天清汉马USG系列

天清汉马USG系列(适合软件版本V2.0)

1.功能参数：四个千兆电口四个可扩展千兆光口SFP ；最大并发连接数不低于200万；每秒新建连接数不少于4万；最大吞吐量（Mbps）不低于2000M ；A V吞吐量400M；168位3DES加密（Mbps）不低于300M；VPN隧道数不少于2,000 ；无限制用户数

2.防火墙特性：具有状态检测包过滤；完全的应用层检测；IP与MAC地址绑定；MAC 地址过滤；能与IDS联动；防拒绝服务攻击和防扫描（支持Jolt2/Land-base/ping of death/syn flag/Tear drop/winnuke/smurf/TCP flag/ARP攻击/TCP扫描/UDP扫描/ping扫描）；连接数限制；临时阻断；ARP主动探测

3：接口管理：工作速率管理：可以设置接口为全双工、半双工、10/100/1000速率；MTU 管理；

地址模式管理√（可以选择接口地址来源：静态输入、DHCP、PPPoE拨号）

访问控制管理√（控制接口被访问方式：Ping,Https,Http,SSH,Telnet,集中管理）

接入控制管理√（控制通过接口进行接入：SSL VPN 、L2TP、Web认证）

辅IP √（用户可以对某具体物理接口定义多个辅IP）

接入模式透明（桥）；

路由；

混合模式；

智能接入模式判断√（用户无需进行接入模式的判断与选择，可以只需按照网络周边环境要求，配置设备网络信息，设备即可自行进行模式选择）

NA T ；

路由功能静态路由；

策略路由；

多W AN口链路支持；

多W AN口链路互为备份；

OSPF动态路由；

RIP动态路由√(RIP V1/V2)

NA T功能源地址转换（多对一/SNA T）；

目的地址转换（一对一/DNA T）；

目的端口转换（一对多/PA T）；

地址池（多对多/IP POOL）；

基于策略的NA T ；

H.323协议NA T穿越；

DHCP DHCP服务器；

DHCP中继；

DHCP客户端；

地址排除；

硬件地址绑定；

DHCP服务器指定客户机网关及DNS、WINS服务器；

VLAN（802.1q）VLAN路由终结；

VLAN透传；

高可用性（HA）双机热备√(支持主-主和主备模式)

负载分担；

支持透明模式下的HA ；

链路监测；

网关监测；

配置自动同步；

连接会话同步；

入侵检测库同步；

病毒库同步；

支持ADSL拨号；

用户认证本地认证支持本地建立用户和组

RADIUS认证通过RADIUS服务器

认证客户端WEB

流量管理与带宽控制优先级高、中、低三级

基于策略的流量控制；

基于主机的流量控制；

针对P2P的流量控制；

带宽保证√(只通过命令行提供)

VPN GRE ；

SSL VPN ；

IPSec 需要客户端软件

L2TP 路由模式下

加密算法DES、3DES、AES

认证算法SHA-1、MD5

完美向前保护（PFS）√（采用短暂的一次性密钥的系统）

手动认证方式；

IKE认证方式；

对端状态检测（DPD）√失效同层检测(Dead Peer Detection DPD)功能,能够通过自动感应和重新建立失败的VPN连接,进而增加正常运行时间、确保接入以及减少用户的工作量

全动态VPN ；

VPN实时监控；

双向NA T穿越；

基于数字证书的VPN应用；

VPN硬件加速√(USG-300B和D系列不支持)

VPN加密卡（国密算法）√(USG-300B和D系列不支持)

与第三方标准VPN产品兼容；

基于Web的SSL VPN应用；

基于Agent的SSL VPN应用√（支持服务端口固定的应用）

Tunnel模式的SSL VPN应用；

SSL VPN客户端准入控制检查；

内容过滤支持URL过滤；

URL免屏蔽列表；

网页内容过滤；

脚本、Cookie过滤；

Web代理过滤√(禁止HTTP代理)

邮件地址过滤；

MIME邮件报头检查；

邮件的附件屏蔽；

邮件大小过滤；

基于策略的内容过滤；

反垃圾邮件IP地址黑白名单；

发件人黑白名单；

邮件主题过滤；

网关病毒过滤过滤方式全面过滤

病毒库分类启用√(流行库、高危库、普通库)

