安全网关产品说明书模板.doc

安全网关产品说明书 14 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 安全网关产品说明书 介 绍 欢迎并感谢您选购联通网络信息安全产品, 用以构筑您的实时网络防护系统。ZXSEC US统一威胁管理系统( 安全网关) 增强了网络的安全性, 避免了网络资源的误用和滥用, 帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSEC US统一安全网关是致力于网络安全, 易于管理的安全设备。其功能齐备, 包括: l 应用层服务, 例如病毒防护、 入侵防护、 垃圾邮件过滤、 网页内容过滤以及IM/P2P过滤服务。 l 网络层服务, 例如防火墙、 入侵防护、 IPSec与SSL VPN, 以及流量控制。 l 管理服务, 例如用户认证、 发送日志与报告到USLA、 设备管理设置、 安全的web与CLI管理访问, 以及SNMP。 ZXSEC US统一安全网关采用ZXSEC US动态威胁防护系统( DTPSTM) 具有芯片设计、 网络通信、 安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析, 并及时启动部署在网络边界的防护关键应用程序, 随时对您的网络进行最有效的安全保护。 ZXSEC US设备介绍 所有的ZXSEC US统一安全网关能够对从soho到企业级别的用户提供基于网络的 反病毒, 网页内容过滤, 防火墙, VPN以及入侵防护等防护功能。 ZXSEC US550 ZXSEC US550设备的性能, 可用性以及可靠性迎合了企业级别的需求。ZXSEC US550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢 弃会话, 该设备是关键任务系统的理想选择。 ZXSEC US350 ZXSEC US350设备易于部署与管理, 为soho以及子机构之间的应用提供了高附加值 与可靠的性能。ZXSEC US 安装指南经过简单的步骤指导用户在几分钟之内运行设备。 ZXSEC US180 ZXSEC US180为soho以及中小型企业设计。ZXSEC US180支持的高级的性能例如802.1Q, 虚拟域以及RIP与OSPF路由协议。 ZXSEC US120 ZXSEC US120设计应用于远程办公以及零售店管理.具备模拟modem接口, 能够作为与互联网连接的备份或单独与互联网连接。 ZXSEC US70 ZXSEC US70设计应用于远程工作用户以及拥有10个或更小员工的小型远程办公用 户。ZXSEC US70 具有一个外部调制解调器端口, 能够作为与互联网连接的备份或单独与互联网连接。 ZXSEC US产品家族 ZXSEC US的产品家族涵盖了完备的网络安全解决方案包括邮件、 日志、 报告、 网络管理, 安全性管理以及ZXSEC US统一安全网关的既有软件也有硬件设备的产品。 ZXSEC US产品的主要功能 基于 web 的管理器 ZXSEC US设备用户界面友好, 基于web的图形界面管理工具管理接口。在运行Internet浏览器的计算机设备上使用HTTP或一个安全的HTTPS连接, 您便能够配置并管理ZXSEC US设备。基于web的管理器支持多种语言。您能够配置ZXSEC US 设备使其接受来自任何ZXSEC US设备接口的HTTP与HTTPS管理访问。 使用基于web的管理器能够配置ZXSEC US设备的大部分设置以及监控设备的状态。使用基于web管理器进行的配置更改无需重新设置防火墙或中断服务便能够生效。完成所需的配置后, 能够下载并保存该设置。您能够在任何时候恢复已经保存的配置。 虚拟域 配置虚拟域使其能够充当多个虚拟设备对多重网络提供防火墙与路由服务。 系统状态 经过该页面, 您能够查看当前ZXSEC US设备的状态信息, 包括设备序列号、 设备正常运行时间、 系统资源使 用情况、 US ServiceTM许可证信息、 警告信息与会话信息。 网络配置 设置系统网络是指怎样将ZXSEC US设备配置到网络中作为防火墙设备生效。基本的 网络设置包括设置ZXSEC US设备与DNS。高级配置包括在ZXSEC US设备网络配置中添加VLAN子接口与区域。 无线配置 配置ZXSEC US无线设备的无线LAN接口的内容。包括ZXSEC US无线LAN接口、 信道分配、 系统无线设置、 无线MAC过滤、 无线监控。 配置使用 DHCP 为用户提供便捷的自动网络配置服务。包括 ZXSEC US DHCP服务器与中继代理、 配置DHCP服务、 查看地址租用信息。 系统配置 ZXSEC US设备几项非网络性功能配置, 包括HA( 高可用性) 、 SNMP、 替换信息、 超时设置以及基于web管理器的语言显示属性。 HA、 SNMP以及替换信息是ZXSEC US设备全局配置的一部分。更改操作模式应用到每个VDOM。 系统管理员设置 管理员能够访问ZXSEC US设备并配置其操作。在设备初始安装完成后, 默认的配置只有一个用户名为admin的管理员帐户。经过连接到基于web的管理器或CLI, 您也能够控制每个管理员帐户的访问权限以及管理员连接到ZXSEC US设备使用的IP地址。每个管理员都有一定的访问权限级别。访问权限设置将访问ZXSEC US设备划分为不同的访问控制类型, 这些类型决定了对ZXSEC US设备的读或写的权限。 