网御安全系统power v功能使用手册

导 ICMP服务配 功能概 允许 端口映射及IP映射规则配 4.2防 4.2.1防护策 4.2.3...........................................................................................................................4.2.4 4.3防 4.3.1防护策 IPS云防护.......................................................................................................... 抗扫 WEB应用防 白....................................................................................................................... URL过滤策 URL过滤策 自定义 应用协议黑白................................................................................................... IPSEC隧 IKE密钥交 添加规 添加IKE配 客户端的配置方法 7.4.1规则的设置方法 IKE配置的设置方法 DHCPOVERIPSEC的配置方法 星形部 隧道与安全规则的关系 配置方 L2TPOVERIPSEC穿越SNAT配置方 添加规 添加IKE配 配置WINDOWSL2TP客户 动态配置方 如何3322.ORG的动态.....................................................................................GRE隧道中 GRE配置步 MGRE配置步 总 新建B/S服 新建C/S服 新建角 服务角 服务角 角色用 用户服 用户B/S服 用户C/S服 HA和LFRP概 LFRP和网御安全网关的工作模 LFRP自身的HA工作模 LFRP集群的配置同 LFRP集群的会话保护协 LFRP集群的路径..............................................................................................LFRP集群的负载均衡技 范例一：单交换机节点下的主动-主动LFRP集 范例二：双交换机节点下的主动-主动LFRP集 注意事 VRRP配 VRRP同步配 范例 概 WEB登录基本使用指 登 第应用--使用第建立PPTP隧 IPV6地址概念及配置方 IPV6服务概念及配置方 三网口多VLAN环 两组端口间连接状态同步 两组端口间连接状态同步 18.1常见问题解 配置POWERV的基本过程是怎样的 VLAN“PPPOE“WIFI” 为什么选择了按网口探测网络上的MAC地址会探测不到内容 OSI参考模型概 网 协 IP地 路 端 附录：IP协议号列 第1PowerVPowerV管理员手册中的一本。该手册介绍了如何使用网御安全网关PowerV系列的比较复杂的功能和典型应用。本手册适用于负责支持、的安全管理员，是进行网御安全网关PowerTCP/IP协议，IPPowerVPowerV，不再说PowerV《网御安全系统PowerVPowerV第2章地址、服务、时2-1可以按三种方式来定义地址：IPIP1IP2；排除地址2-2新建IP/MASK自动用IP和掩码进行运算，添加成功的为一个网段。例如：输入2/，则添加成功后变IP1IP22-3地址组用于“”中的下拉菜单中的“策略。2-4新建2-52-6新建IP1IP2NAT254IPIPA，B，C备后，才可以使地址池的NAT地址转换规则起到地址转换的作用。在定义“”下拉菜单”策略”之前，一般需要按照特定的原则定义服务资源，预定义服务定义了一些常用的服务，不可以修改，删除，只可以被2-7预定义服务2-82-9icmpicmp2-10icmp服务icmp2-11icmp服务类型代码2-122-130080TCP和UDP协议必须指定端口口和高端口必须成对出现，若口0-65535，表示所有端口。其它协议需要指定协议号，协议号范围为0-255，若该协议有端口的概，，2-14ICMP2-15“ICMP2-162-17例如：2006/10/0100:00:002019/10/0723:59:59止所有内部主机外部INTERNET。则可在时间定义中定义一条例如：需要实现这样的功能：在工作时间所有WEB浏览。则可以设“any“HTTP“worktime2-182-19列出所有在“”下拉菜单中的“时间”中定义的时间安全域主要解决了对应用层协议的管理控制问题并且对网络能够起到防护作用，增强了性。2-202-21第3策略中包含用于滤的安全策略和用于网络地址转换的NAT类策略。安全策略：的安全策略有两种：允许和。制定符合安全需求的策略是保证安全网关真正起到“防火”作用的基础。配置错误的安全规则不仅会使安全网关，甚至有可能妨碍对网络正常功能的使用IPIP提供对外公开的服务，将用户对某个外部公开地址的转换到另一个内部地址3-13-2进入“>>策略>>NAT策略”进行NAT类策略配置3-3NAT3-4SNAT“的接口，以及PPPOE接口，若需要关联SNAT规则，强烈建议使用“”动作。3-5““IPIP3-6IP第4一般的单一的的网络结合了等其他来全方位地渗透到企业合协议控制检查和反邮件扫描达到对企业内部网的全方位防护。4.2防4.2.1防护策板，分别为标准防护模板、WEB防护模板和标准检测模板，分别对应用户的不同需求。图2-1显示的是防护策略列表。图4-1防护策略界考使用。新建AV策略时，可以这些策略模板，然后对新策略进行适当修改，即可构建文件过滤器的主要功能是根据用户设置的缓存文件大小文件后缀名和白单后缀名，对相应的文件进行与允许等操作。文件过滤器界面如下图所示表4-1文件过滤配置项说文件后缀“any”文件白后缀“none”4.2.3的主要功能是根据用户的设置将扫描到的文件到USB或者的文件到USB中；主机项只对内核有效，勾选“发送者至黑名件进行操作，设置时间，单位为分钟，0代表永久。