网御神州SecGate 3600-F2安全网关WEB界面操作手册

SecGate 3600-F2安全网关WEB界面手册声明

服务修订：

z本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：

z本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

z本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：

z任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网御神州科技（北京）有限公司

北京海淀区上地信息产业基地

开拓路7号

先锋大厦

SecGate 3600-F2安全网关WEB界面手册

目 录

1.导言 (1)

1.1.本书适用对象 (1)

1.2.手册章节组织 (1)

1.3.菜单结构说明 (3)

1.4.相关参考手册 (9)

2.登录安全网关WEB界面 (10)

2.1.管理员必读 (10)

2.1.1.管理员电子钥匙 (10)

2.1.2.管理员证书 (11)

2.1.3.管理员配置管理 (11)

2.2.管理员首次登录 (12)

2.2.1.登录WEB界面 (13)

2.3.管理员再次登录 (15)

3.首页 (16)

4.系统配置 (19)

4.1.系统配置>>系统时钟 (19)

SecGate 3600-F2安全网关WEB界面手册

4.2.系统配置>>升级许可 (21)

4.3.系统配置>>导入导出 (22)

4.4.系统配置>>报警邮箱 (23)

4.5.系统配置>>日志服务器 (24)

4.6.系统配置>>域名服务器 (25)

5.管理配置 (27)

5.1.管理配置>>管理方式 (27)

5.2.管理配置>>管理主机 (28)

5.3.管理配置>>管理员帐号 (29)

5.4.管理配置>>管理员证书 (32)

5.5.管理配置>>集中管理 (35)

6.网络配置 (38)

6.1.网络配置>>网络接口 (38)

6.2.网络配置>>接口IP (41)

6.3.网络配置>>策略路由 (46)

6.4.网络配置>>ADSL拨号 (50)

6.5.网络配置>>DHCP配置 (52)

6.5.1.DHCP配置>>DHCP服务器 (53)

6.5.2.DHCP配置>>DHCP中继 (56)

6.5.3.DHCP配置>>DHCP客户端 (57)

2

SecGate 3600-F2安全网关WEB界面手册7.VPN配置 (59)

7.1.基本配置 (60)

7.2.VPN客户端分组 (62)

7.3.VPN 端点 (64)

7.4.VPN 隧道 (70)

7.5.VPN 设备 (75)

7.6.证书管理 (77)

7.6.1.证书管理>>CA证书 (77)

7.6.2.证书管理>>对方证书 (78)

7.6.3.证书管理>>本地证书 (81)

7.6.4.证书管理>>证书吊销列表 (84)

7.7.PPTP/L2TP (85)

7.7.1.PPTP/L2TP>>基本配置 (85)

7.7.2.PPTP/L2TP >>拨号用户管理 (86)

8.对象定义 (88)

8.1.对象定义通用功能介绍 (88)

8.1.1.分页显示 (89)

8.1.2.查找 (90)

8.1.3.排序 (91)

8.1.4.添加 (91)

3

SecGate 3600-F2安全网关WEB界面手册

8.1.5.编辑（修改） (92)

8.1.6.删除 (93)

8.1.7.名称和备注 (94)

8.2.地址 (95)

8.2.1.地址>>地址列表 (96)

8.2.2.地址>>地址组 (97)

8.2.3.地址>>服务器地址 (99)

8.2.4.地址>>NAT地址池 (101)

8.3.服务 (103)

8.3.1.服务>>服务列表 (104)

8.3.2.服务>>服务组 (109)

8.4.时间 (111)

8.4.1.时间>>时间列表 (111)

8.4.2.时间>>时间组 (113)

8.5.连接限制 (115)

8.5.1.保护主机 (115)

8.5.2.保护服务 (117)

8.5.3.限制主机 (120)

8.5.4.限制服务 (122)

8.6.带宽列表 (125)

8.7.URL列表 (126)

4

SecGate 3600-F2安全网关WEB界面手册9.安全策略 (130)

9.1.安全策略>>安全规则 (130)

9.1.1.包过滤规则 (136)

9.1.2.NAT规则 (141)

9.1.3.IP映射规则 (145)

9.1.4.端口映射规则 (150)

