三未信安服务器密码机-用户技术手册_v2.1
ssl链路加密机操作手册
ssl链路加密机操作手册第一章操作环境准备在使用SSL链路加密机之前,需要确保以下条件满足:1. 服务器硬件:确保服务器硬件符合操作要求,包括处理器、内存等配置。
2. 操作系统:选择适合的操作系统版本,并完成相关配置。
3. 客户端支持:确保客户端浏览器支持SSL协议,并进行相应配置。
第二章安装和初始化2.1 安装步骤a) 下载SSL链路加密机安装包,并解压到指定目录。
b) 执行安装包中的安装程序,按照提示完成安装过程。
2.2 初始化过程a) 打开安装目录下的初始化工具。
b) 进行设备初始化配置,包括设备密码、管理员账号等信息。
第三章配置SSL链路加密机3.1 系统配置a) 登录管理员账号,进入系统配置界面。
b) 配置系统的基本参数,如IP地址、子网掩码等。
3.2 证书管理a) 生成自签名证书,并将其导入SSL链路加密机。
b) 导入CA颁发的证书,并进行相应配置。
3.3 密钥管理a) 生成密钥对,并将其导入SSL链路加密机。
b) 对密钥进行管理和安全保护。
第四章 SSL链路加密4.1 SSL配置a) 登录管理员账号,进入SSL链路加密配置界面。
b) 配置SSL链路加密的相关参数,包括加密算法、证书选择等。
4.2 配置虚拟主机a) 添加虚拟主机,并为其分配SSL证书。
b) 配置虚拟主机的加密策略和安全选项。
4.3 应用部署a) 配置应用服务器,使其能够与SSL链路加密机进行通信。
b) 部署应用程序,并验证SSL链路加密效果。
第五章监控与维护5.1 监控配置a) 配置监控参数,包括日志记录、告警设置等。
b) 监控实时状态,及时发现并解决问题。
5.2 系统维护a) 定期备份SSL链路加密机相关数据。
b) 及时更新系统补丁,确保系统安全性。
5.3 故障排查与恢复a) 对系统故障进行排查,找出原因并采取相应措施。
b) 在故障发生后进行恢复操作,并进行相应的测试和验证。
第六章安全性考虑6.1 访问控制a) 配置访问权限,限制非授权人员的访问。
深信服终端威胁防护系统 XDR 用户手册说明书
深信服终端威胁防护系统XDR 用户手册产品版本 3.2.26文档版本01发布日期2020-09-14深信服科技股份有限公司版权所有©深信服科技股份有限公司2020。
保留一切权利。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
前言关于本文档本文档针对深信服终端威胁防护系统XDR产品,介绍了XDR的架构、特性、安装和运维管理。
产品版本本文档以下列产品版本为基准写作。
(示例)后续版本有配置内容变更时,本文档随之更新发布。
读者对象本手册建议适用于以下对象:●网络设计工程师●运维人员符号约定在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
修订记录修订记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
资料获取您可以通过深信服官方网站获取产品的最新资讯:获取安装/配置资料、软件版本及升级包、常用工具地址如下:深信服科技深信服技术服务技术支持用户支持邮箱:*******************.cn技术支持热线电话:400-630-6430(手机、固话均可拨打)深信服科技服务商及服务有效期查询:https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题,可以通过以下方式联系我们。
紫光恒越技术有限公司 HDM 服务器用户指南说明书
UNIS服务器 HDM用户指南紫光恒越技术有限公司资料版本:6W102-20220525Copyright © 2021-2022 紫光恒越技术有限公司及其许可者版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
除紫光恒越技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其他原因,本手册内容有可能变更。
UNIS保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。
本手册仅作为使用指导,UNIS尽全力在本手册中提供准确的信息,但是UNIS并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
前言本手册介绍了HDM的登录方法,以及如何通过HDM查看设备信息,进行设备健康诊断、网络配置、安全管理、远程控制、电源功耗管理与设备维护等内容。
前言部分包含如下内容:•读者对象•本书约定•资料意见反馈读者对象本手册主要适用于如下工程师:•网络规划人员•现场技术支持与维护人员•负责服务器配置和维护的管理员本书约定1. 命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
[ ] 表示用“[ ]”括起来的部分在命令配置时是可选的。
{ x | y | ... }表示从多个选项中仅选取一个。
[ x | y | ... ]表示从多个选项中选取一个或者不选。
{ x | y | ... } *表示从多个选项中至少选取一个。
[ x | y | ... ] *表示从多个选项中选取一个、多个或者不选。
&<1-n>表示符号&前面的参数可以重复输入1~n次。
