天清汉马USG防火墙系统用户手册

天清汉马天清汉马 USG 防火墙系统防火墙系统 用户手册用户手册 资料版本：V1.2 北京启明星辰信息安全技术有限公司 尊敬的客户：尊敬的客户：本产品是专门为品牌客户定制的一款功能强大、性能卓越的终端产品，向您提供了一个灵活、安全和完备的企业网络解决方案。它的配置简单、操作方便、使用灵活、安全可靠，您还可以获得专业的服务支持。为了您更有效的了解和使用本产品，我们向您提供本产品的用户使用手册，请您仔细阅读。本手册包含：安全注意事项 主要产品功能 面板和规格说明 首次使用和基本连接配置 配置准备 快速向导 设备概览 网络设置 上网行为管理 对象管理 网络安全 3G设置 系统管理 快速故障定位 由于产品版本升级或其他原因，本文档内容会不定期进行更新，本手册中的内容可能与实际产品不完全相符，敬请谅解。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。i 目目 录录 1 安全安全注意事项注意事项 .12 主要产品功能主要产品功能 .23 面板和规格说明面板和规格说明 .3前面板 .3前面板指示灯 .3后面板 .5技术规格 .54 首次使用首次使用和基本连接配置和基本连接配置.71、建立有线连接 .72、上电检查 .93、建立无线连接 .95 配置准备配置准备 .12配置前的准备 .12WEB页面操作按钮说明 .166 快速向导快速向导 .177 设备概览设备概览 .19信息概览 .19系统概览 .19接口状态 .20无线状态 .203G状态.21信息统计 .22ii DHCP状态 .22接口统计 .22在线用户统计 .23ARP列表 .238 网络设置网络设置 .24基本网络设置 .24LAN接口设置 .24WAN接口设置 .26DHCP设置 .32WLAN设置.34高级选项 .39DDNS设置 .39静态路由 .40策略路由 .41DNS Relay设置 .43NAT设置 .43端口映射 .45虚拟域名设置 .47ALG开关 .47网络U盘 .48页面推送 .49VPN .50IPsec VPN配置 .50L2TP VPN .579 上网行为管理上网行为管理 .60行为管理策略 .60URL过滤设置 .60应用控制 .63连接数限制.64用户黑白名单 .66流量管理 .67iii 基本设置 .67QoS策略 .68带宽策略 .7310 对象管理对象管理.76业务对象管理 .76时间组 .77URL库管理 .78证书管理 .78CA证书 .79本地证书 .81应用协议组 .8411 网络安全网络安全.86基本设置 .86ACL访问控制 .87ARP防攻击 .89IP/MAC绑定 .89ARP防攻击 .90入侵防护设置 .9112 3G设置设置 .92联系人 .92用户 .92群组 .93短信 .94发送短信 .94收件箱 .95发件箱 .96草稿箱 .97回收站 .97iv 存储设置 .98拨号失败提醒 .98PIN码 .98PIN码管理 .9813 系统管理系统管理.102系统管理 .102基本设置 .102Web管理 .102配置维护 .103修改密码 .105系统升级 .105SNMP管理 .106设备重启 .109恢复出厂设置 .110系统调试 .110时间设置 .111ByPass设置 .113日志管理 .11314 快速故障定位快速故障定位 .117附录附录A 缩略语缩略语 .119 天清汉马 USG防火墙系统用户手册 第 1 页 1 安全注意事项安全注意事项 在设备的安装和使用中，请注意下列安全事项。遇到雷雨天气时请停止使用设备，并断开电源，拔出电源线和电话线，以免设备遭雷击损坏。请将设备放置于平稳工作台上，并安放在通风、无强光直射的环境中。在存储、运输和使用设备的过程中，必须严格保持干燥。若有液体意外流入机箱，请立即断开电源，并与指定的维修点联系。请使用设备配套的电源适配器等配件。