LENOVO LFW400+ User Manual

天工LFW400+防火墙使用说明书

第 1 章简介............................................................................................................................... 5

1.1

关于天工防火墙

1.1.1

病毒防护

1.1.2 Web

1.1.3

1.1.4

1.1.5 VLAN

1.1.6 IPS .................................................................................................................................... 7

1.1.7 VPN ..................................................................................................................................7

1.1.8

1.1.9

1.2

1.3

1.4

第 2 章防火墙配置方法........................................................................................................... 10

2.1

2.2

内容过滤垃圾邮件过滤防火墙

双机热备安全安装，配置和管理

文档约定天工防火墙文档客户服务及技术支持

连接PC和防火墙登录配置防火墙

.............................................................................................................................. 6

和域

.............................................................................................................................. 8

................................................................................................................... 5

........................................................................................................................... 5

................................................................................................................... 5

................................................................................................................... 6

........................................................................................................................ 7

........................................................................................................................... 7

..................................................................................................... 7

................................................................................................................... 8

........................................................................................................... 9

............................................................................................................. 10

................................................................................................................. 11

第 3 章 WEB 管理界面 ............................................................................................................ 13

3.1

3.1.2

第 4 章系统管理状态 ............................................................................................................ 16

4.1

4.1.1

4.1.2

4.2

第 5 章系统管理网络 ............................................................................................................ 20

5.1 域...................................................................................................................................... 20

5.1.1

5.2

5.2.1

5.3

5.3.1

5.4

5.4.1

5.5 IP池................................................................................................................................... 27

5.5.1 IP

5.6 DNS ................................................................................................................................... 29

WEB

基于

本手册的组织结构

状态

查看系统状态更改系统信息

会话

域的设置

接口

接口设置

管理地址

管理地址的设置

别名地址

别名地址的设置

的管理页面

................................................................................................................................... 16

................................................................................................................................... 18

......................................................................................................................... 21

................................................................................................................................... 21

......................................................................................................................... 22

............................................................................................................................ 25

............................................................................................................................ 26

池的设置

..................................................................................................................... 28

....................................................................................................... 13

.......................................................................................................... 15

................................................................................................................. 16

................................................................................................................. 18

.............................................................................................................. 26

.............................................................................................................. 27

第 6 章系统管理 DHCP ......................................................................................................... 31

6.1

................................................................................................................................... 31

服务

6.1.1

6.2

分配范围

6.2.1

6.3

排除范围

6.3.1

6.4 IP/MAC

6.4.1

第 7 章系统管理配置 ............................................................................................................ 36

7.1

时间设置

7.2

选项

7.3 HTTP

7.4

高可靠性

7.4.1 HA

7.4.2 HA

7.4.3

7.4.4

7.5 SNMP ................................................................................................................................43

7.5.1 SNMP

7.5.2

7.6

生成树

7.6.1

7.6.2

7.6.3

DHCP

配置

............................................................................................................................ 32

DHCP

配置

............................................................................................................................ 33

配置排除范围

绑定

IP/MAC

配置

............................................................................................................................ 36

................................................................................................................................... 36

登录端口

............................................................................................................................ 38

基本设置

........................................................................................................................... 39

节点心跳接口链路检测

配置

配置网桥网桥端口配置网桥端口

......................................................................................................................... 41

......................................................................................................................... 42

代理基本设置

SNMP

............................................................................................................................... 45

......................................................................................................................... 45

......................................................................................................................... 46

............................................................................................................ 31

服务

分配范围

................................................................................................................. 34

...................................................................................................................... 35

绑定

.................................................................................................................. 37

................................................................................................................... 38

团体

................................................................................................................. 46

..................................................................................................... 32

.......................................................................................................... 35

....................................................................................................... 43

............................................................................................................ 43

第 8 章系统管理管理员设置.................................................................................................. 48

第 9 章系统管理维护 ............................................................................................................ 50

9.1

备份与恢复

9.1.1

保存配置

9.1.2

备份配置

9.1.3

恢复配置

9.1.4

升级

9.1.5

授权文件

9.1.6

支持

9.1.7

命令检测

9.1.8

关机

第 10 章设置用户.................................................................................................................... 54

10.1

用户

10.2 RADIUS

10.3

用户组

第 11 章认证用户.................................................................................................................... 58

第 12 章路由 ........................................................................................................................... 60

12.1

静态路由

12.2

策略路由

........................................................................................................................ 50

......................................................................................................................... 50

......................................................................................................................... 51

................................................................................................................................52

......................................................................................................................... 52

................................................................................................................................52

......................................................................................................................... 52

................................................................................................................................53

................................................................................................................................. 54

服务器

............................................................................................................................. 56

.......................................................................................................................... 60

.......................................................................................................................... 61

............................................................................................................... 55

第 13 章防火墙 ....................................................................................................................... 64

