联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
网御POWER-V 系列防火墙配置IP、端口应射简易文档
小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项:1:请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2:请您在参照文档开始操作前,确认对防火墙的配置权限。
即拥有USB口电子加密锁。
同时在管理主机上安装过“网御防火墙管理员认证程序”3:确保在配置过程中管理主机与防火墙的连接状态。
4:文档中所使用的拓扑图如下,配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。
同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。
(出厂默认为12345678)2.1 出现认证程序界面后点击连接。
待出现认证通过的提示后,指示灯会变为绿色。
3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。
在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。
2.3 在上图中,主要需要配置的是网络接口的IP地址。
在IP地址输入1.1.1.1、在掩码输入对应的掩码。
这里输入255.255.255.0。
跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。
网络设备的界面中fe2的设备会显示已经启用。
三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。
3.2 名称可以随意。
请注意,必须使用字母开头,并且暂时不支持中文。
在标识为1的行中输入服务器的内网IP即可。
备注是对服务器的说明,可以随意。
3.3 对需要对外发布的服务做定义。
如果是使用常见服务比如HTTP、FTP等服务,防火墙有预定义服务,就不需再做定义。
PowerVM配置文档及原理详解
VIO配置文档一、创建VIO SERVER (2)二、安装VIO系统 (7)三、配置映射关系(原理参考SG247940) (9)1、VSCSI映射关系 (9)2、SEA映射关系 (13)四、创建VIO CLIENT (16)五、双VIO原理 (21)1、存储冗余实现原理 (22)1.1内部存储: (22)1.2外部存储: (22)2、网络冗余实现原理 (23)2.1SEA_Failover方式 (23)2.2NIB方式 (24)六、双VIO配置步骤 (25)1、创建两个VIO S ERVER端 (25)2、存储冗余 (25)2.1 内置硬盘冗余: (25)2.2外置硬盘冗余: (27)2.3 多链路冗余测试 (32)3、网卡冗余(以SEA_FAILOVER为例) (33)4、测试网卡(以SEA_FAILOVER为例) (38)附: (43)1、双VIO网卡注意事项 (43)2、以下情况触发网卡切换(SEA_FAILOVER方式) (43)3、MPIO参数调优及解释: (43)4、链路优先级查看与修改 (44)一、创建VIO Server1、在HMC中创建VIO server.2、前面与创建Lpar过程类似…(步骤略)到创建I/O选项时,选择此VIO server需要的设备,并设置为Required。
3、创建Virtual Adapters (虚拟适配器)3.1、创建Ethernet Adapter (虚拟网卡)3.2、配置虚拟网卡参数➢Adapter ID:虚拟网卡的系统Location➢VLAN ID:虚拟交换机编号(相同VLAN ID指向同一个交换机,相同VLAN ID才能通信)➢IEEE 802.1q compatible adapter:多个VLAN ID并存。
➢Access external network:连接外部网络,在Server端做SEA时必选。
Trunk Priority(优先级别):多个VIO server中选择优先激活的SEA设备(多VIO时只能同时激活一条网络通路,需要优先级别告诉系统谁最先被激活,后面搭建双VIO会提到)。
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
联想网御防火墙PowerV Web界面操作手册_2开始
第2章如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。
这些有助于管理员完成防火墙软硬件的快速安装和启用。
如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。
2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。
网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。
可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。
2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。
●高安全●高可用性●高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。
主要具有以下功能:●状态检测和动态过滤采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化的要求。
可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。
●双向NAT地址转换在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。
支持静态NA T、动态NAT及IP映射(支持负载均衡功能)、端口映射。
●应用层透明代理支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。
联想网御防火墙PowerV-Web界面操作手册-3系统配置
第3章系统配置本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新,管理配置,联动,报告设置,入侵检测和产品许可证。
3.1 日期时间防火墙系统时间的准确性是非常重要的。
可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步(NTP协议)图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”,输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”,输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项:防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时间后配置管理界面登录超时等。
3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。
防火墙名称的最大长度是14个英文字符,不能有空格。
默认的防火墙名称是themis,用户可以自己修改这个名称。
动态域名注册所使用的用户名、密码的最大长度是31个英文字符,不能有空格。
