H3C SecPath U200-S开局指导书.doc

H3C SecPath U200-S开局指导书Deployment Instructions for H3C SecPath U200-S Beta Test杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.(仅供内部使用)(For internal use)拟制：Drafted by:Date日期审核：Reviewed by:Date日期审核：Reviewed by:Date日期批准：Approved by:Date日期修订记录Revision Records日期Date修订版本Revision描述Description作者AuthorHangzhou H3C Technologies Co., Ltd. 目 录1 产品概述21.1 产品特点21.1.1 市场领先的安全防护功能21.1.2 电信级设备高可靠性31.1.3 智能图形化的管理31.2 U200-S的外观31.2.1 前面板图31.2.2 后面板图41.2.3 系统结构介绍41.3 U200-S的管理41.3.1 WEB方式管理51.3.2 命令行方式管理52 UTM基础配置62.1 UTM的几个基本概念62.1.1 虚拟设备62.1.2 安全区域62.1.3 会话72.2 UTM的基本工作流程92.3 UTM的基本配置103 透明模式基本转发配置（二层转发）123.1 组网需求123.2 典型配置133.2.1 命令行下的配置133.2.2 WEB配置133.3 注意事项144 Inline转发基本配置（二层转发）154.1 组网需求154.2 典型配置154.2.1 WEB配置154.3 工作流程165 路由模式基本转发配置（三层转发）165.1 组网需求165.2 典型配置175.2.1 命令行下的配置175.2.2 WEB配置176 混合模式转发基本配置216.1 组网需求216.2 典型配置226.2.1 命令行下的配置226.2.2 WEB配置236.3 注意事项237 二层VLAN透传并对 UTM通过业务vlan进行管理247.1 组网需求247.2 典型配置247.2.1 命令行下的配置247.2.2 WEB配置268 预配置268.1 三层模式268.1.1 接口配置268.1.2 安全域配置278.1.3 ACL配置288.2 二层模式338.2.1 接口配置338.2.2 安全域配置368.2.3 ACL配置379 IPS/AV特征库升级409.1 特征库自动升级409.2 特征库手动升级419.3 注意事项4110 IPS配置4210.1 组网需求4210.2 典型配置4210.3 注意事项4811 防病毒配置4911.1 组网需求4911.2 典型配置4911.3 注意事项5512 URL过滤5512.1 组网需求5512.2 典型配置5513 协议内容审计6313.1 组网需求6313.2 典型配置6414 带宽管理配置（应用带宽控制）7114.1 组网需求7114.2 典型配置7115 带宽管理配置（策略带宽控制）8015.1 组网需求8015.2 典型配置8016 U200-S的基本维护8716.1 版本维护8716.1.1 设置设备启动时加载的版本8716.1.2 下载版本到Flash卡8716.1.3 重启设备8816.2 配置维护8816.2.1 配置文件组成8816.2.2 配置保存8816.2.3 配置导入8916.2.4 i-ware配置的导出/导入90开局指导书Customer sites Deployment Instructions关键词：Key words:摘 要：Abstract:缩略语清单：List of abbreviations: 对本文所用缩略语进行说明，要求提供每个缩略语的英文全名和中文解释。Describe abbreviations in this document, full spelling of the abbreviation and Chinese explanation should be provided.缩略语Abbreviations英文全名Full spelling 中文解释Chinese explanation 第 90 页 共 95 页1 产品概述H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。H3C公司的SecPath U200-S不仅能够全面有效的保证用户网络的安全，还可以帮助用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。H3C SecPath U200-S1.1 产品特点1.1.1 市场领先的安全防护功能l 完善的防火墙功能：提供安全区域划分、状态检测过滤、静态/动态黑名单功能、MAC/IP绑定、攻击防范等基本功能。