当前位置:文档之家 › 联想网御防火墙资料Power V-224

联想网御防火墙资料Power V-224

  • 格式:doc
  • 大小:100.00 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

网御POWER-V 系列防火墙配置IP、端口应射简易文档

网御POWER-V 系列防火墙配置IP、端口应射简易文档

小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项:1:请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2:请您在参照文档开始操作前,确认对防火墙的配置权限。

即拥有USB口电子加密锁。

同时在管理主机上安装过“网御防火墙管理员认证程序”3:确保在配置过程中管理主机与防火墙的连接状态。

4:文档中所使用的拓扑图如下,配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。

同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。

(出厂默认为12345678)2.1 出现认证程序界面后点击连接。

待出现认证通过的提示后,指示灯会变为绿色。

3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。

在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。

2.3 在上图中,主要需要配置的是网络接口的IP地址。

在IP地址输入1.1.1.1、在掩码输入对应的掩码。

这里输入255.255.255.0。

跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。

网络设备的界面中fe2的设备会显示已经启用。

三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。

3.2 名称可以随意。

请注意,必须使用字母开头,并且暂时不支持中文。

在标识为1的行中输入服务器的内网IP即可。

备注是对服务器的说明,可以随意。

3.3 对需要对外发布的服务做定义。

如果是使用常见服务比如HTTP、FTP等服务,防火墙有预定义服务,就不需再做定义。

政府协议采购联想网御防火墙参数、报价2

政府协议采购联想网御防火墙参数、报价2
330000
60%
132000
12
Power V-3626
防火墙-联想网御-标准2U设备,双冗余电源;标配6个SFP插槽,6个10/100/1000BASE-T端口,同时可用端口总数不少于12个,且每个端口均可连接独立的安全域。含IPSec VPN模块,隧道数5500;可选购SSL VPN功能模块,SSL VPN最多支持300同时在线用户。
900000
50%
450000
19
Super V-7A34
防火墙-联想网御-多核架构;标准2U机架式设备双冗余电源10个SFP插槽,4个10/100/1000MBase-T端口。同时可用端口总数不少于14个,且每个端口均可连接独立的安全域。含硬件IPSec VPN模块,隧道数10000。
980000
29000060%11Fra bibliotek00011
Power V-3226
防火墙-联想网御-标准2U设备,双冗余电源;标配2个SFP插槽,6个10/100/1000BASE-T端口,同时可用端口总数不少于8个,且每个端口均可连接独立的安全域。含IPSec VPN模块,最大VPN隧道数5500;可选购SSL VPN功能模块,SSL VPN最多支持300同时在线用户。
430000
60%
172000
15
Power V-4A26
防火墙-联想网御-标准2U设备,双冗余电源;标配10个SFP插槽,6个10/100/1000BASE-T端口,同时可用端口总数不少于16个,且每个端口均可连接独立的安全域。最大可扩展至28个千兆端口。含IPSec VPN模块,最大VPN隧道数6000;可选购SSL VPN功能模块,SSL VPN最多支持400同时在线用户。

Power V防火墙产品说明

Power V防火墙产品说明

联想网御强五(PowerV)系列防火墙网御强五系列防火墙是网御产品中的重要一员,它是专门为企业级用户打造的高可用的安全产品。

它利用精心设计的网御防火墙操作系统,基于IA架构,充分发挥了硬件的高效数据交换能力和系统并行处理能力,实现了高性能与高安全性的完美结合。

◆产品图片:◆产品特点:1、强适用性网络部署灵活,适应多种复杂网络环境和接入模式。

支持各种应用代理及多种基于动态协议的复杂应用。

提供灵活多样的VPN客户端接入方式。

2、强安全性采用增强型抗攻击技术,可防范各种常见类型的网络攻击。

3、强可靠性拥有国内唯一的防火墙HA集群技术,可实现四个防火墙集群的主动负载均衡。

4、强扩展性软件设计采用安全功能模块化和核心模块核外化技术,模块升级简便,充分保障用户的投资利益。

5、强管理性支持多种管理方式,提供完善的日志管理和审计功能,有效降低管理成本注:强五系列产品“并发连接数”可根据用户需求定制升级,具体型号的参数未列做说明!◆典型应用:典型应用一:高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为联想网御防火墙Power V在骨干网络中应用的例子。

