天清汉马USG防火墙T系列快速安装指南v3.docx

1、天清汉马USG防火墙T系列快速安装指南v3天清汉马 USG 防火墙（ T 系列）快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一六年 11 月天清汉马 USG防火墙快速安装指南手册版本 V1.0产品版本 V2.0资料状态 发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作，其内

2、容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。User s Manual Copyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd.Without the prior written permission obtained from Venus

3、 networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained here

4、in is provided on an“ AS IS ”basis. Venus networks Co.Ltd may make improvement or changesin this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networ

5、ks Co.Ltd shall not assume responsibility for losses or damages resulting fromany omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的天清汉马 USG 防火墙产品正常运行时，包含 2 款 GPL 协议的软件（ linux 、zebra）。启明星辰公司愿意将 GPL 软件提供给已经购买产品的且愿意遵守 GPL 协议的客户，请需要 GPL 软件的客户提供（ 1）已经购买的产品的序列号，（ 2）有效送达 GPL 软件地址和联系人，包括但不限于

6、姓名、公司、电话、电子邮箱、地址、邮编等。快速安装指南 .2User s Manual Copyright and Disclaimer.2Copyright .2Disclaimer.2第 1章硬件安装 .51.1安装前准备工作 .51.1.1安装环境要求 .51.1.2安装工具准备 .51.2设备面板标识说明.51.3设备安装 .61.3.1设备接口卡的安装.61.3.2将设备安装到机柜.6第 2章快速配置 .72.1设备默认配置 .72.1.1管理口的默认配置.72.1.2默认管理员用户 .72.2 Web快速配置 .72.2.1登录设备 .72.2.2配置 VLAN.82.2.3配置

7、IP 地址 .92.2.4透明桥模式案例1.102.2.5透明桥模式案例2.122.2.6路由综合案例 .142.2.7攻击防护案例 .202.2.8应用控制案例 .23第 3章软件升级 .273.1 通过 Web升级 .27第 1 章硬件安装在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。1.1安装前准备工作1.1.1安装环境要求工作温度040存储温度-40 70相对湿度0 95%非凝结电磁兼容性满足 GB9254-1998 A 级以上及 GB17618-1998 电磁兼容要求电源适应性220V 拉偏电： 198V242V ，频率： 49 51Hz1.1.2 安装工具准备请安装前准

8、备好以下安装工具：终端：配置终端，可以是普通 PC机、笔记本电脑工具：十字螺丝刀和防静电护腕电缆：电源电缆、串口电缆、网线1.2 设备面板标识说明：超级终端的 RJ45 连接端口:2 USB连接接口：管理接口： 10/100/1000M 自适应以太网电接口 业务口： GE SFP 光接口 业务口：机箱后部电源插座和电源开关：接口卡1.3 设备安装1.3.1 设备接口卡的安装设备接口卡安装步骤如下：1)设备断电；2)取下接口槽位上的挡板，插入接口卡；3)安装完毕。设备的接口卡不支持热插拔， 设备必须在断电情况下才能进行接口卡注意 的安装和卸载，否则会造成设备的损坏！1.3.2 将设备安装到机柜1

9、)设备断电2)将设备放置在机柜托盘上3)将设备固定在机柜上4)接通电源5)管理口接上网线第 2章 快速配置本设备可通过 Web方式来进行配置。2.1 设备默认配置出厂的防火墙设备自带默认的配置。 这些默认配置可以在出厂的情况下， 允许用户通过 Web 进行配置。2.1.1 管理口的默认配置标记有“ MGT”的接口为设备的管理口；如果没有“ MGT”接口，则主板上从左侧数第一个以太网接口为设备的管理口。管理口的默认 IP 地址为 192.168.1.250/24 。允许对该接口的 Ping ， HTTPS操作。2.1.2 默认管理员用户系统默认的管理员用户为 admin ，密码为 fw.admi

10、n 。任何地址都可以使用该用户登录设备。并且可以使用设备的所有功能。2.2 Web快速配置2.2.1 登录设备配置本机 IP 地址为 192.168.1.2/24, 通过网线将本机和设备管理口连接。打开浏览器 ,输入 https:/192.168.1.250, 连接设备。输入用户名（缺省用户名： admin ）、密码（缺省密码： fw.admin ）和验证码（随机生成）登录。2.2.2 配置 VLAN案例描述FW设备使用 VLAN提供转发业务， 在配置其他业务前， 需要根据网络环境创建 VLAN并在其中加入物理接口成员。配置步骤：进入 网络 接口 VLAN，点击 新建 ， 如下图：1、 配置参

11、数名称： vlan 的名称，这里配置为vlan1。Tag： vlan 的 tag 号，这里配置为1。管理状态： vlan 接口的状态，设置为 UP。MTU ： vlan 接口的 MTU值，保持默认的1500 即可。接口选择： 在可选的接口中点击加入到 Untagged 或者 Tagged 接口中，这里将ge0/1 以Untagged 方式加入到vlan 1 中，将 ge0/2 以 Tagged 方式加入到 vlan 1中。2、 点击提交完成创建VLAN。2.2.3 配置 IP 地址防火墙设备在做网络层以上业务处理时，需要在 VLAN上配置 IP 地址。配置步骤：1. 进入 网络 接口 VLAN

