您的位置:360文档中心› USG3000 统一安全网关 配置指南01-09 配置安全策略

USG3000 统一安全网关 配置指南01-09 配置安全策略

合集下载

USG3000 统一安全网关 配置指南01-03 配置协议检测

USG3000 统一安全网关 配置指南01-03 配置协议检测

Secoway USG3000配置指南安全防范分册目录目录3 配置协议检测...............................................................................................................................3-13.1 协议检测......................................................................................................................................................3-23.1.1 简介....................................................................................................................................................3-23.1.2 支持的协议类型.................................................................................................................................3-23.1.3 常见的协议检测类型.........................................................................................................................3-23.1.4 响应策略............................................................................................................................................3-33.1.5 参考信息............................................................................................................................................3-33.2 配置HTTP协议检测..................................................................................................................................3-33.2.1 建立配置任务.....................................................................................................................................3-33.2.2 启用HTTP协议检测.........................................................................................................................3-43.2.3 (可选)配置URI解码方式............................................................................................................3-53.2.4 (可选)配置HTTP的行为检测参数.............................................................................................3-53.2.5 (可选)配置HTTP的溢出检测参数.............................................................................................3-63.2.6 检查配置结果.....................................................................................................................................3-63.3 配置FTP协议检测.....................................................................................................................................3-73.3.1 建立配置任务.....................................................................................................................................3-73.3.2 启用FTP协议检测............................................................................................................................3-73.3.3 (可选)配置隐藏FTP服务器信息................................................................................................3-83.3.4 (可选)配置FTP的行为检测参数................................................................................................3-83.3.5 (可选)配置FTP的溢出检测参数................................................................................................3-93.3.6 检查配置结果.....................................................................................................................................3-93.4 配置DNS协议检测..................................................................................................................................3-103.4.1 建立配置任务...................................................................................................................................3-103.4.2 启用DNS协议检测.........................................................................................................................3-103.4.3 配置DNS协议检测参数.................................................................................................................3-113.4.4 检查配置结果...................................................................................................................................3-113.5 配置IMAP协议检测................................................................................................................................3-123.5.1 建立配置任务...................................................................................................................................3-123.5.2 启用IMAP协议检测.......................................................................................................................3-123.5.3 (可选)配置IMAP的行为检测参数...........................................................................................3-13目录Secoway USG3000配置指南安全防范分册3.5.4 (可选)配置IMAP的溢出检测参数...........................................................................................3-13 3.5.5 检查配置结果...................................................................................................................................3-143.6 配置POP3协议检测.................................................................................................................................3-143.6.1 建立配置任务...................................................................................................................................3-143.6.2 启用POP3协议检测.......................................................................................................................3-143.6.3 (可选)配置POP3的行为检测参数...........................................................................................3-153.6.4 (可选)配置POP3的溢出检测参数...........................................................................................3-153.6.5 检查配置结果...................................................................................................................................3-16 3.7 配置SMTP协议检测...............................................................................................................................3-163.7.1 建立配置任务...................................................................................................................................3-163.7.2 启用SMTP协议检测......................................................................................................................3-173.7.3 (可选)配置SMTP的行为检测参数..........................................................................................3-173.7.4 (可选)配置SMTP的溢出检测参数..........................................................................................3-183.7.5 检查配置结果...................................................................................................................................3-18 3.8 调试协议检测............................................................................................................................................3-18 3.9 配置举例....................................................................................................................................................3-193.9.1 HTTP协议检测典型配置举例.........................................................................................................3-193.9.2 FTP协议检测典型配置举例............................................................................................................3-213.9.3 IMAP、POP3和SMTP协议检测典型配置举例...........................................................................3-23插图目录图3-1 配置HTTP协议检测典型组网图.......................................................................................................3-19图3-2 配置FTP协议检测典型组网图..........................................................................................................3-21图3-3 配置IMAP/POP3/SMTP协议检测典型组网图.................................................................................3-24表格目录表3-1 报文处理策略........................................................................................................................................3-3表3-2 调试协议检测......................................................................................................................................3-19配置指南安全防范分册 3配置协议检测3 配置协议检测关于本章本章描述内容如下表所示。

