网神SecGate3600nsg系类utm产品基本配置

一、设备出厂默认配置1、设备接口出厂默认IP地址:接口名称IP地址IP赋值方式安全区域GE1（PortA）6/静态LANGE2（PortB）无DHCPWANGE3（PortC）/静态DMZ2、Web管理员账号与密码账号密码adminadmin3、CLI命令行（SSH、串口、Telnet方式）密码admin二、首次设备管理1、使用WebUI管理NSG设备连接示意与管理过程管理终瑞网卡模式为:自动获取管理终瑞网卡模式为:自动获取IP地址N3G管理接IUGEL6/24(1)使用网线接入NSG设备的GE1接口，并连接管理终端(PC)设备。(2)将管理终端(PC)网卡设置为自动获取IP地址。NSG将自动分配管理端IP地址。(3)打开IE或其他浏览器，在地址栏中输入设备缺省管理地址：http:〃6。(4)出现NSG管理界面，输入账号：admin；密码：adminN网神SECWORLDwwwlE，Ends，c.ccin注意：NSG设备WEB管理最低要求浏览器版本为IE7。三、配置防火墙功能购买NSG产品后，我们需要将NSG根据网络环境拓扑，部署于网络中，此时我们需要配置NSG的防火墙功能，使得新增NSG设备后的网络链路访问畅通。1、根据拓扑配置NSG，要求从LAN区域主机可访问互联网。

InternetWAN接口网关：10.I01QU24WANInternetWAN接口网关：10.I01QU24WAN区域LAN区域接口：192.168Q1/24WAN：/24配置步骤如下：（1）配置LAN（局域网）区域网络接口进入"网络"一"接口"页面，选择所要作为LAN（局域网）区域的接口，进行编辑：/区域：选择"LAN"区域/IP赋值方式：选择"静态"方式/IP地址：根据网络拓扑配置LAN接口IP地址/子网掩码：根据网络环境配置/主/从DNS:请根据实际配置（2）配置WAN（互联网）区域网络接口进入"网络"一"接口"页面，选择所要作为WAN（互联网接口）区域的接口，进行编辑:/区域：选择"WAN"区域/IP赋值方式：选择"静态"方式/IP地址：根据网络拓扑配置WAN接口IP地址/子网掩码：根据网络环境配置/主/从DNS：请根据实际配置,网关名称：定义出口下一跳网关的名称,IP地址：填写WAN接口的下一条网关地址，如拓扑⑶配置防灿规则通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG接口信息。此时网络流量还不允许通过NSG设备，需要继续配置防火墙规则。•NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则，默认规则不能删除

与关闭。如下图：■1idlit3T口区T1翻蒯£3T上ftM下微势的2-ui-HUiRAHjf■5殖舟靴烦日1.40BL,1期MM%£岬丁制Ike心打士Hl任雇民4目宙者I.MB序号为1的规则，任意全通的LAN-WAN（内到外）访问规则，此规则出厂缺省为丢弃动作。序号为2的规则，带有身份验证的LAN-WAN（内到外）访问规则，此规则出厂缺省为允许动作。根据网络拓扑，如果要使得内网LAN区域的主机访问互联网WAN区域，需要将默认的序号为1的规则配置为允许动作，并且应用NAT策略。如下图操作:进入“防火墙"一"规则"页面，选择所要编辑的ID号为1的规则：/关于应用NAT规则：NSG出厂缺省带有MASQ的NAT策略，此策略的作用为，将内网接口地址，转换为公网接口地址。通过以上三个步骤的配置，从内网LAN区域的主机即可访问互联网资源。注释：关于防火墙规则的匹配顺序说明NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则

■10蚓助期TTT制作身材里立7上前雪IT*tt»U图任月至R七月民全at也号SK月户(L0QE■—1乱加邮m即哂口恤g任何空凯在目任受如只有这两条规则时，则从ID号为1的开始匹配。当存在自定义添加的规则时，则由上到下依次匹配自定义规则。四、服务映射根据拓扑配置NSG，要求对DMZ区域的WEB服务器做服务映射WAN区域接口：10.10,10.2WEE服务器::8080配置步骤如下：(1)配置虚拟主机规则：进入“防火墙"一"虚拟主机”页面，点击“添加"按钮，创建服务映射规则：

