联想网御防火墙安装手册PPT课件.ppt

powerv防火墙安装调试培训 1 目录 1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理 2 目录 1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理 3 1 1安装调试前的工作1 2安装调试的准备工作1 3管理方式简介1 4登录防火墙 登陆防火墙管理页面 4 拆箱检查 请按照装箱单的提示检查机箱内所有的配件 防火墙主机 USB电子钥匙 随机光盘 电子钥匙驱动 电子钥匙初始化程序 管理员登录认证程序 电源线 网线 交叉线 串口线 安装支架 保修卡 注 如发现有问题 请及时与你的供货商进行沟通解决 1 1安装调试前的工作 5 一 第一时间内填写保修卡的回执卡 并邮寄回联想公司 以便于成为联想公司永远服务的对象 二 在线服务网站联想信息安全网站为用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档 并且提供在线问答等特色服务 三 进行产品注册 请您详细填写用户名 通信地址 联系电话 E mail地址等信息 以便于将新的技术成果迅速及时的传递给您 前期工作 1 1安装调试前的工作 6 一 接通防火墙电源 开启防火墙 听到 滴滴滴 后防火墙启动完成 二 选用一台带USB接口 以太网卡和光驱的PC机作为防火墙的管理主机 操作系统应为Window98 2000 XP 2003 暂不支持linux unix 三 使用随机提供的交叉线 连接管理主机和防火墙的FE1网口10 1 5 254 出厂默认的地址 将管理主机的IP地址改为10 1 5 200 防火墙出厂时默认指定的管理主机IP 1 2安装调试的准备工作 7 支持多种管理方式 串口命令行管理 常用于灾难的恢复工作Web页面管理 常用于正常管理SSH远程管理 常用于管理调试集中管理 方便管理PPP远程拨号接入 专线远程拨入 1 3管理方式介绍 8 A 电子钥匙认证需要安装电子钥匙驱动程序和防火墙管理员登录认证程序 B 证书认证需要导入IE证书 和防火墙证书 IE证书与防火墙证书要一一对应 防火墙证书支持页面与串口两种方式 认证方式 1 4登录防火墙 9 安装电子钥匙驱动程序将随机光盘放入管理主机的光驱 进入随机附带的光盘的key目录 执行该目录下的INSTDRV 提示 退出请重新插锁 则表示已正确安装完网御电子钥匙的驱动程序 电子钥匙认证 注意 安装驱动程序过程中 请不要先将网御电子钥匙插入管理主机的USB口 1 4登录防火墙 10 1 4登录防火墙 点击 退出请重新插锁 后装电子钥匙插入管理主机USB接口中 XP 2000 2003系统提示自动搜索电子钥匙驱动程序 自动安装即可 注意 安装驱动程序过程中 请不要先将网御电子钥匙插入管理主机的USB口 电子钥匙认证 11 在管理主机上 运行随机光盘administrator目录下的ikeyc程序 程序将提示用户输入PIN口令首次使用默认PIN为 12345678 1 4登录防火墙 电子钥匙认证 12 通过后弹出管理员身份认证对话框 首次登录点击 连接 成功后 会显示 通过认证 对话框 退出防火墙管理之前请不要关闭此页面 注 在管理防火墙过程中 本程序每5秒将向防火墙提交一次认证信息 因此 不能拔出电子钥匙 或者关闭认证程序 否则将导致对防火墙的管理被立即中断 电子钥匙认证 1 4登录防火墙 13 通过认证程序后 在IE中输入https 防火墙IP 8888出厂默认地址10 1 5 254 默认的用户密码administrator 1 4登录防火墙 电子钥匙认证 14 电子钥匙认证 1 4登录防火墙 15 一 使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用 二 导入IE浏览器证书 证书认证 1 4登录防火墙 16 首先以电子钥匙方式登录到防火墙 进入 系统配置 管理配置 管理员证书 管理员证书模块中选择浏览 在本地计算机文件夹中选择CACert pem leadsec pem leadsec key pem分别对应防火墙的中的CA中心证书 安全网关证书 安全网关密钥 点击 导入 然后在本地计算机文件夹中再选择admin pem对应防火墙的中的管理员证书 点击 导入 证书认证 1 4登录防火墙 17 证书认证 