联想网御LSPE-FW技术培训V2.0
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
23
案例2.透明接入
透明接入
24
案例2.透明接入
透明接入
STP未开启
未绑定设备
已启用
25
案例2.透明接入
透明接入
26
案例2.透明接入
透明接入
27
案例2.透明接入
透明接入
已变成透明模式
已启用
28
案例2.透明接入
透明接入
网络接口配置完成后, 仍然需要添加相应的包 过滤规则
变成透明模式的端口 自动添加到绑定列表 里面
42
•
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
内网 外网
fe3
C:10.1.5.200
fe4
internet
S:211.100.100.2
10.1.5.254
211.100.100.1
• 防火墙工作路由/NAT模式。 • 内部客户PC需要通过防火墙访问internet上服务。 • 从防火墙外无法看到内部客户端的真实IP。
15
案例1.电子钥匙、证书、串口登录
数字证书认证—证书导入
导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击IE浏览器证书,按照提示进行安装,需要输入密 码时输入“hhhhhh”,当出现导入成功后点击确定完成。
16
案例1.电子钥匙、证书、串口登录
数字证书认证
当防火墙与IE证书均导入成功后,我们在管理主机打开IE 浏览器并输入https:// 10.1.5.254:8889,出现选择证书 提示后点击“确定”画面。密码默认为leadsec@7766
核心交换机
vlan2 IP:192.168.2.0/24
vlan3 IP:192.168.3.0/24
51
案例4. VLAN环境接入
VLAN环境接入
ห้องสมุดไป่ตู้开启 TRUNK功能
52
案例4. VLAN环境接入
VLAN环境接入
53
案例4. VLAN环境接入
VLAN环境接入
添加第二个别名设备
54
案例4. VLAN环境接入
41
案例3.路由/NAT模式
NAT—概述
• 网络地址转换NAT为IETF定义标准,用于允 许专用网络上的多台PC共享单个、全局路 由的IPv4地址IPv4地址日益不足是经常部 署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安 全手段使用,安全域内的机器通过NAT设备 后源地址被重新封装,起到一定屏蔽内网 作用。
Power v-1428性能
吞吐量>2.5Gbps;
最大并发连接数>200万; 每秒新建>1.7万/秒; VPN隧道数>5000条
3
目录
1. 电子钥匙、证书、串口登录 2. 透明接入 3. 路由/NAT模式 4. VLAN环境接入 5. 静态路由 6. 多默认路由负载均衡 7. IP映射、端口映射 8. 包过滤策略 9. 带宽管理功能 10.DHCP功能
1.双击随机光盘ikey driver目录下的 INSTDRV.EXE,自动安装电子钥匙驱动。
切记:安装驱动前不要插入USB 电子钥匙。
2.随机光盘administrator目录下的ikeyc程序, 程序 将提示用户输入PIN口令,首次使用默认PIN为“12345678”。
8
案例1.电子钥匙、证书、串口登录
17
案例1.电子钥匙、证书、串口登录
管理主机
防火墙出厂时默认的管理主机地址10.1.5.200,当 接入一个新的网络环境中时,首先要进行管理主机的配 置。3.4.5.X版本的管理主机支持子网掩码,3.4.2.7以 前的版本管理主机只支持单个IP。
一定不要添加 0.0.0.0的管理 主机
18
案例1.电子钥匙、证书、串口登录
4
目录
11. 绿色上网模块 12. 连接管理功能 13. 双系统功能 14. HA之双机热备 15. HA之会话保护 16.防火墙注意事项
5
案例一
电子钥匙、证书、串口登录
6
案例1.电子钥匙、证书、串口登录
联想网御防火 墙Web登陆 认证
数字证书
电子钥匙
7
案例1.电子钥匙、证书、串口登录
电子钥匙认证
11
案例1.电子钥匙、证书、串口登录
问题: 帐号密码问题 处理方法: 若密码忘了,可以使用admin/leadsec#7766 帐号临时登陆防火墙进行配置修改。 若要修改忘记的密码只能联系客户中心。
12
案例1.电子钥匙、证书、串口登录
数字证书认证
1、把防火墙证书导入防火墙并启用。 2、管理主机上导入IE浏览器证书。
fe1
C:192.168.1.2/24 192.168.1.1/24
fe2
192.168.2.1/24 S:192.168.2.2/24
• • • • •
工作在路由/NAT模式下防火墙配置需求: 本案例拓扑为一个只有两个网段的小型局域网。 服务器192.168.2.2开放http服务。 允许工作站192.168.1.2访问服务器192.168.2.2的http服务 禁止工作站192.168.1.2访问服务器其它服务。
电子钥匙登录
