网神SecGate3600防火墙用户手册.doc

《网神SecGate3600防火墙用户手册.doc》由会员分享，可在线阅读，更多相关《网神SecGate3600防火墙用户手册.doc（548页珍藏版）》请在咨信网上搜索。

1、声明服务修订：l 本公司保留不预先通知客户而修改本文档所含内容的权利。有限责任：l 本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。l 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。版权信息：l 任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。网神信息技术（北京）股份有限公司目 录导言、概述10第一章、基于web管理界面101.web管理界面页面

2、122.Web管理界面主菜单133.使用web管理界面列表144.在web管理界面列表中增加过滤器154.1 包含数字栏的滤波器164.2 包含文本串的滤波器175.在web管理界面列表中使用页面控制185.1 使用栏设置来控制显示栏195.2 使用带有栏设置的过滤器206.常用web管理界面任务206.1 连接到web管理界面216.2 连接到web管理界面227.修改当前设定227.1 修改您SecGate管理员密码237.2 改变web管理界面语言247.3 改变您SecGate设备管理路径247.4 改变web管理界面空闲运行时间257.5 切换VDOMs258.联系客户支持259.退

3、出26第二章、系统管理261. 系统仪表板261.1 仪表板概述271.2 添加仪表板271.3 系统信息301.4 设备操作351.5 系统资源371.6 最多的会话381.7 固件管理条例411.8 备份您的配置421.9 在升级前测试固件451.10 升级您的SecGate设备471.11 恢复到以前的固件镜像501.12 存储您的配置55使用虚拟域572. 系统网络632.1 配置接口652.2 配置区域742.3 配置网络选项762.4 配置SecGateDNS服务772.5 配置显式网络代理833. 系统动态主机设置协议服务器(DHCP)913.1 SecGate DHCP服务器和

4、中继923.2 配置DHCP服务933.3查看地址租借974.系统配置984.1 HA994.2 简单网络管理协议（SNMP）1094.3 替换信息1224.4 操作模式和虚拟域管理入口1305.系统管理1335.1 管理员1335.2 管理资料1475.3 设置1515.4 SecGateIPv6支持1556. 系统认证1616.1 本地证书1626.2 CA证书169第三章、路由1701. 路由静态1701.1 路由概念1711.2 如何建立路由表1721.3 如何做出路由判定1731.4 多路径路由以及决定最佳路线1731.5 路线优先1751.6 黑洞路由1762. 静态路由1762.

5、1 使用静态路由1772.2 默认路由和默认网关1802.3 添加静态路由至路由表1823. 等值多路径路由协议（ECMP）路由失败备援及负载均衡1843.1 ECMP路由同步会话至相同目标IP地址1863.2 配置溢出或基于使用ECMP1873.3 从CLI中添加权重至静态路由1954. 策略路由1965. 路由信息协议（RIP）2025.1 RIP页面2035.2 RIP网页网络部分2035.3 RIP网页的接口部分2045.4 高级RIP选项2055.5 RIP-启用接口2076. 开放式最短路径优先（OSPF）2096.1 定义OSPF自主系统概览2096.2 基本OSPF设置2106

6、.3 OSPF页面2106.4 OSPF页面的区域部分2116.5 OSPF页面网络部分2126.6 OSPF页面的接口部分2126.7 高级OSPF选项2136.8 OSPF页面高级选项2136.9 定义OSPF区域2156.10 OSPF网络2176.11 OSPF接口的运行参数2187. 边界网关协议（BGP）2217.1 BGP页面2227.2 BGP页面领域部分2227.3 BGP页面网络部分2238. 多路广播2238.1 覆盖接口多路广播设置2258.2 多路广播目标NAT2269. 双向转发检测（BFD）2279.1 配置BFD22810. 路由器监控23110.1 查看路由信

