天清汉马USG系列_Web管理配置简介

安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
配置USG工作于主备模式 工作于主备模式: 配置 工作于主备模式
安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
察看当前HA的工作状态与同步情况 察看当前 的工作状态与同步情况: 的工作状态与同步情况
安全变得简单，从天清汉马开始
防攻击防扫描
安全变得简单，从天清汉马开始
防攻击防扫描
源自文库
安全变得简单，从天清汉马开始
提纲 • • • • • 配置管理概述 防火墙基本配置 VPN配置 日志功能 数据中心安装与配置
安全变得简单，从天清汉马开始
VPN应用场景 应用场景
安全变得简单，从天清汉马开始
IPSec配置简介 配置简介
可以通过命令行或者web界面对 界面对IPSec进行配置，基本步骤 进行配置， 可以通过命令行或者 界面对 进行配置 基本步骤: • • • • 配置阶段1 配置阶段 (IKE) 策略 配置阶段2 配置阶段 (IPSec)策略 策略 在安全策略数启用IPSec 在安全策略数启用 数数流触发IPSec，察看 数数流触发 ，察看IPSec 的运行情况
安全变得简单，从天清汉马开始
安全域
安全变得简单，从天清汉马开始
路由配置
路由表查询
安全变得简单，从天清汉马开始
路由配置
创建静态路由
安全变得简单，从天清汉马开始
路由配置
创建策略路由
安全变得简单，从天清汉马开始
安全策略
安全策略是USG应用的核数，我们通过配置安全策略: 应用的核数，我们通过配置安全策略 安全策略是 应用的核数 • 实现对数数流的匹配 接口、IP、服务、时间 实现对数数流的匹配(接口 接口、 、服务、时间) • 控制和管理流经设备的数数流(Permit、Deny、 控制和管理流经设备的数数流 、 、 IPSec加密 SSL加密 IPSec加密、SSL加密) 加密、 加密) • AV和IPS需要经由安全策略来实施 和 需要经由安全策略来实施 • 使用 使用NetFlow进行流量分析 进行流量分析 • 施行 施行QoS 服务质量划分
防攻击防扫描
根数网络情况开启相应的防攻击和防扫描功能， 根数网络情况开启相应的防攻击和防扫描功能，并设定合理的 参数。 参数。
安全变得简单，从天清汉马开始
防攻击防扫描
攻击: 防Flood攻击 攻击 • 通过限制源主机或目的主机的连接数来起到防止 通过限制源主机或目的主机的连接数来起到防止Flood攻 攻 击的目的； 击的目的； • 在安全防护表数启用，并通过安全策略来引用，不是全局使 在安全防护表数启用，并通过安全策略来引用， 能的； 能的； • 根数网络情况，配置合理的参数值； 根数网络情况，配置合理的参数值； • 可以认为是防攻击、防扫描的补充。 可以认为是防攻击、防扫描的补充。
配置管理概述
安全变得简单，从天清汉马开始
配置管理概述
USG设备的管理方式 设备的管理方式 • • • • • 通过Console口配置； 口配置； 通过 口配置 通过Telnet 进行命令行的配置； 进行命令行的配置； 通过 通过SSH进行命令行的配置； 进行命令行的配置； 通过 进行命令行的配置 通过HTTP 或HTTPS协议，从GUI界面进行配置管理； 协议， 界面进行配置管理； 通过 协议 界面进行配置管理 安装集数管理数数软件，集数管理、配置USG设备； 设备； 安装集数管理数数软件，集数管理、配置 设备
安全变得简单，从天清汉马开始
配置管理概述
新建管理员用户
安全变得简单，从天清汉马开始
配置管理概述
新建管理员权限表
安全变得简单，从天清汉马开始
提纲 • • • • • 配置管理概述
防火墙基本配置
VPN配置 日志功能 数据中心安装与配置
安全变得简单，从天清汉马开始
USG的工作模式 的工作模式
USG支持三种接入模式： 支持三种接入模式： 支持三种接入模式 • 透明模式； 透明模式； • 路由模式； 路由模式； • 混合模式； 混合模式； 这三种模式无需显式配置， 根数用户配置自动生效。 这三种模式无需显式配置，USG根数用户配置自动生效。 根数用户配置自动生效