# 由“#”号开始的行表示为注释行。
2. 图形界面格式约定格式意义< > 带尖括号“< >”表示按钮名,如“单击<确定>按钮”。
UNIS R3800 G3 服务器用户指南说明书
UNIS R3800 G3服务器用户指南北京紫光恒越网络科技有限公司资料版本:5W101-20180404Copyright © 2018 北京紫光恒越网络科技有限公司及其许可者版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
UNIS为北京紫光恒越网络科技有限公司的商标。
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其他原因,本手册内容有可能变更。
紫光恒越保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。
本手册仅作为使用指导,紫光恒越尽全力在本手册中提供准确的信息,但是紫光恒越并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
环境保护本产品符合关于环境保护方面的设计要求,产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。
前言UNIS R3800 G3服务器用户指南各章节内容如下:•第1章安全。
介绍操作设备时的安全信息、注意事项、静电防护及设备上的安全标识。
•第2章认识R3800 G3。
介绍R3800 G3的外观、特性规格、部件、面板、指示灯及各个接口。
•第3章安装和拆卸R3800 G3。
介绍如何安装和拆卸R3800 G3,包括安装流程、安装规划和最佳环境、工具准备及外部线缆连接。
•第4章上电和下电。
介绍R3800 G3的上电和下电方法。
•第5章配置R3800 G3。
介绍R3800 G3安装完毕并初次上电后,对其进行软件配置的过程。
•第6章安装扩展部件。
介绍R3800 G3可能需要安装的部件及安装方法。
•第7章更换部件。
介绍R3800 G3有哪些可更换的部件,以及部件更换的详细操作步骤。
•第8章布线。
介绍R3800 G3部件的内部线缆连接方法。
•第9章日常维护指导。
介绍R3800 G3日常维护方法。
•附录。
介绍R3800 G3的部件规格、工作环境温度规格、帮助信息、术语及缩略语。
SSL VPN用户手册
SSL VPN用户手册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-800 810 5119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 1995-2008天融信®商标声明 本安装手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信®信息反馈目录1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3文档基本内容 (1)1.4约定 (2)1.5相关文档 (2)1.6技术服务体系 (2)2用户登录/退出 (4)2.1初次登录网关 (4)2.2用户主界面介绍 (13)2.3用户密码修改 (15)2.4用户退出 (16)3内网资源应用 (17)3.1W EB转发 (17)3.2端口转发 (18)3.3全网接入 (19)3.4文件共享 (20)1前言安装天融信SSL VPN引擎的网络卫士防火墙,具备一切SSL VPN网关的功能,可作为一台标准的SSL VPN网关使用。
SSL VPN网关的普通用户可以在授权范围内进行资源访问。
被授权的普通用户可以通过客户端浏览器直接与网关建立连接,从而实现对内部被授权资源的访问。
本手册主要介绍天融信SSL VPN网关的普通用户操作部分说明。
主要内容包括:用户登录和内网资源的使用。
通过阅读本文档,用户可以根据访问权限在远程使用系统设置的各种资源。
1.1文档目的本文档主要介绍普通用户如何使用SSL VPN网关,普通用户可以在本文档的指导下远程登录网关,并进行各种资源的应用。
1.2读者对象本文档适用普通的具有基本网络知识的用户阅读,通过阅读本文档,可以独自完成以下应用操作:¾登录SSL VPN网关¾使用Web转发资源¾使用端口转发资源¾使用全网接入资源¾使用文件共享资源1.3文档基本内容本用户手册包含以下章节及附录:z第一章“前言”。
密码机管理配置步骤及说明_中文
4.1 GK
产生主密钥成份卡 1(脱机下使用)
脱机>GK
LMK 成份集 [1-9]: 1 输入秘密值 A: **************** 输入秘密值 B: **************** 输入秘密值 C: **************** 输入日期时间(yymmddHH): 09022716 输入授权口令: 插入已格式化好的空白 IC 卡,并输入密码: ****** 正在保存主密钥成份... 主密钥成份已正确保存 ... 主密钥成份校验值: 7543 01FA BEBD 4A0F
按照 yymmddHH 格式正确输入,例如:09050112;
授权口令
为授权口令,如 CS 配置中设置了 IC 方式授权,则此项无效不需输入;
产生主密钥成份卡 2
步骤同上,LMK 成份集 项输入 2; 产生主密钥成份卡 3
步骤同上,LMK 成份集 项输入 3;
每张成份卡建议重复操作两次,比对校验值是否一致,一致则说明秘密值的输入正确,成份 卡与纸版 LMK 管理表内容一致有效。
本地主密钥奇偶错!
