華為USG6000系列至中神通UTMWALL的功能遷移手冊(cè)更多產(chǎn)品遷移說明：華為USG6000系列安全網(wǎng)關(guān)/NGFW面對(duì)SH企業(yè)、連鎖機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)、中小企業(yè)、企業(yè)的分支機(jī)構(gòu)，提供高性能，全方位的下一代安全防護(hù)。該系列產(chǎn)品集防火墻、IPS、AV、VPN、上網(wǎng)行為管理等功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。武漢中神通信息技術(shù)有限公司歷經(jīng)15年的開發(fā)和用戶使用形成了中神通UTMWALL?系列產(chǎn)品，有硬件整機(jī)、S軟件、虛擬化云網(wǎng)關(guān)等三種產(chǎn)品形式，S由50多個(gè)不斷增長(zhǎng)的功能APP、32種內(nèi)置日志和5種特征庫(kù)組成，每個(gè)APP都有配套的在線幫助、任務(wù)向?qū)А⒁曨l演示和狀態(tài)統(tǒng)計(jì)，可以擔(dān)當(dāng)安全網(wǎng)關(guān)、防火墻、UTM、NGFW等角色，勝任局域網(wǎng)接入、服務(wù)器接入、遠(yuǎn)程VPN接入、流控審計(jì)、行為管理、安全防護(hù)等重任，具備穩(wěn)定、易用、全面、節(jié)能、自主性高、擴(kuò)展性好、性價(jià)比優(yōu)的特點(diǎn)，是云計(jì)算時(shí)代的網(wǎng)絡(luò)安全產(chǎn)品。 以下是兩者之間的功能對(duì)比遷移表：華為USG6000系列功能項(xiàng)頁(yè)碼中神通UTMWALLv1.8功能項(xiàng)頁(yè)碼一、特性變更與支持A功能簡(jiǎn)介8二、從這里開始<見下>下一代防火墻簡(jiǎn)介介紹下一代防火墻產(chǎn)品產(chǎn)生的背景與重要概念。相似內(nèi)容，可參考部署場(chǎng)景設(shè)備的部署位置和部署模式影響到整網(wǎng)拓?fù)洹P地址分配以及特性選擇，需要提前做好規(guī)劃。2.2初始設(shè)置49登錄Web界面缺省情況下，設(shè)備允許管理員通過HTTPS方式登錄NGFW的Web界面。B快速安裝指南9熟悉Web界面的基本使用熟悉Web界面的一些常見元素和基本使用方法，可以幫助您更快地掌握Web界面其他功能的配置。2.4菜單界面及幫助內(nèi)容2.8帳號(hào)口令2.9幫助功能546264場(chǎng)景A（三層路由網(wǎng)關(guān)）初始化在確定設(shè)備的部署場(chǎng)景并完成設(shè)備安裝后，可以執(zhí)行一系列初始化配置來使設(shè)備可以在網(wǎng)絡(luò)中正常工作。2.2初始設(shè)置

運(yùn)行方式為NAT49場(chǎng)景B（二層透明橋接）初始化通過將三層接口切換到二層模式，可以實(shí)現(xiàn)將設(shè)備透明植入現(xiàn)有網(wǎng)絡(luò)中。2.2初始設(shè)置

運(yùn)行方式為透明網(wǎng)橋49場(chǎng)景C（雙機(jī)熱備）初始化通過兩臺(tái)設(shè)備進(jìn)行備份，實(shí)現(xiàn)在一臺(tái)設(shè)備故障時(shí)，另外一臺(tái)設(shè)備能夠迅速接替故障設(shè)備的工作，保證業(yè)務(wù)流量不中斷。3.5雙機(jī)熱備76注冊(cè)及激活License在線注冊(cè)并激活License，獲取更多功能的使用權(quán)限。2.1許可證

2.7升級(jí)管理47

60升級(jí)特征庫(kù)在配置內(nèi)容安全功能之前，請(qǐng)先升級(jí)特征庫(kù)。獲取最新的特征庫(kù)可以識(shí)別更多的應(yīng)用、病毒和威脅，提高系統(tǒng)的安全防護(hù)能力。2.1許可證

