UTM系列特征库升级典型配置举例
关键词:特征库
摘要:本文主要描述了UTM设备特征库升级的典型配置方法。
缩略语:
缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理
AV Anti-virus 防病毒
IPS Intrusion prevention system 入侵防御系统
目录
1 特性简介 (3)
2 应用场合 (3)
3 注意事项 (3)
4 配置举例 (3)
4.1 组网需求 (3)
4.2 配置思路 (3)
4.3 使用版本 (4)
4.4 配置步骤 (4)
4.4.1 基本配置 (4)
4.4.2 主要配置步骤 (5)
4.5 验证结果 (7)
5 相关资料 (7)
5.1 其它相关资料 (7)
1 特性简介
特征库记录了设备可识别的攻击特征、病毒特征等,因此对于安全设备来说,必须保证特征库能够实时的更新升级,以保证它总是最新版本。
特征库的升级分为手动升级和自动升级:
z自动升级可以帮助用户每隔指定的时间,使用特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。
z手动升级允许用户在需要的时候手动进行升级,用户可以手动设定获取特征库的协议、服务器地址和特征库文件名称,并且手动升级可以获取与设备兼容的任意一个版本的特征库。手
动升级一般是在用户的局域网内进行的。
2 应用场合
运行在网络中的UTM设备启用了IPS和AV的功能,需要及时更新特征库
3 注意事项
要更新升级特征库,必须保证当前的License文件合法,并且在有效期限内。
自动升级特征库时,UTM设备需要连接到公网环境,与升级网址https://www.doczj.com/doc/1b7739881.html,之间路由可达。
主要配置步骤中的配置是在“应用安全策略”界面进行的,在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”,点击“应用安全策略”链接就可以进入“应用安全策略”界面。
4 配置举例
4.1 组网需求
某公司的内网网段为192.168.1.0/24,通过GE0/2连接到外网。用户登录Device的内网或外网接口地址,可以对Device进行手动特征库升级操作;设置自动升级后,Device会按照设定的时间自动进行特征库升级。
图1特征库升级配置举例组网图
4.2 配置思路
z管理特征库版本
z手动升级特征库
z自动升级特征库
4.3 使用版本
F5118
4.4 配置步骤
4.4.1 基本配置
1. 接口配置
配置GE0/0的IP地址为192.168.1.1/24,安全域为Trust;GE0/2的IP地址为192.168.103.171/22,安全域为Untrust。
图2接口配置
2. NAT配置
在GE0/2接口上配置NAT策略,选择ACL为3000,地址转换方式为“Easy IP”。
图3地址转换配置
其中ACL3000的规则为允许源地址为192.168.1.0/24的报文通过。
图4ACL配置
3. 路由信息
配置静态默认路由,其中的下一跳地址192.168.100.254为外网中的路由器与GE0/2在同一个网段的接口地址。
图5路由信息配置
4. DNS配置
配置DNS服务器IP地址,以便解析域名升级网址https://www.doczj.com/doc/1b7739881.html,。
图6配置DNS服务器IP地址
4.4.2 主要配置步骤
主要配置步骤中的配置是在“应用安全策略”界面进行的,在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”,点击“应用安全策略”链接就可以进入“应用安全策略”界面。
图7进入“应用安全策略”界面
1. 管理特征库版本
z在左侧导航栏中选择“系统管理 > 设备管理 > 特征库升级”,进入特征库升级的页面。
z在“当前版本”和“历史版本”页签中,可以分别查看不同类型特征库的当前版本信息和历史版本(即前一个版本)。
z在“历史版本”页签中,单击图标,可以将相应类型的特征库回退到相应的历史版本(即前一个版本)。
图8当前版本和历史版本
2. 手动升级特征库
在导航栏中选择“系统管理 > 设备管理 > 特征库升级”,进入特征库升级的页面。在“手动升级”页签中可以手动升级特征库的版本。选择特征库类型为“IPS”,协议为“HTTP”,通过点击< 浏览>按钮选择升级包的位置:
图9设置手动升级
点击< 确定>后,开始特征库手动升级:
图10手动升级进度显示
3. 自动升级特征库
在导航栏中选择“系统管理 > 设备管理 > 特征库升级”,进入特征库升级的页面。在“自动升级”页签中可以设置自动升级特征库的相关参数。
页面左边一列中显示的是特征库的类型,右边可以对不同类型的特征库分别设置自动升级功能的开启状态,以及自动升级的具体时间。例如,设置开启AV特征库的自动升级功能,2009年4月17日的17时进行第一次自动升级,此后每3天的17时进行一次自动升级;不开启IPS特征库的自动升级功能。
图11设置自动升级
自动升级时间到达时,开始自动升级,“手动升级”页签下显示升级进度。
图12升级进度
4.5 验证结果
在导航栏中选择“系统管理 > 设备管理 > 特征库升级”,进入特征库升级的页面。可以看到通过手动升级后,IPS的特征库版本已经更新;通过自动升级后,AV的特征库已经更新。
图13查看特征库版本
5 相关资料
5.1 其它相关资料
《Web配置手册系统管理》
Copyright ?2009- 2012 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
DPtech FW1000系列应用防火墙 典型配置 手册版本:v3.2 软件版本:FW1000-S211C011D001P15 发布时间:2018-12-07
