RGWALL1600系列防火墙操作手册（5.2.12.0RG） .doc

密级：受控文档归属：TAC使用对象：客户支援部、售前、TACRG-WALL1600系列防火墙操作手册（WEB界面版）2009-6-10福建星网锐捷网络有限公司版权所有 侵权必究文档维护人：杨春亮Tel：010-51710207Email：yangchunliang 修订记录2007-11-13第一次发布2008-10-13增加产品列表2009-6-10增加5.x.x.x版本新增功能前言适用产品RG-WALL1600系列防火墙，RG-WALL1600系列防火墙包括以下产品：l RG-WALL60防火墙l RG-WALL120防火墙l RG-WALL160A防火墙l RG-WALL1600防火墙l RG-WALL1600A防火墙l RG-WALL160E防火墙l RG-WALL160M防火墙l RG-WALL160T防火墙l RG-WALL1600E防火墙l RG-WALL1600T防火墙l RG-WALL1600M防火墙l RG-WALL1600S防火墙l RG-WALL1800防火墙本手册是RG-WALL1600系列防火墙管理员手册中的一本，主要介绍如何通过WEB页面方式对RG-WALL1600系列防火墙进行配置管理。是对RG-WALL1600系列防火墙进行配置管理时的必备手册。本书简介l 第一章、导言：描述本书适用的读者对象，手册章节组织、WEB界面菜单结构及相关参考手册等。l 第二章、快速入门：描述了RG-WALL防火墙管理员首次登录方法和必读的基本知识。l 第三章、首页：介绍了RG-WALL防火墙首页的显示信息及基本操作。l 第四章、系统配置：介绍了RG Wall防火墙相关的系统配置，包括：系统时钟、升级许可、导入导出、报警邮箱、日志服务器、域名服务器等。l 第五章、管理配置：讲述与RG-WALL防火墙管理相关的配置，包括：管理方式、管理主机、管理员帐号、管理员证书、集中管理等。l 第六章、网络配置：介绍与网络环境相关的配置，包括：网络接口、接口IP、透明桥、策略路由、链路探测、ADSL拔号、DNS中继、静态ARP、静态桥转发表、动态路由（RIP/OSPF）、DHCP服务器、DHCP中继、DHCP客户端等。l 第七章、VPN配置：讲述VPN的相关配置，包括：IPSECVPN配置（基本配置，VPN客户端分组，VPN端点、VPN隧道、VPN设备、VPN隧道备份）、证书管理、SSLVPN、PTP/L2TP拨号VPN设置等。l 第八章、对象定义：讲述各种对象的定义方法，这些对象可供安全规则使用，包括：地址列表、地址组、服务器地址、NAT地址池、接口地址组、服务列表、服务组、代理、时间列表、时间组、带宽列表、URL列表等。l 第九章、安全策略：介绍与访问控制相关的配置，包括：安全规则、地址绑定、P2P/IM限制、抗攻击、IDS联动、蠕虫过滤、入侵防护、URL重定向、连接限制等。l 第十章、高可用性：介绍HA的相关配置，包括：HA基本配置、路由模式HA的VRRP实例、VRRP关联和虚IP属性，以及桥模式HA的桥配置和VLAN配置等。l 第十一章、用户认证：介绍与用户认证相关的设置，包括：服务器、用户列表、用户组。l 第十二章、安全助手：介绍内网探测功能，包括：活动主机探测、开放服务探测、服务版本探测、操作系统探测、高级参数配置等。l 第十三章、系统监控：介绍如何监控系统的运行状态，包括：网络监控、HA监控、日志信息、资源状态、网络接口、VPN隧道监控、桥转发表监控、PPTP/L2TP监控、DHCP用户信息、在线管理员、在线用户、链路探测信息、ARP表、IP诊断、IP冲突检测、路由监控、当前配置等。l 附录一：介绍了用户认证客户端软件的安装和使用。J 如果您在阅读中产生疑问，请与文档维护人联系。