天清漢馬USG防火墻T系列快速安裝指南v3
《天清漢馬USG防火墻T系列快速安裝指南v3》由會(huì)員分享,可在線閱讀,更多相關(guān)《天清漢馬USG防火墻T系列快速安裝指南v3(27頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、清漢馬 USG 防火墻( T 系列)快速安裝指南北京啟明星辰信息安全技術(shù)有限公司Beijing Venus Information Security Inc.二零一六年 11 月天清漢馬 USG防火墻快速安裝指南手冊(cè)版本產(chǎn)品版本資料狀態(tài)發(fā)行版權(quán)聲明啟明星辰公司版權(quán)所有,并保留對(duì)本手冊(cè)及本聲明的最終解釋權(quán)和修改權(quán)。本手冊(cè)的版權(quán)歸啟明星辰公司所有。未得到啟明星辰公司書(shū)面許可,任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語(yǔ)言、將其部分或全部用于商業(yè)用途。免責(zé)聲明本手冊(cè)依據(jù)現(xiàn)有信息制作,其內(nèi)容如有更改,恕不另行通知。啟明星辰公司在編寫該手冊(cè)的時(shí)候已盡最大努
2、力保證其內(nèi)容準(zhǔn)確可靠,但啟明星辰公司不對(duì)本手冊(cè)中的遺漏、不準(zhǔn)確或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。User s Manual Copyright and DisclaimerCopyrightCopyright Venus networksAll rights reserved.The copyright of this document is owned by Venus networks . Without the prior written permission obtained from Venus networks ., this document shall not be reprod
3、uced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS” basis. Venus networks m
4、ay make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document wasprepared Venus networkswith reasonable care and is believed to be accurate.However, Venus networksshall not assume responsibility for losses or damagesresulting fro
5、m any omissions, inaccuracies, or errors contained herein.副本發(fā)布聲明啟明星辰公司的天清漢馬 USG防火墻產(chǎn)品正常運(yùn)行時(shí),包含 2 款 GPL協(xié)議的軟件( linux、zebra)。啟明星辰公司愿意將 GPL 軟件提供給已經(jīng)購(gòu)買產(chǎn)品的且愿意遵守 GPL協(xié)議的客戶,請(qǐng)需要 GPL軟件的客戶提供( 1)已經(jīng)購(gòu)買的產(chǎn)品的序列號(hào),( 2)有效送達(dá) GPL軟件地址和聯(lián)系人,包括但不限于姓名、公司、電話、電子郵箱、地址、郵編等。目錄快速安裝指南 .錯(cuò)誤 !未定義書(shū)簽。User s Manual Copyright and Disclaimer .錯(cuò)