华为USG2000&5000统一安全网关配置报价操作指导手册

华为USG2000&5000统一安全网关配置报价操作指导手册

Huawei Confidential
Page 4
USG5500系列板卡支持清单
项目
固定接口 扩展插槽 USB卡 USB-WCDMA 3G USB-CDMA2000 3G USB-TD-SCDMA 3G MIC接口卡 DMIC-2*10G(SFP+) FIC接口卡 FIC-8*GE电 FIC-8*GE光 FIC-2*10G(SFP+) FIC-2*10G(SFP+)+8GE电 FIC-4GE电BYPASS(2路) FIC-GE光BYPASS(2路) DFIC接口卡 DFIC-18FE+2SFP DFIC-16GE+4SFP
产品名称 USG2110-x USG2130 USG2160 USG2210 USG2220 USG2230 USG2250 USG5120 USG5150 USG5160 USG5530S USG5530 USG5550 USG5560
标配接口 2FE+8FE 1FE+8FE 1FE+8FE 2GE combo 2GE combo 2GE combo 2GE combo 2GE+2GE combo 4GE combo 4GE combo 4GE+4GE combo 4GE+4GE combo 4GE+4GE combo 4GE+8GE光+4GE combo
● ● ●

● ● ● ● ● ●
● ●
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 5
Huawei Enterprise A Better Way
Copyright© 2012 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.

USG3000 统一安全网关 配置指南01-04 配置协议识别

USG3000 统一安全网关 配置指南01-04 配置协议识别

目录4 配置协议识别...............................................................................................................................4-14.1 协议识别简介..............................................................................................................................................4-24.1.1 概述....................................................................................................................................................4-24.1.2 支持的协议类型.................................................................................................................................4-24.2 配置协议识别..............................................................................................................................................4-24.2.1 建立配置任务.....................................................................................................................................4-24.2.2 启用协议识别.....................................................................................................................................4-34.2.3 (可选)配置固化表老化时间.........................................................................................................4-34.2.4 检查配置结果.....................................................................................................................................4-34.3 协议识别典型配置举例..............................................................................................................................4-4插图目录图4-1 配置协议识别典型组网图.....................................................................................................................4-4配置指南安全防范分册 4配置协议识别4 配置协议识别关于本章本章描述内容如下表所示。

HUAWEI SecowayUSG3000系列统一安全网关 说明书

HUAWEI SecowayUSG3000系列统一安全网关 说明书

Secoway USG3000 系列统一安全网关产品概述USG3000系列安全网关是华为赛门铁克公司新一代网关型安全防护设备,采用基于多核的硬件平台,为用户提供了集高转发率、高加密性能、高端口密度于一体的产品级安全防护解决方案。

集成DDos攻击防范能力,可防御多种类型的DDos攻击。

采用硬件加密芯片,提供高速的VPN加密性能。

支持多种地址转换功能、为用户提供最大限度的灵活组网,集成多种路由特性,可参与动态路由,提供Qos控制,为用户提供丰富的功能选择,同时结合智能的黑白名单过滤、多样的统计分析、方便的WEB管理等优势于一身,业务应用范围广泛,是运营商、政府、金融、教育、能源、军队等机构网络的理想安全防护设备。

产品特点高性能高可靠性USG3000系列安全网关采用多核技术,并行处理数据流,使得产品处理性能大幅提高,为用户的网络出口提供高速的数据转发,产品中内嵌加密芯片,采用硬件加解密处理技术,为用户提供高达600Mbps的加解密性能,在业界同类产品中处于领先。

USG3000系列产品是华为赛门铁克专业的高可靠硬件平台和VRP软件平台结合的优秀网络安全产品,配置了双电源、温控机箱、自动转速调节风扇等多种硬件可靠性保障技术,同时,还可以支持双机热备、负载均衡、路由信息1+1备份等多种软件可靠性保障技术,为用户提供了全方位的高性能高可靠性的安全防护。

功能全面的VPN网关USG3000系列安全网关可以支持L2TP、GRE 、IPSec、MPLS等多种VPN组网方式,既可以单独使用,也可以多种方式组合使用,USG3000系列产品采用华为赛门铁克独立研发的硬件加密芯片来处理加密运算,加密运算和数据封装过程通过硬件来实现,加密处理性能与软件算法和业务流量无关,支持DES、3DES、AES、SCB2等多种加密算法。

同时,基于华为赛门铁克公司强大的技术研发能力,USG3000还可以为用户提供MPLS VPN技术,在用户的内部承载网络中实现多通道VPN划分与互通,在整网VPN的解决方案中领先于业界同类产品,可以为用户提供全方位的VPN解决方案。

