天清漢馬防火墻培訓(xùn)手冊

安全變得簡單，從天清漢馬開始天清漢馬防火墻培訓(xùn)手冊天清漢馬防火墻培訓(xùn)手冊安全變得簡單，從天清漢馬開始配置管理概述 防火墻基本配置 日志功能提綱提綱安全變得簡單，從天清漢馬開始配置管理概述配置管理概述安全變得簡單，從天清漢馬開始配置管理概述配置管理概述USG設(shè)備的管理方式設(shè)備的管理方式 通過通過Console口配置；口配置； 通過通過Telnet 進(jìn)行命令行的配置；進(jìn)行命令行的配置； 通過通過SSH進(jìn)行命令行的配置；進(jìn)行命令行的配置； 通過通過HTTP 或或HTTPS協(xié)議，從協(xié)議，從GUI界面進(jìn)行配置管理；界面進(jìn)行配置管理； 安裝集中管理中心軟件，集中管理、配置安裝集中管理中心軟件，集中管理、配置USG設(shè)備；設(shè)備；安全變得簡單，從天清漢馬開始配置管理概述配置管理概述管理員用戶與權(quán)限表管理員用戶與權(quán)限表 通過默認(rèn)管理員或自建管理員用戶來進(jìn)行管理配置；通過默認(rèn)管理員或自建管理員用戶來進(jìn)行管理配置； 管理員可以通過本地或管理員可以通過本地或Radius進(jìn)行認(rèn)證；進(jìn)行認(rèn)證； 出廠默認(rèn)管理用戶出廠默認(rèn)管理用戶admin，密碼，密碼venus.usg； 管理員權(quán)限表規(guī)定了管理員可以執(zhí)行的操作；管理員權(quán)限表規(guī)定了管理員可以執(zhí)行的操作； 可以給管理員添加管理可以給管理員添加管理IP限制；限制；安全變得簡單，從天清漢馬開始配置管理概述配置管理概述新建管理員用戶新建管理員用戶安全變得簡單，從天清漢馬開始配置管理概述配置管理概述新建管理員權(quán)限表新建管理員權(quán)限表安全變得簡單，從天清漢馬開始 配置管理概述防火墻基本配置 日志功能提綱提綱安全變得簡單，從天清漢馬開始USG的工作模式的工作模式USG支持三種接入模式：支持三種接入模式： 透明模式；透明模式； 路由模式；路由模式； 混合模式；混合模式；這三種模式無需顯式配置，這三種模式無需顯式配置，USG根據(jù)用戶配置自動生效。根據(jù)用戶配置自動生效。安全變得簡單，從天清漢馬開始USG中的接口概念中的接口概念USG中包含以下接口級的概念中包含以下接口級的概念: 物理接口；物理接口； Vlan接口；接口； 透明橋接口；透明橋接口； GRE接口；接口； 安全域；安全域； 其他隱藏接口，包括其他隱藏接口，包括loopback接口、接口、L2TP接口和接口和tunssl接口接口安全變得簡單，從天清漢馬開始物理接口物理接口安全變得簡單，從天清漢馬開始Vlan接口接口安全變得簡單，從天清漢馬開始透明橋接口透明橋接口安全變得簡單，從天清漢馬開始路由配置路由配置路由表查詢路由表查詢安全變得簡單，從天清漢馬開始路由配置路由配置創(chuàng)建靜態(tài)路由創(chuàng)建靜態(tài)路由安全變得簡單，從天清漢馬開始路由配置路由配置創(chuàng)建策略路由創(chuàng)建策略路由安全變得簡單，從天清漢馬開始安全策略安全策略安全策略是安全策略是USG應(yīng)用的核心，我們通過配置安全策略應(yīng)用的核心，我們通過配置安全策略: 實現(xiàn)對數(shù)據(jù)流的匹配實現(xiàn)對數(shù)據(jù)流的匹配(接口、接口、IP、服務(wù)、時間、服務(wù)、時間) 控制和管理流經(jīng)設(shè)備的數(shù)據(jù)流控制和管理流經(jīng)設(shè)備的數(shù)據(jù)流(Permit、Deny、IPSec加密、加密、SSL加密加密) 施行施行QoS 服務(wù)質(zhì)量劃分服務(wù)質(zhì)量劃分安全變得簡單，從天清漢馬開始安全策略安全策略創(chuàng)建和編輯安全策略創(chuàng)建和編輯安全策略安全變得簡單，從天清漢馬開始安全策略安全策略安全策略的啟用與匹配安全策略的啟用與匹配 安全策略配置后必須啟用才會生效；安全策略配置后必須啟用才會生效； 安全安全策略按先配置優(yōu)先的原則進(jìn)行匹配；策略按先配置優(yōu)先的原則進(jìn)行匹配； 對對通過設(shè)備的數(shù)據(jù)包進(jìn)行處理，對于到設(shè)備本身的數(shù)據(jù)包通過設(shè)備的數(shù)據(jù)包進(jìn)行處理，對于到設(shè)備本身的數(shù)據(jù)包和設(shè)備本身發(fā)出的數(shù)據(jù)包不進(jìn)行限制；和設(shè)備本身發(fā)出的數(shù)據(jù)包不進(jìn)行限制； 可以可以調(diào)整安全策略的順序，以使位置在前的策略優(yōu)先匹配；調(diào)整安全策略的順序，以使位置在前的策略優(yōu)先匹配； 