天清汉马USG防火墙（T系列）快速安装指南-v3

天清汉马USG防火墙－快速安装指南 天清汉马USG防火墙（T系列） 快速安装指南 北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc. 二零一六年11月 北京启明星辰信息技术有限公司 1 天清汉马USG防火墙－快速安装指南

天清汉马USG防火墙

快速安装指南

手册版本 V1.0 产品版本 V2.0 资料状态 发行

版权声明

启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明

本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and Disclaimer

Copyright

Copyright Venus networks Co.Ltd All rights reserved.

The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer

This document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.

北京启明星辰信息技术有限公司

2

天清汉马USG防火墙－快速安装指南

副本发布声明

启明星辰公司的天清汉马USG防火墙产品正常运行时，包含2款GPL协议的软件（linux、zebra）。启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户，请需要GPL软件的客户提供（1）已经购买的产品的序列号，（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。

北京启明星辰信息技术有限公司

3

天清汉马USG防火墙－快速安装指南

目录 快速安装指南................................................................................................................. 2 User’s Manual Copyright and Disclaimer ................................................................. 2 Copyright ................................................................................................................... 2 Disclaimer ................................................................................................................. 2 第1章 硬件安装 ...................................................................................................... 5 1.1 安装前准备工作 .................................................................................................. 5

1.1.1 安装环境要求 .................................................................................................................. 5 1.1.2 安装工具准备 .................................................................................................................. 5

1.2 设备面板标识说明 .............................................................................................. 5 1.3 设备安装 .............................................................................................................. 6

1.3.1 设备接口卡的安装 .......................................................................................................... 6 1.3.2 将设备安装到机柜 .......................................................................................................... 6

第2章 快速配置 ...................................................................................................... 7 2.1 设备默认配置 ...................................................................................................... 7

2.1.1 管理口的默认配置 .......................................................................................................... 7 2.1.2 默认管理员用户 .............................................................................................................. 7

2.2 Web快速配置 ....................................................................................................... 7

2.2.1 登录设备 .......................................................................................................................... 7 2.2.2 配置VLAN ......................................................................................................................... 8 2.2.3 配置IP地址 .................................................................................................................... 9 2.2.4 透明桥模式案例1 ......................................................................................................... 10 2.2.5 透明桥模式案例2 ......................................................................................................... 12 2.2.6 路由综合案例 ................................................................................................................ 14 2.2.7 攻击防护案例 ................................................................................................................ 20 2.2.8 应用控制案例 ................................................................................................................ 23

第3章 软件升级 .................................................................................................... 27 3.1 通过Web升级 .................................................................................................... 27

