網(wǎng)御防火墻 Power V Web 界面操作手冊聯(lián) 想網(wǎng)御防火墻Power VWeb 界面操作手冊 ,網(wǎng)御防火墻 Power V Web 界面操作手冊聲明本手冊所含內(nèi)

網(wǎng)御防火墻 Power V Web 界面操作手冊

聯(lián) 想

網(wǎng)御防火墻Power V

Web 界面操作手冊

網(wǎng)御防火墻 Power V Web 界面操作手冊

聲明

本手冊所含內(nèi)容若有任何改動，恕不另行通知。

在法律法規(guī)的最大允許范圍內(nèi)，聯(lián)想（北京）有限公司除就本手冊和產(chǎn)品應(yīng)負(fù)的瑕疵擔(dān)

保責(zé)任外，無論明示或默示，不作其它任何擔(dān)保，包括（但不限于）本手冊中推薦使用產(chǎn)品的適用性和安全性、產(chǎn)品的適銷性和適合某特定用途的擔(dān)保。

在法律法規(guī)的最大允許范圍內(nèi)，聯(lián)想（北京）有限公司對于您的使用或不能使用本產(chǎn)品

而發(fā)生的任何損壞（包括，但不限于直接或間接的個人損害、商業(yè)利潤的損失、業(yè)務(wù)中斷、商業(yè)信息的遺失或任何其它損失），不負(fù)任何賠償責(zé)任。

本手冊含受版權(quán)保護(hù)的信息，未經(jīng)聯(lián)想（北京）有限公司書面允許不得對本手冊的任何

部分進(jìn)行影印、復(fù)制或翻譯。

聯(lián)想（北京）有限公司

中國北京海淀區(qū)上地信息產(chǎn)業(yè)基地創(chuàng)業(yè)路6號

網(wǎng)御防火墻 Power V Web 界面操作手冊

第1章 系統(tǒng)配置

本章主要介紹防火墻的系統(tǒng)配置，由以下部分組成：日期時(shí)間，系統(tǒng)參數(shù)，系統(tǒng)更新，管理配置，聯(lián)動，報(bào)告設(shè)置，入侵檢測和產(chǎn)品許可證。

1.1 日期時(shí)間

防火墻系統(tǒng)時(shí)間的準(zhǔn)確性是非常重要的。

可以采取兩種方式來同步防火墻的系統(tǒng)時(shí)鐘

1) 與管理主機(jī)時(shí)間同步

2) 與網(wǎng)絡(luò)時(shí)鐘服務(wù)器同步（NTP 協(xié)議）

與管理主機(jī)時(shí)間同步

1. 調(diào)整管理主機(jī)時(shí)鐘

2. 點(diǎn)擊“時(shí)間同步”按鈕

與時(shí)鐘服務(wù)器時(shí)間同步有兩種方式

1. 立即同步

2. 周期性自動同步

立即同步

1. 選中“啟用時(shí)鐘服務(wù)器”，輸入“時(shí)鐘同步服務(wù)器IP ”

2. 點(diǎn)擊“立即同步”按鈕

周期性自動同步

1. 選中“啟用時(shí)鐘服務(wù)器”，輸入“時(shí)鐘同步服務(wù)器IP ”

2. 設(shè)定同步周期

3. 點(diǎn)擊“確定”按鈕系統(tǒng)參數(shù)

注意事項(xiàng)：

防火墻的很多操作依賴于系統(tǒng)時(shí)間，改變系統(tǒng)時(shí)間會對這些操作發(fā)生影響，比如更改時(shí)間后配置管理界面登錄超時(shí)等。

1.2 系統(tǒng)參數(shù)

在“系統(tǒng)配置>>系統(tǒng)參數(shù)”中配置。

系統(tǒng)參數(shù)設(shè)置防火墻名稱和動態(tài)域名注冊所使用的用戶名、密碼。

防火墻名稱的最大長度是14個英文字符，不能有空格。默認(rèn)的防火墻名稱是themis ，

網(wǎng)御防火墻 Power V Web 界面操作手冊 用戶可以自己修改這個名稱。

動態(tài)域名注冊所使用的用戶名、密碼的最大長度是31個英文字符，不能有空格。動態(tài)域名的設(shè)置在網(wǎng)絡(luò)配置>>網(wǎng)絡(luò)設(shè)備的物理設(shè)備和撥號設(shè)備的配置中。

