网神secgate3600防火墙泰山红日系列产品单页精简版

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述 (1)二、安全网关硬件描述 (2)三、安全网关安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)2.1 温度／湿度要求 (3)2.2 洁净度要求 (4)2.3 抗干扰要求 (4)3．安装 (4)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接安全网关 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与安全网关 (10)5．认证管理员身份 (10)6．登录安全网关WEB界面 (10)7．许可证导入 (12)8．WEB界面配置向导 (14)六、常见问题解答FAQ (21)一、概述SecGate 3600安全网关缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

安装安全网关之前，请您务必阅读本指南的“二、三”两节。

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利，如果配置截图与实际产品界面有差异，以实际产品配置界面为准。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录1导言 (13)1.1.本书适用对象 (13)1.2.手册章节组织 (13)1.3.相关参考手册 (15)2登录安全网关WEB界面 (16)2.1管理员必读 (16)2.1.2.管理员电子钥匙 (16)2.1.2.管理员证书 (17)2.1.3.管理员配置管理 (17)2.2.管理员首次登录 (18)2.2.1. 登录WEB界面 (19)2.3.管理员再次登录 (21)3首页 (22)4系统配置 (25)4.1.系统配置>>系统时钟 (25)4.2.管理配置>>管理方式 (27)4.3.管理配置>>管理主机 (28)4.4.管理配置>>管理员帐号 (29)4.5.管理配置>>管理员证书 (33)网神信息技术（北京）股份有限公司4.6.管理配置>>集中管理 (35)4.7.系统配置>>导入导出 (39)4.8.系统配置>>升级许可 (42)4.9.系统配置>>日志服务器 (45)4.10.系统配置>>域名服务器 (46)4.11.系统配置>>报警邮箱 (47)5网络配置 (49)5.1.网络配置>> 网络接口 (49)5.1.1网络接口>>基本配置 (49)5.1.2网络接口>>接口IP (52)5.1.3.网络接口>>子接口 (55)5.1.4.网络接口>>桥接口 (57)5.1.5.网络接口>>channel (60)5.1.6.网络接口>>Vlan配置 (63)5.2.网络配置>>静态路由 (64)5.2.1.静态路由>>目的路由 (64)5.2.2.静态路由>>智能选路 (65)5.3 网络配置>>动态路由 (68)5.3.1 动态路由>>RIP设置 (69)5.3.2 动态路由>>OSPF设置 (73)5.3.3 动态路由>>BGP设置 (77)5.3.4 动态路由>>DEBUG设置 (79)5.4 网络配置>>多播路由 (80)5.4.1 多播路由>>多播配置 (80)网神信息技术（北京）股份有限公司5.4.2 多播路由>>多播监控 (82)5.4.3 多播路由>>PIM信息 (82)5.5网络配置>>DHCP配置 (83)5.5.1DHCP配置>>DHCP服务器 (83)5.5.2DHCP配置>>DHCP中继 (87)5.5.3 DHCP配置>>DHCP客户端 (88)5.6网络配置>>虚拟系统 (89)5.6.1虚拟系统>>虚拟系统管理 (90)5.6.2虚拟系统>>虚拟系统切换 (93)5.7网络配置>>ADSL拨号 (93)5.8网络配置>>DNS中继 (95)5.9网络配置>>WIRELESS_3G配置 (96)5.10网络配置>>链路探测 (98)5.11网络配置>>网口联动 (99)5.12网络配置>>静态ARP (100)5.13 网络配置>>静态桥转发表 (101)5.14 网络配置>>端口镜像 (103)6对象定义 (104)6.1对象定义通用功能介绍 (104)6.1.1分页显示 (105)6.1.2 查找 (106)6.1.3排序 (106)6.1.4添加 (107)61.5编辑（修改） (108)网神信息技术（北京）股份有限公司6.1.6删除 (109)6.1.7名称和备注 (110)6.2地址 (111)6.2.1地址>>地址列表 (111)6.2.2地址>>地址组 (113)6.2.3地址>>服务器地址 (114)6.2.4地址>>虚拟服务器地址 (117)6.2.5地址>>NAT地址池 (120)6.2.6地址>>域名列表 (121)6.2.7地址>>isp地址表 (122)6.3服务 (124)6.3.1服务>>服务列表 (124)6.3.2服务>>服务组 (136)6.4时间 (138)6.4.1时间>>时间列表 (138)6.4.2 时间>>时间组 (140)6.5保护内容列表 (141)6.6连接限制配置 (144)7防火墙 (145)7.1 安全规则 (145)7.1.1 包过滤规则 (155)7.1.2NAT规则 (159)7.1.3IP/端口映射规则 (163)7.2抗攻击 (167)网神信息技术（北京）股份有限公司7.3IDS联动 (175)7.4 IP/MAC绑定 (177)7.5 URL重定向 (184)8Ipv6 配置......................................................................................... 错误!未定义书签。