4.2.4图4-2库设置界用户需要输入名称和特征，名称名规则是1-64位长度的字符、数字、中图4-3自定义特征设置界4-4AV云防护的主要功能是将检测到的信息上传至云防护中心，供安全Internet。4.3防4.3.1防护策护模板和Windows环境防护模板用户可以通过这些模板针对不同的网络环境和实要定义防护策略，并在的安全策略中生效。表4-2防护策略配置项说：，特征组名称如下控制，木马后门，CGI，CGI服务，网络数据库，：，保存报文时，会按照时间顺序循环覆盖已的报文文件并可以将要被覆盖的文件上传到表4-3场景保留配置项说设置在U盘中的文件上限，单位是每个报0服务器FTPIP，IPSInternet。4-5如果该条特征是失效状态，则防护策略中即使启用了该特征，将不会起作用。同样，如果该条特4-6反邮面对日益增多的邮件对用户的干扰安全网关通过反邮件系统有效的对邮件进行适合用户需求的多样化处理，很大程度上减少了邮件的干扰。目前，反邮件系统的主要功能有 邮件服务器IP地址功能：通过设置邮件服务器，然后开启此功能，反邮件系统可以将来自IP地址的邮件视为邮件处理。 以将来自该地址的邮件视为邮件处理。 统可以将拥有该关键字的邮件视为邮件处理。拥有该附件文件名关键字的邮件视为邮件处理。该附件文件名关键字的邮件视为邮件处理。该限制的邮件视为邮件处理。连接频率检查：通过设置连接频率，反邮件系统将限制同个IP在一定时间内连接收件人数量超过该限制的邮件视为邮件处理。为该发件人的邮件不是邮件。openrelay：当反邮件系统检测到邮件的收信人不在指定本地服务器服务范围内在邮件中加入邮件标示(当检测到邮件时)：开启此功能，反邮件系统在确定为邮件的邮件中加入邮件的标示。发送日志(当检测到邮件时)：开启此功能，反邮件系统在检测到邮件时将向安全网关日志系统发送日志用户可以通过状态的日志查看功能查看邮件信4-7旁路表4-4检测模式策略配置项说LINUX环境防护策略模板，WINDOWS环境防护策略模板，防护检测设置防护策略，采用防护提供的策略配置，默认提供WEB图4-8检测模式配抗扫描的主要功能是检测中是否存在对内网的扫描若检测到存在扫邮件，添加，设置的阻断时间等操作；同时，可以在白下添加白4-94-104-5设置对中的IP地址的阻断时间4-114-6勾选则添加发生主机扫描的源IP到设置对中的IP地址的阻断时间在白下可以添加白地址或者地址组，从而实现允许白对系统的操作图4-12白配置界WEBWEBHTTP/HTTPSWeb应用提供保护的。目前主要是针对SQL注入防护及XSS防护进行检测，若检测到存在该类则依据用户的设置进行相应的防护策略，其中防护侧率包括：允许或阻断。SQLSQLServer、Oracle、MySQL、DB2及其它五种。WEBWEB应用的防护措施，极大的提供了WEB应用的安全性。WEB应用防护功能配置包括SQL注入防护及XSS防护配置，如下图所示4-13WEB其中，SQL4-14SQL4-7SQLSQLSQLServer、Oracle、MySQL、DB2OtherSQLXSS防护配置界面如下图所示图4-15XSS防护配置界表4-8XSS防护配置项说使用启用XSS防护AP（AdvancedThreat的私有云模块会根据用户配置的防护策略，将经过传输的文件还原并上传至POPIMAP，用户可以根据实际的网络环境和应用组织适当的防护策略，以达到高效合理别为标准云防护模板、WEB云防护模板和标准云检测模板，分别对应用户的不同需求。图2-1显示的是云防护策略列表。4-166文件过滤器的主要功能是根据用户设置的缓存文件大小文件后缀名和白名单后缀名，对相应的文件进行与允许等操作。文件过滤器界面如下图所示：1M。4-97“白白功能允许用户配置可信任的文件及来源对于匹配的文件均认为是可信任4-18利用私有云服务器的强大分析及能力通过检测的所有文件信息均可以在云服务器上统计及查询，用户通过上提供的超即可云服务器。第5URLURL过滤策略或也可直接模板。在配置完成后，需在>>策略>>安全策略中，在新建安全策略>>防URLURLURL3种策略模板，分别是标准配置模板，阻断配置模板，5-1URLURL，URL进行动作配置，如日志、阻断、告警等。5-2通过对页面关键字学习，而判定该URL所属的组别，达到满足用户控制需求，同时允许URL更精确的分类。图5-3智能学字配2种策略模板，分别是标准配置模板和阻断配置模应用特征日志与功能在模板中包含丰富的特征组特征组中包含相应一系列的特征项，其中特征值有P2P，P2P，IM即使通讯，，炒股类软件，常用协议WEB2.0特质组。5-4，特征组名将显示该组下所有的特征，用户可点击或进行编辑和分别代表当前的，支持只报日志不的功能。5-5控制达到使用户可以安全的使用FTP，HTTP，SMTP，POP3上网文件。5-1HTTP命令，选择允许则表示对选中令允许通过，则相URLURL过，则相制MIME表5-2FTP对FTP的用户进行控制，允许的用户可以通过FTP服务，对上传的文件类别进行控制，列表允许的类型可以上传，的不对的文件类别进行控制，列表允许的类型可以，的不对选择的文件名进行控制，允许表示对选择的内容允许通过，Banner5-3SMTP过，则相过，则相邮件关字对选择的邮件关键字进行控制，选择允许则表示对选中的内容许通过，则相IP过，则相邮件防置5-4POP3过，则相过，则相邮件关字对选择的邮件关键字进行控制，选择允许则表示对选中的内容许通过，则相5-5允许或指定用户名组对指定数据库命令允许或表5-6OPC接收邮件总数，IMAP接收邮件总数，FTP网页数等。第6、、、提供具体审计项的配置，勾选开启相应审计项才能进行审计。HTTPHTTP外发、上传，FTP协议支持上传文件及命令审计，邮件协议支持SMTP、POP3收发邮件，支持NET命令审计，支持主流数据库的操作动作审计。、6-16-2 是一种本地计算机与计算机通过广域网或其他公共信道进行安全通信 客户端建立。这样计算机和本地计算机就可以组成一个更大的局域网，他们的通Internet，但是使用隧道这种技术，私有网络的通信可以安全地在加密隧道中传 在于建立IPSec隧道的两台安全网关或者安全网关与 （SPIESPABABA: B:7-1SAIP数据包头，将加密数据包发出。