天清汉马USG配置手册.docx

长城资产天清汉马防火墙配置信息一、基本信息接口 0的默认地址配置为192.168.1.250/24。允许对该接口进行Telnet, PING, HTTPS操 作。系统默认的管理员用户为admin，密码为venus.usg。用户可以使用这个管理员账号从任 何地址登录设备，并且使用设备的所有功能。系统默认的审计员用户为audit，密码为venus.audit。用户可以使用这个账号对安全策略 和日志系统进行审计。系统默认的用户管理员用户为useradmin，密码为venus.user。用户可以使用这个账号用 于配置系统管理员。二、USG设备的主要配置选项。1. 系统管理：系统配置和管理。包括状态、会话管理、管理员、维护和监控。可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络 活动状况可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际 的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。 协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问 题。创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆如果对设备各种库进行自动升级要为设备设置正确的DNS，选择恢复出厂设谿提交后，去执行重启操作，而不要去点保存按钮目前外置储存器只支持CF卡和USB2. 网络管理：网络相关配置。包括接口、NAT、基本配置、DHCP、双机热备功能的配置。可以更改端口的带宽设置、双工模式以及端口速率等设置功能。对于端口的命名，如果 是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀 为ge，端口默认的MTU为1500，本设备可以做单臂及由。同一个接口只能加入到一个网桥组。已创建了子接口（VLAN接口）的以太网接口不能加 入网桥组。GRE协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。GRE是第三 层的隧道协议，它利用一种协议的传输能力为另一种协议建立了点到点的隧道，被封装的报 文将在隧道的两端进行封装和解封。使用6日£协议可以与对端路由器或防火墙设备建立虚 拟的、点对点通信。仅支持封装类型的网络数据包。长城资产大清汉马防火墙配置信息1网络管理配置4接口配置4基本配置5NAT配置6用户账户配置7防火墙配置9服务对象9安全策略10防攻击11日志与报告12日志配置12网络管理配置接口配置1首先打开浏览器在地址栏输入https:/10.168.0.90登陆大清汉马防火墙界面如下:无堵国基0家_律化圭会回关广 I ' ' 'J rCW击用*审8如硕蹬基 版LW嘲日正切FH3c±>：Htf I和攫惧ZWnsMifKffS KlDZI7-t3SWHV'JEHri12030101733 dajri 2 ho*-TK mn&AnaFri 由p lD17;-K«WSaiO姐EHSK-V0-eRX13IKe?Xfl E跚/fflttd*2B6X良 HEtf#，捉口妣ITflDDfliSIM3SK* B k-tfl TIP ii&F* “i-KWRMQIMH<ast-耳期济.f f'Wrf J顺I Fiawa, SISMTS ±F1irfflrt-朗:啪忤* 日 frWf*2、点击网络管理，选择接口选项卡:3、点击新建按钮，输入相应信息即可完成接口配置。%*天早 gfisNCffw：r-防.梅，同粘理隙X由h jrf+J畛鼻»上 wrrrtTff £cuwn< 3街田娥DDftfS«V4R HTTPS PING TELNET HTTP摞中土 K!A» L?TP SSLAW4御皿证 TH基本配置1点击基本配置出现以下界面:多 天清场马USG一体总安全四关】皿 C<4ME1J4国1天Mt口口minslEJB'lOOITndglE做1.回 1DHGPUS- SUMTSr«g»ymsU晰#f.h上H厅Et#*nns±-ffswii* sflatf BE4W、2、点击新建建立缺省网关地址NAT配置1、点击NAT配置出现以下界面:竖坎 天清国马USG一体思安全网关2、点击新建配置NAT相关参数c sudt*p Ka串WiTTwSSn瞄*k上时而为诚p内FS会,jJSlES0日宅与船甘，闵瞬理1uMia#dflPi甘ftEW10 jO jO AWJdrrndaiit -EiiHr由*rEl £1auditaudicdrfadcaudK: adnrlruF曰ausnr-sdrinusenaitnh如auh: user adim str-stirW(9l-TT4dminWHR fi童9H留sfergm±i&eSmw n旧琨新壕JiH嗟H»Jipro可a*«it房V4yman|网的91卮潮“ 出整口地妣麟 WMQ 日* 业 ：、. ID用户账户配置1、点击系统管理-管理员出现如下界面:> NrUffl、AAE±日 frWW2、点击管理员权限选项卡出现如下界面4、点击管理员选项卡，选择新建按钮，填写相关用户信息选择相应的访问权限组。点击提 交即可完成用户的新建。vaipiim防火墙配置服务对象1 、点击对象管理-服务对象选项卡-点击自定义服务:与南财 天*汉马U5G-诂收全国关内诉弟滴m 口）lCPj!l-cJSSJCP/lSg3S!qq+JCfs!i-fi55SS!5a&jJCP/l-£5535：5fl0ajCPA-65535 555%TtW；L$5535E如KPHSS至S心思S至反玲TtR/IM尊制 UDP/1*5535阳AIDPjUSSiSSSHT明WDR'HSgSS；m：5+AIDP/H5g3l3：；：L3%UDP/l7M3亍州UD=/lgi3l】胡口WL7553TFJUDW1HMBW户CA中f"Nd卜WFN- A.flRiai H3MB，上问疔mrt rtMEi原睨啪件-Sflct#f日疝月隹冷2.、点击新建按钮。输入相应名称以及协议端口号点击提交即可安全策略1、打开防火墙配置-安全策略选项卡曲aaiiut |皿 y jv# Ti-PBitan v 朝,FERarr妹烦泰£±EBF5JHSrrRppa vtcviE nAcyie g他I SWMj> <iEhi4¥ iRnATfl卜 rtFHih srnyif责得进I!尊止写耳*JwV|*ianf日 w>Bgany时 wmSTitl斜tDBJV0PEFf-lITPEMI0DH疗HSSS 囹回旦回1470WW w2、点击新建，填写相应源地址,目的地址，调用策略组。点击提交即可完成安全策略配置。天渚汉马。跚一旌世安全河关k M'.iMh MME-职幅玉 ±!fKhRPwa YwbtllfmW骂卜闩喜曾瑁心日f VFH»y-.tfhw¥防H*上FW为曾强内脸坐-i-丘SD.'ffiMtwts互 MH4电K|网I|强SiLB>BMH旧项甘-M口邸寸 SvsbCiBS.C' a !=£*防攻击1、点击防火墙选项卡，选择防ARP攻击，并且开启相应选项即可完成ARP攻击防X功能 的配置。i'：L&-：LOOfl&B,：iIciO-CGES、点击入侵防御，选择防攻击选项卡。即可配置防止相应攻击的选项。刖E天清汉马USG-怵化安全同关卜用也帮©nZPHnodJaAlCSKffVTrP FlnnrlQI回 3olt£回 Lantf-Base回 Pim of dMti i nlag回 Teardrop叵I Wrruhs回 Smurf TCP&WM00 PIFS 9 斯!Wlfl&日志与报告日志配置点击日志与报告，选择日志配置。填写syslog服务器地址及相应信息即可。