下载文档原格式
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
![DCFW-1800GES 防火墙快速配置手册--v4[1].0版本](https://img.taocdn.com/s1/m/2865cb1cff00bed5b9f31dc1.png)
DCFW-1800G/E/S系列防火墙快速配置手册-4.0版本神州数码网络集团客服中心技术支持部第1章硬件说明 (4)第2章安装前准备 (4)2.1通过控制台接入防火墙(CLI) (4)2.2SSH远程管理方法 (4)2.3WEB页面管理方法 (5)2.4防火墙密码恢复方法 (6)2.5恢复出厂配置方法 (7)2.6防火墙升级方法 (8)2.7恢复备份版本方法 (9)2.8更改逻辑端口同物理端口对应关系方法 (10)2.9防火墙当前运行配置下载方法 (11)2.10防火墙出厂默认配置 (12)第3章功能配置 (12)3.1防火墙接口IP地址更改方法 (12)3.2防火墙默认网关配置方法 (13)3.3防火墙静态路由添加方法 (14)3.4服务(端口)添加方法 (14)3.5服务分组添加方法 (15)3.6网络对象添加方法 (18)3.7网络分组添加方法 (19)3.8策略添加方法 (22)3.9动态NAT配置方法 (22)3.10静态NAT配置方法 (23)3.11端口映射配置方法 (23)3.12日志记录方法 (24)3.13源地址路由配置方法 (28)第4章典型应用 (32)4.1DCFW-1800G/E/S路由模式的配置步骤 (32)4.2防火墙做PPTP拨号服务器的配置 (42)4.2.1 Windows PPTP客户端配置说明 (44)4.2.2 神州数码 DCFW-1800G/E/S防火墙PPTP配置 (47)4.3如何封堵某些服务端口 (53)4.4如何阻止某台主机访问网络 (55)4.5DCFW-1800G-E-S网桥模式配置步骤 (56)4.6DCFW-1800G/E/S IPSEC VPN配置步骤 (61)关于本手册本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法,并举例进行说明,希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。
如果系统升级,本手册内容进行相应更新,恕不事先通知。
DCFW-1800-S-LAB 防火墙实训手册神州数码网络(北京)有限公司目录DCFW-1800-S-LAB 0防火墙实训手册 0实训一、对象配置管理 (2)总结一 (3)实训二(1)、网络接入管理-路由接入 (4)实训二(2)、网络接入管理-桥接入 (6)实训二(3)、网络接入管理-接口参数 (8)实训二(4)、网络接入管理-地址绑定 (10)总结二 (11)实训三(1)、路由配置管理-基本路由 (11)实训三(2)、路由配置管理-策略路由 (13)总结三 (16)实训四(1)、访问控制管理-访问控制策略 (16)实训四(2)、访问控制管理-P2P控制 (20)实训四(3)、访问控制管理-URL控制 (22)总结四 (24)实训五(1)、地址转换管理-地址伪装 (24)实训五(2)、地址转换管理-源地址转换 (26)实训五(3)、地址转换管理-地址映射 (28)实训五(4)、地址转换管理-端口映射 (29)总结五 (31)实训六、硬件地址管理 (31)总结六 (33)实训七(1)、入侵防御管理-连接控制 (33)实训七(2)、入侵防御管理-DOS (35)总结七 (37)实训八、带宽配置管理 (38)总结八 (40)实训九、移动加密网关 (40)总结九 (44)实训十、综合训练 (44)总结十 (53)实训一、对象配置管理一、实训目的1.理解防火墙对象概念2.掌握对象的配置方法二、应用环境校园网或企业网防火墙策略规则添加时使用。
三、实训设备1.DCFW-1800-S-LAB 1台2.PC 1台四、实训拓扑PC1DCFW-1800-S-LAB图-1DCFW-1800-S-LAB:eth0:192.168.1.254/24eth1:192.168.2.254/24PC1:IP:192.168.2.1/24GW:192.168.2.254五、实训要求1.增加IP地址对象2.增加服务端口对象3.增加时间对象六、实训步骤第一步:在管理PC上用http连接DCFW-1800-S-LAB 如:http://192.168.2.254登录DCFW-1800-S-LAB的用户名:admin登录DCFW-1800-S-LAB的密码:admin 第二步:增加地址对象“对象配置管理”->“地址对象”->增加“对象配置管理”->“端口对象”->增加第五步:增加时间对象“对象配置管理”->“时间对象”->增加点左边菜单栏->“访问控制管理”->访问策略->增加,进入访问控制规则配置页面,点对象下拉钮,查看我们配置的对象,是否都能看到。
DCFW1800E/S防火墙(V4.1)地址转换配置指南DCFW1800E/S防火墙支持双向地址转换,下面的配置案例给出了动态地址转换、静态地址转换及端口映射的配置。
