神州数码DCFW-1800 防火墙快速配置
02 DCFW-1800配置
NAT 应用 保存
apply save
超级终端
登录
恢复出厂设置
WEB管理配置基础
端口设置
网络对象设置
增加主机对象
增加网络对象
增加的LAN接口的网络对象
增加的DMZ接口的网络对象
配置安全规则
允许LAN访问外部网络(TCP)
允许LAN访问外部网络(UDP)
允许LAN访问外部网络( ping )
LAN 虚拟IP 192.168.1.3
PC#1 192.168.1.100
配置流程图
配置流程 配置外网口虚拟IP 配置内网口虚拟IP 配置DMZ虚拟IP 启用 应用 保存 界面配置路径 防火墙(系统)→ 双机热备 防火墙(系统)→ 双机热备 防火墙(系统)→ 双机热备 防火墙(系统)→ 双机热备 应用 保存 apply save 命令行
增加出WAN的安全规则
增加进DMZ的安全规则
增加进DMZ的安全规则
增加出DMZ的安全规则
完成后的安全规则
动态NAT配置
注意事项
注意: 1800s防火墙的这里有两个选项: [指定转换地址范围] 和 [转换成外网地址] 1800E中只有[指定转换地址范围] 如果是1800E防火墙,将内网网段转换成外网口ip地址,可以选择[指定转换地址范围] 在起始地 址处输入防火墙的外网口ip地址就可以,终止地址不用填写。 如果是1800s防火墙,并用adsl拨号方式或者通过dhcp方式获得地址,那么在作动态地址转换的 时候,此处一定要选择[转换成外网地址]; 对于1800s防火墙来说,如果外网口是固定ip地址,将内网网段转换成外网口ip地址时,也可以直 接选择[转换成外网地址]
静态NAT配置
需要配置的静态NAT
WAF快速配置
系统维护
➢ 用户管理
系统中的管理用户分为三类:系统管理员、审计管理员、配置管理员,分别具有不同权限。
系统维护
➢ 系统升级
系统维护
➢ 系统诊断
其他配置
➢ 时间配置
其他配置
➢ HA配置
其他配置
➢ 告警配置
告警配置首先要进行邮件服务器的配置,才可以进行邮件告警,邮件服 务器配置类似于foxmail
其他配置
➢ 日志配置
常见故障排除
查询不到访问日志?
– 选择的查询日期是否正确? – 日志配置中是否打开记录日志的开关? – 该服务是否选择记录访问日志?
没有收到告警邮件?
– 是否配置攻击告警? – 邮件发送配置是否正确配置? – 网络是否正常? – DNS是否正确?
切换直通后,管理口无法访问WEB管理界面?
LAN口(ETH1)(接WEB服务器主机) 管理口(ETH5)(用于进行设备管理,可根据需要接入内网交换机) 带 外 口 (ETH4) ( 用 于 初 次 配 置 WAF 设 备 使 用 , 该 端 口 默 认 IP 为 : 192.168.45.1 且不能配置更改) 3、打开浏览器IE,用HTTPS方式连接WAF的带外口IP地址:https://192.168.45.1。 4、回车后出现如图所示界面,单击【是】,接受WAF证书加密的通道。
➢ 应用监控
状态监控
➢ 主机监控
日志报表
➢ 日志: 可根据需要按不同的查询条件进行查询
日志报表
➢ 报表 1、流量分析报表能直观的显示时段、每天、周、月的流量进行统计分析 2、访问者统计报表能对来自不同省市国家和地区的访问者进行统计 3、内容统计报表能对网站内容的访问次数及受众喜爱程度进行统计分析 4、攻击统计报表能根据需求对不同时段和来源的攻击进行统计分析,以使
神州数码DCFW-1800 防火墙快速配置
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
DCFW-1800GES 防火墙快速配置手册--v4[1].0版本
![DCFW-1800GES 防火墙快速配置手册--v4[1].0版本](https://img.taocdn.com/s3/m/2865cb1cff00bed5b9f31dc1.png)
DCFW-1800G/E/S系列防火墙快速配置手册-4.0版本神州数码网络集团客服中心技术支持部第1章硬件说明 (4)第2章安装前准备 (4)2.1通过控制台接入防火墙(CLI) (4)2.2SSH远程管理方法 (4)2.3WEB页面管理方法 (5)2.4防火墙密码恢复方法 (6)2.5恢复出厂配置方法 (7)2.6防火墙升级方法 (8)2.7恢复备份版本方法 (9)2.8更改逻辑端口同物理端口对应关系方法 (10)2.9防火墙当前运行配置下载方法 (11)2.10防火墙出厂默认配置 (12)第3章功能配置 (12)3.1防火墙接口IP地址更改方法 (12)3.2防火墙默认网关配置方法 (13)3.3防火墙静态路由添加方法 (14)3.4服务(端口)添加方法 (14)3.5服务分组添加方法 (15)3.6网络对象添加方法 (18)3.7网络分组添加方法 (19)3.8策略添加方法 (22)3.9动态NAT配置方法 (22)3.10静态NAT配置方法 (23)3.11端口映射配置方法 (23)3.12日志记录方法 (24)3.13源地址路由配置方法 (28)第4章典型应用 (32)4.1DCFW-1800G/E/S路由模式的配置步骤 (32)4.2防火墙做PPTP拨号服务器的配置 (42)4.2.1 Windows PPTP客户端配置说明 (44)4.2.2 神州数码 DCFW-1800G/E/S防火墙PPTP配置 (47)4.3如何封堵某些服务端口 (53)4.4如何阻止某台主机访问网络 (55)4.5DCFW-1800G-E-S网桥模式配置步骤 (56)4.6DCFW-1800G/E/S IPSEC VPN配置步骤 (61)关于本手册本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法,并举例进行说明,希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。
