天清汉马USG防火墙
天清汉马USG系列配置简介
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
安全变得简单,从天清汉马开始
高可用性(HA)
高可用性 (HA, High Availability),可防止网络中由于单个防火墙
的设备故障或网络故障导致网络中断,保证网络服务的连续性和强度。
USG A
192.168.32.1 202.100.0.23
安全变得简单,从天清汉马开始
IPSec配置简介
1. 在USG A上 创建地址对象 usrs 和 server,分别代表地址簇用户和服务 器。
安全变得简单,从天清汉马开始
IPSec配置简介
2. 配置阶段1 (IKE) 策略
安全变得简单,从天清汉马开始
IPSec配置简介
如果有必要,进行阶段1的高级配置,可以设置加密、认证算法、DH组、 密钥周期、DPD探测频率等参数;
天清汉马USG配置介绍
-天清汉马USG一体化安全网关
北京启明星辰信息技术有限公司
安全变得简单,从天清汉马开始
提纲
• • • • • •
配置管理概述
防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置
安全变得简单,从天清汉马开始
配置管理概述
USG设备的管理方式 • • • • • 通过Console口配置; 通过Telnet 进行命令行的配置; 通过SSH进行命令行的配置; 通过HTTP 或HTTPS协议,从GUI界面进行配置管理; 安装集中管理中心软件,集中管理、配置USG设备;
安全变得简单,从天清汉马开始
IPSec配置简介
3. 创建阶段2 (IPSec)策略
安全变得简单,从天清汉马开始
IPSec配置简介
天清汉马USG配置手册
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192。
168。
1。
250/24.允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为venus。
usg。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus。
audit。
用户可以使用这个账号对安全策略和日志系统进行审计.系统默认的用户管理员用户为useradmin,密码为venus。
user.用户可以使用这个账号用于配置系统管理员.二、USG设备的主要配置选项。
1。
系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备.协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
天清汉马USG系列配置简介
• 物理接口; • Vlan接口; • 透明桥接口; • GRE接口; • 安全域; • 其他隐藏接口,包括loopback接口、L2TP接口和tunssl
接口
物理接口
Vlan接口
透明桥接口
GRE接口
安全域
安全域实际上就是接口组,可以在一个域中加入多个接口, 对安全域的配置对于多个接口都是生效的,方便配置。 接口加入域后,不能单独对该接口进行配置。
网络地址转换(NAT)
网络地址转换(NAT):
• 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题;
• 单向隔离,具有额外的安全性; • 利用目标地址的映射,使公有地址可访问配置了私有地址
的服务器; • 可用于服务器的负载均衡和地址复用;
网络地址转换(NAT)
USG支持以下NAT:
配置管理概述
管理员用户与权限表
• 通过默认管理员或自建管理员用户来进行管理配置; • 管理员可以通过本地或Radius进行认证; • 出厂默认管理用户admin,密码g; • 管理员权限表规定了管理员可以执行的操作; • 可以给管理员添加管理IP限制;
配置管理概述
新建管理员用户
• 垂直扫描:针对相同主机的多个端口 • 水平扫描:针对多个主机的相同端口 • Ping扫描:针对某地址范围,通过Ping方式发现存活主机
扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。
防攻击防扫描
根据网络情况开启相应的防攻击和防扫描功能,并设定合理的 参数。
配置管理概述
新建管理员权限表
配置管理概述
天清汉马USG配置手册簿
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG防火墙(T系列)快速安装指南-v3
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载天清汉马USG防火墙(T系列)快速安装指南-v3地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容天清汉马USG防火墙(T系列)快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一六年11月天清汉马USG防火墙快速安装指南手册版本V1.0产品版本V2.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Co pyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in anyform or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的天清汉马USG防火墙产品正常运行时,包含2款GPL协议的软件(linux、zebra)。
天清汉马USG系列_Web管理配置简介
防攻击防扫描
根数网络情况开启相应的防攻击和防扫描功能, 根数网络情况开启相应的防攻击和防扫描功能,并设定合理的 参数。 参数。
安全变得简单,从天清汉马开始
防攻击防扫描
攻击: 防Flood攻击 攻击 • 通过限制源主机或目的主机的连接数来起到防止 通过限制源主机或目的主机的连接数来起到防止Flood攻 攻 击的目的; 击的目的; • 在安全防护表数启用,并通过安全策略来引用,不是全局使 在安全防护表数启用,并通过安全策略来引用, 能的; 能的; • 根数网络情况,配置合理的参数值; 根数网络情况,配置合理的参数值; • 可以认为是防攻击、防扫描的补充。 可以认为是防攻击、防扫描的补充。
USG设备可以担当所有的 设备可以担当所有的DHCP 角色 角色: 设备可以担当所有的 • DHCP Server • DHCP Relay • DHCP Client
安全变得简单,从天清汉马开始
动态地址分配(DHCP) 动态地址分配
配置DHCP服务器的步骤 服务器的步骤: 配置 服务器的步骤 1. 2. 3. 4. 5. 在相应接口开启DHCP Server服务; 在相应接口开启 服务; 服务 创建DHCP服务器; 服务器; 创建 服务器 如果有必要,创建DHCP地址的排除范围 地址的排除范围; 如果有必要,创建DHCP地址的排除范围; 如果有必要,创建IP-MAC绑定条目; 绑定条目; 如果有必要,创建 绑定条目 通过监视器可察看由USG分配的动态地址; 分配的动态地址; 通过监视器可察看由 分配的动态地址
安全变得简单,从天清汉马开始
安全域
安全变得简单,从天清汉马开始
路由配置
路由表查询
安全变得简单,从天清汉马开始
路由配置
创建静态路由
天清汉马USG配置手册之欧阳歌谷创编
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG防火墙快速安装指南
