资源描述
联想网御UTM的安装与调试,河南山谷创新网络科技有限公司,2020年7月21日,外观图片,外观图片,一健式按键,安全网关一键式按健,登录方法,登录界面,管理配置,管理主机 管理员只有在管理主机上才能对安全网关进行管理,最多支持6个管理主机IP和1个集中管理主机,至少有1个管理主机IP不能被删除。 安全网关出厂时有四个默认管理主机,10.1.5.200、10.1.6.200、10.1.7.200和10.1.8.200。,管理配置,此接口完成以下功能 1、加管理主机 2、除管理主机 3、到“日志与报警日志设置集中管理”接口 添加管理主机 入管理主机IP和子网掩码 “说明”中,输入描述性文字,此步骤可忽略 击“确定”按钮完成添加 修改管理主机 “管理主机IP”列表中修改要修改的管理主机IP或子网掩码 击“确定”按钮完成修改 删除管理主机 “管理主机IP”列表中删除要删除的管理主机IP 击“确定”按钮完成删除,管理配置,安全网关提供WEB接口和CLI命令行两种管理方式。可以通过网口访问、串口访问。 WEB管理方式和串口命令行方式默认打开,不可关闭。 使用WEB方式管理安全网关,管理主机必须能通过网络访问安全网关,并且其IP地址必须在安全网关上设置,使用串口命令行方式管理,管理主机通过串口连接安全网关的CONSOLE口登录。 “启用远程SSH”后,管理主机可以通过网络连接(通用网口),利用secure CRT或putty 等终端管理软件登录安全网关命令行接口进行管理。,管理员帐户,管理员按级别授权管理,说明如下:,新建帐户,系统更新,安全网关系统升级功能可以快速响应安全需求,保证安全网关功能与安全的快速升级。,网络管理,网络接口 联想网御安全网关Power V可配置的网络设备有:物理设备,VLAN设备,桥接设备,VPN设备,别名设备,冗余设备和拨号设备。下面对各类设备的特点做一简要说明。 物理设备:安全网关中实际存在的网口设备,不能删除,也不能添加。增减网络接口硬件模块会自动在网络管理中显示出来,不需要手动操作。 VLAN设备:是一种在物理设备基础上创建的设备。与交换机的TRUNK口相连的安全网关物理设备上可以创建VLAN设备,以实现不同VLAN之间的互联。 桥接设备:是将多个物理设备和VLAN设备置于透明模式,并且进行分组的设备。启用此设备的安全网关相当于一个二层交换机,但它同时可以过滤三层的内容。,网络管理,VPN设备:是启用VPN功能必须要启用的设备。整个安全网关系统中只能有一个VPN设备,但是VPN设备的绑定设备可以选择。 别名设备:用于给物理设备配置多个IP地址。 冗余设备:是将多个物理设备捆绑在一起而成的虚拟设备。冗余设备捆绑的物理设备共同完成收发工作,组成一个逻辑链路供系统使用。捆绑的物理设备可以相互备份,一个物理设备失效,其它物理设备可接替它的工作。 拨号设备:用于启用ADSL拨号功能所必须要启用的设备。系统中只能有一个拨号设备,但是拨号设备绑定的物理设备可以选择。系统通过绑定的设备来发送和接收PPPoE的数据包。 下边对部分设备的配置做详细的配置说明,物理设备,物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行资料包的路由转发。其中第一个物理设备fe4是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE,物理设备,物理设备,设备的工作模式,目前支持的有以下三种 1:路由模式,这是设备默认的工作模式,在路由模式下,必须配置设备的IP地址。 2:透明模式,设置为透明模式的设备不能配置MTU,IP地址/掩码,不能用于管理,PING和TRACEROUTE等选项也不能选择。 3:冗余模式,设置为冗余模式的设备只能供冗余设备使用。 设备的链路工作模式,有以下三种 1:自适应 2:全双工 3:半双工 设备的链路速度,有以下三种 1:10 2:100 3:1000 开启TRUNK,是否将设备设置为TRUNK口。用于连接交换机或者路由器的TRUNK口。 用于管理,此设备的IP地址是否能用于管理 允许PING,此设备的IP地址是否允许被PING到 是否启用,是否启用此设备,VLAN设备,VLAN设备是一种在物理设备基础上创建的设备。它可以工作在路由模式下,也可以工作在透明模式下,工作在透明模式时,此设备可加入桥接设备。VLAN设备可以与其它同VLAN的设备通讯,并通过安全网关转发不同VLAN之间的通讯。同一个物理设备上可以创建多个不同VLAN ID的VLAN设备。不同物理设备上的VLAN设备的VLAN ID可以相同。,Vlan设备,Vlan设备,设备的工作模式,目前支持的有以下两种 1:路由模式,这是设备默认的工作模式 2:透明模式,设置为透明模式的设备IP地址/掩码,不能用于管理,PING和TRACEROUTE等选项也不能选择。 