DPtech-FW1000系列防火墙系统操作手册

DPtechFW1000操作手册杭州迪普科技有限公司2011年10月 杭州迪普科技有限公司PAGE 目录DPtechFW1000操作手册 1第1章组网模式 11.1组网模式1-透明模式 11.2组网模式2-路由模式 21.3组网模式3-混合模式 3第2章基本网络配置 42.1实现功能 42.2网络拓扑 42.3配置步骤 4第3章深度检测功能配置 73.1实现功能 73.2网络拓扑 73.3配置步骤 7第4章VPN 94.1IPSecVPN 94.1.1客户端接入模式 94.1.2网关—网关模式 104.2L2TPVPN 124.2.1实现功能 124.2.2网络拓扑 124.2.3配置步骤 124.3GREVPN 164.3.1实现功能 164.3.2网络拓扑 164.3.3配置步骤 164.4SSLVPN 174.4.1实现功能 174.4.2网络拓扑 184.4.3配置步骤 18第5章VRRP双机热备 205.1实现功能 205.2网络拓扑 205.3配置步骤 20第6章日志输出UMC 246.1业务日志输出 246.2会话日志输出 246.3流量分析输出 25杭州迪普科技有限公司第1页组网模式组网模式1-透明模式组网应用场景需要二层交换机功能做二层转发在既有的网络中，不改变网络拓扑，而且需要安全业务防火墙的不同网口所接的局域网都位于同一网段特点对用户是透明的，即用户意识不到防火墙的存在部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK接口配置VLAN属性必须配置一个vlan-ifxxx的管理地址，用于设备管理组网模式2-路由模式组网应用场景需要路由功能做三层转发需要共享Internet接入需要对外提供应用服务需要使用虚拟专用网特点提供丰富的路由功能，静态路由、RIP、OSPF等提供源NAT支持共享Internet接入提供目的NAT支持对外提供各种服务支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等需要使用WEB认证功能配置要点接口添加到相应的域接口工作于三层接口，并配置接口类型配置地址分配形式静态IP、DHCP、PPPoE组网模式3-混合模式组网应用场景需结合透明模式及路由模式特点在VLAN内做二层转发在VLAN间做三层转发支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK接口配置VLAN属性添加三层接口，用于三层转发配置一个vlan-ifxxx的地址，用于三层转发

基本网络配置实现功能内网（/24）可访问外网（/24）内网地址为DHCP获得内网对外提供HTTP服务（安装web服务器）网络拓扑配置步骤【网络管理】->【接口管理】下，配置接口参数在【网络管理】->【网络对象】下，将接口添加到安全域在【网络管理】->【单播IPv4路由】下，添加出口路由在【网络管理】->【DHCP配置】下，启动DHCPServer在【防火墙】->【NAT】下，添加源NAT在【防火墙】->【NAT】下，添加目的NAT在【防火墙】->【包过滤策略】下，添加Untrust到Trust包过滤策略

深度检测功能配置实现功能采用第1章——基本网络配置内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访问控制、URL过滤、行为审计等）备注：本次功能配置以应用限速为例网络拓扑配置步骤在【访问控制】->【网络应用带宽限速】下，配置限速策略在【防火墙】->【包过滤策略】下，添加包过滤策略，并引用应用限速策略部分DPI功能配置举例

VPNIPSecVPN客户端接入模式实现功能采用第1章——基本网络配置外网（）可通过IPSecVPN客户端方式连接到内网，共享内网资源网络拓扑配置步骤在【VPN】->【IPSec】下，启动IPSec，配置客户端接入模式在客户端安装IPSecVPN客户端程序网关—网关模式实现功能两端配置采用第1章——基本网络配置（相关IP不同）PC（）可通过IPSecVPN访问PC（），并可共享两端资源网络拓扑配置步骤在【VPN】->【IPSec】下，进行网关—网关模式配置L2TPVPN实现功能采用第1章——基本网络配置外网（）可通过L2TPVPN连接到内网，共享内网资源网络拓扑配置步骤在【网络管理】->【网络对象】下，将L2TP使用接口添加到安全域中在【VPN】->【L2TP】下，启动L2TP，配置LNS和用户信息在客户端上添加注册表键值（windows默认的l2tp/ipsec是只支持用证书认证的，对于用pre-share的认证方式或者不使用ipsec的l2tp连接，必须修改注册表），需重启客户端PC，键值如下：#WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]"ProhibitIPSec"=dword:00000001#新建L2TP客户端，在【网上邻居】中创建新连接需要修改的参数如下GREVPN实现功能两端配置采用第1章——基本网络配置（相关IP不同）PC（）可通过GREVPN访问PC（），并可共享两端资源网络拓扑配置步骤在【网络管理】->【单播IPv4路由】下，添加静态路由在【VPN】->【GRE】下，创建GREVPN策略SSLVPN实现功能采用第1章——基本网络配置外网（）可通过SSLVPN连接到内网，共享分配相应权限的内网资源网络拓扑配置步骤在【VPN】->【SSLVPN】下，启动SSLVPN，并导入相应证书（新版本自带证书，老版本需搭建服务器获得）在【VPN】->【SSLVPN】下，配置资源（IP资源、web资源等）在【VPN】->【SSLVPN】下，添加用户

VRRP双机热备实现功能内网PC（）可访问Internet资源当FW1（92，主）与FW2（93，备）为主备模式下，断开FW1与SW1的连接，流量自动切换至FW2，PC应用无影响重新连接FW1与SW1的连接，流量自动切换回FW1，PC应用无影响网络拓扑配置步骤在【网络管理】->【接口管理】下，配置接口参数（eth_4为双机热备心跳线，eth_5连接内网，eth_6连接外网）在【网络管理】->【网络对象】下，将接口添加到安全域中在【网络管理】->【单播IPv4路由】下，添加出口默认路由在【防火墙】->【NAT】下，配置源NAT策略在【高可靠性】->【VRRP】下，配置VRRP备份组（内网PC网关指向备份组虚拟IP）在【高可靠性】->【双机热备】下，进行双机热备配置（心跳线），此功能将同步配置、会话等参数在【高可靠性】->【接口状态同步组】下，进行端口同步组配置（可选）；此功能作用为，如下行接口（eth0_5）down掉，则相同接口同步组下的其他接口，也将down掉，如需重新u