任天行网络安全管理系统(企业版)v3[1][1].0用户使用手册复习过程.doc

《任天行网络安全管理系统(企业版)v3[1][1].0用户使用手册复习过程.doc》由会员分享，可在线阅读，更多相关《任天行网络安全管理系统(企业版)v3[1][1].0用户使用手册复习过程.doc（103页珍藏版）》请在咨信网上搜索。

任天行网络安全管理系统(企业版)v3[1][1].0用户使用手册 精品文档 目 录 公司简介 5 版权声明 6 第1章 系统介绍 7 1.1 系统背景 7 1.2 产品型号介绍 7 1.3 主要功能概述 7 第2章 安装与配置 9 2.1 安装步骤 9 2.2 相关配置 10 第3章 界面简要说明 12 3.1 主界面风格 12 3.2 细节说明 12 第4章 功能操作详解 15 4.1 系统登录 15 4.2 全局控制 17 4.2.1 分类站点 18 4.2.2 自定义分类 19 4.2.3 即时通讯 19 4.2.4 网络游戏 20 4.2.5 财经股票 20 4.2.6 P2P下载 20 4.2.7 IP访问网页 20 4.2.8 文件类型 20 4.2.9 网址关键字 20 4.2.10 Webmail 21 4.2.11 邮件控制 21 4.2.12 音视频流媒体 22 4.2.13 控制方式 22 4.3 分组控制 24 4.3.1 机器管理 24 4.3.2 IP段分组 27 4.3.3 机器搜索 27 4.3.4 帐号管理 28 4.3.5 上网钥匙 32 4.3.6 策略设置 33 4.4 内容审计 36 4.4.1 关键字设置 36 4.4.2 审计策略 37 4.4.3 结果管理 37 4.4.4 结果查看 37 4.4.5 报警日志 40 4.5 行为报警 42 4.5.1 报警条件 43 4.5.2 报警日志 44 4.5.3 最新报警 46 4.6 黑白名单 46 4.6.1 机器黑名单 47 4.6.2 机器白名单 47 4.6.3 站点黑名单 47 4.6.4 站点白名单 48 4.6.5 帐号黑名单 48 4.6.6 帐号白名单 49 4.6.7 日志白名单 49 4.6.8 免审计KEY名单 50 4.7 流量分析 50 4.7.1 当天流量 50 4.7.2 实时流量 51 4.7.3 历史流量 52 4.7.4 自定义协议 56 4.8 日志报表 57 4.8.1 分组排名 57 4.8.2 人员排名 59 4.8.3 网络应用统计 61 4.8.4 访问资源统计 62 4.8.5 趋势分析 64 4.8.6 自定义报表 66 4.8.7 报表订阅 67 4.8.8 订阅历史 67 4.9 日志管理 68 4.9.1 综合查询 68 4.9.2 网页浏览 69 4.9.3 网页提交 69 4.9.4 聊天日志 69 4.9.5 音视频流媒体 69 4.9.6 电子邮件 69 4.9.7 远程登录 69 4.9.8 文件传输 69 4.9.9 P2P下载 69 4.9.10 上下机日志 70 4.9.11 网络游戏 70 4.9.12 财经股票 70 4.9.13 访问数据库 70 4.9.14 封堵日志 70 4.9.15 搜索关键字 70 4.9.16 系统操作日志 71 4.9.17 系统报警日志 71 4.9.18 日志备份 71 4.9.19 日志策略 74 4.9.20 日志文件管理 74 4.10 系统管理 75 4.10.1 修改密码 75 4.10.2 网络配置 75 4.10.3 中心配置 77 4.10.4 通讯配置 77 4.10.5 远程认证配置 78 4.10.6 系统参数配置 79 4.10.7 报警设置 79 4.10.8 搜索引擎配置 80 4.10.9 上班时间配置 82 4.10.10 登录IP池 83 4.10.11 内网网段 83 4.10.12 保留地址 84 4.10.13 自定义分类 84 4.10.14 通知汇报 85 4.10.15 用户权限 86 4.10.16 封堵页面 89 4.10.17 产品注册 89 4.10.18 配置向导 91 4.10.19 登录认证设置 91 4.10.20 流控模块设置 91 4.10.21 接入环境设置 92 4.10.22 数据库配置 93 4.10.23 网络工具 94 4.10.24 系统维护 94 4.11 常见问题解答 97 4.12 售后服务 99 收集于网络，如有侵权请联系管理员删除 公司简介 深圳市任子行网络技术股份有限公司成立于2000年5月，是由深圳国际技术创新研究院投资，专业从事计算机网络及信息安全技术产品研发的高科技企业。