联想网御防火墙部队日常维护手册

合集下载

防火墙运维指南

防火墙系统日常运维指南防火墙系统日常运维指南一、每日例行维护1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量是否正常。

如果存在会话连接总数、半连接数、端口流量异常，超出平时的正常范围的情况下，可能是有人在进行ARP攻击或蠕虫攻击，通过会话管理查看各会话的连接情况，查找异常会话，并对其进行手动阻断。

如果会话连接总数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情况下，重启防火墙设备。

在管理界面中的网络接口状态正常情况下是绿色：如果工作端口出现红色的情况下，需要及时通知网络管理员，配合查看交换机与防火墙之间的端口链路是否正常。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时电话联系厂商工程师。

按照要求，添加新增的防护对象。

2）安全管理员职责安全管理员在每日上班后定时（每日至少二次，9点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；如果出现高级别告警日志，立即按以下步骤进行处理：设备本身造成中高级别告警：高级别告警主要为设备本身的硬件故障告警!处理方式如下：立即通知厂商工程师到达现场处理。

处理完毕后，形成报告，并发送主管领导。

网络故障造成的中高级别告警：网络负载过大!（ARP攻击，蠕虫等）处理方式如下：分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的源地址。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管室主任、主管副部长）。

（下同）网络攻击行为造成的中高级别告警：如IP扫描，端口扫描等防火墙一般会自动阻断该连接，并同时生成告警日志。

联想网御防火墙使用手册

资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁漏洞
采取措施后剩余的风险
什么是防火墙？
➢ 定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。
➢ 核心思想：在不安全的网络环境中构造一个相对安全的子网环境。
➢ 目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是否生效
（会话表）
SUPER V 典型应用方案
• SUPER V网络出口应用
1：SNAT+DNAT典型应用: A：内网用户通过SNAT+地址池
访问Internet B：外网用户通过DNAT访问内网
的服务器
NAT池： IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙技术培训
1
POWER V防火墙培训大纲
什么是防火墙防火墙技术原理防火墙配置案例
问题处理及日常维护
2
什么是防火墙？
安全域的概念
什么是防火墙？
什么是防火墙？

网御防火墙管理系统使用手册

2.5 控制台的安装和卸载.............................................................................15
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8

防火墙运维指南

防火墙运维指南 Company number【1089WT-1898YT-1W8CB-9UUT-92108】防火墙系统日常运维指南V1.00防火墙系统日常运维指南一、每日例行维护1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量是否正常。

如果会话连接总数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情况下，重启防火墙设备。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时电话联系厂商工程师。

按照要求，添加新增的防护对象。

处理完毕后，形成报告，并发送主管领导。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管室主任、主管副部长）。

防火墙设备日常维护

防火墙设备日常维护（1）日常维护清单资产名称品牌规格型号出厂日期入库数量备注防火墙网御星云POWER V-1600C 2013-06-25 1 防火墙网御星云POWER V-1600C 2013-06-25 11、重要预警信息的检查(1）连接数。

连接数是一项关键信息，连接数超出正常使用范畴80%以上，我们就要考虑系统设备硬件与系统容量的关系因素，否者会导致系统容量对办公作业造成不利影响。

( 2） CPU。

CPU 能从存储器或高速缓冲存储器中释放出操作指令，并将这一指令暂时存储到寄存器中。

CPU占用率过高会对这一执行过程造成影响，进而影响机器作业效率，但其正常运作时一旦发现占用率异常升高，很有可能与攻击因素有关，因此通过设置必要的系统参数，可以有效防止恶意攻击手段的后台执行。

(3）内存。

内存占用率同样重要，内存占用率超过90%以上，我们可以查看系统连接数这项关键信息的具体情况如何，具体配套执行可通过系统实时监控的自检网络功效查看是否有外来攻击因素和异常流量产生与否。

2、检查与防火墙相关的重要资源当系统办公作业使用高峰阶段应当明确性、针对性地检查与防火墙相关的重要资源信息(CPU、连接数、内存及流量占用率)，进而才能判断网络办公作业业务的情况是否在系统正常的允许范畴内，为未来确立出网络正常运作业务时所需的参考性比重及依据;当连接数量超过平常基准指标20%时，需通过实时监控检查当前网络是否存在异常流量。

