天清汉马防火墙系列_Trunk配置指南_V4.0
天清汉马防火墙使用手册
天清汉马防火墙使用手册【原创实用版】目录1.天清汉马防火墙简介2.安装与配置天清汉马防火墙3.天清汉马防火墙的功能与特点4.使用天清汉马防火墙的注意事项5.故障排除与售后服务正文一、天清汉马防火墙简介天清汉马防火墙是一款国内自主研发的网络安全设备,主要用于保护企业内部网络免受来自互联网的攻击和威胁。
通过有效的安全策略,实现对网络流量的监控、控制和管理,确保网络运行稳定、安全。
二、安装与配置天清汉马防火墙1.硬件准备:根据企业网络规模和需求,选择适合的天清汉马防火墙设备,并确保其与其他网络设备之间的连接正常。
2.软件安装:通过设备的控制台或远程管理工具,登录设备并进行系统初始化。
3.配置安全策略:根据企业网络的需求,设置安全策略,包括访问控制、服务过滤、应用控制等。
4.系统优化:根据网络环境,对天清汉马防火墙进行性能优化,提高设备运行效率。
三、天清汉马防火墙的功能与特点1.安全防护:天清汉马防火墙能有效防止 DDoS 攻击、病毒入侵、端口扫描等网络威胁,确保网络安全。
2.应用控制:通过对应用协议的识别和控制,实现对企业内部网络应用的访问控制。
3.内容过滤:天清汉马防火墙可实现对网页、邮件等内容的过滤,防止恶意信息传播。
4.流量管理:通过实时监控网络流量,实现对带宽的合理分配,提高网络运行效率。
四、使用天清汉马防火墙的注意事项1.定期更新设备系统版本和安全特征库,确保设备能够识别并防御最新的网络威胁。
2.合理设置安全策略,避免过度限制导致网络不通畅。
3.对设备进行定期维护,确保设备运行稳定。
五、故障排除与售后服务1.如遇设备故障,可参考设备手册或联系厂商技术支持进行排查。
天清汉马USG系列配置简介
• 物理接口; • Vlan接口; • 透明桥接口; • GRE接口; • 安全域; • 其他隐藏接口,包括loopback接口、L2TP接口和tunssl
接口
物理接口
Vlan接口
透明桥接口
GRE接口
安全域
安全域实际上就是接口组,可以在一个域中加入多个接口, 对安全域的配置对于多个接口都是生效的,方便配置。 接口加入域后,不能单独对该接口进行配置。
网络地址转换(NAT)
网络地址转换(NAT):
• 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题;
• 单向隔离,具有额外的安全性; • 利用目标地址的映射,使公有地址可访问配置了私有地址
的服务器; • 可用于服务器的负载均衡和地址复用;
网络地址转换(NAT)
USG支持以下NAT:
配置管理概述
管理员用户与权限表
• 通过默认管理员或自建管理员用户来进行管理配置; • 管理员可以通过本地或Radius进行认证; • 出厂默认管理用户admin,密码g; • 管理员权限表规定了管理员可以执行的操作; • 可以给管理员添加管理IP限制;
配置管理概述
新建管理员用户
• 垂直扫描:针对相同主机的多个端口 • 水平扫描:针对多个主机的相同端口 • Ping扫描:针对某地址范围,通过Ping方式发现存活主机
扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。
防攻击防扫描
根据网络情况开启相应的防攻击和防扫描功能,并设定合理的 参数。
配置管理概述
新建管理员权限表
配置管理概述
天清汉马USG配置手册簿
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG防火墙
防火墙的典型应用
标准应用 1、透明模式 2、路由模式 3、混杂模式 高级应用
38
标准应用——透明模式
透明模式/桥模式
一般用于用户网络已经建设完毕,网络功能 基本已经实现的情况下 加装防火墙以实现安全区域隔离的要求
一般将网络分为内部网、DMZ区和外部 网
39
标准应用——透明模式
Internet
启明星辰客户产品培训- 天清汉马USG
1
主要内容
防火墙的基本概念 防火墙的技术原理 防火墙的典型应用 从防火墙到统一威胁管理 天清汉马USG防火墙安装使用和日常维护
2
什么是防火墙
传统的防火墙: •用于控制实际的火灾,使火灾被限制在建筑物的 某部分,不会蔓延到其他区域
3
什么是防火墙
Internet
蠕虫病毒 违法信息 防火墙 非授权访问 IP欺骗 VPN Firewall Anti-Virus IPS
12
包过滤防火墙
简单包过滤防火墙不 检查数据区 简单包过滤防火墙不 建立状态连接表 前后报文无关 应用层控制很弱
13
包过滤防火墙
包过滤防火墙应用示例
14
应用网关防火墙
也叫应用代理防火墙
每个代理需要一个不同的应用进程,或一个 后台运行的服务程序 对每个新的应用必须添加针对此应用的服务 程序,否则不能使用该服务
IT领域中的防火墙: •用于保护网络免受恶意行为的侵害,并阻止其非 法行为的网络设备或系统 •作为一个安全网络的边界点 •在不同的网络区域之间进行流量的访问控制
4
IT领域中的防火墙
5
防火墙的作用
过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 能过滤大部分的危险端口 设置严格的外向内的状态过滤规则 抵挡大部分的拒绝服务攻击 加强了访问控制能力
天清汉马USG配置手册
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Tel net, PING , HTTPS操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1. 系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2. 网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN 接口)的以太网接口不能加入网桥组。
