网御星云(联想网御)PowerV防火墙 -OSPF配置实例
Power V 防火墙OSPF配置实例
(3.4.3.8)
第1页
第2页
1.案例背景
Power V 防火墙具有OSPF 路由功能,并可以通过添加多个区域的方式与其他网络设备进行互联互通。
2.案例拓扑
192.168.29.1/24
内内
内内内内内
3.配置步骤
3.1 FW1配置
1、网络接口配置,配置fe3接口地址为192.168.29.1,配置fe4接口地址为10.0.2.246
2、策略配置,配置允许内网访问外网的包过滤规则。
3、OSPF路由配置
4.验证
以上操作之后就可以从防火墙上动态学习到路由器那边的路由,在OSPF路由监控里可以看到学习到的路由。
第3页
5.注意事项
在启动OSPF的时,如需修改网络配置,则须先停止OSPF功能。
防火墙如果有4个以上的网口,则只有前4个网口可以做OSPF接口。
防火墙做HA配置,主从墙切换后,从墙学习不到OSPF路由,要重新启动下OSPF功能。启动OSPF,一定不可以开启多播路由。
第4页
TIPTOP隔离网闸文件交换配置案例
TIPTOP隔离网闸文件交换功能配置案例 2009-4-17
版权声明 本手册中的内容是TIPTOP隔离网闸文件交换配置案例。 本手册的相关权力归深圳市利谱信息技术有限公司所有。手册中的任 何部分未经本公司许可,不得转印、影印或复印。 ? 2005-2007 深圳市利谱信息技术有限公司 Shenzhen Tiptop Information Technology Co., Ltd. All rights reserved. TIPTOP隔离网闸 文件交换配置案例 本手册将定期更新,如欲获取最新相关信息,请访问 公司网站: 您的意见和建议请发送至: 深圳市利谱信息技术有限公司 地址:深圳市福田区泰然工业园泰然四路210栋东座7B 电话:0 邮编:518040 传真:8 网址: 电子信箱:
目录 1 网络拓扑 (1) 2 客户需求 (1) 3 网络配置 (2) 3.1 内网网络端口一配置 (2) 3.2 外网网络端口一配置 (2) 4 网闸具体配置 (3) 4.1 需求一文件交换配置 (3) 4.1.1 交换模块配置 (3) 4.1.1.1 内网文件交换配置............................................错误!未定义书签。 4.1.1.2 外网文件交换配置............................................错误!未定义书签。 4.1.1.3 内网主机配置操作............................................错误!未定义书签。 4.1.1.4 外网主机设置操作............................................错误!未定义书签。 4.2 需求二实现内外网主机共享目录之间文件自动交换 (8) 4.2.1 实现方式一:文件共享同步 (8) 4.2.2实现方式二:文件自动收发 (10)
联想网御网闸(SIS-3000)配置过程
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200 ,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入:https://10.0.0.1:8889 3、输入用户名/密码:administrator/ administrator (超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:https://10.0.0.2:8889或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: FTP客户端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下
区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访 问网闸另一侧的真实服务器地址;外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务,无需配置网 闸服务端任务; 2)客户端添加一条路由,指向网闸;必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络 地址同网段 支持支持 网闸两侧网络 地址不同网段 支持支持 双机热备支持支持 负载均衡不支持支持 ◆硬件架构原理图如下 二、网闸主要配置抓图 2.1、内网配置抓图: ◆登陆界面
5.10网闸配置_配置安全通道
1.1 配置安全通道 ◆网络拓扑 FTP客户端 FTP服务端 ◆应用概述 如上图所示,今以FTP应用服务配置为例,其他应用服务类似(只要该C/S模式底层符合标准的TCP/UDP协议)。此应用要求实现内网FTP客户端主机通过安全隔离网闸安全地访问外网FTP服务器,通过安全通道模块达到对文件上传/下载的目的。该应用环境使用要点如下: 1、网闸内、外网络口各直连一台装有WindowsXP Professional系统的主机,与网闸外 侧相连的是FTP服务器(端口:21),与网闸内侧相连的是访问客户端主机; 2、今要求以透明和普通两种方式访问; 3、IP地址设置见网络拓扑图; ◆配置步骤 网闸WEB配置部分,下面以FTP应用为例展开叙述,其他应用与之类似,不再赘述。 1、配置网闸内侧任务,并启动服务 添加网闸内侧任务,如下图:
