网神SecVSS 3600漏洞扫描系统销售一纸禅v1.0-【19.4.1】(1)

1、前言为了更好有助于网神SecVSS3600漏洞扫描系统新版本的销售，特制订本销售指南。

本指南主要针对公司销售和售前人员。

通过本指南可以有效的针对如何使用报价单，如何选择产品、如果通过产品名称的定制运作、如何去推产品方案以及典型的应用2、政策导向2.1四部委联合发文2017月6月9日，由四部委联合起草的“网络关键设备和网络安全专用产品目录”正式发布，其中网络脆弱性扫描产品在产品目录中。

2.1等级保护2011年公安部发布了《信息安全等级保护信息安全等级保护管理办法》（简称：等级保护）。

其中，等级保护分为5个级别。

●第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

●第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

●第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

●第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害近几年，随着国家对网络安全越来越重视，国有央企、部委、省级政府、市级政府等相关政府行业都按照等级保护的三级标准进行安全建设，等级保护三级中涉及关于漏洞扫描产品的相关规定如下：类别子类测评内容网络安全恶意代码防范应在网络边界处对恶意代码进行检测和清除应维护恶意代码库的升级和检测系统的更新主机安全身份鉴别操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换访问控制应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令应用安全恶意代码防范主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库2.2分级保护国家保密局在2006年发布了BMB17《涉及国家秘密的信息系统分级保护技术要求》，在2007年发布了BMB20《涉及国家秘密的信息系统分级保护管理规范》，BMB17技术要求和BMB20管理规范的发布，组成了保密局的“分级保护”。

网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底，成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势，网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的S e c G a t e3600（S J W79-A/B）系列V P N安全网关产品。

该系列V P N安全网关采用国家密码管理局指定的加密算法，支持国家I P S e c V P N标准协议，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品，可全部覆盖高中低端网络应用，涉及通用领域和县乡通信专用领域，同时还提供自主研发的V P N客户端软件。

二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式，不仅支持网关－网关模式，还支持网状网模式和星型组网，支持基于路由的V P N应用,可十分方便进行纵向组网，这对于具有三级以上网络的行业专网非常合适；网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案，形成自主组网。

2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时，也支持基于动态I P地址的V P N 网关，方便使用A D S L接入方式的用户构建自己的V P N网络；可以实现基于策略和基于路由的V P N，大小网络环境都可适应；网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通， 同时支持S S L V P N网关功能，支持标准的B/S、C/S连接。

3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式，以及基于这些方式的V P N应用，如N A T的穿越等；支持网关到客户端、客户端到网关多种移动用户上网方式；产品支持全面的防火墙访问控制功能，支持N A T、动态协议解析和带宽控制，支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。

网神SecIPS 3600入侵防御系统产品白皮书
1 产品概述
网神SecIPS 3600基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

2 产品特点
⏹灵活的部署方式。

网神SecIPS 3600支持IDS（旁路接入）、学习模式（串接，检测而
不防御）、连通优先、防御优先等四种工作模式，部署灵活方便，极大提高了产品的可用性。

⏹准确的攻击阻断。

网神SecIPS 3600融合了基于状态的模式匹配、基于协议的解码分
析、基于行为异常的检测、基于漏洞存在的检测、被动的操作系统及应用指纹识别、智能IP重组、蠕虫检测与隔离等新一代的检测分析技术，配合优秀的签名库，能够准确识别并实时阻断各种恶意攻击，确保网络安全可靠。

⏹丰富的管理和报表功能。

网神SecIPS 3600支持对多台探测器的集中管理（策略下发、
组件监控、事件收集等），提供多达40余种的统计报表模版，向导式的自定义报表，组建间加密通信，极大方便用户的使用，减少管理工作量。

3 主要功能
4 产品型号与技术指标
5 产品形态
6 产品资质
公安部销售许可证。

网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

二、产品亮点1.深度检测，多种技术融合融合多种检测技术，有效检测并阻止多种已知的和未知的攻击；应用层上的数据包重组、检测分析，以阻挡越来越多的应用层攻击行为；S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。

2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。

S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。

S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100%的检测准确率和几乎为零的误报率。

3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。

硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。

S e c I P S3600依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。

4.高可靠、可扩展S e c I P S3600支持失效开放（F a i l b y p a s s）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (12)4产品资质................................................................................ 错误!未定义书签。

1产品概述网神SecIPS 3600入侵防御系统（简称：“网神IPS”）将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。

