联想网御Power v防火墙安装调试培训

29
5.防火墙高级路由功能
5.2 防火墙高级路由典型应用环境
•内网用户地址：10.1.5.0/24 内网服务器地址：192.168.1.0/24 •防火墙出口1地址：211.103.135.213/24 •防火墙出口2地址：10.10.10.213/24 •要求：通过添加防火墙高级路由策略，不同地址的内网用户通过调用不同的高 级路由或者ISP路由实现不同出口的访问
9
Power V防火墙telnet管理方式功能介绍
telnet管理功能概述 详细配置说明 结果查看与验证
10
2.防火墙telnet管理方式
2.1 防火墙telnet管理方式概述
防火墙telnet管理是指通过用户可以通过telnet方 式进行防火墙后台的管理，无需借助超级终端、CRT 等软件即可进行后台操作 防火墙telnet管理做为新增的防火墙管理方式，更 大程度上简化了操作要求
3
Power V防火墙快速配置功能介绍
快速配置功能概述 详细配置说明 结果查看与验证
4
1.防火墙快速配置
1.1 防火墙快速配置功能概述
防火墙快速配置是指通过预设配置向导使用户在最 短时间内用最快捷的方式完成防火墙管理、内外网 接口、上网方式、基本路由、NAT和简单访问控制策 略的配置
5
1.防火墙快速配置
8.3 防火墙虚拟网关典型应用环境
•将单台防火墙划分多个虚拟网关，每个虚拟网关有 独立的安全规则，资源等，内网属于不同虚拟网关 的用户通过各自的虚拟网关转发数据通信
46
8.防火墙虚拟网关功能
8.4 防火墙虚拟网关详细配置说明
第一步：添加虚拟网关
添加虚拟网关，为其分配独享、共享接口；每个虚拟网关只 能有一个共享接口，可以有多个独享接口。
19
3.防火墙ISM联动
3.4 防火墙ISM联动详细配置说明
第三步：ISM联动白名单地址管理
通过刷新按钮可以实时显示最新通过ISM认证的IP地址用户；通 过清除IP地址白名单按钮会使当前白名单IP地址失效并被清除
20
3.防火墙ISM联动
3.5 防火墙ISM联动结果查看与验证
•在ISM安全管理系统中认证通过的IP主机能正常通 过防火墙访问外网，并能在防火墙ISM联动白名单地 址中查看到 •在ISM安全管理系统中未进行认证的IP主机会通过 防火墙重定向到认证服务器进行ISM客户端下载并进 行认证 •防火墙上清除通过认证的IP白名单地址，已通过认 证的IP主机访问中断，需要再次进行认证
38
Power V防火墙抗检测内网IP冲突功能介绍
检测内网IP冲突功能概述 详细配置说明 结果查看与验证
39
7.防火墙检测内网IP冲突功能
7.1 防火墙检测内网冲突功能概述
•防火墙检测内网冲突功能是指防火墙能检测到局域 网内的IP地址冲突，并记录冲突的IP和MAC，通过防 火墙日志可查询，为管理员提供提供地址冲突主机 信息
15
3.防火墙ISM联动
3.2 防火墙ISM联动实现方式
• ISM联动模块通过检查报文源IP地址的方式实现， 防火墙保存可信主机列表信息，将报文源IP地址 与可信主机列表匹配，匹配成功则通过联动检查， 否则直接丢弃报文。 • 可信主机列表可以由内网安全管理系统的通告消 息添加，也可以由用户静态配置的方式添加。内 网安全管理系统（ISM）主动通告可信主机信息 给防火墙，防火墙接收消息并解析，将可信主机 的配置添加到可信主机列表中保存
16
3.防火墙ISM联动
3.3 防火墙ISM联动典型应用环境
1. 客户内网地址：192.168.0.0/16 2. 防火墙出口地址：211.103.135.213/24 3. ISM管理服务器地址：172.16.1.200/24 要求：内网的用户通过ISM认证的信任主机才能够 访问外网
17
3.防火墙ISM联动
40
7.防火墙检测内网IP冲突功能
7.2 防火墙检测内网IP冲突功能概述
开启防火墙检测内网IP地址冲突功能
41
7.防火墙检测内网IP冲突功能
7.3 防火墙检测内网IP冲突结果查看与验证
•当内网主机用户存在IP地址冲突时，防火墙会检测 到IP地址冲突的主机IP/MAC信息，并记录日志，方 便管理员查询