13.1

13.2

13.2.1

13.2.2

13.3

13.3.1

13.3.2

13.3.3 组................................................................................................................................. 72

13.4

13.4.1

13.4.2

13.5

13.6 NAT

13.6.1

13.6.2 NAT

13.7 MAC

................................................................................................................................. 64

策略

................................................................................................................................. 67

地址

.............................................................................................................................. 67

地址地址组

服务

预定义定制

时间表

单次时间循环时间

保护设置

虚拟

.......................................................................................................................... 69

................................................................................................................................. 70

.......................................................................................................................... 70

.............................................................................................................................. 71

............................................................................................................................. 73

....................................................................................................................... 73

....................................................................................................................... 74

.......................................................................................................................... 76

.......................................................................................................................... 77

策略

IP ......................................................................................................................... 78

策略的生效

......................................................................................................................... 81

绑定

............................................................................................................ 81

第 14 章虚拟专网.................................................................................................................... 83

14.1 IPSEC .............................................................................................................................. 83

14.1.1

14.1.2

14.1.3

14.1.4 VPN

14.1.5

14.1.6

14.1.7 IPSec

14.2 PPTP ...............................................................................................................................92

14.2.1 PPTP

14.2.2 PPTP

14.3 L2TP ................................................................................................................................ 94

14.3.1 L2TP

14.3.2 L2TP

14.4

证书

14.4.1

14.4.2 CA

第 15 章入侵防御.................................................................................................................... 99

15.1

特征

1........................................................................................................................... 83

阶段

2........................................................................................................................... 86

阶段手动模式

阶段1状态阶段2状态

本地证书

....................................................................................................................... 87

...................................................................................................................... 89

隧道

................................................................................................................... 91

使用中的特殊情况

分配地址范围

.................................................................................................................... 93

状态

分配地址范围

..................................................................................................................... 95

状态

................................................................................................................................. 95

....................................................................................................................... 96

......................................................................................................................... 98

证书

................................................................................................................................. 99

.............................................................................................. 92

...................................................................................................... 92

....................................................................................................... 94

第 16 章防病毒 ..................................................................................................................... 101

16.1 HTTP

16.2 SMTP

16.3 POP3

第 17 章 WEB 防护................................................................................................................ 104

..................................................................................................................... 101

设置

..................................................................................................................... 101

设置

..................................................................................................................... 102

设置

17.1 HTTP

17.2

扩展名

17.2.1

17.2.2

17.3 MIME

17.3.1

17.3.2

17.4

17.5 URL

17.6

第 18 章垃圾邮件过滤 .......................................................................................................... 112

18.1 SMTP

18.2 POP3

18.3

18.4

18.5

18.6 RBL

18.7

例外扩展名禁用扩展名

例外禁用

站点过滤

关键字过滤

垃圾邮件过滤设置黑名单白名单

关键字

..................................................................................................................... 104

设置

........................................................................................................................... 105

................................................................................................................. 105

..................................................................................................................... 106

类型

MIME ................................................................................................................. 107

........................................................................................................................ 108

....................................................................................................................... 109

过滤

.................................................................................................................... 110

..................................................................................................................... 112

设置

..................................................................................................................... 113

设置

......................................................................................................... 114

........................................................................................................................... 115

........................................................................................................................... 116

........................................................................................................................ 117

列表

........................................................................................................................... 118

第 19 章日志与报告 .............................................................................................................. 120

19.1

日志配置

19.1.1

19.1.2

19.1.3

19.2

19.2.1

19.2.2

19.2.3

第 20 章退出系统.................................................................................................................. 128

第 21 章附录 A 案例配置 ..................................................................................................... 129

第 22 章注意事项.................................................................................................................. 130

日志设置邮件告警日志过滤

日志访问

配置日志事件日志流量日志

........................................................................................................................ 120

..................................................................................................................... 120

..................................................................................................................... 121

..................................................................................................................... 122

........................................................................................................................ 124

..................................................................................................................... 124

..................................................................................................................... 125

..................................................................................................................... 127

1.1

第1章

天工防火墙支持基于网络的应用级的服务部署，包括病毒防护和全面的内容扫描过滤。天工防火墙增强了网络安全性，防止不需要的网络服务的使用，最大程度降低网络风险，确保网络有效地通讯。天工防火墙包括防火墙，务。

本章将介绍以下内容：

关于天工防火墙

帮助文档资料

1.1.1 病毒防护

天工防火墙病毒防护功能会自动检测通过天工防火墙的网页

(SMTP, POP3)

墙会根据已设定的规则，对病毒作出相应的动作：或者丢弃，或者放行并给用户提示。

另外，用户通过指定允许通过的文件类型也可以增强病毒防护功能。

1.1.2 Web内容过滤

防火墙的网页内容。如果当前的站点或网址已被列入黑名单，或者网页内容中的关键字加权值总和处于被禁止的范围，则该页面不能被访问，取而代之的是防火墙的一个提示警告页面。用户可以配置过滤的站点、网址和关键字。

