天清汉马USG系列配置简介

安全变得简单，从天清汉马开始北京启明星辰信息技术有限公司 天清汉马USG配置介绍天清汉马USG一体化安全网关 安全变得简单，从天清汉马开始 配 置 管 理 概 述 防 火 墙 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 数 据 中 心 安 装 与 配 置 提 纲 安全变得简单，从天清汉马开始 配 置 管 理 概 述USG设 备 的 管 理 方 式通过Console口配置；通过Telnet 进行命令行的配置；通过SSH进行命令行的配置；通过HTTP 或HTTPS协议，从GUI界面进行配置管理；安装集中管理中心软件，集中管理、配置USG设备； 安全变得简单，从天清汉马开始 配 置 管 理 概 述管 理 员 用 户 与 权 限 表通过默认管理员或自建管理员用户来进行管理配置；管理员可以通过本地或Radius进行认证；出厂默认管理用户admin，密码venus.usg；管理员权限表规定了管理员可以执行的操作；可以给管理员添加管理IP限制； 安全变得简单，从天清汉马开始 配 置 管 理 概 述 安全变得简单，从天清汉马开始 配 置 管 理 概 述新 建 管 理 员 用 户 安全变得简单，从天清汉马开始 配 置 管 理 概 述新 建 管 理 员 权 限 表 安全变得简单，从天清汉马开始 配 置 管 理 概 述 防 火 墙 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 数 据 中 心 安 装 与 配 置 提 纲 安全变得简单，从天清汉马开始 USG的 工 作 模 式USG支持三种接入模式：透明模式；路由模式；混合模式；这三种模式无需显式配置，USG根据用户配置自动生效。 安全变得简单，从天清汉马开始 USG中 的 接 口 概 念USG中包含以下接口级的概念:物理接口； Vlan接口；透明桥接口； GRE接口；安全域；其他隐藏接口，包括loopback接口、L2TP接口和tunssl接口 安全变得简单，从天清汉马开始 物 理 接 口 安全变得简单，从天清汉马开始 Vlan接 口 安全变得简单，从天清汉马开始 透 明 桥 接 口 安全变得简单，从天清汉马开始 GRE接 口 安全变得简单，从天清汉马开始 安 全 域安 全 域 实 际 上 就 是 接 口 组 ， 可 以 在 一 个 域 中 加 入 多 个 接 口 ，对 安 全 域 的 配 置 对 于 多 个 接 口 都 是 生 效 的 ， 方 便 配 置 。接 口 加 入 域 后 ， 不 能 单 独 对 该 接 口 进 行 配 置 。 安全变得简单，从天清汉马开始 安 全 域 安全变得简单，从天清汉马开始 路 由 配 置路由表查询 安全变得简单，从天清汉马开始 路 由 配 置创建静态路由 安全变得简单，从天清汉马开始 路 由 配 置创建策略路由 安全变得简单，从天清汉马开始 安 全 策 略安全策略是USG应用的核心，我们通过配置安全策略:实现对数据流的匹配(接口、IP、服务、时间)控制和管理流经设备的数据流(Permit、Deny、IPSec加密、SSL加密) AV和IPS需要经由安全策略来实施使用NetFlow进行流量分析施行QoS 服务质量划分 安全变得简单，从天清汉马开始 安 全 策 略创建和编辑安全策略 安全变得简单，从天清汉马开始 安 全 策 路安 全 策 略 的 高 级 选 项 : 启 用 web接 入 控 制 和 流 量 控 制 安全变得简单，从天清汉马开始 安 全 策 略安全策略的启用与匹配安全策略配置后必须启用才会生效；安全策略按先配置优先的原则进行匹配；对通过设备的数据包进行处理，对于到设备本身的数据包和设备本身发出的数据包不进行限制；可以调整安全策略的顺序，以使位置在前的策略优先匹配；可以创建一条新的安全策略，并插入到指定的策略之前； 安全变得简单，从天清汉马开始 网 络 地 址 转 换 (NAT)网络地址转换(NAT):最初用于私有地址向公有地址的转换，以解决公有IP地址短缺的问题；单向隔离，具有额外的安全性；利用目标地址的映射，使公有地址可访问配置了私有地址的服务器；可用于服务器的负载均衡和地址复用； 安全变得简单，从天清汉马开始 网 络 地 址 转 换 (NAT)USG支持以下NAT:源NAT，按照使用不同可划分为:动态NAT: 源地址映射到一个地址池(NAT Pool)； PAT: 所有源地址映射到同一目的地址；静态NAT：一对一双向地址映射；目的NAT； 安全变得简单，从天清汉马开始 网 络 地 址 转 换 (NAT)源地址转换(SNAT)，可以将内部地址转换成出接口地址或者地址池中的地址。 安全变得简单，从天清汉马开始 网 络 地 址 转 换 (NAT)目的地址转换(DNAT)，可以将目标地址转换成NAT Pool中的地址，亦可实现服务器负载分担与业务分流。 安全变得简单，从天清汉马开始 网 络 地 址 转 换 (NAT)NAT地址池(Pool)，注意起始地址不能大于结束地址，在地址不是很充分的情况下，可以配置地址轮询。 