联想网御POWER_V_UTM防火墙功能使用图文手册.doc

联想网御Power V UTM防火墙 功能使用图文手册 联 想 网御Power V UTM防火墙 功能使用图文手册 声明 本手册所含内容若有任何改动，恕不另行通知。 在法律法规的最大允许范围内，联想网御科技（北京）有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 在法律法规的最大允许范围内，联想网御科技（北京）有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。 本手册含受版权保护的信息，未经联想网御科技（北京）有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。 联想网御科技（北京）有限公司 中国北京海淀区中关村南大街6号中电信息大厦8层 目 录 第1章 登录防火墙管理界面 1 1.1串口登录防火墙 1 1.2 web方式登录防火墙 3 第2章 防火墙透明或路由模式的更改 7 2.1登录防火墙web管理界面 7 2.2更改防火墙运行模式 8 第3章 在VLAN环境中使用防火墙 10 3.1拓扑 10 3.2配置要求 10 3.3配置步骤 10 第4章 防火墙包过滤策略 15 4.1 拓扑 15 4.2 配置要求 15 4.3 配置步骤 15 第5章 NAT源地址转换 17 5.1 拓扑 17 5.2 配置要求 17 5.3 配置步骤 17 第6章 虚拟IP 目的地址转换 19 6.1 拓扑 19 6.2 配置要求 19 6.3 配置步骤 19 第7章 通过防火墙访问INTERNET 21 7.1 拓扑 21 7.2 配置要求 22 7.3 配置步骤 22 第8章 带宽控制 27 8.1 拓扑 27 8.2 配置要求 27 8.3 配置步骤 27 第9章 IPMAC绑定 29 9.1 拓扑 29 9.2 配置要求 29 9.3 配置步骤 29 第10章 用户认证 38 10.1 拓扑 38 10.2 配置要求 38 10.3 配置步骤 38 第11章 HA A-P模式 44 11.1 拓扑 44 11.2 配置要求 44 11.3 配置步骤 44 第12章 HA A-A模式 48 12.1 拓扑 48 12.2 配置要求 48 12.3 配置步骤 48 第13章 IPSEC VPN CLIENT-GW密钥认证 52 13.1拓扑 52 13.2 配置要求 52 13.3 配置步骤 52 第14章 IPSEC VPN CLIENT-GW 证书认证 57 14.1 拓扑 57 14.2 配置要求 57 14.3 配置步骤 57 第15章 IPSEC VPN GW-GW 与CISCO互通 66 15.1 拓扑 66 15.2 配置要求 66 15.3 配置步骤 66 第16章 IPSEC VPN GW-GW 证书 与POWER V 400防火墙互通 71 16.1 拓扑 71 16.2 配置要求 71 16.3 配置步骤 71 第17章 PPTP 80 17.1拓扑 80 17.2 配置要求 80 17.3 配置步骤 80 第18章 IPS 83 18.1 拓扑 83 18.2配置要求 83 18.3 配置步骤 83 第19章IPS阻止QQ，MSN，BT流量 86 19.1拓扑 86 19.2 配置要求 86 19.3配置步骤 86 第20章 病毒检查 90 20.1 拓扑 90 20.2 配置要求 90 20.3 配置步骤 90 第21章 病毒/入侵特征库升级 93 21.1 导入病毒特征库升级文件 93 21.2 导入入侵特征库升级文件 94 第22章 WEB过滤 95 22.1拓扑 95 22.2 配置要求 95 22.3 配置步骤 95 第23章 防垃圾邮件 98 23.1 拓扑 98 23.2 配置要求 98 23.3 配置步骤 98 联想网御科技（北京）有限公司 101 第1章 登录防火墙管理界面 1.1串口登录防火墙 物理线路连接： 使用标配的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口。 