配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。

从而，很好地提供了动态、主动、深度的安全防御。

2产品特点网神IPS的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。

以下分别介绍这两大部分。

高效的体系结构在平台优化的核心技术方面，主要有以下三个方面。

1）零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝，有效地减少内存存取次数。

2）核心层优化所有报文的解析与比对都由核心层（Kernel）进行，完全不用通过核心层与应用层之多余的转换，因此不用进行内存拷贝，从而有效地减少内存存取次数。

3）硬件特征比对网神特征比对引擎是一款能直接比对特征码格式，引擎比对速度高达4Gbps。

相对于一般只对报文内容进行文字搜索的作法，引擎同时整合了第四层的特征内容，减少了处理器额外比对并且有效降低误判，且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元，能高速进行对比并且不会有规则存储导致硬件满载的风险。

目录1产品概述 (2)2产品特点 (2)3主要功能 (4)4产品形态............................................................................... 错误！未定义书签。

5产品资质 (14)1产品概述针对互联网病毒、蠕虫，黑客攻击行为的增多，网神SecIDS 3600 入侵检测系统在监测网络流量的基础上，集成对这些信息的控制和实时响应功能，为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能，帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析，构建安全可靠的信息网络。

2产品特点⏹强大的分析检测能力：采用了先进的入侵检测技术体系，结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击，使系统能够准确快速地检测各种攻击行为，并显著地提高了系统的性能，能够适应日益复杂的网络环境。

⏹超低的误报率和漏报率：采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术，提供业界超低的误报率和漏报率。

⏹丰富的统计报表：能够给用户提供丰富的动态图形报表，有超过40种的分析报表模版和向导式的用户自定义报表功能。

⏹良好的可管理性：优化的三层分布式体系架构设计，分级部署，集中控制，全远程智能升级。

能够提供图形化的风险评估、事件显示和资产配置，以及图形化的网络流量状态的实时监控。

⏹基于工作域的管理模式:SecIDS 3600 v4.0采用基于工作域的全新管理模式，用户可以按照传感器部署的位置或组织结构的要求等条件，将整个入侵检测系统划分为不同工作域。

在不同的工作域里，可以根据需要部署不同的组件。

工作域之间可以是平行或上下级的关系，上一级的工作域拥有比下一级工作域更多的管理权限。

系统具有唯一的全局工作域，负责对整个系统进行管理。

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSSL 3600安全接入网关产品白皮书文档版本号V6.3.1扩散范围销售/售前/客服/渠道商/用户作者陈蛟日期2011/04/06初审人宋伟复审人王思登●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3产品功能 (5)4产品型号与指标 (10)5产品形态 (11)6产品资质 (14)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，网神SSL VPN 的基于代理主机的，它通过终止网络边缘的连接而提供一个附加的安全层。

