聯(lián)想網(wǎng)御POWER-V-UTM防火墻功能使用圖文手冊

聯(lián)想網(wǎng)御PowerVUTM防火墻功能使用圖文手冊

聲明本手冊所含內(nèi)容假設(shè)有任何改動，恕不另行通知。在法律法規(guī)的最大允許范圍內(nèi)，聯(lián)想網(wǎng)御科技〔北京〕除就本手冊和產(chǎn)品應(yīng)負(fù)的瑕疵擔(dān)保責(zé)任外，無論明示或默示，不作其它任何擔(dān)保，包括〔但不限于〕本手冊中推薦使用產(chǎn)品的適用性和平安性、產(chǎn)品的適銷性和適合某特定用途的擔(dān)保。在法律法規(guī)的最大允許范圍內(nèi)，聯(lián)想網(wǎng)御科技〔北京〕對于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損壞〔包括，但不限于直接或間接的個(gè)人損害、商業(yè)利潤的損失、業(yè)務(wù)中斷、商業(yè)信息的遺失或任何其它損失〕，不負(fù)任何賠償責(zé)任。本手冊含受版權(quán)保護(hù)的信息，未經(jīng)聯(lián)想網(wǎng)御科技〔北京〕書面允許不得對本手冊的任何局部進(jìn)行影印、復(fù)制或翻譯。聯(lián)想網(wǎng)御科技〔北京〕中國北京海淀區(qū)中關(guān)村南大街6號中電信息大廈8層目錄TOC\o"1-2"\h\z\u第1章登錄防火墻管理界面 11.1串口登錄防火墻 11.2web方式登錄防火墻 3第2章防火墻透明或路由模式的更改 72.1登錄防火墻web管理界面 72.2更改防火墻運(yùn)行模式 8第3章在VLAN環(huán)境中使用防火墻 103.1拓?fù)?103.2配置要求 103.3配置步驟 10第4章防火墻包過濾策略 154.1拓?fù)?154.2配置要求 154.3配置步驟 15第5章NAT源地址轉(zhuǎn)換 175.1拓?fù)?175.2配置要求 175.3配置步驟 17第6章虛擬IP目的地址轉(zhuǎn)換 196.1拓?fù)?196.2配置要求 196.3配置步驟 19第7章通過防火墻訪問Internet 217.1拓?fù)?217.2配置要求 227.3配置步驟 22第8章帶寬控制 278.1拓?fù)?278.2配置要求 278.3配置步驟 27第9章IPMAC綁定 299.1拓?fù)?299.2配置要求 299.3配置步驟 29第10章用戶認(rèn)證 3810.1拓?fù)?3810.2配置要求 3810.3配置步驟 38第11章HAA-P模式 4411.1拓?fù)?4411.2配置要求 4411.3配置步驟 44第12章HAA-A模式 4812.1拓?fù)?4812.2配置要求 4812.3配置步驟 48第13章IPSECVPNClient-GW密鑰認(rèn)證 5213.1拓?fù)?5213.2配置要求 5213.3配置步驟 52第14章IPSECVPNClient-GW證書認(rèn)證 5714.1拓?fù)?5714.2配置要求 5714.3配置步驟 57第15章IPSECVPNGW-GW與Cisco互通 6615.1拓?fù)?6615.2配置要求 6615.3配置步驟 66第16章IPSECVPNGW-GW證書與POWERV400防火墻互通 7116.1拓?fù)?7116.2配置要求 7116.3配置步驟 71第17章PPTP 8017.1拓?fù)?8017.2配置要求 8017.3配置步驟 80第18章IPS 8318.1拓?fù)?8318.2配置要求 8318.3配置步驟 83第19章IPS阻止QQ，MSN，BT流量 8619.1拓?fù)?8619.2配置要求 8619.3配置步驟 86第20章病毒檢查 9020.1拓?fù)?9020.2配置要求 9020.3配置步驟 90第21章病毒/入侵特征庫升級 9321.1導(dǎo)入病毒特征庫升級文件 9321.2導(dǎo)入入侵特征庫升級文件 94第22章Web過濾 9522.1拓?fù)?9522.2配置要求 9522.3配置步驟 95第23章防垃圾郵件 9823.1拓?fù)?9823.2配置要求 9823.3配置步驟 98第1章登錄防火墻管理界面1.1串口登錄防火墻物理線路連接：使用標(biāo)配的串口線，一頭接防火墻的CONSOLE口，另一頭接計(jì)算機(jī)的串口。用微軟的超級終端連接：=1\*GB3①從開始菜單翻開超級終端=2\*GB3②隨便起個(gè)名稱=3\*GB3③選擇計(jì)算機(jī)串口=4\*GB3④設(shè)置防火墻串口參數(shù)=5\*GB3⑤點(diǎn)擊回車出現(xiàn)登錄界面輸入用戶名：administrator密碼：administrator1.2web方式登錄防火墻=1\*GB3①查看防火墻端口IPshowsysteminterface=2\*GB3②計(jì)算機(jī)IP設(shè)為與它相連的防火墻網(wǎng)口IP在同一網(wǎng)段=3\*GB3③登錄防火墻web管理界面。。在IE里輸入：9登錄防火墻web管理界面。用戶名：administrator密碼：administrator成功登錄防火墻后出現(xiàn)的界面如下，即可開始配置防火墻參數(shù)及策略。

