防火墙安装调试教材 （适用于防火墙版本V2.1.0）

Presentation on theme: "防火墙安装调试教材 （适用于防火墙版本V2.1.0）"— Presentation transcript:

1 防火墙安装调试教材 （适用于防火墙版本V2.1.0）
联想信息安全LSPE认证培训 防火墙安装调试教材 （适用于防火墙版本V2.1.0） 自我介绍：我是XXX，来自联想信息安全事业部， 欢迎大家参加此次培训,此次培训也叫新伙伴加盟培训，重点是介绍联想信息安全的业务、产品及我们的合作支持政策，我所讲的是培训课件的技术部分，主要就联想网御信息安全产品系列给与全面的介绍，在技术方面不会特别的深入，在以后的培训课程中我们会有一系列更深层次的技术培训，希望通过不断的交流，使我们相互了解，密切合作。

2 目 录 1.安装调试前的工作 2.初次登录防火墙的管理界面 3.更改防火墙的IP地址 4.串口命令行管理防火墙 5.典型网络环境防火墙配置
6.防火墙其它功能的介绍 7.如遇到问题怎么办

3 目 录 1.安装调试前的工作 1.1 拆箱检查 1.2 要获得专业服务的前期工作

4 *注：如发现有问题，请及时与你的供货商进行沟通解决。
1.安装调试前的工作 1.1拆箱检查 请安装装箱单的提示进行检查机箱内所有 的配件： 防火墙主机、USB电子钥匙、随机光盘、 管理手册、随机资料、电源线、网线、 串口线、安装支架、保修卡 如判断实属防火墙主机硬件故障且无法自行修复的安全产品。代理商应确保随机附件和资料齐全、相符，机器与包装箱配置单相符。 注：凡外包箱破损及其它附件（包含随机光盘、资料、电子钥匙、直连网线、串口线、电源线等）缺少、破损的，不判作“一次开箱不合格产品” 。 *注：如发现有问题，请及时与你的供货商进行沟通解决。

5 第一时间内填写保修卡的回执卡, 并邮寄回我公司，
1.安装调试前的工作 1.2 要获得专业服务的前期工作 第一时间内填写保修卡的回执卡, 并邮寄回我公司， 以便于成为我公司永远 关怀的对象 到联想信息安全升级网站 进行产品注册，请你详细填写用户名、 通信地址、联系电话、E－mail地址等信息， 以便于在防火墙有新的技术成果能够及时的传递给用户

6 目 录 2.初次登录防火墙的管理界面 2.1 准备工作 2.2 安装网御电子钥匙 2.3 安装“联想网御2000管理员登录”程序
2.4 进入“联想网御2000管理员登录”程序 2.5 认证、登录防火墙的管理界面

7 2.初次登录防火墙的管理界面 2.1 准备工作 接通防火墙电源，开启防火墙 选用一台带USB接口、以太网卡和光驱的PC机 作为
防火墙的管理主机，操作系统应为Window98/ 2000/XP 使用随机提供的交叉线，连接管理主机和防火墙的 eth1网口 网线连接好，同时将管理主机的IP地址改为 后，即可从管理主机ping通防火墙（默认地址 ）。如不通请检查网线连接、管理主机地址、防火墙状态 将管理主机的IP地址改为 （防火墙出厂 时默认指定的管理主机IP）

8 *注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。
2.初次登录防火墙的管理界面 2.2 安装网御电子钥匙 将随机光盘放入管理主机的光驱，进入随机附带的光盘的key 目录，执行该目录下的INSTDRV，提示“退出请重新插锁”， 则表示已正确安装完网御电子钥匙的驱动程序 将网御电子钥匙插入管理主机的USB口，管理主机会提示 发现新硬件，并自动进行驱动程序的安装 *注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。

9 2.初次登录防火墙的管理界面 2.3 安装“联想网御2000管理员登录”程序 在管理主机上，运行随机光盘key目录下的
AdminSetup.exe程序根据提示进行安装。安装结束 后，会在桌面创建一快捷方式 ，同时出现下面窗口： 再次登录直接执行快捷方式即可

