江西省委组织部远教办 ( 地 市 小 集 成 系 统 )培 训
目录 1 Power V 网络拓扑图 2 Power V IP地址规划 3 Power V 防火墙产品介绍 4 Power V 登录防火墙管理页面 5 Power V 防火墙界面介绍 6 Power V 防火墙的配置管理
目录 1 Power V 网络拓扑图 2 Power V IP地址规划 3 Power V 防火墙产品介绍 4 Power V 登录防火墙管理页面 5 Power V 防火墙界面介绍 6 Power V 防火墙的配置管理
江西省农村党员干部现代远程教育 防火墙IP地址规划表 地区 对外IP地址 掩码 网关 对内IP地址 南昌 115.153.193.131 255.255.255.240 115.153.193.129 192.168.5.1 255.255.255.0 景德镇 115.153.195.83 115.153.195.81 萍乡 115.153.196.99 115.153.196.97 九江 115.153.194.51 115.153.194.49 新余 115.153.197.67 115.153.197.65 鹰潭 115.153.198.83 115.153.198.81 赣州 115.153.199.211 115.153.199.199 吉安 115.153.200.163 115.153.200.161 宜春 115.153.201.147 115.153.201.145 抚州 115.153.202.147 115.153.202.145 上饶 115.153.203.147 115.153.203.145
IP地址规划一 1.防火墙:(管理地址https://115.153.192.98:8889用户名:administrator密码:xxxxxx) 外网接口: 接口:fe2 地址:115.153.192.98/255.255.255.224 网关:115.153.192.97 机顶盒网段NAT转换成:115.153.192.99/255.255.255.224 编辑工作站网段NAT转换成:115.153.192.100/255.255.255.224
IP地址规划二 内网接口: 机顶盒网段: 接口:fe3 地址:192.168.6.1/255.255.255.0 编辑工作站网段: 接口:fe4 地址:192.168.5.1/255.255.255.0
IP地址规划三 2.机顶盒: 机顶盒IP设置为192.168.6.1/24网段任意地址,网关:192.168.6.1 3.编辑工作站: 编辑工作站IP设置为192.168.5.0/24网段任意地址,网关:192.168.5.1
目录 1 Power V 网络拓扑图 2 Power V IP地址规划 3 Power V 防火墙产品介绍 4 Power V 登录防火墙管理页面 5 Power V 防火墙界面介绍 6 Power V 防火墙的配置管理
防火墙产品介绍 百兆产品外观 注:Power-V(203/204)-(303/304/306/308)-(403/404/406/408)系列产品采用标准1U机箱 Power-V 3000系列产品采用2U机箱
防火墙产品介绍 百兆前面板介绍 扩展接口,依次为fe5,fe6,fe7,fe8 POWER:电源指示灯 START:读写状态指示灯 从左到右是Console和Aux,用于串口命令行登录和远程支持PPP接入。 扩展接口,依次为fe5,fe6,fe7,fe8 POWER:电源指示灯 START:读写状态指示灯 HA1和HA2:Ha指示灯 防火墙启动时,四个灯全部亮起,启动后,依照各自的作用分时亮。 两个HA状态灯: HA主节点:两个灯全亮 HA从节点:HA1灯亮,HA2灭 HA故障节点:HA1灭,HA2亮 未启用HA状态:两灯全灭 4个标准10/100Base-TX(RJ45)接口,从左到右依次为fe1,fe2,fe3,fe4
防火墙产品介绍 千兆侧/后面板 侧面板图 后面板图
防火墙产品介绍 千兆前面板介绍 2个多模GBIC可插拔光纤网卡:此图为powerv_3403图 从左到右是Console和Aux,用于串口命令行登录。 2个多模GBIC可插拔光纤网卡:此图为powerv_3403图 3个10/100/1000自适应以太网卡,依次为fe1,fe2,fe3
防火墙产品介绍 千兆网卡介绍 连接、应答灯( LINK/ACT ): 绿色 当网线连通后,此灯为绿色且长亮; 当此网卡有通信时,此灯会闪烁。 网卡速度指示灯( SPEED ): 3种状态 当网卡与10M设备相连时,此灯不亮 当网卡与100M设备相连时,此灯为绿色 当网卡与1000M设备相连时,此灯为黄色
防火墙产品介绍 千兆电源灯介绍 START灯: 红色,在系统启动过程中会闪烁,在对系统进行写操作时会闪烁。 POWER灯: 绿色,在系统通电后,此灯会常亮。 注意事项: 在进行故障判断时,通常会观察START灯,如果此灯在系统加电后1-3分钟内没有闪烁,可能是系统无法启动故障;或只闪烁2下,可能是系统没有完全启动。 防火墙在正常开机后会出现三声“滴滴滴”的短响,说明防火墙正常启动。
防火墙产品介绍 GBIC指示灯 同时有LINK和ACT功能。当与其它光纤网卡正确相连后,绿灯亮,当有数据通信时,绿灯闪烁。注意:
目录 Power V 网络拓扑图 Power V IP地址规划 3 Power V 防火墙产品介绍 4 Power V 登录防火墙管理页面
2、登录防火墙管理页面 2.1 安装调试前的工作 2.2 安装调试的准备工作 2.3 管理方式简介 2.4 登录防火墙
2.1安装调试前的工作 拆箱检查 请安照装箱单的提示进行检查机箱内所有的配件: 防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线)、串口线、安装支架、保修卡 *注:如发现有问题,请及时与你的供货商进行沟通解决。
2.1安装调试前的工作 前期工作 一、第一时间内填写保修卡的回执卡,并邮寄回联想网御公司,以便于成为联想网御公司永远服务的对象。 二、在线服务网站 联想信息安全网站为http://www.leadsec.com.cn(www.infosec365.com.cn原网站) 用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档,并且提供在线问答等特色服务。 三、进行产品注册,请您详细填写用户名、通信地址、联系电话、E-mail地址等信息,以便于将新的技术成果迅速及时的传递给您!