GRE协议的英文全称是Gen eric Rout ing En capsulation,即通用路由圭寸装协议。
天清汉马USG实验手册
实验一:透明桥实验如图接入USG ,实现如下要求: 1、 新建桥接口:Eth2,eth1-bvi1,2、 配置接口bvi1 ip add 192.168.1.30/24,允许https 、ping3、 地址对象建立主机地址对象:PC1、PC2;服务对象:test1:804、 添加策略允许eth2<->eth3双向icmp ,eth2->eth3的http 80。
5、 启用策略保存配置6、 测试 实验步骤:第一步:新建桥接口、并配置桥口ip 和允许访问 网络管理---接口—透明桥:配置桥接口的IP 为192.168.24.250/24.接口列表中勾选eth2\eth3,管理访问勾选https 和ping.步骤二:配置地址对象PC1和PC2.以及服务对象test1对象管理---地址对象---地址节点:新建地址节点:新建PC1的地址节点,地址为192.168.24.10,pc2的地址为192.168.24.20. 对象管理---服务对象---自定义服务:新建自定义服务建立任意的源到目的80的服务,并提交步骤三:添加策略允许eth2<->eth3双向icmp,eth2->eth3的http 80。
防火墙---安全策略---新建:允许eth2->eth3单向icmp允许eth3->eth2单向icmpeth2->eth3的http 80步骤四:勾选并启用策略,然后保存配置步骤五:测试实验二:防火墙路由NAT模式应用实验要求:内部inside通过SNAT方式访问internet。
Internet用户可以通过DNAT方式访问DMZ区域的server。
实验步骤:第一步:配置接口IP地址第二步:建立inside(192.168.1.0/24)、DMZ(192.168.2.0/24)、outside(218.23.156.0/24)地址对象第三步:配置静态默认路由第四步:实现inside到outside的SNAT第五步:实现Outside到DMZ的DNAT步骤一:配置接口及IP地址网络管理――接口――接口:配置接口eth0,ip:192.168.1.254/24配置接口eth1,ip:192.168.2.254/24配置接口eth3,IP:218.23.156.1/24步骤二:建立地址对象:对象管理---地址对象---地址节点:新建:Inside:192.168.1.(1-253)/24DMZ:192.168.2.(1-253)/24Outside:218.23.156.(1-253)/24第三步:配置静态默认路由步骤四:实现inside到outside的SNAT 网络管理—NAT--源地址转换:新建:步骤四:实现Outside到DMZ的DNAT 新建NAT地址池:Webserver:192.168.2.1Ftpserver:192.168.2.2mailserver:192.168.2.3网络管理—NAT—目的地址转换:新建:访问到eth3的http服务,目的地址转换为webserver地址访问到eth3的Ftp服务,目的地址转换为ftpserver地址访问到eth3的mail服务,目的地址转换为mailserver地址。
天清汉马USG防火墙快速安装指南
天清汉马USG快速安装指南北京启明星辰信息安仝技术有限公司V3.2 Beiji ng Venus In formatio n Security Inc. V2.6.3.2 二零一零年七月 发行手册版本产品版本资料状态第1章软件安装 .................................................. 1-3 1.1准备条件........................................................1-3..1.2天清集中管理与数据分析中心安装过程............................. 1.-31.2.1 MSDE 数据库........................................................................... 1-51.2.2天清集中管理与数据分析中心 .............................................................. 1-5 1.3管理配置........................................................ 1.-9..1.3.1配置数据库服务器 ...................................................................... 1.-101.3.2 配置入库缓冲文件路径 ................................................................. 1.-111.3.3 配置声音报警 ......................................................................... .1.-12 第2章软件卸载...................................................... 2-142.1天清集中管理与数据分析中心卸载过程............................. 2-14 第3章硬件安装...................................................... 3-153.1准备条件........................................................ 3-1.5 3.2标识说明........................................................ 3-1.5 第4章快速配置...................................................... 