网御安全网关文档

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (5)2产品功能说明 (7)2.1SSL 应用发布 (7)2.1.1B/S软件的应用 (7)2.1.2企业站点的应用 (7)2.1.3单点登录功能（SSO） (8)2.1.4C/S应用发布 (8)2.1.5TCP端口应用 (10)2.1.6SSL 隧道模式 (10)2.2LAN TO LAN 的解决方案 (11)2.3远程用户安全性检查 (11)2.4远程用户访问认证 (12)2.5用户访问策略 (12)2.6日志审计功能 (12)2.7防火墙功能 (13)2.8支持动态IP接入 (13)2.9完美的个性化定制 (14)3产品技术优势 (14)3.1将C/S应用转成B/S访问 (14)3.2Web应用功能 (15)3.3访问的安全性 (15)3.4稳定性及高可用性 (17)3.5低带宽运行特性 (17)3.6部署灵活，维护简单 (18)4典型应用 (18)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600 安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网御安全集中管理系统V3.0.7用户使用手册北京网御星云信息技术有限公司2014年9月目录第一章前言 (5)1.1导言 (5)1.2适用对象 (5)1.3适合产品 (5)第二章如何开始 (6)1.4概述 (6)1.4.1产品特点 (6)1.4.2软件描述 (6)1.4.3主要功能 (7)1.4.4License控制 (7)1.5进入系统 (8)1.5.1登录 (8)1.5.2界面主框架 (8)第三章系统主页 (9)1.6概述 (9)1.6.1安全等级 (9)1.6.224小时安全趋势 (10)1.6.3系统状态 (10)1.6.4设备探测 (10)1.7安全概览图 (11)1.8安全设备分析 (11)1.9实时告警 (13)1.10攻击拓扑 (14)第四章资产管理 (14)1.11设备管理 (14)1.11.1网络拓扑管理 (15)1.11.2设备信息读取 (17)1.11.3设备基本信息查看 (18)1.11.4设备管理配置 (19)1.11.5节点管理 (19)1.11.6级联管理 (21)1.12策略管理 (21)1.12.1策略管理工具栏 (23)1.13VPN管理 (23)1.13.1IKE策略 (23)1.13.2IPSec策略 (24)1.13.3策略模板 (24)1.13.4VPN策略向导 (24)1.13.5VPN隧道监控 (24)1.14.1单个设备监控 (25)1.14.2设备集中监控 (26)1.14.3监控任务管理 (26)1.15升级管理 (27)1.15.1设备升级包管理 (27)1.15.2设备升级管理 (27)第五章事件管理 (28)1.16实时监控 (28)1.17安全日志查询 (29)1.18设备日志查询 (31)1.19系统日志查询 (31)第六章报表管理 (32)1.20概述 (32)1.20.1功能简介 (32)1.20.2功能分类 (32)1.21功能介绍 (33)1.21.1功能首页 (33)1.21.2安全事件特征报表 (34)1.21.3设备报表 (41)1.21.4定时报表 (42)1.21.5自定义报表 (44)第七章安全态势 (44)1.22概述 (44)1.22.1功能简介 (44)第八章工单管理 (46)1.23概述 (46)1.23.1新增工单 (46)1.23.2查询工单 (47)1.23.3修改及删除工单 (48)第九章知识库管理 (48)第十章威胁响应 (49)1.24概述 (49)1.24.1短信告警 (50)1.24.2声音告警 (50)1.24.3邮件告警 (51)1.24.4响应记录查询 (51)第十一章系统设置 (52)1.25管理配置 (53)1.25.2设备发现列表 (53)1.25.3许可管理 (55)1.25.4系统日志 (55)1.25.5系统参数配置 (56)1.25.6系统维护 (57)1.26日志维护 (58)1.26.1日志备份与删除 (58)1.26.2日志恢复 (59)1.27事件服务器管理 (61)第十二章权限配置 (61)1.28用户管理 (61)1.28.1添加用户 (62)1.28.2修改用户信息 (62)1.28.3修改密码 (63)1.28.4删除用户 (64)1.29角色管理 (64)1.29.1添加角色 (64)1.29.2修改角色 (65)1.29.3删除角色 (65)1.30在线用户列表 (65)第十三章帮助 (66)1.31帮助中心 (66)1.31.1帮助文档 (67)1.31.2FAQ (67)1.31.3联系支持中心 (67)1.31.4生成支持文件 (67)1.32配置实用工具 (67)1.32.1ping测试 (67)1.32.2snmp测试 (68)第一章前言1.1 导言《网御安全管理系统用户帮助手册》是网御安全管理系统（LeadsecManager）管理员的用户帮助文档。