10 2.初次登录防火墙的管理界面 2.4 进入“联想网御2000管理员登录”程序 启动“联想网御2000管理员登录”程序，程序将提示
用户输入PIN口令，首次使用默认PIN为“ ”， 通过后弹出管理员身份认证对话框，如下图： PIN值建议不要进行更改，如更改一定要记住！ PIN值若连续15次输入错误，网御电子钥匙将锁死，只能求助我公司进行更换。 强调：端口不要进行更改、防火墙ID不可变 1. 电子钥匙的用户PIN值要作为绝密保存，不能胡乱试 2. 点击“连接”，立即提示“连接防火墙失败！”时，可能是防火墙IP错或网络连接有问题 3. 点击“连接”，长时间后提示“连接防火墙失败！” ，可能是端口号错，端口号必须为9999，请不要更改 4. 点击“连接” ，立即提示“认证失败！错误的用户名/密码”时，检查用户名和密码，默认分别是admin和admin123 5. 防火墙ID不可更改，每一个电子钥匙只能管理对应的防火墙

11 2.初次登录防火墙的管理界面 2.5 认证、登录防火墙的管理界面
点击“连接”按钮 认证通过弹出“通过认证”对话框 打开管理主机的IE浏览器，浏览 ， 出现如下防火墙管理界面： 1.打开IE浏览器的菜单：工具→Internet选项→常规→Internet临时文件的设置，将“检查所存网页的较新版本”设为“每次访问该页时检查”。 2.如果浏览不成功，请先确定IE浏览器的菜单：工具→Internet选项→连接→局域网设置中没有使用代理服务器，然后检查前面的步骤是否无误。 进行总结： 最初登陆操作步骤： 1. 安装电子钥匙驱动程序（执行光盘KEY目录下INSTDRV.EXE），提示成功后将地址钥匙插入管理主机USB接口 2. 安装管理员登录程序（执行光盘KEY目录下的AdminSetup.exe) 3. 双击桌面的“联想网御2000管理员登录”图标，启用认证程序，输入PIN 4. 检查参数，点击“连接”，提示通过认证。 5. IE浏览 *注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此， 不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。

12 目 录 3. 更改防火墙的IP地址 3.5 进行系统保存 3.1 更改防火墙IP地址的原则 3.2 更改防火墙IP地址
3.3 重新登录防火墙前的工作 3.4 重新登录防火墙 3.5 进行系统保存 3.6 登录配置更改地址防火墙的管理界面

13 3.更改防火墙的IP地址 3.1 更改防火墙IP地址的原则 一般地，防火墙通常至少要有一个IP地址 防火墙至少其中的某个IP与相邻的三层设备
上，使管理主机可管理到 防火墙的IP地址应不与其他网络设备或PC的IP 地址冲突（即空闲的IP地址）

14 3.更改防火墙的IP地址 3.2 更改防火墙IP地址 给防火墙配置的多个IP地址是平等的，且这些地址是针对防火墙而不是针对防火墙的某个接口。
将“系统配置”下的“基本参数”页的防火墙和 管理主机地址进行修改后，点击此页的“确定” 按钮，出现以下页面： 引导学员注意防火墙和管理主机的地址 给防火墙配置的多个IP地址是平等的，且这些地址是针对防火墙而不是针对防火墙的某个接口。 *注：此时，管理主机对防火墙的管理已断开连接，如此时防火墙断电重启， 防火墙的配置会恢复到出厂状态。

15 在“防火墙管理员认证”程序界面，将电子钥匙
3.更改防火墙的IP地址 3.3 重新登录防火墙前的工作 改变管理主机的IP地址为 ， 子网掩码为 在“防火墙管理员认证”程序界面，将电子钥匙 内的防火墙IP直接改为 ，并“保存”

16 3.更改防火墙的IP地址 3.4 重新登录防火墙 重新认证 认证通过后，打开IE浏览器，浏览

17 3.更改防火墙的IP地址 3.5 进行系统保存 到“系统工具”——“系统保存”页，点击 “系统保存”的“确定”按钮，完成对防火墙IP
地址的修改。 *注：如不进行系统保存，防火墙出现断电重启时，防火墙的配置 会恢复到出厂状态。你修改防火墙IP地址的工作就会白做。

