天清汉马USG防火墙快速安装指南.docx
- 文档编号:29789428
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:35
- 大小:729.51KB
天清汉马USG防火墙快速安装指南.docx
《天清汉马USG防火墙快速安装指南.docx》由会员分享,可在线阅读,更多相关《天清汉马USG防火墙快速安装指南.docx(35页珍藏版)》请在冰豆网上搜索。
天清汉马USG防火墙快速安装指南
天清汉马USG快速安装指南
北京启明星辰信息安仝技术有限公司
手册版本
产品版本
资料状态
V3.2
BeijingVenusInformationSecurityInc.
V2.6.3.2二零一零年七月
发行
第1章软件安装
1-3
1.1准备条件1-3..
1.2天清集中管理与数据分析中心安装过程1.-3
1.2.1MSDE数据库1-5
1.2.2天清集中管理与数据分析中心1-5
1.3管理配置1.-9..
1.3.1配置数据库服务器1.-10
1.3.2配置入库缓冲文件路径1.-11
1.3.3配置声音报警.1.-12
第2章软件卸载2-14
2.1天清集中管理与数据分析中心卸载过程2-14
第3章硬件安装3-15
3.1准备条件3-1.5
3.2标识说明3-1.5
第4章快速配置3-18
4.1设备默认配置4-.1.9
4.1.1接口0的默认配置4-19
4.1.2默认管理员用户4-19
4.2Web快速配置4-1.9
4.2.1登录设备4-19
4.2.2配置路由模式4.-21
4.2.3配置桥模式4:
25
4.2.4配置安全策略4-27
4.2.5配置NAT4-29
4.3天清集中管理与数据分析中心快速配置4.-31
4.3.1登录天清集中管理与数据分析中心4-31
4.3.2添加USG设备4-31
4.3.3添加设备组4.32
4.3.4调整数据接收端口4.-33
4.3.5查询数据4-33
4.4天清集中管理与数据分析中心快速配置4.-33
4.4.1登录集中管理中心4.-33
4.4.2添加设备/设备组4.-34
4.4.3集中管理4-35
4.4.4单机管理4-35
4.4.5升级维护4-36
第5章软件升级5-38
5.1通过Web升级5-38
第1章软件安装
1.1准备条件
硬件配置要求:
PC服务器/PentiumIVCPU/2G内存/200G硬盘
软件要求:
操作系统:
推荐使用Windows2ksp4(中文版)、Windows2003(中文版卜可以使用
WindowsXPsp3(中文版),Vista,windows7。
数据库支持类型:
支持MSDE、SQLSERVER2000、SQLSERVER2005数据库,推荐使用SQLSERVER2000、SQLSERVER2005
下面将介绍关于天清集中管理与数据分析中心的安装过程,及安装过程中需要注意的
事项。
1、为保证安装的顺利进行,我们建议您以administrator身份登录操作系统。
1.2天清集中管理与数据分析中心安装过程
打开天清集中管理与数据分析中心的安装光盘,您会看到一个autosetup程序,启动
程序后,出现如下界面:
A
注意
安装程序支持中文、英文两种语言,可以点击右上角“English”进行
切换,切换后将全部在相应语言环境下工作,下文仅以中文环境为例进行描述。
安装光盘分为两部分:
MSDE数据库:
这是微软提供的桌面版的小容量数据库,用来进行存放USG设备产
生的相关事件日志信息,最大存储容量为2G。
如需要更大的存储空间或更高效的数据库
管理能力,建议采用独立的企业级数据库。
天清集中管理与数据分析中心:
这部分包含对Syslog数据的接收和入库,以及分析和报表功能。
为了提高处理性能,建议把数据库服务器安装在另一台机器上。
点击启动界面左列的相应文字就可以对这些产品进行安装,下面分别介绍这几部分的具体安装过程。
1.2.1MSDE数据库
如果用户的机器上没有安装过MSDE或其它SQLServer的客户端软件,天清汉马数据中心将无法正常运行,您可以点击这一项来安装MSDE。
安装完成后用户需要重启操作
系统。
A
注意
如果先安装MSDE英文版,然后再安装SQLServer的中文版客户端软件,会导致SQLServer的BCP功能无法使用从而使得数据库维护模块某些功能失效,请慎重使用。
1.2.2天清集中管理与数据分析中心
在安装MSDE完成后,就可以进行天清集中管理与数据分析中心的安装了。
点击天清集中管理与数据分析中心,进行天清集中管理与数据分析中心安装。
1.221第一步:
进入安装程序界面
•二一步⑸I茫三涉:
ig笺I取消」
点击下一步按钮。
1.2.2.2第二步:
许可证协议
选择我接受许可证协议中的条款,点击下一步按钮。
1.223第三步:
客户信息
输入客户信息,点击下一步按钮。
1.2.2.4第四步:
安装类型
点击下一步按钮。
如果需要更改安装目录,选中定制单选钮,再点击下一步按钮。
1.225第五步:
确定安装
2SJ
天:
洁集中管理与数轄分析中右-VeunstedInstalllixvd.
