天清汉马USG配置手册

长城资产天清汉马防火墙配置信息

一、基本信息

接口0的默认地址配置为192.168.1.250/24。允许对该接口进行Telnet，PING，HTTPS操作。

系统默认的管理员用户为admin，密码为g。用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。

系统默认的审计员用户为audit，密码为venus.audit。用户可以使用这个账号对安全策略和日志系统进行审计。

系统默认的用户管理员用户为useradmin，密码为er。用户可以使用这个账号用于配置系统管理员。

二、USG设备的主要配置选项。

1.系统管理：系统配置和管理。包括状态、会话管理、管理员、维护和监控。

可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况

可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话

可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。

创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆

如果对设备各种库进行自动升级要为设备设置正确的DNS，

选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮

目前外置储存器只支持CF卡和USB

2.网络管理：网络相关配置。包括接口、NAT、基本配置、DHCP、双机热备功能的配置。

可以更改端口的带宽设置、双工模式以及端口速率等设置功能。对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。

同一个接口只能加入到一个网桥组。已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。

GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。GRE 是第三层的隧道协议，它利用一种协议的传输能力为另一种协议建立了点到点的隧道，被封装的报文将在隧道的两端进行封装和解封。使用GRE 协议可以与对端路由器或防火墙设备建立虚拟的、点对点通信。仅支持封装IP 类型的网络数据包。

长城资产天清汉马防火墙配置信息 (1)

网络管理配置 (4)

接口配置 (4)

基本配置 (5)

NAT配置 (6)

用户账户配置 (7)

防火墙配置 (9)

服务对象 (9)

安全策略 (10)

防攻击 (11)

日志与报告 (12)

日志配置 (12)

网络管理配置

接口配置

1首先打开浏览器在地址栏输入https://10.168.0.90登陆天清汉马防火墙界面如下：

2、点击网络管理，选择接口选项卡：

3、点击新建按钮，输入相应信息即可完成接口配置。

基本配置

1点击基本配置出现以下界面：

、

2、点击新建建立缺省网关地址

NAT配置

1、点击NAT配置出现以下界面：

2、点击新建配置NA T相关参数

用户账户配置

1、点击系统管理-管理员出现如下界面：

2、点击管理员权限选项卡出现如下界面

3、点击新建可以新建管理员权限组输入相应名称，选择权限，填写描述，点击提交即可完

成权限组的新建。如下图：

4、点击管理员选项卡，选择新建按钮，填写相关用户信息选择相应的访问权限组。点击提

交即可完成用户的新建。

防火墙配置

服务对象

1、点击对象管理-服务对象选项卡-点击自定义服务：

2.、点击新建按钮。输入相应名称以及协议端口号点击提交即可

3、点击服务组选项卡，添加相应对象至服务组即可生成服务组策略。

安全策略

1、打开防火墙配置-安全策略选项卡

2、点击新建，填写相应源地址，目的地址，调用策略组。点击提交即可完成安全策略配置。

防攻击

1、点击防火墙选项卡，选择防ARP攻击，并且开启相应选项即可完成ARP攻击防范功能

的配置。

2、点击入侵防御，选择防攻击选项卡。即可配置防止相应攻击的选项。

日志与报告

日志配置

点击日志与报告，选择日志配置。填写syslog服务器地址及相应信息即可。