天清漢馬USG防火墻(T系列)快速安裝指南設計-v3
-
資源ID:87403421
資源大小:2.42MB
全文頁數(shù):26頁
- 資源格式: DOC
下載積分:10積分
快捷下載
會員登錄下載
微信登錄下載
![二維碼]()
微信掃一掃登錄
|
友情提示
2�����、PDF文件下載后,可能會被瀏覽器默認打開��,此種情況可以點擊瀏覽器菜單��,保存網頁到桌面���,就可以正常下載了�。
3、本站不支持迅雷下載��,請使用電腦自帶的IE瀏覽器�����,或者360瀏覽器����、谷歌瀏覽器下載即可��。
4�、本站資源下載后的文檔和圖紙-無水印,預覽文檔經過壓縮�����,下載后原文更清晰��。
5����、試題試卷類文檔��,如果標題沒有明確說明有答案則都視為沒有答案���,請知曉�。
|
天清漢馬USG防火墻(T系列)快速安裝指南設計-v3
word天清漢馬USG防火墻T系列快速安裝指南啟明星辰信息安全技術Beijing Venus Information Security Inc.二零一六年11月天清漢馬USG防火墻快速安裝指南手冊版本產品版本資料狀態(tài)發(fā)行聲明啟明星辰公司所有��,并保存對本手冊與本聲明的最終解釋權和修改權�����。本手冊的歸啟明星辰公司所有�����。未得到啟明星辰公司書面許可�����,任何人不得以任何方式或形式對本手冊的任何局部進展復制����、摘錄、備份����、修改、傳播、翻譯成其他語言����、將其局部或全部用于商業(yè)用途。免責聲明本手冊依據現(xiàn)有信息制作����,其容如有更改,恕不另行通知�。啟明星辰公司在編寫該手冊的時候已盡最大努力保證其容準確可靠,但啟明星辰公司不對本手冊中的遺漏�����、不準確或錯誤導致的損失和損害承當責任���。Users Manual Copyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a mercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS ISbasis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本發(fā)布聲明啟明星辰公司的天清漢馬USG防火墻產品正常運行時����,包含2款GPL協(xié)議的軟件linux���、zebra�����。啟明星辰公司愿意將GPL軟件提供應已經購置產品的且愿意遵守GPL協(xié)議的客戶���,請需要GPL軟件的客戶提供1已經購置的產品的序列號�����,2有效送達GPL軟件地址和聯(lián)系人,包括但不限于�、公司��、電子����、地址���、 等���。目錄快速安裝指南2Users Manual Copyright and Disclaimer2Copyright2Disclaimer2第1章 硬件安裝51.1 安裝前準備工作51.1.1 安裝環(huán)境要求51.1.2 安裝工具準備51.2 設備面板標識說明51.3 設備安裝61.3.1 設備接口卡的安裝61.3.2 將設備安裝到機柜6第2章 快速配置72.1 設備默認配置72.1.1 管理口的默認配置72.1.2 默認管理員用戶72.2 Web快速配置72.2.1 登錄設備72.2.2 配置VLAN82.2.3 配置IP地址92.2.4 透明橋模式案例1102.2.5 透明橋模式案例2122.2.6 路由綜合案例142.2.7 攻擊防護案例202.2.8 應用控制案例23第3章 軟件升級273.1 通過Web升級27第1章 硬件安裝在這局部里主要介紹的是硬件的安裝����、設置以與必要的配置操作。1.1 安裝前準備工作1.1.1 安裝環(huán)境要求工作溫度 040存儲溫度 -4070相對濕度 095%非凝結電磁兼容性滿足GB9254-1998 A級以上與GB17618-1998電磁兼容要求電源適應性220V 拉偏電: 198V242V,頻率:4951Hz1.1.2 安裝工具準備請安裝前準備好以下安裝工具:終端:配置終端�����,可以是普通PC機�、筆記本電腦工具:十字螺絲刀和防靜電護腕電纜:電源電纜、串口電纜�����、網線1.2 設備面板標識說明:超級終端的RJ45連接端口:2×USB連接接口:管理接口:10/100/1000M自適應以太網電接口 業(yè)務口:GE SFP光接口 業(yè)務口:機箱后部電源插座和電源開關:接口卡1.3 設備安裝1.3.1 設備接口卡的安裝 設備接口卡安裝步驟如下:1) 設備斷電�;2) 取下接口槽位上的擋板�,插入接口卡��;3) 安裝完畢�。