联想网御防火墙PowerV-Web界面操作手册-3系统配置
网御POWER-V 系列防火墙配置IP、端口应射简易文档
小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项:1:请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2:请您在参照文档开始操作前,确认对防火墙的配置权限。
即拥有USB口电子加密锁。
同时在管理主机上安装过“网御防火墙管理员认证程序”3:确保在配置过程中管理主机与防火墙的连接状态。
4:文档中所使用的拓扑图如下,配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。
同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。
(出厂默认为12345678)2.1 出现认证程序界面后点击连接。
待出现认证通过的提示后,指示灯会变为绿色。
3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。
在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。
2.3 在上图中,主要需要配置的是网络接口的IP地址。
在IP地址输入1.1.1.1、在掩码输入对应的掩码。
这里输入255.255.255.0。
跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。
网络设备的界面中fe2的设备会显示已经启用。
三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。
3.2 名称可以随意。
请注意,必须使用字母开头,并且暂时不支持中文。
在标识为1的行中输入服务器的内网IP即可。
备注是对服务器的说明,可以随意。
3.3 对需要对外发布的服务做定义。
如果是使用常见服务比如HTTP、FTP等服务,防火墙有预定义服务,就不需再做定义。
联想网御防火墙Power V Web界面操作手册
联想网御防火墙PowerVWeb界面操作手册_2开始
2.1 网御防火墙 PowerV 概述
随着宽带网络的飞速发展、 网络安全问题的突出和人们安全意识的提高,
以防火墙为代
表的网络安全设备已经成为不可或缺的设备。
网御防火墙 PowerV 在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、 配套的管理软
件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的 网络环境。
URL 过滤 URL 过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。
规则及配置信息的导入导出、备份恢复
可以把配置的各项数据从防火墙导出做备份;
需要时可以把以前的配置信息导入到
防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管 理员的工作带来很大
的便利和很好的安全保证。
2.1.1 产品特点
联想网御防火墙 PowerV 是联想防火墙的换代产品,该产品的特点是高安全性,高可用 性和高性能的
“三高”
“管理者的”防火墙,是国内一流的防火墙。
高安全
高可用性
高性能
2.1.2 主要功能
网御防火墙 PowerV 系统为了满足用户的复杂应用和多种需求,采用模块化设计, 包括基本功能
网御防火墙 Po werV
Web 界面操作手册
第 2 章如何开始
本章包括联想网御防火墙 PowerV 硬件安装和随机附带的软件安装介绍,
配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。
ቤተ መጻሕፍቲ ባይዱ
如果您想尽快配置使用联想网御防火墙,
可跳过概述部分,直接阅读
以及开机登录 2.5 章(第 12 页)。
SSL 加密信道对配置信息进行加
密处理,保证数据的安全性和完整性(防篡改)
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
网御防火墙管理系统使用手册
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8
联想网御Power V系列配置案例集1(WEB界面管理防火墙)
1.1 配置需求使用电脑登陆设备WEB管理界面。
1.2 网络拓扑1.3 登录方式1.3.1电子钥匙登陆(1)电脑通过网线连接到设备默认管理口eth0口上。
(2)电脑地址配置成10.1.5.200/255.255.255.0。
(3)打开光盘找到ikey driver目录下INSTDRV.exe程序,双击安装电子钥匙驱动(此时不插电子钥匙),打开administrator目录下的ikeyc程序,提示用户输入PIN 码,默认的是“12345678”,将电子钥匙插到电脑上,输入防火墙IP 10.1.5.254,点击连接即可。
原始状态灯为红色,连接进行中为黄色,如果连接成功,灯会变为绿色。
(4)在IE中输入“https://10.1.5.254:8888”即可进入登陆界面,默认用户名密码administrator/bane@7766。
1.3.2电子证书登陆(1)电脑通过网线连接到设备默认管理口eth0口上。
(2)电脑地址配置成10.1.5.200/255.255.255.0。
(3)打开光盘,找到admin.p12文件,双击安装,密码“hhhhhh”。
(4)打开IE—【internet选项】—【隐私】—【启用弹出窗口阻止程序】不勾选。
(5)在IE中输入https://10.1.5.254:8889“选择刚才安装的证书即可进入登陆界面,默认用户名密码administrator/bane@7766。
