网神SecGate3600安全网关快速指南解析Word文档下载推荐.docx

1、在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。二、防火墙硬件描述 SecGate 3600系列防火墙前面板、后面板示意图分别见随机印刷页。文字项说 明百兆网络接口 具体接口数量和布局请见随机印刷页千兆网络接口CONSOLE接口系统管理串行接口，波特率为9600。管理员可用随机专用串口线连接终端和防火墙来管理系统。预留USB接口某些型号产品包含预留的USB接口，用于以后扩展功能时使用。以实物为准。电源指示灯面板上标识为POWER，加电以

2、后一直为绿色。状态指示灯面板上标识为STATUS，系统正常运行时橙色灯为熄灭状态。三、防火墙安装 1安全使用注意事项 本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。这将有助于您更安全地使用和维护您的防火墙。（1）您使用的SecGate 3600防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。良好的接地是您的防火墙正常工作的重要保证。 （2）为使防火墙正常工作，请不要将其放置于高温或者潮湿的地方。（3）请不要将防火墙放在不稳定的桌面上，如果跌落可能会对防火墙造成严重损害。（4）请保持室内通风良好并保持防火墙通气孔畅通。（

3、5）为减少受电击的危险，在防火墙工作时不要打开外壳，即使在不带电的情况下，也不要随意打开防火墙机壳。（6）清洁防火墙前，请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙，不能用液体清洗防火墙。2检查安装场所SecGate 3600防火墙必须在室内使用，无论您将防火墙安装在机柜内还是直接放在工作台上，都需要保证以下条件：（1）确认防火墙的入风口及通风口处留有空间，以利于防火墙机箱的散热。（2）确认机柜和工作台自身有良好的通风散热系统。（3）确认机柜和工作台足够牢固，能够支撑防火墙及其安装附件的重量。（4）确认机柜和工作台的良好接地。为保证防火墙正常工作和延长使用寿命，安装场所还应该满足下列要

4、求。2.1 温度湿度要求为保证SecGate 3600防火墙正常工作和延长使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害防火墙的电路。温度过高则危害更大，长期高温将加速绝缘材料的老化过程，使防火墙的可靠性大大降低，严重影响其寿命。2.2 洁净度要求灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上，可以造成静电吸附，使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影

5、响设备寿命，而且容易造成通信故障。除灰尘外，机房内应防止有害气体（如SO2、H2S、NH3、Cl2 等）的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。2.3 抗干扰要求防火墙在使用中可能受到来自系统外部的干扰，这些干扰通过电容/电感耦合，电磁波辐射，公共阻抗（包括接地系统）耦合和导线（电源线、信号线和输出线等）的传导方式对设备产生影响。为此应注意以下条件：（1）交流供电系统为TN系统，交流电源插座应采用有保护地线（PE）的单相三线电源插座，使设备上滤波电路能有效的滤除电网干扰。（2）防火墙工作地点远离强功率无线电发射台、雷达

6、发射台、高频大电流设备。（3）电缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流将设备信号口损坏。3安装SecGate 3600防火墙可以放置在桌面上，也可以放在标准的19英寸机架上。安放在桌面上不需要特别的操作，安放在机架上时需要自备螺丝刀，螺钉在包装箱中。4加电启动防火墙启动步骤如下：（1）请将防火墙安装在机架上或放在一个水平面上。（2）确认防火墙电源是关闭的。（3）连接电源线。（4）防火墙可以通过网口用网线连接管理主机，也可通过串口线连接管理主机进而用超级终端管理防火墙。（5）接通电源，按下防火墙上的电源开关，置于ON状态，防火墙加电启动。（6）听到“嘀嘀嘀”三声，且橙色

7、的状态灯为熄灭状态，表示启动成功。 防火墙启动成功以后，请通过CONSOLE口命令行或者WEB浏览器方式管理防火墙，具体方法请参考以下相关章节。如果防火墙未正常启动，请按以上步骤进行检查，如仍无法解决问题，请您联系供应商相关技术支持人员。四、通过CONSOLE口的命令行方式进行管理基本步骤：连接串口线 配置超级终端 开始配置管理1选用管理主机要求该主机具备：（1）空闲的RS232串口；（2）有超级终端软件。比如Windows系统中的“超级终端”连接程序。2连接防火墙利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE，启动超级终端工具，以Windows自带“超级终端”为例：点击“开

