联想网御防火墙

防火墙部署逻辑拓扑

一 WEB登录配置

⑴安装认证驱动程序。

插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出重新插锁”。切记：安装驱动前不要插入USB电子钥匙。

⑵插入USB钥匙后，连接管理主机与防火墙

利用随机附带的网线直接连接管理主机网口和防火墙fe1网口（初始配置，只能将管理主机连接在防火墙的第一个网口上），把管理主机IP设置为10.1.5.200, 掩码为255.255.255.0。在管理主机运行ping 10.1.5.254验证是否真正连通，如不能连通，检查管理主机的IP(10.1.5.200)是否设置在与防火墙相连的网络接口上，强烈建议该网口不要绑定其他IP，也不要通过交换机连接防火墙。

⑶认证管理员身份。

运行administrator目录中的ikeyc程序，提示输入用户pin, 输入12345678即可。此时电子钥匙中存储的默认防火墙IP地址为10.1.5.254，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了。如果出现其他错误，请检查网络连接、pin码是否输入错误等。

⑷连接防火墙。

运行IE浏览器，在地址栏输入https://10.1.5.254:8888, 等待约20秒左右会弹出一个对话框提示接受证书，选择接受即可。系统将提示输入用户名和密码，缺省都是administrator.

设置防火墙的工作模式

可以在首页的运行模式中更改。更改模式会导致配置丢失。

透明模式下的防火墙管理IP设置

系统管理－－网络－－管理（设置管理IP和网关自身的缺省路由）管理主机与管理员帐户设置

设置管理主机IP地址

设置管理员账号

管理接入设置

产品许可证导入

资源定义

定义地址列表

定义受到保护的服务器地址

服务端口定义

已经定义的服务端口，不用另行配置。如“预定义服务”和“动态服务”基本服务内可自定义服务端口

定义服务组

定义深度过滤的儒虫过滤

深度过滤要消耗很大的系统资源，选择与否根据实际情况定夺。

基本配置内可以开启和关闭深度过滤

定义用户

用户认证配置

要访问资源的主机需安装客户端认证代理软件（配置安装过程略）定义用户组

要进行访问认证，就必须定义用户帐户

认证策略在包过滤策略里设置

安全及策略设置

安全选项里根据需求设置

实际主要设置包过滤规则

防火墙主-备配置