天清汉马USG防火墙(T系列)快速安装指南-v3
天清入侵防御系统_快速安装指南
天清入侵防御系统快速安装指南北京启明星辰信息安全技术有限公司二零一三年七月天清入侵防御系统快速安装指南手册版本V5.0产品版本V6.0.5.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Inc. All rights reserved.The copyright of this document is owned by Venus Inc. Without the prior written permission obtained from Venus Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Inc. with reasonable care and is believed to be accurate. However, Venus Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的NGIPS产品正常运行时,包含2款GPL协议的软件(linux、zebra)。
天清汉马USG-FW系列_快速安装指南
天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零零九年六月天清汉马USG防火墙快速安装指南手册版本V3.0产品版本V2.6.3.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时,包含3款GPL协议的软件(linux、zebra、OpenLDAP)。
天清汉马USG配置手册簿
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG系列_v3[1].2
![天清汉马USG系列_v3[1].2](https://img.taocdn.com/s3/m/4311857d5acfa1c7aa00cc67.png)
全动态VPN
√(两端地址均为动态地址的VPN协商)
VPN实时监控
√
双向NAT穿越
√
基于数字证书的VPN应用
√
透明模式VPN
√
VPN硬件加速
√(阻断、限速。随IPS特征库的升级,支持种类不断增加)
针对征途、魔兽世界等网络游戏的控制
√(随IPS特征库的升级,支持种类不断增加)
针对大参考、大智慧、同花顺等股票软件的控制
√(随IPS特征库的升级,支持种类不断增加)
功能参数
内网安全
内网安全策略服务器
√(管理界面中内置天珣策略服务器,无需再单独配置策略服务器)
1.6G
IPS吞吐量
1.6G
AV+IPS吞吐量
1.6G
168位3DES加密(bps)
1G
VPN隧道数
2,000
用户数
无限制
电气
电源
100-264V
频率
47-63Hz
输入电流
5A
功率
55W
环境
工作温度
0-50℃
储存温度
-20-70℃
工作湿度
10%-95%,无凝结
尺寸
深宽高(mm)
400×430×44.5
应用软件和进程管理
√(提供白名单、红名单、黑名单控制客户端准入)
用户合法性检查
√(用户名+口令认证、软件证书认证、USBKEY证书+口令认证)
端点安全
√(阻止匿名访问;文件检测、用户程序检查、注册表值检查)
天清汉马USG配置手册总结
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG防火墙(T系列)快速安装指南-v3
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载天清汉马USG防火墙(T系列)快速安装指南-v3地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容天清汉马USG防火墙(T系列)快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一六年11月天清汉马USG防火墙快速安装指南手册版本V1.0产品版本V2.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Co pyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in anyform or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的天清汉马USG防火墙产品正常运行时,包含2款GPL协议的软件(linux、zebra)。
20090905_天清汉马USG系列_NAT配置指南_V3.0
天清汉马 USG 一体化安全网关
NAT 配置指南
(V 3.0)
北京启明星辰信息安全技术有限公司 Beijing Venustech Cybervision Co.,Ltd. 二零零九年九月
北京启明星辰信息安全技术有限公司 i
北京启明星辰信息安全技术有限公司
ii
天清汉马 USG-NAT 配置指南
1 2 3
4
5
目 录 版本信息..................................................................................................................................... 1 技术简介..................................................................................................................................... 1 常见组网方案与配置.................................................................................................................2 3.1 源 NAT 转换.............................................................................................................. 2 3.1.1 多对一...............................................
