加密安全网关使用说明

加密安全⽹关使⽤说明加密安全⽹关使⽤说明企业内的加密⽂件有时候需要上传到OA、PLM、SVN等系统中，希望OA等系统中保存的⽂件是明⽂的，从OA等系统中下载到本地为加密⽂件，并希望其它没有允许访问的计算机不可以访问OA等服务器，ViaControl安全⽹关功能就是为了解决这⼀问题⽽诞⽣的。

ViaControl安全⽹关，可以实现启⽤安全通讯的加密客户端上传解密下载加密。

未启⽤加密功能的客户端或者未启动安全通讯的加密客户端，不能访问受保护的OA等系统。

1⽹络架构ViaControl安全⽹关功能的⼯作模式为：⽹桥模式。

企业内的⽹络常见的⽹络简易拓扑结构：ViaControl的安全⽹关控制模式：使⽤⽹桥模式，可以对⽹络结构和配置不做任何修改，直接将安全⽹关控制设备串接进⽹络中需要进⾏控制的重要的服务器处，对通过其的⽹络通讯进⾏控制。

2 控制流程当计算机或其他⽹络终端设备，访问受安全⽹关保护的服务器时，安全⽹关会判断访问请求是否属于安全通讯。

当安装了客户端的计算机，使⽤已经启动安全通讯功能的授权软件访问时，就可以正常访问服务器。

⽽其他的计算机会被阻⽌访问服务器。

对于⼀些外来的或者特殊权限的计算机，也可以通过设置⽩名单允许未启⽤安全通讯的计算机访问服务器。

⾮法客户端安全⽹关控制器3部署3.1设备介绍ViaControl⽹络控制设备（以下称控制器），分为三个型号：2000：3个千兆⽹卡，其中管理端⼝为ETH2；3000：4个千兆⽹卡，⼀组BYPASS（ETH0和ETH1），其中管理端⼝为ETH3；4000：4个千兆⽹卡，⼀组BYPASS（ETH0和ETH1），其中管理端⼝为ETH3；说明管理端⼝的固定IP为190.190.190.190，初始配置时使⽤；BYPASS功能，可以在控制器断电或死机的情况下，将控制器所连接的两端直接物理上导通，不影响⽹络的使⽤。

3.2部署⽅式ViaControl⽹络控制器以桥接的⽅式串接⼊⽹络。

ANYSEC安全网关YKey管理员手册版权所有：深圳市中科网威科技有限公司1.ANYSEC安全网关服务器端配置1.1．生成证书1.1.1．准备工作必须具备以下条件1．确保ANYSEC系统设备运行正常；2．确保ANYSEC系统设备版本支持ANYSEC移动客户端V6.0版本；3．确保管理员电脑上已经成功安装了ANYSEC客户端程序。

1.1.2．开始生成证书证书生成顺序必须为“CA证书”——“本机证书”——“远端证书”；在生成证书前，将设备时间设置提前一天，因为CA证书次日才会生效；所有证书信息请使用英文（国际CA标准，中文支持较差）。

如下图所示：1．登陆ANYSEC设备WEB配置界面，选择“系统管理”-“证书”-“CA证书”-“创建根证书”，见以下图示：●新建一个CA根证书，根据提示填写相关信息（相关信息请填写英文），如图：●建好CA证书后，点击“设备证书”——“新建”，新建一个本机证书，如图：新建一个本地证书，根据提示填写相关信息（相关信息请填写英文）如下图：注：CA证书、本机证书均为ANYSEC安全网关作为CA中心所必须的基础证书。

2．建立用户证书，点击“证书库”——“新建客户端证书”，按实际情况填写信息（相关信息请填写英文，个人信息请填写新建用户时的认证用户名），如图所示：●建好远端证书后，会列表显示出已有证书，以及证书的使用状态，还可以对证书进行导出、吊销、删除等管理，如图所示：●点击“导出”，将证书下载到管理员的电脑中进行保存、管理、导入UKey的工作。

如图所示：私钥保护口令验证：是指建立私钥时输入私钥保护密码；证书保护口令：是指将证书导入UKey时的密码，也是在使用证书验证时的密码，此口令不是UKey PIN码。

●点击右上角“配置保存”完成证书生成工作。

如图：1.1.3．移动客户端UKEY认证配置1.点击“VPN管理”——“移动客户端”——“配置”，如下图：起始IP地址、结束IP地址：是指移动客户端获取的虚拟内网地址，该地址不能与内网网段冲突；支持PKI认证：采用证书或UKey认证的需要点开此选项，勾选，用户名密码方式将失效；服务器证书：是指本机证书，选择之前建立的本机证书；接受所有合法PKI用户：如果勾选此项，则表示本设备远端证书中所有有效证书都可以通过客户端远程接入，如果不勾选此项，则表示只接受认证用户组中的证书用户；认证用户组：是指远程接入的合法用户组，此项是引用“用户管理”——“用户组”中的用户数据，默认用户组为MClientAuth（移动客户端用户组），在该组中引用的用户，其“用户名”必须与生成远端证书时填写的“个人信息”一栏内容一致；服务状态：勾选此项，打开移动客户端服务。

加密安全网关使用说明1设备介绍IP-guard安全网关控制设备（以下简称控制器），分为三个型号：IPG-2000：3个千兆网卡，其中管理端口为EMP；IPG-3000：4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP；IPG-4000：4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP；说明管理端口的固定IP为190.190.190.190，初始配置时使用；BYPASS功能，可以在控制器断电或死机的情况下，将控制器所连接的两端直接物理上导通，不影响网络的使用。

2部署前提先部署好需要保护的服务器环境。

3具体部署过程3.1安装安全网关管理器运行网络准入管理器安装程序SGManSetup.exe，根据默认提示安装。

3.2部署安全网关3.2.1安全网关IP设置首先要确定安全网关串联接入网络中的具体位置，据此确定安全网关的IP地址，接着便要开始设置安全网关的IP。

安全网关管理端口的固定IP为190.190.190.190，通过管理端口进行安全网关IP配置。

设置的具体操作如下：1)计算机A安装了安全网关管理器，使计算机A脱离内网环境，而直接用网线将安全网关的管理端口与计算机A连接，修改计算机A的IP，让它能与安全网关通讯。

