联想网御防火墙Power V Web界面在线手册

网御防火墙 Power V Web 界面操作手册联 想网御防火墙Power VWeb 界面操作手册 ,网御防火墙 Power V Web 界面操作手册声明本手册所含内

网御防火墙 Power V Web 界面操作手册

联 想

网御防火墙Power V

Web 界面操作手册

网御防火墙 Power V Web 界面操作手册

声明

本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，联想（北京）有限公司除就本手册和产品应负的瑕疵担

保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，联想（北京）有限公司对于您的使用或不能使用本产品

而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经联想（北京）有限公司书面允许不得对本手册的任何

部分进行影印、复制或翻译。

联想（北京）有限公司

中国北京海淀区上地信息产业基地创业路6号

网御防火墙 Power V Web 界面操作手册

第1章 系统配置

本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。

1.1 日期时间

防火墙系统时间的准确性是非常重要的。

可以采取两种方式来同步防火墙的系统时钟

1) 与管理主机时间同步

2) 与网络时钟服务器同步（NTP 协议）

与管理主机时间同步

1. 调整管理主机时钟

2. 点击“时间同步”按钮

与时钟服务器时间同步有两种方式

1. 立即同步

2. 周期性自动同步

立即同步

1. 选中“启用时钟服务器”，输入“时钟同步服务器IP ”

2. 点击“立即同步”按钮

周期性自动同步

1. 选中“启用时钟服务器”，输入“时钟同步服务器IP ”

2. 设定同步周期

3. 点击“确定”按钮系统参数

注意事项：

防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。

1.2 系统参数

在“系统配置>>系统参数”中配置。

系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。

防火墙名称的最大长度是14个英文字符，不能有空格。默认的防火墙名称是themis ，

网御防火墙 Power V Web 界面操作手册 用户可以自己修改这个名称。

动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。动态域名的设置在网络配置>>网络设备的物理设备和拨号设备的配置中。

1.3 系统更新

1.3.1 模块升级

防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。 模块升级界面包括以下功能

1. 模块升级

2. 导出升级历史

3. 检查最新升级包

4. 重启防火墙

模块升级

1. 点击“浏览”按钮，选择管理主机上的升级包

2. 点击“升级”按钮

点击“重启防火墙”按钮，重启防火墙完成升级

导出升级历史

点击“导出升级历史”按钮，导出升级历史做备份。

检查最新升级包

管理员可以查看”系统当前软件版本”，点”检查最新升级包”，系统会弹出新的IE 窗口并连接联想安全服务网站（防火墙可以连接Internet ）。

重启防火墙

点击“重启防火墙”按钮，防火墙将重新启动。

注意：重启防火墙前，记住要保存当前配置。“保存”快捷键：

1.3.2 导入导出

导入导出界面包含以下功能

1. 导出系统配置

2. 导入系统配置

3. 恢复出厂配置

4. 保存配置

导出配置

点击“导出配置”按钮，导出最后一次保存的所有系统配置到管理主机。选中“导出成加密格式”，则加密配置文件。

网御防火墙 Power V Web 界面操作手册 导入配置

点击“浏览”按钮，在管理主机上选择要导入的配置文件，点击“导入配置”按钮，导入配置文件，系统提示导入成功，重起防火墙，导入的配置生效。注意：导出的配置文件带有防火墙软硬件版本的信息，不能导入到别的版本防火墙中，而且如果同样的配置文件被导入到不同防火墙中，且这些防火墙位于同一网络时，可能会引起配置冲突，如IP 地址，MAC 地址等。

恢复出厂配置

点击“恢复出厂配置”按钮，防火墙所有配置丢失，恢复到出厂配置，重起防火墙后生效。

保存配置

点击“保存配置”，保存所有系统配置。也可以按上方保存快捷图标来保存。

1.4 管理配置

1.4.1 管理主机

管理员只有在管理主机上才能对防火墙进行管理，最多支持6个管理主机IP 和1个集中管理主机，至少有1个管理主机IP 不能被删除。

此“系统配置>>管理配置>>管理主机”界面完成以下功能

1. 添加管理主机

2. 删除管理主机

3. 转到“系统配置>>报告设置>>集中管理”界面

添加管理主机

1. 输入管理主机IP

2. 在“说明”中，输入描述性文字，此步骤可忽略

3. 点击“确定”按钮完成添加

修改管理主机

1. 从“管理主机IP ”列表中修改要修改的管理主机IP

2. 点击“确定”按钮完成修改

删除管理主机

1. 从“管理主机IP ”列表中删除要删除的管理主机IP

2. 点击“确定”按钮完成删除

1.4.2 管理员账号

管理员按级别授权管理，说明如下：

表 1-1管理员级别与授权

网御防火墙 Power V Web 界面操作手册 管理员级别

超级管理员 授权 增加、删除管理员帐号，不能直接配

置管理。 备注 默认管理员帐号与密码为administrator ：administrator 。

帐号administrator 不能删除。

配置管理员

策略管理员

审计管理员 配置系统策略、网络配置、在线帮助。无默认帐号 配置安全策略、资源定义、在线帮助。无默认帐号 查看防火墙日志信息、在线帮助。 无默认帐号

默认只能有一个管理员登录防火墙进行配置管理，选择”允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录，但最好不要多个管理员同时进行修改配置。

