联想网御UTM安装与调试.ppt

联想网御UTM的安装与调试,河南山谷创新网络科技有限公司,2023年9月28日,外观图片,外观图片,一健式按键,安全网关一键式按健,登录方法,登录界面,管理配置,管理主机管理员只有在管理主机上才能对安全网关进行管理，最多支持6个管理主机IP和1个集中管理主机，至少有1个管理主机IP不能被删除。安全网关出厂时有四个默认管理主机，、和。,管理配置,此接口完成以下功能 1、加管理主机 2、除管理主机 3、到“日志与报警日志设置集中管理”接口 添加管理主机 入管理主机IP和子网掩码“说明”中，输入描述性文字，此步骤可忽略 击“确定”按钮完成添加 修改管理主机“管理主机IP”列表中修改要修改的管理主机IP或子网掩码 击“确定”按钮完成修改 删除管理主机“管理主机IP”列表中删除要删除的管理主机IP 击“确定”按钮完成删除,管理配置,安全网关提供WEB接口和CLI命令行两种管理方式。可以通过网口访问、串口访问。WEB管理方式和串口命令行方式默认打开，不可关闭。使用WEB方式管理安全网关，管理主机必须能通过网络访问安全网关，并且其IP地址必须在安全网关上设置，使用串口命令行方式管理，管理主机通过串口连接安全网关的CONSOLE口登录。“启用远程SSH”后，管理主机可以通过网络连接（通用网口），利用secure CRT或putty 等终端管理软件登录安全网关命令行接口进行管理。,管理员帐户,管理员按级别授权管理，说明如下：,新建帐户,系统更新,安全网关系统升级功能可以快速响应安全需求，保证安全网关功能与安全的快速升级。,网络管理,网络接口 联想网御安全网关Power V可配置的网络设备有：物理设备，VLAN设备，桥接设备，VPN设备，别名设备，冗余设备和拨号设备。下面对各类设备的特点做一简要说明。物理设备：安全网关中实际存在的网口设备，不能删除，也不能添加。增减网络接口硬件模块会自动在网络管理中显示出来，不需要手动操作。VLAN设备：是一种在物理设备基础上创建的设备。与交换机的TRUNK口相连的安全网关物理设备上可以创建VLAN设备，以实现不同VLAN之间的互联。桥接设备：是将多个物理设备和VLAN设备置于透明模式，并且进行分组的设备。启用此设备的安全网关相当于一个二层交换机，但它同时可以过滤三层的内容。,网络管理,VPN设备：是启用VPN功能必须要启用的设备。整个安全网关系统中只能有一个VPN设备，但是VPN设备的绑定设备可以选择。别名设备：用于给物理设备配置多个IP地址。冗余设备：是将多个物理设备捆绑在一起而成的虚拟设备。冗余设备捆绑的物理设备共同完成收发工作，组成一个逻辑链路供系统使用。捆绑的物理设备可以相互备份，一个物理设备失效，其它物理设备可接替它的工作。拨号设备：用于启用ADSL拨号功能所必须要启用的设备。系统中只能有一个拨号设备，但是拨号设备绑定的物理设备可以选择。系统通过绑定的设备来发送和接收PPPoE的数据包。下边对部分设备的配置做详细的配置说明,物理设备,物理设备初始情况下工作在路由模式，也就是说该设备上绑定有IP地址，可以与其它设备进行资料包的路由转发。其中第一个物理设备fe4是默认的可管理设备。它的默认IP地址是，子网掩码为，这个地址允许管理，PING和TRACEROUTE,物理设备,物理设备,设备的工作模式，目前支持的有以下三种 1：路由模式，这是设备默认的工作模式，在路由模式下，必须配置设备的IP地址。2：透明模式，设置为透明模式的设备不能配置MTU，IP地址/掩码，不能用于管理，PING和TRACEROUTE等选项也不能选择。3：冗余模式，设置为冗余模式的设备只能供冗余设备使用。设备的链路工作模式，有以下三种 1：自适应 2：全双工 3：半双工 设备的链路速度，有以下三种 1：10 2：100 3：1000 开启TRUNK，是否将设备设置为TRUNK口。用于连接交换机或者路由器的TRUNK口。用于管理，此设备的IP地址是否能用于管理 允许PING，此设备的IP地址是否允许被PING到 是否启用，是否启用此设备,VLAN设备,VLAN设备是一种在物理设备基础上创建的设备。它可以工作在路由模式下，也可以工作在透明模式下，工作在透明模式时，此设备可加入桥接设备。VLAN设备可以与其它同VLAN的设备通讯，并通过安全网关转发不同VLAN之间的通讯。同一个物理设备上可以创建多个不同VLAN ID的VLAN设备。不同物理设备上的VLAN设备的VLAN ID可以相同。,Vlan设备,Vlan设备,设备的工作模式，目前支持的有以下两种 1：路由模式，这是设备默认的工作模式 2：透明模式，设置为透明模式的设备IP地址/掩码，不能用于管理，PING和TRACEROUTE等选项也不能选择。IP地址，设备的IP地址，路由模式下必须填写，并且不能和绑定设备在同一网段内。