联想网御防火墙界面操作手册系统配置样本.docx
- 文档编号:7827880
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:20
- 大小:323.84KB
联想网御防火墙界面操作手册系统配置样本.docx
《联想网御防火墙界面操作手册系统配置样本.docx》由会员分享,可在线阅读,更多相关《联想网御防火墙界面操作手册系统配置样本.docx(20页珍藏版)》请在冰豆网上搜索。
联想网御防火墙界面操作手册系统配置样本
第3章系统配备
本章重要简介防火墙系统配备,由如下某些构成:
日期时间,系统参数,系统更新,管理配备,联动,报告设立,入侵检测和产品允许证。
3.1日期时间
防火墙系统时间精确性是非常重要。
可以采用两种方式来同步防火墙系统时钟
1)与管理主机时间同步
2)与网络时钟服务器同步(NTP合同)
图31配备防火墙时间
与管理主机时间同步
1.调节管理主机时钟
2.点击“时间同步”按钮
与时钟服务器时间同步有两种方式
1.及时同步
2.周期性自动同步
及时同步
1.选中“启用时钟服务器”,输入“时钟同步服务器IP”
2.点击“及时同步”按钮
周期性自动同步
1.选中“启用时钟服务器”,输入“时钟同步服务器IP”
2.设定同步周期
3.点击“拟定”按钮系统参数
注意事项:
防火墙诸多操作依赖于系统时间,变化系统时间会对这些操作发生影响,例如更改时间后配备管理界面登录超时等。
3.2系统参数
系统参数设立防火墙名称和动态域名注册所使用顾客名、密码。
防火墙名称最大长度是14个英文字符,不能有空格。
默认防火墙名称是themis,顾客可以自己修改这个名称。
动态域名注册所使用顾客名、密码最大长度是31个英文字符,不能有空格。
动态域名设立在网络配备>>网络设备物理网络配备中。
图32系统参数配备图
3.3系统更新
3.3.1模块升级
防火墙系统升级功能可以迅速响应安全需求,保证防火墙功能与安全迅速升级。
图33导入升级文献
模块升级界面涉及如下功能
1.模块升级
2.导出升级历史
3.检查最新升级包
4.重启防火墙
模块升级
1.点击“浏览”按钮,选取管理主机上升级包
2.点击“升级”按钮
点击“重启防火墙”按钮,重启防火墙完毕升级
导出升级历史
点击“导出升级历史”按钮,导出升级历史做备份。
检查最新升级包
管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新IE窗口并连接联想安全服务网站(防火墙可以连接Internet)。
重启防火墙
点击“重启防火墙”按钮,防火墙将重新启动。
注意:
重启防火墙前,记住要保存当前配备。
“保存”快捷键:
3.3.2导入导出
图34导入导出配备文献
导入导出界面包括如下功能
1.导出系统配备
2.导入系统配备
3.恢复出厂配备
4.保存配备
导出配备
点击“导出配备”按钮,导出最后一次保存所有系统配备到管理主机。
选中“导出成加密格式”,则加密配备文献。
导入配备
点击“浏览”按钮,在管理主机上选取要导入配备文献,点击“导入配备”按钮,导入配备文献,系统提示导入成功,重起防火墙,导入配备生效。
注意:
导出配备文献带有防火墙软硬件版本信息,不能导入到别版本防火墙中,并且如果同样配备文献被导入到不同防火墙中,且这些防火墙位于同一网络时,也许会引起配备冲突,如IP地址,MAC地址等。
恢复出厂配备
点击“恢复出厂配备”按钮,防火墙所有配备丢失,恢复到出厂配备,重起防火墙后生效。
保存配备
点击“保存配备”,保存所有系统配备。
也可以按上方保存快捷图标来保存。
3.4管理配备
3.4.1管理主机
管理员只有在管理主机上才干对防火墙进行管理,最多支持6个管理主机IP和1个集中管理主机,至少有1个管理主机IP不能被删除。
图35添加、编辑管理主机
此界面完毕如下功能
1.添加管理主机
2.删除管理主机
3.转到“系统配备>>报告设立>>集中管理”界面
添加管理主机
1.输入管理主机IP
2.在“阐明”中,输入描述性文字,此环节可忽视
3.点击“拟定”按钮完毕添加
