聯(lián)想網(wǎng)御PowerV防火墻

技術(shù)培訓(xùn)2021年4月1.目錄一、聯(lián)想網(wǎng)御防火墻技術(shù)原理培訓(xùn)二、聯(lián)想網(wǎng)御PowerV防火墻案例培訓(xùn)2.防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)信任域與非信任域之間的一系列功能部件的組合。經(jīng)過制定平安戰(zhàn)略，它可經(jīng)過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡能夠地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、構(gòu)造和運(yùn)轉(zhuǎn)情況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的平安維護(hù)。通常是網(wǎng)絡(luò)平安防護(hù)體系的最外一層。防火墻概念引見什么是防火墻？3.防火墻概念引見什么是防火墻？防火墻能做什么保證授權(quán)合法用戶的通訊與訪問制止未經(jīng)授權(quán)的非法通訊與訪問記錄經(jīng)過防火墻的通訊活動(dòng)防火墻不能做什么不能自動(dòng)防備新的平安要挾不能防備來自網(wǎng)絡(luò)內(nèi)部的攻擊不能控制不經(jīng)防火墻的通訊與訪問4.SourceDestinationNetworkAddressTranslation00Firewall00Internet防火墻概念引見什么是防火墻？5.防火墻概念引見什么是防火墻？6.透明方式7.路由方式8.混合方式9.數(shù)據(jù)包的方式:

防火墻能利用包頭的信息進(jìn)展過濾，僅允許符合規(guī)那么的數(shù)據(jù)包經(jīng)過防火墻規(guī)那么可細(xì)分為源地址/目的地址、源端口/目的端口、協(xié)議、銜接方向等工程包過濾技術(shù)10.包過濾技術(shù)什么是形狀檢測？每個(gè)網(wǎng)絡(luò)銜接包括以下信息：

源地址、目的地址；

源端口和目的端口；

協(xié)議類型；

銜接〔會(huì)話〕形狀〔如超時(shí)時(shí)間，TCP銜接的形狀〕等；防火墻把這些信息統(tǒng)稱為形狀，可以檢測這些形狀的防火墻叫做形狀檢測防火墻。11.包過濾技術(shù)形狀檢測的優(yōu)點(diǎn)？〔與包過濾防火墻相比〕更平安：

檢查內(nèi)容=包過濾檢查內(nèi)容+銜接形狀更高效：

包過濾——收到一個(gè)包，檢查一遍規(guī)那么集

形狀檢測——先查形狀表，再查規(guī)那么集12.目錄二、聯(lián)想網(wǎng)御PowerV防火墻案例培訓(xùn)13.電子鑰匙、證書、串口登錄透明接入路由/NAT方式靜態(tài)路由IP映射、端口映射包過濾戰(zhàn)略DHCP目錄14.案例一電子鑰匙、證書、串口登錄15.

