20070709_天清汉马USG系列_Web管理配置简介
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络地址转换(NAT)
USG支持以下NAT:
• 源NAT,按照使用不同可划分为:
– – – 动态NAT: 源地址映射到一个地址池(NAT Pool); PAT: 所有源地址映射到同一目的地址; 静态NAT:一对一双向地址映射;
• 目的NAT;
安全变得简单,从天清汉马开始
网络地址转换(NAT)
源地址转换(SNAT),可以将内部地址转换成出接口地址或 者地址池中的地址。
安全变得简单,从天清汉马开始
网络地址转换(NAT)
网络地址转换(NAT): • 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题; • 单向隔离,具有额外的安全性; • 利用目标地址的映射,使公有地址可访问配置了私有地址 的服务器; • 可用于服务器的负载均衡和地址复用;
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
高可用性(HA)
配置USG工作于主备模式:
安全变得简单,从天清汉马开始
高可用性(HA)
察看当前HA的工作状态与同步情况:
安全变得简单,从天清汉马开始
防攻击防扫描
常见的网络攻击: • • • • • • • Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
USG设备可以担当所有的DHCP 角色: • DHCP Server • DHCP Relay • DHCP Client
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
配置DHCP服务器的步骤: 1. 2. 3. 4. 5. 在相应接口开启DHCP Server服务; 创建DHCP服务器; 如果有必要,创建DHCP地址的排除范围; 如果有必要,创建IP-MAC绑定条目; 通过监视器可察看由USG分配的动态地址;
安全变得简单,从天清汉马开始
IPSec配置简介
1. 在USG A上 创建地址对象 usrs 和 server,分别代表地址簇用户和服务 器。
安全变得简单,从天清汉马开始
IPSec配置简介
2. 配置阶段1 (IKE) 策略
安全变得简单,从天清汉马开始
IPSec配置简介
如果有必要,进行阶段1的高级配置,可以设置加密、认证算法、DH组、 密钥周期、DPD探测频率等参数;
天清汉马USG配置简介
-天清汉马USG一体化安全网关
产品管理中心-安全网关产品部
2007年7月
北京启明星辰信息技术有限公司
安全变得简单,从天清汉马开始
提纲
• • • • • •
配置管理概述
防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置
安全变得简单,从天清汉马开始
配置管理概述
安全变得简单,从天清汉马开始
防攻击防扫描
安全变得简单,从天清汉马开始
提纲
• • • • • • 配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置
安全变得简单,从天清汉马开始
VPN应用场景
安全变得简单,从天清汉马开始
IPSec配置简介
可以通过命令行或者web界面对IPSec进行配置,基本步骤:
安全变得简单,从天清汉马开始
L2TP VPN配置
1. 首先创建L2TP所用的用户和用户组:
安全变得简单,从天清汉马开始
L2TP VPN配置
2. 在USG上配置L2TP
安全变得简单,从天清汉马开始
L2TP VPN配置
3. 在相关接口上开启L2TP拨入功能
安全变得简单,从天清汉马开始
L2TP VPN配置
4. 视实际应用情况,配置合适的安全策略:
安全变得简单,从天清汉马开始
L2TP VPN配置
5. 用户此时可以拨入,拨入后在USG管理页面中可以查看存在的L2TP用 户:
安全变得简单,从天清汉马开始
提纲
• • • • • •
配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置
IPSec配置简介
4. 配置安全策略,并在安全策略中使能IPSec加密。
安全变得简单,从天清汉马开始
IPSec配置简介
5. 参考步骤1-4,在USG B上,做类似的配置,需要保证两边的密钥、 加密算法、Hash算法等参数是一致的。 6. 从企业分部的主机,访问总部的服务器,会触发IPSec协商; 7. 协商成功之后,从分部主机到服务器的流量被加密;可以从web上察 看流量信息。
安全变得简单,从天清汉马开始
网络地址转换(NAT)
目的地址转换(DNAT),可以将目标地址转换成NAT Pool中的地址,亦可实现服务器负载分担与业务分流。
安全变得简单,从天清汉马开始
网络地址转换(NAT)
NAT地址池(Pool),注意起始地址不能大于结束地址,在 地址不是很充分的情况下,可以配置地址轮询。
安全变得简单,从天清汉马开始
防攻击防扫描
网络扫描通常分为以下几种: • 垂直扫描:针对相同主机的多个端口 • 水平扫描:针对多个主机的相同端口 • Ping扫描:针对某地址范围,通过Ping方式发现存活主机 扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。
安全变得简单,从天清汉马开始
SSL VPN配置
4. 通过HTTPS协议,从Web登陆:
安全变得简单,从天清汉马开始
SSL VPN配置
5. 登陆后页面如下,可以通过web或隧道模式访问内部资源。
安全变得简单,从天清汉马开始
SSL VPN配置
6. 隧道模式下需要先下载客户端,安装后点击连接,拨号成功的页面如下 图所示:
Vlan接口
安全变得简单,从天清汉马开始
透明桥接口
安全变得简单,从天清汉马开始
GRE接口
安全变得简单,从天清汉马开始
安全域
安全域实际上就是接口组,可以在一个域中加入多个接口, 对安全域的配置对于多个接口都是生效的,方便配置。 接口加入域后,不能单独对该接口进行配置。
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
IPSec配置简介
3. 创建阶段2 (IPSec)策略
安全变得简单,从天清汉马开始
