DPtech FW1000系列防火墙系统开局指导解析.docVIP

DPtech FW1000开局指导 杭州迪普科技有限公司 2011年10月目 录 DPtech FW1000开局指导 1 第1章 产品概述 3 1.1 互联网现状概述 3 1.2 迪普解决方案概述 3 第2章 实施方案 4 2.1 组网结构设计 4 2.1.1 路由模式 4 2.1.2 透明模式 4 2.1.3 混合模式 5 第3章 实施步骤 6 3.1 前期准备 6 3.1.1 检查安装条件 6 3.1.2 检查环境条件 6 3.1.3 检查机房供电条件 6 3.1.4 检查地线条件 7 3.1.5 检查机柜 7 3.1.6 检查配套设备 7 3.2 开箱验货 8 3.2.1 开箱要求 8 3.2.2 开箱方法 8 3.3 设计实施 9 3.3.1 登录WEB管理界 9 3.3.2 基本配置 10 3.3.3 网络管理 12 3.3.4 防火墙 18 3.3.5 业务配置 20 3.3.6 VPN开局配置 27 3.3.7 审计分析 30 3.3.8 应用层过滤 34 3.3.9 高可靠性 36 产品概述 互联网现状概述 目前，Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统防火墙上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足， 造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心，此问题显得尤为严峻。为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代防火墙—DPtech FW1000 N系列应用防火墙ptech UTM2000N系列产品，能够对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用防火墙FW1000-GE-N为例，在开启防火墙、 IPSec/SSL VPN、NAT、URL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。 当位于内部网络和外部网络之间时，需要为与内部网络和外部网络相连的接口分别配置不同网段的IP地址，重新规划原有的网络拓扑，此时如果采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时对于用户和路由器来说是完全透明的。说，用户完全感觉不到存在。采用透明模式时，只需在网络中像放置网桥一样即可，无需修改任何已有的配置。如果既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则工作在混合模式下。混合模式透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol）功能的接口需要配置IP地址，其他接口不需要配置IP地址。 实施步骤 前期准备 在调试之前请先检查硬件的安装条件，是否满足，保证满足条件后再进行安装。 检查安装条件 检查安装条件是工程督导和用户共同的责任。请根据检查步骤规范地检查安装条件操作步骤 1：工程督导到达工程现场后，按照《工程安装客户准备指导书》和《通信设备防雷和接地检查规范》进行施工条件检查。 工程督导根据实际情况填写《安装环境检查表》。 确认各项条件具备后，工程督导与客户共同签订《开工协议书》，并制定《工程安装规划》，准备工程施工。 检查环境条件 在进行工程安装前，请确保环境已经满足安装的条件。 环境条件检查项目如所示。 环境条件检查项目 说明 照明 要求达到设备维护的要求，日常照明、备用照明、事故照明三套照明系统齐备。 空调通风 要求足以保证机房维持良好的温湿度条件。 静电防护 要求采取有效的防静电措施。 消防 要求配备足够的消防设备。 抗震 要求设计达到规定的抗震等级。 防雷 要求有安全的防雷措施。 防电磁干扰 要求采取有效的防电磁干扰措施。 检查机房供电条件 在进行工程安装前，请确保机房供电设施已经满足安装的条件。 机房供电条件检查项目如所示。 机房供电条件检查项目 说明 交流电供电设施 要求供电设施齐全，功率满足要求，除了市电引入线外，一般应有柴油机备用电源。 交流安全地 要求交流配电系统有独立的交流安全地。 蓄电池 要求有足够容量的蓄电池，可以在供电事故发生时保持通信设备的继续运行。 检查地线条件 在进行工安装前，请确保通信设备和安装环境的良好接地。良好的接地是通信设备防止雷击、抵抗干扰的首要保证条件。 请参见求，认真检查安装现场的接地条件，并根据实际情况做好接地工作。请使用地阻测