1、 天清汉马天清汉马 USG 防火墙系统防火墙系统 用户手册用户手册 资料版本:V1.2 北京启明星辰信息安全技术有限公司 尊敬的客户:尊敬的客户:本产品是专门为品牌客户定制的一款功能强大、性能卓越的终端产品,向您提供了一个灵活、安全和完备的企业网络解决方案。它的配置简单、操作方便、使用灵活、安全可靠,您还可以获得专业的服务支持。为了您更有效的了解和使用本产品,我们向您提供本产品的用户使用手册,请您仔细阅读。本手册包含:安全注意事项 主要产品功能 面板和规格说明 首次使用和基本连接配置 配置准备 快速向导 设备概览 网络设置 上网行为管理 对象管理 网络安全 3G设置 系统管理 快速故障定位 由
2、于产品版本升级或其他原因,本文档内容会不定期进行更新,本手册中的内容可能与实际产品不完全相符,敬请谅解。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。i 目目 录录 1 安全安全注意事项注意事项 .12 主要产品功能主要产品功能 .23 面板和规格说明面板和规格说明 .3前面板 .3前面板指示灯 .3后面板 .5技术规格 .54 首次使用首次使用和基本连接配置和基本连接配置.71、建立有线连接 .72、上电检查 .93、建立无线连接 .95 配置准备配置准备 .12配置前的准备 .12WEB页面操作按钮说明 .166 快速向导快速向导 .177
3、设备概览设备概览 .19信息概览 .19系统概览 .19接口状态 .20无线状态 .203G状态.21信息统计 .22ii DHCP状态 .22接口统计 .22在线用户统计 .23ARP列表 .238 网络设置网络设置 .24基本网络设置 .24LAN接口设置 .24WAN接口设置 .26DHCP设置 .32WLAN设置.34高级选项 .39DDNS设置 .39静态路由 .40策略路由 .41DNS Relay设置 .43NAT设置 .43端口映射 .45虚拟域名设置 .47ALG开关 .47网络U盘 .48页面推送 .49VPN .50IPsec VPN配置 .50L2TP VPN .579
4、 上网行为管理上网行为管理 .60行为管理策略 .60URL过滤设置 .60应用控制 .63连接数限制.64用户黑白名单 .66流量管理 .67iii 基本设置 .67QoS策略 .68带宽策略 .7310 对象管理对象管理.76业务对象管理 .76时间组 .77URL库管理 .78证书管理 .78CA证书 .79本地证书 .81应用协议组 .8411 网络安全网络安全.86基本设置 .86ACL访问控制 .87ARP防攻击 .89IP/MAC绑定 .89ARP防攻击 .90入侵防护设置 .9112 3G设置设置 .92联系人 .92用户 .92群组 .93短信 .94发送短信 .94收件箱
5、.95发件箱 .96草稿箱 .97回收站 .97iv 存储设置 .98拨号失败提醒 .98PIN码 .98PIN码管理 .9813 系统管理系统管理.102系统管理 .102基本设置 .102Web管理 .102配置维护 .103修改密码 .105系统升级 .105SNMP管理 .106设备重启 .109恢复出厂设置 .110系统调试 .110时间设置 .111ByPass设置 .113日志管理 .11314 快速故障定位快速故障定位 .117附录附录A 缩略语缩略语 .119 天清汉马 USG防火墙系统用户手册 第 1 页 1 安全注意事项安全注意事项 在设备的安装和使用中,请注意下列安全事
6、项。遇到雷雨天气时请停止使用设备,并断开电源,拔出电源线和电话线,以免设备遭雷击损坏。请将设备放置于平稳工作台上,并安放在通风、无强光直射的环境中。在存储、运输和使用设备的过程中,必须严格保持干燥。若有液体意外流入机箱,请立即断开电源,并与指定的维修点联系。请使用设备配套的电源适配器等配件。请保持电源插头清洁、干燥,以免引起触电或其它危险;请不要使用已破损或老化的电源线。请勿在无人监管的情况下让儿童使用设备;请勿让儿童玩耍设备及小配件,避免因吞咽等行为产生危险。如有不正常现象出现,如:冒烟、声音异常、有异味等,请立刻停止使用,并断开电源,拔出电源插头。安放设备时请在四周和顶部留出10cm以上的