导入证书后选择生效选项 1 4登录防火墙 18 保存配置 证书生效 证书认证 1 4登录防火墙 19 导入防火墙证书要导入相对应的IE浏览器证书 在管理主机本地双击IE浏览器证书 按照提示进行安装 需要输入密码时输入 hhhhhh 当出现导入成功后点击确定完成 证书认证 1 4登录防火墙 20 当防火墙与IE证书均导入成功后 我们在管理主机打开IE浏览器并输入https 防火墙ip 8889出厂默认IP为10 1 5 254 出现选择证书提示后点击 确定 证书认证 1 4登录防火墙 21 证书认证 出现安全警报后点击 是 Y 就会出现防火墙登录页面 XP系统请确认IE浏览器中internet选项 隐私选项 中的阻止弹出窗口选取去掉 如下图 1 4登录防火墙 22 证书认证 用户名密码为 administrator administrator 1 4登录防火墙 23 目录 1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理 24 管理首页 2防火墙界面介绍 25 各级子菜单 2防火墙界面介绍 26 管理配置 管理主机 2防火墙界面介绍 27 管理方式设定 2防火墙界面介绍 28 与IDS联动设置 2防火墙界面介绍 29 网络配置 2防火墙界面介绍 30 网桥设备 2防火墙界面介绍 31 物理设备 这里可以设定是否被管理 是否可以PING 等功能 2防火墙界面介绍 32 网桥设备 2防火墙界面介绍 33 域名服务器 2防火墙界面介绍 34 默认路由 2防火墙界面介绍 35 静态路由 2防火墙界面介绍 36 HA双机热备 2防火墙界面介绍 37 HA探测网口 2防火墙界面介绍 38 HA探测ip 2防火墙界面介绍 39 连接管理 2防火墙界面介绍 40 连接规则 2防火墙界面介绍 41 连接状态 2防火墙界面介绍 42 连接排行 2防火墙界面介绍 43 安全选项 默认全通 全禁 2防火墙界面介绍 44 包过滤规则 2防火墙界面介绍 45 端口映射规则 2防火墙界面介绍 46 IP映射规则 2防火墙界面介绍 47 NAT规则 2防火墙界面介绍 48 代理服务 2防火墙界面介绍 49 地址绑定 2防火墙界面介绍 50 定义地址列表 2防火墙界面介绍 51 定义地址组 2防火墙界面介绍 52 定义地址池 2防火墙界面介绍 53 定义服务器地址 2防火墙界面介绍 54 定义域名地址 2防火墙界面介绍 55 定义服务 2防火墙界面介绍 56 定义动态服务 2防火墙界面介绍 57 ICMP服务 2防火墙界面介绍 58 定义基本服务 2防火墙界面介绍 59 定义服务组 2防火墙界面介绍 60 系统监控 2防火墙界面介绍 61 目录 1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理 62 安全规则 包流经规则的顺序 应用代理 端口映射 IP映射 过滤规则 地址转换增加源端口 源MAC地址 URL过滤 网页关键字过滤 入网口 出网口 时间调度 长连接等选项 代理规则 端口映射规则 IP映射规则 包过滤规则 NAT规则 流入 流出 3防火墙的配置管理 63 端口映射 3防火墙的配置管理 64 IP映射 注意 如果源地址包含管理主机 公开地址是防火墙的管理IP 该管理主机将不能管理防火墙 3防火墙的配置管理 65 如果取消选中 既能通过公开地址和端口访问内部服务器 也可以直接访问服务器 如果选中 只能通过公开地址和端口访问内部服务器 源端口可以用英文逗号分割表示多个端口 或用英文冒号分割表示端口段注意 下一条IP映射规则 如果没有选择 包过滤缺省策略通过 还必须再下一条相应的包过滤规则才能生效 方法如下 包过滤规则的源地址是IP映射规则的源地址 包过滤规则的目的地址是IP映射规则的内部地址 端口映射 3防火墙的配置管理 66 包过滤 3防火墙的配置管理 67 NAT 注意 设置一条NAT规则 必须再设置一条相应的包过滤规则才能生效 3防火墙的配置管理 68 串口命令行命令介绍ac systemshow 显示系统信息防火墙序列号 版本号 ac interfaceshowall 显示所有网络端口的ip ac interfacesetphyiffe3ip1 1 1 1netmask255 255 255 0activeonadminonpingon 设定fe3的ip为1 1 1 1 255 255 