启明星辰USG产品培训

29
策略路由
• 普通的报文转发：根据目的IP • 策略路由：根据源IP、目的IP或其他属性
报文选路能同时匹配静态路由（或动态路由）和策略路由时，策略路由优先。
30
多播路由
• 配置多播组以及能够接收该多播组的接口
• 查看配置结果
对于多播报文，路由模式下缺省是转发的
31
动态路由
• RIP---基于距离向量
9
产品介绍
内容
产品组成及部署 安装及配置 日常Βιβλιοθήκη Baidu护
10
二、产品组成及部署
1.产品的组成
– USG硬件设备 – 天清集中管理与数据分析中心
11
二、产品组成及部署
2.产品部署
• 透明模式(提供桥接功能)
在这种模式下，USG的所有接口均作为交换接口工作。也就是说，对于数据包 在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，USG可 以在设置了子接口IP 的VLAN 之间进行路由转发。
17
三、安装及配置
4.设备授权
USG产品提供了免费3个月（90天）的试用授权， 试用授权不需要输入任何授权码，试用授权对所有模 块生效，模块功能和正式授权功能一样。 试用授权只能使用一次，激活试用的时间没有限 制，如果试用时产品已经输入正式授权，则会在正式 授权的有效期上叠加3个月的授权期限。
18
DMZ区
USG
内部网络
连接DMZ的接口需要设 置成公网地址或在出 接口启用目的NAT
配置步骤：1、配置接口IP地址；2、配置路由。
23
透明模式（桥接模式）
外部网络
Router
USG可以方便的接入到网 络，而且保持所有的网络 设备配置完全不变
防火墙
USG
L3 Switch
此时USG类似网桥的工作 方式，降低网络管理的复 杂度
– Version 1 – Version 2
• OSPF---基于链路状态 • BGP -Version 4
32
地址转换（NAT）
NAT的种类 • 源地址转换 • 目的地址转换 • 静态地址转换
NAT的特点
• 隐藏内部网络 • 节约公有地址 • 隐藏网络服务的真正 位置 • 负载分担（目的NAT）
25
混合模式
外部网络
USG
透明模式 DMZ区
USG同时工作在路由模式和 透明（桥接）模式
内部网络
26
路由配置
• • • • 静态路由 策略路由 多播路由 动态路由
27
静态路由
• 默认路由（缺省路由）：“网络管理”“基本配 置” “缺省网关”
28
静态路由：距离和权重
• 如果到达同一目的地址存在管理距离不 同的静态路由，则管理距离小的路由生 效，管理距离大的路由无效。 • 对于到达同一目的地址多条权重不同的 静态路由，权重大的负载流量多，权重 小的负载流量少。通过权重值的配置能 够达到按比例进行流量负载分担的效果。
14
防病毒双引擎
安天&卡巴斯基
改进功能5
USG2640概述（1）
• USG2640产品特色 • 技术全面化
– – – – – – – 虚拟防火墙； 链路聚合TRUNK； VRRP； BGP； ISP； IPV6； 卡巴斯基防病毒
• 增强与完善
– – – – – – – – – – – – – IGMP SNOOPING； 端口状态同步； HA备机可管理； 双系统； 多配置文件保存； 日志合并； DNAT自动映射； 策略保障带宽、接口带宽； IPSec配置向导、多模式、多 链路、国密算法； SSLVPN代理优化、登录信息 ； 配置向导； 反向路径检查； 系统资源监控；
8
USG2640概述（4）
• 新硬件平台说明
– 新立华双核320C、620C、820C
与610和810双核相比，采用2G内存 性能方面，吞吐、新建和GOODPUT与610、810相比 ，FW方式下基本一致，开启IPS、AV后性能略有下降 性能方面，并发和四核设备基本一致 具体参见性能测试报告
•Learning
•Flooding/Forwarding/Filtering
内部网络
•Loop Prevention
仍然具备所有的安全功能
配置步骤：新建“透明桥”，选择需要加入桥的接口。
24
透明模式配置
