【導(dǎo)讀】本公司保留不預(yù)先通知客戶而修改本文檔所含內(nèi)容的權(quán)利，如果配置截圖與實際產(chǎn)。品界面有差異，以實際產(chǎn)品配置界面為準。本公司僅就產(chǎn)品信息預(yù)先說明的范圍承擔(dān)責(zé)任，除此以外，無論明示或默示，不作。的適銷性和適合某特定用途的擔(dān)保。本公司對于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損害不負任何賠償責(zé)任，包括。直接的、間接的、附加的個人損害或商業(yè)損失或任何其它損失。任何組織和個人對本公司產(chǎn)品的擁有、使用以及復(fù)制都必須經(jīng)過本公司書面的有效

　　

【正文】 配置 ： DHCP服務(wù)器， DHCP 中繼， DHCP客戶端 VPN 配置 1） IPSECVPN： VPN 客戶端分組 ， VPN 端點 ， VPN隧道 ， VPN 設(shè)備 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 16 2） 證書管理： CA 證書，對方證書，本地證書，證書吊銷列表 3） SSLVPN：基本配置，用戶管理 4） PPTP/L2TP：基本配置，撥號用戶管理 對象定義 為簡化 安全網(wǎng)關(guān) 安全規(guī)則的維護工作，引入了對象定SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 17 義， 可以定義如下對象 ： 1）地址：地址列表、地址組、 域名列表、 服務(wù)器地址、 NAT 地址池 、 接口 IP 組 2）服務(wù)：服務(wù)列表、服務(wù)組 3）代理：預(yù)定義的 HTTP、 FTP、 TELNET、 SMTP、POP3 代理、自定義代理 4）時間：時間列表、時間組，可以設(shè)置一次性調(diào)度和周循環(huán)調(diào)度 5）帶寬 列表 ：設(shè)置一些帶寬屬性 6） URL 列表 ：黑白 URL 名單 對象只有被安全規(guī)則引用才能起作用，否則，不起作用 策略管理員具有定義對象的權(quán)限 安全策略 安全 網(wǎng)關(guān) 的核心配置 ， 包括： 1）安全規(guī)則： 包過濾規(guī)則、 NAT 規(guī) 則、 端口映射規(guī)SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 18 則、 IP 映射規(guī)則 、代理規(guī)則 、病毒過濾規(guī)則 2）地址綁定： IP/MAC 地址的綁定 3） P2P/IM 限制：可以針對目前流行的 P2P 協(xié)議apple、 ares、 bt、 dc、 edonkey、 gnu、 kazaa、 soul、winmx進行禁止使用、允許使用不做任何限制、允許使用且進行流量控制 ；也可以針對 IM 類的 、 MSN和 skype 進行禁止或允許設(shè)置 4）抗攻擊： 管理員可以針對不同的物理接口啟用抗Syn Flood 攻擊、 ICMP Flood 攻擊、 Ping of Death攻擊、 UDP Flood 攻擊、 PING SWEEP 攻擊、 TCP端口掃描、 UDP 端口掃描、 WinNuke 等 攻擊 5） IDS 聯(lián)動：設(shè)置 與 IDS 產(chǎn)品之間的聯(lián)動 6） 入侵防護： 設(shè)置多種的入侵檢測防護功能 7）蠕蟲過濾 ：設(shè)置多種網(wǎng)絡(luò)蠕蟲過濾功能 8） URL 重定向：設(shè)置 URL 重定向功能 9） URL 日志：記錄用戶訪問過的 URL 地址 10） 連接限制： 包括 保護主機、保護服務(wù)、限制主機、限制服務(wù) 四類連接限制設(shè)置 策略管理員具有制定安全策略的權(quán)限 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 19 高可用性 高可用性（ High Availability，簡稱 HA） 配置， 包括： 1） HA基本配置 2） 路由模式 HA： VRRP 實例， VRRP 關(guān)聯(lián) 、虛 IP屬性 3） 橋模式 HA：橋配置， VLAN 配置 用戶認證 用戶認證包括： 1） 認證方式設(shè)置 2）用戶列表 3）用戶組 安全助手 安全助手包括： 1) 活動主機探測：探測指定網(wǎng)段或地址的活動主機 2) 開放服務(wù)探測：探測活動主機開放的服務(wù) 3) 服務(wù)版本探測：探測開放服務(wù)的版本 4) 操作系統(tǒng)探測：探測活動主機的系統(tǒng)版本 5) 高級參數(shù)配置：設(shè)置探測高級參數(shù) SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 20 系統(tǒng)監(jiān)控 監(jiān)控 安全網(wǎng)關(guān) 所在網(wǎng)絡(luò) 以及 