启明星辰USG防火墙

实验环境：1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1（BVI1）。

网桥组1 配置防火墙管理IP：192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连，网关为192.168.0.1.4、eth3 直接与主机相连，主机IP 设为192.168.0.5实验拓扑：通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：实验步骤如下：1.进入“网络设置-接口-透明桥”点击“新建”。

在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。

为便于对防火墙的管理可以将“管理访问”下的选项全部选择。

因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。

因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。

参数配置完毕后，点击“提交”。

点击右上角图标保存配置。

2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。

提交并保存3.进入“防火墙》安全策略”点击“新建”，配置eth3 到eth2 的“全通”安全策略。

源接口选择“eht3”，目的接口选择“eth2”,时间表选择“always”，动作选择“PERMIT”, 地址名和服务保持默认的“any”。

参数配置完毕后点击“提交”点击“eth3->eth2(1)”查看此安全策略，选择“启用”。

之后点击右上角图标保存配置。

4.为保证网络的正常使用，需设置路由。

进入“路由》静态路由”，点击“新建”，在IP 地址/掩码中填入“0.0.0.0/0.0.0.0”，下一跳填入路由的IP “192.168.0.1”，权重和距离均填“1”即可。

参数填完后，点击提交。

之后点击右上角图标保存配置。

5．将内网主机连接到eth3 上，访问，若登录成功则配置正确。

USG系列设备维护以下内容将详细向您介绍设备的维护方法（包括设备韧体的上传(即设备升级)和恢复设备出厂设置）一、设备升级：步骤如下：1、打开web浏览器，输入设备管理IP:https://192.168.1.1，输入用户名:admin,密码:1234。

点击登录进入设备配置界面。

若您想更改设备管理员密码，您需要在如下界面输入您更改的新密码，点击应用，如您不需要更改密码，请点击忽略。

2、进入维护配置界面，打开文件管理＞韧体上传，点击开启档案。

找到对应设备的bin 文件，点击上传。

3、等待设备的升级，这期间设备可能会重启若干次，而设备sys 灯在不断闪烁，可能需要花费五分钟时间，请您耐心等待。

（注意:升级设备时请不要断电）升级完成时，设备sys灯将常亮，重新登陆设备，显示如下界面，再次输入用户名、密码登陆设备。

4、进入设备配置界面后，显示升级后的版本。

如下：二、设备恢复出厂设置：1、登陆维护配置界面，打开文件管理＞配置文件，点击开启档案。

找到设备的conf 文件，点击上传，上传文件后，该文件会现在配置文件中。

默认的出厂文件，也可以是在经过配置后所备份的文件）正在恢复出厂设置。

当设备sys灯稳定常亮，说明设备恢复出厂完毕。

USG系列设备注册及服务更新如果您还没有注册的话，您可以在注册您的ZyWALL，激活试用的服务（如防病毒等）。

下面向您具体介绍如何注册设备并激活服务。

1、打开web浏览器，输入设备管理IP:https://192.168.1.1，登录设备配置界面，依次进入许可证＞注册，在如下界面选择新建帐号。

2、输入：用户名:6到20位的包括数字和字母的字符（包括下划线），不允许使用空格。

点击检查按钮确认该用户名是否有效。

密码:一个6到20位的包括数字和字母的密码（包括下划线），不允许使用空格。

E-Mail地址:输入您的e-mail地址。

最多80位的包括数字和字母的字符（包括句点和下划线），不允许使用空格。

天清汉马USG防火墙Trunk配置指南(V 4.0)北京启明星辰信息安全技术有限公司Beijing Venustech Cybervision Co.,Ltd.二零一一年十一月版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Tech Inc. All rights reserved.The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.目录1 版本信息 (4)2 技术简介 (4)3 配置链路聚合Trunk接口 (5)3.1配置链路聚合Trunk接口 (5)3.2配置案例 (8)3.3常见故障分析 (13)1 版本信息手册版本V4.0产品版本V2.6.4.0发布状态发布发布时间2011年11月21日备注信息无2 技术简介链路聚合Trunk是通过组合多个链路成为一个逻辑的网络链路，用于提高带宽。

