DPtechFW1000系列防火墻系統(tǒng)操作手冊

DPtechFW1000操作手冊

杭州迪普科技

2021年10月

目錄

DPtechFW1000操作手冊1

第1章組網(wǎng)模式1

1.1組網(wǎng)模式1-透明模式1

1.2組網(wǎng)模式2-路由模式1

1.3組網(wǎng)模式3混合模式2

第2章根本網(wǎng)絡配置2

2.1實現(xiàn)功能2

2.2網(wǎng)絡拓撲3

2.3配置步驟3

第3章深度檢測功能配置3

3.1實現(xiàn)功能3

3.2網(wǎng)絡拓撲3

3.3配置步驟3

第4章VPN4

4.1IPSECVPN4

4.1.1客戶端接入模式4

4.1.2網(wǎng)關-網(wǎng)關模式4

4.2L2TPVPN4

4.2.1實現(xiàn)功能4

4.2.2網(wǎng)絡拓撲5

4.2.3配置步驟5

4.3GREVPN5

4.3.1實現(xiàn)功能5

4.3.2網(wǎng)絡柘撲5

4.3.3配置步驟5

4.4SSLVPN6

4.4.1實現(xiàn)功能6

4.4.2網(wǎng)絡拓撲6

4.4.3配滑步驟6

第5章VRRP雙機熱備6

5.1實現(xiàn)功能6

5.2網(wǎng)絡拓撲6

5.3配置步驟6

第6章日志輸出UMC7

6.1業(yè)務日志輸出?7

6.2會話日志輸出7

6.3流量分析輸出7

第1章組網(wǎng)模式

1.1組網(wǎng)模式1-透明模式

組網(wǎng)應用場景

＞需耍二層交換機功能做二層轉發(fā)

＞在既有的網(wǎng)絡中，不改變網(wǎng)絡拓撲，而且需要平安業(yè)務

＞防火墻的不同網(wǎng)口所接的局域網(wǎng)都位于同一網(wǎng)段

特點

＞對用戶是透明的，即用戶意識不到防火墻的存在

＞部署簡單，不改颯有的網(wǎng)絡拓撲，無需更改其他網(wǎng)絡設備的配置

＞支持各類平安特性：攻擊防護、包過濾、應月識別及應用訪問控制等

配置要點

＞接口添加到相應的域

＞接口為二層接口，根據(jù)需要，配置接口類型為ACCESS或TRUNK

＞接口配置YLAN屬性

＞必須配置一個vlan-ifxxx的管理地址，用于設備管理

1.2組網(wǎng)模式2-路由模式

組網(wǎng)應用場景

＞需要路由功能做三層轉發(fā)

＞需要共享Internet接入

＞需要對外提供給用效勞

＞需要使用虛擬專用網(wǎng)

特點

＞提供豐富的路由功能，靜態(tài)路由、RIP、OSPF等

＞提供源NAT支持共享Internet接人

＞提供日的NAT支持對外提供各種效勞

＞支持各類平安特性：攻擊防護、包過濾、應月識別及應用訪問控制等

＞需要使用此B認證功能

配置要點

＞接口添加到相應的域

＞接口工作于三層接口，并配置接口類型

＞配置地址分配形式靜態(tài)IP、DHCP、PPPoE

1.3組網(wǎng)模式3-混合模式

組網(wǎng)應用場景

＞需結合透明模式及路由模式

特點

＞在VLAN內做二層轉發(fā)

＞在VLAN間做三層轉發(fā)

＞支持各類平安特性：攻擊防護、包過濾、應月識別及應用訪問控制等

配置要點

＞接口添加到相應的域

＞接口為二層接口，根據(jù)需要，配用接口類型為ACCESS或TRUNK

＞接口配置VLAN屬性

＞添加三層接口，用于三層轉發(fā)

＞配置一個vlan-ifxxx的地址，用于三層轉發(fā)

第2章根本網(wǎng)絡配置

2.1實現(xiàn)功能

＞內網(wǎng)［3.3.3.2/24］可訪問外網(wǎng)(10.99.0.1/24)

＞內網(wǎng)地址為DHCP獲得

＞內網(wǎng)對外提供HTTP效勞〔安裝web效勞器〕

2.2網(wǎng)絡拓撲

2.3配置步驟

＞【網(wǎng)絡管理】-＞【接口管理】下，配置接口參數(shù)

