DCFW-1800S&E-UTM安装手册
神州数码DCFW-1800 防火墙快速配置
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
DCFW-1800-S-LAB防火墙实训手册
DCFW-1800-S-LAB 防火墙实训手册神州数码网络(北京)有限公司目录DCFW-1800-S-LAB 0防火墙实训手册 0实训一、对象配置管理 (2)总结一 (3)实训二(1)、网络接入管理-路由接入 (4)实训二(2)、网络接入管理-桥接入 (6)实训二(3)、网络接入管理-接口参数 (8)实训二(4)、网络接入管理-地址绑定 (10)总结二 (11)实训三(1)、路由配置管理-基本路由 (11)实训三(2)、路由配置管理-策略路由 (13)总结三 (16)实训四(1)、访问控制管理-访问控制策略 (16)实训四(2)、访问控制管理-P2P控制 (20)实训四(3)、访问控制管理-URL控制 (22)总结四 (24)实训五(1)、地址转换管理-地址伪装 (24)实训五(2)、地址转换管理-源地址转换 (26)实训五(3)、地址转换管理-地址映射 (28)实训五(4)、地址转换管理-端口映射 (29)总结五 (31)实训六、硬件地址管理 (31)总结六 (33)实训七(1)、入侵防御管理-连接控制 (33)实训七(2)、入侵防御管理-DOS (35)总结七 (37)实训八、带宽配置管理 (38)总结八 (40)实训九、移动加密网关 (40)总结九 (44)实训十、综合训练 (44)总结十 (53)实训一、对象配置管理一、实训目的1.理解防火墙对象概念2.掌握对象的配置方法二、应用环境校园网或企业网防火墙策略规则添加时使用。
三、实训设备1.DCFW-1800-S-LAB 1台2.PC 1台四、实训拓扑PC1DCFW-1800-S-LAB图-1DCFW-1800-S-LAB:eth0:192.168.1.254/24eth1:192.168.2.254/24PC1:IP:192.168.2.1/24GW:192.168.2.254五、实训要求1.增加IP地址对象2.增加服务端口对象3.增加时间对象六、实训步骤第一步:在管理PC上用http连接DCFW-1800-S-LAB 如:http://192.168.2.254登录DCFW-1800-S-LAB的用户名:admin登录DCFW-1800-S-LAB的密码:admin 第二步:增加地址对象“对象配置管理”->“地址对象”->增加“对象配置管理”->“端口对象”->增加第五步:增加时间对象“对象配置管理”->“时间对象”->增加点左边菜单栏->“访问控制管理”->访问策略->增加,进入访问控制规则配置页面,点对象下拉钮,查看我们配置的对象,是否都能看到。
DCFW1800操作指南
保存配置
1.apply 使配置生效 # apply 修改配置后,要用apply 命令才能使新配置生效 2.save 将配置写入flash 中 # save 修改配置后,如果不用save 命令写到非易失存储 器中,下次重启防火墙后,当前运行的配 置将丢失。
Ruleconfig命令
1、回复出厂设置 #ruleconfig load defaultruleconfig save 2、保存策略 语法 ruleconfig save <index> <comment> 描述:保存当前配置用来将当前的防火墙策略配 置保存到防火墙主机的非易失存储器中,以备以 后加载。参数
常用命令
接口配置 1.察看网口当前地址 # ifconfig list 2.配置网口IP # ifconfig if0 1.2.3.4/24 3.添加管理主机地址 # adminhost add 10.0.0.56 4.设置管理主机的名称 # hostname firewall 5.管理主机的删除 # adminhost del <index>(指定要删除的WEB管理机的序 号)
物理规格 机型 处理器 DRAM 内存 Flash 闪存 USB 接口 网络接口 MTBF 电源配置 输入范围 1U 可上架标准设备 多核 64 位处理器 1GB 256MB 0 8×GE 10 万小时 单电源 100AC 100-240V 50/60Hz
产品规格
外形尺寸(W×D×H) 外形尺寸(W×D×H) 1 U (442×367×44) 工作环境温度 环境相对湿度 重量 0-45℃ 10-95%(不结露) 10-95%(不结露) 不结露 2.8kg
配置方式
防火墙的配置方式有两种:web 浏览器和命令 行。下表列出了这两种方式的系统要求:
防火墙透明工作模式的配置
4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式,相当于防火墙端口工作于透明网桥模式,即防火墙的各个端口所连接的计算机均处于同一IP子网中,但不同接口之间的计算机的访问要受安全规则的制约。
因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。
这是对网络变动最少的接入控制方法,广泛应用于原来网络的安全升级中,而原有的拓扑只要稍加改动即可。
实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法,并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙,执行如下操作:# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后,修改本地计算机的“测试”网卡地址为“192.168.100.101”,并启动浏览器、用admin用户登录到防火墙。
2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令,如图1所示:图1 网桥设置界面3.启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮,进入如图2所示的界面,选中“修改网桥设置”选项卡,随后选中“启用”复选框,以启用网桥。
图2 启用网桥设置4.向网桥中添加接口选中“网桥bridege0接口设置”选项卡,如图3所示。
