1、任天行网络安全管理系统V3.0企业版 用户手册任子行网络技术股份有限公司公共事业部文档编号版本V3.5密级普通项目名称任天行网络安全管理系统项目来源编号:QR-RD-052(V1.0)任天行网络安全管理系统维护手册(内部资料 请勿外传)编 写：朱缓 蓝师刚 黄维 周军 陈冰 牛玉红 张文杰 杨文妮日 期：2010-10-12检 查：日 期：审 核：日 期：批 准：日 期：深圳市任子行网络技术股份有限公司版权所有 不得复制版本修改说明修改人主要内容修改项说明修改时间【任子行公司 版权所有】第 2 页 共 74 页任子行网络技术股份有限公司 任天行网络安全管理系统1维护手册11引言41.1编写目的2、与范围41.2术语41.3参考资料51.4注意事项（重要）52概况介绍52.1设计原理52.1.1 nsdpf原理62.1.2 报警系统原理62.1.3 日志维护原理62.1.4 统计报表原理72.1.5 全文索引的设计原理72.2相关知识工具72.2.1 常用Linux命令82.2.2 常用Mysql命令82.3程序目录结构92.4系统进程102.5系统的启动和关闭113常见系统配置维护123.1系统管理配置维护123.1.1管理员配置123.1.2网络配置153.1.3系统参数193.1.4对象配置313.1.5辅助工具363.1.6备份与恢复403.1.7注册与升级433.2用户管理维护3、533.2.1组织管理533.2.2自动分组563.2.3认证配置573.3策略管理维护603.3.1 黑白名单603.3.2 应用封堵633.3.3 流量封堵643.3.4 行为审计663.3.5 内容审计673.3.6 策略分配683.4现场观察维护693.4.1 系统状态693.4.2 网络活动723.4.3 流量监控733.5日志查询743.6报表管理743.6.1 统计报表743.6.2 报表订阅741 引言1.1 编写目的与范围本文档是任天行网络安全管理系统V3.5版本配置维护手册，为方便技服快速定位和排查任天行系统配置问题提供快速有效的排查方案。本配置维护文档的编写的目的是说明系4、统相关配置项的功能，包括系统相关配置功能描述，相关配置文件存放，数据库配置说明等为软件编程和系统维护提供基础。本维护文档的预期读者为系统设计人员、软件开发人员、软件测试人员和市场技服人员。1.2 术语定义系统或产品中涉及的重要术语，为读者在阅读文档时提供必要的参考信息。序号术语或缩略语说明性定义1PMProject Manager,项目经理2技服技术支持和服务人员1.3 参考资料资料名称作者文件编号、版本资料存放地点RTX3.5数据库设计说明书.doc张文杰 张健，蓝师刚网站分类库客户端设计思想.doc与界面的接口.TXT 蓝师刚任天行3.5安装配置手册.doc任天行3.5用户手册.doc1.5、4 注意事项（重要）统计报表行为进程LogSum为常驻进程，查看可用ps aux | grep LogSum .统计频率为半小时一次，统计时/apps/rtx/run_env/bin目录下会产生DBM文件，统计完毕即被删除提示：在本文档中涉及到所有的操作命令均是默认以【root】用户登陆，在文档中将不再提及。2 概况介绍2.1 设计原理描述业务、网络、系统如何正常跑起来的原理，方便读者更快速的定位各种问题。2.1.1 nsdpf原理 nsdpf是系统的主模块，包括pa和pm模块两部分。其与其它部分关系如下图1。图1 nsdpf原理2.1.2 报警系统原理报警系统工作原理为定时扫描netalar6、mlog表与contentlogadditon表的报警标志字段processed_mail，processed_sms。如果标志位为1，则表示需要短信或邮件报警，那么本系统将产生报警动作并将上述标志位置为0。一般故障诊断：1没有邮件报警。解决方式:首先查看行为报警日志，查看是否有此条报警日志；查看行为审计策略时候勾选邮件报警；查看通讯配置是否能测试通过。最后查看cat /appslog/log/sendAlarm | tail n 100 查看具体日志。2.没有短信报警。解决方式: 首先查看行为报警日志，查看是否有此条报警日志；查看行为审计策略时候勾选短信报警；最后查看cat /appslog7、/log/sendAlarm | tail n 100 查看具体日志。3.报警短信中格式有误或者存在乱码现象，请提出bug。2.1.3 日志维护原理该系统工作范围大体分为1.日志，内容审计的分析与入库；2搜索引擎关键字入库；3行为审计策略的实现与入库。日志内容审计系统作为消费者，主要任务是从共享内存中获取数据，进行分析整理后写入数据库。一般故障诊断:1.页面无日志更新。处理办法：先查看LogContentAnalyse是否启动，ps aux | grep LogContentAnalyse; 然后查看共享内存中是否有数据。启用/apps/rtx/run_env/bin/read_logs 0观8、察读写指针，如果写指针(wp)的值一直不变即为前端捕包出现问题。2.部分协议日志没有。处理办法：查看cat /appslog/log/LogContentAnalyse.log | tail n 100 看看该协议的数据是否被过滤掉，具体协议编号对应的协议 请查询数据库中协议字典表：select * from rzxdb. Protocoldic; 3.行为审计无日志，无邮件短信报警。处理办法：先查看行为审计策略是否过期，然后在系统管理-系统参数-通讯配置中查看是否有设置发送邮件的账号，并测试是否可用。4.待添加2.1.4 统计报表原理每半小时从日志数据表中取出原始数据，做数据统计后分别插入h9、ourprotocolstatistic和houruserstatistic两张表中。本进程LogSum就只做这一件事情。一般故障诊断:由于日志统计部分的逻辑结构非常简单，所出现的问题一般都可以在cat /appslog/log/LogSum.log中找到相应的问题。比如：某时段统计的日志记录条数为0，等等。但有一点比较例外，由于rtx3.5系统的协议组织架构为一个树形结构，虽然目前协议之间的关系比较稳定，但是当增加某一类新协议时，有可能导致该类协议无法统计的情况。对于此问题只能由开发人员在代码中添加统计规则才能加以统计，但这种情况较少出现。2.1.5 全文索引的设计原理 任天行产品内容审计模10、块全文检索主要采用高性能全文检索引擎Sphinx实现。每天零晨一时把前一天的数据建立索引，所以当天只能查询前一点的索引数据。一般故障诊断:1. 前一天或一段时间索引数据查询不到。处理方法：查看/apps/rtx/log/sphinx/date/目录生成的最后索引文件的时间，如果所查询日期大于此时间，即索引没有建立起来；索引没建立起来，首先查看系统定时器/etc/crontab有没有定时执行建索引的启动脚本。仍要确认一下此任天行机器是否会有晚上关机的情况。2. 手工建立索引的方法：执行/apps/rtx/sphinx/build_all_index.Sh脚本，脚本执行完毕即索引建立完成。手工建立11、脚本的时间是根据数据量而定的。2.2 相关知识工具本文档的读者需要具备linux系统操作的基本知识，了解一般网络交换机基本工作原理，了解加密狗使用的相关知识等等2.2.1 常用Linux命令命令命令参数及格式命令说明tartar vzcf 目标文件 源文件压缩命令tartar vzxf 源文件解压文件命令vivi 文件名文件编辑命令rmrm rf 文件名删除文件或文件夹命令cpcp 目标文件 源文件复制文件并将其放到指定目录cdcd 目标路径改变当前路径到目标路径df显示硬盘使用率查看硬盘使用情况dudu H查看文件或目录大小datedate mmddhhmmyyyy修改当前时间clockcl12、ock w是系统时间和硬件同步top查看cpu和内存使用情况reboot或init 6重新启动系统halt或init 0系统关机psps waux 察看系统进程pstree查看系统进程数watch n1 d ifconfig查看网卡流量情况，是否有错误数据包，是否有数据包的丢失等ifconfig查看网卡配置情况2.2.2 常用Mysql命令命令命令参数及格式命令说明showshow databases;show tables;显示所有数据库/显示所有表useuse database;打开某个数据库descdesc table;查看某张表的表结构dropdrop database;drop ta13、ble;删除某个数据库/删除某张数据表delete delete from table;清空某张数据表中的数据selectselect * from table;查询某张数据表的所有记录select count(*) from table;查看硬盘使用情况操作技巧：1. 如果在打命令时,回车后忘记加分号,无需将命令重新打一遍,只需要打个分号,再回车就OK.2. 可以使用光标上下键调出以前打过的命令2.3 程序目录结构本章说明本程序系统中使用的全局数据结构说明。业务层程序正常安装结束后会自动运行。默认程序安装目录为/apps/，其中主程序要用到的目录为/apps/rtx/run_env/, /a14、pps/log/, /apps/rtx/lib/。各目录的主要功能描述见下表：主目录子文件夹功能描述/apps/rtx/run_env/bin/系统的可执行程序都放在该目录中，包括主程序，调试工具等。bin/plugin/系统用到的协议分析插件目录包括插件和插件日志文件。plcy.d/该目录是系统可修改的配置文件和系统运行时文件存放的目录。rc.d/该目录存放系统的固定配置文件，一般情况不需要修改。/apps/rtx/lib/该目录是系统用到的动态链接库目录，无需修改。/apps/rtx/log/该目录存放有系统的运行日志和内容审计日志。ftlog/该目录存放的是内容审计日志，日志按照日期存放15、，目录格式为: 日期/协议号/编号1/编号2/内容审计文件。每个最底层文件夹(编号2)存放5000左右文件。一般问题只需要在bin/目录使用调试工具就可以定位问题，对于各个工具的使用方法下面章节介绍。