2.2安装调试的准备工作 一、接通防火墙电源,开启防火墙(听到“滴滴滴) 后防火墙启动完成) 一、接通防火墙电源,开启防火墙(听到“滴滴滴) 后防火墙启动完成) 二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机,操作系统应为Window98/2000/XP/2003(暂不支持linux、unix) 三、使用随机提供的交叉线,连接管理主机和防火墙的eth1网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200(防火墙出厂时默认指定的管理主机IP)
2.3管理方式介绍 支持多种管理方式; 串口命令行管理-常用于灾难的恢复工作 Web页面管理-常用于正常管理 ssh远程管理-常用于管理调试 集中管理-方便管理 PPP远程拨号接入-专线远程拨入
2.3管理方式介绍 串口命令行管理 用户名/密码:administrator或者admin/admin123 POWERV防火墙在页面上实现的功能在串口下绝大多数可以实现。并且支持自动补全,问号等。 用户名/密码:administrator或者admin/admin123
2.3管理方式介绍 Web页面管理
2.4登录防火墙 认证方式 A.电子钥匙认证 需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。 B.证书认证 需要导入IE证书,和防火墙证书(IE证书与防火墙证书要一一对应,防火墙证书支持页面与串口两种方式。
2.4登录防火墙 电子钥匙认证 安装电子钥匙驱动程序将随机光盘放入管理主机的光驱,进入随机附带的光盘的key目录, 执行该目录下的INSTDRV,提示“退出请重新插锁”。 则表示已正确安装完网御电子钥匙的驱动程序。 *注意:安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。
2.4登录防火墙 电子钥匙认证 点击“退出请重新插锁”后装电子钥匙插入管理主机USB接口中,XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。 *注意:安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。
2.4登录防火墙 电子钥匙认证 在管理主机上,运行随机光盘administrator目录下的ikeyc 程序, 程序将提示用户输入PIN口令
2.4登录防火墙 电子钥匙认证 通过后弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面 如果网络不稳定的话会断开,重新连接即可。保持PING包不断的话就没有问题。 *注:在管理防火墙过程中,本程序每5秒将向防火墙提交一次认证信息,因此,不能拔出电子钥匙,或者关闭认证程序,否则将导致对防火墙的管理被立即中断。
通过认证程序后,在IE中输入https://防火墙IP:8888出厂默认地址10.1.5.254,默认的用户密码administrator 2.4登录防火墙 电子钥匙认证 通过认证程序后,在IE中输入https://防火墙IP:8888出厂默认地址10.1.5.254,默认的用户密码administrator 如果出现三次密码输错后,被锁定,重新启动防火墙。
2.4登录防火墙 电子钥匙认证
2.4登录防火墙 证书认证 一、 使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。 二、 导入IE浏览器证书。
2.4登录防火墙 证书认证 在串口下使用命令把证书导入防火墙并启用,使用SecureCRT软件并执行下面命令 一、rz(把证书导入防火墙) 二、admcert add admincert filename (添加防火墙证书) 三、admcert on admincert filename (启用证书)
2.4登录防火墙 证书认证 串口下导入防火墙证书过程如下图
2.4登录防火墙 证书认证 导入证书后选择生效选项
2.4登录防火墙 证书认证 证书生效 保存配置
2.4登录防火墙 证书认证 导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书,按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。
2.4登录防火墙 证书认证 当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https://防火墙ip:8889出厂默认IP为10.1.5.254,出现选择证书提示后点击“确定” 如果此处没有证书出现,说明防火墙上没的正确导入证书。
