sonicwall防火墙中文教程

《sonicwall防火墙中文教程》由会员分享，可在线阅读，更多相关《sonicwall防火墙中文教程（55页珍藏版）》请在金锄头文库上搜索。

1、SonicWALL 典型配置和问题诊断目的： 1. 熟悉典型客户网络环境下防火墙的配置方法 2. 分析LOG及借助工具软件诊断并解决问题的方法参加培训的要求： 掌握SonicWALL标准版和增强版的基本配置 熟悉TCP/IP协议及基本网络通信协议通过此次培训，使参加培训的工程师能够掌握典型客户的 防护墙配置，并在发生问题时及时解决问题。Date1典型配置案例: 1、PRO5060 在高校的应用，双WAN和策略路由 2、标准版和增强版的透明模式 3、静态ARP的应用，第二个网段 4、带宽管理，TCP Session数管理故障诊断: 1. 点到点VPN 隧道故障建立，一、二阶段协商参数 2. VP

2、N隧道 TCP 超时时间的设置 3. GVC NAT 穿越, 何时需要分配IP地址 4. 防火墙不能升级签名的诊断步骤 5. ARP 表更新，IP和MAC绑定，上游路由器ARP表不刷新问题 6. Ethereal 软件的使用，诊断问题。 7. ViewPoint配置及绑定到其它的网卡地址时如何更正Date2PRO5060 双WAN链路应用和策略路由Date3PRO5060 在高校的典型应用，双WAN链路+策略路由 如条件允许，还可以配置OSPF路由两个校园出口互为备份Date4学校一共有两个校区，东校区通过一台防火墙经电信出口上 Internet，南校区有两个出口，一个是经电信出口接入Inte

3、rnet， 另一个出口接入教育网。两个校区之间由专线把两个三层交换机连 通，如果在三层交换和两台防火墙上启动OSPF路由协议，两台防火 墙设备可以互为对方的备份，一台防火墙宕机，所有到互联网的出 口流量可以经过专线由另外一个校园网的防火墙访问Internet。本例主要讲解南校区的网络配置。其中PRO 5060 LAN口连接一台华 为的三层交换机S8505，DMZ连接一组服务器，为教育网提供服务。 所有到服务器的流量都走教育网出口。S8505 三层交换机下连接4个 私有IP的网段，7个公有IP网段。 4个私有网段只通过电信出口访问 Internet， NAT到一个公有IP的地址池，7个公有IP网

4、段只通过教育 网出口访问教育网和互联网。本例的策略路由相对简单。 注:有些高校教育网包月不计流量, 有些高校只针对指定的教育网服 务器不计流量,其它到教育网的访问要按流量收费,所以策略路由的 配置要视客户具体需求进行调整,是按照源IP地址设置策略路由还是 按目的地址设置策略路由,在教育网访问按流量收费的时候一定注意 设置正确的默认路由,以尽量降低数据流量产生的费用.Date5Date6静态路由策略路由默认路由Date7公有IP路由出去私有IP NAT到公有IP地址池Date8PRO5060 可以修改默认的WAN口，这将影响默认 的路由，使没有明确指定策略路由的访问均走默认 路由。 错误的默认路

5、由设置可能造成不必要的计 费损失，因为有些高校只针对特定的教育网服务器 不按流量计费，到其它教育网的服务器按流量计费 ，还有的高校教育网和电信出口一样包月，不按流 量计费，针对客户不同的具体需求，配置相应的策 略路由并选择正确的默认路由。Date91.透明模式实现方法二层桥透明和ARP代理透明 2.SonicOS 标准版透明 3.SonicOS 增强版透明Date10二层透明 设备工作在二层透明方式，设备本身不需要任何IP地址配置， 防火墙规则照常工作，检测数据流。如果需要，也可以配置 管理IP地址对设备进行管理。 ARP代理透明 设备工作在3层，设备的两个端口处于同一个网段，但两个端 口占用

6、同一个IP地址，需要管理员指定哪些网络范围的IP地 址在设备的某一个端口，使设备能正确转发数据包到正确的 端口。SonicWALL的UTM设备透明方式是ARP代理透明，需要在WAN口和 LAN口（或DMZ口）占用一个IP地址。Date11SonicOS 标准版防火墙LAN口和WAN口透明Date12Date13Date14Date15注：透明模式并不意味着所有的业务端 口都“透明”，必须设置必要的防火 墙规则以允许WAN到LAN或WAN到DMZ服 务器的访问。Date16SonicOS 标准版防火墙DMZ口和WAN口透明 （TZ170 OPT口默认相当于DMZ口）DMZ口可以工作在透明模式或N

7、AT模式Date17Date18Date19Date20SonicOS 增强版透明模式配置任意端口和WAN口之间都可以配置成透明模式，需要 指定透明范围以使防火墙能正确转发数据包到正 确的端口Date21Date22Date23Date24SonicOS标准版一个端口支持多个网段的两种方式LAN Primary IP: 192.168.168.168/24在Network-Settings LAN Interface 配置界面加入 第二个网关192.168.10.1/24采用静态ARP，在一个端口增加第二个IPDate25增加第二个网关，支持第二个网段 LAN Primary IP：192.1

8、68.168.168/24 Second Subnet：192.168.10.0/24方法一Date26配置静态ARP和静态路由，在一个端口支持第 二个网段，视访问需求可在Firewall-Access Rules里添加允许到第二个网段的访问规则Network-ARPNetwork-Routing方法二Date27SonicOS增强版一个端口支持多个网段采用静态ARP，配置过程与标准版采用静态 ARP支持第二个网段完全相同,不过注意 静态路由的配置是在策略路由的界面配 置的。详见下页。注：在一个物理端口如LAN上设置两个网 段，则两个网段之间由防火墙路由，访 问规则不影响两个网段的通信，但是