3-184.1设备默认配置................................................... 4-.1.94.1.1 接口0的默认配置...................................................................... 4-194.1.2默认管理员用户 .......................................................................... 4-194.2 Web快速配置 .................................................. 4-1.9 4.2.1登录设备 ............................................................................... 4-19 4.2.2 配置路由模式........................................................................ 4.-21 4.2.3配置桥模式 ........................................................................... 4:25 4.2.4 配置安全策略......................................................................... 4-27 4.2.5 配置NAT ...................................................................................................................... 4-29 4.3天清集中管理与数据分析中心快速配置............................. 4.-31 4.3.1登录天清集中管理与数据分析中心 ........................................................ 4-31 4.3.2 添加USG 设备 ....................................................................... 4-31 4.3.3添加设备组 ............................................................................. 4.32 4.3.4调整数据接收端口............................................................... 4.-33 4.3.5查询数据 ............................................................................... 4-33 4.4天清集中管理与数据分析中心快速配置............................. 4.-33 4.4.1 登录集中管理中心............................................................... 4.-33 4.4.2添加设备/设备组........................................................................ 4.-34 4.4.3集中管理 ............................................................................... 4-35 4.4.4单机管理 ............................................................................... 4-35 4.4.5升级维护 ............................................................................... 4-36 第5章软件升级....................................................... 5-385.1通过Web升级 .................................................. 5-38第1章软件安装1.1准备条件硬件配置要求:PC 服务器/ Pentium IV CPU /2G 内存/ 200G 硬盘软件要求:操作系统:推荐使用Win dows 2k sp4(中文版)、Win dows 2003(中文版卜可以使用Windows XP sp3(中文版),Vista , windows 7 。
天清汉马USG防火墙(P系列)Web界面操作手册
Web 界面操作手册
手册版本 产品版本 资料状态
V1.0 V2.6.3.3 发行
版权声明
启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人 不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传 播、翻译成其他语言、将其部分或全部用于商业用途。
天清汉马 USG 防火墙(P 系列)
Web 界面操作手册
天清汉马 USG 防火墙(P 系列)
Web 界面操作手册
北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc.
