联想网御防火墙PowerV Web界面操作手册_4网络配置
联想网御Power V系列配置案例集22(双机热备配置案例)
22.1 网络需求网御防火墙高可用性有多种配置环境,此处仅以常用的环境做案例展示。
用户环境透明或者路由,防火墙主备模式,只有一台工作,另一台热备。
用户环境透明,且需要两台防火墙同时工作,即主主模式,防火墙可以用会话保护22.2 网络拓扑双机热备防火墙工作透明,用户环境透明全交叉。
初次配置主墙的心跳IP(1.1.1.1)备墙的心跳IP(1.1.1.2)22.3 配置步骤(1)配置防火墙透明桥模式(2)将定义好的桥接口绑定在桥中(3)防火墙安全选项设置(4)配置防火墙安全策略(5)主墙配置HA(配置HA接口,设置双机热备)(6)备墙配置HA(配置HA接口,设置双机热备)(7)HA状态查看22.4 配置流程(1)配置防火墙透明桥模式进入【网络管理】-【网络接口】-【物理设备】,设置相应接口为透明模式(2)将定义好的桥接口绑定在桥中进入【网络管理】-【网络接口】-【桥设备】(3)防火墙安全选项设置进入【防火墙】-【安全选项】勾选“包过滤802.1Q(VLAN)承载的IP、IPV6、ARP报文”(4)配置防火墙安全策略进入【防火墙】-【策略】-【安全策略】,添加符合条件的安全规则。
(5)主墙配置HA(配置HA接口,设置双机热备)进入【网络管理】-【高可用性】-【HA网口】启用会话同步目的是同步会话。
(6)备墙配置HA(配置HA接口,设置双机热备)(7)HA状态查看进入【网络管理】-【高可用性】-【HA状态】节点优先级为,1,2 状态正常,1为主,2为备,如果为0,说明故障。
注意事项:1.配置主墙除了HA之外的其余配置。
2.配置主墙HA。
3.配置备墙HA,且备墙仅配置HA,完成配置后,保存配置关机。
4.连接主墙与备墙之间的心跳线。
5.连接主墙及备墙上的业务线。
6.启动备墙。
联想网御防火墙Power V Web界面操作手册
Power V防火墙产品说明
联想网御强五(PowerV)系列防火墙网御强五系列防火墙是网御产品中的重要一员,它是专门为企业级用户打造的高可用的安全产品。
它利用精心设计的网御防火墙操作系统,基于IA架构,充分发挥了硬件的高效数据交换能力和系统并行处理能力,实现了高性能与高安全性的完美结合。
◆产品图片:◆产品特点:1、强适用性网络部署灵活,适应多种复杂网络环境和接入模式。
支持各种应用代理及多种基于动态协议的复杂应用。
提供灵活多样的VPN客户端接入方式。
2、强安全性采用增强型抗攻击技术,可防范各种常见类型的网络攻击。
3、强可靠性拥有国内唯一的防火墙HA集群技术,可实现四个防火墙集群的主动负载均衡。
4、强扩展性软件设计采用安全功能模块化和核心模块核外化技术,模块升级简便,充分保障用户的投资利益。
5、强管理性支持多种管理方式,提供完善的日志管理和审计功能,有效降低管理成本注:强五系列产品“并发连接数”可根据用户需求定制升级,具体型号的参数未列做说明!◆典型应用:典型应用一:高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为联想网御防火墙Power V在骨干网络中应用的例子。
正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。
当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。
切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。
同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化。
防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性。
典型应用二:骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
网御防火墙管理系统使用手册
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8
联想网御防火墙powervweb界面操作手册_4网络配置
联想网御防火墙P o w e r VW e b界面操作手册_4网络配置(总31页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March第4章网络配置本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。
4.1 网络设备联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。
下面对各类设备的特点做一简要说明。
物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。
增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。
其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。
物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。
VLAN设备:是一种在物理设备基础上创建的设备。
与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。
它可以工作在路由模式下,也可以工作在透明模式下。
同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。
同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。
不同物理设备上创建的VLAN设备的VLAN ID可以相同。
桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。
