网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (5)2产品功能说明 (7)2.1SSL 应用发布 (7)2.1.1B/S软件的应用 (7)2.1.2企业站点的应用 (7)2.1.3单点登录功能（SSO） (8)2.1.4C/S应用发布 (8)2.1.5TCP端口应用 (10)2.1.6SSL 隧道模式 (10)2.2LAN TO LAN 的解决方案 (11)2.3远程用户安全性检查 (11)2.4远程用户访问认证 (12)2.5用户访问策略 (12)2.6日志审计功能 (12)2.7防火墙功能 (13)2.8支持动态IP接入 (13)2.9完美的个性化定制 (14)3产品技术优势 (14)3.1将C/S应用转成B/S访问 (14)3.2Web应用功能 (15)3.3访问的安全性 (15)3.4稳定性及高可用性 (17)3.5低带宽运行特性 (17)3.6部署灵活，维护简单 (18)4典型应用 (18)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600 安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

CE/FCC 相关资料说明 这个设备遵循 FCC part 15 的规章。可能不会引起有害人体的影响，设备必须避免接受任何干 扰的界面所进行的不必要的操作方式。
2
包装盒内容配件 请打开 SecIPS 3600 的包装盒，并且检查下列所述配件是否齐全： 1. SecIPS 3600 G10 设备 ---------------------------------------------------------- x 1 2. L 型固定铁片 (Bracket Mounting Kit) ----------------------------------------- x 2 3. 螺丝组 (Screws Sets) ------------------------------------------------------------ x 26 4. 电源线 (AC Power Cord) -------------------------------------------------------- x 1 5. 管理者工具光盘片 (CD-ROM) -------------------------------------------------- x 1 6. UTP Cross-over 线 (对线) ------------------------------------------------------- x 2 7. DB9 RS-232 线 --------------------------------------------------------------------- x 1
SECIPS 3600 系统功能介绍 .................................................................................................................. 9 硬件式 IPS 设备 .................................................................................................................................. 9 策略服务器 SECIPS 3600 管理系统 ................................................................................................. 10 SECIPS 3600 安装的五大步骤 .......................................................................................................... 11 第一章 安装 SECIPS 3600 设备 ......................................................................................................... 12 1.1 SECIPS 3600 G10 设备外观说明 ................................................................................................. 12 1.1.1 设备外观示意图 .................................................................................................................. 12 1.1.2 灯号说明 ............................................................................................................................... 13 1.2 硬件安装 ..................................................................................................................................... 13 1.2.1 固定 SecIPS 3600 于标准 19’’机架上 ................................................................................. 13 1.2.2 插上电源 .............................................................................................................................. 14 第二章 设定 SECIPS 3600 参数 ......................................................................................................... 15 2.1 超级终端机模式 (HYPER TERMINAL) ......................................................................................... 15 2.2 远程联机模式 (REMOTE CONNECTED) ....................................................................................... 16 2.3 登入命令行操作模式.................................................................................................................. 16 2.3 设定 SECIPS 3600 地址及相关参数 ........................................................................................... 17 第三章 安装 SECIPS 3600 管理系统 ................................................................................................ 21 3.1 软件安装步骤.............................................................................................................................. 21 3.1.1 下载并安装 JRE (Java Runtime Environment) .................................................................... 22 3.1.2: 下载并安装数据库程序 (如 MySQL)。 ........................................................................... 22 3.1.3: 安装 SecIPS 3600 管理系统主程序................................................................................... 23 3.2 启动 SECIPS 3600 管理系统程序 ............................................................................................... 31 3.3 安装 SECIPS 3600 PLUG-IN ......................................................................................................... 32 3.3.1 登入 SecIPS 3600 管理系统 Admin Console...................................................................... 32 3.3.2 下载 IPS Plug-in .................................................................................................................. 33 3.3.2 新增 SecIPS 3600 设备到管理系统 .................................................................................... 34 第四章 连接网络系统 .......................................................................................................................... 36 4.1 连接 SECIPS 3600 到网络........................................................................................................... 36 4.1.1 无防火墙架构 ...................................................................................................................... 36 4.1.2 具防火墙架构 ...................................................................................................................... 36

