启明星辰P系列防火墙产品安装调试

公司简介：启明星辰信息技术有限公司成立于1996年，由留美博士严望佳女士创建，是一家拥有自主知识产权的网络安全高科技企业。

作为与国际接轨、勇于创新的先行者，启明星辰公司致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能。

多年来，启明星辰公司始终坚持技术创新，确保技术水平与国际同步，目前已拥有50多项自主知识产权，并先后承担了国家863项目、国家发改委产业化示范工程等国家级、省部级重点信息安全科研项目共50多项，是国内网络安全领域承担国家级重点项目最多的企业。

启明星辰公司拥有国内最具实力的安全产品开发队伍，国际一流的黑客攻防技术研究团队——积极防御实验室（ADLAB），国际一流的安全运营服务团队——M2S 安全运营中心，国内一流的安全体系设计及咨询团队——前线技术专家团（VF），国内一流的安全系统集成团队和国内首家企业网络安全博士后工作站。

在稳固入侵检测、漏洞扫描产品多年市场占有率领先的同时，启明星辰公司推出了业内先进的一体化威胁管理（UTM）、安全审计等产品、国际化的专业安全服务、安全管理平台（SOC）以及符合萨班斯（SOX）法案的安全解决方案，帮助客户建立完善的安全保障体系。

启明星辰一体化安全网关防火墙采用“一体化”的思想，通过“设计一体化”，实现了“部署一体化、防御一体化、管理一体化”，在“安全变得简单”的指引下，为用户实现了“选择部署简单、防御威胁简单、策略实施简单、管理维护简单”。

天清汉马一体化安全网关介绍一、产品简介：凭借多年UTM市场经验积累，根据用户的切身需求，启明星晨推出新一代的UTM产品--天清汉马一体化安全网关。

天清汉马一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、IPSec VPN、SSL VPN、网关防病毒、入侵防御、抗拒绝服务攻击（Anti-DOS）、Web内容过滤、反垃圾邮件等多种安全技术于一身，同时全面支持QoS、负载均衡、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

天清汉马USG IPSec VPN客户端用户手册北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一零年七月天清汉马USGIPSecVPN客户端用户手册手册版本V3.2产品版本V2.6.3.2资料状态发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

安全启明星辰产品解决方案HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】安全解决方案的使命就是在先进的理念与方法论的指导下，综合运用安全技术、产品、工具，提供客户化的服务，全面系统地解决客户面临的安全问题。

1.理念与方法论理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。

一个解决方案中最核心的部分是解决方案所基于的理念与方法论，它好比解决方案的神经中枢。

尤其是对那些看起来相似的安全需求，基于不同的理念与方法论会得到大相径庭的安全解决方案。

良好安全理念和方法论力图挖掘和把握信息安全的本质规律，以便为客户提供可行的，易实施的安全解决方案。

2.需求获取客户的安全需求是整个解决方案的起源和持续的推动力。

没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前，不可能得到切合实际的解决方案。

在需求分析过程中，会采用多种需求分析方法。

比如，BDH方法，就是从业务、分布、层次等三个方向进行分解，同时考虑业务分解后的各要素之间的内在联系，力求完整而准确地获取客户的安全需求。

3.安全措施安全措施是解决方案中具体的方法、技术、服务和产品等的集合，但又不是简单的堆砌。

一个解决方案除了要有正确的安全理念和方法作为基础，全面、清晰地把握客户安全需求之外，还要对可用的各种安全措施（产品与服务）的特点有准确的了解和把握，深刻理解各种措施之间的内在联系，取长补短，充分发挥服务和产品的特性，最终提供有效的实施方案。

