天清汉马USG一体化安全网关-快速安装指南

天清汉马USG快速安装指南天清汉马USG－快速安装指南PAGE36PAGE2北京启明星辰信息安全技术有限公司天清汉马USG防火墙快速安装指南天清汉马USG防火墙快速安装指南北京启明星辰信息安全技术有限公司BeijingVenusInformationSecurity北京启明星辰信息安全技术有限公司BeijingVenusInformationSecurityInc.二零一一年十一月快速安装指南手册版本 V4.0产品版本 V资料状态 发行版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。User’sManualCopyrightandDisclaimerCopyrightCopyrightVenusInfoSecurityInc.Allrightsreserved.ThecopyrightofthisdocumentisownedbyVenusInfoSecurityInc.WithoutthepriorwrittenpermissionobtainedfromVenusInfoSecurityInc.,thisdocumentshallnotbereproducedandexcerptedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandtranslatedintootherlanguages,appliedforacommercialpurposeinwholeorinpart.DisclaimerThisdocumentandtheinformationcontainedhereinisprovidedonan“ASIS”basis.VenusInfoSecurityInc.maymakeimprovementorchangesinthisdocument,atanytimeandwithoutnoticeandasitseesfit.TheinformationinthisdocumentwaspreparedbyVenusInfoTechInc.withreasonablecareandisbelievedtobeaccurate.However,VenusInfoSecurityInc.shallnotassumeresponsibilityforlossesordamagesresultingfromanyomissions,inaccuracies,orerrorscontainedherein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。启明星辰公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户，请需要GPL软件的客户提供（1）已经购买的产品的序列号，（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等；（3）人民币100元的光盘费和快递费，客户即可获得产品所包含的GPL软件。天清汉马USG－快速安装指南STYLEREF"标题1,h1,1stlevel,Sec1,H1,appheading1,l1,Huvudrubrik,1,h11,1stlevel1,h12,1stlevel2,h13,1stlevel3,h14,1stlevel4,h15,1stlevel5,h16,1stlevel6,h17,1stlevel7,h18,1stlevel8,h111,1stlevel11,h121,1stlevel21,h131,1stlevel31,h141,1stlevel4"软件安装2北京启明星辰信息安全技术有限公司 目录TOC\o"1-1"\h\z\t"标题2,2,标题3,3"第1章软件安装 1-21.1准备条件 1-21.2天清集中管理与数据分析中心安装过程 1-21.2.1MSDE数据库 1-31.2.2天清集中管理与数据分析中心 1-41.3管理配置 1-71.3.1配置数据库服务器 1-81.3.2配置入库缓冲文件路径 1-91.3.3配置声音报警 1-9第2章软件卸载 2-112.1天清集中管理与数据分析中心卸载过程 2-11第3章硬件安装 3-123.1准备条件 3-123.2标识说明 3-123.3设备安装 3-143.3.1模块化设备安装 3-143.3.210000E设备安装 3-14第4章快速配置 4-154.1设备默认配置 4-154.1.1管理口的默认配置 4-154.1.2默认管理员用户 4-154.2Web快速配置 4-154.2.1登录设备 4-154.2.2语言配置 4-174.2.3配置路由模式 4-184.2.4配置桥模式 4-244.2.5配置安全策略 4-304.2.6配置NAT 4-314.3天清集中管理与数据分析中心快速配置 4-324.3.1登录集中管理中心 4-324.3.2添加设备/设备组 4-334.3.3集中管理 4-344.3.4单机管理 4-344.3.5升级维护 4-34第5章软件升级 5-365.1通过Web升级 5-36软件安装准备条件硬件配置要求：PC服务器／PentiumIVCPU／2G内存／200G硬盘 软件要求：操作系统：推荐使用Windows2000sp4(中文版)、Windows2003(中文版)、可以使用WindowsXPsp3(中文版)，Vista，Windows7，Windows2008。