联想网御安全网关.doc

联想网御安全网关用户指南 1 联想网御安全网关联想网御安全网关 用户指南用户指南 联想网御安全网关用户指南 2 1 介绍 3 1 1Internet 特性 4 1 2 其它特性 5 1 3 安全特性 6 1 4 包装组件 6 1 5 物理细节 6 2 基本设置 9 2 1 物理安装 9 2 2 程序 9 2 3 安装 11 2 4 端口设定页面 LAN 端口 12 2 4 1 DHCP 14 2 4 2 配置您 LAN 上的 PC 15 2 4 3 Macintosh Clients Macintosh 客户 16 2 4 4 Linux Clients Linux 客户 16 3 状态日志 18 3 1 设备状态 18 3 2 端口状态 20 3 3 连接监控 20 3 4 操作日志 22 3 5 URL 日志 22 3 6 系统日志 23 4 端口设定 24 4 1 WAN 端口 24 4 2 端口选项 25 4 3 LAN 端口 26 5 高级功能 28 5 1 静态路由 28 5 2 站点过滤器 32 5 3 地址转换 34 5 4 动态 DNS 35 5 5 地址列表 36 5 6 oS 37 5 7 代理 DNS 40 5 8 PC 数据库 41 6 防火墙设定 43 6 1 防火墙策略 43 6 2 IM 管理 45 联想网御安全网关用户指南 3 6 3 日志设定 47 6 4 服务管理 48 6 5 安全选项 49 6 6 DMZ 51 6 7 E Mail 52 6 8 计划设定 54 7 VPN IPSEC 55 7 1 VPN 配置 58 7 2 可信证书 67 7 3 私有证书 68 7 4 VPN 状态 71 7 5 CRL 72 7 6 导入证书 73 7 7 获取证书 ID 73 8 VPN PPTP 75 8 1 服务器安装 75 8 2 用户管理 76 8 3 状态页面 77 8 4 Windows 客户安装 78 8 4 1 Windows 98 ME 78 8 4 2 Windows 2000 81 8 4 3 Windows XP 84 9 其他 86 9 1 网络诊断 87 9 2 修改密码 88 9 3 WEB 管理 89 9 4 软件升级 91 9 5 配置文件 92 附录 A WINDOWS TCP IP 设置 93 验证 TCP IP 设置 Windows 2000 95 验证 TCP IP 设置 Windows XP 97 附录 B 常见问题解答 99 联想网御安全网关用户指南 4 1 介绍介绍 恭喜您购买了新的联想网御安全网关 这款安全网关能为局域网用户提供共享宽带 Internet 访问和 VPN 通道 图图 1 1 联想网御安全网关联想网御安全网关 1 1Internet 特性特性 共享宽带共享宽带 Internet 访问访问 所有局域网用户可以通过联想网御安全网关共享一条接入线路来访问因特网 支持所有常见的连接方式支持所有常见的连接方式 支持所有流行的 DSL Cable 调制解调器和宽带连接方式 包括固定 IP 动态 IP PPPoE 等 站点过滤器站点过滤器 使用这一特性来针对不同的地址列表 阻塞 LAN 用户对某些网站的访问或指定 LAN 用户只能对某 些网站的访问 限制连接数限制连接数 按照单台 PC 或是连接的协议类型使用限制连接数 如果新进入会话连接的数目超过了限定的最大 值 则任何新进入的会话连接请求将被丢弃 端口状态端口状态 使用端口状态功能 通过流量统计图来显示当前连接数及端口流量 连接监控连接监控 联想网御安全网关用户指南 5 使用此功能来监控所有已存在的会话连接 并且可以对错误或非法的会话连接进行控制 QoS 使用 QoS 功能 可以获得高质量的网络服务 因为它可将一些被用户定义规则的输出信息包分类 可以获得一些较好的实时应用的性能 安全选项安全选项 使用安全功能 指定联想网御安全网关的使用环境及全局新建连接限制率 以优化繁忙的网络环境 地址列表地址列表 地址列表可以和 QoS 安全网关规则 站点过滤器等功能关联使用 从而简化网络的管理工作 每个地址列表可以设定不同的 4 个 IP 地址段 IM 应用管理应用管理 IM 程序管理功能 能够对 MSN QQ 网易泡泡等聊天程序进行管控 它可以根据 MSN 的帐号信 息来进行管理 而且也可以根据 IP 地址和时间段进行管理 VPN 功能功能 支持各种标准的 VPN 协议 IPSec PPTP 实现 VPN 高效安全的特性 支持支持 NAT 穿透穿透 即使联想网御安全网关上层有 NAT 设备 那联想网御安全网关仍然可以穿透 NAT 设备实现 VPN 互连 支持支持 VPN Hub 当整个 VPN 系统非常庞大的时候 可以使用 VPN 网络中的一个联想网御安全网关作为中心交换设 备使用 从而减化整个系统的配置复杂程度 状态日志状态日志 设备可以产生系统日志信息 能够存储在 Web 页面或是服务器上 包括设备状态 端口状态 操 作日志 系统日志 VPN 状态等 并且可以自定义采样时间 以显示当前的数据流量 以及目前 流量前四位用户所占资源情况 1 2 其它特性其它特性 4 端口交换机端口交换机 联想网御安全网关集成了一个 4 端口 10 100BaseT 交换机 