联想网御防火墙配置手册

联想网御防火墙IP、端口映射配置一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。

(出厂默认为12345678)2.1 出现认证程序界面后点击连接。

待出现认证通过的提示后，指示灯会变为绿色。

3.1 在IE浏览器地址栏中输入3.2会出现如下图的登录界面。

在默认没有设置过的情况后口令与用户名相同都是aministrator.二、基本配置1(网络配置)2.1 先在菜单中选中“网络配置-网络设备”2.2 按照本文档开始时的注意事项中的拓扑图，划fe2口为外网接口。

(10.1.5.254已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。

2.3 在上图中，主要需要配置的是网络接口的IP地址。

在IP地址输入1.1.1.1、在掩码输入对应的掩码。

这里输入255.255.255.0。

跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。

网络设备的界面中fe2的设备会显示已经启用。

三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。

3.2 名称可以随意。

请注意，必须使用字母开头，并且暂时不支持中文。

在标识为1的行中输入服务器的内网IP即可。

备注是对服务器的说明，可以随意。

3.3 对需要对外发布的服务做定义。

如果是使用常见服务比如HTTP、FTP等服务，防火墙有预定义服务，就不需再做定义。

如果是不经常使用到的服务，就需要添加“基本服务”3.4 同样，服务的名称不能使用中文，并且不能使用数字开头。

在设置中需要注意的是一般情况下，我们只控制目的端口。

举例端口为80时，则在“目的端口”一列的低和高都填入80。

在协议类型中主要是选择TCP或是UDP。

四、策略配置4.1(A) 端口应射规则(和IP映射规则二选一) 规则名及序号为系统自动生成，建议不要更改。

“公开地址”一栏选择在第一部份中配置给fe2口的外网IP1.1.1.1 。

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

联想网御防火墙Smart V 功能使用手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (III)图目录 (VII)第1章前言 (1)1.1导言 (1)1.2本书适用对象 (1)1.3本书适合的产品 (1)1.4手册章节组织 (1)1.5相关参考手册 (2)第2章VPN概念与配置方法 (3)2.1IPS EC VPN隧道 (3)2.2IKE密钥交换 (4)2.3VPN虚拟接口设备配置方法 (5)2.4局域网-局域网配置方法 (6)2.4.1 添加远程VPN (6)2.4.2 隧道配置方法 (6)2.5VPN客户端远程访问的配置方法 (7)2.6野蛮模式的应用 (8)2.7星形部署 (8)2.8VPN隧道与安全规则的关系 (8)2.9PPTP/L2TP远程访问VPN配置方法 (9)2.10动态域名配置方法 (12)2.11SSLVPN (13)2.11.1 SSLVPN的使用方法 (13)2.11.2 SSLVPN的配置 (14)2.11.3 SSLVPN支持的应用 (14)2.12常见问题（FAQ） (14)2.13如何注册的动态域名 (15)2.14网御VPN CA中心的使用方法 (18)2.14.1 证书管理 (18)2.14.2 使用第三方CA证书管理中心 (19)2.14.3 CA中心自身的管理 (20)2.15GRE隧道中继 (21)2.15.1 需求描述 (21)2.15.2 配置步骤 (21)2.15.3 总结 (24)第3章用户认证概念与配置方法 (25)3.1功能概述 (25)3.1.1 用户使用认证服务的过程 (25)3.1.2 用户认证模块的主要功能和参数 (26)3. 1. 2. 1 用户具有的功能： (27)3. 1. 2. 2 管理员具有的功能： (27)3. 1. 2. 3 用户认证模块的参数设置为： (27)3. 1. 2. 