北京启明星辰信息技术有限公司

4

天清汉马USG防火墙－快速安装指南

第1章 硬件安装

在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。

1.1 安装前准备工作

1.1.1 安装环境要求

工作温度 0～40℃ 存储温度 -40～70℃ 相对湿度 0～95%非凝结

电磁兼容性 满足GB9254-1998 A级以上及GB17618-1998电磁兼容要求 电源适应性 220V 拉偏电： 198V~242V，频率：49～51Hz

1.1.2 安装工具准备

请安装前准备好以下安装工具：

终端：配置终端，可以是普通PC机、笔记本电脑 工具：十字螺丝刀和防静电护腕 电缆：电源电缆、串口电缆、网线

1.2 设备面板标识说明

：超级终端的RJ45连接端口

:2×USB连接接口

：管理接口

：10/100/1000M自适应以太网电接口 业务口

北京启明星辰信息技术有限公司

5

天清汉马USG防火墙－快速安装指南

：GE SFP光接口 业务口

：机箱后部电源插座和电源开关

：接口卡

1.3 设备安装

1.3.1 设备接口卡的安装

设备接口卡安装步骤如下：

1) 设备断电；

2) 取下接口槽位上的挡板，插入接口卡； 3) 安装完毕。

设备的接口卡不支持热插拔，设备必须在断电情况下才能进行接口卡

注意 的安装和卸载，否则会造成设备的损坏！

1.3.2 将设备安装到机柜

1)设备断电

2)将设备放置在机柜托盘上 3)将设备固定在机柜上 4)接通电源 5)管理口接上网线

北京启明星辰信息技术有限公司

6

天清汉马USG防火墙－快速安装指南

第2章 快速配置

本设备可通过Web方式来进行配置。

2.1 设备默认配置

出厂的防火墙设备自带默认的配置。这些默认配置可以在出厂的情况下，允许用户通过Web进行配置。

2.1.1 管理口的默认配置

标记有“MGT”的接口为设备的管理口；如果没有“MGT”接口，则主板上从左侧数第一个以太网接口为设备的管理口。

管理口的默认IP地址为192.168.1.250/24。允许对该接口的Ping，HTTPS操作。

2.1.2 默认管理员用户

系统默认的管理员用户为admin，密码为fw.admin。任何地址都可以使用该用户登录设备。并且可以使用设备的所有功能。

2.2 Web快速配置

2.2.1 登录设备

配置本机IP地址为192.168.1.2/24, 通过网线将本机和设备管理口连接。打开浏览器,输入https://192.168.1.250, 连接设备。

输入用户名（缺省用户名：admin）、密码（缺省密码：fw.admin）和验证码（随机生成）登录。

北京启明星辰信息技术有限公司

7

天清汉马USG防火墙－快速安装指南

2.2.2 配置VLAN

? 案例描述

FW设备使用VLAN提供转发业务，在配置其他业务前，需要根据网络环境创建VLAN并在其中加入物理接口成员。

? 配置步骤：

进入网络 >接口>VLAN，点击新建， 如下图：

1、 配置参数

名称：vlan的名称，这里配置为vlan1。 Tag：vlan的tag号，这里配置为1。 管理状态：vlan接口的状态，设置为UP。

MTU ：vlan接口的MTU值，保持默认的1500即可。 接口选择：在可选的接口中点击

2、 点击提交完成创建VLAN。

加入到Untagged或者Tagged接口中，这里将ge0/1以

Untagged方式加入到vlan 1中，将ge0/2以Tagged方式加入到vlan 1中。

北京启明星辰信息技术有限公司

8

天清汉马USG防火墙－快速安装指南

2.2.3 配置IP地址

防火墙设备在做网络层以上业务处理时，需要在VLAN上配置IP地址。

? 配置步骤：

1.进入网络>接口>VLAN，点击列表中的需要配置的vlan接口，如下图所示（以vlan10为例）：

IP地址/掩码：vlan 接口的IP地址/掩码，这里设置为1.1.1.1/24。 这里不选择浮动IP与单元ID。 点击“添加”按钮。

2.点击“更新”添加VLAN IP成功，如下图所示：

北京启明星辰信息技术有限公司

9

天清汉马USG防火墙－快速安装指南

2.2.4 透明桥模式案例1

? 案例描述：

防火墙设备透明部署，通过FW设备的报文不带vlan tag，内网用户需要通过防火墙访问外网。

案例拓扑

? 配置步骤：

1、 进入网络>接口>VLAN，新建vlan10，tag为10，将接口ge0/0和ge0/1 UnTagged方式加

入到vlan10中，点击提交使配置生效。

2、 进入对象>地址对象>地址节点，创建IPV4类型的地址对象内网用户,并将内网网段

192.168.10.0/24加入到地址对象中。

3、 进入策略>防火墙>策略，点击新建，地址类型选择IPv4，入接口配置为vlan10，出接口也

配置为vlan10，源地址配置为内网用户，目的地址配置为any，服务为any，时间为always，动作为permit，点击提交使配置生效。

北京启明星辰信息技术有限公司

10

天清汉马USG防火墙－快速安装指南

4、 进入策略>防火墙>策略，查看策略，勾选策略启用开关，使得配置启用。

5、 进入策略>防火墙>策略配置，查看策略匹配开关开启，默认动作为deny。

北京启明星辰信息技术有限公司

11

天清汉马USG防火墙－快速安装指南

2.2.5 透明桥模式案例2

? 案例描述：

防火墙透明部署在trunk链路下，通过FW设备的报文带vlan tag10和vlan tag20，FW设备需要透传带vlan tag的报文，并且内网用户需要通过防火墙访问外网。

案例拓扑

? 配置步骤：

1、 进入网络>接口>VLAN，新建vlan10，tag为10，将接口ge0/0和ge0/1 UnTagged加入到

vlan10中，点击提交使配置生效。

2、 配置设备管理接口允许SSH或telnet方式访问设备，并使用SSH或telnet方式登陆到设备

管理终端，在配置视图下，输入如下命令。该命令会使得该vlan的接口下允许所有的vlan tag 或untag透传，故配置后不再受步骤1中vlan接口配置的UnTagged或者tagged方式的约束。