l 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，集成的硬件加密引擎实现高性能的VPN处理。l NAT：提供多对一、多对多、静态、Easy IP、内部服务器等NAT转换方式；支持FTP、H.323、NBT、SIP等协议的ALG。l 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。l 动态的URL过滤：实现基于用户的URL访问控制，防止因浏览不良、恶意或未授权网站(如网络钓鱼攻击网站)而带来的安全威胁。l 全面的垃圾邮件防护：基于关键字拦截各种传统垃圾邮件l 带宽管理功能：精确识别出各种网络应用，如P2P/IM/网络游戏/流媒体等，进行阻断或带宽限制，保证关键应用的可用带宽，误识别率很低。1.1.2 电信级设备高可靠性l 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。l 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份l 36年的平均无故障时间(MTBF)1.1.3 智能图形化的管理l 简单易用的Web UI管理1.2 U200-S的外观1.2.1 前面板图(1) 10/100/1000M以太网电口（0）(2) 10/100/1000M以太网电口（1）(3) 10/100/1000M以太网电口（2）(4) 10/100/1000M以太网电口（3）(5) 10/100/1000M以太网电口（4）(6) FLASH卡插槽(7) 系统指示灯（SYS）(8) SLOT1指示灯（SLOT1）(9) 交流电源指示灯（PWR）(10) FLASH卡指示灯（CF）(11) USB0（0）(12) 配置口（CONSOLE）前面板图1.2.2 后面板图 (1) 交流电源插座（100-240VAC；50/60Hz；1.5A）(2) GigabitEthernet 1/0的状态指示灯（LINK）(3) GigabitEthernet 1/1的状态指示灯（LINK）(4) 接地端子和标识(5) GigabitEthernet 1/1的状态指示灯（ACT）(6) GigabitEthernet 1/1以太网口(7) GigabitEthernet 1/0的状态指示灯（ACT）(8) GigabitEthernet 1/0以太网口后面板图1.2.3 系统结构介绍U200-S UTM使用专用高性能处理器XLR404 800MHz CPU，有1个核，4个虚拟CPU，各虚拟CPU协同进行处理，性能大幅提升。U200-S UTM自带1个console口、5个千兆电接口（int g0/0int g0/4），5个千兆口用于管理和运行业务。U200-S UTM支持一个SMIM扩展插槽，可选SMIM-2GE/SMIM-WLAN接口模块，最多可以扩展到7个千兆接口。1.3 U200-S的管理U200-S集成强大的WEB管理功能，大部分配置都能通过WEB完成，同时，支持命令行，命令行主要提供简单的配置、信息查看、故障诊断。推荐使用WEB方式进行配置。1.3.1 WEB方式管理U200-S UTM出厂时已经设置默认的Web登录信息，用户可以直接使用该默认信息登录 UTM的Web界面。默认的Web登录信息包括：l 用户名：“admin”l 密码：“admin”l U200-S的g0/0口IP地址：“”采用Web方式登录 UTM的步骤如下：(1) 连接设备和PC用以太网线将PC和设备的以太网口GigabitEthernet0/0相连。(2) 为PC配置IP地址，保证能与设备互通修改IP地址为/24，例如。(3) 启动浏览器，输入登录信息在PC上启动浏览器（建议使用IE5.0及以上版本），在地址栏中输入IP地址“”后回车，即可进入设备的Web登录页面，如图1 所示。输入用户名“admin”、密码“admin”和验证码，单击按钮即可登录。图1 Web登录界面1.3.2 命令行方式管理如(1)图2 ，U200-S自带console口，可以用串口线对U200-S进行管理，串口参数设置如下图图2 串口参数设置2 UTM基础配置2.1 UTM的几个基本概念2.1.1 虚拟设备虚拟设备是一个逻辑概念，一台 UTM设备可以逻辑上划分为多个部分，每一个部分可以作为一台单独的 UTM（虚拟设备）。每个虚拟设备之间相互独立，业务单独控制，一般情况下不允许相互通信，这就是所谓的“虚拟设备”。2.1.2 安全区域 UTM作为网络安全设备，按照业务的重要性高低，将网络分为若干个安全区域，安全区域以UTM接口为边界。引入安全区域概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理。