【導讀】SGS5400安全網(wǎng)關(guān)正確的應用到實際的網(wǎng)絡(luò)環(huán)境中，完成相關(guān)的配置。SGS5400系統(tǒng)恢復及設(shè)備初始化。SGS5400功能模塊使用配置。的基本使用和配置，并且得到SGS工作原理和方式的基礎(chǔ)概念和知識，同時，結(jié)合我們同時提供的《SGS管理維護手冊》，您將可以獲得更加詳細的指導。SGS外部網(wǎng)口經(jīng)過路由器接入Inter；SGS的DMZ口接到用戶的對外服務網(wǎng)絡(luò)，DMZ區(qū)域內(nèi)存在兩。臺服務器，分別為WebServer和MailServer；郵件及Web服務器以及內(nèi)部子網(wǎng)；務器允許用戶通過Inter訪問，以保證員工移動辦公的需求。SGS防火墻部署在企業(yè)路由器和內(nèi)部網(wǎng)絡(luò)之間，實施安全防護和訪問控。要求提供如下能力：。SGS開啟防火墻、VPN、防病毒和反垃圾郵件、IDS/IPS和內(nèi)容過濾功。但是在某些情況下，需要進行系統(tǒng)恢復，也就是對整個防火墻系統(tǒng)進行回。步的具體說明）。于是SGS會自動找到該臺計算機并做回存的動作,詳細畫面請。使用的網(wǎng)絡(luò)卡說明及恢復程序的操作說明；原來嘈雜的SGS一下子變得安靜無聲,到這里回存工作算是完成了。

　　

【正文】 2021125 Symantec Gateway Security 5400 Series Sales Kit: 39 創(chuàng)建網(wǎng)絡(luò)實體“ InsideNet”，設(shè)定為子網(wǎng) ； 4. 點擊“ Apply”確認 修改，然后運行“ Active Changes”使更改生效。 其它必要的網(wǎng)絡(luò)實體，可以參照上述方法創(chuàng)建，當然，也可以在具體創(chuàng)建或者修改規(guī)則的時候臨時創(chuàng)建。 2021125 Symantec Gateway Security 5400 Series Sales Kit: 40 創(chuàng)建服務組（ Service Group） 網(wǎng)絡(luò)實體創(chuàng)建后，解決了 SGS 對什么資源可以訪問的控制問題；下一步，我們還需要創(chuàng)建服務組，來解決什么服務可以使用的問題。 1. 打開“ Policy”，點擊“ Service Group”標簽，可以看到 SGS 內(nèi)設(shè)置的的所有服務組， SGS 缺省會創(chuàng)建一些服務組，如 Web、 Mail、 FTP 等，其中， All 代 表所有 SGS 支持的網(wǎng)絡(luò)協(xié)議，在服務組里開放 All，也就是開放了所有端口的訪問； 2. 這里，我們需要創(chuàng)建一個服務組來滿足所有內(nèi)部用戶對外使用 Web 和 FTP 的需求，我們將這個服務組定義為“ Allow_HTTP_and_FTP”， 點擊“ New Service Group”按鈕，創(chuàng)建新的服務組，在“ General”標簽里，設(shè)定服務組的名字和基本描述， 然后，在“ Protocols”標簽里，設(shè)定此服務組允許通過的網(wǎng)絡(luò)協(xié)議，按照需求，我們這里選擇 HTTP 和 FTP 協(xié)議， 2021125 Symantec Gateway Security 5400 Series Sales Kit: 41 3. 點擊“ Apply”確認修改，然后運行“ Active Changes”使更改生效。 當然，在這里我們可以對 ftp 和 協(xié)議進行更加詳細的配置，如開啟病毒防護功能，這個，我們在第六章介紹病毒防護的時候會有詳細講述。 創(chuàng)建基本訪問規(guī)則 上述準備工作結(jié)束以后，我們就可以創(chuàng)建訪問規(guī)則了，這里，我們只建議一條規(guī)則，來允許內(nèi)部所有用戶訪問 Inter 的 Web 和 FTP 資源； 1. 打開“ Policy”，選擇“ Rules”，這里可以查看所有的 SGS 訪問規(guī)則，缺省 SGS不設(shè)任何規(guī)則，這意味著拒絕一些 訪問； 2. 點擊“ New Rule”，創(chuàng)建新的規(guī)則，在“ General”標簽里，設(shè)定規(guī)則名稱為“ Allow_HTTP_and_FTP”，選中“ Enable”復選框，然后設(shè)定： ? Arriving through：設(shè)定訪問從哪個端口進入 SGS，這里，要設(shè)定 SGS 的內(nèi)網(wǎng)口，這里為“ Inside”； ? Source：設(shè)定訪問源，這里，我們允許所有內(nèi)部主機通過，所以設(shè)定為內(nèi)部子網(wǎng)實體“ InsideNet”； ? Destination：設(shè)定訪問目標，因為我們只限制具體協(xié)議，并不限制具體的訪問資源，所以，這里我們選擇“ Universe”，即任何資源； ? Leaving through：設(shè)定流量從哪個端口離開 SGS，這里，我們設(shè)置為 SGS的外部網(wǎng)口“ Outside”； ? Service Group：設(shè)定允許訪問的服務組，這里，我們設(shè)定為前面建立的服務組“ Allow_HTTP_and_FTP”，開放需要的 Web 和 Ftp 訪問； ? Action：設(shè)定訪問選項，這里，我們選擇“ Allow”，允許訪問。 