USG2210針對貴單位的功能介紹操作指南

一、基于IP的流量限制

通過配置限流策略限制企業(yè)員工訪問Internet的流量、外網(wǎng)用戶訪問企業(yè)效勞器的流量，以提高帶寬

利用率。

配置思路

1.配置內(nèi)網(wǎng)員工上網(wǎng)流量限制。

a.配置整體限流策略，限制上網(wǎng)的總體最大上傳/下載帶寬均為lOOMbpSo

b,配置每IP限流策略，限制每個員工的最大上傳/下載帶寬為8Mbps/10Mbps,并

且可以獲得4Mbps的保證帶寬。

卬?說明：

限制上傳、下載兩個方向的流量需要配置兩條限流策略，上傳是Trust到Untrust區(qū)

域的策略，下載是Untrust到Trust區(qū)域的策略。

配置每IP限流策略時，除了可以指定每個IP的最大帶寬還可以指定最低保證帶寬。

為使保證帶寬到達效果，需要將每IP限流策略和整體限流結(jié)合使用，當某個IP猬取到

保證帶寬后覺察網(wǎng)絡總帶寬還有剩余，還可以獲得剩余的帶寬。

2.配置整體限流策略，限制外網(wǎng)用戶訪問內(nèi)網(wǎng)效勞器的總體連接數(shù)最多為20個。

~?一上傳_一?—

工程數(shù)據(jù)說明

(1)接口號:GigabitEthernet與內(nèi)網(wǎng)辦公區(qū)相連的接口。

0/0/2

IP地址:192,168.1.1/24

安全區(qū)域:Trust

(2)接口號:GigabitEthernet與效勞器區(qū)相連的接口。

0/0/3

IP地址：10.1.1.1/24

安全區(qū)域:DMZ

(3)接口號：GigabitEthernet與Internet相連的接口。

0/0/4

IP地址:1.1.1.1/24

安全區(qū)域:Untrust

內(nèi)網(wǎng)辦公區(qū)IP地址范圍：192.168.1.0/24留意依據(jù)企業(yè)向運營商租用的

總體最大上傳/下載帶寬：總帶寬、上網(wǎng)人數(shù)規(guī)劃數(shù)據(jù)。

lOOMbps/lOOMbps例如企業(yè)總帶寬為150M,規(guī)劃

每個員工的最大上傳/下載帶辦公區(qū)上網(wǎng)的總帶寬不能超過

寬：8Mbps/10MbpslOOMo上網(wǎng)人數(shù)為20人,此時

每個人可獲得的平均帶寬為5M,

每個員工的上傳/下載保證帶

寬：4Mbps規(guī)劃每個人的最大帶寬可以高

于平均帶寬，保證帶寬則要低

「平均帶寬，否則無法保證最

低帶寬。

FTP效勞器IP地址:10.1.1.2/24-

效勞器連接數(shù)上限：20個

配置思路

1.配置內(nèi)網(wǎng)員工上網(wǎng)流量限制。

a.配置整體限流策略，限制上網(wǎng)的總體最大上傳/下我?guī)捑鶠?OOMbpso

b.配置每IP限流策略，限制每個員工的最大上傳/下載帶寬為8Mbps/l0Mbps,并

且可以獲得4Mbps的保證帶寬。

田說明：

限制上傳、下載兩個方向的流量需要配置兩條限流策略，上傳是Trust到Untrust區(qū)

