网御星云(联想网御)PowerV防火墙 -OSPF配置实例

联想网御Power V系列配置案例集25(防火墙入侵防护配置实例)

25.1 网络需求某企业需要对内网流量进行入侵防护25.2 网络拓扑防火墙：内网地址192.168.83.207 ，外网地址211.211.211.211内网网段为192.168.83.0/2425.3 配置流程（1）配置防火墙网络环境；（2）定义入侵防护策略；（3）配置防火墙安全策略，调用入侵防护策略25.4 配置步骤（1）配置防火墙接口地址，公网网关进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址进入【路由管理】-【基本路由】-【默认路由】-新建，设置公网网关为211.211.211.254，内网网段直连防火墙内网口，内网PC网关和防火墙内网口IP一致，确保连通性没有问题。

（2）定义入侵防护策略；系统提供了标准入侵防护模板供引用方便建立、修改特定的入侵防护策略，也可通过应用防护 -> 入侵防护 -> 自定义特征自定义入侵特征。

进入【应用防护】-【病毒防护】-【病毒防护策略】新建IPS策略，一般调用标准入侵防护模板，然后对新策略进行适当的修改，构造适合不同环境不同安全级别的需求的入侵防护策略。

（3）配置防火墙安全策略，调用入侵防护策略进入【防火墙】-【地址】-【地址】-新建内网网段先定义内网网段，便于下一步的调用。

进入【防火墙】-【策略】-【安全策略】-放通内网上网的流量且调用所需的入侵防护策略源地址是内网网段，目的地址是任意，勾选包过滤日志，动作是允许，入侵防护策略调用之前定义好的IPS策略，其他配置选项默认即可。

如上注意所有细节，正常情况下，内网有流量通过防火墙，可到系统管理 -> 状态 -> 最新事件查看相应事件，或者到日志 -> 日志访问 -> 日志查看查看相应日志。

注意事项：如果防火墙入侵防护未生效，除了检查防火墙的配置，还需要到防火墙系统管理 -> 维护 -> 模块许可确认是否购买了入侵防护特征升级，如果购买了，且IPS特征库升级授权未到期，需要到系统管理 -> 维护 -> 系统升级处查看入侵防护的特征库是否升级到最新。

联想网御防火墙PowerV-Web界面操作手册-3系统配置

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

联想网御Power V系列配置案例集14(IPSEC VPN 网关-网关配置案例)

14.1 网络需求某企业用户，两个分部需要互相访问对方内部网络的服务器，通过网关到网关的ipsec隧道，使得用户192.168.83.0/24和192.168.82.0/24可以互相访问资源。

14.2 网络拓扑防火墙1：内网地址192.168.83.207 ，外网地址211.211.211.211内部保护子网A为192.168.83.0/24防火墙2：内部地址192.168.82.207 ，外网地址210.210.210.210内部包含子网B为192.168.82.0/2414.3 配置流程（1）配置防火墙1 网络环境（2）配置防火墙1 IPSEC----VPN规则，确定本地保护子网和对端保护子网地址。

（3）配置防火墙1的IKE配置，确定对端网关地址，认证方式，隧道模式，以及算法。

（4）配置防火墙1的网关隧道配置，确定本地出口。

（5）隧道监控—启动隧道14.4 配置步骤（1）配置防火墙1 接口地址进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。

（2）配置防火墙1 IPSEC---VPN规则进入【VPN】-【IPSec】-【VPN规则】-添加，设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

防火墙2的本地和对端与防火墙1相反。

（3）配置防火墙1的IKE配置进入【VPN】-【IPSec】-【IKE配置】-添加这里的预共享密钥和协商模式必须与防火墙2设置相同。

如果选择野蛮模式，务必设置ID。

（4）配置防火墙1的网关隧道配置进入【VPN】-【IPSec】-【网关隧道配置】-添加这里选择外网口为VPN接口，完美向前保密必须和防火墙2设置相同。

缺省策略尽量选择允许，如果选择包过滤需要单独到防火墙策略页面加安全策略（保护网段双向放通）。

联想网御防火墙PowerV-Web界面操作手册-3系统配置

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

联想网御Power V系列配置案例集1(WEB界面管理防火墙)

1.1 配置需求使用电脑登陆设备WEB管理界面。

1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘找到ikey driver目录下INSTDRV.exe程序，双击安装电子钥匙驱动（此时不插电子钥匙），打开administrator目录下的ikeyc程序，提示用户输入PIN 码，默认的是“12345678”，将电子钥匙插到电脑上，输入防火墙IP 10.1.5.254，点击连接即可。