目录1导言101.1菜单结构说明101.2相关参考手册142登录防火墙WEB界面152.1管理员必读152.1.1管理员电子钥匙152.1.2管理员证书152.1.3管理员配置管理162.2管理员首次登录162.2.1登录WEB界面172.3管理员再次登录183首 页194系统配置214.1系统配置>>系统时钟214.2系统配置>>升级许可224.3系统配置>>导入导出234.4系统配置>>报警邮箱254.5系统配置>>日志服务器254.6系统配置>>域名服务器265管理配置285.1管理配置>>管理方式285.2理配置>>管理主机295.3管理配置>>管理员帐号295.4管理配置>>管理员证书315.5管理配置>>集中管理336网络配置356.1网络配置>>网络接口356.2网络配置>>接口IP376.3网络配置>>透明桥396.4网络配置>>策略路由416.4.1基于服务（协议，端口）的路由选择功能446.5网络配置>>链路探测456.6网口联动466.7网络配置>>ADSL拨号476.8网络配置>>DNS中继496.9网络配置>>静态ARP496.10网络配置>>静态桥转发表506.11网络配置>>动态路由516.12动态路由>>RIP设置536.13动态路由>>OSPF设置556.14动态路由>>DEBUG设置586.15网络配置>>DHCP配置586.15.1DHCP配置>>DHCP服务器586.15.2DHCP配置>>DHCP中继616.15.3DHCP配置>>DHCP客户端617VPN配置637.1基本配置647.2VPN客户端分组657.3VPN端点667.4VPN隧道707.5VPN设备737.5.1基于路由的双VPN隧道备份（ActiveActive）747.6证书管理767.6.1证书管理>>CA证书767.6.2证书管理>>对方证书777.6.3证书管理>>本地证书787.6.4证书管理>>证书吊销列表807.6.5证书管理>>导出所有证书817.6.6证书管理>>导入所有证书817.6.7LDAP的证书获取方式817.7SSLVPN827.7.1SSL VPN介绍827.7.2SSL VPN基本的配置837.7.3SSL VPN的高级配置847.7.4客户端访问847.8PPTP/L2TP857.8.1PPTP/L2TP>>基本配置857.8.2PPTP/L2TP >>拨号用户管理868对象定义878.1对象定义通用功能介绍878.1.1分页显示888.1.2查找898.1.3排序898.1.4添加898.1.5编辑（修改）908.1.6删除918.2名称和备注928.3地址928.3.1地址>>地址列表928.3.2地址>>地址组938.3.3地址>>服务器地址958.3.4地址>>NAT地址池978.3.5地址>>接口IP组988.3.6地址>>域名列表998.4服务1008.4.1服务>>服务列表1018.4.2服务>>服务组1078.5代理1088.5.1代理>>预定义代理1098.5.2代理>>自定义代理1138.6时间1138.6.1时间>>时间列表1148.6.2时间>>时间组1158.7带宽列表1168.8URL列表1178.9病毒过滤1199安全策略1229.1安全策略>>安全规则1229.1.1包过滤规则1299.1.2NAT规则1329.1.3IP映射规则1349.1.4端口映射规则1379.1.5代理规则1409.1.6病毒过滤规则1429.2安全策略>>地址绑定1439.3安全策略>>P2P限制1479.4安全策略>>抗攻击1499.5安全策略>>IDS联动1549.6安全策略>>蠕虫过滤1569.7安全策略>>URL重定向1569.8安全策略>>URL日志1579.9安全策略>>连接限制1579.9.1保护主机1579.9.2保护服务1599.9.3限制主机1619.9.4限制服务16210高可用性16410.1高可用性>>HA基本配置16410.2高可用性>>路由模式HA16510.3高可用性>>路由模式HA>>VRRP实例16510.4高