天清汉马USG防火墙T系列快速安装指南v3.docx

天清汉马USG防火墙T系列快速安装指南v3.docx

《天清汉马USG防火墙T系列快速安装指南v3.docx》由会员分享，可在线阅读，更多相关《天清汉马USG防火墙T系列快速安装指南v3.docx（34页珍藏版）》请在冰点文库上搜索。

天清汉马USG防火墙T系列快速安装指南v3

北京启明星辰信息安全技术有限公司

BeijingVenusInformationSecurityInc.

二零一六年11月

天清汉马USG防火墙

快速安装指南

手册版本

V1.0

产品版本

V2.0

资料状态

发行

版权声明

启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明

本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司

在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本

手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User'sManualCopyrightandDisclaimer

Copyright

CopyrightVenusnetworksCo.LtdAllrightsreserved.

ThecopyrightofthisdocumentisownedbyVenusnetworksCo.Ltd.WithoutthepriorwrittenpermissionobtainedfromVenusnetworksCo.Ltd.,thisdocumentshallnotbereproducedandexcerptedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandtranslatedintootherIanguages,appliedforacommercialpurposeinwholeorinpart.

Disclaimer

Thisdocumentandtheinformationcontainedhereinisprovidedonan“ASIS”basis.VenusnetworksCo.Ltdmaymakeimprovementorchanges

inthisdocument,atanytimeandwithoutnoticeandasitseesfit.TheinformationinthisdocumentwaspreparedVenusnetworksCo.Ltdwithreasonablecareandisbelievedtobeaccurate.However,VenusnetworksCo.Ltdshallnotassumeresponsibilityforlossesordamagesresultingfromanyomissions,inaccuracies,orerrorscontainedherein.

副本发布声明

启明星辰公司的天清汉马USG防火墙产品正常运行时，包含2款GPL协议的软件（linux、zebra。

启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户，请需要GPL软件的客户提供

（1）已经购买的产品的序列号，

（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。

快速安装指南2.

User'sManualCopyrightandDisclaimer2

Copyright2..

1.1安装前准备工作5..

1.1.1安装环境要求5

1.1.2安装工具准备5

1.2设备面板标识说明.5..

1.3设备安装6..

1.3.1设备接口卡的安装6

1.3.2将设备安装到机柜6

第2章快速配置7.

2.1设备默认配置7..

2.1.1管理口的默认配置7

2.1.2默认管理员用户7

2.2Web快速配置7..

2.2.1登录设备7

2.2.2配置VLAN8

2.2.3配置IP地址9

2.2.4透明桥模式案例110

2.2.5透明桥模式案例212

2.2.6路由综合案例14

2.2.7攻击防护案例20

2.2.8应用控制案例23

3.1通过Web升级

27

第1章硬件安装

在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作

1.1安装前准备工作

1.1.1安装环境要求

工作温度0〜40°C

存储温度-40〜70C

相对湿度0〜95%非凝结

电磁兼容性满足GB9254-1998A级以上及GB17618-1998电磁兼容要求

电源适应性220V拉偏电：

198V〜242V，频率：

49〜51Hz

1.1.2安装工具准备

请安装前准备好以下安装工具：

终端：

配置终端，可以是普通PC机、笔记本电脑

工具：

十字螺丝刀和防静电护腕

电缆：

电源电缆、串口电缆、网线

1.2设备面板标识说明

GE7

■

:

GESFP光接口业务口

1

ON

□

OFF

:

机箱后部电源插座和电源开关

:

接口卡

1.3设备安装

1.3.1设备接口卡的安装

设备接口卡安装步骤如下：

1）设备断电；

2）取下接口槽位上的挡板，插入接口卡;

3）安装完毕。

A

注意

设备的接口卡不支持热插拔，设备必须在断电情况下才能进行接口卡

-的安装和卸载，否则会造成设备的损坏！

1.3.2将设备安装到机柜

1）设备断电

2）将设备放置在机柜托盘上

3）将设备固定在机柜上

4）接通电源

5）管理口接上网线

第2章快速配置

本设备可通过Web方式来进行配置。

2.1设备默认配置

Web

岀厂的防火墙设备自带默认的配置。

这些默认配置可以在岀厂的情况下，允许用户通过

进行配置。

2.1.1管理口的默认配置

标记有“MGT的接口为设备的管理口；如果没有“MGT接口，则主板上从左侧数第一个

以太网接口为设备的管理口。

管理口的默认IP地址为192.168.1.250/24。

允许对该接口的Ping,HTTPS操作。

2.1.2默认管理员用户

系统默认的管理员用户为admin，密码为fw.admin。

任何地址都可以使用该用户登录设备。

并且可以使用设备的所有功能。

2.2Web快速配置

2.2.1登录设备

配置本机IP地址为192.168.1.2/24,通过网线将本机和设备管理口连接。

打开浏览器

输入https:

//192.168.1.250,连接设备。

欢迎使用天清汉马USG

请输入用户名£

请输入密码•

谴输入验证码Qvzh

输入用户名（缺省用户名：

admin）、密码（缺省密码：

fw.admin）和验证码（随机生成）登录

2.2.2配置VLAN

案例描述

FW设备使用VLAN提供转发业务，在配置其他业务前，需要根据网络环境创建VLAN并在其中加

入物理接口成员。

配置步骤:

进入网络>接口>VLAN,点击新建，如下图:

1、配置参数

名称：

vian的名称，这里配置为vian1。

Tag:

vlan的tag号，这里配置为1。

管理状态：

vlan接口的状态，设置为UP。

MTU:

vian接口的MTU值，保持默认的1500即可

接口选择：

在可选的接口中点击加入到Untagged或者Tagged接口中，这里将geO/1以

Untagged方式加入到vlan1中，将geO/2以Tagged方式加入到vlan1中

2、点击提交完成创建VLAM

2.2.3配置IP地址

防火墙设备在做网络层以上业务处理时，需要在VLAN上配置IP地址

配置步骤:

1.

进入网络〉接口>VLAN点击列表中的需要配置的vlan接口，如下图所示（以vian10为例）:

IP地址/掩码:

vlan接口的IP地址/掩码，这里设置为1.1.1.1/24这里不选择浮动IP与单元ID点击“添加”按钮。

2.点击“更新”添加VLANIP成功，如下图所示:

炉地址

MAC哋址Tag

•wlanlO

14JJ/24

QO'1（H3-7&Ob-3Q10

2.2.4透明桥模式案例1

案例描述：

防火墙设备透明部署，通过FW设备的报文不带vlantag，内网用户需要通过防火墙访问外网

3、进入策略〉防火墙＞策略，点击新建，地址类型选择IPv4，入接口配置为vlan10，岀接口也配置为vlan10，源地址配置为内网用户，目的地址配置为any,服务为any,时间为always，

动作为permit，点击提交使配置生效。

4、进入策略〉防火墙＞策略，查看策略，勾选策略启用开关，使得配置启用

5、进入策略＞防火墙＞策略配置，查看策略匹配开关开启，默认动作为deny

MN'

2.2.5透明桥模式案例2

案例描述：

防火墙透明部署在trunk链路下，通过FW设备的报文带vlantaglO和vlantag20,FW设备需要透传带vlantag的报文，并且内网用户需要通过防火墙访问外网。

案例拓扑

配置步骤：

1、进入网络〉接口＞VLAN,新建vlan10，tag为10，将接口geO/O和geO/1UnTagged加入到vlan10中，点击提交使配置生效。

2、配置设备管理接口允许SSH或telnet方式访问设备，并使用SSH或telnet方式登陆到设备

管理终端，在配置视图下，输入如下命令。

该命令会使得该vlan的接口下允许所有的vlan

tag或untag透传，故配置后不再受步骤1中vlan接口配置的UnTagged或者tagged方式

的约束。

FW（config）#vlan10

FW（config-vlan）#vlan-transparentenable

提示：

此配置命令适用于FW需要透传大量vlan时使用，若桥下只需要允许单个VLAN带

tag通过，在配置vlan时，将接口tagged方式加入到该vlan中即可。

3、进入对象＞地址对象＞地址节点，创建IPV4类型的地址对象内网用户，并将内网网段

192.168.10.0/24和192.168.11.0/24加入到地址对象中。

4、进入策略〉防火墙＞策略，点击新建，地址类型选择IPv4，入接口配置为vian10，岀接口也配置为vian10，源地址配置为内网用户，目的地址配置为any,服务为any,时间为always，

动作为permit，点击提交使配置生效。

口如丫sr.

町曲H血啣

砧PEfiMil^®RlfO

5、进入策略〉防火墙＞策略，查看策略，勾选策略启用开关，使得配置启用。

■II&JJI'—I

♦stmi

f

T

n.罩

1

1>

IPV4■MU

»

