20070709_天清汉马USG系列_Web管理配置简介

天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零零九年六月天清汉马USG防火墙快速安装指南手册版本V3.0产品版本V2.6.3.0资料状态发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

数据中心常见问题指南1．查询syslog日志或流量查询界面出现HTTP500异常出现以上情况，查看首页“状态”中，若数据库大小是0，则可判断数据中心与数据库没有连接上。

排除步骤如下：a.查看日志数据库是否成功创建：通过“开始－程序－Venustech—Usg Datecenter—管理配置”打开管理配置界面，确定IP地址、用户名和密码准确无误后，在数据库服务器所在的PC上，找到数据库路径所指向的文件夹，查看数据库名称中所指的数据库是否存在，若没有“该数据库”或没有“该路径所指的文件夹”，则在管理配置中点击“创建新库”，并“确定”。

b.若在步骤a过程中发现“管理配置”中“所指的数据库路径下对应的数据库名称”都存在，但依然数据中心与数据库无法连接，则找到“数据中心的安装目录”，打开config文件夹，通过记事本打开jdbc.properties文件，查看该文件中记录的数据库信息与“管理配置”中设置（包括数据库服务器IP地址、用户名、数据库名称）的是否一致，若不一致，则在该文件中更改为正确的一致配置。

然后重启服务VenusUTM DateCenter（通过“开始－运行－输入services.msc”打开服务，找到VenusUTM DateCenter），也可将Venus UTM相关的三个服务顺序重启。

c.若以上都不行，则关闭第一个服务VenusUTM ConfDb后，通过端口查看软件（如aport）查看端口3366是否被其他程序占用，若被占用，则关掉该进程后，重新启动服务VenusUTM ConfDb。

2．数据中心可以查看倒syslog日志，但是看不到流量日志。

a.首先要确定设备与数据中心是可以进行通信的（可通过ping命令），然后确定设备上netfolw配置正确：其一，配置netflow服务器地址是数据中心地址，netflow服务器端口与数据中心netflow端口一致（默认都是9898）；其二，在启用的安全策略下启用netflow选项。

天清汉马USG一体化安全网关销售指导书1概述天清汉马USG一体化安全网关是我司完全自主知识产权的统一威胁管理（UTM）类产品，具备业界领先的软件体系架构设计，具备防火墙、防病毒、入侵防御、外联控制、VPN等多种安全能力，是我司的旗舰产品。

天清汉马USG 一体化安全网关自2007年发布后已在政府、金融、电力、电信、石油、教育等行业广泛应用。

为促进和规范天清汉马产品的销售工作，特制定本指导书，旨在指导全体市场人员拓展天清汉马USG产品，本文内容具有普遍约束意义，解释权归产品管理中心安全网关产品部。

2 市场机会分析2.1 宏观市场机会从全球市场来看，为了解决网络边界的安全问题，出现了“网关融合”的趋势，NetScreen 、Cisco 、Check Point 、Fortinet 等厂商均将UTM 作为技术发展战略，各主流厂商均在原有基础上通过不同的方式追赶“网关融合”的趋势，这代表了全球安全产业的发展趋势。

在北美市场，UTM 产品已经占据了安全硬件产品的市场份额（2.4B$）及增长率（约45%）第一名，而传统的防火墙+VPN 市场（1.5B$）则大幅下降，出现了负增长（约-5%）。

可以说，从全球趋势来看，UTM 产品正在快速取代传统防火墙。

从国内市场来看，“网关融合”的趋势比全球市场落后1-2年的时间，2006年之前的UTM 市场基本被国外厂商垄断。

但从2007年起，以启明星辰为首的国内厂商开始发力。

根据CCID 最新发布的2007年UTM 市场分析数据显示，启明星辰的天清汉马系列UTM 产品以超过15%的市场占有率排名国内厂商第一名，在UTM 市场总份额中仅次于FortiNet 排在第二名。

而在IDC 发布的2007UTM 市场报告中，天清汉马同样高居国内厂商首位。

据IDC2008年3月最新报告显示，2007年UTM 市场空间相比2006年增长87.6%，占到整体安全硬件市场的14.1%。

“统一威胁管理硬件市场在2007 年的增长非常迅猛，全年同比增长87.6%，市场规模达到US$52.0M 。

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。

允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为g。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。