网神SecIPS 3600入侵防御系统产品白皮书
1 产品概述
网神SecIPS 3600基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

2 产品特点
⏹灵活的部署方式。

网神SecIPS 3600支持IDS（旁路接入）、学习模式（串接，检测而
不防御）、连通优先、防御优先等四种工作模式，部署灵活方便，极大提高了产品的可用性。

⏹准确的攻击阻断。

网神SecIPS 3600融合了基于状态的模式匹配、基于协议的解码分
析、基于行为异常的检测、基于漏洞存在的检测、被动的操作系统及应用指纹识别、智能IP重组、蠕虫检测与隔离等新一代的检测分析技术，配合优秀的签名库，能够准确识别并实时阻断各种恶意攻击，确保网络安全可靠。

⏹丰富的管理和报表功能。

网神SecIPS 3600支持对多台探测器的集中管理（策略下发、
组件监控、事件收集等），提供多达40余种的统计报表模版，向导式的自定义报表，组建间加密通信，极大方便用户的使用，减少管理工作量。

3 主要功能
4 产品型号与技术指标
5 产品形态
6 产品资质
公安部销售许可证。

网神SecSSL 3600安全接入网关系统产品白皮书网御神州科技（北京）有限公司目录1 产品概述 (3)2 产品特点 (3)3 产品功能 (7)4 产品型号及指标 (12)4.1 SSLVPN主机系统介绍 (12)4.2 SSLVPN辅件介绍 (17)5 产品资质与荣誉 (18)1 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品，是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。

通过对接入受控网络的主机进行全面的安全状态检查和修复，再加上细粒度的动态授权机制，SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。

系统也能够在用户访问结束后，根据安全策略的设置清除遗留在远程主机本地的数据，真正做到了“零”痕迹。

利用创新的智能终端识别和链路质量侦测技术，SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。

SecSSL 3600确保用户可以利用任意平台，随时随地安全及快速的访问内部资源，是目前企/事业单位远程及内网安全网络接入的最佳选择。

网神SecSSL 3600系列安全接入网关系统针对的应用环境包括（但不局限于）下列描述：●电子商务交易平台●电子政务应用系统●ERP 、CRM、SCM、OA、财务、人力资源、物流管理等应用系统●MySQL、SQL Server、Oracle等各种数据库系统●网上银行●网络图书馆的远程安全接入和访问●电子邮件系统●协同设计系统●关键内部业务应用系统等2 产品特点●无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。

由于SSL VPN 使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。

●不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统，或者部署了一些服务来满足自己的需要，例如，使用Outlook的日历安排功能安排会议，为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。

网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

二、产品亮点1.深度检测，多种技术融合融合多种检测技术，有效检测并阻止多种已知的和未知的攻击；应用层上的数据包重组、检测分析，以阻挡越来越多的应用层攻击行为；S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。

2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。

S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。

S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100%的检测准确率和几乎为零的误报率。

3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。

硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。

S e c I P S3600依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。

4.高可靠、可扩展S e c I P S3600支持失效开放（F a i l b y p a s s）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。

⽹神Secgate3600安全⽹关产品功能使⽤⼿册声明服务修订：●本公司保留不预先通知客户⽽修改本⽂档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，⽆论明⽰或默⽰，不作其它任何担保，包括（但不限于）本⼿册中推荐使⽤产品的适⽤性和安全性、产品的适销性和适合某特定⽤途的担保。

●本公司对于您的使⽤或不能使⽤本产品⽽发⽣的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个⼈损害或商业损失或任何其它损失。