IPSec配置简介
如有必要,配置阶段2的高级选项,可更改ESP和AH封装的加密算法、 PFS组、工作模式、更改密钥周期; 密钥周期可以按照时间或者流量来计算,也可以两者一块计算;
安全变得简单,从天清汉马开始
安全防护表
安全变得简单,从天清汉马开始
安全防护表
安全变得简单,从天清汉马开始
安全防护表
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
防攻击防扫描
根据网络情况开启相应的防攻击和防扫描功能,并设定合理的 参数。
安全变得简单,从天清汉马开始
防攻击防扫描
防Flood攻击: • 通过限制源主机或目的主机的连接数来起到防止Flood攻 击的目的; • 在安全防护表中启用,并通过安全策略来引用,不是全局使 能的; • 根据网络情况,配置合理的参数值; • 可以认为是防攻击、防扫描的补充。
安全域
安全变得简单,从天清汉马开始
路由配置
路由表查询
安全变得简单,从天清汉马开始
路由配置
创建静态路由
安全变得简单,从天清汉马开始
路由配置
创建策略路由
安全变得简单,从天清汉马开始
安全策略
安全策略是USG应用的核心,我们通过配置安全策略: • 实现对数据流的匹配(接口、IP、服务、时间) • 控制和管理流经设备的数据流(Permit、Deny、 IPSec加密、SSL加密) • AV和IPS需要经由安全策略来实施 • 使用NetFlow进行流量分析 • 施行QoS 服务质量划分
• • • •
配置阶段1 (IKE) 策略 配置阶段2 (IPSec)策略 在安全策略中启用IPSec 数据流触发IPSec,察看IPSec 的运行情况
安全变得简单,从天清汉马开始
IPSec配置简介
场景:启用IPSec安全策略,使得企业分部中的主机 簇 10.0.0.2-10.0.0.100 访问企业总部服务器192.168.0.100 的数 据被IPSec加密
GE2
GE1 GE0
GE0 GE2
IP: 192.168.32.100 Gateway: 192.168.32.1 192.168.32.1
GE1
202.100.0.23
USG B
安全变得简单,从天清汉马开始
高可用性(HA)
天清汗马USG上的HA: 1. 2. 3. 4. 5. 目前支持主备模式,下一版本将支持主主模式; 支持两台防火墙互为备份; 两台设备的硬件型号要求一致; HA接口为专用物理口,不处理业务; 支持透明模式、路由模式和混合模式;
安全变得简单,从天清汉马开始
USG中的接口概念
USG中包含以下接口级的概念: • • • • • • 物理接口; Vlan接口; 透明桥接口; GRE接口; 安全域; 其他隐藏接口,包括loopback接口、L2TP接口和tunssl 接口
安全变得简单,从天清汉马开始
物理接口
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
安全变得简单,从天清汉马开始
高可用性(HA)
高可用性 (HA, High Availability),可防止网络中由于单个防火墙
的设备故障或网络故障导致网络中断,保证网络服务的连续性和强度。
USG A
19Fra Baidu bibliotek.168.32.1 202.100.0.23
配置管理概述
新建管理员用户
安全变得简单,从天清汉马开始
配置管理概述
新建管理员权限表
安全变得简单,从天清汉马开始
提纲
• • • • • •
配置管理概述
防火墙基本配置
VPN配置 AV和IPS配置 日志功能 数据中心安装与配置
安全变得简单,从天清汉马开始
USG的工作模式
USG支持三种接入模式: • 透明模式; • 路由模式; • 混合模式; 这三种模式无需显式配置,USG根据用户配置自动生效。
安全变得简单,从天清汉马开始
配置管理概述
USG设备的管理方式 • • • • • 通过Console口配置; 通过Telnet 进行命令行的配置; 通过SSH进行命令行的配置; 通过HTTP 或HTTPS协议,从GUI界面进行配置管理; 安装集中管理中心软件,集中管理、配置USG设备;
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
SSL VPN配置
7. 在管理界面中查看SSL VPN用户情况,在web模式和隧道模式下分别显 示如下:
安全变得简单,从天清汉马开始
SSL VPN配置
8. 此时再通过web方式或隧道方式访问内部资源,就是采用的加密方式。 目前web方式只支持http浏览,隧道方式则支持一般的网络应用。
安全变得简单,从天清汉马开始
安全防护表
安全防护表是一个模板,防病毒AV、入侵检测IPS、IMP2P控制、防Flood攻击、文件跟踪、Web过滤、邮件过滤 这些功能都是在安全防护表中进行配置并启用,相应的日志 的启用也在安全防护表中配置。 安全防护表必须通过在安全策略中引用才能生效。
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
SSL VPN配置
1. 在USG上使能SSL VPN,默认采用10443端口
安全变得简单,从天清汉马开始
SSL VPN配置
2. 在对应的接口上开启SSL VPN接入:
安全变得简单,从天清汉马开始
SSL VPN配置
3. 配置相应的安全策略,当然还要配置好用户和用户组:
配置管理概述
管理员用户与权限表 • • • • • 通过默认管理员或自建管理员用户来进行管理配置; 管理员可以通过本地或Radius进行认证; 出厂默认管理用户admin,密码venus.usg; 管理员权限表规定了管理员可以执行的操作; 可以给管理员添加管理IP限制;
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
安全策略
创建和编辑安全策略
安全变得简单,从天清汉马开始
安全策路
安全策略的高级选项: 启用web接入控制和流量控制
安全变得简单,从天清汉马开始
安全策略
安全策略的启用与匹配
• 安全策略配置后必须启用才会生效; • 安全策略按先配置优先的原则进行匹配; • 对通过设备的数据包进行处理,对于到设备本身的数据包 和设备本身发出的数据包不进行限制; • 可以调整安全策略的顺序,以使位置在前的策略优先匹配; • 可以创建一条新的安全策略,并插入到指定的策略之前;