联想网御防火墙使用手册
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
网御防火墙管理系统使用手册
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8
联想网御防火墙PowerV Web界面操作手册_7资源定义
第7章资源定义为了简化防火墙安全规则的配置和维护工作,引入了资源定义。
联想网御防火墙系统可以定义以下资源:●地址:地址、地址组、NA T地址池、服务器地址●服务:服务、服务组●用户:用户、用户组●时间:时间、时间组、一次性调度和周循环调度●带宽:带宽●URL关键字●网页关键字●VLAN ID7.1 资源定义通用功能介绍对于各项资源,操作基本相同,通常提供如下操作:●分页显示●查找●排序●添加资源●编辑资源(修改)●删除资源还有一些需要注意的地方,适用于所有规则,比如:●名称的限制●备注的限制下面对这些共同的功能做一个介绍。
7.1.1 分页显示各列表界面均有“分页功能”,其工具条通常位于表格的下方,如下图所示:例如,点击“资源定义>>地址>>地址列表”,显示地址列表页面,就能看到上述工具条。
实际上,所有资源的列表页面都有该项功能。
具体如下:表7-1资源定义分页功能列表点击如果出现竖向滚动条,则点击7.1.2 查找为便于查找已经定义过的资源,各列表界面均提供了查找功能,通常位于标题和列表之间,靠右排列。
如下图所示:7.1.3 排序为便于查看比较资源,各列表界面均提供了排序功能。
具体如下:,蓝粗体(如)表示可以进行排序,黑通常按照字符串顺序进行排序(如、项,则按数字大小进行排序(如7.1.4 添加各项资源最重要的功能之一就是能够添加资源,按钮都排列在在各列表最下方的正中位置。
添加资源的操作步骤:1.在相应的资源列表页面中,点击,将弹出添加界面;2.给弹出界面的各域选择或者输入相应的值;3.点击,则成功添加本条规则后关闭本窗口;如果点击,则添加本条规则成功后刷新列表页码,本窗口不关闭,以便继续添加下一条。
点击后弹出界面中最下方通常有三个按钮,如图所示:7.1.5 编辑各项资源,不管是否被引用,均能随时修改。
名称不能改变,其余属性可以修改。
编辑资源的操作步骤:1.在相应的资源列表页面中,点击对应的编辑图标(如图:),将弹出编辑界面2.输入相应的值,或者指定相应的成员(对于各项资源,值的限制不同,在各资源中进行介绍,可参考具体资源的帮助或者手册)3.点击,修改成功后关闭本窗口。
联想网御防火墙PowerVWeb界面操作手册_5策略配置
第5章策略配置本章是防火墙配置的重点。
符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。
错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。
5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。
这些参数对整个防火墙生效。
界面如下图所示:图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。
包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。
如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。
严格的状态检测:选中为启用,不选为禁止。
仅针对TCP连接。
只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。
启用严格的状态检测,是为了防止ACK扫描攻击。
因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。
需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。
在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。
包过滤策略中还包括两项高级设置:图 5-2 安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。
如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。
重新设置规则可能会造成已有连接中断。
建议不启用。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御防火墙配置手册之欧阳美创编
联想网御防火墙配置手册(3213)1、
2、根据防火墙接口数量及业务系统需求规划防火墙各接口用
途、IP地址信息、及各接口的策略等。
3、防火墙设备安装,连接各种线缆。
4、安装防火墙管理密钥驱动。
5、插入管理密钥,运行防火墙管理认证程序。
默认管理IP
地址10.1.5.254 端口9999。
6、认证程序连接防火墙成功后,利用浏览器登陆防火墙,地
址:https://10.1.5.254:8888默认用户名:administrator密码:administrator。
7、设置各物理接口IP地址、工作模式等信息。
8、设置别名设备,绑定外网地址到外网的物理接口上,以备
设置端口或IP映射做准备。
9、设置管理主机,提高系统安全性,只有设置的管理主机范
围才有访问防火墙的权限。
10、按系统规划需求,定义所需地址列表及服务器地址等信
息,以备后期定义策略时使用。
11、根据系统规划需求,设置默认路由。
12、配置NAT规则。
13、配置IP或端口映射。
IP映射会对此映射IP的所有端口开
放,端口映射只开放相应映射的端口。
14、配置包过滤规则。
15、配置其它安全选项。
联想网御防火墙PowerV Web界面操作手册_8系统监控
第8章系统监控系统监控能够显示防火墙当时的工作状态,为防火墙管理员提供了功能强大的监控工具。
与联想网御集中管理软件共同使用,可以搭建全面的安全管理平台。