二零一三年四月
天清汉马 USG 防火墙(P 系列)
Web 界面操作手册
天清汉马 USG 防火墙(P 系列)
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司 在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本 手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and Disclaimer
Copyright
Copyright Venus Info Tech Inc. All rights reserved. The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.
天清汉马USG配置手册
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马防火墙培训手册
安全变得简单,从天清汉马开始
动态地址分配(DHCP)
安全变得简单,从天清汉马开始
高可用性(HA)
高可用性 (HA, High Availability),可防止网络中由于单个防火墙
的设备故障或网络故障导致网络中断,保证网络服务的连续性和强度。
USG A
192.168.32.1 202.100.0.23
安全变得简单,从天清汉马开始
安全策略
创建和编辑安全策略
安全变得简单,从天清汉马开始
安全策略
安全策略的启用与匹配
• 安全策略配置后必须启用才会生效; • 安全策略按先配置优先的原则进行匹配; • 对通过设备的数据包进行处理,对于到设备本身的数据包 和设备本身发出的数据包不进行限制; • 可以调整安全策略的顺序,以使位置在前的策略优先匹配; • 可以创建一条新的安全策略,并插入到指定的策略之前;
安全变得简单,从天清汉马开始
高可用性(HA)
配置USG工作于பைடு நூலகம்备模式:
安全变得简单,从天清汉马开始
高可用性(HA)
察看当前HA的工作状态与同步情况:
安全变得简单,从天清汉马开始
防攻击防扫描
常见的网络攻击: • • • • • • • Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag
安全变得简单,从天清汉马开始
日志功能
大部分事件日志在这儿配置:
安全变得简单,从天清汉马开始
日志功能
NAT的日志事件在配置NAT策略时配置:
安全变得简单,从天清汉马开始
日志功能
系统监控的日志事件配置: 系统周期性轮询设备的运行状态如CPU和内存利用率、当前 连接数,以及系统检测事件,并给出告警。
天清汉马USG防火墙系统用户手册
DHCP状态............................................................................................ 22 接口统计 .............................................................................................. 22 在线用户统计....................................................................................... 23 ARP列表............................................................................................... 23
高级选项........................................................................................................ 39 DDNS设置............................................................................................ 39 静态路由 .............................................................................................. 40 策略路由 .............................................................................................. 41 DNS Relay设置 .................................................................................... 