啟明星辰安全網(wǎng)關(guān)usg界面操作手冊

本手冊適用于啟辰USG安全系統(tǒng)系列產(chǎn)品，包括、UTM等，在手冊中簡稱為 章 第1章前 第2章如何開 安 網(wǎng)絡(luò)接口Web配 網(wǎng)絡(luò)接口CLI配 本地串口CLI配 啟辰安全網(wǎng)關(guān)USG的一般配置過 第3章系統(tǒng)管 面 ...................................................................................................................事 權(quán) 設(shè) IDS產(chǎn) .................................................................................................................................. 第4章網(wǎng)絡(luò)管 VLAN接 PPPoE設(shè) 3G設(shè) 規(guī) 啟 配置DHCP HA網(wǎng) HA設(shè) HA狀 VRRP..............................................................................................................第5章路由管 ISP路 第6章............................................................................................................................... ................................................................................................................................6.2.1.....................................................................................................................6.2.2規(guī) ............................................................................................................................IP.............................................................................................................主機(jī)服務(wù)................................................................................................. 6.10.1濾策 第7章應(yīng)用防 7.1防 7.1.1防護(hù)策 7.1.3.....................................................................................................................7.1.4 7.2防 7.2.1防護(hù)策 IPS云防護(hù)................................................................................................... 反郵 服務(wù)器..................................................................................................... 發(fā)送人白..................................................................................................... 白.................................................................................................................WEB應(yīng)用防 SQL注入防 XSS防 URL內(nèi)容 白................................................................................................................. 抗服 抗策 處 第8章上網(wǎng)行為管 URL過濾策 URL過濾策 自定義 URL配 URL列 免控賬號 全局黑白..................................................................................................... 第9章審計中 9.2.1管 第10章會話管 按IP查 第11 規(guī) IKE配 L2.......................................................................................................................... GRE隧道接 GRE隧 MGRE隧 第12章 B/S服 C/S服 IE升 HTTP壓 第13章 Ipv6規(guī) Natpt配 6to4隧 IPV6資 地 第14章統(tǒng)一認(rèn) 用 14.4.1用 第15章CA中 本地 CA根.........................................................................................................