4.安全实现安全实现是解决方案的最后一步。

所谓“行百里者半九十”，优秀的安全解决方案必须通过完美地实现才能真正生效，满足客户的安全需求。

在努力完善理念和方法论的同时，要注重安全实现与执行。

从项目管理、质量保障等方面全面加强。

二、解决方案指导思路三观安全包括：微观安全、宏观安全和中观安全。

三观安全的一个典型模型就是上图的执行模型。

引：IPsec 报文原理这次说说IPsec另外两种场景，一种是做外网网关部署环境，一种是旁挂模式部署环境，一般防火墙直接挂在外网然后使用IPsec属于外网网关部署环境，如果VPN设备旁挂于核心或者防火墙之后非公网地址为单臂模式环境。

拓扑图：参旁挂模式拓扑。

针对单臂环境注：启明防火墙为旁挂模式部署一、引：启明星辰防火墙映射VPN需要的UDP 500与45006.4 配置步骤（1）配置网络连通性保证防火墙外网接口到互联网能够连通，内网接口到服务器能够连通。

（2）定义 IP 地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。

在【防火墙】--【服务】--【基本服务】定义开放的端口号注：源端口低和高一般不需要填写，除非是客户端限定了访问源端口（3）配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射公开地址：需要映射的外网口地址（必须为物理接口或者别名设备地址）拨号用户选择拨号获取到的公网地址即可内部地址：在地址列表里定义的服务器地址对外服务：需要对外开放的端口，此处选择vpn端口注：系统预定义大量常用端口，可以直接使用对内服务：内网服务器需要开放的端口，此处选择vpn端口500、4500隐藏内部地址：可选。

如果取消选中，既能通过公开地址和端口访问内部服务器，也可以直接访问服务器；如果选中，只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器，则需要将源地址转换为选择为防火墙内网接口地址。

（4）配置安全规则源地址选择any，目的地址选择为vpn，服务选择为vpn端口。

二、设置启明星辰配置（1）配置启明星辰VPN 接口地址进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。

（2）配置防火墙IPsec基本属性（2）配置启明星辰VPN IPSEC---VPN规则进入【VPN】-【IPSec】-【VPN规则】-添加，设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

