网神配置指南

网御神州防火墙和H3C ipsec互联简要配置文档
第一步：网络配置
配置防火墙IP地址和网关
红线标注的是公网地址，是用来进行VPN互联的
网关
第二步：IPSEC配置
启用IPSEC功能
配置VPN端点
本例中，ike算法组件是des+sha1+dh1 生存期是86400秒，各种参数需要两边vpn设备严格一致才能建立成功
VPN隧道配置
本地网关地址选择配置在防火墙上的公网IP；VPN端点选择上图中配置好的“cnpc”，ipsec的各个算法组件，保护子网等参数必须和对端设备严格对应。

第三步添加安全规则
首先必须添加一条服务是ike的规则，放在第一条
添加允许两边保护子网互通的规则
网神的安全规则有方向性，如下图：下图中的规则只能允许10.0.0.0/8主动访问10.92.30.244/28，如果想要10.92.30.244/28也能主动访问10.0.0.0/8，需要添加一条反方向的规则
允许10.92.30.244/28主动访问10.0.0.0/8的安全规则
查看VPN日志
标注部分显示隧道已经建立成功。

网神配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2.网络环境图一（混合模式）3.防火墙配置1)预先导入管理证书（登入设备时需要该证书访问）——SecGateAdmin.p12，导入时所有步骤都是默认，私钥密码为：123456。

2)在IE地址栏中敲入：https://10.50.10.45:8889进行登入，默认密码为：firewall（IP地址为设备出厂默认地址）。

3)选择系统配置→升级许可，观察网神防火墙版本及许可文件最后终止时间，如下图：如果发现许可证失效，请及时申请license。

4)点击管理配置→添加管理主机（只允许此IP地址管理防火墙），如下图：5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式，如下图：6)选择接口IP，将FE3口IP地址为192.168.0.228,并允许所有主机PING,如下图：7)选择对象定义→选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

图一图二8)选择对象定义→选择服务列表，将UDP 55555端口，添加至此列表并命名为lansecs,如下图：9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs，如下图：10)选择“安全策略”→“URL重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

