天清漢馬USG防火墻T系列快速安裝指南v3

《天清漢馬USG防火墻T系列快速安裝指南v3》由會員分享，可在線閱讀，更多相關(guān)《天清漢馬USG防火墻T系列快速安裝指南v3（27頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 清漢馬 USG 防火墻（ T 系列） 快速安裝指南 北京啟明星辰信息安全技術(shù)有限公司 Beijing Venus Information Security Inc. 二零一六年 11 月 天清漢馬 USG防火墻 快速安裝指南

2、 手冊版本 產(chǎn)品版本 資料狀態(tài) 發(fā)行 版權(quán)聲明 啟明星辰公司版權(quán)所有，并保留對本手冊及本聲明的最終解釋權(quán)和修改權(quán)。 本手冊的版權(quán)歸啟明星辰公司所有。未得到啟明星辰公司書面許可，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語言、將其部分或全部用于商業(yè)用途。 免責(zé)聲明 本手冊依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。啟明星辰公司在編寫該手冊的時候已盡最大努力保證其內(nèi)容準確可靠，但啟明星辰公司不對本手冊中的遺漏、不準確或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。 User ’

3、 s Manual Copyright and Disclaimer Copyright Copyright Venus networks All rights reserved. The copyright of this document is owned by Venus networks . Without the prior written permission obtained from Venus networks ., this document shall not be reproduced and excerpted in any form or by a

4、ny means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS” basis. Venus networks may make improvement or changes

5、 in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks with reasonable care and is believed to be accurate. However, Venus networks shall not assume responsibility for losses or damages resulting from any omissions,

6、 inaccuracies, or errors contained herein. 副本發(fā)布聲明 啟明星辰公司的天清漢馬 USG防火墻產(chǎn)品正常運行時，包含 2 款 GPL協(xié)議的軟件（ linux、zebra）。啟明星辰公司愿意將 GPL 軟件提供給已經(jīng)購買產(chǎn)品的且愿意遵守 GPL協(xié)議的客戶，請需要 GPL軟件的客戶提供（ 1）已經(jīng)購買的產(chǎn)品的序列號，（ 2）有效送達 GPL軟件地址和聯(lián)系人，包括但不限于姓名、公司、電話、電子郵箱、地址、郵編等。

7、 目錄 快速安裝指南 .......................................................................... 錯誤 !未定義書簽。 User ’ s Manual Copyright and Disclaimer ..........

8、.......................... 錯誤 !未定義書簽。 Copyright .................................................................................. 錯誤 !未定義書簽。 Disclaimer ................................................................................. 錯誤 !未定義書簽。 第 1 章 硬件安裝 ...................................

9、.............................. 錯誤 !未定義書簽。 安裝前準備工作 ....................................................................... 錯誤 !未定義書簽。 安裝環(huán)境要求 ............................................................................................. 錯誤 !未定義書簽。 安裝工具準備 .................................

10、............................................................ 錯誤 !未定義書簽。 設(shè)備面板標識說明 ................................................................... 錯誤 !未定義書簽。 設(shè)備安裝 ................................................................................... 錯誤 !未定義書簽。 設(shè)備接口卡的安裝 .................

11、.................................................................... 錯誤 !未定義書簽。 將設(shè)備安裝到機柜 ..................................................................................... 錯誤 !未定義書簽。 第 2 章 快速配置 ................................................................. 錯誤 !未定義書簽。 設(shè)備默認配置 .....

12、...................................................................... 錯誤 !未定義書簽。 管理口的默認配置 ..................................................................................... 錯誤 !未定義書簽。 默認管理員用戶 ......................................................................................... 錯誤

13、!未定義書簽。 Web 快速配置 .......................................................................... 錯誤 !未定義書簽。 登錄設(shè)備 ..................................................................................................... 錯誤 !未定義書簽。 配置 VLAN.............................................................

14、...................................... 錯誤 !未定義書簽。 配置 IP 地址 ............................................................................................... 錯誤 !未定義書簽。 透明橋模式案例 1 ...................................................................................... 錯誤 !未定義書簽。 透明橋模式案例 2 ..

