《DPtec~hFW1000系列防火墙系统操作介绍及其说明手册.doc》由会员分享,可在线阅读,更多相关《DPtec~hFW1000系列防火墙系统操作介绍及其说明手册.doc(28页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、-_DPtechDPtech FW1000FW1000 操作手册操作手册杭州迪普科技有限公司杭州迪普科技有限公司2011 年年 10 月月-_目目 录录DPtechDPtech FW1000FW1000 操作手册操作手册.1第第 1 章章 组网模式组网模式.11.1 组网模式 1-透明模式.11.2 组网模式 2-路由模式.21.3 组网模式 3-混合模式.3第第 2 章章 基本网络配置基本网络配置.42.1 实现功能.42.2 网络拓扑.42.3 配置步骤.4第第 3 章章 深度检测功能配置深度检测功能配置.73.1 实现功能.73.2 网络拓扑.73.3 配置步骤.7第第 4 章章 VPN
2、 .94.1 IPSEC VPN.94.1.1 客户端接入模式.94.1.2 网关网关模式.104.2 L2TP VPN.124.2.1 实现功能.124.2.2 网络拓扑.124.2.3 配置步骤.124.3 GRE VPN.164.3.1 实现功能.164.3.2 网络拓扑.164.3.3 配置步骤.164.4 SSL VPN .174.4.1 实现功能.174.4.2 网络拓扑.184.4.3 配置步骤.18第第 5 章章 VRRP 双机热备双机热备.205.1 实现功能.205.2 网络拓扑.205.3 配置步骤.20第第 6 章章 日志输出日志输出 UMC.246.1 业务日志输出.
3、246.2 会话日志输出.24-_6.3 流量分析输出.25-_第第 1 章章 组网模式组网模式1.1 组网模式 1-透明模式组网应用场景需要二层交换机功能做二层转发在既有的网络中,不改变网络拓扑,而且需要安全业务防火墙的不同网口所接的局域网都位于同一网段特点对用户是透明的,即用户意识不到防火墙的存在部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口,根据需要,配置接口类型为 ACCESS 或 TRUNK-_接口配置 VLAN 属性必须配置一个 vlan-ifxxx 的管理地址 ,用于设
4、备管理1.2 组网模式 2-路由模式组网应用场景需要路由功能做三层转发需要共享 Internet 接入需要对外提供应用服务需要使用虚拟专用网特点提供丰富的路由功能,静态路由、RIP、OSPF 等提供源 NAT 支持共享 Internet 接入提供目的 NAT 支持对外提供各种服务支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等需要使用 WEB 认证功能 配置要点-_接口添加到相应的域接口工作于三层接口,并配置接口类型配置地址分配形式静态 IP、DHCP、PPPoE 1.3 组网模式 3-混合模式组网应用场景需结合透明模式及路由模式特点在 VLAN 内做二层转发在 VLAN 间做三层
5、转发支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口,根据需要,配置接口类型为 ACCESS 或 TRUNK接口配置 VLAN 属性添加三层接口,用于三层转发配置一个 vlan-ifxxx 的地址 ,用于三层转发-_第第 2 章章 基本网络配置基本网络配置2.1 实现功能内网(3.3.3.2/24)可访问外网(10.99.0.1/24)内网地址为 DHCP 获得内网对外提供 HTTP 服务(安装 web 服务器)2.2 网络拓扑2.3 配置步骤【网络管理】-【接口管理】下,配置接口参数-_在【网络管理】-【网络对象】下,将接口添加到安全域在【
6、网络管理】-【单播 IPv4 路由】下,添加出口路由在【网络管理】-【DHCP 配置】下,启动 DHCP Server在【防火墙】-【NAT】下,添加源 NAT在【防火墙】-【NAT】下,添加目的 NAT-_在【防火墙】-【包过滤策略】下,添加 Untrust 到 Trust 包过滤策略-_第第 3 章章 深度检测功能配置深度检测功能配置3.1 实现功能采用第 1 章基本网络配置内网(Trust)到外网(Untrust)方向匹配 DPI 策略(包括应用限速、每 IP 限速、访问控制、URL 过滤、行为审计等)备注:本次功能配置以应用限速为例3.2 网络拓扑3.3 配置步骤在【访问控制】-【网络
