天清汉马USG配置手册

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192。

168。

1。

250/24.允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为venus。

usg。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus。

audit。

用户可以使用这个账号对安全策略和日志系统进行审计.系统默认的用户管理员用户为useradmin，密码为venus。

user.用户可以使用这个账号用于配置系统管理员.二、USG设备的主要配置选项。

1。

系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本,系统已经运行的时间,系统性能,接口状态，授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备.协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0,eth1等等；如果是1000M网卡，则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口)的以太网接口不能加入网桥组。

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。

允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为g。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。

实验一:透明桥实验如图接入USG ，实现如下要求： 1、 新建桥接口：Eth2,eth1-bvi1，2、 配置接口bvi1 ip add 192.168.1.30/24，允许https 、ping3、 地址对象建立主机地址对象：PC1、PC2；服务对象：test1：804、 添加策略允许eth2<->eth3双向icmp ，eth2->eth3的http 80。

5、 启用策略保存配置6、 测试 实验步骤：第一步：新建桥接口、并配置桥口ip 和允许访问 网络管理---接口—透明桥：配置桥接口的IP 为192.168.24.250/24.接口列表中勾选eth2\eth3,管理访问勾选https 和ping.步骤二：配置地址对象PC1和PC2.以及服务对象test1对象管理---地址对象---地址节点：新建地址节点：新建PC1的地址节点，地址为192.168.24.10，pc2的地址为192.168.24.20. 对象管理---服务对象---自定义服务：新建自定义服务建立任意的源到目的80的服务，并提交步骤三：添加策略允许eth2<->eth3双向icmp，eth2->eth3的http 80。

防火墙---安全策略---新建：允许eth2->eth3单向icmp允许eth3->eth2单向icmpeth2->eth3的http 80步骤四：勾选并启用策略，然后保存配置步骤五：测试实验二：防火墙路由NAT模式应用实验要求：内部inside通过SNAT方式访问internet。

Internet用户可以通过DNAT方式访问DMZ区域的server。

实验步骤：第一步：配置接口IP地址第二步：建立inside（192.168.1.0/24）、DMZ(192.168.2.0/24)、outside(218.23.156.0/24)地址对象第三步：配置静态默认路由第四步:实现inside到outside的SNAT第五步：实现Outside到DMZ的DNAT步骤一：配置接口及ＩＰ地址网络管理――接口――接口：配置接口ｅｔｈ０，ｉｐ：192.168.1.254/24配置接口ｅｔｈ1，ｉｐ：192.168.2.254/24配置接口eth3，IP：218.23.156.1/24步骤二：建立地址对象:对象管理---地址对象---地址节点：新建：Inside:192.168.1.(1-253)/24DMZ:192.168.2.(1-253)/24Outside:218.23.156.(1-253)/24第三步：配置静态默认路由步骤四：实现inside到outside的SNAT 网络管理—NAT--源地址转换：新建：步骤四：实现Outside到ＤＭＺ的DNAT 新建NAT地址池：Webserver：192.168.2.1Ftpserver：192.168.2.2mailserver：192.168.2.3网络管理—NAT—目的地址转换：新建：访问到eth3的http服务，目的地址转换为webserver地址访问到eth3的Ftp服务，目的地址转换为ftpserver地址访问到eth3的mail服务，目的地址转换为mailserver地址。

