DPtech-FW1000系列防火墙系统用户配置手册.doc

i DPtech FW1000 系列防火墙用户配 置手册 ii 杭州迪普科技有限公司为客户提供全方位的技术支持 通过杭州迪普科技有限公司代理商购买产品的用户 请直接与销售代 理商联系 直接向杭州迪普科技有限公司购买产品的用户 可直接与公司 联系 杭州迪普科技有限公司 地址 杭州市滨江区火炬大道 581 号三维大厦 B 座 901 室 邮编 310053 iii 声声 明明 Copyright 2010 杭州迪普科技有限公司 版权所有 保留一切权利 非经本公司书面许可 任何单位和个人不得擅自摘抄 复制本书内容的部 分或全部 并不得以任何形式传播 由于产品版本升级或其他原因 本手册内容有可能变更 杭州迪普科技有 限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导 杭州迪普科技有限公司尽全力在本手册中提供准确的 信息 但是杭州迪普科技有限公司并不确保手册内容完全没有错误 本手册中 的所有陈述 信息和建议也不构成任何明示或暗示的担保 iv 目目 录录 第第 1 章章 产品概述产品概述1 1 1 1 产品简介产品简介1 1 1 2 WEB 管理管理1 1 1 2 1 登录 WEB 管理界面1 1 1 2 2 WEB 界面布局介绍1 2 第第 2 章章 系统管理系统管理2 1 2 1 简介简介2 1 2 2 设备管理设备管理2 1 2 2 1 设备信息2 1 2 2 2 设备状态2 3 2 2 3 设备设置2 4 2 3 SNMP 配置配置2 7 2 3 1 简介2 7 2 3 2 配置信息2 7 2 3 3 IP 地址列表2 8 2 4 管理员管理员2 8 2 4 1 简介2 8 2 4 2 当前管理员2 9 2 4 3 管理员设置2 9 2 4 4 登录参数设置2 11 2 5 配置文件配置文件2 12 2 6 特征库特征库2 13 2 6 1 APP 特征库2 13 2 6 2 URL 分类过滤特征库2 16 2 6 3 LICENSE文件管理2 17 2 7 软件版本软件版本2 18 2 8 NTP 配置配置2 19 第第 3 章章 网络管理网络管理3 1 3 1 简介简介3 1 3 2 接口管理接口管理3 2 3 2 1 简介3 2 3 2 2 组网配置3 2 3 3 网络对象网络对象3 9 v 3 3 1 简介3 9 3 3 2 安全域3 10 3 3 3 IP 地址3 11 3 3 4 MAC地址3 13 3 3 5 账号3 14 3 3 6 实名3 14 3 3 7 服务3 15 3 4 单播单播 IPV4 路由路由3 17 3 4 1 简介3 17 3 4 2 静态路由3 18 3 4 3 路由表3 18 3 4 4 等价路由3 19 3 4 5 BGP 协议3 19 3 4 6 配置 RIP 协议3 22 3 4 7 配置 OSPF 协议3 24 3 4 8 显示 OSPF 接口信息3 26 3 4 9 显示 OSPF 邻居信息3 27 3 5 单播单播 IPV6 路由路由3 28 3 5 1 简介3 28 3 5 2 配置 IPV6 静态路由3 28 3 5 3 显示 IPV6 路由表3 29 3 6 组播路由组播路由3 30 3 6 1 简介3 30 3 6 2 配置 PIM IGMP 协议3 30 3 7 策略路由策略路由3 31 3 7 1 简介3 31 3 7 2 策略路由3 31 3 8 ARP 配置配置3 32 3 8 1 简介3 32 3 8 2 ARP 查看3 32 3 8 3 静态 ARP 项配置3 33 3 8 4 免费 ARP 定时发送3 33 3 9 DNS 配置配置3 34 3 9 1 简介3 34 3 9 2 DNS 配置3 34 3 10 DHCP 配置配置3 35 3 10 1 简介3 35 3 10 2 DHCP 服务器配置3 35 3 10 3 DHCP 中继代理配置3 37 3 10 4 DHCP 地址信息列表3 37 3 11 无线配置无线配置3 38 3 12 诊断工具诊断工具3 39 3 12 1 PING3 39 3 12 2 TRACEROUTE3 40 vi 第第 4 章章 防火墙防火墙4 1 4 1 简介简介4 1 4 2 包过滤策略包过滤策略4 1 4 3 NAT4 4 4 3 1 简介4 4 4 3 2 源 NAT4 4 4 3 3 目的 NAT4 5 4 3 4 一对一 NAT4 6 4 3 5 地址池4 7 4 4 基本攻击防护基本攻击防护4 7 4 4 2 攻击防护日志查询4 9 4 5 DDOS 攻击防护攻击防护4 10 4 5 1 SYN FLOOD防护4 10 4 5 2 ICMP FLOOD防护4 10 4 5 3 UDP FLOOD防护4 11 4 5 4 会话数限制4 12 4 5 5 DDOS 日志查询4 12 4 6 黑名单黑名单4 14 4 6 1 黑名单4 14 4 6 2 黑名单查询4 14 4 6 3 黑名单日志查询4 15 4 7 MAC IP 绑定绑定4 16 4 7 1 MAC IP 绑定4 16 4 7 2 MAC IP 绑定自动学习4 17 4 7 3 用户 MAC 绑定4 18 4 7 4 用户 