数据库环境说明 数据库实例数据库系统数据库部署环境数据库设计工具数据库存放位置说明/appslog/db/rtxdb/*MySQL5.1以上CASE Studio 2/apps/rtx/db/存储数据库日志信息，统计信息，用户及用户信息包括数据文件所在目录，功能说明 文件目录作用说明/apps/www/htdocs/application/configs/放置与界面相关的配置文件，用于检查 界面配16、置后的相关文件/apps/rtx/run_env/plcy.d/放置了与业务层相关的邮件服务器配置和短信中心配置文件，用于业务层发送邮件和短信与业务层相关的邮件服务器和短信中心配置文件/apps/lighttpd/conf/系统WEB服务器配置文件目录Apache 服务器配置的相关文件存放目录/apps/jre1.6.0_21/bin/系统jre存放目录编译目录/apps/flex3bin/Flex安装目录报表生成等用到系统策略查看命令为：/apps/rtx/run_env/bin目录下命令作用说明./look_shm -g 查看组信息./look_shm m查看所有机器信息./look_sh17、m -m ip mac查看特定机器信息./look_shm t查看帐号信息系统默认配置表结构全局配置表【rtxconf】表名rtxconf数据库用户root主键id序号字段名称数据类型（精度范围）允许为空Y/N唯一Y/N区别度默认值约束条件/说明1idSmallintNY高Auto_increament序号2confignamevarchar(256)NN高配置项名称3configvalueTextYN低配置项值4statustinyint(1)Y00-禁用配置 1-启用配置5memovarchar(64)YN低描述信息2.4 系统进程系统正常启动运行后会出现下面几个进程：进程名对应可执行程序18、功能描述dumWish捕获网络数据nsdpf/apps/rtx/run_env/bin/nsdpf系统主程序，包括协议分析和策略处理以及流量统计等flowcollect/apps/rtx/run_env/bin/flowcellect流量统计进程，主要负责定时操作的功能，比如统计流量到数据库，实时流量计算等。RtxScan/apps/rtx/run_env/bin/RtxScan包括检查机器账号上下线状态、系统运行状态和机器名获取等功能。对于系统出现的异常可以首先查看对应功能的进程是否存在，例如系统上下线状态不对，使用命令ps aux|grep RtxScan 如果显示类似如下结果说明进程存在19、，然后再判断其它可能模块或原因。root 2991 0.0 0.2 248380 1120 ? Ssl Sep20 0:00 ./RtxScan d2.5 系统的启动和关闭2.5.1 启动系统和程序系统正常安装结束后会自动启动。如果要手动重新启动任天行系统，可以先进入/apps/rtx/run_env/bin目录(以下操作都是在该目录中)，执行./ restart_rtx程序。这种启动不会破坏任天行系统中的现有数据。但是在某些情况下可能会出现重新启动系统仍然无法解决问题，这时可以尝试执行以下命令进行重启动：./ stop_rtx./ dropshm./ restart_rtx这个过程会清除掉当20、前任天行系统使用的内存，并重新加载任天行系统。这个过程会使内存中一些实时的数据可能会因没有保存而丢失。如果要选择手工启动特定的可执行程序，可以直接调用bin/目录中restartXXX(XXX代表对应的程序名)即可。2.5.2 关闭系统要关闭任天行系统可以在/apps/rtx/run_env/bin目录执行./stop_rtx即可。3 常见系统配置维护3.1 系统管理配置维护3.1.1 管理员配置3.1.1 用户管理 在用户管理功能模块中用户可根据需要自主添加用户，设定其登陆密码，角色，认证方式，绑定分组等信息。如下图所示：注： 在新增用户时选择登陆方式为远程登陆方式时，即可使用Radius登21、陆认证。其Radius认证服务器在【系统管理-系统参数-远程认证】中配置，然后添加用户名为raduis服务器用户名和密码即可。后台目录文件及程序配置维护：用户管理中的相关配置项配置信息均保存在用户资料数据表【user】中表名说明user用户资料数据表3.1.2 角色管理在角色管理模块中用户可根据需要增加角色，设置其权限。设置权限时，可根据系统菜单选择各功能模块来赋予或取消该功能模块的操作权限。设置完成点击即可完成设置。如下图所示：注： 系统已经默认了4个用户角色其中为：系统管理员，普通管理员，日志管理员和普通用户四个角色。且系统管理员角色不允许被修改。后台目录文件及程序配置维护：角色管理中的相22、关配置项配置信息均保存在用户角色表【role】中表名说明role角色定义表3.1.2 网络配置3.2.1.1 网络模式网络配置是配置本系统捕包的网络模式和服务器的网卡IP地址，子网掩码地址。设置好后点击按钮，系统将保存网络设置，在系统重新启动后才应用最新的网络配置；设置好后点击按钮，系统将立刻应用最新的网络配置，并重启机器。如下图：模式一：旁路模式任天行系统的默认工作模式是旁路模式，选择旁路模式之前需要具有端口镜像功能的交换机或者是HUB，如果内网的主交换单元为带镜像端口功能的交换机，则首先将网络的总出口镜像到某个空闲端口，将任天行的捕包口（默认为eth0）接到该镜像口即可，或者直接连接到主H23、UB上。将通讯口（默认为eth1）连接到相应的网段的交换机上。具体连接如图所示：旁路模式部署方式接线示意图模式二: 网桥模式若需要部署成网桥模式，则需要经过以下几步：第一步：按照旁路的方式进行连线，但是不需要做镜像口，只需要把通讯口eth1接到交换机上保证有机器能够访问到任天行的web界面即可。第二步：通过http:/任天行ip/manage进入web界面，进入系统管理网络配置菜单中进行网络参数的配置，选择网桥模式，并设置好第一链路的网络参数，保存并应用配置。配置网桥模式第三步：设备重启后接入网络中，将交换机的上联口接到任天行的eth0上，将任天行的eth1口接到上网设备上（一般是路由器），接24、线方式如图所示，即完成了网桥模式的部署。图3-3 网桥模式部署方式接线示意图后台目录文件及程序配置维护：文件目录作用说明/ge_driver/driver_mode.conf保存网络配置模式以及网桥模式下链路IP配置 文件中modeWorkMode = 0（0代表旁路模式，1代表网桥模式）bridge下面表示网桥模式下网卡的相关配置/ge_driver/ dum.conf通讯网卡个数和其缓存配置buffer_size = 32 （网卡缓存大小）dev_num = 1 （通讯网卡个数）dev_name=eth1 （通讯网卡名称）/apps/rtx/run_env/bin/eth.cfg在旁路模式25、下通讯网卡和捕包网卡的配置comm （通讯网卡）devicename = eth1capt （捕包网卡）devicename = eth0/apps/rtx/run_env/bin/DEVICE.CFG通讯网卡连接配置DEVICE=eth1 （通讯网卡名称）TcpConnections=7500 （请求连接数）其后台接口为：接口名称作用说明init 6点击应用配置时重启系统PolicyClient -s -update 【value】通知业务层更新网络配置信息（【value】值为12）3.2.1.2 DNS配置DNS配置是用来设置机器的“首选DNS“ 和 “备用DNS”的。如下图：后台目录文件26、及程序配置维护：文件目录作用说明/etc/resolv.conf保存系统DNS相关配置信息search localdomain（DNS配置）nameserver 202.96.134.133 3.1.3 系统参数3.1.3.1 系统参数配置3.1.3.1.2.1 IP登陆池界面参数是根据需要配置系统报警日志生成的条件，并将【通讯配置】配置好后当系统达到CPU使用阀值，内存使用率阀值时和磁盘剩余量小于该值时，都会产生报警日志，可在【日志管理】-【报警日志】中查询相关日志。系统会通过配置的邮箱地址和短信号码发送到配置的邮箱或者手机中。如下图后台目录文件及程序配置维护： 界面参数中的相关配置项配置信27、息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（configvalue）说明options_guioption_pagecount 表示界面每页显示记录数options_guioption_cup 表示CPU使用阀值（为百分比）options_guioption_memory 表示内存使用阀值（为百分比）options_guioption_diskspare 表示磁盘剩余量 （单位是M）options_guioption_emailaddr 表示报警邮件的接收地址（多个地址间在数据库以逗号分28、隔）options_guioption_smsnum 表示报警短信的接收号码（多个手机号码间在数据库以逗号分隔）options_guioption_exportcount 表示【日志查询】模块中每次导出日志的最大值 后台查看是送报警邮件进程为：/apps/rtx/run_env/bin/restartRunState 其接口为：接口名称作用说明./restartRunState重启runstate进程（runstate进程监控系统状态）3.1.3.1.3 IP登陆池 IP登陆池是用来对登陆系统的机器IP进行限制的，可控制登陆本系统的机器。其相关配置如下图所示：后台目录文件及程序配置维护：IP登29、陆池中的相关配置保存在rtxdb中的表【iplogin】中。表名说明iploginIP登陆池配置表3.1.3.1.3 登陆限制在登陆限制功能模块中，可以设置登陆可重复认证次数，以及登陆认证超过此次数时，被禁用登陆的时长。如下图:后台目录文件及程序配置维护：界面参数中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（configvalue）说明options_login_repeattimes 登陆可重复认证次数options_login_disabledtimes登陆禁用时长30、（秒） 3.1.3.2 系统时间配置 在系统时间配置功能模块中，可以通过配置多个NTP时间服务器或者手工填写的方式来修改系统时间。