如修改计算机A的IP如下：IP地址：190.190.190.1子网掩码：255.255.255.0默认网关：可不填2)在计算机A上开始菜单中运行安全网关管理器，操作：【工具→控制器连接参数】，如图1：图1控制器：输入控制器的固定IP，即190.190.190.190；密码：初始为空3)输入完毕，点击【确定】，此时【工具->控制器管理】为可选状态，点击进入，弹出控制器管理窗口，如图2：图24)点击【设置网络参数】，弹出安全网关设置IP的对话框，如图3：图35)点击【确定】，设置的网络参数需要重启生效，点击控制器管理界面的【重启控制器】，重启之后，安全网关IP修改成功。

目录防火墙配置一：SNAT配置 (3)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (10)防火墙配置四：混合模式配置 (13)防火墙配置五：DHCP配置 (16)防火墙配置六：DNS代理配置 (17)防火墙配置七：DDNS配置 (19)防火墙配置八：负载均衡配置 (21)防火墙配置九：源路由配置 (23)防火墙配置十：双机热备配置 (24)防火墙配置十一：IP-QoS配置 (27)防火墙配置十二：应用QoS配置 (30)防火墙配置十三：Web认证配置 (33)防火墙配置十四：会话控制配置 (39)防火墙配置十五：IP-MAC绑定配置 (40)防火墙配置十六：禁用IM配置 (42)防火墙配置十七：URL过滤配置 (44)防火墙配置十八：网页内容过滤配置 (48)防火墙配置十九：基于路由静态IPSEC配置 (50)防火墙配置二十：基于路由动态IPSEC配置 (55)防火墙配置二十一：基于策略静态IPSEC配置 (64)防火墙配置二十二：SSLVPN配置 (72)防火墙配置二十三：防病毒配置 (77)防火墙配置二十四：IPS配置 (81)防火墙配置二十五：日志服务器配置 (84)防火墙配置二十六：邮件形式输出日志信息 (86)防火墙配置二十七：记录上网URL日志配置 (88)防火墙配置二十八：Web外发信息控制 (89)防火墙配置二十九：配置管理及恢复出厂 (92)防火墙配置一：SNAT配置一、网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置，通过Webui登录防火墙界面如下：输入缺省用户名admin，密码adminadmin后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目并添加下一条地址第三步：添加SNAT策略在网络/NAT/源NAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略防火墙配置二：DNAT配置一、网络拓扑192.168.10.2/24二、需求描述1、使用外网口IP为内网FTPServer及WEBServerA做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。

㺙Web 㔥 Ϟⱘ䰆⮙↦Ϣ 䍟 ⾥ TM Web 㔥 (IWSA)趋势科技（中国）有限公司保留对本文档以及此处所述产品进行更改而不通知的权利。

在安装并使用本软件之前，请阅读自述文件、发布说明（如果有）和最新版本的适用用户文档，这些文档可以通过趋势科技的以下 Web 站点获得：/download/zh-cn/Trend Micro、Trend Micro t- 球徽标、InterScan、TrendLabs、趋势科技控制管理中心和趋势科技损害清除服务都是趋势科技（中国）有限公司/Trend Micro Incorporated 的商标或注册商标。

所有其他产品或公司名称可能是其各自所有者的商标或注册商标。

版权所有© 2015 趋势科技（中国）有限公司/Trend Micro Incorporated。

保留所有权利。

文档编号：IBCM66844/150109发布日期：2014 年 7 月受美国专利号 5,951,698 的保护《趋势科技 Web 安全网关 (IWSA) 安装指南》旨在介绍软件的主要功能和适用于您生产环境的安装说明。

在安装和使用该软件之前，请详细阅读该指南。

有关如何使用软件中特定功能的详细信息，可从联机帮助文件和趋势科技 Web 站点上的在线知识库中获得。

趋势科技一直致力于改进其文档。

我们始终欢迎您的反馈。

目录前言适用读者 (x)如何使用本指南 (x)IWSA 文档 (xi)文档约定 (xii)关于趋势科技 (xiii)第 1 章：预安装规划服务器要求 .....................................................................................................1-2操作系统 ....................................................................................................1-2硬件要求 ....................................................................................................1-2组件安装 ....................................................................................................1-3Web 浏览器 ...............................................................................................1-4其他要求 ....................................................................................................1-5安装所需的信息 IWSA ...............................................................................1-6全新安装 ....................................................................................................1-6迁移 .............................................................................................................1-6代理服务器配置的类型 .........................................................................1-6控制管理中心服务器信息 ....................................................................1-7数据库类型和位置 ..................................................................................1-7SNMP 通知 ................................................................................................1-7Web 控制台密码 ......................................................................................1-7命令行访问 ................................................................................................1-8用于 Internet 更新的代理服务器 ........................................................1-8激活码 .........................................................................................................1-8趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南规划网络通信保护 .......................................................................................1-8透明桥接模式 ...........................................................................................1-9正向代理服务器模式 ..............................................................................1-9反向代理服务器模式 ............................................................................1-10ICAP 模式 ................................................................................................1-10简单透明性模式 .....................................................................................1-10WCCP 模式 ..............................................................................................1-10第 2 章：部署入门识别服务器位置 ............................................................................................2-2具有 DMZ 的两个防火墙 ......................................................................2-2没有 DMZ 的防火墙 ...............................................................................2-3规划网络通信流 ............................................................................................2-4规划 HTTP 流程 .......................................................................................2-5HTTPS 解密 ..........................................................................................2-7规划 FTP 流程 ..........................................................................................2-7独立模式下的 FTP 代理服务器 .....................................................2-7附属模式下的 FTP 代理服务器 .....................................................2-9以正向代理服务器模式部署 ...................................................................2-10正向代理服务器模式概述 ...................................................................2-10重新配置客户端设置 .......................................................................2-11使用第四层交换机 ...........................................................................2-12使用启用 WCCP 的交换机或路由器 ..........................................2-14使用正向代理服务器模式规划 HTTP 流程 ..................................2-15独立模式下的 HTTP 代理服务器 ................................................2-15简单透明性模式下的 HTTP 代理服务器 ..................................2-16附属模式下的 HTTP 代理服务器（代理服务器前置） .......2-17附属模式下的 HTTP 代理服务器（代理服务器后置） .......2-19附属模式下的 HTTP 双代理服务器 ...........................................2-21以 WCCP 模式部署 ..........................................................................2-23WCCP 模式下的 HTTP 代理服务器（单个和多个 IWSA 服务器） ........................................2-23目录以 ICAP 模式部署 ......................................................................................2-23ICAP 模式概述 .......................................................................................2-23使用 ICAP 模式规划 HTTP 流程 .....................................................2-25ICAP 模式下的 HTTP 代理服务器（单个和多个 IWSA 服务器） ........................................2-25具有多台服务器的 IWSA ICAP 模式 .........................................2-27以反向代理服务器模式部署 ...................................................................2-29反向代理服务器模式概述 ..................................................................2-29使用反向代理服务器模式规划 HTTP 流程 ..................................2-30附属模式下的 HTTP 反向代理服务器 ......................................2-30以透明桥接模式部署 ................................................................................2-32透明桥接模式概述 ................................................................................2-32使用透明桥接模式规划 HTTP 流程 ................................................2-33高可用性部署模式 ................................................................................2-33HA 部署模式安装指南 ........................................................................2-34第 3 章：安装趋势科技 Web 安全网关 (IWSA)获取 IWSA ......................................................................................................3-2使用趋势科技企业解决方案 DVD ....................................................3-2下载安装文件 ...........................................................................................3-3安装 IWSA ......................................................................................................3-3首次登录到 IWSA ......................................................................................3-10安装后说明 ...................................................................................................3-10第 4 章：迁移到趋势科技 Web 安全网关 (IWSA)关于迁移 .........................................................................................................4-2重要说明 ....................................................................................................4-2未迁移的信息 ...........................................................................................4-3迁移过程概述 ...........................................................................................4-4从 IWSA 5.6 迁移到 IWSA 6.5 ...................................................................4-4趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南从一个 IWSA 6.5 迁移到另一个 IWSA 6.5 .............................................4-5迁移之后 ..........................................................................................................4-6附录 A：部署集成分布式环境中的 IWSA ...............................................................................A-2连接要求和属性 ......................................................................................A-2吞吐量和可用性要求 ........................................................................A-3与 LDAP 的集成 ..........................................................................................A-4支持用于容纳多个 LDAP 服务器的多个域 ...................................A-4透明模式下的 LDAP 认证 ...................................................................A-6使用 WCCP 与 Cisco 路由器的集成 .......................................................A-7使用反向代理服务器保护 HTTP 或 FTP 服务器 ..............................A-7与 ICAP 设备的集成 ...................................................................................A-9设置 ICAP 1.0 兼容的缓存服务器 .....................................................A-9为 NetCache 设备设置 ICAP ................................................................A-9为 Blue Coat 端口 80 安全设备设置 ICAP .....................................A-11为 Cisco CE ICAP 服务器设置 ICAP ...............................................A-14配置病毒扫描服务器群集 ..................................................................A-15删除群集配置或条目 ...........................................................................A-16启用 "X-Virus-ID" 和 "X-Infection-Found" 头 ...............................A-17附录 B：微调和故障排除IWSA性能微调 ..............................................................................................B-2URL 过滤 ...................................................................................................B-2LDAP 性能微调 .......................................................................................B-2LDAP 内部缓存 ..................................................................................B-2启用 LDAP 时，禁用详细记录 .....................................................B-3透明模式下的 LDAP 认证 ..............................................................B-4目录故障排除 .........................................................................................................B-5故障排除提示 ...........................................................................................B-5联系技术支持之前 ..................................................................................B-5安装问题 ....................................................................................................B-5常规功能问题 ...........................................................................................B-6附录 C：有关 IWSA 安装和部署的最佳实践IWSA 安装概述 .............................................................................................C-2正确评估环境规模 .......................................................................................C-4最佳实践建议 ...........................................................................................C-4选择部署方法和冗余性 ..............................................................................C-4最佳实践建议 ...........................................................................................C-6附录 D：维护和技术支持产品维护 ........................................................................................................D-2维护协议 ...................................................................................................D-2续订维护协议 ..........................................................................................D-3联系技术支持 ...............................................................................................D-3TrendLabs ..................................................................................................D-4知识库 ........................................................................................................D-4已知问题 ...................................................................................................D-5将可疑代码发送给趋势科技 ...............................................................D-5安全信息中心 ...............................................................................................D-6附录 E：在 VMware ESX 下为 IWSA 创建新的虚拟机简介 ..................................................................................................................E-2创建新的虚拟机 ...........................................................................................E-2启动 IWSA 虚拟机并完成安装 .............................................................E-16趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南附录 F：在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机简介 ...................................................................................................................F-2Hyper-V 的 IWSA 支持 ................................................................................F-2Hyper-V 虚拟化模式 ...............................................................................F-2在 Microsoft Hyper-V 上安装 IWSA 6.5 ...................................................F-3导入 IWSA 映像 .......................................................................................F-7为 IWSA 分配资源 ...................................................................................F-9启动 IWSA 虚拟机并完成安装 .........................................................F-21访问 IWSA Web 控制台 ......................................................................F-28索引前言前言欢迎使用《趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南》。

网关设备安全操作规程为了确保网关设备的安全运行，保护数据和网络安全，以下是网关设备安全操作规程：1. 认识网关设备网关是在两个或多个不同协议的网络之间进行通信的节点设备，可以执行转换或传递网络数据包。

不同类型的网关可能使用不同的协议和不同的方式进行通信。

2. 管理网关设备2.1. 只有授权的人员可以进行管理网关设备的操作。

必须设定用户帐号和密码进行登录，初始密码必须及时更改，以确保帐号和密码的安全性。

2.2. 除非特别授权，任何人都不得对网关设备进行物理操作或更改，例如：更改网线或拆卸设备。

2.3. 在网关设备的管理页面上设置会话超时时间，并且必须在会话超时后自动注销登录用户。

2.4. 对于管理网关设备的人员，必须掌握基本的网络知识和安全知识，了解相关的协议和系统结构，知道如何正确的配置和管理网络。

2.5. 网关设备的管理页面必须与外部网络进行隔离，在安全性方面一定要严格。

2.6. 建议尽可能使用SSL或SSH等安全协议对网关设备进行管理，以防止敏感信息的泄露。

2.7. 对于一些重要操作，例如备份和恢复，必须要进行备份文件的加密，以保障备份文件的安全性。

3. 网络安全3.1. 将网关设备配置为不接受来自未经授权的主机或者IP地址的请求。

3.2. 为网关设备设置防火墙，限制对外的访问，并设置访问策略，保护内部网络的安全。

3.3. 对于重要的业务流量，必须要加密传输，针对各种安全性问题必须还做好日志记录和分析，以便进行追踪和分析。

3.4. 对网关设备的操作人员进行网络安全方面的培训，提高其安全意识和技能水平，从而减少网络攻击和数据泄露的风险。

4. 系统和软件更新4.1. 定期检查网关设备的操作系统和软件版本，及时更新所有的补丁和安全更新，以确保系统和软件的安全稳定。

4.2. 定期对网关设备的日志进行分析，排查系统堆溢出、代码注入等安全漏洞，及时进行修复。

5. 总结通过以上规程可以看出，网关设备的安全操作是一个非常重要的问题。

北京国富安安全认证网关用户手册目录1前言 (4)1.1使用对象 (4)1.2使用者要求 (4)2硬件安装 (4)3快速部署 (4)3.1基本网络配置 (4)3.2隧道配置 (5)3.2.1国密隧道配置 (5)3.2.2国际隧道配置 ................................................................... 错误!未定义书签。

