天清漢馬USG系列配置簡介

上傳人:san****019 文檔編號:21424685 上傳時間:2021-04-30 格式:PPT 頁數(shù):90 大?。?.86MB
收藏 版權(quán)申訴 舉報 下載
天清漢馬USG系列配置簡介_第1頁
第1頁 / 共90頁
天清漢馬USG系列配置簡介_第2頁
第2頁 / 共90頁
天清漢馬USG系列配置簡介_第3頁
第3頁 / 共90頁

下載文檔到電腦,查找使用更方便

14.9 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《天清漢馬USG系列配置簡介》由會員分享,可在線閱讀,更多相關(guān)《天清漢馬USG系列配置簡介(90頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、安全變得簡單,從天清漢馬開始北京啟明星辰信息技術(shù)有限公司 天清漢馬USG配置介紹天清漢馬USG一體化安全網(wǎng)關(guān) 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 防 火 墻 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 數(shù) 據(jù) 中 心 安 裝 與 配 置 提 綱 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述USG設(shè) 備 的 管 理 方 式通過Console口配置;通過Telnet 進(jìn)行命令行的配置;通過SSH進(jìn)行命令行的配置;通過HTTP 或HTTPS協(xié)議,從GUI界面進(jìn)行配置管理;安裝集中管理中心軟件,集中管理、配置USG設(shè)備; 安全變得簡單,從天清漢馬開始

2、配 置 管 理 概 述管 理 員 用 戶 與 權(quán) 限 表通過默認(rèn)管理員或自建管理員用戶來進(jìn)行管理配置;管理員可以通過本地或Radius進(jìn)行認(rèn)證;出廠默認(rèn)管理用戶admin,密碼venus.usg;管理員權(quán)限表規(guī)定了管理員可以執(zhí)行的操作;可以給管理員添加管理IP限制; 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述新 建 管 理 員 用 戶 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述新 建 管 理 員 權(quán) 限 表 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 防 火 墻 基 本 配 置 VPN配 置 AV和 IPS配

3、置 日 志 功 能 數(shù) 據(jù) 中 心 安 裝 與 配 置 提 綱 安全變得簡單,從天清漢馬開始 USG的 工 作 模 式USG支持三種接入模式:透明模式;路由模式;混合模式;這三種模式無需顯式配置,USG根據(jù)用戶配置自動生效。 安全變得簡單,從天清漢馬開始 USG中 的 接 口 概 念USG中包含以下接口級的概念:物理接口; Vlan接口;透明橋接口; GRE接口;安全域;其他隱藏接口,包括loopback接口、L2TP接口和tunssl接口 安全變得簡單,從天清漢馬開始 物 理 接 口 安全變得簡單,從天清漢馬開始 Vlan接 口 安全變得簡單,從天清漢馬開始 透 明 橋 接 口 安全變得簡單

4、,從天清漢馬開始 GRE接 口 安全變得簡單,從天清漢馬開始 安 全 域安 全 域 實 際 上 就 是 接 口 組 , 可 以 在 一 個 域 中 加 入 多 個 接 口 ,對 安 全 域 的 配 置 對 于 多 個 接 口 都 是 生 效 的 , 方 便 配 置 。接 口 加 入 域 后 , 不 能 單 獨(dú) 對 該 接 口 進(jìn) 行 配 置 。 安全變得簡單,從天清漢馬開始 安 全 域 安全變得簡單,從天清漢馬開始 路 由 配 置路由表查詢 安全變得簡單,從天清漢馬開始 路 由 配 置創(chuàng)建靜態(tài)路由 安全變得簡單,從天清漢馬開始 路 由 配 置創(chuàng)建策略路由 安全變得簡單,從天清漢馬開始 安 全

5、策 略安全策略是USG應(yīng)用的核心,我們通過配置安全策略:實現(xiàn)對數(shù)據(jù)流的匹配(接口、IP、服務(wù)、時間)控制和管理流經(jīng)設(shè)備的數(shù)據(jù)流(Permit、Deny、IPSec加密、SSL加密) AV和IPS需要經(jīng)由安全策略來實施使用NetFlow進(jìn)行流量分析施行QoS 服務(wù)質(zhì)量劃分 安全變得簡單,從天清漢馬開始 安 全 策 略創(chuàng)建和編輯安全策略 安全變得簡單,從天清漢馬開始 安 全 策 路安 全 策 略 的 高 級 選 項 : 啟 用 web接 入 控 制 和 流 量 控 制 安全變得簡單,從天清漢馬開始 安 全 策 略安全策略的啟用與匹配安全策略配置后必須啟用才會生效;安全策略按先配置優(yōu)先的原則進(jìn)行匹配