原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。

（4）在IE中输入“https://10.1.5.254:8888”即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.3.2电子证书登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘，找到admin.p12文件，双击安装，密码“hhhhhh”。

（4）打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。

（5）在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.4注意事项（1）建议使用IE8.0或以上版本浏览器。

（2）登陆时注意使用的是https协议。

（3）确保电脑当前的时间与北京时间一致。

（4）用户登录后，如果对 WEB 界面不进行操作的时间超过 5 分钟，系统将超时并回到登录页面，必须重新登录才能继续使用。

（5）首次登陆电脑地址必须是10.1.5.200/255.255.255.0。

1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0，通过配置设置可以将其他接口作为远程管理口。

联想网御防火墙PowerVWeb界面操作手册网络配置

允许TRACEROUTE
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备，这两个物理设备同一时间只有一个处于启用状态，如果处于启用状态的设备失效，则另一个设备启用。冗余设备可以工作在全冗余模式下，在全冗余模式下，加入冗余设备的两个物理设备的IP地址，掩码，MAC地址（如果冗余设备设置了MAC地址）都将使用冗余设备的IP地址，掩码和MAC地址。如果不是工作在全冗余模式，这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式，也就是说该设备上绑定有IP地址，可以与其它设备进行数据包的路由转发。其中第一个物理设备（fe1或某些型号是ge1）是默认的可管理设备。它的默认IP地址是10.1.5.254，子网掩码为255.255.255.0，这个地址允许管理，PING和TRACEROUTE（默认管理主机的IP地址是10.1.5.200，请参考系统配置>>管理配置>>管理主机）。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时，切换到透明模式的物理设备会自动加入到桥接设备brg0中；如果把物理设备从透明模式切换到路由模式，系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式，有以下三种
1：自适应
2：全双工
3：半双工
链路速度
设备的链路速度，有以下三种
1：10
2：100
3：1000
MTU
设备的MTU（最大传输单位）。百兆网络设备可设置的范围是68到1504，千兆网络设备可设置的范围是64到16128。

采购结果明细表

1
9.1
机柜散力架
国标
8mm角钢焊接，1200mm*600mm*500mm
套
82
380
31,160
9.2
4
虚拟化云办公
锐捷
RG-RCD6000-Main Plus/RG-Rain100 V2
65
15,050
978,250
5
便携机
联想
ThinkPad L390 Yoga
20
10,000
200,000
6
服务区存储阵列
宏杉
MS2500G2-16A
1
650,000
650,000
7
备份一体机
爱数
AnyBackup
原墙面处理
定制
原漆面墙面铲除
m²
600
55
33,000
4
地面处理工程
水泥地面硬化、找平，粉刷防尘、防静电漆、保温等
项
1
4.1
地面平整
定制
水泥地面硬化、找平
m²
305
90
27,450
4.2
地面防尘防静电处理
国标
粉刷防尘、防静电漆
m²
305
98
29,890
5
玻璃隔断改造工程
12mm，防火，透明，5樘门，规格为1500mm*2100mm,12mm，防火，透明
项
1
5.1
新玻璃隔断
定制
12mm，防火，透明
m²
168
358
60,144
5.2
双开（单开）玻璃门
定制
樘
5
3,800
19,000
6
墙面工程

