网神Secgate 3600安全网关产品功能使用手册

SecGate3600安全网关产品功能使用手册PAGEPAGE322网神信息技术（北京）股份有限公司声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。 网神信息技术（北京）股份有限公司目录目录 2导言 121.本手册适用对象 122.手册章节组织 123.相关参考手册 13第一章系统配置 141.1配置系统时钟 141.2配置管理方式 151.3配置管理主机 161.4配置管理员 171.5配置管理员证书 201.6配置集中管理 221.6.1集中管理概述 221.6.2配置案例：集中管理 241.7配置导入导出 441.8配置升级许可 461.9配置日志服务器 481.9.1日志服务器概述 481.9.2配置案例：日志服务器 491.10配置域名服务器 511.11配置报警邮箱 521.11.1报警邮箱概述 521.11.2配置案例：报警邮箱 53第二章网络配置 593.1网络接口 593.1.1配置接口基本配置 593.1.2配置接口IP 613.1.3配置子接口 643.1.4配置桥接口 663.1.5配置channel口 673.1.6配置vlan 693.2静态路由 703.2.1目的路由 703.2.2策略路由 713.3动态路由 763.3.1动态路由概述 763.3.2RIP设置 783.3.3OSPF设置 803.3.4BGP配置 843.3.5DEBUG信息 853.11.5配置案例：动态路由 863.4多播路由+IGMPSNOOPING 873.4.1 配置案例 873.5虚拟系统 893.5.1虚拟系统配置案例 893.6DNS中继 923.6.1DNS中继概述 923.6.2配置案例：DNS中继 933.7链路探测 973.7.1配置案例：路由负载均衡+链路探测 99第三章对象定义 1043.1地址 1053.1.1配置地址列表 1053.1.2配置地址组 1073.1.3配置服务器地址 1093.1.4配置虚拟服务器地址 1113.1.5配置NAT地址池 1123.1.6配置域名列表 1133.2服务 1143.2.1配置服务列表 1153.2.2配置服务组 1183.3时间 1193.3.1配置时间列表 1193.4配置保护内容列表 1203.5配置案例：对象定义 122第四章防火墙 1274.1安全规则 1274.1.1安全规则概述 1274.2连接限制 1354.2.1连接限制概述 1354.2.2配置案例：基于源连接限制 1354.2.3配置案例：基于目的连接限制 1374.3抗攻击 1394.3.1抗攻击概述 1394.3.2配置案例：抗攻击 1394.4IDS联动 1414.4.1IDS联动概述 1414.4.2配置案例：IDS联动 1414.5IP/MAC绑定 1444.5.1地址绑定概述 1444.5.2配置案例：IP/MAC绑定 1444.6二层防护 1484.6.1网络助手概述 1484.6.2配置案例：主动发包周期 1484.7URL重定向 1504.7.1URL重定向概述 1504.7.2配置案例：URL重定向 150第五章VPN配置 1535.1VPN概述 1535.2IPSecVPN 1535.2.1IPSecVPN技术原理 1535.2.2IPSecVPN的基本配置 1585.2.3基于策略和基于路由的VPN 1805.2.4网关－网关VPN隧道的建立 1815.2.5远程访问VPN隧道的建立 1835.2.6SecGateVPNCA中心软件的使用 1845.2.7配置案例：IPSecVPN 1855.3PPTP/L2TP 1945.3.1PPTP/L2TP配置 1965.3.2配置案例：PPTP/L2TP 1995.4SSLVPN 2055.4.1SSLVPN概述 2055.4.2SSLVPN基本配置 2055.4.3SSLVPN的高级配置 2065.4.4客户端访问 2065.4.5SSLVPN隧道监控 2075.5动态域名 