用微软的超级终端连接： ① 从开始菜单打开超级终端 ② 随便起个名称 ③ 选择计算机串口 ④ 设置防火墙串口参数 ⑤ 点击回车出现登录界面 输入用户名：administrator 密码：administrator 1.2 web方式登录防火墙 ① 查看防火墙端口IP show system interface ② 计算机IP设为与它相连的防火墙网口IP在同一网段 ③ 登录防火墙web管理界面 例：防火墙网口的IP地址为：192.168.1.99。 计算机的IP地址可设为：192.168.1.100。 在IE里输入：https://192.168.1.99登录防火墙web管理界面。 用户名：administrator 密码：administrator 成功登录防火墙后出现的界面如下，即可开始配置防火墙参数及策略。 第2章 防火墙透明或路由模式的更改 2.1登录防火墙web管理界面 ① 查看防火墙端口IP show system interface ② 登录防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段 例：防火墙网口的IP地址为：192.168.1.99。 计算机的IP地址可设为：192.168.1.100。 在IE里输入：https://192.168.1.99登录防火墙web管理界面。 用户名：administrator 密码：administrator 2.2更改防火墙运行模式 NAT/Route为路由模式； Transparent为透明模式。 注：UTM目前只支持透明和路由模式，不支持混合模式。 UTM的透明模式为纯透明模式，不能做NAT，不做路由。 切换到透明模式后，防火墙将恢复出厂配置，重启防火墙后默认管理地址更改为：10.10.10.1/24，管理主机IP配置为与其同一网段即可 第3章 在VLAN环境中使用防火墙 3.1拓扑 3.2配置要求 防火墙在路由模式下，接入已有的网络，防火墙两端是不同的VLAN不同的网段。 3.3配置步骤 一、VLAN20端的设置 ① 新建VLAN20 选择“系统管理-〉网络-〉接口-〉新建”，如下图所示： ② 添加防火墙策略 ③ PC的设置 设置PC的IP地址及网关。PC的默认网关地址为上步骤中 “IP地址/网络掩码”中添加的地址。 二、VLAN30端的设置 ① 新建VLAN30 选择“系统管理-〉网络-〉接口-〉新建”，如下图所示： ② 添加防火墙策略 ③ PC的设置 三、 验证 两台PC可以相互通信。 第4章 防火墙包过滤策略 4.1 拓扑 4.2 配置要求 配置防火墙包过滤策略控制PC1到PC2的访问。 4.3 配置步骤 ① 按照拓扑配置IP，PC1和PC2的网关指向UTM防火墙。 ② 配置两条10.1.5.0和10.2.5.0网段的地址列表资源。 ③ 配置从10.1.5.0到10.2.5.0的防火墙允许策略，再配置一条相同的阻止策略。最后配置一条允许所有的策略。 ④ 验证 当三条策略都启用后，PC1可以ping通PC2，第一条策略匹配生效，数据包被转发。 停用第一条策略，PC1 ping不通PC2，第二条规则匹配生效。 停用第二条策略，PC1又可以ping通PC2，第三条规则匹配生效。 停用最后一条策略后，PC1 ping不通PC2。可见，UTM默认规则是全禁止的。 第5章 NAT源地址转换 5.1 拓扑 5.2 配置要求 PC1通过源地址转换访问PC2，将源地址转换为UTM 防火墙P6接口的地址。 5.3 配置步骤 ① 按照拓扑配置IP地址，PC1网关指向UTM，而PC2不配置网关。 ② 在UTM上配置要转换成的地址列表资源，此用例将源地址转换为10.2.5.0网段内地址。 ③ 在UTM上配置防火墙策略，选择上“NAT”选项。 ④ 验证 配置完成后，在PC1上ping PC2地址10.2.5.200，可以ping通。