联想网御LSPE-UTM技术培训案例实例.ppt

联想网御Power V-UTM案例培训;目录;;;;前言、UTM概念简述;网络中常见的问题;需要采用新的安全架构;集中威胁管理 (UTM) 硬件;集中威胁管理 (UTM) 硬件的好处;联想网御UTM产品的优势;; 目前的UTM主要使用3个版本，分别为2.8版本、3.0（MR5）版本、3.0（MR6）版本，现在设备在出厂的时候都是3.0MR6版本的，一般不需要升级，但是如果以后有更新的版本发布，则需要对UTM的版本进行升级 ;案例一、版本升级以及特征库升级;点击后会出现如下界面，点击浏览按钮选择需要升级的版本，再点击确定即可完成升级;2.特征库升级;案例一、版本升级以及特征库升级; 点击确定后，会出现如下提示，升级成功（IPS升级和病毒库升级步骤完全一样，这里仅以病毒升级为例）;; 首先，需要特别注意的是，UTM的配置是即时保存的，所以，如果需要对当前的UTM配置进行较大改动时，需先对当前配置进行备份; 点击备份后出现如下界面，选择配置文件的存储位置并为配置文件命名，点击保存，完成对配置的备份;配置的恢复;;;;网络接口配置： 配置各个网口的IP地址方法 A、通过登陆设备界面 设备INTERNAL口上默认地址为9 ;网络接口配置： 配置各个网口的IP地址方法 B、通过命令行的方式包括（串口、SSH、telnet等）;网络接口配置： 需要配置第二IP的网络环境 : 内部两个网段的终端，接到设备的同一个网口上，需要把网关指到接口上各自网段。 可同时在一个接口上绑定多个第二IP，这些IP不能处于同一网段 与防火墙上别名设备的概念相同。 ;A、通过登陆设备界面 在系统管理?网络?接口?操作 需要时配置第二IP ;B、通过命令行的方式 PV10002605500182 # config system interface PV10002605500182 (interface) # edit interface PV10002605500182 (internal) # config secondaryip PV10002605500182 (secondaryip) # edit 1 new entry 1 added PV10002605500182 (1) # set ip PV10002605500182 (1) # end PV10002605500182 (internal) # end ;; 网络拓扑结构: 网络要求： 有一个公网地址：53，掩码：，网关：29 内??用户是网段的接在交换机上，交换机接防火墙port5口上，防火墙port5口的IP地址：54 内网用户通过防火墙上公网;1 首先登陆防火墙后配置防火墙port6口 在 系统管理---网络里配置 防火墙port6口IP：53，掩码： ;2 在路由?静态?静态路由 新建 ;3 在做地址转换，让内网网段的用户上网 在防火墙—策略里添加一条NAT规则 在地址里定义地址： ;4 在防火墙?策略中 新建NAT策略源地址：port5 ，选择在地址里定义的地址：目的地址：port6 ，选择all选择NAT ;5 测试 内部PC测试 分别ping 公网地址和对应的外网网关 ;下面介绍一下动态IP地址池的用法;接下来我们引用这个IP池;; 网络拓扑结构: 网络要求： 需要将内部服务器通过公网IP 发布到internet上;1 首先登陆设备在系统管理?网络?接口定义内外网口的IP和掩码 例如：port1 为内网口 port3 为公网地址 ;2 在路由?静态?静态路由 新建 ;3 在防火墙?虚拟IP中新建;在防火墙?策略中 添加 外网口到内网口的策略 （注意：目的地址选择虚拟IP定义的名称）;;1 首先登陆设备在系统管理?网络?接口定义内外网口的IP和掩码 例如：port4口做DHCP的地址下发(DHCP服务器的网关);2 在系统管理?DHCP 找到 port4口选择服务器 添加注意服务器可以添加多个网段。;3 配置完成 PC直接接到设备的port4口上，即可自动获取地址和DNS;; 网络拓扑结构: 网络要求： UTM防火墙工作在透明模式，Port1和Port2口分别接交换机，交换机启用Trunk 通过UTM控制VLAN的访问。图例中Trunk上有两个VLAN，分别为VLAN20和VLAN30，要求实现VLAN的访问控制 UTM支持 802.1q;VLAN的配置;VLAN的配置;VLAN的配置;VLAN的配置;VLAN的配置;;路由模式适用的网络环境： 配置路由/NAT模式的防火墙多部署于网络