启明星辰UTM产品功能介绍

1、启明星辰UTM产品功能介绍目录登录配置管理透明接入路由接入路由 静态路由 策略路由 动态路由 VLAN环境接入HA、VRRP会话管理IP映射、端口映射包过滤策略DHCP功能病毒防护使用入侵防护使用反垃圾邮件使用抗扫描使用漏洞扫描带宽管理功能服务器负载均衡协议控制流量呈现状态监控BANE版本UTM功能介绍案例1. 登录管理UTM设备支持的登录管理方式：HTTPSSSHTelnet consolePPP（不建议使用）默认管理接口：eth3：54Eth0：54默认管理IP：00案例1. 登录管理UTMWEB管理UTM-登录管理案例1. 登录管理UTM启明星辰UTM Web登录认证数字证书电子钥匙WE

2、B管理UTM-电子钥匙认证WEB管理UTM-电子钥匙认证案例1. 登录管理UTM目前电子钥匙无需驱动在IE地址栏输入54:8888,等待约十秒左右, 弹出一个一个对话框提示接受证书，选择接受即可出现网御星云UTM登录画面,密码默认为bane7766 。WEB管理UTM-电子钥匙登录案例1. 登录管理UTM问题:电子钥匙连接防火墙时提示“认证失败，请检查IP地址及网络”处理方法:可能由于防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成,更改管理主机ip。WEB管理UTM-电子钥匙登录案例1. 登录管理UTM用户登录版本防火墙web界面如果连续输入错误的用户名密码3-10次(默

3、认3次)。防火墙系统将锁定该用户直到防火墙重启。可以用其他账户登录后执行命令解锁。 解锁命令：admacct reset name USERNAME问题：电子钥匙认证问题WEB管理UTM-数字证书认证案例1. 登录管理UTMWEB管理UTM-数字证书认证案例1. 登录管理UTM案例1. 登录管理UTMWEB管理UTM-证书页面导入UTM上已经有了默认证书，无需导入。如果有特别需要，也可以导入其他证书，并进行管理导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“hhhhhh”，当出现导入成功后点击确定完成。案例1. 登录管理UTM

4、WEB管理UTM-浏览器证书导入当防火墙与IE证书均导入成功后，我们在理主机打开IE浏览器并输入https:/ 54:8889出现选择证书提示后点击“确定”画面。密码默认为bane7766WEB管理UTM-登录案例1. 登录管理UTM 防火墙出厂时默认的管理主机地址00，当接入一个新的网络环境中时，首先要进行管理主机的配置。其中增加了IPv6管理地址，设备可以通过配置在接口上的IPv6地址来管理。如：https:/2002:ac0:101:1:8889设备默认没有IPv6地址，所以默认情况下，不能使用IPv6地址管理墙必须把IPv6地址放在中括号中 案例1. 登录管理UTMWEB管理UTM-管

5、理主机设置 管理主机无法管理防火墙问题说明案例1. 登录管理UTMWEB管理UTM-无法管理问题案例1. 登录管理UTMWEB管理UTM-首页信息案例1. 登录管理UTMWEB管理UTM-仪表盘案例1. 登录管理UTMWEB管理UTM-仪表盘2案例1. 登录管理UTMWEB管理UTM-接口流量曲线案例1. 登录管理UTMWEB管理UTM-最新事件案例1. 登录管理UTMWEB管理UTM-快捷菜单案例1. 登录管理UTMWEB管理UTM-导出日志& 皮肤设置案例1. 登录管理UTMWEB管理UTM-权限设置案例1. 登录管理UTMWEB管理UTM-模块配置导入导出案例1. 登录管理UTMWEB管

6、理UTM-License案例1. 登录管理UTMWEB管理UTM-日志存储类型支持将感兴趣的日志保留并导出案例1. 登录管理UTMWEB管理UTM-日志分类查看BANE版本防火墙功能介绍案例2. 接口引用关系说明案例2. 接口引用关系UTM接口引用关系案例2. 接口引用关系UTM接口引用关系1、桥接设备、vlan设备、物理设备、冗余设备可以添加相应别名设备2、桥接设备可以引用透明模式的物理设备、冗余设备、vlan设备3、拨号设备可以引用路由模式的物理设备、冗余设备BANE版本防火墙功能介绍案例3.数据处理流程案例3. 数据处理流程UTM数据处理流程案例3. 数据处理流程UTM数据处理流程1发往