当CPU占用超过平常基准指标20%时，需查看异常流量、定位异常主机、安全策略是否优化。

（3）配置前信息收集工作查看网络环境（防火墙及周边路由器、交换机和服务器的IP、路由状况等)；搞清楚应用需求（协议、服务和端口)；制定合适的安全策略。

（4）配置顺序配置接口；配置路由或默认路由；定义资源-基于对象的概念，遵循先定义后引用的原则；配置策略-从上到下依次执行，第一优先匹配的原则。

1、按照《设备快速配置说明》登录WEB管理界面维护2、配置接口工作模式为透明模式，并将接口绑定到桥接口除了物理设备可以配置为透明模式，绑定到桥接口之外，VLAN设备和冗余设备也可以配置为透明模式。

联想网御防火墙PowerV-Web界面操作手册-3系统配置

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

联想网御防火墙Smart_V功能使用手册

联想网御防火墙Smart V 功能使用手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (III)图目录 (VII)第1章前言 (1)1.1导言 (1)1.2本书适用对象 (1)1.3本书适合的产品 (1)1.4手册章节组织 (1)1.5相关参考手册 (2)第2章VPN概念与配置方法 (3)2.1IPS EC VPN隧道 (3)2.2IKE密钥交换 (4)2.3VPN虚拟接口设备配置方法 (5)2.4局域网-局域网配置方法 (6)2.4.1 添加远程VPN (6)2.4.2 隧道配置方法 (6)2.5VPN客户端远程访问的配置方法 (7)2.6野蛮模式的应用 (8)2.7星形部署 (8)2.8VPN隧道与安全规则的关系 (8)2.9PPTP/L2TP远程访问VPN配置方法 (9)2.10动态域名配置方法 (12)2.11SSLVPN (13)2.11.1 SSLVPN的使用方法 (13)2.11.2 SSLVPN的配置 (14)2.11.3 SSLVPN支持的应用 (14)2.12常见问题（FAQ） (14)2.13如何注册的动态域名 (15)2.14网御VPN CA中心的使用方法 (18)2.14.1 证书管理 (18)2.14.2 使用第三方CA证书管理中心 (19)2.14.3 CA中心自身的管理 (20)2.15GRE隧道中继 (21)2.15.1 需求描述 (21)2.15.2 配置步骤 (21)2.15.3 总结 (24)第3章用户认证概念与配置方法 (25)3.1功能概述 (25)3.1.1 用户使用认证服务的过程 (25)3.1.2 用户认证模块的主要功能和参数 (26)3. 1. 2. 1 用户具有的功能： (27)3. 1. 2. 2 管理员具有的功能： (27)3. 1. 2. 3 用户认证模块的参数设置为： (27)3. 1. 2. 4 本地认证服务器的参数设置为： (28)3.1.3 使用防火墙用户认证服务的基本步骤 (28)3.2用户认证客户端软件使用指南 (29)3.2.1 概述 (29)3.2.2 客户端软件的安装 (29)3.2.3 基本使用方法 (30)3. 2. 3. 1 客户端主界面 (30)3. 2. 3. 2 配置系统 (30)3. 2. 3. 3 认证 (30)3. 2. 3. 4 修改密码 (31)3. 2. 3. 5 获取剩余时间流量 (32)3.3用户认证网闸功能 (33)3.3.1 功能概述 (33)3.3.2 思路分析 (35)3.3.3 SMART V实施方法 (35)3.4RADIUS服务器的配置和安装 (36)3.4.1 RADIUS概述 (36)3.4.2 RADIUS服务器的配置 (36)3. 4. 2. 1 安装mysql (37)3. 4. 2. 2 安装FreeRADIUS (37)3. 4. 2. 