6、;對通過設(shè)備的數(shù)據(jù)包進(jìn)行處理,對于到設(shè)備本身的數(shù)據(jù)包和設(shè)備本身發(fā)出的數(shù)據(jù)包不進(jìn)行限制;可以調(diào)整安全策略的順序,以使位置在前的策略優(yōu)先匹配;可以創(chuàng)建一條新的安全策略,并插入到指定的策略之前; 安全變得簡單,從天清漢馬開始 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 (NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):最初用于私有地址向公有地址的轉(zhuǎn)換,以解決公有IP地址短缺的問題;單向隔離,具有額外的安全性;利用目標(biāo)地址的映射,使公有地址可訪問配置了私有地址的服務(wù)器;可用于服務(wù)器的負(fù)載均衡和地址復(fù)用; 安全變得簡單,從天清漢馬開始 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 (NAT)USG支持以下NAT:源NAT,按照使用不同可劃分為:動態(tài)NAT: 源

7、地址映射到一個地址池(NAT Pool); PAT: 所有源地址映射到同一目的地址;靜態(tài)NAT:一對一雙向地址映射;目的NAT; 安全變得簡單,從天清漢馬開始 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 (NAT)源地址轉(zhuǎn)換(SNAT),可以將內(nèi)部地址轉(zhuǎn)換成出接口地址或者地址池中的地址。 安全變得簡單,從天清漢馬開始 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 (NAT)目的地址轉(zhuǎn)換(DNAT),可以將目標(biāo)地址轉(zhuǎn)換成NAT Pool中的地址,亦可實現(xiàn)服務(wù)器負(fù)載分擔(dān)與業(yè)務(wù)分流。 安全變得簡單,從天清漢馬開始 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 (NAT)NAT地址池(Pool),注意起始地址不能大于結(jié)束地址,在地址不是很充分的情況下,可以配置地址

8、輪詢。 安全變得簡單,從天清漢馬開始 動 態(tài) 地 址 分 配 (DHCP)USG設(shè)備可以擔(dān)當(dāng)所有的DHCP 角色: DHCP Server DHCP Relay DHCP Client 安全變得簡單,從天清漢馬開始 動 態(tài) 地 址 分 配 (DHCP)配置DHCP服務(wù)器的步驟:1.在相應(yīng)接口開啟DHCP Server服務(wù);2.創(chuàng)建DHCP服務(wù)器;3.如果有必要,創(chuàng)建DHCP地址的排除范圍;4.如果有必要,創(chuàng)建IP-MAC綁定條目;5.通過監(jiān)視器可察看由USG分配的動態(tài)地址; 安全變得簡單,從天清漢馬開始 動 態(tài) 地 址 分 配 (DHCP) 安全變得簡單,從天清漢馬開始 高 可 用 性 (HA

9、)高可用性 (HA, High Availability),可防止網(wǎng)絡(luò)中由于單個防火墻的設(shè)備故障或網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)中斷,保證網(wǎng)絡(luò)服務(wù)的連續(xù)性和強(qiáng)度。 安全變得簡單,從天清漢馬開始 高 可 用 性 (HA)天清汗馬USG上的HA:1.目前支持主備模式,下一版本將支持主主模式;2.支持兩臺防火墻互為備份;3.兩臺設(shè)備的硬件型號要求一致;4. HA接口為專用物理口,不處理業(yè)務(wù);5.支持透明模式、路由模式和混合模式; 安全變得簡單,從天清漢馬開始 高 可 用 性 (HA)配置USG工作于主備模式: 安全變得簡單,從天清漢馬開始 高 可 用 性 (HA)察看當(dāng)前HA的工作狀態(tài)與同步情況: 安全變得簡單,

10、從天清漢馬開始 防 攻 擊 防 掃 描常 見 的 網(wǎng) 絡(luò) 攻 擊 : Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag 安全變得簡單,從天清漢馬開始 防 攻 擊 防 掃 描網(wǎng)絡(luò)掃描通常分為以下幾種:垂直掃描:針對相同主機(jī)的多個端口水平掃描:針對多個主機(jī)的相同端口 Ping掃描:針對某地址范圍,通過Ping方式發(fā)現(xiàn)存活主機(jī)掃描通常是網(wǎng)絡(luò)攻擊的前兆;USG設(shè)備可以有效防范以上幾類掃描,從而阻止外部的惡意攻擊,保護(hù)設(shè)備和內(nèi)網(wǎng)。當(dāng)檢測到掃描探測時,向用戶進(jìn)行報警提示。 安全變得簡單,從天清漢馬開始 防 攻 擊 防 掃 描根據(jù)網(wǎng)絡(luò)

