网神防火墙-防火墙管理

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (20)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (22)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (23)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (24)第二章、系统管理 (25)1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (28)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (41)1.9 在升级前测试固件 (43)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (53)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (71)2.3 配置网络选项 (73)2.4 配置SecGateDNS服务 (74)2.5 配置显式网络代理 (80)3. 系统动态主机设置协议服务器(DHCP) (88)3.1 SecGate DHCP服务器和中继 (88)3.2 配置DHCP服务 (89)3.3查看地址租借 (94)4.系统配置 (95)4.1 HA (95)4.2 简单网络管理协议（SNMP） (105)4.3 替换信息 (118)4.4 操作模式和虚拟域管理入口 (125)5.系统管理 (128)5.1 管理员 (128)5.2 管理资料 (142)5.3 设置 (146)5.4 SecGateIPv6支持 (150)6. 系统认证 (156)6.1 本地证书 (157)6.2 CA证书 (163)第三章、路由 (165)1. 路由静态 (165)1.1 路由概念 (166)1.2 如何建立路由表 (167)1.3 如何做出路由判定 (167)1.4 多路径路由以及决定最佳路线 (168)1.5 路线优先 (170)1.6 黑洞路由 (170)2. 静态路由 (171)2.1 使用静态路由 (171)2.2 默认路由和默认网关 (175)2.3 添加静态路由至路由表 (177)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (179)3.1 ECMP路由同步会话至相同目标IP地址 (181)3.2 配置溢出或基于使用ECMP (182)3.3 从CLI中添加权重至静态路由 (189)4. 策略路由 (191)5. 路由信息协议（RIP） (197)5.1 RIP页面 (197)5.2 RIP网页网络部分 (198)5.3 RIP网页的接口部分 (199)5.4 高级RIP选项 (199)5.5 RIP-启用接口 (202)6. 开放式最短路径优先（OSPF） (203)6.1 定义OSPF自主系统—概览 (204)6.2 基本OSPF设置 (204)6.3 OSPF页面 (205)6.4 OSPF页面的区域部分 (205)6.5 OSPF页面网络部分 (206)6.6 OSPF页面的接口部分 (207)6.7 高级OSPF选项 (207)6.8 OSPF页面高级选项 (208)6.9 定义OSPF区域 (209)6.10 OSPF网络 (212)6.11 OSPF接口的运行参数 (212)7. 边界网关协议（BGP） (215)7.1 BGP页面 (216)7.2 BGP页面领域部分 (217)7.3 BGP页面网络部分 (217)8. 多路广播 (218)8.1 覆盖接口多路广播设置 (220)8.2 多路广播目标NAT (221)9. 双向转发检测（BFD） (222)9.1 配置BFD (222)10. 路由器监控 (225)10.1 查看路由信息 (226)10.2 查找SecGate路由表 (229)第四章、防火墙 (230)1. 策略 (231)1.1 身份识别防火墙策略 (243)1.2 中心网络地址转换（NAT）表 (250)1.3 互联网协议第六版(IPv6)策略 (252)1.4 拒绝服务（DoS）策略 (252)2. 地址 (255)2.1 地址列表 (256)2.2 地址组 (258)3. 服务 (260)3.1 预定义服务器列表 (260)3.2 定制服务 (268)3.3 定制化服务组 (270)4. 时间表 (271)4.1 循环时间表列表 (272)4.2 一次性时间表列表 (273)4.3 时间表组 (275)5. 流量整形器 (276)5.1 共享流量整形器 (277)5.2 Per-IP模式流量整形 (279)6. 虚拟IP地址 (280)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (281)6.2 虚拟IP地址 (282)6.3 虚拟域IP地址(VIP)组 (285)6.4 IP地址池 (287)7. 负载均衡功能 (288)7.1 虚拟服务器 (289)7.2 有效服务器 (296)7.3 健康检查监控器 (297)7.4 监控服务器 (300)第五章、UTM (301)1.拒绝服务（DoS）感应器 (301)2.SYN代理 (304)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (305)4.了解异常状况 (305)第六章、虚拟专用网(IPsec VPN) (307)1.IPSec VPN概述 (307)2.策略性对路由型虚拟专用网络(VPN) (309)3.自动交换密钥（IKE） (312)3.1 第一阶段配置 (313)3.2 第一阶段高级配置设定 (317)3.3 第二阶段配置 (322)3.4 第二阶段高级配置设定 (323)4.人工密钥 (328)4.1 新人工密钥配置 (329)5.集中器 (333)6.监控虚拟专用网络(VPN) (335)7.安全套接层虚拟专用网络(SSL VPN) (337)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (338)7.2 基本配置步骤 (339)7.3 配置（Config） (340)7.4 界面 (343)7.5 界面设定 (345)7.6 界面小部件 (346)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (347)第七章、用户 (348)1.用户 (349)1.1 本地用户账户 (349)1.2 身份认证设置 (352)2.用户组 (354)2.1 防火墙型用户组 (356)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (357)3.远程 (359)3.1 RADIUS (359)3.2 轻量级目录访问协议（LDAP） (362)3.3 TACACS+ (366)4.监控 (368)4.1 防火墙用户监控表 (368)第八章、日志与报告 (371)1.日志与报告概述 (372)2.什么是日志? (373)2.1 日志类型和分类型 (374)3.示例 (377)日志信息 (377)4.SecGate如何储存日志 (378)4.1 远程存储到系统日志服务器 (379)4.2 本地存储到内存 (381)4.3 本地存储到硬盘 (382)5.事件日志 (383)5.1 告警电子邮件 (384)6.