网神防火墙secgate 3600-4106H

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (20)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (22)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (23)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (24)第二章、系统管理 (25)1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (28)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (41)1.9 在升级前测试固件 (43)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (53)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (71)2.3 配置网络选项 (73)2.4 配置SecGateDNS服务 (74)2.5 配置显式网络代理 (80)3. 系统动态主机设置协议服务器(DHCP) (88)3.1 SecGate DHCP服务器和中继 (88)3.2 配置DHCP服务 (89)3.3查看地址租借 (94)4.系统配置 (95)4.1 HA (95)4.2 简单网络管理协议（SNMP） (105)4.3 替换信息 (118)4.4 操作模式和虚拟域管理入口 (125)5.系统管理 (128)5.1 管理员 (128)5.2 管理资料 (142)5.3 设置 (146)5.4 SecGateIPv6支持 (150)6. 系统认证 (156)6.1 本地证书 (157)6.2 CA证书 (163)第三章、路由 (165)1. 路由静态 (165)1.1 路由概念 (166)1.2 如何建立路由表 (167)1.3 如何做出路由判定 (167)1.4 多路径路由以及决定最佳路线 (168)1.5 路线优先 (170)1.6 黑洞路由 (170)2. 静态路由 (171)2.1 使用静态路由 (171)2.2 默认路由和默认网关 (175)2.3 添加静态路由至路由表 (177)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (179)3.1 ECMP路由同步会话至相同目标IP地址 (181)3.2 配置溢出或基于使用ECMP (182)3.3 从CLI中添加权重至静态路由 (189)4. 策略路由 (191)5. 路由信息协议（RIP） (197)5.1 RIP页面 (197)5.2 RIP网页网络部分 (198)5.3 RIP网页的接口部分 (199)5.4 高级RIP选项 (199)5.5 RIP-启用接口 (202)6. 开放式最短路径优先（OSPF） (203)6.1 定义OSPF自主系统—概览 (204)6.2 基本OSPF设置 (204)6.3 OSPF页面 (205)6.4 OSPF页面的区域部分 (205)6.5 OSPF页面网络部分 (206)6.6 OSPF页面的接口部分 (207)6.7 高级OSPF选项 (207)6.8 OSPF页面高级选项 (208)6.9 定义OSPF区域 (209)6.10 OSPF网络 (212)6.11 OSPF接口的运行参数 (212)7. 边界网关协议（BGP） (215)7.1 BGP页面 (216)7.2 BGP页面领域部分 (217)7.3 BGP页面网络部分 (217)8. 多路广播 (218)8.1 覆盖接口多路广播设置 (220)8.2 多路广播目标NAT (221)9. 双向转发检测（BFD） (222)9.1 配置BFD (222)10. 路由器监控 (225)10.1 查看路由信息 (226)10.2 查找SecGate路由表 (229)第四章、防火墙 (230)1. 策略 (231)1.1 身份识别防火墙策略 (243)1.2 中心网络地址转换（NAT）表 (250)1.3 互联网协议第六版(IPv6)策略 (252)1.4 拒绝服务（DoS）策略 (252)2. 地址 (255)2.1 地址列表 (256)2.2 地址组 (258)3. 服务 (260)3.1 预定义服务器列表 (260)3.2 定制服务 (268)3.3 定制化服务组 (270)4. 时间表 (271)4.1 循环时间表列表 (272)4.2 一次性时间表列表 (273)4.3 时间表组 (275)5. 流量整形器 (276)5.1 共享流量整形器 (277)5.2 Per-IP模式流量整形 (279)6. 虚拟IP地址 (280)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (281)6.2 虚拟IP地址 (282)6.3 虚拟域IP地址(VIP)组 (285)6.4 IP地址池 (287)7. 负载均衡功能 (288)7.1 虚拟服务器 (289)7.2 有效服务器 (296)7.3 健康检查监控器 (297)7.4 监控服务器 (300)第五章、UTM (301)1.拒绝服务（DoS）感应器 (301)2.SYN代理 (304)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (305)4.了解异常状况 (305)第六章、虚拟专用网(IPsec VPN) (307)1.IPSec VPN概述 (307)2.策略性对路由型虚拟专用网络(VPN) (309)3.自动交换密钥（IKE） (312)3.1 第一阶段配置 (313)3.2 第一阶段高级配置设定 (317)3.3 第二阶段配置 (322)3.4 第二阶段高级配置设定 (323)4.人工密钥 (328)4.1 新人工密钥配置 (329)5.集中器 (333)6.监控虚拟专用网络(VPN) (335)7.安全套接层虚拟专用网络(SSL VPN) (337)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (338)7.2 基本配置步骤 (339)7.3 配置（Config） (340)7.4 界面 (343)7.5 界面设定 (345)7.6 界面小部件 (346)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (347)第七章、用户 (348)1.用户 (349)1.1 本地用户账户 (349)1.2 身份认证设置 (352)2.用户组 (354)2.1 防火墙型用户组 (356)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (357)3.远程 (359)3.1 RADIUS (359)3.2 轻量级目录访问协议（LDAP） (362)3.3 TACACS+ (366)4.监控 (368)4.1 防火墙用户监控表 (368)第八章、日志与报告 (371)1.日志与报告概述 (372)2.什么是日志? (373)2.1 日志类型和分类型 (374)3.示例 (377)日志信息 (377)4.SecGate如何储存日志 (378)4.1 远程存储到系统日志服务器 (379)4.2 本地存储到内存 (381)4.3 本地存储到硬盘 (382)5.事件日志 (383)5.1 告警电子邮件 (384)6.接入并查看日志信息 (386)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述 (1)二、安全网关硬件描述 (2)三、安全网关安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)2.1 温度／湿度要求 (3)2.2 洁净度要求 (4)2.3 抗干扰要求 (4)3．安装 (4)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接安全网关 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与安全网关 (10)5．认证管理员身份 (10)6．登录安全网关WEB界面 (10)7．许可证导入 (12)8．WEB界面配置向导 (14)六、常见问题解答FAQ (21)一、概述SecGate 3600安全网关缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