用户还可以对访问的页面中的包括的文件和以通过的文件类型，禁止扩展名即是不允许通过的文件类型；例外

MIME

的置上传文件大小，记录

Web

类型，禁止的

802.1Q的VLAN

的内容。它通过模式匹配找出病毒。如果找到符合特征的病毒，防火

内容过滤功能能够深入检测

MIME

即是不允许的

HTTP

请求的日志。

HTTP

MIME

，双机热备等。

的数据流内容，包括站点，网址和

进行过滤。例外扩展名指定了可

类型。除此之外，用户也可以配

(HTTP)

MIME

和电子邮件

表示允许

1.1.3 垃圾邮件过滤

防火墙的垃圾邮件过滤能够扫描地址，邮件内容来过滤垃圾邮件。垃圾邮件可以被特别提示或者清除。

dcc

使用

如果防火墙发现一封垃圾邮件，它可以在邮件中加入头标记或者重写邮件主题。邮件接收人可以通过他们邮件客户端软件过滤含有这么标记的邮件。防火墙也可以配置成直接删除垃圾邮件。

1.1.4 防火墙

天工防火墙能有效保护你的网络使它免受互联网的威胁。当对防火墙完成基本的配置后，防火墙默认是禁止内部网络的用户直接访问互联网的。你可以按需要很方便地配置各种对互联网的控制访问。

天工防火墙策略可以进行以下控制：

控制网络的所有进出入数据

对数据进行病毒检查和过滤

可以启用或禁用策略

当单条策略生效时进行控制

接收或禁止指定地址的数据

控制已有或自定义的服务及服务组合

POP3，SMTP

和贝耶斯自学习功能能够更加有效地检测垃圾邮件。

电子邮件内容。你可以根据

E-mail

用户通过认证后才能访问服务

在策略中指定连接数限制及流量控制

在策略中启用流量日志

应用级防护（包括

天工防火墙可以运行在

1. NAT/路由模式

在防火墙运行在于一个不同的IP子网，对于其它设备来说，每个接口相当于一个路由设备。这种设置是防火墙最常见的。

NAT/

在

NAT

模式时，策略通过地址转换把从安全网络到不安全网络的地址隐藏起来。

路由模式时，策略接受或禁止网络间的连接，但没有进行地址转换。

2. 透明模式

当天工防火墙运行在透明模式时，防火墙没有改变网络的三层拓扑结构。这意味着所有的接口都位于相同的网络，对于别的设备来说，每个接口相当于一个网桥。一般来说，防火墙运行在透明模式时主要用来提供病毒防护和内容过滤功能，而在其之前已经存在另外一个防火墙方案。