网神SecGate 3600防火墙企业级产品投标参数主要功能项目技术要求备注硬件规格网络接口支持4个10/100/1000M自适应电口标准1U机箱，单电源支持本地Console管理支持远程AUX拨号管理性能要求★吞吐率≥1Gbps并发连接数≥180万支持可扩展VPN隧道数≥5000条新建连接速率≥40,000/秒延时≤25μs功能要求★基于自主研发的SecOS安全操作系统，无通用操作系统漏洞，完整实现基于状态检测的智能包过滤支持透明模式、纯路由模式、混合模式支持SIP/H.323/H.323网守/Ftp/等动态协议支持MMS/RTSP等多媒体协议提供透明网关式应用代理支持Http/Ftp/Telnet/SMTP/POP3/自定义代理支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持服务器负载均衡H3C、深信服不支持★支持多纯透明子桥和接口联动竞争对手都不支持支持对时间和接口的带宽控制，可实现最大带宽管理，可设置最小保证带宽方正和东软不支持★支持设定网段内共享的或者任一地址的新建连接限制方正、H3C、天融信、启明不支持★支持设定网段内共享的或者任一地址的并发连接限制方正、东软、H3C、天融信不支持支持数据包内容过滤，URL黑白名单过滤，垃圾邮件过滤东软不支持垃圾邮件过滤★支持URL日志记录支持IP/MAC地址绑定和自动探测天融信、启明不支持自动探测支持策略路由，提供目的地址路由、源地址路由支持基于服务的策略路由东软、方正不支持★支持多路由负载均衡（≥6条），可以根据链路探测结果自动进行链路切换竞争对手都不支持★支持基于应用（ARP/PING/TCP/HTTP)的链路探测竞争对手都不支持★支持PPPOE协议，提供多条ADSL（≥3）同时拨号和自动负载均衡方式竞争对手都不支持★具备内置独立的入侵防护IPS功能，并支持IPS规则库单独升级东软、联想网御不支持★有效抵御各种DoS/DDoS攻击，可识别和防御syn flood、icmp flood、udp flood、tcp scan、udp scan、ping sweep、teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、ip 流攻击、ip时间戳等攻击圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、ip 流攻击、ip时间戳等天融不支持，深信服只支持抗DDOS 攻击★具备内置病毒过滤模块，并支持病毒规则库升级东软、H3C不支持防病毒★具备独立蠕虫过滤功能，对sobig, ramen, welchia, agobot, opaserv, blaster, sadmind, slapper，novarg, slammer, zafi, bofra, dipnet等主流蠕虫病毒的识别、过滤和拦截方正、动软、H3C、深信服、天融信不支持，联想网御支持下面8种blaster，nachi，nimda，redcode，sasser，slapper，sqlexp，zotob支持动态路由协议（OSPF、RIP），可参与动态路由协商联想网御不支持RIP，东软、深信服不支持动态路由★可自动检测网段内IP地址冲突，并报警竞争对手都不支持支持与主流IDS产品联动支持802.1Q VLAN协议，支持STP、PVST，可适应多种网络拓扑结构和VLAN环境提供防火墙集中管理系统，提供日志管理和日志审计软件方正没有日志服务器H3C不支持集中管理管理员身份认证支持电子钥匙认证和证书认证天融信不支持电子钥匙H3C不支持电子钥匙支持TELNET管理方式★提供与应用服务无关的用户认证H3C不支持本地用户认证和基于硬件KEY 的认证★提供基于Web/Portal的无客户端认证H3C、东软、方正不支持★WEB重定向(域名/URL路径重定向) 除联想网御外不支持★支持系统资源(CPU/内存/连接数/网口流量)最近20分钟、1小时、3小时、8小时、1天、2天、3天、4天、5天、6天到一周的历史统计除联想网御外不支持★支持TCP状态统计，能够详细统计出TCP连接总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的连接数数量及占总TCP连接数的比例支持超级管理员/策略管理员/配置管理员/审计管理员,多级管理天融信没有策略管理员，东软只支持3级管理员★内置安全助手功能，方便管理员了解内网状况竞争对手都不支持★支持活动主机探测，并能根据探测结果自动生成资源对象和安全策略★支持开放服务探测，并能根据探测结果自动生成资源对象和安全策略★支持服务版本探测★支持操作系统探测★支持≥32个管理主机IP的限制联想网御最多支持6个管理主机支持采用中文对象名定义对象支持对象定义与安全策略配置单独导入导出竞争对手都不支持支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/th under等P2P软件的禁止天融信只支持BT/EMULE /eDonkey支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P软件的禁止带宽限制天融信只支持BT/EMULE /eDonkey，启明不支持带宽限制支持对即时通信软件（MSN,QQ,Skype）的使用限制★支持对迅雷客户端软件和WEB迅雷进行有效的禁止支持实时连接状态监控支持对实时连接的中断支持DHCP服务器/中继及客户端★支持DNS中继竞争对手都不支持★支持DNS中继自动寻找上级DNS服务器竞争对手都不支持支持基于策略的IPSec VPN功能★支持基于路由的IPSec VPN功能联想网御、启明、东软、H3C不支持★支持双VPN隧道相互热备份及负载均衡功能联想网御、启明、东软、H3C不支持支持VPN的NAT穿越支持VPN的X-AUTH扩展本地认证方正、东软、H3C不支持支持VPN的X-AUTH扩展RADIUS认证方正、东软、H3C不支持支持LDAP证书获取方式方正、东软、H3C不支持★支持Web界面导出调试信息功能★可支持SSLVPN功能东软、方正不支持★基于域名的包过滤东软、方正、H3C不支持支持防火墙双机热备使用VRRP协议实现多台防火墙集群和负载均衡东软和方正不支持负载均衡支持HA自动配置同步和实时状态同步支持VPN隧道的SA实时同步资质要求★公安部销售许可证★国家保密局涉密信息系统产品检测证书★军B+级信息安全产品认证证书H3C、深信服没有，所有外资企业没有★计算机软件多核并行著作权登记证书都没有★国家密码管理局商用密码产品销售许可证H3C等外资企业没有★国家信息安全产品3C证书★市场占有率2008年CCID前三，并具备证书★创新产品证书都没有。