7、散热空间,并远离热源或裸露的火源,例如电暖器、蜡烛等。请勿在设备以及电源线或电源插头上放置任何物体。请不要拿物体覆盖机箱的通风口。清洁前,请先停止使用设备并切断电源。清洁时,请使用柔软的干布擦拭设备外壳。请勿自行拆卸设备,设备发生故障时请联系指定的维修点。如果长时间使用设备,外壳会有一定程度的发热。请不必担心,这属于正常现象,设备依旧能正常工作。天清汉马 USG防火墙系统用户手册 第 2 页 2 主要主要产品产品功能功能 本产品是专门为您定制的一款产品,已经为您做了全面的预配置工作,您不再需要进行任何配置,正确连接后即可使用。本产品为您提供了灵活的功能选项,您可以根据自己的需求进行功能选择,您
8、可以使用的功能包括:高速宽带上网功能,支持现行各种接入认证方式。通过此功能您可以快速地浏览各种互联网上的信息,可进行网上交谈、收发电子邮件、获得所需要的信息等。组建多个内部局域网功能。通过 VLAN功能用户能方便地在网络中快捷地组建宽带网络,而无需改变任何硬件和通信线路。无线内部组网功能。您可以使用支持无线网卡的电脑通过无线网络接入局域网,省去了连接电脑与网络的网线,在您布线受限的条件下更能显出其优越性。您还可针对不同部门设置不同的无线网络名称,设置不同的访问权限和安全机制,例如为来访人员设置专用的无线网络名称。为避免各无线网络之间的相互干扰,可以设置无线 AP 隔离。强大的防火墙功能,支持防
9、 DDoS 攻击、基于 URL的内容过滤,保证内网安全。例如,您可以设置 URL地址,过滤指定网站;设置 URL关键字,过滤相关网站。业务带宽保障功能。使用户的重要业务数据优先传输。天清汉马 USG防火墙系统用户手册 第 3 页 3 面板面板和规格和规格说明说明 前面板 图3-1 前面板图 前面板接口说明如下:表 3-1 前面板接口说明 名称 含义/功能 Reset 复位按钮,长按 5 秒,恢复系统配置为出厂默认值 USB USB接口,用于网络 U盘、备份配置文件等 WAN(1-2)提供 2 个 WAN口,上行以太网接口 LAN(1-4)提供 4 个 LAN口,用于连接内网设备 名称标识仅供参
10、考,具体标识请以实物为准;可根据客户需要选配 1 个 WAN 口或 2 个 WAN 口,请以具体实物为准。前面板指示灯 前面板指示灯说明如下:表 3-2 前面板指示灯说明 名称 颜色 状态 含义/功能 电源指示灯(PWR)绿色 灯不亮 表示系统电源关闭或故障 灯常亮 表示系统电源接通且工作正常 系统状态指绿色 灯快闪 表示系统正在启动 天清汉马 USG防火墙系统用户手册 第 4 页 名称 颜色 状态 含义/功能 示灯(SYS)灯慢闪 表示进入正常工作状态 灯常灭常亮 表示死机 USB指示灯(USB)绿色 灯亮 表示系统已连接到 USB 设备,不可拔出 灯闪烁 表示正在传输数据,不可拔出 灯灭
11、表示 USB 设备未连接或已弹出,可拔出 WAN状态灯(W1/2)绿色 灯常亮 表示 WAN链路正常工作 灯闪烁 表示端口在收发数据 灯不亮 表示 WAN链路不通 LAN状态灯(L1-4)绿色 灯常亮 表示 LAN链路正常工作 灯闪烁 表示端口在收发数据 灯不亮 表示 LAN链路不通 VPN状态指示灯(VPN)绿色 灯不亮 表示 VPN连接未建立 灯闪烁 表示 VPN连接有数据收发 灯常亮 表示 VPN连接已建立 网络连接状态指示灯(NET)绿色 灯不亮 表示没有网络连接或处于桥接模式 表示网络没有获得 IP 地址 灯常亮 表示网络已连接并获得IP地址(固定 IP 地址)无线指示灯(WiFi)
12、绿色 灯常亮 表示无线功能已启用 灯闪烁 表示无线模块收发数据 灯不亮 表示无线模块关闭 天清汉马 USG防火墙系统用户手册 第 5 页 后面板 图3-2 后面板图 后面板图说明如下:表 3-3 后面板图说明 编号 名称 含义/功能 1 WIFI 无线功能天线 2 电源插座 电源插座 3 接地端子 用于接地 以上示意图形仅供参考,具体外观请以实物为准。技术规格 物理特性和环境要求 最大功耗 8W 电源 额定电压(外置):100VAC240VAC;50/60Hz 工作环境温度-555 天清汉马 USG防火墙系统用户手册 第 6 页 物理特性和环境要求 工作环境相对湿度 95%(非凝结)尺寸(LW