IP 绑定4 19 4 7 5 MAC IP 绑定日志查询4 20 4 8 会话管理会话管理4 22 4 8 1 会话列表4 22 4 8 2 会话参数4 23 4 9 QOS 服务质量服务质量4 1 4 9 1 简介4 1 4 9 2 带宽保证4 1 4 10 防防 ARP 欺骗欺骗4 1 4 10 1 简介4 1 4 10 2 防 ARP 欺骗4 1 第第 5 章章 日志管理日志管理5 2 5 1 简介简介5 2 5 2 系统日志系统日志5 3 5 2 1 最近的日志5 3 vii 5 2 2 系统日志查询5 4 5 2 3 系统日志文件操作5 5 5 2 4 系统日志配置5 6 5 3 操作日志操作日志5 7 5 3 1 最近的日志5 7 5 3 2 操作日志查询5 8 5 3 3 操作日志文件操作5 9 5 3 4 操作日志配置5 10 5 4 业务日志业务日志5 11 5 4 1 业务日志配置5 11 第第 6 章章 负载均衡负载均衡6 1 6 1 服务器负载均衡服务器负载均衡6 1 6 1 1 简介6 1 6 1 2 虚拟服务器6 1 6 1 3 真实服务器6 2 6 1 4 健康检查6 2 第第 7 章章 应用防火墙应用防火墙7 3 7 1 网络应用带宽限速网络应用带宽限速7 3 7 1 1 简介7 3 7 1 2 网络应用用户组限速7 3 7 1 3 每 IP 带宽应用限速7 5 7 1 4 网络应用组管理7 6 7 1 5 网络应用组管理7 7 7 1 6 典型配置7 7 7 2 网络应用访问控制网络应用访问控制7 9 7 2 1 简介7 9 7 2 2 网络应用访问控制7 9 7 2 3 网络应用组管理7 10 7 2 4 网络应用组管理7 11 7 2 5 典型配置7 12 7 3 URL 过滤过滤7 14 7 3 1 简介7 14 7 3 2 URL 分类过滤策略7 14 7 3 3 高级 URL 过滤7 16 7 3 4 URL 过滤推送配置7 17 7 3 5 典型配置7 18 第第 8 章章 VPN8 1 viii 8 1 简介简介8 1 8 2 IPSEC VPN8 1 8 2 1 IPSEC简介8 1 8 2 2 创建 IPSEC规则8 2 8 2 3 IPSEC连接显示8 3 8 3 L2TP VPN8 5 8 3 1 L2TP 简介8 5 8 3 2 配置 L2TP8 5 8 4 GRE VPN8 6 8 4 1 GRE 简介8 6 8 4 2 配置 GRE 规则8 6 8 5 SSL VPN8 7 8 5 1 SSL VPN 简介8 7 8 5 2 配置 SSL VPN 规则8 7 8 6 数字证书数字证书8 9 8 6 1 简介8 9 8 6 2 简介8 9 第第 9 章章 审计分析审计分析9 1 9 1 简介简介9 1 9 2 流量分析流量分析9 1 9 2 1 网络流量快照9 1 9 2 2 业务流量分析9 3 9 2 3 单用户业务流量分析9 6 9 2 4 TOP 用户流量分析9 8 9 2 5 流量统计配置9 9 9 3 行为审计行为审计9 10 9 3 1 创建行为审计规则9 10 9 3 2 最近的日志9 11 9 3 3 审计日志查询与删除9 12 9 3 4 用户当前行为9 13 9 4 关键字过滤关键字过滤9 14 9 4 1 审计日志查询9 14 9 4 2 最近的日志9 15 9 4 3 审计日志的查询9 15 9 5 行为审计典型配置举例行为审计典型配置举例9 17 9 5 1 配置需求9 17 9 5 2 组网需求9 17 9 5 3 配置步骤9 17 第第 10 章章 应用层过滤应用层过滤10 1 ix 10 1 简介简介10 1 10 2 关键字设置关键字设置10 1 10 3 邮箱设置邮箱设置10 2 10 4 HTTP 过滤过滤10 3 10 5 邮件过滤邮件过滤10 3 10 6 FTP 过滤过滤10 4 第第 11 章章 用户认证用户认证11 1 11 1 简介简介11 1 11 2 本地认证用户本地认证用户11 1 11 2 1 简介11 1 11 2 2 本地认证用户配置11 2 11 3 WEB认证认证11 2 11 3 1 WEB认证配置11 2 11 3 2 WEB认证在线用户11 4 11 3 3 前台管理11 5 第第 12 章章 高可靠性高可靠性12 1 12 1 简介简介12 1 12 2 VRRP12 1 12 2 1 VRRP 备份组配置12 1 12 3 双机热备双机热备12 3 12 3 1 双机热备配置12 3 i 图形目录图形目录 图 1 1 WEB 管理登陆界面 1 1 图 1 2 FW 系统结构图 1 3 图 1 3 WEB 界面布局 1 4 图 2 1 系统管理菜单 2 1 图 2 2 设备信息 2 2 图 2 3 设备状态 2 3 图 2 4 设备状态查看快捷区域 2 4 图 2 5 系统名称设置 2 4 图 2 6 系统时间设置 2 5 图 2 7 系统阈值设置 2 5 图 2 8 系统阈值设置 2 6 图 2 9 数据库清空设置 2 6 图 2 10 配置信息设置 2 7 图 2 11 IP 地址列表设置 2 8 图 2 12 当前管理员 2 9 图 2 13 管理员设置 2 10 图 2 14 登录参数设置 