ZTE ZXSEC US User Manual

Download

Page 1

ZXSEC US

管理员手册

中兴通讯股份有限公司

Page 2

ZXSEC US

管理员手册

资料版本 20080605-R1.0 产品版本 V1.0

策划中兴通讯学院文档开发部编著李林炅刘为超罗辉审核管习辉贺欢庆李涛测试

* * * *

中兴通讯股份有限公司地址：深圳市高新技术产业园科技南路中兴通讯大厦邮编：518057 技术支持网站：http://support.zte.com.cn 客户支持中心热线：（0755）26770800 800-830-1118 传真：（0755）26770801

E-mail：doc@zte.com.cn * * * *

Page 3

声明

本资料著作权属中兴通讯股份有限公司所有。未经著作权人书面许可，任何单位或

个人不得以任何方式摘录、复制或翻译。

侵权必究。

和是中兴通讯股份有限公司的注册商标。中兴通讯产品的名称和标志是中兴通讯的专有标志或注册商标。在本手册中提及的其他产品或公司的名称可能是其各自所有者的商标或商名。在未经中兴通讯或第三方商标或商名所有者事先书面同意的情况下，本手册不以任何方式授予阅读者任何使用本手册上出现的任何标记的许可或权

利。

本产品符合关于环境保护和人身安全方面的设计要求，产品的存放、使用和弃置应

遵照产品手册、相关合同或相关国法律、法规的要求进行。

由于产品和技术的不断更新、完善，本资料中的内容可能与实际产品不完全相符，

敬请谅解。如需查询产品的更新情况，请联系当地办事处。

若需了解最新的资料信息，请访问网站 http://support.zte.com.cn

Page 4

Page 5

意见反馈表

为提高中兴通讯用户资料的质量，更好地为您服务，希望您在百忙之中提出您的建议和意见，

并请传真至：0755-26772236，或邮寄至：深圳市高新技术产业园科技南路中兴通讯大厦中兴通讯学院文档开发部收，邮编：518057，邮箱：doc@zte.com.cn。对于有价值的建议和意见，我们将给予奖励。

资料名称 ZXSEC US 管理员手册产品版本

您单位安装该设备的时间为了能够及时与您联系，请填写以下有关您的信息

姓名邮编电话

您对本资料

的评价

您对本资料的

改进建议

您对中兴通讯

用户资料的

其他建议

V1.0

总体满意工作指导查阅方便内容正确内容完整结构合理图表说明通俗易懂

内容结构内容详细内容深度表达简洁增加图形增加实例

增加 FAQ

其他

单位名称单位地址

E-mail

好较好一般较差差

资料版本

20080605-R1.0

详细说明

Page 6

手册说明

内容介绍

前言

本手册是 ZXSEC US 管理员手册 MR5 版本。

描述本书主要内容，介绍各章重点，指导使用者有针对性地使用本书。

章名概要

ASIC 加速多种威胁保护防火墙系统增强了网络

前系统的状态信息包括序列号、运行时间、

许可证信息、系统资源使用率、警报信息以及统

个虚拟设备进行操作，对多个网络

第1章系统概述

第2章基于 web 的管

理器

第3章系统状态

第4章系统虚拟域

ZXSEC US

的安全性，，，避免了网络资源的误用和滥用，帮助您更有效的使用通讯资源的同时不会降低网络的性能。

本章介绍有关 ZXSEC US 设备用户友好基于 web 管理器管理

接口的功能。

连接到基于 web的管理器可以查看 ZXSEC US 设备的当前系

统状态。您可以查看当

US Service

计表信息。

本章将对如何在 ZXSEC US 设备中配置并使用虚拟域，使

ZXSEC US 设备能够作为多

提供单独的防火墙与路由策略。

设置系统网络是指怎样将 ZXSEC US 设备配置到网络中作为

第5章网络配置

第6章使用 DHCP 本章是关于如何配置 ZXSEC US LAN 接口的内容描述。

第7章系统配置

第8章系统管理员设置本章是有关如何在 ZXSEC US 设备中设置管理员帐户的信

第9章系统维护

第10章静态路由

第11章动态路由

第12章路由监控

防火墙设备生效。基本的网络设置包括配置 ZXSEC US 设备的接口与您的网络连接，以及配置高级的配置包括在设备网络配置中添加 VLAN 子接口与区域。

本章关于 ZXSEC US 设备几项非网络性功能配置的说明，如

HA（高可用性）、

息。

本章是有关如何备份与恢复系统配置以及如何配置从 US

SERVICE 中心获得自动更新的内容。

本章就如何定义静态路由以及创建路由策略内容进行了说

明。设置 ZXSEC US 设备的路由是指设置提供给 ZXSEC US 设备将数据包转发到一个特殊目的地的所需的信息。

本章就如何对路由流量配置动态路由协议通过大型或复杂的

网络的内容进行了阐述。

本章就如何截取路由监控表的内容进行描述。该列表是用于

显示 ZXSEC US 设备中路由表条目的。

SNMP、替换信息、与 VDOM 操作。

ZXSEC US 的 DNS 设置。更多

Page 7

章名概要

防火墙策略控制所有通过 ZXSEC US 设备的通信流量。添加

第13章防火墙策略

第14章防火墙地址

第15章防火墙服务

第16章防火墙时间表设置时间表控制激活与中止策略的时间。第17章防火墙虚拟 IP

地址配置

第18章保护内容表

第19章 VPN IPSEC

第20章 VPN PPTP

第21章 VPN SSL 设

置

第22章 VPN 证书

第23章设置用户

第24章反病毒保护

第25章 IPS（入侵防护

保护）

第26章 Web过滤

第27章反垃圾邮件本章是有关如何配置内容保护列表项中垃圾邮件过滤功能。

第28章 /P2P & VoIP

第29章日志与报告

防火墙策略控制 ZXSEC US 接口、区域以及 VLAN 子接口之间的连接与流量。

您可以根据需要添加、编辑以及删除防火墙地址。防火墙地

址将被添加到防火墙策略的源以及目标地址字段。

设置服务识别防火墙接收或拒绝的通信会话类型。您可以在

策略中添加任何预先定义的服务。

本章节是有关 ZXSEC US 虚拟 IP 地址、IP 地址池以及配置在

防火墙策略中配置使用等功能。

使用保户内容表对防火墙策略控制的流量应用不同的保护设

置。本章将对在 NAT/路由以及透明模式下怎样添加保护内容表进行描述。

本章是有关通过 web 管理器界面配置通道模式以及基于路由

（接口模式）互联网安全协议 VPN 选项的说明。

本章是有关通过 web 管理器界面配置通道模式以及基于路由

（接口模式）互联网安全协议 VPN 选项的说明。

本章是有关通过基于 Web 的管理器配置 VPN 菜单项下 SSL 功能的描述。只有运行于 NAT/路由模式下的 ZXSEC US 设备支持 SSL VPN 功能。

本章是有关通过基于 web 管理器如何操作并管理 X.509 安全证书的内容。

本章就有关如何建立用户帐户、用户组以及外部验证服务器

内容进行了说明。通过定义认证用户（或称为用户组）可以控制对网络资源的访问。

当您创建防火墙保护文件时，进入反病毒保护菜单访问反病毒配置选项。

ZXSEC US 入侵防护系统（IPS）将特征与异常入侵防护结合，

降低了威胁的潜伏期，增强了设备的可靠性。创建防火墙保护内容列表同时可以配置 IPS 选项。

本章围绕四个部分，web 过滤功能、web 过滤内容屏蔽、URL 过滤与 US Service web 过滤，相互补充提供对互联网用户最大的控制与保护。

IM/P2P&VoIP 菜单是有关即时通讯的用户管理工具以及网络中使用 IM，P2P 以及 VoIP 功能的状态说明。IM，P2P 与 VoIP 必须在活动的内容保护列表中启动才能够生效。

本章是有关如何启动日志记录功能、查看日志文件以及通过 web 管理器查看报告的内容描述。

Page 8

版本更新说明

本书约定

产品版本资料版本资料编号更新说明

V1.0 20080605-R1.0 sjzl20081968

手册第一次发行

介绍符号的约定、键盘操作约定、鼠标操作约定以及四类标志。

1．符号约定

带尖括号“＜＞”表示键名、按钮名以及操作员从终端输入的信息；带方

括号“［］”表示人机界面、菜单条、数据表和字段名等，多级菜单用“→”

隔开。如［文件→新建→文件夹］多级菜单表示［文件］菜单下的［新建］

子菜单下的［文件夹］菜单项。

2．键盘操作约定

格式意义

加尖括号的字符

＜键 1+键 2＞

＜键 1，键 2＞

3．鼠标操作约定

格式意义

单击快速按下并释放鼠标的左键

双击连续两次快速按下并释放鼠标的左键

右击快速按下并释放鼠标的右键

拖动按住鼠标的左键不放，移动鼠标

表示键名、按钮名。如＜Enter＞、＜Tab＞、＜Backspace＞、

＜a＞等分别表示回车、制表、退格、小写字母 a

表示在键盘上同时按下几个键。如＜Ctrl+Alt+A＞表示同时

按下“Ctrl”、“Alt”、“A”这三个键

表示先按第一键，释放，再按第二键。如＜Alt，F＞表示先

按＜Alt＞键，释放后，紧接着再按＜F＞键

4．标志

本书采用四个醒目标志来表示在操作过程中应该特别注意的地方。

Page 9

注意、小心、警告、危险：提醒操作中应注

意的事项。

Page 10

第 1 章系统概述 .......................................................................................................................................1-1

1.1 概述 .................................................................................................................................................1-1

1.2 该版本中的更新内容 ..................................................................................................................... 1-2

1.3 关于ZXSEC US病毒防火墙 ..........................................................................................................1-3

1.4 关于本手册 .....................................................................................................................................1-7

1.5 客户服务与技术支持 ................................................................................................................... 1-11

第 2 章基于web的管理器......................................................................................................................... 2-1

2.1 概述 .................................................................................................................................................2-1

2.2 按钮栏功能 .....................................................................................................................................2-3

2.2.1 备份ZXSEC US设备配置 .................................................................................................... 2-3

2.3 基于web管理器的页面 .................................................................................................................. 2-4

2.3.1 基于web的管理器界面图..................................................................................................... 2-4

2.3.2 基于web管理器的菜单......................................................................................................... 2-5

2.3.3 在基于web的管理器菜单的列表项中添加过滤器.............................................................2-6

第 3 章系统状态 .......................................................................................................................................3-1

3.1 概述 .................................................................................................................................................3-1

3.2 系统状态 .........................................................................................................................................3-1

3.3 更改系统信息 .................................................................................................................................3-2

3.4 更改ZXSEC US设备固件 ............................................................................................................3-13

3.5 查看设备运行记录 ....................................................................................................................... 3-16

3.6 手工更新US Service定义 ............................................................................................................. 3-17

3.7 查看统计表 ...................................................................................................................................3-18

第 4 章系统虚拟域 ................................................................................................................................... 4-1

4.1 概述 .................................................................................................................................................4-1

4.2 虚拟域 .............................................................................................................................................4-1

4.3 启动虚拟域 .....................................................................................................................................4-5

-i-

Page 11

4.4 配置VDOM与全局配置................................................................................................................. 4-6

第 5 章网络配置 ....................................................................................................................................... 5-1

5.1 概述................................................................................................................................................. 5-1

5.2 配置冗余接口............................................................................................................................... 5-10

5.2.1 配置接口应用DHCP .......................................................................................................... 5-12

5.3 配置接口应用PPPoE.................................................................................................................... 5-13

5.3.1 配置接口支持动态DNS服务 ............................................................................................. 5-15

5.3.2 配置虚拟IPSec接口............................................................................................................ 5-16

5.3.3 只能使用CLI配置的接口 .................................................................................................. 5-18

5.3.4 区域..................................................................................................................................... 5-23

5.4 DNS服务器.................................................................................................................................... 5-26

5.5 冗余模式配置............................................................................................................................... 5-29

5.6 VLAN概述..................................................................................................................................... 5-33

5.6.1 ZXSEC US设备与VLAN.................................................................................................... 5-34

5.6.2 NAT/路由模式下配置VLAN.............................................................................................. 5-34

5.6.3 给VLAN子接口设置防火墙策略 ...................................................................................... 5-37

5.6.4 透明模式下设置虚拟域与VLAN...................................................................................... 5-40

5.6.5 ZXSEC US支持IPv6............................................................................................................ 5-43

第 6 章配置使用DHCP............................................................................................................................ 6-1

6.1 概述................................................................................................................................................. 6-1

6.2 US DHCP服务器与中继代理 ......................................................................................................... 6-1

6.3 配置DHCP服务 .............................................................................................................................. 6-2

6.3.1 配置接口作为DHCP中继代理 ............................................................................................ 6-3

6.3.2 配置DHCP服务器 ................................................................................................................ 6-4

6.4 查看地址租用信息......................................................................................................................... 6-6

6.4.1 为具体的用户保留IP地址 ................................................................................................... 6-6

第 7 章系统配置 ....................................................................................................................................... 7-1

7.1 概述................................................................................................................................................. 7-1

7.2 HA高可用性.................................................................................................................................... 7-1

7.2.1 配置HA选项 ......................................................................................................................... 7-2

7.3 SNMP............................................................................................................................................. 7-10

-ii-

Page 12

7.4 替换信息 .......................................................................................................................................7-22

7.4.1 更改替换信息 .....................................................................................................................7-24

7.4.2 更改认证登录页面 .............................................................................................................7-26

7.5 VDOM操作模式与管理访问 ........................................................................................................7-29

7.5.1 从NAT/路由模式切换到透明模式 ....................................................................................7-30

7.5.2 从透明模式切换到NAT/路由模式 ....................................................................................7-30

7.5.3 管理访问 ............................................................................................................................. 7-31

第 8 章系统管理员设置 ........................................................................................................................... 8-1

8.1 概述 .................................................................................................................................................8-1

8.2 系统管理员 .....................................................................................................................................8-1

8.3 访问内容表 .....................................................................................................................................8-9

8.4 集中管理 .......................................................................................................................................8-15

8.5 设置 ...............................................................................................................................................8-16

8.6 监控管理员 ...................................................................................................................................8-18

第 9 章系统维护 .......................................................................................................................................9-1

9.1 概述 .................................................................................................................................................9-1

9.2 系统配置维护 .................................................................................................................................9-1

9.3 US Service中心................................................................................................................................9-4

9.4 许可证 ...........................................................................................................................................9-17

第 10 章静态路由 ...................................................................................................................................10-1

10.1 概述 .............................................................................................................................................10-1

10.2 有关路由 .....................................................................................................................................10-1

10.3 静态路由 .....................................................................................................................................10-5

10.4 策略路由 ...................................................................................................................................10-10

第 11 章动态路由 ................................................................................................................................... 11-1

11.1 概述 ............................................................................................................................................. 11-1

11.2 RIP（路由信息协议）................................................................................................................ 11-2

11.3 OSPF.............................................................................................................................................11-7

11.4 BGP............................................................................................................................................ 11-17

11.5 双向转发检测(BFD)................................................................................................................. 11-22

-iii-

Page 13

第 12 章路由监控 ................................................................................................................................... 12-1

12.1 概述............................................................................................................................................. 12-1

12.2 显示路由信息............................................................................................................................. 12-1

12.3 搜索ZXSEC US路由表.............................................................................................................. 12-3

第 13 章防火墙策略 ............................................................................................................................... 13-1

13.1 概述............................................................................................................................................. 13-1

13.2 关于防火墙策略......................................................................................................................... 13-1

13.3 查看防火墙策略列表................................................................................................................. 13-3

13.4 配置防火墙策略......................................................................................................................... 13-5

13.5 防火墙策略设置举例............................................................................................................... 13-19

第 14 章防火墙地址 ............................................................................................................................... 14-1

14.1 概述............................................................................................................................................. 14-1

14.2 有关防火墙地址......................................................................................................................... 14-1

14.3 查看防火墙地址列表................................................................................................................. 14-2

14.4 配置地址..................................................................................................................................... 14-3

14.5 查看地址组列表......................................................................................................................... 14-4

14.6 配置地址组................................................................................................................................. 14-5

第 15 章防火墙服务 ............................................................................................................................... 15-1

15.1 概述............................................................................................................................................. 15-1

15.2 查看定制服务列表..................................................................................................................... 15-1

15.3 查看用户服务列表..................................................................................................................... 15-5

15.4 配置用户服务............................................................................................................................. 15-5

15.5 查看服务组列表......................................................................................................................... 15-7

15.6 配置服务组................................................................................................................................. 15-8

第 16 章防火墙时间表 ........................................................................................................................... 16-1