8、始 - 所有程序 - 附件 - 通讯 - 超级终端”，选择用于连接的串口设备，定制通讯参数：（1）每秒位数：9600；（2）数据位：8；（3）奇偶校验：无；（4）停止位：1；（5）数据流控制：提示：对于Windows自带“超级终端”，选择“还原默认值”即可。3登录CLI界面连接成功以后，提示输入管理员帐号和口令时，输入出厂默认帐号“admin”和口令“admin”即可进入登录界面，注意所有的字母都是小写的。五、通过WEB界面进行管理基本过程：配置管理主机 安装USB电子钥匙驱动认证管理员身份 开始配置管理要求具有以太网卡、USB接口和光驱，管理主机IE必须是5.5及以上版本、文字大小建议为中等

9、，屏幕显示建议设置为1024768。2安装认证驱动程序在第一次使用电子钥匙前，需要先安装电子钥匙的认证驱动程序。插入随机附带的驱动光盘，进入光盘Ikey Driver目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出”。切记：安装驱动前不要插入USB电子钥匙，否则驱动安装完毕后需要重新拔插电子钥匙！3安装USB电子钥匙在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有

10、经过Windows兼容性测试，选择“仍然继续”即可，如长时间（如约3分钟）无反映，请拔下USB电子钥匙，重启系统后再试一次，如仍无法解决，请您联系技术支持人员。4连接管理主机与防火墙利用随机附带的网线直接连接管理主机网口和防火墙ge1网口，把管理主机IP设置为10.0.0.44，掩码为255.255.255.0。在管理主机运行ping 10.0.0.1验证是否真正连通，如不能连通，请检查管理主机的IP（10.0.0.44）是否设置在与防火墙相连的网络接口上。强烈建议该网口不要绑定其他IP，并且使用交叉线直接连接防火墙。5认证管理员身份第一、插入电子钥匙。第二、运行Admin Auth目录中的i

11、keyc程序，提示输入用户pin，默认为12345678。此时电子钥匙中存储的默认防火墙IP地址为10.0.0.1，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了。如果出现其他错误，请检查网络连接、pin码是否输入错误等。6登录防火墙WEB界面运行IE浏览器，在地址栏输入https:/10.0.0.1:8888，等待约20秒钟会弹出一个对话框提示选择证书，选择SecGateAdmin证书，选择确定按钮。然后会弹出一个对话框提示确认证书选择确认即可。系统提示输入管理员帐号和口令。缺省情况下，管理员帐号是admin，密码是：

12、admin。7许可证导入 登录防火墙界面后，请先选择左侧页面 系统配置升级许可 界面，会出现下面的页面信息。 点击“浏览”按钮，选择待导入本防火墙的License文件，点击导入许可证即可完成导入操作，导入成功后，可在左侧导航列表查看许可证对应的功能项目列表。8WEB界面配置向导配置向导也是仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能，此向导涉及最基本的配置，安全性很低，因此，专业管理员建议直接参考网神SecGate 3600防火墙WEB界面手册进行自己网络的配置，才能保证防火墙拥有正常有效的网络安全功能。WEB界面的初始配置向导的使用步骤如下：首次使用WEB界面进行配置，需将管理

13、主机的IP地址设为10.0.0.44，在IE地址栏中输入：https:8889。登录防火墙以后，点击初始向导，开始防火墙的配置。（1）修改超级管理员admin的密码，超级管理员的密码默认是：admin：（2）选择防火墙ge1和ge2接口的工作模式，防火墙的接口默认都是工作在路由模式：（3）配置防火墙的接口IP地址，建议至少配置一个接口的IP能用于管理，否则，完成初始配置后无法用WEB界面管理防火墙：（4）配置默认网关，如果希望防火墙能上互联网，则必须配置默认网关，否则，可以直接跳过本界面，配置下一个界面。（5）配置管理主机，管理主机必须与防火墙IP在同一网段，如果想通过防火墙IP：192.16