脱机>
各选项说明:
密码机安全参数属性解析
缺省
个人标识码(PIN)长度
明文个人标识码长度,4~12 个字符
6
回显(oN/oFf)
配置回显属性,管理终端上输入口令或秘密数据时是否回显
F
Atalla ZMK 变 种 支 持
是否支持 Atalla ZMK 变种;一般设置为 Off。
F
(oN/oFf)
按回车键,终端上显示“联机>”,表明成功连接上,此后可对密码机进行管理操作,; 密码机启动后默认为联机状态,若后面的管理操作中被提示“命令不允许执行”,则需 将密码机置入脱机状态:密码机后面板有一脱机开关,插入脱机开关钥匙转动一下即可;
深信服科技有限公司SANGFOR_AD_6.4_设备管理_序列号_用户配置指导书说明书
SANGFOR_AD_6.4_设备管理_序列号_用户配置指导书深信服科技有限公司文档编号AD_CONF_07_01审核huangbing修订记录版本时间修订内容1.02016年7月目录1说明 (1)1.1文档说明 (1)1.2缩写和标志说明 (1)1.3使用反馈 (1)2应用场景 (2)3模块介绍及运用 (2)3.1设备管理 (2)3.1.1管理网口 (2)3.1.2日期/时间 (4)3.1.3配置备份与恢复 (5)3.1.4关机/重启 (7)3.1.5WebConsole (8)4序列号 (12)4.1应用分析授权 (14)4.2安全分析授权 (14)5用户 (16)1说明1.1文档说明本文档深信服公司及其许可者版权所有,并保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式出版传播。
由于产品版本升级或其他原因,本手册内容有可能变更。
深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。
本手册仅作为使用指导,深信服尽全力在本手册中提供准确的信息,但是并不确保手册内容完全没有错误。
1.2缩写和标志说明本文中AD均指应用交付管理系统。
本文还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:小心、注意:提醒操作中应注意的事项,不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。
说明、提示、窍门:对操作内容的描述进行必要的补充和说明1.3使用反馈如果您在使用过程中发现本资料的任何问题,欢迎及时反馈给我们,可以通过反馈到深信服技术支持论坛:用户支持邮箱:*******************.cn技术支持热线电话:400-630-6430感谢您的支持与反馈,我们将会做的更好!2应用场景方便现场部署和网络维护人员了解如何登陆和管理AD设备;掌握设备配置的备份与恢复;在设备界面简单调试AD。
了解设备开通了哪些授权以及可以使用设备具体功能和对应功能的应用场景。
深信服终端检查响应平台 EDR 用户手册说明书
深信服终端检测响应平台EDR 用户手册产品版本 3.5.18文档版本01发布日期2022-2-14深信服科技股份有限公司深信服终端检查响应平台EDR用户手册密级:公开版权声明版权所有©深信服科技股份有限公司2022。
保留一切权利(包括但不限于修订、最终解释权)。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
特别提示您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新,如有变更,恕不另行通知。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保,深信服科技股份有限公司不对本文档中的遗漏、变更及错误所导致的损失和损害承担任何责任。
联系我们售前咨询热线:400-806-6868售后服务热线:400-630-6430(中国大陆)深信服科技官方网站:7*24小时智能客服,排障咨询好帮手:https:///plugin.php?id=common_plug:online&ref=文档符号说明在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
