联想网御强五防火墙PowerV与Smart20建立隧道

22.1 网络需求网御防火墙高可用性有多种配置环境，此处仅以常用的环境做案例展示。

用户环境透明或者路由，防火墙主备模式，只有一台工作，另一台热备。

用户环境透明，且需要两台防火墙同时工作，即主主模式，防火墙可以用会话保护22.2 网络拓扑双机热备防火墙工作透明，用户环境透明全交叉。

初次配置主墙的心跳IP（1.1.1.1）备墙的心跳IP（1.1.1.2）22.3 配置步骤（1）配置防火墙透明桥模式（2）将定义好的桥接口绑定在桥中（3）防火墙安全选项设置（4）配置防火墙安全策略（5）主墙配置HA（配置HA接口，设置双机热备）（6）备墙配置HA（配置HA接口，设置双机热备）（7）HA状态查看22.4 配置流程（1）配置防火墙透明桥模式进入【网络管理】-【网络接口】-【物理设备】，设置相应接口为透明模式（2）将定义好的桥接口绑定在桥中进入【网络管理】-【网络接口】-【桥设备】（3）防火墙安全选项设置进入【防火墙】-【安全选项】勾选“包过滤802.1Q（VLAN）承载的IP、IPV6、ARP报文”（4）配置防火墙安全策略进入【防火墙】-【策略】-【安全策略】，添加符合条件的安全规则。

（5）主墙配置HA（配置HA接口，设置双机热备）进入【网络管理】-【高可用性】-【HA网口】启用会话同步目的是同步会话。

（6）备墙配置HA（配置HA接口，设置双机热备）（7）HA状态查看进入【网络管理】-【高可用性】-【HA状态】节点优先级为，1，2 状态正常，1为主，2为备，如果为0，说明故障。

注意事项：1.配置主墙除了HA之外的其余配置。

2.配置主墙HA。

3.配置备墙HA，且备墙仅配置HA，完成配置后，保存配置关机。

4.连接主墙与备墙之间的心跳线。

5.连接主墙及备墙上的业务线。

6.启动备墙。

联想网御强五(PowerV)系列防火墙网御强五系列防火墙是网御产品中的重要一员，它是专门为企业级用户打造的高可用的安全产品。

它利用精心设计的网御防火墙操作系统，基于IA架构，充分发挥了硬件的高效数据交换能力和系统并行处理能力，实现了高性能与高安全性的完美结合。

◆产品图片：◆产品特点：1、强适用性网络部署灵活，适应多种复杂网络环境和接入模式。

支持各种应用代理及多种基于动态协议的复杂应用。

提供灵活多样的VPN客户端接入方式。

2、强安全性采用增强型抗攻击技术，可防范各种常见类型的网络攻击。

3、强可靠性拥有国内唯一的防火墙HA集群技术，可实现四个防火墙集群的主动负载均衡。

4、强扩展性软件设计采用安全功能模块化和核心模块核外化技术，模块升级简便，充分保障用户的投资利益。

5、强管理性支持多种管理方式，提供完善的日志管理和审计功能，有效降低管理成本注：强五系列产品“并发连接数”可根据用户需求定制升级,具体型号的参数未列做说明！◆典型应用：典型应用一：高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，下图为联想网御防火墙Power V在骨干网络中应用的例子。

正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。

当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。

切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。

同时，防火墙之间的其中一条链路用于实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到有任何变化。

防火墙之间的另外一条链路用于数据通讯，增加网络链路的冗余，增强可靠性。

典型应用二：骨干网内网分隔环境据赛迪(CCID)统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

第2章如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍，以及开机登录配置管理界面的方法。

这些有助于管理员完成防火墙软硬件的快速安装和启用。

如果您想尽快配置使用联想网御防火墙，可跳过概述部分，直接阅读2.5章（第12页）。

2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高，以防火墙为代表的网络安全设备已经成为不可或缺的设备。

网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。

可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。

2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品，该产品的特点是高安全性，高可用性和高性能的“三高”“管理者的”防火墙，是国内一流的防火墙。

●高安全●高可用性●高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求，采用模块化设计，包括基本功能模块、可选功能模块（VPN模块需要许可证才能使用）。

主要具有以下功能：●状态检测和动态过滤采取主动过滤技术，在链路层截取并分析数据包以提高处理性能，对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤，还可以结合定义好的策略，动态生成规则，这样既保证了安全，又满足应用服务动态端口变化的要求。

可支持多个动态应用，包括ftp、h323、pptp、rtsp、tns等。

●双向NAT地址转换在全透明模式下提供了双向地址转换（NAT）功能，能够有效地屏蔽整个子网的内部结构，使得黑客无从发现子网存在的缺陷，还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。

支持静态NA T、动态NAT及IP映射（支持负载均衡功能）、端口映射。

●应用层透明代理支持透明代理功能，提供对HTTP、FTP（可限制GET、PUT命令）、TELNET、SMTP（邮件过滤）、POP3等标准应用服务的透明代理，同时提供在用户自定义服务下的透明代理，支持网络接口限定。

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设，甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略，包括包过滤策略、抗攻击策略、IP/MAC检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示：图5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止，用户添加的包过滤规则应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测：选中为启用，不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态，除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测，是为了防止ACK扫描攻击。

因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创建相应的状态，使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性，设置连接建立的时间时，就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下，防火墙可能无法收到所有三次握手的数据包，此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置：图5-2 安全选项高级设置规则配置立即生效：启用后为规则优先（缺省是状态优先）。

如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规则相反的规则，则此时数据包仍能够根据建立的状态表通过防火墙；如果启用，则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设，甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略，包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示：图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止，用户添加的包过滤规则应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测：选中为启用，不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态，除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测，是为了防止ACK扫描攻击。