1.3 系統(tǒng)更新

1.3.1 模塊升級

防火墻系統(tǒng)升級功能可以快速響應(yīng)安全需求，保證防火墻功能與安全的快速升級。 模塊升級界面包括以下功能

1. 模塊升級

2. 導(dǎo)出升級歷史

3. 檢查最新升級包

4. 重啟防火墻

模塊升級

1. 點(diǎn)擊“瀏覽”按鈕，選擇管理主機(jī)上的升級包

2. 點(diǎn)擊“升級”按鈕

點(diǎn)擊“重啟防火墻”按鈕，重啟防火墻完成升級

導(dǎo)出升級歷史

點(diǎn)擊“導(dǎo)出升級歷史”按鈕，導(dǎo)出升級歷史做備份。

檢查最新升級包

管理員可以查看”系統(tǒng)當(dāng)前軟件版本”，點(diǎn)”檢查最新升級包”，系統(tǒng)會彈出新的IE 窗口并連接聯(lián)想安全服務(wù)網(wǎng)站（防火墻可以連接Internet ）。

重啟防火墻

點(diǎn)擊“重啟防火墻”按鈕，防火墻將重新啟動。

注意：重啟防火墻前，記住要保存當(dāng)前配置?！氨４妗笨旖萱I：

1.3.2 導(dǎo)入導(dǎo)出

導(dǎo)入導(dǎo)出界面包含以下功能

1. 導(dǎo)出系統(tǒng)配置

2. 導(dǎo)入系統(tǒng)配置

3. 恢復(fù)出廠配置

4. 保存配置

導(dǎo)出配置

點(diǎn)擊“導(dǎo)出配置”按鈕，導(dǎo)出最后一次保存的所有系統(tǒng)配置到管理主機(jī)。選中“導(dǎo)出成加密格式”，則加密配置文件。

網(wǎng)御防火墻 Power V Web 界面操作手冊 導(dǎo)入配置

點(diǎn)擊“瀏覽”按鈕，在管理主機(jī)上選擇要導(dǎo)入的配置文件，點(diǎn)擊“導(dǎo)入配置”按鈕，導(dǎo)入配置文件，系統(tǒng)提示導(dǎo)入成功，重起防火墻，導(dǎo)入的配置生效。注意：導(dǎo)出的配置文件帶有防火墻軟硬件版本的信息，不能導(dǎo)入到別的版本防火墻中，而且如果同樣的配置文件被導(dǎo)入到不同防火墻中，且這些防火墻位于同一網(wǎng)絡(luò)時(shí)，可能會引起配置沖突，如IP 地址，MAC 地址等。

恢復(fù)出廠配置

點(diǎn)擊“恢復(fù)出廠配置”按鈕，防火墻所有配置丟失，恢復(fù)到出廠配置，重起防火墻后生效。

保存配置

點(diǎn)擊“保存配置”，保存所有系統(tǒng)配置。也可以按上方保存快捷圖標(biāo)來保存。

1.4 管理配置

1.4.1 管理主機(jī)

管理員只有在管理主機(jī)上才能對防火墻進(jìn)行管理，最多支持6個管理主機(jī)IP 和1個集中管理主機(jī)，至少有1個管理主機(jī)IP 不能被刪除。

此“系統(tǒng)配置>>管理配置>>管理主機(jī)”界面完成以下功能

1. 添加管理主機(jī)

2. 刪除管理主機(jī)

3. 轉(zhuǎn)到“系統(tǒng)配置>>報(bào)告設(shè)置>>集中管理”界面

添加管理主機(jī)

1. 輸入管理主機(jī)IP

2. 在“說明”中，輸入描述性文字，此步驟可忽略

3. 點(diǎn)擊“確定”按鈕完成添加

修改管理主機(jī)

1. 從“管理主機(jī)IP ”列表中修改要修改的管理主機(jī)IP

2. 點(diǎn)擊“確定”按鈕完成修改

刪除管理主機(jī)

1. 從“管理主機(jī)IP ”列表中刪除要刪除的管理主機(jī)IP

2. 點(diǎn)擊“確定”按鈕完成刪除

1.4.2 管理員賬號

管理員按級別授權(quán)管理，說明如下：

表 1-1管理員級別與授權(quán)

網(wǎng)御防火墻 Power V Web 界面操作手冊 管理員級別

超級管理員 授權(quán) 增加、刪除管理員帳號，不能直接配

置管理。 備注 默認(rèn)管理員帳號與密碼為administrator ：administrator 。

帳號administrator 不能刪除。

配置管理員

策略管理員

審計(jì)管理員 配置系統(tǒng)策略、網(wǎng)絡(luò)配置、在線幫助。無默認(rèn)帳號 配置安全策略、資源定義、在線幫助。無默認(rèn)帳號 查看防火墻日志信息、在線幫助。 無默認(rèn)帳號

