网神SecGate-3600防火墙快速指南

声明

服务修订：

●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：

●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作

其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括

（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：

●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效

授权。

网神信息技术（北京）股份有限公司

目录

一、概述 (1)

二、防火墙硬件描述 (2)

三、防火墙安装 (2)

1．安全使用注意事项 (2)

2．检查安装场所 (3)

2.1 温度／湿度要求 (3)

2.2 洁净度要求 (4)

2.3 抗干扰要求 (4)

3．安装 (4)

4．加电启动 (5)

四、通过CONSOLE口的命令行方式进行管理 (5)

1．选用管理主机 (6)

2．连接防火墙 (6)

3．登录CLI界面 (7)

五、通过WEB界面进行管理 (9)

1．选用管理主机 (9)

2．安装认证驱动程序 (9)

3．安装USB电子钥匙 (9)

4．连接管理主机与防火墙 (10)

5．认证管理员身份 (10)

6．登录防火墙WEB界面 (10)

7．许可证导入 (12)

8．WEB界面配置向导 (14)

六、常见问题解答FAQ (21)

一、概述

SecGate 3600防火墙缺省支持两种管理方式：

（1）通过CONSOLE口的命令行管理方式

（2）通过网口的WEB（https）管理方式

（3）拨号( PPP ) 接入( 连接AUX口)管理方式

CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。要快速配置使用防火墙，推荐采用CONSOLE口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种模式接入网络：路由模式和混合模式。在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

二、防火墙硬件描述

SecGate 3600系列防火墙前面板、后面板示意图分别见随机印刷页。

三、防火墙安装

1．安全使用注意事项

本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的SecGate 3600防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。良好的接地是您的防火墙正常工作的重要保证。

（2）为使防火墙正常工作，请不要将其放置于高温或者潮湿的地方。

（3）请不要将防火墙放在不稳定的桌面上，如果跌落可能会对防火墙造成严重损害。

（4）请保持室内通风良好并保持防火墙通气孔畅通。

（5）为减少受电击的危险，在防火墙工作时不要打开外壳，即使在不带电的情况下，也不要随意打开防火墙机壳。

（6）清洁防火墙前，请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙，不能用液体清洗防火墙。

2．检查安装场所

SecGate 3600防火墙必须在室内使用，无论您将防火墙安装在机柜内还是直接放在工作台上，都需要保证以下条件：

（1）确认防火墙的入风口及通风口处留有空间，以利于防火墙机箱的散热。

（2）确认机柜和工作台自身有良好的通风散热系统。

（3）确认机柜和工作台足够牢固，能够支撑防火墙及其安装附件的重量。

（4）确认机柜和工作台的良好接地。

为保证防火墙正常工作和延长使用寿命，安装场所还应该满足下列要求。

2.1 温度／湿度要求

为保证SecGate 3600防火墙正常工作和延长使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害防火墙的电路。温度过高则危害更大，长期高温将加速绝缘材料的老化过程，使防火墙的可靠性大大降低，严重影响其寿命。

2.2 洁净度要求

灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上，可以造成静电吸附，使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影响设备寿命，而且容易造成通信故障。除灰尘外，机房内应防止有害气体（如SO2、H2S、NH3、Cl2 等）的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。

2.3 抗干扰要求

防火墙在使用中可能受到来自系统外部的干扰，这些干扰通过电容/电感耦合，电磁波辐射，公共阻抗（包括接地系统）耦合和导线（电源线、信号线和输出线等）的传导方式对设备产生影响。为此应注意以下条件：

