【正文】 38第 10 章 用戶認(rèn)證 拓?fù)銼 E R V E RP C 1 1 0 . 2 . 5 . 2 0 0P C 2 1 9 2 . 1 6 8 . 3 . 1 0 0P o r t 61 0 . 2 . 5 . 2 0 1P o r t 5 1 9 2 . 1 6 8 . 3 . 9 9U T M 防火墻 配置要求采用本地認(rèn)證方式通過(guò)定義認(rèn)證用戶控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。當(dāng) PC2 用戶試圖訪問(wèn)網(wǎng)絡(luò)資源時(shí)，UTM 防火墻將提示用戶輸入用戶名與密碼驗(yàn)證的信息。 配置步驟① 新建用戶聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 39② 新建用戶組③ 添加新用戶到新建的用戶組聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 40④ 添加防火墻策略，啟用授權(quán)認(rèn)證聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 41⑤ 驗(yàn)證在 PC2 上訪問(wèn) SERVER 提供的 web 服務(wù)，在 IE 地址欄中輸入聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 42輸入正確的用戶名及密碼后才允許訪問(wèn) server 的 web 服務(wù)。在 PC2 上訪問(wèn) SERVER 提供的 ftp 服務(wù)。在命令行中輸入命令 ftp 訪問(wèn) ftp 服務(wù)器。顯示防火墻需要驗(yàn)證，再輸入用戶認(rèn)證的用戶名和密碼。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 43重新連接后可以登錄。用戶認(rèn)證生效。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 44第 11 章 HA AP 模式 拓?fù)鋚 o r t 1p o r t 1p o r t 4p o r t 4p o r t 2p o r t 2p o r t 6p o r t 6P C 1P C 2U T M 1U T M 2 配置要求在兩臺(tái) UTM 上啟動(dòng) HA，采用 AP 模式。 配置步驟① 先不要按照拓?fù)溥B接，只將管理用 PC 與 UTM1 相連，配置好 IP 地址后，進(jìn)入 WEB 管理頁(yè)面。② 在 UTM1 上根據(jù)業(yè)務(wù)需要配置各個(gè)接口 IP 地址，防火墻策略或者 VPN等。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 45③ 在高可用性頁(yè)面配置 HA 參數(shù)。“組 ID”表示該設(shè)備是否屬于同一個(gè) HA 集群，所以各個(gè)同集群的 HA 設(shè)備應(yīng)該配置相同的“組 ID” ；“設(shè)備優(yōu)先級(jí)” 是用來(lái)協(xié)商主從關(guān)系的，數(shù)值大的優(yōu)先級(jí)高；“密碼”和“重新輸入密碼”是 HA 設(shè)備認(rèn)證用的；“主設(shè)備強(qiáng)占”一般不選擇此項(xiàng)，如果選擇了，主設(shè)備 down 掉后從設(shè)備切換成主，之后原主設(shè)備啟動(dòng)后又會(huì)搶回主地位，這樣等于切換了兩次。 “心跳接口”配置數(shù)值表示將這個(gè)接口啟動(dòng)為心跳接口來(lái)處理同步數(shù)據(jù)，UTM 上可以起動(dòng)多個(gè)心跳接口，數(shù)值大的接口優(yōu)先處理同步數(shù)據(jù)。 “監(jiān)測(cè)接口”上配置數(shù)值表示監(jiān)測(cè)該業(yè)務(wù)接口，這樣可以做到接口斷掉快速切換的效果?？梢耘渲孟嗤臄?shù)值。在配置完 HA 參數(shù)后提交設(shè)定，或者更改了配置后提交設(shè)定，設(shè)備都回有一段時(shí)間沒(méi)有響應(yīng)，頁(yè)面可能無(wú)法顯示，過(guò)一點(diǎn)時(shí)間就會(huì)正常。④ 將 PC1 和 UTM2 單獨(dú)連接，管理接口配置和 UTM1 相同的 IP 地址，進(jìn)入 WEB 管理頁(yè)面。將 UTM2 上其他接口 IP 配置和 UTM1 相同的 IP 地址。而其他內(nèi)容不用配置。⑤ 配置 HA 參數(shù)，只有“設(shè)備優(yōu)先級(jí)”是 64，其它和 UTM1 一樣。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 46⑥ 驗(yàn)證配置好 HA 參數(shù)后，將設(shè)備和 PC 按照拓?fù)溥B接好，進(jìn)入管理頁(yè)面查看 HA集群成員，可以看到有兩臺(tái)設(shè)備正工作在 HA 模式下。上面的設(shè)備為主設(shè)備。此時(shí)構(gòu)建一個(gè)穿過(guò)防火墻的流量，然后關(guān)掉主設(shè)備，流量在短暫的中斷后應(yīng)該可以恢復(fù)。⑦ 注意事項(xiàng)聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 47可以用命令行察看 HA 運(yùn)行狀態(tài)。