第..................................................................................................................CA.............................................................................................................SCEP客戶 第16章掃 第17章流量狀 用戶流量...................................................................................................用戶會話...................................................................................................用戶應(yīng)用.............................................................................................................. URL分類統(tǒng) URL過濾統(tǒng) IP統(tǒng) 第18章狀態(tài)....................................................................................................................... 信 動態(tài)路由...................................................................................................第19章日 圖 圖3-5.................................................................................................................................. 圖3-22天珣網(wǎng) 圖3-27系統(tǒng)升 圖3-29License啟用信 圖4-4VLAN接口列 圖4-14WIFI設(shè)備可配置的屬 圖4-153G無線網(wǎng) 圖4-17服務(wù)器配 圖4-18UPNP接口配 圖4-21UPNP啟 圖4-37VRRP狀態(tài)詳細(xì)顯 圖5-4默認(rèn)路由的.................................................................................................................. 圖5-6靜態(tài)路由的..................................................................................................................圖5-7ISP地址......................................................................................................................圖5-8ISP地址文件導(dǎo) 圖5-11ISP路由 圖5-12ISP路由信息............................................................................................................ 圖5-21OSPF啟動接 圖5-23OSPF區(qū)域配置接 圖5-24OSPF網(wǎng)絡(luò)配置接 圖6-2NAT規(guī)則顯 圖6-3NAT規(guī)則...................................................................................................................... 圖6-10規(guī)則配 圖6-29時間組...................................................................................................................... 圖6-40配 圖6-41添加......................................................................................................................圖6-42事件界 圖6-48綁定IP/MAC對配 圖6-50刪除IP/MAC地址 圖7-5AV策略特征檢測設(shè)置界 圖7-6AV配置修改界 圖7-12自定義特 圖7-15云防護(hù)界 圖7-21IPS策略特征檢測設(shè) 圖7-24IPS云設(shè)置界 圖7-27特征內(nèi)容界 圖7-28新建特征內(nèi)容界 圖7-29自定義URL界 圖7-43郵件列 圖7-65添加發(fā)送人白.......................................................................................................... 圖7-68導(dǎo)入發(fā)送人白.......................................................................................................... 