【正文】 動過后按最后一次保存的配置運行。打開初始化向導后的界面如下圖所示： 點擊“下一步”，提示選擇網關型號并輸入網關名稱： SJW74 系列安全網關配置手冊 15 點擊“下一步”，選擇接入方式， 在初始化向導中默認為單線路接入，以固定地址接入為例 ： 點擊“下一步”，選擇何種動態(tài)接入方式（ PPPoE 或 DHCP），并輸入相關信息，以及接口是否允許 ping 和管理等等，以“ PPPoE”為例： SJW74 系列安全網關配置手冊 16 點擊“下一步”，配置網關的 Lan 口地址： 點擊“下一步”，配置基本的防火墻策略： SJW74 系列安全網關配置手冊 17 點擊“下一步”，配置 VPN 參數，要注意的是“ VPN 隧道端點”和“內部 DNS”等參數都只用于客戶端，當用 安全網關控制臺 制作 SureID（即部署客戶端）時才會用到這些參數： 這一步設置 VPN 的參數在配置客戶端時使用。 安全網關控制臺 的主界面分為兩大部分，左邊的樹形結構包括了所有的配置項目；右邊是具體的配置內容，以列表的形式為主；當選中左邊某個項目時，右邊會出現相應的已配置信息，通過在右邊列表中的操作，可以進行各種各樣的配置。添加用戶時，能夠對新加用戶進行 IP 限制，即限定該 IP 地址才能登錄網關進行配置查 詢或修改。 “事件記錄”用來設置對哪些類型的日志進行記錄，達到一定的過濾效果，設置的 步驟如下： 1． 選中“事件記錄”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕； 2． 在彈出的對話框中對需要記錄的日志類型進行打勾，“事件記錄”從日志緊急程度和日志產品模塊兩方面進行日志過濾； 3． 點擊“確定”按鈕； 如下圖： “日志服務器”用來設置設備產生的日志同步發(fā)送到 ADT 專用日志服務器，設置步驟如下： 1． 選中“日志服務器”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕； 2． 在彈出的對話框中選中“發(fā)送日志到外部日志服務器”，選擇日志服務器的類型是ADT 專用日志服務器或者標準 syslog 服務器，在下面的文本框中輸入服務 器的 IP地址和端口號，如果服務器需認證，則輸入認證密碼； 3． 點擊“確定”按鈕； 如下圖： SJW74 系列安全網關配置手冊 26 “日志郵件”用來設置或當日志達到一定數目以后通過郵件方式發(fā)送到指定郵箱，設置步驟如下： 1． 選中“日志郵件”，雙擊右邊的列表或點擊導航欄上的“屬性”按鈕； 2． 在彈出的對話框中選中“當日志存儲空間不夠時發(fā)送日志郵件”，接著在下面的文本框中輸入 SMTP 服務器的域名或 IP 地址，如需 SMTP 認證，則輸入認證密碼； 3． 點擊“確定”按鈕； 如下圖： SJW74 系列安全網關配置手冊 27 經過如上設置后，通常情況下，當日志數量達到 1024 條以上時，會自動發(fā)送到指定郵箱中。 VPN TCP MMS 選項是用于在 VPN 隧道穿越 NAT 時，讓網關或者客戶端能順利穿透對 UDP 分段報文丟棄的防火墻時使用，在正常以太網 MTU 值下，該參數默認值為 1368。 注意： 設置 PPPOE撥號 的網口僅僅 作為物理接口，連接 ADSL modem 等設備，在撥號的同時， 改 口本身 的 IP 地址依然有效， 相對于 一個物理接口上綁定了兩個 IP 地址。 雙擊 DDNS 選項下的右側列表，在彈出的對話框中輸入 DDNS 注冊的相關信息，選中“啟用 DDNS 服務”點擊確定即完成 DDNS 的配置。 要開啟 TRUNK 功能的步驟如下： 1． 在 VLAN TRUNK 選項下，點擊導航欄上的“選項”按鈕，在彈出的對話框中的“ TRUNK 控制”欄下在要開 啟 TRUNK 的接口前打勾； 2． 點擊“確定” 如下圖所示： SJW74 系列安全網關配置手冊 38 當安全網關需要與位于其它 VLAN 的安全網關進行 IKE 協商，或者需要與位于其它VLAN 的主機進行通信時，需要指定對方安全網關或主機所在 VLAN 的 ID，因此需要輸入對方 IP 地址與 VLAN ID 的對應表，在該項下點擊導航欄上的“添加”按鈕，在彈出的對話框中輸入對方 IP 與 VLAN ID 的對應表，如下圖： VLAN 協議支持 和 ISL。 