DPtech FW1000系列防火墙系统操作手册.docx

上传人:b****1 文档编号:17650895 上传时间:2023-04-24 格式:DOCX 页数:23 大小:1.88MB
下载 相关 举报
DPtech FW1000系列防火墙系统操作手册.docx_第1页
第1页 / 共23页
DPtech FW1000系列防火墙系统操作手册.docx_第2页
第2页 / 共23页
DPtech FW1000系列防火墙系统操作手册.docx_第3页
第3页 / 共23页
DPtech FW1000系列防火墙系统操作手册.docx_第4页
第4页 / 共23页
DPtech FW1000系列防火墙系统操作手册.docx_第5页
第5页 / 共23页
点击查看更多>>
下载资源
资源描述

DPtech FW1000系列防火墙系统操作手册.docx

《DPtech FW1000系列防火墙系统操作手册.docx》由会员分享,可在线阅读,更多相关《DPtech FW1000系列防火墙系统操作手册.docx(23页珍藏版)》请在冰豆网上搜索。

DPtech FW1000系列防火墙系统操作手册.docx

DPtechFW1000系列防火墙系统操作手册

DPtechFW1000操作手册

 

 

杭州迪普科技有限公司

2011年10月

第1章组网模式

1.1组网模式1-透明模式

组网应用场景

Ø需要二层交换机功能做二层转发

Ø在既有的网络中,不改变网络拓扑,而且需要安全业务

Ø防火墙的不同网口所接的局域网都位于同一网段

特点

Ø对用户是透明的,即用户意识不到防火墙的存在

Ø部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置

Ø支持各类安全特性:

攻击防护、包过滤、应用识别及应用访问控制等

配置要点

Ø接口添加到相应的域

Ø接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

Ø接口配置VLAN属性

Ø必须配置一个vlan-ifxxx的管理地址,用于设备管理

1.2组网模式2-路由模式

组网应用场景

Ø需要路由功能做三层转发

Ø需要共享Internet接入

Ø需要对外提供应用服务

Ø需要使用虚拟专用网

特点

Ø提供丰富的路由功能,静态路由、RIP、OSPF等

Ø提供源NAT支持共享Internet接入

Ø提供目的NAT支持对外提供各种服务

Ø支持各类安全特性:

攻击防护、包过滤、应用识别及应用访问控制等

Ø需要使用WEB认证功能

配置要点

Ø接口添加到相应的域

Ø接口工作于三层接口,并配置接口类型

Ø配置地址分配形式静态IP、DHCP、PPPoE

1.3组网模式3-混合模式

组网应用场景

Ø需结合透明模式及路由模式

特点

Ø在VLAN内做二层转发

Ø在VLAN间做三层转发

Ø支持各类安全特性:

攻击防护、包过滤、应用识别及应用访问控制等

配置要点

Ø接口添加到相应的域

Ø接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

Ø接口配置VLAN属性

Ø添加三层接口,用于三层转发

Ø配置一个vlan-ifxxx的地址,用于三层转发

第2章

基本网络配置

2.1实现功能

Ø内网(3.3.3.2/24)可访问外网(10.99.0.1/24)

Ø内网地址为DHCP获得

Ø内网对外提供HTTP服务(安装web服务器)

2.2网络拓扑

2.3配置步骤

Ø【网络管理】->【接口管理】下,配置接口参数

Ø在【网络管理】->【网络对象】下,将接口添加到安全域

Ø在【网络管理】->【单播IPv4路由】下,添加出口路由

Ø在【网络管理】->【DHCP配置】下,启动DHCPServer

Ø在【防火墙】->【NAT】下,添加源NAT

Ø在【防火墙】->【NAT】下,添加目的NAT

Ø在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略

第3章

深度检测功能配置

3.1实现功能

Ø采用第1章——基本网络配置

Ø内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访问控制、URL过滤、行为审计等)

Ø备注:

本次功能配置以应用限速为例

3.2网络拓扑

3.3配置步骤

Ø在【访问控制】->【网络应用带宽限速】下,配置限速策略

Ø在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略

Ø部分DPI功能配置举例

第4章

VPN

4.1IPSecVPN

4.1.1客户端接入模式

4.1.1.1实现功能

Ø采用第1章——基本网络配置

Ø外网(10.99.0.4)可通过IPSecVPN客户端方式连接到内网,共享内网资源

4.1.1.2网络拓扑

4.1.1.3配置步骤

Ø在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式

Ø在客户端安装IPSecVPN客户端程序

4.1.2网关—网关模式

4.1.2.1实现功能

Ø两端配置采用第1章——基本网络配置(相关IP不同)

ØPC(3.3.3.2)可通过IPSecVPN访问PC(4.4.4.2),并可共享两端资源

4.1.2.2网络拓扑

4.1.2.3配置步骤

Ø在【VPN】->【IPSec】下,进行网关—网关模式配置

4.2L2TPVPN

4.2.1实现功能

Ø采用第1章——基本网络配置

Ø外网(10.99.0.4)可通过L2TPVPN连接到内网,共享内网资源

4.2.2网络拓扑

4.2.3配置步骤

Ø在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中

Ø在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息

Ø在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:

#

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]

"ProhibitIPSec"=dword:

00000001

#

Ø新建L2TP客户端,在【网上邻居】中创建新连接

Ø需要修改的参数如下

4.3GREVPN

4.3.1实现功能

Ø两端配置采用第1章——基本网络配置(相关IP不同)

ØPC(3.3.3.2)可通过GREVPN访问PC(4.4.4.2),并可共享两端资源

4.3.2网络拓扑

4.3.3配置步骤

Ø在【网络管理】->【单播IPv4路由】下,添加静态路由

Ø在【VPN】->【GRE】下,创建GREVPN策略

4.4SSLVPN

4.4.1实现功能

Ø采用第1章——基本网络配置

Ø外网(10.99.0.4)可通过SSLVPN连接到内网,共享分配相应权限的内网资源

4.4.2网络拓扑

4.4.3配置步骤

Ø在【VPN】->【SSLVPN】下,启动SSLVPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)

Ø在【VPN】->【SSLVPN】下,配置资源(IP资源、web资源等)

Ø在【VPN】->【SSLVPN】下,添加用户

第5章

VRRP双机热备

5.1实现功能

Ø内网PC(3.3.3.3)可访问Internet资源

Ø当FW1(10.99.0.192,主)与FW2(10.99.0.193,备)为主备模式下,断开FW1与SW1的连接,流量自动切换至FW2,PC应用无影响

Ø重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响

5.2网络拓扑

5.3配置步骤

Ø在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5连接内网,eth_6连接外网)

Ø在【网络管理】->【网络对象】下,将接口添加到安全域中

Ø在【网络管理】->【单播IPv4路由】下,添加出口默认路由

Ø在【防火墙】->【NAT】下,配置源NAT策略

Ø在【高可靠性】->【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟IP)

Ø在【高可靠性】->【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数

Ø在【高可靠性】->【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down掉,如需重新up,则需重新打开接口的管理状态

第6章

日志输出UMC

6.1业务日志输出

Ø在【日志管理】->【业务日志】下,配置业务日志输出

ØFW中,业务日志主要包括行为审计日志

6.2会话日志输出

Ø在【防火墙】->【会话管理】下,配置会话日志输出

ØFW中,会话日志主要包括NAT日志

6.3流量分析输出

Ø在【上网行为管理】->【流量分析】下,配置流量分析输出

ØFW中,流量分析主要包括流量分析日志

 

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 艺术

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1