普通管理员账户根据其访问权限内容访问配置选项。如果启动了虚拟域, 分配到一 个VDOM的普通管理员帐户不能访问全局配置选项以及其它任何VDOM的配置。 Admin账户没有访问权限内容设置因此其权限是不受限制的。您不能够删除admin管理员帐户, 可是您能够重命名该账户, 对其设置信任主机以及更改其密码。默认 情况下, admin账户没有密码设置。 系统维护 包括备份与恢复系统配置以及从US Service Distributionetwork获得自动更新的内容。 静态路由 设置ZXSEC US设备的路由是指设置提供给ZXSEC US设备将数据包转发到一个特殊目的地的所需的信息。设置静态路由是将数据包转发到除了出厂默认的网关以外的目的地。 您能够从出厂配置的默认的静态路由中配置默认网关。您必须编辑出厂默认的路由, 将ZXSEC US设备的路由指定为不同的默认网关; 或删除出厂配置的路由并指定默认的静态路由到达默认的网关。您也能够定义路由策略选项。路由策略中包含了检测流入数据属性的规则。使用路由策略, 您能够配置ZXSEC US设备根据数据包包头的IP源和/或目标地址以及其它规则, 例如哪个接口接收数据包以及设置哪个端口用来传输数据包这样的规则来路由数据包。 动态路由 动态路由协议使得ZXSEC US设备自动与邻近的路由器共享信息, 以及获得邻近 路由器广播的路由与网络状态信息。ZXSEC US设备支持以下的动态路由协议: 路由信息协议( RIP) 、 开放最短路径优先( OSPF) 、 边缘网关协议( BGP) 。 路由监控 截取路由监控表, 该列表是用于显示ZXSEC US设备中路由表条目的。包括显示路由信息、 搜索ZXSEC US路由表。 防火墙策略 防火墙策略控制所有经过ZXSEC US设备的通讯流量。添加防火墙策略控制ZXSEC US接口、 区域以及VLAN子接口之间的连接与流量。 防火墙地址 能够根据需要添加、 编辑以及删除防火墙地址。防火墙地址将被添加到防火墙策略的源以及目标地址字段。添加到防火墙策略中的地址是用来与ZXSEC US设备接收到数据包的源以及目标地址相匹配的。 防火墙服务 设置服务识别防火墙接收或拒绝的通信会话类型。您能够在策略中添加任何预先定义的服务。您也能够创立用户服务或在服务组中添加服务。 防火墙时间表 设置时间表控制激活与中止策略的时间。您能够设置固定时间表或循环时间表。 使用固定时间表创立一项策略在指定的时间段内生效。循环时间表每周进行一个循环。您能够使用循环时间表设置一项策略只在指定的一天中循环几次或一星期中某 些天之内生效。 防火墙虚拟 IP 地址配置 配置ZXSEC US虚拟IP地址、 IP地址池以及配置在防火墙策略中使用。 保护内容表 使用保户内容表对防火墙策略控制的流量应用不同的保护设置。 VPN IPSEC ZXSEC US设备在通道模式下执行IP安全载荷封载( ESP) 协 议。加密数据包跟普通数据包一样能够路由到任何IP地址网络。互联网密钥交换( IKE) 是根据预先定制的密钥或X.509电子证书自动执行的。您也能够在功能项中手动设置密钥。只有NAT/路由模式能够支持接口模式。NAT/路由模式下, 能够创立对VPN通道建立本地终端。 配置 PPTP ZXSEC US设备支持点对点通道协议进行两个对等体之间的PPP通讯流量。Windows或Linux PPTP用户能够与配置作为PPTP服务器的ZXSEC US设备建立一个PPTP通道。您也能够配置ZXSEC US设置将PPTP数据包转送到置于ZXSEC US设备之后的网络中的PPTP服务器。PPTP配置只适用于NAT/路由模式。 VPN SSL 设置 经过基于web的管理器配置VPN菜单项下SSL功能。只有运行于NAT/路由模式下的ZXSEC US设备支持SSL VPN功能。 VPN 证书 经过基于web管理器操作并管理X.509安全证书的内容。包括有关生成证书请求、 安装已签的证书、 以及导入CA根证书与证书撤消列表、 备份与恢复已安装的证书以及私有密钥的信息。 设置用户 建立用户帐户、 用户组以及外部验证服务器内容。经过定义认证用户( 或称为用户组) 能够控制对网络资源的访问。 反病毒保护 创立防火墙保护文件时, 进入反病毒保护菜单访问反病毒配置选项。系统范围内配置了反病毒设置的同时, 能够在每项保护内容表中执行具体的设置操作。 IPS( 入侵防护保护) ZXSEC US入侵防护系统( IPS) 将特征与异常入侵防护结合, 降低了威胁的潜伏期, 增强了设备的可靠性。创立防火墙保护内容列表同时能够配置IPS选项。 Web 过滤 配置web过滤选项, Web过滤功能必须在活动的内容保护文件中启动才能生效。 反垃圾邮件 配置内容保护列表项中垃圾邮件过滤功能。包括垃圾邮件过滤、 禁忌词汇、 黑/白名单、 高级垃圾邮件过滤选项配置、 使用Perl正则表示式。 IM/P2P IM/P2P是有关即时通讯的用户管理工具以及网络中使用IM以及P2P功能的状态说明。IM以及P2P必须在活动的内容保护列表中启动才能够生效。 日志与报告 包括日志记录功能、 查看日志文件以及经过web管理器查看报告的内容。ZXSEC US设备提供了较为宽泛的日志记录功能, 能够记录如网络流量, 系统以及网络内容保护表的日志。经过详细的日志信息与报告能够对历史状态以及 当前状态的网络活动进行分析, 有助于识别涉及网络安全性的问题, 减少网络的误 用与滥用。