启明星辰FW用户手册.doc

启明星辰 安全网关USG 功能使用手册 VERSION 2.6 声明 本手册所含内容若有任何改动，恕不另行通知。 在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 在法律法规的最大允许范围内，北京启明星辰信息安全技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。 本手册含受版权保护的信息，未经北京启明星辰信息安全技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。 本手册适用于启明星辰USG安全网关系列产品，包括防火墙、UTM、NF等，在手册中简称为安全网关或安全网关。文件少部分内容视产品具体型号略有不同，请以购买的实际产品为准。 北京启明星辰信息安全技术有限公司 北京市海淀区东北旺西路8号中关村软件园21楼启明星辰大厦章节目录 第1章 前言 6 1.1 导言 6 a) 本书适用对象 6 b) 本书适合的产品 6 c) 手册章节组织 7 d) 相关参考手册 7 第2章 防火墙地址、服务、时间、安全域概念与配置方法 8 2.1 地址概念及配置方法 8 2.1.1 地址资源功能概述 8 2.1.2 地址配置 8 2.1.3 地址组配置 9 2.1.4 地址池配置 10 2.2 服务概念及配置方法 11 2.2.1 服务功能描述 11 2.2.2 预定义服务配置 11 2.2.3 动态服务配置 11 2.2.4 icmp服务配置 12 2.2.5 基本服务配置 12 2.2.6 服务组配置 13 2.3 时间概念及配置方法 15 2.3.1 时间功能描述 15 2.3.2 时间配置 15 2.3.3 时间组配置 16 2.4 安全域概念及配置方法 17 2.4.1 安全域功能描述 17 2.4.2 安全域配置 17 第3章 策略概念与配置方法 18 3.1 功能概述 18 3.1.1 允许访问： 18 3.2 安全策略配置 18 3.2.1 资源选项 19 3.3 NAT类策略配置 19 3.3.1 SNAT规则配置 20 3.3.2 端口映射及IP映射规则配置 20 第4章 应用防护概念与配置方法 21 4.1 应用防护概述 21 4.2 病毒防护 22 4.2.1 病毒防护策略 22 4.2.2 文件过滤器 22 4.2.3 隔离 23 4.2.4 病毒库 23 4.2.5 自定义病毒特征 23 4.2.6 服务端口定义 24 4.2.7 病毒云防护代理 24 4.3 入侵防护 24 4.3.1 入侵防护策略 24 4.3.2 场景和模式设置 25 4.3.3 IPS云防护代理 25 4.3.4 自定义特征 26 4.3.5 特征内容 26 4.3.6 重定向 27 4.4 反垃圾邮件 27 4.5 旁路检测模式 28 4.6 抗扫描 29 4.7 WEB应用防护 31 4.8 私有云防护 33 4.8.1 私有云配置开启 33 4.8.2 私有云防护策略 33 4.8.3 云服务器配置 34 4.8.4 白名单 34 4.8.5 文件类型 35 4.8.6 统计与查询 35 第5章 上网行为管理 36 5.1 上网行为策略 36 5.2 URL过滤策略 36 5.2.1 URL过滤策略 36 5.2.2 自定义URL 37 5.2.3 智能学习 37 5.3 应用识别策略 38 5.3.1 应用识别策略 38 5.3.2 自定义应用 39 5.3.3 全局黑白名单 39 5.3.4 QQ免控账号 39 5.4 高级协议控制 40 5.4.1 协议控制资源 40 5.4.2 协议控制配置 40 5.4.3 协议控制策略 42 第6章 审计中心 43 6.1 上网审计策略 43 6.2 高级邮件配置 44 第7章 VPN概念与配置方法 46 7.1 IPSec VPN隧道 46 7.2 IKE密钥交换 47 7.3 局域网-局域网配置方法 48 7.3.1 添加VPN规则 48 7.3.2 添加IKE配置 49 7.3.3 网关隧道配置方法 51 7.4 VPN客户端远程访问的配置方法 52 7.4.1 VPN规则的设置方法： 52 7.4.2 IKE配置的设置方法： 52 7.4.3 客户端隧道的添加方法： 53 7.4.4 DHCP over IPSec的配置方法： 54 7.4.5 扩展认证的配置方法： 55 7.5 隧道组的配置方法： 55 7.6 隧道间路由配置方法 56 7.7 野蛮模式的应用 56 7.