默認(rèn)只能有一個管理員登錄防火墻進(jìn)行配置管理，選擇”允許多個管理員同時(shí)管理”時(shí)，防火墻系統(tǒng)才會允許多個管理員同時(shí)登錄，但最好不要多個管理員同時(shí)進(jìn)行修改配置。

可完成以下功能

1. 添加管理員賬號

2. 編輯管理員賬號

3. 刪除管理員賬號

4. 允許或禁止多個管理員同時(shí)管理

5. 設(shè)定管理員登錄超時(shí)時(shí)間

添加管理員賬號

1. 點(diǎn)“添加”按鈕，打開管理員賬號維護(hù)界面

2. 輸入賬號、口令，并選擇要添加的管理員賬號類型

3. 點(diǎn)“確定”按鈕完成，點(diǎn)“添加下一條”可以繼續(xù)添加管理員賬號

編輯管理員賬號

1. 點(diǎn)操作欄中“編輯”的快捷圖標(biāo)，打開管理員賬號維護(hù)界面

2. 修改口令或賬號類型

3. 點(diǎn)“確定”按鈕完成

刪除管理員賬號

1. 點(diǎn)操作欄中“刪除”的快捷圖標(biāo)，彈出刪除對話框

2. 點(diǎn)“確定”按鈕完成刪除

允許或禁止多個管理員同時(shí)管理

選擇“允許多個管理員同時(shí)管理”時(shí)，防火墻系統(tǒng)才會允許多個管理員同時(shí)登錄。

設(shè)定管理員登錄超時(shí)時(shí)間

管理員登錄后如果長時(shí)間沒有操作，配置界面會超時(shí)，超時(shí)時(shí)間也在這里設(shè)置，缺省值是600秒，最大超時(shí)時(shí)間可設(shè)為86400秒（24小時(shí)），0是非法值。設(shè)置后點(diǎn)擊“確定”生效。

1.4.3 管理證書

本界面完成主要的證書管理。管理證書為標(biāo)準(zhǔn)的CA 證書。

無論使用電子鑰匙認(rèn)證，還是直接使用證書認(rèn)證，均是通過https 協(xié)議訪問，即使用管

網(wǎng)御防火墻 Power V Web 界面操作手冊 理證書完成SSL 的加密。

管理員通過電子鑰匙認(rèn)證成功，訪問https://防火墻可管理IP:8888，登錄防火墻配置界面，使用防火墻web 服務(wù)器的服務(wù)器端的證書進(jìn)行信道加密。防火墻出廠時(shí)預(yù)置了一套證書（CA 中心證書、防火墻證書、防火墻密鑰），管理員可以點(diǎn)擊CA 中心證書的鏈接、防火墻證書的鏈接進(jìn)行查看。管理員也可以更新此套證書，按”系統(tǒng)配置>>管理配置>>管理證書”界面提示直接導(dǎo)入即可。

管理員通過IE 完成證書認(rèn)證，訪問https://防火墻可管理IP:8889，登錄防火墻配置界面，使用防火墻web 服務(wù)器的客戶端的證書進(jìn)行信道加密。當(dāng)管理員使用證書方式進(jìn)行身份認(rèn)證時(shí)，必須在防火墻中導(dǎo)入一套證書（CA 中心證書、防火墻證書、防火墻密鑰、管理員證書），并在管理主機(jī)的IE 中導(dǎo)入管理員證書。管理員可以點(diǎn)擊CA 中心證書的鏈接、防火墻證書的鏈接進(jìn)行查看。管理員可以查看導(dǎo)入的管理員證書列表。

此界面包括以下功能

1. 到聯(lián)想CA 中心下載證書

2. 導(dǎo)入一套證書（CA 中心證書、防火墻證書、防火墻密鑰、管理員證書）

3. CA中心證書、防火墻證書查看

4. 管理員證書維護(hù)（生效、刪除）

圖 1-1導(dǎo)入和顯示管理證書

操作流程：

1. 管理員向CA 中心申請證書，選擇一套匹配的CA 中心證書、防火墻證書、防火墻密鑰”

導(dǎo)入”。

2. 管理員要將選擇匹配的管理員證書”導(dǎo)入”。點(diǎn)”生效”，使用相關(guān)管理員證書生效。

3. 下次登錄防火墻系統(tǒng)前，請將有效管理員證書導(dǎo)入管理主機(jī)的IE 瀏覽器中，訪問防火墻可管理IP:8889，進(jìn)入防火墻配置管理界面。