2 11 图 2 15 配置文件管理 2 12 图 2 16 特征库 2 14 图 2 17 特征库版本信息 2 14 图 2 18 自动升级设置 2 15 图 2 19 手动升级设置 2 16 图 2 20 页面升级进度 2 16 图 2 21 特征库版本信息 2 17 图 2 22 License 文件管理 2 17 图 2 23 软件版本 2 18 图 2 24 NTP 配置 2 19 图 2 25 NTP client 配置 2 20 图 3 1 网络管理菜单 3 2 图 3 2 组网模式 3 3 图 3 3 接口组网配置 3 3 图 3 4 内网 IP 管理 3 4 图 3 5 VLAN 配置 3 5 图 3 6 业务接口配置 3 6 图 3 7 端口聚合配置 3 7 图 3 8 端口聚合状态 3 8 图 3 9 安全域 3 10 图 3 10 地址对象 3 11 图 3 11 地址对象组 3 12 图 3 12 地址对象组的配置说明图 3 12 图 3 13 地址对象群 3 13 ii 图 3 14 地址对象群的配置说明图 3 13 图 3 15 mac 对象 3 13 图 3 16 账号 3 14 图 3 17 实名 3 15 图 3 18 服务 3 16 图 3 19 自定义服务对象 3 16 图 3 20 服务对象组 3 17 图 3 21 配置静态路由 3 18 图 3 22 路由表 3 19 图 3 23 配置等价路由 3 19 图 3 24 配置 BGP 协议 3 19 图 3 25 BGP 高级配置 3 20 图 3 26 显示 BGP 邻居信息 3 21 图 3 27 配置 RIP 协议 3 22 图 3 28 RIP 高级配置 3 23 图 3 29 配置 OSPF 协议 3 24 图 3 30 新建区域 3 24 图 3 31 高级配置 3 26 图 3 32 显示 OSPF 接口信息 3 27 图 3 33 显示路由表 3 27 图 3 34 IPv6 静态路由配置 3 29 图 3 35 IPv6 路由表 3 29 图 3 36 配置 PIM IGMP 协议 3 30 图 3 37 PIM IGMP 协议高级配置 3 31 图 3 38 策略路由 3 32 图 3 39 ARP 查看 3 33 图 3 40 静态 ARP 项配置 3 33 图 3 41 免费 ARP 定时发送 3 34 图 3 42 DNS 配置 3 34 图 3 43 DHCP 服务器 3 35 图 3 44 DHCP 中继代理配置 3 37 图 3 45 DHCP 地址信息列表 3 38 图 3 46 无线配置 3 38 图 3 47 网络诊断 PING 3 39 图 3 48 PING 结果 3 39 图 3 49 网络诊断 Traceroute 3 40 图 3 50 Traceroute 结果 3 40 图 4 1 防火墙菜单 4 1 图 4 2 配置包过滤 4 2 图 4 3 配置动作 4 3 图 4 4 源 NAT 配置列表 4 4 图 4 5 配置目的 NAT 4 5 图 4 6 配置一对一 NAT 4 6 图 4 7 地址池 4 7 iii 图 4 8 基本攻击防护 4 8 图 4 9 攻击防护日志查询 4 9 图 4 10 SYN Flood 防护 4 10 图 4 11 ICMP Flood 防护 4 11 图 4 12 UDP Flood 防护 4 11 图 4 13 会话数限制 4 12 图 4 14 DDoS 日志查询 4 13 图 4 15 黑名单配置 4 14 图 4 16 黑名单查询 4 14 图 4 17 黑名单日志查询 4 15 图 4 18 MAC IP 绑定 4 16 图 4 19 自动学习 4 18 图 4 20 用户 MAC 绑定 4 19 图 4 21 用户 IP 绑定 4 19 图 4 22 MAC IP 绑定日志查询 4 21 图 4 23 会话列表 4 22 图 4 24 会话列表 4 23 图 4 25 带宽保证 4 1 图 4 26 防 ARP 欺骗 4 2 图 5 1 日志管理菜单 5 3 图 5 2 最近的日志 5 3 图 5 3 系统日志查询 5 5 图 5 4 系统日志文件操作 5 6 图 5 5 系统日志配置 5 6 图 5 6 最近的日志 5 7 图 5 7 操作日志查询 5 9 图 5 8 操作日志文件操作 5 10 图 5 9 操作日志配置 5 10 图 5 10 业务日志配置 5 11 图 6 1 虚拟服务器 6 1 图 6 2 真实服务器 6 2 图 6 3 健康检查 6 2 图 7 1 网络应用带宽限速 7 3 图 7 2 用户组限速列表 7 3 图 7 3 用户组限速参数 7 4 图 7 4 每 IP 限速列表 7 5 图 7 5 每 IP 带宽限速参数 7 5 图 7 6 网络应用组管理 7 6 图 7 7 网络应用浏览 7 7 图 7 8 应用限速配置组网图 7 8 图 7 9 网络应用访问控制 7 9 图 7 10 网络应用访问控制列表 7 10 图 7 11 网络应用组管理 7 11 图 7 12 网络应用浏览 7 12 iv 图 7 13 网络应用访问控制配置组网图 7 12 图 7 14 URL 过滤策略 7 14 图 7 15 