網(wǎng)神SecGate-3600防火墻快速指南

聲明服務(wù)修訂：本公司保留不預(yù)先通知客戶而修改本文檔所含內(nèi)容的權(quán)利。有限責任：本公司僅就產(chǎn)品信息預(yù)先說明的范圍承擔責任，除此以外，無論明示或默示，不作其它任何擔保，包括（但不限于）本手冊中推薦使用產(chǎn)品的適用性和安全性、產(chǎn)品的適銷性和適合某特定用途的擔保。本公司對于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損害不負任何賠償責任，包括（但不限于）直接的、間接的、附加的個人損害或商業(yè)損失或任何其它損失。版權(quán)信息：任何組織和個人對本公司產(chǎn)品的擁有、使用以及復制都必須經(jīng)過本公司書面的有效授權(quán)。網(wǎng)神信息技術(shù)（北京）股份有限公司目錄TOC\o"1-5"\h\z一、概述1二、防火墻硬件描述2三、防火墻安裝21．安全使用注意事項22．檢查安裝場所32.1溫度／濕度要求32.2潔凈度要求42.3抗干擾要求43．安裝44．加電啟動5四、通過CONSOLE口的命令行方式進行管理51．選用管理主機62．連接防火墻63．登錄CLI界面7五、通過WEB界面進行管理.91．選用管理主機92．安裝認證驅(qū)動程序93?安裝USB電子鑰匙94．連接管理主機與防火墻105?認證管理員身份106?登錄防火墻WEB界面107?許可證導入.128WEB界面配置向?qū)?4.21六、常見問題解答FAQ.21、概述SecGate3600防火墻缺省支持兩種管理方式：通過CONSOLE口的命令行管理方式通過網(wǎng)口的WEB(https)管理方式(3)撥號(PPP)接入(連接AUX口)管理方式CONSOLE口的命令行管理方式適用于對防火墻操作命令比較熟悉的用戶。WEB方式更直觀方便，為保證安全，WEB方式連接之前需要對管理員身份進行認證。要快速配置使用防火墻，推薦采用CONSOLE口命令行方式；日常管理監(jiān)控防火墻時，WEB方式則是更方便的選擇。安裝防火墻之前，請您務(wù)必閱讀本指南的“二、三”兩節(jié)。如果希望使用CONSOLE口命令行方式管理防火墻，請您仔細閱讀本指南的第四節(jié)；如果希望使用WEB方式管理防火墻，請您仔細閱讀本指南的第五節(jié)。防火墻主要以兩種模式接入網(wǎng)絡(luò)：路由模式和混合模式。在路由模式下，配置完防火墻后您可能還需要把受保護區(qū)域內(nèi)三層設(shè)備或主機的網(wǎng)關(guān)指向防火墻；混合模式時，由防火墻自動判定流經(jīng)它的數(shù)據(jù)報文應(yīng)該通過路由模式還是透明橋模式轉(zhuǎn)發(fā)，如果為透明橋模式，則不用修改已有網(wǎng)絡(luò)配置。二、防火墻硬件描述SecGate3600系列防火墻前面板、后面板示意圖分別見隨機印刷頁。文字項說明百兆網(wǎng)絡(luò)接口?具體接口數(shù)量和布局請見隨機印刷頁千兆網(wǎng)絡(luò)接口?具體接口數(shù)量和布局請見隨機印刷頁CONSOLE接口系統(tǒng)管理串行接口，波特率為9600。管理員可用隨機專用串口線連接終端和防火墻來管理系統(tǒng)。預(yù)留USB接口某些型號產(chǎn)品包含預(yù)留的USB接口，用于以后擴展功能時使用。以實物為準。電源指示燈面板上標識為POWER，加電以后一直為綠色。狀態(tài)指示燈面板上標識為STATUS,系統(tǒng)正常運行時橙色燈為熄滅狀態(tài)。三、防火墻安裝1．安全使用注意事項本節(jié)列出安全使用注意事項，請仔細閱讀并在使用SecGate3600防火墻過程中嚴格執(zhí)行。這將有助于您更安全地使用和維護您的防火墻。