（1）交流供电系统为TN系统，交流电源插座应采用有保护地线（PE）的单相三线电源插座，使设备上滤波电路能有效的滤除电网干扰。

（2）防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。

（3）电缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流将设备信号口损坏。

3．安装

SecGate 3600防火墙可以放置在桌面上，也可以放在标准的19英寸机架上。安放在桌面上不需要特别的操作，安放在机架上时需要自备螺丝刀，螺钉在包装箱中。

4．加电启动

防火墙启动步骤如下：

（1）请将防火墙安装在机架上或放在一个水平面上。

（2）确认防火墙电源是关闭的。

（3）连接电源线。

（4）防火墙可以通过网口用网线连接管理主机，也可通过串口线连接管理主机进而用超级终端管理防火墙。

（5）接通电源，按下防火墙上的电源开关，置于ON状态，防火墙加电启动。

（6）听到“嘀嘀嘀”三声，且橙色的状态灯为熄灭状态，表示启动成功。

防火墙启动成功以后，请通过CONSOLE口命令行或者WEB浏览器方式管理防火墙，具体方法请参考以下相关章节。

如果防火墙未正常启动，请按以上步骤进行检查，如仍无法解决问题，请您联系供应商相关技术支持人员。

四、通过CONSOLE口的命令行方式进行管理

基本步骤：连接串口线—> 配置超级终端—> 开始配置管理

1．选用管理主机

要求该主机具备：

（1）空闲的RS232串口；

（2）有超级终端软件。比如Windows系统中的“超级终端”连接程序。

2．连接防火墙

利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE，启动超级终端工具，以Windows自带“超级终端”为例：点击“开始--> 所有程序--> 附件--> 通讯--> 超级终端”，选择用于连接的串口设备，定制通讯参数：

（1）每秒位数：9600；

（2）数据位：8；

（3）奇偶校验：无；

（4）停止位：1；

（5）数据流控制：无；

提示：对于Windows自带“超级终端”，选择“还原默认值”即可。

3．登录CLI界面

连接成功以后，提示输入管理员帐号和口令时，输入出厂默认帐号“admin”和口令“admin@123”即可进入登录界面，注意所有的字母都是小写的。

五、通过WEB界面进行管理

基本过程：配置管理主机—> 安装USB电子钥匙驱动—>认证管理员身份—>开始配置管理

1．选用管理主机

要求具有以太网卡、USB接口和光驱，管理主机IE必须是5.5及以上版本、文字大小建议为中等，屏幕显示建议设置为1024×768。

2．安装认证驱动程序

在第一次使用电子钥匙前，需要先安装电子钥匙的认证驱动程序。插入随机附带的驱动光盘，进入光盘Ikey Driver目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出”。

切记：安装驱动前不要插入USB电子钥匙，否则驱动安装完毕后需要重新拔插电子钥匙！

3．安装USB电子钥匙

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过Windows兼容性测试，选择“仍然继续”即可，如长时间（如约3

分钟）无反映，请拔下USB电子钥匙，重启系统后再试一次，如仍无法解决，请您联系技术支持人员。

4．连接管理主机与防火墙

利用随机附带的网线直接连接管理主机网口和防火墙ge1网口，把管理主机IP设置为10.50.10.44，掩码为255.255.255.0。在管理主机运行ping 10.50.10.45验证是否真正连通，如不能连通，请检查管理主机的IP（10.50.10.44）是否设置在与防火墙相连的网络接口上。

强烈建议该网口不要绑定其他IP，并且使用交叉线直接连接防火墙。

5．认证管理员身份

第一、插入电子钥匙。

第二、运行\\Admin Auth\目录中的ikeyc程序，提示输入用户pin，默认为。此时电子钥匙中存储的默认防火墙IP地址为10.50.10.45，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了。如果出现其他错误，请检查网络连接、pin码是否输入错误等。

6．登录防火墙WEB界面

运行IE浏览器，在地址栏输入，等待约20秒钟会弹出一个对话框提示选择证书，选择SecGateAdmin证书，选择确定按钮。

然后会弹出一个对话框提示确认证书

选择确认即可。

系统提示输入管理员帐号和口令。缺省情况下，管理员帐号是admin，密码是：admin@123。

7．许可证导入

登录防火墙界面后，请先选择左侧页面系统配置>>升级许可界面，会出现下面的页面信息。

点击“浏览”按钮，选择待导入本防火墙的License文件，点击导入许可证即可完成导入操作，导入成功后，可在左侧导航列表查看许可证对应的功能项目列表。8．WEB界面配置向导