第2章防火墻透明或路由模式的更改2.1登錄防火墻web管理界面=1\*GB3①查看防火墻端口IPshowsysteminterface=2\*GB3②登錄防火墻的計(jì)算機(jī)的IP地址要和防火墻網(wǎng)口的IP地址在同一網(wǎng)段。。。用戶名：administrator密碼：administrator2.2更改防火墻運(yùn)行模式NAT/Route為路由模式；Transparent為透明模式。注：UTM目前只支持透明和路由模式，不支持混合模式。UTM的透明模式為純透明模式，不能做NAT，不做路由。切換到透明模式后，防火墻將恢復(fù)出廠配置，重啟防火墻后默認(rèn)管理地址更改為：.1/24，管理主機(jī)IP配置為與其同一網(wǎng)段即可

第3章在VLAN環(huán)境中使用防火墻3.1拓?fù)?.2配置要求防火墻在路由模式下，接入已有的網(wǎng)絡(luò)，防火墻兩端是不同的VLAN不同的網(wǎng)段。3.3配置步驟一、VLAN20端的設(shè)置=1\*GB3①新建VLAN20選擇“系統(tǒng)管理-〉網(wǎng)絡(luò)-〉接口-〉新建〞，如下列圖所示：=2\*GB3②添加防火墻策略=3\*GB3③PC的設(shè)置設(shè)置PC的IP地址及網(wǎng)關(guān)。PC的默認(rèn)網(wǎng)關(guān)地址為上步驟中“IP地址/網(wǎng)絡(luò)掩碼〞中添加的地址。二、VLAN30端的設(shè)置=1\*GB3①新建VLAN30選擇“系統(tǒng)管理-〉網(wǎng)絡(luò)-〉接口-〉新建〞，如下列圖所示：=2\*GB3②添加防火墻策略=3\*GB3③PC的設(shè)置三、驗(yàn)證兩臺PC可以相互通信。

第4章防火墻包過濾策略4.1拓?fù)?.2配置要求配置防火墻包過濾策略控制PC1到PC2的訪問。4.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P，PC1和PC2的網(wǎng)關(guān)指向UTM防火墻。=2\*GB3②配置兩條.0和網(wǎng)段的地址列表資源。=3\*GB3③配置從的防火墻允許策略，再配置一條相同的阻止策略。最后配置一條允許所有的策略。=4\*GB3④驗(yàn)證當(dāng)三條策略都啟用后，PC1可以ping通PC2，第一條策略匹配生效，數(shù)據(jù)包被轉(zhuǎn)發(fā)。停用第一條策略，PC1ping不通PC2，第二條規(guī)那么匹配生效。停用第二條策略，PC1又可以ping通PC2，第三條規(guī)那么匹配生效。停用最后一條策略后，PC1ping不通PC2。可見，UTM默認(rèn)規(guī)那么是全禁止的。

第5章NAT源地址轉(zhuǎn)換5.1拓?fù)?.2配置要求PC1通過源地址轉(zhuǎn)換訪問PC2，將源地址轉(zhuǎn)換為UTM防火墻P6接口的地址。5.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址，PC1網(wǎng)關(guān)指向UTM，而PC2不配置網(wǎng)關(guān)。=2\*GB3②在UTM上配置要轉(zhuǎn)換成的地址列表資源，此用例將源地址轉(zhuǎn)換為.0網(wǎng)段內(nèi)地址。=3\*GB3③在UTM上配置防火墻策略，選擇上“NAT〞選項(xiàng)。=4\*GB3④驗(yàn)證配置完成后，在PC1上pingPC2地址.200，可以ping通。如果取消NAT策略，那么ping不通。

