sonicwall防火墻培訓(xùn)手冊.ppt

2020 3 14 1 SonicWALL典型配置和問題診斷 目的 熟悉典型客戶網(wǎng)絡(luò)環(huán)境下防火墻的配置方法分析LOG及借助工具軟件診斷并解決問題的方法參加培訓(xùn)的要求 掌握SonicWALL標(biāo)準(zhǔn)版和增強(qiáng)版的基本配置熟悉TCP IP協(xié)議及基本網(wǎng)絡(luò)通信協(xié)議通過此次培訓(xùn) 使參加培訓(xùn)的工程師能夠掌握典型客戶的防護(hù)墻配置 并在發(fā)生問題時(shí)及時(shí)解決問題 2020 3 14 2 典型配置案例 1 PRO5060在高校的應(yīng)用 雙WAN和策略路由2 標(biāo)準(zhǔn)版和增強(qiáng)版的透明模式3 靜態(tài)ARP的應(yīng)用 第二個(gè)網(wǎng)段4 帶寬管理 TCPSession數(shù)管理故障診斷 點(diǎn)到點(diǎn)VPN隧道故障建立 一 二階段協(xié)商參數(shù)VPN隧道TCP超時(shí)時(shí)間的設(shè)置GVCNAT穿越 何時(shí)需要分配IP地址防火墻不能升級簽名的診斷步驟ARP表更新 IP和MAC綁定 上游路由器ARP表不刷新問題Ethereal軟件的使用 診斷問題 7 ViewPoint配置及綁定到其它的網(wǎng)卡地址時(shí)如何更正 2020 3 14 3 PRO5060雙WAN鏈路應(yīng)用和策略路由 2020 3 14 4 PRO5060在高校的典型應(yīng)用 雙WAN鏈路 策略路由如條件允許 還可以配置OSPF路由兩個(gè)校園出口互為備份 2020 3 14 5 學(xué)校一共有兩個(gè)校區(qū) 東校區(qū)通過一臺防火墻經(jīng)電信出口上Internet 南校區(qū)有兩個(gè)出口 一個(gè)是經(jīng)電信出口接入Internet 另一個(gè)出口接入教育網(wǎng) 兩個(gè)校區(qū)之間由專線把兩個(gè)三層交換機(jī)連通 如果在三層交換和兩臺防火墻上啟動OSPF路由協(xié)議 兩臺防火墻設(shè)備可以互為對方的備份 一臺防火墻宕機(jī) 所有到互聯(lián)網(wǎng)的出口流量可以經(jīng)過專線由另外一個(gè)校園網(wǎng)的防火墻訪問Internet 本例主要講解南校區(qū)的網(wǎng)絡(luò)配置 其中PRO5060LAN口連接一臺華為的三層交換機(jī)S8505 DMZ連接一組服務(wù)器 為教育網(wǎng)提供服務(wù) 所有到服務(wù)器的流量都走教育網(wǎng)出口 S8505三層交換機(jī)下連接4個(gè)私有IP的網(wǎng)段 7個(gè)公有IP網(wǎng)段 4個(gè)私有網(wǎng)段只通過電信出口訪問Internet NAT到一個(gè)公有IP的地址池 7個(gè)公有IP網(wǎng)段只通過教育網(wǎng)出口訪問教育網(wǎng)和互聯(lián)網(wǎng) 本例的策略路由相對簡單 注 有些高校教育網(wǎng)包月不計(jì)流量 有些高校只針對指定的教育網(wǎng)服務(wù)器不計(jì)流量 其它到教育網(wǎng)的訪問要按流量收費(fèi) 所以策略路由的配置要視客戶具體需求進(jìn)行調(diào)整 是按照源IP地址設(shè)置策略路由還是按目的地址設(shè)置策略路由 在教育網(wǎng)訪問按流量收費(fèi)的時(shí)候一定注意設(shè)置正確的默認(rèn)路由 以盡量降低數(shù)據(jù)流量產(chǎn)生的費(fèi)用 2020 3 14 6 2020 3 14 7 靜態(tài)路由 策略路由 默認(rèn)路由 2020 3 14 8 公有IP路由出去 私有IPNAT到公有IP地址池 2020 3 14 9 PRO5060可以修改默認(rèn)的WAN口 這將影響默認(rèn)的路由 使沒有明確指定策略路由的訪問均走默認(rèn)路由 錯(cuò)誤的默認(rèn)路由設(shè)置可能造成不必要的計(jì)費(fèi)損失 因?yàn)橛行└咝Ｖ会槍μ囟ǖ慕逃W(wǎng)服務(wù)器不按流量計(jì)費(fèi) 到其它教育網(wǎng)的服務(wù)器按流量計(jì)費(fèi) 還有的高校教育網(wǎng)和電信出口一樣包月 不按流量計(jì)費(fèi) 針對客戶不同的具體需求 配置相應(yīng)的策略路由并選擇正確的默認(rèn)路由 2020 3 14 10 透明模式實(shí)現(xiàn)方法二層橋透明和ARP代理透明2 SonicOS標(biāo)準(zhǔn)版透明3 SonicOS增強(qiáng)版透明 2020 3 14 11 二層透明設(shè)備工作在二層透明方式 設(shè)備本身不需要任何IP地址配置 防火墻規(guī)則照常工作 檢測數(shù)據(jù)流 如果需要 也可以配置管理IP地址對設(shè)備進(jìn)行管理 