联想网御强五防火墙PowerV基本配置举例

Power V基本配置举例

前言

希望通过这篇本文能够指导刚刚接触网御防火墙的工程师尽快掌握如何配置防火墙实现基本功能。

PPTP/L2TP 拓扑：

Client(10.1.5.200)----------------(10.1.5.254 fe1)FW

说明：

Client通过拨号登陆防火墙的PPTP/L2TP服务。

配置步骤：

1. 按照拓扑配置PC和设备的接口地址，防火墙fe1设备工作在路由模式 2. 创建拨号用户

3. 配置PPTP/L2TP参数

验证：

1. 在Client PC上的网络连接上建立VPN拨号连接进行连接

2. 在防火墙上查看隧道信息，应该有已经建立的隧道的信息。

IPSEC VPN 网关-网关 拓扑：

Client(10.1.5.200)--------(10.1.5.254 fe1)FW1(fe2 192.168.1.202)--------(192.168.1.101 fe2)FW2

说明：

FW1和 FW2之间建立IPSEC VPN隧道，保护子网10.1.5.0/24和192.168.3.0/24

配置步骤：

1. 按照拓扑配置PC和防火墙的IP，防火墙工作来路由模式

2. 配置IPSEC设备，把两台防火墙的fe2接口绑在ipsec0设备下

3. 配置远程VPN

上图是FW1的配置，FW2的配置类似，远程VPN名称输入vpn1，IP地址输入192.168.1.202，其他基本一样。 4. 配置网关型隧道

这是FW1上的配置，FW2上的配置类似，本地保护子网输入192.168.3.0/24，远程vpn选择vpn1，远端保护子网输入10.1.5.0/24，其他配置一样。

验证：

在隧道监控中启动隧道，这时可以反先隧道状态应该为“已经建立”

QOS 拓扑：

Client(10.1.5.200)--------(10.1.5.254 fe1)FW(fe2 192.168.1.202)--------(192.168.1.101)FTP Server

说明：

实现Client通过防护墙访问FTP 服务，控制下载流量为8K/Bps

配置步骤：

1. 按照拓扑配置PC和设备接口IP，防护墙工作在路由模式。Client和FTP server均配置

网关指向防火墙。

2. 在下载流量的流出接口启动流量管理功能。

3. 定义非共享带宽

4. 配置共享带宽

5. 配置带宽策略组

6. 配置带宽管理

验证：

Client访问192.168.1.101的ftp，下载文件，观察下载速度，应该稳定在8KB/ps左右。

端口映射/IP映射/NAT 拓扑：

Client(10.1.5.200)--------(10.1.5.254 fe1)FW(fe2 192.168.1.202)--------(192.168.1.101)FTP Server

说明：

实现Client通过访问防火墙地址10.1.5.254访问FTP 服务，同时源地址转换为192.168.1.202，并且只对FTP数据进行转换。实践中发现单独通过IP映射和NAT规则配置实现不了，只能通过端口映射规则实现。

配置步骤：

1. 按照拓扑配置PC和设备接口IP，防护墙工作在路由模式。Client不配置网关，FTP server

配置网关指向防火墙。

2. 配置服务器地址资源，拥有一个IP 192.168.1.101

3. 配置端口映射规则，同时完成目的地址，源地址的转换

验证：

Client通过访问防火墙IP10.1.5.254访问FTP成功，并且在FTP服务器上抓包，可以看到目的地址是192.168.1.101，而源地址是192.168.1.202。

深度过滤 拓扑：

Client(10.1.5.200)--------(10.1.5.254 fe1)FW(fe2 192.168.1.202)--------(192.168.1.101)FTP Server

说明：

实现Client通过防火墙访问FTP服务，然而特定文件名不可下载。

配置步骤：

1. 按照拓扑配置PC和防火墙的IP地址，防火墙工作在路由模式。Client和FTP服务器均

配置网关指向防火墙。

2. 配置文件名组，设置一个FTP服务器上一个存在的文件名

3. 配置过滤策略

4. 在基本配置启动深度过滤

5. 定义报过滤规则引用配置的过滤策略。

验证：

Client通过防火墙访问FTP，文件名组内的文件无法下载，而其他文件可以下载。

IP/MAC绑定 拓扑：

PC(10.1.5.200)--------(10.1.5.254 fe1)FW

说明：

配置IP/MAC绑定，将PC的IP和MAC地址绑定，进行检查。

配置步骤：

1. 按照拓扑配置PC和防火墙的IP，防火墙工作在路由模式。 2. 在fe1设备上启动IP/MAC绑定检查功能

3. 在安全选项中启动IP/MAC检查功能

4. 在地址绑定中添加绑定对应关系

验证

此时PC应该可以ping通防火墙地址，但如果将绑定关系中任意一个进行修改，则PC就ping不通防火墙了。

认证+报过滤规则 拓扑：

Client(10.1.5.200)--------(10.1.5.254 fe1)FW(fe2 192.168.1.202)--------(192.168.1.101)FTP Server

说明：

实现只有认证的用户才能通过防火墙访问FTP服务。

配置步骤：

1. 按照拓扑配置PC和防火墙的IP，Client和FTP服务器均配置网关指向防火墙 2. 在用户列表创建用户

3. 在用户组添加用户组

4. 配置包过滤规则动作选择认证方式。

验证

1. 在没有用认证客户端认证的情况向访问FTP服务器，此时无法连接。 2. 用认证客户端认证后，可以访问FTP服务。

IPSEC VPN客户端-网关 拓扑：

PC1(10.1.5.200)----------(10.1.5.254 fe1)FW(fe3 192.168.0.202)----------(192.168.0.201)PC2

说明：

PC1通过VPN客户端连接网关IPSEC VPN访问PC2

配置步骤：

1. 按照拓扑配置IP地址，PC1网关指向FW，PC2将网关指向FW。 2. 将防火墙fe1接口绑在vpn设备上

3. 将防火墙的默认网关指向PC1

4. 配置远程VPN，注意类型选择客户端

5. 配置客户端隧道

6. 在隧道监控中启动该隧道

7. 在PC1上正确安装并注册VPN客户端，打开配置隧道，预共享秘钥配置和远程vpn的

一致“11111111”

8. 在高级选项中配置你要获得的IP地址

验证：

1. 配置好客户端后，在监控页面进行连接，隧道应可以成功建立

2. 在PC1上ping PC2地址192.168.0.201的同时，察看隧道监控信息可以发现隧道内有数

据流量。

注意事项：

1. 如果网关的客户端隧道配置中，“客户端虚拟IP地址类型”选择“any”，则客户端中就

不要选择“获取IP虚拟地址”，网关也不需要将网关指向客户端。

2. 如果客户端想要使用网关的DHCP来获取IP地址，则要在客户端高级配置中选择“在

IPSEC上运行地址分配协议”选项，同时在VPN设备上启动DHCP over IPSEC。

3. 目前咱们的客户端必须通过配置了默认网关的网卡发起协商，所以客户端网卡上必须配

置默认网关。

4. 实践过程中，客户端对双网卡的PC支持有些问题，会出现无法进行协商或者协商获取

IP错误的问题，已经和研发确认。所以目前尽量不要在双网卡的客户端使用ipsec vpn。