可匕妄装该程序了
肯导己就绪『可以并贻妄装亍“
单击"歿T且弃躺安裝.
妇果要检查或更改任何妄装谡置*话单击“上一步口.单击和职消”退出安装向导.
lrrst^rlSNeId
点击安装按钮,开始安装。
1.2.2.6第六步:
配置数据中心
点击是按钮,进行相关配置。
如果以后更改配置,可点击Window开始菜单中开
始>Venustech>SecurityGateway〉
管理配置。
具体配置参考《1.3管理配置》
1.227第七步:
安装完成
点击完成按钮,完成天清集中管理与数据分析中心安装。
在安装过程中,可以点击取消按钮,取消此次安装操作。
安装完成后,如果提示重启,请重启操作系统。
1.3管理配置
提供天清集中管理与数据分析中心服务器的管理配置功能。
配置项有数据库服务器、
入库缓冲文件路径、声音报警。
管理配置,如下图:
进入Window开始菜单开始>Venustech>SecurityGateway>
1.3.1配置数据库服务器
配置数据库服务器的IP地址、端口、用户名、密码等基本信息。
如下图:
IP地址:
数据库服务器的IP地址。
如果数据库安装在本机上,则为127.0.0.1
端口:
数据库的连接端口,默认1433。
数据库路径:
数据库自身的数据文件存放路径。
数据库名称:
数据库的名称。
注意
1.3.2配置入库缓冲文件路径
为了提高入库性能,本系统采用MSSQLServer的快速入库技术。
该技术的原理是
先把记录存储到文件中,再一次性地把文件中的所有记录全部插入到数据库中。
快速入库
能够极大地提升入库性能,但如果采用远程数据库,数据库服务器需要能够直接访问到入库文件。
如下图:
本地数据库:
数据库安装在本机上。
远程数据库:
数据库服务器没有安装在本机上,而是安装在另一台机器上。
共享路径:
指本机看到的远程数据库服务器的共享目录,要确保本机对该目录有可写权限。
服务器本地路径:
指共享路径在数据库服务器上的绝对路径。
如果采用远程数据库,没有正确配置共享路径和服务器本地路径,会注意导致日志入库失败。
1.3.3配置声音报警
当日志满足指定条件时,天清集中管理与数据分析中心服务器会进行声音告警。
如下
图:
事件级别:
当事件级别条件触发时,进行声音报警。
入侵级别:
当入侵级别条件触发时,进行声音报警。
病毒事件:
当产生病毒事件时,进行声音报警。
在安装过程中,可以点击取消按钮,取消此次安装操作。
提示安装完成后,如果提示重启,请重启操作系统。
第2章软件卸载
2.1天清集中管理与数据分析中心卸载过程
1、在控制面板中选择“添加或删除程序”找到“MgrCenter”点击“删除”如
F图所示:
2、选择“删除
3、按照删除向导完成即可。
如果界面提示需要重启,请用户重启操作系统以便完全
卸载。
提示
卸载完成后,如果提示重启,请重启操作系统。
第3章硬件安装
在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。
3.1准备条件
环境要求:
环境要求:
86-106KPa
温度(摄氏)(工作):
0-40摄氏度
温度(摄氏)(非工作):
0-50摄氏度
相对湿度(非凝结)(工作):
5%-80%
相对湿度(非凝结)(非工作):
5%-95%
电磁兼容性:
通过GB9254-1998A级
3.2标识说明
Console
