网神SecGate3600防火墙用户介绍书.doc

《网神SecGate3600防火墙用户介绍书.doc》由会员分享，可在线阅读，更多相关《网神SecGate3600防火墙用户介绍书.doc（398页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、|声明服务修订： 本公司保留不预先通知客户而修改本文档所含内容的权利。有限责任： 本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。版权信息： 任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。网神信息技术（北京）股份有限公司|目 录导言、概述 .10第一章、基于 web 管理界面 .101. web

2、管理界面页面 .122. Web 管理界面主菜单 .133. 使用 web 管理界面列表 .144. 在 web 管理界面列表中增加过滤器 .154.1 包含数字栏的滤波器 .164.2 包含文本串的滤波器 .175. 在 web 管理界面列表中使用页面控制 .185.1 使用栏设置来控制显示栏 .195.2 使用带有栏设置的过滤器 .206. 常用 web 管理界面任务 .206.1 连接到 web 管理界面 .216.2 连接到 web 管理界面 .227. 修改当前设定 .227.1 修改您 SecGate 管理员密码 .237.2 改变 web 管理界面语言 .247.3 改变您 Se

3、cGate 设备管理路径 .247.4 改变 web 管理界面空闲运行时间 .257.5 切换 VDOMs.258. 联系客户支持 .259. 退出 .26第二章、系统管理 .26|1. 系统仪表板 .261.1 仪表板概述 .271.2 添加仪表板 .271.3 系统信息 .301.4 设备操作 .351.5 系统资源 .371.6 最多的会话 .381.7 固件管理条例 .411.8 备份您的配置 .421.9 在升级前测试固件 .451.10 升级您的 SecGate 设备 .471.11 恢复到以前的固件镜像 .501.12 存储您的配置 .55使用虚拟域 .572. 系统网络 .63

4、2.1 配置接口 .652.2 配置区域 .742.3 配置网络选项 .762.4 配置 SecGateDNS 服务 .772.5 配置显式网络代理 .833. 系统动态主机设置协议服务器(DHCP) .913.1 SecGate DHCP 服务器和中继 .923.2 配置 DHCP 服务 .933.3 查看地址租借 .974. 系统配置 .98|4.1 HA .994.2 简单网络管理协议（SNMP） .1094.3 替换信息 .1224.4 操作模式和虚拟域管理入口 .1305. 系统管理 .1335.1 管理员 .1335.2 管理资料 .1475.3 设置 .1515.4 SecGat

5、eIPv6 支持 .1556. 系统认证 .1616.1 本地证书 .1626.2 CA 证书 .169第三章、路由 .1701. 路由静态 .1701.1 路由概念 .1711.2 如何建立路由表 .1721.3 如何做出路由判定 .1731.4 多路径路由以及决定最佳路线 .1731.5 路线优先 .1751.6 黑洞路由 .1762. 静态路由 .1762.1 使用静态路由 .1772.2 默认路由和默认网关 .1802.3 添加静态路由至路由表 .1823. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 .184|3.1 ECMP 路由同步会话至相同目标 IP 地址 .1863

6、.2 配置溢出或基于使用 ECMP.1873.3 从 CLI 中添加权重至静态路由 .1954. 策略路由 .1965. 路由信息协议（RIP） .2025.1 RIP 页面 .2035.2 RIP 网页网络部分 .2035.3 RIP 网页的接口部分 .2045.4 高级 RIP 选项 .2055.5 RIP-启用接口 .2076. 开放式最短路径优先（OSPF） .2096.1 定义 OSPF 自主系统 概览 .2096.2 基本 OSPF 设置 .2106.3 OSPF 页面 .2106.4 OSPF 页面的区域部分 .2116.5 OSPF 页面网络部分 .2126.6 OSPF 页面

7、的接口部分 .2126.7 高级 OSPF 选项 .2136.8 OSPF 页面高级选项 .2136.9 定义 OSPF 区域 .2156.10 OSPF 网络 .2176.11 OSPF 接口的运行参数 .2187. 边界网关协议（BGP） .2217.1 BGP 页面 .2227.2 BGP 页面领域部分 .222|7.3 BGP 页面网络部分 .2238. 多路广播 .2238.1 覆盖接口多路广播设置 .2258.2 多路广播目标 NAT.2269. 双向转发检测（BFD） .2279.1 配置 BFD.22810. 路由器监控 .23110.1 查看路由信息 .23110.2 查找