7、息23110.2 查找SecGate路由表235第四章、 防火墙2361. 策略2361.1 身份识别防火墙策略2481.2 中心网络地址转换（NAT）表2551.3 互联网协议第六版(IPv6)策略2571.4 拒绝服务（DoS）策略2572. 地址2612.1 地址列表2612.2 地址组2633. 服务2663.1 预定义服务器列表2663.2 定制服务2743.3 定制化服务组2764. 时间表2774.1 循环时间表列表2784.2 一次性时间表列表2794.3 时间表组2815. 流量整形器2825.1 共享流量整形器2835.2 Per-IP模式流量整形2856. 虚拟IP地址2

8、866.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制2876.2 虚拟IP地址2876.3 虚拟域IP地址(VIP)组2916.4 IP地址池2937. 负载均衡功能2947.1 虚拟服务器2957.2 有效服务器3017.3 健康检查监控器3037.4 监控服务器306第五章、UTM3061.拒绝服务（DoS）感应器3072.SYN代理3103.SYN界限（使用一个DoS感应器防止SYN泛滥）3104.了解异常状况311第六章、虚拟专用网(IPsec VPN)3121.IPSec VPN概述3132.策略性对路由型虚拟专用网络(VPN)3153.自动交换密钥（IKE）3183.1

9、 第一阶段配置3193.2 第一阶段高级配置设定3233.3 第二阶段配置3283.4 第二阶段高级配置设定3294.人工密钥3344.1 新人工密钥配置3355.集中器3396.监控虚拟专用网络(VPN)3417.安全套接层虚拟专用网络(SSL VPN)3437.1 安全套接层虚拟专用网络(SSL VPN)概述3447.2 基本配置步骤3457.3 配置（Config）3467.4 界面3497.5 界面设定3527.6 界面小部件3527.7 安全套接层虚拟专用网络（SSL VPN）监控器列表354第七章、用户3551.用户3551.1 本地用户账户3561.2 身份认证设置3582.用户

10、组3602.1 防火墙型用户组3632.2 安全套接层虚拟专用网络（SSL VPN）型用户组3643.远程3653.1 RADIUS3663.2 轻量级目录访问协议（LDAP）3693.3 TACACS+3734.监控3744.1 防火墙用户监控表375第八章、日志与报告3781.日志与报告概述3782.什么是日志?3792.1 日志类型和分类型3803.示例383日志信息3834.SecGate如何储存日志3844.1 远程存储到系统日志服务器3854.2 本地存储到内存3874.3 本地存储到硬盘3885.事件日志3895.1 告警电子邮件3906.接入并查看日志信息392导言、概述Sec

11、Gate 3600防火墙缺省支持两种管理方式：（1） 通过CONSOLE口的命令行管理方式（2） 通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。要快速配置使用防火墙，推荐采用CONSOLE口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。安装防火墙之前，请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。防火墙主要以两种

12、模式接入网络：路由模式和混合模式。在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。第一章、基于web管理界面这部分描述了您的SecGate 3600系列防火墙设备中用户友好型web管理界面管理界面（有时是图形化界面）。在管理电脑的浏览器上使用HTTP或安全的HTTPS连接，您就可以与SecGate web管理界面相连来配置或管理SecGate设备。管理计算机推荐的最小屏幕分辨率为1280x1024。Web管理界面的一些功能只能在最新版最

13、常用的浏览器上显示。带有web管理界面的旧版浏览器有时可能不能正常工作。对于HTTP和HTTPS web管理，您可以从任何SecGate界面配置SecGate设备。要与web管理界面相连，您需要有一个管理员账户跟密码。Web管理界面支持多种语言，但是默认语言为英语。您可以进入系统面板 状态来查看您的SecGate设备状态的详细信息。仪表板展示了诸如当前软件版本，操作模式，连接界面和系统资源等信息。您可以使用web管理界面菜单、列表和配置页面来配置大多数SecGate设置。采用web管理界面修改的配置参数可以立即生效，而不用重置SecGate设备或终止服务。您可以采用在按钮条里的备份配置按钮随时

