網(wǎng)神SecGate3600nsg系類utm產(chǎn)品基本配置_第1頁
網(wǎng)神SecGate3600nsg系類utm產(chǎn)品基本配置_第2頁
網(wǎng)神SecGate3600nsg系類utm產(chǎn)品基本配置_第3頁
網(wǎng)神SecGate3600nsg系類utm產(chǎn)品基本配置_第4頁
網(wǎng)神SecGate3600nsg系類utm產(chǎn)品基本配置_第5頁
已閱讀5頁,還剩40頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

一、設(shè)備出廠默認(rèn)配置1、設(shè)備接口出廠默認(rèn)IP地址:接口名稱IP地址IP賦值方式安全區(qū)域GE1(PortA)6/靜態(tài)LANGE2(PortB)無DHCPWANGE3(PortC)/靜態(tài)DMZ2、Web管理員賬號(hào)與密碼賬號(hào)密碼adminadmin3、CLI命令行(SSH、串口、Telnet方式)密碼admin二、首次設(shè)備管理1、使用WebUI管理NSG設(shè)備連接示意與管理過程管理終瑞網(wǎng)卡模式為:自動(dòng)獲取管理終瑞網(wǎng)卡模式為:自動(dòng)獲取IP地址N3G管理接IUGEL6/24(1)使用網(wǎng)線接入NSG設(shè)備的GE1接口,并連接管理終端(PC)設(shè)備。(2)將管理終端(PC)網(wǎng)卡設(shè)置為自動(dòng)獲取IP地址。NSG將自動(dòng)分配管理端IP地址。(3)打開IE或其他瀏覽器,在地址欄中輸入設(shè)備缺省管理地址:http:〃6。(4)出現(xiàn)NSG管理界面,輸入賬號(hào):admin;密碼:adminN網(wǎng)神SECWORLDwwwlE,Ends,c.ccin注意:NSG設(shè)備WEB管理最低要求瀏覽器版本為IE7。三、配置防火墻功能購買NSG產(chǎn)品后,我們需要將NSG根據(jù)網(wǎng)絡(luò)環(huán)境拓?fù)?,部署于網(wǎng)絡(luò)中,此時(shí)我們需要配置NSG的防火墻功能,使得新增NSG設(shè)備后的網(wǎng)絡(luò)鏈路訪問暢通。1、根據(jù)拓?fù)渑渲肗SG,要求從LAN區(qū)域主機(jī)可訪問互聯(lián)網(wǎng)。

InternetWAN接口網(wǎng)關(guān):10.I01QU24WANInternetWAN接口網(wǎng)關(guān):10.I01QU24WAN區(qū)域LAN區(qū)域接口:192.168Q1/24WAN:/24配置步驟如下:(1)配置LAN(局域網(wǎng))區(qū)域網(wǎng)絡(luò)接口進(jìn)入"網(wǎng)絡(luò)"一"接口"頁面,選擇所要作為LAN(局域網(wǎng))區(qū)域的接口,進(jìn)行編輯:/區(qū)域:選擇"LAN"區(qū)域/IP賦值方式:選擇"靜態(tài)"方式/IP地址:根據(jù)網(wǎng)絡(luò)拓?fù)渑渲肔AN接口IP地址/子網(wǎng)掩碼:根據(jù)網(wǎng)絡(luò)環(huán)境配置/主/從DNS:請根據(jù)實(shí)際配置(2)配置WAN(互聯(lián)網(wǎng))區(qū)域網(wǎng)絡(luò)接口進(jìn)入"網(wǎng)絡(luò)"一"接口"頁面,選擇所要作為WAN(互聯(lián)網(wǎng)接口)區(qū)域的接口,進(jìn)行編輯:/區(qū)域:選擇"WAN"區(qū)域/IP賦值方式:選擇"靜態(tài)"方式/IP地址:根據(jù)網(wǎng)絡(luò)拓?fù)渑渲肳AN接口IP地址/子網(wǎng)掩碼:根據(jù)網(wǎng)絡(luò)環(huán)境配置/主/從DNS:請根據(jù)實(shí)際配置,網(wǎng)關(guān)名稱:定義出口下一跳網(wǎng)關(guān)的名稱,IP地址:填寫WAN接口的下一條網(wǎng)關(guān)地址,如拓?fù)洧桥渲梅罓N規(guī)則通過上面兩個(gè)步驟的配置,已經(jīng)根據(jù)網(wǎng)絡(luò)環(huán)境拓?fù)?,配置完成NSG接口信息。此時(shí)網(wǎng)絡(luò)流量還不允許通過NSG設(shè)備,需要繼續(xù)配置防火墻規(guī)則。?NSG出廠默認(rèn)存在兩條LAN-WAN(內(nèi)到外)的防火墻訪問規(guī)則,默認(rèn)規(guī)則不能刪除

與關(guān)閉。如下圖:■1idlit3T口區(qū)T1翻蒯£3T上ftM下微勢的2-ui-HUiRAHjf■5殖舟靴煩日1.40BL,1期MM%£岬丁制Ike心打士Hl任雇民4目宙者I.MB序號(hào)為1的規(guī)則,任意全通的LAN-WAN(內(nèi)到外)訪問規(guī)則,此規(guī)則出廠缺省為丟棄動(dòng)作。序號(hào)為2的規(guī)則,帶有身份驗(yàn)證的LAN-WAN(內(nèi)到外)訪問規(guī)則,此規(guī)則出廠缺省為允許動(dòng)作。根據(jù)網(wǎng)絡(luò)拓?fù)?,如果要使得?nèi)網(wǎng)LAN區(qū)域的主機(jī)訪問互聯(lián)網(wǎng)WAN區(qū)域,需要將默認(rèn)的序號(hào)為1的規(guī)則配置為允許動(dòng)作,并且應(yīng)用NAT策略。如下圖操作:進(jìn)入“防火墻"一"規(guī)則"頁面,選擇所要編輯的ID號(hào)為1的規(guī)則:/關(guān)于應(yīng)用NAT規(guī)則:NSG出廠缺省帶有MASQ的NAT策略,此策略的作用為,將內(nèi)網(wǎng)接口地址,轉(zhuǎn)換為公網(wǎng)接口地址。通過以上三個(gè)步驟的配置,從內(nèi)網(wǎng)LAN區(qū)域的主機(jī)即可訪問互聯(lián)網(wǎng)資源。注釋:關(guān)于防火墻規(guī)則的匹配順序說明NSG出廠默認(rèn)存在兩條LAN-WAN(內(nèi)到外)的防火墻訪問規(guī)則