13、H)28017044mm 本产品符合关于环境保护方面的设计要求,产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。天清汉马 USG防火墙系统用户手册 第 7 页 4 首次首次使用使用和基本连接配置和基本连接配置 首次使用时,本产品由运营商进行安装,若您(企业网络管理员或负责人员)在使用过程中需要对设备进行调整,请参照以下步骤。1、建立有线连接 请按照以下步骤连接本产品。步骤 1 用一条网线连接本产品上的以太网接口(WAN)和运营商的入户信息点如图4-1所示。图4-1 单 WAN 口连接 天清汉马 USG防火墙系统用户手册 第 8 页 步骤 2 双WAN口连接如图4-2所示,请用户根据实际
14、网络进行连接。(可选)图4-2 双 WAN 口连接 步骤 3 用网线连接本产品上的固定交换口(LAN14)和电脑的以太网接口如图4-3所示。图4-3 连接 LAN口 步骤 4 用电源线连接本产品上的电源接口与电源插座。以上图片仅作示意,具体接口请以实物为准。天清汉马 USG防火墙系统用户手册 第 9 页 2、上电检查 安装连接完成后,打开本产品,这时您可以通过检查指示灯状态,来判断本产品是否工作正常,指示灯状态说明请参见“表 3-2 前面板指示灯说明”。3、建立无线连接 如果您不需要无线上网,则可以不执行本步骤内容;否则需要确认无线上网的电脑具有无线上网功能,然后根据本步骤内容建立无线连接。本
15、产品已开启了无线网络功能,安装上电后只需在需要无线上网的电脑上配置好无线客户端软件(如 Windows自带的无线网络连接工具)即可建立无线连接。预先设置好的无线网络名称(SSID)为“SSIDXXXX”,名称的后四位“XXXX”为 4位字符或数字。可以修改无线网络名称(SSID)的后四位,具体修改步骤请参见WLAN设置部分。配置无线客户端软件的步骤如下(以使用 Windows自带的无线连接工具为例):步骤 1 如图4-4所示,点击“开始设置网络连接”:图4-4 启动网络连接 点击“网络连接”后,弹出网络连接页面如图 4-5所示:天清汉马 USG防火墙系统用户手册 第 10 页 图4-5 网络连
16、接 步骤 2 在图4-5点击“无线网络连接”图标,点击“查看无线网络”按钮,出现无线网络连接界面,点击“刷新网络连接”按钮,搜索可用的无线网络如图4-6所示:图4-6 选择无线网络 在图 4-6中,选中“SSID-XXXX”,点击,弹出连接无线网络页面如图4-7所示,输入网络密钥并确认网络密钥。天清汉马 USG防火墙系统用户手册 第 11 页 图4-7 连接无线网络 步骤 3 在图4-7中点击,弹出如图4-8所示页面,表明已经连接成功,您即可使用无线上网功能。图4-8 连接无线网络客户端配置成功 天清汉马 USG防火墙系统用户手册 第 12 页 5 配置准备配置准备 本章将带领您登录并熟悉We
17、b设置页面,使用本产品提供的基本功能。(本章配置操作以您的电脑使用Windows XP操作系统,Internet Explorer浏览器为例。对于其他操作系统和浏览器,请参见其说明并参照本章内容配置)。配置前的准备 在您进行个性化配置之前,都需要登录本产品的配置页面。登录配置页面的步 骤如下:步骤 1 首先确认浏览器没有使用代理服务器,具体确认步骤如下:(1)启动浏览器,在“工具”菜单栏中选择“Internet 选项”,然后单击“连接”标签,进入 Internet 连接页面如图 5-1所示。图5-1 Internet 连接(2)在 Internet 连接页面单击“局域网设置”如图 5-2所示,
18、确保没有勾选“LAN 使用代理服务器”前的单选框。天清汉马 USG防火墙系统用户手册 第 13 页 图5-2 设置代理服务器 步骤 2 设置用户计算机IP地址 在访问配置页面前,建议将计算机设置成“自动获取 IP 地址”和“自动获得 DNS服务器地址”,由本产品分配 IP 地址。如果您需要给计算机指定静态 IP 地址,则需要将计算机的 IP地址与本产品的LAN口 IP 地址设置在同一网段内(设备 LAN口缺省 IP 地址为 192.168.1.1;子网掩码为 255.255.255.0;默认网关为 192.168.1.1)。(1)在本地连接属性窗口选择Internet协议(TCP/IP)。(2
19、)然后单击属性按钮,弹出Internet协议(TCP/IP)属性,如图5-3所示。天清汉马 USG防火墙系统用户手册 第 14 页 图5-3 Internet 协议(TCP/IP)属性(3)设置静态IP地址(可选)在Internet协议(TCP/IP)属性对话框中,单击使用下面的IP地址,指定本机IP地址与设备的LAN口地址在同一网段,即192.168.1.x(x在2254范围之内),例如IP地址为192.168.1.7,子网掩码为255.255.255.0,默认网关设置为192.168.1.1。(4)自动获取IP地址(可选)在Internet协议(TCP/IP)属性对话框中,单击自动获取IP