请保持电源插头清洁、干燥，以免引起触电或其它危险；请不要使用已破损或老化的电源线。请勿在无人监管的情况下让儿童使用设备；请勿让儿童玩耍设备及小配件，避免因吞咽等行为产生危险。如有不正常现象出现，如：冒烟、声音异常、有异味等，请立刻停止使用，并断开电源，拔出电源插头。安放设备时请在四周和顶部留出10cm以上的散热空间，并远离热源或裸露的火源，例如电暖器、蜡烛等。请勿在设备以及电源线或电源插头上放置任何物体。请不要拿物体覆盖机箱的通风口。清洁前，请先停止使用设备并切断电源。清洁时，请使用柔软的干布擦拭设备外壳。请勿自行拆卸设备，设备发生故障时请联系指定的维修点。如果长时间使用设备，外壳会有一定程度的发热。请不必担心，这属于正常现象，设备依旧能正常工作。天清汉马 USG防火墙系统用户手册 第 2 页 2 主要主要产品产品功能功能 本产品是专门为您定制的一款产品，已经为您做了全面的预配置工作，您不再需要进行任何配置，正确连接后即可使用。本产品为您提供了灵活的功能选项，您可以根据自己的需求进行功能选择，您可以使用的功能包括：高速宽带上网功能，支持现行各种接入认证方式。通过此功能您可以快速地浏览各种互联网上的信息，可进行网上交谈、收发电子邮件、获得所需要的信息等。组建多个内部局域网功能。通过 VLAN功能用户能方便地在网络中快捷地组建宽带网络，而无需改变任何硬件和通信线路。无线内部组网功能。您可以使用支持无线网卡的电脑通过无线网络接入局域网，省去了连接电脑与网络的网线，在您布线受限的条件下更能显出其优越性。您还可针对不同部门设置不同的无线网络名称，设置不同的访问权限和安全机制，例如为来访人员设置专用的无线网络名称。为避免各无线网络之间的相互干扰，可以设置无线 AP 隔离。强大的防火墙功能，支持防 DDoS 攻击、基于 URL的内容过滤，保证内网安全。例如，您可以设置 URL地址，过滤指定网站；设置 URL关键字，过滤相关网站。业务带宽保障功能。使用户的重要业务数据优先传输。天清汉马 USG防火墙系统用户手册 第 3 页 3 面板面板和规格和规格说明说明 前面板 图3-1 前面板图 前面板接口说明如下：表 3-1 前面板接口说明 名称 含义/功能 Reset 复位按钮，长按 5 秒，恢复系统配置为出厂默认值 USB USB接口，用于网络 U盘、备份配置文件等 WAN（1-2）提供 2 个 WAN口，上行以太网接口 LAN（1-4）提供 4 个 LAN口，用于连接内网设备 名称标识仅供参考，具体标识请以实物为准；可根据客户需要选配 1 个 WAN 口或 2 个 WAN 口，请以具体实物为准。前面板指示灯 前面板指示灯说明如下：表 3-2 前面板指示灯说明 名称 颜色 状态 含义/功能 电源指示灯（PWR）绿色 灯不亮 表示系统电源关闭或故障 灯常亮 表示系统电源接通且工作正常 系统状态指绿色 灯快闪 表示系统正在启动 天清汉马 USG防火墙系统用户手册 第 4 页 名称 颜色 状态 含义/功能 示灯（SYS）灯慢闪 表示进入正常工作状态 灯常灭常亮 表示死机 USB指示灯（USB）绿色 灯亮 表示系统已连接到 USB 设备，不可拔出 灯闪烁 表示正在传输数据，不可拔出 灯灭 表示 USB 设备未连接或已弹出，可拔出 WAN状态灯（W1/2）绿色 灯常亮 表示 WAN链路正常工作 灯闪烁 表示端口在收发数据 灯不亮 表示 WAN链路不通 LAN状态灯（L1-4）绿色 灯常亮 表示 LAN链路正常工作 灯闪烁 表示端口在收发数据 灯不亮 表示 LAN链路不通 VPN状态指示灯（VPN）绿色 灯不亮 表示 VPN连接未建立 灯闪烁 表示 VPN连接有数据收发 灯常亮 表示 VPN连接已建立 网络连接状态指示灯（NET）绿色 灯不亮 表示没有网络连接或处于桥接模式 表示网络没有获得 IP 地址 灯常亮 表示网络已连接并获得IP地址（固定 IP 地址）无线指示灯（WiFi）绿色 灯常亮 表示无线功能已启用 灯闪烁 表示无线模块收发数据 灯不亮 表示无线模块关闭 天清汉马 USG防火墙系统用户手册 第 5 页 后面板 图3-2 后面板图 后面板图说明如下：表 3-3 后面板图说明 编号 名称 含义/功能 1 WIFI 无线功能天线 2 电源插座 电源插座 3 接地端子 用于接地 以上示意图形仅供参考，具体外观请以实物为准。