【導(dǎo)讀】SGS5400安全網(wǎng)關(guān)正確的應(yīng)用到實(shí)際的網(wǎng)絡(luò)環(huán)境中，完成相關(guān)的配置。SGS5400系統(tǒng)恢復(fù)及設(shè)備初始化。SGS5400功能模塊使用配置。的基本使用和配置，并且得到SGS工作原理和方式的基礎(chǔ)概念和知識(shí)，同時(shí)，結(jié)合我們同時(shí)提供的《SGS管理維護(hù)手冊(cè)》，您將可以獲得更加詳細(xì)的指導(dǎo)。SGS外部網(wǎng)口經(jīng)過(guò)路由器接入Inter；SGS的DMZ口接到用戶(hù)的對(duì)外服務(wù)網(wǎng)絡(luò)，DMZ區(qū)域內(nèi)存在兩。臺(tái)服務(wù)器，分別為WebServer和MailServer；郵件及Web服務(wù)器以及內(nèi)部子網(wǎng)；務(wù)器允許用戶(hù)通過(guò)Inter訪問(wèn)，以保證員工移動(dòng)辦公的需求。SGS防火墻部署在企業(yè)路由器和內(nèi)部網(wǎng)絡(luò)之間，實(shí)施安全防護(hù)和訪問(wèn)控。要求提供如下能力：。SGS開(kāi)啟防火墻、VPN、防病毒和反垃圾郵件、IDS/IPS和內(nèi)容過(guò)濾功。但是在某些情況下，需要進(jìn)行系統(tǒng)恢復(fù)，也就是對(duì)整個(gè)防火墻系統(tǒng)進(jìn)行回。步的具體說(shuō)明）。于是SGS會(huì)自動(dòng)找到該臺(tái)計(jì)算機(jī)并做回存的動(dòng)作,詳細(xì)畫(huà)面請(qǐng)。使用的網(wǎng)絡(luò)卡說(shuō)明及恢復(fù)程序的操作說(shuō)明；原來(lái)嘈雜的SGS一下子變得安靜無(wú)聲,到這里回存工作算是完成了。

　　

【正文】 2021125 Symantec Gateway Security 5400 Series Sales Kit: 39 創(chuàng)建網(wǎng)絡(luò)實(shí)體“ InsideNet”，設(shè)定為子網(wǎng) ； 4. 點(diǎn)擊“ Apply”確認(rèn) 修改，然后運(yùn)行“ Active Changes”使更改生效。 其它必要的網(wǎng)絡(luò)實(shí)體，可以參照上述方法創(chuàng)建，當(dāng)然，也可以在具體創(chuàng)建或者修改規(guī)則的時(shí)候臨時(shí)創(chuàng)建。 2021125 Symantec Gateway Security 5400 Series Sales Kit: 40 創(chuàng)建服務(wù)組（ Service Group） 網(wǎng)絡(luò)實(shí)體創(chuàng)建后，解決了 SGS 對(duì)什么資源可以訪問(wèn)的控制問(wèn)題；下一步，我們還需要?jiǎng)?chuàng)建服務(wù)組，來(lái)解決什么服務(wù)可以使用的問(wèn)題。 1. 打開(kāi)“ Policy”，點(diǎn)擊“ Service Group”標(biāo)簽，可以看到 SGS 內(nèi)設(shè)置的的所有服務(wù)組， SGS 缺省會(huì)創(chuàng)建一些服務(wù)組，如 Web、 Mail、 FTP 等，其中， All 代 表所有 SGS 支持的網(wǎng)絡(luò)協(xié)議，在服務(wù)組里開(kāi)放 All，也就是開(kāi)放了所有端口的訪問(wèn)； 2. 這里，我們需要?jiǎng)?chuàng)建一個(gè)服務(wù)組來(lái)滿(mǎn)足所有內(nèi)部用戶(hù)對(duì)外使用 Web 和 FTP 的需求，我們將這個(gè)服務(wù)組定義為“ Allow_HTTP_and_FTP”， 點(diǎn)擊“ New Service Group”按鈕，創(chuàng)建新的服務(wù)組，在“ General”標(biāo)簽里，設(shè)定服務(wù)組的名字和基本描述， 然后，在“ Protocols”標(biāo)簽里，設(shè)定此服務(wù)組允許通過(guò)的網(wǎng)絡(luò)協(xié)議，按照需求，我們這里選擇 HTTP 和 FTP 協(xié)議， 2021125 Symantec Gateway Security 5400 Series Sales Kit: 41 3. 