【正文】 如果點(diǎn)擊 IE 標(biāo)題欄上的 ，則只是關(guān)閉了窗口，并沒有通知 安全網(wǎng)關(guān) 該管理員已退出管理。 當(dāng)管理員完成管理任務(wù)或者離開管理界面時(shí)， 應(yīng)主動(dòng)退出 WEB 管理界面。 . 登錄 WEB 界面 將默認(rèn)管理主機(jī) 的網(wǎng)口 用交叉連接 的以太網(wǎng) 線 （兩端線序不同）與 安全網(wǎng)關(guān) 的 FE1口連接， 管理主機(jī)的 IE 版本必須是 及以上版本， 如果是電子鑰匙認(rèn)證， 在瀏覽器中輸入 如果是證書認(rèn)證， 則輸入 登錄 后 彈出下面的登錄界面： 正確輸入默認(rèn)管理員帳號(hào)與密碼，進(jìn)入下面的 安全網(wǎng)關(guān) 配置管理界面： SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 27 在第一次登錄成功后，管理員 建議 按需求變更管理員帳號(hào) 和密碼 、管理主機(jī) IP、 安全網(wǎng)關(guān) 接口的 可管理 IP、管理方式。 登錄帳號(hào)為默認(rèn)管理員 帳號(hào) 與密碼，訪問 WEB界SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 26 面。 . 管理員首次登錄 正確管理 安全網(wǎng)關(guān) 前，需要配置 安全網(wǎng)關(guān) 的管理主機(jī)、管理員帳號(hào)和權(quán)限、網(wǎng)口上可管理 IP、 安全網(wǎng)關(guān) 管理方式。 CLI界面命令行方式下支持 SSH 加密， WEB 界面下支持 SSL 加密（使用HTTPS協(xié)議訪問 安全網(wǎng)關(guān) ）。 管理員訪問信道加密 ：為防止管理員與 安全網(wǎng)關(guān) 之間的管理信息被非法者截取而利用，對(duì) 安全網(wǎng)關(guān) 的遠(yuǎn)程管理的通信應(yīng)該實(shí)現(xiàn)加密。其中，超級(jí)管理員可以增加、刪除管理員帳號(hào)；配置管理員可以設(shè)置系統(tǒng)配置、管理配置、網(wǎng)絡(luò)配置；策略管理員可以配置對(duì)象定義、安全策略。 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 25 管理員身份認(rèn)證方式： 電子鑰匙認(rèn)證和證書認(rèn)證。 管理主機(jī)地址限制 ：只有管理主機(jī)才能對(duì) 安全網(wǎng)關(guān) 進(jìn)行管理。 可 管理 接口 IP地址： 管理員要在 安全網(wǎng)關(guān) 上定義 接口的 可以被管理的 IP 地址，并指定 該 IP 地址 可以進(jìn)行的操作（如：允許 管理主機(jī) PING、允許所有主機(jī) PING、允許TRACEROUTE 等）。 . 管理員配置管理 在管理主機(jī)上，通過電子鑰匙認(rèn)證或管理員證書認(rèn)證成功后，再使用管理員帳號(hào)認(rèn)證成功后才能訪問 安全網(wǎng)關(guān) 可管理 IP，完成對(duì) 安全網(wǎng)關(guān) 的配置管理。 客戶端管理員證書支持 p12 文件格式。 CA 證書、 安全網(wǎng)關(guān) 證書和 安全網(wǎng)關(guān) 私鑰只支持 PEM 編碼格式。另外，需要一個(gè)客戶端 管理員證書，導(dǎo)入管理主機(jī) IE 瀏覽器。 安全網(wǎng)關(guān)上的 證書包括 CA證書、 安全網(wǎng)關(guān) 證書、 安全網(wǎng)關(guān) 私鑰 和 管理員證書。 隨機(jī)光盤中 提供一個(gè) 電子鑰匙認(rèn)證 程序：可以設(shè)置 安全網(wǎng)關(guān) ID，設(shè)置 安全網(wǎng)關(guān) IP地址和端口，修改電子鑰匙訪問口令 PIN。當(dāng)安全網(wǎng)關(guān) 檢測(cè)到客戶端退 出 (或者超時(shí) )，關(guān)閉管理主機(jī)訪問 HTTPS 公有證書的端口的權(quán)限，并提供日志記錄功能。認(rèn)證通過后， 安全網(wǎng)關(guān) （服務(wù)器端）為管理主機(jī)（客戶端） IP 打開訪問 HTTPS 公有證書的端口。 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 23 2. 登錄 安全網(wǎng)關(guān) WEB 界面 . 管理員必讀 . 管理員電子鑰匙 管理員電子鑰匙是默認(rèn)的管理員身份認(rèn)證方式，用于認(rèn)證管理主機(jī)， 確保與 安全網(wǎng)關(guān) 相連接的管理主機(jī)是合法的。 . 菜單結(jié)構(gòu)說明 界面框架如下圖所示： 菜單采用樹型結(jié)構(gòu) ， 如 下 圖所示： SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 14 一級(jí)菜單 說 明 首頁 顯示 安全網(wǎng)關(guān) 設(shè)備 信息、網(wǎng)口 接口 狀態(tài)、資源狀態(tài)、在線管理員 、最近事件等 ， 還包括初始向?qū)?