如果系统升级,本手册内容进行相应更新,恕不事先通知。
DCFW-1800-S-LAB防火墙实训手册
DCFW-1800-S-LAB 防火墙实训手册神州数码网络(北京)有限公司目录DCFW-1800-S-LAB 0防火墙实训手册 0实训一、对象配置管理 (2)总结一 (3)实训二(1)、网络接入管理-路由接入 (4)实训二(2)、网络接入管理-桥接入 (6)实训二(3)、网络接入管理-接口参数 (8)实训二(4)、网络接入管理-地址绑定 (10)总结二 (11)实训三(1)、路由配置管理-基本路由 (11)实训三(2)、路由配置管理-策略路由 (13)总结三 (16)实训四(1)、访问控制管理-访问控制策略 (16)实训四(2)、访问控制管理-P2P控制 (20)实训四(3)、访问控制管理-URL控制 (22)总结四 (24)实训五(1)、地址转换管理-地址伪装 (24)实训五(2)、地址转换管理-源地址转换 (26)实训五(3)、地址转换管理-地址映射 (28)实训五(4)、地址转换管理-端口映射 (29)总结五 (31)实训六、硬件地址管理 (31)总结六 (33)实训七(1)、入侵防御管理-连接控制 (33)实训七(2)、入侵防御管理-DOS (35)总结七 (37)实训八、带宽配置管理 (38)总结八 (40)实训九、移动加密网关 (40)总结九 (44)实训十、综合训练 (44)总结十 (53)实训一、对象配置管理一、实训目的1.理解防火墙对象概念2.掌握对象的配置方法二、应用环境校园网或企业网防火墙策略规则添加时使用。
三、实训设备1.DCFW-1800-S-LAB 1台2.PC 1台四、实训拓扑PC1DCFW-1800-S-LAB图-1DCFW-1800-S-LAB:eth0:192.168.1.254/24eth1:192.168.2.254/24PC1:IP:192.168.2.1/24GW:192.168.2.254五、实训要求1.增加IP地址对象2.增加服务端口对象3.增加时间对象六、实训步骤第一步:在管理PC上用http连接DCFW-1800-S-LAB 如:http://192.168.2.254登录DCFW-1800-S-LAB的用户名:admin登录DCFW-1800-S-LAB的密码:admin 第二步:增加地址对象“对象配置管理”->“地址对象”->增加“对象配置管理”->“端口对象”->增加第五步:增加时间对象“对象配置管理”->“时间对象”->增加点左边菜单栏->“访问控制管理”->访问策略->增加,进入访问控制规则配置页面,点对象下拉钮,查看我们配置的对象,是否都能看到。
DCFW1800操作指南
保存配置
1.apply 使配置生效 # apply 修改配置后,要用apply 命令才能使新配置生效 2.save 将配置写入flash 中 # save 修改配置后,如果不用save 命令写到非易失存储 器中,下次重启防火墙后,当前运行的配 置将丢失。
Ruleconfig命令
1、回复出厂设置 #ruleconfig load defaultruleconfig save 2、保存策略 语法 ruleconfig save <index> <comment> 描述:保存当前配置用来将当前的防火墙策略配 置保存到防火墙主机的非易失存储器中,以备以 后加载。参数
常用命令
接口配置 1.察看网口当前地址 # ifconfig list 2.配置网口IP # ifconfig if0 1.2.3.4/24 3.添加管理主机地址 # adminhost add 10.0.0.56 4.设置管理主机的名称 # hostname firewall 5.管理主机的删除 # adminhost del <index>(指定要删除的WEB管理机的序 号)
物理规格 机型 处理器 DRAM 内存 Flash 闪存 USB 接口 网络接口 MTBF 电源配置 输入范围 1U 可上架标准设备 多核 64 位处理器 1GB 256MB 0 8×GE 10 万小时 单电源 100AC 100-240V 50/60Hz
产品规格
外形尺寸(W×D×H) 外形尺寸(W×D×H) 1 U (442×367×44) 工作环境温度 环境相对湿度 重量 0-45℃ 10-95%(不结露) 10-95%(不结露) 不结露 2.8kg
配置方式
防火墙的配置方式有两种:web 浏览器和命令 行。下表列出了这两种方式的系统要求:
神州数码DCFW-1800系列防火墙安装手册_2.5R5
3.1.