启动服务,如下图: 按下按钮,启动服务 2、配置网闸外侧任务,并启动服务 添加网闸外侧任务,仅对普通访问有效,如下图:
服务类型可选【tcp_any】;亦可 选【ftp】,但目的端口可不填。 启动服务,同上。 3、测试 针对普通访问,访问时如下图: 普通访问模式下,该 地址为网闸内侧地址 普通访问模式下,格式为: 用户名 针对透明访问,访问时如下图:
透明访问模式下,该地 址为真实FTP服务器地址 透明访问模式下,格式为:用户名 1、透明访问时,需配置默认网关或添加静态路由,详见《4.2.2 FTP访问》的“配置步骤”第4步; 2、支持日志访问; 3、支持一些动态端口应用服务,比如:ftp、tns、h.323等等; 4、支持源、目的端口范围; 5、不支持PPTP、IPSec、GRE、IGMP、IGRP及OSPF服务; 6、普通访问时,不支持服务器地址范围; 7、支持ping; 8、支持相同服务多服务器的应用模式; IE浏览器进行FTP访问; 1、配置客户端任务(针对普通访问和透明访问),并启动服务; 2、配置服务端任务(仅针对普通访问),并启动服务; 3、测试;
联想网御最终配置手册
联想网御防火墙配置手册 1 登陆方法 1.1 使用电子钥匙方式登陆防火墙 在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。 注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。 管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。(如下图所示) 选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。(如下图所示)
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。 1.2使用管理证书认证方式远程登陆防火墙 1.2.1远程登陆防火墙的条件 1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书” 页面上载防火墙证书。(附图1) 2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。(附图2) 3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。(附图3) 4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。打开“用 于管理”选项。(附图5) 附图1 说明:选择好相应的证书和密钥,点击“导入”即可。
联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
联想网御防火墙PowerV Web界面操作手册_4网络配置
第4章网络配置 本章主要介绍防火墙的网络配置,由以下部分组成:网络设备,域名服务器,静态路由,策略路由,UPnP服务器,DHCP服务器和HA(高可靠性)。 4.1 网络设备 联想网御防火墙PowerV可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。下面对各类设备的特点做一简要说明。 物理设备:防火墙中实际存在的网口设备,不能删除,也不能添加。增减网络接口硬件模块会自动在网络配置中显示出来,不需要手动操作。其中第一个物理设备是默认的管理设备,它的默认IP地址是10.1.5.254,这个地址允许管理,PING和TRACEROUTE。物理设备是其他设备的基础,如果增减网络接口硬件模块,与这个设备相关的其它设备都会受到影响,这一点需要特别注意。 VLAN设备:是一种在物理设备基础上创建的设备。与交换机的TRUNK口相联的防火墙物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。它可以工作在路由模式下,也可以工作在透明模式下。同一个物理设备上可以创建VLAN ID为0至4095的VLAN设备。同一物理设备上创建的不同VLAN设备,VLAN ID必须不同,用于接收和发送带有相应VLAN ID的数据包。不同物理设备上创建的VLAN设备的VLAN ID可以相同。 桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。启用此设备的防火墙相当于一个二层交换机,但它同时可以过滤三层的内容。防火墙可以创建多个桥接设备,桥接设备绑定的物理设备或VLAN设备必须是启用并且工作在透明模式的设备。这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。 VPN设备:是启用VPN功能必须要启用的设备。整个防火墙系统中只能有一个VPN 设备,但是VPN设备的绑定设备可以选择。系统通过绑定的设备来发送和接收加密后的数据包。VPN设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。VPN 设备的IP地址、掩码与它的绑定设备的IP地址、掩码一致。 别名设备:用于给物理设备配置多个IP地址。每个物理设备可以关联的别名设备是16个,这类似于资源定义中地址池的功能,但是在地址池中配置的IP不能选择“用于管理”,“允许PING”,“允许TRACEROUTE”等属性。