聯(lián)想網(wǎng)御防火墻PowerVWeb界面操作手冊_7資源定義

1、.網(wǎng)御防火墻 PowerVWeb界面操作手冊第7章 資源定義為了簡化防火墻安全規(guī)則的配置和維護工作，引入了資源定義。聯(lián)想網(wǎng)御防火墻系統(tǒng)可以定義以下資源：l 地址：地址、地址組、NAT地址池、服務(wù)器地址l 服務(wù)：服務(wù)、服務(wù)組l 用戶：用戶、用戶組l 時間：時間、時間組、一次性調(diào)度和周循環(huán)調(diào)度l 帶寬：帶寬l URL關(guān)鍵字l 網(wǎng)頁關(guān)鍵字l VLAN ID7.1 資源定義通用功能介紹對于各項資源，操作基本相同，通常提供如下操作：l 分頁顯示l 查找l 排序l 添加資源l 編輯資源（修改）l 刪除資源還有一些需要注意的地方，適用于所有規(guī)則，比如：l 名稱的限制l 備注的限制下面對這些共同的功能做一個介

2、紹。7.1.1 分頁顯示各列表界面均有“分頁功能”，其工具條通常位于表格的下方，如下圖所示：例如，點擊“資源定義>>地址>>地址列表”，顯示地址列表頁面，就能看到上述工具條。實際上，所有資源的列表頁面都有該項功能。具體如下：表 71資源定義分頁功能列表功能說明第一頁前一頁后一頁最后一頁當(dāng)前頁面/總頁碼當(dāng)有很多頁時，可以直接跳轉(zhuǎn)。輸入希望跳轉(zhuǎn)的頁碼，點擊即可。頁碼框只接受正整數(shù)。如果輸入頁面大于總頁碼，則跳轉(zhuǎn)到最后一頁。每頁顯示的行數(shù)如果出現(xiàn)豎向滾動條，則點擊可以回到該頁頁首。7.1.2 查找為便于查找已經(jīng)定義過的資源，各列表界面均提供了查找功能，通常位于標(biāo)題和列表之間，

3、靠右排列。如下圖所示：功能說明查找通常為按“名稱”和“備注”進(jìn)行查找。在輸入框中輸入待查找的關(guān)鍵詞，點擊“查找”即可。如果輸入框中為空或者默認(rèn)值，則不進(jìn)行篩選，列出所有資源。7.1.3 排序為便于查看比較資源，各列表界面均提供了排序功能。具體如下：功能說明排序在列表的標(biāo)題部分，有兩種不同的字體，如圖所示，藍(lán)粗體（如）表示可以進(jìn)行排序，黑粗體（如）則不能進(jìn)行排序。用鼠標(biāo)點擊（如）則進(jìn)行排序，升序降序交替進(jìn)行，如前一次為升序排序，則下一次為降序排序。通常按照字符串順序進(jìn)行排序（如、，如果為數(shù)字項，則按數(shù)字大小進(jìn)行排序（如）。7.1.4 添加各項資源最重要的功能之一就是能夠添加資源， 按鈕都排列在在

4、各列表最下方的正中位置。添加資源的操作步驟：1. 在相應(yīng)的資源列表頁面中，點擊，將彈出添加界面；2. 給彈出界面的各域選擇或者輸入相應(yīng)的值；3. 點擊，則成功添加本條規(guī)則后關(guān)閉本窗口；如果點擊，則添加本條規(guī)則成功后刷新列表頁碼，本窗口不關(guān)閉，以便繼續(xù)添加下一條。點擊后彈出界面中最下方通常有三個按鈕，如圖所示：功能說明添加下一條點擊“添加下一條”，則進(jìn)行添加資源的動作，如果通過有效性檢查，添加成功，則刷新列表界面，本窗口繼續(xù)存在，可以繼續(xù)添加其它資源?！疤砑酉乱粭l”通常用在同時添加若干資源的情況，不用再點擊列表界面的“添加”按鈕了，簡化了操作過程。在修改資源時，彈出窗口中只有“確定”和“取消”按