2085.5.1使用动态域名的动态SecGate3600安全网关 2085.5.2如何注册3322.org的动态域名 2085.6常见问题 2085.6.1VPN不响应远程的密钥协商请求 2085.6.2VPN的代理ID配置 2085.6.3其它常见问题解答 209第六章PKI配置 2106.1功能说明 2106.2配置 2106.3使用场景 216第七章入侵防护 2207.1入侵防护概述 2207.2配置案例：入侵防护 221第八章程序识别 2258.1程序识别概述 2258.2配置案例：程序识别 2268.3配置案例：程序识别组 230第九章病毒防御 2339.1基本配置 2339.1.1配置HTTP病毒防御 2349.1.2配置FTP病毒防御 2349.1.3配置SMTP、POP3病毒防御 2359.2病毒库升级 2369.3高级管理 2379.4配置案例：病毒过滤 237第十章行为管理 24110.1绿色上网 24110.1.1绿色上网概述 24110.1.2配置案例：URL分类库升级 24110.1.3配置案例：URL过滤 24210.2带宽限制 24810.2.1带宽限制概述 24810.2.2配置案例：一键共享带宽 24810.2.3配置案例：高级带宽限制策略 249第十一章深度过滤 25211.1深度过滤概述 25211.2配置案例：HTTP深度过滤 25211.3配置案例：FTP深度过滤 25411.4配置案例：Telnet过滤 25411.5配置案例：DNS过滤 25511.6配置案例：SMTP过滤 25611.7配置案例：RBL过滤 25711.8配置案例：POP3过滤 259第十二章用户认证 26112.1用户认证概述 26112.2认证方式设置 26112.2.1服务器 26412.2.2用户认证内置参数说明 26612.3用户组 26612.4用户列表 26912.5在线用户 27212.6客户端的配置 27212.6.1简介 27212.6.2安装 27312.6.3功能 27312.7配置案例：用户认证 28012.7.1本地账号服务器认证 28012.7.2RADIUS服务器认证 284第十三章高可用性 29513.1VRRP协议简介 29513.1.1VRRP意义 29513.1.2VRRP简介 29513.1.3VRRP工作原理 29613.2VRRP 29613.2.1HA基本配置 29713.2.2路由模式HA 29813.2.3桥模式HA 30113.2.4HA监控 30213.3PVST+简介 30513.4配置案例：VRRP 30513.4.1Active-Active路由负载均衡HA 30513.4.2Active-Standby路由冗余备份HA 31513.4.3透明HA 32513.4.4多Vlan交换环境冗余备份 327第十四章安全助手 33414.1网络助手概述 33414.2配置案例：IP诊断 334附录：典型应用案例 3371纯路由-私有子网 3371.1特点 3371.2拓扑 3371.3实施要点 3371.4配置 3382纯路由-公网 3382.1特点 3382.2拓扑 3382.3实施要点 3392.4配置 3393纯透明-内部网 3393.1特点 3393.2拓扑 3393.3实施要点 3403.4配置 3404纯透明 3404.1特点 3404.2拓扑 3404.3实施要点 3414.4配置 3415混合 3415.1特点 3415.2拓扑 3425.3实施要点 3425.4配置 3426多内网 3436.1特点 3436.2拓扑 3436.3实施要点 3436.4配置 3447多VLAN内网 3447.1特点 3447.2拓扑 3447.3实施要点 3457.4配置 3458VLAN旁路 3468.1特点 3468.2拓扑 3468.3实施要点 3468.4配置 3469多外网口 3479.1特点 3479.2拓扑 3479.3实施要点 3479.4配置 34710DHCP-客户端 34810.1特点 34810.2拓扑 34810.3实施要点 