網(wǎng)御安全系統(tǒng)power v功能使用手冊(cè)

導(dǎo) ICMP服務(wù)配 功能概 允許 端口映射及IP映射規(guī)則配 4.2防 4.2.1防護(hù)策 4.2.3...........................................................................................................................4.2.4 4.3防 4.3.1防護(hù)策 IPS云防護(hù).......................................................................................................... 抗掃 WEB應(yīng)用防 白....................................................................................................................... URL過(guò)濾策 URL過(guò)濾策 自定義 應(yīng)用協(xié)議黑白................................................................................................... IPSEC隧 IKE密鑰交 添加規(guī) 添加IKE配 客戶端的配置方法 7.4.1規(guī)則的設(shè)置方法 IKE配置的設(shè)置方法 DHCPOVERIPSEC的配置方法 星形部 隧道與安全規(guī)則的關(guān)系 配置方 L2TPOVERIPSEC穿越SNAT配置方 添加規(guī) 添加IKE配 配置WINDOWSL2TP客戶 動(dòng)態(tài)配置方 如何3322.ORG的動(dòng)態(tài).....................................................................................GRE隧道中 GRE配置步 MGRE配置步 總 新建B/S服 新建C/S服 新建角 服務(wù)角 服務(wù)角 角色用 用戶服 用戶B/S服 用戶C/S服 HA和LFRP概 LFRP和網(wǎng)御安全網(wǎng)關(guān)的工作模 LFRP自身的HA工作模 LFRP集群的配置同 LFRP集群的會(huì)話保護(hù)協(xié) LFRP集群的路徑..............................................................................................LFRP集群的負(fù)載均衡技 范例一：?jiǎn)谓粨Q機(jī)節(jié)點(diǎn)下的主動(dòng)-主動(dòng)LFRP集 范例二：雙交換機(jī)節(jié)點(diǎn)下的主動(dòng)-主動(dòng)LFRP集 注意事 VRRP配 VRRP同步配 范例 概 WEB登錄基本使用指 登 第應(yīng)用--使用第建立PPTP隧 IPV6地址概念及配置方 IPV6服務(wù)概念及配置方 三網(wǎng)口多VLAN環(huán) 兩組端口間連接狀態(tài)同步 兩組端口間連接狀態(tài)同步 18.1常見(jiàn)問(wèn)題解 配置POWERV的基本過(guò)程是怎樣的 VLAN“PPPOE“WIFI” 為什么選擇了按網(wǎng)口探測(cè)網(wǎng)絡(luò)上的MAC地址會(huì)探測(cè)不到內(nèi)容 OSI參考模型概 網(wǎng) 協(xié) IP地 路 端 附錄：IP協(xié)議號(hào)列 第1PowerVPowerV管理員手冊(cè)中的一本。該手冊(cè)介紹了如何使用網(wǎng)御安全網(wǎng)關(guān)PowerV系列的比較復(fù)雜的功能和典型應(yīng)用。本手冊(cè)適用于負(fù)責(zé)支持、的安全管理員，是進(jìn)行網(wǎng)御安全網(wǎng)關(guān)PowerTCP/IP協(xié)議，IPPowerVPowerV，不再說(shuō)PowerV《網(wǎng)御安全系統(tǒng)PowerVPowerV第2章地址、服務(wù)、時(shí)2-1可以按三種方式來(lái)定義地址：IPIP1IP2；排除地址2-2新建IP/MASK自動(dòng)用IP和掩碼進(jìn)行運(yùn)算，添加成功的為一個(gè)網(wǎng)段。例如：輸入2/，則添加成功后變IP1IP22-3地址組用于“”中的下拉菜單中的“策略。2-4新建2-52-6新建IP1IP2NAT254IPIPA，B，C備后，才可以使地址池的NAT地址轉(zhuǎn)換規(guī)則起到地址轉(zhuǎn)換的作用。在定義“”下拉菜單”策略”之前，一般需要按照特定的原則定義服務(wù)資源，預(yù)定義服務(wù)定義了一些常用的服務(wù)，不可以修改，刪除，只可以被2-7預(yù)定義服務(wù)2-82-9icmpicmp2-10icmp服務(wù)icmp2-11icmp服務(wù)類型代碼2-122-130080TCP和UDP協(xié)議必須指定端口口和高端口必須成對(duì)出現(xiàn)，若口0-65535，表示所有端口。其它協(xié)議需要指定協(xié)議號(hào)，協(xié)議號(hào)范圍為0-255，若該協(xié)議有端口的概，，2-14ICMP2-15“ICMP2-162-17例如：2006/10/0100:00:002019/10/0723:59:59止所有內(nèi)部主機(jī)外部INTERNET。則可在時(shí)間定義中定義一條例如：需要實(shí)現(xiàn)這樣的功能：在工作時(shí)間所有WEB瀏覽。則可以設(shè)“any“HTTP“worktime2-182-19列出所有在“”下拉菜單中的“時(shí)間”中定義的時(shí)間安全域主要解決了對(duì)應(yīng)用層協(xié)議的管理控制問(wèn)題并且對(duì)網(wǎng)絡(luò)能夠起到防護(hù)作用，增強(qiáng)了性。2-202-21第3策略中包含用于濾的安全策略和用于網(wǎng)絡(luò)地址轉(zhuǎn)換的NAT類策略。安全策略：的安全策略有兩種：允許和。制定符合安全需求的策略是保證安全網(wǎng)關(guān)真正起到“防火”作用的基礎(chǔ)。配置錯(cuò)誤的安全規(guī)則不僅會(huì)使安全網(wǎng)關(guān)，甚至有可能妨礙對(duì)網(wǎng)絡(luò)正常功能的使用IPIP提供對(duì)外公開(kāi)的服務(wù)，將用戶對(duì)某個(gè)外部公開(kāi)地址的轉(zhuǎn)換到另一個(gè)內(nèi)部地址3-13-2進(jìn)入“>>策略>>NAT策略”進(jìn)行NAT類策略配置3-3NAT3-4SNAT“的接口，以及PPPOE接口，若需要關(guān)聯(lián)SNAT規(guī)則，強(qiáng)烈建議使用“”動(dòng)作。3-5““IPIP3-6IP第4一般的單一的的網(wǎng)絡(luò)結(jié)合了等其他來(lái)全方位地滲透到企業(yè)合協(xié)議控制檢查和反郵件掃描達(dá)到對(duì)企業(yè)內(nèi)部網(wǎng)的全方位防護(hù)。4.2防4.2.1防護(hù)策板，分別為標(biāo)準(zhǔn)防護(hù)模板、WEB防護(hù)模板和標(biāo)準(zhǔn)檢測(cè)模板，分別對(duì)應(yīng)用戶的不同需求。圖2-1顯示的是防護(hù)策略列表。圖4-1防護(hù)策略界考使用。新建AV策略時(shí)，可以這些策略模板，然后對(duì)新策略進(jìn)行適當(dāng)修改，即可構(gòu)建文件過(guò)濾器的主要功能是根據(jù)用戶設(shè)置的緩存文件大小文件后綴名和白單后綴名，對(duì)相應(yīng)的文件進(jìn)行與允許等操作。文件過(guò)濾器界面如下圖所示表4-1文件過(guò)濾配置項(xiàng)說(shuō)文件后綴“any”文件白后綴“none”4.2.3的主要功能是根據(jù)用戶的設(shè)置將掃描到的文件到USB或者的文件到USB中；主機(jī)項(xiàng)只對(duì)內(nèi)核有效，勾選“發(fā)送者至黑名件進(jìn)行操作，設(shè)置時(shí)間，單位為分鐘，0代表永久。4.2.4圖4-2庫(kù)設(shè)置界用戶需要輸入名稱和特征，名稱名規(guī)則是1-64位長(zhǎng)度的字符、數(shù)字、中圖4-3自定義特征設(shè)置界4-4AV云防護(hù)的主要功能是將檢測(cè)到的信息上傳至云防護(hù)中心，供安全I(xiàn)nternet。4.3防4.3.1防護(hù)策護(hù)模板和Windows環(huán)境防護(hù)模板用戶可以通過(guò)這些模板針對(duì)不同的網(wǎng)絡(luò)環(huán)境和實(shí)要定義防護(hù)策略，并在的安全策略中生效。