，密码最少8位，采取数字和字母相间方法来确保密码安全性；确定密码：输入确定密码；权限：勾选管理用户权限。对应权限包含：用户管理、查看系统配置、修改系统配置和查看系统日志。对于不一样管理权限管理用户，在登录后系统将显示不一样菜单选项；添加用户：输入名称和密码，给予权限，点击确定；修改用户：点击用户列表右边编辑图标，出现以上界面。管理用户能够修改相关用户权限；删除用户：在用户列表界面勾选需删除用户，点击“删除”按钮删除相关用户；注：添加用户密码需要确保密码复杂性，大于或等于8位且为数字和字母组合。用户认证金山KingGate上网行为管理提供用户上网认证功效，点击系统配置-〉用户认证可进行用户认证相关配置。基础配置在基础配置中能够经过启用认证开关来设置系统是否启用上网认证功效。在启用认证模式下，假如用户IP地址和MAC地址不在免认证地址中，用户第一次上网将弹出上网认证界面，用户经过认证后，就能够正常上网了。一次登录认证使用期:用户经经过认证上网后，假如该用户在30分钟内没有上网流量，系统将自动注销用户上网功效，如需上网将需要重新认证，时间变动默认为30分。用户列表这里用户名和密码是提供给用户上网认证用，能够点击添加用户按钮来新增用户，以下图：

免认证地址

在免认证中地址，用户无需认证就可直接上网。免认证地址支持IP地址和MAC地址，mac输入格式如：00:14:C2:DB:4E:E3。流量统计开启流量统计后，能够实时查看所选择接口全部IP多种流量，结果在统计日志-〉流量统计中查看，图：启用统计接口：开启或关闭流量统计；流量统计接口：选择需要流量统计接口，仅对LAN和DMZ口统计，对WAN口不统计；刷新频率：采集数据信息频率，最小设置为1分钟；内部子网地址：设置采集数据子网信息，多子网设置用回车分开；配置管理配置管理完成备份系统配置、恢复存在配置、恢复系统默认值。系统配置-〉配置管理，以下图：下载配置文件：下载，备份系统目前配置；上传配置文件：将存在系统配置恢复系统，使其生效；恢复默认配置：恢复系统出厂默认值；系统更新经过系统更新，更新补丁包，并立即生效，生成新系统版本号。以下图：网络配置网络模式：金山KingGate上网行为管理网络模式有两种，网关模式和网桥模式网络设置：关键包含了多IP绑定、DNS、远程管理、代理服务器、内网服务器、SMTP路由多IP绑定：实现内网口或外网口多IP绑定；DNS：依据不一样网络提供商配置不一样DNS；远程管理：指定IP地址管理系统；代理服务器：对于内部网络使用HTTP、POP3、SMTP、FTP等代理；内网服务器：映射内网服务器，做到保护内网服务器，针对FTP、WEB、邮件服务器、文件服务器保护；Smtp路由：保护邮件服务器；负载均衡：在网关模式下，而且启用了多WAN，将显示负载均衡；DHCP：能够启用DHCP服务器和DHCP代理；SNMP：简单网络管理协议；网络模式金山KingGate上网行为管理网络模式有两种，网关模式和网桥模式。网关模式网络配置-〉网络模式-〉网关模式，以下图：网络模式目前状态：是指设备目前运行模式，默认为网关；设置为网关：勾选后，点击提交。不勾选，点击提交无效；监测外网网关：对外网默认网关自动检测，假如探测路由不可抵达，将不能添加路由，出现网络不可抵达。在多WAN环境下，出现线路中止，将协商从能够抵达线路转发数据。默认情况不启用此功效。网关设置Eth0设置启用：表示目前网口运行状态，不可更改；网络区域：默认内网，不可更改；网络类型：默认静态，不可更改；IP地址：00，能够更改；掩码：，能够更改；别名：默认lan1，能够更改；Eth1设置启用：表示目前网口运行状态，能够更改；网络区域：默认外网，能够更改；网络类型：默认静态IP，DHCP、拨号能够更改；IP地址：，能够更改掩码：，能够更改网关：缺省为空，能够更改别名：默认wan1，能够更改Eth2设置启用：表示目前网口运行状态，能够更改；网络区域：默认DMZ，能够更改；网络类型：默认静态IP,DHCP、拨号；IP地址：0，能够更改；掩码：，能够更改；网关：缺省为空，能够更改；别名：默认DMZ,能够更改；Eth3设置启用：表示目前网口运行状态，能够更改网络区域：默认内网，能够更改网络类型：默认静态，能够更改IP地址：00，能够更改掩码：，能够更改别名：默认lan2，能够更改注：NAT开启和关闭、在网口开启NAT则在本网口出去数据将被做源地址转换。提交提交目前修改配置；拨号状态：在拨号状态下，点击拨号状态，显示目前拨号信息，而且能够手动拨号和手动断开。动态域名：支持2种动态域名DTDNS和华盖DDNS网桥模式网络配置-〉网络模式-〉网桥模式，以下图：网络模式目前状态：是指设备现在运行状态；设置为网桥：勾选后，点击确定。