1、北京金星星信息技術(shù)有限公司，天慶漢馬USG配置介紹，天慶漢馬USG綜合安全網(wǎng)關(guān)，配置管理概述，防火墻基本配置，虛擬專用網(wǎng)配置，反病毒和入侵防御配置日志功能，數(shù)據(jù)中心安裝和配置，概要，配置管理概述，USG設(shè)備管理模式通過控制臺端口配置；通過遠(yuǎn)程登錄進行命令行配置；通過SSH進行命令行配置；通過超文本傳輸協(xié)議或HTTPS協(xié)議從圖形用戶界面管理配置；安裝集中管理中心軟件，集中管理和配置USG設(shè)備；配置管理概述、管理員用戶和權(quán)限表由默認(rèn)管理員或自建管理員用戶管理和配置；管理員可以通過本地或Radius進行身份驗證；工廠默認(rèn)管理用戶admin，密碼venus.usg；管理員權(quán)限表指定了管理員可以執(zhí)行的操

2、作；您可以向管理員添加管理知識產(chǎn)權(quán)限制；配置管理概述，配置管理概述，新管理員用戶，配置管理概述，新管理員權(quán)限表，配置管理概述防火墻基本配置虛擬專用網(wǎng)配置反病毒和入侵防御配置日志功能數(shù)據(jù)中心安裝和配置，概述，美國政府工作模式，美國政府支持三種訪問模式：透明模式；路由模式；混合模式；這三種模式不需要顯式配置，USG會根據(jù)用戶配置自動生效。USG中的接口概念，包括以下接口級概念：物理接口；Vlan接口；透明的橋接接口；GRE接口；安全域。其他隱藏接口，包括環(huán)回接口、L2TP接口和tunssl接口、物理接口、Vlan接口、透明橋接口、GRE接口、安全域，實際上是一個接口組，可以將多個接口加入一個域，安

3、全域的配置對多個接口有效，便于配置。接口加入域后，不能單獨配置。安全域、路由配置、路由表查詢、路由配置、創(chuàng)建靜態(tài)路由、路由配置、創(chuàng)建策略路由、安全策略，安全策略是USG應(yīng)用的核心。我們通過配置安全策略：來實現(xiàn)數(shù)據(jù)流(接口、IP、服務(wù)、時間)的匹配，控制和管理流經(jīng)設(shè)備的數(shù)據(jù)流(允許、拒絕、IPSec加密、SSL加密)。反病毒和入侵防御系統(tǒng)需要通過安全策略使用網(wǎng)絡(luò)流實施流量分析，實施服務(wù)質(zhì)量劃分、安全策略，創(chuàng)建和編輯安全策略，以及實施安全策略。安全策略的高級選項：支持網(wǎng)絡(luò)訪問控制和流量控制。必須先啟用安全策略、啟用和匹配安全策略，它才會生效。安全策略按照配置優(yōu)先的原則進行匹配；對通過設(shè)備的數(shù)據(jù)包進

4、行處理，對進出設(shè)備本身的數(shù)據(jù)包沒有限制；您可以調(diào)整安全策略的順序，以便前面位置的策略優(yōu)先匹配。您可以創(chuàng)建新的安全策略，并將其插入指定的策略之前。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):最初用于將私有地址轉(zhuǎn)換為公有地址，以解決公有地址不足的問題；單向隔離，具有額外的安全性；利用目標(biāo)地址的映射，公共地址可以訪問配置有私有地址的服務(wù)器；它可用于服務(wù)器的負(fù)載平衡和地址復(fù)用。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，USG支持以下NAT:源NAT，可根據(jù)不同用途分為：動態(tài)NAT 3360源地址映射到一個地址池；所有源地址都映射到同一個目的地址；靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換：一對一雙向地址映射；目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換；網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，SNAT (s

