安全网关产品说明书介绍欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括:应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问,以及SNMP。ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。ZXSECUS设备介绍所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。ZXSECUS550ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。ZXSECUS350ZXSECUS350设备易于部署与管理,为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如802.1Q,虚拟域以及RIP与OSPF路由协议。ZXSECUS120ZXSECUS120设计应用于远程办公以及零售店管理.具备模拟modem接口,能够作为与互联网连接的备份或单独与互联网连接。ZXSECUS70ZXSECUS70设计应用于远程工作用户以及拥有10个或更小员工的小型远程办公用户。ZXSECUS70具有一个外部调制解调器端口,能够作为与互联网连接的备份或单独与互联网连接。ZXSECUS产品家族ZXSECUS的产品家族涵盖了完备的网络安全解决方案包括邮件、日志、报告、网络管理,安全性管理以及ZXSECUS统一安全网关的既有软件也有硬件设备的产品。ZXSECUS产品的主要功能基于web的管理器ZXSECUS设备用户界面友好,基于web的图形界面管理工具管理接口。在运行Internet浏览器的计算机设备上使用HTTP或一个安全的HTTPS连接,您便能够配置并管理ZXSECUS设备。基于web的管理器支持多种语言。您可以配置ZXSECUS设备使其接受来自任何ZXSECUS设备接口的HTTP与HTTPS管理访问。使用基于web的管理器可以配置ZXSECUS设备的大部分设置以及监控设备的状态。使用基于web管理器进行的配置更改无需重新设置防火墙或中断服务便可以生效。完成所需的配置后,可以下载并保存该设置。您可以在任何时候恢复已经保存的配置。虚拟域配置虚拟域使其能够充当多个虚拟设备对多重网络提供防火墙与路由服务。系统状态通过该页面,您可以查看当前ZXSECUS设备的状态信息,包括设备序列号、设备正常运行时间、系统资源使用情况、USServiceTM许可证信息、警告信息与会话信息。网络配置设置系统网络是指怎样将ZXSECUS设备配置到网络中作为防火墙设备生效。基本的网络设置包括设置ZXSECUS设备与DNS。高级配置包括在ZXSECUS设备网络配置中添加VLAN子接口与区域。无线配置配置ZXSECUS无线设备的无线LAN接口的内容。包括ZXSECUS无线LAN接口、信道分配、系统无线设置、无线MAC过滤、无线监控。配置使用DHCP为用户提供便捷的自动网络配置服务。包括ZXSECUSDHCP服务器与中继代理、配置DHCP服务、查看地址租用信息。系统配置ZXSECUS设备几项非网络性功能配置,包括HA(高可用性)、SNMP、替换信息、超时设置以及基于web管理器的语言显示属性。HA、SNMP以及替换信息是ZXSECUS设备全局配置的一部分。更改操作模式应用到每个VDOM。系统管理员设置管理员可以访问ZXSECUS设备并配置其操作。在设备初始安装完成后,默认的配置只有一个用户名为admin的管理员帐户。通过连接到基于web的管理器或CLI,您也可以控制每个管理员帐户的访问权限以及管理员连接到ZXSECUS设备使用的IP地址。每个管理员都有一定的访问权限级别。访问权限设置将访问ZXSECUS设备划分为不同的访问控制类型,这些类型决定了对ZXSECUS设备的读或写的权限。普通管理员账户根据其访问权限内容访问配置选项。如果启动了虚拟域,分配到一个VDOM的普通管理员帐户不能访问全局配置选项以及其他任何VDOM的配置。Admin账户没有访问权限内容设置所以其权限是不受限制的。您不能够删除admin管理员帐户,但是您可以重命名该账户,对其设置信任主机以及更改其密码。默认情况下,admin账户没有密码设置。系统维护包括备份与恢复系统配置以及从USServiceDistributionetwork获得自动更新的内容。静态路由设置ZXSECUS设备的路由是指设置提供给ZXSECUS设备将数据包转发到一个特殊目的地的所需的信息。