天清汉马USG防火墙（P系列）集中管理中心用户使用手册北京启明星辰信息安全技术有限公司2013年04月目录第一章前言 (5)1.1导言 (5)1.2适用对象 (5)1.3适合产品 (5)第二章如何开始 (6)2.1概述 (6)2.1.1产品特点 (6)2.1.2软件描述 (6)2.1.3主要功能 (7)2.1.4License控制 (7)2.2进入系统 (7)2.2.1登录 (7)2.2.2界面主框架 (8)第三章系统主页 (8)3.1概述 (8)3.1.1安全等级 (9)3.1.224小时安全趋势 (9)3.1.3系统状态 (9)3.1.4设备探测 (10)3.2安全概览图 (10)3.3安全设备分析 (11)3.4实时告警 (12)3.5攻击拓扑 (13)第四章资产管理 (13)4.1设备管理 (13)4.1.1网络拓扑管理 (14)4.1.2设备信息读取 (16)4.1.3设备基本信息查看 (17)4.1.4设备管理配置 (18)4.1.5节点管理 (18)4.1.6级联管理 (20)4.2策略管理 (20)4.2.1策略管理工具栏 (21)4.3VPN管理 (22)4.3.1IKE策略 (22)4.3.2IPSec策略 (22)4.3.3策略模板 (22)4.3.4VPN策略向导 (23)4.3.5VPN隧道监控 (23)4.4.1单个设备监控 (23)4.4.2设备集中监控 (24)4.4.3监控任务管理 (24)4.5升级管理 (25)4.5.1设备升级包管理 (25)4.5.2设备升级管理 (26)第五章事件管理 (26)5.1实时监控 (27)5.2安全日志查询 (28)5.3设备日志查询 (30)5.4系统日志查询 (30)第六章报表管理 (30)6.1概述 (30)6.1.1功能简介 (30)6.1.2功能分类 (31)6.2功能介绍 (32)6.2.1功能首页 (32)6.2.2安全事件特征报表 (33)6.2.3设备报表 (39)6.2.4定时报表 (40)6.2.5自定义报表 (42)第七章规则管理 (43)7.1告警规则 (44)7.2关联规则 (45)第八章系统设置 (46)8.1管理配置 (46)8.1.1服务器状态 (46)8.1.2设备发现列表 (47)8.1.3许可管理 (49)8.1.4系统日志 (49)8.1.5系统参数配置 (50)8.1.6系统维护 (51)8.2日志维护 (52)8.2.1日志导出管理 (52)8.2.2日志导入管理 (53)8.2.3日志状态信息 (54)8.2.4日志自动备份 (54)8.3事件服务器管理 (55)第九章权限配置 (56)9.1.1添加用户 (56)9.1.2修改用户信息 (57)9.1.3修改密码 (57)9.1.4删除用户 (58)9.2角色管理 (58)9.2.1添加角色 (58)9.2.2修改角色 (59)9.2.3删除角色 (60)9.3在线用户列表 (60)第十章帮助 (60)10.1帮助中心 (61)10.1.1帮助文档 (61)10.1.2FAQ (61)10.1.3联系支持中心 (62)10.1.4生成支持文件 (62)10.2配置实用工具 (62)10.2.1ping测试 (62)10.2.2snmp测试 (63)10.2.3syslog测试 (63)第一章前言1.1 导言《天清汉马USG防火墙（P系列）集中管理中心用户使用手册》是天清汉马USG防火墙（P系列）的集中管理中心（以下简称管理中心）的用户帮助文档。

天清汉马USG IPSec VPN客户端用户手册北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一零年七月天清汉马USGIPSecVPN客户端用户手册手册版本V3.2产品版本V2.6.3.2资料状态发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

天清汉马USG一体化安全网关NAT配置指南(V3.2)版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Tech Inc.All rights reserved.The copyright of this document is owned by Venus Info Tech Inc.Without the prior written permission obtained from Venus Info Tech Inc.,this document shall not be reproduced and excerpted in any form or by any means,stored in a retrieval system,modified,distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an“AS IS”basis.Venus Info Tech Inc.may make improvement or changes in this document,at any time and without notice and as it sees fit.The information in this document was prepared by Venus Info Tech Inc.with reasonable care and is believed to be accurate.However,Venus Info Tech Inc.shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies,or errors contained herein.目录1版本信息 (1)2技术简介 (1)3常见组网方案与配置 (2)3.1源NAT转换 (2)3.2多对一 (2)3.2.1.1.建立内部地址对象 (2)3.2.1.2.建立NAT表项 (3)3.2.1.3.建立相关安全策略 (3)3.3多对多 (4)3.3.1.1.建立内部地址对象 (4)3.3.1.2.建立NAT地址池 (5)3.3.1.3.建立NAT表项 (5)3.3.1.4.建立相关安全策略 (6)3.3.1.5.注意事项 (7)3.4目的地址转换 (7)3.5目的端口转换 (7)3.5.1.1.建立地址对象 (7)3.5.1.2.建立NAT地址池 (8)3.5.1.3.建立NAT表项 (9)3.5.1.4.建立相关安全策略 (9)3.5.1.5.注意事项 (10)3.6目的地址转换 (10)3.6.1.1.建立地址对象 (11)3.6.1.2.建立NAT地址池 (11)3.6.1.3.建立NAT表项 (12)3.6.1.4.建立相关安全策略 (12)3.6.1.5.注意事项 (13)3.7静态NAT转换 (13)3.7.1.1.建立内部服务器地址 (13)3.7.1.2.建立NAT表项 (14)3.7.1.3.建立相关安全策略 (14)3.7.1.4.注意事项 (15)4特殊网络拓扑解决方案 (16)4.1常见DNAT应用方案一 (16)4.2常见DNAT应用方案二 (17)5与其他相关模块配合使用 (17)5.1NAT与IPSEC隧道共同使用 (17)5.2注意事项 (18)5.3源NAT与L2TP（L2TP+IPSEC） (18)5.4注意事项 (18)5.5目的NAT与L2TP (19)5.6注意事项 (19)5.7目的NAT与L2TP+IPSEC (19)5.8注意事项 (19)5.9源NAT与SSL VPN (19)5.10注意事项 (20)5.11目的NAT与SSL VPN (20)5.12注意事项 (20)6备注 (20)1版本信息手册版本V3.2产品版本V2.6.3.2发布状态发布发布时间2010年07月31日备注信息无2技术简介NAT即网络地址转换，最初是由RFC1631（目前已由RFC3022替代）定义，用于私有地址向公有地址的转换，以解决公有IP地址短缺的问题。