5、nat)，它可以將內(nèi)部地址轉(zhuǎn)換為輸出接口的地址或地址池中的地址。網(wǎng)絡(luò)地址轉(zhuǎn)換，目的地址轉(zhuǎn)換，可以將目的地址轉(zhuǎn)換為網(wǎng)絡(luò)地址轉(zhuǎn)換池中的地址，還可以實現(xiàn)服務(wù)器負(fù)載分擔(dān)和流量分流。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，NAT地址池，注意起始地址不能大于結(jié)束地址，在地址不足的情況下，可以配置地址輪詢。，動態(tài)地址分配(DHCP)，USG設(shè)備可以扮演所有的DHCP角色。配置DHCP服務(wù)器的步驟：在相應(yīng)的接口上啟動DHCP服務(wù)器服務(wù)。創(chuàng)建一個DHCP服務(wù)器；如有必要，為DHCP地址創(chuàng)建一個排除范圍；如有必要，創(chuàng)建一個IP-MAC綁定條目；可以通過監(jiān)視器查看USG分配的動態(tài)地址。動態(tài)地址分配(DHCP)，高可用性(HA)，高

6、可用性(HA)，它可以防止由于網(wǎng)絡(luò)中的設(shè)備故障或單個防火墻的網(wǎng)絡(luò)故障而導(dǎo)致的網(wǎng)絡(luò)中斷，并確保網(wǎng)絡(luò)服務(wù)的連續(xù)性和強度。天慶漢馬USG上的高可用性HA:目前支持主備模式，下一版本將支持主備模式；支持兩個防火墻相互備份；兩臺設(shè)備的硬件型號要求一致；高可用性接口是專用的物理端口，不處理業(yè)務(wù)；支持透明模式、路由模式和混合模式；高可用性(HA)，將USG配置為在活動和待機模式下工作：高可用性(HA)，檢查HA :的當(dāng)前工作狀態(tài)和同步，防止攻擊和掃描，常見網(wǎng)絡(luò)攻擊： ping-of-dead顛簸2陸基撕裂winnuke smurf syn-flag，防止攻擊和掃描，網(wǎng)絡(luò)掃描通常分為以下幾種：垂直掃描：對同一

7、臺主機的多個端口進行水平掃描：對多臺主機的同一個端口進行Ping掃描：對于某個地址范圍，查找USG設(shè)備可以有效防止上述掃描，從而防止外部惡意攻擊，保護設(shè)備和內(nèi)部網(wǎng)。當(dāng)檢測到掃描檢測時，向用戶給出報警提示。反攻擊、反掃描，根據(jù)網(wǎng)絡(luò)情況打開相應(yīng)的反攻擊和反掃描功能，并設(shè)置合理的參數(shù)。反攻擊、反掃描、反泛洪攻擊：通過限制源主機或目標(biāo)主機之間的連接數(shù)來防止泛洪攻擊；在安全保護表中啟用，并被安全策略引用，但未全局啟用；根據(jù)網(wǎng)絡(luò)情況，配置合理的參數(shù)值；它可以被認(rèn)為是反攻擊和反掃描的補充。防攻擊和防掃描、配置管理概述防火墻基本配置虛擬專用網(wǎng)配置反病毒和入侵防御系統(tǒng)配置日志功能數(shù)據(jù)中心安裝和配置、概要、虛擬專

8、用網(wǎng)應(yīng)用場景、IPSec配置介紹、IPSec可通過命令行或網(wǎng)絡(luò)接口配置、基本步驟：配置第1階段(IKE)策略配置第2階段(IPSec)策略啟用IPSec數(shù)據(jù)流觸發(fā)IPSec安全策略、檢查IPSec操作、IPSec配置簡介、場景：啟用IPSec安全策略、制作主機集群的數(shù)據(jù)IPSec配置簡介：1 .在USG A上創(chuàng)建地址對象USR和服務(wù)器，分別代表地址群集用戶和服務(wù)器。IPSec配置介紹，2。配置第一階段(IKE)策略，IPSec配置介紹，如有必要，在第一階段進行高級配置，并設(shè)置加密、認(rèn)證算法、DH組、密鑰周期、DPD檢測頻率等參數(shù)；IPSec配置介紹，3。創(chuàng)建第2階段(IPSec