設備的接口卡不支持熱插拔����,設備必須在斷電情況下才能進展接口卡的安裝和卸載�����,否如此會造成設備的損壞���!1.3.2 將設備安裝到機柜 1)設備斷電 2)將設備放置在機柜托盤上 3)將設備固定在機柜上 4)接通電源 5)管理口接上網線第2章 快速配置本設備可通過Web方式來進展配置。2.1 設備默認配置出廠的防火墻設備自帶默認的配置�。這些默認配置可以在出廠的情況下���,允許用戶通過Web進展配置��。2.1.1 管理口的默認配置標記有“MGT的接口為設備的管理口;如果沒有“MGT接口����,如此主板上從左側數(shù)第一個以太網接口為設備的管理口。管理口的默認IP地址為192.168.1.250/24���。允許對該接口的Ping��,S操作���。2.1.2 默認管理員用戶系統(tǒng)默認的管理員用戶為admin,密碼為fw.admin�。任何地址都可以使用該用戶登錄設備。并且可以使用設備的所有功能���。2.2 Web快速配置2.2.1 登錄設備配置本機IP地址為192.168.1.2/24, 通過網線將本機和設備管理口連接�����。打開瀏覽器,輸入s:/192.168.1.250, 連接設備�����。輸入用戶名缺省用戶名:admin、密碼缺省密碼:fw.admin和驗證碼隨機生成登錄���。2.2.2 配置VLANu 案例描述FW設備使用VLAN提供轉發(fā)業(yè)務�,在配置其他業(yè)務前����,需要根據網絡環(huán)境創(chuàng)建VLAN并在其中參加物理接口成員。u 配置步驟: 進入網絡 >接口>VLAN���,點擊新建����, 如如下圖:1、 配置參數(shù)名稱:vlan的名稱��,這里配置為vlan1���。Tag:vlan的tag號�����,這里配置為1�����。管理狀態(tài):vlan接口的狀態(tài)��,設置為UP。MTU :vlan接口的MTU值���,保持默認的1500即可。接口選擇:在可選的接口中點擊參加到Untagged或者Tagged接口中��,這里將ge0/1以Untagged方式參加到vlan 1中���,將ge0/2以Tagged方式參加到vlan 1中。2�����、 點擊提交完成創(chuàng)建VLAN��。2.2.3 配置IP地址防火墻設備在做網絡層以上業(yè)務處理時���,需要在VLAN上配置IP地址。u 配置步驟: 網絡>接口>VLAN�,點擊列表中的需要配置的vlan接口,如如下圖所示以vlan10為例:IP地址/掩碼:vlan 接口的IP地址/掩碼�,這里設置為1.1.1.1/24。這里不選擇浮動IP與單元ID�����。點擊“添加按鈕����。“更新添加VLAN IP成功�,如如下圖所示:2.2.4 透明橋模式案例1u 案例描述:防火墻設備透明部署,通過FW設備的報文不帶vlan tag����,網用戶需要通過防火墻訪問外網���。案例拓撲u 配置步驟:1、 進入網絡>接口>VLAN��,新建vlan10�����,tag為10��,將接口ge0/0和ge0/1 UnTagged方式參加到vlan10中����,點擊提交使配置生效。2�����、 進入對象>地址對象>地址節(jié)點����,創(chuàng)建IPV4類型的地址對象網用戶,并將網網段參加到地址對象中。3、 進入策略>防火墻>策略���,點擊新建�,地址類型選擇IPv4���,入接口配置為vlan10���,出接口也配置為vlan10�,源地址配置為網用戶,目的地址配置為any�,服務為any,時間為always���,動作為permit���,點擊提交使配置生效。4��、 進入策略>防火墻>策略�����,查看策略,勾選策略啟用開關�����,使得配置啟用�。5、 進入策略>防火墻>策略配置�,查看策略匹配開關開啟,默認動作為deny��。2.2.5 透明橋模式案例2u 案例描述:防火墻透明部署在trunk鏈路下���,通過FW設備的報文帶vlan tag10和vlan tag20���,F(xiàn)W設備需要透傳帶vlan tag的報文,并且網用戶需要通過防火墻訪問外網��。