联想网御POWER_V_UTM防火墙功能使用图文手册.doc-道客多多

资源描述

1、联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 I联想网御 Power V UTM 防火墙功能使用图文手册联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 II声明本手册所含内容若有任何改动，恕不另行通知。在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何

2、损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。联想网御科技（北京）有限公司中国北京海淀区中关村南大街 6 号中电信息大厦 8 层联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 III目录第 1 章登录防火墙管理界面 11.1 串口登录防火墙 .11.2 WEB 方式登录防火墙 .3第 2 章防火墙透明或路由模式的更改 72.1 登录防火墙 WEB 管理界面 72.2

3、更改防火墙运行模式 .8第 3 章在 VLAN 环境中使用防火墙 103.1 拓扑 .103.2 配置要求 .103.3 配置步骤 .10第 4 章防火墙包过滤策略 154.1 拓扑 154.2 配置要求 154.3 配置步骤 15第 5 章 NAT 源地址转换 175.1 拓扑 175.2 配置要求 175.3 配置步骤 17第 6 章虚拟 IP 目的地址转换 .196.1 拓扑 196.2 配置要求 196.3 配置步骤 19第 7 章通过防火墙访问 INTERNET217.1 拓扑 21联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 IV

4、7.2 配置要求 227.3 配置步骤 22第 8 章带宽控制 278.1 拓扑 278.2 配置要求 278.3 配置步骤 27第 9 章 IPMAC 绑定 .299.1 拓扑 299.2 配置要求 299.3 配置步骤 29第 10 章用户认证 3810.1 拓扑 3810.2 配置要求 3810.3 配置步骤 38第 11 章 HA A-P 模式 4411.1 拓扑 4411.2 配置要求 4411.3 配置步骤 44第 12 章 HA A-A 模式 4812.1 拓扑 4812.2 配置要求 4812.3 配置步骤 48第 13 章 IPSEC VPN CLIENT-GW 密钥认证

5、 .5213.1 拓扑 .5213.2 配置要求 5213.3 配置步骤 52联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 V第 14 章 IPSEC VPN CLIENT-GW 证书认证 5714.1 拓扑 5714.2 配置要求 5714.3 配置步骤 57第 15 章 IPSEC VPN GW-GW 与 CISCO 互通 6615.1 拓扑 6615.2 配置要求 6615.3 配置步骤 66第 16 章 IPSEC VPN GW-GW 证书与 POWER V 400 防火墙互通 7116.1 拓扑 7116.2 配置要求 7116.3 配置步

6、骤 71第 17 章 PPTP8017.1 拓扑 .8017.2 配置要求 8017.3 配置步骤 80第 18 章 IPS8318.1 拓扑 8318.2 配置要求 .8318.3 配置步骤 83第 19 章 IPS 阻止 QQ，MSN，BT 流量 .8619.1 拓扑 .8619.2 配置要求 8619.3 配置步骤 .86第 20 章病毒检查 9020.1 拓扑 90联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 VI20.2 配置要求 9020.3 配置步骤 90第 21 章病毒/入侵特征库升级 .9321.1 导入病毒特征库升级文件 932

7、1.2 导入入侵特征库升级文件 94第 22 章 WEB 过滤 .9522.1 拓扑 .9522.2 配置要求 9522.3 配置步骤 95第 23 章防垃圾邮件 9823.1 拓扑 9823.2 配置要求 9823.3 配置步骤 98联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 1第 1 章登录防火墙管理界面1.1 串口登录防火墙物理线路连接：使用标配的串口线，一头接防火墙的 CONSOLE 口，另一头接计算机的串口。用微软的超级终端连接：从开始菜单打开超级终端随便起个名称联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技

8、（北京）有限公司 2 选择计算机串口设置防火墙串口参数点击回车出现登录界面联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 3输入用户名：administrator密码：administrator1.2 web 方式登录防火墙查看防火墙端口 IPshow system interface 联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 4 计算机 IP 设为与它相连的防火墙网口 IP 在同一网段联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 5 登录防火墙 web 管理界

9、面例：防火墙网口的 IP 地址为：192.168.1.99。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 6计算机的 IP 地址可设为：192.168.1.100。在 IE 里输入： https:/192.168.1.99 登录防火墙 web 管理界面。用户名：administrator密码：administrator成功登录防火墙后出现的界面如下，即可开始配置防火墙参数及策略。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 7第 2 章防火墙透明或路由模式的更改2.1 登录防火墙 web 管理界面查看防火墙

10、端口 IP show system interface 联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 8 登录防火墙的计算机的 IP 地址要和防火墙网口的 IP 地址在同一网段例：防火墙网口的 IP 地址为：192.168.1.99。计算机的 IP 地址可设为：192.168.1.100。在 IE 里输入： https:/192.168.1.99 登录防火墙 web 管理界面。用户名：administrator密码：administrator2.2 更改防火墙运行模式联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司

11、 9NAT/Route 为路由模式； Transparent 为透明模式。注：UTM 目前只支持透明和路由模式，不支持混合模式。UTM 的透明模式为纯透明模式，不能做 NAT，不做路由。切换到透明模式后，防火墙将恢复出厂配置，重启防火墙后默认管理地址更改为：10.10.10.1/24，管理主机 IP 配置为与其同一网段即可联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 10第 3 章在 VLAN 环境中使用防火墙3.1 拓扑V L A N 2 0 V L A N 3 0 p o r t 2p o r t 6I P : 2 0 . 0 . 0 . 5 0