这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御防火墙配置手册之欧阳美创编
联想网御防火墙配置手册(3213)1、
2、根据防火墙接口数量及业务系统需求规划防火墙各接口用
途、IP地址信息、及各接口的策略等。
3、防火墙设备安装,连接各种线缆。
4、安装防火墙管理密钥驱动。
5、插入管理密钥,运行防火墙管理认证程序。
默认管理IP
地址10.1.5.254 端口9999。
6、认证程序连接防火墙成功后,利用浏览器登陆防火墙,地
址:https://10.1.5.254:8888默认用户名:administrator密码:administrator。
7、设置各物理接口IP地址、工作模式等信息。
8、设置别名设备,绑定外网地址到外网的物理接口上,以备
设置端口或IP映射做准备。
9、设置管理主机,提高系统安全性,只有设置的管理主机范
围才有访问防火墙的权限。
10、按系统规划需求,定义所需地址列表及服务器地址等信
息,以备后期定义策略时使用。
11、根据系统规划需求,设置默认路由。
12、配置NAT规则。
13、配置IP或端口映射。
IP映射会对此映射IP的所有端口开
放,端口映射只开放相应映射的端口。
14、配置包过滤规则。
15、配置其它安全选项。
联想网御强五防火墙PowerV-防火墙管理
管理防火墙Power V 防火墙有2种管理方式,1是web(界面管理)管理。
2是命令行管理。
命令行管理又分为串口管理和SSH管理。
本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。
一.串口管理1.使用超级终端连接防火墙。
利用随机附带的串口线将PC的串口和防火墙串口相连,启动超级终端。
以Windows XP为例:选择程序->附件->通讯->超级终端,选择用于连接的串口设备。
定制通讯参数如下。
每秒位数:9600;数据位:8;奇偶校验:无;停止位:1;数据流控制:无。
第1页第2页第3页当出现上面的语言时,就可以通过命令行管理防火墙了。
2.使用SecureCRT连接防火墙。
利用随机附带的串口线连接管理主机的串口和防火墙串口。
在pc 上运行SecureCRT 软件。
第4页第5页出现上面的情况就可以用命令行管理防火墙了。
二.Web 管理1.使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装,注意安装时不要插入电子钥匙。
b.驱动安装成功后,将电子钥匙插入管理主机的usb口,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
c.选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框d.“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
2.使用证书a.首先从联想网御的FTP服务上获得证书。
FTP服务器IP地址是211.100.11.172,用户命密码都是lenovo。
b.用SecureCRT软件管理防火墙的命令行,用administrator/administrator帐号登陆。
c.执行rz命令上传防火墙导入的证书分别是:admin.pem;CACert.pem;leadsec.pem;第6页leadsec_key.pem,如图所示:d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。
(强烈推荐)联想网御powerv培训教材
3防火墙界面介绍
管理首页
3防火墙界面介绍
各级子菜单
3防火墙界面介绍
管理配置-管理主机
3防火墙界面介绍
管理方式设定
3防火墙界面介绍
网络配置:
加入连接网络的各进出IP,若为不同网段,工作方 式为:路由模式,若两边为相同网段,则为透明模 式
3防火墙界面介绍
网桥设备
3防火墙界面介绍
VPN设备
注意,这里的VPN设备绑定后,不能在弹出的页面启用, 需要回到上级页面处,在是否启用处点生效。
3防火墙界面介绍
拨号设备
3防火墙界面介绍
物理设备
这里可以设定是否被管理,是否可以PING,等功能。
3防火墙界面介绍
网桥设备
3防火墙界面介绍
拨号设备
3防火墙界面介绍
域名服务器
3防火墙界面介绍
静态路由
3防火墙界面介绍
安全选项
默认全通/全禁
3防火墙界面介绍
包过滤规则
3防火墙界面介绍
端口映射规则
3防火墙的配置管理
IP映射
注意:如果源地址包含管理主机,公开地址是防火墙的管理IP,该管理主机将不 能管理防火墙。
3防火墙界面介绍
包过滤
3防火墙的配置管理
NAT
注意:设置一条NAT 规则,必须再设置一条相应的包过滤规则才能生效。
目录
1 2 3 4 5 6 Power V Power V Power V Power V Power V Power V 防火墙产品介绍 登录防火墙管理页面 防火墙界面介绍 防火墙的配置管理 典型应用环境 实验方案
3典型应用环境
三网口混合模式
fe1工作在透明模式,fe3工作在透明模式,fe4工作在路由模式
联想网御防火墙配置手册
联想网御防火墙配置手册(3213)
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。
2、防火墙设备安装,连接各种线缆。
3、安装防火墙管理密钥驱动。
4、插入管理密钥,运行防火墙管理认证程序。
默认管理IP地址
10.1.5.254 端口9999。
5、认证程序连接防火墙成功后,利用浏览器登陆防火墙,地址:
https://10.1.5.254:8888默认用户名:administrator密码:administrator。
6、设置各物理接口IP地址、工作模式等信息。
7、设置别名设备,绑定外网地址到外网的物理接口上,以备设置
端口或IP映射做准备。
8、设置管理主机,提高系统安全性,只有设置的管理主机范围才
有访问防火墙的权限。
9、按系统规划需求,定义所需地址列表及服务器地址等信息,以
备后期定义策略时使用。
10、根据系统规划需求,设置默认路由。
11、配置NAT规则。
