网神SecGate3600防火墙用户手册解析

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

网神SecGate至中神通UTMWALL的功能迁移手册更多产品迁移说明：网神SecGate 3600安全网关（UTM）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上,经过12个月的精心研发, 专门为大型单位的分支机构和中小企业打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御网关系统。

武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品，有硬件整机、OS软件、虚拟化云网关等三种产品形式，OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成，每个APP都有配套的在线帮助、任务向导、视频演示和状态统计，可以担当安全网关、防火墙、UTM、NGFW等角色，胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任，具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点，是云计算时代的网络安全产品。

以下是两者之间的功能对比迁移表：网神SecGate 3600功能项页码中神通UTMWALL v1.8功能项页码1 导言10A功能简介82 登录安全网关WEB界面23B快速安装指南93 首页29 1.1 系统概要/仪表盘174 系统配置332系统管理47 4.1 系统配置>>系统时钟33 2.5 本地时间564.2 系统配置>>升级许可35 2.1 许可证2.7 升级管理47 604.3 系统配置>>导入导出37 2.6 配置管理58 4.4 系统配置>>报警邮箱39 2.1 许可证管理员邮箱47 4.5 系统配置>>日志服务器40 1.14 系统日志434.6 系统配置>>域名服务器41 3.7 DNS解析805 管理配置432系统管理47 5.1 管理配置>>管理方式43 3.1 网卡设置67 5.2 管理配置>>管理主机44 2.2 初始设置管理主机49 5.3 管理配置>>管理员帐号46 2.8 帐号口令62 5.4 管理配置>>管理员证书49 2.8 帐号口令625.5 管理配置>>集中管理51 4.6 SNMP服务916 网络配置553网络设置673.1 网卡设置3.1 网卡设置3.4 网桥设置5.7 总控策略策略路由3.1 网卡设置监控缺省网关3.5 双机热备3.1 网卡设置6.5 DNS代理过滤4.1 ARP服务4.1 ARP服务3.6 路由设置4.3 DHCP服务3.1 网卡设置DHCP方式10 IPSEC VPN10.1 IPSEC VPN总体设置10.3 IPSEC VPN网关10.3 IPSEC VPN网关10.4 IPSEC VPN连接10.3 IPSEC VPN网关10.2 IPSEC VPN本机设置11.1 SSL接入11.2 SSLVPN总体设置9.1 PPTP总体设置5基础策略5基础策略5.1 地址对象5.7 总控策略6.5 DNS代理过滤6.8 WEB代理过滤6.15 FTP代理过滤6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤5.2 时间对象5.5 QoS对象6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤<见下>5.7 总控策略5.6 NAT策略5.6 BINAT策略5.6 DNAT策略5.6 DNAT策略6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤4.1 ARP服务6.2 特殊应用功能设置5.7 总控策略内置7.7 IPS状态调用阻拦URL 7 入侵检测与防御WEB分类7 入侵检测与防御5.6 DNAT策略6.4 WEB审计过滤WEB审计日志5.4 会话对象3.5 双机热备8用户认证8.1 认证方法8.2 用户8.3 用户组1.13 测试工具1状态统计1.11 会话状态1.8 流量统计1.12 实时监控5.7 总控策略包过滤日志3.5 双机热备1.14 系统日志1.15 日志统计1.3 系统状态1.5 网卡状态10.4 IPSEC VPN连接状态1.7 ARP状态9.2 PPTP用户状态4.3 DHCP服务租用状态1.10 在线主机1.14 系统日志1.10 在线主机1.5 网卡状态缺省路由IP1.7 ARP状态1.13 测试工具1.14 系统日志4.1 ARP服务ARP日志3.6 路由设置1.2 源IP功能统计参考文件：1. 网神SecGate 3600安全网关WEB界面手册（388页）2. 中神通UTMWALL网关管理员手册。

