身份認(rèn)證網(wǎng)關(guān)I系列用戶手冊V2.2.3-20101130

PAGE1身份認(rèn)證網(wǎng)關(guān)I系列用戶手冊V2.2.3吉大正元信息技術(shù)股份有限公司JilinUniversityInformationTechnologiesCo.,Ltd.比目錄1 引言 11.1 編寫目的 12 布署結(jié)構(gòu)圖 13 安裝配置 13.1 介紹 13.2 Web管理配置流程 23.2.1 安裝管理員證書 23.2.2 系統(tǒng)管理員登錄并配置 53.2.3 安全保密管理員登錄并配置 73.2.4 審計管理員登錄并配置 124 功能詳解及使用方法 144.1 應(yīng)用管理 144.1.1 添加應(yīng)用 144.1.2 修改應(yīng)用 154.1.3 刪除應(yīng)用 164.2 服務(wù)器管理 164.2.1 服務(wù)端口設(shè)置 164.2.2 申請站點證書 174.2.3 導(dǎo)入站點證書 174.2.4 導(dǎo)出站點證書 184.2.5 配置許可證 194.2.6 當(dāng)前服務(wù)狀態(tài) 194.3 認(rèn)證管理 204.3.1 證書認(rèn)證配置 204.3.2 口令認(rèn)證配置 234.4 訪問控制管理 254.4.1 訪問控制設(shè)置 254.4.2 應(yīng)用級訪問控制 254.4.3 規(guī)則管理 264.5 Portal頁面定制 294.5.1 設(shè)置隱藏應(yīng)用 294.5.2 設(shè)置默認(rèn)Portal 304.5.3 定制Portal頁 304.5.4 定制登錄頁 314.6 相關(guān)產(chǎn)品設(shè)置 314.6.1 UMS配置 314.6.2 PMS配置 324.6.3 UMS/PMS緩存配置 334.6.4 配置應(yīng)用代碼 334.6.5 配置默認(rèn)權(quán)限 334.7 SSO管理 344.7.1 令牌設(shè)置 344.7.2 認(rèn)證地址配置 344.7.3 應(yīng)用從賬號管理 354.7.4 模擬代填設(shè)置 364.7.5 在線用戶 374.8 管理員配置 374.8.1 配置管理員證書 374.8.2 配置管理員根證書 384.8.3 管理員IP設(shè)置 394.8.4 管理員IP列表 394.9 日志管理 394.9.1 配置系統(tǒng)日志 394.9.2 查詢系統(tǒng)日志 404.9.3 日志空間預(yù)警 414.9.4 日志打包下載 424.10 系統(tǒng)設(shè)置 424.10.1 網(wǎng)卡設(shè)置 424.10.2 配置DNS服務(wù) 424.10.3 本地HOSTS配置 434.10.4 靜態(tài)路由設(shè)置 434.10.5 系統(tǒng)硬件信息 434.10.6 系統(tǒng)時間設(shè)置 444.10.7 可信時間源設(shè)置 444.10.8 手動同步設(shè)備時間 444.10.9 服務(wù)器啟停 454.11 系統(tǒng)維護 454.11.1 恢復(fù)出廠默認(rèn)值 454.11.2 備份恢復(fù) 454.11.3 系統(tǒng)升級 464.12 硬件管理 464.12.1 HA服務(wù)管理 464.12.2 網(wǎng)絡(luò)診斷管理 474.12.3 SNMP服務(wù)管理 504.12.4 系統(tǒng)監(jiān)控 524.12.5 網(wǎng)絡(luò)監(jiān)控 535 常見問題解答(FAQ) 555.1 Agent無法做重定向認(rèn)證 556 附錄模擬代填工具 586.1 附錄1CS模擬代填 586.1.1 CS模擬代填工具說明 586.1.2 CS模擬代替工具使用方法 586.2 附錄2BS模擬代填 616.2.1 BS代填模板說明 616.2.2 BS代填工具使用方法 62身份認(rèn)證網(wǎng)關(guān)I系列V2.2.3PAGE62吉大正元信息技術(shù)股份有限公司引言HYPERLINK\o"點擊見說明"編寫目的身份認(rèn)證網(wǎng)關(guān)對外提供身份認(rèn)證服務(wù)前需要對網(wǎng)關(guān)自身進行一系列的參數(shù)設(shè)置，為提高網(wǎng)關(guān)服務(wù)系統(tǒng)的易用性，我們提供專門的服務(wù)配置管理平臺和WEB方式的操作界面，方便管理員對網(wǎng)關(guān)服務(wù)系統(tǒng)進行管理操作。HYPERLINK\o"點擊見說明"布署結(jié)構(gòu)圖圖表STYLEREF1\s2SEQ圖表\*ARABIC\s11安裝配置介紹吉大正元身份認(rèn)證網(wǎng)關(guān)背面提供二個網(wǎng)絡(luò)接口，分別為ETH0，ETH1。ETH0：網(wǎng)關(guān)的入口網(wǎng)卡，是用戶訪問網(wǎng)關(guān)的入口。ETH1：出口網(wǎng)卡，作為與應(yīng)用服務(wù)器通信的網(wǎng)口，出廠默認(rèn)地址是：10。Web管理配置流程安裝管理員證書本系統(tǒng)采用分權(quán)管理方式，包括三個管理員，分別是系統(tǒng)管理員、安全保密管理員、安全審計員。相關(guān)證書從隨機光盤中獲取，首先安裝網(wǎng)關(guān)默認(rèn)的管理員證書，用默認(rèn)的管理員進行初始的配置。以系統(tǒng)管理員證書為例說明證書的詳細(xì)安裝過程：一安裝系統(tǒng)管理員證書找到系統(tǒng)管理員.pfx證書，單擊右鍵，在出現(xiàn)的快捷菜單中選擇“安裝PFX（I）”如下圖：圖表STYLEREF1\s31進入到導(dǎo)入向?qū)g迎使用界面。圖表STYLEREF1\s32二選擇要安裝的證書點“下一步”，進入“指定導(dǎo)入文件”界面，默認(rèn)顯示的證書就是上一步中打開的.pfx證書，即所要安裝的，不需改動。圖表STYLEREF1\s33三輸入密碼：點“下一步”，進入輸入密碼步驟；系統(tǒng)管理員.pfx證書默認(rèn)密碼是111111。圖表STYLEREF1\s34四選擇安裝位置點“下一步”，進入選擇存儲路徑；選擇存儲路徑如圖。圖表STYLEREF1\s35五完成導(dǎo)入點“下一步”，完成導(dǎo)入步驟；查看安裝信息，如果需要修改，點“上一步”，到相應(yīng)的步驟進行修改。圖表STYLEREF1\s36六導(dǎo)入成功點“完成”，已導(dǎo)入證書，導(dǎo)入成功顯示如下。圖表STYLEREF1\s37系統(tǒng)管理員登錄并配置配置流程圖：圖表STYLEREF1\s38配置詳細(xì)步驟：系統(tǒng)管理員登錄：使用IE訪問：https://ServerIP:6443選擇使用“系統(tǒng)管理員”證書登錄，進入網(wǎng)關(guān)歡迎界面。ServerIP是網(wǎng)關(guān)的ETH0口的IP地址,6443為默認(rèn)管理端口，如下圖：圖表STYLEREF1\s39配置網(wǎng)絡(luò)：主要進行網(wǎng)絡(luò)IP設(shè)置和DNS服務(wù)。網(wǎng)絡(luò)IP設(shè)置：進入“系統(tǒng)設(shè)置->網(wǎng)卡設(shè)置”頁面可以對系統(tǒng)每個網(wǎng)口的IP地址進行修改包括ETH0-外網(wǎng)和ETH1-內(nèi)網(wǎng)。如下圖：圖表STYLEREF1\s310圖表STYLEREF1\s311配置DNS服務(wù)：進入“系統(tǒng)設(shè)置->配置DNS服務(wù)”頁面。