接入并查看日志信息 (386)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (20)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (22)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (23)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (24)第二章、系统管理 (25)1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (28)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (41)1.9 在升级前测试固件 (43)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (53)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (71)2.3 配置网络选项 (73)2.4 配置SecGateDNS服务 (74)2.5 配置显式网络代理 (80)3. 系统动态主机设置协议服务器(DHCP) (88)3.1 SecGate DHCP服务器和中继 (88)3.2 配置DHCP服务 (89)3.3查看地址租借 (94)4.系统配置 (95)4.1 HA (95)4.2 简单网络管理协议（SNMP） (105)4.3 替换信息 (118)4.4 操作模式和虚拟域管理入口 (125)5.系统管理 (128)5.1 管理员 (128)5.2 管理资料 (142)5.3 设置 (146)5.4 SecGateIPv6支持 (150)6. 系统认证 (156)6.1 本地证书 (157)6.2 CA证书 (163)第三章、路由 (165)1. 路由静态 (165)1.1 路由概念 (166)1.2 如何建立路由表 (167)1.3 如何做出路由判定 (167)1.4 多路径路由以及决定最佳路线 (168)1.5 路线优先 (170)1.6 黑洞路由 (170)2. 静态路由 (171)2.1 使用静态路由 (171)2.2 默认路由和默认网关 (175)2.3 添加静态路由至路由表 (177)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (179)3.1 ECMP路由同步会话至相同目标IP地址 (181)3.2 配置溢出或基于使用ECMP (182)3.3 从CLI中添加权重至静态路由 (189)4. 策略路由 (191)5. 路由信息协议（RIP） (197)5.1 RIP页面 (197)5.2 RIP网页网络部分 (198)5.3 RIP网页的接口部分 (199)5.4 高级RIP选项 (199)5.5 RIP-启用接口 (202)6. 开放式最短路径优先（OSPF） (203)6.1 定义OSPF自主系统—概览 (204)6.2 基本OSPF设置 (204)6.3 OSPF页面 (205)6.4 OSPF页面的区域部分 (205)6.5 OSPF页面网络部分 (206)6.6 OSPF页面的接口部分 (207)6.7 高级OSPF选项 (207)6.8 OSPF页面高级选项 (208)6.9 定义OSPF区域 (209)6.10 OSPF网络 (212)6.11 OSPF接口的运行参数 (212)7. 边界网关协议（BGP） (215)7.1 BGP页面 (216)7.2 BGP页面领域部分 (217)7.3 BGP页面网络部分 (217)8. 多路广播 (218)8.1 覆盖接口多路广播设置 (220)8.2 多路广播目标NAT (221)9. 双向转发检测（BFD） (222)9.1 配置BFD (222)10. 路由器监控 (225)10.1 查看路由信息 (226)10.2 查找SecGate路由表 (229)第四章、防火墙 (230)1. 策略 (231)1.1 身份识别防火墙策略 (243)1.2 中心网络地址转换（NAT）表 (250)1.3 互联网协议第六版(IPv6)策略 (252)1.4 拒绝服务（DoS）策略 (252)2. 地址 (255)2.1 地址列表 (256)2.2 地址组 (258)3. 服务 (260)3.1 预定义服务器列表 (260)3.2 定制服务 (268)3.3 定制化服务组 (270)4. 时间表 (271)4.1 循环时间表列表 (272)4.2 一次性时间表列表 (273)4.3 时间表组 (275)5. 流量整形器 (276)5.1 共享流量整形器 (277)5.2 Per-IP模式流量整形 (279)6. 虚拟IP地址 (280)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (281)6.2 虚拟IP地址 (282)6.3 虚拟域IP地址(VIP)组 (285)6.4 IP地址池 (287)7. 负载均衡功能 (288)7.1 虚拟服务器 (289)7.2 有效服务器 (296)7.3 健康检查监控器 (297)7.4 监控服务器 (300)第五章、UTM (301)1.拒绝服务（DoS）感应器 (301)2.SYN代理 (304)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (305)4.了解异常状况 (305)第六章、虚拟专用网(IPsec VPN) (307)1.IPSec VPN概述 (307)2.策略性对路由型虚拟专用网络(VPN) (309)3.自动交换密钥（IKE） (312)3.1 第一阶段配置 (313)3.2 第一阶段高级配置设定 (317)3.3 第二阶段配置 (322)3.4 第二阶段高级配置设定 (323)4.人工密钥 (328)4.1 新人工密钥配置 (329)5.集中器 (333)6.监控虚拟专用网络(VPN) (335)7.安全套接层虚拟专用网络(SSL VPN) (337)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (338)7.2 基本配置步骤 (339)7.3 配置（Config） (340)7.4 界面 (343)7.5 界面设定 (345)7.6 界面小部件 (346)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (347)第七章、用户 (348)1.用户 (349)1.1 本地用户账户 (349)1.2 身份认证设置 (352)2.用户组 (354)2.1 防火墙型用户组 (356)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (357)3.远程 (359)3.1 RADIUS (359)3.2 轻量级目录访问协议（LDAP） (362)3.3 TACACS+ (366)4.监控 (368)4.1 防火墙用户监控表 (368)第八章、日志与报告 (371)1.日志与报告概述 (372)2.什么是日志? (373)2.1 日志类型和分类型 (374)3.示例 (377)日志信息 (377)4.SecGate如何储存日志 (378)4.1 远程存储到系统日志服务器 (379)4.2 本地存储到内存 (381)4.3 本地存储到硬盘 (382)5.事件日志 (383)5.1 告警电子邮件 (384)6.接入并查看日志信息 (386)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