7、本机的数据包网卡匹配mac地址，由内核驱动接收数据包，然后传给上层协议接口处理经过nat表的PREROUTING链，进行DNAT操作路由判断，确认数据包是发往本地的经过filter表的INPUT链，对数据包进行过滤操作，最终到达本地程序注：添加DNAT规则时，尽量添加端口映射规则，避免添加IP映射规则，影响对防火墙管理访问。案例3. 数据处理流程UTM数据处理流程2由本地发出的数据包本地程序发送出数据包路由判断，包括使用的源地址、外出接口信息经过nat表的OUTPUT链，进行DNAT操作经过filter表的OUTPUT链，对数据包进行过滤操作经过nat表的POSTROUTING链，进行SNAT

8、操作，数据包离开本机案例3. 数据处理流程UTM数据处理流程3被转发的数据包网卡匹配mac地址，由内核驱动接收数据包，然后传给上层协议接口处理经过nat表的PREROUTING链，进行DNAT操作路由判断，确认数据包是需要被转发的经过filter表的FORWARD链，对数据包进行过滤操作经过nat表的POSTROUTING链，进行SNAT操作，数据包离开本机注：添加SNAT规则时，尽量细化源地址，避免any-any的snat规则。BANE版本防火墙功能介绍案例4. 透明接入案例4. 透明接入透明接入多部署于拓扑相对固定网络，为了不改变原有网络拓扑，常采用此部署方式（防火墙本身作为网桥接入网络）

9、。按照此方式部署后的防火墙如出现软硬件故障，可以紧急将防火墙撤离网络，不必更改其他路由、交换设备的配置。按照目前的网络情况，透明接入主要用于在网络骨干建设完毕的网络中加入应用防护设备，如UTM。透明接入概述案例4. 透明接入C:00S:00Brg：54eth1eth2透明接入拓扑图案例4. 透明接入透明接入模式UTM配置需求：防火墙配置的eth1eth2口配置为透明模式。 注意：设置为透明模式的接口，默认不会加到任何一个桥设备中。设置规则允许工作站00访问服务器00的HTTP服务。设置规则让工作站00不能访问服务器00的其它服务。如果需要启用AV策略、IPS策略、协议控制策略、上网行为策略，则

10、需要在启用策略前，先定义好这些策略。透明接入要求案例4. 透明接入透明接入设置接口为透明模式案例4. 透明接入透明接入将接口加入到桥案例4. 透明接入透明接入启用STP案例4. 透明接入透明接入策略配置准备1，地址配置策略中目前不支持直接输入IP的方式，所以需要预定义好地址对象。案例4. 透明接入透明接入策略配置准备2，定义协议控制策略案例4. 透明接入透明接入策略配置准备3，定义病毒防护策略案例4. 透明接入透明接入策略配置准备4，定义入侵防护策略案例4. 透明接入透明接入策略配置案例4. 透明接入透明接入常见问题和注意事项如果防火墙部署在两台Cisco交换机之间，需要确认两台交换机之间的链

11、路是否为TRUNK模式。如果是TRUNK，防火墙的接口应开启TRUNK功能。BANE版本防火墙功能介绍案例5. 路由&NAT接入案例5. 路由&NAT接入路由&NAT接入概述配置路由/NAT模式的防火墙多部署于网络边界，或者是连接多个不同网络,起到保护内网主机安全，屏蔽内网网络拓扑等作用。案例5. 路由&NAT接入路由&NAT接入路由模式C:/24S:/24Eth1:54/24Eth2:54/24eth1eth2工作在路由/NAT模式下防火墙配置需求：本案例拓扑为一个只有两个网段的小型局域网。服务器开放http/ftp服务。允许工作站访问服务器的http服务禁止工作站访问服务器其它服务。Cil

12、ent AServer B案例5. 路由&NAT接入路由&NAT接入IP配置案例5. 路由&NAT接入路由&NAT接入3G配置防火墙外接3G上网卡（类型为电信CDMA2000），选择启用3G设备，3G拨号成功获取到地址。3G拨号默认路由系统自动添加，配置相应的snat规则，实现内到外的地址转换案例5. 路由&NAT接入路由&NAT接入Wifi配置1 首先需要启用无线设备，配置无线网络地址案例5. 路由&NAT接入路由&NAT接入Wifi配置1 然后在基本配置中，选择合适的无线频率、认证方式防火墙外接无线设备，启用无线接口，配置无线接口地址（外置无线设备不支持热插拔，热插拔操作需重启防火墙）案例

13、5. 路由&NAT接入无线&3G使用环境概述3、配置DHCP，为无线客户端进行DHCP地址分配，与无线接口同网段 注：DHCP需要静态分配的IP地址需要在域配置分配的地址段中排除案例5. 路由&NAT接入路由&NAT接入配置默认路由1 配置默认路由案例5. 路由&NAT接入路由&NAT接入配置策略准备1：定义地址对象案例5. 路由&NAT接入路由&NAT接入配置策略准备2：定义病毒防护、协议控制、攻击防护、上网行为管理策略案例5. 路由&NAT接入路由&NAT接入配置策略准备3：配置策略以上策略允许：访问 并对其中的流量进行病毒防护、攻击防护、上网行为管理防护、协议控制案例5. 路由&NAT接