如果取消NAT策略，则ping不通。 第6章 虚拟IP 目的地址转换 6.1 拓扑 6.2 配置要求 配置虚拟IP实现目的地址转换，PC1通过访问UTM地址10.1.5.254 21端口访问PC2的FTP服务器。 6.3 配置步骤 ① 按照拓扑配置IP地址，PC1不配置默认网关，PC2网关指向UTM。 ② 在UTM上配置虚拟IP。 ③ 在UTM上配置防火墙策略，启用目的地址转换规则。 ④ 验证： PC1通过访问10.1.5.254 21端口访问PC2的FTP服务成功。 第7章 通过防火墙访问Internet 7.1 拓扑 7.2 配置要求 有一个公网地址：211.100.11.153，掩码：255.255.255.0，网关：211.100.11.129接在防火墙的port6口上。 内网用户是10.1.5.0网段的接在交换机上，网关指向防火墙，交换机接防火墙port5口上，防火墙port5口的IP地址：10.1.5.254。内网用户通过防火墙上公网。 7.3 配置步骤 ① 登录防火墙后配置防火墙port6口 在 “系统管理---网络里配置” 防火墙port6口IP：211.100.11.153，掩码：255.255.255.0。 用同样的方法配置Port5网口IP地址为10.1.5.254。 ② 配置默认网关 在路由—静态路由中添加默认网关：211.100.11.129，设备选port6。 ③ 定义地址资源列表10.1.5.0 ④ 添加NAT规则 ⑤ 设置DNS 在防火墙上设置DNS服务器为202.99.8.1 ⑥ 在内网主机上也设置DNS服务器地址为202.99.8.1 ⑦ 验证 至此，内网10.1.5.0网段的用户就可以上网了。 我们可以通过Ping命令查看网络的连通情况。 在内网主机上用ipconfig命令显示内网用户计算机的IP地址，用Ping 10.1.5.254命令查看用户与防火墙port5口的连接情况。 上图说明内网用户计算机的IP地址为：10.1.5.200，用户与防火墙port5口已连接上。 用Ping 211.100.11.153命令查看用户与防火墙port6口的连接情况，用Ping 211.100.11.129命令查看用户与默认网关的连接情况。 上图说明用户与防火墙port5口已连接上，与默认网关已连接上。 用Ping 202.99.8.1命令查看用户与DNS服务器的连接情况，用Ping 命令查看用户与的连接情况。 上图说明用户与DNS服务器已连接上，与已连接上，内网用户可以通过防火墙访问Internet。 第8章 带宽控制 8.1 拓扑 8.2 配置要求 在UTM上配置策略，控制PC1从PC2 FTP上下载数据的带宽。 8.3 配置步骤 ① 按照拓扑配置IP地址，PC1和PC2将网关指向UTM。 ② UTM上配置10.1.5.0和10.2.5.0子网地址列表资源。 ③ 配置策略。 ④ 验证 在PC1上访问PC2的FTP服务，下载文件，速率被控制在100KB/s。 第9章 IPMAC绑定 9.1 拓扑 9.2 配置要求 PC1和PC2在同一网段，通过交换机和防火墙连接。通过IP/MAC绑定，允许PC1访问PC3，不允许PC2访问PC3。 9.3 配置步骤 一、登录防火墙命令行管理界面 使用随机附带的串口线，一头接防火墙的CONSOLE口，另一头接计算机的串口，启用微软的超级终端连接。 ① 从开始菜单打开超级终端 ② 随便起个名称 ③ 选择串口线所连接的计算机的串口 ④ 设置防火墙串口参数 ⑤ 连击回车键出现登录界面 用户名：administrator 密码：administrator 此时即可使用命令对防火墙进行配置。 二、设置防火墙IP/MAC绑定 ① 启用防火墙IP/MAC绑定 Config firewall ipmacbinding setting Set bindthroughfw enable Set undefinedhost block/allow 注：防火墙默认状态是block，表示没有绑定的主机不能通过防火墙进行通信；allow 表示没有绑定的主机可以通过防火墙进行通信。 