联想网御防火墙PowerV-Web界面操作手册-3系统配置.doc

1、第3章 系统配置 本章主要介绍防火墙的系统配置，由以下部分组成：日期时间，系统参数，系统更新，管理配置，联动，报告设置，入侵检测和产品许可证。 3.1 日期时间 防火墙系统时间的准确性是非常重要的。 可以采取两种方式来同步防火墙的系统时钟 1) 与管理主机时间同步 2) 与网络时钟服务器同步（NTP协议） 图 31配置防火墙时间 与管理主机时间同步 1. 调整管理主机时钟 2. 点击“时间同步”按钮 与时钟服务器时间同步有两种方式 1. 立即同步 2. 周期性自动同步 立即同步 1. 选中“启用时钟服务器”，输入“时钟同步服务器IP”

2、 2. 点击“立即同步”按钮 周期性自动同步 1. 选中“启用时钟服务器”，输入“时钟同步服务器IP” 2. 设定同步周期 3. 点击“确定”按钮系统参数 注意事项： 防火墙的很多操作依赖于系统时间，改变系统时间会对这些操作发生影响，比如更改时间后配置管理界面登录超时等。 3.2 系统参数 系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。 防火墙名称的最大长度是14个英文字符，不能有空格。默认的防火墙名称是themis，用户可以自己修改这个名称。 动态域名注册所使用的用户名、密码的最大长度是31个英文字符，不能有空格。动态域名的设置在网络配置>>网络设备

3、的物理网络配置中。 图 32系统参数配置图 3.3 系统更新 3.3.1 模块升级 防火墙系统升级功能可以快速响应安全需求，保证防火墙功能与安全的快速升级。 图 33导入升级文件 模块升级界面包括以下功能 1. 模块升级 2. 导出升级历史 3. 检查最新升级包 4. 重启防火墙 模块升级 1. 点击“浏览”按钮，选择管理主机上的升级包 2. 点击“升级”按钮 点击“重启防火墙”按钮，重启防火墙完成升级 导出升级历史 点击“导出升级历史”按钮，导出升级历史做备份。 检查最新升级包 管理员可以查看”系统当前软件版本”，点”检查最新

4、升级包”，系统会弹出新的IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。 重启防火墙 点击“重启防火墙”按钮，防火墙将重新启动。 注意：重启防火墙前，记住要保存当前配置。“保存”快捷键： 3.3.2 导入导出 图 34导入导出配置文件 导入导出界面包含以下功能 1. 导出系统配置 2. 导入系统配置 3. 恢复出厂配置 4. 保存配置 导出配置 点击“导出配置”按钮，导出最后一次保存的所有系统配置到管理主机。选中“导出成加密格式”，则加密配置文件。 导入配置 点击“浏览”按钮，在管理主机上选择要导入的配置文件，点击“导入配

5、置”按钮，导入配置文件，系统提示导入成功，重起防火墙，导入的配置生效。注意：导出的配置文件带有防火墙软硬件版本的信息，不能导入到别的版本防火墙中，而且如果同样的配置文件被导入到不同防火墙中，且这些防火墙位于同一网络时，可能会引起配置冲突，如IP地址，MAC地址等。 恢复出厂配置 点击“恢复出厂配置”按钮，防火墙所有配置丢失，恢复到出厂配置，重起防火墙后生效。 保存配置 点击“保存配置”，保存所有系统配置。也可以按上方保存快捷图标来保存。 3.4 管理配置 3.4.1 管理主机 管理员只有在管理主机上才能对防火墙进行管理，最多支持6个管理主机IP和1个集中管理主机，

6、至少有1个管理主机IP不能被删除。 图 35添加、编辑管理主机 此界面完成以下功能 1. 添加管理主机 2. 删除管理主机 3. 转到“系统配置>>报告设置>>集中管理”界面 添加管理主机 1. 输入管理主机IP 2. 在“说明”中，输入描述性文字，此步骤可忽略 3. 点击“确定”按钮完成添加 修改管理主机 1. 从“管理主机IP”列表中修改要修改的管理主机IP 2. 点击“确定”按钮完成修改 删除管理主机 1. 从“管理主机IP”列表中删除要删除的管理主机IP 2. 点击“确定”按钮完成删除 3.4.2 管理员账号 管理员按级别授权管理