圖7-75白界 圖7-76新建白界 圖7-77配置白界 圖7-79SQL注入防護(hù)配置界 圖7-80SQL注入防護(hù)啟用配置界 圖7-81XSS防護(hù)配置界 圖7-82XSS防護(hù)啟用配置界 圖7-92添加URL內(nèi)容組界 圖7-93添加URL內(nèi)容組成功界 圖7-94編輯URL內(nèi)容組界 圖7-106白 圖8-5URL過濾策略界 圖8-8URL檢測設(shè)置(本地特征 圖8-10自定義URL界 圖8-12自定義URL界 圖8-13URL配置界 圖8-14URL列表界 圖8-15添加URL黑白界 圖8-17智能學(xué)習(xí)界 圖8-18URL組關(guān)鍵字設(shè) 圖8-20學(xué)習(xí)結(jié) 圖8-33應(yīng)用協(xié)議黑白..........................................................................................................圖8-34組界 圖8-35添加 圖8-35組列 圖8-37添加MIME 圖9-5管 圖9-9服務(wù)器IP..............................................................................................................圖9-10服務(wù)器列 圖9-16郵件白......................................................................................................................圖9-17新建郵件白..............................................................................................................圖9-18郵件白列 圖9-19郵件白導(dǎo) 圖9-20關(guān)鍵 圖9-22關(guān)鍵字列 圖9-23關(guān)鍵字導(dǎo) 圖10-8按IP查詢界 圖11-1IPSEC基本配 規(guī) 圖11-4IKE添 圖11-14IPSEC隧道............................................................................................................. 圖11-25 圖12-2B/S服 圖12-3添加B/S服 圖12-4編輯B/S服 圖12-6B/S服 圖12-9添加C/S服 圖12-15定制屬 圖13-1物理設(shè)備可配置的IPV6屬 圖13-2物理設(shè)備IPV6屬性列 圖13-3IPV6配置界 圖13-4配置相關(guān)IPV6規(guī)則選 圖13-5彈出IPV6擴(kuò)展頭選項配 圖13-10NATPT配 圖13-156TO4隧 圖13-166TO4隧道新 圖13-17新建6TO4隧道界面顯 圖13-18RIPNG主界 圖13-20啟動 圖13-22OSPFV3主界 圖13-24OSPFV3啟動界 圖13-30地址列表................................................................................................................ 圖13-33ICMPV6服務(wù)列 圖13-34ICMP服務(wù)添 圖13-37白界 圖14-7用 圖14-17用戶導(dǎo) 圖14-29Radius服務(wù) 圖14-32LDAP服務(wù) 圖14-33新建LDAP服務(wù) 圖14-35刪除LDAP/AD服務(wù) 圖14-40CA單點(diǎn)登 圖14-43網(wǎng)口配 圖14-44顯示用 圖14-47用戶查 圖14-56用 圖15-1CA根........................................................................................................................圖15-3CA............................................................................................................................ 圖15-7對方添加.......................................................................................................... 圖16-7掃描日 圖16-8掃描報 圖18-13配 圖18-14狀態(tài)頁 圖18-15默認(rèn)路由................................................................................................................圖18-16動態(tài)路由................................................................................................................ 圖19-3郵箱設(shè) 圖19-7濾報 表表2-1中的按鈕說 表4-2VLAN接口上可配置的屬 表4-13HA網(wǎng)口狀態(tài)列表基本參 表4-14HA探測IP基本參 表4-15VRRP組配 表6-15時間組元素 表6-24已定義非IP協(xié)議 表6-27各說明 表7-8白配置項說 表11- IPSEC基本配置數(shù)據(jù)域說 表11-4IKE添加數(shù)據(jù)域說 表11-5IKE列表數(shù)據(jù)域說 隧道IPSEC隧道數(shù)據(jù)域說 表11-17GRE圖示說 表11-18GRE數(shù)據(jù)域說 表11-19GRE隧道添加數(shù)據(jù)域說 表11- 表11- 表12-2B/S服 表12-3添加B/S服務(wù)數(shù)據(jù)域說 表12-4編輯B/S服 表12-5B/S服 表12-6C/S服 表12-7添加C/S服 表12-12定制屬 表13-3IPV6擴(kuò)展頭說 表13-11ICMPV6服務(wù)功能列 表14-10RADIUS認(rèn)證服務(wù)器添加元素列 表14-11LDAP認(rèn)證服務(wù)器添加元素列 表14-13CA單點(diǎn)登錄配 表15- 表15- 本地功能說 表15- 表18-3的屬性說