12、I P : 3 0 . 0 . 0 . 5 0U T M 防火墙3.2 配置要求防火墙在路由模式下，接入已有的网络，防火墙两端是不同的VLAN不同的网段。3.3 配置步骤一、VLAN20 端的设置新建 VLAN20选择“系统管理-网络- 接口-新建”，如下图所示：联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 11 添加防火墙策略联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 12 PC 的设置设置 PC 的 IP 地址及网关。 PC 的默认网关地址为上步骤中 “IP 地址/ 网络掩码”中添加的地址。联想网御 P

13、ower V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 13二、VLAN30 端的设置新建 VLAN30选择“系统管理-网络- 接口-新建”，如下图所示：添加防火墙策略联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 14 PC 的设置三、验证两台PC可以相互通信。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 15第 4 章防火墙包过滤策略4.1 拓扑P C 1 ( 1 0 . 1 . 5 . 2 0 0 ) ( 1 0 . 2 . 5 . 2 0 0 ) P C 21 0 . 1 .

14、5 . 2 5 4 p 5p 6 1 0 . 2 . 5 . 2 0 1U T M 防火墙4.2 配置要求配置防火墙包过滤策略控制 PC1 到 PC2 的访问。4.3 配置步骤按照拓扑配置 IP，PC1 和 PC2 的网关指向 UTM 防火墙。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 16 配置两条 10.1.5.0 和 10.2.5.0 网段的地址列表资源。配置从 10.1.5.0 到 10.2.5.0 的防火墙允许策略，再配置一条相同的阻止策略。最后配置一条允许所有的策略。验证当三条策略都启用后，PC1 可以 ping 通 PC2，第一条

15、策略匹配生效，数据包被转发。停用第一条策略，PC1 ping 不通 PC2，第二条规则匹配生效。停用第二条策略，PC1 又可以 ping 通 PC2，第三条规则匹配生效。停用最后一条策略后，PC1 ping 不通 PC2。可见，UTM 默认规则是全禁止的。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 17第 5 章 NAT 源地址转换5.1 拓扑P C 1 ( 1 0 . 1 . 5 . 2 0 0 ) ( 1 0 . 2 . 5 . 2 0 0 ) P C 21 0 . 1 . 5 . 2 5 4 p 5p 6 1 0 . 2 . 5 . 2 0 1

16、U T M 防火墙5.2 配置要求PC1 通过源地址转换访问 PC2，将源地址转换为 UTM 防火墙 P6 接口的地址。5.3 配置步骤联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 18 按照拓扑配置 IP 地址，PC1 网关指向 UTM，而 PC2 不配置网关。在 UTM 上配置要转换成的地址列表资源，此用例将源地址转换为10.2.5.0 网段内地址。在 UTM 上配置防火墙策略，选择上“NAT”选项。验证配置完成后，在 PC1 上 ping PC2 地址 10.2.5.200，可以 ping 通。如果取消NAT 策略，则 ping 不通。联想

17、网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 19第 6 章虚拟 IP 目的地址转换6.1 拓扑P C 1 ( 1 0 . 1 . 5 . 2 0 0 ) ( 1 0 . 2 . 5 . 2 0 0 ) P C 21 0 . 1 . 5 . 2 5 4 p 5p 6 1 0 . 2 . 5 . 2 0 1U T M 防火墙6.2 配置要求配置虚拟 IP 实现目的地址转换，PC1 通过访问 UTM 地址 10.1.5.254 21 端口访问 PC2 的 FTP 服务器。6.3 配置步骤按照拓扑配置 IP 地址，PC1 不配置默认网关， PC2 网关指向

18、UTM。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 20 在 UTM 上配置虚拟 IP。在 UTM 上配置防火墙策略，启用目的地址转换规则。验证：PC1 通过访问 10.1.5.254 21 端口访问 PC2 的 FTP 服务成功。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 21第 7 章通过防火墙访问 Internet7.1 拓扑网关： 2 1 1 . 1 0 0 . 1 1 . 1 2 9F e 5 / I P : 1 0 . 1 . 5 . 2 5 4F e 6 / I P : 2 1 1 .

19、 1 0 0 . 1 1 . 1 5 3U T M防火墙7.2 配置要求有一个公网地址：211.100.11.153，掩码：255.255.255.0，网关：211.100.11.129 接在防火墙的 port6 口上。内网用户是 10.1.5.0 网段的接在交换机上，网关指向防火墙，交换机接防火墙 port5 口上，防火墙 port5 口的 IP 地址：10.1.5.254 。内网用户通过防火墙上公网。7.3 配置步骤登录防火墙后配置防火墙 port6 口联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 22在 “系统管理-网络里配置” 防火墙 por

20、t6 口 IP：211.100.11.153，掩码：255.255.255.0。用同样的方法配置 Port5 网口 IP 地址为 10.1.5.254。配置默认网关在路由静态路由中添加默认网关：211.100.11.129，设备选 port6。联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 23 定义地址资源列表 10.1.5.0 添加 NAT 规则联想网御 Power V UTM 防火墙功能使用图文手册联想网御科技（北京）有限公司 24 设置 DNS在防火墙上设置 DNS 服务器为 202.99.8.1 在内网主机上也设置 DNS 服务器地址为 202.99.8.1 验证至此，内网 10.1.5.0 网段的用户就可以上网了。我们可以通过 Ping 命令查看网络的连通情况。在内网主机上用 ipconfig 命令显示内网用户计算机的 IP 地址，用 Ping 10.1.5.254 命令查看用户与防火墙 port5 口的连接情况。

展开阅读全文