• 物理接口只能加入到一个桥组中 • Trunk接口也可以作为桥组中的接口 • 桥接口下的物理接口间可以设置不同的安全策略
14
三、安装及配置
2.产品安装步骤
– 硬件安装
（设备上架、布线、加电、配置、调试）
– 软件安装
（安装SQL Server/MSDE 数据库，安装天清集中管理与数据分析中心）
15
三、安装及配置
3.产品登录
• Web管理方式 – 使用IE等浏览器通过HTTP或者HTTPS方式管理和访 问设备
16
三、安装及配置
USG产品培训
—山东分公司
启明星辰介绍
留学生创立（1996） 国内最早的网络安全高科技企业之一 多项自主知识产权
立足本土、面向国际
承担最多的国家科研项目
承担过国内最大的“网络安全保障工程”
2010年6月成功上市
2
启明星辰介绍
目标和宗旨： 成为国际一流的TSP
TSP
Trusted Security
• 路由模式(静态路由功能)
在这种模式下，USG类似于一台路由器转发数据包，将接收到的数据包的源 MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在 同一个网段的情况。和路由器一样，USG的每个接口均要根据区域规划配置IP 地 址。
• 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在 透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的 网络环境。 说明：USG采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定产品部署模式；并且USG采用何种部署模式都不会影响 其访问控制功能。
20
三、安装及配置
手工配置常规配置项：
– 运行模式 – 路由配置 – 地址转换 – 安全策略配置 – 入侵防御 – 防病毒 – 日志过滤
21
运行模式
• 路由模式 • 透明（桥接）模式 • 混合模式
22
路由模式
外部网络
USG缺省工作模式， 相当于路由器，提供 路由功能 USG的各个接口处于 不同的网段

Product Solution Service
Provider
诚信 技术领先 服务本地化 用户第一
3
产品介绍
内容
产品组成及部署 安装及配置 日常维护
4
针对VSOSV206R0302版本更新
一、产品介绍
版本功能变更(V206R0400)
针对VSOSV206R0302版本更新
7
USG2640概述（3）
• 新硬件平台说明
– 新衡阳四核2000D、3600D
与原衡阳四核相比，硬件不再采用FPGA转发方式 与原衡阳四核相比，性能基本一致
– 模块化12000E
支持三种千兆板卡：12电口、12光口、6光口6电口 支持一种万兆板卡：4万兆光口
可以跨版进行两万兆口吞吐测试，避免在同一板卡上 测试性能受到瓶颈，大包性能有所提高（10000E万 兆口12.6G，12000E万兆口19.3G） 受硬件瓶颈，该设备小包性能相比10000E有所下降（ 10000E万兆口3.1G，12000E万兆口2.4G、2.6G）
6
• 改进
– 上网行为管理； – WEB过滤---URL分类特征库
USG2640概述（2）
• 硬件平台及型号支持
硬件平台 USG2000C USG4000D、4600D、5200D USG320C、620C、820C（2G内存） USG310B USG610A、610C USG810A、810C USG2010D（恒扬、立华） USG2000D（新恒扬） USG3610D（恒扬、立华） USG3600D（新恒扬） USG4000E USG4600E、5200E USG8000E USG10000E USG12000E 软件版本 x86版本 x86-fpga版本 Mips Mips Mips Mips Mips Mips Mips Mips Mips Mips Mips Mips Mips
