更新时间:2023-05-12 GMT+08:00
配置天关(Eudemon1000E-T1)
配置天关1
- 在管理PC上配置网口的IP地址为192.168.0.2(可以是192.168.0.2~192.168.0.254中的任何一个),子网掩码为255.255.255.0,然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。
- 配置业务接口。
- 选择。
- 单击GE0/0/6,按如下参数配置,单击“确定”。
安全区域
trust
模式
接口对
- 参考上述步骤按如下参数配置GE0/0/7接口。
安全区域
untrust
模式
接口对
- 配置业务接口对。
- 选择。
- 单击“新建”,按如下参数配置,单击“确定”。
名称
interface_bypass1
工作模式
不同口进出
成员
接口一
GE0/0/6
接口二
GE0/0/7
允许的VLAN
1-4094
接口对状态同步
不开启
- 配置云端管理接口。
- 选择,检查设备系统时间是否与当前时间一致,如果不一致,请调整设备系统时间,以保证云端能够精确掌握威胁事件的发生时间。
图2 配置系统时间
- 配置业务参数(边界防护与响应服务)。
- 加载License。
如果设备为V600R007C20SPC500之前的版本,需要执行本步骤。
- 选择,“License激活方式”设置为“本地手动激活”。
- 单击“浏览”,选择本地PC中的的License文件,并单击“激活”。
- 选择,检查default策略的动作是否为“允许”,如果不是,单击策略名称default进入修改安全策略界面,将动作修改为“允许”。
- 确认安全策略已成功下发。
设备上线后,云端会部署套餐,需要2分钟左右,部署成功后安全策略会自动下发。
安全策略下发后,如图3所示。共有5条安全策略,其中default安全策略被自动修改为禁止。
如果设备上只有“default”和“rule_iss_dns”安全策略,或只有“default”安全策略时,由云端自动下发安全策略。
- 选择,检查“入侵防御特征库”和“反病毒特征库”是否在线升级成功,升级需要10分钟左右,请耐心等待。如果不成功,请单击“立即升级”。
图4 特征库升级
- 单击右上角“保存”按钮,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
图5 保存配置
- 加载License。
配置天关2
- 参见步骤1,登录天关2。
- 配置镜像流量接收口GE0/0/6为旁路检测模式。
- 选择。
- 单击GE0/0/6对应
,按照下图所示配置接口。
图6 配置接口
- 参照步骤4,配置云端管理接口。
- 参照步骤5,配置设备系统时间。
- 配置业务参数(边界防护与响应服务)。
- 加载License。
如果设备为V600R007C20SPC500之前的版本,需要执行本步骤。
- 选择,“License激活方式”设置为“本地手动激活”。
- 单击“浏览”,选择本地PC中的的License文件,并单击“激活”。
- 选择,检查default策略的动作是否为“允许”,如果不是,单击策略名称default进入修改安全策略界面,将动作修改为“允许”。
- 配置安全策略。
天关2上需要配置名称为“local-cloud”、“rule_iss_dns”和“trust-trust”的安全策略。
- 配置名称为“local-cloud”、“rule_iss_dns”的安全策略。
设备上线后,云端会部署套餐,需要2分钟左右,部署成功后安全策略会自动下发。
安全策略下发后,如图7所示。共有5条安全策略,其中default安全策略建议改回禁止,默认安全需要。
如果设备上只有“default”和“rule_iss_dns”安全策略,或只有“default”安全策略时,由云端自动下发安全策略。
- 配置名称为“trust-trust”的安全策略。
- 选择,单击“新建安全策略”。
- 配置名称为“trust-trust”的安全策略,源安全区域为“trust”,目的安全区域为“trust”,反病毒采用新建的AV_default,入侵防御采用新建的IPS_default,动作为“允许”。
图8 配置安全策略
- 配置名称为“local-cloud”、“rule_iss_dns”的安全策略。
- 选择,检查“入侵防御特征库”和“反病毒特征库”是否在线升级成功,升级需要10分钟左右,请耐心等待。如果不成功,请单击“立即升级”。
图9 特征库升级
- 单击右上角“保存”按钮,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
图10 保存配置
- 加载License。
父主题: 企业内部存在DNS服务器场景