公司依托哈尔滨工业大学雄厚的科研实力，为政府、金融、电信、各类企业和大中小学校提供全方位、优质的计算机网络及信息安全解决方案。我公司现已获得深圳市高新技术企业和深圳市软件企业资格认证，并以其完善的开发、服务体系，在网络内容安全行业中最先获得了ISO9001国际质量管理体系认证；公司凭借其强大的技术实力以及相关产品带来的显著经济和社会效益，先后获得了广东省计算机信息系统安全服务二级资质证书、深圳市计算机信息系统集成资质二级资质证书。任子行公司作为国家网络安全产业化项目示范工程承担企业，持续引领着网络内容安全技术的创新和飞跃，现已成为中国著名的网络内容安全软件开发商。 任子行公司主要致力于互联网内容安全方面的研究和产品开发，现已开发出从低端家庭用户到高端电信级ISP的全方位系列化的网络内容安全审计和管理产品，产品全部通过国家权威机构的认证。尤其是我公司开发的“网吧”安全审计管理系统在目前的国家“网吧”安全治理专项斗争中得到较为广泛的应用，并取得显著的成效。我公司还承担了多项国家重点网络安全项目，在取得显著的经济和社会效益同时也为国家互联网内容安全技术贡献了智慧和力量。公司创造了“以人为本”的企业文化氛围，并吸引了一批高瞻远瞩、经验丰富、成绩辉煌的高科技技术和管理人才，强大的人力资源成就了企业的不断发展。 展望明天，任子行公司将秉承“诚信、敬业、协同、创新”的企业精神，以适应市场的发展为导向，以提供安全、可靠、经济、具有超前性的安全产品和服务为使命，让用户安全地遨游于广阔的网络空间，充分享受互联网带给人们的全新生活理念与发展机遇。 版权声明 任天行网络安全管理系统是深圳任子行网络技术股份有限公司自主开发的软硬件一体的高速数据采集和分析平台；是深圳任子行网络技术股份有限公司系列审计系统产品中的一种。 ©2000-2009，深圳市任子行网络技术股份有限公司版权所有，请勿侵害。未经深圳市任子行网络技术股份有限公司的正式许可，任何单位及个人不得以任何方式或理由对上述产品、信息、材料的任何部分进行使用、复制、修改、抄录、传播或与其它产品捆绑使用或销售，否则将受到相应的刑事及民事制裁，并将在法律许可的范围内受到最大程度的起诉。对于本手册的内容，深圳市任子行网络技术股份有限公司拥有最终的解释权。 任天行网络安全管理系统用户使用手册旨在介绍该系统硬件的主要功能以及如何在网络环境中安装和使用它。在安装或使用该硬件之前，应当先通读本手册。深圳市任子行网络技术股份有限公司保留更改本产品及其随附文件的权力，恕不另行通知。不应将此理解为任子行公司的责任，任子行公司无需对可能出现在本文档所包含的信息内容中的错误承担任何责任或义务。如果您有关于本文档或任何任子行产品文档的问题、意见或建议，请通过我公司的客户服务电话、我公司网站（）或者客户服务电子邮箱（support@）与我们联系，我们非常欢迎您的反馈意见。 第1章 系统介绍 1.1 系统背景 在经济信息化和社会信息化的推动下，互联网已经渗透到了社会的各个角落。随着人们对信息网络互联要求的不断提高，宽带接入已经越来越受到了人们的欢迎。但是，随着互联网的不断发展，人们对互联网上传播的信息也尤为关注，网络在带给人们方便的同时，也充塞着大量的不良信息。因此，对互联网上信息的管理已变得更加重要。 任天行网络安全管理系统可应用于企业、学校和宽带小区等宽带接入用户，适用于这些单位上网的管理，系统除具有管理部门所要求的安全审计功能外，还具有针对单位管理需要上网管理功能，可以很好的满足单位内部的联网管理的需要，真正做到切实维护互联网正常的使用秩序，适用于网吧、宾馆、企事业单位、学校、小区等多种性质的宽带公共上网用户。 1.2 产品型号介绍 任天行网络安全管理系统硬件设备按可承受的网络流量分为百兆系列、千兆系列两大类；按用户数分为T100、T300、T500、T1000、T1500、T3000、T5000、T10000，其中T3000及以上的机型为千兆系列的机器。 