第6章虛擬IP目的地址轉(zhuǎn)換6.1拓?fù)?.2配置要求配置虛擬IP實(shí)現(xiàn)目的地址轉(zhuǎn)換，PC1通過訪問UTM地址.25421端口訪問PC2的FTP效勞器。6.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址，PC1不配置默認(rèn)網(wǎng)關(guān)，PC2網(wǎng)關(guān)指向UTM。=2\*GB3②在UTM上配置虛擬IP。=3\*GB3③在UTM上配置防火墻策略，啟用目的地址轉(zhuǎn)換規(guī)那么。=4\*GB3④驗(yàn)證：PC1通過訪問.25421端口訪問PC2的FTP效勞成功。

第7章通過防火墻訪問Internet7.1拓?fù)?.2配置要求有一個(gè)公網(wǎng)地址：53，掩碼：，網(wǎng)關(guān)：29接在防火墻的port6口上。內(nèi)網(wǎng)用戶是。內(nèi)網(wǎng)用戶通過防火墻上公網(wǎng)。7.3配置步驟=1\*GB3①登錄防火墻后配置防火墻port6口在“系統(tǒng)管理網(wǎng)絡(luò)里配置〞。用同樣的方法配置Port5網(wǎng)口IP地址為.254。=2\*GB3②配置默認(rèn)網(wǎng)關(guān)在路由—靜態(tài)路由中添加默認(rèn)網(wǎng)關(guān)：29，設(shè)備選port6。=3\*GB3③定義地址資源列表.0=4\*GB3④添加NAT規(guī)那么=5\*GB3⑤設(shè)置DNS=6\*GB3⑥=7\*GB3⑦驗(yàn)證至此，內(nèi)網(wǎng).0網(wǎng)段的用戶就可以上網(wǎng)了。我們可以通過Ping命令查看網(wǎng)絡(luò)的連通情況。在內(nèi)網(wǎng)主機(jī)上用ipconfig命令顯示內(nèi)網(wǎng)用戶計(jì)算機(jī)的IP地址，用Ping.254命令查看用戶與防火墻port5口的連接情況。上圖說明內(nèi)網(wǎng)用戶計(jì)算機(jī)的IP地址為：.200，用戶與防火墻port5口已連接上。用Ping53命令查看用戶與防火墻port6口的連接情況，用Ping29命令查看用戶與默認(rèn)網(wǎng)關(guān)的連接情況。上圖說明用戶與防火墻port5口已連接上，與默認(rèn)網(wǎng)關(guān)已連接上。用Ping命令查看用戶與DNS效勞器的連接情況，用Ping163命令查看用戶與163的連接情況。上圖說明用戶與DNS效勞器已連接上，與163已連接上，內(nèi)網(wǎng)用戶可以通過防火墻訪問Internet。

第8章帶寬控制8.1拓?fù)?.2配置要求在UTM上配置策略，控制PC1從PC2FTP上下載數(shù)據(jù)的帶寬。8.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址，PC1和PC2將網(wǎng)關(guān)指向UTM。=2\*GB3②UTM上配置.0和子網(wǎng)地址列表資源。=3\*GB3③配置策略。=4\*GB3④驗(yàn)證在PC1上訪問PC2的FTP效勞，下載文件，速率被控制在100KB/s。

第9章IPMAC綁定9.1拓?fù)?.2配置要求PC1和PC2在同一網(wǎng)段，通過交換機(jī)和防火墻連接。通過IP/MAC綁定，允許PC1訪問PC3，不允許PC2訪問PC3。9.3配置步驟一、登錄防火墻命令行管理界面使用隨機(jī)附帶的串口線，一頭接防火墻的CONSOLE口，另一頭接計(jì)算機(jī)的串口，啟用微軟的超級終端連接。=1\*GB3①從開始菜單翻開超級終端=2\*GB3②隨便起個(gè)名稱=3\*GB3③選擇串口線所連接的計(jì)算機(jī)的串口=4\*GB3④設(shè)置防火墻串口參數(shù)=5\*GB3⑤連擊回車鍵出現(xiàn)登錄界面用戶名：administrator密碼：administrator此時(shí)即可使用命令對防火墻進(jìn)行配置。二、設(shè)置防火墻IP/MAC綁定=1\*GB3①啟用防火墻IP/MAC綁定ConfigfirewallipmacbindingsettingSetbindthroughfwenableSetundefinedhostblock/allow注：防火墻默認(rèn)狀態(tài)是block，表示沒有綁定的主機(jī)不能通過防火墻進(jìn)行通信；allow表示沒有綁定的主機(jī)可以通過防火墻進(jìn)行通信。end=2\*GB3②設(shè)置防火墻IP/MAC綁定表，目前不支持自動獲取的方法，需要手動添加?！沧ⅲ喝绻薷钠渲幸粋€(gè)，需要重新做整個(gè)表〕ConfigfirewallipmacbindingtableEdit1SSetmac00:13:D3:0F:38:C5SetnametestSetstatusenableEnd=3\*GB3③在相應(yīng)的接口上啟用IPMAC綁定檢查ConfigsysteminterfaceEditport1SetipmacenableEnd全部做完后，你會發(fā)現(xiàn)IP/MAC一般都不會生效，因?yàn)锳RP表的問題，兩個(gè)方法，一個(gè)是等待一會兒，等到防火墻ARP刷新，一個(gè)方法是重啟。三、配置防火墻包過濾規(guī)那么=1\*GB3①添加地址資源列表=2\*GB3②添加防火墻策略四、驗(yàn)證=1\*GB3①可以用以下命令查看設(shè)置情況ShowfirewallipmacbindingsettingShowfirewallipmacbindingtableShowsysteminterface=2\*GB3②進(jìn)行了地址綁定的PC1可以和PC3通信=3\*GB3③未進(jìn)行地址綁定的PC2和PC3不能通信IPMAC綁定配置正確。

第10章用戶認(rèn)證10.1拓?fù)?0.2配置要求采用本地認(rèn)證方式通過定義認(rèn)證用戶控制對網(wǎng)絡(luò)資源的訪問。當(dāng)PC2用戶試圖訪問網(wǎng)絡(luò)資源時(shí)，UTM防火墻將提示用戶輸入用戶名與密碼驗(yàn)證的信息。10.3配置步驟=1\*GB3①新建用戶=2\*GB3②新建用戶組=3\*GB3③添加新用戶到新建的用戶組=4\*GB3④添加防火墻策略，啟用授權(quán)認(rèn)證=5\*GB3⑤驗(yàn)證在PC2上訪問SERVER提供的web效勞，在IE地址欄中輸入://.200輸入正確的用戶名及密碼后才允許訪問server的web效勞。在PC2上訪問SERVER提供的ftp效勞。在命令行中輸入命令ft.200訪問ftp效勞器。顯示防火墻需要驗(yàn)證，再輸入用戶認(rèn)證的用戶名和密碼。重新連接后可以登錄。用戶認(rèn)證生效。