1.4注意事项(1)建议使用IE8.0或以上版本浏览器。
(2)登陆时注意使用的是https协议。
(3)确保电脑当前的时间与北京时间一致。
(4)用户登录后,如果对 WEB 界面不进行操作的时间超过 5 分钟,系统将超时并回到登录页面,必须重新登录才能继续使用。
(5)首次登陆电脑地址必须是10.1.5.200/255.255.255.0。
1.4非管理口远程管理防火墙1.5.1配置需求防火墙默认的管理口是eth0,通过配置设置可以将其他接口作为远程管理口。
联想网御防火墙PowerVWeb界面操作手册_5策略配置
第5章策略配置本章是防火墙配置的重点。
符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。
错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。
5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。
这些参数对整个防火墙生效。
界面如下图所示:图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。
包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。
如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。
严格的状态检测:选中为启用,不选为禁止。
仅针对TCP连接。
只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。
启用严格的状态检测,是为了防止ACK扫描攻击。
因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。
需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。
在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。
包过滤策略中还包括两项高级设置:图 5-2 安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。
如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。
重新设置规则可能会造成已有连接中断。
建议不启用。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御最终配置手册
联想网御防火墙配置手册1 登陆方法1.1 使用电子钥匙方式登陆防火墙在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。
默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。
其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。
注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。
管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。
使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。
(如下图所示)选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。
(如下图所示)注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
1.2使用管理证书认证方式远程登陆防火墙1.2.1远程登陆防火墙的条件1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书”页面上载防火墙证书。
(附图1)2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。
(附图2)3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。
(附图3)4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。
联想网御防火墙PowerV-Web界面操作手册-3系统配置
网御防火墙PowerV Web 界面操作手册第3章系统配置本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新,管理配置,联动,报告设置,入侵检测和产品许可证。
3.1 日期时间防火墙系统时间的准确性是非常重要的。
可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步( NTP 协议)图3-1 配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器” ,输入“时钟同步服务器 IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器” ,输入“时钟同步服务器 IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项:防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时间后配置管理界面登录超时等。
3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。