18 3.更改防火墙的IP地址 3.6 登录配置更改过的防火墙管理界面
管理时使用，即跨网段管理时使用），将电子钥匙进行了正确的安装 运行随机光盘key目录下的AdminSetup.exe程序，根据提示进行 安装。安装结束后，会在桌面创建一快捷方式（以下均以主防火墙为例） 启动认证程序，程序将提示用户输入PIN口令，出现认证窗口 点击“连接”, 认证通过后，不要关闭认证窗口 打开IE浏览器，浏览 出现防火墙管理界面后，进行防火墙的配置 配置完成后，在“系统工具”——“系统保存”页，点击 “系统保存”的“确定”按钮，对配置进行保存

19 目 录 4.串口命令行管理防火墙 4.1登录防火墙串口命令行管理界面前的工作 4.2登录防火墙串口命令行管理界面 4.3串口命令行命令介绍
4.4重要命令的说明

20 4.串口命令行管理防火墙 4.1登录防火墙串口命令行管理界面前的工作 当系统工作不正常，并且不能通过网络正常
管理防火墙时，此时，可以通过串口登录到防 火墙，并对防火墙进行配置。 使用随机所附的串口线，将防火墙的串口2与一 台装有超级终端的个人计算机的串口连接起来。 “系统工作不正常”——指网管忘记防火墙和管理主机的地址等情况 设置超级终端的波特率：19200；数据位：8； 奇偶校验：无；停止位：1；流量控制：硬件

21 4.串口命令行管理防火墙 4.2登录防火墙串口命令行管理界面 建立连接后（出现AntiCracker2000V2.0 login：提示符），
输入正确的帐号和密码，就能够登录防火墙，进入防火墙命令行 方式。防火墙出厂时，默认的串口管理员帐号和密码分别为： admin/admin123

22 4.串口命令行管理防火墙 4.3串口命令行命令介绍 使用help命令可显示在命令行状态可以使用的 命令列表。目前可用命令包括：
Arp、block_ip、chid、 clock-syn、 date 、dns、exit、help、 ifconfig、 init-admin、init-fw 、mipcfg、netstat、 ping、PPPAdmin、route、rcs-policys、 SSHAdmin、sysmail、 tcpdump

23 4.串口命令行管理防火墙 4.4重要命令的说明 ifconfig 本命令用于显示防火墙的IP设置情况
init-fw 本命令将系统所有配置恢复为出厂的默认设置。 注意：这是一个较危险的命令。请在将用户配置导出后在使用本命令，以备恢复用户配置。 mipcfg 本命令用于显示和设置管理主机IP。 mipcfg –D 显示管理主机IP设置 mipcfg –S 设置管理主机IP为 最好直接进行演示 rst_policys 用于清除防火墙规则和恢复防火墙默认规则 rst_policys –C 清除防火墙规则 rst_policys –R 恢复防火墙默认规则 ping 本命令用于检测网络连接状况。 常用用法：ping (测试防火墙 和 是否可达)

24 目 录 5. 典型网络环境防火墙配置 5.1防火墙配置的基本原则 5.2防火墙与其它网络设备的连接 5.3防火墙的路由
5.4典型网络未使用防火墙时的安全分析 5.5加入防火墙后的网络拓扑 5.6加入防火墙后的好处 5.7防火墙的地址 5.8网络访问安全要求 5.9防火墙的简单配置 5.10 较复杂典型网络分析

25 5.典型网络环境防火墙配置 5.1防火墙配置的基本原则 制定安全策略的一般原则： 外部任意用户可以访问公开服务器
让合法用户合理利用网络资源 使网络免受已知风险 安全与方便之间选择一个平衡点 制定安全策略的一般原则： 外部任意用户可以访问公开服务器 外部授权用户可以访问内部网络 公开服务器只应是能被访问 内部网络用户可以访问外部网络和公开服务器 部分内部用户在授权后方可访问外部网络

26 5.2防火墙与其它网络设备的连接 5.典型网络环境防火墙配置 防火墙----交换机、HUB ：直通线（普通网线）
防火墙----PC、笔记本、路由器：交叉线 *注：随机提供的网线是交叉线 强调将防火墙的以太端口看成普通主机的网口进行相应的连接即可。

