联想网御Power v防火墙安装调试培训

第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”，输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。

默认的防火墙名称是themis，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

1.1 配置需求使用电脑登陆设备WEB管理界面。

1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘找到ikey driver目录下INSTDRV.exe程序，双击安装电子钥匙驱动（此时不插电子钥匙），打开administrator目录下的ikeyc程序，提示用户输入PIN 码，默认的是“12345678”，将电子钥匙插到电脑上，输入防火墙IP 10.1.5.254，点击连接即可。

原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。

（4）在IE中输入“https://10.1.5.254:8888”即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.3.2电子证书登陆（1）电脑通过网线连接到设备默认管理口eth0口上。

（2）电脑地址配置成10.1.5.200/255.255.255.0。

（3）打开光盘，找到admin.p12文件，双击安装，密码“hhhhhh”。

（4）打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。

（5）在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面，默认用户名密码administrator/bane@7766。

1.4注意事项（1）建议使用IE8.0或以上版本浏览器。

（2）登陆时注意使用的是https协议。

（3）确保电脑当前的时间与北京时间一致。

（4）用户登录后，如果对 WEB 界面不进行操作的时间超过 5 分钟，系统将超时并回到登录页面，必须重新登录才能继续使用。

（5）首次登陆电脑地址必须是10.1.5.200/255.255.255.0。

1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0，通过配置设置可以将其他接口作为远程管理口。

联想网御安全网关Power V作业指导书江苏国瑞信安科技有限公司二零一一年七月目录第1章如何开始 (1)1.1 登录管理界面 (1)1.1.1 登录方法 (1)1.1.2 管理认证 (2)1.1.3 登录过程 (3)1.1.4 网御安全网关Power V的一般配置过程 (4)1.1.5 退出登录 (4)第2章系统配置 (5)2.1 日期时间 (5)2.2 系统参数 (6)2.3 系统更新 (6)2.3.1 模块升级 (6)2.3.2 导入导出 (7)2.4 管理配置 (9)2.4.1 管理主机 (9)2.4.2 管理员账号 (10)2.4.3 管理证书 (11)2.5 报告设置 (12)2.5.1 日志服务器 (12)2.5.2 报警邮箱设置 (12)第3章策略配置 (14)3.1 安全选项 (14)3.1.1 包过滤策略 (14)3.1.2 IP/MAC检查 (15)3.1.3 允许所有非IP协议 (15)3.2 安全规则 (16)3.2.1 包过滤规则 (17)3.2.2 NA T规则 (18)3.2.3 地址列表、服务列表 (19)3.3 地址绑定 (20)3.4 带宽管理 (23)3.5 黑名单 (24)3.6 连接管理 (25)3.6.1 基本参数 (25)3.6.2 连接规则 (25)3.6.3 连接状态 (27)第4章网络配置 (29)4.1.1 物理设备 (29)4.1.2 VLAN设备 (30)4.1.3 桥接设备 (31)第5章绿色上网 (33)5.1 URL过滤策略 (33)5.2 绿色上网规则 (35)第6章系统监控 (35)6.1 网络设备 (35)6.2 HA状态 (37)6.3 资源状态 (38)6.4 日志信息 (39)6.4.1 日志查看 (39)6.4.2 包过滤日志报表 (40)6.4.3 P2P报表 (41)6.4.4 深度过滤报表 (41)6.5 用户信息 (42)6.6 连接状态 (42)6.7 连接统计 (44)6.8 深度过滤 (44)6.9 带宽监控 (45)6.10 网络调试工具 (45)6.11 路由监控 (46)6.12 动态路由监控 (47)第1章如何开始1.1 登录管理界面1.1.1 登录方法安全网关共有四种管理方式：1）Web界面管理2）串口命令行管理3）远程SSH登录管理4）PPP拨号接入管理。

网御防火墙PowerV Web 界面操作手册第3章系统配置本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

3.1 日期时间防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（ NTP 协议）图3-1 配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器” ，输入“时钟同步服务器 IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器” ，输入“时钟同步服务器 IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项：防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14 个英文字符，不能有空格。

