- 1.如何终结垃圾邮件(二) - 人工智能垃圾邮件预测机制:灰名单(Grey List)
-
-
- 答案:
- SV3500内建最新的人工智能垃圾邮件预测机制:灰名单(Grey List)透过此机制可立即拒绝大量垃圾邮件发送者信件,节省以往必需收下垃圾邮件后再经由垃圾信过滤扫瞄方式处理之时效,除可快速拒绝垃圾信藉以大幅提升垃圾邮件的判断准确率外亦可有效提升网络邮件频宽使用。灰名单(Grey List) 此规范主要是针对广告信业者或站台大量寄送信件时不断改变寄件者账号及对无法顺利联机之收件者账号不会再重复寄送的特征方式下产生的新规范技术。主要的概念是Spamer透过名字库大量发送垃圾邮件,在数量过多及名单不确定下,通常Spamer 所用的MTA (Mail Transfer Agent)寄信之后就不管远方的mail server是否收到它所寄的信,对于寄信失败(第一次寄信会被SV中断)后也不会再重送,但是正常的mail server使用标准的MTA如果它寄信之后发生错误,它会继续的寄这封信一直到远方的mail server收到了这一封信。SV3000启用此机制前会预先整理用户的收送者名单列表,并产生一份该用户环境的客户名单,启用后对于原客户名单不会造成影响,信件则透过原来垃圾信过滤扫瞄方式处理,但对于新客户信件则立即启用人工智能垃圾邮件预测机制来预先隔离大量垃圾邮件发送者信件,通过后之信件才会再透过原来垃圾信过滤扫瞄方式处理,并不会影响正常新客户之信件送收。按照测试的结果Grey list可以拦截60%以上的spam。其余40%才需要由SV设备其它的机制去处理,如Finger Print等,有效降低处理时间及提升设备效能。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 2.SSL VPN 的设定与使用方式
-
-
- 答案:
- 1、设备端,启动 WEB VPN,并设定以下信息:
用户IP范围:须与内部网络不同
加密算法:3DES 或其它
通讯协议:TCP
服务器埠号:1194
认证用户或群组:先至认证表中建立用户账号完成后再于此选项中指定用户或群组。目前除支持设备本身所建立的认证账号,还可使用如POP3、LDAP、Radius ......等服务器上原有用户认证方式。
2、服务器端内部子网络->新增
将允许 SSL VPN 用户连入后使用的主机或网段于此指定。
ex. 192.168.0.0/255.255.0.0 表示可以使用 192.168.xx.xx 范围之内部网段,61.1.1.5 /255.255.255.255 表示可以使用 DMZ 区此台真实 IP 主机。
3、确定设备的WebUI 启动https。
用户如何连入:
开启IE,在网址打入SV3000的WAN IP及WebVPN网页,ex :SV3000 WAN IP 是61.1.1.1,那么WebVPN为http://61.1.1.1/webvpn
4、如第一次使用,会要求安装Sun的Java程序,安装完成后就可联机使用,随即出现安全性警讯窗口,请按 [是(Y)]。(这是SSL加密认证提示)
5、出现SSL VPN登入账号后,输入正确之账号后即完成联机。
6、开启欲使用的软件服务,如ERP、telnet、ftp……
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 3.综合SSL VPN的优点
-
-
- 答案:
- 1、简单容易,适合远程用户使用,减少设定维护成本。
2、SSL VPN会增加VPN tunnel的路由表到远程用户,所以VPN Client用户一般上网还是走原来的路径,只有要到VPN Server端才走VPN,因此使用SSLVPN后会发现 MSN、Skype......等并不会断线,又可以使用VPN。
3、使用PPTP或IPSec联机,所有线路都会被修改走VPN,所以很多原来的软件应用会被导到VPN Server端而断线。
4、Low Cost for Abocom Products。
5、友旺提供的SSL VPN服务可以支持大部份软件应用服务,且不需要事先建立服务项目。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 4.目前有三台PC,并且已经将频宽设定完成。如果要再更改其中一台PC的频宽, 如何更改? 我尝试修改设定, 但输入完成后没有发现“确定”按钮,所以一直无法更新输入的设定烦请告知如何操作?
-
-
- 5.我要设定每人都有相同保证频宽,可否只在「频宽表」内设定一份规则,然后在「管制条例」的「内部对外部」中对每一个条例套用此「频宽表」?还是得每人设一份频宽表的规则?
-
-
- 6.我是学生宿舍业者,我想使用频宽管理器MH550来限制每个学生的频宽使用以避免有人大量下载时会影响整个宿舍其它人无法使用网络。目前的环境如下:
-
-
- 答案:
- 有两种设定方式 第一种:直接于管制条例限制群组用户中每个 IP 的上传与下载最大频宽,以避免单一用户将频宽占满,并简化设定。
适用机型 -> MH350( 必须最新版Firmware V1.30 )以上型号及SV系列
设定方式:
假设以每人最高下载频宽为256 Kbps,上传频宽为64 Kbps为例。
设定内至外管制条例 (只需要设定一条管制条例,若你的设备有多条例,建议每条例都要设定最大频宽值)
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 Any
管制动作,允许
最多联机数 不限制
每个来源IP最大频宽 下载频宽 256 Kbps 上传频宽 64 Kbps
这样就完成设定及限制。
第二种:使用频宽表方式
假设以平均方式来分配每个人的使用频宽,那么平均每个人的保证频宽为每路150K/38K,最大频宽维持512K/128K,当网络没有其它“保证频宽”使用时,就可以允许使用到最大频宽。
适用机型 -> 本范例适合之产品包括MH550、BM550、MH350及BM200及1000以上之产品型号。
设定步骤如下:
1、设定DHCP自动分配IP给内部用户,可依实际使用人数发放,进入管理接口 ->系统管理 -> DHCP
勾选 -> 启动DHCP服务器
用户IP地址范围 xxx.xxx.xxx.10 到 xxx.xxx.xxx. 20 ( xxx代表你实际的内部网段IP)
2、设定“地址表”->“内部网络”,以建立每一用户的基本数据:
名称:std1 ( 自行设定名称)
IP:192.168.1.10
子网掩码:255.255.255.255 (单一台计算机要使用4个255)
MAC地址:填入使用计算机的网卡卡号 (如无必要,可以不填此项,否则用户无法更换网卡)
从防火墙取得固定IP地址 ->勾选,如未限制网卡卡号则此项不必勾选
名称:std2
IP:192.168.1.11
子网掩码:255.255.255.255 (单一台计算机要使用4个255)
MAC地址:填入使用计算机的网卡卡号(如无必要,可以不填此项,否则用户无法更换网卡)
从防火墙取得固定IP地址 ->勾选,如未限制网卡卡号则此项不必勾选
依序建立std3......std10 共 10 笔记录
3、设定频宽表
保证服务的频宽:
名称:std1_bm
外部网络接口 1
下载频宽:保证频宽 150 kbps,最大频宽 512 kbps
上传频宽:保证频宽 38 kbps,最大频宽 128kbps
外部网络接口 2
下载频宽:保证频宽 150 kbps,最大频宽 512 kbps
上传频宽:保证频宽 38 kbps,最大频宽 128 kbps
名称:std2_bm
外部网络接口 1
下载频宽:保证频宽 150 kbps,最大频宽 512 kbps
上传频宽:保证频宽 38 kbps,最大频宽 128 kbps
外部网络接口 2
下载频宽:保证频宽 150 kbps,最大频宽 512 kbps
上传频宽:保证频宽 38 kbps,最大频宽 128 kbps
依序建立 std3......std10 共10笔记录
4、设定内至外管制条例:
第1条:
来源网络地址 std1
目的网络地址 Outside_Any
服务名称 Any
管制动作,允许
最多联机数 500 -->避免用户使用过多 P2P 联机,参考附注1说明。
频宽管理 std1_bm
第2条:
来源网络地址 std2
目的网络地址 Outside_Any
服务名称 Any
管制动作,允许
最多联机数 500
频宽管理 std2_bm
第10条:
来源网络地址 std10
目的网络地址 Outside_Any
服务名称 Any
管制动作,允许
最多联机数 500
频宽管理 std10_bm
这样就完成整个频宽管制的设定,并且可以限制每个人的使用量(150K/38K)以避免大量下载影响他人。同时如果在线没有其它用户,那么还是可以用到每路最大频宽(512K/128K)。
另外由于每台计算机的IP已经指定网卡卡号(MAC Address) ,因此自行更改IP地址的计算机将无法上网使用。
由于上述范例已经在地址表指定每一用户数据,并且在管制条例中只选择这些特别用户允许上网,至于其它没有选用的IP用户自然是禁止使用Internet的!