天清汉马USG快速安装指南北京启明星辰信息安仝技术有限公司V3.2 Beiji ng Venus In formatio n Security Inc. V2.6.3.2 二零一零年七月 发行手册版本产品版本资料状态第1章软件安装 .................................................. 1-3 1.1准备条件........................................................1-3..1.2天清集中管理与数据分析中心安装过程............................. 1.-31.2.1 MSDE 数据库........................................................................... 1-51.2.2天清集中管理与数据分析中心 .............................................................. 1-5 1.3管理配置........................................................ 1.-9..1.3.1配置数据库服务器 ...................................................................... 1.-101.3.2 配置入库缓冲文件路径 ................................................................. 1.-111.3.3 配置声音报警 ......................................................................... .1.-12 第2章软件卸载...................................................... 2-142.1天清集中管理与数据分析中心卸载过程............................. 2-14 第3章硬件安装...................................................... 3-153.1准备条件........................................................ 3-1.5 3.2标识说明........................................................ 3-1.5 第4章快速配置...................................................... 3-184.1设备默认配置................................................... 4-.1.94.1.1 接口0的默认配置...................................................................... 4-194.1.2默认管理员用户 .......................................................................... 4-194.2 Web快速配置 .................................................. 4-1.9 4.2.1登录设备 ............................................................................... 4-19 4.2.2 配置路由模式........................................................................ 4.-21 4.2.3配置桥模式 ........................................................................... 4:25 4.2.4 配置安全策略......................................................................... 4-27 4.2.5 配置NAT ...................................................................................................................... 4-29 4.3天清集中管理与数据分析中心快速配置............................. 4.-31 4.3.1登录天清集中管理与数据分析中心 ........................................................ 4-31 4.3.2 添加USG 设备 ....................................................................... 4-31 4.3.3添加设备组 ............................................................................. 4.32 4.3.4调整数据接收端口............................................................... 4.-33 4.3.5查询数据 ............................................................................... 4-33 4.4天清集中管理与数据分析中心快速配置............................. 4.-33 4.4.1 登录集中管理中心............................................................... 4.-33 4.4.2添加设备/设备组........................................................................ 4.-34 4.4.3集中管理 ............................................................................... 4-35 4.4.4单机管理 ............................................................................... 4-35 4.4.5升级维护 ............................................................................... 4-36 第5章软件升级....................................................... 5-385.1通过Web升级 .................................................. 5-38第1章软件安装1.1准备条件硬件配置要求:PC 服务器/ Pentium IV CPU /2G 内存/ 200G 硬盘软件要求:操作系统:推荐使用Win dows 2k sp4(中文版)、Win dows 2003(中文版卜可以使用Windows XP sp3(中文版),Vista , windows 7 。
天清汉马USG防火墙
50
部署多类安全网关产品?