联想网御安全网关SAG用户手册联想网御科技（北京）有限公司前言感谢您使用联想网御安全网关SAG。

联想网御安全网关SAG系列接入网关是适用于中小型企业/大中型企业/政府机关/移动用户的综合接入网关，为用户远程访问网络服务提供安全保护，主要功能包括：身份认证：确保远程访问者不是恶意用户；访问控制：确保访问者只能访问被授权访问的服务和信息；数据加密：确保所有数据在网络传输过程中都是被加密的，防止被窃听；SAG网关是在SSL协议基础上实现的远程接入安全平台，无需改变网络结构和应用模式，完全支持Web应用，以及Exchange、SMB、、CRM、ERP、Mail、Oracle和SQL Server 等C/S模式的应用。

和传统SSLVPN接入网关相比，SAG网关突破了SSL的局限性，创新性地对SSLVPN网关技术进行了拓展：SSLVPN网关到网关模式：和IPSEC VPN相比，传统SSLVPN适用于终端到网关模式的部署方式，SAG突破了这种局限，创新性地实现了网关到网关模式的SSLVPN技术；客户端自动获取域名解析(DNS)配置：和IPSEC VPN相比，SSLVPN无需安装客户端软件，但是传统的SSLVPN客户端无法通过DHCP协议自动从接入网关获取DNS配置，因此SSLVPN无法使用企业内部DNS服务器。

SAG创新性地实现了客户端自动从接入网关获取域名解析服务。

支持网络邻居：网络邻居是Microsoft Windows操作系统基于NetBIOS协议实现的网络文件共享功能，网络邻居难以跨越路由器在互联网范围内实现。

SAG网关能够确保用户远程接入内网的同时正常使用内网的网络邻居功能。

安全远程桌面功能：Microsoft Windows提供的远程桌面功能被网络管理人员广泛采用，但是远程桌面功能无法对远程接入用户进行细颗粒的安全限制，因此存在巨大安全隐患。

SAG网关的【远程终端】服务，实现了对Microsoft Windows远程桌面的安全拓展，用户可通过接入网关开放远程桌面的同时，限制远程用户所能访问的资源和应用程序。

联想网御安全网关Power V作业指导书江苏国瑞信安科技有限公司二零一一年七月目录第1章如何开始 (1)1.1 登录管理界面 (1)1.1.1 登录方法 (1)1.1.2 管理认证 (2)1.1.3 登录过程 (3)1.1.4 网御安全网关Power V的一般配置过程 (4)1.1.5 退出登录 (4)第2章系统配置 (5)2.1 日期时间 (5)2.2 系统参数 (6)2.3 系统更新 (6)2.3.1 模块升级 (6)2.3.2 导入导出 (7)2.4 管理配置 (9)2.4.1 管理主机 (9)2.4.2 管理员账号 (10)2.4.3 管理证书 (11)2.5 报告设置 (12)2.5.1 日志服务器 (12)2.5.2 报警邮箱设置 (12)第3章策略配置 (14)3.1 安全选项 (14)3.1.1 包过滤策略 (14)3.1.2 IP/MAC检查 (15)3.1.3 允许所有非IP协议 (15)3.2 安全规则 (16)3.2.1 包过滤规则 (17)3.2.2 NA T规则 (18)3.2.3 地址列表、服务列表 (19)3.3 地址绑定 (20)3.4 带宽管理 (23)3.5 黑名单 (24)3.6 连接管理 (25)3.6.1 基本参数 (25)3.6.2 连接规则 (25)3.6.3 连接状态 (27)第4章网络配置 (29)4.1.1 物理设备 (29)4.1.2 VLAN设备 (30)4.1.3 桥接设备 (31)第5章绿色上网 (33)5.1 URL过滤策略 (33)5.2 绿色上网规则 (35)第6章系统监控 (35)6.1 网络设备 (35)6.2 HA状态 (37)6.3 资源状态 (38)6.4 日志信息 (39)6.4.1 日志查看 (39)6.4.2 包过滤日志报表 (40)6.4.3 P2P报表 (41)6.4.4 深度过滤报表 (41)6.5 用户信息 (42)6.6 连接状态 (42)6.7 连接统计 (44)6.8 深度过滤 (44)6.9 带宽监控 (45)6.10 网络调试工具 (45)6.11 路由监控 (46)6.12 动态路由监控 (47)第1章如何开始1.1 登录管理界面1.1.1 登录方法安全网关共有四种管理方式：1）Web界面管理2）串口命令行管理3）远程SSH登录管理4）PPP拨号接入管理。