安装前说明........................................................................................... 14
3.2.
将防火墙安放到工作台上 .......................................................................... 14
3.4.3. 连接以太网电缆................................................................................ 16
3.4.4. 连接电源线 ..................................................................................... 17
2.1.
介绍 ................................................................................................... 12
2.2.
洁净度要求........................................................................................... 12
(NOTE-These statements apply only to the China RoHS regulations.)
神州数码网络集团客户服务中心 800-810-9119
神州数码 DCFW-1800 系列防火墙安装手册
前言
DCFW1800防火墙(v4.1)地址转换配置指南
DCFW1800E/S防火墙(V4.1)地址转换配置指南DCFW1800E/S防火墙支持双向地址转换,下面的配置案例给出了动态地址转换、静态地址转换及端口映射的配置。
1、拓扑图2、实现需求z允许trust和DMZ 区域的机器访问互联网(案例里放开了any服务,具体放开的服务根据实际需要选择)DMZ区域通过转换为防火墙的外网接口地址(eth0口)访问互联网trust区域通过转换为指定范围的地址[172.16.11.4-172.16.11.10]访问互联网。
z将公网地址172.16.11.3静态映射到DMZ区域的WEB Server上,并将web server 的tcp 80端口对互联网开放。
z将防火墙外网接口(eth0)地址的tcp21、20端口映射到trust zone的ftp server 的tcp21、20端口,并将ftp server的ftp服务对互联网开放3、配置步骤配置接口地址, 在 接口-〉物理接口 下点击各接口后的修改按钮可修改IP地址添加缺省网关。
网络-〉路由-〉缺省路由添加DMZ访问untrust的动态NAT。
NAT->动态NAT->新增(注意 源、目的IP的设置)添加trust访问untrust的动态NAT。
NAT->动态NAT->新增添加对web server的静态NAT(一对一的地址映射)。
NAT->静态NAT->新增注意分清转换前IP和转换后IP转换前IP是web server上实际配置的地址—即私网IP转换后IP是互联网上的用户访问web server时要使用的地址—即公网IP映射端口21映射端口20添加策略,允许trust 访问untrust 服务any。
策略->策略设置->新增添加策略,允许DMZ访问untrust 服务 any。
策略->策略设置->新增添加策略,允许互联网用户访问DMZ区域Web server的tcp80端口。
DCFW-1800-UTM配置指南之PPTP L2TP
DCFW-1800E/S-UTM PPTP &L2TP 配置指南网络拓扑网络环境及配置需求:UTM if0接口连接内网交换机,if1接口连接互联网,UTM 对外网用户做pptp 和l2tp 拨号接入要求:z 外网用户通过PPTP 拨号接入UTM ,并可以访问内网的所有服务 z 外网用户通过L2TP 拨号接入UTM ,并可以访问内网的所有服务PPTP 配置步骤:初次配置使用超级终端进入防火墙控制台: 初始配置管理员用户名:admin 密码:adminhawk> enable --- 进入配置模式hawk# configure terminal --- 进入特权模式hawk(config)# set interface eth0 ip 192.168.1.81/24 --- 设置eth0接口的IP 地址hawk(config)# unset interface eth0 manage-ip 192.168.1.80/24 --- 设置eth0接口的管理IP 地址hawk(config)# set interface eth0 up --- 设置eth0接口为活动状态,缺省所有的接口都是down 状态hawk(config)# set interface eth1 up --- 设置eth1接口为活动状态Internetif0192.168.1.0/24DCFW-1800-UTMif0 ip:192.168.1.81/24Manage_ip:192.168.1.80/24if1 ip:202.127.192.66/29PPTP&L2TP 拨号用户hawk(config)# set eth0 manage-service web --- 设置可以使用eth0接口的管理地址对UTM进行管理hawk(config)# set adminhost 192.168.1.85 --- 添加对UTM具有管理权限的主机地址hawk(config)# exit --- 退回到特权模式hawk# save configuration --- 把当前运行配置保存到启动配置配置完以上基本信息后,即可通过Web界面来对UTM进行配置。
神州数码dcfw1800系列安全网关命令手册40r4c
神州数码dcfw1800系列安全网关命令手册40r4c一、系统基本命令1. 登录与退出(1)登录网关admindcfw1800> enablePassword:admindcfw1800configure terminal输入管理员密码后,即可进入配置模式。
(2)退出网关admindcfw1800exit退出配置模式后,系统将返回用户模式。
2. 查看系统信息(1)查看系统版本admindcfw1800show version执行此命令,可以查看当前网关的软件版本、硬件版本等信息。
