天清汉马USG系列配置简介

北京启明星辰信息技术有限公司,天清汉马USG配置介绍天清汉马USG一体化安全网关,配置管理概述防火墙基本配置VPN配置AV和IPS配置日志功能数据中心安装与配置,提纲,配置管理概述,USG设备的管理方式通过Console口配置；通过Telnet进行命令行的配置；通过SSH进行命令行的配置；通过HTTP或HTTPS协议，从GUI界面进行配置管理；安装集中管理中心软件，集中管理、配置USG设备；,配置管理概述,管理员用户与权限表通过默认管理员或自建管理员用户来进行管理配置；管理员可以通过本地或Radius进行认证；出厂默认管理用户admin，密码venus.usg；管理员权限表规定了管理员可以执行的操作；可以给管理员添加管理IP限制；,配置管理概述,配置管理概述,新建管理员用户,配置管理概述,新建管理员权限表,配置管理概述防火墙基本配置VPN配置AV和IPS配置日志功能数据中心安装与配置,提纲,USG的工作模式,USG支持三种接入模式：透明模式；路由模式；混合模式；这三种模式无需显式配置，USG根据用户配置自动生效。,USG中的接口概念,USG中包含以下接口级的概念:物理接口；Vlan接口；透明桥接口；GRE接口；安全域；其他隐藏接口，包括loopback接口、L2TP接口和tunssl接口,物理接口,Vlan接口,透明桥接口,GRE接口,安全域,安全域实际上就是接口组，可以在一个域中加入多个接口，对安全域的配置对于多个接口都是生效的，方便配置。接口加入域后，不能单独对该接口进行配置。,安全域,路由配置,路由表查询,路由配置,创建静态路由,路由配置,创建策略路由,安全策略,安全策略是USG应用的核心，我们通过配置安全策略:实现对数据流的匹配(接口、IP、服务、时间)控制和管理流经设备的数据流(Permit、Deny、IPSec加密、SSL加密)AV和IPS需要经由安全策略来实施使用NetFlow进行流量分析施行QoS服务质量划分,安全策略,创建和编辑安全策略,安全策路,安全策略的高级选项:启用web接入控制和流量控制,安全策略,安全策略的启用与匹配安全策略配置后必须启用才会生效；安全策略按先配置优先的原则进行匹配；对通过设备的数据包进行处理，对于到设备本身的数据包和设备本身发出的数据包不进行限制；可以调整安全策略的顺序，以使位置在前的策略优先匹配；可以创建一条新的安全策略，并插入到指定的策略之前；,网络地址转换(NAT),网络地址转换(NAT):最初用于私有地址向公有地址的转换，以解决公有IP地址短缺的问题；单向隔离，具有额外的安全性；利用目标地址的映射，使公有地址可访问配置了私有地址的服务器；可用于服务器的负载均衡和地址复用；,网络地址转换(NAT),USG支持以下NAT:源NAT，按照使用不同可划分为:动态NAT:源地址映射到一个地址池(NATPool)；PAT:所有源地址映射到同一目的地址；静态NAT：一对一双向地址映射；目的NAT；,网络地址转换(NAT),源地址转换(SNAT)，可以将内部地址转换成出接口地址或者地址池中的地址。,网络地址转换(NAT),目的地址转换(DNAT)，可以将目标地址转换成NATPool中的地址，亦可实现服务器负载分担与业务分流。,网络地址转换(NAT),NAT地址池(Pool)，注意起始地址不能大于结束地址，在地址不是很充分的情况下，可以配置地址轮询。,动态地址分配(DHCP),USG设备可以担当所有的DHCP角色:DHCPServerDHCPRelayDHCPClient,动态地址分配(DHCP),配置DHCP服务器的步骤:在相应接口开启DHCPServer服务；创建DHCP服务器；如果有必要，创建DHCP地址的排除范围；如果有必要，创建IP-MAC绑定条目；通过监视器可察看由USG分配的动态地址；,动态地址分配(DHCP),高可用性(HA),高可用性(HA,HighAvailability)，可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度。,高可用性(HA),天清汗马USG上的HA:目前支持主备模式，下一版本将支持主主模式；支持两台防火墙互为备份；两台设备的硬件型号要求一致；HA接口为专用物理口，不处理业务；支持透明模式、路由模式和混合模式；,高可用性(HA),配置USG工作于主备模式:,高可用性(HA),察看当前HA的工作状态与同步情况:,防攻击防扫描,常见的网络攻击:Ping-of-deathJolt2Land-BaseTearDropWinnukeSmurfSyn-flag,防攻击防扫描,网络扫描通常分为以下几种:垂直扫描：针对相同主机的多个端口水平扫描：针对多个主机的相同端口Ping扫描：针对某地址范围，通过Ping方式发现存活主机扫描通常是网络攻击的前兆；USG设备可以有效防范以上几类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检测到扫描探测时，向用户进行报警提示。