您的位置:360文档中心› DPtechFW系列防火墙系统操作手册

DPtechFW系列防火墙系统操作手册

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

D P t e c h F W系列防火墙

系统操作手册

公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

DPtech FW1000操作手册杭州迪普科技有限公司

2011年10月

目录

第1章组网模式

1.1 组网模式1-透明模式

组网应用场景

需要二层交换机功能做二层转发

在既有的网络中,不改变网络拓扑,而且需要安全业务

防火墙的不同网口所接的局域网都位于同一网段

特点

对用户是透明的,即用户意识不到防火墙的存在

部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点

接口添加到相应的域

接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

接口配置VLAN属性

必须配置一个vlan-ifxxx的管理地址,用于设备管理

1.2 组网模式2-路由模式

组网应用场景

需要路由功能做三层转发

需要共享Internet接入

需要对外提供应用服务

需要使用虚拟专用网

特点

提供丰富的路由功能,静态路由、RIP、OSPF等

提供源NAT支持共享Internet接入

提供目的NAT支持对外提供各种服务

支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等需要使用WEB认证功能

配置要点

接口添加到相应的域

接口工作于三层接口,并配置接口类型

配置地址分配形式静态IP、DHCP、PPPoE

1.3 组网模式3-混合模式

组网应用场景

需结合透明模式及路由模式

特点

在VLAN内做二层转发

在VLAN间做三层转发

支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点

接口添加到相应的域

接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

接口配置VLAN属性

添加三层接口,用于三层转发

配置一个vlan-ifxxx的地址,用于三层转发

第2章基本网络配置

2.1 实现功能

内网地址为DHCP获得

内网对外提供HTTP服务(安装web服务器)

2.2 网络拓扑

2.3 配置步骤

【网络管理】->【接口管理】下,配置接口参数

在【网络管理】->【网络对象】下,将接口添加到安全域

在【网络管理】->【单播IPv4路由】下,添加出口路由

在【网络管理】->【DHCP配置】下,启动DHCP Server

在【防火墙】->【NAT】下,添加源NAT

在【防火墙】->【NAT】下,添加目的NAT

在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略

第3章深度检测功能配置

3.1 实现功能

采用第1章——基本网络配置

内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP 限速、访问控制、URL过滤、行为审计等)

备注:本次功能配置以应用限速为例

3.2 网络拓扑

3.3 配置步骤

在【访问控制】->【网络应用带宽限速】下,配置限速策略

在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略部分DPI功能配置举例

第4章VPN

4.1 IPSec VPN

4.1.1 客户端接入模式

4.1.1.1 实现功能

采用第1章——基本网络配置

客户端方式连接到内网,共享内网资源

4.1.1.2 网络拓扑

4.1.1.3 配置步骤

在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式在客户端安装IPSec VPN客户端程序

4.1.2 网关—网关模式

4.1.2.1 实现功能

两端配置采用第1章——基本网络配置(相关IP不同)

4.1.2.2 网络拓扑

4.1.2.3 配置步骤

在【VPN】->【IPSec】下,进行网关—网关模式配置

4.2 L2TP VPN

4.2.1 实现功能

采用第1章——基本网络配置

4.2.2 网络拓扑

4.2.3 配置步骤

在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中

在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息

在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:

#

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parame ters]

"ProhibitIPSec"=dword:00000001

#

新建L2TP客户端,在【网上邻居】中创建新连接

需要修改的参数如下

4.3 GRE VPN

4.3.1 实现功能

两端配置采用第1章——基本网络配置(相关IP不同)

GRE

相关文档
最新文档