34810.4配置 34911DHCP-服务器 34911.1特点 34911.2拓扑 34911.3实施要点 34911.4配置 35012DHCP-中继 35012.1特点 35012.2拓扑 35012.3实施要点 35012.4配置 35113普通ADSL线路＋混合模式 35113.1拓扑图 35113.2应用环境及要求 35113.3周边网络设备配置要点 35214专线＋内网提供WEB服务 35214.1拓扑图 35214.2应用环境及要求 35314.3周边网络设备配置要点 35315多ADSL线路＋负载均衡 35415.1拓扑图 35415.2应用环境及要求 354

导言1.本手册适用对象本手册是SecGate3600系列安全网关管理员手册中的一本，主要介绍SecGate3600系列安全网关产品的功能如何配置。本手册适用于负责支持、维护SecGate3600系列安全网关的安全管理员，是对SecGate3600系列安全网关5.21.18.*版本进行配置管理时的必备手册。使用本手册的读者，应首先掌握TCP/IP协议、IP地址及子网掩码等基本知识。2.手册章节组织本手册按以下的章节编排：导言描述本书适用的读者，手册章节组织及相关参考手册。第一章系统配置介绍了SecGate3600安全网关相关的系统配置，包括：系统时钟、升级许可、导入导出、报警邮箱、日志服务器、域名服务器等并有相关的配置案例。第二章网络配置介绍与网络环境相关的配置，包括：策略路由、链路探测、DNS中继、多播路由、虚拟系统、动态路由等并有相关的配置案例。第三章 对象定义，介绍如何对象资源的配置案例。第四章 防火墙，介绍安全规则、IPMAC绑定、抗攻击、URL重定向等配置案例。第五章VPN配置讲述VPN的相关配置，包括：VPN基本原理、基本配置、PPTP/L2TP拨号VPN设置，SSLVPN设置等并有相关的配置案例。第六章介绍PKI的使用及配置案例。第七章介绍入侵防护功能的使用案例。第八章介绍程序识别功能的配置案例。第九章介绍病毒防御功能的使用，包括HTTP、FTP、pop3、SMTP等协议的病毒防护功能。第十章介绍行为管理功能中的URL过滤、带宽限制的配置案例。第十一章介绍深度过滤原理和HTTP、FTP、Telnet、SMTP等协议过滤的配置使用。第十二章用户认证介绍与用户认证相关的设置，包括：认证服务器、用户列表、用户组并有相关的配置案例。第十三章高可用性介绍HA的相关配置，包括：HA基本配置、路由模式HA的VRRP实例和VRRP关联，以及桥模式HA的桥配置和VLAN配置等并有相关的配置案例。第十四章网络助手介绍管理员通过诊断工具PING等了解内网网络状态。附典型应用案例15个。备注：手册中出现的图片与实际环境不符时，请以实际环境为主。3.相关参考手册《网神SecGate3600安全网关快速指南》，介绍了安全网关的快速安装配置，初始向导的使用等。《网神SecGate3600安全网关命令行手册》，介绍了如何通过命令行操作管理SecGate3600系列安全网关。《网神SecGate3600安全网关WEB界面手册》，介绍了如何通过WEB界面操作管理SecGate3600系列安全网关。第一章系统配置1.1配置系统时钟安全网关系统时间的准确性非常重要。因为安全网关的时间调度与WEB界面管理功能是以安全网关的系统时间为依据标准。SecGate3600安全网关的系统时间可以设置为与管理主机的时间同步，也可以设置为与时钟服务器同步。安全网关的时间更新后，会立即生效，不需要系统保存或重启。配置步骤：若需要与管理主机进行时间同步，进入系统配置》系统时钟页面，点击“时间同步”按钮，若要需要与时钟服务器进行时间同步，点击启用时钟服务器，配置时钟服务器IP，点击“确定”按钮，再点击“立即同步”按钮。