同时要注意的是设备的IP地址不能重复。 冗余设备:是将两个物理设备用做一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余和半冗余两种模式下。在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。在半冗余模式下,加入冗余设备的两个物理设备使用它们各自的参数。冗余设备默认工作在半冗余模式下。 拨号设备:用于启用ADSL拨号功能所必须要启用的设备。系统中只能有一个拨号设备,但是拨号设备绑定的物理设备可以选择。系统通过绑定的设备来发送和接收PPoE的数据包。拨号设备也可以启用带宽管理功能,但这要求其绑定的设备没有启用带宽管理。拨号设备的IP地址、掩码每次ADSL拨号成功后,自动获得。 配置防火墙的过程中,必须首先配置网络设备,再配置防火墙安全策略。如果网络设备
联想网御PowerV系列配置案例集9(双出口端口映射配置案例)
9.1网络需求 某企业网络接入联通,电信两个运营商,要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。为了提高互联网访问速度,实现电信用户访问电信接口 地址,联通用户访问联通接口地址进行访问 9.2网络拓扑 9.3配置流程 配置端口映射策略,将内网服务器映射到公网 配置安全策略,允许外网用户访问内网 9.4配置步骤 (1) 配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通 联通 警理員 电信 UJLQ 用户 用户 (1) 配置网络联通性 定义IP 地址对象、 开放端口对象 Internet 网御防火墙 交掬机 Internet
(2)定义IP地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 L nJ ■ an* 在【防火墙】--【服务】--【基本服务】定义开放的端口号 Infm 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口(3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 ■IM I ■BUM
公开地址:需要映射的外网口地址 (必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择 web 端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择 web 端口 注:对内服务、对外服务可以不一致,即对外服务为 8080,对内服 务可以为80 * Rt -NML ■窗Hi ■马 ■纠删 -H*lMt ? b!h?? -RMtfi 肿讯 a^RQ 9K3 ■毗 I FWWV Hit 首初 1 SMI9 口
联想网御防火墙PowerVWeb界面操作手册_2开始
第2章如何开始 本章包括联想网御防火墙 PowerV 硬件安装和随机附带的软件安装介绍, 配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。 如果您想尽快配置使用联想网御防火墙, 可跳过概述部分,直接阅读 2.1网御防火墙PowerV 概述 随着宽带网络的飞速发展、 网络安全问题的突出和人们安全意识的提高, 表的网络安全设备已经成为不可或缺的设备。 网御防火墙PowerV 在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、 配套的管理软件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的 网络环境。 2.1.1 产品特点 联想网御防火墙 PowerV 是联想防火墙的换代产品,该产品的特点是高安全性,高可用 性和高性能的“三高” “管理者的”防火墙,是国内一流的防火墙。 高安全 高可用性 高性能 2.1.2主要功能 网御防火墙PowerV 系统为了满足用户的复杂应用和多种需求,采用模块化设计, 包括基本功能模块、可选功能模块( VPN 模块需要许可证才能使用)。主要具有以下功 能: 状态检测和动态过滤 采取主动过滤技术,在链路层截取并分析数据包以提高处理性能, 对流经数据包进行基 于IP 地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则, 这样既保证了安全,又满足应用服务动态端口变化的要求。可支持多个动态应用,包括 h323、pptp 、rtsp 、tns 等。 双向NAT 地址转换 在全透明模式下提供了双向地址转换 (NAT )功能,能够有效地屏蔽整个子网的内部结 构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享 IP 地址的方法解决IP 地 址资源不足的问题。 支持静态NAT 、动态NAT 及IP 映射(支持负载均衡功能)、端口映射。 应用层透明代理 支持透明代理功能, 提供对HTTP 、FTP (可限制 GET 、PUT 命令)、TELNET 、SMTP 以及开机登录 2.5章(第12页)。 以防火墙为代 ftp 、
网闸FTP访问配置案例
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. 网闸FTP访问功能配置案例