点击 按钮必须输入一个NTP时间服务器。若需要修改时间为手工填写的时间，则需要点击按钮即可修改当前系统时间，而不同步系统NTP服务器时间。如下图所示：后台目录文件及程序配置维护：NTP时间服务器文件文件目录作用说明/apps/www/htdocs/web/conf/ NTPServer.conf保存系统NTP时间服务器（多个服务器之间用TAB键隔开） 其后台接口为：接口名称作用说明date s【date】n date -s 【time】nclock -w更新系统时间31、ntpdate -b 【server】;hwclock w将系统时间与NTP服务器同步PolicyClient -s -update 【value】通知业务层重启任天行（【value】值为11）3.1.3.3 通讯配置该功能模块用于根据需要配置发送邮件服务器和短信中心。3.1.3.3.1 邮件配置邮件配置用于配置系统邮件发送服务器。如下图所示后台目录文件及程序配置维护：邮件服务器配置文件文件目录作用说明/apps/rtx/run_env/plcy.d/email_send.conf 发送邮件服务器配置文件。其中发送邮件服务器，用户名，密码，邮箱地址之间用回车分隔。格式如：zhangwenjie32、Rydykzj4455678zhangwenjie配置好后在后台查看业务层进程: restartsendAlarm 在后台查看业务层测试发送邮件服务器的命令为:restartsendAlarm tst smtpServer username password接口名称作用说明restartsendAlarm tst smtpServer username password（echo $?）测试发送邮件服务器是否连接正常（返回值为0时表示连接正常，其他值为连接失败）若连接失败则请检查网络连接是否正常，DNS配置是否正确，邮件服务器是否正常等。./ restartsendAlarm重启发送报警邮件进33、程3.1.3.3.2 短信配置短信配置用于配置系统发送短信的短信中心。如下图所示后台目录文件及程序配置维护：短信中心配置文件文件目录作用说明/apps/rtx/run_env/plcy.d/sms_send.conf短信中心配置文件#if bSmsFlag =0,ignore smsthread, is bSmsFlag =1 ,alarm by gnokii ,bSmsFlag = 2 alarm by gsm modernbSmsFlag 2#if bRecvSmsFlag=0,ignore smsRecvthread, is bRecvSmsFlag=1,support SMS Reci34、evebRecvSmsFlag 0#if bSmsFlag 0,or bRecvSmsFlag 0 ,TtyName must setTtyName /dev/ttyS0#gsm modern mode sms centerserverphone :ServerCenterPhone +8613800755500 （短信中心号码）#CityName rzxAlarmPhone 138 配置好后在后台查看业务层进程: restartsendAlarm 接口名称作用说明./ restartsendAlarm重启发送报警短信进程3.1.3.4 报警配置 报警提示该功能模块用于配置报警提示方式，如短信35、报警和邮件报警，用户可根据需要设置相关报警提示信息。如下图所示：注：设置短信报警需要设置短信的接收号码和【通讯配置 短信配置】中配置的短信中心有效并在硬件设备上接入短信猫。设置邮件报警则需要配置邮件的接收地址并在【通讯配置 邮件配置】中配置有效的发送邮件服务器，当有触警会发送相关的报警信息。后台目录文件及程序配置维护： 报警配置中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（configvalue）说明options_alarm_method表示报警配置中的报警方式（其中36、2代表短信报警，3代表邮件报警，多个配置间用逗号分隔）options_alarm_smsnum表示报警短信的接收号码（多个短信号码之间在数据库以逗号分隔）options_alarm_smstimes表示报警短信失败发送次数options_alarm_smsinterval表示报警短信失败发送间隔options_alarm_emailaccount表示报警邮件的接收邮件地址(多个邮件地址在数据库以逗号分隔)options_alarm_emailinterval表示报警邮件发送失败后的发送次数 在后台查看业务层报警进程：restartsendAlarm接口名称作用说明./ restartsendA37、larm重启发送报警短信进程3.1.3.5 封堵提示在封堵提示功能模块中，可以设置一些封堵提示页面（当用户访问被封堵的站点时，将会显示此页面）。在本系统中预设了两个封堵提示页面，其中一个为默认封堵提示页面。此模块提供自主上传设计好的页面或者设置重定向的URL地址后(可在预览中查看页面)，选中列表中的页面点击 即可。具体操作如下图所示：后台目录文件及程序配置维护：IP登陆池中的相关配置保存在rtxdb中的表【blockconfig】中。表名说明blockconfig封堵提示配置表 自定义封堵提示页面文目录文件目录作用说明/apps/www/htdocs/client 自定义设计的页面文件上传后放38、置在此目录下。当封堵提示页面进行改变后通知底层, 其接口为：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新封堵提示信息（【value】值为10）3.1.3.6 上网提示 上网提示功能用于用户上网时在进行提示的功能。用户可配置是否启用上网提示功能，提示次数，提示方式，提示周期并可自定义提示页面。详细配置如下图所示:后台目录文件及程序配置维护： 报警配置中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（configvalue）说明o39、ptions_netclew_isopen表示是否启用上网提示功能（其中1为启用，0为禁用）options_netclew_times表示上网提示次数options_netclew_type表示上网提示方式（其中0为周期提示，1为随机提示）options_netclew_interval表示上网提示周期（单位为分钟）options_netclew_url表示上网提示的URL地址当上网提示进行改变后通知底层, 其接口为：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新更新上网提示（广告）配置（【value】值为9）3.1.3.7 接入环境配置接入环境配40、置模块中，用户可根据实际的环境配置是否接入二层或三层交换机，如果接入三层环境，则需要选择开启DHCP或SNMP来获得真实的MAC地址。如下图：在接入三层交换机的模式下： 开启DHCP获取真实MAC地址功能:开启动态主机配置协议，以及给三层交换机网络范围内的PC机动态分配IP地址。 开启SNMP获取真实MAC地址功能: 开启SNMP，则需要新增交换机，并配置三层交换机IP地址及SNMP密码，以及三层交换机的拓扑级别等。如下图所示：点击 按钮新增交换机，添加后可以进行SNMP代理的测试，也可选中点击删除交换机。点击按钮可导出交换机范围内的所有IP地址所对应的真实MAC地址（IP地址和MAC地址之间41、用空格分隔，多个IP-MAC对之间用分号分隔）。后台目录文件及程序配置维护：文件目录作用说明/apps/www/htdocs/web/conf/Host2RealMac.conf开启SNMP获取真实MAC地址时存放交换机范围内的真实IP-MAC对。（IP和MAC之间用空格分隔，多个IP-MAC对之间用分号分隔）对接入环境的修改后调用业务层接口：接口名称作用说明PolicyClient -s -set3real_switch 【value1】 【value2】设置接入环境变量其中【value1】值为2表示接二层交换机，值为3表示接三层交换机。【value2】值为0表示开始DHCP获取真实MAC地42、址，值为1表示开启SNMP获取真实MAC地址PolicyClient -s -update_realmac 【filename】在三层交换机模式下开启SNMP获取真实MAC地址时，同步MAC地址【fileName】表示保存真实mac地址的文件系统中默认文件保存在（/apps/www/htdocs/web/conf/Host2RealMac.conf）中3.1.3.8 远程认证 对任天行网络安全管理系统的登陆除了使用本地帐号登陆外还可以通过Radius服务器认证登陆，此时需要配置Radius认证服务器地址和共享密钥以及认证端口。如下图所示：当认证服务器配置好后，可点击按钮测试Radius服务器是43、否连接服务器成功。特别提醒：在服务器连接成功的前提下，在【系统管理-管理员配置-用户管理】中添加登陆用户类型为远程登陆的用户且用户名和密码必须和Radius服务器配置的用户名和密码相同，此时使用此用户名和密码便可登陆本系统。后台目录文件及程序配置维护： 报警配置中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（configvalue）说明admin_radius_server表示Radius认证服务器地址（可为IP地址或域名）admin_radius_port表示Radiu44、s认证服务器的端口（其范围为数字0-65535）admin_radius_secret表示Radius认证服务器的共享密钥3.1.3.9 机器保留配置机器保留配置功能是用来维护机器列表信息的。当环境中存在一些不经常活动的机器时，可以通过设置一定的保留时间维护机器列表。在保留时间内无任何网络活动的机器，将不再显示在机器列表中。具体配置如下图所示：注：系统默认的机器保留天数为15天。