系统时钟页面说明：域名说明与管理主机时间同步调整管理主机时钟，点击“时间同步”按钮，安全网关立即与管理主机时间同步启用与时钟服务器的时间同步功能启动后，安全网关的系统时钟与网络时钟服务器同步（支持NTP协议）同步方式有两种：（1）立即同步（2）周期性自动同步输入安全网关可以访问的时钟同步服务器的IP地址，可以选择国家授时中心的时间服务器IP地址4与时钟服务器时间立即同步：选中“启用时钟服务器”，输入“时钟同步服务器IP”，点击“立即同步”按钮，安全网关立即与时钟服务器时间同步：点击“立即同步”按钮后，界面将在60秒内刷新与时钟服务器时间周期性自动同步：选中“启用时钟服务器”，输入“时钟同步服务器IP”，设定同步周期间隔时间，点击“确定”按钮，安全网关在指定时间与时钟服务器时间同步：调整安全网关时间以后，有可能造成WEB管理界面超时退出，因为调整时间后，管理界面判断已经超时。超时退出以后重新登录即可。1.2配置管理方式SecGate3600安全网关的管理方式默认提供Web(https)管理和超级终端管理(连接CONSOLE口)，以及支持拨号（PPP）接入(连接AUX口)3种，分别通过网口、CONSOLE串口和拨号(PPP)到AUX口连接安全网关。上述三种管理方式是默认开启状态，管理员不能删除其中任一管理方式。另外，安全网关还提供了两种可选的管理方式：远程SSH管理和远程TELNET管理。方便用户在合适的情况下进行选择。这两种管理方式管理员有权设置为允许或禁止。配置步骤：进入管理配置》管理方式页面，选择远程SSH管理和远程TELNET管理两种管理方式，点击确定。管理方式配置完后的页面：管理方式页面说明：域名说明超级终端管理（连接CONSOLE）默认启用“超级终端”管理。管理主机COM串口与安全网关CONSOLE口连接，通过管理主机超级终端登录安全网关，使用默认管理员帐号和密码支持拨号（PPP）接入（连接AUX口）默认启用“拨号(PPP)接入”，将管理主机COM串口与modem1连接，安全网关的AUX口与modem2连接，modem1与modem2间是通过电话线连通。从管理主机向安全网关拨号，拨号成功后，安全网关与管理主机建立了PPP连接Web（https）管理默认启用“Web（https）管理”管理主机可以通过网口上的管理IP登录安全网关Web界面，需要电子钥匙或管理员证书认证远程SSH管理启用“远程SSH管理”，管理主机通过网络可连接到安全网关网口（有可管理IP）时，以SSH方式（如：利用putty软件等）登录安全网关命令行界面远程TELNET管理启用“远程TELNET管理”，管理主机可远程通过TELNET方式登陆到安全网Web界面。：该功能启用后必须要添加目的地址为安全网关、源地址为管理主机地址的包过滤规则1.3配置管理主机管理员要管理安全网关，管理员IP必须为管理主机，即在管理配置》管理主机页面添加管理主机的IP，然后通过网口连接安全网关即可进行管理。SecGate3600安全网关最多支持256个管理主机对其进行管理。为了调试方便，增加了管理主机不受限制选项，选择该项将允许从任何主机上管理安全网关，由于这样配置降低了网关的安全性，故强烈建议关闭该项。配置步骤：进入管理配置》管理主机页面，存在出厂默认管理主机配置。点击“添加”按钮，可以添加管理主机，添加管理主机后的界面如下：管理主机页面说明：域名说明管理主机IP管理员只有在管理主机上才能对安全网关进行管理最多支持256个管理主机IP和1个集中管理主机操作添加、编辑、删除管理主机IP选取该项，可以允许从任何主机管理安全网关添加、编辑管理主机界面菜单说明：域名说明主机IP管理主机的IP地址备注管理主机的说明信息，不能超过255个字符1.4配置管理员帐号SecGate3600安全网关通过对管理员的不同权限设置，支持4种管理员帐号，分别为超级管理员、配置管理员、策略管理员和日志审计员。不同权限的用户只能在自己的权限范围内管理安全网关。通过此页面可以灵活添加多个不同级别的帐号。同时可以设置登录相关的安全限制。配置步骤：进入管理配置》管理员帐号页面，点击，添加各种类型的账户：添加、编辑管理员账号页面的说明：域名说明本地帐号管理员帐号口令管理员口令确认口令管理员口令，重复输入上一次的口令Radius账号第三方认证服务器Radius中的账号Ldap账号第三方认证服务器Ldap中的账号TACACS账号第三方认证服务器TACACS中的账号配置管理员管理员权限可以配置系统配置、管理配置、网络配置、VPN配置、高可用性、用户认证策略管理员管理员权限可以配置对象定义、安全策略日志审计员管理员权限可以进行系统监控和日志审计添加完各种账号的页面如下：管理员帐号页面说明：域名说明允许或禁止多个管理员同时管理选择“允许多个管理员同时管理”时，安全网关系统才会允许多个管理员同时登录。