域的策略，下載是Untrust到Trust區(qū)域的策略。

配置每IP限流策略時，除了可以指定每個IP的最大帶寬還可以指定最低保證帶寬。

為使保證帶寬到達效果，需要將每IP限流策略和整體限流結(jié)合使用，當某個IP狷取到

保證帶寬后覺察網(wǎng)絡總帶寬還有剩余，還可以獲得剩余的帶寬。

2.配置整體限流策略，限制外網(wǎng)用戶訪問內(nèi)網(wǎng)效勞器的總體連接數(shù)最多為20個。

由說明：

企業(yè)內(nèi)網(wǎng)訪問Internet.外網(wǎng)用戶訪問企業(yè)FTP效勞器需要分別配置源NAT和NAT

Server,本例步驟略。配置NAT的狀況下，需要針對真實的私網(wǎng)IP地址進展限流而不

是NAT轉(zhuǎn)換后的公網(wǎng)IP地址。

操作步驟

1.配置各接口根本參數(shù)1：

a.選擇“網(wǎng)絡>接口〉接口”。

b.在“接口列表"中，單擊GigabitEthernet0/0/2對應的0

GigabitEthernet0/0/2的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：trust

?模式：路由

?連接類型：靜態(tài)IP

IP地址:192.168.1.1

?子網(wǎng)掩碼：255.255.255.0

c.重復上述類似操作，配置GigabitEthernet0/0/3和GigabitEthernet0/0/4的接口參數(shù)。

GigabitEthernet0/0/3的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：dmz

?模式：路由

?連接類型：靜態(tài)IP

?IP地址：10.1.1.1

?子網(wǎng)掩碼：255.255.255.0

GigabitEthernet0/0/4的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：untrust

?模式：路由

?連接類型：靜態(tài)IP

?IP地址:1.1.1.1

?子網(wǎng)掩瑪：255.255.255.0

2.對于USG系列，配置域間包過濾，以保證網(wǎng)絡根木通信正常.對于USGBSR/HSR系列，

不需要執(zhí)行此步驟。

a.選擇“防火墻〉安全策略>轉(zhuǎn)發(fā)策略”。

b.在“轉(zhuǎn)發(fā)策略列表”中，單擊“trust->untrust”下“默認”對應的用修改動作為

permit-

c.重復上述類似操作，修改“untrust->dmz”的默認動作為permito

3.配置內(nèi)網(wǎng)員工上網(wǎng)限流策略。

a.選擇“防火墻>限流策略>根本配置”，啟用限流功能。

b.配置整體限流策略，限制整體上傳流量。

先配置整體限流Class再建整體限流策略引用Classo

選擇“防火墻>限流策略>整體限流”c

ii.選驛“整體限流Class”頁簽，單擊中，建整體限流Classo

新建整體限流Class

名聊upload.dass*

最大帶寬100000|<8-10000000>kfcps

最大連殿|<1-1000000》

「口說明:

帶寬單位為kbps,lMbps=1000kbpSo

選擇“整體限流”頁簽，單擊*建整體限流策略。

上傳的方向是從Trust到Unirust。

源安全減:ristF,

目的安金區(qū)越jntrust

源覬19216810/24V多達

請選擇癱入1噓址V然

用尸請送抵或輸入用戶或年戶姐—1V別

請選擇應用也6―

強用協(xié):喪V別

謂選愫服務V納

時何煦V

洲|順v||*

燃

鄴翩Classjpload_class

配置整體限流策略，限制整體下載流量，配置過程與上傳限流策略類似。

建室體限流Class.

就建整體限汽Class

名稱(download.dassI,

最大聚寬100000|*8-10000000>kbps

量大連接數(shù)<1-1000000>

i.建整體限流策略。

下載的方向是從Intrust到Trusto

源笈全現(xiàn)urtrust7、

巨趣全區(qū)域trustV人

誦地址V繳

emit19216&10/24____1好

用尸謝酎麒.人用尸糊尸M上多幺

應用協(xié)議誦五碗用傷議V

麗麗

鹿V多2

炯段all■

謝E____Q"

畝逑

____3

整部艮式CIGSSdownI加dassq*

配置每IP限流策略，限制每個員工的上傳流量。

選擇“防火墻>限流策略>每IP限流”。

選擇“每IP限流Class”頁簽，建每IP限流Class。

新建行IP網(wǎng)落Class

名稱per_upload_class

俁汨朧4000<8-lQ300000kbp3?