图3 UTM安全区域缺省情况下，一个 UTM（或者虚拟设备）有4个业务安全区域： local、trust、dmz、untrust，其安全级别分别是100、85、50、5。还有一个特殊的管理区域management，安全级别为100。重点：属于managerment域的接口与属于业务安全域的接口间不转发数据；同属于management域的接口间转发数据。如上图，把g0/1g0/3分别加入trust、untrust、dmz区域，其含义是：以 UTM为边界，g0/1g0/3接口外的区域分别属于trust、untrust、dmz区域。 UTM本身所有接口g0/1g0/3（加入management域的接口除外），都属于local区域。建议：为每个接口单独设置不同的区域，以方面后续灵活的进行区域间的策略配置。2.1.3 会话流（Flow），是一个单向概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：l TCP流：通过五元组唯一标识l UDP流：通过五元组唯一标识l ICMP流：通过三元组 + ICMP type + ICMP code唯一标识l RAW IP流：不属于上述协议的，通过三元组标识会话（Session），是一个双向概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。对于TCP/UDP/ICMP/RAW IP流，首包进入 UTM时开始创建会话，后续相同的流或者返回报文可以匹配该会话。以TCP 三次握手为例：图4 会话建立如图4 trust区域的:1564访问untrust区域的的23端口，首包syn报文开始创建一个双向会话（:1564:23），后续SYN_ACK和ACK报文都匹配到此会话后，完整的会话创建完成。后续数据流如果匹配到此会话则放行通过。2.2 UTM的基本工作流程图5 UTM的基本工作流程 & 注意： UTM缺省下，高级别区域的能访问低级别区域，低级别区域不能访问高级别区域。此缺省规则不能更改。local区域是一个特殊区域， UTM缺省下，local区域能够访问其他区域，其他区域也能够访问local区域。2.3 UTM的基本配置图6 U200-S基本图如图6 ，配置两个接口Ge0/1和Ge0/2，分别属于trust和untrust区域。(1) 配置接口Ge0/1和Ge0/2，“系统管理 接口管理”先配置Ge0/1接口图7 接口管理操作Ge0/1接口对G0/1接口进行操作，配置IP地址为/24。图8 配置接口G0/1G0/2接口IP地址为/24。(2) 将接口G0/1和G0/2分别加入trust、 untrust区域系统管理 安全域管理：图9 操作Trust域对trust域进行操作，将G0/1加入图10 把Ge0/1接口加入Trust域对Untrust域进行操作，将G0/2加入上述操作后，从高级别区域（如trust）能访问低级别区域（如untrust），反方向不能访问。3 透明模式基本转发配置（二层转发）3.1 组网需求 图11 二层转发组网图如图：PC1和PC2分别连在U200-S UTM的G0/1和G0/2接口上，其IP地址分别为/24和/24，需要通过U200-S实现互通。3.2 典型配置3.2.1 命令行下的配置#vlan 1 # vlan 10 #interface GigabitEthernet0/1 port link-mode bridge port access vlan 10# interface GigabitEthernet0/2 port link-mode bridge port access vlan 10#3.2.2 WEB配置(1) WEB管理界面，系统管理 安全域管理编辑trust安全域，将G0/1所属的Vlan加入该域图12 把G0/1接口所属Vlan加入trust域将G0/2所属Vlan加入untrust域；(2) 然后通过WEB页面配置trust与untrust之间的策略可实现安全过滤。3.3 注意事项(1) 通过命令port link-mode bridge/route 或者通过WEB的接口管理可以让端口切换二/三层转发模式，要注意的是每切换一次，端口都要初始化一次，原先端口下的配置及所属安全区域信息全部丢失，需要重要进行配置 (2) 对二层转发的以太报文，U200-S支持带vlan tag的报文的识别和处理。(3) 可在U200-S上配置三层int Vlan-interface 100作为VLAN的终结。(4) 二层接口可以属于不同vlan，因此二层接口在加入安全域时需选择所属vlan，这样属于多个vlan的同一个二层接口可加入不同的安全域。4 Inline转发基本配置（二层转发）4.1 组网需求图13 Inline转发组网图如图：PC1和PC2分别连在U200-S UTM的Ge0/1和Ge0/2接口上，其IP地址分别为/24和/24，要求U200-S作为透明模式，将从Ge0/1收到的报文从Ge0/2转发出去，同时，将Ge0/2收到的报文从Ge0/1口转发出去。