在IE地址栏输入https://10.1.5.254:8888,等待约十秒 左右, 弹出一个一个对话框提示接受证书,选择接受即可 出现联想网御防火墙登录画面,密码默认为leadsec@7766 。
9
案例1.电子钥匙、证书、串口登录
问题: 电子钥匙认证问题 处理方法: 电子钥匙连接防火墙时提示“认证失败,请检查 IP地址及网络”,处理方法:防火墙设置的管理主机的 IP地址和目前正在使用的管理主机地址不一致造成, 更改管理主机ip。
报错信息
35
案例三、路由/NAT模式
36
案例3.路由/NAT模式
路由/NAT模式—概述
• 配置路由/NAT模式的防火墙多部署于网络 边界,或者是连接多个不同网络,起到保护 内网主机安全,屏蔽内网网络拓扑等作用。
37
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
Cilent A Server B
透明接入—概述 • 透明接入多部署于拓扑相对固定网络,为了不改变 原有网络拓扑,常采用此部署方式(防火墙本身作 为网桥接入网络)。 • 按照此方式部署后的防火墙如出现软硬件故障,可 以紧急将防火墙撤离网络,不必更改其他路由、交 换设备的配置。
22
案例2.透明接入
透明接入拓扑图
fe2
C:192.168.1.100
fe3
S:192.168.1.200
Brg:192.168.1.254
• 透明接入模式防火墙配置需求: • 防火墙配置的FE2\FE3口配置为透明模式。 • 允许工作站C192.168.1.100访问服务器S192.168.1.200的 HTTP服务。 • 工作站C192.168.1.100不能访问服务器S192.168.1.200的 其它服务。
联想网御Power V防火墙案例培训
(软件版本:3.4.6.8)
2011年6月 王耀宇
1
Power v-1428硬件架构
• 1.硬件采用专用架构平台,采用专用的处理 芯片,具有自主设计硬件架构的能力
• 2.标准1U机箱,标配4个SFP插槽,8个 10/100/1000BASE-T端口,标配单电源
2
43
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
44
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
45
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
46
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
网络接口、NAT规则配置完成后,仍然需要添 加相应的包过滤规则,这样防火墙允许内部客 户机10.1.5.200访问internet上的服务器。
33
案例2.透明接入
透明接入注意事项2 • 如果防火墙部署在两台Cisco交换机之间,应 提前向用户询问两台交换机之间的链路是否为 TRUNK模式。如果是TRUNK,防火墙的相应接口 应开启TRUNK功能。
34
案例2.透明接入
透明接入注意事项3 遵循正确的配置顺序: • 首先启动桥设备。 • 然后在物理设备中将工作模式改为透明模式。 如果不先启用桥,界面上会弹出如下出错信息:
47
案例3.路由/NAT模式
注意:
NAT规则中一定不能添加any到any的nat规则,请查明用 户网络中的内网地址到底是哪个网段,然后再根据这些网段 为源地址添加nat规则。 Any到any的nat规则会将进入防火墙的报文也进行地址转 化,会对映射、vpn产生影响。即便你在端口映射和ip映射中 选择了源地址不转换,但是如果你添加了any到any的nat规则, 进入防火墙的报文的源地址还是会被转换。 同时该规则还会将进入vpn隧道的报文进行地址转换,这 样做的结果是vpn隧道可以建立起来当时隧道内通讯不通。 (此时可以在nat规则的最前面添加nat的允许通过规则)
48
案例四、 VLAN环境接入
49
案例4. VLAN环境接入
VLAN环境接入 • 当上下游的交换机配置TRUNK,划分多个VLAN的环 境。 • 防火墙可以接入不同VLAN,使不同VLAN间的PC可以 正常通讯。 • 防火墙支持802.1Q和ISL两种VLAN协议。
50
案例4. VLAN环境接入
ac>admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pem ac>admcert add admincert admin.pem ac>admcert on admincert admin.pem #启用管理证书 ac>config save
38
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
39
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
40
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
网络接口配置完成后,仍然需要添加相 应的包过滤规则,这样防火墙允许工作 站192.168.1.2访问服务器192.168.2.2 的http服务。