7、说明如下： 表 31管理员级别与授权 管理员级别 授权 备注 超级管理员 增加、删除管理员帐号，不能直接配置管理。 默认管理员帐号与密码为administrator：administrator。 帐号administrator不能删除。 配置管理员 配置系统策略、网络配置、在线帮助。 无默认帐号 策略管理员 配置安全策略、资源定义、在线帮助。 无默认帐号 审计管理员 查看防火墙日志信息、在线帮助。 无默认帐号 默认只能有一个管理员登录防火墙进行配置管理，选择”允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录，但最好不要多个管理员同时进

8、行修改配置。 图 36显示管理员账号 此界面可完成以下功能 1. 添加管理员账号 2. 编辑管理员账号 3. 删除管理员账号 4. 允许或禁止多个管理员同时管理 5. 设定管理员登录超时时间 图 37添加、编辑管理员账号 添加管理员账号 1. 点“添加”按钮，打开管理员账号维护界面 2. 输入账号、口令，并选择要添加的管理员账号类型 3. 点“确定”按钮完成，点“添加下一条”可以继续添加管理员账号 编辑管理员账号 1. 点操作栏中“编辑”的快捷图标，打开管理员账号维护界面 2. 修改口令或账号类型 3. 点“确定”按钮完成 删除管理员账

9、号 1. 点操作栏中“删除”的快捷图标，弹出删除对话框 2. 点“确定”按钮完成删除 允许或禁止多个管理员同时管理 选择“允许多个管理员同时管理”时，防火墙系统才会允许多个管理员同时登录。 设定管理员登录超时时间 管理员登录后如果长时间没有操作，配置界面会超时，超时时间也在这里设置，缺省值是600秒，最大超时时间可设为86400秒（24小时），0是非法值。设置后点击“确定”生效。 3.4.3 管理证书 本界面完成主要的证书管理。管理证书为标准的CA证书。 无论使用电子钥匙认证，还是直接使用证书认证，均是通过https协议访问，即使用管理证书完成SSL的加密。 管

10、理员通过电子钥匙认证成功，访问https://防火墙可管理IP:8888，登录防火墙配置界面，使用防火墙web服务器的服务器端的证书进行信道加密。防火墙出厂时预置了一套证书（CA中心证书、防火墙证书、防火墙密钥），管理员可以点击CA中心证书的链接、防火墙证书的链接进行查看。管理员也可以更新此套证书，按”系统配置>>管理配置>>管理证书”界面提示直接导入即可。 管理员通过IE完成证书认证，访问https://防火墙可管理IP:8889，登录防火墙配置界面，使用防火墙web服务器的客户端的证书进行信道加密。当管理员使用证书方式进行身份认证时，必须在防火墙中导入一套证书（CA中心证书、防火墙证书、

11、防火墙密钥、管理员证书），并在管理主机的IE中导入管理员证书。管理员可以点击CA中心证书的链接、防火墙证书的链接进行查看。管理员可以查看导入的管理员证书列表。 此界面包括以下功能 1. 到联想CA中心下载证书 2. 导入一套证书（CA中心证书、防火墙证书、防火墙密钥、管理员证书） 3. CA中心证书、防火墙证书查看 4. 管理员证书维护（生效、删除） 图 38导入和显示管理证书 操作流程： 1. 管理员向CA中心申请证书，选择一套匹配的CA中心证书、防火墙证书、防火墙密钥”导入”。 2. 管理员要将选择匹配的管理员证书”导入”。点”生效”，使用相关管理员证书生效。

12、 3. 下次登录防火墙系统前，请将有效管理员证书导入管理主机的IE浏览器中，访问https://防火墙可管理IP:8889，进入防火墙配置管理界面。 注意：CA中心证书、防火墙证书、防火墙密钥必须是配套的。只接受PEM格式的证书。 下载证书 点“联想CA中心”按钮，打开联想CA中心的主页，下载证书 导入证书 点“浏览”按钮，分别导入一套匹配的CA中心证书、防火墙证书、防火墙密钥、管理员证书。CA中心证书、防火墙证书、防火墙密钥必须同时更换。 管理员证书维护 管理员证书维护包括生效和删除，在“生效”一栏选择要生效的证书，点“生效”按钮则生效选中的证书。在“操作”一栏

13、中，点“删除”的图标，删除此证书。 3.4.4 管理方式 防火墙提供WEB界面和CLI命令行两种管理方式。可以通过网口访问、串口访问，支持拨号(PPP)连接。 WEB管理方式和串口命令行方式默认打开，不可关闭。 使用WEB方式管理防火墙，管理主机必须能通过网络访问防火墙，并且其IP地址必须在防火墙上设置（参考：系统配置>>管理配置>>管理主机）。 使用串口命令行方式管理，在关闭PPP接入的情况下，管理主机通过串口连接防火墙的CONSOLE口登录；如果打开了PPP接入方式，则转移到AUX口登录。 “启用远程SSH”后，管理主机可以通过网络连接（通用网口或PPP连接均可），利用