配置向导也是仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能，此向导涉及最基本的配置，安全性很低，因此，专业管理员建议直接参考《网神SecGate 3600防火墙WEB界面手册》进行自己网络的配置，才能保证防火墙拥有正常有效的网络安全功能。

WEB界面的初始配置向导的使用步骤如下：

首次使用WEB界面进行配置，需将管理主机的IP地址设为10.50.10.44，在IE地址栏中输入：。登录防火墙以后，点击

初始向导，开始防火墙的配置。

（1）修改超级管理员admin的密码，超级管理员的密码默认是：admin@123：

（2）选择防火墙ge1和ge2接口的工作模式，防火墙的接口默认都是工作在路由模式：

（3）配置防火墙的接口IP地址，建议至少配置一个接口的IP能用于管理，否则，完成初始配置后无法用WEB界面管理防火墙：

（4）配置默认网关，如果希望防火墙能上互联网，则必须配置默认网关，否则，可以直接跳过本界面，配置下一个界面。

（5）配置管理主机，管理主机必须与防火墙IP在同一网段，如果想通过防火墙IP：192.168.10.123来管理防火墙，则可以设置管理主机IP：192.168.10.100：

网神SecGate3600防火墙用户手册簿

声明 服务修订： ●本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任： ●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或 默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿 责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息： ●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司 书面的有效授权。 网神信息技术（北京）股份有限公司

目录 导言、概述 (13) 第一章、基于web管理界面 (14) 1.web管理界面页面 (15) 2.Web管理界面主菜单 (17) 3.使用web管理界面列表 (18) 4.在web管理界面列表中增加过滤器 (19) 4.1 包含数字栏的滤波器 (21) 4.2 包含文本串的滤波器 (21) 5.在web管理界面列表中使用页面控制 (22) 5.1 使用栏设置来控制显示栏 (24) 5.2 使用带有栏设置的过滤器 (25) 6.常用web管理界面任务 (25) 6.1 连接到web管理界面 (26) 6.2 连接到web管理界面 (27) 7.修改当前设定 (28) 7.1 修改您SecGate管理员密码 (29) 7.2 改变web管理界面语言 (29) 7.3 改变您SecGate设备管理路径 (30)

7.4 改变web管理界面空闲运行时间 (31) 7.5 切换VDOMs (31) 8.联系客户支持 (31) 9.退出 (32) 第二章、系统管理 (32) 1. 系统仪表板 (32) 1.1 仪表板概述 (34) 1.2 添加仪表板 (34) 1.3 系统信息 (37) 1.4 设备操作 (45) 1.5 系统资源 (47) 1.6 最多的会话 (49) 1.7 固件管理条例 (53) 1.8 备份您的配置 (54) 1.9 在升级前测试固件 (57) 1.10 升级您的SecGate设备 (61) 1.11 恢复到以前的固件镜像 (65) 1.12 存储您的配置 (71) 使用虚拟域 (74)

网神SecGate 3600防火墙快速指南

声明 服务修订： 本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任： 本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息： 任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。 网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1

目录 一、概述 (1) 二、防火墙硬件描述 (2) 三、防火墙安装 (2) 1．安全使用注意事项 (2) 2．检查安装场所 (3) 温度／湿度要求 (3) 洁净度要求 (4) 抗干扰要求 (4) 3．安装 (5) 4．加电启动 (5) 四、通过CONSOLE口的命令行方式进行管理 (6) 1．选用管理主机 (6) 2．连接防火墙 (6) 3．登录CLI界面 (7) 五、通过WEB界面进行管理 (9) 1．选用管理主机 (9) 2．安装认证驱动程序 (9) 3．安装USB电子钥匙 (9) 4．连接管理主机与防火墙 (10) 5．认证管理员身份 (10) 6．登录防火墙WEB界面 (10) 7．许可证导入 (12) 2网神信息技术（北京）股份有限公司 2

