网御星云(联想网御)powerv防火墙-ospf配置实例

Power V防火墙OSPF 配置实例( 3.4.3.8 )1案例背景Power V 防火墙具有OSPF 路由功能，并可以通过添加多个区域的方式与其他网络设备 进行互联互通。

2 •案例拓扑3 •配置步骤FW1配置1、网络接口配置，配置 fe3接口地址为，配置 fe4接口地址为10.0.2.246諾任氏:■:irHL^/lERi W J £ £5< M5 S3 £550 工林/武聊吐■联■If^TIWl M.IT 氏带奩器書X•ft/£»3'392 】闘上日.HE9EL2SE .36MI1 51剖恭X *L 10.0 z M&<sa.rSi BEX 屮#站官息2宮磔丹.2禹2S?X w» ar{XX 1-.T7 聲由fl!式X険/X X *・IQ 】卩P5<骸阿0Xr2、策略配置，配置允许内网访问外网的包过滤规则。

加略配垃丫>:曲i 励M_ a maur~)Qff.rmNifig) b陶<r )3j a ❾~》51fl=WIJSFHMBIA*4r»iirm 1 pflfLfia 冲。

■ea ft** jv e o肯 r任昭L%- IAB.S9 tAllMl witL/ 4ft■j1.宦 l«.2V EV ftpnrtif[7 心■■■■frLK 偌•站.旳Lf (0 O &SWSM 曲刽E 皿际I_ ________ ___ ________ 「 _____________________ r ___________________ __i ■川 11 I |：』_叭臥 I u ■ ；l 不RF ： 2 wilBU i霹号MU SiAIIFKFHUV■嘔T> IWa<1awt]，曹IM 訊Dftn ftn.0 Mil*〕才心t3、OSPF 路由配置内内内内内fe410.02245/301 0.02246/30192.168.29.1/24 内内Area 0購羯覆HL加鑲渤EO P冷幻惟MS K«1t 1=E. LES. El O/ES5. SS. 2SS. IJ QO.O.D10 i 2 E临凶5 匪2® 25J OOO i\r AjjtllFWIf僅EE ifrtr ■ J?E LE4 刃rl I«3192 3E4i-£9. 1XrCCslm D.2 2ft M10 | 2 24fi noEic4 •验证以上操作之后就可以从防火墙上动态学习到路由器那边的路由，在OSPF路由监控里可以看到学习到的路由。

第2章如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍，以及开机登录配置管理界面的方法。

这些有助于管理员完成防火墙软硬件的快速安装和启用。

如果您想尽快配置使用联想网御防火墙，可跳过概述部分，直接阅读2.5章（第12页）。

2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高，以防火墙为代表的网络安全设备已经成为不可或缺的设备。

网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。

可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。

2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品，该产品的特点是高安全性，高可用性和高性能的“三高”“管理者的”防火墙，是国内一流的防火墙。

●高安全●高可用性●高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求，采用模块化设计，包括基本功能模块、可选功能模块（VPN模块需要许可证才能使用）。

主要具有以下功能：●状态检测和动态过滤采取主动过滤技术，在链路层截取并分析数据包以提高处理性能，对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤，还可以结合定义好的策略，动态生成规则，这样既保证了安全，又满足应用服务动态端口变化的要求。

可支持多个动态应用，包括ftp、h323、pptp、rtsp、tns等。

●双向NAT地址转换在全透明模式下提供了双向地址转换（NAT）功能，能够有效地屏蔽整个子网的内部结构，使得黑客无从发现子网存在的缺陷，还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。

支持静态NA T、动态NAT及IP映射（支持负载均衡功能）、端口映射。

●应用层透明代理支持透明代理功能，提供对HTTP、FTP（可限制GET、PUT命令）、TELNET、SMTP（邮件过滤）、POP3等标准应用服务的透明代理，同时提供在用户自定义服务下的透明代理，支持网络接口限定。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

8.1 网络需求
某企业网络接入联通，电信两个运营商，购置一网御防火墙搭建企业网络，实现内网访问互联网。

假设联通接口地址为：1.1.1.2 电信接口地址为：211.211.211.211
8.2 网络拓扑
8.3 配置流程
（1）配置接口地址
（2）配置默认路由
（3）配置NAT规则
（4）配置安全策略
8.4 配置步骤
（1）配置接口地址
在【网络管理】--【网络接口】--【物理设备】配置内外网接口地址。