6、誤 !未定義書(shū)簽。Copyright .錯(cuò)誤 !未定義書(shū)簽。Disclaimer .錯(cuò)誤 !未定義書(shū)簽。第1 章 硬件安裝 .錯(cuò)誤 !未定義書(shū)簽。安裝前準(zhǔn)備工作.錯(cuò)誤 !未定義書(shū)簽。安裝環(huán)境要求 .錯(cuò)誤 !未定義書(shū)簽。安裝工具準(zhǔn)備 .錯(cuò)誤 !未定義書(shū)簽。設(shè)備面板標(biāo)識(shí)說(shuō)明 .錯(cuò)誤 !未定義書(shū)簽。設(shè)備安裝 .錯(cuò)誤 !未定義書(shū)簽。設(shè)備接口卡的安裝.錯(cuò)誤 !未定義書(shū)簽。將設(shè)備安裝到機(jī)柜.錯(cuò)誤 !未定義書(shū)簽。第2 章 快速配置 .錯(cuò)誤 !未定義書(shū)簽。設(shè)備默認(rèn)配置 .錯(cuò)誤 !未定義書(shū)簽。管理口的默認(rèn)配置.錯(cuò)誤 !未定義書(shū)簽。默認(rèn)管理員用戶 .錯(cuò)誤 !未定義書(shū)簽。Web 快速配置 .錯(cuò)誤 !未定義書(shū)簽。登錄
7、設(shè)備 .錯(cuò)誤 !未定義書(shū)簽。配置 VLAN.錯(cuò)誤 !未定義書(shū)簽。配置 IP 地址 .錯(cuò)誤 !未定義書(shū)簽。透明橋模式案例1 .錯(cuò)誤 !未定義書(shū)簽。透明橋模式案例2 .錯(cuò)誤 !未定義書(shū)簽。路由綜合案例 .錯(cuò)誤 !未定義書(shū)簽。攻擊防護(hù)案例 .錯(cuò)誤 !未定義書(shū)簽。應(yīng)用控制案例 .錯(cuò)誤 !未定義書(shū)簽。第3 章 軟件升級(jí) .錯(cuò)誤 !未定義書(shū)簽。通過(guò) Web 升級(jí).錯(cuò)誤 !未定義書(shū)簽。第 1章 硬件安裝在這部分里主要介紹的是硬件的安裝、設(shè)置以及必要的配置操作。1.1 安裝前準(zhǔn)備工作安裝環(huán)境要求工作溫度0 40存儲(chǔ)溫度-40 70相對(duì)濕度0 95%非凝結(jié)電磁兼容性滿足 GB9254-1998 A 級(jí)以上及GB
8、17618-1998 電磁兼容要求電源適應(yīng)性220V拉偏電:198V242V ,頻率: 49 51Hz安裝工具準(zhǔn)備請(qǐng)安裝前準(zhǔn)備好以下安裝工具:終端:配置終端,可以是普通PC機(jī)、筆記本電腦工具:十字螺絲刀和防靜電護(hù)腕電纜:電源電纜、串口電纜、網(wǎng)線1.2 設(shè)備面板標(biāo)識(shí)說(shuō)明:超級(jí)終端的RJ45連接端口:2 USB 連接接口:管理接口: 10/100/1000M自適應(yīng)以太網(wǎng)電接口業(yè)務(wù)口: GE SFP光接口業(yè)務(wù)口:機(jī)箱后部電源插座和電源開(kāi)關(guān):接口卡1.3 設(shè)備安裝1.3.1 設(shè)備接口卡的安裝設(shè)備接口卡安裝步驟如下:1) 設(shè)備斷電;2) 取下接口槽位上的擋板,插入接口卡;3) 安裝完畢。設(shè)備的接口卡不支
9、持熱插拔,設(shè)備必須在斷電情況下才能進(jìn)行接口卡注意的安裝和卸載,否則會(huì)造成設(shè)備的損壞!1.3.2 將設(shè)備安裝到機(jī)柜1)設(shè)備斷電2)將設(shè)備放置在機(jī)柜托盤上3)將設(shè)備固定在機(jī)柜上4)接通電源5)管理口接上網(wǎng)線第 2章快速配置本設(shè)備可通過(guò)Web 方式來(lái)進(jìn)行配置。2.1 設(shè)備默認(rèn)配置出廠的防火墻設(shè)備自帶默認(rèn)的配置。這些默認(rèn)配置可以在出廠的情況下,允許用戶通過(guò) Web 進(jìn)行配置。2.1.1 管理口的默認(rèn)配置標(biāo)記有“ MGT”的接口為設(shè)備的管理口;如果沒(méi)有“MGT”接口,則主板上從左側(cè)數(shù)第一個(gè)以太網(wǎng)接口為設(shè)備的管理口。管理口的默認(rèn)IP 地址為。允許對(duì)該接口的Ping, HTTPS操作。2.1.2 默認(rèn)管理員