16.1 概述............................................................................................................................................. 16-1

16.2 查看单次时间表......................................................................................................................... 16-1

16.3 配置单次时间表......................................................................................................................... 16-2

16.4 查看循环时间表......................................................................................................................... 16-2

16.5 配置循环时间表......................................................................................................................... 16-3

-iv-

Page 14

第 17 章防火墙虚拟IP地址配置 ...........................................................................................................17-1

17.1 概述 .............................................................................................................................................17-1

17.2 虚拟IP地址 ................................................................................................................................. 17-1

17.3 查看虚拟IP地址列表..................................................................................................................17-5

17.4 配置虚拟IP地址 ......................................................................................................................... 17-6

17.4.1 对单个IP地址添加静态NAT虚拟IP ................................................................................17-7

17.4.2 对一个IP地址范围添加静态NAT虚拟IP设置.................................................................17-9

17.4.3 对单个IP地址与端口设置静态NAT端口转发 .............................................................. 17-11

17.4.4 对一个IP地址范围与端口范围设置静态NAT端口转发设置 ......................................17-14

17.4.5 对一个IP地址范围添加负载平衡虚拟IP设置 ..............................................................17-15

17.4.6 对一个IP地址范围与端口范围配置负载平衡端口转发虚拟IP设置 .......................... 17-17

17.4.7 添加动态虚拟IP.............................................................................................................. 17-19

17.5 虚拟IP地址组 ........................................................................................................................... 17-21

17.6 查看虚拟IP组列表....................................................................................................................17-21

17.7 配置虚拟IP地址组列表............................................................................................................ 17-22

17.8 IP地址池 ....................................................................................................................................17-22

17.9 查看IP地址池列表....................................................................................................................17-25

17.10 配置IP地址池 ......................................................................................................................... 17-25

17.11 双重NAT：IP池与虚拟IP的结合 ..........................................................................................17-26

第 18 章保护内容表 ...............................................................................................................................18-1

18.1 概述 .............................................................................................................................................18-1

18.2 什么是内容保护表 ..................................................................................................................... 18-1

18.3 默认的内容保护表配置 ............................................................................................................. 18-2

18.4 查看内容保护表 .........................................................................................................................18-3

18.5 配置内容保护表 .........................................................................................................................18-3

18.5.1 配置防病毒选项 ............................................................................................................... 18-5

18.5.2 配置web过滤选项 ............................................................................................................18-7

18.5.3 配置US Service网页过滤选项 ......................................................................................... 18-8

18.5.4 配置垃圾邮件过滤选项 ................................................................................................. 18-10

18.5.5 配置IPS选项 ...................................................................................................................18-12

18.5.6 配置内容存档选项 ......................................................................................................... 18-13

-v-

Page 15

18.5.7 IM与P2P选项 .................................................................................................................. 18-14

18.5.8 配置日志选项................................................................................................................. 18-16

18.6 将内容保护表添加到防火墙策略中 ....................................................................................... 18-17

18.7 保护内容表的CLI配置命令 .................................................................................................... 18-17

第 19 章 VPN IPSEC ..............................................................................................................................19-1

19.1 概述............................................................................................................................................. 19-1

19.2 关于IPSec接口模式 ................................................................................................................... 19-1

19.3 自动密钥..................................................................................................................................... 19-3

19.3.1 新建VPN阶段 1................................................................................................................ 19-3

19.3.2 新建VPN阶段 2................................................................................................................ 19-9

19.3.3 互联网浏览配置............................................................................................................. 19-13

19.4 手工密钥................................................................................................................................... 19-13

19.5 Hub&Spoke集中器.................................................................................................................... 19-17

19.6 监控器....................................................................................................................................... 19-18

第 20 章 VPN PPTP................................................................................................................................ 20-1

20.1 概述............................................................................................................................................. 20-1

20.2 PPTP范围..................................................................................................................................... 20-1

第 21 章 VPN SSL 设置 ......................................................................................................................... 21-1

21.1 概述............................................................................................................................................. 21-1

21.2 配置SSLVPN.............................................................................................................................. 21-1

21.3 监控SSL VPN会话 ..................................................................................................................... 21-3

21.4 SSL VPN书签 .............................................................................................................................. 21-4

21.5 查看SSL VPN书签列表 ............................................................................................................. 21-4

21.6 配置SSL VPN书签 ..................................................................................................................... 21-5

21.7 查看SSL VPN书签组列表 ......................................................................................................... 21-6

21.8 配置SSL VPN书签组 ................................................................................................................. 21-6

第 22 章 VPN 证书................................................................................................................................. 22-1

22.1 概述............................................................................................................................................. 22-1

22.2 本地证书..................................................................................................................................... 22-1

22.3 远程证书..................................................................................................................................... 22-6

-vi-

Page 16

22.4 CA证书 ........................................................................................................................................22-8

22.5 CRL..............................................................................................................................................22-9

第 23 章设置用户 ...................................................................................................................................23-1

23.1 概述 .............................................................................................................................................23-1

23.2 配置用户验证 .............................................................................................................................23-1

23.3 本地用户验证 .............................................................................................................................23-2

23.4 RADIUS服务器 ...........................................................................................................................23-4

23.5 LDAP服务器................................................................................................................................23-5

23.6 PKI验证........................................................................................................................................23-8

23.7 Window s AD服务器 ..................................................................................................................23-10

23.8 配置用户组 ............................................................................................................................... 23-11

23.9 配置对等体与对等组 ............................................................................................................... 23-20

23.10 验证设置 .................................................................................................................................23-21

第 24 章反病毒保护 ...............................................................................................................................24-1

24.1 概述 .............................................................................................................................................24-1

24.2 操作顺序 .....................................................................................................................................24-1

24.3 反病毒操作构成 .........................................................................................................................24-2

24.4 反病毒设置与控制 ..................................................................................................................... 24-3

24.5 文件模板 .....................................................................................................................................24-4

24.6 病毒文件隔离 .............................................................................................................................24-8

24.6.1 查看隔离文件列表 ........................................................................................................... 24-8

24.6.2 自动提交列表 ................................................................................................................. 24-10

24.6.3 配置自动提交列表 ......................................................................................................... 24-10

24.6.4 配置隔离选项 ................................................................................................................. 24-11

24.7 配置 ...........................................................................................................................................24-12

24.7.1 查看病毒列表 ................................................................................................................. 24-12

24.7.2 查看灰色软件列表 ......................................................................................................... 24-13

24.8 反病毒CLI配置命令................................................................................................................. 24-15

第 25 章 IPS（入侵防护保护） ............................................................................................................. 25-1

25.1 概述 .............................................................................................................................................25-1

25.2 关于入侵防护保护 ..................................................................................................................... 25-1

-vii-

Page 17

25.3 预定义的特征............................................................................................................................. 25-2

25.3.1 查看预先定义的特征列表 ............................................................................................... 25-3

25.3.2 调整预先定义的特征加强系统性能发挥 ....................................................................... 25-5

25.4 用户定义特征............................................................................................................................. 25-6

25.4.1 查看用户定义特征列表................................................................................................... 25-6

25.4.2 创建用户定义的特征....................................................................................................... 25-6

25.5 协议解码器................................................................................................................................. 25-7

25.6 IPS传感器.................................................................................................................................... 25-8

25.6.1 查看IPS传感器列表 ......................................................................................................... 25-8

25.6.2 增加一个IPS传感器 ......................................................................................................... 25-9

25.6.3 配置IPS传感器 ............................................................................................................... 25-10

25.6.4 配置过滤器..................................................................................................................... 25-12

25.6.5 配置预定义或定制跳过................................................................................................. 25-14

25.7 DoS传感器................................................................................................................................. 25-15

25.7.1 查看DoS传感器列表...................................................................................................... 25-16

25.7.2 配置DoS传感器.............................................................................................................. 25-17

25.7.3 了解异常......................................................................................................................... 25-18

25.8 IPS CLI配置............................................................................................................................... 25-19

第 26 章 Web过滤 ................................................................................................................................... 26-1

26.1 概述............................................................................................................................................. 26-1

26.2 Web过滤的操作顺序................................................................................................................... 26-1

26.3 Web过滤是怎样生效的............................................................................................................... 26-2

26.4 Web过滤....................................................................................................................................... 26-2

26.5 内容屏蔽..................................................................................................................................... 26-4

26.5.1 查看网页内容屏蔽列表目录 ........................................................................................... 26-5

26.5.2 创建新的网页内容屏蔽列表 ........................................................................................... 26-5

26.5.3 查看网页内容屏蔽列表................................................................................................... 26-6

26.5.4 配置网页内容屏蔽列表................................................................................................... 26-7

26.5.5 查看网页内容免屏蔽列表目录 ....................................................................................... 26-8

26.5.6 创建新的网页内容免屏蔽列表 ....................................................................................... 26-9

26.5.7 查看网页内容免屏蔽列表 ............................................................................................... 26-9

-viii-

Page 18

26.5.8 配置网页内容免除列表 ................................................................................................. 26-10

26.6 网址URL过滤 ........................................................................................................................... 26-11

26.6.1 查看网址过滤列表目录 ................................................................................................. 26-11

26.6.2 创建新的网址过滤列表 ................................................................................................. 26-12

26.6.3 配置网址过滤列表 ......................................................................................................... 26-13

26.6.4 在网址过滤列表中移动URL项 .....................................................................................26-15

26.7 US Service-网页（web）过滤.................................................................................................. 26-15

26.7.1 配置US Service-网页过滤服务......................................................................................26-16

26.7.2 查看优先（跳过）列表 ................................................................................................. 26-16

26.7.3 配置优先规则 ................................................................................................................. 26-17

26.7.4 创建本地URL类型 ......................................................................................................... 26-20

26.7.5 查看本地分类列表 ......................................................................................................... 26-20

26.7.6 配置本地过滤 ................................................................................................................. 26-22

26.7.7 类型屏蔽的CLI配置....................................................................................................... 26-23

26.7.8 US Service-网页过滤功能报告....................................................................................... 26-23

第 27 章反垃圾邮件 ...............................................................................................................................27-1

27.1 概述 .............................................................................................................................................27-1

27.2 垃圾邮件过滤 .............................................................................................................................27-1

27.2.1 垃圾邮件过滤操作顺序 ................................................................................................... 27-1

27.3 禁忌词汇 .....................................................................................................................................27-4

27.3.1 查看垃圾邮件过滤禁忌词汇列表目录 ...........................................................................27-4

27.3.2 创建新的禁忌词汇列表 ................................................................................................... 27-5

27.3.3 查看禁忌词汇列表 ........................................................................................................... 27-6

27.3.4 配置反垃圾邮件禁忌词汇列表 .......................................................................................27-7

27.4 黑/白名单.................................................................................................................................... 27-7

27.4.1 创建新的IP地址列表........................................................................................................ 27-8

27.4.2 查看IP地址列表................................................................................................................ 27-9

27.4.3 配置反垃圾邮件的IP地址列表......................................................................................27-10

27.4.4 查看垃圾邮件地址列表 ................................................................................................. 27-12

27.4.5 配置垃圾邮件地址列表 ................................................................................................. 27-12

27.5 垃圾邮件过滤功能的高级配置选项 .......................................................................................27-13

-ix-

Page 19

27.6 Perl正则表达式 ......................................................................................................................... 27-15

27.6.1 正则表达式与通配符匹配模式 ..................................................................................... 27-15

27.6.2 词界................................................................................................................................. 27-15

27.6.3 大小写............................................................................................................................. 27-16

第 28 章 IM/P2P & VoIP ........................................................................................................................ 28-1

28.1 概述............................................................................................................................................. 28-1

28.2 IM/P2P & VoIP ............................................................................................................................ 28-1

28.3 配置IM/P2P协议 ........................................................................................................................ 28-3

28.3.1 怎样启动与撤消IM/P2P选项........................................................................................... 28-3

28.3.2 如何在保护内容表配置IM/P2P/VoIP选项...................................................................... 28-4

28.4 统计信息列表............................................................................................................................. 28-5

28.4.1 查看统计信息列表........................................................................................................... 28-5

28.5 用户............................................................................................................................................. 28-8

28.5.1 查看当前用户列表........................................................................................................... 28-8

28.5.2 查看用户列表................................................................................................................... 28-9

28.5.3 在用户列表中添加新的用户 ........................................................................................... 28-9

第 29 章日志与报告 ............................................................................................................................... 29-1

29.1 概述............................................................................................................................................. 29-1

29.2 ZXSEC US设备日志记录功能 ................................................................................................... 29-1

29.3 日志安全级别设置..................................................................................................................... 29-2

29.4 高可用性（HA）群集日志记录 ............................................................................................... 29-3

29.5 日志存储..................................................................................................................................... 29-3

29.5.1 配置将日志存储在系统内存 ........................................................................................... 29-4

29.5.2 配置将日志存储到Syslog服务器 .................................................................................... 29-4

29.5.3 配置将日志存储到W eb Trends........................................................................................ 29-5

29.6 日志类型..................................................................................................................................... 29-6

29.6.1 流量日志........................................................................................................................... 29-6

29.6.2 事件日志........................................................................................................................... 29-7

29.6.3 反病毒日志....................................................................................................................... 29-8

29.6.4 网页过滤日志................................................................................................................... 29-9

29.6.5 攻击日志........................................................................................................................... 29-9

-x-

Page 20

29.6.6 垃圾邮件过滤日志 ......................................................................................................... 29-10

29.6.7 IM与P2P日志...................................................................................................................29-10

29.6.8 VoIP日志 ..........................................................................................................................29-10

29.7 访问日志 ................................................................................................................................... 29-11

29.8 查看日志信息 ...........................................................................................................................29-13

29.9 自定义日志信息显示 ............................................................................................................... 29-13

29.9.1 日志信息显示列设置 ..................................................................................................... 29-14

29.9.2 日志信息过滤 ................................................................................................................. 29-15

29.10 内容存档 .................................................................................................................................29-17

29.10.1 配置内容存档 ............................................................................................................... 29-17

29.10.2 查看内容存档 ............................................................................................................... 29-18

29.11 报警邮件 .................................................................................................................................29-19

29.11.1 配置报警邮件 ............................................................................................................... 29-19

29.12 报告 .........................................................................................................................................29-21

29.12.1 基本流量报告 ............................................................................................................... 29-21

29.12.2 配置报告显示图 ........................................................................................................... 29-23

-xi-

Page 21

Page 22

图目录

图 1.3-1 USAMC模块 ......................................................................................................................1-5

图 1.3-2 ZXSEC US6710..................................................................................................................1-5

图 1.3-3 ZXSEC US6010 设备.........................................................................................................1-5

图 1.3-4 ZXSEC US6010 设备.........................................................................................................1-5

图 1.3-5 ZXSEC US2010 设备.........................................................................................................1-5

图 1.3-6 ZXSEC US2010A...............................................................................................................1-6

图 1.3-7 ZXSEC US1300 设备.........................................................................................................1-6

图 1.3-8 ZXSEC US900 设备...........................................................................................................1-6

图 1.3-9 ZXSEC US550 设备...........................................................................................................1-6

图 1.3-10 ZXSEC US350 设备.........................................................................................................1-6

图 1.3-11 ZXSEC US180 设备.........................................................................................................1-6

图 1.3-12 ZXSEC US120 设备.........................................................................................................1-7

图 1.3-13 ZXSEC US70 设备...........................................................................................................1-7

图 2.1-1 基于web的管理器界面图....................................................................................................2-3

图 2.2-1 基于web的管理器按钮栏 .................................................................................................2-3

图 2.2-2 备份ZXSEC US设备配置（US Service管理服务） ........................................................2-4

图 2.3-1 部分基于web的管理器界面图 ..........................................................................................2-5

图 2.3-2 基于web管理器列表的示例..............................................................................................2-6

图 2.3-3 举例入侵保护预定义特征列表.........................................................................................2-7

图 2.3-4 会话列表过滤项设置显示源IP地址为 1.1.1.1 到 1.1.1.2 之间的会话 ...........................2-7

图 2.3-5 防火墙策略列表过滤显示所有不包括源地址且名称为“my_address”的策略 ..............2-8

图 2.3-6 IPS预定义特征列表过滤显示所有“动作”设定为“重设”的特征 ....................................2-9

图 2.3-7 设置日志访问过滤项显示所有日志级别为“警报”“错误”与“警告”的日志信息........2-10

图 2.3-8 设置日志访问过滤项显示所有日志级别为“警报”“错误”与“警告”的日志信息........2-11

-i-

Page 23

图 3.2-1 最小化后的显示项目 ........................................................................................................ 3-2

