山石网科SG神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册

多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin，密码admin后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

网神SecGate至中神通UTMWALL的功能迁移手册更多产品迁移说明：网神SecGate 3600安全网关（UTM）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上,经过12个月的精心研发, 专门为大型单位的分支机构和中小企业打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御网关系统。

武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品，有硬件整机、OS软件、虚拟化云网关等三种产品形式，OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成，每个APP都有配套的在线帮助、任务向导、视频演示和状态统计，可以担当安全网关、防火墙、UTM、NGFW等角色，胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任，具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点，是云计算时代的网络安全产品。

以下是两者之间的功能对比迁移表：网神SecGate 3600功能项页码中神通UTMWALL v1.8功能项页码1 导言10A功能简介82 登录安全网关WEB界面23B快速安装指南93 首页29 1.1 系统概要/仪表盘174 系统配置332系统管理47 4.1 系统配置>>系统时钟33 2.5 本地时间564.2 系统配置>>升级许可35 2.1 许可证2.7 升级管理47 604.3 系统配置>>导入导出37 2.6 配置管理58 4.4 系统配置>>报警邮箱39 2.1 许可证管理员邮箱47 4.5 系统配置>>日志服务器40 1.14 系统日志434.6 系统配置>>域名服务器41 3.7 DNS解析805 管理配置432系统管理47 5.1 管理配置>>管理方式43 3.1 网卡设置67 5.2 管理配置>>管理主机44 2.2 初始设置管理主机49 5.3 管理配置>>管理员帐号46 2.8 帐号口令62 5.4 管理配置>>管理员证书49 2.8 帐号口令625.5 管理配置>>集中管理51 4.6 SNMP服务916 网络配置553网络设置673.1 网卡设置3.1 网卡设置3.4 网桥设置5.7 总控策略策略路由3.1 网卡设置监控缺省网关3.5 双机热备3.1 网卡设置6.5 DNS代理过滤4.1 ARP服务4.1 ARP服务3.6 路由设置4.3 DHCP服务3.1 网卡设置DHCP方式10 IPSEC VPN10.1 IPSEC VPN总体设置10.3 IPSEC VPN网关10.3 IPSEC VPN网关10.4 IPSEC VPN连接10.3 IPSEC VPN网关10.2 IPSEC VPN本机设置11.1 SSL接入11.2 SSLVPN总体设置9.1 PPTP总体设置5基础策略5基础策略5.1 地址对象5.7 总控策略6.5 DNS代理过滤6.8 WEB代理过滤6.15 FTP代理过滤6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤5.2 时间对象5.5 QoS对象6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤<见下>5.7 总控策略5.6 NAT策略5.6 BINAT策略5.6 DNAT策略5.6 DNAT策略6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤4.1 ARP服务6.2 特殊应用功能设置5.7 总控策略内置7.7 IPS状态调用阻拦URL 7 入侵检测与防御WEB分类7 入侵检测与防御5.6 DNAT策略6.4 WEB审计过滤WEB审计日志5.4 会话对象3.5 双机热备8用户认证8.1 认证方法8.2 用户8.3 用户组1.13 测试工具1状态统计1.11 会话状态1.8 流量统计1.12 实时监控5.7 总控策略包过滤日志3.5 双机热备1.14 系统日志1.15 日志统计1.3 系统状态1.5 网卡状态10.4 IPSEC VPN连接状态1.7 ARP状态9.2 PPTP用户状态4.3 DHCP服务租用状态1.10 在线主机1.14 系统日志1.10 在线主机1.5 网卡状态缺省路由IP1.7 ARP状态1.13 测试工具1.14 系统日志4.1 ARP服务ARP日志3.6 路由设置1.2 源IP功能统计参考文件：1. 网神SecGate 3600安全网关WEB界面手册（388页）2. 中神通UTMWALL网关管理员手册。