天清汉马USG系列(适合软件版本V2.0)1.功能参数：四个千兆电口四个可扩展千兆光口SFP ；最大并发连接数不低于200万；每秒新建连接数不少于4万；最大吞吐量（Mbps）不低于2000M ；A V吞吐量400M；168位3DES加密（Mbps）不低于300M；VPN隧道数不少于2,000 ；无限制用户数2.防火墙特性：具有状态检测包过滤；完全的应用层检测；IP与MAC地址绑定；MAC 地址过滤；能与IDS联动；防拒绝服务攻击和防扫描（支持Jolt2/Land-base/ping of death/syn flag/Tear drop/winnuke/smurf/TCP flag/ARP攻击/TCP扫描/UDP扫描/ping扫描）；连接数限制；临时阻断；ARP主动探测3：接口管理：工作速率管理：可以设置接口为全双工、半双工、10/100/1000速率；MTU 管理；地址模式管理√（可以选择接口地址来源：静态输入、DHCP、PPPoE拨号）访问控制管理√（控制接口被访问方式：Ping,Https,Http,SSH,Telnet,集中管理）接入控制管理√（控制通过接口进行接入：SSL VPN 、L2TP、Web认证）辅IP √（用户可以对某具体物理接口定义多个辅IP）接入模式透明（桥）；路由；混合模式；智能接入模式判断√（用户无需进行接入模式的判断与选择，可以只需按照网络周边环境要求，配置设备网络信息，设备即可自行进行模式选择）NA T ；路由功能静态路由；策略路由；多W AN口链路支持；多W AN口链路互为备份；OSPF动态路由；RIP动态路由√(RIP V1/V2)NA T功能源地址转换（多对一/SNA T）；目的地址转换（一对一/DNA T）；目的端口转换（一对多/PA T）；地址池（多对多/IP POOL）；基于策略的NA T ；H.323协议NA T穿越；DHCP DHCP服务器；DHCP中继；DHCP客户端；地址排除；硬件地址绑定；DHCP服务器指定客户机网关及DNS、WINS服务器；VLAN（802.1q）VLAN路由终结；VLAN透传；高可用性（HA）双机热备√(支持主-主和主备模式)负载分担；支持透明模式下的HA ；链路监测；网关监测；配置自动同步；连接会话同步；入侵检测库同步；病毒库同步；支持ADSL拨号；用户认证本地认证支持本地建立用户和组RADIUS认证通过RADIUS服务器认证客户端WEB流量管理与带宽控制优先级高、中、低三级基于策略的流量控制；基于主机的流量控制；针对P2P的流量控制；带宽保证√(只通过命令行提供)VPN GRE ；SSL VPN ；IPSec 需要客户端软件L2TP 路由模式下加密算法DES、3DES、AES认证算法SHA-1、MD5完美向前保护（PFS）√（采用短暂的一次性密钥的系统）手动认证方式；IKE认证方式；对端状态检测（DPD）√失效同层检测(Dead Peer Detection DPD)功能,能够通过自动感应和重新建立失败的VPN连接,进而增加正常运行时间、确保接入以及减少用户的工作量全动态VPN ；VPN实时监控；双向NA T穿越；基于数字证书的VPN应用；VPN硬件加速√(USG-300B和D系列不支持)VPN加密卡（国密算法）√(USG-300B和D系列不支持)与第三方标准VPN产品兼容；基于Web的SSL VPN应用；基于Agent的SSL VPN应用√（支持服务端口固定的应用）Tunnel模式的SSL VPN应用；SSL VPN客户端准入控制检查；内容过滤支持URL过滤；URL免屏蔽列表；网页内容过滤；脚本、Cookie过滤；Web代理过滤√(禁止HTTP代理)邮件地址过滤；MIME邮件报头检查；邮件的附件屏蔽；邮件大小过滤；基于策略的内容过滤；反垃圾邮件IP地址黑白名单；发件人黑白名单；邮件主题过滤；网关病毒过滤过滤方式全面过滤病毒库分类启用√(流行库、高危库、普通库)信息替换对携带病毒的邮件以及HTTP协议进行信息替换，提醒用户该数据流携带病毒已经被阻断。

实验一:透明桥实验如图接入USG ，实现如下要求： 1、 新建桥接口：Eth2,eth1-bvi1，2、 配置接口bvi1 ip add 192.168.1.30/24，允许https 、ping3、 地址对象建立主机地址对象：PC1、PC2；服务对象：test1：804、 添加策略允许eth2<->eth3双向icmp ，eth2->eth3的http 80。

5、 启用策略保存配置6、 测试 实验步骤：第一步：新建桥接口、并配置桥口ip 和允许访问 网络管理---接口—透明桥：配置桥接口的IP 为192.168.24.250/24.接口列表中勾选eth2\eth3,管理访问勾选https 和ping.步骤二：配置地址对象PC1和PC2.以及服务对象test1对象管理---地址对象---地址节点：新建地址节点：新建PC1的地址节点，地址为192.168.24.10，pc2的地址为192.168.24.20. 对象管理---服务对象---自定义服务：新建自定义服务建立任意的源到目的80的服务，并提交步骤三：添加策略允许eth2<->eth3双向icmp，eth2->eth3的http 80。

