DCFW-1800-UTM配置指南之应用协议防护

DCFW-1800E/S-UTM ADSL线路策略路由配置指南网络拓扑：实现目标：1、内网192.168.1.0/24网段通过UTM上的ADSL线路访问互联网2、剩下的内网网段通过eth2接口的专线访问互联网配置步骤：初次配置使用超级终端进入防火墙控制台：初始配置管理员用户名：admin 密码：adminhawk> enable --- 进入配置模式hawk# configure terminal--- 进入特权模式hawk(config)# set interface eth0 ip 192.168.1.81/24--- 设置eth0接口的IP地址hawk(config)# unset interface eth0 manage-ip 192.168.1.80/24--- 设置eth0接口的管理IP地址hawk(config)# set interface eth0 up --- 设置eth0接口为活动状态，缺省所有的接口都是down状态WAN1eth0192.168.1.0/24Eth0 ip:192.168.1.81/24Manage_ip:192.168.1.80/24Eth1接口 PPPOE拨号上网192.168.2.0/24 WAN2Eth2 以太网接入Internethawk(config)# set interface eth1 up--- 设置eth1接口为活动状态hawk(config)# set eth0 manage-service web--- 设置可以用eth0接口的管理地址对UTM进行管理hawk(config)# set adminhost 192.168.1.85 --- 添加对UTM具有管理权限的主机地址hawk(config)# exit--- 退回到特权模式hawk# save configuration--- 把当前运行配置保存到启动配置配置完以上基本信息后，即可通过Web界面来对UTM进行配置。

山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册更多产品迁移说明：山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。

产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS®，提供全方位的安全防护、易用的可视化管理和卓越的性能，为中小企业和分支机构用户提供高性价比的全面安全解决方案。

山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构，通过全网健康指数帮助用户实时掌握安全状况；基于先进的应用识别和用户识别技术，为用户提供高性能应用层安全防护及增强的智能流量管理功能。

神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品，能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。

DCFW-1800系列防火墙拥有集成的网络安全硬件平台，采用专有的实时操作系统，可以灵活的划分安全域，并且可以自定义其它安全级别的域，防火墙的安全策略规则会对信息流进行检查和处理，从而保证网络的安全。

武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品，有硬件整机、OS软件、虚拟化云网关等三种产品形式，OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成，每个APP都有配套的在线帮助、任务向导、视频演示和状态统计，可以担当安全网关、防火墙、UTM、NGFW等角色，胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任，具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点，是云计算时代的网络安全产品。

以下是两者之间的功能对比迁移表：山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8第2章搭建配置环境 6 B快速安装指南9第3章命令行接口（CLI）10 B快速安装指南9第4章系统管理15 2系统管理47C缺省配置3.7 DNS解析2.4 菜单界面2.8 帐号口令2.2 初始设置1.7 ARP状态8.2 用户8.3 用户组3.1 网卡设置直接使用内置存储器2.6 配置管理1.13 测试工具1.2 功能统计重启关闭系统2.7 升级管理2.1 许可证4.6 SNMP服务本版本暂无，山石自有产品2.5 本地时间5.2 时间对象3.1 网卡设置监控缺省网关1.14 系统日志A功能简介3.1 网卡设置3.1 网卡设置3.4 网桥设置3.1 网卡设置5基础策略A功能简介5.4 会话对象5.7 总控策略内置<见下><见下>3.4 网桥设置2.2 初始设置2.2 初始设置2.2 初始设置1.7 ARP状态3.4 网桥设置硬件设备BIOS设置3.3 VLAN3.4 网桥设置3.1 网卡设置3.6 路由设置2.2 初始设置3.1 网卡设置3.1 网卡设置5.1 地址对象5.7 总控策略5.7 总控策略8.3 用户组<见下><见下>4.1 ARP服务5.1 地址对象4.1 ARP服务1.12 实时监控1.8 流量统计4.1 ARP服务8用户认证5.7 总控策略8.3 用户组5.6 NAT策略6.2 特殊应用功能设置10.1 IPSEC VPN总体设置10.2 IPSEC VPN本机设置10.3 IPSEC VPN网关10.4 IPSEC VPN连接本版本暂无，山石自有产品9.1 PPTP总体设置9.1 PPTP总体设置9.1 PPTP总体设置9.1 PPTP总体设置11.1 SSL接入11.2 SSLVPN总体设置5.7 总控策略内置3.4 网桥设置3.1 网卡设置3.6 路由设置3.7 DNS解析4.4 DDNS服务4.3 DHCP服务9.3 PPPOE总体设置使用UTMWALL-VM虚拟机5.5 QoS对象10.2 IPSEC VPN本机设置8.2 用户用户证书2.8 帐号口令管理员证书3.5 双机热备6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤7 入侵检测与防御6.6 DNS&URL库6.8 WEB代理过滤HTTPS代理6.3 网络审计6.4 WEB审计过滤6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.12 关键词规则6.13 关键词例外6.4 WEBPOST审计日志6.4 WEB审计过滤6.9 WEB代理过滤规则6.26 防垃圾邮件引擎6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤6.19 审计过滤6.2 特殊应用功能设置6.2 特殊应用功能设置6.4 WEB审计过滤6.15 FTP代理过滤1.15 日志统计1.15 日志统计1.15 日志统计参考文件：1. Hillstone山石网科多核安全网关使用手册_5.0R1P12. 神州数码DCFW-1800系列安全网关使用手册_4.0R4C6 （588页）3. 中神通UTMWALL网关管理员手册。