怎样安装和设置电脑的防火墙软件在如今信息化的社会中，电脑已经成为人们工作、学习和娱乐的必备工具。

然而，网络攻击的风险也随之而来，为了保护我们的个人隐私和电脑系统的安全，安装和设置电脑的防火墙软件是非常必要的。

本文将介绍如何正确地安装和设置电脑的防火墙软件，以保障个人和计算机的安全。

一、选择适合的防火墙软件市面上有许多不同类型的防火墙软件可供选择，如Windows自带的防火墙、Norton防火墙、360安全卫士等。

在选择防火墙软件时，可以参考以下几点：1.安全性：软件的安全性是首要考虑的因素，建议选择信誉良好、有经验的厂商或知名品牌的软件。

2.功能强大：软件应该具备防火墙核心功能，包括入侵检测、阻断恶意攻击等。

3.易于使用：对于初学者来说，选择简单易用的软件更为合适，以确保安装和设置的顺利进行。

二、安装防火墙软件根据所选的防火墙软件不同，安装过程也会有所差异。

在这里以Windows自带的防火墙为例进行介绍：1.打开“控制面板”，点击“系统和安全”。

2.在“Windows防火墙”选项中，点击“打开Windows防火墙”。

3.在弹出的窗口中，点击“推荐设置”选项，然后按照系统的提示进行设置即可。

三、设置防火墙规则安装完成后，需要对防火墙进行相关设置，以保护计算机的安全。

以下是设置防火墙规则的一些建议：1.应用程序许可：允许或拒绝特定程序与外界进行通信。

根据实际需求，设置相应的许可规则。

2.端口管理：可以根据需要开放或关闭特定端口，以控制网络通信的范围。

3.连接管理：可以设置许可的连接和拒绝的连接，以避免恶意连接或未经授权的访问。

4.更新软件：定期更新防火墙软件，以获取最新的安全补丁和功能优化。

四、定期检查和维护防火墙安装和设置防火墙只是第一步，定期检查和维护同样重要。

以下是一些维护防火墙的建议：1.及时更新：定期更新防火墙软件和操作系统的补丁，以弥补已知的安全漏洞。

2.监控日志：定期查看防火墙日志，发现异常情况并及时作出响应。

公司简介：启明星辰信息技术有限公司成立于1996年，由留美博士严望佳女士创建，是一家拥有自主知识产权的网络安全高科技企业。

作为与国际接轨、勇于创新的先行者，启明星辰公司致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能。

多年来，启明星辰公司始终坚持技术创新，确保技术水平与国际同步，目前已拥有50多项自主知识产权，并先后承担了国家863项目、国家发改委产业化示范工程等国家级、省部级重点信息安全科研项目共50多项，是国内网络安全领域承担国家级重点项目最多的企业。

启明星辰公司拥有国内最具实力的安全产品开发队伍，国际一流的黑客攻防技术研究团队——积极防御实验室（ADLAB），国际一流的安全运营服务团队——M2S 安全运营中心，国内一流的安全体系设计及咨询团队——前线技术专家团（VF），国内一流的安全系统集成团队和国内首家企业网络安全博士后工作站。

在稳固入侵检测、漏洞扫描产品多年市场占有率领先的同时，启明星辰公司推出了业内先进的一体化威胁管理（UTM）、安全审计等产品、国际化的专业安全服务、安全管理平台（SOC）以及符合萨班斯（SOX）法案的安全解决方案，帮助客户建立完善的安全保障体系。

启明星辰一体化安全网关防火墙采用“一体化”的思想，通过“设计一体化”，实现了“部署一体化、防御一体化、管理一体化”，在“安全变得简单”的指引下，为用户实现了“选择部署简单、防御威胁简单、策略实施简单、管理维护简单”。

天清汉马一体化安全网关介绍一、产品简介：凭借多年UTM市场经验积累，根据用户的切身需求，启明星晨推出新一代的UTM产品--天清汉马一体化安全网关。

天清汉马一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、IPSec VPN、SSL VPN、网关防病毒、入侵防御、抗拒绝服务攻击（Anti-DOS）、Web内容过滤、反垃圾邮件等多种安全技术于一身，同时全面支持QoS、负载均衡、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

