天清汉马USG防火墙-快速安装指南
天清汉马USG防火墙(T系列)
快速安装指南
北京启明星辰信息安全技术有限公司
Beijing Venus Information Security Inc.
二零一六年11月
天清汉马USG防火墙
快速安装指南
手册版本V1.0
产品版本V2.0
资料状态发行
版权声明
启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。
免责声明
本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
User’s Manual Copyright and Disclaimer
Copyright
Copyright Venus networks Co.Ltd All rights reserved.
The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer
This document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
副本发布声明
启明星辰公司的天清汉马USG防火墙产品正常运行时,包含2款GPL协议的软件(linux、zebra)。启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户,请需要GPL软件的客户提供(1)已经购买的产品的序列号,(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。
快速安装指南 (2)
User’s Manual Copyright and Disclaimer (2)
Copyright (2)
Disclaimer (2)
第1章硬件安装 (5)
1.1安装前准备工作 (5)
1.1.1 安装环境要求 (5)
1.1.2 安装工具准备 (5)
1.2设备面板标识说明 (5)
1.3设备安装 (6)
1.3.1设备接口卡的安装 (6)
1.3.2将设备安装到机柜 (6)
第2章快速配置 (7)
2.1设备默认配置 (7)
2.1.1管理口的默认配置 (7)
2.1.2默认管理员用户 (7)
2.2 Web快速配置 (7)
2.2.1登录设备 (7)
2.2.2配置VLAN (8)
2.2.3配置IP地址 (9)
2.2.4透明桥模式案例1 (10)
2.2.5透明桥模式案例2 (12)
2.2.6路由综合案例 (14)
2.2.7攻击防护案例 (20)
2.2.8应用控制案例 (23)
第3章软件升级 (27)
3.1通过Web升级 (27)
第1章硬件安装
在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。
1.1安装前准备工作
1.1.1 安装环境要求
工作温度 0~40℃
存储温度-40~70℃
相对湿度0~95%非凝结
电磁兼容性满足GB9254-1998 A级以上及GB17618-1998电磁兼容要求电源适应性220V 拉偏电: 198V~242V,频率:49~51Hz
1.1.2 安装工具准备
请安装前准备好以下安装工具:
终端:配置终端,可以是普通PC机、笔记本电脑
工具:十字螺丝刀和防静电护腕
电缆:电源电缆、串口电缆、网线
1.2设备面板标识说明
:超级终端的RJ45连接端口
:2×USB连接接口
:管理接口
:10/100/1000M自适应以太网电接口业务口
:GE SFP 光接口 业务口
:机箱后部电源插座和电源开关
:接口卡
1.3 设备安装
1.3.1 设备接口卡的安装
设备接口卡安装步骤如下:
1) 设备断电;
2) 取下接口槽位上的挡板,插入接口卡; 3) 安装完毕。
设备的接口卡不支持热插拔,设备必须在断电情况下才能进行接口卡
的安装和卸载,否则会造成设备的损坏!
