DPtechFW系列防火墙系统操作手册
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在【防火墙】->【NAT】下,添加源NAT
在【防火墙】->【NAT】下,添加目的NAT
在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略
第3章
3.1
采用第1章——基本网络配置
内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访问控制、URL过滤、行为审计等)
6.2
在【防火墙】->【会话管理】下,配置会话日志输出
FW中,会话日志主要包括NAT日志
6.3
在【上网行为管理】->【流量分析】下,配置流量分析输出
FW中,流量分析主要包括流量分析日志
在【VPN】->【GRE】下,创建GRE VPN策略
4.4
4.4.1
采用第1章——基本网络配置
外网()可通过SSL VPN连接到内网,共享分配相应权限的内网资源
4.4.2
4.4.3
在【VPN】->【SSL VPN】下,启动SSL VPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)
在【VPN】->【SSL VPN】下,配置资源(IP资源、web资源等)
第2章
2.1
内网()可访问外网()
内网地址为DHCP获得
内网对外提供HTTP服务(安装web服务器)
2.2
2.3
【网络管理】->【接口管理】下,配置接口参数
在【网络管理】->【网络对象】下,将接口添加到安全域
在【网络管理】->【单播IPv4路由】下,添加出口路由
在【网络管理】->【DHCP配置】下,启动DHCP Server
在【高可靠性】->【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down掉,如需重新up,则需重新打开接口的管理状态
第6章
6.1
在【日志管理】->【业务日志】下,配置业务日志输出
FW中,业务日志主要包括行为审计日志
4.1.1.2
4.1.1.3
在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式
在客户端安装IPSec VPN客户端程序
4.1.2
4.1.2.1
两端配置采用第1章——基本网络配置(相关IP不同)
PC()可通过IPSec VPN访问PC(),并可共享两端资源
4.1.2.2
4.1.2.3
支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等
配置要点
接口添加到相应的域
接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
接口配置VLAN属性
必须配置一个vlan-ifxxx的管理地址 ,用于设备管理
1.2
组网应用场景
需要路由功能做三层转发
需要共享Internet接入
需要对外提供应用服务
DPtechFW1000操作手册
杭州迪普科技有限公司
2011年10月
第1章
1.1
组网应用场景
需要二层交换机功能做二层转发
在既有的网络中,不改变网络拓扑,而且需要安全业务
防火墙的不同网口所接的局域网都位于同一网段
特点
对用户是透明的,即用户意识不到防火墙的存在
部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置
在【VPN】->【SSL VPN】下,添加用户
第5章
5.1
内网PC()可访问Internet资源
当FW1(,主)与FW2(,备)为主备模式下,断开FW1与SW1的连接,流量自动切换至FW2,PC应用无影响
重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响
5.2
5.3
在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5连接内网,eth_6连接外网)
1.3
组网应用场景
需结合透明模式及路由模式
特点
在VLAN内做二层转发
在VLAN间做三层转发
支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等
配置要点
接口添加到相应的域
接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
接口配置VLAN属性
添加三层接口,用于三层转发
配置一个vlan-ifxxx的地址 ,用于三层转发
"ProhibitIPSec"=dword:00000001
#
新建L2TP客户端,在【网上邻居】中来自百度文库建新连接
需要修改的参数如下
4.3
4.3.1
两端配置采用第1章——基本网络配置(相关IP不同)
PC()可通过GREVPN访问PC(),并可共享两端资源
4.3.2
4.3.3
在【网络管理】->【单播IPv4路由】下,添加静态路由
在【网络管理】->【网络对象】下,将接口添加到安全域中
在【网络管理】->【单播IPv4路由】下,添加出口默认路由
在【防火墙】->【NAT】下,配置源NAT策略
在【高可靠性】->【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟IP)
在【高可靠性】->【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数
备注:本次功能配置以应用限速为例
3.2
3.3
在【访问控制】->【网络应用带宽限速】下,配置限速策略
在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略
部分DPI功能配置举例
第4章
4.1
4.1.1
4.1.1.1
采用第1章——基本网络配置
外网()可通过IPSec VPN客户端方式连接到内网,共享内网资源
需要使用虚拟专用网
特点
提供丰富的路由功能,静态路由、RIP、OSPF等
提供源NAT支持共享Internet接入
提供目的NAT支持对外提供各种服务
支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等
需要使用WEB认证功能
配置要点
接口添加到相应的域
接口工作于三层接口,并配置接口类型
配置地址分配形式静态IP、DHCP、PPPoE
在【VPN】->【IPSec】下,进行网关—网关模式配置
4.2
4.2.1
采用第1章——基本网络配置
外网()可通过L2TP VPN连接到内网,共享内网资源
4.2.2
4.2.3
在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中
在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息
在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:
#
Windows Registry Editor Version