8.1 网络设备网络设备监控的是启用的物理设备收发包的情况,如图:图8-1网络设备监控图中的网络设备是当前有效的物理设备,状态图标表示设备处于启用状态,图标表示设备处于停止状态。
流量栏中显示了当前设备总发送和总接收的字节数。
点击“当前状态”可以查看设备更详细的信息,点击“统计图”可以查看设备收发数据的统计图示。
如果要查看设备一段时间内的监控信息,必须先启用设备监控服务,如下图:图标表示监控服务正在运行,图标表示监控服务已经停止。
点击“停止”按钮可以停止监控服务,点击“启动”按钮可以启动监控服务。
启动监控服务后,才可以在统计图中查看到统计数据;停止监控服务后,仍然可以查看当前设备收发数据的情况,但是无法查看历史数据。
如果要清除以前的统计数据,可以点击“清空数据文件”将之清除。
点击“当前状态”后,显示如下图所示的页面:图8-2网络设备当前状态页面中显示了设备的详细信息。
点击“统计图”后,显示如下图所示的页面:图8-3网络设备流量统计上图显示了设备“5分钟”,“30分钟”,“3小时”,“一天”之内的流量统计信息,每个设备都有自己的统计图。
流量的单位是兆字节,如果选择最近5分钟的数据,则系统每10秒钟记录一次流量信息,如果选择查看的时间较长,则系统记录流量信息的间隔也相应增大。
如果单位时间内流量一直小于1兆字节,则绘制的曲线会比较贴近横坐标,不很醒目。
8.2 HA状态如果启用了HA功能,则可以进行HA状态监控。
在主防火墙的监控界面上,可以监控集群内所有防火墙的HA状态。
包括:配置同步的情况,节点优先级,网口状态列表和探测周边设备状态列表。
如下图所示:图8-4显示HA状态点详细可看到该节点的详细信息,如下图图8-5HA状态详细显示其中主节点的“优先级”应为1,其余从节点的“优先级”依次为2,3,4(目前支持4个节点的HA工作模式)。
联想网御强五防火墙PowerV-防火墙管理
管理防火墙Power V 防火墙有2种管理方式,1是web(界面管理)管理。
2是命令行管理。
命令行管理又分为串口管理和SSH管理。
本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。
一.串口管理1.使用超级终端连接防火墙。
利用随机附带的串口线将PC的串口和防火墙串口相连,启动超级终端。
以Windows XP为例:选择程序->附件->通讯->超级终端,选择用于连接的串口设备。
定制通讯参数如下。
每秒位数:9600;数据位:8;奇偶校验:无;停止位:1;数据流控制:无。
第1页第2页第3页当出现上面的语言时,就可以通过命令行管理防火墙了。
2.使用SecureCRT连接防火墙。
利用随机附带的串口线连接管理主机的串口和防火墙串口。
在pc 上运行SecureCRT 软件。
第4页第5页出现上面的情况就可以用命令行管理防火墙了。
二.Web 管理1.使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装,注意安装时不要插入电子钥匙。
b.驱动安装成功后,将电子钥匙插入管理主机的usb口,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
c.选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框d.“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
2.使用证书a.首先从联想网御的FTP服务上获得证书。
FTP服务器IP地址是211.100.11.172,用户命密码都是lenovo。
b.用SecureCRT软件管理防火墙的命令行,用administrator/administrator帐号登陆。
c.执行rz命令上传防火墙导入的证书分别是:admin.pem;CACert.pem;leadsec.pem;第6页leadsec_key.pem,如图所示:d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置说明: 1:定义服务 object service ftp protocol tcp sport port-range 1 65535 dport port-range 21 21
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例 问题处理及日常维护
典型部署方式
39
部署网络防火墙策略十四条守则
1. 计算机没有大脑。所以,当防火墙的行为和你的要求不一致时, 请检查你的防火墙配置。
2. 只允许你想要允许的客户、源地址、目的地和协议。仔细的检 查你的每一条规则,看规则的元素是否和你所需要的一致。
37
防火墙策略注意事项
• 不管防火墙采用什么样的工作模式,必须 进行规则的设定。
• 注意策略的方向性,谁去访问谁。 • 策略是从上到下顺序匹配执行。 • 掩码的设置
– IP/255.255.255.255代表的是唯一的一台主机 – IP/255.255.255.0代表的是一个子网内的主机
• 源目的IP和服务中的any代表的是 all workstation 和all protocol
10.防火墙的每条访问规则都是独立的,执行每条访问规则时不会受 到其他访问规则的影响。
部署网络防火墙策略十四条守则
11.永远也不要允许任何网络访问防火墙本机的所有协议。内部网 络也是不可信的。
12.无论作为访问规则中的目的还是源,最好使用IP地址。 13.请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。 14.最后,请记住,防火墙策略的测试是必需的。
3. 拒绝的规则一定要放在允许的规则前面。 4. 当需要使用拒绝时,显式拒绝是首要考虑的方式。 5. 在不影响防火墙策略执行效果的情况下,请将匹配度更高的规
则放在前面。 6. 在不影响防火墙策略执行效果的情况下,请将针对所有用户的
规则放在前面。
部署网络防火墙策略十四条守则
7. 尽量简化你的规则,执行一条规则的效率永远比执行两条规则的 效率高。
什么是防火墙?