图3启用网桥设置单击“新增”按钮,将if0和if1接口加入bridge0,完成后的界面如图4所示。
图4 向bridge0中加入接口而后选“修改网桥设置”选项卡,回到图25所示界面,单击“确定”按钮,回到主界面,如图5所示,为使设置生效,依次单击“应用”和“保存”按钮。
神州数码防火墙系统FAQ V4.1
神州数码DCFW-1800S/E防火墙系统FAQ DCFW-1800 S/E文档发布版本号 V4.1神州数码网络有限公司Digital China Networks LTDAll Rights Reserved.神州数码DCFW-1800S/E防火墙系统FAQ版权声明本文档中的内容是神州数码DCFW-1800 S(C)/S/E-VII/G防火墙系统FAQ文档。
本文档的相关权力归神州数码网络有限公司所有。
文档中的任何部分未经本公司许可,不得转印、影印或复印。
由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。
本声明仅为文档信息的使用而发表,非为广告或产品背书目的。
支持信息本资料将定期更新,如欲获取最新相关信息,请查阅公司网站: 或 或直接致电神州数码客服中心服务热线8008109119您的意见和建议请发送至:Zhanghfc@神州数码DCFW-1800S/E防火墙系统FAQQ: 忘记了管理员密码怎么办?A: 将防火墙重新启动,并在控制终端上观察启动过程,在启动出现若干个“!”时,按键盘“p”,将自动清除当前管理员密码,并恢复为出厂密码设置“admin”。
重新启动后共出现两次“!”,都可以按“P”恢复密码,但是第一次出现时按“P”有提示,“Set Password!”,第二次出现时没有提示。
Q: 如果防火墙不通,可能是哪几个方面的原因?A:首先看是否按照说明书的配置方法进行配置(参见《神州数码防火墙系统基本功能用户指南》第2章快速入门)。
特别注意的是:是否配置了缺省网关外网口的IP地址是否有冲突在NAT规则配置时,映射的外网地址是否有冲突如果防火墙处于HA的备机状态,且无处于主机状态的防火墙,也会导致服务不通Q: 如果防火墙内部主机不能访问外网的站点,可能是什么原因?A:在包过滤策略的配置中,检查是否配置了允许该内部主机由内到外的访问策略;是否配置了允许由内到外的DNS服务通过,并且在系统中正确地配置了DNS服务器;该内部主机是否在策略配置的阻止主机列表中。
DCFW-1800S-L-V3
支持带宽保证功能
支持基于优先级的QoS(IP优先级、DSCP等)
支持二级带宽控制(每接口同时对IP和应用进行控制)
病毒防护
支持在线实时病毒查杀
支持的病毒检测协议包括HTTP\FTP\POP3\SMTP\IMAP
最大支持对于5层压缩包的病毒扫描
支持RAR、ZIP等5种压缩格式
支持GRE VPN
支持L2TP VPN
系统管理
支持备份系统映像,在当前系统映像出现故障时可切换至备份固件运行
支持WEB和TFTP方式升级系统映像
支持配置的备份和恢复,配置可导出保存至安全位置
支持SNMPv1/v2/v3
支持本地和远程管理,远程管理支持HTTPS\HTTP\TELNET\SSH管理方式。
用户认证
本地认证
外部认证支持Radius、LADP、MS Active Diectory
WEB认证
802.1X认证
流量控制
QoS功能
支持基于IP的上下行带宽控制
支持基于协议、应用的上下行带宽控制
支持基于用户认证角色的上下行带宽控制
支持对自定义数据流的带宽控制
支持带宽策略生效的时间控制
支持基于IP、协议、应用、用户角色、自定义数据流和时间混合嵌套的精细带宽控制
系统规格及其参数
机型
1U可上架桌面型设备
处理器
64位多核处理器
DRAM内存
512MB
Flash闪存
256MB
接口
5×GE
1个console口
1个AUX口
1个USB口
MTBF
10万小时
电源配置
单电源
输入范围
AC 100-240V 50/60Hz
DCFW-1800-S-LAB VPN防火墙
GRE 封包解包过程
GRE 应用 GRE 特点
GRE-简介
GRE GRE ( Generic Routing Encapsulation )通用路由封 装协议,是一种3层 VPN技术,最初是由 Cisco 开发的, 后被标准化为RFC 1701、1702和2784。
GRE隧道可以用来连接企业的私有网点,但由于GRE 本身缺乏足够强大的安全机制,所以很少被用来单独 传输数据。
⑦ 12(ICCN)Incoming-Call-Connected
用来回应ICRP,L2TP session建立完成。
L2TP-特点
二层VPN 灵活的身份验证机制
支持按需拨号
支特多协议传输
灵活的计费功能
本身没有加密功能
三层VPN协议-GRE
GRE
GRE 简介
GRE 网络构成
GRE 协议架构
GRE 报文格式
L2TP是VPDN(Virtual Private Dial-up Network,虚拟 私有拨号网)隧道协议的一种。
L2TP VPN-网络构成
LAC:L2TP 访问集中器( L2TP Access Concentrator ) 类似于 PPTP 中的 PAC ,是附属在交换网络上的具有 PPP端系统和L2TP协议处理能力的设备。LAC一般是一 个网络接入服务器NAS,主要用于通过PSTN/ISDN网络 为用户提供接入服务。 LNS:L2TP网络服务器(L2TP Network Server,LNS) 也 叫 做 “home gateway” , 类 似于 PPTP 中 的 PNS , 是 PPP端系统上用于处理L2TP协议服务器端部分的设备。 Dial-User:拨号用户。
GRE-应用
防火墙系统介绍
5001-5010
192.168.2.224
6001-6010
例如登陆第一实 验组的第一台设 备:telnet 192.168.2.24 1001。每组的设 备与CCM的对应 关系(以第一组 为例):
名称 防火墙1 防火墙2 防火墙3 路由器1 交换机1 交换机2 交换机3 统一威胁管理系 统1 网络入侵检测系 统1 无线控制器
http://192.168.1.1 https://192.168.1.1 --- 经过SSL加密推荐使用
缺省登陆 用户名:admin 密 码:admin
