联想网御防火墙PowerV_快速开始.docVIP

网御防火墙 PowerV快速开始文档变更历史版本号修改日期修改原因修改位置备注修改人初稿V1.02004-5-4创建让用户很快上手毕学尧快速配置使用防火墙本章向您简要介绍如何快速配置和使用网御防火墙PowerV，适合初次使用网御防火墙PowerV的用户。如果您在使用中遇到困难，请先尝试本章提供的解决方法或参阅完整的用户手册，如仍不能解决问题，请及时与联想公司信息安全事业部售后支持人员联系，联系方法如下（可能有所变动，以网站公布信息为准）：电话：01062969266网站：电子邮箱：1.1 概述在缺省情况下，网御防火墙PowerV支持两种管理方式：串口命令行方式和远程WEB管理。串口命令行方式适用于对防火墙比较熟悉的用户，操作较复杂。WEB方式直观方便，但要求认证管理员身份。如果正式使用防火墙推荐采用WEB方式，如果希望快速配置使用，推荐采用串口命令行方式。如果您希望使用命令行方式管理防火墙，请详细阅读1.2节、1.3.2节。如果您希望使用WEB方式远程管理防火墙，请详细阅读1.2节和1.3.1节。防火墙主要以两种方式接入网络：透明方式和路由方式。透明方式下不用改动原有网络配置；在路由方式下，配置完防火墙后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向防火墙。1.2 准备开始接通电源，开启防火墙，防火墙正常启动后，会蜂鸣三声，未出现上述现象则表明防火墙未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系防火墙技术支持人员。1.3 配置使用1.3.1 通过WEB浏览器配置管理防火墙设备基本过程：配置管理主机-安装usb钥匙并认证管理员身份配置管理1. 选用管理主机。要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5.0以上版本、文字大小为中等，屏幕显示建议设置为1024*768。2. 安装认证驱动程序。插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出 重新插锁”。切记：安装驱动前不要插入USB电子钥匙。3. 安装usb电子钥匙。在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框，直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试，选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙，重启系统后再试一次，如仍无法解决，请联系技术支持人员。4. 连接管理主机与防火墙。利用随机附带的网线直接连接管理主机网口和防火墙fe1网口（初始配置，只能将管理主机连接在防火墙的第一个网口上），把管理主机IP设置为00, 掩码为。在管理主机运行ping 54验证是否真正连通，如不能连通，检查管理主机的IP(00)是否设置在与防火墙相连的网络接口上，强烈建议该网口不要绑定其他IP，也不要通过交换机连接防火墙。5. 认证管理员身份。第一， 运行光盘上的InitIToken程序，弹出对话框，输入防火墙IP：54。输入防火墙ID，然后点击“写入”，提示输入“超级管理员密码” 输入12345678即可。第二， 运行administrator目录中的ikeyc程序，提示输入用户pin, 输入12345678即可。此时电子钥匙中存储的默认防火墙IP地址为54，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了。如果出现其他错误，请检查网络连接、pin码是否输入错误等。6. 连接防火墙。运行IE浏览器，在地址栏输入54:8888, 等待约20秒左右会弹出一个对话框提示接受证书，选择接受即可。系统将提示输入用户名和密码，缺省都是administrator.7. 防火墙网络配置。按防火墙接入方式主要分两种情况：第一， 透明方式，即把防火墙直接串接到已有网络中，不改动已有的网络配置。以fe3和fe4为例I. 进入网络配置-网络设备-物理设备，点击fe3对应的操作按钮进行编辑,选择工作模式为“透明模式”，如果该接口连接交换机的trunk口且交换机划分多个vlan, 选择开启trunk功能，最后选择启用设备；II. 