43 NAT设置 .............................................................................................. 43 端口映射 .............................................................................................. 45 虚拟域名设置....................................................................................... 47 ALG开关 .............................................................................................. 47 网络U盘................................................................................................ 48 页面推送 .............................................................................................. 49
天清汉马USG-FW-P防火墙实施指南
案例4. 路由设置
路由设置—默认路由均衡拓扑
案例4. 路由设置
路由设置—多默认路由均衡拓扑说明 1. 防火墙具备两个出口eth1 eth2且皆路由可 达外网服务器。 2.客户端1客户端2网关指向防火墙内网接口 eth3。 3.由于数据流量较大防火墙有路由均衡的需求
案例3. 路由&NAT接入
路由&NAT接入—NAT概述 • 网络地址转换NAT为IETF定义标准,用于允 许专用网络上的多台PC共享单个、全局路 由的IPv4地址IPv4地址日益不足是经常部 署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安 全手段使用,安全域内的机器通过NAT设备 后源地址被重新封装,起到一定屏蔽内网 作用。
案例1. 登录管理
WEB管理---证书页面导入
设备上已经有了默认证书,无需导入。如果有特 别需要,也可以导入其他证书,并进行管理
案例1. 登录管理
WEB管理---浏览器证书导入
导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击IE浏览器证书,按照提示进行安装,需要输入密 码时输入“hhhhhh”,当出现导入成功后点击确定完成。
路由设置—概述 路由 静态路由 默认路由 ISP路由 策略路由
案例4. 路由设置
路由设置—静态路由拓扑
内网
10.1.5.200 /30
外网
eth3
C:192.168.66.1 192.168.66.254 /24 /24 10.1.5.254 /30
eth1
211.100.100.254 /24
internet
•
案例3. 路由&NAT接入
路由&NAT接入—NAT概述2
天清汉马防火墙本机策略
天清汉马防火墙本机策略随着互联网的迅速发展,网络安全问题也日益突出。
为了保护企业和个人的网络安全,人们普遍采用了防火墙的手段来阻止潜在的网络攻击。
天清汉马防火墙作为一种常用的网络安全设备,其本机策略的设置对于提高网络安全性至关重要。
一、概述天清汉马防火墙是一种基于硬件的网络安全设备,能够监控和控制网络流量,提供防火墙、入侵检测和防病毒等功能。
本机策略是指在防火墙设备本身上设置的一系列规则,用于限制和控制设备本身的流量和访问。
二、本机策略的重要性本机策略的设置对于保护防火墙设备本身的安全至关重要。
一方面,合理设置本机策略可以防止恶意攻击者利用防火墙设备进行攻击,保护防火墙的稳定和正常工作;另一方面,本机策略的设置也可以提高防火墙设备的性能,使其能够更好地应对网络流量的处理需求。
三、本机策略的设置原则1. 最小权限原则:本机策略应遵循最小权限原则,即只授予防火墙设备必要的访问权限。
这样可以减少潜在的攻击面,降低被攻击的风险。
2. 白名单原则:本机策略应采用白名单模式,只允许经过授权的设备或应用程序访问防火墙。
这可以有效防止未经授权的访问和攻击。
3. 强密码策略:本机策略应要求设置强密码,并定期更新密码。
强密码可以提高设备的安全性,防止密码被猜解或暴力破解。
4. 定期备份:本机策略应定期备份,并将备份数据存储在安全的地方。
这样可以在设备故障或被攻击时,快速恢复设备的配置和策略。
四、本机策略的具体内容1. 访问控制策略:本机策略应包括控制访问防火墙设备的规则,例如限制管理访问的IP地址范围、限制访问的时间段等。
2. 流量过滤策略:本机策略应设置流量过滤规则,根据业务需求和安全策略,对进出防火墙的流量进行过滤和控制。