防火墙---安全策略---新建：允许eth2->eth3单向icmp允许eth3->eth2单向icmpeth2->eth3的http 80步骤四：勾选并启用策略，然后保存配置步骤五：测试实验二：防火墙路由NAT模式应用实验要求：内部inside通过SNAT方式访问internet。

Internet用户可以通过DNAT方式访问DMZ区域的server。

实验步骤：第一步：配置接口IP地址第二步：建立inside（192.168.1.0/24）、DMZ(192.168.2.0/24)、outside(218.23.156.0/24)地址对象第三步：配置静态默认路由第四步:实现inside到outside的SNAT第五步：实现Outside到DMZ的DNAT步骤一：配置接口及ＩＰ地址网络管理――接口――接口：配置接口ｅｔｈ０，ｉｐ：192.168.1.254/24配置接口ｅｔｈ1，ｉｐ：192.168.2.254/24配置接口eth3，IP：218.23.156.1/24步骤二：建立地址对象:对象管理---地址对象---地址节点：新建：Inside:192.168.1.(1-253)/24DMZ:192.168.2.(1-253)/24Outside:218.23.156.(1-253)/24第三步：配置静态默认路由步骤四：实现inside到outside的SNAT 网络管理—NAT--源地址转换：新建：步骤四：实现Outside到ＤＭＺ的DNAT 新建NAT地址池：Webserver：192.168.2.1Ftpserver：192.168.2.2mailserver：192.168.2.3网络管理—NAT—目的地址转换：新建：访问到eth3的http服务，目的地址转换为webserver地址访问到eth3的Ftp服务，目的地址转换为ftpserver地址访问到eth3的mail服务，目的地址转换为mailserver地址。

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。

允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为g。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。

天清汉马USG快速安装指南北京启明星辰信息安仝技术有限公司V3.2 Beiji ng Venus In formatio n Security Inc. V2.6.3.2 二零一零年七月 发行手册版本产品版本资料状态第1章软件安装 .................................................. 1-3 1.1准备条件........................................................1-3..1.2天清集中管理与数据分析中心安装过程............................. 1.-31.2.1 MSDE 数据库........................................................................... 1-51.2.2天清集中管理与数据分析中心 .............................................................. 1-5 1.3管理配置........................................................ 1.-9..1.3.1配置数据库服务器 ...................................................................... 1.-101.3.2 配置入库缓冲文件路径 ................................................................. 1.-111.3.3 配置声音报警 ......................................................................... .1.-12 第2章软件卸载...................................................... 2-142.1天清集中管理与数据分析中心卸载过程............................. 2-14 第3章硬件安装...................................................... 3-153.1准备条件........................................................ 3-1.5 3.2标识说明........................................................ 3-1.5 第4章快速配置...................................................... 3-184.1设备默认配置................................................... 4-.1.94.1.1 接口0的默认配置...................................................................... 4-194.1.2默认管理员用户 .......................................................................... 4-194.2 Web快速配置 .................................................. 4-1.9 4.2.1登录设备 ............................................................................... 4-19 4.2.2 配置路由模式........................................................................ 4.-21 4.2.3配置桥模式 ........................................................................... 4：25 4.2.4 配置安全策略......................................................................... 4-27 4.2.5 配置NAT ...................................................................................................................... 4-29 4.3天清集中管理与数据分析中心快速配置............................. 4.-31 4.3.1登录天清集中管理与数据分析中心 ........................................................ 4-31 4.3.2 添加USG 设备 ....................................................................... 4-31 4.3.3添加设备组 ............................................................................. 4.32 4.3.4调整数据接收端口............................................................... 4.-33 4.3.5查询数据 ............................................................................... 4-33 4.4天清集中管理与数据分析中心快速配置............................. 4.-33 4.4.1 登录集中管理中心............................................................... 4.-33 4.4.2添加设备/设备组........................................................................ 4.-34 4.4.3集中管理 ............................................................................... 4-35 4.4.4单机管理 ............................................................................... 4-35 4.4.5升级维护 ............................................................................... 4-36 第5章软件升级....................................................... 5-385.1通过Web升级 .................................................. 5-38第1章软件安装1.1准备条件硬件配置要求：PC 服务器/ Pentium IV CPU /2G 内存/ 200G 硬盘软件要求：操作系统：推荐使用Win dows 2k sp4（中文版）、Win dows 2003（中文版卜可以使用Windows XP sp3（中文版）,Vista , windows 7 。

长城资产天清汉马防火墙配置信息一、基本信息接口0 的默认地址配置为192.168.1.250/24 。

允许对该接口进行Telnet，PING ，HTTPS 操作。

系统默认的管理员用户为admin，密码为g。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况可以对USG 进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF 卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth,比如ethO, eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN 接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation ,即通用路由封装协议。