内容发布更新时间 : 2024/8/22 4:47:31星期一 下面是文章的全部内容请认真阅读。

网御防火墙 PowerV Web 界面操作手册

第2章 如何开始

本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍，以及开机登录配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。

如果您想尽快配置使用联想网御防火墙，可跳过概述部分，直接阅读2.5章（第12页）。

2.1 网御防火墙PowerV概述

随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高，以防火墙为代表的网络安全设备已经成为不可或缺的设备。

网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。

2.1.1 产品特点

联想网御防火墙PowerV是联想防火墙的换代产品，该产品的特点是高安全性，高可用性和高性能的“三高”“管理者的”防火墙，是国内一流的防火墙。

? 高安全 ? 高可用性 ? 高性能

2.1.2 主要功能

网御防火墙PowerV系统为了满足用户的复杂应用和多种需求，采用模块化设计，包括基本功能模块、可选功能模块（VPN模块需要许可证才能使用）。主要具有以下功能：

? 状态检测和动态过滤 采取主动过滤技术，在链路层截取并分析数据包以提高处理性能，对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤，还可以结合定义好的策略，动态生成规则，这样既保证了安全，又满足应用服务动态端口变化的要求。可支持多个动态应用，包括ftp、h323、pptp、rtsp、tns等。

? 双向NAT地址转换

在全透明模式下提供了双向地址转换（NAT）功能，能够有效地屏蔽整个子网的内部结构，使得黑客无从发现子网存在的缺陷，还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。支持静态NAT、动态NAT及IP映射（支持负载均衡功能）、端口映射。

? 应用层透明代理 支持透明代理功能，提供对HTTP、FTP（可限制GET、PUT命令）、TELNET、SMTP

联想集团有限公司 2-1 网御防火墙 PowerV Web 界面操作手册

（邮件过滤）、POP3等标准应用服务的透明代理，同时提供在用户自定义服务下的透明代理，支持网络接口限定。通过提供透明的代理服务，使受控网络中的用户感觉不到代理的存在，这样不必改变客户端配置，就能在授权范围内与外网通信，减少了网络管理员的工作量。

? 防IP地址欺骗

对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定，防止IP 盗用，并对非法IP 的访问提供详细的记录，以便防火墙管理员查看。

? 时间管理

支持过滤规则的时间域设定，防火墙管理员在定义好一条规则后，能够指定这条规则的启动、生效、关闭的时间域。

? 带宽管理

提供QoS机制，能够用优先级和流量控制方式分配网络带宽，从而有效地保证需要特殊带宽的网络服务。

? 用户认证

提供与应用服务无关的用户认证，能够同时为包过滤服务和代理服务提供用户认证。支持PAP、S/KEY认证协议；支持防火墙本地认证和标准的Radius认证服务器，提供用户及组管理。

? 邮件过滤

对收件和发件的邮件主题、正文、收发件人、附件名、附件内容等进行过滤，对邮件内容除提供关键字匹配外，还提供基于文本格式的中文内容智能过滤。

? URL过滤

URL过滤和网页关键字过滤，支持基于时间控制的关键字智能过滤。

? 规则及配置信息的导入导出、备份恢复

可以把配置的各项数据从防火墙导出做备份；需要时可以把以前的配置信息导入到防火墙，恢复到以前的状态，也可以导入到另一台相同型号的防火墙，从而给防火墙管理员的工作带来很大的便利和很好的安全保证。

? 互动式实时入侵检测（IDS）与实时阻断

能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等；可根据入侵检测结果自动地调整防火墙的安全策略，及时阻断入侵的网络连接，并可通过邮件的方式向管理员报警；支持用户自定义监测规则，支持规则库的手动升级。

? 支持SSN（安全服务区）基于网络服务的负载均衡

实现了高效的负载均衡算法，通过反向NAT功能，防火墙可以为用户SSN（安全服务区）内的服务器有效地均衡网络服务的流量。

联想集团有限公司 2-2 网御防火墙 PowerV Web 界面操作手册

? 日志审计

提供防火墙日志管理和日志服务器，具有实时监控、审计、报警和自动备份功能，同时日志服务器管理员与防火墙管理员实行分权管理；并可为管理员提供丰富完整的日志信息和强大完善的安全审计，允许管理员设定审计查询规则，以可理解的格式输出查询结果，生成可理解格式的日志文件，具有日志存储溢出报警和补救功能。

? 网御电子钥匙

基于硬件（USB接口）、一次性口令（S/KEY协议）的管理员身份认证，采用了双因子认证机制（基于管理员帐号和防火墙设备硬件信息），保证一把电子钥匙只能管理一台特定的防火墙。

? 远程安全管理

采用基于密码技术的PKI-CA证书的认证方式对管理员进行身份认证，只有认证通过的管理员才能访问配置管理界面并操作相关文件。采用SSL加密信道对配置信息进行加密处理，保证数据的安全性和完整性（防篡改）。

? 集中安全管理

通过集中管理中心可以对网络中的防火墙完成集中统一的配置、管理和系统监视，并具有设备自动发现功能；支持对安全设备运行状态的实时监控；支持实时安全事件报警和安全事件的日志管理审计。

? 远程维护

当开启此功能时，允许授权管理员利用SSH或电话拨号的方式对防火墙设备进行在线维护。由于“远程支持”功能采用安全的协议SSH进行防火墙的管理，可保证网络上传送的管理信息被加密，而不被内部或外部用户嗅探或攻击。

? HA支持

支持双机热备和集群两种方式。通过把防火墙加入集群，在可以保证某一防火墙节点一旦发生问题时，其负载可以迅速切换到集群中其它防火墙上，从而满足无间断网络要求。

? 模块升级与灾难恢复

支持防火墙软件、入侵检测库和病毒库的版本升级，并提供了完善的灾难恢复机制。当防火墙由于各种原因而出现网御电子钥匙不可用、Pin口令忘记、证书不可用或过期、防火墙IP地址遗失等现象时，管理员只要初始化主机，并将事前保存的系统配置文件导入防火墙，防火墙就能恢复正常的工作状态。

? 支持非IP协议

支持IPX和NetBIOS等非IP协议，还支持自定义协议，控制是否可以通过，具有优秀的网络适应能力。

? 支持VLAN (802.1Q)协议 防火墙可以接受、发送带有vlan标记的网络数据。因此，可把防火墙置于交换机trunk口，同时支持多个vlan区间通信，包括透明和路由转发。

联想集团有限公司 2-3