(2)查看系统状态admindcfw1800show system status执行此命令,可以查看网关的运行状态、CPU使用率、内存使用率等信息。
3. 配置系统时间(1)设置系统时间admindcfw1800clock set HH:MM:SS YYYYMMDD将HH:MM:SS替换为具体的小时、分钟和秒,将YYYYMMDD替换为具体的年、月、日。
(2)查看系统时间admindcfw1800show clock执行此命令,可以查看当前网关的系统时间。
二、接口配置命令1. 查看接口状态admindcfw1800show interface执行此命令,可以查看所有接口的状态、速率、双工模式等信息。
2. 配置接口(1)进入接口配置模式admindcfw1800interface <interfacetype> <interfacenumber>将<interfacetype>替换为接口类型(如GigabitEthernet),将<interfacenumber>替换为接口编号(如0/0)。
(2)设置接口描述admindcfw1800description <descriptiontext>将<descriptiontext>替换为接口描述信息。
(3)设置接口速率和双工模式admindcfw1800speed <speed> duplex <duplexmode>将<speed>替换为接口速率(如1000),将<duplexmode>替换为双工模式(如full或half)。
DCFW1800防火墙(v4.1) 源地址路由配置指南
DCFW1800E/S防火墙(v4.1)源地址路由配置指南DCFW1800E/S防火墙的源地址路由功能区别于一般常用的目的路由在于:源地址路由在判断数据包的转发时除了查看目的地址外,还要匹配数据包的源地址。
下面是源地址路由在上网分流时使用的案例。
1、网络拓扑2、案例需求这个案例中防火墙有两条上网线路,为了实现上网数据分流在防火墙上设定:当内网网段192.168.10.0/24上网时经由网通线路(即转发至网关172.16.11.1)。
当内网网段192.168.100.0/24上网时经由电线线路(即转发至网关10.1.1.2/24)。
3、配置步骤添加防火墙接口地址。
网络->接口添加去往内网网段192.168.10.0/24网段的路由。
网络->路由->路由->新增添加去往内网网段192.168.100.0/24网段的路由。
网络->路由->路由->新增添加内网192.168.10.0/24网段访问Internet的源地址路由,经由网通线路。
网络->路由->源地址路由->新增添加内网192.168.100.0/24网段访问Internet的源地址路由,经由电信线路。
网络->路由->源地址路由->新增添加192.168.10.0/24网段访问Internet的动态NAT,因为该网段通过网通线路访问Inernet,所以要使用if0接口地址做NAT。
NAT->动态NAT->新增添加192.168.100.0/24网段访问Internet的动态NAT,因为该网段通过电信线路访问Inernet,所以要使用if2接口地址做NAT。
NAT->动态NAT->新增为网段192.168.10.0/24定义网络对象,在后续的策略中要引用(注意选择正确接口)。
网络->网络对象->新增为网段192.168.100.0/24定义网络对象,在后续的策略中要引用(注意选择正确接口)。
防火墙安装手册
神州数码DCFW-1800防火墙安装手册神州数码(上海)网络有限公司二零零二年十月1.神州数码DCFW-1800防火墙设备的安装清点配件打开神州数码DCFW-1800防火墙的包装箱后,应首先找到防火墙的装箱单,按照装箱单清理防火墙的随机配件。
装箱单内容如下:1)神州数码DCFW-1800防火墙主机一台2)电源线一根3)Console线一根4)交叉双绞线一根5)机架角铁2个6)螺丝包1个7)防火墙配置管理器(GUI)安装、安装手册、调试手册电子版光盘8)装箱单一张9)保修卡一份确定防火墙的安装位置应根据用户机房的布局及剩余空间合理安排防火墙的安装位置,一般情况下选择机架或安全牢固的桌子作为防火墙设备的安装位置。
选择设备放置地点的前提是:必须为设备提供充足的散热空间,必须保证能够方便的进行布线。
确定防火墙的工作模式确定防火墙的保护对象以后,用户需要根据自己网络的实际环境决定防火墙的工作模式。
通常防火墙有两种工作模式,路由模式和网桥模式。
神州数码DCFW-1800防火墙默认为路由模式。
也可以通过GUI界面设定网桥的模式。
制定网络拓扑图规划网络地址根据用户自己网络的实际情况,画出拓扑图,确定各节点的IP地址,包含要添加的防火墙的内外网口的地址。
安装注意事项确定自己的网络环境后,开始加载防火墙的软件和硬件。
请严格遵守以下条款,以免损坏设备。
1.请仔细阅读本手册。
2.在安装神州数码DCFW-1800防火墙之前,请先关电源并把插头拔出插座。
请勿对防火墙硬件使用液体或清洁剂,建议使用微湿的抹布。
3.请勿将此设备置于潮湿环境中。
4.请将此设备放置在稳固的桌面上,或机架上。
请勿使此设备受到震动或摔击,以避免设备损坏。
5.请勿在防火墙运转时搬动。
6.请在设备周围留出充足的散热空间,建议前后左右各预留15 cm。
7.接通电源之前,请先确定电压与插座的安全。
8.请勿在设备的电线上放任何物品,同时也应避免电线受到脚踏或其它磨损。
神州数码DCFW-1800防火墙快速安装指南
2.1.1.1. 命令的基本结构.......................................................................................5 2.1.1.2. 基本命令行参数.......................................................................................5 2.1.1.3. 命令行使用技巧.......................................................................................6 2.1.1.4. 常用命令...................................................................................................7 2.1.1.5. 