8．WEB界面配置向导 (14) 六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21) 3网神信息技术（北京）股份有限公司 3

网神配置指南

网神设置指南 1. 资料准备 需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。 2. 网神设置 2.1. 主机设置 将本机IP设置为10.50.10.44，子网掩码为255.255.255.0。将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin程序安装许可证，安装过程中需要输入密码，默认密码为123456。安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。在IE地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为：firewall。即可进入网神设置画面。 2.2. 防火墙设置 2.2.1. 导入许可证 初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。如下图：

2.2.2. 网络接口 对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。 2.2. 3. 透明桥设置 须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。

网神SecGate3600nsg系类utm产品基本配置

一、设备出厂默认配置 1、设备接口出厂默认IP地址： 2、Web管理员账号与密码 3、CLI命令行（SSH、串口、Telnet方式） 二、首次设备管理 1、使用Web UI管理NSG设备 连接示意与管理过程

（1）使用网线接入NSG设备的GE1接口，并连接管理终端（PC）设备。 （2）将管理终端（PC）网卡设置为自动获取IP地址。NSG将自动分配管理端IP地址。（3）打开IE或其他浏览器，在地址栏中输入设备缺省管理地址：http://172.16.16.16。（4）出现NSG管理界面，输入账号：admin；密码：admin 注意：NSG设备WEB管理最低要求浏览器版本为IE7。 三、配置防火墙功能 购买NSG产品后，我们需要将NSG根据网络环境拓扑，部署于网络中，此时我们需要配置NSG的防火墙功能，使得新增NSG设备后的网络链路访问畅通。 1、根据拓扑配置NSG，要求从LAN区域主机可访问互联网。

配置步骤如下： （1）配置LAN（局域网）区域网络接口 进入“网络”→“接口”页面，选择所要作为LAN（局域网）区域的接口，进行编辑： ?区域：选择“LAN”区域 ?IP赋值方式：选择“静态”方式 ?IP地址：根据网络拓扑配置LAN接口IP地址192.168.0.1

?子网掩码：根据网络环境配置 ?主/从DNS：请根据实际配置 （2）配置WAN（互联网）区域网络接口 进入“网络”→“接口”页面，选择所要作为WAN（互联网接口）区域的接口，进行编辑： ?区域：选择“WAN”区域 ?IP赋值方式：选择“静态”方式 ?IP地址：根据网络拓扑配置WAN接口IP地址10.10.10.2 ?子网掩码：根据网络环境配置 ?主/从DNS：请根据实际配置 ?网关名称：定义出口下一跳网关的名称 ?IP地址：填写WAN接口的下一条网关地址，如拓扑10.10.10.1 （3）配置防火墙规则 通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG接口信息。此时网络流量还不允许通过NSG设备，需要继续配置防火墙规则。 ●NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则，默认规则不能删除

网神SecGate 3600防火墙产品功能投标参数

网神SecGate 3600防火墙产品功能投标参数 说明： 1、本文功能仅适用于防火墙各产品型号。 2、文中蓝色字体标注的功能为我司优势功能，可作为控标或推荐使用。红色字体为应标参数。 软件功能： 功能要求网络接入方式可以支持路由、透明以及混合接入模式，满足复杂应用环境的 接入需求 访问控制能力●支持基于源IP地址、目的IP地址、源区域、目的区域、 VLAN、MAC、时间、用户、网址、VPN隧道等多种方式进 行访问控制； ●支持设定网段内共享的或者任一地址的新建连接限制，支 持设定网段内共享的或者任一地址的并发连接限制；提供 连接限制的查询和统计功能； ●支持SIP/H.323/H.323网守 /FTP/https://www.sodocs.net/doc/394308759.html,/MMS/RTSP/TFTP等动态协议 ●支持MSN、QQ、skype、等Instant Messenger通信的限 制； ●可限制BT、eDonkey、kazaa、winmx、讯雷等多种P2P 应用限制； ●可按接口、IP进行IP/MAC对探测，支持单、双向静态地 址绑定，防止ARP攻击 安全过滤●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤， 支持收、发信人地址、邮件主题、邮件内容关键字、附件 名称过滤；支持ftp的GET、PUT命令控制； ●支持对移动代码如Java 、Active-X、Java script的过 滤； 用户认证支持Web/Portal弹出页面（无客户端）认证，支持本地认证和 第三方认证，支持LDAP、Radius等认证 网络地址转换能力可以支持源、目的地址/端口转换、双向地址转换； 支持一对一，一对多，多对一地址转换方式 网络适应能力●支持多纯透明子桥； ●支持802.1d生成树，能进行802.1d的生成树协商；支持 与交换机的Trunk接口对接 ●支持DHCP服务器、中继及客户端；