IP地址,设备的IP地址,路由模式下必须填写,并且不能和绑定设备在同一网段内。 用于管理,此设备的IP是否用于管理 允许PING,此设备的IP是否允许被PING到 允许TRACEROUTE,此设备的IP是否允许被TRACEROUTE 是否启用,是否启用此设备,桥接设备,桥接设备是将多个工作在透明模式的物理设备和VLAN设备绑定在一起的设备。启用此设备的安全网关相当于一个二层交换机,但它同时可以过滤三层的内容。安全网关可以创建多个桥接设备,而且这些桥接设备可以和工作在路由模式下的物理设备和VLAN设备共存。在这种情况下,路由信息和桥接设备的信息相互间没有影响。,桥接设备,IP地址,设备的IP地址,桥接设备的IP地址可以为空。如果它的IP地址是空则不能设置管理,PING和TRACEROUTE。 用于管理,此设备的IP是否用于管理 允许PING,此设备的IP是否允许被PING到 允许TRACEROUTE,此设备的IP是否允许被TRACEROUTE到 是否启用,是否启用此设备,资源定义,为了简化安全网关安全规则的配置和维护工作,引入了资源定义。联想网御安全网关系统可以定义以下资源: 地址资源:地址列表、地址组、地址池、服务器地址、域名地址 服务资源:预定义服务、动态服务、ICMP服务、基本服务、服务组 时间资源:时间列表、时间组 带宽资源:非共享带宽、共享带宽、带宽资源组 VLAN ID 在定义“防火墙安全选项”之前,一般需要按照特定的原则(比如:按部门、按人员等)定义地址资源,,地址列表,可以按三种方式来定义地址: Ip地址/掩码 反IP地址/掩码 地址范围IP1 IP2。,地址组,地址组用于“防火墙安全规则”和“用户认证用户资源用户组”。 地址组的成员只能为“资源定义地址资源地址列表”中已经定义过的地址。 在“资源定义地址地址组”,点击 ,将弹出以下接口:,地址池,“地址池”用于定义地址映射时的ip地址段。,在“资源定义地址地址池”,点击 ,将弹出以下接口:,服务器地址,“服务器地址”用于指定一组内部服务器地址。,在“资源定义地址服务器地址”,点击添加,将弹出以下接口:,服务资源,预定义服务,预定义服务定义了一些常用的服务,不可以修改,删除,只可以被引用。,动态服务,动态服务列表中列出了当前已定义的所有动态服务。,基本服务,选中点击 ,将弹出以下接口:,列表中显示了当前已定义的所有基本服务。,基本服务,源端口,指定该服务请求者的端口,从低端口到高端口的一段地址范围,如果只想表示一个端口,则把低端口和高端口设成相同。 低端口小于等于高端口,端口的取值范围为0到65535 ,源端口通常设为0-65535,表示所有端口,目的端口,指定提供该服务的端口,目的端口通常有限的一个或者几个端口,例如80 80 协议,可以设置TCP、UDP和其它协议。 一个服务最少需要1对“协议源端口目的端口”,最多同时支持8对,通常少于8个,则依次靠前填写,剩下各行均不填写即可。,服务组,服务组用于“防火墙安全规则”和“用户认证用户资源用户组”。 服务组的成员可以是“资源定义服务资源”中已经定义过的基本服务、动态服务和ICMP服务。,防火墙,以下是安全网关配置的重点。制定符合安全需求的策略是保证安全网关真正起到“防火”作用的基础。 配置错误的安全规则不仅会使安全网关形同虚设,甚至有可能妨碍对网络正常功能的使用。,应用防护规则,应用防护结合了病毒防护与入侵检测、协议控制三种防护策略,先通过病毒防护对数据包内容进行过滤,再通过入侵检测防护对数据包行为进行监测,最后通过协议控制策略来对检查协议使用的正确性,进而达到对企业内部网的全方位防护。,应用防护规则,防火墙,防火墙,防火墙,日志和报警,安全网关各功能模块提供标准日志记录。 启用日志记录后,默认情况下日志存储在安全网关本地。安全网关也可以将日志发往第三方的日志服务器, 日志服务器可以与安全网关的任意网口连接。 安全网关提供随机日志服务器软件,提供强大的日志存储与审计功能。,配置日志服务器 需要管理员配置日志服务器IP、安全网关与日志服务器通信的协议与端口。安全网关默认使用syslog方式向第三方发送日志,端口514 / 协议UDP。,日志查看,日志信息有两种处理方式: 发送给日志服务器处理:日志服务器上需安装相应的日志服务器程序。日志服务器程序提供丰富的查询、统计、报表功能,可以保存数量庞大的日志信息(受日志服务器上硬盘容量限制)。 网关上保留的日志:由于受到资源的限制,安全网关上最多保存2M日志。日志信息不能保存,断电即丢失。查询功能有限,只能按日志类型、日志级别和关键词进行查找。,日志查看,日志类型包括:包过滤,代理,入侵检测,用户认证,内容过滤,设备状态,设备管理,其它以及所有。日志级别包括:警报(紧急,一般和临界),事件(错误,警告,注意,信息和调试)和所有。,结束语,谢谢!,
展开阅读全文