4.2 典型配置4.2.1 WEB配置系统管理 接口管理G0/1和G0/2的“工作模式”设为“二层模式”图14 把接口工作模式改成“二层模式”网络管理 Inline Inline转发单击按钮，配置“策略ID”为“1”，将端口G0/1和Ge0/2设置为同一转发组。图15 新建Inline转发策略将G0/1 加入trust安全域，将G0/2加入untrust安全域。4.3 工作流程配置Inline转发后，以太帧不再根据MAC表进行转发，而是在同一Inline转发组的一对接口间直接进行转发。安全域的判定基于以太帧中的vlan tag。5 路由模式基本转发配置（三层转发）5.1 组网需求图16 三层转发组网图如图：PC1和PC2分别连在U200-S UTM的G0/1和G0/2接口上，其IP地址分别为/24和/24，需要通过U200-S实现互通。U200-S UTM的G0/1和G0/2的接口IP分别为/24和/24。5.2 典型配置5.2.1 命令行下的配置#acl number 2000 rule 0 permit #interface GigabitEthernet0/1 port link-mode route ip address #interface GigabitEthernet0/2 port link-mode route ip address # 5.2.2 WEB配置将接口G0/1和G0/2分别添加到Trust和Untrust域。 图17 把G0/1接口加入trust域策略管理 地址转换策略 地址转换单击按钮，在G0/2接口上，配置NAT Outbound Easy-ip/PAT图18 配置nat地址转换在G0/2接口上，配置NAT Server（以HTTP协议为例）策略管理 地址转换策略 内部服务器单击按钮 图19 配置nat server配置从Untrust域到Trust域的面向对象ACL，允许外网用户访问内网的www服务对象管理 地址对象 地址对象单击按钮，增加地址对象。图20 增加地址对象图21 新建地址对象策略管理 访问控制策略 面向对象ACL单击按钮图22 新建从Untrust域到Trust域的域间策略选择源域、目的域，输入规则ID，选择源地址（组）对象为any_address，目的地址（组）对象为地址对象WebServer，服务（组）对象为http图23 配置从Untrust域到Trust域的域间策略6 混合模式转发基本配置6.1 组网需求图24 混合模式转发组网图如图：PC1、PC2、PC3和PC4分别连在U200-S 的G0/1、G0/2、G0/3和G 0/4接口上。PC3和PC4在一个网段/24，其IP地址分别为和/24；PC1的地址是/24；PC2的地址是。需要通过U200-S实现互通。U200-S G0/1接口的IP地址为/24，G0/2的IP地址为，G0/3和G0/4所在vlan 的vlan-interface接口IP地址为/24。6.2 典型配置接口G0/1、G0/2的工作模式为三层，G0/3、G0/4的工作模式为二层，属于vlan 10。6.2.1 命令行下的配置# vlan 10 # interface Ethernet0/0 port link-mode route ip address # interface Vlan-interface10 ip address # interface GigabitEthernet0/0 port link-mode route ip address 45 # interface GigabitEthernet0/1 port link-mode route ip address # interface GigabitEthernet0/2 port link-mode route ip address # interface GigabitEthernet0/3 port link-mode bridge port access vlan 10 # interface GigabitEthernet0/4 port link-mode bridge port access vlan 10 6.2.2 WEB配置接口G0/1加入trust域，G0/2加入Untrust域，G0/3所属的vlan 10加入trust域，G0/4所属的vlan 10加入DMZ域，Vlan-interface10加入trust域。根据实际组网需要添加untrust域到trust域，untrust域到dmz域，dmz域到trust域的域间策略。6.3 注意事项1) 从G0/3接口进入U200-S，经过vlan-interface10，从G0/2转发出去的报文，其入安全域由G0/3接口所在安全域确定，和vlan-interface10所在安全域无关，报文出安全域由Ge0/2接口所在安全域确定。