1、天清天清異常異常流量流量檢測系統(tǒng)檢測系統(tǒng)ADM-DetectorADM-Detector配置配置培訓(xùn)培訓(xùn)2012012 2年年0505月月2020日日業(yè)務(wù)描述業(yè)務(wù)描述數(shù)據(jù)來源數(shù)據(jù)來源基于基于NetflowNetflow解析的檢測解析的檢測原理原理Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機制實現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測的需求。特點特點支持廣泛：Cisco，huawei，Juniper等。(如果設(shè)備不支持，可以用端口鏡像流量，然后用NetFlowExplore這樣的軟件來產(chǎn)生NetFlow)效率高：衡量基準(zhǔn)是關(guān)聯(lián)包的集

2、合，而不是單獨的包。產(chǎn)品部署產(chǎn)品部署 本產(chǎn)品的部署方式分為2種： 一、天清異常流量檢測設(shè)備單獨部署 二、天清異常流量檢測設(shè)備與清洗設(shè)備（gurad）聯(lián)動部署單獨部署單獨部署聯(lián)動部署聯(lián)動部署不同部署的區(qū)別不同部署的區(qū)別與Guard聯(lián)動的實質(zhì)是在檢測出的異常后，如何牽引異常流量 。 同步Guard上的保護zone信息； 將zone轉(zhuǎn)化為Detector自身支持的保護基線； 根據(jù)基線進行攻擊檢測； 發(fā)現(xiàn)異常流量并確認(rèn)并被攻擊主機匹配保護zone后，以內(nèi)部通訊模式登陸Guard，建立抗攻擊策略并生效，進行牽引； 異常流量通過BGP牽引給GURAD進行2次分析，清洗，然后回注正常流量； 經(jīng)過一段時間的觀

3、測發(fā)現(xiàn)攻擊消除，使相應(yīng)的抗攻擊策略失效。單獨部署實質(zhì)是在檢測出的異常后，以黑洞方式刪除異常流量 無保護zone信息； 異常流量牽引到Detector自身進行刪除； 直接刪除不做清洗；WEBWEB菜單菜單首頁功能項：首頁功能項：1、雷達掃描圖：雷達掃描圖：雷達中的點的顏色雷達中的點的顏色告警的級別告警的級別紅色：高級；黃色：中級；綠色：低紅色：高級；黃色：中級；綠色：低級。點的位置表示該告警產(chǎn)生的時間級。點的位置表示該告警產(chǎn)生的時間距離雷達中心越近，表示告警產(chǎn)生的時間越近；距離雷達中心越近，表示告警產(chǎn)生的時間越近；距離雷達中心越遠(yuǎn)，表示告警產(chǎn)生的時間越遠(yuǎn)。距離雷達中心越遠(yuǎn)，表示告警產(chǎn)生的時間越遠(yuǎn)

4、。當(dāng)把鼠標(biāo)放到該點上方的時候，會顯示當(dāng)把鼠標(biāo)放到該點上方的時候，會顯示出此次告警的詳細(xì)信息。出此次告警的詳細(xì)信息。2、30分鐘內(nèi)的分鐘內(nèi)的10條告警信息：條告警信息：以列表形式顯示最近以列表形式顯示最近1010條具體告警條具體告警。3、最近、最近24小時流量告警類型分布：小時流量告警類型分布：以柱狀圖顯示告警類型分布。以柱狀圖顯示告警類型分布。4、最近、最近60分鐘分鐘TOP流量：流量：提供流量高的提供流量高的IP地址，地址，出現(xiàn)在中間的出現(xiàn)在中間的IP地址的流量地址的流量越多。越多。5、最近、最近30分鐘分鐘TOP協(xié)議流量協(xié)議流量：以坐標(biāo)圖形式顯示協(xié)議流量大小。以坐標(biāo)圖形式顯示協(xié)議流量大小。