量大希寬8000*8-10300000kt)ps

量大直接數(shù)*1-1000000*

選擇“每IP限流”頁簽,建每IP限流策略。

由于需要限制上網(wǎng)員工的上傳流量，所以限流對象選擇“源地址”。

戚全困tJSt

目線線域intrust舟

砌19Z1681.QG4鄉(xiāng)選

目不M譜選獻曲入P地址0融

用戶請選擇蜥人用戶或用Pii|v|

班蚓請法推反用偽議|v|多世I

謂齷略一同

限務刎

的間段alH

動作回

懿3

3

限就:?！蛟疵?目的毗

SlP^CIasspsr.uplcad.dass|v1

配置每IP限流策略，限制每個員工的下載流量。

選擇“每IP限流Class”頁簽,建每IP限流Class。

SlSlFRSCIass

錨per.doMioad.dass?

4000<8.10000000>kbps?r

￡大制110000<8*10000000>kbps

<1-1000000>

選擇“每IP限流”頁簽，建每IP跟流策略。

由于需要限制上網(wǎng)員工的下載流量，所以限流對象選擇“目的地址”。

海安邁減untrust0

后的史:現(xiàn)^Stv|

諛地址話選南熱KPHW上~~~1刎

[-192,1581.024

施毗V多方

用戶髓解蟻舫例唯■1豺

直正啦清逡槌用協(xié)議~~1多逸

服務謂選題照V飆

BT間段aHV

動作硼V

雕

__3

腦檐0旗池址◎瞼觥

叫印聯(lián)Classperd(Mnloadc!ass

配置限制外網(wǎng)用戶訪問內(nèi)網(wǎng)效勞器連接數(shù)的整體限沆策略。

選擇“防火墻〉限流策略〉整體限流”。

選擇“整體限流Class”頁簽,建整體限流Class0

新建整體限充Class

名稱connection.class*

是大帝貴<8-10000000>kbps

量大連接數(shù)20<1-1000000*

選擇“整體限流”頁簽，建整體限流策略。

源安全區(qū)域untrust

目的安全區(qū)域dmz

源地址請選擇或輸入IP地址多選

目的地址10.1.1.2/24■多選

用戶情選擇或愉入用戶或月戶擔|v|彩選

應用協(xié)議謂選擇應用協(xié)議多選

服務請選擇服務V多選

時間段all

動作限流

描述▲

▼

整體限流Classconnectiondass

結(jié)果驗證

配置完成后到達如下效果：

?內(nèi)網(wǎng)員工上網(wǎng)時可以保證獲得4Mbps帶寬，但是上傳/下我的最大帶寬不能超過

8Mbps/10MbpSo

?外網(wǎng)用戶訪問內(nèi)網(wǎng)FTP效勞器的最大連接數(shù)不能超過20個。

二、黑名單

組網(wǎng)需求

如圖」」聽示，某公司企業(yè)網(wǎng)通過USG與Internet連接。

?需要保護的網(wǎng)段地址為128.18.196.0/24,與USG的C-igabitEthernet0/0/2接口相連,

部署在Trust區(qū)域。

?外部網(wǎng)絡與USG的GigabitEihernet0/0/1接口相連,部署在Untrust區(qū)域。

通過配置黑名單，實現(xiàn)以下需求:

對Internet訪問企業(yè)網(wǎng)的流量配置IP地址掃描攻擊防范和黑名單功能，一旦覺察某個IP

地址對企業(yè)網(wǎng)發(fā)起了IP地址掃描攻擊，則自動把該IP地址參加黑名單。其中最大掃描速率

為5000pps,黑名單老化時間為30分鐘。

?由于覺察IP地址202.38.10.3屢次企圖對企業(yè)網(wǎng)發(fā)起攻擊，因此將其手工參加黑名單，永

久有效。

工程數(shù)據(jù)備注

(1)接口號：GigabitEthernet0/0/1-

IP地址：202.38.10.2/24

安全區(qū)域：untrust

⑵接口號:GigabitEthernet0/0/2-

IP地址:128.18.196.224/24

安全區(qū)域：trust

配置思路

1.配置各接口根本參數(shù)C

2.配置Trust區(qū)域與Uitrust區(qū)域的域間轉(zhuǎn)發(fā)策略，使Internet的用戶能訪問企業(yè)網(wǎng)。

3.配置IP地址掃描攻已防范。

4.啟用黑名單功能，并配置靜態(tài)黑名單對IP地址2O2.38.1O.3永久生效。

操作步驟

1.配置各接口根本參數(shù)C

a.選擇“網(wǎng)絡》接口〉接口”。

b.在“接口列表”中，單擊GigabitEthernet0/0/1對應的D礪“修改GigabitEthernet"