附注1:限制用户的最多联机数量不可过小,若限制数目太小,用户开启的联机数超过,就会无法新增联机,会造成网页无法开启及不顺的现象。合理联机数约为300 ~ 500之间或先不限制,等用户使用稳定后再去做一些限制。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 7.利用MH200 虚拟服务器做Server Load Balance 范例:
-
-
- 答案:
- 假设我们需要建立同一网址的多台Web服务器。
网址:www.abc.com.tw IP:61.11.11.12 内部有4台WEB Server,虚拟IP分别为192.168.1.100,192.168.1.101,192.168.1.102,192.168.1.103
在MH200 设定步骤:
步骤一:
设定“虚拟服务器”:
虚拟服务器1 (61.11.11.12) ->服务名称(埠号) HTTP(80) ,192.168.1.100,192.168.1.101,192.168.1.102,192.168.1.103
步骤二:设定“外至内管制条例”:
来源网络地址 Outside_Any
目的网络地址 Virtual Server 1(61.11.11.12)
服务名称 HTTP(80)
管制动作 允许
经过这样的动作就完成了。
当 Internet 使用者进入 www.abc.com.tw (61.11.11.12)时,会依序下列顺序进入到服务器
第一位使用者进入192.168.1.100 服务器 权重设定为1 (系统内定)
第二位使用者进入192.168.1.101 服务器 权重设定为1
第三位使用者进入192.168.1.102 服务器 权重设定为1
第四位使用者进入192.168.1.103 服务器 权重设定为1 (循环权重均已分配完毕)
第五位使用者进入192.168.1.100 服务器 权重设定为1 (重新循环分配权重)
第六位使用者进入192.168.1.101 服务器 权重设定为1
第七位使用者进入192.168.1.102 服务器 权重设定为1
第八位使用者进入192.168.1.103 服务器 权重设定为1
.......
如果此时有其中 Server 故障,那么 MH200 循环分配将自动排除此主机,达到主机无中断服务! - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 8.虚拟服务器-IP对映与虚拟服务器(1-4)有何分别?
-
-
- 答案:
- 本公司因近来有server load balance之需求,不过对于该系列产品中所提供之load balance功能尚有一疑问:当该机担任load balance时,所使用分散负载之真实server若有任何一部因故中断服务,该机有办法辨认状况,并将服务自动转至其它未故障之server吗?
虚拟服务器和IP对映是因NAT转换机制而产生IP地址对映方式,他们是运用于【管制条例】中【外部至内部网络】的管制条例,虚拟服务器和IP对映两者功能相当类似,都是以真实IP地址对映到私有IP地址(虚拟服务器做 Port 对映)实际的服务器是放在私有IP地址上,但是它们之间仍有些差异性存在:
1、虚拟服务器址只对映内部实际服务器某一种服务项目(Port 对映),而IP对映则对映到实际服务器所有服务(Port 1~65535)。
例如我申请一个IP(61.1.1.1),使用“虚拟服务器”可以将不同服务Port 转给不同 Server,以方便服务器的弹性管理,如
61.1.1.1 Port 80 --> 192.168.1.100 (web Server)
61.1.1.1 Port 20,21 -->192.168.1.101 (ftp server)
61.1.1.1 Port 25,110 -->192.168.1.102 (mail server)
......
但使用“IP对映”,61.1.1.1 -->192.168.1.100 ,则所有的服务Port(Port 1 ~ 65535)只能转给一台Server了。
2、虚拟服务器有负载平衡(Load Balance)功能,将服务的联机对映到不同的服务器主机,IP对映只能对映到一台内部服务器。
虚拟服务器拥有一项特色,一对多的对映功能,即一个外部接口的虚拟服务器IP地址可对映到四部提供相同服务的内部网络服务器的私有IP地址,因虚拟服务器提供负载平衡(Load Balance)功能,可将寻求服务的联机,依权值比重分配给内部网络的服务器群组,如此可减少服务器的负载,降低当机的风险,提高服务器的工作效率。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 9.我使用双向512 的ADSL,请问 MH350 该如何设定才能保证WEB,Mail 的使用不被 E-DONKEY 的上传频宽给占满无法使用? 我想给平常使用的服务(Web、mail、dns)预留312 K,并将 eDomkey 及其它服务限制于200K 以内。
-
-
- 答案:
- 由于eDonkey 会自行变换服务Port,因此无法确实锁住eDonkey 的Port,必须使用反向设定方式,也就是先将允许使用保证频宽的服务(例如 Web、Mail、DNS......)设定服务群组,并给予保证频宽 312 K 及最大频宽512K。
那么eDonkey 及其它服务的使用就会被限制在 200K 以内,当网络没有其它“保证频宽”使用时,才会用到 512K 的最大频宽。
设定步骤如下:
1、设定允许使用保证频宽的服务群组:
Allowed_service : HTTP(web),DNS,SMTP(送 Mail) ,POP3 (收Mail)
2、设定频宽表:
保证服务的频宽:
名称:normal_bm
下载频宽:保证频宽 312 kbps ,最大频宽 512 kbps
上传频宽:保证频宽 312 kbps ,最大频宽 512 kbps
优先权: 高
其它服务的频宽:
名称:other_bm
下载频宽:保证频宽 200 kbps ,最大频宽 512 kbps
上传频宽:保证频宽 200 kbps ,最大频宽 512 kbps
优先权: 低
3、设定内至外管制条例:
第1条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 Allowed_service
管制动作,允许
频宽管理 normal_bm
第2条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 Any
管制动作,允许
频宽管理 other_bm
这样就完成整个频宽管制的设定.
附注:本范例适合之产品包括 MH550、BM550、MH350 及 BM200 及1000 以上之产品型号。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 10.我们公司想禁止用户下载大型档案,如语音,影像类型或是rar、zip、exe......等档案,该如何设定?
-
-
- 答案:
- MH350及550系列以上产品型号可以提供WEB TCP 80 Port(包括web mail)及FTP Port的档案下载管制功能,步骤是:
1、内容管制 -> 档案下载
勾选你要管制的语音与影像类型及其它扩展名,如要管制所有下载档案,请勾选“全部类型” ->确定2、管制条例(此范例为Outgoing,如实际用户在DMZ,请于DMZ to WAN设定)
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
流量监控 开启
流量统计 开启
内容管制 Download->确定 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 11.我使用MH2400,目前想开放主管可以使用MSN,其它员工是禁止的,请问如何设定?
-
-
- 答案:
- 1、设定“地址表”->“内部网络”,以建立每一用户的基本数据:
名称:mgr1
IP:192.168.1.101
子网掩码:255.255.255.255 (单一台计算机要使用4 个255)
MAC 地址:填入使用计算机的网卡卡号,以避免其它员工修改IP冒充使用
从防火墙取得固定IP地址 ->如使用 DHCP 分配 IP 则勾选
名称:mgr2
IP:192.168.1.102
子网掩码:255.255.255.255 (单一台计算机要使用 4 个 255)
MAC 地址:填入使用计算机的网卡卡号
从防火墙取得固定IP地址 ->勾选
依序建立主管mgr1、mger2.....记录
2、设定“地址表”->“内部网络群组”,以建立主管群组数据。
Manager:mgr1、mgr2......3、设定内至外管制条例:
第一条
来源网络地址 Manager
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
流量监控 开启
流量统计 开启
内容管制 不勾选 msn
第二条
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
流量监控 开启
流量统计 开启
内容管制 勾选 msn
Manager 的管制必须置于第一条优先位置.
如果有其它管制条例,请一律要勾选管制 MSN,以避免漏网的条件。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 12.內容管制功能如何使用?
-
-
- 答案:
- 一般传统防火墙对于IM实时通讯(Skype、ICQ、QQ、Yahoo Messanger......)及P2P点对点下载软件(eDonkey、BT、WinMX)的阻挡方式是以过滤Port方式,然而这些软件本身可以透过自动更改Port号方式逃避传统防火墙规范。
通常MSN、Yahoo Messager......等Insatnt Messanger会使用特定TCP Port(如 Yahoo messager TCP 5101埠)倾听peer-to-peer requests,使用者可对此设定防火墙来限制 TCP 埠对内对外的通讯。然而,因为 Yahoo Messager URI 可以内嵌在网页或电子邮件讯息内,因此对 TCP 5101 埠的限制并不能完全解决问题,还必须过滤网页及电子邮件内的“ymsgr:” URI handler才可以有效过滤,同理MSN也是可以透过HTTP、HTTPS......已经开启的服务Port出去,因此防火墙功能必须比对数据内容才可以完全过滤。
友旺MH550/BM550/FW550以上产品已经针对此类IM(Instant Messanger)讯息、MSN、MSN Over HTTP、MSN Over SOCKS、Yahoo Messager、ICQ、QQ......提供行为模式过滤,有别于一般传统防火墙过滤Port方式,让用户再也无法透过更改Port(埠号)方式来使用IM及P2P软件。
使用方式:
使用BM550的“内容管制”功能,步骤如下:内容管制的功能必须先至选项中选取相关的细项,然后再到管制条例去启动。
例如我想管制所以用户使用eDonkey及MSN,步骤是:1、内容管制 -> P2P ->勾选 eDonkey
IM -> 勾选 MSN 实时通讯 ->确定2、管制条例
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
流量监控
流量统计
内容管制 => 开启 ->确定启用内容管制后,对于使用此服务的新用户可以立即生效,但对于内容管制启用前的用户则必须待其联机(Session) 结束后重新再使用时才会管制生效。
例如原有一用户正使用MSN服务,这时BM550启动MSN的内容管制并无法对此用户产生限制,而必须等此用户注销后,再重新登入时才会生效禁止。
一般传统防火墙对于IM实时通讯(Skype、ICQ、QQ、Yahoo Messanger......)及P2P点对点下载软件(eDonkey、BT、WinMX)的阻挡方式是以过滤Port方式,然而这些软件本身可以透过自动更改Port号方式逃避传统防火墙规范。通常MSN、Yahoo Messager......等Insatnt Messanger会使用特定TCP Port(如 Yahoo messager TCP 5101埠)倾听peer-to-peer requests,使用者可对此设定防火墙来限制 TCP 埠对内对外的通讯。然而,因为 Yahoo Messager URI 可以内嵌在网页或电子邮件讯息内,因此对 TCP 5101 埠的限制并不能完全解决问题,还必须过滤网页及电子邮件内的“ymsgr:” URI handler才可以有效过滤,同理MSN也是可以透过HTTP、HTTPS......已经开启的服务Port出去,因此防火墙功能必须比对数据内容才可以完全过滤。
友旺MH550/BM550/FW550以上产品已经针对此类IM(Instant Messanger)讯息、MSN、MSN Over HTTP、MSN Over SOCKS、Yahoo Messager、ICQ、QQ......提供行为模式过滤,有别于一般传统防火墙过滤Port方式,让用户再也无法透过更改Port(埠号)方式来使用IM及P2P软件。
使用方式:
使用BM550的“内容管制”功能,步骤如下:内容管制的功能必须先至选项中选取相关的细项,然后再到管制条例去启动。
例如我想管制所以用户使用eDonkey及MSN,步骤是:1、内容管制 -> P2P ->勾选 eDonkey
IM -> 勾选 MSN 实时通讯 ->确定2、管制条例
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
流量监控
流量统计
内容管制 => 开启 ->确定启用内容管制后,对于使用此服务的新用户可以立即生效,但对于内容管制启用前的用户则必须待其联机(Session) 结束后重新再使用时才会管制生效。
例如原有一用户正使用MSN服务,这时BM550启动MSN的内容管制并无法对此用户产生限制,而必须等此用户注销后,再重新登入时才会生效禁止。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 13.MH产品有几种负载均衡方式?
-
-
- 答案:
- MH系列不论外部网络的负载平衡模式采用何种方式都是先以Session 联机为基础,再配合其它排列方式。
建议还是直接采用预设的自动分配方式就可以了。
频宽分配先以优先权判断,再依下列规则分配:
1、自动分配(Auto):依连线状况系统自动分配对外频宽,适用于一般用户,使其达到最佳化。
2、循环分配(Round-Robin):强制「饱和联机数」以1:1比例分配对外频宽,适用于两条对外频宽相同用户。
说明:若同时有数个sessions要连出,系统将强制分配成等比例自动连出。
3、依照联机数(By Session):依照系统设定「饱和联机数」比例强制分配频宽。
例如系统依你的实际频宽测出目前的饱和联机比是5:1,那么系统持续计算欲连出的Session量后,强制分配成5:1,并分别由WAN1、WAN2连出。
4、依照封包数(By Package):以封包为单位,依照系统设定「饱和联机数」比例分配频宽。
例如系统依你的实际频宽测出目前的饱和联机比是4:3,系统持续计算欲连出的Package量后,强制分配成4:3,并分别由WAN1、WAN2连出。
5、依照流量分配 (By Traffic):以Byte为单位,依照系统设定「饱和联机数」比例分配频宽。
例如系统依你的实际频宽测出目前的饱和联机比是9:2,系统持续计算欲连出的Traffic 量(Byte) 后,强制分配成 9:2,并分别由WAN1、WAN2连出。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 14.使用MH2000的机型,如果不想让没有设定在位置表里面的内部网络里面的IP上网该怎么设定呢?