2.7升級(jí)管理47

60配置安全業(yè)務(wù)通過配置安全業(yè)務(wù)可以全面提升網(wǎng)絡(luò)安全性，并可有效控制流量轉(zhuǎn)發(fā)。選擇安全業(yè)務(wù)場(chǎng)景2.2初始設(shè)置配置安全區(qū)域、配置安全策略5.7總控策略管理內(nèi)網(wǎng)用戶8.3用戶組配置NAT策略5.6NAT策略49105183103高級(jí)配置在完成基礎(chǔ)的網(wǎng)絡(luò)和安全業(yè)務(wù)部署之后，可以根據(jù)需要選配其他的特性。配置策略路由5.7總控策略策略路由通過VPN實(shí)現(xiàn)網(wǎng)絡(luò)安全互聯(lián)9撥號(hào)接入10IPSECVPN配置帶寬策略5.5QS對(duì)象5.4會(huì)話對(duì)象10519119910199下一步干什么下一步您可以根據(jù)需要選擇使用更多功能，或者通過幫助、網(wǎng)站、技術(shù)支持中心獲得更多與本產(chǎn)品有關(guān)的知識(shí)。升級(jí)系統(tǒng)軟件2.7升級(jí)管理設(shè)置其他管理員更多安全措施5.7總控策略SYN代理5.4會(huì)話對(duì)象7.7IPS狀態(tài)4.1ARP服務(wù)閱讀豐富的日志與報(bào)表1.15日志統(tǒng)計(jì)獲取幫助2.9幫助功能69內(nèi)置10599174824564三、向?qū)Ы榻B快速向?qū)У氖褂梅椒āＭㄟ^快速向?qū)梢钥焖偻瓿稍O(shè)備基礎(chǔ)配置并連接到互聯(lián)網(wǎng)。2.3任務(wù)向?qū)?2快速向?qū)Э焖傧驅(qū)椭瓿稍O(shè)備基礎(chǔ)配置并連接到互聯(lián)網(wǎng)。本節(jié)將分別介紹每個(gè)步驟的參數(shù)和向?qū)У牟僮鞣椒ā?.3任務(wù)向?qū)?2四、面板通過面板可以直觀、快速地查看設(shè)備的狀態(tài)信息，分析設(shè)備當(dāng)前的運(yùn)行情況。1.1系統(tǒng)概要/儀表盤17設(shè)置狀態(tài)窗口在面板界面有多個(gè)狀態(tài)窗口，可以進(jìn)行自定義設(shè)置。1.1系統(tǒng)概要/儀表盤17設(shè)備狀態(tài)圖在本窗口可以查看設(shè)備上接口和指示燈的狀態(tài)信息。1.5網(wǎng)卡狀態(tài)25設(shè)備資源信息在本窗口通過資源圖可以查看CPU、內(nèi)存、CF卡和硬盤的資源使用情況。1.3系統(tǒng)狀態(tài)21系統(tǒng)信息在本窗口可以查看設(shè)備的序列號(hào)、系統(tǒng)軟件版本和設(shè)備工作狀態(tài)等信息。1.1系統(tǒng)概要17接口流量統(tǒng)計(jì)信息在本窗口通過折線圖展示在過去一段時(shí)間內(nèi)通過接口的數(shù)據(jù)流量信息。1.4網(wǎng)絡(luò)狀態(tài)23License信息在本窗口可以查看License的激活狀態(tài)以及受License控制的資源的可用數(shù)量。2.1許可證47告警信息在本窗口可以查看設(shè)備產(chǎn)生的告警信息。所有告警信息按產(chǎn)生時(shí)間順序排列，最新的排在最上方。1.14系統(tǒng)日志上面框架中的滾動(dòng)窗口實(shí)時(shí)顯示43系統(tǒng)日志信息在本窗口可以查看設(shè)備最新產(chǎn)生的系統(tǒng)日志信息。所有系統(tǒng)日志信息按產(chǎn)生時(shí)間順序排列，最新的排在最上方。1.14系統(tǒng)日志43威脅日志信息在本窗口可以查看設(shè)備最新產(chǎn)生的威脅日志信息。所有威脅日志信息按產(chǎn)生時(shí)間順序排列，最新的排在最上方。7.6IDS日志及統(tǒng)計(jì)172日志系統(tǒng)業(yè)務(wù)存儲(chǔ)情況在本窗口可以查看每類系統(tǒng)業(yè)務(wù)日志和報(bào)表占用硬盤的容量大小以及占用硬盤容量與總?cè)萘康谋壤?.15日志統(tǒng)計(jì)45可視化管理中心介紹可視化管理中心的使用方法。1.1系統(tǒng)概要17五、系統(tǒng)介紹設(shè)備各種基本功能的配置，以及升級(jí)和維護(hù)的配置。首次登錄設(shè)備介紹管理員如何通過Cnsle口和Web首次登錄一臺(tái)NGFW的管理員界面。B快速安裝指南2.8帳號(hào)口令962管理員介紹管理員、管理員界面以及管理員服務(wù)的配置方法。WEBAdmin及Cnsle管理員2.2初始設(shè)置管理主機(jī)49系統(tǒng)時(shí)鐘為了保證與其他設(shè)備協(xié)調(diào)工作，需要準(zhǔn)確設(shè)置系統(tǒng)的時(shí)鐘。2.5本地時(shí)間56License管理介紹申請(qǐng)、激活、檢查、調(diào)試License的內(nèi)容。2.1許可證