声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址:杭州市滨江区通和路68号中财大厦6层 邮编:310051 网址:https://www.doczj.com/doc/1b7739881.html, 技术论坛:https://www.doczj.com/doc/1b7739881.html, 7x24小时技术服务热线:400-6100-598
约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。
目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
内网: 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:
C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside
security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS
配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit
人民公园园林小品案例分析
园林小品案例分析 园林小品不像园林四大要素那样在园林景观中扮演着主角,但随着社会的进步,园林小品在现代园林中的应用日渐广泛,园林小品的重要作用主要体现在它在园林中可观可赏,又可组景,就是园林小品起着分隔空间与联系空间的作用,使步移景异的空间增添了变化和明确的标志;最重要的是园林小品可渲染气氛,合理的将园林小品与周围环境结合产生不同的效果,使环境宜人而更具感染力。 园林小品是指园林中体量小巧、功能简单、造型别致、富有情趣、选址恰当的精美构筑物。例如一樘通透的花窗,一组精美的隔断,一块新颖的展览牌,一盏灵巧的园灯,一座构思独特的雕塑以至小憩的座椅,湖边的汀步等。 材质:大理石 颜色:浅灰色 优点:处于较靠近路边的位置,形体修长,线条流畅,造型典雅,有雕塑的艺术感。 缺点:设计不够人性化,过于简单,游人使用不够舒适。附近的地砖容易绊到人。
材质:铸铁,塑料 颜色:黑色 优点:造型独特美观,灯柱中空,看来十分通透,灯罩处的圆形饰物逐渐扩大,有上升之势,寓意很好,且能自然过渡到上方的圆顶。圆顶能反射光线,增强照明效果。 缺点:与环境的融合性不太好。与植物园的主题关系也不甚紧密。 材质:木材 颜色:棕色 优点:造型独特美观,看来十分通透,可以遮挡阳光,又可以休息,又可以看看墙壁上的简述,还增强照明效果。 缺点:设计新颖,与环境的融合较好。与植物园的主题也比较符合。
材质:不锈钢 颜色:银色 优点:可以让人们更好的在危及是找到安全地点,又可以让人知道自己所在的位置。 缺点:应该详细的标出安全位置以及最安全最近的路线。 颜色:浅蓝色 优点:在老人小孩的休息区,能给小孩亲近感,蓝色的雕塑与周围景物融合在了一起。 缺点:本雕塑置于高台上,虽然能够很好的突出主体,但是给人不可接触感,可以放置在平地上,感觉更为真实,设计过于简单,可以有些灯光做辉映。
文档版本V4.0 发布日期2016-01-20
登录Web 配置界面 Example9:应用控制(限制P2P 流量、禁用QQ ) Example8:基于用户的带宽管理 Example7:SSL VPN 隧道接入(网络扩展)Example6:客户端L2TP over IPSec 接入(VPN Client/Windows/Mac OS/Android/iOS )Example5:点到多点IPSec 隧道(策略模板) Example4:点到点IPSec 隧道 Example3:内外网用户同时通过公网IP 访问FTP 服务器Example2:通过PPPoE 接入互联网 Example1:通过静态IP 接入互联网目录 3411182636 51116131141
组网图 缺省配置 管理接口 GE0/0/0 IP 地址 192.168.0.1/24 用户名/密码 admin/Admin@123 登录Web 配置界面 6~8 10及以上 配置登录PC 自动获取IP 地址 1 在浏览器中输入https://接口IP 地址:port 2 输入用户名/密码 3 Firewall 192.168.0.* GE0/0/0 192.168.0.1/24 网口
局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。 企业从运营商处获取的固定IP地址为1.1.1.1/24。企业需利用防火墙接入互联网。 项目数据说明 DNS服务器 1.2.2.2/24 向运营商获取。 网关地址 1.1.1.254/24 向运营商获取。
2 3 配置外网接口 参数 4 5 配置内网接口参数 6 1
配置Client-Initialized方式的L2TP举例 组网需求 如图1所示,某公司的网络环境描述如下: ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP,实现出差员工能够通过L2TP隧道访问公司总部资源,并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口,并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例,需准备如下的数据: ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明:如果客户端的操作系统为Windows系列,请首先进行如下操作。 1在“开始> 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。 1在界面左侧导航树中,定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中,检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在,请单击右键,选择“新建> DWORD值”,并将名称命名为 ProhibitIpSec。如果此键值已经存在,请执行下面的步骤。 1选中该值,单击右键,选择“修改”,编辑DWORD值。在“数值数据”文本框
