sonicwall防火墻中文_教程

1、2022/7/191SonicWALL 典型配置和問題診斷目的：熟悉典型客戶網(wǎng)絡(luò)環(huán)境下防火墻的配置方法分析LOG及借助工具軟件診斷并解決問題的方法參加培訓(xùn)的要求：掌握SonicWALL標(biāo)準(zhǔn)版和增強(qiáng)版的基本配置熟悉TCP/IP協(xié)議及基本網(wǎng)絡(luò)通信協(xié)議通過此次培訓(xùn)，使參加培訓(xùn)的工程師能夠掌握典型客戶的防護(hù)墻配置，并在發(fā)生問題時及時解決問題。2022/7/192典型配置案例:1、PRO5060 在高校的應(yīng)用，雙WAN和策略路由2、標(biāo)準(zhǔn)版和增強(qiáng)版的透明模式3、靜態(tài)ARP的應(yīng)用，第二個網(wǎng)段4、帶寬管理，TCP Session數(shù)管理故障診斷:點到點VPN 隧道故障建立，一、二階段協(xié)商參數(shù)VPN隧道 TCP

2、超時時間的設(shè)置GVC NAT 穿越, 何時需要分配IP地址防火墻不能升級簽名的診斷步驟ARP 表更新，IP和MAC綁定，上游路由器ARP表不刷新問題Ethereal 軟件的使用，診斷問題。7. ViewPoint配置及綁定到其它的網(wǎng)卡地址時如何更正2022/7/193PRO5060 雙WAN鏈路應(yīng)用和策略路由2022/7/194PRO5060 在高校的典型應(yīng)用，雙WAN鏈路+策略路由如條件允許，還可以配置OSPF路由兩個校園出口互為備份2022/7/195學(xué)校一共有兩個校區(qū)，東校區(qū)通過一臺防火墻經(jīng)電信出口上Internet，南校區(qū)有兩個出口，一個是經(jīng)電信出口接入Internet，另一個出口接入

3、教育網(wǎng)。兩個校區(qū)之間由專線把兩個三層交換機(jī)連通，如果在三層交換和兩臺防火墻上啟動OSPF路由協(xié)議，兩臺防火墻設(shè)備可以互為對方的備份，一臺防火墻宕機(jī)，所有到互聯(lián)網(wǎng)的出口流量可以經(jīng)過專線由另外一個校園網(wǎng)的防火墻訪問Internet。本例主要講解南校區(qū)的網(wǎng)絡(luò)配置。其中PRO 5060 LAN口連接一臺華為的三層交換機(jī)S8505，DMZ連接一組服務(wù)器，為教育網(wǎng)提供服務(wù)。所有到服務(wù)器的流量都走教育網(wǎng)出口。S8505 三層交換機(jī)下連接4個私有IP的網(wǎng)段，7個公有IP網(wǎng)段。 4個私有網(wǎng)段只通過電信出口訪問Internet， NAT到一個公有IP的地址池，7個公有IP網(wǎng)段只通過教育網(wǎng)出口訪問教育網(wǎng)和互聯(lián)網(wǎng)。本

4、例的策略路由相對簡單。 注:有些高校教育網(wǎng)包月不計流量, 有些高校只針對指定的教育網(wǎng)服務(wù)器不計流量,其它到教育網(wǎng)的訪問要按流量收費(fèi),所以策略路由的配置要視客戶具體需求進(jìn)行調(diào)整,是按照源IP地址設(shè)置策略路由還是按目的地址設(shè)置策略路由,在教育網(wǎng)訪問按流量收費(fèi)的時候一定注意設(shè)置正確的默認(rèn)路由,以盡量降低數(shù)據(jù)流量產(chǎn)生的費(fèi)用.2022/7/1962022/7/197靜態(tài)路由策略路由默認(rèn)路由2022/7/198公有IP路由出去私有IP NAT到公有IP地址池2022/7/199PRO5060 可以修改默認(rèn)的WAN口，這將影響默認(rèn)的路由，使沒有明確指定策略路由的訪問均走默認(rèn)路由。 錯誤的默認(rèn)路由設(shè)置可能造成

5、不必要的計費(fèi)損失，因為有些高校只針對特定的教育網(wǎng)服務(wù)器不按流量計費(fèi)，到其它教育網(wǎng)的服務(wù)器按流量計費(fèi)，還有的高校教育網(wǎng)和電信出口一樣包月，不按流量計費(fèi)，針對客戶不同的具體需求，配置相應(yīng)的策略路由并選擇正確的默認(rèn)路由。2022/7/1910透明模式實現(xiàn)方法 二層橋透明和ARP代理透明2.SonicOS 標(biāo)準(zhǔn)版透明3.SonicOS 增強(qiáng)版透明2022/7/1911二層透明設(shè)備工作在二層透明方式，設(shè)備本身不需要任何IP地址配置，防火墻規(guī)則照常工作，檢測數(shù)據(jù)流。如果需要，也可以配置管理IP地址對設(shè)備進(jìn)行管理。ARP代理透明設(shè)備工作在3層，設(shè)備的兩個端口處于同一個網(wǎng)段，但兩個端口占用同一個IP地址，需要