图 3.3-1

ZXSEC设备信息

............................................................................................................... 3-3

图 3.3-2 许可证信息举例 ................................................................................................................ 3-4

图 3.3-3 CLI console........................................................................................................................ 3-6

图 3.3-4 自定义CLI console窗口 .................................................................................................... 3-7

图 3.3-5 系统资源 ............................................................................................................................ 3-8

图 3.3-6 ZXSEC设备接口状态（没有连接USLA设备） ........................................................... 3-9

图 3.3-7 警报信息Console举例 ..................................................................................................... 3-10

图 3.3-8 统计表信息举例 .............................................................................................................. 3-11

图 3.3-9 时间设置 .......................................................................................................................... 3-12

图 3.5-1 系统资源使用历史记录举例 .......................................................................................... 3-16

图 3.7-1 会话列表 .......................................................................................................................... 3-18

图 3.7-2 会话信息 .......................................................................................................................... 3-19

图 4.4-1 VDOM列表........................................................................................................................ 4-6

图 5.1-1 接口列表（常规管理员所查看）.................................................................................... 5-2

图 5.1-2 启动虚拟域后的接口列表显示（超级管理员查看） .................................................... 5-2

图 5.1-3 创建新的接口设置 ............................................................................................................ 5-5

图 5.1-4 编辑接口设置 .................................................................................................................... 5-6

图 5.1-5 802.3AD聚合接口设置 ..................................................................................................... 5-9

图 5.2-1 冗余接口设置 .................................................................................................................. 5-11

图 5.2-2 接口DHCP设置 ............................................................................................................... 5-12

图 5.3-1 接口PPPoE设置 ............................................................................................................... 5-14

图 5.3-2 DDNS服务配置 ............................................................................................................... 5-16

图 5.3-3 虚拟IPSec接口设置......................................................................................................... 5-17

图 5.3-4 添加二级IP地址 .............................................................................................................. 5-22

图 5.3-5 区域列表 .......................................................................................................................... 5-24

-ii-

Page 24

图 5.3-6 区域选项 ..........................................................................................................................5-24

图 5.3-7 网络选项 ..........................................................................................................................5-25

图 5.4-1 路由列表 ..........................................................................................................................5-27

图 5.4-2 透明模式下的路由选项 ..................................................................................................5-27

图 5.6-1 基本的VLAN拓扑结构 ...................................................................................................5-34

图 5.6-2 运行于NAT/路由模式的ZXSEC US设备 ......................................................................5-36

图 5.6-3 透明模式下配置有两个虚拟域的ZXSEC US设备 ........................................................5-38

图 5.6-4 透明模式下ZXSEC US设备............................................................................................5-39

图 5.6-5 配置了两个虚拟域的ZXSEC US设备运行于透明模式 ................................................5-41

图 5.6-6 运行于透明模式下的ZXSEC US设备............................................................................5-42

图 6.3-1 DHCP服务列表 .................................................................................................................6-3

图 6.3-2 给接口配置DHCP中继设置 .............................................................................................6-3

图 6.3-3 服务器选项 ........................................................................................................................6-4

图 6.4-1 地址租期列表 ....................................................................................................................6-6

图 7.2-1 ZXSEC US设备的HA配置................................................................................................7-3

图 7.2-2 ZXSEC US虚拟群集配置 .................................................................................................7-4

图 7.2-3 ZXSEC US设备群集列表示例 .........................................................................................7-6

图 7.2-4 ZXSEC US虚拟群集列表示例 .........................................................................................7-7

图 7.2-5 HA统计信息列表示例（主动-被动模式） .....................................................................7-8

图 7.2-6 更改从属设置的主机名称与设备优先级别设置.............................................................7-9

图 7.2-7 断开一台群集设备与群集的连接...................................................................................7-10

图 7.3-1 配置使用SNMP...............................................................................................................7-11

图 7.3-2 SNMP团体选项（第一部分）........................................................................................7-13

图 7.3-3 SNMP团体选项（第二部分）........................................................................................7-14

图 7.4-1 替换信息列表图 ..............................................................................................................7-23

图 7.4-2 HTTP病毒替换信息示例 ...............................................................................................7-24

-iii-

Page 25

图 8.2-1 管理员对话框中的超级管理员选项 ................................................................................ 8-2

图 8.2-2 用户>PKI用户列表............................................................................................................ 8-4

图 8.2-3 管理员列表 ........................................................................................................................ 8-6

图 8.2-4 管理员帐户配置-RADIUS验证 ....................................................................................... 8-7

图 8.2-5 管理员帐户配置—PKI验证 ............................................................................................. 8-7

图 8.3-1 访问内容列表 .................................................................................................................. 8-13

图 8.3-2 访问权限选项 .................................................................................................................. 8-14

图 8.4-1 集中管理配置—USM与US Service ............................................................................... 8-15

图 8.4-2 修改控制页面 .................................................................................................................. 8-15

图 8.5-1 管理员设置 ...................................................................................................................... 8-17

图 8.6-1 系统信息>当前管理员.................................................................................................... 8-18

图 8.6-2 监控窗口显示的登录管理员列表 ..................................................................................8-19

图 9.2-1 备份与恢复---本地选项 .................................................................................................... 9-2

图 9.2-2 固件管理 ............................................................................................................................ 9-2

图 9.2-3 固件升级 ............................................................................................................................ 9-3

图 9.2-4 高级选项 ............................................................................................................................ 9-3

图 9.3-1 支持合同与US Service订购服务板块 .............................................................................. 9-7

图 9.3-2 反病毒与IPS选项 .............................................................................................................. 9-9

图 9.3-3 Web过滤与反垃圾邮件选项........................................................................................... 9-10

图 10.2-1 通过基于web的管理器创建的静态路由...................................................................... 10-3

图 10.3-1 静态路由列表 ................................................................................................................ 10-6

图 10.3-2 配置路由器成为默认的网关 ........................................................................................ 10-7

图 10.3-3 目标地址在内部路由之后的网络 ................................................................................ 10-8

图 10.3-4 编辑静态路由 .............................................................................................................. 10-10

图 10.4-1 策略路由列表 .............................................................................................................. 10-11

图 10.4-2 新路由策略 .................................................................................................................. 10-12

-iv-

Page 26

图 10.4-3 移动策略路由 ..............................................................................................................10-13

图 11.2-1 RIP常规设置 ..................................................................................................................11-3

图 11.2-2 高级选项（RIP） ..........................................................................................................11-5

图 11.2-3 新建/编辑RIP接口 .........................................................................................................11-7

图 11.3-1 基本的OSPF设置 .........................................................................................................11-10

图 11.3-2 高级选项（OSPF） ..................................................................................................... 11-11

图 11.3-3 新建/编辑OSPF区 ........................................................................................................11-13

图 11.3-4 新建/编辑OSPF网络 ....................................................................................................11-14

图 11.3-5 新建/编辑OSPF接口 ....................................................................................................11-16

图 11.4-1 基本的BGP选项 ..........................................................................................................11-18

图 11.4-2 基本组播选项...............................................................................................................11-20

图 11.4-3 组播接口设置...............................................................................................................11-21

图 12.2-1 路由监控列表 ................................................................................................................12-1

图 13.3-1 策略列表举例 ................................................................................................................13-3

图 13.4-1 策略选项- NAT/路由模式 ACCEPT策略 .................................................................13-6

图 13.4-2 创建VLAN间的防火墙策略 ....................................................................................... 13-11

图 13.4-3 选择验证的用户组 ......................................................................................................13-13

图 13.4-4 SSL-VPN加密策略 ........................................................................................................13-18

图 13.5-1 部署后的SOHO网络....................................................................................................13-21

图 13.5-2 数据库系统的当前网络拓扑结构...............................................................................13-22

图 13.5-3 设计实施的数据库系统网络拓扑结构.......................................................................13-23

图 14.3-1 地址列表示例 ................................................................................................................14-3

图 14.4-1 创建新地址或IP地址范围的选项.................................................................................14-4

图 14.5-1 地址组列表示例 ............................................................................................................14-4

图 14.6-1 地址组选项 ....................................................................................................................14-5

图 15.2-1 定制服务列表 ................................................................................................................15-1

-v-

Page 27

图 15.3-1 用户服务列表 ................................................................................................................ 15-5

图 15.4-1 TCP与UDP用户服务选项 ............................................................................................ 15-6

图 15.4-2 ICMP用户服务选项 ..................................................................................................... 15-7

图 15.4-3 IP用户协议选项 ............................................................................................................ 15-7

图 15.5-1 服务组列表 .................................................................................................................... 15-8

图 15.6-1 新建服务组列表 ............................................................................................................ 15-8

图 16.2-1 单次时间表 .................................................................................................................... 16-1

图 16.3-1 单次时间表选项 ............................................................................................................ 16-2

图 16.4-1 循环时间表 .................................................................................................................... 16-3

图 16.5-1 循环时间表选项 ............................................................................................................ 16-4

图 17.2-1 单个静态NAT虚拟IP地址使用示例............................................................................. 17-2

图 17.2-2 从用户到服务器的网络地址转换过程汇中数据包地址的更改 ................................ 17-2

图 17.2-3 从服务器将回应数据包发送到用户时应用NAT（地址转换）后发生的映射情况. 17-3

图 17.3-1 虚拟IP列表 .................................................................................................................... 17-5

图 17.4-1 单个IP地址的静态NAT虚拟IP设置示例 ..................................................................... 17-7

图 17.4-2 单个IP地址的静态NAT虚拟IP设置 ............................................................................. 17-8

图 17.4-3 对一个IP地址范围配置静态NAT虚拟IP设置示例 ..................................................... 17-9

图 17.4-4 虚拟IP选项；IP地址范围的静态NAT虚拟IP设置.................................................... 17-10

图 17.4-5 对单个IP地址与端口配置静态NAT虚拟IP设置示例 ............................................... 17-12

图 17.4-6 虚拟IP选项；对单个IP地址与端口设置静态NAT端口转发....................................17-13

图 17.4-7 服务器负载平衡虚拟IP地址....................................................................................... 17-16

图 17.4-8 虚拟IP选项；负载平衡虚拟IP设置 ........................................................................... 17-17

图 17.4-9 对一个IP地址与端口范围配置负载平衡虚拟IP设置示例 ....................................... 17-18

图 17.6-1 VIP组列表.................................................................................................................... 17-21

图 17.7-1 编辑VIP组.................................................................................................................... 17-22

图 17.9-1 IP池列表 ...................................................................................................................... 17-25

-vi-

Page 28

图 17.10-1 新建动态IP池.............................................................................................................17-26

图 17.11-1 双重NAT.....................................................................................................................17-27

图 18.4-1 默认保护内容表 ............................................................................................................18-3

图 18.5-1 新建保护内容表 ............................................................................................................18-4

图 18.5-2 防病毒选项 ....................................................................................................................18-5

图 18.5-3 配置web过滤选项..........................................................................................................18-7

图 18.5-4 web分类过滤选项（US Service）................................................................................18-8

图 18.5-5 垃圾邮件过滤选项 ......................................................................................................18-10

图 18.5-6 IPS选项.........................................................................................................................18-12

图 18.5-7 内容存档选项 ..............................................................................................................18-13

图 18.5-8 IM以及P2P选项 ...........................................................................................................18-14

图 18.5-9 VoIP选项 ......................................................................................................................18-15

图 18.5-10 日志选项 ....................................................................................................................18-16

图 19.3-1 自动密钥列表 ................................................................................................................19-3

图 19.3-2 阶段 1 的基本设置 ........................................................................................................19-4

图 19.3-3 阶段 1 高级设置 ............................................................................................................19-7

图 19.3-4 新建阶段 2 .....................................................................................................................19-9

图 19.3-5 阶段 2 高级设置 ..........................................................................................................19-10

图 19.4-1 IPSec VPN手工密钥列表 ............................................................................................19-14

图 19.4-2 新建手工密钥 ..............................................................................................................19-15

图 19.5-1 IPSec VPN集中器列表 ................................................................................................19-17

图 19.5-2 在hub与spoke配置中创建新的集中器 .......................................................................19-18

图 19.6-1 监视器列表 ..................................................................................................................19-18

图 20.2-1 PPTP地址范围 ...............................................................................................................20-2

图 21.3-1 监控列表 ........................................................................................................................21-3

图 21.5-1 书签列表 ........................................................................................................................21-4

-vii-

Page 29

图 21.6-1 新建书签 ........................................................................................................................ 21-5

图 21.7-1 书签组列表 .................................................................................................................... 21-6

图 21.8-1 新建书签组 .................................................................................................................... 21-6

图 22.2-1 本地证书列表 ................................................................................................................ 22-1

图 22.2-2 生成证书请求 ................................................................................................................ 22-3

图 22.2-3 上传本地证书 ................................................................................................................ 22-5

图 22.2-4 上传PKCS12 证书文件 ................................................................................................. 22-5

图 22.2-5 上传证书 ........................................................................................................................ 22-6

图 22.3-1 远程证书列表 ................................................................................................................ 22-7

图 22.3-2 上传远程证书 ................................................................................................................ 22-7

图 22.4-1 CA证书列表 .................................................................................................................. 22-8

图 22.4-2 上传证书 ........................................................................................................................ 22-9

图 22.5-1 证书撤消列表 .............................................................................................................. 22-10

图 22.5-2 上传CRL ...................................................................................................................... 22-11

图 23.3-1 本地用户列表 ................................................................................................................ 23-2

图 23.3-2 本地用户选项 ................................................................................................................ 23-3

图 23.4-1 RADIUS服务器列表 ..................................................................................................... 23-4

图 23.4-2 RADIUS配置 .................................................................................................................23-5

图 23.5-1 LDAP服务器列表.......................................................................................................... 23-6

图 23.5-2 LDAP服务器配置.......................................................................................................... 23-7

图 23.6-1 PKI用户列表.................................................................................................................. 23-8

图 23.6-2 PKI用户配置.................................................................................................................. 23-9

图 23.7-1 Windows AD服务器列表 ............................................................................................ 23-10

图 23.7-2 Windows AD服务器配置 ............................................................................................ 23-11

图 23.8-1 用户组列表 .................................................................................................................. 23-14

图 23.8-2 用户组选项 .................................................................................................................. 23-15

-viii-

Page 30

图 23.8-3 跳过US Service web过滤配置.....................................................................................23-16

图 23.8-4 SSL-VPN用户组选项 ..................................................................................................23-18

图 23.9-1 验证设置 ......................................................................................................................23-21

图 24.5-1 文件模式列表目录 ........................................................................................................24-5

图 24.5-2 文件模式列表示例 ........................................................................................................24-6

图 24.5-3 新建文件模式 ................................................................................................................24-8

图 24.6-1 隔离文件列表 ................................................................................................................24-9

图 24.6-2 隔离配置（适用于安装有本地硬盘的ZXSEC US设备）..........................................24-11

图 24.7-1 病毒列表（部分） ......................................................................................................24-13

图 24.7-2 灰色软件选项 ..............................................................................................................24-14

图 25.3-1 预先定义的特征列表 ....................................................................................................25-3

图 25.3-2 使用显示过滤器 ............................................................................................................25-5

图 25.4-1 用户定义特征组 ............................................................................................................25-6

图 25.4-2 编辑用户定义的特征 ....................................................................................................25-7

图 25.5-1 协议解码列表 ................................................................................................................25-8

图 25.6-1 IPS传感器清单列出了默认定义的传感器 ...................................................................25-8

图 25.6-2 新的IPS传感器.............................................................................................................25-10

图 25.6-3 编辑IPS传感器.............................................................................................................25-11

图 25.6-4 编辑IPS过滤器.............................................................................................................25-13

图 25.6-5 配置IPS跳过.................................................................................................................25-14

图 25.7-1 DoS传感器列表 ...........................................................................................................25-16

图 25.7-2 编辑DoS传感器 ...........................................................................................................25-17

图 26.5-1 网页内容屏蔽列表目录 ................................................................................................26-5

图 26.5-2 新建网页内容屏蔽列表 ................................................................................................26-6

图 26.5-3 网页内容屏蔽列表 ........................................................................................................26-6

图 26.5-4 新建内容屏蔽模式列表 ................................................................................................26-7

-ix-

Page 31

图 26.5-5 网页内容免屏蔽列表目录 ............................................................................................ 26-8

图 26.5-6 新建网页内容免屏蔽列表 ............................................................................................ 26-9

图 26.5-7 网页内容免屏蔽列表 .................................................................................................... 26-9

图 26.5-8 新建内容免除模式列表 .............................................................................................. 26-10

图 26.6-1 网址过滤列表目录 ...................................................................................................... 26-11