网神防火墙接入电信线路1测试总结

一、问题描述 政务网3路出口线路透明接入网神防火墙图示： 网络拓扑图如下： 图1-1 线路1接GE3（内网）和GE4（外网），线路2接GE5（内网）和GE6（外网），线路3接GE7（内网）和GE8（外网）。 线路1 线路2 线路3 问题：线路1透明接入防火墙后，线路1网络出现延时内网无法打开浏览器页面，接线路1的出口路由器1的CPU达到100% 。线路2和线路3透明接入运行正常。 二、测试方案 2.1、更换线路1接入防火墙的物理接口 步骤：把线路1接入GE5、GE6、GE7、GE8正常可用的透明接口，线路2接入GE3和GE4，ping测试查看线路1和线路2的网络延时。 测试结果：线路1接入GE5、GE6、GE7、GE8物理接口仍出现网络延时，出口路由器1的CPU达到100%，线路2接入GE3和GE4网络正常。

2.2、单独使用网神防火墙G30-6866MPLB透明接入线路1 步骤：使用第一批到货的网神防火墙G30-6866MPLB（由于设备更换下架未使用）一台单独透明模式接入“线路1”。 测试结果：“线路1”仍出现网络延时，出口路由器1的CPU达到100%。 2.3、网神防火墙不接入网络查看网络状况（图示如下） 图1-2 步骤：“线路1”的出口路由器直接连接多链路出口路由器，跳过中间网神防火墙和流控设备（如上图1-2）。 测试结果：“线路1”仍出现网络延时，出口路由器1的CPU达到100%。线路2和线路3正常。 2.4、用其他路由器替换出口路由器1查看网络状况 步骤：中软工程师用一台低端的路由器替换出口路由器1。 测试结果：“线路1”仍出现网络延时，由于替换的路由器比较低端，无法正确查看CPU功耗。 2.5、使用其他线路相同品牌型号的路由器替换线路1的出口路由器 步骤：中软工程师把“线路1”的出口路由器的配置导入另外一条线路（线路4）相同品牌型号的路由器中，把线路4的路由器接入“线路1”中。 测试结果：“线路1”仍出现网络延时，并且替换后的路由器的功耗也是比较高。排除了是路由器设备本身的故障问题。 2.6、线路1透明接入 X防火墙

