网神SecGate3600 NSG系类UTM产品基本配置.doc

一、设备出厂默认配置1、设备接口出厂默认IP地址：接口名称IP地址IP赋值方式安全区域GE1（PortA）6/静态LANGE2（PortB）无DHCPWANGE3（PortC）/静态DMZ2、Web管理员账号与密码账号密码adminadmin3、CLI命令行（SSH、串口、Telnet方式）密码admin二、首次设备管理1、使用Web UI管理NSG设备 连接示意与管理过程（1）使用网线接入NSG设备的GE1接口，并连接管理终端（PC）设备。（2）将管理终端（PC）网卡设置为自动获取IP地址。NSG将自动分配管理端IP地址。（3）打开IE或其他浏览器，在地址栏中输入设备缺省管理地址：6。（4）出现NSG管理界面，输入账号：admin；密码：admin注意：NSG设备WEB管理最低要求浏览器版本为IE7。三、配置防火墙功能购买NSG产品后，我们需要将NSG根据网络环境拓扑，部署于网络中，此时我们需要配置NSG的防火墙功能，使得新增NSG设备后的网络链路访问畅通。1、根据拓扑配置NSG，要求从LAN区域主机可访问互联网。配置步骤如下：（1）配置LAN（局域网）区域网络接口 进入“网络”“接口”页面，选择所要作为LAN（局域网）区域的接口，进行编辑： 区域：选择“LAN”区域 IP赋值方式：选择“静态”方式 IP地址：根据网络拓扑配置LAN接口IP地址 子网掩码：根据网络环境配置 主/从DNS：请根据实际配置（2）配置WAN（互联网）区域网络接口进入“网络”“接口”页面，选择所要作为WAN（互联网接口）区域的接口，进行编辑： 区域：选择“WAN”区域 IP赋值方式：选择“静态”方式 IP地址：根据网络拓扑配置WAN接口IP地址 子网掩码：根据网络环境配置 主/从DNS：请根据实际配置 网关名称：定义出口下一跳网关的名称 IP地址：填写WAN接口的下一条网关地址，如拓扑（3）配置防火墙规则通过上面两个步骤的配置，已经根据网络环境拓扑，配置完成NSG接口信息。此时网络流量还不允许通过NSG设备，需要继续配置防火墙规则。l NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则，默认规则不能删除与关闭。如下图： 序号为1的规则，任意全通的LAN-WAN（内到外）访问规则，此规则出厂缺省为丢弃动作。 序号为2的规则，带有身份验证的LAN-WAN（内到外）访问规则，此规则出厂缺省为允许动作。根据网络拓扑，如果要使得内网LAN区域的主机访问互联网WAN区域，需要将默认的序号为1的规则配置为允许动作，并且应用NAT策略。如下图操作：进入“防火墙”“规则”页面，选择所要编辑的ID号为1的规则： 关于应用NAT规则：NSG出厂缺省带有MASQ的NAT策略，此策略的作用为，将内网接口地址，转换为公网接口地址。通过以上三个步骤的配置，从内网LAN区域的主机即可访问互联网资源。n 注释：关于防火墙规则的匹配顺序说明 NSG出厂默认存在两条LAN-WAN（内到外）的防火墙访问规则如只有这两条规则时，则从ID号为1的开始匹配。当存在自定义添加的规则时，则由上到下依次匹配自定义规则。四、服务映射1、 根据拓扑配置NSG，要求对DMZ区域的WEB服务器做服务映射配置步骤如下：（1）配置虚拟主机规则： 进入“防火墙”“虚拟主机”页面，点击“添加”按钮，创建服务映射规则： 名称：定义虚拟主机的规则名称 外部IP：WAN接口IP（既互联网所访问地址） 映射IP：为网络拓扑中的WEB服务器地址 物理区域：根据所映射服务所在区域选择，如拓扑选择DMZ区域 协议：根据实际需求选择TCP或UDP 端口类型：单个端口映射请选择“单一端口“，如有端口范围，请选择“端口范围” 外部端口：既互联网访问地址的服务端口 映射端口：既所有映射的服务端口，如拓扑中的WEB服务器端口为8080（2）配置防火墙规则：进入“防火墙”“规则”页面，点击“添加”按钮，创建WAN-DMZ区域的访问规则： 配置WAN-DMZ防火墙访问规则时，源区域为ANY，目的区域为虚拟主机规则所映射的服务器，当如上图选择虚拟主机规则后，该防火墙规则服务将自动更改为服务映射所定义的端口服务。