1、拓扑图2、实现需求z允许trust和DMZ 区域的机器访问互联网(案例里放开了any服务,具体放开的服务根据实际需要选择)DMZ区域通过转换为防火墙的外网接口地址(eth0口)访问互联网trust区域通过转换为指定范围的地址[172.16.11.4-172.16.11.10]访问互联网。
z将公网地址172.16.11.3静态映射到DMZ区域的WEB Server上,并将web server 的tcp 80端口对互联网开放。
z将防火墙外网接口(eth0)地址的tcp21、20端口映射到trust zone的ftp server 的tcp21、20端口,并将ftp server的ftp服务对互联网开放3、配置步骤配置接口地址, 在 接口-〉物理接口 下点击各接口后的修改按钮可修改IP地址添加缺省网关。
网络-〉路由-〉缺省路由添加DMZ访问untrust的动态NAT。
NAT->动态NAT->新增(注意 源、目的IP的设置)添加trust访问untrust的动态NAT。
NAT->动态NAT->新增添加对web server的静态NAT(一对一的地址映射)。
NAT->静态NAT->新增注意分清转换前IP和转换后IP转换前IP是web server上实际配置的地址—即私网IP转换后IP是互联网上的用户访问web server时要使用的地址—即公网IP映射端口21映射端口20添加策略,允许trust 访问untrust 服务any。
策略->策略设置->新增添加策略,允许DMZ访问untrust 服务 any。
策略->策略设置->新增添加策略,允许互联网用户访问DMZ区域Web server的tcp80端口。
DCFW-1800E/S-UTM PPTP &L2TP 配置指南网络拓扑网络环境及配置需求:UTM if0接口连接内网交换机,if1接口连接互联网,UTM 对外网用户做pptp 和l2tp 拨号接入要求:z 外网用户通过PPTP 拨号接入UTM ,并可以访问内网的所有服务 z 外网用户通过L2TP 拨号接入UTM ,并可以访问内网的所有服务PPTP 配置步骤:初次配置使用超级终端进入防火墙控制台: 初始配置管理员用户名:admin 密码:adminhawk> enable --- 进入配置模式hawk# configure terminal --- 进入特权模式hawk(config)# set interface eth0 ip 192.168.1.81/24 --- 设置eth0接口的IP 地址hawk(config)# unset interface eth0 manage-ip 192.168.1.80/24 --- 设置eth0接口的管理IP 地址hawk(config)# set interface eth0 up --- 设置eth0接口为活动状态,缺省所有的接口都是down 状态hawk(config)# set interface eth1 up --- 设置eth1接口为活动状态Internetif0192.168.1.0/24DCFW-1800-UTMif0 ip:192.168.1.81/24Manage_ip:192.168.1.80/24if1 ip:202.127.192.66/29PPTP&L2TP 拨号用户hawk(config)# set eth0 manage-service web --- 设置可以使用eth0接口的管理地址对UTM进行管理hawk(config)# set adminhost 192.168.1.85 --- 添加对UTM具有管理权限的主机地址hawk(config)# exit --- 退回到特权模式hawk# save configuration --- 把当前运行配置保存到启动配置配置完以上基本信息后,即可通过Web界面来对UTM进行配置。
神州数码dcfw1800系列安全网关命令手册40r4c一、系统基本命令1. 登录与退出(1)登录网关admindcfw1800> enablePassword:admindcfw1800configure terminal输入管理员密码后,即可进入配置模式。
(2)退出网关admindcfw1800exit退出配置模式后,系统将返回用户模式。
2. 查看系统信息(1)查看系统版本admindcfw1800show version执行此命令,可以查看当前网关的软件版本、硬件版本等信息。
(2)查看系统状态admindcfw1800show system status执行此命令,可以查看网关的运行状态、CPU使用率、内存使用率等信息。
3. 配置系统时间(1)设置系统时间admindcfw1800clock set HH:MM:SS YYYYMMDD将HH:MM:SS替换为具体的小时、分钟和秒,将YYYYMMDD替换为具体的年、月、日。
(2)查看系统时间admindcfw1800show clock执行此命令,可以查看当前网关的系统时间。