27 5.典型网络环境防火墙配置 5.3防火墙的路由 默认网关 默认网关的作用：防火墙在无法决定该往哪里转发
IP包的时候，将把IP包转发到缺省网关。 配置默认网关的原则：默认网关应该是防火墙连接外网 的下一跳地址。如防火墙连接到外网的下一个设备是路由器， 则默认网关应设置为与防火墙连接的路由器接口的IP地址。 静态路由 当防火墙隔离的内网使用了路由器或三层交换机等三层设 备的路由功能的时候，需要考虑配置静态路由。

28 5.4典型网络未使用防火墙时的安全分析 5.典型网络环境防火墙配置 代理服务器经常受到攻击，并以此为跳板攻击内部网络
公开服务器需要进行隐藏，增加安全性 需要增加内网用户访问公网的速度 …… 内部主机通过proxy server代理访问互联网 Web server提供web发布 结论：需增加专用的网络安全设备（防火墙）对现有网络进行保护

29 5.典型网络环境防火墙配置 5.5加入防火墙后的网络拓扑

30 5.典型网络环境防火墙配置 5.6加入防火墙后的好处 内部用户可以通过防火墙做NAT方式防火墙Internet，
访问速度加快，同时可以隐藏内部的网络结构 通过防火墙做反向NAT，Internet用户可以正常的访问服务器 区服务器提供的特定服务，并且可以隐藏网络结构，增加 了对服务器的保护 将服务器与内部主机通过防火墙进行隔离，可以避免由服务器 到内部主机发起的攻击限制内部主机对服务器的访问权 限，可以防止内部对服务器可能发生的破坏 ……

31 5.典型网络环境防火墙配置 5.7防火墙的地址 10.0.14.250/24 作为内部主机的网关
/ 作为内部主机的网关 / 作为web server对外公开的地址 / 作为内部主机NAT访问Internet的公网地址 防火墙的默认网关： 如果防火墙只使用一个公网地址也是可以的！

32 5.典型网络环境防火墙配置 5.8网络访问安全要求 局域网管主机地址是10.0.14.249，同时管理防火墙和web 服务器
允许局域网主机访问互联网任意主机，访问的服务不作限制 允许互联网主机通过 其它访问均禁止

33 5.典型网络环境防火墙配置 5.9防火墙的简单配置 防火墙添加的“安全规则” 防火墙添加的“反向NAT”规则
注意： 1.局域网主机不能通过http：// 访问web服务器 2.“安全规则”和“反向NAT”是并列的， “反向NAT”添加之后“安全规则”不用添加，并且优先于“安全规则”中的规则。 规则匹配的原则： 1、规则遵循第一匹配原则 2、规则要遵循一致性 3、防火墙未允许的均禁止 防火墙策略配置应遵循：完备性、正确性、一致性 *注：添加规则之后，点击“规则生效”，全部规则立即生效。进行系统 保存，防火墙的简单配置完成。

34 5.典型网络环境防火墙配置 5.10较复杂典型网络分析 防火墙如何布置？ 防火墙添加哪些规则？ 注意：
1.局域网主机不能通过http：// 访问web服务器 2.“安全规则”和“反向NAT”是并列的， “反向NAT”添加之后“安全规则”不用添加，并且优先于“安全规则”中的规则。 规则匹配的原则： 1、规则遵循第一匹配原则 2、规则要遵循一致性 3、防火墙未允许的均禁止 防火墙如何布置？ 防火墙添加哪些规则？

35 目 录 6. 防火墙其它功能的介绍 6.1管理防火墙的方式 6.2集中管理功能 6.3远程支持功能 6.4代理服务功能
6.5支持非TCP/IP协议和VLAN协议 6.6支持用户认证、时间控制、流量控制 6.7支持MAC与IP地址的绑定 6.8邮件过虑功能 6.9 URL过虑功能 6.10 入侵检测功能 6.11 双机热备功能