USG3000 统一安全网关 配置指南01-16 配置负载均衡

USG3000 统一安全网关 配置指南01-16 配置负载均衡

文档版本 02 (2009-02-15)
华为所有和机密
iii
版权所有 © 华为技术有限公司
Secoway USG3000 配置指南 安全防范分册
16 配置负载均衡
16 配置负载均衡
关于本章
本章描述内容如下表所示。
标题 16.1 简介 16.2 配置负载均衡 16.3 配置举例
内容 介绍负载均衡的产生背景和作用。 介绍负载均衡的配置方法。 介绍负载均衡的组网举例。
2. 负载均衡配置:首先启用负载均衡功能,再配置真实服务器 rserver 和服务器组 group,并将 rserver 加入 group,最后配置虚服务器 vserver。
配置步骤
步骤 1 配置 USG3000 基本功能 # 进入系统视图。
<USG3000> system-view
# 进入 GigabitEthernet 0/0 视图。
16-4
华为所有和机密
文档版本 02 (2009-02-15)
版权所有 © 华为技术有限公司
Secoway USG3000 配置指南 安全防范分册
图16-1 负载均衡配置举例组网图
PC 202.2.2.3/24
Untrust
GE0/0 202.2.2.1/24
16 配置负载均衡
Server 1 10.1.1.3/24
display slb rserver [ rserver-id [ to end-rserver-id ] ] display slb vserver [ vserver-name ]
16.3 配置举例
组网需求
如图 16-1 所示,某内部网络中存在三台真实服务器对外提供 FTP 服务,IP 地址分别为 10.1.1.3/24、10.1.1.4/24 和 10.1.1.5/24,对外的虚拟 IP 地址为 202.2.2.2/24。要求配置 USG3000 的负载均衡功能,保证经过服务器的流量负载均衡。

USG安全策略配置

USG安全策略配置

基于时间的访问控制
总结词
基于时间的访问控制是通过限制设备的网络 访问时间来实现访问控制的。
详细描述
基于时间的访问控制可以根据设备的使用时 间来限制其网络访问。通过配置允许的访问 时间,可以防止设备在非工作时间访问网络 。这种策略适用于需要灵活控制设备网络访 问时间的情况,如防止设备在夜间消耗过多 带宽或进行非法活动。
USG安全策略的重要性
随着网络技术的快速发展和广泛 应用,网络安全问题变得越来越
突出。
配置USG安全策略可以有效地保 护网络免受未经授权的访问和恶 意攻击,确保数据的安全性和完
整性。
通过合理的USG安全策略配置, 可以提高网络系统的可靠性和可
用性,降低安全风险和损失。
USG安全策略的分类
基于访问控制
基于端口的访问控制
总结词
基于端口的访问控制是通过配置网络端 口和设备端口来实现访问控制的。
VS
详细描述
基于端口的访问控制可以限制特定端口的 访问,以保护网络资源。通过将不允许的 端口添加到黑名单中,可以防止这些端口 的设备访问网络。此外,还可以为每个端 口配置不同的安全策略,如只允许特定设 备访问特定端口,从而实现对不同设备和 角色的精细控制。
首先,对企业网络架构进行详细的分析和设计;其次 ,根据企业的安全需求制定相应的USG安全策略;再 次,将USG设备部署在企业网络的关键位置;最后, 将USG设备与企业身份管理系统进行集成。
企业网络架构与USG安全策略集成的优势与不足
优势
通过将USG安全策略与企业网络架构进行集成,可以实 现对企业内部网络的全面保护。USG设备具有高性能、 高可靠性、高安全性等特点,可以有效地抵御各种网络 攻击和威胁。此外,USG设备还可以提供丰富的安全功 能和报表分析功能,帮助企业更好地了解和掌握自身的 网络安全状况。

USG3000 统一安全网关 配置指南01-13 配置L2TP

USG3000 统一安全网关 配置指南01-13 配置L2TP

目录13 配置L2TP................................................................................................................................13-113.1 简介..........................................................................................................................................................13-213.1.1 协议背景........................................................................................................................................13-213.1.2 典型L2TP组网应用......................................................................................................................13-213.2 配置LAC.................................................................................................................................................13-313.2.1 建立配置任务.................................................................................................................................13-313.2.2 配置虚拟接口模板.........................................................................................................................13-413.2.3 配置L2TP组.................................................................................................................................13-513.2.4 (可选)配置本地用户.................................................................................................................13-513.3 配置LNS.................................................................................................................................................13-613.3.1 建立配置任务.................................................................................................................................13-613.3.2 配置虚拟接口模板.........................................................................................................................13-713.3.3 配置L2TP组.................................................................................................................................13-813.3.4 (可选)配置本地用户...............................................................................................................13-1013.3.5 (可选)配置域...........................................................................................................................13-1013.4 维护........................................................................................................................................................13-1113.4.1 查看L2TP运行信息....................................................................................................................13-1113.4.2 调试L2TP....................................................................................................................................13-1113.4.3 强制挂断L2TP隧道....................................................................................................................13-1113.5 配置举例................................................................................................................................................13-1213.5.1 配置NAS-Initialized VPN示例..................................................................................................13-1213.5.2 配置Client-Initialized VPN示例.................................................................................................13-1713.5.3 复杂的组网情况...........................................................................................................................13-26插图目录图13-1 应用L2TP构建的VPDN服务.........................................................................................................13-2图13-2 配置NAS-Initialized VPN组网图..................................................................................................13-12图13-3 配置Client-Initialized VPN组网图.................................................................................................13-18图13-4 连接LNS..........................................................................................................................................13-20图13-5 设置LNS属性的选项页签.............................................................................................................13-21图13-6 设置LNS属性的安全页签.............................................................................................................13-22图13-7 高级安全设置..................................................................................................................................13-23图13-8 设置LNS的网络页签.....................................................................................................................13-24配置L2TP配置指南安全防范分册 1313 配置L2TP关于本章本章描述内容如下表所示。