安装安全网关之前，请您务必阅读本指南的“二、三”两节。

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

网神SecGate 3600 安全网关（UTM）技术文档目 录1产品概述 (3)2产品特点 (3)3产品功能 (5)4产品型号与指标 (13)5产品形态 (14)6产品资质 (15)1产品概述网神SecGate 3600安全网关（UTM）（简称：“网神UTM”）是基于完全自主研发、经受市场检验的成熟稳定SecOS II操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、邮件过滤、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合安全网关系统。

网神UTM可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、邮件威胁以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多种设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

2产品特点领先的SecOS II安全协议栈完全自主知识产权的SecOS II实现安全网关的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对安全网关功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS II 具有更高的安全性、开放性、扩展性和可移植性。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

多核间相互分工协作，一部分核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。

同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利，如果配置截图与实际产品界面有差异，以实际产品配置界面为准。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录1导言 (13)1.1.本书适用对象 (13)1.2.手册章节组织 (13)1.3.相关参考手册 (15)2登录安全网关WEB界面 (16)2.1管理员必读 (16)2.1.2.管理员电子钥匙 (16)2.1.2.管理员证书 (17)2.1.3.管理员配置管理 (17)2.2.管理员首次登录 (18)2.2.1. 登录WEB界面 (19)2.3.管理员再次登录 (21)3首页 (22)4系统配置 (25)4.1.系统配置>>系统时钟 (25)4.2.管理配置>>管理方式 (27)4.3.管理配置>>管理主机 (28)4.4.管理配置>>管理员帐号 (29)4.5.管理配置>>管理员证书 (33)网神信息技术（北京）股份有限公司4.6.管理配置>>集中管理 (35)4.7.系统配置>>导入导出 (39)4.8.系统配置>>升级许可 (42)4.9.系统配置>>日志服务器 (45)4.10.系统配置>>域名服务器 (46)4.11.系统配置>>报警邮箱 (47)5网络配置 (49)5.1.网络配置>> 网络接口 (49)5.1.1网络接口>>基本配置 (49)5.1.2网络接口>>接口IP (52)5.1.3.网络接口>>子接口 (55)5.1.4.网络接口>>桥接口 (57)5.1.5.网络接口>>channel (60)5.1.6.网络接口>>Vlan配置 (63)5.2.网络配置>>静态路由 (64)5.2.1.静态路由>>目的路由 (64)5.2.2.静态路由>>智能选路 (65)5.3 网络配置>>动态路由 (68)5.3.1 动态路由>>RIP设置 (69)5.3.2 动态路由>>OSPF设置 (73)5.3.3 动态路由>>BGP设置 (77)5.3.4 动态路由>>DEBUG设置 (79)5.4 网络配置>>多播路由 (80)5.4.1 多播路由>>多播配置 (80)网神信息技术（北京）股份有限公司5.4.2 多播路由>>多播监控 (82)5.4.3 多播路由>>PIM信息 (82)5.5网络配置>>DHCP配置 (83)5.5.1DHCP配置>>DHCP服务器 (83)5.5.2DHCP配置>>DHCP中继 (87)5.5.3 DHCP配置>>DHCP客户端 (88)5.6网络配置>>虚拟系统 (89)5.6.1虚拟系统>>虚拟系统管理 (90)5.6.2虚拟系统>>虚拟系统切换 (93)5.7网络配置>>ADSL拨号 (93)5.8网络配置>>DNS中继 (95)5.9网络配置>>WIRELESS_3G配置 (96)5.10网络配置>>链路探测 (98)5.11网络配置>>网口联动 (99)5.12网络配置>>静态ARP (100)5.13 网络配置>>静态桥转发表 (101)5.14 网络配置>>端口镜像 (103)6对象定义 (104)6.1对象定义通用功能介绍 (104)6.1.1分页显示 (105)6.1.2 查找 (106)6.1.3排序 (106)6.1.4添加 (107)61.5编辑（修改） (108)网神信息技术（北京）股份有限公司6.1.6删除 (109)6.1.7名称和备注 (110)6.2地址 (111)6.2.1地址>>地址列表 (111)6.2.2地址>>地址组 (113)6.2.3地址>>服务器地址 (114)6.2.4地址>>虚拟服务器地址 (117)6.2.5地址>>NAT地址池 (120)6.2.6地址>>域名列表 (121)6.2.7地址>>isp地址表 (122)6.3服务 (124)6.3.1服务>>服务列表 (124)6.3.2服务>>服务组 (136)6.4时间 (138)6.4.1时间>>时间列表 (138)6.4.2 时间>>时间组 (140)6.5保护内容列表 (141)6.6连接限制配置 (144)7防火墙 (145)7.1 安全规则 (145)7.1.1 包过滤规则 (155)7.1.2NAT规则 (159)7.1.3IP/端口映射规则 (163)7.2抗攻击 (167)网神信息技术（北京）股份有限公司7.3IDS联动 (175)7.4 IP/MAC绑定 (177)7.5 URL重定向 (184)8Ipv6 配置......................................................................................... 错误!未定义书签。