14、备份您的配置。按钮条位于web管理界面右上方角落里。保存的配置随时可以恢复。Web管理界面还包含详细的上下文相关的在线帮助。在按钮条上选择在线帮助以显示当前web管理界面在线帮助页面。您可以使用SecGate命令行界面（CLI）来配置SecGate，该设置你也可以从web管理界面与命令行界面（CLI）中进行配置。系统仪表板提供了到CLI控制平台的方便入口，您可以使用到但无须退出web管理界面。该部分包含如下主题：web管理界面页面常用web管理界面任务1. web管理界面页面Web管理界面页面包含主菜单、菜单和子菜单。索引如下所示：系统 仪表板 仪表板。 当你转到如UTM 入侵防护 概况,时，

15、页面上显示的信息为菜单页面，如配置文件页面。一个菜单的页面包含必要的配置环境的图标语显示信息。在图1中显示了状态页面，该页面顶端为窗口图标和仪表板图标，以及系统主菜单下的菜单。图1中未显示的一个主菜单为当前VDOM主菜单，它只有在VDOM启动时才会显示，请参阅第33页的“切换VDOMs”。图1: web管理界面界面的解释这个主题包含如下内容：l web管理界面主菜单l 使用web管理界面列表l 在web管理界面列表中增加过滤器l 在web管理界面列表中使用页面控制l 使用控制列显示的列设置l 使用带有列设置的过滤器2. Web管理界面主菜单Web管理界面界面上主菜单提供SecGate所有主要特

16、性的配置路径（看24页图1）。Web管理界面包含如下主菜单： 系统配置系统环境，如网络接口，虚拟域，DHCP服务，管理员，证书，高效（HA），系统时间和系统配置。路由配置SecGate静态和动态路由并查看路由检测器。防火墙配置防火墙网络保护性能规则，并配置虚拟IP地址与地址组。UTM配置入侵保护。虚拟专网配置IPSec和SSL虚拟私有网络。用户配置带有要求用户认证的防火墙的用户使用账户。配置外部认证服务器，例如RADIUS，LDAP，TACACS+。配置对火墙，IPSec，SSL。日志与报告配置日志与警告邮件。查看日志消息与报告。当前VDOM，只有当VDOM启动时才会在SecGate设备中出现

17、。允许您迅速的变换VDOM。要在不同的VDOM间切换，您只需从当前VDOM旁边的下拉列表中选择一个新的VDOM。3. 使用web管理界面列表许多web管理界面界面包含列表。其中包含网络接口列表，防火墙协议列表，管理员列表，用户列表和其他列表。如果您以管理员身份登录，而该身份允许对列表进行读写操作，那么您通常可以进行：在列表中选择创建新的项目。修改页面上列表中的项目。从列表中删除项目。若该项不能被删除，则删除图表将不会显示。通常添加到其他配置中的项目无法删除，为了删除该项目，您必须从其他配置中找到它并将它删除。例如，要删除已经添加到用户组中的一个用户账号，您必须首先从用户组中删除该用户。如果您以

18、允许读写操作的管理员身份登录，您可以查看列表中的项目。更多信息请参阅173页“管理概述”。4. 在web管理界面列表中增加过滤器您可以添加过滤器来控制web管理界面中显示的复杂列表的信息。请看如下web管理界面页面列表示例：内容列表（查看57页“查看当前列表”）防火墙协议和IPv6规则列表（查看261页“规则”，271页“DoS规则”和273页“预测规则”）预定义的入侵保护列表（查看313页“预定义”）防火墙用户监测列表（查看400页“防火墙用户检测列表”）IPSec VPN监测（产看364页“VPN监测”）日志和报告存取列表（查看429页“存取和查看日志信息”）过滤器可以有效地减少列表中显示

