【財務管理內部審計 】審計與流控

《【財務管理內部審計 】審計與流控》由會員分享，可在線閱讀，更多相關《【財務管理內部審計 】審計與流控（23頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 財務管理內部審計審計與流控 UAG3000審計及流控實驗指導（Ver1.0）杭州迪普培訓中心2013年03月 目錄1.設備初始化 11.1 概覽 11.2 網(wǎng)絡拓撲 11.3 配置 1：恢復設備出廠配置 21.4 配置 2：登陸設備 WEB 頁面 21.5 配置 3：修改管理口 IP 地址 32.組網(wǎng)模式選擇 42.1 概覽 42.2 網(wǎng)關模式PPPOE42.3 網(wǎng)關模式DHCP52.4 網(wǎng)關模式固定 IP62.5 網(wǎng)關模式3G72.6 透明模式-在線模式 82.7 透明模式-旁路模式 92.8 透明橋接模式 103.流量控制 123.1 概覽 123.2 網(wǎng)絡拓撲 123.3 配置 1：帶

2、寬限速 121）選擇組網(wǎng)模式 122）創(chuàng)建內網(wǎng)用戶 133）創(chuàng)建網(wǎng)絡應用組 144）配置帶寬限速 145）添加管理路由 156）配置 DNS 地址 153.4 配置 2：訪問控制 151）選擇組網(wǎng)模式 152）創(chuàng)建內網(wǎng)用戶 163）創(chuàng)建網(wǎng)絡應用組 174）配置訪問控制 175）添加管理路由 186）配置 DNS 地址 187）配置日志輸出 183.5 配置 3：URL 過濾 191）選擇組網(wǎng)模式 192）創(chuàng)建內網(wǎng)用戶 203）配置 URL 過濾 204）添加管理路由 215）配置 DNS 地址 216）配置日志輸出 21 4.行為管理 234.1 概覽 234.2 網(wǎng)絡拓撲 234.3 配置

3、1：行為審計 231）選擇組網(wǎng)模式 232）創(chuàng)建內網(wǎng)用戶 243）配置行為審計 254）添加管理路由 255）配置 DNS 地址 256）配置日志輸出 264.4 配置 2：流量分析 261）選擇組網(wǎng)模式 262）創(chuàng)建內網(wǎng)用戶 273）配置流量分析 284）添加管理路由 285）配置 DNS 地址 296）配置日志輸出 295.終端接入控制 305.1 概覽 305.2 網(wǎng)絡拓撲 305.3 配置 1：WEB 認證 301）選擇組網(wǎng)模式 302）創(chuàng)建內網(wǎng)用戶 313）創(chuàng)建 WEB 認證用戶 324）開啟 WEB 認證 325）配置 WEB 認證 326）添加管理路由 337）配置 DNS 地址

4、 338）配置日志輸出 345.4 配置 2：MAC/IP 綁定 341）選擇組網(wǎng)模式 342）配置 MAC/IP 綁定 353）添加管理路由 364）配置 DNS 地址 375）配置日志輸出 376.其他常用配置 386.1 系統(tǒng)管理 381）系統(tǒng)名稱及時間 382）開啟 SNMP 配置 383）管理員權限配置 384）導出配置文件 395）特征庫升級 40 6）軟件版本升級 416.2 網(wǎng)絡管理 411）軟件 BYPASS412）診斷工作 426.3 日志管理 421）系統(tǒng)日志管理 422）操作日志管理 443）業(yè)務日志管理 457.修訂記錄（內部保留）46 1. 設備初始化1.1 概覽通

5、過此實驗,您將學習到：恢復設備出廠配置登陸設備 WEB 頁面修改管理口 IP 地址1.2 網(wǎng)絡拓撲描述： 管理 PC 通過串口線連接設備 CON 口（設備串口） 管理 PC 通過以太網(wǎng)線連接設備 MGMT 口（設備管理口）配置： 管理 PC：本地配置 192.168.0.5/24 設備串口：9600 波特率,密碼 DPTECH 設備管理口：默認地址 192.168.0.1/24,用戶名 admin,密碼 admin1.3 配置 1：恢復設備出廠配置登陸設備串口,進行如下操作：Password:resetfactorydefaultWarning:resetfactorydefault.Arey

