第1页 / 共515页
第2页 / 共515页
第3页 / 共515页
第4页 / 共515页
第5页 / 共515页
第6页 / 共515页
第7页 / 共515页
第8页 / 共515页
奇安信网神防火墙系统(NSG系列)用户手册【6.1.10.51756_02】.pdf
免责声明
前 言
概述
适用产品
读者对象
产品版本
配套手册
约定
符号约定
修订记录
文档版本 02(发布日期2019-05-06)
文档版本 01(发布日期2018-11-01)
1 从这里开始
1.1 场景和配置说明
1.1.1 路由模式
1.1.2 交换模式
VLAN接入场景
透明桥接场景
虚拟线路桥接场景
聚合接口场景
1.1.3 接口旁路模式
1.2 防火墙管理方式
1.2.1 通过防火墙接口管理防火墙
1.2.2 使用智慧管理分析系统管理防火墙
1.2.3 第三方管理系统通过RESTful API管理防火墙
1.3 报文转发流程
1.4 访问防火墙Web界面
1.4.1 首次访问
1.4.2 非首次访问
设置允许通过HTTP方式管理防火墙
通过HTTP方式登录防火墙Web界面
1.5 访问防火墙CLI界面
设置允许通过Telnet方式或SSH方式管理防火墙
通过Telnet方式登录防火墙
通过SSH方式登录防火墙
1.6 部署向导
1.6.1 透明模式
配置接口
配置可信主机
配置安全策略
检查许可证
确认配置
1.6.2 路由模式
配置接口
配置可信主机
配置安全策略
检查许可证
确认配置
1.6.3 旁路镜像
配置接口
配置可信主机
配置安全策略
检查许可证
确认配置
1.7 置顶菜单说明
1.7.1 登录云镜
1.7.2 保存当前配置
1.7.3 查看告警详情
1.7.4 查看应急响应信息
1.7.5 查看License异常信息
1.7.6 切换虚拟系统
1.7.7 定制首页
设置刷新方式
设置显示项目
1.8 账号相关操作
1.9 首页信息说明
1.9.1 日志及告警统计信息
最近7天失陷主机
全部阻断失陷主机
最近7天风险主机
全部阻断风险主机
最近1天威胁统计
最近1天应急响应
最近1天告警信息
最近1天重点关注
1.9.2 设备资源监控
1.9.3 会话监控
1.9.4 接口实时流量
1.9.5 威胁排行
1.9.6 应用排行
1.9.7 系统信息
1.9.8 接口信息
2 系统配置
2.1 设备管理
2.1.1 本机设置
设置设备名称
设置系统时间
设置DNS
设置NTP
设置RESTful API
2.1.2 管理主机
添加可信主机
添加可信MAC
设置管理端口
2.1.3 管理账号
缺省管理员
添加管理员
2.1.4 管理角色
默认管理角色说明
自定义管理角色
2.1.5 管理证书
更新本机证书
导出CA证书
导出管理员证书
在管理主机安装管理员证书
2.1.6 锁定管理
2.1.7 登录设置
2.1.8 查看在线管理员
2.2 配置文件
2.2.1 导出配置
导出配置到本地
导出配置到FTP服务器
导出配置到TFTP服务器
2.2.2 导入配置
本地导入
FTP服务器导入
TFTP服务器导入
2.3 SNMP
2.3.1 配置SNMP
2.3.2 添加SNMPv3用户
2.4 升级管理
2.4.1 通过系统包或者升级包进行系统升级
升级说明
升级操作
2.4.2 特征库升级
库升级设置-公网升级服务器
库升级设置-私有升级服务器
自动升级
立即升级
手动升级
2.5 告警管理
2.5.1 配置告警设置
2.5.2 配置Trap告警
2.5.3 配置邮件告警
SMTP服务器设置
添加收件人Email地址
2.5.4 中断声音告警
2.5.5 配置短信告警
2.6 许可证
2.6.1 导入许可证
2.6.2 查看许可证
2.7 高可用性
2.7.1 简介
2.7.2 使用限制和注意事项
2.7.3 配置HA
2.7.4 (可选)配置HA接口监控
2.7.5 配置链路探测
2.8 集中管理
2.8.1 使用限制和注意事项
2.8.2 启用集中管理
2.8.3 禁用集中管理
2.8.4 配置实现集中管理需要的功能
配置功能说明
(可选)通信接口开启SNMP服务
(可选)将智慧管理分析系统设置为可信主机
(可选)配置日志外发到智慧管理分析系统
2.9 产品联动
2.9.1 天眼协同防护
2.9.2 天擎协同防护
2.9.3 天擎鉴定中心协同防护
2.10 云联防
2.10.1 云防
2.10.2 云情报平台
开启威胁情报云检测
本地威胁情报库升级
2.11 云镜
登录云镜
配置防火墙与云镜的交互信息
2.12 证书管理
2.12.1 导入可信CA证书
2.12.2 证书列表
导入一般证书
查看证书详情
导出证书
2.12.3 请求文件
生成请求文件
导入已经审批的证书文件
导出请求文件
2.12.4 SSL解密证书
查看预置根证书
导入根证书
转发根证书
2.13 CA中心
2.13.1 本地CA
生成自签发CA
导入第三方CA
导出CA证书
2.13.2 一般证书
生成一般证书
查看证书详情
导出一般证书
吊销证书
2.13.3 证书审批
导入证书请求文件
导出审批的证书
2.14 抓包工具
2.14.1 添加抓包任务
2.14.2 开启抓包任务
2.14.3 删除抓包任务
3 虚拟系统
3.1 虚拟系统基本组成
根虚拟系统(root-vsys)
子虚拟系统(vsys)
虚拟系统管理员
3.2 使用限制和注意事项
3.3 配置虚拟系统
3.3.1 创建虚拟系统
前提条件
配置步骤
3.3.2 创建虚拟系统管理员
3.4 登录虚拟系统
根系统下切换到虚拟系统
虚拟系统管理员直接登录虚拟系统
3.5 虚拟系统流量转发
3.6 虚拟系统互访
3.6.1 (可选)添加虚拟系统接口
3.6.2 配置静态路由
3.6.3 配置策略
4 网络配置
4.1 接口
4.1.1 简介
物理接口
物理子接口
聚合接口
聚合子接口
VLAN接口
桥接口
回环接口
隧道接口
ADSL接口
3G/4G接口
虚拟接口
Overlay NVE接口
Overlay路由接口
MGT口
HA口
4.1.2 使用限制和注意事项
4.1.3 配置接口
接口页面列表参数说明
启用/关闭接口
(可选)配置接口MAC和虚MAC
配置安全域
配置接口工作模式
配置聚合接口的聚合参数
配置PPPoE(ADSL接口)相关参数
配置接口IP地址
指定接口所属的HA组
配置接口管理方式
配置物理接口的操作模式
配置接口MTU
配置对称路由
配置接口镜像
配置MPLS
4.1.4 管理接口
配置MGT口
配置HA口
添加管理口路由
4.2 安全域
4.2.1 简介
4.2.2 使用限制和注意事项
4.2.3 创建安全域
4.2.4 编辑安全域
4.3 配置VLAN
4.3.1 简介
VLAN的作用
VLAN的实现机制
VLAN链路类型和对应接口模式
4.3.2 创建VLAN
4.3.3 配置接入加入VLAN
4.3.4 配置通过VLAN接口实现VLAN间通信
4.3.5 配置通过三层物理子接口实现VLAN间通信
4.4 配置桥
4.5 DNS
4.5.1 静态DNS
应用场景
配置步骤
4.5.2 DNS代理
使用限制和注意事项
应用场景
配置步骤
4.5.3 配置DDNS
应用场景
配置步骤
4.6 DHCP
4.6.1 应用场景
与DHCP客户端在同一网段
与DHCP客户端不在同一网段
4.6.2 配置DHCP服务器
使用限制和注意事项
配置DHCP服务器
查看DHCP租约信息
4.6.3 配置DHCP中继
使用限制和注意事项
配置DHCP中继
4.7 ARP
4.7.1 静态ARP表项
背景信息
配置静态ARP表项
4.7.2 动态ARP表项
4.7.3 动态ARP表项绑定
4.7.4 配置ARP代理
4.8 MAC
4.8.1 简介
4.8.2 MAC地址表项的生成方式
自动生成MAC地址表项
手工配置MAC表项
4.8.3 添加静态MAC
4.8.4 查看动态MAC表
4.9 长连接
4.10 接口联动
4.11 链路健康检查
4.12 802.1x认证
配置802.1x认证
802.1x认证监控
5 对象配置
5.1 地址