版权信息：●任何组织和个⼈对本公司产品的拥有、使⽤以及复制都必须经过本公司书⾯的有效授权。

⽹神信息技术（北京）股份有限公司⽬录⽬录 (2)导⾔ (12)1.本⼿册适⽤对象 (12)2.⼿册章节组织 (12)3.相关参考⼿册 (13)第⼀章系统配置 (14)1.1配置系统时钟 (14)1.2配置管理⽅式 (15)1.3配置管理主机 (16)1.4配置管理员 (17)1.5配置管理员证书 (21)1.6配置集中管理 (22)1.6.1集中管理概述 (22)1.6.2配置案例：集中管理 (24)1.7配置导⼊导出 (44)1.8配置升级许可 (46)1.9配置⽇志服务器 (50)1.9.1 ⽇志服务器概述 (50)1.9.2 配置案例：⽇志服务器 (51)1.10配置域名服务器 (54)1.11配置报警邮箱 (55)1.11.1 报警邮箱概述 (55)1.11.2 配置案例：报警邮箱 (56)第⼆章⽹络配置 (62)3.1 ⽹络接⼝ (62)3.1.1配置接⼝基本配置 (62)3.1.3 配置⼦接⼝ (67)3.1.4 配置桥接⼝ (69)3.1.5 配置channel⼝ (70)3.1.6 配置vlan (72)3.2 静态路由 (73)3.2.1 ⽬的路由 (73)3.2.2 策略路由 (74)3.3 动态路由 (78)3.3.1动态路由概述 (78)3.3.2 RIP设置 (79)3.3.3 OSPF设置 (81)3.3.4 BGP配置 (85)3.3.5 DEBUG信息 (86)3.11.5 配置案例：动态路由 (87)3.4 多播路由 + IGMPSNOOPING (88)3.4.1配置案例 (88)3.5 虚拟系统 (90)3.5.1 虚拟系统配置案例 (90)3.6 DNS中继 (93)3.6.1 DNS中继概述 (93)3.6.2 配置案例：DNS中继 (94)3.7链路探测................................................................................. 错误！未定义书签。

网神SecGate3600部门级防火墙产品概述网神SecGate3600防火墙部门级产品基于自主开发的SecOS操作系统，在消除通用操作系统漏洞的前提下，完整实现了状态检测包过滤防火墙、IPSec VPN、URL过滤、流量控制等综合安全网关功能。

基于成熟可靠的专用处理器硬件平台，使用了硬件加速，性能超强。

网神SecGate3600防火墙部门级产品能有效满足代办点、分支机构、中小企业办公等百兆环境下，网络边界访问控制、VPN接入等要求。

产品特点●安全防御水平高：系统采用自主开发的SecOS网关安全操作系统，独立实现各种安全访问控制，摆脱了庞大复杂的通用操作系统束缚。

系统内核稳定，安全应用功能随需扩展，安全防御水平保持与国际一流厂商保持同步领先。

●网络处理性能好：使用高性能网络处理器，硬件NAT加速，千锤百炼的SecOS操作系统，量身定制的网络设备驱动，与专业打造的硬件平台完美结合，确保系统吞吐能力、新建连接速率等核心性能指标比业界平均水平高出30％。

●深度内容检测细：采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。

●VPN接入灵活：可支持DHCP地址、静态地址、PPPoE拨号、PPTP客户端等网络接入方式，VPN接入非常灵活，支持野蛮模式、主模式等，支持丰富的加密算法、HASH算法等。

●接入配置简单：支持全中文的WEB管理界面，提供详细的在线帮助，具备快速配置向导，配置非常简单，有效降低了维护工作量。

支持配置导入导出，方便用户使用。

产品资质公安部销售许可证国家信息安全测评信息技术安全产品测评证书EAL1国家保密局涉密信息系统产品检测证书军B+级信息安全产品认证证书计算机软件著作权登记证书主要功能安全防御能力提供基于状态检测的动态包过滤支持SIP/H.323/H.323网守/FTP//MMS/RTSP/TFTP等动态协议支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持IP/MAC地址绑定和自动探测支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务提供透明网关式应用代理，提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等提供与应用服务无关的用户认证，提供基于Web/Portal的无客户端认证有效抵御各种DoS/DDoS攻击提供全面的内外网实时网络连接监控和实时中断，提供QoS带宽管理VPN 支持标准IPSec VPN，支持基于策略的VPN应用支持基于路由的双VPN隧道备份支持VPN的星型、网状等多种接入方式支持VPN远端状态探测DPD，支持遵守VPN客户端提案方式支持PPTP/L2TP 拨号VPN，支持SSL VPN网络适应能力支持透明/桥接/路由/混合模式支持多纯透明子桥和接口联动支持策略路由、基于服务的策略路由、目的地址路由、源地址路由和多（≥6）路由负载均衡支持动态路由RIPv1/v2和OSPF支持PPPOE协议，提供多（≥3）ADSL接入方式和自动负载均衡支持DHCP服务器/中继/客户端，支持DNS中继深度内容检测支持对URL进行过滤、网页内容过滤、黑名单、白名单，支持关键字导入支持BT/eDonkey/Kazaa等P2P软件限制支持对即时通信软件（MSN、QQ、Skype）限制防MAC欺骗和IP盗用支持病毒和蠕虫过滤支持多家IDS联动支持Web应用协议实时入侵防御阻断，支持IPS特征库升级高可用性能力支持防火墙双机热备支持防火墙多机负载均衡支持端口链路备份和负载均衡支持服务器负载均衡管理审计能力提供SecGateManager防火墙集中管理系统，提供灵活的软件升级方式提供强大的日志管理和日志审计支持防火墙系统的实时监控，支持网络监控及内外网实时连接状态监控支持桥转发表监控，支持界面调试信息导出功能支持配置向导产品型号与指标产品型号SecGate 3600-F1-2241 SecGate 3600-F3-2683产品性能网络处理能力100Mbps 200Mbps最大并发连接数≥10万≥40万最大VPN隧道数25 200接口说明10/100 Base-T 1个10/100自适应电口，4个10/100M自适应电口（交换口）3个10/100M自适应电口，8个10/100M自适应电口（交换口）异步串行管理接口1个1个远程配置管理接口N/A N/A 硬件特性机箱桌面型1U电源外置电源单电源注：除指定型号外vpn隧道数需单独购买。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述.................................................. 错误!未定义书签。