3. 应用控制策略:本机策略应设置应用控制规则,限制或禁止某些特定应用程序的访问,以防止恶意软件或安全漏洞的利用。
4. 安全日志策略:本机策略应设置安全日志记录规则,记录关键事件和异常行为,以便及时发现和应对安全威胁。
天清汉马USG防火墙快速安装指南
天清汉马USG防火墙快速安装指南USG防火墙是一种网络安全设备,可保护企业网络不受来自互联网的攻击和威胁。
USG防火墙具有强大的功能,包括入侵检测和防范、URL过滤、VPN等。
下面是天清汉马USG防火墙的快速安装指南。
1.准备工作-确保您已购买了天清汉马USG防火墙并收到了所有所需的配件。
-查找一个安全的位置来放置USG防火墙,离电源插座和网络设备近。
2.连接设备-将USG防火墙的电源插头插入电源插座,并将另一端连接到USG防火墙上的电源端口。
- 使用Ethernet电缆将USG防火墙的LAN端口连接到您的网络交换机或路由器的可用端口。
- 使用另一条Ethernet电缆将USG防火墙的WAN端口连接到您的互联网入口设备,例如光猫或宽带调制解调器。
3. 访问Web界面- 打开您的Web浏览器,并键入USG防火墙的默认管理IP地址(通常为192.168.1.1)。
- 输入默认的用户名和密码进行登录(通常为admin/admin)。
4.配置网络参数- 在Web界面中,导航到"网络"或"接口"选项卡,并选择WAN口。
-根据您的网络提供商的要求,配置WAN口的IP地址和其他相关参数,例如子网掩码、默认网关和DNS服务器。
-保存更改并应用配置。
5.配置防火墙规则- 在Web界面中,导航到"防火墙"或"安全"选项卡,并选择"规则"子选项卡。
-根据您的安全需求,配置防火墙规则以允许或拒绝特定的网络流量。
-保存更改并应用配置。
6.配置VPN- 在Web界面中,导航到"VPN"或"安全"选项卡,并选择"VPN"子选项卡。
-根据您的需求,配置VPN连接,例如设置远程访问、站点到站点VPN等。
-保存更改并应用配置。
7.配置其他功能-根据您的需求,配置其他USG防火墙功能,例如入侵检测和防范、URL过滤等。
天清汉马防火墙培训手册
Vlan接口
Байду номын сангаас
安全变得简单,从天清汉马开始
透明桥接口
安全变得简单,从天清汉马开始
路由配置
路由表查询
安全变得简单,从天清汉马开始
路由配置
创建静态路由
安全变得简单,从天清汉马开始
路由配置
创建策略路由
安全变得简单,从天清汉马开始
安全策略
安全策略是USG应用的核心,我们通过配置安全策略: • 实现对数据流的匹配(接口、IP、服务、时间) • 控制和管理流经设备的数据流(Permit、Deny、 IPSec加密、SSL加密) • 施行QoS 服务质量划分
安全变得简单,从天清汉马开始
防攻击防扫描
网络扫描通常分为以下几种: • 垂直扫描:针对相同主机的多个端口 • 水平扫描:针对多个主机的相同端口 • Ping扫描:针对某地址范围,通过Ping方式发现存活主机 扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。
安全变得简单,从天清汉马开始
安全策略
创建和编辑安全策略
安全变得简单,从天清汉马开始
安全策略
安全策略的启用与匹配
• 安全策略配置后必须启用才会生效; • 安全策略按先配置优先的原则进行匹配; • 对通过设备的数据包进行处理,对于到设备本身的数据包 和设备本身发出的数据包不进行限制; • 可以调整安全策略的顺序,以使位置在前的策略优先匹配; • 可以创建一条新的安全策略,并插入到指定的策略之前;
天清汉马防火墙培训手册
安全变得简单,从天清汉马开始
提纲
• 配置管理概述 • 防火墙基本配置 • 日志功能
天清汉马USG配置手册簿
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天清汉马USG防火墙Trunk配置指南
(V 4.0)
北京启明星辰信息安全技术有限公司
Beijing Venustech Cybervision Co.,Ltd.
二零一一年十一月
版权声明
启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and Disclaimer
Copyright
Copyright Venus Info Tech Inc. All rights reserved.
The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.
Disclaimer
This document and the information contained herein is provided on an “AS IS”basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
目录
1 版本信息 (4)