5.1.1 添加地址对象
5.1.2 添加地址组
5.1.3 添加服务器地址
5.2 国家/地区
5.2.1 查看预定义国家/地区
5.2.2 添加自定义国家/地区
5.3 服务
5.3.1 查看预定义服务
5.3.2 添加自定义服务
5.3.3 服务组
5.4 应用
5.4.1 简介
5.4.2 查看预定义应用
5.4.3 添加自定义应用
5.4.4 添加应用组
5.5 时间
5.5.1 添加单次时间对象
5.5.2 添加循环时间对象
5.6 资产
5.6.1 添加资产类型
5.6.2 添加资产
5.6.3 导出资产
5.6.4 导入资产
前提条件
操作步骤
5.6.5 查询资产
查询
高级查询
5.7 关键字组
5.7.1 导入或导出预定义关键字组
5.7.2 添加关键字组
6 路由
6.1 简介
静态路由
动态路由
6.2 静态路由
6.3 策略路由
应用场景
添加策略路由
调整策略路由顺序
设置显示的策略路由参数
添加ISP路由
设置显示的ISP路由参数
维护ISP信息
6.4 RIP
6.5 OSPF
6.6 BGP
6.7 静态多播路由
6.8 动态多播路由
接口配置
候选RP
候选BSR
接口邻居监控
RP监控
BSR监控
6.9 路由监控
6.9.1 IPv4路由监控
6.9.2 IPv6路由监控
6.9.3 策略路由监控
6.9.4 ISP路由监控
6.9.5 多播路由监控
7 用户与认证
7.1 简介
认证方式
用户认证方法
7.2 用户
7.2.1 认证用户
添加认证用户
认证用户组
认证用户角色
7.2.2 认证服务器
添加本地认证服务器
添加RADIUS认证服务器
添加TACACS+认证服务器
添加LDAP认证服务器
添加AD认证服务器
添加证书认证服务器
添加POP3认证服务器
7.2.3 手工绑定用户
7.2.4 配置AD联动
7.3 安全认证
7.3.1 使用限制和注意事项
7.3.2 添加认证策略
添加Web认证策略
添加URL重定向认证策略
调整认证策略顺序
7.3.3 配置Web认证
7.3.4 配置URL重定向
7.4 用户监控
7.4.1 安全认证用户
7.4.2 SSL VPN
7.4.3 L2TP VPN
7.4.4 PPTP VPN
8 安全防护
8.1 黑白名单
8.1.1 地址黑名单
8.1.2 域名黑白名单
添加域名黑白名单
启用或禁用一条黑名单或白名单
批量启用或禁用黑白名单
过滤或查询黑白名单
8.2 攻击防护
8.2.1 SYN Flood攻击防护
正常的TCP三次握手过程
SYN Flood攻击原理
配置SYN Flood攻击防护
8.2.2 ICMP Flood攻击防护
ICMP Flood攻击原理
配置ICMP Flood攻击防护
8.2.3 UDP Flood攻击防护
UDP Flood攻击原理
配置UDP Flood攻击防护
8.2.4 IP Flood攻击防护
IP Flood攻击原理
配置IP Flood攻击防护
8.2.5 恶意扫描防护
恶意扫描简介
配置恶意扫描防护
8.2.6 欺骗防护
IP欺骗简介
配置欺骗防护
添加IP安全域关联
8.2.7 异常包攻击防护
异常包攻击简介
配置异常包攻击防护
8.2.8 ICMP管控
ICMP管控简介
配置ICMP管控
8.2.9 应用层Flood攻击防护
应用层Flood攻击简介
配置应用层Flood攻击防护
8.3 局域网广播防护
8.4 DHCP防护
DHCP防护
DHCP防护信息
8.5 IP-MAC绑定
8.5.1 使用限制和注意事项
8.5.2 手工绑定IP和MAC
8.5.3 配置未绑定IP-MAC策略
8.5.4 IP-MAC探测
8.5.5 IP-MAC批量绑定
8.6 会话限制
8.6.1 简介
场景说明
术语说明
8.6.2 添加会话限制策略
8.6.3 调整会话限制策略的顺序
8.7 天擎准出策略
9 NAT策略
9.1 简介
9.2 应用场景
内网PC访问Internet
公网用户访问内网服务器
内网PC通过公网IP访问内网服务器
服务器负载均衡
透明模式NAT
9.3 配置NAT
9.3.1 配置源NAT
9.3.2 添加目的NAT
9.3.3 调整NAT策略顺序
10 VPN
10.1 VPN地址池
10.2 IPSec原理描述
10.2.1 IPSec简介
10.2.2 IPsec协议的实现
10.2.3 IPsec基本概念
SA
封装模式
认证算法
加密算法
协商方式
安全隧道
10.2.4 IKE
IKE简介
IKE的安全机制
IKE的交换过程
IKE在IPsec中的作用
10.3 IPSec应用场景
10.3.1 Site-to-Site IPSec VPN
10.3.2 Hub-to-Spoke IPSec VPN
10.3.3 Client-to-Site IPSec VPN
IPSec客户端拨号
L2TP over IPSec
10.4 配置IPSec自动协商
10.4.1 使用限制和注意事项
10.4.2 (可选)添加IKE提议
10.4.3 (可选)添加拨号用户组
10.4.4 添加IPSec IKE网关
10.4.5 (可选)添加IPSec提议
10.4.6 添加IPSec隧道
10.4.7 IPSec数据流引流
通过安全策略进行IPSec数据流引流
通过路由引流进行IPSec数据流引流
10.4.8 (可选)访问外网配置
10.4.9 (可选)配置IPSec隧道备份
10.4.10 查看IPSec自动隧道
IPSec隧道过滤
IKE隧道过滤
10.5 配置IPSec手工隧道
10.5.1 添加IPSec手工隧道
10.5.2 指定进入隧道的数据流
10.5.3 查看IPSec手工隧道
查看IPSec手工隧道
IPSec隧道查询
10.6 SSL VPN
10.6.1 使用限制和注意事项
10.6.2 配置流程
10.6.3 配置SSL VPN隧道
10.7 L2TP VPN
10.7.1 配置L2TP用户
10.7.2 配置LNS
10.8 PPTP VPN
10.8.1 配置PPTP用户
10.8.2 配置PPTP服务器
10.9 GRE VPN
10.9.1 创建Tunnel接口
10.9.2 配置GRE隧道
10.9.3 查看GRE隧道
11 VXLAN
11.1 简介
背景说明
VXLAN基本组网
11.2 应用场景
11.2.1 相同网段不同站点间通信
11.2.2 不同网段不同站点间通信
11.3 原理描述
11.3.1 VXLAN报文封装格式
11.3.2 VXLAN通信
通信模式
11.3.3 VXLAN MAC地址表项的生成方式
自动生成VXLAN MAC地址表项
手工配置MAC表项
11.4 使用限制和注意事项
11.5 配置VXLAN
11.5.1 作为二层VXLAN网关
添加Overlay NVE接口
VXLAN基本配置
VXLAN网络管理
11.5.2 作为三层VXLAN网关
VXLAN基本配置
VXLAN网络管理
添加Overlay 路由接口
11.5.3 同时作为二三层VXLAN网关
添加Overlay NVE接口
VXLAN基本配置
VXLAN网络管理
添加Overlay 路由接口
11.5.4 VXLAN动态MAC
11.5.5 VXLAN静态MAC
12 安全策略与安全配置文件
12.1 安全策略
12.1.1 使用限制和注意事项
12.1.2 新建安全策略
12.1.3 复制创建安全策略
12.1.4 调整安全策略的顺序
12.1.5 设置显示的安全策略参数
12.1.6 查看冗余策略
12.2 反病毒
12.2.1 简介
本地反病毒
私有云杀毒方案
公有云杀毒方案
云沙箱病毒检测
12.2.2 原理描述
12.2.3 使用限制和注意事项
12.2.4 添加病毒签名
12.2.5 添加反病毒配置文件
配置步骤
12.2.6 推送消息设置
Web浏览病毒推送消息
邮件病毒推送消息
文件传输病毒推送消息
设置推送消息
12.3 IPS入侵防护
12.3.1 简介
12.3.2 添加漏洞防护签名
12.3.3 添加间谍软件防护签名
12.3.4 添加漏洞防护配置文件
前提条件
