联想网御超五防火墙安装调试培训.ppt

联想网御Super V防火墙 安装调试培训,目录,Super V 产品外观,Super V 配置和管理,Super V 典型应用环境,Super V 案例介绍,正面图,侧面图,Super V 产品外观,8个自适应百兆电口,Mng带外管理口，Console口，aux口，HA口,3个千兆光口（可更换单模或 多模模块）,目录,Super V 产品外观,Super V 配置和管理,Super V 典型应用环境,Super V 案例介绍,Super V 防火墙配置管理,管理主机与防火墙直接连接时使用交叉线。,Super V 防火墙配置管理,配置管理主机IP地址，导入光盘上的证书文件。A、双击随机光盘-cert-IE浏览器导入-administrator.p12 B、显示“证书导入向导”窗口点击“下一步”，再点击“下一步”。C、在密码输入框输入：hhhhhh 点击“下一步”D、点击“下一步”，点击“完成”，显示“导入成 功”小窗口，点击“确定”。注意防火墙出厂默认参数：防火墙MNG管理口地址为：防火墙管理主机地址为：,Super V 防火墙配置管理-IE 管理证书导入,打开IE浏览器，在URL地址栏输入：https:/10.50.10.45:8889（证书管理）或 https:/10.50.10.45:8888（通过MNG管理）,Super V 防火墙配置管理,忘记了管理员密码？,使用串口线连接管理主机的串口和防火墙的CONSOLE口，使用超级终端登录防火墙；出现登录提示符后，使用用户名rescue和密码rescue登录；登录后，会出现修改超级管理员密码的提示，输入新的超级管理员密码并回车，再次输入新的超级管理员密码并回车，若修改成功，则自动退出登录；此时即可使用新的超级管理员密码进行正常的防火墙管理了。如果忘记了其它管理员的密码，则可以用超级管理员帐号进入WEB管理界面，在“系统配置管理配置管理员帐号”界面修改，或者，在命令行界面下，用admacct命令修改。,Super V 防火墙配置管理 菜单区,Super V 防火墙配置管理 菜单区,Super V 防火墙配置管理菜单区,Super V 防火墙配置管理菜单区,Super V 防火墙配置管理菜单区,Super V防火墙配置管理,防火墙基本参数配置,网络设备,资源定义,策略配置,防火墙配置的流程图,其它,Super V 防火墙配置管理,Super V 防火墙配置管理,输入管理主机地址,进行IP地址的规划与配置修改管理主机,点击”管理主机”,Super V 防火墙配置管理-防火墙升级,Super V 防火墙配置管理-,防火墙配置导入导出,如导出为加密格式,则无法用记事本打开查看,Super V 防火墙配置管理-,帐号管理,选择后可多管理员同时在线管理,Super V 防火墙配置管理-,管理方式,开启后可远程登陆命令行模式,Super V 防火墙配置管理-,集中管理,Super V 防火墙配置管理,步骤三 进行IP地址的规划与配置,点击”网络接口”,点击图标,抗攻击配置按钮,-网口配置,Super V 防火墙配置管理,选择端口模式,选择端口属性,Super V 防火墙配置管理,输入IP地址,选择网口,选择端口属性,点击”防火墙IP”,点击”添加”,Super V 防火墙配置管理,添加网关,点击”策略路由”,添加策略路由,添加源地址,添加目的地址,添加下一跳地址,Super V 防火墙配置管理,策略路由表包括：手工加入的静态路由表（分为源IP路由表项和目的IP路由表项）、系统根据 防火墙IP地址自动加入的网段地址的路由表项。策略路由的使用说明：网口允许”按源IP路由”时，如果策略路由表中有匹配的源IP路由，则按 源IP路由；无源IP路由匹配时，则按目的IP路由；无匹配目的IP路由时，则按默认网关路由。网口禁止”按源IP路由”时，无论有无匹配的源IP路由时，均按匹配的目 的IP路由；无匹配目的IP路由时，则按默认网关路由。网口配置中，默认路由的策略是源IP路由功能禁止，是按目的IP地址路由。策略路由功能和网口工作模式无关，也就是网口可以在路由模式，也可以 在混合模式下，只要数据包需要进行路由，并且该网口开启了”按源IP路 由”功能，那么就会匹配策略路由。,资源定义,地址：地址列表，地址组，NAT地址池，服务器地址服务：动态服务，ICMP服务，基本服务，服务组用户：用户列表，用户组时间：时间列表，时间组带宽列表URL过滤连接限制,Super V防火墙配置管理-,资源定义中的服务资源,Super V防火墙配置管理-,地址列表,Super V防火墙配置管理-,-服务器地址列表,Super V防火墙配置管理,-NAT地址池,Super V防火墙配置管理,-代理设置,Super V防火墙配置管理,-自定义代理,Super V防火墙配置管理,-用户列表,Super V防火墙配置管理,-用户组,Super V防火墙配置管理,-时间列表,Super V防火墙配置管理,-时间列表,Super V防火墙配置管理,此设置在安全规则中引用,Super V防火墙配置管理,防火墙安全策略配置,安全规则,包流经规则的顺序：过滤规则，地址转换，端口映射，IP映射.