表4-2防護(hù)策略配置項(xiàng)說(shuō)：，特征組名稱如下控制，木馬后門(mén)，CGI，CGI服務(wù)，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，：，保存報(bào)文時(shí)，會(huì)按照時(shí)間順序循環(huán)覆蓋已的報(bào)文文件并可以將要被覆蓋的文件上傳到表4-3場(chǎng)景保留配置項(xiàng)說(shuō)設(shè)置在U盤(pán)中的文件上限，單位是每個(gè)報(bào)0服務(wù)器FTPIP，IPSInternet。4-5如果該條特征是失效狀態(tài)，則防護(hù)策略中即使啟用了該特征，將不會(huì)起作用。同樣，如果該條特4-6反郵面對(duì)日益增多的郵件對(duì)用戶的干擾安全網(wǎng)關(guān)通過(guò)反郵件系統(tǒng)有效的對(duì)郵件進(jìn)行適合用戶需求的多樣化處理，很大程度上減少了郵件的干擾。目前，反郵件系統(tǒng)的主要功能有 郵件服務(wù)器IP地址功能：通過(guò)設(shè)置郵件服務(wù)器，然后開(kāi)啟此功能，反郵件系統(tǒng)可以將來(lái)自IP地址的郵件視為郵件處理。 以將來(lái)自該地址的郵件視為郵件處理。 統(tǒng)可以將擁有該關(guān)鍵字的郵件視為郵件處理。擁有該附件文件名關(guān)鍵字的郵件視為郵件處理。該附件文件名關(guān)鍵字的郵件視為郵件處理。該限制的郵件視為郵件處理。連接頻率檢查：通過(guò)設(shè)置連接頻率，反郵件系統(tǒng)將限制同個(gè)IP在一定時(shí)間內(nèi)連接收件人數(shù)量超過(guò)該限制的郵件視為郵件處理。為該發(fā)件人的郵件不是郵件。openrelay：當(dāng)反郵件系統(tǒng)檢測(cè)到郵件的收信人不在指定本地服務(wù)器服務(wù)范圍內(nèi)在郵件中加入郵件標(biāo)示(當(dāng)檢測(cè)到郵件時(shí))：開(kāi)啟此功能，反郵件系統(tǒng)在確定為郵件的郵件中加入郵件的標(biāo)示。發(fā)送日志(當(dāng)檢測(cè)到郵件時(shí))：開(kāi)啟此功能，反郵件系統(tǒng)在檢測(cè)到郵件時(shí)將向安全網(wǎng)關(guān)日志系統(tǒng)發(fā)送日志用戶可以通過(guò)狀態(tài)的日志查看功能查看郵件信4-7旁路表4-4檢測(cè)模式策略配置項(xiàng)說(shuō)LINUX環(huán)境防護(hù)策略模板，WINDOWS環(huán)境防護(hù)策略模板，防護(hù)檢測(cè)設(shè)置防護(hù)策略，采用防護(hù)提供的策略配置，默認(rèn)提供WEB圖4-8檢測(cè)模式配抗掃描的主要功能是檢測(cè)中是否存在對(duì)內(nèi)網(wǎng)的掃描若檢測(cè)到存在掃郵件，添加，設(shè)置的阻斷時(shí)間等操作；同時(shí)，可以在白下添加白4-94-104-5設(shè)置對(duì)中的IP地址的阻斷時(shí)間4-114-6勾選則添加發(fā)生主機(jī)掃描的源IP到設(shè)置對(duì)中的IP地址的阻斷時(shí)間在白下可以添加白地址或者地址組，從而實(shí)現(xiàn)允許白對(duì)系統(tǒng)的操作圖4-12白配置界WEBWEBHTTP/HTTPSWeb應(yīng)用提供保護(hù)的。目前主要是針對(duì)SQL注入防護(hù)及XSS防護(hù)進(jìn)行檢測(cè)，若檢測(cè)到存在該類則依據(jù)用戶的設(shè)置進(jìn)行相應(yīng)的防護(hù)策略，其中防護(hù)側(cè)率包括：允許或阻斷。SQLSQLServer、Oracle、MySQL、DB2及其它五種。WEBWEB應(yīng)用的防護(hù)措施，極大的提供了WEB應(yīng)用的安全性。WEB應(yīng)用防護(hù)功能配置包括SQL注入防護(hù)及XSS防護(hù)配置，如下圖所示4-13WEB其中，SQL4-14SQL4-7SQLSQLSQLServer、Oracle、MySQL、DB2OtherSQLXSS防護(hù)配置界面如下圖所示圖4-15XSS防護(hù)配置界表4-8XSS防護(hù)配置項(xiàng)說(shuō)使用啟用XSS防護(hù)AP（AdvancedThreat的私有云模塊會(huì)根據(jù)用戶配置的防護(hù)策略，將經(jīng)過(guò)傳輸?shù)奈募€原并上傳至POPIMAP，用戶可以根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境和應(yīng)用組織適當(dāng)?shù)姆雷o(hù)策略，以達(dá)到高效合理別為標(biāo)準(zhǔn)云防護(hù)模板、WEB云防護(hù)模板和標(biāo)準(zhǔn)云檢測(cè)模板，分別對(duì)應(yīng)用戶的不同需求。圖2-1顯示的是云防護(hù)策略列表。4-166文件過(guò)濾器的主要功能是根據(jù)用戶設(shè)置的緩存文件大小文件后綴名和白名單后綴名，對(duì)相應(yīng)的文件進(jìn)行與允許等操作。文件過(guò)濾器界面如下圖所示：1M。4-97“白白功能允許用戶配置可信任的文件及來(lái)源對(duì)于匹配的文件均認(rèn)為是可信任4-18利用私有云服務(wù)器的強(qiáng)大分析及能力通過(guò)檢測(cè)的所有文件信息均可以在云服務(wù)器上統(tǒng)計(jì)及查詢，用戶通過(guò)上提供的超即可云服務(wù)器。第5URLURL過(guò)濾策略或也可直接模板。在配置完成后，需在>>策略>>安全策略中，在新建安全策略>>防URLURLURL3種策略模板，分別是標(biāo)準(zhǔn)配置模板，阻斷配置模板，5-1URLURL，URL進(jìn)行動(dòng)作配置，如日志、阻斷、告警等。5-2通過(guò)對(duì)頁(yè)面關(guān)鍵字學(xué)習(xí)，而判定該URL所屬的組別，達(dá)到滿足用戶控制需求，同時(shí)允許URL更精確的分類。圖5-3智能學(xué)字配2種策略模板，分別是標(biāo)準(zhǔn)配置模板和阻斷配置模應(yīng)用特征日志與功能在模板中包含豐富的特征組特征組中包含相應(yīng)一系列的特征項(xiàng)，其中特征值有P2P，P2P，IM即使通訊，，炒股類軟件，常用協(xié)議WEB2.0特質(zhì)組。5-4，特征組名將顯示該組下所有的特征，用戶可點(diǎn)擊或進(jìn)行編輯和分別代表當(dāng)前的，支持只報(bào)日志不的功能。5-5控制達(dá)到使用戶可以安全的使用FTP，HTTP，SMTP，POP3上網(wǎng)文件。5-1HTTP命令，選擇允許則表示對(duì)選中令允許通過(guò)，則相URLURL過(guò)，則相制MIME表5-2FTP對(duì)FTP的用戶進(jìn)行控制，允許的用戶可以通過(guò)FTP服務(wù)，對(duì)上傳的文件類別進(jìn)行控制，列表允許的類型可以上傳，的不對(duì)的文件類別進(jìn)行控制，列表允許的類型可以，的不對(duì)選擇的文件名進(jìn)行控制，允許表示對(duì)選擇的內(nèi)容允許通過(guò)，Banner5-3SMTP過(guò)，則相過(guò)，則相郵件關(guān)字對(duì)選擇的郵件關(guān)鍵字進(jìn)行控制，選擇允許則表示對(duì)選中的內(nèi)容許通過(guò)，則相IP過(guò)，則相郵件防置5-4POP3過(guò)，則相過(guò)，則相郵件關(guān)字對(duì)選擇的郵件關(guān)鍵字進(jìn)行控制，選擇允許則表示對(duì)選中的內(nèi)容許通過(guò)，則相5-5允許或指定用戶名組對(duì)指定數(shù)據(jù)庫(kù)命令允許或表5-6OPC接收郵件總數(shù)，IMAP接收郵件總數(shù)，F(xiàn)TP網(wǎng)頁(yè)數(shù)等。第6、、、提供具體審計(jì)項(xiàng)的配置，勾選開(kāi)啟相應(yīng)審計(jì)項(xiàng)才能進(jìn)行審計(jì)。HTTPHTTP外發(fā)、上傳，F(xiàn)TP協(xié)議支持上傳文件及命令審計(jì)，郵件協(xié)議支持SMTP、POP3收發(fā)郵件，支持NET命令審計(jì)，支持主流數(shù)據(jù)庫(kù)的操作動(dòng)作審計(jì)。、6-16-2 是一種本地計(jì)算機(jī)與計(jì)算機(jī)通過(guò)廣域網(wǎng)或其他公共信道進(jìn)行安全通信 客戶端建立。這樣計(jì)算機(jī)和本地計(jì)算機(jī)就可以組成一個(gè)更大的局域網(wǎng)，他們的通Internet，但是使用隧道這種技術(shù)，私有網(wǎng)絡(luò)的通信可以安全地在加密隧道中傳 在于建立IPSec隧道的兩臺(tái)安全網(wǎng)關(guān)或者安全網(wǎng)關(guān)與 （SPIESPABABA: B:7-1SAIP數(shù)據(jù)包頭，將加密數(shù)據(jù)包發(fā)出。此加密數(shù)據(jù)包只能由B安全網(wǎng)關(guān)才能。