DPtech-FW1000系列防火墻系統(tǒng)操作手冊

DPtechFW1000操作手冊杭州迪普科技有限公司2011年10月 杭州迪普科技有限公司PAGE 目錄DPtechFW1000操作手冊 1第1章組網(wǎng)模式 11.1組網(wǎng)模式1-透明模式 11.2組網(wǎng)模式2-路由模式 21.3組網(wǎng)模式3-混合模式 3第2章基本網(wǎng)絡配置 42.1實現(xiàn)功能 42.2網(wǎng)絡拓撲 42.3配置步驟 4第3章深度檢測功能配置 73.1實現(xiàn)功能 73.2網(wǎng)絡拓撲 73.3配置步驟 7第4章VPN 94.1IPSecVPN 94.1.1客戶端接入模式 94.1.2網(wǎng)關(guān)—網(wǎng)關(guān)模式 104.2L2TPVPN 124.2.1實現(xiàn)功能 124.2.2網(wǎng)絡拓撲 124.2.3配置步驟 124.3GREVPN 164.3.1實現(xiàn)功能 164.3.2網(wǎng)絡拓撲 164.3.3配置步驟 164.4SSLVPN 174.4.1實現(xiàn)功能 174.4.2網(wǎng)絡拓撲 184.4.3配置步驟 18第5章VRRP雙機熱備 205.1實現(xiàn)功能 205.2網(wǎng)絡拓撲 205.3配置步驟 20第6章日志輸出UMC 246.1業(yè)務日志輸出 246.2會話日志輸出 246.3流量分析輸出 25杭州迪普科技有限公司第1頁組網(wǎng)模式組網(wǎng)模式1-透明模式組網(wǎng)應用場景需要二層交換機功能做二層轉(zhuǎn)發(fā)在既有的網(wǎng)絡中，不改變網(wǎng)絡拓撲，而且需要安全業(yè)務防火墻的不同網(wǎng)口所接的局域網(wǎng)都位于同一網(wǎng)段特點對用戶是透明的，即用戶意識不到防火墻的存在部署簡單，不改變現(xiàn)有的網(wǎng)絡拓撲，無需更改其他網(wǎng)絡設備的配置支持各類安全特性：攻擊防護、包過濾、應用識別及應用訪問控制等配置要點接口添加到相應的域接口為二層接口，根據(jù)需要，配置接口類型為ACCESS或TRUNK接口配置VLAN屬性必須配置一個vlan-ifxxx的管理地址，用于設備管理組網(wǎng)模式2-路由模式組網(wǎng)應用場景需要路由功能做三層轉(zhuǎn)發(fā)需要共享Internet接入需要對外提供應用服務需要使用虛擬專用網(wǎng)特點提供豐富的路由功能，靜態(tài)路由、RIP、OSPF等提供源NAT支持共享Internet接入提供目的NAT支持對外提供各種服務支持各類安全特性：攻擊防護、包過濾、應用識別及應用訪問控制等需要使用WEB認證功能配置要點接口添加到相應的域接口工作于三層接口，并配置接口類型配置地址分配形式靜態(tài)IP、DHCP、PPPoE組網(wǎng)模式3-混合模式組網(wǎng)應用場景需結(jié)合透明模式及路由模式特點在VLAN內(nèi)做二層轉(zhuǎn)發(fā)在VLAN間做三層轉(zhuǎn)發(fā)支持各類安全特性：攻擊防護、包過濾、應用識別及應用訪問控制等配置要點接口添加到相應的域接口為二層接口，根據(jù)需要，配置接口類型為ACCESS或TRUNK接口配置VLAN屬性添加三層接口，用于三層轉(zhuǎn)發(fā)配置一個vlan-ifxxx的地址，用于三層轉(zhuǎn)發(fā)

基本網(wǎng)絡配置實現(xiàn)功能內(nèi)網(wǎng)（/24）可訪問外網(wǎng)（/24）內(nèi)網(wǎng)地址為DHCP獲得內(nèi)網(wǎng)對外提供HTTP服務（安裝web服務器）網(wǎng)絡拓撲配置步驟【網(wǎng)絡管理】->【接口管理】下，配置接口參數(shù)在【網(wǎng)絡管理】->【網(wǎng)絡對象】下，將接口添加到安全域在【網(wǎng)絡管理】->【單播IPv4路由】下，添加出口路由在【網(wǎng)絡管理】->【DHCP配置】下，啟動DHCPServer在【防火墻】->【NAT】下，添加源NAT在【防火墻】->【NAT】下，添加目的NAT在【防火墻】->【包過濾策略】下，添加Untrust到Trust包過濾策略