1.1. 网神防火墙secgate 3600-4106H配置
1.从光盘安装证书：双击该证书，按提示进行安装，密码为“123456”，其它按默认
即可安装成功。

2.使用证书：从内网访问，在IE浏览器中输入：https://192.168.0.254:8889即可
管理防火墙，从DMZ区访问，在IE浏览器中输入：https://192.168.1.254:8889即
可管理防火墙，用户名：admin，密码：firewall
3.现场登陆网神防火墙
用RJ45网线直接连接网神防火墙的GE1口，自己电脑网卡地址设定为
10.50.10.44，掩码为255.255.255.0，然后打开IE浏览器，敲入地址
https://10.50.10.45:8889,即登陆网神防火墙管理页面。

用户名：admin，密码：firewall
也可以通过网络来管理防火墙设备：https://172.25.50.253:8889即登陆网神防火墙
管理页面。

用户名：admin，密码：firewall
4.定义防火墙服务，增加我们所需要通过防火墙的端口：80，端口的添加在对象定
义→服务→服务列表。

服务名我们命名为：server-port，如图：
5.设置服务组对象，将第2步定义好的服务端口server-port以及用做测试的ICMP
服务放入我们定义的service-group组当中，便于我们在策略中的引用。

如图
6.引用此服务组，使其我们定义3个端口服务生效，在安全策略→安全规则中添加，
如图我们将第3步定义好的服务组名在策略中引用
7.保存配置，点击右上方保存配置此选项，使之防火墙在掉电重启后所做策略不会
丢失。

如图。

2网神SECSIS 3600安全隔离与信息交换系统产品常见应用场景说明错误!未定义书签。

数据库安全同步解决方案................................................ 错误!未定义书签。

安全邮件收发解决方案.................................................. 错误!未定义书签。

安全文件交换解决方案.................................................. 错误!未定义书签。

安全FTP访问解决方案.................................................. 错误!未定义书签。

安全浏览解决方案...................................................... 错误!未定义书签。

3准备工作................................................. 错误!未定义书签。

了解实际用户网络环境或主机环境 ........................................ 错误!未定义书签。

网络环境............................................................. 错误!未定义书签。

主机环境............................................................. 错误!未定义书签。

了解实际用户应用及安全需求............................................ 错误!未定义书签。

业务模式............................................................. 错误!未定义书签。

技术白皮书网神SecGate 3600防火墙本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品功能说明 (4)2.1自适应的网络接入模式 (4)2.2完善的状态包过滤 (5)2.3全面的NAT地址转换 (5)2.4全面灵活的连接限制 (6)2.5病毒过滤 (6)2.6邮件过滤 (7)2.7VPN功能 (7)2.8强大的抗攻击能力 (8)2.9Web过滤 (9)2.10用户认证 (9)2.11与IDS联动 (10)2.12入侵防御IPS (10)2.13双机热备和高可用性HA (11)2.14全面的系统监控 (11)2.15丰富、安全的管理方式 (11)2.16分级权限的安全管理 (12)2.17完善的系统升级 (12)2.18系统配置的导入导出 (12)3产品技术优势 (13)3.1领先的SecOS安全协议栈 (13)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (14)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600防火墙（简称:“网神防火墙）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

一、设备出厂默认配置1、设备接口出厂默认IP地址：2、Web管理员账号与密码3、CLI命令行（SSH、串口、Telnet方式）二、首次设备管理1、使用Web UI管理NSG设备连接示意与管理过程（1）使用网线接入NSG设备的GE1接口，并连接管理终端（PC）设备。