修改管理主机
1.从“管理主机IP”列表中修改要修改管理主机IP
2.点击“拟定”按钮完毕修改
删除管理主机
1.从“管理主机IP”列表中删除要删除管理主机IP
2.点击“拟定”按钮完毕删除
3.4.2管理员账号
管理员按级别授权管理,阐明如下:
表31管理员级别与授权
管理员级别
授权
备注
超级管理员
增长、删除管理员帐号,不能直接配备管理。
默认管理员帐号与密码为administrator:
administrator。
帐号administrator不能删除。
配备管理员
配备系统方略、网络配备、在线协助。
无默认帐号
方略管理员
配备安全方略、资源定义、在线协助。
无默认帐号
审计管理员
查看防火墙日记信息、在线协助。
无默认帐号
默认只能有一种管理员登录防火墙进行配备管理,选取”容许各种管理员同步管理”时,防火墙系统才会容许各种管理员同步登录,但最佳不要各种管理员同步进行修改配备。
图36显示管理员账号
此界面可完毕如下功能
1.添加管理员账号
2.编辑管理员账号
3.删除管理员账号
4.容许或禁止各种管理员同步管理
5.设定管理员登录超时时间
图37添加、编辑管理员账号
添加管理员账号
1.点“添加”按钮,打开管理员账号维护界面
2.输入账号、口令,并选取要添加管理员账号类型
3.点“拟定”按钮完毕,点“添加下一条”可以继续添加管理员账号
编辑管理员账号
1.点操作栏中“编辑”快捷图标,打开管理员账号维护界面
2.修改口令或账号类型
3.点“拟定”按钮完毕
删除管理员账号
1.点操作栏中“删除”快捷图标,弹出删除对话框
2.点“拟定”按钮完毕删除
容许或禁止各种管理员同步管理
选取“容许各种管理员同步管理”时,防火墙系统才会容许各种管理员同步登录。
设定管理员登录超时时间
管理员登录后如果长时间没有操作,配备界面会超时,超时时间也在这里设立,缺省值是600秒,最大超时时间可设为86400秒(24小时),0是非法值。
设立后点击“拟定”生效。
3.4.3管理证书
本界面完毕重要证书管理。
管理证书为原则CA证书。
无论使用电子钥匙认证,还是直接使用证书认证,均是通过https合同访问,虽然用管理证书完毕SSL加密。
管理员通过电子钥匙认证成功,访问https:
//防火墙可管理IP:
8888,登录防火墙配备界面,使用防火墙web服务器服务器端证书进行信道加密。
防火墙出厂时预置了一套证书(CA中心证书、防火墙证书、防火墙密钥),管理员可以点击CA中心证书链接、防火墙证书链接进行查看。
管理员也可以更新此套证书,按”系统配备>>管理配备>>管理证书”界面提示直接导入即可。
管理员通过IE完毕证书认证,访问https:
//防火墙可管理IP:
8889,登录防火墙配备界面,使用防火墙web服务器客户端证书进行信道加密。
当管理员使用证书方式进行身份认证时,必要在防火墙中导入一套证书(CA中心证书、防火墙证书、防火墙密钥、管理员证书),并在管理主机IE中导入管理员证书。
管理员可以点击CA中心证书链接、防火墙证书链接进行查看。
管理员可以查看导入管理员证书列表。
此界面涉及如下功能
1.到联想CA中心下载证书
2.导入一套证书(CA中心证书、防火墙证书、防火墙密钥、管理员证书)
3.CA中心证书、防火墙证书查看
4.管理员证书维护(生效、删除)
图38导入和显示管理证书
操作流程:
1.管理员向CA中心申请证书,选取一套匹配CA中心证书、防火墙证书、防火墙密钥”导入”。
2.管理员要将选取匹配管理员证书”导入”。
点”生效”,使用有关管理员证书生效。
3.下次登录防火墙系统前,请将有效管理员证书导入管理主机IE浏览器中,访问https:
//防火墙可管理IP:
8889,进入防火墙配备管理界面。
注意:
CA中心证书、防火墙证书、防火墙密钥必要是配套。
只接受PEM格式证书。
下载证书
点“联想CA中心”按钮,打开联想CA中心主页,下载证书
导入证书
点“浏览”按钮,分别导入一套匹配CA中心证书、防火墙证书、防火墙密钥、管理员证书。
CA中心证书、防火墙证书、防火墙密钥必要同步更换。
管理员证书维护
