联想网御科技（北京）有限公司PowerVUTM防火墙功能使用图文手册（页）.doc

1、联 想网御 Power V UTM 防火墙功能使用图文手册来自资料搜索网(), 海量资料下载声明本手册所含内容若有任何改动，恕不另行通知。在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失） ，不负任何赔偿责任。本手册含受版权保护的信息，未

2、经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。联想网御科技（北京）有限公司中国北京海淀区中关村南大街 6 号中电信息大厦 8 层 目 录第 1 章 登录防火墙管理界面 11.1 串口登录防火墙 .11.2 WEB 方式登录防火墙 .3第 2 章 防火墙透明或路由模式的更改 72.1 登录防火墙 WEB 管理界面 72.2 更改防火墙运行模式 .8第 3 章 在 VLAN 环境中使用防火墙 103.1 拓扑 .103.2 配置要求 .103.3 配置步骤 .10第 4 章 防火墙包过滤策略 154.1 拓扑 154.2 配置要求 154.3 配置步骤 15第

3、5 章 NAT 源地址转换 175.1 拓扑 175.2 配置要求 175.3 配置步骤 17第 6 章 虚拟 IP 目的地址转换 .196.1 拓扑 196.2 配置要求 196.3 配置步骤 19第 7 章 通过防火墙访问 INTERNET217.1 拓扑 217.2 配置要求 227.3 配置步骤 22第 8 章 带宽控制 278.1 拓扑 278.2 配置要求 278.3 配置步骤 27第 9 章 IPMAC 绑定 .299.1 拓扑 299.2 配置要求 299.3 配置步骤 29第 10 章 用户认证 3810.1 拓扑 3810.2 配置要求 3810.3 配置步骤 38第 11

4、 章 HA A-P 模式 4411.1 拓扑 4411.2 配置要求 4411.3 配置步骤 44第 12 章 HA A-A 模式 4812.1 拓扑 4812.2 配置要求 4812.3 配置步骤 48第 13 章 IPSEC VPN CLIENT-GW 密钥认证 .5213.1 拓扑 .5213.2 配置要求 5213.3 配置步骤 52第 14 章 IPSEC VPN CLIENT-GW 证书认证 5714.1 拓扑 5714.2 配置要求 5714.3 配置步骤 57第 15 章 IPSEC VPN GW-GW 与 CISCO 互通 6615.1 拓扑 6615.2 配置要求 6615

5、.3 配置步骤 66第 16 章 IPSEC VPN GW-GW 证书 与 POWER V 400 防火墙互通 7116.1 拓扑 7116.2 配置要求 7116.3 配置步骤 71第 17 章 PPTP8017.1 拓扑 .8017.2 配置要求 8017.3 配置步骤 80第 18 章 IPS8318.1 拓扑 8318.2 配置要求 .8318.3 配置步骤 83第 19 章 IPS 阻止 QQ，MSN，BT 流量 .8619.1 拓扑 .8619.2 配置要求 8619.3 配置步骤 .86第 20 章 病毒检查 9020.1 拓扑 9020.2 配置要求 9020.3 配置步骤 9

6、0第 21 章 病毒/入侵特征库升级 .9321.1 导入病毒特征库升级文件 9321.2 导入入侵特征库升级文件 94第 22 章 WEB 过滤 .9522.1 拓扑 .9522.2 配置要求 9522.3 配置步骤 95第 23 章 防垃圾邮件 9823.1 拓扑 9823.2 配置要求 9823.3 配置步骤 98第 1 章 登录防火墙管理界面1.1 串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的 CONSOLE 口，另一头接计算机的串口。用微软的超级终端连接： 从开始菜单打开超级终端 随便起个名称 选择计算机串口 设置防火墙串口参数 点击回车出现登录界面输入用户名：adm