可以可以創(chuàng)建一條新的安全策略，并插入到指定的策略之前；創(chuàng)建一條新的安全策略，并插入到指定的策略之前；安全變得簡單，從天清漢馬開始網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT): 最初最初用于私有地址向公有地址的轉(zhuǎn)換，以解決公有用于私有地址向公有地址的轉(zhuǎn)換，以解決公有IP地址地址短缺的問題；短缺的問題； 單單向隔離，具有額外的安全性；向隔離，具有額外的安全性； 利用利用目標(biāo)地址的映射，使公有地址可訪問配置了私有地址目標(biāo)地址的映射，使公有地址可訪問配置了私有地址的服務(wù)器；的服務(wù)器； 可用于可用于服務(wù)器的負(fù)載均衡和地址復(fù)用；服務(wù)器的負(fù)載均衡和地址復(fù)用；安全變得簡單，從天清漢馬開始網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)USG支持以下支持以下NAT: 源源NAT，按照使用不同可劃分為，按照使用不同可劃分為:動態(tài)動態(tài)NAT: 源地址映射到一個地址池源地址映射到一個地址池(NAT Pool)；PAT: 所有源地址映射到同一目的地址；所有源地址映射到同一目的地址；靜態(tài)靜態(tài)NAT：一對一雙向地址映射；：一對一雙向地址映射； 目的目的NAT；安全變得簡單，從天清漢馬開始網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)源地址轉(zhuǎn)換源地址轉(zhuǎn)換(SNAT)，可以將內(nèi)部地址轉(zhuǎn)換成出接口地址或，可以將內(nèi)部地址轉(zhuǎn)換成出接口地址或者地址池中的地址。者地址池中的地址。安全變得簡單，從天清漢馬開始網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)目的地址轉(zhuǎn)換目的地址轉(zhuǎn)換(DNAT)，可以將目標(biāo)地址轉(zhuǎn)換成，可以將目標(biāo)地址轉(zhuǎn)換成NAT Pool中的地址，亦可實現(xiàn)服務(wù)器負(fù)載分擔(dān)與業(yè)務(wù)分流。中的地址，亦可實現(xiàn)服務(wù)器負(fù)載分擔(dān)與業(yè)務(wù)分流。安全變得簡單，從天清漢馬開始網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)NAT地址池地址池(Pool)，注意起始地址不能大于結(jié)束地址，在，注意起始地址不能大于結(jié)束地址，在地址不是很充分的情況下，可以配置地址輪詢。地址不是很充分的情況下，可以配置地址輪詢。安全變得簡單，從天清漢馬開始動態(tài)地址分配動態(tài)地址分配(DHCP)USG設(shè)備可以擔(dān)當(dāng)所有的設(shè)備可以擔(dān)當(dāng)所有的DHCP 角色角色: DHCP Server DHCP Relay DHCP Client安全變得簡單，從天清漢馬開始動態(tài)地址分配動態(tài)地址分配(DHCP)配置配置DHCP服務(wù)器的步驟服務(wù)器的步驟:1.在相應(yīng)接口開啟在相應(yīng)接口開啟DHCP Server服務(wù)；服務(wù)；2.創(chuàng)建創(chuàng)建DHCP服務(wù)器；服務(wù)器；3.如果有必要，創(chuàng)建如果有必要，創(chuàng)建DHCP地址的排除范圍；地址的排除范圍；4.如果有必要，創(chuàng)建如果有必要，創(chuàng)建IP-MAC綁定條目；綁定條目；5.通過監(jiān)視器可察看由通過監(jiān)視器可察看由USG分配的動態(tài)地址；分配的動態(tài)地址；安全變得簡單，從天清漢馬開始動態(tài)地址分配動態(tài)地址分配(DHCP)安全變得簡單，從天清漢馬開始高可用性高可用性(HA)高可用性高可用性 (HA, High Availability)，可防止網(wǎng)絡(luò)中由于單個防火墻，可防止網(wǎng)絡(luò)中由于單個防火墻的設(shè)備故障或網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)中斷，保證網(wǎng)絡(luò)服務(wù)的連續(xù)性和強度。的設(shè)備故障或網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)中斷，保證網(wǎng)絡(luò)服務(wù)的連續(xù)性和強度。 安全變得簡單，從天清漢馬開始高可用性高可用性(HA)天清汗馬天清汗馬USG上的上的HA:1.