DPtech FW1000操作手册
杭州迪普科技有限公司
2011年10月
杭州迪普科技有限公司
目 录
DPtech FW1000操作手册................................................................................................................................ 1
第1章 组网模式 .............................................................................................................................................. 1 1。1 组网模式1—透明模式 ............................................................................................................................... 1 1.2 组网模式2—路由模式 .................................................................................................................................. 2 1.3 组网模式3—混合模式 .................................................................................................................................. 3 第2章 基本网络配置 ...................................................................................................................................... 4 2。1 实现功能 ..................................................................................................................................................... 4 2.2 网络拓扑 ........................................................................................................................................................ 4 2.3 配置步骤 ........................................................................................................................................................ 4 第3章 深度检测功能配置 ............................................................................................................................... 7 3。1 实现功能 ..................................................................................................................................................... 7 3.2 网络拓扑 ........................................................................................................................................................ 7 3。3 配置步骤 ..................................................................................................................................................... 7 第4章 VPN ...................................................................................................................................................... 9 4。1 IPSEC VPN ...................................................................................................................................................... 9 4.1。1 客户端接入模式 .................................................................................................................................. 9 4.1.2 网关—网关模式 ................................................................................................................................... 10 4。2 L2TP VPN ..................................................................................................................................................... 12 4.2。1 实现功能 ............................................................................................................................................ 12 4。2.2 网络拓扑 ............................................................................................................................................ 12 4.2.3 配置步骤 ............................................................................................................................................... 12 4。