15、.................................................................................... 錯誤 !未定義書簽。 路由綜合案例 ............................................................................................. 錯誤 !未定義書簽。 攻擊防護案例 ...........................................................................

16、.................. 錯誤 !未定義書簽。 應(yīng)用控制案例 ............................................................................................. 錯誤 !未定義書簽。 第 3 章 軟件升級 ................................................................. 錯誤 !未定義書簽。 通過 Web 升級 ..............................................

17、........................... 錯誤 !未定義書簽。 第 1章 硬件安裝 在這部分里主要介紹的是硬件的安裝、設(shè)置以及必要的配置操作。 1.1 安裝前準備工作 安裝環(huán)境要求 工作溫度 0～ 40℃ 存儲溫度 -40～ 70℃ 相對濕度 0～ 95%非凝結(jié) 電磁兼容性 滿足 GB9254-1998 A 級以上及 GB17618-1998 電磁兼容要求 電源適應(yīng)性 220V 拉偏電： 198V~242V ，頻率： 49～ 51Hz 安裝工具準備

18、 請安裝前準備好以下安裝工具： 終端：配置終端，可以是普通 PC機、筆記本電腦 工具：十字螺絲刀和防靜電護腕 電纜：電源電纜、串口電纜、網(wǎng)線 1.2 設(shè)備面板標識說明 ：超級終端的 RJ45連接端口 :2× USB 連接接口 ：管理接口 ： 10/100/1000M 自適應(yīng)以太網(wǎng)電接口 業(yè)務(wù)口 ： GE SFP光接口 業(yè)務(wù)口

19、 ：機箱后部電源插座和電源開關(guān) ：接口卡 1.3 設(shè)備安裝 1.3.1 設(shè)備接口卡的安裝 設(shè)備接口卡安裝步驟如下： 1) 設(shè)備斷電； 2) 取下接口槽位上的擋板，插入接口卡； 3) 安裝完畢。 設(shè)備的接口卡不支持熱插拔， 設(shè)備必須在斷電情況下才能進行接口卡 注意 的安裝和卸載，否則會造成設(shè)備的損壞！ 1.3.2 將設(shè)備安裝到機柜 1)設(shè)備斷電 2)將設(shè)

20、備放置在機柜托盤上 3)將設(shè)備固定在機柜上 4)接通電源 5)管理口接上網(wǎng)線 第 2章 快速配置 本設(shè)備可通過 Web 方式來進行配置。 2.1 設(shè)備默認配置 出廠的防火墻設(shè)備自帶默認的配置。這些默認配置可以在出廠的情況下，允許用戶通過 Web 進行配置。 2.1.1 管理口的默認配置 標記有“ MGT”的接口為設(shè)備的管理口；如果沒有“ MGT”接口，則主板上從左側(cè)數(shù)第一 個以太網(wǎng)接口為設(shè)備的管理口。 管理口的默認 IP 地址為。允許對該接口的 Ping， HTTPS操作。

21、 2.1.2 默認管理員用戶 系統(tǒng)默認的管理員用戶為 admin ，密碼為。任何地址都可以使用該用戶登錄設(shè)備。并且可以使用設(shè)備的所有功能。 2.2 Web 快速配置 2.2.1 登錄設(shè)備 配置本機 IP 地址為 通過網(wǎng)線將本機和設(shè)備管理口連接。打開瀏覽器 ,輸入 連接設(shè)備。 輸入用戶名（缺省用戶名： admin ）、密碼（缺省密碼： ）和驗證碼（隨機生成）登錄。

22、 2.2.2 配置 VLAN 案例描述 FW 設(shè)備使用 VLAN 提供轉(zhuǎn)發(fā)業(yè)務(wù)，在配置其他業(yè)務(wù)前，需要根據(jù)網(wǎng)絡(luò)環(huán)境創(chuàng)建 VLAN 并在其中 加入物理接口成員。 配置步驟： 進入 網(wǎng)絡(luò) >接口 >VLAN，點擊 新建 ， 如下圖： 1、 配置參數(shù) 名稱： vlan 的名稱，這里配置為 