目录 1 网络拓扑....................................................................................................错误!未定义书签。2客户需求....................................................................................................错误!未定义书签。3网络配置....................................................................................................错误!未定义书签。 3.1内网网络端口配置....................................................................错误!未定义书签。 3.2内网管理端口地址....................................................................错误!未定义书签。 3.3外网网络端口配置....................................................................错误!未定义书签。 3.4外网网关配置............................................................................错误!未定义书签。 3.5外网管理端口地址....................................................................错误!未定义书签。4网闸具体配置............................................................................................错误!未定义书签。 4.1代理模式配置............................................................................错误!未定义书签。 4.1.1内网模块配置....................................................................错误!未定义书签。 4.1.2外网模块配置....................................................................错误!未定义书签。 4.1.3内网客户端主机访问FTP服务器设置 ...........................错误!未定义书签。 4.2透明模式配置............................................................................错误!未定义书签。 4.2.1内网模块配置....................................................................错误!未定义书签。 4.2.2外网模块配置....................................................................错误!未定义书签。 4.2.3内网客户端主机访问FTP服务器设置 ...........................错误!未定义书签。
联想SIS-3000P网闸数据库访问配置案例
联想网御网闸数据库访问功能配置案例 2006-1-17
目录 1 网络拓扑 (1) 2 客户需求 (1) 3 网络配置 (2) 3.1 内网网络端口配置 (2) 3.2 内网管理端口地址 (2) 3.3 外网网络端口配置 (3) 3.4 外网网关配置 (3) 3.5 外网管理端口地址 (4) 4 网闸具体配置 (5) 4.1 需求一配置 (5) 4.1.1 内网模块配置 (5) 4.1.1.1 添加Oracle 数据库客户端任务 (5) 4.1.1.2 新建访问用户配置 (6) 4.1.1.3 访问控制生效 (6) 4.1.2 外网模块配置 (7) 4.1.2.1 添加Oracle 数据库服务端任务 (7) 4.1.2.2 新建访问用户配置 (7) 4.1.2.3 访问控制生效 (8) 4.1.3 内网客户端主机配置 (9) 4.1.3.1 内网主机运行客户端软件并将数据库添加到树 (9) 4.1.3.2 内网用户成功登录外网数据库 (9) 4.2 需求二配置 (10) 4.2.1 内网模块配置 (10) 4.2.1.1 添加SQL Server 数据库客户端任务 (10) 4.2.1.2 新建访问用户配置 (10) 4.2.1.3 访问控制生效 (11) 4.2.2 外网模块配置 (12) 4.2.2.1 添加SQL Server 数据库服务端任务 (12) 4.2.2.2 修改访问用户配置 (12) 4.2.2.3 访问控制生效 (13) 4.2.3 内网客户端主机配置 (14) 4.2.3.1 内网主机数据库客户端配置 (14) 4.2.3.2 内网主机成功登录外网SQL Server数据库 (14)
联想网御Power V系列配置案例集9(双出口端口映射配置案例)