9.2.安全策略>>地址绑定 (157)

9.3.安全策略>>抗攻击 (164)

10.用户认证 (175)

10.1.用户认证>>服务器 (176)

10.2.用户认证>>用户列表 (179)

10.3.用户认证>>用户组 (181)

11.系统监控 (186)

11.1.日志信息 (187)

11.2.资源状态 (189)

11.3.网络接口 (191)

11.4.VPN隧道监控 (192)

11.5.PPTP/L2TP监控 (193)

11.6.DHCP用户信息 (194)

11.7.在线用户 (195)

5

SecGate 3600-F2安全网关WEB界面手册

11.8.在线管理员 (196)

11.9.ARP表 (196)

11.10.IP诊断 (197)

附录一用户认证客户端软件安装使用指南 (199)

1.概述 (199)

2.客户端软件的安装 (200)

3.基本使用方法 (200)

3.1 客户端主界面 (200)

3.2 配置系统 (201)

3.3 认证 (201)

3. 4 修改密码 (203)

4.电子钥匙的使用方法 (204)

4.1 电子钥匙驱动程序的安装 (204)

4.2 配置电子钥匙 (204)

4.3 修改电子钥匙PIN口令 (206)

4.4 认证 (207)

4.5 修改口令 (209)

6

SecGate 3600-F2安全网关WEB界面操作手册

1. 导言

1.1. 本书适用对象

本手册是SecGate 3600-F2安全网关管理员手册中的一本，主要介绍如何通过WEB页面方式对SecGate 3600-F2安全网关进行配置管理。

本手册适用于负责支持、维护SecGate 3600-F2安全网关的安全管理员，是对SecGate 3600-F2安全网关进行配置管理时的必备手册。

使用本手册的读者，应首先掌握TCP/IP 协议、IP地址及子网掩码等基本知识。

1.2. 手册章节组织

本手册按以下的章节编排：

第一章、导言：描述本书适用的读者，手册章节组织、WEB界面菜单结构及相关参考手册等。

第二章、快速入门：描述了SecGate 3600-F2安全网关管理员首次登录方法和必读的基本知识。

第三章、首页：介绍了SecGate 3600-F2安全网关首页的显示信息及基本操作。

第四章、系统配置：介绍了SecGate 3600-F2安全网关相关的系统配置，包括：1

SecGate 3600-F2安全网关WEB界面操作手册系统时钟、升级许可、导入导出、报警邮箱、日志服务器、域名服务器等。

第五章、管理配置：讲述与SecGate 3600-F2安全网关管理相关的配置，包括：管理方式、管理主机、管理员帐号、管理员证书、集中管理等。

第六章、网络配置：介绍与网络环境相关的配置，包括：网络接口、安全网关IP、策略路由、ADSL拔号、DHCP服务器、DHCP中继、DHCP客户端等。

第七章、VPN配置：讲述VPN的相关配置，包括：VPN基本配置，远程网关，自动IKE隧道，VPN设备，PPTP/L2TP，证书管理等。

第八章、对象定义：讲述各种对象的定义方法，这些对象可供安全规则使用，包括：地址列表、地址组、服务器地址、NAT地址池、服务列表、服务组、时间列表、时间组、连接限制、带宽列表、URL列表等。

第九章、安全策略：介绍与访问控制相关的配置，包括：安全规则、地址绑定、IDS 联动、抗攻击等。

第十章、用户认证：介绍与用户认证相关的设置，包括：服务器、用户列表、用户组。

第十一章、系统监控：介绍如何监控系统的运行状态，包括：网络监控、网络接口、DHCP用户信息、隧道监控、资源状态、日志信息、在线用户、在线管理员、ARP 表、IP诊断等。

