天清汉马USG配置手册
20100726_天清汉马USG系列_内网安全配置指南_V3.2
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司 在编写该手册的时候已尽最大努力保证其内容准确可靠, 但启明星辰公司不对本 手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and Disclaimer
Copyright Copyright Venus Info Tech Inc. All rights reserved. The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS ” basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
天清汉马USG配置手册
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192。
168。
1。
250/24.允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为venus。
usg。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus。
audit。
用户可以使用这个账号对安全策略和日志系统进行审计.系统默认的用户管理员用户为useradmin,密码为venus。
user.用户可以使用这个账号用于配置系统管理员.二、USG设备的主要配置选项。
1。
系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备.协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
天清汉马USG系列配置简介
• 物理接口; • Vlan接口; • 透明桥接口; • GRE接口; • 安全域; • 其他隐藏接口,包括loopback接口、L2TP接口和tunssl
接口
物理接口
Vlan接口
透明桥接口
GRE接口
安全域
安全域实际上就是接口组,可以在一个域中加入多个接口, 对安全域的配置对于多个接口都是生效的,方便配置。 接口加入域后,不能单独对该接口进行配置。
网络地址转换(NAT)
网络地址转换(NAT):
• 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题;
• 单向隔离,具有额外的安全性; • 利用目标地址的映射,使公有地址可访问配置了私有地址
的服务器; • 可用于服务器的负载均衡和地址复用;
网络地址转换(NAT)
USG支持以下NAT:
配置管理概述
管理员用户与权限表
• 通过默认管理员或自建管理员用户来进行管理配置; • 管理员可以通过本地或Radius进行认证; • 出厂默认管理用户admin,密码g; • 管理员权限表规定了管理员可以执行的操作; • 可以给管理员添加管理IP限制;
配置管理概述
新建管理员用户
• 垂直扫描:针对相同主机的多个端口 • 水平扫描:针对多个主机的相同端口 • Ping扫描:针对某地址范围,通过Ping方式发现存活主机
扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。
防攻击防扫描
根据网络情况开启相应的防攻击和防扫描功能,并设定合理的 参数。
配置管理概述
新建管理员权限表
配置管理概述
天清汉马USG配置手册簿
长城资产天清汉马防火墙配置信息一、基本信息接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS 操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS,选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮目前外置储存器只支持CF卡和USB2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
天清汉马USG实验手册
实验一:透明桥实验如图接入USG ,实现如下要求: 1、 新建桥接口:Eth2,eth1-bvi1,2、 配置接口bvi1 ip add 192.168.1.30/24,允许https 、ping3、 地址对象建立主机地址对象:PC1、PC2;服务对象:test1:804、 添加策略允许eth2<->eth3双向icmp ,eth2->eth3的http 80。
5、 启用策略保存配置6、 测试 实验步骤:第一步:新建桥接口、并配置桥口ip 和允许访问 网络管理---接口—透明桥:配置桥接口的IP 为192.168.24.250/24.接口列表中勾选eth2\eth3,管理访问勾选https 和ping.步骤二:配置地址对象PC1和PC2.以及服务对象test1对象管理---地址对象---地址节点:新建地址节点:新建PC1的地址节点,地址为192.168.24.10,pc2的地址为192.168.24.20. 对象管理---服务对象---自定义服务:新建自定义服务建立任意的源到目的80的服务,并提交步骤三:添加策略允许eth2<->eth3双向icmp,eth2->eth3的http 80。