6、管理員指定哪些網(wǎng)絡(luò)范圍的IP地址在設(shè)備的某一個端口，使設(shè)備能正確轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的端口。SonicWALL的UTM設(shè)備透明方式是ARP代理透明，需要在WAN口和LAN口（或DMZ口）占用一個IP地址。2022/7/1912SonicOS 標(biāo)準(zhǔn)版防火墻LAN口和WAN口透明2022/7/19132022/7/19142022/7/19152022/7/1916注：透明模式并不意味著所有的業(yè)務(wù)端口都“透明”，必須設(shè)置必要的防火墻規(guī)則以允許WAN到LAN或WAN到DMZ服務(wù)器的訪問。2022/7/1917SonicOS 標(biāo)準(zhǔn)版防火墻DMZ口和WAN口透明（TZ170 OPT口默認(rèn)相當(dāng)于DMZ口）DM

7、Z口可以工作在透明模式或NAT模式2022/7/19182022/7/19192022/7/19202022/7/1921SonicOS 增強(qiáng)版透明模式配置任意端口和WAN口之間都可以配置成透明模式，需要指定透明范圍以使防火墻能正確轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的端口2022/7/19222022/7/19232022/7/19242022/7/1925SonicOS標(biāo)準(zhǔn)版一個端口支持多個網(wǎng)段的兩種方式LAN Primary IP: 68/24在Network-Settings LAN Interface 配置界面加入第二個網(wǎng)關(guān)/24采用靜態(tài)ARP，在一個端口增加第二個IP2022/7/1926增加第二個網(wǎng)

8、關(guān)，支持第二個網(wǎng)段LAN Primary IP：68/24Second Subnet：/24方法一2022/7/1927配置靜態(tài)ARP和靜態(tài)路由，在一個端口支持第二個網(wǎng)段，視訪問需求可在Firewall-Access Rules里添加允許到第二個網(wǎng)段的訪問規(guī)則Network-ARPNetwork-Routing方法二2022/7/1928SonicOS增強(qiáng)版一個端口支持多個網(wǎng)段采用靜態(tài)ARP，配置過程與標(biāo)準(zhǔn)版采用靜態(tài)ARP支持第二個網(wǎng)段完全相同,不過注意靜態(tài)路由的配置是在策略路由的界面配置的。詳見下頁。注：在一個物理端口如LAN上設(shè)置兩個網(wǎng)段，則兩個網(wǎng)段之間由防火墻路由，訪問規(guī)則不影響兩個網(wǎng)段

9、的通信，但是LAN到DMZ第二個網(wǎng)段的通信可由防火墻規(guī)則控制。2022/7/1929配置靜態(tài)ARP和靜態(tài)路由，在一個端口支持第二個網(wǎng)段，視訪問需求可在Firewall-Access Rules里添加允許到第二個網(wǎng)段的訪問規(guī)則Network-ARPNetwork-Routing2022/7/1930帶寬管理和TCP Session 數(shù)限制2022/7/1931必須在WAN口設(shè)置進(jìn)出的帶寬參數(shù)，否則在防火墻的規(guī)則里不會出現(xiàn)帶寬管理的界面2022/7/19322022/7/19332022/7/19342022/7/1935故障診斷2022/7/1936點到點VPN 隧道故障建立，一、二階段協(xié)商參數(shù)

10、PRO4060 VPN Policy2022/7/1937TZ150W VPN Policy，故意設(shè)置與對端不同2022/7/1938NO_PROPOSAL_CHOSEN 是指參數(shù)不匹配2022/7/1939NO_PROPOSAL_CHOSEN 是指參數(shù)不匹配2022/7/1940PRO4060 Shared Secret2022/7/1941PRO4060 Log PAYLOAD_MALFORMED表示共享密鑰不匹配，網(wǎng)絡(luò)故障導(dǎo)致VPN隧道斷開，如果隧道兩端VPN設(shè)備采用的DPD不是一個標(biāo)準(zhǔn)，重新協(xié)商時也可能出現(xiàn)此錯誤 2022/7/1942TCP 超時時間的設(shè)置，TCP Setting和防