2、控制台管理——接口配置
DCFW-1800(config-if-eth0/1)# zone untrust --将接口添加到安全域中
典型应用环境
对外WEB/EMAIL服务器
核心交换机
INTERNET
内部服务器
DCFW-1800S-H防火墙
业务楼 DCS-3950S 3台堆叠
办公楼 DCS-3950S 2台堆叠
保管楼 DCS-3926S
实验环境--C502机房设备操作
CCM-16:设备调试控制器,1U机架式。 16个RJ45串行通信口, 2个10/100M以太 网口,其中每个网口和串口都有独立的数 据收发指示灯。
防火墙系统介绍
LOGO
防火墙的基本原理
防火墙是在本地网与外部网之间的界 面上构筑的保护层,保护内部网不受外部 非法用户的攻击,是一个或一组网络设备。
外部网络
内部网络
防火墙主要技术--包过滤
建立在网络层及传输层上,按源IP、目的IP、协议类型、 端口号进行过滤。 允许符合安全规则的数据包通过,阻止非法数据包。 外部合法数据与内部网络近似直接通信。 速度快、费用小、对应用层数据安全防范能力低。
神州数码DCFW-1800防火墙快速安装指南
2.1.1.1. 命令的基本结构.......................................................................................5 2.1.1.2. 基本命令行参数.......................................................................................5 2.1.1.3. 命令行使用技巧.......................................................................................6 2.1.1.4. 常用命令...................................................................................................7 2.1.1.5. 保留字.......................................................................................................8 2.2. WEB 管理方式.........................................................................................................8 2.2.1. 管理员登录.......................................................................................................8 2.2.1.1. 如何进入 WEB 管理界面 ........................................................................9 2.2.1.2. 单一管理员.............................................................................................11 2.2.1.3. 多个管理员.............................................................................................12 2.2.2. 管理员必读.....................................................................................................12 3. 防火墙接入配置用例.............................................................................................................14 3.1. 防火墙路由接入模式(启用 NAT) ....................................................................14 3.1.1. 拓扑结构.........................................................................................................14 3.1.2. 用户需求.........................................................................................................14 3.1.3. 配置流程图.....................................................................................................15
第三章 神州数码DCFW-1800系列防火墙配置
增加出DMZ的安全规则
完成后的安全规则
动态NAT配置
注意事项
注意: 1800s防火墙的这里有两个选项: [指定转换地址范围] 和 [转换成外网地址] 1800E中只有[指定转换地址范围] 如果是1800E防火墙,将内网网段转换成外网口ip地址,可以选择[指定转换地址范围] 在起始地 址处输入防火墙的外网口ip地址就可以,终止地址不用填写。 如果是1800s防火墙,并用adsl拨号方式或者通过dhcp方式获得地址,那么在作动态地址转换的 时候,此处一定要选择[转换成外网地址]; 对于1800s防火墙来说,如果外网口是固定ip地址,将内网网段转换成外网口ip地址时,也可以直 接选择[转换成外网地址]
拨号用户到网关的VPN
202.1.1.1
Internet
192.168.1.254
ISP
