网神SecGate 3600-G7-41HJ防火墙产品白皮书

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (20)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (22)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (23)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (24)第二章、系统管理 (25)1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (28)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (41)1.9 在升级前测试固件 (43)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (53)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (71)2.3 配置网络选项 (73)2.4 配置SecGateDNS服务 (74)2.5 配置显式网络代理 (80)3. 系统动态主机设置协议服务器(DHCP) (88)3.1 SecGate DHCP服务器和中继 (88)3.2 配置DHCP服务 (89)3.3查看地址租借 (94)4.系统配置 (95)4.1 HA (95)4.2 简单网络管理协议（SNMP） (105)4.3 替换信息 (118)4.4 操作模式和虚拟域管理入口 (125)5.系统管理 (128)5.1 管理员 (128)5.2 管理资料 (142)5.3 设置 (146)5.4 SecGateIPv6支持 (150)6. 系统认证 (156)6.1 本地证书 (157)6.2 CA证书 (163)第三章、路由 (165)1. 路由静态 (165)1.1 路由概念 (166)1.2 如何建立路由表 (167)1.3 如何做出路由判定 (167)1.4 多路径路由以及决定最佳路线 (168)1.5 路线优先 (170)1.6 黑洞路由 (170)2. 静态路由 (171)2.1 使用静态路由 (171)2.2 默认路由和默认网关 (175)2.3 添加静态路由至路由表 (177)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (179)3.1 ECMP路由同步会话至相同目标IP地址 (181)3.2 配置溢出或基于使用ECMP (182)3.3 从CLI中添加权重至静态路由 (189)4. 策略路由 (191)5. 路由信息协议（RIP） (197)5.1 RIP页面 (197)5.2 RIP网页网络部分 (198)5.3 RIP网页的接口部分 (199)5.4 高级RIP选项 (199)5.5 RIP-启用接口 (202)6. 开放式最短路径优先（OSPF） (203)6.1 定义OSPF自主系统—概览 (204)6.2 基本OSPF设置 (204)6.3 OSPF页面 (205)6.4 OSPF页面的区域部分 (205)6.5 OSPF页面网络部分 (206)6.6 OSPF页面的接口部分 (207)6.7 高级OSPF选项 (207)6.8 OSPF页面高级选项 (208)6.9 定义OSPF区域 (209)6.10 OSPF网络 (212)6.11 OSPF接口的运行参数 (212)7. 边界网关协议（BGP） (215)7.1 BGP页面 (216)7.2 BGP页面领域部分 (217)7.3 BGP页面网络部分 (217)8. 多路广播 (218)8.1 覆盖接口多路广播设置 (220)8.2 多路广播目标NAT (221)9. 双向转发检测（BFD） (222)9.1 配置BFD (222)10. 路由器监控 (225)10.1 查看路由信息 (226)10.2 查找SecGate路由表 (229)第四章、防火墙 (230)1. 策略 (231)1.1 身份识别防火墙策略 (243)1.2 中心网络地址转换（NAT）表 (250)1.3 互联网协议第六版(IPv6)策略 (252)1.4 拒绝服务（DoS）策略 (252)2. 地址 (255)2.1 地址列表 (256)2.2 地址组 (258)3. 服务 (260)3.1 预定义服务器列表 (260)3.2 定制服务 (268)3.3 定制化服务组 (270)4. 时间表 (271)4.1 循环时间表列表 (272)4.2 一次性时间表列表 (273)4.3 时间表组 (275)5. 流量整形器 (276)5.1 共享流量整形器 (277)5.2 Per-IP模式流量整形 (279)6. 虚拟IP地址 (280)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (281)6.2 虚拟IP地址 (282)6.3 虚拟域IP地址(VIP)组 (285)6.4 IP地址池 (287)7. 负载均衡功能 (288)7.1 虚拟服务器 (289)7.2 有效服务器 (296)7.3 健康检查监控器 (297)7.4 监控服务器 (300)第五章、UTM (301)1.拒绝服务（DoS）感应器 (301)2.SYN代理 (304)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (305)4.了解异常状况 (305)第六章、虚拟专用网(IPsec VPN) (307)1.IPSec VPN概述 (307)2.策略性对路由型虚拟专用网络(VPN) (309)3.自动交换密钥（IKE） (312)3.1 第一阶段配置 (313)3.2 第一阶段高级配置设定 (317)3.3 第二阶段配置 (322)3.4 第二阶段高级配置设定 (323)4.人工密钥 (328)4.1 新人工密钥配置 (329)5.集中器 (333)6.监控虚拟专用网络(VPN) (335)7.安全套接层虚拟专用网络(SSL VPN) (337)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (338)7.2 基本配置步骤 (339)7.3 配置（Config） (340)7.4 界面 (343)7.5 界面设定 (345)7.6 界面小部件 (346)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (347)第七章、用户 (348)1.用户 (349)1.1 本地用户账户 (349)1.2 身份认证设置 (352)2.用户组 (354)2.1 防火墙型用户组 (356)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (357)3.远程 (359)3.1 RADIUS (359)3.2 轻量级目录访问协议（LDAP） (362)3.3 TACACS+ (366)4.监控 (368)4.1 防火墙用户监控表 (368)第八章、日志与报告 (371)1.日志与报告概述 (372)2.什么是日志? (373)2.1 日志类型和分类型 (374)3.示例 (377)日志信息 (377)4.SecGate如何储存日志 (378)4.1 远程存储到系统日志服务器 (379)4.2 本地存储到内存 (381)4.3 本地存储到硬盘 (382)5.事件日志 (383)5.1 告警电子邮件 (384)6.接入并查看日志信息 (386)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