如下圖：圖表STYLEREF1\s312添加上網(wǎng)絡(luò)的DNS后，配置應(yīng)用時可以直接配置域名來訪問。例如：某應(yīng)用要訪問網(wǎng)址添加一個BS應(yīng)用，應(yīng)用服務(wù)欄填寫,，可以通過該域名訪問到后臺應(yīng)用。更換管理員證書：更新系統(tǒng)管理員證書為實際使用的管理員證書（在更新管理員證書前先在管理員根證書的列表中添加管理員證書的根證書）更換管理員如下圖：圖表STYLEREF1\s313接入用戶網(wǎng)絡(luò)環(huán)境：根據(jù)用戶的實際情況將網(wǎng)關(guān)以旁路的方式接入到用戶的網(wǎng)絡(luò)環(huán)境中，將一般用戶連接到ETH0外網(wǎng)口，啟動網(wǎng)關(guān)。重啟機器，進入服務(wù)器啟停頁面重啟網(wǎng)關(guān)，如下圖：圖表STYLEREF1\s314安全保密管理員登錄并配置配置流程圖：安全保密管理員安全保密管理員啟動電源更新管理員配置管理員根證配置站點證書圖表STYLEREF1\s315配置詳細(xì)步驟：安全保密管理員登錄：使用IE訪問：https://ServerIP:6443選擇使用“安全保密管理員”證書登錄，進入網(wǎng)關(guān)歡迎界面。ServerIP是網(wǎng)關(guān)的ETH0口的IP地址，6443為默認(rèn)管理端口，如下圖：圖表STYLEREF1\s316配置管理員根證書：進入“管理員配置->配置管理員根證書”頁面，點擊“添加管理員根證”按鈕會彈出如下頁面：圖表STYLEREF1\s317根證文件：根證書文件的物理存儲位置，可點擊“瀏覽”按鈕選擇根證書。該根證書是簽發(fā)管理員證書的根證書。配置站點證書：配置站點證書需要進行申請站點證書和導(dǎo)入站點證書操作。申請站點證書：以下是站點證書的申請頁面，管理員需要填寫證書主題，選擇密鑰長度，填寫私鑰保護口令和確認(rèn)保護口令，點擊‘產(chǎn)生’按鈕生成申請書，然后拷貝站點證書申請書內(nèi)容到CA簽發(fā)站點證書如下圖：圖表STYLEREF1\s318配置項：證書主題：所要生成證書的證書主題，例如：“cn=localhost,o=jit,c=cn”。證書主題所填內(nèi)容必須符合證書主題書寫規(guī)范。密鑰長度：設(shè)置生成證書所使用的密鑰的長度，選項包含512；1024；2048長度。私鑰保護口令：設(shè)置私鑰保護口令，保護口令字段信息必須為合法字段，只包含’a-z’;’A-Z’;’0-9’確認(rèn)私鑰的保護口令：對已經(jīng)輸入的私鑰保護口令進行確認(rèn)。站點證書申請書內(nèi)容：顯示站點證書申請書內(nèi)容，將該內(nèi)容進行拷貝，可以到證書簽發(fā)系統(tǒng)申請證書?？截悤r注意，拷貝內(nèi)容不包含’BEGINCERTIFICATEREQUEST’和’ENDCERTIFICATEREQUEST’。導(dǎo)入站點證書，這里是站點證書的顯示與導(dǎo)入頁面，如下圖：圖表STYLEREF1\s319這里可以顯示當(dāng)前站點證書的信息，如：序列號、簽名算法、頒發(fā)者主題、有效起始日期、有效終止日期和證書主題。導(dǎo)入站點證書是指從本地的系統(tǒng)中，將指定的證書上傳到服務(wù)器?？梢詫?dǎo)入的站點證書有兩種類型，X509證書和PKCS12證書。在站點證書申請書處生成的站點證書申請書，經(jīng)CA簽發(fā)回來.cer（X509證書）文件后，通過瀏覽按鈕導(dǎo)入，如下圖為X509證書的導(dǎo)入頁面：圖表STYLEREF1\s320也可以直接導(dǎo)入.pfx證書（PKCS12證書）作為站點證書，如下圖為PKCS12證書的導(dǎo)入頁面：與X509證書導(dǎo)入相比，多了一項輸入保護口令，是指輸入PKCS12證書的保護口令圖表STYLEREF1\s321注意：如果想這部分配置后生效，需要重啟網(wǎng)關(guān)導(dǎo)出站點證書：如果需要也可以將站點證書導(dǎo)出，輸入證書的導(dǎo)出密碼后點“導(dǎo)出”按鈕就可以將站點證書導(dǎo)出到本地，如下圖：圖表STYLEREF1\s322更換管理員：更新安全保密管理員證書為實際使用的管理員證書（在更新管理員證書前先在管理員根證列表中添加管理員證書的根證書）更換管理員如下圖：圖表STYLEREF1\s323審計管理員登錄并配置配置流程圖：圖表STYLEREF1\s324配置詳細(xì)步驟：審計管理員登錄：使用IE訪問：https://ServerIP:6443選擇使用“審計管理員”證書登錄，進入I網(wǎng)關(guān)歡迎界面。ServerIP是I網(wǎng)關(guān)的ETH0口的IP地址,6443為默認(rèn)管理端口，如下圖：圖表STYLEREF1\s325更換管理員證書：更新審計管理員證書為實際使用的管理員證書（在更新管理員證書前先在配置管理員證書的列表中添加管理員證書的根證書）更換管理員如下圖：圖表STYLEREF1\s3263.審計管理員配置可以對需要記錄的日志類型和日志保存方式進行設(shè)置圖表STYLEREF1\s327功能詳解及使用方法應(yīng)用管理在應(yīng)用管理這個模塊可以注冊應(yīng)用，包括Agent代理、模擬代填和報文認(rèn)證的BS，報文認(rèn)證和模擬代填的CS應(yīng)用。添加應(yīng)用在“

應(yīng)用管理

→

配置應(yīng)用”界面中，點擊“添加新應(yīng)用”按鈕，進入應(yīng)用類型選擇頁面，可以添加BS應(yīng)用或CS應(yīng)用添加BS應(yīng)用頁面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s11配置項：應(yīng)用名稱：輸入英文、數(shù)字或漢字，作為應(yīng)用名稱。單點登陸方式：包括Agent代理，模擬代填和報文認(rèn)證。Agent代理方式：指在應(yīng)用服務(wù)器端需要安裝過濾器，當(dāng)用戶訪問應(yīng)用時由過濾器轉(zhuǎn)向到網(wǎng)關(guān)做認(rèn)證（此方式適合后臺應(yīng)用可以做改造的情況）。模擬代填方式：指將服務(wù)器的策略（代填策略）下載到客戶端來實現(xiàn)模擬代填（此方式適合零改造應(yīng)用）。報文認(rèn)證方式：指在應(yīng)用服務(wù)器端向網(wǎng)關(guān)發(fā)送認(rèn)證報文，網(wǎng)關(guān)認(rèn)證后返回認(rèn)證結(jié)果。應(yīng)用標(biāo)識：應(yīng)用的唯一標(biāo)識，一旦保存，不可更改。（注:應(yīng)用標(biāo)識不允許輸入中文而且不能輸入重復(fù)的應(yīng)用標(biāo)識）。應(yīng)用服務(wù)器地址格式：可以是域名或ip地址。應(yīng)用服務(wù)器：指要訪問的后臺應(yīng)用的服務(wù)器地址。應(yīng)用通訊協(xié)議：是指網(wǎng)關(guān)與應(yīng)用服務(wù)器之間采用的傳輸協(xié)議，支持明文通信(http)和SSL/TLS（https）。添加CS應(yīng)用頁面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s12配置項：應(yīng)用名稱：輸入英文、數(shù)字，或漢字，作為應(yīng)用名稱。應(yīng)用標(biāo)識：應(yīng)用的唯一標(biāo)識，一旦保存，不可更改。（注:應(yīng)用標(biāo)識不允許輸入中文而且不能輸入重復(fù)的應(yīng)用標(biāo)識）。