2008.07专题研究法治空间65拟的，春节前夕发生的艳照门事件，就是因为以网络为传播媒介，严重侵害了当事人的隐私权，给受害人造成了严重的精神和财产损害。

3.侵害个人信息个人信息(in formation relating to individuals)，是一切可以识别的本人的信息的总和，这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。

大陆法系一般认为个人有权决定其个人信息的使用，对于个人信息的保护属于一般人格权的范畴，德国1990年修改后的个人资料保护法第一章《一般条款》第1条规定:本法旨在保护个人的人格权，使其不因个人资料的处置而遭受侵害。

该法的目的是为了保护个人人格权在个人信息处理时免受侵害。

②网络以数字化方法进行数据处理，因此对个人信息保护产生严峻挑战，在网络中侵害个人信息的违法成本较低，对于受害人人格权的侵害后果往往比较严重。

最近，在全国人民众志成城全力抗击地震灾害之时，网络中出现辱骂灾区灾民的视频，众网友义愤填膺，在网上发布搜索令，很快便获得当事人的详细信息，并予以公布。

辱骂灾区灾民固然具有道德谴责性，但是搜索他人全部资料并在网络上公之于众的行为是对他人人格权的侵害。

4.侵害精神自由权匿名环境使得一些网友毫无立场地传播和支持与主流道德和法律观念相左的偏激的意见和批判，在互联网上形成具有一定影响力的舆论压力，这些舆论压力给相关当事人造成了巨大的心理压力和精神痛苦，侵害了当事人的精神自由权。

精神自由权也称作决定意思的自由。

在现代社会，公民按照自己的意志和利益从事正当的思维活动，观察社会现象，是进行正确的民事活动的前提，法律应当予以保障。

因而，精神自由权是公民按照自己的意志和利益，在法律规定的范围内，自主思维的权利，是公民自由支配自己内在思维活动的权利。

非法限制、妨碍公民的精神自由，即为侵权行为。

③由于网络的即时性和迅捷性，其对于人格权的侵害是非常严重的，尤其需要法律予以救济。

声明服务修订：z本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：z本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

z本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：z任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网御神州科技（北京）有限公司目 录一、概述 (1)二、安全网关硬件描述 (1)三、安全网关安装 (3)1．安全使用注意事项 (3)2．检查安装场所 (4)2.1 温度／湿度要求 (4)2.2 洁净度要求 (4)2.3 抗干扰要求 (5)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口命令行进行管理 (6)1．选用管理主机 (6)2．连接安全网关 (6)3．登录CLI界面 (7)4．命令行快速配置向导 (8)五、通过WEB界面进行管理 (15)1．选用管理主机 (15)2．安装认证驱动程序 (16)3．安装USB电子钥匙 (16)4．连接管理主机与安全网关 (16)5．认证管理员身份 (17)6．登录安全网关WEB界面 (17)7．WEB界面配置向导 (17)六、常见问题解答FAQ (22)一、概述SecGate 3600-F2安全网关缺省支持两种管理方式：（1） CONSOLE口命令行方式（2） 通过网口的WEB（https）管理CONSOLE口命令行方式适用于对安全网关操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