默认的防火墙名称是themis ，用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31 个英文字符，不能有空格。

动态域名的设置在网络配置>>网络设备的物理网络配置中。

图3-2 系统参数配置图3.3 系统更新3.3.1模块升级防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。

模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮，选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮，重启防火墙完成升级导出升级历史点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE 窗口并连接联想安全服务网站（防火墙可以连接Internet ）。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

联想网御防火墙PowerV Web界面操作手册声明♦本手册所含内容若有任何改动，恕不另行通知。

♦在法律法规的最大允许范围内，联想（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

♦在法律法规的最大允许范围内，联想（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

♦本手册含受版权保护的信息，未经联想（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想（北京）有限公司中国北京海淀区上地信息产业基地创业路6号目录第1章前言................................................................................................................................. 1-51.1 导言................................................................................................................................ 1-51.2 本书适用对象................................................................................................................ 1-51.3 手册章节组织................................................................................................................ 1-51.4 相关参考手册................................................................................................................ 1-5第1章前言1.1 导言《Web界面操作手册》是网御防火墙PowerV管理员手册中的一本。

联想网御Power V UTM防火墙功能使用图文手册声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

联想网御科技（北京）有限公司中国北京海淀区中关村南大街6号中电信息大厦8层目录第1章登录防火墙管理界面 (1)1.1串口登录防火墙 (1)1.2 WEB方式登录防火墙 (3)第2章防火墙透明或路由模式的更改 (7)2.1登录防火墙WEB管理界面 (7)2.2更改防火墙运行模式 (8)第3章在VLAN环境中使用防火墙 (10)3.1拓扑 (10)3.2配置要求 (10)3.3配置步骤 (10)第4章防火墙包过滤策略 (15)4.1拓扑 (15)4.2配置要求 (15)4.3配置步骤 (15)第5章NAT源地址转换 (17)5.1拓扑 (17)5.2配置要求 (17)5.3配置步骤 (17)第6章虚拟IP 目的地址转换 (19)6.1拓扑 (19)6.2配置要求 (19)6.3配置步骤 (19)第7章通过防火墙访问INTERNET (21)7.1拓扑 (21)7.2配置要求 (21)第8章带宽控制 (27)8.1拓扑 (27)8.2配置要求 (27)8.3配置步骤 (27)第9章IPMAC绑定 (29)9.1拓扑 (29)9.2配置要求 (29)9.3配置步骤 (29)第10章用户认证 (38)10.1拓扑 (38)10.2配置要求 (38)10.3配置步骤 (38)第11章HA A-P模式 (44)11.1拓扑 (44)11.2配置要求 (44)11.3配置步骤 (44)第12章HA A-A模式 (48)12.1拓扑 (48)12.2配置要求 (48)12.3配置步骤 (48)第13章IPSEC VPN CLIENT-GW密钥认证 (52)13.1拓扑 (52)13.2配置要求 (52)13.3配置步骤 (52)第14章IPSEC VPN CLIENT-GW 证书认证 (57)14.2配置要求 (57)14.3配置步骤 (57)第15章IPSEC VPN GW-GW 与CISCO互通 (66)15.1拓扑 (66)15.2配置要求 (66)15.3配置步骤 (66)第16章IPSEC VPN GW-GW 证书与POWER V 400防火墙互通 (71)16.1拓扑 (71)16.2配置要求 (71)16.3配置步骤 (71)第17章PPTP (80)17.1拓扑 (80)17.2配置要求 (80)17.3配置步骤 (80)第18章IPS (83)18.1拓扑 (83)18.2配置要求 (83)18.3配置步骤 (83)第19章IPS阻止QQ，MSN，BT流量 (86)19.1拓扑 (86)19.2配置要求 (86)19.3配置步骤 (86)第20章病毒检查 (90)20.1拓扑 (90)20.2配置要求 (90)第21章病毒/入侵特征库升级 (93)21.1导入病毒特征库升级文件 (93)21.2导入入侵特征库升级文件 (94)第22章WEB过滤 (95)22.1拓扑 (95)22.2配置要求 (95)22.3配置步骤 (95)第23章防垃圾邮件 (98)23.1拓扑 (98)23.2配置要求 (98)23.3配置步骤 (98)第1章登录防火墙管理界面1.1串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式：串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用，推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关，请详细阅读1.2节、1。

