联想网御LSPE-FW技术培训V2.0

1联想网御PowerV防火墙案例培训2011年6月王耀宇（软件版本：3.4.6.8）Powerv-1428硬件架构•1.硬件采用专用架构平台，采用专用的处理芯片，具有自主设计硬件架构的能力•2.标准1U机箱，标配4个SFP插槽，8个10/100/1000BASE-T端口，标配单电源2Powerv-1428性能吞吐量2.5Gbps；最大并发连接数200万；每秒新建1.7万/秒；VPN隧道数5000条341.电子钥匙、证书、串口登录2.透明接入3.路由/NAT模式4.VLAN环境接入5.静态路由6.多默认路由负载均衡7.IP映射、端口映射8.包过滤策略9.带宽管理功能10.DHCP功能目录511.绿色上网模块12.连接管理功能13.双系统功能14.HA之双机热备15.HA之会话保护16.防火墙注意事项目录6案例一电子钥匙、证书、串口登录7联想网御防火墙Web登陆认证数字证书电子钥匙案例1.电子钥匙、证书、串口登录81.双击随机光盘ikeydriver目录下的INSTDRV.EXE，自动安装电子钥匙驱动。切记：安装驱动前不要插入USB电子钥匙。电子钥匙认证2.随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令，首次使用默认PIN为“12345678”。案例1.电子钥匙、证书、串口登录9在IE地址栏输入等待约十秒左右,弹出一个一个对话框提示接受证书，选择接受即可出现联想网御防火墙登录画面,密码默认为leadsec@7766。案例1.电子钥匙、证书、串口登录电子钥匙登录10问题：电子钥匙认证问题处理方法:电子钥匙连接防火墙时提示“认证失败，请检查IP地址及网络”,处理方法:防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成,更改管理主机ip。案例1.电子钥匙、证书、串口登录11问题：密码错误问题•用户登录3.4.6.8版本防火墙web界面如果连续输入错误的用户名密码7次，3.4.6.X以前版本密码输错3次锁定。防火墙系统将锁定该用户直到防火墙重启。•防火墙登陆使用的USBkey使用pin码连续输入错误达13次，该USBkey不能使用。案例1.电子钥匙、证书、串口登录12问题：帐号密码问题案例1.电子钥匙、证书、串口登录处理方法:若密码忘了，可以使用admin/leadsec#7766帐号临时登陆防火墙进行配置修改。若要修改忘记的密码只能联系客户中心。13数字证书认证1、把防火墙证书导入防火墙并启用。2、管理主机上导入IE浏览器证书。案例1.电子钥匙、证书、串口登录14数字证书认证—证书页面导入导入证书后选择生效选项第一步第二步案例1.电子钥匙、证书、串口登录15数字证书认证—命令行导入（以使用SecureCRT软件）为例LenovoThemisSecurityGatewaythemisttySOthemislogin:administratorpassword:==========================================WelcometoLenovoThemisSecurityGateway==========================================acrz#上传命令acadmcertaddcacertCACert.pemfwcertleadsec.pemfwkeyleadsec_key.pemacadmcertaddadmincertadmin.pemacadmcertonadmincertadmin.pem#启用管理证书acconfigsave案例1.电子钥匙、证书、串口登录系统自带的超级终端无法使用rz命令上传文件16数字证书认证—证书导入导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“hhhhhh”，当出现导入成功后点击确定完成。案例1.电子钥匙、证书、串口登录17数字证书认证当防火墙与IE证书均导入成功后，我们在管理主机打开IE浏览器并输入，出现选择证书提示后点击“确定”画面。密码默认为leadsec@7766案例1.电子钥匙、证书、串口登录18管理主机防火墙出厂时默认的管理主机地址10.1.5.200，当接入一个新的网络环境中时，首先要进行管理主机的配置。3.4.5.X版本的管理主机支持子网掩码，3.4.2.7以前的版本管理主机只支持单个IP。案例1.电子钥匙、证书、串口登录一定不要添加0.0.0.0的管理主机19管理主机无法管理防火墙问题说明墙接口与默认管理主机不在同一网段；而管理主机列表中没有能管理墙的主机案例1.电子钥匙、证书、串口登录20配置管理方式•防火墙出厂时默认的管理方式有两种方式，在管理方式里可以增加远程SSH。•不要启用PPP接入功能。案例1.电子钥匙、证书、串口登录21案例二、透明接入22•透明接入多部署于拓扑相对固定网络，为了不改变原有网络拓扑，常采用此部署方式（防火墙本身作为网桥接入网络）。•按照此方式部署后的防火墙如出现软硬件故障，可以紧急将防火墙撤离网络，不必更改其他路由、交换设备的配置。案例2.透明接入透明接入—概述23C:192.168.1.100S:192.168.1.200Brg：192.168.1.254fe2fe3•透明接入模式防火墙配置需求：•防火墙配置的FE2\FE3口配置为透明模式。•允许工作站C192.168.1.100访问服务器S192.168.1.200的HTTP服务。•工作站C192.168.1.100不能访问服务器S192.168.1.200的其它服务。透明接入拓扑图案例2.透明接入24透明接入案例2.透明接入25STP未开启未绑定设备已启用透明接入案例2.透明接入26透明接入案例2.透明接入27透明接入案例2.透明接入28已启用已变成透明模式透明接入案例2.