這樣就等于在Internet上形成了接IPSec用戶-局域網(wǎng)隧道：BIPSecA,A/24IPSecAA B 局域網(wǎng)數(shù) 局域網(wǎng)數(shù)圖7- 隧可以從上圖看出IPSec用戶A到局域網(wǎng)B的數(shù)據(jù)在經(jīng)過(guò)主機(jī)上安裝的客戶端時(shí)，客戶端根據(jù)隧道SA的屬性對(duì)數(shù)據(jù)包進(jìn)行加密等安全操作后，封裝新的IP數(shù)據(jù)包頭，將加密數(shù)據(jù)包發(fā)出。此加密數(shù)據(jù)包只能由B安全網(wǎng)關(guān)才能。這樣就等于在Internet上形成了接兩個(gè)局域網(wǎng)的不透明隧道。IKE密鑰交換協(xié)議）完成的。網(wǎng)御支持用預(yù)共享密鑰、、公鑰數(shù)字信封三種認(rèn)證方信雙方知道，所以可以通過(guò)它完成互相的認(rèn)證。用建立隧道是中所包含的。用公鑰數(shù)字信立隧道時(shí)密鑰對(duì)本端的Ni，ID進(jìn)行加密。當(dāng)對(duì)方時(shí)，先用私鑰出對(duì)方的臨時(shí)密鑰，然后由臨時(shí)密鑰算出對(duì)方的ID和Ni。這時(shí)候就可以驗(yàn)證對(duì)方的驗(yàn)證。IKESAIKESA。在這一階段，有兩種交密鑰、DH組、IKESA生存期；對(duì)于公鑰數(shù)字信封來(lái)說(shuō)，協(xié)商出加密認(rèn)證算法、密鑰、IKESASA提案，IP地址對(duì)于公鑰數(shù)字信封的認(rèn)證方式發(fā)起者先用對(duì)端公鑰對(duì)發(fā)起者臨時(shí)密鑰進(jìn)IKESA。鑰交換請(qǐng)求、以及ID組成。響應(yīng)者選擇可接受的SA提案，并響應(yīng)協(xié)商密鑰請(qǐng)求，認(rèn)IKESA。經(jīng)過(guò)第一階段，兩個(gè)之間建立了一個(gè)安全可信的信道。他們之間可以開(kāi)始第二段密鑰交換，協(xié)于加密通信的IPSecSA。在第二階段只有一種交換模式，快速模AH，IPSecSA生存期，加密認(rèn)證算法等，在第一個(gè)消息中還可以提起一個(gè)完美向前請(qǐng)求，那么就響應(yīng)DH密鑰交換，確定，也就是檢查是否允許某兩個(gè)IP地址或子IPSecSA的建立，也就建立了隧道。添加規(guī)的協(xié)議。規(guī)則是提供給第二階段的ipsec所使用的。協(xié)議可以是默認(rèn)類型或者自定義形式。地址可以配置為A.B.C.D/M或者為A.B.C.D/等類似的地址形式地址組的id來(lái)源于->地址->地址7-3圖7-4添加地址類型地址的形 圖7-5添加地址組類型地址的形 規(guī)IKE添加IKE配置，這里所設(shè)置的參數(shù)均為生成第一階段IKESA使用。設(shè)置對(duì)端享密鑰、預(yù)共享密鑰或以及野蠻模式中的ID、加密認(rèn)證算法組合。受到對(duì)端IKE配置網(wǎng)關(guān)地址時(shí)有一些方法。對(duì)端IP地址、ADSLIPNAT接入。1IP地址接入的IP2、對(duì)方是ADSL動(dòng)態(tài)IP地址接入的：可以使用對(duì)方的，也可以設(shè)置對(duì)方3NAT接入的7-67-7IKE支持兩種認(rèn)證方式，預(yù)共享密鑰與。預(yù)共享密鑰有一個(gè)特點(diǎn)，它是由兩個(gè)IP地址或之間共享，或者由野蠻模式用戶名與IP地址或之間共享。還有一種比較特殊的預(yù)共享密鑰叫默認(rèn)預(yù)共享密鑰，提供給所有沒(méi)有IP地址、與沒(méi)有野蠻模式用戶名的全局共享。由以上的特點(diǎn)可以看出，兩個(gè)有固定IP或的之間可以使用主模式、設(shè)置預(yù)共鑰交換，設(shè)置自身的野蠻模式用戶名以及這個(gè)用戶名與對(duì)方IP的預(yù)共享密鑰。式。以上的情況都可以采用主模式交換、（公鑰數(shù)字信封）認(rèn)證方式。IPSecSA使用。還是AH協(xié)議、是否進(jìn)行壓縮。還有是否啟用、是否主動(dòng)參數(shù)。如果啟動(dòng)，在隧道中就可以看到這條剛添加的隧道，可以對(duì)其進(jìn)行啟動(dòng)停止操作。IKEIKESA所需的所有配置。因?yàn)榻⑺淼赖膭?dòng)作是在第二階段完成的，這時(shí)已經(jīng)有了IKESA，也就是有了一個(gè)的可信信道。這一階段只關(guān)心隧道的IPSecSA使用什么樣的方式（AH或ESP，加密認(rèn)證算法、是否壓縮、對(duì)PFS時(shí)進(jìn)行新的密鑰交換。7-87-9和設(shè)置局域網(wǎng)-局域網(wǎng)隧道一樣，首先都是添加對(duì)于客戶端的規(guī)則，可以支持地址組和地址的形式，其配置的方式和網(wǎng)關(guān)的配置/0；如果知道客戶端接入的ip地址的時(shí)候，建議對(duì)端保護(hù)地址為相應(yīng)的具體網(wǎng)段。圖7-10添加提供給客戶端隧道 規(guī)IKE因 客戶端的地址一般不確定，選擇使用認(rèn)證方式選擇：因?yàn)榭蛻舳说牡刂凡淮_定，如果使用主模式，預(yù)共享密鑰可以用安全網(wǎng)關(guān)的默認(rèn)預(yù)共享密鑰或自定義的共享密鑰?？蛻舳艘部梢允褂靡靶U模式用戶名的方式，這樣在設(shè)置時(shí)就可以設(shè)置這個(gè)用戶名與安全網(wǎng)關(guān)IP之間的預(yù)共享密鑰。如果使用主模式，也可以使用方式。7-117-12IKEIPSecSA使用什么樣的保向前是默認(rèn)開(kāi)啟的，客戶端隧道是關(guān)閉的。7-137-14DHCPoverIPSecIP最簡(jiǎn)單的方法是手工在客戶端指定，但這種方法用戶很容易IP，這大大增加了網(wǎng)絡(luò)管理員的工作量和難度。IPSecDHCP服務(wù)器。首先在DHCPoverIPSecDHCP中繼服務(wù)器地址，如果使用DHCP。如果使用內(nèi)部網(wǎng)絡(luò)的DHCPDHCP服務(wù)器地址。選擇從安全網(wǎng)關(guān)到達(dá)DHCP服務(wù)器的設(shè)備，如果選用安全網(wǎng)關(guān)的DHCP服務(wù)器，選擇“l(fā)o”接口。如果使用安全網(wǎng)關(guān)的DHCP服務(wù)器為客戶端分配地址，請(qǐng)配置安全網(wǎng)關(guān)IPSec7-15DHCP7-16IPSECDHCPRADIUS，PAPCHAP。依賴于一個(gè)安全機(jī)制(例如一個(gè)外部的RADIUS服務(wù)器)來(lái)要求用戶提供他們的用戶名和密碼。XAuth發(fā)生在第一階段和第二階段之間的。。隧道組的配置就是多條網(wǎng)關(guān)隧道同一 隧道同時(shí)通信，這使用在多個(gè)網(wǎng)絡(luò)提供商的情況下，如電信，雙網(wǎng)接入的情況下。7-17ipsec隧道的保護(hù)。7-18ESP 用預(yù)共享密鑰做認(rèn)證方式的話，可以使用基本設(shè)置中的默認(rèn)預(yù)共享密鑰或者IKE中配置的預(yù)共享密鑰。但在實(shí)際使用的是在IKE中配置的預(yù)共享密鑰。進(jìn)行密鑰交換時(shí)可以得到對(duì)方的ID。所以在處理網(wǎng)關(guān)以及客戶端時(shí)，使用野蠻模式可以分別為每?jī)蓚€(gè)之間設(shè)置預(yù)共享密鑰。IP地址的安全網(wǎng)關(guān)作為中心安全網(wǎng)關(guān)。如果兩臺(tái)安全網(wǎng)關(guān)要建立隧道的話不再和需要通信的對(duì)方建立隧道而都是和中心安全網(wǎng)關(guān)建立隧道。A安全網(wǎng)關(guān)。SubnetBB安全網(wǎng)關(guān)上建立與中心安全網(wǎng)關(guān)的保護(hù)子網(wǎng)SubnetA的隧道。其實(shí)中心安全網(wǎng)關(guān)并沒(méi)有保護(hù)子網(wǎng)，但是它充當(dāng)中心轉(zhuǎn)發(fā)AB通過(guò)中心安全網(wǎng)關(guān)建立隧道的目標(biāo)?！癐PSEC，不再通過(guò)物理網(wǎng)口轉(zhuǎn)發(fā)，而是進(jìn)入隧道。如果您允許隧道對(duì)方你的網(wǎng)絡(luò)，那么還需要在濾中加入反方向的規(guī)則動(dòng)作為“IPSECPPTP/L2TP配置方PPTP和L2TP是二層隧道的協(xié)議，為主機(jī)通過(guò)網(wǎng)關(guān)企業(yè)內(nèi)部網(wǎng)絡(luò)提供鏈路網(wǎng)御安全網(wǎng)關(guān)可以配置為PPTP/L2TP網(wǎng)關(guān)主機(jī)就可以通過(guò)Windows98/2000/XP/2003PPTPL2TP連接企業(yè)內(nèi)部網(wǎng)絡(luò)。，在安全網(wǎng)關(guān)的基本配置中啟用PPTP/L2TP服務(wù)。