安全网关
部署在两个或多个安全等级不同的安全域边 界的设备,通过各种技术实现不同安全域之 间的策略控制
防火墙 防病毒网关 入侵防御系统 VPN网关 防DOS网关 ……
51
各类安全产品部署的矛盾
独立部署
蠕虫病毒 违法信息 非授权访问 IP欺骗
糖葫芦部署
Anti-Virus
防火墙
不检查IP、TCP、UDP 包头 不建立连接状态表 网络层保护比较弱
18
应用网关防火墙
优点
可以检查应用层、传输层和网络层的协议特 征,对数据包的检测能力比较强
缺点
难于配置 处理速度较慢
19
状态检测防火墙
又称动态包过滤防火墙 检测原理
对于新建立的应用连接,状态检测型防火墙先检查 预先设置的安全规则,允许符合规则的连接通过 记录下该连接的相关信息,生成状态表 对该连接的后续数据包,只要是符合状态表,就可 以通过
根据分组包的源、目的地址,端口号及协议 类型、标志位确定是否允许分组包通过
优点:
高效、透明
缺点:
不能防范部分的黑客IP欺骗类攻击。 不能跟踪TCP连接的状态 不支持应用层协议 对管理员要求高
11
包过滤防火墙
判断依据有:
数据包协议类型:TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口:FTP、HTTP、DNS等 IP选项:源路由选项等 TCP选项:SYN、ACK、FIN、RST等 其它协议选项:ICMP ECHO、ICMP ECHO REPLY等 数据包流向:in或out 数据包流经网络接口:eth0、eth1
9
防火墙的发展历史
包过滤防火墙
最早的防火墙技术之一,功能简单,配置复杂
天清汉马USG系列配置简介
USG设备的管理方式
• 通过Console口配置; • 通过Telnet 进行命令行的配置; • 通过SSH进行命令行的配置; • 通过HTTP 或HTTPS协议,从GUI界面进行配置管理; • 安装集中管理中心软件,集中管理、配置USG设备;
天清汉马USG系列配置简介
管理员用户与权限表
源地址转换(SNAT),可以将内部地址转换成出接口地址或 者地址池中的地址。
天清汉马USG系列配置简介
目的地址转换(DNAT),可以将目标地址转换成NAT Pool中的地址,亦可实现服务器负载分担与业务分流。
天清汉马USG系列配置简介
NAT地址池(Pool),注意起始地址不能大于结束地址,在 地址不是很充分的情况下,可以配置地址轮询。
天清汉马USG系列配置简介
USG设备可以担当所有的DHCP 角色:
• DHCP Server • DHCP Relay • DHCP Client
天清汉马USG系列配置简介
配置DHCP服务器的步骤:
1. 在相应接口开启DHCP Server服务; 2. 创建DHCP服务器; 3. 如果有必要,创建DHCP地址的排除范围; 4. 如果有必要,创建IP-MAC绑定条目; 5. 通过监视器可察看由USG分配的动态地址;
和设备本身发出的数据包不进行限制; • 可以调整安全策略的顺序,以使位置在前的策略优先匹配; • 可以创建一条新的安全策略,并插入到指定的策略之前;
天清汉马USG系列配置简介
网络地址转换(NAT):
• 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题;
• 单向隔离,具有额外的安全性; • 利用目标地址的映射,使公有地址可访问配置了私有地址
天清汉马USG防火墙IPSecVPN客户端用户手册
天清汉马USG IPSec VPN客户端用户手册北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一零年七月天清汉马USGIPSecVPN客户端用户手册手册版本V3.2产品版本V2.6.3.2资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时,包含3款GPL协议的软件(linux、zebra、OpenLDAP)。
天清汉马USG系列配置简介
安全变得简单,从天清汉马开始
SSL VPN配置
4. 通过HTTPS协议,从Web登陆:
安全变得简单,从天清汉马开始
SSL VPN配置
5. 登陆后页面如下,可以通过web或隧道模式访问内部资源。
安全变得简单,从天清汉马开始
SSL VPN配置
6. 隧道模式下需要先下载客户端,安装后点击连接,拨号成功的页面如下 图所示:
安全变得简单,从天清汉马开始
SSL VPN配置
1. 在USG上使能SSL VPN,默认采用10443端口
安全变得简单,从天清汉马开始
SSL VPN配置
2. 在对应的接口上开启SSL VPN接入:
安全变得简单,从天清汉马开始
SSL VPN配置
3. 配置相应的安全策略,当然还要配置好用户和用户组:
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
USG设备可以担当所有的DHCP 角色: • DHCP Server • DHCP Relay • DHCP Client
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
配置DHCP服务器的步骤: 1. 2. 3. 4. 5. 在相应接口开启DHCP Server服务; 创建DHCP服务器; 如果有必要,创建DHCP地址的排除范围; 如果有必要,创建IP-MAC绑定条目; 通过监视器可察看由USG分配的动态地址;
4. 视实际应用情况,配置合适的安全策略:
安全变得简单,从天清汉马开始
L2TP VPN配置
5. 用户此时可以拨入,拨入后在USG管理页面中可以查看存在的L2TP用 户:
安全变得简单,从天清汉马开始
提纲
• • • • • •
配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置
天清汉马USG防火墙快速安装指南
天清汉马USG快速安装指南手册版本V3.2产品版本V2.6.3.2资料状态发行第1章软件安装 ................................................................................................... 1-3 1.1 准备条件 ........................................................................................................... 1-31.2 天清集中管理与数据分析中心安装过程 ....................................................... 1-31.2.1 MSDE数据库................................................................................................................ 1-41.2.2天清集中管理与数据分析中心................................................................................... 1-5 1.3 管理配置 ........................................................................................................... 1-81.3.1配置数据库服务器....................................................................................................... 1-91.3.2配置入库缓冲文件路径............................................................................................. 1-101.3.3配置声音报警............................................................................................................. 1-11第2章软件卸载 ................................................................................................. 2-122.1 天清集中管理与数据分析中心卸载过程 ..................................................... 2-12第3章硬件安装 ................................................................................................. 3-133.1 准备条件 ......................................................................................................... 3-13 3.2 标识说明 ......................................................................................................... 3-13第4章快速配置 ................................................................................................. 3-154.1 设备默认配置 ................................................................................................. 4-164.1.1接口0的默认配置..................................................................................................... 4-164.1.2默认管理员用户......................................................................................................... 4-16 4.2 Web快速配置.................................................................................................. 4-164.2.1登录设备..................................................................................................................... 4-164.2.2配置路由模式............................................................................................................. 