第1章前言使用Web接口對啟辰安全網(wǎng)關(guān)USG進(jìn)行管理。異，比如：SSL功能對某些型號屬于選配，對機(jī)系列產(chǎn)品不支持AES，3DES等通用算 道配置接口操作和具有接字的管理操作。第十二章：SSL，提供用戶通過B/S,C/S方式安全接入。USG第2章如何開始 辰安全網(wǎng)關(guān)USG概 h323、rtsp、tns等。雙向NAT地址轉(zhuǎn)在全透明模式下提供了雙向地址轉(zhuǎn)換（NAT）功能，能夠有效地整個子網(wǎng)的構(gòu)，使得無從發(fā)現(xiàn)子網(wǎng)存在的缺陷，還可使企業(yè)能夠通過共享IP地址的方法解決（（ 不必改變客戶端配置，就能在范圍內(nèi)與通信，減少了網(wǎng)絡(luò)管理員的工作量。防IP法IP的提供詳細(xì)的記錄，以便安全網(wǎng)關(guān)管理員查看到安全網(wǎng)關(guān)，恢復(fù)到以前的狀態(tài)，也可以導(dǎo)入到另一臺相同型號的安全網(wǎng)關(guān)，從而給安交互式實(shí) 檢測（IDS）與實(shí)時阻支持SSN（安全服務(wù)區(qū)）基于網(wǎng)絡(luò)服務(wù)的負(fù)載均衡實(shí)現(xiàn)了高效的負(fù)載均衡算法，通過反向NAT功能，安全網(wǎng)關(guān)可以為用戶SSN（查詢結(jié)果，生成可理解格式的日志文件，具有日志溢出和補(bǔ)救功能。 原因而出現(xiàn)Pin口令忘記、不可用或過期、安全網(wǎng)關(guān)IP地址遺失等現(xiàn)象時，管理員IP支持VLAN(802.1Q)協(xié)議安全隧道模塊（可選模塊啟辰安全網(wǎng)關(guān)USG集成的功能使您可以在Internet上構(gòu)建基于IPSec技術(shù)IPSec協(xié)議，提供網(wǎng)絡(luò)層報文的鑒別、加密和完整性認(rèn)證等功能。計算機(jī)和撥號Modem的串口。不同硬件平臺，安全網(wǎng)關(guān)的網(wǎng)口會有所不同。USG400系列有4個標(biāo)準(zhǔn)10/100Base-TX(RJ45fe1，fe2，fe3fe4，右邊是擴(kuò)展接口，可以擴(kuò)展fe5/GE，fe6/GE，fe7/GE和fe8/GE。電源電壓：220V50Hz200W區(qū)區(qū)圖2-1安全網(wǎng)關(guān)表2-1中的按鈕說 表2-2菜單分ISP策略URLGRE定時掃收到掃描IP統(tǒng)計 辰安全網(wǎng)關(guān)USG安啟辰安全網(wǎng)關(guān)USG可以放置在桌面上，也可以放在標(biāo)準(zhǔn)的19英寸機(jī)架上。安放在啟辰安全網(wǎng)關(guān)USG安全網(wǎng)關(guān)的配置接口有兩種方式：基于Web的圖形方式和基 Web安全管理——支持SSL協(xié)議，采用基于技術(shù)的PKI-CA認(rèn)證和基于雙因子硬集中式安全管理——管理員通過集中可以對全局網(wǎng)絡(luò)中的安全網(wǎng)關(guān)進(jìn)行統(tǒng)一網(wǎng)絡(luò)接口CLI本地串口CLI安全網(wǎng)關(guān)共有三種管理方式：1）Web接口管理2）串口命令行管理3）SSH登錄管理4）NET方式5）PPP接入方式。其中管理方式1）和2）是默認(rèn)開啟的，3）4）5）默在Web接口管理中，管理主機(jī)默認(rèn)只能連接安全網(wǎng)關(guān)的eth0，如果需要連接其它網(wǎng)口，必須進(jìn)行相應(yīng)的設(shè)置。默認(rèn)的管理主機(jī)IP地址是00，Web接口管理使用SSL協(xié)議來加IE，來登錄安全網(wǎng)關(guān)。其中安全網(wǎng)關(guān)的地址“a.b.c.d”初始值為9600-8-N-1，管理主機(jī)默認(rèn)連接安全網(wǎng)關(guān)CONSOLE。登錄，才可以通過SSH協(xié)議登錄安全網(wǎng)關(guān)。以SecureCRT3.4.3(Official)版本客戶端為例，客戶端設(shè)置選擇協(xié)議為ssh2，端口為22，認(rèn)證方式為Password。此時客戶端的IP必須是管理主機(jī)IP之一。2-2使用SecureCRT3.4.3登錄安全網(wǎng)使用管理認(rèn)證方式，在IE導(dǎo)入管理員后，可通過登錄管理安全網(wǎng)關(guān)了。理主機(jī)，操作系統(tǒng)應(yīng)為Window98/2000/XP，管理主機(jī)IE瀏覽器建議為5.0以上版0 圖2-3安全網(wǎng)關(guān)默認(rèn)的用戶賬號是administrator，口令是Secu@7766。 辰安全網(wǎng)關(guān)USG的一般配置過的VLANID等資源。第3章系統(tǒng)管理面板包括系統(tǒng)信息、證信息、設(shè)備操作、CLI控制臺、日志和內(nèi)容統(tǒng)計和系統(tǒng)資源。系統(tǒng)信息包括序列號、啟動時間、系統(tǒng)日期、HA狀態(tài)、主機(jī)名稱、軟件版本、硬件版本、當(dāng)前管理員。如圖3-1所示。