2.7升級(jí)管理47

60SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP是廣泛用于TCP/IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)協(xié)議。SNMP提供了一種通過運(yùn)行網(wǎng)絡(luò)管理軟件的中心計(jì)算機(jī)（即網(wǎng)絡(luò)管理工作站網(wǎng)管）來管理網(wǎng)元的方法。SNMP有SNMPv1、SNMPv2c和SNMPv3三個(gè)版本，用戶可以根據(jù)情況選擇同時(shí)配置一個(gè)或多個(gè)版本。4.6SNMP服務(wù)91跨三層MAC識(shí)別當(dāng)NGFW與內(nèi)網(wǎng)之間通過三層網(wǎng)絡(luò)設(shè)備相連時(shí)，配置跨三層MAC識(shí)別功能可使NGFW獲取到內(nèi)網(wǎng)PC的MAC地址。4.2SNMP監(jiān)控84推送信息配置介紹如何配置推送信息。6.10WEB內(nèi)容過濾內(nèi)置提示6.5DNS代理過濾128117郵件服務(wù)設(shè)置通過設(shè)置SMTP郵件服務(wù)器，設(shè)備可以將信息發(fā)送到指定郵箱中。內(nèi)置賬號(hào)，可通過許可證設(shè)置日志/告警/調(diào)試信息的輸出介紹日志/告警/調(diào)試信息的內(nèi)容和配置方法。1.14系統(tǒng)日志43文件系統(tǒng)介紹對(duì)NGFW的文件系統(tǒng)進(jìn)行管理的操作，以及NGFW與其他設(shè)備之間進(jìn)行文件傳輸?shù)呐渲谩?.15日志統(tǒng)計(jì)內(nèi)置日志留存管理機(jī)制45NTP介紹NTP的基本概念、原理、配置以及應(yīng)用。2.5本地時(shí)間56升級(jí)中心介紹如何在升級(jí)中心將特征庫(kù)升級(jí)到指定版本。立馬更新特征庫(kù)的版本，可以提高網(wǎng)絡(luò)安全設(shè)備的動(dòng)態(tài)安全防御能力。2.7升級(jí)管理60系統(tǒng)更新介紹升級(jí)系統(tǒng)軟件和補(bǔ)丁軟件。2.7升級(jí)管理60配置文件管理介紹如何使用、保存、備份、清除、比較以及查看配置文件。2.6配置管理58重啟系統(tǒng)在系統(tǒng)升級(jí)或修改設(shè)備重大配置后，通常需要重新啟動(dòng)系統(tǒng)，以便最新配置生效。1.2功能統(tǒng)計(jì)重啟關(guān)閉19NQA介紹了NQA的基本原理、多種測(cè)試情況和通用參數(shù)，并提供了配置舉例。1.13測(cè)試工具41LLDPLLDP提供了一種鏈路層網(wǎng)絡(luò)的發(fā)現(xiàn)方式，用于跟蹤和快速掌握二層網(wǎng)絡(luò)的拓?fù)渥兓?lt;本版本暫無>可用ping、snmp等代替PMTU通過探測(cè)PMTU，找到從源端到目的端路徑上使報(bào)文不分片的所有接口中的最小MTU值。<本版本暫無>可用第三方工具軟件代替NetStream介紹NetStream的基本概念、原理以及如何實(shí)現(xiàn)和應(yīng)用。<本版本暫無>與4.5Netflw探針類似89敏捷網(wǎng)絡(luò)介紹敏捷網(wǎng)絡(luò)的基本概念、NGFW在敏捷網(wǎng)絡(luò)中的配置方法和使用限制。<本版本暫無>可通過2.6配置管理保存配置并上傳到新設(shè)備上，再恢復(fù)配置58六、高可靠性介紹了如何利用設(shè)備提升網(wǎng)絡(luò)可靠性，以及雙機(jī)熱備、Bypass、Link-grup、IP-link及BFD的配置方法。<見下>雙機(jī)熱備雙機(jī)熱備功能可以保證網(wǎng)絡(luò)中主用設(shè)備出現(xiàn)故障時(shí)，備用設(shè)備能夠平衡地接替主用設(shè)備的工作，從而實(shí)現(xiàn)業(yè)務(wù)的不間斷運(yùn)行。3.5雙機(jī)熱備76Bypass通過配置電口Bypass可以避免設(shè)備故障引起的網(wǎng)絡(luò)通信中斷，提高網(wǎng)絡(luò)的可靠性。Bypass功能需要Bypass接口卡的支持。需硬件主板支持Link-grupLink-grup是指將多個(gè)物理接口綁定在一個(gè)邏輯組中，保證組內(nèi)物理接口的狀態(tài)一致性。3.5雙機(jī)熱備76IP-linkIP-Link主要用于業(yè)務(wù)鏈路正常與否的自動(dòng)偵測(cè)，可以檢測(cè)到與設(shè)備不直接相連的鏈路狀態(tài)。3.1網(wǎng)卡設(shè)置網(wǎng)關(guān)IP探測(cè)5.6NAT策略服務(wù)器IP探測(cè)67103BFDBFD是一種獨(dú)立的Hell協(xié)議，可以實(shí)現(xiàn)輕負(fù)荷的快速故障探測(cè)功能。通過與上層協(xié)議的聯(lián)動(dòng)，可以讓上層協(xié)議快速發(fā)現(xiàn)故障并進(jìn)行恢復(fù)。<本版本暫無>七、虛擬系統(tǒng)介紹虛擬系統(tǒng)的配置方法。<本版本暫無>因UTMWALLS中每塊網(wǎng)卡均具備全部功能，所以可以達(dá)到同樣的效果，或者用虛擬云防火墻產(chǎn)品代替八、網(wǎng)絡(luò)介紹網(wǎng)絡(luò)相關(guān)特性的內(nèi)容和配置方法。3網(wǎng)絡(luò)設(shè)置67接口和接口對(duì)介紹接口和接口對(duì)的基本概念、配置過程和配置舉例。3.1網(wǎng)卡設(shè)置67安全區(qū)域介紹安全區(qū)域的基本概念和配置過程。3.1網(wǎng)卡設(shè)置67DNS介紹DNS、DDNS、DNS透明代理和智能DNS的基本概念、配置過程和配置舉例。3.7DNS解析6.5DNS代理過濾80117DHCP介紹DHCP的基本概念、配置過程和配置舉例。4.3DHCP服務(wù)