19、的条目数量，因此，您可以集中于对您重要的信息。例如，您可以进入系统 面板 状态，在统计部分中，选择详细信息来查看SecGate设备当前进程的通信情况。一个繁忙的SecGate设备可以处理成百上千的进程。您可以添加过滤器使得找到某个特殊部分更容易。例如，您可能正在寻找所有的通讯部分，在防火墙协议允许的条件下，您可以添加一个规则ID过滤器来只显示该ID或该系列ID的部分。您可以通过在编辑滤波器窗口中选择过滤器图标来向web管理界面添加过滤器。从编辑滤波器窗口，您可以选择任意栏来进行过滤，并为该栏配置该过滤器。您也可以同时为一栏或多栏添加过滤器。过滤器图标在未过滤的栏中显示为灰色，过滤后的栏中显示为

20、绿色。在关闭web管理界面页面甚至退出web管理界面或重装SecGate设备后，过滤器配置仍然保留着。根据每个栏中显示的信息类型不同，存在不同风格的过滤器。在所有的情形中，您可以通过设定过滤什么，是否显示与过滤器吻合的信息，和是否不显示与滤波器不匹配的信息来配置过滤器。在防火墙协议，IPv6规则，预定义签名和日志报告存取列表中，您可以结合过滤器与栏设置来提供对列表显示信息的更多控制。更多信息请查看29页“应用有栏设置的过滤器”。注释:过滤器设置存储在SecGate配置中，且您下次登录时将会保留在添加过滤器的列表中。4.1 包含数字栏的滤波器如果某栏包含数字（如IP地址，防火墙协议ID或界面号）

21、，您可以通过一个单一的数字或一连串数字进行过滤。例如，您可以配置一个源地址栏来显示某个单一IP地址或某系列IP地址的条目。为了指定某个系列，在起始与终止值用连字符分开，如25-50。要查看部分列表，进入系统 面板 状态。在会话旁边的统计部分中，选择详细信息。4.2 包含文本串的滤波器如果某栏包含文本串（例如名字和日志信息），您可以通过文本串进行过滤。您还可以过滤与文本串严格相符的信息，包含文本串的信息或者不包含文本串的信息。您还可以指定是否区分大小写。该文本串可以空的或者很长。该文本串还可以包含特殊符号如等。然而，过滤器会忽略之后的字符，除非该字符为一空格（例如，过滤器忽略string但却不忽

22、略 string）。过滤器还会忽略匹配的字符以及当中的字符（例如，过滤器忽略但却不忽略string）。4.3 仅包含特殊条目的栏过滤器对那些仅包含特殊条目的栏（例如日志安全信息或预定义的签名行为），您可以从列表中选择单个条目。在这种情形下，您只可以过滤该单一的选择的条目。4.3 常用过滤器还有其他常用过滤器。您可以根据时间和日期过滤日志信息。您还可以使用等级过滤器来显示不同安全级别的日志信息。5. 在web管理界面列表中使用页面控制Web管理界面包含页面控制，使得查看包含比一个正常浏览器窗口能显示的条目更多的列表变得更容易。包含页面控制的Web管理界面页面包括：会话列表（查看57页的“查看当前

23、会话列表”）路由监测器（查看257页“路由监测器”入侵保护预定义签名列表（查看313页“预定义”）防火墙用户监测列表（查看400页“防火墙用户监测列表”）IPSec VPN监测器（查看364页“监测VPNs”）禁止用户列表（查看401页“禁止用户列表”）日志和报告存储列表（查看429页“存储和查看日志信息”）。图3:页面控制第一页显示列表中第一个项目。前一页显示列表前一页项目。当前页显示当前列表页的项目。您可以输入页码数，按回车键来显示该页码上的项目。例如，如果共有5页而您按了3，那么就会显示第三页的内容。总页数您可以查看的列表项目总页数。下一页显示列表的下一页项目。最后一页显示列表最后一页的

24、项目。5.1 使用栏设置来控制显示栏使用栏设置，您可以格式化一些web管理界面列表，以方便找到对您重要的信息，那些不重要的信息可以隐藏或删除。在含有复杂列表的web管理界面页面上，您可以改变栏设置来控制列表显示信息栏，并控制他们的显示时的排列顺序。含有栏设置的Web管理界面页面控制包括：网络接口列表（查看85页“网络接口”）防火墙协议与IPv6规则（查看261页“规则”）入侵控制预定义签名列表（查看313页“预定义”）防火墙用户监测器列表（查看400页“防火墙用户监测器列表”）IPSec VPN监测器（查看364页“监测VPNs”）日志和报告存储列表（查看429页“存储和查看日志信息”）。注释