■10蚓助期TTT制作身材里立7上前雪IT*tt?U圖任月至R七月民全at也號(hào)SK月戶(L0QE■—1亂加郵m即哂口恤g任何空凱在目任受如只有這兩條規(guī)則時(shí),則從ID號(hào)為1的開始匹配。當(dāng)存在自定義添加的規(guī)則時(shí),則由上到下依次匹配自定義規(guī)則。四、服務(wù)映射根據(jù)拓?fù)渑渲肗SG,要求對DMZ區(qū)域的WEB服務(wù)器做服務(wù)映射WAN區(qū)域接口:10.10,10.2WEE服務(wù)器::8080配置步驟如下:(1)配置虛擬主機(jī)規(guī)則:進(jìn)入“防火墻"一"虛擬主機(jī)”頁面,點(diǎn)擊“添加"按鈕,創(chuàng)建服務(wù)映射規(guī)則:

*宙*時(shí)東tnrB4■hiPLiim2?叱,“7£帕,」 M*宙*時(shí)東tnrB4■hiPLiim2?叱,“7£帕,」 M用幽算- 必 日■物因海中也怕??aIM?也融網(wǎng)'TCPC-UW

用口之=' *.tip6anFfia外判口 ?儂囪射*口* ?箍?**■/名稱:定義虛擬主機(jī)的規(guī)則名稱/外部IP:WAN接口IP(既互聯(lián)網(wǎng)所訪問地址)/映射IP:為網(wǎng)絡(luò)拓?fù)渲械腤EB服務(wù)器地址,物理區(qū)域:根據(jù)所映射服務(wù)所在區(qū)域選擇,如拓?fù)溥x擇DMZ區(qū)域,協(xié)議:根據(jù)實(shí)際需求選擇TCP或UDP,端口類型:單個(gè)端口映射請選擇"單一端口“,如有端口范圍,請選擇“端口范圍”,外部端口:既互聯(lián)網(wǎng)訪問地址的服務(wù)端口/映射端口:既所有映射的服務(wù)端口,如拓?fù)渲械腤EB服務(wù)器端口為8080進(jìn)入“防火墻"一"規(guī)則"頁面,點(diǎn)擊“添加"按鈕,創(chuàng)建WAN-DMZ區(qū)域的訪問規(guī)則:,配置WAN-DMZ防火墻訪問規(guī)則時(shí),源區(qū)域?yàn)檫M(jìn)入“防火墻"一"規(guī)則"頁面,點(diǎn)擊“添加"按鈕,創(chuàng)建WAN-DMZ區(qū)域的訪問規(guī)則:,配置WAN-DMZ防火墻訪問規(guī)則時(shí),源區(qū)域?yàn)锳NY,目的區(qū)域?yàn)樘摂M主機(jī)規(guī)則所映射的服務(wù)器,當(dāng)如上圖選擇虛擬主機(jī)規(guī)則后,該防火墻規(guī)則服務(wù)將自動(dòng)更改為服務(wù)映射所定義的端口服務(wù)。通過以上配置,根據(jù)拓?fù)鋸幕ヂ?lián)網(wǎng)訪問:8080,此時(shí)將會(huì)自動(dòng)連接至DMZ區(qū)域的WEB服務(wù)器?!?注釋:關(guān)于服務(wù)映射注意事項(xiàng)說明>需要映射的端口范圍時(shí),請注意排除設(shè)備管理端口>所映射的服務(wù)器為80端口或443端口時(shí),請注意更改NSG管理端口,NSG管理默認(rèn)管理端口為HTTP80、HTTPS443,更改方式如下:SECWORLD管理進(jìn)入"系統(tǒng)"一"管理"頁面,點(diǎn)擊“系統(tǒng)管理端口"頁面,即可更改:?設(shè)孟*維護(hù)*HA?SNMP”證書?■斷_1_具SECWORLD管理進(jìn)入"系統(tǒng)"一"管理"頁面,點(diǎn)擊“系統(tǒng)管理端口"頁面,即可更改:?設(shè)孟*維護(hù)*HA?SNMP”證書?■斷_1_具S&cGat&3K00fJSGfiOQ10.01.2build1H網(wǎng)頁管理控制的HE端口'瓦頁管涯空制的HTTF1號(hào)端口.證書'ApplianceCertificale三]上逑已選證書也將用在我的帳口中日。443系統(tǒng)營理院口訪問桎利育理密碼禁中首埋平臺(tái),口設(shè)巖五、IP/MAC綁定當(dāng)需要IP/MAC綁定功能時(shí),需要配置偽裝防護(hù)功能,示例如下圖拓?fù)?1、根據(jù)拓?fù)渑渲肗SG,對LAN區(qū)域的主機(jī)做到IP/MAC綁定匹配過濾