USG系列防火墙维护手册

USG系列防火墙维护手册

USG系列设备维护以下内容将详细向您介绍设备的维护方法(包括设备韧体的上传(即设备升级)和恢复设备出厂设置)一、设备升级:步骤如下:1、打开web浏览器,输入设备管理IP:https://192.168.1.1,输入用户名:admin,密码:1234。

点击登录进入设备配置界面。

若您想更改设备管理员密码,您需要在如下界面输入您更改的新密码,点击应用,如您不需要更改密码,请点击忽略。

2、进入维护配置界面,打开文件管理>韧体上传,点击开启档案。

找到对应设备的bin 文件,点击上传。

3、等待设备的升级,这期间设备可能会重启若干次,而设备sys 灯在不断闪烁,可能需要花费五分钟时间,请您耐心等待。

(注意:升级设备时请不要断电)升级完成时,设备sys灯将常亮,重新登陆设备,显示如下界面,再次输入用户名、密码登陆设备。

4、进入设备配置界面后,显示升级后的版本。

如下:二、设备恢复出厂设置:1、登陆维护配置界面,打开文件管理>配置文件,点击开启档案。

找到设备的conf 文件,点击上传,上传文件后,该文件会现在配置文件中。

默认的出厂文件,也可以是在经过配置后所备份的文件)正在恢复出厂设置。

当设备sys灯稳定常亮,说明设备恢复出厂完毕。

USG系列设备注册及服务更新如果您还没有注册的话,您可以在注册您的ZyWALL,激活试用的服务(如防病毒等)。

下面向您具体介绍如何注册设备并激活服务。

1、打开web浏览器,输入设备管理IP:https://192.168.1.1,登录设备配置界面,依次进入许可证>注册,在如下界面选择新建帐号。

2、输入:用户名:6到20位的包括数字和字母的字符(包括下划线),不允许使用空格。

点击检查按钮确认该用户名是否有效。

密码:一个6到20位的包括数字和字母的密码(包括下划线),不允许使用空格。

E-Mail地址:输入您的e-mail地址。

最多80位的包括数字和字母的字符(包括句点和下划线),不允许使用空格。

USG安全策略配置

USG安全策略配置

USG安全策略配置在今天的数字化时代,保护网络和信息安全对于企业和个人来说都至关重要。

USG(Unified Security Gateway)是一种集成安全设备,用于保护局域网和广域网之间的数据和通信。

USG安全策略配置对于建立可靠和安全的网络环境起着关键作用。

下面是一些配置USG安全策略的最佳实践:1.规划网络架构:在配置USG安全策略之前,首先要对网络架构进行规划和设计。

确保网络拓扑布局合理,避免出现冲突和漏洞。

2. 网络分段和隔离:将网络划分为不同的安全区域,例如DMZ (Demilitarized Zone)、内部网络和外部网络。

然后配置USG安全策略,以实现不同安全区域之间的隔离和保护。

3.访问控制列表(ACL):配置USG的ACL以限制可进出网络的流量。

根据业务需求和安全策略,设置允许和拒绝特定IP地址、端口和协议的规则。

4.虚拟专用网络(VPN):通过配置USG安全策略来支持和保护VPN连接。

配置安全的加密算法和身份验证方式,以确保数据在传输中的保密性和完整性。

5.入侵检测和防御系统(IDS/IPS):配置USG的IDS/IPS来监控和阻止网络中的入侵攻击。

配置规则和警报,以及对已知的攻击进行实时检测和阻止。

6.防火墙:配置USG的防火墙策略,以限制外部流量对网络的访问。

配置基于应用程序、用户和内容的防火墙规则,以识别和阻止潜在的安全威胁。

7.网络地址转换(NAT):通过配置NAT,将内部网络的私有IP地址转换为公共IP地址,从而隐藏内部网络的结构和拓扑。

这可以增加网络的安全性。

8.安全审计和日志:配置USG的日志功能,以记录网络流量、安全事件和警报。

定期审查和分析日志,以发现和应对安全漏洞和攻击。

9.安全策略更新和升级:定期更新和升级USG的安全策略和软件。

这样可以适应新的安全威胁和攻击技术,保持网络的安全性和可靠性。

10.培训和意识提高:定期进行网络安全培训,并提高员工对网络安全的意识。

天清汉马USG一体化安全网关_快速安装指南

天清汉马USG一体化安全网关_快速安装指南

天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一一年十一月天清汉马USG快速安装指南手册版本V4.0产品版本V2.6.4.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时,包含3款GPL协议的软件(linux、zebra、OpenLDAP)。

