联想网御Power V系列配置案例集9(双出口端口映射配置案例)
联想网御PowerV系列配置案例集9(双出口端口映射配置案例)
9.1网络需求某企业网络接入联通,电信两个运营商,要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。
为了提高互联网访问速度,实现电信用户访问电信接口 地址,联通用户访问联通接口地址进行访问9.2网络拓扑9.3配置流程配置端口映射策略,将内网服务器映射到公网 配置安全策略,允许外网用户访问内网9.4配置步骤(1) 配置网络连通性保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通 联通 警理員 电信UJLQ用户 用户(1) 配置网络联通性定义IP 地址对象、 开放端口对象Internet网御防火墙交掬机Internet(2)定义IP地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。
此处掩码必须配255.255.255.255L nJ■ an*在【防火墙】--【服务】--【基本服务】定义开放的端口号Infm注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射■IMI ■BUM公开地址:需要映射的外网口地址 (必须为物理接口或者别名设备地址)拨号用户选择拨号获取到的公网地址即可内部地址:在地址列表里定义的服务器地址对外服务:需要对外开放的端口,此处选择 web 端口注:系统预定义大量常用端口,可以直接使用对内服务:内网服务器需要开放的端口,此处选择 web 端口注:对内服务、对外服务可以不一致,即对外服务为8080,对内服 务可以为80* Rt-NML■窗Hi ■马■纠删 -H*lMt• b!h««-RMtfi 肿讯a^RQ9K3■毗 I FWWVHit 首初1 SMI9 口(如果对外端口使用80、8080,在确保配置正确的情况下不通,请将对外端口更换为非常用端口,如果能够连通,则需要联系运营商放通80、8080端口) 流入网口:选择对应的公网接口隐藏内部地址:可选。
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
联想网御防火墙PowerV Web界面操作手册_2开始
第2章如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。
这些有助于管理员完成防火墙软硬件的快速安装和启用。
如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。
2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。
网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。
可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。
2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。
●高安全●高可用性●高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。
主要具有以下功能:●状态检测和动态过滤采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化的要求。
可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。
●双向NAT地址转换在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。
支持静态NA T、动态NAT及IP映射(支持负载均衡功能)、端口映射。
●应用层透明代理支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。
联想网御安全网关Power V 作业指导书
联想网御安全网关Power V作业指导书江苏国瑞信安科技有限公司二零一一年七月目录第1章如何开始 (1)1.1 登录管理界面 (1)1.1.1 登录方法 (1)1.1.2 管理认证 (2)1.1.3 登录过程 (3)1.1.4 网御安全网关Power V的一般配置过程 (4)1.1.5 退出登录 (4)第2章系统配置 (5)2.1 日期时间 (5)2.2 系统参数 (6)2.3 系统更新 (6)2.3.1 模块升级 (6)2.3.2 导入导出 (7)2.4 管理配置 (9)2.4.1 管理主机 (9)2.4.2 管理员账号 (10)2.4.3 管理证书 (11)2.5 报告设置 (12)2.5.1 日志服务器 (12)2.5.2 报警邮箱设置 (12)第3章策略配置 (14)3.1 安全选项 (14)3.1.1 包过滤策略 (14)3.1.2 IP/MAC检查 (15)3.1.3 允许所有非IP协议 (15)3.2 安全规则 (16)3.2.1 包过滤规则 (17)3.2.2 NA T规则 (18)3.2.3 地址列表、服务列表 (19)3.3 地址绑定 (20)3.4 带宽管理 (23)3.5 黑名单 (24)3.6 连接管理 (25)3.6.1 基本参数 (25)3.6.2 连接规则 (25)3.6.3 连接状态 (27)第4章网络配置 (29)4.1.1 物理设备 (29)4.1.2 VLAN设备 (30)4.1.3 桥接设备 (31)第5章绿色上网 (33)5.1 URL过滤策略 (33)5.2 绿色上网规则 (35)第6章系统监控 (35)6.1 网络设备 (35)6.2 HA状态 (37)6.3 资源状态 (38)6.4 日志信息 (39)6.4.1 日志查看 (39)6.4.2 包过滤日志报表 (40)6.4.3 P2P报表 (41)6.4.4 深度过滤报表 (41)6.5 用户信息 (42)6.6 连接状态 (42)6.7 连接统计 (44)6.8 深度过滤 (44)6.9 带宽监控 (45)6.10 网络调试工具 (45)6.11 路由监控 (46)6.12 动态路由监控 (47)第1章如何开始1.1 登录管理界面1.1.1 登录方法安全网关共有四种管理方式:1)Web界面管理2)串口命令行管理3)远程SSH登录管理4)PPP拨号接入管理。
联想网御防火墙PowerVWeb界面操作手册_5策略配置
第5章策略配置本章是防火墙配置的重点。
符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。
错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。
5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。
这些参数对整个防火墙生效。
界面如下图所示:图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。
包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。
如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。
严格的状态检测:选中为启用,不选为禁止。
仅针对TCP连接。
只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。
启用严格的状态检测,是为了防止ACK扫描攻击。