透明接入29透明接入变成透明模式的端口自动添加到绑定列表里面网络接口配置完成后，仍然需要添加相应的包过滤规则案例2.透明接入30透明接入案例2.透明接入31透明接入案例2.透明接入32至此，工作站192.168.1.100可以访问服务器192.168.200的HTTP服务透明接入案例2.透明接入33•防火墙与其它以太网设备连接时，如低端光纤收发器、低端ADSL路由器等，可能会出现链路层协商问题。表现为：网络延迟、数据包丢包、网络抖动等。•出现此类问题，可以将防火墙接口的链路工作模式由自适应强制为100M全双工、100M半双工、10M全双工、10M半双工并逐一下测试。如下图透明接入注意事项1案例2.透明接入34•如果防火墙部署在两台Cisco交换机之间，应提前向用户询问两台交换机之间的链路是否为TRUNK模式。如果是TRUNK，防火墙的相应接口应开启TRUNK功能。透明接入注意事项2案例2.透明接入35遵循正确的配置顺序：•首先启动桥设备。•然后在物理设备中将工作模式改为透明模式。如果不先启用桥，界面上会弹出如下出错信息：透明接入注意事项3报错信息案例2.透明接入36案例三、路由/NAT模式37•配置路由/NAT模式的防火墙多部署于网络边界，或者是连接多个不同网络,起到保护内网主机安全，屏蔽内网网络拓扑等作用。案例3.路由/NAT模式路由/NAT模式—概述38C:192.168.1.2/24S:192.168.2.2/24192.168.1.1/24fe1fe2•工作在路由/NAT模式下防火墙配置需求：•本案例拓扑为一个只有两个网段的小型局域网。•服务器192.168.2.2开放http服务。•允许工作站192.168.1.2访问服务器192.168.2.2的http服务•禁止工作站192.168.1.2访问服务器其它服务。192.168.2.1/24CilentAServerB路由/NAT模式(不做NAT转换)案例3.路由/NAT模式39案例3.路由/NAT模式路由/NAT模式(不做NAT转换)40案例3.路由/NAT模式路由/NAT模式(不做NAT转换)41网络接口配置完成后，仍然需要添加相应的包过滤规则，这样防火墙允许工作站192.168.1.2访问服务器192.168.2.2的http服务。案例3.路由/NAT模式路由/NAT模式(不做NAT转换)42•网络地址转换NAT为IETF定义标准，用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。•另外网络地址转换NAT经常作为一种网络安全手段使用，安全域内的机器通过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。NAT—概述案例3.路由/NAT模式43内网外网C:10.1.5.200fe3fe4internet10.1.5.254211.100.100.1S:211.100.100.2•防火墙工作路由/NAT模式。•内部客户PC需要通过防火墙访问internet上服务。•从防火墙外无法看到内部客户端的真实IP。案例3.路由/NAT模式路由/NAT模式(NAT转换)44路由/NAT模式(NAT转换)案例3.路由/NAT模式45路由/NAT模式(NAT转换)案例3.路由/NAT模式46路由/NAT模式(NAT转换)案例3.路由/NAT模式47案例3.路由/NAT模式网络接口、NAT规则配置完成后，仍然需要添加相应的包过滤规则，这样防火墙允许内部客户机10.1.5.200访问internet上的服务器。路由/NAT模式(NAT转换)48注意：NAT规则中一定不能添加any到any的nat规则，请查明用户网络中的内网地址到底是哪个网段，然后再根据这些网段为源地址添加nat规则。Any到any的nat规则会将进入防火墙的报文也进行地址转化，会对映射、vpn产生影响。即便你在端口映射和ip映射中选择了源地址不转换，但是如果你添加了any到any的nat规则，进入防火墙的报文的源地址还是会被转换。同时该规则还会将进入vpn隧道的报文进行地址转换，这样做的结果是vpn隧道可以建立起来当时隧道内通讯不通。（此时可以在nat规则的最前面添加nat的允许通过规则）案例3.路由/NAT模式49案例四、VLAN环境接入50案例4.VLAN环境接入•当上下游的交换机配置TRUNK，划分多个VLAN的环境。•防火墙可以接入不同VLAN，使不同VLAN间的PC可以正常通讯。•防火墙支持802.1Q和ISL两种VLAN协议。VLAN环境接入51案例4.VLAN环境接入防火墙fe3:192.168.1.1/24核心交换机vlan1vlan2vlan3trunkfe3_1:192.168.2.1/24fe3_2:192.168.3.1/24IP:192.168.1.0/24IP:192.168.2.0/24IP:192.168.3.0/24本案例需求：右图是一个具有三个VLAN的小型网络。防火墙上配置别名设备，访问策略设置为：允许VLAN1访问VLAN2。其他的访问都禁止。VLAN环境接入拓扑图52案例4.VLAN环境接入VLAN环境接入开启TRUNK功能53案例4.VLAN环境接入VLAN环境接入54案例4.VLAN环境接入VLAN环境接入添加第二个别名设备55案例4.VLAN环境接入VLAN环境接入网络接口配置完成后，仍然需要添加相应的包过滤规则，这样防火墙才能允许VLAN1访问VLAN2。56案例五、静态路由57静态路由案例5.静态路由内网外网222.111.1.1/24fe3fe4internet192.168.1.1/30C:172.16.1.2/24192.168.1.2/30172.16.1.1/24•防火墙工作路由/NAT模式。•内部客PC172.16.1.2需要通过防火墙访问internet上服务。•防火墙和客户机之间有一台路由器。•在防火墙上需要做回指路由保证客户机能访问internet。58案例5.静态路由静态路由59案