目录目录 (iv)1.产品概述 (1)1.1.产品简介 (1)1.2.关键特性 (2)2.首次上线 (3)2.1.准备工作 (3)2.1.1.管理端安装环境 (3)2.1.2.客户端安装环境 (3)2.1.3.网络连通性要求 (4)2.1.4.收集白名单文件 (5)2.2.管理端部署 (5)2.2.1.软件管理端部署 (5)2.2.2.硬件管理端部署 (9)2.3.产品激活 (11)2.3.1.销售授权激活 (12)2.3.2.试用授权激活 (21)2.4.分组管理 (25)2.5.策略配置 (26)2.5.1.白名单配置 (26)2.5.2.安全策略配置 (27)2.6.终端部署 (30)2.6.1.Windows系统部署 (30)2.6.2.Linux服务器部署 (45)2.6.3.MAC OS部署 (49)2.6.4.终端Agent部署成功确认 (53)3.管理端使用 (54)3.1.管理端登录 (54)3.2.首页展示 (54)3.3.终端管理 (64)3.3.1.终端分组管理 (64)3.3.2.终端清点 (74)3.3.3.终端发现 (78)3.3.4.策略中心 (79)3.4.微隔离 (119)3.4.1.业务梳理 (119)3.4.2.创建对象 (119)3.4.3.策略配置 (122)3.4.4.流量查看 (123)3.5.威胁检测 (124)3.5.1.终端病毒查杀 (124)3.5.2.终端漏洞查补 (127)3.5.3.终端基线检查 (130)3.6.响应中心 (133)3.6.1.威胁响应 (133)3.6.2.漏洞响应 (136)3.6.3.远程运维 (139)3.7.日志报表 (139)3.7.1.安全日志 (140)3.7.2.联动日志 (140)3.7.3.运维日志 (141)3.7.4.操作日志 (141)3.7.5.风险报告 (141)3.8.系统管理 (142)3.8.1.联动管理 (143)3.8.2.分支管控 (199)3.8.3.账号管理 (205)3.8.4.授权管理 (210)3.8.5.系统设置 (214)4.Agent使用 (226)4.1.Windows系统Agent使用 (226)4.1.1.首页展示 (226)4.1.2.安全中心 (226)4.1.3.病毒查杀 (227)4.1.4.漏洞防护 (230)4.1.5.实时防护 (231)4.1.6.系统工具 (233)4.1.7.设置中心 (233)4.1.8.安全日志 (237)4.1.9.隔离区/信任区 (238)4.1.10.托盘 (239)4.2.MAC OS Agent使用 (241)4.2.1.病毒查杀 (241)4.2.2.隔离区 (242)5.产品升级 (243)5.1.新版本升级 (243)5.2.安全补丁更新 (245)5.3.病毒库升级 (248)5.4.漏洞规则库升级 (249)6.高危操作 (250)7.FAQ (252)7.1.安装部署 (252)7.2.病毒查杀 (254)7.3.微隔离 (256)7.4.终端Agent卸载 (257)7.4.1.Windows系统卸载Agent (257)7.4.2.Linux服务器卸载Agent (258)7.4.3.管理端卸载Agent (258)7.5.其它 (259)8.缩略语 (260)1.产品概述终端检测响应平台EDR(Endpoint Detection and Response)是深信服公司提供的一套终端安全解决方案,方案由轻量级端点安全软件Agent和管理端组成。
网神SecGate 3600 防火墙用户手册簿
声明服务修订:●本公司保留不预先通知客户而修改本文档所含内容的权利。
有限责任:●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。
网神信息技术(北京)股份有限公司目录导言、概述 (13)第一章、基于web管理界面 (14)1.web管理界面页面 (15)2.Web管理界面主菜单 (17)3.使用web管理界面列表 (18)4.在web管理界面列表中增加过滤器 (19)4.1 包含数字栏的滤波器 (21)4.2 包含文本串的滤波器 (21)5.在web管理界面列表中使用页面控制 (22)5.1 使用栏设置来控制显示栏 (24)5.2 使用带有栏设置的过滤器 (25)6.常用web管理界面任务 (25)6.1 连接到web管理界面 (26)6.2 连接到web管理界面 (27)7.修改当前设定 (28)7.1 修改您SecGate管理员密码 (29)7.2 改变web管理界面语言 (29)7.3 改变您SecGate设备管理路径 (30)7.4 改变web管理界面空闲运行时间 (31)7.5 切换VDOMs (31)8.联系客户支持 (31)9.退出 (32)第二章、系统管理 (32)1. 系统仪表板 (32)1.1 仪表板概述 (34)1.2 添加仪表板 (34)1.3 系统信息 (37)1.4 设备操作 (45)1.5 系统资源 (47)1.6 最多的会话 (49)1.7 固件管理条例 (53)1.8 备份您的配置 (54)1.9 在升级前测试固件 (57)1.10 升级您的SecGate设备 (61)1.11 恢复到以前的固件镜像 (65)1.12 存储您的配置 (71)使用虚拟域 (74)2. 