联想网御防火墙PowerV Web界面操作手册2开始.docx
- 文档编号:10691336
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:19
- 大小:552.89KB
联想网御防火墙PowerV Web界面操作手册2开始.docx
《联想网御防火墙PowerV Web界面操作手册2开始.docx》由会员分享,可在线阅读,更多相关《联想网御防火墙PowerV Web界面操作手册2开始.docx(19页珍藏版)》请在冰豆网上搜索。
联想网御防火墙PowerVWeb界面操作手册2开始
第2章如何开始
本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。
这些有助于管理员完成防火墙软硬件的快速安装和启用。
如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。
2.1网御防火墙PowerV概述
随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。
网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。
可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。
2.1.1产品特点
联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。
●高安全
●高可用性
●高性能
2.1.2主要功能
网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。
主要具有以下功能:
●状态检测和动态过滤
采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化的要求。
可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。
●双向NAT地址转换
在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。
支持静态NAT、动态NAT及IP映射(支持负载均衡功能)、端口映射。
●应用层透明代理
支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。
通过提供透明的代理服务,使受控网络中的用户感觉不到代理的存在,这样不必改变客户端配置,就能在授权范围内与外网通信,减少了网络管理员的工作量。
●防IP地址欺骗
对指定接口所连接的网络中主机的IP和MAC地址进行绑定,防止IP盗用,并对非法IP的访问提供详细的记录,以便防火墙管理员查看。
●时间管理
支持过滤规则的时间域设定,防火墙管理员在定义好一条规则后,能够指定这条规则的启动、生效、关闭的时间域。
●带宽管理
提供QoS机制,能够用优先级和流量控制方式分配网络带宽,从而有效地保证需要特殊带宽的网络服务。
●用户认证
提供与应用服务无关的用户认证,能够同时为包过滤服务和代理服务提供用户认证。
支持PAP、S/KEY认证协议;支持防火墙本地认证和标准的Radius认证服务器,提供用户及组管理。
●邮件过滤
对收件和发件的邮件主题、正文、收发件人、附件名、附件内容等进行过滤,对邮件内容除提供关键字匹配外,还提供基于文本格式的中文内容智能过滤。
●URL过滤
URL过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。
●规则及配置信息的导入导出、备份恢复
可以把配置的各项数据从防火墙导出做备份;需要时可以把以前的配置信息导入到防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管理员的工作带来很大的便利和很好的安全保证。
●互动式实时入侵检测(IDS)与实时阻断
能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等;可根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接,并可通过邮件的方式向管理员报警;支持用户自定义监测规则,支持规则库的手动升级。
●支持SSN(安全服务区)基于网络服务的负载均衡
实现了高效的负载均衡算法,通过反向NAT功能,防火墙可以为用户SSN(安全服务区)内的服务器有效地均衡网络服务的流量。
●日志审计
提供防火墙日志管理和日志服务器,具有实时监控、审计、报警和自动备份功能,同时日志服务器管理员与防火墙管理员实行分权管理;并可为管理员提供丰富完整的日志信息和强大完善的安全审计,允许管理员设定审计查询规则,以可理解的格式输出查询结果,生成可理解格式的日志文件,具有日志存储溢出报警和补救功能。
●网御电子钥匙
基于硬件(USB接口)、一次性口令(S/KEY协议)的管理员身份认证,采用了双因子认证机制(基于管理员帐号和防火墙设备硬件信息),保证一把电子钥匙只能管理一台特定的防火墙。
●远程安全管理
采用基于密码技术的PKI-CA证书的认证方式对管理员进行身份认证,只有认证通过的管理员才能访问配置管理界面并操作相关文件。
