联想网御防火墙PowerV Web界面操作手册_4网络配置
联想网御Power V系列配置案例集22(双机热备配置案例)
22.1 网络需求网御防火墙高可用性有多种配置环境,此处仅以常用的环境做案例展示。
用户环境透明或者路由,防火墙主备模式,只有一台工作,另一台热备。
用户环境透明,且需要两台防火墙同时工作,即主主模式,防火墙可以用会话保护22.2 网络拓扑双机热备防火墙工作透明,用户环境透明全交叉。
初次配置主墙的心跳IP(1.1.1.1)备墙的心跳IP(1.1.1.2)22.3 配置步骤(1)配置防火墙透明桥模式(2)将定义好的桥接口绑定在桥中(3)防火墙安全选项设置(4)配置防火墙安全策略(5)主墙配置HA(配置HA接口,设置双机热备)(6)备墙配置HA(配置HA接口,设置双机热备)(7)HA状态查看22.4 配置流程(1)配置防火墙透明桥模式进入【网络管理】-【网络接口】-【物理设备】,设置相应接口为透明模式(2)将定义好的桥接口绑定在桥中进入【网络管理】-【网络接口】-【桥设备】(3)防火墙安全选项设置进入【防火墙】-【安全选项】勾选“包过滤802.1Q(VLAN)承载的IP、IPV6、ARP报文”(4)配置防火墙安全策略进入【防火墙】-【策略】-【安全策略】,添加符合条件的安全规则。
(5)主墙配置HA(配置HA接口,设置双机热备)进入【网络管理】-【高可用性】-【HA网口】启用会话同步目的是同步会话。
(6)备墙配置HA(配置HA接口,设置双机热备)(7)HA状态查看进入【网络管理】-【高可用性】-【HA状态】节点优先级为,1,2 状态正常,1为主,2为备,如果为0,说明故障。
注意事项:1.配置主墙除了HA之外的其余配置。
2.配置主墙HA。
3.配置备墙HA,且备墙仅配置HA,完成配置后,保存配置关机。
4.连接主墙与备墙之间的心跳线。
5.连接主墙及备墙上的业务线。
6.启动备墙。
联想网御防火墙Power V Web界面操作手册
Power V防火墙产品说明
联想网御强五(PowerV)系列防火墙网御强五系列防火墙是网御产品中的重要一员,它是专门为企业级用户打造的高可用的安全产品。
它利用精心设计的网御防火墙操作系统,基于IA架构,充分发挥了硬件的高效数据交换能力和系统并行处理能力,实现了高性能与高安全性的完美结合。
◆产品图片:◆产品特点:1、强适用性网络部署灵活,适应多种复杂网络环境和接入模式。
支持各种应用代理及多种基于动态协议的复杂应用。
提供灵活多样的VPN客户端接入方式。
2、强安全性采用增强型抗攻击技术,可防范各种常见类型的网络攻击。
3、强可靠性拥有国内唯一的防火墙HA集群技术,可实现四个防火墙集群的主动负载均衡。
4、强扩展性软件设计采用安全功能模块化和核心模块核外化技术,模块升级简便,充分保障用户的投资利益。
5、强管理性支持多种管理方式,提供完善的日志管理和审计功能,有效降低管理成本注:强五系列产品“并发连接数”可根据用户需求定制升级,具体型号的参数未列做说明!◆典型应用:典型应用一:高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为联想网御防火墙Power V在骨干网络中应用的例子。
正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。
当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。
切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。
同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化。
防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性。
典型应用二:骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
网御防火墙管理系统使用手册
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8
联想网御防火墙powervweb界面操作手册_4网络配置
联想网御防火墙P o w e r VW e b界面操作手册_4网络配置(总31页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March第4章网络配置本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。
4.1 网络设备联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。
下面对各类设备的特点做一简要说明。
物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。
增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。
其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。
物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。
VLAN设备:是一种在物理设备基础上创建的设备。
与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。
它可以工作在路由模式下,也可以工作在透明模式下。
同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。
同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。
不同物理设备上创建的VLAN设备的VLAN ID可以相同。
桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。