安全变得简单，从天清汉马开始 动 态 地 址 分 配 (DHCP)USG设备可以担当所有的DHCP 角色: DHCP Server DHCP Relay DHCP Client 安全变得简单，从天清汉马开始 动 态 地 址 分 配 (DHCP)配置DHCP服务器的步骤:1.在相应接口开启DHCP Server服务；2.创建DHCP服务器；3.如果有必要，创建DHCP地址的排除范围；4.如果有必要，创建IP-MAC绑定条目；5.通过监视器可察看由USG分配的动态地址； 安全变得简单，从天清汉马开始 动 态 地 址 分 配 (DHCP) 安全变得简单，从天清汉马开始 高 可 用 性 (HA)高可用性 (HA, High Availability)，可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度。 安全变得简单，从天清汉马开始 高 可 用 性 (HA)天清汗马USG上的HA:1.目前支持主备模式，下一版本将支持主主模式；2.支持两台防火墙互为备份；3.两台设备的硬件型号要求一致；4. HA接口为专用物理口，不处理业务；5.支持透明模式、路由模式和混合模式； 安全变得简单，从天清汉马开始 高 可 用 性 (HA)配置USG工作于主备模式: 安全变得简单，从天清汉马开始 高 可 用 性 (HA)察看当前HA的工作状态与同步情况: 安全变得简单，从天清汉马开始 防 攻 击 防 扫 描常 见 的 网 络 攻 击 : Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag 安全变得简单，从天清汉马开始 防 攻 击 防 扫 描网络扫描通常分为以下几种:垂直扫描：针对相同主机的多个端口水平扫描：针对多个主机的相同端口 Ping扫描：针对某地址范围，通过Ping方式发现存活主机扫描通常是网络攻击的前兆；USG设备可以有效防范以上几类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检测到扫描探测时，向用户进行报警提示。 安全变得简单，从天清汉马开始 防 攻 击 防 扫 描根据网络情况开启相应的防攻击和防扫描功能，并设定合理的参数。 安全变得简单，从天清汉马开始 防 攻 击 防 扫 描防Flood攻击:通过限制源主机或目的主机的连接数来起到防止Flood攻击的目的；在安全防护表中启用，并通过安全策略来引用，不是全局使能的；根据网络情况，配置合理的参数值；可以认为是防攻击、防扫描的补充。 安全变得简单，从天清汉马开始 防 攻 击 防 扫 描 安全变得简单，从天清汉马开始 配 置 管 理 概 述 防 火 墙 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 数 据 中 心 安 装 与 配 置 提 纲 安全变得简单，从天清汉马开始 VPN应 用 场 景 安全变得简单，从天清汉马开始 IPSec配 置 简 介可以通过命令行或者web界面对IPSec进行配置，基本步骤:配置阶段1 (IKE) 策略配置阶段2 (IPSec)策略在安全策略中启用IPSec数据流触发IPSec，察看IPSec 的运行情况 安全变得简单，从天清汉马开始 IPSec配 置 简 介场景：启用IPSec安全策略，使得企业分部中的主机簇 10.0.0.2-10.0.0.100 访问企业总部服务器192.168.0.100 的数据被IPSec加密 安全变得简单，从天清汉马开始 IPSec配 置 简 介1. 在USG A上 创建地址对象 usrs 和 server，分别代表地址簇用户和服务器。 安全变得简单，从天清汉马开始 IPSec配 置 简 介2. 配置阶段1 (IKE) 策略 安全变得简单，从天清汉马开始 IPSec配 置 简 介如果有必要，进行阶段1的高级配置，可以设置加密、认证算法、DH组、密钥周期、DPD探测频率等参数； 安全变得简单，从天清汉马开始 IPSec配 置 简 介3. 创建阶段2 (IPSec)策略 安全变得简单，从天清汉马开始 IPSec配 置 简 介如有必要，配置阶段2的高级选项，可更改ESP和AH封装的加密算法、PFS组、工作模式、更改密钥周期；密钥周期可以按照时间或者流量来计算，也可以两者一块计算； 安全变得简单，从天清汉马开始 IPSec配 置 简 介4. 配置安全策略，并在安全策略中使能IPSec加密。 安全变得简单，从天清汉马开始 IPSec配 置 简 介5. 参考步骤1-4，在USG B上，做类似的配置，需要保证两边的密钥、加密算法、Hash算法等参数是一致的。6. 从企业分部的主机，访问总部的服务器，会触发IPSec协商；7. 协商成功之后，从分部主机到服务器的流量被加密；可以从web上察看流量信息。 安全变得简单，从天清汉马开始 SSL VPN配 置1. 在USG上使能SSL VPN，默认采用10443端口 安全变得简单，从天清汉马开始 SSL VPN配 置2. 