联想网御LSPE-UTM技术培训.ppt

《联想网御LSPE-UTM技术培训.ppt》由会员分享，可在线阅读，更多相关《联想网御LSPE-UTM技术培训.ppt（200页珍藏版）》请在三一办公上搜索。

1、1,联想网御Power V-UTM案例培训,2009年2月,（3.0 MR6）,2,目录,前言-UTM概念简述1.版本升级以及特征库升级2.系统维护3.网络接口配置4.网络NAT设置5.IP（端口）映射配置6.DHCP服务器配置7.VLAN的配置,3,8.路由模式9.透明模式10.静态路由、策略路由、OSPF11.安全策略12.病毒检测配置13.入侵防护配置14.内容过滤15.保护内容表,4,16.双机热备17.带宽管理18.日志19.虚拟域20.IPSEC VPN（网关对网关）21.IPSEC VPN（客户端对网关）22.SSL VPN23.常用命令以及抓包的具体操作,5,前言UTM概念简述

2、,6,前言、UTM概念简述,英文Unified Threat Management（UTM）中文统一威胁管理设备联想网御UTM防火墙的主要功能带有VPN、防病毒、IPS、防垃圾邮件、Web过滤功能的防火墙,什么是UTM安全网关？,7,网络中常见的问题,前言、UTM概念简述,8,需要采用新的安全架构,Antispam减少不需要的邮件Web filters减少与工作无关的浏览网站VPN实现远程安全访问,Firewall防御入侵Antivirus防御病毒感染IPS防御恶意攻击,VPN,IPS,Users,Servers,Firewall,Antivirus,Antispam,URL Filters,

3、前言、UTM概念简述,9,多种产品的解决方案提高了复杂度,真实的缺点需要部署不能相互通讯的多种产品提高了网络的复杂性和操作成本不是最佳的安全部署方法,假设的优势全面的安全对个人攻击能够迅速地反应,VPN,IPS,Users,Servers,Firewall,Antivirus,Antispam,URL Filters,前言、UTM概念简述,10,集中威胁管理(UTM)硬件,“集中威胁管理(UTM)硬件产品在一个硬件装置中集成多种安全特性。特性包括：网络防火墙和 VPN 网络入侵监测和阻止 网关防病毒WEB过滤反垃圾邮件所有的功能都不需要一定被启用，但是这些功能必须在硬件上集成。在这些产品中，每

4、个独立的组件不能被分离。可选的功能包括网页过滤、流量整形、路由、反垃圾邮件及其他。,前言、UTM概念简述,11,集中威胁管理(UTM)硬件的好处,降低复杂度集成厂商和产品的选择支持和管理真正的“安全”保护 灵活性可扩展性，真正基于客户的需求设计！进一步降低成本TCO,前言、UTM概念简述,12,联想网御UTM产品的优势,全面的网络保护服务防病毒、防火墙、IPS、VPN、内容过滤、反垃圾邮件适合大中型企业和安全服务提供商的独有解决方案特有的实时、高性能防病毒网关 完善的中小企业和家庭办公解决方案最全面、最快、性价比最好的统一系统 拥有最优秀的性能价格比全新的体系结构和专用的ASIC技术安全升级网

5、络实时响应新的威胁高性价比(4-5倍）未来持续的主流网关产品新一代的内容网络保护提供商,前言、UTM概念简述,13,案例一版本升级以及特征库升级,14,目前的UTM主要使用3个版本，分别为2.8版本、3.0（MR5）版本、3.0（MR6）版本，现在设备在出厂的时候都是3.0MR6版本的，一般不需要升级，但是如果以后有更新的版本发布，则需要对UTM的版本进行升级,案例一、版本升级以及特征库升级,15,案例一、版本升级以及特征库升级,首先，在系统管理-状态中的系统状态里，点击软件版本后面的升级,1.版本升级,16,点击后会出现如下界面，点击浏览按钮选择需要升级的版本，再点击确定即可完成升级,案例一

6、、版本升级以及特征库升级,点击确定按钮后，系统会有系统重启信息提示，待系统重启完成后，版本升级就完成了,注意：1.UTM可双向升级，即可以由低级版本升级至高级版本，也可由高级版本降至低级版本，操作顺序相同 2.升级完后务必恢复出厂配置，再进行进一步调试,17,2.特征库升级,案例一、版本升级以及特征库升级,首先，在系统管理-状态中的许可证信息里，点击AV特征值（IPS特征值）的升级,18,案例一、版本升级以及特征库升级,点击后会出现如下界面，点击浏览按钮选择需要升级的版本，再点击确定即可完成升级,19,点击确定后，会出现如下提示，升级成功（IPS升级和病毒库升级步骤完全一样，这里仅以病毒升级为