配置和管理网络防火墙的技巧与流程随着互联网的迅猛发展，网络安全威胁也不断增加，网络防火墙成为保护企业和个人信息安全的首要防线。

配置和管理网络防火墙是网络安全工作中至关重要的一环，本文将介绍一些配置和管理网络防火墙的技巧和流程。

1. 确定防火墙需求在开始配置和管理网络防火墙之前，首先需要明确防火墙的需求。

这包括确定防火墙的使用场景、保护的对象和目标、安全策略和规则等。

通过详细的需求分析，可以为后续的配置和管理提供指导。

2. 选择合适的网络防火墙设备选择合适的网络防火墙设备是配置和管理网络防火墙的基础。

根据需求来选择网络防火墙设备的型号和厂商，确保其具备丰富的安全功能和高效的性能。

同时，还需要考虑设备的可扩展性和兼容性，以便满足未来的网络需求。

3. 设定防火墙规则设定防火墙规则是配置网络防火墙的核心任务。

在设定规则时，应充分考虑安全需求，并采取合理的策略。

可以根据网络流量和服务类型，设定不同的规则集。

同时，还应该定期审查和更新规则，确保其与实际情况相符。

4. 配置网络防火墙根据设定的规则和需求，对网络防火墙进行具体的配置。

这包括设置基本的网络参数、安全策略、访问控制列表等。

在配置过程中，应遵循“最小权限原则”，即只给予必要的访问权限，以减少潜在的安全风险。

5. 定期检查和更新网络防火墙配置和管理网络防火墙是一个持续的过程。

定期检查和更新网络防火墙是保持网络安全的重要手段。

这包括检查规则集的正确性和合理性、软件和固件的更新、漏洞的修复等。

只有不断地加强和改进防火墙的安全性，才能有效应对不断变化的威胁。

6. 监控和日志分析监控和日志分析是管理网络防火墙的必备技巧。

通过监控网络流量和防火墙日志，可以及时发现和应对潜在的安全威胁。

同时，还可以帮助解决网络故障和性能问题，提高网络运行效率。

因此，建立有效的监控和分析系统是配置和管理网络防火墙的重要环节。

7. 加强员工培训和意识除了技术层面的配置和管理，加强员工培训和意识也是网络安全的重要组成部分。

360网神虚拟化下一代防火墙部署青云指导手册360企业安全集团2017年4月目录第一章概述 (3)1.1.产品介绍 (3)1.2.安装要求及其注意事项 (3)第二章设备介绍 (4)2.1.设备列表 (4)第三章上线购买说明 (4)3.1.登录青云网站 (4)3.2.创建VPC网络 (5)3.3.创建私有网络 (5)3.4.创建虚拟主机 (6)3.4.1.创建vNGFW (6)3.4.2.创建web服务器 (7)3.5.加入私有网络 (8)3.6.查看拓扑 (9)3.7.申请公网IP (10)3.8.配置默认防火墙规则 (11)3.9.配置VPC网络转发规则 (13)3.10.访问V NGFW (14)第四章部署案例 (15)4.1.配置V NGFW (15)4.1.1.配置DNAT规则 (15)4.1.2.配置策略 (16)4.2.配置WEB服务器 (17)4.3.配置青云 (18)4.3.1.创建默认防火墙规则 (18)4.3.2.配置VPC网络转发规则 (18)4.4.验证结果 (19)第五章许可证 (19)5.1.许可证作用 (19)5.2.许可证类型 (19)5.3.获得许可证 (20)第一章概述1.1.产品介绍“360网神虚拟化下一代防火墙”简称为vNGFW,它是一个纯软件形态的产品，是运行在虚拟机上的完全自主知识产权的SecOS操作系统之上。

360网神vNGFW是虚拟机镜像方式存放在青云平台上，所以您需要在创建主机的时候选择360网神虚拟镜像。

1.2.安装要求及其注意事项●本文档适用于青云平台的网络1.0环境，所以在安装部署360网神vNGFW的时候必须选择北京2区或者广东1区。

●安装的配置要求必须选择2个vCPU,内存最低是2G。

●启动实例以后您必须在控制台重置密码才能正常使用（新密码包括字母，数字，特殊字符，至少12位）。

●产品授权方式分为试用版本和正式版本，镜像本身默认提供给用户30天的试用期，在此期间所有的功能都可以正常试用，提前15天会有到期告警信息，试用期过后如果没有新的授权，所有的功能均不能使用。

网神配置说明技术部2010 年 4 月 1 日1. 文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2. 网络环境办公M图一（混合模式）3. 防火墙配置1）预先导入管理证书（登入设备时需要该证书访问）SecGateAdmi n.p12, 导入时所有步骤都是默认，私钥密码为：123456。

2） 在IE 地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为:firewall （IP 地址为设备出厂默认地址）。