qV/z/J◎
:
超级终端的DB9连接端口
USB
:
1XUSB连接接口
USB
:
2XUSB连接接口
EthO
10/100M
自适应以太网电接口
GE3
自适应以太网电接口
GESFP光接口
XGEI
10GE光接口
Power
:
系统状态指示灯
SratuE:
液晶屏及控制按键
液晶屏及控制按键
CFCARD
:
外置CF卡插槽
模块化设备主控卡
8XGE接口卡
4XGE、4XSFP接口卡
8XSFP接口卡
10000E设备的12GE接口卡
10000E设备的12SFP接口卡
1
ON
□
:
机箱后部电源插座和电源开关
OFF
3.3设备安装
3.3.1模块化设备安装
模块化设备必须安装主控卡后才能使用,接口卡根据实际配置情况进行安装。
步骤如下:
1)把主控卡插入0槽位(机框的最下面一个槽位);
2)取下1、2槽位上的挡板,插入接口卡;
3)安装完毕。
提示
3.3.210000E设备安装
10000E设备接口卡安装步骤如下:
1)设备断电;
2)取下接口槽位上的挡板,插入接口卡;
3)安装完毕。
USG-10000E设备的接口卡不支持热插拔,设备必须在断电情况下才
丰意-能进行接口卡的安装和卸载,否则会造成设备的损坏!
第4章快速配置
本设备可通过Web方式来进行配置。
4.1设备默认配置
出厂的天清汉马USG设备自带默认的配置。
这些默认配置可以在出厂的情况下,允
许用户通过Web进行配置。
4.1.1管理口的默认配置
标记有Mgt/EthO的接口为设备的管理口,如果设备上无此标记,则接口O(EthO或
GE0)为设备的默认管理口。
管理口的默认IP地址为192.168.1.250/24。
允许对该接口的Telnet,Ping,HTTPS
操作。
4.1.2默认管理员用户
系统默认的管理员用户为admin,密码为venus.fw。
任何地址都可以使用该用户登
录设备。
并且可以使用设备的所有功能。
4.2Web快速配置
4.2.1登录设备
配置本机IP地址为192.168.1.2/24,通过网线将本机和设备接口0连接。
打开浏览器
连接设备。
输入用户名(缺省用户名:
admin)、密码(缺省密码:
venus.usg)和验证码(随
机生成)登录。
422语言配置
登录设备后,在首页的右上角可以看到工具条:
注梢
点击语言配置按钮,在新窗口中打开语言配置页面,可以选择系统语言为中文或英文。
423配置路由模式
eth1
案例:
将接口ethO的IP地址设置为192.168.31.158/24,连接外网。
将接口的IP地址设置为20.1.1.1/24,连接内网。
配置步骤:
进入网络管理
>接口>接口,
点击ethO接口下的
围按钮,如下图配置:
编输嘀理轅口ethO
摆口名喬
ethC
茴述
—
地址模式
护静态
厂DHCP
rpppoe
1P地址擬码
|19216331.
.1磁4
DDNS
厂E用
Pi-rnps
PPIRJG
PTELNET
厂SSH
厂HTTP
厂集口监控
接入控制
厂L2TFP
厂SSL-VPN
厂WebikiiF
2、点击提交按钮提交配置。
3、点击eth1接口下的「按钮,如下图配置:
编辑物理養口Bthl
錢口名富
ethl
芍述
删複式
金静态厂DHCP
rpppoe
IP地址施诃
|20.1.1.1/24
DDNS
厂启用
管遴访冃
I?
