DPtechFW1000系列防火墙系统操作手册.doc

DPtech FW1000操作手册杭州迪普科技有限公司2011年10月 杭州迪普科技有限公司目 录DPtech FW1000操作手册 1第1章 组网模式 11.1 组网模式1-透明模式 11.2 组网模式2-路由模式 21.3 组网模式3-混合模式 3第2章 基本网络配置 42.1 实现功能 42.2 网络拓扑 42.3 配置步骤 4第3章 深度检测功能配置 73.1 实现功能 73.2 网络拓扑 73.3 配置步骤 7第4章 VPN 94.1 IPSec VPN 94.1.1 客户端接入模式 94.1.2 网关—网关模式 104.2 L2TP VPN 124.2.1 实现功能 124.2.2 网络拓扑 124.2.3 配置步骤 124.3 GRE VPN 164.3.1 实现功能 164.3.2 网络拓扑 164.3.3 配置步骤 164.4 SSL VPN 174.4.1 实现功能 174.4.2 网络拓扑 184.4.3 配置步骤 18第5章 VRRP双机热备 205.1 实现功能 205.2 网络拓扑 205.3 配置步骤 20第6章 日志输出UMC 246.1 业务日志输出 246.2 会话日志输出 246.3 流量分析输出 25 第1章 组网模式1.1 组网模式1-透明模式组网应用场景Ø 需要二层交换机功能做二层转发Ø 在既有的网络中，不改变网络拓扑，而且需要安全业务Ø 防火墙的不同网口所接的局域网都位于同一网段特点Ø 对用户是透明的，即用户意识不到防火墙的存在Ø 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置Ø 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点Ø 接口添加到相应的域Ø 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNKØ 接口配置VLAN属性Ø 必须配置一个vlan-ifxxx的管理地址 ，用于设备管理1.2 组网模式2-路由模式组网应用场景Ø 需要路由功能做三层转发Ø 需要共享Internet接入Ø 需要对外提供应用服务Ø 需要使用虚拟专用网特点Ø 提供丰富的路由功能，静态路由、RIP、OSPF等Ø 提供源NAT支持共享Internet接入Ø 提供目的NAT支持对外提供各种服务Ø 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等Ø 需要使用WEB认证功能 配置要点Ø 接口添加到相应的域Ø 接口工作于三层接口，并配置接口类型Ø 配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式组网应用场景Ø 需结合透明模式及路由模式特点Ø 在VLAN内做二层转发Ø 在VLAN间做三层转发Ø 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点Ø 接口添加到相应的域Ø 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNKØ 接口配置VLAN属性Ø 添加三层接口，用于三层转发Ø 配置一个vlan-ifxxx的地址 ，用于三层转发第2章 基本网络配置2.1 实现功能Ø 内网（3.3.3.2/24）可访问外网（10.99.0.1/24）Ø 内网地址为DHCP获得Ø 内网对外提供HTTP服务（安装web服务器）2.2 网络拓扑2.3 配置步骤Ø 【网络管理】->【接口管理】下，配置接口参数Ø 在【网络管理】->【网络对象】下，将接口添加到安全域Ø 在【网络管理】->【单播IPv4路由】下，添加出口路由Ø 在【网络管理】->【DHCP配置】下，启动DHCP ServerØ 在【防火墙】->【NAT】下，添加源NATØ 在【防火墙】->【NAT】下，添加目的NATØ 在【防火墙】->【包过滤策略】下，添加Untrust到Trust包过滤策略第3章 深度检测功能配置3.1 实现功能Ø 采用第1章——基本网络配置Ø 内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访问控制、URL过滤、行为审计等）Ø 备注：本次功能配置以应用限速为例3.2 网络拓扑3.3 配置步骤Ø 在【访问控制】->【网络应用带宽限速】下，配置限速策略Ø 