后台目录文件及程序配置维护： 报警配置中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（conf45、igvalue）说明option_machine_days表示机器保留天数（单位为天）对机器保留配置修改后调用业务层接口：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新认证有效期，自动下线时间，封堵处理方式，ipmac绑定标志, 机器存在机器列表的有效期（【value】值为8）3.1.3.10 WEB服务器配置 WEB服务器配置功能是用来设置任天行网络安全管理系统的WEB服务器端口的。默认端口为80，可配置除443以外小于65535的端口。如果修改了端口后请重新登陆并在地址栏输入：http:/IP:端口/manage/进行登陆。具体如下图所示: 点46、击按钮，系统不会立即重启，在重启机器或者重启任天行页面后生效。点击按钮，任天行网络安全管理系统页面将会重启，请在2分钟后，重新使用新的地址进行登陆。后台目录文件及程序配置维护：任天行WEB服务器配置文件保存路径文件目录作用说明/apps/lighttpd/conf/lighttpd.confWeb服务器启动配置文件其中端口配置为：# bind to port (default: 80)server.port = 80 （配置的端口）/tmp/lighttpd.confWeb服务器启动配置临时文件。其格式与启动配置文件相同当点击时，会调用业务层接口重新启动WEB服务器，其接口为：接口名称作用说明47、PolicyClient -s -update 【value】通知业务层重启页面进程（【value】值为13）若使用手工后台重新启动WEB服务器可使用命令：接口名称作用说明killall -9 lighttpd php-cgi;杀掉php页面进程/apps/lighttpd/sbin/lighttpd -f /apps/lighttpd/conf/lighttpd.conf手动重启PHP页面进程/apps/www/bin/apachectl stop;/apps/www/bin/apachectl startssl;3.1.4 对象配置3.1.4.1 时间对象时间对象模块可用来设置日志查询和报48、表的时间对象，系统默认的工作时间是周一至周五上午9：00-12：00 下午13:00-18:00 如下图：在系统中可配置多个时间对象，配置时间对象的步骤如下： 点击 后在对象名中输入不重复的名称，并通过拖动鼠标之间的单元格进行选中相对应的时间段，也可点击按钮，选中所有时间，反之可以点击按钮将所有选中时间清空；等选择好时间后点击或按钮保存时间对象。也可点击左边列表中的对象名查看时间对象的详细信息。若需要去除不需要的时间对象则选中时间对象名 点击按钮即可删除。后台目录文件及程序配置维护：时间对象的相关配置保存在rtxdb中的表时间对象【timeobj】中。表名说明timeobj时间对象配置表当点击49、或按钮时，调用业务层接口为：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新时间对象（【value】值为7）3.1.4.2 自定义站点 自定义站点模块可以增加一些站点分类并增加相对应的站点对其进行管理。如图示：在左边的站点类型列表上点击按钮增加自定义站点类型后点击右边按钮可增加自定义站点。在封堵设置中可增加相关联的自定义站点封堵策略。后台目录文件及程序配置维护：自定义站点类型的相关配置保存在rtxdb中的表自定义类型表【customtype】中。 表名说明customtype自定义类型表（其中type字段0指自定义网址1指自定义协议）customur50、l自定义站点表（其中sitetype字段是customtype表中对于id字段的外键）当自定义站点有变化时，调用业务层接口为：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新自定义分类站点（【value】值为2）3.1.4.3 自定义协议自定义协议用户可以自定义该协议的目的起始IP，目的结束IP和目的起始端口，目的结束端口以及协议类型为TCP或UDP，全部来进行协议区分。如下图所示： 特别提醒：自定义协议中的起始IP/结束IP地址/起始端口/目的端口均指向的是目的IP且起始IP/结束IP 和起始端口/目的端口必须成对出现。UDP协议类性的自定义协议在51、网络模式为旁路模式时设置无效。后台目录文件及程序配置维护：自定义站点类型的相关配置保存在rtxdb中的表自定义类型表【customtype】中。表名说明customtype自定义类型表（其中type字段0指自定义网址1指自定义协议）customprotocol自定义协议表（其中protocol字段是customtype表中对于id字段的外键）当自定义站点有变化时，调用业务层接口为：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新自定义协议（【value】值为3）3.1.4.4 搜索引擎搜索引擎模块系统默认配置可支持baidu，Google，Live，52、youdao，verycd，gougou等32类搜索引擎，且用户可以根据需要添加搜索引擎配置，以达到捕获其他搜索引擎的搜索关键字。其相关配置如下图所示：注： 每次增加搜索关键字时，请先查询是否已经存在相关的关键字特征码，新增的特征码必须惟一且不能与其他特征码存在互为子集的关系。后台目录文件及程序配置维护：搜索引擎的相关配置保存在rtxdb中的表搜索引擎表【searchkeyinfo】中。表名说明searchkeyinfo搜索引擎定义表搜索引擎定义表 当搜索引擎配置有变化时，调用业务层接口为：接口名称作用说明PolicyClient -s -update 【value】通知业务层更新搜索引擎对象53、（【value】值为5）3.1.4.5 内网网段内网网段是为了使系统更准确的将内网段与外网IP地址区分开来，从而进行正确的控制行为，用户可以将当前局域网内所有现存网段添加进该功能列表。如下图所示：特别提醒： 若在本功能中用户设置了错误的内网网段，系统将不能封堵局域网中的机器登陆QQ等即时通讯软件和P2P下载，且会影响【流量统计】模块的结果，故请务必设置正确的内网网段。后台目录文件及程序配置维护：内网网段的相关配置保存在rtxdb中的表内网网段表【ipsecconf】中。表名说明ipsecconf内网网段表 当内网网段的配置有变化时，调用业务层接口为：接口名称作用说明PolicyClient -54、s -update 【value】通知业务层更新内网网段（【value】值为0）3.1.5 辅助工具3.1.5.1 分类站点查询分类站点查询可以查询系统分类地址库中是否已经包含某个站点。输入站点，点击查询即可。如图所示：后台目录文件及程序配置维护：调用接口: PolicyClient -s -get_site 返回值：0 站点分类号 -1 出现错误 -2 站点不存在接口名称作用说明PolicyClient -s -get_site 【value】查询分类站点（【value值为要查询的站点地址】）网站分类号定义：站点类型分类号作用说明SITE_SEX,139/*色情*/SITE_UNHEALTH55、140/*不良*/SITE_UNHEALTHTALK141/*不良言论*/SITE_GAME,142/*游戏竞技*/SITE_CRIME,143/*犯罪暴力*/SITE_POSION,144/*毒品*/SITE_OTHER,145/*其他*/SITE_REFERENCE,146/*综合参考*/SITE_EDUCATION,147/*教育学习*/SITE_TECHNOLOGY,148/*科技*/SITE_ZHAOPIN,149/*求职招聘*/SITE_SPORT,150/*体育*/SITE_ENTERTAINMENT,151/*休闲娱乐*/SITE_FINANCE,152/*财经*/SITE_M56、INITARY,153/*军事*/SITE_ILLEGAL,154/*违法信息*/SITE_GAMBLE,155/*赌博*/SITE_ANIMUS,156/*歧视仇恨*/SITE_BLINDFAITH,157/*封建迷信*/SITE_CHEAT,158/*欺诈*/SITE_BADWEBSITE,159/*非法网站*/SITE_NEWS,160/*新闻*/SITE_FORUM,161/*论坛社区*/SITE_DOORSITE,162/*门户网站*/SITE_SEARCHENGINE,163/*搜索引擎*/SITE_WEBMAIL,164/*网上油箱*/SITE_SHOPING,165/*网上购物57、*/SITE_INFO,166/*查询咨询*/SITE_SPECIAL,167/*行业网站*/3.1.5.2 IP地址查询IP地址查询模块中可以查询任意一IP地址所在的物理位置，在IP地址栏中输入对应的IP地址点击查询即可。如下图所示：后台目录文件及程序配置维护：接口名称作用说明PolicyClient -s -get_ip_info 【ip_value】 【lang_mode】Ip查询 其中【ip_value】值表示要查询的ip地址【lang_mode】的值表示输出语言种类 0 简体中文 1 繁体中文 3.1.5.3 网络诊断网络诊断主要协助诊断系统当前所在的网络是否正常。系统提供了ping58、和TRACER OUTE 两种诊断方式，在诊断IP地址栏中输入需要诊断的Ip地址或者是域名，选择诊断类型后点击按钮会列出诊断结果，以供参考。如下图所示：后台目录文件及程序配置维护：接口名称作用说明ping -w 5【ip】诊断网络traceroute -w 2 -m 20【ip】诊断网络3.1.5.4 远程维护远程维护功能是系统为了方便维护提供的。当系统出现故障时，可以启动该功能，并将维护ID告知技术服务人员，他们将通过提供的ID对任天行网络安全管理系统进行维护，快速定位原因并消除故障。如下图所示：后台目录文件及程序配置维护：文件路径作用说明/apps/www/htdocs/web/conf/59、vpn.confvpn启动开关配置文件后台接口命令：接口名称作用说明/etc/vpn/sbin/openvpnclient startVPN的启动命令/etc/vpn/sbin/openvpnclient stopVPN的停止命令ps -e | grep openvpn | grep -v grep | wc -lVPN当前状态命令3.1.5.5 系统工具在系统工具模块中提供了重启任天行（重启业务层），机器重启和安全关机的功能。