深度檢測功能配置實現(xiàn)功能采用第1章——基本網(wǎng)絡配置內(nèi)網(wǎng)（Trust）到外網(wǎng)（Untrust）方向匹配DPI策略（包括應用限速、每IP限速、訪問控制、URL過濾、行為審計等）備注：本次功能配置以應用限速為例網(wǎng)絡拓撲配置步驟在【訪問控制】->【網(wǎng)絡應用帶寬限速】下，配置限速策略在【防火墻】->【包過濾策略】下，添加包過濾策略，并引用應用限速策略部分DPI功能配置舉例

VPNIPSecVPN客戶端接入模式實現(xiàn)功能采用第1章——基本網(wǎng)絡配置外網(wǎng)（）可通過IPSecVPN客戶端方式連接到內(nèi)網(wǎng)，共享內(nèi)網(wǎng)資源網(wǎng)絡拓撲配置步驟在【VPN】->【IPSec】下，啟動IPSec，配置客戶端接入模式在客戶端安裝IPSecVPN客戶端程序網(wǎng)關(guān)—網(wǎng)關(guān)模式實現(xiàn)功能兩端配置采用第1章——基本網(wǎng)絡配置（相關(guān)IP不同）PC（）可通過IPSecVPN訪問PC（），并可共享兩端資源網(wǎng)絡拓撲配置步驟在【VPN】->【IPSec】下，進行網(wǎng)關(guān)—網(wǎng)關(guān)模式配置L2TPVPN實現(xiàn)功能采用第1章——基本網(wǎng)絡配置外網(wǎng)（）可通過L2TPVPN連接到內(nèi)網(wǎng)，共享內(nèi)網(wǎng)資源網(wǎng)絡拓撲配置步驟在【網(wǎng)絡管理】->【網(wǎng)絡對象】下，將L2TP使用接口添加到安全域中在【VPN】->【L2TP】下，啟動L2TP，配置LNS和用戶信息在客戶端上添加注冊表鍵值（windows默認的l2tp/ipsec是只支持用證書認證的，對于用pre-share的認證方式或者不使用ipsec的l2tp連接，必須修改注冊表），需重啟客戶端PC，鍵值如下：#WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]"ProhibitIPSec"=dword:00000001#新建L2TP客戶端，在【網(wǎng)上鄰居】中創(chuàng)建新連接需要修改的參數(shù)如下GREVPN實現(xiàn)功能兩端配置采用第1章——基本網(wǎng)絡配置（相關(guān)IP不同）PC（）可通過GREVPN訪問PC（），并可共享兩端資源網(wǎng)絡拓撲配置步驟在【網(wǎng)絡管理】->【單播IPv4路由】下，添加靜態(tài)路由在【VPN】->【GRE】下，創(chuàng)建GREVPN策略SSLVPN實現(xiàn)功能采用第1章——基本網(wǎng)絡配置外網(wǎng)（）可通過SSLVPN連接到內(nèi)網(wǎng)，共享分配相應權(quán)限的內(nèi)網(wǎng)資源網(wǎng)絡拓撲配置步驟在【VPN】->【SSLVPN】下，啟動SSLVPN，并導入相應證書（新版本自帶證書，老版本需搭建服務器獲得）在【VPN】->【SSLVPN】下，配置資源（IP資源、web資源等）在【VPN】->【SSLVPN】下，添加用戶

VRRP雙機熱備實現(xiàn)功能內(nèi)網(wǎng)PC（）可訪問Internet資源當FW1（92，主）與FW2（93，備）為主備模式下，斷開FW1與SW1的連接，流量自動切換至FW2，PC應用無影響重新連接FW1與SW1的連接，流量自動切換回FW1，PC應用無影響網(wǎng)絡拓撲配置步驟在【網(wǎng)絡管理】->【接口管理】下，配置接口參數(shù)（eth_4為雙機熱備心跳線，eth_5連接內(nèi)網(wǎng)，eth_6連接外網(wǎng)）在【網(wǎng)絡管理】->【網(wǎng)絡對象】下，將接口添加到安全域中在【網(wǎng)絡管理】->【單播IPv4路由】下，添加出口默認路由在【防火墻】->【NAT】下，配置源NAT策略在【高可靠性】->【VRRP】下，配置VRRP備份組（內(nèi)網(wǎng)PC網(wǎng)關(guān)指向備份組虛擬IP）在【高可靠性】->【雙機熱備】下，進行雙機熱備配置（心跳線），此功能將同步配置、會話等參數(shù)在【高可靠性】->【接口狀態(tài)同步組】下，進行端口同步組配置（可選）；此功能作用為，如下行接口（eth0_5）down掉，則相同接口同步組下的其他接口，也將down掉，如需重新u