end ② 设置防火墙IP/MAC 绑定表，目前不支持自动获取的方法，需要手动添加。（注：如果修改其中一个，需要重新做整个表） Config firewall ipmacbinding table Edit 1 Set ip 192.168.1.100 Set mac 00:13:D3:0F:38:C5 Set name test Set status enable End ③ 在相应的接口上启用IPMAC绑定检查 Config system interface Edit port1 Set ipmac enable End 全部做完后，你会发现IP/MAC一般都不会生效，因为ARP 表的问题，两个方法，一个是等待一会儿，等到防火墙ARP 刷新，一个方法是重启。 三、配置防火墙包过滤规则 ① 添加地址资源列表 ② 添加防火墙策略 四、验证 ① 可以用以下命令查看设置情况 Show firewall ipmacbinding setting Show firewall ipmacbinding table Show system interface ② 进行了地址绑定的PC1可以和PC3通信 ③ 未进行地址绑定的PC2和PC3不能通信 IPMAC绑定配置正确。 第10章 用户认证 10.1 拓扑 10.2 配置要求 采用本地认证方式通过定义认证用户控制对网络资源的访问。当PC2用户试图访问网络资源时，UTM防火墙将提示用户输入用户名与密码验证的信息。 10.3 配置步骤 ① 新建用户 ② 新建用户组 ③ 添加新用户到新建的用户组 ④ 添加防火墙策略，启用授权认证 ⑤ 验证 在PC2上访问SERVER提供的web服务，在IE地址栏中输入http://10.2.5.200 输入正确的用户名及密码后才允许访问server的web服务。 在PC2上访问SERVER提供的ftp服务。 在命令行中输入命令ftp 10.2.5.200访问ftp服务器。 显示防火墙需要验证，再输入用户认证的用户名和密码。 重新连接后可以登录。 用户认证生效。 第11章 HA A-P模式 11.1 拓扑 11.2 配置要求 在两台UTM上启动HA，采用A-P模式。 11.3 配置步骤 ① 先不要按照拓扑连接，只将管理用PC与UTM1相连，配置好IP地址后，进入WEB管理页面。 ② 在UTM1上根据业务需要配置各个接口IP地址，防火墙策略或者VPN等。 ③ 在高可用性页面配置HA参数。 “组ID”表示该设备是否属于同一个HA集群，所以各个同集群的HA设备应该配置相同的“组ID” ；“设备优先级”是用来协商主从关系的，数值大的优先级高；“密码”和“重新输入密码”是HA设备认证用的；“主设备强占”一般不选择此项，如果选择了，主设备down掉后从设备切换成主，之后原主设备启动后又会抢回主地位，这样等于切换了两次。“心跳接口”配置数值表示将这个接口启动为心跳接口来处理同步数据，UTM上可以起动多个心跳接口，数值大的接口优先处理同步数据。“监测接口”上配置数值表示监测该业务接口，这样可以做到接口断掉快速切换的效果。可以配置相同的数值。在配置完HA参数后提交设定，或者更改了配置后提交设定，设备都回有一段时间没有响应，页面可能无法显示，过一点时间就会正常。 ④ 将PC1和UTM2单独连接，管理接口配置和UTM1相同的IP地址，进入WEB管理页面。将UTM2上其他接口IP配置和UTM1相同的IP地址。而其他内容不用配置。 ⑤ 配置HA参数，只有“设备优先级”是64，其它和UTM1一样。 ⑥ 验证 配置好HA参数后，将设备和PC按照拓扑连接好，进入管理页面查看HA集群成员，可以看到有两台设备正工作在HA模式下。上面的设备为主设备。 此时构建一个穿过防火墙的流量，然后关掉主设备，流量在短暂的中断后应该可以恢复。 ⑦ 注意事项 可以用命令行察看HA运行状态。 