方便用户操作。如下图所示：后台目录文件及程序配置维护：接口名称作用说明./restart_rtx重启任天行（表示重启任天行的业务层）/sbin/shutdown -h 60、now安全关机/sbin/reboot系统重启3.1.6 备份与恢复3.1.6.1 日志保留配置日志保留配置模块可设置系统日志存放天数和存放日志的磁盘限额（当磁盘限额小于该值时报警）如下图所示：后台目录文件及程序配置维护：任天行日志保留配置文件保存路径文件目录作用说明/apps/rtx/etc/logConf.conf日志保留配置设置文件/apps/rtx/etc/logConfbak.conf中心是否有下发日志保留天数配置文件点击 和 按钮与业务层的接口进程为：restartLogManage接口名称作用说明./restartLogManage重启日志保留设置脚本killall -9 Log61、Manage停止日志保留设置df |grep appslog| awk print $4获取实际日志分区磁盘空间3.1.6.2 自动备份配置系统提供定时自动备份日志的功能，用户可根据需要开启此功能，在此功能模块中设置好备份信息后，系统将按照备份频率将日志记录上传至指定的FTP服务器上。其设置 如下图所示： 注：输入FTP服务器的IP地址，帐号，密码后和点击按钮测试FTP服务器是否连接正常。后台目录文件及程序配置维护：任天行自动备份配置文件保存路径文件目录作用说明/apps/rtx/etc/backupftp.conf自动备份配置文件/apps/rtx/etc/backupftp_copy.co62、nf自动备份记录文件点击 和 按钮与业务层的接口进程为：restartautobackup接口名称作用说明./ restartautobackup重启自动备份进程killall -9 autobackup停止自动备份./manualbackup -tst ip account assword测试FTP服务器3.1.6.3 临时手工备份系统除了提供自动备份外还提供了手工备份到指定的FTP服务器中。在该功能中设置正确的服务器IP，帐号，密码以及正确的时间范围后点击按钮测试FTP服务器是否连接正常。若连接正常则点击便可立即开始备份设置时间范围内的日志。如下图所示：后台目录文件及程序配置维护：任天行临63、时手工备份配置文件保存路径文件目录作用说明/apps/rtx/etc/manualbackup.status手工备份状态结果的状态文件（其中为1表示备份完成，0为备份中，其他则为备份失败）点击按钮后备份调用业务层的接口进程为：manualbackup接口名称作用说明./manualbackup serverip account password startdate enddate启动临时手工备份进程 serverip为ftp服务器地址 account为FTP服务器帐号 passwordFTP服务器密码startdate 为开始备份日期enddate为结束日期 其中开始日期和结束日期格式均为【264、010-10-01】./manualbackup -tst ip account assword测试FTP服务器3.1.6.4 日志恢复在现有系统日志被清除或者有损坏的情况下，可将备份好的日志通过正常的FTP服务器传送一份到任天行系统中，用于使系统恢复以前的日志，设置好日志恢复服务器IP地址，帐号密码后点击按钮测试FTP服务器连接是否正常，若连接正常则点击按钮对设置日期范围内的数据进行恢复。如下图所示：后台目录文件及程序配置维护：任天行日志恢复文件保存路径文件目录作用说明/apps/rtx/etc/manualbackup.status手工备份状态结果的状态文件（其中为1表示备份完成，0为备份65、中，其他则为备份失败）点按钮后恢复调用业务层的接口进程为：logrecover接口名称作用说明./ logrecover serverip account password startdate enddate启动日志恢复进程 serverip为ftp服务器地址 account为FTP服务器帐号 passwordFTP服务器密码startdate 为开始备份日期enddate为结束日期 其中开始日期和结束日期格式均为【2010-10-01】./manualbackup -tst ip account assword测试FTP服务器3.1.7 注册与升级3.1.7.1 产品注册产品注册可分为在线注66、册和离线注册。可以通过点击系统登陆界面的连接进行产品注册也可登陆后在【系统管理 注册与升级】中进行注册。3.1.7.1.1 在线注册 在线注册时用户需要在能够直接访问（即可访问1218注册服务器）的情况下进行注册。只需要输入与加密狗对应的正确的注册序列号，然后填入注册的单位信息即可完成注册。如下图所示：后台目录文件及程序配置维护：任天行产品注册相关注册文件位置：文件目录作用说明/apps/www/htdocs/application/configs/server_dns.confDNS配置文件，其格式如下：server_dns; 软件升级域名-soft_update = ; SDK列表升级域名67、-sdk_update = ; 用户注册专用域名-register = /apps/www/htdocs/web/conf/product_type_version.conf产品类型文件，其格式如下：产品类型 产品版本/apps/rtx/etc/version.dat产品版本信息文件，其内容格式如下16 （产品类型）29060110100615 （29为产品版本，060110为产品build号，100615表示版本出厂日期为2010-06-15）/apps/www/htdocs/web/conf/auditinfo.xml注册成功后写的文件（其文件内容为注册相关信息）/apps/rtx/etc68、/.rzxregcode.rc 注册成功后生成的注册成功文件任天行产品注册业务层相关验证接口：接口名称作用说明参数/apps/rtx/run_env/bin/RzxReg GetRegCodeInfoBySerialID xml根据序列号获得注册信息注册序列号和产品信息组合成的xml/apps/rtx/run_env/bin/RzxReg UserRegister xml验证序列号后注册单位信息注册单位信息组成的xml/apps/rtx/run_env/bin/get_usbdog_info获得usb加密狗的基本信息无参数/apps/rtx/run_env/bin/GetLocalMac et69、h1获得通讯网卡的mac地址通讯网卡产品注册终端返回信息排查:注册类型任天行服务器前置条件任天行返回信息备注在线注册1.任天行服务器能访问;1).在系统管理网络配置DNS设置：首选DNS配置正确;2).任天行服务器必须有默认的路由;2.申请序列号正确，例如：版本号2，用户数500，M系列：/apps/rtx/run_env/bin /get_usbdog_info 1345890397 #加密狗ID109 #109表示M系统，（103表示G系列）500 #用户数/apps/rtx/etc/version.dat 1629060109100419 #版本号，取前面第一位主版本为2。注册成功在线注70、册若没有配置对DNS或没有默认路由：rootlocalhost # wget -18:02:00- Resolving . failed: Temporary failure in name resolution.返回数据格式错误！比较常出现在线注册申请序列号用户数和版本号都对，只有申请GM系列与写狗信息不一致。1.G、M系列与写狗的信息不一致 /apps/rtx/run_env/bin /get_usbdog_info 1556279636103 #103表示G系列1000 #用户数为1000，申请M系列序列号2.版本号对，申请序列号版本为2。/apps/rtx/etc/version.da71、t 1629060109100419序列码发行时所绑定的产品类型和版本与现在注册的产品类型和版本不一致，请与软件商技术支持人员联系！（-3）比较常出现这种错误，建议最好不要分G和M系列。产品许可证号申请单：G系列（T3000及以上），M系列（T1500及以下），但有可能跟写狗的信息不一致。用户一般不去操作后台，直接在界面上点击关于按钮查看用户数。在线注册申请序列号为G系列和用户数都对，只有版本号不对。序列码发行时所绑定的产品类型和版本与现在注册的产品类型和版本不一致，请与软件商技术支持人员联系！（-3）比较少出现在线注册申请序列号为G系列和版本号为2都对，只有用户数不对加密狗的用户数与序列号的72、用户数不一致，请与软件商技术支持人员联系！（-8）比较少出现在线注册1.申请序列号为24位：9VL92KRIKRINB7L57L5QVQGK2.修改序列号为24位：9VL92KRIKRINB7L57L5QV888非法序列号，请与软件商技术支持人员联系！（-2）比较少出现在线注册申请序列号为24位，注册时只COPY到23位以下进行注册注册序列号不符号编码规则，请与软件商技术支持人员联系！（-10）比较少出现在线注册申请序列号已经过有效期（失效日期:2009-10-17，大于2009-10-18之后注册）序列码已经过有效期，请与软件商技术支持人员联系！（-4）比较少出现3.1.7.1.2 离线注册73、 离线注册是指用户服务器不能直接访问服务器的情况下进行产品注册。其步骤为：1.选择获取指纹信息，填写与加密狗相符的注册序列号和单位信息后下载注册信息文件reginfo_rtx.xml（注：建议在IE下下载）。如下图所示：2.在一台AS5U2操作系统的机器上执行这一步，将reginfo_rtx.xml拷贝到与RzxReg相同的路径下，然后执行“./RzxReg reginfo_rtx.xml”：注意：运行之前，先要确认的环境条件：1)RzxReg文件是否有可执行权限。先执行一条命令确保此事：rootlocalhost RzxReg# chmod 755 ./RzxReg2)此机器必须能够连接互联74、网，必须事先确认好网卡和网关配置。