360网神安全接入网关系统

网神设置指南1.资料准备需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。

其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。

2.网神设置2.1.主机设置将本机IP设置为10.50.10.44，子网掩码为255.255.255.0。

将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin程序安装许可证，安装过程中需要输入密码，默认密码为123456。

安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。

在IE地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为：firewall。

即可进入网神设置画面。

2.2.防火墙设置2.2.1.导入许可证初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。

具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。

如下图：2.2.2.网络接口对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。

2.2.3.透明桥设置须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。

2.2.4.安全规则设置为了使I、II区的网口联通，需要对安全规则进行设置。

设置方法如下：点击“安全策略”点击“安全规则”点击“添加”将“源地址”、“目标地址”和“服务”设成any 点击“确定”点击“保存配置”。

3.测试通过上文的设置，即完成对网神的设置，但切记每一步都需要有“配置生效”的提示，且保存配置。

网神SecGate 3600 安全网关（UTM）技术文档目 录1产品概述 (3)2产品特点 (3)3产品功能 (5)4产品型号与指标 (13)5产品形态 (14)6产品资质 (15)1产品概述网神SecGate 3600安全网关（UTM）（简称：“网神UTM”）是基于完全自主研发、经受市场检验的成熟稳定SecOS II操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、邮件过滤、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合安全网关系统。

网神UTM可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、邮件威胁以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多种设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

2产品特点领先的SecOS II安全协议栈完全自主知识产权的SecOS II实现安全网关的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对安全网关功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS II 具有更高的安全性、开放性、扩展性和可移植性。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

多核间相互分工协作，一部分核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。

同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

网神SecGate至中神通UTMWALL的功能迁移手册更多产品迁移说明：网神SecGate 3600安全网关（UTM）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上,经过12个月的精心研发, 专门为大型单位的分支机构和中小企业打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御网关系统。

武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品，有硬件整机、OS软件、虚拟化云网关等三种产品形式，OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成，每个APP都有配套的在线帮助、任务向导、视频演示和状态统计，可以担当安全网关、防火墙、UTM、NGFW等角色，胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任，具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点，是云计算时代的网络安全产品。

以下是两者之间的功能对比迁移表：网神SecGate 3600功能项页码中神通UTMWALL v1.8功能项页码1 导言10A功能简介82 登录安全网关WEB界面23B快速安装指南93 首页29 1.1 系统概要/仪表盘174 系统配置332系统管理47 4.1 系统配置>>系统时钟33 2.5 本地时间564.2 系统配置>>升级许可35 2.1 许可证2.7 升级管理47 604.3 系统配置>>导入导出37 2.6 配置管理58 4.4 系统配置>>报警邮箱39 2.1 许可证管理员邮箱47 4.5 系统配置>>日志服务器40 1.14 系统日志434.6 系统配置>>域名服务器41 3.7 DNS解析805 管理配置432系统管理47 5.1 管理配置>>管理方式43 3.1 网卡设置67 5.2 管理配置>>管理主机44 2.2 初始设置管理主机49 5.3 管理配置>>管理员帐号46 2.8 帐号口令62 5.4 管理配置>>管理员证书49 2.8 帐号口令625.5 管理配置>>集中管理51 4.6 SNMP服务916 网络配置553网络设置673.1 网卡设置3.1 网卡设置3.4 网桥设置5.7 总控策略策略路由3.1 网卡设置监控缺省网关3.5 双机热备3.1 网卡设置6.5 DNS代理过滤4.1 ARP服务4.1 ARP服务3.6 路由设置4.3 DHCP服务3.1 网卡设置DHCP方式10 IPSEC VPN10.1 IPSEC VPN总体设置10.3 IPSEC VPN网关10.3 IPSEC VPN网关10.4 IPSEC VPN连接10.3 IPSEC VPN网关10.2 IPSEC VPN本机设置11.1 SSL接入11.2 SSLVPN总体设置9.1 PPTP总体设置5基础策略5基础策略5.1 地址对象5.7 总控策略6.5 DNS代理过滤6.8 WEB代理过滤6.15 FTP代理过滤6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤5.2 时间对象5.5 QoS对象6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤<见下>5.7 总控策略5.6 NAT策略5.6 BINAT策略5.6 DNAT策略5.6 DNAT策略6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤4.1 ARP服务6.2 特殊应用功能设置5.7 总控策略内置7.7 IPS状态调用阻拦URL 7 入侵检测与防御WEB分类7 入侵检测与防御5.6 DNAT策略6.4 WEB审计过滤WEB审计日志5.4 会话对象3.5 双机热备8用户认证8.1 认证方法8.2 用户8.3 用户组1.13 测试工具1状态统计1.11 会话状态1.8 流量统计1.12 实时监控5.7 总控策略包过滤日志3.5 双机热备1.14 系统日志1.15 日志统计1.3 系统状态1.5 网卡状态10.4 IPSEC VPN连接状态1.7 ARP状态9.2 PPTP用户状态4.3 DHCP服务租用状态1.10 在线主机1.14 系统日志1.10 在线主机1.5 网卡状态缺省路由IP1.7 ARP状态1.13 测试工具1.14 系统日志4.1 ARP服务ARP日志3.6 路由设置1.2 源IP功能统计参考文件：1. 网神SecGate 3600安全网关WEB界面手册（388页）2. 中神通UTMWALL网关管理员手册。