添加撥號(hào)用戶后主機(jī)就可以通過(guò)Windows98/2000/XP/2003四種操作系統(tǒng)使用PPTP和L2TP連接企業(yè)，如何配置安全網(wǎng)關(guān)為PPTP/L2TP網(wǎng)關(guān)，可以參考《網(wǎng)御安全網(wǎng)關(guān)PowerVWeb面操作手冊(cè)》中配置一章。下面敘述如何在Windows的各平臺(tái)上配置PPTP/L2TP遠(yuǎn)Windows98Windows98PPTPL2TP，，擇廠商“，網(wǎng)絡(luò)適配器“虛擬網(wǎng)絡(luò)適配器。“l(fā)eadsec Adapter，單擊”下一步”，輸入PPTP網(wǎng)關(guān)的IP地址。Windows2000/XP/2003常復(fù)雜而且各不相同。為了簡(jiǎn)化配置，修改表將L2TP和IPSec拆分：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters下添加DWORD項(xiàng)：ProhibitIpSec1。在Windows的網(wǎng)絡(luò)與撥號(hào)連接中新建網(wǎng)絡(luò)連接，選擇“連接到網(wǎng)絡(luò)（在Windows2003中是“連接到我工作場(chǎng)所的網(wǎng)絡(luò)，然后選擇“虛擬網(wǎng)絡(luò)連接。為此連接命名，可以隨意命名，如企業(yè)名稱。然后輸入PPTP/L2TP網(wǎng)關(guān)的地址，這就完成了一個(gè)、現(xiàn)在就可以輸入用戶名進(jìn)行PPTP/L2TP撥號(hào)了用戶名 在、網(wǎng)關(guān)上設(shè)置。如果PPTP/L2TP網(wǎng)關(guān)的配置與Windows的默認(rèn)配置不同那么就需要行高級(jí)配置。您需要在“網(wǎng)絡(luò)連接”中打開(kāi)這個(gè)網(wǎng)絡(luò)連接的屬性界面。Windows圖7-19 圖7-20 擇“要求數(shù)據(jù)加密（沒(méi)有就斷開(kāi)。在使用加密的情況下，建議使用PPTP/L2TP網(wǎng)關(guān)”種認(rèn)證選項(xiàng)，Windows的 圖7-21 L2TPoverIPSECSNAT計(jì)算機(jī)客戶端通過(guò)L2TPoverIPSEC穿越源NAT設(shè)備L2TP服務(wù)器，網(wǎng)絡(luò)拓?fù)淙?-22L2TPoverIPSECSNAT 添 規(guī)則，規(guī)則用途選擇L2TPoverIPSEC，對(duì)端保護(hù)網(wǎng)絡(luò)設(shè)為/0圖7-23添 IKEIKE7-24選擇本地出口、綁定的IKE和關(guān)聯(lián)的規(guī)則，創(chuàng)建客戶端隧道7-257-26l2tpwindowsL2TP在windows運(yùn)行中輸入regedit進(jìn)入表圖7-27運(yùn)行ProhibitIPSec0或者直接刪除。圖7-28修改配置完表后，就可按照“PPTP/L2TP 配置方法”配置windowsL2TP客IP地址，然后才有可能向它發(fā)送密ADSL的安全網(wǎng)關(guān)建立隧道，那么您就需要使用動(dòng)態(tài)域 的免費(fèi)動(dòng)態(tài)，要配置動(dòng)態(tài)，您需要做如下準(zhǔn)1、首先 用戶2、在用戶中添加可管理的免費(fèi)然后“網(wǎng)絡(luò)管理“服務(wù)器處設(shè)置任意一個(gè)Internet服務(wù)器如。在“網(wǎng)絡(luò)配置”的“接口管理，撥號(hào)接口配置界面中，選擇“開(kāi)啟動(dòng)態(tài)，設(shè)置在用戶中添加的7-29IPDNS注：只有物理接口、鏈路聚合接口和PPPoE支持動(dòng)態(tài)的配置，且只有在理由模式7-307-31PPPOE用此與其建立隧道。1、時(shí)在您使用作為認(rèn)證方式時(shí)，在所有的操作之前，您必須將要操作的安全網(wǎng)關(guān) 管理器的安裝主機(jī)的時(shí)間設(shè)置成正確時(shí)間否則因?yàn)橛袝r(shí)間屬性，2在配置之前必須配置安全網(wǎng)關(guān)的默認(rèn)路由3， AHAH，4和策略協(xié)商的提案交換不一樣的是，PFS（完美向前）是第二階段密鑰交換時(shí)的IKESADH交換，協(xié)商新的密鑰。此設(shè)置強(qiáng)烈建議建立隧道的兩個(gè)之間設(shè)置相同。因?yàn)槿绻淼赖慕⒄?qǐng)求5PFS，是一個(gè)安全屬性。此設(shè)置強(qiáng)烈建議建立隧道的兩個(gè)之間設(shè)置6主模式密鑰交換在處理網(wǎng)關(guān)以及客戶端時(shí)存在一個(gè)缺點(diǎn)。那就是使在第三次消息傳遞中才傳遞而且對(duì)方的IP地址又是動(dòng)態(tài)的所以這時(shí)只能得78、網(wǎng)關(guān)注意事您在添加網(wǎng)關(guān)或客戶端時(shí)，因?yàn)榈刂凡恢佬枰渲贸伞Ｈ绻x擇了主模式的某種認(rèn)證方式時(shí)，那么您在添加其他網(wǎng)關(guān)或客戶端時(shí)，如果選擇主模式，那么認(rèn)證方式必須和添加的第一個(gè)網(wǎng)關(guān)或客戶端的認(rèn)AHESP如何3322.org的動(dòng)1、登 點(diǎn)擊“用戶”或者“新用戶”，如下圖中箭頭所指圖7-32動(dòng)態(tài)DNS用戶3、在用戶界面輸入相應(yīng)的用戶信息，然后點(diǎn)擊“提交”。如下圖圖7-33動(dòng)態(tài)DNS用戶4、如果成功，將返回正確的信息，如下圖，如果沒(méi)有返回正確信息，請(qǐng)根據(jù)返回信息，查看用戶頁(yè)面中信息是否符合要求。圖7-34動(dòng)態(tài)DNS用戶5、如果返回上面的信息，恭喜你，你已經(jīng)成功地成為希網(wǎng)的用戶了。下面請(qǐng)按照下面的步驟進(jìn)行登錄。到剛才的信箱中，查看一封發(fā) 。 圖7-35動(dòng)態(tài)DNS用戶6、登錄后，出現(xiàn)下面的界面，你可以修改信息，同時(shí)也可以管理，選擇中間的管理。如紅色箭頭指示。圖7-36動(dòng)態(tài)DNS管理（接和一些你所的二級(jí)至少在目前，希網(wǎng)對(duì)5個(gè)以下的二級(jí)是免費(fèi)的（即2003115））；（圖7-37動(dòng)態(tài)DNS管理圖7-38動(dòng)態(tài)DNS管理這樣，你就了一個(gè)動(dòng)態(tài)。請(qǐng)記住這里的主機(jī)名。這里的ip地址可以是任意的GREIPSecIPSec隧道，送到下一級(jí)網(wǎng)關(guān)，在下一級(jí)網(wǎng)關(guān)，進(jìn)行IPSec和GRE解包，恢復(fù)原來(lái)的數(shù)據(jù)包，再進(jìn)定中心節(jié)點(diǎn)的IP地址，分支節(jié)點(diǎn)自動(dòng)到中心上，中心根據(jù)分支的路由信息進(jìn)行通GRE3/24、/24、/24。7-39B1A間、AB2IPSec隧道，保護(hù)各個(gè)網(wǎng)關(guān)本身，這里和普通IPsec隧道的配置不同，普通Ipsec設(shè)置的保護(hù)子網(wǎng)為連接PC的子網(wǎng)，這里實(shí)際GRE時(shí)，不需要。B1AB/32、A/32。B2AA/32、B/32B1IPSec圖7-40B1 7-41B1IKE7-42B1AIpSec圖7-43A 7-44AIKE7-45AB2IpSec圖7-46B2 7-47B2IKE7-48B2AB1間、AB2GREB1GRE7-49B1GREAGRE7-50AGREB2GRE7-51B2GRE最后在策略路由規(guī)則中添加記錄該路由表。B17-52B1gre7-53B1gre7-54B1A7-55Agre7-56Agre7-57AB27-58B2gre7-59B2gre7-60B2MGRE349MGREAMGREB1、B2首先在B1A間、B2A間分別建立一條IPSec隧道，保護(hù)各個(gè)網(wǎng)關(guān)本身。其中A設(shè)備上是客戶端隧道，B1、B2為網(wǎng)關(guān)隧道。其他Ipsec 設(shè)置同GRE配置。B1AB/32、A/32。B2AA/32、B/32B1IPSec圖7-61B1 規(guī)7-62B1IKE7-63B1AIpSec圖7-64A 規(guī)7-65AIKE7-66A注意：客戶端隧道默認(rèn)不啟用完美前向功能，網(wǎng)關(guān)和客戶端隧道的配置該選項(xiàng)必須一致B2IPSec圖7-67B2的規(guī)7-68B2IKE7-69B2AB1間、AB2MGREB1MGRE7-70B1MGREAMGRE7-71AMGREB2MGRE7-72B2MGREMGRE網(wǎng)絡(luò)接口之間能夠通訊即可，根據(jù)需要可以配置靜態(tài)路由、默認(rèn)路由、策B17-73B1A7-74AB27-75B2當(dāng)隧道建立成功后，在MGRE狀態(tài)頁(yè)面可以看到結(jié)果，其中分支端是靜態(tài)獲取，顯示的是MGRE隧道中配置的結(jié)果，中心端是分支結(jié)果，是動(dòng)態(tài)獲取的。