20、地址和自动获得DNS服务器地址。(5)单击确定按钮,确认及保存您的设置。这些设置可以根据用户的网络要求来进行改变,但是在首次接入到设备的 WEB配置页面时请按照上述配置。步骤 3 进入配置界面,具体步骤如下:(1)在浏览器的地址栏输入“http:/192.168.1.1”(192.168.1.1为本产品缺省登天清汉马 USG防火墙系统用户手册 第 15 页 录 IP 地址,即为缺省 LAN口 IP 地址),按回车键,弹出登录窗口如图 5-4所示:图5-4 登录 WEB 配置页面(2)在登录窗口中输入用户名和密码,单击按钮。密码验证通过后即可进入本产品的配置页面如图 5-5所示:缺省用户名为“a
21、dmin”,缺省密码为“admin”。图5-5 WEB设置页面 天清汉马 USG防火墙系统用户手册 第 16 页 从图 5-5您可以看到本产品配置页面上方为功能模块,左侧为导航栏,右侧为设置区域。在接下来的各章将分别对各个功能模块进行详细介绍。步骤 4 退出配置界面 单击页面右上角的,即可退出 Web 设置页面。Web 设置页面的超时时间是 5 分钟,5 分钟内没有进行任何页面操作,需要重新输入用户名和密码验证。WEB页面操作按钮说明 在接下来的各章将向您详细介绍如何操作本产品,操作过程中的按钮说明如下。表 5-1 WEB 页面操作按钮说明 界面项 说明 修改配置信息后,请单击按钮,把配置信息
22、保存到操作后台。单击按钮后,单击按钮,取消保存到操作后台的配置信息。单击按钮后,确认配置信息无误,单击按钮,让配置信息生效。添加一条策略或修改一条策略后,没有单击按钮,在页面上将显示配置未应用提醒,点击后,修改的所有配置信息将生效。天清汉马 USG防火墙系统用户手册 第 17 页 6 快速快速向导向导 按照快速向导提供的步骤完成设置后,就可使用本产品提供的服务。进行配置前,请先单击页面上方的“快速向导”,进入快速向导页面如图 6-1所示。在配置过程中如果单击按钮,已经修改的配置信息不会生效,重新弹出图 6-1页面。图6-1 快速设置向导 单击按钮,弹出如图 6-2所示页面,对本产品的 WAN和
23、 LAN进行设置。WAN口支持“静态 IP”、“DHCP”、“PPPoE”三种连接类型,选择您的连接类型,并正确填写 ISP 提供给您的参数;LAN口 IP 地址有默认值,可以根据需要修改,修改 LAN口 IP 地址后,需要使用修改后的 LAN地址重新登录设备后才能继续配置。图6-2 WAN设置和 LAN设置 设置完成后单击按钮,弹出如图 6-3所示页面,对无线 AP 进行配置,一般建议保持配置缺省值,如需修改请参见8 网络设置的 WLAN设置。天清汉马 USG防火墙系统用户手册 第 18 页 图6-3 无线 AP 设置 设置完成单击按钮,弹出如图 6-4所示页面。单击按钮,更新全部设置信息,
24、现在本产品即可正常工作。图6-4 应用快速设置 天清汉马 USG防火墙系统用户手册 第 19 页 7 设备概览设备概览 设备概览包括信息概览和信息统计。进行配置前,请先单击页面上方的“设备概览”,进入设备概览页面。信息概览 信息概览包括系统概览、接口状态、无线状态和 3G状态。系统概览 选择“信息概览系统概览”,进入“系统概览”页面如图 7-1所示。图7-1 系统概览 系统概览显示了系统基本信息CPU占用率内存使用率用户连接追踪。单击按钮,显示当前时间的 CPU占有率、内存使用率、用户连接追踪数。天清汉马 USG防火墙系统用户手册 第 20 页 接口状态 选择“信息概览接口状态”,进入“接口状
25、态”页面如图 7-2所示。图7-2 接口状态 接口状态显示了 LAN口的 MAC地址IP 地址和子网掩码信息,WAN口的连接方式MAC 地址IP 地址子网掩码网关和主备 DNS 信息。对于 PPPOE拨号线路,提供手动连接与断开按钮。单击按钮,显示当前时间的接口信息。无线状态 选择“信息概览无线状态”,进入“无线状态”页面如图 7-3所示。天清汉马 USG防火墙系统用户手册 第 21 页 图7-3 无线状态页面 无线状态显示已启用的无线 AP 的访问地址,无线网络名称,已接收和已发送的流量、接入用户数。单击按钮,显示当前时间的状态信息。3G 状态 选择“信息概览3G状态”,进入“3G状态”页面