6、ousure?(Y/N)N:y1.4 配置 2：登陸設備 WEB 頁面等待設備初始化完成,直至串口信息顯示“Password：”為止；輸入用戶名、密碼及驗證碼進行 WEB 登陸。效用驗證：無 1.5 配置 3：修改管理口 IP 地址方法 1：訪問基本網(wǎng)絡管理接口配置（管理接口配置）方法 2：使用串口進行管理地址修改Password:conf-modeDPTECHinterfacemeth0_7DPTECH-meth0_7ipaddress192.168.0.1/24效用驗證：無 2. 組網(wǎng)模式選擇2.1 概覽通過此實驗,您將學習到：配置網(wǎng)關模式PPPoE配置網(wǎng)關模式DHCP配置網(wǎng)關模式固定 I

7、P配置網(wǎng)關模式3G配置透明模式-在線模式配置透明模式-旁路模式配置透明橋接模式2.2 網(wǎng)關模式PPPoE描述：此模式下,WAN 口通過 PPPoE 撥號連接外網(wǎng)。配置：訪問基本網(wǎng)絡管理組網(wǎng)模式訪問基本網(wǎng)絡管理NAT（源 NAT）效用驗證：無2.3 網(wǎng)關模式DHCP描述：此模式下,WAN 口通過 DHCP 獲取 IP 地址連接外網(wǎng)。配置：訪問基本網(wǎng)絡管理組網(wǎng)模式訪問基本網(wǎng)絡管理NAT（源 NAT） 效用驗證：無2.4 網(wǎng)關模式固定 IP描述：此模式下,手動配置 WAN 口 IP 地址連接外網(wǎng)。配置：訪問基本網(wǎng)絡管理組網(wǎng)模式訪問基本網(wǎng)絡管理NAT（源 NAT）效用驗證：無2.5 網(wǎng)關模式3G描述：

8、此模式下,WAN 口通過 3G 撥號連接外網(wǎng)。配置：訪問基本網(wǎng)絡管理組網(wǎng)模式訪問基本網(wǎng)絡管理NAT（源 NAT）效用驗證：無2.6 透明模式-在線模式描述：此模式適用于設備串接在現(xiàn)有網(wǎng)絡中使用,不改變網(wǎng)絡拓撲,增加安全效用。配置：訪問基本網(wǎng)絡管理組網(wǎng)模式效用驗證：無2.7 透明模式-旁路模式描述：此模式下,旁路接口不存在接口對概念,只對鏡像流量只做檢測,無動作。配置： 訪問基本網(wǎng)絡管理組網(wǎng)模式效用驗證：無2.8 透明橋接模式描述：此模式在透明模式的基礎上,提供了認證效用和帶內管理效用?？梢允褂脦群蛶鈨煞N管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內、帶外地

9、址不能沖突）。配置：訪問基本網(wǎng)絡管理組網(wǎng)模式效用驗證：無 3. 流量控制3.1 概覽通過此實驗,您將學習到：配置帶寬限速配置訪問控制配置 URL 過濾3.2 網(wǎng)絡拓撲描述：此模式在透明模式的基礎上,提供了認證效用和帶內管理效用?？梢允褂脦群蛶鈨煞N管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內、帶外地址不能沖突）。 Server 端對外提供 FTP 及 HTTP 服務。3.3 配置 1：帶寬限速1）選擇組網(wǎng)模式訪問基本網(wǎng)絡管理組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應帶內管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 注意 1：物理接口上下行方向,et

10、h0_0-eth0_1 為上行方向。 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。Password:conf-modeDPTECHinterfaceeth0_0DPTECH-eth0_0noshutdownDPTECH-eth0_0exitDPTECHinterfaceeth0_1DPTECH-eth0_1noshutdown 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。2）創(chuàng)建內網(wǎng)用戶訪問基本網(wǎng)絡管理網(wǎng)絡用戶組IP 地址（地址對象）,創(chuàng)建內網(wǎng)用戶。 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 注意：IP 地址子網(wǎng)掩碼的劃分。3）創(chuàng)建網(wǎng)絡