5、告警查詢配置：告警查詢配置：用戶可查看指定條件的告警信息所謂異常流量是指有限的帶寬承載了非預(yù)期的流量。當(dāng)所謂異常流量是指有限的帶寬承載了非預(yù)期的流量。當(dāng)Detector監(jiān)測到這些異監(jiān)測到這些異常流量之后，可以根據(jù)相應(yīng)的檢測基線來判斷這些異常流量屬于哪些攻擊。常流量之后，可以根據(jù)相應(yīng)的檢測基線來判斷這些異常流量屬于哪些攻擊。如圖：如圖：而當(dāng)你點擊某個具體的告警信息之后，會彈出如下的信息欄，可以看到該告警的而當(dāng)你點擊某個具體的告警信息之后，會彈出如下的信息欄，可以看到該告警的詳細(xì)信息：詳細(xì)信息：異常模塊配置異常模塊配置異常模塊在【配置異常模塊在【配置-策略管理策略管理-異常檢測】有默認(rèn)基線配置，異

6、常檢測】有默認(rèn)基線配置，Detector可可根據(jù)這些根據(jù)這些條件來判斷流量屬于哪種攻擊。條件來判斷流量屬于哪種攻擊。用戶也可以根據(jù)需要，手動進行更改。用戶也可以根據(jù)需要，手動進行更改。圖形化展示網(wǎng)絡(luò)關(guān)鍵路由圖形化展示網(wǎng)絡(luò)關(guān)鍵路由 , 服務(wù)器節(jié)點性能狀態(tài)和重要接口流量狀況服務(wù)器節(jié)點性能狀態(tài)和重要接口流量狀況 , 默認(rèn)默認(rèn)將展示所有的路由器設(shè)備。將展示所有的路由器設(shè)備。 在拓?fù)湟晥D中，點擊路由設(shè)備，將展示設(shè)備地址，在拓?fù)湟晥D中，點擊路由設(shè)備，將展示設(shè)備地址， CPU 利用率，路由總流利用率，路由總流量的信息并每隔量的信息并每隔 30 秒刷新一次秒刷新一次 .功能介紹與配置功能介紹與配置 功能介紹：

7、功能介紹：可以新增路由設(shè)備和服務(wù)器設(shè)備、關(guān)注接口、刪除設(shè)備和接可以新增路由設(shè)備和服務(wù)器設(shè)備、關(guān)注接口、刪除設(shè)備和接口、查看設(shè)備詳細(xì)信息以及調(diào)整布局?？?、查看設(shè)備詳細(xì)信息以及調(diào)整布局。配置操作：配置操作：添加設(shè)備等操作可以在本頁面添加，也可在【配置添加設(shè)備等操作可以在本頁面添加，也可在【配置-運行配置運行配置-設(shè)備管理】中添加。設(shè)備管理】中添加。新增路由設(shè)備新增路由設(shè)備新增后效果新增后效果監(jiān)控模塊的作用監(jiān)控模塊的作用監(jiān)控模塊的作用在于當(dāng)在與監(jiān)控模塊的作用在于當(dāng)在與Detector相連通的一臺設(shè)備上配置好相連通的一臺設(shè)備上配置好snmp信息信息之后，之后，Detector能夠通過能夠通過snmp協(xié)

8、議獲取到該設(shè)備上的詳細(xì)信息，并能實時協(xié)議獲取到該設(shè)備上的詳細(xì)信息，并能實時的觀察到該設(shè)備的性能以及接口等信息。的觀察到該設(shè)備的性能以及接口等信息。流量分析，即對分析對象基于時間進行流量分析，并呈現(xiàn)流量成分。分析對象分流量分析，即對分析對象基于時間進行流量分析，并呈現(xiàn)流量成分。分析對象分別是路由器、路由器組、路由器的接口組等。如圖別是路由器、路由器組、路由器的接口組等。如圖 所示，頁面左側(cè)是以樹狀結(jié)所示，頁面左側(cè)是以樹狀結(jié)構(gòu)分類列出所有分析對象，單擊某個分析對象即可在頁面右側(cè)展示它在最近構(gòu)分類列出所有分析對象，單擊某個分析對象即可在頁面右側(cè)展示它在最近30分鐘內(nèi)的流量趨勢及分鐘內(nèi)的流量趨勢及TO