不勾选，点击确定无效；注：在网桥状态内网介入只有eth0(lan1)可用，外网能够依据环境选择网口。网桥设置系统IP设置：默认为00和lan1地址同时；子网掩码设置：默认；默认网关设置：默认；网桥网卡：在网桥下只有一个内网和一个外网，默认下内网为eth0，外网为用户自定义；确定：提交修改配置；注意：在改变网络模式前，在系统配置-〉网络设置-〉远程管理中添加远程管理IP，默认许可全部些人可管理系统。旁路模式网络配置-〉网络模式-〉旁路模式，以下图：注：在旁路模式下，eth0为管理口，eth1为数据监听口。网络模式目前状态：是指设备现在运行状态；设置为旁路模式：勾选后，点击确定。不勾选，点击确定无效；旁路设置启用：启用eth0为旁路管理口；网络区域：默认为内网，不可更改；网络类型：默认为静态IP；IP地址：为eth0配置IP；掩码：和IP地址对应掩码；确定：提交修改配置；网络设置关键包含了多IP绑定、DNS、远程管理、代理服务器、内网服务器、SMTP路由、负载均衡。多IP绑定网络配置-〉网络设置-〉多IP绑定，以下图：注：提供多个IP地址在网卡上绑定，只有在网关模式下才可用。点击绑定新IP来创建新绑定IP。假如需要删除已经有网卡IP，勾选相对应网卡IP右边选择框，然后点击删除按钮。绑定新IPIP地址：输入需要绑定IP地址；绑定网卡：输入需要绑定网卡；状态：设定是否开启；掩码：设定IP掩码；注释：输入注释；点击确定保留绑定IP设置，点击返回取消设置；DNS修改DNS。DNS服务器是域名解析过程中必需，请正确填写ISP提供DNS信息。网络配置-〉网络设置-〉DNS，以下图：首选DNS服务器：设置首选DNS服务器；第二DNS服务器：设置第二个DNS服务器；第三DNS服务器：设置第三个DNS服务器；第四DNS服务器：设置第三个DNS服务器；注：金山KingGate上网行为管理出厂时设置是深圳电信DNS服务器。请用户依据ISP网络情况设置对应DNS服务器。它将影响系统访问Internet升级。远程管理远程管理能够控制指定IP地址管理系统。金山KingGate上网行为管理缺省远程管理IP是/，许可任何人管理，用户能够添加单一IP或子网，多个远程管理IP之间用回车相隔。注：为了提升系统安全性，提议授权特定IP或子网能够管理系统，取消/。网络配置-〉网络设置-〉远程管理，以下图：注：用户一定要在修改金山KingGate上网行为管理内网IP地址或网桥IP地址前，设置能够访问到该IP远程管理IP。假如没有设置对应远程管理IP，在修改了IP后，用户就无法登录金山KingGate上网行为管理进行管理。在修改系统IP前，请确定系统远程管理IP。代理设置网络配置-〉网络设置-〉代理设置，以下图对于内部网络使用HTTP、POP3、SMTP、FTP等代理，假如需要金山KingGate上网行为管理对对应协议进行保护，就需要设置对应协议代理信息。尤其是在网桥模式下，这种情况出现可能性较大。对HTTP协议，需要设置代理IP地址及其端口；对于其它协议，需要设置代理端口。点击确定来完成修改。内网服务器经过内网服务器设置，金山KingGate上网行为管理能够对内网服务器进行安全防护，包含病毒过滤、垃圾邮件过滤、Web过滤等。配置对应映射后，外网机器访问金山KingGate上网行为管理外网口Web、邮件或FTP端口，金山KingGate上网行为管理就会在安全过滤后，将内容转发到后面对应内网服务器。网络配置-〉网络设置-〉内网服务器，以下图：Web服务器：使用协议：HTTP，设置进行保护内网Web服务器IP地址和端口。在路由模式下，需要设置映射外网IP地址。假如需要对同一台Web服务器多个端口进行保护，能够设置在后面Web服务器设置里。用户现在能够设置三个Web服务器。文件服务器：使用协议：NETBIOS，设置进行保护文件服务器IP地址和访问网段。对于文件服务器，关键提供NETBIOS协议病毒过滤。比如，放在DMZ文件服务器，假如要对从内网访问过去进行过滤，就把访问网段设置成内网。假如在防火墙虚拟IP里设置了映射IP，就把映射IP填写在这里。用户现在能够设置三个文件服务器。邮件服务器：使用协议：SMTP或POP3，设置进行保护内网邮件服务器IP。在路由模式下，需要设置映射外网IP地址。用户现在能够设置三个邮件服务器。FTP服务器：设置进行保护内网邮件服务器IP。在路由模式下，需要设置映射外网IP地址。用户现在能够设置三个FTP服务器。注：在网桥模式下，因为设备网卡设置在混杂模式，所以假如在内部网络有Web服务器、邮件服务器和FTP服务器，内部访问可能会被干扰，所以用户需要将这些内网服务器IP地址在这里输入。