12、配置IP或端口映射。
IP映射会对此映射IP的所有端口开放,
端口映射只开放相应映射的端口。
13、配置包过滤规则。
14、配置其它安全选项。
15、。
lenovo网域防火墙配置说明
1.1 概述在缺省情况下,网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。
串口命令行方式适用于对安全网关比较熟悉的用户,操作较复杂。
Web方式直观方便,但要求认证管理员身份。
如果正式使用安全网关推荐采用Web方式,如果希望快速配置使用,推荐采用串口命令行方式。
如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。
3.2节。
如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。
1节.安全网关主要以两种方式接入网络:透明方式和路由方式。
透明方式下不用改动原有网络配置;在路由方式下,配置完安全网关后您还必须修改已有的网络配置,修改直接相连主机或网络设备的IP地址,并把网关指向安全网关。
1.2 准备开始接通电源,开启安全网关,安全网关正常启动后,会蜂鸣三声,未出现上述现象则表明安全网关未正常启动,请您检查电源是否连接正常,如仍无法解决问题请直接联系安全网关技术支持人员.1。
3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程:配置管理主机-〉安装usb钥匙并认证管理员身份->配置管理1. 选用管理主机。
要求具有以太网卡、USB接口和光驱,操作系统应为Window98/2000/XP,管理主机IE浏览器建议为5。
0以上版本、文字大小为中等,屏幕显示建议设置为1024*768。
2。
安装认证驱动程序。
插入随机附带的驱动光盘,进入光盘ikey driver目录,双击运行INSTDRV程序,选择“开始安装",随后出现安装成功的提示,选择“退出重新插锁”。
切记:安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。
在管理主机上插入USB电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。
如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可,如长时间(如3分钟)没有反映,请拔下usb电子钥匙,重启系统后再试一次,如仍无法解决,请联系技术支持人员。
联想网御防火墙界面操作手册系统配置
第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。
3.2 日期时间防火墙系统时间旳精确性是非常重要旳。
可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步(NTP协议)图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。
3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。
防火墙名称旳最大长度是14个英文字符, 不能有空格。
默认旳防火墙名称是themis, 顾客可以自己修改这个名称。
动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。
动态域名旳设立在网络配备>>网络设备旳物理网络配备中。
图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。
图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。
检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站(防火墙可以连接Internet)。
联想网御防火墙Power V Web界面在线手册
注意事项: 防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时
间后配置管理界面登录超时等。
1.2 系统参数
在“系统配置>>系统参数”中配置。 系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。 防火墙名称的最大长度是 14 个英文字符,不能有空格。默认的防火墙名称是 themis,
删除管理员账号 1. 点操作栏中“删除”的快捷图标,弹出删除对话框 2. 点“确定”按钮完成删除
允许或禁止多个管理员同时管理 选择“允许多个管理员同时管理”时,防火墙系统才会允许多个管理员同时登录。
设定管理员登录超时时间 管理员登录后如果长时间没有操作,配置界面会超时,超时时间也在这里设置,缺省值
是 600 秒,最大超时时间可设为 86400 秒(24 小时),0 是非法值。设置后点击“确定”生 效。
下载证书 点“联想 CA 中心”按钮,打开联想 CA 中心的主页,下载证书
联想集团有限公司
7
网御防火墙 Power V
Web 界面操作手册
导入证书 点“浏览”按钮,分别导入一套匹配的 CA 中心证书、防火墙证书、防火墙密钥、管理
员证书。CA 中心证书、防火墙证书、防火墙密钥必须同时更换。
管理员证书维护 管理员证书维护包括生效和删除,在“生效”一栏选择要生效的证书,点“生效”按钮
重启防火墙 点击“重启防火墙”按钮,防火墙将重新启动。
注意:重启防火墙前,记住要保存当前配置。“保存”快捷键:
1.3.2 导入导出
导入导出界面包含以下功能 1. 导出系统配置 2. 导入系统配置 3. 恢复出厂配置 4. 保存配置
网御安全网关Power_V_Web界面操作手册
北京网御星云信息技术有限公司 中国北京海淀区中关村南大街 6 号中电信息大厦 8 层
北京网御星云信息技术有限公司
II
网御安全网关 Power V
Web 界面操作手册
章节目录
