天清汉马USG-FW系列_快速安装指南

天清汉马USG防火墙快速安装指南
北京启明星辰信息安全技术有限公司
Beijing Venus Information Security Inc.
二零零九年六月
天清汉马USG防火墙
快速安装指南
手册版本V3.0
产品版本V2.6.3.0
资料状态发行
版权声明
启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明
本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and Disclaimer
Copyright
Copyright Venus Info Security Inc. All rights reserved.
The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer
This document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
副本发布声明
启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户，请需要GPL软件的客户提供（1）已经购买的产品的序列号，（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等；（3）人民币100元的光盘费和快递费，客户即可获得产品所包含的GPL软件。

目录
第1章软件安装 ................................................................................................... 1-2
1.1 准备条件 ........................................................................................................... 1-2 1.2 天清集中管理与数据分析中心安装过程 ....................................................... 1-2
1.2.1 MSDE数据库................................................................................................................ 1-3
1.2.2天清集中管理与数据分析中心................................................................................... 1-4 1.3 管理配置 ........................................................................................................... 1-7
1.3.1配置数据库服务器....................................................................................................... 1-8
1.3.2配置入库缓冲文件路径............................................................................................... 1-9
1.3.3配置声音报警............................................................................................................. 1-10第2章软件卸载 ................................................................................................. 2-11
2.1 天清集中管理与数据分析中心卸载过程 ..................................................... 2-11第3章硬件安装 ................................................................................................. 3-12
3.1 准备条件 ......................................................................................................... 3-12 3.2 标识说明 ......................................................................................................... 3-12第4章快速配置 ................................................................................................. 4-14
4.1 设备默认配置 ................................................................................................. 4-14
4.1.1接口0的默认配置..................................................................................................... 4-14
4.1.2默认管理员用户......................................................................................................... 4-14 4.2 Web快速配置.................................................................................................. 4-14
4.2.1登录设备..................................................................................................................... 4-14
4.2.2配置路由模式............................................................................................................. 4-16
4.2.3配置桥模式................................................................................................................. 4-18
4.2.4配置安全策略............................................................................................................. 4-20
4.2.5配置NAT .................................................................................................................... 4-21 4.3 天清集中管理与数据分析中心快速配置 ..................................................... 4-22
4.3.1登录天清集中管理与数据分析中心......................................................................... 4-22
4.3.2添加USG设备........................................................................................................... 4-23
4.3.3添加设备组................................................................................................................. 4-23
4.3.4调整数据接收端口..................................................................................................... 4-24
4.3.5集中管理..................................................................................................................... 4-24
4.3.6单机管理..................................................................................................................... 4-25
4.3.7升级维护..................................................................................................................... 4-25
4.3.8查询数据..................................................................................................................... 4-27第5章软件升级 ................................................................................................. 5-28
5.1 通过Web升级................................................................................................ 5-28
第1章 软件安装
1.1 准备条件
硬件配置要求：
PC 服务器／Pentium IV CPU ／2G 内存／200G 硬盘
软件要求：
操作系统：推荐使用Windows 2k sp4(中文版)/Windows 2003(中文版)/可以使用Windows XP sp2(中文版)
数据库支持类型：
支持MSDE 、SQL SERVER2000/SQL SERVER 2005数据库，推荐使用SQL SERVER2000/SQL SERVER 2005。

下面将介绍关于天清集中管理与数据分析中心的安装过程，及安装过程中需要注意的事项。

1.2 天清集中管理与数据分析中心安装过程
将安装盘放入CD-ROM 或者DVD-ROM 中，即可启动天清集中管理与数据分析中心安装向导（如向导未能自动启动，则可双击光盘根目录下autosetup 启动）。

启动向导后，出现如下界面：
提示 1、为保证安装的顺利进行，我们建议您以administrator 身份登录操作系统。

安装光盘分为两部分：
MSDE数据库：这是微软提供的桌面版的小容量数据库，用来进行存放USG设备产生的相关事件日志信息，最大存储容量为2G。

如需要更大的存储空间或更高效的数据库管理能力，建议采用独立的企业级数据库。

天清集中管理与数据分析中心：提供对天清系边界防御类设备的集中分析、统一管理、实时监控和集中升级的分析管理软件，同时对网络管理域中设备上报的安全相关信息收集存储，通过数据发掘提供详尽灵活的统计图、报表，从而辅助管理员进行安全信息审计。

