1、-_DPtech FW1000 操作手册杭州迪普科技有限公司2011 年 10 月-_目 录DPtech FW1000 操作手册 .1第 1 章 组网模式 .11.1 组网模式 1-透明模式 .11.2 组网模式 2-路由模式 .21.3 组网模式 3-混合模式 .3第 2 章 基本网络配置 .42.1 实现功能 .42.2 网络拓扑 .42.3 配置步骤 .4第 3 章 深度检测功能配置 .73.1 实现功能 .73.2 网络拓扑 .73.3 配置步骤 .7第 4 章 VPN .94.1 IPSEC VPN.94.1.1 客户端接入模式 .94.1.2 网关 网关模式 .104.2 L2TP
2、 VPN .124.2.1 实现功能 .124.2.2 网络拓扑 .124.2.3 配置步骤 .124.3 GRE VPN .164.3.1 实现功能 .164.3.2 网络拓扑 .164.3.3 配置步骤 .164.4 SSL VPN .174.4.1 实现功能 .174.4.2 网络拓扑 .184.4.3 配置步骤 .18第 5 章 VRRP 双机热备 .205.1 实现功能 .205.2 网络拓扑 .205.3 配置步骤 .20第 6 章 日志输出 UMC.246.1 业务日志输出 .246.2 会话日志输出 .24-_6.3 流量分析输出 .25-_第 1 章 组网模式1.1 组网模式
3、 1-透明模式组网应用场景 需要二层交换机功能做二层转发 在既有的网络中,不改变网络拓扑,而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段特点 对用户是透明的,即用户意识不到防火墙的存在 部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为 ACCESS 或 TRUNK-_ 接口配置 VLAN 属性 必须配置一个 vlan-ifxxx 的管理地址 ,用于设备管理1.2 组网模式 2-路由模式组网应用场景 需要路由功能做三层转发 需要共享 Inte
4、rnet 接入 需要对外提供应用服务 需要使用虚拟专用网特点 提供丰富的路由功能,静态路由、RIP、OSPF 等 提供源 NAT 支持共享 Internet 接入 提供目的 NAT 支持对外提供各种服务 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 需要使用 WEB 认证功能 配置要点-_ 接口添加到相应的域 接口工作于三层接口,并配置接口类型 配置地址分配形式静态 IP、DHCP、PPPoE 1.3 组网模式 3-混合模式组网应用场景 需结合透明模式及路由模式特点 在 VLAN 内做二层转发 在 VLAN 间做三层转发 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控
5、制等配置要点 接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为 ACCESS 或 TRUNK 接口配置 VLAN 属性 添加三层接口,用于三层转发 配置一个 vlan-ifxxx 的地址 ,用于三层转发-_第 2 章 基本网络配置2.1 实现功能 内网(3.3.3.2/24)可访问外网(10.99.0.1/24) 内网地址为 DHCP 获得 内网对外提供 HTTP 服务(安装 web 服务器)2.2 网络拓扑2.3 配置步骤 【网络管理】-【接口管理】下,配置接口参数-_ 在【网络管理】-【网络对象】下,将接口添加到安全域 在【网络管理】-【单播 IPv4 路由】下,添加出口路由
6、在【网络管理】-【DHCP 配置】下,启动 DHCP Server 在【防火墙】-【NAT】下,添加源 NAT 在【防火墙】-【NAT】下,添加目的 NAT-_ 在【防火墙】-【包过滤策略】下,添加 Untrust 到 Trust 包过滤策略-_第 3 章 深度检测功能配置3.1 实现功能 采用第 1 章基本网络配置 内网(Trust)到外网(Untrust)方向匹配 DPI 策略(包括应用限速、每 IP 限速、访问控制、URL 过滤、行为审计等) 备注:本次功能配置以应用限速为例3.2 网络拓扑3.3 配置步骤 在【访问控制】-【网络应用带宽限速】下,配置限速策略 在【防火墙】-【包过滤策略】下,添加包过滤策略,并引用应用限速策略