HTTPS任PEG
申TELNET厂jSSH
厂httpr矣坪竖控
崔入翌料
厂L2TP厂SSL-VPN
厂WebiA证
4、点击提交按钮提交配置。
5、进入防火墙>安全策略,点击新建,如下图:
新建安全策略
£
描逹
6、点击提交
7、进入防火墙>安全策略,如下图
At.il[鼻回
JZI
巨王蛆吐|E
z
fl*而
35b帝||PERl«n-
©事匕
*Mat
肿IM
MM
事全■护
MEl
14m
dwfln- 呼RMH_厂[ 时观 &选择启用完成设置 424配置桥模式 案例: 将USG设备插入一个原有的网络结构中,不改变原有拓扑和配置,将USG 设备的eth2和eth3两个接口加入网桥组1(BVI1)中。 eth2连接Router(192.168.0.1), eth3口连接192.168.0.0/16网段其余机器。 透明桥案例组网图 配置步骤: 建透咽薪 1、进入网络管理>接口>透明桥,点击新建。 如下图: 名希 帚銅号 ip/»址尴码 搔口列表(物理接口N3N) Petli2雨eth3 玩程接人 厂HTTPS 厂HTTP 厂L2IP 厂PING 厂集中监揑 厂SSL-VPN 厂TELNET 厂WebUiE 厂SSH ■^£顶6| ①探交I_r%请 2、输入参数 3、点击提交 4、进入防火墙>安全策略,点击新建,如下图: 5、点击提交 6、进入防火墙>安全策略,如下图 kftMjam-2J吕再 UZJ 昨1 zl时1 ps=! wr2j◎披越 * eianti- ■書 娄全■护 2占啊 (WIT PISt|潯恻 7、选择启用完成设置 425配置安全策略 案例: 设备的接口ethO连接内网,接口ethl连接外网,配置策略允许内网在非工作时间访问外网,并且要求数据流从高优先级队列输出。 配置步骤: 1、进入对象管理>地址对象,配置地址对象“内网”和"外网”,如下图: 吧弭193ICfl31.D? Z+ 耳耳ao2.»a.«D/)6 2、进入对象管理>时间对象,配置时间对象“非工作时间” 3、进入防火墙>安全策略,点击新建,如下图: 编铸安仝策略 ethU 地址齧 |向関 目的 搔口伐全域 |ethl 地址名 |外网 d 崖务 I呵 d 时问畫 |非工作时间 d |PERMIT 厂左全防护 |te^t d 厂流量日击 ^%£項O 鉴谴pt祎內网徑菲工作时间访问P卜网 4、输入参数 5、点击提交 6、进入防火墙>安全策略,如下图 vctfiu>eMd.(1/1) 5L5内冋]*r4Wffi|«wIpsmitI|F圉如画面 7、选择启用完成设置 426配置NAT 案例: 公司需要通过USG共享上网。 内网地址为192.168.0.0/24网段,公网地址为 202.118.3.11 源地址转换配置案例组网图 202.11831.抽0 192.168.0.1 ^1 -1 192.168.0.0/24 配置步骤: 1、进入对象管理>地址对象,创建地址对象"inside-net ■e* 黑鼻 IAV 和■肩■W 1 oo.aC/0 fi 1mEJda-nfifi 0 占 2、进入网络管理>NAT>NAT地址池,创建地址池“pub-pool 3、点击提交 4、进入网络设置>NAT>NAT规则>源地址转换,点击新建 新建薄地址转换 5、点击提交,显示如下界面 *=wjytpp 广呂曹t址崎宦 r具摇 [■MJH: HBlU wAiiAMl: ux KM 1rriidr-n-eS Blfp ■n> rths 口凶 I 4.3天清集中管理与数据分析中心快速配置 4.3.1登录天清集中管理与数据分析中心 打开IE,在IE地址栏中输入https: //xxx.xxx.xxx.xxx。 xxx.xxx.xxx.xxx为天清集中管 理与数据分析中心服务器IP,默认用户为admin,密码为venustech 4.3.2添加USG设备 以下为添加一个设备的示例,如果需要添加多个设备,请重复以下步骤。 