7、inistrator密码：administrator1.2 web 方式登录防火墙 查看防火墙端口 IPshow system interface 计算机 IP 设为与它相连的防火墙网口 IP 在同一网段 登录防火墙 web 管理界面例：防火墙网口的 IP 地址为：192.168.1.99。计算机的 IP 地址可设为：192.168.1.100。在 IE 里输入： https:/192.168.1.99 登录防火墙 web 管理界面。用户名：administrator密码：administrator成功登录防火墙后出现的界面如下，即可开始配置防火墙参数及策略。第 2 章 防火墙透明或路由模式的

8、更改2.1 登录防火墙 web 管理界面 查看防火墙端口 IP show system interface 登录防火墙的计算机的 IP 地址要和防火墙网口的 IP 地址在同一网段例：防火墙网口的 IP 地址为：192.168.1.99。计算机的 IP 地址可设为：192.168.1.100。在 IE 里输入： https:/192.168.1.99 登录防火墙 web 管理界面。用户名：administrator密码：administrator2.2 更改防火墙运行模式NAT/Route 为路由模式； Transparent 为透明模式。注：UTM 目前只支持透明和路由模式，不支持混合模式。U

9、TM 的透明模式为纯透明模式，不能做 NAT，不做路由。切换到透明模式后，防火墙将恢复出厂配置，重启防火墙后默认管理地址更改为：10.10.10.1/24，管理主机 IP 配置为与其同一网段即可第 3 章 在 VLAN 环境中使用防火墙3.1 拓扑3.2 配置要求防火墙在路由模式下，接入已有的网络，防火墙两端是不同的VLAN不同的网段。3.3 配置步骤一、VLAN20 端的设置 新建 VLAN20选择“系统管理-网络- 接口-新建”，如下图所示： 添加防火墙策略 PC 的设置设置 PC 的 IP 地址及网关。 PC 的默认网关地址为上步骤中 “IP 地址/ 网络掩码”中添加的地址。二、VLAN

10、30 端的设置 新建 VLAN30选择“系统管理-网络- 接口-新建”，如下图所示： 添加防火墙策略 PC 的设置三、 验证两台PC可以相互通信。第 4 章 防火墙包过滤策略4.1 拓扑4.2 配置要求配置防火墙包过滤策略控制 PC1 到 PC2 的访问。4.3 配置步骤 按照拓扑配置 IP，PC1 和 PC2 的网关指向 UTM 防火墙。 配置两条 10.1.5.0 和 10.2.5.0 网段的地址列表资源。 配置从 10.1.5.0 到 10.2.5.0 的防火墙允许策略，再配置一条相同的阻止策略。最后配置一条允许所有的策略。 验证当三条策略都启用后，PC1 可以 ping 通 PC2，第

11、一条策略匹配生效，数据包被转发。停用第一条策略，PC1 ping 不通 PC2，第二条规则匹配生效。停用第二条策略，PC1 又可以 ping 通 PC2，第三条规则匹配生效。停用最后一条策略后，PC1 ping 不通 PC2。可见，UTM 默认规则是全禁止的。第 5 章 NAT 源地址转换5.1 拓扑5.2 配置要求PC1 通过源地址转换访问 PC2，将源地址转换为 UTM 防火墙 P6 接口的地址。5.3 配置步骤 按照拓扑配置 IP 地址，PC1 网关指向 UTM，而 PC2 不配置网关。 在 UTM 上配置要转换成的地址列表资源，此用例将源地址转换为 10.2.5.0 网段内地址。 在

12、UTM 上配置防火墙策略，选择上“NAT”选项。 验证配置完成后，在 PC1 上 ping PC2 地址 10.2.5.200，可以 ping 通。如果取消NAT 策略，则 ping 不通。第 6 章 虚拟 IP 目的地址转换6.1 拓扑6.2 配置要求配置虚拟 IP 实现目的地址转换，PC1 通过访问 UTM 地址 10.1.5.254 21 端口访问 PC2 的 FTP 服务器。6.3 配置步骤 按照拓扑配置 IP 地址，PC1 不配置默认网关，PC2 网关指向 UTM。 在 UTM 上配置虚拟 IP。 在 UTM 上配置防火墙策略，启用目的地址转换规则。 验证：PC1 通过访问 10.1

