返回
天清汉马防火墙培训手册

天清汉马防火墙培训手册

ID:5426204

大小:1.78 MB

页数:44页

时间:2017-11-12

天清汉马防火墙培训手册_第1页
天清汉马防火墙培训手册_第2页
天清汉马防火墙培训手册_第3页
天清汉马防火墙培训手册_第4页
天清汉马防火墙培训手册_第5页
资源描述:

《天清汉马防火墙培训手册》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、天清汉马防火墙培训手册配置管理概述防火墙基本配置日志功能提纲配置管理概述配置管理概述USG设备的管理方式通过Console口配置;通过Telnet进行命令行的配置;通过SSH进行命令行的配置;通过HTTP或HTTPS协议,从GUI界面进行配置管理;安装集中管理中心软件,集中管理、配置USG设备;配置管理概述管理员用户与权限表通过默认管理员或自建管理员用户来进行管理配置;管理员可以通过本地或Radius进行认证;出厂默认管理用户admin,密码venus.usg;管理员权限表规定了管理员可以执行的操作;可以给

2、管理员添加管理IP限制;配置管理概述新建管理员用户配置管理概述新建管理员权限表配置管理概述防火墙基本配置日志功能提纲USG的工作模式USG支持三种接入模式:透明模式;路由模式;混合模式;这三种模式无需显式配置,USG根据用户配置自动生效。USG中的接口概念USG中包含以下接口级的概念:物理接口;Vlan接口;透明桥接口;GRE接口;安全域;其他隐藏接口,包括loopback接口、L2TP接口和tunssl接口物理接口Vlan接口透明桥接口路由配置路由表查询路由配置创建静态路由路由配置创建策略路由安全策略安全

3、策略是USG应用的核心,我们通过配置安全策略:实现对数据流的匹配(接口、IP、服务、时间)控制和管理流经设备的数据流(Permit、Deny、IPSec加密、SSL加密)施行QoS服务质量划分安全策略创建和编辑安全策略安全策略安全策略的启用与匹配安全策略配置后必须启用才会生效;安全策略按先配置优先的原则进行匹配;对通过设备的数据包进行处理,对于到设备本身的数据包和设备本身发出的数据包不进行限制;可以调整安全策略的顺序,以使位置在前的策略优先匹配;可以创建一条新的安全策略,并插入到指定的策略之前;网络地址转换

4、(NAT)网络地址转换(NAT):最初用于私有地址向公有地址的转换,以解决公有IP地址短缺的问题;单向隔离,具有额外的安全性;利用目标地址的映射,使公有地址可访问配置了私有地址的服务器;可用于服务器的负载均衡和地址复用;网络地址转换(NAT)USG支持以下NAT:源NAT,按照使用不同可划分为:动态NAT:源地址映射到一个地址池(NATPool);PAT:所有源地址映射到同一目的地址;静态NAT:一对一双向地址映射;目的NAT;网络地址转换(NAT)源地址转换(SNAT),可以将内部地址转换成出接口地址或者

5、地址池中的地址。网络地址转换(NAT)目的地址转换(DNAT),可以将目标地址转换成NATPool中的地址,亦可实现服务器负载分担与业务分流。网络地址转换(NAT)NAT地址池(Pool),注意起始地址不能大于结束地址,在地址不是很充分的情况下,可以配置地址轮询。动态地址分配(DHCP)USG设备可以担当所有的DHCP角色:DHCPServerDHCPRelayDHCPClient动态地址分配(DHCP)配置DHCP服务器的步骤:在相应接口开启DHCPServer服务;创建DHCP服务器;如果有必要,创建D

6、HCP地址的排除范围;如果有必要,创建IP-MAC绑定条目;通过监视器可察看由USG分配的动态地址;动态地址分配(DHCP)高可用性(HA)高可用性(HA,HighAvailability),可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断,保证网络服务的连续性和强度。高可用性(HA)天清汗马USG上的HA:目前支持主备模式,下一版本将支持主主模式;支持两台防火墙互为备份;两台设备的硬件型号要求一致;HA接口为专用物理口,不处理业务;支持透明模式、路由模式和混合模式;高可用性(HA)配置USG工作

7、于主备模式:高可用性(HA)察看当前HA的工作状态与同步情况:防攻击防扫描常见的网络攻击:Ping-of-deathJolt2Land-BaseTearDropWinnukeSmurfSyn-flag防攻击防扫描网络扫描通常分为以下几种:垂直扫描:针对相同主机的多个端口水平扫描:针对多个主机的相同端口Ping扫描:针对某地址范围,通过Ping方式发现存活主机扫描通常是网络攻击的前兆;USG设备可以有效防范以上几类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检测到扫描探测时,向用户进行报警提示。防攻击防扫

8、描根据网络情况开启相应的防攻击和防扫描功能,并设定合理的参数。防攻击防扫描防Flood攻击:通过限制源主机或目的主机的连接数来起到防止Flood攻击的目的;在安全防护表中启用,并通过安全策略来引用,不是全局使能的;根据网络情况,配置合理的参数值;可以认为是防攻击、防扫描的补充。防攻击防扫描配置管理概述防火墙基本配置日志功能提纲日志功能USG日志分为:事件日志病毒日志入侵防护日志流量日志:支持NetFlowV9对于

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。