安装安全网关之前，请您阅读本指南的“二、三”两节。

网御UTM 安全网关网御UTM （Unified Threat Management ）安全网关采用先进的多核多线程并行运算技术、USE 统一安全引擎技术、智能业务处理引擎BPE 技术保证功能全开状态下的高吞吐量运行，通过高效的模版式配置管理、远程URL 特征库、灵活嵌入式防病毒和持续的安全服务，配合基于行为分析而优化的配置流程，构成一个先进的全业务融合安全架构。

网御UTM 集成了状态检测防火墙、VPN 、网关防病毒、入侵防护（IPS ）、上网行为管理、反垃圾邮件等安全防护功能，还全面支持策略管理、IM/P2P 管理、负载均衡、高可用性（HA ）和带宽管理等功能。

可以阻挡未授权的访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件，以及其他类型的安全威胁。

产品优势USE 统一安全引擎网御UTM 安全网关从研发之初即采用了构建在专用硬件平台和VSP 实时操作系统上的高度模块化的USE 统一安全引擎。

它将应用协议分析、异常行为管理、入侵防御等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。

网御对USE 统一引擎技术进行了模块间交互优化，基于此统一引擎构造出三个子引擎：UEE 统一加密引擎、UCE 统一控制引擎、UDE 统一检测引擎，分别实现VPN 、流量控制、访问控制和应用防护四大功能模块。

网御UTM 产品研发历程：2001年 国内首家推出防病毒，入侵检测功能防火墙2004年 获网络防病毒技术专利(专利号:01109178.9)2004年 推出具有深度内容过滤功能的防火墙2006年 自主研发出基于USE 技术的UTM 产品2009年 推出应用防护UTM 产品2011年 推出USE 2.0技术2012年 推出全业务融合UTM 产品USE 统一安全引擎示意图多核多线程并行运算技术网御UTM 安全网关利用64位高性能多核CPU 的并行处理能力为应用层数据处理提供快速运算保障。

2018适用范围：内部运维人员使用手册网御运维安全网关V3.0精细控制合规审计北京网御星云信息技术有限公司目录1概述 (1)1.1关于本手册 (1)2用户登录 (1)2.1WEB方式 (1)2.1.1WEB访问方式 (1)2.1.2相关资料下载 (2)2.2运维客户端 (2)2.3登录认证 (3)3环境准备 (5)3.1环境检测 (5)3.2安装JAVA控件 (7)3.3浏览器设置 (9)3.4配置本地工具 (11)3.5修改密码 (13)4运维说明 (14)4.1RDP/VNC访问 (14)4.2Telnet/SSH/Rlogin访问 (15)4.3FTP访问 (16)4.4数据库访问 (17)4.5批量登录主机 (18)4.6工单操作 (19)4.6.1工单申请 (19)4.6.2工单运维 (21)4.7最近访问资源 (22)4.8高级搜索 (23)4.9菜单模式 (23)4.9.1命令行方式 (23)4.9.2图形方式 (28)5FAQ (31)5.1登录提示应用程序被阻止 (31)5.2提示Java过时需要更新 (32)5.3调用应用发布工具失败 (33)5.4使用dbvis提示JAVA环境变量 (33)1概述1.1关于本手册网御运维安全网关V3.0是网御星云综合内控系列产品之一。

本手册详细介绍了网御运维安全网关V3.0系统进行运维操作过程的使用方法，用户可参考本手册，通过网御运维安全网关V3.0系统进行各种运维操作。

2用户登录运维用户可选择通过以下方式使用网御运维安全网关V3.0系统进行运维操作：（1）WEB 方式（依赖JAVA环境）；（2）运维客户端方式（不依赖JAVA环境）；（3）客户端工具直连模式（不依赖浏览器和JAVA环境，目前支持运维SSH、TELNET、RDP、VNC，使用方法参见本手册4.9章节）。

2.1WEB方式2.1.1WEB访问方式通过浏览器访问网御运维安全网关V3.0系统，如图2.1所示：（默认URL：https://网御运维安全网关V3.0系统的IP，如果web服务端口不是默认的443，登录URL地址需要加上web服务当前的端口号，例如：https://172.16.67.201:10443）。

网御星云安全网关PowerV 命令行操作手册VERSION 1.0明声♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