保留字.......................................................................................................8 2.2. WEB 管理方式.........................................................................................................8 2.2.1. 管理员登录.......................................................................................................8 2.2.1.1. 如何进入 WEB 管理界面 ........................................................................9 2.2.1.2. 单一管理员.............................................................................................11 2.2.1.3. 多个管理员.............................................................................................12 2.2.2. 管理员必读.....................................................................................................12 3. 防火墙接入配置用例.............................................................................................................14 3.1. 防火墙路由接入模式(启用 NAT) ....................................................................14 3.1.1. 拓扑结构.........................................................................................................14 3.1.2. 用户需求.........................................................................................................14 3.1.3. 配置流程图.....................................................................................................15
DCFW-1800-S-LAB防火墙使用手册
DCFW-1800-S-LAB 防火墙使用手册
神州数码网络(北京)有限公司
0
DCFW-1800-S-LAB 防火墙使用手册
版权声明
本文档中的内容是神州数码DCFW-1800-S-LAB 防火墙使用手册。本材料的相关权力 归神州数码网络有限公司所有。文档中的任意部分未经本公司许可,不得转印、影印 或复印。
第 4 章网络接入管理.....................................................................................................................14 4.1. 网络接入管理介绍.................................................................................................14 4.2. 配置接口.................................................................................................................14 4.3. 接入方式.................................................................................................................14 4.3.1. 接入方式介绍.................................................................................................14 4.3.2. 基本概念.........................................................................................................14 1. 域.....................................................................................................................15 2. 可信域.............................................................................................................15 3. 不可信域.........................................................................................................15 4. 三层接口.........................................................................................................15 5. 