网神secgate3600核心业级防火墙产品单页精简版g30

网神SecGate3600核心级防火墙 产品概述 网神SecGate3600防火墙核心级多核产品基于高性能、高稳定性的多核硬件平台和新一代多核并行SecOS安全操作系统，无通用操作系统漏洞，抗攻击能力强；突破了传统单核架构下性能瓶颈，在同时开启防火墙、VPN、IPS、AV、P2P限制等功能时仍能保证稳定性。实现了在产品性能、功能、稳定性、易升级、易用性管理等方面的全面突破。该系列产品已广泛应用于政府、金融、电力、教育、税务等行业的核心网络环境。 产品特点 ●独立安全协议栈：采用自主研发的SecOS，完整实现了状态检测包过滤/应用代理防火墙、入侵 检测防护、防病毒、IPSec VPN、SSLVPN、抗DDoS攻击、深度内容检测、带宽管理和流量 控制等综合安全网关功能，从而摆脱了通用操作系统束缚，无通用操作系统漏洞，不用被动地 追随通用操作系统的升级而升级。 ●高性能与高安全的多核架构：多核硬件架构与新一代多核并行安全操作系统SecOS相配合，多 个核并行处理，分担数据流量，极大的提升系统性能。多核并行操作系统可实现驾驭更多核处 理器、减少串行比例、降低系统开销，保证同时开启防火墙、VPN、IPS、AV、P2P限制等功 能系统依然运行平稳。 ●深度内容安全检测：多核间相互分工协作，一部分核进行高速数据转发，并对常见的 HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另一部分核实现快速重组 数据包还原内容，进行深度安全检测。从而可以实现大流量下的深度内容检测，完成P2P/IM协 议识别与限制、入侵防护、病毒防护等功能。 ●贴心的安全助手：系统集成了强大的安全助手，能够根据需要对内网主机、服务、端口、系统 及版本进行扫描，实时获取内网状况，并可以根据扫描结果轻松设置对象及安全策略，大大降 低了配置、维护的复杂度。 产品资质 公安部销售许可证 国家信息安全测评信息技术安全产品测评证书EAL1 国家信息安全产品认证证书第二级 国家保密局涉密信息系统产品检测证书 军B+级信息安全产品认证证书 计算机软件著作权登记证书 网神多核并行安全操作系统软件著作权证书

网神配置指南

网神设置指南 1.资料准备 需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。 2.网神设置 2.1.主机设置 将本机IP设置为，子网掩码为。将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin 程序安装许可证，安装过程中需要输入密码，默认密码为123456。安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。在IE地址栏中敲入：进行登入，默认密码为：firewall。即可进入网神设置画面。 2.2.防火墙设置 2.2.1.导入许可证 初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。如下图：

2.2.2.网络接口 对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。 2.2. 3.透明桥设置 须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点

击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。 2.2.4.安全规则设置 为了使I、II区的网口联通，需要对安全规则进行设置。设置方法如下：点击“安全策略”点击“安全规则”点击“添加”将“源地址”、“目标地址”和“服务”设成any 点击“确定”点击“保存配置”。

网神SecGate 3600防火墙A10000-TG30M产品白皮书【V8.12.1】

` 产品白皮书 网神SecGate 3600防火墙 A10000-TG30M 本文档解释权归网神信息技术（北京）股份有限公司产品部所有

●版权声明 Copyright ? 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。 未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录

目录 1产品概述 (4) 2产品特点 (4) 3主要功能 (5) 4 产品型号与指标 (9) 5 产品形态 (10) 6 产品资质 (10)

1.产品概述 网神SecGate 3600 新一代防火墙（以下简称“防火墙”）是基于网神自主研发的新一代的SecOS安全系统, 并结合在防火墙产品上多年技术、经验积累的基础上研发的, 专门为政府、教育、金融、能源、军队、运营商、大中小型企业等用户的网络出口打造的高性能防火墙系统。 防火墙可灵活部署在各种网络应用环境的边界，提供状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能。防火墙采用了高性能、高稳定性的多核硬件架构，接口支持扩展，为用户提供高效、稳定、可扩展的安全保障。 2.产品特点 ●业界领先的新一代SecOS安全系统 网神新一代SecOS安全系统在实现防火墙控制层和数据转发层的分离基础上，通过快转加速流程，大大提高了设备处理性能。并采用了全模块化设计思想，实现了独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙产生的影响。同时也减少了因为硬件平台的变更带来的重复开发问题。由于采用业界先进的系统设计理念，使网神SecOS具有更高的安全性、开放性、扩展性和稳定性。 ●软硬一体的高效多核架构 多核硬件架构与多核并行安全操作系统SecOS相结合，通过多核绑定技术使多个核可以真正并行处理数据流量，极大的提升系统处理性能。多核并行操作系统SecOS可高效控制更多的硬件处理核心，降低系统资源占用率，保证同时开启防火墙、VPN、行为管理、流量控制等多种功能时，系统依然能够保证平稳运行。 ●深度的内容安全（UTM+） 通过多核并行处理技术，使多个核心可以进行高效的并行协作处理，一部分 核心进行高速数据转发，并对常见应用协议进行预处理；另一部分核心进行快速的数据包拆解和内容数据还原，进行深度的内容过滤。同时结合多流关联分析技术，实现对P2P、即时通讯、视频等应用程序进行控制，并依靠新一代的IPS高速识别引擎（New High-speed Matching Engine,”NHME”），实现了高性能的入侵威胁防护；系统搭载的防病毒模块，可以识别高达500