添加一個地址對象的步驟如下： 1． 在樹形結構中選中“地址”一項，在導航欄上點擊“添加”按鈕； 2． 在彈出的對話框中輸入相關信息，點擊“確定”即可； 如下圖： 添加一個地址組對象 的步驟如下： SJW74 系列安全網關配置手冊 40 1． 在樹形結構中選中“地址組”一項，在導航欄上點擊“添加”按鈕； 2． 在彈出的對話框中輸入地址組名稱，并在左側列表中選擇屬于該地址組的地址對象到右側，點擊“確定”即可； 如下圖： 注意：地址對象和地址組對象的名字不能重復 ； 除了在對象管理選項中添加地址、地址組對象，還可以在添加策略和 VPN 網關時臨時添加地址、地址組對象。 在“對象管理”大項中有四個小項，分別提供對“網絡地址”、“網絡協議”、“網絡服務”和“時間表”這四種類型對象的增、刪、改功能，下面分別介紹。 注意： 當啟用鏈路均衡時 ， 默認路由 只會顯示其中的一條 ； 注意：當安全網關工作在透明模式下時，網絡路由的接口可能不能真實反映實際數據包的走向。 DNS DNS 選項中指定一個主 DNS 服務器地址和一個備用 DNS 服務器地址，用于網關本身對域名進行解析；當安全網關對局域網內其他主機提供 DNS relay 服務時，也通過這些設定的 DNS 服務器進行域名解析。 雙擊右側列表中的一個接口，或者選中該接口點擊導航欄上的“屬性”按鈕，在彈出的對話框中可以看到該接口的參數信息，并對其進行修改。 基本設置 基本設置中有三個選項，“工作模式”、“組播支持”以及“ VPN TCP MMS”。 注意：用戶名與密碼在網管服務器上設定。 系統維護 系統維護是配置選項中的第一個大項，其中包括五個小項，下面分別介紹各自的功能。 注意：建議將一臺網關應用到一個新的環(huán)境之前先使用初始化向導做一遍初始化。 注意：在 清空配置之 后重啟網關之前， 千萬 不要保存配置 ，否則清空將失效 。 配置步驟如下： 1． 在主機上安裝 安全網關控制臺 （ SureConsole）軟件； 2． 用串 行 口 連接 線將安全網關的 COM口與 配置主機 的 COM口相連接 （ 注意： SJW74C和 SJW74B PRO 有兩個串口，使用 COM1）； 3． 打開安全網關電源，等待網關完成啟動（根據設備的不同，這個過程需要時間約 30秒 ~2 分鐘）； 4． 打開 安全網關控制臺 軟件，選擇“串口連接”，在“本機串口”選擇本 機與安全網關相連接的串口編號，輸入管理員用戶名和密碼，點擊“確定”；登錄界面如下： SJW74 系列安全網關配置手冊 11 5． 進入配置主界面；如下圖所示： 通過網絡對網關進行實時配置 1． 在主機上安裝 安全網關控制臺 （ SureConsole）軟件； 2． 用一根交叉線（反線）或通過 Hub、交換機將安全網關的 LAN 口和配置主機進行連接，將配置主機的該接口 IP 地址改為 ，掩碼 。 SJW74 系列安全網關配置手冊 8 注意：支持多線路接入的鏈路備份和鏈路均衡功能只在路由模式下有效。 歡迎訪問安達通公司網站 862168750563。 在 路由模式 下，安全網關作為一個三層設備工作，通常部署在內外網的邊界，為內外網提供路由、防火墻過濾、 NAT 和 IPSEC 加密等功能； 在 透明模式 下，安全網關作為一個透明網橋工作在二層，對通過安全網關的數據流進行包過濾或提供 IPSEC 加密服務。通常使用 COM 口對安全網關進行初始化配置，使用網絡進行遠程管理和配置； 當通過網絡進行配置時 ， 安全網關控制臺 軟件使用 SSL 來保證與安全網關通信數據的安全； 無論通過網絡還是串行口對安全網關進行配置，都需要進行用戶認證。 SJW74 系列安全網關配置手冊 13 導入導出配置文件 在實時配置模式下，點擊 安全網關控制臺 主界面上的“保存”按鈕右邊小按鈕，在下拉框中選擇“導出配置”，在彈出的對話框中選擇存放路徑并輸入文件名，點擊“確定”按鈕，即保存配置文件到指定目錄。 點擊“確定”，至此初始化向導的所有信息都輸入完畢，點擊“下一步 ”后，初始化向導即將初始化的信息傳送到安全網關，并將安全網關重啟。 