附录一：介绍了用户认证客户端软件的安装和使用。

2

SecGate 3600-F2安全网关WEB 界面操作手册

1.3. 菜单结构说明

界面框架如下图所示：

菜单采用树型结构，如下图所示：

一级菜单

说 明 首页

显示安全网关基本信息、网口接口状态、资源状态、在线管理员、最近事件等 系统配置

安全网关的系统配置，包括： 3

SecGate 3600-F2安全网关WEB界面操作手册

1）系统时钟

2）升级许可

3）导入导出

4）报警邮箱

5）日志服务器

6）域名服务器

管理配置安全网关的管理配置，包括：

1）管理方式

2）管理主机

3）管理员帐号

4）管理员证书

5）集中管理

其中，只有超级管理员admin才能修改管理员的帐号。网络配置安全网关作为一台网络设备，对网络相关属性的配置：

1）网络接口

2）安全网关IP

3）桥

4）策略路由

5）ADSL拔号

4

SecGate 3600-F2安全网关WEB界面操作手册

6）DHCP配置：DHCP服务器，DHCP中继，DHCP客

户端

VPN配置1）基本配置

2） VPN客户端分组

3） VPN端点

4） VPN隧道

5） VPN设备

6）证书管理：CA证书，对方证书，本地证书，证书吊

销列表

7） PPTP/L2TP：基本配置，拨号用户管理

5

SecGate 3600-F2安全网关WEB界面操作手册

对象定义为简化安全网关安全规则的维护工作，引入了对象定义，

可以定义如下对象：

1）地址：地址列表、地址组、服务器地址、NAT地址池

2）服务：服务列表、服务组

3）时间：时间列表、时间组，可以设置一次性调度和周

循环调度

4）连接限制：保护主机、保护服务、限制主机、限制服

6

SecGate 3600-F2安全网关WEB界面操作手册

务

5）带宽：带宽列表，设置一些带宽属性

6）URL：黑白URL名单

对象只有被安全规则引用才能起作用，否则，不起作用。

策略管理员才具有定义对象的权限。

安全策略安全网关的核心配置，包括：

1）安全规则：包过滤规则、NAT规则、端口映射规则、

IP映射规则。

2）地址绑定：IP/MAC地址的绑定

7

SecGate 3600-F2安全网关WEB界面操作手册

3）抗攻击

策略管理员具有制定安全策略的权限。

用户认证用户认证包括：

1）用户认证服务器

2）用户列表

3）用户组

系统监控监控安全网关所在网络以及安全网关本身的状态，包括：

1）日志信息

2）资源状态：CPU利用率、内存利用率

3）网络接口

4）VPN隧道监控

5）PPTP/L2TP监控

6）DHCP用户信息

7）在线用户：当前通过用户认证功能的在线用户的信息

8）在线管理员：显示所有在线管理的信息

9）ARP表：系统内部ARP表的状态

10）IP诊断：从安全网关ping、traceroute其它主机

日志审计员具有监控安全网关所在网络以及安全网关本

8

SecGate 3600-F2安全网关WEB界面操作手册

身的权限。

1.4. 相关参考手册

《网御神州SecGate 3600-F2安全网关快速指南》，介绍了安全网关的快速安装配置，初始向导的使用等。

《网御神州SecGate 3600-F2安全网关命令行操作手册》，介绍了如何通过命令行操作管理SecGate 3600-F2安全网关。

9

SecGate 3600-F2安全网关WEB界面操作手册

2. 登录安全网关WEB界面

2.1. 管理员必读

2.1.1. 管理员电子钥匙

管理员电子钥匙是默认的管理员身份认证方式，用于认证管理主机，确保与安全网关相连接的管理主机是合法的。

电子钥匙内保存了安全网关ID、安全网关IP和端口，通过客户端软件读出，发给安全网关进行认证。认证通过后，安全网关（服务器端）为管理主机（客户端）IP 打开访问https公有证书的端口。每5秒钟安全网关进行一次通信监控。当安全网关检测到客户端退出(或者超时)，关闭管理主机访问https公有证书的端口的权限，并提供日志记录功能。

利用客户端软件可以修改电子钥匙中的安全网关ID、安全网关IP地址和端口、电子钥匙访问口令PIN。

随机光盘中提供一个电子钥匙的生产或修复程序：可以设置安全网关ID，设置安全网关IP地址和端口，修改电子钥匙访问口令PIN。

10

SecGate 3600-F2安全网关WEB界面操作手册

2.1.2. 管理员证书

管理员可以用证书方式进行身份认证。证书包括CA证书、安全网关证书、安全网关私钥、管理员证书。前三项必须导入安全网关中，后一个同时要导入管理主机的IE中。

证书文件有两种编码格式：PEM和DER，后缀名可以有pem，der，cer，crt等多种，后缀名与编码格式没有必然联系。

CA证书、安全网关证书和安全网关私钥只支持PEM编码格式，cacert.crt和cacert.pem是完全相同的文件。管理员证书支持PEM和DER两种，因此提供administrator.crt和administrator.der证书administrator.crt 和administrator.pem是完全相同的文件。*.p12文件是将CA、证书和私钥打包的文件。

2.1.