4 本地认证服务器的参数设置为： (28)3.1.3 使用防火墙用户认证服务的基本步骤 (28)3.2用户认证客户端软件使用指南 (29)3.2.1 概述 (29)3.2.2 客户端软件的安装 (29)3.2.3 基本使用方法 (30)3. 2. 3. 1 客户端主界面 (30)3. 2. 3. 2 配置系统 (30)3. 2. 3. 3 认证 (30)3. 2. 3. 4 修改密码 (31)3. 2. 3. 5 获取剩余时间流量 (32)3.3用户认证网闸功能 (33)3.3.1 功能概述 (33)3.3.2 思路分析 (35)3.3.3 SMART V实施方法 (35)3.4RADIUS服务器的配置和安装 (36)3.4.1 RADIUS概述 (36)3.4.2 RADIUS服务器的配置 (36)3. 4. 2. 1 安装mysql (37)3. 4. 2. 2 安装FreeRADIUS (37)3. 4. 2. 3 配置FreeRADIUS (37)3.5用户认证和深度过滤的结合使用 (40)第4章深度过滤概念与配置方法 (43)4.1基本概念 (43)4.2配置方法 (43)4.2.1 启用深度过滤和设置服务端口 (44)4.2.2 定义资源组 (44)4.2.3 定义深度过滤策略 (45)4.2.4 安全规则 (47)4.2.5 蠕虫过滤 (48)4.3注意事项 (50)第5章典型应用环境 (51)5.1三网口纯路由模式 (51)5.1.1 需求描述 (51)5.1.2 配置步骤 (52)5.2三网口混合模式 (53)5.2.1 需求描述 (53)5.2.2 配置步骤 (54)5.3三网口透明模式 (55)5.3.1 需求描述 (55)5.3.2 配置步骤 (55)5.4三网口透明模式上的路由 (57)5.4.1 需求描述 (57)5.4.2 配置步骤 (57)5.5三网口多VLAN环境 (59)5.5.1 需求描述 (59)5.5.2 配置步骤 (60)5.6多网口多DMZ (62)5.6.1 需求描述 (62)5.6.2 配置步骤 (63)5.7多网口多内网区段 (64)5.7.1 需求描述 (64)5.7.2 配置步骤 (65)5.8ADSL连接 (67)5.8.1 需求描述 (67)5.8.2 配置步骤 (67)5.9多默认路由负载均衡 (68)5.9.1 需求描述 (68)5.9.2 配置步骤 (68)5.10DHCP的应用 (69)5.10.1 需求描述 (69)5.10.2 配置步骤 (70)5.11多外网出口 (71)5.11.1 需求描述 (71)5.11.2 配置步骤 (72)5.12端口映射应用 (73)5.12.1 需求描述 (73)5.12.2 配置步骤 (73)5.13连接企业分支的局域网-局域网VPN应用 (75)5.13.1 需求描述 (75)5.13.2 配置步骤 (76)5.14远程访问VPN客户端应用 (78)5.14.1 需求描述 (78)5.14.2 配置步骤 (78)5.14.3 防火墙配置 (78)5.14.4 客户端配置 (79)5.15PPTP/L2TP远程访问 (80)5.15.1 需求描述 (80)5.15.2 配置步骤 (80)5.15.3 防火墙配置 (80)5.15.4 远程用户配置 (80)第6章FAQ与附录 (82)6.1防火墙常见问题解答 (82)6.1.1 如何登录到防火墙管理界面？ (82)6.1.2 配置防火墙SMART V的基本过程是怎样的？ (83)6.1.3 哪些应用可以和用户认证结合使用？ (83)6.1.4 “物理设备”，“别名设备”，“VLAN设备”，“桥接设备”，“VPN设备”，“拨号设备”的定义是怎样的，之间有什么区别与联系？ (84)6.1.5 为什么有些需要输入时间、地址、网络接口和服务的下拉框为空？ (85)6.1.6 资源定义>>地址>>地址池列表中定义的地址池资源是如何生效的？ (85)6.1.7 为什么选择了按网口探测网络上的MAC 地址会探测不到内容？ (85)6.1.8 为什么配置了策略配置>>安全规则>>端口映射规则，IP映射规则和NAT规则之后，还不能直接访问相应的服务？ (85)6.1.9 ADSL拨号失败怎么办？ (86)6.2附录：网络基本知识 (87)6.2.1 OSI参考模型概述 (87)6.2.2 网络 (88)6.2.3 协议 (90)6.2.4 IP地址 (95)6.2.5 路由 (99)6.2.6 端口 (100)6.2.7 包过滤 (103)6.2.8 防火墙 (106)6.3附录：常用端口列表 (107)6.4附录：IP协议号列表 (125)6.5附录：防火墙选配电缆说明 (128)6.6附录：术语解释（按英文名称字母顺序） (130)图目录图2-1局域网-局域网隧道 (3)图2-2远程访问VPN隧道 (4)图2-3 PPTP/L2TP VPN网络连接的协议选择 (10)图2-4 PPTP/L2TP VPN网络连接的加密属性配置 (11)图2-5 PPTP/L2TP VPN网络连接的认证属性配置 (12)图2-6动态DNS帐户设置 (12)图2-7动态IP接口的DNS设置 (13)图2-8动态DNS用户注册（1） (15)图2-9动态DNS用户注册（2） (16)图2-10动态DNS用户注册（3） (16)图2-11动态DNS用户注册（4） (17)图2-12动态DNS管理域名（1） (17)图2-13动态DNS管理域名（2） (17)图2-14动态DNS管理域名（3） (18)图2-15防火墙证书管理-导入请求 (19)图2-16防火墙证书管理-生成证书 (19)图2-17自定义CA提示 (20)图2-18生成自定义CA (20)图2-19网络拓扑图 (21)图2-20 B1远程VPN (22)图2-21 B1网关隧道配置 (22)图2-22 A远程VPN (22)图2-23 A 网关隧道配置 (22)图2-24 B2 远程VPN (22)图2-25 B2网关隧道配置 (23)图2-26 B1 的GRE隧道 (23)图2-27 A的GRE隧道 (23)图2-28 B2的GRE隧道 (23)图2-29 B1的策略路由配置 (23)图2-30 A的策略路由配置 (24)图2-31 B2策略路由配置 (24)图3-1用户网络访问图1 (25)图3-2用户网络访问图2 (26)图3-3用户网络访问图3 (26)图3-4用户认证服务器 (28)图3-5安全规则 (28)图3-6在线用户 (29)图3-7 客户端主界面 (30)图3-8配置客户端 (30)图3-9处于认证过程中的界面 (31)图3-11修改密码界面 (32)图3-12输入新密码 (32)图3-13成功修改密码 (32)图3-14获取剩余时间流量界面 (33)图3-15成功获取剩余时间和流量 (33)图3-16例子网络拓扑图 (34)图3-17 禁止访问OA服务器时的网络拓扑图 (34)图3-18 禁止访问Internet时的网络拓扑图 (35)图3-19 Smart安全规则配置示意图 (36)图3-20 RADIUS角色示意图 (36)图3-21 防火墙RADIUS服务器配置范例 (40)图4-1 深度过滤基本配置 (44)图4-2 定义资源组 (44)图4-3 深度过滤策略配置1 (46)图4-4 深度过滤策略配置2 (47)图4-5 安全规则选择深度过滤策略 (48)图4-6 蠕虫过滤策略配置 (49)图4-7 安全规则中选择深度过滤策略 (49)图5-1三网口纯路由模式 (51)图5-2三网口混合模式 (53)图5-3三网口透明模式 (55)图5-4三网口透明模式上的路由 (57)图5-5三网口多VLAN环境 (59)图5-6多网口多DMZ (62)图5-7多网口多内网区段 (64)图5-8 ADSL连接 (67)图5-9多出口默认路由负载均衡配置图 (68)图5-10 DHCP的应用 (69)图5-11多外网出口 (71)图5-12端口映射应用 (73)图5-13连接企业分支的局域网-局域网VPN应用 (75)图5-14远程访问VPN客户端应用 (78)图5-15 PPTP/L2TP远程访问 (80)图6-1登录到防火墙管理界面 (82)图6-2不同网络设备之间的配置关系 (85)图6-3 OSI七层参考模型 (87)图6-4一个连到Internet的网络 (89)图6-5 UDP头 (92)图6-6握手 (93)图6-7IP包头 (93)图6-8TCP/IP协议栈 (94)图6-9封装 (95)图6-10子网掩码 (96)图6-12通过网关路由 (99)图6-13包头与包路由选择 (102)图6-14端口 (103)图6-15包过滤防火墙 (104)图6-16包如何过滤 (105)第1章前言1.1 导言《功能使用手册》是网御防火墙Smart V管理员手册中的一本。

