《安全网关业务FAQ》课件.ppt

1、用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司1“安全网关安全网关”业务常见问题业务常见问题FAQFAQ2006年年 7月月5日日用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司2一、系统网络配置一、系统网络配置二、病毒过滤二、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机

2、密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司3了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关支持哪些网络接入模式？安全网关支持哪些网络接入模式？A:安全网关支持两种网络接入模式:一种是网桥模式，一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。Q:Q:网桥模式下安全网关应该部署在网络中的什么位置？网桥模式下安全网关应该部署在网络中的什

3、么位置？A:A:如果安全网关采用网桥模式，通常情况下应该部署在企业接入设备（防火墙或者路由器）的后面。安全网关的两个网口（内网口和外网口）连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址，不需要改变网络拓扑以及其它配置，透明接入网络。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司4了解自身安全状况部署安全产品实现可管理安全Q:Q:网关模式下安全网关应该部署在网络中的什么位置？网关模式下安全网关应该部署在网络中的什么位置？A:A

4、:如果安全网关采用网桥模式，通常情况下应该部署在企业网络出口处，做为宽带网络接入设备，保护整个内部网络。Q:Q:无法通过浏览器登录安全网关的管理页面？无法通过浏览器登录安全网关的管理页面？A:A:出现这种情况有以下几个原因：未将登陆pc加入安全网关的管理客户端网络无法连通（该登陆PC到安全网关的链路）用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司5了解自身安全状况部署安全产品实现可管理安全Q:Q:为什么在外网为什么在外网pingping不通安全网关

5、的外网口地址？不通安全网关的外网口地址？A:A:安全网关出于安全考虑对外网口是禁ping的，应此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。Q:Q:安全网关支持哪些方式的安全网关支持哪些方式的VPN?VPN?A:A:对于企业连接不同地域网络的需求，安全网关提供了VPN功能，企业可以通过Internet连接不同地域的网络。安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremo

6、st江苏省电信有限公司江苏省电信有限公司6了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关安装完毕后，为什么能安全网关安装完毕后，为什么能pingping通外网，而无法通外网，而无法浏览网页？浏览网页？A:A:出现这种情况有以下的原因如果安全网关作为网桥模式部署在防火墙的后面，并且做了访问控制的策略，由于安全网关对于扫描的协议采取的是非透明的方式，所以需要增加安全网关的地址到策略中；未在安全网关中设置本地区的DNS服务器，或pc客户端的DNS设置有误。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Serv

7、ice Foremost江苏省电信有限公司江苏省电信有限公司7了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关支持安全网关支持DHCPDHCP服务器功能吗？服务器功能吗？A:A:安全网关可以做为一个单一DHCP 服务器使用，也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能，网桥模式下不支持DHCP服务器功能。Q:Q:如果忘记安全登录密码，怎么办？如果忘记安全登录密码，怎么办？A:A:通过串口登陆超级终端，输入用户名INFOGATE，密码INFOGATE，在命令提示符下输入passwdusername，修改用户登录密码。缺省是串口的用户名INFOGATE。用户至上用心

8、服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司8了解自身安全状况部署安全产品实现可管理安全Q:Q:当安全网关部署在三层交换机前面时，为什么有些当安全网关部署在三层交换机前面时，为什么有些VLANVLAN网段不能正常访问网段不能正常访问internetinternet？A:A:由于安全网关是基于透明的应用层代理，需要为数据包指回路由，不论是在网关模式还是网桥模式下，都需要为三层交换机下的每个子网设置指回路由，在系统配置路由设置，添加路由。网桥方式：网卡：br0，

9、类型：网络，主机，缺省，目的：IP地址，掩码，网关：三层交换机的地址。路由模式：网卡：eth0，类型：网络，主机，缺省，目的：IP地址，掩码，网关：三层交换机的地址。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司9一、系统网络配置一、系统网络配置二、病毒过滤二、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer F

10、irst Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司10了解自身安全状况部署安全产品实现可管理安全Q:Q:与传统的网络防病毒软件相比，安全网关在病毒过滤与传统的网络防病毒软件相比，安全网关在病毒过滤方面有哪些优势？方面有哪些优势？A:A:将病毒拦截在企业网络之外，不让病毒进入内部网络后再处理；专用的硬件设备，不会占用服务器或桌面PC机的资源；管理简便，只需要对安全网关设备进行管理就行；升级方便，能够及时地、自动地更新最新的病毒特征库，每天四次；病毒特征库升级减少对企业网络带宽造成影响。用户至上用心服务用户至