1.3.2 将设备安装到机柜
1)设备断电
2)将设备放置在机柜托盘上 3)将设备固定在机柜上 4)接通电源 5)管理口接上网线
第2章快速配置
本设备可通过Web方式来进行配置。
2.1设备默认配置
出厂的防火墙设备自带默认的配置。这些默认配置可以在出厂的情况下,允许用户通过Web 进行配置。
2.1.1管理口的默认配置
标记有“MGT”的接口为设备的管理口;如果没有“MGT”接口,则主板上从左侧数第一个以太网接口为设备的管理口。
管理口的默认IP地址为192.168.1.250/24。允许对该接口的Ping,HTTPS操作。
2.1.2默认管理员用户
系统默认的管理员用户为admin,密码为fw.admin。任何地址都可以使用该用户登录设备。并且可以使用设备的所有功能。
2.2Web快速配置
2.2.1登录设备
配置本机IP地址为192.168.1.2/24, 通过网线将本机和设备管理口连接。打开浏览器,输入https://192.168.1.250, 连接设备。
输入用户名(缺省用户名:admin)、密码(缺省密码:fw.admin)和验证码(随机生成)登录。
2.2.2配置VLAN
◆案例描述
FW设备使用VLAN提供转发业务,在配置其他业务前,需要根据网络环境创建VLAN并在其中加入物理接口成员。
◆配置步骤:
进入网络 >接口>VLAN,点击新建,如下图:
1、配置参数
名称:vlan的名称,这里配置为vlan1。
Tag:vlan的tag号,这里配置为1。
管理状态:vlan接口的状态,设置为UP。
MTU :vlan接口的MTU值,保持默认的1500即可。
接口选择:在可选的接口中点击加入到Untagged或者Tagged接口中,这里将ge0/1以Untagged方式加入到vlan 1中,将ge0/2以Tagged方式加入到vlan 1中。
2、点击提交完成创建VLAN。
2.2.3配置IP地址
防火墙设备在做网络层以上业务处理时,需要在VLAN上配置IP地址。
配置步骤:
1.进入网络>接口>VLAN,点击列表中的需要配置的vlan接口,如下图所示(以vlan10为例):
IP地址/掩码:vlan 接口的IP地址/掩码,这里设置为1.1.1.1/24。
这里不选择浮动IP与单元ID。
点击“添加”按钮。
2.点击“更新”添加VLAN IP成功,如下图所示:
2.2.4透明桥模式案例1
◆案例描述:
防火墙设备透明部署,通过FW设备的报文不带vlan tag,内网用户需要通过防火墙访问外网。
案例拓扑
◆配置步骤:
1、进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged方式加
入到vlan10中,点击提交使配置生效。
2、进入对象>地址对象>地址节点,创建IPV4类型的地址对象内网用户,并将内网网段
192.168.10.0/24加入到地址对象中。
3、进入策略>防火墙>策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也
配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点击提交使配置生效。
4、进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。
5、进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。
2.2.5透明桥模式案例2
◆案例描述:
防火墙透明部署在trunk链路下,通过FW设备的报文带vlan tag10和vlan tag20,FW设备需要透传带vlan tag的报文,并且内网用户需要通过防火墙访问外网。
案例拓扑
◆配置步骤:
1、进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged加入到
vlan10中,点击提交使配置生效。
2、配置设备管理接口允许SSH或telnet方式访问设备,并使用SSH或telnet方式登陆到设备
管理终端,在配置视图下,输入如下命令。该命令会使得该vlan的接口下允许所有的vlan tag 或untag透传,故配置后不再受步骤1中vlan接口配置的UnTagged或者tagged方式的约束。
FW(config)# vlan 10
FW(config-vlan)# vlan-transparent enable
提示:此配置命令适用于FW需要透传大量vlan时使用,若桥下只需要允许单个VLAN带tag通过,在配置vlan时,将接口tagged方式加入到该vlan中即可。
3、进入对象>地址对象>地址节点,创建IPV4类型的地址对象内网用户,并将内网网段
192.168.10.0/24和192.168.11.0/24加入到地址对象中。
4、进入策略>防火墙>策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也
配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点击提交使配置生效。
5、进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。
6、进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。
2.2.6路由综合案例
◆案例描述:
企业需要通过FW设备进行互联网访问,内网地址网段为192.168.1.0/24,服务器网段为192.168.2.0/24。企业有两条条出口链路分别属于电信、网通,电信的公网地址为13.1.1.1,网关为13.1.1.2;网通的公网地址为14.1.1.1,网关为14.1.1.2。用户具体需求如下:
1、内网地址访问外网需要进行源NAT转换。
2、外网地址访问内网服务器需要进行目的NAT转换。
3、依据组网划分不同的区域,内网属于trust区域,外网属于untrust区域,内网服务器属
于DMZ区域。配置策略允许trust区域访问untrust区域,允许trust和untrust区域访问DMZ区域的http服务,其他访问流量默认拒绝。
4、若访问的目的地址为电信IP地址,选择电信的链路作为出链路,当电信链路故障以后,选
择网通的链路作为出链路。