3） 选择系统配置一升级许可，观察网神防火墙版本及许可文件最后终止时间，5）点击网络配置一选择网络接口一将内网口FE3外网口 FE2设置为混合模式, 如下图：如下图：如果发现许可证失效，请及时申请 lice4）点击管理配置-添加管理主机（只允许此 IP 地址管理防火墙），如下图:T^K& 淖a ■ ■目 •上一5 * T-S ■置貝它8!王！11帶灿.1-臥监 96）选择接口IP，将FE3 口IP地址为192.168.0.228,并允许所有主机PING,如下图:7）选择对象定义一选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

册棚魚I ■応阴 弱 L [«£ O .D .0 a o Q .CLO 71) 2 Tn 叭 0.0.0 a Q.a.Dia j 阳“科i. o.c.o a o a.D o z 育a Uiirsil 3" 0 4 』1口 ii£ iE3 1 11 J fill JU B f 0 5 出i 昭 1® IM 1 ED E55 2W ；S5 Z55 苗ES S bdfai Z IJE IE3 1 ZT I 1 S3 Z3S 2S& zn 0 t u I ■■園 ■ ±-H * T-El ・| PEC 图一8）选择对象定义-选择服务列表，将 UDP55555端口，添加至此列表并命名为 Ian secs,女口下图:或Ian secs ，如下图:“ URL 重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (13)第一章、基于web管理界面 (14)1.web管理界面页面 (15)2.Web管理界面主菜单 (17)3.使用web管理界面列表 (18)4.在web管理界面列表中增加过滤器 (19)4.1 包含数字栏的滤波器 (21)4.2 包含文本串的滤波器 (21)5.在web管理界面列表中使用页面控制 (22)5.1 使用栏设置来控制显示栏 (24)5.2 使用带有栏设置的过滤器 (25)6.常用web管理界面任务 (25)6.1 连接到web管理界面 (26)6.2 连接到web管理界面 (27)7.修改当前设定 (28)7.1 修改您SecGate管理员密码 (29)7.2 改变web管理界面语言 (29)7.3 改变您SecGate设备管理路径 (30)7.4 改变web管理界面空闲运行时间 (31)7.5 切换VDOMs (31)8.联系客户支持 (31)9.退出 (32)第二章、系统管理 (32)1. 系统仪表板 (32)1.1 仪表板概述 (34)1.2 添加仪表板 (34)1.3 系统信息 (37)1.4 设备操作 (45)1.5 系统资源 (47)1.6 最多的会话 (49)1.7 固件管理条例 (53)1.8 备份您的配置 (54)1.9 在升级前测试固件 (57)1.10 升级您的SecGate设备 (61)1.11 恢复到以前的固件镜像 (65)1.12 存储您的配置 (71)使用虚拟域 (74)2. 系统网络 (80)2.1 配置接口 (83)2.2 配置区域 (95)2.3 配置网络选项 (97)2.4 配置SecGateDNS服务 (99)2.5 配置显式网络代理 (107)3. 系统动态主机设置协议服务器(DHCP) (117)3.1 SecGate DHCP服务器和中继 (118)3.2 配置DHCP服务 (119)3.3查看地址租借 (125)4.系统配置 (126)4.1 HA (127)4.2 简单网络管理协议（SNMP） (141)4.3 替换信息 (157)4.4 操作模式和虚拟域管理入口 (166)5.系统管理 (170)5.1 管理员 (171)5.2 管理资料 (189)5.3 设置 (194)5.4 SecGateIPv6支持 (199)6. 系统认证 (207)6.1 本地证书 (208)6.2 CA证书 (217)第三章、路由 (219)1. 路由静态 (219)1.1 路由概念 (221)1.2 如何建立路由表 (221)1.3 如何做出路由判定 (222)1.4 多路径路由以及决定最佳路线 (223)1.5 路线优先 (225)1.6 黑洞路由 (226)2. 静态路由 (227)2.1 使用静态路由 (227)2.2 默认路由和默认网关 (232)2.3 添加静态路由至路由表 (235)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (237)3.1 ECMP路由同步会话至相同目标IP地址 (240)3.2 配置溢出或基于使用ECMP (241)3.3 从CLI中添加权重至静态路由 (251)4. 策略路由 (254)5. 路由信息协议（RIP） (262)5.1 RIP页面 (262)5.2 RIP网页网络部分 (263)5.3 RIP网页的接口部分 (264)5.4 高级RIP选项 (265)5.5 RIP-启用接口 (268)6. 开放式最短路径优先（OSPF） (270)6.1 定义OSPF自主系统—概览 (271)6.2 基本OSPF设置 (272)6.3 OSPF页面 (272)6.4 OSPF页面的区域部分 (273)6.5 OSPF页面网络部分 (274)6.6 OSPF页面的接口部分 (275)6.7 高级OSPF选项 (276)6.8 OSPF页面高级选项 (276)6.9 定义OSPF区域 (278)6.10 OSPF网络 (281)6.11 OSPF接口的运行参数 (282)7. 边界网关协议（BGP） (286)7.1 BGP页面 (287)7.2 BGP页面领域部分 (288)7.3 BGP页面网络部分 (289)8. 多路广播 (289)8.1 覆盖接口多路广播设置 (292)8.2 多路广播目标NAT (294)9. 双向转发检测（BFD） (295)9.1 配置BFD (296)10. 路由器监控 (300)10.1 查看路由信息 (301)10.2 查找SecGate路由表 (305)第四章、防火墙 (306)1. 策略 (307)1.1 身份识别防火墙策略 (323)1.2 中心网络地址转换（NAT）表 (334)1.3 互联网协议第六版(IPv6)策略 (336)1.4 拒绝服务（DoS）策略 (336)2. 地址 (341)2.1 地址列表 (341)2.2 地址组 (344)3. 服务 (348)3.1 预定义服务器列表 (348)3.2 定制服务 (359)3.3 定制化服务组 (361)4. 时间表 (363)4.1 循环时间表列表 (364)4.2 一次性时间表列表 (366)4.3 时间表组 (368)5. 流量整形器 (370)5.1 共享流量整形器 (371)5.2 Per-IP模式流量整形 (374)6. 虚拟IP地址 (376)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (376)6.2 虚拟IP地址 (377)6.3 虚拟域IP地址(VIP)组 (382)6.4 IP地址池 (384)7. 负载均衡功能 (386)7.1 虚拟服务器 (387)7.2 有效服务器 (397)7.3 健康检查监控器 (399)7.4 监控服务器 (402)第五章、UTM (403)1.拒绝服务（DoS）感应器 (404)2.SYN代理 (408)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (409)4.了解异常状况 (409)第六章、虚拟专用网(IPsec VPN) (411)1.IPSec VPN概述 (412)2.策略性对路由型虚拟专用网络(VPN) (415)3.自动交换密钥（IKE） (418)3.1 第一阶段配置 (419)3.2 第一阶段高级配置设定 (426)3.3 第二阶段配置 (433)3.4 第二阶段高级配置设定 (434)4.人工密钥 (440)4.1 新人工密钥配置 (441)5.集中器 (447)6.监控虚拟专用网络(VPN) (449)7.安全套接层虚拟专用网络(SSL VPN) (452)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (453)7.2 基本配置步骤 (455)7.3 配置（Config） (457)7.4 界面 (460)7.5 界面设定 (464)7.6 界面小部件 (465)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (467)第七章、用户 (468)1.用户 (469)1.1 本地用户账户 (469)1.2 身份认证设置 (472)2.用户组 (475)2.1 防火墙型用户组 (478)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (479)3.远程 (481)3.1 RADIUS (482)3.2 轻量级目录访问协议（LDAP） (486)3.3 TACACS+ (491)4.监控 (493)4.1 防火墙用户监控表 (494)第八章、日志与报告 (498)1.日志与报告概述 (499)2.什么是日志? (500)2.1 日志类型和分类型 (501)3.示例 (505)日志信息 (505)4.SecGate如何储存日志 (506)4.1 远程存储到系统日志服务器 (507)4.2 本地存储到内存 (510)4.3 本地存储到硬盘 (511)5.事件日志 (512)5.1 告警电子邮件 (514)6.接入并查看日志信息 (517)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号( PPP ) 接入( 连接AUX口)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种模式接入网络：路由模式和混合模式。