-
-
- 答案:
- 管制条例的使用如同写程序般,而且由上往下执行。因此你需要写一个这样的 Policy:
IF Source Address = Group1 then Accept to access internet , Else Drop it !! 而 Group1 就始你所允许的所有 IP 地址。
于 MH2000 内至外管制条例的写法是 ==>
此例可以使用管制概念配合“地址表”及“群组”应用。
设定步骤如下:
1、设定“地址表”->“内部网络”,以建立每一用户的基本数据:
名称emp1
IP:192.168.1.101
子网掩码:255.255.255.255 (单一台计算机要使用4个255)
MAC地址:填入使用计算机的网卡卡号(看你要不要锁定网卡,以避免用户自行更改 IP)
从防火墙取得固定IP地址->勾选 (如果用户的IP是透过DHCP自动取得,则勾选)
名称:emp2
IP:192.168.1.102
子网掩码:255.255.255.255 (单一台计算机要使用4个255)
MAC地址:填入使用计算机的网卡卡号
从防火墙取得固定IP地址 ->勾选
依序建立员工 emp3......emp xx 记录。
2、设定“地址表”->“内部网络群组”,以建立员工群组数据。
Employee:emp1,emp2......
3、设定内至外管制条例:
第一条:
来源网络地址 Employee
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
只要一条管制这样就可以完成你所需要的Policy !
任何员工只要更改IP,就会无法上网,因为防火墙会检查每一用户的IP及卡号是否你所指定的!!
千万不要多加其它管制条,例如 ==>
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口允许,所有外部网络接口
这样会造成上一条例管制失效!! - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 15.我想在星期一至星期五早上9:00-12:00,星期一至星期五下午13:30-18:00 禁止所有用户使用网络联外,但可以使用e-mail收信及寄信且需要在星期一至星期五12:00-13:30,星期一至星期五18:00-隔天9:00,星期六日可以使用网络,不知排程表及管制条例如何设定?
-
-
- 答案:
- 管制条例的写法有如程序语言,主要是由地址表,排程表及服务表这几个组件来完成。
以MH200为例,
Step1、先设定排程表:
Schedule_morning :星期一至星期五早上9:00-12:00
Schedule_afternoon:星期一至星期五下午13:30-18:00
Step2、设定欲管制开放的服务群组:
Allowed_service:SMTP(送Mail),POP3 (收Mail),DNS(网域名称解析)
Step3、设定内至外管制条例:
第1条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 Allowed_service
管制动作,外部网络端口 允许,所有外部网络接口
自动排程 Schedule_morning
第2条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 Allowed_service
管制动作,外部网络端口 允许,所有外部网络接口
自动排程 Schedule_afternoon
第3条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 拒绝
自动排程 Schedule_morning
第4条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 拒绝
自动排程 Schedule_afternoon
第5条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
自动排程 None
管制条例的顺序是由第一条依序往下执行的,所以顺序不可以任意调换! - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 16.因疑似中毒的计算机从管制条例中deny,但用户自行改IP又继续使用,是否可将该网卡直接挡掉。
-
-
- 17.是否可以限制某使用者,只能上某网站,其它网站皆都不能上?
-
-
- 答案:
- 例如只允许内部计算机192.168.1.2只能使用www.abc.com.tw,其IP为200.1.1.100。 设定步骤:步骤1:
设定“地址表”->“内部网络”,以建立每一用户的基本数据:
名称:emp1 (自己定义名称)
IP:192.168.1.2
子网掩码:255.255.255.255 (单一台计算机要使用4 个255)
MAC地址:填入使用计算机的网卡卡号
从防火墙取得固定IP地址 ->勾选
到“地址表”->外部网络 ->新增
名称: abc (自己定义名称)
IP: 200.1.1.100 (假设的IP)
Mask: 255.255.255.255 (单独一台网站要4个255)
步骤2:设定内至外管制条例:
第1条:
来源网络地址 emp1
目的网络地址 abc
服务名称 HTTP
管制动作,外部网络端口 允许,所有外部网络接口
第2条:
来源网络地址 emp1
目的网络地址 Outside_Any
服务名称 HTTP
管制动作,外部网络端口 禁止
第3条:
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 Any
管制动作,外部网络端口 允许,所有外部网络接口
管制条例的顺序是由第一条依序往下执行的,所以顺序不可以任意调换! - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 18.我是一所高中学校的老师,由于有的老师上课时会发现学生偷玩online game,而且是使用Port 80,如何管制呢?
-
-
- 答案:
- 如果Game也是用Port 80,就要想其它方式去“阻挡”,这些方式不外乎“目的地址”或“内容管制”、“网站管制”等。
例如:学生会到game.com网站玩,那么MH2000的设定:
到“地址表”->外部网络 ->新增
名称:game_com
IP: 200.1.1.100 (假设的 IP)
Mask: 255.255.255.255 (单独一台网站要 4 个 255 )
设定内至外管制条例:
第1条:
来源网络地址 Inside_Any
目的网络地址 game_com
服务名称 HTTP
管制动作,外部网络端口 禁止
这样就可以直接禁止用户去联机此 Game 网站! - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 19.请问一下MH550可否限制内部网络联外网页的位置?譬如我只开放yahoo可以上,其它网页皆不行连?
-
-
- 答案:
- 1、我们的 Firewall 产品有一项“内容管制”的功能,可以在“网站管制”去设定,例如:
设一条: ~yahoo 或 ~tw.yahoo.com
第二条: *
~ 表示开放,* 表示所有禁止
这样就只开放yahoo可以上,其它网页皆不行连。
若只管制特定网站,则请直接打入欲管制网站网址(不要加入http:// 符号),例如 tw.yahoo.com,www.hinet.net......等。
2、管制条例--内部至外部设定
来源网络地址 Inside_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
流量监控 开启
流量统计 开启
内容管制 开启
->确定
详细的使用方式请参考使用手册的说明,谢谢!
使用管制条例范例:
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 20.如何将MH与FW的LOG进行备份?
-
-
- 答案:
- Q:我想将MH200的封包记录(Log)完整保留下来,以备将来查询,请问该如何做?
A:MH及FW系列产品提供监控记录(Log)备份的方式有两个方式:
进入管理接口 -> 监控记录 -> 监控备份
1、使用 Email 方式寄送
当勾选“启动电子邮寄监控记录” 监控记录档案到达300Kbytes时,设备降自动邮寄监控记录给指定的管理者,使用此功能请先启动电子邮件警讯通知功能。
2、使用 Log Server
此功能需要配合Log Server的使用,请先购买友旺NetCops网络监控及管理软件。安装于你的计算机上,并执行 NetCops 程序。
在MH200 的设定,勾选“启动远程记录”,并填入:
远程记录主机IP :安装 NetCops 软件的计算机 IP 地址
远程记录主机Port:514 (log Server 的预设 Port)
确定后你就可以在NetCops Log Server上不断的记录MH200所有Log,并提供在线实时与历史流量报表分析,以让管理者充分了解目前及过去企业整体网际宽带之负载与流量频宽使用情形,以做为网际频宽规划与效率提升之参考。
Product Features
*GUI Based Traffic & SysLog Manager :支持Win98、Me、NT、Win2000、Win XP作业平台,可中文或英文版本切换;
*针对特定IP、群组等区段进行监控与流量分析;
*提供实时、每日、每周、每月、每年之各类网络协议分布、使用量排名等图形化分析报告;
*提供Host、Protocol、矩阵(Matrix)等TopN流量分析报告;
*提供实时流量监控,并可随时依时段选择年、月、日、时、分、秒查询历史流量报表;
*可同时接受至2台以上本地与远程AboCom宽带网络设备的记录文件信息分析纪录;
*具有“实时”及选择“储存档案”方式来显示及分析任何一台监控设备的数据;
*提供图形方式显示网络架构,方便网管人员管理及监控;
*Health & Trap:提供设备健康记录及用户计算机执行多联机软件或瘫痪型网络病毒侦测警告通知;
*提供目的IP网址名称转译。
附注说明: NetCops 软件的版权属于友旺科技。所有的版权使用请参考其说明,谢谢!