图 26.6-2 新建网址过滤列表 ...................................................................................................... 26-12

图 26.6-3 网址过滤列表 .............................................................................................................. 26-12

图 26.6-4 新建网址过滤名单 ...................................................................................................... 26-14

图 26.6-5 移动网址过滤项 .......................................................................................................... 26-15

图 26.7-1 跳过列表 ...................................................................................................................... 26-16

图 26.7-2 新建优先规则-地址或域名......................................................................................... 26-17

图 26.7-3 新建跳过规则-类别..................................................................................................... 26-19

图 26.7-4 本地类别列表 .............................................................................................................. 26-20

图 26.7-5 本地分类列表 .............................................................................................................. 26-20

图 26.7-6 类别过滤 ...................................................................................................................... 26-21

图 26.7-7 新建本地分类 .............................................................................................................. 26-22

图 26.7-8 US Service-网页过滤报告........................................................................................... 26-23

图 27.3-1 反垃圾邮件禁忌词汇列表目录 .................................................................................... 27-5

图 27.3-2 新建禁忌词汇列表 ........................................................................................................ 27-5

图 27.3-3 禁忌词汇列表 ................................................................................................................ 27-6

图 27.3-4 添加禁忌词汇 ................................................................................................................ 27-7

图 27.4-1 反垃圾邮件IP地址列表目录......................................................................................... 27-8

图 27.4-2 新建IP地址列表 ............................................................................................................ 27-9

图 27.4-3 IP地址列表 .................................................................................................................... 27-9

图 27.4-4 添加IP地址 .................................................................................................................. 27-10

图 27.4-5 添加邮件地址 .............................................................................................................. 27-11

-x-

Page 32

图 27.4-6 新建垃圾邮件地址列表 .............................................................................................. 27-11

图 27.4-7 添加邮件地址 ..............................................................................................................27-13

图 28.4-1 IM/P2P/VoIP统计信息...................................................................................................28-6

图 28.4-2 IM信息状态图................................................................................................................28-7

图 28.5-1 当前用户列表 ................................................................................................................28-8

图 28.5-2 用户列表 ........................................................................................................................28-9

图 28.5-3 编辑用户 ......................................................................................................................28-10

图 28.5-4 IM用户策略 .................................................................................................................28-10

图 29.5-1 将日志存储到syslog设备 ..............................................................................................29-4

图 29.7-1 查看存储在ZXSEC US设备硬盘中的日志文件 ........................................................29-12

图 29.8-1 查看日志信息 ..............................................................................................................29-13

图 29.9-1 设定日志信息显示格式 ..............................................................................................29-14

图 29.9-2 日志过滤 ......................................................................................................................29-16

图 29.10-1 警报邮件选项 ............................................................................................................29-19

图 29.12-1 每项服务占用的带宽 ................................................................................................29-22

-xi-

Page 33

Page 34

1.1 概述

第1章系统概述

描述

欢迎选择中兴通讯产品，构筑实时网络保护。

ZXSEC US

资源的误用和滥用，帮助您更有效的使用通讯资源的同时不会降低网络的性能。

ASIC 加速多种威胁保护防火墙系统增强了网络的安全性，避免了网络

US 设备获得了 ICSA 认证的反病毒服务、防火墙、IP 安全认证、

入侵检测与反间谍软件服务。

SSL-TLS、IPS、

ZXSEC US 病毒防火墙致力于网络安全，且易于管理。设备功能齐备，包括：

 应用层服务，例如病毒防护和入侵保护、垃圾邮件过滤、网页内容过滤、IM、

P2P 以及 VoIP 过滤。

 网络层服务，例如防火墙、入侵检测、IPSec 与 SSLVPN 以及流量控制等。

 管理服务，例如用户验证、向日志设备发送日志记录与报告、设备管理设置、

基于 web 以及 CLI 的安全管理访问以及 SNMP。

ZXSEC US 病毒防火墙应用了中兴通讯动态威胁防护系统，具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。

独特的基于 ASIC 的网络安全构架能实时进行网络内容和状态分析，并及时启动部署在网络边界的防护关键应用程序，随时对您的网络提供最有效的安全保护。

ZXSEC US 系列病毒防火墙对现有的网络安全方案做了整合与补充；例如基于主机的病毒防护，降低设备、管理与维护成本的同时支持新的应用程序与服务。

内容

本章内容如下：

内容页码

该版本中的更新内容

1.2节关于ZXSEC US病毒防火墙

1.3节关于本手册

节

1.4

客户服务与技术支持

节

1.5

1-1

1-2 1-3 1-7 1-11

Page 35

ZXSEC US 管理员手册

1.2 该版本中的更新内容

内容

本节着重介绍 USOS v3.0 MR5 版本中新增加的功能特性。

 US Service 管理服务---该项新的服务可以提供对固件升级与配置文件备份

的远程管理功能。

 接口别名设置---如需要，每个接口可以设定一个具体的名称。例如，port4

可以设定为“总部”，那么该端口的重新设定的“总部”名称将在各种设置中显示。

 PKI 功能的加强---ZXSEC US 的 OS V3.0MR5 中加强了 PKI 功能，例如对

本地证书建立最多 5 个组织性的设备字段。

 支持第三方 USB 密钥----USOS3.0MR5 支持指定格式的第三方 USB 密钥。

 基于 VDOM 的保护内容表设置---每个 VDOM 包含默认的保护内容表设置

与反病毒文件模式。您也可以对每个 VDOM 添加不同的保护内容表以及定制默认的保护内容项。

 PIM-SIM 环境下的多播目的 NAT---该功能是新增的，用于支持 NAT 下的

多播数据流，且可以将数据流的源和/或目标地址进行地址转换。

 防火墙策略验证功能的加强---防火墙策略验证提供基于源 IP 地址与策略

ID 的验证查询功能。

 IPv6 IPSec---IPv6 IPSec 功能提供对 IPSec VPN 中安全 IPv6 流量的支持。

 SSL-VPN 组标签---可以对 SSL-VPN 用户组添加多个标签。

 日志上传功能---配置有硬盘的 ZXSEC US设备可以将日志上传到 USLA 设

备。

1-2

Page 36

1.3 关于 ZXSEC US 病毒防火墙

参数信息

参数名称参数说明

ZXSEC US6710

ZXSEC US6010 设备

ZXSEC US2010 设备

ZXSEC US2010A

ZXSEC US1300 设备

第 1 章系统概述

ZXSEC US6710 设备可以提供大型企业与服务商所需的承

载级别的性能与可靠性。该设备应用了多个 CPU 与 ASIC 芯片，能够提供最大达 26Gbps 的输出量，满足多数应用的需要。ZXSEC US6710 设备含有八个 10/100/1000 网络接口，两个 SFP 接口，还包括两个双重带宽与两个单倍带宽的 ASM 扩展模块。

ZXSEC US6010 病毒防火墙为大型企业和服务商应用所要

求的千兆性能、可靠性提供较高性能需求。该设备应用了多个 CPU 与 ASIC 芯片技术能够提供 4Gbp 的输

部分应用需要。故障包括负载平衡操作与冗余故障，不间断运行。ZXSEC US6010 的高性能、可靠性与易于管理特点使其成为

服务的理想选择。

ZXSEC US2010 安全系统是为大型企业与服务商提供的高

性能的安全解决

ZXSEC US2010 自动从中兴通讯公司的 US Service 订制服务获取最新的更新信息，24 小时不间断防护对抗最新的病毒，蠕虫，特洛伊木马程序与其它网络威胁。ZXSEC US2010 具有的弹性构架针对出现的 IM，P2P 或者 VOIP 技术，以及识别例如 spywear，网络钓鱼（phishing）以及域名系统中毒（Pharming）等方法作出最快的响应。

ZXSEC US1800

高性能的安全解决方案。

ZXSEC US2010A 突出的特性在于两个额外的光纤端口，加强了识别小型数据包的性能。ZXSEC US2010A还提供基于

安全平台的危急安全检测功能，集可靠性、可用性、快速部

署、低运行成本以及对已知与未知的异常网络攻击现象出色

的侦破率于一体。

ZXSEC US1300 病毒防火墙拥有较高的吞吐量，8 个以太网接口（其中四个用户可以自行定义），支持 VLAN，与虚拟域。ZXSEC US1300 通过 HA 高可用性的冗余备份特性提

供了无单点故障的安全保护；是要求较高网络安全性能的大

型企业的理想选择。

US6010 设备还备有冗余电源，减少了单向

方案。

A 安全系统是为大型企业与服务商提供的

出，满足了绝大

网络管理

1-3

Page 37

ZXSEC US 管理员手册

参数名称参数说明

ZXSEC US900 设备能够提供大型企业与服务商所需的电

信运营商

ZXSEC US900 设备

ZXSEC US550 设备

ZXSEC US350 设备

ZXSEC US180 设备

ZXSEC US120 设备

US120 设备 US120 设备设计用于远程办公以及零售店的用户。

ZXSEC US70 设备

备拥有 10 个网络连接（包括一个 4 端口的 LAN 交换机）与不丢弃会话包的自动故障检测功能的高可用性功能。ZXSEC US900 的高度灵活性，可靠性与易于管理的特性正是大型企

业所期待的。

级别的需求。ZXSEC US550 同样也支持高可用性群集以及包括在 HA 设备主从设备切换时不会丢弃会话，该设备是关键任务系统的理想选择。

之间的应用提供了高附加值与可靠的性能。US 安装指南通

过简单的步骤指导用户在几分钟之内运行设备。

及 RIP 与 OSPF 路由协议。

用户提供实时的网络防护。这样的网络防护包括基于 web 的反病毒、web 与邮件内容过滤、防火墙、VPN、基于网络的入侵检测与防护与流量控制的结合。ZXSEC US120 整合了 PC 卡（也称 PCMCIA）以拓展其他的功能，包括基于 3G 无线带宽的 Type II PC 卡与基于 IEEE802.11b/g WIFI 带宽的 MiniPCI 卡。扩展的功能使用户可以在不需要固定互联网连接的情况下建立安全的 3G/WiFi 无线访问。ZXSEC US120 同

时还整合了 2 个端口的 FXO VOIP 卡，的 VOIP 通信。

有 10 到 50 个员工远程办公

余连接。ZXSEC US70 设备还具有 3 个端口的交换机功能，用于内部网络的连接并支持与其他 ZXSEC US70 设备配置组成 HA 群集。

级别的设备性能与运行的可靠性。ZXSEC US900 设

ZXSEC US550 设备的性能，可用性以及可靠性迎合了企业

ZXSEC US350 设备易于部署与管理，为 soho 以及子机构

ZXSEC US180 为小型办公室或家庭式办公室设计应用 ZXSEC US180 支持的高级的性能例如

ZXSEC US120 设备设计用于远距离办公以及远程办公的

ZXSEC US70 设备设计用于远距离工作用

用户

ZXSEC US70 设备具有两个 WAN 接口用于与互联网的冗

802.1Q，虚拟域以

用户可以享用低成本

户以及小型的

具

1-4

Page 38

图1.3-1 USAMC 模块

图1.3-2 ZXSEC US6710

第 1 章系统概述

图1.3-3 ZXSEC US6010 设备

图1.3-4 ZXSEC US6010 设备

图1.3-5 ZXSEC US2010 设备

1-5

Page 39

ZXSEC US 管理员手册

图1.3-6 ZXSEC US2010A

图1.3-7 ZXSEC US1300 设备

图1.3-8 ZXSEC US900 设备

图1.3-9 ZXSEC US550 设备

图1.3-10 ZXSEC US350 设备

图1.3-11 ZXSEC US180 设备

1-6

Page 40

1.4 关于本手册

内容

第 1 章系统概述

图1.3-12 ZXSEC US120 设备

图1.3-13 ZXSEC US70 设备

ZXSEC US 设备 V3.0 MR5 管理员使用手册对如何 ZXSEC US 设备管理工具，基于 web 的管理器与命令行接口（CLI）；以及如何使用管理工具配置功能选项进行了详细说明。

本手册是按照基于 web 管理器界面菜单功能项的顺序而叙述的。手册开始首先说明与描述了 ZXSEC US 设备基于 web 的管理工具与虚拟域。接下来的章节中分别对基于 web 的管理器对应的系统管理菜单，路由器菜单，防火墙菜单，VPN 菜单

都使用了单独的章节详细说明。其后，同样对用户、反病毒、入侵检测、网页过滤、反垃圾邮件、IM/P2P 与日志与报告均以单独的章节叙述。

该手册的最新版本可以在中兴通讯公司的网站中中兴通讯技术文档中获得。文中所叙述的信息也可以点击基于 web 管理器页面中在线帮助查看。

有关 ZXSEC US 的 OS V3.0 版本更为详细的信息，访问中兴通讯公司网站技术文档以及知识库。

该管理员使用手册包括以下章节：

 基于 web 的管理器：介绍有关基于 web 管理器的功能，包括怎样注册 ZXSEC

US 设备以及如何使用基于 web 管理器的在线帮助。

 系统状态：有关系统状态页面以及 ZXSEC US 设备的面板。您可以查看设

备状态信息，包括序列号、运行时间、US Service 许可证信息、系统资源

使用率、警报信息以及统计表信息。本章还对用户可以更改的系统状态进

1-7

Page 41

ZXSEC US 管理员手册

行了说明，包括更改设备固件，主机名称以及系统时间。

 虚拟域

介绍如何操作 ZXSEC US 设备的虚拟域，作为多个虚拟设备，对多个网络提供独立的防火墙与路由服务。

 系统设置

描述如何在 ZXSEC US 设备中配置物理接口、虚拟接口以及 DNS 设置。

 系统 DHCP

提供有关 ZXSEC US 设备作为 DHCP 服务器或 DHCP中继代理时如何配置设备接口。

 DHCP：

如何配置 ZXSEC US 接口作为 DHCP 服务器或 DHCP 中继代理。

 系统配置

有关配置 HA 与虚拟群集，配置 SNMP 以及替换信息以及更改操作模式的步骤。

 系统管理

通过添加与编辑管理员帐户定义系统管理员的访问权限，配置全局管理设置，例如语言显示，超时设置，以及 web 管理接口。

 系统维护

有关如何使用管理计算机或 USB 硬盘备份与存储系统配置，使用修改控制以及配置启动 US SERVICE 中心更新，以及输入许可证密钥增加虚拟域的最大使用数量。

 静态路由

描述有关如何定义静态路由与创建路由策略。

 创建静态路由

创建将数据包转发到除了出厂默认的网关以外的目标地址。

 动态路由

有关如何配置动态协议将数据包路由通过大型或复杂的网络。

 路由监控

1-8

Page 42

第 1 章系统概述

解释如何截取路由监控表，该表显示了 US 路由表中条目。

 防火墙策略

有关如何添加防火墙策略控制 ZXSEC US 设备接口、区域与 VLAN 子接口之间的连接与流量。

 防火墙地址

有关如何对防火墙策略配置地址与地址组。

 防火墙服务

有关可用的防火墙服务以及如何对防火墙策略配置服务组。

 防火墙时间表

有关如何配置防火墙策略的固定或循环时间表设置。

 防火墙虚拟 IP

有关如何配置并使用虚拟 IP 地址与 IP 池。

 内容保护列表

如何对防火墙策略配置保护内容表。

 VPN IPSEC

有关通道模式以及通过基于 web 的管理器可用的基于路由(接口模式)的 Internet 协议安全性(IPSec)VPN 选项。

 VPN PPTP

有关如何使用基于 web 的管理器为 PPTP 用户指定 IP 地址的范围。

 VPN SSL

有关基本的 SSL VPN 设置的信息。

 VPN 证书

如何管理 X.509 安全证书内容。

 用户

通过用户认证如何控制对网络资源的访问。

 反病毒服务

描述了当您创建了防火墙保护内容列表后如何启动反病毒服务选项。

1-9

Page 43

ZXSEC US 管理员手册

 入侵检测服务

描述了在创建防火墙保护内容列表时如何配置入侵检测(IPS)选项。

 网页过滤服务

描述了在创建防火墙保护内容列表时如何配置网页过滤选项。

 反垃圾邮件服务

描述了在创建防火墙保护内容列表时如何配置反垃圾邮件选项。

 IM/P2P&VoIP

描述在创建防火墙保护内容列表时如何配置 IM、P2P 以及 VoIP 选项。您可以查看 IM、P2P 以及 VoIP 统计表获得网络中协议使用的情况。

 日志与报告

对通过基于 web 的管理器如何启动日志记录，查看日志文件与查看基本的报告。

文档中的注释

以下是该手册中的注释：

 在所举的例子中，私有 IP 地址既可以用做私有也可以是公共 IP 地址。

 注意与警告标识中的提示较为重要的信息。

注意：

突出另外其它的有用信息。

警告：

对于可能造成意外的不良的结果包括数据丢失或者设备损害等命令或程序发出警告提示。

排版说明

以下是该安装手册中使用的排版说明：

排版说明举例

菜单命令进入 VPN>IPSEC>阶段 1 并点击”新建”.