中填写1,单击“确定”。 1重新启动该PC,使修改生效。 此处以Windows XP Professional操作系统为例,介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”,在“网络任务”中选择“创建一个 新的连接”,在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”,单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”,单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称,本例 设置为LNS,单击“下一步”。 1在“公用网络”中选择“不拨初始连接”,单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址,此处设置的IP地址为USG5300 与Internet连接接口的IP地址,本配置例中为202.38.161.1,单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中,单击“完成”。 在弹出的对话框中,输入在LNS上配置的用户名和密码,单击“属性”,如图2所示。图2连接LNS 单击“属性”,设置如图3所示。图3设置LNS属性的选项页签
SecPath防火墙常见flood攻击防范典型配置 一、组网需求 SecPath开启syn-flood、icmp-flood和udp-flood的攻击防范,防止对 Server的flood攻击。 二、组网图 软件版本如下: SecPath10F:VRP 3.40 ESS 1604; 三、配置步骤 [Quidway]dis cur # sysname Quidway # firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 # firewall statistic system enable //开启报文全局统计 # radius scheme system
# domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp # acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 # interface Ethernet1/0 ip address 10.0.0.254 255.255.0.0 # interface Ethernet2/0 speed 10 duplex full ip address 192.168.1.254 255.255.255.0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface Ethernet2/0 set priority 85 # firewall zone untrust add interface Ethernet1/0 //服务器加入非信任域 set priority 5 statistic enable ip inzone //开启所在域入方向的报文统 计 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ #
SecPath安全产品在双出口下通过策略路由实现 负载分担的典型配置 一、组网需求: SecPath1000F防火墙部署在出口,有电信和网通两个出口,要求PC1通过电信的出口,PC2通过网通的出口,在任意一个出口出现故障的时候,需要能够自动切换到另外一个出口。 二、组网图 radius scheme system # domain system # acl number 3000 //配置nat转换地址范围 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 permit ip source 172.16.1.0 0.0.0.255 rule 2 deny ip acl number 3001 //配置策略路由的ACL rule 0 permit ip source 172.16.1.0 0.0.0.255 rule 1 deny ip # interface Aux0 async mode flow # interface GigabitEthernet0/0 ip address 202.38.1.1 255.255.255.0
精选文库 nat outbound 3000 # interface GigabitEthernet0/1 ip address 61.1.1.1 255.255.255.0 nat outbound 3000 # interface GigabitEthernet1/0 ip address 10.0.0.1 255.255.255.0 ip policy route-policy test //应用策略路由 # interface GigabitEthernet1/1 # interface Encrypt2/0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface GigabitEthernet1/0 set priority 85 # firewall zone untrust add interface GigabitEthernet0/0 add interface GigabitEthernet0/1 set priority 5 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DM # firewall interzone trust untrust # firewall interzone trust DMZ # firewall interzone DMZ untrust # route-policy test permit node 10 //配置策略路由