如下图：11)选择“安全策略”→“EPS配置”，→启用EPS联动，如下图：。

1. 将计算机IP地址设置为10.50.10.44，掩码255.255.255.0，网关10.50.10.45，连接在VPN网关的FE1口。

2. 打开VPN网关配套光盘中的Admin Cert目录，双击证书文件SecGateAdmin.p12，弹出如下窗口。

按提示进行安装，密码为“123456”，其它按默认即可安装成功。

3. 在IE浏览器中输入：https://10.50.10.45:8889，密码为firewall进入VPN网关管理界面。

4. 进入VPN网关管理界面。

5. 选择系统配置——》导入导出。

点击“浏览”，选择配置文件fwconfig.txt。

fwconfig.txt 如下：# hardware version: SecGate 3600-F3(SJW79)A# software version: 3.6.4.26# hostname: SecGate# serial number: f6f335072669bb05defaddr delalladdrdefaddr add DMZ 0.0.0.0/0.0.0.0 comment "DMZ"defaddr add Trust 0.0.0.0/0.0.0.0 comment "Trust"defaddr add Untrust 0.0.0.0/0.0.0.0 comment "Untrust"vpn set default prekey PleaseInputPrekey ikelifetime 28800 ipseclifetime 3600 vpnstatus on vpnbak offvpn onvpn add remote static main psk name xian addr 222.91.74.218 prekey PleaseInputPrekey ike 3des-sha1-dh5,aes-sha1-dh5 initiate on obey off nat_t on ikelifetime 28800 dpddelay 0 dpdtimeout 0vpn add tunnel name xian_qianxian local 61.185.40.23 remote xian auth esp ipsec aes128-md5,3des-sha1 pfs on dh_group 5 ipseclifetime 3600 proxy_localip 0.0.0.0 proxy_localmask 0.0.0.0 proxy_remoteip 0.0.0.0 proxy_remotemask 0.0.0.0anti synflood fe1 200anti icmpflood fe1 1000anti pingofdeath fe1 800anti udpflood fe1 1000anti pingsweep fe1 10anti tcpportscan fe1 10anti udpportscan fe1 10anti synflood fe2 200anti icmpflood fe2 1000anti pingofdeath fe2 800anti udpflood fe2 1000anti pingsweep fe2 10anti tcpportscan fe2 10anti udpportscan fe2 10anti synflood fe3 200anti icmpflood fe3 1000anti pingofdeath fe3 800anti udpflood fe3 1000anti pingsweep fe3 10anti tcpportscan fe3 10anti udpportscan fe3 10anti synflood fe4 200anti icmpflood fe4 1000anti pingofdeath fe4 800anti udpflood fe4 1000anti pingsweep fe4 10anti tcpportscan fe4 10anti udpportscan fe4 10sysif set fe1 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe2 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe3 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysif set fe4 speed auto mtu 1500 ipmac off macpolicy permit mode route sroute off log off anti off nonip deny idsblock off vlan offsysip add fe1 10.50.10.45 255.255.255.0 ping off admin on adminping on traceroute onsysip add fe4 61.185.40.23 255.255.255.128 ping on admin on adminping off traceroute offsysip add fe3 172.24.40.100 255.255.255.0 ping on admin on adminping off traceroute offvrrpbunch delay 10route add droute any 61.185.40.1mngglobal set cpu 80 mem 80 fs 80 rcomm "public" wcomm "private" trapc "public" username "snmpuser" level "AuthnoPriv" authpass "12345678"crypt "MD5"mngglobal add snmpip 222.91.74.218mngglobal onlogsrv set 222.91.74.218 514 udpmngacct set admin password "firewall"mngacct multi onmngacct failtime 5 blocktime 30 period 120dns set sysname SecGateipcftcheck offlongconn set 1800statetable udp 20 icmp 5statetable overtime establish 1800 syn 120dnsrelay set autordweb srcaddr any dstaddr anyrdweb dstport 80vpn set dhcp active off dhcpserver 127.0.0.1 interface lotimeout set web 600bandwidth add p2p_band priority 3 minbw 60 maxbw 160 comment "建议仅用于P2P带宽限制"ftpactive port20 keep offtcpmss set 1460defsvc set ftp ftp 21defsvc set h323 h323 1720defsvc set sqlnet sqlnet 1521defsvc set sip sip 5060defsvc set rtsp rtsp 554defsvc set mms mms 1755defsvc set pptp pptp 1723defsvc set gk gk 1719defsvc set tftp tftp 69defsvc set ftp comment "文件传输协议"defsvc set h323 comment "Netmeeting服务"defsvc set sqlnet comment "oracle数据库网络连接"defsvc set sip comment "基于sip协议的动态服务"defsvc set rtsp comment "RTSP服务"defsvc set mms comment "MMS服务"defsvc set pptp comment "点到点隧道协议的动态服务"defsvc set gk comment "H.323网守服务"defsvc set tftp comment "TFTP协议"defsvc set icmp icmp comment "ICMP服务"defsvc set ping icmp type 8 comment "PING请求"defsvc set pong icmp type 0 comment "PING回应"defsvc set tcp proto tcp any any comment "tcp协议的所有服务"defsvc set udp proto udp any any comment "udp协议的所有服务"defsvc set gre proto 47 comment "封装协议"defsvc set esp proto 50 comment "VPN加密认证协议"defsvc set ah proto 51 comment "加密协议"defsvc set vrrp proto 112 comment "HA负载均衡协议"defsvc set ssh proto tcp any 22 comment "远程加密登录"defsvc set telnet proto tcp any 23 comment "远程登录协议"defsvc set smtp proto tcp any 25 comment "邮件发送服务"defsvc set http proto tcp any 80 comment "www服务"defsvc set pop3 proto tcp any 110 comment "邮件接收服务"defsvc set ntp proto tcp any 123 comment "时间服务器服务"defsvc set netbios proto tcp any 137 proto tcp any 139 proto udp any 137 proto udp any 138 comment "windows文件共享"defsvc set dhcp proto udp any 67:68 proto tcp any 67:68 comment "dhcp & bootp"defsvc set https proto tcp any 443 comment "https服务"defsvc set