*宙*时东tnrB4■hiPLiim2・叱，“7£帕,」 M*宙*时东tnrB4■hiPLiim2・叱，“7£帕,」 M用幽算- 必 日■物因海中也怕©®aIM©也融网'TCPC-UW

用口之=' *.tip6anFfia外判口 ।侬囱射*口* ।箍।**■/名称：定义虚拟主机的规则名称/外部IP:WAN接口IP(既互联网所访问地址)/映射IP:为网络拓扑中的WEB服务器地址,物理区域：根据所映射服务所在区域选择，如拓扑选择DMZ区域,协议：根据实际需求选择TCP或UDP,端口类型：单个端口映射请选择"单一端口“，如有端口范围，请选择“端口范围”,外部端口：既互联网访问地址的服务端口/映射端口:既所有映射的服务端口，如拓扑中的WEB服务器端口为8080进入“防火墙"一"规则"页面，点击“添加"按钮，创建WAN-DMZ区域的访问规则：,配置WAN-DMZ防火墙访问规则时，源区域为进入“防火墙"一"规则"页面，点击“添加"按钮，创建WAN-DMZ区域的访问规则：,配置WAN-DMZ防火墙访问规则时，源区域为ANY，目的区域为虚拟主机规则所映射的服务器，当如上图选择虚拟主机规则后，该防火墙规则服务将自动更改为服务映射所定义的端口服务。通过以上配置，根据拓扑从互联网访问：8080，此时将会自动连接至DMZ区域的WEB服务器。■ 注释：关于服务映射注意事项说明>需要映射的端口范围时，请注意排除设备管理端口>所映射的服务器为80端口或443端口时，请注意更改NSG管理端口，NSG管理默认管理端口为HTTP80、HTTPS443，更改方式如下：SECWORLD管理进入"系统"一"管理"页面，点击“系统管理端口"页面，即可更改:•设孟*维护*HA•SNMP”证书•■断_1_具SECWORLD管理进入"系统"一"管理"页面，点击“系统管理端口"页面，即可更改:•设孟*维护*HA•SNMP”证书•■断_1_具S&cGat&3K00fJSGfiOQ10.01.2build1H网页管理控制的HE端口'瓦页管涯空制的HTTF1号端口.证书'ApplianceCertificale三］上逑已选证书也将用在我的帐口中日。443系统营理院口访问桎利育理密码禁中首埋平台，口设岩五、IP/MAC绑定当需要IP/MAC绑定功能时，需要配置伪装防护功能，示例如下图拓扑:1、根据拓扑配置NSG，对LAN区域的主机做到IP/MAC绑定匹配过滤

WAN区域InternetIPFMAC绑定WAN区域InternetIPFMAC绑定口MW区域配置步骤如下：(1)配置伪装防护功能，添加信任MAC：进入“防火墙"一"伪装防护"页面，进入"信任MAC”页面，如拓扑所示添加LAN区域的IP/MAC绑定:-：＞nwu*卜J.年5M*物・即=rQ£»E*小aXEEtaiJffftSKA吵"出©®aw©EE北断-：＞nwu*卜J.年5M*物・即=rQ£»E*小aXEEtaiJffftSKA吵"出©®aw©EE北断1占0旧3T就站塔站M10:21ECDE7EIM俯B5T?ii网UM13D3:F4.：ICfilWIEI：4C：77nB1ELj忖情心・敢年第丽忠7的K强养3C8：11Efc?E5£iEa也麻帼心盼呢静才iSSuSSit曲MM.E4F23BE3graiEjau可U1B3d^dCD1K界定miE-931E.烟:绘Dd?网■:EE«17Z1MZ1Iiff忖El:43利网刖1JZ1MZM由M的婚1汉1&5XH/MAC地址：所要绑定的MAC地址/IP关联：选择关联模式,IP地址：填写所要跟MAC绑定的IP地址(2)启用IP/MAC绑定:进入“防火墙"一"伪装防护"页面，进入"一般设置"页面:

,启用伪装防护：勾选此项则启用伪装防护功能,限制未列在信任MAC的IP:勾选此项则过滤围在信任列别中的IP与MAC/根据拓扑，需要开启IP/MAC绑定功能的为LAN区域，则勾选LAN区域的“IP/MAC配对过滤"通过以上配置，拓扑中LAN区域的主机将会受到IP/MAC绑定限制，如果更改IP地址，将无法使用网络。■注释：关于如何查看ARP缓存列表>进入"网络"t"ARP"页面，选择“ARP缓存”页面，即可查看当前NSG的ARP缓存列表，如下图：..匕. 山士“■申菊5?图iMi0IO¥th©OG0立陶与网神,jrrwnnin■MUbuikilM平时百tfgf分坤;1利牌附朋HitSHJMIwraKJE9.[■MUbuikilM平时百tfgf分坤;1利牌附朋HitSHJMIwraKJE9.[fiicmfcpwp&ja国日日344单国0吕寿向情■Aim火，玲皿1心ABR1®*自用修*。详Q电措跟im)嗝黜施WWRMP0里用草日方出军事1JZ153Z13IPiXtDCev«囱JOeEg巾1JZ161ZFBIO234C44：dl?9iPwfflGwrwlrtlrrranic面1坨值5时也匚g造RjftD筋面si腐由132值W1MUJ74t1lJ9jlFwt£ZfEgami、aIJZIBLMilTOIUSIIHiaaJIFcrtZgrtic:a1JZ1B.M.WHMcTflMTlWPwtt：CwTBlrtHrarTlr而1JZ1&.W.IBPwKGNTde4lMVl!?ih1曜伯W1QTRwitiru>rdkn六、静态路由当NSG部署在具有核心交换机的网络环境中时由于核心交换机中配置了多个IP子网，此时NSG则需要配置静态路由功能。根据拓扑配置NSG，为核心交蝴下端的IP子网配置策略路由Internet/24/24/24172,16.16.16WAN区域Internet/24/24/24172,16.16.16WAN区域 LAN区域核心交换J_二二二配置步骤如下：配置静态路由功能:进入"网络"一"静态路由"页面，选择“单播路由"页面，点击“添加"按钮，如拓扑所示添加LAN区域交换机下的/24子网的单播路由策略:■.・Bft■DH5*DHCP■.・Bft■DH5*DHCP+4刊户■iSIDHEa仲联证品।君丈修砧VPH。AkSWE冏两库彳同神SECwanDSwQiKfc^iDNEOMOKWghMH忖/目标IP：如拓扑填写核心交换机下端的/24子网/子网掩码：所填写目标IP的子网/网关IP:如拓扑核心交换机的IP地址（子网的网关地址）,接口：选择NSG与核心交换连接的接口IP,距离：默认值为0，可根据实际环境设置通过以上配置，则成功在NSG中配置了核心交换下端IP子网的策略路由。七、身份验证•如何配置Web身份验证当用户需要使用NSG的Web身份验证验证时，则需要配置NSG的身份验证功能，添加相应的账户以及策略配置。根据拓扑配置NSG的身份验证策略，对LAN。的用户进行访问公网InternetWAN区域InternetWAN区域身份验证配置步骤如下：

(1)创建身份账户：进入"身份验证"一"用户"页面，选择“用户"页面，点击“添加"按钮:1凰用，r1凰用，r函日专■II时■■■■厄钝甲H册 1潢图saa 1J«1巾两洞 ■«国州整 ■«1球 '«班L叩HB|ssl™LZ1F**事•，日FFTF"*事・：•，日曲越相:均同-*f『；◎回Li确 1Ci-MJ哈澧冠・*号用心等同用.fnmisKi^E'创建用户"张三”的身份账户，根据实际需求，配置该账户的相应策略。(2)配置防灿规则：进入“防火墙"一"规则"页面，创建或修改已有的LAN-WAN区域的安全规则：在规则中选择"启用身份验证”，并选择验证类型为用户的“ANY",如下图：该规则配置完成后，请在该身份验证规则前，添加一条无身份验证的，且服务为“DNS”的防火墙规则以保证内网用户访问互联网网站时可正确的解析弹出Web身份验证页面，如下图：LAH.WAM(40a曲回D.DDBD.ODB-13也解1炀%腕主u佃阿雷帝顺日000B一2FI±HMNL港?U^rT陪旅fii的二根的共I1湎融曲强调门45.19KBB7.D3KQLJ1FIJU遍眈即『Trafflc,HVzft17V34.MB431.B1HB4前通过以上配置，当用户访问互联网网站时，将会自动跳转至NSG的Web身份验证页面，如下图：网神 n神SKiGalaWSOONSG安名网关身份魄证皮肉%1掰陋近it吗MQHK省甄美姐四日财,网tJt;三三三五士：工.：.一二三于二;:二已为了鱼的账户友全，清算受常更换线户密码！■注释：关于如何自定义NSG的Web身份验证页面>进入"系统"一"设置”页面，选择"验证网页"页面，即可自定义Web身份验证页面信息，如下图：