网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底，成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势，网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的S e c G a t e3600（S J W79-A/B）系列V P N安全网关产品。

该系列V P N安全网关采用国家密码管理局指定的加密算法，支持国家I P S e c V P N标准协议，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品，可全部覆盖高中低端网络应用，涉及通用领域和县乡通信专用领域，同时还提供自主研发的V P N客户端软件。

二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式，不仅支持网关－网关模式，还支持网状网模式和星型组网，支持基于路由的V P N应用,可十分方便进行纵向组网，这对于具有三级以上网络的行业专网非常合适；网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案，形成自主组网。

2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时，也支持基于动态I P地址的V P N 网关，方便使用A D S L接入方式的用户构建自己的V P N网络；可以实现基于策略和基于路由的V P N，大小网络环境都可适应；网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通， 同时支持S S L V P N网关功能，支持标准的B/S、C/S连接。

3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式，以及基于这些方式的V P N应用，如N A T的穿越等；支持网关到客户端、客户端到网关多种移动用户上网方式；产品支持全面的防火墙访问控制功能，支持N A T、动态协议解析和带宽控制，支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。

360网神网络安全准入系统NACV7.0解决方案协同联动，合规入网目录一.“网络堡垒”往往是从内部攻破 (1)二.我们面临的挑战 (2)三.天擎NAC解决方案 (3)3.1概述 (3)3.2方案组成 (4)四.解决方案应用 (6)4.1天擎协同，应用合规入网 (6)4.1.1方案应用 (6)4.1.2优势特点 (7)4.2基于W EB P ORTAL认证 (7)4.2.1方案应用 (8)4.2.2访客入网管理 (8)4.3基于网络接入层认证 (9)4.3.1802.1x认证 (9)4.3.2MAB Mac认证 (9)4.3.3优势特点 (10)4.4终端安检合规入网 (10)4.4.1强制检查流程 (11)4.4.2多种强制检查条件 (11)4.4.3“一站式”流程管理 (12)4.5其他应用特性 (13)4.5.1第三方认证源联动认证 (13)4.5.2安全管理与接入访问控制 (13)4.5.3认证绑定管理 (14)4.5.4动态在线连接及强制下线 (14)4.5.5用户管理 (15)4.5.6设备例外管理 (15)4.5.7强制隔离手段 (15)4.5.8主机快速认证 (15)4.5.9入网和安检日志报表 (16)五.优势特点 (17)5.1分布式部署，集中管理 (17)5.2协同联动，构建“篱笆墙” (18)5.3网络环境适应性强 (19)5.4软硬一体化设备 (19)5.5支持高可用和逃生方式 (20)5.6多种入网认证因子 (20)5.7入网检查、隔离、修复一站流程 (20)5.8细粒化的访问控制 (20)5.9统一授权管理 (21)六.产品核心价值 (21)七.方案部署 (22)7.1小规模集中式部署 (22)7.2大型网络分布式部署，统一管理 (23)7.3天擎多级架构下的部署 (25)八.高可用及逃生方案 (26)8.1HA双机热备 (26)8.2双机冗余逃生方式 (27)8.3双机HA+软B YPASS逃生方式 (28)一.“网络堡垒”往往是从内部攻破目前大多数企事业单位构建的还是开放式的网络，过去在Interner接入安全和服务器安全领域投入了大量的资金，虽然网络出口处部署了防火墙、IPS、防病毒服务器等安全设备，但是网络安全事件依然层出不穷；虽然在终端上安装了杀毒软件，但病毒感染还是泛滥成灾；为什么？企业内部网络采用开放式的网络架构，这种开放网络给企业业务开展确实能够带来便捷，但也有严重的安全风险，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到企业IT基础设施的稳定运行和数据安全，因此需要构建新一代的内部终端准入安全防御体系。

⽹神Secgate3600安全⽹关产品功能使⽤⼿册声明服务修订：●本公司保留不预先通知客户⽽修改本⽂档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，⽆论明⽰或默⽰，不作其它任何担保，包括（但不限于）本⼿册中推荐使⽤产品的适⽤性和安全性、产品的适销性和适合某特定⽤途的担保。

●本公司对于您的使⽤或不能使⽤本产品⽽发⽣的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个⼈损害或商业损失或任何其它损失。