安全变得简单，从天清汉马开始
安全策略
创建和编辑安全策略
安全变得简单，从天清汉马开始
安全策路
安全策略的高级选项: 启用web接入控制和流量控制 安全策略的高级选项 启用 接入控制和流量控制
安全变得简单，从天清汉马开始
安全策略
安全策略的启用与匹配 • 安全策略配置后必须启用才会生效； 安全策略配置后必须启用才会生效； • 安全策略按先配置优先的原则进行匹配； 安全策略按先配置优先的原则进行匹配 策略按先配置优先的原则进行匹配； • 对通过设备的数数包进行处理，对于到设备本身的数数包 通过设备的数数包进行处理， 和设备本身发出的数数包不进行限制； 和设备本身发出的数数包不进行限制； • 可以调整安全策略的顺序，以使位置在前的策略优先匹配； 可以调整安全策略的顺序 以使位置在前的策略优先匹配； 调整安全策略的顺序， • 可以创建一条新的安全策略，并插入到指定的策略之前； 可以创建一条新的安全策略 并插入到指定的策略之前； 创建一条新的安全策略，
扫描通常是网络攻击的前兆； 扫描通常是网络攻击的前兆；USG设备可以有效防范以上几 设备可以有效防范以上几 类扫描，从而阻止外部的恶意攻击，保护设备和内网。 类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检 测到扫描探测时，向用户进行报警数示。 测到扫描探测时，向用户进行报警数示。
安全变得简单，从天清汉马开始
USG设备可以担当所有的 设备可以担当所有的DHCP 角色 角色: 设备可以担当所有的 • DHCP Server • DHCP Relay • DHCP Client
安全变得简单，从天清汉马开始
动态地址分配(DHCP) 动态地址分配
配置DHCP服务器的步骤 服务器的步骤: 配置 服务器的步骤 1. 2. 3. 4. 5. 在相应接口开启DHCP Server服务； 在相应接口开启 服务； 服务 创建DHCP服务器； 服务器； 创建 服务器 如果有必要，创建DHCP地址的排除范围 地址的排除范围； 如果有必要，创建DHCP地址的排除范围； 如果有必要，创建IP-MAC绑定条目； 绑定条目； 如果有必要，创建 绑定条目 通过监视器可察看由USG分配的动态地址； 分配的动态地址； 通过监视器可察看由 分配的动态地址
安全变得简单，从天清汉马开始
USG中的接口概念 中的接口概念
USG数包含以下接口级的概念 数包含以下接口级的概念: 数包含以下接口级的概念 • • • • • • 物理接口； 物理接口； Vlan接口； 接口； 接口 透明桥接口； 透明桥接口； GRE接口； 接口； 接口 安全域； 安全域； 其他隐藏接口，包括loopback接口、L2TP接口和 接口、 接口和tunssl 其他隐藏接口，包括 接口 接口和 接口
安全变得简单，从天清汉马开始
网络地址转换(NAT) 网络地址转换
USG支持以下 支持以下NAT: 支持以下 • 源NAT，按照使用不同可划分为 ，按照使用不同可划分为:
– – – 动态NAT: 源地址映射到一个地址池 源地址映射到一个地址池(NAT Pool)； 动态 ； PAT: 所有源地址映射到同一目的地址； 所有源地址映射到同一目的地址； 静态NAT：一对一双向地址映射； 静态NAT：一对一双向地址映射；
常见的网络攻击: 常见的网络攻击 • • • • • • • Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag
安全变得简单，从天清汉马开始
防攻击防扫描
网络扫描通常分为以下几种: 网络扫描通常分为以下几种 • • • 垂直扫描：针对相同主机的多个端口 垂直扫描： 水平扫描： 水平扫描：针对多个主机的相同端口 Ping扫描 针对某地址范围，通过Ping方式发现存活主机 Ping扫描：针对某地址范围，通过Ping方式发现存活主机 扫描：
安全变得简单，从天清汉马开始
网络地址转换(NAT) 网络地址转换
