USG功的能配置讲解-V4.0.pptVIP

USG功能培训讲解 初始化配置及源NAT目的NAT配置 透明模式和混合模式配置 DNS代理和DDNS设置 IP QoS限速、应用QoS限速及会话限制 URL过滤、行为控制(QQ MSN)及网页关键字过滤 IPSEC SSL VPN介绍 防病毒功能设置 攻击防护及IPS防御设置 统计集功能设置及日志报表查看 初始化配置 SNAT配置 1、配置接口地址 2、配置路由 SNAT配置-Expanded port pool 如何配置？ 命令行下输入命令expanded-port-pool重启设备即可生效 如何查看会话和NAT资料占用情况 DCFW-1800# show session generic max 1000000, alloced 10, free 999990 DCFW-1800# show snat resource TCP ports:0% (0 of 228096) UDP ports:0% (0 of 228096) DNAT配置 透明模式 1、定义接口到二层安全域 2、定义Vswitch接口 混合模式 要求：服务器直接配置公网地址，内网用户配置私网地址NAT访问外网 DNS代理设置 说明：DNS代理指客户端PC配置DNS地址为防火墙内网口 地址便可以做域名解析功能 配置步骤： 一、网络/DNS/代理中使用系统自带或手工定义DNS地址 DNS代理设置 二、在网络/接口中启用DNS代理，在接口高级配置中 DDNS设置 在网络/DNS中为防火墙配置可用的DNS 在网络/DDNS服务中配置服务器类型、用户名和密码 在网络/DDNS选择DDNS名称、接口及配置动态域名 路由设置 目前静态路由支持目的路由、ISP路由、源路由、源接口路由、策略路由 路由优先级顺序为策略路由源接口路由源路由目的路由，ISP路由系统自带只有电信China-telecom和网通China-netcom，对于教育网段可以将教育网ISP路由手工导入，教育网ISP见FTP 说明：源路由和源接口路由可以根据源地址来选路 策略路由可以根据源、目的和服务项选择网关 IP-QOS限速设置 1、在QoS/IP QoS中创建规则 每ip限制512k 2、在QoS/IP QoS中创建规则 每ip限制512k，带宽占用 率低时最高每ip可达1M 3、在QoS/IP QoS中创建规则 每ip限制512k，然后启用 细粒度控制，限制每ip-P2P控制到200K 在QoS/IP QoS细粒度控制中针对P2P下载应用限制每 ip最大带宽200K 应用QOS限速设置 1、在QoS/应用QoS中限制P2P下载流量到512K IP会话限制 在防火墙/会话限制中 可以针对ip地址和服务在指定时间段内实现会话条数限制 URL过滤及日志记录 1、在上网行为库中自定义URL库 2、在上网行为策略中创建一条策略 3、用户测试及查看日志 行为控制（QQ、MSN） 1、首先在对象中创建一个时间表 2、启用上网行为功能必须要开启全局策略 行为控制（QQ、MSN） 行为控制（QQ、MSN） 6、在防火墙策略中禁用QQ 网页关键字过滤 VPN-IPSEC VPN-SSL 防病毒设置 启用安全域攻击防护功能 IPS防御 统计集的设置及查看 在监控统计集中可以启动针对接口带宽、内网IP的上下行流量及内网ip的会话设置 日志报表信息查看 在日志报表中可以查看设备事件日志、告警日志、安全日志、IPS日志等日志，某些日志信息需要手工启用 Eth7:/24 Zone:untrust Internet 内网网段：/24 SSL VPN隧道 Eth6:/24 Zone:trust 需求描述： 外网用户通过Internet使用SSL VPN接入内网 允许SSL VPN用户接入后访问内网资源 1.病毒特征库在线更新及启用防病毒配置 2.在防病毒/配置中创建一个profile列表，设置文件及协议类型 3.绑定安全域-将防病毒profile绑定在外网安全域上 4.使用填充魔术数测试效果-防病病毒网页内容被修改填充 5.使用重置链接测试效果-防病病毒网页无法显示 开启针对某安全域的攻击防护功能后，当某种攻击数据包达到设定的阀值后将丢弃并记录到日志中 1、在IPS中创建一个IPS profile，选择协议类型 2、在外网所属安全域绑定ips profile，并