网神SecGate3600防火墙用户手册簿

《网神SecGate3600防火墙用户手册簿》由会员分享，可在线阅读，更多相关《网神SecGate3600防火墙用户手册簿（388页珍藏版）》请在装配图网上搜索。

1、word声明服务修订：l 本公司保存不预先通知客户而修改本文档所含内容的权利。有限责任：l 本公司仅就产品信息预先说明的X围承当责任，除此以外，无论明示或默示，不作其它任何担保，包括但不限于本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。l 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括但不限于直接的、间接的、附加的个人损害或商业损失或任何其它损失。信息：l 任何组织和个人对本公司产品的拥有、使用以与复制都必须经过本公司书面的有效授权。网神信息技术股份某某目 录导言、概述10第一章、基于web管理界面10121314154.1 包含数字栏的滤

2、波器164.2 包含文本串的滤波器17185.1 使用栏设置来控制显示栏195.2 使用带有栏设置的过滤器20206.1 连接到web管理界面216.2 连接到web管理界面22227.1 修改您SecGate管理员密码237.2 改变web管理界面语言247.3 改变您SecGate设备管理路径247.4 改变web管理界面空闲运行时间257.5 切换VDOMs252526第二章、系统管理261. 系统仪表板261.1 仪表板概述271.2 添加仪表板271.3 系统信息301.4 设备操作351.5 系统资源371.6 最多的会话381.7 固件管理条例411.8 备份您的配置421.9

3、在升级前测试固件451.10 升级您的SecGate设备471.11 恢复到以前的固件镜像501.12 存储您的配置55使用虚拟域572. 系统网络63配置接口652.2 配置区域742.3 配置网络选项762.4 配置SecGateDNS服务772.5 配置显式网络代理833. 系统动态主机设置协议服务器(DHCP)913.1 SecGate DHCP服务器和中继923.2 配置DHCP服务9397984.1 HA994.2 简单网络管理协议SNMP1094.3 替换信息1224.4 操作模式和虚拟域管理入口1301335.1 管理员1335.2 管理资料1475.3 设置1515.4 Se

4、cGateIPv6支持1556. 系统认证1616.1 本地证书1626.2 CA证书169第三章、路由1701. 路由静态1701.1 路由概念1711.2 如何建立路由表1721.3 如何做出路由判定1731.4 多路径路由以与决定最优路线1731.5 路线优先1751.6 黑洞路由1762. 静态路由1762.1 使用静态路由1772.2 默认路由和默认网关1802.3 添加静态路由至路由表1823. 等值多路径路由协议ECMP路由失败备援与负载均衡1843.1 ECMP路由同步会话至一样目标IP地址1863.2 配置溢出或基于使用ECMP1873.3 从CLI中添加权重至静态路由195

5、4. 策略路由1965. 路由信息协议RIP2025.1 RIP页面2035.2 RIP网页网络局部2035.3 RIP网页的接口局部2045.4 高级RIP选项2055.5 RIP-启用接口2076. 开放式最短路径优先OSPF2096.1 定义OSPF自主系统概览2096.2 根本OSPF设置2106.3 OSPF页面2106.4 OSPF页面的区域局部2116.5 OSPF页面网络局部2126.6 OSPF页面的接口局部2126.7 高级OSPF选项2136.8 OSPF页面高级选项2136.9 定义OSPF区域2156.10 OSPF网络2176.11 OSPF接口的运行参数2187.

6、 边界网关协议BGP2217.1 BGP页面2227.2 BGP页面领域局部2227.3 BGP页面网络局部2238. 多路广播2238.1 覆盖接口多路广播设置2258.2 多路广播目标NAT2269. 双向转发检测BFD2279.1 配置BFD22810. 路由器监控23110.1 查看路由信息23110.2 查找SecGate路由表235第四章、防火墙2361. 策略2361.1 身份识别防火墙策略2481.2 中心网络地址转换NAT表2551.3 互联网协议第六版(IPv6)策略2571.4 拒绝服务DoS策略2572. 地址2612.1 地址列表2612.2 地址组2633. 服务2

7、663.1 预定义服务器列表2663.2 定制服务2743.3 定制化服务组2764. 时间表2774.1 循环时间表列表2784.2 一次性时间表列表2794.3 时间表组2815. 流量整形器2825.1 共享流量整形器2835.2 Per-IP模式流量整形2856. 虚拟IP地址2866.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制2876.2 虚拟IP地址2876.3 虚拟域IP地址(VIP)组2916.4 IP地址池2937. 负载均衡功能2947.1 虚拟服务器2957.2 有效服务器3017.3 健康检查监控器3037.4 监控服务器306第五章、UTM3061.拒绝

8、服务DoS感应器3073103.SYN界限使用一个DoS感应器防止SYN泛滥310311第六章、虚拟专用网(IPsec VPN)3121.IPSec VPN概述3132.策略性对路由型虚拟专用网络(VPN)3153.自动交换密钥IKE3183.1 第一阶段配置3193.2 第一阶段高级配置设定3233.3 第二阶段配置3283.4 第二阶段高级配置设定3293344.1 新人工密钥配置3353396.监控虚拟专用网络(VPN)3417.安全套接层虚拟专用网络(SSL VPN)3437.1 安全套接层虚拟专用网络(SSL VPN)概述3447.2 根本配置步骤3457.3 配置Config346

