《天清汉马USG防火墙(T系列)快速安装指南-v3.doc》由会员分享,可在线阅读,更多相关《天清汉马USG防火墙(T系列)快速安装指南-v3.doc(27页珍藏版)》请在金锄头文库上搜索。
1、天清汉马USG防火墙(T系列)快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一六年11月天清汉马USG防火墙快速安装指南手册版本V1.0产品版本V2.0资料状态发行版权声明启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司在编写该手册的时候已尽最
2、大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。Users Manual Copyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this documen
3、t shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”bas
4、is. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume resp
5、onsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的天清汉马USG防火墙产品正常运行时,包含2款GPL协议的软件(linux、zebra)。启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户,请需要GPL软件的客户提供(1)已经购买的产品的序列号,(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。目录快速安装指南2Users Manual Copyr
6、ight and Disclaimer2Copyright2Disclaimer2第1章 硬件安装51.1 安装前准备工作51.1.1 安装环境要求51.1.2 安装工具准备51.2 设备面板标识说明51.3 设备安装61.3.1 设备接口卡的安装61.3.2 将设备安装到机柜6第2章 快速配置72.1 设备默认配置72.1.1 管理口的默认配置72.1.2 默认管理员用户72.2 Web快速配置72.2.1 登录设备72.2.2 配置VLAN82.2.3 配置IP地址92.2.4 透明桥模式案例1102.2.5 透明桥模式案例2122.2.6 路由综合案例142.2.7 攻击防护案例202.
7、2.8 应用控制案例23第3章 软件升级273.1 通过Web升级27第1章 硬件安装在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。1.1 安装前准备工作1.1.1 安装环境要求工作温度 040存储温度 -4070相对湿度 095%非凝结电磁兼容性满足GB9254-1998 A级以上及GB17618-1998电磁兼容要求电源适应性220V 拉偏电: 198V242V,频率:4951Hz1.1.2 安装工具准备请安装前准备好以下安装工具:终端:配置终端,可以是普通PC机、笔记本电脑工具:十字螺丝刀和防静电护腕电缆:电源电缆、串口电缆、网线1.2 设备面板标识说明:超级终端的RJ45连
8、接端口:2USB连接接口:管理接口:10/100/1000M自适应以太网电接口 业务口:GE SFP光接口 业务口:机箱后部电源插座和电源开关:接口卡1.3 设备安装1.3.1 设备接口卡的安装 设备接口卡安装步骤如下:1) 设备断电;2) 取下接口槽位上的挡板,插入接口卡;3) 安装完毕。设备的接口卡不支持热插拔,设备必须在断电情况下才能进行接口卡的安装和卸载,否则会造成设备的损坏!1.3.2 将设备安装到机柜 1)设备断电 2)将设备放置在机柜托盘上 3)将设备固定在机柜上 4)接通电源 5)管理口接上网线第2章 快速配置本设备可通过Web方式来进行配置。2.1 设备默认配置出厂的防火墙设
9、备自带默认的配置。这些默认配置可以在出厂的情况下,允许用户通过Web进行配置。2.1.1 管理口的默认配置标记有“MGT”的接口为设备的管理口;如果没有“MGT”接口,则主板上从左侧数第一个以太网接口为设备的管理口。管理口的默认IP地址为192.168.1.250/24。允许对该接口的Ping,HTTPS操作。2.1.2 默认管理员用户系统默认的管理员用户为admin,密码为fw.admin。任何地址都可以使用该用户登录设备。并且可以使用设备的所有功能。2.2 Web快速配置2.2.1 登录设备配置本机IP地址为192.168.1.2/24, 通过网线将本机和设备管理口连接。打开浏览器,输入h
10、ttps:/192.168.1.250, 连接设备。输入用户名(缺省用户名:admin)、密码(缺省密码:fw.admin)和验证码(随机生成)登录。2.2.2 配置VLANu 案例描述FW设备使用VLAN提供转发业务,在配置其他业务前,需要根据网络环境创建VLAN并在其中加入物理接口成员。u 配置步骤: 进入网络 接口VLAN,点击新建, 如下图:1、 配置参数名称:vlan的名称,这里配置为vlan1。Tag:vlan的tag号,这里配置为1。管理状态:vlan接口的状态,设置为UP。MTU :vlan接口的MTU值,保持默认的1500即可。接口选择:在可选的接口中点击加入到Untagge
11、d或者Tagged接口中,这里将ge0/1以Untagged方式加入到vlan 1中,将ge0/2以Tagged方式加入到vlan 1中。2、 点击提交完成创建VLAN。2.2.3 配置IP地址防火墙设备在做网络层以上业务处理时,需要在VLAN上配置IP地址。u 配置步骤: 1.进入网络接口VLAN,点击列表中的需要配置的vlan接口,如下图所示(以vlan10为例):IP地址/掩码:vlan 接口的IP地址/掩码,这里设置为1.1.1.1/24。这里不选择浮动IP与单元ID。点击“添加”按钮。2.点击“更新”添加VLAN IP成功,如下图所示:2.2.4 透明桥模式案例1u 案例描述:防火墙
12、设备透明部署,通过FW设备的报文不带vlan tag,内网用户需要通过防火墙访问外网。案例拓扑u 配置步骤:1、 进入网络接口VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged方式加入到vlan10中,点击提交使配置生效。2、 进入对象地址对象地址节点,创建IPV4类型的地址对象内网用户,并将内网网段192.168.10.0/24加入到地址对象中。3、 进入策略防火墙策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点
13、击提交使配置生效。4、 进入策略防火墙策略,查看策略,勾选策略启用开关,使得配置启用。5、 进入策略防火墙策略配置,查看策略匹配开关开启,默认动作为deny。2.2.5 透明桥模式案例2u 案例描述:防火墙透明部署在trunk链路下,通过FW设备的报文带vlan tag10和vlan tag20,FW设备需要透传带vlan tag的报文,并且内网用户需要通过防火墙访问外网。案例拓扑u 配置步骤:1、 进入网络接口VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged加入到vlan10中,点击提交使配置生效。2、 配置设备管理接口允许SSH或telnet方式访问
14、设备,并使用SSH或telnet方式登陆到设备管理终端,在配置视图下,输入如下命令。该命令会使得该vlan的接口下允许所有的vlan tag 或untag透传,故配置后不再受步骤1中vlan接口配置的UnTagged或者tagged方式的约束。FW(config)# vlan 10FW(config-vlan)# vlan-transparent enable提示:此配置命令适用于FW需要透传大量vlan时使用,若桥下只需要允许单个VLAN带tag通过,在配置vlan时,将接口tagged方式加入到该vlan中即可。3、 进入对象地址对象地址节点,创建IPV4类型的地址对象内网用户,并将内网网段192.168.10.0/24和192.168.11.0/24加入到地址对象中。4、 进入策略防火墙策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点击提交使配置生效。5、 进入策略防火墙策略,查看策略,勾选策略启用开关,使得配置启用。6、 进入策略防火墙策略配置,查看策略匹配开关开启,默认动作为deny。2.2.6 路由综合案例u 案例描述:企