5、鈕，無“添加下一條”按鈕。確定點擊“確定”，則進(jìn)行添加資源的動作，如果通過有效性檢查，添加成功，則關(guān)閉彈出窗口，刷新列表界面?！按_定”為默認(rèn)操作。取消點擊“取消”，則關(guān)閉彈出窗口，即為取消本次操作。7.1.5 編輯各項資源，不管是否被引用，均能隨時修改。名稱不能改變，其余屬性可以修改。編輯資源的操作步驟：1 在相應(yīng)的資源列表頁面中，點擊對應(yīng)的編輯圖標(biāo)（如圖：），將彈出編輯界面2 輸入相應(yīng)的值，或者指定相應(yīng)的成員（對于各項資源，值的限制不同，在各資源中進(jìn)行介紹，可參考具體資源的幫助或者手冊）3 點擊，修改成功后關(guān)閉本窗口。功能說明編輯（修改）點擊對應(yīng)資源的后，將彈出編輯框，通常，編輯框比添加框少

6、一個按鈕，其它各項相同。需要注意以下三點：（1） 修改時，不能修改資源的名稱，其它各項值，均可修改。（2） 所有資源可以隨時進(jìn)行修改。例如，有一個地址“DepA”，不管它是否被安全規(guī)則等使用了，都可以進(jìn)行修改。（3） 修改成功以后立刻生效了。即用到了該地址的所有規(guī)則都自動更新。7.1.6 刪除資源可以被刪除，但是正在被規(guī)則引用的資源不能被刪除。刪除資源的操作步驟如下：1 在相應(yīng)的資源列表界面，點擊對應(yīng)的刪除圖標(biāo)（如圖：）2 彈出確認(rèn)框，如圖：3 點擊則進(jìn)行刪除動作，如果該資源不能被刪除，則報錯；如果點擊“取消”，則取消本次操作。注意：被引用的資源不能被刪除。有兩種引用方式：被規(guī)則引用：即規(guī)則中

7、使用了該資源被組引用：即該資源為資源組的成員例如，有一個地址“DepA”，如果其被安全規(guī)則等使用了，則不能進(jìn)行刪除。又例，地址“DepA”是地址組“GrpA”的成員，則不能刪除地址“DepA”，要刪除地址“DepA”，必須先到地址組“GrpA”中移出該成員。如果確實需要刪除該地址，則必須先清除所有對該資源的引用。7.1.7 名稱和備注值域說明名稱所有資源都有名稱，名稱為必填項。名稱不能被修改。如果確實需要修改名稱，則只能先刪除該資源，再重新添加。名稱必須滿足：1-15 字母、數(shù)字、減號、點、下劃線組合，并以字母開頭。相同類型中不能重名，比如不能在地址列表中同時出現(xiàn)兩個名稱為“AAA”的地址，也

8、不能在地址列表和地址組中出現(xiàn)同名。備注所有資源都有備注，備注為可選項。備注中不像名稱那樣對輸入字符串進(jìn)行了嚴(yán)格的限制，備注中可以輸入任何字符，但是必須小于48個字節(jié)，即48個英文字符或者24個漢字。7.2 地址在定義“安全策略>>安全規(guī)則”之前，一般需要按照特定的原則（比如：按部門、按人員等）定義地址資源，這樣制定的安全規(guī)則比較容易閱讀和理解。當(dāng)部門或者人員的IP地址發(fā)生變化時，只需在本列表中更新即可，無需再更改安全規(guī)則。注意：添加地址資源時最好不要超過512條，否則對系統(tǒng)性能影響較大。7.2.1 地址列表圖 71地址列表地址用于“策略配置>>安全規(guī)則”和“資源定義&g

9、t;>用戶”?？梢园慈N方式來定義地址：（1） IP地址/掩碼（2） 反IP地址/掩碼（3） 地址范圍IP1 IP2。注意：在修改地址資源時，不能修改地址的類型。如下圖所示：圖 72地址列表維護表 72地址類型列表值域說明IP/MASK地址用IP和掩碼表示一個網(wǎng)段自動用IP和掩碼進(jìn)行運算，添加成功的為一個網(wǎng)段。例如：輸入2/，則添加成功后變?yōu)?。如果希望指定一臺主機，請選擇掩碼為55反IP/MASK地址定義IP和掩碼表示的網(wǎng)段之外的所有地址IP1-IP2地址段IP