防火墙名称的最大长度是14 个英文字符,不能有空格。
默认的防火墙名称是themis ,用户可以自己修改这个名称。
动态域名注册所使用的用户名、密码的最大长度是31 个英文字符,不能有空格。
动态域名的设置在网络配置>>网络设备的物理网络配置中。
图3-2 系统参数配置图3.3 系统更新3.3.1模块升级防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。
模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮,选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮,重启防火墙完成升级导出升级历史点击“导出升级历史”按钮,导出升级历史做备份。
检查最新升级包管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE 窗口并连接联想安全服务网站(防火墙可以连接Internet )。
联想网御强五防火墙PowerV-防火墙管理
管理防火墙Power V 防火墙有2种管理方式,1是web(界面管理)管理。
2是命令行管理。
命令行管理又分为串口管理和SSH管理。
本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。
一.串口管理1.使用超级终端连接防火墙。
利用随机附带的串口线将PC的串口和防火墙串口相连,启动超级终端。
以Windows XP为例:选择程序->附件->通讯->超级终端,选择用于连接的串口设备。
定制通讯参数如下。
每秒位数:9600;数据位:8;奇偶校验:无;停止位:1;数据流控制:无。
第1页第2页第3页当出现上面的语言时,就可以通过命令行管理防火墙了。
2.使用SecureCRT连接防火墙。
利用随机附带的串口线连接管理主机的串口和防火墙串口。
在pc 上运行SecureCRT 软件。
第4页第5页出现上面的情况就可以用命令行管理防火墙了。
二.Web 管理1.使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装,注意安装时不要插入电子钥匙。
b.驱动安装成功后,将电子钥匙插入管理主机的usb口,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
c.选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框d.“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
2.使用证书a.首先从联想网御的FTP服务上获得证书。
FTP服务器IP地址是211.100.11.172,用户命密码都是lenovo。
b.用SecureCRT软件管理防火墙的命令行,用administrator/administrator帐号登陆。
c.执行rz命令上传防火墙导入的证书分别是:admin.pem;CACert.pem;leadsec.pem;第6页leadsec_key.pem,如图所示:d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。
联想网御WEB,Telnet,ssh,snmp管理防火墙
〖配置注意点〗
1、 首选确保防火墙与 pc 能 ping 通 2、 防火墙的登陆地址为:https:\\211.103.135.211:8888 3、 登陆用户名与密码默认为 administrator 登陆不上去的情况: 1、 通过 console 口活 ssh 连接到设备的命令行 2、查看本地服务是否开启了 https 服务,如果没开启请在配置视图输入命令: SuperV(config)#local-service htps https-server 3、查看用户状态是否被激活例如: local-user administrator password X/V,H.U^EJ:V1.W&H]T'[!!! level 3 state active //已经被激活,如没有显示,请敲入 state active 命令 service-type https-server service-type ssh server 确保要有标红的这个命令,如果没有按照下述方法修改 进入 config 视图 SuperV(config)#local-user administrator
要求 2:通过 telnet 方式登录防火墙
配置目的: 让用户通过 telnet 的方式,管理防火墙 拓扑如下:
FW1
PC
10.1.1.1/24 G0/0/1 10.1.1.2/24
〖启动 telnet 服务〗
命令行操作步骤: SuperV(config)#local-service telent telnet
SuperV(config-user-administrator)#state active SuperV(config-user-administrator)#service-type https-server SuperV(config-user-administrator)# 网页操作步骤: 选择“用户管理”“本地” ,点击“编辑”按钮,如下图配置:
联想网御防火墙配置手册
联想网御防火墙配置手册(3213)
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。
2、防火墙设备安装,连接各种线缆.
3、安装防火墙管理密钥驱动.
4、插入管理密钥,运行防火墙管理认证程序。
默认管理IP地址
10.1.5。
254 端口9999。
5、认证程序连接防火墙成功后,利用浏览器登陆防火墙,地址:
https://10.1.5.254:8888默认用户名:administrator密码:administrator。
