DPtechDPtech FW1000FW1000 操作手册操作手册 杭州迪普科技有限公司杭州迪普科技有限公司 2011 年年 10 月月 目目 录录 DPtechDPtech FW1000FW1000 操作手册操作手册1 第第 1 章章 组网模式组网模式.1 1.1 组网模式 1-透明模式.1 1.2 组网模式 2-路由模式.2 1.3 组网模式 3-混合模式.3 第第 2 章章 基本网络配置基本网络配置4 2.1 实现功能.4 2.2 网络拓扑.4 2.3 配置步骤.4 第第 3 章章 深度检测功能配置深度检测功能配置7 3.1 实现功能.7 3.2 网络拓扑.7 3.3 配置步骤.7 第第 4 章章 VPN .9 4.1 IPSEC VPN9 4.1.1 客户端接入模式.9 4.1.2 网关网关模式.10 4.2 L2TP VPN12 4.2.1 实现功能.12 4.2.2 网络拓扑.12 4.2.3 配置步骤.12 4.3 GRE VPN.16 4.3.1 实现功能.16 4.3.2 网络拓扑.16 4.3.3 配置步骤.16 4.4 SSL VPN 17 4.4.1 实现功能.17 4.4.2 网络拓扑.18 4.4.3 配置步骤.18 第第 5 章章 VRRP 双机热备双机热备20 5.1 实现功能.20 5.2 网络拓扑.20 5.3 配置步骤.20 第第 6 章章 日志输出日志输出 UMC.24 6.1 业务日志输出.24 6.2 会话日志输出.24 6.3 流量分析输出.25 第第 1 章章 组网模式组网模式 1.1 组网模式 1-透明模式 组网应用场景 需要二层交换机功能做二层转发 在既有的网络中，不改变网络拓扑，而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段 特点 对用户是透明的，即用户意识不到防火墙的存在 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为 ACCESS 或 TRUNK 接口配置 VLAN 属性 必须配置一个 vlan-ifxxx 的管理地址 ，用于设备管理 1.2 组网模式 2-路由模式 组网应用场景 需要路由功能做三层转发 需要共享 Internet 接入 需要对外提供应用服务 需要使用虚拟专用网 特点 提供丰富的路由功能，静态路由、RIP、OSPF 等 提供源 NAT 支持共享 Internet 接入 提供目的 NAT 支持对外提供各种服务 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 需要使用 WEB 认证功能 配置要点 接口添加到相应的域 接口工作于三层接口，并配置接口类型 配置地址分配形式静态 IP、DHCP、PPPoE 1.3 组网模式 3-混合模式 组网应用场景 需结合透明模式及路由模式 特点 在 VLAN 内做二层转发 在 VLAN 间做三层转发 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为 ACCESS 或 TRUNK 接口配置 VLAN 属性 添加三层接口，用于三层转发 配置一个 vlan-ifxxx 的地址 ，用于三层转发 第第 2 章章 基本网络配置基本网络配置 2.1 实现功能 内网（3.3.3.2/24）可访问外网（10.99.0.1/24） 内网地址为 DHCP 获得 内网对外提供 HTTP 服务（安装 web 服务器） 2.2 网络拓扑 2.3 配置步骤 【网络管理】-【接口管理】下，配置接口参数 在【网络管理】-【网络对象】下，将接口添加到安全域 在【网络管理】-【单播 IPv4 路由】下，添加出口路由 在【网络管理】-【DHCP 配置】下，启动 DHCP Server 在【防火墙】-【NAT】下，添加源 NAT 在【防火墙】-【NAT】下，添加目的 NAT 在【防火墙】-【包过滤策略】下，添加 Untrust 到 Trust 包过滤策略 第第 3 章章 深度检测功能配置深度检测功能配置 3.1 实现功能 采用第 1 章基本网络配置 内网（Trust）到外网（Untrust）方向匹配 DPI 策略（包括应用限速、每 IP 限速、 访问控制、URL 过滤、行为审计等） 备注：本次功能配置以应用限速为例 3.2 网络拓扑 3.3 配置步骤 在【访问控制】-【网络应用带宽限速】下，配置限速策略 在【防火墙】-【包过滤策略】下，添加包过滤策略，并引用应用限速策略 