2.4登录防火墙 证书认证 出现安全警报后点击“是(Y)”就会出现防火墙登录页面 如果操作系统为windowsxp+sp需要把IE里的阻止弹出窗口选项去掉。 XP系统请确认IE浏览器中internet选项->隐私选项->中的阻止弹出窗口选取去掉:如下图
2.4登录防火墙 证书认证 用户名密码为:administrator/administrator
目录 1 Power V 网络拓扑图 2 Power V IP地址规划 3 Power V 防火墙产品介绍 4 Power V 登录防火墙管理页面 5 Power V 防火墙界面介绍 6 Power V 防火墙的配置管理
3防火墙界面介绍 管理首页
3防火墙界面介绍 各级子菜单
3防火墙界面介绍 管理配置-管理主机
3防火墙界面介绍 管理方式设定 在这里可以启用远程SSH管理方式。而且支持PPP接入,
3防火墙界面介绍 与IDS联动设置
3防火墙界面介绍 网络配置 FE1为默认的管理口,FE2为默认的HA口,同时可以绑定的别名设备为128个,
3防火墙界面介绍 网桥设备
3防火墙界面介绍 VPN设备 注意,这里的VPN设备绑定后,不能在弹出的页面启用,需要回到上级页面处,在是否启用处点生效。
3防火墙界面介绍 拨号设备 注意帐号的长度(至少不要超过64位)
3防火墙界面介绍 物理设备 这里可以设定是否被管理,是否可以PING,等功能。
3防火墙界面介绍 网桥设备
3防火墙界面介绍 拨号设备 用户名最好不要太长。
3防火墙界面介绍 域名服务器 两个DNS服务器设置。不用把防火墙当作DNS服务器使用,只是防火墙本身需要DNS解析使用。
3防火墙界面介绍 静态路由 防火墙的网关就在这里设置的。
3防火墙界面介绍 安全选项 默认全通/全禁 防火墙有一个开关,默认全开/全关,就是这里设置的。如果设置完相应的安全规则后发现没有生效,首先检查这里。
3防火墙界面介绍 包过滤规则
3防火墙界面介绍 端口映射规则 IP映射就是把服务器的IP地址映射出去,外网无法通过私网地址来访问。只能通过公网地址来访问,但是内部提供的端口要和对外提供的端口要一致。不可以改变,但是可以同时对外提供多个端口。 2 端口映射就是把IP地址的映射同时也可以把内部提供服务的端口改写成另外一个端口。一条规则只能对外提供一个端口。 比如服务器192.168.0.1/24是一个WEB服务器,那么提供的80端口对外可以改成8080 外网用户可以通过8080来访问这个服务器。但是IP映射是没有这个功能的。IP映射可以向外提供80:25:110等多个端口。
3防火墙界面介绍 IP映射规则
3防火墙界面介绍 NAT规则 允许通过是什么意思?就是什么也不做,也可以出去,用在VPN遂道。
3防火墙界面介绍 代理服务 支持透明代理。
3防火墙界面介绍 地址绑定 防止内网用户的IP盗用。
3防火墙界面介绍 远程VPN配置
3防火墙界面介绍 网关隧道配置
3防火墙界面介绍 客户端隧道配置
3防火墙界面介绍 定义地址列表 地址列表里定义的地址在IP映射和端口映射里没法引用。
3防火墙界面介绍 定义地址组
3防火墙界面介绍 定义地址池
3防火墙界面介绍 定义服务器地址
3防火墙界面介绍 定义服务
3防火墙界面介绍 定义动态服务
3防火墙界面介绍 ICMP服务
3防火墙界面介绍 定义基本服务 这里的源端口的高低都不要写,自动分配。
3防火墙界面介绍 定义服务组 所有的名称。最好不要用中文,有些系统对中文支持的不好。基本服务和服务组,VPN的证书管理证书名称不支持中文名。
3防火墙界面介绍 系统监控 可以在这里看到每个网卡的流量。分析网络中的流量很有用。
目录 Power V 网络拓扑图 Power V IP地址规划 3 Power V 防火墙产品介绍 4 Power V 登录防火墙管理页面
3防火墙的配置管理 安全规则 包流经规则的顺序:应用代理,端口映射,IP映射,过滤规则,地址转换 增加源端口,源MAC地址,URL过滤,网页关键字过滤,入网口,出网口,时间调度,长连接等选项 端口映射规则 IP映射规则 包过滤规则 代理规则 NAT规则 流入 流出
3防火墙的配置管理 端口映射
3防火墙的配置管理 IP映射 注意:如果源地址包含管理主机,公开地址是防火墙的管理IP,该管理主机将不能管理防火墙。
3防火墙界面介绍 端口映射 如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器。源端口可以用英文逗号分割表示多个端口,或用英文冒号分割表示端口段 注意:下一条IP 映射规则,如果没有选择“包过滤缺省策略通过”,还必须再下一条相应的包过滤规则才能生效。方法如下:包过滤规则的源地址是IP 映射规则的源地址,包过滤规则的目的地址是IP 映射规则的内部地址。
3防火墙界面介绍 包过滤 如果在源地址处不选择自定义,是不能填写IP地址的。源地址处空白的时候,在这时候IP地址处不能写东西。
3防火墙的配置管理 NAT 注意:设置一条NAT 规则,必须再设置一条相应的包过滤规则才能生效。
问题交流??
谢 谢