onicwall防火墙中文教程.pptVIP

SonicWALL 典型配置和问题诊断 目的： 1. 熟悉典型客户网络环境下防火墙的配置方法 2. 分析LOG及借助工具软件诊断并解决问题的方法 参加培训的要求： 掌握SonicWALL标准版和增强版的基本配置 熟悉TCP/IP协议及基本网络通信协议 通过此次培训，使参加培训的工程师能够掌握典型客户的 防护墙配置，并在发生问题时及时解决问题。 Date1 典型配置案例: 1、PRO5060 在高校的应用，双WAN和策略路由 2、标准版和增强版的透明模式 3、静态ARP的应用，第二个网段 4、带宽管理，TCP Session数管理 故障诊断: 1. 点到点VPN 隧道故障建立，一、二阶段协商参数 2. VPN隧道 TCP 超时时间的设置 3. GVC NAT 穿越, 何时需要分配IP地址 4. 防火墙不能升级签名的诊断步骤 5. ARP 表更新，IP和MAC绑定，上游路由器ARP表不刷新问题 6. Ethereal 软件的使用，诊断问题。 7. ViewPoint配置及绑定到其它的网卡地址时如何更正 Date2 PRO5060 双WAN链路应用和策略路由 Date3 PRO5060 在高校的典型应用，双WAN链路+策略路由 如条件允许，还可以配置OSPF路由两个校园出口互为备份 Date4 学校一共有两个校区，东校区通过一台防火墙经电信出口上 Internet，南校区有两个出口，一个是经电信出口接入Internet， 另一个出口接入教育网。两个校区之间由专线把两个三层交换机连 通，如果在三层交换和两台防火墙上启动OSPF路由协议，两台防火 墙设备可以互为对方的备份，一台防火墙宕机，所有到互联网的出 口流量可以经过专线由另外一个校园网的防火墙访问Internet。 本例主要讲解南校区的网络配置。其中PRO 5060 LAN口连接一台华 为的三层交换机S8505，DMZ连接一组服务器，为教育网提供服务。 所有到服务器的流量都走教育网出口。S8505 三层交换机下连接4个 私有IP的网段，7个公有IP网段。 4个私有网段只通过电信出口访问 Internet， NAT到一个公有IP的地址池，7个公有IP网段只通过教育 网出口访问教育网和互联网。本例的策略路由相对简单。 注:有些高校教育网包月不计流量, 有些高校只针对指定的教育网服 务器不计流量,其它到教育网的访问要按流量收费,所以策略路由的 配置要视客户具体需求进行调整,是按照源IP地址设置策略路由还是 按目的地址设置策略路由,在教育网访问按流量收费的时候一定注意 设置正确的默认路由,以尽量降低数据流量产生的费用. Date5 Date6 静态路由 策略路由 默认路由 Date7 公有IP路由出去 私有IP NAT到公有IP地址池 Date8 PRO5060 可以修改默认的WAN口，这将影响默认 的路由，使没有明确指定策略路由的访问均走默认 路由。 错误的默认路由设置可能造成不必要的计 费损失，因为有些高校只针对特定的教育网服务器 不按流量计费，到其它教育网的服务器按流量计费 ，还有的高校教育网和电信出口一样包月，不按流 量计费，针对客户不同的具体需求，配置相应的策 略路由并选择正确的默认路由。 Date9 1.透明模式实现方法 二层桥透明和ARP代理透明 2.SonicOS 标准版透明 3.SonicOS 增强版透明 Date10 二层透明 设备工作在二层透明方式，设备本身不需要任何IP地址配置， 防火墙规则照常工作，检测数据流。如果需要，也可以配置 管理IP地址对设备进行管理。 ARP代理透明 设备工作在3层，设备的两个端口处于同一个网段，但两个端 口占用同一个IP地址，需要管理员指定哪些网络范围的IP地 址在设备的某一个端口，使设备能正确转发数据包到正确的 端口。 SonicWALL的UTM设备透明方式是ARP代理透明，需要在WAN口和 LAN口（或DMZ口）占用一个IP地址。 Date11 SonicOS 标准版 防火墙LAN口和WAN口透明 Date12 Date13 Date14 Date15 注：透明模式并不意味着所有的业务端 口都“透明”，必须设置必要的防火 墙规则以允许WAN到LAN或WAN到DMZ服 务器的访问。 Date16 SonicOS 标准版 防火墙DMZ口和WAN口透明 （TZ170 OPT口默认相当于DMZ口） DMZ口可以工作在透明模式或NAT模式 Date17 Date18 Date19 Date20 SonicOS 增强版 透明模式配置 任意端口和WAN口之间都可以配置成透明模式，需要 指定透明范围以使防火墙能正确转发数据包到正 确的端口 Date21 Date22 Date23 Date24 SonicOS标准版一个端口支持多个网段的两种方式 LAN Primary IP: 68/24 在Network-Settings LAN Interface 配置界面加入 第二个网关/24 采用静态ARP，在一个端口增加第二个IP Date25 增加第二个网关，支持第二个网段 LAN Primary IP：68/24 Second Subnet：/24 方法一 Date26 配置静态ARP和静态路由，在一个端口支持第 二个网段，视访问需求可在Firewall-Access Rules里添加允许到第二个网段的访问规则 Network-ARPNetwork-Routing 方法二 Date27 SonicOS增强版一个端口支持多个网段 采用静态ARP，配置过程与标准版采用静态 ARP支持第二个网段完全相同,不过注意 静态路由的配置是在策略路由的界面配 置的。