-.z.DPtechFW1000操作手冊迪普科技2011年10月.z.目錄DPtechFW1000操作手冊1第1章組網模式11.1組網模式1-透明模式11.2組網模式2-路由模式21.3組網模式3-混合模式3第2章根本網絡配置42.1實現功能42.2網絡拓撲42.3配置步驟4第3章深度檢測功能配置73.1實現功能73.2網絡拓撲73.3配置步驟7第4章VPN94.1IPSecVPN9客戶端接入模式9網關—網關模式104.2L2TPVPN12實現功能12網絡拓撲12配置步驟124.3GREVPN16實現功能16網絡拓撲16配置步驟164.4SSLVPN17實現功能17網絡拓撲18配置步驟18第5章VRRP雙機熱備205.1實現功能205.2網絡拓撲205.3配置步驟20第6章日志輸出UMC246.1業務日志輸出246.2會話日志輸出246.3流量分析輸出25-.z.組網模式組網模式1-透明模式組網應用場景需要二層交換機功能做二層轉發在既有的網絡中，不改變網絡拓撲，而且需要平安業務防火墻的不同網口所接的局域網都位于同一網段特點對用戶是透明的，即用戶意識不到防火墻的存在部署簡單，不改變現有的網絡拓撲，無需更改其他網絡設備的配置支持各類平安特性：攻擊防護、包過濾、應用識別及應用訪問控制等配置要點接口添加到相應的域接口為二層接口，根據需要，配置接口類型為ACCESS或TRUNK接口配置VLAN屬性必須配置一個vlan-if***的管理地址，用于設備管理組網模式2-路由模式組網應用場景需要路由功能做三層轉發需要共享Internet接入需要對外提供給用效勞需要使用虛擬專用網特點提供豐富的路由功能，靜態路由、RIP、OSPF等提供源NAT支持共享Internet接入提供目的NAT支持對外提供各種效勞支持各類平安特性：攻擊防護、包過濾、應用識別及應用訪問控制等需要使用WEB認證功能配置要點接口添加到相應的域接口工作于三層接口，并配置接口類型配置地址分配形式靜態IP、DHCP、PPPoE組網模式3-混合模式組網應用場景需結合透明模式及路由模式特點在VLAN做二層轉發在VLAN間做三層轉發支持各類平安特性：攻擊防護、包過濾、應用識別及應用訪問控制等配置要點接口添加到相應的域接口為二層接口，根據需要，配置接口類型為ACCESS或TRUNK接口配置VLAN屬性添加三層接口，用于三層轉發配置一個vlan-if***的地址，用于三層轉發根本網絡配置實現功能網〔/24〕可訪問外網〔/24〕網地址為DHCP獲得網對外提供HTTP效勞〔安裝web效勞器〕網絡拓撲配置步驟【網絡管理】->【接口管理】下，配置接口參數在【網絡管理】->【網絡對象】下，將接口添加到平安域在【網絡管理】->【單播IPv4路由】下，添加出口路由在【網絡管理】->【DHCP配置】下，啟動DHCPServer在【防火墻】->【NAT】下，添加源NAT在【防火墻】->【NAT】下，添加目的NAT在【防火墻】->【包過濾策略】下，添加Untrust到Trust包過濾策略深度檢測功能配置實現功能采用第1章——根本網絡配置網〔Trust〕到外網〔Untrust〕方向匹配DPI策略〔包括應用限速、每IP限速、訪問控制、URL過濾、行為審計等〕備注：本次功能配置以應用限速為例網絡拓撲配置步驟在【訪問控制】->【網絡應用帶寬限速】下，配置限速策略在【防火墻】->【包過濾策略】下，添加包過濾策略，并引用應用限速策略局部DPI功能配置舉例VPNIPSecVPN客戶端接入模式實現功能采用第1章——根本網絡配置外網〔〕可通過IPSecVPN客戶端方式連接到網，共享網資源網絡拓撲配置步驟在【VPN】->【IPSec】下，啟動IPSec，配置客戶端接入模式在客戶端安裝IPSecVPN客戶端程序網關—網關模式實現功能兩端配置采用第1章——根本網絡配置〔相關IP不同〕PC〔〕可通過IPSecVPN訪問PC〔〕，并可共享兩端資源網絡拓撲配置步驟在【VPN】->【IPSec】下，進展網關—網關模式配置L2TPVPN實現功能采用第1章——根本網絡配置外網〔〕可通過L2TPVPN連接到網，共享網資源網絡拓撲配置步驟在【網絡管理】->【網絡對象】下，將L2TP使用接口添加到平安域中在【VPN】->【L2TP】下，啟動L2TP，配置LNS和用戶信息在客戶端上添加注冊表鍵值〔windows默認的l2tp/ipsec是只支持用證書認證的，對于用pre-share的認證方式或者不使用ipsec的l2tp連接，必須修改注冊表〕，需重啟客戶端PC，鍵值如下：*WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]"ProhibitIPSec"=dword:00000001*新建L2TP客戶端，在【網上鄰居】中創立新連接需要修改的參數如下GREVPN實現功能兩端配置采用第1章——根本網絡配置〔相關IP不同〕PC〔〕可通過GREVPN訪問PC〔〕，并可共享兩端資源網絡拓撲配置步驟在【網絡管理】->【單播IPv4路由】下，添加靜態路由在【VPN】->【GRE】下，創立GREVPN策略SSLVPN實現功能采用第1章——根本網絡配置外網〔〕可通過SSLVPN連接到網，共享分配相應權限的網資源網絡拓撲配置步驟在【VPN】->【SSLVPN】下，啟動SSLVPN，并導入相應證書〔新版本自帶證書，老版本需搭建效勞器獲得〕在【VPN】->【SSLVPN】下，配置資源〔IP資源、web資源等〕在【VPN】->【SSLVPN】下，添加用戶VRRP雙機熱備實現功能網PC〔〕可訪問Internet資源當FW1〔92，主〕與FW2〔93，備〕為主備模式下，斷開FW1與SW1的連接，流量自動切換至FW2，PC應用無影響重新連接FW1與SW1的連接，流量自動切換回FW1，PC應用無影響網絡拓撲配置步驟在【網絡管理】->【接口管理】下，配置接口參數〔eth_4為雙機熱備心跳線，eth_5連接網，eth_6連接外網〕在【網絡管理】->【網絡對象】下，將接口添加到平安域中在【網絡管理】->【單播IPv4路由】下，添加出口默認路由在【防火墻】->【NAT】下，配置源NAT策略在【高可靠性】->【VRRP】下，配置VRRP備份組〔網PC網關指向備份組虛擬IP〕在【高可靠性】->【雙機熱備】下，進展雙機熱備配置〔心跳線〕，此功能將同步配置、會話等參數在【高可靠性】->【接口狀態同步組】下，進展端口同步組配置〔可選〕；此功能作用為，如下行接口〔eth0_5〕down掉，則一樣接口同步組下的其他接口，也將down掉，如需重新up，則需重新翻開接口的