使创建和扩展您的局域网 LAN 更加 容易 DHCP 服务器支持服务器支持 动态主机配置协议可以根据请求给 PC 或其它设备分配一个动态的 IP 地址 联想网御安全网关能 为本地的局域网上的设备充当一个 DHCP 服务器 多网段支持多网段支持 联想网御安全网关内置的静态路由表支持包含一个或多个网段的 LAN 配置简单配置简单 用户可以用习惯的 WEB 浏览器来设置 远程管理远程管理 联想网御安全网关用户指南 6 联想网御安全网关可被您局域网上任意一台 PC 来管理 而且 它也能 可选 通过因特网来远程配 置 HTTPS 软件升级和备份软件升级和备份 Web 管理功能允许你使用 HTTPS 协议从当地或者远程站点升级新的软件和备份系统配置文件 只 要您将 远程升级 和 远程 Web 设置 功能打开 电子邮件警报电子邮件警报 当受到攻击或是某种应用到达限制数量的 90 或者某台 PC 的连接达到限制数量的 90 时 系 统会自动发送电子邮件报警 1 3 安全特性安全特性 SPI 安全网关安全网关 所有进入内部网络的数据都被监视和过滤 这可以保护您的局域网免受来自外部的恶意攻击 DoS 攻击防御攻击防御 DoS 拒绝服务 攻击会通过大量的无效数据和连接请求来淹没您的 Internet 连接 它会占用如此多 的带宽和资源以至于无法访问 Internet 联想网御安全网关可以抵御此类攻击 基于访问策略的安全网关基于访问策略的安全网关 为提供针对恶意攻击的更高保护 您可以自己定义安全网关规则 这也可以用来限制局域网内的用 户权限 密码保护密码保护 通过密码保护使未经授权的用户不能修改您的设备的数据和配置 NAT NAT 网络地址转换 本身就是有效的安全网关 所有的局域网用户共享一个 IP 地址 PC 的位置甚 至是否存在都是不被知道的 对外界用户来说 没有看到一个局域网 只是看到一个外部 IP 地址 是这个安全网关在使用 1 4 包装组件包装组件 包含以下组件 联想网御安全网关主机 电源适配器 合格证 保修卡 快速安装指南 联想网御安全网关用户指南光盘 网线一条 如果以上项目的任何东西被损坏或丢失 请尽快与您的经销商联系 联想网御安全网关用户指南 7 1 5 物理细节物理细节 1 5 1 前面版前面版 图图 1 2 联想网御安全网关前面板图联想网御安全网关前面板图 前面板 LED 指示灯状态如下 LAN LED 100M 黄黄 Link Act 亮 相应的 LAN 端口使用 100BaseT 连接 灭 相应的 LAN 端口使用 10BaseT 连接 亮 相应的 LAN 端口已经连接 灭 无物理连接 Power LED亮 已通电 灭 未通电 WAN LED亮 WAN 端口已连接 灭 WAN 端口未接 闪烁 数据正在通过端口进行传输 Status LED亮 错误状态 Off 正常状态 闪烁 启动过程中 同样同样 一些状态和错误信息也可以从一些状态和错误信息也可以从 LED 指示灯的组合闪烁上表明指示灯的组合闪烁上表明 如下 如下 LED 状态状态状况状况 WAN LAN 状态灯间隔闪烁产品软件正在升级中 WAN LAN 状态灯同时闪硬件地址未分配 1 5 2 联想网御安全网关背面版 联想网御安全网关背面版 联想网御安全网关用户指南 8 图图 1 3 联想网御安全网关背面板联想网御安全网关背面板 电源插口电源插口连接到原配的 12V 1A 电源适配器 Reset按住 Reset 键 然后拔插电源 等电源接通后等待 8 秒钟后 安全网关将会恢 复到出厂时的默认值 WAN接 DSL 或者 Cable 调制解调器 如果你的调制解调器附带有网线 使用提供的 网线 如果没有 请使用一根标准的网线 LAN使用标准的网线将您的电脑或者交换机连接到这里 POWER使用原装电源将您的安全网关通电 缺省设置缺省设置 当联想网御安全网关正常启动后 所有的配置都是出厂默认值 包括 IP地址默认值10 1 5 254 子网掩码255 255 255 0 DHCP服务器被启用 用户名 admin 密码 无 联想网御安全网关用户指南 9 2 基本设置基本设置 2 1 物理安装物理安装 要求要求 网线 使用标准的 10 100BaseT UTP 带 RJ 45 接头网线 您的电脑上必须安装 TCP IP 协议 ISP 提供的一个 Internet 访问帐号 一个数据转发设备 通常 DSL Cable 调制解调器或光纤转 发器 过程过程 1 选择一个安装位置选择一个安装位置 为设备选择一个合适的安装位置 确保设备和数据转发设备都是断电的 2 连接连接 LAN 口网线口网线 使用标准网线把您的电脑连接到设备的交换机端口上 可以同时使用 10BaseT 和 100BaseT 连接 如果需要的话 您可以把交换机连接到 LAN 口 设备上的任何一个 LAN 口都可以自动变成 级联 口 3 连接连接 WAN 口网线口网线 把数据转发设备连接到安全网关的 WAN 口 使用数据转发设备附带的网线 没有附带网线的话 使用一根标准网线 4 通电通电 数据转发设备通电 给安全网关通电 5 检查指示灯检查指示灯 Power 电源 指示灯应该是亮的 Status 状态 指示灯在启动的时候会闪烁 然后熄灭 如果持续亮着 表示有硬件错误 每一个 LAN 电脑 连接 LAN 口的 Link Act 指示灯应该是亮的 