7、例）,案例一、版本升级以及特征库升级,20,案例二系统维护,21,首先，需要特别注意的是，UTM的配置是即时保存的，所以，如果需要对当前的UTM配置进行较大改动时，需先对当前配置进行备份,点击系统管理中的维护选项，出现如下界面，点击备份按钮对UTM配置进行备份,案例二、系统维护,22,点击备份后出现如下界面，选择配置文件的存储位置并为配置文件命名，点击保存，完成对配置的备份,案例二、系统维护,23,配置的恢复,选择需要恢复的配置文件，导入后点击恢复，系统提示重启后再次登录即可,注意：只有相同版本的配置文件才可以进行配置恢复操作,案例二、系统维护,24,SNMP设置,选择启用SNMP代理，点击应

8、用,其他设置建议不要更改,点击确定按钮完成配置,25,用户名密码,修改密码，点击确定生效,通常我们的可信主机为与UTM管理接口同网段的IP，如果需要修改可信任主机IP，需要在这里修改,26,案例三网络接口配置,27,网络接口配置：配置各个网口的IP地址方法 A、通过登陆设备界面 设备INTERNAL口上默认地址为,案例三、网络接口配置,28,网络接口配置：配置各个网口的IP地址方法 B、通过命令行的方式包括（串口、SSH、telnet等）,配置接口IP,配置接口管理方式,案例三、网络接口配置,29,网络接口配置：需要配置第二IP的网络环境:内部两个网段的终端，接到设备的同一个网口上，需要把网关

9、指到接口上各自网段。可同时在一个接口上绑定多个第二IP，这些IP不能处于同一网段与防火墙上别名设备的概念相同。,案例三、网络接口配置,30,A、通过登陆设备界面 在系统管理网络接口操作 需要时配置第二IP,案例三、网络接口配置,31,B、通过命令行的方式 config system interface interfaceconfig secondaryip secondaryip)#edit 1new entry 1 addedinternal)#end,案例三、网络接口配置,32,案例四网络NAT设置,33,网络拓扑结构:网络要求：有一个公网地址：，掩码：，网关：内网用户是网段的接在交换机上

10、，交换机接防火墙port5口上，防火墙port5口的IP地址：内网用户通过防火墙上公网,网络NAT设置,案例四、网络NAT设置,34,1 首先登陆防火墙后配置防火墙port6口在 系统管理-网络里配置 防火墙port6口IP：，掩码：,网络NAT设置,案例四、网络NAT设置,35,2 在路由静态静态路由 新建,网络NAT设置,案例四、网络NAT设置,36,3 在做地址转换，让内网网段的用户上网在防火墙策略里添加一条NAT规则在地址里定义地址：,网络NAT设置,案例四、网络NAT设置,37,4 在防火墙策略中 新建NAT策略源地址：port5，选择在地址里定义的地址：目的地址：port6，选择a

11、ll选择NAT,网络NAT设置,动态IP地址池会在后面讲用法,案例四、网络NAT设置,38,5 测试 内部PC测试 分别ping 公网地址和对应的外网网关,网络NAT设置,案例四、网络NAT设置,39,下面介绍一下动态IP地址池的用法,动态IP地址池是当用户拥有一个网段的外网地址，内网用户访问外网时可NAT成多个外网地址进行访问，这时就用到了动态IP地址池，下面我们创建一个动态IP池,注意正确选择需要绑定的接口，一般为外网口,案例四、网络NAT设置,40,接下来我们引用这个IP池,案例四、网络NAT设置,41,案例五IP（端口）映射配置,42,网络拓扑结构:网络要求：需要将内部服务器通过公网I

12、P发布到internet上,网络IP（端口）映射配置,案例五、IP（端口）映射,43,1 首先登陆设备在系统管理网络接口定义内外网口的IP和掩码 例如：port1 为内网口 port3 为公网地址,网络IP（端口）映射配置,案例五、IP（端口）映射,44,2 在路由静态静态路由 新建,网络IP（端口）映射配置,案例五、IP（端口）映射,45,3 在防火墙虚拟IP中新建,网络IP（端口）映射配置,案例五、IP（端口）映射,46,在防火墙策略中 添加 外网口到内网口的策略（注意：目的地址选择虚拟IP定义的名称）,网络IP（端口）映射配置,案例五、IP（端口）映射,47,案例六DHCP服务器配置,4