3。

2节.如果您希望使用Web方式远程管理安全网关，请详细阅读1.2节和1。

3.1节.安全网关主要以两种方式接入网络:透明方式和路由方式.透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1。

2 准备开始接通电源，开启安全网关，安全网关正常启动后，会蜂鸣三声，未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1。

3。

1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机—〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5.0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序.插入随机附带的驱动光盘，进入光盘ikey driver目录,双击运行INSTDRV程序,选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁"。

切记：安装驱动前不要插入USB电子钥匙。

3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了.如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框，直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙,重启系统后再试一次，如仍无法解决，请联系技术支持人员.4。

08联想⽹御superv安装调试培训教材联想⽹御Super V防⽕墙安装调试培训⽬录Super V 产品外观Super V Super V 配置和管理配置和管理Super V Super V 典型应⽤环境典型应⽤环境Super V Super V 案例介绍案例介绍正⾯图侧⾯图Super V Super V 产品外观产品外观8个⾃适应百兆电⼝Mng Mng带外管理⼝，带外管理⼝，Console Console⼝，⼝，⼝，aux aux aux⼝，⼝，HA HA⼝⼝3个千兆光⼝（可更换单模或多模模块）⽬录Super V 产品外观Super V Super V 配置和管理配置和管理Super V Super V 典型应⽤环境典型应⽤环境Super V Super V 案例介绍案例介绍Super V Super V 防⽕墙配置管理防⽕墙配置管理管理主机-管理防⽕墙Firewall 互联⽹双绞线双绞线双绞线管理主机与防⽕墙直接连接时使⽤交叉线。

配置管理主机配置管理主机IP IP IP地址，导⼊光盘上的证书⽂件。

地址，导⼊光盘上的证书⽂件。

A 、双击随机光盘双击随机光盘-->cert cert-->IE >IE浏览器导⼊浏览器导⼊浏览器导⼊-->administrator.p12B 、显⽰显⽰““证书导⼊向导证书导⼊向导””窗⼝点击窗⼝点击““下⼀步下⼀步””，再点击再点击““下⼀步下⼀步””。

C 、在密码输⼊框输⼊：在密码输⼊框输⼊：hhhhhh hhhhhh 点击点击““下⼀步下⼀步””D 、点击点击““下⼀步下⼀步””，点击，点击““完成完成””，显⽰，显⽰““导⼊成功”⼩窗⼝，点击⼩窗⼝，点击““确定确定””。

注意防⽕墙出⼚默认参数：防⽕墙防⽕墙MNG MNG MNG管理⼝管理⼝管理⼝地址为：地址为：地址为：10.50.10.45/24 10.50.10.45/24防⽕墙管理主机地址为：防⽕墙管理主机地址为：10.50.10.44/2410.50.10.44/24Super V Super V 防⽕墙配置管理防⽕墙配置管理-IE IE 管理证书导⼊管理证书导⼊打开IE浏览器，在URL地址栏输⼊：https://10.50.10.45:8889（证书管理）或https://10.50.10.45:8888（通过MNG管理）Super V Super V 防⽕墙配置管理防⽕墙配置管理忘记了管理员密码？使⽤串⼝线连接管理主机的串⼝和防⽕墙的使⽤串⼝线连接管理主机的串⼝和防⽕墙的CONSOLE CONSOLE ⼝，使⽤超级终端登录防⽕墙；出现登录提⽰符后，使⽤⽤户名⽤户名rescue rescue rescue和密码和密码和密码rescue rescue rescue登录登录；登录后，会出现修改超级管理员密码的提⽰，输⼊新的超级管理员密码并回车，再次输⼊新的超级管理员密码并回车，若修改成功，则⾃动退出登录；此时即可使⽤新的超级管理员密码进⾏正常的防⽕墙管理了。