管理主机无法管理防火墙问题说明
墙接口与默认管理主机不在同 一网段;而管理主机列表中没 有能管理墙的主机
19
案例1.电子钥匙、证书、串口登录
配置管理方式 • • 防火墙出厂时默认的管理方式有两种方式,在 管理方式里可以增加远程SSH。 不要启用PPP接入功能。
20
案例二、透明接入
21
案例2.透明接入
VLAN环境接入拓扑图
防火墙
本案例需求: 右图是一个具有 三个VLAN的小型网络。 防火墙上配置别名设 备,访问策略设置为: 允许VLAN1访问VLAN2。 其他的访问都禁止。
vlan1 IP:192.168.1.0/24
fe3:192.168.1.1/24 trunk fe3_1:192.168.2.1/24 fe3_2:192.168.3.1/24
29
案例2.透明接入
透明接入
30
案例2.透明接入
透明接入
31
案例2.透明接入
透明接入
至此,工作站192.168.1.100可以访问服 务器192.168.200的HTTP服务
32
案例2.透明接入
透明接入注意事项1
• 防火墙与其它以太网设备连接时,如低端光纤收 发器、低端ADSL路由器等,可能会出现链路层协 商问题。表现为:网络延迟、数据包丢包、网络 抖动等。 • 出现此类问题,可以将防火墙接口的链路工作模 式由自适应强制为100M全双工、100M半双工、 10M全双工、 10M半双工并逐一下测试。如下图
10
案例1.电子钥匙、证书、串口登录
问题: 密码错误问题 • 用户登录3.4.6.8版本防火墙web界面如果连续输 入错误的用户名密码7次,3.4.6.X以前版本密码 输错3次锁定。防火墙系统将锁定该用户直到防火 墙重启。 • 防火墙登陆使用的USBkey使用pin码连续输入错误 达13次,该USBkey不能使用。
13
案例1.电子钥匙、证书、串口登录
数字证书认证—证书页面导入
第一步 第二步
导入证书后选择生效选项
14
案例1.电子钥匙、证书、串口登录
数字证书认证—命令行导入 (以使用SecureCRT软件)为例
Lenovo Themis Security Gateway themis ttySO themis login:administrator password: 系统自带的超级 ========================================== 终端无法使用rz Welcome to Lenovo Themis Security Gateway 命令上传文件 ========================================== ac>rz #上传命令
案例2.透明接入
透明接入
24
案例2.透明接入
透明接入
STP未开启
未绑定设备
已启用
25
案例2.透明接入
透明接入
26
案例2.透明接入
透明接入
27
案例2.透明接入
透明接入
已变成透明模式
已启用
28
案例2.透明接入
透明接入
网络接口配置完成后, 仍然需要添加相应的包 过滤规则
变成透明模式的端口 自动添加到绑定列表 里面
42
•
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
内网 外网
fe3
C:10.1.5.200
fe4
internet
S:211.100.100.2
10.1.5.254
211.100.100.1
• 防火墙工作路由/NAT模式。 • 内部客户PC需要通过防火墙访问internet上服务。 • 从防火墙外无法看到内部客户端的真实IP。
15
案例1.电子钥匙、证书、串口登录
数字证书认证—证书导入
导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击IE浏览器证书,按照提示进行安装,需要输入密 码时输入“hhhhhh”,当出现导入成功后点击确定完成。
16
案例1.电子钥匙、证书、串口登录
数字证书认证
当防火墙与IE证书均导入成功后,我们在管理主机打开IE 浏览器并输入https:// 10.1.5.254:8889,出现选择证书 提示后点击“确定”画面。密码默认为leadsec@7766
核心交换机
vlan2 IP:192.168.2.0/24
vlan3 IP:192.168.3.0/24
51
案例4. VLAN环境接入
VLAN环境接入
ห้องสมุดไป่ตู้开启 TRUNK功能
52
案例4. VLAN环境接入
VLAN环境接入
53
案例4. VLAN环境接入
VLAN环境接入
添加第二个别名设备
54
案例4. VLAN环境接入
41
案例3.路由/NAT模式
NAT—概述
• 网络地址转换NAT为IETF定义标准,用于允 许专用网络上的多台PC共享单个、全局路 由的IPv4地址IPv4地址日益不足是经常部 署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安 全手段使用,安全域内的机器通过NAT设备 后源地址被重新封装,起到一定屏蔽内网 作用。
Power v-1428性能