URL 分类过滤策略 7 14 图 7 16 自定义 URL 分类 7 15 图 7 17 高级 URL 过滤 7 16 图 7 18 URL 过滤推送默认配置 7 18 图 7 19 URL 配置组网图 7 19 图 8 1 VPN 菜单 8 1 图 8 2 IPSec VPN 规则 8 2 图 8 3 IPSec 连接显示 8 4 图 8 4 L2TP 规则 8 5 图 8 5 GRE VPN 规则 8 6 图 8 6 SSL VPN 规则 8 8 图 8 7 数字证书规则 8 10 图 9 1 行为审计菜单 9 1 图 9 2 网络流量快照 9 2 图 9 3 业务流量分析 9 4 图 9 4 单用户业务流量分析 9 7 图 9 5 TOP 用户流量分析 9 8 图 9 6 关闭服务器 9 9 图 9 7 流量统计本地显示 9 9 图 9 8 所示为配置发向服务器 9 9 图 9 9 行为审计规则 9 10 图 9 10 行为审计规则 9 10 图 9 11 最近的日志 9 11 图 9 12 审计日志查询与删除 9 12 图 9 13 用户当前行为 9 13 图 9 14 添加关键字 9 14 图 9 15 关键字过滤最近日志详细信息 9 15 图 9 16 审计日志查询与删除 9 16 图 9 17 行为审计配置组网图 9 17 图 9 18 创建行为审计规则 9 18 图 9 19 修改保存详细内容项 9 18 图 10 1 应用层过滤菜单 10 1 图 10 2 关键字设置 10 1 图 10 3 邮箱设置 10 2 图 10 4 HTTP 过滤 10 3 图 10 5 邮件过滤 10 3 图 10 6 FTP 过滤 10 4 图 11 1 用户认证菜单 11 1 图 11 2 本地认证用户 11 1 图 11 3 Web 认证 11 3 图 11 4 Web 认证在线用户 11 5 图 11 5 前台管理 11 5 v 图 11 6 酒店用户上网管理 11 6 图 12 1 高可靠性菜单 12 1 图 12 2 VRRP 备份组状态 12 2 图 12 3 双机热备状态 12 3 i 表格目录表格目录 表 1 1 WEB 管理功能列表 1 4 表 2 1 设备信息 2 2 表 2 2 设备状态 2 3 表 2 3 系统阈值设置 2 5 表 2 4 配置信息设置 2 7 表 2 5 用户管理功能特性 2 8 表 2 6 当前管理员列表 2 9 表 2 7 用户列表的详细说明 2 10 表 2 8 添加用户 2 11 表 2 9 配置文件列表 2 12 表 2 10 版本信息 2 14 表 2 11 自动升级设置 2 15 表 2 12 手动升级设置 2 16 表 2 13 软件版本列表 2 18 表 2 14 NTP Server 配置列表 2 19 表 2 15 NTP Client 配置列表 2 20 表 3 1 接口组网配置列表 3 4 表 3 2 内网 IP 管理列表 3 4 表 3 3 VLAN 配置列表 3 5 表 3 4 物理接口配置列表 3 7 表 3 5 端口聚合配置列表 3 8 表 3 6 端口聚合配置列表 3 8 表 3 7 安全域列表 3 10 表 3 8 地址对象列表 3 11 表 3 9 mac 对象 3 13 表 3 10 账号 3 14 表 3 11 实名 3 15 表 3 12 自定义服务对象列表 3 16 表 3 13 配置静态路由 3 18 表 3 14 BGP 协议配置列表 3 20 表 3 15 BGP 协议高级配置列表 3 20 表 3 16 BGP 协议配置列表 3 21 表 3 17 RIP 协议配置列表 3 22 表 3 18 RIP 协议高级配置列表 3 23 表 3 19 OSPF 区域配置 3 25 表 3 20 OSPF 接口配置 3 25 表 3 21 OSPF 协议高级配置列表 3 26 表 3 22 显示 OSPF 接口信息列表 3 27 表 3 23 显示路由表 3 28 表 3 24 IPv6 静态路由列表 3 29 ii 表 3 25 PIM IGMP 协议配置列表 3 30 表 3 26 PIM IGMP 协议高级配置列表 3 31 表 3 27 策略路由配置列表 3 32 表 3 28 ARP 查看 3 33 表 3 29 静态 ARP 项配置 3 33 表 3 30 免费 ARP 定时发送 3 34 表 3 31 动态 DHCP 服务器配置 3 35 表 3 32 静态 DHCP 服务器配置 3 36 表 3 33 动态 DHCP 中继代理配置 3 37 表 3 34 DHCP 地址信息列表 3 38 表 4 1 配置包过滤 4 2 表 4 2 配置动作 4 3 表 4 3 源 NAT 配置列表 4 4 表 4 4 目的 NAT 配置列表 4 5 表 4 5 目的 NAT 配置列表 4 6 表 4 6 地址池配置列表 4 7 表 4 7 基本攻击防护详细说明 4 8 表 4 8 攻击防护日志查询详细说明 4 9 表 4 9 SYN Flood 防护 4 10 表 4 10 ICMP Flood 防护 4 11 表 4 11 UDP Flood 防护 4 11 表 4 12 会话数限制 4 12 表 4 13 DDoS 日志查询详细说明 