注意：CA 中心證書、防火墻證書、防火墻密鑰必須是配套的。只接受PEM 格式的證書。

下載證書

點(diǎn)“聯(lián)想CA 中心”按鈕，打開聯(lián)想CA 中心的主頁，下載證書

網(wǎng)御防火墻 Power V Web 界面操作手冊

導(dǎo)入證書

點(diǎn)“瀏覽”按鈕，分別導(dǎo)入一套匹配的CA 中心證書、防火墻證書、防火墻密鑰、管理員證書。CA 中心證書、防火墻證書、防火墻密鑰必須同時(shí)更換。

管理員證書維護(hù)

管理員證書維護(hù)包括生效和刪除，在“生效”一欄選擇要生效的證書，點(diǎn)“生效”按鈕則生效選中的證書。在“操作”一欄中，點(diǎn)“刪除”的圖標(biāo)，刪除此證書。

1.4.4 管理方式

防火墻提供WEB 界面和CLI 命令行兩種管理方式?？梢酝ㄟ^網(wǎng)口訪問、串口訪問，支持撥號(PPP)連接。

WEB 管理方式和串口命令行方式默認(rèn)打開，不可關(guān)閉。

使用WEB 方式管理防火墻，管理主機(jī)必須能通過網(wǎng)絡(luò)訪問防火墻，并且其IP 地址必須在防火墻上設(shè)置（參考：系統(tǒng)配置>>管理配置>>管理主機(jī)）。

使用串口命令行方式管理，在關(guān)閉PPP 接入的情況下，管理主機(jī)通過串口連接防火墻的CONSOLE 口登錄；如果打開了PPP 接入方式，則轉(zhuǎn)移到AUX 口登錄。

“啟用遠(yuǎn)程SSH”后，管理主機(jī)可以通過網(wǎng)絡(luò)連接（通用網(wǎng)口或PPP 連接均可），利用secure crt或putty 等終端管理軟件登錄防火墻命令行界面進(jìn)行管理。

打開”支持撥號(PPP)接入”選項(xiàng)。前提是Modem 連接到電話線路上，并將防火墻CONSOLE 口連接Modem ，管理主機(jī)通過另外一個Modem 也接入電話線路，從管理主機(jī)向防火墻撥號，撥號成功后，防火墻與管理主機(jī)建立了PPP 連接。此時(shí)，可以從管理主機(jī)上利用putty 軟件登錄防火墻命令行界面（遠(yuǎn)程SSH 方式）。

1.5 聯(lián)動

1.5.1 IDS產(chǎn)品

支持與IDS 產(chǎn)品聯(lián)動，包括支持PUMA 協(xié)議的網(wǎng)御IDS 系列，啟明星辰的天闐系列，中科網(wǎng)威的天眼系列，支持OPSEC 協(xié)議的Safemate 等。

當(dāng)IDS 聯(lián)動產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時(shí)，會通知防火墻。防火墻會按IDS 產(chǎn)品通知的阻斷方式、阻斷時(shí)間和入侵主機(jī)的相關(guān)信息，對入侵主機(jī)進(jìn)行阻斷。

防火墻阻斷方式包括：

對”源IP 地址”阻斷

對”源IP 地址、目的IP 地址、目的端口、協(xié)議”阻斷、

對”源IP 地址、目的IP 地址、協(xié)議、方向（單向、雙向、反向）”阻斷

防火墻阻斷協(xié)議包括：TCP / UDP / ICMP和所有協(xié)議（any ）。

網(wǎng)御防火墻 Power V Web 界面操作手冊

圖 1-2 IDS 產(chǎn)品

表 1-2 IDS 產(chǎn)品功能說明 域名

啟用“網(wǎng)御通用安全協(xié)議（PUMA ）入侵

檢測系統(tǒng)”聯(lián)動

啟用“天闐入侵檢測系統(tǒng)統(tǒng)” 聯(lián)動

啟用“天眼入侵檢測系統(tǒng)”聯(lián)動 說明 選擇正確的密鑰文件導(dǎo)入后，啟用”網(wǎng)御通用安全協(xié)議（PUMA ）入侵檢測系統(tǒng)”，并指定產(chǎn)品的IP 地址、防火墻端的服務(wù)端口（默認(rèn)5000/TCP），防火墻可以與之聯(lián)動。 啟用” 天闐入侵檢測系統(tǒng)”，并指定產(chǎn)品的IP 地址、防火墻端的服務(wù)端口（默認(rèn)2000/UDP），防火墻可以與之聯(lián)動。 選擇正確的證書導(dǎo)入后，啟用”天眼入侵檢測系統(tǒng)”，并指定產(chǎn)