这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御防火墙配置手册之欧阳美创编
联想网御防火墙配置手册(3213)1、
2、根据防火墙接口数量及业务系统需求规划防火墙各接口用
途、IP地址信息、及各接口的策略等。
3、防火墙设备安装,连接各种线缆。
4、安装防火墙管理密钥驱动。
5、插入管理密钥,运行防火墙管理认证程序。
默认管理IP
地址10.1.5.254 端口9999。
6、认证程序连接防火墙成功后,利用浏览器登陆防火墙,地
址:https://10.1.5.254:8888默认用户名:administrator密码:administrator。
7、设置各物理接口IP地址、工作模式等信息。
8、设置别名设备,绑定外网地址到外网的物理接口上,以备
设置端口或IP映射做准备。
9、设置管理主机,提高系统安全性,只有设置的管理主机范
围才有访问防火墙的权限。
10、按系统规划需求,定义所需地址列表及服务器地址等信
息,以备后期定义策略时使用。
11、根据系统规划需求,设置默认路由。
12、配置NAT规则。
13、配置IP或端口映射。
IP映射会对此映射IP的所有端口开
放,端口映射只开放相应映射的端口。
14、配置包过滤规则。
15、配置其它安全选项。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章网络配置本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。
4.1 网络设备联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。
下面对各类设备的特点做一简要说明。
物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。
增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。
其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。
物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。
VLAN设备:是一种在物理设备基础上创建的设备。
与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。
它可以工作在路由模式下,也可以工作在透明模式下。
同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。
同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。
不同物理设备上创建的VLAN设备的VLAN ID可以相同。
桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。
这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
VPN设备:是启用VPN功能必须要启用的设备。
整个防火墙系统中只能有一个VPN 设备,但是VPN设备的绑定设备可以选择。
系统通过绑定的设备来发送和接收加密后的数据包。
VPN设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。
VPN 设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。
别名设备:用于给物理设备配置多个IP地址。
每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。
同时要注意的是设备的IP地址不能重复。
冗余设备:是将两个物理设备用做一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。
冗余设备可以工作在全冗余和半冗余两种模式下。
在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。
在半冗余模式下,加入冗余设备的两个物理设备使用它们各自的参数。
冗余设备默认工作在半冗余模式下。
拨号设备:用于启用ADSL拨号功能所必须要启用的设备。
系统中只能有一个拨号设备,但是拨号设备绑定的物理设备可以选择。
系统通过绑定的设备来发送和接收PPoE的数据包。
拨号设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。
拨号设备的IP地址、掩码每次ADSL拨号成功后,自动获得。
配置防火墙的过程中,必须首先配置网络设备,再配置防火墙安全策略。
如果网络设备的配置发生了改变,建议对相关的安全策略也进行调整。
4.1.1 物理设备物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。
其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。
它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。
物理设备也可以切换到透明模式。
当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
物理设备是其他设备的基础。
在WEB配置管理界面和CLI配置管理界面上可配置的物理设备是在系统启动时能够检测到的设备,如果系统启动时,检测不到相应的设备,那么这个设备在界面上就不会显示。
表4-1物理设备上可配置的属性间的绑定关系会被注册到特定的服务器上,注册所需的用户名、密码可以在系统设置>>系统参数中设置。
此功能用于IP地址不固定的VPN组网。
动态域名与设备IP地址对应的动态域名开启TRUNK是否将设备设置为TRUNK口。
用于连接交换机或者路由器的TRUNK口。
