《DPtech-FW1000系列防火墙系统操作手册范本》由会员分享,可在线阅读,更多相关《DPtech-FW1000系列防火墙系统操作手册范本(31页珍藏版)》请在金锄头文库上搜索。
1、DPtech FW1000操作手册DP tech迪普科技2011年10月# / 28DPtech FW1000 操作手册1第1章组网模式11.1 组网模式1-透明模式11.2 组网模式2-路由模式21.3 组网模式3-混合模式3第2章根本网络配置42. 1实现功能42.1 网络拓扑42.2 配置步骤4笫3章深度检测功能配置73. 1实现功能73.2网络拓扑73.3配置步狭7第4章VPN94. 1 IPSEC VPN 9客户端接入模式9网关一网关模式 104. 2 L2TP VPN 12实现功能12网络拓扑12度置步骤.124. 3 GRE VPN 16实现功能16网络拓扑16配置步骤.164.
2、 4 SSL VPN 17实现功能17网络拓扑18筑置步骤.18第5章VRRP双机热备205. 1实现功能205.1 网络拓扑205.2 配置步骤20第6章日志输出UMC246. 1业务日志输出246.1 会话日志输出24256.2 流量分析输出# / 28第1章组网模式6.3 组网模式透明模式# / 28所属域:untrust.unirustMETHO/3:层接口,按门类型:ACCESSbTHO/5所届域:untruM.层接11.接I改型:trunknnnnnnnn=nETH0/2所属城:lrust,层接II,接I类型,ACCESShl HO 6所属城:trust.二层按U,接口类型,tru
3、nk组网应用场景需要二层交换机功能做二层转发 在既有的网络中,不改变网络拓扑,而且需要平安业务防火墙的不同网口所接的局域网都位于同一网段特点对用户是透明的,即用户意识不到防火墙的存在部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置支持各类平安特性:攻击防护、包过滤、应用识别与应用访问控制等配置要点接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK接口配置VLAN属性必须配置一个vlan-ifxxx的管理地址,用于设备管理6.4 组网模式2-路由模式所局域:untrust ETH0/3 ! eTH 二层接口,接口类型:ACCESS | 所描unirus
4、tME1H0/5所届域i untrust9nnnnnnnnsn二层接I,接I类型,tnmkETH0/2所属域:irust, 层接II.接II类型:ACCESSEIHO/6所属域:irusl, 一层接I,接类型;inmk组网应用场景需要路由功能做三层转发需要共享Internet接入需要对外提供给用效劳需要使用虚拟专用网 特点提供丰富的路由功能,静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入提供目的NAT支持对外提供各种效劳支持各类平安特性:攻击防护、包过滤、应用识别与应用访问控制等需要使用WEB认证功能 配置要点接口添加到相应的域接口工作于三层接口,并配置接口类型配置地址
5、分配形式静态IP、DHCP、PPPoE6.5 组网模式3-混合模式组网应用场景需结合透明模式与路由模式特点 在VLAN做二层转发在VLAN间做三层转发支持各类平安特性:攻击防护、包过滤、应用识别与应用访问控制等配置要点接口添加到相应的域接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK接口配置VLAN属性添加三层接口,用于三层转发配置一个vlan-ifxxx的地址,用于三层转发第2章根本网络配置2.1 实现功能网地址为DHCP获得网对外提供HTTP效劳(安装web效劳器)2.2 网络拓扑2.3 配置步骤【网络管理】-【接口管理】下,配置接口参数J5Efi无HAC00 24k:36
6、 M3bcTiO_429无aa叶无MX: 00 24 ac36 H3cOeri0_6二层三口LANTJtlFV4: 333 1X24五saIF 33 3 gMAC0 24x3。f:3aOcro_o一茗P王侬 IPV4,.: 1。v n 19224无aaIP10 99.01912dMAC 00 24*36 eCW三期gQftPHdhlPVd”999 &24无开启IP. 9.9.9.e24 MAC 00.24.3K36.eC39WliPV5: FECQ”/伸在【网络管理】-【网络对象】下,将接口添加到平安域在【网络管理】-【单播IPv4路由】下,添加出口路由在【网络管理】一【DHCP配置】下,启动