部分 DPI 功能配置举例 第第 4 章章 VPN 4.1 IPSec VPN 4.1.1 客户端接入模式 4.1.1.1 实现功能 采用第 1 章基本网络配置 外网（10.99.0.4）可通过 IPSec VPN 客户端方式连接到内网，共享内网资源 4.1.1.2 网络拓扑 4.1.1.3 配置步骤 在【VPN】-【IPSec】下，启动 IPSec，配置客户端接入模式 在客户端安装 IPSec VPN 客户端程序 4.1.2 网关网关模式 4.1.2.1 实现功能 两端配置采用第 1 章基本网络配置（相关 IP 不同） PC（3.3.3.2）可通过 IPSec VPN 访问 PC（4.4.4.2），并可共享两端资源 4.1.2.2 网络拓扑 4.1.2.3 配置步骤 在【VPN】-【IPSec】下，进行网关网关模式配置 4.2 L2TP VPN 4.2.1 实现功能 采用第 1 章基本网络配置 外网（10.99.0.4）可通过 L2TP VPN 连接到内网，共享内网资源 4.2.2 网络拓扑 4.2.3 配置步骤 在【网络管理】-【网络对象】下，将 L2TP 使用接口添加到安全域中 在【VPN】-【L2TP】下，启动 L2TP，配置 LNS 和用户信息 在客户端上添加注册表键值（windows 默认的 l2tp/ipsec 是只支持用证书认证的，对 于用 pre-share 的认证方式或者不使用 ipsec 的 l2tp 连接，必须修改注册表），需重 启客户端 PC，键值如下： # Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters “ProhibitIPSec“=dword:00000001 # 新建 L2TP 客户端，在【网上邻居】中创建新连接 需要修改的参数如下 4.3 GRE VPN 4.3.1 实现功能 两端配置采用第 1 章基本网络配置（相关 IP 不同） PC（3.3.3.2）可通过 GRE VPN 访问 PC（4.4.4.2），并可共享两端资源 4.3.2 网络拓扑 4.3.3 配置步骤 在【网络管理】-【单播 IPv4 路由】下，添加静态路由 在【VPN】-【GRE】下，创建 GRE VPN 策略 4.4 SSL VPN 4.4.1 实现功能 采用第 1 章基本网络配置 外网（10.99.0.4）可通过 SSL VPN 连接到内网，共享分配相应权限的内网资源 4.4.2 网络拓扑 4.4.3 配置步骤 在【VPN】-【SSL VPN】下，启动 SSL VPN，并导入相应证书（新版本自带证书， 老版本需搭建服务器获得） 在【VPN】-【SSL VPN】下，配置资源（IP 资源、web 资源等） 在【VPN】-【SSL VPN】下，添加用户 第第 5 章章 VRRP 双机热备双机热备 5.1 实现功能 内网 PC（3.3.3.3）可访问 Internet 资源 当 FW1（10.99.0.192，主）与 FW2（10.99.0.193，备）为主备模式下，断开 FW1 与 SW1 的连接，流量自动切换至 FW2，PC 应用无影响 重新连接 FW1 与 SW1 的连接，流量自动切换回 FW1，PC 应用无影响 5.2 网络拓扑 5.3 配置步骤 在【网络管理】-【接口管理】下，配置接口参数（eth_4 为双机热备心跳线， eth_5 连接内网，eth_6 连接外网） 在【网络管理】-【网络对象】下，将接口添加到安全域中 在【网络管理】-【单播 IPv4 路由】下，添加出口默认路由 在【防火墙】-【NAT】下，配置源 NAT 策略 在【高可靠性】-【VRRP】下，配置 VRRP 备份组（内网 PC 网关指向备份组虚拟 IP） 在【高可靠性】-【双机热备】下，进行双机热备配置（心跳线），此功能将同步 配置、会话等参数 在【高可靠性】-【接口状态同步组】下，进行端口同步组配置（可选）；此功能 作用为，如下行接口（eth0_5）down 掉，则相同接口同步组下的其他接口，也将 down 掉，如需重新 up，则需重新打开接口的管理状态 第第 6 章章 日志输出日志输出 UMC 6.1 业务日志输出 在【日志管理】-【业务日志】下，配置业务日志输出 FW 中，业务日志主要包括行为审计日志 6.2 会话日志输出 在【防火墙】-【会话管理】下，配置会话日志输出 FW 中，会话日志主要包括 NAT 日志 6.3 流量分析输出 在【上网行为管理】-【流量分析】下，配置流量分析输出 FW 中，流量分析主要包括流量分析日志