9、7.4 界面3497.5 界面设定3527.6 界面小部件3527.7 安全套接层虚拟专用网络SSL VPN监控器列表354第七章、用户3553551.1 本地用户账户3561.2 身份认证设置3583602.1 防火墙型用户组3632.2 安全套接层虚拟专用网络SSL VPN型用户组3643.远程3653.1 RADIUS3663.2 轻量级目录访问协议LDAP3693.3 TACACS+3733744.1 防火墙用户监控表375第八章、日志与报告3783782.什么是日志?3792.1 日志类型和分类型380383日志信息3833844.1 远程存储到系统日志服务器3854.2 本地存储到

10、内存3874.3 本地存储到硬盘3883895.1 告警电子390392导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1） 通过CONSOLE口的命令行管理方式（2） 通过网口的WEBs管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比拟熟悉的用户。WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进展认证。要快速配置使用防火墙，推荐采用CONSOLE口命令行方式；日常管理监控防火墙时，WEB方式如此是更方便的选择。安装防火墙之前，请您务必阅读本指南的“二、三两节。如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如

11、果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。防火墙主要以两种模式接入网络：路由模式和混合模式。在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，如此不用修改已有网络配置。第一章、基于web管理界面这局部描述了您的SecGate 3600系列防火墙设备中用户友好型web管理界面管理界面有时是图形化界面。在管理电脑的浏览器上使用或安全的S连接，您就可以与SecGate web管理界面相连来配置或管理SecGate设备。管理计算机推荐的最小屏幕分辨率为

12、1280x1024。Web管理界面的一些功能只能在最新版最常用的浏览器上显示。带有web管理界面的旧版浏览器有时可能不能正常工作。对于和S web管理，您可以从任何SecGate界面配置SecGate设备。要与web管理界面相连，您需要有一个管理员账户跟密码。Web管理界面支持多种语言，但是默认语言为英语。您可以进入系统面板 状态来查看您的SecGate设备状态的详细信息。仪表板展示了诸如当前软件版本，操作模式，连接界面和系统资源等信息。您可以使用web管理界面菜单、列表和配置页面来配置大多数SecGate设置。采用web管理界面修改的配置参数可以立即生效，而不用重置SecGate设备或终止服

13、务。您可以采用在按钮条里的备份配置按钮随时备份您的配置。按钮条位于web管理界面右上方角落里。保存的配置随时可以恢复。Web管理界面还包含详细的上下文相关的在线帮助。在按钮条上选择在线帮助以显示当前web管理界面在线帮助页面。您可以使用SecGate命令行界面CLI来配置SecGate，该设置你也可以从web管理界面与命令行界面CLI中进展配置。系统仪表板提供了到CLI控制平台的方便入口，您可以使用到但无须退出web管理界面。该局部包含如下主题：web管理界面页面常用web管理界面任务1. web管理界面页面Web管理界面页面包含主菜单、菜单和子菜单。索引如下所示：系统 仪表板 仪表板。 当你

14、转到如UTM 入侵防护 概况,时，页面上显示的信息为菜单页面，如配置文件页面。一个菜单的页面包含必要的配置环境的图标语显示信息。在图1中显示了状态页面，该页面顶端为窗口图标和仪表板图标，以与系统主菜单下的菜单。图1中未显示的一个主菜单为当前VDOM主菜单，它只有在VDOM启动时才会显示，请参阅第33页的“切换VDOMs。图1: web管理界面界面的解释这个主题包含如下内容：l web管理界面主菜单l 使用web管理界面列表l 在web管理界面列表中增加过滤器l 在web管理界面列表中使用页面控制l 使用控制列显示的列设置l 使用带有列设置的过滤器2. Web管理界面主菜单Web管理界面界面上主

15、菜单提供SecGate所有主要特性的配置路径看24页图1。Web管理界面包含如下主菜单： 系统配置系统环境，如网络接口，虚拟域，DHCP服务，管理员，证书，高效HA，系统时间和系统配置。路由配置SecGate静态和动态路由并查看路由检测器。防火墙配置防火墙网络保护性能规如此，并配置虚拟IP地址与地址组。UTM配置入侵保护。虚拟专网配置IPSec和SSL虚拟私有网络。用户配置带有要求用户认证的防火墙的用户使用账户。配置外部认证服务器，例如RADIUS，LDAP，TACACS+。配置对火墙，IPSec，SSL。日志与报告配置日志与警告。查看日志消息与报告。当前VDOM，只有当VDOM启动时才会在S

16、ecGate设备中出现。允许您迅速的变换VDOM。要在不同的VDOM间切换，您只需从当前VDOM旁边的下拉列表中选择一个新的VDOM。3. 使用web管理界面列表许多web管理界面界面包含列表。其中包含网络接口列表，防火墙协议列表，管理员列表，用户列表和其他列表。如果您以管理员身份登录，而该身份允许对列表进展读写操作，那么您通常可以进展：在列表中选择创建新的项目。修改页面上列表中的项目。从列表中删除项目。假如该项不能被删除，如此删除图表将不会显示。通常添加到其他配置中的项目无法删除，为了删除该项目，您必须从其他配置中找到它并将它删除。例如，要删除已经添加到用户组中的一个用户账号，您必须首先从用