信息替换对携带病毒的邮件以及HTTP协议进行信息替换，提醒用户该数据流携带病毒已经被阻断。

文件扫描列表√（用户可自行定义扫描何种类型文件）

文件阻断√（用户可自行定义何种类型文件不可通过设备）

网页（HTTP）病毒过滤；

邮件（SMTP、POP3、IMAP）病毒过滤；

文件传输（FTP）病毒过滤；

IM文件传输(MSN、雅虎通)病毒过滤；

VPN数据流病毒过滤；

VLAN、V oIP数据流病毒过滤；

禁止特定文件类型通过；

入侵检测与防御攻击特征库系统预定义〉2000种，升级周期小于1周，用户可自行定义

特征库查询√（针对预定义库，用户可以根据类型、处理动作等信息进行查询）

IPS多策略集；

防蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等；

外联控制可封锁防MSN、QQ、Y ahoo、Skype等聊天软件√(基于黑白名单或全部用户的登陆控制、文件传输控制、查毒)

可封锁BT、Emule、迅雷（Edonkey）等P2P软件√(阻断、限速。随IPS特征库的升级，支持种类不断增加)

针对PPLive、QQ直播等流媒体的控制√(阻断、限速。随IPS特征库的升级，支持种类不断增加)

针对征途、魔兽世界等网络游戏的控制√(随IPS特征库的升级，支持种类不断增加)

针对大参考、大智慧、同花顺等股票软件的控制√(随IPS特征库的升级，支持种类不断增加)

实时监控与日志审计系统资源使用情况√（可以监控CPU,内存，当前连接等系统状态，用户可自行定义刷新时间；当系统资源利用率过高，用户可以选择记录日志、报警等方式进行处理或告警）

网络接口监视√（可以监视设备每个网络接口工作状态、收发报文数目等）

系统状态√（可以现实系统当前版本、运行时间、授权状态、在线管理员等）

实时连接会话监控√(可以监控系统当前总连接数目、TCP连接数目、UDP连接数目、ICMP连接数目；可以根据源IP、目的IP、会话端口等信息进行连接统计；可以根据协议、连接类型（半连接、全连接）、源IP、目的IP、端口等信息监视特定的连接；用户可以手工阻断所监视到的特定连接）

HTTP/FTP/邮件等网络行为监视，可以记录系统状态、用户登陆信息、入侵病毒信息、连接信息等；

日志级别分类√（分为七级别，用户可以根据级别和日志来源（例如防火墙日志、配置日志等）过滤日志的记录或者远程发送）

本地日志；

远程Syslog日志；

支持NetFlow日志；

邮件报警；

日志过滤；

其它支持H.323及SIP协议；

支持长连接应用√(基于协议和端口)

系统管理与配置命令行管理界面（Console/Telnet/SSH/Http/Https）；

Web管理界面（Http/Https）；

通过DDNS进行管理√（支持希网DDNS）

集中管理√（支持被天清汉马USG一体化安全网关集中管理）

与数据日志中心的连接√（支持标准的syslog服务器，使用天清汉马USG一体化安全网关可提供syslog和Netflow功能，并可生成图形化报表）

管理员权限分级√（用户可以通过自行定义管理员角色，生成具有不同权限的管理员）管理员地址控制√(控制特定ip地址的管理员才可以进行设备的管理)

NTP时间同步√(支持从自定义服务器或互联网NTP服务器同步系统时间)