1-10

Page 44

第 1 章系统概述

键盘输入在网关名称字段，键入远程 VPN 或用户（例如，Central_office_1）

代码范例

CLI 命令句法

文档名称

源文件内容

程序输出 Welcome！变量

Config sys global Set ips-open enable end Config firewall policy edit id_integer set http_retry_count <retry_interer> set natip <address_ipv4mask> end

ZXSEC US

<HTML><HEAD><TITLE>Firewall Authentication</TITLE></HEAD> <BODY><H4>You must authenticate to use this service.</H4>

<address_ipv4>

设备管理员使用手册

1.5 客户服务与技术支持

中兴通讯公司技术支持将确保您的 ZXSEC US 系统在您的网络中能够快速启动，轻松配置并能够可靠运行。

敬请访问中兴通讯技术支持网站 http://support.zte.com.cn 获知更多中兴通讯所提供的技术支持服务。

1-11

Page 45

Page 46

2.1 概述

第2章基于 web 的管理器

描述

本章介绍有关 ZXSEC US 设备用户友好基于 web 管理器管理接口的功能。

通过运行 Internet 浏览器的任何计算机使用 HTTP 或一个安全的 HTTPS 连接，您

便

能够配置并管理 ZXSEC US设备。基于 web 的管理器支持多种语言。配置 ZXSEC

US 设备使其接受来自任何 ZXSEC US 设备接口的 HTTP 与 HTTPS 管理访问。

2-1

Page 47

ZXSEC US 管理员手册

2-2

Page 48

第 2 章基于 web 的管理器

图2.1-1 基于 web 的管理器界面图

使用基于 web 的管理器可以配置大部分的 ZXSEC US 设置以及监控 ZXSEC US 设备的状态。使用基于 web 管理器进行的配置更改无需重新设置防火墙或中断服

务便可以生效。配置完成后，可以保存设置作为备用。所保存的配置在任何时间都可以恢复。

有关连接基于 web 管理器的信息，参见设备安装手册中“连接到基于 web 的管理器”。

内容

本章内容如下：

内容页码

按钮栏功能

2.2节基于web管理器的页面

2.3节

2-3 2-4

2.2 按钮栏功能

内容

基于 web 管理器中右上角的按钮栏可以访问 ZXSEC US 设备几项重要的功能。

2.2.1 备份 ZXSEC US 设备配置

内容

图2.2-1 基于 web 的管理器按钮栏

点击“备份配置”按钮，备份 ZXSEC US 设备配置。您可以将设备配置备份到：

 您所使用管理 ZXSEC US 设备的本地 PC。

 管理工作站；可以是进入“系统设置>管理>集中管理”配置的 USM 设备或

2-3

Page 49

ZXSEC US 管理员手册

有关备份与恢复 ZXSEC US 设备配置的详细信息，参见“备份与恢复”章节。

US Service 管理服务。

 如果您所操作的 ZXSEC US 设备中有 USB 接口，您可以连接到 USB 硬盘，

将配置备份到 USB 硬盘中。

图2.2-2 备份 ZXSEC US 设备配置（US Service 管理服务）

2.3 基于 web 管理器的页面

2.3.1 基于 web 的管理器界面图

内容

基于 web 的管理器界面由菜单栏与状态说明页面组成，许多菜单或页面都有相应

的多个导航栏。当您点击一个菜单项目，如系统管理，系统菜单会扩展为一个子

菜单。接着点击其中一个子菜单后，相关联的页面会在其对应的导航栏中显示。

点击导航栏查看不同的页面内容。

该手册中所述步骤将指导您通过指定菜单项目打开到具体页面；子菜单与导航

如下：

1．进入系统>网络>接口

栏

2-4

Page 50

图2.3-1 部分基于 web 的管理器界面图

第 2 章基于 web 的管理器

2.3.2 基于 web 管理器的菜单

内容

通过菜单，您可以访问 ZXSEC US 设备主要特征的配置选项。

系统配置系统设备，如网络接口，虚拟域，DHCP 服务，时间与系统选

交换交换模式只适用于 ZXSEC US350A。该菜单中可以配置安全的交换性能，包括交换-VLAN、端口隔离、生成树协议、QoS 设置、IGMP 监听与 802.1X 验证。

路由器配置静态与动态路由。

防火墙址与 IP 池。

用户与防火墙策略结合配置用户帐户，使其接受用户验证。以及配置外部验证服务器。

VPN 配置 IPSec、SSL 与 PPTP 虚拟专用网络。

反病毒保护配置反病毒保护设置。

配置应用网络防护功能的防火墙策略与内容保护表。以及配置虚拟 IP 地

项。

IPS 配置入侵检测系统。 web 过滤配置网页内容过滤服务。

反垃圾邮件配置垃圾邮件过滤服务。 IM/P2P&报告配置监控即时消息通信、P2P 通信以及 VoIP 通信流量。

2-5

Page 51

ZXSEC US 管理员手册

日志与报告配置日志功能以及查看日志信息。

列表许多基于 web 的管理器的页面都是列表的形式显示的。网络接口，防火墙策略，管理员以及用户列表等。

该列表显示每个项目的信息，使用页面最右栏中显示的图标可以对项目进行编辑。在列表中您可以点击删除图标移除该项条目，或点击编辑图标对项目进行修改。

图2.3-2 基于 web 管理器列表的示例

点击“新建”后打开一个对话框可以添加并定义新的项目。创建新项目的对话框类

于编辑现有的项目的页面。

2.3.3 在基于 web 的管理器菜单的列表项中添加过滤器

内容

以下基于 web 管理器的页面中包含多个较复杂的列表，您可以添加过滤器控制列

表中显示的信息。

 会话列表

 防火墙策略列表

 IPSec VPN 监控器

 入侵防护预定义特征列表

 日志与访问控制列表

过滤器的设置对查询列表中显示信息的得以有效的控制。例如，您可以进入“系统>状态”，点击“会话”栏中的“详细信息”查看 ZXSEC US 设备当前所处理的

似

通信会话。一台使用率很高的 ZXSEC US 设备可能要处理相当多的会话。如果您想

查看某会话的详细信息，使用过滤器设置可以很快的锁定要查看的信息。例如，您想查看由具体一项防火墙策略处理的所有通信。您可以添加策略 ID 过滤器只显示特殊策略 ID 或策略 ID 范围的会话。

2-6

Page 52

第 2 章基于 web 的管理器

您可以点击各种过滤器的图标显示编辑过滤器的窗口。在编辑过滤器窗口，您可

以点击任何栏目以过滤并配置该栏目的过滤器。您可以一个栏目或多个栏目添加过滤器。对设置过滤的栏目，显示为绿色，不设置的栏目显示为灰色。

图2.3-3 举例入侵保护预定义特征列表

过滤设置显示所有包含字符串“apache”、日志设置启动的且动作设置为“丢弃”，

严重性级别设置为高的特征。

过滤器设置在您闲置基于 web 管理器超时，或退出管理器，甚至重启 ZXSEC US 设备后仍然会保存设置。

根据各个栏目中显示的信息的类型可以使用不同的过滤器设置。所有的情况下，您可以通过设定过滤项，显示与设定过滤器匹配的信息或点击“NOT”显示不匹配

的信息。

对包含数字的项目栏设置过滤器如果栏目中包含数字（例如，IP 地址或防火墙 ID），过滤设置可以是单个数字或数字范围。

图2.3-4 会话列表过滤项设置显示源 IP 地址为 1.1.1.1 到 1.1.1.2 之间的会话

2-7

Page 53

ZXSEC US 管理员手册

对包含文本字符串的项目栏设置过滤器

如果栏目中包含文本字符串（例如名称），您可以设置文本字符串过滤项。您可

以设置与过滤项“文件字符串”精确匹配或包含所设定或不包含这些的信息显

您也可以设定是否与所设定大写文本字符串的匹配的信息。

示。

图2.3-5 防火墙策略列表过滤显示所有不包括源地址且名称为“my_address”的策略

对只包含具体条目的项目栏设置过滤器

对于那些只包含具体条目的项目栏（例如，\\ 日志信息严重性或预定义特征动作），可

以从列表中选定单个的条目设置过滤项。这种情况下，您只能选定一个条目作为过滤项。

2-8

Page 54

第 2 章基于 web 的管理器

图2.3-6 IPS 预定义特征列表过滤显示所有“动作”设定为“重设”的特征

定制过滤器

其他用户定制的过滤项也是可用的。您可以根据日期时间范围来设定过滤日志信息。也可以设置日志信息级别过滤显示多个严重性级别的日志信息。

2-9

Page 55

ZXSEC US 管理员手册

图2.3-7 设置日志访问过滤项显示所有日志级别为“警报”“错误”与“警告”的日志信息

定制过滤器

其他用户定制的过滤项也是可用的。您可以根据日期时间范围来设定过滤日志信息。也可以设置日志信息级别过滤显示多个严重性级别的日志信息。

2-10

Page 56

第 2 章基于 web 的管理器

图2.3-8 设置日志访问过滤项显示所有日志级别为“警报”“错误”与“警告”的日志信息

图标

除了按键栏，基于 web 的管理器界面中还设有图标，点击这些图标也可以调用系

统资源，执行操作任务。将鼠标停放在图标上将显示工具提示信息，便于您理图标的功能特性。表 2 所列是基于 web 的管理器中的图标功能描述。

参数名称参数说明

更改管理员密码

更改密码

清除

隐藏

设置栏

删除

该图标出现在管理员 Admin 用户访问系统的密码

清除一个日志文件

点击隐藏一些字段。该图标应用在一些会话框及列表

选择显示日志栏的格式

删除一个项目。该图标出现在项目列表中，表示您可以对显示

的项目进行删除

列表中，点击该图标您可以写入并修改

解

描述

下载

描述列表的详细信息

下载证书签发请求

2-11

Page 57

ZXSEC US 管理员手册

参数名称参数说明

下载或备

编辑

扩展

过滤器

搜索

接入新的策略移至

刷新恢复设置

查看

份

下载日志文件或备份配置文件

编辑配置。该图标出现在列表的项目中，您可以点击该图标对

项目进行编辑

点击扩展更多的字段。该图标应用在一些会话框及列表

设置过滤选项。点击设定过滤项。该图标显示为绿色时，表示

栏目设置了过滤，反之，呈灰色显示时，没有启动过滤。将鼠

标停留在呈绿色显示的过滤器上，将显示具体设置的过滤细节

点击进行搜索

创建一个新的策略代替当前的策略

在列表中移动项目

查看当前列表的下一页

查看当前列表的上一页

点击更新页面信息

从文件中恢复配置

查看配置

该图标出现在列表项中，如果您没有在该列表写入权限，将

出现查看图标代替编辑图标

2-12

Page 58

3.1 概述

第3章系统状态

描述连接到基于 web 的管理器可以查看 ZXSEC US 设备的当前系统状态。您可以查看

当

前系统的状态信息包括序列号、运行时间、US Service

许可证信息、系统资

源使用率、警报信息以及统计表信息。

注意：

查看系统状态页面时，浏览器必须支持 Java 脚本。

内容

本章内容如下：

内容页码

3.2节系统状态

3.3节更改系统信息

3.4节更改ZXSEC US设备固件

3.5节查看设备运行记录

3.6节手工更新US Service定义

3.7节查看统计表

3-1 3-2 3-13 3-16 3-17 3-18

3.2 系统状态

内容查看系统状态页面，也就是系统面板，对照显示 ZXSEC US 设备当前的操作状态。

所有具有读取访问系统配置权限的 ZXSEC US 管理员都可以查看系统状态信息。

当 ZXSEC US 设备作为一个 HA 群集的组成设备时，系统状态页面显示基本 HA 群

集状态信息，包括群集名称、群集成员以及主设备名称。查看群集中所有设备的状态，进入系统管理>配置>HA 并选择所要查看的群集中的成员设备。详细信息，参见“HA 配置”。

3-1

Page 59

ZXSEC US 管理员手册

具有对系统能够进行读取权限的 ZXSEC US 设备管理员可以更改或更新 ZXSEC

设备信息。有关访问系统设置的详细信息，参见“访问系统设置”。

系统状态页面完全是可调节的。您可以点击选择显示的板块，以及每个板块在

页

面中放置的位置，您也可以将板块最大化或最小化。每个板块都有在最小化时便

于识别的图标。

点击“添加内容”，可以显示任何在当前的系统状态页面中没有显示的信息。或者，

击“返回”恢复为默认的系统状态页面配置。

点

将鼠标停留在显示标题可以看到可选的显示选项。

图3.2-1 最小化后的显示项目

显示名称显示项的名称。

扩展箭头点击后最大或或最小化显示。

刷新点击后更新显示信息。

关闭点击后关闭显示。信息提示是否确认关闭。

3.3 更改系统信息

设备信息

3-2

Page 60

第 3 章系统状态

图3.3-1

序列号当前 ZXSEC US 设备的序列号。设备序列号是固有的，不随固

而变化。

运行时间 ZXSEC US设备在上一次启动后运行的时间。

ZXSEC 设备信息

件的升级

系统日期根据 ZXSEC US 设备的内部时钟记录的当前时间。点击“更改”，更改时间或配置 ZXSEC US 设备与 NTP 服务器同步时间。

主机名当前运行的 ZXSEC US 设备主机名称。如果 ZXSEC US 设备当前运行于 HA 群集，该字段不显示信息。点击“更改”，更改主机名称。

群集名称 ZXSEC US设备运行于 HA 群集。显示每台群集成员设备的信息，包

括主机名称、序列号、是主设备或是从属设备。如果该字段

那么设备一定是运行于 HA 群集。

显示没有启动虚拟域，

虚拟群集 1 设备分别在虚拟群集 1 与虚拟群集 2 中的角色。虚拟群集 2

如果该字段显示没有启动虚拟域，那么设备一定是运行于 HA

群集。

软件版本固件版本号。点击“更新”更改固件。

US Desktop 当前所装的 US Desktop 版本号。点击“更新”从管理计算机上传。

版本新的 US Desktop 镜像到 ZXSEC US 设备。

只有在 ZXSEC US 设备提供

了从能够下载 US Desktop 软件的门户时，以上更新功能才能实现。

3-3

Page 61

ZXSEC US 管理员手册

运行模式当前 ZXSEC US 设备所运行的操作模式。除了 ZXSEC US350A 还可以运行于交换模式外，其他的 ZXSEC US 设备可以运行于 NAT 模式或透明模式。虚拟域同样也可以应用于 NAT 模式或透明模式。不同型号的 ZXSEC US 设备，可能该字段显示的信息不同。

虚拟域 ZXSEC US 设备中虚拟域的状态。点击“启动”或“撤消”更改虚拟域的状态。ZXSEC US350A 设备的交换机模式下不支持多个 VDOM 的操作更改虚拟域

的状态将会终止管理员的会话，您需要重新登录。点击“更改”切换设备运行的模式。如果启动了虚拟域，该字段将显示当前虚拟去的操作模式。

当前管理员

当前登录 ZXSEC US 设备的管理员数量。点击“详情”查看关于每

个

管理员登录的详细信息，包括用户名、连接类型、连接的 IP 地址以及登录时间。

许可证信息

许可证信息显示 ZXSEC US 设备支持合同以及 US Service 订制的状态。ZXSEC US

设

备通过连接的 US Service 网络自动更新许可证信息状态指示器。US Service 订

态指示器呈绿色显示时表示连接正常，灰色显示时表示不能与 US Service 网

制状

络建立连接，黄色显示表示许可证过期。

点击任何配置选项将转到维护页面。

图3.3-2 许可证信息举例

支持合同支持合同的编号以及过期时间。如果显示“请注册”，点击“请

先注册设备。

US Service

3-4

Page 62

第 3 章系统状态

反病毒 US Service反病毒许可证版本、发布日期与服务状态。如果许可证过期，点击“续订”更新许可证。

AV 定义当前安装的反病毒定义版本。点击“更新”，手工更新定义。入侵防护 US Service 入侵防护版本、发布日期与服务状态。如果许可证

过期，点击“续订”更新许可证。

IPS 定义当前安装的 IPS 定义版本。点击“更新”，手工更新定义。 Web 过滤 US Service Web 过滤许可证类型、过期日期与服务状态。如

果许可证过期，点击“续订”更新许可证。反垃圾邮件 US Service 反垃圾邮件许可证类型、过期日期与服务状

态。如果许可证过期，点击“续订”更新许可证。管理服务 US Service 管理服务许可证类型、过期日期与服务状态。分析服务 US Service日志与分析服务许可证类型、过期日期与服务状态。服务帐户 ID 点击“更改”输入不同的服务帐户 ID。该 ID 用于识别您订