天清集中管理与数据分析中心软件目前支持对天清汉马USG一体化安全网关、天清汉马USG防火墙和天清NIPS入侵防御系统三大类边界防御类设备的同台统一管理。

利用天清集中管理与数据分析中心平台，管理员可以高效地管理各类设备，全面掌握网络的整体安全状况。

本手册以天清汉马USG一体化安全网关（以下简称USG设备）为例详细描述本软件的安装与使用过程。

点击启动界面左列的相应文字就可以对这些产品进行安装，下面分别介绍这几部分的具体安装过程。

1.2.1MSDE数据库
如果用户的机器上没有安装过MSDE或其它SQL Server的客户端软件，天清集中管理与数据分析中心将无法正常运行，您可以点击这一项来安装MSDE。

安装完成后用户需要
重启操作系统。

如果先安装MSDE 英文版，然后再安装SQL Server 的中文版客户端软
件，会导致SQL Server 的BCP 功能无法使用从而使得数据库维护模块
某些功能失效，请慎重使用。

为了提高处理性能，建议使用企业版SQLServer 并把数据库服务安装
在另一台机器上。

1.2.2 天清集中管理与数据分析中心
在安装MSDE 完成后，就可以进行天清集中管理与数据分析中心的安装了。

点击天清集中管理与数据分析中心，进行天清集中管理与数据分析中心安装。

1.2.2.1 第一步：进入安装程序界面
点击下一步按钮。

1.2.2.2第二步：许可证协议
选择我接受许可证协议中的条款，点击下一步按钮。

1.2.2.3第三步：客户信息
输入客户信息，点击下一步按钮。

1.2.2.4第四步：安装类型
点击下一步按钮。

如果需要更改安装目录，选中定制单选钮，再点击下一步按钮。

1.2.2.5第五步：确定安装
点击安装按钮，开始安装。

1.2.2.6第六步：配置数据中心
点击是按钮，进行相关配置。

如果以后更改配置，可点击Window开始菜单中开始>Venustech>Security Gateway>管理配置。

具体配置参考《1.3 管理配置》
1.2.2.7第七步：安装完成
点击完成按钮，完成天清集中管理与数据分析中心安装。

在安装过程中，可以点击取消按钮，取消此次安装操作。

安装完成后，如果提示重启，请重启操作系统。

1.3管理配置
提供天清集中管理与数据分析中心服务器的管理配置功能。

配置项有数据库服务器、入库缓冲文件路径、声音报警、NetFlow日志保存时间。

进入Window开始菜单开始>Venustech>Security Gateway >管理配置，如下图：
1.3.1配置数据库服务器
配置数据库服务器的IP地址、端口、用户名、密码等基本信息。

如下图：
IP地址：数据库服务器的IP地址。

如果数据库安装在本机上，则为127.0.0.1。

端口：数据库的连接端口，默认1433。

数据库路径：数据库自身的数据文件存放路径。

数据库名称：数据库的名称。

创建新库：根据以上信息创建新库。

该库中存储USG 设备的各种日志和NetFlow 日志。

新建的数据库数据文件将保存在数据库服务器上与数据库路径对应的目录
下，如果该目录不存在将创建，但需确保分区的存在。

创建新库时，与数据库名称同名的数据库，将被新建的库覆盖，旧库
中的数据将被清除
1.3.2 配置入库缓冲文件路径
为了提高入库性能，本系统采用MS SQL Server 的快速入库技术。

