天清汉马USG系列配置简介.ppt

安全变得 简 单 ，从天清汉马开始北北京京启启明明星星辰辰信信息息技技术术有有限限公公司司天清汉马天清汉马USGUSG配置介绍配置介绍－天清汉马－天清汉马USG一体化安全网关一体化安全网关安全变得 简 单 ，从天清汉马开始•配置管理概述•防火墙基本配置•VPN配置•AV和IPS配置•日志功能•数据中心安装与配置提纲提纲安全变得 简 单 ，从天清汉马开始配置管理概述配置管理概述USG设备的管理方式设备的管理方式•通过通过Console口配置；口配置；•通过通过Telnet 进行命令行的配置；进行命令行的配置；•通过通过SSH进行命令行的配置；进行命令行的配置；•通过通过HTTP 或或HTTPS协议，从协议，从GUI界面进行配置管理；界面进行配置管理；•安装集中管理中心软件，集中管理、配置安装集中管理中心软件，集中管理、配置USG设备；设备；安全变得 简 单 ，从天清汉马开始配置管理概述配置管理概述管理员用户与权限表管理员用户与权限表•通过默认管理员或自建管理员用户来进行管理配置；通过默认管理员或自建管理员用户来进行管理配置；•管理员可以通过本地或管理员可以通过本地或Radius进行认证；进行认证；•出厂默认管理用户出厂默认管理用户admin，密码，密码venus.usg；；•管理员权限表规定了管理员可以执行的操作；管理员权限表规定了管理员可以执行的操作；•可以给管理员添加管理可以给管理员添加管理IP限制；限制；安全变得 简 单 ，从天清汉马开始配置管理概述配置管理概述安全变得 简 单 ，从天清汉马开始配置管理概述配置管理概述新建管理员用户新建管理员用户安全变得 简 单 ，从天清汉马开始配置管理概述配置管理概述新建管理员权限表新建管理员权限表安全变得 简 单 ，从天清汉马开始•配置管理概述•防火墙基本配置•VPN配置•AV和IPS配置•日志功能•数据中心安装与配置提纲提纲安全变得 简 单 ，从天清汉马开始USG的工作模式的工作模式USG支持三种接入模式：支持三种接入模式：•透明模式；透明模式；•路由模式；路由模式；•混合模式；混合模式；这三种模式无需显式配置，这三种模式无需显式配置，USG根据用户配置自动生效。