4控制台操作 . (7)4.1登录WebUI界面 (7)4.2系统配置 (8)4.2.1基本配置 (8)4.2.2基本网络配置 (9)4.2.3高级网络配置 (12)4.3IPSec管理 (15)4.3.1预共享密钥 (15)4.3.2证书管理 (15)4.3.3 L2TP配置 (18)4.3.4 PPTP配置 (19)4.3.5 IPSec隧道配置 (20)4.4Qos配置 (21)4.5防火墙管理 (22)4.6拨号管理 (22)4.7用户管理 (23)4.8高可用性配置 (24)4.9日志管理 (25)4.9.1配置本地日志 (25)4.9.2查看日志 (25)4.9.3配置syslog日志 (25)4.10管理工具 (26)4.10.1系统管理 (26)4.10.2配置管理 (28)4.10.3故障诊断 (28)4.10.4超级管理员 (30)1前言该手册描述国富安安全认证网关的配置、使用方法。

1.1使用对象北京国富安安全认证网关产品的授权用户。

1.2使用者要求使用者应熟悉标准网络浏览器，了解WEB应用及网络安全的基础知识。

2硬件安装在部署安全认证网关时，通常WAN口建立连接隧道，接在公网上。

LAN 口连通后台，接在内网上。

图表 1如图1所示，两台安全认证网关通过WAN口建立连接安全通道，LAN口连接内网中的客户端或服务器。

3快速部署3.1基本网络配置进入“系统配置—基本网络配置—网络接口配置—网络接口分配”，使LAN 口为em1，WAN口为em0，如下图：图表2进入“系统配置—基本网络配置—网络接口配置—网络接口查看”，编辑em0为公网IP，em1为内网IP。

华盾VPN 安全网关用户手册(5.2.0版)北京东方华盾信息技术有限公司二00五年九月华盾VPN 网关用户手册 1北京东方华盾信息技术有限公司 010-********/56/57/58/59/60目 录第一章 概 述.............................................................................................6 1.1 华盾VPN 产品系列...........................................................................6 1.2 关于本手册........................................................................................6 第二章 硬件安装.. (7)2.1 安全说明............................................................................................7 2.2 安装指南............................................................................................7 第三章 配置准备.......................................................................................11 3.1 控制面板安装...................................................................................11 3.2 登录VPN 网关 (11)3.2.1 本地登录...................................................................................12 3.2.2 远程登录...................................................................................12 3.3 控制面板界面...................................................................................13 第四章 网络设置.......................................................................................16 4.1 网络功能简介...................................................................................16 4.1.1 网络接口...................................................................................16 4.1.2 上网的负载均衡.......................................................................16 4.1.3 透明网络...................................................................................17 4.1.4 静态路由...................................................................................18 4.1.5 动态路由...................................................................................18 4.2 网络接口配置...................................................................................19 4.3 透明网络配置...................................................................................22 4.4 静态路由配置...................................................................................24 4.5 动态路由配置.. (26)北京东方华盾信息技术有限公司 010-********/56/57/58/59/60第五章 PKI 设置.......................................................................................27 5.1 本机VPN 证书管理.........................................................................27 5.2 客户端证书属性...............................................................................28 5.3 CA 证书管理.....................................................................................30 5.4 客户端根证书设置...........................................................................31 5.5 客户端本地证书管理.......................................................................32 5.6 远程证书认证设置...........................................................................32 第六章 VPN 设置......................................................................................34 6.1 VPN 功能简介..................................................................................34 6.1.1 术语...........................................................................................34 6.1.2 分布式管理...............................................................................35 6.1.3 集中式管理...............................................................................35 6.1.4 VPN 的负载均衡.......................................................................35 6.2 SMC 设置..........................................................................................36 6.3 加密算法..........................................................................................38 6.4 静态隧道..........................................................................................38 6.5 本地保护子网列表...........................................................................41 6.6 下载设备列表...................................................................................42 6.7 下载子网列表...................................................................................43 6.8 下载隧道列表...................................................................................44 6.9 协商隧道列表...................................................................................44 第七章 客户端接入...................................................................................47 7.1 客户端管理简介...............................................................................47 7.1.1 概念及术语...............................................................................47 7.1.2 认证流程...................................................................................49 7.1.3 认证模式.. (50)北京东方华盾信息技术有限公司 010-********/56/57/58/59/607.2 基本设置..........................................................................................52 7.3 地址池设置......................................................................................54 7.4 远程认证设置...................................................................................56 7.5 权限对象管理...................................................................................57 7.6 本地用户管理...................................................................................58 7.7 在线列表..........................................................................................60 7.8 客户端L ICENCE ................................................................................60 第八章 防火墙设置...................................................................................62 8.1 包过滤规则......................................................................................62 8.1.1 添加...........................................................................................62 8.1.2 删除...........................................................................................64 8.1.3 更改...........................................................................................65 8.1.4 清空...........................................................................................65 8.1.5 上移/下移..................................................................................65 8.2 NAT 规则..........................................................................................65 8.2.1 NAT 地址池...............................................................................65 8.2.2 源NAT 规则.............................................................................66 8.2.3 反向NAT 规则.........................................................................68 8.3 IP-MAC 地址绑定............................................................................69 8.4 本机安全策略...................................................................................71 8.5 非法登录主机...................................................................................73 8.6 抗攻击和扫描...................................................................................73 第九章 应用代理.......................................................................................76 9.1 基本设置..........................................................................................76 9.2 时间规则设置...................................................................................77 9.3 网站过滤规则设置 (78)北京东方华盾信息技术有限公司 010-********/56/57/58/59/609.4 用户管理..........................................................................................79 第十章 服务器设置...................................................................................82 10.1 DHCP 服务器..................................................................................82 10.2 拨号服务器.....................................................................................84 10.3 L2TP 服务器...................................................................................86 10.4 PPTP 服务器...................................................................................89 10.5 拨号用户........................................................................................90 10.6 SNMP 代理.....................................................................................92 10.7 附录................................................................................................96 10.7.1 Windows 上L2TP over IPSec VPN 客户端的配置................96 10.7.2 Windows 上L2TP VPN 客户端的配置................................111 第十一章 带宽管理.................................................................................113 11.1 基本设置.......................................................................................114 11.2 带宽组...........................................................................................114 11.3 添加带宽规则...............................................................................117 第十二章 双机热备份.............................................................................121 第十三章 系统日志.................................................................................126 第十四章 系统工具.................................................................................127 14.1 口令设置......................................................................................127 14.2 启动脚本......................................................................................127 14.3 本机已注册...................................................................................128 14.4 固件升级......................................................................................128 14.5 连接超时属性...............................................................................128 14.6 恢复配置......................................................................................129 14.7 备份配置.. (129)北京东方华盾信息技术有限公司 010-********/56/57/58/59/6014.8 清空配置......................................................................................129 14.9 系统时钟......................................................................................129 14.10 802.1X 认证.................................................................................130 14.11 DNS 设置....................................................................................130 14.12 DDNS 设置.................................................................................131 14.13 版本信息 (134)北京东方华盾信息技术有限公司 010-********/56/57/58/59/60第一章 概 述Internet 技术正日益改变着人们的工作和生活方式，基于Internet 构建信息网络传输平台已成为政府、金融、企业等部门组建专用网络的首选方案之一，“华盾VPN （虚拟专用网）系列产品”正是您基于Internet 架设自己的专用网络的最佳选择。