3-1系統(tǒng)信3-2接口狀態(tài)和CLI控制3-3系統(tǒng)資3-4接口流3.1.2圖3-53.1.3事圖3-6事圖3-6快速配置接表3-1快速配式圖3-7自定義圖3-8配置安全20ASCII圖3-9系統(tǒng)參支持安全網(wǎng)關(guān)的集中管理（SNMPv1&v2c和v3。安全網(wǎng)關(guān)可以與啟辰集中安全管管理員配置集中管理主機(jī)的IP、各項信息的閾值和SNMPv1&v2c的團(tuán)體字符串及SNMPv3的用戶信息。啟辰集中安全管理系統(tǒng),通過SNMP協(xié)議從安全網(wǎng)關(guān)獲取信息，同時當(dāng)安全網(wǎng)關(guān)運(yùn)行信息超過閾值后，通過SNMP協(xié)議向集中管理主機(jī)發(fā)Trap告警信息。通圖3-10集中管理表3-2集中管理配置元素 CPU利用率閾值值值snmp串串串snmpSNMPv3用戶 動態(tài)去對應(yīng)網(wǎng)絡(luò)名稱與IP的關(guān)系。圖3-11動態(tài)DNS配置圖3-12顯示管理7.允許或7.允許或

圖3-13添加、編 圖3-14管理員權(quán)表3-3管理員控制與圖3-15顯示可選的控制選 IPv4/24，IPv6和圖3-16添加、使用串口命令行方式管理，管理主機(jī)通過串口連接安全網(wǎng)關(guān)的CONSOLE口登錄。勾選啟用管理復(fù)選框后，要求管理主機(jī)必須有才能安全網(wǎng)關(guān)。SSH最大數(shù)用來配置SSH用戶同時的最大個數(shù)，超過最大值后，安全網(wǎng)關(guān)，配置范圍是[1-20]，0是值，缺省值是12。NET最大數(shù)用來配置NET用戶同時的最大個數(shù)，超過最大值后，安全網(wǎng)關(guān)，配置范圍是[1-20]，0是值，缺省值是12?？稍O(shè)為86400秒（24小時），0是值。8889，且不能和系統(tǒng)當(dāng)前已經(jīng)啟用的端口重復(fù)。圖3-17管理方書，按”系統(tǒng)配置>>管理配置>>管理”接口提示直接導(dǎo)入即可。管理員通過IE完成認(rèn)證，https://安全網(wǎng)關(guān)可管理IP:8889，登錄安全網(wǎng)關(guān)進(jìn)行認(rèn)證時，必須在安全網(wǎng)關(guān)中導(dǎo)入一套（CA中心、安全網(wǎng)關(guān)、安全網(wǎng)關(guān)密鑰、管理員，并在管理主機(jī)的IE中導(dǎo)入管理員。管理員可以點(diǎn)擊CA中心證 3-18導(dǎo)入和顯示管理員問https://安全網(wǎng)關(guān)可管理IP:8889，進(jìn)入安全網(wǎng)關(guān)配置管理接口。 網(wǎng)威的天眼系列，支持OPSEC協(xié)議的Safemate等。對“源IP地址”阻斷圖3-19IDS表3-4IDS產(chǎn)品功能說啟用“啟辰通用安全協(xié)IP（默5000/TCPIP地址、安全網(wǎng)關(guān)端的服務(wù)端口（20/P測系統(tǒng)”，并指定產(chǎn)品的IP地址、安全網(wǎng)關(guān)端的4000/TCP動2001/UDP動絡(luò)檢測系統(tǒng)”，并指定產(chǎn)品的IP地址、安全5500/TCPIPIP列表中加入這些IP。如果在配置忽略某IP地址IPISM（ISM）用來管理內(nèi)網(wǎng)用戶，識別內(nèi)網(wǎng)合法用圖3-20ISM表3-5ISM產(chǎn)品功能說5000/TCP啟用“網(wǎng)頁重定向”功能,并設(shè)置復(fù)位向IP圖3-21天珣網(wǎng)圖3-22新建天珣網(wǎng) 圖3-23天珣網(wǎng)關(guān)地址編進(jìn)行tcp連接，與天珣策略網(wǎng)關(guān)通信，最終達(dá)到聯(lián)動的目的。3.6圖3-24導(dǎo)入導(dǎo)出配置文 圖3-25啟辰安全網(wǎng)關(guān)配置3-26Internet圖3-27產(chǎn)品證上載頁圖3-28License始運(yùn)行的時候自主選擇進(jìn)入的系統(tǒng)。啟辰安全網(wǎng)關(guān)為用戶準(zhǔn)備了兩個系統(tǒng)systemA和systemB，用戶可以啟辰安全網(wǎng)關(guān)上面安裝兩個系統(tǒng)。并且還有一個備份系統(tǒng)，用來對systemA，systemB其中之一進(jìn)行備份，這樣當(dāng)systemA或者systemB發(fā)生故障的時候可以用備份系統(tǒng)對systemA或者systemB進(jìn)行恢復(fù)的操作。但是由于只有一個備份系統(tǒng)。所以只能圖3-29雙系統(tǒng)配恢復(fù)系統(tǒng)的主要功能就是將存放在備份系統(tǒng)當(dāng)中的系統(tǒng)拷貝到systemA或者systemB系統(tǒng)當(dāng)中導(dǎo)出到/tmp/pf.log下面，資源定義默認(rèn)導(dǎo)出到/tmp/addserver.log下面。圖3-30批處理工圖3-31導(dǎo)出地址處理時可能會失敗，提示fail。圖3-32執(zhí)行批處第4章網(wǎng)絡(luò)管理啟辰安全網(wǎng)關(guān)可配置的網(wǎng)絡(luò)接口有：物理接口，VLAN接口，橋接口，別名接口，鏈路聚合接口、PPPoE、WiFi和3G。下面對各類接口的特點(diǎn)做一簡要說明。默認(rèn)的管理接口，它的默認(rèn)IP地址是54這個地址允許管理，和TRACEROUTE。VLANTRUNK數(shù)據(jù)包。不同物理接口上創(chuàng)建的VLANVLANID可以相同。關(guān)可以創(chuàng)建多個橋接口，橋接口綁定的物理接口、VLAN 以選擇。系統(tǒng)通過綁定的設(shè)備來發(fā)送和接收PPPoE的數(shù)據(jù)包。撥號設(shè)備的IP地址、掩碼每次ADSL撥號成功后，自動獲得。網(wǎng)卡，無需任何配置，ip自動獲取。物理接口初始配置中除了可用于管理的eth0和eth3，其余接口皆為透明模式且關(guān)閉狀ip，必須同時指定工作模式為路由模式。