联想网御Power V系列配置案例集9(双出口端口映射配置案例)

9.1网络需求某企业网络接入联通，电信两个运营商，要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。

为了提高互联网访问速度，实现电信用户访问电信接口 地址，联通用户访问联通接口地址进行访问9.2网络拓扑9.3配置流程配置端口映射策略，将内网服务器映射到公网 配置安全策略，允许外网用户访问内网9.4配置步骤(1) 配置网络连通性保证防火墙外网接口到互联网能够连通，内网接口到服务器能够连通 联通 警理員 电信UJLQ用户 用户(1) 配置网络联通性定义IP 地址对象、 开放端口对象Internet网御防火墙交掬机Internet(2)定义IP地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。

此处掩码必须配255.255.255.255L nJ■ an*在【防火墙】--【服务】--【基本服务】定义开放的端口号Infm注：源端口低和高一般不需要填写，除非是客户端限定了访问源端口(3)配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射■IMI ■BUM公开地址：需要映射的外网口地址 （必须为物理接口或者别名设备地址）拨号用户选择拨号获取到的公网地址即可内部地址：在地址列表里定义的服务器地址对外服务：需要对外开放的端口，此处选择 web 端口注：系统预定义大量常用端口，可以直接使用对内服务：内网服务器需要开放的端口，此处选择 web 端口注：对内服务、对外服务可以不一致，即对外服务为8080,对内服 务可以为80* Rt-NML■窗Hi ■马■纠删 -H*lMt• b!h««-RMtfi 肿讯a^RQ9K3■毗 I FWWVHit 首初1 SMI9 口(如果对外端口使用80、8080,在确保配置正确的情况下不通，请将对外端口更换为非常用端口，如果能够连通，则需要联系运营商放通80、8080端口) 流入网口：选择对应的公网接口隐藏内部地址：可选。

资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙？
➢ 定义：防火墙（Firewall）是一种用来加强网络之间访问 控制的特殊网络互连设备，是一种非常有效的网络安全模 型。
➢ 核心思想：在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的：都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道，以按照事先制定的策略控制信息的 流入和流出，监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
（会话 表）
SUPER V 典型应用方案
• SUPER V网络出口应用
1：SNAT+DNAT典型应用: A：内网用户通过SNAT+地址池
访问Internet B：外网用户通过DNAT访问内网
的服务器
NAT池： IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙？
安全域的概念
什么是防火墙？
什么是防火墙？

第2章如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍，以及开机登录配置管理界面的方法。

这些有助于管理员完成防火墙软硬件的快速安装和启用。

如果您想尽快配置使用联想网御防火墙，可跳过概述部分，直接阅读2.5章（第12页）。

2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高，以防火墙为代表的网络安全设备已经成为不可或缺的设备。

网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。

可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。

2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品，该产品的特点是高安全性，高可用性和高性能的“三高”“管理者的”防火墙，是国内一流的防火墙。

●高安全●高可用性●高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求，采用模块化设计，包括基本功能模块、可选功能模块（VPN模块需要许可证才能使用）。

主要具有以下功能：●状态检测和动态过滤采取主动过滤技术，在链路层截取并分析数据包以提高处理性能，对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤，还可以结合定义好的策略，动态生成规则，这样既保证了安全，又满足应用服务动态端口变化的要求。

可支持多个动态应用，包括ftp、h323、pptp、rtsp、tns等。

●双向NAT地址转换在全透明模式下提供了双向地址转换（NAT）功能，能够有效地屏蔽整个子网的内部结构，使得黑客无从发现子网存在的缺陷，还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。

支持静态NA T、动态NAT及IP映射（支持负载均衡功能）、端口映射。

●应用层透明代理支持透明代理功能，提供对HTTP、FTP（可限制GET、PUT命令）、TELNET、SMTP（邮件过滤）、POP3等标准应用服务的透明代理，同时提供在用户自定义服务下的透明代理，支持网络接口限定。