第11章HAA-P模式11.1拓?fù)?1.2配置要求在兩臺UTM上啟動HA，采用A-P模式。11.3配置步驟=1\*GB3①先不要按照拓?fù)溥B接，只將管理用PC與UTM1相連，配置好IP地址后，進(jìn)入WEB管理頁面。=2\*GB3②在UTM1上根據(jù)業(yè)務(wù)需要配置各個(gè)接口IP地址，防火墻策略或者VPN等。=3\*GB3③在高可用性頁面配置HA參數(shù)?！敖MID〞表示該設(shè)備是否屬于同一個(gè)HA集群，所以各個(gè)同集群的HA設(shè)備應(yīng)該配置相同的“組ID〞；“設(shè)備優(yōu)先級〞是用來協(xié)商主從關(guān)系的，數(shù)值大的優(yōu)先級高；“密碼〞和“重新輸入密碼〞是HA設(shè)備認(rèn)證用的；“主設(shè)備強(qiáng)占〞一般不選擇此項(xiàng)，如果選擇了，主設(shè)備down掉后從設(shè)備切換成主，之后原主設(shè)備啟動后又會搶回主地位，這樣等于切換了兩次?！靶奶涌讪暸渲脭?shù)值表示將這個(gè)接口啟動為心跳接口來處理同步數(shù)據(jù)，UTM上可以起動多個(gè)心跳接口，數(shù)值大的接口優(yōu)先處理同步數(shù)據(jù)。“監(jiān)測接口〞上配置數(shù)值表示監(jiān)測該業(yè)務(wù)接口，這樣可以做到接口斷掉快速切換的效果?？梢耘渲孟嗤臄?shù)值。在配置完HA參數(shù)后提交設(shè)定，或者更改了配置后提交設(shè)定，設(shè)備都回有一段時(shí)間沒有響應(yīng)，頁面可能無法顯示，過一點(diǎn)時(shí)間就會正常。=4\*GB3④將PC1和UTM2單獨(dú)連接，管理接口配置和UTM1相同的IP地址，進(jìn)入WEB管理頁面。將UTM2上其他接口IP配置和UTM1相同的IP地址。而其他內(nèi)容不用配置。=5\*GB3⑤配置HA參數(shù)，只有“設(shè)備優(yōu)先級〞是64，其它和UTM1一樣。=6\*GB3⑥驗(yàn)證配置好HA參數(shù)后，將設(shè)備和PC按照拓?fù)溥B接好，進(jìn)入管理頁面查看HA集群成員，可以看到有兩臺設(shè)備正工作在HA模式下。上面的設(shè)備為主設(shè)備。此時(shí)構(gòu)建一個(gè)穿過防火墻的流量，然后關(guān)掉主設(shè)備，流量在短暫的中斷后應(yīng)該可以恢復(fù)。=7\*GB3⑦考前須知可以用命令行觀察HA運(yùn)行狀態(tài)。getsystemhadiagnosesyshastatus….id/ip/ldb_priority/cluster_idx=PV400U2905500263/.1/0/0；表示該設(shè)備是主設(shè)備id/ip/ldb_priority/cluster_idx=PV400U2905500728/.2/0/1；表示該設(shè)備是從設(shè)備在從墻上可以用命令執(zhí)行同步executehasynchronizeall可以用命令查看是否同步diagnosesyshachecksync如果同步有問題，可以嘗試重新啟動兩臺設(shè)備進(jìn)行重新協(xié)商和同步。如果HA沒有工作，可以查看兩臺設(shè)備的接口IP是否配置的一致；另外，如果兩臺設(shè)備的板卡不是同一個(gè)型號是無法進(jìn)行HA的。

第12章HAA-A模式12.1拓?fù)?2.2配置要求在兩臺UTM上啟動AH，采用A-A模式。12.3配置步驟=1\*GB3①先不要按照拓?fù)溥B接，只將管理用PC與UTM1相連，配置好IP地址后，進(jìn)入WEB管理頁面。=2\*GB3②在UTM1上根據(jù)業(yè)務(wù)需要配置各個(gè)接口IP地址，防火墻策略或者VPN等。=3\*GB3③配置HA參數(shù)，在模式處選擇“A-A〞，并選擇流量處理方式?！敖MID〞表示該設(shè)備是否屬于同一個(gè)HA集群，所以各個(gè)同集群的HA設(shè)備應(yīng)該配置相同的“組ID〞；“密碼〞和“重新輸入密碼〞是HA設(shè)備認(rèn)證用的；“心跳接口〞配置數(shù)值表示將這個(gè)接口啟動為心跳接口來處理同步數(shù)據(jù)，UTM上可以起動多個(gè)心跳接口，數(shù)值大的接口優(yōu)先處理同步數(shù)據(jù)?！氨O(jiān)測接口〞上配置數(shù)值表示監(jiān)測該業(yè)務(wù)接口，這樣可以做到接口斷掉快速切換的效果?？梢耘渲孟嗤臄?shù)值。在配置完HA參數(shù)后提交設(shè)定，或者更改了配置后提交設(shè)定，設(shè)備都回有一段時(shí)間沒有響應(yīng)，頁面可能無法顯示，過一點(diǎn)時(shí)間就會正常。=4\*GB3④將PC1和UTM2單獨(dú)連接，管理接口配置和UTM1相同的IP地址，進(jìn)入WEB管理頁面。將UTM2上其他接口IP配置和UTM1相同的IP地址。而其他內(nèi)容不用配置。=5\*GB3⑤配置HA參數(shù)，只有“設(shè)備優(yōu)先級〞是64，其它和UTM1一樣。=6\*GB3⑥驗(yàn)證配置好HA參數(shù)后，將設(shè)備和PC按照拓?fù)溥B接好，進(jìn)入管理頁面查看HA集群成員，可以看到有兩臺設(shè)備正工作在HA模式下。也可以用命令行觀察HA運(yùn)行狀態(tài)getsystemha