第一章、基于web管理界面.................................... 错误!未定义书签。

1.web管理界面页面..................................... 错误!未定义书签。

2.Web管理界面主菜单................................... 错误!未定义书签。

3.使用web管理界面列表................................ 错误!未定义书签。

4.在web管理界面列表中增加过滤器...................... 错误!未定义书签。

4.1 包含数字栏的滤波器................................. 错误!未定义书签。

4.2 包含文本串的滤波器................................. 错误!未定义书签。

5.在web管理界面列表中使用页面控制.................... 错误!未定义书签。

5.1 使用栏设置来控制显示栏............................. 错误!未定义书签。

目录1产品概述 (2)2产品特点 (2)3主要功能 (4)4产品形态............................................................................... 错误！未定义书签。

5产品资质 (14)1产品概述针对互联网病毒、蠕虫，黑客攻击行为的增多，网神SecIDS 3600 入侵检测系统在监测网络流量的基础上，集成对这些信息的控制和实时响应功能，为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能，帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析，构建安全可靠的信息网络。

2产品特点⏹强大的分析检测能力：采用了先进的入侵检测技术体系，结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击，使系统能够准确快速地检测各种攻击行为，并显著地提高了系统的性能，能够适应日益复杂的网络环境。

⏹超低的误报率和漏报率：采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术，提供业界超低的误报率和漏报率。

⏹丰富的统计报表：能够给用户提供丰富的动态图形报表，有超过40种的分析报表模版和向导式的用户自定义报表功能。

⏹良好的可管理性：优化的三层分布式体系架构设计，分级部署，集中控制，全远程智能升级。

能够提供图形化的风险评估、事件显示和资产配置，以及图形化的网络流量状态的实时监控。

⏹基于工作域的管理模式:SecIDS 3600 v4.0采用基于工作域的全新管理模式，用户可以按照传感器部署的位置或组织结构的要求等条件，将整个入侵检测系统划分为不同工作域。

在不同的工作域里，可以根据需要部署不同的组件。

工作域之间可以是平行或上下级的关系，上一级的工作域拥有比下一级工作域更多的管理权限。

系统具有唯一的全局工作域，负责对整个系统进行管理。

⽹神SecWAF3600Web应⽤防⽕墙系统W5000-U020M型号产品⽩⽪书[V8.5.1]产品⽩⽪书⽹神SecWAF 3600 Web应⽤防⽕墙W5000-U020M本⽂档解释权归⽹神信息技术（北京）股份有限公司安全⽹关中⼼产品部所有●版权声明Copyright ? 2006-2012 ⽹神信息技术（北京）股份有限公司（“⽹神”）版权所有，侵权必究。