5、若访问的目的地址为网通IP地址,选择网通的链路作为出链路,当网通链路故障以后,选
择电信的链路作为出链路。
6、若访问的目的地址不属于电信、网通,可以轮询选择出链路,但是内网访问服务器的流量
都不受策略路由控制。
案例拓扑
◆案例配置分析:
1、设备配置源NAT实现内网访问外网的NAT转换。
2、设备配置目的NAT实现外网到内网服务器的访问。
3、配置添加两条默认路由使得内网可以通过路由成功访问到外网。
4、配置接口加入到不同的安全域,通过配置防火墙策略实现区域之间的互访控制。
5、配置策略路由实现基于ISP的选路。
6、地址对象配置添加排除IP,使得内网访问服务器不受策略控制。
配置步骤:
1、照上述拓扑进行组网,并作基本网络配置,包括VLAN划分,以及IP地址配置。
2、进入对象>地址对象>地址节点,创建电信地址对象,ISP地址库选择ISP_CT.dat(中国电
信),配置提交。
3、按照上述方法,分别创建如下地址对象:
电信:包含电信ISP地址库
网通:包含网通ISP地址库
内网地址:成员为所有内网网段:192.168.1.0/24和192.168.2.0/24
外网地址:成员为0.0.0.0/0,同时将内网用户192.168.1.0/24和服务器网段192.168.2.0/24添加到排除地址中。
DNAT电信:成员为内网服务器对外映射的公网地址:13.1.1.10。
4、进入网络>NAT>NAT规则>源地址转换,点击新建,转换类型为IPV4 to IPV4,源地址选
择内网地址,目标地址为any,服务为any,出接口选择VLAN3,转换后地址为出接口地址,点击提交。
5、按照上述方法,创建出接口为VLAN4的源NAT策略。
6、进入网络>NAT>NAT地址池,点击新建,名称为dnat-pool,地址池配置为内网服务器地
址192.168.2.10,点击提交使配置生效。
7、进入网络>NAT>NAT规则>目的地址转换,点击新建,源地址选择any,目标地址为DNAT
电信,服务为any,入接口选择VLAN3,转换后地址引用地址池dnat-pool,点击提交。
8、进入网络>路由>静态路由:IPv4:配置添加两条默认路由,点击提交使得路由配置生效。
9、进入网络>安全域,配置添加trust安全域,将内网接口vlan1加入安全域中。
10、按照上述方法,创建untrust和DMZ安全域,untrust安全域加入vlan3和vlan4接口,
DMZ安全域加入vlan2接口。
11、进入策略>防火墙>策略,点击新建,地址类型选择IPV4,入接口选择安全域trust,出接
口选择安全域untrust,源地址选择内网地址,目的地址选择any,服务选择any,应用选择any,时间选择always,动作选择permit,点击提交使得配置生效。
12、按照上述方法,创建允许trust和untrust区域到DMZ区域的http服务访问,勾选启用
使得策略生效。
13、进入策略>防火墙>策略配置,查看策略匹配开关是否开启,默认动作为deny。
14、进入对象>健康检查,创建icmp健康检查模板。
提示:源IP和覆盖IP若不填写,健康检查会使用策略路由的下一跳作为目的IP进行检查,源IP会自动选择下一跳对应出接口的IP。
15、进入网络>路由>策略路由,分别创建电信策略路由、网通策略路由和默认策略路由。
◆电信策略路由
源地址选择内网地址,目标地址选择电信地址对象,网关添加电信链路和网通链路,电信链路优先级高于网通链路,并引用icmp健康检查模板。
◆网通策略路由
源地址选择内网地址,目标地址选择网通地址对象,网关添加电信链路和网通链路,网通链路优先级高于电信链路,并引用icmp健康检查模板。
默认策略路由
源地址选择内网地址,目标地址选择外网地址对象,由于外网地址添加了内网网段192.168.1.0/24和192.168.2.0/24的排除地址,故内网访问服务器的流量不会匹配策略路由。网关添加电信链路和网通链路,网通链路优先级和电信链路优先级相同,使其轮询转发,并引用
icmp健康检查模板。
情况。
2.2.7攻击防护案例
◆案例描述:
企业要求对内部网络进行防护,抵御外部网络的攻击,具体需求如下:
1、若外网的每源IP向内网发出的TCP连接请求速率超过100,设备主动验证连接请求方是否
为攻击源,若是攻击源,设备将连接请求报文丢弃。
2、若外网某一源地址1秒内向内网服务器超过1000个不同端口发送了TCP连接请求报文(或
UDP连接请求报文),则设备在接下来的20秒内,此源地址的所有TCP请求报文(或UDP 请求报文)被阻断。
3、对常见的Dos攻击类型进行主动防御。
4、对内部服务器192.168.11.11配置ARP防护,防止遭受ARP欺骗攻击,引起服务器访问失
败。
案例拓扑
◆配置步骤:
1、照上述拓扑进行组网,并作基本网络配置,包括VLAN划分,以及IP地址配置,配置路由、
防火墙等策略等保证网络可正常通信。
2、进入对象->地址对象->地址节点,创建IPv4类型的地址对象“内网地址”,将内网网段
192.168.10.0/24和192.168.11.0/24加入到地址对象中。
3、进入策略>安全防护>攻击防护>安全防护表,点击新建,勾选启用Anti-Flood Attack,TCP
天清汉马USG快速安装指南 安全技术有限公司手册版本 产品版本 2.6.3 资料状态发行
第1章软件安装 .................................................................................................. 1-2 1.1 准备条件 ........................................................................................................... 1-2 1.2 天清集中管理与数据分析中心安装过程 ....................................................... 1-2 1.2.1 MSDE数据库.................................................................................................................. 