一、“校校通”工程简介根据教育部提出的“在5到10年时间使全国90%左右独立建制的中小学校能上网，使中小学教师能共享网上的资源，利用科技手段进行教学，全面实施校校通工程提高教学质量”的要求，西安市教育局和西安电信分公司合作建立西安教育网即世纪网站工程，目的是从根本上改变西安市教育信息技术基础设施现状，全面提高西安市的各级各类学校信息教育水平，建设一个“数字化”的西安.。

“校校通”工程是利用公共网络系统实现教育系统私有专用网络的教学应用平台。

学校以及区县级网络中心以路由器、防火墙等设备以及VPN技术为基础，采用专线或光纤接入校园网络，各区县级教育网和各级各类学校校园网与市级网站连成专用的网络构成三级架构的网络，层级相连，校校互通，资源共享，构成立体化、全方位的教育构架，即实现教育行业的教学信息化、管理信息化,来推动西安市教育事业的改革与发展。

二、公司简介陕西诚意电子技术开发有限公司毗邻风景秀丽的百年名校西安交通大学，位于交大科技一条街南端伟业都市远景大厦9层C座。

公司注册于二零零四年六月，是由成立于一九九八年的诚信计算机经销部发展而来的，是一家集市场营销、软件开发、系统集成、化工材料生产及销售为一体的多元化企业。

诚意公司秉承交大“扎根西部，服务全国，迈步世界，追求卓越，勇创一流；以促进和推进中国的科技进步与社会发展为已任，努力争取为人类发展做贡献”的目标与政府、教育、医疗、宾馆、烟草、部队、公安等领域的广大用户建立了友好、稳固的合作关系。

陕西诚意电子技术开发有限公司主要有以下3方面业务：信息系统集成：主要负责教育、政府、医院、宾馆、烟草、部队、公安领域等各行业的系统集成工作。

现有SUN认证软件工程师一名，Cisco CCNA工程师一名，Cisco CCNP资深网络工程师一名，AVAYA 网络工程师2名，澳创利认证网络工程师3名，中科院认证工程师3名，可为用户提供优良的售前、售后服务支持，并且公司是西安市教育系统“校校通”工程和校园信息化建设整体解决方案的授权集成商，以优良的工程质量和售后服务赢得广大用户的厚爱。

神州数码dcfw1800系列安全网关命令手册40r4c一、系统基本命令1. 登录与退出（1）登录网关admindcfw1800> enablePassword:admindcfw1800configure terminal输入管理员密码后，即可进入配置模式。

（2）退出网关admindcfw1800exit退出配置模式后，系统将返回用户模式。

2. 查看系统信息（1）查看系统版本admindcfw1800show version执行此命令，可以查看当前网关的软件版本、硬件版本等信息。

（2）查看系统状态admindcfw1800show system status执行此命令，可以查看网关的运行状态、CPU使用率、内存使用率等信息。

3. 配置系统时间（1）设置系统时间admindcfw1800clock set HH:MM:SS YYYYMMDD将HH:MM:SS替换为具体的小时、分钟和秒，将YYYYMMDD替换为具体的年、月、日。