网神'SEC*ORLOHS££KJ«¥舞器FFFFFFVSirtBSow欧■”串£l*F■网神'SEC*ORLOHS££KJ«¥舞器FFFFFFVSirtBSow欧■”串£l*F■iS书■■Rtft晶m向身胖正陶质大馆用VPN王泊|养a斤a粕n■卢m君斥热■注释：身份验证用户如何自助查看账户使用情况>进入Web身份验证页面，点击"登录"按钮旁的查看账户信息提示，如下图：进入身份验证用户自助管理登录页面，如下图：输入用户名与密码，即可进入账户信息页面，如下图：鼻尸M岛WEteMAfiWrHram：.rapRffi冏萱**=胃■眄件两1哥鼻尸M岛WEteMAfiWrHram：.rapRffi冏萱**=胃■眄件两1哥ng学上玉ClBiMBIN001.S1MB*E怕i■他闲军uKn-29i2■。如fl T徉llMUF・Rl!瞩i惨in蟠1T2iq怵IT叱陶।的WHwpdHarsg.igoi117]他B12W5!DIEKEiT2ifliaV筵i工闲wiaNar23,i?Sd曲他曲泣5咱1酒闻hBMH期！惶祗翔Ntruda-fl.i?Wl：ri.2O.i3Bll/版IBdONEi173141i5.1THern.Mil13-14:WNinNs翟JM"CCM我in7sa屈1.aEND174皿1T21A141T3itbwmi2ENaiDallas£0:IDil5i的除配1邹阳1&IKH1T21fl15.1TSSLBa-lllMI%g!照1a1T[0:15:13rwiihbZfflZSKB|叫胎田-IT2141S.1TU.NaiD4151a4Hildasrsre-ikbZ2a^KBITTB&I-EI如何配置无客户端身份验证(基于IP的验证)配置步骤：(1)创建身份验证用户在身份验证---用户，选择无客户端用户，点击添加范围：用户I丸客户1用户输入需要验证的IP地址范围(2)创建防火墙规则进入“防火墙"T"规则"页面，创建或修改已有的LAN-WAN区域的安全规则：在规则中选择"启用身份验证”，并选择验证类型为用户的“ANY"，如下图：通过以上配置就可以实现无客户端的身份验证八、VPN功能IPSECVPN配置远程访问vpn配置步骤:(1)添加vpn策略Vpn策略是指在vpn建立过程中用来协商建立安全连接的各项加密验证参数，我们可以选择设备上面定义好的，也可以自定义，选择添加，如下图根据实际情况填入相关参数，与客户端相关参数匹配就可以需要注意的：验证模式选择积极模式，因为远程访问的vpn，客户端基本上没有固定的公网地址，或者都是位于局域网内部(2)建立IPSECvpn隧道

点击IPSEC进入配置页面，点击添加，如下图,连接类型：选择远程访问/策略：选择我们在添加策略中定义好的策略/Vpn重新启动动作：选择仅响应,认证类型：选择预共享密钥，填入共享的密钥/本机WAN接口：选择要建立VPN的公网接口,本地端子网地址：选择要让远程客户端访问的地址，可以是一个子网，也可以是一台主机,本地ID：远程访问类型的VPN，在客户端没有固定IP地址的情况下，需要ID来做设备的验证，所以必须配置，我们选择DNS就可以/远程主机IP：*代表所有IP，因为客户端地址是未知的,允许NAT穿透：如果设备是直接连接公网可以不勾选/远程子网：添加客户端的IP子网或者主机地址/远程ID:选择DNS，添加客户端的ID