然后执行以下步骤：rootlocalhost RzxReg# ./RzxReg reginfo_rtx.xml正在连接1218服务器进程注册!注册成功!生成的注册文件为/tmp/rzxregcode.rc，请将/tmp/rzxregcode.rc拷贝出来发回到用户现场进行下一步工作。（这一步必须在公司执行！）3. 将/tmp/rzxregcode.rc拷给客户或我方技服人员，在客户的【系统管理-产品注册与升级 离线注册】 界面选择上传上传rzxregcode.rc这个文件。即可完成注册。如下图所示：后台目录文件及程序配置维护：任天行产品注册相关注册文件位置：文75、件目录作用说明/apps/www/htdocs/application/configs/server_dns.confDNS配置文件，其格式如下：server_dns; 软件升级域名-soft_update = ; SDK列表升级域名-sdk_update = ; 用户注册专用域名-register = /apps/www/htdocs/web/conf/product_type_version.conf产品类型文件，其格式如下：产品类型 产品版本/apps/rtx/etc/version.dat产品版本信息文件，其内容格式如下16 （产品类型）29060110100615 （29为产品版本，76、060110为产品build号，100615表示版本出厂日期为2010-06-15）/apps/www/htdocs/web/conf/auditinfo.xml注册成功后写的文件（其文件内容为注册相关信息）/apps/rtx/etc/.rzxregcode.rc 注册成功后生成的注册成功文件/tmp/ rzxregcode.rc 注册成功后的临时注册文件/tmp/reginfo_rtx.xml 注册单位信息xml文件任天行产品注册业务层相关验证接口：接口名称作用说明参数/apps/rtx/run_env/bin/RzxReg ArmRegister xml调用接口生成单位注册信息文件注册序列77、号和产品信息以及单位信息组合成的xml/apps/rtx/run_env/bin/RzxReg VerifyRegCode_Temp type version上传离线注册文件时验证接口系统注册的产品类型和产品版本/apps/rtx/run_env/bin/get_usbdog_info获得usb加密狗的基本信息无参数/apps/rtx/run_env/bin/GetLocalMac eth1获得通讯网卡的mac地址通讯网卡产品注册终端返回信息排查:注册类型任天行服务器前置条件任天行返回信息备注离线注册1.获取指纹信息：MAC地址正确，生成reginfo_rtx.xml文件。（发给深圳相关人员）78、2.申请序列号正确，例如：版本号2，用户数500，M系列：/apps/rtx/run_env/bin/get_usbdog_info 1345890397 #加密狗ID109 #109表示M系统，（103表示G系列）500 #用户数cat /apps/rtx/etc/version.dat 1620060000091204 #版本号，取前面第一位主版本为2。3.离线注册上传注册文件:rzxregcode.rc注册成功离线注册修改reginfo_rtx.xml文件内容xml文件中的内容格式不对用户一般不会做此操作离线注册获取指纹硬件信息是一台A机器，注册用另外一台不同硬件信息B机器。向注册服务器79、发送消息失败建议修改为“注册时硬件信息与现在验证机器的硬件信息不一致！（-6）”离线注册获取指纹信息正确且申请序列号为G系列和用户数都对，只有版本号不对。序列码发行时所绑定的产品类型和版本与现在注册的产品类型和版本不一致，请与软件商技术支持人员联系！）比较少出现离线注册获取指纹信息正确且申请序列号用户数和版本号都对，只有申请GM系列与写狗信息不一致。未知错误：-3建议修改为“序列码发行时所绑定的产品类型和版本与现在注册的产品类型和版本不一致，请与软件商技术支持人员联系！（-3）”。离线注册获取指纹信息正确且申请序列号为G系列和用户数都对，只有版本号不对。未知错误：-3建议修改为“序列码发行时所80、绑定的产品类型和版本与现在注册的产品类型和版本不一致，请与软件商技术支持人员联系！（-3）”离线注册获取指纹信息正确且申请序列号为G系列和版本号为2都对，只有用户数不对。注册成功，没有判断加密狗用户数注册失败，返回提示信息为“加密狗的用户数与序列号的用户数不一致，请与软件商技术支持人员联系！（-8）”。离线注册获取指纹信息：修改序列号所生成的reginfo_rtx.xml。1.申请序列号为24位：9VL92KRIKRINB7L57L5QVQGK2.修改序列号为24位：9VL92KRIKRINB7L57L5QV888未知错误：-2建议修改为“非法序列号，请与软件商技术支持人员联系！（-2）”。离81、线注册获取指纹信息：申请序列号为24位，获取指纹时只COPY到23位以下序列号所生成的reginfo_rtx.xml。未知错误：-10建议修改为“注册序列号不符号编码规则，请与软件商技术支持人员联系！（-10）”离线注册获取指纹信息：申请序列号已经过有效期（失效日期:2009-10-17，大于2009-10-18之后注册）命令行参数格式不对（-7）建议修改为“序列码已经过有效期，请与软件商技术支持人员联系！（-4）”。3.1.7.2 产品升级产品升级模块提供了升级本系统程序和分类站点库的升级两部分3.1.7.2.1 系统升级系统升级指的是本系统的程序升级可分为两种方式，手动升级和自动升级。设置82、自动升级时，系统必须能够正常连接服务器才可正常升级；手动升级则需要从本地选择ens的升级文件才可升级如下图所示：图1： 手动升级图二：自动升级后台目录文件及程序配置维护：任天行产品注册相关注册文件位置：文件目录作用说明/apps/www/htdocs/application/configs/server_dns.confDNS配置文件，其格式如下：server_dns; 软件升级域名-soft_update = ; SDK列表升级域名-sdk_update = ; 用户注册专用域名-register = /apps/www/htdocs/application/configs/rtxupdat83、e.ini系统升级策略文件(其中1为每小时和服务器联系一次，2为每天和服务器联系一次，3为每周和服务器联系一次，4为每月和服务器联系一次，5为立即升级)/apps/www/htdocs/web/upsys/rtx_patch/patch.sh软件系统升级脚本路径/apps/www/htdocs/web/swys/netauthkey.pub软件系统升级解密公钥路径任天行产品注册业务层相关验证接口：接口名称作用说明参数/apps/rtx/run_env/bin/localupdate -x509 keypath in file_tmp_name -out tarpath 解压ens升级文件key84、path 软件系统升级解密公钥路径file_tmp_name 上传文件名Tarpath解压路径/usr/bin/at f file_tmp_name datetime将升级包命名为当前下载时间file_tmp_name 升级包名称datetime 当前时间3.1.7.2.2 分类站点库升级分类站点库显示了系统自带的分类站点库的当前版本，用户可自定义选择定时升级或者立即升级。具体如下图所示：后台目录文件及程序配置维护：任天行站点库升级相关注册文件位置：文件目录作用说明/apps/www/htdocs/application/configs/server_dns.confDNS配置文件，其格式如下85、：server_dns; 软件升级域名-soft_update = ; SDK列表升级域名-sdk_update = ; 用户注册专用域名-register = /apps/www/htdocs/web/conf/listupdate.conf系统升级策略文件(其中1为每小时和服务器联系一次，2为每天和服务器联系一次，3为每周和服务器联系一次，4为每月和服务器联系一次，5为立即升级)任天行长点哭升级业务层相关验证接口：接口名称作用说明参数/apps/rtx/run_env/bin/getversion获得系统自带站点库的当前版本无/apps/rtx/run_env/bin/ExecListUp86、date /apps/rtx/run_env/bin/listupgrade _9112_0_rzxsdk1218 站点库立即升级接口是server_dns.conf文件中配置的sdk_update 值/apps/rtx/run_env/bin/listupgrade _9112_0_rzxsdk1218 1/dev/null 2/dev/null站点库按照策略升级接口是server_dns.conf文件中配置的sdk_update 值3.2 用户管理维护3.2.1 组织管理在组织管理功能模块中主要是对系统控制机器进行管理的组织架构，其中对机器的管理又可分为帐号管理和机器管理。帐号和机器后隶属87、于组织架构下。如图所示：在左边的组织架构中可以点击右键对组织架构进行修改，如下图所示：若要对组织架构下的机器进行管理可通过右边的【机器列表】选型卡对机器进行，等操作管理。对组织架构中下的帐号也可进行管理，通过右边列表框中的【帐号列表】选项卡对帐号进行，对在线机器进行，的操作进行管理。如下图：后台目录文件及程序配置维护：用户组织管理的组织架构相关配置保存在rtxdb中的表组表【group】中。表名说明group组织架构表用户组织管理的机器列表相关配置保存在rtxdb中的机器表【machine】中。表名说明machine机器表用户组织管理的帐号列表相关配置保存在rtxdb中的上网帐号表【netac88、count】中。