（2）查看系统时间admindcfw1800show clock执行此命令，可以查看当前网关的系统时间。

二、接口配置命令1. 查看接口状态admindcfw1800show interface执行此命令，可以查看所有接口的状态、速率、双工模式等信息。

2. 配置接口（1）进入接口配置模式admindcfw1800interface <interfacetype> <interfacenumber>将<interfacetype>替换为接口类型（如GigabitEthernet），将<interfacenumber>替换为接口编号（如0/0）。

（2）设置接口描述admindcfw1800description <descriptiontext>将<descriptiontext>替换为接口描述信息。

（3）设置接口速率和双工模式admindcfw1800speed <speed> duplex <duplexmode>将<speed>替换为接口速率（如1000），将<duplexmode>替换为双工模式（如full或half）。

DCFW-1800E/S-UTM 地址转换（NAT ）配置指南网络拓扑：网络环境及配置需求：I 、内网网段192.168.1.0/24，通过UTM 做动态NAT 上网，动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66，外网网关为202.127.192.66II 、对内网FTP server:192.168.1.10做端口映射，将外网口地址202.127.192.66的tcp21端口映射到该FTP server 的tcp21端口，放行外网到FTP Server 的ftp 服务。

III 、配置让内网用户可以通过FTP Server 映射后的公网地址访问FTP Server.IV 、对DMZ 区的Web Server 做静态地址映射，将公网地址202.127.192.67静态映射到172.16.1.10，放行外网到Web Server 的http 服务。

V 、配置让内网用户可以通过Web Server 映射后的公网地址访问Web Server.需求I内网网段192.168.1.0/24，通过UTM 做动态NAT 上网，动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66，外网网关为202.127.192.65Internetif0:192.168.1.81/24 Manage_ip:192.168.1.80/24DCFW-1800-UTM网关:202.127.192.65/24FTP Server:192.168.1.10/24内网DMZ外网配置步骤：1、使用“超级终端”登陆UTM，参数设置如下：初始配置管理用户名：admin 密码：admin进入配置模式：Hawk>enableHawk#进入特权模式：Hawk#config terminalHawk(config)#将if0接口加入trust安全域：Hawk(config)#set interface eth0 zone trust为if0接口配置ip地址：Hawk(config)# set interface eth0 ip 192.168.1.81/24为if0接口配置管理ip地址：Hawk(config)#set interface eth0 manage-ip 192.168.1.80/24开启if0接口的Web管理权限(只有添加了管理地址的主机才具有管理权限)：Hawk(config)#set interface eth0 manage-service web开启if0接口可以被ping的功能（只接受管理主机的ping，并且只能ping该接口的管理ip）：Hawk(config)#set interface eth0 manage-service ping添加管理主机地址：Hawk(config)#set adminhost 192.168.1.85退出特权模式到配置模式并保存配置：Hawk(config)#exitHawk#save config此后的配置可以用ip地址为192.168.1.85的管理主机连接到if0接口上通过Web界面配置2、登陆web管理界面打开一个IE浏览器窗口，在地址栏里输入https://192.168.1.80:2000（注意此处的地址为if0接口的管理ip --- manage-ip）登陆角色选择为：配置管理员初始用户名：admin初始密码：admin3、配置接口地址添加外网接口eth2 IP地址：在“网络”->“网络接口”中点击“修改”eth2接口将eth2接口状态设为：“up”工作模式设为“NAT”所属安全域设为“untrust”IP/位掩码：202.127.192.66/29设定完毕后点击“确定”在“网络”->“路由”->“静态路由”中点击“新增”。

H3C试题姓名公司一、选择题（3分/题）1）DCRS-7608总共具备____个插槽，DCRS-7604总共具备______个插槽A）8，4B）10，4C）10，6D）8，62）神州数码的核心交换机DCRS-7600系列（即DCRS-7604和DCRS-7608）对应华三公司、锐捷公司的交换机产品分别是什么？A）华三：S9500系列，锐捷：S8600系列B）华三：S7500系列，锐捷：S8600系列C）华三：S9500系列，锐捷：S6800系列D）华三：S5600系列，锐捷：S6800系列3）神州数码的一款全千兆二层交换机，支持多种Vlan技术，具备全局自由1K的ACL。