天清汉马USG防火墙－快速安装指南天清汉马USG防火墙（T系列）快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一六年11月天清汉马USG防火墙快速安装指南手册版本V1.0产品版本V2.0资料状态发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus networks Co.Ltd All rights reserved.The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的天清汉马USG防火墙产品正常运行时，包含2款GPL协议的软件（linux、zebra）。

华为 USG6000 系列 下一代防火墙产品 竞争分析
HUAWEI CONFIDENTIAL HUAWEI PARTNER USE ONLY—DO NOT DISTRIBUTE Part 1：Competitive Overview 竞争总览 Landscape Overview 市场概览 下一代防火墙（NGFW）是当前安全市场的热点。除拥有传统防火墙的所有功能外，NGFW 能够 基于应用进行访问控制，结合 IPS 进行一体化防御，并集成了更多的安全功能。NGFW 与 UTM（统一 安全管理）同为多功能安全网关设备，最显著的区别在于性能。通常， UTM 开启 IPS （入侵防御功能） 后性能下降到原有的 20%~30%，再开启 AV（防病毒）功能后性能下降到仅剩 10%。而下一代防火墙 在同时开启 IPS 和 AV 功能后，性能下降不超过 50%。 由于具备更多的功能和更强的性能，NGFW 成为企业购买前安全网关的首选。根据全球知名咨询 机构《2014 年 Gartner 企业防火墙魔力象限》报告，当前全球仅有 20%的企业在使用下一代防火墙， 到 2014 年底，这个比例会增加到 35%。2014 年企业购买的边界安全网关，有 70%都将是 NGFW。下 一代防火墙的市场即将步入爆发期。
Competitor 竞争对手 Key Feature 关键特性 Performance 性能 Price 价格 Scalability 扩展性 Security 安全性 Management 可管理性 竞争对手解读 Cisco：只有营销意义上的下一代防火墙产品，产品能力上依然是传统防火墙。随着国家对 安全国产化的重视，原有市场份额被逐渐蚕食。产品价格高。 Fortinet：产品能力与华为基本持平，但缺少国内的相关认证，价格高。 高 低 高 高 高 中 低 中 中 中 中 中 中 低 高 中 高 低 中 低 高 高 高 高 高 华为 天融信 深信服 Cisco Fortinet

（CNVD-2021-17391）｜启明星辰-天清汉马USG防火墙逻
辑漏洞
0x01 漏洞说明
启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞，攻击者可利用该漏洞从低权限越权到管理员权限，可进行用户密码重置和权限设置等高权限操作
0x02 影响版本
•天清汉马USG防火墙
0x03 漏洞复现
Fofa搜索标题：（注意：互联网的非授权利用属于违法行为）
•
title='天清汉马USG防火墙'
通过百度文库查找到配置手册：
可以看见存在三种角色：
•系统管理员：admin/g ----- 最高权限，可使用所有功能
•审计员：audit/venus.audit ----- 审计安全策略和日志
•用户管理员：useradmin/er ----- 进行权限配置
问题就出在这三种角色上，简单点就是：未进行三权分离首先使用useradmin/er 登入到系统，只能查看系统管理选项。