其中第一個物理接口eth0是默認(rèn)的可管理接口。它的默認(rèn)IP地址是54，子網(wǎng)掩碼為，這個地址允許管理，和TRACEROUTE（默認(rèn)管理主機(jī)的IP地址是方式增加多個ip。物理接口是其它接口的基礎(chǔ)。在WEB配置管理接口和CLI配置管理接口上可配置的物理接圖4-1物理接圖4-2物理接口編輯頁面圖4-3高級選項展開頁面表4-1物理接口上可配置的屬因此和ip相關(guān)其它功能如管理、等皆不能開啟。vlan端獲得IP地址。接口的MAC地址，可以修改。如果想將mac地址恢復(fù)為初始MAC用于IP地址不固定的組網(wǎng)。目前支持的地址后綴必須為3322.org、VLAN接口是一種在物理接口基礎(chǔ)上創(chuàng)建的接口。它可以工作在路由模式下，也可以工VLANIDVLANVLANVLANID4-2VLAN，VLAN和ip相關(guān)其它功能如管理、等皆不能開啟。圖4-6橋接圖4-7橋接口表4-3橋接口上可配，允許未綁定的IPMAC是4096個。同一個接口的多個別名接口的ip可以是同一個網(wǎng)段，但是不同接口的別名接口不能為同網(wǎng)段ip。圖4-8別名接圖4-9別名接口編輯頁面表4-4別名接口可配VRRP圖4-10鏈路聚合接口列圖4-11鏈路聚合接口編輯頁圖4-12高級選項展開頁表4-5鏈路聚合接口可配，802.3ad（默認(rèn)選項MAC（默認(rèn)選項因此和ip相關(guān)其它功能如管理、等皆不能開啟。端獲得IP地址。如果選擇開啟動態(tài)，則物理接口的IP地址和動態(tài)之間的綁定關(guān)系會被到特定的服務(wù)器上，所需的用戶名、可以在系統(tǒng)管理>>配置>>動態(tài)中設(shè)置。此功能目前支持的地址后綴必須為3322.org、PPPoE圖4-13撥號設(shè)表4-6撥號設(shè)備可配如果選擇開啟動態(tài)，則撥號設(shè)備獲得的IP地址和動態(tài)之間的綁定關(guān)系會被到特定的服務(wù)器上，所需的用戶名、可以在系統(tǒng)管理>>配置>>動態(tài)中設(shè)置。此WiFi表4-7無線設(shè)備可配不能更改，默認(rèn)為表4-8無線配Gateway_XXXXXX，無線網(wǎng)卡MAC地址的后三個字節(jié)工作頻道，范圍：1..13AUTO,AUTO代表自動選擇，CH1-2412MHzCH2-2417MHzCH3-2422MHzCH4-2427MHzCH5-2432MHzCH6-2437MHzCH7-2442MHzCH8-2447MHzCH11-2462MHzCH12-MHzCH13-2472MHzCH6-2437信標(biāo)發(fā)送間隔，范圍：RTS，2347(default);range分片閥值，2346ShortPreamble3G端口鏡像的主要功能是將當(dāng)前啟動設(shè)備的一個或幾個源網(wǎng)口（比如eth2,eth3）的流量->其它配置->圖4-16端口鏡像的顯示注意事項 圖4-17服務(wù)器配其中服務(wù)器1具有較高的優(yōu)先級。點(diǎn)擊“確定”按鈕完成配置。 圖4-18Upnp接口圖4-19規(guī)則列圖4-20規(guī)則此界面用于設(shè)置能upnp功能的ip地址，此接口會根據(jù)填寫的Ip地址添4-21upnpDHCP服務(wù)安全網(wǎng)關(guān)可以通過DHCP協(xié)議使得局域網(wǎng)其它主機(jī)動態(tài)獲得IP地址，安全網(wǎng)關(guān)本身作為配置DHCP服務(wù)器。使用DHCP協(xié)議動態(tài)分配的IP地址可以分為兩種情況：由服務(wù)器自對于前者，用戶必須定義DHCP域，即一段IP地址，當(dāng)有主機(jī)提出IP地址申請時，服務(wù)器自動從DHCPIP地址。DHCP協(xié)議會自動獲取默認(rèn)路由。DHCP4-22DHCP4-23添加、編輯DHCP表4-9添加和編輯DHCP域時參數(shù)說DHCPDHCP客戶端 在客戶端和安全網(wǎng)關(guān)建立隧道后，一般都會需要指定一個最好的辦法是通過安全網(wǎng)關(guān)端的DHCP服務(wù)器獲得虛擬IP，這時DHCP實(shí)際發(fā)生在客戶端和網(wǎng)關(guān)端的IPSec隧道內(nèi)，這就是所啟"DHCPOverIPSecIP4-24顯示DHCP靜態(tài)設(shè)備的IP地址在同一網(wǎng)段。4-25添加設(shè)備的IP地址在同一網(wǎng)段。啟辰安全網(wǎng)關(guān)的高可靠性目前支持私有HA和VRRP兩種工作模式，這兩種協(xié)議是雙機(jī)熱備（主動-模式：集群中所有節(jié)點(diǎn)的任意對應(yīng)的業(yè)務(wù)網(wǎng)口IP和MAC地址都負(fù)載均衡（主動-主動模式）集群中所有節(jié)點(diǎn)的任意對應(yīng)的業(yè)務(wù)網(wǎng)口IP和MAC地址都分各個安全網(wǎng)關(guān)分別獨(dú)立工作，對應(yīng)的業(yè)務(wù)口IP和MAC地址是不同的，節(jié)點(diǎn)的優(yōu)先級也沒有以上描述的是啟辰HA工作模式，詳細(xì)內(nèi)容請參考手冊《啟辰安全網(wǎng)關(guān)USG全網(wǎng)關(guān)USG功能使用手冊》中的第十章VRRP概念與配置方法。HA圖4-26HA表4-11網(wǎng)口參數(shù)說配置HA網(wǎng)口地址只配置HA置如果只啟用會話保護(hù)模式，不啟用HA能專門為HA功能使用，且啟用實(shí)時配置同步功能后，“HA狀態(tài)”界面的“節(jié)點(diǎn)配置同步”請在設(shè)置HA網(wǎng)口前，先確定HA網(wǎng)口設(shè)備是否工作在路由模式下。若HA網(wǎng)口工作在透明方式下，請先將HA網(wǎng)口從橋設(shè)備中剝離；若HA網(wǎng)口工作在路由模式，請不要讓HA網(wǎng)口在被VLAN設(shè)備、設(shè)備等其它設(shè)備使用并且不要被安全網(wǎng)關(guān)的各種策略和規(guī)則使用，以保證HA網(wǎng)口的性，否則會產(chǎn)生功能問題。