百兆系列适用于百兆网络环境，千兆系列适用于千兆网络环境。 1.3 主要功能概述 l 实时封堵互联网不良信息 系统实时拦截任何访问不良站点的网络行为，并返回警告页面信息给用户端。 l 实时封堵即时通讯及网络游戏 系统实时控制用户端的QQ、MSN、ICQ、YahooMessenger等通讯及文件传输，控制QQ游戏、联众、边锋等网络游戏的登录。 l 实时封堵财经股票 系统实时控制用户端登录财经股票系统，如大智慧行情分析、飞天行情分析、龙卷风行情分析等。 l P2P下载及下载文件类型控制 由于终端客户机上网时可能下载一些与工作内容无关的大数据量的文件，比如AVI、MPEG等文件，这些文件在下载时极大地影响了整体的网络速度。网络管理者可以控制是否允许P2P下载、定义可以下载的文件类型，以确保正常的网络速度。比如：“eMule”和“BT软件”。 l URL地址关键字过滤 根据上网请求URL之中的关键字进行智能模糊匹配过滤，与关键字匹配的网址将被限制访问。 l 收发邮件控制 可以设置WEBMAIL邮箱的URL控制列表，以实现禁止使用指定的WEBMAIL收发邮件。 可以设置POP3、SMTP协议的邮件服务器控制列表，通过选择只封堵或只开放该列表中的邮件服务器来实现对收发邮件的控制。 l 局域网内机器管理和帐号管理 可以实现对局域网内IP地址和机器名的搜索，并对搜索到的机器信息进行分组管理；还可以设定部分或全部机器须用帐号上网，通过对帐号的分组管理，可实现在同一机器上不同用户具有不同的上网活动权限。 l 全面直观的网络控制策略 管理人员可以根据实际需要实现灵活的网络控制策略，包括对全局、机器组、帐号组进行网络控制策略设置，以满足部分小组对网络使用的特殊需要。 l IP与MAC绑定 允许您将特定机器或批量机器设置成绑定机器的IP地址和MAC地址。该功能杜绝了改动IP地址就不受控制策略限制的情况。 l 内容审计功能 通过设置内容审计条件，可实时获取局域网内用户进行各种网络访问的详细内容，可审计到的项有电子邮件、HTTP网页、TELNET远程登录、FTP文件传输、MSN及YahooMessenger即时通讯、网上发贴，此外，可通过设置源IP地址来进行以上各项的内容审计。 l 实时查看上网情况 可实时查看当天流量情况，查看正在进行网络活动的用户及活动情况，以获知当前网络流量比较大的用户及距当前某段时间内上网很活跃的用户。 l 记录全面的互联网访问信息 系统通过捕获并分析网络数据包，还原出完整的协议原始信息，并准确记录网络访问的关键信息。分析协议包括HTTP、HTTPS、SMTP、POP3、TELNET、FTP、QQ、MSN、ICQ等。日志记录保存在产品自身的存储设备中，用户可自行设定日志保留的天数及磁盘限额。 l 日志备份与恢复 可以通过将记录上传至指定的FTP服务器来备份日志。备份的方式有自动备份和临时手工备份。当因异常导致系统日志数据丢失时，还可从备份服务器中恢复以前的日志数据到系统中。 l 丰富的日志报表和趋势分析图 系统提供各种上网活动的排名、统计、趋势分析图。可对分组、对人员进行网络活动排名，对访问资源进行统计，对各网络活动进行访问趋势分析。 l 自定义封堵站点及报表 用户可自行设置需要封堵或策略控制的站点列表，还可选择各种报表输出和显示图样，以满足个性化需求。 第2章 安装与配置 2.1 安装步骤 l 第一步：准备连接的网络设备 与任天行设备连接的网络设备必须是共享式集线器（HUB）或者能够进行端口镜像的交换机（SWITCH），并将网络出口的端口镜像于一个空闲端口，任天行设备需要连接该镜像端口。 任天行硬件设备整体为黑匣子设计，用户无需再对硬件主机内部结构和安装作调整，只需要根据实际运行环境将主机放置在平稳的平面或者固定在标准工业机架上。 特别提示：由于设备的加长特性，必须安装在相对平稳的平台上面！ l 第二步：接入网络中 典型的连接方式（百兆与千兆相同），如下图所示： 只需将硬件设备的监测网络接口（默认为eth0）接到总出口的交换机镜像端口上或者任意一个HUB端口，通讯网络接口（默认为eth1）接入到空闲交换机的普通端口或者HUB的端口，即可进行网络审计和信息过滤。eth2主要是备用网口。 