联想网域防火墙

1、安装调试简介安装调试简介目目 录录2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面 3.3.更改防火墙的更改防火墙的IPIP地址地址 1.1.拆箱检查及物理连接拆箱检查及物理连接 5.5.串口命令行管理防火墙串口命令行管理防火墙 4.4.防火墙的安全策略配置防火墙的安全策略配置 6.6.如遇到问题怎么办如遇到问题怎么办 7.FAQ 7.FAQ 8.8.案例案例 1. 1. 拆箱检查及物理连接拆箱检查及物理连接 n注：如发现有问题，请及时与你的供货商进行沟通解决。 l 防火墙与其它网络设备的连接防火墙与其它网络设备的连接n防火墙-交换机、HUB ：直通线直通线（普通网线）n防火墙-PC、

2、笔记本、路由器：交叉线交叉线n*注：随机提供的网线是交叉线l 请安装装箱单的提示进行检查机箱内所有的配件：请安装装箱单的提示进行检查机箱内所有的配件： 防火墙主机、USB电子钥匙、随机光盘、随机手册、电源线、网线、串口线、安装支架、保修卡 2.1 2.1 准备工作准备工作 n接通防火墙电源，开启防火墙 n选用一台带USB接口、以太网卡和光驱的PC机 作为防火墙的管理主机，操作系统应为Window98/2000/XP n使用随机提供的交叉线，连接管理主机和防火墙的eth0网口n将管理主机的IP地址改为00（防火墙出厂 时默认指定的管理主机IP） 2.2.初次登录防火墙的管理界面初

3、次登录防火墙的管理界面2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面2.2 2.2 安装网御电子钥匙安装网御电子钥匙 n将随机光盘放入管理主机的光驱，进入随机附带的光盘的key 目录，执行该目录下的INSTDRV，提示“退出请重新插锁”， 则表示已正确安装完网御电子钥匙的驱动程序 n将网御电子钥匙插入管理主机的USB口，管理主机会提示发现新硬件，并自动进行驱动程序的安装 *注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。 2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面2.3 2.3 安装安装“联想网御联想网御 Power V Power V 管理员登

4、录管理员登录”程序程序 n在管理主机上，运行随机光盘key目录下的 ikeyc.exe程序， 双击后出现下面窗口：n输入输入PIN密码：密码：12345678 2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面 2.4 2.4 进入进入“联想网御联想网御 Power v Power v 管理员登录管理员登录”程序程序n启动“联想网御 Power V 管理员登录”程序，程序将提示用户输入PIN口令，首次使用默认PIN为“12345678”，通过后弹出管理员身份认证对话框，如下图： 2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面2.5 2.5 认证、登录防火墙的管理界面认证、登录防

5、火墙的管理界面l点击“连接”按钮 l认证通过弹出“通过认证”对话框 *注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此，不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。去掉IE浏览器里的代理设置打开管理主机的IE浏览器，浏览54:8888 ，出现如下：2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面2.2.6 6 成功登录防火墙的管理界面成功登录防火墙的管理界面防火墙管理界面在这个页面上可以看到防火墙的序列号、防火墙版本号、网口的连接状态等信息！ 2.2.初次登录防火墙的管理界面初次登录防火墙的管理界面2.2.7

6、 7 防火墙管理界面首页防火墙管理界面首页 3. 3. 防火墙接口地址及管理主机地址修改防火墙接口地址及管理主机地址修改 3.1 3.1 更改防火墙更改防火墙IPIP地址的原则地址的原则 l一般地，防火墙通常至少要有一个IP地址 l防火墙至少其中的某个IP与相邻的三层设备 （如路由器、三层交换机）的IP地址在同一IP网络上，使管理主机可管理到 l防火墙的IP地址应不与其他网络设备或PC的IP地址冲突（即空闲的IP地址） 3.3.防火墙接口地址及管理主机地址修改防火墙接口地址及管理主机地址修改 3.23.2 添加、更改防火墙管理主机地址添加、更改防火墙管理主机地址 l点击“系统配置”-“管理配置