开启带宽管理是否开启此设备上的带宽管理设备带宽此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
开启DHCP中继是否允许此设备转发DHCP中继信息DHCP服务器地址此设备将DHCP信息中继到哪个服务器上,这是一个IP地址的列表,如果有多个IP地址,请用英文逗号分隔,中间不能有空格,IP地址不能重复。
用于管理此设备的IP地址是否能用于管理允许PING此设备的IP地址是否允许被PING到允许TRACEROUTE此设备的IP地址是否允许被TRACEROUTE到是否启用是否启用此设备图4-1 物理设备列表在上图中,有一个“允许开启TRUNK的物理设备在不同VLAN间转发包”的选项,如果选中,则允许配置TRUNK,工作在透明模式的物理设备,根据规则在不同VLAN间转发数据包,如果没有选中,工作在透明模式的物理设备,则不会在不同VLAN之间转发数据包。
默认是不选中。
图4-2 物理设备可配置的属性4.1.2 VLAN设备VLAN设备是一种在物理设备基础上创建的设备。
它可以工作在路由模式下,也可以工作在透明模式下,工作在透明模式时,此设备可加入桥接设备。
VLAN设备可以与其他同VLAN的设备通讯,并通过防火墙转发不同VLAN之间的通讯。
同一个物理设备上可以创建多个不同VLAN ID的VLAN设备。
不同物理设备上的VLAN设备的VLAN ID可以相同。
VLAN设备和物理设备上的TRUNK属性是防火墙支持VLAN应用环境的两种方式。
用户可以根据实际情况来选择使用何种方式,但两种方式不能同时使用。
表4-2 VLAN设备上可配置的属性属性名称描述选择绑定设备VLAN的绑定设备必须是启用的,工作在路由模式下物理设备,并且此物理设备没有开启TRUNK。
填写VLAN ID VLAN ID是一个0到4094的无符号整数工作模式设备的工作模式,目前支持的有以下两种1:路由模式,这是设备默认的工作模式2:透明模式,设置为透明模式的设备IP地址/掩码,不能用于管理,PING和TRACEROUTE等选项也不能选择。
IP地址设备的IP地址,路由模式下必须填写掩码设备的掩码,路由模式下必须填写MAC地址设备的MAC地址,如果不填,则表示自动获取开启带宽管理是否开启VLAN设备的带宽管理,VLAN设备的带宽管理和它的绑定设备上的带宽管理相互冲突,不能同时存在设备带宽此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
用于管理此设备的IP是否用于管理允许PING此设备的IP是否允许被PING到允许TRACEROUTE此设备的IP是否允许被TRACEROUTE到是否启用是否启用此设备图4-3 VLAN设备列表图4-4 VLAN设备可配置的属性4.1.3 桥接设备桥接设备是将多个工作在透明模式的物理设备和VLAN设备绑定在一起的设备。
启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。
防火墙可以创建多个桥接设备(最多可以创建八个桥接设备,设备名分别是brg0, brg1, brg2, brg3, brg4, brg5, brg6, brg7),而且这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。
在这种情况下,路由信息和桥接设备的信息相互间没有影响。
表4-3 桥接设备可配置的属性属性名称描述设备名称桥接设备的设备名称,不能修改IP地址设备的IP地址,桥接设备的IP地址可以为空。
如果它的IP地址是空则不能设置管理,PING和TRACEROUTE。
掩码设备的掩码,桥接设备的掩码可以设置为空。
开启STP桥接设备是否开启STP(生成树协议)用于管理此设备的IP是否用于管理允许PING此设备的IP是否允许被PING到允许TRACEROUTE此设备的IP是否允许被TRACEROUTE到可选绑定设备列表桥接设备可选的绑定设备列表。
列表包括工作在透明模式的物理设备和VLAN设备。
绑定设备列表被选中的绑定设备列表是否启用是否启用此设备图4-5 桥接设备列表图4-6 桥接设备可配置的属性4.1.4 VPN设备VPN设备是启用VPN功能所必须要启用的设备。
系统中只能有一个VPN设备,但是VPN设备的绑定设备可以选择。
VPN设备也可以启用带宽管理功能,但这要求它的绑定设备没有启用带宽管理。
VPN设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。
表4-4 VPN设备可配置的属性属性名称描述设备名称VPN设备名称,不能修改选择绑定设备VPN的绑定设备,包括有IP地址的,启用的物理设备、桥接设备或拨号设备开启带宽管理开启VPN设备的带宽管理设备带宽此设备支持的带宽。
如果设备的速度是10M,设备带宽的范围是1-10000之间;如果设备的速度是100M,设备带宽的范围是1-100000之间;如果设备的速度是1000M,设备带宽的范围是1-1000000之间。
是否启用是否启用此设备图4-7 VPN设备列表图4-8 VPN设备可配置的属性4.1.5 别名设备别名设备的作用是给物理设备配置多个IP地址。
每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。
同时要注意的是别名设备的IP地址不能重复。
表4-5 别名设备可配置的属性属性名称描述绑定设备名称绑定设备的名称,可选的绑定设备包括已启用的工作在路由模式下的物理设备和已启用的桥接设备别名ID别名设备的别名ID,允许值是0-15IP地址别名设备必须配置IP地址掩码别名设备必须配置掩码用于管理设备的IP地址是否能用于管理允许PING是否允许PING设备的IP允许TRACEROUTE是否允许TRACEROUTE设备的IP是否启用是否启用设备图4-9 别名设备列表图4-10 别名设备可配置的属性4.1.6 冗余设备冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。