联想网御安全网关Power V作业指导书江苏国瑞信安科技有限公司二零一一年七月目录第1章如何开始 (1)1.1 登录管理界面 (1)1.1.1 登录方法 (1)1.1.2 管理认证 (2)1.1.3 登录过程 (3)1.1.4 网御安全网关Power V的一般配置过程 (4)1.1.5 退出登录 (4)第2章系统配置 (5)2.1 日期时间 (5)2.2 系统参数 (6)2.3 系统更新 (6)2.3.1 模块升级 (6)2.3.2 导入导出 (7)2.4 管理配置 (9)2.4.1 管理主机 (9)2.4.2 管理员账号 (10)2.4.3 管理证书 (11)2.5 报告设置 (12)2.5.1 日志服务器 (12)2.5.2 报警邮箱设置 (12)第3章策略配置 (14)3.1 安全选项 (14)3.1.1 包过滤策略 (14)3.1.2 IP/MAC检查 (15)3.1.3 允许所有非IP协议 (15)3.2 安全规则 (16)3.2.1 包过滤规则 (17)3.2.2 NA T规则 (18)3.2.3 地址列表、服务列表 (19)3.3 地址绑定 (20)3.4 带宽管理 (23)3.5 黑名单 (24)3.6 连接管理 (25)3.6.1 基本参数 (25)3.6.2 连接规则 (25)3.6.3 连接状态 (27)第4章网络配置 (29)4.1.1 物理设备 (29)4.1.2 VLAN设备 (30)4.1.3 桥接设备 (31)第5章绿色上网 (33)5.1 URL过滤策略 (33)5.2 绿色上网规则 (35)第6章系统监控 (35)6.1 网络设备 (35)6.2 HA状态 (37)6.3 资源状态 (38)6.4 日志信息 (39)6.4.1 日志查看 (39)6.4.2 包过滤日志报表 (40)6.4.3 P2P报表 (41)6.4.4 深度过滤报表 (41)6.5 用户信息 (42)6.6 连接状态 (42)6.7 连接统计 (44)6.8 深度过滤 (44)6.9 带宽监控 (45)6.10 网络调试工具 (45)6.11 路由监控 (46)6.12 动态路由监控 (47)第1章如何开始1.1 登录管理界面1.1.1 登录方法安全网关共有四种管理方式：1）Web界面管理2）串口命令行管理3）远程SSH登录管理4）PPP拨号接入管理。

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设，甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略，包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示：图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止，用户添加的包过滤规则应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测：选中为启用，不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态，除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测，是为了防止ACK扫描攻击。

因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创建相应的状态，使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性，设置连接建立的时间时，就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下，防火墙可能无法收到所有三次握手的数据包，此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置：图 5-2 安全选项高级设置规则配置立即生效：启用后为规则优先（缺省是状态优先）。

如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规则相反的规则，则此时数据包仍能够根据建立的状态表通过防火墙；如果启用，则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

允许TRACEROUTE
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备，这两个物理设备同一时间只有一个处于启用状态，如果处于启用状态的设备失效，则另一个设备启用。冗余设备可以工作在全冗余模式下，在全冗余模式下，加入冗余设备的两个物理设备的IP地址，掩码，MAC地址（如果冗余设备设置了MAC地址）都将使用冗余设备的IP地址，掩码和MAC地址。如果不是工作在全冗余模式，这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式，也就是说该设备上绑定有IP地址，可以与其它设备进行数据包的路由转发。其中第一个物理设备（fe1或某些型号是ge1）是默认的可管理设备。它的默认IP地址是10.1.5.254，子网掩码为255.255.255.0，这个地址允许管理，PING和TRACEROUTE（默认管理主机的IP地址是10.1.5.200，请参考系统配置>>管理配置>>管理主机）。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时，切换到透明模式的物理设备会自动加入到桥接设备brg0中；如果把物理设备从透明模式切换到路由模式，系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式，有以下三种
1：自适应
2：全双工
3：半双工
链路速度
设备的链路速度，有以下三种
1：10
2：100
3：1000
MTU
设备的MTU（最大传输单位）。百兆网络设备可设置的范围是68到1504，千兆网络设备可设置的范围是64到16128。