拨号用户 192.168.1.1 PC#1
192.168.1.0
配置流程图
配置流程 设置PPTP选项 设置安全策略 应用 保存
界面配置路径 VPN→ 选项 VPN →安全策略 应用 保存
192.168.2.254
192.168.1.1 PC#1
192.168.1.0
192.168.2.1 PC#2
192.168.2.0
配置流程图
配置流程 设置IPsec选项 设置密钥 设置安全策略 应用 保存 界面配置路径 VPN→ 选项 VPN →密钥 VPN →安全策略 应用 保存 apply save 命令行
配置流程 配置端口 设置缺省路由 增加管理主机地址 设置网络对象 设置安全规则 设置NAT 应用 保存 界面配置路径 防火墙(系统)→ 端口设置 防火墙(系统)→端口设置 →缺省网关 防火墙(系统)→端口设置→防火墙 管理员IP→修改 网络对象→新增 安全规则→新增 命令行 ifconfig route add default adminhost add netobj add policy add nat add
神码DCFW1800S+DCRS-6808
Vlan技术在县域教育信息网中的应用与研究过去的几年,学校计算机局域网在促进我县信息技术教育和信息技术教育应用的普及方面发挥了重要作用,同时也逐渐显露孤立的校园网,其力量单薄,难以适应信息技术教育和信息技术教育应用的深入发展。
我们对其归纳如下:难以形成丰富的教育资源库群,(实际上,许多学校无法建设自身的资源库),必定会衰减网络应用的广度和深度;区域内信息共享、交流与合作困难,必然会导致资源重复建设,校间合作与交流得不到进一步发展;教委部门形成的众多资源,得不到有效查询;区域内难以实现统一办公和管理,不便于工作效率的提高,区域内也难以形成对外形象展示窗口,等等。
诸多因素决定,互联各校局域网,构架县域教育信息网,成立教育信息中心已成为必须。
Vlan(Virtual Local Area Network)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
每一个Vlan都包含一组有着相同需求的计算机工作站,与物理上形成的Vlan有着相同的属性。
一个Vlan内部的广播和单播流量都不会转发到其他Vlan中,从而有助于控制流量、提高网络安全性、简化网络管理。
下面从几个方面具体来谈谈Vlan技术在校园网中的发挥的突出作用。
一、控制广播风暴由于不同的Vlan有着各自独立的广播域,而广播只能在本地Vlan内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
二、增强网络安全性在交换机上划分Vlan以后,不同的Vlan之间将不能直接通信,Vlan间的通信必须通过三层设备(路由设备)。
可以通过路由访问列表和MAC地址分配等Vlan划分原则,控制用户访问权限和逻辑网段大小,将不同用户群划分在不同Vlan中,从而提高校园网的整体性能和安全。
三、网络管理简单、直观利用Vlan技术可以根据学校的部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
防火墙配置
此时,最好不要强行登录,如果确认第一个管理员没有在进行配置,或得到许可后,可以 强行登录,则在此界面上选择“是”,并用管理员身份登录,此时系统将自动使第一管理 员失效。若不选择“是”,则即便用管理员身份登录,也是禁止的。
网络安全无忧 源自神州数码
登陆时注意
注意:1)、在进行强行登录操作时,一定要谨慎; 2)、系统管理员如果连续三次登录失败,则自动将其 从管理员主机列表中删除,即该管理主机不能再对防火墙进行管 理。如仍需要管理,可通过终端控制台或其它管理主机登录后, 将该地址重新加入管理主机列表中。
网络安全无忧 源自神州数码
端口NAT
用来将所有要送到某特定公共IP地址上某个端口的包全部转送到某个私有IP地址的内部机器的 某个特定端口上,仅对TCP、UDP有效。(或称为“端口NAT”,有些参考书称这种方式为“网络 端口翻译NPT”。)
转换前地址:内部网络或DMZ的IP地址 转换前端口:与内部网络或DMZ地址对应的端口 转换后地址:外部网络所映射的地址,为可路由到的任意IP地址。如果指定转换后的地址, 由需在此编辑栏手工输入; 如果要转换成接口地址,只需要选中“同步接口地址”选项,即 可转成当前接口地址 转换后端口:与转换后地址对应的端口 协议:目前的端口NAT规则仅对TCP、UDP有效,在新增端口NAT规则时,需要指定其中的一 种协议 接口:指定做NAT的网卡接口 目前,端口NAT的最大可配置数目为256条。
anti-synflood
除第3章所述的抗DoS选项外,防火墙还支持TCP协议策略级的anti-synflood功能。在新增策略规则时,可定制是否启 用anti-synflood模块。在透明模式trunk下不支持anti-synflood功能。 入侵检测 在新增策略规则时,可定制是否启用入侵检测模块。关于此模块的详细描述,参见第11章。 ICMP Filter 当选择Ping服务时,才会激活是否使用ICMP Filter选项,此选项只对ICMP服务有效。 Fastpath 在新增策略规则时,如果数据包在快速路径方式下进行传输,可以简化包过滤状态检测过程,加快策略通过的速率, 但在某种程度上也会降低安全性。相反,不选择快速路径时,检查过程精细,安全性较高(通常建议不要使用快速路径方 式)。 输入完上述内容后,按 [确定] 按钮,返回策略规则浏览界面,可以看到新增的策略规则,表明成功加入了新规则。 按[退出]按钮,取消已进行的新增操作。
DCFW-1800GES路由模式(做nat)的配置步骤--张向东
DCFW-1800 G/E/S路由模式(做NAT)配置步骤撰写人员张向东撰写时间2004-7-19 产品名称DCFW-1800G/E/S产品版本2.8及以上版本DCFW-1800G/E/S路由模式下做NAT的配置步骤及方法。
简单描述限制范围无1800 E/S 路由模式的配置步骤(作NAT )(本部分内容适用于:DCFW-1800E 和DCFW-1800S 系列防火墙)在本章节我们来介绍一下1800E 和1800S 防火墙路由模式的配置方法以及步骤。