SMTP路由SMTP路由模式对邮件服务器进行保护。经过对邮件服务器MX纪录设置，能够将金山KingGate上网行为管理作为邮件域名首选服务器，然后由金山KingGate上网行为管理将接收邮件进行过滤后转发到被保护邮件服务器。网络配置-〉网络设置-〉smtp路由，以下图：启用SMTP路由模式：勾选启用SMTP路由模式开启SMTP路由；本机MX名：在DNS服务器为金山KingGate上网行为管理定义MX统计；保护邮件服务器：域名：是邮件域名(@后面域名)，IP地址是指邮件服务器真实IP地址；注：假如启用SMTP路由，产品第一个网口（eth0）用于业务转发。负载均衡负载均衡在双WAN环境下，系统自动确定外线选择，系统提供多条外线接入（wan1和wan2）。可依据session方法确定线路选择，可依据链路ISP供给商来选择。网络配置-〉网络设置-〉负载均衡，以下图：优先级：系统依据优先级，确定数据关键从哪条线路出；恢复默认值：恢复系统缺省值，系统默认从wan1走；确定：配置生效；DHCPDHCP是提供DHCPServer服务，它可完成让PC或服务器自动从系统获取IP地址、子网掩码、网关、DNS信息。网络配置-〉DHCP，以下图：基础配置不启用：不开启DHCPServer服务；DHCP服务：开启DHCP服务，在开启DHCP服务时，最少确保系统配置-〉DHCP-〉DHCP服务eth1DHCP服务启用；不然DHCP服务无法正常开启；DHCP代理：DHCP用户端利用金山KingGate上网行为管理作为代理向第三方DHCP服务器获取地址；确定：配置生效；DHCP服务网络配置-〉DHCP-〉DHCP服务，以下图：启用DHCP服务：选择是；网关：分配给DHCPClient网关地址；DNS：分配给DHCPClientDNS；发送IP范围：经过DHCPServer能够分配IP地址；子网掩码：分配给DHCPClient子网掩码；确定：配置生效；子网设置子网设置是在DHCPServer为代理时，配置才有效。DHCPServer代理能够依据不一样子网地址DHCP代理转发过来DHCP请求分配不一样网段IP地址。点击新建子网，能够新建子网。网络配置-〉DHCP-〉子网设置，以下图：

子网地址：分配子网地址；子网掩码：分配子网子网掩码；网关：DHCPServer下发给该子网DHCP用户端网关地址；DNS1：DHCPServer下发给该子网DHCP用户端首选DNS；DNS2：DHCPServer下发给该子网DHCP用户端备份DNS；发放IP范围：DHCPServer分配给该子网DHCP用户端IP地址范围；MAC地址绑定MAC地址绑定使DHCPClient总是获取指定IP地址，经过IP地址和MAC地址绑定实现。网络配置-〉DHCP-〉MAC地址绑定，以下图：新建绑定名称：设定用户名称；IP地址：指定分配给DHCPClientIP地址；MAC地址：指定DHCPClientMAC地址，格式如：00:14:C2:DB:4E:10,字母不区分大小写；确定：配置生效；返回：放弃配置；删除绑定选择要删除对象，删除。IP分配列表IP分配列表是显示目前租赁期中，分发IP地址和MAC地址列表。网络配置-〉DHCP-〉IP分配列表，以下图：SNMPSNMP（SimpleNetworkManagementProtocol：简单网络管理协议），金山KingGate上网行为管理作为SNMP管理代理，接收管理端发来请求并响应对应操作，也可主动向管理端发送请求。金山KingGate上网行为管理现在支持SNMPV3版本，其关键参数有：CPU、内存、网络接口等信息。以下图：启用服务：是，开启SNMP服务；否，关闭SNMP服务；版本：支持SNMPV3版本；帐号：用于和管理站连接帐号，需要管理站和代理保持一致；系统位置：定位设备所在位置；系统联络人：管理系统责任人；安全等级设定：类别有：认证（MD5）.加密（DES）、认证（MD5）.不加密、不认证.不加密；认证密码：MD5认证密码；加密密码：DES加密密码；邮件过滤邮件审核设置延迟审计功效，开启此功效，设备会先阻拦邮件，统计到设备上，管理员能够经过统计日志-〉邮件审计查看邮件，和操作是否发送。邮件过滤-〉邮件审核设置，以下图：策略设置审计功效：创建策略，勾选开启审计功效，确定生成策略，点击策略生效。Smtp策略针对SMTP发送邮件控制和过滤功效。用户能够经过对发件人、收件人、收件人域名和邮件内容（包含正文和附件）设置关键字，对经过Internet向外发送邮件进行监控和过滤；用户能够经过设置SMTP策略，对向外发送SMTP邮件进行机密信息防范策略管理。