23、 vlan1。 Tag： vlan 管理狀態(tài)：  的 tag vlan  號，這里配置為 1。接口的狀態(tài)，設(shè)置為  UP。 MTU  ： vlan  接口的  MTU 值，保持默認的  1500  即可。 接口選擇： 在可選的接口中點擊 Untagged 方式加入到 vlan 1 中，將  加入到 Untagged 或者 ge0/2 以 Tagged 方式加入到  Ta

24、gged 接口中，這里將 vlan 1 中。  ge0/1  以 2、 點擊提交完成創(chuàng)建  VLAN。 2.2.3 配置 IP 地址 防火墻設(shè)備在做網(wǎng)絡(luò)層以上業(yè)務(wù)處理時，需要在 VLAN 上配置 IP 地址。 配置步驟： 1.進入 網(wǎng)絡(luò) >接口 >VLAN，點擊 列表中的需要配置的  vlan  接口 ，如下圖所示（以  vlan10  為例）： IP 地址 / 掩碼 ：

25、 vlan 接口的 IP 地址 / 掩碼，這里設(shè)置為。 這里不選擇浮動 IP 與單元 ID。 點擊“添加”按鈕。 2.點擊“ 更新” 添加 VLAN IP 成功，如下圖所示： 2.2.4 透明橋模式案例 1 案例描述： 防火墻設(shè)備透明部署，通過 FW 設(shè)備的報文不帶 vlan tag ，內(nèi)網(wǎng)用戶需要通過防火墻訪問外網(wǎng)。 案例拓撲 配置步驟： 1、 進入 網(wǎng)絡(luò) >接口 >VLAN，新建 vlan10 ， tag 為 10，將接口 ge0

26、/0 和 ge0/1 UnTagged 方式加入到 vlan10 中，點擊 提交 使配置生效。 2、 進入 對象 >地址對象 >地址節(jié)點 ，創(chuàng)建 IPV4 類型的地址對象 內(nèi)網(wǎng)用戶 ,并將內(nèi)網(wǎng)網(wǎng)段加入到地址對象中。 3、 進入 策略 >防火墻 >策略 ，點擊 新建 ，地址類型選擇 IPv4，入接口配置為 vlan10 ，出接口也

27、 配置為 vlan10 ，源地址配置為 內(nèi)網(wǎng)用戶 ，目的地址配置為 any ，服務(wù)為 any ，時間為 always， 動作為 permit ，點擊 提交 使配置生效。 4、 進入 策略 >防火墻 >策略 ，查看策略，勾選策略 啟用 開關(guān)，使得配置啟用。 5、 進入 策略 >防火墻 >策略配置 ，查看策略匹配開關(guān) 開啟 ，默認動作為 deny 。 2.2.

28、5 透明橋模式案例 2 案例描述：防火墻透明部署在要透傳帶 vlan tag  trunk 鏈路下，通過 FW 設(shè)備的報文帶 vlan tag10 和 vlan tag20 ， FW 設(shè)備需的報文，并且內(nèi)網(wǎng)用戶需要通過防火墻訪問外網(wǎng)。 案例拓撲 配置步驟： 1、 進入 網(wǎng)絡(luò) >接口 >VLAN，新建 vlan10 ，tag 為 10，將接口 ge0/0 和 ge0/1 UnTagged 加入到 vlan10 中，點擊 提交 使配置生效。

29、 2、 配置設(shè)備管理接口允許 SSH或 telnet 方式訪問設(shè)備，并使用 SSH或 telnet 方式登陸到設(shè)備 管理終端，在配置視圖下，輸入如下命令。該命令會使得該 vlan 的接口下 允許所有的 vlan tag 或 untag 透傳 ，故配置后不再受步驟 1 中 vlan 接口配置的 UnTagged 或者 tagged 方式的約束。 FW(config)# vlan 10 FW(config-vlan)# vlan-transparent ena

30、ble 提示： 此配置命令適用于 FW 需要透傳大量 vlan 時使用，若橋下只需要允許單個 VLAN 帶 tag 通過，在配置 vlan 時，將接口 tagged 方式加入到該 vlan 中即可。 3、 進入 對象 >地址對象 >地址節(jié)點 ，創(chuàng)建 IPV4 類型的地址對象 內(nèi)網(wǎng)用戶 ,并將內(nèi)網(wǎng)網(wǎng)段 和加入到 地址對象中。 4、 進入 策略 >防火墻 >策略 ，點擊 新建 ，地址類型選擇 IPv4，入接口配置為 配置