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设，甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略，包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示：图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止，用户添加的包过滤规则应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测：选中为启用，不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态，除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测，是为了防止ACK扫描攻击。

因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创建相应的状态，使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性，设置连接建立的时间时，就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下，防火墙可能无法收到所有三次握手的数据包，此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置：图 5-2 安全选项高级设置规则配置立即生效：启用后为规则优先（缺省是状态优先）。

如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规则相反的规则，则此时数据包仍能够根据建立的状态表通过防火墙；如果启用，则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

联想网域防火墙配置方法例：内网端口为2外网端口为3一、设备登陆（光盘驱动）FE1/GE口联想网域默认IP10.1.5.254电脑配IP 10.1.5.200 子网掩码255.255.255.0光盘加载密钥：hhhhhh登陆网页：https://10.1.5.254:8889/网页密钥：leadsec@7766二、网络配置接口地址配置：网络管理→网络接口内网：IP地址192.168.1.1掩码255.255.255.0后四项选项全打开外网：IP地址10.178.1.100掩码255.255.255.0后四项选项全打开三、添加默认路由1、网络管理→路由→基础路由配置→添加默认网关10.178.1.1网络接口fel32、防火墙→安全选项包过滤打开（做连通测试）3、资源定义→地址列表→添加配内网：名称内网IP地址192.168.1.1四、资源定义→服务器地址→添加（配服务器）名称：serverIP地址：192.168.1.2资源定义→服务器地址→添加（配PC）名称：PCIP地址：192.168.1.3五、网络接口→别名设备→添加选择绑定设备：公网端口选择别名（按顺序0-9）0IP地址：10.178.1.101最后两项全√六、防火墙→安全规则NAT规则<内网→外网>源地址：内网目的地址：ANY地址转换为：10.178.1.100七、IP映射<外网→内网>（服务器）源地址：ANY 公开地址：10.178.1.100内部server（PC）源地址：ANY 公开地址：10.178.1.101（官网IP映射到PC）内部PC八、包过滤规则内网→外网源地址：内网ANY外网→内网源地址：ANY serveice添加服务（ping,tcp7000,3389端口等）备注：公网需要访问哪些端口？资源定义→服务资源→预定义查询→Icmp添加ping选8→基本服务→添加3389，tcp7000等→服务组将定义的服务加群九、防火墙→安全选项→取消包过滤（做连通测试）。

联想网御防火墙配置手册（3213）
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。

2、防火墙设备安装，连接各种线缆。

3、安装防火墙管理密钥驱动。

4、插入管理密钥，运行防火墙管理认证程序。

默认管理IP地址
10.1.5.254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地址：
https://10.1.5.254:8888默认用户名：administrator密码：administrator。

6、设置各物理接口IP地址、工作模式等信息。

7、设置别名设备，绑定外网地址到外网的物理接口上，以备设置
端口或IP映射做准备。

8、设置管理主机，提高系统安全性，只有设置的管理主机范围才
有访问防火墙的权限。

9、按系统规划需求，定义所需地址列表及服务器地址等信息，以
备后期定义策略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则。

12、配置IP或端口映射。

IP映射会对此映射IP的所有端口开放，
端口映射只开放相应映射的端口。

13、配置包过滤规则。

14、配置其它安全选项。

15、。

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

联想网御防火墙PowerV Web界面操作手册声明♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，联想（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，联想（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经联想（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想（北京）有限公司中国北京海淀区上地信息产业基地创业路6号目录第1章前言................................................................................................................................. 1-51.1 导言................................................................................................................................ 1-51.2 本书适用对象................................................................................................................ 1-51.3 手册章节组织................................................................................................................ 1-51.4 相关参考手册................................................................................................................ 1-5第1章前言1.1 导言《Web界面操作手册》是网御防火墙PowerV管理员手册中的一本。

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。

联想网御防火墙配置实例配置说明：先安装USBkey的驱动程序，驱动程序在安装光盘随机软件包中，（IKEY DRIVER）。

然后在ADMINISTRATOR文件夹中打开IKEY客户端，用交叉线连接电脑和设备的FE1口。

然后将配置电脑的IP改成.200/24.然后点IKEY界面上，如果连接成功就会显示“连接成功”。

然后在IE浏览器中输入https：//.254：8888 用户名和密码都是administrator如上图进入配置界面，在左边栏“管理主机”进入右边的面板，可以看到可以提供配置防火墙电脑的IP，如果需要，可以自己更改。