从Ge0/4接口进入UTM的报文也是同样处理。2) 从U200-S本机发起的在vlan-interface10网段里的广播和多播报文（如rip或者ospf的协议报文），其报文的出安全域由vlan-interface10所在安全域确定，因此必须要把vlan-interface10加入一个安全域，否则这些报文无法发出。7 二层VLAN透传并对 UTM通过业务vlan进行管理7.1 组网需求图25 二层vlan透传组网图如图：U200-S G0/3和G0/4接口的工作模式为二层，trunk口；Switch A、Switch B与U200-S相接的接口也是trunk口PC1的地址是/24，PC2的地址是/24。要求PC1和PC2能够通过业务vlan远程管理U200-S。7.2 典型配置7.2.1 命令行下的配置U200-S的配置如下：#vlan 1#vlan 2 to 4094# interface Vlan-interface10 ip address # interface GigabitEthernet0/3 port link-mode bridge port link-type trunk port trunk permit vlan all #interface GigabitEthernet0/4 port link-mode bridge port link-type trunk port trunk permit vlan all # Switch-A的配置如下：#vlan 1#vlan 2 to 4094#interface GigabitEthernet1/0/33 port link-type trunk port trunk permit vlan all#interface GigabitEthernet1/0/34 port access vlan 10# Switch-B的配置如下：#vlan 1#vlan 2 to 4094#interface GigabitEthernet1/0/13 port link-type trunk port trunk permit vlan all#interface GigabitEthernet1/0/14 port access vlan 10# 7.2.2 WEB配置G0/3和G0/4接口（所属VLAN1-4094）分别加入Trust和Untrust安全域vlan-interface100加入Trust域根据实际组网需要添加Trust和Untrust域之间的域间策略8 预配置说明：通过管理口G0/0进行预配置。8.1 三层模式G0/1、Eth0/0接口加入Trust域，G0/2加入Untrust域8.1.1 接口配置配置GigabitEthernet0/1、GigabitEthernet0/2接口的IP地址系统管理 接口管理点击GigabitEthernet0/1接口操作栏中 按钮“IP配置”选择静态地址，输入IP地址，指定网络掩码。点击确定。8.1.2 安全域配置系统管理 安全域管理点击Trust域操作栏中 按钮选中Ethernet0/0、GigabitEthernet0/1，点击确定编辑“Untrust”域，将GigabitEthernet0/2加入。8.1.3 ACL配置防火墙Web管理页面，策略管理 ACL点击 按钮输入“访问控制列表ID”（3996，用于内网访问Internet时作NAT），点击确定。点击ACL 3996操作栏中“详细资料”按钮点击 按钮选中并输入“源IP地址”、源地址通配符。点击确定。重复操作，创建ACL 3997（用于iware访问内网、Internet时作NAT）ACL 3998（用于深度安全策略）G0/1接口上配置nat server策略管理 地址转换策略 内部服务器点击 “接口”选择GigabitEthernet0/1，“协议类型”选择6（TCP），输入“外部IP地址”（），输入“外部端口”（8080），输入“内部IP地址”（），输入“内部端口”（80）点击确定。G0/1接口上配置nat outbound策略管理 地址转换策略 地址转换点击 “接口”选择GigabitEthernet0/1，输入“ACL”（3997），“地址转换方式”选择（Easy IP）点击确定。G0/2接口上配置nat outbound策略管理 地址转换策略 地址转换点击 “接口”选择GigabitEthernet0/2，输入“ACL”（3997），“地址转换方式”选择（Easy IP）点击确定。点击 ，“接口”选择GigabitEthernet0/2，输入“ACL”（3996），“地址转换方式”选择（Easy IP）点击确定。8.2 二层模式G0/1、G0/2为二层 access口，PVID为10、Eth0/0接口和vlan-interface 10接口加入Trust域，G0/2所属的vlan 10加入Untrust域8.2.1 接口配置创建vlan 10系统管理 虚拟局域网 VLAN，点击 输入“VLAN ID”（10），点击确定。