26、如图 7-4所示,可以查看 3G卡状态和数据卡信息。图7-4 3G状态 选择,弹出界面如图 7-5所示,可以按天/月/年查询 3G上网时间记录。天清汉马 USG防火墙系统用户手册 第 22 页 图7-5 3G上网时间记录 信息统计 信息统计包括 DHCP 状态、接口统计、在线用户统计、ARP 列表。DHCP 状态 选择“信息统计DHCP 状态”,进入“DHCP 状态”页面如图 7-6所示。图7-6 DHCP状态 DHCP 状态显示通过本产品的 DHCP 服务获取 IP 地址的用户信息,包括用户名称用户 IP 地址和 MAC地址。接口统计 选择“信息统计接口统计”,进入“接口统计”页面如图 7-
27、7所示。天清汉马 USG防火墙系统用户手册 第 23 页 图7-7 接口统计 接口统计显示本产品已启用的各网络接口的上下行速率和流量。单击按钮,显示当前时间的接口信息。在线用户统计 选择“信息统计在线用户统计”,进入“在线用户统计”页面如图 7-8所示。图7-8 在线用户统计 在线用户统计可直观的看到所有在线用户的 IP 地址、上下行速率、上下行流量、连接会话数。单击按钮,显示当前时间的在线用户信息。ARP 列表 选择“信息统计ARP 列表”,进入“ARP 列表”页面如图 7-9所示。图7-9 ARP列表 ARP 列表显示设备内所有的 ARP 信息。单击按钮,显示当前时间的 ARP信息。天清汉
28、马 USG防火墙系统用户手册 第 24 页 8 网络设置网络设置 网络设置模块提供了本产品工作要进行的基本配置,包括基础设置、高级选项和 VPN设置。进行配置前,请先单击页面上方的“网络设置”,进入网络设置页面。基本网络设置 基本设置包括 LAN接口设置WAN接口设置、DHCP 设置和 WLAN设置。LAN 接口设置 选择“基础配置LAN接口设置”,单 击“基本设置”标签,弹出如图 8-1所示页面,配置 LAN口的 IP 地址和子网掩码。系统有默认 IP 地址:192.168.1.1,子网掩码:255.255.255.0。图8-1 LAN接口基本设置 修改 LAN口 IP 后,需要重新登录到新
29、的设备地址才能继续配置。选择“基础配置LAN接口设置”,单击“VLAN设置”标签,弹出如图 8-2所示页面。VLAN1 为 LAN口地址,不能修改,您可以配置 6 个 VLAN IP 地址段和子网掩码,勾选后才能进行配置。天清汉马 USG防火墙系统用户手册 第 25 页 图8-2 VLAN设置 选择“基础网络LAN接口设置”,单击“端口 VLAN设置”标签,弹出如图 8-3所示页面。将物理端口和无线 AP 划分到不同的 VLAN中,可 选 VLAN为 VLAN配置中已启用的 VLAN编号,从下拉框中选择即可。图8-3 端口 VLAN设置 选择“基础网络LAN接口设置”,单击“VLAN隔离”标签
30、,弹出如图 8-4所示页面。七个 VLAN之间默认可以相互通信,选中某个单选框即限制该单选框对应的源 VLAN IP 网段的用户访问目的 VLAN IP 网段。天清汉马 USG防火墙系统用户手册 第 26 页 图8-4 VLAN隔离 选中某个单选框后,即限制该单选框对应的源 VLAN 网段到目的VLAN网段的访问,不限制目的 VLAN网段到源 VLAN网段的访问。WAN接口设置 基本设置基本设置 选择“基础配置WAN 接口设置”,单击“基本设置”标签,弹出“WAN 口基本设置”页面如图 8-5所示。图8-5 WAN口运行模式 WAN 口运行模式:口运行模式:单 WAN(WAN):使用一个 WA
31、N接口连接网络 双 WAN(WAN2):使用两个 WAN接口连接网络 天清汉马 USG防火墙系统用户手册 第 27 页 单 WAN(3G):使用 3G连接网络时可选 双 WAN(3G):同时使用以太网上行和 3G网络时可选 WAN设置如图 8-6所示。图8-6 WAN设置 WAN口接口模式:网关(Gateway):本产品作为企业网络出口路由设备使用,一般部署在企业内部网络出口,对内承担企业内部用户网关,对外通过各种链路方式接入到运营商网络。桥接(Bridge):本产品作为一个带过滤功能的网桥使用,一般在企业已经拥有上网出口网关设备时使用,可以把设备连接在企业网关出口和内网之间,进行员工上网流量