因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。
需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。
在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。
包过滤策略中还包括两项高级设置:图 5-2 安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。
如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。
重新设置规则可能会造成已有连接中断。
建议不启用。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御强五防火墙PowerV配置-带宽管理
共享带宽A1-1 保证带宽10Mbps 最大带宽20Mbps
非共享带宽A1 最大带宽 20Mbps 设备A 100Mbps
共享带宽A1-2 保证带宽5Mbps 最大带宽20Mbps
非共享带宽A2 最大带宽 10Mbps 共享带宽A2-1
举个例子,设备 A 口实际带宽为 100Mbps,下面一个非共享带宽 A1 的最大带 宽设置为 20Mbps。非共享带宽 A1 下面的共享带宽资源 A1-1 的保证带宽设置为 10Mbps, 最大带宽设置为 20Mbps; 而共享带宽资源 A1-2 的保证带宽设置为 5Mbps, 最大带宽设置为 20Mbps。 当共享带宽资源 A1-1 实际利用的带宽很少的时候,比如仅为 3Mbps 时,共享 带宽资源 A1-2 所需的实际带宽很大的时候,超出保证带宽 10Mbps,由于 A1-1 的 保证带宽没有完全用完,此时 A1-2 可以借用 A1-1 的带宽,实际带宽最高可以达到 17Mbps。小结一下,如果其共享带宽资源 A1-1 的保证带宽没有用完时,可以被其 它共享带宽资源借用,此为共享带宽的概念之一。 如果共享带宽资源 A1 所包含连接的数据包相应出口的连接流量上来时,比如 流量达到 10Mbps 时;此时首先要保证共享带宽资源 A1-1 和 A1-2 的保证带宽,然 后再共享在保证带宽之外的剩余的带宽 (20-10-5=5) 。 所以共享带宽资源 A1-1 的流 量为 10Mbps 时,共享带宽资源 A1-2 的流量应该降至 10M,即 A1-2 在其保证带宽 5Mbps 基础上,还使用了保证带宽之外的剩余的带宽 5Mbps。 如果共享带宽资源 A1-1、A1-2 的流量均超出对应的保证带宽,即 A1-1 超出 10Mbps,A1-2 超出 5Mbps。首先均保证两者的保证带宽,然后 A1-1 和 A1-2 根据 优先级共享和分配在保证带宽之外的剩余的带宽 5Mbps。这部分带宽就在 A1-1 和 A1-2 之间互相借用及共享,即共享带宽的概念概念之二。 带宽资源组里包含不同设备的共享带宽定义,被规则引用资源组时,匹配规则的流 量在设备 A 为出口时, 引用 A 设备的带宽控制定义, 匹配规则的流量在设备 B 为出 口时,引用 B 设备的带宽控制定义。 最终需在带宽管理规则中引用。
联想网御强五防火墙PowerV-防火墙管理
管理防火墙Power V 防火墙有2种管理方式,1是web(界面管理)管理。
2是命令行管理。
命令行管理又分为串口管理和SSH管理。
本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。
一.串口管理1.使用超级终端连接防火墙。
利用随机附带的串口线将PC的串口和防火墙串口相连,启动超级终端。
以Windows XP为例:选择程序->附件->通讯->超级终端,选择用于连接的串口设备。
定制通讯参数如下。
每秒位数:9600;数据位:8;奇偶校验:无;停止位:1;数据流控制:无。
第1页第2页第3页当出现上面的语言时,就可以通过命令行管理防火墙了。
2.使用SecureCRT连接防火墙。
利用随机附带的串口线连接管理主机的串口和防火墙串口。
在pc 上运行SecureCRT 软件。
第4页第5页出现上面的情况就可以用命令行管理防火墙了。
二.Web 管理1.使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装,注意安装时不要插入电子钥匙。
b.驱动安装成功后,将电子钥匙插入管理主机的usb口,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
c.选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框d.“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
2.使用证书a.首先从联想网御的FTP服务上获得证书。
FTP服务器IP地址是211.100.11.172,用户命密码都是lenovo。
b.用SecureCRT软件管理防火墙的命令行,用administrator/administrator帐号登陆。
c.执行rz命令上传防火墙导入的证书分别是:admin.pem;CACert.pem;leadsec.pem;第6页leadsec_key.pem,如图所示:d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9.1 网络需求
某企业网络接入联通,电信两个运营商,要将内网web服务器(192.168.1.11)的web端口映射到公网。
为了提高互联网访问速度,实现电信用户访问电信接口地址,联通用户访问联通接口地址进行访问
9.2 网络拓扑
9.3 配置流程
(1) 配置网络联通性
(2) 定义 IP 地址对象、开放端口对象
(3) 配置端口映射策略,将内网服务器映射到公网
(4) 配置安全策略,允许外网用户访问内网
9.4 配置步骤
(1)配置网络连通性
保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。
(2)定义 IP 地址对象、开放端口对象
在【防火墙】--【地址】--【地址】定义内网服务器地址。
此处掩码必须配255.255.255.255
在【防火墙】--【服务】--【基本服务】定义开放的端口号
注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口
(3)配置端口映射规则
在【防火墙】--【策略】--【NAT策略】--选择端口映射
公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址)拨号用户选择拨号获取到的公网地址即可
内部地址:在地址列表里定义的服务器地址
对外服务:需要对外开放的端口,此处选择web端口
注:系统预定义大量常用端口,可以直接使用
对内服务:内网服务器需要开放的端口,此处选择web端口
注:对内服务、对外服务可以不一致,即对外服务为8080,对内服务可以为80
(如果对外端口使用80、8080,在确保配置正确的情况下不通,请将对外端口更换为非常用端口,如果能够连通,则需要联系运营商放通80、8080端口)
流入网口:选择对应的公网接口
隐藏内部地址:可选。
如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器
如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙下联服务器内网接口地址。
(4)配置安全规则
源地址选择any,目的地址选择为web服务器,服务选择为web端口。