（1）您使用的SecGate3600防火墻采用220V交流電源，請確認工作電壓并且務(wù)必使用三芯帶接地電源插頭和插座。良好的接地是您的防火墻正常工作的重要保證。（2）為使防火墻正常工作，請不要將其放置于高溫或者潮濕的地方。（3）請不要將防火墻放在不穩(wěn)定的桌面上，如果跌落可能會對防火墻造成嚴重損害。（4）請保持室內(nèi)通風良好并保持防火墻通氣孔暢通。（5）為減少受電擊的危險，在防火墻工作時不要打開外殼，即使在不帶電的情況下，也不要隨意打開防火墻機殼。（6）清潔防火墻前，請先將防火墻電源插頭拔出。不要用濕潤的布料擦拭防火墻，不能用液體清洗防火墻。2．檢查安裝場所SecGate3600防火墻必須在室內(nèi)使用，無論您將防火墻安裝在機柜內(nèi)還是直接放在工作臺上，都需要保證以下條件：（1）確認防火墻的入風口及通風口處留有空間，以利于防火墻機箱的散熱。（2）確認機柜和工作臺自身有良好的通風散熱系統(tǒng)。（3）確認機柜和工作臺足夠牢固，能夠支撐防火墻及其安裝附件的重量。（4）確認機柜和工作臺的良好接地。為保證防火墻正常工作和延長使用壽命，安裝場所還應(yīng)該滿足下列要求。2.1溫度／濕度要求為保證SecGate3600防火墻正常工作和延長使用壽命，機房內(nèi)需維持一定的溫度和濕度。若機房內(nèi)長期濕度過高，易造成絕緣材料絕緣不良甚至漏電，有時也易發(fā)生材料機械性能變化、金屬部件銹蝕等現(xiàn)象；若相對濕度過低，絕緣墊片會干縮而引起緊固螺絲松動，同時在干燥的氣候環(huán)境下，易產(chǎn)生靜電，危害防火墻的電路。溫度過高則危害更大，長期高溫將加速絕緣材料的老化過程，使防火墻的可靠性大大降低，嚴重影響其壽命。2.2潔凈度要求灰塵對防火墻的運行安全是一大危害。室內(nèi)灰塵落在機體上，可以造成靜電吸附，使金屬接插件或金屬接點接觸不良。尤其是在室內(nèi)相對濕度偏低的情況下，更易造成靜電吸附，不但會影響設(shè)備壽命，而且容易造成通信故障。除灰塵外，機房內(nèi)應(yīng)防止有害氣體（如so2、h2s、NH3、Cl2等）的侵入。這些有害氣體會加速金屬的腐蝕和某些部件的老化過程。同時防火墻機房對空氣中所含的鹽、酸、硫化物也有嚴格的要求。2.3抗干擾要求防火墻在使用中可能受到來自系統(tǒng)外部的干擾，這些干擾通過電容/電感耦合，電磁波輻射，公共阻抗（包括接地系統(tǒng)）耦合和導線（電源線、信號線和輸出線等）的傳導方式對設(shè)備產(chǎn)生影響。為此應(yīng)注意以下條件：（1）交流供電系統(tǒng)為TN系統(tǒng)，交流電源插座應(yīng)采用有保護地線（PE）的單相三線電源插座，使設(shè)備上濾波電路能有效的濾除電網(wǎng)干擾。（2）防火墻工作地點遠離強功率無線電發(fā)射臺、雷達發(fā)射臺、高頻大電流設(shè)備。（3）電纜要求在室內(nèi)走線，禁止戶外走線，以防止因雷電產(chǎn)生的過電壓、過電流將設(shè)備信號口損壞。3．安裝secGate3600防火墻可以放置在桌面上，也可以放在標準的19英寸機架上。安放在桌面上不需要特別的操作，安放在機架上時需要自備螺絲刀，螺釘在包裝箱中。4．加電啟動防火墻啟動步驟如下：（1）請將防火墻安裝在機架上或放在一個水平面上。（2）確認防火墻電源是關(guān)閉的。（3）連接電源線。（4）防火墻可以通過網(wǎng)口用網(wǎng)線連接管理主機，也可通過串口線連接管理主機進而用超級終端管理防火墻。（5）接通電源，按下防火墻上的電源開關(guān)，置于ON狀態(tài)，防火墻加電啟動。（6）聽到“嘀嘀嘀”三聲，且橙色的狀態(tài)燈為熄滅狀態(tài)，表示啟動成功。防火墻啟動成功以后，請通過CONSOLE口命令行或者WEB瀏覽器方式管理防火墻，具體方法請參考以下相關(guān)章節(jié)。