天清汉马USG防火墙（P系列）集中管理中心用户使用手册北京启明星辰信息安全技术有限公司2013年04月目录第一章前言 (5)1.1导言 (5)1.2适用对象 (5)1.3适合产品 (5)第二章如何开始 (6)2.1概述 (6)2.1.1产品特点 (6)2.1.2软件描述 (6)2.1.3主要功能 (7)2.1.4License控制 (7)2.2进入系统 (7)2.2.1登录 (7)2.2.2界面主框架 (8)第三章系统主页 (8)3.1概述 (8)3.1.1安全等级 (9)3.1.224小时安全趋势 (9)3.1.3系统状态 (9)3.1.4设备探测 (10)3.2安全概览图 (10)3.3安全设备分析 (11)3.4实时告警 (12)3.5攻击拓扑 (13)第四章资产管理 (13)4.1设备管理 (13)4.1.1网络拓扑管理 (14)4.1.2设备信息读取 (16)4.1.3设备基本信息查看 (17)4.1.4设备管理配置 (18)4.1.5节点管理 (18)4.1.6级联管理 (20)4.2策略管理 (20)4.2.1策略管理工具栏 (21)4.3VPN管理 (22)4.3.1IKE策略 (22)4.3.2IPSec策略 (22)4.3.3策略模板 (22)4.3.4VPN策略向导 (23)4.3.5VPN隧道监控 (23)4.4.1单个设备监控 (23)4.4.2设备集中监控 (24)4.4.3监控任务管理 (24)4.5升级管理 (25)4.5.1设备升级包管理 (25)4.5.2设备升级管理 (26)第五章事件管理 (26)5.1实时监控 (27)5.2安全日志查询 (28)5.3设备日志查询 (30)5.4系统日志查询 (30)第六章报表管理 (30)6.1概述 (30)6.1.1功能简介 (30)6.1.2功能分类 (31)6.2功能介绍 (32)6.2.1功能首页 (32)6.2.2安全事件特征报表 (33)6.2.3设备报表 (39)6.2.4定时报表 (40)6.2.5自定义报表 (42)第七章规则管理 (43)7.1告警规则 (44)7.2关联规则 (45)第八章系统设置 (46)8.1管理配置 (46)8.1.1服务器状态 (46)8.1.2设备发现列表 (47)8.1.3许可管理 (49)8.1.4系统日志 (49)8.1.5系统参数配置 (50)8.1.6系统维护 (51)8.2日志维护 (52)8.2.1日志导出管理 (52)8.2.2日志导入管理 (53)8.2.3日志状态信息 (54)8.2.4日志自动备份 (54)8.3事件服务器管理 (55)第九章权限配置 (56)9.1.1添加用户 (56)9.1.2修改用户信息 (57)9.1.3修改密码 (57)9.1.4删除用户 (58)9.2角色管理 (58)9.2.1添加角色 (58)9.2.2修改角色 (59)9.2.3删除角色 (60)9.3在线用户列表 (60)第十章帮助 (60)10.1帮助中心 (61)10.1.1帮助文档 (61)10.1.2FAQ (61)10.1.3联系支持中心 (62)10.1.4生成支持文件 (62)10.2配置实用工具 (62)10.2.1ping测试 (62)10.2.2snmp测试 (63)10.2.3syslog测试 (63)第一章前言1.1 导言《天清汉马USG防火墙（P系列）集中管理中心用户使用手册》是天清汉马USG防火墙（P系列）的集中管理中心（以下简称管理中心）的用户帮助文档。

实施方案1、项目概况山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场，每个风场两台，共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作，用于满足自动化应用系统安全需求。

2、服务范围、服务内容2.1供货范围本工程的供货范围见表2-1所示。

表2-1供货需求一览表2.2工作范围供货商的工作范围包括：a)提供合同内所有硬件设备和软件，并保证系统完全符合最终技术规范的要求。

b)提供所需的系统技术资料和文件，并对其正确性负责。

c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器仪表（包括调整、测试和校核）。

d)负责进行工厂验收，将设备运输（含搬运至指定位置）、安装在现场(设备机房)以及现场调试直至成功地投入运行。

e)负责提出设备对供电、接地、消防、运行环境及安装等要求。

f)负责完成与买方另外购买的其它设备接口连接调试工作。

g)负责现场勘察，与风场协调、确定设备安装位置，制定设备安装、调试计划。

h)负责编制试验、验收的计划报告。

i)在两年保修期内提供必要的保修服务，卖方应保证及时免费维修或更换任何并非有买方人员非正常操作而导致的缺陷或故障，并应提供限时到达现场的维修服务。

j)由我公司进行安装调试，并提供售后服务。

k)技术培训。

l)按合同要求为买方提供必要其它的服务。

3、服务依据、工作目标；3.1服务依据《信息技术设备的安全》GB4943－2001《建筑物电子信息系统防雷技术规范》GB50343-2004《环境电磁卫生标准》GB5175-88《电磁辐射防护规定》GB8702-88《电气装置安装工程施工及验收规范》GB50254-96《电气装置安装工程施工及验收规范》GB50255-963.2工作目标本工程计划工期30日历天，质量执行国家现行验收标准及要求，达到合格标准，严格执行安全措施，达到安全零事故。

4、服务机构设置、岗位职责4.1服务机构设置**设立两个服务小组，随时调遣工作。

启明星辰入侵检测设备配置说明天阗NT600-TC-BRP第1章设备概述与工作流程介绍1.1设备概述入侵检测设备是一个典型的"窥探设备"。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。

根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

典型拓扑：1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。

2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

具体的技术形式如下所述：1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。

3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。