31、為 vlan10 ，源地址配置為 內(nèi)網(wǎng)用戶 ，目的地址配置為 any ，服務(wù)為 動作為 permit ，點擊 提交 使配置生效。  vlan10 ，出接口也 any ，時間為 always， 5、 進入 策略 >防火墻 >策略 ，查看策略，勾選策略 啟用 開關(guān)，使得配置啟用。

32、 6、 進入 策略 >防火墻 >策略配置 ，查看策略匹配開關(guān) 開啟 ，默認動作為 deny 。 2.2.6 路由綜合案例 案例描述： 企業(yè)需要通過 FW 設(shè)備進行互聯(lián)網(wǎng)訪問，內(nèi)網(wǎng)地址網(wǎng)段為，服務(wù)器網(wǎng)段為。企業(yè)有兩條條出口鏈路分別屬于電信、網(wǎng)通，電信的公網(wǎng)地址為，網(wǎng)關(guān)為；網(wǎng)通的公網(wǎng)地址為，網(wǎng)關(guān)為。用戶具體需求如下： 1 、 內(nèi)網(wǎng)地址訪問外網(wǎng)需要進行源 NAT 轉(zhuǎn)換。 2 、 外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器需要進行目的 NAT 轉(zhuǎn)換。 3 、 依據(jù)組網(wǎng)劃分不同的區(qū)域，內(nèi)網(wǎng)屬于 trust 區(qū)

33、域，外網(wǎng)屬于 untrust 區(qū)域，內(nèi)網(wǎng)服務(wù)器屬于 DMZ 區(qū)域。配置策略允許 trust 區(qū)域訪問 untrust 區(qū)域，允許 trust 和 untrust 區(qū)域訪問 DMZ 區(qū)域的 http 服務(wù)，其他訪問流量默認拒絕。 4 、 若訪問的目的地址為電信 IP 地址，選擇電信的鏈路作為出鏈路，當(dāng)電信鏈路故障以后，選 擇網(wǎng)通的鏈路作為出鏈路。 5、 若訪問的目的地址為網(wǎng)通 IP 地址，選擇網(wǎng)通的鏈路作為出鏈路，當(dāng)網(wǎng)通鏈路故障以后，選 擇電信的鏈路作為出鏈路。 6、 若訪問的目的地址不屬于電信、網(wǎng)通，可以輪詢選擇出鏈路，但是

34、內(nèi)網(wǎng)訪問服務(wù)器的流量都不受策略路由控制。 案例拓撲 案例配置分析： 1 、 設(shè)備配置源 NAT 實現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)的 NAT 轉(zhuǎn)換。 2 、 設(shè)備配置目的 NAT 實現(xiàn)外網(wǎng)到內(nèi)網(wǎng)服務(wù)器的訪問。 3 、 配置添加兩條默認路由使得內(nèi)網(wǎng)可以通過路由成功訪問到外網(wǎng)。 4 、 配置接口加入到不同的安全域，通過配置防火墻策略實現(xiàn)區(qū)域之間的互訪控制。 5 、 配置策略路由實現(xiàn)基于 ISP 的選路。

35、 6 、 地址對象配置添加排除 IP，使得內(nèi)網(wǎng)訪問服務(wù)器不受策略控制。 配置步驟： 1 、 照上述拓撲進行組網(wǎng)，并作基本網(wǎng)絡(luò)配置，包括 VLAN 劃分，以及 IP 地址配置。 2 、 進入 對象 >地址對象 >地址節(jié)點 ，創(chuàng)建電信地址對象， ISP 地址庫選擇（中國電信） ，配置 提 交。 3、 按照上述方法，分別創(chuàng)建如下地址對象： 電信： 包含電信 ISP 地址庫 網(wǎng)通：