技术规格 物理特性和环境要求 最大功耗 8W 电源 额定电压（外置）：100VAC240VAC；50/60Hz 工作环境温度-555 天清汉马 USG防火墙系统用户手册 第 6 页 物理特性和环境要求 工作环境相对湿度 95%（非凝结）尺寸(LWH)28017044mm 本产品符合关于环境保护方面的设计要求，产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。天清汉马 USG防火墙系统用户手册 第 7 页 4 首次首次使用使用和基本连接配置和基本连接配置 首次使用时，本产品由运营商进行安装，若您（企业网络管理员或负责人员）在使用过程中需要对设备进行调整，请参照以下步骤。1、建立有线连接 请按照以下步骤连接本产品。步骤 1 用一条网线连接本产品上的以太网接口（WAN）和运营商的入户信息点如图4-1所示。图4-1 单 WAN 口连接 天清汉马 USG防火墙系统用户手册 第 8 页 步骤 2 双WAN口连接如图4-2所示，请用户根据实际网络进行连接。（可选）图4-2 双 WAN 口连接 步骤 3 用网线连接本产品上的固定交换口（LAN14）和电脑的以太网接口如图4-3所示。图4-3 连接 LAN口 步骤 4 用电源线连接本产品上的电源接口与电源插座。以上图片仅作示意，具体接口请以实物为准。天清汉马 USG防火墙系统用户手册 第 9 页 2、上电检查 安装连接完成后，打开本产品，这时您可以通过检查指示灯状态，来判断本产品是否工作正常，指示灯状态说明请参见“表 3-2 前面板指示灯说明”。3、建立无线连接 如果您不需要无线上网，则可以不执行本步骤内容；否则需要确认无线上网的电脑具有无线上网功能，然后根据本步骤内容建立无线连接。本产品已开启了无线网络功能，安装上电后只需在需要无线上网的电脑上配置好无线客户端软件（如 Windows自带的无线网络连接工具）即可建立无线连接。预先设置好的无线网络名称（SSID）为“SSIDXXXX”，名称的后四位“XXXX”为 4位字符或数字。可以修改无线网络名称（SSID）的后四位，具体修改步骤请参见WLAN设置部分。配置无线客户端软件的步骤如下（以使用 Windows自带的无线连接工具为例）：步骤 1 如图4-4所示，点击“开始设置网络连接”：图4-4 启动网络连接 点击“网络连接”后，弹出网络连接页面如图 4-5所示：天清汉马 USG防火墙系统用户手册 第 10 页 图4-5 网络连接 步骤 2 在图4-5点击“无线网络连接”图标，点击“查看无线网络”按钮，出现无线网络连接界面，点击“刷新网络连接”按钮，搜索可用的无线网络如图4-6所示：图4-6 选择无线网络 在图 4-6中，选中“SSID-XXXX”，点击，弹出连接无线网络页面如图4-7所示，输入网络密钥并确认网络密钥。天清汉马 USG防火墙系统用户手册 第 11 页 图4-7 连接无线网络 步骤 3 在图4-7中点击，弹出如图4-8所示页面，表明已经连接成功，您即可使用无线上网功能。图4-8 连接无线网络客户端配置成功 天清汉马 USG防火墙系统用户手册 第 12 页 5 配置准备配置准备 本章将带领您登录并熟悉Web设置页面，使用本产品提供的基本功能。（本章配置操作以您的电脑使用Windows XP操作系统，Internet Explorer浏览器为例。对于其他操作系统和浏览器，请参见其说明并参照本章内容配置）。配置前的准备 在您进行个性化配置之前，都需要登录本产品的配置页面。登录配置页面的步 骤如下：步骤 1 首先确认浏览器没有使用代理服务器，具体确认步骤如下：（1）启动浏览器，在“工具”菜单栏中选择“I