针对网络出口使用共享式集线器（HUB）或者出口使用的交换机本身具有端口映射功能的网络系统，我们建议采取并联方式接入硬件设备，这种接入方式在设备故障或断电的情况下不会影响整个网络的畅通，保证了原有网络的可靠性。 2.2 相关配置 按照上述要求完成物理连接后，需要根据实际的网络环境对硬件设备进行配置后才可以使用本系统。本系统可以使用WEB浏览器进行配置。以下介绍使用WEB浏览器进行配置的步骤和注意事项： 1. 使用本系统前必须准备一个空闲的局域网内部IP地址（不要求准备外部Internet的IP地址）。 2. 任天行设备内设默认IP地址192.168.0.99，系统在应用于实际环境之前必须根据实际的网络环境修改系统网络配置。 3. 准备一台装有IE浏览器的Windows客户机连接至硬件设备的通讯网络接口上，将Windows机器的IP地址设置为与硬件设备同一网段192.168.0.10（子网掩码255.255.255.0）（只要不是192.168.0.99即可）。 4. 打开IE浏览器，在地址栏中键入“https://192.168.0.99/manage/”，回车进入用户信息注册页面，该页面的操作方法请参考本手册功能操作详解中的说明，在系统的网络配置中按照实际的网络环境设置通讯口的IP地址，并设置正确、有效的网关地址。 5. 设置好通讯口的信息后，Windows客户机的IE浏览器会与任天行设备断开连接，这是正常现象，因为任天行设备的IP地址已经修改为与Windows客户机不同网段的IP地址。 6. 关闭设备的电源（为了保障设备的正常运行，应该通过软件关机），将硬件设备连接至实际网络环境，再开机即可正常运行。 7. 开机后通过“https://修改后的通讯口的IP地址/manage/ ”进入系统界面。 特别提示：为了避免出现一些脚本运行权限的问题，建议您把任天行的IP地址列入IE的可信任站点列表。如下图所示： 第3章 界面简要说明 3.1 主界面风格 本系统管理平台的每一个页面分成四个部分，页面的上部为标题、快捷按钮区，页面的左边为导航子菜单区与导航菜单区，中间为系统状态显示区。 导航菜单区可以选择隐藏，菜单是系统操作的导航，各个功能页面均通过菜单来相互切换，在进行切换操作时，中间页面将呈现不同的内容。主页面布局如下图。 导航子菜单区 标题、快捷按钮区 系统状态显示区 导航菜单区 特别提示：在使用本系统时，为了得到最佳的显示效果，我们建议您将显示器的分辨率调整为1024×768。同时确保你的IE浏览器为5.5或以上的版本，且设置浏览器不会屏蔽弹出窗口。 3.2 细节说明 在系统页面的顶部，显示了系统名称、当前登录用户、所处位置（页面路径）、系统快捷链接、系统时间，如下图一。 图一 在系统页面的底部，显示了距当前某段时间内的在线人数统计数据，及本日的封堵次数、网络流量的统计数据，如下图二。点“刷新”链接可实时刷新数据，若勾选“登录时弹出提示”复选框，下次登录系统时将弹出在线统计信息提示框，点“弹出”链接可即刻弹出在线统计信息提示框。 图二 以下对系统页面顶部的各个系统快捷链接进行详细说明： l 现场观察：通过此链接（鼠标所指处）可以快速查看到“当前活动”、“实时日志”、“实时流量”页面。如下图三。在“当前活动”分页，以列表的方式，显示了某时间范围内（可从页面的下拉框中选择）所有受控机器中上网活跃的机器、网络活动内容等信息。在“实时日志”分页，滚动显示了各机器当前正在进行的网络活动信息，在该界面上单击鼠标可使列表停止滚动，双击鼠标则使列表继续滚动。在“实时流量”分页，可以查看到所有受控机器的流量大小趋势和流量排名。 图三 l 系统状态：通过此链接（鼠标所指处）可以查看整个系统的设置情况。如下图四。 图四 l 帮助：提供系统操作说明及常见问题解答等。如下图五。 图五 l 关于：显示任天行网络安全管理系统的版本、产品信息等。在当前版本信息后有两个链接：“补丁说明”、“附加模块”，点击“补丁说明”后系统会新打开一网页，显示已打补丁的信息；将鼠标移到“附加模块”上时，系统会以提示的形式显示附加的独立模块名，若未装任何独立模块，则显示“无”。 l 退出：关闭主窗口，退出整个操作界面。 第4章 功能操作详解 4.1 系统登录 使用系统前，必须经过登录。需要输入合法的用户名、密码和校验码，通过系统验证后才能进入系统。系统登录所进行的操作都记录在系统操作日志中。 