1)进入系统管理->设备,切换到设备。 点击添加按钮。 如下图: 2)设置参数。 3)点击提交按钮。 433添加设备组 以下为添加一个设备组的示例,如果需要添加多个设备组,请重复以下步骤。 1)进入系统管理->设备,切换到设备组。 点击添加按钮。 如下图: 2)选择组成员。 3)点击提交按钮。 434调整数据接收端口 天清汉马能够接收和处理Syslog数据,默认值为UDP514。 这和USG设备上的端口 要保持一致,否则会接收不到数据。 进入系统管理->维护,切换到选项。 如下图: 4.3.5查询数据 分别进入日志->查询和流量->查询,如果接收到日志数据,说明数据中心已经能够正常运行了。 4.4天清集中管理与数据分析中心快速配置 4.4.1登录集中管理中心 使用IE或其他类似浏览器,通过HTTP连接服务器,缺省用户为admin,缺省密码为 venustech,登录天清集中管理与数据分析中心。 442添加设备/设备组 1)添加设备 |+E H77F [T^T冶iH忌F 进入系统管理->设备,切换到设备。 点击添加按钮。 如下图: tJ丢由试HTTPv 1PH.M-[192,16B.laT 序列冒loBnoaosoianm枝窣 w昊E萍■峯ef确IP 啊陆舟ia* 户卜血LH 输入参数,点击提交按钮。 2)添加设备组 为便于用户管理,用户可以根据需要配置新设备组 进入系统管理->设备,切换到设备组。 点击添加按钮。 如下图: 把成员加入到设备组中,点击提交按钮。 443集中管理 集中管理模块可以按设备组对设备进行统一管理。 通过集中管理,管理员可以按设备 组管理和配置多台设备。 进入集中管理->未分组,选中要配置的设备,点击继续按钮,可以配置多台设备。 另外,如果设备状态不同步,可以通过全部下发,全部取消和详细等方式使设备同步。 其 中全部下发表示将所有配置未决命令下发给设备,全部取消表示将所有配置未决命令取消, 而详细表示对配置未决命令做更具体的显示和下发取消操作。 而如果设备已经同步,点击详细,则可以查看此设备的相关告警信息。 4.4.4单机管理 对该设备组下的设备,点击设备名称,如果当前设备在线,则可以进入当前设备配置 使设备同步。 如果设备已经同步,点击详细,则可以查看此设备的相关告警信息。 445升级维护 集中升级由配置和设备组成。 其中配置提供集中管理中心自身的手动升级配置和自动 升级配置,集中管理中心获得入侵防御和防病毒特征库升级包后,再自动下发到各个设备。 1)配置 进入升级维护->集中升级,切换到配置页面,如下图: 设置参数,并点击提交按钮。 2)设备 此处可以查看设备信息,包括设备的入侵防御特征库版本和防病毒特征库版本,以及 版本最新设备数和设备总数。 如果有正在更新的设备,将显示正在更新的设备信息。 进入升级维护->集中升级,切换到设备页面,如下图: IP SM •峠 ■未沁⑸ LK4&B.10ins US0^DM 吃&5刘加帕: 側90S诂 IQ: IDS USQJD04 WWiKlWI]鼻期如鼻W Kfiffr> 1瞬3 9 tttfp usc^rac 磁1孙N酣8證3皿 倔.1阳 uSG^oonr Y2Lt^O3JDe2CLi&Ll5! Lt. ^01(已磁J iw*.l&S.JOLZD1 Wit 第5章软件升级 5.1通过Web升级 当设备已经在运行时,可通过Web页面来升级软件版本。 配置步骤: 1、进入系统管理>维护>升级管理, 升换管理 2、点击软件升级的浏览 3、浏览当地文件并选中软件版本文件 4、点击提交
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天清汉马 USG 防火墙 快速 安装 指南