WAN區(qū)域InternetIPFMAC綁定WAN區(qū)域InternetIPFMAC綁定口MW區(qū)域配置步驟如下:(1)配置偽裝防護(hù)功能,添加信任MAC:進(jìn)入“防火墻"一"偽裝防護(hù)"頁面,進(jìn)入"信任MAC”頁面,如拓?fù)渌咎砑覮AN區(qū)域的IP/MAC綁定:-:>nwu*卜J.年5M*物?即=rQ£?E*小aXEEtaiJffftSKA吵"出??aw?EE北斷-:>nwu*卜J.年5M*物?即=rQ£?E*小aXEEtaiJffftSKA吵"出??aw?EE北斷1占0舊3T就站塔站M10:21ECDE7EIM俯B5T?ii網(wǎng)UM13D3:F4.:ICfilWIEI:4C:77nB1ELj忖情心?敢年第麗忠7的K強(qiáng)養(yǎng)3C8:11Efc?E5£iEa也麻幗心盼呢靜才iSSuSSit曲MM.E4F23BE3graiEjau可U1B3d^dCD1K界定miE-931E.煙:繪Dd?網(wǎng)■:EE?17Z1MZ1Iiff忖El:43利網(wǎng)刖1JZ1MZM由M的婚1漢1&5XH/MAC地址:所要綁定的MAC地址/IP關(guān)聯(lián):選擇關(guān)聯(lián)模式,IP地址:填寫所要跟MAC綁定的IP地址(2)啟用IP/MAC綁定:進(jìn)入“防火墻"一"偽裝防護(hù)"頁面,進(jìn)入"一般設(shè)置"頁面:

,啟用偽裝防護(hù):勾選此項(xiàng)則啟用偽裝防護(hù)功能,限制未列在信任MAC的IP:勾選此項(xiàng)則過濾圍在信任列別中的IP與MAC/根據(jù)拓?fù)?,需要開啟IP/MAC綁定功能的為LAN區(qū)域,則勾選LAN區(qū)域的“IP/MAC配對過濾"通過以上配置,拓?fù)渲蠰AN區(qū)域的主機(jī)將會(huì)受到IP/MAC綁定限制,如果更改IP地址,將無法使用網(wǎng)絡(luò)?!鲎⑨專宏P(guān)于如何查看ARP緩存列表>進(jìn)入"網(wǎng)絡(luò)"t"ARP"頁面,選擇“ARP緩存”頁面,即可查看當(dāng)前NSG的ARP緩存列表,如下圖:..匕. 山士“■申菊5?圖iMi0IO¥th?OG0立陶與網(wǎng)神,jrrwnnin■MUbuikilM平時(shí)百tfgf分坤;1利牌附朋HitSHJMIwraKJE9.[■MUbuikilM平時(shí)百tfgf分坤;1利牌附朋HitSHJMIwraKJE9.[fiicmfcpwp&ja國日日344單國0呂壽向情■Aim火,玲皿1心ABR1?*自用修*。詳Q電措跟im)嗝黜施WWRMP0里用草日方出軍事1JZ153Z13IPiXtDCev?囪JOeEg巾1JZ161ZFBIO234C44:dl?9iPwfflGwrwlrtlrrranic面1坨值5時(shí)也匚g造RjftD筋面si腐由132值W1MUJ74t1lJ9jlFwt£ZfEgami、aIJZIBLMilTOIUSIIHiaaJIFcrtZgrtic:a1JZ1B.M.WHMcTflMTlWPwtt:CwTBlrtHrarTlr而1JZ1&.W.IBPwKGNTde4lMVl!?ih1曜伯W1QTRwitiru>rdkn六、靜態(tài)路由當(dāng)NSG部署在具有核心交換機(jī)的網(wǎng)絡(luò)環(huán)境中時(shí)由于核心交換機(jī)中配置了多個(gè)IP子網(wǎng),此時(shí)NSG則需要配置靜態(tài)路由功能。根據(jù)拓?fù)渑渲肗SG,為核心交蝴下端的IP子網(wǎng)配置策略路由Internet/24/24/24172,16.16.16WAN區(qū)域Internet/24/24/24172,16.16.16WAN區(qū)域 LAN區(qū)域核心交換J_二二二配置步驟如下:配置靜態(tài)路由功能:進(jìn)入"網(wǎng)絡(luò)"一"靜態(tài)路由"頁面,選擇“單播路由"頁面,點(diǎn)擊“添加"按鈕,如拓?fù)渌咎砑覮AN區(qū)域交換機(jī)下的/24子網(wǎng)的單播路由策略:■.?Bft■DH5*DHCP■.?Bft■DH5*DHCP+4刊戶■iSIDHEa仲聯(lián)證品?君丈修砧VPH。AkSWE冏兩庫彳同神SECwanDSwQiKfc^iDNEOMOKWghMH忖/目標(biāo)IP:如拓?fù)涮顚懞诵慕粨Q機(jī)下端的/24子網(wǎng)/子網(wǎng)掩碼:所填寫目標(biāo)IP的子網(wǎng)/網(wǎng)關(guān)IP:如拓?fù)浜诵慕粨Q機(jī)的IP地址(子網(wǎng)的網(wǎng)關(guān)地址),接口:選擇NSG與核心交換連接的接口IP,距離:默認(rèn)值為0,可根據(jù)實(shí)際環(huán)境設(shè)置通過以上配置,則成功在NSG中配置了核心交換下端IP子網(wǎng)的策略路由。七、身份驗(yàn)證?如何配置Web身份驗(yàn)證當(dāng)用戶需要使用NSG的Web身份驗(yàn)證驗(yàn)證時(shí),則需要配置NSG的身份驗(yàn)證功能,添加相應(yīng)的賬戶以及策略配置。根據(jù)拓?fù)渑渲肗SG的身份驗(yàn)證策略,對LAN。的用戶進(jìn)行訪問公網(wǎng)InternetWAN區(qū)域InternetWAN區(qū)域身份驗(yàn)證配置步驟如下:

(1)創(chuàng)建身份賬戶:進(jìn)入"身份驗(yàn)證"一"用戶"頁面,選擇“用戶"頁面,點(diǎn)擊“添加"按鈕:1凰用,r1凰用,r函日?!鯥I時(shí)■■■■厄鈍甲H冊 1潢圖saa 1J?1巾兩洞 ■?國州整 ■?1球 '?班L叩HB|ssl?LZ1F**事?,日FFTF"*事?:?,日曲越相:均同-*f『;◎回Li確 1Ci-MJ哈澧冠?*號(hào)用心等同用.fnmisKi^E'創(chuàng)建用戶"張三”的身份賬戶,根據(jù)實(shí)際需求,配置該賬戶的相應(yīng)策略。(2)配置防燦規(guī)則:進(jìn)入“防火墻"一"規(guī)則"頁面,創(chuàng)建或修改已有的LAN-WAN區(qū)域的安全規(guī)則:在規(guī)則中選擇"啟用身份驗(yàn)證”,并選擇驗(yàn)證類型為用戶的“ANY",如下圖:該規(guī)則配置完成后,請?jiān)谠撋矸蒡?yàn)證規(guī)則前,添加一條無身份驗(yàn)證的,且服務(wù)為“DNS”的防火墻規(guī)則以保證內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)網(wǎng)站時(shí)可正確的解析彈出Web身份驗(yàn)證頁面,如下圖:LAH.WAM(40a曲回D.DDBD.ODB-13也解1煬%腕主u佃阿雷帝順日000B一2FI±HMNL港?U^rT陪旅fii的二根的共I1湎融曲強(qiáng)調(diào)門45.19KBB7.D3KQLJ1FIJU遍眈即『Trafflc,HVzft17V34.MB431.B1HB4前通過以上配置,當(dāng)用戶訪問互聯(lián)網(wǎng)網(wǎng)站時(shí),將會(huì)自動(dòng)跳轉(zhuǎn)至NSG的Web身份驗(yàn)證頁面,如下圖:網(wǎng)神 n神SKiGalaWSOONSG安名網(wǎng)關(guān)身份魄證皮肉%1掰陋近it嗎MQHK省甄美姐四日財(cái),網(wǎng)tJt;三三三五士:工.:.一二三于二;:二已為了魚的賬戶友全,清算受常更換線戶密碼!■注釋:關(guān)于如何自定義NSG的Web身份驗(yàn)證頁面>進(jìn)入"系統(tǒng)"一"設(shè)置”頁面,選擇"驗(yàn)證網(wǎng)頁"頁面,即可自定義Web身份驗(yàn)證頁面信息,如下圖:

網(wǎng)神'SEC*ORLOHS££KJ?¥舞器FFFFFFVSirtBSow歐■”串£l*F■網(wǎng)神'SEC*ORLOHS££KJ?¥舞器FFFFFFVSirtBSow歐■”串£l*F■iS書■■Rtft晶m向身胖正陶質(zhì)大館用VPN王泊|養(yǎng)a斤a粕n■盧m君斥熱■注釋:身份驗(yàn)證用戶如何自助查看賬戶使用情況>進(jìn)入Web身份驗(yàn)證頁面,點(diǎn)擊"登錄"按鈕旁的查看賬戶信息提示,如下圖:進(jìn)入身份驗(yàn)證用戶自助管理登錄頁面,如下圖:輸入用戶名與密碼,即可進(jìn)入賬戶信息頁面,如下圖:鼻尸M島WEteMAfiWrHram:.rapRffi冏萱**=胃■眄件兩1哥鼻尸M島WEteMAfiWrHram:.rapRffi冏萱**=胃■眄件兩1哥ng學(xué)上玉ClBiMBIN001.S1MB*E怕i■他閑軍uKn-29i2■。如fl T徉l(xiāng)lMUF?Rl!矚i慘in蟠1T2iq怵IT叱陶?的WHwpdHarsg.igoi117]他B12W5!DIEKEiT2ifliaV筵i工閑wiaNar23,i?Sd曲他曲泣5咱1酒聞hBMH期!惶祗翔Ntruda-fl.i?Wl:ri.2O.i3Bll/版IBdONEi173141i5.1THern.Mil13-14:WNinNs翟JM"CCM我in7sa屈1.aEND174皿1T21A141T3itbwmi2ENaiDallas£0:IDil5i的除配1鄒陽1&IKH1T21fl15.1TSSLBa-lllMI%g!照1a1T[0:15:13rwiihbZfflZSKB|叫胎田-IT2141S.1TU.NaiD4151a4Hildasrsre-ikbZ2a^KBITTB&I-EI如何配置無客戶端身份驗(yàn)證(基于IP的驗(yàn)證)配置步驟:(1)創(chuàng)建身份驗(yàn)證用戶在身份驗(yàn)證---用戶,選擇無客戶端用戶,點(diǎn)擊添加范圍:用戶I丸客戶1用戶輸入需要驗(yàn)證的IP地址范圍(2)創(chuàng)建防火墻規(guī)則進(jìn)入“防火墻"T"規(guī)則"頁面,創(chuàng)建或修改已有的LAN-WAN區(qū)域的安全規(guī)則:在規(guī)則中選擇"啟用身份驗(yàn)證”,并選擇驗(yàn)證類型為用戶的“ANY",如下圖:通過以上配置就可以實(shí)現(xiàn)無客戶端的身份驗(yàn)證八、VPN功能IPSECVPN配置遠(yuǎn)程訪問vpn配置步驟:(1)添加vpn策略Vpn策略是指在vpn建立過程中用來協(xié)商建立安全連接的各項(xiàng)加密驗(yàn)證參數(shù),我們可以選擇設(shè)備上面定義好的,也可以自定義,選擇添加,如下圖根據(jù)實(shí)際情況填入相關(guān)參數(shù),與客戶端相關(guān)參數(shù)匹配就可以需要注意的:驗(yàn)證模式選擇積極模式,因?yàn)檫h(yuǎn)程訪問的vpn,客戶端基本上沒有固定的公網(wǎng)地址,或者都是位于局域網(wǎng)內(nèi)部(2)建立IPSECvpn隧道