共享带宽A1-1 保证带宽10Mbps 最大带宽20Mbps
非共享带宽A1 最大带宽 20Mbps 设备A 100Mbps
共享带宽A1-2 保证带宽5Mbps 最大带宽20Mbps
非共享带宽A2 最大带宽 10Mbps 共享带宽A2-1
举个例子，设备 A 口实际带宽为 100Mbps，下面一个非共享带宽 A1 的最大带 宽设置为 20Mbps。非共享带宽 A1 下面的共享带宽资源 A1-1 的保证带宽设置为 10Mbps， 最大带宽设置为 20Mbps； 而共享带宽资源 A1-2 的保证带宽设置为 5Mbps， 最大带宽设置为 20Mbps。 当共享带宽资源 A1-1 实际利用的带宽很少的时候，比如仅为 3Mbps 时，共享 带宽资源 A1-2 所需的实际带宽很大的时候，超出保证带宽 10Mbps，由于 A1-1 的 保证带宽没有完全用完，此时 A1-2 可以借用 A1-1 的带宽，实际带宽最高可以达到 17Mbps。小结一下，如果其共享带宽资源 A1-1 的保证带宽没有用完时，可以被其 它共享带宽资源借用，此为共享带宽的概念之一。 如果共享带宽资源 A1 所包含连接的数据包相应出口的连接流量上来时，比如 流量达到 10Mbps 时；此时首先要保证共享带宽资源 A1-1 和 A1-2 的保证带宽，然 后再共享在保证带宽之外的剩余的带宽 （20-10-5=5） 。 所以共享带宽资源 A1-1 的流 量为 10Mbps 时，共享带宽资源 A1-2 的流量应该降至 10M，即 A1-2 在其保证带宽 5Mbps 基础上，还使用了保证带宽之外的剩余的带宽 5Mbps。 如果共享带宽资源 A1-1、A1-2 的流量均超出对应的保证带宽，即 A1-1 超出 10Mbps，A1-2 超出 5Mbps。首先均保证两者的保证带宽，然后 A1-1 和 A1-2 根据 优先级共享和分配在保证带宽之外的剩余的带宽 5Mbps。这部分带宽就在 A1-1 和 A1-2 之间互相借用及共享，即共享带宽的概念概念之二。 带宽资源组里包含不同设备的共享带宽定义，被规则引用资源组时，匹配规则的流 量在设备 A 为出口时， 引用 A 设备的带宽控制定义， 匹配规则的流量在设备 B 为出 口时，引用 B 设备的带宽控制定义。 最终需在带宽管理规则中引用。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

8.1 网络需求
某企业网络接入联通，电信两个运营商，购置一网御防火墙搭建企业网络，实现内网访问互联网。

假设联通接口地址为：1.1.1.2 电信接口地址为：211.211.211.211
8.2 网络拓扑
8.3 配置流程
（1）配置接口地址
（2）配置默认路由
（3）配置NAT规则
（4）配置安全策略
8.4 配置步骤
（1）配置接口地址
在【网络管理】--【网络接口】--【物理设备】配置内外网接口地址。

具体配置方法参考4.4章节
（2）配置默认路由
在【路由管理】--【默认路由】配置两个运营商的默认路由，网关地址为对应运营商的地址。

启用基于状态回包功能（即时生效）、启用默认路由均衡必须勾选。

权重值：权重越大优先级越高，可以根据带宽比例填写对应的权重值。

（3）配置NAT规则
在【防火墙】--【策略】--【NAT策略】添加对应的NAT策略
源地址：选择为内网网段地址
源地址转换为：联通接口IP（1.1.1.2）
流出网口：选择为联通接口
同理添加电信线路NAT策略
（4）配置安全策略规则放通。

联想网御防火墙配置手册（3213)
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。

2、防火墙设备安装，连接各种线缆.
3、安装防火墙管理密钥驱动.
4、插入管理密钥，运行防火墙管理认证程序。

默认管理IP地址
10.1.5。

254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地址：
https：//10.1.5.254：8888默认用户名：administrator密码：administrator。

6、设置各物理接口IP地址、工作模式等信息.
7、设置别名设备，绑定外网地址到外网的物理接口上,以备设置
端口或IP映射做准备。

8、设置管理主机，提高系统安全性，只有设置的管理主机范围才
有访问防火墙的权限.
9、按系统规划需求，定义所需地址列表及服务器地址等信息，以
备后期定义策略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则.
12、配置IP或端口映射.IP映射会对此映射IP的所有端口开放，端
口映射只开放相应映射的端口.
13、配置包过滤规则。

14、配置其它安全选项。

15、。

3防火墙界面介绍
管理首页
3防火墙界面介绍
各级子菜单
3防火墙界面介绍
管理配置-管理主机
3防火墙界面介绍
管理方式设定
3防火墙界面介绍
网络配置：
加入连接网络的各进出IP，若为不同网段，工作方 式为：路由模式，若两边为相同网段，则为透明模 式
3防火墙界面介绍
网桥设备
3防火墙界面介绍
VPN设备
注意，这里的VPN设备绑定后，不能在弹出的页面启用， 需要回到上级页面处，在是否启用处点生效。
3防火墙界面介绍
拨号设备
3防火墙界面介绍
物理设备
这里可以设定是否被管理，是否可以PING，等功能。
3防火墙界面介绍
网桥设备
3防火墙界面介绍
拨号设备
3防火墙界面介绍
域名服务器
3防火墙界面介绍
静态路由
3防火墙界面介绍
安全选项
默认全通/全禁
3防火墙界面介绍
包过滤规则
3防火墙界面介绍
端口映射规则
3防火墙的配置管理
IP映射
注意：如果源地址包含管理主机，公开地址是防火墙的管理IP，该管理主机将不 能管理防火墙。
3防火墙界面介绍
包过滤
3防火墙的配置管理
NAT
注意：设置一条NAT 规则，必须再设置一条相应的包过滤规则才能生效。
目录
1 2 3 4 5 6 Power V Power V Power V Power V Power V Power V 防火墙产品介绍 登录防火墙管理页面 防火墙界面介绍 防火墙的配置管理 典型应用环境 实验方案
3典型应用环境
三网口混合模式
fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式