吞吐量>2.5Gbps;
最大并发连接数>200万; 每秒新建>1.7万/秒; VPN隧道数>5000条
3
目录
1. 电子钥匙、证书、串口登录 2. 透明接入 3. 路由/NAT模式 4. VLAN环境接入 5. 静态路由 6. 多默认路由负载均衡 7. IP映射、端口映射 8. 包过滤策略 9. 带宽管理功能 10.DHCP功能
1.双击随机光盘ikey driver目录下的 INSTDRV.EXE,自动安装电子钥匙驱动。
切记:安装驱动前不要插入USB 电子钥匙。
2.随机光盘administrator目录下的ikeyc程序, 程序 将提示用户输入PIN口令,首次使用默认PIN为“12345678”。
8
案例1.电子钥匙、证书、串口登录
17
案例1.电子钥匙、证书、串口登录
管理主机
防火墙出厂时默认的管理主机地址10.1.5.200,当 接入一个新的网络环境中时,首先要进行管理主机的配 置。3.4.5.X版本的管理主机支持子网掩码,3.4.2.7以 前的版本管理主机只支持单个IP。
一定不要添加 0.0.0.0的管理 主机
18
案例1.电子钥匙、证书、串口登录
4
目录
11. 绿色上网模块 12. 连接管理功能 13. 双系统功能 14. HA之双机热备 15. HA之会话保护 16.防火墙注意事项
5
案例一
电子钥匙、证书、串口登录
6
案例1.电子钥匙、证书、串口登录
联想网御防火 墙Web登陆 认证
数字证书
电子钥匙
7
案例1.电子钥匙、证书、串口登录
电子钥匙认证
11
案例1.电子钥匙、证书、串口登录
问题: 帐号密码问题 处理方法: 若密码忘了,可以使用admin/leadsec#7766 帐号临时登陆防火墙进行配置修改。 若要修改忘记的密码只能联系客户中心。
12
案例1.电子钥匙、证书、串口登录
数字证书认证
1、把防火墙证书导入防火墙并启用。 2、管理主机上导入IE浏览器证书。
fe1
C:192.168.1.2/24 192.168.1.1/24
fe2
192.168.2.1/24 S:192.168.2.2/24
• • • • •
工作在路由/NAT模式下防火墙配置需求: 本案例拓扑为一个只有两个网段的小型局域网。 服务器192.168.2.2开放http服务。 允许工作站192.168.1.2访问服务器192.168.2.2的http服务 禁止工作站192.168.1.2访问服务器其它服务。
电子钥匙登录
在IE地址栏输入https://10.1.5.254:8888,等待约十秒 左右, 弹出一个一个对话框提示接受证书,选择接受即可 出现联想网御防火墙登录画面,密码默认为leadsec@7766 。
9
案例1.电子钥匙、证书、串口登录
问题: 电子钥匙认证问题 处理方法: 电子钥匙连接防火墙时提示“认证失败,请检查 IP地址及网络”,处理方法:防火墙设置的管理主机的 IP地址和目前正在使用的管理主机地址不一致造成, 更改管理主机ip。
报错信息
35
案例三、路由/NAT模式
36
案例3.路由/NAT模式
路由/NAT模式—概述
• 配置路由/NAT模式的防火墙多部署于网络 边界,或者是连接多个不同网络,起到保护 内网主机安全,屏蔽内网网络拓扑等作用。
37
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
Cilent A Server B
透明接入—概述 • 透明接入多部署于拓扑相对固定网络,为了不改变 原有网络拓扑,常采用此部署方式(防火墙本身作 为网桥接入网络)。 • 按照此方式部署后的防火墙如出现软硬件故障,可 以紧急将防火墙撤离网络,不必更改其他路由、交 换设备的配置。
22
案例2.透明接入
透明接入拓扑图
fe2
C:192.168.1.100
fe3
S:192.168.1.200
Brg:192.168.1.254
• 透明接入模式防火墙配置需求: • 防火墙配置的FE2\FE3口配置为透明模式。 • 允许工作站C192.168.1.100访问服务器S192.168.1.200的 HTTP服务。 • 工作站C192.168.1.100不能访问服务器S192.168.1.200的 其它服务。
联想网御Power V防火墙案例培训
(软件版本:3.4.6.8)
2011年6月 王耀宇
1
Power v-1428硬件架构
• 1.硬件采用专用架构平台,采用专用的处理 芯片,具有自主设计硬件架构的能力
• 2.标准1U机箱,标配4个SFP插槽,8个 10/100/1000BASE-T端口,标配单电源
2
43
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
44
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
45
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
46
案例3.路由/NAT模式
路由/NAT模式(NAT转换)
