网神SecGate3600安全网关快速指南.doc

SecGate 3600安全网关快速指南声明服务修订：l 本公司保留不预先通知客户而修改本文档所含内容的权利有限责任：l 本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保l 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失版权信息：l 任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权网神信息技术（北京）股份有限公司目 录一、概述 1二、安全网关硬件描述 1三、安全网关安装 21．安全使用注意事项 22．检查安装场所 32.1 温度／湿度要求 32.2 洁净度要求 42.3 抗干扰要求 43．安装 44．加电启动 5四、通过CONSOLE口的命令行方式进行管理 51．选用管理主机 52．连接安全网关 63．登录CLI界面 74．命令行快速配置向导 8五、通过WEB界面进行管理 161．选用管理主机 162．安装认证驱动程序 163．安装USB电子钥匙 164．连接管理主机与安全网关 175．认证管理员身份 176．登录安全网关WEB界面 187．许可证导入 198．WEB界面配置向导 20六、常见问题解答FAQ 26网神信息技术（北京）股份有限公司 30一、概述SecGate 3600安全网关缺省支持两种管理方式：（1） 通过CONSOLE口的命令行管理方式（2） 通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择安装安全网关之前，请您务必阅读本指南的“二、三”两节如果希望使用CONSOLE口命令行方式管理安全网关，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理安全网关，请您仔细阅读本指南的第五节安全网关主要以两种模式接入网络：路由模式和混合模式在路由模式下，配置完安全网关后您可能还需要把受保护区域内三层设备或主机的网关指向安全网关；混合模式时，由安全网关自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置二、安全网关硬件描述 SecGate 3600系列安全网关前面板、后面板示意图分别见随机印刷页文字项说 明百兆网络接口l 具体接口数量和布局请见随机印刷页千兆网络接口l 具体接口数量和布局请见随机印刷页CONSOLE接口系统管理串行接口，波特率为9600管理员可用随机专用串口线连接终端和安全网关来管理系统预留USB接口某些型号产品包含预留的USB接口，用于以后扩展功能时使用。

以实物为准电源指示灯面板上标识为POWER，加电以后一直为绿色状态指示灯面板上标识为STATUS，系统正常运行时橙色灯一直闪烁停止闪烁表示系统出现故障三、安全网关安装 1．安全使用注意事项 本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600安全网关过程中严格执行这将有助于您更安全地使用和维护您的安全网关1）您使用的SecGate 3600安全网关采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座良好的接地是您的安全网关正常工作的重要保证 （2）为使安全网关正常工作，请不要将其放置于高温或者潮湿的地方3）请不要将安全网关放在不稳定的桌面上，如果跌落可能会对安全网关造成严重损害4）请保持室内通风良好并保持安全网关通气孔畅通5）为减少受电击的危险，在安全网关工作时不要打开外壳，即使在不带电的情况下，也不要随意打开安全网关机壳6）清洁安全网关前，请先将安全网关电源插头拔出不要用湿润的布料擦拭安全网关，不能用液体清洗安全网关2．检查安装场所SecGate 3600安全网关必须在室内使用，无论您将安全网关安装在机柜内还是直接放在工作台上，都需要保证以下条件：（1）确认安全网关的入风口及通风口处留有空间，以利于安全网关机箱的散热。

2）确认机柜和工作台自身有良好的通风散热系统3）确认机柜和工作台足够牢固，能够支撑安全网关及其安装附件的重量4）确认机柜和工作台的良好接地为保证安全网关正常工作和延长使用寿命，安装场所还应该满足下列要求2.1 温度／湿度要求为保证SecGate 3600安全网关正常工作和使用寿命，机房内需维持一定的温度和湿度若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害安全网关的电路温度过高则危害更大，长期高温将加速绝缘材料的老化过程，使安全网关的可靠性大大降低，严重影响其寿命2.2 洁净度要求灰尘对安全网关的运行安全是一大危害室内灰尘落在机体上，可以造成静电吸附，使金属接插件或金属接点接触不良尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影响设备寿命，而且容易造成通信故障除灰尘外，机房内应防止有害气体（如SO2、H2S、NH3、Cl2 等）的侵入这些有害气体会加速金属的腐蚀和某些部件的老化过程同时安全网关机房对空气中所含的盐、酸、硫化物也有严格的要求。

