USG3000 V100R001 开局指导书0311B文档格式.docx
- 文档编号:20681604
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:30
- 大小:280.51KB
USG3000 V100R001 开局指导书0311B文档格式.docx
《USG3000 V100R001 开局指导书0311B文档格式.docx》由会员分享,可在线阅读,更多相关《USG3000 V100R001 开局指导书0311B文档格式.docx(30页珍藏版)》请在冰豆网上搜索。
版权所有XX
Allrightsreserved
修订记录RevisionRecords
日期Date
修订版本Revision
描述Description
作者Author
目录Catalog
1.介绍Introduction5
1.1.系统介绍InstructiontotheSystem5
1.2.组网介绍IntroductiontoNetworking6
1.3.系统结构介绍IntroductiontoSystemArchitecture7
2.业务配置ServiceConfiguration7
2.1.初始连接配置Baseconnectionconfiguration7
2.1.1.通过Console口搭建7
2.1.2.通过Telnet方式搭建10
2.2.数据配置规范及实例Dataconfigurationspecificationandcases12
2.2.1.接口配置12
2.2.2.路由配置12
2.2.3.安全域配置13
2.2.4.ACL配置13
2.2.5.包过虑配置15
2.2.6.ASPF配置15
2.2.7.攻击防范配置16
2.2.8.NAT配置20
2.2.9.黑名单配置21
2.2.10.VPN配置22
2.2.11.HRP配置22
2.3.与其它设备、系统、版本的配置关系ConfigurationRelationshipwithOtherEquipment,SystemsandVersions22
3.目前还存在的问题,需要安装维护中注意的事项CurrentProblemsandMattersDeservingAttentioninInstallationandMaintenance22
4.版本组合特性与参数设置VersionCombinationFeatureAndParameterSetting22
5.扩容及改造方法ExpansionandTransformationMethod23
6.《升级指导书》主要内容:
ContentofUpgradeInstruction23
6.1.升级文件清单Upgradefileslist23
6.1.1.程序program23
6.1.2.数据库表databaselist(明确有哪些修改identifytherevisions)23
6.1.3.配置文件configurationfiles(包括修改说明includerevisiondescription)23
6.2.升级部分upgradepart23
6.2.1.升级前的准备工作preparationbeforeupgrade23
6.2.2.升级操作过程upgradeoperationprocedure23
6.2.3.升级完成后的拨测(验证)方案dialing(verification)schemeafterupgrade25
6.2.4.升级中的异常处理流程Abnormalityhandlingprocedureduringupgrade25
6.2.5.升级失败的旧版本恢复流程oldversionrestoreprocedureafterupgradingfailure26
6.2.6.升级成功后的现场清理fieldcleanupaftersuccessfulupgrade26
6.3.安装部分Installation26
6.3.1.安装前的准备工作Preparationbeforeinstallation26
6.3.2.安装步骤Installationsteps26
1安装检查installationcheck26
CustomersitesDeploymentInstructions
关键词:
Keywords:
USG3000、USG3030、综合安全网关。
摘要:
Abstract:
本开局指导书针对V100R001版本,主要介绍了USG3000综合安全网关之3030(以下简称USG3030)产品的安装操作方法,用于指导华为工程师实施开局操作。
缩略语清单:
Listofabbreviations:
Abbreviations
缩略语
Fullspelling
英文全名
Chineseexplanation
中文解释
USG
UnifiedSecurityGateway
综合安全网关
1.介绍Introduction
USG3000综合安全网关3030(以下简称USG3030)设备,主要面向中小企业和电信网,通常作用于被保护区域的入口处,基于访问控制策略提供安全防护。
例如:
当综合安全网关位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击。
1.1.系统介绍InstructiontotheSystem
USG3030为1U标准机箱,机箱上带有一个console口、及三个固定的光电任选以太网口(10/100/1000M以太网电口或1000M光口)。
USG3030提供了两个固定的电源模块,实现电源的1+1热备份,并提供交直流两种机型。
USG3030不支持电源模块/风扇/多功能接口模块热插拔。
作为新一代高速综合安全网关,USG3030为大中小型客户提供了高性价比的网络安全保障。
1.高安全性
与那些基于通用操作系统的软件防火墙相比较,USG3030采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统,报文处理和操作系统完全分开,这种无依赖性大大提高了系统安全性。
采用ASPF状态检测技术,USG3030可对连接过程和有害命令进行监测,并协同ACL完成包过滤,支持IPSecVPN加密等特性,提供包括DES、3DES、AES、SCB2等多种加密算法。
此外,USG3030还提供数十种攻击的防范能力。
所有这些都有效地保障了网络的安全。
2.高速处理能力
USG3030采用高速算法和优化的软件结构,有效保证了系统性能。
例如,ACL高速算法实现了查找数千条策略的速度和查找数条速度一样。
3.高可靠性
专门设计的防火墙软件,每一环节均考虑到对各种攻击的防御,通过优先级调度和流控等手段使得系统具备很好的强壮性。
USG3030综合安全网关支持双机状态热备,发生倒换时不会造成业务中断,支持多机分担处理,故障发生时能够自动倒换。
4.强大的业务支撑能力
USG3030综合安全网关提供集成的高速以太网接口,以及丰富的可选配的多功能广域网接口模块,不仅支持丰富的协议,如H.323、SIP、FTP(FileTransferProtocol)、SMTP(SimpleMailTransferProtocol)等,而且还支持对有害命令的检测功能。