1-4 1.2.2 天清集中管理与数据分析中心................................................................................... 1-4 1.3 管理配置 ........................................................................................................... 1-7 1.3.1 配置数据库服务器....................................................................................................... 1-8 1.3.2 配置入库缓冲文件路径............................................................................................... 1-9 1.3.3 配置声音报警............................................................................................................. 1-10第2章软件卸载 ................................................................................................ 2-11 2.1 天清集中管理与数据分析中心卸载过程 ..................................................... 2-11第3章硬件安装 ................................................................................................ 3-12 3.1 准备条件 ......................................................................................................... 3-12 3.2 标识说明 ......................................................................................................... 3-12 3.3 设备安装 ......................................................................................................... 3-14 3.3.1 模块化设备安装......................................................................................................... 3-14 3.3.2 10000E设备安装........................................................................................................ 3-15第4章快速配置 ................................................................................................ 4-16 4.1 设备默认配置 ................................................................................................. 4-16 4.1.1 管理口的默认配置..................................................................................................... 4-16 4.1.2 默认管理员用户......................................................................................................... 4-16 4.2 Web快速配置.................................................................................................. 4-16 4.2.1 登录设备..................................................................................................................... 4-16 4.2.2 语言配置..................................................................................................................... 4-18 4.2.3 配置路由模式............................................................................................................. 4-19 4.2.4 配置桥模式................................................................................................................. 4-22 4.2.5 配置安全策略............................................................................................................. 