當(dāng)完畢就可以進(jìn)行路由推送，在MGRE路由頁(yè)面可以看到推送結(jié)果，其心上顯示分B17-76B17-77B1A7-78A7-79AB27-80B27-81B2GRE配置方法，可以解決任意級(jí)數(shù)的級(jí)連。每一個(gè)網(wǎng)關(guān)需要與自己的相鄰網(wǎng)關(guān)間建立2條隧道，其中一條IPsec隧道、一條GRE隧道。需要多少個(gè)與自己不相鄰的保IP地址，在增加分支節(jié)點(diǎn)時(shí)配置也比較簡(jiǎn)單。第8章 SSL是解決用戶敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSec這是因?yàn)镾SL內(nèi)嵌在瀏覽器中它不需要象傳統(tǒng)IPSec一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟SSL可分為B/S服務(wù)和C/S服務(wù)兩種方式B/S服務(wù)主要指計(jì)算機(jī)通過(guò)ssl 服務(wù)器來(lái)ssl 服務(wù)器后面保護(hù)的http或者h(yuǎn)ttps服務(wù)。B/SABBCA: B:eth0: C:PC

eth1:服務(wù)器）HTTP圖8-1 可以從上圖看出計(jì)算機(jī)A想要HTTP服務(wù)器C，必須先SSL服務(wù)器SMB、SMTP、SQLServer、net、Tftp443。圖8-2開(kāi)啟 服B/SB/Stestbs，并指定允許路徑為/testdir8-3B/SC/S8-4C/StestL2TPPPTP8-5服務(wù)角色有兩種方式，一種是服務(wù)角色，另一種則是角色有權(quán)的服務(wù)。完成后，凡是屬于該角色的用戶，就可以該角色有權(quán)的服務(wù)了。圖8-6服務(wù)角角色有權(quán)的服有權(quán)的服務(wù)，點(diǎn)擊“提交，完成。圖8-7角色有權(quán)的服權(quán)的用戶，點(diǎn)擊“提交，完成。完成后，所有屬于該角色的用戶，就可以訪問(wèn)角色有權(quán)的服務(wù)了。圖8-8角色用用戶服在PC客戶端地址欄中輸入ssl 服務(wù)器的地址和端口，彈出登錄界面。輸入相應(yīng)的用戶名和，進(jìn)行登錄。圖8-9登錄 登錄成功以后，將會(huì)顯示該用戶有權(quán)的服務(wù)，綠色為B/S服務(wù)，灰色為C/S服務(wù)圖8-10用戶有權(quán)的服用戶B/S服服務(wù)“testbs圖8-11用戶B/S服用戶C/S服PPTP的配置方法，請(qǐng)參考“概念與配置方法”章節(jié)的“PPTP/L2TP 8-12PPTPL2TP或者PPTP連接上之后，即可對(duì)應(yīng)的C/S服務(wù)圖8-13C/S服第9HAHALFRP隨著網(wǎng)絡(luò)應(yīng)用的迅猛增長(zhǎng)作為保護(hù)企業(yè)網(wǎng)內(nèi)部安全的安全網(wǎng)關(guān)日漸成為限制網(wǎng)絡(luò)UntrustUntrust9-1HA（HighAvailability）即高可用性，本章特指利用冗余安全網(wǎng)關(guān)設(shè)備，冗余電源，LFRP（LeadsecFirewallRedundantProtocol）即安全網(wǎng)關(guān)冗余協(xié)議，是一種特定在安全網(wǎng)關(guān)設(shè)備上支持的、可提供高可用性(HA)服務(wù)的專有協(xié)議，該協(xié)議2～4臺(tái)支持LFRP協(xié)議的安全網(wǎng)關(guān)可以構(gòu)建一個(gè)優(yōu)秀的高可用性安全網(wǎng)關(guān)集群，它消除電信、銀行、、大型企業(yè)等。如圖所示：兩臺(tái)支持LFRP協(xié)議的安全網(wǎng)關(guān)構(gòu)成Untrust 圖9-2兩臺(tái)支持LFRP協(xié)議的安全網(wǎng)關(guān)構(gòu)成的HA集群，單點(diǎn)故障被消LFRPV1.0LFRPHALFRP4HAHA主動(dòng)-模式（雙機(jī)熱備）:如圖所示，集群中所有節(jié)點(diǎn)的任意對(duì)應(yīng)的業(yè)務(wù)網(wǎng)口IPMAC（優(yōu)先級(jí)=1）為主節(jié)點(diǎn)，處于主動(dòng)工作Untrust

圖9-3兩臺(tái)安全網(wǎng)關(guān)構(gòu)成的HA集群：主動(dòng)－模式（雙機(jī)熱備注意：HASTP主動(dòng)-主動(dòng)模式（負(fù)載均衡IP和MAC地址都分別相同，各節(jié)點(diǎn)協(xié)同工作。其中一臺(tái)安全網(wǎng)關(guān)（優(yōu)先級(jí)=1）是主節(jié)點(diǎn)，Untrust

圖9-4兩臺(tái)安全網(wǎng)關(guān)構(gòu)成的HA集群：主動(dòng)－主動(dòng)模式（負(fù)載均衡會(huì)話保護(hù)模式：如圖所示，此模式不同于上面所說(shuō)的主動(dòng)－主動(dòng)模式，主動(dòng)－模IPMAC地址是不同的，LFRP協(xié)議中的會(huì)話保護(hù)協(xié)議（啟用狀態(tài)同步，使得各個(gè)節(jié)點(diǎn)之間可以進(jìn)行濾狀態(tài)同步，保證會(huì)話狀態(tài)的相圖9-5兩臺(tái)安全網(wǎng)關(guān)構(gòu)成的HA集群：會(huì)話保護(hù)模LFRPLFRP集群由一組（2～4臺(tái)安全網(wǎng)關(guān)）實(shí)施相同的整體安全策略并且共享相同配置的網(wǎng)御安全網(wǎng)關(guān)設(shè)備組成。將一臺(tái)安全網(wǎng)關(guān)設(shè)備新加入LFRP集群時(shí)，LFRP集群中LFRP集群正常運(yùn)轉(zhuǎn)中，管理員對(duì)主安全網(wǎng)關(guān)節(jié)點(diǎn)進(jìn)行了下列的更改或操作命ha:ha命令,用來(lái)配置ha接口IP地址和hahadetect:ha路徑命令，用來(lái)配置周邊設(shè)備IP地址和本節(jié)點(diǎn)網(wǎng)口狀upgrade:修改主機(jī)名令所有導(dǎo)入令所有showclocksetLFRP集群的心跳協(xié)議（HeartbeatLFRPHA網(wǎng)口進(jìn)行心跳通訊，實(shí)時(shí)檢測(cè)各安全網(wǎng)關(guān)的HALFRPIDHA標(biāo)識(shí)符的節(jié)點(diǎn)之間才可以互LFRP集群ID號(hào)必須唯一。0，表示該節(jié)點(diǎn)處于失效狀態(tài)（HA路徑工具到本節(jié)點(diǎn)和周邊設(shè)備連接出0，即該節(jié)點(diǎn)又重新恢復(fù)有效狀態(tài)，才可以處理網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)。UDP6666LFRP主節(jié)點(diǎn)周期性地（0.5秒）從節(jié)點(diǎn)周期性地（0.5秒）:負(fù)載均衡模式下:LFRP:注：系統(tǒng)只對(duì)節(jié)點(diǎn)離線發(fā)送郵件，其它只記錄日志不做LFRPLFRP該網(wǎng)口的結(jié)果是LinkDown狀態(tài)，則該安全網(wǎng)關(guān)節(jié)點(diǎn)將進(jìn)入失效狀態(tài)。當(dāng)網(wǎng)口的結(jié)果是LinkUp狀態(tài)，該安全網(wǎng)關(guān)節(jié)點(diǎn)會(huì)從失效狀態(tài)重新轉(zhuǎn)變?yōu)橛行顟B(tài)。注意：LFRP0，會(huì)自動(dòng)遷移到其他節(jié)點(diǎn)處理。當(dāng)該節(jié)點(diǎn)的所有需要HA的網(wǎng)口的結(jié)果為L(zhǎng)inkUp,而且該節(jié)點(diǎn)的周邊IP探測(cè)結(jié)果的總故障數(shù)不再超過(guò)故障切換臨界值后，該節(jié)點(diǎn)會(huì)重新恢復(fù)有效，其優(yōu)先級(jí)會(huì)大于0，相當(dāng)于這個(gè)節(jié)點(diǎn)又重新加入集群，其他各節(jié)點(diǎn)的會(huì)分配部分會(huì)話給該節(jié)點(diǎn)處理。LFRPLFRP集群為用戶提供了支持對(duì)稱的主動(dòng)負(fù)載均衡技術(shù)使得的安全網(wǎng)關(guān)LFRP會(huì)話的所有數(shù)據(jù)包會(huì)被同一個(gè)安全網(wǎng)關(guān)節(jié)點(diǎn)處理LFRP集群，主節(jié)點(diǎn)會(huì)協(xié)調(diào)各節(jié)點(diǎn)重新分配負(fù)載。