案例拓撲u 配置步驟:1����、 進入網絡>接口>VLAN,新建vlan10�����,tag為10,將接口ge0/0和ge0/1 UnTagged參加到vlan10中�����,點擊提交使配置生效�。2、 配置設備管理接口允許SSH或telnet方式訪問設備��,并使用SSH或telnet方式登陸到設備管理終端����,在配置視圖下,輸入如下命令����。該命令會使得該vlan的接口下允許所有的vlan tag 或untag透傳�����,故配置后不再受步驟1中vlan接口配置的UnTagged或者tagged方式的約束���。FW(config)# vlan 10FW(config-vlan)# vlan-transparent enable提示:此配置命令適用于FW需要透傳大量vlan時使用��,假如橋下只需要允許單個VLAN帶tag通過�,在配置vlan時��,將接口tagged方式參加到該vlan中即可。3�����、 進入對象>地址對象>地址節(jié)點,創(chuàng)建IPV4類型的地址對象網用戶,并將網網段參加到地址對象中���。4����、 進入策略>防火墻>策略,點擊新建,地址類型選擇IPv4���,入接口配置為vlan10��,出接口也配置為vlan10�����,源地址配置為網用戶,目的地址配置為any�,服務為any����,時間為always���,動作為permit,點擊提交使配置生效�。5����、 進入策略>防火墻>策略,查看策略��,勾選策略啟用開關�����,使得配置啟用。6��、 進入策略>防火墻>策略配置,查看策略匹配開關開啟,默認動作為deny�����。2.2.6 路由綜合案例u 案例描述:企業(yè)需要通過FW設備進展互聯(lián)網訪問�,網地址網段為192.168.1.0/24��,服務器網段為192.168.2.0/24�����。企業(yè)有兩條條出口鏈路分別屬于電信、網通,電信的公網地址為13.1.1.1���,網關為13.1.1.2;網通的公網地址為14.1.1.1�,網關為14.1.1.2。用戶具體需求如下:1����、 網地址訪問外網需要進展源NAT轉換��。2�����、 外網地址訪問網服務器需要進展目的NAT轉換�����。3、 依據組網劃分不同的區(qū)域,網屬于trust區(qū)域����,外網屬于untrust區(qū)域����,網服務器屬于DMZ區(qū)域�。配置策略允許trust區(qū)域訪問untrust區(qū)域���,允許trust和untrust區(qū)域訪問DMZ區(qū)域的服務,其他訪問流量默認拒絕���。4��、 假如訪問的目的地址為電信IP地址,選擇電信的鏈路作為出鏈路�����,當電信鏈路故障以后�����,選擇網通的鏈路作為出鏈路�。5���、 假如訪問的目的地址為網通IP地址�,選擇網通的鏈路作為出鏈路����,當網通鏈路故障以后��,選擇電信的鏈路作為出鏈路�����。6����、 假如訪問的目的地址不屬于電信��、網通�,可以輪詢選擇出鏈路,但是網訪問服務器的流量都不受策略路由控制。案例拓撲u 案例配置分析:1、 設備配置源NAT實現(xiàn)網訪問外網的NAT轉換。2��、 設備配置目的NAT實現(xiàn)外網到網服務器的訪問���。3、 配置添加兩條默認路由使得網可以通過路由成功訪問到外網。4���、 配置接口參加到不同的安全域�,通過配置防火墻策略實現(xiàn)區(qū)域之間的互訪控制。5、 配置策略路由實現(xiàn)基于ISP的選路。6���、 地址對象配置添加排除IP�,使得網訪問服務器不受策略控制。u 配置步驟:1、 照上述拓撲進展組網����,并作根本網絡配置���,包括VLAN劃分,以與IP地址配置����。2、 進入對象>地址對象>地址節(jié)點�����,創(chuàng)建電信地址對象��,ISP地址庫選擇ISP_CT.dat中國電信,配置提交���。3�、 按照上述方法�����,分別創(chuàng)建如下地址對象:電信:包含電信ISP地址庫網通:包含網通ISP地址庫網地址:外網地址:排除地址中��。DNAT電信:成員為網服務器對外映射的公網地址:13.1.1.10�����。4�����、 進入網絡>NAT>NAT規(guī)如此>源地址轉換����,點擊新建���,轉換類型為IPV4 to IPV4�,源地址選擇網地址,目標地址為any���,服務為any�����,出接口選擇VLAN3��,轉換后地址為出接口地址,點擊提交。