,防攻击防扫描,根据网络情况开启相应的防攻击和防扫描功能，并设定合理的参数。,防攻击防扫描,防Flood攻击:通过限制源主机或目的主机的连接数来起到防止Flood攻击的目的；在安全防护表中启用，并通过安全策略来引用，不是全局使能的；根据网络情况，配置合理的参数值；可以认为是防攻击、防扫描的补充。,防攻击防扫描,配置管理概述防火墙基本配置VPN配置AV和IPS配置日志功能数据中心安装与配置,提纲,VPN应用场景,IPSec配置简介,可以通过命令行或者web界面对IPSec进行配置，基本步骤:配置阶段1(IKE)策略配置阶段2(IPSec)策略在安全策略中启用IPSec数据流触发IPSec，察看IPSec的运行情况,IPSec配置简介,场景：启用IPSec安全策略，使得企业分部中的主机簇-00访问企业总部服务器00的数据被IPSec加密,IPSec配置简介,1.在USGA上创建地址对象usrs和server，分别代表地址簇用户和服务器。,IPSec配置简介,2.配置阶段1(IKE)策略,IPSec配置简介,如果有必要，进行阶段1的高级配置，可以设置加密、认证算法、DH组、密钥周期、DPD探测频率等参数；,IPSec配置简介,3.创建阶段2(IPSec)策略,IPSec配置简介,如有必要，配置阶段2的高级选项，可更改ESP和AH封装的加密算法、PFS组、工作模式、更改密钥周期；密钥周期可以按照时间或者流量来计算，也可以两者一块计算；,IPSec配置简介,4.配置安全策略，并在安全策略中使能IPSec加密。,IPSec配置简介,5.参考步骤1-4，在USGB上，做类似的配置，需要保证两边的密钥、加密算法、Hash算法等参数是一致的。6.从企业分部的主机，访问总部的服务器，会触发IPSec协商；7.协商成功之后，从分部主机到服务器的流量被加密；可以从web上察看流量信息。,SSLVPN配置,1.在USG上使能SSLVPN，默认采用10443端口,SSLVPN配置,2.在对应的接口上开启SSLVPN接入:,SSLVPN配置,3.配置相应的安全策略，当然还要配置好用户和用户组:,SSLVPN配置,4.通过HTTPS协议，从Web登陆:,SSLVPN配置,5.登陆后页面如下，可以通过web或隧道模式访问内部资源。,SSLVPN配置,6.隧道模式下需要先下载客户端，安装后点击连接，拨号成功的页面如下图所示:,SSLVPN配置,7.在管理界面中查看SSLVPN用户情况，在web模式和隧道模式下分别显示如下:,SSLVPN配置,8.此时再通过web方式或隧道方式访问内部资源，就是采用的加密方式。目前web方式只支持http浏览，隧道方式则支持一般的网络应用。,L2TPVPN配置,1.首先创建L2TP所用的用户和用户组：,L2TPVPN配置,2.在USG上配置L2TP,L2TPVPN配置,3.在相关接口上开启L2TP拨入功能,L2TPVPN配置,4.视实际应用情况，配置合适的安全策略:,L2TPVPN配置,5.用户此时可以拨入，拨入后在USG管理页面中可以查看存在的L2TP用户:,配置管理概述防火墙基本配置VPN配置AV和IPS配置日志功能数据中心安装与配置,提纲,安全防护表,安全防护表是一个模板，防病毒AV、入侵检测IPS、IM-P2P控制、防Flood攻击、文件跟踪、Web过滤、邮件过滤这些功能都是在安全防护表中进行配置并启用，相应的日志的启用也在安全防护表中配置。安全防护表必须通过在安全策略中引用才能生效。,安全防护表,安全防护表,安全防护表,防病毒AV配置,防病毒AV配置,防病毒AV配置,防病毒AV配置,入侵防御IPS配置,入侵防御IPS配置,预定义IPS特征,入侵防御IPS配置,自定义IPS特征,IM-P2P配置,IM-P2P统计信息,IM-P2P配置,IM用户信息,Web过滤,目前Web过滤仅支持基于URL的屏蔽，建立屏蔽列表和免屏蔽列表后，在安全防护表中启用；启用时屏蔽列表和免屏蔽列表是互斥的。,邮件过滤配置,USG邮件过滤是基于SMTP协议的过滤，支持:基于SMTP命令的过滤基于邮件标题的过滤基于SMTP发件人的过滤配置完成之后在安全防护表中启用邮件过滤，并在安全策略中应用安全防护，即可使用邮件过滤功能。,邮件过滤配置,发件人屏蔽和主题屏蔽,配置管理概述防火墙基本配置VPN配置AV和IPS配置日志功能数据中心安装与配置,提纲,日志功能,USG日志分为:事件日志病毒日志入侵防护日志流量日志:支持NetFlowV9对于前三种日志，可以配置将其记录到内存、标准Syslog服务器或者数据中心；对于流量日志，可以输出到第三方流量收集器或数