而如前所述的會(huì)話保護(hù)技術(shù)可以使所有正在9-6LFRP3.1.1LFRP動(dòng)-主動(dòng)（負(fù)載均衡）HA網(wǎng)口。各節(jié)點(diǎn)通過(guò)VRRPTrustmac地址綁定（mac-address-table）配置,LFRP集群中所有的節(jié)點(diǎn)都收到相同的業(yè)務(wù)數(shù)據(jù)（各節(jié)點(diǎn)根據(jù)數(shù)據(jù)幀的hash和本節(jié)點(diǎn)優(yōu)先級(jí)決定是否處理收到的數(shù)據(jù)幀。（MAC:01:00:00:00:02）2/0/1,2/0/2cisco3750mac地外部交換機(jī)：mac-address-stablestatic0100.0000.0001vlan1interfaceGigabitEthernet2/0/1GigabitEthernet2/0/2（MAC01:00:00:00:00:01的數(shù)據(jù)幀，將會(huì)往本交換2/0/1,2/0/2端口都轉(zhuǎn)發(fā)）內(nèi)部交換機(jī)：mac-address-stablestatic0100.0000.0002vlan1interfaceGigabitEthernet2/0/1GigabitEthernet2/0/2（MAC01:00:00:00:00:02的數(shù)據(jù)幀，將會(huì)往本交換2//0/1,2/0/2端口都轉(zhuǎn)發(fā)）HAHAHAHA9-7HAWebUI的配置（gateway1：HA網(wǎng)口參數(shù)的“確定”按鈕。HAHAHAIP地址：HA基本參數(shù)的“提交”按鈕HA網(wǎng)口：選中HA本節(jié)點(diǎn)為：1號(hào)節(jié)點(diǎn)Fireall1進(jìn)行的其它諸如資源定義，安全策略等配置。系統(tǒng)保存后重新啟動(dòng)，本安全LFRP1的一個(gè)節(jié)點(diǎn)成員。WebUI的配置（Gateway2：HA網(wǎng)口參數(shù)的“確定”按鈕。HAHAHAIP地址：HA基本參數(shù)中，輸入以下內(nèi)容，HA基本參數(shù)的“確定”按鈕HA：選中HA本節(jié)點(diǎn)為：2號(hào)節(jié)點(diǎn)LFRP1如果Gateway1啟動(dòng)后，如果沒(méi)有檢測(cè)到有其它LFRP集群1點(diǎn)的心跳信號(hào)，則Gateway1成為1Gateway1，并重新啟動(dòng)使其成為主節(jié)點(diǎn)，后配置Gateway2Gateway1Gateway1的所有配置。LFRPHAIP地址應(yīng)該不相同，但應(yīng)該屬于同一網(wǎng)段。該接口主要用來(lái)LFRPHA號(hào)必須唯一（1～2中選擇）,LFRP開(kāi)啟搶占后，不支持探測(cè)IP功能。HA接口的第一個(gè)頁(yè)面中的“啟用會(huì)話保護(hù)模式配置同步”以及“啟用實(shí)施配置同步”兩個(gè)都為開(kāi)啟配置CMD的配置（Gatewayhasetipnetmaskhaifonsynonreal-time-synoffhasetmodeclusternode1id1preemptoffhaonnewconfigsaveCMD的配置（Gatewayhasetipnetmaskhaifonsynonreal-time-synoffhasetmodeclusternode2id1preemptoffhaonnewconfigsaveHA路徑配HA路徑配置包括網(wǎng)口和周邊設(shè)備IPHA網(wǎng)HA網(wǎng)口是檢查安全網(wǎng)關(guān)設(shè)備的物理網(wǎng)口是否處于活動(dòng)狀態(tài)并連接到周邊網(wǎng)絡(luò)設(shè)備LinkDown,導(dǎo)致流經(jīng)該網(wǎng)口的數(shù)據(jù)全部丟失。如果對(duì)該關(guān)鍵業(yè)務(wù)數(shù)據(jù)網(wǎng)口設(shè)置了HA，則一旦到該網(wǎng)口LinkDown，該節(jié)點(diǎn)會(huì)自動(dòng)失效，LFRP集群中的其它安全網(wǎng)關(guān)節(jié)點(diǎn)會(huì)接管原來(lái)有該節(jié)點(diǎn)處理的會(huì)話，保證了LFRP集群用性本范例中：在Gateway1和Gateway2節(jié)點(diǎn)上都設(shè)置了HA業(yè)務(wù)數(shù)據(jù)網(wǎng)口eth0如圖所示為HA網(wǎng)口的配置頁(yè)面圖9-8HA網(wǎng)口的配置頁(yè)WebUI的配置（Gateway1&Gateway進(jìn)入“網(wǎng)絡(luò)管理>>高可用性>>雙機(jī)熱備設(shè)置”頁(yè)面的“HAeth0CMD的配置（Gateway1&Gatewayhadetectaddifeth0hadetectaddifeth3configsaveHAHAIPIPARPIP6IPIP當(dāng)IP總故障數(shù)不再超過(guò)故障切換臨界值后，它會(huì)從失效狀態(tài)重新轉(zhuǎn)變?yōu)橛行顟B(tài)。IPIPLFRPHAIP，三層交換機(jī)端口的IP以及相對(duì)重要的DMZ區(qū)服務(wù)器IP，不能使用安全網(wǎng)關(guān)上使用的IP（安全網(wǎng)關(guān)節(jié)點(diǎn)16個(gè)和安全網(wǎng)關(guān)網(wǎng)口IP同網(wǎng)段的周邊設(shè)備IP）IPGateway1Gateway2HAIP15HAIP9-9HAIPWebUI的配置（Gateway1&Gateway進(jìn)入“網(wǎng)絡(luò)管理>>高可用性>>HAIP”頁(yè)面，輸入以下內(nèi)容，然后單擊“提HAIP頁(yè)面,輸入以下內(nèi)容，9-10HAIPIP:權(quán)重從該網(wǎng)口探測(cè)CMD的配置（Gateway1&Gatewayhadetectsetthreshold50hadetectaddip15configsave說(shuō)明:單交換機(jī)節(jié)點(diǎn)下的主動(dòng)-LFRP集群所有網(wǎng)絡(luò)拓?fù)鋱D和配置步驟都和單交換機(jī)節(jié)點(diǎn)下的主動(dòng)-主動(dòng)LFRP集群一樣,只是配置的HA工作模式不同具體主動(dòng)-工作模式的原理請(qǐng)見(jiàn)前述的小節(jié)2.2“LFRP自身的HA9-11LFRPLFRP成主動(dòng)-主動(dòng)（負(fù)載均衡）HA網(wǎng)口。各節(jié)點(diǎn)通VRRP協(xié)議做冗余鏈路冗Trustmac地址綁定（mac-address-table）配置,LFRP集群中所有的節(jié)點(diǎn)都收到相同的業(yè)務(wù)數(shù)據(jù)（各節(jié)點(diǎn)根據(jù)數(shù)據(jù)幀的hash和本節(jié)點(diǎn)優(yōu)先級(jí)決定是否處理收到的數(shù)據(jù)幀。（MAC:01:00:00:00:02）2/0/1,2/0/2cisco3750mac地外部交換機(jī)：mac-address-stablestatic0100.0000.0001vlan1interfaceGigabitEthernet2/0/1,2/0/2端口都轉(zhuǎn)發(fā)）內(nèi)部交換機(jī)：mac-address-stablestatic0100.0000.0002vlan1interfaceGigabitEthernet2//0/1,2/0/2端口都轉(zhuǎn)發(fā)）HA同單交換機(jī)節(jié)點(diǎn)下的主動(dòng)-LFRPHA路徑配同單交換機(jī)節(jié)點(diǎn)下的主動(dòng)-LFRP9-12雙交換機(jī)和雙路由器（路由交換機(jī)）3.3.1LFRPIBMTRUNKVLAN間轉(zhuǎn)發(fā)5brg0里，且需TRUNK。UDP1985LFRPLFRPLFRPLFRP集群中的主動(dòng)－模式支持路由模式和橋模式但使用橋模式注意關(guān)閉安全網(wǎng)LFRPSTPHA系統(tǒng)軟件的實(shí)時(shí)性，導(dǎo)致系統(tǒng)出現(xiàn)不正常情況。HALFRP集群。如果管理員在主安全網(wǎng)關(guān)進(jìn)行了配置更改，只需要手工同步所有節(jié)點(diǎn)配電子管理，需要修改電子的安全網(wǎng)關(guān)ID號(hào)為新升級(jí)為主節(jié)點(diǎn)的安全網(wǎng)關(guān)ID才webHAIP地址，HAIP地址在同一個(gè)網(wǎng)段。該接口主要用來(lái)傳輸心跳，配置同步和LFRPHA標(biāo)識(shí)符和工TCPUDPLFRP協(xié)議的正常使用。MACMAC地址。