get system ha diagnose sys ha status….id / ip / ldb_priority / cluster_idx = PV400U2905500263 / / 0 / 0；表示該設(shè)備是主設(shè)備id / ip / ldb_priority / cluster_idx = PV400U2905500728/ / 0 / 1；表示該設(shè)備是從設(shè)備在從墻上可以用命令執(zhí)行同步 execute ha synchronize all可以用命令查看是否同步diagnose sys ha checksync如果同步有問(wèn)題，可以嘗試重新啟動(dòng)兩臺(tái)設(shè)備進(jìn)行重新協(xié)商和同步。如果 HA 沒(méi)有工作，可以查看兩臺(tái)設(shè)備的接口 IP 是否配置的一致；另外，如果兩臺(tái)設(shè)備的板卡不是同一個(gè)型號(hào)是無(wú)法進(jìn)行 HA 的。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 48第 12 章 HA AA 模式 拓?fù)鋚 o r t 5p o r t 5p o r t 4p o r t 4p o r t 6p o r t 6P C 1P C 2U T M 1U T M 2 配置要求在兩臺(tái) UTM 上啟動(dòng) AH，采用 AA 模式。 配置步驟① 先不要按照拓?fù)溥B接，只將管理用 PC 與 UTM1 相連，配置好 IP 地址后，進(jìn)入 WEB 管理頁(yè)面。② 在 UTM1 上根據(jù)業(yè)務(wù)需要配置各個(gè)接口 IP 地址，防火墻策略或者 VPN等。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 49③ 配置 HA 參數(shù)，在模式處選擇“AA” ，并選擇流量處理方式?！敖M ID”表示該設(shè)備是否屬于同一個(gè) HA 集群，所以各個(gè)同集群的 HA 設(shè)備應(yīng)該配置相同的“組 ID”；“密碼”和“重新輸入密碼”是 HA 設(shè)備認(rèn)證用的；“心跳接口”配置數(shù)值表示將這個(gè)接口啟動(dòng)為心跳接口來(lái)處理同步數(shù)據(jù)，UTM 上可以起動(dòng)多個(gè)心跳接口，數(shù)值大的接口優(yōu)先處理同步數(shù)據(jù)。 “監(jiān)測(cè)接口”上配置數(shù)值表示監(jiān)測(cè)該業(yè)務(wù)接口，這樣可以做到接口斷掉快速切換的效果?？梢耘渲孟嗤臄?shù)值。在配置完 HA 參數(shù)后提交設(shè)定，或者更改了配置后提交設(shè)定，設(shè)備都回有一段時(shí)間沒(méi)有響應(yīng)，頁(yè)面可能無(wú)法顯示，過(guò)一點(diǎn)時(shí)間就會(huì)正常。④ 將 PC1 和 UTM2 單獨(dú)連接，管理接口配置和 UTM1 相同的 IP 地址，進(jìn)入 WEB 管理頁(yè)面。將 UTM2 上其他接口 IP 配置和 UTM1 相同的 IP 地址。而其他內(nèi)容不用配置。⑤ 配置 HA 參數(shù)，只有“設(shè)備優(yōu)先級(jí)”是 64，其它和 UTM1 一樣。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 50⑥ 驗(yàn)證配置好 HA 參數(shù)后，將設(shè)備和 PC 按照拓?fù)溥B接好，進(jìn)入管理頁(yè)面查看 HA集群成員，可以看到有兩臺(tái)設(shè)備正工作在 HA 模式下。也可以用命令行察看 HA 運(yùn)行狀態(tài)get system ha 聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 51聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 52第 13 章 IPSEC VPN ClientGW 密鑰認(rèn)證 拓?fù)銹 C 1 ( 1 0 . 1 . 5 . 2 0 0 ) ( 1 0 . 2 . 5 . 2 0 0 ) P C 21 0 . 1 . 5 . 2 5 4 p 5p 6 1 0 . 2 . 5 . 2 0 1 配置要求PC1 和 UTM 建立 IPSEC VPN 隧道，訪問(wèn) PC2。 配置步驟① 按照拓?fù)渑渲?IP 地址，PC1 和 PC2 網(wǎng)關(guān)指向 UTM。② 在 UTM 上配置默認(rèn)路由，網(wǎng)關(guān)指向 PC1。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 53③ 在 UTM 上配置 IPSEC 第一階段協(xié)商參數(shù)，注意遠(yuǎn)程網(wǎng)關(guān)選擇“連接用戶”類型。④ 在 UTM 上配置 IPSEC 第二階段協(xié)商參數(shù)⑤ 在 UTM 上配置防火墻策略，確定保護(hù)子網(wǎng)，此時(shí)注意出口地址應(yīng)選擇“any”聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 54⑥ 在 PC1 上安裝 VPN 客戶端，運(yùn)行打開(kāi)配置界面，增加一條隧道。⑦ 高級(jí)選項(xiàng)中，由于不需要獲取指定 IP 地址，所以不用選擇“獲取 IP 地址”選項(xiàng)。聯(lián)想網(wǎng)御 Power V UTM 防火墻 功能使用圖文手冊(cè)聯(lián)想網(wǎng)御科技（北京）有限公司 55⑧ 在密鑰設(shè)置中注意密鑰周期和 DH 組要與 UTM 上配置的一致。⑨ 驗(yàn)證 配置完成后，點(diǎn)擊連接按鈕可以看到協(xié)商過(guò)程并最終協(xié)商成功。聯(lián)想網(wǎng)御 Power V UTM 防火墻