如果 PC 也是开启状态的话 WAN 口指示灯应该是亮的 2 2 程序程序 1 从从 LAN 配置联想网御安全网关配置联想网御安全网关 配置程序配置程序 联想网御安全网关用户指南 10 联想网御安全网关包含一个 HTTP 服务器 这使您能够与它连接 并使用您的网络浏览器来设置 它 您的浏览器必须支持您的浏览器必须支持 JavaScript 配置程序在下列浏览器上被测试了 Netscape V4 08 或更高版本 Internet Explorer V4 或更高版本 准备准备 在试图配置联想网御安全网关前 请确认 您的 PC 能建立一个物理的连接到联想网御安全网关 PC 和联想网御安全网关必须直接连接或在 同一 LAN 网段上 联想网御安全网关必须已安装并且接上电源 如果联想网御安全网关的缺省 IP 地址 10 1 5 254 已经被另外一个设备使用 在配置期间其它设备必 须被关闭直到联想网御安全网关被分配一新的 IP 地址 使用使用 Web 浏览器浏览器 建立您的 PC 到联想网御安全网关的连接 1 在您的 LAN 安装联想网御安全网关以后 启动您的 PC 如果您的 PC 已经运行 则重启它 2启动 Web 浏览器 3在地址框中 输入 HTTPS 和联想网御安全网关的 IP 地址 8888 在此例中 联想网御安全网关 使用的缺省 IP 地址 HTTPS 10 1 5 254 8888 如果您无法连接如果您无法连接 如果联想网御安全网关不响应 检查下列项目 联想网御安全网关被正确地安装 LAN 是否连接好 且电 源被接通 您可使用 Ping 命令来测试连接 打开 MS DOS 窗口或命令提示符窗口 输入命令 ping 10 1 5 254 如果没有收到回答 或者连接不作业 或您的 PC 的 IP 地址与联想网御安全网关的 IP 地址不兼容 见 下一项 如果您的 PC 正在使用一个固定的 IP 地址 它的 IP 地址必 须在 10 1 5 1 到 10 1 5 253 范围以内与联想网御安全网关的 缺省 IP 地址 10 1 5 254 兼容 另外 网络掩码必须被设置为 255 255 255 0 详见第 4 章 检查您 PC 的 TCP IP 设置 确证您的 PC 和联想网御安全网关在一样的网段上 如果 您没有安全网关 则肯定是这种情况 1 缺省时将不用输入用户名和密码 用户名缺省为 admin 口令栏为空 联想网御安全网关用户指南 11 这是默认值 用户名和口令都可以在 修改密码 界面更改 一旦您更改了用户名和密码 您必须使 用当前值 2 3 安装安装 您第一次连接到联想网御安全网关时 需要在 端口设定 界面完成设置 1 准备工作 您需要知道您使用的 ISP 提供的服务类型 检查您 ISP 提供的数据 典型连接类型在下表中解释 2 如果连接失败 检查您的数据 Cable DSL 调制解调器 及所有的连接 检查您所输入的所有数据 如果使用 Cable 调制解调器 您的 ISP 可能记录了您 PC 的 MAC 地址 在 端口选项 界面 使用 MAC 地址克隆 按钮 复制您 PC 上的 MAC 地址到联想网御安全网关上 典型连接方式典型连接方式 Cable 调制解调器调制解调器 类型类型详细详细ISP 数据需求数据需求 动态 IP 地址当连接到 ISP 时 您的 IP 地址被自动分配 无 有些 ISP 要求您使用特定的主机名 域名 或 MAC 硬件 地址 静态 固定 IP 地址 您的 ISP 分配给您永久的 IP 地址 IP 地址分配给您 有些 ISP 要求您使用特定的主机名 域名 或 MAC 硬件 地址 DSL 调制解调器调制解调器 类型类型详细详细ISP 数据需求数据需求 动态 IP 地址当连接到 ISP 时 您的 IP 地址被自动分配 无 静态 固定 IP 地址 您的 ISP 分配给您永久的 IP 地址 IP 地址分配给您 PPPoE仅当需要时连接到 ISP IP 地址被自动地分 配 用户名和口令 其它调制解调器其它调制解调器 联想网御安全网关用户指南 12 类型类型详细详细ISP 数据需求数据需求 动态 IP 地址当连接到 ISP 时 您的 IP 地址被动态分配 通常 无 但是 一些 ISP 需要您使用特殊的主机名称 域名 或 MAC 物理 地址 静态 固定 IP 地址 您的 ISP 分配给您永久的 IP 地址 IP 地址分配给您 主页页面主页页面 在完成联想网御安全网关设置后 您将看见主页面 下面是主页面示例 图图2 1 主页页面主页页面 2 4 端口设定页面端口设定页面 LAN 端口端口 在主页面上使用端口设定页面 连接到 LAN 端口页面 下图显示 LAN 端口页面的示例 联想网御安全网关用户指南 13 图图2 2 LAN端口页面端口页面 数据数据 LAN 端口页面端口页面 TCP IP LAN IP 地址地址联想网御安全网关的 IP 地址可以是本地的 LAN 使用缺省值除非该地址已经在使用 或您的局域网内使用的是一个不同的 IP 地址范围 后者输入一个在局域网 LAN 范 围内闲置的 IP 地址 网络掩码网络掩码缺省值 255 255 255 0 是标准的小 C 类 网络 对其它网络 需要设置局域网 LAN 的子网掩码 在同一网段上的值相同 DHCP 服务器服务器 如果启用 当 PC 启动时 