、保存配置、?dǎo)出配置、幫助、退出等快捷鏈接 系統(tǒng) 配置 安全網(wǎng)關(guān) 的 系統(tǒng) 配置 ， 包括： 1） 系統(tǒng)時(shí)鐘 2） 升級(jí) 許可 3） 導(dǎo)入導(dǎo)出 4） 報(bào)警郵箱 5） 日志服務(wù)器 6） 域名服務(wù)器 管理 配置 安全網(wǎng)關(guān) 的管理配置， 包括： 1） 管理方式 2）管理主機(jī) 3） 管理員帳號(hào) 4）管理員證書 5）集中管理 其中，只 有 超級(jí)管理員 admin 才能 修改管理員的帳號(hào) 網(wǎng)絡(luò)配置 安全網(wǎng)關(guān) 作為一臺(tái)網(wǎng)絡(luò)設(shè)備， 對(duì)網(wǎng)絡(luò)相關(guān)屬性的 配置： SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 15 1）網(wǎng) 絡(luò)接口 2） 接口 IP 3）透明橋 4）策略路由 5）鏈路探測(cè) 6）網(wǎng)口聯(lián)動(dòng) 7） ADSL 拔號(hào) 8） DNS 中繼 9）靜態(tài) ARP 10）靜態(tài)橋轉(zhuǎn)發(fā)表 11）動(dòng)態(tài)路由： RIP 設(shè)置、 OSPF 設(shè)置、 DEBUG 信息 12） DHCP 配置 ： DHCP服務(wù)器， DHCP 中繼， DHCP客戶端 VPN 配置 1） IPSECVPN： VPN 客戶端分組 ， VPN 端點(diǎn) ， VPN隧道 ， VPN 設(shè)備 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 16 2） 證書管理： CA 證書，對(duì)方證書，本地證書，證書吊銷列表 3） SSLVPN：基本配置，用戶管理 4） PPTP/L2TP：基本配置，撥號(hào)用戶管理 對(duì)象定義 為簡(jiǎn)化 安全網(wǎng)關(guān) 安全規(guī)則的維護(hù)工作，引入了對(duì)象定SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 17 義， 可以定義如下對(duì)象 ： 1）地址：地址列表、地址組、 域名列表、 服務(wù)器地址、 NAT 地址池 、 接口 IP 組 2）服務(wù)：服務(wù)列表、服務(wù)組 3）代理：預(yù)定義的 HTTP、 FTP、 TELNET、 SMTP、POP3 代理、自定義代理 4）時(shí)間：時(shí)間列表、時(shí)間組，可以設(shè)置一次性調(diào)度和周循環(huán)調(diào)度 5）帶寬 列表 ：設(shè)置一些帶寬屬性 6） URL 列表 ：黑白 URL 名單 對(duì)象只有被安全規(guī)則引用才能起作用，否則，不起作用 策略管理員具有定義對(duì)象的權(quán)限 安全策略 安全 網(wǎng)關(guān) 的核心配置 ， 包括： 1）安全規(guī)則： 包過濾規(guī)則、 NAT 規(guī) 則、 端口映射規(guī)SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 18 則、 IP 映射規(guī)則 、代理規(guī)則 、病毒過濾規(guī)則 2）地址綁定： IP/MAC 地址的綁定 3） P2P/IM 限制：可以針對(duì)目前流行的 P2P 協(xié)議apple、 ares、 bt、 dc、 edonkey、 gnu、 kazaa、 soul、winmx進(jìn)行禁止使用、允許使用不做任何限制、允許使用且進(jìn)行流量控制 ；也可以針對(duì) IM 類的 、 MSN和 skype 進(jìn)行禁止或允許設(shè)置 4）抗攻擊： 管理員可以針對(duì)不同的物理接口啟用抗Syn Flood 攻擊、 ICMP Flood 攻擊、 Ping of Death攻擊、 UDP Flood 攻擊、 PING SWEEP 攻擊、 TCP端口掃描、 UDP 端口掃描、 WinNuke 等 攻擊 5） IDS 聯(lián)動(dòng)：設(shè)置 與 IDS 產(chǎn)品之間的聯(lián)動(dòng) 6） 入侵防護(hù)： 設(shè)置多種的入侵檢測(cè)防護(hù)功能 7）蠕蟲過濾 ：設(shè)置多種網(wǎng)絡(luò)蠕蟲過濾功能 8） URL 重定向：設(shè)置 URL 重定向功能 9） URL 日志：記錄用戶訪問過的 URL 地址 10） 連接限制： 包括 保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù) 四類連接限制設(shè)置 策略管理員具有制定安全策略的權(quán)限 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 19 高可用性 高可用性（ High Availability，簡(jiǎn)稱 