设置开启的漏洞防护类型
搜索具体漏洞
编辑某个漏洞类型下的防护动作
编辑开启的应用协议
配置防暴力破解
12.3.5 添加防间谍软件配置文件
前提条件
设置开启的防间谍软件类型
搜索具体间谍软件
编辑某个防间谍软件动作
编辑开启的应用协议
12.4 URL过滤
12.4.1 简介
本地URL过滤
URL云识别
12.4.2 URL过滤处理流程
12.4.3 URL分类
查看预定义URL分类
添加自定义URL分类
设置重点关注URL
12.4.4 添加URL过滤配置文件
12.4.5 推送消息设置
URL过滤推送消息
设置推送消息
12.5 文件过滤
12.5.1 简介
12.5.2 全局配置
12.5.3 添加文件过滤配置文件
12.6 内容过滤
12.7 邮件过滤
12.7.1 使用限制和注意事项
12.7.2 邮件过滤处理流程
12.7.3 添加邮件过滤配置文件
12.7.4 配置反垃圾邮件
12.8 行为管控
12.8.1 简介
12.8.2 HTTP协议行为管控
12.8.3 SMTP协议行为管控
12.8.4 POP3协议行为管控
12.8.5 IMAP协议行为管控
12.8.6 FTP协议行为管控
12.8.7 TELNET协议行为管控
12.9 天擎终端管控
12.10 配置安全配置文件组
12.11 SSL入站检查解密策略
12.11.1 使用限制和注意事项
12.11.2 配置SSL入站检查配置文件
添加SSL入站检查配置文件
导入SSL入站检查的证书文件
12.11.3 配置SSL入站检查解密策略
12.12 配置SSL代理解密策略
12.12.1 使用限制和注意事项
12.12.2 配置SSL代理解密策略
12.12.3 调整SSL解密策略顺序
13 QoS
13.1.1 简介
13.1.2 基本概念
QoS线路
虚拟QoS
带宽通道
规则
13.1.3 应用场景
通过最大带宽、保证带宽、每IP带宽对某个组织或每个用户进行流量管理
通过指定内网接口实现带宽独立
通过多个虚拟QoS实施多维度带宽管理
通过多级通道为多层组织进行不同规则的带宽管理
13.1.4 使用限制和注意事项
使用限制
注意事项
13.1.5 配置流程
13.1.6 配置QoS
14 资产管理
14.1 资产识别
14.2 资产监控
14.2.1 服务器监控
14.2.2 终端监控
14.2.3 天擎终端列表
15 IPv6特性
15.1 IPv6简介
15.2 IPv6支持的特性
15.3 邻居表
15.3.1 添加静态邻居
15.3.2 绑定动态邻居
15.4 IPv6路由
15.4.1 RIPng
15.4.2 OSPFv3
15.5 IPv6过渡技术
15.5.1 双栈
15.5.2 DS-Lite
简介
使用场景
使用限制和注意事项
配置DS-Lite
查看DS-Lite隧道信息
15.5.3 6in4隧道
手工隧道典型应用环境
ISATAP典型应用环境
6to4典型应用环境
基本配置
查看6in4隧道
15.5.4 NAT64
NAT64典型场景
配置NAT64前缀
配置源NAT策略
16 处置中心
16.1 失陷主机
16.1.1 失陷主机视图
过滤失陷主机
查询失陷主机
批量处置失陷主机
处置单个失陷主机
查看处置结果
查看IOC详情
删除失陷主机
导出失陷主机
16.1.2 IOC列表视图
过滤失陷主机
查询失陷主机
查看IOC详情
导出失陷主机
16.2 风险主机
16.2.1 风险主机视图
过滤风险主机
查询风险主机
批量处置风险主机
处置单个风险主机
查看处置结果
删除风险主机
导出风险主机
16.2.2 IOC列表视图
过滤风险主机
查询风险主机
导出风险主机
批量处置IOC
处置单个IOC
查看处置结果
导出风险主机
16.3 人工处置
16.3.1 使用限制和注意事项
16.3.2 添加网络连接类型处置对象
16.3.3 添加域名类型处置对象
16.3.4 添加URL类型处置对象
16.3.5 添加威胁事件类型处置对象
16.3.6 添加应用名称类型处置对象
16.3.7 添加即时通信类型处置对象
16.3.8 查看人工处置策略
16.4 应急响应
16.4.1 查看应急响应事件
16.4.2 查看自动方式应急响应事件的防护状态详情
IPS漏洞应急响应
威胁情报应急响应
16.4.3 处置应急响应事件
按状态显示应急响应
处置单个应急响应
批量处置应急响应
17 数据中心
17.1 日志
17.1.1 日志概述
流量日志
威胁日志
域名日志
URL过滤日志
邮件过滤日志
内容日志
行为日志
即时通讯日志
操作日志
系统日志
17.1.2 日志操作
设置显示的日志参数
搜索日志说明
模糊搜索
按过滤条件搜索
通过日志添加处置策略
查看日志详情
导出日志
下载威胁样本
下载内容留存样本
17.2 日志设置
17.2.1 日志等级说明
17.2.2 添加日志服务器
17.2.3 日志外发
全局设置
在列表中选择
17.2.4 日志清除
17.3 统计
17.3.1 网络概况
概况
TOP5增长/下降应用
TOP5带宽消耗统计
TOP5威胁
17.3.2 应用趋势
17.3.3 威胁统计
基于威胁名称的威胁统计
基于威胁类型的威胁统计
基于威胁子分类的威胁统计
基于源IP的威胁统计
基于目的IP的威胁统计
基于用户的威胁统计
恶意URL
恶意域名
恶意地址
17.3.4 威胁地图
17.3.5 网络监视器
TOP应用流量
TOP应用分类流量
TOP源IP流量
TOP目的IP流量
TOP源用户流量
TOP应用会话数
TOP应用分类会话数
TOP源IP会话数
TOP目的IP会话数
TOP源用户会话数
17.3.6 连接监视器
整机流量趋势
整机并发会话趋势
整机新建会话趋势
接口流量趋势
17.3.7 重点关注
重点用户
重点关注URL分类
重点关注应用
17.3.8 丢包统计
17.4 会话
显示最新会话信息
查看会话监控详细信息
断开会话连接
会话高级查询
17.5 监控
17.5.1 系统监控
CPU使用率
风扇状态
17.5.2 会话限制监控
17.6 报表
17.6.1 报表任务
17.6.2 报表模板
17.6.3 报表查看
18 分析中心
18.1 简介
18.2 操作说明
18.2.1 设置分析时间段
18.2.2 设置全局过滤条件
18.2.3 设置私有过滤条件
18.2.4 查看对应日志
18.2.5 最小化区域框
18.3 网络活动
18.3.1 应用程序使用
字节数
会话数
威胁
内容
URL
18.3.2 源用户活动
字节数
会话数
威胁
内容
URL
18.3.3 目的用户活动
18.3.4 源IP活动
18.3.5 目的IP活动
18.3.6 源国家/地区活动
18.3.7 目的国家/地区活动
18.3.8 策略使用情况
18.4 威胁活动
18.4.1 威胁活动
18.4.2 访问恶意URL的主机
18.4.3 请求恶意域名的主机
18.4.4 非标准端口应用程序
18.4.5 允许非标准端口应用程序的策略
18.5 阻止的活动
18.5.1 阻止的应用
威胁
内容
URL
18.5.2 阻止的用户活动
18.5.3 阻止的威胁
18.5.4 阻止的内容
18.5.5 阻止的域名
18.5.6 阻止的URL
18.5.7 策略阻止的活动
18.6 自定义
入接口
出接口
源安全域
目的安全域
未识别的应用程序
360 网神防火墙系统(NSG 系列)
用户手册(6.1.10.51756)
文档版本 02
奇安信集团
奇安信集团
https://www.qianxin.com
360 网神防火墙系统(NSG 系列)
奇安信集团(以下简称“奇安信”)包括但不限于以下主体:北京奇安信科技有限公司、网神
信息技术(北京)股份有限公司、北京网康科技有限公司,以及上述主体直接或者间接控制
的法律实体。奇安信为客户提供全方位的技术支持和服务。直接向奇安信购买产品的用户,
如果在使用过程中有任何问题,可与公司总部联系。
读者如有任何关于本产品的问题,或者有意进一步了解公司其他相关产品,可通过下列方式
与我们联系:
公司网址:
https://www.qianxin.com