网神SecGate 3600系列VPN安全网关一、 产品概述网御神州凭借在V P N领域的深厚技术功底，成为国家密码管理局I P S e c V P N国家标准的制定单位!秉承S e c O S的技术优势，网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的S e c G a t e3600（S J W79-A/B）系列V P N安全网关产品。

该系列V P N安全网关采用国家密码管理局指定的加密算法，支持国家I P S e c V P N标准协议，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

网御神州目前推出了百兆和千兆两大系列多款I P S e c V P N产品，可全部覆盖高中低端网络应用，涉及通用领域和县乡通信专用领域，同时还提供自主研发的V P N客户端软件。

二、 产品亮点1.强大的组网能力网神V P N安全网关本身可支持各种组网模式，不仅支持网关－网关模式，还支持网状网模式和星型组网，支持基于路由的V P N应用,可十分方便进行纵向组网，这对于具有三级以上网络的行业专网非常合适；网神V P N安全网关可形成从高端、中端到低端再到客户端的全面的V P N解决方案，形成自主组网。

2.灵活的网络适应性网神V P N安全网关在提供传统静态I P的V P N网关功能的同时，也支持基于动态I P地址的V P N 网关，方便使用A D S L接入方式的用户构建自己的V P N网络；可以实现基于策略和基于路由的V P N，大小网络环境都可适应；网神V P N安全网关可与支持国家标准I P S e c、P P T P、L2T P的网关设备和客户端进行互联互通， 同时支持S S L V P N网关功能，支持标准的B/S、C/S连接。