第13章IPSECVPNClient-GW密鑰認(rèn)證13.1拓?fù)?3.2配置要求PC1和UTM建立IPSECVPN隧道，訪問PC2。13.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址，PC1和PC2網(wǎng)關(guān)指向UTM。=2\*GB3②在UTM上配置默認(rèn)路由，網(wǎng)關(guān)指向PC1。=3\*GB3③在UTM上配置IPSEC第一階段協(xié)商參數(shù)，注意遠(yuǎn)程網(wǎng)關(guān)選擇“連接用戶〞類型。=4\*GB3④在UTM上配置IPSEC第二階段協(xié)商參數(shù)=5\*GB3⑤在UTM上配置防火墻策略，確定保護(hù)子網(wǎng)，此時(shí)注意出口地址應(yīng)選擇“any〞=6\*GB3⑥在PC1上安裝VPN客戶端，運(yùn)行翻開配置界面，增加一條隧道。=7\*GB3⑦高級選項(xiàng)中，由于不需要獲取指定IP地址，所以不用選擇“獲取IP地址〞選項(xiàng)。=8\*GB3⑧在密鑰設(shè)置中注意密鑰周期和DH組要與UTM上配置的一致。=9\*GB3⑨驗(yàn)證配置完成后，點(diǎn)擊連接按鈕可以看到協(xié)商過程并最終協(xié)商成功。此時(shí)PC1上應(yīng)該增加了一條到.0的路由信息：〔routeprint命令〕

第14章IPSECVPNClient-GW證書認(rèn)證14.1拓?fù)?4.2配置要求PC1用vpn客戶端以證書認(rèn)證方式同防火墻建立vpn隧道。14.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址。=2\*GB3②安裝聯(lián)想證書管理軟件，運(yùn)行，導(dǎo)出CA根證書。=3\*GB3③將根證書分別導(dǎo)入到UTM和客戶端中。=4\*GB3④分別在客戶端和UTM上生成證書請求文件并導(dǎo)出。=5\*GB3⑤將UTM和客戶端的證書請求文件導(dǎo)入到聯(lián)想證書管理軟件中，生成證書后導(dǎo)出。密鑰默認(rèn)為“111111”。=6\*GB3⑥將導(dǎo)出的證書分別導(dǎo)入到客戶端和UTM中。=7\*GB3⑦在UTM上配置VPN和防火墻加密策略，第一階段協(xié)商采用RSA認(rèn)證。=8\*GB3⑧在VPN客戶端創(chuàng)立隧道。=9\*GB3⑨驗(yàn)證在客戶端上點(diǎn)連接按鈕，可以看到協(xié)商成功提示信息。

第15章IPSECVPNGW-GW與Cisco互通15.1拓?fù)?5.2配置要求Cisco和UTM建立IPSECVPN隧道，保護(hù)子網(wǎng)分別是15.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址，PC1的網(wǎng)關(guān)指向Cisco路由器，PC2的網(wǎng)關(guān)指向UTM。=2\*GB3②在UTM上配置默認(rèn)路由網(wǎng)關(guān)指向Cisco。=3\*GB3③在UTM配置IPSECVPN第一階段協(xié)商參數(shù)，預(yù)共享秘鑰為“11111111”，DH組選擇2，加密和驗(yàn)證算法選擇3DES-MD5。=4\*GB3④在UTM配置第二階段協(xié)商參數(shù)=5\*GB3⑤在UTM上創(chuàng)立本地子網(wǎng)和對端子網(wǎng)的地址列表資源=6\*GB3⑥在UTM上，添加防火墻策略，配置本地保護(hù)子網(wǎng)和對端保護(hù)子網(wǎng)。=7\*GB3⑦在Cisco路由器上配置與UTM對應(yīng)的IPSECVPN參數(shù)。cryptoisakmppolicy10encr3deshashmd5authenticationpre-sharegroup2lifetime28800cryptoisakmpkey11111111addresscryptoipsectransform-settoutmipsecesp-3desesp-md5-hmaccryptomaputmmap10ipsec-isakmpsetpeersettransform-settoutmipsecmatchaddress111iproute.0access-list111permitip.0.255interfaceFastEthernet0/0duplexautospeedautocryptomaputmmap=8\*GB3⑧驗(yàn)證在UTM上啟動隧道后，可看見隧道建立成功。=9\*GB3⑨考前須知如果把Cisco路由器換成PowerV防火墻，由于我們的IPSECVPN配置沒有DH組配置，默認(rèn)都是group2。所以在UTM上配置時(shí)關(guān)于DH組都要選擇group2。