HA） 配置， 包括： 1） HA基本配置 2） 路由模式 HA： VRRP 實(shí)例， VRRP 關(guān)聯(lián) 、虛 IP屬性 3） 橋模式 HA：橋配置， VLAN 配置 用戶認(rèn)證 用戶認(rèn)證包括： 1） 認(rèn)證方式設(shè)置 2）用戶列表 3）用戶組 安全助手 安全助手包括： 1) 活動(dòng)主機(jī)探測(cè)：探測(cè)指定網(wǎng)段或地址的活動(dòng)主機(jī) 2) 開放服務(wù)探測(cè)：探測(cè)活動(dòng)主機(jī)開放的服務(wù) 3) 服務(wù)版本探測(cè)：探測(cè)開放服務(wù)的版本 4) 操作系統(tǒng)探測(cè)：探測(cè)活動(dòng)主機(jī)的系統(tǒng)版本 5) 高級(jí)參數(shù)配置：設(shè)置探測(cè)高級(jí)參數(shù) SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 20 系統(tǒng)監(jiān)控 監(jiān)控 安全網(wǎng)關(guān) 所在網(wǎng)絡(luò) 以及 安全網(wǎng)關(guān) 本身 的 狀態(tài) ，包括： 1） 網(wǎng)絡(luò)監(jiān)控： 包括 實(shí)時(shí)監(jiān)控、 內(nèi)網(wǎng)監(jiān)控、 DMZ 監(jiān)控、外網(wǎng)監(jiān)控、內(nèi)外網(wǎng)監(jiān)控， 監(jiān)控網(wǎng)絡(luò)中的流量和連接 2） HA 監(jiān)控： 包括 各 安全網(wǎng)關(guān) 信息， VRRP 關(guān)聯(lián)信息， HA虛擬 IP 信息， VLAN 信息 和透明橋監(jiān)控信息 3） 日志信息 4） 資源狀態(tài)： CPU 利用率、內(nèi)存利用率 、連接狀況 、TCP 連接狀況、 導(dǎo)出調(diào)試信息 5） 網(wǎng)絡(luò)接口 6） IPsecVPN 隧道監(jiān)控 7） SSLVPN 隧道監(jiān)控 8）橋轉(zhuǎn)發(fā)表監(jiān)控 9） PPTP/L2TP 監(jiān)控 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 21 10） DHCP 用戶信息 11）在線管理員：顯示所有在線管理的信息 12） 在線用戶：當(dāng)前通過用戶認(rèn)證功能的 在線用戶的信息 13）鏈路探測(cè)信息：鏈路探測(cè)的結(jié)果信息 14） ARP 表：系統(tǒng)內(nèi)部 ARP 表的狀態(tài) 15） IP 診斷：從 安全網(wǎng)關(guān) ping（增強(qiáng)） 、 Traceroute其它主機(jī) 的工具 16） IP 沖突檢測(cè)：檢測(cè)和網(wǎng)關(guān)的 IP 地址沖突的設(shè)備 17）路由監(jiān)控：實(shí)時(shí)顯示網(wǎng)關(guān)內(nèi)的路由表信息 18）當(dāng)前配置：列出當(dāng)前網(wǎng)關(guān)正在運(yùn)行的配置信息 日志審計(jì)員具有監(jiān)控 安全網(wǎng)關(guān) 所在網(wǎng)絡(luò)以及 安全網(wǎng)關(guān) 本身 的權(quán)限 SecGate 3600 安全網(wǎng)關(guān) WEB 界面手冊(cè) 網(wǎng)神信息技術(shù)（北京）股份有限公 司 22 . 相關(guān)參考手冊(cè) 《 網(wǎng)神 SecGate 3600 安全網(wǎng)關(guān) 快速指南》，介紹了 安全網(wǎng)關(guān) 的快速安裝配置， 初始 向?qū)У氖褂玫取? 附錄二： 介紹了 SecGate 3600 安全網(wǎng)關(guān) 高可用性使用 方法 。 第 十二 章 、 安全助手：介紹內(nèi)網(wǎng)探測(cè)功能，包括：活動(dòng)主機(jī)探測(cè)、開放服務(wù)探測(cè)、服務(wù)版本探測(cè)、操作系統(tǒng)探測(cè)、高級(jí)參數(shù)配置等 第十三章、 系統(tǒng)監(jiān)控： 介紹 如何監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，包 括： 網(wǎng)絡(luò)監(jiān)控、 HA監(jiān)控、日志信息、資源狀態(tài)、 網(wǎng)絡(luò)接口 、 VPN 隧道監(jiān)控、 橋轉(zhuǎn)發(fā)表監(jiān)控、 PPTP/L2TP 監(jiān)控、DHCP 用戶信息、 在線管理員、 在線用戶、 鏈路探測(cè)信息、 ARP 表 、 IP 診斷 、 IP 沖突檢測(cè)、路由監(jiān)控、當(dāng)前配置 等。 第 十 章 、 高可用性：介紹 HA 的相關(guān)配置，包括： HA 基本配置、 路由模式 HA 的VRRP 實(shí)例 、 VRRP 關(guān)聯(lián) 和虛 IP 屬性 ， 以及橋 模式 HA的橋 配置和 VLAN