界面。

GigabitEthernet0/0/1的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：untrust

?模式：路由

?連接類型：靜態(tài)IP

?IP十也址：202.38.10.2

?子網(wǎng)掩碼：255.255.255.0

c.單擊“應用”0

d.單擊GigabitEthernet0/0/2對應的上顯示“修改GigabitEthernet"界面。

GigabitEthernet0/0/2的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：trust

?模式：路由

?連接類型：靜態(tài)IP

?IP地址：128.18.196.224

?子網(wǎng)掩碼：255.255.255。

e.單擊“應用”。

2.配置域間安全策略，以保證網(wǎng)絡根本通信正常。具體步驟略。

3.配置IP地址掃描攻日防范。

a.選擇“防火墻>安全防護>攻擊防范”。

b.在“攻擊防范配置列表”區(qū)域框中，選擇“攻擊防范類型>掃描類”，顯示“配置

掃描類攻擊防范”界面。參數(shù)配置如1孔2>示。

c.單擊“應用”。

圖2配置掃描類攻擊防范

岡地址掃描

最大掃描速率5000|<1d0。00>包物

照名堂老化時間130|<1-1000>^W

口端口打描

4.啟用黑名單功能，并配置靜態(tài)黑名單對IP地址202.38.10.3永久生效。

a.選擇“防火墻>安全防護>黑名單”。

b.在“配置黑名單”界面，選中“啟用”前的單項選擇按鈕。

c.單擊“應用”。

d.在“黑名單列表”中，單擊卡,顯示“建黑名單”界面。參數(shù)配置如圖33.

e.單擊“應用”。

圖3配置靜態(tài)黑名單

中地址I202738—10"73*

老化時間|I<1.1000?分鐘

>若不指定老化時間，則該黑名單永遠有效.

