您的位置:360文档中心› 联想网御强五防火墙PowerV与Smart20建立隧道

联想网御强五防火墙PowerV与Smart20建立隧道

合集下载

联想网御Power V系列配置案例集22(双机热备配置案例)

联想网御Power V系列配置案例集22(双机热备配置案例)

22.1 网络需求网御防火墙高可用性有多种配置环境,此处仅以常用的环境做案例展示。

用户环境透明或者路由,防火墙主备模式,只有一台工作,另一台热备。

用户环境透明,且需要两台防火墙同时工作,即主主模式,防火墙可以用会话保护22.2 网络拓扑双机热备防火墙工作透明,用户环境透明全交叉。

初次配置主墙的心跳IP(1.1.1.1)备墙的心跳IP(1.1.1.2)22.3 配置步骤(1)配置防火墙透明桥模式(2)将定义好的桥接口绑定在桥中(3)防火墙安全选项设置(4)配置防火墙安全策略(5)主墙配置HA(配置HA接口,设置双机热备)(6)备墙配置HA(配置HA接口,设置双机热备)(7)HA状态查看22.4 配置流程(1)配置防火墙透明桥模式进入【网络管理】-【网络接口】-【物理设备】,设置相应接口为透明模式(2)将定义好的桥接口绑定在桥中进入【网络管理】-【网络接口】-【桥设备】(3)防火墙安全选项设置进入【防火墙】-【安全选项】勾选“包过滤802.1Q(VLAN)承载的IP、IPV6、ARP报文”(4)配置防火墙安全策略进入【防火墙】-【策略】-【安全策略】,添加符合条件的安全规则。

(5)主墙配置HA(配置HA接口,设置双机热备)进入【网络管理】-【高可用性】-【HA网口】启用会话同步目的是同步会话。

(6)备墙配置HA(配置HA接口,设置双机热备)(7)HA状态查看进入【网络管理】-【高可用性】-【HA状态】节点优先级为,1,2 状态正常,1为主,2为备,如果为0,说明故障。

注意事项:1.配置主墙除了HA之外的其余配置。

2.配置主墙HA。

3.配置备墙HA,且备墙仅配置HA,完成配置后,保存配置关机。

4.连接主墙与备墙之间的心跳线。

5.连接主墙及备墙上的业务线。

6.启动备墙。

联想网御防火墙Power V Web界面操作手册

联想网御防火墙Power V Web界面操作手册
1.1 导言....................................................................................................................................1 1.2 本书适用对象....................................................................................................................1 1.3 本书适合的产品................................................................................................................1 1.4 手册章节组织....................................................................................................................1 1.5 相关参考手册....................................................................................................................2 第 2 章 如何开始.............................................................................................................................3 2.1 网御防火墙 Power V 概述................................................................................................3

Power V防火墙产品说明

Power V防火墙产品说明

联想网御强五(PowerV)系列防火墙网御强五系列防火墙是网御产品中的重要一员,它是专门为企业级用户打造的高可用的安全产品。

它利用精心设计的网御防火墙操作系统,基于IA架构,充分发挥了硬件的高效数据交换能力和系统并行处理能力,实现了高性能与高安全性的完美结合。

◆产品图片:◆产品特点:1、强适用性网络部署灵活,适应多种复杂网络环境和接入模式。

支持各种应用代理及多种基于动态协议的复杂应用。

提供灵活多样的VPN客户端接入方式。

2、强安全性采用增强型抗攻击技术,可防范各种常见类型的网络攻击。

3、强可靠性拥有国内唯一的防火墙HA集群技术,可实现四个防火墙集群的主动负载均衡。

4、强扩展性软件设计采用安全功能模块化和核心模块核外化技术,模块升级简便,充分保障用户的投资利益。

5、强管理性支持多种管理方式,提供完善的日志管理和审计功能,有效降低管理成本注:强五系列产品“并发连接数”可根据用户需求定制升级,具体型号的参数未列做说明!◆典型应用:典型应用一:高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为联想网御防火墙Power V在骨干网络中应用的例子。

正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。

当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。

切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。

同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化。

防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性。

典型应用二:骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

联想网御防火墙使用手册

联想网御防火墙使用手册

资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?

联想网御防火墙PowerV Web界面操作手册_2开始

联想网御防火墙PowerV Web界面操作手册_2开始

第2章如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。

这些有助于管理员完成防火墙软硬件的快速安装和启用。

如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。

2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。

网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。

可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。

2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。

●高安全●高可用性●高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。

主要具有以下功能:●状态检测和动态过滤采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化的要求。

可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。

●双向NAT地址转换在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。

支持静态NA T、动态NAT及IP映射(支持负载均衡功能)、端口映射。

●应用层透明代理支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。

联想网御防火墙PowerV Web界面操作手册_5策略配置

联想网御防火墙PowerV Web界面操作手册_5策略配置

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示:图5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测:选中为启用,不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测,是为了防止ACK扫描攻击。

因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置:图5-2 安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。

如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

联想网御防火墙PowerVWeb界面操作手册_5策略配置

联想网御防火墙PowerVWeb界面操作手册_5策略配置

第5章策略配置本章是防火墙配置的重点。

符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。

错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。

5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。

这些参数对整个防火墙生效。

界面如下图所示:图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。

包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。

如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。

严格的状态检测:选中为启用,不选为禁止。

仅针对TCP连接。

只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。

启用严格的状态检测,是为了防止ACK扫描攻击。

因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。

需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。

在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置:图 5-2 安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。

如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。

重新设置规则可能会造成已有连接中断。

建议不启用。

联想网御防火墙PowerVWeb界面操作手册网络配置

联想网御防火墙PowerVWeb界面操作手册网络配置
允许TRACEROUTE
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第1页
power v 和smart 20建立隧道
拓扑:
SmartV20
配置步骤:
一、 power v 防火墙上的配置
1. 设置防火墙网口地址并在VPN 设备里绑定外网口
第2页
2. 在VPN 里设置VPN 隧道相关参数 1) 添加远程
VPN
2) 添加网关隧道配置
第3页
DPD 周期是死亡探测,设置后保证隧道存活。

3) 在隧道监控里启用隧道
隧道建立成功后在界面上显示“已经建立”。

可以通过点击如上图中的小图标,查看隧道的状态。

二、Smart 20防火墙配置
1.设置防火墙WAN口,防火墙通过PPPOE拨号上网。

第4页
2.添加VPN隧道
第5页
第6页
注意相关选项要和Power v 防火墙上设置的一样。

第7页
隧道设置完成后,在隧道监控里启用该隧道,即点连接。

隧道建立成功后,隧道状态如上图
三、 验证与调试
按照拓扑配置PC 地址,PC 网关指向各自相连的防火墙,可以ping 通。

相关文档
最新文档