應(yīng)用類型：模擬代填方式：指將服務(wù)器的策略（包括：菜單portal策略和代填策略）下載到客戶端來實現(xiàn)模擬代填（此方式適合零改造應(yīng)用）。報文認(rèn)證方式：指在應(yīng)用服務(wù)器端向網(wǎng)關(guān)發(fā)送認(rèn)證報文，網(wǎng)關(guān)認(rèn)證后給客戶端返回認(rèn)證結(jié)果，網(wǎng)關(guān)只進行認(rèn)證操作的一種認(rèn)證方式。修改應(yīng)用在應(yīng)用列表頁面點擊某個應(yīng)用后面的修改圖標(biāo)，進入應(yīng)用的詳細(xì)信息頁面，可以對應(yīng)用的各項信息進行修改（應(yīng)用標(biāo)識不允許修改），如下圖為BS應(yīng)用的修改頁面，用戶可以對應(yīng)用名稱等項進行修改。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s13刪除應(yīng)用在應(yīng)用列表頁面點擊某個應(yīng)用后面的刪除圖標(biāo)可以刪除被選擇的應(yīng)用，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s14服務(wù)器管理服務(wù)器管理主要是對服務(wù)器端口、站點證書、許可證的配置，同時可以查看在線用戶。服務(wù)端口設(shè)置配置服務(wù)器的通訊端口以及業(yè)務(wù)通訊類型。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s15配置項：口令認(rèn)證端口：配置服務(wù)器的單向SSL通信端口。證書認(rèn)證端口：配置服務(wù)器的雙向SSL通信端口。業(yè)務(wù)通訊端口：網(wǎng)關(guān)與Agent通信的端口。業(yè)務(wù)通訊類型：分為明文和密文，明文通訊速度快，但沒有密文安全。管理端口：訪問網(wǎng)關(guān)管理頁面的端口。注：當(dāng)業(yè)務(wù)通訊類型配置為密文時，Agent應(yīng)用必須部署與網(wǎng)關(guān)對應(yīng)的密鑰庫，以進行加密傳輸業(yè)務(wù)。申請站點證書以下是站點證書的申請頁面，管理員需要填寫證書主題，選擇密鑰長度，填寫私鑰保護口令和確認(rèn)保護口令，點擊產(chǎn)生按鈕就可以生成站點證書申請書，然后拷貝站點證書申請書內(nèi)容到CA簽發(fā)站點證書如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s16配置項：證書主題：所要生成證書的證書主題，例如：“cn=localhost,o=jit,c=cn”。證書主題所填內(nèi)容必須符合證書主題書寫規(guī)范。密鑰長度：設(shè)置生成證書所使用的密鑰的長度，選項包含512、1024、2048長度。私鑰保護口令：設(shè)置私鑰保護口令，保護口令字段信息必須為合法字段，只包含’a-z’;’A-Z’;’0-9’以及下劃線的有效字符確認(rèn)私鑰的保護口令：對已經(jīng)輸入的私鑰保護口令進行確認(rèn)。站點證書申請書內(nèi)容：顯示站點證書申請書內(nèi)容，將該內(nèi)容進行拷貝，可以到證書簽發(fā)系統(tǒng)申請證書。拷貝時注意，拷貝內(nèi)容不包含’BEGINCERTIFICATEREQUEST’和’ENDCERTIFICATEREQUEST’。導(dǎo)入站點證書顯示當(dāng)前站點證書的信息，如：序列號、簽名算法、頒發(fā)者主題、有效起始日期、有效終止日期和證書主題。導(dǎo)入站點證書是指從本地的系統(tǒng)中，將得到的證書上傳到服務(wù)器。可以導(dǎo)入的站點證書有兩種類型，X509證書和PKCS12證書。在站點證書申請?zhí)幧傻恼军c證書，經(jīng)CA簽發(fā)回來.cer（X509證書）文件后，通過瀏覽按鈕導(dǎo)入，如下圖為X509證書的導(dǎo)入頁面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s17也可以直接導(dǎo)入.pfx證書（PKCS12證書）作為站點證書，如下圖為PKCS12證書的導(dǎo)入頁面：與X509證書導(dǎo)入相比，多了一項輸入保護口令，是指輸入PKCS12證書的保護口令圖表STYLEREF1\s4SEQ圖表\*ARABIC\s18注意：如果想這部分配置后生效，需要重新啟動身份認(rèn)證網(wǎng)關(guān)。導(dǎo)出站點證書輸入證書的導(dǎo)出密碼后，點“導(dǎo)出”按鈕就可以將站點證書導(dǎo)出到本地如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s19配置許可證根據(jù)用戶需要可以使用不同的許可證，在許可證中指定軟件使用期限、最大用戶數(shù)量、網(wǎng)關(guān)接入應(yīng)用數(shù)、網(wǎng)關(guān)接入用戶數(shù)等信息。許可證文件可以在購買軟件的同時獲得。在管理界面中，點擊“服務(wù)器管理－配置許可證”，進入“許可證管理

→

配置許可證”窗口，點擊“瀏覽”按鈕，選擇正確的許可證文件（.lce），再點擊“確定”按鈕，重新啟動服務(wù)，更新的許可證方可生效。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s110當(dāng)前服務(wù)狀態(tài)可以查看到用戶訪問網(wǎng)關(guān)和應(yīng)用的訪問量，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s111查看項：在線用戶數(shù)：指當(dāng)前正在訪問網(wǎng)關(guān)或應(yīng)用服務(wù)器的用戶數(shù)。應(yīng)用累計訪問總量：指訪問某一個應(yīng)用的累計總次數(shù)。認(rèn)證管理是進行信任域的配置以及信任域的證書狀態(tài)校驗方式的配置。證書認(rèn)證配置對信任域和證書狀態(tài)驗證的配置，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s112配置信任域：點“添加”按鈕，進入信任域的添加頁面如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s113配置項：上級信任域：在添加信任域的時候如果這項選擇“不指定”那么在添加多級信任域的時候不驗證信任域的上下級關(guān)系，如果指定的話在添加信任域時會驗證信任域的上下關(guān)系。CA證書更新LDAP地址：可以配置CA的LDAP地址，在線更新證書。配置證書狀態(tài)驗證：證書狀態(tài)驗證方式支持以下幾種不驗證：指用證書訪問portal或應(yīng)用的時候，系統(tǒng)不驗證證書是否被注銷或凍結(jié)。CRL校驗：支持“目錄服務(wù)器(LDAP)”、“Web服務(wù)器(http)”下載證書吊銷列表來驗證證書的有效性，或兩者組合校驗。具體的配置如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s114當(dāng)選擇“目錄服務(wù)器（LDAP）”顯示如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s115配置項：CRL更新周期：可選擇“不自動更新、定時更新、按照CRL更新時間”三種方式。管理員DN/密碼：登錄LDAP的管理員用戶名口令，在LDAP允許匿名方式訪問時，此項可不填寫?？