(强烈推荐)联想网御powerv培训教材

联想网御防火墙PowerV安装调试培训目录1PowerV防火墙产品介绍2PowerV登录防火墙管理页面3PowerV防火墙界面介绍4PowerV防火墙的配置管理5PowerV典型应用环境6PowerV实验方案防火墙产品介绍百兆产品外观注：Power-V（203/204）-(303/304/306/308)-(403/404/406/408)系列产品采用标准1U机箱Power-V3000系列产品采用2U机箱防火墙产品介绍百兆前面板介绍从左到右是Console和Aux，用于串口命令行登录和远程支持PPP接入。POWER：电源指示灯START：读写状态指示灯HA1和HA2：Ha指示灯防火墙启动时，四个灯全部亮起，启动后，依照各自的作用分时亮。两个HA状态灯：HA主节点：两个灯全亮HA从节点：HA1灯亮，HA2灭HA故障节点：HA1灭，HA2亮未启用HA状态：两灯全灭扩展接口，依次为fe5，fe6，fe7，fe84个标准10/100Base-TX(RJ45)接口，从左到右依次为fe1，fe2，fe3，fe4目录1PowerV防火墙产品介绍2PowerV登录防火墙管理页面3PowerV防火墙界面介绍4PowerV防火墙的配置管理5PowerV典型应用环境6PowerV实验方案2、登录防火墙管理页面•2.1安装调试前的工作•2.2安装调试的准备工作•2.3管理方式简介•2.4登录防火墙2.1安装调试前的工作拆箱检查请按照装箱单的提示进行检查机箱内所有的配件：防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线）、串口线、安装支架、保修卡*注：如发现有问题，请及时与你的供货商进行沟通解决。2.1安装调试前的工作前期工作一、第一时间内填写保修卡的回执卡，并邮寄回联想网御公司，以便于成为联想网御公司永远服务的对象。二、在线服务网站联想信息安全网站为（原网站)用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档，并且提供在线问答等特色服务。三、进行产品注册，请您详细填写用户名、通信地址、联系电话、E－mail地址等信息，以便于将新的技术成果迅速及时的传递给您！一、接通防火墙电源，开启防火墙(听到“滴滴滴)后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机，操作系统应为Window98/2000/XP/2003(暂不支持linux、unix)三、使用随机提供的交叉线，连接管理主机和防火墙的eth1网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200（防火墙出厂时默认指定的管理主机IP）2.2安装调试的准备工作2.3管理方式介绍支持多种管理方式；•串口命令行管理-常用于灾难的恢复工作•Web页面管理-常用于正常管理•ssh远程管理-常用于管理调试•集中管理-方便管理•PPP远程拨号接入-专线远程拨入用户名/密码:administrator或者admin/admin1232.3管理方式介绍串口命令行管理方式2.3管理方式介绍Web页面管理方式2.4登录防火墙A.电子钥匙认证在证书还没有导入防火墙之前，第一次管理防火墙需要电子钥匙。需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。通过9999端口登录。在电子钥匙认证的管理工作状态下，进而导入防火墙证书，并“启用”，以便为下次免插电子钥匙的情况下直接登录防火墙。B.证书认证需要导入IE浏览器证书，配合机子内部已经导入的防火墙证书，可通过8889端口登录。(IE证书与防火墙证书要一一对应，防火墙证书支持页面与串口两种方式。认证方式•安装电子钥匙驱动程序将随机光盘放入管理主机的光驱，进入随机附带的光盘的key目录，执行该目录下的INSTDRV.exe，提示“退出请重新插锁”。•则表示已正确安装完网御电子钥匙的驱动程序。*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。2.4登录防火墙电子钥匙认证2.4登录防火墙点击“退出请重新插锁”后装电子钥匙插入管理主机USB接口中，XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。电子钥匙认证•在管理主机上，运行随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令•首次使用默认PIN为“12345678”，2.4登录防火墙电子钥匙认证将交叉线连接管理主机和防火墙的FE1口。管理主机IP一定设为10.1.5.200,通过后弹出管理员身份认证对话框,“防火墙IP”为10.1.5.254,点击“保存”，登录点“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此，不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。2.4登录防火墙电子钥匙认证通过认证程序后，在IE中输入，默认的用户密码administrator。2.4登录防火墙电子钥匙认证登录方式2.4登录防火墙电子钥匙认证登录方式一、使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。二、导入IE浏览器证书。2.4登录防火墙证书认证方式登录在串口下使用命令把证书导入防火墙并启用，使用SecureCRT软件并执行下面命令1、rz（把证书导入防火墙）2、admcertaddadmincertfilename（添加防火墙证书）3、admcertonadmincertfilename（启用证书）2.4登录防火墙证书认证2.4登录防火墙证书认证串口下导入防火墙证书过程如下图2.4登录防火墙导入防火墙证书导入证书后选择生效选项1.CA中心证书----CACert.pem2.