1、启明星辰安全网关 USG 功能使用手册启明星辰安全网关 USG 功能使用手册VERSION 2.6启明星辰安全网关 USG 功能使用手册声明 本手册所含内容若有任何改动,恕不另行通知。 在法律法规的最大允许范围内,北京启明星辰信息安全技术有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 在法律法规的最大允许范围内,北京启明星辰信息安全技术有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其
2、它损失) ,不负任何赔偿责任。 本手册含受版权保护的信息,未经北京启明星辰信息安全技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。 本手册适用于启明星辰 USG 安全网关系列产品,包括防火墙、UTM、NF 等,在手册中简称为安全网关或安全网关。文件少部分内容视产品具体型号略有不同,请以购买的实际产品为准。北京启明星辰信息安全技术有限公司北京市海淀区东北旺西路 8 号中关村软件园 21 楼启明星辰大厦启明星辰安全网关 USG 功能使用手册章节目录第 1 章 前言 .61.1 导言 .6A) 本书适用对象 .6B) 本书适合的产品 .6C) 手册章节组织 .7D) 相关参考手册 .
3、7第 2 章 防火墙地址、服务、时间、安全域概念与配置方法 .82.1 地址概念及配置方法 .82.1.1 地址资源功能概述 .82.1.2 地址配置 .82.1.3 地址组配置 .92.1.4 地址池配置 .102.2 服务概念及配置方法 .112.2.1 服务功能描述 .112.2.2 预定义服务配置 .112.2.3 动态服务配置 .112.2.4 ICMP 服务配置 .122.2.5 基本服务配置 .122.2.6 服务组配置 .132.3 时间概念及配置方法 .152.3.1 时间功能描述 .152.3.2 时间配置 .152.3.3 时间组配置 .162.4 安全域概念及配置方法
4、.172.4.1 安全域功能描述 .172.4.2 安全域配置 .17第 3 章 策略概念与配置方法 .183.1 功能概述 .183.1.1 允许访问: .183.2 安全策略配置 .183.2.1 资源选项 .193.3 NAT 类策略配置 .193.3.1 SNAT 规则配置 .203.3.2 端口映射及 IP 映射规则配置 .20第 4 章 应用防护概念与配置方法 .214.1 应用防护概述 .214.2 病毒防护 .224.2.1 病毒防护策略 .224.2.2 文件过滤器 .224.2.3 隔离 .234.2.4 病毒库 .23启明星辰安全网关 USG 功能使用手册4.2.5 自定
5、义病毒特征 .234.2.6 服务端口定义 .244.2.7 病毒云防护代理 .244.3 入侵防护 .244.3.1 入侵防护策略 .244.3.2 场景和模式设置 .254.3.3 IPS 云防护代理 .254.3.4 自定义特征 .264.3.5 特征内容 .264.3.6 重定向 .274.4 反垃圾邮件 .274.5 旁路检测模式 .284.6 抗扫描 .294.7 WEB 应用防护 .314.8 私有云防护 .334.8.1 私有云配置开启 .334.8.2 私有云防护策略 .334.8.3 云服务器配置 .344.8.4 白名单 .344.8.5 文件类型 .354.8.6 统计
6、与查询 .35第 5 章 上网行为管理 .365.1 上网行为策略 .365.2 URL 过滤策略 .365.2.1 URL 过滤策略 .365.2.2 自定义 URL .375.2.3 智能学习 .375.3 应用识别策略 .385.3.1 应用识别策略 .385.3.2 自定义应用 .395.3.3 全局黑白名单 .395.3.4 QQ 免控账号 .395.4 高级协议控制 .405.4.1 协议控制资源 .405.4.2 协议控制配置 .405.4.3 协议控制策略 .42第 6 章 审计中心 .436.1 上网审计策略 .436.2 高级邮件配置 .44第 7 章 VPN 概念与配置方
7、法 .467.1 IPSEC VPN 隧道 .467.2 IKE 密钥交换 .477.3 局域网-局域网配置方法 .487.3.1 添加 VPN 规则 .48启明星辰安全网关 USG 功能使用手册7.3.2 添加 IKE 配置 .497.3.3 网关隧道配置方法 .517.4 VPN 客户端远程访问的配置方法 .527.4.1 VPN 规则的设置方法: .527.4.2 IKE 配置的设置方法: .527.4.3 客户端隧道的添加方法: .537.4.4 DHCP OVER IPSEC 的配置方法: .547.4.5 扩展认证的配置方法: .557.5 隧道组的配置方法: .557.6 隧道间
8、路由配置方法 .567.7 野蛮模式的应用 .567.8 星形部署 .577.9 VPN 隧道与安全规则的关系 .577.10 PPTP/L2TP 远程访问 VPN 配置方法 .577.11 L2TP OVER IPSEC 穿越 SNAT 配置方法 .617.11.1 添加 VPN 规则 .617.11.2 添加 IKE 配置 .627.11.3 添加客户端隧道 .627.11.4 添加客户端隧道 .637.11.5 配置 WINDOWS L2TP 客户端 .637.12 动态域名配置方法 .647.13 常见问题(FAQ) .667.14 如何注册 3322.ORG 的动态域名 .677.15 GRE 隧道中继 .717.15.1 需求描述 .717.15.2 GRE 配置步骤 .717.15.3 MGRE 配置步骤 .757.15.4 总结 .81第 8 章 SSLVPN 概念与配置方法 .828.1 开启 SSLVPN 服务 .828.2 新建 B/S 服务 .
