联想网御L防火墙技术培训

联想网御PowerV防火墙

技术培训2021年4月1.目录一、联想网御防火墙技术原理培训二、联想网御PowerV防火墙案例培训2.防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。经过制定平安战略，它可经过监测、限制、更改跨越防火墙的数据流，尽能够地对外部屏蔽网络内部的信息、构造和运转情况，以此来实现网络的平安维护。通常是网络平安防护体系的最外一层。防火墙概念引见什么是防火墙？3.防火墙概念引见什么是防火墙？防火墙能做什么保证授权合法用户的通讯与访问制止未经授权的非法通讯与访问记录经过防火墙的通讯活动防火墙不能做什么不能自动防备新的平安要挟不能防备来自网络内部的攻击不能控制不经防火墙的通讯与访问4.SourceDestinationNetworkAddressTranslation00Firewall00Internet防火墙概念引见什么是防火墙？5.防火墙概念引见什么是防火墙？6.透明方式7.路由方式8.混合方式9.数据包的方式:

防火墙能利用包头的信息进展过滤，仅允许符合规那么的数据包经过防火墙规那么可细分为源地址/目的地址、源端口/目的端口、协议、衔接方向等工程包过滤技术10.包过滤技术什么是形状检测？每个网络衔接包括以下信息：

源地址、目的地址；

源端口和目的端口；

协议类型；

衔接〔会话〕形状〔如超时时间，TCP衔接的形状〕等；防火墙把这些信息统称为形状，可以检测这些形状的防火墙叫做形状检测防火墙。11.包过滤技术形状检测的优点？〔与包过滤防火墙相比〕更平安：

检查内容=包过滤检查内容+衔接形状更高效：

包过滤——收到一个包，检查一遍规那么集

形状检测——先查形状表，再查规那么集12.目录二、联想网御PowerV防火墙案例培训13.电子钥匙、证书、串口登录透明接入路由/NAT方式静态路由IP映射、端口映射包过滤战略DHCP目录14.案例一电子钥匙、证书、串口登录15.

联想网御防火墙Web登陆认证数字证书电子钥匙案例1.电子钥匙、证书、串口登录16.1.双击随机光盘ikeydriver目录下的INSTDRV.EXE，自动安装电子钥匙驱动。切记：安装驱动前不要插入USB电子钥匙。电子钥匙认证2.随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令，初次运用默许PIN为“12345678〞。案例1.电子钥匙、证书、串口登录17.在IE地址栏输入https54:8888,等待约十秒左右,弹出一个一个对话框提示接受证书，选择接受即可出现联想网御防火墙登录画面。案例1.电子钥匙、证书、串口登录电子钥匙登录18.数字证书认证1、把防火墙证书导入防火墙并启用。2、管理主机上导入IE阅读器证书。案例1.电子钥匙、证书、串口登录19.数字证书认证—证书页面导入导入证书后选择生效选项第一步第二步案例1.电子钥匙、证书、串口登录20.数字证书认证—证书导入导入防火墙证书要导入相对应的IE阅读器证书.在管理主机本地双击IE阅读器证书，按照提示进展安装，需求输入密码时输入“hhhhhh〞，当出现导入胜利后点击确定完成。案例1.电子钥匙、证书、串口登录21.数字证书认证当防火墙与IE证书均导入胜利后，我们在管理主机翻开IE阅读器并输入https54:8889，出现选择证书提示后点击“确定〞画面。案例1.电子钥匙、证书、串口登录22.管理主机防火墙出厂时默许的管理主机地址00，当接入一个新的网络环境中时，首先要进展管理主机的配置。 案例1.电子钥匙、证书、串口登录一定不要添加的管理主机23.案例二、透明接入24.透明接入多部署于拓扑相对固定网络，为了不改动原有网络拓扑，常采用此部署方式〔防火墙本身作为网桥接入网络〕。按照此方式部署后的防火墙如出现软硬件缺点，可以紧急将防火墙撤离网络，不用更改其他路由、交换设备的配置。案例2.透明接入透明接入—概述25.C:00S:00Brg：54fe2fe3透明接入方式防火墙配置需求：防火墙配置的FE2\FE3口配置为透明方式。允许任务站C00访问效力器S00的HTTP效力。任务站C00不能访问效力器S00的其它效力。透明接入拓扑图案例2.透明接入26.透明接入案例2.透明接入27.STP未开启未绑定设备已启用透明接入案例2.透明接入28.透明接入案例2.透明接入29.透明接入案例2.透明接入30.已启用已变成透明方式透明接入案例2.透明接入31.透明接入变成透明方式的端口自动添加到绑定列表里面网络接口配置完成后，依然需求添加相应的包过滤规那么案例2.透明接入32.透明接入案例2.透明接入33.透明接入案例2.透明接入34.至此，任务站00可以访问效力器192.168.200的HTTP效力透明接入案例2.透明接入35.案例三、路由/NAT方式36.配置路由/NAT方式的防火墙多部署于网络边境，或者是衔接多个不同网络,起到维护内网主机平安，屏蔽内网网络拓扑等作用。案例3.路由/NAT方式路由/NAT方式—概述37.