4 13 表 4 14 黑名单配置 4 14 表 4 15 黑名单查询 4 15 表 4 16 黑名单日志 4 15 表 4 17 MAC IP 绑定详细说明 4 16 表 4 18 交换机列表详细说明 4 17 表 4 19 自动学习详细说明 4 18 表 4 20 用户 MAC 绑定详细说明 4 19 表 4 21 用户 IP 绑定详细说明 4 20 表 4 22 MAC IP 绑定日志查询详细说明 4 21 表 4 23 会话列表详细说明 4 22 表 4 24 带宽保证 4 1 表 4 25 防 ARP 欺骗 4 2 表 5 1 最近的日志 5 4 表 5 2 系统日志查询 5 5 表 5 3 系统日志文件操作 5 6 表 5 4 系统日志配置 5 7 表 5 5 最近的日志 5 7 表 5 6 操作日志查询 5 9 表 5 7 操作日志备份及删除 5 10 表 5 8 操作日志配置 5 10 表 5 9 业务日志配置 5 11 iii 表 6 1 虚拟服务器参数说明 6 1 表 6 2 真实服务器参数说明 6 2 表 6 3 健康检查的参数说明 6 2 表 7 1 网络应用用户组限速规则 7 4 表 7 2 用户组限速参数说明 7 4 表 7 3 每 IP 限速规则 7 5 表 7 4 每 IP 限速参数说明 7 6 表 7 5 网络应用访问控制规则 7 10 表 7 6 URL 过滤策略 7 15 表 7 7 自定义 URL 分类 7 16 表 7 8 URL 高级过滤策略 7 16 表 8 1 IPSec VPN 规则 8 2 表 8 2 IPSec 连接显示项的详细说明 8 4 表 8 3 GRE VPN 规则 8 5 表 8 4 GRE VPN 规则 8 6 表 8 5 SSL VPN 规则 8 8 表 8 6 数字证书规则 8 10 表 9 1 网络流量快照详细说明 9 2 表 9 2 网络流量快照详细说明 9 3 表 9 3 业务流量总汇详细说明 9 6 表 9 4 整点流量统计详细说明 9 6 表 9 5 单用户业务流量分析详细说明 9 8 表 9 6 TOP 用户流量分析详细说明 9 9 表 9 7 流量统计配置详细说明 9 10 表 9 8 最近审计日志项显示的详细说明 9 11 表 9 9 审计日志查询和删除显示项的详细说明 9 13 表 9 10 添加关键字详细说明 9 14 表 9 11 添加关键字最近日志详细说明 9 15 表 9 12 审计日志查询和删除显示项的详细说明 9 16 表 10 1 关键字设置详细说明 10 2 表 10 2 邮箱设置说明 10 2 表 10 3 HTTP 过滤详细说明 10 3 表 10 4 邮件过滤详细说明 10 3 表 10 5 FTP 过滤详细说明 10 4 表 11 1 本地认证用户列表 11 1 表 11 2 Web 认证配置 11 3 表 11 3 本地用户设置 11 4 表 11 4 Web 认证在线用户 11 5 表 11 5 前台管理 11 5 表 11 6 酒店用户上网管理 11 6 表 12 1 网络流量快照详细说明 12 2 表 12 2 双机热备详细说明 12 3 DPtech FW1000 系列防火墙用户配置手册 1 1 第第 1 章章 产品概述产品概述 1 1 产品简介产品简介 随着信息技术的日新月异和网络信息系统应用的发展 政府 企业网络技术的应用层次正在从传统 的 小型业务系统逐渐向大型 关键业务系统扩展 信息安全是一个动态的过程 在为自身业务提供高 效的网络运营平台的同时 日趋复杂的 IT 业务系统与不同的背景业务用户的行为也给网络带来了潜在的 威胁 防火墙系统能够有效的防范和阻止经由防火墙的内部网络与 Internet 网络的业务流量和敏感信息的 传输 实时 准确的掌握网络系统的安全状态 及时发现违反安全策略的事件 并实时告警 记录 DPtech FW1000 系列 FW FireWall 防火墙 产品是 DPtech 公司面向企业用户 行业用户和电信 用户开发的新一代网络安全防护设备 能够提供各种复杂网络环境下的流量防范解决方案 FW1000 防火 墙是集成包过滤 VPN 安全防护功能 OSPF RIP 路由功能和 NAT 源与目的转换功能等于一身 使得 内部网络与 Internet 之间或者与其他外部网络互相隔离 限制网络互访用来保护内部网络的网络安全设 备 FW1000 防火墙不但能够满足各种网络环境对内部网络的安全防护功能 还具有强大的流量控制和 分析 网页过滤等应用层安全功能 可帮助企业管理人员及时了解和掌握网络的安全状况 及时发现不 安全因素 如违规访问 资源滥用 报文攻击 泄密等 持续的周期性特征库更新 可使企业在最快的时 间内获得最新的特征库 保证最安全的内部防护 1 2 WEB 管理管理 1 2 1 登录登录 WEB 管理界面管理界面 下面介绍 WEB 管理界面的登录方法 确认主机同 FW 系统管理口通讯正常 打开 IE 浏览器 用 HTTP 或 HTTPS 方式连接 FW 系统的管理 IP 地址 比如 http 192 168 0 1 在如图 1 1 所示的界面中输入正确的用户名和密码 并点击登录 成功登录 FW 系统 WEB 管理界 面 图 1 1 WEB 管理登陆界面 DPtech FW1000 