NetCops 相关产品讯息
http://www.aboway.com.tw/product_detail.php?id=93
NetCops 产品型录下载 (pdf 档案) - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 21.如何使用控制台进行恢愎出厂设置?
-
-
- 答案:
- FW1000、MH2000、BM2000 机架型设备必须由Console Port执行Reset动作来回复密码及出厂设定。
需求设备:
DB-9 Serial cable,母对母(出货时所附)
具有RS-232 Port的计算机
步骤如下:
1、Connect serial cable from FW/MH/BM Console port to PC serial port(COM)
2、Go to Start->Program->Accessories->Communication->HyperTerminal. Run HyperTerminal, and set the COM port as 9600 bps and NO flow control
3、Power on Your FW/MH/BM Device. You will see some strings displayed on HyperTerminal screen. After power on selftest, you will see the login menu.
4、键入 Login name 及 Password ,分别为
FW1000 -->Login name: firewall , password: firewall
MH2000 -->Login name: multihoming , password: multihoming
BM2000 -->Login name: bandwidth , password: bandwidth
SV3000 -->Login name: mailsecurity , password: mailsecurity
CR2000 -->Login name: itsecurity , password: itsecurity
按Enter后就可进入Command模式。
5、进Console 后先打?号,有Password Recover的指令可以将密码回复至出厂值。
如果想将所有设定清除(包括密码),请打入“Reset”指令后按“Enter”就可回复至出厂值。
Reset后同时也会将所有设定清除所以必须重新设定你的设备! - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 22.测试联机IP地址本身有问题或不稳定?
-
- 答案:
- 选用其它ISP Server做为测试,例如原来用Seednet IP做测试,可试看改用Hinet DNS是否改善。
-
- 23.频宽的使用很高,造成多路设备ping的封包遗失或延长?
-
- 答案:
- 如果disconnect及connected的内容发现其间隔很近,那么就可能不是真正的线路断,这时建议将测试间隔时间加大就可以减少测试时的误差,例如WAN 1的测试时间改为 5 秒以上。
-
- 24.我在WAN1接cable,今晚不幸地断讯,所有计算机就连不出去。WAN2的ADSL是正常的,但是在系统状态中(MH200),反复按更新网页,发现WAN2会时通时不通,不论我在外部网络的负载模式是选自动分配还是依照联机数,都一样。是否有那个地方没设定好,让WAN2的ADSL无法正常接替WAN1的Cable联机?
-
-
- 答案:
- MH200在外部网络接口地址的设定有一项“测试联机IP地址”,请务必填入ISP 的IP Address。
MH200判断WAN线路是否正常主要是对WAN Port所设定的“测试联机IP地址”做连续ping的动作,如果连续5~6个ping packet losted,就会判定是断线,然后会将此线路的联机全部移到另一条正常的WAN Port。
例如将ping的“每次传送封包间隔”设为30秒,那么断线时会须要150秒左右MH200 才知道,也就是线路切换时间约150~180秒,就要视你的环境可不可接受了。
当然啦,设4或5秒除了可避免线路拥塞引起误判影响正常使用外,20~25秒的线路切换时间也是大家比较能接受的。
如果你无法确定“测试联机IP地址”,请直接使用Hinet 168.95.1.1就可以了。
MH550/MH2000于新版Firmware提供以DNS协议测试WAN Port线路是否正常,这是为避免有些ISP会阻挡ICMP封包而导致无法测试。DNS 测试使用方式为:
1、服务:DNS;
2、DNS服务器IP地址:填入ISP的DNS Server IP或直接使用Hinet 168.95.1.1;
3、网域名称:填入你想查询的网址,以便测试WAN Port线路是否可正确至DNS Server 查询,例如tw.yahoo.com;
4、每次传送封包间隔?秒:如上篇说明。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 25.我们公司已经有Firewall,目前所使用的线路频宽不足,想申请多条线路并使用MH2400,请问如何与目前的环境整合?
-
-
- 答案:
- MH2400多路功能可以很容易将线路整合(最多4 路),透过DMZ透明模式(Transparent Mode),轻松将Firewall不需做任何修改直接接于MH2400 DMZ Port,就完成整合了。 MH2400设定步骤:
1、依照所申请的线路,依序将每条线路设定完成。由于WAN Port需要使用一个IP,所以每条线路必须保留一IP给MH2400 WAN Port使用。
若使用ADSL PPPoE 拨号方式则依申请之账号及密码设定完成即可,不限是否固定IP。
2、MH2400 管制条例设定
管制条例>非军事区至外部
来源网络地址 DMZ_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
管制条例 > 外部至非军事区
来源网络地址 Outside_Any
目的网络地址 DMZ_Any
服务名称 ANY
管制动作,外部网络端口 允许
3、异常流量IP > 设定,开启中毒IP阻挡功能及其它攻击阻挡 ==> 此功能先不要勾选。
因为此时所有 DMZ 端用户都是透过 Firewall 的 IP 上网,若流量过大会被侦测到异常。
4、将Firewall的Untrust (internet)Port接于MH2400 DMZ Port。
经以上步骤后即完成整合,此时MH2400仅提供WAN Port线路多路应用整合,所有内部用户管制依旧于此Firewall上执行。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 26.我的Server 使用此透明架构,并使用WAN1网段IP地址,若我的WAN2申请另一路ADSL,请问Server会使用此WAN2频宽吗?
-
-
- 答案:
- Ans: 会的,DMZ端的Server除了使用自己的WAN网段IP外,当Server使用WAN2出去时,会将原WAN1网段IP改为WAN2 Port的真实IP(由MH/SV设备做NAT转址方式) ,因此外部所看到的IP是WAN2 Port IP。
由于会多路使用的特性,若你是Mail Server时,请记得将SMTP服务强制使用MX所记录的WAN Port,这样才不会因为使用其它WAN Port造成IP与DNS MX记录不同而被对方Mail Server退信。
例如mail Domain的MX为abc.com.tw,IP61.1.1.3
管制条例 > 非军事区至外部
第一条
来源网络地址 mail
目的网络地址 Outside_Any
服务名称 SMTP
管制动作,外 部网络端口 允许,外部网络接口1
第二条
来源网络地址 DMZ_Any
目的网络地址 Outside_Any
服务名称 ANY
管制动作,外部网络端口 允许,所有外部网络接口
这样就能确保Mail Server透过WAN1寄信。同样条例顺序SMTP必须在前。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 27.请问什么是DMZ 透明模式(可否举例说明) ?
-
-
- 答案:
- 实体DMZ Port主要是放置Server及想使用实体IP的设备(如Voip Gateway.....),放在DMZ Port有几个考虑:
1、除了可以管制外面用户,同时也可以管制内部用户任意连接Server;
2、使用实体IP对Server的设定可以免除修改(如果使用NAT要改IP);
3、实体联机较易区分,减少与内部相同网段的Broacast封包影响。至于安全性应该比放在Internal Port更安全的。另外别忘了MH2000还有频宽管理的功能喔,特别是多用户单位,这个功能特别重要的,以避免不当的下载将整个网络速度拉下来。
DMZ透明模式(Transparent Mode) 表示DMZ Port与WAN Port之间是相同网段,DMZ用户直接使用WAN Port网段IP沟通,而非一般的路由或NAT方式必须使用不同IP网段。
举例说明:
如果我申请的IP是61.1.1.2 ~ 61.1.1.6,原本只有一台CAS2080分享器(61.1.1.6) 给大家使用NAT方式上网,Web Server使用实体IP 61.1.1.2完全没有防火墙保护。在此环境下,我想改用MH2000做Firewall,并多申请一条PPPoE ADSL。此例的做法将MH2000的WAN1 IP设成 61.1.1.6,WAN2接PPPoE拨接 ADSL,然后将DMZ Port设成透明模式(Transparent),直接将WEB Server(61.1.1.2) 放在 DMZ Port完全不必更改Server IP就完成整个网络整合了,而且61.1.1.3~5 的IP还可以让其它需要实体IP的计算机直接接于DMZ端来使用(接一HUB或Switch于DMZ Port)。
请留意Server还是使用实体IP喔,你也许会怀疑是否有防火墙保护,当然是有啦,因为你还是要到管制条例去设定你想开放给Server使用的Port。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 28.如何防范ARP病毒攻击?