9、P5流量分析。另外，也可以自定義時間范圍查詢條件，流量分析。另外，也可以自定義時間范圍查詢條件，以便查看流量分析。其配置見以便查看流量分析。其配置見【配置配置-運行配置運行配置】界面，其流量信息是通過界面，其流量信息是通過snmp協(xié)議自動獲取生成，無需手動配置。協(xié)議自動獲取生成，無需手動配置。路由模塊的作用就是通過分析路由消息和路由表消息，得到關(guān)于路由穩(wěn)定路由模塊的作用就是通過分析路由消息和路由表消息，得到關(guān)于路由穩(wěn)定性和合理性的結(jié)論。根據(jù)方案設(shè)計，路由分析功能主要通過由性和合理性的結(jié)論。根據(jù)方案設(shè)計，路由分析功能主要通過由bgp模塊提模塊提供的數(shù)據(jù)來進行路由分析。路由分析的具體功能包括：路由

10、前綴數(shù)目分析供的數(shù)據(jù)來進行路由分析。路由分析的具體功能包括：路由前綴數(shù)目分析、路由穩(wěn)定性分析、路由數(shù)目分析、路由穩(wěn)定性分析、路由數(shù)目分析、bgp包分析以及路由震蕩分析。路由包分析以及路由震蕩分析。路由分析的方式分為實時分析（分析的方式分為實時分析（30s自動刷新）和歷史分析兩種。自動刷新）和歷史分析兩種。1 1、路由前綴數(shù)目分析路由前綴數(shù)目分析：可以分析當(dāng)前路由表中各種前綴長度的數(shù)量分布可以分析當(dāng)前路由表中各種前綴長度的數(shù)量分布。展示路由前綴數(shù)目的分布圖和分布矩陣。展示路由前綴數(shù)目的分布圖和分布矩陣。2 2、路由穩(wěn)定性分析：路由穩(wěn)定性分析：即通過對路由更新的情況進行分析，包括路由更即通過對路由

11、更新的情況進行分析，包括路由更新數(shù)目和各類異常路由更新數(shù)目，可以反應(yīng)出網(wǎng)絡(luò)的穩(wěn)定性情況。新數(shù)目和各類異常路由更新數(shù)目，可以反應(yīng)出網(wǎng)絡(luò)的穩(wěn)定性情況。3 3、路由數(shù)目分析：路由數(shù)目分析：可以分析來自各鄰居的路由數(shù)目，即按照前綴類型、可以分析來自各鄰居的路由數(shù)目，即按照前綴類型、前綴狀態(tài)進行分類統(tǒng)計，同時還標(biāo)明了鄰居的名稱以及前綴狀態(tài)進行分類統(tǒng)計，同時還標(biāo)明了鄰居的名稱以及AS號。號。4、BGPBGP包分析：包分析：可以統(tǒng)計來自各鄰居的可以統(tǒng)計來自各鄰居的BGP更新包。更新包分為正常更更新包。更新包分為正常更新包和無效更新包，其中無效更新包是要被路由器丟棄的異常包。新包和無效更新包，其中無效更新包是

12、要被路由器丟棄的異常包。5、路由震蕩分析：路由震蕩分析：統(tǒng)計了路由表中當(dāng)前正在震蕩和因抖動厲害而被抑統(tǒng)計了路由表中當(dāng)前正在震蕩和因抖動厲害而被抑制的前綴數(shù)目，可分別按正在抖動或已被抑制兩種類型來展示。（路由制的前綴數(shù)目，可分別按正在抖動或已被抑制兩種類型來展示。（路由震蕩分析功能只對震蕩分析功能只對EBGP鄰居有效）鄰居有效）各分析模塊作用：各分析模塊作用：數(shù)據(jù)管理包括數(shù)據(jù)數(shù)據(jù)管理包括數(shù)據(jù)存儲策略存儲策略、遠(yuǎn)程備份遠(yuǎn)程備份、清除告警清除告警功能，主頁顯示管理設(shè)備功能，主頁顯示管理設(shè)備硬盤使用情況硬盤使用情況 , 數(shù)據(jù)庫使用的基本信息以及數(shù)據(jù)庫使用的基本信息以及 netflow 流量分析圖。流量