该防火墙支持4种接入方式，我们一般采用第1，2种连接方式。

远程WEB管理需要使用USBKEY和证书认证。

进入左边栏“网络设备”，进入端口配置，具体端口配置如上图。

在防火墙出站口上绑定多个公网IP地作法就是在“别名设备”里添加多个IP。

在“静态路由”配置里，谨记要配置“静态路由”即默认网关在“安全选项”里勾选所有项进入“资源定义”，这里的设置是非常重要的。

对于需要进行策略配置的主机和网段都必须在这里做定义。

在“地址池”定一个外网口的IP。

在“服务器地址”定义几个服务器的地址在“服务组”中定义几个vlan网段策略，进行协议通讯限制，其中包括了vlan4 B级用户地策略，vlan3 用户的策略，服务器的策略。

在防火墙“NAT规则”中，配置内外网映射规则，具体规则属性，见下图。

VLAN 3到外网地址的映射，中间服务选项是策略组名称，具体策略见服务器协议策略定义。

以上几张图就是nat规则中设计地几条映射规则，具体映射方法，详见各图配置方式。

“包过滤规则”能够有效地控制网段ip的访问策略，类似于访问控制列表。

具体策略定义如下图只需要配置“源地址”“流入端口”“目的地址”在“端口映射规则”中将三个公网地址的远程控制接口打开“3389”，并将其映射到内网相对服务器的3389端口。

具体配置规则如下图的3389端口映射到主域控服务器的3389端口。

Power V防火墙OSPF 配置实例( 3.4.3.8 )1案例背景Power V 防火墙具有OSPF 路由功能，并可以通过添加多个区域的方式与其他网络设备 进行互联互通。

2 •案例拓扑3 •配置步骤FW1配置1、网络接口配置，配置 fe3接口地址为，配置 fe4接口地址为10.0.2.246諾任氏:■:irHL^/lERi W J £ £5< M5 S3 £550 工林/武聊吐■联■If^TIWl M.IT 氏带奩器書X•ft/£»3'392 】闘上日.HE9EL2SE .36MI1 51剖恭X *L 10.0 z M&<sa.rSi BEX 屮#站官息2宮磔丹.2禹2S?X w» ar{XX 1-.T7 聲由fl!式X険/X X *・IQ 】卩P5<骸阿0Xr2、策略配置，配置允许内网访问外网的包过滤规则。

加略配垃丫>:曲i 励M_ a maur~)Qff.rmNifig) b陶<r )3j a ❾~》51fl=WIJSFHMBIA*4r»iirm 1 pflfLfia 冲。

■ea ft** jv e o肯 r任昭L%- IAB.S9 tAllMl witL/ 4ft■j1.宦 l«.2V EV ftpnrtif[7 心■■■■frLK 偌•站.旳Lf (0 O &SWSM 曲刽E 皿际I_ ________ ___ ________ 「 _____________________ r ___________________ __i ■川 11 I |：』_叭臥 I u ■ ；l 不RF ： 2 wilBU i霹号MU SiAIIFKFHUV■嘔T> IWa<1awt]，曹IM 訊Dftn ftn.0 Mil*〕才心t3、OSPF 路由配置内内内内内fe410.02245/301 0.02246/30192.168.29.1/24 内内Area 0購羯覆HL加鑲渤EO P冷幻惟MS K«1t 1=E. LES. El O/ES5. SS. 2SS. IJ QO.O.D10 i 2 E临凶5 匪2® 25J OOO i\r AjjtllFWIf僅EE ifrtr ■ J?E LE4 刃rl I«3192 3E4i-£9. 1XrCCslm D.2 2ft M10 | 2 24fi noEic4 •验证以上操作之后就可以从防火墙上动态学习到路由器那边的路由，在OSPF路由监控里可以看到学习到的路由。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式：串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用，推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关，请详细阅读1.2节、1。

3。

2节.如果您希望使用Web方式远程管理安全网关，请详细阅读1.2节和1。

3.1节.安全网关主要以两种方式接入网络:透明方式和路由方式.透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1。

2 准备开始接通电源，开启安全网关，安全网关正常启动后，会蜂鸣三声，未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1。

3。

1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机—〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5.0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序.插入随机附带的驱动光盘，进入光盘ikey driver目录,双击运行INSTDRV程序,选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁"。

切记：安装驱动前不要插入USB电子钥匙。

3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了.如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框，直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙,重启系统后再试一次，如仍无法解决，请联系技术支持人员.4。