通过以上配置，根据拓扑从互联网访问：8080，此时将会自动连接至DMZ区域的WEB服务器。n 注释：关于服务映射注意事项说明 需要映射的端口范围时，请注意排除设备管理端口 所映射的服务器为80端口或443端口时，请注意更改NSG管理端口，NSG管理默认管理端口为HTTP80、HTTPS443，更改方式如下：进入“系统”“管理”页面，点击“系统管理端口”页面，即可更改：五、IP/MAC绑定当需要IP/MAC绑定功能时，需要配置伪装防护功能，示例如下图拓扑：1、 根据拓扑配置NSG，对LAN区域的主机做到IP/MAC绑定匹配过滤配置步骤如下：（1）配置伪装防护功能，添加信任MAC： 进入“防火墙”“伪装防护”页面，进入“信任MAC”页面，如拓扑所示添加LAN区域的IP/MAC绑定： MAC地址：所要绑定的MAC地址 IP关联：选择关联模式 IP地址：填写所要跟MAC绑定的IP地址（2）启用IP/MAC绑定： 进入“防火墙”“伪装防护”页面，进入“一般设置”页面： 启用伪装防护：勾选此项则启用伪装防护功能 限制未列在信任MAC的IP：勾选此项则过滤围在信任列别中的IP与MAC 根据拓扑，需要开启IP/MAC绑定功能的为LAN区域，则勾选LAN区域的“IP/MAC配对过滤”通过以上配置，拓扑中LAN区域的主机将会受到IP/MAC绑定限制，如果更改IP地址，将无法使用网络。n 注释：关于如何查看ARP缓存列表 进入“网络”“ARP”页面，选择“ARP缓存”页面，即可查看当前NSG的ARP缓存列表，如下图：六、静态路由当NSG部署在具有核心交换机的网络环境中时，由于核心交换机中配置了多个IP子网，此时NSG则需要配置静态路由功能。1、 根据拓扑配置NSG，为核心交换机下端的IP子网配置策略路由配置步骤如下：配置静态路由功能： 进入“网络”“静态路由”页面，选择“单播路由”页面，点击“添加”按钮，如拓扑所示添加LAN区域交换机下的/24子网的单播路由策略： 目标IP：如拓扑填写核心交换机下端的/24子网 子网掩码：所填写目标IP的子网 网关IP：如拓扑核心交换机的IP地址（子网的网关地址） 接口：选择NSG与核心交换连接的接口IP 距离：默认值为0，可根据实际环境设置通过以上配置，则成功在NSG中配置了核心交换下端IP子网的策略路由。七、身份验证l 如何配置Web身份验证当用户需要使用NSG的Web身份验证验证时，则需要配置NSG的身份验证功能，添加相应的账户以及策略配置。1、 根据拓扑配置NSG的身份验证策略，对LAN区域的用户进行访问公网时，验证身份。配置步骤如下：（1）创建身份账户： 进入“身份验证”“用户”页面，选择“用户”页面，点击“添加”按钮：创建用户“张三”的身份账户，根据实际需求，配置该账户的相应策略。（2）配置防火墙规则： 进入“防火墙”“规则”页面，创建或修改已有的LAN-WAN区域的安全规则：在规则中选择“启用身份验证”，并选择验证类型为用户的“ANY”，如下图：该规则配置完成后，请在该身份验证规则前，添加一条无身份验证的，且服务为“DNS”的防火墙规则，以保证内网用户访问互联网网站时，可正确的解析弹出Web身份验证页面，如下图：通过以上配置，当用户访问互联网网站时，将会自动跳转至NSG的Web身份验证页面，如下图：n 注释：关于如何自定义NSG的Web身份验证页面 进入“系统”“设置”页面，选择“验证网页”页面，即可自定义Web身份验证页面信息，如下图：n 