14、8.10.123来管理防火墙，则可以设置管理主机IP：192.168.10.100：（6）添加一条允许的安全规则，如果在界面上不填写源地址和目的地址，则会允许所有的访问，建议在网络调试通畅后，删除该规则：（7）设置管理方式，如果希望用远程SSH来管理防火墙，需要选中“远程SSH管理”，否则，可以跳过本界面：（8）单击“完成”，以上配置将立即生效，至此完成防火墙的初始配置，然后根据提示重新登录防火墙，如果需要保存该配置，请点击WEB界面上的“保存配置”：如果希望完成防火墙的其它配置，请查阅网神SecGate 3600防火墙WEB界面手册，获得通过WEB界面完成防火墙配置的相关知识。六、常见问题解

15、答FAQ1如何用远程SSH方式登录防火墙？答：（1）在CONSOLE口的命令行方式下执行“mngmode ssh on”，或者在WEB界面中选择“系统配置管理方式”中的“远程SSH管理”，并点击“确认”按钮如下图：图1 （2）确认防火墙已设置可管理的IP地址及管理主机IP地址；（3）在管理主机上使用SSH客户端连接防火墙，建立连接后会出现登录提示符，此时即可输入管理员帐户名和密码进入防火墙命令行管理方式。以SecureCRT作为客户端为例，如下图所示：图2 配置界面图3 管理界面2为什么删除不掉超级管理员？因为本防火墙设计为超级管理员是不能被删除的。3可以多个管理员同时在线管理防火墙吗？可以。

16、（1）进入“系统配置管理员帐号”（2）选中“允许多个管理员同时管理”。（3）在弹出的对话框中点击“确认”按钮即可。或者在Console模式下输入： mngacct multi on 即可。4防火墙能抵抗那些恶意攻击？应如何配置使防火墙能抵抗这些恶意攻击？防火墙能抵抗以下的恶意攻击： SYN Flood攻击、ICMP Flood攻击、Ping of Death 攻击、UDP Flood 攻击、PING SWEEP攻击、TCP端口扫描、UDP端口扫描、松散源路由攻击、严格源路由攻击、WinNuke攻击、smurf攻击、TCP无标记攻击、圣诞树攻击、SYN&FIN攻击、无确认FIN攻击、IP安全选项

17、攻击、IP记录路由攻击、IP流攻击、IP时间戳攻击、Land攻击、teardrop攻击。（1）进入“防火墙抗攻击”。（2）点击相应网络接口的“操作”按钮，启动配置该网络接口的抗攻击功能。（3）配置相应网络接口的抗攻击参数。5如何补全命令行中的关键字？输入关键字的第一个字母，按Tab键就可以补全关键字。6如何获得命令的提示信息？按 ? 可以获得上下文相关的帮助信息。7我在命令行界面下，输入这样的备注address1 address2 ，为什么会提示错误？如果输入的备注信息中包含空格，必须使用双引号，正确的备注格式应该是“address1 address2”。8为何在网络连接正确时，不能“ping

18、”通防火墙？检查相应的网络接口是否启动允许ping功能。9从防火墙上ping其它的主机，发现网络不通，可能有哪些问题？可能有如下情况：网线没连接好、路由不正确、对方机器不允许等。10内网、DMZ网段不能访问外网，可能有哪些问题？可能有下面的问题：网线没连接好、规则中未允许访问相应服务（如未允许ICMP包通过就ping不通）、NAT或路由不正确、启动了“IP/MAC绑定”或“用户认证功能”，但用户没登录或没在IP/MAC表中加入正确的绑定信息。11规则的执行顺序是怎么样的？先执行优先级高的规则，规则的序号代表了规则的优先级，一般越先添加的规则，序号越小，优先级越高，但是，选中规则后，点击可以改变规则的优先级。12SecGate 3600防火墙没有发送报警邮件？请确认“系统配置报警邮箱”页面内的各项内容设置正确，另外请设置正确的域名服务器：