結(jié)果驗證

?Internet中的IP地址202.38.10.3永久不能訪問企業(yè)內(nèi)部的128.18.196.0/24地址。

?當Internet中的某個IP地址對企業(yè)內(nèi)部128.18.196.0/24地址的掃描速率到達5000pps

及以上，將被參加黑名單30分鐘。

三、IP-MAC綁定

組網(wǎng)需求

USG部署在某公司的出口，公司內(nèi)部的效勞器為外部的客戶機供給效勞。組網(wǎng)需求如下：

?效勞器和客戶機分別位于防火墻的DMZ區(qū)域和Untrust區(qū)域。效勞器的IP地址為

192.168.1.2/24,客戶機的IP地址為202.38.169.2/24,客戶機的MAC地址為

0001-0002-0003o

為了防止假冒IP地址攻擊效勞器，需要配置IP地址和MAC地址綁定功能。假設報文的源

IP地址為202.38.169.2/24,那么只有當該報文的源MAC地址為0001-0002-0003時，IP

報文才能通過LSGo

配置IP-MAC綁定的組網(wǎng)圖如1史4斤示。

圖1配置IP-MAC綁定

ServerPC

工程數(shù)據(jù)說明

(1)接口號：GigabitEthernet0/0/0該接口通過交換機與效勞器相連，位

IP地址:192.168.1.1/24于同一網(wǎng)段。

安全區(qū)域：DMZ

(2)接口號：GigabitEthernet0/0/1該接口與外網(wǎng)相連，位于同一網(wǎng)段。

IP地址:202.38.169.1/24

安全區(qū)域:Untrust

DMZ地址范圍：192.168.1.0/24效勞器部署在DMZ區(qū)域。

其中包含一臺效勞器，IP地址為

192.168.1.2/24

Untrust地址范圍：202.38.169.0/24外部客戶機部署在Untrust區(qū)域。

配置思路

1.依據(jù)網(wǎng)絡規(guī)劃為USG安排接口IP地址，并將接口參加相應的安全區(qū)域。

2.配置域間包過濾策略，保證相應域間可以進展正常通信。

3.將特定客戶機的IP地址和MAC地址綁定，建立對應關系。

4.開啟地址綁定功能，否則USG將不會對IP報文進展過濾。

操作步驟

1.配置各接口根本參數(shù)C

a.選擇“網(wǎng)絡>接口>接口”。

b.在“接口列表”中，單擊GigabitEthernetO/0/O對應的D顯示“修改GigabitEthernet

界面。

GigabitEthernetO/0/O的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：dmz

?模式：路由

?連接類型：靜態(tài)IP

?IP地址：192.168.1.1

?子網(wǎng)掩碼：255.255.255.0

c.單擊“應用”。

d.單擊GigabitEthernetO/0/l對應的W顯示“修改GigabitEthernet"界面。

GigabitElhernetO/0/l的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：untrust

?模式：路由

?連接類型：靜態(tài)IP

?IP地址：202.38.169.1

?子網(wǎng)掩碼：255.255.255.0

e,單擊“應用

2.配置DMZ區(qū)域與Untrust區(qū)域的域間轉(zhuǎn)發(fā)策略，使客戶機可以訪問效勞器。

a.選擇“防火墻>安全策略>轉(zhuǎn)發(fā)策略”。

b.在“轉(zhuǎn)發(fā)策略列表”中單擊“建”，配置如下參數(shù)。

源安全區(qū)域untrust■

目的安全區(qū)域dmz____■餐

源地址202.38.169.2/32■多選

目的地址請選擇或輸入IP地址■II多選

，多送

用戶請選擇或輸入用戶或用戶組E

服務請選擇服務bd多選

時酈ftall回

動作permit■■

描述qI

▼I

3.配置客戶機的IP地址和MAC地址綁定。

a.選擇“防火墻>安全防護>IP-MAC綁定"o

b.在“配置IP-MAC地址綁定”界面中，開啟IP-MAC綁定功能。

IP-MAC地址綁起功能啟用應用

C.單擊“應用”0

d.在“IP-MAC地址綁定列表”界面中，單擊“建”，配置如下參數(shù),

IP地址202：38—169.2*

MAC地址0001:0002二0003*

VLANID*1-4094>

e.單擊“應用”。

結(jié)果驗證

選擇“防火墻>安全防護>IP-MAC綁定”，在“IPTMC地址綁定列表”中可以看到，IP地址

202.38.169.2和MAC地址0001-0002-0003為綁定關系。

I)iPifettMAC地址\ONID醍

□202.38.169.20001-0002-00030

I第二.頁共1頁顯示11共1條

四、通過安全策略進展訪問掌握

組網(wǎng)需求

如圖L所示，某企業(yè)部署兩臺業(yè)務效勞器，其中Serveri通過TCP8888端口對外供給效勞，Server2

通過UDP6666端口對外供給效勞。需要通過USG進展訪問掌握，8：00~17：00的上班時間段內(nèi)