正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。

当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。

切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。

同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化。

防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性。

典型应用二:骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

联想网御防火墙PowerVWeb界面操作手册_2开始

联想网御防火墙PowerVWeb界面操作手册_2开始

2.1 网御防火墙 PowerV 概述
随着宽带网络的飞速发展、 网络安全问题的突出和人们安全意识的提高,
以防火墙为代
表的网络安全设备已经成为不可或缺的设备。
网御防火墙 PowerV 在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、 配套的管理软
件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的 网络环境。
URL 过滤 URL 过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。
规则及配置信息的导入导出、备份恢复
可以把配置的各项数据从防火墙导出做备份;
需要时可以把以前的配置信息导入到
防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管 理员的工作带来很大
的便利和很好的安全保证。
2.1.1 产品特点
联想网御防火墙 PowerV 是联想防火墙的换代产品,该产品的特点是高安全性,高可用 性和高性能的
“三高”
“管理者的”防火墙,是国内一流的防火墙。
高安全
高可用性
高性能
2.1.2 主要功能
网御防火墙 PowerV 系统为了满足用户的复杂应用和多种需求,采用模块化设计, 包括基本功能
网御防火墙 Po werV
Web 界面操作手册
第 2 章如何开始
本章包括联想网御防火墙 PowerV 硬件安装和随机附带的软件安装介绍,
配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。
ቤተ መጻሕፍቲ ባይዱ
如果您想尽快配置使用联想网御防火墙,
可跳过概述部分,直接阅读
以及开机登录 2.5 章(第 12 页)。
SSL 加密信道对配置信息进行加
密处理,保证数据的安全性和完整性(防篡改)

联想网御防火墙使用手册

联想网御防火墙使用手册

资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?

联想网御Power V系列配置案例集14(IPSEC VPN 网关-网关配置案例)

联想网御Power V系列配置案例集14(IPSEC VPN 网关-网关配置案例)

14.1 网络需求某企业用户,两个分部需要互相访问对方内部网络的服务器,通过网关到网关的ipsec隧道,使得用户192.168.83.0/24和192.168.82.0/24可以互相访问资源。

14.2 网络拓扑防火墙1:内网地址192.168.83.207 ,外网地址211.211.211.211内部保护子网A为192.168.83.0/24防火墙2:内部地址192.168.82.207 ,外网地址210.210.210.210内部包含子网B为192.168.82.0/2414.3 配置流程(1)配置防火墙1 网络环境(2)配置防火墙1 IPSEC----VPN规则,确定本地保护子网和对端保护子网地址。

(3)配置防火墙1的IKE配置,确定对端网关地址,认证方式,隧道模式,以及算法。

(4)配置防火墙1的网关隧道配置,确定本地出口。

(5)隧道监控—启动隧道14.4 配置步骤(1)配置防火墙1 接口地址进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。