http、smtp和pop3）

NAT/

路由模式时，它相当于一个三层设备。这意味着每个接口都位

路由模式时，你可以创建

路由模式、透明模式以及混合模式下。

NAT

模式策略和路由模式的策略。

透明模式时，防火墙仍然能象策略放行或阻塞它收到的数据包。防火墙可以接入网络的任何一个地方，而且不需

NAT

模式那样为网络提供基本的保护。防火墙会根据

要对网络或者其它设备作改动。然而，一些高级防火墙功能仍然只能在式时才起作用。

3. 混合模式

混合模式是同时包含了路由模式和透明模式的配置模式，即同时包含路由接口和二层网桥接口。使用混合模式可以综合透明模式和路由模式的优点，扩展防火墙的工作模式。

1.1.5 VLAN和域

天工防火墙支持络接口的集合，我们可以把网络接口或几个防火墙可以为单个不同域之间的数据及连接。防火墙能把策略应用域和域之间以及同一个域的内部。防火墙也可以对

天工防火墙支持运行在你可以从

VLAN

1.1.6 IPS

IEEE 802.1Q

VLAN

内部网络进行用户认证，内容过滤和病毒防护。

NAT/

子接口中接收和发送数据。

兼容的虚拟局域网（

或多个

VLAN

（域）提供安全的服务，并能管理不同

路由和透明模式时也支持

VLAN

归于一个域中。使用

VLAN

NAT/

路由模

）技术。域可以理解为网

VLAN

技术，

VLAN

NAT/

。在

路由模式时，

，

天工防火墙入侵检测系统（的系统。你可以对具有特征的数据进行通过、丢弃、重置、重置客户端或重置服务器端等动作，也可以把这些动作记入到日志中。

1.1.7 VPN

虚拟专网（接，和安全的通信，在公司外面的用户可以通过

VPN

）能为你分布在广域网中的各种办公网络之间建立起安全的网络连

1.1.8 双机热备

天工防火墙支持双机热备功能（HA），为网络提供高可靠性。双机热备是通过

udp

和通过心跳包，来检测对端设备的运行状态。任何一台设备出现异常，另外一台设备都可以承载对端设备原来的载荷。

的心跳包来检测对端设备（防火墙）的可用性，支持主-从和主-主两种模式。

1.1.9 安全安装，配置和管理

当天工防火墙第一次启动时，它已经含有一些IP地址及安全策略的基本配置。请连

WEB

接到置，完成后防火墙就能对你的网络产生保护作用。使用进行大多数的高级配置。

管理界面，查看系统运行状态，并且根据你的网络的实际情况对它重新配

IPS

）根据各种入侵特征来防止可能的入侵活动并保护你

VPN

安全地连接到公司内部网络。

WEB

管理界面你能对防火墙

serial

你也可以使用命令管理界面（

1. WEB界面

在任何一台支持浏览器的电脑上，通过进行配置和管理防火墙。任意一个接口作为

CLI

）方式来配置防火墙。

WEB

管理界面目前只支持中文语言。你可以通过配置指定

HTTP或HTTPS

HTTP

的管理接口。

或安全

HTTPS

可以连接到防火墙上，

通过防火墙的运行状态。通过服务。当你对某个配置满意时，你可以把它下载来。下载下来的配置文件在可以用来防火墙配置的恢复。

2. 命令行界面

通过数据线把一台主机串口连接到防火墙命令行管理界面。在一个网络环境中，你也可以通过命令行界面，包括互联网。

正如态。另外，用命令行界面你能进行含基本和高级的命令的用法，欲需要更详细信息，请参考天工防火墙命令行参考手册。

3. 日志及报告

天工防火墙支持流量及事件的各种级别日志记录。主要功能有：

WEB

管理界面，你可以对防火墙进行大部分的配置。通过

WEB

界面更改配置会立即生效，不需要重启防火墙或重启

RS-232

WEB

界面那样，命令行界面同样支持对防火墙进行配置和查看系统的运行状

WEB

界面不支持的高级操作。管理员操作手册包

报告与防火墙连接的流量信息

报告使用的网络服务

报告策略允许的流量

WEB

界面也能监视

串口控制终端可以进入防火墙的

Telnet或SSH

连接到防火墙的

1.2

报告策略拒绝的流量

报告事件，例如配置修改，其它管理员登录，和阻止页面访问记录

报告入侵检查到的攻击

发邮件给管理员报告病毒事件，入侵和防火墙或者

日志也可以发送到远程日志服务器。

文档约定

本文档对配置命令的语法采用以下格式：

尖括号<>表示变量

例如：

restore2fm <filename>

你可能输入：

restore2fm myfile.bak

竖线和大括号

set opmode { nat | transparent }

{ | }

用来分隔可替换的、相互的不包含或需要的关键词，例如：

IPSec

隧道流通，病毒检查攻击

VPN

事件或其它非法事件。

1.3

天工防火墙文档

请到天工网站下载最新的文档：

http://www.lenovonetworks.com

1.4

客户服务及技术支持

请访问天工网站查看最新的服务支持：

http://www.lenovonetworks.com

2.1

第2章

连接

将防火墙接上电源并打开开关加电。检查接是否正常；如果已亮，则使用交叉/直连网线将电脑和防火墙的后按以下步骤操作：

检查E0口的指示灯，如果已亮转步骤B；否则检查网线、网卡是否故障。

在计算机网卡上配置IP地址和子网掩码，步骤如下：

开始－> 控制面板－> 网络连接，左键双击打开网络连接

右键单击其中“本地连接”图标，在弹出的上下文菜单中单击“属性”菜单。

选中

和防火墙

“Internet

协议（

防火墙配置方法

TCP/IP）”