未经⽹神书⾯同意，任何⼈、任何组织不得以任何⽅式擅⾃拷贝、发⾏、传播或引⽤本⽂档的任何内容。

●⽂档信息●版本变更记录⽬录1、产品概述 (4)2、产品特点 (4)2.1 ⾼性能 (4)2.2集成领先Web应⽤漏洞检测技术 (4)2.3 多维防护体系 (5)2.4 Cloud云防护模型 (5)2.5 主动防御体系 (6)2.6 ⽹页防篡改 (6)2.7 HA（High Availability） (6)3、产品型号 (7)4、产品功能说明 (7)4.1 产品功能概述 (7)4.2 功能列表 (7)5、性能指标 (10)6、硬件规格 (10)7、产品资质 (11)1、产品概述⽹神SecWAF 3600 Web应⽤防⽕墙系统（⼜名SecWAF应⽤防护系统），以下简称SecWAF，是⾃主知识产权的新⼀代安全产品，作为⽹关设备，防护对象为Web服务器，其设计⽬标为：分别针对安全漏洞、攻击⼿段及最终攻击结果进⾏扫描、防护及诊断，提供综合Web应⽤安全解决⽅案。

⽹神Web安全团队根据常年观察互联⽹⿊客攻击⽅式和⿊客技术，从多年的安全研发经验中总结了⼀套“Web安全防护体系”，⽹神Web安全团队提出了“事前、事中、事后”的事件三部曲防护⽅案。