17、户组中删除该用户。如果您以允许读写操作的管理员身份登录，您可以查看列表中的项目。更多信息请参阅173页“管理概述。4. 在web管理界面列表中增加过滤器您可以添加过滤器来控制web管理界面中显示的复杂列表的信息。请看如下web管理界面页面列表示例：内容列表查看57页“查看当前列表防火墙协议和IPv6规如此列表查看261页“规如此，271页“DoS规如此和273页“预测规如此预定义的入侵保护列表查看313页“预定义防火墙用户监测列表查看400页“防火墙用户检测列表IPSec VPN监测产看364页“VPN监测日志和报告存取列表查看429页“存取和查看日志信息过滤器可以有效地减少列表中显示的条目数

18、量，因此，您可以集中于对您重要的信息。例如，您可以进入系统 面板 状态，在统计局部中，选择详细信息来查看SecGate设备当前进程的通信情况。一个繁忙的SecGate设备可以处理成百上千的进程。您可以添加过滤器使得找到某个特殊局部更容易。例如，您可能正在寻找所有的通讯局部，在防火墙协议允许的条件下，您可以添加一个规如此ID过滤器来只显示该ID或该系列ID的局部。您可以通过在编辑滤波器窗口中选择过滤器图标来向web管理界面添加过滤器。从编辑滤波器窗口，您可以选择任意栏来进展过滤，并为该栏配置该过滤器。您也可以同时为一栏或多栏添加过滤器。过滤器图标在未过滤的栏中显示为灰色，过滤后的栏中显示为绿色。

19、在关闭web管理界面页面甚至退出web管理界面或重装SecGate设备后，过滤器配置仍然保存着。根据每个栏中显示的信息类型不同，存在不同风格的过滤器。在所有的情形中，您可以通过设定过滤什么，是否显示与过滤器吻合的信息，和是否不显示与滤波器不匹配的信息来配置过滤器。在防火墙协议，IPv6规如此，预定义签名和日志报告存取列表中，您可以结合过滤器与栏设置来提供对列表显示信息的更多控制。更多信息请查看29页“应用有栏设置的过滤器。注释:过滤器设置存储在SecGate配置中，且您下次登录时将会保存在添加过滤器的列表中。4.1 包含数字栏的滤波器如果某栏包含数字如IP地址，防火墙协议ID或界面号，您可以通

20、过一个单一的数字或一连串数字进展过滤。例如，您可以配置一个源地址栏来显示某个单一IP地址或某系列IP地址的条目。为了指定某个系列，在起始与终止值用连字符分开，如25-50。要查看局部列表，进入系统 面板 状态。在会话旁边的统计局部中，选择详细信息。4.2 包含文本串的滤波器如果某栏包含文本串例如名字和日志信息，您可以通过文本串进展过滤。您还可以过滤与文本串严格相符的信息，包含文本串的信息或者不包含文本串的信息。您还可以指定是否区分大小写。该文本串可以空的或者很长。该文本串还可以包含特殊符号如等。然而，过滤器会忽略之后的字符，除非该字符为一空格例如，过滤器忽略string但却不忽略 string

21、。过滤器还会忽略匹配的字符以与当中的字符例如，过滤器忽略但却不忽略string。4.3 仅包含特殊条目的栏过滤器对那些仅包含特殊条目的栏例如日志安全信息或预定义的签名行为，您可以从列表中选择单个条目。在这种情形下，您只可以过滤该单一的选择的条目。4.3 常用过滤器还有其他常用过滤器。您可以根据时间和日期过滤日志信息。您还可以使用等级过滤器来显示不同安全级别的日志信息。5. 在web管理界面列表中使用页面控制Web管理界面包含页面控制，使得查看包含比一个正常浏览器窗口能显示的条目更多的列表变得更容易。包含页面控制的Web管理界面页面包括：会话列表查看57页的“查看当前会话列表路由监测器查看257

22、页“路由监测器入侵保护预定义签名列表查看313页“预定义防火墙用户监测列表查看400页“防火墙用户监测列表IPSec VPN监测器查看364页“监测VPNs禁止用户列表查看401页“禁止用户列表日志和报告存储列表查看429页“存储和查看日志信息。图3:页面控制第一页显示列表中第一个项目。前一页显示列表前一页项目。当前页显示当前列表页的项目。您可以输入页码数，按回车键来显示该页码上的项目。例如，如果共有5页而您按了3，那么就会显示第三页的内容。总页数您可以查看的列表项目总页数。下一页显示列表的下一页项目。最后一页显示列表最后一页的项目。5.1 使用栏设置来控制显示栏使用栏设置，您可以格式化一些w

23、eb管理界面列表，以方便找到对您重要的信息，那些不重要的信息可以隐藏或删除。在含有复杂列表的web管理界面页面上，您可以改变栏设置来控制列表显示信息栏，并控制他们的显示时的排列顺序。含有栏设置的Web管理界面页面控制包括：网络接口列表查看85页“网络接口防火墙协议与IPv6规如此查看261页“规如此入侵控制预定义签名列表查看313页“预定义防火墙用户监测器列表查看400页“防火墙用户监测器列表IPSec VPN监测器查看364页“监测VPNs日志和报告存储列表查看429页“存储和查看日志信息。注释:对列表栏设置进展的任何改变保存在SecGate配置中，下次您打开该列表时将会显示。要改变列表的栏