6、设置各物理接口IP地址、工作模式等信息.
7、设置别名设备,绑定外网地址到外网的物理接口上,以备设置
端口或IP映射做准备。
8、设置管理主机,提高系统安全性,只有设置的管理主机范围才
有访问防火墙的权限.
9、按系统规划需求,定义所需地址列表及服务器地址等信息,以
备后期定义策略时使用。
10、根据系统规划需求,设置默认路由。
11、配置NAT规则.
12、配置IP或端口映射.IP映射会对此映射IP的所有端口开放,端
口映射只开放相应映射的端口.
13、配置包过滤规则。
14、配置其它安全选项。
15、。
lenovo网域防火墙配置说明
1.1 概述在缺省情况下,网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。
串口命令行方式适用于对安全网关比较熟悉的用户,操作较复杂。
Web方式直观方便,但要求认证管理员身份。
如果正式使用安全网关推荐采用Web方式,如果希望快速配置使用,推荐采用串口命令行方式。
如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。
3.2节。
如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。
1节.安全网关主要以两种方式接入网络:透明方式和路由方式。
透明方式下不用改动原有网络配置;在路由方式下,配置完安全网关后您还必须修改已有的网络配置,修改直接相连主机或网络设备的IP地址,并把网关指向安全网关。
1.2 准备开始接通电源,开启安全网关,安全网关正常启动后,会蜂鸣三声,未出现上述现象则表明安全网关未正常启动,请您检查电源是否连接正常,如仍无法解决问题请直接联系安全网关技术支持人员.1。
3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程:配置管理主机-〉安装usb钥匙并认证管理员身份->配置管理1. 选用管理主机。
要求具有以太网卡、USB接口和光驱,操作系统应为Window98/2000/XP,管理主机IE浏览器建议为5。
0以上版本、文字大小为中等,屏幕显示建议设置为1024*768。
2。
安装认证驱动程序。
插入随机附带的驱动光盘,进入光盘ikey driver目录,双击运行INSTDRV程序,选择“开始安装",随后出现安装成功的提示,选择“退出重新插锁”。
切记:安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。
在管理主机上插入USB电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。
如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可,如长时间(如3分钟)没有反映,请拔下usb电子钥匙,重启系统后再试一次,如仍无法解决,请联系技术支持人员。
联想网御防火墙Power V Web界面在线手册
注意事项: 防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时
间后配置管理界面登录超时等。
1.2 系统参数
在“系统配置>>系统参数”中配置。 系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。 防火墙名称的最大长度是 14 个英文字符,不能有空格。默认的防火墙名称是 themis,
删除管理员账号 1. 点操作栏中“删除”的快捷图标,弹出删除对话框 2. 点“确定”按钮完成删除
允许或禁止多个管理员同时管理 选择“允许多个管理员同时管理”时,防火墙系统才会允许多个管理员同时登录。
设定管理员登录超时时间 管理员登录后如果长时间没有操作,配置界面会超时,超时时间也在这里设置,缺省值
是 600 秒,最大超时时间可设为 86400 秒(24 小时),0 是非法值。设置后点击“确定”生 效。
下载证书 点“联想 CA 中心”按钮,打开联想 CA 中心的主页,下载证书
联想集团有限公司
7
网御防火墙 Power V
Web 界面操作手册
导入证书 点“浏览”按钮,分别导入一套匹配的 CA 中心证书、防火墙证书、防火墙密钥、管理
员证书。CA 中心证书、防火墙证书、防火墙密钥必须同时更换。
管理员证书维护 管理员证书维护包括生效和删除,在“生效”一栏选择要生效的证书,点“生效”按钮
重启防火墙 点击“重启防火墙”按钮,防火墙将重新启动。
注意:重启防火墙前,记住要保存当前配置。“保存”快捷键:
1.3.2 导入导出
导入导出界面包含以下功能 1. 导出系统配置 2. 导入系统配置 3. 恢复出厂配置 4. 保存配置
网御安全网关Power_V_Web界面操作手册
北京网御星云信息技术有限公司 中国北京海淀区中关村南大街 6 号中电信息大厦 8 层
北京网御星云信息技术有限公司
II
网御安全网关 Power V
Web 界面操作手册
章节目录