ARP代理透明設(shè)備工作在3層 設(shè)備的兩個(gè)端口處于同一個(gè)網(wǎng)段 但兩個(gè)端口占用同一個(gè)IP地址 需要管理員指定哪些網(wǎng)絡(luò)范圍的IP地址在設(shè)備的某一個(gè)端口 使設(shè)備能正確轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的端口 SonicWALL的UTM設(shè)備透明方式是ARP代理透明 需要在WAN口和LAN口 或DMZ口 占用一個(gè)IP地址 2020 3 14 12 SonicOS標(biāo)準(zhǔn)版防火墻LAN口和WAN口透明 2020 3 14 13 2020 3 14 14 2020 3 14 15 2020 3 14 16 注 透明模式并不意味著所有的業(yè)務(wù)端口都 透明 必須設(shè)置必要的防火墻規(guī)則以允許WAN到LAN或WAN到DMZ服務(wù)器的訪問 2020 3 14 17 SonicOS標(biāo)準(zhǔn)版防火墻DMZ口和WAN口透明 TZ170OPT口默認(rèn)相當(dāng)于DMZ口 DMZ口可以工作在透明模式或NAT模式 2020 3 14 18 2020 3 14 19 2020 3 14 20 2020 3 14 21 SonicOS增強(qiáng)版透明模式配置任意端口和WAN口之間都可以配置成透明模式 需要指定透明范圍以使防火墻能正確轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的端口 2020 3 14 22 2020 3 14 23 2020 3 14 24 2020 3 14 25 SonicOS標(biāo)準(zhǔn)版一個(gè)端口支持多個(gè)網(wǎng)段的兩種方式LANPrimaryIP 192 168 168 168 24在Network SettingsLANInterface配置界面加入第二個(gè)網(wǎng)關(guān)192 168 10 1 24采用靜態(tài)ARP 在一個(gè)端口增加第二個(gè)IP 2020 3 14 26 增加第二個(gè)網(wǎng)關(guān) 支持第二個(gè)網(wǎng)段LANPrimaryIP 192 168 168 168 24SecondSubnet 192 168 10 0 24 方法一 2020 3 14 27 配置靜態(tài)ARP和靜態(tài)路由 在一個(gè)端口支持第二個(gè)網(wǎng)段 視訪問需求可在Firewall AccessRules里添加允許到第二個(gè)網(wǎng)段的訪問規(guī)則 Network ARP Network Routing 方法二 2020 3 14 28 SonicOS增強(qiáng)版一個(gè)端口支持多個(gè)網(wǎng)段采用靜態(tài)ARP 配置過程與標(biāo)準(zhǔn)版采用靜態(tài)ARP支持第二個(gè)網(wǎng)段完全相同 不過注意靜態(tài)路由的配置是在策略路由的界面配置的 詳見下頁 注 在一個(gè)物理端口如LAN上設(shè)置兩個(gè)網(wǎng)段 則兩個(gè)網(wǎng)段之間由防火墻路由 訪問規(guī)則不影響兩個(gè)網(wǎng)段的通信 但是LAN到DMZ第二個(gè)網(wǎng)段的通信可由防火墻規(guī)則控制 2020 3 14 29 配置靜態(tài)ARP和靜態(tài)路由 在一個(gè)端口支持第二個(gè)網(wǎng)段 視訪問需求可在Firewall AccessRules里添加允許到第二個(gè)網(wǎng)段的訪問規(guī)則 Network ARP Network Routing 2020 3 14 30 帶寬管理和TCPSession數(shù)限制 2020 3 14 31 必須在WAN口設(shè)置進(jìn)出的帶寬參數(shù) 否則在防火墻的規(guī)則里不會出現(xiàn)帶寬管理的界面 2020 3 14 32 2020 3 14 33 2020 3 14 34 2020 3 14 35 故障診斷 2020 3 14 36 點(diǎn)到點(diǎn)VPN隧道故障建立 一 二階段協(xié)商參數(shù) PRO4060VPNPolicy 2020 3 14 37 TZ150WVPNPolicy 故意設(shè)置與對端不同 2020 3 14 38 NO PROPOSAL CHOSEN是指參數(shù)不匹配 2020 3 14 39 NO PROPOSAL CHOSEN是指參數(shù)不匹配 2020 3 14 40 PRO4060SharedSecret 2020 3 14 41 PRO4060LogPAYLOAD MALFORMED表示共享密鑰不匹配 網(wǎng)絡(luò)故障導(dǎo)致VPN隧道斷開 如果隧道兩端VPN設(shè)備采用的DPD不是一個(gè)標(biāo)準(zhǔn) 