制

的服务。

虚拟域 ZXSEC US 设备支持的虚拟域数量。

警报信息

Console

USOS 中的一些命令只有通过 CLI 可以访问。通过 telnet 或 SSH 使用第三方程序便可以连接到 CLI。

系统状态页面包括可用的 CLI console 访问。点击 Console，您可以自动从当前的

GUI 中登录到 CLI。CLI 的 console 默认的视窗不能改变大小或被移动。您可以从 CLI console 中拷贝粘贴文本信息。

3-5

Page 63

ZXSEC US 管理员手册

CLI console 窗口中有两个控制方法，自定义图标与分离控制。

点击“分离”控制，可以将 CLI Console 窗口从页面中剥离，改变视窗大小，再将窗

图3.3-3 CLI console

口还原到页面。CLI console 从页面剥离后，可以点击“自定义”与“还原”。“还原” 是指将剥离的 CLI 窗口重新返回到状态页面中。

点击“自定义”中的编辑图标，您可以设定 CLI 中文本文字显示的背景以及字体颜

色。

3-6

Page 64

第 3 章系统状态

图3.3-4 自定义 CLI console 窗口

预览预先查看设置更改。文本点击选择输入的 CLI 命令的字体颜色。背景设置 console 的背景色。

显示命令输入点击允许外部输入。

控制台缓冲行数

20 到 9999

。

字体设置字体。

设置内存中保持的 console 缓冲的行数。有效设定数值范围是

大小设定字号大小。默认的字号为 0。

重置为默认值点击恢复为默认设置。 OK 点击保存设置更改并返回到 CLI console。取消点击取消设置更改并返回到 CLI console。

3-7

Page 65

ZXSEC US 管理员手册

系统资源

任何状态页面中没有显示的系统资源，都可以点击“历史记录”图标进行查看。

图3.3-5 系统资源

历史信息点击查看 CPU、内存、会话与网络的使用率。该页面还显示再最近 20 小时内病毒与入侵检测的信息。

CPU 占用率当前 CPU 的使用情况。基于 web 的管理器显示核心进程的 CPU 使用情况。不包括管理进程的 CPU 占用情况（如与基于 web 的管理器的 HTTP 连接）。

硬盘的使用

如果ZXSEC US设备装有硬盘，显示当前硬盘的使用情况。基于web

的管理器只显示核心进程的硬盘使用情况，不包括管理进程的硬盘使用情况（如与基于web的管理器的HTTP连接）。

USLA 硬盘配额 USLA 设备硬盘中 ZXSEC US 设备使用的配额，以饼状图加以百分比显示。该栏目只有在配置将日志记录到 USLA 设备时可用。

设备操作

ZXSEC US 设备的前面板显示设备以太网络接口的状态。如果接口呈绿色显示，表示已连接。将鼠标停顿在接口上，可以显示接口名称、IP 地址、掩码以及接口当前

的状态。

3-8

Page 66

第 3 章系统状态

点击“重新启动”或“关闭设备”将弹出窗口要求输入执行该操作的原因。所填写的原因将记录在“硬盘事件日志”中。硬盘事件日志需要使用 CLI 命令启动。同时需要启动事件日志与 Admin 日志。

图3.3-6 ZXSEC 设备接口状态（没有连接 USLA 设备）

INT/EXT/DMZ/HA/1/2/3/4 ZXSEC US 设备的以太网接口。这些接口数量与名称

根据设备型号不同显示也不同。接口的状态是以接口的颜色显示来体现的，绿色

表示已连接，灰色表示没有连接。将鼠标停留在接口，显示接口的配置与状态，包括接口全称、接口别称（如果进行了设定）、IP 地址与掩码、接口速率、接受与发送数据包的数量。如果您使用的 ZXSEC US 设备支持 ASM 模块且您安装的 ASM 中含有接口（例如，USASM-FB4 中有四个接口），这些接口将被添加到接口状态中

显示。这些接口名

称为 AMC/1，AMC/2 等等。

USLA ZXSEC US 设备与 USLA 外形镜像图之间的链接表示两个设备之间连接。红色“X”图标表示没有连接，绿色

对勾表示设备之间已连接。

重启点击关闭或重新启动设备。系统将弹出对话框要求输入重新启动的原因，记录作为事件日志。

关闭点击关闭设备。系统将弹出对话框要求输入重新启动的原因，记录作为事件日志。

恢复出厂值点击将设备恢复为出厂默认设置。系统弹出对话框确认信息。

警报信息

Console

根据警报信息可以跟踪 ZXSEC US 设备的设置更改情况。以下警报信息 Console

显

示警报信息的类型：

3-9

Page 67

ZXSEC US 管理员手册

警报信息 console 中可以显示以下类型的信息：

图3.3-7 警报信息 Console 举例

系统重启系统重新启动。出于操作人员的意愿或是电源开关跳闸致

使的重启。

固件升级系统管理员进行的系统管理员在动态或非动态分区进行的升级。固件降级系统管理员进行的系统管理员在动态或非动态分区进行的降级。 ZXSEC US 设备在 n 秒内达到了连接的极限反病毒引擎在 n 秒内已经没有足够

的内存可用了。这种条件下，根据设备型号或配置，数据包内容将被屏蔽的或未

经过扫描就通过。

发现新的 USLA 设备与 USLA 设备失去连接显示 ZXSEC US 发现新的 USLA设备，或者 USLA 设备的连接。

每条信息中含有发布的时间与日期。如果没有足够的空间显示所有的信息，您以点击“显示全部”查看剩余的信息。

点击“编辑”启动“用户定义警报信息”选项，您可以定义显示以下方面的警报信

 重新启动系统信息

 固件升级或降级信息

 更改模式信息清除警报信息，点击“全部”在弹出的窗口选择“清除警报信

可

息。

息”。该操作将清除 ZXSEC US 设备中当前所有的警报信息。

统计信息

状态页面中的统计信息板块用于查看网络流量以及防护有关信息。

您可以快速查看 ZXSEC US 设备中流量的数量与类型以及任何试图进行的攻击。

需

要查看某些信息的详细信息时，只需要点击对应信息的“详情”即可。

3-10

Page 68

第 3 章系统状态

统计表中显示的信息可以被保存在日志文件中，这样的日志文件可以上传到 USLA 设备、本地进行保存或备份到外部网络资源中。利用日志信息数据，您可以查看网络活动的方向与趋势或某个时间段内发生的攻击以及相应的处理方法。

VDOM 模式下，系统状态页面中只可以查看全局配置下的统计信息。VDOM 配置

下没有系统状态页面。系统状态页面中的内容存档与攻击日志统计信息只包括根 VDOM 的日志信息。该页面中不能查看非根 VDOM 统计表信息。

图3.3-8 统计表信息举例

最近重启时间 ZXSEC US 设备重新启动时或重新恢复到出厂默认设置时该时间都将发生变化。距离 ZXSEC US 最近一次重启的时间（日，小时，秒）。

重设图标点击将存档与攻击日志记录归零。

会话 ZXSEC US 设备处理的通信会话数量。点击“详情”查看会话详细信息。

内容存档通过 ZXSEC US 设备的 HTTP，邮件，FTP 与 IM/P2P 流量的摘要。 “详情”页面列出所选类型的最近 64个条目并提供到存储流量内容的 USLA 设备的链接。如果没有配置登录到 USLA 设备，“详情”页面所提供的链接将转到“日志与报告>日志配置>日志设置”页面。

3-11

Page 69

ZXSEC US 管理员手册

攻击日志 ZXSEC US 设备检测到的病毒、攻击、垃圾邮件信息与 URL 的摘要。 “详情”页面提供最近 10 个条目，包括时间、源地址、目标地址以及其他信息。

更改设备信息

具有对系统配置读取权限的系统管理员可以更改系统时间、主机名称与 VDOM

操作模式。

配置系统时间

1．进入“系统>状态”。

2．在系统信息栏，点击“系统时间线”项的“更改”按钮。

3．选择时区并手工设置时间日期，或配置与 NTP 服务器同步。

的

图3.3-9 时间设置

系统时间 ZXSEC US 设备当前的系统时间。

刷新点击刷新显示当前的系统时间。

时区选择选择当前的系统时间所属的时区。

夏时制设置系统根据夏令时制自动更改系统时间，以及夏令时结束后调整回标

准时间。

时间设置将系统的时间设置为您在小时、分钟、秒、年月日字段设置的时间。与 NTP 服务器同步点击“与 NTP 同步校准时间”配置系统使用 NTP 自动设置

时间。

3-12

Page 70

第 3 章系统状态

服务器输入 ZXSEC US 设备用来设置系统时间的网络时间协议（NTP）服务器 IP

地址或域名。

同步间隔指定 ZXSEC US 系统与 NTP 服务器时间校准的间隔。典型的 Syn 间隔为每 1440 分钟，ZXSEC US 设备随 NTP 服务器每天校准系统时间。

3.4 更改 ZXSEC US 设备固件

更改

ZXSEC US

系统状态的页面上与 CLI 提示符中显示 ZXSEC US 设备主机的名称。主机名称也被

用作 SNMP 系统名称。有关 SNMP 主机名称的详细信息，参见“SNMP 系统名称”。

默认的主机名称时 ZXSEC US 设备的序列号。例如

具有对系统配置读取权限的系统管理员可以更改 ZXSEC US 设备主机名称。

注意：

设备主机名称

ZXSEC US1300。

如果 ZXSEC US 设备作为 HA 群集的一部分，您应该给设备设置唯一的名称别 HA 群集中其它设备的主机名称

。

以区

更改 ZXSEC US 设备主机名称

1. 进入系统>状态。

2. 在设备信息区域的主机名称栏，点击“更改”。

3. 在“新名称”字段，输入新的主机名称。

4. 点击 OK 确认。

新的主机名称将在主机名称字段域 CLI 提示符中显示，并添加到 SNMP 系统名称

栏中。更改固件版本

具有对系统配置读取权限的系统管理员可以更改 ZXSEC US 设备固件。

固件更改包括升级到新的固件版本与降级到旧的固件版本。执行以下操作更改

固件版本：

3-13

Page 71

ZXSEC US 管理员手册

升级为新的固件版本使用以下操作可以将 ZXSEC US 设备升级为更新的固件版本。

注意：

安装固件替代您现行的防病毒与攻击定义。安装新的固件后，参见“更新更新定义”更新防病毒与攻击定义。

反病毒与

使用基于 web 的管理器升级固件

1．将固件镜像文件拷贝到您的管理计算机。

2．使用超级管理员，或对系统具有读写权限的管理员，登录基于 web 的管理器

页面。

3．进入系统管理>状态。

4．在固件版本选项下，点击“升级”。

5．输入固件镜像文件的路径与文件名，或点击“浏览”查找文件的位置。

6．点击 OK 确认。

ZXSEC US 设备上传固件镜像文件，升级到新的固件版本，重新启动并显示 ZXSEC US 登录页面。该操作过程将花费几分钟的时间。

7．登录基于 web 的管理器。

8．进入系统>状态并检查固件版本确认新固件升级成功。

9．升级防病毒与攻击定义。有关升级防病毒与攻击定义的详细信息，参见 US

Service 中心。

恢复为旧的固件版本

执行以下操作可以将固件版本降级为旧的版本。该操作也可以将固件恢复到出厂默认的配置并将删除 IPS 用户定义的特征、web 内容列表、邮件过滤列表以及更改的替换信息。备份 ZXSEC US 设备的配置保存这些信息。

恢复为旧的 USOS 版本（例如，从 USOSv2.80 恢复到 USOSv2.50 版本），从

备

份的配置文件中，不能恢复旧版本的配置。

3-14

Page 72

注意：

第 3 章系统状态

安装固件替代您现行的防病毒与攻击定义。安装新的固件后，参见义”确定已经更新了防病毒与攻击定义。

反病毒与更新定

使用基于 web 的管理器恢复为旧的固件版本

1．拷贝固件镜像到管理计算机。

2．登录使用管理员帐户，或拥有系统配置读写权限的管理员帐户。登录到

ZXSEC US 基于 web 的管理器。

3．进入系统>状态。

4．在系统信息>固件版本项下，点击“升级”。

5．键入固件镜像文件的路径与文件名，或点击“浏览”查找文件。

6．点击 OK 确认。

ZXSEC US 设备上传固件镜像文件，恢复为旧的固件版本，重新设置配置并

重新启

动，显示 ZXSEC US 登录页面。该操作过程将花费几分钟时间实现。

注意：

安装固件替代您现行的防病毒与攻击定义。安装您的固件后，确保防病毒与攻击定义已经更新。

7．登录基于 web 的管理器。

8．进入系统>状态并检查固件版本，确认固件安装成功。

9．恢复配置。

有关恢复配置的详细信息，参见 ZXSEC US 管理员指南。

10．更新防病毒与攻击定义。

3-15

Page 73

ZXSEC US 管理员手册

3.5 查看设备运行记录

内容

历史记录页面显示 6 个图表，分别表示以下系统资源使用的情况以及病毒与入侵

检测的防护状态。

1．进入“系统>状态”。

2．点击系统资源栏中右上角的“历史记录”。

图3.5-1 系统资源使用历史记录举例

间隔选择显示历史记录的时间间隔。 CPU 占用率历史记录设定的间隔时间内的 CPU 占用情况。

内存占用率历史记录设定的间隔时间内的内存使用的历史记录。

3-16

Page 74

会话历史记录设定的间隔时间内的通讯会话的历史记录。

3.6 手工更新 US Service 定义

内容

在系统状态页面中的许可证栏，您可以更新 US Service-AV 与 US Service-入侵。

第 3 章系统状态

有关配置 ZXSEC US 设备进行自动 AV 与 IPS 定义更新的详细信息，参见 Service 中心”。

手工更新 US Service AV 定义

1．从中兴通讯公司下载最新的 AV 定义，并将其拷贝到您连接基于 web 管理

器所使用的计算机。

2．打开基于 web 的管理器，并进入“系统>状态”。

3．查看“许可证信息”栏目中的 US Service 订制的 AV 定义字段，点击“更新”。

弹出 AV 定义更新对话框。

4．在“更新文件”字段，输入 AV 定义更新文件的路径与文件名，或点击“浏览”

查找 AV 定义更新文件的存放地址。

5．点击 OK 确认将更新文件上传到 ZXSEC US 设备。ZXSEC US 设备更新 AV

定义文件。需要花费约 1 分钟的时间。

6．进入“系统>状态”确认 US Service AV 定义版本已经更新。

手工更新 US Service IPS 定义

“US

1．从中兴通讯公司下载最新的攻击定义更新文件，并将其拷贝到您连接基于

web

管理器所使用的计算机。

2．打开基于 web 的管理器，并进入“系统>状态”。

3．查看“许可证信息”栏目中的 US Service 订制的 IPS 定义字段，点击“更新”。

弹出 IPS 定义更新对话框。

4．在“更新文件”字段，输入 IPS 定义更新文件的路径与文件名，或点击“浏览”