。如图（图

power

1-1）：

指示灯，如果未亮，请检查电源连

口相连接。然

图

单击“属性”按键，设置计算机的IP地址：然后点击确定，完成网卡设置，如图(图

1-1

192.168.1.100 1-2)：

，子网掩码：

255.255.255.0

。

2.2

1-2

图

测试计算机与路由器是否连通

开始－> 运行－> 键入

在命令提示符使用

如果显示：

Reply from 192.168.1.1: bytes=32 time<10ms TTL=64

表示连接成功，转下一步进入配置，否则表示可能未能正确连接。请检查置是否正确，网线是否故障。

登录配置防火墙

Web

通过

打开录面(图

浏览器（如

Internet Explorer

1-3)。

ping

Internet Explorer

浏览器，在地址栏中输入

“cmd” －>

命令测试是否连通。执行：

确定

）进行路由器的配置。

http://192.168.1.1:2000/

ping 192.168.1.1

TCP/IP

将会出现登

设

1-3

图

输入正确的用户名与密码后即登录（默认的用户名为：登录成功后浏览器即会显示具体的配置页面。

admin

；密码为：

admin

）。

管理端口。

WEB

登录初始化页面

管理界面

HTTP或HTTPS

第3章

在任何一台支持浏览器的电脑上，通过对防火墙配置管理。目前防火墙只支持中文一种语言。你可以指定防火墙哪一个接口开启

HTTP或HTTPS

图

可以进入

WEB

管理界面，

3.1

WEB

通过防火墙的运行状态。通过服务。当你对某个配置满意时，你可以把它下载来。下载下来的配置文件在可以用来防火墙配置的恢复。

WEB

基于

基于例，它展开后包含几个子菜单。当你选择一个子菜单时，就会打开与之关联页面的第一个标签。如果想查看其它标签，直接点击其它标签的名字。

在本手册中，到一个指定的页面的顺序是：先到打开特定的菜单栏目，再到子菜单和它的标签，如：

系统管理

管理界面，你可以对防火墙进行大部分的配置。通过

WEB

界面更改配置会立即生效，不需要重启防火墙或重启

的管理页面

WEB

的管理界面由菜单和页面组成，它们一般都含有多个标签。以系统管理为

网络

-> 域

WEB

界面也能监视

1. WEB管理菜单

本菜单提供了防火墙大部分主要配置的入口：

系统管理配置系统的网络功能如域和接口，管理地址，DNS，DHCP，时间，管理

设置用户创建防火墙策略中需要认证的用户账号、用户组或Radius服务器。

认证用户配置允许哪个用户组的用户认证。

路由配置静态路由或策略路由。

防火墙配置防火墙策略和保护设置，也包含NAT地址转换及MAC地址绑定。

虚拟专网配置虚拟专网VPN。

入侵防御配置入侵检查系统。

防病毒配置病毒防护。

WEB防护配置WEB防护及内容过滤。

WEB

图：

用户，系统升级维护。

管理界面范例。

2. 列表

垃圾邮件过滤配置垃圾邮件过滤。

日志与报告配置日志与报告。

退出系统注销退出系统。

WEB

很多

管理页面都是列表形式，如域、接口、防火墙策略，认证用户等等。

图：接口列表

3. 图标

列表显示了项目的一些信息，在列表的最右列，是对项目的可操作图标。在上图中，你可以对单条项目进行删除或编辑操作。

如果想新建一个项目，就点击“新建”按钮。点击“新建”按钮会打开一个对话框，让你填写项目的各种信息。“新建”按钮打开的对话框跟“编辑”图标打开的对话框类似。

4. 状态栏

WEB

管理界面不但含有按钮，还有不少图标来满足用户和系统的交互。以下是一些

名称描述

编辑编辑项目，点击后会出现项目信息对话框。

删除删除项目，点击后会出现确认删除对话框。

插入插入项目，点击后会在当前项目前上插入新的项目。

移动移动项目，点击后会出现移动顺序对话框。

下载点击后将下载文件。

显示显示文本项目内容。

开始开始执行某个动作。

加入组把处于左边组的可选项目加入到右边组里

从组删除把位于右边组的项目删除，删除的项目重新出现在左边组里，可以被

选择。

WEB

管理界面常见的图标的含义：

状态栏就是

状态栏显示：

WEB

管理界面最下端那栏。

系统自从上次启动后运行了多长时间。

3.1.2 本手册的组织结构

本手册将照介绍页面。

WEB

管理菜单介绍

图：状态栏

WEB

管理页面，每一个系统菜单的项目都有相应的

你可以连接到设备状态、系统资源、接口状态和系统最近10条日志及会话情况。

4.1

状态

状态页面就象系统的仪表，通过观察状态页面，我们可以知道当前系统的总体运行情况。系统所有具有读权限的用户都能查看系统状态页面。

具有写权限的用户（配置用户），可以更改状态页面的一些属性如主机名，也可以对升级系统。下面介绍：

查看系统状态

更改系统信息

4.1.1 查看系统状态

第4章

WEB

系统管理状态

管理界面查看当前的系统状态。状态页面显示了当前系统状态、