用户验证以及快速选择模式不做配置⑶放行防火墙规则源域选择VPN目标域选择LAN子网/主机：为了安全这里我们指定具体的IP子网或者主机动作：选择允许站点到站点vpn配置步骤：(1)添加VPN策略方法同上需要说明的是在站点到站点的VPN连接中，两端都有固定IP地址，验证模式我们可以选择主模式也可以选择积极模式，主模式更安全，积极模式协商速度要比主模式更快(2)建立IPSECVPN通道

建立方法与远程访问的基本相同，下面指出一些不同的地址,连接类型：选择站点对站点,本地端ID和远端ID：在站点到站点的VPN中，如果两端都是固定的公网IP这里的配置不是必须的/远程VPN服务器：填写远端VPN设备的公网IP地址(3)放行防火墙规则我们需要放行两条防火墙规则，第一条是源域是VPN目的域是LAN第二条是源域是LAN目的域是VPN

主机对主机这种模式也就是VPN中的传输模式，使用很少这里不做介绍SSLVPN配置配置步骤：(1)SSLVPN通道访问配置，如下图：3SU照11»碑a用尸证书融值㈡航1书.।严凝回孑网推吗.主口―JA.ONSiwiNa推LWIMG断试殷奥T*uopetcp通uutipiy梅也里那州拿M中总nceCgnrng境 «|，加的证书讣司证南在这才齿1!!这JSJS凝4证书4证书部可证13^pkjriCQ[：4rtri[alQ ,103gl-”源加5・，•1]；了.•二印「川」：jrr1HJ口俎r：十E”生汨7便叫1,24CZW2&S2510)Qa开U特垄西目鼻-Si 甘讨》非叩j中电连靠， 30。 秒100-1800。1胆捌■* 15 其冲(15-60?凿士蜡播推- 250 [1-G553E：!■需要注意的：SSL服务端证书与客户端证书选择设备集成的证书(2)添加SSLVPN策略

给用户下发具体的访问配置策略，指定用户可以访问的资源，配置如下图：/名称：自定义策略名称,访问模式：可选的有三种模式，隧道模式需要在下载一个客户端给用户，建立虚拟的隧道到服务器端，可以访问服务器端连接的内网IP地址段，没有应用方面的限,网页访问：主要针对B/S架构的软件应用程序，可以直接发布，用户直接点击连接访问,应用程序访问模式：主要针对一些C/S架构的，不能通过HTTP来访问的应用程序/通道类型：选择分割通道，如果选择完全通道，用户的上网流量也经过SSLVPN进行加密转发，增加了设备的负担,可用资源：我们可以直接选择内网端口

网页访问设置以及应用程序访问设置，我们需要先到书签中定义相关的可以访问项目，然后在到策略中指定。打开书签，如下图：锦耐锦耐类型流地址*例如：httpHmydomain，或例如：httpHmydomain，或http:阴92.伤口11303口描述确定取消根据实际要发布的资源定义相关书签，如：名称：CA类型：HTTP地址：HTTP:〃内网CA服务器地址点击确定(3)建立SSLVPN用户选择身份验证----用户，打开如下页面

用户的,第J也用■：1=1+!!-'I：.印一「炉三k用邮限F-▼OpenGroupU-：用户的,第J也用■：1=1+!!-'I：.印一「炉三k用邮限F-▼OpenGroupU-：:JL用忙三二上.注,■1：-='款更Mi翳曾理ssLVFrjn|MOWAl -同。W邮LHiTiiLedInternetAccess向1clMsd&IIttietiEm工一六I用苗潞应用12TpbPPTP'^11中公::|=4J删F3、用°午.另可ll弗但ir,13 tl-931填写用户相关信息需要注意的：组选择OPENGROUPSSLVPN选择上面新建的策略，点击确定建立完成(4)放行防火墙规则源域选择VPN目的域选择LAN我们可以通过HTTPS://IP：8443来访问测试九、网页过滤针对内网用户上网行为做出限制，限制用户可以访问的网页类型

