更新时间:2024-12-03 GMT+08:00
分享

配置天关(USG6502E-C/USG6503E-C

背景信息

请按照如下顺序先配置天关2,再配置天关1。

配置天关2

  1. 在管理PC上配置网口的IP地址为192.168.0.2(可以是192.168.0.2~192.168.0.254中的任何一个),子网掩码为255.255.255.0,然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。
  2. 配置Bypass接口对。
    1. 选择网络 > 接口
    2. 单击GE0/0/20对应的,按照下图所示配置接口。

    3. 单击GE0/0/21对应的,按照下图所示配置接口。

    4. 选择网络 > 接口对
    5. 单击“新建”,按照下图所示配置接口对,并单击“确定”

  3. 配置云端管理接口。
    GE0/0/3默认为二层接口,请按照如下方式配置成三层接口。
    1. 选择网络 > 接口
    2. 单击GE0/0/3对应的,按照如下参数配置接口。

      安全区域

      untrust

      模式

      路由

      IPv4

      IP地址

      172.16.10.10/24

    3. 配置云端管理接口的静态路由。
      1. 选择“网络 > 路由 > 静态路由”。
      2. 单击“静态路由列表”区域下的“新建”,添加静态路由。下一跳配置为网关地址。

  4. 配置漏洞扫描和云日志审计接口。

    已购买漏洞扫描服务云日志审计服务时需要执行本步骤。

    GE0/0/2默认为二层接口,请按照如下方式配置成三层接口。请保证区域2中上报日志的资产与此IP地址路由可达。
    1. 选择网络 > 接口
    2. 单击GE0/0/2对应的,按照如下参数配置接口。

      安全区域

      trust

      模式

      路由

      IPv4

      IP地址

      172.16.11.10/24

  5. 选择系统 > 配置 > 时钟配置,检查设备系统时间是否与当前时间一致,如果不一致,请调整设备系统时间,以保证云端能够精确掌握威胁事件的发生时间。

  6. 配置业务参数(边界防护与响应服务)。
    1. 加载License。

      如果设备为V600R007C20SPC500之前的版本,需要执行本步骤。

      1. 选择系统 > License管理“License激活方式”设置为“本地手动激活”
      2. 单击“浏览”,选择本地PC中的License文件,并单击“激活”。
    2. 选择策略 > 安全策略 > 安全策略,检查default策略的动作是否为“允许”,如果不是,单击策略名称default进入修改安全策略界面,将动作修改为“允许”
    3. 确认安全策略已成功下发。

      设备上线后,云端会部署套餐,需要2分钟左右,部署成功后安全策略会自动下发。

      安全策略下发后,如图1所示。共有5条安全策略,其中default安全策略被自动修改为禁止
      图1 安全策略
    4. 选择系统 > 升级中心,检查 “入侵防御特征库”和“反病毒特征库”是否在线升级成功,升级需要10分钟左右,请耐心等待。如果不成功,请单击“立即升级”

    5. 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。

  7. 配置业务参数(漏洞扫描服务)。
    1. 选择策略 > 安全策略 > 安全策略,单击“新建安全策略”,根据上行口和资产所在安全区域(trust/untrust)的不同情况,配置不同的安全策略。
      表1 上行口在untrust域,资产在trust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      untrust

      any

      any

      udp: 隧道协商

      允许

      vss

      untrust

      trust

      any

      any

      any: 漏洞扫描

      允许

      表2 上行口在untrust域,资产在untrust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      untrust

      any

      any

      udp: 隧道协商

      允许

      表3 上行口在trust域,资产在trust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      trust

      any

      any

      udp: 隧道协商

      允许

      表4 上行口在trust域,资产在untrust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      trust

      any

      any

      udp: 隧道协商

      允许

      vss

      trust

      untrust

      any

      any

      any: 漏洞扫描

      允许

    2. 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
      图2 保存配置

  8. 配置业务参数(云日志审计服务)。
    1. 选择策略 > 安全策略 > 安全策略,单击“新建安全策略”,根据上行口和资产所在安全区域(trust/untrust)的不同情况,配置不同的安全策略。
      表5 上行口在untrust域,资产在trust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      logAudit-asset-local

      trust

      local

      any

      any

      udp: 资产上报日志到天关/防火墙

      允许

      logAudit-local-cloud

      local

      untrust

      any

      any

      tcp: 日志上报到云端

      允许

      表6 上行口在untrust域,资产在untrust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      logAudit-asset-local

      untrust

      local

      any

      any

      udp: 资产上报日志到天关/防火墙

      允许

      logAudit-local-cloud

      local

      untrust

      any

      any

      tcp: 日志上报到云端

      允许

      表7 上行口在trust域,资产在trust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      logAudit-asset-local

      trust

      local

      any

      any

      udp: 资产上报日志到天关/防火墙

      允许

      logAudit-local-cloud

      local

      trust

      any

      any

      tcp: 日志上报到云端

      允许

      表8 上行口在trust域,资产在untrust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      logAudit-asset-local

      untrust

      local

      any

      any

      udp: 资产上报日志到天关/防火墙

      允许

      logAudit-local-cloud

      local

      trust

      any

      any

      tcp: 日志上报到云端

      允许

    2. 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
      图3 保存配置

配置天关1

  1. 参照步骤1,登录天关1。
  2. 参照步骤2,配置Bypass接口对。
  3. 参照步骤3,根据数据规划配置云端管理接口。
  4. 参照步骤4,配置漏扫和日志审计业务接口,请保证区域1中上报日志的资产与此IP地址路由可达。
  5. 参照步骤5,配置设备系统时间。
  6. 登录华为乾坤控制台,将区域2NAT后的地址192.168.55.100配置为白名单,并下发给天关1。
    1. 选择 > 我的服务 > 边界防护与响应 > 黑白名单
    2. “白名单”页签中,单击“创建”,按照下图所示配置白名单。
      图4 配置白名单
  7. 参照步骤6,配置边界防护与响应服务业务参数。
  8. 参照步骤7,配置漏洞扫描服务业务参数。
  9. 参照步骤8,配置云日志审计服务业务参数。

相关文档