管理员证书维护涉及生效和删除,在“生效”一栏选取要生效证书,点“生效”按钮则生效选中证书。
在“操作”一栏中,点“删除”图标,删除此证书。
3.4.4管理方式
防火墙提供WEB界面和CLI命令行两种管理方式。
可以通过网口访问、串口访问,支持拨号(PPP)连接。
WEB管理方式和串口命令行方式默认打开,不可关闭。
使用WEB方式管理防火墙,管理主机必要能通过网络访问防火墙,并且其IP地址必要在防火墙上设立(参照:
系统配备>>管理配备>>管理主机)。
使用串口命令行方式管理,在关闭PPP接入状况下,管理主机通过串口连接防火墙CONSOLE口登录;如果打开了PPP接入方式,则转移到AUX口登录。
“启用远程SSH”后,管理主机可以通过网络连接(通用网口或PPP连接均可),运用securecrt或putty等终端管理软件登录防火墙命令行界面进行管理。
打开”支持拨号(PPP)接入”选项。
前提是Modem连接到电话线路上,并将防火墙CONSOLE口连接Modem,管理主机通过此外一种Modem也接入电话线路,从管理主机向防火墙拨号,拨号成功后,防火墙与管理主机建立了PPP连接。
此时,可以从管理主机上运用putty软件登录防火墙命令行界面(远程SSH方式)。
图39显示和配备管理方式
3.5联动
3.5.1IDS产品
支持IDS产品联动,涉及PUMA合同和产品Puma、OPSEC合同和产品Safemate、天阗产品Venus、天眼产品Netpower。
当IDS联动产品发现入侵袭击行为时,会告知防火墙。
防火墙会按IDS产品告知阻断方式、阻断时间和入侵主机有关信息,对入侵主机进行阻断。
防火墙阻断方式涉及:
●对”源IP地址”阻断
●对”源IP地址、目IP地址、目端口、合同”阻断、
●对”源IP地址、目IP地址、合同、方向(单向、双向、反向)”阻断
防火墙阻断合同涉及:
TCP/UDP/ICMP和所有合同(any)。
图310IDS产品
表32IDS产品功能阐明
域名
阐明
启用“网御通用安全合同(PUMA)入侵检测系统”联动
选取对的密钥文献导入后,启用”网御通用安全合同(PUMA)入侵检测系统”,并指定产品IP地址、防火墙端服务端口(默认5000/TCP),防火墙可以与之联动。
启用“天阗入侵检测系统统”联动
启用”天阗入侵检测系统”,并指定产品IP地址、防火墙端服务端口(默认/UDP),防火墙可以与之联动。
启用“天眼入侵检测系统”联动
选取对的证书导入后,启用”天眼入侵检测系统”,并指定产品IP地址、防火墙端服务端口(默认4000/TCP),防火墙可以与之联动。
启用“safemate入侵检测系统”联动
选取对的密钥文献导入后,启用”safemate入侵检测系统”,并指定防火墙端服务端口(默认/UDP),防火墙可以与之联动。
忽视指定IP地址自动阻断
当管理员不但愿某些特别IP被防火墙阻断时,可以在”忽视如下IP地址自动阻断”列表中加入这些IP。
如果在配备忽视某IP地址自动阻断之前,已经下了该IP自动阻断规则,则需要将这些自动阻断规则清除,才干实现忽视指定IP地址自动阻断。
及时清除所有自动阻断
可以及时清除所有自动阻断。
注意:
每个联动请配备不同联动端口,如配备成同一端口,则只启用界面上顺序靠后联动系统。
3.5.2顾客认证服务器
为了增强从内网访问外网时访问控制,提供不受服务种类限制顾客认证系统,可觉得包过滤、双向NAT、代理等访问控制提供顾客认证功能。
管理员可以启用防火墙本地帐号服务器,也可以启用原则RADIUS服务器。
即,防火墙顾客认证使用是RADIUS账号库,并支持RADIUS服务器审计功能。
图311顾客认证配备图
此界面涉及如下功能
1.配备认证端口和监控端口
2.选取认证服务器
3.配备RADIUS认证服务器
配备认证端口和监控端口
使用顾客认证服务器,管理员必要配备防火墙顾客认证模块监听认证端口、检测顾客在线状况监控端口。
选取认证服务器
管理员可以启用防火墙本地帐号服务器,也可以启用原则RADIUS服务器。
默认使用防火墙本地帐号服务器。
本地帐号服务器可以提供更多控制功能:
✧提供基于角色顾客方略,并与安全规则方略配合完毕强访问控制。
重要涉及:
安全方略和授权服务,其中,安全方略是限制顾客在什么时间、什么源IP地址可以登录防火墙系统,而授权服务则定义了该顾客通过认证后可以享有服务。
✧支持对顾客帐号流量控制和时间控制
✧客户端可以修改密码
✧服务器端检查顾客在线状态
✧支持PAP和S/Key认证合同
配备RADIUS认证服务器
启用RADIUS认证服务器,需要配备RADIUS认证服务器所在IP地址、认证端口中、审计端口及与防火墙加密通信密钥。
3.6报告设立
3.6.1日记服务器
防火墙各功能模块提供原则日记记录。
启用日记记录后,默认状况下日记存储在防火墙本地。
防火墙也可以将日记发往第三方日记服务器,
日记服务器可以与防火墙任意网口连接。
防火墙提供随机日记服务器软件,提供强大日记存储与审计功能。
图312日记服务器配备
此界面提供如下功能
1.配备日记服务器
2.转到“系统监控>>日记信息”界面
配备日记服务器
需要管理员配备日记服务器IP、防火墙与日记服务器通信合同与端口。
防火墙默认使用syslog方式向第三方发送日记,端口514/合同UDP。
转到“系统监控>>日记信息”界面
点“查看日记”按钮,转到“系统监控>>日记信息”界面
3.6.2报警邮箱
可以设立防火墙报警邮箱。
在集群模块启用时,可以给防火墙管理员发报警邮件。
图313报警邮箱配备
此界面涉及如下功能
1.配备报警邮箱
2.转到“网络配备>>域名服务器”界面
配备报警邮箱
配备报警邮箱并指定该邮箱所在SMTP服务器IP地址和端口
转到“网络配备>>域名服务器”界面
点“修改DNS配备”按钮,转到“网络配备>>域名服务器”界面。
如果不能正常发邮件,请检查DNS配备与否对的。
3.6.3集中管理
支持防火墙集中管理(SNMPv2,v3)。
防火墙可以与联想网御集中安全管理系统无缝联动。
管理员配备集中管理主机IP和各项监控信息阀值。
当防火墙运营信息超过阀值后,通过SNMP合同与该集中管理主机发trap信息。
监控信息涉及:
系统名字版本号序列号、CPU运用率、内存运用率、网络接口状态、网络连通状态。
通过TRAP信息发给集中管理中心,为网络管理人员提供全面、易用、高效实时监控网络资源使用状况工具和手段。
有关信息也可以在防火墙”系统监控>>网络接口”界面和”系统监控>>资源状态”查看。
图314集中管理配备图
表33集中管理配备元素表
域名
阐明
集中管理主机IP
集中管理主机IP
防火墙名称
防火墙名称
本机备注
对防火墙描述
负责人姓名
负责人电话
CPU运用率阀值
如果实际运用率超过该值,则向集中管理主机发送报警信息
内存运用率阀值
如果实际运用率超过该值,则向集中管理主机发送报警信息
磁盘运用率阀值
如果实际运用率超过该值,则向集中管理主机发送报警信息
输入以上各域内容,点“拟定”完毕集中管理主机配备。
3.7入侵检测
防火墙自身重要在链路层进行访问控制,入侵检测技术是防火墙技术逻辑补偿。
作为一种数据通信监视手段,入侵检测技术对于每一种进出数据包都要进行解码分析和模式匹配,如果发现该数据包中具有与已知袭击办法特性库相匹配数据,则断定有入侵事件发生,发出警报提示管理员注意,并可以自动阻断源IP地址,及时地将袭击者拒之门外。
联想网御防火墙将入侵检测技术无缝地集成到自身当中,极大地提高了防火墙检测数据驱动型袭击能力。
由于防火墙自身布置特点,只能对通过防火墙数据包进行检测,如果顾客需要对整个网络潜在袭击进行监控,建议选用联想网御系列入侵检测产品。
入侵检测模块重要功能特点涉及:
●实时网络数据流监控
实时监视进出防火墙所有通信流,分析网络通信会话轨迹。
信息收集与分析同步进行,迅速反映,一旦发现可疑信息,及时报警并响应。
●网络袭击模式匹配
预置已知袭击模式规则库,能检测各种袭击行为,最大限度地防范黑客入侵和内部顾客非法使用。
规则库可以在线升级,保证可以辨认最新黑客袭击手段。
●针对入侵行为实时自动响应
可以自动响应入侵事件,除了报警和写日记外,可以做到实时阻断可疑连接,同步防火墙还可以和其他厂商IDS产品如“天阗”、“天眼”IDS实现联动,威力强大。
