下载文档原格式
小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项:1:请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2:请您在参照文档开始操作前,确认对防火墙的配置权限。
即拥有USB口电子加密锁。
同时在管理主机上安装过“网御防火墙管理员认证程序”3:确保在配置过程中管理主机与防火墙的连接状态。
4:文档中所使用的拓扑图如下,配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。
同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。
(出厂默认为12345678)2.1 出现认证程序界面后点击连接。
待出现认证通过的提示后,指示灯会变为绿色。
3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。
在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。
2.3 在上图中,主要需要配置的是网络接口的IP地址。
在IP地址输入1.1.1.1、在掩码输入对应的掩码。
这里输入255.255.255.0。
跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。
网络设备的界面中fe2的设备会显示已经启用。
三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。
3.2 名称可以随意。
请注意,必须使用字母开头,并且暂时不支持中文。
在标识为1的行中输入服务器的内网IP即可。
备注是对服务器的说明,可以随意。
3.3 对需要对外发布的服务做定义。
如果是使用常见服务比如HTTP、FTP等服务,防火墙有预定义服务,就不需再做定义。
联想网御强五(PowerV)系列防火墙网御强五系列防火墙是网御产品中的重要一员,它是专门为企业级用户打造的高可用的安全产品。
它利用精心设计的网御防火墙操作系统,基于IA架构,充分发挥了硬件的高效数据交换能力和系统并行处理能力,实现了高性能与高安全性的完美结合。
◆产品图片:◆产品特点:1、强适用性网络部署灵活,适应多种复杂网络环境和接入模式。
支持各种应用代理及多种基于动态协议的复杂应用。
提供灵活多样的VPN客户端接入方式。
2、强安全性采用增强型抗攻击技术,可防范各种常见类型的网络攻击。
3、强可靠性拥有国内唯一的防火墙HA集群技术,可实现四个防火墙集群的主动负载均衡。
4、强扩展性软件设计采用安全功能模块化和核心模块核外化技术,模块升级简便,充分保障用户的投资利益。
5、强管理性支持多种管理方式,提供完善的日志管理和审计功能,有效降低管理成本注:强五系列产品“并发连接数”可根据用户需求定制升级,具体型号的参数未列做说明!◆典型应用:典型应用一:高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为联想网御防火墙Power V在骨干网络中应用的例子。
正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。
当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。
切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。
同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化。
防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性。
典型应用二:骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。
14.1 网络需求某企业用户,两个分部需要互相访问对方内部网络的服务器,通过网关到网关的ipsec隧道,使得用户192.168.83.0/24和192.168.82.0/24可以互相访问资源。
14.2 网络拓扑防火墙1:内网地址192.168.83.207 ,外网地址211.211.211.211内部保护子网A为192.168.83.0/24防火墙2:内部地址192.168.82.207 ,外网地址210.210.210.210内部包含子网B为192.168.82.0/2414.3 配置流程(1)配置防火墙1 网络环境(2)配置防火墙1 IPSEC----VPN规则,确定本地保护子网和对端保护子网地址。
(3)配置防火墙1的IKE配置,确定对端网关地址,认证方式,隧道模式,以及算法。
(4)配置防火墙1的网关隧道配置,确定本地出口。
(5)隧道监控—启动隧道14.4 配置步骤(1)配置防火墙1 接口地址进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。
(2)配置防火墙1 IPSEC---VPN规则进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
防火墙2的本地和对端与防火墙1相反。
(3)配置防火墙1的IKE配置进入【VPN】-【IPSec】-【IKE配置】-添加这里的预共享密钥和协商模式必须与防火墙2设置相同。
如果选择野蛮模式,务必设置ID。
(4)配置防火墙1的网关隧道配置进入【VPN】-【IPSec】-【网关隧道配置】-添加这里选择外网口为VPN接口,完美向前保密必须和防火墙2设置相同。
缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加安全策略(保护网段双向放通)。
1.1 配置需求使用电脑登陆设备WEB管理界面。
1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆(1)电脑通过网线连接到设备默认管理口eth0口上。
(2)电脑地址配置成10.1.5.200/255.255.255.0。
(3)打开光盘找到ikey driver目录下INSTDRV.exe程序,双击安装电子钥匙驱动(此时不插电子钥匙),打开administrator目录下的ikeyc程序,提示用户输入PIN 码,默认的是“12345678”,将电子钥匙插到电脑上,输入防火墙IP 10.1.5.254,点击连接即可。