配置步骤:(1)设置类别选择网页过滤----类别，打开如下界面:rrT策融崖1^11□1Imun自较NciniTDitanq■也U“1LYEtfTunk郭猛Neutral啧U匆猛NoniYDikng%U密猛UnHcjBif,■如猛Honinnoiitlry*U♦o!：：hijLmnifr，；b：!ri：ijWNHonWrtryI■W.猛n^nWitrysU4rfS^nJ~l必“即认HonTitifting、id如JHonYYtiitirq*U蛆型EE时t则认HQnWprtdngu口局5Hhk而口怖标国、uUuE』riT”Arid£EME*HhJkNeuiral、kJCMlWik阿n怖diiguWikNeutraiuWikNtilrai*H|二：仙味丽工师WJikNeiiraJ、uUikNoniYDrtrq」1g苞兜uHun他而制%只有购买了单独的许可，设备中的内置的网页分类库才可以正常使用如果功能模块未被激活，只可通过域名和关键字来实现网页的过滤，需要自定义网页分类，如下:添加网更类别美禄亍反共逑亨'在白漆加关键享美禄亍反共逑亨'在白漆加关键享辆入纽卜酒或关建宁m］舟十多队壬健号二可.吉用也三幅F选择网页的分类

填写要过滤的域名或者关键字，点击确定添加完成(2)新建过滤策略选择网页过滤---策略，打开如下界面:创口 口融诂宣而五!031111p国俄[T* T•珏U”讦开日Alowallntarnc<:AocK=%i_l咨魁杆向RdlciftirChldun?!IrriamtlPnjtedwn«\d:U口的■＞即庭开口口臂上所以出宜Me餐ig।।Eiwha」iEan打目gi咐开池Dmif>川CiuijridMidi、而jj□wifAllglErtgi涉杆日口 油i、向Li[Jn川iwe：：日 匚hu丸讦阡肩口fMW曲BBMdChtf:、⑪LI口etHTIFimd炀开向□erii,HTTPUpla3ri、而uG构电।部值“gi&OiPff开dTHEHr两党的/他同防加CO©旧MBS而jjHoFoin口ft»开蛆PcmaAlrn>aTim、而11M。Ram口Ejarne〉Md、由涉钎日NoFamoEjniEi-andAdsLI11MRje口NqMs嫡开■NpRomoHq*ri鼻*向U£i]*开广S而IVW B贞代工勃■2。S0!2]IIoil）叵叵I设备上面有内置的策略，可用直接被防火墙规则引用，也可以自己定义新的策略，我们选择添加新策略*地话也口用号完下©件十疗乐tr"日।&io*地话也口用号完下©件十疗乐tr"日।&io表示称到:川西miHEHTTPS,策略名称：自定义,选择模板：ALLOWALL/启用报表：勾选目前并没有完成策略的新建我们需要选择上面添加的策略点击编辑，进到如下界面:

点击添加:选择网页类别，选择要过滤的网页类别，指定HTTP和HTTPS的访问动作，我们选择拒绝，点击添加完成(3)在防火墙规则中引用在上面我们完成了类别的添加和策略的新建，但是配置并没有生效，我们需要在防火墙规则中引用新建的策略，打开防火墙---规则，选择LAN—WAN的防火墙规则：选择高级设置:在网页过滤中将新建的策略引用，同时将记录防火墙流量开启的勾选，点击确定完成十、应用程序过滤限制内网用户P2P软件，游戏，等非工作软件的使用应用程序过功能模块需要单独购买许可才可用正常使用其中的类别项列出了设备集成的应用程序特征库，特征库无法编辑添加，只能连接互联网自动更新，建议用户保持特征库的更新，来提高应用程序识别的准确性配置步骤：(1)新建过滤策略选择应用程序过滤---策略，点击添加:

填入策略名称，点击确定，然后编辑新添加的策略:点击添加:选择要过滤的应用程序类别，动作选择拒绝，点击确定完成(2)在防火墙规则中引用选择防火墙---规则，选择LAN----WAN规则：选择高级设置:选择高级设置:黄全亩用虐百否1元 Jj©耳干应用超胃后同管的总问时课一.tIO」■干雨过的;ee■环闿■田羊峪一.窜1确道河心」科E椅6正阳件F布UJTE□SfiTTFDP0F3_jin^uftfDhttfuhttps史都^u■, 回开a行贪情史都^u■, 回开a在应用层过滤中选择上面添加的策略，点击确定，配置完成卜一、防病毒对流经UTM的流量进行防病毒扫描过滤防病毒功能模块需要单独购买许可才可以正常使用病毒库需要连接互联网进行升级和更新配置步骤：(1)开启UTM防病毒扫描功能打开防火墙---规则，选择LAN---WAN策略，如果有开启WAN---LAN策略，有必要也可以开启相关选项选择高级设置:在防病毒&垃圾邮件扫描中，将要扫描过滤的协议勾选，建议在使用之初HTTPS扫描不要开启，以免造成访问一些HTTPS加密的站点访问异常(2)对扫描的协议相关项进行配置选择防病毒----邮件，打开邮件相关协议的配置选项建舌］SMTP力强据则IPO国*AP扫葡应明］地址组SWP信件大小超过，3MT制运入「后［4汽POPSWP信件大小超过，3MT制运入「后［4汽POP闺网后刮：大，卡W忆注C千M1出I 三彳三M三定箱；、口11升一刈1大，•即力1Q2JOKBLP,三己其':当「「后生电『由M应用选择设置，设置扫描SMTP邮件的大小，可根据实际情况设置SMTP超过大小信件的动作选择允许POP3/IMAP信件大小超过按默认值设置

设置SMTP扫描规则：程置ISMTPla^jlPK|PQPMAR扫UtM］珈］呻fcJT：--SMTP■:■•.：.♦一 |ll\111'-.0：， SMTP门施 匣「.尸曲•.阻？IM--■-二三二『■曲•.阻？IM--■-二三二『■件人动作♦知宵理员■,■idMnewAudoFHE9ExBcutatiiHFile?DpTiiamicFl后s77^Te； •II：'t= R疑世受感亲■fl:T.-i^i- LJ：-：'e F］受保中的昭件,开肉* LJ：-：'e F]选择添加，自定义规则名称扫描选择开启对病毒邮件的处理动作，可以选择复制到隔离区或者通知发件人阻挡附件文件类型，可以对邮件传输的附件做具体的过滤动作设置POP/IMAP扫描规则：谩置 SMTP扫强税则 POPIMAP扫掘配通I地址组PDP3JIMAP协议只有单一规则当检测到由口件被病毒感染时.受感染的附件会被删除.同时将邮件内容替换为警告信息设置地址组:PTEI师R0U8HUFS5aPTEI师R0U8HUFS5adLME'B毛早由。Nnif-RBLiFsImjlarrrjarem㈤He建议保持默认设置，针对邮件相关协议的配置完成选择HTTP/S进行相关设置：iEIHnPtiOiJKIHTT”目一於wTiftunpass轲陶it e?m*'iLtiSF3fix件大小上Ri守 1G24 KBF3H町中riJffe■"Sifl由恒的丰知为调曲元讦羯证书5»扫描模式选择实时扫描文件大小上限值可以自定义扫描音频及图像可以根据实际设备使用情况选择开启或者关闭HTTPS设置，建议将拒绝未知协议勾去掉，允许非法证书的勾开启设置HTTP扫描规则：编辑HTTP扫描费则 x动作" *扫描<'不扫描[J取消如果没有特殊需求，使用默认规则即可设置HTTPS扫描列外：

可以根据实际添加不进行扫描的网页类别选择FTP协议进行相关设置：可根据实际使用调整扫描的值十二、入侵防御针对流经UTM的流量进行入侵防御检测，对有威胁的流量进行阻断入侵防御功能模块需要购买单独的许可才可以正常使用，设备集成了丰富的特征库，同时也可以自定义特征配置步骤：(1)配置入侵防御策略：