未选中“允许多个管理员同时管理”，如果此管理员访问非正常退出，在超时时间未到的情况下（超时时间默认为10分钟），该管理员如果使用另外的IP或帐号登录，则受超时时间限制，不能登录。但是如果此管理员仍使用相同的IP和帐号登录是可以的，不受超时时间限制。或者通过超级终端方式登录安全网关，利用管理员命令设置为“允许多个管理员同时管理”并登录。建议设置不允许多个管理员同时登录。默认只能有一个管理员登录安全网关进行配置管理。帐号管理员帐号；超级管理员可以添加多个授权不同的管理员帐号。帐号类型参考附表：管理员按级别授权管理说明操作添加、编辑、删除管理员帐号登录安全限制可以限制在规定时长（默认120秒），登录失败次数（默认5次），最后登录失败禁止时长（默认30秒）附表：管理员按级别授权管理管理员级别授权备注超级管理员增加、删除管理员帐号，不能直接配置管理默认管理员帐号与密码为admin：admin帐号admin不能删除配置管理员配置系统配置、管理配置、网络配置、VPN配置、高可用性、用户认证无默认帐号策略管理员配置对象定义、安全策略无默认帐号日志审计员进行系统监控和日志审计无默认帐号备注：如果忘记了超级管理员的帐号，可以通过超级终端连接CONSOLE串口连接安全网关，使用系统恢复，帐号：rescue，口令：rescue来设置超级管理员新的帐号和口令，恢复帐号只能通过CONSOLE串口连接使用，并且其功能只是设置超级管理员，不再有其它功能。然后可以通过所设置的超级管理员管理安全网关。在线管理员:进入系统监控》在线管理员页面，本页面显示所有的在线管理员，显示的信息包括：管理员名称、登录方式、登录地点、登录时间。点击，可以显示当前时刻所有在线管理员的信息。1.5配置管理员证书SecGate3600安全网关无论使用电子钥匙认证，还是直接使用证书认证（管理证书为标准的CA证书），均是通过HTTPS协议访问，即使用管理证书完成SSL的加密。管理员通过电子钥匙认证成功，访问https://安全网关可管理IP:8888，登录安全网关配置页面，使用安全网关Web服务器的服务器端的证书进行信道加密。安全网关出厂时预置了一套证书（CA中心证书、安全网关证书、安全网关密钥），管理员可以点击CA中心证书的链接、安全网关证书的链接进行查看。管理员也可以更新此套证书，按“管理配置》管理员证书”页面提示直接导入即可。管理员通过IE完成证书认证，访问https://安全网关可管理IP:8889，登录安全网关配置页面，使用安全网关Web服务器的客户端的证书进行信道加密。当管理员使用证书方式进行身份认证时，必须在安全网关中导入一套证书（CA中心证书、安全网关证书、安全网关密钥、管理员证书），并在管理主机的IE中导入客户端管理员证书，证书私钥111111。管理员可以点击CA中心证书的链接、安全网关证书的链接进行查看。管理员可以查看导入的管理员证书列表。配置步骤：进入管理配置》管理员证书页面，此页面包括以下功能：1.到CA中心下载证书2.导入一套证书（CA中心证书、安全网关证书、安全网关密钥、管理员证书）3.查看CA中心证书、安全网关证书4.管理员证书维护（生效、删除）通过管理员证书管理安全网关的操作步骤：1.管理员向CA中心申请证书，选择一套匹配的CA中心证书、安全网关证书、安全网关密钥“导入”。2.管理员要将选择匹配的管理员证书“导入”。点击“生效”，使相关管理员证书生效。3.下次登录安全网关前，请将有效管理员证书导入管理主机的IE浏览器中，访问https://安全网关可管理IP:8889，进入安全网关配置管理页面。