前言内容简介感谢您选用信通华安的网络安全产品。

本手册为华安SecChannel 1000系列安全网关的安装手册，能够帮助用户正确安装SecChannel 1000系列安全网关。

本手册的内容包括：•第1章产品介绍•第2章安全网关安装前的准备工作•第3章安全网关的安装•第4章安全网关的启动和配置•第5章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录第1章产品介绍 (1)简介 (1)SecChannel 1000系列安全网关的特点 (1)领先的系统结构设计 (1)强健的专用实时操作系统 (2)最低的总体拥有成本 (2)硬件外观特征 (3)前面板介绍 (3)后面板介绍 (4)侧面板介绍 (5)指示灯含义 (5)系统参数 (7)端口属性 (8)CLR按键 (11)第2章安全网关安装前的准备工作 (12)介绍 (12)洁净度要求 (12)防静电要求 (12)电磁环境要求 (13)接地要求 (13)检查安装台 (13)其它安全注意事项 (14)检查安全网关及其附件 (14)安装设备、工具和电缆 (14)第3章安全网关的安装 (15)安装前说明 (15)将安全网关安放到工作台上 (15)将安全网关安装到标准机柜中 (16)线缆连接 (18)连接地线 (18)连接配置电缆 (18)连接以太网电缆 (19)连接电源线 (20)安装完成后的检查 (21)第4章安全网关的启动和配置 (22)介绍 (22)搭建配置环境 (22)搭建配置口(CON口)的配置环境 (22)搭建WebUI配置环境 (25)搭建Telnet和SSH配置环境 (26)安全网关的基本配置 (26)第5章常见故障处理 (28)介绍 (28)口令丢失情况下的处理 (28)电源系统故障处理 (28)配置系统故障处理 (28)插图目录图1-1：SecChannel 1000-GES/GAS前面板示意图 (3)图1-2：SecChannel 1000-GSS/MAS前面板示意图 (4)图1-3：SecChannel 1000-GES/GAS后面板示意图 (4)图1-4：SecChannel 1000-GSS/MAS安全网关后面板示意图 (5)图1-5：SecChannel 1000系列安全网关侧面板示意图 (5)图3-1：脚垫安装示意图 (16)图3-2：挂耳安装示意图 (17)图3-3：机柜安装示意图 (17)图4-1：配置口（CON口）配置环境 (23)图4-2：设置终端通讯参数 (23)图4-3：SecChannel 1000系列安全网关启动登录界面 (24)图4-4：登录页面 (25)图4-5：SecChannel 1000-GAS安全网关主页 (26)表格目录表1-1：SecChannel 1000-GES/GAS前面板标识说明 (3)表1-2：SecChannel 1000-GSS/MAS安全网关前面板标识说明 (4)表1-3：SecChannel 1000系列安全网关前面板指示灯含义 (6)表1-4：SecChannel 1000系列安全网关系统参数 (7)表1-5：配置口属性 (8)表1-6：辅助口属性 (9)表1-7：USB Host接口属性 (9)表1-8：SecChannel 1000系列安全网关千兆以太网电口属性 (9)表1-9：SecChannel 1000系列安全网关千兆以太网光口属性 (10)表2-1：机房灰尘浓度范围表 (12)第1章产品介绍简介华安SecChannel 1000系列安全网关是北京信通华安技术有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品，能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。

2018适用范围：内部运维人员使用手册天玥运维安全网关V6.0适用范围：天玥运维安全网关V6.0系列精细控制合规审计北京启明星辰信息安全技术有限公司目录1 概述 (1)2 用户登录 (1)2.1 WEB方式 (1)2.1.1 WEB访问方式 (1)2.1.2 相关资料下载 (2)2.2 运维客户端 (2)2.3 登录认证 (3)3 环境准备 (5)3.1 环境检测 (5)3.2 安装JAVA控件 (7)3.3 浏览器设置 (9)3.4 配置本地工具 (11)3.5 修改密码 (13)4 运维说明 (14)4.1 RDP/VNC访问 (14)4.2 Telnet/SSH/Rlogin访问 (15)4.3 FTP访问 (16)4.4 数据库访问 (17)4.5 批量登录主机 (18)4.6 工单操作 (19)4.6.1 工单申请 (19)4.6.2 工单运维 (22)4.7 最近访问资源 (23)4.8 高级搜索 (23)4.9 菜单模式 (24)4.9.1 命令行方式 (24)4.9.2 图形方式 (28)5 FAQ (30)5.1 登录提示应用程序被阻止 (30)5.2 提示Java过时需要更新 (31)5.3 调用应用发布工具失败 (32)5.4 使用dbvis提示JAVA环境变量 (32)1概述启明星辰天玥运维安全网关V6.0，是启明星辰综合内控系列产品之一。