聯(lián)想網(wǎng)御防火墻Web登陸認(rèn)證數(shù)字證書電子鑰匙案例1.電子鑰匙、證書、串口登錄16.1.雙擊隨機(jī)光盤ikeydriver目錄下的INSTDRV.EXE，自動(dòng)安裝電子鑰匙驅(qū)動(dòng)。切記：安裝驅(qū)動(dòng)前不要插入U(xiǎn)SB電子鑰匙。電子鑰匙認(rèn)證2.隨機(jī)光盤administrator目錄下的ikeyc程序,程序?qū)⑻崾居脩糨斎隤IN口令，初次運(yùn)用默許PIN為“12345678〞。案例1.電子鑰匙、證書、串口登錄17.在IE地址欄輸入https54:8888,等待約十秒左右,彈出一個(gè)一個(gè)對(duì)話框提示接受證書，選擇接受即可出現(xiàn)聯(lián)想網(wǎng)御防火墻登錄畫面。案例1.電子鑰匙、證書、串口登錄電子鑰匙登錄18.數(shù)字證書認(rèn)證1、把防火墻證書導(dǎo)入防火墻并啟用。2、管理主機(jī)上導(dǎo)入IE閱讀器證書。案例1.電子鑰匙、證書、串口登錄19.數(shù)字證書認(rèn)證—證書頁面導(dǎo)入導(dǎo)入證書后選擇生效選項(xiàng)第一步第二步案例1.電子鑰匙、證書、串口登錄20.數(shù)字證書認(rèn)證—證書導(dǎo)入導(dǎo)入防火墻證書要導(dǎo)入相對(duì)應(yīng)的IE閱讀器證書.在管理主機(jī)本地雙擊IE閱讀器證書，按照提示進(jìn)展安裝，需求輸入密碼時(shí)輸入“hhhhhh〞，當(dāng)出現(xiàn)導(dǎo)入勝利后點(diǎn)擊確定完成。案例1.電子鑰匙、證書、串口登錄21.數(shù)字證書認(rèn)證當(dāng)防火墻與IE證書均導(dǎo)入勝利后，我們在管理主機(jī)翻開IE閱讀器并輸入https54:8889，出現(xiàn)選擇證書提示后點(diǎn)擊“確定〞畫面。案例1.電子鑰匙、證書、串口登錄22.管理主機(jī)防火墻出廠時(shí)默許的管理主機(jī)地址00，當(dāng)接入一個(gè)新的網(wǎng)絡(luò)環(huán)境中時(shí)，首先要進(jìn)展管理主機(jī)的配置。 案例1.電子鑰匙、證書、串口登錄一定不要添加的管理主機(jī)23.案例二、透明接入24.透明接入多部署于拓?fù)湎鄬?duì)固定網(wǎng)絡(luò)，為了不改動(dòng)原有網(wǎng)絡(luò)拓?fù)洌２捎么瞬渴鸱绞健卜阑饓Ρ旧碜鳛榫W(wǎng)橋接入網(wǎng)絡(luò)〕。按照此方式部署后的防火墻如出現(xiàn)軟硬件缺點(diǎn)，可以緊急將防火墻撤離網(wǎng)絡(luò)，不用更改其他路由、交換設(shè)備的配置。案例2.透明接入透明接入—概述25.C:00S:00Brg：54fe2fe3透明接入方式防火墻配置需求：防火墻配置的FE2\FE3口配置為透明方式。允許任務(wù)站C00訪問效力器S00的HTTP效力。任務(wù)站C00不能訪問效力器S00的其它效力。透明接入拓?fù)鋱D案例2.透明接入26.透明接入案例2.透明接入27.STP未開啟未綁定設(shè)備已啟用透明接入案例2.透明接入28.透明接入案例2.透明接入29.透明接入案例2.透明接入30.已啟用已變成透明方式透明接入案例2.透明接入31.透明接入變成透明方式的端口自動(dòng)添加到綁定列表里面網(wǎng)絡(luò)接口配置完成后，依然需求添加相應(yīng)的包過濾規(guī)那么案例2.透明接入32.透明接入案例2.透明接入33.透明接入案例2.透明接入34.至此，任務(wù)站00可以訪問效力器192.168.200的HTTP效力透明接入案例2.透明接入35.案例三、路由/NAT方式36.配置路由/NAT方式的防火墻多部署于網(wǎng)絡(luò)邊境，或者是銜接多個(gè)不同網(wǎng)絡(luò),起到維護(hù)內(nèi)網(wǎng)主機(jī)平安，屏蔽內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)涞茸饔?。案?.路由/NAT方式路由/NAT方式—概述37.

C:/24S:/24/24fe1fe2任務(wù)在路由/NAT方式下防火墻配置需求：本案例拓?fù)錇橐粋€(gè)只需兩個(gè)網(wǎng)段的小型局域網(wǎng)。效力器開放http效力。允許任務(wù)站訪問效力器的http效力制止任務(wù)站訪問效力器其它效力。/24CilentAServerB路由/NAT方式(不做NAT轉(zhuǎn)換)案例3.路由/NAT方式38.案例3.路由/NAT方式路由/NAT方式(不做NAT轉(zhuǎn)換)39.案例3.路由/NAT方式路由/NAT方式(不做NAT轉(zhuǎn)換)40.網(wǎng)絡(luò)接口配置完成后，依然需求添加相應(yīng)的包過濾規(guī)那么，這樣防火墻允許任務(wù)站訪問效力器的http效力。案例3.路由/NAT方式路由/NAT方式(不做NAT轉(zhuǎn)換)41.

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT為IETF定義規(guī)范，用于允許公用網(wǎng)絡(luò)上的多臺(tái)PC共享單個(gè)、全局路由的IPv4地址IPv4地址日益缺乏是經(jīng)常部署NAT的一個(gè)主要緣由。另外網(wǎng)絡(luò)地址轉(zhuǎn)換NAT經(jīng)常作為一種網(wǎng)絡(luò)平安手段運(yùn)用，平安域內(nèi)的機(jī)器經(jīng)過NAT設(shè)備后源地址被重新封裝，起到一定屏蔽內(nèi)網(wǎng)作用。NAT—概述案例3.路由/NAT方式42.