點(diǎn)擊“ Apply”確認(rèn)修改，然后運(yùn)行“ Active Changes”使更改生效。 當(dāng)然，在這里我們可以對(duì) ftp 和 協(xié)議進(jìn)行更加詳細(xì)的配置，如開(kāi)啟病毒防護(hù)功能，這個(gè)，我們?cè)诘诹陆榻B病毒防護(hù)的時(shí)候會(huì)有詳細(xì)講述。 創(chuàng)建基本訪問(wèn)規(guī)則 上述準(zhǔn)備工作結(jié)束以后，我們就可以創(chuàng)建訪問(wèn)規(guī)則了，這里，我們只建議一條規(guī)則，來(lái)允許內(nèi)部所有用戶(hù)訪問(wèn) Inter 的 Web 和 FTP 資源； 1. 打開(kāi)“ Policy”，選擇“ Rules”，這里可以查看所有的 SGS 訪問(wèn)規(guī)則，缺省 SGS不設(shè)任何規(guī)則，這意味著拒絕一些 訪問(wèn)； 2. 點(diǎn)擊“ New Rule”，創(chuàng)建新的規(guī)則，在“ General”標(biāo)簽里，設(shè)定規(guī)則名稱(chēng)為“ Allow_HTTP_and_FTP”，選中“ Enable”復(fù)選框，然后設(shè)定： ? Arriving through：設(shè)定訪問(wèn)從哪個(gè)端口進(jìn)入 SGS，這里，要設(shè)定 SGS 的內(nèi)網(wǎng)口，這里為“ Inside”； ? Source：設(shè)定訪問(wèn)源，這里，我們?cè)试S所有內(nèi)部主機(jī)通過(guò)，所以設(shè)定為內(nèi)部子網(wǎng)實(shí)體“ InsideNet”； ? Destination：設(shè)定訪問(wèn)目標(biāo)，因?yàn)槲覀冎幌拗凭唧w協(xié)議，并不限制具體的訪問(wèn)資源，所以，這里我們選擇“ Universe”，即任何資源； ? Leaving through：設(shè)定流量從哪個(gè)端口離開(kāi) SGS，這里，我們?cè)O(shè)置為 SGS的外部網(wǎng)口“ Outside”； ? Service Group：設(shè)定允許訪問(wèn)的服務(wù)組，這里，我們?cè)O(shè)定為前面建立的服務(wù)組“ Allow_HTTP_and_FTP”，開(kāi)放需要的 Web 和 Ftp 訪問(wèn)； ? Action：設(shè)定訪問(wèn)選項(xiàng)，這里，我們選擇“ Allow”，允許訪問(wèn)。 2021125 Symantec Gateway Security 5400 Series Sales Kit: 42 3. 在“ Time”標(biāo)簽里，可以設(shè)定規(guī)則的生效時(shí)間，可以根據(jù)要求，控制規(guī)則在什么時(shí)候生效； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 43 4. 在“ Miscellaneous”標(biāo)簽里，可以設(shè)定： ? Log Normal Activity：記錄正常的規(guī)則訪問(wèn)，這里，我們選中； ? Application Data Scanning：設(shè)定對(duì)流量的掃描，這里選中，以便對(duì)訪問(wèn)流量進(jìn)行病毒掃描； ? Stateful Failover：這個(gè)選擇在使用 HA/LB 的時(shí)候使用，這里我們不作選擇； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 44 5. 