点击'' 编辑图标，进行管理员编辑：
访问权限选择为：admin，再刷新即可使用全部功能：
0x04 修复建议
修改默认密码，做好权限分离。

结束语
本文章仅用于交流学习，请勿使用该漏洞进行违法活动。

200G都可以
上千万
型号
启明星辰
USG-FW-14600GP
TG91900
天融信 TG-61540 2GE+4SLOTS
接口数
≥49
48GE每业务板，至少 可以插2个业务板
34
吞吐量
≥40G
最大并发连接 数
≥320万
每秒新建连接 数 大概市场成交 价
≥26万
或者目录价
ห้องสมุดไป่ตู้40
每个防火墙卡提供的 性能：吞吐量＞40G， 并发连接数＞800万
120万（机器+主控板+ 业务板）才可以达到 要求
型号
启明星辰 USG-FW-16600GP
TG-61740
天融信 TG-91642 9u机架
接口数
≥65
吞吐量
最大并发连接 数 每秒新建连接 数 大概市场成交 价 或者目录价
≥80G ≥400万 ≥30万
34 超出65，一块业务板就几十口端口
46G
120G
防火墙卡（1个CONSOLE 和1个10/100/1000BASE主控卡：提供1个 CONSOLE、1个USB2.0接 接口卡：20个 10/100/1000Base-T以太 接口卡：48个 10/100/1000BASE-T以太 接口卡：12个1000BASEX以太网接口（SFP)和12
TopSEC-9190012X
U5560或者使用其交换机 插防火墙业务板的方式 对应
最大可扩充到≥56个千 兆业务接口+12个万兆接 口
大包（1024及以上字 节）吞吐量≥32Gbps；
H3C
无资料，我 们基本碰不 到华三了在 国内
华为
无对应防火墙型号，但 其会使用核心交换机+防 火墙业务板卡的方式实 现（防火墙序列没有）

14
三、安装及配置
2.产品安装步骤
– 硬件安装
（设备上架、布线、加电、配置、调试）
– 软件安装
（安装SQL Server/MSDE 数据库，安装天清集中管理与数据分析中心）
15
三、安装及配置
3.产品登录
• Web管理方式 – 使用IE等浏览器通过HTTP或者HTTPS方式管理和访 问设备
16
三、安装及配置
USG产品培训
—山东分公司
启明星辰介绍
留学生创立（1996） 国内最早的网络安全高科技企业之一 多项自主知识产权
立足本土、面向国际
承担最多的国家科研项目
承担过国内最大的“网络安全保障工程”
2010年6月成功上市
2
启明星辰介绍
目标和宗旨： 成为国际一流的TSP
TSP
Trusted Security
33
地址转换：源NAT
• • • • 在出口作地址转换 只改变源IP和源端口 主要用作内网对公网的访问 支持根据不同的数据流转换 到相应的地址池（策略NAT） • 只能从内部发起
转换后
目标IP 不变 目标端口 不变 源IP 改变 源端口 改变 类型 源地址转换 目标IP 公网
出口
DMZ
Internet
14
防病毒双引擎
安天&卡巴斯基
改进功能5
USG2640概述（1）
• USG2640产品特色 • 技术全面化
– – – – – – – 虚拟防火墙； 链路聚合TRUNK； VRRP； BGP； ISP； IPV6； 卡巴斯基防病毒
• 增强与完善
– – – – – – – – – – – – – IGMP SNOOPING； 端口状态同步； HA备机可管理； 双系统； 多配置文件保存； 日志合并； DNAT自动映射； 策略保障带宽、接口带宽； IPSec配置向导、多模式、多 链路、国密算法； SSLVPN代理优化、登录信息 ； 配置向导； 反向路径检查； 系统资源监控；

公司简介：启明星辰信息技术有限公司成立于1996年，由留美博士严望佳女士创建，是一家拥有自主知识产权的网络安全高科技企业。

作为与国际接轨、勇于创新的先行者，启明星辰公司致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能。

多年来，启明星辰公司始终坚持技术创新，确保技术水平与国际同步，目前已拥有50多项自主知识产权，并先后承担了国家863项目、国家发改委产业化示范工程等国家级、省部级重点信息安全科研项目共50多项，是国内网络安全领域承担国家级重点项目最多的企业。

启明星辰公司拥有国内最具实力的安全产品开发队伍，国际一流的黑客攻防技术研究团队——积极防御实验室（ADLAB），国际一流的安全运营服务团队——M2S 安全运营中心，国内一流的安全体系设计及咨询团队——前线技术专家团（VF），国内一流的安全系统集成团队和国内首家企业网络安全博士后工作站。