重新協(xié)商時(shí)也可能出現(xiàn)此錯(cuò)誤 2020 3 14 42 TCP超時(shí)時(shí)間的設(shè)置 TCPSetting和防火墻規(guī)則設(shè)置 此參數(shù)只影響新創(chuàng)建的防火墻規(guī)則 修改此參數(shù)之前創(chuàng)建的規(guī)則的TCP超時(shí)參數(shù)不受此參數(shù)影響 2020 3 14 43 有些應(yīng)用如Oracle客戶端 ERP系統(tǒng)等通過VPN隧道訪問服務(wù)器 默認(rèn)的TCP超時(shí)時(shí)間一定要修改 否則這些系統(tǒng)可能會產(chǎn)生問題 如有的ERP系統(tǒng)在有中間設(shè)備斷開TCP連接后 會延遲30分鐘才允許客戶端再次建立連接 2020 3 14 44 有些應(yīng)用如Oracle客戶端 ERP系統(tǒng)等通過VPN隧道訪問服務(wù)器 默認(rèn)的TCP超時(shí)時(shí)間一定要修改 否則這些系統(tǒng)可能會產(chǎn)生問題 如有的ERP系統(tǒng)在有中間設(shè)備斷開TCP連接后 會延遲30分鐘才允許客戶端再次建立連接 2020 3 14 45 GVCNAT穿越 何時(shí)需要分配IP地址當(dāng)服務(wù)器的默認(rèn)網(wǎng)關(guān)指向另外一個(gè)路由器 通過專線聯(lián)接互聯(lián)網(wǎng) 而不指向SonicWALL防火墻設(shè)備時(shí) 一定要分配IP地址給GVC 以免除路由問題 由于各個(gè)網(wǎng)絡(luò)設(shè)備廠家的NAT設(shè)備在對IPSecVPN的支持不盡相同 有些支持IPSecPassThrough 有些不支持 經(jīng)過不支持IPSecPassThrough的NAT設(shè)備建立IPSecVPN隧道 必須采用NAT穿越技術(shù) SonicWALLGVC自動檢測沿途設(shè)備是否支持IPSec 如果需要 自動啟動NAT穿越 但是有些設(shè)備的IPSecpassthroug不穩(wěn)定 有些支持IPSec的NAT設(shè)備反而不能正確處理NAT穿越數(shù)據(jù) 需要在SonicWALLGVC上禁止NAT穿越參數(shù) 2020 3 14 46 有些支持IPSec的NAT設(shè)備不能正確處理NAT穿越數(shù)據(jù) 需要在SonicWALLGVC上禁止NAT穿越參數(shù) 常見的問題是客戶端不能從防火墻通過DHCP獲取IP地址 GVCLOG提示信號燈超時(shí) semaphoreTimeout 修改此參數(shù)大部分情況可解決問題 2020 3 14 47 防火墻不能升級簽名的診斷步驟1 確認(rèn)LANPC能通過防火墻WAN口訪問互聯(lián)網(wǎng)2 確認(rèn)防火墻System Diagnostics里的DNS解析能解析3 防火墻通過HTTPS直接訪問 不能經(jīng)過代理服務(wù)器 4 確認(rèn)沒有防火墻規(guī)則禁止LANPrimaryIP訪問Internet 5 確認(rèn)防護(hù)墻里的系統(tǒng)時(shí)間正確 如果系統(tǒng)時(shí)間不正確 可導(dǎo)致訪問Licensemanager超時(shí) 6 如果還有問題 可以在WAN口上抓包 以幫助診斷問題 2020 3 14 48 IP和MAC綁定 SonicWALLSonicOS3 0以上操作系統(tǒng)支持IP到MAC地址的綁定gon功能 在Network ARP界面配置所有設(shè)備支持300個(gè)IP地址到MAC地址的綁定 2020 3 14 49 ARP表更新 上游路由器ARP表不刷新問題 SonicWALL設(shè)備在加電后會廣播ARP信息 包括其WAN口IP 一對一映射的公網(wǎng)IP IP地址池的IP等等 使上游路由器更新其ARP表 正確轉(zhuǎn)發(fā)數(shù)據(jù)到防火墻WAN口的MAC地址 有些情況下 上游路由器不刷新其ARP表 導(dǎo)致問題 要電話聯(lián)系電信網(wǎng)管強(qiáng)行刷新上游路由器的ARP表 因?yàn)镾onicWALL已經(jīng)廣播了ARP信息 有些VDSL ADSL運(yùn)營商會自動綁定第一次上網(wǎng)的設(shè)備的MAC地址 更換ADSL VDSL設(shè)備是要運(yùn)營商更新ARP表 2020 3 14 50 Ethereal軟件的使用 診斷問題 在Capture菜單選擇Start 2020 3 14 51 選擇要抓包的網(wǎng)卡 選擇時(shí)時(shí)更新和自動滾屏 2020 3 14 52 察看各層詳細(xì)信息直至某一個(gè)Bit 診斷問題很有幫助 2020 3 14 53 ViewPoint配置及綁定到其它的網(wǎng)卡地址時(shí)如何更正 安裝ViewPoint軟件時(shí) 如果計(jì)算機(jī)上有多塊物理網(wǎng)