联想网御安全网关将自动分配 IP 地址给在您在 LAN 上 的 PC DHCP 客户端 缺省 推荐 值启用 如果您正在使用一个 DHCP 服务器 则此设置禁用 并且存在的 DHCP 服务器必 须被重新设置把联想网御安全网关当作网关 见下节中更多的细节 开始 IP 地址和 IP 地址池设置的值将由 DHCP 服务器给 DHCP 客户分配 IP 地址使 用 这个值也决定所能支持的 DHCP 客户端的数量 关于使用 DHCP 更多的细节见下节内容 按钮按钮 保存保存保存页面上的数据 取消取消放弃任何输入的数据 联想网御安全网关用户指南 14 2 4 1 DHCP DHCP 做什么做什么 一个 DHCP 动态主机配置协议 服务器用于根据请求分配一个有效的 IP 地址给一个 DHCP 客户端 PC 或设备 当客户设备启动时 客户请求产生 DHCP 服务器提供网关和 DNS 地址给客户 并且为客户端分配 IP 地址 联想网御安全网关能充当一个 DHCP 服务器 Windows 95 98 ME 2000 XP 和其它非服务器 Windows 版本将充当一个 DHCP 客户端 这 是 Windows 为 TCP IP 网络协议的缺省设置 然而 Windows 使用术语 自动获取一个 IP 地 址 而不是 DHCP 客户 在相同的局域网 LAN 网段上您不能有 2 个或更多的 DHCP 服务器 如果您的局域网 LAN 上 没有其它安全网关 这就意味着仅有一个 DHCP 服务器在您的 LAN 上 使用网御安全网关的使用网御安全网关的 DHCP 服务器功能服务器功能 这是设定的缺省值 DHCP 服务器的设置在 LAN 页面上 在这个页面上 您可以 启用或禁用安全网关的 DHCP 服务器功能 设置由 DHCP 服务器分配给 PC 的 IP 地址的范围 如果固定的如果固定的 IP 地址不在由地址不在由 DHCP 服务器分配的范围内 使服务器分配的范围内 使 用用 DHCP 时 您可以把固定的时 您可以把固定的 IP 地址分给一些设备 地址分给一些设备 使用另外的使用另外的 DHCP 服务器服务器 您能在每个局域网 LAN 段上使用一个 DHCP 服务器 如果您希望使用另外的 DHCP 服务器 而非安全网关 按下列过程设置 1在安全网关禁用 DHCP 服务器功能 此设置在局域网 LAN 页面上 2配置 DHCP 服务器把提供给安全网关的 IP 地址作为缺省网关 设置您的设置您的 PC 使用的使用的 DHCP 这是 Windows 95 98 ME 2000 XP 中 TCP IP 的缺省设定 详见附录 A 中这些设置的过程 联想网御安全网关用户指南 15 2 4 2 配置您配置您 LAN 上的上的 PC 概述概述 对于每台 PC 以下配置是必需的 TCP IP 网络安装 Internet 访问配置 TCP IP 安装安装 如果使用联想网御安全网关的默认设置和如果使用联想网御安全网关的默认设置和 Windows95 98 ME 2000 xp 的默认的默认 TCP IP 设置 则不用设置 则不用 做任何更改 只要开机做任何更改 只要开机 或重启或重启 就行了 就行了 缺省设置下 联想网御安全网关充当一个 DHCP 服务器 当 PC 需要时 会自动的提供一个合适 的 IP 地址 和相关信息 给每一个 PC 对所有非服务器的 Windows 版本 它们默认的 TCP IP 设置是去充当一个 DHCP 客户端 在 Windows 中 这被称做自动获取 IP 地址 就是指当 PC 开机 或重启 时 它会自动从联想网御安 全网关获取一个 IP 地址 如果在您的 LAN 中用的是固定 IP 地址 或是您希望检查您的 TCP IP 设置 则请查看附录 A Windows TCP IP 设置 Internet 访问访问 配置您的 PC 使用联想网御安全网关去访问 Internet 请按照以下过程 Windows 9x 2000 1 选择开始菜单 设置 控制面板 网络选项 2 选择连接标签 然后单击设置按钮 3 选择 我想要手动设置因特网连接 或是我想要通过本地网 LAN 连接 然后单击下一步 4 选择 我想要通过本地网 LAN 连接 然后单击下一步 5 确保 本地网络 Internet 设置 屏幕上的复选框都未选中 6 当提示 您想现在设置一个因特网邮件帐号么 时选择 NO 选项 7 单击完成 以关闭因特网连接向导 现在设置完成 Windows XP 1 选择开始菜单 控制面板 网络和因特网连接 2 选择 建立或修改您的因特网连接 3 选择连接标签 并点击安装按钮 4 取消弹出的 区域信息 屏幕 5 在 新建连接向导 屏幕上点击下一步 6 选择 连接到因特网 并点击下一步 联想网御安全网关用户指南 16 7 选择 手动建立我的因特网连接 并点击下一步 8 选中 总是使用宽带连接 并点击下一步 9 点击完成并关闭 新建连接向导 现在设置完成 访问美国在线访问美国在线 为了通过联想网御安全网关访问AOL AOL for windows软件必须设置使用TCP IP网络访问 而不是拨 号连接 配置过程如下 启动AOL for windows通信软件 确认它的版本是2 5 3 0或更高 该程序的更早版本无法工作 点击安装按钮 选择创建区域 并把区域名该为 联想网御安全网关 点击编辑区域 