-
-
- 答案:
- 一、于用户计算机端
最简单的解决的方式就是将其网关的MAC Address在计算机上直接设定成静态ARP即可。
Add a Static Entry,Gateway IP Address : 192.168.1.1 MAC Address : 00-12-34-56-78-9a
指令如下:
arp -s 192.168.1.1 00-12-34-56-78-9a
上述指令必须先查出Gateway或Firewall的MAC address,若使用Abocom Gateway产品,请于支持Static Arp功能版本,直接下载程序于计算机执行即可。
二、于Abocom Gateway产品端
1、先指定每台计算机固定的IP&卡号
2、在ARP表中,启动Static Arp功能
如此就可避免用户的IP& MAC卡号被错误更新,造成问题。
当所有用户都设定为Static ARP后,有新的计算机用户上线,ARP 数据依然可以自动被学习加入Firewall设备内ARP表,在转成Staitc ARP前请确定其正确性。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 29.Arp 攻击的原理
-
-
- 答案:
- 网络的通讯必须使用网址与IP,透过IP与Route路由协议可以很快找到希望通信的双方主机,这些网络协议在tcp/ip协议中里是属于第3层以上的协议,实际的封包传送必须透过第2层的MAC地址来传送,因此任何必须传送数据的计算机或设备其本身必须使用ARP协议,去找到网络上相关网关IP的MAC地址以及本地(Local)端IP的MAC 地址,并且每经过一段时间会自动去更新,存放IP与MAC对应信息的表称为ARP Table。
Arp攻击的病毒软件即是利用ARP查询时,提供自己的MAC地址,造成部份计算机的ARP表错误,同时也会造成Gateway上的ARP表产生多台相同的MAC地址。
另一攻击方式是伪造错误的网关地址。ARP攻击者首先建立一个假的网关,只要有计算机询问网关的ARP封包,它就会打自己伪造的MAC地址发给请求主机,让计算机收到错误的MAC地址,被它欺骗的主机会向假的网关发送数据包,而不是通过正常的路由(Firewall) 途径上网。对PC使用者而言,造成网络无法正常使用现象。
为了进一步确认,我们可以透过查询ARP表来判断。
输入ARP -a 命令,
C:\WINDOWS>arp -a
若是网关IP所显示的MAC地址错误,就是这样的状况。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 30.我公司有一all的群组用户,可以用此账号发信给全公司,为避免其它人任意使用,公司要求只有老板及MIS主管可以发信给all账号,请问如何设定管理条例?
-
-
- 答案:
- 假设老板账号是boss@domain.com.tw及MIS主管mis@domain.com.tw,建立规则如下:
邮件 存盘 / 稽核 > 稽核,新增条例
规则一,允许老板寄送给所有人规则名称 : boss to all ( 自己定义一相关名称 )组合方式 : AND ( 表示以下条件必须完全符合 )处置方式 : 发送规则内容项目 —— 条件 —— 邮件特征
To —— Contains —— all@domain.com.tw =>下一列
From —— Contains —— boss@domain.com.tw => 确定
规则二,允许MIS 主管寄送给all
规则名称 : mis to all ( 自己定义一相关名称 )
组合方式 : AND ( 表示以下条件必须完全符合 )
处置方式 : 发送
规则内容
项目 —— 条件 —— 邮件特征
To —— Contains ——all@domain.com.tw =>下一列
From—— Contains —— mis@domain.com.tw => 确定
规则三,其它禁止寄送给 all
规则名称 : deny all ( 自己定义一相关名称 )
组合方式 : AND ( 表示以下条件必须完全符合 )
处置方式 : 删除
规则内容
项目 —— 条件 —— 邮件特征
To —— Contains —— all@domain.com.tw =>确定
以上规则有顺序要求,由上往下执行比对,因此规则三必须置于最后。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 31.我们公司常有人喜欢转寄一些影片给许多好友,常常造成上班时间Mail系统繁忙,影响正常邮件的使用,请问如何使用MG2400邮件稽核控管?
-
-
- 答案:
- MG2400可以提供“延迟寄信”功能,我们可以设定一个延迟寄信时间(如下班后), 并将这些大量发送或是特大附件信件延至该时间发送,以避免影响其它重要邮件收发。
设定步骤如下:
1、延迟寄信时间
邮件存盘 / 稽核 > 设定,邮件延迟设定
延迟邮件传送时间:17:00 ( 设定于下班时间)
2、设定大量发送或是特大附件( 超过 100 MByte )
邮件存盘 / 稽核 > 稽核 , 新增条例
规则名称 : delay ( 自己定义一相关名称 )
组合方式 : Or ( 表示以下条件是任一符合即可 )
处置方式 : 延迟
规则内容
项目 —— 条件 —— 邮件特征To ——More Than —— 15 (当收件者超过15人时)
Size(KBytes) ——More Than ——100000 ( 或是内容大于100 MByte) => 确定
以上条例是由两个条件做Or的结合就可完成以上要求。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 32.如何有效阻挡P2P软件?
-
-
- 答案:
- P2P下载(Peer- to- Peer),所有企业网管人员最困扰的问题之一。员工们利用它下载私人、违法等文件,导致企业网络资源因此消耗殆尽。想要阻挡企业员工使用P2P 软件,却又因为P2P下载可任意变换传输服务埠,导致一般防火墙毫无用武之地。 为了协助企业管理P2P下载泛滥之问题,台湾知名上市科技公司——ABOCOM 在其多功能UTM与负载平衡器的P2P管理功能中陆续加入了近年来流行的数十种P2P软件(eDonkey、Bit Torrent、WinMX、Foxy等)之阻挡。当然也包含了中国地区目前最为流行,并近年来有快速蔓延至世界各国的“迅雷5(Thunder 5)”。“ 迅雷5” 并非单纯之P2P下载软件——它可支持的下载类型有HTTP、FTP以及BT。当使用者透过“迅雷5”下载某网站之HTTP、FTP文件时,“迅雷5”会将文件数据传送到“迅雷5服务器”(上传的数据除了文件连结之外,使用者的私人账号、密码也一并被上传,变成所有“迅雷5”用户共享),并从中寻找和这个文件相同的其它链接。这些连结包括其它 HTTP、FTP 网站服务器和所有“ 迅雷5” 使用者的计算机。这也就是说,使用者在使用“迅雷5”下载文件时,除了从原网站下载文件之外,也会「盗连」至其它网站下载,甚至是从其它“迅雷5”使用者的计算机下载文件!!这也就是为甚么使用“迅雷5”下载文件会如此快速,一些失效的链接也能下载,也为甚么企业网络资源被占用殆尽(计算机只要启用“迅雷5”,计算机里的文件也会自动「分享」给其它“迅雷5”用户)。至于BT这一部份,“ 迅雷” 也整合了BT******方式。但与一般BT不同的是,下载的同时并不仅仅只有使用BT协议进行传输,也利用迅雷服务器所提供“资源” 以UDP协议与其它端点作传输,所以仅阻挡******是无法完全阻止“迅雷5”的运作。由此可知“迅雷”充分利用了各种网络资源以达到高速下载之目的。不过也因这些种种传输模式,造成用户在不知情的情况下成为迅雷的资源,变成企业网络之负担。面对此企业带宽与信息安全威胁,ABOCOM多功能UTM(SV系列)与负载平衡器(MH系列)均提供最完整的防护机制防堵企业员工滥用“迅雷5”。针对“迅雷5”的各种下载类型,AboCom提供了三道防护措施以达到完整的防堵“迅雷5”:1、在Policy Object > IM / P2P Blocking > Setting 设定阻挡『Thunder 5』。这个设定可阻挡“ 迅雷5” 联机到“迅雷服务器” 。无论想阻挡“迅雷” 使用什么方式传输,都必须选用该设定。2、在Policy Object > IM / P2P Blocking > Setting 设定阻挡BT,再搭配前项设定即可挡住“迅雷5”以BT方******文件。3、在Policy Object > Content Blocking > Download(以及Upload)设定阻挡所有文件传输,再搭配第一项的设定就能挡住“迅雷5”透过FTP及HTTP的方式下载文件。设定完成上述的三道防护措施务必要将它套用至管制条例中方可正常禁止企业员工透过“迅雷5”下载文件,还给企业畅通无阻的网络带宽。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 33.IPhone 如何与Abocom Push Mail完美结合?