Leadsec Manager II型
在I型基础上增加了资产管理、安全 态势评估、知识库、基于规则的自 动响应等功能，可以支持大量的外 部设备，是面向业务的安全运应中 心。 重点发展方向为SIEM。
产品型态
软件产品。下 半年视项目需 要推出硬件版 本。
按被管理的设 备数量收费， 阶梯报价。
主要指标：
知识库管理
✓ 为运维管理提供技术支撑 ✓ 为管理员提供问题解决指导 ✓ 关联规则库、漏洞知识库、安全文档库、安全经验库…
响应管理
响 应 管 理
告警(Email、短信…) 攻击朔源 解决指导 策略自动调整 工单管理 定制应用接口
安全响应-预警规则
✓ 定义告警匹配规则 根据发生源头 根据产生时间 根据事件内容
集中监控、实时日志、 关联分析及审计！
集中监控、 日志审计
实现从策略配置、设备 监控、审计预警、态势 评估、安全响应的全流 程管理！
配置
监控
响应 弱 资产 影
点
响
威
预警
胁
安评全估管理系统
1G
2G
ITIL
3G
3.5G
目录
联想网御 信息安全
产品背景 产品介绍 优势特点 典型部署 新旧版本比较
联想网御安全管理系统体系结构
数据 Oracle NetworkSQIDLSServer
库
……
WEB 服务 器
BEA WEBLogic 微软IIS WEB ……
UTM
应用 系统
BlueCoat ProxySG 200系列 BTNM网管 华信亿码交换机管理软件 联想网御异常流量管理系统 R天ou珣te内rs网安全管理系统 莱克斯内网监控 e盾安全网络管理系统 Lotus Domino InforGuard网页防篡改

小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项：1：请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2：请您在参照文档开始操作前，确认对防火墙的配置权限。

即拥有USB口电子加密锁。

同时在管理主机上安装过“网御防火墙管理员认证程序”3：确保在配置过程中管理主机与防火墙的连接状态。

4：文档中所使用的拓扑图如下，配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。

同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。

(出厂默认为12345678)2.1 出现认证程序界面后点击连接。

待出现认证通过的提示后，指示灯会变为绿色。

3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。

在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。

2.3 在上图中，主要需要配置的是网络接口的IP地址。

在IP地址输入1.1.1.1、在掩码输入对应的掩码。

这里输入255.255.255.0。

跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。

网络设备的界面中fe2的设备会显示已经启用。

三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。

3.2 名称可以随意。

请注意，必须使用字母开头，并且暂时不支持中文。

在标识为1的行中输入服务器的内网IP即可。

备注是对服务器的说明，可以随意。

3.3 对需要对外发布的服务做定义。

如果是使用常见服务比如HTTP、FTP等服务，防火墙有预定义服务，就不需再做定义。

网御星云安全网关PowerV 命令行操作手册VERSION 1.0明声♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

♦本手册使用于网御星云PowerV系列防火墙和VPN，在手册中称为安全网关。

文档少部分内容视产品具体型号略有不同，请以购买的实际产品为准。

♦网御星云不承担由于本资料中的任何不准确性引起的任何责任，网御星云保留不作另行通知的情况下对本资料进行变更、修改、转换或以其他方式修订的权利！北京网御星云信息技术有限公司号电8层中北京海淀中村南大街国区关6中信息大厦目 录目 录 (III)第1 章 前 言 (1)第2 章 命令行概述 (4)第3 章 快速入门 (25)第4 章 系统管理 (26)第5 章 网络管理 (76)第6 章 路由 (119)第7 章 防火墙 (135)第8 章 应用防护 (205)第9 章 用户认证 (287)第10 章 会话管理 (305)第11 章 VPN (308)第12 章 SSLVPN (327)第13 章 IPv6 (448)第14 章 漏洞扫描 (474)第15 章 状态监控 (477)第16 章 日志与报警 (480)第17 章 其他 (490)第1章 前 言1.1 导言员册该册绍过终《命令行操作手》是御册网安全网关Power V管理手中的一本。