36、包含網(wǎng)通 ISP 地址庫 內(nèi)網(wǎng)地址： 成員為所有內(nèi)網(wǎng)網(wǎng)段：和 外網(wǎng)地址： 成員為，同時將內(nèi)網(wǎng)用戶和服務(wù)器網(wǎng)段添加到排除 地址中。 DNAT 電信： 成員為內(nèi)網(wǎng)服務(wù)器對外映射的公網(wǎng)地址： 。 4、 進入 網(wǎng)絡(luò) >NAT>NAT 規(guī)則 >源地址轉(zhuǎn)換 ，點擊 新建， 轉(zhuǎn)換類型為 IPV4 to IPV4 ，源地址選擇 內(nèi) 網(wǎng)地址 ，目標地址為 any ，服務(wù)為 any，出接口選擇 VLAN3，轉(zhuǎn)換后地址為出接口地址，點擊提交 。

37、 5、 按照上述方法，創(chuàng)建出接口為 VLAN4 的源 NAT 策略。 6、 進入 網(wǎng)絡(luò) >NAT>NAT 地址池， 點擊 新建， 名稱為 dnat-pool ，地址池配置為內(nèi)網(wǎng)服務(wù)器地址 ， 點擊 提交 使配置生效。 7、 進入 網(wǎng)絡(luò) >NAT>NAT 規(guī)則 >目的地址轉(zhuǎn)換 ，點擊 新建， 源地址選擇 any，目標地址為 DNAT

38、 電信 ，服務(wù)為 any ，入接口選擇 VLAN3，轉(zhuǎn)換后地址引用地址池 dnat-pool ，點擊 提交 。 8、 進入 網(wǎng)絡(luò) >路由 >靜態(tài)路由 :IPv4: 配置添加兩條默認路由，點擊 提交 使得路由配置生效。 9、 進入 網(wǎng)絡(luò) >安全域， 配置添加 trust 安全域，將內(nèi)網(wǎng)接口 vlan1 加入安全域中 。

39、 10、 按照上述方法， 創(chuàng)建 untrust 和 DMZ 安全域， untrust 安全域加入 vlan3 和 vlan4 接口， DMZ 安全域加入 vlan2 接口。 11、 進入策略 >防火墻 >策略 ，點擊 新建 ，地址類型選擇 IPV4，入接口選擇安全域 trust ，出接口選擇安全域 untrust ，源地址選擇 內(nèi)網(wǎng)地址 ，目的地址選擇 any ，服務(wù)選擇 any ，應(yīng)用選擇 any ，時間選擇 always，動作選擇 permit ，點擊 提交 使得配置生效。

40、 12、 按照上述方法，創(chuàng)建允許 trust 和 untrust 區(qū)域到 DMZ 區(qū)域的 http 服務(wù) 訪問，勾選 啟用 使得策略生效。 13、 進入策略 >防火墻 >策略配置 ，查看策略匹配開關(guān)是否 開啟 ，默認動作為 deny 。 14、 進入對象 >健康檢查 ，創(chuàng)建 icmp 健康檢查模板。 提示：

41、 源 IP 和覆蓋 IP 若不填寫，健康檢查會使用策略路由的下一跳作為目的 IP 會自動選擇下一跳對應(yīng)出接口的 IP。  IP 進行檢查，源 15、 進入網(wǎng)絡(luò) >路由 >策略路由 ，分別創(chuàng)建 電信策略路由 、網(wǎng)通策略路由 和默認策略路由 。 電信策略路由 源地址選擇 內(nèi)網(wǎng)地址 ，目標地址選擇 電信 地址對象，網(wǎng)關(guān)添加 優(yōu)先級高于網(wǎng)通鏈路，并引

42、用 icmp 健康檢查模板。  電信鏈路 和網(wǎng)通鏈路 ，電信鏈路 網(wǎng)通策略路由 源地址選擇 內(nèi)網(wǎng)地址 ，目標地址選擇 網(wǎng)通 地址對象，網(wǎng)關(guān)添加 優(yōu)先級高于電信鏈路，并引用 icmp 健康檢查模板。  電信鏈路 和網(wǎng)通鏈路 ，網(wǎng)通鏈路