25、:对列表栏设置进行的任何改变保存在SecGate配置中，下次您打开该列表时将会显示。要改变列表的栏设置，选择栏设置。从可选区域中，选择要显示的栏标题，然后选择右箭头来移动它到“在该列表中显示该区域”。类似，对于隐藏的栏标题，使用左箭头将它移回可用区域列表中。使用上移与下移来变换栏显示顺序。例如，您可以改变接口列表栏标题来使它只显示每个接口的IP/掩码、MAC地址、MTU和接口类型。5.2 使用带有栏设置的过滤器在防火墙协议，IPv6规则，预定义签名，防火墙用户监测器，IPSec监测器和日志报告存储列表中，您可以结合过滤器与栏设置来提供列表显示信息的更多控制。6. 常用web管理界面任务该主题讲

26、述了下述常用web管理界面任务：l 连接到web管理界面l 修改当前设定l 修改您SecGate管理员密码l 改变web管理界面语言l 改变您SecGate设备管理路径l 改变web管理界面空闲运行时间l 切换VDOMsl 从web管理界面中连接SecGate CLIl 联系客户支持l 退出6.1 连接到web管理界面要连接到web管理界面，您需要：l 根据您SecGate设备中“入门指南”与“安装指南”指示，连接到网络的一个SecGate设备。l 您可以连接的SecGate接口的IP地址。l 一台带有以太网接口可以与SecGate设备相连的计算机。l 一个支持的浏览器。6.2 连接到web管

27、理界面1) 打开您的浏览器，登录到您连接的SecGate设备接口IP地址https:/上。例如，如果IP地址是192.168.1.99，则登录到（记住在https:/中添加s）。为了支持安全HTTPS认证方法，SecGate设备随运了一个自我签名安全证书，它提供远程客户随时通过HTTPS连接SecGate设备。当您连接时，SecGate设备在浏览器中显示两个安全警报。第一个警告提示您接受并有选择性地安装SecGate设备的自我签名安全认证。如果您不接受该认证，SecGate设备拒绝连接。如果您接受了认证，登录页面就会出现。输入的认证信息在传送到SecGate设备前被加密。如果您选择永久性地接受

28、该认证，该警告信息将不会再出现。在登录页面显示前，第二个警报告诉您SecGate认证发现名字与原始请求的名字不一样。该警告出现是因为SecGate设备重新使用了该连接。这是一个信息型通知，选择确定来继续登录。2) 在名称栏中输入管理或配置的管理员名称。3) 在密码栏中输入管理员账户密码。4) 选择登录。7. 修改当前设定当您又该当前设定，如修改管理员密码时，您必须选中该项目，然后选择合适的图标，此时其他图标均不可用。这种选择图标的方式在下面的步骤中得到解释。当你修改当前设定时，使用31页的步骤“通过图标在列表中改变项目”。通过图标在列表中改变项目在检查栏中，在您想要改变的设定行内，选择检查来突

29、出这一行。此时，灰色的图标是可使用的。在某些页面上，当你选中该行时，可能所有的图标都不可用。 当图标可用时，选择您想要用来修改的图标。在修改结束后，您返回到该页面的列表上，检查框未选中，该行也未突出。7.1 修改SecGate管理员密码默认地，您可以使用管理员账户但没有密码登录到web管理界面。您应该为管理管理员账户设定密码以防止任何人登录到SecGate来改变系统配置。为了更高的安全，您应该定期更改管理管理账户密码和您添加的其他管理员账户密码。要改变管理员密码，进入系统 管理员设置 管理员 ，编辑管理员，然后改变密码。选中确定来保存新密码。您还可以通过选中创建新账户来添加新的管理员账户。更多