序号 1 双系统 功能特性 特性描述 双系统指的是在USG设备上可以最多同时存在两套独立的VenusOS，相互之间可以备份或恢复，用户指定 从哪个VenusOS引导。 虚拟防火墙是指在一台物理防火墙上虚拟出多台逻辑上的防火墙，每台虚拟防火墙都可以被看成是一台 完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库、独立资源等。 链路聚合Trunk是通过组合多个链路成为一个逻辑的网络链路，用于提高带宽。 可以承担网关功能的USG加入到备份组中，形成一台虚拟路由器，由VRRP的选举机制决定哪台USG承担转 发任务，局域网内的主机只需将虚拟路由器配置为缺省网关。 不同自治系统的路由器之间进行通信的外部网关协议，在不同的自治系统之间交换网络可达信息，并通 过协议自身机制来消除路由环路。 根据不同的ISP确定下一跳，使不同ISP流量走专有路由，从而提高网速。USG内置电信地址库和网通地 址库，对于双链路用户，可以通过ISP路由实现ISP访问的自由选路。 支持IPV6协议 增加了预定义的模板 运行在数据链路层，是二层以太网交换机上的组播约束机制，用于管理和控制组播组。 实现把两条链路绑定在一起，保持链路状态一致的功能，分为二层联动和三层联动两种方式。 自动将用户输入的目的地址对象中的地址，和地址池中包含的地址建立对应关系，自动生成多条目的 NAT规则。 配置向导能够引导用户快速建立能够满足典型的、基本的网络环境的配置。 可定制SSL登录信息及登录后的门户信息 类别 新增功能
2
虚拟防火墙
新增功能
3
链路聚合TRUNK接口
新增功能
4
VRRP
新增功能
5
BGP
新增功能
6 7 8 9 10 11 12 13
ISP路由 IPV6 上网行为管理 IGMP SNOOPING 二三层链路状态联动 DNAT自动映射 配置向导 定制SSL登录信息
新增功能 新增功能 改进功能 新增功能 新增功能 改进功能 改进功能 改进功能
12
产品介绍
内容
产品组成及部署 安装及配置 日常维护
13
三、安装及配置
1.安装前准备
1）路由走向(包括USG及其相关设备的路由调整) 确定USG的工作模式：路由、透明、综合。 2）IP地址的分配(包括USG及其相关设备的IP地 址分配) 根据确定好的USG的工作模式给USG分配合理的IP 地址 3）数据应用和数据流向的调研(各种应用的数据 流向及其需要开放的端口号或者协议类型) 4）要达到的安全目的(即要做什么样的访问控制)
UTM
内网
转换前
目标端口 任意 源IP 私网 源端口 任意
34
地址转换：策略NAT
SP1 SP2
USG
•根据不同的数据流，转换到不同的地址池 （源地址转换）
•地址池和接口地址可以不在一个网段，需要路由器有返回的路 35 由设置
地址转换：目的NAT
• • • • • 在入口作地址转换 可以改变目标IP和目标端口 主要用于外网对内部服务器的访问 支持端口映射 入口 Internet 支持服务器的负载分担（转换后的 目标地址为多个，简单轮询机制） UTM • 只能从外部发起 • DNAT自动映射
3.产品登录
• 命令行
– 通过Console口、telnet、ssh方式
• Eth0：192.168.1.250/24（设备出厂设置）
– 允许对该接口进行Telnet，PING，HTTPS操作
• 默认用户名、口令
– 管理员 • admin venus.usg – 用户管理员 • useradmin venus.user – 审计员 • audit venus.audit
33
地址转换：源NAT
• • • • 在出口作地址转换 只改变源IP和源端口 主要用作内网对公网的访问 支持根据不同的数据流转换 到相应的地址池（策略NAT） • 只能从内部发起
转换后
目标IP 不变 目标端口 不变 源IP 改变 源端口 改变 类型 源地址转换 目标IP 公网
出口
DMZ
Internet
三、安装及配置
5.详细配置
V4.0版本提供两种配置模式： 1)通过“配置向导”功能 2)手工配置
对于实现较为简单的USG部署时可以采用“配置向导” 来完成配置；
对于复杂情形的USG部署，仍采用“手工配置”。
19
三、安装及配置
使用配置向导能够使USG设备快速上线，初步熟悉设备
的常用的、基本的功能。