根据用户配置自动生效安全变得 简 单 ，从天清汉马开始USG中的接口概念中的接口概念USG中包含以下接口级的概念中包含以下接口级的概念:•物理接口；物理接口；•Vlan接口；接口；•透明桥接口；透明桥接口；•GRE接口；接口；•安全域；安全域；•其他隐藏接口，包括其他隐藏接口，包括loopback接口、接口、L2TP接口和接口和tunssl接口接口安全变得 简 单 ，从天清汉马开始物理接口物理接口安全变得 简 单 ，从天清汉马开始Vlan接口接口安全变得 简 单 ，从天清汉马开始透明桥接口透明桥接口安全变得 简 单 ，从天清汉马开始GRE接口接口安全变得 简 单 ，从天清汉马开始安全域安全域安全域实际上就是接口组，可以在一个域中加入多个接口，安全域实际上就是接口组，可以在一个域中加入多个接口，对安全域的配置对于多个接口都是生效的，方便配置对安全域的配置对于多个接口都是生效的，方便配置接口加入域后，不能单独对该接口进行配置接口加入域后，不能单独对该接口进行配置安全变得 简 单 ，从天清汉马开始安全域安全域安全变得 简 单 ，从天清汉马开始路由配置路由配置路由表查询路由表查询安全变得 简 单 ，从天清汉马开始路由配置路由配置创建静态路由创建静态路由安全变得 简 单 ，从天清汉马开始路由配置路由配置创建策略路由创建策略路由安全变得 简 单 ，从天清汉马开始安全策略安全策略安全策略是安全策略是USG应用的核心，我们通过配置安全策略应用的核心，我们通过配置安全策略:•实现对数据流的匹配实现对数据流的匹配(接口、接口、IP、服务、时间、服务、时间)•控制和管理流经设备的数据流控制和管理流经设备的数据流(Permit、、Deny、、IPSec加密、加密、SSL加密加密)•AV和和IPS需要经由安全策略来实施需要经由安全策略来实施•使用使用NetFlow进行流量分析进行流量分析•施行施行QoS 服务质量划分服务质量划分安全变得 简 单 ，从天清汉马开始安全策略安全策略创建和编辑安全策略创建和编辑安全策略安全变得 简 单 ，从天清汉马开始安全策路安全策路安全策略的高级选项安全策略的高级选项: 启用启用web接入控制和流量控制接入控制和流量控制安全变得 简 单 ，从天清汉马开始安全策略安全策略安全策略的启用与匹配安全策略的启用与匹配•安全策略配置后必须启用才会生效；安全策略配置后必须启用才会生效；•安全安全策略按先配置优先的原则进行匹配；策略按先配置优先的原则进行匹配；•对对通过设备的数据包进行处理，对于到设备本身的数据包通过设备的数据包进行处理，对于到设备本身的数据包和设备本身发出的数据包不进行限制；和设备本身发出的数据包不进行限制；•可以可以调整安全策略的顺序，以使位置在前的策略优先匹配；调整安全策略的顺序，以使位置在前的策略优先匹配；•可以可以创建一条新的安全策略，并插入到指定的策略之前；创建一条新的安全策略，并插入到指定的策略之前；安全变得 简 单 ，从天清汉马开始网络地址转换网络地址转换(NAT)网络地址转换网络地址转换(NAT):•最初最初用于私有地址向公有地址的转换，以解决公有用于私有地址向公有地址的转换，以解决公有IP地址地址短缺的问题；短缺的问题；•单单向隔离，具有额外的安全性；向隔离，具有额外的安全性；•利用利用目标地址的映射，使公有地址可访问配置了私有地址目标地址的映射，使公有地址可访问配置了私有地址的服务器；的服务器；•可用于可用于服务器的负载均衡和地址复用；服务器的负载均衡和地址复用；安全变得 简 单 ，从天清汉马开始网络地址转换网络地址转换(NAT)USG支持以下支持以下NAT:•源源NAT，按照使用不同可划分为，按照使用不同可划分为:–动态动态NAT: 源地址映射到一个地址池源地址映射到一个地址池(NAT Pool)；；–PAT: 所有源地址映射到同一目的地址；所有源地址映射到同一目的地址；–静态静态NAT：一对一双向地址映射；：一对一双向地址映射；•目的目的NAT；；安全变得 简 单 ，从天清汉马开始网络地址转换网络地址转换(NAT)源地址转换源地址转换(SNAT)，可以将内部地址转换成出接口地址或，可以将内部地址转换成出接口地址或者地址池中的地址。

者地址池中的地址安全变得 简 单 ，从天清汉马开始网络地址转换网络地址转换(NAT)目的地址转换目的地址转换(DNAT)，可以将目标地址转换成，可以将目标地址转换成NAT Pool中的地址，亦可实现服务器负载分担与业务分流中的地址，亦可实现服务器负载分担与业务分流安全变得 简 单 ，从天清汉马开始网络地址转换网络地址转换(NAT)NAT地址池地址池(Pool)，注意起始地址不能大于结束地址，在，注意起始地址不能大于结束地址，在地址不是很充分的情况下，可以配置地址轮询地址不是很充分的情况下，可以配置地址轮询安全变得 简 单 ，从天清汉马开始动态地址分配动态地址分配(DHCP)USG设备可以担当所有的设备可以担当所有的DHCP 角色角色:•DHCP Server•DHCP Relay•DHCP Client安全变得 简 单 ，从天清汉马开始动态地址分配动态地址分配(DHCP)配置配置DHCP服务器的步骤服务器的步骤:1.在相应接口开启在相应接口开启DHCP Server服务；服务；2.创建创建DHCP服务器；服务器；3.如果有必要，创建如果有必要，创建DHCP地址的排除范围；地址的排除范围；4.如果有必要，创建如果有必要，创建IP-MAC绑定条目；绑定条目；5.通过监视器可察看由通过监视器可察看由USG分配的动态地址；分配的动态地址；安全变得 简 单 ，从天清汉马开始动态地址分配动态地址分配(DHCP)安全变得 简 单 ，从天清汉马开始高可用性高可用性(HA)高可用性高可用性 (HA, High Availability)，可防止网络中由于单个防火墙，可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度。