动态域名的设置在网络配置>>网络设备的物理网络配置中。
图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。
图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮,选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮,重启防火墙完成升级导出升级历史点击“导出升级历史”按钮,导出升级历史做备份。
检查最新升级包管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE窗口并连接联想安全服务网站(防火墙可以连接Internet)。
联想网御防火墙PowerV-Web界面操作手册-3系统配置
第3章系统配置本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新,管理配置,联动,报告设置,入侵检测和产品许可证。
3.1 日期时间防火墙系统时间的准确性是非常重要的。
可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步(NTP协议)图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”,输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”,输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项:防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时间后配置管理界面登录超时等。
3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。
防火墙名称的最大长度是14个英文字符,不能有空格。
默认的防火墙名称是themis,用户可以自己修改这个名称。
动态域名注册所使用的用户名、密码的最大长度是31个英文字符,不能有空格。
动态域名的设置在网络配置>>网络设备的物理网络配置中。
图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。
图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮,选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮,重启防火墙完成升级导出升级历史点击“导出升级历史”按钮,导出升级历史做备份。
检查最新升级包管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE窗口并连接联想安全服务网站(防火墙可以连接Internet)。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
(强烈推荐)联想网御powerv培训教材
3防火墙界面介绍
管理首页
3防火墙界面介绍
各级子菜单
3防火墙界面介绍
管理配置-管理主机
3防火墙界面介绍
管理方式设定
3防火墙界面介绍
网络配置:
加入连接网络的各进出IP,若为不同网段,工作方 式为:路由模式,若两边为相同网段,则为透明模 式
3防火墙界面介绍
网桥设备
3防火墙界面介绍
VPN设备
注意,这里的VPN设备绑定后,不能在弹出的页面启用, 需要回到上级页面处,在是否启用处点生效。
3防火墙界面介绍
拨号设备
3防火墙界面介绍
物理设备
这里可以设定是否被管理,是否可以PING,等功能。
3防火墙界面介绍
网桥设备
3防火墙界面介绍
拨号设备
3防火墙界面介绍
域名服务器
3防火墙界面介绍
静态路由
3防火墙界面介绍
安全选项
默认全通/全禁
3防火墙界面介绍
包过滤规则
3防火墙界面介绍
端口映射规则
3防火墙的配置管理
IP映射
注意:如果源地址包含管理主机,公开地址是防火墙的管理IP,该管理主机将不 能管理防火墙。
3防火墙界面介绍
包过滤
3防火墙的配置管理
NAT
注意:设置一条NAT 规则,必须再设置一条相应的包过滤规则才能生效。
目录
1 2 3 4 5 6 Power V Power V Power V Power V Power V Power V 防火墙产品介绍 登录防火墙管理页面 防火墙界面介绍 防火墙的配置管理 典型应用环境 实验方案
3典型应用环境
三网口混合模式
fe1工作在透明模式,fe3工作在透明模式,fe4工作在路由模式
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11.1 静态路由配置
配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。
(1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。
(2)目的地址:需要访问的目标网络
掩码:目标网络的掩码
下一跳地址:防火墙流出网口的对端设备地址
Metric:优先级,metric值越小优先级越高
网络接口:防火墙的流出接口
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。
如果静态路由生效,如下图所示。
注意事项:
(1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。
(2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。
11.2 默认路由配置
配置需求:经过防火墙的数据包全部转发给211.211.211.210.
(1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。
(2)默认网关:211.211.211.210;
权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。
如果默认路由生效,如下图所示。
注意事项:
(1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。
(2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。
11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。
(1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。
命名路由表名称和路由表ID
点击新建路由表后面的操作按钮,新建路由表内容
(2)再进入【高级路由策略】中新建高级路由策略;
优先级:多条策略路由,优先级越小越优先。
源地址/掩码:内网网段地址
目的地址/掩码:配置同策略路由表内容
流入网口:防火墙内网网关接口
路由表:勾选刚才定义的策略路由表
11.4 ISP路由配置
配置需求:防火墙多运营商接入。
想实现内网用户访问电信地址从电信接口流出,访问联通地址从联通接口流出,访问移动地址从移动接口流出。
(1)获取正确的ISP路由表,并在【路由管理】--【ISP路由】--【ISP地址】导入防火墙
(2)配置ISP路由策略
填写对应的ISP引用地址,下一跳地址。
流出网口即可。
此处,不需要在策略路由中引用,相当于配置静态路由实现。