ImageVerifierCode 换一换
格式:DOCX , 页数:19 ,大小:552.89KB ,
资源ID:10691336      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/10691336.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(联想网御防火墙PowerV Web界面操作手册2开始.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

联想网御防火墙PowerV Web界面操作手册2开始.docx

1、联想网御防火墙PowerV Web界面操作手册2开始第2章 如何开始本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。2.1 网御防火墙PowerV概述随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。可广泛应用于电信、金融、电力、交通、

2、政府等行业的网络环境。2.1.1 产品特点联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。高安全高可用性高性能2.1.2 主要功能网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。主要具有以下功能: 状态检测和动态过滤采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化

3、的要求。可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。双向NAT地址转换在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。支持静态NAT、动态NAT及IP映射(支持负载均衡功能)、端口映射。应用层透明代理支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。通过提供透明的代理服务,使受控网络中的用户感觉

4、不到代理的存在,这样不必改变客户端配置,就能在授权范围内与外网通信,减少了网络管理员的工作量。防IP地址欺骗对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定,防止IP 盗用,并对非法IP 的访问提供详细的记录,以便防火墙管理员查看。时间管理支持过滤规则的时间域设定,防火墙管理员在定义好一条规则后,能够指定这条规则的启动、生效、关闭的时间域。带宽管理提供QoS机制,能够用优先级和流量控制方式分配网络带宽,从而有效地保证需要特殊带宽的网络服务。用户认证提供与应用服务无关的用户认证,能够同时为包过滤服务和代理服务提供用户认证。支持PAP、S/KEY认证协议;支持防火墙本地认证和标准的Rad

5、ius认证服务器,提供用户及组管理。邮件过滤对收件和发件的邮件主题、正文、收发件人、附件名、附件内容等进行过滤,对邮件内容除提供关键字匹配外,还提供基于文本格式的中文内容智能过滤。URL过滤URL过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。规则及配置信息的导入导出、备份恢复可以把配置的各项数据从防火墙导出做备份;需要时可以把以前的配置信息导入到防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管理员的工作带来很大的便利和很好的安全保证。互动式实时入侵检测(IDS)与实时阻断能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP

6、碎片攻击、DoS/DDoS攻击等;可根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接,并可通过邮件的方式向管理员报警;支持用户自定义监测规则,支持规则库的手动升级。支持SSN(安全服务区)基于网络服务的负载均衡实现了高效的负载均衡算法,通过反向NAT功能,防火墙可以为用户SSN(安全服务区)内的服务器有效地均衡网络服务的流量。日志审计提供防火墙日志管理和日志服务器,具有实时监控、审计、报警和自动备份功能,同时日志服务器管理员与防火墙管理员实行分权管理;并可为管理员提供丰富完整的日志信息和强大完善的安全审计,允许管理员设定审计查询规则,以可理解的格式输出查询结果,生成可理解格式

7、的日志文件,具有日志存储溢出报警和补救功能。网御电子钥匙基于硬件(USB接口)、一次性口令(S/KEY协议)的管理员身份认证,采用了双因子认证机制(基于管理员帐号和防火墙设备硬件信息),保证一把电子钥匙只能管理一台特定的防火墙。远程安全管理采用基于密码技术的PKI-CA证书的认证方式对管理员进行身份认证,只有认证通过的管理员才能访问配置管理界面并操作相关文件。采用SSL加密信道对配置信息进行加密处理,保证数据的安全性和完整性(防篡改)。集中安全管理通过集中管理中心可以对网络中的防火墙完成集中统一的配置、管理和系统监视,并具有设备自动发现功能;支持对安全设备运行状态的实时监控;支持实时安全事件报

8、警和安全事件的日志管理审计。远程维护当开启此功能时,允许授权管理员利用SSH或电话拨号的方式对防火墙设备进行在线维护。由于“远程支持”功能采用安全的协议SSH进行防火墙的管理,可保证网络上传送的管理信息被加密,而不被内部或外部用户嗅探或攻击。HA支持支持双机热备和集群两种方式。通过把防火墙加入集群,在可以保证某一防火墙节点一旦发生问题时,其负载可以迅速切换到集群中其它防火墙上,从而满足无间断网络要求。模块升级与灾难恢复支持防火墙软件、入侵检测库和病毒库的版本升级,并提供了完善的灾难恢复机制。当防火墙由于各种原因而出现网御电子钥匙不可用、Pin口令忘记、证书不可用或过期、防火墙IP地址遗失等现象