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问 不能防范来自网络内部的攻击 不能主动防范新的安全威胁
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
9
数据包
协议
数据包连接状态
• 通过netstat –na命令来查看本机的连接
工作模式-透明模式
internet
防火墙透明接入,相当于交换 机,防火墙接口不需要配置ip 地址,同时不用更改周边设备 的路由等信息
工作模式-路由模式
internet
防火墙做内部网络的网关
部署位置-网络边界防护
internet
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
典型应用方案二 详细配置
• 设备一: • object service ftp protocol tcp sport port-
range 1 65535 dport port-range 21 21 • interface Ge0/1/0 • ip address 6.0.0.1 24 • interface Ge0/1/1 • ip address 211.10.0.1 24 • pcp net_1 source-ip net 1.2.0.0 255.255.0.0 • pcp net_2 source-ip net 2.2.0.0 255.255.0.0 • pcp dnat-jl-ftp destination-ip net 211.10.0.1
8. 永远不要在网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的防 火墙形同虚设。
9. 如果可以通过配置系统策略来实现,就没有必要再建立自定义规 则(或特征)。
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------服务对象组
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
网御防火墙配置顺序
配置步骤
• 配置接口 • 配置路由或默认路由 • 定义资源-基于对象的概念,遵循先定义后
引用的原则。 • 配置策略-从上到下依次执行,第一优先匹
配的原则。
案例 防火墙路由模式接入网络
案例二:路由模式
路由模式—概述
• 路由模式的防火墙多部署于网络边界 • 连接多个不同网络
NAT基本配置
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl-ftp dnat interface g0/1/1
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------基本服务对象
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
•标记为不可达路由和黑洞路由的流量都 会被丢弃,对不可达的流量将返回ICMP •对于多出口不路可由达后差,错将消根息据所配置的权
值决定流量的分担
主要功能 ------PCP
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
• 打开IE浏览器输入https://10.1.5.254:8888 • 按照提示选择证书,登录完成。 • 输入用户名和密码。
配置前的信息收集工作
配置前的信息收集工作
• 查看网络环境(防火墙及周边路由器、交 换机和服务器的IP、路由状况等)
• 搞清楚应用需求(协议、服务和端口) • 制定合适的安全策略
2:定义PCP pcp dnat-jl-ftp destination-ip net 211.10.0.1 255.255.255.255 service-obj ftp pcp net_1 source-ip net 1.2.0.0 255.255.0.0 pcp net_2 source-ip net 2.2.0.0 255.255.0.0
B:外网用户通过DNAT访问
内网的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
电信
GE 0/1/1 IP add 211.10.0.1/24
GE 0/1/0 IP add 6.0.0.1/24 IP add 6.0.0.2/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
访问控制,过滤未经许可的通信流量
未经许可的流量
合法的流量
风险管理:---就是为了把网络的安全风险降到可接受的程度
部署位置-网络内部区域防护
网络内部区域防护,即多安全域防护。
internet
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
16
防火墙配置案例
• 准备工作-登录防火墙 • 配置前的信息收集 • 网御防火墙的配置顺序 • 防火墙路由模式接入案例 • 防火墙策略注意事项
NAT配置步骤:
定义被 添加报 配置 引用的 文待匹 pcp对
地址资 配的包 应的 源(可 分类 NAT策 选) (PCP) 略
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet
准备工作 登录防火墙
准备工作
• 配置管理主机的ip地址 • 连接连接主机和防火墙 • 登录防火墙
准备工作-本机配置
• 主要是配置主机的IP地址为 10.1.5.200/255.255.255.0
准备工作-连接防火墙
FE1IP地址:10.1.5.254 网卡IP地址:10.1.5.200