品的IP 地址、防火墻端的服務(wù)端口（默認(rèn)4000/TCP），防火

墻可以與之聯(lián)動。

選擇正確的密鑰文件導(dǎo)入后，啟用”safemate入侵檢測系統(tǒng)”，

并指定防火墻端的服務(wù)端口（默認(rèn)2001/UDP），防火墻可以

與之聯(lián)動。

當(dāng)管理員不希望一些特別IP 被防火墻阻斷時(shí)，可以在”忽略以

下IP 地址的自動阻斷”列表中加入這些IP 。如果在配置忽略

某IP 地址的自動阻斷之前，已經(jīng)下了該IP 的自動阻斷規(guī)則，

則需要將這些自動阻斷規(guī)則清除，才能實(shí)現(xiàn)忽略指定IP 地址

的自動阻斷。

可以立即清除所有自動阻斷。 啟用“safemate 入侵檢測系統(tǒng)”聯(lián)動 忽略指定IP 地址的自動阻斷 立即清除所有自動阻斷

注意：每個聯(lián)動請配置不同的聯(lián)動端口，如配置成同一端口，則只啟用界面上順序靠后的聯(lián)動系統(tǒng)。

1.5.2 用戶認(rèn)證服務(wù)器

為了增強(qiáng)從內(nèi)網(wǎng)訪問外網(wǎng)時(shí)的訪問控制，提供不受服務(wù)種類限制的用戶認(rèn)證系統(tǒng)，可以

為包過濾、雙向NAT 、代理等訪問控制提供用戶認(rèn)證功能。管理員可以啟用防火墻本地帳

網(wǎng)御防火墻 Power V Web 界面操作手冊 號服務(wù)器，也可以啟用標(biāo)準(zhǔn)的RADIUS 服務(wù)器。即，防火墻用戶認(rèn)證使用的是RADIUS 的賬號庫，并支持RADIUS 服務(wù)器的審計(jì)功能。

包括以下功能

1. 配置認(rèn)證端口和監(jiān)控端口

2. 選擇認(rèn)證服務(wù)器

3. 配置RADIUS 認(rèn)證服務(wù)器

配置認(rèn)證端口和監(jiān)控端口

使用用戶認(rèn)證服務(wù)器，管理員必須配置防火墻用戶認(rèn)證模塊監(jiān)聽的認(rèn)證端口、檢測用戶在線情況的監(jiān)控端口。

選擇認(rèn)證服務(wù)器

管理員可以啟用防火墻本地帳號服務(wù)器，也可以啟用標(biāo)準(zhǔn)的RADIUS 服務(wù)器。

默認(rèn)使用防火墻本地帳號服務(wù)器。本地帳號服務(wù)器可以提供更多的控制功能：

提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問控制。主要包括：安

全策略和授權(quán)服務(wù)，其中，安全策略是限制用戶在什么時(shí)間、什么源IP 地址可以登錄防火墻系統(tǒng)，而授權(quán)服務(wù)則定義了該用戶通過認(rèn)證后能夠享有的服務(wù)。

支持對用戶帳號的流量控制和時(shí)間控制

客戶端可以修改密碼

服務(wù)器端檢查用戶在線狀態(tài)

支持PAP 和S/Key認(rèn)證協(xié)議

配置RADIUS 認(rèn)證服務(wù)器

啟用RADIUS 認(rèn)證服務(wù)器，需要配置RADIUS 認(rèn)證服務(wù)器所在的IP 地址、認(rèn)證端口中、審計(jì)端口及與防火墻加密通信的密鑰。

1.6 報(bào)告設(shè)置

1.6.1 日志服務(wù)器

防火墻各功能模塊提供標(biāo)準(zhǔn)日志記錄。

啟用日志記錄后，默認(rèn)情況下日志存儲在防火墻本地。防火墻也可以將日志發(fā)往第三方的日志服務(wù)器，

日志服務(wù)器可以與防火墻的任意網(wǎng)口連接。

防火墻提供隨機(jī)日志服務(wù)器軟件，提供強(qiáng)大的日志存儲與審計(jì)功能。

提供以下功能

1. 配置日志服務(wù)器

2. 轉(zhuǎn)到“系統(tǒng)監(jiān)控>>日志信息”界面

配置日志服務(wù)器

需要管理員配置日志服務(wù)器IP 、防火墻與日志服務(wù)器通信的協(xié)議與端口。防火墻默認(rèn)