表名说明netaccount上网帐号组织管理中与业务层相关验证接口：接口名称作用说明参数PolicyClient -m -add ip mac hostname username groupid bind_flag (添加机器)PolicyClient -m -modify ip mac hostname username groupid bind_flag （修改机器）PolicyClient m -d ip mac （删除机器）PolicyClient -m -ipmac ip mac bind_flag （IP-MAC绑定）PolicyClient -m -set ip 89、mac policy_ids （为机器绑定策略）PolicyClient -m -batch_modify machine_list （批量修改机器）PolicyClient -m -batch_add machine_list mode （批量增加机器）PolicyClient -m -update 0 （重新加载机器）机器管理操作ip - ip地址mac- mac地址hostname -机器名username 用户名groupid 机器所数组idbind_flagIP-MAC绑定标志policy_ids- 策略id列表, id之间用,分割. 如果要把策略设置为空， policy_ids=-90、1machine_list -机器列表, 每台机器之间用;分割mode -a: append，追加模式，导入的新机器在原有机器的基础上追加上; mode = o : overwrite,覆盖模式,导入的新机器覆盖原有所有机器。即导入之前系统存在的机器全部被新导入机器覆盖PolicyClient g -add groupid groupname parent_id policy_ids（新增组）PolicyClient g modify groupidgroupnameparent_id policy_id_listset_policy_flag （修改组信息）PolicyClient g -d91、el groupid （删除组信息）PolicyClient g -batch_modify group_list （批量修改组）组织管理操作groupid-组织idgroupname-组织名称parent_id- 父组IDpolicy_ids- 策略id列表, id之间用,分割, 如果没有策略policy_id_list- 策略id列表, id之间用,分割, 如果要把策略设置为空,policy_id_list=-1set_policy_flag -0 对组下所有的元素设置策略1 对组下所有的ip设置策略2 对组下所有的mac设置策略 3 对组下所有的帐号设置策略4 只设置本组的策略group92、_list- 组列表 每个组之间用;分割PolicyClient a -modify account_id groupid policy_ids（修改帐号信息）PolicyClient -a -del account_id （删除帐号信息）PolicyClient -a -batch_modify account_list （批量修改帐号信息）PolicyClient -a -cancle_bind account_id ipaddr（帐号跟ip取消绑定）PolicyClient -a -notify account_id, ipaddr, online（通知帐号上下线）PolicyClien93、t -a -update 0 （重新加载账号）帐号管理操作account_id- 帐号idgroupid- 帐号所属的组的IDpolicy_ids- 策略id列表, id之间用,分割, 如果要把策略设置为空， policy_ids=-1account_list- 批量修改帐号信息ipaddr-帐号所在机器ip地址online- 1上线 0下线3.2.2 自动分组自动分组该功能模块中主要是方便用户搜索机器并将该范围内搜索到的机器自动添加到机器列表。如下图所示：也可对同一范围内的机器进行重新分组，其结果可在【用户管理 组织管理】中查看。后台目录文件及程序配置维护：自动分组的相关配置保存在rtxdb94、中的表组表【autogroup】中，其表结构如下表所示：表名说明autogroup组表自动分组中与业务层相关验证接口：接口名称作用说明参数PolicyClient -s -update value更新自动分组value 为1更新ip 段分组信息PolicyClient -s -update value value2更新自动分组value-为14: 进行IP段分组操作value2 为0: 分组时不更改机器的策略，为1: 分组时更改机器的策略，如果value2参数不写则默认更改策略。3.2.3 认证配置在认证配置功能模块中主要是配置终端机器上网登陆的认证方式。如下图所示：也点击 对帐号的相关认证状95、态等进行设置,如下图所示：后台目录文件及程序配置维护：认证配置中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb/rtxconf 【任天行全局配置】表中，相关值域如下表所示：配置项名称（configname）配置项值（configvalue）说明certification_base_heartbeat状态提示弹窗certification_base_hbtime状态提示弹窗更新时间certification_base_autologout认证有效期certification_base_minpasswordsize最小密码长度certification_base_changep96、assword修改密码期限certification_base_logouttime下线轮询时间（此项设置功能暂时未生效，故隐藏）certification_base_action未通过认证行为certification_base_xlogin帐号多点登录禁止新用户登陆= 1 原用户自动下线= 2允许多机器登陆= 3certification_base_updatepassword首次使用强制修改密码certification_base_bindipmacIP/MAC绑定identification_ip_clientIP识别, 透明识别identification_mac_clientMAC97、识别, 透明识别identification_agent_clientHTTP代理用户识别, 透明识别identification_pop3_clientPOP3识别, 透明识别identification_pppoe_clientPPPoE识别, 透明识别identification_ad_clientAD域帐号(kerberos)识别, 透明识别certification_web_client本地WEB认证certification_ad_client远程AD认证certification_ldap_client远程LDAP用户认证certification_radius_client远程98、Radius认证certification_esmtp_client远程ESMTP认证certification_pop3_client远程POP3认证certification_web_validity上网验证模式certification_ad_server认证服务器certification_ad_domain认证服务器域名certification_ad_allowchangepassword认证服务器用户密码修改（此项暂时屏蔽）certification_ad_admin域管理员帐号certification_ad_password域管理员帐号密码certification_ldap99、_serverldap服务器certification_ldap_domainldap服务器域名certification_radius_serverradius服务器certification_radius_portradius服务器端口certification_radius_secretradius服务器共享密钥certification_esmtp_serveresmtp服务器certification_pop_serverpop服务器identification_agent_server代理服务器identification_pop_serverpop3服务器identificati100、on_ad_serverad域服务器认证配置中与业务层相关验证接口：接口名称作用说明参数PolicyClient -s -update value更新相关设置value- 为4：更新识别，控制模式的配置 为8：新认证有效期，自动下线时间，封堵处理方式，ipmac绑定标志, 机器存在机器列表的有效期3.3 策略管理维护3.3.1 黑白名单 在黑白名功能模块中用户可以根据需要设置网址，目标IP，IP用户，MAC用户，帐号用户无条件允许或禁止局域网内的机器的网络活动。具体设置如下图所示：图1：网址黑白名单图2：目标IP的黑白名单图3：IP用户黑白名单图4：MAC地址黑白名单图5： 帐号用户黑白名单后101、台目录文件及程序配置维护：黑白名单中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明blackwhiteipdest 目标IP黑白名单blackwhiteipuserIP用户黑白名单blackwhitemacuser MAC用户黑白名单blackwhiteiduser 帐号用户黑白名单blackwhiteurl 网址黑白名单注:具体表结构见数据库设计文档认证配置中与业务层相关验证接口：接口名称作用说明参数PolicyClient d add authored,whiteorblack, isrecord ,what,value1, valu102、e2添加黑白名单authored- 作者idwhiteorblack- 0黑名单 1 白名单isrecored- 是否记日志 0 不记录 1 记录what- 0 本地ip 1 目的ip 2 mac地址 3 帐号 4 url 5 域名PolicyClient -d del authoredwhiteorblack, what,value1, value2删除黑白名单PolicyClient -d -batch_add item_list批量添加黑白名单PolicyClient -d -batch_del item_list批量删除黑白名单PolicyClient -d -update 0重载黑白103、名单3.3.2 应用封堵在应用封堵功能模块中用户可以根据需要设置封堵条件。