13、8,1 首先登陆设备在系统管理网络接口定义内外网口的IP和掩码 例如：port4口做DHCP的地址下发(DHCP服务器的网关),DHCP服务器配置,案例六、DHCP服务器配置,49,2 在系统管理DHCP 找到 port4口选择服务器 添加注意服务器可以添加多个网段。,DHCP服务器配置,案例六、DHCP服务器配置,50,3 配置完成 PC直接接到设备的port4口上，即可自动获取地址和DNS,DHCP服务器配置,案例六、DHCP服务器配置,51,案例七VLAN的配置,52,网络拓扑结构:网络要求：UTM防火墙工作在透明模式，Port1和Port2口分别接交换机，交换机启用Trunk 通过UT

14、M控制VLAN的访问。图例中Trunk上有两个VLAN，分别为VLAN20和VLAN30，要求实现VLAN的访问控制 UTM支持 802.1q,VLAN的配置,案例七、VLAN的配置,53,VLAN的配置,1 配置思路 a 创建 网口的子接口 VLAN ID b 配置防火墙的策略 控制VLAN 的访问,案例七、VLAN的配置,54,VLAN的配置,2 网络基本配置：在对应的接口创建VLAN子接口，图例中分别在UTM设备的Port1和Port2接口创建VLAN接口。操作：系统管理网络接口，新建图为在Port1接口上建立VLAN 20的VLAN接口 名称INV20,案例七、VLAN的配置,55,V

15、LAN的配置,3 网络基本配置：由于UTM的Port1和Port2接口分别与对应的交换机Trunk接口互连，因此需要在Port2接口建立对应的VLAN接口。图为在Port2接口建立VLAN20 的VLAN接口。OUTV20,案例七、VLAN的配置,56,VLAN的配置,图为最终建立的VLAN接口，分别属于Port1和Port2接口下,案例七、VLAN的配置,57,VLAN的配置,访问控制策略 在防火墙策略中添加访问策略 注意：在添加防火墙策略时，源/目的接口选择对应的VLAN接口，地址和访问控制策略根据实际情况建立添加。,案例七、VLAN的配置,58,案例八路由模式,59,路由模式适用的网络环

16、境：配置路由/NAT模式的防火墙多部署于网络边界，或者是连接多个不同网络,起到保护内网主机安全，屏蔽内网网络拓扑等作用。,路由模式,案例八、路由模式,60,网络拓扑结构:路由模式的设备多部署于网络边界,路由模式,案例八、路由模式,61,1 首先登陆防火墙后配置防火墙wan1口在 系统管理-网络里配置 防火墙wan1口IP：，掩码：,路由模式,案例八、路由模式,62,2 首先登陆防火墙后配置防火墙DMZ2口在 系统管理-网络里配置 防火墙DMZ2口IP：172.16.1.1 掩码：,路由模式,案例八、路由模式,63,3 添加防火墙策略,路由模式,需要配置NAT时打钩，只做路由转发时不需要打钩,案

17、例八、路由模式,64,案例九透明模式,65,透明模式适用的网络环境：透明接入模式多部署于拓扑相对固定网络，为了不改变原有网络拓扑，常采用此部署方式（防火墙本身作为网桥接入网络）。按照此方式部署后的防火墙如出现软硬件故障，可以紧急将防火墙撤离网络，不必更改其他路由、交换设备的配置。,透明模式,案例九、透明模式,66,网络拓扑结构:,透明模式,案例九、透明模式,67,1 首先登陆防火墙后防火墙默认配置为路由模式，这里需要我们做模式更改：（NAT 透明 模式）,透明模式,案例九、透明模式,68,2 在透明模式在配置一个用于管理设备的IP地址，应用后界面暂时不能管理，之后通过管理IP登陆设备。,透明模

18、式,案例九、透明模式,69,3 访问控制策略 在防火墙策略中添加访问策略 注意：在添加防火墙策略时，源/目的接口选择对应的接口，地址和访问控制策略根据实际情况建立添加。,透明模式,案例九、透明模式,70,案例十静态路由,策略路由,OSPF,71,案例十、静态路由、策略路由、OSPF,如右图所示，这是一个常见的网络拓扑，拓扑内共有4个设备，分别为2台PC，1台路由器，1台UTM，如何配置UTM才能使两台PC可以相互通信呢，这就需要配置路由,1.静态路由,72,首先，就是先配置UTM的两个接口，具体配置方法参考案例二，这里将与PC2连接的口配置为，将与路由器连接的口配置为 配置好接口后，接下来我们