14、入路由&NAT接入NAT概述 网络地址转换NAT为IETF定义标准，用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。另外网络地址转换NAT经常作为一种网络安全手段使用，安全域内的机器通过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。 案例5. 路由&NAT接入路由&NAT接入NAT概述2内网外网C:eth1eth2internetEth1:Eth2:S:防火墙工作路由/NAT模式。内部客户PC需要通过防火墙访问internet上服务。从防火墙外无法看到内部客户端的真实IP。案例5. 路由&NAT接入路由&NAT接入定义服务器

15、并配置策略案例5. 路由&NAT接入路由&NAT接入配置NAT策略案例5. 路由&NAT接入注意： NAT规则中不建议添加any到any的nat规则，请查明用户网络中的内网地址到底是哪个网段，然后再根据这些网段为源地址添加nat规则。 Any到any的nat规则会将进入防火墙的报文也进行地址转化，会对映射、vpn产生影响。即便你在端口映射和ip映射中选择了源地址不转换，但是如果你添加了any到any的nat规则，进入防火墙的报文的源地址还是会被转换。 对于送往IPsec的流量，不要进行NAT，否则IPsec规则会匹配出错。案例5. 路由&NAT接入路由&NAT接入配置NAT策略2NAT策略中，

16、允许通过即意味着可以不对数据包做源地址转换案例5. 路由&NAT接入路由&NAT接入配置端口映射&IP映射BANE版本防火墙功能介绍案例6. 路由设置案例6. 路由设置路由设置概述路由 静态路由 默认路由 ISP路由 策略路由 动态路由 案例6. 路由设置路由设置静态路由拓扑内网外网54/24eth1eth3internet54/30C:/2400/3054/24防火墙工作路由/NAT模式。内部客PC需要通过防火墙访问internet。防火墙和客户机之间有一台路由器。在防火墙上需要做回指路由保证客户机能访问internet。案例6. 路由设置路由设置静态路由配置注：相同目的地的访问，metic

17、值越小的静态路由越优案例6. 路由设置路由设置默认路由均衡 默认路由均衡功能主要是防火墙对其各个路由网关的可连通性进行实时监测，并提供给内核路由表，以供系统作出合理的路由选择。依据各路由的处理能力或繁忙程度等因素，通过对每个路由设定权重，达到分流负载提高访问速度的作用。 案例6. 路由设置路由设置默认路由均衡 防火墙连有多个接入路由设备，并且每个路由设备皆保证路由可达。各个接入路由设备之间可以实现路由冗余。用户根据各个接入路由的不同带宽自行设置权重如50:1、10:1(权重越大，路由命中的概率越大)。 当新建连接与已建立连接的源IP或目的IP不同时，防火墙将依据预先定义的权重选择默认路由。注：

18、最新升级包已经更新默认路由metic功能，可以根据metic值大小选择默认路由案例6. 路由设置路由设置默认路由均衡拓扑案例6. 路由设置路由设置多默认路由均衡拓扑说明1. 防火墙具备两个出口eth1 eth2且皆路由可达外网服务器。2.客户端1客户端2网关指向防火墙内网接口eth3。3.由于数据流量较大防火墙有路由均衡的需求案例6. 路由设置路由设置路由负载均衡设置案例6. 路由设置路由设置路由负载均衡设置案例6. 路由设置路由设置ISP路由ISP路由将不同运营商的地址进行分类，将去往不同目的地的访问数据按设置选择路由，实现按运营商区分的智能选路注：单张ISP地址表地址上限：1024案例6.

19、 路由设置路由设置ISP路由添加ISP路由表，引用定义的ISP地址，ISP路由是否生效状态根据链路up/down实时显示。注：区别于老版本，ISP路由添加完立即生效，不需要在高级路由策略里面再次引用。案例6. 路由设置路由设置策略路由防火墙策略路由通过细化到源目IP，流入网口，服务的策略来更好的进行数据转发，针对不同的内网用户指定不同的路由策略注：防火墙添加策略路由，策略路由会优先于直连路由。解决办法：在高级路由表中添加下一跳全零、指定流出网口的路由。案例6. 路由设置路由设置策略路由策略路由流入网口可以选择any，简化了多网口策略路由的配置过程Ip rule show命令可以查看当前防火墙设