C:/24S:/24/24fe1fe2任务在路由/NAT方式下防火墙配置需求：本案例拓扑为一个只需两个网段的小型局域网。效力器开放http效力。允许任务站访问效力器的http效力制止任务站访问效力器其它效力。/24CilentAServerB路由/NAT方式(不做NAT转换)案例3.路由/NAT方式38.案例3.路由/NAT方式路由/NAT方式(不做NAT转换)39.案例3.路由/NAT方式路由/NAT方式(不做NAT转换)40.网络接口配置完成后，依然需求添加相应的包过滤规那么，这样防火墙允许任务站访问效力器的http效力。案例3.路由/NAT方式路由/NAT方式(不做NAT转换)41.

网络地址转换NAT为IETF定义规范，用于允许公用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益缺乏是经常部署NAT的一个主要缘由。另外网络地址转换NAT经常作为一种网络平安手段运用，平安域内的机器经过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。NAT—概述案例3.路由/NAT方式42.

内网外网C:00fe3fe4internet54S:防火墙任务路由/NAT方式。内部客户PC需求经过防火墙访问internet上效力。从防火墙外无法看到内部客户端的真实IP。案例3.路由/NAT方式路由/NAT方式(NAT转换)43.路由/NAT方式(NAT转换)案例3.路由/NAT方式44.路由/NAT方式(NAT转换)案例3.路由/NAT方式45.路由/NAT方式(NAT转换)案例3.路由/NAT方式46.案例3.路由/NAT方式网络接口、NAT规那么配置完成后，依然需求添加相应的包过滤规那么，这样防火墙允许内部客户机00访问internet上的效力器。路由/NAT方式(NAT转换)47.案例四、静态路由48.静态路由案例4.静态路由内网外网/24fe3fe4internet/30C:/24/30/24防火墙任务路由/NAT方式。内部客PC需求经过防火墙访问internet上效力。防火墙和客户机之间有一台路由器。在防火墙上需求做回指路由保证客户机能访问internet。49.案例4.静态路由静态路由50.案例4.静态路由静态路由添加目的地址是网段的静态路由51.案例4.静态路由静态路由在本案例中，当客户机向外网发起衔接时，数据包经过客户机的默许网关经交换机发送到防火墙，继续经过防火墙的默许网关发送到外网某台效力器。效力器回应的数据包经过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器，保证该衔接的通畅。52.案例五IP映射、端口映射53.