19、就要配置策略，具体配置方法参考案例十五。这些都配置好后，我们就要配置路由了,案例十、静态路由、策略路由、OSPF,73,案例十、静态路由、策略路由、OSPF,首先进入路由中的静态，会出现右上界面，点击新建进入下图中的界面,74,在本例中，如果PC2想访问PC1，则需要配置一条路由，他的目的地址为PC1的地址，网关地址为路由器接口地址，具体配置如下图,案例十、静态路由、策略路由、OSPF,75,这样，这条路由就配置完成了（如下图）这条路由的具体含义为：所有发往网段的数据包，他的网关（下一跳）为,这里如果将目的IP设置为就变成了一条我们通常所说的默认网关，即发往任意地址的数据包，他的网关（下一跳）

20、为。需要注意的是，默认网关的优先级是最低的，只有其他所有路由都无法匹配的时候，才会走默认网关,案例十、静态路由、策略路由、OSPF,76,2.策略路由,首先看如下拓扑,案例十、静态路由、策略路由、OSPF,77,这个拓扑的需求是，内网所有用户使用网通出口，只有IP地址为的PC走电信出口。这时我们就需要使用策略路由,案例十、静态路由、策略路由、OSPF,78,这条策略的含义是，所有源地址为，目的地址为ANY的流量，都将其强制到wan2口，其网关为。,需要注意的是，策略路由优先匹配,案例十、静态路由、策略路由、OSPF,79,3.OSPF,其拓扑如下,案例十、静态路由、策略路由、OSPF,80,路

21、由器的配置,案例十、静态路由、策略路由、OSPF,81,FW1的配置,首先是按照拓扑配置网络接口，然后就是配置OSPF路由了,案例十、静态路由、策略路由、OSPF,82,案例十、静态路由、策略路由、OSPF,83,FW2的配置,与FW1配置基本相同,案例十、静态路由、策略路由、OSPF,84,配置完成后，进行验证，此时路由器上的路由如下,案例十、静态路由、策略路由、OSPF,85,案例十一安全策略,86,案例十一、安全策略,安全策略的是防火墙的一个最基本最常用的功能，以下是配置安全策略时的一些注意事项,注意：1.UTM在不添加策略的情况下，是不允许任何数据通过的2.UTM的安全策略是基于接口配

22、置的，配置前确认好接口3.UTM安全策略的匹配顺序是先匹配接口，然后再从上至 下顺序匹配，所以对安全策略的顺序一定要多加留意,87,新建一条安全策略,案例十一、安全策略,88,其中ACCEPT为通过，DENY为禁止，IPSEC和SSL-VPN会在VPN中有详细讲解,案例十一、安全策略,89,下面介绍一下关于安全策略中服务的配置,预定义中的服务为常用的一些服务，可以直接被策略引用。这些服务无法修改,案例十一、安全策略,90,定制服务，就是自定义一些不常用的协议和端口,案例十一、安全策略,91,服务组的配置,案例十一、安全策略,92,所有的默认服务，自定义服务和服务组都可被安全策略引用,案例十一、

23、安全策略,93,案例十二病毒检测功能,94,病毒检测功能我们不设置案例，相关案例在保护内容表中讲解,UTM的病毒检测功能，主要配置于保护内容表，而他的病毒检查模块的主要功能则是配置文件过滤器,案例十二、病毒检测功能,95,进入后点击新建按钮，创建一个过滤器,案例十二、病毒检测功能,96,进入后文件过滤器可以选择两种类型，分别为文件名称模式和文件类型模式文件名称模式：设定要过滤的文件名称，可以使用*号，例如*.rar文件类型模式：即选择需要过滤的文件类型设置完成点击确定按钮，完成过滤器的配置,案例十二、病毒检测功能,97,案例十二、病毒检测功能,98,文件过滤器的应用：需要在保护内容表中引用,具

24、体的使用方法我们会在保护内容表章节详细讲解,案例十二、病毒检测功能,99,案例十三入侵防护,100,*特征值不可以被修改。只能更新*IPS特征值列表可以通过严重性和动作予以过滤*每个特征值缺省定义的动作、日志和启用三个选项,联想网御UTM的入侵防护功能分为特征值、IPS传感器和DoS传感器三个部分，其中特征值模块为IPS的特征值，这部分在使用中通常是不需要配置,案例十三、入侵防护,101,定值部分是用于自定义IPS特征的，具体定义方法比较复杂，我们今天不做讲解，如果有需要的话，我们有专门的文档对这个功能进行解释,案例十三、入侵防护,102,Protocol解码器是在引擎里定义和升级的，常见的协