查找 IPS 定义更新文件的存放地址。

5．点击 OK 确认将更新文件上传到 ZXSEC US 设备。

6． ZXSEC US 设备更新 IPS 定义文件。需要花费约 1 分钟的时间。

7．进入“系统>状态”确认 US Service IPS 定义版本已经更新。

3-17

Page 75

ZXSEC US 管理员手册

3.7 查看统计表

内容

系统状态统计列表提供有关通信会话、内容存档与网络防护活动的信息。

查看通信会话列表

1．进入“系统>状态”。

2．统计信息列表中，点击会话对应的“详情”进行查看。

图3.7-1 会话列表

虚拟域点击选择一个虚拟域，列出由该虚拟域处理的通信会话。该选项只有在启动多个虚拟域的情况下可用。更新会话列表。

刷新更新会话列表

显示开始行输入开始显示会话列表的列表行数。例如，如果共有 5 行会话列表，您输入 3，表示显示行数为开始为 3，接着行数为 4，5 的会话。

清除所有过滤器点击重设会话过滤器设置。源 IP 设置列表过滤的源 IP 地址。

协议连接的服务协议。例如 udp，tcp 或 icmp。

间隔选择显示历史记录的时间间隔。目的 IP

目的端口

源端口

设置列表过滤的目标

IP 地址。

设置列表过滤的目标端口。

设置列表过滤的

源端口

。

3-18

Page 76

第 3 章系统状态

策略 ID 允许会话通过的防火墙策略数量；如果通讯会话只涉及

一个 ZXSEC US 端口（如管理员会话），策略 ID 处显示为空白。删除图标，点击删除动态通信会话。

过期时间连接过期的时间（以秒计）。

删除图标停止活动的通信会话。您的访问权限必须是对系统配置能够执行读与写。

应用过滤确认列表过滤内容。

查看内容存档信息

从系统状态页面中的统计表信息栏，您可以查看通过 ZXSEC US 设备的 HTTP、邮件、FTP 与 IM 流量。您可点击“详情”查看每种流量类型的详细信息。

您可以点击统计信息栏目中“重设”清除内容存档信息与攻击日志信息，并将统计

信息归零。

查看存档的 HTTP 内容信息

1．进入“系统>状态”。

2．在“内容存档”，点击“详情”查看 HTTP 流量的详细信息。

日期与时间 IP 地址

访问的 URL 的

访问 URL

访问 URL 的

所访问的 URL。

时间。

IP 地址

。

查看存档的电子邮件内容信息

1．进入“系统>状态”。

2．在“内容存档”，点击“详情”查看电子邮件流量的详细信息。

图3.7-2 会话信息

日期与时间电子邮件通过 ZXSEC US 设备的时间。

发送端发件人的邮件地址。

3-19

Page 77

ZXSEC US 管理员手册

目的端收件人的邮件地址。

主题邮件的主题。查看存档的 FTP 内容信息

日期与时间访问的日期与时间。目的地址 FTP服务器的 IP 地址。用户登录 FTP 服务器的用户 ID。

下载被下载文件的名称。

上传上传文件的名称。查看存档的 IM 内容信息

1．进入“系统>状态”。

2．在“内容存档”，点击“详情”查看 FTP 流量的详细信息。

1．进入“系统>状态”。

2．在“内容存档”，点击“详情”查看 IM 流量的详细信息。

日期与时间访问的日期与时间。

协议

种类

本地地址

IM 会话使用的协议 IM 流量的种类

该流量处理的本地地址

。

远程地址该流量处理的远程地址。

方向文件是被发送货被接收。

查看攻击日志

从系统状态页面中的统计表信息栏，您可以查看 ZXSEC US 设备阻止的网络攻击。您可点击“详情”查看每项攻击的详细信息。

您可以点击统计信息栏目中“重设”清除内容存档信息与攻击日志信息，并将统计信息归零。

查看拦截的病毒信息

1．进入“系统>状态”。

2．在“攻击日志”中，点击“详情”查看 AV 信息。

3-20

Page 78

日期与时间检测到病毒的日期与时间。来自发件人的邮件地址或 IP 地址。

第 3 章系统状态

到达

目的接收人的邮件地址或 IP 地址。

服务

服务类型，如 POP 或 HTTP。

病毒

被检测到的病毒名称。

查看被屏蔽的攻击

1．进入“系统>状态”。

2．在“攻击日志”中，点击“详情”查看 IPS 信息。

日期与时间检测到攻击的日期与时间。

来自攻击的来源。

目标攻击针对的目标主机。

服务服务类型。

攻击被检测与阻止的攻击类型。查看垃圾邮件信息

1．进入“系统>状态”。

2．在“攻击日志”中，点击“详情”查看垃圾邮件信息。

日期与时间检测到垃圾邮件的日期与时间。收发件人 IP 地址发件人与收件人的 IP 地址。

收发件人邮件地址发件人与收件人的邮件地址。服务服务类型，如 SMTP、POP 或 IMAP。

垃圾邮件类型所检测到的垃圾邮件的类型。查看屏蔽的 URL

1．进入“系统>状态”。

2．在“攻击日志”中，点击“详情”查看屏蔽 URL 的信息。

日期与时间检测到试图访问的 URL 的时间。来自试图查看 URL 的主机。

3-21

Page 79

ZXSEC US 管理员手册

屏蔽的 URL 被屏蔽的 URL。

3-22

Page 80

4.1 概述

第4章系统虚拟域

描述

本章将对如何在 ZXSEC US 设备中配置并使用虚拟域，使 ZXSEC US 设备能够作

4.2 虚拟域

为多

个虚拟设备进行操作，对多个网络提供单独的防火墙与路由策略。

内容

本章内容如下：

内容页码

虚拟域

4.2节

4.3节

节

4.4

启动虚拟域

配置VDOM与全局配置

4-1 4-5 4-6

内容

虚拟域的设置可以使一台 ZXSEC US 设备能够根据服务商的管理安全服务对多重网络提供独立的防火墙与路由服务。

VDOM 提供独立的安全域，允许配置并管理单独的区域、用户验证、防火墙策

略、

路由与 VPN 配置。VDOM 的设置简化了配置，您不需要单独管理许多的路由与

防火墙策略。

启动虚拟域配置后，配置并使用 VDOM。

创建并配置 VDOM 时，必须对 VDOM 分配接口或 VLAN 子接口。或者，可以对配置的 VDOM 分配一个管理帐户，通过管理帐户登录 VDOM。如果 VDOM 是创建服务于一个机构，那么该机构可以单独的对该 VDOM 进行管理。对于每个 VDOM，可以应用不同的操作模式，NAT/路由或透明模式。

当一个数据包进入 ZXSEC US 设备中的一个虚拟域时，它将被限制在这个虚拟域中。在一个给定的域中，您只能够对 VLAN 子接口与区域之间的连接创建防火墙策略。数据包不能够跨越域的边界。数据包在 VDOM 之间穿越必须通过物理接口上设置的防火墙策略。然后数据包到达其他 VDOM 的不同接口，在进入该接口之

4-1

Page 81

ZXSEC US 管理员手册

前必须通过接口设置的防火墙策略。数据包穿越的 VDOM是创建在同一个 ZXSEC

US 设备中。唯一的例外是使用 CLI 命令可以配置 VDOM 间的路由。

ZXSEC US 设备的其他功能是可以进行全局配置的。这样的功能配置可以应用于

所

有的 VDOM。也就是说可以统一配置入侵防护、反病毒与 web 过滤配置等。同

样，VDOM 之间可以共享固件版本、反病毒与攻击数据库。

默认的情况下，ZXSEC US 设备最大支持应用于 NAT/路由或透明模式的 10 个 VDOM。

注意：

ZXSEC US350A 设备的交换模式不支持 VDOM。

虚拟域配置启动后，您可以使用默认的 admin 帐户登录，进入“系统>状态”页面，在许可证信息栏目查看 ZXSEC US 设备所支持的最大虚拟域应用数量。

默认情况下，每台 ZXSEC US 都设置了名为 root 的一个虚拟域。该虚拟域包括全

部

的 ZXSEC US 物理接口，VLAN 子接口，区域，防火墙策略，路由设置与 VPN 设

置。

SNMP、日志、警报邮件、基于 US SERVICE 中心的更新与基于 NTP 的时间设置

这样的管理系

统是使用管理 VDOM 中的地址与路由与外部网络通信。只能连接到

与管理虚拟域通信的网络资源。默认的管理虚拟域是根虚拟域，不能进行修改。

当您添加一个虚拟域时，您可以配置添加 VLAN 子接口，区域，防火墙策略，路由设置以及 VPN 设置。您也可以将 root 虚拟域的物理接口转移到其它虚拟域，或是将 VLAN 子接口从一个虚拟域中转移到另一个虚拟域中。

有关 VDOM 的详细信息，参见 ZXSEC US 设备 VLAN 与 VDOM 使用手册。

VDOM

配置设置

以下的配置设置必须是每个 VDOM 单独配置的，不能在 VDOM 之间共享。VDOM

的常规管理员只能查看其设置，默认的超级管理员能够访问这些设置，但是这之前，需要选择所要查看的 VDOM。

 系统设置

区域

4-2

Page 82

第 4 章系统虚拟域

DHCP 服务

操作模式（NAT/路由或透明）

管理 IP（透明模式）

 物理接口

VLAN 子接口

区域

管理 IP（透明模式）

 路由配置

 防火墙设置

策略

地址

服务组与用户定义服务

排程

IP 池

内容保护列表

 VPN 配置

IPSec

PPTP

SSL

 用户设置

用户

用户组

RADIUS 与 LDAP 服务器

微软 Windows 活动目录服务器

 P2P 统计表（查看/重设）

 日志配置，日志访问或日志报告

4-3

Page 83

ZXSEC US 管理员手册

全局配置设置

所有的虚拟域共享以下配置设置。即使您配置了多重虚拟域，配置以下设置的

法是不变的：

 设备配置

物理接口与 VLAN 子接口（每个物理或 VLAN 子接口只能属于一个

VDOM。每个 VDOM 也只能够配置属于自己的接口。）

DNS 设置

主机名称，系统时间，固件版本（在“系统状态”页面配置）

闲置与验证超时

基于 web 的管理器的现实语言

LCD 面板 PIN，适用范围

失效网关检测

HA 配置

方

SNMP 配置

替换信息设置

管理员设置（每个管理员只能属于一个 VDOM。各个 VDOM 也只能够被所属管理员进行配置。）

访问控制列表

USM 配置

配置备份与恢复

US SERVICE 中心更新配置

BUG 报告

 VPN 证书

 反病毒配置

 入侵防护配置

 web 过滤配置

 反垃圾邮件配置

4-4

Page 84

4.3 启动虚拟域

内容

使用默认的 admin 管理帐户，您可以配置 ZXSEC US 设备启动多个 VDOM 操作。启动虚拟域

第 4 章系统虚拟域

 IM 配置

 统计表设置

 用户列表与策略

1．使用 admin 帐户登录登录基于 web 的管理器。

2．进入“系统>状态”页面。

3．在系统信息栏中“虚拟域”设置，点击“启动”。

您登录的帐户自动退出。您可以使用 admin 再登录。

虚拟域启动后，基于 web 的管理器与 CLI 发生如下变化：

 全局配置与每个 VDOM 的配置相互独立。

 系统页面下出现新的 VDOM 条目。

 只有使用 admin 帐户能够查看或配置全局配置。

 Admin 帐户可以配置所有 VDOM 的配置。

 Admin 既可以从根 VDOM 下的任何接口连接也可以通过任何分配了常规

管理员的 VDOM 访问。

 常规管理员只能配置属于各自的 VDOM，也只能够从所属的 VDOM 的接口

登录访问 ZXSEC US 设备。

启动虚拟域后，您可以从屏幕左下方查看当前的虚拟域信息，显示格式为“当前拟域：虚拟域名称”。

配置虚拟域与全局设置

虚

虚拟域启动后，只有默认的超级管理员帐户能够进行以下配置：

 配置全局设置

 创建或删除 VDOM

4-5

Page 85

ZXSEC US 管理员手册

 配置多个 VDOM

 对 VDOM 分配接口

 对 VDOM 分配管理员

一个 VDOM 只有在包含至少两个物理接口或虚拟子接口分别用于向内与向外的流量时才是有用的。只有超级 admin 可以对 VDOM 分配接口或子接口。常规管理员可以在属于各个的 VDOM 的物理接口中创建一个 VLAN 子接口。

在没有对 VDOM 创建并分配常规管理员之前，只有超级管理员可以配置 VDOM。

只有超级管理员可以对 VDOM 分配管理员。对“管理员用户”具有读与写的访问权限时可以在所属的 VDOM 中创建额外的管理员。

4.4 配置 VDOM 与全局配置

内容启动 VDOM 与配置全局设置

在启动虚拟域的情况下以 admin 登录时，您将自动登录到全局配置，系统页面下将显示 VDOM 选项。

进入“系统>VDOM”，配置虚拟域。

图4.4-1 VDOM 列表

新建添加新的虚拟域。输入新的 VDOM 名称并点击 OK 确认。VDOM 的名称设置不能与现有的 VDOM，VLAN 或区域含空格的 11 个字符。

重名。VDOM 的名称最大可以设置不包

管理用于系统管理的虚拟域。管理虚拟域是加括号标示的。默认的管理 VDOM 是根虚拟域。如果在设置管理虚拟域时选择了不止一个虚拟域，第一个出

现在列表中的

VDOM 将被分配作为管理虚拟域。

删除

删除所选的 VDOM。根虚拟域不能被删除。

4-6

Page 86

第 4 章系统虚拟域

切换

点击进入所选虚拟域。

您可以从屏幕左下方查看当前的虚拟域信息，显

示格式为“当前虚拟域：虚拟域名称”。全局设置显示的屏幕下在该位置则没有 VDOM 名称显示。

名称 VDOM 的名称。

操作模式 VDOM 的操作模式，NAT 或透明模式。

接口与 VDOM 连接的接口，包括虚拟接口。

管理虚拟域显示管理虚拟域。所有非管理虚拟域在本栏中均会显示为“非（NO）”。

在虚拟域中添加 VDOM

一个虚拟域必须包含至少两个接口，可以是物理接口也可以是 VLAN 接口。默认

情况下，所有的物理接口都属于根虚拟域。

在 USOS v3.0 MR1 中。VDOM 间的路由功能可以在不使用物理接口的情况下在 VDOM 之间进行内部通信。VDOM 间通信的功能只能通过 CLI 配置，详细信息参见 ZXSEC US 设备 CLI 使用参考手册与 ZXSEC US 设备 VLAN 与 VDOM 配置手册。

相比较物理接口，VLAN 子接口常常需要被分配到不同的 VDOM。这种情况下，超级管理员必须先创建 VDOM，然后创建 VLAN 子接口并将其分配到所需的 VDOM。

只有在全局设置下，进入“系统>网络>接口”项下进行接口配置，该操作在任何 VDOM 都不可用。有关创建 VLAN 子接口的详细信息，参见“添加 VLAN 子接口”。

分配接口到 VDOM

以下操作是有关如何将现有的接口重新从一个虚拟域中分配到其他虚拟域中。

假设前提是启动了虚拟域且设置了不止一个虚拟域。

如果虚拟域应用了任何配置，则不可以被删除；例如 VDOM 中含有接口。如果 VDOM 中的接口应用了以下配置，则不能被删除：

 DHCP 服务器

 区域

 路由

在

 防火墙策略

4-7

Page 87

ZXSEC US 管理员手册

在删除接口之前，需要删除或修改接口的衣裳配置。

接口或子接口中删除图标显示可用时，接口或子接口可以被重新分配或删除。没有显示可删除图标，表示接口在应用其他配置。

分配接口到虚拟域

 IP 池

 代理 arp（只能使用 CLI 访问）

注意：

1．使用 admin 帐户登录。

2．进入系统>网络>接口。

3．选择准备分配的接口，点击“编辑”接口。

4．选择接口所要移动到的目标虚拟域。

5．根据需要配置其他配置并点击 OK 确认。

接口转移到虚拟域中。对接口设置的防火墙 IP 池域虚拟 IP 将被删除。您应该手动

删除接口包含的任何路由，并对接口创建新的路由。否则您的流量将不能够正常的进行路由。

分配管理员到 VDOM

如果您对一个机构或公司创建了虚拟域，用于管理该机构的网络资源，您需要同时创建属于该 VDON 的虚拟域。

创建属于一个 VDOM 的管理员可以更改所属虚拟域的配置，但不能配置能够影响 ZXSEC US 设备中其他 VDOM 的设置。

分配到 VDOM 的常规管理员只能使用属于该 VDOM 接口登录基于 web 管理器或

CLI。超级管理员可以从 ZXSEC US 设备中任何允许管理访问的接口连接到基于 web 的管理器或 CLI。只有超级管理员或根虚拟域的常规管理员 ton 通过连接控制

接口登录。分配管理员到 VDOM

1．使用超级管理员帐户登录。虚拟域必须已启动。

2．进入“系统>Admin>管理员”。

4-8

Page 88

第 4 章系统虚拟域

3．创建和/或配置新的管理员帐户。有关配置管理员帐户的其他信息，参见“配

置管理员帐户”。

4．配置该管理员帐户时，从虚拟域列表中选择该管理员所属的虚拟域。

5．点击“应用”确定。

更改管理

US 设备的管理虚拟域是一些默认的流量类型发出的窗口，所述这些类型的

括：

 SNMP  日志流量

 警报邮件

 基于 US SERVICE 中心更新

 基于 NTP 的时间设置

VDOM

流量包

在更改管理 VDOM 之前，确定虚拟域已经启动。

ZXSEC US 设备中只能设置存在一个管理 VDOM。如果您在设置管理 VDOM 时选择了不止一个 VDOM，那么位于列表顶端的 VDOM 将成为管理 VDOM。