20、备所存在的路由，从上面可以看出优先级为1的路由为我们所添加的策略路由案例6. 路由设置路由设置基本路由总结 默认路由：默认路由需要开启网关探测功能，才能实时更新路由状态；拨号的默认路由目前由系统自动添加； 当PPPOE拨号成功后，系统自动添加基于拨号的默认路由（网关，流出网口dialX） 针对出现的默认路由不生效问题，查看“mrglb“进程是否工作正常： ps aux |grep mrglb。如果此进程处于未工作状态，会导致默认路由无法添加，解决办法，重新启动该进程: /usr/sbin/mrglb。查看默认路由监控进程日志命令：cat /var/log/fw.log | grep mrglb

21、 静态路由：静态路由根据链路状态实时变化，链路down则静态路由失效，链路up则静态路由生效（静态路由添加上限1024） ISP路由：ISP地址添加格式为/，且ISP地址表名称为英文，单个ISP地址表上限为1024。查看所添加的ISP路由条目ip route ls table 20 x 接口（本地）路由(0)策略路由(1)直连路由(main) ISP路由（20X)静态路由（main）默认路由（main）案例6. 路由设置路由设置动态路由新版防火墙全面支持IPV4、IPV6的动态路由协议，包括OSPF、RIP、组播、OSPFV3、RIPNG。增强了防火墙部署的网络适应性，在某些特殊环境中，可以采

22、用上述协议让防火墙参与动态路由的运算案例6. 路由设置路由设置OSPF路由防火墙参与OSPF网络环境案例6. 路由设置路由设置OSPF路由配置防火墙在OSPF中的router-id、需要进行重发布的路由、涉及到的OSPF区域、防火墙上需要进行network的网段、是否修改参与OSPF接口的hello报文参数值以及邻居之间协商的认证方式（none、text、MD5）案例6. 路由设置路由设置组播路由防火墙运行组播网络环境案例6. 路由设置路由设置组播路由防火墙在网络路由可达的基础上运行组播，配置要启用组播的接口，运行组播路由的模式（pim-sm）防火墙接口igmp的启用和设置需要root下adv

23、route terminal pim进入zebraenableconfigure terminal选择接口interface ethxBANE版本防火墙功能介绍案例7. VLAN案例7. VLAN接入VLAN接入概述当上下游的交换机配置TRUNK，划分多个VLAN的环境。防火墙可以接入不同VLAN，使不同VLAN间的PC可以正常通讯。防火墙支持802.1Q、NEGO和ISL三种VLAN协议。案例7. VLAN接入VLAN接入环境防火墙与交换机之间trunk相连，实现两端同VLAN互访案例7. VLAN接入VLAN接入配置1、防火墙eth1口与交换机g1/0/2接口相连，eth1口处于TRUNK

24、模式下，分别添加vlan子接口eth1.50(VLANID 50)、eth1.60(VLANID 60)案例7. VLAN接入VLAN接入配置案例7. VLAN接入VLAN接入配置案例7. VLAN接入VLAN接入配置2、防火墙eth0、eth2口为普通物理设备接口，且也在透明模式下案例7. VLAN接入VLAN接入配置2、防火墙eth0、eth2口为普通物理设备接口，且也在透明模式下案例7. VLAN接入VLAN接入配置3、添加桥设备，brg0、brg1。将eth2、eth1.50放入brg0中；将 eth0、eth1.60放入brg1中案例7. VLAN接入VLAN接入配置4、交换机上g1

25、/0/5设为access口，属于vlan50。g1/0/6设为access口，属于vlan605、此时防火墙eth2端PC 00能正常与交换机端vlan50中PC 00通信，但不能与交换机端vlan60中的PC50通信。因为此种情况下，eth2与eth1.50绑定在一起，只能与VLAN50的PC进行通信。6、防火墙eth0端PC 0能正常与交换机端VLAN60中PC 50通信，但不能与交换机端VLAN50中的PC 00通信。原因同上。案例7. VLAN接入VLAN接入配置7、注意项：此种情况下，没有将eth1上的VLAN子接口放入一个桥设备中，此时会导致环路，交换机会出现接口error-dis

26、able情况。当将防火墙的物理接口与不同的VLAN子接口进行绑定时，相当于进行了VLAN隔离，此时只能同VLAN间通信。8、注意，这个应用场景不支持VLAN区间设备，实际部署中请注意。案例7. VLAN接入VLAN接入环境防火墙trunk模式下，多vlan路由转发案例7. VLAN接入VLAN接入配置防火墙eth1口与交换机g1/0/4相连，eth1口处于TRUNK模式下案例7. VLAN接入VLAN接入配置在防火墙eth1口上启用路由模式的vlan子接口，分别为eth1.10(54)、eth1.20(54)、eth1.30（54）案例7. VLAN接入VLAN接入配置案例7. VLAN接入V