本手册详细介绍了天玥运维安全网关V6.0进行运维操作过程的使用方法，用户可参考本手册，通过天玥运维安全网关V6.0进行各种运维操作。

2用户登录运维用户可选择通过以下方式使用天玥运维安全网关V6.0进行运维操作：（1）WEB方式（依赖JAVA环境）；（2）运维客户端方式（不依赖JAVA环境）；（3）客户端工具直连模式（不依赖浏览器和JAVA环境，目前支持运维SSH、TELNET、RDP、VNC，使用方法参见本手册4.9章节）。

2.1WEB方式2.1.1WEB访问方式通过浏览器访问天玥运维安全网关V6.0系统，如图2.1.1所示：（默认URL：https://天玥OSM系统的IP，如果web服务端口不是默认的443，登录URL地址需要加上web服务当前的端口号，例如：https://172.16.67.201:10443）。

【安全生产】网神安全网关配置方法xxxx年xx月xx日xxxxxxxx集团企业有限公司Please enter your company's name and contentv1. 将计算机IP地址设置为10.50.10.44，掩码255.255.255.0，网关10.50.10.45，连接在VPN网关的FE1口。

2. 打开VPN网关配套光盘中的Admin Cert目录，双击证书文件SecGateAdmin.p12，弹出如下窗口。

按提示进行安装，密码为“123456”，其它按默认即可安装成功。

3. 在IE浏览器中输入： https://10.50.10.45:8889，密码为firewall进入VPN网关管理界面。

4. 进入VPN网关管理界面。

5. 选择系统配置——》导入导出。

点击“浏览”，选择配置文件fwconfig.txt。

fwconfig.txt 如下：# hardware version: SecGate 3600-F3(SJW79)A# software version: 3.6.4.26# hostname: SecGate# serial number: f6f335072669bb05defaddr delalladdrdefaddr add DMZ 0.0.0.0/0.0.0.0 comment "DMZ"defaddr add Trust 0.0.0.0/0.0.0.0 comment "Trust"defaddr add Untrust 0.0.0.0/0.0.0.0 comment "Untrust"vpn set default prekey PleaseInputPrekey ikelifetime 28800 ipseclifetime 3600 vpnstatus on vpnbak offvpn onvpn add remote static main psk name xian addr 222.91.74.218 prekey PleaseInputPrekey ike 3des-sha1-dh5,aes-sha1-dh5 initiate on obey off nat_t on ikelifetime 28800 dpddelay 0 dpdtimeout 0vpn add tunnel name xian_qianxian local 61.185.40.23 remote xian auth esp ipsec aes128-md5,3des-sha1 pfs on dh_group 5 ipseclifetime 3600proxy_localip 0.0.0.0 proxy_localmask 0.0.0.0 proxy_remoteip 0.0.0.0proxy_remotemask 0.0.0.0anti synflood fe1 200anti icmpflood fe1 1000anti pingofdeath fe1 800anti udpflood fe1 1000anti pingsweep fe1 10anti tcpportscan fe1 10anti udpportscan fe1 10anti synflood fe2 200anti icmpflood fe2 1000anti pingofdeath fe2 800anti udpflood fe2 1000anti pingsweep fe2 10anti tcpportscan fe2 10anti udpportscan fe2 10anti synflood fe3 200anti icmpflood fe3 1000anti pingofdeath fe3 800anti udpflood fe3 1000anti pingsweep fe3 10anti tcpportscan fe3 10anti udpportscan fe3 10anti synflood fe4 200anti icmpflood fe4 1000anti pingofdeath fe4 800anti udpflood fe4 1000anti pingsweep fe4 10anti tcpportscan fe4 10anti udpportscan fe4 10sysif set fe1 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe2 speed auto mtu 1500 ipmac off macpolicy permit mode routesroute off log off anti off nonip deny idsblock off vlan offsysif set fe3 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe4 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysip add fe1 10.50.10.45 255.255.255.0 ping off admin on adminping on traceroute onsysip add fe4 61.185.40.23 255.255.255.128 ping on admin on adminping off traceroute offsysip add fe3 172.24.40.100 255.255.255.0 ping on admin on adminping off traceroute offvrrpbunch delay 10route add droute any 61.185.40.1mngglobal set cpu 80 mem 80 fs 80 rcomm "public" wcomm "private" trapc "public" username "snmpuser" level "AuthnoPriv" authpass "12345678" crypt "MD5"mngglobal add snmpip 222.91.74.218mngglobal onlogsrv set 222.91.74.218 514 udpmngacct set admin password "firewall"mngacct multi onmngacct failtime 5 blocktime 30 period 120dns set sysname SecGateipcftcheck offlongconn set 1800statetable udp 20 icmp 5statetable overtime establish 1800 syn 120dnsrelay set autordweb srcaddr any dstaddr anyrdweb dstport 80vpn set dhcp active off dhcpserver 127.0.0.1 interface lotimeout set web 600bandwidth add p2p_band priority 3 minbw 60 maxbw 160 comment "建议仅用于P2P带宽限制"ftpactive port20 keep offtcpmss set 1460defsvc set ftp ftp 21defsvc set h323 h323 1720defsvc set sqlnet sqlnet 1521defsvc set sip sip 5060defsvc set rtsp rtsp 554defsvc set mms mms 1755defsvc set pptp pptp 1723defsvc set gk gk 1719defsvc set tftp tftp 69defsvc set ftp comment "文件传输协议"defsvc set h323 comment "Netmeeting服务" defsvc set sqlnet comment "oracle数据库网络连接" defsvc set sip comment "基于sip协议的动态服务" defsvc set rtsp comment "RTSP服务"defsvc set mms comment "MMS服务"defsvc set pptp comment "点到点隧道协议的动态服务" defsvc set gk comment "H.323网守服务"defsvc set tftp comment "TFTP协议"defsvc set icmp icmp comment "ICMP服务"defsvc set ping icmp type 8 comment "PING请求"defsvc set pong icmp type 0 comment "PING回应"defsvc set tcp proto tcp any any comment "tcp协议的所有服务"defsvc set udp proto udp any any comment "udp协议的所有服务"defsvc set gre proto 47 comment "封装协议"defsvc set esp proto 50 comment "VPN加密认证协议"defsvc set ah proto 51 comment "加密协议"defsvc set vrrp proto 112 comment "HA负载均衡协议"defsvc set ssh proto tcp any 22 comment "远程加密登录"defsvc set telnet proto tcp any 23 comment "远程登录协议"defsvc set smtp proto tcp any 25 comment "邮件发送服务"defsvc set http proto tcp any 80 comment "www服务"defsvc set pop3 proto tcp any 110 comment "邮件接收服务"defsvc set ntp proto tcp any 123 comment "时间服务器服务"defsvc set netbios proto tcp any 137 proto tcp any 139 proto udp any 137 proto udp any 138 comment "windows文件共享"defsvc set dhcp proto udp any 67:68 proto tcp any 67:68 comment "dhcp & bootp"defsvc set https proto tcp any 443 comment "https服务"defsvc set pptp_server proto tcp any 