43、 默認策略路由 源地址選擇 內(nèi)網(wǎng)地址 ，目標地址選擇 外網(wǎng)地址 對象，由于外網(wǎng)地址添加了內(nèi)網(wǎng)網(wǎng)段和的排除地 址，故內(nèi)網(wǎng)訪問服務(wù)器的流量不會匹配策略路由。網(wǎng)關(guān)添加 電信鏈路 和網(wǎng)通鏈路 ，網(wǎng)通鏈路優(yōu)先級和電信鏈路優(yōu)先級相同，使其輪詢轉(zhuǎn)發(fā)，并引用 icmp 健康檢查模板。 16

44、、 配置完成后 網(wǎng)絡(luò) >路由 >策略路由 下查看策略， 依據(jù)命中數(shù)可以查看到匹配策略路由調(diào)度的情況。 2.2.7 攻擊防護案例 案例描述： 企業(yè)要求對內(nèi)部網(wǎng)絡(luò)進行防護，抵御外部網(wǎng)絡(luò)的攻擊，具體需求如下： 1 、 若外網(wǎng)的每源 IP 向內(nèi)網(wǎng)發(fā)出的 TCP連接請求速率超過 100 ，設(shè)備主動驗證連接請求方是否 為攻擊源，若是攻擊源，設(shè)備將連接請求報文丟棄。 2 、 若外網(wǎng)某一源地址 1 秒內(nèi)向內(nèi)網(wǎng)服務(wù)器超過 1000 個不同端口發(fā)送了 TCP連接請求報文 （或 UDP 連接請求

45、報文） ，則設(shè)備在接下來的 20 秒內(nèi)，此源地址的所有 TCP請求報文（或 UDP 請求報文）被阻斷。 3 、 對常見的 Dos 攻擊類型進行主動防御。 4、 對內(nèi)部服務(wù)器配置 ARP防護，防止遭受 ARP 欺騙攻擊，引起服務(wù)器訪問失敗。 案例拓撲 配置步驟： 1、 照上述拓撲進行組網(wǎng)，并作基本網(wǎng)絡(luò)配置，包括 VLAN 劃分，以及 IP 地址配置，配置路由、 防火墻等策略等保證網(wǎng)絡(luò)可正常通信。 2、 進入 對

46、象 ->地址對象 ->地址節(jié)點 ，創(chuàng)建 IPv4 類型的地址對象“ 內(nèi)網(wǎng)地址 ”，將內(nèi)網(wǎng)網(wǎng)段和加入到地址對象中。 3、 進入 策略 >安全防護 >攻擊防護 >安全防護表 ，點擊 新建 ，勾選 啟用 Anti-Flood Attack ，TCP flood 每主機報文速率限制（源 IP）配置為 100/S，動作選擇 syn cookie ；勾選啟用 防掃描， 啟用 TCP協(xié)議掃描 和 UDP 協(xié)議掃描 ，掃描識別閾值為 100

47、0，主機抑制時長為 20s，配置 提交 。 4、 進入 策略 >安全防護 >攻擊防護：策略， 地址類型選擇 IPV4，入接口選擇 vlan20 ，源地址選 擇 any，目的地址選擇 內(nèi)網(wǎng)地址 ，服務(wù)選擇 any，時間表選擇 always，安全防護選擇配置的攻擊防護表 scan-flood 。 5、 進入 策略 >安

48、全防護 >Dos 防護 ， Dos 防護下勾選需要防護的攻擊類型，點擊 確定 使得配置 生效。 6、 進入 策略 >安全防護 >ARP 攻擊防護： ARP 表，找到設(shè)備學(xué)習(xí)到的服務(wù)器的 ARP 表，點擊按 鈕，將 IP 和 MAC 的關(guān)系進行綁定。 （若已知服務(wù)器的 MAC 也可以在 IP-MAC 綁定配置界面手動添加綁定關(guān)系） 7、 進入 策略 >安全防護 >ARP 攻擊防

49、護：主動保護列表 服務(wù)器的 IP 和 MAC 填入保護列表中，點擊 提交 。  ，接口選擇  vlan10 ，啟用 接口保護 ，將 8、 進入 策略 >安全防護 >ARP 攻擊防護：配置 ，勾選啟用 防 ARP 欺騙 ，并啟用 主動保護 。