提供基于算法的高速ACL查找、静态和动态黑名单过滤、基于代理技术的SYNFlood防御的流控等特性。
USG3030综合安全网关除了具备各种安全防范功能,提供高效的安全保障能力外,还集成了部分路由能力,如静态路由、RIP(RoutingInformationProtocol)和OSPF(OpenShortestPathFirst)动态路由,使得综合安全网关的组网应用更加灵活。
USG3030综合安全网关支持多种工作模式,包括路由、透明和混合三种模式,其中透明模式无需用户更改原来的网络配置,直接插入综合安全网关即可,方便了用户组网。
5.良好的图形化配置和管理能力
提供WEB管理界面,能轻松实现管理;
提供强大的日志和统计分析功能,在安全分析和事后追踪等方面提供了有力的帮助。
1.2.组网介绍IntroductiontoNetworking
USG3030综合安全网关能够工作在三种模式下:
路由模式、透明模式、混合模式。
如果综合安全网关以第三层对外连接(接口具有IP地址),则认为工作在路由模式下;
若综合安全网关通过第二层对外连接(接口无IP地址),则认为工作在透明模式下;
若综合安全网关同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则综合安全网关工作在混合模式下。
1.3.系统结构介绍IntroductiontoSystemArchitecture
USG3030综合安全网关采用模块化设计,整机高度为1U,机箱上带有一个console口、及三个固定的光电任选以太网口(10/100/1000M以太网电口或1000M光口)。
USG3030综合安全网关整机的外形图片如下所示:
图1-1USG3030综合安全网关外形图
2.业务配置ServiceConfiguration
2.1.初始连接配置Baseconnectionconfiguration
要对综合安全网关进行配置,首先要建立与综合安全网关的连接,并确定配置综合安全网关的方法。
USG3000可以提供如下两种进行初始化配置的方法。
2.1.1.通过Console口搭建
用户能够通过Console接口对USG3000综合安全网关进行本地配置。
这是一种可靠的配置维护方式。
当综合安全网关初次上电、与外部网络连接中断或出现其他异常情况时,则可以采用这种方式配置综合安全网关。
第一步:
建立本地配置环境。
将微机(PC机或终端)的串口通过标准RS-232电缆与USG3000综合安全网关的Console接口连接,如下图所示。
图2-1通过Console口搭建本地配置环境
第二步:
在微机上运行终端仿真程序(如Windows9X的Hyperterm超级终端等),建立新连接,如下图所示:
图2-2新建连接
图2-3选择实际连接使用的微机串口
第三步:
选择实际连接时使用的微机上的RS-232串口,配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控,并选择终端仿真类型为VT100,如下图所示:
图2-4端口通信参数配置
图2-5选择终端仿真类型
第四步:
USG3000综合安全网关上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符(如<
USG3000>
)。
第五步:
键入命令,配置USG3000综合安全网关或查看USG3000综合安全网关运行状态,需要联机帮助时可以随时键入“?
”,关于具体命令的使用请参考后续章节。
2.1.2.通过Telnet方式搭建
当配置终端与USG3000综合安全网关之间有可达路由时,可以用Telnet方式通过局域网或广域网登录到USG3000综合安全网关,然后对USG3000综合安全网关进行配置。
即必须预先进行如下配置,才能采用Telnet方式搭建环境。
1.采用Telnet方式前的配置准备:
微机(PC机或终端)通过RS-232串口连接USG3000综合安全网关Console接口,USG3000综合安全网关GigabitEthernet0/0连接到Internet,Internet中某远端PC机作为TelnetClient设备。
配置终端与USG3000综合安全网关之间有可达路由,实现远端PC(Telnet客户端)能ping通USG3000。
通过Console接口配置Telnet登录用户名/口令。
[USG3000]aaa
[USG3000-aaa]local-usertelnetuserpasswordsimpletelnetpwd
[USG3000-aaa]local-usertelnetuserservice-typetelnet
通过Console接口配置本地AAA认证,及Telnet登录认证(即VTY虚拟线认证)。
[USG3000-aaa]authentication-schemetelnetuser
[USG3000-aaa-authen-telnetuser]authentication-modelocalradius
[USG3000-aaa-authen-telnetuser]quit
[USG3000-aaa]quit
[USG3000]user-interfacevty04
[USG3000-ui-vty0-4]authentication-modeaaa
通过Console接口配置ACL规则,允许从远端PC到USG3000综合安全网关的Telnet报文通过,并在Untrust和Local区域间入方向应用ACL规则。
[USG3000]aclnumber3101
[USG3000-acl-adv-3101]rulepermittcpsource30.3.3.30destination10.1.1.10
[USG3000-acl-adv-3101]quit
[USG3000]firewallinterzoneuntrustlocal
[USG3000-interzone-local-untrust]packet-filter3101inbound
第六步:
通过Console接口配置Telnet登录用户级别切换口令,即切换到管理级(3级)的口令为superpwd。
[USG3000]superpasswordlevel3simplesuperpwd
2.建立Telnet连接:
建立本地配置环境,只需将微机以太网口通过局域网与USG3000综合安全网关的以太网口连接,也可以通过HUB或以太网交换机实现网络层互通,如下图所示:
图2-6通过局域网搭建本地配置环境
如果建立远程配置环境,需要将微机和USG3000综合安全网关通过广域网连接,如下图所示:
图2-7通过广域网搭建远程配置环境
在微机上运行Telnet程序,键入USG3000综合安全网关以太网口IP地址(或在远端微机上键入USG3000综合安全网关广域网口IP地址),与USG3000综合安全网关建立连接,如果出现“Toomanyusers!