天清汉马USG-FW系列_快速安装指南
天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零零九年六月天清汉马USG防火墙快速安装指南手册版本V3.0产品版本V2.6.3.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时,包含3款GPL协议的软件(linux、zebra、OpenLDAP)。
天清汉马USG配置手册簿
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG系列配置简介
USG设备的管理方式
• 通过Console口配置; • 通过Telnet 进行命令行的配置; • 通过SSH进行命令行的配置; • 通过HTTP 或HTTPS协议,从GUI界面进行配置管理; • 安装集中管理中心软件,集中管理、配置USG设备;
天清汉马USG系列配置简介
管理员用户与权限表
源地址转换(SNAT),可以将内部地址转换成出接口地址或 者地址池中的地址。
天清汉马USG系列配置简介
目的地址转换(DNAT),可以将目标地址转换成NAT Pool中的地址,亦可实现服务器负载分担与业务分流。
天清汉马USG系列配置简介
NAT地址池(Pool),注意起始地址不能大于结束地址,在 地址不是很充分的情况下,可以配置地址轮询。
天清汉马USG系列配置简介
USG设备可以担当所有的DHCP 角色:
• DHCP Server • DHCP Relay • DHCP Client
天清汉马USG系列配置简介
配置DHCP服务器的步骤:
1. 在相应接口开启DHCP Server服务; 2. 创建DHCP服务器; 3. 如果有必要,创建DHCP地址的排除范围; 4. 如果有必要,创建IP-MAC绑定条目; 5. 通过监视器可察看由USG分配的动态地址;
和设备本身发出的数据包不进行限制; • 可以调整安全策略的顺序,以使位置在前的策略优先匹配; • 可以创建一条新的安全策略,并插入到指定的策略之前;
天清汉马USG系列配置简介
网络地址转换(NAT):
• 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题;
• 单向隔离,具有额外的安全性; • 利用目标地址的映射,使公有地址可访问配置了私有地址
天网防火墙V3.0快速安装手册
天网防火墙快速安装说明Version 3.0该说明将引导您如何把设备快速安装到您的网络里;本向导不包括用户网络的规划和设计,请您花几分钟阅读该说明;为了安装设备到您的网络里,您需要做以下步骤: ✧ 从包装中取出设备✧ 用一台电脑通过交叉网线联到防火墙的局域网口(LAN )(防火墙面板显示为ETH0),进入设备的管理界面,设备默认用户名admin 、密码skynet 和LAN 口的默认IP 地址192.168.0.1/255.255.255.0,端口:9981 ✧ 配置防火墙的网卡IP ,使防火墙能联上Internet. ✧ 配置防火墙的NA T ,使局域网能联上Internet第一步 打开包装检查设备的配件是否齐全。
第二步PC 设置用一台电脑通过交叉网线联到设备的LAN 口,进入设备的管理界面;在配置防火墙设备之前,需要电脑网卡和防火墙设备有一个相同网段的IP 地址。
请看下图:第三步 登陆防火墙WEB登录采用SSL加密传输协议https,管理端口为9981。
打开浏览器,在地址栏上键入如下URL:https://192.168.0.1:9981,浏览器弹出一个警告窗口如下,由于IE在系统缺省的识别证书中找不到相应证书发行者,而且天网防火墙系统只是要求使用SSL加密模式中的加密信道,因而采用自行签发的系统识别证书,按“是”后进入登录界面。
确认证书之后,可以进入防火墙的配置界面,如下图:使用默认的帐户:admin默认密码:skynet 登陆。
点击相关的连接就可以进行配置。
第四步:配置防火墙网卡IP进入配置界面,如图:LAN配置:点击”LAN”, 进入配置界面,选择静态IP,填上内网的IP和掩码,如下图:保存生效,防火墙确认后会自动重启,如下图:LAN口配置完毕,下面开始配置W AN口。
WAN口配置:使用新改地址登陆防火墙,点击“W AN1”,如图所示:如果是ADSL拨号上网,选择PPPOE,填上ADSL帐户和密码。
20100726_天清汉马USG系列_NAT配置指南_V3.2
天清汉马USG一体化安全网关NAT配置指南(V3.2)版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Tech Inc.All rights reserved.The copyright of this document is owned by Venus Info Tech Inc.Without the prior written permission obtained from Venus Info Tech Inc.,this document shall not be reproduced and excerpted in any form or by any means,stored in a retrieval system,modified,distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an“AS IS”basis.Venus Info Tech Inc.may make improvement or changes in this document,at any time and without notice and as it sees fit.The information in this document was prepared by Venus Info Tech Inc.with reasonable care and is believed to be accurate.However,Venus Info Tech Inc.shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies,or errors contained herein.