2 技术简介 (4)
3 配置链路聚合Trunk接口 (5)
3.1配置链路聚合Trunk接口 (5)
3.2配置案例 (8)
3.3常见故障分析 (13)
1 版本信息
手册版本V4.0
产品版本V2.6.4.0
发布状态发布
发布时间2011年11月21日
备注信息无
2 技术简介
链路聚合Trunk是通过组合多个链路成为一个逻辑的网络链路,用于提高带宽。
在使用快速以太网和千兆以太网技术,通过链路聚合提高了设备之间通讯通道的容量和可用性。
两个或多个百兆或千兆以太网连接捆绑在一起来提高带宽的容量和连接的冗余性。
链路聚合也提供了负载均衡的方式来处理通讯负荷,使得通讯负荷均分在几个链路中,不会有单独一个链路超负载。
通过链路聚合,用户可以在许多应用中得到实际的益处:更高的可靠性、更高的带宽,使用现有的设备,节约成本(不需要更新设备来获取更高的带宽)。
3 配置链路聚合Trunk接口
3.1配置链路聚合Trunk接口
3.1.1 创建Trunk接口
进入网络管理>接口>Trunk,点击新建
参数说明:
名称:Trunk接口名称
Trunk组号:Trunk组号,范围0-255
IP 地址/掩码:桥接口IP 地址/掩码。
描述:接口描述。
模式:Trunk链路聚合,分为手工模式与LACP模式
负载均衡:发送报文端口选择方法,分为L2与L34两种,L2模式
根据目的MAC做哈希选择发送物理端口;L34模式以源IP、目的IP
与端口(TCP、UDP协议)做哈希选择发送物理端口
接口列表:要加入桥的物理接口
管理访问:配置端口是否允许HTTPS、PING、Telnet、SSH、HTTP、集中监控等管理服务。
接入控制:配置Trunk接口是否允许L2TP、SSL VPN、Web 认证接入。
MTU:接口发送报文的最大长度,缺省为1500
辅IP地址: 设置端口的辅IP,最多可以设置5 个
3.1.3 配置Trunk接口为桥端口
新建Trunk接口Trunk0,进入网络管理>接口>透明桥,点击新建,
选择Trunk0作为端口:
点击提交,可以看到Trunk接口已经成为桥端口:
3.1.4 配置Trunk接口为Vlan接口
新建Trunk接口Trunk0,进入网络管理>接口,点击新建,选择
Trunk0作为物理接口:
3.2配置案例
3.2.1手动模式
3.2.1.1案例描述及拓扑
某公司在实际局域网中已经有路由器和核心交换,由于该公司局域网中流量比较大路由器和核心交换之间是trunk链路,为了不改变网络拓扑并且对局域网进行安全防护,防火墙作为透明网桥模式部署,同时防火墙上创建两个trunk接口能与上下游设备保持互通。
由于上下游设备的trunk接口都是手工模式,所以防火墙设备的trunk接口也配置为手工模式。
创建trunk1并且指定成员端口,进入网络管理->接口->Trunk,点击新建
创建桥接口并且把刚才创建的trunk0和trunk1加入桥,进入网络管理->接口->透明桥点击新建
3.2.2 LACP模式
3.2.2.1案例描述及拓扑
某公司两个子网LAN1、LAN2,分别连接两台UTM设备,接口为百兆。
两个LAN分别连接UTM设备的3个接口,LAN1与LAN2之间交互网络流量很大,需要300M带宽,而且需要做链路备份,防止某条链路故障而导致两个LAN不通。
如图所示:
这种情况,可以在两台设备上分别配置两个Trunk接口,并且物理口直连,分别
将3个物理口加入到Trunk中去,使之聚合,从而增加带宽并做链路备份。
3.2.2.2 配置过程
新建Trunk接口
进入网络管理>接口>Trunk,点击新建Trunk接口:
选择Trunk模式为LACP模式,负载均衡为L34
点击提交完成配置
3.3 注意事项
● HA接口、管理口、已经加入桥或其他trunk的端口、三层接口(即配
置了IP地址)、被策略\NAT\安全域引用的接口、有子接口的接口、子
接口以及其他虚接口均不不能再加入trunk;
● Trunk下成员端口类型必须一致,要么都是千兆要么都是百兆;
● Trunk下成员端口可以都是电口或者光口,也可以光电混合
● Trunk下成员端口双工模式必须都是全双工模式。
3.4 常见故障分析
故障现象1:Trunk接口不转发流量
现象Trunk接口不转发流量
分析可能是Trunk链路聚合协商不成功,导致其下端口inactive
解决检查对端设备trunk口配置,使Trunk两端聚合协商成
功
排查方法在CLI上执行Show trunk N(N为trunk接口的ID)检查
端口的状态是active还是backup状态,如果端口的状态是
backup,请检查以下几点:
1) 检查接口是否UP,否则请查看网线或者光线是否插好;
2) 检查接口的速率是否应该为接口本身所能支持的最大
值,否则请检查本端以及对端是否为全双工模式;
3) 检查本端设备和对端设备中trunk的模式是否一致,要
求要么都手工模式manual要么都是动态lacp模式。