11、情況開啟相應(yīng)的防攻擊和防掃描功能,并設(shè)定合理的參數(shù)。 安全變得簡單,從天清漢馬開始 防 攻 擊 防 掃 描防Flood攻擊:通過限制源主機(jī)或目的主機(jī)的連接數(shù)來起到防止Flood攻擊的目的;在安全防護(hù)表中啟用,并通過安全策略來引用,不是全局使能的;根據(jù)網(wǎng)絡(luò)情況,配置合理的參數(shù)值;可以認(rèn)為是防攻擊、防掃描的補(bǔ)充。 安全變得簡單,從天清漢馬開始 防 攻 擊 防 掃 描 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 防 火 墻 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 數(shù) 據(jù) 中 心 安 裝 與 配 置 提 綱 安全變得簡單,從天清漢馬開始 VPN應(yīng) 用 場 景 安全

12、變得簡單,從天清漢馬開始 IPSec配 置 簡 介可以通過命令行或者web界面對IPSec進(jìn)行配置,基本步驟:配置階段1 (IKE) 策略配置階段2 (IPSec)策略在安全策略中啟用IPSec數(shù)據(jù)流觸發(fā)IPSec,察看IPSec 的運(yùn)行情況 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介場景:啟用IPSec安全策略,使得企業(yè)分部中的主機(jī)簇 10.0.0.2-10.0.0.100 訪問企業(yè)總部服務(wù)器192.168.0.100 的數(shù)據(jù)被IPSec加密 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介1. 在USG A上 創(chuàng)建地址對象 usrs 和 server,分別代表地址簇用戶和

13、服務(wù)器。 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介2. 配置階段1 (IKE) 策略 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介如果有必要,進(jìn)行階段1的高級配置,可以設(shè)置加密、認(rèn)證算法、DH組、密鑰周期、DPD探測頻率等參數(shù); 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介3. 創(chuàng)建階段2 (IPSec)策略 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介如有必要,配置階段2的高級選項,可更改ESP和AH封裝的加密算法、PFS組、工作模式、更改密鑰周期;密鑰周期可以按照時間或者流量來計算,也可以兩者一塊計算; 安全變得簡單,從天清漢馬開始 IPSec配

14、 置 簡 介4. 配置安全策略,并在安全策略中使能IPSec加密。 安全變得簡單,從天清漢馬開始 IPSec配 置 簡 介5. 參考步驟1-4,在USG B上,做類似的配置,需要保證兩邊的密鑰、加密算法、Hash算法等參數(shù)是一致的。6. 從企業(yè)分部的主機(jī),訪問總部的服務(wù)器,會觸發(fā)IPSec協(xié)商;7. 協(xié)商成功之后,從分部主機(jī)到服務(wù)器的流量被加密;可以從web上察看流量信息。 安全變得簡單,從天清漢馬開始 SSL VPN配 置1. 在USG上使能SSL VPN,默認(rèn)采用10443端口 安全變得簡單,從天清漢馬開始 SSL VPN配 置2. 在對應(yīng)的接口上開啟SSL VPN接入: 安全變得簡單,從

15、天清漢馬開始 SSL VPN配 置3. 配置相應(yīng)的安全策略,當(dāng)然還要配置好用戶和用戶組: 安全變得簡單,從天清漢馬開始 SSL VPN配 置4. 通過HTTPS協(xié)議,從Web登陸: 安全變得簡單,從天清漢馬開始 SSL VPN配 置5. 登陸后頁面如下,可以通過web或隧道模式訪問內(nèi)部資源。 安全變得簡單,從天清漢馬開始 SSL VPN配 置6. 隧道模式下需要先下載客戶端,安裝后點(diǎn)擊連接,撥號成功的頁面如下圖所示: 安全變得簡單,從天清漢馬開始 SSL VPN配 置7. 在管理界面中查看SSL VPN用戶情況,在web模式和隧道模式下分別顯示如下: 安全變得簡單,從天清漢馬開始 SSL VP

16、N配 置8. 此時再通過web方式或隧道方式訪問內(nèi)部資源,就是采用的加密方式。目前web方式只支持http瀏覽,隧道方式則支持一般的網(wǎng)絡(luò)應(yīng)用。 安全變得簡單,從天清漢馬開始 L2TP VPN配 置1. 首先創(chuàng)建L2TP所用的用戶和用戶組: 安全變得簡單,從天清漢馬開始 L2TP VPN配 置2. 在USG上配置L2TP 安全變得簡單,從天清漢馬開始 L2TP VPN配 置3. 在相關(guān)接口上開啟L2TP撥入功能 安全變得簡單,從天清漢馬開始 L2TP VPN配 置4. 視實際應(yīng)用情況,配置合適的安全策略: 安全變得簡單,從天清漢馬開始 L2TP VPN配 置5. 用戶此時可以撥入,撥入后在USG