系统网络 (80)2.1 配置接口 (83)2.2 配置区域 (95)2.3 配置网络选项 (97)2.4 配置SecGateDNS服务 (99)2.5 配置显式网络代理 (107)3. 系统动态主机设置协议服务器(DHCP) (117)3.1 SecGate DHCP服务器和中继 (118)3.2 配置DHCP服务 (119)3.3查看地址租借 (125)4.系统配置 (126)4.1 HA (127)4.2 简单网络管理协议(SNMP) (141)4.3 替换信息 (157)4.4 操作模式和虚拟域管理入口 (166)5.系统管理 (170)5.1 管理员 (171)5.2 管理资料 (189)5.3 设置 (194)5.4 SecGateIPv6支持 (199)6. 系统认证 (207)6.1 本地证书 (208)6.2 CA证书 (217)第三章、路由 (219)1. 路由静态 (219)1.1 路由概念 (221)1.2 如何建立路由表 (221)1.3 如何做出路由判定 (222)1.4 多路径路由以及决定最佳路线 (223)1.5 路线优先 (225)1.6 黑洞路由 (226)2. 静态路由 (227)2.1 使用静态路由 (227)2.2 默认路由和默认网关 (232)2.3 添加静态路由至路由表 (235)3. 等值多路径路由协议(ECMP)路由失败备援及负载均衡 (237)3.1 ECMP路由同步会话至相同目标IP地址 (240)3.2 配置溢出或基于使用ECMP (241)3.3 从CLI中添加权重至静态路由 (251)4. 策略路由 (254)5. 路由信息协议(RIP) (262)5.1 RIP页面 (262)5.2 RIP网页网络部分 (263)5.3 RIP网页的接口部分 (264)5.4 高级RIP选项 (265)5.5 RIP-启用接口 (268)6. 开放式最短路径优先(OSPF) (270)6.1 定义OSPF自主系统—概览 (271)6.2 基本OSPF设置 (272)6.3 OSPF页面 (272)6.4 OSPF页面的区域部分 (273)6.5 OSPF页面网络部分 (274)6.6 OSPF页面的接口部分 (275)6.7 高级OSPF选项 (276)6.8 OSPF页面高级选项 (276)6.9 定义OSPF区域 (278)6.10 OSPF网络 (281)6.11 OSPF接口的运行参数 (282)7. 边界网关协议(BGP) (286)7.1 BGP页面 (287)7.2 BGP页面领域部分 (288)7.3 BGP页面网络部分 (289)8. 多路广播 (289)8.1 覆盖接口多路广播设置 (292)8.2 多路广播目标NAT (294)9. 双向转发检测(BFD) (295)9.1 配置BFD (296)10. 路由器监控 (300)10.1 查看路由信息 (301)10.2 查找SecGate路由表 (305)第四章、防火墙 (306)1. 策略 (307)1.1 身份识别防火墙策略 (323)1.2 中心网络地址转换(NAT)表 (334)1.3 互联网协议第六版(IPv6)策略 (336)1.4 拒绝服务(DoS)策略 (336)2. 地址 (341)2.1 地址列表 (341)2.2 地址组 (344)3. 服务 (348)3.1 预定义服务器列表 (348)3.2 定制服务 (359)3.3 定制化服务组 (361)4. 时间表 (363)4.1 循环时间表列表 (364)4.2 一次性时间表列表 (366)4.3 时间表组 (368)5. 流量整形器 (370)5.1 共享流量整形器 (371)5.2 Per-IP模式流量整形 (374)6. 虚拟IP地址 (376)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (376)6.2 虚拟IP地址 (377)6.3 虚拟域IP地址(VIP)组 (382)6.4 IP地址池 (384)7. 负载均衡功能 (386)7.1 虚拟服务器 (387)7.2 有效服务器 (397)7.3 健康检查监控器 (399)7.4 监控服务器 (402)第五章、UTM (403)1.拒绝服务(DoS)感应器 (404)2.SYN代理 (408)3.SYN界限(使用一个DoS感应器防止SYN泛滥) (409)4.了解异常状况 (409)第六章、虚拟专用网(IPsec VPN) (411)1.IPSec VPN概述 (412)2.策略性对路由型虚拟专用网络(VPN) (415)3.自动交换密钥(IKE) (418)3.1 第一阶段配置 (419)3.2 第一阶段高级配置设定 (426)3.3 第二阶段配置 (433)3.4 第二阶段高级配置设定 (434)4.