具体配置方法参考4.4章节
（2）配置默认路由
在【路由管理】--【默认路由】配置两个运营商的默认路由，网关地址为对应运营商的地址。

启用基于状态回包功能（即时生效）、启用默认路由均衡必须勾选。

权重值：权重越大优先级越高，可以根据带宽比例填写对应的权重值。

（3）配置NAT规则
在【防火墙】--【策略】--【NAT策略】添加对应的NAT策略
源地址：选择为内网网段地址
源地址转换为：联通接口IP（1.1.1.2）
流出网口：选择为联通接口
同理添加电信线路NAT策略
（4）配置安全策略规则放通。

联想网御防火墙配置手册（3213）
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。

2、防火墙设备安装，连接各种线缆。

3、安装防火墙管理密钥驱动。

4、插入管理密钥，运行防火墙管理认证程序。

默认管理IP地址
10.1.5.254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地址：
https://10.1.5.254:8888默认用户名：administrator密码：administrator。

6、设置各物理接口IP地址、工作模式等信息。

7、设置别名设备，绑定外网地址到外网的物理接口上，以备设置
端口或IP映射做准备。

8、设置管理主机，提高系统安全性，只有设置的管理主机范围才
有访问防火墙的权限。

9、按系统规划需求，定义所需地址列表及服务器地址等信息，以
备后期定义策略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则。

12、配置IP或端口映射。

IP映射会对此映射IP的所有端口开放，
端口映射只开放相应映射的端口。

13、配置包过滤规则。

14、配置其它安全选项。

15、。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用,推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。

3.2节。

如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。

1节.安全网关主要以两种方式接入网络:透明方式和路由方式。

透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1.2 准备开始接通电源,开启安全网关，安全网关正常启动后，会蜂鸣三声,未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机-〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5。

0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序。

插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁”。

切记：安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。

如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙，重启系统后再试一次，如仍无法解决，请联系技术支持人员。

深度过滤第1页案例背景强5防火墙除了能对地址，协议等4层以下内容控制外，还可以通过深度过滤功能，对应用信息进行访问控制，丰富了防火墙的安全功能。

目前Power V防火墙可以对HTTP，FTP 和SMTP协议进行控制，本案例将介绍深度过滤的配置方法。

案例拓扑FW配置步骤HTTP过滤1．按照拓扑配置防火墙IP地址，默认网关，取消默认允许，配置全通包过滤策略，NAT 规则，确保内网PC可以访问互联网。

2．在防火墙资源定义下－深度过滤－基本配置中，配置http，ftp，smtp的端口，如果是标准的，不用修改，然后点“启动深度过滤”第2页3．在URL组中添加URL关键字，比如我们要过滤sohu网站，如图：4．配置过滤策略，启用http url关键字过滤，选择黑名单方式。

如图：注意，这里如果选择百名单方式，则意味着只允许访问url为的网页，其他都禁止，使用是要注意。

第3页5．在包过滤策略中引用dpi深度过滤策略。

如图：此时，内网PC无法访问sohu网站，但其他网站访问正常。

6．系统监控中可以看到深度过滤报表。

如图：FTP过滤1．添加深度过滤文件名组关键字，如图：第4页2．配置过虑策略，启用ftp过滤，注意，如果只是禁止下载匹配的文件名，不要选择“禁止下载”选项，否则，则是禁止下载所有文件。

记录日志。

3．在包过滤策略中引用dpi过滤策略。

此时，内网PC可以访问外网的ftp服务器，但无法下载WinMD5.exe文件，而其他文件可以下载。

第5页4．在深度过滤报表中，可以查看相关信息，如图：5．同样的方法可以实现限制ftp上传某些文件。

SMTP过滤1．添加深度过滤邮件地址组关键字，如图：2．配置顾虑策略，启用smtp过滤，过滤发件人地址，记录日志，如图：第6页3．在包过滤规则中，引用dpi过滤策略。

此时，当防火墙检测到发件人匹配hechen@时，将阻止该邮件的发送，而不会阻止其他发件人的邮件。

4．在深度过滤报表中可以查看相关信息，如图：类似的配置，可以实现基于收件人地址和反邮件中转过滤。

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

Power V 防火墙 OSPF 配置实例 (3.4.3.8
第 1页
第 2页
1.案例背景
Power V防火墙具有 OSPF 路由功能,并可以通过添加多个区域的方式与其他网络设备进行互联互通。

2.案例拓扑
3.配置步骤
3.1 FW1配置
1、网络接口配置,配置 fe3接口地址为 192.168.29.1,配置 fe4接口地址为10.0.2.246
2、策略配置,配置允许内网访问外网的包过滤规则。