可用性>>路由模式HA>>VRRP关联16610.5高可用性>>路由模式HA>>虚IP属性16810.6高可用性>>桥模式HA>>桥配置16910.7高可用性>>桥模式HA>>VLAN配置16911用户认证17111.1用户认证>>服务器17211.2用户认证>>用户列表17311.3用户认证>>用户组17512安全助手17812.1活动主机探测17812.2开放服务探测18012.3服务版本探测18212.4操作系统探测18312.5高级参数设置18413系统监控18613.1网络监控18713.1.1网络监控>>实时监控18713.1.2网络监控>>内网监控19013.1.3网络监控>>DMZ区监控19113.1.4网络监控>>外网监控19113.1.5网络监控>>内外网监控19213.2HA监控19313.2.1HA监控>>各防火墙信息19313.2.2HA监控>>vrrp关联信息19313.2.3HA监控>>HA虚拟IP信息19413.2.4HA监控>> vlan信息19413.2.5透明桥监控19513.3日志信息19513.4资源状态19713.5网络接口20013.6VPN隧道监控20113.7桥转发表监控20213.8PPTP/L2TP监控20213.9DHCP用户信息20313.10在线用户20313.11在线管理员20413.12链路探测信息20413.13ARP表20513.14IP诊断20513.15IP冲突监控20613.16路由监控20713.17当前配置20814附录一 用户认证客户端软件安装使用指南20914.1概述20914.2客户端软件的安装20914.3基本使用方法20914.3.1客户端主界面20914.3.2配置系统21014.3.3认证21114.3.4修改密码21214.4电子钥匙的使用方法21314.4.1电子钥匙驱动程序的安装21314.4.2配置电子钥匙21314.4.3修改电子钥匙PIN口令21414.4.4认证21514.4.5修改口令21615附录二 RG-WALL防火墙高可用性使用手册21715.1VRRP概述21715.1.1VRRP意义21715.1.2VRRP简介21815.1.31.3 VRRP工作原理21815.2RG-WALL防火墙路由HA21915.2.1Active-Active负载均衡21915.2.2WebUI配置22015.2.3CLI配置22615.3Active-Standby冗余备份22815.3.1WebUI配置22915.3.2CLI配置23515.4RG-WALL防火墙桥模式HA23715.4.1PVST+简介23715.4.2RG-WALL防火墙多Vlan交换环境冗余备份238拓扑结构238防火墙配置239WebUI配置23915.5同步配置方法24115.5.1IP设置24115.5.2资源定义24115.5.3规则定义24315.5.4启用功能2441 导言1.1 菜单结构说明界面框架如下图所示：菜单采用树型结构，如下图所示：一级菜单说 明首页显示防火墙设备信息、网口接口状态、资源状态、在线管理员、最近事件等，还包括初始向导、保存配置、导出配置、帮助、退出等快捷链接系统配置防火墙的系统配置，包括：1）系统时钟2）升级许可3）导入导出4）报警邮箱5）日志服务器6）域名服务器管理配置防火墙的管理配置，包括：1）管理方式2）管理主机3）管理员帐号 4）管理员证书5）集中管理其中，只有超级管理员admin才能修改管理员的帐号。