9、时,管理员只要初始化主机,并将事前保存的系统配置文件导入防火墙,防火墙就能恢复正常的工作状态。支持非IP协议支持IPX和NetBIOS等非IP协议,还支持自定义协议,控制是否可以通过,具有优秀的网络适应能力。支持VLAN (802.1Q)协议防火墙可以接受、发送带有vlan标记的网络数据。因此,可把防火墙置于交换机trunk口,同时支持多个vlan区间通信,包括透明和路由转发。VPN安全隧道模块(可选模块)联想网御防火墙PowerV集成的VPN功能使您可以在Internet上构建基于IPSec技术的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN具有同本地私有网络一样的安全性、

10、可靠性和可管理性等特点,同时大大降低了建设远程私有网络的费用。支持IPSec协议,提供网络层报文的身份鉴别、加密和完整性认证等功能。2.1.3 硬件描述 2. 1. 3. 1 产品外观防火墙正面:图 21防火墙前面板4个指示灯防火墙正面面板上有4个指示灯,作用是左上灯:电源指示灯左下灯:读写状态指示灯右侧两个灯:Ha指示灯防火墙启动时,四个灯全部亮起,启动后,依照各自的作用分时亮。两个HA状态灯:作为HA主节点:两个灯全亮 HA从节点:上灯亮,下灯灭 HA故障节点:上灯灭,下灯亮 为启用HA状态:两灯全灭Console和Aux防火墙正面面板上指示灯的右边有两个接口,从左到右是Console和A

11、ux,用于和计算机的串口1和串口2相连。网口防火墙有4个标准10/100Base-TX(RJ45)接口,从左到右依次为fe1,fe2,fe3,fe4,fe4的右边是扩展接口,叫做fe5,fe6,fe7,fe8USB接口的网御电子钥匙1个 2. 1. 3. 2 电气性能电源电压:220V 50Hz 200W ATX 优秀的抗干扰设计:支持IEC-1000-4-x系列抗干扰标准操作环境:温度055,湿度20%80%存储环境:温度-4080,湿度20% 95%为保证EMI及传输效率,建议使用5类以上屏蔽双绞线 2. 1. 3. 3 执行标准GB/T 18019-1999 包过滤防火墙安全技术要求GB

12、/T 18020-1999 应用级防火墙安全技术要求2.1.4 软件描述界面框架如图2-2所示。图 22防火墙配置首页页面分为三个区域:工具栏区,菜单区和显示区。表 21工具栏中的按钮说明图标功能说明直达首页回到本页的上一页前进到本页的下一页导出日志导出防火墙配置保存所有防火墙配置帮助菜单采用类似Windows操作系统资源管理器的树型结构。菜单的分类和排列含有逻辑关系,了解这些逻辑关系将有助于管理员记忆并快速定义操作页面。表 22菜单分类和说明一级菜单说明系统配置作为一个黑盒子系统,如何管理、升级、报告。包括:调整日期时间设置系统参数系统更新导入导出系统配置文件和模块升级设置管理主机、管理员帐

13、号、管理员证书和管理方式和IDS产品、用户认证服务器之间的联动设置日志服务器、报警邮箱、集中管理等报警机制设置入侵检测导入产品许可证配置管理员具有修改这些配置的权限,其中管理员帐号的修改只能由超级管理员administrator进行。网络配置作为一台网络设备,必须的一些配置,包括:网络接口属性(工作模式、IP地址、对VLAN的支持等)域名服务器静态路由策略路由UPnP服务器DHCP服务器HA(高可靠性)配置管理员具有修改这些配置的权限。策略配置防火墙配置的核心,最能体现防火墙价值之处。包括:安全选项:安全规则:包过滤规则、代理规则、NAT规则、端口映射规则、IP映射规则代理服务:地址绑定:IP

14、和MAC的绑定带宽管理:黑名单:策略管理员具有制定安全策略的权限。VPN远程网关:远程网关的一些信息隧道配置:远程ipsec 用户:远程拨号用户:隧道监控:证书管理:基本配置:资源定义这是为安全规则服务的。为简化防火墙安全规则的维护工作,引入了资源定义,可以定义以下资源:地址:地址、地址组、地址池、服务器地址服务:服务、服务组用户:用户、用户组时间:时间、时间组带宽:带宽URL过滤:黑白URL名单VLAN ID:VLAN的节点号资源只有被安全规则引用才能起作用,否则,不起作用。策略管理员具有定义资源的权限。系统监控可以监控防火墙运行状态,包括:网络接口状态:网口的实时状态和流入量流出量的统计信