9、LAN到DMZ第二个网段的通信可由防火 墙规则控制。Date28配置静态ARP和静态路由，在一个端口支持第 二个网段，视访问需求可在Firewall-Access Rules里添加允许到第二个网段的访问规则Network-ARPNetwork-RoutingDate29带宽管理和TCP Session 数限 制Date30必须在WAN口 设置进出的 带宽参数， 否则在防火 墙的规则里 不会出现带 宽管理的界 面Date31Date32Date33Date34故障诊断Date35点到点VPN 隧道故障建立，一、二阶段协商参数PRO4060 VPN PolicyDate36TZ150W VPN P

10、olicy，故意设置与对端不同Date37NO_PROPOSAL_CHOSEN 是指参数不匹配Date38NO_PROPOSAL_CHOSEN 是指参数不匹配Date39PRO4060 Shared SecretDate40PRO4060 Log PAYLOAD_MALFORMED 表示共享密钥不匹配，网络故障导致VPN隧道 断开，如果隧道两端VPN设备采用的DPD不是 一个标准，重新协商时也可能出现此错误 Date41TCP 超时时间的设置，TCP Setting和防火墙规则设置此参数只影响新创建的防火墙规则，修改此参数之前 创建的规则的TCP 超时参数不受此参数影响。Date42有些应用如

11、Oracle客户端，ERP系统等通过VPN隧道访问 服务器，默认的TCP超时时间一定要修改，否则这些系 统可能会产生问题，如有的ERP系统在有中间设备断开 TCP连接后，会延迟30分钟才允许客户端再次建立连接Date43有些应用如Oracle客户端，ERP系统等通过VPN隧道访问 服务器，默认的TCP超时时间一定要修改，否则这些系 统可能会产生问题，如有的ERP系统在有中间设备断开 TCP连接后，会延迟30分钟才允许客户端再次建立连接Date44GVC NAT 穿越, 何时需要分配IP地址 当服务器的默认网关指向另外一个路由器，通过专线联接互联网， 而不指向SonicWALL防火墙设备时，一定

12、要分配IP地址给GVC， 以免除路由问题。由于各个网络设备厂家的NAT设备在对IPSec VPN的支持不尽相同，有些支 持IPSec Pass Through, 有些不支持。经过不支持IPSec Pass Through的 NAT设备建立IPSec VPN隧道，必须采用NAT穿越技术。SonicWALL GVC自动 检测沿途设备是否支持IPSec， 如果需要，自动启动NAT穿越，但是有些设 备的IPSec pass throug不稳定，有些支持IPSec的NAT设备反而不能正确处 理NAT穿越数据，需要在SonicWALL GVC上禁止NAT穿越参数。Date45有些支持IPSec的NAT设备

13、不能 正确处理NAT穿越数据，需要 在SonicWALL GVC上禁止NAT穿 越参数，常见的问题是客户端 不能从防火墙通过DHCP获取IP 地址，GVC LOG 提示信号灯超 时(semaphore Timeout),修改 此参数大部分情况可解决问题 。Date46防火墙不能升级签名的诊断步骤1. 确认LAN PC能通过防火墙WAN口访问互联网2. 确认防火墙System-Diagnostics里的DNS解析能解析 3. 防火墙通过HTTPS直接访问 ，不能经过代理 服务器.4. 确认没有防火墙规则禁止LAN Primary IP访问Internet.5. 确认防护墙里的系统时间正确。如果系

14、统时间不正确，可导致访问 Licensemanager超时.6. 如果还有问题，可以在WAN口上抓包，以帮助诊断问题。Date471. IP和MAC绑定SonicWALL SonicOS 3.0 以上操 作系统支持IP到MAC地址的绑定 gon功能。在Network-ARP 界面配置所有设备支持300个IP地址到MAC 地址的绑定。Date48ARP 表更新，上游路由器ARP表不刷新问题SonicWALL设备在加电后会广播ARP信息，包括其WAN口IP，一对一 映射的公网IP，IP地址池的IP等等，使上游路由器更新其ARP表， 正确转发数据到防火墙WAN口的MAC地址，有些情况下，上游路由 器

15、不刷新其ARP表，导致问题，要电话联系电信网管强行刷新上游 路由器的ARP表，因为SonicWALL已经广播了ARP信息。有些 VDSL/ADSL运营商会自动绑定第一次上网的设备的MAC地址，更换 ADSL/VDSL设备是要运营商更新ARP表。Date49Ethereal 软件的使用，诊断问题。在 Capture 菜单选择 StartDate50选择要抓包 的网卡选择时时更新 和自动滚屏Date51察看各层详细信息直至 某一个Bit,诊断问题很 有帮助Date52ViewPoint配置及绑定到其它的网卡地址时如何更正安装ViewPoint软件时，如果计算机上有多块物理网卡 或者有VPN虚拟网卡，可能导致ViewPoint服务绑定道错 误的网卡上，其表现是防火墙把ViewPoint数据送到 ViewPoint服务器的IP地址，但是ViewPoint软件始终收 不到任何数据。Date53解决方法：修改c:sgmsConfig.xml文件中的 Scheduler.ipAddress参数，设置正确的IP地 址，然后重启ViewPoint服务Date54在系统控制面板里找到服务，重启以SNWL ViewPoint开始的四个ViewPoint服务Date55