目录1版本信息 (1)2技术简介 (1)3常见组网方案与配置 (2)3.1源NAT转换 (2)3.2多对一 (2)3.2.1.1.建立内部地址对象 (2)3.2.1.2.建立NAT表项 (3)3.2.1.3.建立相关安全策略 (3)3.3多对多 (4)3.3.1.1.建立内部地址对象 (4)3.3.1.2.建立NAT地址池 (5)3.3.1.3.建立NAT表项 (5)3.3.1.4.建立相关安全策略 (6)3.3.1.5.注意事项 (7)3.4目的地址转换 (7)3.5目的端口转换 (7)3.5.1.1.建立地址对象 (7)3.5.1.2.建立NAT地址池 (8)3.5.1.3.建立NAT表项 (9)3.5.1.4.建立相关安全策略 (9)3.5.1.5.注意事项 (10)3.6目的地址转换 (10)3.6.1.1.建立地址对象 (11)3.6.1.2.建立NAT地址池 (11)3.6.1.3.建立NAT表项 (12)3.6.1.4.建立相关安全策略 (12)3.6.1.5.注意事项 (13)3.7静态NAT转换 (13)3.7.1.1.建立内部服务器地址 (13)3.7.1.2.建立NAT表项 (14)3.7.1.3.建立相关安全策略 (14)3.7.1.4.注意事项 (15)4特殊网络拓扑解决方案 (16)4.1常见DNAT应用方案一 (16)4.2常见DNAT应用方案二 (17)5与其他相关模块配合使用 (17)5.1NAT与IPSEC隧道共同使用 (17)5.2注意事项 (18)5.3源NAT与L2TP(L2TP+IPSEC) (18)5.4注意事项 (18)5.5目的NAT与L2TP (19)5.6注意事项 (19)5.7目的NAT与L2TP+IPSEC (19)5.8注意事项 (19)5.9源NAT与SSL VPN (19)5.10注意事项 (20)5.11目的NAT与SSL VPN (20)5.12注意事项 (20)6备注 (20)1版本信息手册版本V3.2产品版本V2.6.3.2发布状态发布发布时间2010年07月31日备注信息无2技术简介NAT即网络地址转换,最初是由RFC1631(目前已由RFC3022替代)定义,用于私有地址向公有地址的转换,以解决公有IP地址短缺的问题。
天清汉马USG一体化安全网关_快速安装指南
天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一一年十一月天清汉马USG快速安装指南手册版本V4.0产品版本V2.6.4.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时,包含3款GPL协议的软件(linux、zebra、OpenLDAP)。
天清汉马USG系列配置简介
安全变得简单,从天清汉马开始
高可用性(HA) 高可用性
天清汗马USG上的 上的HA: 天清汗马 上的 1. 2. 3. 4. 5. 目前支持主备模式,下一版本将支持主主模式; 目前支持主备模式,下一版本将支持主主模式; 支持两台防火墙互为备份; 支持两台防火墙互为备份; 两台设备的硬件型号要求一致; 两台设备的硬件型号要求一致; HA接口为专用物理口,不处理业务; 接口为专用物理口, 接口为专用物理口 不处理业务; 支持透明模式、路由模式和混合模式; 支持透明模式、路由模式和混合模式;
安全变得简单,从天清汉马开始
高可用性(HA) 高可用性
配置USG工作于主备模式 工作于主备模式: 配置 工作于主备模式
安全变得简单,从天清汉马开始
高可用性(HA) 高可用性
察看当前HA的工作状态与同步情况 察看当前 的工作状态与同步情况: 的工作状态与同步情况
安全变得简单,从天清汉马开始
防攻击防扫描
扫描通常是网络攻击的前兆; 扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。 测到扫描探测时,向用户进行报警提示。
安全变得简单,从天清汉马开始
安全变得简单,从天清汉马开始
配置管理概述
管理员用户与权限表 • • • • • 通过默认管理员或自建管理员用户来进行管理配置; 通过默认管理员或自建管理员用户来进行管理配置; 管理员可以通过本地或Radius进行认证; 进行认证; 管理员可以通过本地或 进行认证 出厂默认管理用户admin,密码 出厂默认管理用户 ,密码g; ; 管理员权限表规定了管理员可以执行的操作; 管理员权限表规定了管理员可以执行的操作; 可以给管理员添加管理IP限制; 可以给管理员添加管理 限制; 限制
天清汉马USG配置手册总结
长城资产天清汉马防火墙配置信息一、基本信息接口0 的默认地址配置为192.168.1.250/24 。
允许对该接口进行Telnet,PING ,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG 进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF 卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如ethO, eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN 接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation ,即通用路由封装协议。