其它幾個(gè)標(biāo)簽里可以設(shè)定一些附加的選項(xiàng)，這個(gè)視需求而定，這里不做詳細(xì)描述； 6. 點(diǎn)擊“ Apply”確認(rèn)修改，然后運(yùn)行“ Active Changes”使更改生效。 可以讓內(nèi)部用戶(hù)訪問(wèn) Inter 的 Web 和 Ftp 資源來(lái)確認(rèn)規(guī)則的有效性，同時(shí)，可以在日志里對(duì)訪問(wèn)事件進(jìn)行查看。 2021125 Symantec Gateway Security 5400 Series Sales Kit: 45 第四章：配置 SGS5400VPN 本章講述如何在 SGS 上啟用和配置 VPN 功能， SGS 既支持 VPN 網(wǎng)關(guān)設(shè)備之間的 SitetoSite VPN 連接，也支持 VPN 客戶(hù)端對(duì) VPN 網(wǎng)關(guān)的方式，這一章里，我們?cè)敿?xì)講述如何實(shí)現(xiàn)這兩種 VPN 連接： ? S2S VPN 設(shè)置 ? Client VPN 設(shè)置 配置 S2S VPN SGS內(nèi)置向?qū)С绦颍?Wizard）來(lái)幫助用戶(hù)快速的建立 VPN通道，要建立 SitetoSite VPN，可以通過(guò)這個(gè)向?qū)С绦騺?lái)完成； 1. 打開(kāi)“ Action”菜單，選擇“ GatewaytoGateway Tunnel Wizard”，打開(kāi)向?qū)С绦颍? 2. 點(diǎn)擊下一步，設(shè)置通道信息，這里我們?nèi)∶麨椤?S2SVPN”； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 46 3. 在下一步里，選擇使用已有的安全網(wǎng)關(guān)（ Security Gateway）或者建立新的，這里我們建立 新的安全網(wǎng)關(guān)“ LocalSecurityGateway”，并且將 IP 設(shè)定為 SGS 外部網(wǎng)口的 IP； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 47 4. 下面選擇本地節(jié)點(diǎn)，這里也可以選擇使用已有的網(wǎng)絡(luò)實(shí)體或者創(chuàng)建新的，在第三章里，我們已經(jīng)創(chuàng)建了內(nèi)部子網(wǎng)實(shí)體“ InsideNet”，這里，我們選擇使用這個(gè)網(wǎng)絡(luò)實(shí)體作為 Local Endpoint； 5. 前面都是本地安全網(wǎng)關(guān)的設(shè)置，在這一步里，我們要設(shè)置遠(yuǎn)程 VPN 節(jié)點(diǎn)，也就是遠(yuǎn)程安全網(wǎng)關(guān)的參數(shù)，需要指定遠(yuǎn)程安全網(wǎng)關(guān)的 IP 地址，這里我 們?cè)O(shè)置為，假定為遠(yuǎn)程網(wǎng)關(guān)的地址；同時(shí)，設(shè)置安全網(wǎng)關(guān)名字，這樣會(huì)在 SGS上創(chuàng)建一個(gè)名為 RemoteSecurityGateway 的安全網(wǎng)關(guān)實(shí)體；然后，還要設(shè)置兩個(gè)VPN 節(jié)點(diǎn)之間的認(rèn)證方式，這里我們選擇共享密鑰（ Shared Secret），共享密鑰要求不能低于 20 位，這里我們?cè)O(shè)置為 12345678901234567890，當(dāng)然，在實(shí)際應(yīng)用中，要將密鑰設(shè)置的更加安全一些； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 48 6. 接下來(lái)創(chuàng)建遠(yuǎn)程節(jié)點(diǎn)（ Remote Endpoint），這里我們選擇創(chuàng)建新 的遠(yuǎn)程節(jié)點(diǎn)，并且設(shè)定為子網(wǎng)實(shí)體；