在对应的接口上开启SSL VPN接入: 安全变得简单，从天清汉马开始 SSL VPN配 置3. 配置相应的安全策略，当然还要配置好用户和用户组: 安全变得简单，从天清汉马开始 SSL VPN配 置4. 通过HTTPS协议，从Web登陆: 安全变得简单，从天清汉马开始 SSL VPN配 置5. 登陆后页面如下，可以通过web或隧道模式访问内部资源。 安全变得简单，从天清汉马开始 SSL VPN配 置6. 隧道模式下需要先下载客户端，安装后点击连接，拨号成功的页面如下图所示: 安全变得简单，从天清汉马开始 SSL VPN配 置7. 在管理界面中查看SSL VPN用户情况，在web模式和隧道模式下分别显示如下: 安全变得简单，从天清汉马开始 SSL VPN配 置8. 此时再通过web方式或隧道方式访问内部资源，就是采用的加密方式。目前web方式只支持http浏览，隧道方式则支持一般的网络应用。 安全变得简单，从天清汉马开始 L2TP VPN配 置1. 首先创建L2TP所用的用户和用户组： 安全变得简单，从天清汉马开始 L2TP VPN配 置2. 在USG上配置L2TP 安全变得简单，从天清汉马开始 L2TP VPN配 置3. 在相关接口上开启L2TP拨入功能 安全变得简单，从天清汉马开始 L2TP VPN配 置4. 视实际应用情况，配置合适的安全策略: 安全变得简单，从天清汉马开始 L2TP VPN配 置5. 用户此时可以拨入，拨入后在USG管理页面中可以查看存在的L2TP用户: 安全变得简单，从天清汉马开始 配 置 管 理 概 述 防 火 墙 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 数 据 中 心 安 装 与 配 置 提 纲 安全变得简单，从天清汉马开始 安 全 防 护 表安全防护表是一个模板，防病毒AV、入侵检测IPS、IM-P2P控制、防Flood攻击、文件跟踪、Web过滤、邮件过滤这些功能都是在安全防护表中进行配置并启用，相应的日志的启用也在安全防护表中配置。安全防护表必须通过在安全策略中引用才能生效。 安全变得简单，从天清汉马开始 安 全 防 护 表 安全变得简单，从天清汉马开始 安 全 防 护 表 安全变得简单，从天清汉马开始 安 全 防 护 表 安全变得简单，从天清汉马开始 防 病 毒 AV配 置 安全变得简单，从天清汉马开始 防 病 毒 AV配 置 安全变得简单，从天清汉马开始 防 病 毒 AV配 置 安全变得简单，从天清汉马开始 防 病 毒 AV配 置 安全变得简单，从天清汉马开始 入 侵 防 御 IPS配 置 安全变得简单，从天清汉马开始 入 侵 防 御 IPS配 置预定义IPS特征 安全变得简单，从天清汉马开始 入 侵 防 御 IPS配 置自定义IPS特征 安全变得简单，从天清汉马开始 IM-P2P配 置IM-P2P统计信息 安全变得简单，从天清汉马开始 IM-P2P配 置IM用户信息 安全变得简单，从天清汉马开始 Web过 滤目前Web过滤仅支持基于URL的屏蔽，建立屏蔽列表和免屏蔽列表后，在安全防护表中启用；启用时屏蔽列表和免屏蔽列表是互斥的。 安全变得简单，从天清汉马开始 邮 件 过 滤 配 置USG邮件过滤是基于SMTP协议的过滤，支持:基于SMTP命令的过滤基于邮件标题的过滤基于SMTP发件人的过滤配置完成之后在安全防护表中启用邮件过滤，并在安全策略中应用安全防护，即可使用邮件过滤功能。 安全变得简单，从天清汉马开始 邮 件 过 滤 配 置发件人屏蔽和主题屏蔽 安全变得简单，从天清汉马开始 配 置 管 理 概 述 防 火 墙 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 数 据 中 心 安 装 与 配 置 提 纲 安全变得简单，从天清汉马开始 日 志 功 能USG日志分为:事件日志病毒日志入侵防护日志流量日志: 支持NetFlow V9对于前三种日志，可以配置将其记录到内存、标准Syslog服务器或者数据中心；对于流量日志，可以输出到第三方流量收集器或数据中心。 安全变得简单，从天清汉马开始 日 志 功 能大部分事件日志在这儿配置: 安全变得简单，从天清汉马开始 日 志 功 能NAT的日志事件在配置NAT策略时配置: 安全变得简单，从天清汉马开始 日 志 功 能系统监控的日志事件配置:系统周期性轮询设备的运行状态如CPU和内存利用率、当前连接数，以及系统检测事件，并给出告警。 安全变得简单，从天清汉马开始 日 志 功 能病毒、入侵等的日志事件在安全防护表中配置: 安全变得简单，从天清汉马开始 日 志 功 能NetFlow日志在安全策略中配置: 安全变得简单，从天清汉马开始 配 置 管 理 概 述 防 火 墙 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 数 据 中 心 安 装 与 配 置 提 纲 安全变得简单，从天清汉马开始谢 谢 ！