11、火墻規(guī)則設(shè)置此參數(shù)只影響新創(chuàng)建的防火墻規(guī)則，修改此參數(shù)之前創(chuàng)建的規(guī)則的TCP 超時參數(shù)不受此參數(shù)影響。2022/7/1943有些應(yīng)用如Oracle客戶端，ERP系統(tǒng)等通過VPN隧道訪問服務(wù)器，默認(rèn)的TCP超時時間一定要修改，否則這些系統(tǒng)可能會產(chǎn)生問題，如有的ERP系統(tǒng)在有中間設(shè)備斷開TCP連接后，會延遲30分鐘才允許客戶端再次建立連接2022/7/1944有些應(yīng)用如Oracle客戶端，ERP系統(tǒng)等通過VPN隧道訪問服務(wù)器，默認(rèn)的TCP超時時間一定要修改，否則這些系統(tǒng)可能會產(chǎn)生問題，如有的ERP系統(tǒng)在有中間設(shè)備斷開TCP連接后，會延遲30分鐘才允許客戶端再次建立連接2022/7/1945GVC

12、NAT 穿越, 何時需要分配IP地址當(dāng)服務(wù)器的默認(rèn)網(wǎng)關(guān)指向另外一個路由器，通過專線聯(lián)接互聯(lián)網(wǎng)，而不指向SonicWALL防火墻設(shè)備時，一定要分配IP地址給GVC，以免除路由問題。由于各個網(wǎng)絡(luò)設(shè)備廠家的NAT設(shè)備在對IPSec VPN的支持不盡相同，有些支持IPSec Pass Through, 有些不支持。經(jīng)過不支持IPSec Pass Through的NAT設(shè)備建立IPSec VPN隧道，必須采用NAT穿越技術(shù)。SonicWALL GVC自動檢測沿途設(shè)備是否支持IPSec， 如果需要，自動啟動NAT穿越，但是有些設(shè)備的IPSec pass throug不穩(wěn)定，有些支持IPSec的NAT設(shè)備反

13、而不能正確處理NAT穿越數(shù)據(jù)，需要在SonicWALL GVC上禁止NAT穿越參數(shù)。2022/7/1946有些支持IPSec的NAT設(shè)備不能正確處理NAT穿越數(shù)據(jù)，需要在SonicWALL GVC上禁止NAT穿越參數(shù)，常見的問題是客戶端不能從防火墻通過DHCP獲取IP地址，GVC LOG 提示信號燈超時(semaphore Timeout),修改此參數(shù)大部分情況可解決問題。2022/7/1947防火墻不能升級簽名的診斷步驟1. 確認(rèn)LAN PC能通過防火墻WAN口訪問互聯(lián)網(wǎng)2. 確認(rèn)防火墻System-Diagnostics里的DNS解析能解析 3. 防火墻通過HTTPS直接訪問 ，不能經(jīng)過代

14、理服務(wù)器.4. 確認(rèn)沒有防火墻規(guī)則禁止LAN Primary IP訪問Internet.5. 確認(rèn)防護(hù)墻里的系統(tǒng)時間正確。如果系統(tǒng)時間不正確，可導(dǎo)致訪問Licensemanager超時.6. 如果還有問題，可以在WAN口上抓包，以幫助診斷問題。2022/7/1948IP和MAC綁定SonicWALL SonicOS 3.0 以上操作系統(tǒng)支持IP到MAC地址的綁定gon功能。在Network-ARP 界面配置所有設(shè)備支持300個IP地址到MAC地址的綁定。2022/7/1949ARP 表更新，上游路由器ARP表不刷新問題SonicWALL設(shè)備在加電后會廣播ARP信息，包括其WAN口IP，一對一映

15、射的公網(wǎng)IP，IP地址池的IP等等，使上游路由器更新其ARP表，正確轉(zhuǎn)發(fā)數(shù)據(jù)到防火墻WAN口的MAC地址，有些情況下，上游路由器不刷新其ARP表，導(dǎo)致問題，要電話聯(lián)系電信網(wǎng)管強(qiáng)行刷新上游路由器的ARP表，因為SonicWALL已經(jīng)廣播了ARP信息。有些VDSL/ADSL運(yùn)營商會自動綁定第一次上網(wǎng)的設(shè)備的MAC地址，更換ADSL/VDSL設(shè)備是要運(yùn)營商更新ARP表。2022/7/1950Ethereal 軟件的使用，診斷問題。在 Capture 菜單選擇 Start2022/7/1951選擇要抓包的網(wǎng)卡選擇時時更新和自動滾屏2022/7/1952察看各層詳細(xì)信息直至某一個Bit,診斷問題很有幫助2022/7/1953ViewPoint配置及綁定到其它的網(wǎng)卡地址時如何更正安裝ViewPoint軟件時，如果計算機(jī)上有多塊物理網(wǎng)卡