人工密钥 (440)4.1 新人工密钥配置 (441)5.集中器 (447)6.监控虚拟专用网络(VPN) (449)7.安全套接层虚拟专用网络(SSL VPN) (452)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (453)7.2 基本配置步骤 (455)7.3 配置(Config) (457)7.4 界面 (460)7.5 界面设定 (464)7.6 界面小部件 (465)7.7 安全套接层虚拟专用网络(SSL VPN)监控器列表 (467)第七章、用户 (468)1.用户 (469)1.1 本地用户账户 (469)1.2 身份认证设置 (472)2.用户组 (475)2.1 防火墙型用户组 (478)2.2 安全套接层虚拟专用网络(SSL VPN)型用户组 (479)3.远程 (481)3.1 RADIUS (482)3.2 轻量级目录访问协议(LDAP) (486)3.3 TACACS+ (491)4.监控 (493)4.1 防火墙用户监控表 (494)第八章、日志与报告 (498)1.日志与报告概述 (499)2.什么是日志? (500)2.1 日志类型和分类型 (501)3.示例 (505)日志信息 (505)4.SecGate如何储存日志 (506)4.1 远程存储到系统日志服务器 (507)4.2 本地存储到内存 (510)4.3 本地存储到硬盘 (511)5.事件日志 (512)5.1 告警电子邮件 (514)6.接入并查看日志信息 (517)导言、概述SecGate 3600防火墙缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。
博华网龙信息安全一体机用户手册v3.0
安全在芯 自主可控 博华网龙防火墙用户手册湖南中科博华科技有限公司Copyright 2002-2012目 录版权声明 (4)第一章 博华网龙防火墙技术概述 (5)第二章 博华网龙防火墙具体操作步骤 (6)1 登录 (6)2 系统管理 (9)2.1系统升级 (10)2.2备份恢复 (10)2.3出厂设置 (12)2.4重启系统 (12)2.5系统设置 (13)2.6 授权管理 (13)2.7 应用层控制升级 (14)2.8龙芯一体机配置 (14)3.接口管理 (15)3.1物理接口 (16)3.2逻辑接口 (19)3.3 VLAN接口 (20)3.4桥接设置 (21)3.4.1 添加桥 (21)3.4.2 添加桥所属成员(接口) (22)3.4.3 桥接口规则 (23)4.防火墙 (23)4.1状态过滤 (24)4.2地址转换 (25)4.2.1源地址转换 (26)4.2.2目的地址转换 (28)4.2.3防火墙的二次穿越 (29)4.3 全局策略 (31)4.4 防攻击 (32)4.5 IP MAC绑定 (32)4.6信任主机 (33)4.7 网络参数 (34)4.8 NAT ALG (36)4.9 ARP 扫描 (36)5路由管理 (37)5.1静态路由 (37)5.2策略路由 (38)5.3 ospf动态路由 (39)6 服务管理 (41)6.1服务对象 (41)6.2网络对象 (43)6.3 MAC对象 (45)6.4 URL对象 (45)6.5 ALC 对象 (47)6.6 关键字过滤 (48)6.7 MAIL对象 (49)6.8服务组 (49)7 QOS管理 (49)7.1 QOS 对象 (50)7.2 QOS规则 (51)7.3 流量统计 (51)8 SSL VPN管理(举例说明) (54)8.1 密钥管理 (55)8.2 网龙防火墙网络互连 (58)8.3 龙芯防火墙与公司现有产品相连(X86防火墙) (61)8.4 VPN状态 (62)9 IPSEC VPN (63)9.1 通道管理 (63)9.2 全局设置 (67)10 HA管理 (68)11.WEB服务器代理 (69)12 应用管理 (70)12.1 SNMP管理 (70)12.2 DHCP管理 (71)12.3 PPPOE管理 (73)12.4 PPPOE服务器管理 (75)13 用户管理 (75)13.1 添加用户 (75)13.2 密码设置 (76)14 系统日志 (77)14.1 日志控制 (77)14.2 授权日志 (77)15系统诊断 (77)16系统状态 (78)16.1 系统信息 (78)16.2 接口统计 (79)16.3 流量分析 (80)16.4 诊断分析 (81)16.5 IP流量 (81)16.6 路由表 (82)16.7 ARP信息 (82)17 FAQ (83)版权声明本手册系湖南中科博华科技有限公司自主研发生产的软件系统(与国产龙芯芯片)硬件级网络防火墙系统,其版权受《中华人民共和国版权法》保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