14、secure crt或putty 等终端管理软件登录防火墙命令行界面进行管理。 打开”支持拨号(PPP)接入”选项。前提是Modem连接到电话线路上，并将防火墙CONSOLE口连接Modem，管理主机通过另外一个Modem也接入电话线路，从管理主机向防火墙拨号，拨号成功后，防火墙与管理主机建立了PPP连接。此时，可以从管理主机上利用putty软件登录防火墙命令行界面（远程SSH方式）。 图 39显示和配置管理方式 3.5 联动 3.5.1 IDS产品 支持IDS产品联动，包括PUMA协议和产品Puma、OPSEC协议和产品Safemate、天阗产品Venus、天眼产品

15、Netpower。 当IDS联动产品发现入侵攻击行为时，会通知防火墙。防火墙会按IDS产品通知的阻断方式、阻断时间和入侵主机的相关信息，对入侵主机进行阻断。 防火墙阻断方式包括： l 对”源IP地址”阻断 l 对”源IP地址、目的IP地址、目的端口、协议”阻断、 l 对”源IP地址、目的IP地址、协议、方向（单向、双向、反向）”阻断 防火墙阻断协议包括：TCP / UDP / ICMP和所有协议（any）。 图 310 IDS产品 表 32 IDS产品功能说明 域名 说明 启用“网御通用安全协议（PUMA）入侵检测系统”联动 选择正确的密钥文

16、件导入后，启用”网御通用安全协议（PUMA）入侵检测系统”，并指定产品的IP地址、防火墙端的服务端口（默认5000/TCP），防火墙可以与之联动。 启用“天阗入侵检测系统统” 联动 启用” 天阗入侵检测系统”，并指定产品的IP地址、防火墙端的服务端口（默认2000/UDP），防火墙可以与之联动。 启用“天眼入侵检测系统”联动 选择正确的证书导入后，启用”天眼入侵检测系统”，并指定产品的IP地址、防火墙端的服务端口（默认4000/TCP），防火墙可以与之联动。 启用“safemate入侵检测系统”联动 选择正确的密钥文件导入后，启用”safemate入侵检测系统”，并指定防火墙端的服

17、务端口（默认2001/UDP），防火墙可以与之联动。 忽略指定IP地址的自动阻断 当管理员不希望一些特别IP被防火墙阻断时，可以在”忽略以下IP地址的自动阻断”列表中加入这些IP。如果在配置忽略某IP地址的自动阻断之前，已经下了该IP的自动阻断规则，则需要将这些自动阻断规则清除，才能实现忽略指定IP地址的自动阻断。 立即清除所有自动阻断 可以立即清除所有自动阻断。 注意：每个联动请配置不同的联动端口，如配置成同一端口，则只启用界面上顺序靠后的联动系统。 3.5.2 用户认证服务器 为了增强从内网访问外网时的访问控制，提供不受服务种类限制的用户认证系统，可以为包过滤、双

18、向NAT、代理等访问控制提供用户认证功能。管理员可以启用防火墙本地帐号服务器，也可以启用标准的RADIUS服务器。即，防火墙用户认证使用的是RADIUS的账号库，并支持RADIUS服务器的审计功能。 图 311用户认证配置图 此界面包括以下功能 1. 配置认证端口和监控端口 2. 选择认证服务器 3. 配置RADIUS认证服务器 配置认证端口和监控端口 使用用户认证服务器，管理员必须配置防火墙用户认证模块监听的认证端口、检测用户在线情况的监控端口。 选择认证服务器 管理员可以启用防火墙本地帐号服务器，也可以启用标准的RADIUS服务器。 默认使用防火墙本地

19、帐号服务器。本地帐号服务器可以提供更多的控制功能： ² 提供基于角色的用户策略，并与安全规则策略配合完成强访问控制。主要包括：安全策略和授权服务，其中，安全策略是限制用户在什么时间、什么源IP地址可以登录防火墙系统，而授权服务则定义了该用户通过认证后能够享有的服务。 ² 支持对用户帐号的流量控制和时间控制 ² 客户端可以修改密码 ² 服务器端检查用户在线状态 ² 支持PAP 和S/Key认证协议 配置RADIUS认证服务器 启用RADIUS认证服务器，需要配置RADIUS认证服务器所在的IP地址、认证端口中、审计端口及与防火墙加密通信的密钥。 3.6 报告设置 3.6.