44
8.防火墙虚拟网关功能
8.2 防火墙虚拟网关实现方式
•防火墙通过给不同虚拟网关划分独享、共享接口的 方式，使得每个虚拟网关都拥有自己独立的接口， 相信的策略，资源 •属于不同虚拟网关的用户都通过各自的安全规则， NAT规则等进行通信，互相之间独立。使得管理更加 方便，安全度更高
45
8.防火墙虚拟网关功能
32
5.防火墙高级路由功能
5.3 防火墙高级路由详细配置说明
第三步：添加高级路由策略
添加高级路由策略，为不同源目地址用户指定路由条目，选择对ISP 路由、路由表的调用
33
5.防火墙高级路由功能
4.5 防火墙高级路由结果查看与验证
•通过抓包显示内网不同用户通过匹配定义的高级路 由策略通过指定转发路径通信 •后台、界面查看所添加的高级路由策略均存在且生 效
1.2 防火墙快速配置详细配置说明
第一步：添加防火墙管理主机
第二步：指定防火墙管理方式
添加指定地址为防火墙管理主机地址
选择防火墙的管理方式，包过Web管理、串 口命令行SSH、拨号接入、TELNET
6
1.防火墙快速配置
1.2 防火墙快速配置详细配置说明
第三步：配置防火墙内网IP
指定防火墙内网接口，并配置IP地址
30
5.防火墙高级路由功能
5.3 防火墙高级路由详细配置说明
第一步：添加ISP地址、ISP路由
添加ISP地址到相应ISP，添加ISP路由，ISP地址支持导入、导出、删 除、自定义等操作
31
5.防火墙高级路由功能
5.3 防火墙高级路由详细配置说明
第二步：添加高级路由表、高级路由
添加高级路由表、高级路由，添加的高级路由表条目用来在高级路由 策略中调用
36
6.防火墙抗ARP攻击功能
6.2 防火墙抗ARP攻击功能概述
开启防火墙抗ARP攻击功能
37
6.防火墙抗ARP攻击功能
6.3 防火墙抗ARP攻击结果查看与验证
•当存在内网ARP攻击主机发送ARP欺骗包时，通过 抓包验证发现防火墙会针对欺骗报文发送免费ARP 报文，以更正内网主机对于网关IP/MAC的绑定关系
3.4 防火墙ISM联动详细配置说明
第一步：在防火墙上启用ISM联动
启用内网安全管理系统，指定ISM端IP，TCP端口默认5000
导入与内网安全管理系统联动的密钥文件
18
3.防火墙ISM联动
3.4 防火墙ISM联动详细配置说明
第二步：指定ISM重定向服务器
重定向服务器用来提供重定向，当防火墙检测到未认证通过主 机时，会将其转到重定向服务器进行ISM客户端下载，一般默 认为ISM服务器充当重定向服务器
第四步：指定防火墙接入方式
选择防火墙外网接入方式，包过固定公网IP接入、 ADSL拨号接入两种，指定接入所用接口，地址等
7
1.防火墙快速配置
1.2 防火墙快速配置详细配置说明
第五步：设置防火墙网关地址
第六步：设置防火墙规则
设置防火墙默认网关，产生默认路由
设置防火墙规则，选择选项框确定则会自动 生成由内到外的NAT策略和相应内网网段向 外的允许访问策略
联想网御Power V防火墙安装调试文档
（软件版本：3.4.6.8）
2010年8月
1
目录
1. 2. 3. 4. 5. 6. 7. 8. 快速配置 TELNET管理 ISM联动 基本路由配置 高级路由配置 抗ARP攻击 检测内网主机冲突 虚拟网关
2
目录
9. 抗CC攻击 10.服务器均衡 11.主动防御 12.VPN隧道备份 13.SSL VPN 14.VRRP 15.漏洞扫描
34
Power V防火墙抗ARP攻击功能介绍
抗ARP攻击功能概述 详细配置说明 结果查看与验证
35
6.防火墙抗ARP攻击功能
6.1 防火墙抗ARP攻击功能概述
•防火墙抗ARP攻击功能是指当防火墙检测到内网主 机存在冒充网关进行ARP欺骗行为时，会进行主动防 护，保证内网其它主机不受欺骗，数据能正常转发 •防火墙通过发送免费ARP包，保证内网主机能学习 到正确的网关IP/MAC关系
13
Power V防火墙ISM联动功能介绍
ISM联动功能概述 ISM联动实现方式 典型应用环境 详细配置说明 查看和结果验证
14
3.防火墙ISM联动