24、设置，选择栏设置。从可选区域中，选择要显示的栏标题，然后选择右箭头来移动它到“在该列表中显示该区域。类似，对于隐藏的栏标题，使用左箭头将它移回可用区域列表中。使用上移与下移来变换栏显示顺序。例如，您可以改变接口列表栏标题来使它只显示每个接口的IP/掩码、MAC地址、MTU和接口类型。5.2 使用带有栏设置的过滤器在防火墙协议，IPv6规如此，预定义签名，防火墙用户监测器，IPSec监测器和日志报告存储列表中，您可以结合过滤器与栏设置来提供列表显示信息的更多控制。6. 常用web管理界面任务该主题讲述了下述常用web管理界面任务：l 连接到web管理界面l 修改当前设定l 修改您SecGate管

25、理员密码l 改变web管理界面语言l 改变您SecGate设备管理路径l 改变web管理界面空闲运行时间l 切换VDOMsl 从web管理界面中连接SecGate CLIl 联系客户支持l 退出6.1 连接到web管理界面要连接到web管理界面，您需要：l 根据您SecGate设备中“入门指南与“安装指南指示，连接到网络的一个SecGate设备。l 您可以连接的SecGate接口的IP地址。l 一台带有以太网接口可以与SecGate设备相连的计算机。l 一个支持的浏览器。6.2 连接到web管理界面1) 打开您的浏览器，登录到您连接的SecGate设备接口IP地址s:/上。例如，如果IP地址是

26、192.168.1.99，如此登录到s:/192.168.1.99上记住在s:/中添加s。为了支持安全S认证方法，SecGate设备随运了一个自我签名安全证书，它提供远程客户随时通过S连接SecGate设备。当您连接时，SecGate设备在浏览器中显示两个安全警报。第一个警告提示您承受并有选择性地安装SecGate设备的自我签名安全认证。如果您不承受该认证，SecGate设备拒绝连接。如果您承受了认证，登录页面就会出现。输入的认证信息在传送到SecGate设备前被加密。如果您选择永久性地承受该认证，该警告信息将不会再出现。在登录页面显示前，第二个警报告诉您SecGate认证发现名字与原始请求的

27、名字不一样。该警告出现是因为SecGate设备重新使用了该连接。这是一个信息型通知，选择确定来继续登录。2) 在名称栏中输入管理或配置的管理员名称。3) 在密码栏中输入管理员账户密码。4) 选择登录。7. 修改当前设定当您又该当前设定，如修改管理员密码时，您必须选中该项目，然后选择适宜的图标，此时其他图标均不可用。这种选择图标的方式在下面的步骤中得到解释。当你修改当前设定时，使用31页的步骤“通过图标在列表中改变项目。通过图标在列表中改变项目在检查栏中，在您想要改变的设定行内，选择检查来突出这一行。此时，灰色的图标是可使用的。在某些页面上，当你选中该行时，可能所有的图标都不可用。 当图标可用时

28、，选择您想要用来修改的图标。在修改完毕后，您返回到该页面的列表上，检查框未选中，该行也未突出。7.1 修改SecGate管理员密码默认地，您可以使用管理员账户但没有密码登录到web管理界面。您应该为管理管理员账户设定密码以防止任何人登录到SecGate来改变系统配置。为了更高的安全，您应该定期更改管理管理账户密码和您添加的其他管理员账户密码。要改变管理员密码，进入系统 管理员设置 管理员 ，编辑管理员，然后改变密码。选中确定来保存新密码。您还可以通过选中创建新账户来添加新的管理员账户。更多关于增添管理员，更改管理员账户密码和相关配置的信息，请参阅165页的“系统管理。注释:如果您遗忘或丢失了管

29、理员账户密码而无法登录您的SecGate设备，请联系网神客户服务。7.2 改变web管理界面语言您可以更改web管理界面显示语言为英语，汉语简体。为了得到最好的效果，您应该选择计算机系统使用的语言。要更改语言，进入系统 管理员设置 设置，在显示设定中，从下拉列表中选择您想要的语言，选择应用。Web管理界面将以已选择的语言显示。7.3 改变您SecGate设备管理路径通过管理路径，一个管理员可以与SecGate设备相连来查看并更改环境配置。您的SecGate设备的默认配置允许管理进入一个或多个设备接口。您更改管理路径通过：l 允许或禁止来自任何SecGate接口的管理路径。l 允许或禁止进入we

30、b管理界面的安全S管理路径推荐l 允许或禁止进入web管理界面的管理路径不推荐l 允许或禁止进入CLI的安全SSH管理路径推荐l 允许或禁止进入CLI的SSH或远程管理路径不推荐要改变管理路径，进入系统 网络 接口，编辑管理员，并选择管理路径类型或接口类型，选中确定来保存更改。关于更改管理路径的更多信息请阅读96页“为接口配置管理路径。7.4 改变web管理界面空闲运行时间默认地，当5分钟内没有任务执行时，web管理界面将与管理局部断开连接。该空余工作时间推荐用来防止其他人在您登录到web管理界面无人注意期间使用该web管理界面。然而，你可以使用如下步骤来改变空余工作时间。要更改空余工作时间，