为网络域选择 TCP IP 电话号码空白 单击 保存 再单击 确定 后完成配置 在单击 注册 之前 要保证您正在使用 联想网御安全网关 的区域 2 4 3 Macintosh Clients Macintosh 客户客户 如果您是苹果机用户 您也可以通过您的联想网御安全网关访问因特网 过程如下 1 打开 TCP IP 控制面板 2 从连接的下拉菜单中选择以太网 3 从 Con图 下拉菜单中选择 使用 DHCP 服务器 DHCP 客户 ID 区域可以空白 4 关闭 TCP IP 面板 保存您的设置 Note 注意注意 如果使用手动设置的 IP 地址而不是 DHCP 分配的 IP 地址 需做如下修改 设置路由器地址域为联想网御安全网关的 IP 地址 确认您的 DNS 设置正确 2 4 4 Linux Clients Linux 客户客户 要通过联想网御安全网关访问因特网 只需将联想网御安全网关设置为网关 确认您的域名服务器设 置正确 您在试图做任何修改前确认作为您在试图做任何修改前确认作为 ROOT 用户登录 用户登录 固定固定 IP 地址地址 缺省时 大多数UNIX系统使用一个固定的IP地址 如果您希望继续使用一个固定的IP地址 修改下列配 置 设置缺省网关为联想网御安全网关的 IP 地址 确认您的 DNS 设置正确 联想网御安全网关用户指南 17 充当一个充当一个 DHCP 客户端客户端 推荐推荐 当您使用的是 LINUX 和 X WINDOWS SHELL 版本可以使用如下步骤来改变您的设置 1 启动您的 X WINDOWS 客户端 2 选择控制面板 网络 3 选择接口网卡的界面 通常 这个接口称做 eth0 4 单击编辑按钮 将 协议 设置为 DHCP 保存数据 5 应用所做的修改 如果可能 使用恢复和激活按钮 或者重启您的系统 联想网御安全网关用户指南 18 3 状态日志状态日志 概述概述 状态日志状态日志 包括很多选项 如设备状态 端口状态 连接监控 操作日志 系统日志 工作状态等 下面将会按各选项内容进行详细的介绍 3 1 设备状态设备状态 图图 3 1 1 设备状态设备状态 联想网御安全网关用户指南 19 图图 3 1 2 设备状态设备状态 状态日志状态日志 设备状态设备状态 WAN 口状态口状态显示了 WAN 端口当前的连接方式 IP 地址 子网掩码 网关 DNS IP 地址 MAC 地址等信息 并且可以手动断开及重新连接 Internet 连接 LAN 口状态口状态显示了当前局域网的 IP 地址 网络掩码 MAC 地址等信息 并且显示 设备当前是否作为 DHCP 服务器及可以自动分配的 IP 地址池数目 安全网关状态安全网关状态显示了当前安全网关设置的安全网关策略数 高级策略数 系统自动策 略数 并且显示远程访问 E mail 日志 URL 过滤 DMZ 地址列表的 设置状态以及安全网关自主防御状态 内核状态内核状态显示了内核的版本以及 PC 绑定 VPN 隧道数 代理 DNS DDNS 的设 置状态 系统系统显示了设备名称 软件版本 系统启动和正常运行时间 不重启设备状 态下 及 WAN 端口当前的并发连接数 重启重启点击重启按钮以重启设备 刷新刷新点击刷新按钮以更新当前页面 设备状态设备状态点击设备状态按钮可显示 CPU 和内存的使用状况 联想网御安全网关用户指南 20 3 2 端口状态端口状态 图图 3 2 端口状态端口状态 状态日志状态日志 端口状态端口状态 广域网连接数广域网连接数显示了当前已建立的会话连接数目 广域网流量广域网流量显示了当前通过设备 WAN 端口的流量 您可以利用这些信息帮助您很好的 调节安全网关的设置 流量统计图流量统计图这一部分显示了当前流量统计图 方便直观的查看当前流量 用户可以自定 义采样时间 其中每一条垂直虚线都代表一个采样时间 缺省采样时间 45 分 钟 饼图饼图显示当前数据流量前四位的 IP 用户所占端口总流量的比例 刷新刷新点击刷新按钮以更新当前页面 发送网络分析日志发送网络分析日志如果您已经设置了 E mail 详见 6 7 节 点击发送网络分析日志按钮 可将 当前的网络分析日志以 html 格式发送到您设置的 E mail 邮箱 3 3 连接监控连接监控 此页面是为了显示当前存在的会话连接的信息及可针对各个连接进行操作 联想网御安全网关用户指南 21 图图 3 3 连接监控连接监控 状态日志状态日志 连接监控连接监控 连接描述连接描述 描叙当前连接的源 IP 端口 目标 IP 端口 经过的 WAN 端口 连接状 态及所占的流量 操作操作点击操作按钮来选择每条连接 刷新刷新点击刷新按钮来更新当前页面所显示的会话连接 搜索搜索 选择搜索类型后 在后面空白栏处填入要搜索的会话连接的信息 并点击搜索 按钮得到结果 例如 要搜索某个 IP 的所有连接 即输入这个 IP 地址 点击 搜索 按钮 将显示该 IP 的所有会话连接 全部选中全部选中 取消取消点击此按钮来选中或取消选中全部会话连接 断开连接断开连接 选中会话连接后可通过此按钮来断开选定的连接 您可以选择多条连接进行断 开操作 上一页上一页 下一页下一页 跳转跳转使用此按键来翻转页面 联想网御安全网关用户指南 22 3 4 操作日志操作日志 图图 3 4 操作日志操作日志 状态日志状态日志 操作日志操作日志 