侰RL更新地址：指可以下載目錄服務(wù)器總的crl文件進行證書有效性驗證，crl地址格式為:ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl*當(dāng)crl文件下載成功后可以點“手動管理CRL”查看下載到的crl文件分CRL地址格式如下：ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl1可以添加多個分crl地址，當(dāng)分crl地址寫為如下格式：ldap://23:389/o=jit,c=cn?certificateRevocationList;binary?sub?cn=crl*會下載所有的crl文件。當(dāng)選擇“Web服務(wù)器（HTTP）”顯示如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s116配置項：CRL更新周期：可選擇“不自動更新、定時更新、按照CRL更新時間”三種方式總CRL更新地址：23:8080/crl/crl.crl分CRL更新地址：23:8080/crl/crl1.crl手工方式導(dǎo)入CRL文件：網(wǎng)關(guān)提供手工導(dǎo)入CRL文件，臨時取代LDAP或HTTP方式下載的CRL文件，進行證書驗證檢查。在界面中點擊“手動管理CRL”按鈕圖表STYLEREF1\s4SEQ圖表\*ARABIC\s117進入界面，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s118通過執(zhí)行‘瀏覽’按鈕，選擇并導(dǎo)入CRL文件。導(dǎo)入的CRL文件會顯示在CRL列表中。OCSP校驗：連接OCSP服務(wù)器在線查詢證書的狀態(tài)，對用戶登錄出示的證書進行有效性校驗，可以配置兩個ocsp服務(wù)器，當(dāng)主ocsp服務(wù)器發(fā)生錯誤的時候可以連接備用的機器做驗證，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s119配置項：OCSP地址格式為：11:20443/ocspOCSP和CRL組合校驗：支持ocsp和crl的組合驗證方式，當(dāng)同時配置了ocsp和crl時會首先采用ocsp服務(wù)器進行證書有效性校驗，當(dāng)ocsp出現(xiàn)問題時會自動采用crl的方式進行驗證?？诹钫J(rèn)證配置在采用用戶名口令認(rèn)證策略時，需要進行口令認(rèn)證配置圖表STYLEREF1\s4SEQ圖表\*ARABIC\s120選擇認(rèn)證來源：當(dāng)前版本網(wǎng)關(guān)，用戶名口令認(rèn)證來源只支持以UMS為認(rèn)證源（相關(guān)UMS配置請參看‘相關(guān)產(chǎn)品設(shè)置’章節(jié)）增加驗證碼：選擇為‘是’，則在登錄網(wǎng)關(guān)login頁面時，除了要填寫用戶名口令，還需要填寫驗證碼一項，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s121校驗策略：有明文和SHA1兩種選擇，明文是指登錄時輸入的用戶口令與UMS中配置的口令一致。SHA1可增加密碼安全性，是指UMS配置口令時，輸入口令的SHA1碼，登錄時輸入實際口令。（SHA1碼獲取方式：將密碼寫入某文檔，用hash工具對該文檔進行hash計算，即可獲得SHA1值）圖表STYLEREF1\s4SEQ圖表\*ARABIC\s122認(rèn)證配置報文認(rèn)證支持X509證書+SSL認(rèn)證方式：當(dāng)服務(wù)器與網(wǎng)關(guān)之間通過報文改造方式并使用單向SSL通訊時，可以直接提交X509證書到網(wǎng)關(guān)做認(rèn)證。支持機構(gòu)擴展屬性：當(dāng)組織機構(gòu)有擴展屬性時，需要選擇此選項，網(wǎng)關(guān)將把UMS上機構(gòu)下的所有擴展屬性返回給應(yīng)用系統(tǒng)，并可以配置返回的信息是屬性的名稱還是編碼方式。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s123訪問控制管理訪問控制設(shè)置進入‘訪問控制管理->訪問控制設(shè)置’，在這里進行全局訪問控制的設(shè)置。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s124全局默認(rèn)策略：當(dāng)應(yīng)用未配置應(yīng)用級訪問控制規(guī)則時，通過全局默認(rèn)策略進行訪問控制。選擇‘允許’時，在網(wǎng)關(guān)中注冊的應(yīng)用默認(rèn)為允許所有用戶訪問。選擇‘禁止’時，在網(wǎng)關(guān)中注冊的應(yīng)用默認(rèn)為禁止所有用戶訪問。系統(tǒng)規(guī)則配置：啟動或禁用系統(tǒng)規(guī)則。UMS從賬號：選擇“開啟”，點擊“保存”，某應(yīng)用選擇該規(guī)則，當(dāng)用戶沒有UMS從賬號時，禁止訪問該應(yīng)用。PMS權(quán)限策略：選擇“開啟”，點擊“保存”，某應(yīng)用選擇該規(guī)則，當(dāng)用戶沒有PMS權(quán)限時，禁止訪問該應(yīng)用。注：要想使該規(guī)則生效，需要某個具體的應(yīng)用啟用該規(guī)則。應(yīng)用級訪問控制點擊“應(yīng)用級訪問控制”進入如下頁面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s125執(zhí)行應(yīng)用對應(yīng)的‘配置應(yīng)用訪問規(guī)則’按鈕，進入配置應(yīng)用控制界面，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s126配置項：默認(rèn)策略：選擇‘允許’時，通過認(rèn)證登錄的所有用戶允許訪問應(yīng)用。選擇‘禁止’時，通過認(rèn)證登錄的所有用戶禁止訪問應(yīng)用。認(rèn)證方式：選擇“證書認(rèn)證”時，只有通過證書認(rèn)證后，才能訪問應(yīng)用。選擇“用戶名口令”時，只有用戶名口令認(rèn)證后，才能訪問應(yīng)用。選擇“用戶名口令”與“證書認(rèn)證”時，必須同時通過用戶名口令和證書認(rèn)證后才能訪問應(yīng)用。選擇“用戶名口令”或“證書認(rèn)證”時，通過證書或用戶名口令其中一種方式認(rèn)證后，就能訪問應(yīng)用。應(yīng)用訪問規(guī)則在‘應(yīng)用訪問規(guī)則’執(zhí)行‘選擇’按鈕，彈出如下圖窗口：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s127系統(tǒng)級規(guī)則：包括驗證UMS從賬號及PMS權(quán)限策略。自定義規(guī)則：用戶自行定制的規(guī)則。（請參見‘規(guī)則管理’章節(jié)）勾選規(guī)則后，執(zhí)行確定按鈕，點擊保存，規(guī)則添加完畢。規(guī)則管理用戶可以通過規(guī)則管理添加用戶自定義的規(guī)則信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s128點擊“添加新規(guī)則”按鈕進入如下頁面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s129規(guī)則基本信息名稱：輸入規(guī)則的名稱狀態(tài)：‘啟用’指打開規(guī)則‘停用’指關(guān)閉規(guī)則模式：‘允許’滿足規(guī)則條件時允許訪問‘禁止’滿足規(guī)則條件時禁止訪問證書主題條件：勾選該項，編輯證書主題條件，如下圖圖表STYLEREF1\s4SEQ圖表\*ARABIC\s130選擇項，固定項包括C、O、OU、T、CN、SN、L、ST、E、DC、UID，這些基本上涵蓋了證書DN的所有常規(guī)項，當(dāng)存在有固定項不包含的項目或需要使用通配符方式進行匹配的情況下，可以通過‘任意值’進行表示。