网神SecSSL 3600安全接入网关系统产品白皮书网御神州科技（北京）有限公司目录1 产品概述 (3)2 产品特点 (3)3 产品功能 (7)4 产品型号及指标 (12)4.1 SSLVPN主机系统介绍 (12)4.2 SSLVPN辅件介绍 (17)5 产品资质与荣誉 (18)1 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品，是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。

通过对接入受控网络的主机进行全面的安全状态检查和修复，再加上细粒度的动态授权机制，SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。

系统也能够在用户访问结束后，根据安全策略的设置清除遗留在远程主机本地的数据，真正做到了“零”痕迹。

利用创新的智能终端识别和链路质量侦测技术，SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。

SecSSL 3600确保用户可以利用任意平台，随时随地安全及快速的访问内部资源，是目前企/事业单位远程及内网安全网络接入的最佳选择。

网神SecSSL 3600系列安全接入网关系统针对的应用环境包括（但不局限于）下列描述：●电子商务交易平台●电子政务应用系统●ERP 、CRM、SCM、OA、财务、人力资源、物流管理等应用系统●MySQL、SQL Server、Oracle等各种数据库系统●网上银行●网络图书馆的远程安全接入和访问●电子邮件系统●协同设计系统●关键内部业务应用系统等2 产品特点●无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。

由于SSL VPN 使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。

●不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统，或者部署了一些服务来满足自己的需要，例如，使用Outlook的日历安排功能安排会议，为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

网御神州SecIPS 3600入侵防护系统产品白皮书V1.0 网御神州科技（北京）有限公司版权信息©版权所有2001－2007，网御神州科技（北京）有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属网御神州科技（北京）有限公司所有，受国家有关产权及版权法保护。

如何个人、机构未经网御神州科技（北京）有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息网御神州，Legend，Legendsec等标识及其组合是网御神州科技（北京）有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