FW(config)# vlan 10

FW(config-vlan)# vlan-transparent enable

提示：此配置命令适用于FW需要透传大量vlan时使用，若桥下只需要允许单个VLAN带tag通过，在配置vlan时，将接口tagged方式加入到该vlan中即可。

3、 进入对象>地址对象>地址节点，创建IPV4类型的地址对象内网用户,并将内网网段

192.168.10.0/24和192.168.11.0/24加入到地址对象中。

北京启明星辰信息技术有限公司

12

天清汉马USG防火墙－快速安装指南

4、 进入策略>防火墙>策略，点击新建，地址类型选择IPv4，入接口配置为vlan10，出接口也

配置为vlan10，源地址配置为内网用户，目的地址配置为any，服务为any，时间为always，动作为permit，点击提交使配置生效。

5、 进入策略>防火墙>策略，查看策略，勾选策略启用开关，使得配置启用。

6、 进入策略>防火墙>策略配置，查看策略匹配开关开启，默认动作为deny。

北京启明星辰信息技术有限公司

13

天清汉马USG防火墙－快速安装指南

2.2.6 路由综合案例

? 案例描述：

企业需要通过FW设备进行互联网访问，内网地址网段为192.168.1.0/24，服务器网段为192.168.2.0/24。企业有两条条出口链路分别属于电信、网通，电信的公网地址为13.1.1.1，网关为13.1.1.2；网通的公网地址为14.1.1.1，网关为14.1.1.2。用户具体需求如下：

1、 内网地址访问外网需要进行源NAT转换。

2、 外网地址访问内网服务器需要进行目的NAT转换。

3、 依据组网划分不同的区域，内网属于trust区域，外网属于untrust区域，内网服务器属

于DMZ区域。配置策略允许trust区域访问untrust区域，允许trust和untrust区域访问DMZ区域的http服务，其他访问流量默认拒绝。

4、 若访问的目的地址为电信IP地址，选择电信的链路作为出链路，当电信链路故障以后，选

择网通的链路作为出链路。

5、 若访问的目的地址为网通IP地址，选择网通的链路作为出链路，当网通链路故障以后，选

择电信的链路作为出链路。

6、 若访问的目的地址不属于电信、网通，可以轮询选择出链路，但是内网访问服务器的流量

都不受策略路由控制。

案例拓扑

? 案例配置分析：

1、 设备配置源NAT实现内网访问外网的NAT转换。 2、 设备配置目的NAT实现外网到内网服务器的访问。

3、 配置添加两条默认路由使得内网可以通过路由成功访问到外网。

4、 配置接口加入到不同的安全域，通过配置防火墙策略实现区域之间的互访控制。 5、 配置策略路由实现基于ISP的选路。

6、 地址对象配置添加排除IP，使得内网访问服务器不受策略控制。

北京启明星辰信息技术有限公司

14

天清汉马USG防火墙－快速安装指南

? 配置步骤：

1、 照上述拓扑进行组网，并作基本网络配置，包括VLAN划分，以及IP地址配置。 2、 进入对象>地址对象>地址节点，创建电信地址对象，ISP地址库选择ISP_CT.dat（中国电

信），配置提交。

3、 按照上述方法，分别创建如下地址对象： 电信：包含电信ISP地址库 网通：包含网通ISP地址库

内网地址：成员为所有内网网段：192.168.1.0/24和192.168.2.0/24

外网地址：成员为0.0.0.0/0，同时将内网用户192.168.1.0/24和服务器网段192.168.2.0/24添加到排除地址中。

DNAT电信：成员为内网服务器对外映射的公网地址：13.1.1.10。

4、 进入网络>NAT>NAT规则>源地址转换，点击新建，转换类型为IPV4 to IPV4，源地址选

择内网地址，目标地址为any，服务为any，出接口选择VLAN3，转换后地址为出接口地址，点击提交。

北京启明星辰信息技术有限公司

15

天清汉马USG防火墙－快速安装指南

flood每主机报文速率限制（源IP）配置为100/S，动作选择syn cookie；勾选启用防扫描，启用TCP协议扫描和UDP协议扫描，扫描识别阈值为1000，主机抑制时长为20s，配置提交。