网络配置防火墙作为一台网络设备，对网络相关属性的配置：1）网络接口 2）接口IP 3）透明桥 4）策略路由 5）链路探测 6）网口联动 7）ADSL拔号 8）DNS中继9）静态ARP10）静态桥转发表 11）动态路由：RIP设置、OSPF设置、DEBUG信息 12）DHCP配置：DHCP服务器，DHCP中继，DHCP客户端VPN配置1） 基本配置2） VPN客户端分组3） VPN端点4） VPN隧道5） VPN设备6） 证书管理：CA证书，对方证书，本地证书，证书吊销列表7） SSLVPN：基本配置，用户管理8） PPTP/L2TP：基本配置，拨号用户管理对象定义为简化防火墙安全规则的维护工作，引入了对象定义，可以定义如下对象：1）地址：地址列表、地址组、服务器地址、NAT地址池2）服务：服务列表、服务组 3）代理：预定义的HTTP、FTP、TELNET、SMTP、POP3代理、自定义代理4）时间：时间列表、时间组，可以设置一次性调度和周循环调度5）带宽列表：设置一些带宽属性6）URL列表：黑白URL名单对象只有被安全规则引用才能起作用，否则，不起作用，策略管理员具有定义对象的权限安全策略防火墙的核心配置，包括：1）安全规则：包过滤规则、NAT规则、端口映射规则、IP映射规则、代理规则、病毒过滤规则2）地址绑定：IP/MAC地址的绑定3）P2P/IM限制：可以针对目前流行的P2P协议apple、ares、bt、dc、edonkey、gnu、kazaa、soul、winmx进行禁止使用、允许使用不做任何限制、允许使用且进行流量控制；也可以针对IM类的QQ、MSN和skype进行禁止或允许设置4）抗攻击：管理员可以针对不同的物理接口启用抗Syn Flood攻击、ICMP Flood攻击、Ping of Death攻击、UDP Flood攻击、PING SWEEP攻击、TCP端口扫描、UDP端口扫描、WinNuke等攻击5）IDS联动：设置与IDS产品之间的联动6）蠕虫过滤：设置多种网络蠕虫过滤功能7）URL重定向：设置URL重定向功能8）URL日志：记录用户访问过的URL地址9）连接限制： 包括保护主机、保护服务、限制主机、限制服务四类连接限制设置策略管理员具有制定安全策略的权限 高可用性高可用性（High Availability，简称HA）配置，包括： 1）HA基本配置2）路由模式HA：VRRP实例，VRRP关联，虚IP属性3）桥模式HA：桥配置，VLAN配置用户认证用户认证包括：1）用户认证服务器2）用户列表3）用户组安全助手安全助手包括：1）活动主机探测：探测指定网段或地址的活动主机2）开放服务探测：探测活动主机开放的服务3）服务版本探测：探测开放服务的版本4）操作系统探测：探测活动主机的系统版本5）高级参数配置：设置探测高级参数系统监控 监控防火墙所在网络以及防火墙本身的状态，包括：网络监控：包括实时监控、内网监控、DMZ监控、外网监控、内外网监控，监控网络中的流量和连接HA监控：包括各防火墙信息，VRRP关联信息，HA虚拟IP信息，VLAN信息和透明桥监控信息3）日志信息4）资源状态：CPU利用率、内存利用率、连接状况、TCP连接状况、导出调试信息5）网络接口6）IPsecVPN隧道监控7）SSLVPN隧道监控8）桥转发表监控9）PPTP/L2TP监控10）DHCP用户信息11）在线管理员：显示所有在线管理的信息12）在线用户：当前通过用户认证功能的在线用户的信息13）链路探测信息：链路探测的结果信息14）ARP表：系统内部ARP表的状态15）IP诊断：从防火墙ping（增强）、Traceroute其它主机的工具16）IP冲突检测：检测和网关的IP地址冲突的设备17）路由监控：实时显示网关内的路由表信息18）当前配置：列出当前网关正在运行的配置信息日志审计员具有监控防火墙所在网络以及防火墙本身的权限 1.2 相关参考手册RG-WALL1600系列防火墙安装指南，介绍了防火墙的快速安装配置，初始向导的使用等。RG-Wall1600系列防火墙操作指南（命令行版），介绍了如何通过命令行操作管理RG- WALL1600系列防火墙。2 登录防火墙WEB界面2.1 管理员必读2.1.1 管理员电子钥匙管理员电子钥匙是默认的管理员身份认证方式，用于认证管理主机，确保与防火墙相连接的管理主机是合法的。电子钥匙内保存了防火墙ID、防火墙IP和端口，通过客户端软件读出，发给防火墙进行认证。