如图,根据用户的总流速进行排名。显示内容分别包含:用户名(显示名)、所属组、上下行流速、总流速、是否冻结上网、获取机器名和流量构成。在[冻结上网]一栏点击
,
用于将对应的用户冻结上网;在[获取机器名]一栏点击获取,用来获取对应用户计算机名;在[流量构成]一栏,点击具体应用会出现如下页面,来显示该用户具体的应用流量:
点击刷新间隔:5秒用于设置页面上的排行刷新时间间隔;
点击立即刷新可以立即进行刷新。
3.2.5.1.2过滤用户流量排名
点击过滤条件,可以指定用户流量排名的过滤条件。
『过滤类型』用于设置查看的线路和应用,界面如下:
SANGFOR NGAF v6.8 Manual
35
[选择线路]选择具体需要查看的线路,[应用类型]用于指定需要查看是应用服务,点击后出现如下页面:
[筛选]里面有显示全部、显示选中和显示未选三种选择,下面可以勾选具体的应用,右边[已选列表]显示已经选中的应用,点确定即可保存。
『过滤对象』是用来设置具体的用户或者IP,页面如下:
SANGFOR NGAF v6.8 Manual
36
[组过滤]、[用户过滤]、[IP过滤]三个条件只能选择一个,其中组过滤中“/”是表示所有组,点击选择会出现如下页面:
勾选需要查看的组,或者是在空行里输入相应组名,然后点击确定即可。
SANGFOR NGAF v6.8 Manual
37
『显示选项』用于设置显示流量前多少名的用户,页面如下:
3.2.5.1.3冻结用户上网
『冻结上网』用于设置立即断掉某个用户连接,使其无法上网一段时间,具体操作是选中一个『用户流量排名』里面的用户,点击冻结,来设置冻结上网的时间,以分钟为单位,页面如下:
3.2.5.1.4解冻用户上网
如果被冻结上网的用户需要立即放开限制,解冻上网,可以点击去用户列表解冻用户,此时会跳转到【在线用户管理】的页面,页面如下:
SANGFOR NGAF v6.8 Manual
38
在这里找到被冻结的用户,选择该用户点击解冻即可。
3.2.5.2. 应用流量排名
3.2.5.2.1查看应用流量排名
『应用流量排名』主要用于显示设备实时的应用服务的流量排名情况,界面如下:
如图,根据应用占用的带宽进行排名,显示的内容包括:应用类型、线路、上下行流速、总流速。
点击刷新间隔:5秒用于设置页面上的排行刷新时间间隔;
点击立即刷新可以立即进行刷新。
应用流量排行支持IPv6环境中的应用流量统计排行。
3.2.5.2.2过滤应用流量排名
点击过滤条件,可以指定应用流量排名的过滤条件,界面如下:
SANGFOR NGAF v6.8 Manual
39
NGAF用户手册
目录
NGAF用户手册 ................................................................................................................................. 声明 .............................................................................................................................................. viii 前言 ................................................................................................................................................. ix
手册内容 .................................................................................................................................. ix 本书约定 .................................................................................................................................. ix 图形界面格式约定 .................................................................................................................. ix 各类标志 ................................................................................................................................... x 技术支持 ................................................................................................................................... x 致谢........................................................................................................................................... x 第1章 安装指南 ............................................................................................................................. 1
1.1. 环境要求 ........................................................................................................................... 1 1.2. 电源 ................................................................................................................................... 1 1.3. 产品外观 ........................................................................................................................... 1 1.4. 配置与管理 ....................................................................................................................... 2 1.5. 设备接线方式 ................................................................................................................... 2 第2章 控制台的使用 ..................................................................................................................... 4
2.1. 登录WebUI配置界面 ..................................................................................................... 4 2.2. 配置和使用 ....................................................................................................................... 5 第3章 功能说明 ............................................................................................................................. 8
3.1. 激活设备和技术社区导航 ............................................................................................... 8
3.1.1. 激活设备 ................................................................................................................ 8 3.1.2. 进入技术社区 ...................................................................................................... 10 3.2. 运行状态 ......................................................................................................................... 11
3.2.1. 系统状态 .............................................................................................................. 11 3.2.2. 安全状况 .............................................................................................................. 19 3.2.3. 实时漏洞风险 ...................................................................................................... 30 3.2.4. 安全事件 .............................................................................................................. 32 3.2.5. 流量排名 .............................................................................................................. 34