为方便用户使用，任天行系统采用了“B/S（浏览器/服务器）结构”，您可以在任意一台能与任天行硬件系统正常通讯的计算机上，通过以下方法访问本系统的功能界面：在浏览器地址栏中输入“https: //任天行硬件系统IP地址/manage/”（其中“任天行硬件系统IP地址”是您在第二章节中“相关配置”所设置的IP，如果您从未进行设置，则默认为192.168.0.99），按“回车”键后即进入任天行系统的登录界面。您在登录界面输入正确的用户名、密码、校验码后，点击“登录”按钮即可进入系统主界面。 特别提示：本系统提供30天的免费试用期（从第一次开始安装系统时开始计算），该期间内任何用户均可正常使用本系统的所有功能。试用期过后，如果用户仍未进行产品注册，那么用户将不能操作此系统，试用期间您所做的任何设置及所有数据将失去其实际的作用。为了避免此类情况的发生，在试用期间，您可以随时点击登录界面右下方的“我要注册”链接，注册您的软件。具体流程及方法请参考本手册“产品注册”的说明。 如果您是第一次使用本系统，首先要注册一个用户帐号，用户帐号注册好后，便可以通过该帐号登录系统。注册帐号如下图： 特别提示：注册帐号时请填写正确的常用邮箱地址、密码提示问题和问题答案，以方便忘记帐号密码时取回密码；如果您没有正确填写相关信息，当密码忘记时，请与任子行客服人员联系。（具体联系方式请查阅售后服务） 4.2 全局控制 该模块可对局域网中所有受控机器的网络活动进行全局控制。您可以在此进行各项上网权限设置，设置好后点“确定”按钮，即可使所做设置立即生效。 上网权限主要有以下几种设置： 1. 开放 or 封堵 如：分类站点、IP访问网页，下图一为IP形式访问网页的上网权限设置页面。 图一 2. 开放 or 封堵 or 策略控制 如：自定义分类、游戏控制、P2P下载，下图二为自定义分类的上网权限设置页面。 图二 3. 关键字 如：文件类型、搜索关键字、Webmail，下图三为文件类型的封堵设置页面。在设置区的文本框内输入需要封堵的关键字，点“确定”后即以列表的形式显示在页面右方的显示区；提供查询功能，可在查询区对已设关键字进行查询，查询结果将显示在结果显示区；提供删除功能，若需要取消对某关键字或所有关键字的封堵，则可在右边列表中勾选部分或全部记录将其删除。 设置内容显示区 查询结果显示区 帐号黑名单显示区 自定义分类信息 帐号黑名单设置区 日志白名单显示区 日志白名单设置区 自定义分类站点对自定义分类站点的操作 隐藏/显示按钮 导出按钮 关键字设置区 关键字显示区 关键字查询区 帐号黑名单显示区 自定义分类信息 帐号黑名单设置区 日志白名单显示区 日志白名单设置区 自定义分类站点信息 对自定义分类的操作 帐号黑名单查询区 日志白名单查询区 关联帐号 应用对象显示区 应用对象显示区 操作项 机器组操作区 操作项 帐号组操作区 帐号信息显示&操作区 操作项 机器组操作区 操作项 帐号组操作区 帐号信息显示&操作区 查询区 操作项 机器信息显示&操作区 机器分组显示区 应用对象显示区 机器组操作区 操作项 帐号组操作区 帐号信息显示&操作区 帐号分组显示区 策略分配&管理区 关键字显示区 区 查询区 图三 特别提示：在设置关键字前，请参阅各项封堵设置所对应的规则说明，并依照说明进行设置。 各类设置的功能如下： l 开放：允许局域网内所有受控机器进行对应的网络活动，例如，将“IP访问网页”设置成“开放”，则所有受控机器均可以通过IP访问网页。此时“分组控制>>策略设置”功能模块中的相关设置将失效。 l 封堵：禁止局域网内所有受控机器进行对应的网络活动，例如，将“IP访问网页”设置成“封堵”，则所有受控机器均不能通过IP访问网页。此时“分组控制>>策略设置”功能模块中的相关设置将失效。 l 策略控制：将依据“分组控制>>策略设置”功能模块中的设置进行上网控制。有关策略设置的相关内容，请参见本手册中的“策略设置”。 l 关键字：含有所设关键字的对应的网络活动将被禁止，例如，设置一文件类型关键字“exe”，则所有受控机器均不能下载exe类型的文件。 此外，系统还对某些网络活动提供了更多的可设置项，如网络活动“即时通讯”、“邮件控制”，具体内容详见以下各相关章节的说明。 特别提示：机器白名单内的机器处于所有网络控制的范围外，即处于机器白名单内的机器的所有网络活动都不受系统的控制。 