♦本手册使用于网御星云PowerV系列防火墙和VPN，在手册中称为安全网关。

文档少部分内容视产品具体型号略有不同，请以购买的实际产品为准。

♦网御星云不承担由于本资料中的任何不准确性引起的任何责任，网御星云保留不作另行通知的情况下对本资料进行变更、修改、转换或以其他方式修订的权利！北京网御星云信息技术有限公司号电8层中北京海淀中村南大街国区关6中信息大厦目 录目 录 (III)第1 章 前 言 (1)第2 章 命令行概述 (4)第3 章 快速入门 (25)第4 章 系统管理 (26)第5 章 网络管理 (76)第6 章 路由 (119)第7 章 防火墙 (135)第8 章 应用防护 (205)第9 章 用户认证 (287)第10 章 会话管理 (305)第11 章 VPN (308)第12 章 SSLVPN (327)第13 章 IPv6 (448)第14 章 漏洞扫描 (474)第15 章 状态监控 (477)第16 章 日志与报警 (480)第17 章 其他 (490)第1章 前 言1.1 导言员册该册绍过终《命令行操作手》是御册网安全网关Power V管理手中的一本。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利，如果配置截图与实际产品界面有差异，以实际产品配置界面为准。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录1导言 (13)1.1.本书适用对象 (13)1.2.手册章节组织 (13)1.3.相关参考手册 (15)2登录安全网关WEB界面 (16)2.1管理员必读 (16)2.1.2.管理员电子钥匙 (16)2.1.2.管理员证书 (17)2.1.3.管理员配置管理 (17)2.2.管理员首次登录 (18)2.2.1. 登录WEB界面 (19)2.3.管理员再次登录 (21)3首页 (22)4系统配置 (25)4.1.系统配置>>系统时钟 (25)4.2.管理配置>>管理方式 (27)4.3.管理配置>>管理主机 (28)4.4.管理配置>>管理员帐号 (29)4.5.管理配置>>管理员证书 (33)网神信息技术（北京）股份有限公司4.6.管理配置>>集中管理 (35)4.7.系统配置>>导入导出 (39)4.8.系统配置>>升级许可 (42)4.9.系统配置>>日志服务器 (45)4.10.系统配置>>域名服务器 (46)4.11.系统配置>>报警邮箱 (47)5网络配置 (49)5.1.网络配置>> 网络接口 (49)5.1.1网络接口>>基本配置 (49)5.1.2网络接口>>接口IP (52)5.1.3.网络接口>>子接口 (55)5.1.4.网络接口>>桥接口 (57)5.1.5.网络接口>>channel (60)5.1.6.网络接口>>Vlan配置 (63)5.2.网络配置>>静态路由 (64)5.2.1.静态路由>>目的路由 (64)5.2.2.静态路由>>智能选路 (65)5.3 网络配置>>动态路由 (68)5.3.1 动态路由>>RIP设置 (69)5.3.2 动态路由>>OSPF设置 (73)5.3.3 动态路由>>BGP设置 (77)5.3.4 动态路由>>DEBUG设置 (79)5.4 网络配置>>多播路由 (80)5.4.1 多播路由>>多播配置 (80)网神信息技术（北京）股份有限公司5.4.2 多播路由>>多播监控 (82)5.4.3 多播路由>>PIM信息 (82)5.5网络配置>>DHCP配置 (83)5.5.1DHCP配置>>DHCP服务器 (83)5.5.2DHCP配置>>DHCP中继 (87)5.5.3 DHCP配置>>DHCP客户端 (88)5.6网络配置>>虚拟系统 (89)5.6.1虚拟系统>>虚拟系统管理 (90)5.6.2虚拟系统>>虚拟系统切换 (93)5.7网络配置>>ADSL拨号 (93)5.8网络配置>>DNS中继 (95)5.9网络配置>>WIRELESS_3G配置 (96)5.10网络配置>>链路探测 (98)5.11网络配置>>网口联动 (99)5.12网络配置>>静态ARP (100)5.13 网络配置>>静态桥转发表 (101)5.14 网络配置>>端口镜像 (103)6对象定义 (104)6.1对象定义通用功能介绍 (104)6.1.1分页显示 (105)6.1.2 查找 (106)6.1.3排序 (106)6.1.4添加 (107)61.5编辑（修改） (108)网神信息技术（北京）股份有限公司6.1.6删除 (109)6.1.7名称和备注 (110)6.2地址 (111)6.2.1地址>>地址列表 (111)6.2.2地址>>地址组 (113)6.2.3地址>>服务器地址 (114)6.2.4地址>>虚拟服务器地址 (117)6.2.5地址>>NAT地址池 (120)6.2.6地址>>域名列表 (121)6.2.7地址>>isp地址表 (122)6.3服务 (124)6.3.1服务>>服务列表 (124)6.3.2服务>>服务组 (136)6.4时间 (138)6.4.1时间>>时间列表 (138)6.4.2 时间>>时间组 (140)6.5保护内容列表 (141)6.6连接限制配置 (144)7防火墙 (145)7.1 安全规则 (145)7.1.1 包过滤规则 (155)7.1.2NAT规则 (159)7.1.3IP/端口映射规则 (163)7.2抗攻击 (167)网神信息技术（北京）股份有限公司7.3IDS联动 (175)7.4 IP/MAC绑定 (177)7.5 URL重定向 (184)8Ipv6 配置......................................................................................... 错误!未定义书签。