36 6.防火墙其它功能的介绍 6.1管理防火墙的方式 网御电子钥匙web管理 串口web管理（com1） 串口命令行管理（com2）

37 6.防火墙其它功能的介绍 6.2集中管理功能 联想网御集中管理系统分为两个部分。一部分是位于防火墙内的代理引擎，可通过防火墙的配置管理界面进行配置；另一部分是位于集中管理主机（集中管理站）的集中管理软件，用于设备发现、性能监控等功能；两部分相互协作完成对防火墙的安全集中管理功能。 当管理员希望通过集中管理方式管理联想网御2000防火墙时，必须先在防火墙的集中管理界面中进行集中管理基本参数配置，包括：防火墙物理位置、管理员联系方式、管理主机IP地址、内存利用率门限、CPU利用率门限、文件系统利用率门限和Trap目的地址列表。

38 6.防火墙其它功能的介绍 6.3远程支持功能 防火墙的实际应用中，当用户需要做高级技术支持时，如果技术支持人员不在用户现场，可以启用“远程支持”功能，既方便、快捷又经济、安全。由于“远程支持”功能采用安全协议SSH进行防火墙的管理，可保证网络上传送的管理信息被加密，而不被内部或外部用户嗅探或攻击。 按“远程支持”方式分类，本防火墙提供：“远程拨号+远程SSH安全管理命令行方式”和“远程SSH安全管理命令行方式”。

39 6.防火墙其它功能的介绍 6.4代理服务功能 提供应用级透明代理功能，用户可选择需要启动的代理类型（HTTP、FTP等），如果有自定义服务，可添加自定义代理服务类型。 代理服务器在应用层工作，它位于真正的客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意攻击也就很难触及到企业内部网络系统。其优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的恶意入侵和病毒都十分有效。

40 6.防火墙其它功能的介绍 6.5支持非TCP/IP协议和VLAN协议 防火墙允许IPX/NetBIOS等非TCP/IP协议包通过。 注意：
如果网络使用的是TCP/IP协议来支持NetBIOS协议，只需要制定相应的安全规则 （放开137、138的UDP端口和139的TCP端口）就能保证网络邻居的正常使用。

41 6.防火墙其它功能的介绍 6.6支持用户认证、时间控制、流量控制 绑定内部网的IP地址与MAC地址，防止地址欺骗。
提供过滤规则的时间域设定，防火墙管理员在定义好一条规则后，能够指定这条规则的启动、生效、关闭的时间域。 认证功能的简介： 防火墙为包过滤和透明代理提供了认证功能；管理员可以设定某些包过滤规则或代理服务仅能被系统的认证用户使用，达到有效控制网络资源使用的目的。用户在使用需要认证的包过滤服务或代理服务前，必须首先使用认证客户端软件向防火墙提出认证请求。同时，管理员必须在安全规则中为内部网段添加允许其访问防火墙认证服务端口的规则，该网段的机器才能使用防火墙的认证服务。 本认证模块主要被设计用于增强从内网访问外网时的控制，不适用于作从外网访问内网的控制，其主要功能包括： l                       认证功能 用户通过定制的客户端软件，可以使用电子钥匙自动认证或用户手动认证，向服务器证明自己的身份。只有当登录用户成功证明自己身份，该用户才可以成为系统的认证用户，从而可以使用认证用户才能使用的网络服务。 l                       支持本地认证或RADIUS认证 可以使用本地认证服务器，或者第三方的标准RADIUS认证服务器。使用RADIUS时，支持RADIUS的审计功能。 l                       系统管理员管理功能 系统管理员可以通过WEB浏览器管理认证服务器，含：认证服务器参数的设置，增加/删除/修改本地组和用户；锁定/解除锁定特定的组或用户；设定需要认证的包过滤或透明代理规则。 当防火墙使用本地认证服务器时，还可以提供 l                       流量和时间控制功能 可以限定用户能使用的网络流量。当用户当前已经使用的流量超过该值时，用户将无法登录。 可以限定用户能使用网络的时间。当用户当前已经使用的时间超过该值时，用户将无法登录。 每个认证用户的使用的时间和流量均被记录在系统日志中。 l                       修改密码 用户可以在认证的同时，通过客户端软件修改自己的密码。 l                       组管理功能 每个用户只能属于且必须属于一个组，且该用户的默认属性由组的属性确定。 本章将首先介绍用户认证模块的管理，接着介绍需要使用的认证的安全规则（包过滤和透明代理）的配置，以及介绍客户端软件的使用，最后介绍对用户认证在安全性方面的考虑。 注意： 用户通过认证后，如果不断开和服务器的连接，最多可以不间断使用网络约2天。

