联想网御防火墙PowerV Web界面操作手册_2开始

网御防火墙 PowerV Web 界面操作手册

第2章 如何开始

本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。

如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。

2.1 网御防火墙PowerV概述

随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。

网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。

2.1.1 产品特点

联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。

? 高安全 ? 高可用性 ? 高性能

2.1.2 主要功能

网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。主要具有以下功能:

? 状态检测和动态过滤 采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化的要求。可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。

? 双向NAT地址转换

在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。支持静态NAT、动态NAT及IP映射(支持负载均衡功能)、端口映射。

? 应用层透明代理 支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP

联想集团有限公司 2-1 网御防火墙 PowerV Web 界面操作手册

(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。通过提供透明的代理服务,使受控网络中的用户感觉不到代理的存在,这样不必改变客户端配置,就能在授权范围内与外网通信,减少了网络管理员的工作量。

? 防IP地址欺骗

对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定,防止IP 盗用,并对非法IP 的访问提供详细的记录,以便防火墙管理员查看。

? 时间管理

支持过滤规则的时间域设定,防火墙管理员在定义好一条规则后,能够指定这条规则的启动、生效、关闭的时间域。

? 带宽管理

提供QoS机制,能够用优先级和流量控制方式分配网络带宽,从而有效地保证需要特殊带宽的网络服务。

? 用户认证

提供与应用服务无关的用户认证,能够同时为包过滤服务和代理服务提供用户认证。支持PAP、S/KEY认证协议;支持防火墙本地认证和标准的Radius认证服务器,提供用户及组管理。

? 邮件过滤

对收件和发件的邮件主题、正文、收发件人、附件名、附件内容等进行过滤,对邮件内容除提供关键字匹配外,还提供基于文本格式的中文内容智能过滤。

? URL过滤

URL过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。

? 规则及配置信息的导入导出、备份恢复

可以把配置的各项数据从防火墙导出做备份;需要时可以把以前的配置信息导入到防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管理员的工作带来很大的便利和很好的安全保证。

? 互动式实时入侵检测(IDS)与实时阻断

能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等;可根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接,并可通过邮件的方式向管理员报警;支持用户自定义监测规则,支持规则库的手动升级。

? 支持SSN(安全服务区)基于网络服务的负载均衡

实现了高效的负载均衡算法,通过反向NAT功能,防火墙可以为用户SSN(安全服务区)内的服务器有效地均衡网络服务的流量。

联想集团有限公司 2-2 网御防火墙 PowerV Web 界面操作手册

? 日志审计

提供防火墙日志管理和日志服务器,具有实时监控、审计、报警和自动备份功能,同时日志服务器管理员与防火墙管理员实行分权管理;并可为管理员提供丰富完整的日志信息和强大完善的安全审计,允许管理员设定审计查询规则,以可理解的格式输出查询结果,生成可理解格式的日志文件,具有日志存储溢出报警和补救功能。

? 网御电子钥匙

基于硬件(USB接口)、一次性口令(S/KEY协议)的管理员身份认证,采用了双因子认证机制(基于管理员帐号和防火墙设备硬件信息),保证一把电子钥匙只能管理一台特定的防火墙。

? 远程安全管理

采用基于密码技术的PKI-CA证书的认证方式对管理员进行身份认证,只有认证通过的管理员才能访问配置管理界面并操作相关文件。采用SSL加密信道对配置信息进行加密处理,保证数据的安全性和完整性(防篡改)。

? 集中安全管理

通过集中管理中心可以对网络中的防火墙完成集中统一的配置、管理和系统监视,并具有设备自动发现功能;支持对安全设备运行状态的实时监控;支持实时安全事件报警和安全事件的日志管理审计。

? 远程维护

当开启此功能时,允许授权管理员利用SSH或电话拨号的方式对防火墙设备进行在线维护。由于“远程支持”功能采用安全的协议SSH进行防火墙的管理,可保证网络上传送的管理信息被加密,而不被内部或外部用户嗅探或攻击。

? HA支持

支持双机热备和集群两种方式。通过把防火墙加入集群,在可以保证某一防火墙节点一旦发生问题时,其负载可以迅速切换到集群中其它防火墙上,从而满足无间断网络要求。

? 模块升级与灾难恢复

支持防火墙软件、入侵检测库和病毒库的版本升级,并提供了完善的灾难恢复机制。当防火墙由于各种原因而出现网御电子钥匙不可用、Pin口令忘记、证书不可用或过期、防火墙IP地址遗失等现象时,管理员只要初始化主机,并将事前保存的系统配置文件导入防火墙,防火墙就能恢复正常的工作状态。

? 支持非IP协议

支持IPX和NetBIOS等非IP协议,还支持自定义协议,控制是否可以通过,具有优秀的网络适应能力。

? 支持VLAN (802.1Q)协议 防火墙可以接受、发送带有vlan标记的网络数据。因此,可把防火墙置于交换机trunk口,同时支持多个vlan区间通信,包括透明和路由转发。

联想集团有限公司 2-3

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4