4-184.2.3配置桥模式................................................................................................................. 4-214.2.4配置安全策略............................................................................................................. 4-234.2.5配置NAT .................................................................................................................... 4-24 4.3 天清集中管理与数据分析中心快速配置 ..................................................... 4-254.3.1登录天清集中管理与数据分析中心......................................................................... 4-254.3.2添加USG设备........................................................................................................... 4-264.3.3添加设备组................................................................................................................. 4-264.3.4调整数据接收端口..................................................................................................... 4-274.3.5查询数据..................................................................................................................... 4-27 4.4 天清集中管理与数据分析中心快速配置 ..................................................... 4-274.4.1登录集中管理中心..................................................................................................... 4-274.4.2添加设备/设备组........................................................................................................ 4-274.4.3集中管理..................................................................................................................... 4-284.4.4单机管理..................................................................................................................... 4-294.4.5升级维护..................................................................................................................... 4-29第5章软件升级 ................................................................................................. 5-315.1 通过Web升级................................................................................................ 5-31第1章 软件安装1.1 准备条件硬件配置要求:PC 服务器/Pentium IV CPU /2G 内存/200G 硬盘软件要求:操作系统:推荐使用Windows 2k sp4(中文版)、Windows 2003(中文版)、可以使用Windows XP sp3(中文版),Vista ,windows 7。
天清汉马USG防火墙系统用户手册