選擇某一常規(guī)項時，如選擇‘C’，在‘=’后選擇‘固定值’填寫具體的信息，或選擇‘任意值’用‘*’進行匹配。設(shè)置完成后，執(zhí)行‘確定’按鈕提交，如下圖所示：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s131時間段條件：勾選該項，編輯時間條件，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s132時間條件分為每天、每周和指定日期每天：指定每天的某個時間段作為訪問控制條件。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s133每周：指定每周的星期幾的幾點到幾點作為訪問控制條件圖表STYLEREF1\s4SEQ圖表\*ARABIC\s134指定日期：指定具體的日期，時間段圖表STYLEREF1\s4SEQ圖表\*ARABIC\s135用戶證書擴展：根據(jù)證書擴展來進行控制規(guī)則設(shè)置為OR時，一條規(guī)則將控制兩個或兩個以上的用戶：用戶名條件：勾選該項對登錄login_portal的用戶名進行控制圖表STYLEREF1\s4SEQ圖表\*ARABIC\s136輸入用戶名信息，可以選擇‘精確匹配’前的復(fù)選框進行精確匹配或不選擇進行模糊匹配用戶屬性條件：可以根據(jù)用戶的屬性進行做控制IP地址條件：勾選該項對IP地址進行控制IP地址條件限制：輸入具體的IP地址信息，可以添加多個IP圖表STYLEREF1\s4SEQ圖表\*ARABIC\s137IP區(qū)間條件限制：輸入IP地址段信息注：當(dāng)一個應(yīng)用選擇有多項規(guī)則的情況下，規(guī)則的優(yōu)先級按所選規(guī)則自上至下的排列順序，排在頂端的規(guī)則優(yōu)先級別最高。當(dāng)需要調(diào)整規(guī)則優(yōu)先級別順序時可通過‘上移’，‘下移’按鈕調(diào)整。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s138Portal頁面定制設(shè)置隱藏應(yīng)用在這個頁面可以對受保護的應(yīng)用是否在portal頁面顯示進行設(shè)置，當(dāng)勾選應(yīng)用后面的隱藏復(fù)選框后在應(yīng)用的portal頁面就不顯示該應(yīng)用。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s139設(shè)置默認(rèn)Portal在這個頁面可以設(shè)置顯示的portal頁，選擇“網(wǎng)關(guān)”的話訪問portal顯示網(wǎng)關(guān)默認(rèn)的portal頁面，選擇“自定義”時需要用戶輸入自定義的portal頁地址如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s140配置的自定義portal地址格式為：.其中為自定義portal的地址定制Portal頁定制頁面的logo圖片、portal頁面的logo圖片、公告信息和證書的有效期提示如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s141證書有效期提示：當(dāng)用戶證書快到期的時候訪問portal頁面系統(tǒng)會有提示信息。定制登錄頁指可以給每個Agent代理的應(yīng)用配置一個單獨的認(rèn)證頁面，當(dāng)訪問應(yīng)用的地址的時候就自動跳轉(zhuǎn)到自定義的認(rèn)證頁面進行認(rèn)證，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s142點擊“登錄頁面上傳”按鈕進入上傳認(rèn)證頁面的添加頁面如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s143配置項：上傳認(rèn)證頁面：自定義的認(rèn)證頁面，文件格式為：jsp。上傳文件1：指自定義認(rèn)證頁面所需要的相關(guān)文件，如樣式表，圖片等。相關(guān)產(chǎn)品設(shè)置UMS配置配置UMS服務(wù)器信息，通過連接UMS可以實現(xiàn)以下幾個功能：實現(xiàn)用戶名/口令認(rèn)證，并獲取登錄用戶在UMS系統(tǒng)中配置的基礎(chǔ)信息。實現(xiàn)基于UMS從賬號的訪問控制。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s144配置項：UMS版本：支持的各種UMS版本。UMS服務(wù)器IP地址：如00UMS服務(wù)器端口：如8802機構(gòu)字典返回類型：返回的信息可以是名稱與編碼兩種選擇。默認(rèn)是名稱，選擇編碼必須在認(rèn)證管理-認(rèn)證配置中選中支持機構(gòu)擴展屬性測試UMS連接按鈕：點擊“連接測試”按鈕檢測連接狀態(tài)。PMS配置配置PMS服務(wù)器信息，通過PMS可以獲取登錄用戶在PMS系統(tǒng)中配置的權(quán)限信息，從而控制用戶對應(yīng)用的訪問圖表STYLEREF1\s4SEQ圖表\*ARABIC\s145PMS版本：指可以支持的PMS版本。PMS服務(wù)器IP地址：如：0。PMS服務(wù)器端口：如：9999。測試PMS連接按鈕：點擊“連接測試”按鈕檢測連接狀態(tài)。注：當(dāng)訪問控制采用“PMS權(quán)限控制”時需要連接UMS、PMS并配置默認(rèn)權(quán)限UMS/PMS緩存配置圖表STYLEREF1\s4SEQ圖表\*ARABIC\s146緩存狀態(tài)：啟用和禁用兩種選擇緩存持久化：啟動該功能，網(wǎng)關(guān)將上次訪問的UMS用戶信息保存到網(wǎng)關(guān)上，在UMS離線時仍然可以正常登陸。用戶緩存最大有效時間：指讀取的UMS/PMS信息在網(wǎng)關(guān)上緩存的最長時間，這段時間用戶可從緩存中獲取UMS/PMS配置的信息，超過有效時間，用戶訪問時網(wǎng)關(guān)將重新從UMS/PMS讀取信息并緩存。用戶緩存最大空閑時間：指用戶獲取當(dāng)前緩存的UMS/PMS信息后，在最大空閑時間內(nèi)可保持該信息，超過最大空閑時間就再次讀取緩存的UMS/PMS信息。清空緩存：點擊后，網(wǎng)關(guān)清空緩存中的UMS/PMS信息。配置應(yīng)用代碼在結(jié)合PMS產(chǎn)品時，需要對應(yīng)用指定應(yīng)用代碼，其中PMS3.5.1需要指定本地碼，從而實現(xiàn)基于PMS權(quán)限的訪問控制并從PMS產(chǎn)品中獲取用戶的權(quán)限信息，應(yīng)用碼從PMS對應(yīng)的應(yīng)用中獲得。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s147配置默認(rèn)權(quán)限可以給應(yīng)用指定默認(rèn)權(quán)限，當(dāng)無法從PMS中獲取權(quán)限時便可以使用默認(rèn)權(quán)限，默認(rèn)權(quán)限配置如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s148SSO管理令牌設(shè)置在這里可以配置令牌的最長有效時間和最長空閑時間，時間單位為分鐘。