4.2.1 分类站点 任天行系统自带了我公司特有的分类站点库，该站点库将众多站点分为色情、不良、游戏电玩、毒品、不良言论等20多类，是国内最大的站点列表。在该功能模块，您可根据实际需要选择是否禁止局域网内机器访问这些站点。 特别提示：我公司有专人负责搜集与整理各类分类站点，在我公司专有服务器上会定期升级该站点库，请您参见本手册系统管理中“系统升级”的说明，定期升级您系统中的该站点库。 4.2.2 自定义分类 该功能模块提供自定义分类封堵设置功能，您可以统一设置开放、封堵或策略控制某分类站点。 任天行系统提供您自行定义分类站点的功能（您可根据需要定义一些相同类型的站点为一个分类，在分类里可以添加一些站点地址。有关自定义分类和分类站点的具体操作，请参见本手册系统管理中的“自定义分类”）。 特别提示：此处的自定义分类的显示与系统管理的自定义分类中的分类站点相对应。系统默认显示“Games”和“Shopping”这两项，若您在系统管理处分类站点中将此二分类删除，则此处页面将提示“目前还没有设置站点分类, 前往设置:>>>”；若您在系统管理处分类站点中增加了新分类，则此处页面也将显示新分类，并可对其进行封堵设置。 4.2.3 即时通讯 在该功能模块中，您可以对QQ、MSN、ICQ、Yahoo Messenger等9种即时通讯工具统一设置开放、封堵或策略控制。此外，还可设置为“开放”但“禁止文件传输”，如下图的设置：允许通过QQ和MSN进行即时通讯，但不允许通过QQ和MSN发送或接收文件。 在后续版本中我们还会支持对更多的即时通讯工具的控制。 特别提示：QQ封堵功能的有效性依赖于系统中的“系统管理>>内网网段”设置，若未设置内网网段或设置了错误的内网网段，则QQ封堵无效或封堵不稳定。有关内网网段的设置，请参见本手册中”系统管理”的“内网网段”。 4.2.4 网络游戏 在该功能模块中，您可以对QQ游戏、联众、中国游戏中心、边锋、远航、浩方、魔兽世界、征途等18种在线网络游戏统一设置开放、封堵或策略控制。 在后续版本中我们还会支持对更多的网络游戏的控制。 4.2.5 财经股票 在该功能模块中，您可以对大智慧行情分析、飞天行情分析、龙卷风行情分析等10种财经股票统一设置开放、封堵或策略控制。 在后续版本中我们还会支持对更多的财经股票的控制。 4.2.6 P2P下载 在该功能模块中，您可以对“BT”、“eMule” 的P2P下载工具统一设置开放、封堵或策略控制。 目前系统能控制的BT软件有：BitComet、BitTorrent Deadman Walking、比特精灵Bit Spirit、TurboBT等，在后续版本中我们还会支持对更多的P2P下载软件的控制。 特别提示：P2P下载封堵的有效性依赖于系统中的“系统管理>>内网网段”设置，若未设内网网段或设置了错误的内网网段，则P2P下载封堵无效或封堵不稳定。有关内网网段的设置，请参见本手册中”系统管理”的“内网网段”。此外，若已开始下载，再进行封堵，则无效。 4.2.7 IP访问网页 在该功能模块中，您可选择是否允许局域网内机器使用IP形式访问网页。 目前系统仅能控制HTTP协议网页的基于IP访问，对于HTTPS网页的IP访问控制尚在开发中。 特别提示：此处的控制设置对处于内网网段中的地址不起作用，即：若设置封堵IP访问网页，则仍能以IP形式访问处于内网网段中的地址。 4.2.8 文件类型 在该功能模块中，您可以禁止受控机器从互联网上（以http协议）下载指定类型（后缀）的文件。 4.2.9 网址关键字 在该功能模块中，您可以设定一些网址关键字，以使受控机器无法在URL地址中包含和搜索引擎中搜索该关键字的信息。 4.2.10 Webmail 在该功能模块中，您可以设定一些webmail地址，以使受控机器无法通过这些webmail地址进行邮件收发。 4.2.11 邮件控制 邮件控制是对邮件服务器的控制。在该功能模块中，您可以根据需要灵活设置：可选择“只开放”或“只封堵”，可添加邮件服务器或使邮件服务器列表为空，通过两者结合来实现对邮件服务器的控制。 l 若选择了“只封堵”，且添加了邮件服务器（邮件服务器列表非空），则系统仅封堵列表中的邮件服务器，对其他的邮件服务器不进行控制。 