SANGFOR NGAF v6.8 Manual
i
3.2.6. 异常流量 .............................................................................................................. 43 3.2.7. 会话排行 .............................................................................................................. 44 3.2.8. 流量管理状态 ...................................................................................................... 46 3.2.9. DHCP运行状态 ................................................................................................... 48 3.2.10. 在线用户管理 .................................................................................................... 48 3.2.11. 封锁攻击者IP ................................................................................................... 52 3.3. 网络配置 ......................................................................................................................... 54
3.3.1. 接口/区域 ............................................................................................................. 54 3.3.2. 路由 ...................................................................................................................... 67 3.3.3. 虚拟网线 .............................................................................................................. 86 3.3.4. 高级网络配置 ...................................................................................................... 87 3.3.5. 光口bypass设置 ................................................................................................. 96 3.4. 安全防护对象 ................................................................................................................. 97
3.4.1. IPS漏洞特征识别库 ............................................................................................ 97 3.4.2. WEB应用防护特征库 ....................................................................................... 100 3.4.3. 实时漏洞分析识别库 ........................................................................................ 102 3.4.4. 数据泄密防护识别库 ........................................................................................ 105 3.4.5. 僵尸网络识别规则库 ........................................................................................ 108 3.4.6. 自定义规则库 .................................................................................................... 109 3.5. VPN ................................................................................................................................ 112
3.5.1. SSL VPN ............................................................................................................. 112 3.5.2. IPSec VPN .......................................................................................................... 163 3.6. 对象定义 ....................................................................................................................... 211
3.6.1. ISP地址库 .......................................................................................................... 211 3.6.2. 应用特征识别库 ................................................................................................ 212 3.6.3. 应用智能识别库 ................................................................................................ 216 3.6.4. 自定义应用 ........................................................................................................ 219 3.6.5. URL分类库 ........................................................................................................ 222 3.6.6. 服务 .................................................................................................................... 226 3.6.7. IP组 .................................................................................................................... 229
SANGFOR NGAF v6.8 Manual
ii
3.6.8. 内网服务器 ........................................................................................................ 232 3.6.9. 时间计划 ............................................................................................................ 232 3.6.10. 文件类型组 ...................................................................................................... 235 3.6.11. 信任的证书颁发机构 ...................................................................................... 237 3.7. 解密 ............................................................................................................................... 237