HALFRP集群,按照預(yù)定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，重啟該安全網(wǎng)關(guān),LFRP1～3LFRP集群中所HA工作狀態(tài)下的各安全網(wǎng)關(guān)節(jié)點(diǎn)管理的更新按照預(yù)定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，重啟該安全網(wǎng)關(guān),LFRPHA對(duì)只支持雙機(jī)熱備下非隧道，且不完全支持集群模式第10VRRPVRRP(VirtualRouterRedundancyProtocol虛擬路由冗余協(xié)議)是一種容錯(cuò)協(xié)議，在靜態(tài)本網(wǎng)段的報(bào)將按照設(shè)置的缺省的路由進(jìn)行轉(zhuǎn)發(fā)從而實(shí)現(xiàn)本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行通信。但當(dāng)這個(gè)缺省的路由器由于壞掉時(shí)本網(wǎng)段內(nèi)所有的以這個(gè)路由作缺省路由下一跳VRRPVRRP10-1VRRP果備份組中的Master路由器壞掉，Backup路由器會(huì)通過(guò)策略出新的Master路由VRRPRFC2338VRRP10-2VRRPHA方式進(jìn)行狀態(tài)同步。VRRPTrustVRRPWEBUI的配置（10-3VRRPA，進(jìn)入“高可用性>>基本配置>>VRRP參數(shù)配置”頁(yè)面，VRRPID10-4ID：0IP地址：VRRPID：1（B，進(jìn)入“高可用性>>基本配置>>VRRP參數(shù)配置”頁(yè)面，VRRP組配置輸入以下內(nèi)容，然后單擊“確定”按鈕。VRRPIDIP地址：VRRPID：1CLI的配置（vrrpaddvrid1prio100adv1promoffmcastipinterfaceaddaliasbind_iffe3alias_id0ipnetmaskactiveonvridvrrponCLI的配置（vrrpaddvrid1prio101adv1promoffmcastipinterfaceaddaliasbind_iffe3alias_id0ipnetmaskactiveonvridvrrponHAHAIP地址：進(jìn)入“高可用性>>基本配置>>VRRPVRRPVRRP（10-5HAHA網(wǎng)口HA進(jìn)入“高可用性>>基本配置>>VRRPVRRPWEBUI的配置（HA網(wǎng)口HA進(jìn)入“高可用性>>基本配置>>VRRPVRRPWEBUI（1）CLI（A）vrrpoffhasetipnetmaskhaifonsynonvrrpon（vrrphasetipnetmaskhaifonsynonvrrponVRRPVRRPVRRPHAIPipvrrpVRIDipVRRPIP第11253NAT的工作。虛擬服務(wù)器位于服務(wù)器負(fù)載均衡器上，提供IP地址和端口供客戶機(jī)。服務(wù)器負(fù)載IP地址和端口，還包括服務(wù)類型、調(diào)度算法、持久時(shí)間三個(gè)屬IP地址和端口外，還具有權(quán)重值，所屬虛擬服務(wù)器屬性，其中權(quán)重值是大多數(shù)8rr:輪叫調(diào)度（Roundi(i+1)modni臺(tái)服務(wù)器。算法的優(yōu)點(diǎn)是其wrr:輪叫（WeightedRoundlc:最少（Least最小連接調(diào)度（Least-ConnectionScheduling）算法是把新的連接請(qǐng)求分配到當(dāng)前1；當(dāng)連接中止或超時(shí)，其連接數(shù)減wlc:最少（WeightedLeast。理員可以動(dòng)態(tài)地設(shè)置服務(wù)器的權(quán)值最小連接調(diào)度在調(diào)度新連接時(shí)盡可能使服務(wù)。dh:目標(biāo)地址散列（Destination目標(biāo)地址散列調(diào)度（DestinationHashingScheduling）IP地址的IP地址，作為散列鍵（HashKey）從靜sh:源地址散列（Source源地址散列調(diào)度（SourceHashingScheduling）算法正好與目標(biāo)地址散列調(diào)度算法IP地址，作為散列鍵（HashKey）從靜態(tài)分配的散列表找出對(duì)lblc:基于局部性的最少(Locality-BasedLeastLBLCIPIP地址最近使用的服務(wù)器，lblcr:帶的基于局部性最少(Locality-BasedLeastConnectionswithIPIP地址對(duì)應(yīng)的服務(wù)器組；按“最小連SED:最短的期望的延遲(ShortestExpectedDelaySchedulingABC三臺(tái)機(jī)器分別權(quán)重123123。那么如果使用WLC算法的話一個(gè)新請(qǐng)根據(jù)運(yùn)算結(jié)果，把連接交給CNQ:最少隊(duì)列調(diào)度(NeverQueueSchedulingrealserver的連接數(shù)＝0就直接分配過(guò)去，不需要在進(jìn)行sedICMP探測(cè)和服務(wù)探測(cè)。ICMPICMPICMP報(bào)文。SYN包文，如果在超時(shí)漸漸范圍內(nèi)沒(méi)有收到真實(shí)服務(wù)器的握手報(bào)TCP連接，以減少服務(wù)器的額外的連接帶來(lái)的損耗。HTTP11-1HTTP122Eth4121eth3IP12Eth4IP。12上的http服務(wù)。11-2HTTPeth3eth4ip。VIPeth3ip地址：cli命令行為：bladdvirtualV1prtcpipport80pt300schd11-3HTTPIP服務(wù)器端口填寫(xiě)服務(wù)器1上提供的服務(wù)端，這里默認(rèn)為1（1）IPeth4的ip1的配置。2上的配置。clibladdrealR1toV1 ip00port80wt1gwbladdrealR2to ip03port80wt1gw11-4HTTPclibldetect2dtimer10。負(fù)載均衡和嚴(yán)格狀態(tài)監(jiān)測(cè)有，如果嚴(yán)格狀態(tài)監(jiān)測(cè)開(kāi)啟請(qǐng)關(guān)閉11-5cliblon。第12冗余設(shè)備是將多個(gè)物理設(shè)備在一起而成的虛擬設(shè)備。冗余設(shè)備的物理設(shè)備共同完成收發(fā)工作，組成一個(gè)邏輯鏈路供系統(tǒng)使用。的物理設(shè)備可以相互備份，一個(gè)物理12-6表選擇eth0和eth1，冗余設(shè)備工作在路由模式下，IP地址設(shè)置為，掩碼將的eth2和eth3口的工作模式設(shè)置成冗余模式,添加冗余設(shè)備bond2，設(shè)備列表選擇eth2和eth3，冗余設(shè)備工作在路由模式下，IP地址設(shè)置為，掩碼按拓?fù)鋱D所示將與交換機(jī)相連接，等待交換機(jī)燈變綠，在交換機(jī)上showinterfaceport-channel1可以看到BW200000Kbit此時(shí)兩個(gè)局域網(wǎng)絡(luò)通過(guò)的帶寬就擴(kuò)展為200M了。此時(shí)若只拔掉與交100M，將網(wǎng)線插回帶寬即可恢復(fù)200M12-7將的eth0和eth1口的工作模式設(shè)置成冗余模式，添加冗余設(shè)備bond11，設(shè)備列表選擇eth0和eth1，冗余設(shè)備工作在路由模式下，IP地址設(shè)置為，掩碼表選擇eth2和eth2，冗余設(shè)備工作在路由模式下，IP地址設(shè)置為，掩碼按拓?fù)鋱D所示將與交換機(jī)相連接，等待交換機(jī)燈變?nèi)舸送負(fù)鋱D不變，想使工作在透明方式下，可選擇將冗余設(shè)備bond1、bond2工作模式選擇透明方式第13http是指結(jié)合、數(shù)字、實(shí)物（USBKey、動(dòng)態(tài)令牌或等生物標(biāo)志）等多種條件對(duì)用勢(shì)。因此，網(wǎng)御安全網(wǎng)關(guān)PowerV支持雙因子認(rèn)證方式，為用戶帶來(lái)更全面的防圖13-1用戶網(wǎng)絡(luò)圖內(nèi)網(wǎng)的用戶通過(guò)網(wǎng)御認(rèn)證客戶端軟件或者網(wǎng) 客戶端的擴(kuò)展認(rèn)證功能或者圖13-2用戶網(wǎng)絡(luò)圖關(guān)聯(lián)用戶/用戶組，為用戶/組下開(kāi)通Internet的權(quán)限。此時(shí)，用戶Internet的數(shù)據(jù)可圖13-3用戶網(wǎng)絡(luò)圖如果用戶退出登錄，或者安全網(wǎng)關(guān)檢測(cè)到客戶端超時(shí)斷開(kāi)，則該用戶是過(guò)認(rèn)證的，用戶將不能繼續(xù)Internet。PowerVIP協(xié)議層用戶認(rèn)證系統(tǒng)，突破認(rèn)證的服務(wù)種類限制，為用戶退出后，服務(wù)器可以檢測(cè)到超時(shí)IP1.2.1、、AD/LDAP/RADIUS服務(wù)器和服務(wù)器組。