目前支持主備模式，下一版本將支持主主模式；目前支持主備模式，下一版本將支持主主模式；2.支持兩臺防火墻互為備份；支持兩臺防火墻互為備份；3.兩臺設(shè)備的硬件型號要求一致；兩臺設(shè)備的硬件型號要求一致；4.HA接口為專用物理口，不處理業(yè)務(wù)；接口為專用物理口，不處理業(yè)務(wù)；5.支持透明模式、路由模式和混合模式；支持透明模式、路由模式和混合模式；安全變得簡單，從天清漢馬開始高可用性高可用性(HA)配置配置USG工作于主備模式工作于主備模式:安全變得簡單，從天清漢馬開始高可用性高可用性(HA)察看當(dāng)前察看當(dāng)前HA的工作狀態(tài)與同步情況的工作狀態(tài)與同步情況:安全變得簡單，從天清漢馬開始防攻擊防掃描防攻擊防掃描常見的網(wǎng)絡(luò)攻擊常見的網(wǎng)絡(luò)攻擊: Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag安全變得簡單，從天清漢馬開始防攻擊防掃描防攻擊防掃描網(wǎng)絡(luò)掃描通常分為以下幾種網(wǎng)絡(luò)掃描通常分為以下幾種: 垂直掃描：針對相同主機的多個端口垂直掃描：針對相同主機的多個端口 水平掃描：針對多個主機的相同端口水平掃描：針對多個主機的相同端口 Ping掃描：針對某地址范圍，通過掃描：針對某地址范圍，通過Ping方式發(fā)現(xiàn)存活主機方式發(fā)現(xiàn)存活主機掃描通常是網(wǎng)絡(luò)攻擊的前兆；掃描通常是網(wǎng)絡(luò)攻擊的前兆；USG設(shè)備可以有效防范以上幾設(shè)備可以有效防范以上幾類掃描，從而阻止外部的惡意攻擊，保護設(shè)備和內(nèi)網(wǎng)。當(dāng)檢類掃描，從而阻止外部的惡意攻擊，保護設(shè)備和內(nèi)網(wǎng)。當(dāng)檢測到掃描探測時，向用戶進(jìn)行報警提示。測到掃描探測時，向用戶進(jìn)行報警提示。安全變得簡單，從天清漢馬開始防攻擊防掃描防攻擊防掃描根據(jù)網(wǎng)絡(luò)情況開啟相應(yīng)的防攻擊和防掃描功能，并設(shè)定合理的根據(jù)網(wǎng)絡(luò)情況開啟相應(yīng)的防攻擊和防掃描功能，并設(shè)定合理的參數(shù)。參數(shù)。安全變得簡單，從天清漢馬開始防攻擊防掃描防攻擊防掃描防防Flood攻擊攻擊: 通過限制源主機或目的主機的連接數(shù)來起到防止通過限制源主機或目的主機的連接數(shù)來起到防止Flood攻擊攻擊的目的；的目的； 在安全防護表中啟用，并通過安全策略來引用，不是全局使在安全防護表中啟用，并通過安全策略來引用，不是全局使能的；能的； 根據(jù)網(wǎng)絡(luò)情況，配置合理的參數(shù)值；根據(jù)網(wǎng)絡(luò)情況，配置合理的參數(shù)值； 可以認(rèn)為是防攻擊、防掃描的補充?？梢哉J(rèn)為是防攻擊、防掃描的補充。安全變得簡單，從天清漢馬開始防攻擊防掃描防攻擊防掃描安全變得簡單，從天清漢馬開始 配置管理概述 防火墻基本配置日志功能提綱提綱安全變得簡單，從天清漢馬開始日志功能日志功能USG日志分為日志分為: 事件日志事件日志 病毒日志病毒日志 入侵防護日志入侵防護日志 流量日志流量日志: 支持支持NetFlow V9對于前三種日志，可以配置將其記錄到內(nèi)存、標(biāo)準(zhǔn)對于前三種日志，可以配置將其記錄到內(nèi)存、標(biāo)準(zhǔn)Syslog服服務(wù)器或者數(shù)據(jù)中心；對于流量日志，可以輸出到第三方流量收務(wù)器或者數(shù)據(jù)中心；對于流量日志，可以輸出到第三方流量收集器或數(shù)據(jù)中心。集器或數(shù)據(jù)中心。安全變得簡單，從天清漢馬開始日志功能日志功能大部分事件日志在這兒配置大部分事件日志在這兒配置:安全變得簡單，從天清漢馬開始日志功能日志功能NAT的日志事件在配置的日志事件在配置NAT策略時配置策略時配置:安全變得簡單，從天清漢馬開始日志功能日志功能系統(tǒng)監(jiān)控的日志事件配置系統(tǒng)監(jiān)控的日志事件配置:系統(tǒng)周期性輪詢設(shè)備的運行狀態(tài)如系統(tǒng)周期性輪詢設(shè)備的運行狀態(tài)如CPU和內(nèi)存利用率、當(dāng)前和內(nèi)存利用率、當(dāng)前連接數(shù)，以及系統(tǒng)檢測事件，并給出告警。連接數(shù)，以及系統(tǒng)檢測事件，并給出告警。安全變得簡單，從天清漢馬開始日志功能日志功能病毒、入侵等的日志事件在安全防護表中配置病毒、入侵等的日志事件在安全防護表中配置:安全變得簡單，從天清漢馬開始日志功能日志功能NetFlow日志在安全策略中配置日志在安全策略中配置:安全變得簡單，從天清漢馬開始謝謝 謝！謝！