华赛USG3000系列防火墙透明模式配置方法

华赛USG3000系列防火墙透明模式配置方法

华赛USG3000系列防火墙透明模式配置方法1.组网需求USG3000统一安全网关工作在透明模式下。

对于未知MAC地址的IP报文,处理方式是在除接收接口外的其他所有接口上进行转发。

2.组网图图1 处理未知MAC地址的IP报文3.配置步骤# 配置统一安全网关的当前工作模式为透明模式。

<USG3000> system-view[USG3000] firewall mode transparent这里会要求你重新启动,选择Yes重新启动即可。

# 将接口加入安全区域。

[USG3000] firewall zone trust[USG3000-zone-trust] add interface GigabitEthernet 0/0[USG3000-zone-trust] quit[USG3000] firewall zone untrust[USG3000-zone-untrust] add interface GigabitEthernet 0/1[USG3000-zone-untrust] quit# 配置统一安全网关域间过滤规则。

[USG3000] firewall packet-filter default permit interzone trust untrust# 配置统一安全网关的系统IP地址,以达到通过Telnet配置管理统一安全网关的目的。

[USG3000] firewall system-ip 202.106.100.1 255.255.255.0# 配置统一安全网关透明模式下对未知MAC地址的IP报文的处理方式为在除接收接口外的其他所有接口上进行转发。

[USG3000] firewall unknown-mac broadcast flood。

USG3000配置实例

USG3000配置实例
#
acl number 3001
rule 0 permit tcp source 172.0.0.0 0.255.255.255
rule 1 permit tcp destination 172.30.8.1 0 destination-port eq 36100
rule 2 permit tcp destination 172.30.8.1 0 destination-port eq 36200
nat server protocol tcp global 10.10.0.32 www inside 172.30.8.2 8080
nat server protocol tcp global 10.10.0.33 www inside 172.30.8.3 8080
nat server protocol tcp global 10.10.0.34 www inside 172.30.8.4 8080
rule 12 permit tcp destination 172.30.8.2 0 destination-port eq 2121
rule 13 permit tcp destination 172.30.8.2 0 destination-port eq 2122
rule 14 permit tcp destination 172.30.8.2 0 destination-port eq 2123
rule 27 permit tcp destination 172.30.8.3 0 destination-port eq 2123
rule 28 permit tcp destination 172.30.8.3 0 destination-port eq 2124

华为USG 防火墙配置 配置安全策略

华为USG 防火墙配置 配置安全策略

文档版本 01 (2009-12-25)
华为专有和保密信息i目录Secoway USG2100 配置指南 安全防范分册
2.6.3 配置域间包过滤规则.......................................................................................................................2-15 2.6.4 检查配置结果...................................................................................................................................2-15 2.7 配置攻击防范............................................................................................................................................2-15 2.7.1 建立配置任务...................................................................................................................................2-15 2.7.2 启用丢弃分片报文功能...................................................................................................................2-16 2.7.3 启用攻击防范功

Secoway USG3000 统一安全网关 Web配置指南

Secoway USG3000 统一安全网关 Web配置指南
10.1 自动升级 DPI 模式文件典型配置举例....................................................................................................10-2 10.2 手动升级 DPI 模式文件典型配置举例....................................................................................................10-3 10.3 本地升级 DPI 模式文件典型配置举例....................................................................................................10-3
5.1 IPS 基本功能典型配置举例..........................................................................................................................5-2 5.2 IPS 规则典型配置举例..................................................................................................................................5-4
ii
华为专有和保密信息
文档版本 04 (2009-12-20)
Secoway USG3000 统一安全网关 Web 配置指南
插图目录
插图目录
图 1-1 搭建本地配置环境...............