3.全面的V P N功能网神V P N安全网关的功能涵盖了I P S e c、S S L、P P T P、L2T P和G R E多种V P N方式，以及基于这些方式的V P N应用，如N A T的穿越等；支持网关到客户端、客户端到网关多种移动用户上网方式；产品支持全面的防火墙访问控制功能，支持N A T、动态协议解析和带宽控制，支持V P N的实时S A隧道信息同步,实现全冗余的H A部署。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录导言、概述 (10)第一章、基于web管理界面 (10)1.web管理界面页面 (12)2.Web管理界面主菜单 (13)3.使用web管理界面列表 (14)4.在web管理界面列表中增加过滤器 (14)4.1 包含数字栏的滤波器 (16)4.2 包含文本串的滤波器 (16)5.在web管理界面列表中使用页面控制 (17)5.1 使用栏设置来控制显示栏 (18)5.2 使用带有栏设置的过滤器 (19)6.常用web管理界面任务 (19)6.1 连接到web管理界面 (20)6.2 连接到web管理界面 (21)7.修改当前设定 (21)7.1 修改您SecGate管理员密码 (22)7.2 改变web管理界面语言 (23)7.3 改变您SecGate设备管理路径 (23)7.4 改变web管理界面空闲运行时间 (24)7.5 切换VDOMs (24)8.联系客户支持 (24)9.退出 (25)第二章、系统管理 (25)网神信息技术（北京）股份有限公司1. 系统仪表板 (25)1.1 仪表板概述 (26)1.2 添加仪表板 (26)1.3 系统信息 (29)1.4 设备操作 (34)1.5 系统资源 (36)1.6 最多的会话 (37)1.7 固件管理条例 (40)1.8 备份您的配置 (42)1.9 在升级前测试固件 (44)1.10 升级您的SecGate设备 (46)1.11 恢复到以前的固件镜像 (49)1.12 存储您的配置 (54)使用虚拟域 (56)2. 系统网络 (60)2.1 配置接口 (63)2.2 配置区域 (72)2.3 配置网络选项 (74)2.4 配置SecGateDNS服务 (75)2.5 配置显式网络代理 (81)3. 系统动态主机设置协议服务器(DHCP) (89)3.1 SecGate DHCP服务器和中继 (90)3.2 配置DHCP服务 (91)3.3查看地址租借 (95)4.系统配置 (96)网神信息技术（北京）股份有限公司4.1 HA (97)4.2 简单网络管理协议（SNMP） (107)4.3 替换信息 (120)4.4 操作模式和虚拟域管理入口 (127)5.系统管理 (130)5.1 管理员 (131)5.2 管理资料 (145)5.3 设置 (149)5.4 SecGateIPv6支持 (153)6. 系统认证 (158)6.1 本地证书 (159)6.2 CA证书 (166)第三章、路由 (168)1. 路由静态 (168)1.1 路由概念 (169)1.2 如何建立路由表 (170)1.3 如何做出路由判定 (170)1.4 多路径路由以及决定最佳路线 (171)1.5 路线优先 (172)1.6 黑洞路由 (173)2. 静态路由 (174)2.1 使用静态路由 (174)2.2 默认路由和默认网关 (178)2.3 添加静态路由至路由表 (179)网神信息技术（北京）股份有限公司3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (181)3.1 ECMP路由同步会话至相同目标IP地址 (184)3.2 配置溢出或基于使用ECMP (184)3.3 从CLI中添加权重至静态路由 (192)4. 策略路由 (194)5. 路由信息协议（RIP） (200)5.1 RIP页面 (200)5.2 RIP网页网络部分 (201)5.3 RIP网页的接口部分 (202)5.4 高级RIP选项 (202)5.5 RIP-启用接口 (205)6. 开放式最短路径优先（OSPF） (207)6.1 定义OSPF自主系统—概览 (207)6.2 基本OSPF设置 (208)6.3 OSPF页面 (208)6.4 OSPF页面的区域部分 (209)6.5 OSPF页面网络部分 (210)6.6 OSPF页面的接口部分 (210)6.7 高级OSPF选项 (211)6.8 OSPF页面高级选项 (211)6.9 定义OSPF区域 (213)6.10 OSPF网络 (215)6.11 OSPF接口的运行参数 (216)7. 边界网关协议（BGP） (219)7.1 BGP页面 (220)网神信息技术（北京）股份有限公司7.2 BGP页面领域部分 (220)7.3 BGP页面网络部分 (221)8. 多路广播 (221)8.1 覆盖接口多路广播设置 (223)8.2 多路广播目标NAT (225)9. 双向转发检测（BFD） (225)9.1 配置BFD (226)10. 路由器监控 (229)10.1 查看路由信息 (230)10.2 查找SecGate路由表 (233)第四章、防火墙 (234)1. 策略 (234)1.1 身份识别防火墙策略 (247)1.2 中心网络地址转换（NAT）表 (254)1.3 互联网协议第六版(IPv6)策略 (256)1.4 拒绝服务（DoS）策略 (256)2. 地址 (259)2.1 地址列表 (260)2.2 地址组 (262)3. 服务 (264)3.1 预定义服务器列表 (265)3.2 定制服务 (273)3.3 定制化服务组 (274)4. 时间表 (276)网神信息技术（北京）股份有限公司4.1 循环时间表列表 (276)4.2 一次性时间表列表 (278)4.3 时间表组 (279)5. 流量整形器 (281)5.1 共享流量整形器 (281)5.2 Per-IP模式流量整形 (284)6. 虚拟IP地址 (285)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (286)6.2 虚拟IP地址 (286)6.3 虚拟域IP地址(VIP)组 (290)6.4 IP地址池 (292)7. 负载均衡功能 (293)7.1 虚拟服务器 (294)7.2 有效服务器 (301)7.3 健康检查监控器 (302)7.4 监控服务器 (305)第五章、UTM (306)1.拒绝服务（DoS）感应器 (306)2.SYN代理 (309)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (310)4.了解异常状况 (310)第六章、虚拟专用网(IPsec VPN) (312)1.IPSec VPN概述 (313)2.策略性对路由型虚拟专用网络(VPN) (314)网神信息技术（北京）股份有限公司3.自动交换密钥（IKE） (317)3.1 第一阶段配置 (318)3.2 第一阶段高级配置设定 (322)3.3 第二阶段配置 (328)3.4 第二阶段高级配置设定 (328)4.人工密钥 (333)4.1 新人工密钥配置 (334)5.集中器 (339)6.监控虚拟专用网络(VPN) (340)7.安全套接层虚拟专用网络(SSL VPN) (343)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (343)7.2 基本配置步骤 (344)7.3 配置（Config） (346)7.4 界面 (348)7.5 界面设定 (351)7.6 界面小部件 (351)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (353)第七章、用户 (354)1.用户 (355)1.1 本地用户账户 (355)1.2 身份认证设置 (357)2.用户组 (359)2.1 防火墙型用户组 (362)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (363)网神信息技术（北京）股份有限公司3.远程 (364)3.1 RADIUS (365)3.2 轻量级目录访问协议（LDAP） (368)3.3 TACACS+ (372)4.监控 (374)4.1 防火墙用户监控表 (374)第八章、日志与报告 (377)1.日志与报告概述 (378)2.什么是日志? (379)2.1 日志类型和分类型 (380)3.示例 (383)日志信息 (383)4.SecGate如何储存日志 (384)4.1 远程存储到系统日志服务器 (385)4.2 本地存储到内存 (387)4.3 本地存储到硬盘 (388)5.事件日志 (389)5.1 告警电子邮件 (390)6.接入并查看日志信息 (392)网神信息技术（北京）股份有限公司导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