制止IP地址為10.1.1.2、10.2.1.2的兩臺PC訪問這兩臺效勞器，其他PC在任何時間都可以訪

問效勞潛。

圖1通過安全策略進展訪問掌握組網(wǎng)圖

PC

1C.1.1.2/24

PC

10.2.1.2/24

工程數(shù)據(jù)說明

(1)接口號：GigabitEthernet0/0/2-

IP地址：192.168.5.1/24

安全區(qū)域：DMZ

(2)接口號：GigabitEthernet0/0/3-

IP地址：10.1.1.1/24

安全區(qū)域:Trust

(3)接口號：GigabitEthernet0/0/4-

工程數(shù)據(jù)說明

IP地址:10.2.1.1/24

安全區(qū)域：Trust

Server1IP地址：192.168.5.3/24通過非知名端口供給效勞

端口：TCP8888

Server2IP地址：192.168.5.2/24通過非知名端口供給效勞

端口：UDP6666

配置思路

本例的訪問掌握涉及到限制源IP、目的IP及端口、時間段，需要提前配置好地址集、效勞集和

時間段，然后配置安全策略引用這些限制條件。

1.配置源IP地址集，將幾個不允許訪問效勞器的TP地址參加地址集。

配置安全策略時可以直接指定多個IP地址或地址段，但是對于零散的、不連續(xù)的地址建

議配置為地址集，便利集中治理，而且也便利被其他策略復用。

田說明：

由于策略的目的地址是單一的地址，所以這里沒有配置目IP的地址集，承受了配置安全

策略時直接輸入目的地址的方式。

2.配置兩個自定義效勞集，分別將兩臺效勞器的非知名端口參加效勞集。

本例中效勞器使用的是非知名端口，必需配置自定義效勞集，然后在安全策略中引用。

假設效勞器通過知名端口（例如的80端口）供給的效勞，可以在配置安全策略時直

接使用預定義效勞集（例如、FTP等）。

3.配置一個范圍為上班時間的時間段。

4.配置兩條安全策略，分別限制PC對兩臺效勞器的訪問。

缺省狀況下，設備的域間缺省包過濾是關閉的，需要配置允許哪些數(shù)據(jù)通過域間。本例中除

了兩臺特別的PC外.整個Trust區(qū)域的PC都可以訪問效勞器，所以可以配置制止兩臺PC

訪問效勞器的安全策略，然后再開放Trust-DMZ的域間塊省包過濾。

由說明：

假設需要掌握只有某些IP可以訪問效勞器，則需要保持域間缺省包過濾的關閉狀態(tài)，然

后配置允許哪些IP訪問效勞器的安全策略。留意不要輕易翻開缺省包過濾。

另外安全策略是依據(jù)配置挨次匹配的，留意先配置細化的后配置廣泛的策略。例如需要控

制在10.1.1.0/24網(wǎng)段中,除了某幾個IP不能訪問效勞器外,其他的IP都可以訪問。此時

需要先配置拒絕特別IP通過的安仝策略，然后再配置允許整個網(wǎng)段通過的安仝策略.

操作步驟

1.配置各接口根本參數(shù)C

a.選擇“網(wǎng)絡>接口>接口”。

b.在“接口列表"中，單擊GigabitEthernet0/0/2對應的H

GigabitEthernet0/0/2的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：dmz

?模式：路由

?連接類型：靜態(tài)IP

?IP地址：192.168.5.1

?子網(wǎng)掩碼：255.255.255。

c.重復上述類似操作，配置GigabitEthernet0/0/3和GigabitEthernet0/0/4的接口參數(shù)。

GigabitEthernet0/0/3的相關參數(shù)如下，其他參數(shù)使用默認值：

?安全區(qū)域：trust

?模式：路由

?連接類型：靜態(tài)IP

?IP地址:10.1.1.1

?子網(wǎng)掩用255.255.255.0

GigabitEthernet0/0/4的相關參數(shù)如下，其他參數(shù)使用默認值:

安全區(qū)域：trust

?模式：路由

?連接類型：靜態(tài)IP

?IP地址：10.2.1.1

?子網(wǎng)掩嗎：255.255.255.0

2.配置名稱為server.由”的地址集，將幾個不允許訪問效勞器的IP地址參加地址集。

a.選擇“防火墻〉地址>地址”。

b.單擊“建”配置地址集，然后單擊“應用”。

名稱seiver_deny1

描述禁止訪問服務器的IP地址三

▼

子網(wǎng)”P范圍10.1.1.2/32―p

成員描述

c.返回“地址列表”頁面，單擊servejdeny所在行的*連續(xù)添加另一個IP成員

10.2.1.2/32o

3.配置名稱為time,deny的時間段，指定PC不允許訪問效勞器的時間。

a.選擇“防火墻>時間段>時間段”。

b.單擊“建”，輸入時間段名稱然后單擊“應用”。

c.在“時間段列表”中單擊“建”，配置時間范圍。

時同段

名稱

枚

開始時間

玷束時間

每w生效的閶已選

X清仝

5*1-1

M杉