案例5.IP映射、端口映射

IP映射、端口映射-概述作用：当外网主机自动发起衔接访问防火墙的一个公网地址时，防火墙经过IP映射规那么或者端口映射规那么将访问恳求映射到对应防火墙内部局域网效力器。位于外网的主机发送的恳求数据包到达防火墙后，防火墙在匹配包过滤规那么之前，对数据包重新封装，用指定的目的地址替代原数据包包头中目的地址即为IP映射；用指定的目的地址和目的端口替代原数据包包头中的目的地址目的端口为端口映射。54.内网外网00fe1internet54fe3Server:00fe2DMZ区防火墙作IP、端口映射：局域网内部效力器00提供ftp效力，独一的公网IP已被防火墙外网口运用，防火墙启用端口映射功能，将局域网内部ftp效力映射到外网，向外网客户机提供ftp效力。制止外网客户机访问效力器00的其它效力。案例5.IP映射、端口映射网络拓扑图55.IP映射、端口映射案例5.IP映射、端口映射56.案例5.IP映射、端口映射IP映射、端口映射假设此栏填写多个效力器地址那么可以进展负载平衡57.案例5.IP映射、端口映射IP映射、端口映射IP映射、端口映射2选158.IP映射、端口映射案例5.IP映射、端口映射59.案例5.IP映射、端口映射IP映射、端口映射IP映射，端口映射完成后，依然需求添加相应的包过滤规那么。60.IP映射、端口映射案例5.IP映射、端口映射至此，案例中的外网客户机可以访问效力器的ftp效力。61.案例六、包过滤战略62.案例6.包过滤战略包过滤战略-概述包过滤是防火墙最根本最中心的功能，PowerV防火墙提供基于形状检测技术的动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎，并且为防火墙内平安域提供信息平安保证。包过滤除支持全部的TCP/IP协议簇外还经过在“平安选项〞页面对一些非IP协议进展控制。63.平安战略：过滤规那么会话衔接形状缓存表形状检测包过滤防火墙符合不符合符合形状检测包过滤检测机制

丢弃下一步处置IP数据包检测包头案例8.包过滤战略64.包过滤战略C:S:fe1fe2CilentAServerB包过滤案例配置需求：上图为一个只需两个网段的小型局域网效力器开放http效力。允许任务站访问效力器的http效力；制止任务站访问效力器其它效力。案例6.包过滤战略65.默许全通包过滤战略案例6.包过滤战略66.包过滤战略案例6.包过滤战略67.包过滤战略规那么按照从上到下的顺序进展匹配。没有明确允许的数据包都会被制止。预先定义地址对象、效力对象，在包过滤规那么中援用。尽量合并同类规那么，坚持规那么数量500以内。案例6.包过滤战略68.

时间调度是让平安规那么在指定的时间段内为生效形状，在其它时间段为失效形状。可选内容包括：“资源>>时间>>时间列表〞和“资源>>时间>>时间组〞中定义的一切资源。包过滤—时间调度案例6.包过滤战略69.包过滤—时间调度案例6.包过滤战略70.包过滤—时间调度至此，时间调度效力曾经定义终了。可根据需求在包过滤规那么中援用。案例6.包过滤战略71.

对满足条件的数据包所在的衔接进展用户认证检查，假设经过检查让该包经过，假设该衔接的发起端，不启动客户端到防火墙上进展认证，或者没有经过认证那么丢弃该包。包过滤—用户认证案例6.包过滤战略72.包过滤—用户认证案例6.包过滤战略73.包过滤—用户认证案例6.包过滤战略74.包过滤—用户认证至此，用户认证效力曾经定义终了。可根据需求再包过滤规那么中援用。案例6.包过滤战略75.包过滤—用户认证案例6.包过滤战略至此，用户认证功能曾经配置终了,用户可以经过认证访问互联网。76.

POWERV防火墙采用了加强型抗攻击技术，可有效的防备回绝效力等攻击，可以防备以下攻击类型：SynFlood，PingFlood，UdpFlood等。

包过滤—抗攻击选项案例6.包过滤战略防火墙上抗SYNFLOOD攻击功能可实现以下两个功能：制止攻击流穿过防火墙，从而维护防火墙内部的主机。允许正常的访问恳求穿过防火墙，从而保证正常的业务的通讯。77.案例七、DHCP功能78.DHCP功能—概述防火