可完成以下功能

1. 添加管理员账号

2. 编辑管理员账号

3. 删除管理员账号

4. 允许或禁止多个管理员同时管理

5. 设定管理员登录超时时间

添加管理员账号

1. 点“添加”按钮，打开管理员账号维护界面

2. 输入账号、口令，并选择要添加的管理员账号类型

3. 点“确定”按钮完成，点“添加下一条”可以继续添加管理员账号

编辑管理员账号

1. 点操作栏中“编辑”的快捷图标，打开管理员账号维护界面

2. 修改口令或账号类型

3. 点“确定”按钮完成

删除管理员账号

1. 点操作栏中“删除”的快捷图标，弹出删除对话框

2. 点“确定”按钮完成删除

允许或禁止多个管理员同时管理

选择“允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录。

设定管理员登录超时时间

管理员登录后如果长时间没有操作，配置界面会超时，超时时间也在这里设置，缺省值是600秒，最大超时时间可设为86400秒（24小时），0是非法值。设置后点击“确定”生效。

1.4.3 管理证书

本界面完成主要的证书管理。管理证书为标准的CA 证书。

无论使用电子钥匙认证，还是直接使用证书认证，均是通过https 协议访问，即使用管

网御防火墙 Power V Web 界面操作手册 理证书完成SSL 的加密。

管理员通过电子钥匙认证成功，访问https://防火墙可管理IP:8888，登录防火墙配置界面，使用防火墙web 服务器的服务器端的证书进行信道加密。防火墙出厂时预置了一套证书（CA 中心证书、防火墙证书、防火墙密钥），管理员可以点击CA 中心证书的链接、防火墙证书的链接进行查看。管理员也可以更新此套证书，按”系统配置>>管理配置>>管理证书”界面提示直接导入即可。

管理员通过IE 完成证书认证，访问https://防火墙可管理IP:8889，登录防火墙配置界面，使用防火墙web 服务器的客户端的证书进行信道加密。当管理员使用证书方式进行身份认证时，必须在防火墙中导入一套证书（CA 中心证书、防火墙证书、防火墙密钥、管理员证书），并在管理主机的IE 中导入管理员证书。管理员可以点击CA 中心证书的链接、防火墙证书的链接进行查看。管理员可以查看导入的管理员证书列表。

此界面包括以下功能

1. 到联想CA 中心下载证书

2. 导入一套证书（CA 中心证书、防火墙证书、防火墙密钥、管理员证书）

3. CA中心证书、防火墙证书查看

4. 管理员证书维护（生效、删除）

图 1-1导入和显示管理证书

操作流程：

1. 管理员向CA 中心申请证书，选择一套匹配的CA 中心证书、防火墙证书、防火墙密钥”

导入”。

2. 管理员要将选择匹配的管理员证书”导入”。点”生效”，使用相关管理员证书生效。

3. 下次登录防火墙系统前，请将有效管理员证书导入管理主机的IE 浏览器中，访问防火墙可管理IP:8889，进入防火墙配置管理界面。

注意：CA 中心证书、防火墙证书、防火墙密钥必须是配套的。只接受PEM 格式的证书。

下载证书

点“联想CA 中心”按钮，打开联想CA 中心的主页，下载证书

网御防火墙 Power V Web 界面操作手册

导入证书

点“浏览”按钮，分别导入一套匹配的CA 中心证书、防火墙证书、防火墙密钥、管理员证书。CA 中心证书、防火墙证书、防火墙密钥必须同时更换。

管理员证书维护

管理员证书维护包括生效和删除，在“生效”一栏选择要生效的证书，点“生效”按钮则生效选中的证书。在“操作”一栏中，点“删除”的图标，删除此证书。

1.4.4 管理方式

防火墙提供WEB 界面和CLI 命令行两种管理方式。可以通过网口访问、串口访问，支持拨号(PPP)连接。

WEB 管理方式和串口命令行方式默认打开，不可关闭。

使用WEB 方式管理防火墙，管理主机必须能通过网络访问防火墙，并且其IP 地址必须在防火墙上设置（参考：系统配置>>管理配置>>管理主机）。

使用串口命令行方式管理，在关闭PPP 接入的情况下，管理主机通过串口连接防火墙的CONSOLE 口登录；如果打开了PPP 接入方式，则转移到AUX 口登录。

“启用远程SSH”后，管理主机可以通过网络连接（通用网口或PPP 连接均可），利用secure crt或putty 等终端管理软件登录防火墙命令行界面进行管理。

打开”支持拨号(PPP)接入”选项。前提是Modem 连接到电话线路上，并将防火墙CONSOLE 口连接Modem ，管理主机通过另外一个Modem 也接入电话线路，从管理主机向防火墙拨号，拨号成功后，防火墙与管理主机建立了PPP 连接。此时，可以从管理主机上利用putty 软件登录防火墙命令行界面（远程SSH 方式）。