原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。
(4)在IE中输入“https://10.1.5.254:8888”即可进入登陆界面,默认用户名密码administrator/bane@7766。
1.3.2电子证书登陆(1)电脑通过网线连接到设备默认管理口eth0口上。
(2)电脑地址配置成10.1.5.200/255.255.255.0。
(3)打开光盘,找到admin.p12文件,双击安装,密码“hhhhhh”。
(4)打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。
(5)在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面,默认用户名密码administrator/bane@7766。
1.4注意事项(1)建议使用IE8.0或以上版本浏览器。
(2)登陆时注意使用的是https协议。
(3)确保电脑当前的时间与北京时间一致。
(4)用户登录后,如果对 WEB 界面不进行操作的时间超过 5 分钟,系统将超时并回到登录页面,必须重新登录才能继续使用。
(5)首次登陆电脑地址必须是10.1.5.200/255.255.255.0。
1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0,通过配置设置可以将其他接口作为远程管理口。
联想网御PowerV系列配置案例集6(单出口端口映射配置案例)6.1 配置需求企业需要将内网 Web 服务器(192.168.1.11)web端口映射到公网,展示公司产品,企业向运营商申请了一个公网IP地址211.211.211.211。
6.2 网络拓扑6.3 配置流程(1) 配置网络联通性(2) 定义 IP 地址对象、开放端口对象(3) 配置端口映射策略,将内网服务器映射到公网(4) 配置安全策略,允许外网用户访问内网6.4 配置步骤(1)配置网络连通性保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。
(2)定义 IP 地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。
在【防火墙】--【服务】--【基本服务】定义开放的端口号注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址)拨号用户选择拨号获取到的公网地址即可内部地址:在地址列表里定义的服务器地址对外服务:需要对外开放的端口,此处选择web端口注:系统预定义大量常用端口,可以直接使用对内服务:内网服务器需要开放的端口,此处选择web端口注:对内服务、对外服务可以不一致,即对外服务为8080,对内服务可以为80隐藏内部地址:可选。
如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙内网接口地址。
(4)配置安全规则源地址选择any,目的地址选择为web服务器,服务选择为web 端口。
管理防火墙Power V 防火墙有2种管理方式,1是web(界面管理)管理。
2是命令行管理。
命令行管理又分为串口管理和SSH管理。
本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。
一.串口管理1.使用超级终端连接防火墙。
利用随机附带的串口线将PC的串口和防火墙串口相连,启动超级终端。
以Windows XP为例:选择程序->附件->通讯->超级终端,选择用于连接的串口设备。
定制通讯参数如下。
每秒位数:9600;数据位:8;奇偶校验:无;停止位:1;数据流控制:无。
第1页第2页第3页当出现上面的语言时,就可以通过命令行管理防火墙了。
2.使用SecureCRT连接防火墙。
利用随机附带的串口线连接管理主机的串口和防火墙串口。
在pc 上运行SecureCRT 软件。
第4页第5页出现上面的情况就可以用命令行管理防火墙了。
二.Web 管理1.使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装,注意安装时不要插入电子钥匙。
b.驱动安装成功后,将电子钥匙插入管理主机的usb口,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
c.选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框d.“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
2.使用证书a.首先从联想网御的FTP服务上获得证书。
FTP服务器IP地址是211.100.11.172,用户命密码都是lenovo。
b.用SecureCRT软件管理防火墙的命令行,用administrator/administrator帐号登陆。
c.执行rz命令上传防火墙导入的证书分别是:admin.pem;CACert.pem;leadsec.pem;第6页leadsec_key.pem,如图所示:d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。
26.1 网络需求某企业需要对内网流量进行病毒防护26.2 网络拓扑防火墙:内网地址192.168.83.207 ,外网地址211.211.211.211内网网段为192.168.83.0/2426.3 配置流程(1)配置防火墙网络环境;(2)定义病毒防护策略;(3)配置防火墙安全策略,调用病毒防护策略。
26.4 配置步骤(1)配置防火墙接口地址,公网网关;进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。
进入【路由管理】-【基本路由】-【默认路由】-新建,设置公网网关为211.211.211.254,内网网段直连防火墙内网口,内网PC网关和防火墙内网口IP一致,确保连通性没有问题。
(2)定义病毒防护策略系统提供了标准病毒防护策略模板供引用方便建立,修改特定的病毒防护策略,也可通过应用防护 -> 病毒防护 -> 自定义病毒特征自定义病毒特征,还可以通过防护 -> 病毒防护 -> 服务端口设置病毒检测的服务端口。
进入【应用防护】-【病毒防护】-【病毒防护策略】新建AV策略,一般调用标准病毒防护模板,然后对新策略进行适当的修改,构造适合不同环境不同安全级别的需求的病毒防护策略。