此加密数据包只能由B安全网关才能。这样就等于在Internet上形成了接IPSec用户-局域网隧道：BIPSecA,A/24IPSecAA B 局域网数 局域网数图7- 隧可以从上图看出IPSec用户A到局域网B的数据在经过主机上安装的客户端时，客户端根据隧道SA的属性对数据包进行加密等安全操作后，封装新的IP数据包头，将加密数据包发出。此加密数据包只能由B安全网关才能。这样就等于在Internet上形成了接两个局域网的不透明隧道。IKE密钥交换协议）完成的。网御支持用预共享密钥、、公钥数字信封三种认证方信双方知道，所以可以通过它完成互相的认证。用建立隧道是中所包含的。用公钥数字信立隧道时密钥对本端的Ni，ID进行加密。当对方时，先用私钥出对方的临时密钥，然后由临时密钥算出对方的ID和Ni。这时候就可以验证对方的验证。IKESAIKESA。在这一阶段，有两种交密钥、DH组、IKESA生存期；对于公钥数字信封来说，协商出加密认证算法、密钥、IKESASA提案，IP地址对于公钥数字信封的认证方式发起者先用对端公钥对发起者临时密钥进IKESA。钥交换请求、以及ID组成。响应者选择可接受的SA提案，并响应协商密钥请求，认IKESA。经过第一阶段，两个之间建立了一个安全可信的信道。他们之间可以开始第二段密钥交换，协于加密通信的IPSecSA。在第二阶段只有一种交换模式，快速模AH，IPSecSA生存期，加密认证算法等，在第一个消息中还可以提起一个完美向前请求，那么就响应DH密钥交换，确定，也就是检查是否允许某两个IP地址或子IPSecSA的建立，也就建立了隧道。添加规的协议。规则是提供给第二阶段的ipsec所使用的。协议可以是默认类型或者自定义形式。地址可以配置为A.B.C.D/M或者为A.B.C.D/等类似的地址形式地址组的id来源于->地址->地址7-3图7-4添加地址类型地址的形 图7-5添加地址组类型地址的形 规IKE添加IKE配置，这里所设置的参数均为生成第一阶段IKESA使用。设置对端享密钥、预共享密钥或以及野蛮模式中的ID、加密认证算法组合。受到对端IKE配置网关地址时有一些方法。对端IP地址、ADSLIPNAT接入。1IP地址接入的IP2、对方是ADSL动态IP地址接入的：可以使用对方的，也可以设置对方3NAT接入的7-67-7IKE支持两种认证方式，预共享密钥与。预共享密钥有一个特点，它是由两个IP地址或之间共享，或者由野蛮模式用户名与IP地址或之间共享。还有一种比较特殊的预共享密钥叫默认预共享密钥，提供给所有没有IP地址、与没有野蛮模式用户名的全局共享。由以上的特点可以看出，两个有固定IP或的之间可以使用主模式、设置预共钥交换，设置自身的野蛮模式用户名以及这个用户名与对方IP的预共享密钥。式。以上的情况都可以采用主模式交换、（公钥数字信封）认证方式。IPSecSA使用。还是AH协议、是否进行压缩。还有是否启用、是否主动参数。如果启动，在隧道中就可以看到这条刚添加的隧道，可以对其进行启动停止操作。IKEIKESA所需的所有配置。因为建立隧道的动作是在第二阶段完成的，这时已经有了IKESA，也就是有了一个的可信信道。这一阶段只关心隧道的IPSecSA使用什么样的方式（AH或ESP，加密认证算法、是否压缩、对PFS时进行新的密钥交换。7-87-9和设置局域网-局域网隧道一样，首先都是添加对于客户端的规则，可以支持地址组和地址的形式，其配置的方式和网关的配置/0；如果知道客户端接入的ip地址的时候，建议对端保护地址为相应的具体网段。图7-10添加提供给客户端隧道 规IKE因 客户端的地址一般不确定，选择使用认证方式选择：因为客户端的地址不确定，如果使用主模式，预共享密钥可以用安全网关的默认预共享密钥或自定义的共享密钥。客户端也可以使用野蛮模式用户名的方式，这样在设置时就可以设置这个用户名与安全网关IP之间的预共享密钥。如果使用主模式，也可以使用方式。7-117-12IKEIPSecSA使用什么样的保向前是默认开启的，客户端隧道是关闭的。7-137-14DHCPoverIPSecIP最简单的方法是手工在客户端指定，但这种方法用户很容易IP，这大大增加了网络管理员的工作量和难度。IPSecDHCP服务器。首先在DHCPoverIPSecDHCP中继服务器地址，如果使用DHCP。如果使用内部网络的DHCPDHCP服务器地址。选择从安全网关到达DHCP服务器的设备，如果选用安全网关的DHCP服务器，选择“lo”接口。如果使用安全网关的DHCP服务器为客户端分配地址，请配置安全网关IPSec7-15DHCP7-16IPSECDHCPRADIUS，PAPCHAP。依赖于一个安全机制(例如一个外部的RADIUS服务器)来要求用户提供他们的用户名和密码。XAuth发生在第一阶段和第二阶段之间的。。隧道组的配置就是多条网关隧道同一 隧道同时通信，这使用在多个网络提供商的情况下，如电信，双网接入的情况下。7-17ipsec隧道的保护。7-18ESP 用预共享密钥做认证方式的话，可以使用基本设置中的默认预共享密钥或者IKE中配置的预共享密钥。但在实际使用的是在IKE中配置的预共享密钥。进行密钥交换时可以得到对方的ID。所以在处理网关以及客户端时，使用野蛮模式可以分别为每两个之间设置预共享密钥。IP地址的安全网关作为中心安全网关。如果两台安全网关要建立隧道的话不再和需要通信的对方建立隧道而都是和中心安全网关建立隧道。A安全网关。SubnetBB安全网关上建立与中心安全网关的保护子网SubnetA的隧道。其实中心安全网关并没有保护子网，但是它充当中心转发AB通过中心安全网关建立隧道的目标。“IPSEC，不再通过物理网口转发，而是进入隧道。如果您允许隧道对方你的网络，那么还需要在滤中加入反方向的规则动作为“IPSECPPTP/L2TP配置方PPTP和L2TP是二层隧道的协议，为主机通过网关企业内部网络提供链路网御安全网关可以配置为PPTP/L2TP网关主机就可以通过Windows98/2000/XP/2003PPTPL2TP连接企业内部网络。，在安全网关的基本配置中启用PPTP/L2TP服务。