31、进入系统 管理员设置 设置，在空闲时间 下以分钟为单位输入时间，然后选中应用来保存该变化。 7.5 切换VDOMs当启动VDOM时，左侧栏的当前VDOM菜单出现。在该菜单旁边显示了一个下拉列表。该下拉列表包含SecGate所有的配置VDOMs。这提供了一种简单迅速的接触VDOM的方式。要切换VDOM，使用当前VDOM菜单，从下拉列表中选择您要切换去的VDOM，您被自动转到了那个VDOM中。 8. 联系客户支持客户支持服务在SecGate状态页面，从该页面，您可以：l 访问网神l 查看客户服务免费l 网神 9. 退出退出按钮立即使您退出web管理界面。在您关闭浏览器窗口前退出web管理界面。如果

32、您仅简单地关闭浏览器或离开web管理界面，您仍然登录在web管理界面上除非空余工作时间默认5分钟超时。要改变该时间，查看33页“改变web管理界面空余工作时间。第二章、系统管理1. 系统仪表板该局部描述了系统仪表板和它的页面、状态和利用率。乍看一下，您可以查看当前SecGate设备的系统状态，包括序列号，运行时间，系统资源利用率，会话信息和网络统计数字。如果您在SecGate设备上使用虚拟域VDOMs，状态页将全面可用，且整个SecGate设备将全局配置系统状态环境。当VDOMs启用时，拓扑视图不可用。更多信息，请阅读79页“使用虚拟域。该局部包含以下主题：l 仪表板概述l 系统信息l 许可证

33、信息l 设备操作l 系统资源l 最多的会话l 每个IP带宽利用率注释:您的浏览器必须支持Java脚本来查看系统仪表板页面。1.1 仪表板概述仪表板菜单允许您添加和定制仪表板。仪表板是使得您可以从多个窗口查看如流量活动等信息的菜单组合。这些信息是有用的，能够帮助您升级您的固件，重装您SecGate设备。通过添加与定制仪表板，您可以允许特定仪表板包含如会话等指定信息。管理员一定要有定制与增加窗口的优先读写权。假如管理员想查看状态和利用率信息，他一定要有读出优先权。更多关于管理员和他们配置文件信息，请阅读173页“管理员配置文件。该主题包含以下内容：l 添加仪表板l 在仪表板中添加窗口l VDOM与

34、全局仪表板1.2 添加仪表板仪表板首先从状态与利用率的默认菜单中添加。您可以添加、删除或重命名仪表板，无论该仪表板处于状态菜单或利用率菜单中。您可以通过选中重置仪表板来重新设置仪表板菜单到它的默认设置。如何添加仪表板到仪表板菜单1 进入系统 面板 状态。2 选择仪板表图标. 3 一个下拉菜单出现，它含有如下选项： l 添加仪表板为仪表板菜单添加一个新的仪表板 l 重命名仪表板重命名当前仪表板。您可以重命名现有的默认菜单和利用率。l 删除仪表板删除当前仪表板。l 重置仪表板重新设置整个仪表板菜单为它的默认设置。4 选择添加 仪板表. 5 在添加仪板表窗口名字 中为该仪表板输入一个名称。5 点击确

35、定.。您自动转到该新的仪表板，可以开始为该仪表板添加窗口。 1.2.1 在仪表板中添加窗口在仪表板菜单添加仪表板之后，您可以为该仪表板添加多个窗口。您可以定制很多窗口来显示特定的信息，通过一些窗口，您可以查看更详细的信息。要为仪表板添加窗口，点击窗口 图标定位在仪表板页面最上方，然后在点击有效模块中选中窗口来为该页窗口添加模块。图10: 一个缩小的显示窗口标题栏说明窗口标题输出窗口名称。打开/关闭箭头 打开或关闭窗口显示。历史选中来显示扩展数据集合。并非所有窗口可用。编辑选中来修改显示设置。更新选中来更新显示信息。关闭选中来关闭显示窗口。您将会立即被要求来确认该操作。注释: 在状态页面中显示的

36、信息应用于整个HA集，而并非重要设备。.1.2.2 VDOM与全局仪表板VDOM管理员可以查看并为他们的VDOM配置专有的仪表板。从VDOM中进入系统 面板 状态来查看VDOM仪表板。VDOM仪表板中含有系统信息，设备操作，系统资源，日志和档案状态，CLI控制平台，最多的会话和历史流量仪表板窗口。只有拥有终极管理权限的全局管理员可以查看全局仪表板。 现存的窗口与全局同等级别的窗口有如下不同：系统信息无法允许/禁止虚拟域。没有当前管理员的清单。设备操作用户登录当前VDOM，不能进展全局配置最多的会话只显示该VDOM的会话流量历史只能选中属于该VDOM的接口或VLANs。1.3 系统信息系统信息窗

37、口包含系统的根本信息，如SecGate设备序列号与正在运行的固件版本。该窗口还提供备份或存储环境配置，修改操作模式，允许或禁止虚拟域和更改当前登录管理员账户密码等设置。默认地，系统信息窗口可以在状态页面找到。系统 仪板表 状态要往仪板表中添加系统信息窗口，进入该仪板表，选中窗口，然后从该列表中选择系统信息。图11:系统信息窗口 序列号SecGate设备的序列号。每个SecGate设备的序列号是特定的，随着固件升级不会改变。正常运行时间SecGate设备启动以来的时间。系统时间SecGate设备内部时钟的当前日期和时间。选中更改来改变时间或配置SecGate设备使它从NTP服务器获得时间。更多信