二层接口.........................................................................................................15 4.3.3. 路由接入方式.................................................................................................15 4.3.4. 桥接入方式.....................................................................................................16 4.4. 接口参数.................................................................................................................17 4.5. 地址绑定.................................................................................................................17 4.5.1. 地址绑定概念.................................................................................................17 4.5.2. 地址绑定作用.................................................................................................18 4.6. VLAN 设定...............................................................................................................18
防火墙配置
此时,最好不要强行登录,如果确认第一个管理员没有在进行配置,或得到许可后,可以 强行登录,则在此界面上选择“是”,并用管理员身份登录,此时系统将自动使第一管理 员失效。若不选择“是”,则即便用管理员身份登录,也是禁止的。
网络安全无忧 源自神州数码
登陆时注意
注意:1)、在进行强行登录操作时,一定要谨慎; 2)、系统管理员如果连续三次登录失败,则自动将其 从管理员主机列表中删除,即该管理主机不能再对防火墙进行管 理。如仍需要管理,可通过终端控制台或其它管理主机登录后, 将该地址重新加入管理主机列表中。
网络安全无忧 源自神州数码
端口NAT
用来将所有要送到某特定公共IP地址上某个端口的包全部转送到某个私有IP地址的内部机器的 某个特定端口上,仅对TCP、UDP有效。(或称为“端口NAT”,有些参考书称这种方式为“网络 端口翻译NPT”。)
转换前地址:内部网络或DMZ的IP地址 转换前端口:与内部网络或DMZ地址对应的端口 转换后地址:外部网络所映射的地址,为可路由到的任意IP地址。如果指定转换后的地址, 由需在此编辑栏手工输入; 如果要转换成接口地址,只需要选中“同步接口地址”选项,即 可转成当前接口地址 转换后端口:与转换后地址对应的端口 协议:目前的端口NAT规则仅对TCP、UDP有效,在新增端口NAT规则时,需要指定其中的一 种协议 接口:指定做NAT的网卡接口 目前,端口NAT的最大可配置数目为256条。
anti-synflood
除第3章所述的抗DoS选项外,防火墙还支持TCP协议策略级的anti-synflood功能。在新增策略规则时,可定制是否启 用anti-synflood模块。在透明模式trunk下不支持anti-synflood功能。 入侵检测 在新增策略规则时,可定制是否启用入侵检测模块。关于此模块的详细描述,参见第11章。 ICMP Filter 当选择Ping服务时,才会激活是否使用ICMP Filter选项,此选项只对ICMP服务有效。 Fastpath 在新增策略规则时,如果数据包在快速路径方式下进行传输,可以简化包过滤状态检测过程,加快策略通过的速率, 但在某种程度上也会降低安全性。相反,不选择快速路径时,检查过程精细,安全性较高(通常建议不要使用快速路径方 式)。 输入完上述内容后,按 [确定] 按钮,返回策略规则浏览界面,可以看到新增的策略规则,表明成功加入了新规则。 按[退出]按钮,取消已进行的新增操作。
神州数码 dcfw-1800 防火墙配置手册
神州数码DCFW-1800防火墙配置手册神州数码(上海)网络有限公司二零零二年十月前言计算机和网上技术正以惊人的速度改变着整个世界,全世界的公司都面临着巨大的挑战和机会。
借助网络,人们可以与异地的同事或是客户进行实时交流,快速地接受、发送信息;借助网络,人们可以提高工作效率、减少开支,同时做到了在尽可能短的时间内对客户或市场的形势变化做出应急反应。
但也因此增加了新的危险。
因为要想与别人通信就要对自己的网络进行设置,使之一定程度地对外开放,这样就使自己的内部网络暴露在一些不怀好意的人的面前。
为了使网络信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。
就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。
防火墙以其简单、实用、高效、经济等特点受到越来越多的用户的青睐,因此被越来越多地使用在企业与企业之间或企业与Internet之间。
DCFW-1800 防火墙是神州数码网络有限公司自主开发的复合型防火墙设备。
主要实现了检测功能、时间段控制访问功能、代理功能、地址转换功能、带宽管理、流量控制、MAC地址绑定功能和完整的日志审记等功能。
这本手册主要是描述如何正确配置、管理和使用DCFW-1800 防火墙,以便您能够预防有害的或未授权的信息出入您所要保护的网络,保障系统的安全。
读者对象本手册是对应高级用户和网络管理员编写的。
配置、使用防火墙所必备的知识:在安装和配置防火墙之前,具备充分的关于 TCP/IP、网络掩码、网络管理等等的知识是非常重要的。
您首先必须理解网络的工作原理,因为您将要安装、配置防火墙来控制进、出所保护网络的数据流。
您尤其要掌握 IP 地址、身份验证系统以及子网掩码的基础知识。