认证通过后，防火墙（服务器端）为管理主机（客户端）IP打开访问https公有证书的端口。每5秒钟防火墙进行一次通信监控。当防火墙检测到客户端退出(或者超时)，关闭管理主机访问https公有证书的端口的权限，并提供日志记录功能。利用客户端软件可以修改电子钥匙中的防火墙ID、防火墙IP地址和端口、电子钥匙访问口令PIN。随机光盘中提供一个电子钥匙的生产或修复程序：可以设置防火墙ID，设置防火墙IP地址和端口，修改电子钥匙访问口令PIN。2.1.2 管理员证书管理员也可以用证书方式进行身份认证。防火墙上的证书包括CA证书、防火墙证书、防火墙私钥和管理员证书。这四项必须导入到防火墙中。另外，需要一个客户端管理员证书，导入管理主机IE浏览器。证书文件有两种编码格式：PEM和DER，后缀名可以有pem，der，cer，crt等多种。CA证书、防火墙证书和防火墙私钥只支持PEM编码格式。管理员证书支持PEM和DER两种。客户端管理员证书支持p12文件格式。RG-WALL防火墙系统出厂默认提供一套证书文件，防火墙侧的四项已经预先导入在防火墙侧，客户端侧的管理员证书存储在随机光盘中，鼠标双击该*.p12证书文件即可安装导入您的IE浏览器中，默认私钥密码为：123456，按照向导提示，依次点击下一步，看到导入成功即可。2.1.3 管理员配置管理在管理主机上，通过电子钥匙认证或管理员证书认证成功后，再使用管理员帐号认证成功后才能访问防火墙可管理IP，完成对防火墙的配置管理。请参考本手册中“管理配置”一章。防火墙管理IP地址：管理员要在防火墙上定义防火墙可以被管理的IP地址，并指定管理主机可以进行的操作（如：允许PING、允许TRACEROUTE等）。未指定为管理IP的主机不能管理。管理主机地址限制：只有管理主机才能对防火墙进行管理。防火墙系统指定管理主机的IP，最多可以指定256个管理主机，不包括集中管理主机。管理员身份认证方式：电子钥匙认证和证书认证。管理员授权：管理员有不同的身份，分为超级管理员、配置管理员、审计管理员、策略管理员。其中，超级管理员可以增加、删除管理员帐号；配置管理员可以设置系统配置、管理配置、网络配置；策略管理员可以配置对象定义、安全策略。审计管理员可以查看防火墙日志信息。管理员访问信道加密：为防止管理员与防火墙之间的管理信息被非法者截取而利用，对防火墙的远程管理的通信应该实现加密。同时，防火墙可以防止对远程管理的重放攻击。CLI界面命令行方式下支持SSH加密，WEB界面下支持SSL加密（使用https协议访问防火墙）。通过防火墙本地串口使用超级终端登录时通信不加密。2.2 管理员首次登录正确管理防火墙前，需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理IP、防火墙管理方式。l 默认管理员帐号为admin，密码为firewalll 默认管理口：防火墙第一个网口FE1口，（没有FE1口的，为GE1或S1G1口，以下用FE1代替）l 可管理IP：FE1口上的默认IP地址为192.168.10.100/255.255.255.0l 管理主机：默认为192.168.10.200/255.255.255.0l 默认管理方式：（1）管理主机与FE1口连接（2）用电子钥匙进行身份认证（3）访问https:/防火墙可管理IP地址:6666（注：若用usb电子钥匙证书进行认证，则访问https:/防火墙可管理IP地址:6667）。登录帐号为默认管理员帐号与密码，访问WEB界面。此方式下的配置通信是加密的。2.2.1 登录WEB界面将默认管理主机的网口用交叉连接的以太网线（两端线序不同）与防火墙的FE1口连接，管理主机的IE版本必须是5.5及以上版本，如果是证书认证，在浏览器中输入https:/192.168.10.100:6666，如果是电子钥匙认证，则输入https:/192.168.10.100:6667，登录后弹出下面的登录界面：正确输入默认管理员帐号与密码，进入下面的防火墙配置管理界面：在第一次登录成功后，管理员可以按需求变更管理员帐号、管理主机、防火墙可管理IP、管理方式或导入管理员证书。