27、LAN接入配置防火墙eth0、eth2为普通外连出口，此处接PC测试用案例7. VLAN接入VLAN接入配置防火墙eth0、eth2为普通外连出口，此处接PC测试用案例7. VLAN接入VLAN接入配置交换机g1/0/4口启用trunk，透传下联vlan交换机上启用vlan设备，分别为vlan10-g1/0/1()、vlan20-g1/0/2（）、vlan30-g1/0/3（）。vlan接口IP作为下联客户端的网关地址交换机上针对每vlan配置默认路由，ip route / 54、ip route / 54、ip route / 54。交换机上默认路由处于均衡状态案例7. VLAN接入VLAN

28、接入配置交换机上vlan客户端PC1、PC2、PC3均能正常与防火墙端C1、C2正常通信注意项：此种场景下，防火墙必须针对每vlan配置相应的vlan子接口；由于交换机上默认路由为均衡状态，如果只是配置了vlan10子接口，一旦vlan10的访问通过2.254的路由到达防火墙则会导致数据丢失。案例7. VLAN接入VLAN接入环境防火墙trunk模式下单臂路由接入案例7. VLAN接入VLAN接入配置1、防火墙eth1口与交换机Ge1/0/4口相连，交换机Ge1/0/4口开启trunk案例7. VLAN接入VLAN接入配置2、交换机上分别有vlan10、vlan20，不同vlan之间PC1、P

29、C2要实现通信案例7. VLAN接入VLAN接入配置2、交换机上分别有vlan10、vlan20，不同vlan之间PC1、PC2要实现通信案例7. VLAN接入VLAN接入配置3、防火墙充当单臂路由的网关，负责转发交换上不同vlan之间的数据防火墙eth1口上启用vlan子接口，分别对应交换机上vlan10、vlan20eth1.10（54）为vlan10的网关地址，eth1.20（54）为vlan20的网关地址4、注意项：根据实际情况选择VLAN封装类型。案例7. VLAN接入VLAN接入环境Trunk环境中，防火墙透明接入，支持vlan转发案例7. VLAN接入VLAN接入配置1、防火墙e

30、th1、eth2配置为TRUNK模式接口案例7. VLAN接入VLAN接入配置1、防火墙eth1、eth2配置为TRUNK模式接口案例7. VLAN接入VLAN接入配置2、根据交换机配置的VLAN和Trunk口允许通过的VLAN，需要在防火墙的eth1和eth2分别添加对应的VLAN子接口，并将对应的VLAN子接口添加到桥设备brg1案例7. VLAN接入VLAN接入配置3、此时pc1同 pc3能互访，pc2同 pc4能互访，即不同交换机的同vlan能互访。4、注意：根据实际情况调整native vlan的ID；根据实际情况添加允许通过的VLAN。根据实际情况选择VLAN封装的类型。对于ISL

31、封装，存在TCP MSS问题。BANE版本UTM功能介绍案例8. HA设置案例8. HAHA概述启明Power V防火墙双机热备功能可以在路由模式、透明模式和混合模式下使用。启明Power V防火墙双机负载均衡功能可以在路由模式下使用。案例8. HAHA使用拓扑双机热备案例8. HAHA热备配置说明配置顺序1、先配置主墙HA参数，以及其他所有配置。2、从墙离线配置HA参数，保存后关机。3、从墙与主墙连接心跳线，并且开机。4、在主墙上同步节点配置（网络配置 HAHA基本参数查看HA状态同步所有节点配置 ，也可以通过系统监控HA状态同步所有节点配置 来实现配置同步）。确认“节点配置同步”栏中 所有

32、节点状态为“已同步”。5、连接从墙的数据线，将从墙接入网络中。6、测试双机是否正常工作。案例8. HAHA热备配置界面HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口案例8. HAHA热备配置界面案例8. HAHA热备配置界面案例8. HAHA使用拓扑负载均衡案例8. HAHA负载均衡配置说明由于LFRP集群中各防火墙节点对应的业务数据网口的IP和MAC地址分别相同，交换机必须得支持单mac多端口转发（大多数交换机都支持）,这样可以确保LFRP集群中所有的节点都收到相同的业务数据（各节点根据数据帧的hash和本节点优先级决定是否处理收到的数据帧）。交换机的单mac多端口转发可以使用

33、如下命令配置 举例 mac-address-table static 0090.3e8d.6400 vlan 100 interface fastethernet0/11 fastethernet0/12案例8. HAHA负载均衡配置界面HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口案例8. HAHA负载均衡配置界面案例8. HAHA会话同步拓扑会话同步案例8. HAHA会话同步配置说明注意该拓扑为状态同步的透明环境下的一种典型应用，但也可以在双链路路由环境下运行，起到会话保护的作用在该拓扑中如需正常使用，需交换机配置链路聚合；防火墙除配置状态同步外，还需配置端口联动案例8. H