13、分析圖。數(shù)據(jù)管理模塊的存儲策略用來自定義數(shù)據(jù)表的存儲期限。數(shù)據(jù)管理模塊的存儲策略用來自定義數(shù)據(jù)表的存儲期限。可以通過數(shù)據(jù)庫客戶端連接到可以通過數(shù)據(jù)庫客戶端連接到detector數(shù)據(jù)庫，查看保存的數(shù)據(jù)。數(shù)據(jù)庫，查看保存的數(shù)據(jù)。表明信息表明信息選擇告警、流量、過濾器、路由表。選擇告警、流量、過濾器、路由表。 如：如：flow流量表流量表_當(dāng)前當(dāng)前保留時間保留時間填寫庫表信息保留時間。填寫庫表信息保留時間。 時間粒度時間粒度選擇庫表信息保留時間的時間單位。選擇庫表信息保留時間的時間單位。 注意事項：注意事項： 1.表名信息：表名信息：存數(shù)策略添加成功后在存儲策略列表顯示，同時添加頁面存數(shù)策略添加成功

14、后在存儲策略列表顯示，同時添加頁面表明信息下拉框中不再顯示已填加成功表名。表明信息下拉框中不再顯示已填加成功表名。 2.保留時間：保留時間：只支持?jǐn)?shù)字格式。只支持?jǐn)?shù)字格式。 3.時間粒度：時間粒度：可以根據(jù)需要制定策略執(zhí)行的時間單位：分鐘、小時、天、可以根據(jù)需要制定策略執(zhí)行的時間單位：分鐘、小時、天、周、月、季、年。周、月、季、年。 還可以進行還可以進行編輯編輯，刪除刪除操作。操作。啟用備份功能，即可按照設(shè)定時間將當(dāng)前日志審計的告警監(jiān)控信息和流量分析數(shù)據(jù)自啟用備份功能，即可按照設(shè)定時間將當(dāng)前日志審計的告警監(jiān)控信息和流量分析數(shù)據(jù)自動備份到遠(yuǎn)程備份服務(wù)器中。動備份到遠(yuǎn)程備份服務(wù)器中。 如：如：3C

15、Daemon單擊遠(yuǎn)程備份列表上方的【新增】單擊遠(yuǎn)程備份列表上方的【新增】按鈕，進入新增備份頁面，各項參按鈕，進入新增備份頁面，各項參數(shù)含義如下：數(shù)含義如下： 服務(wù)器地址服務(wù)器地址 : 填寫遠(yuǎn)程備份服填寫遠(yuǎn)程備份服務(wù)器務(wù)器 IP 地址。地址。 用用 戶戶 名名 : 填寫遠(yuǎn)程備份服務(wù)填寫遠(yuǎn)程備份服務(wù)器登錄用戶名。器登錄用戶名。 登錄密碼登錄密碼 : 填寫遠(yuǎn)程備份服務(wù)填寫遠(yuǎn)程備份服務(wù)器登錄密碼。器登錄密碼。 備份路徑備份路徑 : 填寫遠(yuǎn)程備份服務(wù)填寫遠(yuǎn)程備份服務(wù)器文件備份路徑。器文件備份路徑。 狀狀 態(tài)態(tài) : 選擇此遠(yuǎn)程備份是否選擇此遠(yuǎn)程備份是否啟用。啟用。 服務(wù)器地址：遠(yuǎn)程服務(wù)器地址服務(wù)器地址：遠(yuǎn)

16、程服務(wù)器地址要符合要符合 IP 格式要求。格式要求。 必選性要求：遠(yuǎn)程備份添加中必選性要求：遠(yuǎn)程備份添加中所有選項均不能為空。所有選項均不能為空。 單擊遠(yuǎn)程備份列表中【編輯】按鈕，對備份信息的屬性進行編輯，編輯的界面中各項單擊遠(yuǎn)程備份列表中【編輯】按鈕，對備份信息的屬性進行編輯，編輯的界面中各項參數(shù)含義與添加界面中一致。參數(shù)含義與添加界面中一致。 選中要刪除的項，單擊遠(yuǎn)程備份列表中選中要刪除的項，單擊遠(yuǎn)程備份列表中 【刪除】【刪除】 按鈕，進行遠(yuǎn)程備份刪除。同按鈕，進行遠(yuǎn)程備份刪除。同遠(yuǎn)程備份列表進行刷新。遠(yuǎn)程備份列表進行刷新。單擊遠(yuǎn)程備份列表上方【備份時間】按鈕，設(shè)定遠(yuǎn)程備份時間，各項參數(shù)含