下次登录时，按变更内容进行认证与登录。当管理员完成管理任务或者离开管理界面时，应主动退出WEB管理界面。正确的操作方法是点击快捷菜单最右端的“退出”快捷图标，这将通知防火墙本管理员退出操作，然后关闭本窗口。如果点击IE标题栏上的，则只是关闭了窗口，并没有通知防火墙该管理员已退出管理。防火墙WEB界面有超时机制，默认超时时间为600秒，如果防火墙持续（>600秒）未接收到WEB界面操作请求，则超时退出。当第一次使用或者License将会到期时，会出现License即将到期的提醒信息。2.3 管理员再次登录当管理主机与防火墙的某个网口连接，并为其配置可管理IP，则管理员需要电子钥匙进行身份认证或者管理员证书方式认证。l 管理员将与防火墙匹配的电子钥匙插入管理主机上，正确输入电子钥匙PIN码（初始12345678）后，打开防火墙管理员身份认证程序。绿图标表示认证通过，红图标表示认证失败或未登录。认证成功后可以访问https：/防火墙可管理IP：6667，在登录界面中输入管理员帐号与密码，进行防火墙配置管理界面。l 使用管理员证书方式时，需要在防火墙上导入管理员证书，在管理主机上导入管理员证书，访问https：/防火墙可管理IP：6666，认证成功后，进入防火墙配置管理界面。3 首 页首页集中扼要地显示了各种监控信息，点击将跳转到相应的界面，查看更详细的信息。在任何界面中，点击后，返回首页。首页监控的信息主要包括：1. 防火墙设备自身信息2. 网络接口3. 资源状态4. 在线管理员5. 最近事件首页内容如下图所示： 首页信息说明：域 名说 明设备信息区域显示防火墙的序列号、硬件版本号、软件版本号和防火墙名称。网络接口区域显示防火墙的各个网络接口连接状态以及发送、接收的字节数，首页最多显示4个接口，具有更多网络接口的状态信息需要点击“更多”查看其他网口状态资源状态区域显示了CPU和内存的利用率以及防火墙的连接数。RG-WALL多核系列产品首页资源状态显示为“多核CPU利用率”在线管理员区域显示了所有的在线管理员的名称、登录方式、登录地点和登录时间。最近事件区域显示了最近时间段的日志信息。仅适用于防火墙第一次使用时的配置，不可做为常规配置。初始向导的具体操作过程和注意事项请查阅星网锐捷RG Wall防火墙快速指南。保存防火墙的当前配置。导出防火墙保存过的配置。注意：导出配置之前，必须先保存配置。 查看防火墙的FAQ。退出WEB界面。注意：当管理员完成管理任务或者离开管理界面时，应主动退出WEB管理界面。L 首页面会按照所设置的刷新时间定时自动进行刷新，如果管理员停留在首页面，并且所设置的刷新时间小于系统超时时间（默认为600秒），则该WEB界面永远不会超时退出。对于管理员来说，如果长时间离开WEB管理界面，为了杜绝管理上的安全漏洞，请务必不能停留在该界面上，必须执行退出操作。4 系统配置4.1 系统配置>>系统时钟防火墙系统时间的准确性是非常重要的。因为防火墙的时间调度功能是以防火墙的系统时间为依据标准，时间调度是判断当前时间是否匹配规则中的时间段，从而决定是否可以访问某些功能，其中的当前时间正是此处设置的系统时钟。RG Wall防火墙的系统时间可以设置为与管理主机的时间同步，也可以设置为与时钟服务器的时间同步。防火墙的时间更新后，不需要系统保存或重启，会使用新调整的时间。系统时钟菜单说明：域 名说 明 与管理主机时间同步调整管理主机时钟，点击“时间同步”按钮，防火墙立即与管理主机时间同步。启用与时钟服务器的时间同步功能 启动后，防火墙的系统时钟与网络时钟服务器同步（支持NTP协议）同步方式有两种：（1）立即同步（2）周期性自动同步输入防火墙可以访问的时钟同步服务器的IP地址。 