11、上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司11了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关支持哪些协议的病毒扫描？安全网关支持哪些协议的病毒扫描？A:A:安全网关能够对最常用的五种Internet协议（HTTP，POP3，SMTP，IMAP、FTP）以及Netbios（网络基本输入/输出系统）进行病毒扫描。SMTP:发送邮件的协议，默认扫描端口25IMAP:接收邮件的协议，默认扫描端口143POP3：接收邮件的协议,默认扫描端口110FTP:传送文件的

12、协议，默认扫描端口21HTTP:WEB访问使用协议，默认扫描端口80 用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司12了解自身安全状况部署安全产品实现可管理安全Q:Q:通过通过HTTPHTTP、FTPFTP下载的文件中包含病毒时，安全网关下载的文件中包含病毒时，安全网关会怎么处理？会怎么处理？A:A:这个问题和下载的文件的大小有关。当下载的文件大小在300k以内时，能够100的拦截病毒；如果下载的文件超过300K，由于安全网关采用的是边检测边发送

13、数据的方式，已经将前期下载的数据包，经检测后发送到相关的地址上，如果这时发现在下载的文件后半部有病毒，安全网关会将病毒内容截取下来，下载下来的文件比原始的文件要小，并且该文件不可用，用文本编辑打开会发现有发现病毒的提示。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司13了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关支持网络蚂蚁，迅雷等断点续传下载工具的安全网关支持网络蚂蚁，迅雷等断点续传下载工具的病毒过滤吗？病毒过滤吗？A:A:由于这一

14、类下载工具使用的是断点续传技术，将下载的文件分成几个文件进行下载。这样的话，安全网关无法获得完整的下载文件，可能在病毒扫描的时候会漏判。Q:Q:病毒过滤中的在线杀毒功能是做什么用的？病毒过滤中的在线杀毒功能是做什么用的？A:A:安全网关提供的在线杀毒是方便对内部网络里的PC进行查杀毒。用户从安全网关下载杀毒控件后，就可以对自己的本地计算机进行查杀毒了。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司14一、系统网络配置一、系统网络配置二、病毒过滤二、

15、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司15了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关在反垃圾邮件上采用哪些技术？安全网关在反垃圾邮件上采用哪些技术？A:A:智能学习技术：采用贝叶斯信息分类理论对垃圾邮件以及非垃圾邮件分类打分；关键字、词组过滤技术；RBL黑名单提供者服务器；SMTP邮件接收规

16、则、反向DNS查询功能、自动获取白名单功能。针对垃圾邮件制造者不断变化的技术，不断更新的垃圾邮件特征库 用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司16了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关支持那些邮件服务器类型？安全网关支持那些邮件服务器类型？A:A:安全网关支持所有遵循SMTP协议标准的邮件服务器，不是采用SMTP转发模式，安全网关无须和被保护的邮件服务器进行邮件用户同步，因此安全网关不限制被保护的邮件服务器的类型。Q:Q

17、:为什么将邮件的发件人添加到白名单地址，安全网关为什么将邮件的发件人添加到白名单地址，安全网关还会将该邮件地址发送的邮件当作是垃圾邮件？还会将该邮件地址发送的邮件当作是垃圾邮件？A A：将发件人邮件地址添加到白名单后，未点击“黑白名单生效”。如果未点击，第二天才会生效。如果一个邮件地址同时在白名单和黑名单上，那么系统默认为是白名单。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司17了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关的垃圾邮件

18、中设置了关键字过滤，为什么含安全网关的垃圾邮件中设置了关键字过滤，为什么含有该关键字的邮件不被当作垃圾邮件？有该关键字的邮件不被当作垃圾邮件？A A：出现此现象可能有以下几个原因：用户是从内往外发含有关键字的邮件。安全网关对于从内往外发的邮件不做垃圾邮件检测；外部的发送含有关键字邮件的帐户已被自动获取为白名单，应此不会被判为垃圾邮件。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司18了解自身安全状况部署安全产品实现可管理安全Q:Q:如果用户的邮件服