4-24 4.2.6 配置NAT...................................................................................................................... 4-26 4.3 天清集中管理与数据分析中心快速配置 ..................................................... 4-27 4.3.1 登录天清集中管理与数据分析中心......................................................................... 4-27 4.3.2 添加USG设备............................................................................................................. 4-28 4.3.3 添加设备组................................................................................................................. 4-29 4.3.4 调整数据接收端口..................................................................................................... 4-29 4.3.5 查询数据..................................................................................................................... 4-30 4.4 天清集中管理与数据分析中心快速配置 ..................................................... 4-30 4.4.1 登录集中管理中心..................................................................................................... 4-30 4.4.2 添加设备/设备组....................................................................................................... 4-30
长城资产天清汉马防火墙配置信息
一、基本信息 接口0的默认地址配置为192.168.1.250/24。允许对该接口进行Telnet,PING,HTTPS操作。 系统默认的管理员用户为admin,密码为https://www.doczj.com/doc/4d9810007.html,g。用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。 系统默认的审计员用户为audit,密码为venus.audit。用户可以使用这个账号对安全策略和日志系统进行审计。 系统默认的用户管理员用户为useradmin,密码为https://www.doczj.com/doc/4d9810007.html,er。用户可以使用这个账号用于配置系统管理员。 二、USG设备的主要配置选项。 1.系统管理:系统配置和管理。包括状态、会话管理、管理员、维护和监控。 可以查看各种版本,系统已经运行的时间,系统性能,接口状态,授权信息,各种网络活动状况 可以对USG进行会话管理,进行会话连接数限制并可以临时阻断可疑的会话 可以对协议超时时间进行配置,因为有些应用程序在全连接建立后,报文只会根据实际的数据进行交互,而没有保活机制,往往会导致连接超时删除,后续的数据无法通过设备。协议管理功能提供了设置特定服务超时时间的功能,可以解决这种需要长时间空闲连接的问题。 创建管理员要先创建管理员权限表,可以配置只能通过哪个地址进行登陆 如果对设备各种库进行自动升级要为设备设置正确的DNS, 选择恢复出厂设臵提交后,去执行重启操作,而不要去点保存按钮 目前外置储存器只支持CF卡和USB 2.网络管理:网络相关配置。包括接口、NAT、基本配置、DHCP、双机热备功能的配置。 可以更改端口的带宽设置、双工模式以及端口速率等设置功能。对于端口的命名,如果是100M网卡,则名称前缀为eth,比如eth0,eth1等等;如果是1000M网卡,则名称前缀为ge,端口默认的MTU为1500,本设备可以做单臂路由。 同一个接口只能加入到一个网桥组。已创建了子接口(VLAN接口)的以太网接口不能加入网桥组。 GRE 协议的英文全称是Generic Routing Encapsulation,即通用路由封装协议。GRE 是第三层的隧道协议,它利用一种协议的传输能力为另一种协议建立了点到点的隧道,被封装的报文将在隧道的两端进行封装和解封。使用GRE 协议可以与对端路由器或防火墙设备建立虚拟的、点对点通信。仅支持封装IP 类型的网络数据包。
天清汉马USG防火墙Trunk配置指南 (V 4.0) 北京启明星辰信息安全技术有限公司 Beijing Venustech Cybervision Co.,Ltd. 二零一一年十一月
版权声明 启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus Info Tech Inc. All rights reserved. The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
天清汉马USG防火墙-快速安装指南 天清汉马USG防火墙(T系列) 快速安装指南 北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc. 二零一六年11月
天清汉马USG防火墙 快速安装指南 手册版本V1.0 产品版本V2.0 资料状态发行 版权声明 启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus networks Co.Ltd All rights reserved. The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