HA圖4-27HAHA基本參數(shù)、查看HA狀態(tài)３.探測IP5.2.1HA4-12HA基本圖4-28查看網(wǎng)探測接口設(shè)備4-29顯示探4-30添加探表4-14HA探測IP基本參編輯探測接口設(shè)備IP4-31接口設(shè)IPHA4-32HA4-33HA圖4-34HA狀態(tài)詳其中主節(jié)點(diǎn)的“優(yōu)先級”應(yīng)為1，其余從節(jié)點(diǎn)的“優(yōu)先級”為2。節(jié)點(diǎn)“配置同步”的圖4-35VRRP參數(shù)圖4-36VRRPVRRP啟動、停止VRRPVRRPVRRP第5章路由管理圖5-1默認(rèn)路由的狀態(tài)控2、啟用網(wǎng)關(guān)監(jiān)測：通過設(shè)置該選項，可以設(shè)置實(shí)時探測/不探測默認(rèn)路由網(wǎng)關(guān)的可連頻率的影響對于默認(rèn)網(wǎng)關(guān)可連通性的監(jiān)測，采用arp協(xié)議與icmp協(xié)議進(jìn)行探測，以icmp協(xié)議的探測為優(yōu)先，如果icmp協(xié)議探測失?。ㄊ〉脑颍嚎赡苁菍?yīng)的默認(rèn)網(wǎng)關(guān)不存在，也可能是對應(yīng)的默認(rèn)網(wǎng)關(guān)禁用icmp協(xié)議）arp協(xié)議進(jìn)行探測。如果icmp協(xié)議與arp協(xié)議的探測都失敗，則表明默認(rèn)網(wǎng)關(guān)是不可達(dá)的，否則只要有icmp協(xié)議或者arp協(xié)議之一的探測有效，則判定對應(yīng)圖5-2默認(rèn)路圖5-3路由如果原來是，點(diǎn)擊后變成，表示由啟用狀態(tài)變成禁用，如果原來是，點(diǎn)擊后變成，表5-1添加和編輯默認(rèn)路由參5-4默認(rèn)路由的圖5-5靜態(tài)路 5-6靜態(tài)路由的表5-2添加和編輯時原來是，點(diǎn)擊后變成，表示由禁用狀態(tài)變成啟用。ISP 據(jù)資料包的源IP判斷該資料包來自哪個ISP,然后再根據(jù)配置好的ISP路由表進(jìn)行路由。使用ISP路由功能需要配置ISP地址，然后再配置ISP路由表。ISP地址用來匹配輸入數(shù)據(jù)包來自哪個ISP,然后根據(jù)匹配結(jié)果相應(yīng)的ISP路由表進(jìn)行路由。操作，還可以添加ISP地址段到相應(yīng)的ISP地址中。5-9ISP地址5-10ISP地址段功表5-3添加和編輯時ID。同時可以選擇編輯按鈕，向新建的路由表中圖5-13策略路由圖5-14策略路由圖5-15策略路由表則。策略路由規(guī)則的參數(shù)包括優(yōu)先級、源IP地址、源掩碼、目的IP地址、目的掩碼、流入圖5-16策略路5-17策略路由規(guī)則的表5-4添加和編輯時啟辰安全網(wǎng)關(guān)的ipv4動態(tài)路由支持RIP、OSPF和PIM-SM協(xié)議。在配置動態(tài)路由之前應(yīng)確認(rèn)已完成相關(guān)網(wǎng)絡(luò)接口的配置。OSPF網(wǎng)絡(luò)接口僅限制為物理設(shè)備和冗余設(shè)備（如eth1或bond1等。RIP(RoutinginformationProtocol)是應(yīng)用較早、使用較普遍的網(wǎng)關(guān)協(xié)議(Interior由信息更新。RIP提供跳躍計數(shù)(hopcount)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到RIP認(rèn)為兩個路由是等距離的。RIP15，即在源和目第一步配置RIP表5-5RIP端口配置參數(shù)說選擇啟用RIP支持RIPv1、RIPv2或支持RIPv1、RIPv2或優(yōu)先（SPF）算法來計算路由。OSPF配置比較復(fù)雜，需要以下五個步驟：第一步啟動關(guān)閉圖5-22OSPF表5-6路由器ID和重發(fā)布第三步標(biāo)識區(qū)域分配器類型分為三種：regular,STUB,NSSA。（Nonbackbone非存根區(qū)域（Nonstubarea認(rèn)證，一種是MD5加密校驗(yàn)和的認(rèn)證方式。OSPF認(rèn)證方式配置分為兩個步驟：表5-7區(qū)域配置表5-8網(wǎng)絡(luò)配置圖5-25接口配表5-9OSPF配置參入Text:明文方式；圖5-26靜態(tài)集合表5-10靜態(tài)集合點(diǎn)圖5-27多播接表5-11多播接口配級 第6章同時它也提供相關(guān)的選項以保護(hù)網(wǎng)絡(luò)免受。它支持的協(xié)議包括基本協(xié)議（如HTTP，圖6-1濾規(guī)則配表6-1濾規(guī)則配置項說““默認(rèn)規(guī)則名為“pf”+可選內(nèi)容包括：any和所有已激活的網(wǎng)口。務(wù)、ICMP服務(wù)、動態(tài)服務(wù)、服務(wù)組。動作為郵件的規(guī)則首先允許符合該規(guī)則的數(shù)據(jù)包轉(zhuǎn)給郵件應(yīng)用層進(jìn)程，它將根據(jù)“應(yīng)用防護(hù)>>反郵件”中的配置匹配數(shù)據(jù)包，決MAC抗包括四種抗。注意：TCP服務(wù)可以選擇抗SynFlood；UDP帶有Syn標(biāo)記的數(shù)據(jù)進(jìn)行單獨(dú)的處理?？筍ynFlood之后的輸入框填TCP當(dāng)允許UDP規(guī)則時，選擇了抗UDPFlood，安全網(wǎng)關(guān)會對流經(jīng)的UDP數(shù)據(jù)進(jìn)行單獨(dú)的處理?？筓DPFlood之后的輸入框填寫的數(shù)值的具體含義是限制每秒通過的UDP數(shù)據(jù)包的個數(shù)。