最長有效時間指從建立一個會話開始，該會話可保持存在的最長時間，超過該時間則清除該會話。最長空閑時間指建立會話后，兩次請求間隔允許的最長時間，超過該時間則清除該會話。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s149認(rèn)證地址配置在這里進行認(rèn)證地址的設(shè)置，默認(rèn)為IP格式。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s150配置項：輸入格式：選擇使用域名還是IP地址形式。選擇域名時顯示如下頁面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s151公共域：輸入認(rèn)證服務(wù)器公共域信息，以’.’開頭。如：.認(rèn)證服務(wù)器地址：輸入認(rèn)證服務(wù)器域名如：。以上三項設(shè)置需要結(jié)合說明。a、當(dāng)身份認(rèn)證網(wǎng)關(guān)需要支持域名訪問業(yè)務(wù)進行聯(lián)合身份認(rèn)證時，輸入格式選擇為域名格式，此時，公共域名輸入域名根域地址，且必須以’.’開頭，認(rèn)證服務(wù)器地址則需輸入身份認(rèn)證網(wǎng)關(guān)的域地址形式，且必須包含公共域所配置的字段信息。如：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s152b、當(dāng)身份認(rèn)證網(wǎng)關(guān)只需通過IP地址進行訪問時，輸入格式選擇為IP地址格式。此時，只需要輸入認(rèn)證服務(wù)器的IP地址信息。重啟時則默認(rèn)配置為身份認(rèn)證網(wǎng)關(guān)服務(wù)所在設(shè)備的IP地址（注意多網(wǎng)卡、IP時需要指明服務(wù)IP）。 注意：配置項修改后，需要重新啟動身份認(rèn)證網(wǎng)關(guān)才能生效。應(yīng)用從賬號管理在這個頁面管理員可以對受保護應(yīng)用進行從賬號的綁定、修改綁定和刪除綁定，支持的從賬號來源有：用戶自注冊，管理員指定和從UMS獲取，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s153用戶自注冊：當(dāng)選取用戶自注冊后，需要用戶在portal頁面手動注冊從賬號。管理員指定：當(dāng)選取管理員指定點保存后進入，如下頁面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s154管理員給應(yīng)用指定從賬戶有2種從賬戶類型如下：為所有用戶建立一個默認(rèn)的從賬戶。為所有用戶建立一個默認(rèn)的從賬戶指所有訪問應(yīng)用的用戶都采用這個賬戶訪問應(yīng)用。為某一用戶單獨配置從賬戶：為某一用戶創(chuàng)建從賬戶指可以單獨為某一個用戶指定一個從賬戶，當(dāng)一個應(yīng)用即指定了默認(rèn)從賬戶又給其中的用戶單獨創(chuàng)建了從賬戶，則以單獨創(chuàng)建的從賬戶登錄優(yōu)先，還可以對綁定的從賬戶信息進行修改和刪除。從UMS獲取：指從UMS服務(wù)器上獲取應(yīng)用的從賬號信息。注：當(dāng)用戶連接UMS獲取從賬戶的時候首先在相關(guān)產(chǎn)品模塊配置正確的UMS服務(wù)器地址。模擬代填設(shè)置配置模擬代填需要的配置文件，當(dāng)需要進行模擬代填時需要先下載對應(yīng)的模版并進行對應(yīng)的修改，然后將修改的文件上傳：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s155注：模擬設(shè)置在線用戶查詢訪問網(wǎng)關(guān)的在線用戶，可以根據(jù)用戶名稱和證書DN進行實時查詢圖表STYLEREF1\s4SEQ圖表\*ARABIC\s156圖表STYLEREF1\s4SEQ圖表\*ARABIC\s157管理員配置配置管理員證書管理員證書：作為管理員的證書必須滿足三個條件：導(dǎo)入的管理員證書前必須先配置管理員根證書。管理員證書必須在有效期范圍之內(nèi)。管理員證書的標(biāo)準(zhǔn)擴展域的密鑰用法中必須有簽名算法。導(dǎo)入管理員證書：當(dāng)需要更換管理員證書時，將管理員證書重新導(dǎo)入。點擊“瀏覽”按鈕選擇管理員證書。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s158配置管理員根證書在配置管理員之前先要配置管理員的根證書，以下為管理員根證書的配置頁面：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s159管理員IP設(shè)置管理員IP設(shè)置主要是添加管理員IP到管理員IP列表和開啟IP限制。添加管理員IP地址到管理員IP列表。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s160啟用IP限制后只有管理員IP列表中的用戶可以訪問網(wǎng)關(guān)的管理頁面。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s161管理員IP列表對添加的管理員IP進行刪除圖表STYLEREF1\s4SEQ圖表\*ARABIC\s162當(dāng)IP限制在啟用的情況下，刪除管理員IP列表中的IP最后一個IP無法刪除注：開啟IP限制時，不允許更換管理員證書。日志管理配置系統(tǒng)日志配置系統(tǒng)日志包括設(shè)置記錄的日志類型和日志的保存方式。該系統(tǒng)支持四種日志文件類型，日志類型說明如下：管理員日志：如果設(shè)置為記錄管理員日志，則當(dāng)管理員登錄或登出網(wǎng)關(guān)以及在管理端進行的一些應(yīng)用添加刪除修改網(wǎng)關(guān)配置項信息都會記錄管理員日志。業(yè)務(wù)日志：如果設(shè)置為記錄業(yè)務(wù)日志，則當(dāng)進行認(rèn)證，訪問控制以及行為審計的情況下會記錄當(dāng)前的業(yè)務(wù)日志。調(diào)試日志：如果設(shè)置為記錄調(diào)試日志，則當(dāng)進行各類服務(wù)時，會記錄整個服務(wù)流程的相關(guān)信息。錯誤日志：如果設(shè)置為記錄錯誤日志，則當(dāng)連接外部服務(wù)出現(xiàn)異常以及非法數(shù)據(jù)導(dǎo)致異常的情況下會記錄下錯誤相關(guān)信息。日志保存方式：支持本地保存、AQS2.0、AQS3.0、Syslog服務(wù)器保存日志保存時間：配置本地日志的保存時間。過期日志處理方式：設(shè)置過期的本地日志的處理方式，可以上傳到ftp,也可以刪除。FTP配置：過期日志上傳的FTP服務(wù)器IP，端口，用戶名，密碼，上傳路徑。SYSLOG地址配置：配置SYSLOG服務(wù)器地址，端口。AQS2.0地址配置：配置AQS3.0服務(wù)器地址，端口。AQS3.0地址配置：配置AQS3.0服務(wù)器地址，端口。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s163查詢系統(tǒng)日志對于系統(tǒng)記錄的日志，提供瀏覽和下載功能，以方便管理員對日志信息的操作管理，查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s164管理員日志可以根據(jù)證書或管理員用戶名和操作時間進行查詢業(yè)務(wù)日志查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s165業(yè)務(wù)日志可以根據(jù)用戶ID號、訪問時間、應(yīng)用名稱和操作時間進行查詢業(yè)務(wù)日志。