get system ha diagnose sys ha status …. id / ip / ldb_priority / cluster_idx = PV400U2905500263 / 10.0.0.1 / 0 / 0；表示该设备是主设备 id / ip / ldb_priority / cluster_idx = PV400U2905500728/ 10.0.0.2 / 0 / 1；表示该设备是从设备 在从墙上可以用命令执行同步 execute ha synchronize all 可以用命令查看是否同步 diagnose sys ha checksync 如果同步有问题，可以尝试重新启动两台设备进行重新协商和同步。 如果HA没有工作，可以查看两台设备的接口IP是否配置的一致；另外，如果两台设备的板卡不是同一个型号是无法进行HA的。 第12章 HA A-A模式 12.1 拓扑 12.2 配置要求 在两台UTM上启动AH，采用A-A模式。 12.3 配置步骤 ① 先不要按照拓扑连接，只将管理用PC与UTM1相连，配置好IP地址后，进入WEB管理页面。 ② 在UTM1上根据业务需要配置各个接口IP地址，防火墙策略或者VPN等。 ③ 配置HA参数，在模式处选择“A-A”，并选择流量处理方式。 “组ID”表示该设备是否属于同一个HA集群，所以各个同集群的HA设备应该配置相同的“组ID”；“密码”和“重新输入密码”是HA设备认证用的；“心跳接口”配置数值表示将这个接口启动为心跳接口来处理同步数据，UTM上可以起动多个心跳接口，数值大的接口优先处理同步数据。“监测接口”上配置数值表示监测该业务接口，这样可以做到接口断掉快速切换的效果。可以配置相同的数值。在配置完HA参数后提交设定，或者更改了配置后提交设定，设备都回有一段时间没有响应，页面可能无法显示，过一点时间就会正常。 ④ 将PC1和UTM2单独连接，管理接口配置和UTM1相同的IP地址，进入WEB管理页面。将UTM2上其他接口IP配置和UTM1相同的IP地址。而其他内容不用配置。 ⑤ 配置HA参数，只有“设备优先级”是64，其它和UTM1一样。 ⑥ 验证 配置好HA参数后，将设备和PC按照拓扑连接好，进入管理页面查看HA集群成员，可以看到有两台设备正工作在HA模式下。 也可以用命令行察看HA运行状态 get system ha 第13章 IPSEC VPN Client-GW密钥认证 13.1拓扑 13.2 配置要求 PC1和UTM建立IPSEC VPN隧道，访问PC2。 13.3 配置步骤 ① 按照拓扑配置IP地址，PC1和PC2网关指向UTM。 ② 在UTM上配置默认路由，网关指向PC1。 ③ 在UTM上配置IPSEC第一阶段协商参数，注意远程网关选择“连接用户”类型。 ④ 在UTM上配置IPSEC第二阶段协商参数 ⑤ 在UTM上配置防火墙策略，确定保护子网，此时注意出口地址应选择“any” ⑥ 在PC1上安装VPN客户端，运行打开配置界面，增加一条隧道。 ⑦ 高级选项中，由于不需要获取指定IP地址，所以不用选择“获取IP地址”选项。 ⑧ 在密钥设置中注意密钥周期和DH组要与UTM上配置的一致。 ⑨ 验证 配置完成后，点击连接按钮可以看到协商过程并最终协商成功。 此时PC1上应该增加了一条到10.2.5.0的路由信息：（route print 命令） 第14章 IPSEC VPN Client-GW 证书认证 14.1 拓扑 14.2 配置要求 PC1用vpn客户端以证书认证方式同防火墙建立vpn隧道。 14.3 配置步骤 ① 按照拓扑配置IP地址。 ② 安装联想证书管理软件，运行，导出CA根证书。 ③ 将根证书分别导入到UTM和客户端中。 ④ 分别在客户端和UTM上生成证书请求文件并导出。 ⑤ 将UTM和客户端的证书请求文件导入到联想证书管理软件中，生成证书后导出。密钥默认为“111111”。 ⑥ 将导出的证书分别导入到客户端和UTM中。 ⑦ 在UTM上配置VPN和防火墙加密策略，第一阶段协商采用RSA认证。 ⑧ 在VPN客户端创建隧道。 ⑨ 验证 在客户端上点连接按钮，可以看到协商成功提示信息。 