＞在【網(wǎng)絡管理】【網(wǎng)絡對象】下,將接口添加到平安域

＞在【網(wǎng)絡管理】-＞【單播IPv4路由】下，添加出口路由

＞在【網(wǎng)絡管理】-＞【DHCP配置】下，啟動DHCPServer

＞在【防火墻】-＞[NAT]T,添加源NAT

＞在【防火墻】-＞[NAT]下，添加目的NAT

＞在【防火墻】-＞【包過濾策略】下，添加Untrust到Trust包過濾策略

第3章深度檢測功能配置

3.1實現(xiàn)功能

＞采用第1章一根本網(wǎng)絡配置

＞內網(wǎng)〔Trust〕到外網(wǎng)〔Untrust〕方向匹配DPI策略〔包括應用限速、每1P限速、

訪問控制、URL過濾、行為審計等〕

＞備注：本次功能配置以應用限速為例

3.2網(wǎng)絡拓撲

3.3配置步驟

＞在【訪問控制】-＞【網(wǎng)絡應用帶寬限速】F,配置限速策略

＞在【防火墻】-＞【包過濾策略】下，添加包過濾策略，并引用應用限速策略

＞局部DPI功能配置舉例

第4章VPN

4.1IPSecVPN

4.1.1客戶端接入模式

實現(xiàn)功能

>采用第1章一根本網(wǎng)絡配置

>外網(wǎng)〔）可通過IPSecVPN客戶端方式連接到內網(wǎng)，共享內網(wǎng)資源

網(wǎng)絡拓撲

配置步驟

>在【VPN]->[IPSec]下，啟動IPSec,配置客戶端接入模式

>在客戶端安裝IPSecVPN客戶端程序

4.1.2網(wǎng)關-網(wǎng)關模式

實現(xiàn)功能

>兩端配置采用第1章一根本網(wǎng)絡配置r相關：p不同〕

>PC[3.3.3.2]可通過IPSecVPN訪問PC[4.4.4.2],并可共享兩端資源

網(wǎng)絡拓撲

配置步驟

>在【YPN]->[IPSec]下，進展網(wǎng)關-網(wǎng)關模式配置

4.2L2TPVPN

4.2.1實現(xiàn)功能

>采用第1章一根本網(wǎng)絡配置

>外網(wǎng)〔〕可通過L2TPVPN連接到內網(wǎng)，共享內網(wǎng)資源

4.2.2網(wǎng)絡拓撲

4.2.3配置步驟

>在【網(wǎng)絡管理】->【網(wǎng)絡對象】下，將L2Tp使用接口添加到平安域中

>在【VPN]->[L2TP]下，啟動L2TP,配置LNS和用戶信息

>在客戶端上添加注冊表鍵值〔windows默認的12tp/ipsec是只支持用證書認證的,

對于用pre-share的認證方式或者不使用ipsec的12tp連接，必須修改注冊表〕,

需重啟客戶端PC,鍵值如下：

#

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHTNE￥SYSTEM￥CurrentControlSet￥Services￥RasMan￥Parameters]

〃ProhibitlPSec'=dword：00000001

#

>新建L2Tp客戶端，在【網(wǎng)上鄰居】中創(chuàng)立新連接

>需要修改的參數(shù)如卜

4.3GREVPN

4.3.1實現(xiàn)功能

>兩端配置采用第1章一根本網(wǎng)絡配置〔相關二P不同〕

>PC[3.3.3.2]可通過GREVPN訪問PC〔4.4.4.2〕，并可共享兩端資源

43.2網(wǎng)絡拓撲

4.3.3配置步驟

>在【網(wǎng)絡管理】->【單播IPv4路由】下，添加靜態(tài)路由

>在[VPN]->[GRE]下，創(chuàng)立GREVPN策略

4.4SSLVPN

4.4.1實現(xiàn)功能

>采用第1章一根本網(wǎng)絡配置

>外網(wǎng)〔〕可通過SSLVPN連接到內網(wǎng)，共享分配相應權限的內網(wǎng)資源

4.4.2網(wǎng)絡拓撲

4.4.3配置步驟

>在【YPN]->[SSLVPN]下，啟動SSLVPN,并導入相應證書〔新版本自帶證書，老

版本需搭建效勞器獲得〕

>在【YPN]->[SSLVPN]下，配置資源〔IP資源、web資源等〕

>在【VPN]->[SSLVPN]下，添加用戶

第5章VRRP雙機熱備

5.1實現(xiàn)功能

>內網(wǎng)PC〔3.3.3.3：可訪問Internet資源

>當FW1[10.99.0.192,主〕與FW2[10.99.0.193,備〕為主備模式下，斷開F町與

SW1的連接，流量芻動切換至FW2,PC應用無影響

>重新連接FW1與SW1的連接，流量自動切換回FW1,PC應用無影響

5.2網(wǎng)絡拓撲

5.3配置步驟

>在【網(wǎng)絡管理】->【接口管理】下，配置接口參數(shù)〔eth_4為雙機熱備心跳線，eth_5

連接內網(wǎng)，eth_6連接外網(wǎng)〕

>在【網(wǎng)絡管理】-〉【網(wǎng)絡對象】下，將接口添加到平安城中

＞在【網(wǎng)絡管理】-＞【單播IPv4路由】下，添加出口默認路由

＞在【防火墻】-＞【NAT】下，配置源NAT策略

＞在【高可靠性】-＞[VRRP]下，配置VRRP備吩組〔內網(wǎng)PC網(wǎng)關指向備份組虛擬IP〕

＞在【高可靠性】-＞【雙機熱備】下，進展雙機熱備配置〔心跳線〕，此功能將同步配

置、會話等參數(shù)

＞在【高可靠性】-＞【接口狀態(tài)同步組】下，進展端口同步組配置〔可選〕；此功能作

用為，如下行接口〔eth0_5〕down掉，那么一樣接口同步組F的其他接口，也將down

掉，如需重新up,那么需重新翻開接口的管理狀態(tài)

第6