當(dāng)日志類型選擇‘業(yè)務(wù)日志’，而查詢條件‘用戶’在選擇了模糊查詢時，操作時間必須不能為空。錯誤日志查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s166調(diào)試日志查詢界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s167日志空間預(yù)警日志達到設(shè)置的預(yù)警臨界值時，當(dāng)管理員登錄會彈出警告提示，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s168日志打包下載將日志按操作時間進行歸檔，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s169系統(tǒng)設(shè)置網(wǎng)卡設(shè)置對網(wǎng)關(guān)每個網(wǎng)口的IP地址進行修改，ETH0外網(wǎng)、ETH1內(nèi)網(wǎng)可以根據(jù)需要進行修改。如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s170圖表STYLEREF1\s4SEQ圖表\*ARABIC\s171配置DNS服務(wù)DNS即域名解析系統(tǒng)，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS配置頁面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s172本地HOSTS配置本地Hosts即網(wǎng)關(guān)本地hosts文件。用來解析“用域名方式配置的應(yīng)用”的域名和IP對應(yīng)關(guān)系。在“用IP方式配置的應(yīng)用”情況下，在本地hosts文件中給該應(yīng)用IP隨意對應(yīng)一個域名，也有助于加快訪問后臺應(yīng)用的速度。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s173靜態(tài)路由設(shè)置靜態(tài)路由：指定網(wǎng)關(guān)訪問某個網(wǎng)絡(luò)內(nèi)的應(yīng)用時，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給哪個設(shè)備。該設(shè)備用IP地址來標(biāo)識，且必須和網(wǎng)關(guān)的某一個接口IP在同一個網(wǎng)段內(nèi)，稱為“下一跳”。配置靜態(tài)路由的要素有三項：目的網(wǎng)絡(luò)、目的子網(wǎng)掩碼、下一跳IP地址。例如，某靜態(tài)路由配置如下：

00

，則含義為，網(wǎng)關(guān)想要訪問/16網(wǎng)絡(luò)內(nèi)的應(yīng)用，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給00的這個IP。路由的設(shè)定，可以是計算機之間跨網(wǎng)段通信。主要用于定義封包的走向，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s174如圖所示，目標(biāo)網(wǎng)絡(luò)為，掩碼為的數(shù)據(jù)包網(wǎng)關(guān)地址為54，數(shù)據(jù)包通過ETH0流出。ETH0口的默認(rèn)網(wǎng)關(guān)是54，配置靜態(tài)路由時網(wǎng)關(guān)要配成與ETH0的默認(rèn)網(wǎng)關(guān)ETH1沒有默認(rèn)網(wǎng)關(guān)，配置ETH1的靜態(tài)路由時網(wǎng)關(guān)配成與ETH1同一網(wǎng)段即可系統(tǒng)硬件信息這里是系統(tǒng)信息的頁面。主要顯示服務(wù)器的CPU、內(nèi)存的大小、硬盤的大小等信息。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s175系統(tǒng)時間設(shè)置這里是顯示當(dāng)前網(wǎng)關(guān)的系統(tǒng)的時間，并且可以修改系統(tǒng)時間圖表STYLEREF1\s4SEQ圖表\*ARABIC\s176可信時間源設(shè)置圖表STYLEREF1\s4SEQ圖表\*ARABIC\s177設(shè)置NTP服務(wù)器，使網(wǎng)關(guān)時間自動與可信的服務(wù)器時間同步手動同步設(shè)備時間手動同步NTP服務(wù)器時間圖表STYLEREF1\s4SEQ圖表\*ARABIC\s178服務(wù)器啟停這里是服務(wù)啟停的頁面，主要有兩項功能：重啟機器和關(guān)閉機器。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s179系統(tǒng)維護恢復(fù)出廠默認(rèn)值在這里可以將系統(tǒng)的配置信息恢復(fù)到出廠時的默認(rèn)配置，執(zhí)行恢復(fù)操作時系統(tǒng)會重啟機器，如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s180備份恢復(fù)備份功能可以將用戶的當(dāng)前系統(tǒng)配置全部備份到一個文件中，以便發(fā)生錯誤時可以恢復(fù)到當(dāng)前狀態(tài)。在備份時系統(tǒng)要重新啟動，復(fù)操作可以使系統(tǒng)恢復(fù)到某一個備份的狀態(tài)，點擊瀏覽，選擇需要恢復(fù)的文件，點擊恢復(fù)，重啟系統(tǒng)，便完成恢復(fù)操作如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s181備份文件列表中的備份文件可以下載、恢復(fù)或者刪除。系統(tǒng)升級在管理頁面中點擊系統(tǒng)升級進入數(shù)據(jù)管理系統(tǒng)升級頁面，選中升級包，執(zhí)行升級，系統(tǒng)自動進行升級如下圖：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s182注：系統(tǒng)升級文件名字必須是update.zip硬件管理網(wǎng)關(guān)提供HA服務(wù)管理，網(wǎng)絡(luò)診斷管理，SNMP服務(wù)管理，系統(tǒng)監(jiān)控，網(wǎng)絡(luò)監(jiān)控，5項操作。HA服務(wù)管理HA功能實現(xiàn)當(dāng)網(wǎng)關(guān)發(fā)生異常，如宕機、斷電情況下，使網(wǎng)關(guān)能夠自動切換到備機，使用戶能夠正常使用網(wǎng)關(guān)。在開啟HA功能之前，需要先設(shè)置相應(yīng)網(wǎng)卡的IP，因為網(wǎng)關(guān)出廠時網(wǎng)卡的IP是一樣的。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s183默認(rèn)HA狀態(tài)為關(guān)閉，通過修改機器名稱來配置主機名。當(dāng)處于關(guān)閉狀態(tài)時，HA功能不起作用。選擇開啟，HA功能啟動，會出現(xiàn)下面信息：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s184配置項：機器名稱：輸入英文、數(shù)字，作為機器名稱。