数据库支持类型：支持MSDE、MSSQLServer2000/2005/2008（推荐使用SQLServer2005/sp4以上版本）下面将介绍关于天清集中管理与数据分析中心的安装过程，及安装过程中需要注意的事项。1、为保证安装的顺利进行，我们建议您以administrator身份登录操作系统。天清集中管理与数据分析中心安装过程打开天清集中管理与数据分析中心的安装光盘，您会看到一个autosetup程序，启动程序后，出现如下界面：安装程序支持中文、英文两种语言，可以点击右上角“English”进行切换，切换后将全部在相应语言环境下工作，下文仅以中文环境为例进行描述。安装光盘分为两部分：MSDE数据库：这是微软提供的桌面版的小容量数据库，用来进行存放USG设备产生的相关事件日志信息，最大存储容量为2G。如需要更大的存储空间或更高效的数据库管理能力，建议采用独立的企业级数据库。天清集中管理与数据分析中心：这部分包含对Syslog数据的接收和入库，以及分析和报表功能。为了提高处理性能，建议把数据库服务器安装在另一台机器上。点击启动界面左列的相应文字就可以对这些产品进行安装，下面分别介绍这几部分的具体安装过程。MSDE数据库如果用户的机器上没有安装过MSDE或其它SQLServer的客户端软件，天清汉马数据中心将无法正常运行，您可以点击这一项来安装MSDE。安装完成后用户需要重启操作系统。如果先安装MSDE英文版，然后再安装SQLServer的中文版客户端软件，会导致SQLServer的BCP功能无法使用从而使得数据库维护模块某些功能失效，请慎重使用。天清集中管理与数据分析中心在安装MSDE完成后，就可以进行天清集中管理与数据分析中心的安装了。点击天清集中管理与数据分析中心，进行天清集中管理与数据分析中心安装。第一步：进入安装程序界面点击下一步按钮。第二步：许可证协议选择我接受许可证协议中的条款，点击下一步按钮。第三步：客户信息输入客户信息，点击下一步按钮。第四步：安装类型点击下一步按钮。如果需要更改安装目录，选中定制单选钮，再点击下一步按钮。第五步：确定安装点击安装按钮，开始安装。第六步：配置数据中心点击是按钮，进行相关配置。如果以后更改配置，可点击Window开始菜单中开始>Venustech>SecurityGateway>管理配置。具体配置参考HYPERLINK\l"_管理配置"《1.3管理配置》第七步：安装完成点击完成按钮，完成天清集中管理与数据分析中心安装。在安装过程中，可以点击取消按钮，取消此次安装操作。安装完成后，如果提示重启，请重启操作系统。管理配置 提供天清集中管理与数据分析中心服务器的管理配置功能。配置项有数据库服务器、入库缓冲文件路径、声音报警。进入Window开始菜单开始>Venustech>SecurityGateway>管理配置，如下图：配置数据库服务器配置数据库服务器的IP地址、端口、用户名、密码等基本信息。如下图：IP地址：数据库服务器的IP地址。如果数据库安装在本机上，则为。端口：数据库的连接端口，默认1433。数据库路径：数据库自身的数据文件存放路径。数据库名称：数据库的名称。创建新库：根据以上信息创建新库。该库中存储USG设备的各种日志。新建的数据库数据文件将保存在数据库服务器上与数据库路径对应的目录下，如果该目录不存在将创建，但需确保分区的存在。创建新库时，与数据库名称同名的数据库，将被新建的库覆盖，旧库中的数据将被清除配置入库缓冲文件路径为了提高入库性能，本系统采用MSSQLServer的快速入库技术。该技术的原理是先把记录存储到文件中，再一次性地把文件中的所有记录全部插入到数据库中。快速入库能够极大地提升入库性能，但如果采用远程数据库，数据库服务器需要能够直接访问到入库文件。如下图：数据库位于远程：数据库服务器没有安装在本机上，而是安装在另一台机器上。共享路径：指本机看到的远程数据库服务器的共享目录，要确保本机对该目录有可写权限。服务器本地路径：指共享路径在数据库服务器上的绝对路径。如果采用远程数据库，没有正确配置共享路径、服务器本地路径以及入库服务的登录属性，会导致日志入库失败。。配置声音报警当日志满足指定条件时，天清集中管理与数据分析中心服务器会进行声音告警。如下图：事件级别：当事件级别条件触发时，进行声音报警。入侵级别：当入侵级别条件触发时，进行声音报警。病毒事件：当产生病毒事件时，进行声音报警。在安装过程中，可以点击取消按钮，取消此次安装操作。安装完成后，如果提示重启，请重启操作系统。

