天清漢馬USG系列配置簡介

1、天清漢馬usg配置介紹 天清漢馬usg一體化安全網(wǎng)關(guān),配置管理概述 防火墻基本配置 vpn配置 av和ips配置 日志功能 數(shù)據(jù)中心安裝與配置,提綱,配置管理概述,usg設(shè)備的管理方式 通過console口配置； 通過telnet 進行命令行的配置； 通過ssh進行命令行的配置； 通過http 或https協(xié)議，從gui界面進行配置管理； 安裝集中管理中心軟件，集中管理、配置usg設(shè)備,配置管理概述,管理員用戶與權(quán)限表 通過默認(rèn)管理員或自建管理員用戶來進行管理配置； 管理員可以通過本地或radius進行認(rèn)證； 出廠默認(rèn)管理用戶admin，密碼venus.usg； 管理員權(quán)限表規(guī)定了管理員可以執(zhí)

2、行的操作； 可以給管理員添加管理ip限制,配置管理概述,配置管理概述,新建管理員用戶,配置管理概述,新建管理員權(quán)限表,配置管理概述 防火墻基本配置 vpn配置 av和ips配置 日志功能 數(shù)據(jù)中心安裝與配置,提綱,usg的工作模式,usg支持三種接入模式： 透明模式； 路由模式； 混合模式； 這三種模式無需顯式配置，usg根據(jù)用戶配置自動生效,usg中的接口概念,usg中包含以下接口級的概念: 物理接口； vlan接口； 透明橋接口； gre接口； 安全域； 其他隱藏接口，包括loopback接口、l2tp接口和tunssl接口,物理接口,vlan接口,透明橋接口,gre接口,安全域,安全域?qū)?/p>

3、際上就是接口組，可以在一個域中加入多個接口， 對安全域的配置對于多個接口都是生效的，方便配置。 接口加入域后，不能單獨對該接口進行配置,安全域,路由配置,路由表查詢,路由配置,創(chuàng)建靜態(tài)路由,路由配置,創(chuàng)建策略路由,安全策略,安全策略是usg應(yīng)用的核心，我們通過配置安全策略: 實現(xiàn)對數(shù)據(jù)流的匹配(接口、ip、服務(wù)、時間) 控制和管理流經(jīng)設(shè)備的數(shù)據(jù)流(permit、deny、ipsec加密、ssl加密) av和ips需要經(jīng)由安全策略來實施 使用netflow進行流量分析 施行qos 服務(wù)質(zhì)量劃分,安全策略,創(chuàng)建和編輯安全策略,安全策路,安全策略的高級選項: 啟用web接入控制和流量控制,安全策略,

4、安全策略的啟用與匹配 安全策略配置后必須啟用才會生效； 安全策略按先配置優(yōu)先的原則進行匹配； 對通過設(shè)備的數(shù)據(jù)包進行處理，對于到設(shè)備本身的數(shù)據(jù)包和設(shè)備本身發(fā)出的數(shù)據(jù)包不進行限制； 可以調(diào)整安全策略的順序，以使位置在前的策略優(yōu)先匹配； 可以創(chuàng)建一條新的安全策略，并插入到指定的策略之前,網(wǎng)絡(luò)地址轉(zhuǎn)換(nat,網(wǎng)絡(luò)地址轉(zhuǎn)換(nat): 最初用于私有地址向公有地址的轉(zhuǎn)換，以解決公有ip地址短缺的問題； 單向隔離，具有額外的安全性； 利用目標(biāo)地址的映射，使公有地址可訪問配置了私有地址的服務(wù)器； 可用于服務(wù)器的負(fù)載均衡和地址復(fù)用,網(wǎng)絡(luò)地址轉(zhuǎn)換(nat,usg支持以下nat: 源nat，按照使用不同可劃分為