1. 系统状态

持续运行时间系统从上次启动到现在持续运行的时间。

系统日期防火墙系统当前时间。

当前用户当前登录的用户。

2. 设备状态

厂商名称防火墙厂商名称

设备类型防火墙设备的类型

序列号防火墙序列号

图系统状态查看页面

主机名防火墙系统的主机名

软件版本防火墙系统软件版本。

IPS入侵检查 IPS入侵检查软件版本。

病毒特征库病毒特征库软件版本。

序列号防火墙序列号标识。

3. 接口状态

接口显示系统默认接口名称

IP地址/掩码显示接口的IP地址及掩码，如果接口没配地址即显示为空

链路状态显示接口的链路状态

4. 系统资源

CPU占用率系统当前CPU占用率

内存占用率系统当前内在占用率

活动会话系统当前活动会话数目。

5. 事件日志

日期事件日志产生的日期

时间事件日志产生的时间

模块事件日志所属的子模块

消息事件日志消息的具体内容

6. 自动刷新周期

自动刷新周期启用自动刷新周期后，状态页面可以定时自动刷新。

刷新手动刷新状态页面。

应用选择的自动刷新时间周期。

协

议

4.1.2 更改系统信息

具有读写权限的配置管理员通过状态页面可以更改的信息有：

改变主机名称

升级系统版本

1. 改变主机名称

防火墙的主机名称在状态页面和命令行界面提示符中都有显示。主机名称。请参考

默认的主机名是

进入系统管理

在设备状态栏中，找到主机名那行，点更改。

输入新的主机名。

点击

改变后的主机名会立即显示在系统状态页面和命令行的提示符里，也会加到系统名里。

2. 升级软件版本

升级版本详细内容请参看“升级”一章：系统管理

按钮。

SNMP

FIREWARE。

状态

一章。

系统状态。

SNMP

维护

升级。

中也使用到

SNMP

4.2

会话

会话列表显示当前系统所有的连接会话信息。

图会话列表查看页面

列项说明

源IP 设置查找的源IP

源端口设置查找的源端口

目的IP 设置查找的目的IP

目的端口设置查找的目的端口

查找根据查找条件查找会话

连接的服务协议，如

有效期会话有效的时间（单位：秒）

TCP，UDP

或者

ICMP

状态

会话

查看会话列表：

系统管理

WEB

管理界面的会话列表显示所有的活动会话，每页显示10个。

通过点击上一页，下一页，首页，尾页图标来查看其它页会话。

通过填写IP地址和端口来查找会话。

5.1 域

第5章

系统网络设主要置防火墙与你目前网络的连接和交互。最基本的就是配置防火墙接入你当前的网络和设置要有：

z IP池

z DNS

域（合在一起，这样为应用策略提供了方便。例如把一个或多个接口或个域后，对此域应用策略后，此域下的所有接口或单个接口或

在域列表中，你可以新建、编辑和删除域，更改域名。当你新建一个域后，可以把接口或

域

接口

管理地址

别名地址

zone

）可以理解为接口的集合。通过域，可以把相关的接口或

VLAN

更实用。

VLAN

归于这个域。

系统管理网络

DNS

。高级的设置即包括域和

VLAN

子接口的设置。本章主

VLAN

子接口组

VLAN

组合成一

都受到影响，这样比指定

图域列表查看页面

列项说明

名称域的名称。

域类型域的类型（路由域或透明域）。

地址域的地址。如果是透明域，IP地址可有可没。

掩码域的掩码。如果是透明域，掩码可有可无。

允许域内访问是否允许域内相互访问。

域安全级别域的安全级别（可信，不可信，DMZ）。

表

删除

编辑/查看

域列表选项

5.1.1 域的设置

图新建域页面

设置项说明

名称域的ID，长度必须小于或等于6个字符。

域类型域的类型（路由域/透明域）

域 /IP

透明域我们可以设置域接口地址。

地址

掩码透明域我们可以设置域接口地址掩码

允许域

选择后域内的接口之间可以相互访问。

内访问

域安全

标识域的安全等级。

级别

表

新建域配置项

配置过程：

进入系统管理

网络

域。

5.2

接口

点击新建按钮，进入新建域页面

输入域的名字。

选择域的类型。

勾选是否允许域内访问。

选择域的安全级别。

点击“确定”按钮。

接口列表显示了防火墙所有的接口（包括物理接口及除，是预设定的。响防火墙与网络的连接。

VLAN

接口可以新建、编辑和删除。通过修改接口参数，可以影

VLAN

）。物理接口不能新建删

图接口列表查看页面

列项说明

名称物理接口或VLAN接口的名称。

域接口所属的域。

IP地址接口的IP地址。

掩码地址接口地址的掩码。

网络接口状态接口的开关状态。

访问权限接口所提供的访问服务。主要有：

如果想到从WEB管理页面，至少提供HTTP或HTTPS服务。

删除

编辑/查看

表

接口列表选项

5.2.1 接口设置

接口部分包括两种类型：一是物理接口；二是只能编辑操作，而理接口或接口，或者改变物理接口或

当一个接口起作用时，不能改变接口的名称。

vlan