25、议有HTTPSMTPPOP3IMAPTelnetFTPDNSSNMPRADIUSLDAP,案例十三、入侵防护,103,UTM为用户准备了5种IPS默认配置模板，依次为1.全防护开启（报警并阻断）、2.全防护通过（报警不阻断）、3.客户端保护、4.邮件服务器保护、5.HTTP服务器保护。通常这5种默认模板就可以满足用户的需求,接下来是IPS传感器的配置方法，首先进入IPS传感器,案例十三、入侵防护,104,如果默认模板无法满足需求，则需要自定义一个IPS传感器,案例十三、入侵防护,105,每个IPS特征值的动作在数据库中已经定义，但是在IPS过滤器中可以配置根据“严重性、对象、OS、协议、应用”

26、等对数据库中的IPS特征值进行筛选每种特征值都有缺省的“启用、日志和动作”，也可以在过滤器中指定全局的设置红框中的配置如无特别需要，不要进行改动,all,案例十三、入侵防护,106,配置完成后，点击确定，最终生成一个新的IPS传感器,案例十三、入侵防护,107,IPS传感器的应用：需要在保护内容表中引用,具体的使用方法我们会在保护内容表章节详细讲解,案例十三、入侵防护,108,每个传感器是由两部分组成：过滤器和跳过，跳过是优于过滤器的跳过也是从上往下匹配的，匹配一次后，就不再向下执行每个过滤器是由多个特征值组成，过滤器是按照相同协议，或者相同级别等共同的特点把部分特征值从总的特征值筛出来。过滤

27、器是从上往下匹配的，匹配一次后，就不再向下执行跳过可以改变过滤器中设置的特征值动作方式，它也可以添加过滤器中没有的特征值。人为定义的特征值也可以应用到跳过中去先对网络流量比对跳过中的特征值，如果没有匹配的话，则比对过滤器中的特征值，从上而下地进行匹配。如果没有匹配成功，则不对数据包进行处理.,IPS传感器的一些注意事项,案例十三、入侵防护,109,下面是DoS传感器的配制方法,案例十三、入侵防护,110,与特征值一样，通过传感器方式进行调用异常的列表只有十二种不能自定义异常异常的传感器不是加载到防火墙策略中，而是采用”受保护地址”方式部署“受保护地址”可以视为“小防火墙策略”,配置好后在DoS

28、传感器中能看到配置好的传感器，需要注意的是要将状态里的勾打上，这样才能正式生效,DoS传感器的一些注意事项,案例十三、入侵防护,111,案例十四内容过滤,112,参考如右图拓扑，此为一个简化了的网络拓扑 拓扑图说明：图中通过UTM对内部用户的上网进行网页过滤的控制 使用UTM基本的过滤方式完成过滤,案例十四、内容过滤,113,配置说明UTM WEB访问处理流程,案例十四、内容过滤,114,测试一：禁止访问某网站禁止访问“新浪”配置：1.新建一个网址过滤 2.新建一个网址过滤列表 3.在“列表中”中编辑地址屏蔽,案例十四、内容过滤,115,编辑地址屏蔽，下图显示是屏蔽新浪的域名，如；如需屏蔽等，

29、则需屏蔽;这里一定注意是屏蔽新浪首页，还是整个新浪的站点。,如需要将所有带有sina的URL全部屏蔽掉，可以使用正则表达式形式，正则表达式的具体用法我们后面会讲到,案例十四、内容过滤,116,配置好的网址过滤列表需要在保护内容表中引用,案例十四、内容过滤,117,测试二：禁止访问含有禁忌词汇的网页，但是允许访问某正常网页 例：禁止访问含有关键字“游戏”的页面，但是允许访问新浪首页。配置步骤：将新浪地址屏蔽取消，在 web过滤器内容阻断中新建关键词汇“游戏”，模式类型：通配符；语言：简体中文。,样 式：输入需要屏蔽的文字模式类型：分为通配符和正则表达式语 言：目前支持8种语言打 分：这条屏蔽内容

30、的分值，使用方法后面会提到,案例十四、内容过滤,118,接下来，在免屏蔽列表中，添加“”。,这样，一个内容阻断列表就完成了,案例十四、内容过滤,119,这样，免屏蔽列表也完成了，接下来同样需要在保护内容表中引用,案例十四、内容过滤,120,测试：访问(该页面中含有“游戏”关键词汇),右图显示在访问时，虽然主页中含有“游戏”词汇，但是由于该域名URL在免屏蔽列表中，因此允许访问。,案例十四、内容过滤,121,案例十五保护内容表,122,保护内容表为整个UTM的核心，它是将所有安全设置汇聚为一张表并针对每条安全策略进行下发,案例十五、保护内容表,123,防病毒模块配置,案例十五、保护内容表,124