255 0允许管理 ping ac admhostshow 查看管理主机ip ac admhostaddip192 168 0 1 添加一个地址为192 168 0 1的管理主机 ac configsave 保存防火墙配置 69 串口命令行抓包命令介绍 TCPDUMP 使用随机所附的串口线 将防火墙的console与一台装有超级终端的个人计算机的串口连接起来 设置超级终端的波特率 9600 数据位 8 奇偶校验 无 停止位 1 流量控制 硬件 无用户名 dump 密码 dump 通过 命令查看可用命令tcpdump命令使用参数如下 tcpdump Cfile size Ffile iinterface rfile Ttype wfile Ealgo secret expression 70 例如 1 tcpdump ieth0host83 16 16 1eth0是对应防火墙前面板的FE1口 是在Eth0网口上数据抓包 host83 16 16 1是指对83 16 16 1这台主机进行数据抓包 此条命令是指 在防火墙eth0网口对主机83 16 16 1的所有访问进行数据抓包 2 tcpdump ieth0dsthost83 16 16 1andport53dsthost83 16 16 1是指对目标主机83 16 16 1进行数据抓包 port53是指对目标主机83 16 16 1的53端口进行数据抓包 此条命令是指 在防火墙eth0网口对目标主机83 16 16 1的53端口上进行数据抓包 71 3 tcpdump ieth0srchost83 84 16 1dsthost83 16 16 1andport53此条命令是指 在防火墙eth0网口上对源地址是83 84 16 1对目标地址是83 16 16 1的端口53进行数据抓包tcpdump命令主要是用在对应用服务器无法确定开放服务端口时 用此命令来分析应用服务器的端口是多少 72 目录 1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理 73 典型应用环境三网口路由拓扑图 74 一 需求描述 典型应用环境三网口路由模式 内部网络区段主机的缺省网关指向fe1的IP地址192 168 1 1 DMZ网络区段的主机的缺省网关指向fe3的IP地址172 16 1 1 防火墙的缺省网关指向路由器的地址202 100 100 1 WWW服务器的地址是172 16 1 10 端口是80 MAIL服务器的地址是172 16 1 11 端口是25和110 FTP服务器的地址是172 16 1 12 端口是21 安全策略的缺省策略是禁止 允许内部网络区段访问DMZ网络区段和Internet区段的http smtp pop3 ftp服务 允许Internet区段访问DMZ网络区段的服务器 其他的访问都是禁止的 75 二 网络设备配置 典型应用环境三网口路由模式 网络配置 网络设备 编辑物理设备fe1 将IP地址配置为192 168 1 1 掩码是255 255 255 0 编辑物理设备fe3 将IP地址配置为172 16 1 1 掩码是255 255 255 0 编辑物理设备fe4 将IP地址配置为202 100 100 3 掩码是255 255 255 0 网络配置 静态路由 添加下一跳地址是202 100 100 1的默认路由 目的地址 掩码都是0 0 0 0 接口选择fe4 76 三 策略配置 添加源地址是192 168 1 0 24 目的地址是any 服务是http 动作是允许的包过滤规则 添加源地址是192 168 1 0 24 目的地址是any 服务是smtp 动作是允许的包过率规则 添加源地址是192 168 1 0 24 目的地址是any 服务是pop3 动作是允许的包过滤规则 添加源地址是192 168 1 0 24 目的地址是any 服务是ftp 动作是允许的包过滤规则 添加源地址是192 168 1 0 24 目的地址是any 服务是any的NAT规则 添加源地址是any 目的地址172 16 1 10 服务是http 动作是允许的包过滤规则 添加源地址是any 目的地址172 16 1 11 服务是smtp 动作是允许的包过滤规则 添加源地址是any 目的地址172 16 1 11 服务是pop3 动作是允许的包过滤规则 添加源地址是any 目的地址172 16 1 