将GigabitEthernet0/1、GigabitEthernet0/2接口的工作模式设置为二层模式。系统管理 接口管理点击GigabitEthernet0/1接口操作栏中 按钮“工作模式”选择二层模式。点击确定。创建vlan-interface 10系统管理 接口管理点击，“接口名称”选择“Vlan-interface”并输入10。“IP配置”选择“静态地址”，输入“IP地址”、网络掩码。命令行下配置接口G0/1、G0/2的PVID为10 port access vlan 108.2.2 安全域配置系统管理 安全域管理点击Trust域操作栏中 按钮选中“Ethernet0/0、Vlan-interface 10、GigabitEthernet0/1（所属的vlan 1- 4094），点击确定编辑“Untrust”域，将GigabitEthernet0/2（所属的vlan 1-4094）加入。8.2.3 ACL配置防火墙Web管理页面，策略管理 ACL点击 按钮输入“访问控制列表ID”（3997，用于iware访问内网时作NAT），点击确定。点击ACL 3997操作栏中“详细资料”按钮点击 按钮选中并输入“源IP地址”、源地址通配符。点击确定。vlan-interface10接口上配置nat server策略管理 地址转换策略 内部服务器点击 “接口”选择vlan-interface10，“协议类型”选择6（TCP），输入“外部IP地址”（），输入“外部端口”（8080），输入“内部IP地址”（），输入“内部端口”（80）点击确定。Vlan-interface10接口上配置nat outbound策略管理 地址转换策略 地址转换点击 “接口”选择vlan-interface10，输入“ACL”（3997），“地址转换方式”选择（Easy IP）点击确定。9 IPS/AV特征库升级9.1 特征库自动升级防火墙Web管理界面，策略管理 深度安全策略点击“进入深度安全策略配置”，进入i-ware WEB管理界面系统管理 升级管理 自动升级选择自动升级库类型，选中“启用自动升级”，设置“开始时间”、“间隔时间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。若想立即进行升级，点击 按钮。或点击按钮保存配置。9.2 特征库手动升级系统管理 升级管理 手动升级选择“特征库类型”、“协议（手动升级目前只支持tftp）”，输入“升级包的位置”，点击 。开始升级特征库；9.3 注意事项设备必须有合法、有效的license文件正确设置了devicebom、devicename和devicecode（正式出厂设备均已设置；对于一些样机，需在装备视图下进行设置）详细操作请参考UTM特征库升级操作说明10 IPS配置10.1 组网需求图26 IPS配置组网图U200-S G0/1接口在Trust域连接内网，G0/2接口在Untrust域连接Internet。组网需求：内网用户经G0/2口访问Internet，U200的转发模式可以是：二层模式、三层模式、混合模式、Inline转发模式等（具体配置参见前面的举例），U200 对经过设备的流量做IPS检测。10.2 典型配置1. U200转发模式配置（略，请参见前面的配置举例及预配置）2. 深度安全策略配置（配置目的：指定需要IPS检测的流量）策略管理 深度安全策略点击，选择“源域”、“目的域”，指定“段ID”和“访问控制列表ID”；建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；段1默认关联了AV策略段2默认关联了IPS策略段3默认关联了AV+IPS策略。可根据需要只在防火墙侧配置深度安全策略（指定对应的段ID）即可下面单独介绍IPS策略的创建、规则修改与关联应用配置。3. IPS配置（配置目的：使能IPS检测）防火墙Web管理页面，策略管理 深度安全策略点击，进入i-ware WEB管理界面创建策略对象管理 IPS 策略管理，点击 ，输入“名称”点击确定，进入“规则管理”页面。可根据需要对规则的状态、动作集进行修改。注：策略管理页面，点击已创建策略的策略名称或操作栏中的“修改IPS策略”按钮，进入规则管理页面。对象管理 IPS 规则管理，“请选择一个策略”下拉框中选择修要修改规则的已创建策略，进入指定IPS策略的规则修改页面“名称”框中输入新的策略名称，点击确定，可修改策略的名称。修改规则点击指定规则的名称或“操作”栏中“修改IPS规则”按钮，进入“规则”页面修改“使能状态”和“动作集”，点击确定。关联应用IPS段策略对象管理 段策略管理，点击 选择“要关联的段”（例如 9）、“攻击防护策略”、“选择策略”（Custom Attack Policy）、方向（双向），点击确定。