虚拟接口。对于物理接口，我们

vlan

接口，我们可以新建、编辑和删除。接口设置对话框显示物

VLAN

子接口的当前设置。通过设置接口对话框，可以新建一个

VLAN

子接口的设置。

VLAN

子

图编辑物理接口页面

设置项说明

名称接口名称，系统预定义

所属域所属域的名称

地址类型接口地址类型包括手动指定、pppoe拨号和dhcp获取三种方式

IP地址当接口类型为自定义时，表示手动指定的接口地址

掩码地址当接口类型为自定义时，表示手动设定的接口地址掩码

用户当接口类型为pppoe时，表示pppoe拨号时的用户帐号

密码当接口类型为pppoe时，表示pppoe拨号时的用户帐号密码

覆盖本地

DNS

启用ddns 是否启用动态域名注册

Ddns服务器提供动态域名的服务器

Ddns帐户 Ddns服务器注册帐号

Ddns密码 Ddns服务器注册帐号密码

动态域名注册的动态域名

Ping服务器启用ping服务器检测

访问权限设置接口的访问权限，包括https,ping,http,ssh,snmp,telnet

接口速率设置物理接口工作速率

当接口类型为pppoe或者dhcp时，表示是否覆盖本地的DNS，即自动设置本地dns。

接口模式当物理接口速率不为“自适应”时，可设置网络接口工作模式为全双工或半双工：

Mtu值设置接口mtu值。为了提高网络的传输性能，你可以改变防火墙的数据包的最大传输

单元（MTU），这个影响到所有的接口。理想上来说，MTU值必须与防火墙内所有网

络及数据包目的地网络的最小MTU值一致。如果防火墙发送的数据包过大，它们就

会被分割成较小的片断，这样降低了传输速率。通过实验慢慢减小MTU值，可以找

到适合网络的MTU值。

要改变MTU值，先删除默认的MTU值（1500），然后输入新的MTU值。如果地址类

型为自定义或DHCP，MTU值可为576~1500字节。

提示：在透明模式时，如果你改变了一个接口的MTU值，你需要改变所有其它接口

的MTU值，使它们跟此接口MTU值一致。

表

物理接口配置过程：

进入系统管理->网络->接口页面

点击编辑，进入编辑接口页面

选择接口所属域

选择接口地址类型。对于自定义类型，输入IP地址/掩码；对于输入认证用户/密码，选择是否覆盖本地

DNS。

本地

pppoe

对于

ddns

服务器地址、动态域名、注册帐号和注册帐号密码。

选择是否启用

选择访问权限。

dhcp

或者

ping

服务器。如果启用，输入

点击“确定”，完成配置。

与编辑物理接口类似，下面是新建

设置物理接口选项

DNS

地址类型，选择是否启用

VLAN

部分。

；对于

ddns

ping

dhcp

服务器地址。

pppoe

类型，选择是否覆盖

。如果启用

ddns

类型，

，输入

图新建

VLAN

接口页面

设置项说明

名称接口名称，系统预定义

Vlan 所属接口 Vlan接口对应的物理接口

Vlan接口ID Vlan id号

所属域所属域的名称（该域可以是路由域或着透明域。当选择的域是透明域时，防火墙可以

配置成“网桥模式vlan trunk透传”。应避免某个物理接口和该物理接口所属的vlan都配置

为同一个透明域）

地址类型接口地址类型包括手动指定、pppoe拨号和dhcp获取三种方式

IP地址当接口类型为自定义时，表示手动指定的接口地址

掩码地址当接口类型为自定义时，表示手动设定的接口地址掩码

用户当接口类型为pppoe时，表示pppoe拨号时的用户帐号

密码当接口类型为pppoe时，表示pppoe拨号时的用户帐号密码

覆盖本地

DNS

启用ddns 是否启用动态域名注册

Ddns服务器提供动态域名的服务器

Ddns帐户 Ddns服务器注册帐号

Ddns密码 Ddns服务器注册帐号密码

动态域名注册的动态域名

Ping服务器启用ping服务器检测

访问权限设置接口的访问权限，包括https,ping,http,ssh,snmp,telnet

表

VLAN

进入系统管理->网络->接口页面

点击新建，进入新建

选择

选择接口所属域

当接口类型为pppoe或者dhcp时，表示是否覆盖本地的DNS，即自动设置本地dns。

接口配置过程：

vlan

设置

接口选项

vlan

所属接口，设置

VLAN

页面

vlan id

5.3

选择接口地址类型。对于自定义类型，输入IP地址/掩码；对于输入认证用户/密码，选择是否覆盖本地本地

对于

ddns

选择是否启用

选择访问权限。

点击“确定”，完成配置。

管理地址

DNS

；对于

dhcp

DNS。

pppoe

或者

dhcp

地址类型，选择是否启用

ddns

。如果启用

服务器地址、动态域名、注册帐号和注册帐号密码。

ping

服务器。如果启用，输入

ping

服务器地址。

pppoe

类型，选择是否覆盖

ddns

管理地址指可以管理防火墙的IP地址，为了安全，你可以设定能连接上管理页面的