如下图所示：点击按钮用户就可根据需要选择不同的选项卡内容进行设置封堵条件，如下图：也可选中某个已经存在的策略对其策略进行，等相关的操作。后台目录文件及程序配置维护：应用封堵中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明policy 策略表policydetail策略详细表注:具体表结构见数据库设计文档应用封堵中与业务层相关验证接口：接口名称作用说明参数PolicyClient -p -add policyid增加封堵策略policy_id: 策略IDPolicyC104、lient -p -modify policy_id 修改封堵策略PolicyClient -p -del policy_id删除封堵策略3.3.3 流量封堵流量封堵功能模块是用户可根据需要对机器的流量进行控制。如下图所示：点击按钮可对流量进行设置，具体设置如下图：对已存在的流量封堵策略选中可进行，的查看的相关操作。后台目录文件及程序配置维护：应用封堵中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明policy 策略表policydetail策略详细表注:具体表结构见数据库设计文档流量封堵中与业务层相关验证接口：接口名称作用说明参数Pol105、icyClient -p -add policyid增加封堵策略policy_id: 策略IDPolicyClient -p -modify policy_id 修改封堵策略PolicyClient -p -del policy_id删除封堵策略3.3.4 行为审计 行为审计功能模块对进行各种网络行为的机器和帐号进行审计。系统将根据所设条件对所有局域网控制范围内的机器进行审计，并在日志查询中的对应审计中查询相关结果。具体设置如下图所示：注：其中*代表审计所有。用户根据需要选择对应审计类型选项卡中的按钮增加相应审计条件。后台目录文件及程序配置维护：应用封堵中的相关配置项配置信息均保存在/apps106、/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明actionpolicy 行为审计报警策略表注:具体表结构见数据库设计文档行为审计中与业务层相关验证接口：接口名称作用说明参数PolicyClient -p -add policyid增加封堵策略policy_id: 策略IDPolicyClient -p -modify policy_id 修改封堵策略PolicyClient -p -del policy_id删除封堵策略PolicyClient -s -update value更新策略value为6: 更新行为报警策略3.3.5 内容审计用户可通过设置内容审计条件，实时获取局107、域网内的用户发生的各种网络活动的访问详细内容，相关审计内容可以在【日志查询-内容日志】中查看。如下图所示：用户可点击按钮根据需要设置相关的内容审计策略。也可与已经存在的策略进行，等操作。后台目录文件及程序配置维护：应用封堵中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明policy 策略表policydetail策略详细表注:具体表结构见数据库设计文档内容审计中与业务层相关验证接口：接口名称作用说明参数PolicyClient -p -add policyid增加封堵策略policy_id: 策略IDPolicyClient -p -mo108、dify policy_id 修改封堵策略PolicyClient -p -del policy_id删除封堵策略PolicyClient -r modify item_list日志策略item_list: 需要记录日志的协议列表 0表示不记录， 1 表示记录， 各个协议用，分割 .例如：PolicyClient -r -modify 1:1,18:1,25:13.3.6 策略分配策略分配该功能模块下可对所有增加的策略进行以组织架构为基础的分配。所有策略在没有分配之前都是无效的。策略分配如下图所示：后台目录文件及程序配置维护：分配策略中的相关配置项配置信息均保存在/apps/rtx/db/rz109、xdb数据库中，相关表名如下图所示：表名说明group 组表machine机器表netaccount上网帐号表policyid 内容审计策略idpolicy2id应用封堵策略idpolicy3id 流量封堵策略id注:具体表结构见数据库设计文档分配策略中与业务层相关验证接口：接口名称作用说明参数PolicyClient -a -update 0重载帐号0：表示全部重载PolicyClient -m -update 0重载机器0：表示全部重载3.4 现场观察维护3.4.1 系统状态 在系统状态功能模块下可以看到整个系统当前的运行情况，如下图所示：后台目录文件及程序配置维护：分配策略中的相关配置项110、配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明 注:具体表结构见数据库设计文档分配策略中与业务层相关验证接口：接口名称作用说明/apps/rtx/run_env/plcy.d/.SYS_STATE读取系统状态的相关信息.SYS_STATE文件内容及其说明 = 变量名 值 说明 Status_App=1 /系统状态 0，1(正常) Status_Nsdpf=1 /协议分析和策略控制 Status_LogContentAlys=1 /日志入库 Status_FlowCollect=1 /流量统计 Status_LogSum=1 /日志统计 Status_111、RtxScan=1 /用户监控 Flow_Account_In=500 /流量入 Flow_Account_In_P=500 /上次流量入 Flow_Account_Out=200 /流量出 Flow_Account_Out_P=200 /上次流量出 OnlineUser=320 /当前在线用户数 UserAccount=688 /用户总数 App_Start_Time=34534545 /上次开机时间 App_Run_Time=232323 /持续运行时间 Sys_Disk_Usage=18% /磁盘使用率(不用) Sys_Mem_Usage=40% /内存使用率(不用) Sys_Cpu_U112、sage=33% /CPU使用率(不用) =注: 此文件由业务层每隔5秒更新一次,界面每30秒读取一次,如果该文件更新时间与读取时间间隔 超过30秒,即该文件有30秒没有更新,界面将全部系统基本信息中的状态值归为不正常/apps/rtx/run_env/plcy.d/.cpustatesCPU状态读取/usr/bin/free内存使用率如：=rootlocalhost plcy.d# /usr/bin/free total used free shared buffers cachedMem: 514476 504260 10216 0 11136 99480-/+ buffers/cache113、: 393644 120832Swap: 1052248 536396 515852 =注：取第4行数据的的total列和used列来算使用率获取磁盘使用率(只计算日志分区的)=df|grep appslog |awk print $2,$3 140350576 4357272 = 第1个数为总空间,第2个为使用空间 3.4.2 网络活动网络活动该功能模块是显示系统当前运行的网络活动摘要列表：如下图所示后台目录文件及程序配置维护：网络活动中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明 注:具体表结构见数据库设计文档网络活动中与业务层相关114、验证接口：接口名称作用说明3.4.3 流量监控流量监控模块提供了查看正在进行网络活动的用户以及活动情况，用于获知当前网络流量比较大的用户及对当前某段时间上网的活跃用户。如下图所示：后台目录文件及程序配置维护：分配策略中的相关配置项配置信息均保存在/apps/rtx/db/rzxdb数据库中，相关表名如下图所示：表名说明 注:具体表结构见数据库设计文档流量监控中与业务层相关验证接口：接口名称作用说明/apps/rtx/run_env/plcy.d/.SYS_STATE读取系统状态的相关信息统计60分钟内所有协议流量,每隔界面设定时间记取一次,从.SYS_STATE文件中读取/apps/rtx/r115、un_env/bin/getRealFlow -p访问类型流量调用/apps/rtx/run_env/bin/getRealFlow -f 0用户流量排名调用3.5 日志查询在日志查询中所有日志查询【综合查询】，【行为日志】，【内容日志】，【行为报警日志】，【内容报警日志】，【封堵日志】，【上下机日志】，【系统邮件日志】，【系统操作日志】中查询结果每页显示的记录数和日志导出时导出的最大记录数都在【系统管理-系统参数-界面参数】中设置。3.6 报表管理3.6.1 统计报表在统计报表中每项查询结果记录数最大值为 【系统管理-系统参数-界面参数】每页记录数控制3.6.2 报表订阅在所有报表分析订阅中116、,邮件地址必须保证一项为合法的邮件地址(订阅者本身的邮件地址或附件收件人的收件地址),系统才会发邮件,否则不发(两者都为空或者都不合法)。而订阅者本身的邮件地址在【系统管理-管理员配置-修改】中修改。报表订阅中临时文件存放位置：文件位置作用说明/apps/www/htdocs/public/temp界面查询生成的swf文件/apps/www/htdocs/temp/actions(行为报表/分析)/apps/www/htdocs/temp/trend (趋势报表/分析) /apps/www/htdocs/temp/keyword(搜索关键字报表/分析)/apps/www/htdocs/temp/users(用户报表/分析) /apps/www/htdocs/temp/traffic(流量报表/分析)报表订阅生成的excel与swf文件在/内部使用总75页 第76页