用户能够对用户或用户组进行分组机密邮件管理策略设置。用户/用户组能够在“地址管理”里进行设置。创建管理策略将会排列在列表里。上面策略在实施时优先于下面策略；假如要编辑策略，用户能够点击相关策略最右边编辑图标进行编辑；假如要删除策略，用户能够点击相关策略最右边勾选项，然后点击“删除”按钮即可；因为策略实施和其次序相关，用户能够调整策略位置。点击对应上网策略一栏右边上下移动图标，出现以下界面。用户能够设置将策略向上或向下移动，移动位数由用户输入。图：策略生成以后点击策略生效，过滤生效；创建策略方法点击创建策略能够创建新SMTP机密邮件管理策略。新建SMTP邮件管理策略界面以下：用户/组：用户选择策略适用用户/用户组。用户/用户组在地址管理里设置；SMTP：选择对于向外SMTP通讯是过滤（即进行内容过滤）、是正常处理（即不进行过滤）、还是严禁（即不许可发送）；审计功效：不需要延迟审计则能够关闭，依据需要来开启和关闭；保留SMTP发送邮件：选择是否备份相关用户/用户组SMTP向外发送邮件；规则是否启用：选择是否启用该管理策略；策略选项：发件人黑名单：用户能够设置发件人黑名单，不许可相关发件人向外发送邮件；发件人白名单：用户能够设置发件人白名单。在白名单上发件人将不会被过滤；收件人黑名单：用户能够设置收件人黑名单，不许可向相关收件人发送邮件；收件人白名单：用户能够设置收件人白名单。向白名单上收件人发送邮件将不会被过滤；收件域名黑名单：用户能够设置收件域名黑名单，不许可向相关域名发送邮件；收件域名白名单：用户能够设置收件域名白名单。向白名单上收件域名发送邮件将不会被过滤；黑名单关键字：用户能够设置黑名单关键字。对于在黑名单上关键字，假如出现在向外发送邮件正文或附件里，邮件将会被过滤掉。现在，金山KingGate上网行为管理能够对Word、Excel、TXT文件格式附件进行内容过滤；白名单关键字：用户能够设置白名单关键字。对于在白名单上关键字，假如出现在向外发送邮件正文或附件里，邮件将不会被过滤；点击保留将保留相关策略。假如点击返回，策略将不会被保留；邮件署名邮件署名是对指定发件域进行署名，在发出邮件正文尾部，附上署名信息。基础设置启用邮件署名：启用，开启外发邮件署名；不启用，关闭外发邮件署名；确定：设置生效；署名策略为指定发件域定义署名内容，以下图：创建策略：新增发件域署名内容，确定设置生效，以下图：删除署名：选择删除署名条目，点击删除。警告邮件模板模板设置包含垃圾邮件模板和邮件审计模板。垃圾邮件模板对于需要发送警告邮件用户能够设置警告邮件模板。邮件过滤-〉警告模板设置-〉垃圾邮件模板，以下图：邮件审计模板邮件过滤-〉警告模板设置-〉邮件审计模板，以下图：注：请在设置时尽可能保持邮件格式，以避免邮件发送时会产生错误。对于用百分号（%）引用起来词（如%USERNAME%），金山KingGate上网行为管理会自动从邮件和其链接中取得相关信息，然后在警告邮件里替换这些词，所以请用户在使用这些词时候，一定要注意保持原有拼写。Web过滤金山KingGate上网行为管理Web过滤提供了对内部上网Web访问和webpost信息进行内容控制。对于Web访问和webpsot信息，金山KingGate上网行为管理提供了黑名单、白名单、关键字、文件及应用拦截。同时，金山KingGate上网行为管理提供了对用户进行分组管理功效。能够针对不一样用户组来制订不一样Web过滤策略。对于金山KingGate上网行为管理Web过滤策略，用户首先需要对用户和用户组进行管理。然后，用户需要依据内部管理需求，设定不一样关键字组、权重关键字组和过滤网址组，将关键字、权重关键字和过滤网址制订成不一样策略组。最终，在“上网策略”里进行不一样用户（地址）组上网策略设定。关键字关键字过滤。对于黑名单关键字，假如在网页和webpost中出现，会被拦截。对于白名单关键字，假如在网页或webpost中出现，不会被过滤。Web过滤-〉关键字，以下图：在选择类别（黑名单或白名单）后，点击创建新组来创建新关键字组。假如需要删除已经相关键字组，勾选相对应关键字组右边选择框，然后点击删除按钮。对于已在上网策略里使用关键字组，则不能删除。假如需要编辑已经相关键字组，点击相对应关键字组一栏编辑图标。黑（白）名单：创建黑名单（白）名单关键字，图：定义组名：将在上网策略中显示出来名称；添加关键字：手动输入或经过浏览导入；关键字最多长度为20位；注：经过导入添加关键字，文件必需是文本格式，而且每个关键字一行。点击浏览按钮，就能够选择导入文件名字。文件名选择完成后，点击确定按钮导入关键字。编辑关键字组界面和新增关键字组基础相同，只有组名是不能编辑。