防火墙---安全策略---新建:允许eth2->eth3单向icmp允许eth3->eth2单向icmpeth2->eth3的http 80步骤四:勾选并启用策略,然后保存配置步骤五:测试实验二:防火墙路由NAT模式应用实验要求:内部inside通过SNAT方式访问internet。
Internet用户可以通过DNAT方式访问DMZ区域的server。
实验步骤:第一步:配置接口IP地址第二步:建立inside(192.168.1.0/24)、DMZ(192.168.2.0/24)、outside(218.23.156.0/24)地址对象第三步:配置静态默认路由第四步:实现inside到outside的SNAT第五步:实现Outside到DMZ的DNAT步骤一:配置接口及IP地址网络管理――接口――接口:配置接口eth0,ip:192.168.1.254/24配置接口eth1,ip:192.168.2.254/24配置接口eth3,IP:218.23.156.1/24步骤二:建立地址对象:对象管理---地址对象---地址节点:新建:Inside:192.168.1.(1-253)/24DMZ:192.168.2.(1-253)/24Outside:218.23.156.(1-253)/24第三步:配置静态默认路由步骤四:实现inside到outside的SNAT 网络管理—NAT--源地址转换:新建:步骤四:实现Outside到DMZ的DNAT 新建NAT地址池:Webserver:192.168.2.1Ftpserver:192.168.2.2mailserver:192.168.2.3网络管理—NAT—目的地址转换:新建:访问到eth3的http服务,目的地址转换为webserver地址访问到eth3的Ftp服务,目的地址转换为ftpserver地址访问到eth3的mail服务,目的地址转换为mailserver地址。
天清汉马USG系列_Web管理配置简介
防攻击防扫描
根数网络情况开启相应的防攻击和防扫描功能, 根数网络情况开启相应的防攻击和防扫描功能,并设定合理的 参数。 参数。
安全变得简单,从天清汉马开始
防攻击防扫描
攻击: 防Flood攻击 攻击 • 通过限制源主机或目的主机的连接数来起到防止 通过限制源主机或目的主机的连接数来起到防止Flood攻 攻 击的目的; 击的目的; • 在安全防护表数启用,并通过安全策略来引用,不是全局使 在安全防护表数启用,并通过安全策略来引用, 能的; 能的; • 根数网络情况,配置合理的参数值; 根数网络情况,配置合理的参数值; • 可以认为是防攻击、防扫描的补充。 可以认为是防攻击、防扫描的补充。
USG设备可以担当所有的 设备可以担当所有的DHCP 角色 角色: 设备可以担当所有的 • DHCP Server • DHCP Relay • DHCP Client
安全变得简单,从天清汉马开始
动态地址分配(DHCP) 动态地址分配
配置DHCP服务器的步骤 服务器的步骤: 配置 服务器的步骤 1. 2. 3. 4. 5. 在相应接口开启DHCP Server服务; 在相应接口开启 服务; 服务 创建DHCP服务器; 服务器; 创建 服务器 如果有必要,创建DHCP地址的排除范围 地址的排除范围; 如果有必要,创建DHCP地址的排除范围; 如果有必要,创建IP-MAC绑定条目; 绑定条目; 如果有必要,创建 绑定条目 通过监视器可察看由USG分配的动态地址; 分配的动态地址; 通过监视器可察看由 分配的动态地址
安全变得简单,从天清汉马开始
安全域
安全变得简单,从天清汉马开始
路由配置
路由表查询
安全变得简单,从天清汉马开始
路由配置
创建静态路由
20090905_天清汉马USG系列_NAT配置指南_V3.0
天清汉马 USG 一体化安全网关
NAT 配置指南
(V 3.0)
北京启明星辰信息安全技术有限公司 Beijing Venustech Cybervision Co.,Ltd. 二零零九年九月
北京启明星辰信息安全技术有限公司 i
北京启明星辰信息安全技术有限公司
ii
天清汉马 USG-NAT 配置指南
1 2 3
4
5
目 录 版本信息..................................................................................................................................... 1 技术简介..................................................................................................................................... 1 常见组网方案与配置.................................................................................................................2 3.1 源 NAT 转换.............................................................................................................. 2 3.1.1 多对一...............................................