3.1網(wǎng)卡設(shè)置DHCP方式86

67DHCPv6介紹DHCPv6的基本概念、配置過程和配置舉例。<本版本暫無>鏈路聚合介紹鏈路聚合的基本概念、配置過程和配置舉例。3.2鏈路聚合70PPP介紹PPP的基本概念和配置過程。9撥號(hào)接入191PPPE介紹PPPE的基本概念、配置過程和配置舉例。9.3PPPE總體設(shè)置195MAC地址表介紹MAC地址表的基本概念、配置過程和配置舉例。4.1ARP服務(wù)82ARP介紹ARP的基本概念、配置過程和配置舉例。4.1ARP服務(wù)82VLAN介紹VLAN的基本概念、配置過程和配置舉例。3.3VLAN72DHCPSnping介紹DHCPSnping的基本概念、配置過程和配置舉例。<本版本暫無>4.3DHCP服務(wù)DHCP中繼IPv6鄰居發(fā)現(xiàn)介紹IPv6鄰居發(fā)現(xiàn)和安全鄰居發(fā)現(xiàn)的基本概念、配置過程和配置舉例。<本版本暫無>IP性能介紹IP性能的基本概念和配置過程。系統(tǒng)內(nèi)置九、智能選路當(dāng)NGFW擁有多條出口鏈路時(shí)，智能選路功能可以動(dòng)態(tài)地選擇出接口，保證鏈路資源得到充分利用，提升用戶的上網(wǎng)體驗(yàn)。3.1網(wǎng)卡設(shè)置網(wǎng)關(guān)IP探測(cè)3.6路由設(shè)置5.1地址對(duì)象ISP地址5.7總控策略策略路由677893105十、IP路由介紹IP路由的內(nèi)容和配置方法。<見下>路由基礎(chǔ)NGFW根據(jù)IP路由協(xié)議生成路由表，并根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù)包。<參考相關(guān)描述>靜態(tài)路由靜態(tài)路由適用于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境。3.6路由設(shè)置78RIP介紹RIP的基本概念、配置過程和配置舉例。3.6路由設(shè)置RIP78SPF介紹SPF的基本概念、配置過程和配置舉例。3.6路由設(shè)置SPF78BGPBGP是一種基于距離矢量的外部網(wǎng)關(guān)協(xié)議，著眼點(diǎn)在于控制路由的傳播和選擇最佳路由。3.6路由設(shè)置BGP78IS-ISIS-IS協(xié)議在運(yùn)營(yíng)商中得到廣泛的應(yīng)用，是直接運(yùn)行在鏈路層的內(nèi)部網(wǎng)關(guān)路由協(xié)議，具有收斂速度快，分層結(jié)構(gòu)清晰的特點(diǎn)，非常適合大規(guī)模網(wǎng)絡(luò)。<本版本暫無>路由策略路由策略可以對(duì)發(fā)布、接收、引入的路由信息進(jìn)行篩選，或者修改路由信息的屬性。<參考相關(guān)描述>RIPng介紹RIPng的基本概念、配置過程和配置舉例。<本版本暫無>SPFv3介紹SPFv3的基本概念、配置過程和配置舉例。