3.7.1. 解密 .................................................................................................................... 238 3.7.2. 服务器证书 ........................................................................................................ 242 3.8. 认证系统 ....................................................................................................................... 243
3.8.1. 用户管理 ............................................................................................................ 244 3.8.2. 用户认证 ............................................................................................................ 285 3.9. 防火墙 ........................................................................................................................... 340
3.9.1. 地址转换 ............................................................................................................ 340 3.9.2. 连接数控制 ........................................................................................................ 361 3.9.3. DoS/DDoS防护.................................................................................................. 364 3.9.4. ARP欺骗防御 .................................................................................................... 377 3.9.5. 地域访问控制 .................................................................................................... 378 3.10. 内容安全 ..................................................................................................................... 381
3.10.1. 应用控制策略 .................................................................................................. 381 3.10.2. 内容安全策略 .................................................................................................. 384 3.10.3. 僵尸网络 .......................................................................................................... 388 3.11. IPS ................................................................................................................................ 393 3.12. 服务器保护 ................................................................................................................. 399
3.12.1. WEB应用防护 ................................................................................................. 399 3.12.2. 网站篡改防护 .................................................................................................. 422 3.12.3. 网站篡改防护2.0 ............................................................................................ 427 3.13. 风险发现和防护 ......................................................................................................... 436
3.13.1. 风险分析 .......................................................................................................... 436 3.13.2. WEB扫描 ......................................................................................................... 442 3.13.3. 实时漏洞分析 .................................................................................................. 452 3.13.4. 威胁情报预警与处置 ...................................................................................... 454
SANGFOR NGAF v6.8 Manual
iii
3.14. 流量管理 ..................................................................................................................... 456
3.14.1. 概述 .................................................................................................................. 456 3.14.2. 流量通道匹配及优先级 .................................................................................. 457 3.14.3. 通道配置 .......................................................................................................... 457 3.14.4. 虚拟线路配置 .................................................................................................. 474 3.15. 系统 ............................................................................................................................. 476