10、用戶系統(tǒng)默認(rèn)的管理員用戶為 admin ,密碼為。任何地址都可以使用該用戶登錄設(shè)備。并且可以使用設(shè)備的所有功能。2.2 Web 快速配置2.2.1 登錄設(shè)備配置本機(jī)IP 地址為通過(guò)網(wǎng)線將本機(jī)和設(shè)備管理口連接。打開(kāi)瀏覽器,輸入連接設(shè)備。輸入用戶名(缺省用戶名:admin )、密碼(缺省密碼:)和驗(yàn)證碼(隨機(jī)生成)登錄。2.2.2 配置 VLAN案例描述FW 設(shè)備使用VLAN 提供轉(zhuǎn)發(fā)業(yè)務(wù),在配置其他業(yè)務(wù)前,需要根據(jù)網(wǎng)絡(luò)環(huán)境創(chuàng)建VLAN 并在其中加入物理接口成員。配置步驟:進(jìn)入 網(wǎng)絡(luò)接口 VLAN,點(diǎn)擊 新建 ,如下圖:1、 配置參數(shù)名稱: vlan 的名稱,這里配置為vlan1。Tag: vla
11、n管理狀態(tài):的 tagvlan號(hào),這里配置為 1。接口的狀態(tài),設(shè)置為UP。MTU: vlan接口的MTU 值,保持默認(rèn)的1500即可。接口選擇:在可選的接口中點(diǎn)擊Untagged 方式加入到vlan 1 中,將加入到Untagged 或者ge0/2 以 Tagged 方式加入到Tagged 接口中,這里將vlan 1 中。ge0/1以2、點(diǎn)擊提交完成創(chuàng)建VLAN。2.2.3 配置 IP 地址防火墻設(shè)備在做網(wǎng)絡(luò)層以上業(yè)務(wù)處理時(shí),需要在VLAN 上配置 IP 地址。配置步驟:1.進(jìn)入 網(wǎng)絡(luò) 接口 VLAN,點(diǎn)擊 列表中的需要配置的vlan接口 ,如下圖所示(以vlan10為例):IP 地址 / 掩
12、碼 : vlan 接口的 IP 地址 / 掩碼,這里設(shè)置為。這里不選擇浮動(dòng)IP 與單元ID。點(diǎn)擊“添加”按鈕。2.點(diǎn)擊“ 更新” 添加 VLAN IP 成功,如下圖所示:2.2.4 透明橋模式案例1案例描述:防火墻設(shè)備透明部署,通過(guò)FW 設(shè)備的報(bào)文不帶vlan tag ,內(nèi)網(wǎng)用戶需要通過(guò)防火墻訪問(wèn)外網(wǎng)。案例拓?fù)渑渲貌襟E:1、 進(jìn)入 網(wǎng)絡(luò) 接口 VLAN,新建 vlan10 , tag 為 10,將接口 ge0/0 和 ge0/1 UnTagged 方式加入到 vlan10 中,點(diǎn)擊 提交 使配置生效。2、 進(jìn)入 對(duì)象 地址對(duì)象 地址節(jié)點(diǎn) ,創(chuàng)建 IPV4 類型的地址對(duì)象 內(nèi)網(wǎng)用戶 ,并將內(nèi)網(wǎng)網(wǎng)
13、段加入到地址對(duì)象中。3、 進(jìn)入 策略 防火墻 策略 ,點(diǎn)擊 新建 ,地址類型選擇IPv4,入接口配置為vlan10 ,出接口也配置為vlan10 ,源地址配置為內(nèi)網(wǎng)用戶 ,目的地址配置為any ,服務(wù)為 any ,時(shí)間為always,動(dòng)作為permit ,點(diǎn)擊 提交 使配置生效。4、 進(jìn)入 策略 防火墻 策略 ,查看策略,勾選策略啟用 開(kāi)關(guān),使得配置啟用。5、 進(jìn)入 策略 防火墻 策略配置 ,查看策略匹配開(kāi)關(guān)開(kāi)啟 ,默認(rèn)動(dòng)作為deny 。2.2.5 透明橋模式案例2案例描述:防火墻透明部署在要透?jìng)鲙?vlan tagtrunk 鏈路下,通過(guò) FW 設(shè)備的報(bào)文帶 vlan tag10 和 vla