增加URL过滤，网页关键字过滤，入网口，出网口，时间调度，连接限制，流量控制等选项,端口映射规则,IP映射规则,网络包的策略匹配顺序图,流入,流出,流出,Super V防火墙配置管理-,包过滤规则,NAT规则,包过滤规则,Super V防火墙配置管理-,在“策略配置安全规则”界面中，点击，将弹出以下界面：,NAT,Super V防火墙配置管理-,在“策略配置安全规则”界面中，点击，将弹出以下界面：,端口映射,Super V防火墙配置管理-,在“策略配置安全规则”界面中，点击，将弹出以下界面：,IP映射,Super V防火墙配置管理-,在“策略配置安全规则”界面中，点击，将弹出以下界面：,Super V防火墙配置管理,抗攻击、入侵检测配置,安全选项和抗攻击特性,抗攻击，分为可全局配置的抗攻击选项和在策略中添加的 抗攻击选项非IP协议的控制地址绑定检查黑名单URL过滤和网页关键字过滤,Super V防火墙配置管理,Super V防火墙配置管理,中科网威,北方,启明星辰,Super V防火墙配置管理,Super V防火墙配置管理,Super V防火墙配置管理,防火墙HA配置,HA基本参数,Super V防火墙配置管理-,HA探测网口,Super V防火墙配置管理-,HA探测IP,Super V防火墙配置管理-,系统监控,网络设备HA状态资源状态日志信息在线用户连接状态带宽监控网络调试工具,Super V防火墙配置管理-,带宽管理,Super V防火墙配置管理-,定义的所有带宽策略在“策略配置安全规则”中的“流量控制”（如图所示：）用到。,在“资源定义带宽策略列表”界面中，点击 将弹出以下界面：,用户认证和用户管理,可以选择本地帐号服务器或radius服务器认证用户需要安装专门的认证客户端密码认证支持用户策略和用户组策略在包过滤规则选择认证来决定特定IP地址的用户是否需要认证,Super V防火墙配置管理-,用户资源,Super V防火墙配置管理-,用户组,Super V防火墙配置管理-,动态应用支持,三种支持方式：内核中支持；通过代理支持，通过UPNP服务器支持通过以上三种方式可支持多种动态应用支持动态应用的地址转换和状态检查,Super V防火墙配置管理-,Super V防火墙配置管理,防火墙串口配置命令行管理方式,Super V防火墙配置管理-,通过CONSOLE口进行管理,1、CLI 界面可以使用超级终端通过防火墙上的串口进入，也可以在 远程使用ssh 客户端进入，进入CLI 界面需要提供用户名和密码。2、通过超级终端进入CLI 界面的的方法如下：将管理主机的COM 串 口与防火墙的CONSOLE 口用串口线连接，配置管理主机的超级 终端，波特率为9600 比特。以默认管理员帐号与密码登录，进入 CLI 命令行界面,Super V防火墙配置管理,用户名：administartor口 令：123456,Super V防火墙配置管理,重要命令：config（系统配置）1、保存系统配置：语法：config save 示例：acconfig save2、恢复出厂配置：语法：config reset 注意事项：需要重新启动防火墙。示例：acconfig reset3、导出系统配置：语法：config export encrypt on|off 参数说明：指定导出系统配置的文件名 encrypt 指定是否对导出的系统配置文件进行加密，可选参数，默认为进行加密 注意事项：导出的系统配置为上一次保存的系统配置。示例：acconfig export fw.cfg encrypt on,Super V防火墙配置管理,重要命令：admhost（管理主机）1、添加管理主机：语法：admhost add ip comment 参数说明：ip 设置管理主机的IP地址 comment设置管理主机的注释，可选参数，默认为空 示例：acadmhost add ip 192.168.1.1 comment“administration host”2、删除管理主机：语法：admhost del ip 参数说明：ip 指定欲删除的管理主机的IP地址 示例：acadmhost del ip 192.168.1.1,Super V防火墙配置管理,3、显示管理主机：语法：admhost show 示例：acadmhost show IP_Address Comment 192.168.1.1 administration host,Super V防火墙配置管理,重要命令：admcert（管理员证书）1、添加管理员证书：语法：admcert add admincert 参数说明：admincert 设置管理员证书文件名 注意事项：需要先用命令“rz”上传证书文件；仅支持PEM格式的 证书文件。