l 若选择了“只封堵”，而邮件服务器列表为空，则系统不对任何邮件服务器进行封堵，即可以通过任何邮件服务器收发邮件。 l 若选择了“只开放”，且添加了邮件服务器（邮件服务器列表非空），则系统仅开放列表中的邮件服务器，对其他的邮件服务器均进行封堵。 l 若选择了“只开放”，而邮件服务器列表为空，则系统对任何邮件服务器都进行封堵。 如下图的设置：只禁止通过163邮件服务器发邮件，对于通过163邮件服务器收邮件、以及通过其他邮件服务器收发邮件，均不封堵。 此处可添加、查询、删除邮件服务器地址，其操作与文件类型等处的“关键字”的操作类似，可参阅对于“关键字”的操作说明。 特别提示：为了使邮件控制生效，须对任天行系统配置正确的DNS地址。 4.2.12 音视频流媒体 在该功能模块中，您可以对“Media Player”、“Real Player”、“QQ Live”、“PP Live”、“PP Stream”、“网页音视频”统一设置开放、封堵或策略控制。 4.2.13 控制方式 在该模块，您可以根据需要设置对受控机器的控制方式。系统提供了IP控制方式、MAC控制方式、帐号控制方式和混合控制方式四种控制方式供您选择。选择“帐号控制方式”或“混合控制方式”时，还需选择相关的认证方式。 特别提示：默认情况下，“MAC控制方式”不可见，须由用户提出要求可见，才会使其显示在控制方式设置页面。 4.2.13.1 功能关联 控制方式的选择，将决定“分组控制”（参见4.3章节）中的子菜单显示及其“策略设置”处的对象列表。 l 当选择“IP控制方式”或“MAC控制方式”时，分组控制相关内容显示如下图一。 图一 l 当选择“帐号控制方式”时，分组控制相关内容显示如下图二。 图二 l 当选择“混合控制方式”时，分组控制相关内容显示如下图三。 图三 当为“混合控制方式”时，“机器管理”页面中的“操作项：”下拉框中，较其它控制方式时多了“设为帐号控制”和“设为IP控制”的操作项。 4.2.13.2 帐号认证相关设置 当选择“帐号控制方式”或“混合控制方式”时，需要设置帐号认证相关项：帐号自动注销时间、帐号认证方式。 系统默认的帐号注销时间（当超出此时间仍无网络活动，帐号将自动注销上网）为240分钟，您可以根据需要修改之。 系统的帐号认证方式，即处于帐号控制的机器（包括帐号控制方式时的所有机器、混合控制方式时被设为了帐号控制的机器）在使用帐号进行上网登录时的认证方式，分为本地认证、远程Windows域用户认证、远程Lotus-LDAP用户认证。使用非本地认证时，需正确地配置认证服务所需信息，否则，域用户认证功能将不能正常进行。对于任天行系统，Windows域认证时，需获得认证服务器地址、域名、域管理员帐号及密码、域服务器根证书，Lotus-LDAP认证时，需获知认证服务器地址和域名。 不同的认证方式对应不同的帐号类型（本地帐号、Windows域帐号、Lotus域帐号），各种认证方式下，处于帐号控制的机器上网时，须使用对应类型的帐号。本地帐号：“帐号管理”中从本地文件导入的帐号，或通过手工添加生成的帐号；Windows域帐号：从Windows域服务器中导入的帐号，或某机器使用域帐号上网后，被添加到任天行系统的帐号列表中的帐号；Lotus域帐号与Windows域帐号的来源类似。使用域帐号时，该帐号须在相应的域服务器中已设置好。 4.2.13.3 其它相关配置 当选择“混合控制方式”时，您可以根据需要，设置新增机器（即在设置好所有受控机器的控制方式后，系统新搜索的或被新添加的机器）的默认控制方式：IP控制或帐号控制，系统默认设置为“IP控制”。 在各控制方式下，您都可以开启IP与MAC地址绑定的功能。需要开启时，勾选“开启IP/MAC绑定”复选框即可。该功能开启后，在“机器管理”中的“操作项：”下拉框中即显示“MAC绑定”项，您可以选择某些机器设置IP/MAC绑定。 特别提示：三层交换网络环境下切勿开启。由于网络环境的原因，开启后可能会导致MAC不准确，影响整个局域网的网络活动。 4.3 分组控制 该功能模块显示系统所监控的局域网中所有机器（组）的情况，并可以对机器、帐号进行管理，以及策略控制。 在分组控制中，控制方式将根据“系统管理>>控制方式”中的设置，对局域网内的所有机器实现不同的控制。