DHCP状态............................................................................................ 22 接口统计 .............................................................................................. 22 在线用户统计....................................................................................... 23 ARP列表............................................................................................... 23
高级选项........................................................................................................ 39 DDNS设置............................................................................................ 39 静态路由 .............................................................................................. 40 策略路由 .............................................................................................. 41 DNS Relay设置 .................................................................................... 43 NAT设置 .............................................................................................. 43 端口映射 .............................................................................................. 45 虚拟域名设置....................................................................................... 47 ALG开关 .............................................................................................. 47 网络U盘................................................................................................ 48 页面推送 .............................................................................................. 49
天清汉马USG-FW-P防火墙实施指南
案例4. 路由设置
路由设置—默认路由均衡拓扑
案例4. 路由设置
路由设置—多默认路由均衡拓扑说明 1. 防火墙具备两个出口eth1 eth2且皆路由可 达外网服务器。 2.客户端1客户端2网关指向防火墙内网接口 eth3。 3.由于数据流量较大防火墙有路由均衡的需求
案例3. 路由&NAT接入
路由&NAT接入—NAT概述 • 网络地址转换NAT为IETF定义标准,用于允 许专用网络上的多台PC共享单个、全局路 由的IPv4地址IPv4地址日益不足是经常部 署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安 全手段使用,安全域内的机器通过NAT设备 后源地址被重新封装,起到一定屏蔽内网 作用。
案例1. 登录管理
WEB管理---证书页面导入
设备上已经有了默认证书,无需导入。如果有特 别需要,也可以导入其他证书,并进行管理
案例1. 登录管理
WEB管理---浏览器证书导入
导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击IE浏览器证书,按照提示进行安装,需要输入密 码时输入“hhhhhh”,当出现导入成功后点击确定完成。
路由设置—概述 路由 静态路由 默认路由 ISP路由 策略路由
案例4. 路由设置
路由设置—静态路由拓扑
内网
10.1.5.200 /30
外网
eth3
C:192.168.66.1 192.168.66.254 /24 /24 10.1.5.254 /30
eth1
211.100.100.254 /24
internet
•
案例3. 路由&NAT接入
路由&NAT接入—NAT概述2
天清汉马USG防火墙快速安装指南
天清汉马USG防火墙快速安装指南USG防火墙是一种网络安全设备,可保护企业网络不受来自互联网的攻击和威胁。
USG防火墙具有强大的功能,包括入侵检测和防范、URL过滤、VPN等。
下面是天清汉马USG防火墙的快速安装指南。
1.准备工作-确保您已购买了天清汉马USG防火墙并收到了所有所需的配件。
-查找一个安全的位置来放置USG防火墙,离电源插座和网络设备近。
2.连接设备-将USG防火墙的电源插头插入电源插座,并将另一端连接到USG防火墙上的电源端口。