安全网关证书----leadsec.pem3.安全网关密钥----leadsec_key.pem4.管理员证书----admin.pem保存配置证书生效2.4登录防火墙导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“hhhhhh”，当出现导入成功后点击确定完成。2.4登录防火墙当防火墙与IE证书均导入成功后，我们在管理主机打开IE浏览器并输入https://防火墙ip:8889出厂默认IP为10.1.5.254,出现“选择数字证书”提示框提示后点击“确定”2.4登录防火墙证书认证2.4登录防火墙证书认证出现安全警报后点击“是（Y)”就会出现防火墙登录页面XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉：如下图2.4登录防火墙证书认证用户名密码都为:administrator目录1PowerV防火墙产品介绍2PowerV登录防火墙管理页面3PowerV防火墙界面介绍4PowerV防火墙的配置管理5PowerV典型应用环境6PowerV实验方案3防火墙界面介绍管理首页各级子菜单3防火墙界面介绍管理配置-管理主机3防火墙界面介绍管理方式设定3防火墙界面介绍网络配置：3防火墙界面介绍加入连接网络的各进出IP，若为不同网段，工作方式为：路由模式，若两边为相同网段，则为透明模式网桥设备3防火墙界面介绍VPN设备3防火墙界面介绍注意，这里的VPN设备绑定后，不能在弹出的页面启用，需要回到上级页面处，在是否启用处点生效。拨号设备3防火墙界面介绍物理设备3防火墙界面介绍这里可以设定是否被管理，是否可以PING，等功能。网桥设备3防火墙界面介绍拨号设备3防火墙界面介绍域名服务器3防火墙界面介绍静态路由3防火墙界面介绍安全选项3防火墙界面介绍默认全通/全禁包过滤规则3防火墙界面介绍端口映射规则3防火墙界面介绍IP映射规则3防火墙界面介绍NAT规则3防火墙界面介绍代理服务3防火墙界面介绍定义地址列表3防火墙界面介绍定义地址组3防火墙界面介绍定义地址池3防火墙界面介绍定义服务器地址3防火墙界面介绍定义服务3防火墙界面介绍定义动态服务3防火墙界面介绍ICMP服务3防火墙界面介绍定义基本服务3防火墙界面介绍定义服务组3防火墙界面介绍系统监控3防火墙界面介绍目录1PowerV防火墙产品介绍2PowerV登录防火墙管理页面3PowerV防火墙界面介绍4PowerV防火墙的配置管理5PowerV典型应用环境6PowerV实验方案安全规则•包流经规则的顺序：应用代理，端口映射，IP映射，过滤规则，地址转换•增加源端口，源MAC地址，URL过滤，网页关键字过滤，入网口，出网口，时间调度，长连接等选项代理规则端口映射规则IP映射规则包过滤规则NAT规则流入流出3防火墙的配置管理端口映射3防火墙的配置管理IP映射3防火墙的配置管理注意：如果源地址包含管理主机，公开地址是防火墙的管理IP，该管理主机将不能管理防火墙。包过滤3防火墙界面介绍NAT3防火墙的配置管理注意：设置一条NAT规则，必须再设置一条相应的包过滤规则才能生效。目录1PowerV防火墙产品介绍2PowerV登录防火墙管理页面3PowerV防火墙界面介绍4PowerV防火墙的配置管理5PowerV典型应用环境6PowerV实验方案fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式三网口混合模式3典型应用环境三网口多VLAN环境3典型应用环境端口映射应用3典型应用环境网关到网关VPN局域网-2局域网-1192.168.1.0/24fe1192.168.1.254fe3202.121.250.2路由防火墙-1防火墙-2fe3202.120.2.101fe1192.168.2.254192.168.2.0/24•拓扑图是局域网-局域网的应用环境。在这种应用环境下局域网-1和局域网-2的用户可以通过防火墙-1和防火墙-2之间建立的通信隧道访问到对方网络的任意机器。如上图，局域网-1由防火墙-1保护，局域网-2由防火墙-2保护。图中红线条表示数据在两防火墙之间传输时是经过加密和认证的。3典型应用环境局域网路由fe3202.120.2.101fe1192.168.1.254192.168.1.0/24INTERNET已安装客户端的PC219.160.2.153防火墙局域网由防火墙保护,防火墙的fe1工作在路由模式,它的fe3口和Internet连接,处于Internet上的PC已安装客户端软件3典型应用环境VPN客户端到网关目录1PowerV防火墙产品介绍2PowerV登录防火墙管理页面3PowerV防火墙界面介绍4PowerV防火墙的配置管理5PowerV典型应用环境6PowerV实验方案3典型应用环境实验实验要求：1、内网&DMZ通过防火墙NAT访问模拟外网的HTTP服务。2、内网&外网只能通过公网地址访问DMZ区的FTP服务。实验配置：1、防火墙fe1.fe2.fe3工作在路由模式，Fe1ip:211.100.11.152/24、fe2ip:192.168.0.1/24、Fe3ip:10.10.10.10/242、添加防火墙静态路由:源地址0.0.0.0目的0.0.0.0下一跳211.100.11.1533、添加端口映射源地址0.0.0.0,源地址转换为不转换，公开地址选择211.100.11.152内部地址10.10.10.11/24（事先在资源定义里定义)内部服务与外部服务均选择ftp.4、NAT规则源地址内网与DMZ，目的地址不指定，动作源地址转换/转换地址为211.100.11.1525、包过滤规则允许内网/dmz访问外网80,允许内网访问dmz21,外网访问dmz21,允许icmp规则。其它全部禁止3典型应用环境实验实验步骤：1.防火墙正常认证登陆。2.配置网络接口地址。3.配置各种资源（PC地址、服务器地址）。4.配置规则（NAT转换、端口影射、包过滤）。3典型