12、，点击 列表中的需要配置的vlan接口，如下图所示 （以vlan10为例）：IP地址 / 掩码 ： vlan接口的IP地址 / 掩码，这里设置为1.1.1.1/24。这里不选择浮动IP与单元ID 。点击“添加”按钮。2. 点击“ 更新” 添加 VLAN IP 成功，如下图所示：2.2.4 透明桥模式案例 1案例描述：防火墙设备透明部署，通过 FW 设备的报文不带 vlan tag ，内网用户需要通过防火墙访问外网。案例拓扑配置步骤：1、 进入 网络 接口 VLAN，新建 vlan10 ， tag 为 10 ，将接口 ge0/0 和 ge0/1 UnTagged 方式加入到 vlan10 中，点

13、击 提交 使配置生效。2、 进入 对象 地址对象 地址节点 ，创建 IPV4 类型的地址对象 内网用户 , 并将内网网段192.168.10.0/24 加入到地址对象中。3、 进入 策略 防火墙 策略 ，点击 新建 ，地址类型选择 IPv4 ，入接口配置为 vlan10 ，出接口也配置为 vlan10 ，源地址配置为 内网用户 ，目的地址配置为 any ，服务为 any ，时间为 always ，动作为 permit ，点击 提交 使配置生效。4、 进入 策略 防火墙 策略 ，查看策略，勾选策略 启用 开关，使得配置启用。5、 进入 策略 防火墙 策略配置 ，查看策略匹配开关 开启 ，默认动作

14、为 deny 。2.2.5 透明桥模式案例 2案例描述：防火墙透明部署在要透传带 vlan tagtrunk 链路下，通过 FW 设备的报文带 vlan tag10 和 vlan tag20 ， FW 设备需的报文，并且内网用户需要通过防火墙访问外网。案例拓扑配置步骤：1、 进入 网络 接口 VLAN，新建 vlan10 ， tag 为 10 ，将接口 ge0/0 和 ge0/1 UnTagged 加入到 vlan10 中，点击 提交 使配置生效。2、 配置设备管理接口允许SSH 或 telnet 方式访问设备， 并使用SSH 或 telnet 方式登陆到设备管理终端，在配置视图下，输入如下命

15、令。该命令会使得该vlan 的接口下 允许所有的 vlantag 或 untag 透传 ，故配置后不再受步骤1 中 vlan 接口配置的UnTagged 或者 tagged 方式的约束。FW(config)# vlan 10FW(config-vlan)# vlan-transparent enable提示： 此配置命令适用于FW 需要透传大量 vlan 时使用， 若桥下只需要允许单个VLAN 带tag 通过，在配置vlan 时，将接口tagged 方式加入到该 vlan 中即可。3、 进入 对象 地址对象 地址节点，创建IPV4 类型的地址对象内网用户 , 并将内网网段192.168.10.

16、0/24和 192.168.11.0/24加入到地址对象中。4、 进入 策略 防火墙 策略 ，点击 新建 ，地址类型选择 IPv4配置为 vlan10 ，源地址配置为 内网用户 ，目的地址配置为动作为 permit ，点击 提交 使配置生效。，入接口配置为any ，服务为vlan10 ，出接口也any ，时间为 always，5、 进入 策略 防火墙 策略 ，查看策略，勾选策略 启用 开关，使得配置启用。6、 进入 策略 防火墙 策略配置 ，查看策略匹配开关 开启 ，默认动作为 deny 。2.2.6 路由综合案例案例描述：企业需要通过FW设备进行互联网访问，内网地址网段为192.168.1.

17、0/24，服务器网段为192.168.2.0/24。企业有两条条出口链路分别属于电信、网通，电信的公网地址为13.1.1.1 ，网关为 13.1.1.2；网通的公网地址为14.1.1.1 ，网关为 14.1.1.2。用户具体需求如下：1、 内网地址访问外网需要进行源NAT转换。2、 外网地址访问内网服务器需要进行目的NAT转换。3、 依据组网划分不同的区域，内网属于trust 区域，外网属于untrust 区域，内网服务器属于 DMZ区域。配置策略允许trust区域访问 untrust区域，允许trust和 untrust 区域访问 DMZ区域的 http 服务，其他访问流量默认拒绝。4、 若

18、访问的目的地址为电信IP 地址， 选择电信的链路作为出链路，当电信链路故障以后，选择网通的链路作为出链路。5、 若访问的目的地址为网通IP 地址，选择网通的链路作为出链路，当网通链路故障以后，选择电信的链路作为出链路。6、 若访问的目的地址不属于电信、网通，可以轮询选择出链路，但是内网访问服务器的流量都不受策略路由控制。案例拓扑案例配置分析：1、 设备配置源NAT实现内网访问外网的NAT转换。2、 设备配置目的NAT实现外网到内网服务器的访问。3、 配置添加两条默认路由使得内网可以通过路由成功访问到外网。4、 配置接口加入到不同的安全域，通过配置防火墙策略实现区域之间的互访控制。5、 配置策略

19、路由实现基于ISP 的选路。6、 地址对象配置添加排除IP ，使得内网访问服务器不受策略控制。配置步骤：1、 照上述拓扑进行组网，并作基本网络配置，包括VLAN划分，以及 IP 地址配置。2、 进入 对象 地址对象 地址节点 ，创建电信地址对象，ISP 地址库选择 ISP_CT.dat （中国电信），配置 提交 。3、 按照上述方法，分别创建如下地址对象：电信： 包含电信 ISP 地址库网通： 包含网通 ISP 地址库内网地址： 成员为所有内网网段： 192.168.1.0/24和 192.168.2.0/24外网地址： 成员为 0.0.0.0/0 ，同时将内网用户 192.168.1.0/24和服务器网段 192.168.2.0/24添加到 排除 地址中。DNAT电信：