联想网御防火墙PowerV功能使用手册_5应用

联想网御防火墙PowerV功能使用_5应用 网御防火墙 PowerV 功能使用手册 第5章 典型应用环境 5.1 三网口纯路由模式 图 5-1三网口纯路由模式 注意:网御3000防火墙的基本配置是有四个物理设备，其中fe1是默认的可管理设备(默认启用)，地址是10.1.5.254。fe2一般用于HA，所以在这个图中，没有使用fe2。 5.1.1 需求描述: 上图是一个具有三个区段的小型网络。Internet区段的网络地址是202.100.100.0，掩码是255.255.255.0;DMZ区段的网络地址是172.16.1.0，掩码是255.255.255.0;内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0。 fe1的IP地址是192.168.1.1，掩码是255.255.255.0;fe3的IP地址是172.16.1.1，掩码是255.255.255.0;fe4的IP地址是202.100.100.3，掩码是255.255.255.0。内部网络区段主机的缺省网关指向fe1的IP地址192.168.1.1;DMZ网络区段的主机的缺省网关指向fe3的IP地址172.16.1.1;防火墙的缺省网关指向路由器的地址202.100.100.1。 WWW服务器的地址是172.16.1.10，端口是80;MAIL服务器的地址是172.16.1.11，端口是25和110;FTP服务器的地址是172.16.1.12，端口是21。 安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务;允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。 5-1 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.1.2 配置步骤: 5. 1. 2. 1 WEBUI 1. 网络配置>网络设备>:编辑物理设备fe1，将它的IP地址配置为192.168.1.1，掩码是 255.255.255.0。 注意:fe1默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。 而且默认的管理主机地址是10.1.5.200，如果没有事先添加其他的管理主机地址，将会 导致防火墙再也不能被管理了(除非用串口登录上去添加新的管理主机地址)。其他设 备默认是不启用的，所以配地址时要同时选择启用设备。 2. 网络配置>网络设备>:编辑物理设备fe3，将它的IP地址配置为172.16.1.1，掩码是 255.255.255.0。 3. 网络配置>网络设备>:编辑物理设备fe4，将它的IP地址配置为202.100.100.3，掩码是 255.255.255.0。 4. 网络配置>静态路由>:添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码 都是0.0.0.0，接口选择fe4。 注意:策略配置是基于资源的，所以在配置下面的策略时，请先定义如下的资源: LOCAL_NET:网络地址192.168.1.0，掩码255.255.255.0 DMZ_NET:网络地址172.16.1.0，掩码255.255.255.0 WWW_SERVER:主机地址 172.16.1.10，掩码是255.255.255.255 MAIL_SERVER :主机地址172.16.1.11，掩码是255.255.255.255 FTP_SERVER :主机地址172.16.1.12，掩码是255.255.255.255 5. 策略配置>安全>:添加源地址是LOCAL_NET，目的地址是any，服务是http，动 作是允许的包过滤规则。 6. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动 作是允许的包过率规则。 7. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 8. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 9. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是any的 NAT规则。 10. 策略配置>安全规则>:添加源地址是any，目的地址172.16.1.10，服务是http，动作是 允许的包过滤规则。 11. 策略配置>安全规则>:添加源地址是any，目的地址172.16.1.11，服务是smtp，动作是 允许的包过滤规则。 12. 策略配置>安全规则>:添加源地址是any，目的地址172.16.1.11，服务是pop3，动作是 允许的包过滤规则。 13. 策略配置>安全策略>:添加源地址是any，目的地址172.16.1.12，服务是ftp，动作是 允许的包过滤规则。 14. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是http，内部地址是 WWW_SERVER，内部服务是http的端口映射规则。 5-2 联想集团有限公司 网御防火墙 PowerV 功能使用手册 15. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是smtp，内部地址是 MAIL_SERVER，内部服务是smtp的端口映射规则。 16. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是pop3，内部地址是 MAIL_SERVER，内部服务是pop3的端口映射规则。 17. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是ftp，内部地址是 FTP_SERVER，内部服务是ftp的端口映射规则。 5. 1. 2. 2 CLI 1. ac>interface set phy if fe1 ip 192.168.1.1 netmask 255.255.255.0 2. ac>interface set phy if fe3 ip 172.16.1.1 netmask 255.255.255.0 3. ac>interface set phy if fe4 ip 202.100.100.3 netmask 255.255.255.0 4. ac>route add static dip 0.0.0.0/0.0.0.0 gateway 202.100.100.1 interface fe1 5.2 三网口混合模式 图 5-2三网口混合模式 5.2.1 需求描述: 上图是一个具有三个区段的小型网络。其中内部网络区段的IP地址是10.10.10.2到 10.10.10.50，掩码是255.255.255.0;DMZ网络区段的IP地址是10.10.10.100到10.10.10.150， 掩码是255.255.255.0。WWW服务器的IP地址是10.10.10.100，开放端口是80;MAIL服务 器的IP地址是10.10.10.101，开放端口是25和110;FTP服务器的IP地址是10.10.10.102， 开放端口是21。Internet区段的网络地址是201.100.100.0，掩码是255.255.255.0。 fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式，IP地址是202.100.100.3， 掩码是255.255.255.0。桥接设备brg0的IP地址是10.10.10.1，掩码时255.255.255.0。内网 网络区段的缺省网关是10.10.10.1，DMZ网络区段的缺省网关是10.10.10.1。防火墙的缺省 5-3 联想集团有限公司 网御防火墙 PowerV 功能使用手册 网关是202.100.100.1。 防火墙的缺省安全策略是禁止。区段间的安全策略是:允许内网网络区段访问Internet和DMZ，允许Internet访问DMZ，其他的访问都禁止。 5.2.2 配置步骤: 5. 2. 2. 1 WEBUI 18. 网络配置>网络设备>:编辑桥接设备brg0，配置它的IP地址是10.10.10.1，掩码是 255.255.255.0，选择可管理，确定。 19. 网络配置>网络设备>:编辑物理设备fe1，选择它的工作模式是“透明模式”，确定。 注意:fe1是缺省的可管理设备，将它的工作模式置为透明模式将导致防火墙不能使用 原来的IP地址管理了，但可以使用桥接设备brg0的IP地址继续管理。所以在设置物 理设备fe1的工作模式前先确认brg0的IP地址与管理主机在同一网段，并且可管理。 20. 网络配置>网络设备>:编辑物理设备fe3，选择它的工作模式是“透明模式”，确定。 21. 网络配置>网络设备>:编辑物理设备fe4，配置它的IP地址为202.100.100.3，掩码是 255.255.255.0，确定。 22. 网络配置>静态路由>:添加网关是202.100.100.1的缺省路由。 注意:下面的策略配置需要先定义如下的资源: LOCAL_NET:10.10.10.0，掩码是255.255.255.0，网络地址。(在包过滤规则中不推荐 使用网络地址段，以避免性能下降) DMZ_NET:10.10.10.0，掩码是255.255.255.0，网络地址。 WWW_SERVER:10.10.10.100，掩码是255.255.255.255，主机地址。 MAIL_SERVER:10.10.10.101，掩码是255.255.255.255，主机地址。 FTP_SERVER:10.10.10.102，掩码是255.255.255.255，主机地址。 INTERNET:10.10.10.0，掩码是255.255.255.0，反网络地址。 23. 策略配置>安全规则>:添加源地址是LOCAL_NET，入网口是fe1，目的地址是any， 服务是http，动作是允许的包过滤规则。 24. 策略配置>安全规则>:添加源地址是LOCAL_NET，入网口是fe1，目的地址是any， 服务是smtp，动作是允许的包过滤规则。 25. 策略配置>安全规则>:添加源地址是LOCAL_NET，入网口是fe1，目的地址是any， 服务是pop3，动作是允许的包过滤规则。 26. 策略配置>安全规则>:添加源地址是LOCAL_NET，入网口是fe1，目的地址是any， 服务是ftp，动作是允许的包过滤规则。 27. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是INTERNET，服务是 any的NAT规则。 28. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是WWW_SERVER，服务 是http，动作是允许的包过滤规则。 29. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是MAIL_SERVER，服务 是smtp，动作是允许的包过滤规则。 30. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是MAIL_SERVER，服务 是pop3，动作是允许的包过滤规则。 5-4 联想集团有限公司 网御防火墙 PowerV 功能使用手册 31. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是FTP_SERVER，服务是 ftp，动作是允许的包过滤规则。 32. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是WWW_SERVER，服务 是http的端口映射规则。 33. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是MAIL_SERVER，服务 是smtp的端口映射规则。 34. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是MAIL_SERVER，服务 是pop3的端口映射规则。 35. 策略配置>安全规则>:添加源地址是INTERNET，目的地址是FTP_SERVER，服务是 ftp的端口映射规则。 5. 2. 2. 2 CLI 5.3 三网口透明模式 图 5-3三网口透明模式 5.3.1 需求描述: 上图是一个具有三个区段的小型网络。其中内部网络区段的地址是10.10.10.1到10.10.10.50，掩码是255.255.255.0;DMZ网络区段的地址是10.10.10.100到10.10.10.150，掩码是255.255.255.0;fe4所在网络区段的地址是10.10.10.200到10.10.10.254，掩码是255.255.255.0。WWW服务器的地址是10.10.10.100，开放端口是80;MAIL服务器的地址是10.10.10.101，开放端口是25和110;FTP服务器的地址是10.10.10.102，开放端口是21。 fe1工作在透明模式，fe3工作在透明模式，fe4工作在透明模式。桥接设备brg0的IP地址是10.10.10.1，允许管理。 5-5 联想集团有限公司 网御防火墙 PowerV 功能使用手册 防火墙的缺省安全策略是禁止。区段间的安全策略是:允许内部网络区段访问DMZ区段和INTERNET的http，smtp，pop3，ftp服务，允许INTERNET区段访问DMZ网络的http，smtp，pop3，ftp服务。其他的访问都禁止。 5.3.2 配置步骤: 5. 3. 2. 1 WEBUI 36. 网络配置>网络设备>:编辑桥接设备brg0，将它的IP地址配置为10.10.10.1，掩码是 255.255.255.0，允许管理，确定。 37. 网络配置>网络设备>:编辑物理设备fe1，选择工作模式为“透明”，确定。 38. 网络配置>网络设备>:编辑物理设备fe3，选择工作模式为“透明”，确定。 39. 网络配置>网络设备>:编辑物理设备fe4，选择工作模式为“透明”，确定。 注意:在策略配置前，先添加如下的资源: LOCAL_NET:10.10.10.2到10.10.10.50，网络地址段。 DMZ_NET:10.10.10.100到10.10.10.150，网络地址段。 EXTERNAL_NET:10.10.10.200到10.10.10.254，网络地址段。 INTERNET:地址是10.10.10.0，掩码是255.255.255.0，反网络地址。 WWW_SERVER:地址是10.10.10.100，掩码是255.255.255.255。 MAIL_SERVER:地址是10.10.10.101，掩码是255.255.255.255.。 FTP_SERVER:地址是10.10.10.102，掩码是255.255.255.255。 40. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是http，动 作是允许的包过滤规则。 41. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动 作是允许的包过滤规则。 42. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 43. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 44. 策略配置>安全规则>:添加源地址是any，目的地址是WWW_SERVER，服务是http， 动作是允许的包过滤规则。 45. 策略配置>安全规则>:添加源地址是any，目的地址是MAIL_SERVER，服务是smtp， 动作是允许的包过滤规则。 46. 策略配置>安全规则>:添加源地址是any，目的地址是MAIL_SERVER，服务是pop3， 动作是允许的包过滤规则。 47. 策略配置>安全规则>:添加源地址是any，目的地址是FTP_SERVER，服务是ftp，动 作是允许的包过滤规则。 5-6 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5. 3. 2. 2 CLI 5.4 三网口透明模式上的路由 图 5-4三网口透明模式上的路由 5.4.1 需求描述: 上图是一个具有三个区段的小型网络。Internet区段的网络地址是202.100.100.0，掩码是255.255.255.0;DMZ区段的网络地址是172.16.1.0，掩码是255.255.255.0;内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0。 fe1，fe3，fe4工作在透明模式。桥接设备brg0的IP地址是192.168.1.1，掩码是255.255.255.0，允许管理。创建别名设备brg0_0，它的绑定设备是brg0，别名ID是0，IP地址是172.16.1.1，掩码是255.255.255.0。创建别名设备brg0_1，它的绑定设备是brg0，别名ID是1，IP地址是202.100.100.3，掩码是255.255.255.0。内部网络区段的网关是192.168.1.1，DMZ网络区段的网关是172.16.1.1，防火墙的缺省网关是202.100.100.1。 WWW服务器的地址是172.16.1.10，端口是80;MAIL服务器的地址是172.16.1.11，端口是25和110;FTP服务器的地址是172.16.1.12，端口是21。 安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务;允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。 5-7 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.4.2 配置步骤: 5. 4. 2. 1 WEBUI 48. 网络配置>网络设备>:编辑桥接设备brg0，配置它的IP地址为192.168.1.1，掩码是 255.255.255.0，允许管理。 49. 网络配置>网络设备>:编辑物理设备fe1，选择工作模式为“透明”，确定。 50. 网络配置>网络设备>:编辑物理设备fe3，选择工作模式为“透明”，确定。 51. 网络配置>网络设备>:编辑物理设备fe4，选择工作模式为“透明”，确定。 52. 网络配置>网络设备>:添加别名设备，绑定设备是brg0，别名ID是0，IP地址是 172.16.1.1，掩码是255.255.255.0。 53. 网络配置>网络设备>:添加别名设备，绑定设备是brg0，别名ID是1，IP地址是 202.100.100.3，掩码是255.255.255.0。 注意:策略配置是基于资源的，所以在配置下面的策略时，请先定义如下的资源: LOCAL_NET:网络地址192.168.1.0，掩码255.255.255.0 DMZ_NET:网络地址172.16.1.0，掩码255.255.255.0 WWW_SERVER:主机地址 172.16.1.10，掩码是255.255.255.255 MAIL_SERVER :主机地址172.16.1.11，掩码是255.255.255.255 FTP_SERVER :主机地址172.16.1.12，掩码是255.255.255.255 54. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是http，动 作是允许的包过滤规则。 55. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动 作是允许的包过率规则。 56. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 57. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 58. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是any的 NAT规则。 59. 策略配置>安全规则>:添加源地址是any，目的地址172.16.1.10，服务是http，动作是 允许的包过滤规则。 60. 策略配置>安全规则>:添加源地址是any，目的地址172.16.1.11，服务是smtp，动作是 允许的包过滤规则。 61. 策略配置>安全规则>:添加源地址是any，目的地址172.16.1.11，服务是pop3，动作是 允许的包过滤规则。 62. 策略配置>安全策略>:添加源地址是any，目的地址172.16.1.12，服务是ftp，动作是 允许的包过滤规则。 63. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是http，内部地址是 WWW_SERVER，内部服务是http的端口映射规则。 64. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是smtp，内部地址是 MAIL_SERVER，内部服务是smtp的端口映射规则。 65. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是pop3，内部地址是 MAIL_SERVER，内部服务是pop3的端口映射规则。 5-8 联想集团有限公司 网御防火墙 PowerV 功能使用手册 66. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是ftp，内部地址是 FTP_SERVER，内部服务是ftp的端口映射规则。 5. 4. 2. 2 CLI 5.5 三网口多VLAN环境 图 5-5三网口多VLAN环境 5.5.1 需求描述: 上图是一个具有三个区段的小型网络。其中内部网络划分了四个VLAN，分别是VLAN10，VLAN20，VLAN30，VLAN40;DMZ网络在一个单独的VLAN中，名称是VLAN50。VLAN10的网络地址是192.168.10.0，掩码是255.255.255.0;VLAN20的网络地址是192.168.20.0，掩码是255.255.255.0;VLAN30的网络地址是192.168.30.0，掩码是255.255.255.0;VLAN40的网络地址是192.168.40.0，掩码是255.255.255.0。DMZ(VLAN50)的网络地址是172.16.1.0，掩码是255.255.255.0。 防火墙的缺省策略是禁止。网络区段间的访问策略是:允许VLAN10，VLAN20，VLAN30，VLAN40访问DMZ和INTERNET的http，smtp，pop3，ftp服务;允许INTERNET访问DMZ的http，smtp，pop3，ftp服务;允许VLAN10访问VLAN20，VLAN30访问VLAN40。其他的访问都禁止。 设备配置配置有多种方案可以满足要求: 5-9 联想集团有限公司 网御防火墙 PowerV 功能使用手册 67. 方案1 , fe1接到交换机的TRUNK口上，将fe1的IP地址配置为192.168.10.1，掩码 是255.255.255.0，并开启TRUNK , 创建别名设备fe1_0，它的绑定设备是fe1，别名ID是0，IP地址192.168.20.1， 掩码是255.255.255.0。 , 创建别名设备fe1_1，它的绑定设备是fe1，别名ID是1，IP地址192.168.30.1， 掩码是255.255.255.0。 , 创建别名设备fe1_2，它的绑定设备是fe1，别名ID是2，IP地址192.168.40.1， 掩码是255.255.255.0。 , fe3接到VLAN50中，将它的IP地址配置为172.16.1.1，掩码是255.255.255.0。 , VLAN10的网关指向192.168.10.1，VLAN20的网关指向192.168.20.1，VLAN30 的网关指向192.168.30.1，VLAN40的网关指向192.168.40.1，VLAN50的网关 指向172.16.1.1。防火墙的缺省网关指向202.100.100.1。 68. 方案2 , fe1接到交换机的TRUNK口上，将fe1的IP地址配置为192.168.100.1(不能 与其他设备在同一网段)，掩码是255.255.255.0。 , 创建VLAN设备fe1.10，它的绑定设备是fe1，VLAN ID是10，工作在“路 由”模式，IP地址是192.168.10.1，掩码是255.255.255.0。 , 创建VLAN设备fe1.20，它的绑定设备是fe1，VLAN ID是20，工作在“路 由”模式，IP地址是192.168.20.1，掩码是255.255.255.0。 , 创建VLAN设备fe1.30，它的绑定设备是fe1，VLAN ID是30，工作在“路 由”模式，IP地址是192.168.30.1，掩码是255.255.255.0。 , 创建VLAN设备fe1.40，它的绑定设备是fe1，VLAN ID是40，工作在“路 由”模式，IP地址是192.168.40.1，掩码是255.255.255.0。 , fe3接到VLAN50中，将它的IP地址配置为172.16.1.1，掩码是255.255.255.0。 , VLAN10的网关指向192.168.10.1，VLAN20的网关指向192.168.20.1，VLAN30 的网关指向192.168.30.1，VLAN40的网关指向192.168.40.1，VLAN50的网关 指向172.16.1.1。防火墙的缺省网关指向202.100.100.1。 5.5.2 配置步骤: 5. 5. 2. 1 WEBUI 注意:设备配置请按照需求描述中的步骤配置。在配置安全策略前，请先添加以下的资源: VLAN10_NET:192.168.10.0，掩码255.255.255.0，网络地址。 VLAN20_NET:192.168.20.0，掩码255.255.255.0，网络地址。 VLAN30_NET:192.168.30.0，掩码255.255.255.0，网络地址。 VLAN40_NET:192.168.40.0，掩码255.255.255.0，网络地址。 VLAN50_NET:172.16.1.0，掩码255.255.255.0，网络地址。 WWW_SERVER:172.16.1.2，掩码255.255.255.255，主机地址。 MAIL_SERVER:172.16.1.3，掩码255.255.255.255，主机地址。 FTP_SERVER:172.16.1.4，掩码255.255.255.255，主机地址。 69. 策略配置>安全规则>:添加源地址是VLAN10_NET，目的地址是any，服务是http， 动作是允许的包过滤规则。 5-10 联想集团有限公司 网御防火墙 PowerV 功能使用手册 70. 策略配置>安全规则>:添加源地址是VLAN10_NET，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 71. 策略配置>安全规则>:添加源地址是VLAN10_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 72. 策略配置>安全规则>:添加源地址是VLAN10_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 73. 策略配置>安全规则>:添加源地址是VLAN20_NET，目的地址是any，服务是http， 动作是允许的包过滤规则。 74. 策略配置>安全规则>:添加源地址是VLAN20_NET，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 75. 策略配置>安全规则>:添加源地址是VLAN20_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 76. 策略配置>安全规则>:添加源地址是VLAN20_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 77. 策略配置>安全规则>:添加源地址是VLAN30_NET，目的地址是any，服务是http， 动作是允许的包过滤规则。 78. 策略配置>安全规则>:添加源地址是VLAN30_NET，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 79. 策略配置>安全规则>:添加源地址是VLAN30_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 80. 策略配置>安全规则>:添加源地址是VLAN30_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 81. 策略配置>安全规则>:添加源地址是VLAN40_NET，目的地址是any，服务是http， 动作是允许的包过滤规则。 82. 策略配置>安全规则>:添加源地址是VLAN40_NET，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 83. 策略配置>安全规则>:添加源地址是VLAN40_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 84. 策略配置>安全规则>:添加源地址是VLAN40_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 85. 策略配置>安全规则>:添加源地址是VLAN10_NET，目的地址是VLAN20_NET，服务 是any，动作是允许的包过滤规则。 86. 策略配置>安全规则>:添加源地址是VLAN20_NET，目的地址是VLAN10_NET，服务 是any，动作是允许的包过滤规则。 87. 策略配置>安全规则>:添加源地址是VLAN30_NET，目的地址是VLAN40_NET，服务 是any，动作是允许的包过滤规则。 88. 策略配置>安全规则>:添加源地址是VLAN40_NET，目的地址是VLAN30_NET，服务 是any，动作是允许的包过滤规则。 89. 策略配置>安全规则>:添加源地址是any，目的地址是VLAN50_NET，服务是http， 动作是允许的包过滤规则。 90. 策略配置>安全规则>:添加源地址是any，目的地址是VLAN50_NET，服务是smtp， 动作是允许的包过滤规则。 91. 策略配置>安全规则>:添加源地址是any，目的地址是VLAN50_NET，服务是pop3， 动作是允许的包过滤规则。 5-11 联想集团有限公司 网御防火墙 PowerV 功能使用手册 92. 策略配置>安全规则>:添加源地址是any，目的地址是VLAN50_NET，服务是ftp，动 作是允许的包过滤规则。 93. 策略配置>安全规则>:添加源地址是VLAN10_NET，目的地址是any，服务是any的 NAT规则。 94. 策略配置>安全规则>:添加源地址是VLAN20_NET，目的地址是any，服务是any的 NAT规则。 95. 策略配置>安全规则>:添加源地址是VLAN30_NET，目的地址是any，服务是any的 NAT规则。 96. 策略配置>安全规则>:添加源地址是VLAN40_NET，目的地址是any，服务是any的 NAT规则。 97. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是http，内部地址是 WWW_SERVER，内部服务是http的端口映射规则。 98. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是smtp，内部地址是 MAIL_SERVER，内部服务是smtp的端口映射规则。 99. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是pop3，内部地址是 MAIL_SERVER，内部服务是pop3的端口映射规则。 100. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是ftp，内部地址是 FTP_SERVER，内部服务是ftp的端口映射规则。 5. 5. 2. 2 CLI 5.6 多网口多DMZ 图 5-6多网口多DMZ 5-12 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.6.1 需求描述: 上图所示的网络有四个网络区段。其中内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0;DMZ1的网络地址是172.16.1.0，掩码是255.255.255.0;DMZ2的网络地址是172.16.2.0，掩码是255.255.255.0;fe4所在网段的网络地址是202.100.100.0，掩码是255.255.255.0。 fe1工作在路由模式，IP地址是192.168.1.1，掩码是255.255.255.0;fe2工作在路由模式，IP地址是172.16.2.1，掩码是255.255.255.0;fe3工作在路由模式，IP地址是172.16.1.1，掩码是255.255.255.0;fe4工作在路由模式，IP地址是202.100.100.3，掩码是255.255.255.0。内部网络的网关指向192.168.1.1，DMZ1的网关指向172.16.1.1，DMZ2的网关指向172.16.2.1，防火墙的缺省网关指向202.100.100.1。 防火墙的默认安全策略是禁止。区段间的安全策略是:允许内部网络区段访问DMZ1的http，smtp，pop3，ftp服务，DMZ2的所有服务，INTERNET的http，smtp，pop3，ftp服务;允许DMZ1访问DMZ2的所有服务;允许INTERNET访问DMZ1的http，smtp，pop3，ftp服务。其他的访问都禁止。 5.6.2 配置步骤: 5. 6. 2. 1 WEBUI 101. 设备配置请参考上面的需求描述。 注意:在配置安全策略前，请先添加如下的资源: LOCAL_NET:192.168.1.0，掩码255.255.255.0，网络地址。 DMZ1_NET:172.16.1.0，掩码255.255.255.0，网络地址。 DMZ2_NET:172.16.2.0，掩码255.255.255.0，网络地址。 WWW_SERVER:172.16.1.2，掩码255.255.255.255，主机地址。 MAIL_SERVER:172.16.1.3，掩码255.255.255.255，主机地址。 FTP_SERVER:172.16.1.4，掩码255.255.255.255，主机地址。 SQL_SERVER:172.16.2.2，掩码255.255.255.255，主机地址。 102. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是http，动 作是允许的包过滤规则。 103. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动 作是允许的包过滤规则。 104. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 105. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 106. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是DMZ2_NET，服务是 any，动作是允许的包过滤规则。 107. 策略配置>安全规则>:添加源地址是DMZ1_NET，目的地址是DMZ2_NET，服务是 any，动作是允许的包过滤规则。 108. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ1_NET，服务是http，动作 是允许的包过滤规则。 5-13 联想集团有限公司 网御防火墙 PowerV 功能使用手册 109. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ1_NET，服务是smtp，动 作是允许的包过滤规则。 110. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ1_NET，服务是pop3，动 作是允许的包过滤规则。 111. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ1_NET，服务是ftp，动作 是允许的包过滤规则。 112. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是any的 NAT规则。 113. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是http，内部地址是 WWW_SERVER，内部服务是http的端口映射规则。 114. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是smtp，内部地址是 MAIL_SERVER，内部服务是smtp的端口映射规则。 115. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是pop3，内部地址是 MAIL_SERVER，内部服务是pop3的端口映射规则。 116. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是ftp，内部地址是 FTP_SERVER，内部服务是ftp的端口映射规则。 5. 6. 2. 2 CLI 5.7 多网口多内网区段 图 5-7多网口多内网区段 5-14 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.7.1 需求描述: 上图是一个六网口防火墙的应用环境。内部网络1的网络地址是192.168.10.0，掩码是255.255.255.0;内部网络2的网络地址是192.168.20.0，掩码是255.255.255.0;内部网络3的网络地址是192.168.30.0，掩码是255.255.255.0;内部网络4的网络地址是192.168.40.0，掩码是255.255.255.0。DMZ网络的网络地址172.16.1.0，掩码是255.255.255.0。fe5所在网络的网络地址是202.100.100.0，掩码是255.255.255.0。 fe1工作在路由模式，IP地址是192.168.10.1，掩码是255.255.255.0;fe2工作在路由模式，IP地址是192.168.20.1，掩码是255.255.255.0;fe3工作在路由模式，IP地址是192.168.30.1，掩码是255.255.255.0;fe4的工作在路由模式，IP地址是192.168.40.1，掩码是255.255.255.0;fe5工作在路由模式，IP地址是202.100.100.3，掩码是255.255.255.0;fe6工作在路由模式，IP地址是172.16.1.1，掩码是255.255.255.0。内部网络1的缺省网关是192.168.10.1，内部网络2的缺省网关是192.168.20.1，内部网络3的缺省网关是192.168.30.1，内部网络4的缺省网关是192.168.40.1，DMZ网络的缺省网关是172.16.1.1，防火墙的缺省网关是202.100.100.1。 防火墙的默认安全策略是禁止。网络区段间的安全策略:允许内部网络访问DMZ和INTERNET的http，smtp，pop3，ftp服务;允许内部网络1访问内部网络2，3，4;允许INTERNET访问DMZ网络的http，smtp，pop3，ftp服务。其他的访问都禁止。 5.7.2 配置步骤: 5. 7. 2. 1 WEBUI 117. 网络设备配置请参考上面的需求描述。 注意:设备配置请按照需求描述中的步骤配置。在配置安全策略前，请先添加以下的资源: LOCAL_NET1:192.168.10.0，掩码255.255.255.0，网络地址。 LOCAL_NET2:192.168.20.0，掩码255.255.255.0，网络地址。 LOCAL_NET3:192.168.30.0，掩码255.255.255.0，网络地址。 LOCAL_NET4:192.168.40.0，掩码255.255.255.0，网络地址。 DMZ_NET:172.16.1.0，掩码255.255.255.0，网络地址。 WWW_SERVER:172.16.1.2，掩码255.255.255.255，主机地址。 MAIL_SERVER:172.16.1.3，掩码255.255.255.255，主机地址。 FTP_SERVER:172.16.1.4，掩码255.255.255.255，主机地址。 118. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是http， 动作是允许的包过滤规则。 119. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 120. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 121. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 122. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是http， 动作是允许的包过滤规则。 5-15 联想集团有限公司 网御防火墙 PowerV 功能使用手册 123. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 124. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 125. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 126. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是http， 动作是允许的包过滤规则。 127. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 128. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 129. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 130. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是http， 动作是允许的包过滤规则。 131. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是smtp， 动作是允许的包过滤规则。 132. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 133. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 134. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是LOCAL_NET2，服 务是any，动作是允许的包过滤规则。 135. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是LOCAL_NET3，服 务是any，动作是允许的包过滤规则。 136. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是LOCAL_NET4，服 务是any，动作是允许的包过滤规则。 137. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是http，动作 是允许的包过滤规则。 138. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是smtp，动作 是允许的包过滤规则。 139. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是pop3，动作 是允许的包过滤规则。 140. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是ftp，动作 是允许的包过滤规则。 141. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是any的 NAT规则。 142. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是any的 NAT规则。 143. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是any的 NAT规则。 144. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是any的 NAT规则。 5-16 联想集团有限公司 网御防火墙 PowerV 功能使用手册 145. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是http，内部地址是 WWW_SERVER，内部服务是http的端口映射规则。 146. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是smtp，内部地址是 MAIL_SERVER，内部服务是smtp的端口映射规则。 147. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是pop3，内部地址是 MAIL_SERVER，内部服务是pop3的端口映射规则。 148. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是ftp，内部地址是 FTP_SERVER，内部服务是ftp的端口映射规则。 5. 7. 2. 2 CLI 5.8 ADSL连接 图 5-8 ADSL连接 5.8.1 需求描述: 上图是一个使用ADSL拨号连接网络。内部网络的网络地址是192.168.1.0，掩码是255.255.255.0。 fe1工作在路由模式，IP地址是192.168.1.1，掩码是255.255.255.0。fe4工作在路由模式，IP地址是192.168.2.0，掩码是255.255.255.0。编辑拨号设备diao0，选择它的绑定设备是fe4，然后填入正确的用户名，密码，并启用此设备。 内部网络的缺省网关是192.168.1.1，防火墙的缺省网关由拨号设备自动获取。 防火墙的缺省安全策略是禁止。允许内部网络访问INTERNET，其他的访问都禁止。 5-17 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.8.2 配置步骤: 5. 8. 2. 1 WEBUI 149. 网络设备配置请参考上面的需求描述。 注意:在配置安全策略前，先添加如下的资源: LOCAL_NET:192.168.1.0，掩码255.255.255.0，网络地址。 150. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是any，动 作是允许的包过滤规则。 151. 策略配置>安全规则>:添加源地址是LOCA_NET，目的地址是any，服务是any的NAT 规则。 5. 8. 2. 2 CLI 5.9 DHCP的应用 图 5-9 DHCP的应用 5.9.1 需求描述: 网御3000支持DHCP客户端，服务器和DHCP中继，应用场景如下: 152. 防火墙的网络设备fe3使用DHCP协议获取因特网地址 5-18 联想集团有限公司 网御防火墙 PowerV 功能使用手册 , 内部网络的网络地址是192.168.1.0，掩码是255.255.255.0。fe1工作在路由模 式，IP地址是192.168.1.1，掩码是255.255.255.0。 , fe3工作在路由模式，地址获取方法是DHCP。 , 内部网络的缺省网关是192.168.1.1，防火墙的缺省网关由DHCP协议自动获 取。 153. 防火墙作为DHCP服务器 , 内部网络的网络地址是192.168.1.0，掩码是255.255.255.0。fe1工作在路由模 式，IP地址是192.168.1.1，掩码是255.255.255.0。 , 内部网络主机的地址范围是192.168.1.2到192.168.1.254，每台主机的地址由 防火墙分配。 , fe3工作在路由模式，IP地址是202.100.100.3，掩码是255.255.255.0。 , 内部网络的缺省网关由DHCP协议自动获取，防火墙的缺省网关是 202.100.100.1。 154. 防火墙作为DHCP中继服务器 , 内部网络的网络地址是192.168.1.0，掩码是255.255.255.0。fe1工作在路由模 式，IP地址是192.168.1.1，掩码是255.255.255.0，开启DHCP中继。 , 内部网络主机的地址范围是192.168.1.2到192.168.1.254，内部主机的IP地址 由DHCP服务器分配。 , fe3工作在路由模式，IP地址是192.168.2.1，掩码是255.255.255.0，开启DHCP 中继。 , DHCP服务器的IP地址是192.168.2.100。 , 内部网络的缺省网关由DHCP协议获取。防火墙的缺省网关是192.168.2.200。 防火墙的缺省策略是禁止。允许内部网络访问INTERNET的http，smtp，pop3，ftp服务，允许内部网络从DHCP服务器获取IP地址，其他的访问都禁止。 5.9.2 配置步骤: 5. 9. 2. 1 WEBUI 1. 网络设备的配置请参考需求描述。 注意:在配置策略前，请先定义如下的规则: LOCAL_NET:192.168.1.0，掩码255.255.255.0，网络地址。 EXTERNAL_NET:192.168.2.0，掩码255.255.255.0，网络地址。 DHCP_SERVER:192.168.2.100，掩码255.255.255.255，主机地址。 2. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是http，动 作是允许的包过滤规则。 3. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动 作是允许的包过滤规则。 4. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是pop3， 动作是允许的包过滤规则。 5. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动 作是允许的包过滤规则。 6. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是DHCP_SERVER，服 务是dhcp，动作是允许的包过滤规则。 5-19 联想集团有限公司 网御防火墙 PowerV 功能使用手册 7. 策略配置>安全规则>:添加源地址是LOCAL_NET，目的地址是any，服务是any的 NAT规则。 5. 9. 2. 2 CLI 5.10 多外网出口 图 5-10多外网出口 5.10.1 需求描述: 上图是一个多出口的应用环境。出口fe5和fe6的带宽不同。 内部网络1的网络地址是192.168.1.0，掩码是255.255.255.0;内部网络2的网络地址是192.168.2.0，掩码是255.255.255.0;内部网络3的网络地址是192.168.3.0，掩码是255.255.255.0;内部网络4的网络地址是192.168.4.0，掩码是255.255.255.0。 fe1的IP地址是192.168.1.1，掩码是255.255.255.0;fe2的IP地址是192.168.2.1，掩码是255.255.255.0;fe3的IP地址是192.168.3.1，掩码是255.255.255.0;fe4的IP地址是192.168.4.1，掩码是255.255.255.0;fe5的IP地址是202.100.100.3，掩码是255.255.255.0;fe6的IP地址是202.100.200.3，掩码是255.255.255.0。 内部网络1的缺省网关是192.168.1.1，内部网络2的缺省网关是192.168.2.1，内部网络3的缺省网关是192.168.3.1，内部网络4的缺省网关是192.168.4.1。防火墙的缺省网关是 5-20 联想集团有限公司 网御防火墙 PowerV 功能使用手册 202.100.100.1。 内部网络1和内部网络2访问INTERNET通过fe5，内部网络3和内部网络4访问INTERNET通过fe6。 防火墙的缺省安全策略是禁止。访问策略是:允许内部网络1，2，3，4访问INTERNET，其他的访问都是禁止。 5.10.2 配置步骤: 5. 10. 2. 1 WEBUI 155. 网络设备的配置请参考上面的需求描述。 注意:在配置策略之前，请先定义如下的资源: LOCAL_NET1:192.168.1.0，掩码255.255.255.0，网络地址。 LOCAL_NET2:192.168.2.0，掩码255.255.255.0，网络地址。 LOCAL_NET3:192.168.3.0，掩码255.255.255.0，网络地址。 LOCAL_NET4:192.168.4.0，掩码255.255.255.0，网络地址。 156. 网络配置>策略路由:添加源地址是LOCAL_NET1，目的地址是任意，下一跳地址是 202.100.100.1，网络接口是fe5。 157. 网络配置>策略路由:添加源地址是LOCAL_NET2，目的地址是任意，下一跳地址是 202.100.100.1，网络接口是fe5。 158. 网络配置>策略路由:添加源地址是LOCAL_NET3，目的地址是任意，下一跳地址是 202.100.200.1，网络接口是fe6。 159. 网络配置>策略路由:添加源地址是LOCAL_NET4，目的地址是任意，下一跳地址是 202.100.200.1，网络接口是fe6。 160. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是any，动 作是允许的包过滤规则。 161. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是any，动 作是允许的包过滤规则。 162. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是any，动 作是允许的包过滤规则。 163. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是any，动 作是允许的包过滤规则。 164. 策略配置>安全规则>:添加源地址是LOCAL_NET1，目的地址是any，服务是any的 NAT规则。 165. 策略配置>安全规则>:添加源地址是LOCAL_NET2，目的地址是any，服务是any的 NAT规则。 166. 策略配置>安全规则>:添加源地址是LOCAL_NET3，目的地址是any，服务是any的 NAT规则。 167. 策略配置>安全规则>:添加源地址是LOCAL_NET4，目的地址是any，服务是any的 NAT规则。 5-21 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5. 10. 2. 2 CLI 5.11 端口映射应用 图 5-11端口映射应用 5.11.1 需求描述: 上图是端口映射的应用环境。WWW服务器集群的地址范围是172.16.1.10到172.16.1.即5;MAIL服务器集群的地址范围是172.16.1.20到172.16.1.25;FTP服务器集群的地址范围是172.16.1.30到172.16.1.35。 fe3的IP地址是172.16.1.1，掩码是255.255.255.0;fe4的IP地址是202.100.100.3，掩码是255.255.255.0。fe4的IP地址是202.100.100.3，掩码是255.255.255.0。WWW服务器集群，MAIL服务器集群，FTP服务器集群的缺省网关是172.16.1.1，防火墙的缺省网关是202.100.100.1。 防火墙的缺省安全策略是禁止。访问策略是:允许INTERNET访问服务器集群网络的http，smtp，pop3，ftp服务。其他的访问都禁止。 5.11.2 配置步骤: 5. 11. 2. 1 WEBUI 168. 网络设备的配置请参考上面的需求描述。 5-22 联想集团有限公司 网御防火墙 PowerV 功能使用手册 注意:在策略配置前，请先定义如下的资源: DMZ_NET:172.16.1.0，掩码是255.255.255.0，网络地址。 WWW_SERVER_GRP:172.16.1.10，172.16.1.11，172.16.1.12，172.16.1.13，172.16.1.14，172.16.1.15，服务器地址。 MAIL_SERVER_GRP:172.16.1.20，172.16.1.21，172.16.1.22，172.16.1.23，172.16.1.24，172.16.1.25，服务器地址。 FTP_SERVER_GRP:172.16.1.30，172.16.1.31，172.16.1.32，172.16.1.33，172.16.1.34，172.16.1.35，服务器地址。 169. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是http，动作 是允许的包过滤规则。 170. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是smtp，动作 是允许的包过滤规则。 171. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是pop3，动作 是允许的包过滤规则。 172. 策略配置>安全规则>:添加源地址是any，目的地址是DMZ_NET，服务是ftp，动作 是允许的包过滤规则。 173. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是http，内部地址是 WWW_SERVER_GRP，内部服务是http的端口映射规则。 174. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是smtp，内部地址是 MAIL_SERVER_GRP，内部服务是smtp的端口映射规则。 175. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是pop3，内部地址是 MAIL_SERVER_GRP，内部服务是pop3的端口映射规则。 176. 策略配置>安全策略>:添加公开地址是202.100.100.3，对外服务是ftp，内部地址是 FTP_SERVER_GRP，内部服务是ftp的端口映射规则。 5. 11. 2. 2 CLI 5.12 单交换机节点下的主动-主动LFRP集群 5-23 联想集团有限公司 网御防火墙 PowerV 功能使用手册 Internet VRRP 路由器1 路由器2 172.10.1.1 00:00:0c:a8:80:03 外部交换机 LFRP集群(负载均衡) 各节点Fe1口: IP:172.10.1.254 防火墙2 Fe1 Fe1 防火墙1 MAC:01:00:00:00:00:01 LFRP HA HA 各节点Fe3口: Fe3 Fe3 IP:192.168.1.254 MAC:01:00:00:00:00:02 内部交换机 Trust区段 192.168.1.0/255.255.255.0 图 5-12单交换机节点下的主动-主动LFRP集群 5-24 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.13 双交换机节点下的主动-主动LFRP集群 Internet VRRP 路由器1 路由器2 172.10.1.1 00:00:0c:a8:80:03 外部交换机2 外部交换机1 Trunk LFRP集群(负载均衡) 各节点Fe1口: IP:172.10.1.254 防火墙2 Fe1 Fe1 防火墙1 MAC:01:00:00:00:00:01 LFRP HA HA 各节点Fe3口: Fe3 Fe3 IP:192.168.1.254 Trunk MAC:01:00:00:00:00:02 内部交换机2 内部交换机1 Trust区段 192.168.1.0/255.255.255.0 图 5-13双交换机节点下的主动-主动LFRP集群 5-25 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.14 双交换机双路由器(路由交换机)下的会话保护 Internet 路由器1 路由器2 外部路由交换机2 外部路由交换机1 Trunk 防火墙1 防火墙2 LFRP Trunk 内部交换机2 内部交换机1 图 5-14双交换机双路由器(路由交换机)下的会话保护 5-26 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.15 连接企业分支的局域网-局域网VPN应用 局域网-1 192.168.1.0/24 fe1192.168.1.254 防火墙-1 202.121.250.2fe3 路由 202.120.2.101fe3 防火墙-2 fe1192.168.2.254 192.168.2.0/24 局域网-2 注意:网御3000防火墙的基本配置是有四个物理设备，其中fe1是默认的可管理设备(默认启用)。fe2一般用于HA，在此图中，没有使用fe2，fe4。 5.15.1 需求描述: 上图是局域网-局域网的应用环境。在这种应用环境下局域网-1和局域网-2的用户可以通过防火墙-1和防火墙-2之间建立的通信隧道访问到对方网络的任意机器。如上图，局域网-1由防火墙-1保护，它的网络地址是192.168.1.0，子网掩码是255.255.255.0;防火墙-1的fe1工作在路由模式，它的IP地址为192.168.1.254，它的fe3口和Internet连接，IP地址为202.121.250.2;同时局域网-1的缺省网关指向192.168.1.254。局域网-2由防火墙-2保护，它的网络地址是192.168.2.0，子网掩码是255.255.255.0;防火墙-2的fe1工作在路由模式，它的IP地址为192.168.2.254，防火墙-2的fe1口面向局域网-1它的IP地址为192.168.2.254，它的fe3口和Internet连接，IP地址为202.120.2.101，同时局域网-1的缺省网关指向192.168.1.254。