DPtechFW系列防火墙系统操作手册.docx
《DPtechFW系列防火墙系统操作手册.docx》由会员分享,可在线阅读,更多相关《DPtechFW系列防火墙系统操作手册.docx(9页珍藏版)》请在冰豆网上搜索。
DPtechFW系列防火墙系统操作手册
DPtechFW1000操作手册
杭州迪普科技有限公司
2011年10月
DPtechFW1000操作手册1
第1章组网模式1
1.1组网模式1-透明模式1
1.2组网模式2-路由模式2
1.3组网模式3-混合模式3
第2章基本网络配置4
2.1实现功能4
2.2网络拓扑4
2.3配置步骤4
第3章深度检测功能配置7
3.1实现功能7
3.2网络拓扑7
3.3配置步骤7
第4章VPN9
4.1IPSecVPN9
4.1.2网关—网关模式10
4.2L2TPVPN12
4.2.1实现功能12
4.2.2网络拓扑12
4.2.3配置步骤12
4.3.1实现功能16
4.3.2网络拓扑16
4.3.3配置步骤16
4.4SSLVPN17
4.4.1实现功能17
4.4.2网络拓扑18
第5章VRRP双机热备20
5.1实现功能20
5.2网络拓扑20
5.3配置步骤20
第6章日志输出UMC24
6.1业务日志输出24
6.2会话日志输出24
6.3流量分析输出25
第1章组网模式
1.1组网模式1-透明模式
组网应用场景
Ø需要二层交换机功能做二层转发
Ø在既有的网络中,不改变网络拓扑,而且需要安全业务
Ø防火墙的不同网口所接的局域网都位于同一网段
特点
Ø对用户是透明的,即用户意识不到防火墙的存在
Ø部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置
Ø支持各类安全特性:
攻击防护、包过滤、应用识别及应用访问控制等
配置要点
Ø接口添加到相应的域
Ø接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
Ø接口配置VLAN属性
Ø必须配置一个vlan-ifxxx的管理地址,用于设备管理
1.2组网模式2-路由模式
组网应用场景
Ø需要路由功能做三层转发
Ø需要共享Internet接入
Ø需要对外提供应用服务
Ø需要使用虚拟专用网
特点
Ø提供丰富的路由功能,静态路由、RIP、OSPF等
Ø提供源NAT支持共享Internet接入
Ø提供目的NAT支持对外提供各种服务
Ø支持各类安全特性:
攻击防护、包过滤、应用识别及应用访问控制等
Ø需要使用WEB认证功能
配置要点
Ø接口添加到相应的域
Ø接口工作于三层接口,并配置接口类型
Ø配置地址分配形式静态IP、DHCP、PPPoE
1.3组网模式3-混合模式
组网应用场景
Ø需结合透明模式及路由模式
特点
Ø在VLAN内做二层转发
Ø在VLAN间做三层转发
Ø支持各类安全特性:
攻击防护、包过滤、应用识别及应用访问控制等
配置要点
Ø接口添加到相应的域
Ø接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
Ø接口配置VLAN属性
Ø添加三层接口,用于三层转发
Ø配置一个vlan-ifxxx的地址,用于三层转发
第2章
基本网络配置
2.1实现功能
Ø
Ø内网地址为DHCP获得
Ø内网对外提供HTTP服务(安装web服务器)
2.2网络拓扑
2.3配置步骤
Ø【网络管理】->【接口管理】下,配置接口参数
Ø在【网络管理】->【网络对象】下,将接口添加到安全域
Ø在【网络管理】->【单播IPv4路由】下,添加出口路由
Ø在【网络管理】->【DHCP配置】下,启动DHCPServer
Ø在【防火墙】->【NAT】下,添加源NAT
Ø在【防火墙】->【NAT】下,添加目的NAT
Ø在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略
第3章
深度检测功能配置
3.1实现功能
Ø采用第1章——基本网络配置
Ø内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访问控制、URL过滤、行为审计等)
Ø备注:
本次功能配置以应用限速为例
3.2网络拓扑
3.3配置步骤
Ø在【访问控制】->【网络应用带宽限速】下,配置限速策略
Ø在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略
Ø部分DPI功能配置举例
第4章
VPN
4.1IPSecVPN
4.1.1客户端接入模式
4.1.1.1实现功能
Ø采用第1章——基本网络配置
Ø客户端方式连接到内网,共享内网资源
4.1.1.2网络拓扑
4.1.1.3配置步骤
Ø在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式
Ø在客户端安装IPSecVPN客户端程序
4.1.2网关—网关模式
4.1.2.1实现功能
Ø两端配置采用第1章——基本网络配置(相关IP不同)
Ø
4.1.2.2网络拓扑
4.1.2.3配置步骤
Ø在【VPN】->【IPSec】下,进行网关—网关模式配置
4.2L2TPVPN
4.2.1实现功能
Ø采用第1章——基本网络配置
Ø
4.2.2网络拓扑
4.2.3配置步骤
Ø在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中
Ø在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息
Ø在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:
#
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIPSec"=dword:
00000001
#
Ø新建L2TP客户端,在【网上邻居】中创建新连接
Ø需要修改的参数如下
4.3GREVPN
4.3.1实现功能
Ø两端配置采用第1章——基本网络配置(相关IP不同)
ØGRE
4.3.2网络拓扑
4.3.3配置步骤
Ø在【网络管理】->【单播IPv4路由】下,添加静态路由
Ø在【VPN】->【GRE】下,创建GREVPN策略
4.4SSLVPN
4.4.1实现功能
Ø采用第1章——基本网络配置
Ø
4.4.2网络拓扑
4.4.3配置步骤
Ø在【VPN】->【SSLVPN】下,启动SSLVPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)
Ø在【VPN】->【SSLVPN】下,配置资源(IP资源、web资源等)
Ø在【VPN】->【SSLVPN】下,添加用户
第5章
VRRP双机热备
5.1实现功能
Ø
Ø
Ø重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响
5.2网络拓扑
5.3配置步骤
Ø在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5连接内网,eth_6连接外网)
Ø在【网络管理】->【网络对象】下,将接口添加到安全域中
Ø在【网络管理】->【单播IPv4路由】下,添加出口默认路由
Ø在【防火墙】->【NAT】下,配置源NAT策略
Ø在【高可靠性】->【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟IP)
Ø在【高可靠性】->【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数
Ø在【高可靠性】->【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down掉,如需重新up,则需重新打开接口的管理状态
第6章
日志输出UMC
6.1业务日志输出
Ø在【日志管理】->【业务日志】下,配置业务日志输出
ØFW中,业务日志主要包括行为审计日志
6.2会话日志输出
Ø在【防火墙】->【会话管理】下,配置会话日志输出
ØFW中,会话日志主要包括NAT日志
6.3流量分析输出
Ø在【上网行为管理】->【流量分析】下,配置流量分析输出
ØFW中,流量分析主要包括流量分析日志
升级会员 