30、关于增添管理员，更改管理员账户密码和相关配置的信息，请参阅165页的“系统管理”。注释:如果您遗忘或丢失了管理员账户密码而无法登录您的SecGate设备，请联系网神客户服务。7.2 改变web管理界面语言您可以更改web管理界面显示语言为英语，汉语（简体）。为了得到最好的效果，您应该选择计算机系统使用的语言。要更改语言，进入系统 管理员设置 设置，在显示设定中，从下拉列表中选择您想要的语言，选择应用。Web管理界面将以已选择的语言显示。7.3 改变您SecGate设备管理路径通过管理路径，一个管理员可以与SecGate设备相连来查看并更改环境配置。您的SecGate设备的默认配置允许管理进入一

31、个或多个设备接口。您更改管理路径通过：l 允许或禁止来自任何SecGate接口的管理路径。l 允许或禁止进入web管理界面的安全HTTPS管理路径（推荐）l 允许或禁止进入web管理界面的HTTP管理路径（不推荐）l 允许或禁止进入CLI的安全SSH管理路径（推荐）l 允许或禁止进入CLI的SSH或远程管理路径（不推荐）要改变管理路径，进入系统 网络 接口，编辑管理员，并选择管理路径类型或接口类型，选中确定来保存更改。关于更改管理路径的更多信息请阅读96页“为接口配置管理路径”。7.4 改变web管理界面空闲运行时间默认地，当5分钟内没有任务执行时，web管理界面将与管理部分断开连接。该空余工

32、作时间推荐用来防止其他人在您登录到web管理界面无人注意期间使用该web管理界面。然而，你可以使用如下步骤来改变空余工作时间。要更改空余工作时间，进入系统 管理员设置 设置，在空闲时间 下以分钟为单位输入时间，然后选中应用来保存该变化。 7.5 切换VDOMs 当启动VDOM时，左侧栏的当前VDOM菜单出现。在该菜单旁边显示了一个下拉列表。该下拉列表包含SecGate所有的配置VDOMs。这提供了一种简单迅速的接触VDOM的方式。要切换VDOM，使用当前VDOM菜单，从下拉列表中选择您要切换去的VDOM，您被自动转到了那个VDOM中。 8. 联系客户支持客户支持服务电话在SecGate状态页面

33、，从该页面，您可以：l 访问网神网站l 查看客户服务免费电话l 网神联系地址9. 退出退出按钮立即使您退出web管理界面。在您关闭浏览器窗口前退出web管理界面。如果您仅简单地关闭浏览器或离开web管理界面，您仍然登录在web管理界面上除非空余工作时间（默认5分钟）超时。要改变该时间，查看33页“改变web管理界面空余工作时间”。第二章、系统管理1. 系统仪表板该部分描述了系统仪表板和它的页面、状态和利用率。乍看一下，您可以查看当前SecGate设备的系统状态，包括序列号，运行时间，系统资源利用率，会话信息和网络统计数字。如果您在SecGate设备上使用虚拟域（VDOMs），状态页将全面可用，

34、且整个SecGate设备将全局配置系统状态环境。当VDOMs启用时，拓扑视图不可用。更多信息，请阅读79页“使用虚拟域”。该部分包含以下主题：l 仪表板概述l 系统信息l 许可证信息l 设备操作l 系统资源l 最多的会话l 每个IP带宽利用率注释:您的浏览器必须支持Java脚本来查看系统仪表板页面。1.1 仪表板概述仪表板菜单允许您添加和定制仪表板。仪表板是使得您可以从多个窗口查看如流量活动等信息的菜单组合。这些信息是有用的，能够帮助您升级您的固件，重装您SecGate设备。通过添加与定制仪表板，您可以允许特定仪表板包含如会话等指定信息。 管理员一定要有定制与增加窗口的优先读写权。若管理员想查