过滤网址金山KingGate上网行为管理提供网址过滤功效，用户经过配置网站服务器和网址URL黑白名单，达成对网站或网页和webpost信息进行过滤功效。同时，金山KingGate上网行为管理提供预定义不一样类型网站黑名单。假如设置了过滤站点，金山KingGate上网行为管理会对整个网站（包含其下属网页）进行过滤。用户能够首先建立不一样过滤网址组，然后将这些过滤网址组设置在上网策略里。Web过滤-〉过滤网址，选项出现以下界面：在选择类别（黑名单站点、白名单站点、黑名单网址、白名单网址）后，点击创建新组来创建新过滤网址组。假如需要删除已经有过滤网址组，勾选相对应过滤网址组右边选择框，然后点击删除按钮。对于已在上网策略里使用过滤网址组，则不能删除。假如需要编辑已经有过滤网址组，点击相对应过滤网址组一栏编辑图标。新增过滤网址组界面以下：用户能够依据内部使用情况自定义网站或网址黑名单。定义了黑白名单网站，则网站下属全部网页全部会被过滤。如定义了“.com”黑名单站点，那也会被阻拦；新增网址：增加新网址，在栏中输入敏感网址，然后点击添加增加。新增网址会在界面中显示。显示栏右边删除按钮用于删除相关网址。网址最大长度为100；网址导入：用户能够导入网址文件。文件必需是文本格式，同时每一敏感网址一行。配置时，用户点击浏览按扭，选择相关文件，然后点击确定从文件中导入网址；预定义类别选择：金山KingGate上网行为管理提供色情、赌博、暴力、黑客、游戏、恶意病毒、聊天、论坛、广告、毒品等预定义类别；同时分成中英文两种。用户能够依据内部管理需求选择，在预选项选择后点击确定保留；注：假如为站点组，则在输入网页只需键入域，比如：要过滤.com只需要添加文件和应用用户能够设置金山KingGate上网行为管理对经过HTTP协议下载文件类型，和嵌入网页应用类型进行过滤，从而预防恶意程序破坏，降低终端和网络安全风险。Web过滤-〉文件及应用，以下图：创建组：点击创建新组来创建新文件及应用组；删除组：勾选相对应文件应用组右边选择框，然后点击删除按钮。对于已在上网策略里使用文件应用组，则不能删除；编辑组：点击相对应文件应用组一栏编辑图标；文件和应用关键分为http下载和http应用。HTTP下载：金山KingGate上网行为管理设置了.dll、.exe等十余种预定义文件类型，用户可对对应类型进行选择或免选严禁，选择完成后点击右下角确定按扭保留；用户自定义需要严禁下载文件扩展名。在文件扩展名框内输入扩展名后点击添加增加扩展名。假如要删除已经有扩展名，勾选扩展名一栏右边选择框，点击删除；HTTP应用：金山KingGate上网行为管理设置了Quicktime、Realplay嵌入类别，用户可对对应类型进行选择或免选严禁，选择完成后点击右下角确定按扭保留；金山KingGate上网行为管理许可用户自定义需要严禁MIME类型。在应用类型框内输入MIME类型后点击“添加”增加MIME

类型。注意：MIME类型需要“/”标示符。假如要删除已经有MIME类型，勾选扩展名一栏右边选择框，点击删除即可；上网策略用户能够灵活地设置用户或用户组上网管理策略功效。用户需要先在防火墙-〉地址设置菜单下定义用户和用户组，然后再在这个界面里定义不一样用户或用户组上网策略。WEB过滤->上网策略，以下图：点击创建策略来创建新上网策略。策略是根据次序来实施。上面策略优先于下面策略。勾选应用一栏下选择框，能够设置是否启用该策略；假如需要删除已经有上网策略，勾选相对应上网策略最右边选择框，然后点击删除按钮；假如需要编辑已经有上网策略，点击相对应上网策略一栏右边编辑图标；因为策略实施和其次序相关，用户能够调整策略位置。点击对应上网策略一栏右边上下移动图标，出现下面界面。用户能够设置将策略向上或向下移动，移动位数由用户输入；新增上网策略，以下图：用户/组：选择用户或用户组。用户和用户组是在“地址管理”里设置；注意：只有内网用户/组才能够设置。另外，假如用户没有IP地址，这个策略则不会生效。因为上网管理策略是基于IP地址。WEB过滤：设置是过滤上网（缺省，即需要经过关键字和网址过滤）、正常上网（即不经过任何过滤）还是严禁上网；只许可白名单访问：设置只许可在白名单站点和网址里网页才能够访问；IP地址访问：设置是否许可采取IP地址访问网站。这是预防用户采取IP地址访问在黑名单上站点或网址；黑名单关键字组：设置适适用于该用户/组黑名单关键字组。相关黑名单关键字组在“关键字”选项里已经设置好了。假如不选，则为空；白名单关键字组：设置适适用于该用户/组白名单关键字组。相关白名单关键字组在“关键字”选项里已经设置好了。假如不选，则为空；白名单站点组：设置适适用于该用户/组白名单站点组。