linda

全文下载：http://www.trustcomputing.com.cn/help/cn/system/quickset/quickset_intro.doc

一、概述
初始设置页面以调查问卷的形式呈现，隐藏了相关的技术细节，适用于初次设置或新手进行一站式设置，涉及到的功能有网卡设置、管理主机、DHCP服务、DNS解析、网桥设置、NAT策略、总控策略、DMZ对外服务器、网络审计、WEB审计过滤（WAF）、MSN审计过滤、QQ审计过滤、特殊应用、DNS代理过滤、DNS&URL库、SSLVPN等，各项还可以进行进一步的细化设置，其它未涉及到的功能需要另外做设置。
本功能假设的外、内网卡分别是设备的第一块（G1/WAN）、第二块（G2/LAN）网卡，连接网线时要注意相对应。当然，也可以不使用初始设置功能，自行定义内外网卡及进行其它策略设置。
二、登录WEB管理界面
第一次登录WEB管理界面视频演示URL：
http://www.trustcomputing.com.cn/help/cn/system/webadmin/webadmin_first_login.html
1）用网线连接管理员PC机的网卡及本设备的LAN网卡，用另外一根网线连接外网设备和本设备的WAN网卡。
2）在管理员PC机上添加LAN网络的管理主机地址，初始值为192.168.10.2，
启动IE浏览器，在地址栏中输入https://192.168.10.1:8443，以策略管理员ppp的身份登录，初始口令是welcome。
与此类似，第三块（G3/DMZ）网卡的IP初始值是192.168.20.1，该网络的管理主机地址是192.168.20.2；第四块（G4/OPT）网卡的IP初始值是192.168.30.1，该网络的管理主机地址是192.168.30.2，当因某种原因管理员不能登录某个网卡进行管理时，可以试着接入其它网卡进行管理。
3）如果是初次登录需要更改口令，新口令的长度一般大于等于8，新口令的复杂度为字母和数字的组合。
4）更改口令后进入策略管理员界面，如果是初次登录会弹出对话框询问“现在开始初始设置吗？”，如图1所示，点击“确定”按钮进入初始设置界面。

图1 初次登录“初始设置”提示框
其它方式还包括选择左侧的主菜单“系统管理>系统>初始设置”链接，如图2所示；或者选择右上方的“初始设置”快捷链接，如图3所示。

图2 “初始设置”主菜单链接（左侧）


图3 “初始设置”快捷链接（右上方）
三、初始设置的内容
来源NAT接入视频演示URL：
http://www.trustcomputing.com.cn/help/cn/system/quickset/quickset_snat_demo.html
透明网桥接入视频演示URL：
http://www.trustcomputing.com.cn/help/cn/system/quickset/quickset_bridge_demo.html
初始设置界面如图5所示，中间列为需要设置的内容，右边列为系统当前的状态值。右键点击右边列表头的“当前值及状态”链接，将弹出多个TAB选项卡显示相关功能页面。
点击主界面使得该界面成为当前焦点，再按“F1”键，或者左键点击三角图标 ，系统在屏幕的上方弹出帮助窗口，此帮助方式也同样适用于其他功能界面，如下图4所示。

图4 帮助窗口界面


图5 初始设置界面
① 设置外网网络参数
选择WAN网卡IP的方式并输入相关内容，在“透明网桥”运行方式时可以不设置WAN网卡的IP地址、网络掩码及网关地址。
② 设置内网网络参数及管理主机
输入LAN网卡IP地址、网络掩码以及LAN网络的管理主机IP地址。
注意：
1）如果LAN IP地址及网络发生改变，例如：当前是192.168.10.1/24,新的是192.168.0.1/24,则需要在管理员PC上添加新的管理主机IP，例如：192.168.0.2，再继续进行管理，新的WEB URL是https://192.168.0.1:8443。
2）如果LAN IP地址及网络发生改变，且新的网段与本设备现有的其它网卡的网段相同，则需要先修改其它网卡IP及网络掩码（主菜单:访问控制>网络设置>网卡设置），再回到初始设置做设置。例如：LAN网卡当前是192.168.10.1/24,新的是192.168.20.1/24,与DMZ网卡网段相同，则需要先修改DMZ网卡为192.168.21.1/24，再做初始设置。
③ 设置DHCP服务
DHCP服务是针对LAN网络的PC机，方便其IP、掩码、默认网关、DNS服务器等TCP/IP参数的自动获得。如果是C类网段，IP地址池从第11位开始。
④ 设置本设备的DNS服务器
DNS服务器IP以本地ISP提供的优先，114.114.114.114是电信官方DNS服务器，不要加上8.8.8.8等境外的DNS服务器IP，因为会被阻拦。DHCP服务和DNS代理过滤、WEB代理等程序会用到该DNS服务器IP。
⑤ 设置服务器IP及端口
对外发布的服务器可以放置在DMZ区（安全性高），如果有第3块网卡；也可以放在LAN区，如果只有2块网卡。端口的输入可以是一个也可以是多个，多个端口值用逗号分隔，形如“80,8081”这样。当端口值包含80时，系统启用WAF规则中的CGI参数项，用于过滤一些特殊符号，防止SQL注入扫描、攻击。如果网站正常URL被阻拦，则需要进一步调整WAF规则，设置URL白名单或者调整CGI参数项。
当运行方式是“来源NAT”时，系统会为每一个端口创建一条DNAT策略；当运行方式是“透明网桥”时，系统会为每一个端口创建一条总控策略，可以在此策略基础上在做修改。
⑥ 选择符合当前网络环境的运行方式：
（A）本设备作为边界网关
则选“来源NAT”方式，LAN网络通过来源地址转换上外网，WAN IP为转换后的外网IP。请参考“四、初始设置示例说明”中的示例一。
（B）本设备放在外网NAT路由器和内网交换机中间
则选择“透明网桥”方式，此时需要填写LAN网卡的IP地址、网络掩码和网关地址——即外网NAT路由器的内网IP地址，而WAN网卡的IP地址、网络掩码和网关地址可以不填。请参考“四、初始设置示例说明”中的示例二。
（C）内外网络均可路由或用于内网连接
则选择“纯路由”方式，按此方式设置后，将没有NAT转换和网桥。
⑦ 选择总控策略，实现访问控制和流量控制
如果选择“标准流控策略”选项，则系统会自动生成适用于内网上网的总控策略，点击菜单“访问控制>基础策略>总控策略”进行查看，以此策略集合为基础，管理员还可以根据网络实际情况，对流量对象、会话对象及总控策略本身等做进一步的优化。
⑧ 选择网络审计策略
如果选择“启用”选项，系统会自动开启DNS、WEB、WEBPOST、FTP、EMAIL、TELNET、MSN、QQ等网络审计项目，其中WEB审计还包含过滤措施:URL库过滤和WAF规则过滤（需要进一步设置），MSN、QQ审计包含对登录账号的过滤措施（需要进一步设置）。
⑨选择上网管理策略
上网管理策略主要有“特殊应用”和“DNS&URL库”两大控制项，根据网络实际情况，勾选相应的子项。
“特殊应用”中，选中的将被阻拦，没选中的通过且做审计。
“DNS&URL库”可以同时对DNS域名查询和WEB URL进行过滤，前者由DNS代理执行，后者由WEB审计执行，选中的将被阻拦，如果全部都没选中，则停用DNS代理。

[ 本帖最后由 linda 于 2015-4-9 11:17 编辑 ]