版权信息：●任何组织和个⼈对本公司产品的拥有、使⽤以及复制都必须经过本公司书⾯的有效授权。

⽹神信息技术（北京）股份有限公司⽬录⽬录 (2)导⾔ (12)1.本⼿册适⽤对象 (12)2.⼿册章节组织 (12)3.相关参考⼿册 (13)第⼀章系统配置 (14)1.1配置系统时钟 (14)1.2配置管理⽅式 (15)1.3配置管理主机 (16)1.4配置管理员 (17)1.5配置管理员证书 (21)1.6配置集中管理 (22)1.6.1集中管理概述 (22)1.6.2配置案例：集中管理 (24)1.7配置导⼊导出 (44)1.8配置升级许可 (46)1.9配置⽇志服务器 (50)1.9.1 ⽇志服务器概述 (50)1.9.2 配置案例：⽇志服务器 (51)1.10配置域名服务器 (54)1.11配置报警邮箱 (55)1.11.1 报警邮箱概述 (55)1.11.2 配置案例：报警邮箱 (56)第⼆章⽹络配置 (62)3.1 ⽹络接⼝ (62)3.1.1配置接⼝基本配置 (62)3.1.3 配置⼦接⼝ (67)3.1.4 配置桥接⼝ (69)3.1.5 配置channel⼝ (70)3.1.6 配置vlan (72)3.2 静态路由 (73)3.2.1 ⽬的路由 (73)3.2.2 策略路由 (74)3.3 动态路由 (78)3.3.1动态路由概述 (78)3.3.2 RIP设置 (79)3.3.3 OSPF设置 (81)3.3.4 BGP配置 (85)3.3.5 DEBUG信息 (86)3.11.5 配置案例：动态路由 (87)3.4 多播路由 + IGMPSNOOPING (88)3.4.1配置案例 (88)3.5 虚拟系统 (90)3.5.1 虚拟系统配置案例 (90)3.6 DNS中继 (93)3.6.1 DNS中继概述 (93)3.6.2 配置案例：DNS中继 (94)3.7链路探测................................................................................. 错误！未定义书签。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述 (1)二、安全网关硬件描述 (2)三、安全网关安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)2.1 温度／湿度要求 (3)2.2 洁净度要求 (4)2.3 抗干扰要求 (4)3．安装 (4)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接安全网关 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与安全网关 (10)5．认证管理员身份 (10)6．登录安全网关WEB界面 (10)7．许可证导入 (12)8．WEB界面配置向导 (14)六、常见问题解答FAQ (21)一、概述SecGate 3600安全网关缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

安装安全网关之前，请您务必阅读本指南的“二、三”两节。

360网神虚拟化下一代防火墙部署青云指导手册360企业安全集团2017年4月目录第一章概述 (3)1.1.产品介绍 (3)1.2.安装要求及其注意事项 (3)第二章设备介绍 (4)2.1.设备列表 (4)第三章上线购买说明 (4)3.1.登录青云网站 (4)3.2.创建VPC网络 (5)3.3.创建私有网络 (5)3.4.创建虚拟主机 (6)3.4.1.创建vNGFW (6)3.4.2.创建web服务器 (7)3.5.加入私有网络 (8)3.6.查看拓扑 (9)3.7.申请公网IP (10)3.8.配置默认防火墙规则 (11)3.9.配置VPC网络转发规则 (13)3.10.访问V NGFW (14)第四章部署案例 (15)4.1.配置V NGFW (15)4.1.1.配置DNAT规则 (15)4.1.2.配置策略 (16)4.2.配置WEB服务器 (17)4.3.配置青云 (18)4.3.1.创建默认防火墙规则 (18)4.3.2.配置VPC网络转发规则 (18)4.4.验证结果 (19)第五章许可证 (19)5.1.许可证作用 (19)5.2.许可证类型 (19)5.3.获得许可证 (20)第一章概述1.1.产品介绍“360网神虚拟化下一代防火墙”简称为vNGFW,它是一个纯软件形态的产品，是运行在虚拟机上的完全自主知识产权的SecOS操作系统之上。

360网神vNGFW是虚拟机镜像方式存放在青云平台上，所以您需要在创建主机的时候选择360网神虚拟镜像。

1.2.安装要求及其注意事项●本文档适用于青云平台的网络1.0环境，所以在安装部署360网神vNGFW的时候必须选择北京2区或者广东1区。

●安装的配置要求必须选择2个vCPU,内存最低是2G。

●启动实例以后您必须在控制台重置密码才能正常使用（新密码包括字母，数字，特殊字符，至少12位）。

●产品授权方式分为试用版本和正式版本，镜像本身默认提供给用户30天的试用期，在此期间所有的功能都可以正常试用，提前15天会有到期告警信息，试用期过后如果没有新的授权，所有的功能均不能使用。