（参见4.2.13控制方式） 4.3.1 机器管理 该功能模块页面由三部分组成：机器分组显示区、机器组操作&辅助分组区、机器信息显示&操作区，如下图。点击某机器分组，则该机器分组包含的所有机器的信息会显示在“机器信息显示区”。 机器信息显示&操作区 机器分组显示区 机器组操作区 操作项 点击机器列表中的各标题栏，可以根据相应的字段对机器信息进行排序。 4.3.1.1 机器组操作 “机器分组显示区”列出了任天行系统所在局域网中的所有机器组（以树型结构显示多级分组名和分组内的机器数目）；在“机器组操作区”提供了新增、修改、删除分组的功能。 l 新增一级组名：单击机器分组显示区中的“整个网络”后，在“组名称”对应的文本框内输入新的机器组名，点击“新增组”按钮即可新增一级组名。 l 新增多级组名：在机器分组显示区，选择需要多级分组的某组名，在“组名称”对应的文本框内输入新的机器组名，点击“新增组”按钮，即可在某组名下新增下一级组名。目前分组级别不受限制。 l 修改组：在“机器分组显示区”选中需要修改的机器组，其分组名称会显示在文本框中，将该名称修改为您需要的组名，点击“修改组”按钮即可。 l 删除组：在“机器分组显示区”选中需要删除的机器组，点击“删除组”按钮即可。 特别提示：删除机器组时，属于该组的机器及其信息将被删除，请慎用该功能。 4.3.1.2 机器操作 在“机器信息显示&操作区”，您可以进行如下操作： 手工添加、导入、导出、修改、查询、（参见上图中机器信息列表上方的说明文字及功能按钮） 系统可以自动搜索和手工添加机器，而手动添加又可分为单个增加及导入的方式。自动搜索方面的内容请见4.3.3。 l 手工添加：点击“手工添加”按钮，系统弹出新增对话框，在该对话框中，您可以根据机器实际情况填写和设置相应的信息，点“确定”按钮，即可将该机器及信息添加到机器列表中。填写机器信息时格式须正确，否则不能成功添加。 l 导入：点击右上方的“导入”按钮，系统会提示导入说明及其它注意事项（如图），浏览并选择好要导入的文件，点击“确认”就可以将机器信息导入。导入是采取追加方式，不清空原有机器和组，同时也不覆盖原有的机器列表。如导入文件中的组名在整个网络树型结构中不存在，系统在执行导入的过程中，会根据导入文件中的组名自动创建机器组或多级机器组。目前导入的文件的类型为txt和CVS。 l 导出：在机器分组显示区点选您要导出的机器组或整个网络，在“导出”按钮左边的下拉框中选择一种导出格式（PDF、Excel、Word、txt或CVS），点“导出”按钮，即可以该格式导出某个分组机器或所有机器信息。 l 修改：在机器信息列表中，双击某机器所在行，系统弹出修改对话框，在该对话框中，您可以根据需要对该机器进行修改（IP地址是机器的标识，不可改），点击“确定”按钮即可。修改时格式须正确，否则修改不成功。 l 查询：点击“查询”按钮，系统弹出查询对话框，在该对话框中，您可以根据需要设置查询条件进行查询。各查询条件的查询为模糊匹配。 1. 批量改组、删除等（参见上图中机器信息列表下方的“操作项”） 此处各项操作均采取“先选中对象，再选择操作项”的模式，选择对象时，可在列表中勾选，也可在列表下方勾选某复选框。 l 批量改组：选中需要批量改组的对象，在“操作项：”下拉框中选择“批量改组”项，系统弹出批量该组对话框，设定需要修改到的组后，点“确定”按钮，即可将选定的对象改组。 l 删除：选中需要删除的对象，在“操作项：”下拉框中选择“删除”项，经确认后即可将选定的对象删除。 l MAC绑定：选中需要设置MAC绑定的对象，在“操作项：”下拉框中选择“MAC绑定”项，系统弹出MAC绑定对话框，设定IP/MAC绑定为“是”或“否”后，点“确定”按钮，即可对选定的机器进行MAC绑定或者取消MAC绑定。 特别提示：“MAC绑定”操作项依赖于4.2.13控制方式中的“开启IP/MAC绑定”项的设置（只有当已开启IP/MAC绑定时，才具有该操作项）。 l 设为帐号控制：选中需要设为帐号控制的对象，在“操作项：”下拉框中选择“设为帐号控制”项，经确认后即可将选定的对象设为帐号控制。 l 设为IP控制：选中需要设为IP控制的对象，在“操作项：”下拉框中选择“设为IP控制”项，经确认后即可将选定的对象设为IP控制。 特别提示：“设为帐号控制”和“设为IP控制”操作项