1F-JnR®i*■■砂VWPt*MT0*工期•祠列

6、进入策略〉防火墙＞策略配置，查看策略匹配开关开启，默认动作为deny

226路由综合案例

案例描述：

企业需要通过FW设备进行互联网访问，内网地址网段为192.168.1.0/24，服务器网段为

192.16820/24。

企业有两条条岀口链路分别属于电信、网通，电信的公网地址为13.1.1.1

网关为13.1.1.2;网通的公网地址为14.1.1.1，网关为14.1.1.2。

用户具体需求如下：

1、内网地址访问外网需要进行源NAT转换。

2、夕卜网地址访问内网服务器需要进行目的NAT转换。

3、依据组网划分不同的区域，内网属于trust区域，外网属于untrust区域，内网服务器属

于DMZ区域。

配置策略允许trust区域访问untrust区域，允许trust和untrust区域访

问DMZ区域的http服务，其他访问流量默认拒绝。

4、若访问的目的地址为电信IP地址，选择电信的链路作为出链路，当电信链路故障以后，选

择网通的链路作为出链路。

5、若访问的目的地址为网通IP地址，选择网通的链路作为出链路，当网通链路故障以后，选

择电信的链路作为出链路。

6、若访问的目的地址不属于电信、网通，可以轮询选择岀链路，但是内网访问服务器的流量都不受策略路由控制。

案例拓扑

案例配置分析：

1、设备配置源NAT实现内网访问外网的NAT转换。

2、设备配置目的NAT实现外网到内网服务器的访问。

3、配置添加两条默认路由使得内网可以通过路由成功访问到外网。

4、配置接口加入到不同的安全域，通过配置防火墙策略实现区域之间的互访控制

5、配置策略路由实现基于ISP的选路。

6、地址对象配置添加排除IP，使得内网访问服务器不受策略控制。

配置步骤：

1、照上述拓扑进行组网，并作基本网络配置，包括VLAN划分，以及IP地址配置。

2、进入对象〉地址对象＞地址节点，创建电信地址对象，ISP地址库选择ISP_CT.dat（中国电信），配置提交。

T皿哥电I

vftM

3、按照上述方法，分别创建如下地址对象:

电信：

包含电信ISP地址库网通：

包含网通ISP地址库

内网地址：

成员为所有内网网段：

192.168.1.0/24和192.16820/24

外网地址：

成员为0.0.0.0/0，同时将内网用户192.168.1.0/24和服务器网段192.168.2.0/24

添加到排除地址中

13.1.1.10。

DNAT电信：

成员为内网服务器对外映射的公网地址:

:

他

1

413

w_CTd^i评聊or

•

睪■

192-IfflB1E咗虫"mg1>EB¥

皐

#善

科田殂

DOOM

i$a.i綁*■勺2Tee

r;

#K

DN*_SrS

13111Q

■

#M

INK

qm

IPV4toIPV4，源地址选

，转换后地址为出接口地

4、进入网络＞NAT＞NAT规则＞源地址转换，点击新建，转换类型为择内网地址，目标地址为any，服务为any，岀接口选择VLAN3

址，点击提交

II■-

fw

5、按照上述方法，创建岀接口为VLAN4的源NAT策略

7、进入网络>NAT>NAT规则>目的地址转换，点击新建，源地址选择any,目标地址为DNAT

9、进入网络〉安全域，配置添加trust安全域，将内网接口vlan1加入安全域中

电信，服务为any，入接口选择VLAN3，转换后地址引用地址池dnat-pool，点击提交

U

”

册如片.J丈址曲协心字*

#fi单

vlanl

釦什刚i

■走id

血

a?

■

口i|

Nnitvnam

*dar-i

J3（06

m谥

LAS

匚b诃

u伽诵

」并儡

*聘T

L供酗

匚去1暫□go-fci

□

匚声洛

匚单*

■

i\就戈・

iii»tl

E.1

li

•■呎■

igi盘

»4rIE.M

10、按照上述方法，创建untrust和DMZ安全域，untrust安全域加入vian3和vlan4接口,DMZ安全域加入vian2接口。

MV

KIM

fl

UITM

Y・*i】

0M?

fl

11、进入策略＞防火墙＞策略，点击新建，地址类型选择IPV4，入接口选择安全域trust，岀接

口选择安全域untrust，源地址选择内网地址，目的地址选择any，服务选择any，应用选择any，时间选择always，动作选择permit，点击提交使得配置生效。

使得策略生效。

p

fteju

日址

rr>a»!

s

iriM・■lO>Vk

1

IIM

F：

冗址立

■np

PERmF

D

0

TX.