章节目录......................................................................................................................................... III 图目录.............................................................................................................................................. X 表目录....................................................................................................................................... XVIII 表目录....................................................................................................................................... XVIII 第 1 章 前言.....................................................................................................................................1
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网御防火墙PowerV Web 界面操作手册第3章系统配置本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新,管理配置,联动,报告设置,入侵检测和产品许可证。
3.1 日期时间防火墙系统时间的准确性是非常重要的。
可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步( NTP 协议)图3-1 配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器” ,输入“时钟同步服务器 IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器” ,输入“时钟同步服务器 IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项:防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时间后配置管理界面登录超时等。
3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。
防火墙名称的最大长度是14 个英文字符,不能有空格。
默认的防火墙名称是themis ,用户可以自己修改这个名称。
动态域名注册所使用的用户名、密码的最大长度是31 个英文字符,不能有空格。
动态域名的设置在网络配置>>网络设备的物理网络配置中。
图3-2 系统参数配置图3.3 系统更新3.3.1模块升级防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。
模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮,选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮,重启防火墙完成升级导出升级历史点击“导出升级历史”按钮,导出升级历史做备份。
检查最新升级包管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE 窗口并连接联想安全服务网站(防火墙可以连接Internet )。
重启防火墙点击“重启防火墙”按钮,防火墙将重新启动。
注意:重启防火墙前,记住要保存当前配置。
“保存”快捷键:3.3.2导入导出图3-4 导入导出配置文件导入导出界面包含以下功能1.导出系统配置2.导入系统配置3.恢复出厂配置4.保存配置导出配置点击“导出配置”按钮,导出最后一次保存的所有系统配置到管理主机。
选中“导出成加密格式”,则加密配置文件。
点击“浏览”按钮,在管理主机上选择要导入的配置文件,点击“导入配置”按钮,导入配置文件,系统提示导入成功,重起防火墙,导入的配置生效。
注意:导出的配置文件带有防火墙软硬件版本的信息,不能导入到别的版本防火墙中,而且如果同样的配置文件被导入到不同防火墙中,且这些防火墙位于同一网络时,可能会引起配置冲突,如IP地址,MAC 地址等。
恢复出厂配置点击“恢复出厂配置”按钮,防火墙所有配置丢失,恢复到出厂配置,重起防火墙后生效。
保存配置点击“保存配置” ,保存所有系统配置。
也可以按上方保存快捷图标来保存。
3.4 管理配置3.4.1管理主机管理员只有在管理主机上才能对防火墙进行管理,最多支持 6 个管理主机IP 和 1 个集中管理主机,至少有 1 个管理主机IP 不能被删除。
图 3-5 添加、编辑管理主机此界面完成以下功能1.添加管理主机2.删除管理主机3.转到“系统配置 >>报告设置 >> 集中管理”界面添加管理主机1.输入管理主机 IP2.在“说明”中,输入描述性文字,此步骤可忽略3.点击“确定”按钮完成添加修改管理主机1.从“管理主机 IP”列表中修改要修改的管理主机IP2.点击“确定”按钮完成修改删除管理主机1.从“管理主机 IP”列表中删除要删除的管理主机IP2.点击“确定”按钮完成删除3.4.2管理员账号管理员按级别授权管理,说明如下:表 3-1 管理员级别与授权管理员级别授权备注超级管理员增加、删除管理员帐号,不能直接配默认管理员帐号与密码为置管理。
administrator : administrator 。
帐号 administrator 不能删除。
配置管理员配置系统策略、网络配置、在线帮助。
无默认帐号策略管理员配置安全策略、资源定义、在线帮助。
无默认帐号审计管理员查看防火墙日志信息、在线帮助。
无默认帐号默认只能有一个管理员登录防火墙进行配置管理,选择”允许多个管理员同时管理”时,防火墙系统才会允许多个管理员同时登录,但最好不要多个管理员同时进行修改配置。