DCFW-1800G/E/S系列防火墙快速配置手册－4.0版本神州数码网络集团客服中心技术支持部第1章硬件说明 (4)第2章安装前准备 (4)2.1通过控制台接入防火墙（CLI） (4)2.2SSH远程管理方法 (4)2.3WEB页面管理方法 (5)2.4防火墙密码恢复方法 (6)2.5恢复出厂配置方法 (7)2.6防火墙升级方法 (8)2.7恢复备份版本方法 (9)2.8更改逻辑端口同物理端口对应关系方法 (10)2.9防火墙当前运行配置下载方法 (11)2.10防火墙出厂默认配置 (12)第3章功能配置 (12)3.1防火墙接口IP地址更改方法 (12)3.2防火墙默认网关配置方法 (13)3.3防火墙静态路由添加方法 (14)3.4服务（端口）添加方法 (14)3.5服务分组添加方法 (15)3.6网络对象添加方法 (18)3.7网络分组添加方法 (19)3.8策略添加方法 (22)3.9动态NAT配置方法 (22)3.10静态NAT配置方法 (23)3.11端口映射配置方法 (23)3.12日志记录方法 (24)3.13源地址路由配置方法 (28)第4章典型应用 (32)4.1DCFW-1800G/E/S路由模式的配置步骤 (32)4.2防火墙做PPTP拨号服务器的配置 (42)4.2.1 Windows PPTP客户端配置说明 (44)4.2.2 神州数码 DCFW-1800G/E/S防火墙PPTP配置 (47)4.3如何封堵某些服务端口 (53)4.4如何阻止某台主机访问网络 (55)4.5DCFW-1800G-E-S网桥模式配置步骤 (56)4.6DCFW-1800G/E/S IPSEC VPN配置步骤 (61)关于本手册本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法，并举例进行说明，希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。

如果系统升级，本手册内容进行相应更新，恕不事先通知。

DCFW-1800E/S-UTM ADSL线路策略路由配置指南网络拓扑：实现目标：1、内网192.168.1.0/24网段通过UTM上的ADSL线路访问互联网2、剩下的内网网段通过eth2接口的专线访问互联网配置步骤：初次配置使用超级终端进入防火墙控制台：初始配置管理员用户名：admin 密码：adminhawk> enable --- 进入配置模式hawk# configure terminal--- 进入特权模式hawk(config)# set interface eth0 ip 192.168.1.81/24--- 设置eth0接口的IP地址hawk(config)# unset interface eth0 manage-ip 192.168.1.80/24--- 设置eth0接口的管理IP地址hawk(config)# set interface eth0 up --- 设置eth0接口为活动状态，缺省所有的接口都是down状态WAN1eth0192.168.1.0/24Eth0 ip:192.168.1.81/24Manage_ip:192.168.1.80/24Eth1接口 PPPOE拨号上网192.168.2.0/24 WAN2Eth2 以太网接入Internethawk(config)# set interface eth1 up--- 设置eth1接口为活动状态hawk(config)# set eth0 manage-service web--- 设置可以用eth0接口的管理地址对UTM进行管理hawk(config)# set adminhost 192.168.1.85 --- 添加对UTM具有管理权限的主机地址hawk(config)# exit--- 退回到特权模式hawk# save configuration--- 把当前运行配置保存到启动配置配置完以上基本信息后，即可通过Web界面来对UTM进行配置。

DCFW-1800E/S-UTM日志配置指南需求I：对trust访问untrust web服务分别采用三种方式（本地缓冲区、发送至日志服务器、发送日志邮件）进行日志记录。

首先用“配置管理员”admin帐号登陆在“防火墙”-》“安全策略”-》“域间安全策略”中点击“新增”服务：http审计ID:80 ---该ID从1-65535之间选择，起到标识匹配该条策略的日志之作用配置完后注销admin帐号，重新使用“审计管理员”audit帐号登陆日志收集方案一：将审计ID 80产生的日志缓存在UTM本地在“日志”-》“日志策略”-》“流量日志策略”中点击“新增”审计ID:80记录目标：本地缓冲区配置完毕后可以在“日志”-》“系统日志信息”-》“流量日志”中查看缓存在本地的日志注意其中“ID”标识为80的日志日志收集方案二：将审计ID 80产生的日志以syslog格式发往日志服务器在“日志”-》“日志目标设置”-》“日志接收主机列表”中点击“新增”添加接收日志的主机地址：192.168.1.240指定将审计ID为80的日志发往日志主机在“日志”-》“日志策略”-》“流量日志策略”中点击“新增”审计ID：80记录目标：远程接受主机192.168.1.1240在日志主机192.168.1.240上安装接收syslog日志的日志管理软件即可收到来自UTM的日志。

日志收集方案三：将审计ID 80产生的日志以邮件形式发往特定邮箱首先设定用来发送日志的邮件帐号信息，UTM将用该帐号向指定的邮箱地址发送日志邮件。

在“日志”-》“日志目标设置”-》“日志邮件发送服务器”邮件服务器地址：发送邮件服务器的地址在“日志”-》“日志目标设置”-》“日志接收邮箱列表”中点击“新增”邮箱地址：填入要将日志信息发往的邮箱地址需求二、1）对PPPOE域开启异常流量防护功能，并对检测到的异常流量进行日志记录。

2）使用IPS模块对流经UTM的BT和QQ应用进行封锁，并对违规的流量进行日志记录。