<本版本暫無>BGP4+BGP4+協(xié)議是BGP協(xié)議的擴(kuò)展，提供了對(duì)IPv6網(wǎng)絡(luò)的支持。與BGP一樣，BGP4+也是用于在AS之間傳遞路由信息的外部網(wǎng)關(guān)路由協(xié)議。<本版本暫無>MPLSMPLS支持多層標(biāo)簽和面對(duì)連接特性。MPLSLDP協(xié)議提供了環(huán)路檢測(cè)機(jī)制，可以預(yù)防LSP環(huán)路的出現(xiàn)。如果管理員不需要嚴(yán)格控制LSP建立的過程，則推薦采用LDP協(xié)議來創(chuàng)建LSP。<本版本暫無>十一、用戶與認(rèn)證介紹用戶與認(rèn)證的內(nèi)容和配置方法。8.2用戶8.1認(rèn)證方法8.3用戶組5.7總控策略用戶認(rèn)證WEB用戶門戶181179183105十二、對(duì)象介紹對(duì)象的內(nèi)容和配置方法。地址和地址組介紹地址和地址組的定義和配置方法。5.1地址對(duì)象93域名組域名組是域名的集合，管理員可以在帶寬策略中引用域名組實(shí)現(xiàn)基于域名的帶寬策略控制。5.1地址對(duì)象事先解析域名93地區(qū)和地區(qū)組地區(qū)和地區(qū)組是基于地理位置劃分的IP地址集合，管理員可以在策略中引用地區(qū)或地區(qū)組實(shí)現(xiàn)基于地區(qū)的策略控制。5.1地址對(duì)象事先收集整理93服務(wù)和服務(wù)組介紹服務(wù)和服務(wù)組的定義和配置方法。5.7總控策略直接填寫目的IP及端口105應(yīng)用和應(yīng)用組NGFW上的應(yīng)用識(shí)別模塊能夠很好的識(shí)別各種常見的應(yīng)用，并對(duì)各種應(yīng)用進(jìn)行了詳細(xì)的標(biāo)識(shí)。您可以基于應(yīng)用去創(chuàng)建策略，為不同的應(yīng)用指定不同策略，實(shí)現(xiàn)不同應(yīng)用差異化、精細(xì)化管理的目的。6.1特殊應(yīng)用總體設(shè)置6.2特殊應(yīng)用功能設(shè)置109111證書證書也稱為數(shù)字證書，由CA（認(rèn)證中心）頒發(fā)，為網(wǎng)絡(luò)上通信的實(shí)體提供加解密、身份驗(yàn)證及防止抵賴等功能。10.2IPSECVPN本機(jī)設(shè)置WEB用戶門戶下載證書202時(shí)間段介紹時(shí)間段的定義和配置方法。5.2時(shí)間對(duì)象95ACL介紹ACL的定義、工作機(jī)制以及配置方法。5.7總控策略3.4網(wǎng)橋設(shè)置MAC過濾10574IPv6ACL本章介紹IPv6ACL的定義、工作機(jī)制以及配置方法。<本版本暫無>十三、安全策略與配置文件介紹安全策略與配置文件的內(nèi)容和配置方法。<見下>安全策略安全策略負(fù)責(zé)防火墻流量的轉(zhuǎn)發(fā)和內(nèi)容安全的一體化檢測(cè)及處理。5.7總控策略105反病毒反病毒特性用于保護(hù)內(nèi)網(wǎng)的用戶和服務(wù)器免受病毒威脅。6.24防病毒引擎