。防火墙产品出厂默认有一个管理地址。

图管理地址列表查看页面

类型，

，输入

列项说明

接口管理地址所使用的物理接口。

管理IP 管理地址的IP。

掩码管理IP的掩码。

表

5.3.1 管理地址的设置

新建一个管理地址：

设置项说明

删除

编辑/查看

管理地址列表选项

图新建管理地址页面

接口管理地址所使用的物理接口

管理IP 管理地址的IP

掩码管理IP的掩码

表

进入系统管理

点击新建按钮

选择管理地址所连接的接口。

填写管理IP地址。

填写IP地址的掩码。

点击“确定”按钮。

网络

5.4

别名地址

别名地址就是为接口指定一个其它的IP地址。

新建管理地址配置项

管理地址

列项说明

接口别名地址的接口。

掩码别名地址的掩码。

删除

编辑/查看

表

5.4.1 别名地址的设置

图别名地址列表查看选项

别名地址列表选项

图新建别名地址页面

设置项说明

接口选择别名地址的接口

别名地址填写别名地址

掩码填写别名地址的掩码

表

新建别名地址：

进入系统管理

点击新建按钮。

选择别名地址的接口。

填写别名地址。

填写别名地址的掩码。

点击“确定”按钮。

5.5 IP池

新建别名地址配置项

网络

别名地址

池（也称动态IP池）指应用在防火墙接口的一个IP地址段。当你在防火墙

SNAT

策略中开启池功能后，出口数据包就会从IP池中随机地选择一个地址作为IP源地址。

列项说明

名称 IP池的名称。

接口 IP池的作用接口。

起始地址 IP池的起始地址。

结束地址 IP池的结束地址。

网络掩码 IP池地址掩码，必须为C类以上掩码。

表 IP

5.5.1 IP池的设置

删除

编辑/查看

图

地址池列表查看页面

地址池列表选项

图新建IP地址池页面

设置项说明

名称 IP池的名称。

接口 IP池的作用接口。

起始地址 IP池分配的起始地址。

结束地址 IP池分配的结束地址。

网络掩码 IP池地址的掩码，必须是C类以上掩码，如255.255.255.0

表

进入系统管理

输入IP池的名称。

网络

> IP

新建IP地址池配置项

池。

选择IP池的接口。

输入IP池的起始地址。

输入IP池的结束地址。

输入IP池地址的掩码。

点击“确定”按钮。

5.6 DNS

防火墙的不少服务都使用墙能连接上的

你可以配置你的主服务器地址。为了自动获取

PPPoE

如果某接口启用了

DNS

服务器地址。

DNS

服务，比如邮件警告跟

DNS

地址。

DNS

或备用

地址一般都是你的

DNS

服务。参看接口部分。

DNS

转发，此接口相连网络的主机就能把当前接口IP地址当作

服务器地址。发送到此接口的

URL

过滤。你可以增加防火

ISP

提供的。

DNS

服务器地址，也可以让防火墙自动获取

地址，防火墙至少有一个接口启用了

DNS

请求会转发到你配置的或自取获取的

DHCP

DNS

或

DNS

图

DNS

设置页面

设置项说明

自动获取 DNS服务器地址是自动获取的，当有接口类型选择启用获取dns时生效。

手动设置手动设置DNS服务器地址。

主DNS地址手动设置主DNS地址

备用DNS 地址手动设置备用DNS地址

启用DNS 转发启用DNS地址的转发，需要选择转发的接口。

转发接口选择启用DNS地址转发的接口。

表 DNS

设置选项

DNS

设置过程：

选择

DNS

地址获取模式，自动获取/手动设置

+ 101 hidden pages

LENOVO LFW400+ User Manual

Specifications and Main Features

Frequently Asked Questions

User Manual

关于天工防火墙

1.1.1 病毒防护

1.1.2 Web内容过滤

1.1.3 垃圾邮件过滤

1.1.4 防火墙

1. NAT/路由模式

2. 透明模式

3. 混合模式

1.1.5 VLAN和域

1.1.6 IPS

1.1.7 VPN

1.1.8 双机热备

1.1.9 安全安装，配置和管理

1. WEB界面

2. 命令行界面

3. 日志及报告

文档约定

天工防火墙文档

客户服务及技术支持

登录配置防火墙

1. WEB管理菜单

2. 列表

3. 图标

4. 状态栏

3.1.2 本手册的组织结构

状态

4.1.1 查看系统状态

1. 系统状态

2. 设备状态

3. 接口状态

4. 系统资源

5. 事件日志

6. 自动刷新周期

4.1.2 更改系统信息

1. 改变主机名称

2. 升级软件版本

会话

5.1 域

5.1.1 域的设置

接口

5.2.1 接口设置

管理地址

5.3.1 管理地址的设置

别名地址

5.4.1 别名地址的设置

5.5 IP池

5.5.1 IP池的设置

5.6 DNS