3. 管理员配置管理

在管理主机上，通过电子钥匙认证或管理员证书认证成功后，再使用管理员帐号认证成功后才能访问安全网关可管理IP，完成对安全网关的配置管理。请参考本手册中“管理配置”一章。

安全网关管理IP地址：管理员要在安全网关上定义安全网关可以被管理的IP地址，并指定管理主机可以进行的操作（如：允许PING、允许TRACEROUTE等）。未指定为管理IP的主机不能管理。

管理主机地址限制：只有管理主机才能对安全网关进行管理。安全网关系统指定管理主机的IP，最多可以指定256个管理主机，不包括集中管理主机。

11

SecGate 3600-F2安全网关WEB界面操作手册管理员身份认证方式：电子钥匙认证和证书认证。

管理员授权：管理员有不同的身份，分为超级管理员、配置管理员、审计管理员、策略管理员。其中，超级管理员可以增加、删除管理员帐号；配置管理员可以设置系统配置、管理配置、网络配置；策略管理员可以配置对象定义、安全策略。审计管理员可以查看安全网关日志信息。

管理员访问信道加密：为防止管理员与安全网关之间的管理信息被非法者截取而利用，对安全网关的远程管理的通信应该实现加密。同时，安全网关可以防止对远程管理的重放攻击。CLI界面命令行方式下支持SSH加密，WEB界面下支持SSL加密（使用https协议访问安全网关）。通过安全网关本地串口使用超级终端登录时通信不加密。

2.2. 管理员首次登录

正确管理安全网关前，需要配置安全网关的管理主机、管理员帐号和权限、网口上可管理IP、安全网关管理方式。

z默认管理员帐号为admin，密码为firewall

z默认管理口：安全网关WAN口

z可管理IP：WAN口上的默认IP地址为10.50.10.45/255.255.255.0

z管理主机：默认为10.50.10.44/255.255.255.0

z默认管理方式：（1）管理主机用交叉线与WAN口连接（2）用电子钥匙进行身份认证（3）访问https://安全网关可管理IP地址:8888（注：若用证书进行认证，

12

SecGate 3600-F2安全网关WEB界面操作手册则访问https://安全网关可管理IP地址:8889）。登录帐号为默认管理员帐号与密码，访问WEB界面。此方式下的配置通信是加密的。

2.2.1. 登录WEB界面

将默认管理主机的网口用交叉连接的以太网线（两端线序不同）与安全网关的WAN口连接，管理主机的IE版本必须是5.5及以上版本，如果是电子钥匙认证，在浏览器中输入https://10.50.10.45:8888，如果是证书认证，则输入https://10.50.10.45:8889，登录后弹出下面的登录界面：

正确输入默认管理员帐号与密码，进入下面的安全网关配置管理界面：

13

SecGate 3600-F2安全网关WEB界面操作手册

在第一次登录成功后，管理员可以按需求变更管理员帐号、管理主机、安全网关可管理IP、管理方式或导入管理员证书。下次登录时，按变更内容进行认证与登录。

当管理员完成管理任务或者离开管理界面时，应主动退出WEB管理界面。正确的操作方法是点击快捷菜单最右端的“退出”快捷图标，这将通知安全网关

本管理员退出操作，然后关闭本窗口。如果点击IE标题栏上的，则只是关闭了窗口，并没有通知安全网关该管理员已退出管理。安全网关WEB界面有超时机制，默认超时时间为600秒，如果安全网关持续（>600秒）未接收到WEB界面操作请求，则超时退出。

14

本文来源：https://www.bwwdw.com/article/v31e.html