11、應用組訪問業(yè)務流控與審計網(wǎng)絡應用組管理,新建用戶自定義應用組“FTP 限速”,將指定特征拖至用戶自定義應用組策略中,點擊“確認”進行策略下發(fā)。4）配置帶寬限速訪問基本流控與審計帶寬限速（用戶組限速）,將已創(chuàng)建的 IP 地址對象、網(wǎng)絡應用組同時引用到上、下行接口,設置限速參數(shù)“FTP 限速 80Kbps”,點 擊“確認”進行策略下發(fā)。 注意：為突出限速效果,建議限速策略配置雙向。5）添加管理路由訪問基本網(wǎng)絡管理單播 IPv4 路由靜態(tài)路由（配置靜態(tài)路由）,添加管理路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。6）配置 DNS 地址訪問基本網(wǎng)絡管理DNS 配置（DNS 配置）,添加 DNS 服務器地

12、址,用于 對設備進行域名解析,特征庫自動升級等地方使用。效用驗證：ClientPC 下載 FTP 服務器資源,達到限速效果。3.4 配置 2：訪問控制1）選擇組網(wǎng)模式訪問基本網(wǎng)絡管理組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應帶內管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 注意 1：物理接口上下行方向,eth0_0-eth0_1 為上行方向。 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。Password:conf-modeDPTECHinterfaceeth0_0DPTECH-eth0_0noshutdownDPTECH-eth0_0exitDPTECHinter

13、faceeth0_1DPTECH-eth0_1noshutdown 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。2）創(chuàng)建內網(wǎng)用戶訪問基本網(wǎng)絡管理網(wǎng)絡用戶組IP 地址（地址對象）,創(chuàng)建內網(wǎng)用戶。 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 注意：IP 地址子網(wǎng)掩碼的劃分。3）創(chuàng)建網(wǎng)絡應用組訪問業(yè)務流控與審計網(wǎng)絡應用組管理,新建用戶自定義組“FTP 限制”,將指定特征拖至用戶自定義應用組策略中,點擊“確認”進行策略下發(fā)。 4）配置訪問控制訪問業(yè)務流控與審計訪問控制,將已創(chuàng)建的 IP 地址對象、網(wǎng)絡應用組同時引用到上下行接口,設置動作均阻斷,點擊“確認”進行策略下發(fā)

14、。 建議：訪問控制策略配置雙向。5）添加管理路由訪問基本網(wǎng)絡管理單播 IPv4 路由靜態(tài)路由（配置靜態(tài)路由）,添加管理路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。6）配置 DNS 地址訪問基本網(wǎng)絡管理DNS 配置（DNS 配置）,添加 DNS 服務器地址,用于對設備進行域名解析,特征庫自動升級等地方使用。7）配置日志輸出訪問基本日志管理業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志主機”,并填入日志主機 IP 地址,及端口號。 注意：通用端口號為 514,UMC 指定端口號為 9514。效用驗證：ClientPC 下載 FTP 服務器資源,達到訪問控制效果。3.5 配置 3：URL

15、 過濾1）選擇組網(wǎng)模式訪問基本網(wǎng)絡管理組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應帶內管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 注意 1：物理接口上下行方向,eth0_0-eth0_1 為上行方向。 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。Password:conf-modeDPTECHinterfaceeth0_0DPTECH-eth0_0noshutdownDPTECH-eth0_0exitDPTECHinterfaceeth0_1DPTECH-eth0_1noshutdown 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。2）創(chuàng)建內網(wǎng)用戶訪