与时钟服务器时间立即同步：选中“启用时钟服务器”，输入“时钟同步服务器IP”，点击“立即同步”按钮，防火墙立即与时钟服务器时间同步。 注意：点击“立即同步”按钮后，界面将在60秒内刷新。与时钟服务器时间周期性自动同步：选中“启用时钟服务器”，输入“时钟同步服务器IP”，设定同步周期间隔时间，点击“确定”按钮，防火墙在指定时间与时钟服务器时间同步。L 调整防火墙时间以后，有可能造成界面超时退出，因为判断是否超时用到了防火墙的当前时间。超时退出以后重新登录即可。4.2 系统配置>>升级许可防火墙系统升级功能可以快速响应新的安全需求，保证防火墙的功能与安全的快速升级。防火墙的软件升级可以通过管理界面的模块升级方便进行，用户只需选择本地的防火墙升级包，点击升级后，重启防火墙即可完成升级功能。升级菜单说明：域 名说 明点击“浏览”按钮，选择管理主机上的升级包，点击“升级”按钮，点击“重启防火墙”按钮，重启防火墙，完成模块升级功能。 将升级历史导出到管理主机上做备份。管理员可以查看系统当前软件版本。点击“检查最新升级包”，系统会弹出新的IE窗口并连接安全服务网站，但要求防火墙可以连接Internet。点击“重启防火墙”按钮，防火墙将重新启动。注意：重启防火墙前，记住要保存当前配置。许可证页面：许可证使用说明：域 名说 明点击“浏览”按钮，选择管理主机上的许可证文件，点“导入许可证”按钮， 点击”导出许可证“按钮，选择保存许可证文件的路径，导出许可证文件应用许可证可用的内容功能对应应用中限制的具体功能许可许可数量和内容，注意：当前支持最大连接数、VPN隧道数、动态路由，3种许可证类型授权时间许可证允许使用的起始时间终止时间许可证允许使用的终止时间4.3 系统配置>>导入导出防火墙的导入导出功能便于管理员对配置信息进行备份，在需要的时候重新导入防火墙即可实时生效。通过点击导出配置按钮，将当前的配置信息导出到管理主机上做备份。也可以通过导入配置按钮将防火墙配置信息从管理主机上导入到防火墙上，重启防火墙后导入的配置信息立即生效。导出方式分两种：全部和部分默认为全部导出，界面如下图所示：用户也可以根据自己的需要选择部分导出，可选项分别为“时间资源”，“地址资源”，“服务资源”，“安全策略”，通过选中对应的复选框来选择所要导出的配置：导入导出菜单说明：域 名说 明点击“导出配置”按钮，防火墙当前的配置信息以文件的形式保存在防火墙系统外部。配置文件的路径和名字由管理员指定。注意：选中，可以生成加密格式的配置文件。 选择正确的配置文件，点“导入配置”，系统提示“防火墙系统重启，是否继续？”，选择“是”则系统重启，导入的配置信息生效；选择“否”，则“导入配置”操作失效。 点击“恢复出厂配置”按钮，防火墙当前配置信息被系统删除，所有配置立即恢复到防火墙出厂时的配置。 保存配置快捷键导出配置快捷键 L 导入配置后如果未重启防火墙，防火墙的所有功能和导入前一样正常工作，只有重启防火墙以后导入的配置才能生效。4.4 系统配置>>报警邮箱设置防火墙的报警邮箱。在多次登录防火墙失败时、检测到对防火墙的恶意攻击时以及在HA功能切换时都向报警邮箱发送报警邮件。此功能有助于管理员对此类重要事件采取措施，及时响应。报警邮箱菜单说明：域 名说 明报警邮箱e-mail地址。以下情况将发送报警邮件：（1）管理员登录，两分钟内连续失败五次（2）网络监控报告（3）其它安全事件测试邮箱配置完成后，可点击按钮检查是否连通确定确定按钮指将配置生效清空清空按钮是清除上面输入的配置点击“修改DNS配置”按钮，转到“系统配置>>域名服务器”界面。如果不能正常发邮件，请检查DNS配置是否正确。4.5 系统配置>>日志服务器防火墙各功能模块提供标准格式的日志记录。启用日志记录的模块在有匹配此功能的数据包通过后，将记录日志，默认情况下日志存储在防火墙本地。此外也可以将日志信息直接发往日志服务器。