天清汉马USG防火墙系统用户手册
DHCP状态............................................................................................ 22 接口统计 .............................................................................................. 22 在线用户统计....................................................................................... 23 ARP列表............................................................................................... 23
高级选项........................................................................................................ 39 DDNS设置............................................................................................ 39 静态路由 .............................................................................................. 40 策略路由 .............................................................................................. 41 DNS Relay设置 .................................................................................... 43 NAT设置 .............................................................................................. 43 端口映射 .............................................................................................. 45 虚拟域名设置....................................................................................... 47 ALG开关 .............................................................................................. 47 网络U盘................................................................................................ 48 页面推送 .............................................................................................. 49
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天清汉马USG防火墙-快速安装指南天清汉马USG防火墙(T系列)快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一六年11月天清汉马USG防火墙快速安装指南手册版本V1.0产品版本V2.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的天清汉马USG防火墙产品正常运行时,包含2款GPL协议的软件(linux、zebra)。
启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户,请需要GPL软件的客户提供(1)已经购买的产品的序列号,(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。
快速安装指南 (2)User’s Manual Copyright and Disclaimer (2)Copyright (2)Disclaimer (2)第1章硬件安装 (5)1.1安装前准备工作 (5)1.1.1 安装环境要求 (5)1.1.2 安装工具准备 (5)1.2设备面板标识说明 (5)1.3设备安装 (6)1.3.1设备接口卡的安装 (6)1.3.2将设备安装到机柜 (6)第2章快速配置 (7)2.1设备默认配置 (7)2.1.1管理口的默认配置 (7)2.1.2默认管理员用户 (7)2.2 Web快速配置 (7)2.2.1登录设备 (7)2.2.2配置VLAN (8)2.2.3配置IP地址 (9)2.2.4透明桥模式案例1 (10)2.2.5透明桥模式案例2 (12)2.2.6路由综合案例 (14)2.2.7攻击防护案例 (20)2.2.8应用控制案例 (23)第3章软件升级 (27)3.1通过Web升级 (27)第1章硬件安装在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。