(3)配置防火墙安全策略,调用病毒防护策略进入【防火墙】-【地址】-【地址】-新建内网网段先定义内网网段,便于下一步的调用。
进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量且调用所需的病毒防护策略源地址是内网网段,目的地址是任意,勾选包过滤日志,动作是允许,病毒防护策略调用之前定义好的AV策略,其他配置选项默认即可。
注意事项:如果防火墙病毒防护未生效,除了检查防火墙的配置,还需要到防火墙系统管理-> 维护 -> 模块许可确认是否购买了标准病毒防护特征升级,如果购买了,且AV特征库升级授权未到期,需要到系统管理 -> 维护 -> 系统升级处查看病毒防护的特征库是否升级到最新。
1.1 概述在缺省情况下,网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。
串口命令行方式适用于对安全网关比较熟悉的用户,操作较复杂。
Web方式直观方便,但要求认证管理员身份。
如果正式使用安全网关推荐采用Web方式,如果希望快速配置使用,推荐采用串口命令行方式。
如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。
3.2节。
如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。
1节.安全网关主要以两种方式接入网络:透明方式和路由方式。
透明方式下不用改动原有网络配置;在路由方式下,配置完安全网关后您还必须修改已有的网络配置,修改直接相连主机或网络设备的IP地址,并把网关指向安全网关。
1.2 准备开始接通电源,开启安全网关,安全网关正常启动后,会蜂鸣三声,未出现上述现象则表明安全网关未正常启动,请您检查电源是否连接正常,如仍无法解决问题请直接联系安全网关技术支持人员.1。
3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程:配置管理主机-〉安装usb钥匙并认证管理员身份->配置管理1. 选用管理主机。
要求具有以太网卡、USB接口和光驱,操作系统应为Window98/2000/XP,管理主机IE浏览器建议为5。
0以上版本、文字大小为中等,屏幕显示建议设置为1024*768。
2。
安装认证驱动程序。
插入随机附带的驱动光盘,进入光盘ikey driver目录,双击运行INSTDRV程序,选择“开始安装",随后出现安装成功的提示,选择“退出重新插锁”。
切记:安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。
在管理主机上插入USB电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。
如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可,如长时间(如3分钟)没有反映,请拔下usb电子钥匙,重启系统后再试一次,如仍无法解决,请联系技术支持人员。
Power V 防火墙 OSPF 配置实例 (3.4.3.8
第 1页
第 2页
1.案例背景
Power V防火墙具有 OSPF 路由功能,并可以通过添加多个区域的方式与其他网络设备进行互联互通。
2.案例拓扑
3.配置步骤
3.1 FW1配置
1、网络接口配置,配置 fe3接口地址为 192.168.29.1,配置 fe4接口地址为10.0.2.246
2、策略配置,配置允许内网访问外网的包过滤规则。
3、 OSPF 路由配置
4.验证
以上操作之后就可以从防火墙上动态学习到路由器那边的路由, 在 OSPF 路由监控里可以看到学习到的路由。
第 3页
5.注意事项
在启动 OSPF 的时,如需修改网络配置,则须先停止 OSPF 功能。
防火墙如果有 4个以上的网口,则只有前 4个网口可以做 OSPF 接口。
防火墙做 HA 配置,主从墙切换后,从墙学习不到 OSPF 路由,要重新启动下OSPF 功能。
启动 OSPF ,一定不可以开启多播路由。
第 4页。
网御星云安全网关PowerV 命令行操作手册VERSION 1.0明声♦本手册所含内容若有任何改动,恕不另行通知。
♦在法律法规的最大允许范围内,北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
♦在法律法规的最大允许范围内,北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
♦本手册含受版权保护的信息,未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
♦本手册使用于网御星云PowerV系列防火墙和VPN,在手册中称为安全网关。
文档少部分内容视产品具体型号略有不同,请以购买的实际产品为准。
♦网御星云不承担由于本资料中的任何不准确性引起的任何责任,网御星云保留不作另行通知的情况下对本资料进行变更、修改、转换或以其他方式修订的权利!北京网御星云信息技术有限公司号电8层中北京海淀中村南大街国区关6中信息大厦目 录目 录 (III)第1 章 前 言 (1)第2 章 命令行概述 (4)第3 章 快速入门 (25)第4 章 系统管理 (26)第5 章 网络管理 (76)第6 章 路由 (119)第7 章 防火墙 (135)第8 章 应用防护 (205)第9 章 用户认证 (287)第10 章 会话管理 (305)第11 章 VPN (308)第12 章 SSLVPN (327)第13 章 IPv6 (448)第14 章 漏洞扫描 (474)第15 章 状态监控 (477)第16 章 日志与报警 (480)第17 章 其他 (490)第1章 前 言1.1 导言员册该册绍过终《命令行操作手》是御册网安全网关Power V管理手中的一本。
联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动,恕不另行通知。
在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想网御科技(北京)有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ,MSN,BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接:使用标配的串口线,一头接防火墙的CONSOLE口,另一头接计算机的串口。