17、義如下：單擊遠(yuǎn)程備份列表上方【備份時間】按鈕，設(shè)定遠(yuǎn)程備份時間，各項參數(shù)含義如下： 備份時間備份時間選擇每天進行備份時間，選擇范圍為選擇每天進行備份時間，選擇范圍為 0 至至 23 之間。之間。 狀狀 態(tài)態(tài)遠(yuǎn)程備份功能是否啟用。遠(yuǎn)程備份功能是否啟用。 單擊頁面的單擊頁面的“清除警告清除警告”按鈕，即彈出是否清除所有警告信息的提示框，單擊按鈕，即彈出是否清除所有警告信息的提示框，單擊“清清除告警除告警”，即清除所有警告信息，點擊其他按鈕，不清除信息。，即清除所有警告信息，點擊其他按鈕，不清除信息。 警告：警告：此操作可能引起告警監(jiān)控及相關(guān)查詢不正常，因此不建議使用。此操作可能引起告警監(jiān)控及相關(guān)查

18、詢不正常，因此不建議使用。 日志模塊中包含日志模塊中包含日志中心、告警日志、流日志中心、告警日志、流量日志、系統(tǒng)日志量日志、系統(tǒng)日志 四個小模塊。用來記錄四個小模塊。用來記錄告警、流量和系統(tǒng)操作日志，從而使用戶更方告警、流量和系統(tǒng)操作日志，從而使用戶更方便的管理設(shè)備。便的管理設(shè)備。包含三種日志類型的所有日志，并且默認(rèn)每隔三十秒自動刷新?？梢渣c擊【停止】包含三種日志類型的所有日志，并且默認(rèn)每隔三十秒自動刷新?？梢渣c擊【停止】關(guān)閉自動刷新功能。關(guān)閉自動刷新功能。如圖：提供條件按查詢告警日志，用戶可以選擇性的查看告警日志。如圖：提供條件按查詢告警日志，用戶可以選擇性的查看告警日志。按條件查詢各類日志

19、按條件查詢各類日志報表報表為內(nèi)置報表，根據(jù)功能分成三個報表組：告警報表組、流量報表組、路由為內(nèi)置報表，根據(jù)功能分成三個報表組：告警報表組、流量報表組、路由分析報表組。每個組下會有對應(yīng)的子報表。分析報表組。每個組下會有對應(yīng)的子報表。 報表支持報表支持PDF/HTML/PNG/DOCX/RTF/XLSX/XLS等格式。等格式。內(nèi)置報表內(nèi)置報表查看導(dǎo)出查看導(dǎo)出報告報告是將多個報表合并生成一個報表，同時可以輸入報告描述，顯示在報告的是將多個報表合并生成一個報表，同時可以輸入報告描述，顯示在報告的最前面。最前面。配置模塊主要分為配置模塊主要分為系統(tǒng)管理、策略管理系統(tǒng)管理、策略管理以及以及運行配置運行配置

20、 3個部分。個部分。1、系統(tǒng)管理：系統(tǒng)管理：提供系統(tǒng)運行所必要的相關(guān)配置、控制、工具等功能提供系統(tǒng)運行所必要的相關(guān)配置、控制、工具等功能。分為系統(tǒng)管理、系統(tǒng)自身監(jiān)控、網(wǎng)絡(luò)配置、診斷分析、數(shù)據(jù)代理接。分為系統(tǒng)管理、系統(tǒng)自身監(jiān)控、網(wǎng)絡(luò)配置、診斷分析、數(shù)據(jù)代理接口以及產(chǎn)品授權(quán)管理等幾個子模塊。口以及產(chǎn)品授權(quán)管理等幾個子模塊。系統(tǒng)管理系統(tǒng)管理子模塊可以配置外部設(shè)備接收子模塊可以配置外部設(shè)備接收netflow數(shù)據(jù)等功能數(shù)據(jù)等功能在網(wǎng)絡(luò)配置界面可以配置Detector上的接口ip和DNS以及默認(rèn)網(wǎng)關(guān)。（默認(rèn)情況下只有eth0口上有ip -10.0.0.1/24）在在診斷分析診斷分析界面可以通過界面可以通過