3 配置FreeRADIUS (37)3.5用户认证和深度过滤的结合使用 (40)第4章深度过滤概念与配置方法 (43)4.1基本概念 (43)4.2配置方法 (43)4.2.1 启用深度过滤和设置服务端口 (44)4.2.2 定义资源组 (44)4.2.3 定义深度过滤策略 (45)4.2.4 安全规则 (47)4.2.5 蠕虫过滤 (48)4.3注意事项 (50)第5章典型应用环境 (51)5.1三网口纯路由模式 (51)5.1.1 需求描述 (51)5.1.2 配置步骤 (52)5.2三网口混合模式 (53)5.2.1 需求描述 (53)5.2.2 配置步骤 (54)5.3三网口透明模式 (55)5.3.1 需求描述 (55)5.3.2 配置步骤 (55)5.4三网口透明模式上的路由 (57)5.4.1 需求描述 (57)5.4.2 配置步骤 (57)5.5三网口多VLAN环境 (59)5.5.1 需求描述 (59)5.5.2 配置步骤 (60)5.6多网口多DMZ (62)5.6.1 需求描述 (62)5.6.2 配置步骤 (63)5.7多网口多内网区段 (64)5.7.1 需求描述 (64)5.7.2 配置步骤 (65)5.8ADSL连接 (67)5.8.1 需求描述 (67)5.8.2 配置步骤 (67)5.9多默认路由负载均衡 (68)5.9.1 需求描述 (68)5.9.2 配置步骤 (68)5.10DHCP的应用 (69)5.10.1 需求描述 (69)5.10.2 配置步骤 (70)5.11多外网出口 (71)5.11.1 需求描述 (71)5.11.2 配置步骤 (72)5.12端口映射应用 (73)5.12.1 需求描述 (73)5.12.2 配置步骤 (73)5.13连接企业分支的局域网-局域网VPN应用 (75)5.13.1 需求描述 (75)5.13.2 配置步骤 (76)5.14远程访问VPN客户端应用 (78)5.14.1 需求描述 (78)5.14.2 配置步骤 (78)5.14.3 防火墙配置 (78)5.14.4 客户端配置 (79)5.15PPTP/L2TP远程访问 (80)5.15.1 需求描述 (80)5.15.2 配置步骤 (80)5.15.3 防火墙配置 (80)5.15.4 远程用户配置 (80)第6章FAQ与附录 (82)6.1防火墙常见问题解答 (82)6.1.1 如何登录到防火墙管理界面？ (82)6.1.2 配置防火墙SMART V的基本过程是怎样的？ (83)6.1.3 哪些应用可以和用户认证结合使用？ (83)6.1.4 “物理设备”，“别名设备”，“VLAN设备”，“桥接设备”，“VPN设备”，“拨号设备”的定义是怎样的，之间有什么区别与联系？ (84)6.1.5 为什么有些需要输入时间、地址、网络接口和服务的下拉框为空？ (85)6.1.6 资源定义>>地址>>地址池列表中定义的地址池资源是如何生效的？ (85)6.1.7 为什么选择了按网口探测网络上的MAC 地址会探测不到内容？ (85)6.1.8 为什么配置了策略配置>>安全规则>>端口映射规则，IP映射规则和NAT规则之后，还不能直接访问相应的服务？ (85)6.1.9 ADSL拨号失败怎么办？ (86)6.2附录：网络基本知识 (87)6.2.1 OSI参考模型概述 (87)6.2.2 网络 (88)6.2.3 协议 (90)6.2.4 IP地址 (95)6.2.5 路由 (99)6.2.6 端口 (100)6.2.7 包过滤 (103)6.2.8 防火墙 (106)6.3附录：常用端口列表 (107)6.4附录：IP协议号列表 (125)6.5附录：防火墙选配电缆说明 (128)6.6附录：术语解释（按英文名称字母顺序） (130)图目录图2-1局域网-局域网隧道 (3)图2-2远程访问VPN隧道 (4)图2-3 PPTP/L2TP VPN网络连接的协议选择 (10)图2-4 