网御神州科技有限公司总部（北京）Legendsec Technologies Inc.北京市海淀区上地信息产业基地开拓路7号先锋大厦2段1层100085电话（TEL）：+86(10)62972892传真（FAX）：+86(10)62972896技术热线（Customer Hotline）：400-610-8220(7×24小时)公司网站：目录1前言 (4)2网御神州IPS (5)2.1系统架构 (6)2.2工作模式 (8)2.3主要功能 (10)2.4产品特点 (14)2.4.1高效的硬件体系结构 (14)2.4.2实时的入侵检测防护 (15)2.4.3丰富的上网行为管理 (18)2.4.4强大的抗DoS/DDoS (21)2.4.5动态的异常流量管理 (22)2.4.6精准的带宽管理功能 (24)2.4.7实用的多重冗余功能 (24)2.4.8方便的管理方式 (26)3解决方案 (28)3.1外网防御解决方案 (28)3.2服务器群保护解决方案 (29)3.3上网行为管理解决方案 (29)3.4内外兼具解决方案 (30)1 前言近几年来，随着网络与信息化建设的飞速发展，信息安全问题也越来越广泛，导致用户对安全设备的需求也越来越高。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (21)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (23)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (24)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (25)第二章、系统管理 (25)网神信息技术（北京）股份有限公司1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (29)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (42)1.9 在升级前测试固件 (44)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (54)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (72)2.3 配置网络选项 (74)2.4 配置SecGateDNS服务 (75)2.5 配置显式网络代理 (81)3. 系统动态主机设置协议服务器(DHCP) (89)3.1 SecGate DHCP服务器和中继 (90)3.2 配置DHCP服务 (91)3.3查看地址租借 (95)4.系统配置 (96)网神信息技术（北京）股份有限公司4.1 HA (97)4.2 简单网络管理协议（SNMP） (107)4.3 替换信息 (120)4.4 操作模式和虚拟域管理入口 (127)5.系统管理 (130)5.1 管理员 (131)5.2 管理资料 (145)5.3 设置 (149)5.4 SecGateIPv6支持 (153)6. 系统认证 (158)6.1 本地证书 (159)6.2 CA证书 (166)第三章、路由 (168)1. 路由静态 (168)1.1 路由概念 (169)1.2 如何建立路由表 (170)1.3 如何做出路由判定 (170)1.4 多路径路由以及决定最佳路线 (171)1.5 路线优先 (172)1.6 黑洞路由 (173)2. 静态路由 (174)2.1 使用静态路由 (174)2.2 默认路由和默认网关 (178)2.3 添加静态路由至路由表 (179)网神信息技术（北京）股份有限公司3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (181)3.1 ECMP路由同步会话至相同目标IP地址 (184)3.2 配置溢出或基于使用ECMP (184)3.3 从CLI中添加权重至静态路由 (192)4. 策略路由 (194)5. 路由信息协议（RIP） (200)5.1 RIP页面 (200)5.2 RIP网页网络部分 (201)5.3 RIP网页的接口部分 (202)5.4 高级RIP选项 (202)5.5 RIP-启用接口 (205)6. 开放式最短路径优先（OSPF） (207)6.1 定义OSPF自主系统—概览 (207)6.2 基本OSPF设置 (208)6.3 OSPF页面 (208)6.4 OSPF页面的区域部分 (209)6.5 OSPF页面网络部分 (210)6.6 OSPF页面的接口部分 (210)6.7 高级OSPF选项 (211)6.8 OSPF页面高级选项 (211)6.9 定义OSPF区域 (213)6.10 OSPF网络 (215)6.11 OSPF接口的运行参数 (216)7. 边界网关协议（BGP） (219)7.1 BGP页面 (220)网神信息技术（北京）股份有限公司7.2 BGP页面领域部分 (220)7.3 BGP页面网络部分 (221)8. 多路广播 (221)8.1 覆盖接口多路广播设置 (223)8.2 多路广播目标NAT (225)9. 双向转发检测（BFD） (225)9.1 配置BFD (226)10. 路由器监控 (229)10.1 查看路由信息 (230)10.2 查找SecGate路由表 (233)第四章、防火墙 (234)1. 策略 (234)1.1 身份识别防火墙策略 (247)1.2 中心网络地址转换（NAT）表 (254)1.3 互联网协议第六版(IPv6)策略 (256)1.4 拒绝服务（DoS）策略 (256)2. 地址 (259)2.1 地址列表 (260)2.2 地址组 (262)3. 服务 (264)3.1 预定义服务器列表 (265)3.2 定制服务 (273)3.3 定制化服务组 (274)4. 时间表 (276)网神信息技术（北京）股份有限公司4.1 循环时间表列表 (276)4.2 一次性时间表列表 (278)4.3 时间表组 (279)5. 流量整形器 (281)5.1 共享流量整形器 (281)5.2 Per-IP模式流量整形 (284)6. 虚拟IP地址 (285)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (286)6.2 虚拟IP地址 (286)6.3 虚拟域IP地址(VIP)组 (290)6.4 IP地址池 (292)7. 负载均衡功能 (293)7.1 虚拟服务器 (294)7.2 有效服务器 (301)7.3 健康检查监控器 (302)7.4 监控服务器 (305)第五章、UTM (306)1.拒绝服务（DoS）感应器 (306)2.SYN代理 (309)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (310)4.了解异常状况 (310)第六章、虚拟专用网(IPsec VPN) (312)1.IPSec VPN概述 (313)2.策略性对路由型虚拟专用网络(VPN) (314)网神信息技术（北京）股份有限公司3.自动交换密钥（IKE） (317)3.1 第一阶段配置 (318)3.2 第一阶段高级配置设定 (322)3.3 第二阶段配置 (328)3.4 第二阶段高级配置设定 (328)4.人工密钥 (333)4.1 新人工密钥配置 (334)5.集中器 (339)6.监控虚拟专用网络(VPN) (340)7.安全套接层虚拟专用网络(SSL VPN) (343)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (343)7.2 基本配置步骤 (344)7.3 配置（Config） (346)7.4 界面 (348)7.5 界面设定 (351)7.6 界面小部件 (351)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (353)第七章、用户 (354)1.用户 (355)1.1 本地用户账户 (355)1.2 身份认证设置 (357)2.用户组 (359)2.1 防火墙型用户组 (362)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (363)网神信息技术（北京）股份有限公司3.远程 (364)3.1 RADIUS (365)3.2 轻量级目录访问协议（LDAP） (368)3.3 TACACS+ (372)4.监控 (374)4.1 防火墙用户监控表 (374)第八章、日志与报告 (377)1.日志与报告概述 (378)2.什么是日志? (379)2.1 日志类型和分类型 (380)3.示例 (383)日志信息 (383)4.SecGate如何储存日志 (384)4.1 远程存储到系统日志服务器 (385)4.2 本地存储到内存 (387)4.3 本地存储到硬盘 (388)5.事件日志 (389)5.1 告警电子邮件 (390)6.接入并查看日志信息 (392)网神信息技术（北京）股份有限公司导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