技术支持热线:
400-813-6360
公司总部地址: 北京市朝阳区来广营创远路 36 号院朝来高科技产业园 7 号楼
版权声明
Copyright © 2012-2019 奇安信集团,保留所有权利。
奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的
任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有
版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以
任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用
行为,奇安信集团或其关联公司均保留追究法律责任的权利。
由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本手册仅作
为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。
奇安信集团
360 网神防火墙系统(NSG 系列)
免责声明
奇安信集团,是专注于为政府、军队、企业,教育、金融等机构和组织提供
企业级网络安全技术、产品和服务的网络安全公司,包括但不限于以下主体:
北京奇安信科技有限公司、网神信息技术(北京)股份有限公司、北京网康
科技有限公司,以及上述主体直接或者间接控制的法律实体。奇安信集团在
此特别声明,对如下事宜不承担任何法律责任:
1. 本产品经过详细的测试,但不能保证与所有的软硬件系统或产品完全兼
容,不能保证本产品完全没有错误。如果出现不兼容或错误的情况,用
户可拨打技术支持电话将情况报告奇安信集团,获得技术支持。
2. 在适用法律允许的最大范围内,对因使用或不能使用本产品所产生的损
害及风险,包括但不限于直接或间接的个人损害、商业盈利的丧失、贸
易中断、商业信息的丢失或任何其它经济损失,奇安信集团不承担任何
责任。
3. 对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢
失、计算机系统问题或其它任何不可抗力原因而产生的损失,奇安信集
团不承担任何责任,但将尽力减少因此而给用户造成的损失和影响。
4. 对于用户违反本协议规定,给奇安信集团造成损害的,奇安信集团将有
权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追
究等措施。
5. 对于从非奇安信集团指定站点下载的本产品以及从非奇安信集团发行的
介质上获得的本产品,奇安信集团无法保证该产品是否感染计算机病毒、
是否隐藏有伪装的特洛伊木马程序或者黑客软件,使用此类软件,将可
能导致不可预测的风险,建议用户不要轻易下载、安装、使用,奇安信
集团不承担任何由此产生的一切法律责任。
6. 无论在任何原因下(包括但不限于疏忽原因),对任何人通过使用本产
品上的信息或由本产品链接的信息,或其他与本产品链接的网站信息所
导致的损失或损害(包括直接、间接、特别或后果性的损失或损害,如
收入或利润之损失,电脑系统之损坏或数据丢失等后果),奇安信集团
不承担任何由此产生的一切法律责任。
以上声明最终解释权归奇安信集团所有。
奇安信集团
前 言
概述
适用产品
读者对象
产品版本
360 网神防火墙系统(NSG 系列)
本手册主要介绍 360 网神防火墙 Web 管理界面支持的各项功能及配置步骤。
本手册适用于 360 网神防火墙系统 NSG 系列产品。
本文档主要适用用于负责配置和维护防火墙的安全管理员。
本手册默认用户掌握 TCP/IP 协议、IP 地址及子网掩码等基本知识。
与本文档相对应的产品版本如下所示。
产品名称
产品版本
360 网神防火墙系统(NSG 系列) V4.0(-6.1.10.51756)
配套手册
《快速入门》为首次安装、使用提供指导。同时列举管理产品的基本操作方法。
奇安信集团
i
《配置指南》以案例的形式为用户提供配置指导,并列举常见问题解决方法。
360 网神防火墙系统(NSG 系列)
约定
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
符号
说明
以本标志开始的文本表示有潜在危险,如果不能避免,可
能导致人员伤害。
以本标志开始的文本表示有潜在风险,如果忽视这些文
本,可能导致设备损坏、数据丢失、设备性能降低或不可
预知的结果。
以本标志开始的文本是正文的附加信息,是对正文的强调
和补充。
以本标志开始的文本能帮助您解决某个问题或节省您的
时间。
修订记录
修订记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版
本的更新内容。
文档版本 02(发布日期 2019-05-06)
第二次正式发布。
文档版本 01(发布日期 2018-11-01)
第一次正式发布。
奇安信集团
ii
警告注意!说明窍门
360 网神防火墙系统(NSG 系列)
目 录
1 从这里开始 ............................................................................................................................. 1-1
1.1 场景和配置说明 ................................................................................................................................. 1-1
路由模式 ................................................................................................................................... 1-1
交换模式 ................................................................................................................................... 1-2
接口旁路模式 ........................................................................................................................... 1-3
1.2 防火墙管理方式 ................................................................................................................................. 1-4
通过防火墙接口管理防火墙 ..................................................................................................... 1-4
使用智慧管理分析系统管理防火墙 ......................................................................................... 1-4
第三方管理系统通过 RESTful API 管理防火墙 ....................................................................... 1-5
1.3 报文转发流程 ..................................................................................................................................... 1-5