pptp_server proto tcp any 1723 proto 47 comment "点到点隧道协议（用于防火墙作为PPTP服务器）"defsvc set dns proto tcp any 53 proto udp any 53 comment "域名解析服务"defsvc set snmp proto udp any 161 comment "简单网络管理协议"defsvc set snmptrap proto udp any 162 comment "snmp trap发送服务" defsvc set syslog proto udp any 514 comment "日志传输协议"defsvc set oicqc proto udp any 4000 comment "QQ客户端打开端口"defsvc set oicqs proto udp any 8000 comment "QQ服务器打开端口"defsvc set secgate_auth proto tcp any 9998 proto udp any 9998 comment "SecGate安全网关用户认证"defsvc set secgate_global proto tcp any 161 proto udp any 161 comment "SecGate安全网关集中管理"defsvc set secgate_https proto tcp any 8889 proto tcp any 8888 comment "SecGate安全网关WEB管理"defsvc set secgate_ha_conf proto tcp any 9223 proto udp any 9455 comment "SecGate安全网关HA功能配置同步服务"defsvc set virus_blaster proto tcp any 135:139 proto udp any 135:139 proto tcp any 4444 proto udp any 69 comment "冲击波影响端口"defsvc set virus_sasser proto tcp any 445 proto tcp any 1025 proto tcp any 1068 proto tcp any 5554 proto tcp any 9995:9996 proto udp any 9995:9996 comment "震荡波影响端口"defsvc set virus_sqlworm proto udp any 1434 comment "SQL蠕虫影响端口" defsvc set pcanywhere proto tcp any 5631:5632 proto udp any 5631:5632 comment "pcanywhere"defsvc set lotusnote proto tcp any 1352 proto udp any 1352 comment "lotus notes"defsvc set ike proto udp any 500 proto udp any 4500 comment "Internet 密钥交换协议"defsvc set l2tp proto udp any 1701 comment "第二层隧道协议"defsvc set thunder proto tcp any 3075:3079 proto tcp 3075:3079 any comment "迅雷端口"defproxy set http port 80 java permit javascript permit activex permit defproxy set ftp port 21 get permit put permit multi permitdefproxy set telnet port 23defproxy set smtp port 25 domain server maildomain mailserver 1.1.1.1 maxlength 5120 maxreceiver 5 sendinterval 10 sendamount 100defproxy set pop3 port 110 maxlength 5120ips atkresp onlogips backdoor onlogips info onlogips multimedia onlogips p2p onlogips porn onlogips scan onlogips virus onlogips webcf onlogips webcgi onlogips webclient onlogips webfp onlogips webiis onlogips webmisc onlogips webphp onloglimitp2p set apple denylimitp2p set ares denylimitp2p set bt denylimitp2p set dc denylimitp2p set edonkey denylimitp2p set gnu denylimitp2p set kazaa denylimitp2p set msn denylimitp2p set qq denylimitp2p set skype denylimitp2p set soul denylimitp2p set winmx denydefdomain detect offpolicy add permit id 1 name p1 in any out any service ike time none log on active onpolicy add permit id 2 name 集中管理主机 from222.91.74.218/255.255.255.255 to 219.145.109.30/255.255.255.255 in any out any service secgate_global time none log on active onpolicy add permit id 3 name p2 from 172.24.40.0/255.255.255.0 to 192.168.5.0/255.255.255.0 in any out any time none log on tunnelxian_qianxian active onpolicy add permit id 4 name p3 from 192.168.5.0/255.255.255.0 to 172.24.40.0/255.255.255.0 in any out any time none log on tunnelxian_qianxian active onpolicy add nat id 5 name p5 from 172.24.40.0/255.255.255.0 sat61.185.40.23 in any out any time none active onwormfilter set sobig ignorewormfilter set ramen ignorewormfilter set welchia ignorewormfilter set agobot ignorewormfilter set opaserv ignorewormfilter set blaster ignorewormfilter set sadmind ignorewormfilter set slapper ignorewormfilter set novarg ignorewormfilter set slammer ignorewormfilter set zafi ignorewormfilter set bofra ignorewormfilter set dipnet ignorewormfilter offdefantivirus set smtp discard on alarm ondefantivirus set smtpfile filenum 500 filesize 10 dirnum 8 defantivirus set pop3file filenum 500 filesize 10 dirnum 8 defantivirus set ftp discard ondefantivirus set ftpfile filenum 500 filesize 10 dirnum 8 defantivirus set http discard ondefantivirus set httpfile filesize 10 check htmldefantivirus update offpolicy stateless offmnghost add 10.50.10.44 "出厂默认管理主机"mnghost add 117.32.132.10mnghost add 222.91.74.218mnghost add 172.24.40.10mnghost limitless onauthsrv local 9998 9998authsrv radius 1.1.1.1 1812 1813 123456authsrv on localsyncfg set if none state backup backupif offstp set priority 32768stp startrouter rip interface fe1 auth offrouter rip interface fe2 auth offrouter rip interface fe3 auth offrouter rip interface fe4 auth offrouter rip set version 2 metric 16 update 30 garbage 120 timeout 180router ospf interface fe1 auth off mode text passwd none cost 10 router ospf interface fe2 auth off mode text passwd none cost 10 router ospf interface fe3 auth off mode text passwd none cost 10 router ospf interface fe4 auth off mode text passwd none cost 10router ospf set routerid 1 rfc1583 on以上另存为 TXT 文本即可这时会出现提示“重启安全网关”，点击即可。