19、务器在外部的如果用户的邮件服务器在外部的IDCIDC机房，开启了安机房，开启了安全网关的反垃圾邮件过滤，正常的公司工作邮件被判断全网关的反垃圾邮件过滤，正常的公司工作邮件被判断为垃圾邮件，该怎么办？为垃圾邮件，该怎么办？A:A:如果启用了安全网关的反垃圾邮件功能，一旦公司的工作邮件超过了规则级别的分数，或者内容匹配了关键字过滤，将会被作为垃圾邮件拦截。可以通过适当增大垃圾邮件规则级别的分数，改变关键字过滤的规测方法来防止正常的工作邮件被当做垃圾邮件。最有效的方法是将公司的邮箱地址加人到白名单当中。比如公司的邮箱域名是，可以将“*”加人到邮件地址白名单中。用户至上用心服务用户至上用心服务 Cus

20、tomer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司19一、系统网络配置一、系统网络配置二、病毒过滤二、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司20了解自身安全状况部署安全产品实现可管理安全Q:Q:在在WEB

21、WEB过滤功能中的权重关键字过滤是如何过滤拦截过滤功能中的权重关键字过滤是如何过滤拦截网页的？网页的？A:A:权重关键字过滤是建立在关键字过滤的基础上的，只起到拦截网页的作用，也就是黑名单的作用。在其设置里，每个关键字都有相对应的分数，坏的关键字（比如色情词汇）是正分，好的关键字（比如教育词汇）是负分，分数的范围是-50到50。用户可以设置一个拦截的分数阀值，一旦用户浏览的网页内容中的关键字分数总和超过了阀值分数，这个网页就会被拦截。阀值的范围是50500。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Servic

22、e Foremost江苏省电信有限公司江苏省电信有限公司21了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关提供了哪些功能实现安全网关提供了哪些功能实现WEBWEB内容过滤？内容过滤？A:A:安全网关采用网址过滤与网页内容过滤相结合的办法，进行多重过滤。内容过滤方法又分成单个关键字过滤，权重关键字过滤，PICS分级标准过滤以及文件及应用过滤等多种方法共同使用，能够更全面的过滤掉不健康的WEB内容。Q:Q:为什么通过为什么通过IPIP地址访问不了公司的地址访问不了公司的WEBWEB、OAOA等服务器？等服务器？A:A:安全网关在WEB过滤中设置了拦截IP地址访问的。可以通过WEB过滤下

23、的上网策略中的关闭拦截IP地址访问功能，正常进行网络访问。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司22了解自身安全状况部署安全产品实现可管理安全Q:Q:在在WEBWEB过滤中的过滤网址功能中，黑白站点和黑白网过滤中的过滤网址功能中，黑白站点和黑白网址有什么区别？址有什么区别？A:A:在安全网关中网址是指某个特定的网页http:/ Customer First Service ForemostCustomer First Service For

24、emost江苏省电信有限公司江苏省电信有限公司23一、系统网络配置一、系统网络配置二、病毒过滤二、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司24了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关在机密信息防止泄漏上是怎么实现的，提供安全网关在机密信息防止泄漏上是怎么实现的，提供了哪些防护技术？了哪些防护

25、技术？A:A:安全网关针对目前企业网络环境下使用比较广泛的EMAIL、WEBPOST以及即时通讯工具MSN、QQ等，通过多途径的信息泄密防范，从而保证企业机密信息不会通过互联网传出去。邮件内容过滤技术WEB发送过滤技术MSN过滤技术QQ拦截技术用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司25了解自身安全状况部署安全产品实现可管理安全Q:Q:为什么为什么QQQQ只能进行拦截，不能进行内容过滤？只能进行拦截，不能进行内容过滤？A:A:QQ是使用的UD

26、P协议，并且是加密的协议，无法通过透明代理的方式对QQ通讯进行监控和过滤。Q:Q:可以通过机密信息中可以通过机密信息中MSNMSN、QQQQ过滤功能，禁止内部使过滤功能，禁止内部使用用MSNMSN、QQQQ吗？吗？A:A:可以。用户可以通过其中的黑白名单的IP地址，对内部员工使用MSN、QQ进行管理。Q:Q:机密信息中机密信息中MSNMSN、QQQQ过滤拦截功能通过什么方式实现？过滤拦截功能通过什么方式实现？A:A:不同于传统的封端口的方式，安全网关通过模式匹配的方式对MSN和QQ进行过滤拦截。用户至上用心服务用户至上用心服务 Customer First Service ForemostCu