第16章IPSECVPNGW-GW證書與POWERV400防火墻互通16.1拓?fù)?6.2配置要求UTM和PowerV400防火墻建立IPSECVPN，采用證書方式。16.3配置步驟一、按照拓?fù)渑渲煤肐P地址=1\*GB3①PC1和PC2網(wǎng)關(guān)指向POWERV400和UTM防火墻。=2\*GB3②將POWERV400墻上的fe3口綁定到ipsec0上。二、證書的配置=1\*GB3①在管理PC上安裝聯(lián)想證書管理軟件，運(yùn)行，使用聯(lián)想CA系統(tǒng)，導(dǎo)出CA根證書。=2\*GB3②將CA根證書分別導(dǎo)入POWERV400和UTM防火墻。=3\*GB3③分別在POWERV400和UTM上生成證書生成請求，并導(dǎo)出。=4\*GB3④分別將UTM和POWERV400的證書生成請求導(dǎo)入到聯(lián)想證書管理軟件中。=5\*GB3⑤導(dǎo)入請求后，選擇相應(yīng)的證書生成請求分別生成證書，CA口令默認(rèn)“111111”，導(dǎo)出證書。=6\*GB3⑥導(dǎo)出的證書分別導(dǎo)入到POWERV400和UTM中。=7\*GB3⑦將UTM的本地證書導(dǎo)入到POWERV400中。三、VPN的配置=1\*GB3①將POWERV400和UTM的默認(rèn)網(wǎng)關(guān)互指。=2\*GB3②在POWERV400上配置VPN參數(shù)，認(rèn)證方式選擇證書。=3\*GB3③在UTM上配置VPN參數(shù)，認(rèn)證方式采用RSA。四、在UTM上配置防火墻加密策略，啟用隧道。五、驗(yàn)證在UTM上啟動隧道后，可看見隧道建立成功。

第17章PPTP17.1拓?fù)?7.2配置要求PC1通過PPTP連接UTM。17.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址=2\*GB3②在UTM上配置用戶和用戶組=3\*GB3③啟用PPTP效勞=4\*GB3④驗(yàn)證在PC1上建立vpn撥號連接，連接PPTP。應(yīng)該可以連接成功，連接成功后PC1分配到虛擬地址。

第18章IPS18.1拓?fù)?8.2配置要求啟用IPS功能，阻止PC2對PC1進(jìn)行的synflood攻擊。18.3配置步驟=1\*GB3①按照拓?fù)渑渲肐P地址，PC1，PC2網(wǎng)關(guān)指向UTM。=2\*GB3②創(chuàng)立保護(hù)內(nèi)容列表，啟動IPS功能。=3\*GB3③在IPS配置中配置SYNFlood處理方式。注意，為了看到效果，閾值可以設(shè)置的小一點(diǎn)，這里配置為20。=4\*GB3④配置從port6到port5的防火墻策略，啟動IPS保護(hù)列表。=5\*GB3⑤驗(yàn)證在PC2用攻擊軟件對PC1進(jìn)行SYNFlood攻擊。同時(shí)在PC1上抓包，當(dāng)發(fā)了一會兒攻擊后，攻擊包被UTM阻截了。

第19章IPS阻止QQ，MSN，BT流量19.1拓?fù)?9.2配置要求UTM通過ADLS連接Internet，PC1通過UTM上網(wǎng)，在UTM上配置策略阻止PC1上QQ，MSN，BT。19.3配置步驟=1\*GB3①按照拓?fù)渑渲肞C和UTM的IP地址，PC網(wǎng)關(guān)指向UTM，并配置可用DNS。=2\*GB3②在UTM上的port4接口配置PPP連接=3\*GB3③在UTM上創(chuàng)立針對P2P的內(nèi)容保護(hù)列表。=4\*GB3④在UTM上配置IPS預(yù)定義特征，包括IM和P2P，將動作配置為丟棄。=5\*GB3⑤在防火墻策略中創(chuàng)立從por1到por4的NAT策略，并啟用p2p內(nèi)容保護(hù)列表。=6\*GB3⑥驗(yàn)證PC1可以上網(wǎng)瀏覽網(wǎng)頁，但不能登錄QQ，MSN和用BT下載。

第20章病毒檢查20.1拓?fù)?0.2配置要求在UTM上啟用病毒檢查功能，阻止PC1發(fā)