1 1 漏洞扫描设备 1 143800 绿盟,设备参数：绿盟RSASNX3-X-C1、1U机架式硬件架构，含交流单电源，1*RJ45串口，1*GE管理口，4个10M/100M/1000M自适应以太网电口扫描口，4个千兆SFP插槽（不含SFP模块），配置提供1路授权扫描端口。

授权可扫描总数量为512个无限制范围的IP地址或域名。

2、允许并发扫描为60个IP地址，单个任务允许扫描的最大扫描范围为一个B类IP地址。

3、所投的绿盟RSASNX3-X-C界面友好，并有详尽的技术文档；所有的图形界面与文档资料均支持中英文；采用专门的硬件，使用基于嵌入式安全操作系统，保证系统的工作效率和自身安全性。

系统稳定可靠，无需额外存储设备即可运行，系统采用B/S设计架构，使用SSL加密通信方式，用户可以通过浏览器对产品进行远程管理。

4、提供并支持备份恢复，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够创建系统还原点进行备份和还原；支持扫描常见的网络安全客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞。

支持扫描常见的应用软件漏洞（如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器和各种P2P 下载软件）的安全漏洞；漏洞知识库具有漏洞信息15334条，并提供详细的漏洞描述和对应的解决方案；漏洞知识兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准，并提供CVECompatible证书，漏洞知识库和漏洞检测规则支持手动升级和自动升级，支持本地升级和在线升级，在线升级支持代理方式升级，提供每两周进行一次定期升级；支持Windows、Linux系统登录扫描，支持OVAL标准，进行精确漏洞扫描和新公布漏洞的快速扩展。

5、支持在扫描过程中手工指定包括SNMP、SMB等常见协议的登陆口令，登陆到相应的系统中对特定应用进行深入扫描。

防火墙WEBUI无法管理的问题处理一：常见原因WEBUI管理防火墙是目前防火墙管理的主要手段，当现场无法使用WEBUI管理设备的时候，请大家一定要按照文档建议进行故障分析，文档中的说明情况是根据多年处理类似问题的经验积累汇总而成，希望大家能够认真阅读文档，按照文档进行故障排查，基本可以解决市场上常见的关于WEBUI无法管理的问题，后续有的类似问题我会及时的补充到该文档中。

1.1：使用的浏览器1.2：使用的管理证书1.3：防火墙的管理证书1.4：管理电脑和防火墙的系统时间1.5：管理主机和管理地址1.6：磁盘空间是否满1.7：其它方面考虑事项二：排查过程2.1使用的浏览器答：一代墙和二代墙建议使用IE7/8/9三种浏览器，且操作系统为xp,win7,server2003的32位，其他系统位数或者浏览器可能存在兼容性问题，为了能够正常管理防火墙系统，建议使用厂商推荐的浏览器和系统版本；2.2使用的管理证书答：防火墙的管理证书有两种类型:一种管理证书有效期至2030/4/30，为现在正常使用的管理证书。

一种管理证书有效期截止2016/2/11，为已经过期的管理证书。

如果现在使用的证书有效截止日期仍然是2016年的用户，目前的情况下防火墙可能已经出现了无法管理的情况下，需要安装新的管理证书才能继续管理防火墙。

新证书名称“New-SecGateAdmin.p12”,新证书的安装密码111111，点击下一步即可完成注意：老证书的安装密码是1234562.3：更新防火墙系统证书更新防火墙系统证书的有两种方式，一种是通过升级包升级替换，另外一种方式是后台直接替换文件，如果是用户操作建议使用补丁包方式，如果是区域技术人员建议直接后台替换即可。

2.3.1：webui方式直接升级该种方式如果升级前系统版本是二代墙的版本时可以使用，去补丁包服务器下载补丁名称为“SecGate3600-fw-manage-cert-20141011”的补丁包，然后在防火墙的WEBUI界面中升级即可，对于已经无法WEBUI登陆的设备，可以通过修改管理主机和防火墙系统的系统时间来实现WEBUI的暂时管理。