50、 2.2.8 應(yīng)用控制案例 案例描述： 某企業(yè)出口帶寬為 10Mbps ，要求對應(yīng)用及用戶上網(wǎng)行為進行精細控制，具體要求如下： 1 、 為了使公司出口帶寬合理利用， 給各個部門分配一定的帶寬： 研發(fā) -2M ，測試 -5M ，行政 -3M ， 同時， 根據(jù)業(yè)務(wù)類型對流量進行限制和保證，在研發(fā)部，電子郵件應(yīng)用保證 1 M，P2P 下載 應(yīng)用限制為 M 。 2 、 上班時間拒絕內(nèi)網(wǎng)用戶登錄 QQ 應(yīng)用。 3 、 若用戶發(fā)帖關(guān)鍵字包含“暴力、反動”則阻斷此次發(fā)帖行為。

51、 案例拓撲 配置步驟： 1、 照上述拓撲進行組網(wǎng)，并作基本網(wǎng)絡(luò)配置，包括 VLAN 劃分，以及 IP 地址配置，配置路由、防火墻等策略保證網(wǎng)絡(luò)可正常通信。 2、 進入 對象 >地址對象 >地址節(jié)點 ，配置創(chuàng)建 研發(fā)部 地址對象，地址配置為，配置 提交 。 3、 按照上述方法配置添加如下地址對象： 研發(fā)部： 成員包含網(wǎng)段 測試部： 成員包含網(wǎng)段

52、 行政部： 成員包含網(wǎng)段 內(nèi)網(wǎng)用戶： 成員包含、和網(wǎng)段 4、 進入 策略 >流量控制 >線路設(shè)置， 點擊 新建， 接口配置為 vlan20 ，配置帶寬入和出都為 10000 Kbps 5、 進入 策略 >流量控制 >流控策略， 在線路策略 公司 下，點擊 新建 ，源地址配置為 研發(fā)部 ，目的地址為 any，應(yīng)用為 any ，服務(wù)為 any，時間為 always，帶寬配置為 2000 Kbps。

53、 6、 按照上述方法，分別添加 測試部 、行政部 的流控策略，測試部帶寬配置為 部帶寬配置為 3000Kbps 。  5000Kbps ，行政 7、 進入 策略 >流量控制 >流控策略， 在流控策略 研發(fā)部 下，點擊 新建 ，源地址配置為 研發(fā)部 ，目的地址為 any ，應(yīng)用選擇 電子郵件 ，帶寬保證配置為 100

54、0 Kbps。 8、 按照上述方法，創(chuàng)建 P2P 下載策略，對 P2P 下載 帶寬限制到 500Kbps 9、 進入 對象 >時間對象 >周期時間 ，點擊 新建 ，添加 循環(huán)日期 ，點擊 提交 新建一條 工作時間 對象。 10、 進入策略 >應(yīng)用控制 >應(yīng)用控制策略 ，地址對象配置為

55、 內(nèi)網(wǎng)用戶 ，應(yīng)用選擇 QQ，應(yīng)用行為 配置為 登錄 ，其他參數(shù)配置為 any，時間配置為 工作時間 ，處理動作為 拒絕 ，點擊提交。 11、 進入策略 >應(yīng)用控制 >關(guān)鍵字 ，配置添加 暴力、反動 到關(guān)鍵字列表中。 12、 進入策略 >應(yīng)用控制 >應(yīng)用控制策略 ，地址對象為 內(nèi)網(wǎng)用戶 ，應(yīng)用選擇 社交網(wǎng)絡(luò) ，

56、關(guān)鍵字選擇前面配置的 關(guān)鍵字 ，處理動作配置為 拒絕 ，勾選 啟用 ，提交配置。 第 3章 軟件升級 3.1 通過 Web 升級 當(dāng)設(shè)備已經(jīng)在運行時，可通過 Web 頁面來升級軟件版本。 配置步驟： 1．進入 系統(tǒng) - >版本管理 ->軟件版本， 2．點擊 “選擇 ”， 3． 瀏覽 當(dāng)?shù)匚募⑦x中軟件版本文件 4． 點擊 “升級”。  ， 5．重啟設(shè)備 進入系統(tǒng)  - >配置 ->設(shè)備重啟 點擊“提交”重啟設(shè)備，新版本在啟動后加載。