管理员证书页面说明：域名说明SecGateCA中心点击“SecGateCA中心”按钮，打开CA中心的主页，可以下载证书导入证书CA中心证书、安全网关证书、安全网关密钥的导入CA中心证书、安全网关证书、安全网关密钥必须是配套的，且只接受PEM格式的证书CA中心证书、安全网关证书、安全网关密钥必须同时更换导入证书管理员证书的导入管理员证书必须与导入的CA中心证书、安全网关证书、安全网关密钥完全匹配管理员证书列表管理员证书列表包括生效和删除在“生效”一栏选择要生效的证书，点击“生效”按钮则生效选中的证书。在“操作”一栏中，点击“删除”的图标，即删除此证书：安全网关的快速管理详见《网神SecGate3600安全网关快速指南V》。1.6配置集中管理1.6.1集中管理概述SecGate3600安全网关通过SNMPv2/v3协议，实现了和网神集中安全管理系统的无缝集成，通过在安全网关上配置集中管理主机的IP地址，可以实现对安全网关的集中管理。管理员配置集中管理主机的IP和各项监控信息的阈值。当安全网关运行信息超过阈值后，通过SNMP协议与该集中管理主机发送trap信息。监控信息包括系统名字、版本号、序列号、CPU利用率、内存利用率、网络接口状态、网络连通状态。通过trap信息发给集中管理中心，为网络管理人员提供全面、易用、高效的实时监控网络资源使用状况的工具和手段。相关信息也可以在安全网关的“系统监控》网络接口”页面和“系统监控》资源状态”页面查看。配置步骤：进入管理配置》集中管理页面，配置好集中管理主机IP，CPU利用率阀值，内存利用率阀值，文件系统利用率阀值，启用集中管理。集中管理页面说明：域名说明启用集中管理是否启用集中管理的功能启用蜂鸣器报警当CPU、内存、文件系统阀值达到时，安全网关开启蜂鸣器报警功能集中管理主机IP管理该网关的管理主机的IP地址安全网关名称本台安全网关名称，默认为SecGateCPU利用率阀值当CPU利用率到达该值，则向集中管理主机发送报警信息内存利用率阀值当内存利用率到达该值，则向集中管理主机发送报警信息文件系统利用率阀值当文件系统利用率到达该值，则向集中管理主机发送报警信息负责人姓名在SNMP中体现的本台安全网关负责人姓名信息项负责人电话在SNMP中体现的本台安全网关负责人电话信息项本机备注在SNMP中体现的对本台安全网关的描述只读团体字符串用于SNMP只读信息的认证信息读写团体字符串用于SNMP读写信息的认证信息Trap发送字符串用于识别Trap的认证信息安全级别采用认证的级别,包括无认证+无私有验证、认证+无私有验证、认证+私有验证用户名发生信息交换的用户名授权协议认证采用的协议，当前支持MD5和SHA1授权密码认证密码个人密码私有验证密码：（1）必须到“安全策略》安全规则”页面添加一条允许集中管理主机访问安全网关UDP161端口的安全规则，集中管理主机才能和安全网关通信。（2）集中管理主机只能接收trap信息等，并不能作为管理主机。如果需要集中管理主机同时也能管理安全网关，则必须在“管理配置》管理主机”页面添加集中管理主机的IP地址。1.6.2配置案例：集中管理网络拓扑如下:集中管理配置：1．按拓扑图搭好环境，将两台安全网关，服务器，客户端都接入公网或者接入同一个子网内。并且client能管理两台墙。2．分别在两台安全网关上添加一条包过滤规则，允许集中管理主机访问安全网关UDP161端口，集中管理主机才能和安全网关通信。对应的服务选择secgate_global。3．分别在两台安全网关上配置日志服务器。此处日志服务器地址为secgatemanager服务器的地址。4．分别在两台安全网关上配置集中管理。管理主机IP为secgatemanager服务器的地址。5．分别开启两台安全网关的SSH管理方式。在“管理配置》管理方式”页面选上“远程SSH管理”6．secgatemanager服务器配置。服务器登录页面如下：说明：1）以上服务器是试用版。正式版需导入许可license.dat文件2）数据管理需输入系统管理员密码admin123。管理页面如下：可设置日志记录的相关参数3）选择服务器控制台页面的“清理内存”可即时清理安全管理服务内存。7．secgatemanager客户端配置客户端登录页面如下：系统管理员账号是admin,用户密码是admin123。