天清汉马USG防火墙(P系列)Web界面操作手册
Web 界面操作手册
手册版本 产品版本 资料状态
V1.0 V2.6.3.3 发行
版权声明
启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人 不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传 播、翻译成其他语言、将其部分或全部用于商业用途。
天清汉马 USG 防火墙(P 系列)
Web 界面操作手册
天清汉马 USG 防火墙(P 系列)
Web 界面操作手册
北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc.
二零一三年四月
天清汉马 USG 防火墙(P 系列)
Web 界面操作手册
天清汉马 USG 防火墙(P 系列)
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司 在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本 手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and Disclaimer
Copyright
Copyright Venus Info Tech Inc. All rights reserved. The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
长城资产天清汉马防火墙配置信息
一、基本信息
接口0的默认地址配置为192.168.1.250/24。
允许对该接口进行Telnet,PING,HTTPS操作。
系统默认的管理员用户为admin,密码为g。
用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。
系统默认的审计员用户为audit,密码为venus.audit。
用户可以使用这个账号对安全策略和日志系统进行审计。
系统默认的用户管理员用户为useradmin,密码为er。
用户可以使用这个账号用于配置系统管理员。
二、USG设备的主要配置选项。
1.系统管理:系统配置和管理。
包括状态、会话管理、管理员、维护和监控。
可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况
可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话
可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。
协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。
创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆
如果对设备各种库进行自动升级要为设备设置正确的DNS,
选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮
目前外置储存器只支持CF卡和USB
2.网络管理:网络相关配置。
包括接口、NAT、基本配置、DHCP、双机热备功能的配置。
可以更改端口的带宽设置、双工模式以及端口速率等设置功能。
对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。
同一个接口只能加入到一个网桥组。
已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。
GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。
GRE 是第三层的隧道协议,它利用一种协议的传输能力为另一种协议建立了点到点的隧道,被封装的报文将在隧道的两端进行封装和解封。
使用GRE 协议可以与对端路由器或防火墙设备建立虚拟的、点对点通信。
仅支持封装IP 类型的网络数据包。
长城资产天清汉马防火墙配置信息 (1)
网络管理配置 (4)
接口配置 (4)
基本配置 (5)
NAT配置 (6)
用户账户配置 (7)
防火墙配置 (9)
服务对象 (9)
安全策略 (10)
防攻击 (11)
日志与报告 (12)
日志配置 (12)
网络管理配置
接口配置
1首先打开浏览器在地址栏输入https://10.168.0.90登陆天清汉马防火墙界面如下:
2、点击网络管理,选择接口选项卡:
3、点击新建按钮,输入相应信息即可完成接口配置。
基本配置
1点击基本配置出现以下界面:
、
2、点击新建建立缺省网关地址
NAT配置
1、点击NAT配置出现以下界面:
2、点击新建配置NA T相关参数
用户账户配置
1、点击系统管理-管理员出现如下界面:
2、点击管理员权限选项卡出现如下界面
3、点击新建可以新建管理员权限组输入相应名称,选择权限,填写描述,点击提交即可完
成权限组的新建。
如下图:
4、点击管理员选项卡,选择新建按钮,填写相关用户信息选择相应的访问权限组。
点击提
交即可完成用户的新建。
防火墙配置
服务对象
1、点击对象管理-服务对象选项卡-点击自定义服务:
2.、点击新建按钮。
输入相应名称以及协议端口号点击提交即可
3、点击服务组选项卡,添加相应对象至服务组即可生成服务组策略。
安全策略
1、打开防火墙配置-安全策略选项卡
2、点击新建,填写相应源地址,目的地址,调用策略组。
点击提交即可完成安全策略配置。
防攻击
1、点击防火墙选项卡,选择防ARP攻击,并且开启相应选项即可完成ARP攻击防范功能
的配置。
2、点击入侵防御,选择防攻击选项卡。
即可配置防止相应攻击的选项。
日志与报告
日志配置
点击日志与报告,选择日志配置。
填写syslog服务器地址及相应信息即可。