1.1安装前准备工作1.1.1 安装环境要求工作温度 0~40℃存储温度-40~70℃相对湿度0~95%非凝结电磁兼容性满足GB9254-1998 A级以上及GB17618-1998电磁兼容要求电源适应性220V 拉偏电: 198V~242V,频率:49~51Hz1.1.2 安装工具准备请安装前准备好以下安装工具:终端:配置终端,可以是普通PC机、笔记本电脑工具:十字螺丝刀和防静电护腕电缆:电源电缆、串口电缆、网线1.2设备面板标识说明:超级终端的RJ45连接端口:2×USB连接接口:管理接口:10/100/1000M自适应以太网电接口业务口:GE SFP光接口业务口:机箱后部电源插座和电源开关:接口卡1.3设备安装1.3.1设备接口卡的安装设备接口卡安装步骤如下:1)设备断电;2)取下接口槽位上的挡板,插入接口卡;3)安装完毕。
注意设备的接口卡不支持热插拔,设备必须在断电情况下才能进行接口卡的安装和卸载,否则会造成设备的损坏!1.3.2将设备安装到机柜1)设备断电2)将设备放置在机柜托盘上3)将设备固定在机柜上4)接通电源5)管理口接上网线第2章快速配置本设备可通过Web方式来进行配置。
2.1设备默认配置出厂的防火墙设备自带默认的配置。
这些默认配置可以在出厂的情况下,允许用户通过Web 进行配置。
2.1.1管理口的默认配置标记有“MGT”的接口为设备的管理口;如果没有“MGT”接口,则主板上从左侧数第一个以太网接口为设备的管理口。
管理口的默认IP地址为192.168.1.250/24。
允许对该接口的Ping,HTTPS操作。
2.1.2默认管理员用户系统默认的管理员用户为admin,密码为fw.admin。
任何地址都可以使用该用户登录设备。
并且可以使用设备的所有功能。
2.2Web快速配置2.2.1登录设备配置本机IP地址为192.168.1.2/24, 通过网线将本机和设备管理口连接。
打开浏览器,输入https://192.168.1.250, 连接设备。
输入用户名(缺省用户名:admin)、密码(缺省密码:fw.admin)和验证码(随机生成)登录。
2.2.2配置VLAN◆案例描述FW设备使用VLAN提供转发业务,在配置其他业务前,需要根据网络环境创建VLAN并在其中加入物理接口成员。
◆配置步骤:进入网络 >接口>VLAN,点击新建,如下图:1、配置参数名称:vlan的名称,这里配置为vlan1。
Tag:vlan的tag号,这里配置为1。
管理状态:vlan接口的状态,设置为UP。
MTU :vlan接口的MTU值,保持默认的1500即可。
接口选择:在可选的接口中点击加入到Untagged或者Tagged接口中,这里将ge0/1以Untagged方式加入到vlan 1中,将ge0/2以Tagged方式加入到vlan 1中。
2、点击提交完成创建VLAN。
2.2.3配置IP地址防火墙设备在做网络层以上业务处理时,需要在VLAN上配置IP地址。
配置步骤:1.进入网络>接口>VLAN,点击列表中的需要配置的vlan接口,如下图所示(以vlan10为例):IP地址/掩码:vlan 接口的IP地址/掩码,这里设置为1.1.1.1/24。
这里不选择浮动IP与单元ID。
点击“添加”按钮。
2.点击“更新”添加VLAN IP成功,如下图所示:2.2.4透明桥模式案例1◆案例描述:防火墙设备透明部署,通过FW设备的报文不带vlan tag,内网用户需要通过防火墙访问外网。
案例拓扑◆配置步骤:1、进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged方式加入到vlan10中,点击提交使配置生效。
2、进入对象>地址对象>地址节点,创建IPV4类型的地址对象内网用户,并将内网网段192.168.10.0/24加入到地址对象中。
3、进入策略>防火墙>策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点击提交使配置生效。
4、进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。
5、进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。
2.2.5透明桥模式案例2◆案例描述:防火墙透明部署在trunk链路下,通过FW设备的报文带vlan tag10和vlan tag20,FW设备需要透传带vlan tag的报文,并且内网用户需要通过防火墙访问外网。
案例拓扑◆配置步骤:1、进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged加入到vlan10中,点击提交使配置生效。
2、配置设备管理接口允许SSH或telnet方式访问设备,并使用SSH或telnet方式登陆到设备管理终端,在配置视图下,输入如下命令。
该命令会使得该vlan的接口下允许所有的vlan tag 或untag透传,故配置后不再受步骤1中vlan接口配置的UnTagged或者tagged方式的约束。
FW(config)# vlan 10FW(config-vlan)# vlan-transparent enable提示:此配置命令适用于FW需要透传大量vlan时使用,若桥下只需要允许单个VLAN带tag通过,在配置vlan时,将接口tagged方式加入到该vlan中即可。
3、进入对象>地址对象>地址节点,创建IPV4类型的地址对象内网用户,并将内网网段192.168.10.0/24和192.168.11.0/24加入到地址对象中。
4、进入策略>防火墙>策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点击提交使配置生效。