31、,Web过滤模块配置,案例十五、保护内容表,125,入侵检测模块配置,案例十五、保护内容表,126,内容存档模块配置,启用后可在系统管理-状态-统计数据中查看,案例十五、保护内容表,127,IM/P2P模块配置,案例十五、保护内容表,128,日志模块配置,在日志选项中配置需要记录的日志，并能在日志访问中进行查看,案例十五、保护内容表,129,将所需安全配置都配置好后，点击确定，完成保护内容表,案例十五、保护内容表,130,配置好的保护内容表，需要在策略中引用才能生效,这里需要注意的是要明确要对哪对接口，何种流量做保护,案例十五、保护内容表,131,引用后可在策略中看到所引用的保护内容表,案例十

32、五、保护内容表,132,案例十六双机热备,133,案例十六、双机热备,UTM设备支持在路由和透明模式下的主备和主主模式的高可用性配置，但是不支持全冗余的连接模式。基本配置拓扑图如下：,134,在拓扑图中，UTM工作于路由模式，HA监控Port1和Port6接口，使用Port3接口作为HA的心跳接口。双机热备模式的前提条件:必须是相同型号和相同软件版本的UTM才可以作双机；主主模式（Active-Active）双机热备工作，支持对TCP会话的负载均衡双机热备配置时不支持DHCP和PPPOE接口模式双机热备建议不使用主设备抢占。需要区别的是，UTM抢占而防火墙不抢占,案例十六、双机热备,135,2

33、、UTM网关双机热备配置（1）网关基本网络配置 操作：根据网络实际情况分别对两台双机热备设备的网络地址和设备路由,使用port3接口作为UTM设备的双机热备接口，Port3接口可以不配置地址。,案例十六、双机热备,136,（2）双机热备配置 操作：系统管理配置高可用性,案例十六、双机热备,勾选需要监控的网口,137,上图：选择“高可靠性”，模式：“Active-Passive（主/从）”。组：双机必须使用相同的组名。设备优先值：缺省为128，优先值越高设备被选择为主设备的机会越大，可 以根据实际的网络环境缺省是否需要确定首选主设备。密码：为HA同步的通讯密码，两台设备设置为相同的值。心跳端口：

34、为HA设备的双机热备接口，填写数值的接口表示该接口支持双机热备，数 值越大为主心跳接口。检测端口：为UTM设备检测端口，当该端口down时，设备切换。注意在没有完成双机协商前，不要配置“检测端口”。待设备完成双机同步后再配置“检测端口”,案例十六、双机热备,138,（3）双机热备设备互连 按照网络的实际情况，将双机设备设备互连，特别保证双机热备双机线的通畅。UTM设备在进行双机热备工作时，只有主设备可以被管理，所有配置均在主设备上完成，自动同步到从设备上。,案例十六、双机热备,139,右图：显示加入双机热备组的两台设备，其中上面的设备为当前的主设备，下面的设备为从设备。,案例十六、双机热备,1

35、40,（4）创建安全访问策略所有策略自动在两台设备上同步。,3、切换测试拔出主设备的Port1或Port6接口，设备切换。重新访问设备的管理地址，并观察主从设备的切换。,4、如何管理双机热备设备中的从设备 双机热备的从设备只能通过CLI方式管理，登陆到主设备上在CLI下 执行：UTM400A#execute 双机热备 manage 1/主设备的机器名为 UTM400A，机器名不同步UTM400B$/从设备的机器名为UTM400B5、可以用命令执行同步 execute 双机热备 synchronize all starting synchronize with 双机热备 master.6、可以用

36、命令查看是否同步 diagnose sys 双机热备 checksync,案例十六、双机热备,141,案例十七带宽管理,142,带宽控制：由于可供用户使用的线路带宽总是有限的，为了协调资源，优先保障重要服务，有必要进行带宽控制。UTM的带宽控制是基于策略定义的，通过基本带宽、最大带宽限制个别IP或者个别网段的流量。,案例十七、带宽管理,143,源地址可以为设置为单个IP或网段的,目的地址可为ALL,选择流量监控,基本带宽为保证拥有的带宽数,最大带宽为限制流量峰值的带宽数,同等条件下先匹配优先级高的,案例十七、带宽管理,144,案例十八日志,145,在UTM设备上启用日志配置，UTM产品型号30