14、n tag20 , FW 設(shè)備需的報(bào)文,并且內(nèi)網(wǎng)用戶需要通過(guò)防火墻訪問(wèn)外網(wǎng)。案例拓?fù)渑渲貌襟E:1、 進(jìn)入 網(wǎng)絡(luò) 接口 VLAN,新建 vlan10 ,tag 為 10,將接口 ge0/0 和 ge0/1 UnTagged 加入到 vlan10 中,點(diǎn)擊 提交 使配置生效。2、 配置設(shè)備管理接口允許SSH或 telnet 方式訪問(wèn)設(shè)備,并使用SSH或 telnet方式登陸到設(shè)備管理終端,在配置視圖下,輸入如下命令。該命令會(huì)使得該vlan 的接口下 允許所有的vlantag 或 untag 透?jìng)?,故配置后不再受步驟 1 中 vlan 接口配置的 UnTagged 或者 tagged 方式的約束。
15、FW(config)# vlan 10FW(config-vlan)# vlan-transparent enable提示: 此配置命令適用于FW 需要透?jìng)鞔罅縱lan 時(shí)使用,若橋下只需要允許單個(gè)VLAN 帶tag 通過(guò),在配置vlan 時(shí),將接口tagged 方式加入到該vlan 中即可。3、 進(jìn)入 對(duì)象 地址對(duì)象 地址節(jié)點(diǎn) ,創(chuàng)建 IPV4 類型的地址對(duì)象內(nèi)網(wǎng)用戶 ,并將內(nèi)網(wǎng)網(wǎng)段和加入到地址對(duì)象中。4、 進(jìn)入 策略 防火墻 策略 ,點(diǎn)擊 新建 ,地址類型選擇IPv4,入接口配置為配置為vlan10 ,源地址配置為內(nèi)網(wǎng)用戶 ,目的地址配置為any ,服務(wù)為動(dòng)作為permit ,點(diǎn)擊 提交
16、使配置生效。vlan10 ,出接口也any ,時(shí)間為always,5、 進(jìn)入 策略 防火墻 策略 ,查看策略,勾選策略啟用 開(kāi)關(guān),使得配置啟用。6、 進(jìn)入 策略 防火墻 策略配置 ,查看策略匹配開(kāi)關(guān)開(kāi)啟 ,默認(rèn)動(dòng)作為deny 。2.2.6 路由綜合案例案例描述:企業(yè)需要通過(guò) FW 設(shè)備進(jìn)行互聯(lián)網(wǎng)訪問(wèn),內(nèi)網(wǎng)地址網(wǎng)段為,服務(wù)器網(wǎng)段為。企業(yè)有兩條條出口鏈路分別屬于電信、網(wǎng)通,電信的公網(wǎng)地址為,網(wǎng)關(guān)為;網(wǎng)通的公網(wǎng)地址為,網(wǎng)關(guān)為。用戶具體需求如下:1、 內(nèi)網(wǎng)地址訪問(wèn)外網(wǎng)需要進(jìn)行源NAT 轉(zhuǎn)換。2、 外網(wǎng)地址訪問(wèn)內(nèi)網(wǎng)服務(wù)器需要進(jìn)行目的NAT 轉(zhuǎn)換。3、 依據(jù)組網(wǎng)劃分不同的區(qū)域,內(nèi)網(wǎng)屬于trust 區(qū)域,外
17、網(wǎng)屬于untrust區(qū)域,內(nèi)網(wǎng)服務(wù)器屬于DMZ 區(qū)域。配置策略允許trust 區(qū)域訪問(wèn) untrust 區(qū)域,允許trust和 untrust 區(qū)域訪問(wèn) DMZ區(qū)域的 http 服務(wù),其他訪問(wèn)流量默認(rèn)拒絕。4、 若訪問(wèn)的目的地址為電信IP 地址,選擇電信的鏈路作為出鏈路,當(dāng)電信鏈路故障以后,選擇網(wǎng)通的鏈路作為出鏈路。5、 若訪問(wèn)的目的地址為網(wǎng)通IP 地址,選擇網(wǎng)通的鏈路作為出鏈路,當(dāng)網(wǎng)通鏈路故障以后,選擇電信的鏈路作為出鏈路。6、 若訪問(wèn)的目的地址不屬于電信、網(wǎng)通,可以輪詢選擇出鏈路,但是內(nèi)網(wǎng)訪問(wèn)服務(wù)器的流量都不受策略路由控制。案例拓?fù)浒咐渲梅治觯?、 設(shè)備配置源NAT 實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的N