34、AHA会话同步配置界面HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口案例8. HAHA-UTM中HA功能总结1、支持的部署模式和原有版本保持一致：路由、透明、混合模式的HA双机热备；路由模式的HA负载均衡；透明模式的HA会话同步；2、新版防火墙HA功能在稳定性、适应性上得到了更大的优化3、防火墙HA负载均衡需要交换机支持单mac多接口转发例:mac-address-table static 0090.3e8d.6400 vlan 100 interface fastethernet0/11 fastethernet0/12注：最新升级包支持热备模式下HA抢占功能，当主墙恢复正常后

35、可以通过抢占继续进行数据转发 BANE版本UTM功能介绍案例9. VRRP案例9.VRRP VRRP-UTM中VRRP功能详细配置说明第一步：启用VRRP会话同步、配置启用VRRP的物理设备案例9.VRRP VRRP-UTM中VRRP功能详细配置说明第二步：添加相应的VRRP组设置VRRP组ID-即为人为所添加的VRRP组（如VRRP组1，VRRP组2）优先级-所添加的这个VRRP组在此台UTM上的优先级（同一个VRRP组中，优先级最高的即为主设备，负责此组中的数据转发功能）案例9.VRRP VRRP-UTM中VRRP功能详细配置说明第三步：配置VRRP组中VIP地址案例9.VRRP VRRP

36、-UTM中VRRP功能详细配置说明第四步：启用VRRP功能BANE版本UTM功能介绍案例10. 会话管理案例10. 会话管理会话管理概述连接管理功能提供状态监控功能，可以提供连接状态统计、分析、管理功能。可以协助网络管理人员查出内网或外网中有问题的客户端，并且可以通过进行连接数限制，切断其网络访问。案例10. 会话管理会话管理计时器设置案例10. 会话管理会话管理会话统计1案例10. 会话管理会话管理会话统计2案例10. 会话管理会话管理会话统计3案例10. 会话管理会话管理会话管理BANE版本UTM功能介绍案例11. 病毒防护设置案例11. 病毒防护病毒防护概述病毒防护，英文即Anti-vi

37、rus（简称AV），是UTM系统的重要功能之一；病毒防护策略用于组织各种协议进行病毒防护，其中包括：HTTP、FTP、SMTP、POP、IMAP以及两种典型应用MSN和Webmail；病毒检查分为内核扫毒(快速模式)、代理扫毒(全面扫毒)案例11. 病毒防护病毒防护拓扑图Brg：54eth1eth2 客户机：00病毒服务器:00本案例UTM配置需求：UTM的eth1eth2口配置为透明模式，配置管理ip：54。新建一条名字为av的病毒防护策略，引用标准病毒防护模板。新建一条包过滤策略，策略的病毒选项中引用“av”病毒防护策略。通过ftp下载存储于服务器的等病毒样本，在UTM的最新事件和日志中查

38、看相应的现象。案例11. 病毒防护病毒防护特征升级案例11. 病毒防护病毒防护配置病毒防护策略案例11. 病毒防护病毒防护配置策略案例11. 病毒防护病毒防护文件过滤器 启用压缩文件扫毒只针对内核扫毒功能生效； 缓存大小、病毒文件白名单后缀、病毒文件黑名单后缀针对代理扫毒功能设置；案例11. 病毒防护病毒防护隔离功能病毒防护病毒文件隔离该功能只适用于代理扫毒；需要在设备上连接一块FAT32格式的U盘方可使用启用；选择需要隔离的协议，使用的U盘，当设备检查到AV病毒时会将病毒文件隔离到U盘中，以备用户后续审计查看；病毒文件的存储上限是根据U盘大小而定的，当U盘存满之后设备不会再向U盘存储病毒文件

39、。案例11. 病毒防护病毒防护病毒主机隔离 该功能只适用于快速扫毒； 选择主机隔离检查的协议类型(支持多选)； 在设备检查到AV病毒之后，会将攻击的源IP所属的主机加入IP黑名单中，隔离时间由用户自己选择。案例11. 病毒防护病毒防护自定义病毒特征 用户可以根据需要自己定义病毒特征，实施病毒防护； 病毒特征中填充的是文件16进制码，长度以页面提示的为准； 自定义病毒特征只支持内核扫毒；案例11. 病毒防护病毒防护服务端口 除了FTP之后其它端口都允许增加5个自定义端口案例11. 病毒防护病毒防护AV云防护代理 设备将检测到的病毒信息上传至网御星云云防护中心，供安全人员分析。案例11. 病毒防护

