联想网御防火墙PowerV Web界面操作手册_1导言

第7章资源定义为了简化防火墙安全规则的配置和维护工作，引入了资源定义。

联想网御防火墙系统可以定义以下资源：●地址：地址、地址组、NA T地址池、服务器地址●服务：服务、服务组●用户：用户、用户组●时间：时间、时间组、一次性调度和周循环调度●带宽：带宽●URL关键字●网页关键字●VLAN ID7.1 资源定义通用功能介绍对于各项资源，操作基本相同，通常提供如下操作：●分页显示●查找●排序●添加资源●编辑资源（修改）●删除资源还有一些需要注意的地方，适用于所有规则，比如：●名称的限制●备注的限制下面对这些共同的功能做一个介绍。

7.1.1 分页显示各列表界面均有“分页功能”，其工具条通常位于表格的下方，如下图所示：例如，点击“资源定义>>地址>>地址列表”，显示地址列表页面，就能看到上述工具条。

实际上，所有资源的列表页面都有该项功能。

具体如下：表7-1资源定义分页功能列表点击如果出现竖向滚动条，则点击7.1.2 查找为便于查找已经定义过的资源，各列表界面均提供了查找功能，通常位于标题和列表之间，靠右排列。

如下图所示：7.1.3 排序为便于查看比较资源，各列表界面均提供了排序功能。

具体如下：，蓝粗体（如）表示可以进行排序，黑通常按照字符串顺序进行排序（如、项，则按数字大小进行排序（如7.1.4 添加各项资源最重要的功能之一就是能够添加资源，按钮都排列在在各列表最下方的正中位置。

添加资源的操作步骤：1.在相应的资源列表页面中，点击，将弹出添加界面；2.给弹出界面的各域选择或者输入相应的值；3.点击，则成功添加本条规则后关闭本窗口；如果点击，则添加本条规则成功后刷新列表页码，本窗口不关闭，以便继续添加下一条。

点击后弹出界面中最下方通常有三个按钮，如图所示：7.1.5 编辑各项资源，不管是否被引用，均能随时修改。

名称不能改变，其余属性可以修改。

编辑资源的操作步骤：1．在相应的资源列表页面中，点击对应的编辑图标（如图：），将弹出编辑界面2．输入相应的值，或者指定相应的成员（对于各项资源，值的限制不同，在各资源中进行介绍，可参考具体资源的帮助或者手册）3．点击，修改成功后关闭本窗口。

1.1 配置需求使用电脑登陆设备WEB管理界面。

1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘找到ikey driver目录下INSTDRV.exe程序，双击安装电子钥匙驱动（此时不插电子钥匙），打开administrator目录下的ikeyc程序，提示用户输入PIN 码，默认的是“12345678”，将电子钥匙插到电脑上，输入防火墙IP 10.1.5.254，点击连接即可。

原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。

（4）在IE中输入“https://10.1.5.254:8888”即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.3.2电子证书登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘，找到admin.p12文件，双击安装，密码“hhhhhh”。

（4）打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。

（5）在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.4注意事项（1）建议使用IE8.0或以上版本浏览器。