应用发布流程1.1.拓扑环境SSL VPN旁路接在核心交换上，通过防火墙映射后，让外网的用户可以方便的访问到企业内部的服务。

1.2网络配置1.2.1网络接口配置进入【系统设置】-【网络配置】-【网络接口】配置接口的IP地址1.2.2域名解析进入【系统设置】-【网络配置】-【域名解析】配置主、次DNS的IP地址1.2.3NAT设置进入【系统设置】-【网络配置】-【NAT】配置NAT的转发规则1.2.4配置PPTP进入【系统设置】-【网络配置】-【PPTP服务器】配置PPTP服务1.3建立用户账号和用户组进入【SSL VPN】-【用户管理】-【用户和组】在用户列表中添加用户进入【SSL VPN】-【用户管理】-【用户和组】在用户组列表中添加用户组。

将用户加入用户组。

1.4建立应用组和应用1.4.1新建代理应用进入【SSL VPN】-【应用设置】-【应用和组】在应用列表中添加代理应用1.4.2新建NC应用进入【SSL VPN】-【应用设置】-【应用和组】在应用列表中添加NC应用1.4.3NC配置1.配置NC地址池进入【SSL VPN】-【应用设置】-【NC管理】配置IP地址池2.勾选ARP代理进入【SSL VPN】-【应用设置】-【NC管理】配置NC配置3.NC设置进入【SSL VPN】-【应用设置】-【NC管理】配置NC设置：将nc授权给用户组。

1.4.4新建WSDP应用进入【SSL VPN】-【应用设置】-【应用和组】在应用列表中添加WSDP应用1.5添加策略进行授权进入【SSL VPN】-【策略设置】-【服务控制策略】添加服务控制策略，给用户组授权访问的应用。

以上配置完成，用户登陆客户端，就可以访问到授权的应用。

ios&Android应用封装随着4G网络的发展，很多企业客户都在智能手机上使用APP移动办公，但是直接使用互联网来接入企业内网，数据传输没有进行过加密，很容易被黑客监听导致传输的数据泄漏，终端设备及服务端也可能不安全。

网神配置指南网神设置指南1. 资料准备需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。

其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。

2. 网神设置2.1. 主机设置将本机IP设置为10.50.10.44，子网掩码为255.255.255.0。

将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin程序安装许可证，安装过程中需要输入密码，默认密码为123456。

安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。

在IE地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为：firewall。

即可进入网神设置画面。

2.2. 防火墙设置2.2.1. 导入许可证初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。

具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。

如下图：2.2.2. 网络接口对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。

2.2.3. 透明桥设置须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。

2.2.4. 安全规则设置为了使I、II区的网口联通，需要对安全规则进行设置。

设置方法如下：点击“安全策略”点击“安全规则”点击“添加”将“源地址”、“目标地址”和“服务”设成any 点击“确定”点击“保存配置”。

3. 测试通过上文的设置，即完成对网神的设置，但切记每一步都需要有“配置生效”的提示，且保存配置。

网神配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2.网络环境图一（混合模式）3.防火墙配置1)预先导入管理证书（登入设备时需要该证书访问）——SecGateAdmin.p12，导入时所有步骤都是默认，私钥密码为：123456。

2)在IE地址栏中敲入：https://10.50.10.45:8889进行登入，默认密码为：firewall（IP地址为设备出厂默认地址）。

3)选择系统配置→升级许可，观察网神防火墙版本及许可文件最后终止时间，如下图：如果发现许可证失效，请及时申请license。

4)点击管理配置→添加管理主机（只允许此IP地址管理防火墙），如下图：5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式，如下图：6)选择接口IP，将FE3口IP地址为192.168.0.228,并允许所有主机PING,如下图：7)选择对象定义→选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

图一图二8)选择对象定义→选择服务列表，将UDP 55555端口，添加至此列表并命名为lansecs,如下图：9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs，如下图：10)选择“安全策略”→“URL重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