18、AT 轉(zhuǎn)換。2、 設(shè)備配置目的NAT 實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)服務(wù)器的訪問(wèn)。3、 配置添加兩條默認(rèn)路由使得內(nèi)網(wǎng)可以通過(guò)路由成功訪問(wèn)到外網(wǎng)。4、 配置接口加入到不同的安全域,通過(guò)配置防火墻策略實(shí)現(xiàn)區(qū)域之間的互訪控制。5、 配置策略路由實(shí)現(xiàn)基于ISP 的選路。6、 地址對(duì)象配置添加排除IP,使得內(nèi)網(wǎng)訪問(wèn)服務(wù)器不受策略控制。配置步驟:1、 照上述拓?fù)溥M(jìn)行組網(wǎng),并作基本網(wǎng)絡(luò)配置,包括VLAN 劃分,以及 IP 地址配置。2、 進(jìn)入 對(duì)象 地址對(duì)象 地址節(jié)點(diǎn) ,創(chuàng)建電信地址對(duì)象,ISP 地址庫(kù)選擇(中國(guó)電信),配置 提交。3、 按照上述方法,分別創(chuàng)建如下地址對(duì)象:電信: 包含電信ISP 地址庫(kù)網(wǎng)通: 包含網(wǎng)通IS
19、P 地址庫(kù)內(nèi)網(wǎng)地址: 成員為所有內(nèi)網(wǎng)網(wǎng)段:和 外網(wǎng)地址: 成員為,同時(shí)將內(nèi)網(wǎng)用戶和服務(wù)器網(wǎng)段添加到排除 地址中。DNAT 電信: 成員為內(nèi)網(wǎng)服務(wù)器對(duì)外映射的公網(wǎng)地址:。4、 進(jìn)入 網(wǎng)絡(luò) NATNAT 規(guī)則 源地址轉(zhuǎn)換,點(diǎn)擊 新建, 轉(zhuǎn)換類型為IPV4 to IPV4 ,源地址選擇內(nèi)網(wǎng)地址 ,目標(biāo)地址為 any ,服務(wù)為 any,出接口選擇 VLAN3,轉(zhuǎn)換后地址為出接口地址,點(diǎn)擊提交 。5、 按照上述方法,創(chuàng)建出接口為VLAN4 的源 NAT 策略。6、 進(jìn)入 網(wǎng)絡(luò) NATNAT 地址池, 點(diǎn)擊 新建, 名稱為dnat-pool ,地址池配置為內(nèi)網(wǎng)服務(wù)器地址,點(diǎn)擊 提交 使配置生效。7、 進(jìn)入
20、 網(wǎng)絡(luò) NATNAT 規(guī)則 目的地址轉(zhuǎn)換,點(diǎn)擊 新建, 源地址選擇any,目標(biāo)地址為DNAT電信 ,服務(wù)為any ,入接口選擇VLAN3,轉(zhuǎn)換后地址引用地址池dnat-pool ,點(diǎn)擊 提交 。8、 進(jìn)入 網(wǎng)絡(luò) 路由 靜態(tài)路由 :IPv4: 配置添加兩條默認(rèn)路由,點(diǎn)擊提交 使得路由配置生效。9、 進(jìn)入 網(wǎng)絡(luò) 安全域, 配置添加trust 安全域,將內(nèi)網(wǎng)接口vlan1 加入安全域中。10、 按照上述方法, 創(chuàng)建 untrust和 DMZ 安全域, untrust 安全域加入vlan3 和 vlan4 接口, DMZ安全域加入vlan2 接口。11、 進(jìn)入策略 防火墻 策略 ,點(diǎn)擊 新建 ,地址類