请问它的型号是什么？A）DCRS-5950-28TB）D CS-3950-26CC）D CS-4500-24TD）DCRS-5650-284）DCS-5950系列是支持硬件IPv6的千兆+万兆盒式交换机，这个系列中有多款交换机，请问其中支持48个千兆电口的交换机型号是什么？A）DCRS-5950-28T 和DCRS-5950-28T-LB）D CRS-5950-52T 和DCRS-5950-52T-LC）D CRS-5950-24D）DCRS-5950-265）DCS-3950-28CT支持的千兆端口规格是A）2个10/100/1000M自适应RJ45端口、2个千兆SFP端口B）4个10/100/1000M自适应RJ45端口C）4个千兆SFP端口D）2个10/100/1000M自适应RJ45端口、2个千兆Combo端口6）神州数码的主流路由交换机产品都通过了IPv6 Ready Phase-2认证，请问下面哪个交换机系列没有通过IPv6 Ready Phase-2认证A）DCRS-7600系列B）D CRS-6800系列C）D CRS-5950系列D）DCS-4500系列7）DCS-3950系列主要特色的总结口诀有三条，下面不正确的是：A）安全功能基础雄厚！（ACL全局自由1K）B）端口限速细密到家！（端口限速粒度业界最细）C）组网丰富灵活多变！（端口组合丰富、链路聚合数量最多）D）支持丰富的路由协议（具备OSPF、RIP、BGP等路由协议）8）下面哪个是属于桌面型防火墙A）DCFW-1800S-LB）DCFW-1800EC）DCFW-1800SD）DCFW-1800E-UTM9）神州数码可以用于P2P协议过滤的设备有哪些？A）UTM B）DCFS产品C）DCBI-3000 D）DCFW系列防火墙10）下列哪个产品既支持H.323，又支持SIPA）DCVG-5200 B）DCVG-232 C）DCVP-2000 D）DCVP-202H二、问答题（5分/题）1、网络安全产品的相关销售资格认证有哪些？2、列举神州数码交换机销售七种武器。

DCFW-1800ES-UTM 常用基本配置速查z初始登陆基本配置通过串口使用超级终端登陆UTM的参数如下设置z登陆帐号初始配置管理员登陆login: adminPassword: admin --登陆密码在命令行状态下输入时不会显现，确定输入正确后直接敲回车即可成功登陆还有另外两个角色的帐号：超级管理员：super，初始密码：super使用该帐号登陆可对UTM进行版本升级、配置的备份及更新、各种管理帐号的添加修改、各种许可证文件的导入激活等等操作。

审计管理员：audit 初始密码：audit对UTM进行日志管理，包括日志策略的制定，日志信息的查看等。

z UTM登陆管理配置对任意接口配置通信IP及管理IP（下面以配置eth0接口为例）User Access VerificationUTM>enableUTM#config t进入配置模式UTM(config)# set interface eth0 ip 192.168.1.81/24为eth0接口配置通信IPUTM(config)# set interface eth0 manage-ip 192.168.1.80/24为eth0接口配置管理IP，使用该地址对UTM进行管理UTM(config)# set interface eth0 up将eth0接口激活启用UTM(config)# set interface eth0 manage-service web激活管理主机对eth0接口使用web管理的权限UTM(config)# set interface eth0 manage-service ping激活管理主机对eth0接口进行ping操作的权限UTM(config)#set adminhost 192.168.1.1添加对UTM具有管理权限的主机地址添加完上述配置即可使用IP地址为192.168.1.1的主机通过web方式对UTM进行管理。

神州数码DCFW-1800防火墙配置手册神州数码（上海）网络有限公司二零零二年十月前言计算机和网上技术正以惊人的速度改变着整个世界，全世界的公司都面临着巨大的挑战和机会。

借助网络，人们可以与异地的同事或是客户进行实时交流，快速地接受、发送信息；借助网络，人们可以提高工作效率、减少开支，同时做到了在尽可能短的时间内对客户或市场的形势变化做出应急反应。