32、的监视和限制。桥接模式可以在不改动用户网络配置的情况下方便地接入到用户网络。在桥接模式下,连接类型默认为静态地址,设置分配给设备的内网地址,管理员可通过该地址管理设备。管理员的计算机地址与桥接模式下设置的管理地址要求在同一网段,才能对设备进行管理。在桥接模式下,网桥包含一个 WAN 口,通过 LAN/WAN 绑定可把VLAN加入网桥,对添加的 VLAN网段进行上网和流量控制。WAN连接类型有 PPPOE静态 IP 和 DHCP 三种方式:PPPOE 拨号方式获取 WAN口地址 天清汉马 USG防火墙系统用户手册 第 28 页 选择“PPPOE”弹出如图 8-7所示页面。在用户名和密码框内输入用
33、户宽带帐号的用户名和密码,重播号间隔时间和 MTU可不设置,系统有缺省值,DNS 方式一般选择“使用动态获取的 DNS”即可,如需要手动配置,请选择“使用指定DNS”,然后输入 ISP 提供的 DNS 服务器地址。图8-7 PPPOE方式获取 IP 地址 静态 IP 地址 选择“静态 IP”弹出如图 8-8所示页面。ISP 会提供固定的 WAN 口 IP 地址子网掩码网关地址和 DNS 服务器地址,用户需手动设置这些选项。图8-8 静态配置 WAN口地址 DHCP 方式获取 WAN口地址 选择“DHCP”弹出如图 8-9所示页面。DNS 方式一般选择“使用动态获取的 DNS”即可,如需要手动配
34、置,请选择“使用指定 DNS”,然后输入 ISP 提供的 DNS服务器地址。图8-9 DHCP方式获取 IP 地址 天清汉马 USG防火墙系统用户手册 第 29 页 3G 作为作为 WAN 口设置口设置 选择单 WAN(3G)或者双 WAN(3G)模式,弹出如下图所示页面。图 8-10 WAN 3G 设置 WAN 3G设置说明如下:表8-1 WAN3G 设置 参数项 说明 3G连接状态 3G卡连接成功后显示“存在”,否则显示“3G卡未插入”。网络运营商 选择 3G卡的网络运营商。用户名 该 3G卡的用户名,由 ISP 提供。密码 该 3G卡的密码,由 ISP 提供。天清汉马 USG防火墙系统用
35、户手册 第 30 页 参数项 说明 拨号号码 该 3G卡的拨号号码,由 ISP 提供。网络模式 CDMA 模式:指 CDMA-1x 模式,该模式下最大下行速率为 153.6kbps。HDR 模式:指 3G 模式,该模式下最大下行速率为3.1mbps。CDMA/HDR HYBRID模式:该模式兼容 CDMA和HDR。具体选择哪种模式请咨询 UIM 卡提供商。拨号认证类型 PAP:密 码 认 证 协 议(Password Authentication Protocol)。CHAP:PPP 挑战握手认证协议(Challenge Handshake Authentication Protocol)。M
36、S-CHAP:Microsoft 版本的 PPP 挑战握手认证协议。认证类型需要和 PPP 服务器保持一致,具体选择哪种类型请咨询 ISP。拨号连接方式 按需连接:当有网络流量时,触发拨号连接;没有网络流量时,自动断开连接。譬如用户进行收发邮件时,就开始拨号连接上网,完成收发邮件后,就断开连接。保持连接:拨号成功后,一直处于连接状态。重拨号间隔时间 重拨号的时间间隔,取值范围为 103600,单位为秒,缺省值为 120,建议保持缺省值。MTU 最大传输单元(Maximum Transmission Unit),是 在一定的物理网络中能够传送的最大数据单元。取值范围为 5461492,单位为字节
37、,缺省为 1492,建议保持缺省值。天清汉马 USG防火墙系统用户手册 第 31 页 参数项 说明 DNS 方式 使用动态获取的 DNS:设备自动获取 DNS 服务器地址。使用指定 DNS:手动设置 DNS 服务器地址。双双 WAN 设置设置 当您使用双 WAN口连接时,您可以对双 WAN进行配置。选择“基础配置WAN接口设置”,单击“双 WAN设置”标签,弹出如图 8-11所示页面。图8-11 双 WAN设置 双 WAN设置说明如下:表8-2 双 WAN设置 参数项 说明 主备模式 WAN为主链路,正常情况下只有主链路可用,当主链路不通时,流量自动切换到备份链路。智能均衡模式 默认链路:选择