35、看状态和利用率信息，他一定要有读出优先权。更多关于管理员和他们配置文件信息，请阅读173页“管理员配置文件”。该主题包含以下内容：l 添加仪表板l 在仪表板中添加窗口l VDOM与全局仪表板1.2 添加仪表板仪表板首先从状态与利用率的默认菜单中添加。您可以添加、删除或重命名仪表板，无论该仪表板处于状态菜单或利用率菜单中。您可以通过选中重置仪表板来重新设置仪表板菜单到它的默认设置。如何添加仪表板到仪表板菜单1 进入系统 面板 状态。2 选择仪板表图标. 3 一个下拉菜单出现，它含有如下选项： l 添加仪表板为仪表板菜单添加一个新的仪表板 l 重命名仪表板重命名当前仪表板。您可以重命名现有的默认菜

36、单和利用率。l 删除仪表板删除当前仪表板。l 重置仪表板重新设置整个仪表板菜单为它的默认设置。4 选择添加 仪板表. 5 在添加仪板表窗口名字 中为该仪表板输入一个名称。5 点击确定.。您自动转到该新的仪表板，可以开始为该仪表板添加窗口。 1.2.1 在仪表板中添加窗口在仪表板菜单添加仪表板之后，您可以为该仪表板添加多个窗口。您可以定制很多窗口来显示特定的信息，通过一些窗口，您可以查看更详细的信息。要为仪表板添加窗口，点击窗口 图标（定位在仪表板页面最上方），然后在点击有效模块中选中窗口来为该页窗口添加模块。图10: 一个缩小的显示 窗口标题栏说明窗口标题输出窗口名称。打开/关闭箭头 打开或关

37、闭窗口显示。历史选中来显示扩展数据集合。并非所有窗口可用。编辑选中来修改显示设置。更新选中来更新显示信息。关闭选中来关闭显示窗口。您将会立即被要求来确认该操作。注释: 在状态页面中显示的信息应用于整个HA集，而并非重要设备。.1.2.2 VDOM与全局仪表板VDOM管理员可以查看并为他们的VDOM配置专有的仪表板。从VDOM中进入系统 面板 状态来查看VDOM仪表板。VDOM仪表板中含有系统信息，设备操作，系统资源，日志和档案状态，CLI控制平台，最多的会话和历史流量仪表板窗口。只有拥有终极管理权限的全局管理员可以查看全局仪表板。 现存的窗口与全局同等级别的窗口有如下不同：系统信息无法允许/禁

38、止虚拟域。没有当前管理员的清单。设备操作用户登录当前VDOM，不能进行全局配置最多的会话只显示该VDOM的会话流量历史只能选中属于该VDOM的接口或VLANs。1.3 系统信息系统信息窗口包含系统的基本信息，如SecGate设备序列号与正在运行的固件版本。该窗口还提供备份或存储环境配置，修改操作模式，允许或禁止虚拟域和更改当前登录管理员账户密码等设置。默认地，系统信息窗口可以在状态页面找到。（系统 仪板表 状态）要往仪板表中添加系统信息窗口，进入该仪板表，选中窗口，然后从该列表中选择系统信息。图11:系统信息窗口 序列号SecGate设备的序列号。每个SecGate设备的序列号是特定的，随着固

39、件升级不会改变。正常运行时间SecGate设备启动以来的时间。系统时间SecGate设备内部时钟的当前日期和时间。选中更改来改变时间或配置SecGate设备使它从NTP服务器获得时间。更多信息请阅读43页“配置系统时间”。HA状态该设备的高可用性状态。休眠状态表明该设备不是工作于HA模式。主动-被动或主动-主动表明该设备工作于HA模式。选中配置来为该设备配置HA状态。更多信息请阅读133页“HA”。主机名当前设备的主机名。选中更改来改变主机名。更多信息请阅读44页“改变SecGate设备主机名”。若SecGate设备处于HA状态，该区域不显示。群集名该SecGate设备的HA群集名称。更多信息

