DPtech F1000系列防火墙系统操作手册.docVIP

DPtech FW1000操作手册 杭州迪普科技有限公司 2011年10月 杭州迪普科技有限公司 PAGE 目 录 TOC \o 1-3 \h \z \u DPtech FW1000操作手册 1 第1章 组网模式 1 1.1 组网模式1-透明模式 1 1.2 组网模式2-路由模式 2 1.3 组网模式3-混合模式 3 第2章 基本网络配置 4 2.1 实现功能 4 2.2 网络拓扑 4 2.3 配置步骤 4 第3章 深度检测功能配置 7 3.1 实现功能 7 3.2 网络拓扑 7 3.3 配置步骤 7 第4章 VPN 9 4.1 IPSec VPN 9 4.1.1 客户端接入模式 9 4.1.2 网关—网关模式 10 4.2 L2TP VPN 12 4.2.1 实现功能 12 4.2.2 网络拓扑 12 4.2.3 配置步骤 12 4.3 GRE VPN 16 4.3.1 实现功能 16 4.3.2 网络拓扑 16 4.3.3 配置步骤 16 4.4 SSL VPN 17 4.4.1 实现功能 17 4.4.2 网络拓扑 18 4.4.3 配置步骤 18 第5章 VRRP双机热备 20 5.1 实现功能 20 5.2 网络拓扑 20 5.3 配置步骤 20 第6章 日志输出UMC 24 6.1 业务日志输出 24 6.2 会话日志输出 24 6.3 流量分析输出 25 杭州迪普科技有限公司 第 PAGE 1页 组网模式 组网模式1-透明模式 组网应用场景 需要二层交换机功能做二层转发 在既有的网络中，不改变网络拓扑，而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段 特点 对用户是透明的，即用户意识不到防火墙的存在 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 必须配置一个vlan-ifxxx的管理地址 ，用于设备管理 组网模式2-路由模式 组网应用场景 需要路由功能做三层转发 需要共享Internet接入 需要对外提供应用服务 需要使用虚拟专用网 特点 提供丰富的路由功能，静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入 提供目的NAT支持对外提供各种服务 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 需要使用WEB认证功能 配置要点 接口添加到相应的域 接口工作于三层接口，并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE 组网模式3-混合模式 组网应用场景 需结合透明模式及路由模式 特点 在VLAN内做二层转发 在VLAN间做三层转发 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 添加三层接口，用于三层转发 配置一个vlan-ifxxx的地址 ，用于三层转发 基本网络配置 实现功能 内网（/24）可访问外网（/24） 内网地址为DHCP获得 内网对外提供HTTP服务（安装web服务器） 网络拓扑 配置步骤 【网络管理】-【接口管理】下，配置接口参数 在【网络管理】-【网络对象】下，将接口添加到安全域 在【网络管理】-【单播IPv4路由】下，添加出口路由 在【网络管理】-【DHCP配置】下，启动DHCP Server 在【防火墙】-【NAT】下，添加源NAT 在【防火墙】-【NAT】下，添加目的NAT 在【防火墙】-【包过滤策略】下，添加Untrust到Trust包过滤策略 深度检测功能配置 实现功能 采用第1章——基本网络配置 内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访问控制、URL过滤、行为审计等） 备注：本次功能配置以应用限速为例 网络拓扑 配置步骤 在【访问控制】-【网络应用带宽限速】下，配置限速策略 在【防火墙】-【包过滤策略】下，添加包过滤策略，并引用应用限速策略 部分DPI功能配置举例 VPN IPSec VPN