相关白名单站点组在“过滤网址”选项里已经设置好了。假如不选，则为空；黑名单网址组：设置适适用于该用户/组黑名单网址组。相关黑名单网址组在“过滤网址”选项里已经设置好了。假如不选，则为空；白名单网址组：设置适适用于该用户/组白名单网址组。相关白名单网址组在“过滤网址”选项里已经设置好了。假如不选，则为空；文件及应用：设置适适用于该用户/组文件及应用组。相关文件及应用组在“文件及应用”选项里已经设置好了。假如不选，则为空；Post过滤过滤等级：过滤和严禁。过滤只针对于黑白名单进行过滤，如开启严禁则全部post信息不能过滤；上传文件许可和严禁；黑白名单站点组和黑白名单关键字过滤；规则是否生效：选择是否让规则生效状态；点击添加增加新上网策略，点击返回取消上网策略设置；重启服务：在创建策略后，策略立即生效，勾选后，点击重启策略生效；编辑上网策略界面和创建策略基础相同；模板定义Web过滤-〉模板定义，以下图：应用控制针对和用户使用应用软件进行控制，关键有msn、qq和P2P控制。MSN过滤针对MSN进行控制和部分聊天统计控制。基础设置应用控制-〉基础设置，以下图：开启过滤：过滤开启时，不做任何策略设置，设备默认许可MSN登录和聊天，而且统计聊天信息；关闭过滤：过滤关闭时，不做任何策略设置，设备为许可MSN登录和聊天，但不会统计聊天信息；关键字在MSN通讯过程中，在MSN过滤开启、关键字过滤开启情况下，能够对聊天内容进行关键字匹配，若被匹配，系统将拦截关键字内容，用户端将不能收到对应内容。以下图：策略设置为用户提供灵活MSN控制，用户能够经过策略实现、MSN登录控制和是否统计聊天信息控制。应用控制-〉策略设置，以下图：拒绝策略：新建策略，选择需要控制用户所在网口和所在组，动作为拒绝，为开启状态，点击确定，策略生效，以下图：许可、统计日志：创建策略方法同上，在动作选择处选择为许可、统计日志，确定后生效，以下图：许可、不统计日志：创建策略方法同上，在动作选择处选择为许可、不统计日志，确定后生效，以下图：QQ过滤提供QQ控制，这里能够对QQ进行许可登录和拒绝登录控制，而且能够基于时间端段进行控制。应用控制-〉QQ过滤，以下图：创建规则界面接口：访问源为用户所在内网，目标为用户出去外网；用户/组：访问源，默认内网，Internal为全部用户意思，能够为用户在地址管理里面定义组或单个用户名，目标默认外网组为External；服务：服务QQ，且不可改变；时间段：默认时间为always，能够改变为用户在防火墙定义时间段；动作：拒绝动作则不许可登录QQ。许可动作定义能够登录QQ；启用和关闭；确定策略生效；P2P控制为用户提供对常见部分下载软件和部分视频软件控制，如BT、电驴、迅雷、PPlive、QQLive、常见股票软件（大智慧、钱龙、同华顺等）。应用控制-〉P2P控制，以下图：创建策略界面接口：访问源为用户所在内网，目标为用户出去外网；用户/组：访问源，默认内网，Internal代表全部用户意思，能够为用户在地址管理里面定义组或单个用户名，目标默认外网组为External；服务：选择P2P服务；时间段：默认时间为always，能够改变为用户在防火墙定义时间段；动作：拒绝动作则不许可使用P2P。许可动作定义能够使用P2P；启用和关闭；确定策略生效；支持软件关键有：迅雷、电驴、PPlive、股票交易等；注：这里只做P2P连接封杀，假如需要完全控制还需在防火墙-〉访问控制中，经过流量控制策略实现。防火墙防护墙包含基础安全防护、访问控制、地址管理、服务设置、时间段、虚拟IP、完成对用户分组访问控制和对外映射服务。基础设置防火墙-〉基础设置，以下图：过滤TCP状态：严禁非正常状态TCP数据包经过；过滤通用入口扫描：过滤对网络接口扫描；限制并发连接数：限制每个IPTCP/UDP并发连接数；过滤地址欺骗：过滤基于IP或MAC地址欺骗；丢弃分段ICMP包：过滤小于48Bytes或大于256BytesICMP包；限制ICMP包并发连接数：限制每秒ICMP数据包可抵达并发数；新增TCP并发连接数：限制每个IP在每秒钟最大新增连接数；访问控制访问控制用于对用户行为进行控制，控制包含源地址、目标地址、服务、时间、流量、动作、开启状态、日志统计。防火墙-〉访问控制，以下图：创建新规则访问源接口：选择访问源接口，能够内网、外网、DMZ；访问源用户/组：选择访问源用户/用户组。自定义用户/用户组在地址管理设置；目标接口：选择访问目标接口，能够内网、外网、DMZ；访问源用户/组：选择访问目标用户/用户组。自定义用户/用户组在地址管理设置；服务：选择访问服务。系统预定含有预定义服务，而且见BT、xunlei等应用服务放在此，自定义服务在服务设置中配置；时间段：选择访问时间段。