用于管理，此设备的IP是否用于管理 允许PING，此设备的IP是否允许被PING到 允许TRACEROUTE，此设备的IP是否允许被TRACEROUTE是否启用，是否启用此设备,桥接设备,桥接设备是将多个工作在透明模式的物理设备和VLAN设备绑定在一起的设备。启用此设备的安全网关相当于一个二层交换机，但它同时可以过滤三层的内容。安全网关可以创建多个桥接设备，而且这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。在这种情况下，路由信息和桥接设备的信息相互间没有影响。,桥接设备,IP地址，设备的IP地址，桥接设备的IP地址可以为空。如果它的IP地址是空则不能设置管理，PING和TRACEROUTE。用于管理，此设备的IP是否用于管理 允许PING，此设备的IP是否允许被PING到 允许TRACEROUTE，此设备的IP是否允许被TRACEROUTE到 是否启用，是否启用此设备,资源定义,为了简化安全网关安全规则的配置和维护工作，引入了资源定义。联想网御安全网关系统可以定义以下资源：地址资源：地址列表、地址组、地址池、服务器地址、域名地址 服务资源：预定义服务、动态服务、ICMP服务、基本服务、服务组 时间资源：时间列表、时间组 带宽资源：非共享带宽、共享带宽、带宽资源组 VLAN ID 在定义“防火墙安全选项”之前，一般需要按照特定的原则（比如：按部门、按人员等）定义地址资源，,地址列表,可以按三种方式来定义地址：Ip地址/掩码 反IP地址/掩码 地址范围IP1 IP2。,地址组,地址组用于“防火墙安全规则”和“用户认证用户资源用户组”。地址组的成员只能为“资源定义地址资源地址列表”中已经定义过的地址。在“资源定义地址地址组”，点击，将弹出以下接口：,地址池,“地址池”用于定义地址映射时的ip地址段。,在“资源定义地址地址池”，点击，将弹出以下接口：,服务器地址,“服务器地址”用于指定一组内部服务器地址。,在“资源定义地址服务器地址”，点击添加，将弹出以下接口：,服务资源,预定义服务,预定义服务定义了一些常用的服务，不可以修改，删除，只可以被引用。,动态服务,动态服务列表中列出了当前已定义的所有动态服务。,基本服务,选中点击，将弹出以下接口：,列表中显示了当前已定义的所有基本服务。,基本服务,源端口，指定该服务请求者的端口，从低端口到高端口的一段地址范围，如果只想表示一个端口，则把低端口和高端口设成相同。低端口小于等于高端口，端口的取值范围为0到65535，源端口通常设为0-65535，表示所有端口,目的端口，指定提供该服务的端口，目的端口通常有限的一个或者几个端口，例如80 80 协议，可以设置TCP、UDP和其它协议。一个服务最少需要1对“协议源端口目的端口”，最多同时支持8对，通常少于8个，则依次靠前填写，剩下各行均不填写即可。,服务组,服务组用于“防火墙安全规则”和“用户认证用户资源用户组”。服务组的成员可以是“资源定义服务资源”中已经定义过的基本服务、动态服务和ICMP服务。,防火墙,以下是安全网关配置的重点。制定符合安全需求的策略是保证安全网关真正起到“防火”作用的基础。配置错误的安全规则不仅会使安全网关形同虚设，甚至有可能妨碍对网络正常功能的使用。,应用防护规则,应用防护结合了病毒防护与入侵检测、协议控制三种防护策略，先通过病毒防护对数据包内容进行过滤，再通过入侵检测防护对数据包行为进行监测，最后通过协议控制策略来对检查协议使用的正确性，进而达到对企业内部网的全方位防护。,应用防护规则,防火墙,防火墙,防火墙,日志和报警,安全网关各功能模块提供标准日志记录。启用日志记录后，默认情况下日志存储在安全网关本地。安全网关也可以将日志发往第三方的日志服务器，日志服务器可以与安全网关的任意网口连接。安全网关提供随机日志服务器软件，提供强大的日志存储与审计功能。,配置日志服务器 需要管理员配置日志服务器IP、安全网关与日志服务器通信的协议与端口。安全网关默认使用syslog方式向第三方发送日志，端口514/协议UDP。,日志查看,日志信息有两种处理方式：发送给日志服务器处理：日志服务器上需安装相应的日志服务器程序。日志服务器程序提供丰富的查询、统计、报表功能，可以保存数量庞大的日志信息（受日志服务器上硬盘容量限制）。网关上保留的日志：由于受到资源的限制，安全网关上最多保存2M日志。日志信息不能保存，断电即丢失。查询功能有限，只能按日志类型、日志级别和关键词进行查找。,日志查看,日志类型包括：包过滤，代理，入侵检测，用户认证，内容过滤，设备状态，设备管理，其它以及所有。日志级别包括：警报（紧急，一般和临界），事件（错误，警告，注意，信息和调试）和所有。,结束语,谢谢！,