工作方式：開啟狀態(tài)。集群角色：可以選擇使用的本機為主機還是備機。主節(jié)點名稱：為主機的hostname。備節(jié)點名稱：為備機的hostname。虛擬IP地址：設(shè)置可以用來進行訪問的“中間IP”，與網(wǎng)關(guān)出口ip在一個網(wǎng)段內(nèi)。虛擬IP掩碼：為虛擬IP設(shè)置的對應(yīng)掩碼（1-32之間整數(shù)）。心跳端口：心跳服務(wù)端口，HA主備機間通過心跳消息來檢測對方是否存活。心跳間隔：設(shè)置間隔多長時間測試連接一次，心跳間隔在1-5秒之間。配置完成后點擊確定，提示重啟。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s185點擊“取消”，工作方式與集群角色重置。網(wǎng)絡(luò)診斷管理網(wǎng)絡(luò)診斷信息功能用來診斷網(wǎng)絡(luò)是否使用正常，可以通過Ping命令、Traceroute命令、telnet命令來檢測。界面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s186Ping命令選擇Ping命令，輸入IP格式如：97，ping個數(shù)為ping多少次停止。輸入配置信息，后點擊執(zhí)行，如果可以ping通顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s187如果不可以ping通顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s188點擊“清空”則清空當(dāng)前文本框信息。Traceroute命令選擇Traceroute命令，測試是否網(wǎng)關(guān)與所執(zhí)行的IP經(jīng)過路由，經(jīng)過的網(wǎng)關(guān)IP是多少。輸入IP格式如：65輸入配置信息，后點擊執(zhí)行，如果不過路由顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s189如果過路由顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s190過網(wǎng)關(guān)IP如圖是54點擊“清空”則清空當(dāng)前文本框信息。Telnet命令選擇Telnet命令，測試是否網(wǎng)關(guān)與Telnet服務(wù)相通。輸入IP格式如：輸入配置信息，后點擊執(zhí)行，如果可以連接成功顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s191如果連接不成功顯示如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s192點擊“清空”則清空當(dāng)前文本框信息。SNMP服務(wù)管理SNMP是簡單網(wǎng)絡(luò)管理協(xié)議，該協(xié)議能夠支持監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備的任何需要關(guān)注的情況。SNMP服務(wù)自動啟動，選擇“SNMP服務(wù)管理”顯示頁面如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s193若配置項設(shè)置如下：圖表STYLEREF1\s4SEQ圖表\*ARABIC\s194點擊“確定”，提示重啟圖表STYLEREF1\s4SEQ圖表\*ARABIC\s195重啟過程中查看SNMP服務(wù)啟動。若配置項設(shè)置如下圖表STYLEREF1\s4SEQ圖表\*ARABIC\s196點擊“確定”則提示關(guān)閉成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s197SNMP服務(wù)將被關(guān)閉。若配置項設(shè)置如下圖表STYLEREF1\s4SEQ圖表\*ARABIC\s198點擊“確定”則提示啟動成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s199SNMP服務(wù)將被啟動。若配置項設(shè)置如下圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1100點擊“確定”則提示關(guān)閉成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1101SNMP服務(wù)將被關(guān)閉。點擊“重置”則對當(dāng)前填寫信息進行回退。系統(tǒng)監(jiān)控系統(tǒng)監(jiān)控功能會對網(wǎng)關(guān)硬件信息進行實時監(jiān)控，監(jiān)控信息為cpu、內(nèi)存、硬盤使用情況。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1102“刷新頻率設(shè)置”用來設(shè)置多長時間采集一次信息，單位為秒。顯示的CPU使用信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1103顯示的硬盤使用信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1104分別顯示兩個分區(qū)硬盤使用的情況。顯示的內(nèi)存使用信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1105設(shè)置刷新頻率，點擊“保存”，提示數(shù)據(jù)保存成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1106當(dāng)輸入的刷新頻率為不為數(shù)字時，提示只能輸入整數(shù)。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1107網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)監(jiān)控功能會對網(wǎng)卡信息進行實時監(jiān)控。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1108并分別對eth0、eth1等網(wǎng)卡進行監(jiān)控，并分別對應(yīng)顯示網(wǎng)卡對應(yīng)的IP地址。當(dāng)有網(wǎng)絡(luò)流量的時候會顯示相應(yīng)信息圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1109設(shè)置刷新頻率，點擊“保存”，提示數(shù)據(jù)保存成功。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1110當(dāng)輸入的刷新頻率不為數(shù)字時，提示只能輸入整數(shù)。圖表STYLEREF1\s4SEQ圖表\*ARABIC\s1111HYPERLINK\o"點擊見說明"常見問題解答(FAQ)Agent無法做重定向認(rèn)證參考《JIT身份認(rèn)證網(wǎng)關(guān)I_Agent配置手冊.doc》，檢查Agent是否正確配置；檢查域名配置是否正確。 檢查域名正確配置，應(yīng)檢查服務(wù)器的域名配置，以及DNS配置。檢查域名配置在桌面上“我的電腦”圖標(biāo)上單擊鼠標(biāo)右鍵，在快捷菜單中選擇“屬性”出現(xiàn)如下圖的圖表STYLEREF1\s5SEQ圖表\*ARABIC\s11單擊“網(wǎng)絡(luò)標(biāo)識”選項