天清汉马USG防火墙T系列快速安装指南v3.docx
《天清汉马USG防火墙T系列快速安装指南v3.docx》由会员分享,可在线阅读,更多相关《天清汉马USG防火墙T系列快速安装指南v3.docx(25页珍藏版)》请在冰豆网上搜索。
天清汉马USG防火墙T系列快速安装指南v3
天清汉马USG防火墙(T系列)
快速安装指南
北京启明星辰信息安全技术有限公司
BeijingVenusInformationSecurityInc.
二零一六年11月
天清汉马USG防火墙
快速安装指南
手册版本V1.0
产品版本V2.0
资料状态发行
版权声明
启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。
未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。
启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’sManualCopyrightandDisclaimer
Copyright
CopyrightVenusnetworksCo.LtdAllrightsreserved.
ThecopyrightofthisdocumentisownedbyVenusnetworksCo.Ltd.
WithoutthepriorwrittenpermissionobtainedfromVenusnetworksCo.Ltd.,thisdocumentshallnotbereproducedandexcerptedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandtranslatedintootherlanguages,appliedforacommercialpurposeinwholeorinpart.
Disclaimer
Thisdocumentandtheinformationcontainedhereinisprovidedonan
“ASIS”basis.VenusnetworksCo.Ltdmaymakeimprovementorchanges
inthisdocument,atanytimeandwithoutnoticeandasitseesfit.TheinformationinthisdocumentwaspreparedVenusnetworksCo.Ltdwithreasonablecareandisbelievedtobeaccurate.However,VenusnetworksCo.Ltdshallnotassumeresponsibilityforlossesordamagesresultingfrom
anyomissions,inaccuracies,orerrorscontainedherein.
副本发布声明
启明星辰公司的天清汉马USG防火墙产品正常运行时,包含2款GPL协议的软件(linux、zebra)。
启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户,请需要GPL软件的客户提供
(1)已经购买的产品的序列号,
(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。
快速安装指南.................................................................................................................
2
User’sManualCopyrightandDisclaimer
.................................................................2
Copyright....................................................................................................................
2
Disclaimer.................................................................................................................
2
第1
章
硬件安装......................................................................................................
5
1.1
安装前准备工作..................................................................................................
5
1.1.1
安装环境要求..................................................................................................................
5
1.1.2
安装工具准备..................................................................................................................
5
1.2
设备面板标识说明
..............................................................................................
5
1.3
设备安装..............................................................................................................
6
1.3.1
设备接口卡的安装
..........................................................................................................
6
1.3.2
将设备安装到机柜
..........................................................................................................
6
第2
章
快速配置......................................................................................................
7
2.1
设备默认配置......................................................................................................
7
2.1.1
管理口的默认配置
..........................................................................................................
7
2.1.2
默认管理员用户..............................................................................................................
7
2.2Web快速配置.......................................................................................................
7
2.2.1
登录设备..........................................................................................................................
7
2.2.2
配置VLAN.........................................................................................................................
8
2.2.3
配置IP地址....................................................................................................................
9
2.2.4
透明桥模式案例
1.........................................................................................................
10
2.2.5
透明桥模式案例
2.........................................................................................................
12
2.2.6
路由综合案例................................................................................................................
14
2.2.7
攻击防护案例................................................................................................................
20
2.2.8
应用控制案例................................................................................................................
23
第3
章
软件升级....................................................................................................
27
3.1通过Web升级....................................................................................................
27
第1章
硬件安装
在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。
1.1
安装前准备工作
1.1.1
安装环境要求
工作温度0
~40℃
存储温度
-40~70℃
相对湿度
0~95%非凝结
电磁兼容性
满足GB9254-1998A级以上及GB17618-1998电磁兼容要求
电源适应性
220V拉偏电:
198V~242V,频率:
49~51Hz
1.1.2安装工具准备
请安装前准备好以下安装工具:
终端:
配置终端,可以是普通PC机、笔记本电脑
工具:
十字螺丝刀和防静电护腕
电缆:
电源电缆、串口电缆、网线
1.2设备面板标识说明
:
超级终端的RJ45连接端口
:
2×USB连接接口
:
管理接口
:
10/100/1000M自适应以太网电接口业务口
:
GESFP光接口业务口
:
机箱后部电源插座和电源开关
:
接口卡
1.3设备安装
1.3.1设备接口卡的安装
设备接口卡安装步骤如下:
1)设备断电;
2)取下接口槽位上的挡板,插入接口卡;
3)安装完毕。
设备的接口卡不支持热插拔,设备必须在断电情况下才能进行接口卡
注意的安装和卸载,否则会造成设备的损坏!