在【防火墙】->【包过滤策略】下，添加包过滤策略，并引用应用限速策略Ø 部分DPI功能配置举例第4章 VPN4.1 IPSec VPN4.1.1 客户端接入模式4.1.1.1 实现功能Ø 采用第1章——基本网络配置Ø 外网（10.99.0.4）可通过IPSec VPN客户端方式连接到内网，共享内网资源4.1.1.2 网络拓扑4.1.1.3 配置步骤Ø 在【VPN】->【IPSec】下，启动IPSec，配置客户端接入模式Ø 在客户端安装IPSec VPN客户端程序4.1.2 网关—网关模式4.1.2.1 实现功能Ø 两端配置采用第1章——基本网络配置（相关IP不同）Ø PC（3.3.3.2）可通过IPSec VPN访问PC（4.4.4.2），并可共享两端资源4.1.2.2 网络拓扑4.1.2.3 配置步骤Ø 在【VPN】->【IPSec】下，进行网关—网关模式配置4.2 L2TP VPN4.2.1 实现功能Ø 采用第1章——基本网络配置Ø 外网（10.99.0.4）可通过L2TP VPN连接到内网，共享内网资源4.2.2 网络拓扑4.2.3 配置步骤Ø 在【网络管理】->【网络对象】下，将L2TP使用接口添加到安全域中Ø 在【VPN】->【L2TP】下，启动L2TP，配置LNS和用户信息Ø 在客户端上添加注册表键值（windows默认的l2tp/ipsec是只支持用证书认证的，对于用pre-share的认证方式或者不使用ipsec的l2tp连接，必须修改注册表），需重启客户端PC，键值如下：#Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]"ProhibitIPSec"=dword:00000001#Ø 新建L2TP客户端，在【网上邻居】中创建新连接Ø 需要修改的参数如下4.3 GRE VPN4.3.1 实现功能Ø 两端配置采用第1章——基本网络配置（相关IP不同）Ø PC（3.3.3.2）可通过GRE VPN访问PC（4.4.4.2），并可共享两端资源4.3.2 网络拓扑4.3.3 配置步骤Ø 在【网络管理】->【单播IPv4路由】下，添加静态路由Ø 在【VPN】->【GRE】下，创建GRE VPN策略4.4 SSL VPN4.4.1 实现功能Ø 采用第1章——基本网络配置Ø 外网（10.99.0.4）可通过SSL VPN连接到内网，共享分配相应权限的内网资源4.4.2 网络拓扑4.4.3 配置步骤Ø 在【VPN】->【SSL VPN】下，启动SSL VPN，并导入相应证书（新版本自带证书，老版本需搭建服务器获得）Ø 在【VPN】->【SSL VPN】下，配置资源（IP资源、web资源等）Ø 在【VPN】->【SSL VPN】下，添加用户第5章 VRRP双机热备5.1 实现功能Ø 内网PC（3.3.3.3）可访问Internet资源Ø 当FW1（10.99.0.192，主）与FW2（10.99.0.193，备）为主备模式下，断开FW1与SW1的连接，流量自动切换至FW2，PC应用无影响Ø 重新连接FW1与SW1的连接，流量自动切换回FW1，PC应用无影响5.2 网络拓扑5.3 配置步骤Ø 在【网络管理】->【接口管理】下，配置接口参数（eth_4为双机热备心跳线，eth_5连接内网，eth_6连接外网）Ø 在【网络管理】->【网络对象】下，将接口添加到安全域中Ø 在【网络管理】->【单播IPv4路由】下，添加出口默认路由Ø 在【防火墙】->【NAT】下，配置源NAT策略Ø 在【高可靠性】->【VRRP】下，配置VRRP备份组（内网PC网关指向备份组虚拟IP）Ø 在【高可靠性】->【双机热备】下，进行双机热备配置（心跳线），此功能将同步配置、会话等参数Ø 在【高可靠性】->【接口状态同步组】下，进行端口同步组配置（可选）；此功能作用为，如下行接口（eth0_5）down掉，则相同接口同步组下的其他接口，也将down掉，如需重新up，则需重新打开接口的管理状态第6章 日志输出UMC6.1 业务日志输出Ø 在【日志管理】->【业务日志】下，配置业务日志输出Ø FW中，业务日志主要包括行为审计日志6.2 会话日志输出Ø 在【防火墙】->【会话管理】下，配置会话日志输出Ø FW中，会话日志主要包括NAT日志6.3 流量分析输出Ø 在【上网行为管理】->【流量分析】下，配置流量分析输出Ø FW中，流量分析主要包括流量分析日志杭州迪普科技有限公司 第25页 。