添加拨号用户后主机就可以通过Windows98/2000/XP/2003四种操作系统使用PPTP和L2TP连接企业，如何配置安全网关为PPTP/L2TP网关，可以参考《网御安全网关PowerVWeb面操作手册》中配置一章。下面叙述如何在Windows的各平台上配置PPTP/L2TP远Windows98Windows98PPTPL2TP，，择厂商“，网络适配器“虚拟网络适配器。“leadsec Adapter，单击”下一步”，输入PPTP网关的IP地址。Windows2000/XP/2003常复杂而且各不相同。为了简化配置，修改表将L2TP和IPSec拆分：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters下添加DWORD项：ProhibitIpSec1。在Windows的网络与拨号连接中新建网络连接，选择“连接到网络（在Windows2003中是“连接到我工作场所的网络，然后选择“虚拟网络连接。为此连接命名，可以随意命名，如企业名称。然后输入PPTP/L2TP网关的地址，这就完成了一个、现在就可以输入用户名进行PPTP/L2TP拨号了用户名 在、网关上设置。如果PPTP/L2TP网关的配置与Windows的默认配置不同那么就需要行高级配置。您需要在“网络连接”中打开这个网络连接的属性界面。Windows图7-19 图7-20 择“要求数据加密（没有就断开。在使用加密的情况下，建议使用PPTP/L2TP网关”种认证选项，Windows的 图7-21 L2TPoverIPSECSNAT计算机客户端通过L2TPoverIPSEC穿越源NAT设备L2TP服务器，网络拓扑如7-22L2TPoverIPSECSNAT 添 规则，规则用途选择L2TPoverIPSEC，对端保护网络设为/0图7-23添 IKEIKE7-24选择本地出口、绑定的IKE和关联的规则，创建客户端隧道7-257-26l2tpwindowsL2TP在windows运行中输入regedit进入表图7-27运行ProhibitIPSec0或者直接删除。图7-28修改配置完表后，就可按照“PPTP/L2TP 配置方法”配置windowsL2TP客IP地址，然后才有可能向它发送密ADSL的安全网关建立隧道，那么您就需要使用动态域 的免费动态，要配置动态，您需要做如下准1、首先 用户2、在用户中添加可管理的免费然后“网络管理“服务器处设置任意一个Internet服务器如。在“网络配置”的“接口管理，拨号接口配置界面中，选择“开启动态，设置在用户中添加的7-29IPDNS注：只有物理接口、链路聚合接口和PPPoE支持动态的配置，且只有在理由模式7-307-31PPPOE用此与其建立隧道。1、时在您使用作为认证方式时，在所有的操作之前，您必须将要操作的安全网关 管理器的安装主机的时间设置成正确时间否则因为有时间属性，2在配置之前必须配置安全网关的默认路由3， AHAH，4和策略协商的提案交换不一样的是，PFS（完美向前）是第二阶段密钥交换时的IKESADH交换，协商新的密钥。此设置强烈建议建立隧道的两个之间设置相同。因为如果隧道的建立请求5PFS，是一个安全属性。此设置强烈建议建立隧道的两个之间设置6主模式密钥交换在处理网关以及客户端时存在一个缺点。那就是使在第三次消息传递中才传递而且对方的IP地址又是动态的所以这时只能得78、网关注意事您在添加网关或客户端时，因为地址不知道需要配置成。如果您选择了主模式的某种认证方式时，那么您在添加其他网关或客户端时，如果选择主模式，那么认证方式必须和添加的第一个网关或客户端的认AHESP如何3322.org的动1、登 点击“用户”或者“新用户”，如下图中箭头所指图7-32动态DNS用户3、在用户界面输入相应的用户信息，然后点击“提交”。如下图图7-33动态DNS用户4、如果成功，将返回正确的信息，如下图，如果没有返回正确信息，请根据返回信息，查看用户页面中信息是否符合要求。图7-34动态DNS用户5、如果返回上面的信息，恭喜你，你已经成功地成为希网的用户了。下面请按照下面的步骤进行登录。到刚才的信箱中，查看一封发 。 图7-35动态DNS用户6、登录后，出现下面的界面，你可以修改信息，同时也可以管理，选择中间的管理。如红色箭头指示。图7-36动态DNS管理（接和一些你所的二级至少在目前，希网对5个以下的二级是免费的（即2003115））；（图7-37动态DNS管理图7-38动态DNS管理这样，你就了一个动态。请记住这里的主机名。这里的ip地址可以是任意的GREIPSecIPSec隧道，送到下一级网关，在下一级网关，进行IPSec和GRE解包，恢复原来的数据包，再进定中心节点的IP地址，分支节点自动到中心上，中心根据分支的路由信息进行通GRE3/24、/24、/24。7-39B1A间、AB2IPSec隧道，保护各个网关本身，这里和普通IPsec隧道的配置不同，普通Ipsec设置的保护子网为连接PC的子网，这里实际GRE时，不需要。B1AB/32、A/32。B2AA/32、B/32B1IPSec图7-40B1 7-41B1IKE7-42B1AIpSec图7-43A 7-44AIKE7-45AB2IpSec图7-46B2 7-47B2IKE7-48B2AB1间、AB2GREB1GRE7-49B1GREAGRE7-50AGREB2GRE7-51B2GRE最后在策略路由规则中添加记录该路由表。B17-52B1gre7-53B1gre7-54B1A7-55Agre7-56Agre7-57AB27-58B2gre7-59B2gre7-60B2MGRE349MGREAMGREB1、B2首先在B1A间、B2A间分别建立一条IPSec隧道，保护各个网关本身。其中A设备上是客户端隧道，B1、B2为网关隧道。其他Ipsec 设置同GRE配置。B1AB/32、A/32。B2AA/32、B/32B1IPSec图7-61B1 规7-62B1IKE7-63B1AIpSec图7-64A 规7-65AIKE7-66A注意：客户端隧道默认不启用完美前向功能，网关和客户端隧道的配置该选项必须一致B2IPSec图7-67B2的规7-68B2IKE7-69B2AB1间、AB2MGREB1MGRE7-70B1MGREAMGRE7-71AMGREB2MGRE7-72B2MGREMGRE网络接口之间能够通讯即可，根据需要可以配置静态路由、默认路由、策B17-73B1A7-74AB27-75B2当隧道建立成功后，在MGRE状态页面可以看到结果，其中分支端是静态获取，显示的是MGRE隧道中配置的结果，中心端是分支结果，是动态获取的。