(2)配置防火墙1 IPSEC---VPN规则进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。

设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。

防火墙2的本地和对端与防火墙1相反。

(3)配置防火墙1的IKE配置进入【VPN】-【IPSec】-【IKE配置】-添加这里的预共享密钥和协商模式必须与防火墙2设置相同。

如果选择野蛮模式,务必设置ID。

(4)配置防火墙1的网关隧道配置进入【VPN】-【IPSec】-【网关隧道配置】-添加这里选择外网口为VPN接口,完美向前保密必须和防火墙2设置相同。

缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加安全策略(保护网段双向放通)。

联想网御powerv安装调试培训教材

需要导入IE证书,和防火墙证书(IE证书与防火墙证 书要一一对应,防火墙证书支持页面与串口两种方式。
联想网御powerv安装调试培训教材
2.4登录防火墙
电子钥匙认证
• 安装电子钥匙驱动程序将随机光盘放入管理主机 的光驱,进入随机附带的光盘的key目录, 执行 该目录下的INSTDRV,提示“退出请重新插锁”。
百兆前面板介绍
扩展接口,依次为 fe5,fe6,fe7,fe8
POWER:电源指示灯
START:读写状态指示灯
HA1和HA2:Ha指示灯
防火墙启动时,四个灯全部亮起,启动后, 依照各自的作用分时亮。 两个HA状态灯: HA主节点:两个灯全亮
4个标准10/100BaseTX(RJ45)接口,从左到右依 次为fe1,fe2,fe3,fe4
联想网御powerv安装调试培训教材
2.3管理方式介绍
支持多种管理方式;
• 串口命令行管理-常用于灾难的恢复工作 • Web页面管理-常用于正常管理 • ssh远程管理-常用于管理调试 • 集中管理-方便管理 • PPP远程拨号接入-专线远程拨入
联想网御powerv安装调试培训教材
2.3管理方式介绍
HA从节点:HA1灯亮,HA2灭
HA故障节点:HA1灭,HA2亮
未启用HA状态:两灯全灭
联想网御powerv安装调试培训教材
防火墙产品介绍
侧面板图
后面板图
千兆侧/后面板
联想网御powerv安装调试培训教材
防火墙产品介绍
千兆前面板介绍
从左到右是Console和 Aux,用于串口命令行登 录。
2个多模GBIC可插拔光纤网卡: 此图为powerv_3403图
联想网御powerv安装调试培训教材

联想网御Power V系列配置案例集1(WEB界面管理防火墙)

1.1 配置需求使用电脑登陆设备WEB管理界面。

1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆(1)电脑通过网线连接到设备默认管理口eth0口上。

(2)电脑地址配置成10.1.5.200/255.255.255.0。

(3)打开光盘找到ikey driver目录下INSTDRV.exe程序,双击安装电子钥匙驱动(此时不插电子钥匙),打开administrator目录下的ikeyc程序,提示用户输入PIN 码,默认的是“12345678”,将电子钥匙插到电脑上,输入防火墙IP 10.1.5.254,点击连接即可。

原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。

(4)在IE中输入“https://10.1.5.254:8888”即可进入登陆界面,默认用户名密码administrator/bane@7766。

1.3.2电子证书登陆(1)电脑通过网线连接到设备默认管理口eth0口上。

(2)电脑地址配置成10.1.5.200/255.255.255.0。

(3)打开光盘,找到admin.p12文件,双击安装,密码“hhhhhh”。

(4)打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。

(5)在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面,默认用户名密码administrator/bane@7766。

1.4注意事项(1)建议使用IE8.0或以上版本浏览器。

(2)登陆时注意使用的是https协议。

(3)确保电脑当前的时间与北京时间一致。

(4)用户登录后,如果对 WEB 界面不进行操作的时间超过 5 分钟,系统将超时并回到登录页面,必须重新登录才能继续使用。

(5)首次登陆电脑地址必须是10.1.5.200/255.255.255.0。

1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0,通过配置设置可以将其他接口作为远程管理口。

联想网御防火墙PowerVWeb界面操作手册网络配置

允许TRACEROUTE
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。

联想网御PowerV系列配置案例集6(单出口端口映射配置案例)

联想网御PowerV系列配置案例集6(单出口端口映射配置案例)6.1 配置需求企业需要将内网 Web 服务器(192.168.1.11)web端口映射到公网,展示公司产品,企业向运营商申请了一个公网IP地址211.211.211.211。