的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度 安全变得 简 单 ，从天清汉马开始高可用性高可用性(HA)天清汗马天清汗马USG上的上的HA:1.目前支持主备模式，下一版本将支持主主模式；目前支持主备模式，下一版本将支持主主模式；2.支持两台防火墙互为备份；支持两台防火墙互为备份；3.两台设备的硬件型号要求一致；两台设备的硬件型号要求一致；4.HA接口为专用物理口，不处理业务；接口为专用物理口，不处理业务；5.支持透明模式、路由模式和混合模式；支持透明模式、路由模式和混合模式；安全变得 简 单 ，从天清汉马开始高可用性高可用性(HA)配置配置USG工作于主备模式工作于主备模式:安全变得 简 单 ，从天清汉马开始高可用性高可用性(HA)察看当前察看当前HA的工作状态与同步情况的工作状态与同步情况:安全变得 简 单 ，从天清汉马开始防攻击防扫描防攻击防扫描常见的网络攻击常见的网络攻击:•Ping-of-death•Jolt2•Land-Base•TearDrop•Winnuke•Smurf•Syn-flag安全变得 简 单 ，从天清汉马开始防攻击防扫描防攻击防扫描网络扫描通常分为以下几种网络扫描通常分为以下几种:•垂直扫描：针对相同主机的多个端口垂直扫描：针对相同主机的多个端口•水平扫描：针对多个主机的相同端口水平扫描：针对多个主机的相同端口•Ping扫描：针对某地址范围，通过扫描：针对某地址范围，通过Ping方式发现存活主机方式发现存活主机扫描通常是网络攻击的前兆；扫描通常是网络攻击的前兆；USG设备可以有效防范以上几设备可以有效防范以上几类扫描，从而阻止外部的恶意攻击，保护设备和内网。

当检类扫描，从而阻止外部的恶意攻击，保护设备和内网当检测到扫描探测时，向用户进行报警提示测到扫描探测时，向用户进行报警提示安全变得 简 单 ，从天清汉马开始防攻击防扫描防攻击防扫描根据网络情况开启相应的防攻击和防扫描功能，并设定合理的根据网络情况开启相应的防攻击和防扫描功能，并设定合理的参数安全变得 简 单 ，从天清汉马开始防攻击防扫描防攻击防扫描防防Flood攻击攻击:•通过限制源主机或目的主机的连接数来起到防止通过限制源主机或目的主机的连接数来起到防止Flood攻击攻击的目的；的目的；•在安全防护表中启用，并通过安全策略来引用，不是全局使在安全防护表中启用，并通过安全策略来引用，不是全局使能的；能的；•根据网络情况，配置合理的参数值；根据网络情况，配置合理的参数值；•可以认为是防攻击、防扫描的补充可以认为是防攻击、防扫描的补充安全变得 简 单 ，从天清汉马开始防攻击防扫描防攻击防扫描安全变得 简 单 ，从天清汉马开始•配置管理概述•防火墙基本配置•VPN配置•AV和IPS配置•日志功能•数据中心安装与配置提纲提纲安全变得 简 单 ，从天清汉马开始VPN应用场景应用场景安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介可以通过命令行或者可以通过命令行或者web界面对界面对IPSec进行配置，基本步骤进行配置，基本步骤:•配置阶段配置阶段1 (IKE) 策略策略•配置阶段配置阶段2 (IPSec)策略策略•在安全策略中启用在安全策略中启用IPSec•数据流触发数据流触发IPSec，察看，察看IPSec 的运行情况的运行情况安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介场景：启用场景：启用IPSec安全策略，使得企业分部中的主机安全策略，使得企业分部中的主机簇簇 10.0.0.2-10.0.0.100 访问企业总部服务器访问企业总部服务器192.168.0.100 的数的数据被据被IPSec加密加密安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介1. 在在USG A上上 创建地址对象创建地址对象 usrs 和和 server，分别代表地址簇用户和服务，分别代表地址簇用户和服务器。