但也因此增加了新的危险。

因为要想与别人通信就要对自己的网络进行设置，使之一定程度地对外开放，这样就使自己的内部网络暴露在一些不怀好意的人的面前。

为了使网络信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统。

就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。

防火墙以其简单、实用、高效、经济等特点受到越来越多的用户的青睐，因此被越来越多地使用在企业与企业之间或企业与Internet之间。

DCFW-1800 防火墙是神州数码网络有限公司自主开发的复合型防火墙设备。

主要实现了检测功能、时间段控制访问功能、代理功能、地址转换功能、带宽管理、流量控制、MAC地址绑定功能和完整的日志审记等功能。

这本手册主要是描述如何正确配置、管理和使用DCFW-1800 防火墙，以便您能够预防有害的或未授权的信息出入您所要保护的网络，保障系统的安全。

读者对象本手册是对应高级用户和网络管理员编写的。

配置、使用防火墙所必备的知识：在安装和配置防火墙之前，具备充分的关于 TCP/IP、网络掩码、网络管理等等的知识是非常重要的。

您首先必须理解网络的工作原理，因为您将要安装、配置防火墙来控制进、出所保护网络的数据流。

您尤其要掌握 IP 地址、身份验证系统以及子网掩码的基础知识。

一本称得上出色的关于 TCP/IP 网络管理的书籍应囊括 netstat、arp、ifconfig、ping、nslookup、DNS、sendmail、routing 和更多的相关内容，由于本手册的主旨及篇幅所限，无法全面介绍，请您在相关书籍上查阅更多的资料。

DCFW-1800E/S-UTM 应用协议防护 配置指南
网络拓扑
网络环境及配置需求：
UTM if0接口连接内网交换机，if1接口连接互联网，UTM 采用路由模式
要求：
禁止内网用户使用BT 下载
配置步骤：
UTM 初始的基本配置这里就不再赘述，可以参考其他快速配置手册。

1、建立防护策略 “IPS ”->“应用协议防护”->“防护策略” 点击“新增”
这里的源、目的地址可以根据限制的需要自己定制
Signature 为“点对点协议”中的“BitTorrent ” -------如果限制的是其他应用就是在此定义
动作为：deny
2、在制定“安全策略”时选择进行IPS 检测 “防火墙”->“安全策略”->“域间安全策略”
Internet
if0 192.168.1.0/24 DCFW-1800-UTM
if0 ip:192.168.1.81/24
Manage_ip:192.168.1.80/24
if1 ip:202.127.192.66/29
注意：这里的策略是trust 到untrust 的any服务是允许的，但同时对IPS进行检测，由于IPS里对BT应用deny 了，所以在此方向的bt应用将被拦截。

要限制其他应用协议可以一次方法逐一添加防护策略。

神州数码DCFW-1800防火墙快速配置多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT 配置一、网络拓扑Internet网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui 登录防火墙界面输入缺省用户名admin ，密码admin 后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

DCFW-1800G/E/S系列防火墙简易使用手册神州数码网络集团客服中心技术支持部第1章硬件说明 (4)第2章安装前准备 (4)2.1通过控制台接入防火墙（CLI） (4)2.2SSH远程管理方法 (4)2.3WEB页面管理方法 (5)2.4防火墙密码恢复方法 (6)2.5恢复出厂配置方法 (7)2.6防火墙升级方法 (8)2.7恢复备份版本方法 (10)2.8更改逻辑端口同物理端口对应关系方法 (11)2.9防火墙当前运行配置下载方法 (12)2.10防火墙出厂默认配置 (13)第3章功能配置 (13)3.1防火墙接口IP地址更改方法 (14)3.2防火墙默认网关配置方法 (15)3.3防火墙静态路由添加方法 (15)3.4服务（端口）添加方法（3.6及之前版本） (16)3.5安全规则添加方法（3.6及之前版本） (16)3.6动态NAT配置方法（3.6及之前版本） (18)3.7静态NAT配置方法（3.6及之前版本） (18)3.8端口映射配置方法（3.6及之前版本） (19)3.9日志记录方法（3.6及之前版本） (19)3.10源地址路由配置方法（3.6及之前版本） (26)第4章典型应用 (31)4.1常用路由模式的配置（3.6及之前版本） (31)4.2防火墙做PPTP拨号服务器的配置（3.6及之前版本） (42)4.3如何封堵病毒端口（3.6及之前版本） (48)关于本手册本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法，并举例进行说明，希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。

如果系统升级，本手册内容进行相应更新，恕不事先通知。

第1章硬件说明无第2章安装前准备2.1 通过控制台接入防火墙（CLI）z将DCFW-1800防火墙console线缆一端和防火墙控制台端口相连，另一端与计算机的串口相连。

z打开计算机超级终端，将串口设置为如下模式：9600波特率，8个数据位，无奇偶校验位，1个停止位，无流控。