10、1必須小于或等于IP2如果只指定一臺主機，可以讓IP1和IP2相等7.2.2 地址組圖 73地址組列表地址組用于“策略配置>>安全規(guī)則”和“資源定義>>用戶”。地址組的成員只能為“資源定義>>地址>>地址列表”中已經(jīng)定義過的地址。在“資源定義>>地址>>地址組”，點擊，將彈出以下界面：圖 74地址組添加表 73地址組添加元素表值域說明地址列表列出所有在“資源定義>>地址>>地址列表”中定義的地址，“服務(wù)器地址”和“NAT地址池”不能作為地址組的成員。屬于地址的成員將被移動到成員列表中，不再顯示于本列

11、表中。地址組成員該地址組的所有成員，成員只能是在“資源定義>>地址>>地址列表”中定義的地址。地址組至少要有一個成員。操作說明添加成員，點擊把選中的地址移動到成員列表刪除成員，點擊把選中的成員移動到地址列表中7.2.3 地址池“地址池”用于在一個網(wǎng)絡(luò)接口上綁定多個ip地址。圖 75地址池列表在“資源定義>>地址>>地址池”，點擊，將彈出以下界面：圖 76地址池添加表 74地址池添加元素表值域說明地址IP1 到 IP2的一段地址范圍，一個NAT地址池最多支持254個IP地址，IP地址不能跨網(wǎng)段，計算時，A類地址掩碼為，B類地址掩碼

12、為，C類地址掩碼為IP1必須小于等于IP2IP1和IP2相等表示一臺主機不同的地址池之間不能有相同的IP地址網(wǎng)絡(luò)接口地址中指定的所有地址虛擬綁定在該網(wǎng)絡(luò)接口上。7.2.4 服務(wù)器地址“服務(wù)器地址”用于指定一組內(nèi)部服務(wù)器地址。在“資源定義>>地址>>服務(wù)器地址”，點擊，將彈出以下界面：圖 77服務(wù)器地址列表圖 78服務(wù)器地址添加表 75服務(wù)器地址添加元素表值域說明服務(wù)器地址填寫收保護的內(nèi)部服務(wù)器的IP地址，多個服務(wù)器提供相同服務(wù)。最多可同時支持8個服務(wù)器。7.3 服務(wù)服務(wù)用于指定“協(xié)議 + 源端口 + 目的端口”， 可以定義

13、四種服務(wù)：（1） 動態(tài)服務(wù)：目前支持H323、FTP、SQLNET、IRC、PPTP、RSTP、TFTP等動態(tài)協(xié)議（2） ICMP服務(wù)：可指定type和code。（3） 基本服務(wù)：可以“協(xié)議 + 源端口 + 目的端口”（4） 服務(wù)組：把以上服務(wù)組合起來，形成一個服務(wù)組。以下兩處用到服務(wù)資源：（1） “策略配置”下的：包過濾規(guī)則、NAT規(guī)則、端口映射規(guī)則（2） “資源定義”下的：用戶、用戶組7.3.1 預(yù)定義服務(wù)預(yù)定義服務(wù)定義了一些常用的服務(wù)，不可以修改，刪除，只可以被引用。7.3.2 動態(tài)服務(wù)動態(tài)服務(wù)列表中列出了當(dāng)前已定義的所有動態(tài)服務(wù)。圖 79動態(tài)服務(wù)列表選中點擊，將彈出以下界面：圖 710