一本称得上出色的关于 TCP/IP 网络管理的书籍应囊括 netstat、arp、ifconfig、ping、nslookup、DNS、sendmail、routing 和更多的相关内容,由于本手册的主旨及篇幅所限,无法全面介绍,请您在相关书籍上查阅更多的资料。
DCFW-1800-UTM配置指南之NAT
DCFW-1800E/S-UTM 地址转换(NAT )配置指南网络拓扑:网络环境及配置需求:I 、内网网段192.168.1.0/24,通过UTM 做动态NAT 上网,动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66,外网网关为202.127.192.66II 、对内网FTP server:192.168.1.10做端口映射,将外网口地址202.127.192.66的tcp21端口映射到该FTP server 的tcp21端口,放行外网到FTP Server 的ftp 服务。
III 、配置让内网用户可以通过FTP Server 映射后的公网地址访问FTP Server.IV 、对DMZ 区的Web Server 做静态地址映射,将公网地址202.127.192.67静态映射到172.16.1.10,放行外网到Web Server 的http 服务。
V 、配置让内网用户可以通过Web Server 映射后的公网地址访问Web Server.需求I内网网段192.168.1.0/24,通过UTM 做动态NAT 上网,动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66,外网网关为202.127.192.65Internetif0:192.168.1.81/24 Manage_ip:192.168.1.80/24DCFW-1800-UTM网关:202.127.192.65/24FTP Server:192.168.1.10/24内网DMZ外网配置步骤:1、使用“超级终端”登陆UTM,参数设置如下:初始配置管理用户名:admin 密码:admin进入配置模式:Hawk>enableHawk#进入特权模式:Hawk#config terminalHawk(config)#将if0接口加入trust安全域:Hawk(config)#set interface eth0 zone trust为if0接口配置ip地址:Hawk(config)# set interface eth0 ip 192.168.1.81/24为if0接口配置管理ip地址:Hawk(config)#set interface eth0 manage-ip 192.168.1.80/24开启if0接口的Web管理权限(只有添加了管理地址的主机才具有管理权限):Hawk(config)#set interface eth0 manage-service web开启if0接口可以被ping的功能(只接受管理主机的ping,并且只能ping该接口的管理ip):Hawk(config)#set interface eth0 manage-service ping添加管理主机地址:Hawk(config)#set adminhost 192.168.1.85退出特权模式到配置模式并保存配置:Hawk(config)#exitHawk#save config此后的配置可以用ip地址为192.168.1.85的管理主机连接到if0接口上通过Web界面配置2、登陆web管理界面打开一个IE浏览器窗口,在地址栏里输入https://192.168.1.80:2000(注意此处的地址为if0接口的管理ip --- manage-ip)登陆角色选择为:配置管理员初始用户名:admin初始密码:admin3、配置接口地址添加外网接口eth2 IP地址:在“网络”->“网络接口”中点击“修改”eth2接口将eth2接口状态设为:“up”工作模式设为“NAT”所属安全域设为“untrust”IP/位掩码:202.127.192.66/29设定完毕后点击“确定”在“网络”->“路由”->“静态路由”中点击“新增”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
如果是需要对于策略中每个选项有更多的配置要求可以点击高级配置进行编辑防火墙配置二:DNAT 配置一、网络拓扑Web ServerA192.168.10.2/24二、需求描述1、 使用外网口IP 为内网FTP Server 及WEB ServerB 做端口映射,并允许外网用户访问该Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。
2、 允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问)。
3、 使用合法IP 218.240.143.220为Web ServerA 做IP 映射,允许内外网用户对该Server的Web 访问。
三、配置步骤要求一:外网口IP 为内网FTP Server 及WEB ServerB 做端口映射并允许外网用户访问该Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。
第一步:配置准备工作1、设置地址簿,在对象/地址簿中设置服务器地址使用“IP 成员”选项定义Trust 区域的server 地址2、 设置服务簿,防火墙出厂自带一些预定义服务,但是如果我们需要的服务在预定义中不包含时,需要在对象/服务簿中手工定义因为此处定义的TCP8000端口将来为HTTP 应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP 业务使用第二步:创建目的NAT配置目的NAT,为trust 区域server 映射FTP(TCP21)和HTTP(TCP80)端口此地址即外网用户要访问的合法IP 。
因为使用防火墙外网口IP 映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。
该对象表示Eth0/1接口IP代表内网服务器的实际地址对象webB Server对外宣布web 务端口为TCP8000第三步:放行安全策略创建安全策略,允许untrust 区域用户访问trust 区域server 的FTP 和web 应用 关于服务项中我们这里放行的是FTP 服务和TCP8000服务要求二:允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问)。