內(nèi)網(wǎng)外網(wǎng)C:00fe3fe4internet54S:防火墻任務(wù)路由/NAT方式。內(nèi)部客戶PC需求經(jīng)過防火墻訪問internet上效力。從防火墻外無法看到內(nèi)部客戶端的真實(shí)IP。案例3.路由/NAT方式路由/NAT方式(NAT轉(zhuǎn)換)43.路由/NAT方式(NAT轉(zhuǎn)換)案例3.路由/NAT方式44.路由/NAT方式(NAT轉(zhuǎn)換)案例3.路由/NAT方式45.路由/NAT方式(NAT轉(zhuǎn)換)案例3.路由/NAT方式46.案例3.路由/NAT方式網(wǎng)絡(luò)接口、NAT規(guī)那么配置完成后，依然需求添加相應(yīng)的包過濾規(guī)那么，這樣防火墻允許內(nèi)部客戶機(jī)00訪問internet上的效力器。路由/NAT方式(NAT轉(zhuǎn)換)47.案例四、靜態(tài)路由48.靜態(tài)路由案例4.靜態(tài)路由內(nèi)網(wǎng)外網(wǎng)/24fe3fe4internet/30C:/24/30/24防火墻任務(wù)路由/NAT方式。內(nèi)部客PC需求經(jīng)過防火墻訪問internet上效力。防火墻和客戶機(jī)之間有一臺(tái)路由器。在防火墻上需求做回指路由保證客戶機(jī)能訪問internet。49.案例4.靜態(tài)路由靜態(tài)路由50.案例4.靜態(tài)路由靜態(tài)路由添加目的地址是網(wǎng)段的靜態(tài)路由51.案例4.靜態(tài)路由靜態(tài)路由在本案例中，當(dāng)客戶機(jī)向外網(wǎng)發(fā)起銜接時(shí)，數(shù)據(jù)包經(jīng)過客戶機(jī)的默許網(wǎng)關(guān)經(jīng)交換機(jī)發(fā)送到防火墻，繼續(xù)經(jīng)過防火墻的默許網(wǎng)關(guān)發(fā)送到外網(wǎng)某臺(tái)效力器。效力器回應(yīng)的數(shù)據(jù)包經(jīng)過一系列路由到達(dá)防火墻。防火墻上圖配置靜態(tài)路由作用是將數(shù)據(jù)包的回送到交換機(jī)最終到達(dá)客戶端機(jī)器，保證該銜接的通暢。52.案例五IP映射、端口映射53.

案例5.IP映射、端口映射

IP映射、端口映射-概述作用：當(dāng)外網(wǎng)主機(jī)自動(dòng)發(fā)起銜接訪問防火墻的一個(gè)公網(wǎng)地址時(shí)，防火墻經(jīng)過IP映射規(guī)那么或者端口映射規(guī)那么將訪問懇求映射到對(duì)應(yīng)防火墻內(nèi)部局域網(wǎng)效力器。位于外網(wǎng)的主機(jī)發(fā)送的懇求數(shù)據(jù)包到達(dá)防火墻后，防火墻在匹配包過濾規(guī)那么之前，對(duì)數(shù)據(jù)包重新封裝，用指定的目的地址替代原數(shù)據(jù)包包頭中目的地址即為IP映射；用指定的目的地址和目的端口替代原數(shù)據(jù)包包頭中的目的地址目的端口為端口映射。54.內(nèi)網(wǎng)外網(wǎng)00fe1internet54fe3Server:00fe2DMZ區(qū)防火墻作IP、端口映射：局域網(wǎng)內(nèi)部效力器00提供ftp效力，獨(dú)一的公網(wǎng)IP已被防火墻外網(wǎng)口運(yùn)用，防火墻啟用端口映射功能，將局域網(wǎng)內(nèi)部ftp效力映射到外網(wǎng)，向外網(wǎng)客戶機(jī)提供ftp效力。制止外網(wǎng)客戶機(jī)訪問效力器00的其它效力。案例5.IP映射、端口映射網(wǎng)絡(luò)拓?fù)鋱D55.IP映射、端口映射案例5.IP映射、端口映射56.案例5.IP映射、端口映射IP映射、端口映射假設(shè)此欄填寫多個(gè)效力器地址那么可以進(jìn)展負(fù)載平衡57.案例5.IP映射、端口映射IP映射、端口映射IP映射、端口映射2選158.IP映射、端口映射案例5.IP映射、端口映射59.案例5.IP映射、端口映射IP映射、端口映射IP映射，端口映射完成后，依然需求添加相應(yīng)的包過濾規(guī)那么。60.IP映射、端口映射案例5.IP映射、端口映射至此，案例中的外網(wǎng)客戶機(jī)可以訪問效力器的ftp效力。61.案例六、包過濾戰(zhàn)略62.案例6.包過濾戰(zhàn)略包過濾戰(zhàn)略-概述包過濾是防火墻最根本最中心的功能，PowerV防火墻提供基于形狀檢測技術(shù)的動(dòng)態(tài)包過濾。它為防火墻提供功能強(qiáng)大準(zhǔn)確高效的訪問控制引擎，并且為防火墻內(nèi)平安域提供信息平安保證。包過濾除支持全部的TCP/IP協(xié)議簇外還經(jīng)過在“平安選項(xiàng)〞頁面對(duì)一些非IP協(xié)議進(jìn)展控制。63.平安戰(zhàn)略：過濾規(guī)那么會(huì)話銜接形狀緩存表形狀檢測包過濾防火墻符合不符合符合形狀檢測包過濾檢測機(jī)制