⾸先，事前评估。

根据⿊客攻击经验，每次⿊客在攻击前都会对⽬标事物进⾏漏洞扫描。

⽹神Web安全团队使⽤⾃主开发的Web扫描器对客户⽹站架构进⾏整体评估，评估客户⽹站在开发过程中，开发⼈员忽视的安全问题。

其次，事中防护。

根据常见对⿊客攻击技术的研究，⽹神Web安全团队做出了⼀套⿊客Web攻击⾏为的特征库，针对⿊客的攻击流量进⾏逐⼀特征匹配，匹配上的流量就是⿊客攻击流量，此时进⾏Web安全过滤然后，事后弥补。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (13)第一章、基于web管理界面 (14)1.web管理界面页面 (15)2.Web管理界面主菜单 (17)3.使用web管理界面列表 (18)4.在web管理界面列表中增加过滤器 (19)4.1 包含数字栏的滤波器 (21)4.2 包含文本串的滤波器 (21)5.在web管理界面列表中使用页面控制 (22)5.1 使用栏设置来控制显示栏 (24)5.2 使用带有栏设置的过滤器 (25)6.常用web管理界面任务 (25)6.1 连接到web管理界面 (26)6.2 连接到web管理界面 (27)7.修改当前设定 (28)7.1 修改您SecGate管理员密码 (29)7.2 改变web管理界面语言 (29)7.3 改变您SecGate设备管理路径 (30)7.4 改变web管理界面空闲运行时间 (31)7.5 切换VDOMs (31)8.联系客户支持 (31)9.退出 (32)第二章、系统管理 (32)1. 系统仪表板 (32)1.1 仪表板概述 (34)1.2 添加仪表板 (34)1.3 系统信息 (37)1.4 设备操作 (45)1.5 系统资源 (47)1.6 最多的会话 (49)1.7 固件管理条例 (53)1.8 备份您的配置 (54)1.9 在升级前测试固件 (57)1.10 升级您的SecGate设备 (61)1.11 恢复到以前的固件镜像 (65)1.12 存储您的配置 (71)使用虚拟域 (74)2. 系统网络 (80)2.1 配置接口 (83)2.2 配置区域 (95)2.3 配置网络选项 (97)2.4 配置SecGateDNS服务 (99)2.5 配置显式网络代理 (107)3. 系统动态主机设置协议服务器(DHCP) (117)3.1 SecGate DHCP服务器和中继 (118)3.2 配置DHCP服务 (119)3.3查看地址租借 (125)4.系统配置 (126)4.1 HA (127)4.2 简单网络管理协议（SNMP） (141)4.3 替换信息 (157)4.4 操作模式和虚拟域管理入口 (166)5.系统管理 (170)5.1 管理员 (171)5.2 管理资料 (189)5.3 设置 (194)5.4 SecGateIPv6支持 (199)6. 系统认证 (207)6.1 本地证书 (208)6.2 CA证书 (217)第三章、路由 (219)1. 路由静态 (219)1.1 路由概念 (221)1.2 如何建立路由表 (221)1.3 如何做出路由判定 (222)1.4 多路径路由以及决定最佳路线 (223)1.5 路线优先 (225)1.6 黑洞路由 (226)2. 静态路由 (227)2.1 使用静态路由 (227)2.2 默认路由和默认网关 (232)2.3 添加静态路由至路由表 (235)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (237)3.1 ECMP路由同步会话至相同目标IP地址 (240)3.2 配置溢出或基于使用ECMP (241)3.3 从CLI中添加权重至静态路由 (251)4. 策略路由 (254)5. 路由信息协议（RIP） (262)5.1 RIP页面 (262)5.2 RIP网页网络部分 (263)5.3 RIP网页的接口部分 (264)5.4 高级RIP选项 (265)5.5 RIP-启用接口 (268)6. 开放式最短路径优先（OSPF） (270)6.1 定义OSPF自主系统—概览 (271)6.2 基本OSPF设置 (272)6.3 OSPF页面 (272)6.4 OSPF页面的区域部分 (273)6.5 OSPF页面网络部分 (274)6.6 OSPF页面的接口部分 (275)6.7 高级OSPF选项 (276)6.8 OSPF页面高级选项 (276)6.9 定义OSPF区域 (278)6.10 OSPF网络 (281)6.11 OSPF接口的运行参数 (282)7. 边界网关协议（BGP） (286)7.1 BGP页面 (287)7.2 BGP页面领域部分 (288)7.3 BGP页面网络部分 (289)8. 多路广播 (289)8.1 覆盖接口多路广播设置 (292)8.2 多路广播目标NAT (294)9. 双向转发检测（BFD） (295)9.1 配置BFD (296)10. 路由器监控 (300)10.1 查看路由信息 (301)10.2 查找SecGate路由表 (305)第四章、防火墙 (306)1. 策略 (307)1.1 身份识别防火墙策略 (323)1.2 中心网络地址转换（NAT）表 (334)1.3 互联网协议第六版(IPv6)策略 (336)1.4 拒绝服务（DoS）策略 (336)2. 地址 (341)2.1 地址列表 (341)2.2 地址组 (344)3. 服务 (348)3.1 预定义服务器列表 (348)3.2 定制服务 (359)3.3 定制化服务组 (361)4. 时间表 (363)4.1 循环时间表列表 (364)4.2 一次性时间表列表 (366)4.3 时间表组 (368)5. 流量整形器 (370)5.1 共享流量整形器 (371)5.2 Per-IP模式流量整形 (374)6. 虚拟IP地址 (376)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (376)6.2 虚拟IP地址 (377)6.3 虚拟域IP地址(VIP)组 (382)6.4 IP地址池 (384)7. 负载均衡功能 (386)7.1 虚拟服务器 (387)7.2 有效服务器 (397)7.3 健康检查监控器 (399)7.4 监控服务器 (402)第五章、UTM (403)1.拒绝服务（DoS）感应器 (404)2.SYN代理 (408)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (409)4.了解异常状况 (409)第六章、虚拟专用网(IPsec VPN) (411)1.IPSec VPN概述 (412)2.策略性对路由型虚拟专用网络(VPN) (415)3.自动交换密钥（IKE） (418)3.1 第一阶段配置 (419)3.2 第一阶段高级配置设定 (426)3.3 第二阶段配置 (433)3.4 第二阶段高级配置设定 (434)4.人工密钥 (440)4.1 新人工密钥配置 (441)5.集中器 (447)6.监控虚拟专用网络(VPN) (449)7.安全套接层虚拟专用网络(SSL VPN) (452)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (453)7.2 基本配置步骤 (455)7.3 配置（Config） (457)7.4 界面 (460)7.5 界面设定 (464)7.6 界面小部件 (465)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (467)第七章、用户 (468)1.用户 (469)1.1 本地用户账户 (469)1.2 身份认证设置 (472)2.用户组 (475)2.1 防火墙型用户组 (478)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (479)3.远程 (481)3.1 RADIUS (482)3.2 轻量级目录访问协议（LDAP） (486)3.3 TACACS+ (491)4.监控 (493)4.1 防火墙用户监控表 (494)第八章、日志与报告 (498)1.日志与报告概述 (499)2.什么是日志? (500)2.1 日志类型和分类型 (501)3.示例 (505)日志信息 (505)4.SecGate如何储存日志 (506)4.1 远程存储到系统日志服务器 (507)4.2 本地存储到内存 (510)4.3 本地存储到硬盘 (511)5.事件日志 (512)5.1 告警电子邮件 (514)6.接入并查看日志信息 (517)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

一、设备出厂默认配置1、设备接口出厂默认IP地址：2、Web管理员账号与密码3、CLI命令行（SSH、串口、Telnet方式）二、首次设备管理1、使用Web UI管理NSG设备连接示意与管理过程（1）使用网线接入NSG设备的GE1接口，并连接管理终端（PC）设备。