网御安全网关配置表--------------------------------------------------------------------------------安全网关时间: 2012/7/20 12:26:27管理主机时间: 2012/07/19 12:28:30安全网关序列号: fa403f2d5ff15031硬件版本号: Smart_V-80软件版本号: 3.3.4.2时钟服务器是否启用未启用时钟服务器IP同步时间间隔(分钟) 5安全网关名称安全网关名称 themis动态DNS注册用户信息用户名管理主机序号管理主机IP 说明1 10.1.5.200 255.255.255.255 管理主机12 10.1.5.49 255.255.255.255 PPP拨号管理主机3 10.1.6.200 255.255.255.255 管理主机14 160.17.168.0 255.255.248.0管理员帐号设置管理员登录超时时间(秒) 600是否允许多个管理员同时管理允许管理员帐号序号帐号帐号类型1 administrator 超级管理员+配置管理员+策略管理员+日志审计员2 admin 配置管理员+策略管理员+日志审计员管理方式web(https)管理允许串口命令行允许启用远程SSH 允许支持拔号(PPP)接入禁止联动IDS产品序号产品名称 IDS端IP地址安全网关端服务端口是否启用1 网御通用安全协议(PUMA)入侵检测系统 5000 禁用2 "天阗"入侵检测系统 2000 禁用3 "天眼"入侵检测系统 4000 禁用4 "SafeMate"入侵检测系统 2001 禁用忽略对以下源IP地址的自动阻断日志服务器日志服务器IP协议 UDP端口 514报警邮箱启用gwmail 启用发件箱地址SMTP 地址SMTP 端口 25收件箱地址1收件箱地址2收件箱地址3启用日志启用集中管理集中管理主机 IP安全网关名称 themis本机备注负责人姓名负责人电话CPU 利用率阈值 %内存利用率阈值 %磁盘利用率阈值 %Trap发送字符串 publicSNMP代理状态启动入侵检测基本配置启动入侵检测禁用监听网口 fe1监听网段入侵检测策略配置自定义检测禁用黑客扫描攻击检测禁用FTP攻击检测禁用TELNET攻击检测禁用SMTP攻击检测禁用特洛伊木马检测禁用DNS攻击检测禁用NETBIOS攻击检测禁用MS-SQL攻击检测禁用WEB攻击检测禁用ICMP攻击检测禁用蠕虫病毒检测禁用入侵检测自定义检测序号源地址端口目的地址端口协议类型事件主题是否启用无记录入侵检测扫描检测配置启动扫描检测启用时间间隔(秒) 10发现端口连接次数 3忽略来自以下源IP地址的扫描检测入侵检测自动响应配置启动自动响应禁用阻断间隔(秒) 12忽略对以下IP地址的自动阻断产品许可证序号功能应用取值1 acsc acsc 启用2 ha ha 启用3 policyagent policyagent 禁用4 sslvpn sslvpn 禁用5 vpn vpn 启用6 vpnekey vpnekey 禁用7 acsc acsc_src_threhold 启用8 acsc acsc_dest_threhold 启用9 vpn vpntunnel_num 启用10 alias alias_num 启用11 pf pf_num 启用12 ipmap ipmap_num 启用13 nat nat_num 启用14 portmap portmap_num 启用物理设备允许开启TRUNK的物理设备在不同VLAN间转发包禁止序号设备名称 MAC地址链路工作模式链路速度工作模式 MTU IP地址获取开启动态域名开启TRUNK功能开启DHCP中继开启带宽管理允许PING 允许 Traceroute 用于管理开启IPMAC地址绑定允许未绑定的IPMAC地址通过开启IP地址欺骗检查是否启用1 fe1 00:07:0C:E0:18:DD 自适应 100 路由模式 1500 静态指定:10.1.5.254/255.255.255.0否否否否是是是否否否是2 fe2 00:07:0C:E0:18:DE 自适应 100 透明模式 1500 静态指定:/否否否否否否否否否否是3 fe3 00:07:0C:E0:18:DF 自适应透明模式 1500 静态指定:/否否否否否否否否否否是4 fe4 00:07:0C:E0:18:E0 自适应 100 