该技术的原理是先把记录存储到文件中，再一次性地把文件中的所有记录全部插入到数据库中。

快速入库能够极大地提升入库性能，但如果采用远程数据库，数据库服务器需要能够直接访问到入库文件。

如下图：
本地数据库：数据库安装在本机上。

远程数据库：数据库服务器没有安装在本机上，而是安装在另一台机器上。

共享路径：指本机看到的远程数据库服务器的共享目录，要确保本机对该目录有可写权限。

服务器本地路径：指共享路径在数据库服务器上的绝对路径。

如果采用远程数据库，没有正确配置共享路径和服务器本地路径，会
导致日志入库失败。

1.3.3配置声音报警
当日志满足指定条件时，天清集中管理与数据分析中心服务器会进行声音告警。

如下图：
事件级别：当事件级别条件触发时，进行声音报警。

入侵级别：当入侵级别条件触发时，进行声音报警。

病毒事件：当产生病毒事件时，进行声音报警。

提示在安装过程中，可以点击取消按钮，取消此次安装操作。

安装完成后，如果提示重启，请重启操作系统。

第2章软件卸载
2.1天清集中管理与数据分析中心卸载过程
1、在控制面板中选择“添加或删除程序”，找到“天清集中管理与数据分析中心”，点击“更改/删除”。

如下图所示：
2、选择“删除”
3、按照删除向导完成即可。

如果界面提示需要重启，请用户重启操作系统以便完全卸载。

卸载完成后，如果提示重启，请重启操作系统。

提示
第3章硬件安装
在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。

3.1准备条件
环境要求：
环境要求：86-106KPa
温度（摄氏）（工作）：0-40摄氏度
温度（摄氏）（非工作）：0-50摄氏度
相对湿度（非凝结）（工作）：5%-80%
相对湿度（非凝结）（非工作）：5%-95%
电磁兼容性：通过GB9254-1998 A级
3.2标识说明
:超级终端的DB9连接端口
：超级终端的RJ45连接端口，USG-300B/T型号适用
:1×USB连接接口
:2×USB连接接口
：10/100M自适应以太网电接口
：10/100/1000M自适应以太网电接口
：GE SFP光接口
：10GE 光接口
：系统状态指示灯
：液晶屏及控制按键
：液晶屏及控制按键
：外置CF卡插槽
：机箱后部电源插座和电源开关
第4章快速配置
本设备可通过Web方式来进行配置。

4.1设备默认配置
出厂的天清汉马USG设备自带默认的配置。

这些默认配置可以在出厂的情况下，允许用户通过Web进行配置。

4.1.1接口0的默认配置
接口0的默认配置为192.168.1.250/24。

允许对该接口的Telnet，Ping，HTTPS操作。

4.1.2默认管理员用户
系统默认的管理员用户为admin，密码为g。

任何地址都可以使用该用户登录设备。

并且可以使用设备的所有功能。

4.2Web快速配置
4.2.1登录设备
配置本机IP地址为192.168.1.2/24, 通过网线将本机和设备接口0连接。

打开浏览器连接设备。

输入用户名（缺省用户名：admin）、密码（缺省密码：g）和验证码（随机生成）登录。

4.2.2配置路由模式
案例：将接口eth0的IP地址设置为192.168.31.158/24，连接外网。

将接口eth1的IP 地址设置为20.1.1.1/24，连接内网。

配置步骤：
1、进入网络管理>接口>接口，点击eth0接口下的按钮，如下图配置：
2、点击提交按钮提交配置。

3、点击eth1接口下的按钮，如下图配置：
4、点击提交按钮提交配置。

5、进入防火墙>安全策略，点击新建，如下图：
6、点击提交
7、进入防火墙>安全策略，如下图
8、选择启用完成设置
4.2.3配置桥模式
案例：将USG设备插入一个原有的网络结构中，不改变原有拓扑和配置，将USG 设备的eth2和eth3两个接口加入网桥组1（BVI1）中。

eth2连接Router（192.168.0.1），eth3口连接192.168.0.0/16网段其余机器。

透明桥案例组网图
配置步骤：
1、进入网络管理>接口>透明桥，点击新建。

如下图：
2、输入参数
3、点击提交
4、进入防火墙>安全策略，点击新建，如下图：
5、点击提交
6、进入防火墙>安全策略，如下图
7、选择启用完成设置
4.2.4配置安全策略
案例：设备的接口eth0连接内网，接口eth1连接外网，配置策略允许内网在非工作时间访问外网，并且要求数据流从高优先级队列输出。