采用SSL加密信道对配置信息进行加密处理,保证数据的安全性和完整性(防篡改)。
●集中安全管理
通过集中管理中心可以对网络中的防火墙完成集中统一的配置、管理和系统监视,并具有设备自动发现功能;支持对安全设备运行状态的实时监控;支持实时安全事件报警和安全事件的日志管理审计。
●远程维护
当开启此功能时,允许授权管理员利用SSH或电话拨号的方式对防火墙设备进行在线维护。
由于“远程支持”功能采用安全的协议SSH进行防火墙的管理,可保证网络上传送的管理信息被加密,而不被内部或外部用户嗅探或攻击。
●HA支持
支持双机热备和集群两种方式。
通过把防火墙加入集群,在可以保证某一防火墙节点一旦发生问题时,其负载可以迅速切换到集群中其它防火墙上,从而满足无间断网络要求。
●模块升级与灾难恢复
支持防火墙软件、入侵检测库和病毒库的版本升级,并提供了完善的灾难恢复机制。
当防火墙由于各种原因而出现网御电子钥匙不可用、Pin口令忘记、证书不可用或过期、防火墙IP地址遗失等现象时,管理员只要初始化主机,并将事前保存的系统配置文件导入防火墙,防火墙就能恢复正常的工作状态。
●支持非IP协议
支持IPX和NetBIOS等非IP协议,还支持自定义协议,控制是否可以通过,具有优秀的网络适应能力。
●支持VLAN(802.1Q)协议
防火墙可以接受、发送带有vlan标记的网络数据。
因此,可把防火墙置于交换机trunk口,同时支持多个vlan区间通信,包括透明和路由转发。
●VPN安全隧道模块(可选模块)
联想网御防火墙PowerV集成的VPN功能使您可以在Internet上构建基于IPSec技术的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN具有同本地私有网络一样的安全性、可靠性和可管理性等特点,同时大大降低了建设远程私有网络的费用。
支持IPSec协议,提供网络层报文的身份鉴别、加密和完整性认证等功能。
2.1.3硬件描述
2.1.3.1产品外观
防火墙正面:
图21防火墙前面板
●4个指示灯
防火墙正面面板上有4个指示灯,作用是
左上灯:
电源指示灯
左下灯:
读写状态指示灯
右侧两个灯:
Ha指示灯
防火墙启动时,四个灯全部亮起,启动后,依照各自的作用分时亮。
两个HA状态灯:
作为HA主节点:
两个灯全亮
HA从节点:
上灯亮,下灯灭
HA故障节点:
上灯灭,下灯亮
为启用HA状态:
两灯全灭
●Console和Aux
防火墙正面面板上指示灯的右边有两个接口,从左到右是Console和Aux,用于和计算机的串口1和串口2相连。
●网口
防火墙有4个标准10/100Base-TX(RJ45)接口,从左到右依次为fe1,fe2,fe3,fe4,fe4的右边是扩展接口,叫做fe5,fe6,fe7,fe8
●USB接口的网御电子钥匙1个
2.1.3.2电气性能
●电源电压:
220V50Hz200WATX
●优秀的抗干扰设计:
支持IEC-1000-4-x系列抗干扰标准
●操作环境:
温度0℃~55℃,湿度20%~80%
●存储环境:
温度-40℃~80℃,湿度20%~95%
●为保证EMI及传输效率,建议使用5类以上屏蔽双绞线
2.1.3.3执行标准
●GB/T18019-1999包过滤防火墙安全技术要求
●GB/T18020-1999应用级防火墙安全技术要求
2.1.4软件描述
界面框架如图2-2所示。
图22防火墙配置首页
页面分为三个区域:
工具栏区,菜单区和显示区。
表21工具栏中的按钮说明
图标
功能说明
直达首页
回到本页的上一页
前进到本页的下一页
导出日志
导出防火墙配置
保存所有防火墙配置
帮助
菜单采用类似Windows操作系统资源管理器的树型结构。
菜单的分类和排列含有逻辑关系,了解这些逻辑关系将有助于管理员记忆并快速定义操作页面。
表22菜单分类和说明
一级菜单
说明
系统配置
作为一个黑盒子系统,如何管理、升级、报告。
包括:
调整日期时间
设置系统参数
系统更新
导入导出系统配置文件和模块升级
设置管理主机、管理员帐号、管理员证书和管理方式
和IDS产品、用户认证服务器之间的联动
设置日志服务器、报警邮箱、集中管理等报警机制
设置入侵检测
导入产品许可证
配置管理员具有修改这些配置的权限,其中管理员帐号的修改只能由超级管理员administrator进行。
网络配置
作为一台网络设备,必须的一些配置,包括:
网络接口属性(工作模式、IP地址、对VLAN的支持等)
域名服务器
静态路由
策略路由
UPnP服务器
DHCP服务器
HA(高可靠性)
配置管理员具有修改这些配置的权限。
策略配置
防火墙配置的核心,最能体现防火墙价值之处。
包括:
安全选项:
安全规则:
包过滤规则、代理规则、NAT规则、端口映射规则、IP映射规则
代理服务:
地址绑定:
IP和MAC的绑定
带宽管理:
黑名单:
策略管理员具有制定安全策略的权限。
VPN
远程网关:
远程网关的一些信息
隧道配置:
远程ipsec用户:
远程拨号用户:
隧道监控:
证书管理:
基本配置:
资源定义
这是为安全规则服务的。
为简化防火墙安全规则的维护工作,引入了资源定义,可以定义以下资源:
地址:
地址、地址组、地址池、服务器地址
服务:
服务、服务组