- 使用Ethernet电缆将USG防火墙的LAN端口连接到您的网络交换机或路由器的可用端口。
- 使用另一条Ethernet电缆将USG防火墙的WAN端口连接到您的互联网入口设备,例如光猫或宽带调制解调器。
3. 访问Web界面- 打开您的Web浏览器,并键入USG防火墙的默认管理IP地址(通常为192.168.1.1)。
- 输入默认的用户名和密码进行登录(通常为admin/admin)。
4.配置网络参数- 在Web界面中,导航到"网络"或"接口"选项卡,并选择WAN口。
-根据您的网络提供商的要求,配置WAN口的IP地址和其他相关参数,例如子网掩码、默认网关和DNS服务器。
-保存更改并应用配置。
5.配置防火墙规则- 在Web界面中,导航到"防火墙"或"安全"选项卡,并选择"规则"子选项卡。
-根据您的安全需求,配置防火墙规则以允许或拒绝特定的网络流量。
-保存更改并应用配置。
6.配置VPN- 在Web界面中,导航到"VPN"或"安全"选项卡,并选择"VPN"子选项卡。
-根据您的需求,配置VPN连接,例如设置远程访问、站点到站点VPN等。
-保存更改并应用配置。
7.配置其他功能-根据您的需求,配置其他USG防火墙功能,例如入侵检测和防范、URL过滤等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
√ √(支持本地建立用户和组) √(通过RADIUS服务器) √ √ √(支持内置CA,为其他设备或移动用户签发证书;支持证书废弃,支持生成标准CRL列表) √(OSCP协议在线认证证书,LDAP协议在线认证证书,不同CA证书用户认证) √ WEB 高、中、低三级 √ √ √ √(只通过命令行提供) √ √(两台SSL VPN网关直接建立隧道,实现IPSec VPN网关部署功能;支持Hub-Spoke部署方式;证书+USB-Key √(隧道模式下为特定的用户名分配指定IP地址) √(“用户名+口令+图形认证码;认证页面增加图形认证码功能,防止暴力破解) √ √(实现USB-key+证书认证方式,支持agent模式和隧道模式) √(支持微软活动目录Active Directory 允许网络用户通过单个登录过程访问网络上任意位置允许访问的资源。 √(支持基于URL、访问路径、访问文件、访问动作的细粒度授权) √(Outlook Web Access;web FTP资源访问;web访问权限过滤;认证页面定制) √(内网多网段路由;允许或禁止SSL VPN隧道建立成功后拨号用户访问非公司内部网络) √ √(支持服务端口固定的应用) √(客户端支持WIN7) √ √ √ √(增强IPSec VPN监控功能) √(支持Ipsec VPN客户端,支持WIN7,支持客户端USB-key) √(IPSec VPN支持基于用户名的权限管理) √ DES、3DES、AES SHA、MD5 √(采用短暂的一次性密钥的系统) √ √ √失效同层检测(Dead Peer Detection DPD)功能,能够通过自动感应和重新建立失败的VPN连接,进而增加正常运行时间
√(可以监控系统当前总连接数目、TCP连接数目、UDP连接数目、ICMP连接数目;可以根据源IP、目的IP、会话端口等信 √ √(分为七级别,用户可以根据级别和日志来源(例如防火墙日志、配置日志等)过滤日志的记录或者远程发送 √(本地日志支持导出功能) √ √ √
√ √(可根据Facility字段进行设定并将指定字段值的信息送往特定的目标地址) √(实时显示当前收到的日志信息,此功能由数据中心提供) √(以关键元素为依据实现数据压缩,此功能由数据中心提供) √ √ √(SNMP V1/V2/V3) √(CPU利用率、内存利用率、连接数、产品ID及转发速率) √ √ √(支持希网DDNS) √(支持通过Web界面以HTTPS方式打开串口命令行访问) √(可以使用天清集中管理和数据分析中心来进行集中管理) √(支持标准的syslog服务器,使用天清汉马USG可提供syslog和Netflow功能,并可生成图形化报表) √(用户可以通过自行定义管理员角色,生成具有不同权限的管理员) √(控制特定ip地址的管理员才可以进行设备的管理) √(支持从自定义服务器或互联网NTP服务器同步系统时间) √ √(可显示CPU利用率、内存利用率、接口地址、接口状态、接口流量等) √(Web管理界面在线提供相关模块的帮助文件,以便快速掌握模块功能和如何应用) √(外置CF卡实现日志等信息的本地存储) √(集中管理中心提供) √ √ √(基于协议和端口)
IPSEC VPN
GRE IPSec IPSec 监控 IPSec VPN专用客户端 权限管理 L2TP 加密算法 认证算法 完美向前保护(PFS) 手动认证方式 IKE认证方式 对端状态检测(DPD)
全动态VPN VPN实时监控 双向NAT穿越 基于数字证书的VPN应用 透明模式VPN VPN硬件加速 VPN加密卡(国密算法) 与第三方标准VPN产品兼容 内容过滤 支持URL过滤 URL免屏蔽列表 网页内容过滤 脚本、Cookie过滤 Web代理过滤 邮件地址过滤 MIME邮件报头检查 邮件的附件屏蔽 邮件大小过滤 基于策略的内容过滤 上网行为管理 可封锁防MSN、QQ、Yahoo、 Skype等聊天软件 可封锁BT、Emule、迅雷 (Edonkey)等P2P软件 针对PPLive、QQ直播等流媒体的 控制 针对征途、魔兽世界等网络游戏 的控制 针对大参考、大智慧、同花顺等 股票软件的控制 实时监控与日 直观动态图表展示 系统资源使用情况 网络接口监视 系统状态 实时连接会话监控 HTTP/FTP/邮件等网络行为监 视,可以记录系统状态、用户登 陆信息、连接信息等 日志级别分类 本地日志 远程Syslog日志 支持NetFlow日志 邮件报警