5、 按照上述方法����,創(chuàng)建出接口為VLAN4的源NAT策略���。6��、 進入網絡>NAT>NAT地址池,點擊新建,名稱為dnat-pool�����,地址池配置為網服務器地址192.168.2.10�,點擊提交使配置生效。7、 進入網絡>NAT>NAT規(guī)如此>目的地址轉換,點擊新建,源地址選擇any����,目標地址為DNAT電信����,服務為any��,入接口選擇VLAN3���,轉換后地址引用地址池dnat-pool�,點擊提交。8�����、 進入網絡>路由>靜態(tài)路由:IPv4:配置添加兩條默認路由�,點擊提交使得路由配置生效����。9��、 進入網絡>安全域���,配置添加trust安全域��,將網接口vlan1參加安全域中。10、 按照上述方法����,創(chuàng)建untrust和DMZ安全域����,untrust安全域參加vlan3和vlan4接口���,DMZ安全域參加vlan2接口��。11��、 進入策略>防火墻>策略,點擊新建,地址類型選擇IPV4����,入接口選擇安全域trust�,出接口選擇安全域untrust,源地址選擇網地址�,目的地址選擇any,服務選擇any�����,應用選擇any���,時間選擇always�,動作選擇permit���,點擊提交使得配置生效��。12、 按照上述方法,創(chuàng)建允許trust和untrust區(qū)域到DMZ區(qū)域的服務訪問��,勾選啟用使得策略生效。13、 進入策略>防火墻>策略配置,查看策略匹配開關是否開啟,默認動作為deny。14���、 進入對象>健康檢查,創(chuàng)建icmp健康檢查模板。提示:源IP和覆蓋IP假如不填寫����,健康檢查會使用策略路由的下一跳作為目的IP進展檢查��,源IP會自動選擇下一跳對應出接口的IP���。15、 進入網絡>路由>策略路由,分別創(chuàng)建電信策略路由���、網通策略路由和默認策略路由����。u 電信策略路由源地址選擇網地址�����,目標地址選擇電信地址對象��,網關添加電信鏈路和網通鏈路���,電信鏈路優(yōu)先級高于網通鏈路,并引用icmp健康檢查模板�。u 網通策略路由源地址選擇網地址,目標地址選擇網通地址對象����,網關添加電信鏈路和網通鏈路,網通鏈路優(yōu)先級高于電信鏈路�,并引用icmp健康檢查模板。u 默認策略路由源地址選擇網地址��,目標地址選擇外網地址對象,由于外網地址添加了網網段192.168.1.0/24和192.168.2.0/24的排除地址�,故網訪問服務器的流量不會匹配策略路由。網關添加電信鏈路和網通鏈路�,網通鏈路優(yōu)先級和電信鏈路優(yōu)先級一樣,使其輪詢轉發(fā)���,并引用icmp健康檢查模板���。16、 配置完成后網絡>路由>策略路由下查看策略����,依據命中數(shù)可以查看到匹配策略路由調度的情況。2.2.7 攻擊防護案例u 案例描述:企業(yè)要求對部網絡進展防護����,抵御外部網絡的攻擊,具體需求如下:1��、 假如外網的每源IP向網發(fā)出的TCP連接請求速率超過100�����,設備主動驗證連接請求方是否為攻擊源��,假如是攻擊源,設備將連接請求報文丟棄��。2����、 假如外網某一源地址1秒向網服務器超過1000個不同端口發(fā)送了TCP連接請求報文或UDP連接請求報文�,如此設備在接下來的20秒,此源地址的所有TCP請求報文或UDP請求報文被阻斷�����。3����、 對常見的Dos攻擊類型進展主動防御。4�����、 對部服務器192.168.11.11配置ARP防護�����,防止遭受ARP欺騙攻擊����,引起服務器訪問失敗�。案例拓撲u 配置步驟:1����、 照上述拓撲進展組網,并作根本網絡配置�����,包括VLAN劃分���,以與IP地址配置�,配置路由��、防火墻等策略等保證網絡可正常通信����。2、 進入對象->地址對象->地址節(jié)點���,創(chuàng)建IPv4類型的地址對象“網地址�,將網網段和參加到地址對象中。