38、息请阅读43页“配置系统时间。HA状态该设备的高可用性状态。休眠状态明确该设备不是工作于HA模式。主动-被动或主动-主动明确该设备工作于HA模式。选中配置来为该设备配置HA状态。更多信息请阅读133页“HA。主机名当前设备的主机名。选中更改来改变主机名。更多信息请阅读44页“改变SecGate设备主机名。假如SecGate设备处于HA状态，该区域不显示。群集名该SecGate设备的HA群集名称。更多信息请阅读133页“HA。该SecGate设备必须操作与HA模式来显示该区域。群集成员在HA群集中的SecGate设备。对每个成员显示信息包括主机名，序列号，与该设备是否为主设备或从设备。更多信息请

39、阅读133页“HA。虚拟群集1虚拟群集2每个SecGate设备在虚拟群集1与虚拟群集2中的角色。更多信息请阅读133页“HA。要显示该区域，SecGate设备必须操作与HA模式，且允许虚拟域。固件版本SecGate设备的固件版本升级。选中Update来改变固件。更多信息请阅读45页“改变SecGate固件。系统配置配置文件备份时间间隔。您可以选中备份来备份当前配置，当您选中备份时，您自动被转到备份页面。如果您想存储配置文件，选中存储，您自动转入存储页面。操作模式当前SecGate设备的操作模式。SecGate设备可以操作于NAT模式或透明模式。选中更改来在NAT与透明模式间进展切换。如果虚拟域

40、可以使用，该区域显示当前虚拟域的操作模式。每个虚拟域均可以在NAT获透明模式进展操作。假如虚拟域可用，全局系统状态仪表板不包含该区域。虚拟域您的SecGate设备的虚拟域状态。选中使能或禁止来改变状态特性。假如您允许或禁止虚拟域，您的会话将会被终止且需要重新登录。更多信息请阅读79页“使用虚拟域。当前管理员当前登录SecGate设备的管理员数目。选中详细信息来查看每个登录管理员的详细信息。该附加信息包括用户名，连接类型，他们登录的IP地址，和他们的登录时间。当前用户您用于登录SecGate设备的管理账户名。如果您是通过密码本地授权，不是通过PKI或远程授权，您可以选中更改密码来改变该账户的密码

41、。当修改密码时，您必须退出并以新密码重新登录。更多信息请阅读168页“修改一个管理员账户的密码。1.3.1 配置系统时间SecGate设备的系统时间可以在系统信息窗口中进展修改。您还可以查看系统信息窗口中系统时间区域的时间。 时间设置页面提供设置您SecGate设备上的时间设置。还包含与NTP服务器同步设置。系统时间当前SecGate系统日期和时间。更新更新当前SecGate系统显示日期和时间。时间区域选择当前SecGate设备的时间区域。当时令改变时自动调整时钟当您的时间区域在夏时令与标准时间切换时，自动调整SecGate系统时钟。设置时间设置SecGate系统日期和时间为您设定的时，分，秒

42、，年，月，日。与NTP服务器同步使用网络时间协议NTP服务器来自动设定系统日期和时间。您必须制定服务器与同步间隔。SecGate设备使用NTP版本4。当前没有使用语该版本的RFC。NTP版本3使用RFC 1305。更多关于NTP的信息，请参考.net.org/。服务器输入NTP服务器的IP地址或域名。要找到您可以使用的NTP服务器，请参考。同步间隔制定SecGate设备与NTP服务器同步频率。例如，假如设定为1440分，如此SecGate设备与NTP服务器每天一次。要改变系统时间1. 进入系统 面板 状态。2. 在系统 信息 窗口中，在系统 Time行选中更改。3. 选中时区，然后要么人工设定

43、时间和日期，要么配置与NTP服务器的同步。1.3.2 更改SecGate设备主机名SecGate主机名显示在状态页面与SecGate CLI提示中。拥有系统写操作权限的管理员能够更改SecGate设备的主机名。如果一个主机名长于16个字符，它将被截断并以“结尾。完整的主机名会显示在系统 面板 状态中，但在CLI与其他地方如此显示截断的名称。如果SecGate设备是一个HA群集的一局部，您可以使用一个特有的主机名来将它从其他群集中设备中区分开来。要改变SecGate设备主机名1. 进入系统 面板 状态。2. 在系统信息的主机名区域中，选择更改。3. 在新名字 区域内，输入一个新的主机名。4. 选

44、择确定。新的主机名在主机名与CLI提示中显示。它还被添加进SNMP系统名称。1.3.3 更改SecGate固件警告:安装以前的固件镜像，一些系统环境可能丢失。您应该在改变固件镜像前备份系统配置。那些拥有读写权限的SecGate管理员能够改变SecGate固件。固件镜像能够以多种方式输入设备，如本地硬盘，USB。固件可以更新到一个新的版本或恢复为一个较早的版本。按照适当的步骤来改变您的固件。当您选择升级或降级，您将自动转入固件升级与降级页面。固件升级/降级页面提供升级或降级当前SecGate设备固件镜像的设置升级从下拉列表可选择的源中选中固件源。该区域并非显示在所有型号中。升级文件浏览到您本地硬