第15章 IPSEC VPN GW-GW 与Cisco互通 15.1 拓扑 15.2 配置要求 Cisco和UTM建立IPSEC VPN隧道，保护子网分别是10.1.5.0/24和10.2.5.0/24 15.3 配置步骤 ① 按照拓扑配置IP地址，PC1的网关指向Cisco路由器，PC2的网关指向UTM。 ② 在UTM上配置默认路由网关指向Cisco。 ③ 在UTM配置IPSEC VPN第一阶段协商参数，预共享秘钥为“11111111”，DH组选择2，加密和验证算法选择3DES-MD5。 ④ 在UTM配置第二阶段协商参数 ⑤ 在UTM上创建本地子网和对端子网的地址列表资源 ⑥ 在UTM上，添加防火墙策略，配置本地保护子网和对端保护子网。 ⑦ 在Cisco路由器上配置与UTM对应的IPSEC VPN参数。 crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp key 11111111 address 192.168.3.99 255.255.255.0 crypto ipsec transform-set toutmipsec esp-3des esp-md5-hmac crypto map utmmap 10 ipsec-isakmp set peer 192.168.3.99 set transform-set toutmipsec match address 111 ip route 0.0.0.0 0.0.0.0 192.168.3.99 access-list 111 permit ip 10.1.5.0 0.0.0.255 10.2.5.0 0.0.0.255 interface FastEthernet0/0 ip address 192.168.3.100 255.255.255.0 duplex auto speed auto crypto map utmmap ⑧ 验证 在UTM上启动隧道后，可看见隧道建立成功。 ⑨ 注意事项 如果把Cisco路由器换成Power V防火墙，由于我们的IPSEC VPN配置没有DH组配置，默认都是group 2。所以在UTM上配置时关于DH组都要选择group 2。 第16章 IPSEC VPN GW-GW 证书 与POWER V 400防火墙互通 16.1 拓扑 16.2 配置要求 UTM和Power V400防火墙建立IPSEC VPN，采用证书方式。 16.3 配置步骤 一、按照拓扑配置好IP地址 ① PC1和PC2网关指向POWERV400和UTM防火墙。 ② 将POWERV400墙上的fe3口绑定到ipsec0上。 二、证书的配置 ① 在管理PC上安装联想证书管理软件，运行，使用联想CA系统，导出CA根证书。 ② 将CA根证书分别导入POWERV400和UTM防火墙。 ③ 分别在POWERV400和UTM上生成证书生成请求，并导出。 ④ 分别将UTM和POWERV400的证书生成请求导入到联想证书管理软件中。 ⑤ 导入请求后，选择相应的证书生成请求分别生成证书，CA口令默认“111111”，导出证书。 ⑥ 导出的证书分别导入到POWERV400和UTM中。 ⑦ 将UTM的本地证书导入到POWERV400中。 三、VPN的配置 ① 将POWERV400和UTM的默认网关互指。 ② 在POWERV400上配置VPN参数，认证方式选择证书。 ③ 在UTM上配置VPN参数，认证方式采用RSA。 四、在UTM上配置防火墙加密策略，启用隧道。 五、验证 在UTM上启动隧道后，可看见隧道建立成功。 第17章 PPTP 17.1拓扑 17.2 配置要求 PC1通过PPTP连接UTM。 17.3 配置步骤 ① 按照拓扑配置IP地址 ② 在UTM上配置用户和用户组 ③ 启用PPTP服务 ④ 验证 在PC1上建立vpn拨号连接，连接PPTP。应该可以连接成功，连接成功后PC1分配到虚拟地址。 第18章 IPS 18.1 拓扑 18.2配置要求 启用IPS功能，阻止PC2对PC1进行的syn flood攻击。 