当完毕就可以进行路由推送，在MGRE路由页面可以看到推送结果，其心上显示分B17-76B17-77B1A7-78A7-79AB27-80B27-81B2GRE配置方法，可以解决任意级数的级连。每一个网关需要与自己的相邻网关间建立2条隧道，其中一条IPsec隧道、一条GRE隧道。需要多少个与自己不相邻的保IP地址，在增加分支节点时配置也比较简单。第8章 SSL是解决用户敏感公司数据最简单最安全的解决技术。与复杂的IPSec这是因为SSL内嵌在浏览器中它不需要象传统IPSec一样必须为每一台客户机安装客户端软SSL可分为B/S服务和C/S服务两种方式B/S服务主要指计算机通过ssl 服务器来ssl 服务器后面保护的http或者https服务。B/SABBCA: B:eth0: C:PC

eth1:服务器）HTTP图8-1 可以从上图看出计算机A想要HTTP服务器C，必须先SSL服务器SMB、SMTP、SQLServer、net、Tftp443。图8-2开启 服B/SB/Stestbs，并指定允许路径为/testdir8-3B/SC/S8-4C/StestL2TPPPTP8-5服务角色有两种方式，一种是服务角色，另一种则是角色有权的服务。完成后，凡是属于该角色的用户，就可以该角色有权的服务了。图8-6服务角角色有权的服有权的服务，点击“提交，完成。图8-7角色有权的服权的用户，点击“提交，完成。完成后，所有属于该角色的用户，就可以访问角色有权的服务了。图8-8角色用用户服在PC客户端地址栏中输入ssl 服务器的地址和端口，弹出登录界面。输入相应的用户名和，进行登录。图8-9登录 登录成功以后，将会显示该用户有权的服务，绿色为B/S服务，灰色为C/S服务图8-10用户有权的服用户B/S服服务“testbs图8-11用户B/S服用户C/S服PPTP的配置方法，请参考“概念与配置方法”章节的“PPTP/L2TP 8-12PPTPL2TP或者PPTP连接上之后，即可对应的C/S服务图8-13C/S服第9HAHALFRP随着网络应用的迅猛增长作为保护企业网内部安全的安全网关日渐成为限制网络UntrustUntrust9-1HA（HighAvailability）即高可用性，本章特指利用冗余安全网关设备，冗余电源，LFRP（LeadsecFirewallRedundantProtocol）即安全网关冗余协议，是一种特定在安全网关设备上支持的、可提供高可用性(HA)服务的专有协议，该协议2～4台支持LFRP协议的安全网关可以构建一个优秀的高可用性安全网关集群，它消除电信、银行、、大型企业等。如图所示：两台支持LFRP协议的安全网关构成Untrust 图9-2两台支持LFRP协议的安全网关构成的HA集群，单点故障被消LFRPV1.0LFRPHALFRP4HAHA主动-模式（双机热备）:如图所示，集群中所有节点的任意对应的业务网口IPMAC（优先级=1）为主节点，处于主动工作Untrust

图9-3两台安全网关构成的HA集群：主动－模式（双机热备注意：HASTP主动-主动模式（负载均衡IP和MAC地址都分别相同，各节点协同工作。其中一台安全网关（优先级=1）是主节点，Untrust

图9-4两台安全网关构成的HA集群：主动－主动模式（负载均衡会话保护模式：如图所示，此模式不同于上面所说的主动－主动模式，主动－模IPMAC地址是不同的，LFRP协议中的会话保护协议（启用状态同步，使得各个节点之间可以进行滤状态同步，保证会话状态的相图9-5两台安全网关构成的HA集群：会话保护模LFRPLFRP集群由一组（2～4台安全网关）实施相同的整体安全策略并且共享相同配置的网御安全网关设备组成。将一台安全网关设备新加入LFRP集群时，LFRP集群中LFRP集群正常运转中，管理员对主安全网关节点进行了下列的更改或操作命ha:ha命令,用来配置ha接口IP地址和hahadetect:ha路径命令，用来配置周边设备IP地址和本节点网口状upgrade:修改主机名令所有导入令所有showclocksetLFRP集群的心跳协议（HeartbeatLFRPHA网口进行心跳通讯，实时检测各安全网关的HALFRPIDHA标识符的节点之间才可以互LFRP集群ID号必须唯一。0，表示该节点处于失效状态（HA路径工具到本节点和周边设备连接出0，即该节点又重新恢复有效状态，才可以处理网络业务数据。UDP6666LFRP主节点周期性地（0.5秒）从节点周期性地（0.5秒）:负载均衡模式下:LFRP:注：系统只对节点离线发送邮件，其它只记录日志不做LFRPLFRP该网口的结果是LinkDown状态，则该安全网关节点将进入失效状态。当网口的结果是LinkUp状态，该安全网关节点会从失效状态重新转变为有效状态。注意：LFRP0，会自动迁移到其他节点处理。当该节点的所有需要HA的网口的结果为LinkUp,而且该节点的周边IP探测结果的总故障数不再超过故障切换临界值后，该节点会重新恢复有效，其优先级会大于0，相当于这个节点又重新加入集群，其他各节点的会分配部分会话给该节点处理。LFRPLFRP集群为用户提供了支持对称的主动负载均衡技术使得的安全网关LFRP会话的所有数据包会被同一个安全网关节点处理LFRP集群，主节点会协调各节点重新分配负载。而如前所述的会话保护技术可以使所有正在9-6LFRP3.1.1LFRP动-主动（负载均衡）HA网口。各节点通过VRRPTrustmac地址绑定（mac-address-table）配置,LFRP集群中所有的节点都收到相同的业务数据（各节点根据数据帧的hash和本节点优先级决定是否处理收到的数据帧。