如下图：11)选择“安全策略”→“EPS配置”，→启用EPS联动，如下图：。

网神防火墙(配图)配置说明-CAL-FENGHAI.-(YICAI)-Company One1网神配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2.网络环境图一（混合模式）3.防火墙配置1)预先导入管理证书（登入设备时需要该证书访问）——，导入时所有步骤都是默认，私钥密码为：123456。

2)在IE地址栏中敲入：进行登入，默认密码为：firewall（IP地址为设备出厂默认地址）。

3)选择系统配置→升级许可，观察网神防火墙版本及许可文件最后终止时间，如下图：如果发现许可证失效，请及时申请license。

4)点击管理配置→添加管理主机（只允许此IP地址管理防火墙），如下图：5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式，如下图：6)选择接口IP，将FE3口IP地址为,并允许所有主机PING,如下图：7)选择对象定义→选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

图一图二8)选择对象定义→选择服务列表，将UDP 55555端口，添加至此列表并命名为lansecs,如下图：9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs，如下图：10)选择“安全策略”→“URL重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

如下图：11)选择“安全策略”→“EPS配置”，→启用EPS联动，如下图：。

网神配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2.网络环境图一（混合模式）3.防火墙配置1)预先导入管理证书（登入设备时需要该证书访问）——SecGateAdmin.p12，导入时所有步骤都是默认，私钥密码为：123456。

2)在IE地址栏中敲入：https://10.50.10.45:8889进行登入，默认密码为：firewall（IP地址为设备出厂默认地址）。

3)选择系统配置→升级许可，观察网神防火墙版本及许可文件最后终止时间，如下图：如果发现许可证失效，请及时申请license。

4)点击管理配置→添加管理主机（只允许此IP地址管理防火墙），如下图：5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式，如下图：6)选择接口IP，将FE3口IP地址为192.168.0.228,并允许所有主机PING,如下图：7)选择对象定义→选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

图一图二8)选择对象定义→选择服务列表，将UDP 55555端口，添加至此列表并命名为lansecs,如下图：9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs，如下图：10)选择“安全策略”→“URL重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

如下图：11)选择“安全策略”→“EPS配置”，→启用EPS联动，如下图：。

网神配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2.网络环境图一（混合模式）3.防火墙配置1)预先导入管理证书（登入设备时需要该证书访问）——SecGateAdmin.p12，导入时所有步骤都是默认，私钥密码为：123456。

2)在IE地址栏中敲入：https://10.50.10.45:8889进行登入，默认密码为：firewall（IP地址为设备出厂默认地址）。

3)选择系统配置→升级许可，观察网神防火墙版本及许可文件最后终止时间，如下图：如果发现许可证失效，请及时申请license。

4)点击管理配置→添加管理主机（只允许此IP地址管理防火墙），如下图：5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式，如下图：6)选择接口IP，将FE3口IP地址为192.168.0.228,并允许所有主机PING,如下图：7)选择对象定义→选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

图一图二8)选择对象定义→选择服务列表，将UDP 55555端口，添加至此列表并命名为lansecs,如下图：9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs，如下图：10)选择“安全策略”→“URL重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

如下图：11)选择“安全策略”→“EPS配置”，→启用EPS联动，如下图：。

网神防火墙EPS功能配置说明技术部2010年4月1日1.文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2.网络环境图一（混合模式）3.防火墙配置1)预先导入管理证书（登入设备时需要该证书访问）——SecGateAdmin.p12，导入时所有步骤都是默认，私钥密码为：123456。

2)在IE地址栏中敲入：https://10.50.10.45:8889进行登入，默认密码为：firewall（IP地址为设备出厂默认地址）。

3)选择系统配置→升级许可，观察网神防火墙版本及许可文件最后终止时间，如下图：如果发现许可证失效，请及时申请license。

4)点击管理配置→添加管理主机（只允许此IP地址管理防火墙），如下图：5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式，如下图：6)选择接口IP，将FE3口IP地址为192.168.0.228,并允许所有主机PING,如下图：7)选择对象定义→选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

图一图二8)选择对象定义→选择服务列表，将UDP 55555端口，添加至此列表并命名为lansecs,如下图：9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any或lansecs，如下图：10)选择“安全策略”→“URL重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

如下图：11)选择“安全策略”→“EPS配置”，→启用EPS联动，如下图：。