12 服务是ftp 动作是允许的包过滤规则 添加公开地址是202 100 100 3 对外服务是http 内部地址是172 16 1 10 内部服务是http的端口映射规则 添加公开地址是202 100 100 3 对外服务是smtp 内部地址是172 16 1 11 内部服务是smtp的端口映射规则 添加公开地址是202 100 100 3 对外服务是pop3 内部地址是172 16 1 11 内部服务是pop3的端口映射规则 添加公开地址是202 100 100 3 对外服务是ftp 内部地址是172 16 1 12 内部服务是ftp的端口映射规则 典型应用环境三网口路由模式 77 典型应用环境三网口混合拓扑图 78 一 需求描述fe1工作在透明模式 fe3工作在透明模式 fe4工作在路由模式 IP地址是202 100 100 3 掩码是255 255 255 0 桥接设备brg0的IP地址是10 10 10 1 掩码时255 255 255 0 内网网络区段的缺省网关是10 10 10 1 DMZ网络区段的缺省网关是10 10 10 1 防火墙的缺省网关是202 100 100 1 防火墙的缺省安全策略是禁止 区段间的安全策略是 允许内网网络区段访问Internet和DMZ 允许Internet访问DMZ 其他的访问都禁止 典型应用环境三网口混合模式 79 二 网络设备配置编辑桥接设备brg0 配置它的IP地址是10 10 10 1 掩码是255 255 255 0 选择可管理 编辑物理设备fe1 选择它的工作模式是 透明模式 编辑物理设备fe3 选择它的工作模式是 透明模式 编辑物理设备fe4 配置它的IP地址为202 100 100 3 掩码是255 255 255 0 静态路由 添加网关是202 100 100 1的缺省路由 典型应用环境三网口混合模式 80 三 策略配置策略配置需要先定义如下的资源 LOCAL NET 10 10 10 2到10 50 10 50 地址段 DMZ NET 10 10 10 2到10 50 10 50 地址段 WWW SERVER 10 10 10 100 掩码是255 255 255 255 主机地址 MAIL SERVER 10 10 10 101 掩码是255 255 255 255 主机地址 FTP SERVER 10 10 10 102 掩码是255 255 255 255 主机地址 INTERNET 10 10 10 0 掩码是255 255 255 0 取反网络地址 典型应用环境三网口混合模式 81 添加源地址是LOCAL NET 目的地址是any 服务是http 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是any 服务是smtp 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是any 服务是pop3 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是any 服务是ftp 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是INTERNET 服务是any的NAT规则 添加源地址是INTERNET 目的地址是WWW SERVER 服务是http 动作是允许的包过滤规则 添加源地址是INTERNET 目的地址是MAIL SERVER 服务是smtp 动作是允许的包过滤规则 添加源地址是INTERNET 目的地址是MAIL SERVER 服务是pop3 动作是允许的包过滤规则 添加源地址是INTERNET 目的地址是FTP SERVER 服务是ftp 动作是允许的包过滤规则 添加源地址是INTERNET 目的地址是WWW SERVER 服务是http的端口映射规则 添加源地址是INTERNET 目的地址是MAIL SERVER 服务是smtp的端口映射规则 添加源地址是INTERNET 目的地址是MAIL SERVER 服务是pop3的端口映射规则 添加源地址是INTERNET 目的地址是FTP SERVER 服务是ftp的端口映射规则 典型应用环境三网口混合模式 82 典型应用环境三网口透明拓扑图 83 一 需求描述fe1工作在透明模式 fe3工作在透明模式 fe4工作在透明模式 桥接设备brg0的IP地址是10 