因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创建相应的状态，使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性，设置连接建立的时间时，就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下，防火墙可能无法收到所有三次握手的数据包，此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置：图 5-2 安全选项高级设置规则配置立即生效：启用后为规则优先（缺省是状态优先）。

如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规则相反的规则，则此时数据包仍能够根据建立的状态表通过防火墙；如果启用，则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

透明模式设置一、设置环境 . (1)二、设置要求 . (1)三、设置步骤 . (2)1. 准备工作,管理主机 IP 设为:10.1.5.200直接连防火墙 Fe 1口 . (2)2. 通过 Fe 1口管理防火墙,将 Fe 2口、 Fe 3口设为透明模式 (2)1 将 Fe 2口口设为透明模式并启用 . (3)2 将 Fe 3口口设为透明模式并启用 . (5)3. 将 Fe 2口、 Fe 3口绑进桥接设备并设定 IP 地址 (7)4. 在桥接设备的同一网段设置管理主机IP (9)5. 通过 Fe 2口管理防火墙,将 Fe 1口改为透明模式 (10)1 直接接在 Fe 2口的计算机的 IP 设置为管理主机 IP :211.100.11.100 (10)2 通过 Fe 1口管理防火墙 . (10)3 将 Fe 1口改为透明模式 . .......................................................................................11 四、测试 . (13)1 计算机接 Fe 2口,测试连接 . (13)2 计算机接 Fe1 口,测试连接 . (13)3 计算机接 Fe 3口,测试连接 . (14)一、设置环境防火墙在出厂配置的情况下,也就是, Fe 1口工作在路由模式下,可以用于管理, IP 为:10.1.5.254,同一网段的管理主机 IP 为:10.1.5.200二、设置要求要求将防火墙的网口全部设为透明模式三、设置步骤1. 准备工作,管理主机 IP 设为:10.1.5.200直接连防火墙 Fe 1口2. 通过 Fe 1口管理防火墙,将 Fe 2口、 Fe 3口设为透明模式1 将 Fe 2口口设为透明模式并启用2 将 Fe 3口口设为透明模式并启用3. 将 Fe 2口、 Fe 3口绑进桥接设备并设定 IP 地址4. 在桥接设备的同一网段设置管理主机IP至此注意要保存设置5. 通过 Fe 2口管理防火墙,将 Fe 1口改为透明模式1直接接在 Fe 2口的计算机的 IP 设置为管理主机 IP :211.100.11.100 2通过 Fe 1口管理防火墙3 将 Fe 1 口改为透明模式查看 Fe 1 口已经自动添加到了绑定设备里注意保存设置至此 Fe 1 口、Fe 2 口、Fe 3 口已经全部工作在透明模式下了。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用,推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。

3.2节。

如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。

1节.安全网关主要以两种方式接入网络:透明方式和路由方式。

透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1.2 准备开始接通电源,开启安全网关，安全网关正常启动后，会蜂鸣三声,未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机-〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5。

0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序。

插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁”。

切记：安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。

如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙，重启系统后再试一次，如仍无法解决，请联系技术支持人员。

Power V 防火墙 OSPF 配置实例 (3.4.3.8
第 1页
第 2页
1.案例背景
Power V防火墙具有 OSPF 路由功能,并可以通过添加多个区域的方式与其他网络设备进行互联互通。

2.案例拓扑
3.配置步骤
3.1 FW1配置
1、网络接口配置,配置 fe3接口地址为 192.168.29.1,配置 fe4接口地址为10.0.2.246
2、策略配置,配置允许内网访问外网的包过滤规则。

3、 OSPF 路由配置
4.验证
以上操作之后就可以从防火墙上动态学习到路由器那边的路由, 在 OSPF 路由监控里可以看到学习到的路由。

第 3页
5.注意事项
在启动 OSPF 的时,如需修改网络配置,则须先停止 OSPF 功能。

防火墙如果有 4个以上的网口,则只有前 4个网口可以做 OSPF 接口。

防火墙做 HA 配置,主从墙切换后,从墙学习不到 OSPF 路由,要重新启动下OSPF 功能。

启动 OSPF ,一定不可以开启多播路由。

第 4页。

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。

UTM和Smart 20建立网关--网关隧道一、拓扑结构 (2)二、UTM上的配置 (2)1.配置内、外网口地址 (2)2.设置静态路由，即默认网关 (2)3.建立IPSEC隧道 (3)阶段1 (3)阶段2 (4)4.添加防火墙规则 (5)5.开通隧道 (6)6.隧道建立成功后的状态 (6)三、Smart 20上的配置 (7)1．配置内、外网口地址即网关 (7)2．建立IPSEC隧道 (7)添加隧道 (7)启用隧道 (9)3．隧道建立成功后状态 (10)四、测试 (10)1．UTM内网计算机测试ping Smart 20内网计算机 (10)2．2．Smart 20内网计算机测试ping UTM内网计算机 (11)一、 拓扑结构PC1(10.1.5.200)----(10.1.5.254LAN1)Smart20(WAN192.168.100.1)----(192.168.100.99 WAN1)UTM (INTERNAL1 192.168.1.99)----(192.168.1.100)PC2(192.168.1.100)PC2二、 UTM 上的配置 1. 配置内、外网口地址2. 设置静态路由，即默认网关3. 建立IPSEC隧道阶段1阶段24. 添加防火墙规则5. 开通隧道6. 隧道建立成功后的状态三、Smart 20上的配置1．配置内、外网口地址即网关2．建立IPSEC隧道添加隧道启用隧道3．隧道建立成功后状态四、测试1．U TM内网计算机测试ping Smart 20内网计算机2．2．Smart 20内网计算机测试ping UTM内网计算机。