1723 proto 47 comment "点到点隧道协议（用于防火墙作为PPTP服务器）"defsvc set dns proto tcp any 53 proto udp any 53 comment "域名解析服务" defsvc set snmp proto udp any 161 comment "简单网络管理协议"defsvc set snmptrap proto udp any 162 comment "snmp trap发送服务" defsvc set syslog proto udp any 514 comment "日志传输协议"defsvc set oicqc proto udp any 4000 comment "QQ客户端打开端口"defsvc set oicqs proto udp any 8000 comment "QQ服务器打开端口"defsvc set secgate_auth proto tcp any 9998 proto udp any 9998 comment "SecGate安全网关用户认证"defsvc set secgate_global proto tcp any 161 proto udp any 161 comment "SecGate安全网关集中管理"defsvc set secgate_https proto tcp any 8889 proto tcp any 8888 comment "SecGate安全网关WEB管理"defsvc set secgate_ha_conf proto tcp any 9223 proto udp any 9455 comment "SecGate安全网关HA功能配置同步服务"defsvc set virus_blaster proto tcp any 135:139 proto udp any 135:139 proto tcp any 4444 proto udp any 69 comment "冲击波影响端口"defsvc set virus_sasser proto tcp any 445 proto tcp any 1025 proto tcp any 1068 proto tcp any 5554 proto tcp any 9995:9996 proto udp any 9995:9996 comment "震荡波影响端口"defsvc set virus_sqlworm proto udp any 1434 comment "SQL蠕虫影响端口" defsvc set pcanywhere proto tcp any 5631:5632 proto udp any 5631:5632 comment "pcanywhere"defsvc set lotusnote proto tcp any 1352 proto udp any 1352 comment "lotus notes"defsvc set ike proto udp any 500 proto udp any 4500 comment "Internet密钥交换协议"defsvc set l2tp proto udp any 1701 comment "第二层隧道协议"defsvc set thunder proto tcp any 3075:3079 proto tcp 3075:3079 any comment "迅雷端口"defproxy set http port 80 java permit javascript permit activex permit defproxy set ftp port 21 get permit put permit multi permitdefproxy set telnet port 23defproxy set smtp port 25 domain server maildomain mailserver 1.1.1.1 maxlength 5120 maxreceiver 5 sendinterval 10 sendamount 100defproxy set pop3 port 110 maxlength 5120ips atkresp onlogips backdoor onlogips info onlogips multimedia onlogips p2p onlogips porn onlogips scan onlogips virus onlogips webcf onlogips webcgi onlogips webclient onlogips webfp onlogips webiis onlogips webmisc onlogips webphp onloglimitp2p set apple deny limitp2p set ares deny limitp2p set bt deny limitp2p set dc deny limitp2p set edonkey deny limitp2p set gnu deny limitp2p set kazaa deny limitp2p set msn deny limitp2p set qq deny limitp2p set skype deny limitp2p set soul deny limitp2p set winmx denydefdomain detect offpolicy add permit id 1 name p1 in any out any service ike time none log on active onpolicy add permit id 2 name 集中管理主机from 222.91.74.218/255.255.255.255 to 219.145.109.30/255.255.255.255 in any out any service secgate_global time none log on active onpolicy add permit id 3 name p2 from 172.24.40.0/255.255.255.0 to192.168.5.0/255.255.255.0 in any out any time none log on tunnel xian_qianxian active onpolicy add permit id 4 name p3 from 192.168.5.0/255.255.255.0 to172.24.40.0/255.255.255.0 in any out any time none log on tunnel xian_qianxian active onpolicy add nat id 5 name p5 from 172.24.40.0/255.255.255.0 sat 61.185.40.23 in any out any time none active onwormfilter set sobig ignorewormfilter set ramen ignorewormfilter set welchia ignorewormfilter set agobot ignorewormfilter set opaserv ignorewormfilter set blaster ignorewormfilter set sadmind ignorewormfilter set slapper ignorewormfilter set novarg ignorewormfilter set slammer ignorewormfilter set zafi ignorewormfilter set bofra ignorewormfilter set dipnet ignorewormfilter offdefantivirus set smtp discard on alarm on defantivirus set smtpfile filenum 500 filesize 10 dirnum 8 defantivirus set pop3file filenum 500 filesize 10 dirnum 8 defantivirus set ftp discard ondefantivirus set ftpfile filenum 500 filesize 10 dirnum 8 defantivirus set http discard ondefantivirus set httpfile filesize 10 check html defantivirus update offpolicy stateless offmnghost add 10.50.10.44 "出厂默认管理主机"mnghost add 117.32.132.10mnghost add 222.91.74.218mnghost add 172.24.40.10mnghost limitless onauthsrv local 9998 9998authsrv radius 1.1.1.1 1812 1813 123456authsrv on localsyncfg set if none state backup backupif offstp set priority 32768stp startrouter rip interface fe1 auth offrouter rip interface fe2 auth offrouter rip interface fe3 auth offrouter rip interface fe4 auth offrouter rip set version 2 metric 16 update 30 garbage 120 timeout 180 router ospf interface fe1 auth off mode text passwd none cost 10 router ospf interface fe2 auth off mode text passwd none cost 10 router ospf interface fe3 auth off mode text passwd none cost 10 router ospf interface fe4 auth off mode text passwd none cost 10 router ospf set routerid 1 rfc1583 on以上另存为TXT 文本即可这时会出现提示“重启安全网关”，点击即可。

服务热线：400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一．链路负载均衡 (3)1.1基于目的路由的流量负载 (4)1.2基于源路由的流量负载 (6)1.3基于策略路由的流量负载 (7)1.4智能链路负载均衡 (9)二．流量控制QOS配置 (10)2.1配置IP Q O S (10)2.2配置应用Q O S (14)2.3配置混合Q O S (16)2.4配置Q O S白名单 (18)三．NBC网络行为控制配置 (19)3.1URL过滤(有URL许可证) (20)3.2URL过滤（无URL库许可证） (25)3.3网页关键字过滤 (28)3.4网络聊天控制 (33)四．VPN高级配置 (35)4.1基于USB-KEY的SCVPN配置 (35)4.2P N P-VPN (48)五．高可靠性HA配置 (60)一．链路负载均衡当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。