PPTP/L2TP VPN网络连接的加密属性配置 (11)图2-5 PPTP/L2TP VPN网络连接的认证属性配置 (12)图2-6动态DNS帐户设置 (12)图2-7动态IP接口的DNS设置 (13)图2-8动态DNS用户注册（1） (15)图2-9动态DNS用户注册（2） (16)图2-10动态DNS用户注册（3） (16)图2-11动态DNS用户注册（4） (17)图2-12动态DNS管理域名（1） (17)图2-13动态DNS管理域名（2） (17)图2-14动态DNS管理域名（3） (18)图2-15防火墙证书管理-导入请求 (19)图2-16防火墙证书管理-生成证书 (19)图2-17自定义CA提示 (20)图2-18生成自定义CA (20)图2-19网络拓扑图 (21)图2-20 B1远程VPN (22)图2-21 B1网关隧道配置 (22)图2-22 A远程VPN (22)图2-23 A 网关隧道配置 (22)图2-24 B2 远程VPN (22)图2-25 B2网关隧道配置 (23)图2-26 B1 的GRE隧道 (23)图2-27 A的GRE隧道 (23)图2-28 B2的GRE隧道 (23)图2-29 B1的策略路由配置 (23)图2-30 A的策略路由配置 (24)图2-31 B2策略路由配置 (24)图3-1用户网络访问图1 (25)图3-2用户网络访问图2 (26)图3-3用户网络访问图3 (26)图3-4用户认证服务器 (28)图3-5安全规则 (28)图3-6在线用户 (29)图3-7 客户端主界面 (30)图3-8配置客户端 (30)图3-9处于认证过程中的界面 (31)图3-11修改密码界面 (32)图3-12输入新密码 (32)图3-13成功修改密码 (32)图3-14获取剩余时间流量界面 (33)图3-15成功获取剩余时间和流量 (33)图3-16例子网络拓扑图 (34)图3-17 禁止访问OA服务器时的网络拓扑图 (34)图3-18 禁止访问Internet时的网络拓扑图 (35)图3-19 Smart安全规则配置示意图 (36)图3-20 RADIUS角色示意图 (36)图3-21 防火墙RADIUS服务器配置范例 (40)图4-1 深度过滤基本配置 (44)图4-2 定义资源组 (44)图4-3 深度过滤策略配置1 (46)图4-4 深度过滤策略配置2 (47)图4-5 安全规则选择深度过滤策略 (48)图4-6 蠕虫过滤策略配置 (49)图4-7 安全规则中选择深度过滤策略 (49)图5-1三网口纯路由模式 (51)图5-2三网口混合模式 (53)图5-3三网口透明模式 (55)图5-4三网口透明模式上的路由 (57)图5-5三网口多VLAN环境 (59)图5-6多网口多DMZ (62)图5-7多网口多内网区段 (64)图5-8 ADSL连接 (67)图5-9多出口默认路由负载均衡配置图 (68)图5-10 DHCP的应用 (69)图5-11多外网出口 (71)图5-12端口映射应用 (73)图5-13连接企业分支的局域网-局域网VPN应用 (75)图5-14远程访问VPN客户端应用 (78)图5-15 PPTP/L2TP远程访问 (80)图6-1登录到防火墙管理界面 (82)图6-2不同网络设备之间的配置关系 (85)图6-3 OSI七层参考模型 (87)图6-4一个连到Internet的网络 (89)图6-5 UDP头 (92)图6-6握手 (93)图6-7IP包头 (93)图6-8TCP/IP协议栈 (94)图6-9封装 (95)图6-10子网掩码 (96)图6-12通过网关路由 (99)图6-13包头与包路由选择 (102)图6-14端口 (103)图6-15包过滤防火墙 (104)图6-16包如何过滤 (105)第1章前言1.1 导言《功能使用手册》是网御防火墙Smart V管理员手册中的一本。