7、 ”-“管理主机”按钮，将出现以下页面： *注：直接更改防火墙的IP地址可能会造成无法管理，所以一定要注意先更改防火墙管理案例机IP，最多六个并发管理。 3.3.防火墙接口地址及管理主机地址修改防火墙接口地址及管理主机地址修改 3.3.3 3 更改防火墙接口地址更改防火墙接口地址 l点击“网络配置”-“网络设备 ”-“物理设备”按钮，将出现以下页面： 3. 3. 防火墙接口地址及管理主机地址修改防火墙接口地址及管理主机地址修改 l改变管理主机的IP地址为49， 子网掩码为48 l在“防火墙管理员认证”程序界面，将电子钥匙内的防火墙IP直接改为10.0

8、.14.250，并“保存”注意：认证程序端口号不需要更改，与IE 浏览器端口号没关系。 3.4 3.4 重新登录防火墙重新登录防火墙 3. 3. 防火墙接口地址及管理主机地址修改防火墙接口地址及管理主机地址修改 l重新认证 l认证通过后，打开IE浏览器，浏览 50:8888，出现如下防火墙管理界面：4.4.防火墙的安全策略配置防火墙的安全策略配置 4.14.1防火墙的路由防火墙的路由n默认网关 默认网关的作用：防火墙在无法决定该往哪里转发IP包的时候，将把IP包转发到缺省网关。 配置默认网关的原则：默认网关应该是防火墙连接外网的下一跳地址。如防火墙连接到外网的下

9、一个设备是路由器，则默认网关应设置为与防火墙连接的路由器接口的IP地址。n静态路由 当防火墙隔离的内网使用了路由器或三层交换机等三层设 备的路由功能的时候，需要考虑配置静态路由。4.4.防火墙的安全策略配置防火墙的安全策略配置 4.24.2防火墙的地址对象设置防火墙的地址对象设置4.4.防火墙的安全策略配置防火墙的安全策略配置 4.34.3防火墙的地址组对象设置防火墙的地址组对象设置4.4.防火墙的安全策略配置防火墙的安全策略配置 4.44.4防火墙的服务对象设置防火墙的服务对象设置4.4.防火墙的安全策略配置防火墙的安全策略配置 4.54.5防火墙的服务组对象设置防火墙的服务组对象设置4.4

10、.防火墙的安全策略配置防火墙的安全策略配置 4.64.6防火墙的时间对象设置防火墙的时间对象设置4.4.防火墙的安全策略配置防火墙的安全策略配置 4.74.7防火墙的安全规则设置防火墙的安全规则设置4.4.防火墙的安全策略配置防火墙的安全策略配置 4.84.8防火墙的安全规则设置防火墙的安全规则设置5.5.串口命令行管理防火墙串口命令行管理防火墙 5.15.1登录防火墙串口命令行管理界面前的工作登录防火墙串口命令行管理界面前的工作l当系统工作不正常，并且不能通过网络正常 管理防火墙时，此时，可以通过串口登录到防火墙，并对防火墙进行配置。 l设置超级终端的波特率：9600；数据位：8；奇偶校验：

11、无；停止位：1；流量控制：硬件/无l使用随机所附的串口线(兰)，将防火墙的consoleconsole 与一台装有超级终端的个人计算机的串口连接起来。5.串口命令行管理防火墙串口命令行管理防火墙5.25.2登录防火墙串口命令行管理界面登录防火墙串口命令行管理界面建立连接后出现提示符Firewall login： 输入正确的帐号出现提示符Password： 输入正确的密码，出现提示符ac 表明已进入防火墙命令行方式。默认的帐号和密码为： administrator 大小写敏感。5.5.串口命令行管理防火墙串口命令行管理防火墙 5.35.3串口命令行命令介绍串口命令行命令介绍l使用help命令可显

12、示在命令行状态可以使用的命令列表。acsystem show (显示系统信息防火墙序列号、版本号)acinterface show all (显示所有网络端口的ip)ac interface set phy if fe3 ip netmask active on admin on ping on （设定fe3的ip为 网口启用 允许web管理、 ping）acadmhost show (查看管理主机ip)acadmhost add ip (添加一个地址为的管理主机