实现这一步所需要做的就是在之前的配置基础上,增加Trust -> Trust 的安全策略要求三:使用合法IP 218.240.143.220为Web ServerA 做IP 映射,允许内外网用户对该Server 的Web 访问。
第一步:配置准备工作1、将服务器的实际地址使用web_serverA 来表示使用“IP 成员”选项定义DMZ 区域的server 地址2、将服务器的公网地址使用IP_218.240.143.220来表示使用“IP成员”选项定义要映射的合法IP第二步:配置目的NAT创建静态NAT条目,在新建处选择IP映射第三步:放行安全策略1、放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器2、放行trust区域到dmz区域的安全策略,使内网机器可以公网地址访问dmz区域内的服务器防火墙配置三:透明模式配置一、网络拓扑网段A:192.168.1.1 - 192.168.1.100网段B:192.168.1.101 - 192.168.1.200二、需求描述1、防火墙eth6接口和eth7接口配置为透明模式2、eth6与eth7同属一个虚拟桥接组,eth6属于l2-trust 安全域,eth7属于l2-untrust 安全域。
3、为虚拟桥接组Vswitch1配置ip 地址以便管理防火墙4、允许网段A ping 网段B 及访问网段B 的WEB 服务三、配置步骤第一步:接口配置将eth6接口加入二层安全域l2-trust" DCFW-1800(config)# interface ethernet0/6 " DCFW-1800(config-if-eth0/6)# zone l2-trust将eth7接口设置成二层安全域l2-untrust物理接口配置为二层安全域时无法配置IP 地址 第二步:配置虚拟交换机(Vswitch )如果没有单独接口做管理的话,可以先使用控制线通过控制口登陆下防火墙在命令下" DCFW-1800(config)# interface vswitchif1 " DCFW-1800(config-if-vsw1)# zone trust" DCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24 " DCFW-1800(config-if-vsw1)# manage ping"DCFW-1800(config-if-vsw1)# manage https当然也可以在防火墙上单独使用一个接口做管理,通过该接口登陆到防火墙在Web下进行配置第三步:添加对象"定义地址对象•定义网段A (192.168.1.1 – 192.168.1.100)•定义网段B (192.168.1.101 – 192.168.1.200)要求允许网段A ping 网段B及访问网段B的WEB服务,在这里我们将ping和http服务建立一个服务组选中左侧的服务对象推送到右侧的成员组中第四步:配置安全策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后,新建策略目的地址选择网段B的地址对象选择网段A访问网段B的服务对象防火墙配置四:混合模式配置一、网络拓扑IP:192.168.1.0/24Web ServerA二、需求描述1、将eth0口设置成路由接口,eth1和eth2口设置成二层接口。
并设置Vswitch接口;2、设置源NAT策略;3、配置安全策略三、配置步骤第一步:设置接口1、设置内网口地址,设置eth0口为内网口地址为192.168.1.1/242、设置外网口,eth6口连接外网,将eth6口设置成二层安全域l2-untrust3、设置服务器接口,将eth7口设置成l2-dmz安全域,连接服务器。
第二步:配置Vswitch接口由于二层安全域接口不能设置地址,需要将地址设置在网桥接口上,该网桥接口即为Vswitch第三步:设置SNAT策略针对内网所有地址我们在防火墙上设置源NAT,内网PC在访问外网时,数据包凡是从Vswitch接口出去的数据包都做地址转换,转换地址为Vswitch接口地址第四步:添加路由要创建一条到外网的缺省路由,如果内网有三层交换机的话还需要创建到内网的回指路由。
第五步:设置地址簿在放行安全策略时,我们需要选择相应的地址和服务进行放行,所有这里首先要创建服务器的地址簿。
在创建地址簿时,如果是创建的服务器属单个ip,使用IP成员方式的话,那掩码一定要写32位第六步:放行策略放行策略时,首先要保证内网能够访问到外网。
应该放行内网口所属安全域到Vswitch 接口所属安全域的安全策略,应该是从trust 到untrust另外还要保证外网能够访问Web_server ,该服务器的网关地址设置为ISP 网关218.240.143.1 那需要放行二层安全之前的安全策略,应该是放行l2-untrust 到l2-dmz 策略防火墙配置五:DHCP 配置一、网络拓扑网络拓扑二、需求描述1、要求内网用户能够自动获取到IP 地址以及DNS ;2、要求内网用户获取到IP 地址后能直接访问外网三、配置步骤第一步:设置DHCP地址池首先在创建DHCP前先要创建一个地址池,目的是PC获取地址时从该网段中来获取IP。
如下图设置好池名称、地址范围、网关、掩码和租约时间后点击确定即可。
另外如果需要内网PC自动获取DNS地址的话,需要在编辑下该地址池,在高级设置中填写DNS地址第二步:设置DHCP服务在网络/DHCP/服务中选择启用DHCP的服务接口。
选择创建的DHCP服务器地址池即可第三步:验证内网PC使用自动获取IP地址的方式来获取IP地址,可以看到PC已经获取到192.168.1.66的ip地址网关为192.168.1.1,DNS地址是218.240.250.101防火墙配置六:DNS代理配置一、网络拓扑网络拓扑二、需求描述将内网用户DNS地址设置成防火墙内网口地址,内网用户可以访问网页,能够解析成功。
三、配置步骤第一步:配置DNS服务器在防火墙/网络/DNS中设置DNS服务器地址第二步:配置DNS代理在网络/DNS/代理中,设置代理服务。
域名选择点击确定后即可,此时DNS代理地址使用的是防火墙本身的DNS地址第三步:启用接口DNS代理编辑内网接口eth0/0点击高级设置,在高级设置中将DNS代理勾选防火墙配置七:DDNS 配置一、网络拓扑二、需求描述1、首先到http:/ 网站申请一个DDNS 账号,然后在该账号下申请一个动态域2、火墙上设置DDNS 账号,并将动态域名绑定在防火墙上。