（2）将管理终端（PC）网卡设置为自动获取IP地址。

NSG将自动分配管理端IP地址。

（3）打开IE或其他浏览器，在地址栏中输入设备缺省管理地址：http://172.16.16.16。

（4）出现NSG管理界面，输入账号：admin；密码：admin注意：NSG设备WEB管理最低要求浏览器版本为IE7。

三、配置防火墙功能购买NSG产品后，我们需要将NSG根据网络环境拓扑，部署于网络中，此时我们需要配置NSG的防火墙功能，使得新增NSG设备后的网络链路访问畅通。

1、根据拓扑配置NSG，要求从LAN区域主机可访问互联网。

配置步骤如下：（1）配置LAN（局域网）区域网络接口进入“网络”→“接口”页面，选择所要作为LAN（局域网）区域的接口，进行编辑：✓区域：选择“LAN”区域✓IP赋值方式：选择“静态”方式✓IP地址：根据网络拓扑配置LAN接口IP地址192.168.0.1✓子网掩码：根据网络环境配置✓主/从DNS：请根据实际配置（2）配置WAN（互联网）区域网络接口进入“网络”→“接口”页面，选择所要作为WAN（互联网接口）区域的接口，进行编辑：✓区域：选择“WAN”区域✓IP赋值方式：选择“静态”方式✓IP地址：根据网络拓扑配置WAN接口IP地址10.10.10.2✓子网掩码：根据网络环境配置✓主/从DNS：请根据实际配置✓网关名称：定义出口下一跳网关的名称✓IP地址：填写WAN接口的下一条网关地址，如拓扑10.10.10.1（3）配置防火墙规则通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG接口信息。

此时网络流量还不允许通过NSG设备，需要继续配置防火墙规则。

网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底，成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势，网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的S e c G a t e3600（S J W79-A/B）系列V P N安全网关产品。

该系列V P N安全网关采用国家密码管理局指定的加密算法，支持国家I P S e c V P N标准协议，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品，可全部覆盖高中低端网络应用，涉及通用领域和县乡通信专用领域，同时还提供自主研发的V P N客户端软件。

二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式，不仅支持网关－网关模式，还支持网状网模式和星型组网，支持基于路由的V P N应用,可十分方便进行纵向组网，这对于具有三级以上网络的行业专网非常合适；网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案，形成自主组网。

2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时，也支持基于动态I P地址的V P N 网关，方便使用A D S L接入方式的用户构建自己的V P N网络；可以实现基于策略和基于路由的V P N，大小网络环境都可适应；网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通， 同时支持S S L V P N网关功能，支持标准的B/S、C/S连接。

3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式，以及基于这些方式的V P N应用，如N A T的穿越等；支持网关到客户端、客户端到网关多种移动用户上网方式；产品支持全面的防火墙访问控制功能，支持N A T、动态协议解析和带宽控制，支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。