章节目录......................................................................................................................................... III 图目录.............................................................................................................................................. X 表目录....................................................................................................................................... XVIII 表目录....................................................................................................................................... XVIII 第 1 章 前言.....................................................................................................................................1
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章网络配置本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。
4.1 网络设备联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。
下面对各类设备的特点做一简要说明。
物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。
增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。
其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。
物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。
VLAN设备:是一种在物理设备基础上创建的设备。
与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。
它可以工作在路由模式下,也可以工作在透明模式下。
同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。
同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。
不同物理设备上创建的VLAN设备的VLAN ID可以相同。
桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。
这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
VPN设备:是启用VPN功能必须要启用的设备。
整个防火墙系统中只能有一个VPN 设备,但是VPN设备的绑定设备可以选择。
系统通过绑定的设备来发送和接收加密后的数据包。
VPN设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。
VPN 设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。
别名设备:用于给物理设备配置多个IP地址。
每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。
同时要注意的是设备的IP地址不能重复。
冗余设备:是将两个物理设备用做一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。
冗余设备可以工作在全冗余和半冗余两种模式下。
在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。
在半冗余模式下,加入冗余设备的两个物理设备使用它们各自的参数。
冗余设备默认工作在半冗余模式下。
拨号设备:用于启用ADSL拨号功能所必须要启用的设备。
系统中只能有一个拨号设备,但是拨号设备绑定的物理设备可以选择。
系统通过绑定的设备来发送和接收PPoE的数据包。
拨号设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。
拨号设备的IP地址、掩码每次ADSL拨号成功后,自动获得。
配置防火墙的过程中,必须首先配置网络设备,再配置防火墙安全策略。
如果网络设备的配置发生了改变,建议对相关的安全策略也进行调整。
4.1.1 物理设备物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。
其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。
它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。
物理设备也可以切换到透明模式。
当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
物理设备是其他设备的基础。
在WEB配置管理界面和CLI配置管理界面上可配置的物理设备是在系统启动时能够检测到的设备,如果系统启动时,检测不到相应的设备,那么这个设备在界面上就不会显示。
表4-1物理设备上可配置的属性间的绑定关系会被注册到特定的服务器上,注册所需的用户名、密码可以在系统设置>>系统参数中设置。