系统配置的备份和恢复；

防病毒、入侵防护配置的备份和恢复；

液晶屏显示√（可显示CPU利用率、内存利用率、接口地址、接口状态、接口流量等）

支持双配置文件；

天清汉马USG防火墙快速安装指南

天清汉马USG快速安装指南 安全技术有限公司手册版本 产品版本 2.6.3 资料状态发行

第1章软件安装 .................................................................................................. 1-2 1.1 准备条件 ........................................................................................................... 1-2 1.2 天清集中管理与数据分析中心安装过程 ....................................................... 1-2 1.2.1 MSDE数据库.................................................................................................................. 1-4 1.2.2 天清集中管理与数据分析中心................................................................................... 1-4 1.3 管理配置 ........................................................................................................... 1-7 1.3.1 配置数据库服务器....................................................................................................... 1-8 1.3.2 配置入库缓冲文件路径............................................................................................... 1-9 1.3.3 配置声音报警............................................................................................................. 1-10第2章软件卸载 ................................................................................................ 2-11 2.1 天清集中管理与数据分析中心卸载过程 ..................................................... 2-11第3章硬件安装 ................................................................................................ 3-12 3.1 准备条件 ......................................................................................................... 3-12 3.2 标识说明 ......................................................................................................... 3-12 3.3 设备安装 ......................................................................................................... 3-14 3.3.1 模块化设备安装......................................................................................................... 3-14 3.3.2 10000E设备安装........................................................................................................ 3-15第4章快速配置 ................................................................................................ 4-16 4.1 设备默认配置 ................................................................................................. 4-16 4.1.1 管理口的默认配置..................................................................................................... 4-16 4.1.2 默认管理员用户......................................................................................................... 4-16 4.2 Web快速配置.................................................................................................. 4-16 4.2.1 登录设备..................................................................................................................... 4-16 4.2.2 语言配置..................................................................................................................... 4-18 4.2.3 配置路由模式............................................................................................................. 4-19 4.2.4 配置桥模式................................................................................................................. 4-22 4.2.5 配置安全策略............................................................................................................. 4-24 4.2.6 配置NAT...................................................................................................................... 4-26 4.3 天清集中管理与数据分析中心快速配置 ..................................................... 4-27 4.3.1 登录天清集中管理与数据分析中心......................................................................... 4-27 4.3.2 添加USG设备............................................................................................................. 4-28 4.3.3 添加设备组................................................................................................................. 4-29 4.3.4 调整数据接收端口..................................................................................................... 4-29 4.3.5 查询数据..................................................................................................................... 4-30 4.4 天清集中管理与数据分析中心快速配置 ..................................................... 4-30 4.4.1 登录集中管理中心..................................................................................................... 4-30 4.4.2 添加设备/设备组....................................................................................................... 4-30

天清汉马USG配置手册

长城资产天清汉马防火墙配置信息

一、基本信息 接口0的默认地址配置为192.168.1.250/24。允许对该接口进行Telnet，PING，HTTPS操作。 系统默认的管理员用户为admin，密码为https://www.wendangku.net/doc/4716515759.html,g。用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。 系统默认的审计员用户为audit，密码为venus.audit。用户可以使用这个账号对安全策略和日志系统进行审计。 系统默认的用户管理员用户为useradmin，密码为https://www.wendangku.net/doc/4716515759.html,er。用户可以使用这个账号用于配置系统管理员。 二、USG设备的主要配置选项。 1.系统管理：系统配置和管理。包括状态、会话管理、管理员、维护和监控。 可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况 可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话 可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。 创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆 如果对设备各种库进行自动升级要为设备设置正确的DNS， 选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮 目前外置储存器只支持CF卡和USB 2.网络管理：网络相关配置。包括接口、NAT、基本配置、DHCP、双机热备功能的配置。 可以更改端口的带宽设置、双工模式以及端口速率等设置功能。对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。 同一个接口只能加入到一个网桥组。已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。 GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。GRE 是第三层的隧道协议，它利用一种协议的传输能力为另一种协议建立了点到点的隧道，被封装的报文将在隧道的两端进行封装和解封。使用GRE 协议可以与对端路由器或防火墙设备建立虚拟的、点对点通信。仅支持封装IP 类型的网络数据包。

天清汉马防火墙系列_Trunk配置指南_V4.0

天清汉马USG防火墙Trunk配置指南 (V 4.0) 北京启明星辰信息安全技术有限公司 Beijing Venustech Cybervision Co.,Ltd. 二零一一年十一月

版权声明 启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus Info Tech Inc. All rights reserved. The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.

天清汉马USG防火墙(T系列)快速安装指南-v3

天清汉马USG防火墙－快速安装指南 天清汉马USG防火墙（T系列） 快速安装指南 北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc. 二零一六年11月

天清汉马USG防火墙 快速安装指南 手册版本V1.0 产品版本V2.0 资料状态发行 版权声明 启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus networks Co.Ltd All rights reserved. The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.