13、.5.254 21 端口访问 PC2 的 FTP 服务成功。第 7 章 通过防火墙访问 Internet7.1 拓扑7.2 配置要求有一个公网地址：211.100.11.153，掩码：255.255.255.0，网关：211.100.11.129 接在防火墙的 port6 口上。内网用户是 10.1.5.0 网段的接在交换机上，网关指向防火墙，交换机接防火墙 port5 口上，防火墙 port5 口的 IP 地址：10.1.5.254。内网用户通过防火墙上公网。7.3 配置步骤 登录防火墙后配置防火墙 port6 口在 “系统管理-网络里配置” 防火墙 port6 口 IP：211.100.1

14、1.153，掩码：255.255.255.0。用同样的方法配置 Port5 网口 IP 地址为 10.1.5.254。 配置默认网关在路由静态路由中添加默认网关：211.100.11.129，设备选 port6。 定义地址资源列表 10.1.5.0 添加 NAT 规则 设置 DNS在防火墙上设置 DNS 服务器为 202.99.8.1 在内网主机上也设置 DNS 服务器地址为 202.99.8.1 验证至此，内网 10.1.5.0 网段的用户就可以上网了。我们可以通过 Ping 命令查看网络的连通情况。在内网主机上用 ipconfig 命令显示内网用户计算机的 IP 地址，用 Ping 10.

15、1.5.254 命令查看用户与防火墙 port5 口的连接情况 。上图说明内网用户计算机的 IP 地址为：10.1.5.200 ，用户与防火墙 port5 口已连接上。用 Ping 211.100.11.153 命令查看用户与防火墙 port6 口的连接情况，用 Ping 211.100.11.129命令查看用户与默认网关的连接情况。上图说明用户与防火墙 port5 口已连接上，与默认网关已连接上。用 Ping 202.99.8.1 命令查看用户与 DNS 服务器的连接情况，用 Ping 命令查看用户与 的连接情况。上图说明用户与 DNS 服务器已连接上，与 已连接上，内网用户可以通过防

16、火墙访问 Internet。第 8 章 带宽控制8.1 拓扑8.2 配置要求在 UTM 上配置策略，控制 PC1 从 PC2 FTP 上下载数据的带宽。8.3 配置步骤 按照拓扑配置 IP 地址，PC1 和 PC2 将网关指向 UTM。 UTM 上配置 10.1.5.0 和 10.2.5.0 子网地址列表资源。 配置策略。 验证在 PC1 上访问 PC2 的 FTP 服务，下载文件，速率被控制在 100KB/s。第 9 章 IPMAC 绑定9.1 拓扑9.2 配置要求PC1 和 PC2 在同一网段，通过交换机和防火墙连接。通过 IP/MAC 绑定，允许 PC1 访问 PC3，不允许 PC2 访

17、问 PC3。 9.3 配置步骤一、登录防火墙命令行管理界面使用随机附带的串口线，一头接防火墙的 CONSOLE 口，另一头接计算机的串口，启用微软的超级终端连接。 从开始菜单打开超级终端 随便起个名称 选择串口线所连接的计算机的串口 设置防火墙串口参数 连击回车键出现登录界面用户名：administrator密码：administrator此时即可使用命令对防火墙进行配置。二、设置防火墙 IP/MAC 绑定 启用防火墙 IP/MAC 绑定Config firewall ipmacbinding setting Set bindthroughfw enableSet undefinedhost

18、block/allow 注：防火墙默认状态是 block，表示没有绑定的主机不能通过防火墙进行通信；allow 表示没有绑定的主机可以通过防火墙进行通信。end 设置防火墙 IP/MAC 绑定表，目前不支持自动获取的方法，需要手动添加。 （注：如果修改其中一个，需要重新做整个表）Config firewall ipmacbinding tableEdit 1Set ip 192.168.1.100Set mac 00:13:D3:0F:38:C5Set name testSet status enableEnd 在相应的接口上启用 IPMAC 绑定检查Config system interfa