1.4 访问防火墙 Web 界面......................................................................................................................... 1-6
首次访问 ................................................................................................................................... 1-6
非首次访问 ............................................................................................................................... 1-7
1.5 访问防火墙 CLI 界面 ......................................................................................................................... 1-9
1.6 部署向导 ........................................................................................................................................... 1-13
透明模式 ................................................................................................................................. 1-13
路由模式 ................................................................................................................................. 1-15
旁路镜像 ................................................................................................................................. 1-17
1.7 置顶菜单说明 ................................................................................................................................... 1-18
登录云镜 ................................................................................................................................. 1-18
保存当前配置 ......................................................................................................................... 1-18
查看告警详情 ......................................................................................................................... 1-18
查看应急响应信息 .................................................................................................................. 1-19
查看 License 异常信息 ............................................................................................................ 1-19
切换虚拟系统 ......................................................................................................................... 1-19
定制首页 ................................................................................................................................. 1-19
1.8 账号相关操作 ................................................................................................................................... 1-20
1.9 首页信息说明 ................................................................................................................................... 1-20
日志及告警统计信息 .............................................................................................................. 1-20
设备资源监控 ......................................................................................................................... 1-22
奇安信集团
iii
360 网神防火墙系统(NSG 系列)
会话监控 ................................................................................................................................. 1-23
接口实时流量 ......................................................................................................................... 1-24
威胁排行 ................................................................................................................................. 1-25
应用排行 ................................................................................................................................. 1-26