1. (一)防火墙 根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。目前,有很多厂商提供各种类型的防火墙平台,对它们有几种常用的分类方法:1)按照产品形式可分为硬件防火墙和软件防火墙两大类; 2)按照性能可以分为百兆级和千兆级两类防火墙; 3)按照操作模式可分为透明模式、路由模式和NA T(网络地址转换)三类; 4)按照部署位置可分为边界防火墙和主机/个人防火墙两类; 5)按照OSI模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙 对防火墙的配置和使用应该坚持四个基本原则: 对防火墙环境设计来讲,首要的就是越简单越好。设计越简单,越不容易出错,防火墙的简单 安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安物用其长 全控制,入侵检测产品主要针对网络非法行为进行监控。 单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系深层防御 才能实现系统的真正安全。 防火墙的一个特点是防外不防内,对内部威胁要采取其它安全措施,比如入侵检测、主机关注内部威胁 防护、漏洞扫描、病毒查杀。 (二)网络入侵检测 网络入侵检测主要采用两种技术:误用检测技术和异常检测技术。而这也是入侵检测系统的分类标准之一。 误用检测通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。 根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检异常检测 测,所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测。(三)网络脆弱性分析 脆弱性分析技术,也被通俗地称为漏洞扫描技术,该技术是检测远程或本地系统安全脆弱性的一种安全技术。通过与目标主机TCP/IP端口建立连接并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机某些内在的安全弱点。 与入侵检测之类的网络监控技术相比,漏洞扫描技术是一种预防性的措施。一般情况下,它们定期工作,检查系统中可能被人利用的网络漏洞,评估和衡量安全保护基础设施的有效性。系统管理员利用网络漏洞扫描技术对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,可以了解在运行的网络系统中存在的不安全的网络服务,在操作系统上存在的可能导致黑客攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序以及防火墙系统是否存在安全漏洞和配置错误,等等。 网络漏洞扫描技术通过远程检测目标主机TCP/IP不同端口的服务,记录目标主机给予的回答。此外,通过模拟黑客的进攻手法对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。
天清汉马USG防火墙快速安装指南 北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc. 二零零九年六月
天清汉马USG防火墙 快速安装指南 手册版本V3.0 产品版本V2.6.3.0 资料状态发行 版权声明 启明星辰公司版权所有,并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus Info Security Inc. All rights reserved. The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.
https://www.doczj.com/doc/4d9810007.html,/161/8704161.shtml 启明星辰天清汉马USG白皮书 2009-02-06 15:52出处:比特网作者:于捷【我要评论】 [导读]天清汉马USG一体化安全网关是启明星辰研发的具有自主知识产权的统一威胁管理(UTM)产品,通过深层的数据包监测技术和智能过滤技术为企业提供多层次的立体化安全防护。 1. 产品概述 【比特网综合报道】天清汉马USG一体化安全网关是启明星辰研发的具有自主知识产权的统一威胁管理(UTM)产品,通过深层的数据包监测技术和智能过滤技术为企业提供多层次的立体化安全防护。天清汉马USG产品系列共计十余款产品型号,丰富的产品型号和灵活的接口配置能够满足政府、教育、金融、企业、能源、运营商等用户对性能、可用性和可靠性的需求。 天清汉马USG系列产品具备丰富的安全功能,如:防火墙、VPN、入侵防御(IPS)、防病毒、上网行为管理、抗拒绝服务攻击(Anti-DoS)、内容过滤、反垃圾邮件等,同时全面支持QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
2. 产品架构 天清汉马USG一体化安全网关采用“设计一体化、部署一体化、防御一体化、管理一体化”的一体化设计思想。 启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证,得出网关类产品性能消耗50%来自于模式匹配,25%来自于协议重组、25%来自于报文重组的结论。 USG作为统一威胁管理类产品,功能涵盖了入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等多项功能,那么必然包含多项的分析处理引擎,如何融合分析处理引擎,合并性能消耗关键业务单元成为UTM产品软件结构设计首要考虑的问题。 基于以上研究数据,启明星辰在天清汉马USG一体化安全网关的软件结构设计上引入了一体化的设计理念。即将入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计,以达到性能最优的目的。 模式匹配是分析处理引擎的关键性能消耗单元,因此,分析处理引擎的一体化首先是模式匹配单元的融合。对于不同的功能模块,模式匹配是基于不同特征库的,因此模式匹配的融合主要是特征库的统一。