天清汉马USG防火墙T系列快速安装指南v3Word下载.docx
《天清汉马USG防火墙T系列快速安装指南v3Word下载.docx》由会员分享,可在线阅读,更多相关《天清汉马USG防火墙T系列快速安装指南v3Word下载.docx(25页珍藏版)》请在冰豆网上搜索。
Copyright....................................................................................................................
Disclaimer.................................................................................................................
第1
章
硬件安装......................................................................................................
5
1.1
安装前准备工作..................................................................................................
1.1.1
安装环境要求..................................................................................................................
1.1.2
安装工具准备..................................................................................................................
1.2
设备面板标识说明
..............................................................................................
1.3
设备安装..............................................................................................................
6
1.3.1
设备接口卡的安装
..........................................................................................................
1.3.2
将设备安装到机柜
第2
快速配置......................................................................................................
7
2.1
设备默认配置......................................................................................................
2.1.1
管理口的默认配置
2.1.2
默认管理员用户..............................................................................................................
2.2Web快速配置.......................................................................................................
2.2.1
登录设备..........................................................................................................................
2.2.2
配置VLAN.........................................................................................................................
8
2.2.3
配置IP地址....................................................................................................................
9
2.2.4
透明桥模式案例
1.........................................................................................................
10
2.2.5
2.........................................................................................................
12
2.2.6
路由综合案例................................................................................................................
14
2.2.7
攻击防护案例................................................................................................................
20
2.2.8
应用控制案例................................................................................................................
23
第3
软件升级....................................................................................................
27
3.1通过Web升级....................................................................................................
第1章
硬件安装
在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。
安装前准备工作
安装环境要求
工作温度0
~40℃
存储温度
-40~70℃
相对湿度
0~95%非凝结
电磁兼容性
满足GB9254-1998A级以上及GB17618-1998电磁兼容要求
电源适应性
220V拉偏电:
198V~242V,频率:
49~51Hz
1.1.2安装工具准备
请安装前准备好以下安装工具:
终端:
配置终端,可以是普通PC机、笔记本电脑
工具:
十字螺丝刀和防静电护腕
电缆:
电源电缆、串口电缆、网线
1.2设备面板标识说明
:
超级终端的RJ45连接端口
:
2×
USB连接接口
管理接口