系列防火墙用户配置手册 1 2 注意 建议使用 IE6 0 或以上版本的浏览器 屏幕分辨率最好设置为 1024 768 及以上 Web 网管不支持浏览器自带的后退 前进 刷新等按钮 使用这些按钮可能会导致 Web 页面显示不正常 设备缺省的管理口是 eth0 7 缺省管理 IP 地址为 192 168 0 1 初次使用本系统时可用缺省用户登录 用户名是 admin 密码是 admin 建议首次登录后修改密码 具体 操作方法请参见管理员配置部分 用户登录后 如果对 web 页面不进行任何操作时间超过 5 分钟 系统将超时并退回到登录页面 必须重 新登录才能继续使用 设备支持管理员使用 HTTP HTTPS 协议登陆 web 管理界面的总数最多为 5 个 1 2 2 WEB 界面布局介绍界面布局介绍 FW1000 系统的各种功能通过不同 WEB 页面呈现 各种管理功能及与页面的关联关系如图 1 2 和图 1 3 所示 DPtech FW1000 系列防火墙用户配置手册 1 3 图 1 2 FW 系统结构图 DPtech FW1000 系列防火墙用户配置手册 1 4 图 1 3 WEB 界面布局 1 导航栏 2 快捷区 3 配置区 导航栏 以导航树的形式组织设备的 Web 管理功能菜单 用户在导航栏中可以方便的选择功能菜 单 选中功能菜单的页面显示在配置区中 快捷区 显示当前配置区的页面在导航栏中的路径 显示设备状态 系统日志 操作日志的变化情 况 提供折叠 首页 重启 帮助 退出功能按钮 可以方便 快捷地回到首页 重启或退出 Web 网 络管理界面 配置区 用户进行配置和查看的区域 WEB 管理功能具体介绍如表 1 1 所示 表 1 1 WEB 管理功能列表 菜单项菜单项功能介绍功能介绍 设备信息 显示系统当前的系统名称 系统时间 系统时区 内存大小 外存 信息 设备序列号 PCB 硬件版本 软件版本 出厂管理口默认信 息 CPLD 硬件版本和 Conboot 版本及电源功率 设备状态 查看系统的 CPU 内存 硬盘 CF 卡的使用率和 CPU 主板的温 度以及风扇 电源状态 系统阈值设置 设置系统的 CPU 内存 硬盘的使用率阈值和 CPU 主板的温度阈 值 系统名称设置设置系统名称 设备 管理 设备 设置 系统时间设置设置系统时间 包括时区 日期和时间 基 本 功 能 系 统 管 理 SNMP 配置配置简单网络管理协议相关项 DPtech FW1000 系列防火墙用户配置手册 1 5 菜单项菜单项功能介绍功能介绍 当前管理员 查看当前登录到 Web 管理设备上的所有用户 并可将除自己外的指 定用户强制退出 管理员设置查看所有管理员的信息列表 添加 修改和删除不同的管理员 管 理 员 登录参数设置 查看和设置用户登录 Web 的安全方面的参数 包括超时时间 错误 登录锁定次数和解锁时间设定 配置文件 查看当前配置文件 进行配置文件的备份 下载 删除操作 恢复 出厂设置 APP 特征库 查看 APP 特征库版本信息包括当前版本 历史版本和有效期 设置 版本回退 自动和手动升级 APP 特征库 特 征 库License 文件管理License 文件导入和导出 软件版本 显示设备上存在的所有版本的名称 版本号和版本状态 备份 下 载 删除软件版本 安全域设置与其相连接的网络 Trust Untrust DMZ IP 地址设置安全域里的地址对象 地址对象组 地址对象群 Mac 地址设置 Mac 对象和 Mac 组 服务设置安全域对应的相关服务 帐号设置用户组和远程连接相关项 网 络 对 象 实名设置用户组及实名列表相关项 静态路由配置静态路由 路由表查询路由表项 等价路由配置等价路由分担方式 BGP 协议配置 BGP 协议和显示 BGP 邻居信息 RIP 协议配置 RIP 协议项 单播 IPv4 路由 OSPF 协议配置 OSPF 协议项 单播 IPv6 路由配置 IPv6 静态路由和显示 IPv6 路由表 接口管理查看和设置设备接口的工作模式 接口类型 IP 所属 VLAN 等 网 络 管 理 组播路由配置 PIM IGMP 协议 DPtech FW1000 系列防火墙用户配置手册 1 6 菜单项菜单项功能介绍功能介绍 策略路由配置源网段 目的网段 TOS 等 DNS 配置配置 DNS 服务器地址 DHCP 服务器配置查看和设定 DHCP 服务器启用情况 查看和添加动态 静态地址池 DHCP 中继代理 查看和设定 DHCP 中继代理启用情况 查看和添加接口及中继代 理服务器 DHCP 服务 器 DHCP 地址信息列表显示 DHCP 地址信息列表 包括主机名 MAC 地址和 IP 地址 诊断工具设置执行 Ping 命令并显示执行结果 无线配置配置设备的无线功能 包过滤策略添加 删除 插入包过滤策略 NAT配置源 NAT 目的 NAT 一对一 NaT 等 基本攻击防护 选择阻断各种基本攻击 IP 分片 死亡之 Ping LAND 攻击等 并可选择是否上报日志 并查询相关日志 SYN Flood 防护设置 SYN Flood 防护对象和每秒连接数 ICMP Flood 防护设置 ICMP Flood 防护对象和每秒连接数 UDP Flood 防护设置 UDP Flood 防护对象和每秒连接数 DDOS 攻击 防护 DDOS 日志查询根据不同的条件查询 