2

tru5i^DHZ（9-1）

11^4

ahn^

rap

anj

PffiMr

D

”酣

U

uMhJHiE^OMlfiHt|

Ji

叶

**7

Ahi

0

FBRMfT

ft

Z2削

目咖业

13、进入策略＞防火墙＞策略配置，查看策略匹配开关是否开启，默认动作为deny

ten

于

14、进入对象＞健康检查，创建icmp健康检查模板。

提示：

源IP和覆盖IP若不填写，健康检查会使用策略路由的下一跳作为目的IP进行检查，源

IP会自动选择下一跳对应岀接口的IP

J■:

i・“力仙咖

3n-iDj

丽新理址鼻型

■IPhC

15、进入网络＞路由＞策略路由，分别创建电信策略路由、网通策略路由和默认策略路由

电信策略路由

源地址选择内网地址，目标地址选择电信地址对象，网关添加电信链路和网通链路，电信链路优先级高于网通链路，并引用icmp健康检查模板。

网通策略路由

源地址选择内网地址，目标地址选择网通地址对象，网关添加电信链路和网通链路，网通链路优先级高于电信链路，并引用icmp健康检查模板。

默认策略路由

源地址选择内网地址，目标地址选择外网地址对象，由于外网地址添加了内网网段192.168.1.0/24和192.16820/24的排除地址，故内网访问服务器的流量不会匹配策略路由。

网关添加电信链路和网通链路，网通链路优先级和电信链路优先级相同，使其轮询转发，并引用icmp健康检查模板。

16、配置完成后网络＞路由＞策略路由下查看策略，依据命中数可以查看到匹配策略路由调度的情况。

MtA朗巴下

ID

^

累jsbA|nn

■

叭

Bll

a

•佩iut

0

■IT1,2

0

曰2

*

mi

刃if

aw

Q

■*13.1

•

1.2

a

bl

■

BHp

ant

0

■/

227攻击防护案例

案例描述：

企业要求对内部网络进行防护，抵御外部网络的攻击，具体需求如下:

1、若外网的每源IP向内网发岀的TCP连接请求速率超过100，设备主动验证连接请求方是否为攻击源，若是攻击源，设备将连接请求报文丢弃。

2、若外网某一源地址1秒内向内网服务器超过1000个不同端口发送了TCP连接请求报文（或UDP连接请求报文），则设备在接下来的20秒内，此源地址的所有TCP请求报文（或UDP请求报文）被阻断。

3、对常见的Dos攻击类型进行主动防御。

4、对内部服务器192.168.11.11配置ARP防护，防止遭受ARP欺骗攻击，引起服务器访问失败。

案例拓扑

配置步骤：

1、照上述拓扑进行组网，并作基本网络配置，包括VLAN划分，以及IP地址配置，配置路由、防火墙等策略等保证网络可正常通信。

2、进入对象-＞地址对象-＞地址节点，创建IPv4类型的地址对象“内网地址”，将内网网段192.168.10.0/24和192.168.11.0/24加入到地址对象中。

』：

■・it*丽|

WHAMM'

瞇J.■P/4IF"缶F-HAC

.ITR

IB于科1^411

■卜一i

{J”*'Ir

itnj

cl,Hm

TKiE-tnKM

3、进入策略＞安全防护＞攻击防护＞安全防护表，点击新建，勾选启用Anti-FloodAttack，TCP

flood每主机报文速率限制（源IP）配置为100/S,动作选择syncookie；勾选启用防扫描，启用TCP协议扫描和UDP协议扫描，扫描识别阈值为1000，主机抑制时长为20s，配置提交。

主月*

-S=E".H?

~iEip3i：

1；F||：

r

l-fCOOT-T

昭nzdoI

TAR农

[TJEDOQ呻

IV1KOTW

UDPFig

«*L<0XLEE«»4i.lfPii

■i!

-

l三掙-■世0静！

|（I-IWMJV

Vt-

ll-IKDOiJtl!

R]t"

匸MFFlaoi|

帝主描匸筑1-桂干F相丁FT屮*i^SlIF

m-iKum

1

0-1KW）f!

-

cr

Mi甘警

*TTP^nMrzjS-UCJ門皿曰去日袖3史云

WTSPi]fCXi（->6苛护=占彳

壬啊臭叮忙却[HM53!

5rfc

出・

Eit■

4、进入策略＞安全防护＞攻击防护：

策略，地址类型选择IPV4，入接口选择vian20，源地址选择any，目的地址选择内网地址，服务选择any，时间表选择always，安全防护选择配置的攻击防护表scan-flood。

5、进入策略＞安全防护＞Dos防护，Dos防护下勾选需要防护的攻击类型，点击确定使得配置

生效。

m*＞加it傅I

#JdlL

P1N3tfdsal-

6、进入策略＞安全防护＞ARP攻击防护：

ARP表，找到设备学习到的服务器192.168.11.11的

IP-MAC绑定配置界面手动添加绑定关系）

99-

珅IIP

Ip-QQH哥甲

PtfiU

■匚

鼻庄*盘

HQM111J»

n4）^gaKhiQ

IK31tin77

104'4041^44*

iriM-Tl

J£

KK.M&tAH

其弟CO专

■yw-