在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

二、防火墙硬件描述SecGate 3600系列防火墙前面板、后面板示意图分别见随机印刷页。

三、防火墙安装1．安全使用注意事项本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (13)第一章、基于web管理界面 (14)1.web管理界面页面 (15)2.Web管理界面主菜单 (17)3.使用web管理界面列表 (18)4.在web管理界面列表中增加过滤器 (19)4.1 包含数字栏的滤波器 (21)4.2 包含文本串的滤波器 (21)5.在web管理界面列表中使用页面控制 (22)5.1 使用栏设置来控制显示栏 (24)5.2 使用带有栏设置的过滤器 (25)6.常用web管理界面任务 (25)6.1 连接到web管理界面 (26)6.2 连接到web管理界面 (27)7.修改当前设定 (28)7.1 修改您SecGate管理员密码 (29)7.2 改变web管理界面语言 (29)7.3 改变您SecGate设备管理路径 (30)7.4 改变web管理界面空闲运行时间 (31)7.5 切换VDOMs (31)8.联系客户支持 (31)9.退出 (32)第二章、系统管理 (32)1. 系统仪表板 (32)1.1 仪表板概述 (34)1.2 添加仪表板 (34)1.3 系统信息 (37)1.4 设备操作 (45)1.5 系统资源 (47)1.6 最多的会话 (49)1.7 固件管理条例 (53)1.8 备份您的配置 (54)1.9 在升级前测试固件 (57)1.10 升级您的SecGate设备 (61)1.11 恢复到以前的固件镜像 (65)1.12 存储您的配置 (71)使用虚拟域 (74)2. 系统网络 (80)2.1 配置接口 (83)2.2 配置区域 (95)2.3 配置网络选项 (97)2.4 配置SecGateDNS服务 (99)2.5 配置显式网络代理 (107)3. 系统动态主机设置协议服务器(DHCP) (117)3.1 SecGate DHCP服务器和中继 (118)3.2 配置DHCP服务 (119)3.3查看地址租借 (125)4.系统配置 (126)4.1 HA (127)4.2 简单网络管理协议（SNMP） (141)4.3 替换信息 (157)4.4 操作模式和虚拟域管理入口 (166)5.系统管理 (170)5.1 管理员 (171)5.2 管理资料 (189)5.3 设置 (194)5.4 SecGateIPv6支持 (199)6. 系统认证 (207)6.1 本地证书 (208)6.2 CA证书 (217)第三章、路由 (219)1. 路由静态 (219)1.1 路由概念 (221)1.2 如何建立路由表 (221)1.3 如何做出路由判定 (222)1.4 多路径路由以及决定最佳路线 (223)1.5 路线优先 (225)1.6 黑洞路由 (226)2. 静态路由 (227)2.1 使用静态路由 (227)2.2 默认路由和默认网关 (232)2.3 添加静态路由至路由表 (235)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (237)3.1 ECMP路由同步会话至相同目标IP地址 (240)3.2 配置溢出或基于使用ECMP (241)3.3 从CLI中添加权重至静态路由 (251)4. 策略路由 (254)5. 路由信息协议（RIP） (262)5.1 RIP页面 (262)5.2 RIP网页网络部分 (263)5.3 RIP网页的接口部分 (264)5.4 高级RIP选项 (265)5.5 RIP-启用接口 (268)6. 开放式最短路径优先（OSPF） (270)6.1 定义OSPF自主系统—概览 (271)6.2 基本OSPF设置 (272)6.3 OSPF页面 (272)6.4 OSPF页面的区域部分 (273)6.5 OSPF页面网络部分 (274)6.6 OSPF页面的接口部分 (275)6.7 高级OSPF选项 (276)6.8 OSPF页面高级选项 (276)6.9 定义OSPF区域 (278)6.10 OSPF网络 (281)6.11 OSPF接口的运行参数 (282)7. 边界网关协议（BGP） (286)7.1 BGP页面 (287)7.2 BGP页面领域部分 (288)7.3 BGP页面网络部分 (289)8. 多路广播 (289)8.1 覆盖接口多路广播设置 (292)8.2 多路广播目标NAT (294)9. 双向转发检测（BFD） (295)9.1 配置BFD (296)10. 路由器监控 (300)10.1 查看路由信息 (301)10.2 查找SecGate路由表 (305)第四章、防火墙 (306)1. 策略 (307)1.1 身份识别防火墙策略 (323)1.2 中心网络地址转换（NAT）表 (334)1.3 互联网协议第六版(IPv6)策略 (336)1.4 拒绝服务（DoS）策略 (336)2. 地址 (341)2.1 地址列表 (341)2.2 地址组 (344)3. 服务 (348)3.1 预定义服务器列表 (348)3.2 定制服务 (359)3.3 定制化服务组 (361)4. 时间表 (363)4.1 循环时间表列表 (364)4.2 一次性时间表列表 (366)4.3 时间表组 (368)5. 流量整形器 (370)5.1 共享流量整形器 (371)5.2 Per-IP模式流量整形 (374)6. 虚拟IP地址 (376)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (376)6.2 虚拟IP地址 (377)6.3 虚拟域IP地址(VIP)组 (382)6.4 IP地址池 (384)7. 负载均衡功能 (386)7.1 虚拟服务器 (387)7.2 有效服务器 (397)7.3 健康检查监控器 (399)7.4 监控服务器 (402)第五章、UTM (403)1.拒绝服务（DoS）感应器 (404)2.SYN代理 (408)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (409)4.了解异常状况 (409)第六章、虚拟专用网(IPsec VPN) (411)1.IPSec VPN概述 (412)2.策略性对路由型虚拟专用网络(VPN) (415)3.自动交换密钥（IKE） (418)3.1 第一阶段配置 (419)3.2 第一阶段高级配置设定 (426)3.3 第二阶段配置 (433)3.4 第二阶段高级配置设定 (434)4.人工密钥 (440)4.1 新人工密钥配置 (441)5.集中器 (447)6.监控虚拟专用网络(VPN) (449)7.安全套接层虚拟专用网络(SSL VPN) (452)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (453)7.2 基本配置步骤 (455)7.3 配置（Config） (457)7.4 界面 (460)7.5 界面设定 (464)7.6 界面小部件 (465)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (467)第七章、用户 (468)1.用户 (469)1.1 本地用户账户 (469)1.2 身份认证设置 (472)2.用户组 (475)2.1 防火墙型用户组 (478)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (479)3.远程 (481)3.1 RADIUS (482)3.2 轻量级目录访问协议（LDAP） (486)3.3 TACACS+ (491)4.监控 (493)4.1 防火墙用户监控表 (494)第八章、日志与报告 (498)1.日志与报告概述 (499)2.什么是日志? (500)2.1 日志类型和分类型 (501)3.示例 (505)日志信息 (505)4.SecGate如何储存日志 (506)4.1 远程存储到系统日志服务器 (507)4.2 本地存储到内存 (510)4.3 本地存储到硬盘 (511)5.事件日志 (512)5.1 告警电子邮件 (514)6.接入并查看日志信息 (517)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

防火墙WEBUI无法管理的问题处理一：常见原因WEBUI管理防火墙是目前防火墙管理的主要手段，当现场无法使用WEBUI管理设备的时候，请大家一定要按照文档建议进行故障分析，文档中的说明情况是根据多年处理类似问题的经验积累汇总而成，希望大家能够认真阅读文档，按照文档进行故障排查，基本可以解决市场上常见的关于WEBUI无法管理的问题，后续有的类似问题我会及时的补充到该文档中。