9、)策略，IPSec配置介紹，如有必要，配置第2階段的高級選項，可以更改加密算法、PFS組、工作模式以及ESP和AH封裝的密鑰周期；關(guān)鍵時期可以根據(jù)時間或流量或兩者來計算。IPSec配置介紹，4。配置安全策略并在安全策略中啟用IPSec加密。IPSec配置簡介，5。參考步驟1-4，為了在USG B上進行類似的配置，有必要確保雙方的密鑰、加密算法和哈希算法等參數(shù)一致。6.從企業(yè)分支機構(gòu)的主機訪問總部的服務(wù)器將觸發(fā)IPSec協(xié)商；7.成功協(xié)商后，從分支主機到服務(wù)器的流量被加密；你可以從網(wǎng)上查看交通信息。SSL虛擬專用網(wǎng)配置，1。在USG上啟用SSL虛擬專用網(wǎng)，默認(rèn)情況下使用10443端口，2。在相應(yīng)

10、的接口上打開SSL虛擬專用網(wǎng)接入：并配置SSL虛擬專用網(wǎng)配置，3。配置相應(yīng)的安全策略，當(dāng)然，配置用戶和用戶組：SSL VPN配置，4。通過HTTPS協(xié)議、SSL虛擬專用網(wǎng)絡(luò)配置等從網(wǎng)絡(luò)登錄：，SSL虛擬專用網(wǎng)配置；6.首先在隧道模式下下載客戶端，安裝后單擊連接。成功撥號頁面如下圖所示：SSL虛擬專用網(wǎng)配置；7.在管理界面檢查SSL虛擬專用網(wǎng)用戶狀態(tài)，并顯示以下：分別為網(wǎng)絡(luò)模式和隧道模式下的SSL虛擬專用網(wǎng)配置；8.此時以web模式或隧道模式訪問內(nèi)部資源是采用的加密方法。目前，web模式只支持http瀏覽，而隧道模式支持一般的網(wǎng)絡(luò)應(yīng)用。L2TP虛擬專用網(wǎng)配置：1。首先，創(chuàng)建L2TP用戶和用戶組：

11、L2TP虛擬專用網(wǎng)配置；2.在USG上配置L2TP和L2TP虛擬專用網(wǎng)配置；3.在相關(guān)接口上啟用L2TP撥入功能和L2TP虛擬專用網(wǎng)配置；4.根據(jù)實際應(yīng)用配置適當(dāng)?shù)陌踩呗裕汉蚅2TP虛擬專用網(wǎng)配置。5.用戶可以在此時撥入。撥入后，您可以在美國政府管理頁面上查看現(xiàn)有的L2TP用戶：配置管理概述防火墻基本配置虛擬專用網(wǎng)配置反病毒和入侵防御配置日志功能數(shù)據(jù)中心安裝和配置，概要，安全保護表，安全保護表是一個模板。防病毒反病毒、入侵檢測入侵防御系統(tǒng)、即時通訊P2P控制、洪水攻擊防御、文件跟蹤、網(wǎng)頁過濾和郵件過濾都在安全保護表中。必須在安全策略中引用安全保護表，它才能生效。安全表、安全表、反病毒反病毒配

12、置、反病毒反病毒配置、入侵防御入侵防御系統(tǒng)配置、入侵防御入侵防御系統(tǒng)配置、預(yù)定義入侵防御入侵防御系統(tǒng)特性、入侵防御入侵防御入侵防御系統(tǒng)配置、自定義入侵防御入侵防御入侵防御系統(tǒng)特性、即時消息P2P配置、即時消息P2P統(tǒng)計、即時消息P2P配置啟用時，屏蔽列表和未屏蔽列表是互斥的。郵件過濾配置，USG郵件過濾是一種基于SMTP協(xié)議的過濾，它支持基于SMTP命令的：過濾和基于郵件頭的過濾。基于SMTP發(fā)件人的過濾配置完成后，將在安全保護表中啟用郵件過濾，并在安全策略中應(yīng)用安全保護。郵件過濾配置，發(fā)件人篩選和主題篩選，配置管理概述防火墻基本配置虛擬專用網(wǎng)配置反病毒和入侵防御配置日志功能數(shù)據(jù)中心安裝和配置，概要，日志功能，USG日志分為：事件日志病毒日志入侵防御日志流量日志：支持NetFlow V9。對于前三個日志，您可以將其配置為記錄在內(nèi)存、標(biāo)準(zhǔn)Syslog服務(wù)器或數(shù)據(jù)中心中；流量日志可以輸出到第三方流量收集器或數(shù)據(jù)中心。日志功能，這里大多數(shù)事件日志都是用：配置