1.5 联动

1.5.1 IDS产品

支持与IDS 产品联动，包括支持PUMA 协议的网御IDS 系列，启明星辰的天阗系列，中科网威的天眼系列，支持OPSEC 协议的Safemate 等。

当IDS 联动产品发现入侵攻击行为时，会通知防火墙。防火墙会按IDS 产品通知的阻断方式、阻断时间和入侵主机的相关信息，对入侵主机进行阻断。

防火墙阻断方式包括：

对”源IP 地址”阻断

对”源IP 地址、目的IP 地址、目的端口、协议”阻断、

对”源IP 地址、目的IP 地址、协议、方向（单向、双向、反向）”阻断

防火墙阻断协议包括：TCP / UDP / ICMP和所有协议（any ）。

网御防火墙 Power V Web 界面操作手册

图 1-2 IDS 产品

表 1-2 IDS 产品功能说明 域名

启用“网御通用安全协议（PUMA ）入侵

检测系统”联动

启用“天阗入侵检测系统统” 联动

启用“天眼入侵检测系统”联动 说明 选择正确的密钥文件导入后，启用”网御通用安全协议（PUMA ）入侵检测系统”，并指定产品的IP 地址、防火墙端的服务端口（默认5000/TCP），防火墙可以与之联动。 启用” 天阗入侵检测系统”，并指定产品的IP 地址、防火墙端的服务端口（默认2000/UDP），防火墙可以与之联动。 选择正确的证书导入后，启用”天眼入侵检测系统”，并指定产

品的IP 地址、防火墙端的服务端口（默认4000/TCP），防火

墙可以与之联动。

选择正确的密钥文件导入后，启用”safemate入侵检测系统”，

并指定防火墙端的服务端口（默认2001/UDP），防火墙可以

与之联动。

当管理员不希望一些特别IP 被防火墙阻断时，可以在”忽略以

下IP 地址的自动阻断”列表中加入这些IP 。如果在配置忽略

某IP 地址的自动阻断之前，已经下了该IP 的自动阻断规则，

则需要将这些自动阻断规则清除，才能实现忽略指定IP 地址

的自动阻断。

可以立即清除所有自动阻断。 启用“safemate 入侵检测系统”联动 忽略指定IP 地址的自动阻断 立即清除所有自动阻断

注意：每个联动请配置不同的联动端口，如配置成同一端口，则只启用界面上顺序靠后的联动系统。

1.5.2 用户认证服务器

为了增强从内网访问外网时的访问控制，提供不受服务种类限制的用户认证系统，可以

为包过滤、双向NAT 、代理等访问控制提供用户认证功能。管理员可以启用防火墙本地帐

网御防火墙 Power V Web 界面操作手册 号服务器，也可以启用标准的RADIUS 服务器。即，防火墙用户认证使用的是RADIUS 的账号库，并支持RADIUS 服务器的审计功能。

包括以下功能

1. 配置认证端口和监控端口

2. 选择认证服务器

3. 配置RADIUS 认证服务器

配置认证端口和监控端口

使用用户认证服务器，管理员必须配置防火墙用户认证模块监听的认证端口、检测用户在线情况的监控端口。

选择认证服务器

管理员可以启用防火墙本地帐号服务器，也可以启用标准的RADIUS 服务器。

默认使用防火墙本地帐号服务器。本地帐号服务器可以提供更多的控制功能：

提供基于角色的用户策略，并与安全规则策略配合完成强访问控制。主要包括：安

全策略和授权服务，其中，安全策略是限制用户在什么时间、什么源IP 地址可以登录防火墙系统，而授权服务则定义了该用户通过认证后能够享有的服务。

支持对用户帐号的流量控制和时间控制

客户端可以修改密码

服务器端检查用户在线状态

支持PAP 和S/Key认证协议

配置RADIUS 认证服务器

启用RADIUS 认证服务器，需要配置RADIUS 认证服务器所在的IP 地址、认证端口中、审计端口及与防火墙加密通信的密钥。

1.6 报告设置

1.6.1 日志服务器

防火墙各功能模块提供标准日志记录。

启用日志记录后，默认情况下日志存储在防火墙本地。防火墙也可以将日志发往第三方的日志服务器，

日志服务器可以与防火墙的任意网口连接。

防火墙提供随机日志服务器软件，提供强大的日志存储与审计功能。

提供以下功能

1. 配置日志服务器

2. 转到“系统监控>>日志信息”界面

配置日志服务器

需要管理员配置日志服务器IP 、防火墙与日志服务器通信的协议与端口。防火墙默认