點(diǎn)擊IPSEC進(jìn)入配置頁面,點(diǎn)擊添加,如下圖,連接類型:選擇遠(yuǎn)程訪問/策略:選擇我們在添加策略中定義好的策略/Vpn重新啟動(dòng)動(dòng)作:選擇僅響應(yīng),認(rèn)證類型:選擇預(yù)共享密鑰,填入共享的密鑰/本機(jī)WAN接口:選擇要建立VPN的公網(wǎng)接口,本地端子網(wǎng)地址:選擇要讓遠(yuǎn)程客戶端訪問的地址,可以是一個(gè)子網(wǎng),也可以是一臺(tái)主機(jī),本地ID:遠(yuǎn)程訪問類型的VPN,在客戶端沒有固定IP地址的情況下,需要ID來做設(shè)備的驗(yàn)證,所以必須配置,我們選擇DNS就可以/遠(yuǎn)程主機(jī)IP:*代表所有IP,因?yàn)榭蛻舳说刂肥俏粗?允許NAT穿透:如果設(shè)備是直接連接公網(wǎng)可以不勾選/遠(yuǎn)程子網(wǎng):添加客戶端的IP子網(wǎng)或者主機(jī)地址/遠(yuǎn)程ID:選擇DNS,添加客戶端的ID

用戶驗(yàn)證以及快速選擇模式不做配置⑶放行防火墻規(guī)則源域選擇VPN目標(biāo)域選擇LAN子網(wǎng)/主機(jī):為了安全這里我們指定具體的IP子網(wǎng)或者主機(jī)動(dòng)作:選擇允許站點(diǎn)到站點(diǎn)vpn配置步驟:(1)添加VPN策略方法同上需要說明的是在站點(diǎn)到站點(diǎn)的VPN連接中,兩端都有固定IP地址,驗(yàn)證模式我們可以選擇主模式也可以選擇積極模式,主模式更安全,積極模式協(xié)商速度要比主模式更快(2)建立IPSECVPN通道

建立方法與遠(yuǎn)程訪問的基本相同,下面指出一些不同的地址,連接類型:選擇站點(diǎn)對站點(diǎn),本地端ID和遠(yuǎn)端ID:在站點(diǎn)到站點(diǎn)的VPN中,如果兩端都是固定的公網(wǎng)IP這里的配置不是必須的/遠(yuǎn)程VPN服務(wù)器:填寫遠(yuǎn)端VPN設(shè)備的公網(wǎng)IP地址(3)放行防火墻規(guī)則我們需要放行兩條防火墻規(guī)則,第一條是源域是VPN目的域是LAN第二條是源域是LAN目的域是VPN

主機(jī)對主機(jī)這種模式也就是VPN中的傳輸模式,使用很少這里不做介紹SSLVPN配置配置步驟:(1)SSLVPN通道訪問配置,如下圖:3SU照11?碑a(chǎn)用尸證書融值㈡航1書.?嚴(yán)凝回孑網(wǎng)推嗎.主口―JA.ONSiwiNa推LWIMG斷試殷奧T*uopetcp通uutipiy梅也里那州拿M中總nceCgnrng境 ?|,加的證書訃司證南在這才齒1!!這JSJS凝4證書4證書部可證13^pkjriCQ[:4rtri[alQ ,103gl-”源加5?,?1];了.?二印「川」:jrr1HJ口俎r(nóng):十E”生汨7便叫1,24CZW2&S2510)Qa開U特壟西目鼻-Si 甘討》非叩j中電連靠, 30。 秒100-1800。1膽捌■* 15 其沖(15-60?鑿士蠟播推- 250 [1-G553E:!■需要注意的:SSL服務(wù)端證書與客戶端證書選擇設(shè)備集成的證書(2)添加SSLVPN策略

給用戶下發(fā)具體的訪問配置策略,指定用戶可以訪問的資源,配置如下圖:/名稱:自定義策略名稱,訪問模式:可選的有三種模式,隧道模式需要在下載一個(gè)客戶端給用戶,建立虛擬的隧道到服務(wù)器端,可以訪問服務(wù)器端連接的內(nèi)網(wǎng)IP地址段,沒有應(yīng)用方面的限,網(wǎng)頁訪問:主要針對B/S架構(gòu)的軟件應(yīng)用程序,可以直接發(fā)布,用戶直接點(diǎn)擊連接訪問,應(yīng)用程序訪問模式:主要針對一些C/S架構(gòu)的,不能通過HTTP來訪問的應(yīng)用程序/通道類型:選擇分割通道,如果選擇完全通道,用戶的上網(wǎng)流量也經(jīng)過SSLVPN進(jìn)行加密轉(zhuǎn)發(fā),增加了設(shè)備的負(fù)擔(dān),可用資源:我們可以直接選擇內(nèi)網(wǎng)端口

網(wǎng)頁訪問設(shè)置以及應(yīng)用程序訪問設(shè)置,我們需要先到書簽中定義相關(guān)的可以訪問項(xiàng)目,然后在到策略中指定。打開書簽,如下圖:錦耐錦耐類型流地址*例如:httpHmydomain,或例如:httpHmydomain,或http:陰92.傷口11303口描述確定取消根據(jù)實(shí)際要發(fā)布的資源定義相關(guān)書簽,如:名稱:CA類型:HTTP地址:HTTP:〃內(nèi)網(wǎng)CA服務(wù)器地址點(diǎn)擊確定(3)建立SSLVPN用戶選擇身份驗(yàn)證----用戶,打開如下頁面