二、产品亮点1.深度检测，多种技术融合融合多种检测技术，有效检测并阻止多种已知的和未知的攻击；应用层上的数据包重组、检测分析，以阻挡越来越多的应用层攻击行为；S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。

2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。

S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。

S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100%的检测准确率和几乎为零的误报率。

3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。

硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。

S e c I P S3600依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。

4.高可靠、可扩展S e c I P S3600支持失效开放（F a i l b y p a s s）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。

奇安信视频终端安全准入系统产品白皮书文档版本：v2.0■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

1.产品概述 02.产品特点 03.产品功能...............................................................................错误！未定义书签。

4.产品型号与指标...................................................................错误！未定义书签。

5.产品资质...............................................................................错误！未定义书签。

1.产品概述随着“平安城市”工程、“雪亮”工程、“天网”工程的逐步推进，社会上视频监控资源正在以飞快的速度不断丰富和发展。

视频监控系统因其能提供实时、直观的视频信息，被广泛应用与社区监控、交警卡点监控等各类业务中。

随着视频专网规模迅速扩大并广泛应用于公共安全建设，视频监控网络的安全问题也日益凸显。

视频终端的安全问题将直接影响其业务的连续性，设备的共性会导致一点突破进而引发整个网络被突破，而参与安全处置协同的人员比较少，病毒传播的速度、攻击沦陷的速度比传统办公网络的终端更快速，留给我们在检测、响应、处置的时间窗口更短暂。