在稳固入侵检测、漏洞扫描产品多年市场占有率领先的同时，启明星辰公司推出了业内先进的一体化威胁管理（UTM）、安全审计等产品、国际化的专业安全服务、安全管理平台（SOC）以及符合萨班斯（SOX）法案的安全解决方案，帮助客户建立完善的安全保障体系。

启明星辰一体化安全网关防火墙采用“一体化”的思想，通过“设计一体化”，实现了“部署一体化、防御一体化、管理一体化”，在“安全变得简单”的指引下，为用户实现了“选择部署简单、防御威胁简单、策略实施简单、管理维护简单”。

天清汉马一体化安全网关介绍一、产品简介：凭借多年UTM市场经验积累，根据用户的切身需求，启明星晨推出新一代的UTM产品--天清汉马一体化安全网关。

天清汉马一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、IPSec VPN、SSL VPN、网关防病毒、入侵防御、抗拒绝服务攻击（Anti-DOS）、Web内容过滤、反垃圾邮件等多种安全技术于一身，同时全面支持QoS、负载均衡、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

★支持CDMA2000和WCDMA协议下的3G功能
★支持虚拟防火墙技术，每个虚拟系统权限管理、策略配置完全独立，至少可划分25个虚拟防火墙系统
支持根据连接数对IP进行实时排行，提供功能截图证明
支持会话临时阻断功能，提供功能截图证明
★安全厂商CVE漏洞发现数超过90个，请给出漏洞发现列表（CVE编号，漏洞描述）及证明方法并加盖公章
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问，支持功能截图证明
支持IPv6的会话管理功能，可对TCP、UDP、ICMPv6等协议各个状态的超时时间进行设置
支持IPV6的会话连接统计，包含各个协议连接数统计、tcp各个状态的连接统计
支持基于源和目的地址的连接排行，支持端口流量统计．
网络适应性
要求有效防护CC攻击、HTTP GET Flood
★支持入侵场景保留，可记录入侵行为相关的网络数据报文，报文可保存至U盘或某台内网服务器，功能截图证明
防病毒
支持IPv4和IPv6双栈协议下的病毒扫描与防护
支持双病毒防护引擎，并可实现双防病毒引擎同时开启
支持HTTP,SMTP,FTP,PO3P,IMAP,等多种应用协议下病毒防护，支持自定义非标准端口下应用协议的病毒防护
支持tar、gzip、rar、zip等压缩格式的病毒扫描
FTP使用断点续传工具传输时（仅全面扫毒模式下），支持病毒检查
支持过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒
支持对当前主流的蠕虫做检测与阻断，例如：RedCode、Slammer、sober等。
支持基于病毒防护规则设置病毒隔离（仅在全面扫毒模式下,且为全局配置）、阻断、清除、记录日志，发送电子邮件报警等。
必须支持服务器负载均衡，要求支持轮流、加权最少、权重轮流、最少连接等算法，要求能够采用至少两种方法主动探测服务器的存活状态，功能截图证明

4.典型Vlan接入部署模式文档修改记录目录4. 典型Vlan接入部署模式 (1)文档修改记录 (1)目录 (2)4.1 Vlan间路由范例： (3)4.1.1 客户需求： (3)4.1.2 环境拓扑： (3)4.1.3 配置思路： (3)4.1.4 网关设备配置步骤： (4)4.2 透明模式Vlan内通讯范例： (5)4.2.1 客户需求： (5)4.2.2 环境拓扑： (6)4.2.3 配置思路： (6)4.2.4 网关设备配置步骤： (6)4.3 透明模式Vlan间通讯范例： (10)4.3.1 客户需求： (10)4.3.2 环境拓扑： (11)4.3.3 配置思路： (11)4.3.4 网关设备配置步骤： (11)4.3.4.1 开启STP功能： (15)4.4 路由模式Vlan间通讯范例： (16)4.4.1 客户需求： (16)4.4.2 环境拓扑： (16)4.4.3 配置思路： (16)4.4.4 网关设备配置步骤： (17)在用户环境中，交换机设备配置了TRUNK，并划分了多个VLAN，网关设备接入这种环境中，需要确保不同VLAN 内的PC 可以按照原有需求进行通讯。