安全網(wǎng)關(guān) 本身 的 狀態(tài) ，包括： 1） 網(wǎng)絡(luò)監(jiān)控： 包括 實時監(jiān)控、 內(nèi)網(wǎng)監(jiān)控、 DMZ 監(jiān)控、外網(wǎng)監(jiān)控、內(nèi)外網(wǎng)監(jiān)控， 監(jiān)控網(wǎng)絡(luò)中的流量和連接 2） HA 監(jiān)控： 包括 各 安全網(wǎng)關(guān) 信息， VRRP 關(guān)聯(lián)信息， HA虛擬 IP 信息， VLAN 信息 和透明橋監(jiān)控信息 3） 日志信息 4） 資源狀態(tài)： CPU 利用率、內(nèi)存利用率 、連接狀況 、TCP 連接狀況、 導(dǎo)出調(diào)試信息 5） 網(wǎng)絡(luò)接口 6） IPsecVPN 隧道監(jiān)控 7） SSLVPN 隧道監(jiān)控 8）橋轉(zhuǎn)發(fā)表監(jiān)控 9） PPTP/L2TP 監(jiān)控 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 21 10） DHCP 用戶信息 11）在線管理員：顯示所有在線管理的信息 12） 在線用戶：當(dāng)前通過用戶認證功能的 在線用戶的信息 13）鏈路探測信息：鏈路探測的結(jié)果信息 14） ARP 表：系統(tǒng)內(nèi)部 ARP 表的狀態(tài) 15） IP 診斷：從 安全網(wǎng)關(guān) ping（增強） 、 Traceroute其它主機 的工具 16） IP 沖突檢測：檢測和網(wǎng)關(guān)的 IP 地址沖突的設(shè)備 17）路由監(jiān)控：實時顯示網(wǎng)關(guān)內(nèi)的路由表信息 18）當(dāng)前配置：列出當(dāng)前網(wǎng)關(guān)正在運行的配置信息 日志審計員具有監(jiān)控 安全網(wǎng)關(guān) 所在網(wǎng)絡(luò)以及 安全網(wǎng)關(guān) 本身 的權(quán)限 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 22 . 相關(guān)參考手冊 《 網(wǎng)神 SecGate 3600 安全網(wǎng)關(guān) 快速指南》，介紹了 安全網(wǎng)關(guān) 的快速安裝配置， 初始 向?qū)У氖褂玫取? 《 網(wǎng)神 SecGate 3600 安全網(wǎng)關(guān) 命令行操作手冊》，介紹了如何通過命令行操作管理 SecGate 3600 安全網(wǎng)關(guān) 。 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 23 2. 登錄 安全網(wǎng)關(guān) WEB 界面 . 管理員必讀 . 管理員電子鑰匙 管理員電子鑰匙是默認的管理員身份認證方式，用于認證管理主機， 確保與 安全網(wǎng)關(guān) 相連接的管理主機是合法的。 電子鑰匙內(nèi)保存了 安全網(wǎng)關(guān) ID、 安全網(wǎng)關(guān) IP 和端口，通過客戶端 電子鑰匙認證 軟件讀出，發(fā)給 安全網(wǎng)關(guān) 進行認證。認證通過后， 安全網(wǎng)關(guān) （服務(wù)器端）為管理主機（客戶端） IP 打開訪問 HTTPS 公有證書的端口。每 5秒鐘 安全網(wǎng)關(guān) 進行一次通信監(jiān)控。當(dāng)安全網(wǎng)關(guān) 檢測到客戶端退 出 (或者超時 )，關(guān)閉管理主機訪問 HTTPS 公有證書的端口的權(quán)限，并提供日志記錄功能。 利用 電子鑰匙認證 軟件可以修改電子鑰匙中的 安全網(wǎng)關(guān) ID、 安全網(wǎng)關(guān) IP 地址和端口、電子鑰匙訪問口令 PIN。 隨機光盤中 提供一個 電子鑰匙認證 程序：可以設(shè)置 安全網(wǎng)關(guān) ID，設(shè)置 安全網(wǎng)關(guān) IP地址和端口，修改電子鑰匙訪問口令 PIN。 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 24 . 管理員證書 管理員 也 可以用證書方式進行身份認證。 安全網(wǎng)關(guān)上的 證書包括 CA證書、 安全網(wǎng)關(guān) 證書、 安全網(wǎng)關(guān) 私鑰 和 管理員證書。 這四項必須導(dǎo)入到安全網(wǎng)關(guān)中。另外，需要一個客戶端 管理員證書，導(dǎo)入管理主機 IE 瀏覽器。 證 書文件有兩種編碼格式： PEM 和 DER，后綴名可以有 pem， der， cer， crt 等 多種。 CA 證書、 安全網(wǎng)關(guān) 證書和 安全網(wǎng)關(guān) 私鑰只支持 PEM 編碼格式。管理員證書支持PEM 和 DER 兩種。 