第一代网络安全

1. （一）防火墙 根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。目前，有很多厂商提供各种类型的防火墙平台，对它们有几种常用的分类方法：1）按照产品形式可分为硬件防火墙和软件防火墙两大类; 2）按照性能可以分为百兆级和千兆级两类防火墙； 3）按照操作模式可分为透明模式、路由模式和NA T（网络地址转换）三类； 4）按照部署位置可分为边界防火墙和主机/个人防火墙两类； 5）按照OSI模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙 对防火墙的配置和使用应该坚持四个基本原则： 对防火墙环境设计来讲，首要的就是越简单越好。设计越简单，越不容易出错，防火墙的简单 安全功能越容易得到保证，管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安物用其长 全控制，入侵检测产品主要针对网络非法行为进行监控。 单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系深层防御 才能实现系统的真正安全。 防火墙的一个特点是防外不防内，对内部威胁要采取其它安全措施，比如入侵检测、主机关注内部威胁 防护、漏洞扫描、病毒查杀。 （二）网络入侵检测 网络入侵检测主要采用两种技术：误用检测技术和异常检测技术。而这也是入侵检测系统的分类标准之一。 误用检测通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。 根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检异常检测 测，所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测。（三）网络脆弱性分析 脆弱性分析技术，也被通俗地称为漏洞扫描技术，该技术是检测远程或本地系统安全脆弱性的一种安全技术。通过与目标主机TCP/IP端口建立连接并请求某些服务，记录目标主机的应答，搜集目标主机相关信息，从而发现目标主机某些内在的安全弱点。 与入侵检测之类的网络监控技术相比，漏洞扫描技术是一种预防性的措施。一般情况下，它们定期工作，检查系统中可能被人利用的网络漏洞，评估和衡量安全保护基础设施的有效性。系统管理员利用网络漏洞扫描技术对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致黑客攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序以及防火墙系统是否存在安全漏洞和配置错误，等等。 网络漏洞扫描技术通过远程检测目标主机TCP/IP不同端口的服务，记录目标主机给予的回答。此外，通过模拟黑客的进攻手法对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，也是扫描模块的实现方法之一。如果模拟攻击成功，则视为漏洞存在。

天清汉马USG-FW系列_快速安装指南

天清汉马USG防火墙快速安装指南 北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc. 二零零九年六月

天清汉马USG防火墙 快速安装指南 手册版本V3.0 产品版本V2.6.3.0 资料状态发行 版权声明 启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus Info Security Inc. All rights reserved. The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.

启明星辰天清汉马USG白皮书

https://www.wendangku.net/doc/4716515759.html,/161/8704161.shtml 启明星辰天清汉马USG白皮书 2009-02-06 15:52出处：比特网作者：于捷【我要评论】 [导读]天清汉马USG一体化安全网关是启明星辰研发的具有自主知识产权的统一威胁管理(UTM)产品，通过深层的数据包监测技术和智能过滤技术为企业提供多层次的立体化安全防护。 1. 产品概述 【比特网综合报道】天清汉马USG一体化安全网关是启明星辰研发的具有自主知识产权的统一威胁管理(UTM)产品，通过深层的数据包监测技术和智能过滤技术为企业提供多层次的立体化安全防护。天清汉马USG产品系列共计十余款产品型号，丰富的产品型号和灵活的接口配置能够满足政府、教育、金融、企业、能源、运营商等用户对性能、可用性和可靠性的需求。 天清汉马USG系列产品具备丰富的安全功能，如：防火墙、VPN、入侵防御(IPS)、防病毒、上网行为管理、抗拒绝服务攻击(Anti-DoS)、内容过滤、反垃圾邮件等，同时全面支持QoS、高可用性(HA)、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

2. 产品架构 天清汉马USG一体化安全网关采用“设计一体化、部署一体化、防御一体化、管理一体化”的一体化设计思想。 启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗50%来自于模式匹配，25%来自于协议重组、25%来自于报文重组的结论。 USG作为统一威胁管理类产品，功能涵盖了入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等多项功能，那么必然包含多项的分析处理引擎，如何融合分析处理引擎，合并性能消耗关键业务单元成为UTM产品软件结构设计首要考虑的问题。 基于以上研究数据，启明星辰在天清汉马USG一体化安全网关的软件结构设计上引入了一体化的设计理念。即将入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。 模式匹配是分析处理引擎的关键性能消耗单元，因此，分析处理引擎的一体化首先是模式匹配单元的融合。对于不同的功能模块，模式匹配是基于不同特征库的，因此模式匹配的融合主要是特征库的统一。