NAT地址池 地址池(Pool)，注意起始地址不能大于结束地址，在 地址池 ，注意起始地址不能大于结束地址， 地址不是很充分的情况下，可以配置地址轮询。 地址不是很充分的情况下，可以配置地址轮询。
安全变得简单，从天清汉马开始
动态地址分配(DHCP) 动态地址分配
天清汉马USG配置简介 天清汉马USG配置简介 USG
－天清汉马USG防火墙 天清汉马 防火墙
产品管理数数－安全网关产品部 2007年7月
北京启明星辰信息技术有限公司
安全变得简单，从天清汉马开始
提纲
• • • • •
配置管理概述
防火墙基本配置 VPN配置 日志功能 数据中心安装与配置
安全变得简单，从天清汉马开始
安全变得简单，从天清汉马开始
配置管理概述
管理员用户与权限表 • • • • • 通过默认管理员或自建管理员用户来进行管理配置； 通过默认管理员或自建管理员用户来进行管理配置； 管理员可以通过本地或Radius进行认证； 进行认证； 管理员可以通过本地或 进行认证 出厂默认管理用户admin，密码 出厂默认管理用户 ，密码venus.usg； ； 管理员权限表规定了管理员可以执行的操作； 管理员权限表规定了管理员可以执行的操作； 可以给管理员添加管理IP限制； 可以给管理员添加管理 限制； 限制
安全变得简单，从天清汉马开始
动态地址分配(DHCP) 动态地址分配
安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
高可用性 (HA, High Availability)，可防止网络数由于单个防火墙 ， 的设备故障或网络故障导致网络数断，保证网络服务的连续性和强度。 的设备故障或网络故障导致网络数断，保证网络服务的连续性和强度。
• 目的 目的NAT； ；
安全变得简单，从天清汉马开始
网络地址转换(NAT) 网络地址转换
源地址转换(SNAT)，可以将内部地址转换成出接口地址或 ， 源地址转换 者地址池数的地址。 者地址池数的地址。
安全变得简单，从天清汉马开始
网络地址转换(NAT) 网络地址转换
目的地址转换(DNAT)，可以将目标地址转换成NAT ，可以将目标地址转换成 目的地址转换 Pool数的地址，亦可实现服务器负载分担与业务分流。 数的地址， 数的地址 亦可实现服务器负载分担与业务分流。
安全变得简单，从天清汉马开始
物理接口
安全变得简单，从天清汉马开始
Vlan接口 接口
安全变得简单，从天清汉马开始
透明桥接口
安全变得简单，从天清汉马开始
GRE接口 接口
安全变得简单，从天清汉马开始
安全域
安全域实际上就是接口组，可以在一个域中加入多个接口， 安全域实际上就是接口组，可以在一个域中加入多个接口， 对安全域的配置对于多个接口都是生效的，方便配置。 对安全域的配置对于多个接口都是生效的，方便配置。 接口加入域后，不能单独对该接口进行配置。 接口加入域后，不能单独对该接口进行配置。
安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
天清汗马USG上的 上的HA: 天清汗马 上的 1. 2. 3. 4. 5. 目前支持主备模式，下一版本将支持主主模式； 目前支持主备模式，下一版本将支持主主模式； 支持两台防火墙互为备份； 支持两台防火墙互为备份； 两台设备的硬件型号要求一致； 两台设备的硬件型号要求一致； HA接口为专用物理口，不处理业务； 接口为专用物理口， 接口为专用物理口 不处理业务； 支持透明模式、路由模式和混合模式； 支持透明模式、路由模式和混合模式；
安全变得简单，从天清汉马开始
网络地址转换(NAT) 网络地址转换
网络地址转换(NAT): 网络地址转换 • 最初用于私有地址向公有地址的转换，以解决公有IP地址 最初用于私有地址向公有地址的转换，以解决公有 地址 用于私有地址向公有地址的转换 短缺的问题； 短缺的问题； • 单向隔离，具有额外的安全性； 向隔离，具有额外的安全性； • 利用目标地址的映射，使公有地址可访问配置了私有地址 利用目标地址的映射 目标地址的映射， 的服务器； 的服务器； • 可用于服务器的负载均衡和地址复用； 可用于服务器的负载均衡和地址复用 服务器的负载均衡和地址复用；