3、 OSPF 路由配置
4.验证
以上操作之后就可以从防火墙上动态学习到路由器那边的路由, 在 OSPF 路由监控里可以看到学习到的路由。

第 3页
5.注意事项
在启动 OSPF 的时,如需修改网络配置,则须先停止 OSPF 功能。

防火墙如果有 4个以上的网口,则只有前 4个网口可以做 OSPF 接口。

防火墙做 HA 配置,主从墙切换后,从墙学习不到 OSPF 路由,要重新启动下OSPF 功能。

启动 OSPF ,一定不可以开启多播路由。

第 4页。

联想网御防火墙配置手册（3213）
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。

2、防火墙设备安装，连接各种线缆。

3、安装防火墙管理密钥驱动。

4、插入管理密钥，运行防火墙管理认证程序。

默认管理IP地址
10.1.5.254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地址：
https://10.1.5.254:8888默认用户名：administrator密码：administrator。

6、设置各物理接口IP地址、工作模式等信息。

端口或IP映射做准备。

8、设置管理主机，提高系统安全性，只有设置的管理主机范围才
有访问防火墙的权限。

9、按系统规划需求，定义所需地址列表及服务器地址等信息，以
备后期定义策略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则。

12、配置IP或端口映射。

IP映射会对此映射IP的所有端口开放，
端口映射只开放相应映射的端口。

13、配置包过滤规则。

14、配置其它安全选项。

16、。

联想网御防火墙配置手册（3213）之马矢奏春创作1、根据防火墙接口数量及业务系统需求规划防火墙各接口用
途、IP地址信息、及各接口的战略等。

2、防火墙设备装置，连接各种线缆。

3、装置防火墙管理密钥驱动。

4、拔出管理密钥，运行防火墙管理认证程序。

默认管理IP地
址10.1.5.254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地
址：https://10.1.5.254:8888默认用户名：administrator 密码：administrator。

6、设置各物理接口IP地址、工作模式等信息。

7、设置别号设备，绑定外网地址到外网的物理接口上，以备设
置端口或IP映射做准备。

8、设置管理主机，提高系统平安性，只有设置的管理主机范围
才有访问防火墙的权限。

9、按系统规划需求，定义所需地址列表及服务器地址等信息，
以备后期定义战略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则。

12、配置IP或端口映射。

IP映射会对此映射IP的所有端口开
放，端口映射只开放相应映射的端口。

13、配置包过滤规则。

14、配置其它平安选项。

网御星云安全网关PowerV 命令行操作手册VERSION 1.0明声♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

♦本手册使用于网御星云PowerV系列防火墙和VPN，在手册中称为安全网关。

文档少部分内容视产品具体型号略有不同，请以购买的实际产品为准。

♦网御星云不承担由于本资料中的任何不准确性引起的任何责任，网御星云保留不作另行通知的情况下对本资料进行变更、修改、转换或以其他方式修订的权利！北京网御星云信息技术有限公司号电8层中北京海淀中村南大街国区关6中信息大厦目 录目 录 (III)第1 章 前 言 (1)第2 章 命令行概述 (4)第3 章 快速入门 (25)第4 章 系统管理 (26)第5 章 网络管理 (76)第6 章 路由 (119)第7 章 防火墙 (135)第8 章 应用防护 (205)第9 章 用户认证 (287)第10 章 会话管理 (305)第11 章 VPN (308)第12 章 SSLVPN (327)第13 章 IPv6 (448)第14 章 漏洞扫描 (474)第15 章 状态监控 (477)第16 章 日志与报警 (480)第17 章 其他 (490)第1章 前 言1.1 导言员册该册绍过终《命令行操作手》是御册网安全网关Power V管理手中的一本。

联想网御防火墙配置手册（3213)
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。

2、防火墙设备安装，连接各种线缆.
3、安装防火墙管理密钥驱动.
4、插入管理密钥，运行防火墙管理认证程序。

默认管理IP地址
10.1.5。

254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地址：
https：//10.1.5.254：8888默认用户名：administrator密码：administrator。

6、设置各物理接口IP地址、工作模式等信息.
7、设置别名设备，绑定外网地址到外网的物理接口上,以备设置
端口或IP映射做准备。

8、设置管理主机，提高系统安全性，只有设置的管理主机范围才
有访问防火墙的权限.
9、按系统规划需求，定义所需地址列表及服务器地址等信息，以
备后期定义策略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则.
12、配置IP或端口映射.IP映射会对此映射IP的所有端口开放，端
口映射只开放相应映射的端口.
13、配置包过滤规则。

14、配置其它安全选项。

15、。