签名私钥:用于签名计算的私有密钥。
加密私钥:用于实现数据保密性的私有密钥。
私钥访问控制码:用于获取私钥使用权限的口令字。
对称密钥/秘密密钥:在采用对称密码技术时,一组特定实体使用的密钥。
会话密钥:密钥管理中的最低一层密钥,这种密钥只在一次会话和一个受限时间内使用,比如终端上的一次用户会话,完毕就销毁。
6.2
登录管理员或登录操作员。
在登录时请根据卡片标示的方向插入管理员口令卡并输入IC卡保护口令(PIN)。
<!>安全提示:在出厂时所有用户卡的保护口令均被初始化为“12345678”,为保证系统的安全性,请及时通过“修改用户口令”功能修改该口令。
6.3
在“用户登录”页面中有用户注销的选项,可以通过执行该功能释放管理员权限或操作员权限。
k)服务参数配置
详细参考“8服务管理”的“修改服务配置”部分。
l)备份与恢复
详细参考“7密钥管理”的“备份和恢复”部分。
m)销毁密钥
详细参考“7密钥管理”的“销毁密钥”部分。
4
4.1
a)打开密码机包装,对照“装机清单”,检查设备配件是否齐全。
b)从包装箱中取出密码机主机,并将设备固定到安装位置。
c)使用电源线连接电源。
<!>安全提示:当某张管理员卡丢失或认为其安全性存在隐患时,可通过“删除管理员”及“增加管理员”功能更新管理员。
6.5
6.5.1
根据卡片标识的方向插入操作员口令卡,并输入IC卡保护口令(PIN),即可完成新增操作员功能。
<!>安全提示:为保证设备的可扩展性,本设备支持1个以上的操作员,但标准配置为1个操作员。
5.3
可以查看和修改设备的网络配置参数,如IP地址、网关等。
<i>提示:当修改了IP地址时,点击重启网络后需要关闭当前管理窗口,重新连接到新的地址。
<i>提示:部分型号配备了双网口,“网口1”用于密码服务,“网口2”用于设备管理。
5.4
修改管理界面登陆时的口令。
6
6.1
选择“权限管理”或“用户登录”页面,即可查看当前管理员或操作的登录状态。
e)ECC密钥管理:产生安全应用系统需要的ECC签名密钥对或加密密钥对并保存在密码设备内部。
密钥生成成功后显示如下:
点击“下一步”进入生成对称密钥界面。
f)对称密钥管理:产生安全应用系统需要的对称密钥并保存在密码设备内部。
密钥生成成功后显示如下:
点击“下一步”进入网络配置界面。
g)网络配置:查看或修改设备的网络配置参数。
密钥部件(密钥分量):至少两个随机或伪随机产生的、有密码密钥特点(例如,格式,随机性)的参数之一,其中密码密钥由一个或多个这样的参数组合而成。例如,通过模2加的方法形成一个密码密钥。
密钥分割:将密钥分给多人掌管,并且必须有一定人数的掌管密钥的人同时到场才能恢复密钥。
密钥加密密钥(KEK):用于对会话密钥或文件密钥进行加密时采用的密钥。又称辅助(二级)密钥(Secondary Key)或密钥传送密钥(key Transport key)。通信网中的每个节点都分配有一个这类密钥。
d)打开密码机电源开关,启动密码机。
4.2
a)准备一台PC机作为管理终端,使用网线连接到密码机的“网口2”或“网口”
b)修改管理终端的IP地址,与密码机IP地址为同一个网段。密码机默认地址为:
IP地址:192.168.10.12
子网掩码:255.255.255.0
<i>提示:为防止密码机预设IP地址与现有网络中的IP地址冲突,请先采用管理终端和密码机直连的方式修改IP地址后再接入工作或测试网络。
<!>安全提示:该密码设备在设计时支持1到5个管理员,为保证密码设备的安全性及可靠性,建议设置3个管理员。
<!>安全提示:在出厂时所有用户卡的保护口令均被初始化为“12345678”,为保证系统的安全性,请及时通过“修改用户口令”功能修改该口令。
6.4.2
在“用户管理”页面,点击“删除”,即可完成管理员删除。
c)增加操作员:用于启动密码服务,增加1个操作员(标准配置)。
操作员IC卡默认PIN口令为12345678,输入口令,点击增加操作员。成功增加操作员后进入生成RSA密钥对界面。
d)RSA密钥管理:产生安全应用系统需要的RSA签名密钥对或加密密钥对并保存在密码设备内部。
密钥生成成功后显示如下:
点击“下一步”进入生成ECC密钥对界面。
密码应用系统通过调用密码机提供的标准API函数来使用密码机的服务,密码机API与密码机之间的调用过程对上层应用透明,应用开发商能够快速的使用密码机所提供的安全功能。密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范(试行)》标准接口规范,通用性好,能够平滑接入各种系统平台,满足大多数应用系统的要求,在应用系统安全方面具有广泛的应用前景。