联想网御强五防火墙PowerV配置-带宽管理

共享带宽A1-1 保证带宽10Mbps 最大带宽20Mbps
非共享带宽A1 最大带宽 20Mbps 设备A 100Mbps
共享带宽A1-2 保证带宽5Mbps 最大带宽20Mbps
非共享带宽A2 最大带宽 10Mbps 共享带宽A2-1
举个例子，设备 A 口实际带宽为 100Mbps，下面一个非共享带宽 A1 的最大带宽设置为 20Mbps。非共享带宽 A1 下面的共享带宽资源 A1-1 的保证带宽设置为 10Mbps，最大带宽设置为 20Mbps；而共享带宽资源 A1-2 的保证带宽设置为 5Mbps，最大带宽设置为 20Mbps。当共享带宽资源 A1-1 实际利用的带宽很少的时候，比如仅为 3Mbps 时，共享带宽资源 A1-2 所需的实际带宽很大的时候，超出保证带宽 10Mbps，由于 A1-1 的保证带宽没有完全用完，此时 A1-2 可以借用 A1-1 的带宽，实际带宽最高可以达到 17Mbps。小结一下，如果其共享带宽资源 A1-1 的保证带宽没有用完时，可以被其它共享带宽资源借用，此为共享带宽的概念之一。如果共享带宽资源 A1 所包含连接的数据包相应出口的连接流量上来时，比如流量达到 10Mbps 时；此时首先要保证共享带宽资源 A1-1 和 A1-2 的保证带宽，然后再共享在保证带宽之外的剩余的带宽（20-10-5=5）。所以共享带宽资源 A1-1 的流量为 10Mbps 时，共享带宽资源 A1-2 的流量应该降至 10M，即 A1-2 在其保证带宽 5Mbps 基础上，还使用了保证带宽之外的剩余的带宽 5Mbps。如果共享带宽资源 A1-1、A1-2 的流量均超出对应的保证带宽，即 A1-1 超出 10Mbps，A1-2 超出 5Mbps。首先均保证两者的保证带宽，然后 A1-1 和 A1-2 根据优先级共享和分配在保证带宽之外的剩余的带宽 5Mbps。这部分带宽就在 A1-1 和 A1-2 之间互相借用及共享，即共享带宽的概念概念之二。带宽资源组里包含不同设备的共享带宽定义，被规则引用资源组时，匹配规则的流量在设备 A 为出口时，引用 A 设备的带宽控制定义，匹配规则的流量在设备 B 为出口时，引用 B 设备的带宽控制定义。最终需在带宽管理规则中引用。

网御星云全线产品介-XXXX0806

数据中心
其它应用系统 OA
ERP
集中管理控制中心
部门1 部门2
部门3
分支机构1
抵御来自互联网的威胁，同时做到双
分支机构2 机热备、负载均衡
分支机构3
限制内部网络的非法访问，管理 P2P/IM应用，保障业务先行
WEB
POP3
SMTP
DMZ区
网御UTM安全网关典型部署
某高校
网御UTM安全网关典型部署
VPN隧道
移动客户端
数据库服务器
网御数据库审计系统
邮件服务器 FTP服务器
桌面安全管理服务器
文件服务器
设备安全管理服务器
网御NIDS入侵检测系统
网御SSL VPN网关
数据库服务器邮件服务器
网御SIS安全隔离与信息交换系统
网御 IPS入侵防御系统
业务应用服务器
安全产品管理服务器
安全管理数据库中心
智能感知应用防护立体安全
√ 边界防护设备 √ 预防网络攻击 √ 保护内网主机 √ 防止信息泄露 √ 阻止数据篡改
网御下一代防火墙产品型谱图
威五系列小包万兆线速
Power V万兆系列
高端系列 Power V
中端系列 Power V
低端系列 Smart V
威五系列，草木知威
Power V6000F7000/8000/9000
兼具综合应用安全防护、高性能、易用易维护特性，没有之一
网御UTM产品型谱图
大
8000系列
型
用
户
级
中大
5000系列
型
用
户
中
小型
2000系列

联想网御Power V系列配置案例集8(双出口环境配置案例)

8.1 网络需求
某企业网络接入联通，电信两个运营商，购置一网御防火墙搭建企业网络，实现内网访问互联网。

假设联通接口地址为：1.1.1.2 电信接口地址为：211.211.211.211
8.2 网络拓扑
8.3 配置流程
（1）配置接口地址
（2）配置默认路由
（3）配置NAT规则
（4）配置安全策略
8.4 配置步骤
（1）配置接口地址
在【网络管理】--【网络接口】--【物理设备】配置内外网接口地址。

具体配置方法参考4.4章节
（2）配置默认路由
在【路由管理】--【默认路由】配置两个运营商的默认路由，网关地址为对应运营商的地址。

启用基于状态回包功能（即时生效）、启用默认路由均衡必须勾选。

权重值：权重越大优先级越高，可以根据带宽比例填写对应的权重值。

（3）配置NAT规则
在【防火墙】--【策略】--【NAT策略】添加对应的NAT策略
源地址：选择为内网网段地址
源地址转换为：联通接口IP（1.1.1.2）
流出网口：选择为联通接口
同理添加电信线路NAT策略
（4）配置安全策略规则放通。