45、盘的固件镜像位置。该区域只对本地硬盘和USB可见。认可固件选中来确定较早固件镜像的安装降级注释:要为您的SecGate进展固件升级，如有问题您需要与客户服务联系。1.4 设备操作警告: 您SecGate设备的突然断电可能会使设备的配置丢失。此处使用重启和关闭选项或在CLI中保证合理地关闭步骤是为了防止配置的损失。在设备操作窗口，一个SecGate设备的前控制板说明展示了改设备的以太网接口状态。假如该网络接口是绿色的，如此该接口已经连接。将鼠标光标停留在该接口上，来查看名称，IP地址，掩码和当前接口状态。假如您选择“重启或“关闭，一个窗口弹出，允许您输入系统事件的原因。假如硬盘日志，事件日志与管

46、理事件开启，您的原因将被添加到磁盘事件日志中。您可以只显示您SecGate设备的一个管理与一个登录/分析方式。根据您选择方式的不同，镜像将会改变。假如没有进展选择，将没有镜像显示。图13:设备操作示例设备操作窗口MGMT/ 1/2/3SecGate设备网络接口。型号不同，这些接口的名称与数目也不同。在接口名称下面的图标通过颜色明确它的上/下状态。绿色明确该接口连接着，灰色明确未连接。要获得更多关于接口配置与状态的信息，将鼠标停留在该接口图标上。一个工具栏显示了该接口的全称，配置的别称，IP地址和掩码，状态，接口速度，与发送和承受包的数目。1.5 系统资源系统资源窗口显示了根本的SecGate设

47、备资源利用率，例如CPU和存储器RAM利用率。任何该状态页面没有显示的系统资源可以通过选择历史图表来查看。要查看最近CPU和存储器利用率，选中更新图表。 图14:系统资源系统资源窗口CPU利用率以标度盘和百分比显示当前CPU状态。Web管理界面仅显示核心处理器的CPU利用率。管理进程的CPU利用率例如，S与web管理界面连接除外。内存利用率以标度盘和百分比显示当前存储器RAM状态。Web管理界面仅显示核心进程的存储器利用率。管理进程的存储器利用率例如，S与web管理界面连接除外。硬盘利用率当前使用的SecGate设备硬盘空间状态，以饼状图和百分比显示。只有您的SecGate设备有硬盘时，该功能

48、才可用。1.6 最多的会话最多的会话以条形图或表格显示SecGate设备上最近打开最多会话的IP地址。会话根据他们的源地址或目的地址，或界面地址进展分类。使用的分类标准在右上角显示。最多的会话窗口轮询SecGate设备的会话信息，且这对SecGate设备的工作有一定的影响。由于这个原因，当仪表板没有显示它时，它没有收集数据，没有影响系统工作。当显示它时，消息被存储在存储器中。注释: 重启SecGate设备会将最多的会话统计置为0。要更改最多的会话窗口显示的信息，编辑该窗口。 定制最多的会话显示修改最多的会话窗口的默认设置报告在系统状态显示中选择分类最多的会话的方法。选择其中之一：源地址目的地址

49、界面地址显示用户名假如有，如此包含与源IP地址相关的用户名。在表显示格式中，这将是单独的一列。显示用户名只有当分类标准为源地址时才有效。解析主机名解析IP地址到主机名。当分类标准是目的地址时，解析主机名不可用。解析服务解析界面地址到他们经常关联的服务名。任何没有服务的界面地址将继续显示为界面地址。例如界面443解析到S。解析服务只有当解析标准为目的地址时才有效。显示格式最多的会话如何显示。从图或表格中选择。显示最多的会话选择显示的会话数目。显示5个，10个，15个或20个会话。更新间隔显示更新频率。更新间隔从10秒到240秒。选择0将会关闭自动更新功能。您在最多的会话标题栏中也可以手工选择更新

50、选项。较短的更新间隔可能影响您的SecGate设备工作性能。假如这个发生，尝试增加更新间隔或关闭自动更新功能。查看当前会话列表当前会话列表陈列了当前SecGate设备进程中的会话。对每一个会话，会话列表显示：l 会话协议，如tcp或udpl 源地址与界面l 目的地址与界面l 该会话应用的协议IDl 会话过期时间l 该会话属于哪一个虚拟域当查看当前会话列表，在标题栏区域选择别离来查看整个列表与过滤信息。当前会话列表当您在最多的会话窗口中选择详细信息时，将会显示如下信息。您可以分开该窗口以扩展并更好地查看信息。更新更新会话列表。页面控制输入会话页码来开启展示的会话列表。例如有5页会话，您输入了3，

51、第3页会话将会显示。在“/之后的数组为会话页码。总数会话总数。清空所有过滤器重置所有显示的过滤器。返回返回到最多的会话显示。过滤器图标每一栏顶部的图标，除了#与Expiry。当选中时，它显示编辑过滤器会话框，允许根据列设置您的显示过滤器。阅读26页“为web管理界面列表增加过滤器。协议连接的服务协议，如udp，tcp和icmp。源地址连接的源IP地址。源界面连接的源界面。目的地址连接的目的IP地址。目的界面连接的目的界面。协议ID允许该会话的防火墙协议ID或空白，当该会话仅涉与一个SecGate接口。例如，管理会话过期连接到期时间，以秒为单位。持续时间每个会话的生命周期，以秒为单位。虚拟域选中