精编【安全生产】网神安全网关配置方法

【安全生产】网神安全网关配 置方法 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv

1. 将计算机IP地址设置为10.50.10.44，掩码255.255.255.0，网关10.50.10.45，连接在VPN网关的FE1口。 2. 打开VPN网关配套光盘中的Admin Cert目录，双击证书文件SecGateAdmin.p12，弹出如下窗口。 按提示进行安装，密码为“123456”，其它按默认即可安装成功。 3. 在IE浏览器中输入： https://10.50.10.45:8889，密码为firewall 进入VPN网关管理界面。 4. 进入VPN网关管理界面。 5. 选择系统配置——》导入导出。 点击“浏览”，选择配置文件fwconfig.txt。 fwconfig.txt 如下： # hardware version: SecGate 3600-F3(SJW79)A # software version: 3.6.4.26 # hostname: SecGate # serial number: f6f335072669bb05 defaddr delalladdr

defaddr add DMZ 0.0.0.0/0.0.0.0 comment "DMZ" defaddr add Trust 0.0.0.0/0.0.0.0 comment "Trust" defaddr add Untrust 0.0.0.0/0.0.0.0 comment "Untrust" vpn set default prekey PleaseInputPrekey ikelifetime 28800 ipseclifetime 3600 vpnstatus on vpnbak off vpn on vpn add remote static main psk name xian addr 222.91.74.218 prekey PleaseInputPrekey ike 3des-sha1-dh5,aes-sha1-dh5 initiate on obey off nat_t on ikelifetime 28800 dpddelay 0 dpdtimeout 0 vpn add tunnel name xian_qianxian local 61.185.40.23 remote xian auth esp ipsec aes128-md5,3des-sha1 pfs on dh_group 5 ipseclifetime 3600 proxy_localip 0.0.0.0 proxy_localmask 0.0.0.0 proxy_remoteip 0.0.0.0 proxy_remotemask 0.0.0.0 anti synflood fe1 200 anti icmpflood fe1 1000 anti pingofdeath fe1 800 anti udpflood fe1 1000 anti pingsweep fe1 10 anti tcpportscan fe1 10 anti udpportscan fe1 10 anti synflood fe2 200 anti icmpflood fe2 1000

网神SecGate防火墙快速指南

声明服务修订： 本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任： 本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息： 任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。 网神信息技术（北京）股份有限公司

、概述 SecGate 3600 防火墙缺省支持两种管理方式： （1）通过CONSOLE 口的命令行管理方式 （2）通过网口的WEB （https ）管理方式 （3）拨号（ PPP ）接入（连接AUX 口）管理方式 CONSOLE 口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。WEB 方式更直观方便，为保证安全，WEB 方式连接之前需要对管理员身份进行认证。要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。 安装防火墙之前，请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB 方式管理防火墙，请您仔细阅读本指南的第五节。 防火墙主要以两种模式接入网络：路由模式和混合模式。在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过 路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。 、防火墙硬件描述