2.3 抗干扰要求安全网关在使用中可能受到来自系统外部的干扰，这些干扰通过电容/电感耦合，电磁波辐射，公共阻抗（包括接地系统）耦合和导线（电源线、信号线和输出线等）的传导方式对设备产生影响为此应注意以下条件：（1）交流供电系统为TN系统，交流电源插座应采用有保护地线（PE）的单相三线电源插座，使设备上滤波电路能有效的滤除电网干扰2）安全网关工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备3）电缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流将设备信号口损坏3．安装SecGate 3600安全网关可以放置在桌面上，也可以放在标准的19英寸机架上安放在桌面上不需要特别的操作，安放在机架上时需要自备螺丝刀，螺钉在包装箱中4．加电启动安全网关启动步骤如下：（1）请将安全网关安装在机架上或放在一个水平面上2）确认安全网关电源是关闭的3）连接电源线4）安全网关可以通过网口用网线连接管理主机，也可通过串口线连接管理主机进而用超级终端管理安全网关5）接通电源，按下安全网关上的电源开关，置于ON状态，安全网关加电启动6）听到“嘀嘀嘀”三声，且橙色的状态灯开始闪烁（SecGate 3600-G4，G7T和G7(H1.5)型号除外，这三个型号其状态灯正常启动成功后即为灭状态），表示启动成功。

安全网关启动成功以后，请通过CONSOLE口命令行或者WEB浏览器方式管理安全网关，具体方法请参考以下相关章节如果安全网关未正常启动，请按以上步骤进行检查，如仍无法解决问题，请您联系供应商相关技术支持人员四、通过CONSOLE口的命令行方式进行管理基本步骤：连接串口线 —> 配置超级终端 —> 开始配置管理1．选用管理主机要求该主机具备：（1）空闲的RS232串口（2）有超级终端软件比如Windows系统中的“超级终端”连接程序2．连接安全网关利用随机附带的串口线连接管理主机的串口和安全网关串口CONSOLE，启动超级终端工具，以Windows自带“超级终端”为例：点击“开始 --> 所有程序 --> 附件 --> 通讯 --> 超级终端”，选择用于连接的串口设备，定制通讯参数：（1）每秒位数：9600；（2）数据位：8；（3）奇偶校验：无；（4）停止位：1；（5）数据流控制：无；提示：对于Windows自带“超级终端”，选择“还原默认值”即可3．登录CLI界面连接成功以后，提示输入管理员帐号和口令时，输入出厂默认帐号“admin”和口令“firewall”即可进入登录界面，注意所有的字母都是小写的。

4．命令行快速配置向导第一次用串口或者SSH客户端成功登录安全网关后，管理员可以输入命令“fastsetup”，单击回车键，利用命令行配置向导进行简单配置配置向导仅适用于管理员第一次配置安全网关或者测试安全网关的基本通信功能，此向导涉及最基本的配置，安全性很低因此，专业管理员建议直接参考《网神SecGate 3600安全网关命令行手册》完成自己网络的配置，才能保证安全网关拥有正常有效的网络安全功能命令行初始配置向导的配置步骤如下：（1） 输入原密码，如下图所示：（2） 输入新密码，并确认密码，如下图所示：（3） 选择安全网关FE1 接口（千兆接口对应为GE1，G7对应为S1G1）的工作模式，输入1为路由模式，输入2为混合模式，如下图所示：（4） 选择安全网关FE2 接口（千兆接口对应为GE2，G7对应为S1G2）的工作模式，方法同FE1 此时FE1和FE2 的工作模式必须一致5） 输入FE1接口的IP地址和掩码， 如下图所示：（说明：若FE1、FE2都是混合模式，则FE1的地址必须配置，FE2的地址可以不配置）（6） 输入FE2接口的IP地址和掩码，方法同FE1此时FE1和FE2 的IP地址不允许在同一网段。

7） 是否允许所有主机ping FE1接口，输入“y”为允许，输入“n”为不允许，如下图所示：（8） 是否允许通过FE1接口管理安全网关，输入“y”为允许，输入“n”为不允许，如下图所示：此时如果选择“n”，则不会出现下文叙述的（9）、（10）两项9） 是否允许管理主机ping FE1接口，输入“y”为允许，输入“n”为不允许，如下图所示：（10） 是否允许管理员用traceroute探测FE1口的IP地址，输入“y”为允许，输入“n”为不允许，如下图所示：（11） 设置FE2接口属性，内容同（7）、（8）、（9）、（10）四项12） 设置默认网关IP，如下图所示（说明：若安全网关的两个网口都是混合模式，可以不配默认网关）13） 设置管理主机IP，如下图所示：（14） 设置安全规则的源IP和目的IP，默认为any，如下图所示：（15） 是否允许用SSH客户端登录安全网关，输入“y”为允许，输入“n”为不允许，如下图所示：此时输入“y”或者“n”后会显示所有的设置信息16） 是否执行并且退出，输入“y”为将以上配置立即生效，输入“n”为直接退出如果需要保存配置，请执行“syscfg save”命令。

如下图所示：在命令行界面下，可以查阅《网神SecGate 3600安全网关命令行手册》来完成安全网关的其它配置，更好地的发挥安全网关的防护职能五、通过WEB界面进行管理基本过程：配置管理主机 —> 安装USB电子钥匙驱动—>认证管理员身份 —>开始配置管理1．选用管理主机要求具有以太网卡、USB接口和光驱，操作系统可以为Window98。