删除相关的 DDOS 防护日志 MAC IP 绑定自动学习 绑定 MAC IP 查询 MAC IP 绑定日志 防 火 墙 会话管理设置绘画参数 查看会话列表 最近的日志 显示当前系统日志中最近的 25 条 并能导出到 CSV 格式的文件中 设置手动刷新和自动刷新及刷新周期 系统日志查询 按照不同条件或条件的组合查询系统日志 并能导出到 CSV 格式的 文件中 系统日志文件操作显示系统日志文件列表 并能备份 删除指定系统日志文件 输出到远程日志主机 设置是否开启输出到远程日志主机 设置远程日志主机 IP 地址 服 务端口 时间戳格式参数 系统 日志 系统 日志 配置保存天数设置系统日志自动清除周期 日 志 管 理 操作 日志 最近的日志 显示当前操作日志中最近的 25 条 并能导出到 CSV 格式的文件中 设置手动刷新和自动刷新及刷新周期 DPtech FW1000 系列防火墙用户配置手册 1 7 菜单项菜单项功能介绍功能介绍 操作日志查询 按照不同条件或条件的组合查询操作日志 并能导出到 CSV 格式的 文件中 操作日志文件操作显示操作日志文件列表 并能备份 删除指定操作日志文件 输出到远程日志主机 设置是否开启输出到远程日志主机 设置远程日志主机 IP 地址 服 务端口 时间戳格式参数 操作 日志 配置 保存天数设置操作日志自动清除周期 保存天数设置业务日志最大保存天数 摘要日志接受消息通知 审计日志审计功能 输出到远程日志主机 设置是否开启输出到远程日志主机 设置远程日志主机 IP 地址 服 务端口 时间戳格式参数 业务 日志 配置 发送邮件设置是否开启发送到邮箱 设置邮件参数 网络应用用户组限速 查看和配置组带宽应用限速 新建和修改名称 报文入接口 网络 用户组 使能 禁止状态 网络应用组 限速速率及规则的有效时间 拷贝网络应用组及相应的限速速率 删除组带宽应用限速策略 网络应用每 IP 限速 查看和配置每 IP 带宽应用限速 新建和修改名称 报文入接口 网 络用户组 使能 禁止状态 网络应用组 限速速率及规则的有效时 间 拷贝网络应用组及相应的限速速率 删除每 IP 带宽应用限速策 略 网络 应用 带宽 限速 网络应用组管理查看服务类型 添加 修改 删除网络应用组 网络应用访问控制 查看和设置网络应用访问控制阻断规则 修改服务类型 带宽使用 者 组 使能状态 服务类型 黑 白名单 是否发日志 有效时间 等参数 拷贝和删除访问控制规则 网络 应用 访问 控制 网络应用组管理查看服务类型 添加 修改 删除网络应用组 URL 过滤策略 查看和配置 URL 过滤策略 新建和修改策略的名称 报文入接口 网络用户组 使能 禁止状态 过滤参数 黑 白名单 是否发日志 及 URL 过滤策略的有效时间 拷贝和删除 URL 过滤策略 IPSec VPN 配置IPSec VPN 连接配置 业 务 功 能 应 用 防 火 墙 IPSec VPN IPSec VPN 连接显示显示 IPSec VPN 连接状况 DPtech FW1000 系列防火墙用户配置手册 1 8 菜单项菜单项功能介绍功能介绍 L2TP VPN配置 L2TP 工作模式 LNS 配置 客户信息配置 GRE VPN设置 GRE 隧道 SSL VPN设置全局配置 用户管理 资源配置 数字证书配置 IPSec VPN 所用的数字认证证书 网络流量快照 按照时间 流向查看网络流量快照 按不同服务显示流量 查看 TOP 用户统计信息及 TOP 用户不同服务下的统计信息 业务流量分析 按不同周期统计业务流量分布 按双向 单向显示业务流量趋势变 化情况及详细信息 单用户业务流量分析 查看具体用户在不同周期下的业务流量分布情况及双向 单向业务 流量的趋势变化情况及详细信息 TOP 用户流量分析 查看 TOP 用户在一定周期 不同业务 不同流向的流量趋势变化情 况及详细信息 流量 分析 流量统计配置 配置流量统计参数 包括关闭流量分析 本地显示及发向服务器的 一些参数设置 行为审计 新建行为审计规则 对邮件 网页浏览 文件传输 聊天工具进行 行为审计 最近的日志 查看最近的 25 条行为审计日志并能导出到 CSV 文件 设置自动刷 新或手动刷新 审计日志查询与删除 按照用户行为 源和目的 IP 及规则名称 时间等查询条件及查询 条件的不同组合来查询审计日志 并能将查询到的日志导出到 CSV 删除查询出的审计日志 行为 审计 用户当前行为查看用户当前的主要上网行为 关键字过滤查看 添加关键字阻断 过滤规则 删除关键字 最近的日志 查看最近的 25 条日志并能导出到 CSV 文件 设置自动刷新或手动 刷新 审 计 分 析 关键 字过 滤 审计日志的查询 按照用户行为 源 IP 目的 IP 等查询条件或不同组合查询日志 并 能将查询到的日志导出到 CSV 删除查询出的日志 关键字设置设置关键字过滤内容 邮箱设置设置邮箱过滤内容 应用 层过 滤 HTTP 过滤设置 HTTP 过滤内容 DPtech FW1000 系列防火墙用户配置手册 1 9 菜单项菜单项功能介绍功能介绍 邮件过滤设置邮件过滤内容 FTP 过滤设置 FTP 过滤内容 本地认证用户配置本地认证的用户名和密码 Web 认证配置 启用 禁用 Web 认证 设置启用时的相关参数 如选择 Web 认证的 用户组 选择认证方法 添加认证背景图片 