38、默认链路。未指定优先链路的流量,通过设置的默认链路转发;WAN网络服务商:选择 WAN 链路连接的外网的网络服务商。一般情况选择“自动识别”,如不能识别,天清汉马 USG防火墙系统用户手册 第 32 页 参数项 说明 请根据实际连接选择“电信”、“联通”、“移动”;WAN2 网络服务商:选择 WAN2 链路连接的外网的网络服务商。一般情况选择“自动识别”,如不能识别,请根据实际连接选择“电信”、“联通”、“移动”。LAN/WAN 绑定绑定 选择“基础配置WAN接口设置”,点击“LAN/WAN绑定”标签,弹出如图 8-12所示页面。图8-12 LAN/WAN绑定 在桥接模式下,网桥包含一个 WA
39、N口,通过 LAN/WAN绑定可把 VLAN加入网桥,对添加的 VLAN网段进行上网和流量控制。DHCP 设置 选择“基础网络DHCP”,进入“DHCP 设置”页面如图 8-13所示。天清汉马 USG防火墙系统用户手册 第 33 页 图8-13 DHCP SERVER设置 DHCP 服务选择“禁用”时,禁用该 VLAN口的 DHCP 功能。DHCP 服务选择“DHCP SERVER”弹出如图 8-13所示页面。该 VLAN作为DHCP(Dynamic Host Configuration Protocol,动态主机设置协议)服务器,给局域网内计算机分配 IP 地址。DHCP SERVER 设置
40、说明如下:表8-3 DHCP SERVER设置 界面项 说明 租约时间 输入给计算机分配 IP 地址的租约时间,到达租约时间后,计算机必须重新申请一次地址(一般计算机会自动申请)。单位:秒,缺省值为 18000 秒。DHCP范围设置 DHCP 服务器 IP 地址池配置,要求与 LAN的 IP 地址在同一网段,可以添加多个 IP 地址池,对地址池的起始 IP、结束 IP 进行设置。IP/MAC地址绑定 添加 MAC 和 IP 地址绑定,满足一些机器的固定 IP需求。天清汉马 USG防火墙系统用户手册 第 34 页 界面项 说明 本产品接收到 DHCP 客户端获取 IP 地址请求时,首先查找该绑定
41、表,如果这台计算机在绑定表中,则把对应的 IP 地址分配给该计算机。图8-14 DHCP RELAY设置 DHCP 服务选择“DHCP RELAY”弹出如图 8-14所示页面。如果 DHCP 客户端与 DHCP 服务器不在同一个物理网段,则需要 DCHP Relay Agent(中继代理),此时该 VLAN作为 DHCP RELAY代理与其他子网的 DHCP 服务器通信为 DHCP 客户端分配 IP 地址。DHCP RELAY设置说明如下:表8-4 DHCP SERVER设置 界面项 说明 服务器端 IP 地址 连接的 DHCP server 的 IP 地址。服务端接口 DHCP RELAY连
42、接 DHCP 服务器的接口,可选“WAN”或“WAN2”。WLAN设置 配置无线接入网络,需要无线上网的电脑完成无线客户端配置(无线客户端配置请参见3、建立无线连接)后可以直接无线上网。本产品可以设置 3 个无线网络。选择“基础配置WLAN设置”,进入“无线设置”页面如图 8-15所示。天清汉马 USG防火墙系统用户手册 第 35 页 图8-15 无线 AP设置 无线 AP 设置项对产品提供的 3 个无线网络进行总控制,设置说明如下:表8-5 无线网卡设置 界面项 说明 开关 选择“开启”,激活 AP1、AP2、AP3,建议选择该项;选择“关闭”,关闭 AP1、AP2、AP3 无线模式 支持的
43、无线局域网标准:802.11B:IEEE 的无线局域网标准协议,定义带宽、传输速率等参数;802.11G:IEEE 的无线局域网标准协议,定义带宽、传输速率等参数,此模式下不兼容 B 模式;802.11B/G:此模式下兼容 B 和 G模式;802.11N:目前最先进的无线传输标准,比传统的协议提供更高的无线速率、更广的无线覆盖范围、更强的信号稳定性等;802.11G/N:此模式下兼容 G和 N模式;802.11B/G/N:此模式下兼容 B、G和 N模式 天清汉马 USG防火墙系统用户手册 第 36 页 界面项 说明 无线区域 选择“Asia”,提供 13 个无线频道;选择“USA”,提供 11
44、 个无线频道。频道 无线频道,可选自动和 113 带宽 在 802.11N和 802.11B/G/N模式下,可配置该项:选择“20MHZ”,无线速率可达到 70Mbps;选择“40MHZ”,无线速率可达到 140Mbps,同时可对无线信道进行扩展 扩展信道 带宽选择“40MHZ”时,可配置该项:信道选择“自动”,扩展信道可选择“自动”;信道选择“1”,扩展信道可选择“5”;信道选择“2”,扩展信道可选择“6”;信道选择“3”,扩展信道可选择“7”;信道选择“4”,扩展信道可选择“8”;信道选择“5”,扩展信道可选择“1、9”;信道选择“6”,扩展信道可选择“2、10”;信道选择“7”,扩展信道