器安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介2. 配置阶段配置阶段1 (IKE) 策略策略安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介如果有必要，进行阶段如果有必要，进行阶段1的高级配置，可以设置加密、认证算法、的高级配置，可以设置加密、认证算法、DH组、组、密钥周期、密钥周期、DPD探测频率等参数；探测频率等参数；安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介3. 创建阶段创建阶段2 (IPSec)策略策略安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介如有必要，配置阶段如有必要，配置阶段2的高级选项，可更改的高级选项，可更改ESP和和AH封装的加密算法、封装的加密算法、PFS组、工作模式、更改密钥周期；组、工作模式、更改密钥周期；密钥周期可以按照时间或者流量来计算，也可以两者一块计算；密钥周期可以按照时间或者流量来计算，也可以两者一块计算；安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介4. 配置安全策略，并在安全策略中使能配置安全策略，并在安全策略中使能IPSec加密安全变得 简 单 ，从天清汉马开始IPSec配置简介配置简介5. 参考步骤参考步骤1-4，在，在USG B上，做类似的配置，需要保证两边的密钥、加上，做类似的配置，需要保证两边的密钥、加密算法、密算法、Hash算法等参数是一致的。

算法等参数是一致的6. 从企业分部的主机，访问总部的服务器，会触发从企业分部的主机，访问总部的服务器，会触发IPSec协商；协商；7. 协商成功之后，从分部主机到服务器的流量被加密；可以从协商成功之后，从分部主机到服务器的流量被加密；可以从web上察看上察看流量信息流量信息安全变得 简 单 ，从天清汉马开始SSL VPN配置配置1. 在在USG上使能上使能SSL VPN，默认采用，默认采用10443端口端口安全变得 简 单 ，从天清汉马开始SSL VPN配置配置2. 在对应的接口上开启在对应的接口上开启SSL VPN接入接入:安全变得 简 单 ，从天清汉马开始SSL VPN配置配置3. 配置相应的安全策略，当然还要配置好用户和用户组配置相应的安全策略，当然还要配置好用户和用户组:安全变得 简 单 ，从天清汉马开始SSL VPN配置配置4. 通过通过HTTPS协议，从协议，从Web登陆登陆:安全变得 简 单 ，从天清汉马开始SSL VPN配置配置5. 登陆后页面如下，可以通过登陆后页面如下，可以通过web或隧道模式访问内部资源或隧道模式访问内部资源安全变得 简 单 ，从天清汉马开始SSL VPN配置配置6. 隧道模式下需要先下载客户端，安装后点击连接，拨号成功的页面如下隧道模式下需要先下载客户端，安装后点击连接，拨号成功的页面如下图所示图所示:安全变得 简 单 ，从天清汉马开始SSL VPN配置配置7. 在管理界面中查看在管理界面中查看SSL VPN用户情况，在用户情况，在web模式和隧道模式下分别显模式和隧道模式下分别显示如下示如下:安全变得 简 单 ，从天清汉马开始SSL VPN配置配置8. 此时再通过此时再通过web方式或隧道方式访问内部资源，就是采用的加密方式。

方式或隧道方式访问内部资源，就是采用的加密方式目前目前web方式只支持方式只支持http浏览，隧道方式则支持一般的网络应用浏览，隧道方式则支持一般的网络应用安全变得 简 单 ，从天清汉马开始L2TP VPN配置配置1. 首先创建首先创建L2TP所用的用户和用户组：所用的用户和用户组：安全变得 简 单 ，从天清汉马开始L2TP VPN配置配置2. 在在USG上配置上配置L2TP安全变得 简 单 ，从天清汉马开始L2TP VPN配置配置3. 在相关接口上开启在相关接口上开启L2TP拨入功能拨入功能安全变得 简 单 ，从天清汉马开始L2TP VPN配置配置4. 视实际应用情况，配置合适的安全策略视实际应用情况，配置合适的安全策略:安全变得 简 单 ，从天清汉马开始L2TP VPN配置配置5. 用户此时可以拨入，拨入后在用户此时可以拨入，拨入后在USG管理页面中可以查看存在的管理页面中可以查看存在的L2TP用户用户:安全变得 简 单 ，从天清汉马开始•配置管理概述•防火墙基本配置•VPN配置•AV和IPS配置•日志功能•数据中心安装与配置提纲提纲安全变得 简 单 ，从天清汉马开始安全防护表安全防护表安全防护表是一个模板，防病毒安全防护表是一个模板，防病毒AV、入侵检测、入侵检测IPS、、IM-P2P控制、防控制、防Flood攻击、文件跟踪、攻击、文件跟踪、Web过滤、邮件过滤过滤、邮件过滤这些功能都是在安全防护表中进行配置并启用，相应的日志这些功能都是在安全防护表中进行配置并启用，相应的日志的启用也在安全防护表中配置。