联想网御防火墙PowerVWeb界面操作手册网络配置

允许TRACEROUTE
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备，这两个物理设备同一时间只有一个处于启用状态，如果处于启用状态的设备失效，则另一个设备启用。冗余设备可以工作在全冗余模式下，在全冗余模式下，加入冗余设备的两个物理设备的IP地址，掩码，MAC地址（如果冗余设备设置了MAC地址）都将使用冗余设备的IP地址，掩码和MAC地址。如果不是工作在全冗余模式，这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式，也就是说该设备上绑定有IP地址，可以与其它设备进行数据包的路由转发。其中第一个物理设备（fe1或某些型号是ge1）是默认的可管理设备。它的默认IP地址是10.1.5.254，子网掩码为255.255.255.0，这个地址允许管理，PING和TRACEROUTE（默认管理主机的IP地址是10.1.5.200，请参考系统配置>>管理配置>>管理主机）。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时，切换到透明模式的物理设备会自动加入到桥接设备brg0中；如果把物理设备从透明模式切换到路由模式，系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式，有以下三种
1：自适应
2：全双工
3：半双工
链路速度
设备的链路速度，有以下三种
1：10
2：100
3：1000
MTU
设备的MTU（最大传输单位）。百兆网络设备可设置的范围是68到1504，千兆网络设备可设置的范围是64到16128。

联想网御强五防火墙PowerV-防火墙管理

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

网御运维安全网关 V3.0 运维人员使用手册说明书

2018适用范围：内部运维人员使用手册网御运维安全网关V3.0精细控制合规审计北京网御星云信息技术有限公司目录1概述 (1)1.1关于本手册 (1)2用户登录 (1)2.1WEB方式 (1)2.1.1WEB访问方式 (1)2.1.2相关资料下载 (2)2.2运维客户端 (2)2.3登录认证 (3)3环境准备 (5)3.1环境检测 (5)3.2安装JAVA控件 (7)3.3浏览器设置 (9)3.4配置本地工具 (11)3.5修改密码 (13)4运维说明 (14)4.1RDP/VNC访问 (14)4.2Telnet/SSH/Rlogin访问 (15)4.3FTP访问 (16)4.4数据库访问 (17)4.5批量登录主机 (18)4.6工单操作 (19)4.6.1工单申请 (19)4.6.2工单运维 (21)4.7最近访问资源 (22)4.8高级搜索 (23)4.9菜单模式 (23)4.9.1命令行方式 (23)4.9.2图形方式 (28)5FAQ (31)5.1登录提示应用程序被阻止 (31)5.2提示Java过时需要更新 (32)5.3调用应用发布工具失败 (33)5.4使用dbvis提示JAVA环境变量 (33)1概述1.1关于本手册网御运维安全网关V3.0是网御星云综合内控系列产品之一。

本手册详细介绍了网御运维安全网关V3.0系统进行运维操作过程的使用方法，用户可参考本手册，通过网御运维安全网关V3.0系统进行各种运维操作。

2用户登录运维用户可选择通过以下方式使用网御运维安全网关V3.0系统进行运维操作：（1）WEB 方式（依赖JAVA环境）；（2）运维客户端方式（不依赖JAVA环境）；（3）客户端工具直连模式（不依赖浏览器和JAVA环境，目前支持运维SSH、TELNET、RDP、VNC，使用方法参见本手册4.9章节）。

2.1WEB方式2.1.1WEB访问方式通过浏览器访问网御运维安全网关V3.0系统，如图2.1所示：（默认URL：https://网御运维安全网关V3.0系统的IP，如果web服务端口不是默认的443，登录URL地址需要加上web服务当前的端口号，例如：https://172.16.67.201:10443）。

lenovo网域防火墙配置说明

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用,推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。

3.2节。

如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。

1节.安全网关主要以两种方式接入网络:透明方式和路由方式。

透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1.2 准备开始接通电源,开启安全网关，安全网关正常启动后，会蜂鸣三声,未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机-〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5。

0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序。

插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁”。

切记：安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。

如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙，重启系统后再试一次，如仍无法解决，请联系技术支持人员。

联想网御防火墙PowerV Web界面操作手册_1导言

联想网御防火墙PowerV Web界面操作手册声明♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，联想（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，联想（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经联想（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想（北京）有限公司中国北京海淀区上地信息产业基地创业路6号目录第1章前言................................................................................................................................. 1-51.1 导言................................................................................................................................ 1-51.2 本书适用对象................................................................................................................ 1-51.3 手册章节组织................................................................................................................ 1-51.4 相关参考手册................................................................................................................ 1-5第1章前言1.1 导言《Web界面操作手册》是网御防火墙PowerV管理员手册中的一本。