20、1 日志服务器 防火墙各功能模块提供标准日志记录。 启用日志记录后，默认情况下日志存储在防火墙本地。防火墙也可以将日志发往第三方的日志服务器， 日志服务器可以与防火墙的任意网口连接。 防火墙提供随机日志服务器软件，提供强大的日志存储与审计功能。 图 312日志服务器配置 此界面提供以下功能 1. 配置日志服务器 2. 转到“系统监控>>日志信息”界面 配置日志服务器 需要管理员配置日志服务器IP、防火墙与日志服务器通信的协议与端口。防火墙默认使用syslog方式向第三方发送日志，端口514 / 协议UDP。 转到“系统监控>>日志信息”界面 点“查

21、看日志”按钮，转到“系统监控>>日志信息”界面 3.6.2 报警邮箱 可以设置防火墙的报警邮箱。在集群模块启用时，可以给防火墙管理员发报警邮件。 图 313报警邮箱配置 此界面包括以下功能 1. 配置报警邮箱 2. 转到“网络配置>>域名服务器”界面 配置报警邮箱 配置报警邮箱并指定该邮箱所在SMTP服务器的IP地址和端口 转到“网络配置>>域名服务器”界面 点“修改DNS配置”按钮，转到“网络配置>>域名服务器”界面。如果不能正常发邮件，请检查DNS配置是否正确。 3.6.3 集中管理 支持防火墙的集中管理（SNMP v2,v3）。防火墙可以与联

22、想网御集中安全管理系统无缝联动。 管理员配置集中管理主机的IP和各项监控信息的阀值。当防火墙运行信息超过阀值后，通过SNMP协议与该集中管理主机发trap信息。 监控信息包括：系统名字版本号序列号、CPU利用率、内存利用率、网络接口状态、网络连通状态。通过TRAP信息发给集中管理中心，为网络管理人员提供全面、易用、高效的实时监控网络资源使用状况的工具和手段。相关信息也可以在防火墙的”系统监控>>网络接口”界面和”系统监控>>资源状态”查看。 图 314集中管理配置图 表 33集中管理配置元素表 域名 说明 集中管理主机IP 集中管理主机IP 防火墙名称 防

23、火墙名称 本机备注 对防火墙的描述 负责人姓名 负责人电话 CPU利用率阀值 如果实际利用率超过该值，则向集中管理主机发送报警信息 内存利用率阀值 如果实际利用率超过该值，则向集中管理主机发送报警信息 磁盘利用率阀值 如果实际利用率超过该值，则向集中管理主机发送报警信息 输入以上各域内容，点“确定”完成集中管理主机配置。 3.7 入侵检测 防火墙本身主要在链路层进行访问控制，入侵检测技术是防火墙技术的逻辑补偿。作为一种数据通信监视手段，入侵检测技术对于每一个进出数据包都要进行解码分析和模式匹配，如果发现该数据包中含有与已知的攻击方法特征库相匹配的数据，则

24、断定有入侵事件发生，发出警报提醒管理员注意，并可以自动阻断源IP地址，及时地将攻击者拒之门外。联想网御防火墙将入侵检测技术无缝地集成到自身当中，极大地提高了防火墙检测数据驱动型攻击的能力。由于防火墙本身部署的特点，只能对通过防火墙的数据包进行检测，如果用户需要对整个网络的潜在攻击进行监控，建议选用联想的网御系列入侵检测产品。 入侵检测模块主要功能特点包括： l 实时网络数据流监控 实时监视进出防火墙的所有通信流，分析网络通信会话轨迹。信息收集与分析同步进行，快速反应，一旦发现可疑信息，及时报警并响应。 l 网络攻击模式匹配 预置的已知攻击模式规则库，能检测多种攻击行为，最大限

25、度地防范黑客的入侵和内部用户的非法使用。规则库可以在线升级，确保能够识别最新的黑客攻击手段。 l 针对入侵行为的实时自动响应 能够自动响应入侵事件，除了报警和写日志外，可以做到实时阻断可疑连接，同时防火墙还可以和其它厂商的IDS产品如“天阗”、“天眼”IDS实现联动，威力强大。 l 灵活的检测策略设置 内置十六种检测策略，用户可以随意组合使用，做到量体裁衣，突出重点。 l 支持用户添加自定义检测规则 用户可以根据自己的实际情况和感兴趣的安全事件添加自定义检测规则，体现个性化服务。 l 支持高级用户调整检测规则 管理员可根据IDS保护的网络的具体情况，调整检测策略