14、動態(tài)服務(wù)維護值域說明協(xié)議選擇要修改的動態(tài)協(xié)議類型。端口協(xié)議使用的端口7.3.3 ICMP服務(wù)服務(wù)列表顯示當(dāng)前的ICMP服務(wù)。圖 711 icmp服務(wù)列表添加窗口為：圖 712 icmp服務(wù)添加值域說明類型（type）ICMP服務(wù)類型代碼（Code）ICMP服務(wù)代碼7.3.4 基本服務(wù)列表中顯示了當(dāng)前已定義的所有基本服務(wù)。圖 713基本服務(wù)列表點擊，將彈出以下界面：圖 714基本服務(wù)添加表 76基本服務(wù)添加元素表值域說明源端口指定該服務(wù)請求者的端口從低端口到高端口的一段地址范圍，如果只想表示一個端口，則把低端口和高端口設(shè)成相同。低端口小于等于高端口端口的取值范圍為0到65535源端口通常設(shè)為0-

15、65535，表示所有端口目的端口指定提供該服務(wù)的端口從低端口到高端口的一段地址范圍，如果只想表示一個端口，則把低端口和高端口設(shè)成相同的數(shù)字。低端口小于等于高端口端口的取值范圍為0到65535目的端口通常有限的一個或者幾個端口，例如80 80 協(xié)議可以設(shè)置TCP、UDP和其它協(xié)議。TCP和UDP協(xié)議必須指定端口，低端口和高端口必須成對出現(xiàn)，若低端口和高端口都沒出現(xiàn)，則默認(rèn)為0-65535，表示所有端口。其它協(xié)議需要指定協(xié)議號，協(xié)議號范圍為0-255，若該協(xié)議有端口的概念，則同TCP和UDP；若該協(xié)議無端口的概念，則無需填寫源端口和目的端口，系統(tǒng)默認(rèn)使用0-65535。一個服務(wù)最少需要1對“協(xié)議源

16、端口目的端口”，最多同時支持8對，通常少于8個，則依次靠前填寫，剩下各行均不填寫即可。7.3.5 服務(wù)組圖 715服務(wù)組列表服務(wù)組用于“策略配置>>安全規(guī)則”和“資源定義>>用戶>>用戶組”。服務(wù)組的成員可以是“資源定義>>服務(wù)>>服務(wù)列表”中已經(jīng)定義過的基本服務(wù)、動態(tài)服務(wù)和ICMP服務(wù)。在“資源定義>>服務(wù)>>服務(wù)組”，點擊，將彈出以下界面：圖 716服務(wù)組添加表 77服務(wù)組添加元素表值域說明服務(wù)列表列出所有在“資源定義>>服務(wù)>>服務(wù)列表”中定義的所有服務(wù)，包括“預(yù)定義服務(wù)”“基本服

17、務(wù)”“動態(tài)服務(wù)”“ICMP”。本服務(wù)的成員將被移動到成員列表中，不再顯示于本列表中。服務(wù)組成員列出本組的所有成員。操作說明添加成員，點擊把選中的服務(wù)移動到成員列表刪除成員，點擊把選中的成員移動到服務(wù)列表中7.4 用戶用戶認(rèn)證與“策略配置>>安全規(guī)則”配合使用，在安全規(guī)則中選中“用戶認(rèn)證”，則被安全規(guī)則“允許”或者“代理”的連接必須需要經(jīng)過認(rèn)證才能被“允許”或者“代理”。認(rèn)證服務(wù)器在“系統(tǒng)配置>>聯(lián)動>>用戶認(rèn)證服務(wù)器”中設(shè)置，支持兩種認(rèn)證方式：（1） RADIUS認(rèn)證（2） 本地認(rèn)證注意：在此“資源定義>>用戶”界面中定義的用戶和用戶組均為本地用

18、戶認(rèn)證庫，只能為本地認(rèn)證使用。如果使用RADIUS認(rèn)證方式，則用戶的信息在RADIUS認(rèn)證服務(wù)器上進(jìn)行設(shè)置。如果需要使用用戶認(rèn)證，必須定義用戶庫。在本地用戶認(rèn)證庫中，提供了兩種形式：（1） 用戶：通常指單個人，如小王、小李。（2） 用戶組：通常指有共性的人，比如同一個部門，同一種職位，等等。注意：（1） 用戶可以不屬于任何一個用戶組：如剛來的新員工，還不屬于任何一個部門（2） 用戶組中可以沒有任何一個用戶：如要成立一個新部門，還沒有任何員工；又如，有一種職位，還沒有任何員工（3） 同一用戶可以同時屬于多個組：如一位員工，同時在A部門和B部門承擔(dān)工作；又如，有一員工同時擔(dān)任了多個職位（4） 如果