●灵活检测方略设立
内置十六种检测方略,顾客可以随意组合使用,做到量体裁衣,突出重点。
●支持顾客添加自定义检测规则
顾客可以依照自己实际状况和感兴趣安全事件添加自定义检测规则,体现个性化服务。
●支持高档顾客调节检测规则
管理员可依照IDS保护网络详细状况,调节检测方略中检测规则,将容易引起误报规则禁用,更好地提高入侵检测效率。
●全天候报警方式
可自动将报警信息传送到管理员电子邮箱,显当前移动通讯设备上,实现离线监控。
典型应用实例如下:
图315典型应用拓扑
某公司内部网拓扑图如图2-15,防火墙三个网口分别连接到内部网、对外服务器和路由器。
内部网主机通过防火墙可以访问对外服务器和Internet;外部网络可以访问对外服务器,但不能访问内部网。
公司网络管理员但愿启用防火墙入侵检测功能,以发现各种非法入侵企图,并启用自动响应功能,将出当前“检测成果”中源IP地址自动阻断一段时间。
3.7.1基本配备
一方面,登录防火墙配备管理界面后,通过左侧菜单栏系统配备>>入侵检测,即浮现入侵检测管理界面。
图215基本配备
基本配备可以设立与否启动入侵检测,及监听网口和网段。
3.7.2方略配备
方略配备可以容许管理员选取某些方略使之生效,以对付入侵。
图316入侵检测方略配备
ids报警邮箱设立与整个系统报警邮箱设立在一起,系统报警邮箱设立在系统配备-〉报告设立-〉报警邮箱下,
设立好报警邮箱后,ids系统会在入侵纪录达到100条或时间间隔达到30秒时,自动发送所有入侵纪录到此邮箱中。
3.7.3自定义检测
从列表中可以查看当前所有自定义规则,管理员可以生效或失效一条规则,来检测或取消检测某一类入侵事件。
管理员可以添加一条自定义规则,如下所示:
图317自定义入侵规则列表
注意事项:
●如果正常网络行为引起某条规则大量误警,可以将该条规则禁用。
自动响应功能最佳在正常运营一段时间后,当误报已经减少到很低限度时再启用。
●有时FTP服务器或DNS服务器会引起扫描报警,这属于误报,可以调节扫描时间阈值或者将这些服务器IP地址添加到忽视扫描报警地址列表中。
●有时在检测成果中会看到对外服务器IP出当前袭击者源地址中,例如从对外服务器80端口到某个外部IP地址高品位口,报警信息为发现了403forbidden特性字符串。
这条报警信息并不意味着对外服务器是袭击者,恰恰相反,正是由于某个外部IP通过防火墙向对外服务器发起了非法web祈求,导致服务器返回“403禁止访问”信息,因此袭击者是外部IP地址主机。
但是由于防火墙自动响应功能只阻断检测成果中源IP地址,因而为了保证服务器不被阻断,最佳将服务器IP地址放入忽视自动阻断地址列表中。
3.7.4扫描检测配备
管理员点击“扫描检测配备”,将扫描时间阈值由3分钟内发现5次端口连接调节为10秒钟内发现3次端口连接。
如下图所示。
图318扫描检测配备
3.7.5自动响应配备
管理员可以启用自动响应功能,并设立阻断时间为12秒。
如下图所示:
图319自动响应功能
设立完毕后,自动响应功能生效。
一旦有触发检测规则可疑事件发生,出当前检测成果中源IP地址及时被自动列入系统黑名单中,发起者通信被防火墙阻断,可疑行为将无法继续进行下去。
管理员可以自定义阻断时间(以秒为单位),如果不填写时间,则视为永远不解除阻断。
清除已经阻断IP地址,可以清除防火墙系统所有已经阻断IP地址,涉及ids联动系统阻断地址。
注意:
袭击者可以伪造地址进行袭击,因此启动改项功能有也许导致对被伪造IPDOS袭击或网络通信异常,因而推荐普通状况下不要打开此项功能。
3.7.6检测成果
管理员点击界面中“检测成果”,可以查看所有入侵,页面如下所示。
图320检测成果
3.8产品允许证
通过本页面可以将您获取到防火墙模块允许证上载,并导入到防火墙。
上载成功后,请您保存系统配备,并重启防火墙,以使新模块生效。
图321产品允许证上载页面
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联想 防火墙 界面 操作手册 系统配置 样本