3 GRE VPN ...................................................................................................................................................... 16 4.3.1 实现功能 ............................................................................................................................................... 16 4.3.2 网络拓扑 ............................................................................................................................................... 16 4.3。3 配置步骤 ............................................................................................................................................ 16 4。4 SSL VPN ....................................................................................................................................................... 17 4.4.1 实现功能 ............................................................................................................................................... 17 4。4。2 网络拓扑 ......................................................................................................................................... 18 4.4.3 配置步骤 ............................................................................................................................................... 18 第5章 VRRP双机热备 .................................................................................................................................. 20 5.1 实现功能 ...................................................................................................................................................... 20 5。2 网络拓扑 ................................................................................................................................................... 20 5。3 配置步骤 ................................................................................................................................................... 20 第6章 日志输出UMC ................................................................................................................................... 24 6.1 业务日志输出 .............................................................................................................................................. 24 6。2 会话日志输出 ........................................................................................................................................... 24
杭州迪普科技有限公司
6.3 流量分析输出 .............................................................................................................................................. 25
杭州迪普科技有限公司
第1章 组网模式
1.1 组网模式1—透明模式
组网应用场景
➢ 需要二层交换机功能做二层转发
➢ 在既有的网络中,不改变网络拓扑,而且需要安全业务 ➢ 防火墙的不同网口所接的局域网都位于同一网段 特点
➢ 对用户是透明的,即用户意识不到防火墙的存在
➢ 部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置 ➢ 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 配置要点
➢ 接口添加到相应的域
➢ 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
杭州迪普科技有限公司 第1页
杭州迪普科技有限公司
➢ 接口配置VLAN属性
➢ 必须配置一个vlan—ifxxx的管理地址 ,用于设备管理
1.2 组网模式2—路由模式
组网应用场景
➢ 需要路由功能做三层转发 ➢ 需要共享Internet接入 ➢ 需要对外提供应用服务 ➢ 需要使用虚拟专用网 特点
➢ 提供丰富的路由功能,静态路由、RIP、OSPF等 ➢ 提供源NAT支持共享Internet接入 ➢ 提供目的NAT支持对外提供各种服务
➢ 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 ➢ 需要使用WEB认证功能 配置要点
杭州迪普科技有限公司 第2页
杭州迪普科技有限公司
➢ 接口添加到相应的域
➢ 接口工作于三层接口,并配置接口类型 ➢ 配置地址分配形式静态IP、DHCP、PPPoE
1.3 组网模式3-混合模式
组网应用场景
➢ 需结合透明模式及路由模式 特点
➢ 在VLAN内做二层转发 ➢ 在VLAN间做三层转发
➢ 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 配置要点
