usg功能配置讲解-v40.ppt

VPN-IPSEC Eth0/0:1/24 Zone:trust Eth0/1:21/2 9 Zone:untrust Internet 网络拓扑 Network:/24 FW-A FW-B Eth0/1:78/29 Zone:untrust Network:/24 Eth0/0:1/2 4 Zone:trust IPSec VPN Tunnel 要求在 FW-A 与 FW-B 之间创建 IPSec VPN ，使两端的 保护子网能通过 VPN 隧道互相访问。 VPN-SSL Eth7:/24 Zone:untrust Internet 内网网段： /24 SSL VPN 隧道 Eth6:/24 Zone:trust 需求描述： 外网用户通过 Internet 使用 SSL VPN 接入内网 允许 SSL VPN 用户接入后访问内网资源 防病毒设置 ? 1. 病毒特征库在线更新及启用防病毒配置 ? 2. 在防病毒 / 配置中创建一个 profile 列表，设置文件及协议类型 USG 功能配置说明 神州数码网络 USG 功能培训讲解 ? 初始化配置及源 NAT 目的 NAT 配置 ? 透明模式和混合模式配置 ? DNS 代理和 DDNS 设置 ? IP QoS 限速、应用 QoS 限速及会话限制 ? URL 过滤、行为控制 (QQ MSN) 及网页关键字过滤 ? IPSEC SSL VPN 介绍 ? 防病毒功能设置 ? 攻击防护及 IPS 防御设置 ? 统计集功能设置及日志报表查看 初始化配置 ? 缺省出厂时防火墙 Eth0/0 接口 IP 为 /24 ? 可将管理主机 IP 配置为 /24 网段 IP 与防火墙 eth0/0 接口相连，通过 WEB 登陆防火墙管理界面 ? 在浏览器地址栏中输入以下两种 URL 均可 ? ? --- 经过 SSL 加密推荐使用 缺省登陆 用户名： admin 密 码： admin SNAT 配置 ? 1 、配置接口地址 ? 2 、配置路由 ? 3 、配置安全策略 ? 4 、配置 NAT 策略 SNAT 配置 -Expanded port pool ? 如何配置？ 命令行下输入命令 expanded-port-pool 重启设备即可生效 ? 如何查看会话和 NAT 资料占用情况 DCFW-1800# show session generic max 1000000, alloced 10, free 999990 DCFW-1800# show snat resource TCP ports:0% (0 of 228096) UDP ports:0% (0 of 228096) DNAT 配置 ? 1 、设置地址簿和服务簿 注意：设置地址簿对于单个地址建议使用 ip 成员，注意掩码 32 注意：设置服务簿时一般情况我们需要定义的是目的端口 ? 2 、设置目的 NAT ? 3 、设置防火墙策略 透明模式 ? 1 、定义接口到二层安全域 ? 2 、定义 Vswitch 接口 ? 3 、定义策略域之前的防火墙策略 说明： Vswitch 接口即为桥组接口，处于透明模式的 接口共同拥有 Vswitch 的地址 混合模式 要求：服务器直接配置公网地址，内网用户配置私网地址 NAT 访问外网 内网网段 : /24 网段 B:19-221 网络拓扑 Eth1 Zone:l2-utrust Eth2 Zone:l2-dmz Vswitch: 18/24 外网接口和连接服务器接口都设置成二层安全域，将外网 地址配置在 Vswitch 接口上，内网口设置成三层安全域， 其他设置略 DNS 代理设置 说明： DNS 代理指客户端 PC 配置 DNS 地址为防火墙内网口 地址便可以做域名解析功能 ? 配置步骤： 一、网络 /DNS/ 代理中使用系统自带或手工定义 DNS 地址 DNS 代理设置 二、在网络 / 接口中启用 DNS 代理，在接口高级配置中