软件卸载天清集中管理与数据分析中心卸载过程1、在控制面板中选择“添加或删除程序”，找到“VenusenseCentralizedManagementandDataAnalysisCenter”，点击“删除”。如下图所示：2、选择“删除”3、按照删除向导完成即可。如果界面提示需要重启，请用户重启操作系统以便完全卸载。卸载完成后，如果提示重启，请重启操作系统。硬件安装在这部分里主要介绍的是硬件的安装、设置以及必要的配置操作。准备条件环境要求：环境要求：86-106KPa温度（摄氏）（工作）：0-40摄氏度温度（摄氏）（非工作）：0-相对湿度（非凝结）（工作）：5%-80%相对湿度（非凝结）（非工作）：5%-95%电磁兼容性：通过GB9254-1998A级标识说明:超级终端的DB9连接端口：超级终端的RJ45连接端口，USG-300B/T型号适用:1×USB连接接口:2×USB连接接口：10/100M自适应以太网电接口：10/100/1000M自适应以太网电接口：GESFP光接口：10GE光接口：系统状态指示灯：液晶屏及控制按键：液晶屏及控制按键：外置CF卡插槽：模块化设备主控卡：8×GE接口卡：4×GE、4×SFP接口卡：8×SFP接口卡10000E设备的12GE接口卡10000E设备的12SFP接口卡：机箱后部电源插座和电源开关设备安装模块化设备安装模块化设备必须安装主控卡后才能使用，接口卡根据实际配置情况进行安装。步骤如下：把主控卡插入0槽位（机框的最下面一个槽位）；取下1、2槽位上的挡板，插入接口卡；安装完毕。模块化设备的接口卡支持热插拔。10000E设备安装10000E设备接口卡安装步骤如下：设备断电；取下接口槽位上的挡板，插入接口卡；安装完毕。USG-10000E设备的接口卡不支持热插拔，设备必须在断电情况下才能进行接口卡的安装和卸载，否则会造成设备的损坏！快速配置本设备可通过Web方式来进行配置。设备默认配置出厂的天清汉马USG设备自带默认的配置。这些默认配置可以在出厂的情况下，允许用户通过Web进行配置。管理口的默认配置标记有Mgt/Eth0的接口为设备的管理口，如果设备上无此标记，则接口0(Eth0或GE0)为设备的默认管理口。管理口的默认IP地址为50/24。允许对该接口的Telnet，Ping，HTTPS操作。默认管理员用户系统默认的管理员用户为admin，密码为venus.fw。任何地址都可以使用该用户登录设备。并且可以使用设备的所有功能。Web快速配置登录设备配置本机IP地址为/24,通过网线将本机和设备接口0连接。打开浏览器连接设备。输入用户名（缺省用户名：admin）、密码（缺省密码：venus.fw）和验证码（随机生成）登录。语言配置 登录设备后，在首页的右上角可以看到工具条：点击语言配置按钮，在新窗口中打开语言配置页面，可以选择系统语言为中文或英文。配置路由模式案例：将接口eth5的IP地址设置为58/24，连接外网。将接口eth6的IP地址设置为/24，连接内网。可以采用分步配置，也可以使用配置向导功能完成配置。分步配置步骤：1、进入网络管理>接口>接口，点击eth5接口下的按钮，如下图配置：2、点击提交按钮提交配置。3、点击eth6接口下的按钮，如下图配置：4、点击提交按钮提交配置。5、进入防火墙>安全策略，点击新建，如下图：6、点击提交7、进入防火墙>安全策略，如下图8、选择启用完成设置配置向导步骤：1、进入设备web页面，点击右上角的按钮，如下图弹出配置向导页面：2、点击下一步3、选择路由模式，点击下一步4、配置内外网接口信息，点击下一步5、选择允许任何流量通过，点击下一步6、启用或不启用日志设备，点击下一步7、默认的系统时间，点击下一步8、相关配置的摘要信息检查，点击提交完成设置配置桥模式案例：将USG设备插入一个原有的网络结构中，不改变原有拓扑和配置，将USG设备的eth5和eth6两个接口加入网桥组1（BVI1）中。eth5连接Router（），eth6口连接/16网段其余机器。透明桥案例组网图可以采用分步配置，也可以使用配置向导功能完成配置。分步配置步骤：1、进入网络管理>接口>透明桥，点击新建。如下图：2、输入参数3、点击提交4、进入防火墙>安全策略，点击新建，如下图：5、点击提交6、进入防火墙>安全策略，如下图7、选择启用完成设置配置向导步骤：1、进入设备web页面，点击右上角的按钮，如下图弹出配置向导页面：2、点击下一步3、选择桥模式，点击下一步4、配置内外网接口信息，点击下一步5、选择允许任何流量通过，点击下一步6、启用或不启用日志设备，点击下一步7、默认的系统时间，点击下一步8、相关配置的摘要信息检查，点击提交完成设置配置安全策略案例：设备的接口eth0连接内网，接口eth1连接外网，配置策略允许内网在非工作时间访问外网，并且要求数据流从高优先级队列输出。配置步骤：进入对象管理>地址对象，配置地址对象“内网”和“外网”，如下图：进入对象管理>时间对象，配置时间对象“非工作时间”进入防火墙>安全策略，点击新建，如下图：输入参数点击提交进入防火墙>安全策略，如下图选择启用完成设置配置NAT案例：公司需要通过USG共享上网。内网地址为/24网段，公网地址为1源地址转换配置案例组网图配置步骤：1、进入对象管理>地址对象，创建地址对象“inside-net”2、进入网络管理>NAT>NAT地址池，创建地址池“pub-pool”3、点击提交4、进入网络设置>NAT>NAT规则>源地址转换，点击新建5、点击提交，显示如下界面天清集中管理与数据分析中心快速配置登录集中管理中心使用IE或其他类似浏览器，通过HTTP连接服务器，缺省用户为admin，缺省密码为venustech，登录天清集中管理与数据分析中心。添加设备/