本菜单提供配置日志服务器的功能，将日志服务器与防火墙的网口相连，防火墙配置此服务器的IP地址和接收端口号（默认是UDP协议的514端口），即可将防火墙的所有模块日志发往此日志服务器，随机提供的日志服务器软件可以实现强大的存储和审计功能，方便管理员对日志进行查询和管理。日志服务器菜单说明：域 名说 明日志服务器IP日志服务器的IP地址协议防火墙与日志服务器通信的协议端口防火墙与日志服务器通信的端口查看日志点击“查看日志”按钮，转到“系统监控>>日志信息”界面L 防火墙默认使用syslog方式向第三方发送日志，使用UDP协议的514端口。4.6 系统配置>>域名服务器如果管理员设置了报警邮箱，则需要配置防火墙的域名服务器，用于防火墙自身向外发数据包时进行域名解析。域名服务器菜单说明：域 名说 明防火墙名称防火墙主机名域名服务器1配置域名服务器的IP地址，具有较高的优先级域名服务器2配置域名服务器的IP地址，当第一个DNS服务器查不到时，会检查该DNS服务器。5 管理配置5.1 管理配置>>管理方式防火墙默认提供WEB管理方式和CLI命令行管理方式，以及支持拨号（PPP）拨入方式管理防火墙。分别通过网口、串口和拨号(PPP)连接防火墙。上述三种管理方式是默认开启状态，管理员不能删除其中任一管理方式。另外，防火墙还提供了两种可选的管理方式：远程SSH管理和远程TELNET管理。方便用户在合适的情况下进行选择。这两种管理方式管理员有权设置为允许或禁止。管理方式菜单说明：域 名说 明超级终端管理（连接CONSOLE）默认启用“超级终端”管理。 管理主机COM串口与防火墙CONSOLE口连接，通过管理主机超级终端登录防火墙。使用默认管理员帐号和密码。支持拨号（PPP）接入（连接AUX口）默认启用“拨号(PPP)接入”，将管理主机COM串口与modem1连接，防火墙的AUX口与modem2连接，modem1与modem2间是通过电话线连通。从管理主机向防火墙拨号，拨号成功后，防火墙与管理主机建立了PPP连接。WEB（https）管理默认启用“WEB（https）管理”管理主机可以通过网口上的管理IP登录防火墙WEB界面，需要电子钥匙或管理员证书认证。远程SSH管理启用“远程SSH管理”，管理主机通过网络可连接到防火墙网口（有可管理IP）时，以SSH方式（如：利用putty软件等）登录防火墙命令行界面。远程TELNET管理启用“远程TELNET管理”，管理主机可远程通过TELNET方式登陆到安全网WEB界面。注意：该功能启用后必须要添加目的地址为防火墙源地址为管理主机地址的包过滤规则5.2 理配置>>管理主机管理员要想管理防火墙，必须增加管理主机，即通过此菜单添加管理主机的IP，然后通过网口连接防火墙即可进行管理。防火墙最多支持256个管理主机对其进行管理。为了调试方便，增加了管理主机不受限制选项，选择该项目将允许从任何主机上管理防火墙，由于这样配置降低的网关的安全性，故强烈建议关闭该项目。管理主机菜单说明：域 名说 明管理主机IP管理员只有在管理主机上才能对防火墙进行管理。最多支持256个管理主机IP和1个集中管理主机。操作添加、编辑、删除管理主机IP。在“管理主机”界面点击，弹出以下界面 域 名说 明主机IP管理主机的IP地址备注管理主机的说明信息，不能超过255个字符。选取该项目，可以允许从任何主机管理防火墙5.3 管理配置>>管理员帐号 防火墙支持多种管理员权限的帐号对其进行管理，分别为超级管理员、策略管理员和日志审计管理员。不同权限的用户只能在自己的权限范围内管理防火墙。通过此菜单可以灵活添加多个不同级别的帐号。同时可以设置登录相关的安全限制。管理员帐号菜单说明：域 名说 明允许或禁止多个管理员同时管理选择“允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录。未选中“允许多个管理员同时管理”，如果此管理员访问非正常退出，在超时时间未到的情况下（超时时间默认为10分钟），该管理员如果使用另外的IP或