假如需要自定义时间，在防火墙-〉时间段设置；流量控制：系统默认为关闭，开启流控且只有在动作是许可情况下才会生效，能够设置上行、下行流量和流控规则优先级，以下图：上行控制上传速度下行控制下载速度优先级：分为high（高）、medium（中）、low（低）用于带宽抢占，先满足high，再满足medium、最终为low动作：选择是许可或拒绝；流量控制：选择是否启用流量控制选项。流量控制只有在动作是许可情况下才会生效；统计日志：选择是否统计访问控制日志；启用：选择是否启用该规则；确定：配置生效；返回：放弃配置；删除规则防火墙-〉访问控制，选择删除规则，实施删除；移动规则调整规则次序，规则越前，优先级越高。注：防火墙规则优先级和流控中优先级无关，必需有许可防火墙规则高于拒绝规则许可中流控才会生效。地址设置用户能够设置用户相关地址，用户能够用IP地址来设置或将IP和MAC地址绑定来设置。同时，用户也能够设置一个网段地址。地址设置防火墙-〉地址设置-〉地址设置，以下图：查找：假如地址添加多情况下，用此功效方便查找用户名查找：请选择栏下拉为用户名，再在后面框体键入需要查找用户名称，点击查找，对应下面框体中名称；IP地址查找：请选择栏下拉为IP地址，再在后面框体键入需要查找IP地址，点击查找，对应下面框体中IP地址；Mac地址查找：请选择栏下拉为mac地址，再在后面框体键入需要查找mac地址，点击查找，对应下面框体中mac地址；创建用户：手动添加用户，以下图用户名：能够为汉字、字母、数字和相互组合使用，必填；IP地址：用户使用IP地址，必填；有效掩码：对于单个IP地址对应掩码格式为55，如添加为则相当于一个网段，必填；Mac地址如Mac和IP地址绑定，用户出现修改IP，则无法访问外网和和我们设备通信；假如该IPPC为开启状态，点击“获取”则能够获取到PCMac不需要手动添加；假如该IPPC为关闭状态需要手动添加，格式为ab:cd:ef:gh:00:11，用冒号隔开；在“获取”Mac地址时需要先选则该IPPC说在位置和所属组；位置：用户所在内网网卡位置；所属组：假如已经在分组管理中创建好分组，则能够在这里选择，默认组为internal；确定生成用户，返回取消操作；批量导入功效：批量获取IP和Mac地址信息，方便管理员进行配置，以下图：起始IP和结束IP定义起始IP和结束IP必需定义在一个网段内；假如有分组，导入时按组本身所划分实际网络端输入；接口：需要做导入用户所在网口；扫描地址中已存在地址：假如勾选则已经做过添加地址也会显示；获取，以下图：IP地址：获取到IP地址；MAC地址：对应IPmac地址；计算机：获取到计算机名称，能够手动更改；注释：为了方便用户识别，手动添加说明；需要导入进行勾选，点击导入，以下图：选择位置和组点击导入，生成用户；点击返回，放弃操作；注：导入时假如计算机名称出现相同则不会导入成功。分组管理提供对用户进行分组功效，这么便于用户在配置上网策略或访问控制时能够很好地对用户进行管理。防火墙-〉地址设置-〉地址设置，以下图：添加组名选择位置，确定后组创建成功；用户添加时能够选择自定义分组；组能够应用到邮件、web过滤、防火墙访问控制规则中；删除分组，在“分组管理”分组列表里，勾选欲删除分组，能够多选；点击“删除”按扭，假如所勾选分组没有出现在“访问控制”规则列表中，那么所勾选即被删除；不然必需先删除对应访问控制规则。被删除分组内原有用户IP不被删除，且将被归属到“全局组”。服务设置服务设置是查看预定义服务和自定义服务，能够单独定义一个服务，能够定义服务组。防火墙-〉服务设置，以下图：预定义服务预定义服务能够在访问控制中直接选择。名称：存在服务名称；端口：名称所对应服务端口；所属组：预定义属于默认predefine组；服务设置创建服务防火墙-〉服务设置-〉服务设置-〉创建服务，以下图：协议：选择创建服务所属协议，TCP、UDP、ICMP；服务名称：定义服务名称，最长24位。类型：有源端口，源地址源端口；无源端口，目标地址端口；端口：假如是有源端口类型：输入源端口起始端口和结束端口，和目标起始端口和结束端口；假如是无源端口类型：输入起始端口和结束端口，点击保留，能够输入多个端口；所属组：选择所属服务组,选择存在服务组（服务组在服务设置-〉服务组中定义）；增加：配置生效；返回：放弃配置；删除服务防火墙-〉服务设置，选择删除服务，删除。假如服务正被使用，则不能被删除；服务组防火墙-〉服务设置-〉服务组，以下图：创建新组防火墙-〉服务设置-〉服务组-〉创建新组，以下图：组名：创建新组名称；注释：补充说明；增加：配置生效；返回：放弃配置；删除新组防火墙-〉服务设置-〉服务组，选择删除服务组，删除；假如服务正被使用，则不能删除；时间段时间段用于访问控制中，规则在指定时间范围生效。