3.15.1. 系统配置 .......................................................................................................... 476 3.15.2. 管理员账号 ...................................................................................................... 482 3.15.3. 高可用性 .......................................................................................................... 485 3.15.4. 日志设置 .......................................................................................................... 489 3.15.5. 邮件服务器 ...................................................................................................... 491 3.15.6. 邮件告警 .......................................................................................................... 492 3.15.7. 短信告警 .......................................................................................................... 493 3.15.8. 全局放行与封堵 .............................................................................................. 494 3.15.9. 页面定制 .......................................................................................................... 496 3.15.10. 集中管理 ........................................................................................................ 497 3.16. 系统维护 ..................................................................................................................... 498
3.16.1. 系统更新 .......................................................................................................... 498 3.16.2. 抓包取证 .......................................................................................................... 501 3.16.3. 备份与恢复 ...................................................................................................... 502 3.16.4. 系统故障日志 .................................................................................................. 504 3.16.5. 命令行控制台 .................................................................................................. 505 3.16.6. 数据包拦截日志与直通 .................................................................................. 505 3.16.7. 远程技术支持 .................................................................................................. 507 3.16.8. 重启网关/服务 ................................................................................................. 507 3.17. 配置向导 ..................................................................................................................... 508
3.17.1. 设备作为网关(路由模式) .......................................................................... 508 3.17.2. 数据镜像(旁路模式) .................................................................................. 509 3.17.3. 不改变原有网络(网桥透明模式) .............................................................. 509 3.17.4. 用户认证 .......................................................................................................... 510
SANGFOR NGAF v6.8 Manual
iv
3.2.3. 实时漏洞风险
3.2.3.1. 查看实时漏洞风险
『实时漏洞风险』用于实时查看『风险发现和防护』→『实时漏洞分析』模块产生的信息,可以查看到网络中存在的安全漏洞风险。界面如下:
SANGFOR NGAF v6.8 Manual
30
SANGFOR NGAF v6.8 Manual
31
如图:显示的内容包括:目标服务器信息、漏洞风险概况、最新公布的严重漏洞列表、最近发现的风险详情。
这里只显示了漏洞风险的概要信息,如需要了解详情及解决方案,可点击查看完整报表,查看更完整的信息。
3.2.4. 安全事件
3.2.4.1. 最近安全事件
『最近安全事件』主要用于显示最近发生的攻击事件,页面如下:
如图,显示的内容包括:发生时间、源IP、目的IP、攻击类型以及攻击的URL。
点击刷新间隔:5秒用于设置页面上的排行刷新时间间隔;
点击立即刷新可以立即进行刷新。
最近安全事件支持查看基于IPv6的WEB应用攻击信息。
3.2.4.2. 服务器安全事件
『服务器安全事件』主要用于显示目标服务器遭受的攻击类型,页面如下:
SANGFOR NGAF v6.8 Manual
32
如图,显示的内容包括:发生时间、目标服务器、URL、攻击类型以及攻击详情。
点击刷新间隔:5秒用于设置页面上的排行刷新时间间隔;
点击立即刷新可以立即进行刷新。
服务器安全事件支持查看基于IPv6的WEB应用攻击信息。
3.2.4.3. 终端安全事件
『终端安全事件』主要用于显示终端用户遭受的攻击类型,界面如下:
如图,显示的内容包括:发生时间、终端IP、用户名以及用户所属的组、威胁类型以及威胁的详情。
点击刷新间隔:5秒用于设置页面上的排行刷新时间间隔;
SANGFOR NGAF v6.8 Manual
33
点击立即刷新可以立即进行刷新。
3.2.4.4. 查看最近攻击来源
『最近攻击来源』主要用于显示最近发生攻击事件的来源,页面如下:
如图,显示的内容包括:发生时间、攻击来源、攻击类型以及攻击的详情。
点击刷新间隔:5秒用于设置页面上的排行刷新时间间隔;
点击立即刷新可以立即进行刷新。
最近攻击来源支持查看基于IPv6的WEB应用攻击信息。
3.2.5. 流量排名
3.2.5.1. 用户流量排名
3.2.5.1.1查看用户流量排名
『用户流量排名』主要用于显示在线用户的使用带宽的情况,界面如下:
SANGFOR NGAF v6.8 Manual
34
时漏洞风险,数据风险和黑链风险。
3.2.2.1. 待处理的问题
『待处理的问题』用于查看AF设备检测到的网络环境中存在的风险,可设置检测的范围和检测的选项,查看处理记录,界面如下:
SANGFOR NGAF v6.8 Manual
20
点击选项设置,可设置检测范围和检测选项,如下图所示:
SANGFOR NGAF v6.8 Manual
21
点击处理记录,显示管理员处理的时间,IP等记录,可根据IP地址搜索处理记录,如下图所示:
3.2.2.2. 入侵风险
『入侵风险』用于查看AF设备昨天/今天/最近7天检测到的有效攻击和未命中漏洞的统计情况。如下图所示:
SANGFOR NGAF v6.8 Manual
22
点击被入侵的服务器,可查看到这个服务器的综合严重等级、所处阶段以及详细信息,如下图所示:
SANGFOR NGAF v6.8 Manual
23
3.2.2.3. 僵尸主机
『僵尸主机』用于显示AF设备昨天/今天/最近7天检测到的僵尸主机的次数。如下图所示:
点击NGAF反僵尸网络软件,在受病毒感染的计算机上安装“反僵尸网络”软件,运行“病毒扫描”功能彻底清除主机中的僵尸病毒。
SANGFOR NGAF v6.8 Manual
24
从全部僵尸主机列表,可查看到受感染主机来源区域,所处阶段,综合严重级别,最近活跃时间,以及高危活跃次数。 点击受感染的主机,跳转到该主机详细风险概况和详情页面,如下图所示:
3.2.2.4. 数据风险
『数据风险』用于显示AF设备昨天/今天/最近7天未防护和已防护的数据信息泄露次
数。如下图所示:
SANGFOR NGAF v6.8 Manual
25
点击风险类型,可查看风险概况,以及服务器主机排名,如下图所示:
3.2.2.5. 黑链风险
『黑链风险』用于显示AF设备检测到的黑链类型分布,黑链主机排名,如下图所示:
SANGFOR NGAF v6.8 Manual
26
点击
,可将黑链风险详细数据通过表格方式导出到本地保存。
SANGFOR NGAF v6.8 Manual
27
点击IP地址,可查看到被植入黑链的页面、发现的时间、操作以及黑链类型,如下图所
示:
点击操作下面对应的查看详情,可查看到黑链的详细信息,如下图所示:
SANGFOR NGAF v6.8 Manual
28
3.2.2.6. 对外DOS攻击
『对外DOS攻击』用于显示AF设备昨天/今天/最近7天检测到的对外发起DOS攻击的详情。如下图所示:
通过对外攻击详情,可以了解到攻击开始时间,持续时间,攻击源IP,目标IP地址和日志。 点击日志详情,跳转到如下页面,可查看详情,以及添加例外,或者添加黑名单操作:
SANGFOR NGAF v6.8 Manual
29