注释：身份验证用户如何自助查看账户使用情况 进入Web身份验证页面，点击“登录”按钮旁的查看账户信息提示，如下图：进入身份验证用户自助管理登录页面，如下图：输入用户名与密码，即可进入账户信息页面，如下图：l 如何配置无客户端身份验证（基于IP的验证）配置步骤：（1） 创建身份验证用户在身份验证-用户，选择无客户端用户，点击添加范围：输入需要验证的IP地址范围（2） 创建防火墙规则进入“防火墙”“规则”页面，创建或修改已有的LAN-WAN区域的安全规则：在规则中选择“启用身份验证”，并选择验证类型为用户的“ANY”，如下图：通过以上配置就可以实现无客户端的身份验证八、VPN功能1. IP SEC VPN配置远程访问vpn配置步骤：（1） 添加vpn策略Vpn策略是指在vpn建立过程中用来协商建立安全连接的各项加密验证参数，我们可以选择设备上面定义好的，也可以自定义，选择添加，如下图根据实际情况填入相关参数，与客户端相关参数匹配就可以需要注意的：验证模式选择积极模式，因为远程访问的vpn，客户端基本上没有固定的公网地址，或者都是位于局域网内部（2）建立IPSEC vpn隧道点击IPSEC 进入配置页面，点击添加，如下图 连接类型：选择远程访问 策略：选择我们在添加策略中定义好的策略 Vpn重新启动动作：选择仅响应 认证类型：选择预共享密钥，填入共享的密钥 本机WAN接口：选择要建立VPN的公网接口 本地端子网地址：选择要让远程客户端访问的地址，可以是一个子网，也可以是一台主机 本地ID：远程访问类型的VPN，在客户端没有固定IP地址的情况下，需要ID来做设备的验证，所以必须配置，我们选择DNS就可以 远程主机IP：*代表所有IP，因为客户端地址是未知的 允许NAT穿透：如果设备是直接连接公网可以不勾选 远程子网：添加客户端的IP子网或者主机地址 远程ID：选择DNS，添加客户端的ID 用户验证以及快速选择模式不做配置（3）放行防火墙规则源域选择 VPN 目标域选择LAN子网/主机：为了安全这里我们指定具体的IP子网或者主机动作：选择允许站点到站点vpn配置步骤：（1）添加VPN策略方法同上需要说明的是在站点到站点的VPN连接中，两端都有固定IP地址，验证模式我们可以选择主模式也可以选择积极模式，主模式更安全，积极模式协商速度要比主模式更快（2）建立IPSEC VPN通道建立方法与远程访问的基本相同，下面指出一些不同的地址 连接类型：选择站点对站点 本地端ID和远端ID：在站点到站点的VPN中，如果两端都是固定的公网IP这里的配置不是必须的 远程VPN服务器：填写远端VPN设备的公网IP地址(3) 放行防火墙规则我们需要放行两条防火墙规则，第一条是源域是 VPN 目的域是 LAN第二条是源域是 LAN 目的域是 VPN主机对主机这种模式也就是VPN中的传输模式，使用很少这里不做介绍2. SSL VPN配置配置步骤：(1) SSL VPN通道访问配置，如下图：需要注意的：SSL服务端证书与客户端证书选择设备集成的证书(2) 添加SSL VPN策略给用户下发具体的访问配置策略，指定用户可以访问的资源，配置如下图： 名称：自定义策略名称 访问模式：可选的有三种模式，隧道模式需要在下载一个客户端给用户，建立虚拟的隧道到服务器端，可以访问服务器端连接的内网IP地址段，没有应用方面的限制 网页访问：主要针对B/S架构的软件应用程序，可以直接发布，用户直接点击连接访问 应用程序访问模式：主要针对一些C/S架构的，不能通过HTTP来访问的应用程序 通道类型：选择分割通道，如果选择完全通道，用户的上网流量也经过SSL VPN进行加密转发，增加了设备的负担 可用资源：我们可以直接选择内网端口网页访问设置以及应用程序访问设置，我们需要先到书签中定义相关的可以访问项目，然后在到策略中指定。