6.10WEB內(nèi)容過濾

6.14防病毒例外

6.16PP3代理過濾

6.17SMTP代理過濾155

128

136

140

142入侵防御入侵防御是一種安全機(jī)制。設(shè)備通過分析網(wǎng)絡(luò)流量來檢測(cè)入侵，并通過一定的響應(yīng)方式實(shí)時(shí)地中止入侵行為。7入侵檢測(cè)與防御162URL過濾URL（UnifrmResurceLcatr）過濾可以對(duì)用戶訪問的URL進(jìn)行控制，允許或禁止用戶訪問某些網(wǎng)頁(yè)資源，達(dá)到規(guī)范上網(wǎng)行為的目的。6.4WEB審計(jì)過濾

6.9WEB代理過濾規(guī)則6.6DNSURL庫(kù)115

126119文件過濾文件過濾通過阻斷特定類型的文件傳輸，可以降低內(nèi)部網(wǎng)絡(luò)執(zhí)行惡意代碼和感染病毒的風(fēng)險(xiǎn)，還可以防止員工將公司文件泄漏到互聯(lián)網(wǎng)。6.4WEB審計(jì)過濾

6.9WEB代理過濾規(guī)則115

126內(nèi)容過濾內(nèi)容過濾可以防止信息的泄露及違規(guī)信息的傳輸。6.12關(guān)鍵詞規(guī)則6.13關(guān)鍵詞例外132134應(yīng)用行為控制應(yīng)用行為控制功能可以對(duì)常見的HTTP行為和FTP行為進(jìn)行精細(xì)化控制。6.4WEB審計(jì)過濾

6.9WEB代理過濾規(guī)則6.15FTP代理過濾115

126138郵件過濾郵件過濾是指對(duì)郵件收發(fā)行為進(jìn)行管控，包括防止垃圾郵件和匿名郵件泛濫，控制違規(guī)收發(fā)等。6.16PP3代理過濾