42 6.防火墙其它功能的介绍 6.7支持MAC与IP地址的绑定
传统上认为计算机网络的安全主要应防备外部的入侵，但现在的实际情况是内部的破坏及信息窃取同外部的入侵一样是网络安全应防备的大的环节。针对这一问题，将IP地址与MAC地址进行绑定，可以防止内部IP地址欺骗。如，当有规则允许IP1访问，同时绑定了IP1与MAC1，此时MAC2主机若将其IP2为IP1，则不能利用IP1允许访问规则进行访问，这样就有效保证了基于IP的安全规则的正确实施。 管理员绑定IP与MAC地址有两种方式： 1．通过手工输入IP与MAC地址的方式进行绑定，但不允许手工将组播地址和防火墙地址绑定。 2．让防火墙自己学习得到目前流经防火墙的数据包中的IP与MAC地址，然后由管理员选择绑定。管理员可以选择学习流经哪几个物理网卡的数据包。学习一段时间后可以选择停止。防火墙内部会维护一张学习到的IP/MAC地址对，其中组播地址和防火墙地址是不会列在学习到的IP/MAC地址表中。 注意： 不要将路由器或启用三层路由功能的交换机的IP/MAC地址做绑定，可能会造成网络不通。

43 6.防火墙其它功能的介绍 6.8邮件过虑功能 邮件是人们在网络上最常用的信息交流方法之一，然而目前电子邮件病毒十分猖獗，而且存在大量的垃圾邮件。所以，将邮件病毒和垃圾邮件过滤掉是必需的。我们可以根据邮件的特征来过滤邮件，比如根据邮件主题，邮件内容，甚至是有些已知的专门发垃圾邮件的地址。邮件过滤的功能是邮件代理的一部分，必须使用SMPT和POP3代理才能使用邮件过滤的功能。

44 6.防火墙其它功能的介绍 6.9 URL过虑功能 目前Internet上鱼龙混杂，存在着大量不健康或者反动的站点。根据URL地址对数据包进行过滤，是数据过滤的一种常用且实用的方法，可以有效实现对一些黄色、反动站点或信息的过滤。此方法在一定程度上也可以防范一些黑客攻击。 联想网御2000 防火墙URL过滤模块被设计用于根据URL地址对数据报进行过滤，不仅为透明代理提供URL过滤功能，还同时为包过滤服务提供了URL过滤功能。管理员可以根据某一时间段的实际需要设定相应时间段内的URL过滤规则集，实现灵活的URL过滤时间控制，满足政府、企业、ICP网站服务商等用户对多种URL信息进行过滤的需要。本章主要介绍防火墙URL过滤模块的功能特点，管理和使用方法。 本URL过滤模块主要功能特点包括： l                       URL过滤功能 URL过滤模块独立于用户所启用的安全服务。可以同时为包过滤服务和透明代理服务提供URL过滤功能，为用户全面隔离不良网站信息。支持对中文域名的过滤。 l                       URL过滤时间控制 管理员可以根据不同时间段内的实际需要设定不同的URL过滤规则集，实现灵活的URL过滤时间控制，以满足政府、企业、ICP网站服务商等用户对多种URL过滤方案的需要。 l                       基于黑名单/白名单的安全过滤策略 根据安全级别的高低，提供黑/白名单两种URL过滤安全策略。当用户设置黑名单时，首先允许访问所有的URL，只对黑名单中定义的URL进行封杀；当用户设置白名单时，首先禁止访问所有的URL，然后只允许访问白名单中的URL。 l                       防范URL入侵攻击 为用户预先提供URL入侵攻击特征串信息库，可以有效防范基于URL访问的入侵攻击，比如，可以封杀利用IIS漏洞进行的URL入侵攻击。 l                       提供基于内容分类的URL过滤管理 根据用户所需过滤内容，内置3种过滤类型库，并且提供自定义规则库，用户可以根据实际情况随意组合，方便管理，做到量体裁衣，突出重点。 l                       深层的URL访问日志记录 深层的URL访问日志记录功能，独有的日志分析和提取技术，能够保证在不影响防火墙工作性能的前提下，向系统管理员提供细致、全面的URL访问记录