时间时间描叙每一次针对安全网关所做修改和设置的时间 事件事件描叙每一次针对安全网关所做的修改和设置的动作 操作主机操作主机描叙每一次针对安全网关所做的设置的主机的 IP 刷新刷新刷新当前的显示页面内容 清空清空将清空当前页面中的所有显示内容 3 5 URL 日志日志 图图 3 5 URL日志日志 状态日志状态日志 URL 日志日志 时间时间描叙访问相对应网站的时间 网站访问事件网站访问事件描叙访问每一个网站的连接 操作主机操作主机描叙访问相对应网站的主机的 IP 联想网御安全网关用户指南 23 刷新刷新刷新当前的显示页面内容 清空清空将清空当前页面中的所有显示内容 3 6 系统日志系统日志 图图 3 6 系统日志系统日志 此页面记录系统日志 包含 URL 日志 状态日志状态日志 系统日志系统日志 时间时间描述每一次系统状态改变所发生的时间 事件事件描述每一次系统状态所改变的详细内容 数据包描述数据包描述描述数据包的类型 和数据包的来源以及目的地址 刷新刷新刷新当前的显示页面内容 清空清空将清空当前页面中的所有显示内容 联想网御安全网关用户指南 24 4 端口设定端口设定 概述概述 这一章介绍端口配置的细节及各个特性的作用 4 1 WAN 端口端口 图图 4 1 WAN端口端口 端口设定端口设定 WAN 端口端口 连接类型连接类型显示 ISP 提供的 Internet 服务类型 地址信息 只针对地址信息 只针对 静态静态 IP 在此处输入您的 ISP 提供给您的固定的 IP 地址 子网掩码及网关 IP 地址 PPPoE仅当需要时连接到 ISP IP 地址被自动地分配 但有可能是静态 固定 的 用户名和密码 用户名和密码 输入提供给您的 PPPoE 用户名及密码 主机名主机名 有些 ISP 可能要求您使用特定的主机名 DNS 动态动态 IP 可选可选 在此输入要使用的 DNS IP 地址 另外一个输入的 DNS 可以作为首要 DNS 的 备份 保存保存点击此按钮以保存设置 取消取消点击此按钮以恢复到缺省值 联想网御安全网关用户指南 25 4 2 端口选项端口选项 图图 4 2 端口选项端口选项 端口设定端口设定 端口选项端口选项 NAPT启用 启用 用此键来启用和关闭 WAN 端口的 NAPT 功能 NAPT 网络地址端口转换 技术可以让您局域网上的所有 PC 共享一个 IP 地址通 过 WAN 端口访问 Internet 在 Internet 上看来这些机器都使用的相同的 IP 地址 通常必须启用这个设置 关闭 NAPT 将断开 Internet 访问 除非所有的 PC 都有合法的 IP 地址 如果您想把这个设备仅当作安全网关 不需要访问 Internet 使用 就关闭 NAPT 功能 兼容型兼容型 NAT默认为关闭 如果没有需要 请不要启动该功能 当您的某些网络应用对内部的源端口有要求的时候 则启用该功能 安全网关将尽 量不去修改网络应用的端口 从而保证这些应用更好的运行 安全网关安全网关正常情况这里保持缺省名称 如果您的 ISP 提供一个详细的主机名称 则输入它 域名域名如果您的 ISP 提供一个域名 在这里输入它 否则 保持空白 MAC 地址地址也叫做网络适配器地址或者物理地址 它是一个底层地址 通常情况它不需要被改 变 但是一些 ISP 要求特殊的数值 例如 要求使用第一次上网时 PC 的 MAC 地 址 克隆 克隆 您可以使用克隆功能 从 PC 上面把 MAC 地址复制到这个区域 缺省 缺省 缺省按钮可以恢复缺省值 联想网御安全网关用户指南 26 MTUMTU 最大传输单元 值仅在技术支持建议的情况下被改动 输入在 1 和 1500 之间的一个值 此设备将与远端服务器自动协商设置 MTU 的大小 两个值 自动协商的值 和在此输入的值 中较小的一个将被使用 对直接连接来说 非 PPPoE 或 PPTP 使用的 MTU 总是 1500 自动拨号自动拨号自动拨号 当发出联网请求时 Internet 将被自动连接 如果自动拨号未启用 当 空闲时间到达后 将被自动断开 空闲时间后自空闲时间后自 动断开连接动断开连接 只有自动拨号特性时这一项才有用 如果自动拨号未启用 输入空闲时间 单位分钟 在连接到您的 ISP 已经到达空 闲时间后 此连接将被中断 以太网网卡速以太网网卡速 度度 可针对广域网接入线路的带宽速度进行设置 分别为 10M 半双工 10M 全双工 100M 半双工 100M 全双工 自动 通常情况下选择自动 安全网关会自适应选 择 保存保存点击此按钮以保存设置 取消取消点击此按钮以取消自己刚对页面做的设定 4 3 LAN 端口端口 图图 4 3 LAN端口端口 端口设定端口设定 LAN 端口端口 LAN IP 地址地址安全网关的 IP 地址可以是本地的 LAN 使用缺省值除非该地址已经在使用或您的局 域网使用的是一个不同的 IP 地址范围 后者输入一个在局域网 LAN 范围内闲置的 IP 地址 网络掩码网络掩码缺省值 255 255 255 0 是标准的小 C 类 网络 对其它网络 需要设置局域网 LAN 的子网掩码 在同一网段上的值相同 联想网御安全网关用户指南 27 DHCP 服务器服务器 如果启用 当 PC 启动时 安全网关将自动分配一个 IP 地址给您在局域网内的电脑 缺省 推荐 值启用 如果您正在使用一个 