天清汉马USG配置手册

天清汉马使用手册摘要：1.天清汉马使用手册概述2.安装与设置3.基本操作与功能4.常见问题与解决方法5.维护与保养正文：一、天清汉马使用手册概述天清汉马是一款性能卓越的设备，为了帮助用户更好地了解和使用该设备，特编写本手册。

本手册将详细介绍设备的安装与设置、基本操作与功能、常见问题与解决方法以及维护与保养等方面的内容，以帮助用户充分发挥设备的性能优势。

二、安装与设置1.设备安装：请按照设备附带的安装指南进行安装。

确保设备安装在稳固的基础上，并确保电源线、数据线等连接正常。

2.软件安装：请从官方网站下载最新版本的操作系统，并按照提示进行安装。

确保操作系统与设备兼容。

3.设置：在设备启动后，根据系统提示进行相关设置，如语言、时间、网络等。

确保设备可以正常运行。

三、基本操作与功能1.开机：按下设备的电源按钮，设备将启动并进入操作系统。

2.关机：在操作系统界面下，选择“关机”选项，等待设备自动关机。

3.基本功能：设备具备基本的输入输出功能，如文本输入、图片显示等。

用户可以通过操作系统提供的应用程序实现各种功能。

4.高级功能：设备支持扩展功能，如数据分析、人工智能等。

用户可以通过安装相应的软件或插件实现高级功能。

四、常见问题与解决方法1.设备无法启动：请检查电源线、数据线是否连接正常，以及设备是否受到损坏。

2.软件无法安装：请确保操作系统版本与软件要求相符，并检查安装过程中是否出现错误提示。

3.设备性能下降：请检查设备是否感染病毒，或进行磁盘整理、清理不必要的文件等操作。

五、维护与保养1.定期检查：建议用户定期对设备进行检查，确保设备运行正常。

2.软件更新：建议用户定期更新操作系统及其补丁，以确保设备性能最佳。

3.避免不当使用：请勿将设备暴露在高温、潮湿、强光等环境中，以免损坏设备。

通过以上介绍，相信用户已经对天清汉马设备有了更加全面的了解。

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192。

168。

1。

250/24.允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为venus。

usg。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus。

audit。

用户可以使用这个账号对安全策略和日志系统进行审计.系统默认的用户管理员用户为useradmin，密码为venus。

user.用户可以使用这个账号用于配置系统管理员.二、USG设备的主要配置选项。

1。

系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本,系统已经运行的时间,系统性能,接口状态，授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备.协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0,eth1等等；如果是1000M网卡，则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口)的以太网接口不能加入网桥组。

天清汉马USG防火墙Trunk配置指南(V 4.0)北京启明星辰信息安全技术有限公司Beijing Venustech Cybervision Co.,Ltd.二零一一年十一月版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Tech Inc. All rights reserved.The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.目录1 版本信息 (4)2 技术简介 (4)3 配置链路聚合Trunk接口 (5)3.1配置链路聚合Trunk接口 (5)3.2配置案例 (8)3.3常见故障分析 (13)1 版本信息手册版本V4.0产品版本V2.6.4.0发布状态发布发布时间2011年11月21日备注信息无2 技术简介链路聚合Trunk是通过组合多个链路成为一个逻辑的网络链路，用于提高带宽。

长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。

允许对该接口进行Telnet，PING，HTTPS 操作。

系统默认的管理员用户为admin，密码为g。

用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。

用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。

用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。

包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。

协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理：网络相关配置。

包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。

对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。

已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。

实验一:透明桥实验如图接入USG ，实现如下要求： 1、 新建桥接口：Eth2,eth1-bvi1，2、 配置接口bvi1 ip add 192.168.1.30/24，允许https 、ping3、 地址对象建立主机地址对象：PC1、PC2；服务对象：test1：804、 添加策略允许eth2<->eth3双向icmp ，eth2->eth3的http 80。

5、 启用策略保存配置6、 测试 实验步骤：第一步：新建桥接口、并配置桥口ip 和允许访问 网络管理---接口—透明桥：配置桥接口的IP 为192.168.24.250/24.接口列表中勾选eth2\eth3,管理访问勾选https 和ping.步骤二：配置地址对象PC1和PC2.以及服务对象test1对象管理---地址对象---地址节点：新建地址节点：新建PC1的地址节点，地址为192.168.24.10，pc2的地址为192.168.24.20. 对象管理---服务对象---自定义服务：新建自定义服务建立任意的源到目的80的服务，并提交步骤三：添加策略允许eth2<->eth3双向icmp，eth2->eth3的http 80。

防火墙---安全策略---新建：允许eth2->eth3单向icmp允许eth3->eth2单向icmpeth2->eth3的http 80步骤四：勾选并启用策略，然后保存配置步骤五：测试实验二：防火墙路由NAT模式应用实验要求：内部inside通过SNAT方式访问internet。

Internet用户可以通过DNAT方式访问DMZ区域的server。

实验步骤：第一步：配置接口IP地址第二步：建立inside（192.168.1.0/24）、DMZ(192.168.2.0/24)、outside(218.23.156.0/24)地址对象第三步：配置静态默认路由第四步:实现inside到outside的SNAT第五步：实现Outside到DMZ的DNAT步骤一：配置接口及ＩＰ地址网络管理――接口――接口：配置接口ｅｔｈ０，ｉｐ：192.168.1.254/24配置接口ｅｔｈ1，ｉｐ：192.168.2.254/24配置接口eth3，IP：218.23.156.1/24步骤二：建立地址对象:对象管理---地址对象---地址节点：新建：Inside:192.168.1.(1-253)/24DMZ:192.168.2.(1-253)/24Outside:218.23.156.(1-253)/24第三步：配置静态默认路由步骤四：实现inside到outside的SNAT 网络管理—NAT--源地址转换：新建：步骤四：实现Outside到ＤＭＺ的DNAT 新建NAT地址池：Webserver：192.168.2.1Ftpserver：192.168.2.2mailserver：192.168.2.3网络管理—NAT—目的地址转换：新建：访问到eth3的http服务，目的地址转换为webserver地址访问到eth3的Ftp服务，目的地址转换为ftpserver地址访问到eth3的mail服务，目的地址转换为mailserver地址。