16、問基本網(wǎng)絡管理網(wǎng)絡用戶組IP 地址（地址對象）,創(chuàng)建內網(wǎng)用戶。 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 注意：IP 地址子網(wǎng)掩碼的劃分。3）配置 URL 過濾訪問業(yè)務流控與審計URL 過濾（URL 過濾）,過濾參數(shù)“IPV4”,選擇已創(chuàng)建的 IP 地址對象,設置動作黑名單,點擊“確認”進行策略下發(fā)。 說明：如果對旗下所有網(wǎng)站進行 URL 過濾,需選擇“過濾類型”為正則表達式,且過濾參數(shù)為xxx。4）添加管理路由訪問基本網(wǎng)絡管理單播 IPv4 路由靜態(tài)路由（配置靜態(tài)路由）,添加管理路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。5）配置 DNS 地址 訪問基本網(wǎng)絡管理DNS

17、配置(DNS 配置),添加 DNS 服務器地址,用于對設備進行域名解析,特征庫自動升級等地方使用。6）配置日志輸出訪問基本日志管理業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志主機”,并填入日志主機 IP 地址,及端口號。 注意：通用端口號為 514,UMC 指定端口號為 9514。效用驗證：ClientPC 無法訪問 10.99.0.5。 4. 行為管理4.1 概覽通過此實驗,您將學習到：配置行為審計配置流量分析4.2 網(wǎng)絡拓撲描述：此模式在透明模式的基礎上,提供了認證效用和帶內管理效用?？梢允褂脦群蛶鈨煞N管理方式（即：10.99.0.25/24 或 192.168.0.1/

18、24,帶內、帶外地址不能沖突）。 Server 端對外提供 FTP 及 HTTP 服務。4.3 配置 1：行為審計1）選擇組網(wǎng)模式訪問基本網(wǎng)絡管理組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應帶內管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 注意 1：物理接口上下行方向,eth0_0-eth0_1 為上行方向。 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。Password:conf-modeDPTECHinterfaceeth0_0DPTECH-eth0_0noshutdownDPTECH-eth0_0exitDPTECHinterfaceeth0_1DPTECH-e

19、th0_1noshutdown 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。 2）創(chuàng)建內網(wǎng)用戶訪問基本網(wǎng)絡管理網(wǎng)絡用戶組IP 地址（地址對象）,創(chuàng)建內網(wǎng)用戶。 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 注意：IP 地址子網(wǎng)掩碼的劃分。3）配置行為審計訪問業(yè)務流量與審計行為審計（行為審計策略配置）,選擇已創(chuàng)建的 IP 地址對象,點擊“確認”進行策略下發(fā)。 建議：“用戶/用戶組”使用已創(chuàng)建內網(wǎng)用戶。4）添加管理路由訪問基本網(wǎng)絡管理單播 IPv4 路由靜態(tài)路由（配置靜態(tài)路由）,添加管理路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。5）配置 DNS 地址訪問基本網(wǎng)絡管

20、理DNS 配置（DNS 配置）,添加 DNS 服務器地址,用于對設備進行域名解析,特征庫自動升級等地方使用。6）配置日志輸出訪問基本日志管理業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志主機”,并填入日志主機 IP 地址,及端口號。 注意 1：不勾選“輸出到 SYSLOG 日志主機”,則行為審計日志在本地查看。 注意 2：通用端口號為 514,UMC 指定端口號為 9514。 注意 3：必須勾選“審計日志”方可查看,且輸出日志主機與保存本地查看只能選擇其一。效用驗證：ClientPC 訪問 ServerPC 的 FTP 及 HTTP 資源,可查看到對應審計日志。4.4 配置 2：流

21、量分析1）選擇組網(wǎng)模式訪問基本網(wǎng)絡管理組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應帶內管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 注意 1：物理接口上下行方向,eth0_0-eth0_1 為上行方向。 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。Password:conf-modeDPTECHinterfaceeth0_0DPTECH-eth0_0noshutdownDPTECH-eth0_0exitDPTECHinterfaceeth0_1DPTECH-eth0_1noshutdown 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。2）創(chuàng)建內網(wǎng)用戶訪