联想网御POWER_V_UTM防火墙功能使用图文手册

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。

联想网御系列防火墙日常故障处理方法

日常故障处理
问题：问题：
帐号密码问题
处理: 处理:
密码被锁，要恢复使用该帐号只能重启,若密码忘了，密码被锁，要恢复使用该帐号只能重启,若密码忘了，可以使用 admin/admin123帐号进行登录作临时配置修改帐号进行登录作临时配置修改。 admin/admin123帐号进行登录作临时配置修改。若要修改忘记的密码只能联系客户中心。系客户中心。
日常故障处理
问题：问题：
CPU使用率过高 CPU使用率过高
处理: 处理:
NAT规则中一定不能添加any到any的nat规则， NAT规则中一定不能添加any到any的nat规则，请查明网络中的内网地规则中一定不能添加any 规则址到底是哪个网段，然后再根据这些网段为源地址添加nat规则。Any到 nat规则址到底是哪个网段，然后再根据这些网段为源地址添加nat规则。Any到any 的nat规则会将进入防火墙的报文也进行地址转化，会对ip映射、端口映射、 nat规则会将进入防火墙的报文也进行地址转化，会对ip映射、端口映射、规则会将进入防火墙的报文也进行地址转化 ip映射 vpn产生影响即便在端口映射和ip映射中选择了源地址不转换，产生影响。 ip映射中选择了源地址不转换 vpn产生影响。即便在端口映射和ip映射中选择了源地址不转换，但是如果添加了any any的nat规则进入防火墙的报文的源地址还是会被转换。 any到规则，添加了any到any的nat规则，进入防火墙的报文的源地址还是会被转换。同时该规则还会将进入vpn隧道的报文进行地址转换，这样做的结果是vpn vpn隧道的报文进行地址转换 vpn隧道时该规则还会将进入vpn隧道的报文进行地址转换，这样做的结果是vpn隧道可以建立起来当时隧道内通讯不通。可以建立起来当时隧道内通讯不通。

联想网御防火墙配置手册之欧阳美创编

联想网御防火墙配置手册（3213）1、
2、根据防火墙接口数量及业务系统需求规划防火墙各接口用
途、IP地址信息、及各接口的策略等。

3、防火墙设备安装，连接各种线缆。

4、安装防火墙管理密钥驱动。

5、插入管理密钥，运行防火墙管理认证程序。

默认管理IP
地址10.1.5.254 端口9999。

6、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地
址：https://10.1.5.254:8888默认用户名：administrator密码：administrator。

7、设置各物理接口IP地址、工作模式等信息。

8、设置别名设备，绑定外网地址到外网的物理接口上，以备
设置端口或IP映射做准备。

9、设置管理主机，提高系统安全性，只有设置的管理主机范
围才有访问防火墙的权限。

10、按系统规划需求，定义所需地址列表及服务器地址等信
息，以备后期定义策略时使用。

11、根据系统规划需求，设置默认路由。

12、配置NAT规则。

13、配置IP或端口映射。

IP映射会对此映射IP的所有端口开
放，端口映射只开放相应映射的端口。

14、配置包过滤规则。

15、配置其它安全选项。

防火墙运维指南

防火墙系统日常运维指南V1.00防火墙系统日常运维指南一、每日例行维护1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量是否正常。

如果会话连接总数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情况下，重启防火墙设备。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时1电话联系厂商工程师。

按照要求，添加新增的防护对象。

2）安全管理员职责安全管理员在每日上班后定时（每日至少二次，9点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；如果出现高级别告警日志，立即按以下步骤进行处理：◆设备本身造成中高级别告警：高级别告警主要为设备本身的硬件故障告警!处理方式如下：立即通知厂商工程师到达现场处理。

处理完毕后，形成报告，并发送主管领导。

◆网络故障造成的中高级别告警：网络负载过大!（ARP攻击，蠕虫等）处理方式如下：分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的源地址。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管室主任、主管副部长）。

（下同）◆网络攻击行为造成的中高级别告警：如IP扫描，端口扫描等防火墙一般会自动阻断该连接，并同时生成告警日志。