支持ADSL拨号 用户认证 本地认证 RADIUS认证 LDAP协议认证 Windows活动目录 内置CA 第三方CA USB-KEY 认证客户端 流量管理与带 优先级 基于策略的流量控制 基于主机的流量控制 针对P2P的流量控制 带宽保证
SSL VPN
SSL VPN 网关到网关访问 用户名IP绑定 图形认证码 动态口令卡 USB-KEY windows AD 授权增强 应用增强 多路由支持 基于Web的SSL VPN应用 基于Agent的SSL VPN应用 Tunnel模式的SSL VPN应用 SSL VPN客户端准入控制检查
地址模式管理 访问控制管理 接入控制管理 辅IP 接入模式 透明(桥) 路由 混合模式 NAT 路由功能 静态路由 策略路由 多WAN口链路支持 多WAN口链路互为备份 OSPF动态路由 RIP动态路由 组播路由 NAT功能 源地址转换(多对一/SNAT) 目的地址转换(一对一/DNAT) 目的端口转换(一对多/PAT) 地址池(多对多/IP POOL) 基于策略的NAT DDNS下的目的地址转换 H.323协议NAT穿越 DHCP DHCP服务器 DHCP中继 DHCP客户端 地址排除 硬件地址绑定 DHCP服务器指定客户机网关及 DNS、WINS服务器 VLAN 高可用性 VLAN路由终结 VLAN透传 双机热备 负载分担 支持透明模式下的HA 二层链路监测 三层地址监测 链路监测 网关监测 配置自动同步 连接会话同步 设置抢占优先级
√(可以选择接口地址来源:静态输入、DHCP、PPPoE拨号) √(控制接口被访问方式:Ping,Https,Http,SSH,Telnet,集中管理) √(控制通过接口进行接入:SSL VPN 、L2TP、Web认证) √(用户可以对某具体物理接口定义多个辅IP) √ √ √ √ √ √ √ √ √ √(RIP V1/V2) √(支持指定多播组报文转发) √ √ √ √ √ √(出口地址为动态地址时的目的地址转换功能) √ √ √ √ √ √ √ √ √ √(支持主-主和主-备模式) √ √ √(检测链路二层状态,当链路down时自动进行切换) √(通过远程地址实现三层检测,地址不可达时自动进行切换) √ √ √ √ √
日志过滤 自定义Facility字段 日志实时监控 日志压缩传输 命令行管理界面 系统管理与配 (Console/Telnet/SSH/Http/Ht 置 tps) Web管理界面(Http/Https) SNMP 私有MIB 管理员CA认证 管理员登录图形识别防破解 通过DDNS进行管理 web页面命令行访问 集中管理 与数据日志中心的连接 管理员权限分级 管理员地址控制 NTP时间同步 系统配置的备份和恢复 液晶屏显示 在线帮助 外置CF卡 配置文件自动备份 支持双配置文件 其它 支持H.323及SIP协议 支持长连接应用
功能参数
接口 万兆接口 百兆电口 千兆电口 性能指标 千兆光口 最大并发连接数 每秒新建连接数 最大吞吐量(Mbps) 168位3DES加密(Mbps) VPN隧道数 用户数 电气 电源 频率 输入电流 功率 环境 工作温度 储存温度 工作湿度 尺寸 深宽高(mm) 净重(Kg) 毛重(Kg)
防火墙特性 状态检测包过滤 完全的应用层检测 IP与MAC地址绑定 安全域 MAC地址过滤 内网安全管理系统联动 IDS联动 防拒绝服务攻击和防扫描 连接数限制 临时阻断 ARP主动探测 防ARP攻击 安全诊断 在线抓包 STP生成树协议 接口管理 工作速率管理 MTU管理
TCP扫描/UDP扫描/ping扫描)
Key方式认证)
。)
进而增加正常运行时间、确保接入以及减少用户的工作量
等方式进行处理或告警)
会话端口等信息进行连接统计;可以根据协议、连接类型(半连接、全连接)、源IP、目的IP、端口等信息监视特定的连接
或者远程发送)
端口等信息监视特定的连接;用户可以手工阻断所监视到的特定连接)
√(两端地址均为动态地址的VPN协商) √ √ √ √ √(部分型号支持) √(部分型号支持) √ √ √ √ √ √(禁止HTTP代理) √ √ √ √ √ √(基于黑白名单或全部用户的登陆控制、文件传输控制) √(阻断、限速) √(阻断、限速) √ √
√(在Web管理界面,提供针对系统转发速率、接口转发速率、系统连接数、Top sessions地址、TOP 流量、 √(可以监控CPU,内存,当前连接等系统状态,用户可自行定义刷新时间;当系统资源利用率过高,用户可以选择记录日志 √(可以监视设备每个网络接口工作状态、收发报文数目等) √(可以现实系统当前版本、运行时间、授权状态、在线管理员等)
天清汉马USG防火墙
USG-FW-800A
无 无 4 无 160万 3万 1200M 200M 1,000 无限制 90-264V 47-63Hz 3A 200W 0-50℃ -20-70℃ 10%-95%,无凝结 365×430×44.5 9 11
√ √ √ √(可以包括物理接口以及VLAN接口,可以控制域内接口间是否允许转发) √ √(可以与启明星辰内网安全管理系统联动,支持Portal页面跳转) √ √(支持Jolt2/Land-base/ping of death/syn flag/Tear drop/winnuke/smurf/TCP flag/ARP攻击/TCP √ √ √ √ √(支持在线Debug方式诊断自身功能模块运行问题) √(支持通过设备抓取业务数据包,可用于网络调试) √ √(可以设置接口为全双工、半双工、10/100/1000速率) √