图3-6 显示管理员账号此界面可完成以下功能1.添加管理员账号2.编辑管理员账号3.删除管理员账号4.允许或禁止多个管理员同时管理5.设定管理员登录超时时间图 3-7 添加、编辑管理员账号添加管理员账号1.点“添加”按钮,打开管理员账号维护界面2.输入账号、口令,并选择要添加的管理员账号类型3.点“确定”按钮完成,点“添加下一条”可以继续添加管理员账号编辑管理员账号1.点操作栏中“编辑”的快捷图标,打开管理员账号维护界面2.修改口令或账号类型3.点“确定”按钮完成删除管理员账号1.点操作栏中“删除”的快捷图标,弹出删除对话框2.点“确定”按钮完成删除允许或禁止多个管理员同时管理选择“允许多个管理员同时管理”时,防火墙系统才会允许多个管理员同时登录。
设定管理员登录超时时间管理员登录后如果长时间没有操作,配置界面会超时,超时时间也在这里设置,缺省值是600 秒,最大超时时间可设为 86400 秒( 24 小时), 0 是非法值。
设置后点击“确定”生效。
3.4.3管理证书本界面完成主要的证书管理。
管理证书为标准的CA 证书。
无论使用电子钥匙认证,还是直接使用证书认证,均是通过https 协议访问,即使用管理证书完成SSL 的加密。
管理员通过电子钥匙认证成功,访问 https:// 防火墙可管理 IP:8888,登录防火墙配置界面,使用防火墙 web 服务器的服务器端的证书进行信道加密。
防火墙出厂时预置了一套证书( CA 中心证书、防火墙证书、防火墙密钥),管理员可以点击CA 中心证书的链接、防火墙证书的链接进行查看。
管理员也可以更新此套证书,按”系统配置>>管理配置>>管理证书”界面提示直接导入即可。
管理员通过 IE 完成证书认证,访问 https://防火墙可管理 IP:8889 ,登录防火墙配置界面,使用防火墙 web 服务器的客户端的证书进行信道加密。
当管理员使用证书方式进行身份认证时,必须在防火墙中导入一套证书(CA 中心证书、防火墙证书、防火墙密钥、管理员证书),并在管理主机的 IE 中导入管理员证书。
管理员可以点击 CA 中心证书的链接、防火墙证书的链接进行查看。
管理员可以查看导入的管理员证书列表。
此界面包括以下功能1.到联想 CA 中心下载证书2.导入一套证书( CA 中心证书、防火墙证书、防火墙密钥、管理员证书)3.CA 中心证书、防火墙证书查看4.管理员证书维护(生效、删除)图 3-8 导入和显示管理证书操作流程:1.管理员向 CA 中心申请证书,选择一套匹配的 CA 中心证书、防火墙证书、防火墙密钥”导入”。
2.管理员要将选择匹配的管理员证书”导入”。
点”生效”,使用相关管理员证书生效。
3. 下次登录防火墙系统前,请将有效管理员证书导入管理主机的IE 浏览器中,访问 https://防火墙可管理IP:8889,进入防火墙配置管理界面。
注意: CA 中心证书、防火墙证书、防火墙密钥必须是配套的。
只接受PEM 格式的证书。
下载证书点“联想 CA 中心”按钮,打开联想CA 中心的主页,下载证书导入证书点“浏览”按钮,分别导入一套匹配的 CA 中心证书、防火墙证书、防火墙密钥、管理员证书。
CA 中心证书、防火墙证书、防火墙密钥必须同时更换。
管理员证书维护管理员证书维护包括生效和删除,在“生效”一栏选择要生效的证书,点“生效”按钮则生效选中的证书。
在“操作”一栏中,点“删除”的图标,删除此证书。
3.4.4管理方式防火墙提供 WEB 界面和 CLI 命令行两种管理方式。
可以通过网口访问、串口访问,支持拨号 (PPP)连接。
WEB 管理方式和串口命令行方式默认打开,不可关闭。
使用 WEB 方式管理防火墙,管理主机必须能通过网络访问防火墙,并且其IP 地址必须在防火墙上设置(参考:系统配置>>管理配置 >> 管理主机)。
使用串口命令行方式管理,在关闭PPP 接入的情况下,管理主机通过串口连接防火墙的 CONSOLE 口登录;如果打开了PPP 接入方式,则转移到AUX 口登录。
“启用远程SSH”后,管理主机可以通过网络连接(通用网口或PPP 连接均可),利用secure crt 或 putty 等终端管理软件登录防火墙命令行界面进行管理。
打开”支持拨号(PPP)接入”选项。
前提是Modem连接到电话线路上,并将防火墙CONSOLE 口连接 Modem ,管理主机通过另外一个Modem 也接入电话线路,从管理主机向防火墙拨号,拨号成功后,防火墙与管理主机建立了PPP 连接。
此时,可以从管理主机上利用 putty 软件登录防火墙命令行界面(远程SSH 方式)。
图 3-9 显示和配置管理方式3.5 联动3.5.1 IDS 产品支持 IDS 产品联动,包括 PUMA协议和产品 Puma、OPSEC协议和产品 Safemate、天阗产品Venus、天眼产品 Netpower 。
当 IDS 联动产品发现入侵攻击行为时,会通知防火墙。
防火墙会按IDS 产品通知的阻断方式、阻断时间和入侵主机的相关信息,对入侵主机进行阻断。
防火墙阻断方式包括:对”源 IP 地址”阻断对”源 IP 地址、目的 IP 地址、目的端口、协议”阻断、对”源 IP 地址、目的 IP 地址、协议、方向(单向、双向、反向)”阻断防火墙阻断协议包括:TCP / UDP / ICMP 和所有协议(any)。
图3-10 IDS 产品表3-2 IDS 产品功能说明域名说明启用“网御通用安全协议( PUMA )入侵选择正确的密钥文件导入后,启用”网御通用安全协议检测系统”联动( PUMA )入侵检测系统”,并指定产品的IP 地址、防火墙端的服务端口(默认 5000/TCP ),防火墙可以与之联动。
启用“天阗入侵检测系统统”联动启用”天阗入侵检测系统”,并指定产品的IP 地址、防火墙端的服务端口(默认 2000/UDP ),防火墙可以与之联动。
启用“天眼入侵检测系统”联动选择正确的证书导入后,启用”天眼入侵检测系统”,并指定产品的 IP 地址、防火墙端的服务端口(默认4000/TCP ),防火墙可以与之联动。