如果防火墻未正常啟動，請按以上步驟進行檢查，如仍無法解決問題，請您聯(lián)系供應(yīng)商相關(guān)技術(shù)支持人員。四、通過CONSOLE口的命令行方式進行管理基本步驟：連接串口線—>配置超級終端—>開始配置管理1．選用管理主機要求該主機具備：空閑的RS232串口；有超級終端軟件。比如Windows系統(tǒng)中的“超級終端”連接程序。2．連接防火墻利用隨機附帶的串口線連接管理主機的串口和防火墻串口CONSOLE，啟動超級終端工具，以Windows自帶“超級終端”為例：點擊“開始-->所有程序-->附件-->通訊-->超級終端”，選擇用于連接的串口設(shè)備，定制通訊參數(shù)：(1)每秒位數(shù)：9600；(2)數(shù)據(jù)位：8；(3)奇偶校驗：無；(4)停止位：1；(5)數(shù)據(jù)流控制：無；C0I1屋性確定取消提示：對于Windows自帶“超級終端”，選擇“還原默認值”即可。3?登錄CLI界面連接成功以后，提示輸入管理員帳號和口令時，輸入出廠默認帳號“admin”和口令“admin@123”即可進入登錄界面，注意所有的字母都是小寫的。

aaa-超級鍥峯五、通過WEB界面進行管理基本過程：配置管理主機—>安裝USB電子鑰匙驅(qū)動一>認證管理員身份一〉開始配置管理1．選用管理主機要求具有以太網(wǎng)卡、USB接口和光驅(qū)，管理主機IE必須是5.5及以上版本、文字大小建議為中等，屏幕顯示建議設(shè)置為1024x768。2．安裝認證驅(qū)動程序在第一次使用電子鑰匙前，需要先安裝電子鑰匙的認證驅(qū)動程序。插入隨機附帶的驅(qū)動光盤，進入光盤IkeyDriver目錄，雙擊運行INSTDRV程序，選擇“開始安裝”，隨后出現(xiàn)安裝成功的提示，選擇“退出”。切記：安裝驅(qū)動前不要插入USB電子鑰匙，否則驅(qū)動安裝完畢后需要重新拔插電子鑰匙！3?安裝USB電子鑰匙在管理主機上插入USB電子鑰匙，系統(tǒng)提示找到新硬件，稍后提示完全消失，說明電子鑰匙已經(jīng)可以使用了。如果您在安裝驅(qū)動前插了一次電子鑰匙，此時系統(tǒng)會彈出“歡迎使用找到新硬件向?qū)А睂υ捒?。直接選擇“下一步”并耐心等待，約半分鐘后系統(tǒng)將提示驅(qū)動程序沒有經(jīng)過Windows兼容性測試，選擇'仍然繼續(xù)”即可，如長時間（如約3分鐘)無反映，請拔下USB電子鑰匙，重啟系統(tǒng)后再試一次，如仍無法解決，請您聯(lián)系技術(shù)支持人員。4．連接管理主機與防火墻利用隨機附帶的網(wǎng)線直接連接管理主機網(wǎng)口和防火墻gel網(wǎng)口，把管理主機IP設(shè)置為4,掩碼為。在管理主機運行ping5驗證是否真正連通，如不能連通，請檢查管理主機的IP(4)是否設(shè)置在與防火墻相連的網(wǎng)絡(luò)接口上。強烈建議該網(wǎng)口不要綁定其他IP,并且使用交叉線直接連接防火墻。5．認證管理員身份第一、插入電子鑰匙。第二、運行\(zhòng)\AdminAuth\目錄中的ikeyc程序，提示輸入用戶pin,默認為。此時電子鑰匙中存儲的默認防火墻IP地址為5，認證端口為9999。如果認證成功，將彈出對話框提示“通過認證”。說明管理員已經(jīng)通過了身份認證，可以對防火墻進行配置管理了。如果出現(xiàn)其他錯誤，請檢查網(wǎng)絡(luò)連接、pin碼是否輸入錯誤等。6?登錄防火墻WEB界面運行IE瀏覽器，在地址欄輸入，等待約20秒鐘會彈出一個對話框提示選擇證書，選擇SecGateAdmin證書，選擇確定按鈕。

然后會彈出一個對話框提示確認證書選擇確認即可。系統(tǒng)提示輸入管理員帳號和口令。缺省情況下，管理員帳號是admin,密碼是:admin@123。