6.2 网络拓扑6.3 配置流程(1) 配置网络联通性(2) 定义 IP 地址对象、开放端口对象(3) 配置端口映射策略,将内网服务器映射到公网(4) 配置安全策略,允许外网用户访问内网6.4 配置步骤(1)配置网络连通性保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。

(2)定义 IP 地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。

在【防火墙】--【服务】--【基本服务】定义开放的端口号注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址)拨号用户选择拨号获取到的公网地址即可内部地址:在地址列表里定义的服务器地址对外服务:需要对外开放的端口,此处选择web端口注:系统预定义大量常用端口,可以直接使用对内服务:内网服务器需要开放的端口,此处选择web端口注:对内服务、对外服务可以不一致,即对外服务为8080,对内服务可以为80隐藏内部地址:可选。

如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙内网接口地址。

(4)配置安全规则源地址选择any,目的地址选择为web服务器,服务选择为web 端口。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IM即时通讯软件控制
识别和控制QQ、MSN等常用IM软件,一键式阻断IM机密文件传输
在线游戏控制
识别和控制魔兽、Counter Strike、征途、联众、浩方、泡泡堂等多种在线游戏软件
炒股软件控制
识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信等多种炒股软件
WEB分类过滤
支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制
支持SNMP管理,与当前通用的网络管理平台兼容
可导出可读的配置文件并进行打印存档
可进行配置文件的备份、下载、恢复和上传
系统监控
支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控
日志报警
支持设备内存储和专用事件分析服务器两种日志管理方式
支持分级报警,支持SNMP Trap和邮件等报警方式
集中管理
可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能
可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙
支持基于源/目的地址、接口的策略路由
支持多出口路由负载均衡
NAT
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换
VLAN
支持802.1Q和ISL VLAN封装协议,支持两种封装的互换以及Vlan Trunk
带宽管理
基于IP地址、服务、网口、时间等定义带宽分配策略
支持50多种分类库,1000万级网址智能特征库
支持URL独立特征库,支持增量升级管理
网络适应性
接入模式
支持透明、路由、混合三种工作模式
支持DHCP Client、DHCP Relay、DHCP Server
支持PPPoE接入,并具备自动断线重连技术
支持纯透明桥接功能
路由
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
高可用性
负载均衡
支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等
支持防火墙多WAN口备份和负载均衡
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽
通过状态同步技术实现2~32台防火墙的多机集群
双机热备
在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒
蠕虫防护
支持基于摘要索引的内容加速算法(DCA算法)的蠕虫病毒过滤
采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行位
实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截
抗DDoS/DoS攻击
功能类别
详细描述
访问控制
状态检测
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制
可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网
透明代理
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤
支持对中转垃圾邮件进行识别和过滤
FTP过滤
支持对FTP上传和下载文件的控制
关联安全应用
关联安全
支持关联安全标准(CSC)
可实现与IDS等设备的联动
可实现与内网安全管理系统(ISM)的联动
管理配置
系统管理
支持友好的Web图形界面配置
支持远程SSH和串口命令行配置
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级
产品型号
联想网御Power v-224
性能
网络处理能力》400M,并发连接数》120万,每秒新建连接数》1万,支持IPSEC、SSL VPN模块扩展。
端口
至少具备4个10/100MBase-TX电口,可扩展至8个10/100Base-TX电口
操作系统
基于通用安全平台(V.S.P),具备高效、智能、安全、健壮、易扩展等特点
IP/MAC绑定
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查
用户认证
支持基于客户端的本地认证、无客户端软件的WEB认证,并支持Radius等第三方认证
绿色上网
P2P下载控制
识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件
P2P视频播放控制
识别和控制PPLive、QQLive、PPStream、迅雷看看等常见P2P视频播放软件
可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击
内容过滤
网页过滤
支持对网页关键字和Java、JavaScript、ActiveX进行过滤
邮件过滤
支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
动态协议
在各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议
入侵检测与防御
入侵检测
集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则
遵循关联安全标准(CSC)实现与IDS的联动