的启用也在安全防护表中配置安全防护表必须通过在安全策略中引用才能生效安全防护表必须通过在安全策略中引用才能生效安全变得 简 单 ，从天清汉马开始安全防护表安全防护表安全变得 简 单 ，从天清汉马开始安全防护表安全防护表安全变得 简 单 ，从天清汉马开始安全防护表安全防护表安全变得 简 单 ，从天清汉马开始防病毒防病毒AV配置配置安全变得 简 单 ，从天清汉马开始防病毒防病毒AV配置配置安全变得 简 单 ，从天清汉马开始防病毒防病毒AV配置配置安全变得 简 单 ，从天清汉马开始防病毒防病毒AV配置配置安全变得 简 单 ，从天清汉马开始入侵防御入侵防御IPS配置配置安全变得 简 单 ，从天清汉马开始入侵防御入侵防御IPS配置配置预定义预定义IPS特征特征安全变得 简 单 ，从天清汉马开始入侵防御入侵防御IPS配置配置自定义自定义IPS特征特征安全变得 简 单 ，从天清汉马开始IM-P2P配置配置IM-P2P统计信息统计信息安全变得 简 单 ，从天清汉马开始IM-P2P配置配置IM用户信息用户信息安全变得 简 单 ，从天清汉马开始Web过滤过滤目前目前Web过滤仅支持基于过滤仅支持基于URL的屏蔽，建立屏蔽列表和免屏蔽的屏蔽，建立屏蔽列表和免屏蔽列表后，在安全防护表中启用；启用时屏蔽列表和免屏蔽列表列表后，在安全防护表中启用；启用时屏蔽列表和免屏蔽列表是互斥的。

是互斥的安全变得 简 单 ，从天清汉马开始邮件过滤配置邮件过滤配置USG邮件过滤是基于邮件过滤是基于SMTP协议的过滤，支持协议的过滤，支持:•基于基于SMTP命令的过滤命令的过滤•基于邮件标题的过滤基于邮件标题的过滤•基于基于SMTP发件人的过滤发件人的过滤配置完成之后在安全防护表中启用邮件过滤，并在安全策略配置完成之后在安全防护表中启用邮件过滤，并在安全策略中应用安全防护，即可使用邮件过滤功能中应用安全防护，即可使用邮件过滤功能安全变得 简 单 ，从天清汉马开始邮件过滤配置邮件过滤配置发件人屏蔽和主题屏蔽发件人屏蔽和主题屏蔽安全变得 简 单 ，从天清汉马开始•配置管理概述•防火墙基本配置•VPN配置•AV和IPS配置•日志功能•数据中心安装与配置提纲提纲安全变得 简 单 ，从天清汉马开始日志功能日志功能USG日志分为日志分为:•事件日志事件日志•病毒日志病毒日志•入侵防护日志入侵防护日志•流量日志流量日志: 支持支持NetFlow V9对于前三种日志，可以配置将其记录到内存、标准对于前三种日志，可以配置将其记录到内存、标准Syslog服服务器或者数据中心；对于流量日志，可以输出到第三方流量收务器或者数据中心；对于流量日志，可以输出到第三方流量收集器或数据中心。

集器或数据中心安全变得 简 单 ，从天清汉马开始日志功能日志功能大部分事件日志在这儿配置大部分事件日志在这儿配置:安全变得 简 单 ，从天清汉马开始日志功能日志功能NAT的日志事件在配置的日志事件在配置NAT策略时配置策略时配置:安全变得 简 单 ，从天清汉马开始日志功能日志功能系统监控的日志事件配置系统监控的日志事件配置:系统周期性轮询设备的运行状态如系统周期性轮询设备的运行状态如CPU和内存利用率、当前和内存利用率、当前连接数，以及系统检测事件，并给出告警连接数，以及系统检测事件，并给出告警安全变得 简 单 ，从天清汉马开始日志功能日志功能病毒、入侵等的日志事件在安全防护表中配置病毒、入侵等的日志事件在安全防护表中配置:安全变得 简 单 ，从天清汉马开始日志功能日志功能NetFlow日志在安全策略中配置日志在安全策略中配置:安全变得 简 单 ，从天清汉马开始•配置管理概述•防火墙基本配置•VPN配置•AV和IPS配置•日志功能•数据中心安装与配置提纲提纲安全变得 简 单 ，从天清汉马开始 谢谢 谢谢！！。