2021125 Symantec Gateway Security 5400 Series Sales Kit: 42 3. 在“ Time”標簽里，可以設(shè)定規(guī)則的生效時間，可以根據(jù)要求，控制規(guī)則在什么時候生效； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 43 4. 在“ Miscellaneous”標簽里，可以設(shè)定： ? Log Normal Activity：記錄正常的規(guī)則訪問，這里，我們選中； ? Application Data Scanning：設(shè)定對流量的掃描，這里選中，以便對訪問流量進行病毒掃描； ? Stateful Failover：這個選擇在使用 HA/LB 的時候使用，這里我們不作選擇； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 44 5. 其它幾個標簽里可以設(shè)定一些附加的選項，這個視需求而定，這里不做詳細描述； 6. 點擊“ Apply”確認修改，然后運行“ Active Changes”使更改生效。 可以讓內(nèi)部用戶訪問 Inter 的 Web 和 Ftp 資源來確認規(guī)則的有效性，同時，可以在日志里對訪問事件進行查看。 2021125 Symantec Gateway Security 5400 Series Sales Kit: 45 第四章：配置 SGS5400VPN 本章講述如何在 SGS 上啟用和配置 VPN 功能， SGS 既支持 VPN 網(wǎng)關(guān)設(shè)備之間的 SitetoSite VPN 連接，也支持 VPN 客戶端對 VPN 網(wǎng)關(guān)的方式，這一章里，我們詳細講述如何實現(xiàn)這兩種 VPN 連接： ? S2S VPN 設(shè)置 ? Client VPN 設(shè)置 配置 S2S VPN SGS內(nèi)置向?qū)С绦颍?Wizard）來幫助用戶快速的建立 VPN通道，要建立 SitetoSite VPN，可以通過這個向?qū)С绦騺硗瓿桑? 1. 打開“ Action”菜單，選擇“ GatewaytoGateway Tunnel Wizard”，打開向?qū)С绦颍? 2. 點擊下一步，設(shè)置通道信息，這里我們?nèi)∶麨椤?S2SVPN”； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 46 3. 在下一步里，選擇使用已有的安全網(wǎng)關(guān)（ Security Gateway）或者建立新的，這里我們建立 新的安全網(wǎng)關(guān)“ LocalSecurityGateway”，并且將 IP 設(shè)定為 SGS 外部網(wǎng)口的 IP； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 47 4. 下面選擇本地節(jié)點，這里也可以選擇使用已有的網(wǎng)絡(luò)實體或者創(chuàng)建新的，在第三章里，我們已經(jīng)創(chuàng)建了內(nèi)部子網(wǎng)實體“ InsideNet”，這里，我們選擇使用這個網(wǎng)絡(luò)實體作為 Local Endpoint； 5. 前面都是本地安全網(wǎng)關(guān)的設(shè)置，在這一步里，我們要設(shè)置遠程 VPN 節(jié)點，也就是遠程安全網(wǎng)關(guān)的參數(shù)，需要指定遠程安全網(wǎng)關(guān)的 IP 地址，這里我 們設(shè)置為，假定為遠程網(wǎng)關(guān)的地址；同時，設(shè)置安全網(wǎng)關(guān)名字，這樣會在 SGS上創(chuàng)建一個名為 RemoteSecurityGateway 的安全網(wǎng)關(guān)實體；然后，還要設(shè)置兩個VPN 節(jié)點之間的認證方式，這里我們選擇共享密鑰（ Shared Secret），共享密鑰要求不能低于 20 位，這里我們設(shè)置為 12345678901234567890，當然，在實際應用中，要將密鑰設(shè)置的更加安全一些； 2021125 Symantec Gateway Security 5400 Series Sales Kit: 48 6. 接下來創(chuàng)建遠程節(jié)點（ Remote Endpoint），這里我們選擇創(chuàng)建新 的遠程節(jié)點，并且設(shè)定為子網(wǎng)實體；