系统信息 ................................................................................................................................. 1-27
接口信息 ................................................................................................................................. 1-27
2 系统配置 ................................................................................................................................. 2-1
2.1 设备管理 ............................................................................................................................................. 2-1
本机设置 ................................................................................................................................... 2-1
管理主机 ................................................................................................................................... 2-4
管理账号 ................................................................................................................................... 2-6
管理角色 ................................................................................................................................... 2-9
管理证书 ................................................................................................................................. 2-12
锁定管理 ................................................................................................................................. 2-16
登录设置 ................................................................................................................................. 2-16
查看在线管理员 ...................................................................................................................... 2-18
2.2 配置文件 ........................................................................................................................................... 2-19
导出配置 ................................................................................................................................. 2-19
导入配置 ................................................................................................................................. 2-22
2.3 SNMP ................................................................................................................................................ 2-26
配置 SNMP ............................................................................................................................. 2-26
添加 SNMPv3 用户 ................................................................................................................. 2-28
2.4 升级管理 ........................................................................................................................................... 2-29
通过系统包或者升级包进行系统升级.................................................................................... 2-29
特征库升级 ............................................................................................................................. 2-31
2.5 告警管理 ........................................................................................................................................... 2-36
配置告警设置 ......................................................................................................................... 2-36
配置 Trap 告警 ........................................................................................................................ 2-37
配置邮件告警 ......................................................................................................................... 2-38