1.1：使用的浏览器1.2：使用的管理证书1.3：防火墙的管理证书1.4：管理电脑和防火墙的系统时间1.5：管理主机和管理地址1.6：磁盘空间是否满1.7：其它方面考虑事项二：排查过程2.1使用的浏览器答：一代墙和二代墙建议使用IE7/8/9三种浏览器，且操作系统为xp,win7,server2003的32位，其他系统位数或者浏览器可能存在兼容性问题，为了能够正常管理防火墙系统，建议使用厂商推荐的浏览器和系统版本；2.2使用的管理证书答：防火墙的管理证书有两种类型:一种管理证书有效期至2030/4/30，为现在正常使用的管理证书。

一种管理证书有效期截止2016/2/11，为已经过期的管理证书。

如果现在使用的证书有效截止日期仍然是2016年的用户，目前的情况下防火墙可能已经出现了无法管理的情况下，需要安装新的管理证书才能继续管理防火墙。

新证书名称“New-SecGateAdmin.p12”,新证书的安装密码111111，点击下一步即可完成注意：老证书的安装密码是1234562.3：更新防火墙系统证书更新防火墙系统证书的有两种方式，一种是通过升级包升级替换，另外一种方式是后台直接替换文件，如果是用户操作建议使用补丁包方式，如果是区域技术人员建议直接后台替换即可。

2.3.1：webui方式直接升级该种方式如果升级前系统版本是二代墙的版本时可以使用，去补丁包服务器下载补丁名称为“SecGate3600-fw-manage-cert-20141011”的补丁包，然后在防火墙的WEBUI界面中升级即可，对于已经无法WEBUI登陆的设备，可以通过修改管理主机和防火墙系统的系统时间来实现WEBUI的暂时管理。

网络安全防护网络防火墙的配置与管理网络安全防护——网络防火墙的配置与管理一、引言网络安全对于企业和个人而言至关重要，而网络防火墙作为一项必不可少的安全设备，在网络安全防护中起到了至关重要的作用。