21、型選擇 IPV4,入接口選擇安全域 trust ,出接口選擇安全域 untrust ,源地址選擇 內(nèi)網(wǎng)地址 ,目的地址選擇 any ,服務(wù)選擇 any ,應(yīng)用選擇any ,時(shí)間選擇always,動(dòng)作選擇permit ,點(diǎn)擊 提交 使得配置生效。12、 按照上述方法,創(chuàng)建允許 trust 和 untrust 區(qū)域到 DMZ 區(qū)域的 http 服務(wù) 訪問(wèn),勾選 啟用 使得策略生效。13、 進(jìn)入策略 防火墻 策略配置 ,查看策略匹配開(kāi)關(guān)是否開(kāi)啟 ,默認(rèn)動(dòng)作為deny 。14、 進(jìn)入對(duì)象 健康檢查 ,創(chuàng)建 icmp 健康檢查模板。提示: 源 IP 和覆蓋IP 若不填寫,健康檢查會(huì)使用策略路由的下一跳作
22、為目的IP 會(huì)自動(dòng)選擇下一跳對(duì)應(yīng)出接口的IP。IP 進(jìn)行檢查,源15、 進(jìn)入網(wǎng)絡(luò) 路由 策略路由 ,分別創(chuàng)建 電信策略路由、網(wǎng)通策略路由和默認(rèn)策略路由。電信策略路由源地址選擇內(nèi)網(wǎng)地址 ,目標(biāo)地址選擇電信 地址對(duì)象,網(wǎng)關(guān)添加優(yōu)先級(jí)高于網(wǎng)通鏈路,并引用icmp 健康檢查模板。電信鏈路 和網(wǎng)通鏈路 ,電信鏈路網(wǎng)通策略路由源地址選擇內(nèi)網(wǎng)地址 ,目標(biāo)地址選擇網(wǎng)通 地址對(duì)象,網(wǎng)關(guān)添加優(yōu)先級(jí)高于電信鏈路,并引用icmp 健康檢查模板。電信鏈路 和網(wǎng)通鏈路 ,網(wǎng)通鏈路默認(rèn)策略路由源地址選擇內(nèi)網(wǎng)地址 ,目標(biāo)地址選擇外網(wǎng)地址 對(duì)象,由于外網(wǎng)地址添加了內(nèi)網(wǎng)網(wǎng)段和的排除地址,故內(nèi)網(wǎng)訪問(wèn)服務(wù)器的流量不會(huì)匹配策略路由。網(wǎng)
23、關(guān)添加 電信鏈路 和網(wǎng)通鏈路 ,網(wǎng)通鏈路優(yōu)先級(jí)和電信鏈路優(yōu)先級(jí)相同,使其輪詢轉(zhuǎn)發(fā),并引用 icmp 健康檢查模板。16、 配置完成后 網(wǎng)絡(luò) 路由 策略路由 下查看策略, 依據(jù)命中數(shù)可以查看到匹配策略路由調(diào)度的情況。2.2.7 攻擊防護(hù)案例案例描述:企業(yè)要求對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行防護(hù),抵御外部網(wǎng)絡(luò)的攻擊,具體需求如下:1、 若外網(wǎng)的每源 IP 向內(nèi)網(wǎng)發(fā)出的 TCP連接請(qǐng)求速率超過(guò)100 ,設(shè)備主動(dòng)驗(yàn)證連接請(qǐng)求方是否為攻擊源,若是攻擊源,設(shè)備將連接請(qǐng)求報(bào)文丟棄。2、 若外網(wǎng)某一源地址1 秒內(nèi)向內(nèi)網(wǎng)服務(wù)器超過(guò)1000 個(gè)不同端口發(fā)送了TCP連接請(qǐng)求報(bào)文 (或UDP 連接請(qǐng)求報(bào)文) ,則設(shè)備在接下來(lái)的20 秒