路由模式静态指定:160.17.168.16/255.255.248.0否否否否是否是否否否是VLAN设备序号设备名称绑定设备 VLAN ID 工作模式 IP地址/掩码开启IPMAC地址绑定开启IP地址欺骗检查用于管理开启带宽管理设备带宽(Kbps) 允许 PING 允许Traceroute MAC 地址允许未绑定的IPMAC地址通过是否启用无记录桥接设备序号设备名称 IP地址/掩码开启IP地址欺骗检查允许 PING 允许Traceroute开启STP 绑定设备列表用于管理是否启用1 brg0 10.1.5.254/255.255.255.0 否是是是 fe2,fe3 是是VPN设备序号设备名称绑定设备开启带宽管理设备带宽(Kbps) 是否启用1 ipsec0 brg0 否 0 是别名设备序号设备名称绑定设备别名ID IP地址/掩码允许 PING 允许Traceroute 用于管理是否启用无记录拨号设备序号设备名称绑定设备用户名开启动态域名时间调度系统启动时拨号用于管理开启带宽管理设备带宽(Kbps) IP地址/掩码允许 PING 允许 Traceroute 是否启用1 dial0 否否否否 0 / 否否否域名服务器域名服务器1 IP域名服务器2 IP默认路由默认路由均衡禁用网关监测启用监测频率(秒) 1序号网关地址权重值网络接口是否启用无记录静态路由默认网关序号目的地址下一跳地址网络接口是否启用无记录策略路由序号源地址目的地址下一跳地址网络接口是否启用无记录UPnP服务器接口设置外部接口内部接口UPnP服务器是否启用否UPnP服务器规则序号名称允许使用UPnP的地址注释无记录DHCP服务器DHCP域配置序号网络地址网络掩码网关地址域名 DNS服务器地址范围是否启用VPN客户端DHCP over IPSec 掩码备注无记录DHCP服务器静态IP地址序号主机名 MAC地址 IP地址备注无记录DHCP服务器启动/停止DHCP服务器启动/停止停止HA网口参数HA网口参数启用HA网口否启用状态同步否HA网口IP掩码HA基本参数启用HA 否HA标识符 0工作模式负载均衡本节点为 1号节点HA探测网口探测网口HA探测IP如果探测周边设备IP列表中所有探测失败的IP的'权重'之和达到阈值100,则置这个安全网关节点为失效状态。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式：串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用，推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关，请详细阅读1.2节、1。

3。

2节.如果您希望使用Web方式远程管理安全网关，请详细阅读1.2节和1。

3.1节.安全网关主要以两种方式接入网络:透明方式和路由方式.透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1。

2 准备开始接通电源，开启安全网关，安全网关正常启动后，会蜂鸣三声，未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1。

3。

1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机—〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5.0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序.插入随机附带的驱动光盘，进入光盘ikey driver目录,双击运行INSTDRV程序,选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁"。

切记：安装驱动前不要插入USB电子钥匙。

3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了.如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框，直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙,重启系统后再试一次，如仍无法解决，请联系技术支持人员.4。