45、可选择“3、11”;信道选择“8”,扩展信道可选择“4”;信道选择“9”,扩展信道可选择“5”;信道选择“10”,扩展信道可选择“6”;信道选择“11”,扩展信道可选择“7”;信道选择“12”,扩展信道可选择“8”;信道选择“13”,扩展信道可选择“9”发射功率 设置无限 AP 的发射功率,可选项为 25,50,75,100,单位为%,功率依次递增 隔离选择 开启:无线 AP 之间不能互通;天清汉马 USG防火墙系统用户手册 第 37 页 界面项 说明 关闭:无线 AP 之间可进行数据互通 本产品提供 3 个无线网络,以 AP1 为例进行说明。单击“AP1”标签,进入 AP1设置页面如图 8-
46、16所示。图8-16 无线设置 AP 设置说明如下:表8-6 AP 设置 界面项 说明 SSID 无线接入点的服务设置标志号 天清汉马 USG防火墙系统用户手册 第 38 页 界面项 说明 AP 开关 开启:开启后即激活该 AP;关闭:关闭后即禁用该 AP 允许 SSID广播 是:有效范围内的无线终端都可以看到该SSID;否:隐藏住该 SSID,即有效范围内的无线终端看不到该 SSID,但是通过正确配置无线客户端后可以进行无线连接 无线终端隔离 选择“开启”,该无线 AP 内接入的无线客户端之间不能相互通信;选择“关闭”,该无线 AP 内接入的无线客户端之间可以相互通信 认证类型 支持 4 种
47、认证类型:Open、Shared、WPAPSK、WPA2PSK、WPA/WPA2-MIX;无线终端连接 AP 时应与无线配置认证类型/密钥相匹配 加密类型 Open 认证类型下,可选择不加密或 WEP 加密;Shared 认证类型下,WEP 加密;WPAPSK、WPA2PSK认证类型下,可选择 AES或 TKIP 加密。WEP 密钥长度 WEP 加密下可设置密钥长度,可选 64bit 或 128bit 密钥 设置认证密码;在 WEP 加密下,如选择 64bit,用户需要输入5 位 ASIC字符或者 10 位 HEX值;在 WEP 加密下,如选择 128bit,用户需要输入13 位 ASIC字符
48、或者 26位 HEX 值;天清汉马 USG防火墙系统用户手册 第 39 页 界面项 说明 如果是 WPA加密,则密钥为 863 位 ASSIC 字符或 64 位 HEX 数字。MAC 地址过滤 选择“开启”,启用 MAC地址过滤功能。选择过滤规则“只允许列表中 MAC 地址接入”,则只有列表中的 MAC地址可以通过该无线网络上网;选择过滤规则“只禁止列表中 MAC 地址接入”,则列表中的 MAC地址不可通过该无线上网。选择“关闭”,MAC 地址过滤功能无效。管管理列表中理列表中 MAC地址:地址:添加 MAC地址:在下面的 MAC地址管理中输入 MAC地址和描述,单击按钮添加 MAC地址;修改
49、 MAC地址:单击按钮,修改 MAC地址,再单击按钮使修改生效;删除 MAC地址:单击按钮删除 MAC地址。本产品预先设置的 SSID名称和密钥,请参见产品底部粘贴的标签。高级选项 高级选项包括 DDNS、静态路由、策略路由、DNS Relay设置、NAT、端口映射、虚拟域名、ALG开关、网络 U盘和页面推送。DDNS设置 实现固定域名到动态 IP 地址之间的解析,当 WAN 口 IP 地址变化时,本产品会自动向指定的 DDNS 服务器发起更新请求,DDNS 服务器会更新域名与 IP的对应关系。选择“高级选项DDNS”,进入“DDNS 设定”页面如图 8-17所示。天清汉马 USG防火墙系统用
50、户手册 第 40 页 图8-17 DDNS 设置 DDNS 设置说明如下:表8-7 DDNS 设置 界面项 说明 DDNS 更新 启用或禁止 DDNS 服务,设备默认值为启用。服务类型 选择提供域名服务的服务商,目前本产品只支持www.3322.org。用户名 注册 DDNS 服务时得到的用户名。密码 注册 DDNS 服务时得到的密码。域名 与本产品 WAN口 IP 地址绑定的域名。静态路由 系统有一条默认路由,在定义了 LAN口地址WAN口地址和网关后会自动生成接口网段的路由,有了这些路由一般情况下即可以满足业务需求。静态路由功能是为特定目标网络地址选择出口的网关或者接口。选择“高级选项静态