丟棄下一步處置IP數(shù)據(jù)包檢測包頭案例8.包過濾戰(zhàn)略64.包過濾戰(zhàn)略C:S:fe1fe2CilentAServerB包過濾案例配置需求：上圖為一個(gè)只需兩個(gè)網(wǎng)段的小型局域網(wǎng)效力器開放http效力。允許任務(wù)站訪問效力器的http效力；制止任務(wù)站訪問效力器其它效力。案例6.包過濾戰(zhàn)略65.默許全通包過濾戰(zhàn)略案例6.包過濾戰(zhàn)略66.包過濾戰(zhàn)略案例6.包過濾戰(zhàn)略67.包過濾戰(zhàn)略規(guī)那么按照從上到下的順序進(jìn)展匹配。沒有明確允許的數(shù)據(jù)包都會(huì)被制止。預(yù)先定義地址對(duì)象、效力對(duì)象，在包過濾規(guī)那么中援用。盡量合并同類規(guī)那么，堅(jiān)持規(guī)那么數(shù)量500以內(nèi)。案例6.包過濾戰(zhàn)略68.

時(shí)間調(diào)度是讓平安規(guī)那么在指定的時(shí)間段內(nèi)為生效形狀，在其它時(shí)間段為失效形狀?？蛇x內(nèi)容包括：“資源>>時(shí)間>>時(shí)間列表〞和“資源>>時(shí)間>>時(shí)間組〞中定義的一切資源。包過濾—時(shí)間調(diào)度案例6.包過濾戰(zhàn)略69.包過濾—時(shí)間調(diào)度案例6.包過濾戰(zhàn)略70.包過濾—時(shí)間調(diào)度至此，時(shí)間調(diào)度效力曾經(jīng)定義終了?？筛鶕?jù)需求在包過濾規(guī)那么中援用。案例6.包過濾戰(zhàn)略71.

對(duì)滿足條件的數(shù)據(jù)包所在的銜接進(jìn)展用戶認(rèn)證檢查，假設(shè)經(jīng)過檢查讓該包經(jīng)過，假設(shè)該銜接的發(fā)起端，不啟動(dòng)客戶端到防火墻上進(jìn)展認(rèn)證，或者沒有經(jīng)過認(rèn)證那么丟棄該包。包過濾—用戶認(rèn)證案例6.包過濾戰(zhàn)略72.包過濾—用戶認(rèn)證案例6.包過濾戰(zhàn)略73.包過濾—用戶認(rèn)證案例6.包過濾戰(zhàn)略74.包過濾—用戶認(rèn)證至此，用戶認(rèn)證效力曾經(jīng)定義終了?？筛鶕?jù)需求再包過濾規(guī)那么中援用。案例6.包過濾戰(zhàn)略75.包過濾—用戶認(rèn)證案例6.包過濾戰(zhàn)略至此，用戶認(rèn)證功能曾經(jīng)配置終了,用戶可以經(jīng)過認(rèn)證訪問互聯(lián)網(wǎng)。76.

POWERV防火墻采用了加強(qiáng)型抗攻擊技術(shù)，可有效的防備回絕效力等攻擊，可以防備以下攻擊類型：SynFlood，PingFlood，UdpFlood等。

包過濾—抗攻擊選項(xiàng)案例6.包過濾戰(zhàn)略防火墻上抗SYNFLOOD攻擊功能可實(shí)現(xiàn)以下兩個(gè)功能：制止攻擊流穿過防火墻，從而維護(hù)防火墻內(nèi)部的主機(jī)。允許正常的訪問懇求穿過防火墻，從而保證正常的業(yè)務(wù)的通訊。77.案例七、DHCP功能78.DHCP功能—概述防火