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
在【防火墙】->【NAT】下,添加目的NAT
在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略
第3章
3.1
采用第1章——基本网络配置
内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访问控制、URL过滤、行为审计等)
6.2
在【防火墙】->【会话管理】下,配置会话日志输出
FW中,会话日志主要包括NAT日志
6.3
在【上网行为管理】->【流量分析】下,配置流量分析输出
FW中,流量分析主要包括流量分析日志
在【VPN】->【GRE】下,创建GRE VPN策略
4.4
4.4.1
采用第1章——基本网络配置
外网()可通过SSL VPN连接到内网,共享分配相应权限的内网资源
4.4.2
4.4.3
在【VPN】->【SSL VPN】下,启动SSL VPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)
在【VPN】->【SSL VPN】下,配置资源(IP资源、web资源等)
第2章
2.1
内网()可访问外网()
内网地址为DHCP获得
内网对外提供HTTP服务(安装web服务器)
2.2
2.3
【网络管理】->【接口管理】下,配置接口参数
在【网络管理】->【网络对象】下,将接口添加到安全域
在【网络管理】->【单播IPv4路由】下,添加出口路由
在【网络管理】->【DHCP配置】下,启动DHCP Server
在【高可靠性】->【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down掉,如需重新up,则需重新打开接口的管理状态
第6章
6.1
在【日志管理】->【业务日志】下,配置业务日志输出
FW中,业务日志主要包括行为审计日志
4.1.1.2
4.1.1.3
在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式
在客户端安装IPSec VPN客户端程序
4.1.2
4.1.2.1
两端配置采用第1章——基本网络配置(相关IP不同)
PC()可通过IPSec VPN访问PC(),并可共享两端资源
4.1.2.2
4.1.2.3
支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等
配置要点
接口添加到相应的域
接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
接口配置VLAN属性
必须配置一个vlan-ifxxx的管理地址 ,用于设备管理
1.2
组网应用场景
需要路由功能做三层转发
需要共享Internet接入
需要对外提供应用服务
DPtechFW1000操作手册
杭州迪普科技有限公司
2011年10月
第1章
1.1
组网应用场景
需要二层交换机功能做二层转发
在既有的网络中,不改变网络拓扑,而且需要安全业务
防火墙的不同网口所接的局域网都位于同一网段
特点
对用户是透明的,即用户意识不到防火墙的存在
部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置
在【VPN】->【SSL VPN】下,添加用户
第5章
5.1
内网PC()可访问Internet资源
当FW1(,主)与FW2(,备)为主备模式下,断开FW1与SW1的连接,流量自动切换至FW2,PC应用无影响
重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响
5.2
5.3
在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5连接内网,eth_6连接外网)
1.3
组网应用场景
需结合透明模式及路由模式
特点
在VLAN内做二层转发
在VLAN间做三层转发
支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等
配置要点
接口添加到相应的域
接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK
接口配置VLAN属性
添加三层接口,用于三层转发
配置一个vlan-ifxxx的地址 ,用于三层转发
"ProhibitIPSec"=dword:00000001
#
新建L2TP客户端,在【网上邻居】中来自百度文库建新连接
需要修改的参数如下
4.3
4.3.1
两端配置采用第1章——基本网络配置(相关IP不同)
PC()可通过GREVPN访问PC(),并可共享两端资源
4.3.2
4.3.3
在【网络管理】->【单播IPv4路由】下,添加静态路由
在【网络管理】->【网络对象】下,将接口添加到安全域中
在【网络管理】->【单播IPv4路由】下,添加出口默认路由
在【防火墙】->【NAT】下,配置源NAT策略
在【高可靠性】->【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟IP)
在【高可靠性】->【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数
备注:本次功能配置以应用限速为例
3.2
3.3
在【访问控制】->【网络应用带宽限速】下,配置限速策略
在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略
部分DPI功能配置举例
第4章
4.1
4.1.1
4.1.1.1
采用第1章——基本网络配置
外网()可通过IPSec VPN客户端方式连接到内网,共享内网资源
需要使用虚拟专用网
特点
提供丰富的路由功能,静态路由、RIP、OSPF等
提供源NAT支持共享Internet接入
提供目的NAT支持对外提供各种服务
支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等
需要使用WEB认证功能
配置要点
接口添加到相应的域
接口工作于三层接口,并配置接口类型
配置地址分配形式静态IP、DHCP、PPPoE
在【VPN】->【IPSec】下,进行网关—网关模式配置
4.2
4.2.1
采用第1章——基本网络配置
外网()可通过L2TP VPN连接到内网,共享内网资源
4.2.2
4.2.3
在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中
在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息
在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:
#
Windows Registry Editor Version
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]