本文将重点介绍网络防火墙的配置与管理，帮助读者更好地了解和应用网络防火墙。

二、网络防火墙的基本原理网络防火墙是一种用于保护计算机网络免受未经授权的访问、攻击和数据泄露的技术。

它通过控制进出网络的数据流动，筛选和阻止潜在的威胁，确保网络安全。

网络防火墙主要依靠以下几种基本原理来实现安全防护：1. 包过滤：网络防火墙可以根据源地址、目的地址、端口号等信息对数据包进行过滤，只允许符合规则的数据通过。

这样可以阻止未经授权的访问和攻击。

2. 应用代理：网络防火墙可以充当客户端和服务器之间的代理，对数据进行深度检查和过滤，防止恶意代码和攻击进入网络。

3. 网络地址转换（NAT）：网络防火墙可以对内部网络和外部网络之间的IP地址进行转换，隐藏内部网络的真实IP地址，提高网络安全性。

三、网络防火墙的配置与管理1. 配置网络防火墙网络防火墙的配置是确保其能够正常工作的重要环节。

以下是配置网络防火墙的一些常用步骤：（1）确定网络拓扑结构和安全策略：根据网络规模和安全需求，确定网络拓扑结构和相应的安全策略，为后续配置提供指导。

（2）选择合适的网络防火墙设备：根据实际需求选择适合的网络防火墙设备，包括硬件防火墙和软件防火墙等。

（3）配置网络防火墙规则：根据安全策略为网络防火墙配置规则，包括允许和禁止访问的规则，以及连接和会话的规则等。

（4）设置网络防火墙策略：配置网络防火墙的访问控制、反病毒、入侵检测等策略，以提高网络防护能力。

2. 管理网络防火墙网络防火墙的管理是确保其长期有效运行和安全防护的关键。

以下是网络防火墙的管理工作内容：（1）监控与日志管理：定期监控网络防火墙的运行状况，及时发现和解决问题。

管理好日志，保留相关记录以便追踪和审计。

网络安全防护网络防火墙的配置和管理网络安全防护：网络防火墙的配置和管理网络安全是当今互联网时代一个至关重要的议题。

为了保护网络免受各种恶意攻击和入侵，网络防火墙的配置和管理显得尤为重要。

本文将介绍网络防火墙的基本原理、配置要点以及管理策略，以帮助读者全面理解并有效运用网络防火墙。

第一部分：网络防火墙的基本原理在开始探讨网络防火墙的配置和管理之前，我们先来了解一下网络防火墙的基本原理。

网络防火墙是一种位于网络边界的设备，它通过过滤和监控网络流量，以保护内部网络免受恶意攻击。

防火墙使用各种策略和规则来判断进出网络边界的数据包是否符合安全规范，从而决定是否允许通过。

第二部分：网络防火墙的配置要点网络防火墙的配置是确保其有效工作的关键一步。

以下是网络防火墙配置的几个要点：1. 定义安全策略：在配置防火墙之前，我们需要定义明确的安全策略。

这意味着确定允许或禁止通过防火墙的流量类型，例如允许的协议、端口和IP地址等。

通过制定明确的策略，我们可以最大程度地减少安全风险。

2. 确定网络拓扑结构：了解和确定网络拓扑结构对于配置防火墙也是非常重要的。

只有了解网络的结构和连接关系，我们才能够根据实际情况制定合理的防火墙策略。

此外，网络拓扑结构也决定了防火墙的部署方式，例如单个防火墙、多层防火墙或DMZ等。

3. 配置访问控制规则：网络防火墙主要通过访问控制规则来实现安全策略的执行。

这些规则定义了网络流量的进入和离开方式。

在配置防火墙时，我们应该根据安全策略和网络需求，逐一配置访问控制规则，并使用最小权限原则以及黑名单和白名单等信息来加强安全性。

4. 启用日志功能：启用防火墙的日志功能可以记录网络流量和事件，有助于安全管理员实时监控和诊断网络活动。

通过检查日志，我们可以发现潜在的入侵行为，并及时采取相应措施。

第三部分：网络防火墙的管理策略网络防火墙的有效管理对于保护网络安全至关重要。

以下是网络防火墙的一些管理策略建议：1. 定期审查和更新策略：网络环境不断变化，因此我们应该定期审查和更新防火墙的安全策略。