示例：acadmcert add admincert admin1.pem2、启用管理员证书：语法：admcert on admincert 参数说明：admincert 指定欲启用的管理员证书文件名 示例：acadmcert on admincert admin1.pem,Super V防火墙配置管理,3、显示管理员证书：语法：admcert show admincert 示例：acadmcert show admincert Name:admin1.pem Status:on Description:subject=/C=CN/O=legend/OU=infosec/CN=admin1/Email=,Super V防火墙配置管理,重要命令：fwip（防火墙IP地址）1、添加防火墙IP地址（网络接口MNG）：语法：fwip add if mng ip netmask 参数说明：ip 设置IP地址 netmask设置子网掩码 注意事项：欲添加的IP地址不能与其它网络接口上的IP地址 或地址池在同一子网。示例：acfwip add if mng ip 192.168.1.1 netmask 255.255.255.0,Super V防火墙配置管理,2、显示防火墙IP地址：语法：fwip show 示例：acfwip del ip 192.168.1.1 Interface IP Address Netmask Admin Ping Traceroute ge1 192.168.1.1 255.255.255.0 on on on fe1 192.168.2.1 255.255.255.0 off off off mng 192.168.3.1 255.255.255.0 on on on,Super V防火墙配置管理,3、添加防火墙IP地址（其它网络接口）：语法：fwip add if ip netmask admin on ping on|off traceroute on|off|off 参数说明：if 设置添加防火墙IP地址的网络接口，不能使用网络接口“ha”或“mng”ip 设置IP地址 netmask设置子网掩码 admin 设置是否可通过此IP地址管理防火墙，可选参数，默认为不可管理 ping 设置此IP地址是否允许管理主机ping，可选参数，默 认为不允许 traceroute设置此IP地址是否允许管理主机traceroute，可选 参数，默认为不允许 注意事项：欲添加的IP地址不能与其它网络接口上的IP地址或地 址池在同一子网。示例：acfwip add if ge1 ip 192.168.1.1 netmask 255.255.255.0 admin on ping on traceroute on,目录,Super V 产品外观,Super V 配置和管理,Super V 典型应用环境,Super V 案例介绍,三网口混合模式,fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式,三网口多VLAN环境拓扑,三网口多VLAN环境要求,要求：防火墙的缺省策略是禁止。网络区段间的访问策略是：允许VLAN10，VLAN20，VLAN30，VLAN40访问DMZ和INTERNET的http，smtp，pop3，ftp服务；允许INTERNET访问DMZ的http，smtp，pop3，ftp服务；允许VLAN10访问VLAN20，VLAN30访问VLAN40。其他的访问都禁止。,三网口多VLAN环境配置,fe1接到交换机的TRUNK口上，将fe1的IP地址配置为，掩码是，并开启TRUNK添加防火墙IP br:fe1，它的绑定设备是fe1，IP地址，掩码是。添加防火墙IP br:fe1，它的绑定设备是fe1，IP地址，掩码是。添加防火墙IP br:fe1，它的绑定设备是fe1，IP地址，掩码是。fe3接到VLAN50中，将它的IP地址配置为，掩码是。VLAN10的网关指向192.168.10.1，VLAN20的网关指向192.168.20.1，VLAN30的网关指向192.168.30.1，VLAN40的网关指向192.168.40.1，VLAN50的网关指向。防火墙的缺省网关指向。,端口映射应用 拓扑和要求,防火墙的缺省安全策略是禁止。访问策略是：允许INTERNET访问服务器集群网络的http，smtp，pop3，ftp服务。其他的访问都禁止。,端口映射应用 配置,定义资源：DMZ_NET：，掩码是，网络地址。WWW_SERVER_GRP：172.16.1.10，172.16.1.11，172.16.1.12，172.16.1.13，172.16.1.14，172.16.1.15，服务器地址。策略配置安全规则：添加源地址是any，目的地址是DMZ_NET，服务是http，动作是允许的包过滤规则。策略配置安全规则：添加公开地址是，对外服务是http，内部地址是WWW_SERVER_GRP，内部服务是http的端口映射规则。,HA单交换机节点下的主动-主动LFRP集群,两台防火墙的HA设置为负载均衡模式，将防火墙1的HA口和防火墙2的HA口用交叉网线连接起来，用来传递HA状态信息。两台防火墙的工作模式都为负载均衡。,目录,Super V 产品外观,Super V 配置和管理,Super V 典型应用环境,Super V 案例介绍,案例福建电信代办点隔离项目,防火墙工作在路由模式。Fe1百兆电口接5000路由器IP地址为Fe3百兆电口接传输机房IP地址为Ge1千兆光口接DMZ区DELL交换机IP地址为防火墙网关为策略主要分为两个部分：1、允许代办点访问DMZ的指定服务。2、允许DMZ访问97机房的指定服务,问题交流?,谢 谢,