5、: 動態(tài)nat: 源地址映射到一個地址池(nat pool)； pat: 所有源地址映射到同一目的地址； 靜態(tài)nat：一對一雙向地址映射； 目的nat,網(wǎng)絡(luò)地址轉(zhuǎn)換(nat,源地址轉(zhuǎn)換(snat)，可以將內(nèi)部地址轉(zhuǎn)換成出接口地址或 者地址池中的地址,網(wǎng)絡(luò)地址轉(zhuǎn)換(nat,目的地址轉(zhuǎn)換(dnat)，可以將目標(biāo)地址轉(zhuǎn)換成nat pool中的地址，亦可實現(xiàn)服務(wù)器負(fù)載分擔(dān)與業(yè)務(wù)分流,網(wǎng)絡(luò)地址轉(zhuǎn)換(nat,nat地址池(pool)，注意起始地址不能大于結(jié)束地址，在 地址不是很充分的情況下，可以配置地址輪詢,動態(tài)地址分配(dhcp,usg設(shè)備可以擔(dān)當(dāng)所有的dhcp 角色: dhcp server dhcp

6、 relay dhcp client,動態(tài)地址分配(dhcp,配置dhcp服務(wù)器的步驟: 在相應(yīng)接口開啟dhcp server服務(wù)； 創(chuàng)建dhcp服務(wù)器； 如果有必要，創(chuàng)建dhcp地址的排除范圍； 如果有必要，創(chuàng)建ip-mac綁定條目； 通過監(jiān)視器可察看由usg分配的動態(tài)地址,動態(tài)地址分配(dhcp,高可用性(ha,高可用性 (ha, high availability)，可防止網(wǎng)絡(luò)中由于單個防火墻 的設(shè)備故障或網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)中斷，保證網(wǎng)絡(luò)服務(wù)的連續(xù)性和強度,高可用性(ha,天清汗馬usg上的ha: 目前支持主備模式，下一版本將支持主主模式； 支持兩臺防火墻互為備份； 兩臺設(shè)備的硬件型號要求

7、一致； ha接口為專用物理口，不處理業(yè)務(wù)； 支持透明模式、路由模式和混合模式,高可用性(ha,配置usg工作于主備模式,高可用性(ha,察看當(dāng)前ha的工作狀態(tài)與同步情況,防攻擊防掃描,常見的網(wǎng)絡(luò)攻擊: ping-of-death jolt2 land-base teardrop winnuke smurf syn-flag,防攻擊防掃描,網(wǎng)絡(luò)掃描通常分為以下幾種: 垂直掃描：針對相同主機的多個端口 水平掃描：針對多個主機的相同端口 ping掃描：針對某地址范圍，通過ping方式發(fā)現(xiàn)存活主機 掃描通常是網(wǎng)絡(luò)攻擊的前兆；usg設(shè)備可以有效防范以上幾 類掃描，從而阻止外部的惡意攻擊，保護設(shè)備和內(nèi)網(wǎng)。

8、當(dāng)檢 測到掃描探測時，向用戶進行報警提示,防攻擊防掃描,根據(jù)網(wǎng)絡(luò)情況開啟相應(yīng)的防攻擊和防掃描功能，并設(shè)定合理的 參數(shù),防攻擊防掃描,防flood攻擊: 通過限制源主機或目的主機的連接數(shù)來起到防止flood攻擊的目的； 在安全防護表中啟用，并通過安全策略來引用，不是全局使能的； 根據(jù)網(wǎng)絡(luò)情況，配置合理的參數(shù)值； 可以認(rèn)為是防攻擊、防掃描的補充,防攻擊防掃描,配置管理概述 防火墻基本配置 vpn配置 av和ips配置 日志功能 數(shù)據(jù)中心安裝與配置,提綱,vpn應(yīng)用場景,ipsec配置簡介,可以通過命令行或者web界面對ipsec進行配置，基本步驟: 配置階段1 (ike) 策略 配置階段2 (ip

9、sec)策略 在安全策略中啟用ipsec 數(shù)據(jù)流觸發(fā)ipsec，察看ipsec 的運行情況,ipsec配置簡介,場景：啟用ipsec安全策略，使得企業(yè)分部中的主機簇 -00 訪問企業(yè)總部服務(wù)器00 的數(shù)據(jù)被ipsec加密,ipsec配置簡介,1. 在usg a上 創(chuàng)建地址對象 usrs 和 server，分別代表地址簇用戶和服務(wù) 器,ipsec配置簡介,2. 配置階段1 (ike) 策略,ipsec配置簡介,如果有必要，進行階段1的高級配置，可以設(shè)置加密、認(rèn)證算法、dh組、 密鑰周期、dpd探測頻率等參數(shù),ipsec配置簡介,3. 創(chuàng)建階段