7、DHCP ServerDHCPKaE eDHCP 002油保不同助修油间的IP不会乐合”接口幺同美出雄WINS霰名摄域名也为,分)州0 533323 3310mi无无无在【防火墙】-【NAT】下,添加源NATENAT目的卜1AT1 对一 NAT电址池舟曲在序号出接口etrw 6an发起方源IP发起方目的IPanay公间吵闻(淌)一出一口地址在【防火墙】-【NAT】下,添加目的NAT珈Ar一对一3地址池aicBEE启用DI IS乩G序 8ACC公河坳址霰务内同ip电址(池)玄配骨etho 610 sg。192TCPT234地址;期 IDW; 1(33 323 3 32)-多口 80在【防火墙】-
8、【包过滤策略】下,添加Untrust到Trust包过滤策略共:1条初据史伯克 E标 w漫球发起方Rip发型方H的IP方理MAC复起方H的MACip分片sawt生紫 时同状玄11untrugltmfil如alallauail钮而t标三g搔通过旭第3章深度检测功能配置3.1 实现功能采用第1章一一根本网络配置网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访 问控制、URL过滤、行为审计等)备注:本次功能配置以应用限速为例3.2 网络拓扑Trust UntrustEthO 5 EthO 6 ,今 G 11 n Q。I QQ10.99.0.533配置步骤在【访问
9、控制】-【网络应用带宽限速】下,配置限速策略在【防火墙】-【包过滤策略】下,添加包过滤策略,并引用应用限速策略局部DPI功能配置举例第4章VPN4J IPSec VPN4.1.1客户端接入模式4.LL1实现功能采用第1章一一根本网络配置4.LL2网络拓扑Trust UntrustEth()_5 EthO_610.99.0.54.LL3配置步骤在【VPN- IPSec下,启动IPSec,配置客户端接入模式rSccVPHKWiPSec阴般示毁统配荷gtaaty郭尸 11人崔太谖累名兴状虑由mttptait-本*看10PIO汽停*尸问的网&以口方式S21099.0102口工自功-33312/a xK
10、X sxx俭制开季S5的123456。毂了任书 一品江将用于任书认记的水悦证手,年餐名率布地融为*IP地址本届祖缶2 财届备IDms笠名说&L8X与品清配笠罚F院霞吟p 日就殷N才理11g的揖口 .35HU 证日力3尸缰知夙问田1与6必正历用尸域加2分值户 嫡883:5556|-|5A5.iO限领.5 5 51丫州函辑m5551| -一 在客户端安装IPS VPN客户端程序 IPSecTT造户端vO. 38安装。回区欢迎使用“IPS.-VPN客户端vO.38 ” 安装向导这个向导将指引你完成“工FSgc-VH话尸端vO.38的 安装进程。在开始安装之前,建设先关闭其他所有应用程序。这将 允许“
11、安装程序”更新指定的系统文件,而不需要重新 启动你的计算机口单击安装00开始安装进程0安装CI)取消(O4.1.2网关一网关模式4.1.2.1 实现功能两端配置采用第1章一一根本网络配置(相关IP不同)4.2 L2TP VPN3.33.2TrustEthO 53.3.3.1TrustEthO_54.4A1FWFWUntrustEthO 610.99.0.192UntrustEthO 610.99.0.1934.123配置步骤在VPN - IPSec下,进展网关一网关模式配置IPSec VPKIEBXauZ;户M总时!P3ec读皴是仆阳户住日占我打笈加髭置速HE名除次高也正本免寿尸荒访H的内控U
12、lf方式搬作诂0MBE康么,比总动较疡/配管耳彳IP酎!三月一日K问般iMMKUE方贰./a10.99.0.192网共同其款式VPNtft略配置共:1的好磐亘E而 每五匹:条PS0C 皿1080192 mo Mei” 的 蛆口心? 3 位4 - SUV 4 土耳 59 123456X4.2.1 实现功能采用第1章一一根本网络配置4.2.2 网络拓扑Trust UntrustEthO_5Eth() 一 610.99.0.5423配置步骤在【网络管理】【网络对象】下,将L2Tp使用接口添加到平安域中# / 28安全域在客户端上添加注册表键值(windows默认的12tp/ipsec是只支持用证书认证的, 对于用pre-share的认证方式或者不使用ipsec的12tp连接,必须修改注册表), 需重启客户端PC,键值如下:#Windows Registry Editor Version 5. 00IHKEY LOCAL MACHINESYSTEMCurrentControlSetServicesRasManParameters Prohi b i 11PSecM =dword:00000001# / 28新建L