21、PING分析功能來查看分析功能來查看Detecter是否與目的地址路由可是否與目的地址路由可達；可以通過抓包分析功能來查看在達；可以通過抓包分析功能來查看在Detector的設(shè)備的某個接口上是否有某種的設(shè)備的某個接口上是否有某種類型的流量；可以通過類型的流量；可以通過snmp分析功能來查看目的分析功能來查看目的ip屬于哪個設(shè)備；可以通過屬于哪個設(shè)備；可以通過flow分析功能來查看當(dāng)前時間范圍內(nèi)流經(jīng)分析功能來查看當(dāng)前時間范圍內(nèi)流經(jīng)Detector的流量的詳細(xì)信息的流量的詳細(xì)信息在在數(shù)據(jù)代理接口數(shù)據(jù)代理接口界面可以通過配置界面可以通過配置snmp信息來使得目標(biāo)信息來使得目標(biāo)ip能通過能通過snmp

22、協(xié)議獲協(xié)議獲取到取到Detector上的相關(guān)信息（兩者的上的相關(guān)信息（兩者的snmp關(guān)鍵字必須一致）；可以通過配置關(guān)鍵字必須一致）；可以通過配置SYSLOG信息使得服務(wù)器能收到信息使得服務(wù)器能收到Detector上相應(yīng)的日志信息。上相應(yīng)的日志信息。在在產(chǎn)品授權(quán)管理產(chǎn)品授權(quán)管理界面可以通過界面可以通過webui界面對界面對產(chǎn)品的權(quán)限信息進行管理產(chǎn)品的權(quán)限信息進行管理2、策略管理策略管理：包括異常檢測、異常緩解、檢測范圍以及自定義監(jiān)控等幾個子模塊。異常檢測異常檢測子模塊主要是進行基線檢測技術(shù)的配置。子模塊主要是進行基線檢測技術(shù)的配置。Detector可以根據(jù)該界面的檢可以根據(jù)該界面的檢測基線來判斷

23、哪些流量屬于哪些攻擊流量。也可以通過自定義告警配置來創(chuàng)建一測基線來判斷哪些流量屬于哪些攻擊流量。也可以通過自定義告警配置來創(chuàng)建一條新的檢測基線，來感興趣的流量，使其以告警的方式顯示。而告警通知功能可條新的檢測基線，來感興趣的流量，使其以告警的方式顯示。而告警通知功能可以將指定的告警類型通過郵件或者短信的方式發(fā)給指定的客戶以將指定的告警類型通過郵件或者短信的方式發(fā)給指定的客戶異常緩解異常緩解子模塊能夠在子模塊能夠在Detector發(fā)現(xiàn)異常流量之后，自動登錄流量清洗設(shè)備下發(fā)現(xiàn)異常流量之后，自動登錄流量清洗設(shè)備下發(fā)發(fā)bgp路由，進行流量牽引。（兩者的路由，進行流量牽引。（兩者的SSH配置，配置，sn

24、mp配置必須相一致。當(dāng)配配置必須相一致。當(dāng)配置完成之后，點擊更新置完成之后，點擊更新zone按鈕之后，若能獲取到按鈕之后，若能獲取到pcp信息，說明流量能正常信息，說明流量能正常牽引。）當(dāng)流量牽引成功之后，會在告警牽引界面自動生成一條告警牽引信息，牽引。）當(dāng)流量牽引成功之后，會在告警牽引界面自動生成一條告警牽引信息，而在攻擊停止一段時間之后，此條信息會自動刪除。另外，而在攻擊停止一段時間之后，此條信息會自動刪除。另外，bgp鄰居的配置也必鄰居的配置也必須與實際環(huán)境中的配置相一致。須與實際環(huán)境中的配置相一致。檢測范圍檢測范圍子模塊中檢測范圍是指網(wǎng)絡(luò)內(nèi)部子模塊中檢測范圍是指網(wǎng)絡(luò)內(nèi)部IP范圍；范圍；