网神SecAV3600防毒墙系统配置基本命令参考手册

网神SecAV3600防毒墙系统基本配置命令参考手册 网神信息技术（北京）股份有限公司

目录 引言 (1) 相关手册 (1) 文档约定 (1) 网神服务和技术支持 (2) 连接到CLI界面 (1) 通过Console口管理设备 (1) 通过SSH协议管理设备 (2) 退出CLI界面 (4) 接口属性配置 (4) 启用或禁用接口 (5) 配置接口IP (5) 配置接口工作模式 (5) 配置接口所属VLAN (5) 配置接口所属桥接口 (6) 静态路由配置 (6) DNS服务器配置 (7) 系统时钟配置 (7) 修改设备名称 (8) 硬件BYPASS功能配置 (9) 管理配置 (9) 配置管理员账号 (9) 设置管理端口 (10) 设置远程管理选项 (11) 配置可信管理主机 (11) 设置账号锁定时间 (12) 设置登录重试次数 (12) 设置管理空闲超时 (12) WEBUI界面语言切换 (12) 获取帮助 (21) 设备配置管理 (13) 配置文件类型 (13) 保存配置 (14) 从TFTP服务器上恢复配置文件 (14) 配置导出备份 (14) 恢复出厂配置 (14)

系统重启/关机 (14) 重新启动设备 (15) 关闭设备 (15) 失败保护模式配置 (15) 系统调试命令 (15) 发送技术支持文件 (15) 远程调试设备 (16) 设置每页最多显示的行数 ......................................................................... 错误！未定义书签。域名解析 . (17) Ping命令 (17) 路由探测 (17) 系统升级 (17) 立即更新 (17) 定期更新 (18) 特征库更新 (18) 安装License (18) 定期更新特征库设置 (19) 手工更新特征库 (19) 恢复旧版本特征库 (21)

网神防火墙规划配置 文档

区域定义： 1、财政局专网接入防火墙Eth0口端口地址：10.76.82.85/30 2、技师学院外网接入防火墙Eth1口端口地址：113.200.218.12/29 3、电口交换机接入防火墙Eth2口端口地址：20.0.0.1/30 4、光口交换机接入防火墙Eth3口端口地址：30.0.0.1/30 2、实训楼接入防火墙Eth4口端口地址：40.0.0.1/30 3、无线接入防火墙Eth5口端口地址： 使用的Ip地址定义： 1、考试服务器主机地址：主服务器：172.16.108.253 ；备用服务器：172.16.108.252 2、监控硬盘录相机地址：外部访问：172.16.114.1 ；内部访问：192.168.10.xx 3、监控高清解码器地址：172.1.114.1 4、监控视频服务器地址：172.16.114.1 装在机房内. 5、Ip广播寻呼话筒地址： 6、Ip广播客户端分控地址：172. 装在考务办 7、考试后台管理Pc机地址：172. 16.108.250 装在机房外 8、外网后台管理Pc机地址：172.16.112.10 装在机房外 9、考场1教师机内网地址：172.16.107.253 装在7F 室 考场1教师机外网地址：172. 16.112.7 装在7F 室 10、考场2教师机内网地址：172.16.106. 253 装在7F 室 考场2教师机外网地址：172.16.112.6 装在7F 室 11、考场3教师机内网地址：172. 16.105.253 装在7F 室 考场3教师机外网地址：172.16.112.5 装在7F 室 12、考场4教师机内网地址：172.16.104.253 装在7F 室 考场4教师机外网地址：172. 16.112.4 装在7F 室 13、考场5教师机内网地址：172.16.103.253 装在7F 室 考场5教师机外网地址：172.16.112.3 装在7F 室 14、考场6教师机内网地址：172.16.102.253 装在8F 室 考场6教师机外网地址：172.16.112.2 装在8F 室 15、考场7教师机内网地址：172.16.101.253 装在8F 室 考场7教师机外网地址：172.16.112.1 装在8F 室 16、摄像头（枪机）地址： （1）：172. 装在xx 考场7F 室内xx 位置 （2）：172. 装在xx 考场7F 室内xx 位置 （3）：172. 装在xx 考场7F 室内xx 位置 （4）：172. 装在xx 考场7F 室内xx 位置