用戶的,第J也用■:1=1+!!-'I:.印一「爐三k用郵限F-▼OpenGroupU-:用戶的,第J也用■:1=1+!!-'I:.印一「爐三k用郵限F-▼OpenGroupU-::JL用忙三二上.注,■1:-='款更Mi翳曾理ssLVFrjn|MOWAl -同。W郵LHiTiiLedInternetAccess向1clMsd&IIttietiEm工一六I用苗潞應(yīng)用12TpbPPTP'^11中公::|=4J刪F3、用°午.另可ll弗但ir,13 tl-931填寫用戶相關(guān)信息需要注意的:組選擇OPENGROUPSSLVPN選擇上面新建的策略,點(diǎn)擊確定建立完成(4)放行防火墻規(guī)則源域選擇VPN目的域選擇LAN我們可以通過HTTPS://IP:8443來訪問測試九、網(wǎng)頁過濾針對內(nèi)網(wǎng)用戶上網(wǎng)行為做出限制,限制用戶可以訪問的網(wǎng)頁類型

配置步驟:(1)設(shè)置類別選擇網(wǎng)頁過濾----類別,打開如下界面:rrT策融崖1^11□1Imun自較NciniTDitanq■也U“1LYEtfTunk郭猛Neutral嘖U匆猛NoniYDikng%U密猛UnHcjBif,■如猛Honinnoiitlry*U?o!::hijLmnifr,;b:!ri:ijWNHonWrtryI■W.猛n^nWitrysU4rfS^nJ~l必“即認(rèn)HonTitifting、id如JHonYYtiitirq*U蛆型EE時(shí)t則認(rèn)HQnWprtdngu口局5Hhk而口怖標(biāo)國、uUuE』riT”Arid£EME*HhJkNeuiral、kJCMlWik阿n怖diiguWikNeutraiuWikNtilrai*H|二:仙味麗工師WJikNeiiraJ、uUikNoniYDrtrq」1g苞兜uHun他而制%只有購買了單獨(dú)的許可,設(shè)備中的內(nèi)置的網(wǎng)頁分類庫才可以正常使用如果功能模塊未被激活,只可通過域名和關(guān)鍵字來實(shí)現(xiàn)網(wǎng)頁的過濾,需要自定義網(wǎng)頁分類,如下:添加網(wǎng)更類別美祿亍反共逑亨'在白漆加關(guān)鍵享美祿亍反共逑亨'在白漆加關(guān)鍵享輛入紐卜酒或關(guān)建寧m]舟十多隊(duì)壬健號(hào)二可.吉用也三幅F選擇網(wǎng)頁的分類

填寫要過濾的域名或者關(guān)鍵字,點(diǎn)擊確定添加完成(2)新建過濾策略選擇網(wǎng)頁過濾---策略,打開如下界面:創(chuàng)口 口融詁宣而五!031111p國俄[T* T?玨U”訐開日Alowallntarnc<:AocK=%i_l咨魁桿向RdlciftirChldun?!IrriamtlPnjtedwn?\d:U口的■>即庭開口口臂上所以出宜Me餐ig??Eiwha」iEan打目gi咐開池Dmif>川CiuijridMidi、而jj□wifAllglErtgi涉桿日口 油i、向Li[Jn川iwe::日 匚hu丸訐阡肩口fMW曲BBMdChtf:、?LI口etHTIFimd煬開向□erii,HTTPUpla3ri、而uG構(gòu)電?部值“gi&OiPff開dTHEHr兩黨的/他同防加CO?舊MBS而jjHoFoin口ft?開蛆PcmaAlrn>aTim、而11M。Ram口Ejarne〉Md、由涉釬日NoFamoEjniEi-andAdsLI11MRje口NqMs嫡開■NpRomoHq*ri鼻*向U£i]*開廣S而IVW B貞代工勃■2。S0!2]IIoil)叵叵I設(shè)備上面有內(nèi)置的策略,可用直接被防火墻規(guī)則引用,也可以自己定義新的策略,我們選擇添加新策略*地話也口用號(hào)完下?件十療樂tr"日?&io*地話也口用號(hào)完下?件十療樂tr"日?&io表示稱到:川西miHEHTTPS,策略名稱:自定義,選擇模板:ALLOWALL/啟用報(bào)表:勾選目前并沒有完成策略的新建我們需要選擇上面添加的策略點(diǎn)擊編輯,進(jìn)到如下界面:

點(diǎn)擊添加:選擇網(wǎng)頁類別,選擇要過濾的網(wǎng)頁類別,指定HTTP和HTTPS的訪問動(dòng)作,我們選擇拒絕,點(diǎn)擊添加完成(3)在防火墻規(guī)則中引用在上面我們完成了類別的添加和策略的新建,但是配置并沒有生效,我們需要在防火墻規(guī)則中引用新建的策略,打開防火墻---規(guī)則,選擇LAN—WAN的防火墻規(guī)則:選擇高級設(shè)置:在網(wǎng)頁過濾中將新建的策略引用,同時(shí)將記錄防火墻流量開啟的勾選,點(diǎn)擊確定完成十、應(yīng)用程序過濾限制內(nèi)網(wǎng)用戶P2P軟件,游戲,等非工作軟件的使用應(yīng)用程序過功能模塊需要單獨(dú)購買許可才可用正常使用其中的類別項(xiàng)列出了設(shè)備集成的應(yīng)用程序特征庫,特征庫無法編輯添加,只能連接互聯(lián)網(wǎng)自動(dòng)更新,建議用戶保持特征庫的更新,來提高應(yīng)用程序識(shí)別的準(zhǔn)確性配置步驟:(1)新建過濾策略選擇應(yīng)用程序過濾---策略,點(diǎn)擊添加:

填入策略名稱,點(diǎn)擊確定,然后編輯新添加的策略:點(diǎn)擊添加:選擇要過濾的應(yīng)用程序類別,動(dòng)作選擇拒絕,點(diǎn)擊確定完成(2)在防火墻規(guī)則中引用選擇防火墻---規(guī)則,選擇LAN----WAN規(guī)則:選擇高級設(shè)置:選擇高級設(shè)置:黃全畝用虐百否1元 Jj?耳干應(yīng)用超胃后同管的總問時(shí)課一.tIO」■干雨過的;ee■環(huán)闿■田羊峪一.竄1確道河心」科E椅6正陽件F布UJTE□SfiTTFDP0F3_jin^uftfDhttfuhttps史都^u■, 回開a行貪情史都^u■, 回開a在應(yīng)用層過濾中選擇上面添加的策略,點(diǎn)擊確定,配置完成卜一、防病毒對流經(jīng)UTM的流量進(jìn)行防病毒掃描過濾防病毒功能模塊需要單獨(dú)購買許可才可以正常使用病毒庫需要連接互聯(lián)網(wǎng)進(jìn)行升級和更新配置步驟:(1)開啟UTM防病毒掃描功能打開防火墻---規(guī)則,選擇LAN---WAN策略,如果有開啟WAN---LAN策略,有必要也可以開啟相關(guān)選項(xiàng)選擇高級設(shè)置:在防病毒&垃圾郵件掃描中,將要掃描過濾的協(xié)議勾選,建議在使用之初HTTPS掃描不要開啟,以免造成訪問一些HTTPS加密的站點(diǎn)訪問異常(2)對掃描的協(xié)議相關(guān)項(xiàng)進(jìn)行配置選擇防病毒----郵件,打開郵件相關(guān)協(xié)議的配置選項(xiàng)建舌]SMTP力強(qiáng)據(jù)則IPO國*AP掃葡應(yīng)明]地址組SWP信件大小超過,3MT制運(yùn)入「后[4汽POPSWP信件大小超過,3MT制運(yùn)入「后[4汽POP閨網(wǎng)后刮:大,卡W憶注C千M1出I 三彳三M三定箱;、口11升一刈1大,?即力1Q2JOKBLP,三己其':當(dāng)「「后生電『由M應(yīng)用選擇設(shè)置,設(shè)置掃描SMTP郵件的大小,可根據(jù)實(shí)際情況設(shè)置SMTP超過大小信件的動(dòng)作選擇允許POP3/IMAP信件大小超過按默認(rèn)值設(shè)置

設(shè)置SMTP掃描規(guī)則:程置ISMTPla^jlPK|PQPMAR掃UtM]珈]呻fcJT:--SMTP■:■?.:.?一 |ll\111'-.0:, SMTP門施 匣「.尸曲?.阻?IM--■-二三二『■曲?.阻?IM--■-二三二『■件人動(dòng)作?知宵理員■,■idMnewAudoFHE9ExBcutatiiHFile?DpTiiamicFl后s77^Te; ?II:'t= R疑世受感親■fl:T.-i^i- LJ:-:'e F]受保中的昭件,開肉* LJ:-:'e F]選擇添加,自定義規(guī)則名稱掃描選擇開啟對病毒郵件的處理動(dòng)作,可以選擇復(fù)制到隔離區(qū)或者通知發(fā)件人阻擋附件文件類型,可以對郵件傳輸?shù)母郊鼍唧w的過濾動(dòng)作設(shè)置POP/IMAP掃描規(guī)則:謾置 SMTP掃強(qiáng)稅則 POPIMAP掃掘配通I地址組PDP3JIMAP協(xié)議只有單一規(guī)則當(dāng)檢測到由口件被病毒感染時(shí).受感染的附件會(huì)被刪除.同時(shí)將郵件內(nèi)容替換為警告信息設(shè)置地址組:PTEI師R0U8HUFS5aPTEI師R0U8HUFS5adLME'B毛早由。Nnif-RBLiFsImjlarrrjarem㈤He建議保持默認(rèn)設(shè)置,針對郵件相關(guān)協(xié)議的配置完成選擇HTTP/S進(jìn)行相關(guān)設(shè)置:iEIHnPtiOiJKIHTT”目一於wTiftunpass軻陶it e?m*'iLtiSF3fix件大小上Ri守 1G24 KBF3H町中riJffe■"Sifl由恒的豐知為調(diào)曲元訐羯證書5?掃描模式選擇實(shí)時(shí)掃描文件大小上限值可以自定義掃描音頻及圖像可以根據(jù)實(shí)際設(shè)備使用情況選擇開啟或者關(guān)閉HTTPS設(shè)置,建議將拒絕未知協(xié)議勾去掉,允許非法證書的勾開啟設(shè)置HTTP掃描規(guī)則:編輯HTTP掃描費(fèi)則 x動(dòng)作" *掃描<'不掃描[J取消如果沒有特殊需求,使用默認(rèn)規(guī)則即可設(shè)置HTTPS掃描列外:

可以根據(jù)實(shí)際添加不進(jìn)行掃描的網(wǎng)頁類別選擇FTP協(xié)議進(jìn)行相關(guān)設(shè)置:可根據(jù)實(shí)際使用調(diào)整掃描的值十二、入侵防御針對流經(jīng)UTM的流量進(jìn)行入侵防御檢測,對有威脅的流量進(jìn)行阻斷入侵防御功能模塊需要購買單獨(dú)的許可才可以正常使用,設(shè)備集成了豐富的特征庫,同時(shí)也可以自定義特征配置步驟:(1)配置入侵防御策略:

QKK■1T?Ft□diizaHc1,ACGfioidpafeo'lDscanbaflcluMnoIoEfJIZ4面LJ AGsnprSPdlCT ±?LJ儂3崛口例目卻1白??凇癷niliktA eh瞄harLAJ-4toW明Traffic.AMilpeghii3』k-W^4Trifle.R而設(shè)備已存在幾條默認(rèn)的策略,可以在防火墻直接引用,同時(shí)可以點(diǎn)擊添加來新增策略:填入策略名稱,選擇需要檢測的行為特征,點(diǎn)擊確定完成可以針對檢測的威脅,做具體的動(dòng)作,編輯上面新建的策略,選擇要設(shè)置的行為特征:?nmp開自甘證利ID甘征叼總稱建議動(dòng)價(jià)動(dòng)作11-最署Si今動(dòng)生-選隹睡里d允許數(shù)據(jù)包允許數(shù)據(jù)包V.1409SNLIPcdmrrunitvstringbuffe?nmp開自甘證利ID甘征叼總稱建議動(dòng)價(jià)動(dòng)作11-最署Si今動(dòng)生-選隹睡里d允許數(shù)據(jù)包允許數(shù)據(jù)包V.1409SNLIPcdmrrunitvstringbufferoverfowattemptHl1SMl.lFpublicaccessudpuS0H兇141BSNMPbroa±ssttrap允在勃據(jù)包允在勃據(jù)包①SMI.1Frequest岫寸訐我把包寸訐我把包▼I完訐數(shù)據(jù)笆liigsnmfirapudpV.H1BSNblHrequBsttcp兇 1^12 SNblF publicaccesstcpM U11 SNI.'IP privateaccessddftb£l -"i SNi..lP privateaccesstcpi*i U15 SMI.'IP Broadcastrequest九i'l頹型包 々i'l頹型包汨序案包 汨序案包汨鐲曲包 汨鐲曲包弁許勤指包 121回1422SHMPcommunit),stringbufferWBrflcj喇a(chǎn)ttemphvithevasion允許例據(jù)包允許勉據(jù)包T匣I142BSbIMFPROTOStest-suite-req-appattempl允許數(shù)據(jù)包允許數(shù)據(jù)包▼1也1427SNblFPROTOStest-suite-trap-appattempt允許數(shù)據(jù)包允許數(shù)據(jù)包T汨鐲曲過1421SMl.'lP加entX也.口requesi允許數(shù)據(jù)包1892SMl.lPnullcorrmunilvslrngattempt匣]1420SNI.'IP1rap1qo元汴數(shù)據(jù)包允許獨(dú)據(jù)包元汴數(shù)據(jù)包允許獨(dú)據(jù)包丸訃再據(jù)包臉型消選擇具體的動(dòng)作,點(diǎn)擊確定,策略配置完成(2)配置防火墻規(guī)則選擇防火墻---規(guī)則:JN!H£B:找西瞭.舞本設(shè)置季日斥ElSfLAN~~13疝時(shí)」卜1同卸弼證1-于網(wǎng)「立機(jī)"If晌—事1JE西,任何T|計(jì)端杷網(wǎng)11電Hm電女.石舌克IE第“應(yīng)用r■3丁卡軍IUASCIT|選擇高級設(shè)置:

康至*RL帚霹值遍.施唱要由3記染1 工安全性珅通布如m。連e由方員已一1無TU王塔山同羯(-1ff.■舊?在彳卡門關(guān)E司運(yùn)悴I無H…EUTFLJ ?!笷TP-HTTP.HTTPB在用匕工£閏用過E人事加另閑淺阻而用國由包*在用匕工£閏用過E人事加另閑淺阻而用國由包*3代場修件掃假十三、帶寬管理針對具體應(yīng)用協(xié)議做帶寬管理,限制P2P或者非工作類應(yīng)用的帶寬使用配置步驟:(1)新建帶寬策略U□UU例靠號(hào)晝冕事事方電IKBK■小U□UU例靠號(hào)晝冕事事方電IKBK■小松大卜上民二fIK9H■小量大卜1:白1卜0:P口匕片區(qū)■干用布住?小伯%苗1£BktCJllH■:FM口舊■干用RM的*4HE*力短曲皿1|出pmc。?手用刊物*am、用1281|齷蛇1|限PgiTF%總Hffll'A'IBUjMB.H&S313日kEB^i。*:Pci|pF/E■干向陽0晌14J1白■證IJiBEMIIn■:F口舊FGC卻巾一嶗173Rd3tleIF?千用戶的位卓2S、可iGkjikfta5M口父F\*星干詡火出蛔加*巾聲HmIIN■:FMg,■干用的*1&32*由PngE*于用刊物*聰a、心25MBailrfcPggC里干用尸的小量睇*司石自gailo:f小4■干向陽0晌1,32■5"tMlln■:FM口FIB■fffi比liWfflanz「maFWC?干(甘川白河加、可望KH|KRMm口E星干用尸的性寫卻*證芟niKR—tidEFE叩*山"行!!工#<:3]國畫三ICVH|T■.叵設(shè)備內(nèi)置了一部分帶寬策略可以直接引用來做帶寬管理,我們也可以添加適合自己的帶寬策略,選擇添加:

II審《于Q而戶燈附火電蛔E同m亮則二應(yīng)用出厚用?關(guān)U 。IG劃-己Mk式 -:總爾上傳4T制?AiLLftTtt:i“強(qiáng)*西袱那 三白E!何K熱? |喏于2HR3EKEja而便用軍M2J ?過三二共拿揖過I*)|?MJ/名稱:自定義, 策略基于:選擇應(yīng)用程序, 策略類型:選擇限制,限制帶寬是指應(yīng)用協(xié)議所占用帶寬,不管網(wǎng)絡(luò)是

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論