网神SecGate 3600 安全网关（UTM）技术文档目 录1产品概述 (3)2产品特点 (3)3产品功能 (5)4产品型号与指标 (13)5产品形态 (14)6产品资质 (15)1产品概述网神SecGate 3600安全网关（UTM）（简称：“网神UTM”）是基于完全自主研发、经受市场检验的成熟稳定SecOS II操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、邮件过滤、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合安全网关系统。

网神UTM可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、邮件威胁以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多种设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

2产品特点领先的SecOS II安全协议栈完全自主知识产权的SecOS II实现安全网关的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对安全网关功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS II 具有更高的安全性、开放性、扩展性和可移植性。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

多核间相互分工协作，一部分核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。

同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

技术白皮书网神SecGate 3600防火墙本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品功能说明 (4)2.1自适应的网络接入模式 (4)2.2完善的状态包过滤 (5)2.3全面的NAT地址转换 (5)2.4全面灵活的连接限制 (6)2.5病毒过滤 (6)2.6邮件过滤 (7)2.7VPN功能 (7)2.8强大的抗攻击能力 (8)2.9Web过滤 (9)2.10用户认证 (9)2.11与IDS联动 (10)2.12入侵防御IPS (10)2.13双机热备和高可用性HA (11)2.14全面的系统监控 (11)2.15丰富、安全的管理方式 (11)2.16分级权限的安全管理 (12)2.17完善的系统升级 (12)2.18系统配置的导入导出 (12)3产品技术优势 (13)3.1领先的SecOS安全协议栈 (13)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (14)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600防火墙（简称:“网神防火墙）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

网神SecIPS 3600入侵防御系统产品白皮书
1 产品概述
网神SecIPS 3600基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

2 产品特点
⏹灵活的部署方式。

网神SecIPS 3600支持IDS（旁路接入）、学习模式（串接，检测而
不防御）、连通优先、防御优先等四种工作模式，部署灵活方便，极大提高了产品的可用性。

⏹准确的攻击阻断。

网神SecIPS 3600融合了基于状态的模式匹配、基于协议的解码分
析、基于行为异常的检测、基于漏洞存在的检测、被动的操作系统及应用指纹识别、智能IP重组、蠕虫检测与隔离等新一代的检测分析技术，配合优秀的签名库，能够准确识别并实时阻断各种恶意攻击，确保网络安全可靠。

⏹丰富的管理和报表功能。

网神SecIPS 3600支持对多台探测器的集中管理（策略下发、
组件监控、事件收集等），提供多达40余种的统计报表模版，向导式的自定义报表，组建间加密通信，极大方便用户的使用，减少管理工作量。

3 主要功能
4 产品型号与技术指标
5 产品形态
6 产品资质
公安部销售许可证。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1前言 (4)2产品背景 (6)2.1P2P应用概况 (6)2.2P2P对网络的影响 (7)2.3P2P应用技术发展 (7)3处理P2P策略 (10)4如何检测网络中的P2P流量 (12)5技术解决方案 (13)6系统架构 (16)7主要功能特色 (18)7.1强大的协议识别引擎 (19)7.2灵活的带宽管理 (20)7.3内网IP统计功能 (22)7.4简单易用的单IP限速 (23)7.5丰富的报表统计 (23)7.6系统高可用性 (23)7.7全中文化安全的Web管理 (23)当前的IP网络，基于应用的分类管理，应用可视性和网络可管理性的地位比以前更重要，需求也更加迫切。

P2P应用的广泛流行，已是桌面应用和网络流量的主流。

出于技术与市场的驱动，唯有专业的应用层流量管理产品，才能跟踪并分析网络/用户的流量模式，更加有效的管理网络带宽资源，并加强服务特色化，管控结合，提高网络运行效率，提升用户满意度和忠诚度，具有多方面的益处。

P2P(Peer-to-Peer)应用是不需关照的下载方式，增加网络峰值带宽和峰值持续时间，使用随机端口(port-hopping) ，流量普遍占到网络总流量的60% —80%，为了让用户更快的体验和畅通无阻，则极力争抢带宽和逃避监管。

由于使用随机端口，传统的基于端口来区分应用的方式就失去了作用。

网神SecBMS带宽管理系统是在P2P流行时代，诞生的新一代应用层流量管理产品，支持对IP流量的应用分类，实时控制用户组、应用服务流量。

网神SecBMS带宽管理系统的解决方案是基于状态和特征的检测，精确识别9大类80余种常用协议，并创新地自主开发“协议特征描述语言”——PSDL(Protocol Signature Description Language)，使得维护协议特征库更加方便快捷。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (10)5产品形态 (16)6产品资质 (18)1产品概述网神SecGate 3600-G7-41WJ 防火墙（以下简称“防火墙”）是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。

防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界，完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。

基于成熟可靠的多核处理器硬件平台，并可以扩展使用硬件加速，性能超强。

2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。

●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。

保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。