3.1 防火墙ISM联动功能概述
•内网协同联动是指联想网御内网安全管理系（ISM） 和Power v防火墙之间的信息交互 •内网安全管理系统是部署在内网中用于实现安全和 准入控制的管理软件，Power v防火墙位于内网的出 口位置，内网安全管理系统将通过内网安全认证的 主机信息通告给防火墙，防火墙检查并允许受信任 主机发送的流量通过，不受信任的主机所发送的流 量将被阻断，通过联动可以进一步提升IT人员对网 络的掌控能力，从而达到增强内网安全管理的目的
24
4.防火墙基本路由功能
4.3 防火墙基本路由详细配置说明
第一步：静态路由的添加
25
4.防火墙基本路由功能
4.4 防火墙基本路由详细配置说明
第二步：默认路由的添加
添加默认路由，即默认网关，对于默认路由支持多跳探测；启用路由均 衡可以实现多条默认路由的负载均衡；
26
来自百度文库
4.防火墙基本路由功能
4.5 防火墙基本路由结果查看与验证
23
4.防火墙基本路由功能
4.2 防火墙基本路由典型应用环境
1. 客户内网地址：10.1.5.0/24 2. 防火墙出口地址1：211.103.135.213/24 3. 防火墙出口地址2：20.20.20.213/24 要求：内网的用户能通过防火墙的静态路由、默认路 由正常访问外网 电信用户对内部服务器的访问仍然从电信回 网通用户对内部服务器的访问仍然从网通回
8
1.防火墙快速配置
1.3 防火墙快速配置结果查看与验证
查看防火墙管理主机、管理方式页面，确认已经存 在所添加主机和指定的管理方式 查看防火墙网络接口，存在说添加的内外网接口IP 地址 查看防火墙路由，在默认路由处存在所添加的默认 网关 查看防火墙，安全规则中存在指定内网网段的包过 滤规则和由 内向外的NAT规则 通过上网测试，内网主机可以通过防火墙正常进行 外网访问
21
Power V防火墙基本路由功能介绍
基本路由功能概述
典型应用环境
详细配置说明
查看和结果验证
22
4.防火墙基本路由功能
4.1 防火墙基本路由功能概述
•防火墙基本路由功能包括静态路由、默认路由。是 指通过防火墙基本路由功能能实现防火墙与外网的 连接，保证内网用户正常通信 •静态路由以目的地址1.X.X.X，下一跳，metric,出 接口形式实现 •默认路由即默认网关，缺省以0.0.0.0，下一跳， metric，出接口 •默认路由负载均衡支持多出口情况下，各出口路由 间的负载均衡，同时提供基于状态回包功能，即多 出口情况下，从FE1口进来的访问，回包时防火墙会 进行检测保证数据访问原路返回
•内网用户能通过防火墙路由正常对外进行访问 •基于状态回包功能开启情况下能保证数据访问原路 返回 •后台、界面查看所添加的路由均存在且显示生效
27
Power V防火墙高级路由功能介绍
高级路由功能概述
典型应用环境
详细配置说明
查看和结果验证
28
5.防火墙高级路由功能
5.1 防火墙高级路由功能概述
•防火墙高级路由功能是指高级路由策略，防火墙通 过细化到指定源目IP，流入网口，服务的路由来更 好的进行数据转发，针对不同的内网用户指定不同 的路由策略 •防火墙高级路由策略中同时支持对高级路由和ISP 路由的调用
42
Power V防火墙虚拟网关功能介绍
虚拟网关功能概述 虚拟网关实现方式 典型应用环境 详细配置说明
43
8.防火墙虚拟网关功能
8.1 防火墙虚拟网关功能概述
•虚拟网关是指在现在系统基础上开发的一个新功能 点，它不改变现有防火墙的功能。对于一个单独的 防火墙可以独立使用，也可以从逻辑上划分为多个 虚拟的防火墙来使用，每一个防火墙看起来都有自 己独立的接口，策略，资源，日志。看起来就象是 一台真正的防火墙一样。
11
1.防火墙telnet管理方式
2.2 防火墙telnet管理方式详细配置说明
在防火墙管理方式中开启telnet管理方式
管理配置——管理方式中开启telnet管理方式
12
1.防火墙telnet管理方式
2.3 防火墙telnet管理方式结果查看与验证
能够通过telnet方式登录防火墙后台，对防火墙 进行管理操作