37、00和1000支持日志本地硬盘存储，其他型号均不支持日志的本地硬盘存储。Power V 1000UTM和3000UTM的硬盘缺省配置为40G。严格禁止将系统的流量日志存储在设备的本地硬盘中。系统日志可以存储在系统的内存（设备重启后丢失，内存中只支持存储128条最新的信息）；系统流量日志不支持存储在设备的本地内存中。系统日志可以重定向到syslog服务器上，需要配置syslog服务器,案例十八、日志,146,日志配置分成两个部分：一，启用日志功能，二，配置日志过滤确认记录日志的内容。（1）日志与报告日志配置日志设置,在内存中保存日志：选择：内存设置级别选择“信息”。将日志写到外置的syslog服

38、务器：选择：syslog服务器设置，填写对应的服务器地址，级别“信息”。,案例十八、日志,147,E-mail报警 UTM支持将UTM报警发送到指定的邮箱，以便及时了解当前的网络安全问题,案例十八、日志,148,（2）配置事件日志,根据实际情况，在对应的复选框中选择需要记录的日志信息。,案例十八、日志,149,日志显示（1）在系统状态界面的统计数据中显示最新的病毒和攻击日志，此日志为系统内存中的日志存储。,案例十八、日志,150,在日志与报告日志访问 对应标签下检索日志（如果有硬盘存储日志可以选择存储介质，硬盘存储的日志可以下载到本地或定时上传到其他服务器）,案例十八、日志,151,案例十九虚

39、拟域,152,UTM产品的虚拟系统设计的目标是将一个物理的防火墙变成多个逻辑的防火墙，提高设备的利用率，减少部署设备的数量。完成虚拟系统配置后，在后台设备会形成相应会话表，和独立防火墙配置界面。UTM200设备以上缺省路由模式支持2个虚拟系统，透明模式支持10个虚拟系统，需要更大的数量需要单独购买。,通常情况下，我们常用到的为以下两个拓扑,案例十九、虚拟域,153,拓扑1（双桥）,用户内网两台核心交换机，交换机外联两台路由器，分别对应电信和网通的Internet路由器，策略路由由内部核心交换机完成。注意本案例中，核心交换机与上面两台路由器的互联地址在同一个网段，及核心两台交换机使用相同的VLA

40、N Interface地址与上面的路由器互连。要求：部署我们UTM的设备一台，透明串联在交换机与路由器之间进行两条上联链路的防护。,案例十九、虚拟域,154,最终的部署方式,案例十九、虚拟域,155,网关配置注意事项 采用虚拟域的方式部署，分别控制两台上联链路。设计部署方式：,图中：UTM设备的Internal和WAN1接口在root（系统缺省的虚拟域）中；DMZ1和WAN2在新建的虚拟域Root中。,案例十九、虚拟域,156,拓扑2（混合）,用户网内有划有两个部分，一部分是透明网络，为内网用户访问内部服务器，另一部分为路由网络，为外网用户访问内网服务器，在不改变网络拓扑的前提下，用户需要在服

41、务器前假设UTM保障服务器的安全。要求：使用一台UTM满足这个拓扑，并在两条路上都提供安全保障,案例十九、虚拟域,157,最终的部署方式,图中：UTM设备划分了两个虚拟域，其中一个虚拟域设置为路由模式，负责控制外网用户访问内网服务器。另一个虚拟域设置为透明模式，负责控制内网用户访问同网段的内网服务器,案例十九、虚拟域,158,虚拟域的创建,案例十九、虚拟域,159,重新登陆后，会发现左侧的配置选项发生了变化,案例十九、虚拟域,160,上图只是进入了虚拟域模式，但是还是只有一个域，下面我们再来创建一个域,案例十九、虚拟域,161,在上图可以看出，luyou域中没有网口，下面我们将网口加入到虚拟域

42、中,注意：当网口被安全策略、VPN的设置引用时，无法改变虚拟域,案例十九、虚拟域,162,配置好后，为如下界面,同时需要注意的是，在界面的上方，可以更改管理虚拟域，管理虚拟域即为可对UTM进行配置的虚拟域,案例十九、虚拟域,163,这样，通过使用UTM虚拟域，避免了改变用户拓扑这种麻烦而且满足了用户的需求，UTM的虚拟域可以灵活运用在各种网络拓扑中，更多的应用还需要在实践中挖掘总结,注意：如果用户对日志记录的要求非常高，则需要慎重使用UTM虚拟域，因为UTM开启虚拟域后，只有ROOT域且管理域才能发日志,经过配置，UTM被划分为两个虚拟域（也可划分出更多的虚拟域），这些虚拟域可以理解为是一个独