19、用戶屬性和組屬性發(fā)生沖突，以用戶屬性為準(zhǔn)（5） 如果一個用戶同時屬于多個組，組之間的屬性不同或者有沖突，取其最優(yōu)（大的，啟用的，等等）值，不能累加。通常，推薦先定義用戶組，再定義用戶。7.4.1 用戶列表圖 717用戶列表可以按照用戶名、登錄成功次數(shù)、登錄失敗次數(shù)、上次成功登錄時間和備注進(jìn)行排序。添加用戶界面如下：圖 718用戶添加表 78用戶添加元素列表值域說明名稱名稱必須唯一口令該用戶用于認(rèn)證的口令所屬組左邊的列表框列出了在“用戶組”中定義的所有組。右邊的列表框列出了本用戶所屬組本用戶所屬組可以為空，即不屬于任何組。安全策略表包括兩項：允許登錄IP：指明該用戶在指定的地址能夠登錄允許登錄時

20、間：指明該用戶只能在指定的時間段進(jìn)行登錄注意：如果在此處指定了安全策略，則僅僅使用這些而不使用所屬組的安全策略；如果此處沒有指定安全策略，則使用所屬組的安全策略，只要滿足其中任何一個組的安全策略皆可登錄。操作：添加：點擊“添加”按鈕刪除：沒有刪除按鈕，把該條策略的允許登錄地址設(shè)為“刪除該條”即可修改：直接點擊列表進(jìn)行修改即可啟用本帳號是否啟用本帳號點擊相應(yīng)的“編輯”按鈕，彈出以下界面：圖 719用戶維護界面中，顯示了一些用戶的狀態(tài)信息。7.4.2 用戶組圖 720用戶組列表圖 721用戶組維護表 79用戶組維護元素表值域說明名稱名稱必須唯一認(rèn)證協(xié)議SKEY：用電子鑰匙進(jìn)行認(rèn)證PAP：用口令進(jìn)行

21、認(rèn)證分配流量給該用戶組中每個用戶分配的流量分配流量使用完畢后用戶帳號自動鎖定，重置后才能恢復(fù)使用分配時間給該用戶組中每個用戶分配的時間分配時間使用完畢后用戶帳號自動鎖定，重置后才能恢復(fù)使用有效期帳號在此日期以前有效，過期則失效，需重新設(shè)定有效期才能生效密碼最長修改間隔口令使用一段時間以后，最好能定期更新，為培養(yǎng)良好的口令更新習(xí)慣，如果超過了最長修改間隔（如：10天）未修改密碼，則登錄時客戶端告警客戶，建議其最好修改密碼。為空表示無限制，不做告警。啟用本組帳號選中則啟用本組帳號，否則禁用本組帳號“用戶”中也有該屬性，當(dāng)有沖突時，以用戶的設(shè)置為準(zhǔn)。自動重置選中則定期重置“分配流量”和“分配時間”，

22、恢復(fù)被鎖定的帳號有兩種方式：每月重置或者每周重置如：用戶組“GrpA”分配流量為15000K，每月1號自動重置，用戶“A1”屬于用戶組“GrpA”。用戶“A1”在25號共計使用了15000K流量，可用流量還剩0，則帳號自動被鎖定，到下月1號，用戶“A1”帳號解除鎖定，可用流量重新被置為15000K。本組用戶左邊的列表框列出了在“用戶”中定義的所有用戶。右邊的列表框列出了屬于本組的用戶用戶組可以無任何成員安全策略表包括兩項：登錄IP限制：指明該組所有用戶在指定的地址進(jìn)行登錄登錄時間限制：指明該用戶在指定的時間段能夠登錄注意：如果用戶指定了安全策略，則忽略其所屬組的策略，僅用戶處指定的策略有效。如