1.3.2将设备安装到机柜
1)设备断电
2)将设备放置在机柜托盘上
3)将设备固定在机柜上
4)接通电源
5)管理口接上网线
第2章快速配置
本设备可通过Web方式来进行配置。
2.1设备默认配置
出厂的防火墙设备自带默认的配置。
这些默认配置可以在出厂的情况下,允许用户通过Web进行配置。
2.1.1管理口的默认配置
标记有“MGT”的接口为设备的管理口;如果没有“MGT”接口,则主板上从左侧数第一个
以太网接口为设备的管理口。
管理口的默认IP地址为192.168.1.250/24。
允许对该接口的Ping,HTTPS操作。
2.1.2默认管理员用户
系统默认的管理员用户为admin,密码为fw.admin。
任何地址都可以使用该用户登录设备。
并且可以使用设备的所有功能。
2.2Web快速配置
2.2.1登录设备
配置本机IP地址为192.168.1.2/24,通过网线将本机和设备管理口连接。
打开浏览器,
输入https:
//192.168.1.250,连接设备。
输入用户名(缺省用户名:
admin)、密码(缺省密码:
fw.admin)和验证码(随机生成)登录。
2.2.2配置VLAN
案例描述
FW设备使用VLAN提供转发业务,在配置其他业务前,需要根据网络环境创建VLAN并在其中加
入物理接口成员。
配置步骤:
进入网络>接口>VLAN,点击新建,如下图:
1、配置参数
名称:
vlan的名称,这里配置为
vlan1
。
Tag:
vlan的tag号,这里配置为
1。
管理状态:
vlan接口的状态,设置为UP。
MTU:
vlan接口的MTU值,保持默认的
1500即可。
接口选择:
在可选的接口中点击
加入到Untagged或者Tagged接口中,这里将
ge0/1以
Untagged方式加入到
vlan1中,将ge0/2以Tagged方式加入到vlan1
中。
2、点击提交完成创建
VLAN。
2.2.3配置IP地址
防火墙设备在做网络层以上业务处理时,需要在VLAN上配置IP地址。
配置步骤:
1.进入网络>接口>VLAN,点击列表中的需要配置的
vlan
接口,如下图所示(以
vlan10
为例):
IP
地址/掩码:
vlan
接口的
IP
地址/掩码,这里设置为
1.1.1.1/24
。
这里不选择浮动
IP
与单元
ID。
点击“添加”按钮。
2.点击“更新”添加VLANIP成功,如下图所示:
2.2.4透明桥模式案例1
案例描述:
防火墙设备透明部署,通过FW设备的报文不带vlantag,内网用户需要通过防火墙访问外网。
案例拓扑
配置步骤:
1、进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1UnTagged方式加
入到vlan10中,点击提交使配置生效。
2、进入对象>地址对象>地址节点,创建IPV4类型的地址对象内网用户,并将内网网段
192.168.10.0/24加入到地址对象中。
3、进入策略>防火墙>策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也
配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,
动作为permit,点击提交使配置生效。
4、进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。
5、进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。
2.2.5透明桥模式案例2
案例描述:
防火墙透明部署在要透传带vlantag
trunk链路下,通过FW设备的报文带vlantag10和vlantag20,FW设备需的报文,并且内网用户需要通过防火墙访问外网。
案例拓扑
配置步骤:
1、进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1UnTagged加入到vlan10中,点击提交使配置生效。
2、配置设备管理接口允许
SSH或telnet方式访问设备,并使用
SSH或telnet方式登陆到设备
管理终端,在配置视图下,输入如下命令。
该命令会使得该
vlan的接口下允许所有的vlan
tag或untag透传,故配置后不再受步骤
1中vlan接口配置的
UnTagged或者tagged方式
的约束。
FW(config)#vlan10
FW(config-vlan)#vlan-transparentenable
提示:
此配置命令适用于
FW需要透传大量vlan时使用,若桥下只需要允许单个
VLAN带
tag通过,在配置
vlan时,将接口
tagged方式加入到该vlan中即可。
3、进入对象>地址对象>地址节点
,创建
IPV4类型的地址对象
内网用户,并将内网网段
192.168.10.0/24
和192.168.11.0/24
加入到地址对象中。
4、进入策略>防火墙>策略,点击新建,地址类型选择IPv4
配置为vlan10,源地址配置为内网用户,目的地址配置为
动作为permit,点击提交使配置生效。
,入接口配置为
any,服务为
vlan10,出接口也
any,时间为always
,
5、进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。
6、进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。
2.2.6路由综合案例
案例描述:
企业需要通过
FW设备进行互联网访问,内网地址网段为
192.168.1.0/24
,服务器网段为
192.168.2.0/24
。
企业有两条条出口链路分别属于电信、网通,电信的公网地址为
13.1.1.1,
网关为13.1.1.2
;网通的公网地址为
14.1.1.1,网关为14.1.1.2
。
用户具体需求如下:
1
、内网地址访问外网需要进行源
NAT转换。
2
、外网地址访问内网服务器需要进行目的
NAT转换。
3
、依据组网划分不同的区域,内网属于
trust区域,外网属于
untrust区域,内网服务器属
于DMZ区域。
配置策略允许
trust
区域访问untrust
区域,允许
trust
和untrust区域访
问DMZ区域的http服务,其他访问流量默认拒绝。
4
、若访问的目的地址为电信
IP地址,选择电信的链路作为出链路,
当电信链路故障以后,选
择网通的链路作为出链路。
5
、若访问的目的地址为网通
IP地址,选择网通的链路作为出链路,
当网通链路故障以后,选
择电信的链路作为出链路。
6、若访问的目的地址不属于电信、网通,可以轮询选择出链路,但是内网访问服务器的流量都不受策略路由控制。
案例拓扑
案例配置分析:
1
、设备配置源
NAT实现内网访问外网的
NAT转换。
2
、设备配置目的
NAT实现外网到内网服务器的访问。
3
、配置添加两条默认路由使得内网可以通过路由成功访问到外网。
4
、配置接口加入到不同的安全域,通过配置防火墙策略实现区域之间的互访控制。
5
、配置策略路由实现基于
ISP的选路。
6
、地址对象配置添加排除
IP,使得内网访问服务器不受策略控制。
配置步骤:
1
、照上述拓扑进行组网,并作基本网络配置,包括
VLAN划分,以及IP地址配置。
2
、进入对象>地址对象>地址节点,创建电信地址对象,
ISP地址库选择ISP_CT.dat(中国电
信),配置提交。
3、按照上述方法,分别创建如下地址对象:
电信:
包含电信ISP地址库
网通:
包含网通ISP地址库
内网地址:
成员为所有内网网段:
192.168.1.0/24
和192.168.2.0/24
外网地址:
成员为0.0.0.0/0,同时将内网用户192.168.1.0/24
和服务器网段192.168.2.0/24
添加到排除地址中。
DNAT电信: