联想网御防火墙PowerV功能使用
_5应用
网御防火墙 PowerV 功能使用手册
第5章 典型应用环境 5.1 三网口纯路由模式
图 5-1三网口纯路由模式
注意:网御3000防火墙的基本配置是有四个物理设备,其中fe1是默认的可管理设备(默认启用),地址是10.1.5.254。fe2一般用于HA,所以在这个图中,没有使用fe2。
5.1.1 需求描述:
上图是一个具有三个区段的小型网络。Internet区段的网络地址是202.100.100.0,掩码是255.255.255.0;DMZ区段的网络地址是172.16.1.0,掩码是255.255.255.0;内部网络区段的网络地址是192.168.1.0,掩码是255.255.255.0。
fe1的IP地址是192.168.1.1,掩码是255.255.255.0;fe3的IP地址是172.16.1.1,掩码是255.255.255.0;fe4的IP地址是202.100.100.3,掩码是255.255.255.0。内部网络区段主机的缺省网关指向fe1的IP地址192.168.1.1;DMZ网络区段的主机的缺省网关指向fe3的IP地址172.16.1.1;防火墙的缺省网关指向路由器的地址202.100.100.1。
WWW服务器的地址是172.16.1.10,端口是80;MAIL服务器的地址是172.16.1.11,端口是25和110;FTP服务器的地址是172.16.1.12,端口是21。
安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp,pop3,ftp服务;允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。
5-1 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.1.2 配置步骤:
5. 1. 2. 1 WEBUI
1. 网络配置>网络设备>:编辑物理设备fe1,将它的IP地址配置为192.168.1.1,掩码是
255.255.255.0。
注意:fe1默认是用于管理的设备,如果改变了它的地址,就不能用原来的地址管理了。
而且默认的管理主机地址是10.1.5.200,如果没有事先添加其他的管理主机地址,将会
导致防火墙再也不能被管理了(除非用串口登录上去添加新的管理主机地址)。其他设
备默认是不启用的,所以配地址时要同时选择启用设备。
2. 网络配置>网络设备>:编辑物理设备fe3,将它的IP地址配置为172.16.1.1,掩码是
255.255.255.0。
3. 网络配置>网络设备>:编辑物理设备fe4,将它的IP地址配置为202.100.100.3,掩码是
255.255.255.0。
4. 网络配置>静态路由>:添加下一跳地址是202.100.100.1的默认路由。目的地址,掩码
都是0.0.0.0,接口选择fe4。
注意:策略配置是基于资源的,所以在配置下面的策略时,请先定义如下的资源:
LOCAL_NET:网络地址192.168.1.0,掩码255.255.255.0
DMZ_NET:网络地址172.16.1.0,掩码255.255.255.0
WWW_SERVER:主机地址 172.16.1.10,掩码是255.255.255.255
MAIL_SERVER :主机地址172.16.1.11,掩码是255.255.255.255
FTP_SERVER :主机地址172.16.1.12,掩码是255.255.255.255
5. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动
作是允许的包过滤规则。
6. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动
作是允许的包过率规则。
7. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
8. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
9. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any的
NAT规则。
10. 策略配置>安全规则>:添加源地址是any,目的地址172.16.1.10,服务是http,动作是
允许的包过滤规则。
11. 策略配置>安全规则>:添加源地址是any,目的地址172.16.1.11,服务是smtp,动作是
允许的包过滤规则。
12. 策略配置>安全规则>:添加源地址是any,目的地址172.16.1.11,服务是pop3,动作是
允许的包过滤规则。
13. 策略配置>安全策略>:添加源地址是any,目的地址172.16.1.12,服务是ftp,动作是
允许的包过滤规则。
14. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是
WWW_SERVER,内部服务是http的端口映射规则。
5-2 联想集团有限公司
网御防火墙 PowerV 功能使用手册
15. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是
MAIL_SERVER,内部服务是smtp的端口映射规则。
16. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是
MAIL_SERVER,内部服务是pop3的端口映射规则。
17. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是
FTP_SERVER,内部服务是ftp的端口映射规则。
5. 1. 2. 2 CLI
1. ac>interface set phy if fe1 ip 192.168.1.1 netmask 255.255.255.0
2. ac>interface set phy if fe3 ip 172.16.1.1 netmask 255.255.255.0
3. ac>interface set phy if fe4 ip 202.100.100.3 netmask 255.255.255.0
4. ac>route add static dip 0.0.0.0/0.0.0.0 gateway 202.100.100.1 interface fe1
5.2 三网口混合模式
图 5-2三网口混合模式
5.2.1 需求描述:
上图是一个具有三个区段的小型网络。其中内部网络区段的IP地址是10.10.10.2到
10.10.10.50,掩码是255.255.255.0;DMZ网络区段的IP地址是10.10.10.100到10.10.10.150,
掩码是255.255.255.0。WWW服务器的IP地址是10.10.10.100,开放端口是80;MAIL服务
器的IP地址是10.10.10.101,开放端口是25和110;FTP服务器的IP地址是10.10.10.102,
开放端口是21。Internet区段的网络地址是201.100.100.0,掩码是255.255.255.0。
fe1工作在透明模式,fe3工作在透明模式,fe4工作在路由模式,IP地址是202.100.100.3,
掩码是255.255.255.0。桥接设备brg0的IP地址是10.10.10.1,掩码时255.255.255.0。内网
网络区段的缺省网关是10.10.10.1,DMZ网络区段的缺省网关是10.10.10.1。防火墙的缺省
5-3 联想集团有限公司
网御防火墙 PowerV 功能使用手册 网关是202.100.100.1。
防火墙的缺省安全策略是禁止。区段间的安全策略是:允许内网网络区段访问Internet和DMZ,允许Internet访问DMZ,其他的访问都禁止。
5.2.2 配置步骤:
5. 2. 2. 1 WEBUI
18. 网络配置>网络设备>:编辑桥接设备brg0,配置它的IP地址是10.10.10.1,掩码是
255.255.255.0,选择可管理,确定。
19. 网络配置>网络设备>:编辑物理设备fe1,选择它的工作模式是“透明模式”,确定。
注意:fe1是缺省的可管理设备,将它的工作模式置为透明模式将导致防火墙不能使用
原来的IP地址管理了,但可以使用桥接设备brg0的IP地址继续管理。所以在设置物
理设备fe1的工作模式前先确认brg0的IP地址与管理主机在同一网段,并且可管理。
20. 网络配置>网络设备>:编辑物理设备fe3,选择它的工作模式是“透明模式”,确定。 21. 网络配置>网络设备>:编辑物理设备fe4,配置它的IP地址为202.100.100.3,掩码是
255.255.255.0,确定。
22. 网络配置>静态路由>:添加网关是202.100.100.1的缺省路由。
注意:下面的策略配置需要先定义如下的资源:
LOCAL_NET:10.10.10.0,掩码是255.255.255.0,网络地址。(在包过滤规则中不推荐
使用网络地址段,以避免性能下降)
DMZ_NET:10.10.10.0,掩码是255.255.255.0,网络地址。
WWW_SERVER:10.10.10.100,掩码是255.255.255.255,主机地址。
MAIL_SERVER:10.10.10.101,掩码是255.255.255.255,主机地址。
FTP_SERVER:10.10.10.102,掩码是255.255.255.255,主机地址。
INTERNET:10.10.10.0,掩码是255.255.255.0,反网络地址。
23. 策略配置>安全规则>:添加源地址是LOCAL_NET,入网口是fe1,目的地址是any,
服务是http,动作是允许的包过滤规则。
24. 策略配置>安全规则>:添加源地址是LOCAL_NET,入网口是fe1,目的地址是any,
服务是smtp,动作是允许的包过滤规则。
25. 策略配置>安全规则>:添加源地址是LOCAL_NET,入网口是fe1,目的地址是any,
服务是pop3,动作是允许的包过滤规则。
26. 策略配置>安全规则>:添加源地址是LOCAL_NET,入网口是fe1,目的地址是any,
服务是ftp,动作是允许的包过滤规则。
27. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是INTERNET,服务是
any的NAT规则。
28. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是WWW_SERVER,服务
是http,动作是允许的包过滤规则。
29. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是MAIL_SERVER,服务
是smtp,动作是允许的包过滤规则。
30. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是MAIL_SERVER,服务
是pop3,动作是允许的包过滤规则。
5-4 联想集团有限公司
网御防火墙 PowerV 功能使用手册 31. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是FTP_SERVER,服务是
ftp,动作是允许的包过滤规则。
32. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是WWW_SERVER,服务
是http的端口映射规则。
33. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是MAIL_SERVER,服务
是smtp的端口映射规则。
34. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是MAIL_SERVER,服务
是pop3的端口映射规则。
35. 策略配置>安全规则>:添加源地址是INTERNET,目的地址是FTP_SERVER,服务是
ftp的端口映射规则。
5. 2. 2. 2 CLI
5.3 三网口透明模式
图 5-3三网口透明模式
5.3.1 需求描述:
上图是一个具有三个区段的小型网络。其中内部网络区段的地址是10.10.10.1到10.10.10.50,掩码是255.255.255.0;DMZ网络区段的地址是10.10.10.100到10.10.10.150,掩码是255.255.255.0;fe4所在网络区段的地址是10.10.10.200到10.10.10.254,掩码是255.255.255.0。WWW服务器的地址是10.10.10.100,开放端口是80;MAIL服务器的地址是10.10.10.101,开放端口是25和110;FTP服务器的地址是10.10.10.102,开放端口是21。
fe1工作在透明模式,fe3工作在透明模式,fe4工作在透明模式。桥接设备brg0的IP地址是10.10.10.1,允许管理。
5-5 联想集团有限公司
网御防火墙 PowerV 功能使用手册
防火墙的缺省安全策略是禁止。区段间的安全策略是:允许内部网络区段访问DMZ区段和INTERNET的http,smtp,pop3,ftp服务,允许INTERNET区段访问DMZ网络的http,smtp,pop3,ftp服务。其他的访问都禁止。
5.3.2 配置步骤:
5. 3. 2. 1 WEBUI
36. 网络配置>网络设备>:编辑桥接设备brg0,将它的IP地址配置为10.10.10.1,掩码是
255.255.255.0,允许管理,确定。
37. 网络配置>网络设备>:编辑物理设备fe1,选择工作模式为“透明”,确定。 38. 网络配置>网络设备>:编辑物理设备fe3,选择工作模式为“透明”,确定。 39. 网络配置>网络设备>:编辑物理设备fe4,选择工作模式为“透明”,确定。
注意:在策略配置前,先添加如下的资源:
LOCAL_NET:10.10.10.2到10.10.10.50,网络地址段。
DMZ_NET:10.10.10.100到10.10.10.150,网络地址段。
EXTERNAL_NET:10.10.10.200到10.10.10.254,网络地址段。
INTERNET:地址是10.10.10.0,掩码是255.255.255.0,反网络地址。
WWW_SERVER:地址是10.10.10.100,掩码是255.255.255.255。
MAIL_SERVER:地址是10.10.10.101,掩码是255.255.255.255.。
FTP_SERVER:地址是10.10.10.102,掩码是255.255.255.255。
40. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动
作是允许的包过滤规则。
41. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动
作是允许的包过滤规则。
42. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
43. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
44. 策略配置>安全规则>:添加源地址是any,目的地址是WWW_SERVER,服务是http,
动作是允许的包过滤规则。
45. 策略配置>安全规则>:添加源地址是any,目的地址是MAIL_SERVER,服务是smtp,
动作是允许的包过滤规则。
46. 策略配置>安全规则>:添加源地址是any,目的地址是MAIL_SERVER,服务是pop3,
动作是允许的包过滤规则。
47. 策略配置>安全规则>:添加源地址是any,目的地址是FTP_SERVER,服务是ftp,动
作是允许的包过滤规则。
5-6 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5. 3. 2. 2 CLI
5.4 三网口透明模式上的路由
图 5-4三网口透明模式上的路由
5.4.1 需求描述:
上图是一个具有三个区段的小型网络。Internet区段的网络地址是202.100.100.0,掩码是255.255.255.0;DMZ区段的网络地址是172.16.1.0,掩码是255.255.255.0;内部网络区段的网络地址是192.168.1.0,掩码是255.255.255.0。
fe1,fe3,fe4工作在透明模式。桥接设备brg0的IP地址是192.168.1.1,掩码是255.255.255.0,允许管理。创建别名设备brg0_0,它的绑定设备是brg0,别名ID是0,IP地址是172.16.1.1,掩码是255.255.255.0。创建别名设备brg0_1,它的绑定设备是brg0,别名ID是1,IP地址是202.100.100.3,掩码是255.255.255.0。内部网络区段的网关是192.168.1.1,DMZ网络区段的网关是172.16.1.1,防火墙的缺省网关是202.100.100.1。
WWW服务器的地址是172.16.1.10,端口是80;MAIL服务器的地址是172.16.1.11,端口是25和110;FTP服务器的地址是172.16.1.12,端口是21。
安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp,pop3,ftp服务;允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。
5-7 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.4.2 配置步骤:
5. 4. 2. 1 WEBUI
48. 网络配置>网络设备>:编辑桥接设备brg0,配置它的IP地址为192.168.1.1,掩码是
255.255.255.0,允许管理。
49. 网络配置>网络设备>:编辑物理设备fe1,选择工作模式为“透明”,确定。 50. 网络配置>网络设备>:编辑物理设备fe3,选择工作模式为“透明”,确定。 51. 网络配置>网络设备>:编辑物理设备fe4,选择工作模式为“透明”,确定。 52. 网络配置>网络设备>:添加别名设备,绑定设备是brg0,别名ID是0,IP地址是
172.16.1.1,掩码是255.255.255.0。
53. 网络配置>网络设备>:添加别名设备,绑定设备是brg0,别名ID是1,IP地址是
202.100.100.3,掩码是255.255.255.0。
注意:策略配置是基于资源的,所以在配置下面的策略时,请先定义如下的资源:
LOCAL_NET:网络地址192.168.1.0,掩码255.255.255.0
DMZ_NET:网络地址172.16.1.0,掩码255.255.255.0
WWW_SERVER:主机地址 172.16.1.10,掩码是255.255.255.255
MAIL_SERVER :主机地址172.16.1.11,掩码是255.255.255.255
FTP_SERVER :主机地址172.16.1.12,掩码是255.255.255.255
54. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动
作是允许的包过滤规则。
55. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动
作是允许的包过率规则。
56. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
57. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
58. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any的
NAT规则。
59. 策略配置>安全规则>:添加源地址是any,目的地址172.16.1.10,服务是http,动作是
允许的包过滤规则。
60. 策略配置>安全规则>:添加源地址是any,目的地址172.16.1.11,服务是smtp,动作是
允许的包过滤规则。
61. 策略配置>安全规则>:添加源地址是any,目的地址172.16.1.11,服务是pop3,动作是
允许的包过滤规则。
62. 策略配置>安全策略>:添加源地址是any,目的地址172.16.1.12,服务是ftp,动作是
允许的包过滤规则。
63. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是
WWW_SERVER,内部服务是http的端口映射规则。
64. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是
MAIL_SERVER,内部服务是smtp的端口映射规则。
65. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是
MAIL_SERVER,内部服务是pop3的端口映射规则。
5-8 联想集团有限公司
网御防火墙 PowerV 功能使用手册 66. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是
FTP_SERVER,内部服务是ftp的端口映射规则。
5. 4. 2. 2 CLI
5.5 三网口多VLAN环境
图 5-5三网口多VLAN环境
5.5.1 需求描述:
上图是一个具有三个区段的小型网络。其中内部网络划分了四个VLAN,分别是VLAN10,VLAN20,VLAN30,VLAN40;DMZ网络在一个单独的VLAN中,名称是VLAN50。VLAN10的网络地址是192.168.10.0,掩码是255.255.255.0;VLAN20的网络地址是192.168.20.0,掩码是255.255.255.0;VLAN30的网络地址是192.168.30.0,掩码是255.255.255.0;VLAN40的网络地址是192.168.40.0,掩码是255.255.255.0。DMZ(VLAN50)的网络地址是172.16.1.0,掩码是255.255.255.0。
防火墙的缺省策略是禁止。网络区段间的访问策略是:允许VLAN10,VLAN20,VLAN30,VLAN40访问DMZ和INTERNET的http,smtp,pop3,ftp服务;允许INTERNET访问DMZ的http,smtp,pop3,ftp服务;允许VLAN10访问VLAN20,VLAN30访问VLAN40。其他的访问都禁止。
设备配置配置有多种
可以满足要求:
5-9 联想集团有限公司
网御防火墙 PowerV 功能使用手册 67. 方案1
, fe1接到交换机的TRUNK口上,将fe1的IP地址配置为192.168.10.1,掩码
是255.255.255.0,并开启TRUNK
, 创建别名设备fe1_0,它的绑定设备是fe1,别名ID是0,IP地址192.168.20.1,
掩码是255.255.255.0。
, 创建别名设备fe1_1,它的绑定设备是fe1,别名ID是1,IP地址192.168.30.1,
掩码是255.255.255.0。
, 创建别名设备fe1_2,它的绑定设备是fe1,别名ID是2,IP地址192.168.40.1,
掩码是255.255.255.0。
, fe3接到VLAN50中,将它的IP地址配置为172.16.1.1,掩码是255.255.255.0。
, VLAN10的网关指向192.168.10.1,VLAN20的网关指向192.168.20.1,VLAN30
的网关指向192.168.30.1,VLAN40的网关指向192.168.40.1,VLAN50的网关
指向172.16.1.1。防火墙的缺省网关指向202.100.100.1。
68. 方案2
, fe1接到交换机的TRUNK口上,将fe1的IP地址配置为192.168.100.1(不能
与其他设备在同一网段),掩码是255.255.255.0。
, 创建VLAN设备fe1.10,它的绑定设备是fe1,VLAN ID是10,工作在“路
由”模式,IP地址是192.168.10.1,掩码是255.255.255.0。
, 创建VLAN设备fe1.20,它的绑定设备是fe1,VLAN ID是20,工作在“路
由”模式,IP地址是192.168.20.1,掩码是255.255.255.0。
, 创建VLAN设备fe1.30,它的绑定设备是fe1,VLAN ID是30,工作在“路
由”模式,IP地址是192.168.30.1,掩码是255.255.255.0。
, 创建VLAN设备fe1.40,它的绑定设备是fe1,VLAN ID是40,工作在“路
由”模式,IP地址是192.168.40.1,掩码是255.255.255.0。
, fe3接到VLAN50中,将它的IP地址配置为172.16.1.1,掩码是255.255.255.0。
, VLAN10的网关指向192.168.10.1,VLAN20的网关指向192.168.20.1,VLAN30
的网关指向192.168.30.1,VLAN40的网关指向192.168.40.1,VLAN50的网关
指向172.16.1.1。防火墙的缺省网关指向202.100.100.1。
5.5.2 配置步骤:
5. 5. 2. 1 WEBUI
注意:设备配置请按照需求描述中的步骤配置。在配置安全策略前,请先添加以下的资源: VLAN10_NET:192.168.10.0,掩码255.255.255.0,网络地址。
VLAN20_NET:192.168.20.0,掩码255.255.255.0,网络地址。
VLAN30_NET:192.168.30.0,掩码255.255.255.0,网络地址。
VLAN40_NET:192.168.40.0,掩码255.255.255.0,网络地址。
VLAN50_NET:172.16.1.0,掩码255.255.255.0,网络地址。
WWW_SERVER:172.16.1.2,掩码255.255.255.255,主机地址。
MAIL_SERVER:172.16.1.3,掩码255.255.255.255,主机地址。
FTP_SERVER:172.16.1.4,掩码255.255.255.255,主机地址。
69. 策略配置>安全规则>:添加源地址是VLAN10_NET,目的地址是any,服务是http,
动作是允许的包过滤规则。
5-10 联想集团有限公司
网御防火墙 PowerV 功能使用手册 70. 策略配置>安全规则>:添加源地址是VLAN10_NET,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
71. 策略配置>安全规则>:添加源地址是VLAN10_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
72. 策略配置>安全规则>:添加源地址是VLAN10_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
73. 策略配置>安全规则>:添加源地址是VLAN20_NET,目的地址是any,服务是http,
动作是允许的包过滤规则。
74. 策略配置>安全规则>:添加源地址是VLAN20_NET,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
75. 策略配置>安全规则>:添加源地址是VLAN20_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
76. 策略配置>安全规则>:添加源地址是VLAN20_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
77. 策略配置>安全规则>:添加源地址是VLAN30_NET,目的地址是any,服务是http,
动作是允许的包过滤规则。
78. 策略配置>安全规则>:添加源地址是VLAN30_NET,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
79. 策略配置>安全规则>:添加源地址是VLAN30_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
80. 策略配置>安全规则>:添加源地址是VLAN30_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
81. 策略配置>安全规则>:添加源地址是VLAN40_NET,目的地址是any,服务是http,
动作是允许的包过滤规则。
82. 策略配置>安全规则>:添加源地址是VLAN40_NET,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
83. 策略配置>安全规则>:添加源地址是VLAN40_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
84. 策略配置>安全规则>:添加源地址是VLAN40_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
85. 策略配置>安全规则>:添加源地址是VLAN10_NET,目的地址是VLAN20_NET,服务
是any,动作是允许的包过滤规则。
86. 策略配置>安全规则>:添加源地址是VLAN20_NET,目的地址是VLAN10_NET,服务
是any,动作是允许的包过滤规则。
87. 策略配置>安全规则>:添加源地址是VLAN30_NET,目的地址是VLAN40_NET,服务
是any,动作是允许的包过滤规则。
88. 策略配置>安全规则>:添加源地址是VLAN40_NET,目的地址是VLAN30_NET,服务
是any,动作是允许的包过滤规则。
89. 策略配置>安全规则>:添加源地址是any,目的地址是VLAN50_NET,服务是http,
动作是允许的包过滤规则。
90. 策略配置>安全规则>:添加源地址是any,目的地址是VLAN50_NET,服务是smtp,
动作是允许的包过滤规则。
91. 策略配置>安全规则>:添加源地址是any,目的地址是VLAN50_NET,服务是pop3,
动作是允许的包过滤规则。
5-11 联想集团有限公司
网御防火墙 PowerV 功能使用手册 92. 策略配置>安全规则>:添加源地址是any,目的地址是VLAN50_NET,服务是ftp,动
作是允许的包过滤规则。
93. 策略配置>安全规则>:添加源地址是VLAN10_NET,目的地址是any,服务是any的
NAT规则。
94. 策略配置>安全规则>:添加源地址是VLAN20_NET,目的地址是any,服务是any的
NAT规则。
95. 策略配置>安全规则>:添加源地址是VLAN30_NET,目的地址是any,服务是any的
NAT规则。
96. 策略配置>安全规则>:添加源地址是VLAN40_NET,目的地址是any,服务是any的
NAT规则。
97. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是
WWW_SERVER,内部服务是http的端口映射规则。
98. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是
MAIL_SERVER,内部服务是smtp的端口映射规则。
99. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是
MAIL_SERVER,内部服务是pop3的端口映射规则。
100. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是
FTP_SERVER,内部服务是ftp的端口映射规则。
5. 5. 2. 2 CLI
5.6 多网口多DMZ
图 5-6多网口多DMZ
5-12 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.6.1 需求描述:
上图所示的网络有四个网络区段。其中内部网络区段的网络地址是192.168.1.0,掩码是255.255.255.0;DMZ1的网络地址是172.16.1.0,掩码是255.255.255.0;DMZ2的网络地址是172.16.2.0,掩码是255.255.255.0;fe4所在网段的网络地址是202.100.100.0,掩码是255.255.255.0。
fe1工作在路由模式,IP地址是192.168.1.1,掩码是255.255.255.0;fe2工作在路由模式,IP地址是172.16.2.1,掩码是255.255.255.0;fe3工作在路由模式,IP地址是172.16.1.1,掩码是255.255.255.0;fe4工作在路由模式,IP地址是202.100.100.3,掩码是255.255.255.0。内部网络的网关指向192.168.1.1,DMZ1的网关指向172.16.1.1,DMZ2的网关指向172.16.2.1,防火墙的缺省网关指向202.100.100.1。
防火墙的默认安全策略是禁止。区段间的安全策略是:允许内部网络区段访问DMZ1的http,smtp,pop3,ftp服务,DMZ2的所有服务,INTERNET的http,smtp,pop3,ftp服务;允许DMZ1访问DMZ2的所有服务;允许INTERNET访问DMZ1的http,smtp,pop3,ftp服务。其他的访问都禁止。
5.6.2 配置步骤:
5. 6. 2. 1 WEBUI
101. 设备配置请参考上面的需求描述。
注意:在配置安全策略前,请先添加如下的资源:
LOCAL_NET:192.168.1.0,掩码255.255.255.0,网络地址。
DMZ1_NET:172.16.1.0,掩码255.255.255.0,网络地址。
DMZ2_NET:172.16.2.0,掩码255.255.255.0,网络地址。
WWW_SERVER:172.16.1.2,掩码255.255.255.255,主机地址。
MAIL_SERVER:172.16.1.3,掩码255.255.255.255,主机地址。
FTP_SERVER:172.16.1.4,掩码255.255.255.255,主机地址。
SQL_SERVER:172.16.2.2,掩码255.255.255.255,主机地址。
102. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动
作是允许的包过滤规则。
103. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动
作是允许的包过滤规则。
104. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
105. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
106. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是DMZ2_NET,服务是
any,动作是允许的包过滤规则。
107. 策略配置>安全规则>:添加源地址是DMZ1_NET,目的地址是DMZ2_NET,服务是
any,动作是允许的包过滤规则。
108. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是http,动作
是允许的包过滤规则。
5-13 联想集团有限公司
网御防火墙 PowerV 功能使用手册 109. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是smtp,动
作是允许的包过滤规则。
110. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是pop3,动
作是允许的包过滤规则。
111. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ1_NET,服务是ftp,动作
是允许的包过滤规则。
112. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any的
NAT规则。
113. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是
WWW_SERVER,内部服务是http的端口映射规则。
114. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是
MAIL_SERVER,内部服务是smtp的端口映射规则。
115. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是
MAIL_SERVER,内部服务是pop3的端口映射规则。
116. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是
FTP_SERVER,内部服务是ftp的端口映射规则。
5. 6. 2. 2 CLI
5.7 多网口多内网区段
图 5-7多网口多内网区段
5-14 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.7.1 需求描述:
上图是一个六网口防火墙的应用环境。内部网络1的网络地址是192.168.10.0,掩码是255.255.255.0;内部网络2的网络地址是192.168.20.0,掩码是255.255.255.0;内部网络3的网络地址是192.168.30.0,掩码是255.255.255.0;内部网络4的网络地址是192.168.40.0,掩码是255.255.255.0。DMZ网络的网络地址172.16.1.0,掩码是255.255.255.0。fe5所在网络的网络地址是202.100.100.0,掩码是255.255.255.0。
fe1工作在路由模式,IP地址是192.168.10.1,掩码是255.255.255.0;fe2工作在路由模式,IP地址是192.168.20.1,掩码是255.255.255.0;fe3工作在路由模式,IP地址是192.168.30.1,掩码是255.255.255.0;fe4的工作在路由模式,IP地址是192.168.40.1,掩码是255.255.255.0;fe5工作在路由模式,IP地址是202.100.100.3,掩码是255.255.255.0;fe6工作在路由模式,IP地址是172.16.1.1,掩码是255.255.255.0。内部网络1的缺省网关是192.168.10.1,内部网络2的缺省网关是192.168.20.1,内部网络3的缺省网关是192.168.30.1,内部网络4的缺省网关是192.168.40.1,DMZ网络的缺省网关是172.16.1.1,防火墙的缺省网关是202.100.100.1。
防火墙的默认安全策略是禁止。网络区段间的安全策略:允许内部网络访问DMZ和INTERNET的http,smtp,pop3,ftp服务;允许内部网络1访问内部网络2,3,4;允许INTERNET访问DMZ网络的http,smtp,pop3,ftp服务。其他的访问都禁止。
5.7.2 配置步骤:
5. 7. 2. 1 WEBUI
117. 网络设备配置请参考上面的需求描述。
注意:设备配置请按照需求描述中的步骤配置。在配置安全策略前,请先添加以下的资源: LOCAL_NET1:192.168.10.0,掩码255.255.255.0,网络地址。
LOCAL_NET2:192.168.20.0,掩码255.255.255.0,网络地址。
LOCAL_NET3:192.168.30.0,掩码255.255.255.0,网络地址。
LOCAL_NET4:192.168.40.0,掩码255.255.255.0,网络地址。
DMZ_NET:172.16.1.0,掩码255.255.255.0,网络地址。
WWW_SERVER:172.16.1.2,掩码255.255.255.255,主机地址。
MAIL_SERVER:172.16.1.3,掩码255.255.255.255,主机地址。
FTP_SERVER:172.16.1.4,掩码255.255.255.255,主机地址。
118. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是http,
动作是允许的包过滤规则。
119. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
120. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
121. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
122. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是http,
动作是允许的包过滤规则。
5-15 联想集团有限公司
网御防火墙 PowerV 功能使用手册 123. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
124. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
125. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
126. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是http,
动作是允许的包过滤规则。
127. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
128. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
129. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
130. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是http,
动作是允许的包过滤规则。
131. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是smtp,
动作是允许的包过滤规则。
132. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
133. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
134. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是LOCAL_NET2,服
务是any,动作是允许的包过滤规则。
135. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是LOCAL_NET3,服
务是any,动作是允许的包过滤规则。
136. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是LOCAL_NET4,服
务是any,动作是允许的包过滤规则。
137. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是http,动作
是允许的包过滤规则。
138. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是smtp,动作
是允许的包过滤规则。
139. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是pop3,动作
是允许的包过滤规则。
140. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是ftp,动作
是允许的包过滤规则。
141. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是any的
NAT规则。
142. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是any的
NAT规则。
143. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是any的
NAT规则。
144. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是any的
NAT规则。
5-16 联想集团有限公司
网御防火墙 PowerV 功能使用手册 145. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是
WWW_SERVER,内部服务是http的端口映射规则。
146. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是
MAIL_SERVER,内部服务是smtp的端口映射规则。
147. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是
MAIL_SERVER,内部服务是pop3的端口映射规则。
148. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是
FTP_SERVER,内部服务是ftp的端口映射规则。
5. 7. 2. 2 CLI
5.8 ADSL连接
图 5-8 ADSL连接
5.8.1 需求描述:
上图是一个使用ADSL拨号连接网络。内部网络的网络地址是192.168.1.0,掩码是255.255.255.0。
fe1工作在路由模式,IP地址是192.168.1.1,掩码是255.255.255.0。fe4工作在路由模式,IP地址是192.168.2.0,掩码是255.255.255.0。编辑拨号设备diao0,选择它的绑定设备是fe4,然后填入正确的用户名,密码,并启用此设备。
内部网络的缺省网关是192.168.1.1,防火墙的缺省网关由拨号设备自动获取。
防火墙的缺省安全策略是禁止。允许内部网络访问INTERNET,其他的访问都禁止。
5-17 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.8.2 配置步骤:
5. 8. 2. 1 WEBUI
149. 网络设备配置请参考上面的需求描述。
注意:在配置安全策略前,先添加如下的资源:
LOCAL_NET:192.168.1.0,掩码255.255.255.0,网络地址。
150. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any,动
作是允许的包过滤规则。
151. 策略配置>安全规则>:添加源地址是LOCA_NET,目的地址是any,服务是any的NAT
规则。
5. 8. 2. 2 CLI
5.9 DHCP的应用
图 5-9 DHCP的应用
5.9.1 需求描述:
网御3000支持DHCP客户端,服务器和DHCP中继,应用场景如下: 152. 防火墙的网络设备fe3使用DHCP协议获取因特网地址
5-18 联想集团有限公司
网御防火墙 PowerV 功能使用手册
, 内部网络的网络地址是192.168.1.0,掩码是255.255.255.0。fe1工作在路由模
式,IP地址是192.168.1.1,掩码是255.255.255.0。
, fe3工作在路由模式,地址获取方法是DHCP。
, 内部网络的缺省网关是192.168.1.1,防火墙的缺省网关由DHCP协议自动获
取。
153. 防火墙作为DHCP服务器
, 内部网络的网络地址是192.168.1.0,掩码是255.255.255.0。fe1工作在路由模
式,IP地址是192.168.1.1,掩码是255.255.255.0。
, 内部网络主机的地址范围是192.168.1.2到192.168.1.254,每台主机的地址由
防火墙分配。
, fe3工作在路由模式,IP地址是202.100.100.3,掩码是255.255.255.0。
, 内部网络的缺省网关由DHCP协议自动获取,防火墙的缺省网关是
202.100.100.1。
154. 防火墙作为DHCP中继服务器
, 内部网络的网络地址是192.168.1.0,掩码是255.255.255.0。fe1工作在路由模
式,IP地址是192.168.1.1,掩码是255.255.255.0,开启DHCP中继。
, 内部网络主机的地址范围是192.168.1.2到192.168.1.254,内部主机的IP地址
由DHCP服务器分配。
, fe3工作在路由模式,IP地址是192.168.2.1,掩码是255.255.255.0,开启DHCP
中继。
, DHCP服务器的IP地址是192.168.2.100。
, 内部网络的缺省网关由DHCP协议获取。防火墙的缺省网关是192.168.2.200。
防火墙的缺省策略是禁止。允许内部网络访问INTERNET的http,smtp,pop3,ftp服务,允许内部网络从DHCP服务器获取IP地址,其他的访问都禁止。
5.9.2 配置步骤:
5. 9. 2. 1 WEBUI
1. 网络设备的配置请参考需求描述。
注意:在配置策略前,请先定义如下的规则:
LOCAL_NET:192.168.1.0,掩码255.255.255.0,网络地址。
EXTERNAL_NET:192.168.2.0,掩码255.255.255.0,网络地址。
DHCP_SERVER:192.168.2.100,掩码255.255.255.255,主机地址。
2. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是http,动
作是允许的包过滤规则。
3. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动
作是允许的包过滤规则。
4. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是pop3,
动作是允许的包过滤规则。
5. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动
作是允许的包过滤规则。
6. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是DHCP_SERVER,服
务是dhcp,动作是允许的包过滤规则。
5-19 联想集团有限公司
网御防火墙 PowerV 功能使用手册 7. 策略配置>安全规则>:添加源地址是LOCAL_NET,目的地址是any,服务是any的
NAT规则。
5. 9. 2. 2 CLI
5.10 多外网出口
图 5-10多外网出口
5.10.1 需求描述:
上图是一个多出口的应用环境。出口fe5和fe6的带宽不同。
内部网络1的网络地址是192.168.1.0,掩码是255.255.255.0;内部网络2的网络地址是192.168.2.0,掩码是255.255.255.0;内部网络3的网络地址是192.168.3.0,掩码是255.255.255.0;内部网络4的网络地址是192.168.4.0,掩码是255.255.255.0。
fe1的IP地址是192.168.1.1,掩码是255.255.255.0;fe2的IP地址是192.168.2.1,掩码是255.255.255.0;fe3的IP地址是192.168.3.1,掩码是255.255.255.0;fe4的IP地址是192.168.4.1,掩码是255.255.255.0;fe5的IP地址是202.100.100.3,掩码是255.255.255.0;fe6的IP地址是202.100.200.3,掩码是255.255.255.0。
内部网络1的缺省网关是192.168.1.1,内部网络2的缺省网关是192.168.2.1,内部网络3的缺省网关是192.168.3.1,内部网络4的缺省网关是192.168.4.1。防火墙的缺省网关是
5-20 联想集团有限公司
网御防火墙 PowerV 功能使用手册 202.100.100.1。
内部网络1和内部网络2访问INTERNET通过fe5,内部网络3和内部网络4访问INTERNET通过fe6。
防火墙的缺省安全策略是禁止。访问策略是:允许内部网络1,2,3,4访问INTERNET,其他的访问都是禁止。
5.10.2 配置步骤:
5. 10. 2. 1 WEBUI
155. 网络设备的配置请参考上面的需求描述。
注意:在配置策略之前,请先定义如下的资源:
LOCAL_NET1:192.168.1.0,掩码255.255.255.0,网络地址。
LOCAL_NET2:192.168.2.0,掩码255.255.255.0,网络地址。
LOCAL_NET3:192.168.3.0,掩码255.255.255.0,网络地址。
LOCAL_NET4:192.168.4.0,掩码255.255.255.0,网络地址。
156. 网络配置>策略路由:添加源地址是LOCAL_NET1,目的地址是任意,下一跳地址是
202.100.100.1,网络接口是fe5。
157. 网络配置>策略路由:添加源地址是LOCAL_NET2,目的地址是任意,下一跳地址是
202.100.100.1,网络接口是fe5。
158. 网络配置>策略路由:添加源地址是LOCAL_NET3,目的地址是任意,下一跳地址是
202.100.200.1,网络接口是fe6。
159. 网络配置>策略路由:添加源地址是LOCAL_NET4,目的地址是任意,下一跳地址是
202.100.200.1,网络接口是fe6。
160. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是any,动
作是允许的包过滤规则。
161. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是any,动
作是允许的包过滤规则。
162. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是any,动
作是允许的包过滤规则。
163. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是any,动
作是允许的包过滤规则。
164. 策略配置>安全规则>:添加源地址是LOCAL_NET1,目的地址是any,服务是any的
NAT规则。
165. 策略配置>安全规则>:添加源地址是LOCAL_NET2,目的地址是any,服务是any的
NAT规则。
166. 策略配置>安全规则>:添加源地址是LOCAL_NET3,目的地址是any,服务是any的
NAT规则。
167. 策略配置>安全规则>:添加源地址是LOCAL_NET4,目的地址是any,服务是any的
NAT规则。
5-21 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5. 10. 2. 2 CLI
5.11 端口映射应用
图 5-11端口映射应用
5.11.1 需求描述:
上图是端口映射的应用环境。WWW服务器集群的地址范围是172.16.1.10到172.16.1.即5;MAIL服务器集群的地址范围是172.16.1.20到172.16.1.25;FTP服务器集群的地址范围是172.16.1.30到172.16.1.35。
fe3的IP地址是172.16.1.1,掩码是255.255.255.0;fe4的IP地址是202.100.100.3,掩码是255.255.255.0。fe4的IP地址是202.100.100.3,掩码是255.255.255.0。WWW服务器集群,MAIL服务器集群,FTP服务器集群的缺省网关是172.16.1.1,防火墙的缺省网关是202.100.100.1。
防火墙的缺省安全策略是禁止。访问策略是:允许INTERNET访问服务器集群网络的http,smtp,pop3,ftp服务。其他的访问都禁止。
5.11.2 配置步骤:
5. 11. 2. 1 WEBUI
168. 网络设备的配置请参考上面的需求描述。
5-22 联想集团有限公司
网御防火墙 PowerV 功能使用手册 注意:在策略配置前,请先定义如下的资源:
DMZ_NET:172.16.1.0,掩码是255.255.255.0,网络地址。
WWW_SERVER_GRP:172.16.1.10,172.16.1.11,172.16.1.12,172.16.1.13,172.16.1.14,172.16.1.15,服务器地址。
MAIL_SERVER_GRP:172.16.1.20,172.16.1.21,172.16.1.22,172.16.1.23,172.16.1.24,172.16.1.25,服务器地址。
FTP_SERVER_GRP:172.16.1.30,172.16.1.31,172.16.1.32,172.16.1.33,172.16.1.34,172.16.1.35,服务器地址。
169. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是http,动作
是允许的包过滤规则。
170. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是smtp,动作
是允许的包过滤规则。
171. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是pop3,动作
是允许的包过滤规则。
172. 策略配置>安全规则>:添加源地址是any,目的地址是DMZ_NET,服务是ftp,动作
是允许的包过滤规则。
173. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是http,内部地址是
WWW_SERVER_GRP,内部服务是http的端口映射规则。
174. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是smtp,内部地址是
MAIL_SERVER_GRP,内部服务是smtp的端口映射规则。
175. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是pop3,内部地址是
MAIL_SERVER_GRP,内部服务是pop3的端口映射规则。
176. 策略配置>安全策略>:添加公开地址是202.100.100.3,对外服务是ftp,内部地址是
FTP_SERVER_GRP,内部服务是ftp的端口映射规则。
5. 11. 2. 2 CLI
5.12 单交换机节点下的主动-主动LFRP集群
5-23 联想集团有限公司
网御防火墙 PowerV 功能使用手册
Internet
VRRP 路由器1 路由器2
172.10.1.1
00:00:0c:a8:80:03
外部交换机 LFRP集群(负载均衡)
各节点Fe1口:
IP:172.10.1.254
防火墙2 Fe1 Fe1 防火墙1 MAC:01:00:00:00:00:01 LFRP
HA HA
各节点Fe3口: Fe3 Fe3
IP:192.168.1.254
MAC:01:00:00:00:00:02 内部交换机
Trust区段
192.168.1.0/255.255.255.0
图 5-12单交换机节点下的主动-主动LFRP集群
5-24 联想集团有限公司
网御防火墙 PowerV 功能使用手册
5.13 双交换机节点下的主动-主动LFRP集群
Internet
VRRP 路由器1 路由器2
172.10.1.1
00:00:0c:a8:80:03
外部交换机2 外部交换机1
Trunk LFRP集群(负载均衡)
各节点Fe1口:
IP:172.10.1.254
防火墙2 Fe1 Fe1 防火墙1 MAC:01:00:00:00:00:01 LFRP
HA HA
各节点Fe3口: Fe3 Fe3
IP:192.168.1.254
Trunk MAC:01:00:00:00:00:02
内部交换机2 内部交换机1
Trust区段
192.168.1.0/255.255.255.0
图 5-13双交换机节点下的主动-主动LFRP集群
5-25 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.14 双交换机双路由器(路由交换机)下的会话保护
Internet
路由器1 路由器2
外部路由交换机2 外部路由交换机1
Trunk
防火墙1 防火墙2 LFRP
Trunk 内部交换机2 内部交换机1
图 5-14双交换机双路由器(路由交换机)下的会话保护
5-26 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.15 连接企业分支的局域网-局域网VPN应用
局域网-1
192.168.1.0/24
fe1192.168.1.254
防火墙-1
202.121.250.2fe3
路由
202.120.2.101fe3
防火墙-2
fe1192.168.2.254
192.168.2.0/24
局域网-2
注意:网御3000防火墙的基本配置是有四个物理设备,其中fe1是默认的可管理设备(默认启用)。fe2一般用于HA,在此图中,没有使用fe2,fe4。
5.15.1 需求描述:
上图是局域网-局域网的应用环境。在这种应用环境下局域网-1和局域网-2的用户可以通过防火墙-1和防火墙-2之间建立的通信隧道访问到对方网络的任意机器。如上图,局域网-1由防火墙-1保护,它的网络地址是192.168.1.0,子网掩码是255.255.255.0;防火墙-1的fe1工作在路由模式,它的IP地址为192.168.1.254,它的fe3口和Internet连接,IP地址为202.121.250.2;同时局域网-1的缺省网关指向192.168.1.254。局域网-2由防火墙-2保护,它的网络地址是192.168.2.0,子网掩码是255.255.255.0;防火墙-2的fe1工作在路由模式,它的IP地址为192.168.2.254,防火墙-2的fe1口面向局域网-1它的IP地址为192.168.2.254,它的fe3口和Internet连接,IP地址为202.120.2.101,同时局域网-1的缺省网关指向192.168.1.254。图中红线条
示数据在两防火墙之间传输时是经过加密和认证的。 5.15.2 配置步骤:
1. 网络配置>网络设备>物理设备>:在防火墙-1上请参考上面的需求描述将fe3和fe1
5-27 联想集团有限公司
网御防火墙 PowerV 功能使用手册
的IP地址配置为202.121.250.2、192.168.1.254,同样防火墙-2将fe3和fe1的IP
地址配置为202.120.2.101、192.168.2.254。
2. 网络配置>网络设备>VPN设备>:防火墙-1将ipsec0和设备fe3绑定并将其启用;防火墙-2也将ipsec0和设备fe3绑定并将其启用。
3. VPN>远程VPN>:添加一个新的远程VPN,点击“添加”按钮 防火墙-1:
, 设定远程VPN的名称为“GTG1”;
, 设定远程VPN地址为202.120.2.101;
, 设定认证方式为“预共享密钥”;
, 设定预共享密钥为“LenovoVPN”;
, IKE算法组件选择为“3DES-MD5”算法;
, 认证模式选择为“主模式”;
, VPN类型设定为“网关”;
防火墙-2:
, 设定远程VPN的名称为“GTG1”;
, 设定远程VPN地址为202.121.250.2;
, 设定认证方式为“预共享密钥”;
, 设定预共享密钥为“LenovoVPN”;
, IKE算法组件选择为“3DES-MD5”算法;
, 认证模式选择为“主模式”;
, VPN类型设定为“网关”;
(用户可以根据自身需求进行设置,但是在认证方式,预共享密钥,认证模式,IKE
算法组件这几个选项上两个防火墙必须保持一致,另外VPN类型必须选择为“网关”)。
4. VPN>网关隧道配置>:添加一个新的网关隧道,点击“添加”按钮 防火墙-1:
, 设定隧道名称为”fw1-fw2”;
, 本地保护子网以及本地保护子网掩码设定为”192.168.1.0”和”255.255.2555.0”;
, 在下拉菜单中选择远程VPN名称“GTG1”;
, IPSec算法组件选择为“3DES-MD5”;
, 完美前向保密选择“否”;
, 数据包认证方式为“ESP”;
, 是否压缩选择为“否”;
, 缺省策略选择为“包过滤”;
, 并选择启用该隧道;
防火墙-2:
, 设定隧道名称为”fw2-fw1”;
, 本地保护子网以及本地保护子网掩码设定为”192.168.2.0”和”255.255.2555.0”;
, 在下拉菜单中选择远程VPN名称“GTG1”;
, IPSec算法组件选择为“3DES-MD5”;
, 完美前向保密选择“否”;
, 数据包认证方式为“ESP”;
, 是否压缩选择为“否”;
, 缺省策略选择为“包过滤”;
5-28 联想集团有限公司
网御防火墙 PowerV 功能使用手册 , 并选择启用该隧道;
(同样用户可以根据自身需求进行设置,但是在IPSec算法组件、完美前向保密、是否压缩、缺省策略这几个选项上两个防火墙必须保持一致)
5. 网络配置>静态路由>:添加一条静态路由
防火墙-1:
, 将目的地址设定为192.168.2.0;
, 下一跳地址选择本地防火墙地址;
, 设备均选择为fe1;
防火墙-2:
, 将目的地址设定为192.168.2.0;
, 下一跳地址选择为本地防火墙地址;
, 设备均选择为fe1;
6. 策略配置>安全规则>包过滤规则>:添加两条允许新建隧道的数据包通过防火墙的规则。
防火墙-1:
, 首先添加允许数据包流出局域网的规则,把源地址设定为192.168.1.0子网掩
码255.255.255.0;目的地址设定为192.168.2.0 子网掩码255.255.255.0然后在
“动作”处选择IPSEC
, 接下来配置添加允许数据包进入局域网的规则,把源地址设定为192.168.2.0
子网掩码255.255.255.0;目的地址设定为192.168.1.0 子网掩码255.255.255.0
然后在“动作”处选择IPSEC
防火墙-2:
, 首先添加允许数据包流出局域网的规则,把源地址设定为192.168.2.0子网掩
码255.255.255.0;目的地址设定为192.168.1.0 子网掩码255.255.255.0然后在
“动作”处选择IPSEC
, 接下来配置添加允许数据包进入局域网的规则,把源地址设定为192.168.1.0
子网掩码255.255.255.0;目的地址设定为192.168.2.0 子网掩码255.255.255.0
然后在“动作”处选择IPSEC
7. VPN>隧道监控>IPSec隧道>:启动该隧道,在双方都点击启动按钮后,即可建立在两防火墙之间的隧道。
5-29 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.16 远程访问VPN客户端应用
已安装客户端的
PC
219.160.2.153
INTERNET
路由
fe3202.120.2.101防火墙
192.168.1.254fe1
192.168.1.0/24
局域网
5.16.1 需求描述:
上图是远程用户通过客户端对局域网进行远程访问的使用环境。如上图,局域网由防火墙保护,它的网络地址是192.168.1.0,子网掩码是255.255.255.0;防火墙的fe1工作在路由模式,它的IP地址为192.168.1.254,它的fe3口和Internet连接,IP地址为202.120.2.101;同时局域网的缺省网关指向192.168.1.254。而处于Internet上的已安装客户端软件的PC,它的IP地址为219.160.2.153
5.16.2 配置步骤:
本配置步骤将分成防火墙配置和客户端配置两部分进行叙述。
5.16.3 防火墙配置:
1. VPN>远程VPN>:添加一个新的远程VPN
, 设定远程VPN的名称为“GTC1”;
, VPN类型设定为“客户端”;
, 设定认证方式为“预共享密钥”;
, 预共享密钥设定为“LenovoVPN”;
, IKE算法组件选择为“3DES-MD5”
, 认证模式为“主模式”;
2. VPN>客户端隧道配置>:添加一个新的客户端隧道
5-30 联想集团有限公司
网御防火墙 PowerV 功能使用手册
, 设定隧道名称“fw-cli”;
, 远程VPN在下拉菜单中选择“GTC1”;
, 客户端虚拟IP地址类型选择“any”;
, 客户端可访问子网及掩码设定为192.168.1.0和255.255.2555.0;
, 数据包认证方式为“ESP”;
, 缺省策略为“包过滤”;
, 选择启用该隧道;
3. 网络配置>静态路由>:添加一条静态路由
, 将目的地址设定为219.160.2.153;
, 下一跳地址选择为本地防火墙地址;
, 设备均选择为fe1;
4. 策略配置>安全规则>包过滤规则>:添加两条允许新建隧道的数据包通过防火墙的规
则。
, 首先添加允许数据包流出局域网的规则,把源地址设定为192.168.1.0 子网掩码
255.255.255.0;目的地址设定为219.160.2.153,然后在“动作”处选择IPSEC。
, 接下来配置添加允许数据包进入局域网的规则,把源地址设定219.160.2.153;目的
地址设定为192.168.1.0 子网掩码255.255.255.0,然后在“动作”处选择IPSEC。 5. VPN>隧道监控>IPSec隧道>:启动该隧道,点击“启动”按钮启动VPN隧道。 5.16.4 客户端配置:
开始>程序>联想网御VPN客户端>网御配置>:
将客户端界面左下脚“密码机控制”复选框选择为“启用”;
点击“添加”按钮按照添加向导的提示添加网关唯一名称“LenovoFW”
网关IP地址设定为“202.120.2.101”;
与该网关相关联的子网地址设定“192.168.1.0”子网掩码“255.255.255.0”;
5-31 联想集团有限公司
网御防火墙 PowerV 功能使用手册 5.17
P/L2TP远程访问
使用PPTP/L2TP的Windows主机
INTERNET
路由
202.120.2.101fe3
防火墙
fe1192.168.1.254
192.168.1.0/24
局域网
5.17.1 需求描述:
上图是远程用户通过客户端对局域网进行远程访问的使用环境。如上图,局域网由防火墙保护,它的网络地址是192.168.1.0,子网掩码是255.255.255.0;防火墙的fe1工作在路由模式,它的IP地址为192.168.1.254,它的fe3口和Internet连接,IP地址为202.120.2.101;同时局域网的缺省网关指向192.168.1.254。
5.17.2 配置步骤:
本配置步骤将分成防火墙配置和客户端配置两部分进行叙述。
5.17.3 防火墙配置:
VPN>远程拨号用户>:添加用于远程用户拨号的用户名和密码
5.17.4 远程用户配置:
在网络和拨号连接中点击新建一个连接,然后选择通过Internet连接到专用网络,并根据提示输入防火墙地址(202.120.2.101)。在建立好此连接后输入用户名和密码就可以拨号
5-32 联想集团有限公司
网御防火墙 PowerV 功能使用手册
和防火墙建立VPN连接了。
5-33 联想集团有限公司