23、果用戶處未指定安全策略，則只要滿足其所屬組的任何一條安全策略，用戶都可以通過認(rèn)證。操作：添加：點擊“添加”按鈕刪除：沒有刪除按鈕，把該條策略的允許登錄地址設(shè)為“刪除該條”即可修改：直接點擊列表進(jìn)行修改即可可使用服務(wù)列表指定該組用戶通過認(rèn)證后可以使用的服務(wù)。包括三項：可連接目的地址：通過認(rèn)證后可連接的目的地址。下拉框中顯示的內(nèi)容為在“資源定義>>地址>>地址列表”和“資源定義>>地址>>地址組”中定義的所有地址和地址組。可使用服務(wù)：通過認(rèn)證后用戶可使用的服務(wù)。下拉框中顯示的內(nèi)容為在“資源定義>>服務(wù)>>服務(wù)列表”和“資源定義

24、>>服務(wù)>>服務(wù)組”中定義的所有服務(wù)和服務(wù)組。時間限制：通過認(rèn)證后可以使用服務(wù)的時間端。下拉框中顯示的內(nèi)容為在“資源定義>>時間>>時間列表”和“資源定義>>時間>>時間組”中定義的所有時間和時間組。操作：刪除：沒有刪除按鈕，把該條策略的可連接的目的地址設(shè)為“刪除該條”即可7.5 時間很多訪問控制和時間有緊密的關(guān)系。比如，上班時間不能上網(wǎng)瀏覽新聞，但是，下班時間可以。這樣，就需要有時間調(diào)度策略。在“資源定義>>時間”中，可以定義靈活的時間調(diào)度方式?？梢园凑找淮涡哉{(diào)度和周循環(huán)調(diào)度兩種方式，來定義時間。還可以把時間

25、組合成時間組。定義的時間和時間組在以下幾處應(yīng)用：（1） 安全規(guī)則：包過濾規(guī)則、NAT規(guī)則、端口映射規(guī)則、IP映射規(guī)則（2） 本地用戶認(rèn)證：用戶、用戶組的安全策略和可使用服務(wù)（3） 撥號設(shè)備中設(shè)置自動撥號7.5.1 時間列表圖 722時間列表可以按照一次性調(diào)度和周循環(huán)調(diào)度兩種方式，來定義時間。如下圖所示：圖 723時間資源維護表 710時間資源維護元素表值域說明一次性調(diào)度指定起始和終止 年月日 時分秒例如：2004/10/01 00:00:00 至 2004/10/07 23:59:59為放假時間，禁止所有內(nèi)部主機訪問外部INTERNET。則可在時間定義中定義一條一次性時間，再到安全規(guī)則中定義相

26、應(yīng)的規(guī)則即可。周循環(huán)調(diào)度每周七天，每天都可以指定起始時間和終止時間，指定 時分秒例如：需要實現(xiàn)這樣的功能：在工作時間禁止所有WEB瀏覽。則可以設(shè)置一條安全規(guī)則，源地址和目的地址均設(shè)為“any”，服務(wù)選擇“HTTP”，時間段選擇按上圖設(shè)置“worktime”，其它各項使用默認(rèn)值，即可。7.5.2 時間組圖 724時間組列表圖 725時間組維護值域說明時間列表列出所有在“資源定義>>時間>>時間列表”中定義的時間。時間組成員不再顯示于本列表中。時間組成員該時間組的所有成員。操作說明添加成員，點擊把選中的時間移動到成員列表刪除成員，點擊把選中的成員移動到時間列表中7.6 帶寬策略列表由于可供用戶使用的線路帶寬總是有限的，為了協(xié)調(diào)資源，優(yōu)先保障重要服務(wù)，有必要進(jìn)行帶寬控制。在“資源定義>>帶寬策略列表”中可以按優(yōu)先級、保證帶寬和最大帶寬來定義帶寬控制策略。定義的所有帶寬策略在“策略配置>>帶寬管理”中用到。圖 726帶寬列表圖 727帶寬列表維護表 711帶寬列表維護元素表值域說明優(yōu)先級當(dāng)各項服務(wù)競爭帶寬資源時，總是首先保障優(yōu)先級高的服務(wù)保