17、管理頁面中可以查看存在的L2TP用戶: 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 防 火 墻 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 數(shù) 據(jù) 中 心 安 裝 與 配 置 提 綱 安全變得簡單,從天清漢馬開始 安 全 防 護(hù) 表安全防護(hù)表是一個模板,防病毒AV、入侵檢測IPS、IM-P2P控制、防Flood攻擊、文件跟蹤、Web過濾、郵件過濾這些功能都是在安全防護(hù)表中進(jìn)行配置并啟用,相應(yīng)的日志的啟用也在安全防護(hù)表中配置。安全防護(hù)表必須通過在安全策略中引用才能生效。 安全變得簡單,從天清漢馬開始 安 全 防 護(hù) 表 安全變得簡單,從天清漢馬開始 安 全 防

18、護(hù) 表 安全變得簡單,從天清漢馬開始 安 全 防 護(hù) 表 安全變得簡單,從天清漢馬開始 防 病 毒 AV配 置 安全變得簡單,從天清漢馬開始 防 病 毒 AV配 置 安全變得簡單,從天清漢馬開始 防 病 毒 AV配 置 安全變得簡單,從天清漢馬開始 防 病 毒 AV配 置 安全變得簡單,從天清漢馬開始 入 侵 防 御 IPS配 置 安全變得簡單,從天清漢馬開始 入 侵 防 御 IPS配 置預(yù)定義IPS特征 安全變得簡單,從天清漢馬開始 入 侵 防 御 IPS配 置自定義IPS特征 安全變得簡單,從天清漢馬開始 IM-P2P配 置IM-P2P統(tǒng)計信息 安全變得簡單,從天清漢馬開始 IM-P2P配

19、 置IM用戶信息 安全變得簡單,從天清漢馬開始 Web過 濾目前Web過濾僅支持基于URL的屏蔽,建立屏蔽列表和免屏蔽列表后,在安全防護(hù)表中啟用;啟用時屏蔽列表和免屏蔽列表是互斥的。 安全變得簡單,從天清漢馬開始 郵 件 過 濾 配 置USG郵件過濾是基于SMTP協(xié)議的過濾,支持:基于SMTP命令的過濾基于郵件標(biāo)題的過濾基于SMTP發(fā)件人的過濾配置完成之后在安全防護(hù)表中啟用郵件過濾,并在安全策略中應(yīng)用安全防護(hù),即可使用郵件過濾功能。 安全變得簡單,從天清漢馬開始 郵 件 過 濾 配 置發(fā)件人屏蔽和主題屏蔽 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 防 火 墻 基 本 配 置 VPN

20、配 置 AV和 IPS配 置 日 志 功 能 數(shù) 據(jù) 中 心 安 裝 與 配 置 提 綱 安全變得簡單,從天清漢馬開始 日 志 功 能USG日志分為:事件日志病毒日志入侵防護(hù)日志流量日志: 支持NetFlow V9對于前三種日志,可以配置將其記錄到內(nèi)存、標(biāo)準(zhǔn)Syslog服務(wù)器或者數(shù)據(jù)中心;對于流量日志,可以輸出到第三方流量收集器或數(shù)據(jù)中心。 安全變得簡單,從天清漢馬開始 日 志 功 能大部分事件日志在這兒配置: 安全變得簡單,從天清漢馬開始 日 志 功 能NAT的日志事件在配置NAT策略時配置: 安全變得簡單,從天清漢馬開始 日 志 功 能系統(tǒng)監(jiān)控的日志事件配置:系統(tǒng)周期性輪詢設(shè)備的運(yùn)行狀態(tài)如CPU和內(nèi)存利用率、當(dāng)前連接數(shù),以及系統(tǒng)檢測事件,并給出告警。 安全變得簡單,從天清漢馬開始 日 志 功 能病毒、入侵等的日志事件在安全防護(hù)表中配置: 安全變得簡單,從天清漢馬開始 日 志 功 能NetFlow日志在安全策略中配置: 安全變得簡單,從天清漢馬開始 配 置 管 理 概 述 防 火 墻 基 本 配 置 VPN配 置 AV和 IPS配 置 日 志 功 能 數(shù) 據(jù) 中 心 安 裝 與 配 置 提 綱 安全變得簡單,從天清漢馬開始謝 謝 !

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!