➢ 接口添加到相应的域
➢ 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK ➢ 接口配置VLAN属性 ➢ 添加三层接口,用于三层转发
➢ 配置一个vlan—ifxxx的地址 ,用于三层转发
杭州迪普科技有限公司 第3页
杭州迪普科技有限公司
第2章 基本网络配置
2.1 实现功能
➢ 内网(3.3.3。2/24)可访问外网(10。99.0。1/24) ➢ 内网地址为DHCP获得
➢ 内网对外提供HTTP服务(安装web服务器)
2.2 网络拓扑
2.3 配置步骤
➢ 【网络管理】-〉【接口管理】下,配置接口参数
杭州迪普科技有限公司 第4页
杭州迪普科技有限公司
➢ 在【网络管理】—>【网络对象】下,将接口添加到安全域
➢ 在【网络管理】-〉【单播IPv4路由】下,添加出口路由
➢ 在【网络管理】—〉【DHCP配置】下,启动DHCP Server
➢ 在【防火墙】—>【NAT】下,添加源NAT
➢ 在【防火墙】-〉【NAT】下,添加目的NAT
杭州迪普科技有限公司 第5页
杭州迪普科技有限公司
➢ 在【防火墙】—>【包过滤策略】下,添加Untrust到Trust包过滤策略
杭州迪普科技有限公司
第6页
杭州迪普科技有限公司
第3章 深度检测功能配置
3.1 实现功能
➢ 采用第1章—-基本网络配置
➢ 内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访
问控制、URL过滤、行为审计等) ➢ 备注:本次功能配置以应用限速为例
3.2 网络拓扑
3.3 配置步骤
➢ 在【访问控制】->【网络应用带宽限速】下,配置限速策略
➢ 在【防火墙】-〉【包过滤策略】下,添加包过滤策略,并引用应用限速策略
杭州迪普科技有限公司 第7页
杭州迪普科技有限公司
➢ 部分DPI功能配置举例
杭州迪普科技有限公司 第8页
杭州迪普科技有限公司
第4章 VPN
4.1 IPSec VPN
4.1.1 客户端接入模式
4.1.1.1 实现功能
➢ 采用第1章--基本网络配置
➢ 外网(10。99.0。4)可通过IPSec VPN客户端方式连接到内网,共享内网资源
4.1.1.2 网络拓扑
4.1.1.3 配置步骤
➢ 在【VPN】-〉【IPSec】下,启动IPSec,配置客户端接入模式
杭州迪普科技有限公司 第9页
杭州迪普科技有限公司
➢ 在客户端安装IPSec VPN客户端程序
4.1.2 网关—网关模式
4.1.2.1 实现功能
➢ 两端配置采用第1章—-基本网络配置(相关IP不同)
➢ PC(3.3.3。2)可通过IPSec VPN访问PC(4.4.4。2),并可共享两端资源
杭州迪普科技有限公司 第10页
杭州迪普科技有限公司
4.1.2.2 网络拓扑
4.1.2.3 配置步骤
➢ 在【VPN】—〉【IPSec】下,进行网关-网关模式配置
杭州迪普科技有限公司 第11页
杭州迪普科技有限公司
4.2 L2TP VPN
4.2.1 实现功能
➢ 采用第1章——基本网络配置
➢ 外网(10。99.0。4)可通过L2TP VPN连接到内网,共享内网资源 4.2.2 网络拓扑
4.2.3 配置步骤
➢ 在【网络管理】—>【网络对象】下,将L2TP使用接口添加到安全域中
杭州迪普科技有限公司 第12页
杭州迪普科技有限公司
➢ 在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息
➢ 在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对
于用pre—share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下: #
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RasMan\\Parameters]
\"ProhibitIPSec”=dword:00000001 #
杭州迪普科技有限公司 第13页
杭州迪普科技有限公司
➢ 新建L2TP客户端,在【网上邻居】中创建新连接
➢ 需要修改的参数如下
杭州迪普科技有限公司 第14页
杭州迪普科技有限公司
杭州迪普科技有限公司 第15页
杭州迪普科技有限公司
4.3 GRE VPN
4.3.1 实现功能
➢ 两端配置采用第1章——基本网络配置(相关IP不同)
➢ PC(3。3。3.2)可通过GRE VPN访问PC(4.4.4.2),并可共享两端资源 4.3.2 网络拓扑
4.3.3 配置步骤
➢ 在【网络管理】—>【单播IPv4路由】下,添加静态路由
杭州迪普科技有限公司 第16页
杭州迪普科技有限公司
➢ 在【VPN】—〉【GRE】下,创建GRE VPN策略
4.4 SSL VPN
4.4.1 实现功能
➢ 采用第1章——基本网络配置
➢ 外网(10。99.0.4)可通过SSL VPN连接到内网,共享分配相应权限的内网资源
杭州迪普科技有限公司 第17页
杭州迪普科技有限公司
4.4.2 网络拓扑
4.4.3 配置步骤
➢ 在【VPN】—>【SSL VPN】下,启动SSL VPN,并导入相应证书(新版本自带证书,
老版本需搭建服务器获得)
杭州迪普科技有限公司 第18页
杭州迪普科技有限公司
➢ 在【VPN】->【SSL VPN】下,配置资源(IP资源、web资源等)
➢ 在【VPN】—>【SSL VPN】下,添加用户
杭州迪普科技有限公司 第19页
杭州迪普科技有限公司
第5章 VRRP双机热备
5.1 实现功能
➢ 内网PC(3.3。3.3)可访问Internet资源
➢ 当FW1(10。99。0.192,主)与FW2(10。99。0。193,备)为主备模式下,断开
FW1与SW1的连接,流量自动切换至FW2,PC应用无影响
➢ 重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响
5.2 网络拓扑
5.3 配置步骤
➢ 在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5
连接内网,eth_6连接外网)
杭州迪普科技有限公司 第20页
杭州迪普科技有限公司
➢ 在【网络管理】—>【网络对象】下,将接口添加到安全域中
➢ 在【网络管理】—>【单播IPv4路由】下,添加出口默认路由
➢ 在【防火墙】—〉【NAT】下,配置源NAT策略
杭州迪普科技有限公司 第21页
杭州迪普科技有限公司
➢ 在【高可靠性】-〉【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟
IP)
➢ 在【高可靠性】—>【双机热备】下,进行双机热备配置(心跳线),此功能将同步配
置、会话等参数
➢ 在【高可靠性】-〉【接口状态同步组】下,进行端口同步组配置(可选);此功能
作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down掉,如需重新up,则需重新打开接口的管理状态
杭州迪普科技有限公司 第22页
杭州迪普科技有限公司杭州迪普科技有限公司
第23页
杭州迪普科技有限公司
第6章 日志输出UMC
6.1 业务日志输出
➢ 在【日志管理】->【业务日志】下,配置业务日志输出 ➢ FW中,业务日志主要包括行为审计日志
6.2 会话日志输出
➢ 在【防火墙】—>【会话管理】下,配置会话日志输出 ➢ FW中,会话日志主要包括NAT日志
杭州迪普科技有限公司 第24页
杭州迪普科技有限公司
6.3 流量分析输出
➢ 在【上网行为管理】—>【流量分析】下,配置流量分析输出 ➢ FW中,流量分析主要包括流量分析日志
杭州迪普科技有限公司 第25页
因篇幅问题不能全部显示,请点此查看更多更全内容