43、立的UTM，他们之间是无法通信的，针对本案例中的两个拓扑，运用所掌握的UTM配置方法，可轻松实现案例中的要求,案例十九、虚拟域,164,案例二十IPSECVPN(网关对网关),165,案例二十、IPSEC VPN（网关对网关）,远端,本地,166,首先配置网络接口,案例二十、IPSEC VPN（网关对网关）,167,选预共享密钥，设置一定要和对端网关的密钥一致（比如都是123456789），其他选项默认即可。远程网关：选择“静态IP地址”。模式：选择“主模式“。,案例二十、IPSEC VPN（网关对网关）,168,不选择启用完全转发安全性（PFS）,案例二十、IPSEC VPN（网关对网关）,

44、169,在策略中开启VPN,添加VPN策略：这里需要说明的是策略添加的方向是：从内到外,案例二十、IPSEC VPN（网关对网关）,170,检查VPN的工作状态,案例二十、IPSEC VPN（网关对网关）,171,下面是强五的配置，同样是先配置接口IP,案例二十、IPSEC VPN（网关对网关）,172,案例二十、IPSEC VPN（网关对网关）,173,启用IPsec,案例二十、IPSEC VPN（网关对网关）,174,注意预共享密钥要与对端一致,案例二十、IPSEC VPN（网关对网关）,175,配置网关隧道,案例二十、IPSEC VPN（网关对网关）,176,至此，UTM的IPSEC V

45、PN配置基本就完成了，只要把另一台墙按照相同方法配置起来，就可以建立隧道了,案例二十、IPSEC VPN（网关对网关）,177,案例二十一IPSECVPN(客户端对网关),178,案例二十一、IPSEC VPN（客户端对网关）,第二步：客户端配置且与网关一致,第一步：UTM网关IPSEC配置,179,首先配置网络接口,案例二十一、IPSEC VPN（客户端对网关）,180,第一阶段,案例二十一、IPSEC VPN（客户端对网关）,181,第二阶段,第二阶段配置，这里注意阶段2交互方案，不要选择3DES,案例二十一、IPSEC VPN（客户端对网关）,182,策略配置,案例二十一、IPSEC V

46、PN（客户端对网关）,183,至此UTM网关已配置完毕。,案例二十一、IPSEC VPN（客户端对网关）,184,UTM3.0（MR6）版本支持联想网御的客户端,案例二十一、IPSEC VPN（客户端对网关）,185,至此，客户端对网关的IPSEC VPN配置完成,案例二十一、IPSEC VPN（客户端对网关）,186,案例二十二SSLVPN,187,案例二十二、SSL VPN,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中

47、，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。,188,案例二十二、SSL VPN,189,根据环境，配置网络接口,案例二十二、SSL VPN,190,在虚拟专网：SSL 启动 SSL-VPN,案例二十二、SSL VPN,191,添加用户,案例二十二、SSL VPN,192,添加用户组：类别选择 SSL VPN 添加用户组成员,案例二十二、SSL VPN,193,SSL VPN 分为两种登陆方式：,A、SSL VPN 通道模式（多用于CS）,B、SSL VPN WEB代理模式（多用于BS）,案例二十二、SSL VPN,194,在 SSL-VPN用户组选项：A、启动SS

48、L-VPN通道服务,案例二十二、SSL VPN,195,在 SSL-VPN用户组选项：B、启动WEB应用,案例二十二、SSL VPN,196,案例二十三常用命令以及抓包的具体操作,197,案例二十三、常用命令以及抓包的具体操作,在使用后台抓包分析命令时，建议大家使用如SecureCRT这样的远程管理工具，通过telnet或者ssh的方式登陆到网关，由于UTM本身不支持将抓包的结果保存在设备自身的存储空间，因此需要借助SecureCRT这样远程管理工具接收文件。,1基本命令命令:diagnose sniffer packet.#diag sniffer packet,2参数说明2.1 inter

49、face 指定实际的接口名称，可以是真实的物理接口名称，也可以是VLAN的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。例：diag sniffer packet port1 表示抓物理接口为port1的所有数据包 diag sniffer packet any 表示抓所有接口的所有数据包diag sniffer packet port1-v10 建议在创建逻辑接口时不要带有空格。,198,2.2 verbose指控制抓取数据包的内容1:print header of packets,只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequence numbers。为

50、系统缺省设置2:print header and data from ip of packets,抓取IP数据包的详细信息，包括IP数据的payload。3:print header and data from ethernet of packets)，抓取IP数据包的详细信息，包括IP数据的payload，导出到文本文件可以使有专用的转换工具，转换为Ethereal支持文件格式,案例二十三、常用命令以及抓包的具体操作,199,例1：抓所有接口（interface=any）的任何数据包（filter=none），级别1（verbose1）Power V-UTM#dia sni pa any n