-
-
- 答案:
- 在Iphone上实现Push Mail功能,一直是Iphone用户比较关注的话题,在之前的1.*的版本中此功能一直无法正常使用。升级到2.2版本后,在IPhone上就可轻松实现其PUSH的功能了。 所谓Push Mail,就是说邮件服务器便会主动将新邮件“推”到使用者的手机上,就像短信一样方便。不仅让使用者实时取回信件、大大提升办事效率,且可减少手机联机上网的电力消耗,也让网络数据封包的传输费用大为节省。想要使用IPHONE 的Push Mail 功能,这里面有2个关键因素,第一是使用者的所使用的邮件服务器必须要支持此Push功能,第二是用户的手机必须要支持IMAP协议才行。因此除了需要在Web Mail 接口上设定 Push Mail 规则之外,也需要在手机上设定 Push Mail 相关联机信息,下面就以AboCom MG2450邮件服务器结合IPhone 2.2版本来给大家做一个详细说明。第一步, 确保手机可以连接上网确保IPHONE可以通过EDGE/GPRS/3G/WI-FI等各种功能上网。IPHONE上网设置的具体步骤及方法相信大家都会使用,在此略过。第二步, 确保IPHONE手机邮箱设置正确图一 设置账户 图二 选IMAP账户,在帐号后增加.pmail图三 SMTP服务器 图四 SMTP服务器详细设置图五 获取新数据方式 图六 打开推送功能图七 获取新数据 图八 获取数据模式选择“获取”第三 确保邮件服务器支持PUSH MAIL功能图九 PUSH MAIL个人规则设置图十 在MG个人Web Mail界面如何使用Push Mail的详细使用说明图十一 当在Iphone上正确设置完成后,将在MG邮件服务器上显示当前使用Push mail用户的详情,很直观哦。图十二 当收到MG2450推送过来的新邮件时,IPhone会自动产生提示(声音或震动)至此,IPhone与MG2450的相关使用及设置就大功告成!科技为生活服务,快去体验您的Push Mail带给您的快捷商务生活吧。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 34.公司突然无法上网,设备也突然进不去了?
-
-
- 35.最近一段时间我们感觉网络总是时断时续,不知道是什么原因?
-
-
- 36.使用友旺设备后,公司网络反而变慢了?
-
- 答案:
- 确认反馈信息,如果是使用P2P、下载等运用,检查设备策略是否做了相关限制,并检查设备即时流量,查看是否存在大流量行为。
-
- 37.客户反应使用我们设备后,不能使用公司原有的VPN客户端连接总部?
-
- 答案:
- 首先检查网络是否正常,然后检查设备相关条例是否占用了VPN所使用的端口,再向客户确定本地网段和公司总部的网段是否冲突。
-
- 38.CR旁挂实现方法及配置
-
-
- 答案:
- 在核心交换机上的设置入下:1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 (基于CLI)以下命令配置端口监听:port monitor例如,F0/1和F0/2、F0/3同属VLAN1,F0/1监听F0/2、F0/3端口:interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/3port monitor VLAN1验证方法:show monitor session 1或者show monitor session all2、Catalyst 4000,5000 and 6000系列交换机端口监听配置 (基于IOS)以下命令配置端口监听:set span例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,set span 1/1,1/3-5 1/2在CR上设置如下:在CR上的设置就只需要把“网络配置模式”改变成Sniffer即可。在物理连接上,需把CR的Port2接入核心交换机作为是管理端口;把Port1接入核心交换机作为镜像端口。华为交换机端口镜像:一、说明『环境配置参数』1.PC1接在交换机E0/1端口,IP地址1.1.1.1/242.PC2接在交换机E0/2端口,IP地址2.2.2.2/243.E0/24为交换机上行端口4.Server接在交换机E0/8端口,该端口作为镜像端口『组网需求』1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。2.按照镜像的不同方式进行配置:1) 基于端口的镜像2) 基于流的镜像二、 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1.配置镜像(观测)端口[SwitchA]monitor-port e0/82.配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1.可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1.假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口,对输入和输出的数据分别镜像1.设置E1/0/15和E2/0/0为镜像(观测)端口[SwitchA] port monitor ethernet 1/0/152.设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】〖基于三层流的镜像〗1.定义一条扩展访问控制列表[SwitchA]acl num 1002.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 04.将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-to ip-group 100 interface e0/8〖基于二层流的镜像〗1.定义一个ACL[SwitchA]acl num 2002.定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/23.定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/14.将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-to link-group 200 interface e0/8【5516/6506/6503/6506R】目前该三款产品支持对入端口流量进行镜像1.定义镜像端口[SwitchA]monitor-port Ethernet 3/0/22.定义被镜像端口[SwitchA]mirroring-port Ethernet 3/0/1 inbound【补充说明】1.镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现2.8016支持跨单板端口镜像三、 测试验证在观测端口上通过工具软件可以看到被镜像端口的相应的报文,可以进行流量观测或者故障定位。H3C交换机端口镜像:一、端口镜像概念:
Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。
二、端口镜像配置
『环境配置参数』
1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24
2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24
3. E0/24为交换机上行端口
4. Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2. 按照镜像的不同方式进行配置:
1) 基于端口的镜像
2) 基于流的镜像
2 数据配置步骤
『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
方法二
1. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
【8016交换机端口镜像配置】
1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/15
2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1. 设置E1/0/15和E2/0/0为镜像(观测)端口
[SwitchA] port monitor ethernet 1/0/15
2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1. 定义一条扩展访问控制列表
[SwitchA]acl num 100
2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any
3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
4. 将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
〖基于二层流的镜像〗
1. 定义一个ACL
[SwitchA]acl num 200
2. 定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
3. 定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
4. 将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
【5516/6506/6503/6506R】
目前该三款产品支持对入端口流量进行镜像
1. 定义镜像端口
[SwitchA]monitor-port Ethernet 3/0/2
2. 定义被镜像端口
[SwitchA]mirroring-port Ethernet 3/0/1 inbound
【补充说明】
1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现
2. 8016支持跨单板端口镜像端口镜像配置