USG3000 统一安全网关 配置指南01-19 配置Secospace联动

USG3000 统一安全网关 配置指南01-19 配置Secospace联动

目录19 配置Secospace联动..............................................................................................................19-119.1 简介..........................................................................................................................................................19-219.2 配置Secospace联动...............................................................................................................................19-219.2.1 建立配置任务.................................................................................................................................19-219.2.2 配置Secospace联动......................................................................................................................19-319.2.3 检查配置结果.................................................................................................................................19-519.3 调试Secospace联动...............................................................................................................................19-519.4 配置举例..................................................................................................................................................19-6插图目录图19-1 Secospace联动组网应用....................................................................................................................19-2图19-2 Secospace联动配置举例组网图........................................................................................................19-6配置指南安全防范分册 19配置Secospace联动19 配置Secospace联动关于本章本章描述内容如下表所示。

USG3000 统一安全网关 配置指南01-01 配置IPS规则库升级

USG3000 统一安全网关 配置指南01-01 配置IPS规则库升级

目录1 配置IPS规则库升级..................................................................................................................1-11.1 IPS规则库....................................................................................................................................................1-21.2 版本升级与回退..........................................................................................................................................1-21.2.1 升级....................................................................................................................................................1-21.2.2 版本回退............................................................................................................................................1-21.3 更新IPS规则库..........................................................................................................................................1-21.3.1 建立配置任务.....................................................................................................................................1-21.3.2 自动升级IPS规则库.........................................................................................................................1-31.3.3 手动升级IPS规则库.........................................................................................................................1-31.3.4 本地升级IPS规则库.........................................................................................................................1-41.3.5 同步IPS规则库.................................................................................................................................1-41.3.6 回退IPS规则库的版本.....................................................................................................................1-51.3.7 检查配置结果.....................................................................................................................................1-51.4 调试IPS规则库的升级..............................................................................................................................1-51.5 自动升级IPS规则库典型配置举例..........................................................................................................1-6插图目录图1-1 配置自动升级IPS规则库组网图.........................................................................................................1-6配置IPS规则库升级配置指南安全防范分册 11 配置IPS规则库升级关于本章本章描述内容如下表所示。

USG3000 统一安全网关 配置指南01-06 配置域名解析服务

USG3000 统一安全网关 配置指南01-06 配置域名解析服务

数据准备
在配置域名解析服务之前,需要准备以下数据: z 域名解析服务器地址 z (可选)默认域
6.2.2 启用域名解析服务
步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dns resolve,启用域名解析服务。 步骤 3 执行命令 dns server ip-address,配置域名服务器地址。
z 请根据实际组网需求配置域间包过滤规则,否则会存在安全隐患。 z 此时注意在 PC 上配置静态路由或缺省路由。否则 PC 不能与 USG3000 互通。
步骤 2 启用域名解析服务。
<USG3000> system-view [USG3000] dns resolve
步骤 3 配置域名解析服务器地址。
文档版本 02 (2009-02-15)
华为所有和机密
i
版权所有 © 华为技术有限公司
Secoway USG3000 配置指南 安全防范分册
插图目录
插图目录
图 6-1 配置域名解析服务典型组网图.............................................................................................................6-3
# 将接口加入安全区域。
[USG3000] firewall zone trust [USG3000-zone-trust] add interface GigabitEthernet 0/0 [USG3000-zone-trust] quit [USG3000] firewall zone dmz [USG3000-zone-dmz] add interface GigabitEthernet 0/1 [USG3000-zone-dmz] quit [USG3000] firewall zone untrust [USG3000-zone-untrust] add interface GigabitEthernet 0/2 [USG3000-zone-untrust] quit

华为USG3040防火墙

华为USG3040防火墙

华为USG3040防火墙:## 配置USG3000的接口(注意升级之后用户名、密码已经更改)Username:adminPassword:Admin@123<USG3000>system-view[USG3000]firewall mode composite (设置防火墙工作模式为透明)此时提示需要重新启动防火墙This operation will restore the startup configuration file of the firewall to the factory-delivered configuration and restart the system. Are you sure[Y/N]?y(此处输入Y)Board rebooting ...## 重新启动登录后设置防火墙VPN连接IP地址[USG3000]firewall system-ip 10.77.208.5 24 //本地VPN网关地址## 给各个接口划分相应的域[USG3000]firewall zone untrust[USG3000-zone-untrust]add interface GigabitEthernet 0/0[USG3000]firewall zone trust[USG3000-zone-untrust]add interface GigabitEthernet 0/1[USG3000-zone-untrust]quit## 配置默认路由[USG3000] ip route-static 0.0.0.0 0.0.0.0 10.77.208.1 //本地路由器内口地址## 配置域间默认包过滤[USG3000] firewall packet-filter default permit interzonetrustuntrust[USG3000] firewall packet-filter default permitinterzonetrustlocal[USG3000] firewall packet-filter default permit interzonelocaluntrust## 设置防火墙登录口令[USG3000] user-interface vty 0 4[USG3000-ui-vty0-4] set authentication password simplebaichengguotuzyj注:此时可以检查VPN网关与省厅联想网御VPN网关的互通情况,确保互相之间可以ping通再进行下一步VPN配置。