本部分内容涉及: 安全规则,地址转换,更改防火墙网络属性(IP 以及网关)等功能的配置网络结构:要求:将防火墙内网接口地址更改为 192.168.10.1 255.255.255.0将外网接口地址更改为:10.1.157.131 255.255.255.0 将DMZ 口地址更改为:192.168.20.1 255.255.255.0 防火墙的默认网关为:10.1.157.2DMZ 内的服务器(pc 2)地址为:192.168.20.2 管理主机地址:192.168.10.2 规则要求:要求内网网段192.168.1.0 能够访问互联网,并且能够访问pc2 的web ,ftp ,ping服务,要求外网能够访问pc2 上的web ,ftp 服务。
将内网网段(192.168.10.0)转换成防火墙外网口地址将dmz 区内的服务器(192.168.20.2)转换成合法地址:10.1.157.61按照上面的描述,我们需要更改防火墙的网络地址和在防火墙上添加相应的安全规则,并作动态地址转换和静态地址转换。
DCFW - 1800E/S 外网接口 交换机 路由器 互联网 Pc 1 内网接口 DMZ 接口 Pc2实验步骤:说明:防火墙的网络地址的默认配置:内网口192.168.1.1 , 外网口192.168.0.1 ,DMZ口192.168.3.1系统管理员的名称:admin 密码:admin.一根据需求更改防火墙IP地址,添加管理主机,然后进入web管理界面1.1进入超级终端,添加管理防火墙的IP地址:( 超级终端的配置)点击确定,然后按数下回车,进入到1800E/S防火墙的超级终端配置界面:Welcome to Digital China DCFW (C)Copyright 2003 Digital China, All rights reservedlogin: admin输入正确的用户名admin ,然后回车。
神州数码 dcfw-1800 防火墙配置手册
神州数码DCFW-1800防火墙配置手册神州数码(上海)网络有限公司二零零二年十月前言计算机和网上技术正以惊人的速度改变着整个世界,全世界的公司都面临着巨大的挑战和机会。
借助网络,人们可以与异地的同事或是客户进行实时交流,快速地接受、发送信息;借助网络,人们可以提高工作效率、减少开支,同时做到了在尽可能短的时间内对客户或市场的形势变化做出应急反应。
但也因此增加了新的危险。
因为要想与别人通信就要对自己的网络进行设置,使之一定程度地对外开放,这样就使自己的内部网络暴露在一些不怀好意的人的面前。
为了使网络信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。
就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。
防火墙以其简单、实用、高效、经济等特点受到越来越多的用户的青睐,因此被越来越多地使用在企业与企业之间或企业与Internet之间。
DCFW-1800 防火墙是神州数码网络有限公司自主开发的复合型防火墙设备。
主要实现了检测功能、时间段控制访问功能、代理功能、地址转换功能、带宽管理、流量控制、MAC地址绑定功能和完整的日志审记等功能。
这本手册主要是描述如何正确配置、管理和使用DCFW-1800 防火墙,以便您能够预防有害的或未授权的信息出入您所要保护的网络,保障系统的安全。
读者对象本手册是对应高级用户和网络管理员编写的。
配置、使用防火墙所必备的知识:在安装和配置防火墙之前,具备充分的关于 TCP/IP、网络掩码、网络管理等等的知识是非常重要的。
您首先必须理解网络的工作原理,因为您将要安装、配置防火墙来控制进、出所保护网络的数据流。
您尤其要掌握 IP 地址、身份验证系统以及子网掩码的基础知识。
一本称得上出色的关于 TCP/IP 网络管理的书籍应囊括 netstat、arp、ifconfig、ping、nslookup、DNS、sendmail、routing 和更多的相关内容,由于本手册的主旨及篇幅所限,无法全面介绍,请您在相关书籍上查阅更多的资料。
神州数码网络产品快速介绍
千兆上联安全接入交换机
适用:百兆智能安全接入
交换机产品优势
产品线最全,从100G核心交换机、10G汇聚交换机到 1000M / 100M智能接入交换机,五大类交换机产品可满足 用户全部需求;
全线路由交换机支持IPv6,率先通过IPv6 Ready 银牌认 证、金牌认证、金牌增强认证、DHCPv6认证,处于世界领 先地位,是国内CERNET2 IPv6驻地网建设项目第一品牌;
IPv6包转发速率 MAC地址表
309Mpps
260Mpps 32K
102Mpps
—— 16K
38.7Mpps
—— 12K
型号 设备概况
DCS-3950-52C 智能安全接入交换机 48个10/100M端口,集成4个千 兆SFP光/电/堆叠复用口 48Gbps 13.2Mpps 4
S3600-52P-SI 智能安全接入交换机 48个10/100Base-TX以太网端 口,4个1000Base-X SFP千兆 以太网端口 32G 13.1Mpps 4
扩展插槽 重要技术指标 背板带宽 交换容量 包转发率 最大支持千兆端口数 最大支持万兆端口数 型号 设备概况
扩展插槽 重要技术指标 背板带宽 交换容量 包转发率 最大支持千兆端口数
S6506R S7506R 4510R 8插槽核心万兆路由交 8插槽核心万兆路由交 10插槽核心路由交换 换机 换机 机 8个,可配置为2个管理 8个,可配置为2个管 10个,可配置为2个 模块插槽+6个业务模 理模块插槽+6个业务 管理模块插槽+8个业 块插槽 模块插槽 务模块插槽 1.6Tbps 1.6Tbps 136Gbps 768G 432Mpps 288 768G 432Mpps 288 136Gbps 102Mpps 384
XXX年信息安全技术应用赛项设备介绍