22、問基本網(wǎng)絡管理網(wǎng)絡用戶組IP 地址（地址對象）,新建內網(wǎng)用戶。 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 注意：IP 地址子網(wǎng)掩碼的劃分。3）配置流量分析 訪問業(yè)務流量與審計流量分析流量分析（流量統(tǒng)計配置）,勾選接口流量統(tǒng)計和每 IP 流量統(tǒng)計,網(wǎng)絡用戶組選擇已創(chuàng)建的 IP 地址對象。 建議：發(fā)送間隔時間保持默認 5 分鐘。4）添加管理路由訪問基本網(wǎng)絡管理單播 IPv4 路由靜態(tài)路由（配置靜態(tài)路由）,添加管理路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關。5）配置 DNS 地址訪問基本網(wǎng)絡管理DNS 配置（DNS 配置）,添加 DNS 服務器地址,用于對設備進行域名解析,特征

23、庫自動升級等地方使用。6）配置日志輸出訪問基本日志管理業(yè)務日志（業(yè)務日志配置）,勾選“輸出到 SYSLOG 日志主機”,并填入日志主機 IP 地址,及端口號。 注意 1：不勾選“輸出到 SYSLOG 日志主機”,則流量分析日志在本地查看。 注意 2：通用端口號為 514,UMC 指定端口號為 9514。效用驗證：ClientPC 訪問 ServerPC 的 FTP 及 HTTP 資源,可查看到對應流量分析日志。 5. 終端接入控制5.1 概覽通過此實驗,您將學習到：配置 WEB 認證配置 MAC/IP 綁定5.2 網(wǎng)絡拓撲描述：此模式在透明模式的基礎上,提供了認證效用和帶內管理效用。可以使用帶

24、內和帶外兩種管理方式（即：10.99.0.25/24 或 192.168.0.1/24,帶內、帶外地址不能沖突）。 Server 端對外提供 FTP 及 HTTP 服務。5.3 配置 1：WEB 認證1）選擇組網(wǎng)模式訪問基本網(wǎng)絡管理組網(wǎng)模式,配置組網(wǎng)模式為透明橋接模式,并設置相應帶內管理地址和掩碼,點擊“確認”進行組網(wǎng)模式修改。 注意 1：物理接口上下行方向,eth0_0-eth0_1 為上行方向。 注意 2：如果連接物理線后,接口無法 UP,請在串口下開啟該接口。Password:conf-modeDPTECHinterfaceeth0_0DPTECH-eth0_0noshutdownDPT

25、ECH-eth0_0exitDPTECHinterfaceeth0_1DPTECH-eth0_1noshutdown 注意 3：透明橋 IP 地址的子網(wǎng)掩碼,需與所在網(wǎng)段一致。2）創(chuàng)建內網(wǎng)用戶訪問基本網(wǎng)絡管理網(wǎng)絡用戶組IP 地址（地址對象）,創(chuàng)建內網(wǎng)用戶。 說明：多個 IP 地址對象,可添加到一個 IP 地址對象組中。 注意：IP 地址子網(wǎng)掩碼的劃分。3）創(chuàng)建 WEB 認證用戶訪問業(yè)務安全中心Protal 認證本地認證用戶（本地認證）,手動添加或批量導入用戶信息,點擊“確認”進行策略下發(fā)。4）開啟 WEB 認證訪問業(yè)務安全中心Protal 認證認證配置（基本認證配置）,啟用 WEB 認證,勾選本地認證,點擊“確認”進行策略下發(fā)。5）配置 WEB 認證訪問業(yè)務安全中心Protal 認證認證配置（Web 認證配置）,選擇“用戶組”參數(shù)中去除 ALLUSERS 用戶,勾選內網(wǎng) IP,點擊“確認”進行策略下發(fā)。 說明：如需要彈出用戶登陸狀態(tài)框,則勾選“顯示登陸狀態(tài)框”。6）添加管理路由訪問基本網(wǎng)絡管理單播 IPv4 路由靜態(tài)路由（配置靜態(tài)路由）,添加管理路由,用于對設備跨網(wǎng)段管理,下一跳指向網(wǎng)關?？平膛d國23