网神SecGate 3600防火墙企业级产品投标参数主要功能项目技术要求备注硬件规格网络接口支持4个10/100/1000M自适应电口标准1U机箱，单电源支持本地Console管理支持远程AUX拨号管理性能要求★吞吐率≥1Gbps并发连接数≥180万支持可扩展VPN隧道数≥5000条新建连接速率≥40,000/秒延时≤25μs功能要求★基于自主研发的SecOS安全操作系统，无通用操作系统漏洞，完整实现基于状态检测的智能包过滤支持透明模式、纯路由模式、混合模式支持SIP/H.323/H.323网守/Ftp/等动态协议支持MMS/RTSP等多媒体协议提供透明网关式应用代理支持Http/Ftp/Telnet/SMTP/POP3/自定义代理支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持服务器负载均衡H3C、深信服不支持★支持多纯透明子桥和接口联动竞争对手都不支持支持对时间和接口的带宽控制，可实现最大带宽管理，可设置最小保证带宽方正和东软不支持★支持设定网段内共享的或者任一地址的新建连接限制方正、H3C、天融信、启明不支持★支持设定网段内共享的或者任一地址的并发连接限制方正、东软、H3C、天融信不支持支持数据包内容过滤，URL黑白名单过滤，垃圾邮件过滤东软不支持垃圾邮件过滤★支持URL日志记录支持IP/MAC地址绑定和自动探测天融信、启明不支持自动探测支持策略路由，提供目的地址路由、源地址路由支持基于服务的策略路由东软、方正不支持★支持多路由负载均衡（≥6条），可以根据链路探测结果自动进行链路切换竞争对手都不支持★支持基于应用（ARP/PING/TCP/HTTP)的链路探测竞争对手都不支持★支持PPPOE协议，提供多条ADSL（≥3）同时拨号和自动负载均衡方式竞争对手都不支持★具备内置独立的入侵防护IPS功能，并支持IPS规则库单独升级东软、联想网御不支持★有效抵御各种DoS/DDoS攻击，可识别和防御syn flood、icmp flood、udp flood、tcp scan、udp scan、ping sweep、teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、ip 流攻击、ip时间戳等攻击圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、ip 流攻击、ip时间戳等天融不支持，深信服只支持抗DDOS 攻击★具备内置病毒过滤模块，并支持病毒规则库升级东软、H3C不支持防病毒★具备独立蠕虫过滤功能，对sobig, ramen, welchia, agobot, opaserv, blaster, sadmind, slapper，novarg, slammer, zafi, bofra, dipnet等主流蠕虫病毒的识别、过滤和拦截方正、动软、H3C、深信服、天融信不支持，联想网御支持下面8种blaster，nachi，nimda，redcode，sasser，slapper，sqlexp，zotob支持动态路由协议（OSPF、RIP），可参与动态路由协商联想网御不支持RIP，东软、深信服不支持动态路由★可自动检测网段内IP地址冲突，并报警竞争对手都不支持支持与主流IDS产品联动支持802.1Q VLAN协议，支持STP、PVST，可适应多种网络拓扑结构和VLAN环境提供防火墙集中管理系统，提供日志管理和日志审计软件方正没有日志服务器H3C不支持集中管理管理员身份认证支持电子钥匙认证和证书认证天融信不支持电子钥匙H3C不支持电子钥匙支持TELNET管理方式★提供与应用服务无关的用户认证H3C不支持本地用户认证和基于硬件KEY 的认证★提供基于Web/Portal的无客户端认证H3C、东软、方正不支持★WEB重定向(域名/URL路径重定向) 除联想网御外不支持★支持系统资源(CPU/内存/连接数/网口流量)最近20分钟、1小时、3小时、8小时、1天、2天、3天、4天、5天、6天到一周的历史统计除联想网御外不支持★支持TCP状态统计，能够详细统计出TCP连接总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的连接数数量及占总TCP连接数的比例支持超级管理员/策略管理员/配置管理员/审计管理员,多级管理天融信没有策略管理员，东软只支持3级管理员★内置安全助手功能，方便管理员了解内网状况竞争对手都不支持★支持活动主机探测，并能根据探测结果自动生成资源对象和安全策略★支持开放服务探测，并能根据探测结果自动生成资源对象和安全策略★支持服务版本探测★支持操作系统探测★支持≥32个管理主机IP的限制联想网御最多支持6个管理主机支持采用中文对象名定义对象支持对象定义与安全策略配置单独导入导出竞争对手都不支持支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/th under等P2P软件的禁止天融信只支持BT/EMULE /eDonkey支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P软件的禁止带宽限制天融信只支持BT/EMULE /eDonkey，启明不支持带宽限制支持对即时通信软件（MSN,QQ,Skype）的使用限制★支持对迅雷客户端软件和WEB迅雷进行有效的禁止支持实时连接状态监控支持对实时连接的中断支持DHCP服务器/中继及客户端★支持DNS中继竞争对手都不支持★支持DNS中继自动寻找上级DNS服务器竞争对手都不支持支持基于策略的IPSec VPN功能★支持基于路由的IPSec VPN功能联想网御、启明、东软、H3C不支持★支持双VPN隧道相互热备份及负载均衡功能联想网御、启明、东软、H3C不支持支持VPN的NAT穿越支持VPN的X-AUTH扩展本地认证方正、东软、H3C不支持支持VPN的X-AUTH扩展RADIUS认证方正、东软、H3C不支持支持LDAP证书获取方式方正、东软、H3C不支持★支持Web界面导出调试信息功能★可支持SSLVPN功能东软、方正不支持★基于域名的包过滤东软、方正、H3C不支持支持防火墙双机热备使用VRRP协议实现多台防火墙集群和负载均衡东软和方正不支持负载均衡支持HA自动配置同步和实时状态同步支持VPN隧道的SA实时同步资质要求★公安部销售许可证★国家保密局涉密信息系统产品检测证书★军B+级信息安全产品认证证书H3C、深信服没有，所有外资企业没有★计算机软件多核并行著作权登记证书都没有★国家密码管理局商用密码产品销售许可证H3C等外资企业没有★国家信息安全产品3C证书★市场占有率2008年CCID前三，并具备证书★创新产品证书都没有。