52、一个虚拟域来列举该虚拟域处理的会话。选中所有虚拟域来查看所有虚拟域处理的会话。当虚拟域可用时，该局部才可见。更多信息请阅读79页“使用虚拟域。删除终止一个活动的会话。您的管理权限必须包含系统配置的读写权限。要查看当前会话列表1. 进入系统 面板 状态。2. 在最多的会话窗口选择该窗口底部的详细信息。3. 出现当前会话。有选择地选择别离并放大浏览器窗口来查看整个列表。4. 选择返回返回到最多的会话，显示条形图。1.7 固件管理条例网神建议在升级之前检阅该局部，因为它包含关于如何合理备份当前配置与升级失败该怎么办的重要信息。网神强烈推荐在升级固件之前，应当查阅补丁发行注释。按如下步骤进展：下载并检

53、阅补丁发行注释。下载补丁。备份当前配置。采用70页的“在升级前测试固件步骤来安装补丁。测试补丁，直到您满意它应用到您的配置中。在安装补丁前未检阅注释或测试固件，可能导致设定的更改或出乎意料的问题。您还可以配置您的SecGate设备使它在透明模式时可以使用NAT。更多信息请阅读网神知识中心文章，在透明模式中配置NAT。假如您在SecGate设备上开启虚拟域VDOMs，系统固件版本全局配置。更多信息请阅读79页“使用虚拟域。该局部包含如下的主题：备份您的配置升级前测试您的固件升级您SecGate设备恢复先前的固件镜像存储您的配置1.8 备份您的配置警告:在安装补丁，升级/降级固件，或恢复默认设置之

54、前，总是备份您的配置。您可以备份配置到本地PC，网神建议在升级之前，备份您的SecGate设备所有的配置。这保证当您要求降级到回原来的版本，且想要存储那些系统配置时，那些配置设置仍然存在。1.8.1 通过web管理界面备份您的配置您可以备份您的配置到很多位置。如下步骤描述了如何在web管理界面上合理备份您的配置：通过web管理界面备份您的配置文件1. 进入系统 面板。2. 在系统信息窗口，在系统配置行选择备份，您将自动转动备份页面。3. 选中配置文件将要存储的位置。4. 选择“备份。5. 保存文件。1.8.2 通过CLI备份您的配置文件您可以使用TFTP或FTP服务器，当在CLI中备份您的配置

55、时，您可以选择备份整个配置execute backup full-config或局部配置execute backup config。假如您有虚拟域，如此对于什么样的管理员可以备份有限制。通过CLI备份您的配置文件1. 输入如下命令来备份配置文件到USB：execute backup config usb 2. 输入如下命令来备份配置文件到一个TFTP或FTP服务器：execute backup config tftp | ftp ftp server :ftp port 通过CLI备份整个配置文件输入如下命令来备份整个配置文件：execute backup full-config tftp |

56、 ftp | usb ftp server :ftp port 1.8.3 备份您的配置到USB假如您的SecGate设备含有USB接口，如此您可以备份您当前的配置到USB存储盘上。当备份配置文件到USB时，请确认该USB格式化为FAT16磁盘。FAT16格式是SecGate设备唯一支持的分区类型。在继续之前，确保USB插入到该SecGate设备USB接口中。 在您成功备份配置文件后，无论是从CLI或web管理界面，继续升级操作。1.9 在升级前测试固件您可能在升级固件到一个新固件版本，或安装一个维护或补丁之前，想要测试需要安装的固件。通过测试固件，您可以熟悉对于当前功能的新的功能和更改，同样

57、可以理解您的配置如何与固件工作。固件镜像可以通过在重新启动时安装，然后保存到系统内存进展测试。在固件保存到系统内存后，SecGate设备使用当前配置的固件进展操作。 如下的步骤并没有永久性地安装固件，在下次SecGate设备重启时，它使用原始安装在SecGate设备上的固件。您可以常见的固件镜像或补丁使用如下步骤。如下步骤假设您已经下载固件镜像到您的管理计算机。 升级前测试固件镜像1 复制新的固件镜像文件到TFTP服务器的根目录。2 启动TFTP服务器。3 登录CLI。4 输入如下命令来ping通运行TFTP服务器的计算机：execute ping 通过ping通运行TFTP服务器的计算机来证

58、实SecGate设备和TFTP服务器成功连接。5 输入如下命令来重启SecGate设备：execute reboot6 在SecGate设备重启时，一系列系统开启消息出现，立刻按任意键来中断系统启动。Press any key to display configuration menu您只有三秒钟的时间来按任意键。假如您没有来得与按任意键，SecGate设备重启，您必须登录并重复5到6的步骤。假如您成功中断了启动程序，如下消息将会出现：G: Get firmware image from TFTP server. F: Format boot device. Q: Quit menu and

59、continue to boot with default firmware. H: Display this list of options. 7 输入G从TFTP服务器中获得新的固件镜像。如下消息显示：Enter TFTP server address 192.168.1.168:8 输入TFTP服务器地址并按回车键。如下消息出现：Enter Local address 192.168.1.188:9 输入SecGate设备内部IP地址。该IP地址将SecGate设备与TFTP服务器相连。该IP地址必须与TFTP服务器处于同一网络，但确保您没有使用网络中其他设备的IP地址。如下信息出现：Enter File name image.out:10 输入固件镜像文件名并按回车键。T