天清汉马USG系列配置简介.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * L2TP VPN配置 5. 用户此时可以拨入，拨入后在USG管理页面中可以查看存在的L2TP用户: 配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置 提纲 安全防护表 安全防护表是一个模板，防病毒AV、入侵检测IPS、IM- P2P控制、防Flood攻击、文件跟踪、Web过滤、邮件过滤 这些功能都是在安全防护表中进行配置并启用，相应的日志 的启用也在安全防护表中配置。 安全防护表必须通过在安全策略中引用才能生效。 安全防护表 安全防护表 安全防护表 防病毒AV配置 防病毒AV配置 防病毒AV配置 防病毒AV配置 入侵防御IPS配置 入侵防御IPS配置 预定义IPS特征 入侵防御IPS配置 自定义IPS特征 IM-P2P配置 IM-P2P统计信息 IM-P2P配置 IM用户信息 Web过滤 目前Web过滤仅支持基于URL的屏蔽，建立屏蔽列表和免屏蔽 列表后，在安全防护表中启用；启用时屏蔽列表和免屏蔽列表 是互斥的。 邮件过滤配置 USG邮件过滤是基于SMTP协议的过滤，支持: 基于SMTP命令的过滤 基于邮件标题的过滤 基于SMTP发件人的过滤 配置完成之后在安全防护表中启用邮件过滤，并在安全策略 中应用安全防护，即可使用邮件过滤功能。 邮件过滤配置 发件人屏蔽和主题屏蔽 配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置 提纲 日志功能 USG日志分为: 事件日志 病毒日志 入侵防护日志 流量日志: 支持NetFlow V9 对于前三种日志，可以配置将其记录到内存、标准Syslog服 务器或者数据中心；对于流量日志，可以输出到第三方流量收 集器或数据中心。 日志功能 大部分事件日志在这儿配置: 日志功能 NAT的日志事件在配置NAT策略时配置: 日志功能 系统监控的日志事件配置: 系统周期性轮询设备的运行状态如CPU和内存利用率、当前 连接数，以及系统检测事件，并给出告警。 日志功能 病毒、入侵等的日志事件在安全防护表中配置: 日志功能 NetFlow日志在安全策略中配置: 配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置 提纲 谢 谢！ * * * * * 高可用性(HA) 高可用性 (HA, High Availability)，可防止网络中由于单个防火墙 的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度。 高可用性(HA) 天清汗马USG上的HA: 目前支持主备模式，下一版本将支持主主模式； 支持两台防火墙互为备份； 两台设备的硬件型号要求一致； HA接口为专用物理口，不处理业务； 支持透明模式、路由模式和混合模式； 高可用性(HA) 配置USG工作于主备模式: 高可用性(HA) 察看当前HA的工作状态与同步情况: 防攻击防扫描 常见的网络攻击: Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag 防攻击防扫描 网络扫描通常分为以下几种: 垂直扫描：针对相同主机的多个端口 水平扫描：针对多个主机的相同端口 Ping扫描：针对某地址范围，通过Ping方式发现存活主机 扫描通常是网络攻击的前兆；USG设备可以有效防范以上几 类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检 测到扫描探测时，向用户进行报警提示。 防攻击防扫描 根据网络情况开启相应的防攻击和防扫描功能，并设定合理的 参数。 防攻击防扫描 防Flood攻击: 通过限制源主机或目的主机的连接数来起到防止Flood攻击的目的； 在安全防护表中启用，并通过安全策略来引用，不是全局使能的； 根据网络情况，配置合理的参数值； 可以认为是防攻击、防扫描的补充。 防攻击防扫描 配置管理概述 防火墙基本配置 VPN配置 AV和IPS配置 日志功能 数据中心安装与配置 提纲 VPN应用场景 IPSec配置简介 可以通过命令行或者web界面对IPSec进行配置，基本步骤: 配置阶段1 (IKE) 策略 配置阶段2 (IPSec)策略 在安全策略中启用IPSec 数据流触发IPSec，察看IPSec 的运行情况 IPSec配置简介 场景：启用IPSe