25、Dark IP包括包括NIC未分配的未分配的IP和已分配但未使用的和已分配但未使用的IP；私有；私有IP是專門為內(nèi)網(wǎng)使用預(yù)留的是專門為內(nèi)網(wǎng)使用預(yù)留的IP，不應(yīng)在公網(wǎng)中路，不應(yīng)在公網(wǎng)中路由。而自定義監(jiān)控子模塊可以自行配置需要監(jiān)控的應(yīng)用端口、自治域以及協(xié)議。由。而自定義監(jiān)控子模塊可以自行配置需要監(jiān)控的應(yīng)用端口、自治域以及協(xié)議。3、運行配置：運行配置：界面主要包括設(shè)備管理、設(shè)備組管理和對照表管理等子模塊。界面主要包括設(shè)備管理、設(shè)備組管理和對照表管理等子模塊。在設(shè)備管理子模塊中我們可以配置相應(yīng)的路由器設(shè)備和服務(wù)器設(shè)備，當(dāng)它們與在設(shè)備管理子模塊中我們可以配置相應(yīng)的路由器設(shè)備和服務(wù)器設(shè)備，當(dāng)它們與Dete

26、ctor相連通并配置好了相連通并配置好了snmp信息之后，信息之后，Detector就能通過就能通過snmp協(xié)議（兩協(xié)議（兩者的者的snmp關(guān)鍵字必須相同）獲取到相應(yīng)設(shè)備的信息；同樣，在設(shè)備組管理子關(guān)鍵字必須相同）獲取到相應(yīng)設(shè)備的信息；同樣，在設(shè)備組管理子模塊中配置好相應(yīng)的路由器設(shè)備組和路由器接口組之后，就能在流量界面看到模塊中配置好相應(yīng)的路由器設(shè)備組和路由器接口組之后，就能在流量界面看到相應(yīng)的路由器設(shè)備組合路由器接口組的流量信息；而對照表管理子模塊就是使相應(yīng)的路由器設(shè)備組合路由器接口組的流量信息；而對照表管理子模塊就是使用名稱來代替原有的用名稱來代替原有的ip地址、協(xié)議端口和應(yīng)用以及自治域編

27、號。地址、協(xié)議端口和應(yīng)用以及自治域編號。高級配置子模塊主要是做鏡像流量時所需的配置（鏡像的端口、轉(zhuǎn)發(fā)flow的設(shè)備等等）系統(tǒng)采用基于角色的權(quán)限控制機制，即系統(tǒng)只對角色分配權(quán)限，用戶只能通系統(tǒng)采用基于角色的權(quán)限控制機制，即系統(tǒng)只對角色分配權(quán)限，用戶只能通過擁有一個或者多個角色來獲取權(quán)限，而不能直接對用戶分配權(quán)限。過擁有一個或者多個角色來獲取權(quán)限，而不能直接對用戶分配權(quán)限。 每個用戶在創(chuàng)建的時候可以被賦予相應(yīng)的角色權(quán)限。每個用戶在創(chuàng)建的時候可以被賦予相應(yīng)的角色權(quán)限。 用戶可以有一個或者多個角色，也可以沒有任何角色，沒有任何角色則表示用戶可以有一個或者多個角色，也可以沒有任何角色，沒有任何角色則表示

28、沒有任何權(quán)限，用戶可以登錄系統(tǒng)，但不能訪問任何內(nèi)容。沒有任何權(quán)限，用戶可以登錄系統(tǒng)，但不能訪問任何內(nèi)容。 如果用戶所具有的角色被管理員刪除，那么該用戶就不再具有相應(yīng)的權(quán)限，如果用戶所具有的角色被管理員刪除，那么該用戶就不再具有相應(yīng)的權(quán)限，需要管理員對該用戶重新分配角色。需要管理員對該用戶重新分配角色。 目前系統(tǒng)按模塊分配權(quán)限，有的模塊還可以分配子模塊的權(quán)限，部分模塊的目前系統(tǒng)按模塊分配權(quán)限，有的模塊還可以分配子模塊的權(quán)限，部分模塊的權(quán)限可以控制到樹結(jié)點。權(quán)限可以控制到樹結(jié)點。 目前支持的操作有讀、寫、導(dǎo)出。用戶只有具有導(dǎo)出權(quán)限，才可以下載，導(dǎo)目前支持的操作有讀、寫、導(dǎo)出。用戶只有具有導(dǎo)出權(quán)限，