7?許可證導入登錄防火墻界面后，請先選擇左側(cè)頁面系統(tǒng)配置＞＞升級許可界面，會出現(xiàn)下面的頁面信息。首頁▼系統(tǒng)配置站導入導出jgj升級許可g日志服務(wù)器東境出前秋件點不：b.al.Jl.?亠1訃幻“嚴才亡乂上：|『沫山；...|［孚人許可莊號出許可證功譴許可絡(luò)Jl吋同Byriafilu_routien-able2D12/D4/23:C12J：0'21■iiLtiviriiz亡血able2012/047233012^08/214JLtiviru.Eupdalg*?D12/W>233012/08/21iPPpjvablp2D12/D4；232012/aa/Ei耳皿up>la.ie2D12/D4/23:C12J：0'21CDHELtctl■:>Tln胡：SOffiOOO2012/047233012^08/213P=?n-ahl&ZDIZ/EMy'ZSaj]z/as/zii嚴updatbZD12/04；￡3soji/aa/EiurlenableurLupdate*2012/04/23印堆m日比iypn*ZD1Z/DQ/Z3zaiz/as/zi町口lunnalZD12/D4/E3soji^aa/EiVE^Senable點擊“瀏覽”按鈕，選擇待導入本防火墻的License文件,點擊導入許可證即可完成導入操作，導入成功后，可在左側(cè)導航列表查看許可證對應(yīng)的功能項目列表。8?WEB界面配置向?qū)渲孟驅(qū)б彩莾H適用于管理員第一次配置防火墻或者測試防火墻的基本通信功能，此向?qū)婕白罨镜呐渲?，安全性很低，因此，專業(yè)管理員建議直接參考《網(wǎng)神SecGate3600防火墻WEB界面手冊》進行自己網(wǎng)絡(luò)的配置，才能保證防火墻擁有正常有效的網(wǎng)絡(luò)安全功能。WEB界面的初始配置向?qū)У氖褂貌襟E如下:首次使用WEB界面進行配置，需將管理主機的IP地址設(shè)為4,在IE地址欄中輸入登錄防火墻以后，點擊饕初始向?qū)Ш辣４媾渲?導出配置黃務(wù)肋黃重啟黃關(guān)機初始向址欄中輸入登錄防火墻以后，點擊饕初始向?qū)Ш辣４媾渲?導出配置黃務(wù)肋黃重啟黃關(guān)機初始向?qū)?，開始防火墻的配置。(1)修改超級管理員admin的密碼，超級管理員的密碼默認是：(1)修改超級管理員admin的密碼，超級管理員的密碼默認是：admin@123：(2)選擇防火墻gel和ge2接口的工作模式，防火墻的接口默認都是工作在路由模式:席亡租弋缶抄I絡(luò)無=1?和純幣屯轉(zhuǎn)忖.氓世樞弍占冋紹佞=1判斷噸時口孩岌或音逶匪播轉(zhuǎn)急苗梔掘?qū)g際冏絡(luò)拓撲址行配直，敘認吏毎跨曰謨武，MT更■?冋絡(luò)按口二唁腹戒必煩叩冋°’?跖由模弍idQ岸合程弋c?龍由桓弍曲O暹色桎弍下一曲配置防火墻的接口IP地址，建議至少配置一個接口的IP能用于管理，否則,完成初始配置后無法用WEB界面管理防火墻:1.修改口令Z.丁It科式在註呢占膿弍下.寧全區(qū)丄迪I上旻疋/FL1.修改口令Z.丁It科式在註呢占膿弍下.寧全區(qū)丄迪I上旻疋/FLI：1=西-、迪止祁心邁鴕食.武」=少有一平地址可肛用于管理°Cl速史掃張弍K，尹［七細住宜JTH月亍豈苴“誥根據(jù)實陌網(wǎng)貉拓撲進右配直-展口u：I掩阿:□允釘門可三TKu.u匚ft+^K允訐豈蛀三汞ljir.f兀許它妊工GHrsZ接II"T.麗方式a.TOiS俺訶：□兀訐肪旳三機即兀匚莊于點趕九訐苜理三1r.f尤許苣理土機X"巧r,：“上p配置默認網(wǎng)關(guān)，如果希望防火墻能上互聯(lián)網(wǎng)，則必須配置默認網(wǎng)關(guān)，否則,可以直接跳過本界面，配置下一個界面。配置管理主機，管理主機必須與防火墻IP在同一網(wǎng)段，如果想通過防火墻IP：23來管理防火墻，則可以設(shè)置管理主機IP：00：