19、ceEdit port1Set ipmac enableEnd全部做完后，你会发现 IP/MAC 一般都不会生效，因为 ARP 表的问题，两个方法，一个是等待一会儿，等到防火墙 ARP 刷新，一个方法是重启。三、配置防火墙包过滤规则 添加地址资源列表 添加防火墙策略四、验证 可以用以下命令查看设置情况Show firewall ipmacbinding settingShow firewall ipmacbinding table Show system interface 进行了地址绑定的 PC1 可以和 PC3 通信 未进行地址绑定的 PC2 和 PC3 不能通信IPMAC 绑定配置正确。

20、第 10 章 用户认证10.1 拓扑10.2 配置要求采用本地认证方式通过定义认证用户控制对网络资源的访问。当 PC2 用户试图访问网络资源时，UTM 防火墙将提示用户输入用户名与密码验证的信息。10.3 配置步骤 新建用户 新建用户组 添加新用户到新建的用户组 添加防火墙策略，启用授权认证 验证在 PC2 上访问 SERVER 提供的 web 服务，在 IE 地址栏中输入 http:/10.2.5.200输入正确的用户名及密码后才允许访问 server 的 web 服务。在 PC2 上访问 SERVER 提供的 ftp 服务。在命令行中输入命令 ftp 10.2.5.200 访问 ftp 服

21、务器。显示防火墙需要验证，再输入用户认证的用户名和密码。重新连接后可以登录。用户认证生效。第 11 章 HA A-P 模式11.1 拓扑11.2 配置要求在两台 UTM 上启动 HA，采用 A-P 模式。11.3 配置步骤 先不要按照拓扑连接，只将管理用 PC 与 UTM1 相连，配置好 IP 地址后，进入 WEB 管理页面。 在 UTM1 上根据业务需要配置各个接口 IP 地址，防火墙策略或者 VPN 等。 在高可用性页面配置 HA 参数。“组 ID”表示该设备是否属于同一个 HA 集群，所以各个同集群的 HA 设备应该配置相同的“组 ID” ；“设备优先级” 是用来协商主从关系的，数值大的

22、优先级高；“密码”和“重新输入密码”是 HA 设备认证用的；“主设备强占”一般不选择此项，如果选择了，主设备 down 掉后从设备切换成主，之后原主设备启动后又会抢回主地位，这样等于切换了两次。 “心跳接口”配置数值表示将这个接口启动为心跳接口来处理同步数据，UTM 上可以起动多个心跳接口，数值大的接口优先处理同步数据。 “监测接口”上配置数值表示监测该业务接口，这样可以做到接口断掉快速切换的效果。可以配置相同的数值。在配置完 HA 参数后提交设定，或者更改了配置后提交设定，设备都回有一段时间没有响应，页面可能无法显示，过一点时间就会正常。 将 PC1 和 UTM2 单独连接，管理接口配置和

23、UTM1 相同的 IP 地址，进入 WEB 管理页面。将 UTM2 上其他接口 IP 配置和 UTM1 相同的 IP 地址。而其他内容不用配置。 配置 HA 参数，只有“设备优先级”是 64，其它和 UTM1 一样。 验证配置好 HA 参数后，将设备和 PC 按照拓扑连接好，进入管理页面查看 HA集群成员，可以看到有两台设备正工作在 HA 模式下。上面的设备为主设备。此时构建一个穿过防火墙的流量，然后关掉主设备，流量在短暂的中断后应该可以恢复。 注意事项可以用命令行察看 HA 运行状态。get system ha diagnose sys ha status.id / ip / ldb_pri

24、ority / cluster_idx = PV400U2905500263 / 10.0.0.1 / 0 / 0；表示该设备是主设备id / ip / ldb_priority / cluster_idx = PV400U2905500728/ 10.0.0.2 / 0 / 1；表示该设备是从设备在从墙上可以用命令执行同步 execute ha synchronize all可以用命令查看是否同步diagnose sys ha checksync如果同步有问题，可以尝试重新启动两台设备进行重新协商和同步。如果 HA 没有工作，可以查看两台设备的接口 IP 是否配置的一致；另外，如果两台设备的