本节介绍网关设备几种常见Vlan接入部署模式：⏹透明模式Vlan内通讯范例：⏹透明模式Vlan间通讯范例：⏹路由模式Vlan间通讯范例：4.1Vlan间路由范例：4.1.1客户需求：客户要求在不同Vlan下主机PC1和PC2，通过网关设备实现Vlan间访问。

4.1.2环境拓扑：4.1.3配置思路：1.网关设备接口eth3工作在T runk模式下。

2.绑添加绑定接口eth3的Vlan子接口eth3.10和eth3.20：⏹eth3.10接口IP地址：10.1.3.100/24。

⏹eth3.20接口IP地址：10.1.4.100/24。

注：用户需要将PC1和PC2默认网关指向对应网关设备子接口的IP地址。

3.根据用户具体环境要求，配置网关设备安全策略，保证用户使用的IP地址和访问服务允许通过。

硬件
产品型号按流量划分
分为百兆、千兆等
通过旁路监听方式采集网络数据；针对违规行为（非技术类型的攻击）的细粒度检测；安全事件发生后，确定责任；
【政策要求】涉密系统、等级保护三级以上系统必须配备。
【故事】国内某运营商，黑客从某省利用已经废弃的帐号进入，并且跳转到北京，之后入侵充值卡数据库，修改相关信息，并且在淘宝上贩卖，最后被抓获，造成数百万的损失。使用审计产品就可以确定黑客从哪里进入、对系统、数据库做了什么操作。
满足SOX要求;
支持按功能定制。
天玥四
硬件
产品型号按用户数与管理的资源划分
为运维人员使用；
统一身份认证；
运维系统（操作系统、交换机、数据库、应用）的单点登录（每天开机后仅需输入一次用户名密码）；
满足SOX要求。
SOC泰合平台
软件
产品型号按用户数与管理的资源划分
基于信息安全管理的操作、监控平台；
信息安全工作（技术、管理、培训）的唯一界面；
内网管理（终端管理/桌面管理）
软件
产品型号按IP数量划分
通过在每台PC上安装代理程序的方式实现功能；
监视、记录PC用户所有行为；
通过策略控制PC用户行为；
自动系统补丁分发；
不符合安全规定的PC无法接入网络；
涉密系统、等级保护三级以上系统必须配备。
漏洞扫描
硬件、软件
产品型号按IP数量划分
通过漏洞扫描服务器（或者是漏洞扫描硬件设备）对网络中的各类设备进行检察，发现设备中的安全漏洞；
全面监控网络安全状况，实时了解与预测网络整体安全形势与趋势；
从技术、市场、国家认可等各角度来说都是国内名副其实的第一名；
涉密系统、等级保护二级以上系统必须配备。

天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司Beijing Venus Information Security Inc.二零一一年十一月天清汉马USG快速安装指南手册版本V4.0产品版本V2.6.4.0资料状态发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part.DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

5.策略路由文档修改记录目录5. 策略路由 (1)文档修改记录 (1)目录 (2)5.1 策略路由配置范例： (3)5.1.1 客户需求： (3)5.1.2 环境拓扑： (3)5.1.3 配置思路： (3)5.1.4 网关设备配置步骤： (4)本节介绍网关设备策略路由的应用范例。

5.1策略路由配置范例：5.1.1客户需求：客户在出口部署网关设备，配置了联通和电信两个ISP接入点访问Internet网络，并且要求内网用户PC需要通过联通（ISP1）上网，内部服务器通过电信（ISP2）提供服务。