用户:
用户、用户组
时间:
时间、时间组
带宽:
带宽
URL过滤:
黑白URL名单
VLANID:
VLAN的节点号
资源只有被安全规则引用才能起作用,否则,不起作用。
策略管理员具有定义资源的权限。
系统监控
可以监控防火墙运行状态,包括:
网络接口状态:
网口的实时状态和流入量流出量的统计信息
HA状态:
在主节点上可以监控所有节点的状态
资源状态:
CPU利用率、内存利用率
日志信息:
对日志简单分类和过滤
在线用户:
当前通过用户认证功能在线用户信息日志审计员具有监控防火墙运行状况的权限。
连接状态:
带宽监控
网络调试工具
在线支持
帮助文件、在线注册等
2.1.5附带软件描述
附带软件有:
●管理员身份认证(客户端软件及电子钥匙)
●用户身份认证(客户端软件)
●日志审计服务器(系统软件)
●集中管理站(系统软件)
●联想Radius服务器(系统软件)
2.2拆箱检查
在打开包装之后,请您先检查随机附带的电源线、交叉线、光盘、串口线和电子钥匙等设备是否齐全,所有部件请对照装箱单进行检查,如有缺损请及时和销售人员联系。
注意:
取出设备后,不要将外包装丢弃,在需要搬运时,请务必使用原包装,它是为您的防火墙专门设计的包装,具备良好的防震功能。
每当您需要维修服务时也最好用原包装将防火墙设备返回到联想集团有限公司的维修服务部门。
2.3网御防火墙PowerV安装
2.3.1检查安装场所
联想网御百兆防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
1.确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。
2.确认机柜和工作台自身有良好的通风散热系统。
3.确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。
4.确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。
2.3.2安装
网御防火墙PowerV可以放置在桌面上,也可以放在标准的19英寸机架上。
安放在桌面上不需要特别的安装,安放在机架上时需要螺丝刀。
将防火墙固定在机架上的固定托架,相关螺钉等随机配备的产品机箱中。
2.3.3网络连接
请安装防火墙在机架上或放在一个水平面上。
确认防火墙电源是关闭的。
连接电源线。
将防火墙连接在用户当前的网络中。
检查当前防火墙面板上的指示灯
2.4配置管理方法
联想网御防火墙PowerV防火墙的配置界面有两种方式:
基于web的图形方式和基于CLI的命令行方式,可以利用网络连接(SSH)或串口连接进行命令行配置。
2.4.1网络接口web配置
支持远程安全管理和集中安全管理两种方式,优越性更表现在其集中安全管理的特性上。
1.远程安全管理——支持SSL协议,采用基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证技术的管理员身份认证,使得只有认证通过的管理员才能通过远程访问配置web管理界面、操作相关文件,所有防火墙配置文件及与安全有关的数据都经加密处理存放。
2.集中式安全管理——管理员通过集中管理中心可以对全局网络中的防火墙进行统一的配置与管理,支持SNMP、SSL协议,利用SNMP的trap机制实现安全事件报警。
具体包括:
(1)拓扑管理:
具有设备自动发现功能,使管理员拥有对联想网御防火墙PowerV设备信息的全局掌握和控制。
(2)系统监测:
监视联想网御防火墙PowerV的设备运行状态和统计数据系统状态,并在事件发生时通过图形界面向管理员发出通知。
(3)配置管理:
可以对网络中的联想网御防火墙PowerV进行统一的安全配置、管理和系统监视。
2.4.2网络接口CLI配置
提供命令行方式的基本配置管理和灾难恢复功能,通过SSH方式进行防火墙的安全管理和维护,并由管理员根据实际需要决定本功能的是否启用。
2.4.3本地串口CLI配置
基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。
2.5登录管理界面
2.5.1登录方法
防火墙共有四种管理方式:
1)Web界面管理2)串口命令行管理3)远程SSH登录管理4)PPP拨号接入管理。
其中管理方式1)和2)是默认开启的,3)和4)默认是关闭的。
在Web界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。
默认的管理主机IP地址是10.1.5.200,Web界面管理使用SSL协议来加密管理数据通信,因此使用IE来管理防火墙时,在地址栏输入https:
//a.b.c.d:
8888/,来登录防火墙。
其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。
在串口命令行管理中,管理客户端的配置是9600-8-N-1,管理主机默认连接防火墙的CONSOLE,如果开启了PPP拨号接入功能,则串口管理的管理主机应当连接防火墙的串口AUX。
注意:
用web界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。