13、)acconfig save (防火墙配置保存)6.6.如遇到问题怎么办如遇到问题怎么办6.1 6.1 保存配置信息保存配置信息会使你成为解决问题的专家会使你成为解决问题的专家n及时系统保存 配置时经常地进行系统保存，将使我们的防火墙不至 于因断电等原因丢失已配置的信息n规则的导入导出 规则的导入导出将提高配置效率和保存并使用特定的 安全策略。如在模块升级后由于规则将恢复到出厂状 态，此时使用此功能将能快速恢复配置信息n书写调试文档 将调试人、网络拓扑图、加入规则的原因、遗留问题 等信息进行详细的记录，形成文档备案6.6.如遇到问题怎么办如遇到问题怎么办 6.2 6.2 充分利用日志信息充分利

14、用日志信息会使你会使你“柳岸花明柳岸花明” 在调试防火墙的过程中，详细阅读防火墙的日志信息。及时将应允许通过防火墙的数据在安全规则上体现，使其正常通过防火墙6.6.如遇到问题怎么办如遇到问题怎么办6.46.4联想专家热线联想专家热线你永远可信赖的朋友你永远可信赖的朋友 遇到问题，请不要自行拆卸防火墙，建议与我们的技术支持人员 取得联系，以获得最佳解决方案。 咨询电话Email ：6.6.如遇到问题怎么办如遇到问题怎么办6.3 6.3 随机手册随机手册你的得力助手你的得力助手 如在使用联想网御Power V防火墙过程中遇到问题，请仔细阅读防火墙的随机手册。7.FAQ为

15、什么系统启动后会听到“嘟嘟嘟”三声？答：为了提示用户系统已经启动完毕，特别安排在系统启动完成后发出“嘟嘟嘟”三声。为什么在连接状态查询中，查询ICMP连接时，一般都查不到连接？答：这是因为ICMP一般都是瞬间连接，很快就结束了。为什么在系统刚刚登陆时，资源状态CPU利用率有时会变得很高？答：这是正常的，因为登陆时占用资源比较多，造成了瞬时CPU利用率增高。为什么配置了策略配置安全规则端口映射规则，IP映射规则和NAT 规则之后，还不能直接访问相应的服务？答：这是为了更加细化规则的控制粒度，还需要配置相应的包过滤规则，允许源地址和目的地址的访问，才可以访问相应的服务。在资源定义地址地址池列表中定

16、义的地址池资源是如何生效的？答：系统会自动将地址池中的IP地址绑定到相应网络接口上，以便进行安全策略的配置。故地址池列表中的地址一定不能与其它设备的IP地址冲突，否则会造成网络中断。7.FAQ如何登录到防火墙管理界面？ 答：管理主机默认只能联接防火墙的第一个以太网口，如果需要连接其它网口，必须通过串口进行相应的配置。默认的管理主机IP 地址是00，Web 界面管理使用SSL 协议来加密管理数据通信，生产后的版本需要通过使用电子钥匙的认证程序，再使用IE 来管理防火墙，在地址栏输入https:/a.b.c.d:8888/，来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“

17、54”，登录防火墙的初始用户名和口令都是“administrator”，大小写敏感。 具体内容请参考手册联想网御防火墙Power V 快速开始8.8.案例案例8.8.案例案例8.8.案例案例 8.1 8.1 配置前的信息收集工作配置前的信息收集工作l弄清楚网络环境（防火墙及周边设备的IP/路由/ACL）l弄清楚应用需求（协议/服务/端口）l制定合适的安全策略8.8.案例案例 8.2 8.2 设备连线设备连线l是否物理介质的问题，包括网线等l是否接口协商模式的问题（灯不亮）8.8.案例案例 8.3 8.3 登录防火墙登录防火墙lWeb 界面 1、电子钥匙驱动安装 winxp (英文版) 打SP2补丁，插上后提 示需安装驱