（2）登陆时注意使用的是https协议。

（3）确保电脑当前的时间与北京时间一致。

（4）用户登录后，如果对 WEB 界面不进行操作的时间超过 5 分钟，系统将超时并回到登录页面，必须重新登录才能继续使用。

（5）首次登陆电脑地址必须是10.1.5.200/255.255.255.0。

1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0，通过配置设置可以将其他接口作为远程管理口。

联想网御安全网关Power V作业指导书江苏国瑞信安科技有限公司二零一一年七月目录第1章如何开始 (1)1.1 登录管理界面 (1)1.1.1 登录方法 (1)1.1.2 管理认证 (2)1.1.3 登录过程 (3)1.1.4 网御安全网关Power V的一般配置过程 (4)1.1.5 退出登录 (4)第2章系统配置 (5)2.1 日期时间 (5)2.2 系统参数 (6)2.3 系统更新 (6)2.3.1 模块升级 (6)2.3.2 导入导出 (7)2.4 管理配置 (9)2.4.1 管理主机 (9)2.4.2 管理员账号 (10)2.4.3 管理证书 (11)2.5 报告设置 (12)2.5.1 日志服务器 (12)2.5.2 报警邮箱设置 (12)第3章策略配置 (14)3.1 安全选项 (14)3.1.1 包过滤策略 (14)3.1.2 IP/MAC检查 (15)3.1.3 允许所有非IP协议 (15)3.2 安全规则 (16)3.2.1 包过滤规则 (17)3.2.2 NA T规则 (18)3.2.3 地址列表、服务列表 (19)3.3 地址绑定 (20)3.4 带宽管理 (23)3.5 黑名单 (24)3.6 连接管理 (25)3.6.1 基本参数 (25)3.6.2 连接规则 (25)3.6.3 连接状态 (27)第4章网络配置 (29)4.1.1 物理设备 (29)4.1.2 VLAN设备 (30)4.1.3 桥接设备 (31)第5章绿色上网 (33)5.1 URL过滤策略 (33)5.2 绿色上网规则 (35)第6章系统监控 (35)6.1 网络设备 (35)6.2 HA状态 (37)6.3 资源状态 (38)6.4 日志信息 (39)6.4.1 日志查看 (39)6.4.2 包过滤日志报表 (40)6.4.3 P2P报表 (41)6.4.4 深度过滤报表 (41)6.5 用户信息 (42)6.6 连接状态 (42)6.7 连接统计 (44)6.8 深度过滤 (44)6.9 带宽监控 (45)6.10 网络调试工具 (45)6.11 路由监控 (46)6.12 动态路由监控 (47)第1章如何开始1.1 登录管理界面1.1.1 登录方法安全网关共有四种管理方式：1）Web界面管理2）串口命令行管理3）远程SSH登录管理4）PPP拨号接入管理。

第8章系统监控系统监控能够显示防火墙当时的工作状态，为防火墙管理员提供了功能强大的监控工具。

与联想网御集中管理软件共同使用，可以搭建全面的安全管理平台。

8.1 网络设备网络设备监控的是启用的物理设备收发包的情况，如图：图8-1网络设备监控图中的网络设备是当前有效的物理设备，状态图标表示设备处于启用状态，图标表示设备处于停止状态。

流量栏中显示了当前设备总发送和总接收的字节数。

点击“当前状态”可以查看设备更详细的信息，点击“统计图”可以查看设备收发数据的统计图示。

如果要查看设备一段时间内的监控信息，必须先启用设备监控服务，如下图：图标表示监控服务正在运行，图标表示监控服务已经停止。

点击“停止”按钮可以停止监控服务，点击“启动”按钮可以启动监控服务。

启动监控服务后，才可以在统计图中查看到统计数据；停止监控服务后，仍然可以查看当前设备收发数据的情况，但是无法查看历史数据。

如果要清除以前的统计数据，可以点击“清空数据文件”将之清除。

点击“当前状态”后，显示如下图所示的页面：图8-2网络设备当前状态页面中显示了设备的详细信息。

点击“统计图”后，显示如下图所示的页面：图8-3网络设备流量统计上图显示了设备“5分钟”，“30分钟”，“3小时”，“一天”之内的流量统计信息，每个设备都有自己的统计图。

流量的单位是兆字节，如果选择最近5分钟的数据，则系统每10秒钟记录一次流量信息，如果选择查看的时间较长，则系统记录流量信息的间隔也相应增大。

如果单位时间内流量一直小于1兆字节，则绘制的曲线会比较贴近横坐标，不很醒目。

8.2 HA状态如果启用了HA功能，则可以进行HA状态监控。

在主防火墙的监控界面上，可以监控集群内所有防火墙的HA状态。

包括：配置同步的情况，节点优先级，网口状态列表和探测周边设备状态列表。

如下图所示：图8-4显示HA状态点详细可看到该节点的详细信息，如下图图8-5HA状态详细显示其中主节点的“优先级”应为1，其余从节点的“优先级”依次为2，3，4（目前支持4个节点的HA工作模式）。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用,推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。

3.2节。

如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。

1节.安全网关主要以两种方式接入网络:透明方式和路由方式。

透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1.2 准备开始接通电源,开启安全网关，安全网关正常启动后，会蜂鸣三声,未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机-〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5。

0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序。

插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁”。

切记：安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。

如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙，重启系统后再试一次，如仍无法解决，请联系技术支持人员。