15、息HA状态:在主节点上可以监控所有节点的状态资源状态:CPU利用率、内存利用率日志信息:对日志简单分类和过滤在线用户:当前通过用户认证功能在线用户信息日志审计员具有监控防火墙运行状况的权限。连接状态:带宽监控网络调试工具在线支持帮助文件、在线注册等2.1.5 附带软件描述附带软件有:管理员身份认证(客户端软件及电子钥匙)用户身份认证(客户端软件)日志审计服务器(系统软件)集中管理站(系统软件)联想Radius服务器(系统软件)2.2 拆箱检查在打开包装之后,请您先检查随机附带的电源线、交叉线、光盘、串口线和电子钥匙等设备是否齐全,所有部件请对照装箱单进行检查,如有缺损请及时和销售人员联系。注意

16、:取出设备后,不要将外包装丢弃,在需要搬运时,请务必使用原包装,它是为您的防火墙专门设计的包装,具备良好的防震功能。每当您需要维修服务时也最好用原包装将防火墙设备返回到联想集团有限公司的维修服务部门。2.3 网御防火墙PowerV安装2.3.1 检查安装场所联想网御百兆防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:1.确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。2.确认机柜和工作台自身有良好的通风散热系统。3.确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。4.确认机柜和工作台的良好接地。为保证防火墙正常工作和延长使用寿

17、命,安装场所还应该满足下列要求。2.3.2 安装网御防火墙PowerV可以放置在桌面上,也可以放在标准的19英寸机架上。安放在桌面上不需要特别的安装,安放在机架上时需要螺丝刀。将防火墙固定在机架上的固定托架,相关螺钉等随机配备的产品机箱中。2.3.3 网络连接请安装防火墙在机架上或放在一个水平面上。确认防火墙电源是关闭的。连接电源线。将防火墙连接在用户当前的网络中。检查当前防火墙面板上的指示灯2.4 配置管理方法联想网御防火墙PowerV防火墙的配置界面有两种方式:基于web的图形方式和基于CLI的命令行方式,可以利用网络连接(SSH)或串口连接进行命令行配置。2.4.1 网络接口web配置支

18、持远程安全管理和集中安全管理两种方式,优越性更表现在其集中安全管理的特性上。1.远程安全管理支持SSL协议,采用基于密码技术的PKI-CA证书认证和基于双因子硬件一次性口令认证技术的管理员身份认证,使得只有认证通过的管理员才能通过远程访问配置web管理界面、操作相关文件,所有防火墙配置文件及与安全有关的数据都经加密处理存放。2.集中式安全管理管理员通过集中管理中心可以对全局网络中的防火墙进行统一的配置与管理,支持SNMP、SSL协议,利用SNMP的trap机制实现安全事件报警。具体包括:(1)拓扑管理:具有设备自动发现功能,使管理员拥有对联想网御防火墙PowerV设备信息的全局掌握和控制。(2

19、)系统监测:监视联想网御防火墙PowerV的设备运行状态和统计数据系统状态,并在事件发生时通过图形界面向管理员发出通知。(3)配置管理:可以对网络中的联想网御防火墙PowerV进行统一的安全配置、管理和系统监视。 2.4.2 网络接口CLI配置提供命令行方式的基本配置管理和灾难恢复功能,通过SSH方式进行防火墙的安全管理和维护,并由管理员根据实际需要决定本功能的是否启用。2.4.3 本地串口CLI配置基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。2.5 登录管理界面2.5.1 登录方法防火墙共有四种管理方式:1)Web界面管理2)串口命令行管理3)远

20、程SSH登录管理4)PPP拨号接入管理。其中管理方式1)和2)是默认开启的,3)和4)默认是关闭的。在Web界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP地址是10.1.5.200,Web界面管理使用SSL协议来加密管理数据通信,因此使用IE来管理防火墙时,在地址栏输入https:/a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。在串口命令行管理中,管理客

21、户端的配置是9600-8-N-1,管理主机默认连接防火墙的CONSOLE,如果开启了PPP拨号接入功能,则串口管理的管理主机应当连接防火墙的串口AUX。注意:用web界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。SSH登录管理必须首先在系统菜单“配置管理配置管理方式”中设置允许SSH登录,才可以通过SSH协议远程登录防火墙。以SecureCRT 3.4.3 (Official)版本客户端为例,客户端设置选择协议为ssh2,端口为22,认证方式为Password。此时客户端的IP必须是管理主机IP之一。图 23使用SecureCRT