18.3 配置步骤 ① 按照拓扑配置IP地址，PC1，PC2网关指向UTM。 ② 创建保护内容列表，启动IPS功能。 ③ 在IPS配置中配置SYN Flood处理方式。 注意，为了看到效果，阈值可以设置的小一点，这里配置为20。 ④ 配置从port6到port5的防火墙策略，启动IPS保护列表。 ⑤ 验证 在PC2用攻击软件对PC1进行SYN Flood攻击。同时在PC1上抓包，当发了一会儿攻击后，攻击包被UTM阻截了。 第19章IPS阻止QQ，MSN，BT流量 19.1拓扑 19.2 配置要求 UTM通过ADLS连接Internet，PC1通过UTM上网，在UTM上配置策略阻止PC1上QQ，MSN，BT。 19.3配置步骤 ① 按照拓扑配置PC和UTM的IP地址，PC网关指向UTM，并配置可用DNS。 ② 在UTM上的port4接口配置PPP连接 ③ 在UTM上创建针对P2P的内容保护列表。 ④ 在UTM上配置IPS预定义特征，包括IM和P2P，将动作配置为丢弃。 ⑤ 在防火墙策略中创建从por1到por4的NAT策略，并启用p2p内容保护列表。 ⑥ 验证 PC1可以上网浏览网页，但不能登录QQ，MSN和用BT下载。 第20章 病毒检查 20.1 拓扑 20.2 配置要求 在UTM上启用病毒检查功能，阻止PC1发送或接收*.bat文件。 20.3 配置步骤 ① 按照拓扑配置UTM和PC的IP地址，PC1和Mail Server网关指向UTM。 ② 创建保护内容列表来启动病毒检测功能和基本处理动作。 ③ 在病毒检测配置中配置阻止的文件类型。 ④ 配置从por5到por6的防火墙策略，选择启用anti virus内容保护列表。 ⑤ 验证 配置完成后，在PC1上向Mail Server发送一份带有bat文件的邮件。以Foxmail为例，会阻止发送。 在PC1上从Mail Server上接收一个带有bat文件的附件，接收到邮件中附件被删除。 第21章 病毒/入侵特征库升级 21.1 导入病毒特征库升级文件 登录防火墙web管理界面状态页面更新特征库： 点OK后如果病毒特征码升级成功在界面上会看到新的病毒特征码的版本时间发生了改变，如果防火墙已经使用了最新的病毒特征码则会提示已更新。 21.2 导入入侵特征库升级文件 导入入侵特征库升级文件与导入病毒特征库升级文件类似，点击入侵特征库更新按钮后导入文件即可。 第22章 Web过滤 22.1拓扑 22.2 配置要求 在UTM配置Web过滤，进行URL地址屏蔽，阻止PC2的HTTP服务。 22.3 配置步骤 ① 按照拓扑配置UTM和PC的IP地址，PC1和HTTP Server网关指向UTM。 ② 创建保护内容，起动Web过滤功能。 ③ 在Web过滤处配置要阻止的URL地址。 ④ 配置port5到port6的防火墙策略，启用web filter保护内容列表。 ⑤ 验证 从PC1访问10.2.5.200的HTTP服务，此时页面被替换了。 如果没有试验成功，请检查HTTP服务是不是标准的80端口。 第23章 防垃圾邮件 23.1 拓扑 23.2 配置要求 在UTM上启用防垃圾邮件，阻止接收特定Email地址的邮件和邮件中带有不良词汇的邮件。 23.3 配置步骤 ① 按照拓扑配置UTM和PC的IP地址，PC1和Mail Server网关指向UTM。 ② 建立保护内容列表，启动防垃圾邮件和配置处理动作。 ③ 配置从port5到por6的防火墙策略，启用anti spam保护内容列表。 ④ 在防垃圾邮件中配置需要阻止的email地址。 此时可以执行验证步骤1。 ⑤ 在禁忌词汇中创建需要过滤的词汇如“法轮功”。 此时可以执行验证步骤2。 ⑥ 验证 在PC2上用test@10.2.5.200帐号向PC1发送一份邮件，然后在PC1上接收邮件，邮件主题被加上“垃圾邮件”字符。 先删除阻止的email地址配置，然后在PC2上向PC1发送一封邮件，邮件中带有“法轮功”三个字符。PC1接收后，邮件主体被加上了“垃圾邮件”字符。