當配置軟件與安全網關的通信出現錯誤或出現其他錯誤時，右邊的下面部分會出現一個顯示提示信息的列表框。 添加用戶界面如下： SJW74 系列安全網關配置手冊 22 在設備管理下，點擊“選項”按鈕，可更改一些控制用戶登錄的參數，主要包括“空閑切斷時間”，“最大在線個數”和“禁止重復登錄” 如下圖所示： 集中管理 集中管理功能是配合“安全網關網管系統”（ SureManager）實現對網關的集中監(jiān)控和策略分發(fā)的功能。 注意：安全網關產生日志后首先保存在本地，當超過存放空間，安全網關會刪除所有本地日志，重新開始記錄日志 。在某些主機或路由器 MTU 小于正常值時可以適當調低該參數。 DHCP 服務 安全網關能夠為局域網內的主機提供 DHCP 服務，配置步驟如下： 1． 在 LAN 口接口屬性對話框內，選中“在本接口啟用 DHCP 服務”，在下面的文本框中輸入 DHCP 服務的相關參數，其中租借時間若設置為 0，則采用默認的租借時間，為 5 天。 如下圖： SJW74 系列安全網關配置手冊 35 注意：花生殼的服務器有三個域名可以使用： 、 、 。 點擊“刪除”按鈕刪除當前選中的 IPVLAN ID 對應表項。 網絡協議 網絡協議對象指 IP 的上層協議，通過指定協議號來確定協議類型，用于在網絡服務中被引用。 SJW74 系列安全網關配置手冊 39 對象管理 在安全網關的配置中，安全策略、 VPN 隧道、地址映射等對 IP 地址、服務、協議、事件表等元素的引用都采用對象的方式，從而使配置的思路更加清晰，在復雜環(huán)境下大大減小了配置的復雜度。 手工添加靜態(tài)路由的步驟為： 點擊導航欄按鈕上的“添加”按鈕，在彈出的對話框中輸入目的地址 名稱 、掩碼和 網關地址名稱 ，其他的均為默認選擇， 即完成一條路由的添加，如下圖： SJW74 系列安全網關配置手冊 36 點擊導航欄按鈕上的“刪除”按鈕，則刪除當前選中路由表項； 注意： 當安全網關進行 PPPOE 撥號或 DHCP 自動獲取地址時，默認路由自動添加 ，如原來已有默認路由，則會被刪除 。 如下圖： SJW74 系列安全網關配置手冊 33 注意：只有 LAN 口能提供 DHCP 服務 。 “組播支持”和“ VPN TCP MMS”在同一個對話框中設置，雙擊“組播支持”或“ VPN TCP MMS”表項或者選中該項點擊導航欄上的“屬性”按鈕，在彈出的對話框中即可設置是否允許支持組播報文透過，如下圖： SJW74 系列安全網關配置手冊 29 網絡接口 在“網絡接口”中可以設置設備各個接口的 IP 地址、接口速度以及雙工模式等參數，以及 PPPOE 撥號的用戶名密碼等參數。 網絡設置 網絡設置中包括了與安全網關相關的所有相關網絡基本信息。 開啟集中管理的步驟如下： SJW74 系列安全網關配置手冊 23 1． 在左側樹形結構中選擇“系統維護”下的“集中管理”，點擊導航欄上的“屬性”按鈕，或者雙擊右側的“集中管理”項； 2． 在彈出的對話框中 選中“啟用集中管理功能”，輸入服務器 IP，即網管服務器的 IP地址，端口默認為 4600，輸入用戶名和密碼，點擊“確定”即可。 配置界面底部顯示了當前的安全網關狀態(tài)、用戶配置連接方式、登錄用戶名、連接時間等信息。 注意：初始化按照一條線路接入的配置，如要新增線路需另外配置。 實時清空安全網關配置 在 安全網關控制臺 “網關”菜單下選擇“清空配置”，接著重新啟動安全網關，安全網關的配置即恢復到出廠狀態(tài)。 通過 串行口對網關進行實時配置 安全網關的 串 行 口 配置線為兩頭都為九孔的串行連接線（ 設備包裝附帶 ） ， 如用戶自行制作該連接線， 注意將兩頭的 3 號 線 序進行交叉 。使用透明模式可以不改變用戶原有的網絡結構和地址規(guī)劃，并且能使非 IP 的其他協議（比如 IPX、NETBEUI 等）順利透過安全網關； 另外， ADT 安全網關還具備一個非常有用的特點，即在透明模式下還能正常提供路由模式下才具備的路由轉發(fā)、 NAT 等功能，在一些特殊場合下，該特性能實現“混和工作模式”（即透明和路由并存）。 SJW74NC 系列安全網關配置手冊 2021 年 3 月 SJW74 系列安全網關配置手冊 1 目