配置步骤：
1、进入对象管理>地址对象，配置地址对象“内网”和“外网”，如下图：
2、进入对象管理>时间对象，配置时间对象“非工作时间”
3、进入防火墙>安全策略，点击新建，如下图：
4、输入参数
5、点击提交
6、进入防火墙>安全策略，如下图
7、选择启用完成设置
4.2.5 配置NAT
案例：公司需要通过USG 共享上网。

内网地址为192.168.0.0/24网段，公网地址为202.118.3.11
192.168.0.2
192.168.0.4
192.168.0.3
配置步骤：
1、进入对象管理>地址对象，创建地址对象“inside-net ”
2、进入网络管理>NAT>NAT 地址池，创建地址池“pub-pool ”
3、点击提交
4、进入网络设置>NAT>NAT 规则>源地址转换，点击新建
5、点击提交，显示如下界面
4.3天清集中管理与数据分析中心快速配置
4.3.1登录天清集中管理与数据分析中心
打开IE，在IE地址栏中输入https://xxx.xxx.xxx.xxx或者http://xxx.xxx.xxx.xxx。

xxx.xxx.xxx.xxx为天清集中管理与数据分析中心服务器IP，默认用户为admin，密码为venustech
4.3.2添加USG设备
以下为添加一个设备的示例，如果需要添加多个设备，请重复以下步骤。

1）进入系统管理->设备，切换到设备。

点击添加按钮。

如下图：
2）设置参数。

3）点击提交按钮。

4.3.3添加设备组
以下为添加一个设备组的示例，如果需要添加多个设备组，请重复以下步骤。

1）进入系统管理->设备，切换到设备组。

点击添加按钮。

如下图：
2）选择组成员。

3）点击提交按钮。

4.3.4调整数据接收端口
天清集中管理与数据分析中心能够接收和处理Syslog数据，默认值为UDP514。

这和USG设备上的端口要保持一致，否则会接收不到数据。

进入系统管理->维护，切换到选项。

如下图：
4.3.5集中管理
集中管理模块可以按设备组对设备进行统一管理。

通过集中管理，管理员可以按设备组管理和配置多台设备。

进入进入集中管理->设备配置，可以查看到设备配置信息，如下图：
所有设备的信息逐行显示，包括设备名称，IP，是否在线，状态，型号，软件版本和描述。

如果设备状态不同步，可以通过全部下发，全部取消和详细等方式使设备同步。

其中全部下发表示将所有配置未决命令下发给设备，全部取消表示将所有配置未决命令取消，而详细表示对配置未决命令做更具体的显示和下发取消操作。

而如果设备已经同步，点击详细，则可以查看此设备的相关告警信息。

4.3.6单机管理
对该设备组下的设备，点击设备名称，如果当前设备在线，则可以进入当前设备配置并管理此设备。

另外，如果设备状态不同步，可以通过全部下发、全部取消和详细等方式使设备同步。

如果设备已经同步，点击详细，则可以查看此设备的相关告警信息。

4.3.7升级维护
集中升级由配置和设备组成。

其中配置提供集中管理中心自身的手动升级配置和自动升级配置，集中管理中心获得入侵防御和防病毒特征库升级包后，再自动下发到各个设备。

支持三种类型的设备升级：USG、NIPS、FW。

1）配置
进入升级维护->集中升级，切换到配置页面，如下图：
设置参数，并点击提交按钮。

2）设备
此处可以查看设备信息，包括设备的入侵防御特征库版本和防病毒特征库版本，以及版本最新设备数和设备总数。

如果有正在更新的设备，将显示正在更新的设备信息。

进入升级维护->集中升级，切换到设备页面，如下图：
4.3.8查询数据
分别进入日志->查询和流量->查询，如果查询到日志数据，说明数据中心已经能够正常运行了。

第5章软件升级
5.1通过Web升级
当设备已经在运行时，可通过Web页面来升级软件版本。

配置步骤：
1、进入系统管理>维护>升级管理，
2、点击软件升级的浏览
4、点击提交。