10/100/1000M自适应以太网电接口业务口
GESFP光接口业务口
机箱后部电源插座和电源开关
接口卡
1.3设备安装
1.3.1设备接口卡的安装
设备接口卡安装步骤如下:
1)设备断电;
2)取下接口槽位上的挡板,插入接口卡;
3)安装完毕。
设备的接口卡不支持热插拔,设备必须在断电情况下才能进行接口卡
注意的安装和卸载,否则会造成设备的损坏!
1.3.2将设备安装到机柜
1)设备断电
2)将设备放置在机柜托盘上
3)将设备固定在机柜上
4)接通电源
5)管理口接上网线
第2章快速配置
本设备可通过Web方式来进行配置。
2.1设备默认配置
出厂的防火墙设备自带默认的配置。
这些默认配置可以在出厂的情况下,允许用户通过Web进行配置。
2.1.1管理口的默认配置
标记有“MGT”的接口为设备的管理口;
如果没有“MGT”接口,则主板上从左侧数第一个
以太网接口为设备的管理口。
管理口的默认IP地址为192.168.1.250/24。
允许对该接口的Ping,HTTPS操作。
2.1.2默认管理员用户
系统默认的管理员用户为admin,密码为fw.admin。
任何地址都可以使用该用户登录设备。
并且可以使用设备的所有功能。
2.2Web快速配置
2.2.1登录设备
配置本机IP地址为192.168.1.2/24,通过网线将本机和设备管理口连接。
打开浏览器,
输入https:
//192.168.1.250,连接设备。
输入用户名(缺省用户名:
admin)、密码(缺省密码:
fw.admin)和验证码(随机生成)登录。
2.2.2配置VLAN
案例描述
FW设备使用VLAN提供转发业务,在配置其他业务前,需要根据网络环境创建VLAN并在其中加
入物理接口成员。
配置步骤:
进入网络>
接口>
VLAN,点击新建,如下图:
1、配置参数
名称:
vlan的名称,这里配置为
vlan1
。
Tag:
vlan的tag号,这里配置为
1。
管理状态:
vlan接口的状态,设置为UP。
MTU:
vlan接口的MTU值,保持默认的
1500即可。
接口选择:
在可选的接口中点击
加入到Untagged或者Tagged接口中,这里将
ge0/1以
Untagged方式加入到
vlan1中,将ge0/2以Tagged方式加入到vlan1
中。
2、点击提交完成创建
VLAN。
2.2.3配置IP地址
防火墙设备在做网络层以上业务处理时,需要在VLAN上配置IP地址。
1.进入网络>
接口>
VLAN,点击列表中的需要配置的
vlan
接口,如下图所示(以
vlan10
为例):
IP
地址/掩码:
vlan
接口的
地址/掩码,这里设置为
1.1.1.1/24
这里不选择浮动
与单元
ID。
点击“添加”按钮。
2.点击“更新”添加VLANIP成功,如下图所示:
2.2.4透明桥模式案例1
案例描述:
防火墙设备透明部署,通过FW设备的报文不带vlantag,内网用户需要通过防火墙访问外网。
案例拓扑
1、进入网络>
VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1UnTagged方式加
入到vlan10中,点击提交使配置生效。
2、进入对象>
地址对象>
地址节点,创建IPV4类型的地址对象内网用户,并将内网网段
192.168.10.0/24加入到地址对象中。
3、进入策略>
防火墙>
策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也
配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,
动作为permit,点击提交使配置生效。
4、进入策略>
策略,查看策略,勾选策略启用开关,使得配置启用。
5、进入策略>
策略配置,查看策略匹配开关开启,默认动作为deny。
2.2.5透明桥模式案例2
防火墙透明部署在要透传带vlantag
trunk链路下,通过FW设备的报文带vlantag10和vlantag20,FW设备需的报文,并且内网用户需要通过防火墙访问外网。
VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1UnTagged加入到vlan10中,点击提交使配置生效。
2、配置设备管理接口允许
SSH或telnet方式访问设备,并使用
SSH或telnet方式登陆到设备
管理终端,在配置视图下,输入如下命令。
该命令会使得该
vlan的接口下允许所有的vlan
tag或untag透传,故配置后不再受步骤
1中vlan接口配置的
UnTagged或者tagged方式
的约束。
FW(config)#vlan10
FW(config-vlan)#vlan-transparentenable
提示:
此配置命令适用于
FW需要透传大量vlan时使用,若桥下只需要允许单个
VLAN带
tag通过,在配置
vlan时,将接口
tagged方式加入到该vlan中即可。
3、进入对象>
地址节点
,创建
IPV4类型的地址对象
内网用户,并将内网网段
192.168.10.0/24
和192.168.11.0/24
加入到地址对象中。
策略,点击新建,地址类型选择IPv4
配置为vlan10,源地址配置为内网用户,目的地址配置为
,入接口配置为
any,服务为
vlan10,出接口也
any,时间为always
,
6、进入策略>
2.2.6路由综合案例
企业需要通过
FW设备进行互联网访问,内网地址网段为
192.168.1.0/24
,服务器网段为
192.168.2.0/24
企业有两条条出口链路分别属于电信、网通,电信的公网地址为
13.1.1.1,
网关为13.1.1.2
;
网通的公网地址为
14.1.1.1,网关为14.1.1.2
用户具体需求如下:
1
、内网地址访问外网需要进行源
NAT转换。
、外网地址访问内网服务器需要进行目的
3
、依据组网划分不同的区域,内网属于
trust区域,外网属于
untrust区域,内网服务器属
于DMZ区域。
配置策略允许
trust
区域访问untrust
区域,允许
和untrust区域访
问DMZ区域的http服务,其他访问流量默认拒绝。
4
、若访问的目的地址为电信
IP地址,选择电信的链路作为出链路,
当电信链路故障以后,选
择网通的链路作为出链路。
、若访问的目的地址为网通
IP地址,选择网通的链路作为出链路,
当网通链路故障以后,选
择电信的链路作为出链路。
6、若访问的目的地址不属于电信、网通,可以轮询选择出链路,但是内网访问服务器的流量都不受策略路由控制。
案例配置分析:
、设备配置源
NAT实现内网访问外网的
、设备配置目的
NAT实现外网到内网服务器的访问。
、配置添加两条默认路由使得内网可以通过路由成功访问到外网。
、配置接口加入到不同的安全域,通过配置防火墙策略实现区域之间的互访控制。
、配置策略路由实现基于
ISP的选路。
、地址对象配置添加排除
IP,使得内网访问服务器不受策略控制。
、照上述拓扑进行组网,并作基本网络配置,包括
VLAN划分,以及IP地址配置。
、进入对象>
地址对象>
地址节点,创建电信地址对象,
ISP地址库选择ISP_CT.dat(中国电
信),配置提交。
3、按照上述方法,分别创建如下地址对象:
电信:
包含电信ISP地址库
网通:
包含网通ISP地址库
内网地址:
成员为所有内网网段:
192.168.1.0/24
和192.168.2.0/24
外网地址:
成员为0.0.0.0/0,同时将内网用户192.168.1.0/24
和服务器网段192.168.2.0/24
添加到排除地址中。
DNAT电信:
升级会员 