QKK■1T?Ft□diizaHc1,ACGfioidpafeo'lDscanbaflcluMnoIoEfJIZ4面LJ AGsnprSPdlCT ±®LJ侬3崛口例目却1白。口“iniliktA eh瞄harLAJ-4toW明Traffic.AMilpeghii3』k-W^4Trifle.R而设备已存在几条默认的策略，可以在防火墙直接引用，同时可以点击添加来新增策略:填入策略名称，选择需要检测的行为特征，点击确定完成可以针对检测的威胁，做具体的动作，编辑上面新建的策略，选择要设置的行为特征:»nmp开自甘证利ID甘征叼总称建议动价动作11-最署Si今动生-选隹睡里d允许数据包允许数据包V.1409SNLIPcdmrrunitvstringbuffe»nmp开自甘证利ID甘征叼总称建议动价动作11-最署Si今动生-选隹睡里d允许数据包允许数据包V.1409SNLIPcdmrrunitvstringbufferoverfowattemptHl1SMl.lFpublicaccessudpuS0H凶141BSNMPbroa±ssttrap允在勃据包允在勃据包①SMI.1Frequest岫寸讦我把包寸讦我把包▼I完讦数据笆liigsnmfirapudpV.H1BSNblHrequBsttcp凶 1^12 SNblF publicaccesstcpM U11 SNI.'IP privateaccessddftb£l -"i SNi..lP privateaccesstcpi*i U15 SMI.'IP Broadcastrequest九i'l颓型包 々i'l颓型包汨序案包 汨序案包汨镯曲包 汨镯曲包弁许勤指包 121回1422SHMPcommunit),stringbufferWBrflcj喇attemphvithevasion允许例据包允许勉据包T匣I142BSbIMFPROTOStest-suite-req-appattempl允许数据包允许数据包▼1也1427SNblFPROTOStest-suite-trap-appattempt允许数据包允许数据包T汨镯曲过1421SMl.'lP加entX也.口requesi允许数据包1892SMl.lPnullcorrmunilvslrngattempt匣］1420SNI.'IP1rap1qo元汴数据包允许独据包元汴数据包允许独据包丸讣再据包脸型消选择具体的动作，点击确定，策略配置完成(2)配置防火墙规则选择防火墙---规则：JN!H£B：找西瞭.舞本设置季日斥ElSfLAN~~13疝时」卜1同卸弼证1-于网「立机"If晌—事1JE西,任何T|计端杷网11电Hm电女.石舌克IE第“应用r■3丁卡军IUASCIT|选择高级设置:

康至*RL帚霹值遍.施唱要由3记染1 工安全性珅通布如m。连e由方员已一1无TU王塔山同羯(-1ff.■旧♦在彳卡门关E司运悴I无H…EUTFLJ 牛」FTP-HTTP.HTTPB在用匕工£闰用过E人事加另闲浅阻而用国由包*在用匕工£闰用过E人事加另闲浅阻而用国由包*3代场修件扫假十三、带宽管理针对具体应用协议做带宽管理，限制P2P或者非工作类应用的带宽使用配置步骤:(1)新建带宽策略U□UU例靠号昼冕事事方电IKBK■小U□UU例靠号昼冕事事方电IKBK■小松大卜上民二fIK9H■小量大卜1：白1卜0：P口匕片区■干用布住・小伯%苗1£BktCJllH■:FM口旧■干用RM的*4HE*力短曲皿1|出pmc。♦手用刊物*am、用1281|龌蛇1|限PgiTF%总Hffll'A'IBUjMB.H&S313日kEB^i。*：Pci|pF/E■干向阳0晌14J1白■证IJiBEMIIn■:F口旧FGC却巾一崂173Rd3tleIF・千用户的位卓2S、可iGkjikfta5M口父F\*星干诩火出蛔加*巾声HmIIN■:FMg,■干用的*1&32*由PngE*于用刊物*聪a、心25MBailrfcPggC里干用尸的小量睇*司石自gailo:f小4■干向阳0晌1,32■5"tMlln■:FM口FIB■fffi比liWfflanz「maFWC♦干(甘川白河加、可望KH|KRMm口E星干用尸的性写却*证芟niKR—tidEFE叩*山"行!!工#＜：3］国画三ICVH|T■.叵设备内置了一部分带宽策略可以直接引用来做带宽管理，我们也可以添加适合自己的带宽策略，选择添加:

II审《于Q而户灯附火电蛔E同m亮则二应用出厚用・关U 。IG划-己Mk式 -：总尔上传4T制•AiLLftTtt：i“强*西袱那 三白E!何K热・ |喏于2HR3EKEja而便用军M2J •过三二共拿揖过I*)|«MJ/名称：自定义, 策略基于：选择应用程序, 策略类型：选择限制，限制带宽是指应用协议所占用带宽，不管网络是