网络接口、NAT规则配置完成后,仍然需要添 加相应的包过滤规则,这样防火墙允许内部客 户机10.1.5.200访问internet上的服务器。
33
案例2.透明接入
透明接入注意事项2 • 如果防火墙部署在两台Cisco交换机之间,应 提前向用户询问两台交换机之间的链路是否为 TRUNK模式。如果是TRUNK,防火墙的相应接口 应开启TRUNK功能。
34
案例2.透明接入
透明接入注意事项3 遵循正确的配置顺序: • 首先启动桥设备。 • 然后在物理设备中将工作模式改为透明模式。 如果不先启用桥,界面上会弹出如下出错信息:
47
案例3.路由/NAT模式
注意:
NAT规则中一定不能添加any到any的nat规则,请查明用 户网络中的内网地址到底是哪个网段,然后再根据这些网段 为源地址添加nat规则。 Any到any的nat规则会将进入防火墙的报文也进行地址转 化,会对映射、vpn产生影响。即便你在端口映射和ip映射中 选择了源地址不转换,但是如果你添加了any到any的nat规则, 进入防火墙的报文的源地址还是会被转换。 同时该规则还会将进入vpn隧道的报文进行地址转换,这 样做的结果是vpn隧道可以建立起来当时隧道内通讯不通。 (此时可以在nat规则的最前面添加nat的允许通过规则)
48
案例四、 VLAN环境接入
49
案例4. VLAN环境接入
VLAN环境接入 • 当上下游的交换机配置TRUNK,划分多个VLAN的环 境。 • 防火墙可以接入不同VLAN,使不同VLAN间的PC可以 正常通讯。 • 防火墙支持802.1Q和ISL两种VLAN协议。
50
案例4. VLAN环境接入
ac>admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pem ac>admcert add admincert admin.pem ac>admcert on admincert admin.pem #启用管理证书 ac>config save
38
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
39
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
40
案例3.路由/NAT模式
路由/NAT模式(不做NAT转换)
网络接口配置完成后,仍然需要添加相 应的包过滤规则,这样防火墙允许工作 站192.168.1.2访问服务器192.168.2.2 的http服务。
管理主机无法管理防火墙问题说明
墙接口与默认管理主机不在同 一网段;而管理主机列表中没 有能管理墙的主机
19
案例1.电子钥匙、证书、串口登录
配置管理方式 • • 防火墙出厂时默认的管理方式有两种方式,在 管理方式里可以增加远程SSH。 不要启用PPP接入功能。
20
案例二、透明接入
21
案例2.透明接入
VLAN环境接入拓扑图
防火墙
本案例需求: 右图是一个具有 三个VLAN的小型网络。 防火墙上配置别名设 备,访问策略设置为: 允许VLAN1访问VLAN2。 其他的访问都禁止。
vlan1 IP:192.168.1.0/24
fe3:192.168.1.1/24 trunk fe3_1:192.168.2.1/24 fe3_2:192.168.3.1/24
29
案例2.透明接入
透明接入
30
案例2.透明接入
透明接入
31
案例2.透明接入
透明接入
至此,工作站192.168.1.100可以访问服 务器192.168.200的HTTP服务
32
案例2.透明接入
透明接入注意事项1
• 防火墙与其它以太网设备连接时,如低端光纤收 发器、低端ADSL路由器等,可能会出现链路层协 商问题。表现为:网络延迟、数据包丢包、网络 抖动等。 • 出现此类问题,可以将防火墙接口的链路工作模 式由自适应强制为100M全双工、100M半双工、 10M全双工、 10M半双工并逐一下测试。如下图
10
案例1.电子钥匙、证书、串口登录
问题: 密码错误问题 • 用户登录3.4.6.8版本防火墙web界面如果连续输 入错误的用户名密码7次,3.4.6.X以前版本密码 输错3次锁定。防火墙系统将锁定该用户直到防火 墙重启。 • 防火墙登陆使用的USBkey使用pin码连续输入错误 达13次,该USBkey不能使用。
13
案例1.电子钥匙、证书、串口登录
数字证书认证—证书页面导入
第一步 第二步
导入证书后选择生效选项
14
案例1.电子钥匙、证书、串口登录
数字证书认证—命令行导入 (以使用SecureCRT软件)为例
Lenovo Themis Security Gateway themis ttySO themis login:administrator password: 系统自带的超级 ========================================== 终端无法使用rz Welcome to Lenovo Themis Security Gateway 命令上传文件 ========================================== ac>rz #上传命令