24、內(nèi),此源地址的所有TCP請(qǐng)求報(bào)文(或 UDP請(qǐng)求報(bào)文)被阻斷。3、 對(duì)常見(jiàn)的 Dos 攻擊類型進(jìn)行主動(dòng)防御。4、 對(duì)內(nèi)部服務(wù)器配置ARP防護(hù),防止遭受ARP 欺騙攻擊,引起服務(wù)器訪問(wèn)失敗。案例拓?fù)渑渲貌襟E:1、 照上述拓?fù)溥M(jìn)行組網(wǎng),并作基本網(wǎng)絡(luò)配置,包括VLAN 劃分,以及IP 地址配置,配置路由、防火墻等策略等保證網(wǎng)絡(luò)可正常通信。2、 進(jìn)入 對(duì)象 -地址對(duì)象 -地址節(jié)點(diǎn) ,創(chuàng)建 IPv4 類型的地址對(duì)象“ 內(nèi)網(wǎng)地址 ”,將內(nèi)網(wǎng)網(wǎng)段和加入到地址對(duì)象中。3、 進(jìn)入 策略 安全防護(hù) 攻擊防護(hù) 安全防護(hù)表,點(diǎn)擊 新建 ,勾選 啟用 Anti-Flood Attack ,TCP flood每主機(jī)報(bào)文速
25、率限制(源IP)配置為100/S,動(dòng)作選擇syn cookie ;勾選啟用 防掃描, 啟用TCP協(xié)議掃描 和 UDP 協(xié)議掃描 ,掃描識(shí)別閾值為1000,主機(jī)抑制時(shí)長(zhǎng)為20s,配置 提交 。4、 進(jìn)入 策略 安全防護(hù) 攻擊防護(hù):策略,地址類型選擇IPV4,入接口選擇vlan20 ,源地址選擇 any,目的地址選擇 內(nèi)網(wǎng)地址 ,服務(wù)選擇 any,時(shí)間表選擇 always,安全防護(hù)選擇配置的攻擊防護(hù)表 scan-flood 。5、 進(jìn)入 策略 安全防護(hù) Dos 防護(hù) ,Dos 防護(hù)下勾選需要防護(hù)的攻擊類型,點(diǎn)擊確定 使得配置生效。6、 進(jìn)入 策略 安全防護(hù) ARP 攻擊防護(hù):ARP 表,找到設(shè)備學(xué)
26、習(xí)到的服務(wù)器的ARP 表,點(diǎn)擊按鈕,將 IP 和 MAC 的關(guān)系進(jìn)行綁定。 (若已知服務(wù)器的 MAC 也可以在 IP-MAC 綁定配置界面手動(dòng)添加綁定關(guān)系)7、 進(jìn)入 策略 安全防護(hù) ARP 攻擊防護(hù):主動(dòng)保護(hù)列表服務(wù)器的IP 和 MAC 填入保護(hù)列表中,點(diǎn)擊提交 。,接口選擇vlan10 ,啟用 接口保護(hù) ,將8、 進(jìn)入 策略 安全防護(hù) ARP 攻擊防護(hù):配置,勾選啟用 防 ARP 欺騙 ,并啟用 主動(dòng)保護(hù) 。2.2.8 應(yīng)用控制案例案例描述:某企業(yè)出口帶寬為10Mbps ,要求對(duì)應(yīng)用及用戶上網(wǎng)行為進(jìn)行精細(xì)控制,具體要求如下:1、 為了使公司出口帶寬合理利用,給各個(gè)部門分配一定的帶寬:研發(fā)
27、-2M ,測(cè)試 -5M ,行政 -3M ,同時(shí), 根據(jù)業(yè)務(wù)類型對(duì)流量進(jìn)行限制和保證,在研發(fā)部,電子郵件應(yīng)用保證1 M,P2P 下載應(yīng)用限制為M 。2、 上班時(shí)間拒絕內(nèi)網(wǎng)用戶登錄QQ 應(yīng)用。3、 若用戶發(fā)帖關(guān)鍵字包含“暴力、反動(dòng)”則阻斷此次發(fā)帖行為。案例拓?fù)渑渲貌襟E:1、 照上述拓?fù)溥M(jìn)行組網(wǎng),并作基本網(wǎng)絡(luò)配置,包括 VLAN 劃分,以及 IP 地址配置,配置路由、防火墻等策略保證網(wǎng)絡(luò)可正常通信。2、 進(jìn)入 對(duì)象 地址對(duì)象 地址節(jié)點(diǎn) ,配置創(chuàng)建研發(fā)部 地址對(duì)象,地址配置為,配置提交 。3、 按照上述方法配置添加如下地址對(duì)象:研發(fā)部: 成員包含網(wǎng)段測(cè)試部: 成員包含網(wǎng)段行政部: 成員包含網(wǎng)段內(nèi)網(wǎng)用戶