（2）将管理终端（PC）网卡设置为自动获取IP地址。

NSG将自动分配管理端IP地址。

（3）打开IE或其他浏览器，在地址栏中输入设备缺省管理地址：http://172.16.16.16。

（4）出现NSG管理界面，输入账号：admin；密码：admin注意：NSG设备WEB管理最低要求浏览器版本为IE7。

三、配置防火墙功能购买NSG产品后，我们需要将NSG根据网络环境拓扑，部署于网络中，此时我们需要配置NSG的防火墙功能，使得新增NSG设备后的网络链路访问畅通。

1、根据拓扑配置NSG，要求从LAN区域主机可访问互联网。

配置步骤如下：（1）配置LAN（局域网）区域网络接口进入“网络”→“接口”页面，选择所要作为LAN（局域网）区域的接口，进行编辑：✓区域：选择“LAN”区域✓IP赋值方式：选择“静态”方式✓IP地址：根据网络拓扑配置LAN接口IP地址192.168.0.1✓子网掩码：根据网络环境配置✓主/从DNS：请根据实际配置（2）配置WAN（互联网）区域网络接口进入“网络”→“接口”页面，选择所要作为WAN（互联网接口）区域的接口，进行编辑：✓区域：选择“WAN”区域✓IP赋值方式：选择“静态”方式✓IP地址：根据网络拓扑配置WAN接口IP地址10.10.10.2✓子网掩码：根据网络环境配置✓主/从DNS：请根据实际配置✓网关名称：定义出口下一跳网关的名称✓IP地址：填写WAN接口的下一条网关地址，如拓扑10.10.10.1（3）配置防火墙规则通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG接口信息。

此时网络流量还不允许通过NSG设备，需要继续配置防火墙规则。

⽹神Secgate3600安全⽹关产品功能使⽤⼿册声明服务修订：●本公司保留不预先通知客户⽽修改本⽂档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，⽆论明⽰或默⽰，不作其它任何担保，包括（但不限于）本⼿册中推荐使⽤产品的适⽤性和安全性、产品的适销性和适合某特定⽤途的担保。

●本公司对于您的使⽤或不能使⽤本产品⽽发⽣的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个⼈损害或商业损失或任何其它损失。

版权信息：●任何组织和个⼈对本公司产品的拥有、使⽤以及复制都必须经过本公司书⾯的有效授权。

⽹神信息技术（北京）股份有限公司⽬录⽬录 (2)导⾔ (12)1.本⼿册适⽤对象 (12)2.⼿册章节组织 (12)3.相关参考⼿册 (13)第⼀章系统配置 (14)1.1配置系统时钟 (14)1.2配置管理⽅式 (15)1.3配置管理主机 (16)1.4配置管理员 (17)1.5配置管理员证书 (21)1.6配置集中管理 (22)1.6.1集中管理概述 (22)1.6.2配置案例：集中管理 (24)1.7配置导⼊导出 (44)1.8配置升级许可 (46)1.9配置⽇志服务器 (50)1.9.1 ⽇志服务器概述 (50)1.9.2 配置案例：⽇志服务器 (51)1.10配置域名服务器 (54)1.11配置报警邮箱 (55)1.11.1 报警邮箱概述 (55)1.11.2 配置案例：报警邮箱 (56)第⼆章⽹络配置 (62)3.1 ⽹络接⼝ (62)3.1.1配置接⼝基本配置 (62)3.1.3 配置⼦接⼝ (67)3.1.4 配置桥接⼝ (69)3.1.5 配置channel⼝ (70)3.1.6 配置vlan (72)3.2 静态路由 (73)3.2.1 ⽬的路由 (73)3.2.2 策略路由 (74)3.3 动态路由 (78)3.3.1动态路由概述 (78)3.3.2 RIP设置 (79)3.3.3 OSPF设置 (81)3.3.4 BGP配置 (85)3.3.5 DEBUG信息 (86)3.11.5 配置案例：动态路由 (87)3.4 多播路由 + IGMPSNOOPING (88)3.4.1配置案例 (88)3.5 虚拟系统 (90)3.5.1 虚拟系统配置案例 (90)3.6 DNS中继 (93)3.6.1 DNS中继概述 (93)3.6.2 配置案例：DNS中继 (94)3.7链路探测................................................................................. 错误！未定义书签。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述 (1)二、安全网关硬件描述 (2)三、安全网关安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)2.1 温度／湿度要求 (3)2.2 洁净度要求 (4)2.3 抗干扰要求 (4)3．安装 (4)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接安全网关 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与安全网关 (10)5．认证管理员身份 (10)6．登录安全网关WEB界面 (10)7．许可证导入 (12)8．WEB界面配置向导 (14)六、常见问题解答FAQ (21)一、概述SecGate 3600安全网关缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

安装安全网关之前，请您务必阅读本指南的“二、三”两节。