8、SecGate 路由表 .235第四章、 防火墙 .2361. 策略 .2361.1 身份识别防火墙策略 .2481.2 中心网络地址转换（NAT）表 .2551.3 互联网协议第六版(IPv6)策略 .2571.4 拒绝服务（DoS）策略 .2572. 地址 .2612.1 地址列表 .2612.2 地址组 .2633. 服务 .2663.1 预定义服务器列表 .2663.2 定制服务 .2743.3 定制化服务组 .2764. 时间表 .2774.1 循环时间表列表 .2784.2 一次性时间表列表 .279|4.3 时间表组 .2815. 流量整形器 .2825.1 共享流量整形器 .2

9、835.2 Per-IP 模式流量整形 .2856. 虚拟 IP 地址 .2866.1 虚拟 IP、负载均衡虚拟服务器和负载均衡有效服务器限制 .2876.2 虚拟 IP 地址 .2876.3 虚拟域 IP 地址(VIP)组 .2916.4 IP 地址池 .2937. 负载均衡功能 .2947.1 虚拟服务器 .2957.2 有效服务器 .3017.3 健康检查监控器 .3037.4 监控服务器 .306第五章、UTM .3061. 拒绝服务（DoS）感应器 .3072. SYN 代理 .3103. SYN 界限（使用一个 DoS 感应器防止 SYN 泛滥） .3104. 了解异常状况 .31

10、1第六章、虚拟专用网(IPsec VPN) .3121. IPSec VPN 概述 .3132. 策略性对路由型虚拟专用网络(VPN) .3153. 自动交换密钥（IKE） .3183.1 第一阶段配置 .319|3.2 第一阶段高级配置设定 .3233.3 第二阶段配置 .3283.4 第二阶段高级配置设定 .3294. 人工密钥 .3344.1 新人工密钥配置 .3355. 集中器 .3396. 监控虚拟专用网络(VPN) .3417. 安全套接层虚拟专用网络(SSL VPN) .3437.1 安全套接层虚拟专用网络(SSL VPN)概述 .3447.2 基本配置步骤 .3457.3 配置

11、（Config） .3467.4 界面 .3497.5 界面设定 .3527.6 界面小部件 .3527.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 .354第七章、用户 .3551. 用户 .3551.1 本地用户账户 .3561.2 身份认证设置 .3582. 用户组 .3602.1 防火墙型用户组 .3632.2 安全套接层虚拟专用网络（SSL VPN）型用户组 .3643. 远程 .3653.1 RADIUS .3663.2 轻量级目录访问协议（LDAP） .369|3.3 TACACS+ .3734. 监控 .3744.1 防火墙用户监控表 .375第八章、日志与报告 .

12、3781. 日志与报告概述 .3782. 什么是日志? .3792.1 日志类型和分类型 .3803. 示例 .383日志信息 .3834. SecGate 如何储存日志 .3844.1 远程存储到系统日志服务器 .3854.2 本地存储到内存 .3874.3 本地存储到硬盘 .3885. 事件日志 .3895.1 告警电子邮件 .3906. 接入并查看日志信息 .392|导言、概述SecGate 3600 防火墙缺省支持两种管理方式：（1） 通过 CONSOLE 口的命令行管理方式（2） 通过网口的 WEB（https）管理方式CONSOLE 口的命令行管理方式适用于对防火墙操作命令比较熟悉

13、的用户。WEB 方式更直观方便，为保证安全，WEB 方式连接之前需要对管理员身份进行认证。要快速配置使用防火墙，推荐采用 CONSOLE 口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。安装防火墙之前，请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用 WEB 方式管理防火墙，请您仔细阅读本指南的第五节。防火墙主要以两种模式接入网络：路由模式和混合模式。在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。第一章、基于 web 管理界面这部分描述了您的 SecGate 3600 系列防火墙设备中用户友好型 web管理界面管理界面（有时是图形化界面）。在管理电脑的浏览器上使用 HTTP 或安全的 HTTPS 连接，您就可以与SecGate web 管理界面相连来配置或管理 SecGate 设备。管理计算机推荐