6.17SMTP代理過濾140

142十四、SSL解密介紹SSL解密功能的內(nèi)容和配置方法。11.1SSL接入208十五、審計(jì)策略與審計(jì)配置文件通過配置審計(jì)策略與審計(jì)配置文件，可以對(duì)用戶的上網(wǎng)行為進(jìn)行記錄，便于管理員后續(xù)對(duì)用戶的上網(wǎng)行為進(jìn)行審查和分析。6.3網(wǎng)絡(luò)審計(jì)113十六、NAT策略介紹NAT策略的內(nèi)容和配置方法。5.6NAT策略103十七、策略路由與單純按照IP報(bào)文的目的地址查找路由表進(jìn)行轉(zhuǎn)發(fā)不同，策略路由是一種依據(jù)用戶制定的策略進(jìn)行轉(zhuǎn)發(fā)的機(jī)制。3.1網(wǎng)卡設(shè)置網(wǎng)關(guān)IP探測(cè)3.6路由設(shè)置5.1地址對(duì)象ISP地址5.7總控策略策略路由677893105十八、帶寬管理介紹帶寬管理的內(nèi)容和配置方法。5.5QS對(duì)象5.4會(huì)話對(duì)象5.7總控策略10199105十九、配額控制策略介紹配額控制策略的內(nèi)容和配置方法。5.3流量對(duì)象5.7總控策略97105二十、VPNVPN（VirtualPrivateNetwrk）即虛擬專用網(wǎng)。介紹了VPN的基本概念以及幾種VPN的配置方法。<見下>VPN總論介紹VPN的產(chǎn)生背景、封裝原理、優(yōu)勢(shì)、應(yīng)用場(chǎng)景及選擇方法等，可通過本章來選擇適合的VPN類型。相似內(nèi)容，可參考IPSec通信雙方在IP層通過隧道加密方式進(jìn)行通信，其優(yōu)點(diǎn)是能夠保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性。10IPSECVPN199L2TPL2TP是對(duì)PPP模型的擴(kuò)展。待訪問內(nèi)網(wǎng)服務(wù)器的用戶會(huì)向LAC或LNS發(fā)起PPP連接，LAC或LNS對(duì)用戶進(jìn)行認(rèn)證，并由LNS給認(rèn)證通過的用戶分配內(nèi)網(wǎng)地址。分配到地址的用戶便可以自由訪問服務(wù)器資源，如同處于內(nèi)網(wǎng)一樣。<本版本暫無>可用VPN代替L2TPverIPSecL2TPverIPSec，即先用L2TP封裝報(bào)文后再用IPSec封裝，這樣可以綜合兩種VPN的優(yōu)勢(shì)，通過L2TP實(shí)現(xiàn)用戶驗(yàn)證和地址分配，并利用IPSec保障安全性。<本版本暫無>可用VPN代替GREGRE（GeneralRutingEncapsulatin，通用路由封裝）是對(duì)某些網(wǎng)絡(luò)層協(xié)議的報(bào)文進(jìn)行封裝，使這些被封裝的報(bào)文能夠在另一網(wǎng)絡(luò)層協(xié)議中傳輸。<本版本暫無>可用VPN代替DSVPNDSVPN用于在Hub-Spke組網(wǎng)方式下，為分支與分支之間建立動(dòng)態(tài)的VPN隧道，實(shí)現(xiàn)分支用戶之間的直接互訪。<本版本暫無>BGP/MPLSIPVPNBGP/MPLSIPVPN使用BGP在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由，使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)VPN報(bào)文。BGP/MPLSIPVPN組網(wǎng)方式靈活、可擴(kuò)展性好，并能夠方便地支持MPLSQS。<本版本暫無>二十一、SSLVPN介紹了SSLVPN（SecureScketsLayerVPN）的內(nèi)容和配置方法。11.1SSL接入11.2SSLVPN總體設(shè)置208210二十二、安全防護(hù)介紹安全防護(hù)的內(nèi)容和配置方法。5.7總控策略幫助內(nèi)容105攻擊防范NGFW的攻擊防范功能能夠檢測(cè)出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)主機(jī)的正常運(yùn)行。5.7總控策略內(nèi)置105黑名單如果認(rèn)為某個(gè)用戶/IP地址不可信時(shí)，可以將該用戶/IP地址加入黑名單，設(shè)備將丟棄來自或發(fā)往這些用戶/IP地址的所有報(bào)文，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。5.1地址對(duì)象

BlckedClient及BlckedServer

7.7IPS狀態(tài)93

174IP-MAC綁定將IP地址與MAC地址進(jìn)行綁定是防范IP地址冒用以及ARP欺騙等攻擊的重要手段。4.1ARP服務(wù)82應(yīng)用層過濾（ASPF）由于某些特殊應(yīng)用會(huì)在通信過程中臨時(shí)協(xié)商端口號(hào)等信息，所以需要設(shè)備通過檢測(cè)報(bào)文的應(yīng)用層數(shù)據(jù)，自動(dòng)獲取相關(guān)信息并創(chuàng)建相應(yīng)的會(huì)話表項(xiàng)，以保證這些應(yīng)用的正常通信。這個(gè)功能稱為ASPF（ApplicatinSpecificPacketFilter）。5.6NAT策略ALG功能103配置基于MAC地址的過濾基于MAC地址的過濾用于控制接口收到的以太網(wǎng)幀。配置基于MAC地址的過濾可以通過屏蔽主機(jī)MAC地址來防止ARP攻擊，以及根據(jù)協(xié)議類型來控制報(bào)文的通過。5.7總控策略3.4網(wǎng)橋設(shè)置MAC過濾10574URPF使用單播逆向路徑轉(zhuǎn)發(fā)URPF（UnicastReversePathFrwarding）技術(shù)可以解決源