网御星云(联想网御)PowerV防火墙 -OSPF配置实例

25.1 网络需求某企业需要对内网流量进行入侵防护25.2 网络拓扑防火墙：内网地址192.168.83.207 ，外网地址211.211.211.211内网网段为192.168.83.0/2425.3 配置流程（1）配置防火墙网络环境；（2）定义入侵防护策略；（3）配置防火墙安全策略，调用入侵防护策略25.4 配置步骤（1）配置防火墙接口地址，公网网关进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址进入【路由管理】-【基本路由】-【默认路由】-新建，设置公网网关为211.211.211.254，内网网段直连防火墙内网口，内网PC网关和防火墙内网口IP一致，确保连通性没有问题。

（2）定义入侵防护策略；系统提供了标准入侵防护模板供引用方便建立、修改特定的入侵防护策略，也可通过应用防护 -> 入侵防护 -> 自定义特征自定义入侵特征。

进入【应用防护】-【病毒防护】-【病毒防护策略】新建IPS策略，一般调用标准入侵防护模板，然后对新策略进行适当的修改，构造适合不同环境不同安全级别的需求的入侵防护策略。

（3）配置防火墙安全策略，调用入侵防护策略进入【防火墙】-【地址】-【地址】-新建内网网段先定义内网网段，便于下一步的调用。

进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量且调用所需的入侵防护策略源地址是内网网段，目的地址是任意，勾选包过滤日志，动作是允许，入侵防护策略调用之前定义好的IPS策略，其他配置选项默认即可。

如上注意所有细节，正常情况下，内网有流量通过防火墙，可到系统管理 -> 状态 -> 最新事件查看相应事件，或者到日志 -> 日志访问 -> 日志查看查看相应日志。

注意事项：如果防火墙入侵防护未生效，除了检查防火墙的配置，还需要到防火墙系统管理 -> 维护 -> 模块许可确认是否购买了入侵防护特征升级，如果购买了，且IPS特征库升级授权未到期，需要到系统管理 -> 维护 -> 系统升级处查看入侵防护的特征库是否升级到最新。

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

14.1 网络需求某企业用户，两个分部需要互相访问对方内部网络的服务器，通过网关到网关的ipsec隧道，使得用户192.168.83.0/24和192.168.82.0/24可以互相访问资源。

14.2 网络拓扑防火墙1：内网地址192.168.83.207 ，外网地址211.211.211.211内部保护子网A为192.168.83.0/24防火墙2：内部地址192.168.82.207 ，外网地址210.210.210.210内部包含子网B为192.168.82.0/2414.3 配置流程（1）配置防火墙1 网络环境（2）配置防火墙1 IPSEC----VPN规则，确定本地保护子网和对端保护子网地址。

（3）配置防火墙1的IKE配置，确定对端网关地址，认证方式，隧道模式，以及算法。

（4）配置防火墙1的网关隧道配置，确定本地出口。

（5）隧道监控—启动隧道14.4 配置步骤（1）配置防火墙1 接口地址进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。

（2）配置防火墙1 IPSEC---VPN规则进入【VPN】-【IPSec】-【VPN规则】-添加，设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

防火墙2的本地和对端与防火墙1相反。

（3）配置防火墙1的IKE配置进入【VPN】-【IPSec】-【IKE配置】-添加这里的预共享密钥和协商模式必须与防火墙2设置相同。

如果选择野蛮模式，务必设置ID。

（4）配置防火墙1的网关隧道配置进入【VPN】-【IPSec】-【网关隧道配置】-添加这里选择外网口为VPN接口，完美向前保密必须和防火墙2设置相同。

缺省策略尽量选择允许，如果选择包过滤需要单独到防火墙策略页面加安全策略（保护网段双向放通）。

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

1.1 配置需求使用电脑登陆设备WEB管理界面。

1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘找到ikey driver目录下INSTDRV.exe程序，双击安装电子钥匙驱动（此时不插电子钥匙），打开administrator目录下的ikeyc程序，提示用户输入PIN 码，默认的是“12345678”，将电子钥匙插到电脑上，输入防火墙IP 10.1.5.254，点击连接即可。

原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。

（4）在IE中输入“https://10.1.5.254:8888”即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.3.2电子证书登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘，找到admin.p12文件，双击安装，密码“hhhhhh”。

（4）打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。

（5）在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.4注意事项（1）建议使用IE8.0或以上版本浏览器。

（2）登陆时注意使用的是https协议。

（3）确保电脑当前的时间与北京时间一致。

（4）用户登录后，如果对 WEB 界面不进行操作的时间超过 5 分钟，系统将超时并回到登录页面，必须重新登录才能继续使用。

（5）首次登陆电脑地址必须是10.1.5.200/255.255.255.0。

1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0，通过配置设置可以将其他接口作为远程管理口。

8.1 网络需求
某企业网络接入联通，电信两个运营商，购置一网御防火墙搭建企业网络，实现内网访问互联网。

假设联通接口地址为：1.1.1.2 电信接口地址为：211.211.211.211
8.2 网络拓扑
8.3 配置流程
（1）配置接口地址
（2）配置默认路由
（3）配置NAT规则
（4）配置安全策略
8.4 配置步骤
（1）配置接口地址
在【网络管理】--【网络接口】--【物理设备】配置内外网接口地址。

具体配置方法参考4.4章节
（2）配置默认路由
在【路由管理】--【默认路由】配置两个运营商的默认路由，网关地址为对应运营商的地址。

启用基于状态回包功能（即时生效）、启用默认路由均衡必须勾选。

权重值：权重越大优先级越高，可以根据带宽比例填写对应的权重值。

（3）配置NAT规则
在【防火墙】--【策略】--【NAT策略】添加对应的NAT策略
源地址：选择为内网网段地址
源地址转换为：联通接口IP（1.1.1.2）
流出网口：选择为联通接口
同理添加电信线路NAT策略
（4）配置安全策略规则放通。

网御防火墙技术白皮书V3.0北京网御星云信息技术有限公司目录2产品概述........................................................................ 3网御防火墙产品特点与技术优势.....................................................3.1智能的VSP通用安全平台.........................................................3.2高效的USE统一安全引擎.........................................................3.3高可靠的MRP多重冗余协议.......................................................3.4完备的关联安全标准.............................................................3.5基于应用的内容识别控制.........................................................3.5.1智能匹配技术..............................................................3.5.2多线程扫描技术 ............................................................3.5.3应用感控技术..............................................................3.6精确细致的WEB过滤技术.........................................................3.7可信架构主动云防御技术.........................................................3.8IP V6包状态过滤技术............................................................. 4网御防火墙产品主要功能 .......................................................... 5网御防火墙的典型应用 ............................................................5.1高可靠全链路冗余应用环境.......................................................5.2骨干网内网分隔环境.............................................................5.3混合模式接入环境...............................................................5.4多出口环境..................................................................... 6产品殊荣........................................................................1序言随着信息化建设的深入推进，近些年信息安全正在发生着翻天覆地的变化。

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。