22、3.4.3登录防火墙在PPP拨号接入管理中,Modem连接到电话线路上,并将防火墙CONSOLE口连接Modem,管理主机通过另外一个Modem也接入电话线路,从管理主机向防火墙拨号,拨号成功后,防火墙与管理主机建立了PPP连接。此时,可以从管理主机上利用putty软件登录防火墙命令行界面(远程SSH方式)。2.5.2 管理认证管理员通过web方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb口,启动联想网御防火墙PowerV电子钥匙初始化客户端InitIToken.exe,输入防火墙IP地址(初始是10.1.5.254)和防火墙ID(购买

23、防火墙时提供),写入时,需要提供用户PIN密码和超级用户密码,都是12345678。确认后就生成了用于认证的电子钥匙。图 24初始化电子钥匙电子钥匙生成以后,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。图 25认证信息选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后就可以通过https:/10.1.5.254:8888连接防火墙了。图 26认证通过注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙关人认证客户端,否则可能无法管理。使用管理证书认证

24、方式,必须在先使用电子钥匙登陆防火墙,上载防火墙证书后,并且在IE导入管理员证书后,可通过登录https:/10.1.5.254:8889管理防火墙了。2.5.3 登录过程登录1.接通电源,开启防火墙,选用一台带以太网卡和光驱的PC机作为防火墙的管理主机,操作系统应为Window98/2000/XP,管理主机IE浏览器建议为5.0以上版本;注意:防火墙正常启动后,会蜂鸣三声,未出现上述现象则表明防火墙未正常启动,请您求助防火墙技术支持人员。2.使用随机提供的交叉线,连接管理主机和防火墙的网络接口fe1;3.将管理主机的IP地址改为10.1.5.200(防火墙出厂时默认指定的管理主机IP);4.

25、使用上一节介绍的认证方法进行认证,首次登录,只能用电子钥匙进行认证。 5.打开IE浏览器,如果使用电子钥匙认证,浏览https:/10.1.5.254:8888,出现如下防火墙登录界面:图 27防火墙登录界面6.在防火墙登录界面中输入管理员口令administrator,进入防火墙的配置首页。默认的用户帐号和口令都是administrator。当您进入联想网御防火墙PowerV的配置界面后,有关具体参数的说明和配置方法,请参考后续章节。2.5.4 网御防火墙PowerV的一般配置过程以Web界面管理方式为例,配置防火墙一般遵循以下步骤:1.登录管理界面,参考1.5.1登录方法和1.5.3登录过

26、程2.选择“资源定义”菜单项中的子项,定义地址,服务,用户,时间,带宽,需要过滤的URL,网络环境中存在的VLAN ID等资源。3.选择“网络配置网络设备物理设备”,修改网口的工作模式和IP地址。选择“系统配置管理配置管理主机”,修改管理主机的IP地址配置。如果网络环境复杂,还需要配置“网络配置网络设备”下的VLAN设备,桥接设备,别名设备,冗余设备和VPN设备。4.选择“策略配置安全规则”,设置相应的包过滤,NAT,端口映射和IP映射规则。其中包过滤规则中包含了设置IPSec,用户认证,代理的规则。NAT规则中包含了源地址转换和伪装的功能。源地址转换可以明确设定某些源地址转换成相应的地址。5

27、.系统保存,单击上侧中部磁盘的图标,保存系统配置。如果没有保存就重新启动,系统将恢复到上一次保存的配置。6.在日常的维护中,经常观察防火墙“系统监控”菜单下的内容和日志服务器中的日志信息,以便了解防火墙的工作状态。更详细的内容,请参阅防火墙手册的相关部分。2.5.5 退出登录退出防火墙配置管理界面,虽然可以采用直接关闭浏览器界面的方式,但请尽量采用点击界面上“退出”,因为这样可以通知防火墙关闭这个会话,从而最大限度的保证安全性。直接退出还会少记一条管理员退出日志。如果直接关闭浏览器,防火墙没有收到结束会话的指令,则会误以为该管理员仍在线管理中,另外如果没有选择了“允许多个管理员登录”,则会造成别的管理员登录不了。提示:当因为直接关闭浏览器而导致无法继续管理时,可通过串口登陆,删除相应的临时文件即可。具体如下: rm -f /tmp/session*.

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1