打开书签，如下图：根据实际要发布的资源定义相关书签，如：名称：CA类型：HTTP地址：HTTP:/内网CA服务器地址点击确定(3) 建立SSL VPN用户选择身份验证-用户，打开如下页面填写用户相关信息需要注意的：组选择OPEN GROUP SSL VPN选择上面新建的策略，点击确定建立完成(4) 放行防火墙规则源域选择VPN 目的域选择LAN我们可以通过HTTPS:/IP：8443来访问测试九、网页过滤针对内网用户上网行为做出限制，限制用户可以访问的网页类型配置步骤：（1） 设置类别选择网页过滤-类别，打开如下界面：只有购买了单独的许可，设备中的内置的网页分类库才可以正常使用如果功能模块未被激活，只可通过域名和关键字来实现网页的过滤，需要自定义网页分类，如下：选择网页的分类填写要过滤的域名或者关键字，点击确定添加完成（2） 新建过滤策略选择网页过滤-策略，打开如下界面：设备上面有内置的策略，可用直接被防火墙规则引用，也可以自己定义新的策略，我们选择添加新策略 策略名称：自定义 选择模板：ALLOW ALL 启用报表：勾选目前并没有完成策略的新建，我们需要选择上面添加的策略，点击编辑，进到如下界面：点击添加：选择网页类别，选择要过滤的网页类别，指定HTTP和HTTPS的访问动作，我们选择拒绝，点击添加完成（3） 在防火墙规则中引用在上面我们完成了类别的添加和策略的新建，但是配置并没有生效，我们需要在防火墙规则中引用新建的策略，打开防火墙-规则，选择LANWAN的防火墙规则：选择高级设置：在网页过滤中将新建的策略引用，同时将记录防火墙流量开启的勾选，点击确定完成十、应用程序过滤限制内网用户P2P软件，游戏，等非工作软件的使用应用程序过功能模块需要单独购买许可才可用正常使用，其中的类别项列出了设备集成的应用程序特征库，特征库无法编辑添加，只能连接互联网自动更新，建议用户保持特征库的更新，来提高应用程序识别的准确性配置步骤：（1） 新建过滤策略选择应用程序过滤-策略，点击添加：填入策略名称，点击确定，然后编辑新添加的策略：点击添加：选择要过滤的应用程序类别，动作选择拒绝，点击确定完成（2） 在防火墙规则中引用选择防火墙-规则，选择LAN-WAN规则：选择高级设置：在应用层过滤中选择上面添加的策略，点击确定，配置完成十一、防病毒对流经UTM的流量进行防病毒扫描过滤防病毒功能模块需要单独购买许可才可以正常使用，病毒库需要连接互联网进行升级和更新配置步骤：（1） 开启UTM防病毒扫描功能打开防火墙-规则，选择LAN-WAN策略，如果有开启WAN-LAN策略，有必要也可以开启相关选项选择高级设置：在防病毒&垃圾邮件扫描中，将要扫描过滤的协议勾选，建议在使用之初HTTPS扫描不要开启，以免造成访问一些HTTPS加密的站点访问异常（2） 对扫描的协议相关项进行配置选择防病毒-邮件，打开邮件相关协议的配置选项选择设置，设置扫描SMTP邮件的大小，可根据实际情况设置SMTP超过大小信件的动作选择允许POP3/IMAP信件大小超过按默认值设置设置SMTP扫描规则：选择添加，自定义规则名称扫描选择开启对病毒邮件的处理动作，可以选择复制到隔离区或者通知发件人阻挡附件文件类型，可以对邮件传输的附件做具体的过滤动作设置POP/IMAP扫描规则：设置地址组：建议保持默认设置，针对邮件相关协议的配置完成选择HTTP/S进行相关设置：扫描模式选择实时扫描文件大小上限值可以自定义扫描音频及图像可以根据实际设备使用情况选择开启或者关闭HTTPS设置，建议将拒绝未知协议勾去掉，允许非法证书的勾开启设置HTTP扫描规则：如果没有特殊需求，使用默认规则即可设置HTTPS扫描列外：可以根据实际添加不进行扫描的网页类别选择FTP协议进行相关设置：可根据实际使用调整扫描的值十二、入侵防御针对流经UTM的流量进行入侵防御检测，对有威胁的流量进行阻断入侵防御功能模块需要购买单独的许可才可以