10、2 (ipsec)策略,ipsec配置簡介,如有必要，配置階段2的高級選項，可更改esp和ah封裝的加密算法、 pfs組、工作模式、更改密鑰周期； 密鑰周期可以按照時間或者流量來計算，也可以兩者一塊計算,ipsec配置簡介,4. 配置安全策略，并在安全策略中使能ipsec加密,ipsec配置簡介,5. 參考步驟1-4，在usg b上，做類似的配置，需要保證兩邊的密鑰、加密算法、hash算法等參數(shù)是一致的。 6. 從企業(yè)分部的主機，訪問總部的服務(wù)器，會觸發(fā)ipsec協(xié)商； 7. 協(xié)商成功之后，從分部主機到服務(wù)器的流量被加密；可以從web上察看流量信息,ssl vpn配置,1. 在usg上使能ss

11、l vpn，默認(rèn)采用10443端口,ssl vpn配置,2. 在對應(yīng)的接口上開啟ssl vpn接入,ssl vpn配置,3. 配置相應(yīng)的安全策略，當(dāng)然還要配置好用戶和用戶組,ssl vpn配置,4. 通過https協(xié)議，從web登陸,ssl vpn配置,5. 登陸后頁面如下，可以通過web或隧道模式訪問內(nèi)部資源,ssl vpn配置,6. 隧道模式下需要先下載客戶端，安裝后點擊連接，撥號成功的頁面如下圖所示,ssl vpn配置,7. 在管理界面中查看ssl vpn用戶情況，在web模式和隧道模式下分別顯示如下,ssl vpn配置,8. 此時再通過web方式或隧道方式訪問內(nèi)部資源，就是采用的加密方

12、式。 目前web方式只支持http瀏覽，隧道方式則支持一般的網(wǎng)絡(luò)應(yīng)用,l2tp vpn配置,1. 首先創(chuàng)建l2tp所用的用戶和用戶組,l2tp vpn配置,2. 在usg上配置l2tp,l2tp vpn配置,3. 在相關(guān)接口上開啟l2tp撥入功能,l2tp vpn配置,4. 視實際應(yīng)用情況，配置合適的安全策略,l2tp vpn配置,5. 用戶此時可以撥入，撥入后在usg管理頁面中可以查看存在的l2tp用戶,配置管理概述 防火墻基本配置 vpn配置 av和ips配置 日志功能 數(shù)據(jù)中心安裝與配置,提綱,安全防護表,安全防護表是一個模板，防病毒av、入侵檢測ips、im- p2p控制、防flood

13、攻擊、文件跟蹤、web過濾、郵件過濾 這些功能都是在安全防護表中進行配置并啟用，相應(yīng)的日志 的啟用也在安全防護表中配置。 安全防護表必須通過在安全策略中引用才能生效,安全防護表,安全防護表,安全防護表,防病毒av配置,防病毒av配置,防病毒av配置,防病毒av配置,入侵防御ips配置,入侵防御ips配置,預(yù)定義ips特征,入侵防御ips配置,自定義ips特征,im-p2p配置,im-p2p統(tǒng)計信息,im-p2p配置,im用戶信息,web過濾,目前web過濾僅支持基于url的屏蔽，建立屏蔽列表和免屏蔽 列表后，在安全防護表中啟用；啟用時屏蔽列表和免屏蔽列表 是互斥的,郵件過濾配置,usg郵件過濾是基于smtp協(xié)議的過濾，支持: 基于smtp命令的過濾 基于郵件標(biāo)題的過濾 基于smtp發(fā)件人的過濾 配置完成之后在安全防護表中啟用郵件過濾，并在安全策略 中應(yīng)用安全防護，即可使用郵件過濾功能,郵件過濾配置,發(fā)件人屏蔽和主題屏蔽,配置管理概述 防火墻基本配置 vpn配置 av和ips配置 日志功能 數(shù)據(jù)中心安裝與配置,提綱,日志功能,usg日志分為: 事件日志 病毒日志 入侵防護日志 流量日志: 支持netflow v9 對于前三種日志，可以配置將其記錄到內(nèi)存、標(biāo)準(zhǔn)syslog服 務(wù)器或者數(shù)據(jù)中心；對于流量日志，可以輸出到第三方流