进入网络配置-网络设备-物理设备，点击fe4对应的操作按钮进行编辑,选择工作模式为“透明模式”，如果该接口连接交换机的trunk口且交换机划分多个vlan, 选择开启trunk功能，最后选择启用设备；第二， 路由方式，即防火墙两侧的主机或网络设备把防火墙作为网关。以fe3、fe4为例I. 进入网络配置-网络设备-物理设备，点击fe3对应的操作按钮进行编辑,输入防火墙IP地址，掩码；如果该接口连接交换机的trunk口且交换机划分多个vlan, 选择开启trunk功能，最后选择启用设备。 II. 进入网络配置-网络设备-物理设备，点击fe4对应的操作按钮进行编辑,输入防火墙IP地址，掩码；如果该接口连接交换机的trunk口且交换机划分多个vlan, 选择开启trunk功能，最后选择启用设备。III. 如果希望防火墙能上互联网，还需要给防火墙配置缺省路由。进入网络配置-静态路由-添加，目标地址:：, 掩码：,下一跳地址输入缺省网关地址，网络接口：输入与缺省网关直接相连的网口设备。8. 配置安全策略第一， 系统缺省包过滤策略是允许, 因此在缺省情况下防火墙就可以正常转发网络数据。可以通过配置安全选项改变缺省策略，具体是：进入策略配置-安全选项-包过滤策略，取消“包过滤缺省允许”。第二， 如果希望对指定地址、服务限制访问或进行地址转换，您必须自定义安全规则，详细请参阅用户手册第四章“策略配置”提示：1. 配置安全策略之前必须进行资源（如IP）定义切记不要通过直接关闭浏览器来中止配置管理，应采用点击界面上“退出”，因为这样可以通知防火墙关闭这个会话，从而最大限度的保证安全性。如果直接关闭浏览器，防火墙没有收到结束会话的指令，则会误以为该管理员仍在线管理中，如果同时没有选择了“允许多个管理员登录”，则会造成别的管理员登录不了。1.3.2 通过串口配置管理防火墙设备基本步骤：连接串口线配置超级终端配置管理1. 选用管理主机。要求具有空闲的RS232串口，操作系统应为Window98/2000/XP，系统包含超级终端工具如windows超级终端或SecureCRT。2. 连接防火墙。利用随机附带的串口线连接管理主机的串口和防火墙串口1，启动超级终端工具，以windows自带超级终端为例：选择程序-附件-通讯-超级终端，选择用于连接的串口设备。定制通讯参数：a) 每秒位数：9600；b) 数据位：8；c) 奇偶校验：无；d) 停止位：1；e) 数据流控制：无。提示：对于windows自带超级终端，可以只选择“还原默认值”即可。3. 登录防火墙。当防火墙提示输入用户名和密码时，输入“administrator”和“administrator”，所有的字母都是小写的。4. 防火墙网络配置。按防火墙接入方式主要分两种情况：第一， 透明方式，即把防火墙直接串接到已有网络中，不改动已有的网络配置。以fe3和fe4为例I. interface set phy if fe3 workmode trans active on，如果fe3连接交换机trunk口而且交换机划分多个vlan，增加trunk on参数II. interface set phy if fe4 workmode trans active on，如果fe4连接交换机trunk口而且交换机划分多个vlan，增加trunk on参数第二， 路由方式, 即防火墙两侧的主机或网络设备把防火墙作为网关。比如使用设备fe3和fe4，地址为/24和/24,缺省网关为54, 配置方法如下：I. interface set phy if fe3 ip netmask workmode route active on补充：如果fe3连接交换机trunk口而且交换机划分多个vlan，增加trunk on参数；如果希望该接口可以响应icmp请求，增加ping on参数；如果希望该接口可以用于WEB管理，增加admin on参数。II. interface set phy if fe4 ip netmask workmode route active on补充：如果fe3连接交换机trunk口而且交换机划分多个vlan，增加trunk on参数；如果希望该接口可以响应icmp请求，增加ping on参数；如果希望该接口可以用于WEB管理，增加admin on参数。III. 如果希望防火墙能上互联网，还需要给防火墙配置缺省路由。route add static dip / gateway 54 interface fe35. 配置安全策略第一， 系统缺省包过滤策略是允许, 因此在缺省情况下防火墙