奇安信视频终端安全准入系统是奇安信集团为解决视频专网安全管理难题而推出的产品，能够轻松实现视频专网的资产发现和识别、前端摄像头的接入控制、仿冒检测和处置、前端摄像头的安全基线检查和状态监控、视频专网的IP地址管理与监测、一体化的视频专网终端安全防护与管理等功能。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利，如果配置截图与实际产品界面有差异，以实际产品配置界面为准。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司网神信息技术（北京）股份有限公司目录1导言 (13)1.1.本书适用对象 (13)1.2.手册章节组织 (13)1.3.相关参考手册 (15)2登录安全网关WEB界面 (16)2.1管理员必读 (16)2.1.2.管理员电子钥匙 (16)2.1.2.管理员证书 (17)2.1.3.管理员配置管理 (17)2.2.管理员首次登录 (18)2.2.1. 登录WEB界面 (19)2.3.管理员再次登录 (21)3首页 (22)4系统配置 (25)4.1.系统配置>>系统时钟 (25)4.2.管理配置>>管理方式 (27)4.3.管理配置>>管理主机 (28)4.4.管理配置>>管理员帐号 (29)4.5.管理配置>>管理员证书 (33)网神信息技术（北京）股份有限公司4.6.管理配置>>集中管理 (35)4.7.系统配置>>导入导出 (39)4.8.系统配置>>升级许可 (42)4.9.系统配置>>日志服务器 (45)4.10.系统配置>>域名服务器 (46)4.11.系统配置>>报警邮箱 (47)5网络配置 (49)5.1.网络配置>> 网络接口 (49)5.1.1网络接口>>基本配置 (49)5.1.2网络接口>>接口IP (52)5.1.3.网络接口>>子接口 (55)5.1.4.网络接口>>桥接口 (57)5.1.5.网络接口>>channel (60)5.1.6.网络接口>>Vlan配置 (63)5.2.网络配置>>静态路由 (64)5.2.1.静态路由>>目的路由 (64)5.2.2.静态路由>>智能选路 (65)5.3 网络配置>>动态路由 (68)5.3.1 动态路由>>RIP设置 (69)5.3.2 动态路由>>OSPF设置 (73)5.3.3 动态路由>>BGP设置 (77)5.3.4 动态路由>>DEBUG设置 (79)5.4 网络配置>>多播路由 (80)5.4.1 多播路由>>多播配置 (80)网神信息技术（北京）股份有限公司5.4.2 多播路由>>多播监控 (82)5.4.3 多播路由>>PIM信息 (82)5.5网络配置>>DHCP配置 (83)5.5.1DHCP配置>>DHCP服务器 (83)5.5.2DHCP配置>>DHCP中继 (87)5.5.3 DHCP配置>>DHCP客户端 (88)5.6网络配置>>虚拟系统 (89)5.6.1虚拟系统>>虚拟系统管理 (90)5.6.2虚拟系统>>虚拟系统切换 (93)5.7网络配置>>ADSL拨号 (93)5.8网络配置>>DNS中继 (95)5.9网络配置>>WIRELESS_3G配置 (96)5.10网络配置>>链路探测 (98)5.11网络配置>>网口联动 (99)5.12网络配置>>静态ARP (100)5.13 网络配置>>静态桥转发表 (101)5.14 网络配置>>端口镜像 (103)6对象定义 (104)6.1对象定义通用功能介绍 (104)6.1.1分页显示 (105)6.1.2 查找 (106)6.1.3排序 (106)6.1.4添加 (107)61.5编辑（修改） (108)网神信息技术（北京）股份有限公司6.1.6删除 (109)6.1.7名称和备注 (110)6.2地址 (111)6.2.1地址>>地址列表 (111)6.2.2地址>>地址组 (113)6.2.3地址>>服务器地址 (114)6.2.4地址>>虚拟服务器地址 (117)6.2.5地址>>NAT地址池 (120)6.2.6地址>>域名列表 (121)6.2.7地址>>isp地址表 (122)6.3服务 (124)6.3.1服务>>服务列表 (124)6.3.2服务>>服务组 (136)6.4时间 (138)6.4.1时间>>时间列表 (138)6.4.2 时间>>时间组 (140)6.5保护内容列表 (141)6.6连接限制配置 (144)7防火墙 (145)7.1 安全规则 (145)7.1.1 包过滤规则 (155)7.1.2NAT规则 (159)7.1.3IP/端口映射规则 (163)7.2抗攻击 (167)网神信息技术（北京）股份有限公司7.3IDS联动 (175)7.4 IP/MAC绑定 (177)7.5 URL重定向 (184)8Ipv6 配置......................................................................................... 错误!未定义书签。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

深信服安全隔离与信息交换系统网闸GAP-1000 白皮书目录1概述 (1)2需求背景 (1)2.1法规标准要求 (1)2.1.1等级保护 (1)2.1.2行业法规 (3)2.2安全需求 (3)2.2.1网络复杂，如何整合 (3)2.2.2安全隐患，如何规避 (4)3产品概况 (4)3.1产品定位 (4)3.2产品介绍 (4)4产品架构与性能 (5)4.1产品架构 (5)4.2工作原理 (6)5产品功能与特性 (8)5.1产品功能 (8)5.1.1业务功能 (8)5.1.2管理功能 (12)5.1.3高可用性功能 (12)5.2产品特性 (13)5.2.1高安全性 (13)5.2.2高吞吐率 (14)5.2.3高可靠性 (14)5.2.4高便利性 (14)6产品优势与价值 (14)6.1产品优势 (14)6.1.1简便易用的界面风格 (15)6.1.2强大的业务功能 (15)6.1.3通信协议深度控制 (15)6.1.4多任务高并发性能 (15)6.1.5优秀的环境适应 (15)6.2产品价值 (15)7产品应用场景 (16)7.1安全隔离与视频交换解决方案 (16)7.1.1场景需求 (16)7.1.2解决方案 (16)7.2安全隔离与数据库同步解决方案 (17)7.2.1场景需求 (17)7.2.2解决方案 (18)7.2.3实现效果 (19)1概述自上世纪90 年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大地提高了办公效率。