网神SecGate3600核心级万兆防火墙产品概述网神SecGate3600防火墙核心级多核产品基于高性能、高稳定性的多核硬件平台和新一代多核并行SecOS安全操作系统，无通用操作系统漏洞，抗攻击能力强；突破了传统单核架构下性能瓶颈，在同时开启防火墙、VPN、IPS、AV、P2P限制等功能时仍能保证稳定性。

实现了在产品性能、功能、稳定性、易升级、易用性管理等方面的全面突破。

该系列产品已广泛应用于政府、金融、电力、教育、税务等行业的核心网络环境。

产品特点●独立安全协议栈：采用自主研发的SecOS，完整实现了状态检测包过滤/应用代理防火墙、入侵检测防护、防病毒、IPSec VPN、SSLVPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能，从而摆脱了通用操作系统束缚，无通用操作系统漏洞，不用被动地追随通用操作系统的升级而升级。

●高性能与高安全的多核架构：多核硬件架构与新一代多核并行安全操作系统SecOS相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多核处理器、减少串行比例、降低系统开销，保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

●深度内容安全检测：多核间相互分工协作，一部分核进行高速数据转发，并对常见的HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另一部分核实现快速重组数据包还原内容，进行深度安全检测。

从而可以实现大流量下的深度内容检测，完成P2P/IM协议识别与限制、入侵防护、病毒防护等功能。

●贴心的安全助手：系统集成了强大的安全助手，能够根据需要对内网主机、服务、端口、系统及版本进行扫描，实时获取内网状况，并可以根据扫描结果轻松设置对象及安全策略，大大降低了配置、维护的复杂度。

产品资质公安部销售许可证国家信息安全测评信息技术安全产品测评证书EAL1国家信息安全产品认证证书第二级国家保密局涉密信息系统产品检测证书军B+级信息安全产品认证证书计算机软件著作权登记证书网神多核并行安全操作系统软件著作权证书主要功能安全防御能力提供基于状态检测的动态包过滤支持SIP/H.323/H.323网守/FTP//MMS/RTSP/TFTP等动态协议支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持IP/MAC地址绑定和自动探测支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务提供透明网关式应用代理，提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等提供与应用服务无关的用户认证，提供基于Web/Portal的无客户端认证有效抵御各种DoS/DDoS攻击提供全面的内外网实时网络连接监控和实时中断，提供QoS带宽管理VPN 支持标准IPSec VPN，支持基于策略的VPN应用支持基于路由的双VPN隧道备份支持VPN的星型、网状等多种接入方式支持VPN远端状态探测DPD，支持遵守VPN客户端提案方式支持PPTP/L2TP 拨号VPN，支持SSL VPN网络适应能力支持透明/桥接/路由/混合模式支持多纯透明子桥和接口联动支持策略路由、基于服务的策略路由、目的地址路由、源地址路由和多（≥6）路由负载均衡支持动态路由RIPv1/v2和OSPF支持PPPOE协议，提供多（≥3）ADSL接入方式和自动负载均衡支持DHCP服务器/中继/客户端，支持DNS中继深度内容检测支持对URL进行过滤、网页内容过滤、黑名单、白名单，支持关键字导入支持BT/eDonkey/Kazaa等P2P软件限制支持对即时通信软件（MSN、QQ、Skype）限制防MAC欺骗和IP盗用支持病毒和蠕虫过滤支持多家IDS联动支持Web应用协议实时入侵防御阻断，支持IPS特征库升级高可用性能力支持防火墙双机热备支持防火墙多机负载均衡支持端口链路备份和负载均衡支持服务器负载均衡管理审计能力提供SecGateManager防火墙集中管理系统，提供灵活的软件升级方式提供强大的日志管理和日志审计支持防火墙系统的实时监控，支持网络监控及内外网实时连接状态监控支持桥转发表监控，支持界面调试信息导出功能支持配置向导产品型号与指标产品型号X100-8244 X100-8404 产品性能网络处理能力≥20G ≥20G最大并发连接数≥360万≥360万最大VPN隧道数8000 8000接口说明10/100/1000 Base-T 4个4个千兆SFP插槽4个N/A万兆SFP插槽2个4个异步串行管理接口1个1个远程配置管理接口1个1个硬件特征机箱2U 2U电源冗余电源冗余电源注：除指定型号外vpn隧道数需单独购买。