”的提示,则请稍候再连。
如下图所示:
图2-8运行Telnet程序
Telnet界面上显示如下信息,输入用户名telnetuser,口令telnetpwd,然后出现命令行提示符(如<
*********************************************************
*Allrightsreserved(1997-2004)*
*Withouttheowner'
spriorwrittenconsent,*
*nodecompilingorreverse-engineeringshallbeallowed.*
Loginauthentication
Username:
telnetuser
Password:
*********
Note:
ThemaxnumberofVTYusersis5,andthecurrentnumberofVTYusersonlineis1.
<
键入命令,配置USG3000综合安全网关或查看USG3000综合安全网关运行状态,需要联机帮助可以随时键入“?
”,关于具体的命令请参考后续各章节。
2.2.数据配置规范及实例Dataconfigurationspecificationandcases
2.2.1.接口配置
USG3000综合安全网关的每个接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址。
主从地址可以是同一网段。
1.配置接口主IP地址
一个接口只能有一个主IP地址,用下面的命令可修改接口的主IP地址和网络的掩码。
请在接口视图下进行下列配置。
表2-1配置接口主IP地址
操作
命令
配置接口主IP地址
ipaddressip-addressnet-mask
2.配置接口从IP地址
除了主IP地址外,一个接口上还可配置多个从IP地址。
配置从IP地址的主要目的在于使同一接口能位于不同的子网上,从而产生以同一接口为输出端口的网络路由,这样通过同一接口实现与多个子网相连。
表2-2配置接口从IP地址
配置接口从IP地址
ipaddressip-addressnet-masksub
2.2.2.路由配置
请在系统视图下进行下列静态路由配置
表2-3配置静态路由表
增加一条静态路由
iproute-staticip-address{mask|mask-length}{interface-typeinterface-number|next-hop-address}[preferencevalue][reject|blackhole]
删除一条静态路由
undoiproute-staticip-address{mask|mask-length}[interfacce-typeinterface-number|next-hop-address][preferencevalue]
USG3000综合安全网关支持动态路由RIP和OSPF,详细的配置步骤请参见配套的操作手册。
2.2.3.安全域配置
USG3000综合安全网关上保留四个安全区域,最大支持16个安全区域(包括四个保留的区域):
●非受信区(Untrust):
低级的安全区域,其安全优先级为5
●非军事化区(DMZ):
中度级别的安全区域,其安全优先级为50
●受信区(Trust):
较高级别的安全区域,其安全优先级为85
●本地区域(Local):
最高级别的安全区域,其安全优先级为100
缺省情况下,用户自定义的安全区域优先级为0。
安全区域优先级一旦设定后,不允许再改。
表2-4创建安全区域并进入安全区域视图
创建安全区域并进入安全区域视图
firewallzone[name]zone-name
删除安全区域
undofirewallzonenamezone-name
表2-5配置安全区域的安全优先级
配置用户自行创建的安全区域的安全优先级
setprioritysecurity-priority
表2-6配置安全区域的隶属接口
配置安全区域所属的接口
addinterfaceinterface-typeinterface-number
删除安全区域所属的接口
undoaddinterfaceinterface-typeinterface-number
2.2.4.ACL配置
请在系统视图下进行下列配置
表2-7创建基本ACL列表
创建基本ACL列表,并进入ACL视图
acl[number]acl-number[match-order{config|auto}]
删除基本ACL列表
undoacl{[number]acl-number|all}
表2-8配置基本ACL规则
配置基本ACL规则
rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|any}][time-rangetime-name][logging]
删除基本ACL规则
undorulerule-id[source][time-range][logging]
表2-9创建高级ACL列表
创建高级ACL列表,并进入ACL视图
删除高级ACL列表
表2-10配置高级ACL规则
配置高级ACL规则
rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|any}][destination{destination-addressdestination-wildcard|any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code|icmp-message}][precedenceprecedence][tostos][time-rangetime-name][logging]
删除高级ACL规则
undorulerule-id[source][destination][source-por
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- USG3000 V100R001 开局指导书0311B 开局 指导书 0311