经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

随着对安全问题的不断认识和了解，尤其是针对涉密信息的防护，党和政府已将信息安全建设提到一个相当的高度上来。

自2000 年以来安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSSL 3600安全接入网关产品白皮书文档版本号V6.3.1扩散范围销售/售前/客服/渠道商/用户作者陈蛟日期2011/04/06初审人宋伟复审人王思登●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3产品功能 (5)4产品型号与指标 (10)5产品形态 (11)6产品资质 (14)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，网神SSL VPN 的基于代理主机的，它通过终止网络边缘的连接而提供一个附加的安全层。

RUN-NETGAP100 安全隔离与信息交换系统技术白皮书©北京锐安科技有限公司北京海淀区阜成路航天科技大厦4层 100037电话：(010)68768788传真：(010)88530425服务电话：(010)88530423申明(C)版权说有2004-2005，锐安（北京）科技有限公司文中出现的任何文字描述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属锐安（北京）科技有限公司所有，受到有关产权及版权法律保护。

任何人、机构未经锐安（北京）科技有限公司的书面许可，不得以任何方式使用本文任何片段。

目录安全隔离与信息交换系统 (1)技术白皮书 (1)版权说明.........................................................................................................错误！未定义书签。

一、概述 (4)1.1 产品背景 (4)1.2 产品概述 (5)1.3 产品定位 (6)二、技术简介及参数 (6)2.1 系统组成 (6)2.2 硬件组成及参数 (7)2.3 系统构架及工作原理 (7)三、产品功能 (9)3.1 业务功能 (9)3.2 管理功能 (13)3.3 高可用性功能 (14)四、产品特点 (14)4.1 高安全性 (14)4.2 高吞吐率 (15)4.3 高可靠性 (15)4.4 高便利性 (16)五、典型应用及解决方案 (16)六、执行标准 (17)一、概述1.1 产品背景自上世纪90年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大提高了办公效率，从1995年开始，互联网在我国迅速普及，党和政府积极推进全国的数字化进程，使我国的数字化建设取得了突飞猛进的发展，经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁国家和政府安全的重大隐患。

网神SecSIS 3600安全隔离与信息交换系统日志审计员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

谢谢您的合作！网神信息技术(北京)股份有限公司安全使用注意事项本章列出的安全使用注意事项，请仔细阅读并在使用网神SecSIS 3600安全隔离与信息交换系统过程中严格执行。

产品白皮书网神SecWAF 3600 Web应用防火墙W5000-U020M本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2012 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecWAF 3600 Web应用防火墙文档版本号V8.5.1扩散范围销售/售前/客服/渠道商/用户作者黄锐日期2013/05/01初审人王嘉复审人●版本变更记录时间版本说明作者2013-5-17 V1.0 文档建立黄锐目录1、产品概述 (4)2、产品特点 (4)2.1 高性能 (4)2.2集成领先Web应用漏洞检测技术 (4)2.3 多维防护体系 (5)2.4 Cloud云防护模型 (5)2.5 主动防御体系 (6)2.6 网页防篡改 (6)2.7 HA（High Availability） (6)3、产品型号 (7)4、产品功能说明 (7)4.1 产品功能概述 (7)4.2 功能列表 (7)5、性能指标 (10)6、硬件规格 (10)7、产品资质 (11)1、产品概述网神SecWAF 3600 Web应用防火墙系统（又名SecWAF应用防护系统），以下简称SecWAF，是自主知识产权的新一代安全产品，作为网关设备，防护对象为Web服务器，其设计目标为：分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。