添加一條允許的安全規(guī)則，如果在界面上不填寫源地址和目的地址，則會允許所有的訪問，建議在網(wǎng)絡(luò)調(diào)試通暢后，刪除該規(guī)則:設(shè)置管理方式，如果希望用遠程SSH來管理防火墻，需要選中'遠程SSH管理”，否則，可以跳過本界面:

i一慘改童碼臨廠占迂柱?。莺咧鳌按斡摇筍3k可違迄弗:爛錄全」M蘭攔云■■遷迄常汽-匸莒炷“i一慘改童碼回託萸密?語噲應(yīng)(I^CCKCIIIZ-工接口ir創(chuàng)支持拔號(FFFjJs>.:連幷畑口工接口irtssir式HTi;j￡ZVcl(tllpstssir式HTi;j￡上卡下汁11車消I單擊完成”，以上配置將立即生效，至此完成防火墻的初始配置，然后根據(jù)提示重新登錄防火墻，如果需要保存該配置，請點擊WEB界面上的“保存配置”:

1修改口令岡喑抿口即L工沖在路曲摂式，二PHi址豈:匚60.-&1.1,丸許所有主杠1修改口令11.l6弋許用丁當理」不允蘆祓苛哩主機一」5糾2-工作模式3.攝口HF岡喑抿口如工沖在路曲摂式-二PHi址知.22.2.尤許所百主機2-工作模式3.攝口HF栽譏剛蘭丸：1ARO10?c?.5.皆舞4UJL把許從任意土址詢寸任意地址的所有張變.①安全規(guī)則單:t“W成”丄后，￡丄配宣將立即主慾■■潔把丈至兩夫按A.實醞網(wǎng)塔1管晝方式講訂調(diào)LL5.皆舞4UJL把許從任意土址詢寸任意地址的所有張變.①安全規(guī)則單:t“W成”丄后，￡丄配宣將立即主慾■■潔把丈至兩夫按A.實醞網(wǎng)塔1管晝方式講訂調(diào)LL傭也貳妙肓:吉T印W+4JI.1Utu1」.ill昔靈罔丄，至I“妄空黃喀乂去仝視則”亙意制疋己適胡安仝撫叩,點三眾港退出■:m子:上—缶趾消如果希望完成防火墻的其它配置，請查閱網(wǎng)神SecGate3600防火墻WEB界面手冊，獲得通過WEB界面完成防火墻配置的相關(guān)知識?？焖龠B接快速連接六、常見問題解答FAQ(需根據(jù)測試提供的FAQ整理)1如何用遠程SSH方式登錄防火墻?答：(1)在CONSOLE口的命令行方式下執(zhí)行“mngmodesshon”，或者在WEB界面中選擇“系統(tǒng)配置＞＞管理方式”中的“遠程SSH管理”，并點擊“確認”按鈕如下圖:系統(tǒng)配置理方式管理方式[0[0[0立持撥號[0[0[0立持撥號(FFF)按入(癥揃M口〕起級終端管理(S^COBSOEE口〕Web(https〕管理遠程SSH管理遠程TELNET管理確認防火墻已設(shè)置可管理的IP地址及管理主機IP地址；在管理主機上使用SSH客戶端連接防火墻，建立連接后會出現(xiàn)登錄提示符，此時即可輸入管理員帳戶名和密碼進入防火墻命令行管理方式。以SecureCRT作為客戶端為例，如下圖所示：

□啟動時昱示快速連接（也叼鍥存會話（也□在標簽貢中打開m~iS~~SS_圖2配置界面圖3管理界面為什么刪除不掉超級管理員？答：因為本防火墻設(shè)計為超級管理員是不能被刪除的?？梢远鄠€管理員同時在線管理防火墻嗎?答：可以。V3T3.Bd0■xx-uLV3T3.Bd0■xx-uL■ft辭J50uurx0卡血口視saw；*號営理歩(1)進入“系統(tǒng)配置＞＞管理員帳號”選中“允許多個管理員同時管理”。在彈出的對話框中點擊“確認”按鈕即可。或者在Console模式下輸入：mngacctmultion即可。防火墻能抵抗那些惡意攻擊？應(yīng)如何配置使防火墻能抵抗這些惡意攻擊？答：防火墻能抵抗以下的惡意攻擊：SYNFlood攻擊、ICMPFlood攻擊、PingofDeath攻擊、UDPFlood攻擊、PINGSWEEP攻擊、TCP端口掃描、UDP端口掃描、松散源路由攻擊、嚴格源路由攻擊、WinNuke攻擊、smurf攻擊、TCP無標記攻擊、圣誕樹攻擊、SYN&FIN攻擊、無確認FI