周期性自动同步 1. 选中“启用时钟服务器”，输入“时钟同步服务器 IP” 2. 设定同步周期 3. 点击“确定”按钮系统参数
注意事项： 防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时
间后配置管理界面登录超时等。
1.2 系统参数
在“系统配置>>系统参数”中配置。 系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。 防火墙名称的最大长度是 14 个英文字符，不能有空格。默认的防火墙名称是 themis，
删除管理员账号 1. 点操作栏中“删除”的快捷图标，弹出删除对话框 2. 点“确定”按钮完成删除
允许或禁止多个管理员同时管理 选择“允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录。
设定管理员登录超时时间 管理员登录后如果长时间没有操作，配置界面会超时，超时时间也在这里设置，缺省值
是 600 秒，最大超时时间可设为 86400 秒（24 小时），0 是非法值。设置后点击“确定”生 效。
下载证书 点“联想 CA 中心”按钮，打开联想 CA 中心的主页，下载证书
联想集团有限公司
7
网御防火墙 Power V
Web 界面操作手册
导入证书 点“浏览”按钮，分别导入一套匹配的 CA 中心证书、防火墙证书、防火墙密钥、管理
员证书。CA 中心证书、防火墙证书、防火墙密钥必须同时更换。
管理员证书维护 管理员证书维护包括生效和删除，在“生效”一栏选择要生效的证书，点“生效”按钮
重启防火墙 点击“重启防火墙”按钮，防火墙将重新启动。
注意：重启防火墙前，记住要保存当前配置。“保存”快捷键：
1.3.2 导入导出
导入导出界面包含以下功能 1. 导出系统配置 2. 导入系统配置 3. 恢复出厂配置 4. 保存配置

网御星云防火墙系统power v6000-f5320
★
网御星云入侵防御系统IPS POWER V6000-P8320
网御星云SSL VPN网关SAG2100
说明：其中“★”部分为必须满足项。

网御星云入侵检测系统IDS TD3000-GS3500
注：“★”部分为必须满足项TD3000-GS3500的接口形式为：1个10/100M管理口+5个10/100/1000M电口监听口+1个前插式的接口扩展槽（可扩展的接口模块包括：8*GE模块、4*SFP模块、8*SFP模块、4*GE 4*SFP模块）；
网御星云数据库审计系统
网御网络审计系统（数据库审计型）
产品标底
适用产品型号：
LA-DT-1000B/LA-DT-1500BR
标注说明：
特色功能（★★）：相对于竞争产品有明显优势的功能，可以屏蔽大多数竞争产品有竞争优势的功能（★）：能屏蔽部分竞争产品，根据具体竞争对手情况选择使用基本功能：大多数竞争产品都具备的功能，满足竞争的基本需要
网御星云漏洞扫描系统
网御星云安全管理系统 soc管理平台
红色标记的是特色指标
黄色着色的是可选模块，如果不买此可选模块，千万不要写到标底中去！。

网御防火墙端口映射一、端口映射概念及用途采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网部机器的特定端口服务的访问。

例如，你所使用的机子处于一个连接到Internet的局域网，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。

这是因为你机子的IP是局域网部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。

所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。

所以可以通过应用端口映射技术来解决。

二、联想网域防火墙端口映射配置单位使用的防火墙型号是联想网域power 3414，在防火墙上需要做设置的地方有三处：1、资源定义>>地址>>服务器地址2、资源定义>>服务>>基本服务3、策略配置>>安全规则>>包过滤规则4、策略配置>>安全规则>>端口映射规则映射分为两种：一种是将网服务器上相应服务的端口号映射的外网相同的端口号上；另一种是将网服务器上相应服务的端口号映射到外网其他的端口号上；两者相比，第二种方法更为安全，应为这种方法没有使用默认的端口号，相对提高了安全性。

三、端口映射配置实例接下来我们就采用上述两种方法来做映射，将192.168.4.2上提供的FTP服务，映射到外网ip上，分别以FTP默认端口号21，和自行设置的端口号6789，来对外网映射FTP服务！一、端口映射概念及用途采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网部机器的特定端口服务的访问。

例如，你所使用的机子处于一个连接到Internet的局域网，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。

这是因为你机子的IP是局域网部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。