注：“ip地址列表”不添加代表保护所有地址；例外ip地址列表不添加代表空。IPS段策略配置完成后，点击 使配置生效10.3 注意事项1 配置完成后 ，必须点击 使配置生效；11 防病毒配置11.1 组网需求图27 防病毒配置组网图U200-S G0/1接口在Trust域连接内网，G0/2接口在Untrust域连接Internet。组网需求：内网用户经G0/2口访问Internet，U200的转发模式可以是：二层模式、三层模式、混合模式、Inline转发模式等（具体配置参见前面的举例），U200 对经过设备的流量做病毒扫描检测。11.2 典型配置1. U200转发模式配置（略，参见前面的配置举例及预配置）2. 深度安全策略配置策略管理 深度安全策略点击，选择“源域”、“目的域”，指定“段ID”和“访问控制列表ID”；建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；段1默认关联了AV策略段2默认关联了IPS策略段3默认关联了AV+IPS策略。可根据需要只在防火墙侧配置深度安全策略（指定对应的段ID）即可下面单独介绍防病毒策略的创建、规则修改与关联应用配置。3. 防病毒策略配置（配置目的：使能病毒扫描检测）防火墙Web管理页面，策略管理 深度安全策略点击，进入i-ware WEB管理界面创建策略对象管理 防病毒管理 策略管理，点击 输入“名称”点击确定，进入“规则管理”页面。可根据需要对规则的状态、动作集进行修改。注：策略管理页面，点击已创建策略的策略名称或操作栏中的“修改AV策略”按钮，进入规则管理页面。对象管理 防病毒管理 规则管理，“请选择一个策略”下拉框中选择需要修改其规则的已创建策略，进入指定AV策略的规则修改页面“名称”框中输入新的策略名称，点击确定，可修改策略的名称。修改规则点击指定规则的名称或“操作”栏中“修改AV规则”按钮，进入“规则”页面修改“使能状态”和“动作集”，点击确定。关联应用防病毒段策略对象管理 段策略管理，点击 选择“要关联的段”（例如 9）、“防病毒策略”、“选择策略”（Custom Anti-Virus Policy）、方向（双向），点击确定。防病毒段策略配置完成后，点击 使配置生效11.3 注意事项1 配置完成后 ，点击 使配置生效12 URL过滤12.1 组网需求图28 URL过滤配置组网图U200-S G0/1接口在Trust域连接内网，G0/2接口在Untrust域连接Internet。组网需求：内网用户经G0/2口访问Internet，U200的转发模式可以是：二层模式、三层模式、混合模式、Inline转发模式等（具体配置参见前面的举例），U200 对经过设备的URL请求进行过滤，阻断对不良/恶意网站的访问。12.2 典型配置1. U200转发模式配置（略，参见前面的配置举例及预配置）2. 深度安全策略配置策略管理 深度安全策略点击，选择“源域”、“目的域”，指定“段ID”和“访问控制列表ID”；建立Trust-Untrust的深度安全策略建立Untrust-Trust深度安全策略注：配置检测两个方向发起的访问流量的深度安全策略；3. 时间表配置对象管理 时间表管理点击创建时间表输入“名称”；在要配置的时间段输入框中输入该时间段的名称，点击选择该时间段对应的颜色图标，然后在时间表格中选择所需的格子点击“检查方案”按钮查看当前时间分组所对应的时间段信息点击确定。4. URL过滤策略配置防火墙Web管理页面，策略管理 深度安全策略点击，进入i-ware WEB管理界面创建策略对象管理 URL过滤 策略管理，点击 输入“名称”，选择“时间表”（工作时间）点击确定，进入“规则管理”页面。可根据需要创建规则、对规则的状态、动作集进行修改。策略管理页面，点击已创建策略的策略名称或操作栏中的“修改URL过滤策略”按钮，进入规则管理页面。对象管理 URL过滤 规则管理，“策略”下拉框中选择需要修改其规则的已创建策略，进入指定URL过滤策略的规则修改页面“名称”框中输入新的策略名称，点击确定，可修改策略的名称。创建规则点击 按钮，输入“名称”（），选择“过滤类型”（主机名），输入“固定字符串”（），选择“使能状态”（使能），选择“时间分组”（timegroup1），设置“动作集”（时间段default的动作集选择Permit，时间段Worktime的动作集选择Block）。点击确定点击 按钮，输入“名称”（Worm Site），选择“过滤类型”（IP地址），输入“固定字符串”（），选择“使能状态”（使能），选择“时间分组”（任意时间），设置“动作集”（Block）。关联应用URL过滤段策略对象管理 段策略管理，点击 选择“要关联的段”（例如 9）、“url过滤策略”、“选择策略”（Custom URL Filter）、方向（内部到外部、外部到内部），点击确定。URL