7、应用带宽限速】下,配置限速策略在【防火墙】-【包过滤策略】下,添加包过滤策略,并引用应用限速策略-_部分 DPI 功能配置举例-_第第 4 章章 VPN4.1 IPSec VPN4.1.1 客户端接入模式4.1.1.1 实现功能采用第 1 章基本网络配置外网(10.99.0.4)可通过 IPSec VPN 客户端方式连接到内网,共享内网资源4.1.1.2 网络拓扑4.1.1.3 配置步骤在【VPN】-【IPSec】下,启动 IPSec,配置客户端接入模式-_在客户端安装 IPSec VPN 客户端程序4.1.2 网关网关模式4.1.2.1 实现功能两端配置采用第 1 章基本网络配置(相关 IP
8、 不同)PC(3.3.3.2)可通过 IPSec VPN 访问 PC(4.4.4.2),并可共享两端资源-_4.1.2.2 网络拓扑4.1.2.3 配置步骤在【VPN】-【IPSec】下,进行网关网关模式配置-_4.2 L2TP VPN4.2.1 实现功能采用第 1 章基本网络配置外网(10.99.0.4)可通过 L2TP VPN 连接到内网,共享内网资源4.2.2 网络拓扑4.2.3 配置步骤在【网络管理】-【网络对象】下,将 L2TP 使用接口添加到安全域中-_在【VPN】-【L2TP】下,启动 L2TP,配置 LNS 和用户信息在客户端上添加注册表键值(windows 默认的 l2tp/
9、ipsec 是只支持用证书认证的,对于用 pre-share 的认证方式或者不使用 ipsec 的 l2tp 连接,必须修改注册表),需重启客户端 PC,键值如下:#Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters “ProhibitIPSec“=dword:00000001 #-_新建 L2TP 客户端,在【网上邻居】中创建新连接需要修改的参数如下-_-_4.3 GRE VPN4.3.1 实现功能两端配置采用第 1 章基本网络配置(相关
10、IP 不同)PC(3.3.3.2)可通过 GRE VPN 访问 PC(4.4.4.2),并可共享两端资源4.3.2 网络拓扑4.3.3 配置步骤在【网络管理】-【单播 IPv4 路由】下,添加静态路由-_在【VPN】-【GRE】下,创建 GRE VPN 策略4.4 SSL VPN4.4.1 实现功能采用第 1 章基本网络配置外网(10.99.0.4)可通过 SSL VPN 连接到内网,共享分配相应权限的内网资源-_4.4.2 网络拓扑4.4.3 配置步骤在【VPN】-【SSL VPN】下,启动 SSL VPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)-_在【VPN】-【SSL
11、VPN】下,配置资源(IP 资源、web 资源等)在【VPN】-【SSL VPN】下,添加用户-_第第 5 章章 VRRP 双机热备双机热备5.1 实现功能内网 PC(3.3.3.3)可访问 Internet 资源当 FW1(10.99.0.192,主)与 FW2(10.99.0.193,备)为主备模式下,断开 FW1与 SW1 的连接,流量自动切换至 FW2,PC 应用无影响重新连接 FW1 与 SW1 的连接,流量自动切换回 FW1,PC 应用无影响5.2 网络拓扑5.3 配置步骤在【网络管理】-【接口管理】下,配置接口参数(eth_4 为双机热备心跳线,eth_5 连接内网,eth_6
12、连接外网)-_在【网络管理】-【网络对象】下,将接口添加到安全域中在【网络管理】-【单播 IPv4 路由】下,添加出口默认路由在【防火墙】-【NAT】下,配置源 NAT 策略-_在【高可靠性】-【VRRP】下,配置 VRRP 备份组(内网 PC 网关指向备份组虚拟IP)在【高可靠性】-【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数在【高可靠性】-【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down 掉,则相同接口同步组下的其他接口,也将down 掉,如需重新 up,则需重新打开接口的管理状态-_-_第第 6 章章 日志输出日志输出 UMC6.1 业务日志输出在【日志管理】-【业务日志】下,配置业务日志输出FW 中,业务日志主要包括行为审计日志6.2 会话日志输出在【防火墙】-【会话管理】下,配置会话日志输出FW 中,会话日志主要包括 NAT 日志-_6.3 流量分析输出在【上网行为管理】-【流量分析】下,配置流量分析输出FW 中,流量分析主要包括流量分析日志