（MAC:01:00:00:00:02）2/0/1,2/0/2cisco3750mac地外部交换机：mac-address-stablestatic0100.0000.0001vlan1interfaceGigabitEthernet2/0/1GigabitEthernet2/0/2（MAC01:00:00:00:00:01的数据帧，将会往本交换2/0/1,2/0/2端口都转发）内部交换机：mac-address-stablestatic0100.0000.0002vlan1interfaceGigabitEthernet2/0/1GigabitEthernet2/0/2（MAC01:00:00:00:00:02的数据帧，将会往本交换2//0/1,2/0/2端口都转发）HAHAHAHA9-7HAWebUI的配置（gateway1：HA网口参数的“确定”按钮。HAHAHAIP地址：HA基本参数的“提交”按钮HA网口：选中HA本节点为：1号节点Fireall1进行的其它诸如资源定义，安全策略等配置。系统保存后重新启动，本安全LFRP1的一个节点成员。WebUI的配置（Gateway2：HA网口参数的“确定”按钮。HAHAHAIP地址：HA基本参数中，输入以下内容，HA基本参数的“确定”按钮HA：选中HA本节点为：2号节点LFRP1如果Gateway1启动后，如果没有检测到有其它LFRP集群1点的心跳信号，则Gateway1成为1Gateway1，并重新启动使其成为主节点，后配置Gateway2Gateway1Gateway1的所有配置。LFRPHAIP地址应该不相同，但应该属于同一网段。该接口主要用来LFRPHA号必须唯一（1～2中选择）,LFRP开启抢占后，不支持探测IP功能。HA接口的第一个页面中的“启用会话保护模式配置同步”以及“启用实施配置同步”两个都为开启配置CMD的配置（Gatewayhasetipnetmaskhaifonsynonreal-time-synoffhasetmodeclusternode1id1preemptoffhaonnewconfigsaveCMD的配置（Gatewayhasetipnetmaskhaifonsynonreal-time-synoffhasetmodeclusternode2id1preemptoffhaonnewconfigsaveHA路径配HA路径配置包括网口和周边设备IPHA网HA网口是检查安全网关设备的物理网口是否处于活动状态并连接到周边网络设备LinkDown,导致流经该网口的数据全部丢失。如果对该关键业务数据网口设置了HA，则一旦到该网口LinkDown，该节点会自动失效，LFRP集群中的其它安全网关节点会接管原来有该节点处理的会话，保证了LFRP集群用性本范例中：在Gateway1和Gateway2节点上都设置了HA业务数据网口eth0如图所示为HA网口的配置页面图9-8HA网口的配置页WebUI的配置（Gateway1&Gateway进入“网络管理>>高可用性>>双机热备设置”页面的“HAeth0CMD的配置（Gateway1&Gatewayhadetectaddifeth0hadetectaddifeth3configsaveHAHAIPIPARPIP6IPIP当IP总故障数不再超过故障切换临界值后，它会从失效状态重新转变为有效状态。IPIPLFRPHAIP，三层交换机端口的IP以及相对重要的DMZ区服务器IP，不能使用安全网关上使用的IP（安全网关节点16个和安全网关网口IP同网段的周边设备IP）IPGateway1Gateway2HAIP15HAIP9-9HAIPWebUI的配置（Gateway1&Gateway进入“网络管理>>高可用性>>HAIP”页面，输入以下内容，然后单击“提HAIP页面,输入以下内容，9-10HAIPIP:权重从该网口探测CMD的配置（Gateway1&Gatewayhadetectsetthreshold50hadetectaddip15configsave说明:单交换机节点下的主动-LFRP集群所有网络拓扑图和配置步骤都和单交换机节点下的主动-主动LFRP集群一样,只是配置的HA工作模式不同具体主动-工作模式的原理请见前述的小节2.2“LFRP自身的HA9-11LFRPLFRP成主动-主动（负载均衡）HA网口。各节点通VRRP协议做冗余链路冗Trustmac地址绑定（mac-address-table）配置,LFRP集群中所有的节点都收到相同的业务数据（各节点根据数据帧的hash和本节点优先级决定是否处理收到的数据帧。（MAC:01:00:00:00:02）2/0/1,2/0/2cisco3750mac地外部交换机：mac-address-stablestatic0100.0000.0001vlan1interfaceGigabitEthernet2/0/1,2/0/2端口都转发）内部交换机：mac-address-stablestatic0100.0000.0002vlan1interfaceGigabitEthernet2//0/1,2/0/2端口都转发）HA同单交换机节点下的主动-LFRPHA路径配同单交换机节点下的主动-LFRP9-12双交换机和双路由器（路由交换机）3.3.1LFRPIBMTRUNKVLAN间转发5brg0里，且需TRUNK。UDP1985LFRPLFRPLFRPLFRP集群中的主动－模式支持路由模式和桥模式但使用桥模式注意关闭安全网LFRPSTPHA系统软件的实时性，导致系统出现不正常情况。HALFRP集群。如果管理员在主安全网关进行了配置更改，只需要手工同步所有节点配电子管理，需要修改电子的安全网关ID号为新升级为主节点的安全网关ID才webHAIP地址，HAIP地址在同一个网段。该接口主要用来传输心跳，配置同步和LFRPHA标识符和工TCPUDPLFRP协议的正常使用。MACMAC地址。HALFRP集群,按照预定的网络拓扑结构，重启该安全网关,LFRP1～3LFRP集群中所HA工作状态下的各安全网关节点管理的更新按照预定的网络拓扑结构，重启该安全网关,LFRPHA对只支持双机热备下非隧道，且不完全支持集群模式第10VRRPVRRP(VirtualRouterRedundancyProtocol虚拟路由冗余协议)是一种容错协议，在静态本网段的报将按照设置的缺省的路由进行转发从而实现本地网络与外部网络进行通信。但当这个缺省的路由器由于坏掉时本网段内所有的以这个路由作缺省路由下一跳VRRPVRRP10-1VRRP果备份组中的Master路由器坏掉，Backup路由器会通过策略出新的Master路由VRRPRFC2338VRRP10-2VRRPHA方式进行状态同步。