9.1 网络需求 某企业网络接入联通,电信两个运营商,要将内网web服务器(192.168.1.11)的web端口映射到公网。为了提高互联网访问速度,实现电信用户访问电信接口地址,联通用户访问联通接口地址进行访问 9.2 网络拓扑 9.3 配置流程 (1) 配置网络联通性 (2) 定义 IP 地址对象、开放端口对象 (3) 配置端口映射策略,将内网服务器映射到公网 (4) 配置安全策略,允许外网用户访问内网 9.4 配置步骤 (1)配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。
(2)定义 IP 地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 在【防火墙】--【服务】--【基本服务】定义开放的端口号 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口 (3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射
公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址)拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择web端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择web端口 注:对内服务、对外服务可以不一致,即对外服务为8080,对内服务可以为80
(如果对外端口使用80、8080,在确保配置正确的情况下不通,请将对外端口更换为非常用端口,如果能够连通,则需要联系运营商放通80、8080端口) 流入网口:选择对应的公网接口 隐藏内部地址:可选。如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器 如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙下联服务器内网接口地址。 (4)配置安全规则 源地址选择any,目的地址选择为web服务器,服务选择为web端口。
联想网御防火墙PowerV-Web界面操作手册-3系统配置
网御防火墙PowerV Web 界面操作手册 第3章系统配置 本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新, 管理配置,联动,报告设置,入侵检测和产品许可证。 3.1 日期时间 防火墙系统时间的准确性是非常重要的。 可以采取两种方式来同步防火墙的系统时钟 1)与管理主机时间同步 2)与网络时钟服务器同步( NTP 协议) 图3-1 配置防火墙时间 与管理主机时间同步 1.调整管理主机时钟 2.点击“时间同步”按钮 与时钟服务器时间同步有两种方式 1.立即同步 2.周期性自动同步 立即同步 1.选中“启用时钟服务器” ,输入“时钟同步服务器 IP” 2.点击“立即同步”按钮 周期性自动同步 1.选中“启用时钟服务器” ,输入“时钟同步服务器 IP” 2.设定同步周期
3.点击“确定”按钮系统参数 注意事项: 防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时 间后配置管理界面登录超时等。 3.2 系统参数 系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。 防火墙名称的最大长度是14 个英文字符,不能有空格。默认的防火墙名称是themis ,用户可以自己修改这个名称。 动态域名注册所使用的用户名、密码的最大长度是31 个英文字符,不能有空格。动态 域名的设置在网络配置>>网络设备的物理网络配置中。 图3-2 系统参数配置图 3.3 系统更新 3.3.1模块升级 防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。
模块升级界面包括以下功能 1.模块升级 2.导出升级历史 3.检查最新升级包 4.重启防火墙 模块升级 1.点击“浏览”按钮,选择管理主机上的升级包 2.点击“升级”按钮 点击“重启防火墙”按钮,重启防火墙完成升级 导出升级历史 点击“导出升级历史”按钮,导出升级历史做备份。 检查最新升级包 管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE 窗口 并连接联想安全服务网站(防火墙可以连接Internet )。 重启防火墙 点击“重启防火墙”按钮,防火墙将重新启动。 注意:重启防火墙前,记住要保存当前配置。“保存”快捷键: 3.3.2导入导出 图3-4 导入导出配置文件 导入导出界面包含以下功能 1.导出系统配置 2.导入系统配置 3.恢复出厂配置 4.保存配置 导出配置 点击“导出配置”按钮,导出最后一次保存的所有系统配置到管理主机。选中“导出成 加密格式”,则加密配置文件。
有关网闸的配置案例
有关网闸配置的案例 1.1配置网闸的基本步骤有哪些? 答: 1)在PC上安装客户端;本地IP为192.168.1.1/24,用交叉线与仲裁机相连(默认无法ping);2)通过客户端连接仲裁机(192.168.1.254)用户名/口令superman/talent123登录; 3)设置内端机IP地址,设置外端机地址(一般均为eth0) 4)为了调试方便,通过命令行的方式允许ping 通内外端机; 5)设置TCP应用通道,启用通道 6)配置安全策略 1.2通过一个案例来说明如何配置网闸来保证内外数据安 全交换 1.2.1拓扑图如下: 1.2.2基本说明: 1.在OA区域里有服务器,安全管理和终端,边界由网闸来隔离,只允许有限的访问。 2.目前具体的要求是只允许外部的终端10.10.1.1访问OA服务器,内部机器可以访问外