防火墙WEBUI无法管理的问题处理一：常见原因WEBUI管理防火墙是目前防火墙管理的主要手段，当现场无法使用WEBUI管理设备的时候，请大家一定要按照文档建议进行故障分析，文档中的说明情况是根据多年处理类似问题的经验积累汇总而成，希望大家能够认真阅读文档，按照文档进行故障排查，基本可以解决市场上常见的关于WEBUI无法管理的问题，后续有的类似问题我会及时的补充到该文档中。

1.1：使用的浏览器1.2：使用的管理证书1.3：防火墙的管理证书1.4：管理电脑和防火墙的系统时间1.5：管理主机和管理地址1.6：磁盘空间是否满1.7：其它方面考虑事项二：排查过程2.1使用的浏览器答：一代墙和二代墙建议使用IE7/8/9三种浏览器，且操作系统为xp,win7,server2003的32位，其他系统位数或者浏览器可能存在兼容性问题，为了能够正常管理防火墙系统，建议使用厂商推荐的浏览器和系统版本；2.2使用的管理证书答：防火墙的管理证书有两种类型:一种管理证书有效期至2030/4/30，为现在正常使用的管理证书。

一种管理证书有效期截止2016/2/11，为已经过期的管理证书。

如果现在使用的证书有效截止日期仍然是2016年的用户，目前的情况下防火墙可能已经出现了无法管理的情况下，需要安装新的管理证书才能继续管理防火墙。

新证书名称“New-SecGateAdmin.p12”,新证书的安装密码111111，点击下一步即可完成注意：老证书的安装密码是1234562.3：更新防火墙系统证书更新防火墙系统证书的有两种方式，一种是通过升级包升级替换，另外一种方式是后台直接替换文件，如果是用户操作建议使用补丁包方式，如果是区域技术人员建议直接后台替换即可。

2.3.1：webui方式直接升级该种方式如果升级前系统版本是二代墙的版本时可以使用，去补丁包服务器下载补丁名称为“SecGate3600-fw-manage-cert-20141011”的补丁包，然后在防火墙的WEBUI界面中升级即可，对于已经无法WEBUI登陆的设备，可以通过修改管理主机和防火墙系统的系统时间来实现WEBUI的暂时管理。

网络安全管理制度下的网络防火墙配置与管理随着互联网的快速发展和普及，网络安全问题日益突出，企事业单位对于网络安全管理的重视程度也与日俱增。

在网络安全管理制度下，网络防火墙的配置与管理显得尤为重要。

本文将探讨网络防火墙的配置与管理策略，以确保网络安全的可靠性与稳定性。

1.网络防火墙的配置网络防火墙是保护企事业单位内部网络不受未授权访问、恶意攻击或病毒感染的关键工具。

其配置需要遵循以下几个步骤：1.1 确定网络安全目标：企事业单位应根据自身安全需求明确网络防火墙配置的目标，例如保护内部网络免受外部攻击、限制内部网络对外部网络的访问等。

1.2 撰写网络安全政策：网络安全政策是网络防火墙配置的基础，它规定了外部访问权限、内部网络通信规则、特定服务的限制等。

通过明确网络安全政策，有助于统一管理和执行网络防火墙配置。

1.3 网络设备选型：根据网络规模和需求，选择适合的网络防火墙设备。

现阶段市场上有硬件防火墙和软件防火墙两种类型，企事业单位可以根据具体情况选择合适的设备。

1.4 防火墙规则配置：根据网络安全政策制定相应的防火墙策略规则，包括入站规则和出站规则。

入站规则用于限制外部网络对内部网络的访问，而出站规则用于控制内部网络对外部网络的访问。

1.5 定期审查与更新：网络防火墙的配置需要定期审查和更新，以应对不断变化的网络安全威胁。

及时更新防火墙规则、软件补丁等，以提高网络安全性能。

2.网络防火墙的管理网络防火墙的管理是确保其有效运行的关键环节，下面是网络防火墙管理的几点要点：2.1 定期检查与测试：定期检查和测试网络防火墙的配置，包括检查防火墙规则的合规性和有效性，测试防火墙的性能和响应速度。

通过及时的检查和测试，可以发现和解决防火墙配置中的问题，提高网络安全的效果。

2.2 安全日志记录与分析：网络防火墙应记录关键事件和安全日志，以便事后的安全分析和溯源。

通过对安全日志的记录和分析，可以及时发现和处理可能的安全漏洞和攻击事件。