注意：

任何管理员正在使用 RADIUS 验证期间，不能更改管理 VDOM。

更改管理 VDOM

1．进入“系统>VDOM”。

2．选择作为管理 VDOM 的虚拟域。

3．点击“管理”应用设置更改。

管理流量将通过新的管理 VDOM 发出。

4-9

Page 89

Page 90

5.1 概述

第5章网络配置

描述

设置系统网络是指怎样将 US 设备配置到网络中作为防火墙设备生效。基本的网络设置包括配置 ZXSEC US 设备的接口与您的网络连接，以及配置

ZXSEC US 的

DNS 设置。更多高级的配置包括在设备网络配置中添加 VLAN 子接口与区域。

 接口

 区域

 网络选项

 路由表（透明模式）

 配置调制解调器接口

 VLAN 概述

 NAT/路由模式下配置 VLAN

 透明模式下配置 VLAN

 US Ipv6 支持

注意：

在相同字段，您可以输入 IP 地址与掩码，掩码可以使用简短形式。例如，

192.168.1.100/255.255.255.0 也可以输入为 192.168.1.100/24。

接口

NAT/路由模式下，进入“系统>网络配置>接口”，配置 ZXSEC US 接口。您可

 修改物理接口的配置。

 添加并配置 VLAN 子接口。

 配置 ADSL 接口。

 将几个物理接口聚合成为一个 IEEE802.3AD 接口只适用于 ZXSEC US1300

5-1

以：

Page 91

ZXSEC US 管理员手册

以及更高型号设备）。

 配置物理接口作为冗余接口。

 查看回环与 VDOM 间的链接接口。

注意：

本章节中，除非另有注明，所述接口指 ZXSEC US 设备的物理接口或

口。

VLAN 子接

有关透明模式下配置 VLAN 的详细信息，参见“ZXSEC US 设备与配置 VLAN”。

图5.1-1 接口列表（常规管理员所查看）

图5.1-2 启动虚拟域后的接口列表显示（超级管理员查看）

新建点击“新建”创建一个 VLAN。型号为 800 或更高的设备，您还能够创建一个 IEEE802.AD 聚合接口。

5-2

Page 92

第 5 章网络配置

交换模式点击在交换模式与接口模式之间切换。交换模式下所有的内部接口都集

中在一个接口中。接口模式下，每个接口都配置了所属的接口。切换模式之前，所有对“内部接口”的配置都需要删除。该选项只适用于 Rev2.0 或更高的 US180 与 US350 设备。

显示背板接口点击使两个背板接口成为可见接口 port9 与 port10。接口可见后可以如同常规物理接口一样操作。该选项只适用于 US9000 系列的设备。

描述图标点击该图标显示接口的“描述”字段。

名称 ZXSEC US 设备中物理接口名称显示，包括接口所配置的别名。

物理接口的名称与数量是由 ZXSEC US 设备的型号决定的。一些接口的名称指示了接口默认的功能（例如，内部接口、外部接口与 DMZ）其他接口的名称是通用的，如 port1。

ZXSEC US1300 或更高型号的设备中，如果您配置将几个接口作为聚合

接口，接口列表中只显示聚合接口，并不一一显示组成聚合接口的各个接口。这样的规则同样适用于冗余接口。参见“创建 802.3AD 聚合接口” 与“创建冗余接口”。

对于应用于交换模式下的 ZXSEC US350A，port1 到 port26 是不显示这些都是交换-VLAN 接口。参见“查看交换-VLAN 端口”。

的。

如果您添加了 VLAN 子接口，这些子接口也会在名称列表中被添加的 ZXSEC US 设备物理接口后中列出。参见“VLAN 概述”。

如果配置了回环或 VDOM 间的接口，您可以在列表中查看到所配置的接口。这样类型的接口只有使用 CLI

进行编辑。有关这些接口的详细信息，

参见“需使用 CLI 才可配置的接口”章节，或参见 ZXSEC US 设备 CLI 使用参考手册中对命令 config system interface与 config system inter-vdom的叙述。

如果启动了虚拟域配置，在不适用超级管理员帐户登录的情况下，

可以查看当前虚拟域中的接口。

您只

如果对 Rev.2.0 或更高版本的 ZXSEC US180 或 US350 或 ZXSEC US120 与 ZXSEC US120W 设备启动了接口模式，您将查看到多个内部接口。

如果切换到交换模式，便只有一个内部接口。

5-3

Page 93

ZXSEC US 管理员手册

如果您使用的 ZXSEC US 设备支持 AMC 模块以及您已经安装了 AMC 模块，那么该模式中的接口，如 USASM-FB4 具有 4 个接口，将被添加在接口列表中并显示。这些 AMC 的接口依次命名为 AMC/1，AMC/2 等。

IP/掩码地址当前接口的 IP/掩码地址。

虚拟域点击虚拟域显示添加到该虚拟域上的所有接口。只有在您添加了虚拟域后，该操作才有效。

访问权限接口的管理访问配置。有关管理访问选项的信息，参见“控制到接口的管理访问”。

状态接口的管理状态。如果管理状态呈绿色箭头表示接口已经激活能够接收网络通讯。如果管理状态呈红色箭头表示接口不能接收网络通讯数据。点击“发起” 或“关闭”可以更改管理状态。删除，编辑与查看图标。

交换模式

ZXSEC US180，US350 设备中的内部接口是四个接口的交换。通常情况下，内部

接口配置作为一个能够被四个接口共享的接口。应用于交换模式，您可以配置交换机上配置每个接口与交换机本身的接口相互独立。ZXSEC US120 与

US120W 的内部接口是 6 端口的交换机模式，功能相同。

ZXSEC

交换模式功能体现在两个方面：交换模式与接口模式。交换模式是默认的模式，

只有一个接口应用于整个内部信息交换。接口模式下，可以单独配置每个内部交换接口。那么，便可以对每个内部接口分配不同的子网与掩码。

交换模式只能应用在 Rev.2.0 与更高级别的 ZXSEC US180 与 US350 设备。有关交换模式功能被支持的最新的设备型号列表，参见 ZXSEC US 设备发布说明。

打开“系统>网络>接口”，可以进入“交换模式管理”页面，配置交换模式。

警告：

在进行交换模式与接口模式之间相互切换的操作之前，接口所配置的设置必须删除。这样的设置包括：防火墙策略、路由、DNS 转发、DHCP服务、VDOM接口分配、VLAN

应用。如果不删除这些设置便不能执行模式的切换，强制执行后将弹出错误信息提示。

交换模式点击切换到交换模式。该模式下只显示一个内部接口。

5-4

Page 94

第 5 章网络配置

接口模式点击切换到接口模式。交换机的所有内部接口均显示作为可单独配置的接口。

确认点击保存设置更改并返回接口界面。

取消点击取消设置更改并返回接口界面。使用 CLI 配置交换模式

除了 GUI 界面中配置管理交换模式，还可以使用 CLI 命令对该功能进行配置：

config system global

set internal-switch-mode {interface | switch}

end

如同在 GUI 配置，模式切换之前需要先删除接口的配置，否则操作中将弹出错误信息提示。在您删除接口的设置后，ZXSEC US 设备将重新启动并进入新的交换模式。

详细信息，参见 ZXSEC US 设备 CLI 使用参考手册中有关命令 config system global

的叙述。

接口设置进入“系统>网络>接口”。点击“新建”创建新的接口。对现有接口进行编辑时，

点击接口对应的编辑图标。一些类型的接口，例如回环与 VDOM 间的接口只能够使用 CLI 命令进行配置。

该页面下，您不能创建虚拟 IPSec 接口，但是您可以指定 IPSec 接口的终端地址，启动接口的管理访问并对接口进行描述。更多信息，参见“配置虚拟 IPSec 接口”。

配置交换模式下的 ZXSEC US350A 设备的交换接口，参见“配置交换-VLAN 接口”。

图5.1-3 创建新的接口设置

5-5

Page 95

ZXSEC US 管理员手册

图5.1-4 编辑接口设置

名称接口的名称。现有接口的名称不能更改。

别名输入对接口设置的其他名称。设置别名是为了容易识别不

名设置只能应用于还没有配置名称的物理接

别名不是接口名称的一部分，但是会在接口名称旁边，加

符。

不显示别名。

口。别名的最大设置长度为 15 个字

同的接口。别

括弧显示。日志中

类型在 ZXSEC US1300 或该型号以上的设备，您可以创建 VLAN，802.3AD

聚合接口以及冗余接口。

 其他型号的设备只支持创建 VLAN 接口，且没有类型字段设置。  配置 VLAN 接口的详细信息，参见“配置 VLAN 接口”章节的叙述。

 配置聚合接口的详细信息，参见“配置聚合接口”章节的叙述。

 配置冗余接口的详细信息，参见“配置冗余接口”章节的叙述。

 配置无线接口的详细信息，参见“配置无线接口”章节的叙述。

现有接口的类型不能更改。接口点击接口的名称添加到接口的 VLAN 子接口。所有的 VLAN 子接口必须

与物理接口建立连接。连接建立后，在接口的列表中显示的物理接口后边列出

5-6

Page 96

第 5 章网络配置

VLAN 子接口名称。现有接口的 VLAN 子接口不能更改，将类型设置为 VLAN

不显示该字段。物理接口成员将接口从可用接口列表中移动到被选接口列表，用于创建802.3AD

聚合接口或冗余接口。当接口类型设置为802.3AD聚合或冗余接口时，不显示该字段。

时，

VLAN ID 输入的VLAN ID需要与该VLAN子接口接收数据包的VLAN ID相匹

配。您不能够更改现有的VLAN子接口的VLAN ID。寻址模式选择“手工”配置接口使用静态 IP 地址。您也可以对接口配置使用动态 IP

地址。虚拟域选择虚拟域添加到该虚拟域的接口或 VLAN 子接口。如果您添加了虚拟

域，该操作才能够生效。

IP/掩码

子网。两个接口不能设置在相同子网的IP地址。该字段只有在寻址模式设置为手工时可用。点击该选项对接口配置动态DDNS服务。

输入IP地址与子网掩码。设置的IP地址与接口连接的网络必须在相同的

DDNSPing 服务器选择虚拟域添加到该虚拟域的接口或 VLAN 子接口。如果

您添加了虚拟域，该操作才能够生效。

管理访问设置接口管理访问类型。

HTTPS PING 通过该接口允许到基于 web 管理器安全的 HTTPS 连接。如需

要该接口对 ping 命令作出响应。使用该设置校正安装并可用于检测。

HTTP 通过该接口允许到基于web管理器安全的HTTP连接。HTTP并不安全并且

可以被第三方截取。

通过该接口允许要 CLI 的 SSH 连接。

SSH SNMP 通过连接到该接口允许远程 SNMP 管理器请求 SNMP 信息。

TELNET 通过该接口允许到 CLI 的 Telnet 连接。Telnetl 连接并不安全并且容易被

第三方截取。更改 MTU，点击“代理默认 MTU 值（1500）”并根据接口的寻址模式输入 MTU 容量。

MTU

静态模式设置为 68 到 1500 字节。手动与 DHCP 寻址模式设置为 576 到 1500 字节。 PPPoE 寻址模式 MTU 容量可以设置为 576 到 1492 字节。

5-7

Page 97

ZXSEC US 管理员手册

对于巨帧（US6010 以及该型号以上的设备），最大可以设置为 16110 字

节。

该字段只有在物理接口下可用。VLAN 将默认继承其所属接口的 MTU 容量。

二级 IP 点击接口对应的蓝色箭头扩展或隐藏接口的其他 IP 地址选

地址项。描述可选项，输入最多 63 个字符的描述信息。

注意：

透明模式下，如果更改一个接口的 MTU，必须更改所有接口的 MTU 与新的 MUT 相匹配。

创建

802.3AD

聚合接口

您可以将两个或多个物理接口聚合（结合）增加带宽并提供一些链接冗余。设置

聚合接口的优点在于增加了带宽，但是相比较冗余接口存在更多的潜在故障点。所聚合的接口必须连接在相同的下一跳路由目标。

ZXSEC US1300 以及更高型号的设备固件对于链接聚合执行 IEEE 802.3AD 标准。

接口只有在以下情况下可以用于聚合接口：

 物理接口，且不是 VLAN 接口。

 没有作为聚合或冗余接口的一部分。

 在相同的 VDOM 作为被聚合的接口。

 没有配置 IP 地址，且没有设置应用 DHCP 或 PPPoE 的接口。

 没有应用 DHCP 服务器或中继的接口。

 没有设置任何 VLAN 的接口。

 没有配置应用任何防火墙策略、VIP、IP 池或多播策略的接口。

 非 HA 心跳接口。

 非 US9000 系列设备中的背板接口。

5-8

Page 98

第 5 章网络配置

注意：

在您将加速接口（FA2 接口）添加到聚合链接时，便抵消了接口的加速功能。例如，聚合两个加速接口将导致比两个接口单独使用时更慢的吞吐量。

如何接口被征用于聚合接口，该接口将不在“系统>网络>接口”页面的列表中显示。用于聚合接口中的接口将不能再配置防火墙策略、VIP、IP 池或路由。

图5.1-5 802.3AD 聚合接口设置

创建 802.3AD 聚合接口

1．进入“系统>网络>接口”。

2．点击“新建”。

3．输入聚合接口的名称。接口的名称不能与任何其他接口、区域或 VDOM 重

名。

5-9

Page 99

ZXSEC US 管理员手册

4．从“类型”列表中，选择 802.3AD 聚合。

5．同时，从可用接口列表中选择配置组成聚合接口的接口，点击方向箭头移

动到所选接口列表中。

6．如果该接口应用于 NAT/路由模式，您需要对接口配置寻址模式。有关动态

寻址的详细信息，参见“配置接口应用 DHCP”与“配置接口应用 PPPoE 与

7．根据需要配置其他选项。

8．点击 OK 确认。

5.2 配置冗余接口

内容

您可以将两个或多个物理接口结合提供链接冗余。该功能允许您连接到两个或更多的交换机，在发生物理接口或与接口连接的设备故障时保证连接性。

冗余链接不同于聚合链接，任何时间内流量只经过一个接口（无论冗余链接中有多少流量），但是冗余接口允许更巩固的配置减少故障点。这对于全网状 HA 配置很重要。

ZXSEC US1300 以及更高型号的设备可以应用冗余接口。

接口可以配置作为冗余接口的条件是：

 物理接口，且不是 VLAN 接口。

PPPoA”。

 没有作为聚合或冗余接口的一部分。

 在相同的 VDOM 作为被聚合的接口。

 没有配置 IP 地址，且没有设置应用 DHCP 或 PPPoE 的接口。

 没有应用 DHCP 服务器或中继的接口。

 没有设置任何 VLAN 的接口。

 没有配置应用任何防火墙策略、VIP、IP 池或多播策略的接口。

 没有被 HA 监控的接口。

如何接口被征用于冗余接口，该接口将不在“系统>网络>接口”页面的列表中显示。用于冗余接口中的接口将不能再配置防火墙策略、VIP、IP 池或路由。

5-10

Page 100

第 5 章网络配置

图5.2-1 冗余接口设置

1．进入“系统>网络>接口”。

2．点击“新建”。

3．输入冗余接口的名称。接口的名称不能与任何其他接口、区域或 VDOM 重

名。

4．从“类型”列表中，选择冗余接口。

5．同时，从可用接口列表中选择配置组成冗余接口的接口，点击方向箭头移

动到所选接口列表中。您从可用接口列表选择接口的顺序将在所选接口列

表中体现。例如，如果接口列表中第一个接口故障，第二个接口将接续被使用。

6．如果该接口应用于 NAT/路由模式，您需要对接口配置寻址模式。有关动态

寻址的详细信息，参见“配置接口应用 DHCP”与“配置接口应用 PPPoE 与 PPPoA”。

5-11

ZTE ZXSEC US User Manual

1.1 概述

1.2 该版本中的更新内容

1.3 关于 ZXSEC US 病毒防火墙

1.4 关于本手册

1.5 客户服务与技术支持

2.1 概述

第2章 基于 web 的管理器

2.2 按钮栏功能

2.3 基于 web 管理器的页面

3.1 概述

第3章 系统状态

3.2 系统状态

3.3 更改系统信息

3.4 更改 ZXSEC US 设备固件

3.5 查看设备运行记录

3.6 手工更新 US Service 定义

3.7 查看统计表

4.1 概述

第4章 系统虚拟域

4.2 虚拟域

4.3 启动虚拟域

4.4 配置 VDOM 与全局配置

5.1 概述

第5章 网络配置

5.2 配置冗余接口

第2章基于 web 的管理器

第3章系统状态

第4章系统虚拟域

第5章网络配置