登录之后页面如下：选择上图中的“发现”选项来手动发现设备。输入起始，结束IP地址，选择“开始”，由于只连入了一台安全网关，故只发现了这台。选择上图中的“加入图中”选择上图中的安全网关，选择右键选项“属性”上图中的SNMP版本有SNMPV1，SNMPV2-C，SNMPV3。任选一个都可以。若选择前两种，则按默认配置即可，选择“下一步”继续配置。若选择SNMPV3，则为以下页面:结合安全网关的集中管理页面配置，输入用户名为snmpuser,安全级别为Auth,noPriv，授权协议为MD5码，个人密码是12345678。其余项可不填。：只要与安全网关的集中管理配置保持一致即可，没有必要一定要按照以上配置。若更改了安全网关的集中管理配置，那么以上配置项也要相应更改。8．配置客户端选择上图中的“下一步”，配置“cli管理”中的SSH项对应的账号和密码:admin/firewall。secgatemanager通过SSH方式来下发命令到安全网关，所以必须拥有SSH下安全网关的账号和密码。选择“完成”可完成客户端对该安全网关的初步配置。9．客户端配置全局对象。全局对象可集中定义地址，时间，服务，带宽列表，URL列表。定义的全局对象可被规则引用，规则可被集中下发到所有安全网关。说明：客户端配置的所有对象，规则的名称都以sg_开头，这样下发到防安全网关时才能和安全网关自身的配置相区分。10．客户端配置VPN端点。选择上图中的“添加”11．配置VPN隧道选择“添加”说明：VPN端点和隧道的配置要结合实际需要配置。配置这个要充分了解安全网关VPN配置方法。12．配置安全规则选择“添加”。此处可引用之前定义的全局对象和VPN隧道13．VPN策略下发选中要下发的VPN策略，选择“策略下发”策略下发的第一步是生成命令行预览生成命令行预览后的页面如下：说明：由于FW1未联入网络，故生成命令行时出错。FW2生成了正确的命令行。选中FW2，可查看其生成的命令行。选择“手动编辑”可手动修改，添加，删除命令行。可导出这些命令。选择“开始下发”。能动态显示下发状态下发完成后状态如下：可导出下发的结果，可查看下发失败明细。14．查看下发VPN策略后安全网关的状态1）VPN的默认配置页面中VPN状态显示“启用”。其它配置不变。2）安全网关VPN端点正确下发3）安全网关VPN隧道正确下发15．客户端下发安全策略。选中安全网关及待下发的策略后，选择“策略下发”首先生成命令行选择对应的安全网关，查看编辑及命令行。下发规则时，生成的命令行除了规则本身的命令外，还包含所有的全局对象定义。若该安全网关自身单独定义了对象定义，则只下发它私有的对象定义。（私有对象定义的入口是：安全网关图标，右键选项中的“对象定义”）选择“开始下发”。下发完成状态如下：16．安全网关上查看下发后的规则注意事项：（1）必须到“安全策略》安全规则”中添加一条允许集中管理主机访问安全网关UDP161端口的安全规则，集中管理主机才能和安全网关通信。（2）集中管理主机只能接收trap信息等，并不能作为管理主机。如果需要集中管理主机同时也能管理安全网关，则必须在“管理配置》管理主机”中添加集中管理主机的IP地址。1.7配置导入导出SecGate3600安全网关支持导入导出功能，便于管理员对配置信息进行备份。在安全网关的首页或者系统配置》导入导出页面，点击“导出配置”按钮，将当前的配置信息导出到管理主机上做备份。也可以通过“导入配置”按钮将安全网关配置信息从管理主机上导入到安全网关上，重启安全网关后导入的配置信息立即生效。导出方式分两种：全部和部分。导出格式分两种：加密和不加密。默认为不加密的全部导出。配置步骤：进入系统配置》导入导出页面，点击“导出配置”按钮，导出的是全部的未加密的配置，可以直接打开配置文件，也可以保存到管理本机上。用户也可以根据自己的需要选择部分导出，可选项分别为“时间资源”，“地址资源”，“服务资源”，“安全策略”，通过选中对应的复选框来选择所要导出的配置：用户也可根据需要导入以前导出的配置（全部的、部分的，加密的、不加密），点击“浏览”，选择本机上