天清汉马USG一体化安全网关NAT配置指南(V3.2)版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Tech Inc.All rights reserved.The copyright of this document is owned by Venus Info Tech Inc.Without the prior written permission obtained from Venus Info Tech Inc.,this document shall not be reproduced and excerpted in any form or by any means,stored in a retrieval system,modified,distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an“AS IS”basis.Venus Info Tech Inc.may make improvement or changes in this document,at any time and without notice and as it sees fit.The information in this document was prepared by Venus Info Tech Inc.with reasonable care and is believed to be accurate.However,Venus Info Tech Inc.shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies,or errors contained herein.目录1版本信息 (1)2技术简介 (1)3常见组网方案与配置 (2)3.1源NAT转换 (2)3.2多对一 (2)3.2.1.1.建立内部地址对象 (2)3.2.1.2.建立NAT表项 (3)3.2.1.3.建立相关安全策略 (3)3.3多对多 (4)3.3.1.1.建立内部地址对象 (4)3.3.1.2.建立NAT地址池 (5)3.3.1.3.建立NAT表项 (5)3.3.1.4.建立相关安全策略 (6)3.3.1.5.注意事项 (7)3.4目的地址转换 (7)3.5目的端口转换 (7)3.5.1.1.建立地址对象 (7)3.5.1.2.建立NAT地址池 (8)3.5.1.3.建立NAT表项 (9)3.5.1.4.建立相关安全策略 (9)3.5.1.5.注意事项 (10)3.6目的地址转换 (10)3.6.1.1.建立地址对象 (11)3.6.1.2.建立NAT地址池 (11)3.6.1.3.建立NAT表项 (12)3.6.1.4.建立相关安全策略 (12)3.6.1.5.注意事项 (13)3.7静态NAT转换 (13)3.7.1.1.建立内部服务器地址 (13)3.7.1.2.建立NAT表项 (14)3.7.1.3.建立相关安全策略 (14)3.7.1.4.注意事项 (15)4特殊网络拓扑解决方案 (16)4.1常见DNAT应用方案一 (16)4.2常见DNAT应用方案二 (17)5与其他相关模块配合使用 (17)5.1NAT与IPSEC隧道共同使用 (17)5.2注意事项 (18)5.3源NAT与L2TP（L2TP+IPSEC） (18)5.4注意事项 (18)5.5目的NAT与L2TP (19)5.6注意事项 (19)5.7目的NAT与L2TP+IPSEC (19)5.8注意事项 (19)5.9源NAT与SSL VPN (19)5.10注意事项 (20)5.11目的NAT与SSL VPN (20)5.12注意事项 (20)6备注 (20)1版本信息手册版本V3.2产品版本V2.6.3.2发布状态发布发布时间2010年07月31日备注信息无2技术简介NAT即网络地址转换，最初是由RFC1631（目前已由RFC3022替代）定义，用于私有地址向公有地址的转换，以解决公有IP地址短缺的问题。

天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一一年十一月天清汉马USG快速安装指南手册版本V4.0产品版本V2.6.4.0资料状态发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

天清汉马USG防火墙快速安装指南USG防火墙是一种网络安全设备，可保护企业网络不受来自互联网的攻击和威胁。

USG防火墙具有强大的功能，包括入侵检测和防范、URL过滤、VPN等。

下面是天清汉马USG防火墙的快速安装指南。

1.准备工作-确保您已购买了天清汉马USG防火墙并收到了所有所需的配件。

-查找一个安全的位置来放置USG防火墙，离电源插座和网络设备近。

2.连接设备-将USG防火墙的电源插头插入电源插座，并将另一端连接到USG防火墙上的电源端口。

- 使用Ethernet电缆将USG防火墙的LAN端口连接到您的网络交换机或路由器的可用端口。

- 使用另一条Ethernet电缆将USG防火墙的WAN端口连接到您的互联网入口设备，例如光猫或宽带调制解调器。

3. 访问Web界面- 打开您的Web浏览器，并键入USG防火墙的默认管理IP地址（通常为192.168.1.1）。

- 输入默认的用户名和密码进行登录（通常为admin/admin）。

4.配置网络参数- 在Web界面中，导航到"网络"或"接口"选项卡，并选择WAN口。

-根据您的网络提供商的要求，配置WAN口的IP地址和其他相关参数，例如子网掩码、默认网关和DNS服务器。

-保存更改并应用配置。

5.配置防火墙规则- 在Web界面中，导航到"防火墙"或"安全"选项卡，并选择"规则"子选项卡。

-根据您的安全需求，配置防火墙规则以允许或拒绝特定的网络流量。

-保存更改并应用配置。

6.配置VPN- 在Web界面中，导航到"VPN"或"安全"选项卡，并选择"VPN"子选项卡。

-根据您的需求，配置VPN连接，例如设置远程访问、站点到站点VPN等。

-保存更改并应用配置。

7.配置其他功能-根据您的需求，配置其他USG防火墙功能，例如入侵检测和防范、URL过滤等。