配置多链路负载均衡前，先保证接口，snat和策略都配置正确。

1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认：2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）：1.1基于目的路由的流量负载例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。

即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。

Web页面配置如下：1．网络-〉路由-〉新建 :2．创建一条默认路由权值为2，即可得到配置如下：如此即可实现流量从e0/1转发和从e0/2转发的比是10：20即流量的1：2负载。

联想网御安全网关SAG用户手册联想网御科技（北京）有限公司前言感谢您使用联想网御安全网关SAG。

联想网御安全网关SAG系列接入网关是适用于中小型企业/大中型企业/政府机关/移动用户的综合接入网关，为用户远程访问网络服务提供安全保护，主要功能包括：身份认证：确保远程访问者不是恶意用户；访问控制：确保访问者只能访问被授权访问的服务和信息；数据加密：确保所有数据在网络传输过程中都是被加密的，防止被窃听；SAG网关是在SSL协议基础上实现的远程接入安全平台，无需改变网络结构和应用模式，完全支持Web应用，以及Exchange、SMB、、CRM、ERP、Mail、Oracle和SQL Server 等C/S模式的应用。

和传统SSLVPN接入网关相比，SAG网关突破了SSL的局限性，创新性地对SSLVPN网关技术进行了拓展：SSLVPN网关到网关模式：和IPSEC VPN相比，传统SSLVPN适用于终端到网关模式的部署方式，SAG突破了这种局限，创新性地实现了网关到网关模式的SSLVPN技术；客户端自动获取域名解析(DNS)配置：和IPSEC VPN相比，SSLVPN无需安装客户端软件，但是传统的SSLVPN客户端无法通过DHCP协议自动从接入网关获取DNS配置，因此SSLVPN无法使用企业内部DNS服务器。

SAG创新性地实现了客户端自动从接入网关获取域名解析服务。

支持网络邻居：网络邻居是Microsoft Windows操作系统基于NetBIOS协议实现的网络文件共享功能，网络邻居难以跨越路由器在互联网范围内实现。

SAG网关能够确保用户远程接入内网的同时正常使用内网的网络邻居功能。

安全远程桌面功能：Microsoft Windows提供的远程桌面功能被网络管理人员广泛采用，但是远程桌面功能无法对远程接入用户进行细颗粒的安全限制，因此存在巨大安全隐患。

SAG网关的【远程终端】服务，实现了对Microsoft Windows远程桌面的安全拓展，用户可通过接入网关开放远程桌面的同时，限制远程用户所能访问的资源和应用程序。

安全网关传输协议在网络安全领域中，安全网关传输协议被广泛运用于保护数据传输的安全性。

本文将介绍安全网关传输协议的定义、原理和应用，并分析其对网络安全的重要性。

一、安全网关传输协议的定义安全网关传输协议（Secure Gateway Transmission Protocol）是一种用于数据传输的加密协议，旨在确保数据在网络中的安全传输。

它通过加密技术和认证授权机制，保护数据免受非法访问、篡改和窃听的威胁。

二、安全网关传输协议的原理1. 加密技术：安全网关传输协议使用加密算法对数据进行加密，使其在传输过程中无法被未经授权的人使用。

常用的加密算法包括对称加密算法和非对称加密算法。

2. 认证授权机制：安全网关传输协议通过认证授权机制确保数据的发送者和接收者的身份合法可信。

常见的认证授权方式包括数字证书、口令认证和双因素认证等。

3. 数据完整性校验：安全网关传输协议通过校验和、消息认证码等方式验证数据在传输过程中是否被篡改或损坏，保证数据的完整性。

三、安全网关传输协议的应用安全网关传输协议广泛应用于以下场景中：1. 远程访问：在企业或组织的网络环境中，员工需要远程访问内部资源以便进行工作。

安全网关传输协议可以保证员工在远程访问过程中的数据传输安全，防止敏感信息被窃取或篡改。

2. 跨网络传输：当数据需要在不同的网络环境中传输时，安全网关传输协议可以确保数据在传输过程中的安全性。

例如，在跨境电子商务中，安全网关传输协议可以加密和保护客户的支付信息。

3. 云服务安全：随着云计算的发展，越来越多的企业将数据存储和处理转移到云平台上。

安全网关传输协议可以保障云服务提供商和用户之间的数据传输安全，防止数据泄露或被黑客攻击。

四、安全网关传输协议对网络安全的重要性安全网关传输协议在网络安全中起到了至关重要的作用。

它可以有效避免敏感数据在传输过程中被窃取、篡改或破坏。

其重要性体现在以下几个方面：1. 数据安全保护：安全网关传输协议通过数据加密和身份认证等措施，确保数据在传输过程中的安全性。

加密安全网关使用说明1设备介绍IP-guard安全网关控制设备（以下简称控制器），分为三个型号：IPG-2000：3个千兆网卡，其中管理端口为EMP；IPG-3000：4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP；IPG-4000：4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP；说明管理端口的固定IP为190.190.190.190，初始配置时使用；BYPASS功能，可以在控制器断电或死机的情况下，将控制器所连接的两端直接物理上导通，不影响网络的使用。

2部署前提先部署好需要保护的服务器环境。

3具体部署过程3.1安装安全网关管理器运行网络准入管理器安装程序SGManSetup.exe，根据默认提示安装。

3.2部署安全网关3.2.1安全网关IP设置首先要确定安全网关串联接入网络中的具体位置，据此确定安全网关的IP地址，接着便要开始设置安全网关的IP。

安全网关管理端口的固定IP为190.190.190.190，通过管理端口进行安全网关IP配置。

设置的具体操作如下：1)计算机A安装了安全网关管理器，使计算机A脱离内网环境，而直接用网线将安全网关的管理端口与计算机A连接，修改计算机A的IP，让它能与安全网关通讯。

如修改计算机A的IP如下：IP地址：190.190.190.1子网掩码：255.255.255.0默认网关：可不填2)在计算机A上开始菜单中运行安全网关管理器，操作：【工具→控制器连接参数】，如图1：图1控制器：输入控制器的固定IP，即190.190.190.190；密码：初始为空3)输入完毕，点击【确定】，此时【工具->控制器管理】为可选状态，点击进入，弹出控制器管理窗口，如图2：图24)点击【设置网络参数】，弹出安全网关设置IP的对话框，如图3：图35)点击【确定】，设置的网络参数需要重启生效，点击控制器管理界面的【重启控制器】，重启之后，安全网关IP修改成功。