『环境配置参数』
1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24
2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24
3. E0/24为交换机上行端口
4. Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2. 按照镜像的不同方式进行配置:
1) 基于端口的镜像
2) 基于流的镜像
2 数据配置步骤
『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
方法二
1. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
【8016交换机端口镜像配置】
1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/15
2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1. 设置E1/0/15和E2/0/0为镜像(观测)端口
[SwitchA] port monitor ethernet 1/0/15
2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1. 定义一条扩展访问控制列表
[SwitchA]acl num 100
2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any
3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
4. 将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
〖基于二层流的镜像〗
1. 定义一个ACL
[SwitchA]acl num 200
2. 定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
3. 定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
4. 将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
【5516/6506/6503/6506R】
目前该三款产品支持对入端口流量进行镜像
1. 定义镜像端口
[SwitchA]monitor-port Ethernet 3/0/2
2. 定义被镜像端口
[SwitchA]mirroring-port Ethernet 3/0/1 inbound - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 39.DDNS动态域名申请
-
-
- 答案:
- 首先进入设备申请页面:选择注册动态域名网站:https://www.changeip.com进入网站后点击LOGIN开始注册:进入该页面后点击Click here if you do not have an account yet.进入注册页面:该页面为注册页面;根据自己所需填写想关信息,注在RequestedUsername项目填写的是域名地址以上页面填写完成后选择Create Account按钮进入以下页面;在该页面中选择NO thank you在点击Next Step按钮进入该页面后点击“here”出现该提示信息表示注册完成去你填写油箱进行激活:显示该页面表示激活成功在进入我们设备DDNS申请页面填写刚才注册的用户名和密码该显示表示申请成功可以使用DDNS域名了
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 40.AboCom上网认证使用
-
-
- 答案:
- 首先在认证表中设置规则:管理条例选项---认证表--认证设定在认证用户中设置认证用户名、密码: 管理条例选项---认证表--认证用户---新增可针对于单个用户或群组:在管制条例选项在调用认证规则新增加一条规则在条例里面选择需要进行认证的来源IP地址,选择“认证名称”中的单个用户或者是用户群组。另外重新在新增加一条管制条例选择与上面想同的来源IP地址,在“管制动作,外部网络端口”中选择成拒绝把这条规则移动到第一条新增之前最后新增加一个DNS服务的条例把该条条例应用到最前面效果测试:每次打开网页需要求输入设定好的帐户名密码。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 41.怎样取回被误判的垃圾邮件?
-
-
- 答案:
- AboCom的垃圾邮件过滤设备每天分4个时间段发送被误判的垃圾邮件和病毒邮件的取回通知信;如下图:收到该封信件时候请点击“附件”中的图标打开这封邮件取回通知信的附件取回被误判的邮件。打开该附件如下图:例如如上图所示的主旨为abocom的这封邮件是被误判的邮件那么我们直接在该封邮件前面打上沟,然后直接选择上面的回去皆可取回被误判的垃圾邮件。如下图所示:另外用户还能自己定义邮件的发送规则;如下图:点击“个人化规则”;即进入下图所示;例如最后一封邮件为垃圾邮件以后不想收到类式邮件那么如下图所示:在该封邮件前面打钩选择这个图标把他加入到黑名单中下次就不会在收到由这个邮箱发送过来的邮件了;相发如果加入白名单“ ”那么下次这封邮件就会被正常的接受。当然你可以选择“”学习,该项主要意思为学习该封邮件中的内容特征,下次遇见相同的内容特征的邮件时系统就会被接受你就可以正常的收到该特征的邮件。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 42.SSL VPN 插件安装问题
-
-
- 答案:
- 针对与IE浏览器WEBSSL插件安装问题首先打开浏览器选择“工具”—“internet选项”进入该选后选择“安全”—“自定义安全级别”,把他设置成最底;在进入隐私查看级别把它的安全级别最好也改成“中”或者更低的安全级别;在进入“高级”选项,去掉“使用SSL2.0和SSL3.0”这2项前面的沟,确定即可;进入下图所式:降筛选级别设置成最底;如果以上还不能解决插件的问题那么就需要下载MYIE这个浏览器了,请点击 下载把该软件下载安装完成后打开该软件;进入下图所示界面:把“启用弹出窗口过滤器”前的沟去掉,确定;在把下图所示沟去掉在勾选上如下图所示的如“允许JAVA”、“允许ActiveX”、“允许Scripts”等;注1:如果通过以上设置还是无法正常的安装SSL VPN插件那么就需要重新安装IE浏览器;注2:上面更改的一些安全设置可以在安装完成SSL VPN插件以后,把安全设置更改到原有的状态。SSL插件安装过程注1:在安装插件过程中请关闭掉杀毒软件和360安全卫士、卡卡安全助手等IE辅助工具。注2:SSL VPN的插件只需要安装一次,以后登陆SSL VPN就不需要安装任何插件了,登陆速度就相对提高。注3:如果下载JAVA插件有问题时或者是无法下载时,请点击此 下载:下为SSL插件安装过程:输入SSLVPN访问网址,选择继续浏览网站;开始插件的安装;SSL插件安装完成如下图:这时弹出了一个输入帐号密码的对话框在里面输入正确的帐号和密码即开始登陆SSLVPN了;在输入正确的账号名和密码以后就开始登陆SSL VPN了,在第一次登陆SSL VPN的时候会创建一张虚拟的网卡;下图可以看见虚拟网卡正在获取IP地址;出现如下页面后表示登陆成功了就可以正常使用SSL VPN了,在使用过程中不要关闭如下页面。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 43.在AboCom设备中设置只允许访问特定网站
-
-
- 44.通过AD域实现上网认证实例
-
-
- 答案:
- 环境描述
AD域平台:windows2003Server
安全网关:SV3550
应用需求:通过AD域自定义上网认证组实现客户端上网认证功能
实施步骤
一、Windows2003Server配置
域名称:abocom.com
组织单元:Web_Auth
自定义上网认证组:Users_Auth
需认证用户:User_1,User_2....User_N
二、SV3550 配置
管制条例选项-〉认证表-〉LDAP:
LDAP服务器(ip或域名称):192.168.100.254
LDAP服务器端口:389
搜寻识别名称 : ou=Web_Auth,dc=abocom,dc=com
LDAP 过滤器 : (&(objectCategory=person)(memberof=CN=Users_Auth,CN=Users,DC=abocom,DC=com))
帐号识别名称:cn=administrator,cn=users,dc=abocom,dc=com
密码:xxxxxxxxxxxxx
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 45.IPsec VPN HUB 实例配置
-
-
- 答案:
- Publish time:2009-11-9 12:00:33 click:740设定IPsecVPN Hub功能,主要是实现分支机构通过总部来建立与其他分支机构之间的VPN Trunk功能。例:建立A to B 及 A to C 后,B site 可以透过 A 至 C site 。网络拓扑如下图实例中每个Site都使用LAN区,并且使用192.168.1.0, 192.168.2.0 及 192.168.3.0 , Mask 为 255.255.255.0 class C 网段。VPN HUB主要是VPN trunk 的设置 ,中心点VPN trunk 的网段必须包含分部VPN trunk网段。以下是中心点To 分支机构的VPN设定A点 TO B点A点 TO C点分支机构的VPN trunk 设定B点 TO A点C点to A 点完成VPN Hub 之环境后,然后连接VPN 由 B 点 到 A点以及 C点到A点,两条tunnel 连线成功后即可让 B点与C点之间的PC 透过A点互通。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网