部的WEB 10.10.1.5 3.不能泄漏内(外)部的网络结构。 1.2.3基本配置: 设置内外端地址 1.2.4测试验证: 由于是端口转发,客户端的IE无需作代理设置,只是将访问的目的设为外(内)端机地址10.10.1.2(10.10.0.1)即可。 1.2.5效果 用户只需访问本地的服务器,通过网站作代理映射,就可以到达从内部(外部)访问外部(内部)的目的。以下为链接: http: //10.10.0.1 (可以访问到10.10.1.5) http://10.10.1.2(可以访问到10.10.0.109) 1.3 对于级联的网闸的配置如何来做 在等级保护的实际案例中,需要两个或以上的网闸来配置一条完整的通道,如以下图
1.3.1基本要求 OA区域(10.10.*.*)可以访问位于门户网站区域的web_door 192.168.2.3 门户网站区域()可以访问位于OA区域的OA服务器10.10.0.109 1.3.2基本配置 1.3. 2.1 OA区域网闸配置 说明:从内到外的访问目的就是门户网闸的外端机地址(192.168.4.2) 从外到内的访问目的是真实的服务器地址10.10.0.109
联想网御网闸解决方案-操作系统补丁管理(优.选)
典型应用四 – 主机操作系统补丁管理: 1、需求分析 目前,很多单位的内网按照网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统又需要补丁升级,通常做法是采用了微软SUS 服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。 采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。 为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时获取和分发工作。 2、解决方案 联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。 内网升级平台内网主机联想网御SIS-3000 安全隔离 补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。 在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可
以使用联想网闸的专用文件传输客户端软件,通过联想网御SIS-3000安全隔离网闸在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。 内网和外网的补丁分发服务器获取了最新补丁文件后,将按照允许定义的策略进行下发工作。在进行策略定义时,允许将用户分组,对不同的组可以采用不同的下发策略。例如,对于某些在打上补丁后可能操作系统无法正常工作的设备,则不自动下发,待完成了补丁升级试验后再继续操作。同时,补丁分发服务器的分组管理的策略,也可以对不同的用户采用不同的补丁分发策略,对部分重要性较高的设备或系统情况无法确认的设备,可以设置不自动分发补丁,而等待管理人员对补丁进行验证后再启动分发工作。如果在外网补丁分发工作负载不大的情况下,外网补丁分发服务器和接收服务器可以合二为一,以节省投资。 3、实施效果 补丁升级系统的部署,可以有效的在保证内外网安全的前提下实现内网用户操作系统的及时升级,同时还可以通过分组管理策略来保障升级补丁的可靠性。从而完美的解决现有补丁升级体系中存在的问题,极大的增强对终端的安全保护水平。 另外,内外的网络防病毒的病毒库升级问题也可参照此解决方案来进行解决。 最新文件---------------- 仅供参考--------------------已改成word文本--------------------- 方便更 改
联想网御网闸SIS配置过程
联想网御网闸(SIS-)配置过程
————————————————————————————————作者: ————————————————————————————————日期:
联想网御网闸(SIS-3000)设备测试报告 一、设备管理、拓扑结构 1、通过笔记本管理网闸,需要先在笔记本上导入管理证书(光盘——管理证书文件夹下,密码:hhhhhh),管理IP:10.0.0.200,掩码:255.255.255.0 。 2、登录内网:用网线连接内网专用管理口,在IE浏览器输入: 3、输入用户名/密码:administrator/administrator(超级用户)或输入:admin/admin123(管理员用户)。 4、登录外网:用网线连接外网专用管理口,在IE浏览器输入:或输入用户名/密码:administrator/ administrator (超级用户) 或输入:admin/admin123(管理员用户)。 测试拓扑结构: 192.168.20.2内:192.168.20.1外:192.168.10.1 192.168.10.2 FTP客户端网闸客户端网闸服务端 FTP服务端注:网闸的工作模式有两种,普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一,根据外部应用客户端跨网闸访问“目的服务器地址”的不同,分为“透明访问”、“普通访问”两种模式。 两种应用模式具体的比较如下 区别透明访问普通访问 含义外部客户端,“无视”网闸的存在,直接访问 网闸另一侧的真实服务器地址; 外部客户端通过访问相连网闸地址,再由网闸连接真实服务器; 原理区别两者相同两者相同 配置区别1)只需配置网闸客户端任务, 无需配置网闸服务端任务; 2)客户端添加一条路由,指向 网闸; 必须同时配置网闸客户端、服务端任务,且对应任务之间的任务号必须相同; 访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络支持支持