Web 认证在线用户查看 Web 认证在线的用户 并可以强制退出登录用户Web 认证 前台管理 设置酒店前台管理 添加 删除管理员 并向指定的管理员发送用 户上网管理信息邮件 VRRP配置 VRRP 备份组 高 可 靠 性 双机热备启动 关闭双机热备功能 DPtech FW1000 系列防火墙用户配置手册 2 1 第第 2 章章 系统管理系统管理 2 1 简介简介 系统管理提供了设备系统相关的管理功能 包括 设备管理 管理员 配置文件 特征库 软件版本 访问方式 选择 基本 系统管理 如图 2 1 所示 图 2 1 系统管理菜单 2 2 设备管理设备管理 2 2 1 设备信息设备信息 设备信息模块可以帮助用户了解系统和设备硬件的相关信息 设备信息显示系统当前的系统名称 系统时间 系统时区 内存大小 外存信息 设备序列号 PCB 硬件版本 软件版本 出厂管理口默认 信息 CPLD 硬件版本 Conboot 版本和电源功率 访问方式 选择 基本 系统管理 设备管理 设备信息 如图 2 2 所示 DPtech FW1000 系列防火墙用户配置手册 2 2 图 2 2 设备信息 设备信息字段的详细说明如表 2 1 所示 表 2 1 设备信息 项目项目说明说明 系统名称显示系统设备的名称 系统时间显示系统当前的时间 系统时区显示系统当前的时区 内存大小显示硬件设备的内存容量 外存信息显示硬件设备的外存信息和容量 设备序列号显示硬件设备的序列号信息 PCB 硬件版本显示硬件 PCB 的版本信息 软件版本显示系统软件的版本信息 出厂管理口默认信息显示默认的管理接口名称和其默认 IP 地址 CPLD 硬件版本显示硬件 CPLD 逻辑的版本信息 Conboot 版本显示系统 Conboot 基本段版本信息 电源功率显示设备的电源功率 说明 登录 WEB 控制页面时 显示的首页即是 设备信息 页面 2 2 2 设备状态设备状态 设备状态模块显示系统当前的健康状态 借此可以帮助用户了解 CPU 内存 硬盘 CF 卡的使用率 风扇 电源的状态 CPU 主板的温度信息 DPtech FW1000 系列防火墙用户配置手册 2 3 访问方式 选择 基本 系统管理 设备管理 设备状态 如图 2 3 所示 图 2 3 设备状态 设备状态的详细说明如表 2 2 所示 表 2 2 设备状态 项目项目说明说明 CPU 使用率显示 CPU 的实时使用率 超过阈值时 显示红灯 否则 显示绿灯 内存使用率显示内存的实时使用率 超过阈值时 显示红灯 否则 显示绿灯 硬盘使用率显示硬盘的实时使用率 超过阈值时 显示红灯 否则 显示绿灯 CF 卡使用率显示 CF 卡的实时使用率 超过阈值时 显示红灯 否则 显示绿灯 风扇状态显示风扇当前的工作状态 风扇损坏时 显示红灯 否则 显示绿灯 电源状态显示电源当前的工作状态 电源损坏时 显示红灯 否则 显示绿灯 CPU 温度显示系统 CPU 的当前温度 超过阈值时 显示红灯 否则 显示绿灯 主板温度显示主板的当前温度 超过阈值时 显示红灯 否则 显示绿灯 DPtech FW1000 系列防火墙用户配置手册 2 4 说明 将鼠标放置某个项目后的指示灯上时 可显示相应的实时数据 在 WEB 配置页面上方有 CPU 内存使 用率的即时信息和风扇 电源的即时状态显示 WEB 管理页面上方为设备状态查看的快捷区域 如图 2 4 所示 在此区域可以即时查看 CPU 内存的使 用率及风扇 电源的状态 CUP 温度和主板温度 图 2 4 设备状态查看快捷区域 2 2 3 设备设置设备设置 2 2 3 1 系统名称设置系统名称设置 系统名称设置功能允许用户自定义系统名称 便于管理 访问方式 选择 基本 系统管理 设备管理 设备设置 如图 2 5 所示 图 2 5 系统名称设置 修改系统名称的操作流程 选择 设备信息设置 选项卡 在系统名称栏输入要重新设置的系统名称 点击右上方的确认按钮 新设置的系统名称即时生效 2 2 3 2 系统时间设置系统时间设置 系统时间设置功能允许用户自定义系统时间 与当前时间同步 访问方式 选择 基本 系统管理 设备管理 设备设置 如图 2 6 所示 图 2 6 系统时间设置 修改系统时间的操作流程 选择 设备信息设置 选项卡 在系统时间栏输入要重新设置的时区 日期和时间 点击右上方的确认按钮 新设置的系统时间即时生效 DPtech FW1000 系列防火墙用户配置手册 2 5 2 2 3 3 系统阈值设置系统阈值设置 系统阈值设置功能可以允许用户设置系统硬件使用率和温度的阈值 访问方式 选择 基本 系统管理 设备管理 设备设置 如图 2 7 所示 图 2 7 系统阈值设置 系统阈值设置的详细说明如表 2 3 所示 表 2 3 系统阈值设置 项目项目说明说明 CPU 使用率阈值设置 CPU 使用率的阈值 内存使用率阈值设置内存使用率的阈值 硬盘使用率阈值设置硬盘使用率的阈值 CPU 温度阈值设置 CPU 温度阈值的下限值和上限值 主板温度阈值设置主板温度阈值的下限值和上限值 阈值设置的操作流程 选择 设备信息设置 选项卡 在系统阈值栏相应的位置输入要重新设置的阈值 点击右上方的确认按钮 修改后的阈值即时生效 注意 请根据硬件的规格和处理能力正确设置阈值 如无特殊需求 请采用系统默认值 当设备硬件使用率和 CPU 主板温度