USG功能配置讲解模板.ppt

VPN-SSL Eth7:/24 Zone:untrust Internet 内网网段：/24 SSL VPN隧道 Eth6:/24 Zone:trust 需求描述： 外网用户通过Internet使用SSL VPN接入内网 允许SSL VPN用户接入后访问内网资源 防病毒设置 1.病毒特征库在线更新及启用防病毒配置 2.在防病毒/配置中创建一个profile列表，设置文件及协议类型 3.绑定安全域-将防病毒profile绑定在外网安全域上 4.使用填充魔术数测试效果-防病病毒网页内容被修改填充 5.使用重置链接测试效果-防病病毒网页无法显示 启用安全域攻击防护功能 开启针对某安全域的攻击防护功能后，当某种攻击数据包达到设定的阀值后将丢弃并记录到日志中 IPS防御 1、在IPS中创建一个IPS profile，选择协议类型 2、在外网所属安全域绑定ips profile，并选择攻击方向 3、IPS特征库更新及开启IPS全局配置 4、IPS特征库更新及开启IPS全局配置 5、点击IPS日志中的编号可以查看此种攻击的编号和解决方案 统计集的设置及查看 在监控统计集中可以启动针对接口带宽、内网IP的上下行流量及内网ip的会话设置 日志报表信息查看 在日志报表中可以查看设备事件日志、告警日志、安全日志、IPS日志等日志，某些日志信息需要手工启用 END 神州数码网络 2008-7-17 神州数码网络 * 神州数码网络 USG功能配置说明 USG功能培训讲解 初始化配置及源NAT目的NAT配置 透明模式和混合模式配置 DNS代理和DDNS设置 IP QoS限速、应用QoS限速及会话限制 URL过滤、行为控制(QQ MSN)及网页关键字过滤 IPSEC SSL VPN介绍 防病毒功能设置 攻击防护及IPS防御设置 统计集功能设置及日志报表查看 初始化配置 缺省出厂时防火墙Eth0/0接口IP为/24 可将管理主机IP配置为/24网段IP与防火墙eth0/0接口相连，通过WEB登陆防火墙管理界面 在浏览器地址栏中输入以下两种URL均可 --- 经过SSL加密推荐使用 缺省登陆 用户名：admin 密 码：admin SNAT配置 1、配置接口地址 2、配置路由 3、配置安全策略 4、配置NAT策略 SNAT配置-Expanded port pool 如何配置？ 命令行下输入命令expanded-port-pool重启设备即可生效 如何查看会话和NAT资料占用情况 DCFW-1800# show session generic max 1000000, alloced 10, free 999990 DCFW-1800# show snat resource TCP ports:0% (0 of 228096) UDP ports:0% (0 of 228096) DNAT配置 1、设置地址簿和服务簿 注意：设置地址簿对于单个地址建议使用ip成员，注意掩码32 注意：设置服务簿时一般情况我们需要定义的是目的端口 2、设置目的NAT 3、设置防火墙策略 透明模式 1、定义接口到二层安全域 2、定义Vswitch接口 3、定义策略域之前的防火墙策略 说明：Vswitch接口即为桥组接口，处于透明模式的接口共同拥有Vswitch的地址 混合模式 要求：服务器直接配置公网地址，内网用户配置私网地址NAT访问外网 内网网段: /24 网段B:19-221 网络拓扑 Eth1 Zone:l2-utrust Eth2 Zone:l2-dmz Vswitch: 18/24 外网接口和连接服务器接口都设置成二层安全域，将外网地址配置在Vswitch接口上，内网口设置成三层安全域，其他设置略 DNS代理设置 说明：DNS代理指客户端PC配置DNS地址为防火墙内网口 地址便可以做域名解析功能 配置步骤： 一、网络/DNS/代理中使用系统自带或手工定义DNS地址 DNS代理设置 二、在网络/接口中启用DNS代理，在接口高级配置中 DDNS设置 在网络/DNS中为防火墙配置可用的DNS 在网络/DDNS服务中配置服务器类型、用户名和密码 在网络/DDNS选择DDNS名称、接口及配置动态域名 DCFW-1800# show ddns sta ddns Ddns Name: ddns Interface Name: ethernet0/1