25、板卡不是同一个型号是无法进行 HA 的。第 12 章 HA A-A 模式12.1 拓扑12.2 配置要求在两台 UTM 上启动 AH，采用 A-A 模式。12.3 配置步骤 先不要按照拓扑连接，只将管理用 PC 与 UTM1 相连，配置好 IP 地址后，进入 WEB 管理页面。 在 UTM1 上根据业务需要配置各个接口 IP 地址，防火墙策略或者 VPN 等。 配置 HA 参数，在模式处选择“A-A ”，并选择流量处理方式。“组 ID”表示该设备是否属于同一个 HA 集群，所以各个同集群的 HA 设备应该配置相同的“组 ID”；“密码”和“重新输入密码”是 HA 设备认证用的；“心跳接口”配置

26、数值表示将这个接口启动为心跳接口来处理同步数据，UTM 上可以起动多个心跳接口，数值大的接口优先处理同步数据。 “监测接口”上配置数值表示监测该业务接口，这样可以做到接口断掉快速切换的效果。可以配置相同的数值。在配置完 HA 参数后提交设定，或者更改了配置后提交设定，设备都回有一段时间没有响应，页面可能无法显示，过一点时间就会正常。 将 PC1 和 UTM2 单独连接，管理接口配置和 UTM1 相同的 IP 地址，进入 WEB 管理页面。将 UTM2 上其他接口 IP 配置和 UTM1 相同的 IP 地址。而其他内容不用配置。 配置 HA 参数，只有“设备优先级”是 64，其它和 UTM1 一

27、样。 验证配置好 HA 参数后，将设备和 PC 按照拓扑连接好，进入管理页面查看 HA集群成员，可以看到有两台设备正工作在 HA 模式下。也可以用命令行察看 HA 运行状态get system ha 第 13 章 IPSEC VPN Client-GW 密钥认证13.1 拓扑13.2 配置要求PC1 和 UTM 建立 IPSEC VPN 隧道，访问 PC2。13.3 配置步骤 按照拓扑配置 IP 地址，PC1 和 PC2 网关指向 UTM。 在 UTM 上配置默认路由，网关指向 PC1。 在 UTM 上配置 IPSEC 第一阶段协商参数，注意远程网关选择“连接用户”类型。 在 UTM 上配置

28、IPSEC 第二阶段协商参数 在 UTM 上配置防火墙策略，确定保护子网，此时注意出口地址应选择“any ” 在 PC1 上安装 VPN 客户端，运行打开配置界面，增加一条隧道。 高级选项中，由于不需要获取指定 IP 地址，所以不用选择“获取 IP 地址”选项。 在密钥设置中注意密钥周期和 DH 组要与 UTM 上配置的一致。 验证配置完成后，点击连接按钮可以看到协商过程并最终协商成功。此时 PC1 上应该增加了一条到 10.2.5.0 的路由信息：（route print 命令）第 14 章 IPSEC VPN Client-GW 证书认证14.1 拓扑14.2 配置要求PC1 用 vpn 客户端以证书认证方式同防火墙建立 vpn 隧道。14.3 配置步骤 按照拓扑配置 IP 地址。 安装联想证书管理软件，运行，导出 CA 根证书。 将根证书分别导入到 UTM 和客户端中。 分别在客户端和 UTM 上生成证书请求文件并导出。 将 UTM 和客户端的证书请求文件导入到联想证书管理软件中，生成证书后导出。密钥默认为“111111”。 将导出的证书分别导入到客户端和 UTM 中。 在 UTM 上配置 VPN 和防火墙加密策略，第一阶段协商采用 RSA 认证。 在 VPN 客户端创建隧道。 验证在客户端上点连接按钮，可以看到协商成功提示信息。