DHCP 服务器 则此设置禁用 并且存在的 DHCP 服务器必 须被重新设置把安全网关当作网关 见下节中更多的细节 开始 IP 地址和 IP 地址池设置的值将由 DHCP 服务器给 DHCP 客户分配 IP 地址使 用 这个值也决定所能支持的 DHCP 客户端的数量 关于使用 DHCP 更多的细节见下节 按钮按钮 保存保存保存页面上的数据 取消取消放弃任何输入的数据 联想网御安全网关用户指南 28 5 高级功能 高级功能 这一章介绍高级功能配置的细节及各个特性的作用 5 1 静态路由静态路由 图图 5 1 1 静态路由静态路由 图图 5 1 2 路由表显示路由表显示 概述 如果在您的 LAN 上没有其它路由器或网关 您完全可忽略 路由 页 如果安全网关仅为本地的 LAN 网段 正在充当一个网关 即使有其它路由器 也忽略 路由 页 如果您的 LAN 有一标准的路由器 如 Cisco 且安全网关是作为所有的 LAN 网段的一个网关 启用 RIP 路由信息协议 忽略静态路由表 如果您的 LAN 有其它网关和路由器 并且您希望用每个网关来控制 LAN 网段 不要启用 RIP 路 由信息协议 改为配置静态路由表 您也需要配置其它路由器 联想网御安全网关用户指南 29 如果使用 Windows 2000 数据中心服务器作为一个软件路由器 在安全网关上启用 RIP 并确认下列 Windows 2000 设置是正确的 打开 路由和远程访问 在控制台上 选择 路由和远程的访问 服务器名字 IP 路由 RIP 在 详细资料 面板上 右击您想要为 RIP 版本 2 配置的接口 2 单击 属性 在 常规 的标签上 设置 外出信息包协议 为 RIP 版本 2 广播 流入信息包数据 为 RIP1 和 2 版 本 RIP 用途用途 安全网关1 安全网关2 图图 5 1 2 RIP用途用途 连接一台 PC 在您的安全网关 1 的 LAN 口 并且这台 PC 是使用的 DCHP 客户端程序 能够从安 全网关 1 获得一个 IP 地址 使用一台安全网关 2 安全网关 2 的 WAN 口接入安全网关 1 的 LAN 中 安全网关 2 接入另一个 LAN 中 现在 LAN1 和 LAN2 之间是不能够通信的 关闭安全网关 2 的 NAT 功能 使安全网关 2 成为一个标准路由器 同时启用安全网关 1 和安全网关 2 的 RIP 功能 选择相同的类型 如 RIP 1 此时安全网关 1 能够接收到从安全网关 2 发出的 RIP 路由 同时安全网关能够发送缺省路由到 LAN1 子网中 此时 LAN1 中的 PC 能够和 LAN2 中的 PC 进行通信 将 RIP1 改为 RIP 2B RIP 2M 设置相同 联想网御安全网关用户指南 30 路由页面 路由表访问通过高级页面上的 路由 连接 使用此页面使用此页面 通常 您将可使用 RIP 路由信息协议 或静态的路由表 就如上面解释的 尽管可能同时使用两个 方法 静态路由表静态路由表 如果 RIP 没被使用 相对这台设备 网络上每个 LAN 网段要求在路由表有一个入口 其它路由器必须也被设置 详细内容见本章后面的 在您的 LAN 上设置其它路由器 及示例 高级功能高级功能 静态路由静态路由 RIP 启用启用 RIP复选它启用安全网关的 RIP 路由信息协议 特性 安全网关支持 RIP 1 2B 2M 保存保存用来保存设置 静态路由静态路由 静态路由表静态路由表这张表显示出路由表中所有的入口 属性 区域显示出选择的入口的细节信息 需要时 改变任何属性 然后单击 更新此路由 保存修改至选择的入口 属性属性 目的网络目的网络 远程 LAN 网段的网络地址 对标准的 C 类网络 网络地址是目的地 IP 地址前 3 部分 第 4 部分为 0 网络掩码网络掩码 远程的 LAN 网段的子网掩码 对 C 类网络 缺省是 255 255 255 0 网关网关 IP 地址地址 网关或路由器的 IP 地址 路由器必须使用它与上面的目的地通信 不是连接到远程网络的路由器 跳数跳数 到达远程 LAN 网段时通过的路由器数 使用最短的路径 缺省值是 1 按钮按钮 增加此路由增加此路由把一个新的入口加到静态路由表 使用的数据显示页面上的 属性 区域 在列表中被 选择的入口被忽略 无效 更新此路由更新此路由更改当前静态路由表入口 使用数据显示页面上的 属性 区域 删除此路由删除此路由删除当前静态路由表入口 清空列表清空列表清除 属性 区域所有的数据 为静态路由表输入新的入口准备 显示路由表显示路由表产生所有静态路由表入口的一张只读列表 联想网御安全网关用户指南 31 设置您的局域网上的其它路由器 不在本地的 LAN 上的所有 IP 包必需通过路由器 以便他们能被提交给外部的 LAN 广域网 或因 特网 为实现这一目标 本地 LAN 必须配置使用路由器为缺省路由或缺省网关 本地路由器本地路由器 本地路由器是像路由器一样安装在同一 LAN 网段上的路由器 这个路由器要求缺省路由是其自身 典型地 路由器有一特殊的入口作为缺省路由 它应按如下配置 目的目的 IP 地址地址通常为 0 0 0 0 检查您的路由器文档 网络掩码网络掩码通常为 0 0 0 0 检查您的路由器文档 网关网关 IP 地址地址路由器的 IP 地址 接口接口LAN 跳数跳数2 