40、病毒防护问题代理扫毒（全面扫毒）可能存在以下风险：并发过高后，HTTP访问缓慢，页面打开时延大，所以建议使用内核扫毒。代理扫毒不支持纯透明环境下部署(可以在路由和混合模式下部署)案例11. 病毒防护病毒防护IPV6下的AV功能案例11. 病毒防护病毒防护日志最新事件的显示的是IPV6下的病毒日志，该版本在此处增加了阻断动作，用户手动设置阻断;设置的阻断信息在防火墙-黑名单-主机服务黑名单可以看到案例11. 病毒防护病毒防护最新事件的阻断功能案例11. 病毒防护BANE版本UTM功能介绍案例12. 攻击防护设置案例12. 攻击防护攻击防护概述入侵防护功能是UTM安全网关配置的重点。应用入侵防护功

41、能，首先需要定义入侵防护策略，然后将此策略在包过滤中引用并生效。案例12. 攻击防护攻击防护拓扑攻击机:00被攻击服务器:00Brg：54eth1eth2本案例UTM配置需求：UTM的eth1/eth2口配置为透明模式，配置管理ip：54。新建一条名字为ips的入侵防护策略，引用标准入侵防护模板。新建一条包过滤规则，源地址是X.X.X.X,目的地址是X.X.X.X,入侵防护策略处引用IPS策略。攻击机发送攻击回放包，在UTM最新事件和日志中查看相应的现象。案例12. 攻击防护攻击防护IPS特征升级案例12. 攻击防护攻击防护IPS策略配置默认有4个攻击防护模板可以使用，这些模板分别针对一些特定

42、的使用环境。用户也可以自定义的攻击防护策略。案例12. 攻击防护攻击防护自定义特征针对特殊情况，用户也可以自定义攻击特征，应用之后该特征会自动加载在所有的策略模板中案例12. 攻击防护攻击防护入侵场景保留从发现攻击的一瞬间开始，记录一定长度的数据包，以便于事后审计，在插入U盘的时才可配置启用，FTP只用于U盘存储满后才开始上传。案例12. 攻击防护攻击防护入侵场景保留案例12. 攻击防护攻击防护IPS云防护 将设备产生的攻击信息上传至网御星云云防护中心，供安全人员分析补充。案例12. 攻击防护攻击防护规避乱序检测逃避IPS检测的手段有：数据包分片、数据流分隔、RPC分片、URL混淆，以及攻击负

43、载的多态和混淆等规避乱序检测功能，可以防止这些特别调整的攻击包漏过扫描案例12. 攻击防护攻击防护策略引用 安全策略引用入侵防护策略之后，之前的配置的IPS功能即可生效案例12. 攻击防护攻击防护日志案例12. 攻击防护攻击防护阻断功能案例12. 攻击防护攻击防护典型拓扑BANE版本UTM功能介绍案例13. UIDS使用案例13. UIDSUIDS概述UIDS 可以支持在离线(旁路)模式下，检测攻击和病毒传输；UIDS 可以适应IPV4和IPV6的网络环境；UIDS 可以通过记录日志和告警邮件来查看功能现象。案例13. UIDSUIDS使用拓扑客户端即作为攻击的发起者又作为设备的管理端；设备E

44、th0作为UIDS的监控口接收通过交换机镜像过来的数据。案例13. UIDSUIDS配置1 配置一个物理接口为透明模式，并且不要放置在任何一个桥设备中；2 在应用防护-入侵检测模式中添加规则，选择上述接口为流入网口，并选择攻击检测策略、病毒检测策略选项；3 IPV6规则在IPV6-IPV6配置-入侵检测模式中添加规则，内部配置和IPV4类似；4 用户可以根据实际环境进行严格检测（设备提供了SMAC、源目IP、时间、服务等限制条件） 案例13. UIDSUIDS基础设置在应用防护策略选择了该接口后，该透明接口会被自动加入一个新建的网桥设备中。案例13. UIDSUIDSIPV4规则中配置案例13

45、. UIDSUIDSIPV6规则中配置案例13. UIDSUIDS日志BANE版本UTM功能介绍案例14. 垃圾邮件防护设置案例14. 垃圾邮件防护垃圾邮件防护概述面对日益增多的垃圾邮件的干扰，网御UTM网关通过反垃圾邮件系统有效的对垃圾邮件进行适合用户需求的多样化处理。目前，反垃圾邮件系统的主要功能有： 垃圾邮件服务器IP地址黑名单功能； 启用垃圾邮件地址检查； 启用主题关键字检查；启用正文关键字检查；案例14. 垃圾邮件防护垃圾邮件防护概述启用附件正文关键字检查；启用附件大小检查；启用连接频率检查；启用发送邮件收件人数量限制；启用smtp发送邮件地址白名单功能。案例14. 垃圾邮件防护垃圾