45 6.防火墙其它功能的介绍 6.10 入侵检测功能 作为监视手段，入侵检测是网络安全的重要组成部分。对于已知的攻击方法，入侵检测提供了一种防范手段，能及时的将黑客拒之门外。 该部分包括以下三个配置界面：基本设置、自动响应、检测结果。 联想网御2000防火墙的入侵检测模块的功能特点如下： ★ 实时网络数据流监控 实时监视进出防火墙的所有通信流，分析网络通信会话轨迹。信息收集与分析同步进行，快速反应，一旦发现可疑信息，及时报警并响应。 ★ 网络攻击模式匹配 预置已知攻击模式规则库，能检测六百余种攻击行为，最大限度地防范黑客的入侵和内部用户的非法使用。规则库可进行在线升级，确保能够识别最新的黑客攻击手段。 ★ 针对入侵行为的实时自动响应 能够自动响应入侵事件，除了报警和写日志外，可以做到实时阻断可疑连接，同时还可以和其它厂商的IDS产品如“天阗”、“天眼”IDS实现联动，威力强大。 ★ 灵活的检测策略设置 内置十五种检测策略，用户可以随意组合使用，做到量体裁衣，突出重点。 ★ 支持用户添加自定义检测规则 用户可以根据自己的实际情况和感兴趣的安全事件添加自定义检测规则，体现个性化服务。 ★       支持高级用户调整检测规则 管理员可根据IDS保护的网络的具体情况，调整检测策略中的检测规则，更好的提高入侵检测的效率。 ★ 全天候报警方式 除了防火墙面板提供的入侵检测报警灯外，还可自动将报警信息传送到管理员的电子邮箱，显现在移动通讯设备上，实现离线监控。

46 6.防火墙其它功能的介绍 6.11 双机热备功能 联想网御2000防火墙的双机热备功能主要适用于要求高可靠性的用户环境，如银行、证券电子政务等。在应用中，采用两台热启的防火墙来配置双机热备功能，其中一台为主防火墙，是工作主机，另一台为从防火墙，作为主防火墙的热备主机，随时检测主防火墙的工作状态，当主防火墙出现故障（如系统崩溃、硬件损坏、掉电等），从防火墙可以及时切换为主防火墙，自动接替主防火墙的一切工作。

47 目 录 7.如遇到问题怎么办 7.1保存配置信息——会使你成为解决问题的专家 7.2充分利用日志信息——会使你“柳岸花明”
7.3随机手册——你的得力助手 7.4联想专家热线——你永远可信赖的朋友

48 7.1 保存配置信息——会使你成为解决问题的专家
7.如遇到问题怎么办 7.1 保存配置信息——会使你成为解决问题的专家 及时系统保存 配置时经常地进行系统保存，将使我们的防火墙不至 于因断电等原因丢失已配置的信息 规则的导入导出 规则的导入导出将提高配置效率和保存并使用特定的 安全策略。如在模块升级后由于规则将恢复到出厂状 态，此时使用此功能将能快速恢复配置信息 书写调试文档 将调试人、网络拓扑图、加入规则的原因、遗留问题 等信息进行详细的记录，形成文档备案

49 7.2 充分利用日志信息——会使你“柳岸花明” 7.如遇到问题怎么办 在调试防火墙的过程中，详细阅读防火
墙的日志信息。及时将应允许通过防火墙的 数据在安全规则上体现，使其正常通过防火 墙

50 7.如遇到问题怎么办 7.3 随机手册——你的得力助手 如在使用联想网御2000防火墙过程中遇到 问题，请仔细阅读防火墙的《配置使用手册》
和《功能应用手册》

51 7.如遇到问题怎么办 7.4联想专家热线——你永远可信赖的朋友 遇到问题，请不要自行拆卸防火墙，建议与
我们的技术支持人员 取得联系，以获得最佳解 决方案。 咨询电话： 电话是7×24小时服务