40、请阅读133页“HA”。该SecGate设备必须操作与HA模式来显示该区域。群集成员在HA群集中的SecGate设备。对每个成员显示信息包括主机名，序列号，与该设备是否为主设备或从设备。更多信息请阅读133页“HA”。虚拟群集1虚拟群集2每个SecGate设备在虚拟群集1与虚拟群集2中的角色。更多信息请阅读133页“HA”。要显示该区域，SecGate设备必须操作与HA模式，且允许虚拟域。固件版本SecGate设备的固件版本升级。选中Update来改变固件。更多信息请阅读45页“改变SecGate固件”。系统配置配置文件备份时间间隔。您可以选中备份来备份当前配置，当您选中备份时，您自动被转到备

41、份页面。如果您想存储配置文件，选中存储，您自动转入存储页面。操作模式当前SecGate设备的操作模式。SecGate设备可以操作于NAT模式或透明模式。选中更改来在NAT与透明模式间进行切换。如果虚拟域可以使用，该区域显示当前虚拟域的操作模式。每个虚拟域均可以在NAT获透明模式进行操作。若虚拟域可用，全局系统状态仪表板不包含该区域。虚拟域您的SecGate设备的虚拟域状态。选中使能或禁止来改变状态特性。若您允许或禁止虚拟域，您的会话将会被终止且需要重新登录。更多信息请阅读79页“使用虚拟域”。当前管理员当前登录SecGate设备的管理员数目。选中详细信息来查看每个登录管理员的详细信息。该附加信

42、息包括用户名，连接类型，他们登录的IP地址，和他们的登录时间。当前用户您用于登录SecGate设备的管理账户名。如果您是通过密码本地授权，不是通过PKI或远程授权，您可以选中更改密码来改变该账户的密码。当修改密码时，您必须退出并以新密码重新登录。更多信息请阅读168页“修改一个管理员账户的密码”。1.3.1 配置系统时间SecGate设备的系统时间可以在系统信息窗口中进行修改。您还可以查看系统信息窗口中系统时间区域的时间。 时间设置页面提供设置您SecGate设备上的时间设置。还包含与NTP服务器同步设置。系统时间当前SecGate系统日期和时间。更新更新当前SecGate系统显示日期和时间。

43、时间区域选择当前SecGate设备的时间区域。当时令改变时自动调整时钟当您的时间区域在夏时令与标准时间切换时，自动调整SecGate系统时钟。设置时间设置SecGate系统日期和时间为您设定的时，分，秒，年，月，日。与NTP服务器同步使用网络时间协议（NTP）服务器来自动设定系统日期和时间。您必须制定服务器与同步间隔。SecGate设备使用NTP版本4。当前没有使用语该版本的RFC。NTP版本3使用RFC 1305。更多关于NTP的信息，请参考.org/。服务器输入NTP服务器的IP地址或域名。要找到您可以使用的NTP服务器，请参考。同步间隔制定SecGate设备与NTP服务器同步频率。例如，

44、若设定为1440分，则SecGate设备与NTP服务器每天一次。要改变系统时间1. 进入系统 面板 状态。2. 在系统 信息 窗口中，在系统 Time行选中更改。3. 选中时区，然后要么人工设定时间和日期，要么配置与NTP服务器的同步。1.3.2 更改SecGate设备主机名SecGate主机名显示在状态页面与SecGate CLI提示中。拥有系统写操作权限的管理员能够更改SecGate设备的主机名。如果一个主机名长于16个字符，它将被截断并以“”结尾。完整的主机名会显示在系统 面板 状态中，但在CLI与其他地方则显示截断的名称。如果SecGate设备是一个HA群集的一部分，您可以使用一个特有的主机名来将它从其他群集中设备中区分开来。要改变SecGate设备主机名1. 进入系统 面板 状态。2. 在系统信息的主机名区域中，选择更改。3. 在新名字 区域内，输入一个新的主机名。4. 选择确定。新的主机名在主机名与CLI提示中显示。它还被添加进SNMP系统名称。1.3.3 更改SecGate固件警告:安装以前的固件镜像，一些系统环境可能丢失。您应该在改变固件镜像前备份系统配置。那些拥有读写权限的SecGate管理员能够改变SecGate