5.1.2环境拓扑：10.1.1.14/24 5.1.3配置思路：1.网关设备接口IP地址配置如下：⏹eth1接口IP地址：200.1.1.2/24。

⏹eth2接口IP地址：201.1.1.2/24。

⏹eth3接口IP地址：10.1.1.10/242.配置内部服务器配置IP地址映射，将内部服务器地址（名称vip的IP地址10.1.1.14/24）转换为外部接口IP地址（201.1.1.2/24），保护内部服务器。

3.根据联通和电信提供的接入IP地址，配置网关设备默认路由，保证出口设备能够接入Internet。

4.根据需求分别针内部主机和服务器配置策略路由规则，并引用相依策略路由表。

5.根据用户具体环境要求，配置网关设备安全策略，保证用户使用的IP地址和访问服务允许通过。

注：网关设备路由匹配顺序：策略路由、ISP路由、直连路由、静态路由、动态路由和默认路由。

5.1.4网关设备配置步骤：1.配置网关设备接口，选择网络管理>网络接口>物理接口，配置网关设备物理接口eth1、eth2和eth3，并启用。

2.配置IP映射，保证外网用户可以访问内部服务器。

选择网关设备>策略>NAT策略>IP映射，IP映射NA T策略。

注：内部地址名称vip为手动建立的IP地址（10.1.1.14/24）。

3.配置默认路由。

安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
天清汗马USG上的 上的HA: 天清汗马 上的 1. 2. 3. 4. 5. 目前支持主备模式，下一版本将支持主主模式； 目前支持主备模式，下一版本将支持主主模式； 支持两台防火墙互为备份； 支持两台防火墙互为备份； 两台设备的硬件型号要求一致； 两台设备的硬件型号要求一致； HA接口为专用物理口，不处理业务； 接口为专用物理口， 接口为专用物理口 不处理业务； 支持透明模式、路由模式和混合模式； 支持透明模式、路由模式和混合模式；
安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
配置USG工作于主备模式 工作于主备模式: 配置 工作于主备模式
安全变得简单，从天清汉马开始
高可用性(HA) 高可用性
察看当前HA的工作状态与同步情况 察看当前 的工作状态与同步情况: 的工作状态与同步情况
安全变得简单，从天清汉马开始
防攻击防扫描
扫描通常是网络攻击的前兆； 扫描通常是网络攻击的前兆；USG设备可以有效防范以上几 设备可以有效防范以上几 类扫描，从而阻止外部的恶意攻击，保护设备和内网。 类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检 测到扫描探测时，向用户进行报警提示。 测到扫描探测时，向用户进行报警提示。
安全变得简单，从天清汉马开始
安全变得简单，从天清汉马开始
配置管理概述
管理员用户与权限表 • • • • • 通过默认管理员或自建管理员用户来进行管理配置； 通过默认管理员或自建管理员用户来进行管理配置； 管理员可以通过本地或Radius进行认证； 进行认证； 管理员可以通过本地或 进行认证 出厂默认管理用户admin，密码 出厂默认管理用户 ，密码g； ； 管理员权限表规定了管理员可以执行的操作； 管理员权限表规定了管理员可以执行的操作； 可以给管理员添加管理IP限制； 可以给管理员添加管理 限制； 限制

国产厂商硬件防火墙对比解析综述防火墙从形式上可分为软件防火墙和硬件防火墙。

此次，我们主要介绍硬件防火墙。

防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。

它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。

所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。

目前，在这一层面我们介绍国内几家厂商，天融信、启明星辰、联想网御、华为、安氏领信等厂商。

此次，我们将以100~500人的规模为应用对象，对各厂商的适应的“芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。

其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。

一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。

如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。

另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。

这类型厂商较多，如启明星辰、联想网御、华为等。

一般而言，产品价格相对上一种较低。

第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。

1. 天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。

目前，以安全操作系统 TOS为基础，开发了NGFW4000-UF及NGFW4000系列，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。