、、、、、、1.3.113-413-5testlocal13-6test13-71.3.3配置安全策略，關(guān)聯(lián)用戶組test。說(shuō)明只有通過(guò)認(rèn)證的屬于該用戶組的用戶才可以所13-8如圖配置只有經(jīng)過(guò)認(rèn)證的用戶，且屬于用戶組test的用戶，可以http服務(wù)13-913-10131.3.513-11圖13-12用戶頁(yè)修改。用戶通過(guò)該軟件可以在登錄成功后，修改自己賬號(hào)的管理，導(dǎo)入、刪除、查看等登陸后，可以查看時(shí)間這一步根據(jù)認(rèn)證方式的不同而不同。有的認(rèn)證方式，驗(yàn)證的有效期。如果在有效期內(nèi)，服務(wù)器驗(yàn)證通過(guò)，如果用戶的快要過(guò)期，則根據(jù)管理員配置的【到期提醒天數(shù)】提醒用戶即將過(guò)期。如果已經(jīng)失效，驗(yàn)證失敗。有的認(rèn)證方式，驗(yàn)證的有效性務(wù)器端記錄日志；如果有未安裝進(jìn)程，則彈出窗口提示地址。IPIPIP來(lái)的132.2.1運(yùn)行隨即光盤(pán)中的【網(wǎng)御認(rèn)證客戶端.exe13-13下一步同意協(xié)議13-1413-1513-1613-1713-18點(diǎn)擊安裝，安裝成功完成后彈出以下框，選擇是否立即運(yùn)行客戶端13-1913-20132.2.2windows13-2113-2213-23選擇是否刪除用戶的信息,本地點(diǎn)擊【否，保留用戶的信息。繼續(xù)13-24132.3.113-25132.3.2點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，可以設(shè)置本程序?，F(xiàn)將各個(gè)選擇項(xiàng)的含釋如下13-26端132.3.313-27修改圖13-28用戶修改圖13-29用戶修改13-3013-31132.3.413-32管圖13-33管理頁(yè)圖13-34導(dǎo)入頁(yè)圖13-35列然后再主頁(yè)面可以選擇認(rèn)證，點(diǎn)擊下拉框，選擇。點(diǎn)擊【】按鈕，查看證圖13-36認(rèn)在登錄時(shí)，如果已經(jīng)過(guò)期，會(huì)提示給用戶已過(guò)期圖13-37已過(guò)WEBIEFirefox瀏覽器來(lái)實(shí)現(xiàn)用戶認(rèn)證功能、修改和查看登錄時(shí)間。修改。用戶通過(guò)該軟件可以在登錄成功后，修改自己賬號(hào)的打開(kāi)IE，在地址欄輸入需要登錄的，例如：，如果用戶還沒(méi)有登錄的話，同時(shí)管理員也配置了相應(yīng)的認(rèn)證策略（ip,目的端口為8這個(gè)http口令認(rèn)證：只需要用戶名和圖13- 到用戶初始想要的頁(yè)面。圖13- 用戶認(rèn)證成功修改：如果用戶是有的，則在認(rèn)證成功后，可以主動(dòng)修改圖13-40修改頁(yè)第14CACA中心主要提供服務(wù)，包括本地CA的更新與導(dǎo)出，本地的簽發(fā)、撤銷和導(dǎo)出，第CA和的導(dǎo)入。CA中心一般和統(tǒng)一認(rèn)證模塊、、SSL模塊配合使客戶端的用戶認(rèn)證以及windows自帶客戶端通過(guò)撥號(hào)方式的認(rèn)證。新建用在【統(tǒng)一認(rèn)證】在【統(tǒng)一認(rèn)證】圖14-1添加認(rèn)證用戶填 名 相關(guān)信息， 進(jìn)行簽圖14-2新建用戶界面直接簽發(fā)用圖14-3添加認(rèn)證用戶發(fā)發(fā)】查看剛才新建 用戶user1已經(jīng)1圖14-4認(rèn)證用戶和關(guān)注意上述步驟，也可以先在【CA中心】【本地CA】【簽發(fā)】事先生成1，然后在創(chuàng)建用戶時(shí)直接填寫(xiě) 1142.1.2導(dǎo)出14-5圖14-6保導(dǎo)入客戶書(shū)1，點(diǎn)擊【詳細(xì)信息】可查看信息，確認(rèn)無(wú)誤。14-7用戶認(rèn)證上輸入用戶名user1，認(rèn)證方式選擇認(rèn)證，選 圖14-8用戶登錄圖14-9用戶登錄登錄成功后可在【用戶信息】中看到用戶的信息，如下圖所示圖14-10用戶信配置PKI之前，首先的準(zhǔn)備好待用的及CRL，下圖為openssl方式制作的14-11opensslCA心獲得的導(dǎo)入到中，導(dǎo)出是從上導(dǎo)出到本機(jī)的過(guò)程。刪除是從防火墻中刪除證。的導(dǎo)入功能如圖所示：圖14-12CA142.2.2本地CA中心頒發(fā)，最后在配合導(dǎo)入按鈕，導(dǎo)入頒發(fā)好的圖14-13添加本地的請(qǐng)求文2、密鑰外部生成即密鑰對(duì)和請(qǐng)求文件由外部設(shè)備生成。選用這種方式上傳，需要準(zhǔn)備私鑰文件和經(jīng)CA簽發(fā)的 14-14密鑰外部生成的本地3、pfx格式，其實(shí)也為外部導(dǎo)入，該格式是把與私鑰結(jié)合到一起形pfx格式。點(diǎn)擊，瀏覽要導(dǎo)入的pfx格式 14-15pfx142.2.3對(duì)方對(duì)端主要包括：添加、pfx格式、導(dǎo)入、刪除、導(dǎo)出等功能 對(duì)端的信息，假如為如下這樣：圖14-16添加對(duì)方的:2、導(dǎo)入pfx格式，即選擇pfx格式的導(dǎo)入，其中包括了和私鑰，點(diǎn)擊 框選擇要導(dǎo)入的pfx格式的:14-17pfx142.2.4SCEP1、無(wú)碼scep圖14-18無(wú)碼配置包括：scep的url、的CA、待請(qǐng)求文件、成功后保存在本地的名、輪詢時(shí)間及次數(shù)。注意：的請(qǐng)求名與的名稱必須不一樣，否則失敗。2、有碼先連接scep服務(wù)器，獲得碼，(其中scepURL為圖14-19獲得得到碼為：3D320C528C190A2,且該碼只能使用一次，有效期為60分鐘。想換挑圖14-20有碼其中界面不需要配置請(qǐng)求，請(qǐng)求文件會(huì)根據(jù)碼及特性(Ip、、DNS)在自動(dòng)生成。配好URL、CA名稱、輪詢時(shí)間及次數(shù)。用戶使用第建立PPTP隧配置好CA和本地，添加用戶，具體配置如下圖14-21添加使用第的用注意CA選擇第CA的名字，CN為允許客戶端使用接入的的公共域名，而不是選擇本地CA時(shí)的名字，這點(diǎn)要區(qū)分開(kāi)來(lái)。PPTP圖14-22配置支持的PPTP服務(wù)認(rèn)證協(xié)議選中EAP才可支持接入。PPTP客戶端：圖14-23配置使用的PPTP客戶PPTP圖14-24配置使用的PPTP客戶PC客戶端安裝上對(duì)應(yīng)的CA和客戶端，選擇客戶端，發(fā)起PPTP連接。說(shuō)明：也可以使用本地建立PPTP隧道，相關(guān)操作類似。第15IPV6在定義“IPv6”下拉菜單下的”IPv6（比如：IP15-1ipv615-2ipv6入2001:288:250:2403::7/96，則添加成功后變?yōu)槿绻Ｍ付ㄒ慌_(tái)主機(jī)，前綴長(zhǎng)度為址IP1IP215-315-4IPv615-5icmp6icmp615-6icmp6類型代碼15-715-8““ICMPv6第16tcp會(huì)話、icmp會(huì)話統(tǒng)計(jì)功能，包括統(tǒng)計(jì)當(dāng)前并發(fā)連接數(shù)，tcp、udp、icmp，tcp會(huì)話榜功能，會(huì)呈現(xiàn)當(dāng)前所有會(huì)話中，源會(huì)話數(shù)和目的會(huì)話數(shù)的前十名ip 會(huì)話統(tǒng)計(jì)-11-1。16-1之后點(diǎn)擊會(huì)話管理-》會(huì)話統(tǒng)計(jì)-》會(huì)話榜，即可查看當(dāng)前網(wǎng)絡(luò)中會(huì)話情況，如圖16-2會(huì)話統(tǒng)計(jì)ip地址當(dāng)前的會(huì)話情況時(shí)，可進(jìn)行如下操作，會(huì)話管理-》會(huì)話狀態(tài)-IPIP11-3。16-3132G240MB時(shí)，會(huì)話統(tǒng)計(jì)功能暫停工作，直至240MB以上，會(huì)話統(tǒng)計(jì)功能也會(huì)重新進(jìn)行。44G480MB時(shí)，會(huì)話統(tǒng)計(jì)功能暫停工作，直至480MB以上，會(huì)話統(tǒng)計(jì)功能也會(huì)重新進(jìn)行。第1717-1上圖是一個(gè)具有三個(gè)區(qū)段的小型網(wǎng)絡(luò)。其中內(nèi)部網(wǎng)絡(luò)區(qū)段的地址是0；DMZ00掩碼是；fe4所在網(wǎng)絡(luò)區(qū)段的地址是00到54，掩碼是。WWW0080；MAIL服務(wù)器的地址eth1工作在透明模式，eth3工作