10 10 1 允许管理 防火墙的缺省安全策略是禁止 区段间的安全策略是 允许内部网络区段访问DMZ区段和INTERNET的http smtp pop3 ftp服务 允许INTERNET区段访问DMZ网络的http smtp pop3 ftp服务 其他的访问都禁止 典型应用环境三网口透明模式 84 二 网络设备配置编辑桥接设备brg0 将它的IP地址配置为10 10 10 1 掩码是255 255 255 0 允许管理 确定 编辑物理设备fe1 选择工作模式为 透明 确定 编辑物理设备fe3 选择工作模式为 透明 确定 编辑物理设备fe4 选择工作模式为 透明 确定 典型应用环境三网口透明模式 85 三 策略配置在策略配置前 先添加如下的资源 LOCAL NET 10 10 10 2到10 10 10 50 网络地址段 DMZ NET 10 10 10 100到10 10 10 150 网络地址段 EXTERNAL NET 10 10 10 200到10 10 10 254 网络地址段 INTERNET 地址是10 10 10 0 掩码是255 255 255 0 反网络地址 WWW SERVER 地址是10 10 10 100 掩码是255 255 255 255 MAIL SERVER 地址是10 10 10 101 掩码是255 255 255 255 FTP SERVER 地址是10 10 10 102 掩码是255 255 255 255 典型应用环境三网口透明模式 86 三 策略配置添加源地址是LOCAL NET 目的地址是any 服务是http 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是any 服务是smtp 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是any 服务是pop3 动作是允许的包过滤规则 添加源地址是LOCAL NET 目的地址是any 服务是ftp 动作是允许的包过滤规则 添加源地址是any 目的地址是WWW SERVER 服务是http 动作是允许的包过滤规则 添加源地址是any 目的地址是MAIL SERVER 服务是smtp 动作是允许的包过滤规则 添加源地址是any 目的地址是MAIL SERVER 服务是pop3 动作是允许的包过滤规则 添加源地址是any 目的地址是FTP SERVER 服务是ftp 动作是允许的包过滤规则 典型应用环境三网口透明模式 87 目录 1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理 88 防火墙在配置与使用过程中 如果配置不当往往会造成防火墙无法管理 网络中断等现场 为了有效的避免这些故障的发生 我们在配置过程中应该注意以下的问题 5防火墙的日常管理和故障处理 89 电子钥匙认证问题电子钥匙连接防火墙时提示 认证失败 请检查IP地址及网络 处理方法 防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成 更改管理主机ip 2 电子钥匙认证时窗口弹出一个空白 处理方法 防火墙的电子钥匙的ID号中有一个空格的存在 需要重新写电子钥匙 5防火墙的日常管理和故障处理 90 防火墙策略配置问题防火墙中配置了端口映射或IP映射规则后 为什么外网和内网用户还是无法访问DMZ区服务器 处理方法 在配置了映射规则后 还需要配置相应的包过滤规则才可以 5防火墙的日常管理和故障处理 91 管理主机配置问题为什么我们更改了防火墙的fe1口的地址后 却管理不上了 当我们更改防火墙的网络接口的同时 要确认你已经添加了此接口网段的管理主机 否则你将无法管理防火墙 没有用的管理主机址尽量删除 因为管理主机的IP地址是做为管理防火墙的一个很重要的条件 5防火墙的日常管理和故障处理 92 网络设备配置问题当不同的设备地址进行工作模式的转换时候 注意它的附加选项 如拨号设备要先关闭管理属性才能删除 当墙连接的对端的设备工作速率不支持自适应的时候 要注意设定墙接口的工作方式与速率 5防火墙的日常管理和故障处理 93 防火墙名称命名问题防火墙的名称可以用中文名吗 在防火墙的内部程序中 有很多程序处理不了中文名字 所以在资源定义 导入导出 规则名称等地方尽量或不使用中文名字 5防火墙的日常管理和故障