3�、 進入策略>安全防護>攻擊防護>安全防護表,點擊新建�����,勾選啟用Anti-Flood Attack�����,TCP flood每主機報文速率限制源IP配置為100/S���,動作選擇syn cookie;勾選啟用防掃描��,啟用TCP協(xié)議掃描和UDP協(xié)議掃描�,掃描識別閾值為1000,主機抑制時長為20s����,配置提交。4�、 進入策略>安全防護>攻擊防護:策略,地址類型選擇IPV4�����,入接口選擇vlan20,源地址選擇any�����,目的地址選擇網地址��,服務選擇any���,時間表選擇always��,安全防護選擇配置的攻擊防護表scan-flood��。5��、 進入策略>安全防護>Dos防護�, Dos防護下勾選需要防護的攻擊類型���,點擊確定使得配置生效����。6���、 進入策略>安全防護>ARP攻擊防護:ARP表��,找到設備學習到的服務器的ARP表���,點擊按鈕�,將IP和MAC的關系進展綁定�。假如服務器的MAC也可以在IP-MAC綁定配置界面手動添加綁定關系7、 進入策略>安全防護>ARP攻擊防護:主動保護列表���,接口選擇vlan10��,啟用接口保護����,將服務器的IP和MAC填入保護列表中��,點擊提交�。8��、 進入策略>安全防護>ARP攻擊防護:配置�����,勾選啟用防ARP欺騙,并啟用主動保護��。2.2.8 應用控制案例u 案例描述:某企業(yè)出口帶寬為10Mbps����,要求對應用與用戶上網行為進展精細控制,具體要求如下:1�、 為了使公司出口帶寬合理利用,給各個部門分配一定的帶寬:研發(fā)-2M�����,測試-5M�����,行政-3M��,同時�,根據業(yè)務類型對流量進展限制和保證,在研發(fā)部�,電子應用保證1 M,P2P下載應用限制為0.5 M���。2��、 上班時間拒絕網用戶登錄QQ應用����。3、 假如用戶發(fā)帖關鍵字包含“暴力�����、反動如此阻斷此次發(fā)帖行為��。案例拓撲u 配置步驟:1���、 照上述拓撲進展組網�,并作根本網絡配置�,包括VLAN劃分,以與IP地址配置���,配置路由�、防火墻等策略保證網絡可正常通信����。2���、 進入對象>地址對象>地址節(jié)點�,配置創(chuàng)建研發(fā)部地址對象,地址配置為����,配置提交。3��、 按照上述方法配置添加如下地址對象:研發(fā)部:測試部:行政部:網用戶:4�����、 進入策略>流量控制>線路設置���,點擊新建���,接口配置為vlan20,配置帶寬入和出都為10000Kbps5��、 進入策略>流量控制>流控策略����,在線路策略公司下,點擊新建����,源地址配置為研發(fā)部���,目的地址為any,應用為any�,服務為any,時間為always����,帶寬配置為2000Kbps。6�、 按照上述方法,分別添加測試部���、行政部的流控策略�,測試部帶寬配置為5000Kbps����,行政部帶寬配置為3000Kbps。7�����、 進入策略>流量控制>流控策略�����,在流控策略研發(fā)部下�,點擊新建,源地址配置為研發(fā)部�����,目的地址為any��,應用選擇電子��,帶寬保證配置為1000Kbps���。8�����、 按照上述方法��,創(chuàng)建P2P下載策略����,對P2P下載帶寬限制到500Kbps9��、 進入對象>時間對象>周期時間,點擊新建�,添加循環(huán)日期,點擊提交新建一條工作時間對象��。10�����、 進入策略>應用控制>應用控制策略�,地址對象配置為網用戶,應用選擇QQ���,應用行為配置為登錄���,其他參數(shù)配置為any,時間配置為工作時間�����,處理動作為拒絕����,點擊提交。11、 進入策略>應用控制>關鍵字��,配置添加暴力���、反動到關鍵字列表中。12���、 進入策略>應用控制>應用控制策略�,地址對象為網用戶�����,應用選擇社交網絡���,關鍵字選擇前面配置的關鍵字�����,處理動作配置為拒絕�,勾選啟用�,提交配置。第3章 軟件升級3.1 通過Web升級當設備已經在運行時���,可通過Web頁面來升級軟件版本�����。u 配置步驟:1進入系統(tǒng)- >版本管理->軟件版本�����,2點擊“選擇���,3瀏覽當?shù)匚募⑦x中軟件版本文件�,4 點擊“升級���。5重啟設備 進入系統(tǒng)- >配置->設備重啟點擊“提交重啟設備��,新版本在啟動后加載���。26 / 26
個人主頁