力控网闸配置示例
目录 1TCP协议-------------------------------------------------------------------------- 2 1.1 同网段配置实例 --------------------------------------------------------------- 2 1.2不同网段配置实例 -------------------------------------------------------- 6 2UDP协议 ------------------------------------------------------------------------ 10 2.1同网段配置实例--------------------------------------------------------------- 10 2.2不同网段配置实例------------------------------------------------------------ 14 3定制访问 ------------------------------------------------------------------- 18 3.1映射模式 ----------------------------------------------------------------------- 18 4双机热备 ------------------------------------------------------------------- 22
TIPTOP隔离网闸映射访问配置案例
TIPTOP隔离网闸映射访问配置案例 2009-4-7 版权声明
本手册中的内容是TIPTOP隔离网闸映射访问配置案例。 本手册的相关权力归深圳市利谱信息技术有限公司所有。手册中的任何部分未经本公司许可,不得转印、影印或复印。 ? 2005-2007 深圳市利谱信息技术有限公司Shenzhen Tiptop Information Technology Co., Ltd. All rights reserved. TIPTOP隔离网闸映射访问配置案例 本手册将定期更新,如欲获取最新相关信息,请访问 公司网站:您的意见和建议请发送至 深圳市利谱信息技术有限公司 地址:深圳市福田区泰然工业园泰然四路210栋东座7B 电话:0 邮编:518040 传真:8 网址:电子信箱
目录 1 网络拓扑..................................................错误!未定义书签。 2 客户需求..................................................错误!未定义书签。 3 网络配置..................................................错误!未定义书签。 内网网络端口一配置................................错误!未定义书签。 外网网络端口一配置................................错误!未定义书签。 4 网闸具体配置..............................................错误!未定义书签。 需求一FTP服务器的访问配置........................错误!未定义书签。 FTP访问规则配置..............................错误!未定义书签。 透明方式访问FTP ......................错误!未定义书签。 网关模式访问数据库....................错误!未定义书签。 映射模式访问数据库....................错误!未定义书签。 需求二WEB访问端口自定义协议转换配置..............错误!未定义书签。 WEB访问配置规则..............................错误!未定义书签。 透明方式访问数据库....................错误!未定义书签。 网关模式访问数据库....................错误!未定义书签。 映射模式访问数据库....................错误!未定义书签。
300网闸配置