SSH登录管理必须首先在系统菜单“配置>>管理配置>>管理方式”中设置允许SSH登录,才可以通过SSH协议远程登录防火墙。
以SecureCRT3.4.3(Official)版本客户端为例,客户端设置选择协议为ssh2,端口为22,认证方式为Password。
此时客户端的IP必须是管理主机IP之一。
图23使用SecureCRT3.4.3登录防火墙
在PPP拨号接入管理中,Modem连接到电话线路上,并将防火墙CONSOLE口连接Modem,管理主机通过另外一个Modem也接入电话线路,从管理主机向防火墙拨号,拨号成功后,防火墙与管理主机建立了PPP连接。
此时,可以从管理主机上利用putty软件登录防火墙命令行界面(远程SSH方式)。
2.5.2管理认证
管理员通过web方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。
使用电子钥匙时,首先将电子钥匙插入管理主机的usb口,启动联想网御防火墙PowerV电子钥匙初始化客户端InitIToken.exe,输入防火墙IP地址(初始是10.1.5.254)和防火墙ID(购买防火墙时提供),写入时,需要提供用户PIN密码和超级用户密码,都是12345678。
确认后就生成了用于认证的电子钥匙。
图24初始化电子钥匙
电子钥匙生成以后,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
图25认证信息
选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后就可以通过https:
//10.1.5.254:
8888连接防火墙了。
图26认证通过
注意:
防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙关人认证客户端,否则可能无法管理。
使用管理证书认证方式,必须在先使用电子钥匙登陆防火墙,上载防火墙证书后,并且在IE导入管理员证书后,可通过登录https:
//10.1.5.254:
8889管理防火墙了。
2.5.3登录过程
登录
1.接通电源,开启防火墙,选用一台带以太网卡和光驱的PC机作为防火墙的管理主机,操作系统应为Window98/2000/XP,管理主机IE浏览器建议为5.0以上版本;
注意:
防火墙正常启动后,会蜂鸣三声,未出现上述现象则表明防火墙未正常启动,请您求助防火墙技术支持人员。
2.使用随机提供的交叉线,连接管理主机和防火墙的网络接口fe1;
3.将管理主机的IP地址改为10.1.5.200(防火墙出厂时默认指定的管理主机IP);
4.使用上一节介绍的认证方法进行认证,首次登录,只能用电子钥匙进行认证。
5.打开IE浏览器,如果使用电子钥匙认证,浏览https:
//10.1.5.254:
8888,出现如下防火墙登录界面:
图27防火墙登录界面
6.在防火墙登录界面中输入管理员口令administrator,进入防火墙的配置首页。
默认的用户帐号和口令都是administrator。
当您进入联想网御防火墙PowerV的配置界面后,有关具体参数的说明和配置方法,请参考后续章节。
2.5.4网御防火墙PowerV的一般配置过程
以Web界面管理方式为例,配置防火墙一般遵循以下步骤:
1.登录管理界面,参考1.5.1登录方法和1.5.3登录过程
2.选择“资源定义”菜单项中的子项,定义地址,服务,用户,时间,带宽,需要过滤的URL,网络环境中存在的VLANID等资源。
3.选择“网络配置>>网络设备>>物理设备”,修改网口的工作模式和IP地址。
选择“系统配置>>管理配置>>管理主机”,修改管理主机的IP地址配置。
如果网络环境复杂,还需要配置“网络配置>>网络设备”下的VLAN设备,桥接设备,别名设备,冗余设备和VPN设备。
4.选择“策略配置>>安全规则”,设置相应的包过滤,NAT,端口映射和IP映射规则。
其中包过滤规则中包含了设置IPSec,用户认证,代理的规则。
NAT规则中包含了源地址转换和伪装的功能。
源地址转换可以明确设定某些源地址转换成相应的地址。
5.系统保存,单击上侧中部磁盘的图标,保存系统配置。
如果没有保存就重新启动,系统将恢复到上一次保存的配置。
6.在日常的维护中,经常观察防火墙“系统监控”菜单下的内容和日志服务器中的日志信息,以便了解防火墙的工作状态。
更详细的内容,请参阅防火墙手册的相关部分。
2.5.5退出登录
退出防火墙配置管理界面,虽然可以采用直接关闭浏览器界面的方式,但请尽量采用点击界面上“退出”,因为这样可以通知防火墙关闭这个会话,从而最大限度的保证安全性。
直接退出还会少记一条管理员退出日志。
如果直接关闭浏览器,防火墙没有收到结束会话的指令,则会误以为该管理员仍在线管理中,另外如果没有选择了“允许多个管理员登录”,则会造成别的管理员登录不了。
提示:
当因为直接关闭浏览器而导致无法继续管理时,可通过串口登陆,删除相应的临时文件即可。
具体如下:
rm-f/tmp/session*.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联想网御防火墙PowerV Web界面操作手册2开始 联想 防火墙 PowerV Web 界面 操作手册 开始