此功能用于IP地址不固定的VPN组网。
动态域名与设备IP地址对应的动态域名开启TRUNK是否将设备设置为TRUNK口。
用于连接交换机或者路由器的TRUNK口。
开启带宽管理是否开启此设备上的带宽管理设备带宽此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
开启DHCP中继是否允许此设备转发DHCP中继信息DHCP服务器地址此设备将DHCP信息中继到哪个服务器上,这是一个IP地址的列表,如果有多个IP地址,请用英文逗号分隔,中间不能有空格,IP地址不能重复。
用于管理此设备的IP地址是否能用于管理允许PING此设备的IP地址是否允许被PING到允许TRACEROUTE此设备的IP地址是否允许被TRACEROUTE到是否启用是否启用此设备图4-1 物理设备列表在上图中,有一个“允许开启TRUNK的物理设备在不同VLAN间转发包”的选项,如果选中,则允许配置TRUNK,工作在透明模式的物理设备,根据规则在不同VLAN间转发数据包,如果没有选中,工作在透明模式的物理设备,则不会在不同VLAN之间转发数据包。
默认是不选中。
图4-2 物理设备可配置的属性4.1.2 VLAN设备VLAN设备是一种在物理设备基础上创建的设备。
它可以工作在路由模式下,也可以工作在透明模式下,工作在透明模式时,此设备可加入桥接设备。
VLAN设备可以与其他同VLAN的设备通讯,并通过防火墙转发不同VLAN之间的通讯。
同一个物理设备上可以创建多个不同VLAN ID的VLAN设备。
不同物理设备上的VLAN设备的VLAN ID可以相同。
VLAN设备和物理设备上的TRUNK属性是防火墙支持VLAN应用环境的两种方式。
用户可以根据实际情况来选择使用何种方式,但两种方式不能同时使用。
表4-2 VLAN设备上可配置的属性属性名称描述选择绑定设备VLAN的绑定设备必须是启用的,工作在路由模式下物理设备,并且此物理设备没有开启TRUNK。
填写VLAN ID VLAN ID是一个0到4094的无符号整数工作模式设备的工作模式,目前支持的有以下两种1:路由模式,这是设备默认的工作模式2:透明模式,设置为透明模式的设备IP地址/掩码,不能用于管理,PING和TRACEROUTE等选项也不能选择。
IP地址设备的IP地址,路由模式下必须填写掩码设备的掩码,路由模式下必须填写MAC地址设备的MAC地址,如果不填,则表示自动获取开启带宽管理是否开启VLAN设备的带宽管理,VLAN设备的带宽管理和它的绑定设备上的带宽管理相互冲突,不能同时存在设备带宽此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
用于管理此设备的IP是否用于管理允许PING此设备的IP是否允许被PING到允许TRACEROUTE此设备的IP是否允许被TRACEROUTE到是否启用是否启用此设备图4-3 VLAN设备列表图4-4 VLAN设备可配置的属性4.1.3 桥接设备桥接设备是将多个工作在透明模式的物理设备和VLAN设备绑定在一起的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备(最多可以创建八个桥接设备,设备名分别是brg0, brg1, brg2, brg3, brg4, brg5, brg6, brg7),而且这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
在这种情况下,路由信息和桥接设备的信息相互间没有影响。
表4-3 桥接设备可配置的属性属性名称描述设备名称桥接设备的设备名称,不能修改IP地址设备的IP地址,桥接设备的IP地址可以为空。
如果它的IP地址是空则不能设置管理,PING和TRACEROUTE。
掩码设备的掩码,桥接设备的掩码可以设置为空。
开启STP桥接设备是否开启STP(生成树协议)用于管理此设备的IP是否用于管理允许PING此设备的IP是否允许被PING到允许TRACEROUTE此设备的IP是否允许被TRACEROUTE到可选绑定设备列表桥接设备可选的绑定设备列表。
列表包括工作在透明模式的物理设备和VLAN设备。
绑定设备列表被选中的绑定设备列表是否启用是否启用此设备图4-5 桥接设备列表图4-6 桥接设备可配置的属性4.1.4 VPN设备VPN设备是启用VPN功能所必须要启用的设备。
系统中只能有一个VPN设备,但是VPN设备的绑定设备可以选择。
VPN设备也可以启用带宽管理功能,但这要求它的绑定设备没有启用带宽管理。
VPN设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。
表4-4 VPN设备可配置的属性属性名称描述设备名称VPN设备名称,不能修改选择绑定设备VPN的绑定设备,包括有IP地址的,启用的物理设备、桥接设备或拨号设备开启带宽管理开启VPN设备的带宽管理设备带宽此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
是否启用是否启用此设备图4-7 VPN设备列表图4-8 VPN设备可配置的属性4.1.5 别名设备别名设备的作用是给物理设备配置多个IP地址。
每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。
同时要注意的是别名设备的IP地址不能重复。
表4-5 别名设备可配置的属性属性名称描述绑定设备名称绑定设备的名称,可选的绑定设备包括已启用的工作在路由模式下的物理设备和已启用的桥接设备别名ID别名设备的别名ID,允许值是0-15IP地址别名设备必须配置IP地址掩码别名设备必须配置掩码用于管理设备的IP地址是否能用于管理允许PING是否允许PING设备的IP允许TRACEROUTE是否允许TRACEROUTE设备的IP是否启用是否启用设备图4-9 别名设备列表图4-10 别名设备可配置的属性4.1.6 冗余设备冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。