29、才可以下載，導(dǎo)出。出。 注：注：對于樹形結(jié)點的權(quán)限來說，如果用戶有了樹形結(jié)點的根結(jié)點或組結(jié)點對于樹形結(jié)點的權(quán)限來說，如果用戶有了樹形結(jié)點的根結(jié)點或組結(jié)點的權(quán)限，則擁有該根結(jié)點或組結(jié)點下的所有子結(jié)點的權(quán)限，包括新增加的子的權(quán)限，則擁有該根結(jié)點或組結(jié)點下的所有子結(jié)點的權(quán)限，包括新增加的子結(jié)點的權(quán)限。結(jié)點的權(quán)限。 要點：要點：本系統(tǒng)基于三權(quán)分立設(shè)計。默認(rèn)的內(nèi)置了三個角色，請登錄后立即修改口令：本系統(tǒng)基于三權(quán)分立設(shè)計。默認(rèn)的內(nèi)置了三個角色，請登錄后立即修改口令： 1. 系統(tǒng)管理員系統(tǒng)管理員 : 具備系統(tǒng)配置，日志審計操作的權(quán)限，對應(yīng)的內(nèi)置用戶名與口令為：具備系統(tǒng)配置，日志審計操作的權(quán)限，對應(yīng)的內(nèi)置用戶

30、名與口令為： sysadmin/venus.sysadmin 2. 用戶管理員用戶管理員 : 具備用戶管理和權(quán)限管理操作的權(quán)限，對應(yīng)的內(nèi)置用戶名與口令為：具備用戶管理和權(quán)限管理操作的權(quán)限，對應(yīng)的內(nèi)置用戶名與口令為： useradmin/venus.useradmin 3. 審計管理員審計管理員 : 具備對系統(tǒng)操作進行審計的權(quán)限，對應(yīng)的內(nèi)置用戶名與口令為：具備對系統(tǒng)操作進行審計的權(quán)限，對應(yīng)的內(nèi)置用戶名與口令為： auditor/venus.auditor 系統(tǒng)權(quán)限管理的操作必須由用戶管理員及其授權(quán)的管理員進行。系統(tǒng)權(quán)限管理的操作必須由用戶管理員及其授權(quán)的管理員進行。 1、登錄到、登錄到sysad

31、min中可用到的功能：中可用到的功能：注意：注意：系統(tǒng)管理員系統(tǒng)管理員無無權(quán)限功能權(quán)限功能按鈕按鈕2、登錄到、登錄到useradmin中可用到的功能中可用到的功能:注意：注意：用戶管理員用戶管理員只可進行只可進行權(quán)限權(quán)限操作操作3、登錄到、登錄到auditor中可用到的功能：中可用到的功能：注意：注意：審計管理員審計管理員只可以進行只可以進行配置配置功能功能1、新增用戶、新增用戶 如圖如圖：注：注：請按照注釋要求填寫，請按照注釋要求填寫，“”為必填！為必填！還可以對用戶進行還可以對用戶進行編輯編輯和和刪除刪除操作。操作。4 4、鎖定和解鎖用戶、鎖定和解鎖用戶用戶在一分鐘內(nèi)，連續(xù)登錄失敗的次數(shù)達

32、到一定數(shù)目，會被鎖定一段時間。見用戶在一分鐘內(nèi)，連續(xù)登錄失敗的次數(shù)達到一定數(shù)目，會被鎖定一段時間。見【配置】【配置】-【用戶認(rèn)證配置】【用戶認(rèn)證配置】如圖所示，表示用戶在一分鐘內(nèi)輸入錯誤密碼三次，該用戶五分鐘內(nèi)將不能再次登錄。如圖所示，表示用戶在一分鐘內(nèi)輸入錯誤密碼三次，該用戶五分鐘內(nèi)將不能再次登錄。用戶可以在鎖定時間過后，再次嘗試登錄系統(tǒng)，也可以通知用戶管理員解鎖。用戶可以在鎖定時間過后，再次嘗試登錄系統(tǒng)，也可以通知用戶管理員解鎖。 點擊用戶列表最后一列中的工具條中的【解鎖】按鈕，可以將鎖定的用戶解鎖。如圖：點擊用戶列表最后一列中的工具條中的【解鎖】按鈕，可以將鎖定的用戶解鎖。如圖：sysadmin用