DPtech FW1000系列防火墙系统操作手册.docx
《DPtech FW1000系列防火墙系统操作手册.docx》由会员分享,可在线阅读,更多相关《DPtech FW1000系列防火墙系统操作手册.docx(23页珍藏版)》请在冰豆网上搜索。
DPtechFW1000系列防火墙系统操作手册
DPtechFW1000操作手册
杭州迪普科技有限公司
2011年10月
第1章组网模式
1.1组网模式1-透明模式
组网应用场景
Ø需要二层交换机功能做二层转发
Ø在既有的网络中,不改变网络拓扑,而且需要安全业务
Ø防火墙的不同网口所接的局域网都位于同一网段
特点
Ø对用户是透明的,即用户意识不到防火墙的存在
Ø部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置
Ø支持各类安全特性:
攻击防护、包过滤、应用识别及应用访问控制等
配置要点
Ø接口添加到相应的域
Ø接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
Ø接口配置VLAN属性
Ø必须配置一个vlan-ifxxx的管理地址,用于设备管理
1.2组网模式2-路由模式
组网应用场景
Ø需要路由功能做三层转发
Ø需要共享Internet接入
Ø需要对外提供应用服务
Ø需要使用虚拟专用网
特点
Ø提供丰富的路由功能,静态路由、RIP、OSPF等
Ø提供源NAT支持共享Internet接入
Ø提供目的NAT支持对外提供各种服务
Ø支持各类安全特性:
攻击防护、包过滤、应用识别及应用访问控制等
Ø需要使用WEB认证功能
配置要点
Ø接口添加到相应的域
Ø接口工作于三层接口,并配置接口类型
Ø配置地址分配形式静态IP、DHCP、PPPoE
1.3组网模式3-混合模式
组网应用场景
Ø需结合透明模式及路由模式
特点
Ø在VLAN内做二层转发
Ø在VLAN间做三层转发
Ø支持各类安全特性:
攻击防护、包过滤、应用识别及应用访问控制等
配置要点
Ø接口添加到相应的域
Ø接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
Ø接口配置VLAN属性
Ø添加三层接口,用于三层转发
Ø配置一个vlan-ifxxx的地址,用于三层转发
第2章
基本网络配置
2.1实现功能
Ø内网(3.3.3.2/24)可访问外网(10.99.0.1/24)
Ø内网地址为DHCP获得
Ø内网对外提供HTTP服务(安装web服务器)
2.2网络拓扑
2.3配置步骤
Ø【网络管理】->【接口管理】下,配置接口参数
Ø在【网络管理】->【网络对象】下,将接口添加到安全域
Ø在【网络管理】->【单播IPv4路由】下,添加出口路由
Ø在【网络管理】->【DHCP配置】下,启动DHCPServer
Ø在【防火墙】->【NAT】下,添加源NAT
Ø在【防火墙】->【NAT】下,添加目的NAT
Ø在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略
第3章
深度检测功能配置
3.1实现功能
Ø采用第1章——基本网络配置
Ø内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访问控制、URL过滤、行为审计等)
Ø备注:
本次功能配置以应用限速为例
3.2网络拓扑
3.3配置步骤
Ø在【访问控制】->【网络应用带宽限速】下,配置限速策略
Ø在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略
Ø部分DPI功能配置举例
第4章
VPN
4.1IPSecVPN
4.1.1客户端接入模式
4.1.1.1实现功能
Ø采用第1章——基本网络配置
Ø外网(10.99.0.4)可通过IPSecVPN客户端方式连接到内网,共享内网资源
4.1.1.2网络拓扑
4.1.1.3配置步骤
Ø在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式
Ø在客户端安装IPSecVPN客户端程序
4.1.2网关—网关模式
4.1.2.1实现功能
Ø两端配置采用第1章——基本网络配置(相关IP不同)
ØPC(3.3.3.2)可通过IPSecVPN访问PC(4.4.4.2),并可共享两端资源
4.1.2.2网络拓扑
4.1.2.3配置步骤
Ø在【VPN】->【IPSec】下,进行网关—网关模式配置
4.2L2TPVPN
4.2.1实现功能
Ø采用第1章——基本网络配置
Ø外网(10.99.0.4)可通过L2TPVPN连接到内网,共享内网资源
4.2.2网络拓扑
4.2.3配置步骤
Ø在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中
Ø在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息
Ø在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:
#
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIPSec"=dword:
00000001
#
Ø新建L2TP客户端,在【网上邻居】中创建新连接
Ø需要修改的参数如下
4.3GREVPN
4.3.1实现功能
Ø两端配置采用第1章——基本网络配置(相关IP不同)
ØPC(3.3.3.2)可通过GREVPN访问PC(4.4.4.2),并可共享两端资源
4.3.2网络拓扑
4.3.3配置步骤
Ø在【网络管理】->【单播IPv4路由】下,添加静态路由
Ø在【VPN】->【GRE】下,创建GREVPN策略
4.4SSLVPN
4.4.1实现功能
Ø采用第1章——基本网络配置
Ø外网(10.99.0.4)可通过SSLVPN连接到内网,共享分配相应权限的内网资源
4.4.2网络拓扑
4.4.3配置步骤
Ø在【VPN】->【SSLVPN】下,启动SSLVPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)
Ø在【VPN】->【SSLVPN】下,配置资源(IP资源、web资源等)
Ø在【VPN】->【SSLVPN】下,添加用户
第5章
VRRP双机热备
5.1实现功能
Ø内网PC(3.3.3.3)可访问Internet资源
Ø当FW1(10.99.0.192,主)与FW2(10.99.0.193,备)为主备模式下,断开FW1与SW1的连接,流量自动切换至FW2,PC应用无影响
Ø重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响
5.2网络拓扑
5.3配置步骤
Ø在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5连接内网,eth_6连接外网)
Ø在【网络管理】->【网络对象】下,将接口添加到安全域中
Ø在【网络管理】->【单播IPv4路由】下,添加出口默认路由
Ø在【防火墙】->【NAT】下,配置源NAT策略
Ø在【高可靠性】->【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟IP)
Ø在【高可靠性】->【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数
Ø在【高可靠性】->【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down掉,如需重新up,则需重新打开接口的管理状态
第6章
日志输出UMC
6.1业务日志输出
Ø在【日志管理】->【业务日志】下,配置业务日志输出
ØFW中,业务日志主要包括行为审计日志
6.2会话日志输出
Ø在【防火墙】->【会话管理】下,配置会话日志输出
ØFW中,会话日志主要包括NAT日志
6.3流量分析输出
Ø在【上网行为管理】->【流量分析】下,配置流量分析输出
ØFW中,流量分析主要包括流量分析日志