VRRPTrustVRRPWEBUI的配置（10-3VRRPA，进入“高可用性>>基本配置>>VRRP参数配置”页面，VRRPID10-4ID：0IP地址：VRRPID：1（B，进入“高可用性>>基本配置>>VRRP参数配置”页面，VRRP组配置输入以下内容，然后单击“确定”按钮。VRRPIDIP地址：VRRPID：1CLI的配置（vrrpaddvrid1prio100adv1promoffmcastipinterfaceaddaliasbind_iffe3alias_id0ipnetmaskactiveonvridvrrponCLI的配置（vrrpaddvrid1prio101adv1promoffmcastipinterfaceaddaliasbind_iffe3alias_id0ipnetmaskactiveonvridvrrponHAHAIP地址：进入“高可用性>>基本配置>>VRRPVRRPVRRP（10-5HAHA网口HA进入“高可用性>>基本配置>>VRRPVRRPWEBUI的配置（HA网口HA进入“高可用性>>基本配置>>VRRPVRRPWEBUI（1）CLI（A）vrrpoffhasetipnetmaskhaifonsynonvrrpon（vrrphasetipnetmaskhaifonsynonvrrponVRRPVRRPVRRPHAIPipvrrpVRIDipVRRPIP第11253NAT的工作。虚拟服务器位于服务器负载均衡器上，提供IP地址和端口供客户机。服务器负载IP地址和端口，还包括服务类型、调度算法、持久时间三个属IP地址和端口外，还具有权重值，所属虚拟服务器属性，其中权重值是大多数8rr:轮叫调度（Roundi(i+1)modni台服务器。算法的优点是其wrr:轮叫（WeightedRoundlc:最少（Least最小连接调度（Least-ConnectionScheduling）算法是把新的连接请求分配到当前1；当连接中止或超时，其连接数减wlc:最少（WeightedLeast。理员可以动态地设置服务器的权值最小连接调度在调度新连接时尽可能使服务。dh:目标地址散列（Destination目标地址散列调度（DestinationHashingScheduling）IP地址的IP地址，作为散列键（HashKey）从静sh:源地址散列（Source源地址散列调度（SourceHashingScheduling）算法正好与目标地址散列调度算法IP地址，作为散列键（HashKey）从静态分配的散列表找出对lblc:基于局部性的最少(Locality-BasedLeastLBLCIPIP地址最近使用的服务器，lblcr:带的基于局部性最少(Locality-BasedLeastConnectionswithIPIP地址对应的服务器组；按“最小连SED:最短的期望的延迟(ShortestExpectedDelaySchedulingABC三台机器分别权重123123。那么如果使用WLC算法的话一个新请根据运算结果，把连接交给CNQ:最少队列调度(NeverQueueSchedulingrealserver的连接数＝0就直接分配过去，不需要在进行sedICMP探测和服务探测。ICMPICMPICMP报文。SYN包文，如果在超时渐渐范围内没有收到真实服务器的握手报TCP连接，以减少服务器的额外的连接带来的损耗。HTTP11-1HTTP122Eth4121eth3IP12Eth4IP。12上的http服务。11-2HTTPeth3eth4ip。VIPeth3ip地址：cli命令行为：bladdvirtualV1prtcpipport80pt300schd11-3HTTPIP服务器端口填写服务器1上提供的服务端，这里默认为1（1）IPeth4的ip1的配置。2上的配置。clibladdrealR1toV1 ip00port80wt1gwbladdrealR2to ip03port80wt1gw11-4HTTPclibldetect2dtimer10。负载均衡和严格状态监测有，如果严格状态监测开启请关闭11-5cliblon。第12冗余设备是将多个物理设备在一起而成的虚拟设备。冗余设备的物理设备共同完成收发工作，组成一个逻辑链路供系统使用。的物理设备可以相互备份，一个物理12-6表选择eth0和eth1，冗余设备工作在路由模式下，IP地址设置为，掩码将的eth2和eth3口的工作模式设置成冗余模式,添加冗余设备bond2，设备列表选择eth2和eth3，冗余设备工作在路由模式下，IP地址设置为，掩码按拓扑图所示将与交换机相连接，等待交换机灯变绿，在交换机上showinterfaceport-channel1可以看到BW200000Kbit此时两个局域网络通过的带宽就扩展为200M了。此时若只拔掉与交100M，将网线插回带宽即可恢复200M12-7将的eth0和eth1口的工作模式设置成冗余模式，添加冗余设备bond11，设备列表选择eth0和eth1，冗余设备工作在路由模式下，IP地址设置为，掩码表选择eth2和eth2，冗余设备工作在路由模式下，IP地址设置为，掩码按拓扑图所示将与交换机相连接，等待交换机灯变若此拓扑图不变，想使工作在透明方式下，可选择将冗余设备bond1、bond2工作模式选择透明方式第13http是指结合、数字、实物（USBKey、动态令牌或等生物标志）等多种条件对用势。因此，网御安全网关PowerV支持双因子认证方式，为用户带来更全面的防图13-1用户网络图内网的用户通过网御认证客户端软件或者网 客户端的扩展认证功能或者图13-2用户网络图关联用户/用户组，为用户/组下开通Internet的权限。此时，用户Internet的数据可图13-3用户网络图如果用户退出登录，或者安全网关检测到客户端超时断开，则该用户是过认证的，用户将不能继续Internet。PowerVIP协议层用户认证系统，突破认证的服务种类限制，为用户退出后，服务器可以检测到超时IP1.2.1、、AD/LDAP/RADIUS服务器和服务器组。、、、、、、1.3.113-413-5testlocal13-6test13-71.3.3配置安全策略，关联用户组test。