26、中的检测规则，将容易引起误报的规则禁用，更好地提高入侵检测的效率。 l 全天候报警方式 可自动将报警信息传送到管理员的电子邮箱，显现在移动通讯设备上，实现离线监控。 典型的应用实例如下： Internet 网站主服务器 提供WWW和FTP服务 内部网 图 315典型应用拓扑 某企业内部网拓扑图如图2-15，防火墙的三个网口分别连接到内部网、对外服务器和路由器。内部网主机通过防火墙可以访问对外服务器和Internet；外部网络可以访问对外服务器，但不能访问内部网。企业网络管理员希望启用防火墙的入侵检

27、测功能，以发现各种非法入侵企图，并启用自动响应功能，将出现在“检测结果”中的源IP地址自动阻断一段时间。 3.7.1 基本配置 首先，登录防火墙配置管理界面后，通过左侧菜单栏的系统配置>>入侵检测，即出现入侵检测的管理界面。 图 315基本配置 基本配置可以设置是否启动入侵检测，及监听的网口和网段。 3.7.2 策略配置 策略配置可以允许管理员选择某些策略使之生效，以对付入侵。 图 316入侵检测策略配置 ids的报警邮箱设置与整个系统的报警邮箱设置在一起，系统报警邮箱的设置在系统配置-〉报告设置-〉报警邮箱下， 设置好报警邮箱后，ids系统会在入

28、侵纪录达到100条或时间间隔达到30秒时，自动发送所有的入侵纪录到此邮箱中。 3.7.3 自定义检测 从列表中可以查看当前的所有的自定义规则，管理员可以生效或失效一条规则，来检测或取消检测某一类入侵事件。 管理员可以添加一条自定义规则，如下所示： 图 317自定义入侵规则列表 注意事项： l 如果正常的网络行为引起某条规则大量误警，可以将该条规则禁用。自动响应功能最好在正常运行一段时间后，当误报已经减少到很低程度时再启用。 l 有时FTP服务器或DNS服务器会引发扫描报警，这属于误报，可以调整扫描时间阈值或者将这些服务器的IP地址添加到忽略扫描报警的地址

29、列表中。 l 有时在检测结果中会看到对外服务器的IP出现在攻击者的源地址中，比如从对外服务器的80端口到某个外部IP地址的高端口，报警信息为发现了403 forbidden的特征字符串。这条报警信息并不意味着对外服务器是攻击者，恰恰相反，正是由于某个外部IP通过防火墙向对外服务器发起了非法的web请求，导致服务器返回“403 禁止访问”的信息，所以攻击者是外部IP地址主机。但是由于防火墙的自动响应功能只阻断检测结果中的源IP地址，因此为了确保服务器不被阻断，最好将服务器的IP地址放入忽略自动阻断的地址列表中。 3.7.4 扫描检测配置 管理员点击“扫描检测配置”，将扫描时间阈值由3分

30、钟内发现5次端口连接调整为10秒钟内发现3次端口连接。如下图所示。 图 318扫描检测配置 3.7.5 自动响应配置 管理员可以启用自动响应功能，并设置阻断时间为12秒。如下图所示： 图 319自动响应功能 设置完毕后，自动响应功能生效。一旦有触发检测规则的可疑事件发生，出现在检测结果中的源IP地址立即被自动列入系统黑名单中，发起者的通信被防火墙阻断，可疑行为将无法继续进行下去。管理员可以自定义阻断时间（以秒为单位），如果不填写时间，则视为永远不解除阻断。 清除已经阻断的IP地址，可以清除防火墙系统的所有已经阻断的IP地址，包括ids联动系统阻断的地址。 注意：攻击者可以伪造地址进行攻击，所以开启改项功能有可能导致对被伪造IP的DOS攻击或网络通信异常，因此推荐一般情况下不要打开此项功能。 3.7.6 检测结果 管理员点击界面中的“检测结果”，可以查看所有的入侵，页面如下所示。 图 320检测结果 3.8 产品许可证 通过本页面可以将您获取到的防火墙模块的许可证上载，并导入到防火墙。上载成功后，请您保存系统配置，并重启防火墙，以使新的模块生效。 图 321产品许可证上载页面