详见下页。 注：在一个物理端口如LAN上设置两个网 段，则两个网段之间由防火墙路由，访 问规则不影响两个网段的通信，但是 LAN到DMZ第二个网段的通信可由防火 墙规则控制。 Date28 配置静态ARP和静态路由，在一个端口支持第 二个网段，视访问需求可在Firewall-Access Rules里添加允许到第二个网段的访问规则 Network-ARPNetwork-Routing Date29 带宽管理和TCP Session 数限 制 Date30 必须在WAN口 设置进出的 带宽参数， 否则在防火 墙的规则里 不会出现带 宽管理的界 面 Date31 Date32 Date33 Date34 故障诊断 Date35 点到点VPN 隧道故障建立，一、二阶段协商参数 PRO4060 VPN Policy Date36 TZ150W VPN Policy，故意设置与对端不同 Date37 NO_PROPOSAL_CHOSEN 是指参数不匹配 Date38 NO_PROPOSAL_CHOSEN 是指参数不匹配 Date39 PRO4060 Shared Secret Date40 PRO4060 Log PAYLOAD_MALFORMED 表示共享密钥不匹配，网络故障导致VPN隧道 断开，如果隧道两端VPN设备采用的DPD不是 一个标准，重新协商时也可能出现此错误 Date41 TCP 超时时间的设置，TCP Setting和防火墙规则设置 此参数只影响新创建的防火墙规则，修改此参数之前 创建的规则的TCP 超时参数不受此参数影响。 Date42 有些应用如Oracle客户端，ERP系统等通过VPN隧道访问 服务器，默认的TCP超时时间一定要修改，否则这些系 统可能会产生问题，如有的ERP系统在有中间设备断开 TCP连接后，会延迟30分钟才允许客户端再次建立连接 Date43 有些应用如Oracle客户端，ERP系统等通过VPN隧道访问 服务器，默认的TCP超时时间一定要修改，否则这些系 统可能会产生问题，如有的ERP系统在有中间设备断开 TCP连接后，会延迟30分钟才允许客户端再次建立连接 Date44 GVC NAT 穿越, 何时需要分配IP地址 当服务器的默认网关指向另外一个路由器，通过专线联接互联网， 而不指向SonicWALL防火墙设备时，一定要分配IP地址给GVC， 以免除路由问题。 由于各个网络设备厂家的NAT设备在对IPSec VPN的支持不尽相同，有些支 持IPSec Pass Through, 有些不支持。经过不支持IPSec Pass Through的 NAT设备建立IPSec VPN隧道，必须采用NAT穿越技术。SonicWALL GVC自动 检测沿途设备是否支持IPSec， 如果需要，自动启动NAT穿越，但是有些设 备的IPSec pass throug不稳定，有些支持IPSec的NAT设备反而不能正确处 理NAT穿越数据，需要在SonicWALL GVC上禁止NAT穿越参数。 Date45 有些支持IPSec的NAT设备不能 正确处理NAT穿越数据，需要 在SonicWALL GVC上禁止NAT穿 越参数，常见的问题是客户端 不能从防火墙通过DHCP获取IP 地址，GVC LOG 提示信号灯超 时(semaphore Timeout),修改 此参数大部分情况可解决问题 。 Date46 防火墙不能升级签名的诊断步骤 1. 确认LAN PC能通过防火墙WAN口访问互联网 2. 确认防火墙System-Diagnostics里的DNS解析能解析 3. 防火墙通过HTTPS直接访问 ，不能经过代理 服务器. 4. 确认没有防火墙规则禁止LAN Primary IP访问Internet. 5. 确认防护墙里的系统时间正确。如果系统时间不正确，可导致访问 Licensemanager超时. 6. 如果还有问题，可以在WAN口上抓包，以帮助诊断问题。 Date47 1. IP和MAC绑定 SonicWALL SonicOS 3.0 以上操 作系统支持IP到MAC地址的绑定 gon功能。 在Network-ARP 界面配置 所有设备支持300个IP地址到MAC 地址的绑定。 Date48 ARP 表更新，上游路由器ARP表不刷新问题 SonicWALL设备在加电后会广播ARP信息，包括其WAN口IP，一对一 映射的公网IP，IP地址池的IP等等，使上游路由器更新其ARP表， 正确转发数据到防火墙WAN口的MAC地址，有些情况下，上游路由 器不刷新其ARP表，导致问题，要电话联系电信网管强行刷新上游 路由器的ARP表，因为SonicWALL已经广播了ARP信息。有些 VDSL/ADSL运营商会自动绑定第一次上网的设备的MAC地址，更换 ADSL/VDSL设备是要运营商更新ARP表。 Date49 Ethereal 软件的使用，诊断问题。 在 Capture 菜单选择 Start Date50 选择要抓包 的网卡 选择时时更新 和自动滚屏 Date51 察看各层详细信息直至 某一个Bit,诊断问题很 有帮助 Date52 ViewPoint配置及绑定到其它的网卡地址时如何更正 安装ViewPoint软件时，如果计算机上有多块物理网卡