客戶端管理員證書支持 p12 文件格式。 SecGate 3600 安全網(wǎng)關(guān)系統(tǒng)出廠默認提供一套證書文件，安全網(wǎng)關(guān)側(cè)的四項已經(jīng)預(yù)先導(dǎo)入在安全網(wǎng)關(guān)側(cè)，客戶端側(cè)的管理員證書存儲在隨機光盤中 ，鼠標雙擊 該 *.p12證書文件即可 安裝 導(dǎo)入您的 IE 瀏覽器中，默認私鑰密碼為： 123456， 按照向?qū)崾?，依次點擊下一步，看到導(dǎo)入成功即可。 . 管理員配置管理 在管理主機上，通過電子鑰匙認證或管理員證書認證成功后，再使用管理員帳號認證成功后才能訪問 安全網(wǎng)關(guān) 可管理 IP，完成對 安全網(wǎng)關(guān) 的配置管理。請參考本手冊中 “管理配置 ”一章。 可 管理 接口 IP地址： 管理員要在 安全網(wǎng)關(guān) 上定義 接口的 可以被管理的 IP 地址，并指定 該 IP 地址 可以進行的操作（如：允許 管理主機 PING、允許所有主機 PING、允許TRACEROUTE 等）。未指定為 可 管理 的接口 IP 地址 不能管理。 管理主機地址限制 ：只有管理主機才能對 安全網(wǎng)關(guān) 進行管理。 安全網(wǎng)關(guān) 系統(tǒng)指定管理主機的 IP，最多可以指定 256 個管理主機， 不包 括 集中管理主機。 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 25 管理員身份認證方式： 電子鑰匙認證和證書認證。 管理員授權(quán) ：管理員有不同的身份，分為超級管理員、配置管理員、審計管理員、策略管理員。其中，超級管理員可以增加、刪除管理員帳號；配置管理員可以設(shè)置系統(tǒng)配置、管理配置、網(wǎng)絡(luò)配置；策略管理員可以配置對象定義、安全策略。審計管理員可以查看 安全網(wǎng)關(guān) 日志信息。 管理員訪問信道加密 ：為防止管理員與 安全網(wǎng)關(guān) 之間的管理信息被非法者截取而利用，對 安全網(wǎng)關(guān) 的遠程管理的通信應(yīng)該實現(xiàn)加密。同時， 安全網(wǎng)關(guān) 可以防止對遠程管理的重放攻擊。 CLI界面命令行方式下支持 SSH 加密， WEB 界面下支持 SSL 加密（使用HTTPS協(xié)議訪問 安全網(wǎng)關(guān) ）。 直接 通過 安全網(wǎng)關(guān) 本地串口使用超級終端登錄時通信不加密。 . 管理員首次登錄 正確管理 安全網(wǎng)關(guān) 前，需要配置 安全網(wǎng)關(guān) 的管理主機、管理員帳號和權(quán)限、網(wǎng)口上可管理 IP、 安全網(wǎng)關(guān) 管理方式。 ? 默認管理員 帳號 為 admin，密碼為 firewall ? 默認管理口： 安全網(wǎng)關(guān) 第一個網(wǎng)口 FE1（沒有 FE1口的，為 GE1 或 S1G1 口 ，以下用 FE1 代替） ? 可管理 IP： FE1 口 上的 默認 IP 地址為 ? 管理主機：默認 為 ? 默認管理方式：（ 1）管理主機與 FE1 口連接 （ 2）用電子鑰匙進行身份認證（ 3）訪問 可管理 IP 地址 :8888（注：若用證書進行認證，則訪問 安全網(wǎng)關(guān) 可管理 IP 地址 :8889）。 登錄帳號為默認管理員 帳號 與密碼，訪問 WEB界SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 26 面。此方式下的配置通信是加密的。 . 登錄 WEB 界面 將默認管理主機 的網(wǎng)口 用交叉連接 的以太網(wǎng) 線 （兩端線序不同）與 安全網(wǎng)關(guān) 的 FE1口連接， 管理主機的 IE 版本必須是 及以上版本， 如果是電子鑰匙認證， 在瀏覽器中輸入 如果是證書認證， 則輸入 登錄 后 彈出下面的登錄界面： 正確輸入默認管理員帳號與密碼，進入下面的 安全網(wǎng)關(guān) 配置管理界面： SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊 網(wǎng)神信息技術(shù)（北京）股份有限公 司 27 在第一次登錄成功后，管理員 建議 按需求變更管理員帳號 和密碼 、管理主機 IP、 安全網(wǎng)關(guān) 接口的 可管理 IP、管理方式。下次登錄時，按變更內(nèi)容進行認證與登錄。 當(dāng)管理員完成管理任務(wù)或者離開管理界面時， 應(yīng)主動退出 WEB 管理界面。正確的操作方 法 是點擊快捷菜單最右端的 “退出 ”快捷圖標 ，這將通知 安全網(wǎng)關(guān) 本管理員退出操作， 然后關(guān)閉本窗口。如果點擊 IE 標題欄上的 ，則只是關(guān)閉了窗口，并沒有通知 安全網(wǎng)關(guān) 該管理員已退出管理。 安全網(wǎng)關(guān) WEB 界面