网御防火墙技术白皮书V精编

网御防火墙技术白皮书V3.0北京网御星云信息技术有限公司目录2产品概述........................................................................ 3网御防火墙产品特点与技术优势.....................................................3.1智能的VSP通用安全平台.........................................................3.2高效的USE统一安全引擎.........................................................3.3高可靠的MRP多重冗余协议.......................................................3.4完备的关联安全标准.............................................................3.5基于应用的内容识别控制.........................................................3.5.1智能匹配技术..............................................................3.5.2多线程扫描技术 ............................................................3.5.3应用感控技术..............................................................3.6精确细致的WEB过滤技术.........................................................3.7可信架构主动云防御技术.........................................................3.8IP V6包状态过滤技术............................................................. 4网御防火墙产品主要功能 .......................................................... 5网御防火墙的典型应用 ............................................................5.1高可靠全链路冗余应用环境.......................................................5.2骨干网内网分隔环境.............................................................5.3混合模式接入环境...............................................................5.4多出口环境..................................................................... 6产品殊荣........................................................................1序言随着信息化建设的深入推进，近些年信息安全正在发生着翻天覆地的变化。

网御星云全线产品介-20130806

中等规模用户
高端规模用户
电信级规模用户
网络攻击防护拒绝服务攻击防护 •• 网页挂马防护 SynFlood、UDPFlood ICMPFlood等流量型攻击 • WebShell防护
• HTTP Get、CC、DNS Flood等应用型攻击
• •SQL注入攻击防护恶意扫描、缓冲区溢出 SQL注入、跨站脚本 • •XSS攻击防护木马、蠕虫、间谍软件 • •CGI访问、缓冲溢出
9000系列
10000系列
5000系列
7000系列
3000系列 2000系列
1000系列
16
产品特点1：
产品特点2：
网御UTM安全网关典型部署
实现不下属机构的安全隔离不访问控制，抵御来自下属机构的威胁数据中心其它应用系统 OA 分支机构1 分支机构2 抵御来自亏联网的威胁，同时做到双机热备、负载均衡
基金等国家级投资课题
60余项
5000㎡
1000台
与用设备研収与用场地
5000万元
建成攻防技术、安全管理事件分析、基础平台
侵防御特征
50条
年研収资金投入比例
四大研究院
14％
生产环境
新建永丰生产基地
生产、检验、仓储、物流占地3000多平米年产量23000台 ISO9000质量体系 GJB9001B认证
1GE管理口、三个前揑式扩展揑槽（支持万兆）、吞吏8800M、2U双电平台
TD3000-GS1800
1FE管理口、5GE监听口、 2SPF先口、吞吏800M、 1U双电平台
TD3000-GS3500
1GE管理口、5GE监听口、一个前揑式扩展揑槽、吞吏1800M、2U双电平台

联想网御防火墙Power V Web界面在线手册

周期性自动同步 1. 选中“启用时钟服务器”，输入“时钟同步服务器 IP” 2. 设定同步周期 3. 点击“确定”按钮系统参数
注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时
间后配置管理界面登录超时等。
1.2 系统参数
在“系统配置>>系统参数”中配置。系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。防火墙名称的最大长度是 14 个英文字符，不能有空格。默认的防火墙名称是 themis，
删除管理员账号 1. 点操作栏中“删除”的快捷图标，弹出删除对话框 2. 点“确定”按钮完成删除
允许或禁止多个管理员同时管理选择“允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录。
设定管理员登录超时时间管理员登录后如果长时间没有操作，配置界面会超时，超时时间也在这里设置，缺省值
是 600 秒，最大超时时间可设为 86400 秒（24 小时），0 是非法值。设置后点击“确定”生效。
下载证书点“联想 CA 中心”按钮，打开联想 CA 中心的主页，下载证书
联想集团有限公司
7
网御防火墙 Power V
Web 界面操作手册
导入证书点“浏览”按钮，分别导入一套匹配的 CA 中心证书、防火墙证书、防火墙密钥、管理
员证书。CA 中心证书、防火墙证书、防火墙密钥必须同时更换。
管理员证书维护管理员证书维护包括生效和删除，在“生效”一栏选择要生效的证书，点“生效”按钮
重启防火墙点击“重启防火墙”按钮，防火墙将重新启动。
注意：重启防火墙前，记住要保存当前配置。“保存”快捷键：
1.3.2 导入导出
导入导出界面包含以下功能 1. 导出系统配置 2. 导入系统配置 3. 恢复出厂配置 4. 保存配置

联想网御POWER_V_UTM防火墙功能使用图文手册

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。