伟思安全隔离网闸Vigap300型号的配置说明 与注意事项 配置前的准备工作: 1)网闸外观和接口 2)实施前要知道客户的网络拓扑图,根据客户应用决定网闸需要安装在哪个节点,和 网闸需要的IP地址数 3)先把用来配置网闸的电脑IP修改成10.119.119.*(119除外),掩码255.255.255.0, 安装控制平台后会在桌面生成一个快捷图标,对应的是所在安装目录的 4)用直连网线(B类线)连上网闸可信端网口(网闸默认内网口和外网口各两个,只 有中间的两个可以用),ping 10.119.119.119测试网络连接是否正常,然后进行配置。 5)网闸开箱默认模式是set模式,根据需要可以在控制平台里进行模式转换。(透明 模式管理IP:172.26.78.1,禁ping,可以telnet ip 112测试) 网闸配置的一般步骤: 1)双击桌面快捷图标启动管理平台,默认用户名:admin,密码:admin05。进入管 理平台,如下图:主页面分三部分,安全隔离与信息交换设备,系统安全审计功能,访问控制规则表。一般很少用到系统安全审计功能。
2)安全隔离与信息交换设备页面,右键点击隔离设备,选择添加(注意:一定要保证 设备已经开机,笔记本已经连接设备可信端接口,并配置IP已经测试连通性,如果笔记本与设备之间的网络不通的情况下,在该页面添加设备会报错),然后弹出 如下图对话框 点下一步会跳到配置IP信息及系统名的页面如下图
如上图标注,其中可信端的IP地址是灰色,鼠标无法选中并配置(300的设备可信端的接口地址是没办法在这个页面进行配置的,即使IP不配,配置上网关和掩码也是不生效的),配置好IP信息后点击下一步会跳到选择设备配置中需要用到的内网和外网所需要开放的对应服务端口信息页面,默认全选上(在后面的文档中会介绍到这一部分)。最后点击完成,回到如下图的界面。
联想网御防火墙PowerVWeb界面操作手册3系统配置
第3章系统配置 本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新,管理配置,联动,报告设置,入侵检测和产品许可证。 3.1 日期时间 防火墙系统时间的准确性是非常重要的。 可以采取两种方式来同步防火墙的系统时钟 1)与管理主机时间同步 2)与网络时钟服务器同步(NTP协议) 图3-1配置防火墙时间 与管理主机时间同步 1.调整管理主机时钟 2.点击“时间同步”按钮 与时钟服务器时间同步有两种方式 1.立即同步 2.周期性自动同步 立即同步 1.选中“启用时钟服务器”,输入“时钟同步服务器IP” 2.点击“立即同步”按钮 周期性自动同步 1.选中“启用时钟服务器”,输入“时钟同步服务器IP” 2.设定同步周期 3.点击“确定”按钮系统参数 注意事项: 防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时间后配置管理界面登录超时等。 3.2 系统参数 系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。 防火墙名称的最大长度是14个英文字符,不能有空格。默认的防火墙名称是themis,用户可以自己修改这个名称。 动态域名注册所使用的用户名、密码的最大长度是31个英文字符,不能有空格。动态域名的设置在网络配置>>网络设备的物理网络配置中。 图3-2系统参数配置图
3.3 系统更新 3.3.1 模块升级 防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。 图3-3导入升级文件 模块升级界面包括以下功能 1.模块升级 2.导出升级历史 3.检查最新升级包 4.重启防火墙 模块升级 1.点击“浏览”按钮,选择管理主机上的升级包 2.点击“升级”按钮 点击“重启防火墙”按钮,重启防火墙完成升级 导出升级历史 点击“导出升级历史”按钮,导出升级历史做备份。 检查最新升级包 管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE窗口并连接联想安全服务网站(防火墙可以连接Internet)。 重启防火墙 点击“重启防火墙”按钮,防火墙将重新启动。 注意:重启防火墙前,记住要保存当前配置。“保存”快捷键: 3.3.2 导入导出 图3-4导入导出配置文件 导入导出界面包含以下功能 1.导出系统配置 2.导入系统配置 3.恢复出厂配置 4.保存配置 导出配置 点击“导出配置”按钮,导出最后一次保存的所有系统配置到管理主机。选中“导出成加密格式”,则加密配置文件。 导入配置 点击“浏览”按钮,在管理主机上选择要导入的配置文件,点击“导入配置”按钮,导入配置文件,系统提示导入成功,重起防火墙,导入的配置生效。注意:导出的配置文件带有防火墙软硬件版本的信息,不能导入到别的版本防火墙中,而且如果同样的配置文件被导入到不同防火墙中,且这些防火墙位于同一网络时,可能会引起配置冲突,如IP地址,MAC 地址等。
- 联想网御防火墙使用手册共43页文档
- 联想网御防火墙配置介绍材料
- 联想网御防火墙
- 联想网御防火墙端口映射
- 联想网御防火墙使用手册
- 联想网御防火墙功能性能表
- 联想网御防火墙PowerVWeb界面操作手册网络配置
- 联想网御防火墙配置手册
- 联想网御Power V系列配置案例集30(防火墙集中管理和日志配置实例)
- 联想网御防火墙PowerV Web界面操作手册_4网络配置
- 联想网御防火墙使用手册
- 联想网御防火墙PowerV Web界面操作手册_3系统配置
- 联想网御防火墙日常维护手册V2
- 联想网御防火墙PowerVWeb界面操作手册_2开始
- 联想网御Power V系列配置案例集1(WEB界面管理防火墙)
- 联想网御强五防火墙导入导出配置
- 联想网御防火墙配置手册
- 联想网御最终配置手册
- 联想网御防火墙产品介绍大全
- 联想网御Power V系列配置案例集2(串口管理防火墙)