DPtechFW系列防火墙系统操作手册.docx

1、DPtechFW系列防火墙系统操作手册DPtech FW1000操作手册杭州迪普科技有限公司2011年10月第1章 组网模式1.1 组网模式1-透明模式组网应用场景 需要二层交换机功能做二层转发 在既有的网络中，不改变网络拓扑，而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段特点 对用户是透明的，即用户意识不到防火墙的存在 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 必须配置一个vlan-i

2、fxxx的管理地址 ，用于设备管理1.2 组网模式2-路由模式组网应用场景 需要路由功能做三层转发 需要共享Internet接入 需要对外提供应用服务 需要使用虚拟专用网特点 提供丰富的路由功能，静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入 提供目的NAT支持对外提供各种服务 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 需要使用WEB认证功能 配置要点 接口添加到相应的域 接口工作于三层接口，并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式组网应用场景 需结合透明模式及路由模式特点 在VLAN内做二层转发

3、在VLAN间做三层转发 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 添加三层接口，用于三层转发 配置一个vlan-ifxxx的地址 ，用于三层转发第2章 基本网络配置2.1 实现功能 内网（3.3.3.2/24）可访问外网（10.99.0.1/24） 内网地址为DHCP获得 内网对外提供HTTP服务（安装web服务器）2.2 网络拓扑2.3 配置步骤 【网络管理】-【接口管理】下，配置接口参数 在【网络管理】-【网络对象】下，将接口添加到安全域 在【网络管理】-

4、【单播IPv4路由】下，添加出口路由 在【网络管理】-【DHCP配置】下，启动DHCP Server 在【防火墙】-【NAT】下，添加源NAT 在【防火墙】-【NAT】下，添加目的NAT 在【防火墙】-【包过滤策略】下，添加Untrust到Trust包过滤策略第3章 深度检测功能配置3.1 实现功能 采用第1章基本网络配置 内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访问控制、URL过滤、行为审计等） 备注：本次功能配置以应用限速为例3.2 网络拓扑3.3 配置步骤 在【访问控制】-【网络应用带宽限速】下，配置限速策略 在【防火墙】-【包过滤策略】下

5、，添加包过滤策略，并引用应用限速策略 部分DPI功能配置举例第4章 VPN4.1 IPSec VPN4.1.1 客户端接入模式4.1.1.1 实现功能 采用第1章基本网络配置 外网（10.99.0.4）可通过IPSec VPN客户端方式连接到内网，共享内网资源4.1.1.2 网络拓扑4.1.1.3 配置步骤 在【VPN】-【IPSec】下，启动IPSec，配置客户端接入模式 在客户端安装IPSec VPN客户端程序4.1.2 网关网关模式4.1.2.1 实现功能 两端配置采用第1章基本网络配置（相关IP不同） PC（3.3.3.2）可通过IPSec VPN访问PC（4.4.4.2），并可共享两

6、端资源4.1.2.2 网络拓扑4.1.2.3 配置步骤 在【VPN】-【IPSec】下，进行网关网关模式配置4.2 L2TP VPN4.2.1 实现功能 采用第1章基本网络配置 外网（10.99.0.4）可通过L2TP VPN连接到内网，共享内网资源4.2.2 网络拓扑4.2.3 配置步骤 在【网络管理】-【网络对象】下，将L2TP使用接口添加到安全域中 在【VPN】-【L2TP】下，启动L2TP，配置LNS和用户信息 在客户端上添加注册表键值（windows默认的l2tp/ipsec是只支持用证书认证的，对于用pre-share的认证方式或者不使用ipsec的l2tp连接，必须修改注册表），

7、需重启客户端PC，键值如下：#Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParametersProhibitIPSec=dword:00000001# 新建L2TP客户端，在【网上邻居】中创建新连接 需要修改的参数如下4.3 GRE VPN4.3.1 实现功能 两端配置采用第1章基本网络配置（相关IP不同） PC（3.3.3.2）可通过GRE VPN访问PC（4.4.4.2），并可共享两端资源4.3.2 网络拓扑4.3.3 配置步骤 在【网络管理】-【单播

8、IPv4路由】下，添加静态路由 在【VPN】-【GRE】下，创建GRE VPN策略4.4 SSL VPN4.4.1 实现功能 采用第1章基本网络配置 外网（10.99.0.4）可通过SSL VPN连接到内网，共享分配相应权限的内网资源4.4.2 网络拓扑4.4.3 配置步骤 在【VPN】-【SSL VPN】下，启动SSL VPN，并导入相应证书（新版本自带证书，老版本需搭建服务器获得） 在【VPN】-【SSL VPN】下，配置资源（IP资源、web资源等） 在【VPN】-【SSL VPN】下，添加用户第5章 VRRP双机热备5.1 实现功能 内网PC（3.3.3.3）可访问Internet资源

9、 当FW1（10.99.0.192，主）与FW2（10.99.0.193，备）为主备模式下，断开FW1与SW1的连接，流量自动切换至FW2，PC应用无影响 重新连接FW1与SW1的连接，流量自动切换回FW1，PC应用无影响5.2 网络拓扑5.3 配置步骤 在【网络管理】-【接口管理】下，配置接口参数（eth_4为双机热备心跳线，eth_5连接内网，eth_6连接外网） 在【网络管理】-【网络对象】下，将接口添加到安全域中 在【网络管理】-【单播IPv4路由】下，添加出口默认路由 在【防火墙】-【NAT】下，配置源NAT策略 在【高可靠性】-【VRRP】下，配置VRRP备份组（内网PC网关指向备

10、份组虚拟IP） 在【高可靠性】-【双机热备】下，进行双机热备配置（心跳线），此功能将同步配置、会话等参数 在【高可靠性】-【接口状态同步组】下，进行端口同步组配置（可选）；此功能作用为，如下行接口（eth0_5）down掉，则相同接口同步组下的其他接口，也将down掉，如需重新up，则需重新打开接口的管理状态第6章 日志输出UMC6.1 业务日志输出 在【日志管理】-【业务日志】下，配置业务日志输出 FW中，业务日志主要包括行为审计日志6.2 会话日志输出 在【防火墙】-【会话管理】下，配置会话日志输出 FW中，会话日志主要包括NAT日志6.3 流量分析输出 在【上网行为管理】-【流量分析】下，配置流量分析输出 FW中，流量分析主要包括流量分析日志