创建新时间段防火墙-〉时间段-〉创建新时间段，以下图：名称：设置时间段名称。这个时间段名称能够在访问控制和应用控制里选择。注：应输入英文名称，有判定。星期：选择时间段生效星期；起始日期：选择时间段生效起始日期；结束日期：选择时间段生效结束日期；（注意：时间段结束时间为所选日期0点）起始时间：选择时间段生效起始时间。选项为小时和分钟；结束时间：选择时间段生效结束时间。选项为小时和分钟；备注：输入相关备注；确定：配置生效；返回：放弃配置；注：假如时间段全部选项为空，系统等同于always；删除时间段防火墙-〉时间段，选择删除时间对象。假如时间段正被使用，则不能删除；虚拟IP虚拟IP有两种模式：静态NAT模式和端口转换模式。静态NAT模式是将外网接口一个IP地址（外网IP）转换成另外一个IP地址（转换IP）。假如在相对应外网接口上接收到访问外网数据包，会将目标IP数据转换到转换IP上。端口转换模式是将外网接口上一个端口（外网端口）转换到另外一个IP（转换IP）一个端口（转换端口）。假如在相对应外网接口上接收到访问外网接口IP地址和外网端口数据包，会将目标IP替换成转换IP，目标端口替换成转换端口。创建新虚拟IPNAT模式模式：静态NAT是一对一映射,端口转换是一对多映射；访问接口：映射中，访问数据源接口；目标IP：设置需要转换IP地址，对于ADSL为空，系统自动获取地址、域名；转换IP：设置转换后IP地址。通常是网络内服务器；端口转换模式模式：端口转换；访问接口：映射中，访问数据源接口；目标IP：设置需要转换IP地址，对于ADSL为空，系统自动获取地址、域名；目标端口：转换目标端口；转换IP：设置转换后IP地址。通常是网络内服务器；目标端口：转换后IP端口；删除虚拟IP防火墙-〉虚拟IP，选择删除虚拟IP。路由设置路由设置包含静态路由、策略路由、RIP、OSPF配置。静态路由路由设置-〉静态路由，以下图：创建新静态路由网卡：选择路由接口，包含lan1、wan1、wan2;类型：网络、主机、缺省；目标：在网络和主机类型下有效；掩码：在网络和主机类型下有效；网关：路由可抵达下一跳；注释：附加说明；确定：配置生效；返回：放弃配置；删除静态路由路由设置-〉静态路由，选择删除路由，删除。策略路由策略路由用于在双wan或多wan下，经过路由实现线路选择。路由设置-〉策略路由，以下图：创建新策略路由入口网卡：选择源接口；源地址类型：网络、主机、缺省；源地址：子网、IP地址、全部；掩码：在网络和主机类型下有效；出口网卡：选择目标接口；目标：在网络和主机类型下有效；掩码：在网络和主机类型下有效；注释：附加说明；确定：配置生效；返回：放弃配置；删除策略路由路由设置-〉策略路由，选择删除路由，删除。动态路由动态路由用于系统自动学习路由，需要环境有其它动态路由设备。RIP路由设置-〉动态路由-〉RIP基础设置启用RIP：开启、关闭RIP；RIP版本：支持RIP1和2；默认度量：支持跳数，16位不可抵达；默认路由：学习默认路由；RIP计时器更新计时器：默认时间为30s；实效计时器：默认时间为40s；超时计时器：默认时间为80s；重分发直连路由：学习直连路由；静态路由：学习静态路由；接口设置选择接口，并输入接口地址、子网；确定：配置生效；OSPF路由设置-〉动态路由-〉OSPF基础设置启用OSPF：开启、关闭OSPF；默认度量：支持跳数；路由ID:通常为接口IP地址；OSPF计时器延迟计时器：默认时间为20s；挂起计时器：默认时间为10s；重分发直连路由：学习直连路由；静态路由：学习静态路由；接口设置选择接口，并输入接口地址、子网，学习区域；确定：配置生效；审计管理为用户提供了具体审计管理数据，使用户对产品过滤效果一目了然，能够方便地掌握过滤情况。过滤统计现在统计7种协议和2种应用具体日志。审计管理-〉过滤统计，以下图：统计数字显示，分别点击协议能够查看具体信息，比如查看HTTP统计信息，则点击HTTP字样，出现以下图：每日详情针对每一个协议，提供了每日详情来显示每个协议天天、每七天或每个月扫描数据。审计管理-〉每日详情，以下图：选择欲查看“协议”、“统计类型”（按日、按周、或按月）、点击Go即可看到相关协议过滤数据及图表。应用日志提供具体每个协议具体过滤信息。应用日志信息具体程度是依据日志设置里参数决定。参考审计管理-〉日志设置-〉日志显示。审计管理-〉应用日志，以下图：应用日志包含：POP3、SMTP、FTP、HTTP、IMAP、NETBIOS、MSN、QQ等协议系统日志。