46、邮件防护环境配置Mail_C:00eth1eth2本案例UTM配置需求：UTM的eth1/eth2口配置为路由模式。打开UTM上的反垃圾邮件功能。打开反垃圾邮件之主题关键字检查功能。发送带有“法轮功”主题的邮件，在UTM日志中查看相应的现象。Mail_S:00案例14. 垃圾邮件防护垃圾邮件防护功能启用案例14. 垃圾邮件防护垃圾邮件防护具体功能设置1案例14. 垃圾邮件防护垃圾邮件防护具体功能设置2案例14. 垃圾邮件防护垃圾邮件防护具体功能设置3案例14. 垃圾邮件防护垃圾邮件防护具体功能设置4案例14. 垃圾邮件防护垃圾邮件防护被策略引用案例14. 垃圾邮件防护垃圾邮件防护日志BANE版

47、本UTM功能介绍案例15. 抗扫描案例15. 抗扫描抗扫描概述抗扫描，是安全网关系统的重要功能之一；抗扫描功能，根据数据包的前后关系，判定是否为扫描行为，分为主机扫描和端口扫描；案例15. 抗扫描抗扫描拓扑图本案例UTM配置需求：UTM的eth1eth2口配置为路由模式，配置接口eth2：54（同时做为管理） eth1: 54，新建一条包过滤策略，保证攻击PC可以正常访问内网服务器。开启防火墙的抗扫描功能，并在攻击PC上使用扫描软（比如portscan、x-scan）对内网服务器进行端口扫描案例15. 抗扫描抗扫描配置案例15. 抗扫描抗扫描日志 此时去查看防火墙的日志，便会将进行扫描的事件记

48、录下案例15. 抗扫描抗扫描阻断 开启该功能便会将扫描的数据包丢弃，从而达到抵抗扫描的作用案例15. 抗扫描抗扫描阙值 默认值为10，可以手动修改，可根据网络的具体使用环境确定案例15. 抗扫描抗扫描黑名单 开启该功能便会将发起扫描的主机加入到IP黑名单中，完全阻断该主机的数据包，（阻断时间可以人为修改）案例15. 抗扫描抗扫描白名单 可将信任的主机加入到抗扫描白名单里，该主机的扫描行为则被认为合法的，不受抗扫描规则限制抗扫描可能存在的问题阙值的大小的确定十分关键，要根据网络实际情况来确定，过小的阙值，可能将合法的访问被判定为扫描行为。当阙值设置为0时，将导致UTM设备都无法管理。案例15.

49、抗扫描案例15. 抗扫描抗扫描IPV6下抗扫描不需要做其他任何操作，开启抗扫描功能便支持对IPV6扫描的检测和阻断。BANE版本UTM功能介绍案例16. 漏洞扫描案例16. 漏洞扫描UTM漏洞扫描功能详细配置说明添加定时或者手动漏洞扫描案例16. 漏洞扫描UTM漏洞扫描功能详细配置说明添加定时或者手动漏洞扫描案例16. 漏洞扫描防火墙漏洞扫描结果查看与验证BANE版本UTM功能介绍案例17. Qos案例17.QOS 此功能通过tc工具和内核中的htb算法来实现在网卡的出口处控速，可以使防火墙具备对流经各网口的流量进行有效控制的能力，通过与主机带宽功能和绿色上网中的应用识别技术、URL识别技术相

50、结合，可以使防火墙具备较为完整的流量控制功能。QOS概述案例17.QOSQOS拓扑图（1）配ClinetA下载云端文件的速度为1000Kbit/s（用普通带宽：入口为eth0, 在eth0上创建带宽资源组）（2）配eth3网口下的/24网段内的所有客户端下载云端文件的速度为100Kbit/s（用主机带宽：入口为eth3，出口为eth2, 下行方向）案例17.QOS普通带宽规则和主机带宽规则都是把连接的发起端视为源。只不过主机带宽可以配置流入网口和流出网口，且流出网口为必配项，把SYN包的流入网口视为入接口，SYN包的流出网口为出接口。而普通带宽可以配置流入网口和带宽资源组，且带宽资源组为必配项

51、，把SYN包的流入网口视为流入接口，不可以配流出网口，但必须配带宽资源组，而带宽资源组必须建立在实际数据向外流向要限速的网口上。注：主机带宽上传下载均在第一个syn包流出设备的口上限制；普通带宽上传在上传报文流出设备的口上限制、下载在下载报文流出设备的口上限制BANE版本UTM功能介绍案例19. 服务器负载均衡案例19. 服务器负载均衡负载均衡-UTM负载均衡环境与详细配置防火开启服务器均衡，选择调度算法-轮流；内部服务器1、服务器2分别对外提供不同的访问页面；客户端PC1、PC2分别发起访问；要求：客户端PC均能正常访问内部服务，且返回不同的访问页面案例19. 服务器负载均衡负载均衡-UTM负载均衡环