27、stomer First Service Foremost江苏省电信有限公司江苏省电信有限公司26了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关是怎么实现安全网关是怎么实现WEBWEB信息发送过滤？信息发送过滤？A:A:安全网关提供了专门针对WEB信息发送（也就是WEBPOST方法）的内容过滤技术；特定网站的访问控制；对终端用户通过WEB发送信息的内容过滤，即关键字过滤；对WEB上传文件的限制，控制终端用户通过WEB发送邮件附件。Q:Q:安全网关机密信息安全网关机密信息MSNMSN和和QQQQ中的黑白名单有什么区别？中的黑白名单有什么区别？A:A:安全网关机密信息过滤的MSN和QQ

28、的黑名单中的用户无法使用MSN和QQ；MSN的白名单是对其名单中的用户MSN的内容不过滤，而QQ的白名单是仅仅名单中的用户可以使用QQ。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司27一、系统网络配置一、系统网络配置二、病毒过滤二、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer First Service F

29、oremostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司28了解自身安全状况部署安全产品实现可管理安全Q:Q:安全网关中安全网关中防火墙访问控制如何运行防火墙访问控制如何运行？A:A:安全网关的防火墙通过定义用户组，服务，时间段做到访问控制，实现流量控制；防火墙在默认的情况下，内网到外网是允许所有的服务通过。Q:Q:安全网关中的应用控制可以通过什么方式实现对安全网关中的应用控制可以通过什么方式实现对BTBT和和edonkeyedonkey的控制管理？的控制管理？A:A:安全网关是通过对BT和edonkey的特征码匹配的方式做到对BT和ed

30、onkey的拦截和流量控制，保证内部的关键网络带宽的使用。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司29一、系统网络配置一、系统网络配置二、病毒过滤二、病毒过滤三、垃圾邮件三、垃圾邮件四、四、webweb过滤过滤五、机密信息五、机密信息六、防火墙六、防火墙七、安全管理中心七、安全管理中心用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江

31、苏省电信有限公司江苏省电信有限公司30了解自身安全状况部署安全产品实现可管理安全Q:Q:安全管理中心最多可以定制多少份报表？安全管理中心最多可以定制多少份报表？A:A:每个用户订制的报表任务数是规定好的，那么每个用户最多可以订制的报表任务数不得超过5个。Q:为什么我在管理中心定制了一份报表任务，但在设定为什么我在管理中心定制了一份报表任务，但在设定时间里，没有收到这份报表任务的邮件？时间里，没有收到这份报表任务的邮件？A:A:首先检查你设置的邮箱是否准确;查看你设定的报表任务在今天有没有数据，如果没有 数据，管理中心将不会发送报表任务邮件。用户至上用心服务用户至上用心服务 Customer F

32、irst Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司31了解自身安全状况部署安全产品实现可管理安全Q:Q:为什么在为什么在安全管理中心中看不到安全管理中心中看不到httphttp上网行为详情？上网行为详情？A:A:用户没有在安全管理中心中的系统管理-设备管理-查询及设置-设定设备发送日志方式】中没有选中HTTP本地备份。Q:每次查看员工上网行为记录时，看到都是每个员工对每次查看员工上网行为记录时，看到都是每个员工对应的应的macmac地址，不知道是哪个员工的上网记录，该怎么地址，不知道是哪个员工的上网记录，

33、该怎么办呢？办呢？A:A:用户可以在安全管理中心的系统管理用户管理设定助记符中设定每台PC的助记符，方便查看员工上网行为记录。助记符可以用IP地址，自定义，邮箱地址等方式。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司32了解自身安全状况部署安全产品实现可管理安全Q:Q:报表中经常看到普通过滤，请问什么是普通过滤报表中经常看到普通过滤，请问什么是普通过滤？A:A:安全网关中除了机密信息过滤、病毒过滤、垃圾邮件过滤以外，其他的过滤均统称为普通过滤。Q

34、:Q:如果不想看到某些人员的上网详情，怎样在安全管理如果不想看到某些人员的上网详情，怎样在安全管理中心设置？中心设置？A:A:用户可以在安全管理中心的系统管理用户管理设定助记符中勾选该用户对于的“特殊用户”选型，改用户的上网行为就不会在管理中心记录。Q:Q:为什么浏览网页后，立即登陆管理中心，无法查看到为什么浏览网页后，立即登陆管理中心，无法查看到该上网记录？该上网记录？A:A:安全网关和管理中心之间日志的传送有半小时的周期，所以用户要过半个小时才可以在管理中心查看到上网记录。用户至上用心服务用户至上用心服务 Customer First Service ForemostCustomer First Service Foremost江苏省电信有限公司江苏省电信有限公司33打造安全网络环境，杜绝一切侵扰！打造安全网络环境，杜绝一切侵扰！