网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底，成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势，网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的S e c G a t e3600（S J W79-A/B）系列V P N安全网关产品。

该系列V P N安全网关采用国家密码管理局指定的加密算法，支持国家I P S e c V P N标准协议，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品，可全部覆盖高中低端网络应用，涉及通用领域和县乡通信专用领域，同时还提供自主研发的V P N客户端软件。

二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式，不仅支持网关－网关模式，还支持网状网模式和星型组网，支持基于路由的V P N应用,可十分方便进行纵向组网，这对于具有三级以上网络的行业专网非常合适；网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案，形成自主组网。

2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时，也支持基于动态I P地址的V P N 网关，方便使用A D S L接入方式的用户构建自己的V P N网络；可以实现基于策略和基于路由的V P N，大小网络环境都可适应；网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通， 同时支持S S L V P N网关功能，支持标准的B/S、C/S连接。

3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式，以及基于这些方式的V P N应用，如N A T的穿越等；支持网关到客户端、客户端到网关多种移动用户上网方式；产品支持全面的防火墙访问控制功能，支持N A T、动态协议解析和带宽控制，支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。

防火墙WEBUI无法管理的问题处理一：常见原因WEBUI管理防火墙是目前防火墙管理的主要手段，当现场无法使用WEBUI管理设备的时候，请大家一定要按照文档建议进行故障分析，文档中的说明情况是根据多年处理类似问题的经验积累汇总而成，希望大家能够认真阅读文档，按照文档进行故障排查，基本可以解决市场上常见的关于WEBUI无法管理的问题，后续有的类似问题我会及时的补充到该文档中。

1.1：使用的浏览器1.2：使用的管理证书1.3：防火墙的管理证书1.4：管理电脑和防火墙的系统时间1.5：管理主机和管理地址1.6：磁盘空间是否满1.7：其它方面考虑事项二：排查过程2.1使用的浏览器答：一代墙和二代墙建议使用IE7/8/9三种浏览器，且操作系统为xp,win7,server2003的32位，其他系统位数或者浏览器可能存在兼容性问题，为了能够正常管理防火墙系统，建议使用厂商推荐的浏览器和系统版本；2.2使用的管理证书答：防火墙的管理证书有两种类型:一种管理证书有效期至2030/4/30，为现在正常使用的管理证书。

一种管理证书有效期截止2016/2/11，为已经过期的管理证书。

如果现在使用的证书有效截止日期仍然是2016年的用户，目前的情况下防火墙可能已经出现了无法管理的情况下，需要安装新的管理证书才能继续管理防火墙。

新证书名称“New-SecGateAdmin.p12”,新证书的安装密码111111，点击下一步即可完成注意：老证书的安装密码是1234562.3：更新防火墙系统证书更新防火墙系统证书的有两种方式，一种是通过升级包升级替换，另外一种方式是后台直接替换文件，如果是用户操作建议使用补丁包方式，如果是区域技术人员建议直接后台替换即可。

2.3.1：webui方式直接升级该种方式如果升级前系统版本是二代墙的版本时可以使用，去补丁包服务器下载补丁名称为“SecGate3600-fw-manage-cert-20141011”的补丁包，然后在防火墙的WEBUI界面中升级即可，对于已经无法WEBUI登陆的设备，可以通过修改管理主机和防火墙系统的系统时间来实现WEBUI的暂时管理。