本地局域网上的其它路由器本地局域网上的其它路由器 在本地 LAN 上的其它路由器必须使用路由器本地 LAN 口地址作为缺省的路由 入口将与路由器 的本地路由一样 网关 IP 地址除外 对直接连接本地路由器的一个网络 网关 IP 地址是路由器的本地 IP 地址 在到达本地路由器前 对必须把包提交给另外的路由器的 网关 IP 地址是中间的路由器的 IP 地址 静态路由表静态路由表 示例示例 图图5 1 4 路由示例路由示例 路由器的路由表路由器的路由表 对上面显示的 LAN 有 2 个路由器和 3 个 LAN 段 路由器需要 2 入口 如下所示 联想网御安全网关用户指南 32 入口入口 1 网段网段 1 目的 IP 地址10 1 5 0 网络掩码255 255 255 0 标准 C 类 网关 IP 地址10 1 6 100 路由器的本地 IP 地址 接口LAN 跳数2 入口入口 2 网段网段 2 目的 IP 地址10 1 7 0 网络掩码255 255 255 0 标准 C 类 网关 IP 地址10 1 6 100 接口LAN 跳数3 路由器路由器 A 的缺省路由的缺省路由 目标 IP 地址0 0 0 0 网络掩码0 0 0 0 网关 IP 地址10 1 6 254 路由器的本地 IP 地址 接口LAN 路由器路由器 B 的缺省路由的缺省路由 目标 IP 地址0 0 0 0 网络掩码0 0 0 0 网关 IP 地址10 1 5 80 中间路由的 IP 地址 接口LAN 5 2 站点过滤器站点过滤器 管理员可以使用 站点过滤器 功能限制局域网内的机器访问 Internet 的权限 默认设置时 不限制任何人对 Internet 的访问 联想网御安全网关用户指南 33 图图 5 2 站点过滤器站点过滤器 站点过滤器 共有 3 个只允许列表和 1 个阻止列表 注 站点过滤器是基于 URL 字符过滤 指只能识别英文和数字字符 每个列表最大添加数量 256bytes 高级功能高级功能 站点过滤器站点过滤器 站点过滤器规则列表站点过滤器规则列表 允许列表中注明了只可以访问的 Internet 站点 阻止列表注明了被限制访问 的站点 所有过滤将按照 关键字 方式进行过滤 站点过滤器规则名称站点过滤器规则名称 在站点过滤器规则列表中先选定列表类型 然后在此处输入规则名称 编辑编辑 在站点过滤器规则列表中选定列表类型及输入规则名称后 可以点击编辑按 钮来修改设置 删除选项删除选项 对应相应的规则 来删除规则中的某些关键词设置 删除全部删除全部 对应相应的规则 来删除规则中的全部关键词设置 添加关键词添加关键词 对应相应的规则 来添加规则中的关键词设置 添加添加 在前面空白栏处输入关键词后 点击添加按钮用于添加关键词 确认规则更改确认规则更改 用于更改设置后的规则保存 取消取消 用于取消更改 联想网御安全网关用户指南 34 5 3 地址转换地址转换 正常状况下 安全网关都是一个标准的 NAT 设备 将私网 IP 地址转换为公网地址 从而访问 Inernet 资源 如果您内网有多台服务器并且接入的 ISP 线路拥有多个 IP 地址 则每台服务器都能允许外网用 户进行访问 图图 5 3 地址转换地址转换 地址转换地址转换 地址转换地址转换 NAT 模式 通过 NAT 将内网地址翻译成合法的外网地址 在 Inernet 上使用 映射模式 将公网 IP 映射至内网指定 IP 地址 使公网用户可直接访问此内 网务器 透明模式 无需经过地址转换 只要将服务器 IP 固定成 ISP 分配的合法地 址即可使公网用户可访问 源网络源网络指定映射到的内网 IP 地址 使用映射模式时只能填写单独的内网 IP 地址 外部外部 IP需要被使用的外网 IP 地址 只能为单独的外网 IP 地址 保存保存 点击以保存设置 取消取消 点击以取消设置 注 透明模式只应用在多公网 IP 时 仅需要在 源网络 中填写需要被使用的外部 IP 地址 以及在内网 的服务器 TCP IP 中固定成该外部 IP 地址即可 此透明模式只能针对单个 IP 地址 不支持全局透明模 式 联想网御安全网关用户指南 35 5 4 动态动态 DNS 图图 5 4 动态动态DNS 结合自定义安全网关规则特性 这种免费服务是十分有用的 它允许因特网用户使用一个 URL 而 非一个 IP 地址与您的服务器连接 这也解决了一个动态 IP 地址的问题 用了一个动态 IP 地址 您的 IP 地址随连接而改变 它使与 您连接变得困难 按照以下步骤使用服务按照以下步骤使用服务 1 您必须在所列的 DDNS 服务器内选择一个服务商 然后申请服务注册 2 在注册后 依照服务商的操作程序申请一个域名 3 在安全网关的 DDNS 页面输入您的 DDNS 数据 4 安全网关将自动地确认您当前的 IP 地址已被记录在 DDNS 服务器内 5 用户在因特网上将可以使用您的域名与您的虚拟服务器 或 DMZ PC 连接 高级功能高级功能 动态动态 DNS 动态域名服务动态域名服务 DDNS 服务服务 您必须在所列的 DDNS 服务器内选择一个服务商 您可以在列表内选择并点 击 网站 按钮可以直接登录 DDNS 服务网站 申请一个动态域名 需要填写一些详细信息 用户名 口令 域名 并保存 这个设备将自动确保您当前的 IP 地址被记录到 DDNS 服务