當(dāng)允許ICMP規(guī)則時，選擇了抗ICMPFlood，安全網(wǎng)關(guān)會對流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨(dú)的處理?？笽CMPFlood之后的輸入框填寫的數(shù)值的具體含義是限制每秒通過的ICMP數(shù)據(jù)包的個數(shù)。當(dāng)允許ICMP規(guī)則時，選擇了抗ofDeath，安全網(wǎng)關(guān)會對1.2.1NAT實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換為外部網(wǎng)絡(luò)IP地址，將網(wǎng)絡(luò)和外部網(wǎng)絡(luò)開，用戶可通過一個或多個外部IP地址與外部網(wǎng)絡(luò)通信。轉(zhuǎn)換通信的源地址，因此也被稱作正向NAT，用于區(qū)別轉(zhuǎn)換目的地址的IP和端口。正地址是NAT規(guī)則的源地址，濾規(guī)則的目的地址是NAT規(guī)則的目的地址?！啊氨?-2NAT規(guī)則配置項說明址；如果選擇“允許通過”，則數(shù)據(jù)包通過IP規(guī)則，但不做任何地址轉(zhuǎn)管理>>網(wǎng)絡(luò)接口”中的安全網(wǎng)關(guān)IP地址。后的地址。如果NAT規(guī)則撥號設(shè)備地址，安全網(wǎng)關(guān)重啟后，如沒有撥號，則NAT規(guī)則仍使用原撥號設(shè)備地址進(jìn)行NAT。端口圖6-4端口規(guī)則接規(guī)則的目的地址是端口規(guī)則的地址。服務(wù)是端口規(guī)則的服務(wù)。圖6-5端口規(guī)則配表6-3端口規(guī)則配置項說一般是單個IP地址。當(dāng)是多個IP地址或網(wǎng)段時，一般用于服務(wù)器的負(fù)載均衡。在不同的源地址中，的服務(wù)器地址采用輪循算法。對相同源地默認(rèn)值為any，表示不限制接收網(wǎng)口。 表6-4公開服務(wù)與服務(wù)選擇的服務(wù)資源要嚴(yán)格遵守的約IP圖6-6IP規(guī)則接則才能生效。方法如下：濾規(guī)則的源地址是IP規(guī)則的源地址，濾規(guī)則的目的地址是IP規(guī)則的地址。圖6-7IP規(guī)則只針對IP規(guī)則，其它類型的規(guī)則（比如NAT規(guī)則）仍然會做應(yīng)有的轉(zhuǎn)換。在配置IP映IP規(guī)則和端口規(guī)則屬于目的地址轉(zhuǎn)換。它們的區(qū)別是：端口只對指定端口的連接做地址轉(zhuǎn)換，而IP對特定IP地址的所有端口都做轉(zhuǎn)換。表6-5IP規(guī)則配置項說默認(rèn)規(guī)則名為“vip”+默認(rèn)序號。默認(rèn)值為any，表示不限制接收網(wǎng)口。6.2.2規(guī)

圖6-8服務(wù)配置接 圖6-9規(guī)則配置接圖6-10規(guī)則配表6-6規(guī)則配置說proxy在此指定IP和掩碼?？蛇x內(nèi)容包括：any和所有已啟動的網(wǎng)口。如果工作在透明模式，必須選擇相應(yīng)的物理網(wǎng)口如fe1。志按等）定義地址資源，這樣制定的安全規(guī)則比較容易閱讀和理解。當(dāng)部門或者的過條，6-11地址列IP1IP26-12地址列表表6-7地址類型列例如：輸入2/，則添加成功后變?yōu)閳D6-13地址組列 圖6-14地址組添表6-8地址組添圖6-15地址池列圖6-16地址池添表6-9地址池添為，C類地址掩碼為名設(shè)備后，才可以使地址池的NAT地址轉(zhuǎn)換規(guī)則起到地址轉(zhuǎn)換的作用。

圖6-17預(yù)定義服圖6-18動態(tài)服6-19動態(tài)服務(wù)表6-10動態(tài)服務(wù)功能列圖6-20ICMP6-21ICMP6-11ICMP服務(wù)功能列表類型代碼圖6-22基本服圖6-23基本服表6-12基本服和高端口都沒出現(xiàn)，則默認(rèn)為0-65535，表示所有端口。系統(tǒng)默認(rèn)使用0-65535。圖6-24服務(wù)組列 圖6-25服務(wù)組添表6-13服務(wù)組添加元素“動態(tài)服務(wù)”“ICMP圖6-26時間列6-27時間資源表6-14時間資源元素例如：需要實(shí)現(xiàn)這樣的功能：在工作時間所有WEB瀏覽。則可以設(shè)圖6-28時間組列6-29時間組表6-15時間組元素

二層域：l2_trust、l2_untrust。三層域：l3_trust、l3_untrust。口、鏈路聚合接口、PPPoE接口、3G接口在“”下拉菜單下“安全域在安全域頁面上點(diǎn)擊，將彈出以下圖6-31安全域列圖6-32虛擬線6-33虛擬線路表6-16虛擬線路圖6-34流量通6-35流量通道表6-17流量通道通道上行帶寬-通道下行帶寬-圖6-36應(yīng)用帶6-37應(yīng)用帶寬表6-18應(yīng)用帶寬圖6-38連接限6-39連接限制表6-19連接限制IP圖6-40配6-41添加表6-12添加項說按鈕而生成，主機(jī)服務(wù)添加成功后會在iptables規(guī)則的UTM_BLOCK鏈中添加該事件對應(yīng)的圖6-42事件界件6）主動防御事件7）掃描事件還有幾種可能會出現(xiàn)在“事件”界面下的事件地址（端口）還是目的地址（端口6-16所示：表6-20各種安全事件將被阻斷的地址和端防URL請在‘>>>>主機(jī)服務(wù)’下更改阻斷時間”，這是因?yàn)楫?dāng)前欲添加的黑名單相關(guān)的地址和端口已經(jīng)在之前被寫入iptables規(guī)則，只需修改之前添加的記錄的阻圖6-43阻斷界在“>>>>主機(jī)服務(wù)”界面下會顯示所有未到期的主機(jī)服務(wù)，機(jī)服務(wù)生成的iptables規(guī)則如圖6-37所示。圖6-44主機(jī)服務(wù)界之前執(zhí)行保存所有配置或在命令行中鍵入“ne