网神Web安全团队根据常年观察互联网黑客攻击方式和黑客技术，从多年的安全研发经验中总结了一套“Web安全防护体系”，网神Web安全团队提出了“事前、事中、事后”的事件三部曲防护方案。

首先，事前评估。

根据黑客攻击经验，每次黑客在攻击前都会对目标事物进行漏洞扫描。

网神Web安全团队使用自主开发的Web扫描器对客户网站架构进行整体评估，评估客户网站在开发过程中，开发人员忽视的安全问题。

`产品白皮书网神SecGate 3600防火墙A10000-TG30M本文档解释权归网神信息技术（北京）股份有限公司产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecGate 3600防火墙产品白皮书文档版本号V8.12.1扩散范围销售/售前/客服/渠道商/用户作者李群日期2013/12/5初审人杨黎鸿复审人●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3主要功能 (5)4 产品型号与指标 (9)5 产品形态 (10)6 产品资质 (10)1.产品概述网神SecGate 3600 新一代防火墙（以下简称“防火墙”）是基于网神自主研发的新一代的SecOS安全系统, 并结合在防火墙产品上多年技术、经验积累的基础上研发的, 专门为政府、教育、金融、能源、军队、运营商、大中小型企业等用户的网络出口打造的高性能防火墙系统。

防火墙可灵活部署在各种网络应用环境的边界，提供状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能。

防火墙采用了高性能、高稳定性的多核硬件架构，接口支持扩展，为用户提供高效、稳定、可扩展的安全保障。

2.产品特点●业界领先的新一代SecOS安全系统网神新一代SecOS安全系统在实现防火墙控制层和数据转发层的分离基础上，通过快转加速流程，大大提高了设备处理性能。

并采用了全模块化设计思想，实现了独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙产生的影响。

同时也减少了因为硬件平台的变更带来的重复开发问题。

由于采用业界先进的系统设计理念，使网神SecOS具有更高的安全性、开放性、扩展性和稳定性。

●软硬一体的高效多核架构多核硬件架构与多核并行安全操作系统SecOS相结合，通过多核绑定技术使多个核可以真正并行处理数据流量，极大的提升系统处理性能。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

技术白皮书网神SecFox安全审计系统本文档解释权归网神信息技术（北京）股份有限公司产品中心所有目录1产品概述 (1)2产品功能说明 (2)2.1系统架构 (2)2.2引入4A管理理念 (2)2.3SSO单点登录 (4)2.4集中账号管理 (4)2.5集中身份认证 (5)2.6统一资源授权 (6)2.7细粒度访问控制 (6)2.8运维操作审计 (7)3产品技术特色和优势 (9)3.1独有功能 (9)3.1.1智能运维脚本 (9)3.1.2管理多种运维操作方式 (9)3.1.3真正意义的智能负载均衡 (10)3.2优势功能 (11)3.2.1高成熟性和安全性 (11)3.2.2良好的扩展性 (12)3.2.3强大的审计功能 (13)3.2.4使用简单，适应各种应用 (13)3.2.5绿色部署、迅速上线 (13)3.2.6实现运维命令的实时审计和拦截控制 (14)3.2.7加密协议审计 (14)4关键技术 (14)4.1逻辑命令自动识别技术 (14)4.2智能负载均衡技术 (15)4.3Syslog日志处理 (16)4.4正则表达式匹配技术 (17)4.5图形协议代理 (17)4.6多进程/线程与同步技术 (17)4.7通信数据加密技术 (17)4.8审计查询检索功能 (17)4.9操作还原技术 (18)5为用户带来的收益 (18)5.1统一平台管理 (19)5.2全面操作审计 (19)5.3提高设备可用性，网络安全性 (19)5.4完善责任认定体系 (20)5.5规范操作管理 (20)5.6规避操作风险 (20)1产品概述网神SecFox安全审计系统（简称：安全审计系统）是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。

网神安全审计系统扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。

网神安全审计系统能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。