图中红线条表示数据在两防火墙之间传输时是经过加密和认证的。 5.15.2 配置步骤: 1. 网络配置>网络设备>物理设备>:在防火墙-1上请参考上面的需求描述将fe3和fe1 5-27 联想集团有限公司 网御防火墙 PowerV 功能使用手册 的IP地址配置为202.121.250.2、192.168.1.254，同样防火墙-2将fe3和fe1的IP 地址配置为202.120.2.101、192.168.2.254。 2. 网络配置>网络设备>VPN设备>:防火墙-1将ipsec0和设备fe3绑定并将其启用;防火墙-2也将ipsec0和设备fe3绑定并将其启用。 3. VPN>远程VPN>:添加一个新的远程VPN，点击“添加”按钮 防火墙-1: , 设定远程VPN的名称为“GTG1”; , 设定远程VPN地址为202.120.2.101; , 设定认证方式为“预共享密钥”; , 设定预共享密钥为“LenovoVPN”; , IKE算法组件选择为“3DES-MD5”算法; , 认证模式选择为“主模式”; , VPN类型设定为“网关”; 防火墙-2: , 设定远程VPN的名称为“GTG1”; , 设定远程VPN地址为202.121.250.2; , 设定认证方式为“预共享密钥”; , 设定预共享密钥为“LenovoVPN”; , IKE算法组件选择为“3DES-MD5”算法; , 认证模式选择为“主模式”; , VPN类型设定为“网关”; (用户可以根据自身需求进行设置，但是在认证方式，预共享密钥，认证模式，IKE 算法组件这几个选项上两个防火墙必须保持一致，另外VPN类型必须选择为“网关”)。 4. VPN>网关隧道配置>:添加一个新的网关隧道，点击“添加”按钮 防火墙-1: , 设定隧道名称为”fw1-fw2”; , 本地保护子网以及本地保护子网掩码设定为”192.168.1.0”和”255.255.2555.0”; , 在下拉菜单中选择远程VPN名称“GTG1”; , IPSec算法组件选择为“3DES-MD5”; , 完美前向保密选择“否”; , 数据包认证方式为“ESP”; , 是否压缩选择为“否”; , 缺省策略选择为“包过滤”; , 并选择启用该隧道; 防火墙-2: , 设定隧道名称为”fw2-fw1”; , 本地保护子网以及本地保护子网掩码设定为”192.168.2.0”和”255.255.2555.0”; , 在下拉菜单中选择远程VPN名称“GTG1”; , IPSec算法组件选择为“3DES-MD5”; , 完美前向保密选择“否”; , 数据包认证方式为“ESP”; , 是否压缩选择为“否”; , 缺省策略选择为“包过滤”; 5-28 联想集团有限公司 网御防火墙 PowerV 功能使用手册 , 并选择启用该隧道; (同样用户可以根据自身需求进行设置，但是在IPSec算法组件、完美前向保密、是否压缩、缺省策略这几个选项上两个防火墙必须保持一致) 5. 网络配置>静态路由>:添加一条静态路由 防火墙-1: , 将目的地址设定为192.168.2.0; , 下一跳地址选择本地防火墙地址; , 设备均选择为fe1; 防火墙-2: , 将目的地址设定为192.168.2.0; , 下一跳地址选择为本地防火墙地址; , 设备均选择为fe1; 6. 策略配置>安全规则>包过滤规则>:添加两条允许新建隧道的数据包通过防火墙的规则。 防火墙-1: , 首先添加允许数据包流出局域网的规则，把源地址设定为192.168.1.0子网掩 码255.255.255.0;目的地址设定为192.168.2.0 子网掩码255.255.255.0然后在 “动作”处选择IPSEC , 接下来配置添加允许数据包进入局域网的规则，把源地址设定为192.168.2.0 子网掩码255.255.255.0;目的地址设定为192.168.1.0 子网掩码255.255.255.0 然后在“动作”处选择IPSEC 防火墙-2: , 首先添加允许数据包流出局域网的规则，把源地址设定为192.168.2.0子网掩 码255.255.255.0;目的地址设定为192.168.1.0 子网掩码255.255.255.0然后在 “动作”处选择IPSEC , 接下来配置添加允许数据包进入局域网的规则，把源地址设定为192.168.1.0 子网掩码255.255.255.0;目的地址设定为192.168.2.0 子网掩码255.255.255.0 然后在“动作”处选择IPSEC 7. VPN>隧道监控>IPSec隧道>:启动该隧道，在双方都点击启动按钮后，即可建立在两防火墙之间的隧道。 5-29 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.16 远程访问VPN客户端应用 已安装客户端的 PC 219.160.2.153 INTERNET 路由 fe3202.120.2.101防火墙 192.168.1.254fe1 192.168.1.0/24 局域网 5.16.1 需求描述: 上图是远程用户通过客户端对局域网进行远程访问的使用环境。如上图，局域网由防火墙保护，它的网络地址是192.168.1.0，子网掩码是255.255.255.0;防火墙的fe1工作在路由模式，它的IP地址为192.168.1.254，它的fe3口和Internet连接，IP地址为202.120.2.101;同时局域网的缺省网关指向192.168.1.254。而处于Internet上的已安装客户端软件的PC，它的IP地址为219.160.2.153 5.16.2 配置步骤: 本配置步骤将分成防火墙配置和客户端配置两部分进行叙述。 5.16.3 防火墙配置: 1. VPN>远程VPN>:添加一个新的远程VPN , 设定远程VPN的名称为“GTC1”; , VPN类型设定为“客户端”; , 设定认证方式为“预共享密钥”; , 预共享密钥设定为“LenovoVPN”; , IKE算法组件选择为“3DES-MD5” , 认证模式为“主模式”; 2. VPN>客户端隧道配置>:添加一个新的客户端隧道 5-30 联想集团有限公司 网御防火墙 PowerV 功能使用手册 , 设定隧道名称“fw-cli”; , 远程VPN在下拉菜单中选择“GTC1”; , 客户端虚拟IP地址类型选择“any”; , 客户端可访问子网及掩码设定为192.168.1.0和255.255.2555.0; , 数据包认证方式为“ESP”; , 缺省策略为“包过滤”; , 选择启用该隧道; 3. 网络配置>静态路由>:添加一条静态路由 , 将目的地址设定为219.160.2.153; , 下一跳地址选择为本地防火墙地址; , 设备均选择为fe1; 4. 策略配置>安全规则>包过滤规则>:添加两条允许新建隧道的数据包通过防火墙的规 则。 , 首先添加允许数据包流出局域网的规则，把源地址设定为192.168.1.0 子网掩码 255.255.255.0;目的地址设定为219.160.2.153，然后在“动作”处选择IPSEC。 , 接下来配置添加允许数据包进入局域网的规则，把源地址设定219.160.2.153;目的 地址设定为192.168.1.0 子网掩码255.255.255.0,然后在“动作”处选择IPSEC。 5. VPN>隧道监控>IPSec隧道>:启动该隧道，点击“启动”按钮启动VPN隧道。 5.16.4 客户端配置: 开始>程序>联想网御VPN客户端>网御配置>: 将客户端界面左下脚“密码机控制”复选框选择为“启用”; 点击“添加”按钮按照添加向导的提示添加网关唯一名称“LenovoFW” 网关IP地址设定为“202.120.2.101”; 与该网关相关联的子网地址设定“192.168.1.0”子网掩码“255.255.255.0”; 5-31 联想集团有限公司 网御防火墙 PowerV 功能使用手册 5.17 PPTP/L2TP远程访问 使用PPTP/L2TP的Windows主机 INTERNET 路由 202.120.2.101fe3 防火墙 fe1192.168.1.254 192.168.1.0/24 局域网 5.17.1 需求描述: 上图是远程用户通过客户端对局域网进行远程访问的使用环境。如上图，局域网由防火墙保护，它的网络地址是192.168.1.0，子网掩码是255.255.255.0;防火墙的fe1工作在路由模式，它的IP地址为192.168.1.254，它的fe3口和Internet连接，IP地址为202.120.2.101;同时局域网的缺省网关指向192.168.1.254。 5.17.2 配置步骤: 本配置步骤将分成防火墙配置和客户端配置两部分进行叙述。 5.17.3 防火墙配置: VPN>远程拨号用户>:添加用于远程用户拨号的用户名和密码 5.17.4 远程用户配置: 在网络和拨号连接中点击新建一个连接，然后选择通过Internet连接到专用网络，并根据提示输入防火墙地址(202.120.2.101)。在建立好此连接后输入用户名和密码就可以拨号 5-32 联想集团有限公司 网御防火墙 PowerV 功能使用手册 和防火墙建立VPN连接了。 5-33 联想集团有限公司