数据加密和解密:支持SM1、SM4和SSF33等国产算法的ECB和CBC模式的数据加密和解密运算,同时也支持3DES、AES等国际通用算法。
消息鉴别码的产生和验证:支持基于SM1、SM4、SSF33、3DES、AES等算法的MAC产生及验证。
数据摘要的产生和验证:支持SM3、SHA-1、SHA224、SHA256、SHA384、SHA512等杂凑算法。
安全密钥存储:保证关键密钥在任何时候不以明文形式出现在设备外,密钥备份文件也受到专用备份密钥的保护。
支持连接密码及白名单:通过连接密码和白名单的支持,实现了密码机对应用服务器的授权认证,进一步提高了系统的安全性。
密钥使用授权:每对RSA/ECC密钥对对应一个授权保护码,以保证不同密码应用系统调用同一台密码设备时的密钥安全性。
f)RSA密钥管理
详细参考“7密钥管理”的“RSA密钥管理”部分。
g)ECC密钥管理
详细参考“7密钥管理”的“ECC密钥管理”部分。
h)对称密钥管理
详细参考“7密钥管理”的“对称密钥管理”部分。
i)网络配置
详细参考“5系统管理”的“查看/修改网络配置”部分。
j)启动/停止服务
详细参考“8服务管理”的“启动/停止服务”部分。
<i>提示:安装向导中对网络配置和服务配置所作的修改需要重启密码机才能生效。
<i>提示:重新启动密码机时请将操作员卡插入设备中。
5.1
可查看厂商信息、设备编号、系统版本、支持算法等信息。
<i>提示:使用密码机过程中遇到问题需要技术支持时,提供以上信息将会帮助我们更快解决问题。
5.2
可以查看和修相改设备维护方面的关信息。
a)初始化密码机:清空所有密钥及管理信息。
点击销毁密钥按钮:
点击确定销毁密码机内的密钥信息和权限信息。密码机初始化成功后进入增加管理员界面。
b)增加管理员:为保证设备的安全性、可靠性,及正常使用所有功能,建议设置3个管理员(标准配置)。
管理员IC卡默认PIN口令为12345678,输入口令,点击增加管理员。成功增加三个管理员后进入增加操作员界面。
本公司依中华人民共和国著作权法享有及保留一切著作之专属权力未经北京三未信安科技发展有限公司事先书面同意不得对本手册有增删改编翻印改造或仿制的行为
三未信安服务器密码机
用户
北京三未信安科技发展有限公司
V2.2
欢迎使用
Copyright (c) 2010 sansec
版权所有
本出版物的内容将做不定期性的变动,且不会另行通知。更改的内容将不会补充到本出版物。且会在本手册发行新版本时予以付梓印刷。本公司不做任何明示或默许担保,其中包括本手册的内容的适售性或符合特定使用目的的默许担保。
数字签名的产生和验证:可以根据需要利用内部存储的RSA/ECC密钥对或外部导入RSA/ECC私钥对请求数据进行数字签名。
数字信封功能:支持基于RSA/ECC密码算法的数字信封功能,并支持由内部密钥保护到外部密钥保护的数字信封转换功能。
物理随机数的产生:采用由国家密码管理局批准使用的物理噪声源产生器芯片生成的真随机数。
用户访问权限控制:具有用户管理功能,提高了密码设备自身的安全性。
密钥备份及恢复:支持基于秘密共享技术的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性。
1.3
支持多种操作系统:应用服务器与密码机之间采用TCP/IP协议进行通信,可支持多种主流的操作系统,如MS Windows系列,Linux系列,Solaris、AIX、HP-UX等Unix操作系统。
点击“下一步”进入服务配置界面。
h)配置服务信息:修改服务启动参数。
点击“下一步”进入白名单管理界面。
i)对客户机授权:修改服务授权白名单,进行访问控制。
点击“下一步”进入密钥备份界面。
j)备份密钥信息:将密钥等重要信息加密后备份到文件中并妥善保管。
k)重启密码机:为确保所有设置已经生效,建议重新启动密码机。
2
设备编号:设备标签上的产品序号,是由生产日期、生产批次、流水号组成的一串数字编号,与设备型号组合使用可唯一标识某一密码设备。
设备型号:国家密码管理机构批准使用的密码产品型号。
数字信封:一种数据的封装方式,在该方式下使用数据加密密钥保护数据,使用接收者加密公钥保护数据加密密钥。
数字签名:附加在数据上的签名数据,或是对数据所作的密码变换,用以确认数据来源及其完整性,防止被他人伪造或者签发者否认。
支持标准接口:密码机API接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范(试行)》标准接口规范,通用性好。同时支持PKCS#11、MS-CSP、JCE等国际标准接口。
三层密钥结构:采用“系统保护密钥-用户密钥(卡内RSA/ECC密钥对/KEK)-会话密钥”的三层密钥保护结构,保证用户密钥及应用系统的安全性。