USG3000 统一安全网关 配置指南01-08 配置ACL

USG3000 统一安全网关 配置指南01-08 配置ACL

目录8 配置ACL.....................................................................................................................................8-18.1 简介..............................................................................................................................................................8-28.1.1 ACL概述.............................................................................................................................................8-28.1.2 ACL规则的匹配顺序.........................................................................................................................8-28.2 配置ACL.....................................................................................................................................................8-38.2.1 建立配置任务.....................................................................................................................................8-38.2.2 (可选)定义时间段.........................................................................................................................8-68.2.3 (可选)定义地址集.........................................................................................................................8-68.2.4 (可选)定义端口集.........................................................................................................................8-78.2.5 (可选)启用ACL加速查找功能...................................................................................................8-78.2.6 创建基本ACL....................................................................................................................................8-88.2.7 创建高级ACL....................................................................................................................................8-88.2.8 创建基于MAC地址的ACL.............................................................................................................8-98.2.9 检查配置结果.....................................................................................................................................8-98.3 维护............................................................................................................................................................8-108.4 配置举例....................................................................................................................................................8-10插图目录图8-1 ACL配置案例组网图...........................................................................................................................8-11表格目录表8-1 ACL的分类.............................................................................................................................................8-2配置指南安全防范分册 8配置ACL8 配置ACL关于本章本章描述内容如下表所示。