设置静态路由是将数据包转发到除了出厂默认的网关以外的目的地。您可以从出厂配置的默认的静态路由中配置默认网关。您必须编辑出厂默认的路由,将ZXSECUS设备的路由指定为不同的默认网关;或删除出厂配置的路由并指定默认的静态路由到达默认的网关。您也可以定义路由策略选项。路由策略中包含了检测流入数据属性的规则。使用路由策略,您可以配置ZXSECUS设备根据数据包包头的IP源和/或目标地址以及其他规则,例如哪个接口接收数据包以及设置哪个端口用来传输数据包这样的规则来路由数据包。动态路由动态路由协议使得ZXSECUS设备自动与邻近的路由器共享信息,以及获得邻近路由器广播的路由与网络状态信息。ZXSECUS设备支持以下的动态路由协议:路由信息协议(RIP)、开放最短路径优先(OSPF)、边缘网关协议(BGP)。路由监控截取路由监控表,该列表是用于显示ZXSECUS设备中路由表条目的。包括显示路由信息、搜索ZXSECUS路由表。防火墙策略防火墙策略控制所有通过ZXSECUS设备的通讯流量。添加防火墙策略控制ZXSECUS接口、区域以及VLAN子接口之间的连接与流量。防火墙地址可以根据需要添加、编辑以及删除防火墙地址。防火墙地址将被添加到防火墙策略的源以及目标地址字段。添加到防火墙策略中的地址是用来与ZXSECUS设备接收到数据包的源以及目标地址相匹配的。防火墙服务设置服务识别防火墙接收或拒绝的通信会话类型。您可以在策略中添加任何预先定义的服务。您也可以创建用户服务或在服务组中添加服务。防火墙时间表设置时间表控制激活与中止策略的时间。您可以设置固定时间表或循环时间表。使用固定时间表创建一项策略在指定的时间段内生效。循环时间表每周进行一个循环。您可以使用循环时间表设置一项策略只在指定的一天中循环几次或一星期中某些天之内生效。防火墙虚拟IP地址配置配置ZXSECUS虚拟IP地址、IP地址池以及配置在防火墙策略中使用。保护内容表使用保户内容表对防火墙策略控制的流量应用不同的保护设置。VPNIPSECZXSECUS设备在通道模式下执行IP安全载荷封载(ESP)协议。加密数据包跟普通数据包一样能够路由到任何IP地址网络。互联网密钥交换(IKE)是根据预先定制的密钥或X.509电子证书自动执行的。您也可以在功能项中手动设置密钥。只有NAT/路由模式可以支持接口模式。NAT/路由模式下,可以创建对VPN通道建立本地终端。配置PPTPZXSECUS设备支持点对点通道协议进行两个对等体之间的PPP通讯流量。Windows或LinuxPPTP用户可以与配置作为PPTP服务器的ZXSECUS设备建立一个PPTP通道。您也可以配置ZXSECUS设置将PPTP数据包转送到置于ZXSECUS设备之后的网络中的PPTP服务器。PPTP配置只适用于NAT/路由模式。VPNSSL设置通过基于web的管理器配置VPN菜单项下SSL功能。只有运行于NAT/路由模式下的ZXSECUS设备支持SSLVPN功能。VPN证书通过基于web管理器操作并管理X.509安全证书的内容。包括有关生成证书请求、安装已签的证书、以及导入CA根证书与证书撤消列表、备份与恢复已安装的证书以及私有密钥的信息。设置用户建立用户帐户、用户组以及外部验证服务器内容。通过定义认证用户(或称为用户组)可以控制对网络资源的访问。反病毒保护创建防火墙保护文件时,进入反病毒保护菜单访问反病毒配置选项。系统范围内配置了反病毒设置的同时,可以在每项保护内容表中执行具体的设置操作。IPS(入侵防护保护)ZXSECUS入侵防护系统(IPS)将特征与异常入侵防护结合,降低了威胁的潜伏期,增强了设备的可靠性。创建防火墙保护内容列表同时可以配置IPS选项。Web过滤配置web过滤选项,Web过滤功能必须在活动的内容保护文件中启动才能生效。反垃圾邮件配置内容保护列表项中垃圾邮件过滤功能。包括垃圾邮件过滤、禁忌词汇、黑/白名单、高级垃圾邮件过滤选项配置、使用Perl正则表达式。IM/P2PIM/P2P是有关即时通讯的用户管理工具以及网络中使用IM以及P2P功能的状态说明。IM以及P2P必须在活动的内容保护列表中启动才能够生效。日志与报告包括日志记录功能、查看日志文件以及通过web管理器查看报告的内容。ZXSECUS设备提供了较为宽泛的日志记录功能,能够记录如网络流量,系统以及网络内容保护表的日志。通过详细的日志信息与报告可以对历史状态以及当前状态的网络活动进行分析,有助于识别涉及网络安全性的问题,减少网络的误用与滥用。