XXX年信息安全技术应用赛项设备介绍信息安全技术应用赛项设备介绍一、竞赛设备清单序号设备名称设备型号数量品牌1二层交换机DCS-3950-28C2神州数码2三层交换机DCRS-5950-28T1神州数码3路由器DCR-26593神州数码4路由器配件CR-V35MT-V35FC3神州数码5堡垒服务器DCST-6000B1神州数码6防火墙DCFW-1800S-H-V22神州数码7防火墙配件DCFW-S-H-USG-LIC2神州数码8入侵检测DCNIDS-1800-M31神州数码9其他设备配线装置、PC机、打印机、U盘1二、竞赛设备说明1、DCS-3950-28c智能安全接入交换机DCS-3950-28c智能安全接入交换机属于百兆接入、千兆上联的二层以太网交换设备,其在安全、运营等方面极具特色,适用于教育、政府、大中型企业的网络接入。
DCS-3950-28c全面支持IPv6主机配置,具备SNMP v6、 v6等,更灵活的适应网络环境的需要,可在IPv4、IPv6网络部署中收放自如。
同时在机器性能上,它支持接入SFP百兆光模块,支持ECC纠错功能,降低了用户的投资及爱护成本。
DCS-3950-28c支持堆叠功能,采取无风扇静音设计,并采取固化上联端口的形式,端口类型组合丰富,为用户组网提供了专门大的扩展性和便利性。
作为新一代的网络产品,DCS-3950系列交换机具有强大的安全特性,如强大的ACL、防攻击能力可有效抗击病毒和DOS攻击,爱护自身和汇聚、核心设备的安全稳固运行。
完全的硬件转发、以及基于ASIC 的ACL机制能够在病毒泛滥时使正常数据不受任何阻碍。
DCS-3950-28C提供了4个千兆Combo接口,同时提供24个标准的百兆电口接入。
产品特点1.提供了完整的ACL策略,可依照源/目的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IP Precendence、时刻范畴、ToS对数据进行分类,并运行不同的转发策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
神州数码统一威胁管理 安装手册
V8.0.4
© 神州数码网络有限公司 Digital China Networks LTD All Rights Reserved.
Байду номын сангаас
版权声明 本白皮书中的内容是神州数码DCFW-1800S/E系列统一威胁系统安装手册。本材料的相关权力归神州 数码网络有限公司所有。白皮书中的任何部分未经本公司许可,不得转印、影印或复印。
由于产品版本升级或其它原因本白皮书内容会不定期进行更新除非另 有约定本白皮书仅作为使用指导本手册中的所有陈述信息和建议不 构成任何明示或暗示的担保。 本声明仅为文档信息的使用而发表,非为广告或产品背书目的。 本产品功能为全功能介绍,不同产品功能有所差异,特此说明。 支持信息 本 资 料 将 定 期 更 新 , 如 欲 获 取 最 新 相 关 信 息 , 请 查 阅 公 司 网 站 : 或
或直接致电本公司网络安全产品中心 010-82705311/82705312 及 神州数码客服中心服务热线 8008109119
您的意见和建议请发送至:ZongYu@
ALL RIGHTS RESERVED. ........................................................................................................................................ I 第一章 产品介绍 ...................................................................................................................................................... 5
简介 ........................................................................................................................................................................... 5 接入和工作模式 ................................................................................................................................................... 6 访问控制功能 ....................................................................................................................................................... 6 入侵防护功能 ....................................................................................................................................................... 7 虚拟专用网(VPN) ........................................................................................................................................... 8 分权管理与强制认证 ........................................................................................................................................... 9 高可用性 ............................................................................................................................................................... 9 高可管理性 ........................................................................................................................................................... 9 一体化的系统升级 ............................................................................................................................................... 9 服务质量保证(QoS) ...................................................................................................................................... 10 硬件特征 ................................................................................................................................................................. 10 指示灯说明 ......................................................................................................................................................... 10 接口属性说明 ..................................................................................................................................................... 10 第二章 产品安装准备工作 .................................................................................................................................... 12
安装环境要求 ......................................................................................................................................................... 12 环境温度及湿度要求 ......................................................................................................................................... 12 安装环境洁净度要求 ......................................................................................................................................... 12 防静电要求 ......................................................................................................................................................... 13 防雷电及环境电磁要求 ..................................................................................................................................... 13 安装台面检查 ..................................................................................................................................................... 14 安全注意事项 ......................................................................................................................................................... 14 设备及附件检查 ..................................................................................................................................................... 14 安装过程可能需要使用的工具 ............................................................................................................................. 14 第三章 设备安装 .................................................................................................................................................... 16