天清汉马USG配置手册总结

天清汉马USG配置手册总结

长城资产天清汉马防火墙配置信息一、基本信息接口0 的默认地址配置为192.168.1.250/24 。

允许对该接口进行Telnet,PING ,HTTPS 操作。

系统默认的管理员用户为admin,密码为g。

用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。

系统默认的审计员用户为audit,密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin,密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理:系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG 进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF 卡和USB2.网络管理:网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名,如果是100M网卡,则名称前缀为eth,比如ethO, eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口(VLAN 接口)的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation ,即通用路由封装协议。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Secoway USG3000配置指南安全防范分册目录目录9 配置安全策略...............................................................................................................................9-19.1 简介..............................................................................................................................................................9-39.1.1 安全区域概述.....................................................................................................................................9-39.1.2 会话表概述........................................................................................................................................9-39.1.3 长连接概述........................................................................................................................................9-49.1.4 分片缓存概述.....................................................................................................................................9-49.1.5 包过滤概述........................................................................................................................................9-59.1.6 攻击防范与报文统计概述.................................................................................................................9-59.1.7 ASPF概述...........................................................................................................................................9-69.1.8 黑名单概述........................................................................................................................................9-89.1.9 MAC和IP地址绑定概述..................................................................................................................9-89.1.10 端口识别概述...................................................................................................................................9-99.2 配置安全区域..............................................................................................................................................9-99.2.1 建立配置任务.....................................................................................................................................9-99.2.2 配置安全区域...................................................................................................................................9-109.2.3 检查配置结果...................................................................................................................................9-109.3 配置会话表老化时间................................................................................................................................9-119.3.1 建立配置任务...................................................................................................................................9-119.3.2 配置会话表老化时间.......................................................................................................................9-119.3.3 检查配置结果...................................................................................................................................9-129.4 配置长连接................................................................................................................................................9-129.4.1 建立配置任务...................................................................................................................................9-129.4.2 配置长连接功能...............................................................................................................................9-139.5 配置分片缓存............................................................................................................................................9-149.5.1 建立配置任务...................................................................................................................................9-149.5.2 配置分片缓存功能...........................................................................................................................9-159.5.3 配置分片报文直接转发功能...........................................................................................................9-159.6 配置包过滤................................................................................................................................................9-159.6.1 建立配置任务...................................................................................................................................9-159.6.2 配置域间缺省包过滤规则...............................................................................................................9-16目录Secoway USG3000配置指南安全防范分册9.6.3 配置域间包过滤规则.......................................................................................................................9-16 9.6.4 检查配置结果...................................................................................................................................9-179.7 配置攻击防范............................................................................................................................................9-179.7.1 建立配置任务...................................................................................................................................9-179.7.2 启用丢弃分片报文功能...................................................................................................................9-189.7.3 启用攻击防范功能...........................................................................................................................9-189.7.4 配置Flood类攻击防范参数...........................................................................................................9-209.7.5 配置基于会话的攻击防范参数.......................................................................................................9-229.7.6 配置扫描类攻击防范参数...............................................................................................................9-239.7.7 配置超大ICMP报文控制参数.......................................................................................................9-239.7.8 检查配置结果...................................................................................................................................9-24 9.8 配置连接数限制和新建连接速率限制和带宽限制................................................................................9-249.8.1 建立配置任务...................................................................................................................................9-249.8.2 配置全局连接数和比例监控...........................................................................................................9-269.8.3 配置连接数限制...............................................................................................................................9-269.8.4 配置新建连接速率限制...................................................................................................................9-279.8.5 配置H.323流量带宽保证...............................................................................................................9-279.8.6 配置特定数据流流量带宽保证.......................................................................................................9-279.8.7 配置对其他数据流的流量限制.......................................................................................................9-27 9.9 配置ASPF.................................................................................................................................................9-289.9.1 建立配置任务...................................................................................................................................9-289.9.2 配置域间应用ASPF........................................................................................................................9-289.9.3 配置域内应用ASPF........................................................................................................................9-29 9.10 配置三元组ASPF...................................................................................................................................9-309.10.1 建立配置任务.................................................................................................................................9-309.10.2 启用三元组ASPF..........................................................................................................................9-30 9.11 配置静态黑名单......................................................................................................................................9-319.11.1 建立配置任务.................................................................................................................................9-319.11.2 配置静态黑名单功能.....................................................................................................................9-329.11.3 检查配置结果.................................................................................................................................9-32 9.12 动态插入黑名单......................................................................................................................................9-329.12.1 建立配置任务.................................................................................................................................9-329.12.2 启用动态黑名单功能.....................................................................................................................9-33 9.13 绑定黑名单和ACL.................................................................................................................................9-339.13.1 建立配置任务.................................................................................................................................9-339.13.2 配置黑名单和ACL绑定...............................................................................................................9-34 9.14 绑定MAC和IP地址.............................................................................................................................9-349.14.1 建立配置任务.................................................................................................................................9-349.14.2 配置MAC和IP地址绑定............................................................................................................9-359.14.3 检查配置结果.................................................................................................................................9-36 9.15 配置端口识别..........................................................................................................................................9-369.15.1 建立配置任务.................................................................................................................................9-369.15.2 配置端口识别.................................................................................................................................9-379.15.3 检查配置结果.................................................................................................................................9-38 9.16 维护..........................................................................................................................................................9-389.16.1 查看统一安全网关的会话信息.....................................................................................................9-389.16.2 清除统一安全网关的会话表项、分片表.....................................................................................9-389.16.3 调试统一安全网关包过滤.............................................................................................................9-399.16.4 调试统一安全网关攻击防范功能.................................................................................................9-399.16.5 查看统一安全网关统计信息.........................................................................................................9-409.16.6 清除统一安全网关统计信息.........................................................................................................9-419.16.7 调试ASPF......................................................................................................................................9-419.16.8 调试统一安全网关黑名单.............................................................................................................9-419.16.9 调试MAC和IP地址绑定............................................................................................................9-41 9.17 配置举例..................................................................................................................................................9-429.17.1 配置安全区域示例.........................................................................................................................9-429.17.2 配置会话老化时间示例.................................................................................................................9-439.17.3 配置Land攻击防范示例..............................................................................................................9-459.17.4 配置基于IP地址的SYN Flood攻击防范示例...........................................................................9-479.17.5 配置基于接口的ARP Flood攻击防范示例.................................................................................9-499.17.6 配置地址扫描攻击防范示例.........................................................................................................9-509.17.7 配置超大ICMP报文控制示例.....................................................................................................9-529.17.8 配置基于安全区域的连接数限制示例.........................................................................................9-539.17.9 配置基于安全区域的H.323流量带宽保证示例.........................................................................9-559.17.10 配置ASPF示例...........................................................................................................................9-589.17.11 配置三元组ASPF示例...............................................................................................................9-609.17.12 配置静态黑名单示例...................................................................................................................9-629.17.13 配置动态黑名单示例...................................................................................................................9-639.17.14 配置MAC和IP地址绑定示例..................................................................................................9-639.17.15 配置端口识别示例.......................................................................................................................9-65插图目录图9-1 报文统计典型应用组网图.....................................................................................................................9-6图9-2 安全区域典型配置举例组网图...........................................................................................................9-42图9-3 会话老化时间配置举例组网图...........................................................................................................9-44图9-4 统一安全网关攻击防范功能配置组网图...........................................................................................9-46图9-5 基于安全区域的连接数量监控组网图...............................................................................................9-54图9-6 ASPF配置案例组网图.........................................................................................................................9-58图9-7 三元组ASPF典型配置举例...............................................................................................................9-61图9-8 黑名单过滤的组网图...........................................................................................................................9-62图9-9 地址绑定配置组网图...........................................................................................................................9-64图9-10 端口识别配置案例组网图.................................................................................................................9-65表格目录表9-1 报文转发规则........................................................................................................................................9-4表9-2 包过滤规则............................................................................................................................................9-5表9-3 地址绑定与静态ARP的创建原则.....................................................................................................9-36配置安全策略配置指南安全防范分册 99 配置安全策略关于本章本章描述内容如下表所示。

相关文档
最新文档