说明只有通过认证的属于该用户组的用户才可以所13-8如图配置只有经过认证的用户，且属于用户组test的用户，可以http服务13-913-10131.3.513-11图13-12用户页修改。用户通过该软件可以在登录成功后，修改自己账号的管理，导入、删除、查看等登陆后，可以查看时间这一步根据认证方式的不同而不同。有的认证方式，验证的有效期。如果在有效期内，服务器验证通过，如果用户的快要过期，则根据管理员配置的【到期提醒天数】提醒用户即将过期。如果已经失效，验证失败。有的认证方式，验证的有效性务器端记录日志；如果有未安装进程，则弹出窗口提示地址。IPIPIP来的132.2.1运行随即光盘中的【网御认证客户端.exe13-13下一步同意协议13-1413-1513-1613-1713-18点击安装，安装成功完成后弹出以下框，选择是否立即运行客户端13-1913-20132.2.2windows13-2113-2213-23选择是否删除用户的信息,本地点击【否，保留用户的信息。继续13-24132.3.113-25132.3.2点击“系统设置”按钮，可以设置本程序。现将各个选择项的含释如下13-26端132.3.313-27修改图13-28用户修改图13-29用户修改13-3013-31132.3.413-32管图13-33管理页图13-34导入页图13-35列然后再主页面可以选择认证，点击下拉框，选择。点击【】按钮，查看证图13-36认在登录时，如果已经过期，会提示给用户已过期图13-37已过WEBIEFirefox浏览器来实现用户认证功能、修改和查看登录时间。修改。用户通过该软件可以在登录成功后，修改自己账号的打开IE，在地址栏输入需要登录的，例如：，如果用户还没有登录的话，同时管理员也配置了相应的认证策略（ip,目的端口为8这个http口令认证：只需要用户名和图13- 到用户初始想要的页面。图13- 用户认证成功修改：如果用户是有的，则在认证成功后，可以主动修改图13-40修改页第14CACA中心主要提供服务，包括本地CA的更新与导出，本地的签发、撤销和导出，第CA和的导入。CA中心一般和统一认证模块、、SSL模块配合使客户端的用户认证以及windows自带客户端通过拨号方式的认证。新建用在【统一认证】在【统一认证】图14-1添加认证用户填 名 相关信息， 进行签图14-2新建用户界面直接签发用图14-3添加认证用户发发】查看刚才新建 用户user1已经1图14-4认证用户和关注意上述步骤，也可以先在【CA中心】【本地CA】【签发】事先生成1，然后在创建用户时直接填写 1142.1.2导出14-5图14-6保导入客户书1，点击【详细信息】可查看信息，确认无误。14-7用户认证上输入用户名user1，认证方式选择认证，选 图14-8用户登录图14-9用户登录登录成功后可在【用户信息】中看到用户的信息，如下图所示图14-10用户信配置PKI之前，首先的准备好待用的及CRL，下图为openssl方式制作的14-11opensslCA心获得的导入到中，导出是从上导出到本机的过程。删除是从防火墙中删除证。的导入功能如图所示：图14-12CA142.2.2本地CA中心颁发，最后在配合导入按钮，导入颁发好的图14-13添加本地的请求文2、密钥外部生成即密钥对和请求文件由外部设备生成。选用这种方式上传，需要准备私钥文件和经CA签发的 14-14密钥外部生成的本地3、pfx格式，其实也为外部导入，该格式是把与私钥结合到一起形pfx格式。点击，浏览要导入的pfx格式 14-15pfx142.2.3对方对端主要包括：添加、pfx格式、导入、删除、导出等功能 对端的信息，假如为如下这样：图14-16添加对方的:2、导入pfx格式，即选择pfx格式的导入，其中包括了和私钥，点击 框选择要导入的pfx格式的:14-17pfx142.2.4SCEP1、无码scep图14-18无码配置包括：scep的url、的CA、待请求文件、成功后保存在本地的名、轮询时间及次数。注意：的请求名与的名称必须不一样，否则失败。2、有码先连接scep服务器，获得码，(其中scepURL为图14-19获得得到码为：3D320C528C190A2,且该码只能使用一次，有效期为60分钟。想换挑图14-20有码其中界面不需要配置请求，请求文件会根据码及特性(Ip、、DNS)在自动生成。配好URL、CA名称、轮询时间及次数。用户使用第建立PPTP隧配置好CA和本地，添加用户，具体配置如下图14-21添加使用第的用注意CA选择第CA的名字，CN为允许客户端使用接入的的公共域名，而不是选择本地CA时的名字，这点要区分开来。PPTP图14-22配置支持的PPTP服务认证协议选中EAP才可支持接入。PPTP客户端：图14-23配置使用的PPTP客户PPTP图14-24配置使用的PPTP客户PC客户端安装上对应的CA和客户端，选择客户端，发起PPTP连接。说明：也可以使用本地建立PPTP隧道，相关操作类似。第15IPV6在定义“IPv6”下拉菜单下的”IPv6（比如：IP15-1ipv615-2ipv6入2001:288:250:2403::7/96，则添加成功后变为如果希望指定一台主机，前缀长度为址IP1IP215-315-4IPv615-5icmp6icmp615-6icmp6类型代码15-715-8““ICMPv6第16tcp会话、icmp会话统计功能，包括统计当前并发连接数，tcp、udp、icmp，tcp会话榜功能，会呈现当前所有会话中，源会话数和目的会话数的前十名ip 会话统计-11-1。16-1之后点击会话管理-》会话统计-》会话榜，即可查看当前网络中会话情况，如图16-2会话统计ip地址当前的会话情况时，可进行如下操作，会话管理-》会话状态-IPIP11-3。16-3132G240MB时，会话统计功能暂停工作，直至240MB以上，会话统计功能也会重新进行。44G480MB时，会话统计功能暂停工作，直至480MB以上，会话统计功能也会重新进行。第1717-1上图是一个具有三个区段的小型网络。其中内部网络区段的地址是0；DMZ00掩码是；fe4所在网络区段的地址是00到54，掩码是。WWW0080；MAIL服务器的地址eth1工作在透明模式，eth3工作