中断声音告警 ......................................................................................................................... 2-39
配置短信告警 ......................................................................................................................... 2-39
2.6 许可证 .............................................................................................................................................. 2-40
导入许可证 ............................................................................................................................. 2-40
查看许可证 ............................................................................................................................. 2-40
2.7 高可用性 ........................................................................................................................................... 2-44
简介 ......................................................................................................................................... 2-44
使用限制和注意事项 .............................................................................................................. 2-44
配置 HA .................................................................................................................................. 2-44
(可选)配置 HA 接口监控 ................................................................................................... 2-48
奇安信集团
iv
360 网神防火墙系统(NSG 系列)
配置链路探测 ......................................................................................................................... 2-49
2.8 集中管理 ........................................................................................................................................... 2-51
使用限制和注意事项 .............................................................................................................. 2-51
启用集中管理 ......................................................................................................................... 2-52
禁用集中管理 ......................................................................................................................... 2-52
配置实现集中管理需要的功能 ............................................................................................... 2-53
2.9 产品联动 ........................................................................................................................................... 2-56
天眼协同防护 ......................................................................................................................... 2-56
天擎协同防护 ......................................................................................................................... 2-57
天擎鉴定中心协同防护 .......................................................................................................... 2-58
2.10 云联防............................................................................................................................................. 2-59
云防 ....................................................................................................................................... 2-59
云情报平台 ........................................................................................................................... 2-60
2.11 云镜 ................................................................................................................................................ 2-61
2.12 证书管理 ......................................................................................................................................... 2-62