28、:成員包含、和網(wǎng)段4、 進(jìn)入 策略 流量控制線路設(shè)置,點(diǎn)擊 新建, 接口配置為vlan20 ,配置帶寬入和出都為10000 Kbps5、 進(jìn)入 策略 流量控制 流控策略, 在線路策略 公司 下,點(diǎn)擊 新建 ,源地址配置為 研發(fā)部 ,目的地址為 any,應(yīng)用為 any ,服務(wù)為 any,時(shí)間為 always,帶寬配置為 2000 Kbps。6、 按照上述方法,分別添加測(cè)試部 、行政部 的流控策略,測(cè)試部帶寬配置為部帶寬配置為3000Kbps 。5000Kbps ,行政7、 進(jìn)入 策略 流量控制 流控策略, 在流控策略 研發(fā)部 下,點(diǎn)擊 新建 ,源地址配置為 研發(fā)部 ,目的地址為 any ,應(yīng)用選
29、擇 電子郵件 ,帶寬保證配置為 1000 Kbps。8、 按照上述方法,創(chuàng)建P2P 下載策略,對(duì)P2P 下載 帶寬限制到500Kbps9、 進(jìn)入 對(duì)象 時(shí)間對(duì)象 周期時(shí)間 ,點(diǎn)擊 新建 ,添加 循環(huán)日期 ,點(diǎn)擊 提交 新建一條 工作時(shí)間 對(duì)象。10、 進(jìn)入策略 應(yīng)用控制 應(yīng)用控制策略,地址對(duì)象配置為內(nèi)網(wǎng)用戶 ,應(yīng)用選擇QQ,應(yīng)用行為配置為 登錄 ,其他參數(shù)配置為any,時(shí)間配置為工作時(shí)間 ,處理動(dòng)作為拒絕 ,點(diǎn)擊提交。11、 進(jìn)入策略 應(yīng)用控制 關(guān)鍵字 ,配置添加 暴力、反動(dòng)到關(guān)鍵字列表中。12、 進(jìn)入策略 應(yīng)用控制 應(yīng)用控制策略 ,地址對(duì)象為 內(nèi)網(wǎng)用戶 ,應(yīng)用選擇 社交網(wǎng)絡(luò) ,關(guān)鍵字選擇前面配置的 關(guān)鍵字 ,處理動(dòng)作配置為 拒絕 ,勾選 啟用 ,提交配置。第 3章軟件升級(jí)3.1 通過(guò) Web 升級(jí)當(dāng)設(shè)備已經(jīng)在運(yùn)行時(shí),可通過(guò)Web 頁(yè)面來(lái)升級(jí)軟件版本。配置步驟:1進(jìn)入 系統(tǒng) - 版本管理 -軟件版本,2點(diǎn)擊 “選擇 ”,3 瀏覽 當(dāng)?shù)匚募⑦x中軟件版本文件4 點(diǎn)擊 “升級(jí)”。,5重啟設(shè)備進(jìn)入系統(tǒng)- 配置 -設(shè)備重啟點(diǎn)擊“提交”重啟設(shè)備,新版本在啟動(dòng)后加載。
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 質(zhì)量成本管理及質(zhì)量管理
- 血液氣體監(jiān)測(cè)【1】-(2)課件
- 理財(cái)講座整理
- 七級(jí)語(yǔ)文下冊(cè) 第一單元口語(yǔ)交際 課件 蘇教
- 七級(jí)語(yǔ)文下冊(cè) 第17課《神奇的納米》課件 鄂教
- 八下U5 書(shū)面表達(dá)課
- 記敘文結(jié)尾(實(shí)例示范)
- 加強(qiáng)醫(yī)療執(zhí)業(yè)監(jiān)督嚴(yán)厲打擊非法行醫(yī)
- 思維導(dǎo)圖項(xiàng)目
- (畢節(jié)專版)七年級(jí)數(shù)學(xué)下冊(cè) 6.1 感受可能性課件 (新版)北師大版
- 建筑工程項(xiàng)目質(zhì)量控制概述
- 高中物理《光的干涉》
- 培訓(xùn)為自己工作
- 娃哈哈向左-樂(lè)百氏向右
- 某集團(tuán)商業(yè)計(jì)劃書(shū)