4、 进入策略>安全防护>攻击防护：策略，地址类型选择IPV4，入接口选择vlan20，源地址选

择any，目的地址选择内网地址，服务选择any，时间表选择always，安全防护选择配置的攻击防护表scan-flood。

5、 进入策略>安全防护>Dos防护， Dos防护下勾选需要防护的攻击类型，点击确定使得配置

生效。

6、 进入策略>安全防护>ARP攻击防护：ARP表，找到设备学习到的服务器192.168.11.11的

ARP表，点击

按钮，将IP和MAC的关系进行绑定。（若已知服务器的MAC也可以在

北京启明星辰信息技术有限公司

21

天清汉马USG防火墙－快速安装指南

IP-MAC绑定配置界面手动添加绑定关系）

7、 进入策略>安全防护>ARP攻击防护：主动保护列表，接口选择vlan10，启用接口保护，将

服务器的IP和MAC填入保护列表中，点击提交。

8、 进入策略>安全防护>ARP攻击防护：配置，勾选启用防ARP欺骗，并启用主动保护。

北京启明星辰信息技术有限公司

22

天清汉马USG防火墙－快速安装指南

2.2.8 应用控制案例

? 案例描述：

某企业出口带宽为10Mbps，要求对应用及用户上网行为进行精细控制，具体要求如下： 1、 为了使公司出口带宽合理利用，给各个部门分配一定的带宽：研发-2M，测试-5M，行政-3M，

同时，根据业务类型对流量进行限制和保证，在研发部，电子邮件应用保证1 M，P2P下载应用限制为0.5 M。

2、 上班时间拒绝内网用户登录QQ应用。

3、 若用户发帖关键字包含“暴力、反动”则阻断此次发帖行为。

案例拓扑

? 配置步骤：

1、 照上述拓扑进行组网，并作基本网络配置，包括VLAN划分，以及IP地址配置，配置路由、

防火墙等策略保证网络可正常通信。

2、 进入对象>地址对象>地址节点，配置创建研发部地址对象，地址配置为192.168.10.0/24，

配置提交。

3、 按照上述方法配置添加如下地址对象：

研发部：成员包含192.168.10.0/24网段 测试部：成员包含192.168.11.0/24网段 行政部：成员包含192.168.12.0/24网段

内网用户：成员包含192.168.10.0/24、192.168.11.0/24和192.168.12.0/24网段

北京启明星辰信息技术有限公司

23

天清汉马USG防火墙－快速安装指南

4、 进入策略>流量控制>线路设置，点击新建，接口配置为vlan20，配置带宽入和出都为

10000Kbps

5、 进入策略>流量控制>流控策略，在线路策略公司下，点击新建，源地址配置为研发部，目

的地址为any，应用为any，服务为any，时间为always，带宽配置为2000Kbps。

6、 按照上述方法，分别添加测试部、行政部的流控策略，测试部带宽配置为5000Kbps，行政

部带宽配置为3000Kbps。

7、 进入策略>流量控制>流控策略，在流控策略研发部下，点击新建，源地址配置为研发部，

目的地址为any，应用选择电子邮件，带宽保证配置为1000Kbps。

北京启明星辰信息技术有限公司

24

天清汉马USG防火墙－快速安装指南

8、 按照上述方法，创建P2P下载策略，对P2P下载带宽限制到500Kbps

9、 进入对象>时间对象>周期时间，点击新建，添加循环日期，点击提交新建一条工作时间对

象。

10、 进入策略>应用控制>应用控制策略，地址对象配置为内网用户，应用选择QQ，应用行为

配置为登录，其他参数配置为any，时间配置为工作时间，处理动作为拒绝，点击提交。

北京启明星辰信息技术有限公司

25

天清汉马USG防火墙－快速安装指南

11、 进入策略>应用控制>关键字，配置添加暴力、反动到关键字列表中。

12、 进入策略>应用控制>应用控制策略，地址对象为内网用户，应用选择社交网络，关键字选

择前面配置的关键字，处理动作配置为拒绝，勾选启用，提交配置。

北京启明星辰信息技术有限公司

26

天清汉马USG防火墙－快速安装指南

第3章 软件升级

3.1 通过Web升级

当设备已经在运行时，可通过Web页面来升级软件版本。

? 配置步骤：

1．进入系统- >版本管理->软件版本，

2．点击“选择?”，

3．浏览当地文件并选中软件版本文件 ， 4． 点击“升级”。

5．重启设备

进入系统- >配置->设备重启

点击“提交”重启设备，新版本在启动后加载。

北京启明星辰信息技术有限公司

27

本文来源：https://www.bwwdw.com/article/ezj5.html