导入可信 CA 证书 ................................................................................................................ 2-62
证书列表 ............................................................................................................................... 2-63
请求文件 ............................................................................................................................... 2-66
SSL 解密证书 ......................................................................................................................... 2-67
2.13 CA 中心 ........................................................................................................................................... 2-70
本地 CA ................................................................................................................................ 2-70
一般证书 ............................................................................................................................... 2-72
证书审批 ............................................................................................................................... 2-73
2.14 抓包工具 ......................................................................................................................................... 2-74
添加抓包任务........................................................................................................................ 2-74
开启抓包任务........................................................................................................................ 2-75
删除抓包任务........................................................................................................................ 2-75
3 虚拟系统 ................................................................................................................................. 3-1
3.1 虚拟系统基本组成.............................................................................................................................. 3-1
3.2 使用限制和注意事项 .......................................................................................................................... 3-2
3.3 配置虚拟系统 ..................................................................................................................................... 3-3
创建虚拟系统 ........................................................................................................................... 3-3
创建虚拟系统管理员 ................................................................................................................ 3-4
3.4 登录虚拟系统 ..................................................................................................................................... 3-5
3.5 虚拟系统流量转发.............................................................................................................................. 3-5
3.6 虚拟系统互访 ..................................................................................................................................... 3-6
(可选)添加虚拟系统接口 ..................................................................................................... 3-6
配置静态路由 ........................................................................................................................... 3-6
配置策略 ................................................................................................................................... 3-7
奇安信集团
v
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