二、接口配置命令1. 查看接口状态admindcfw1800show interface执行此命令,可以查看所有接口的状态、速率、双工模式等信息。
2. 配置接口(1)进入接口配置模式admindcfw1800interface <interfacetype> <interfacenumber>将<interfacetype>替换为接口类型(如GigabitEthernet),将<interfacenumber>替换为接口编号(如0/0)。
(2)设置接口描述admindcfw1800description <descriptiontext>将<descriptiontext>替换为接口描述信息。
(3)设置接口速率和双工模式admindcfw1800speed <speed> duplex <duplexmode>将<speed>替换为接口速率(如1000),将<duplexmode>替换为双工模式(如full或half)。
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
如果是需要对于策略中每个选项有更多的配置要求可以点击高级配置进行编辑防火墙配置二:DNAT 配置一、网络拓扑Web ServerA192.168.10.2/24二、需求描述1、 使用外网口IP 为内网FTP Server 及WEB ServerB 做端口映射,并允许外网用户访问该Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。
2、 允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问)。
3、 使用合法IP 218.240.143.220为Web ServerA 做IP 映射,允许内外网用户对该Server的Web 访问。
三、配置步骤要求一:外网口IP 为内网FTP Server 及WEB ServerB 做端口映射并允许外网用户访问该Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。
第一步:配置准备工作1、设置地址簿,在对象/地址簿中设置服务器地址使用“IP 成员”选项定义Trust 区域的server 地址2、 设置服务簿,防火墙出厂自带一些预定义服务,但是如果我们需要的服务在预定义中不包含时,需要在对象/服务簿中手工定义因为此处定义的TCP8000端口将来为HTTP 应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP 业务使用第二步:创建目的NAT配置目的NAT,为trust 区域server 映射FTP(TCP21)和HTTP(TCP80)端口此地址即外网用户要访问的合法IP 。
因为使用防火墙外网口IP 映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。
该对象表示Eth0/1接口IP代表内网服务器的实际地址对象webB Server对外宣布web 务端口为TCP8000第三步:放行安全策略创建安全策略,允许untrust 区域用户访问trust 区域server 的FTP 和web 应用 关于服务项中我们这里放行的是FTP 服务和TCP8000服务要求二:允许内网用户通过域名访问WEB ServerB(即通过合法IP 访问)。
实现这一步所需要做的就是在之前的配置基础上,增加Trust -> Trust 的安全策略要求三:使用合法IP 218.240.143.220为Web ServerA 做IP 映射,允许内外网用户对该Server 的Web 访问。
第一步:配置准备工作1、将服务器的实际地址使用web_serverA 来表示使用“IP 成员”选项定义DMZ 区域的server 地址2、将服务器的公网地址使用IP_218.240.143.220来表示使用“IP成员”选项定义要映射的合法IP第二步:配置目的NAT创建静态NAT条目,在新建处选择IP映射第三步:放行安全策略1、放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器2、放行trust区域到dmz区域的安全策略,使内网机器可以公网地址访问dmz区域内的服务器防火墙配置三:透明模式配置一、网络拓扑网段A:192.168.1.1 - 192.168.1.100网段B:192.168.1.101 - 192.168.1.200二、需求描述1、防火墙eth6接口和eth7接口配置为透明模式2、eth6与eth7同属一个虚拟桥接组,eth6属于l2-trust 安全域,eth7属于l2-untrust 安全域。
3、为虚拟桥接组Vswitch1配置ip 地址以便管理防火墙4、允许网段A ping 网段B 及访问网段B 的WEB 服务三、配置步骤第一步:接口配置将eth6接口加入二层安全域l2-trust" DCFW-1800(config)# interface ethernet0/6 " DCFW-1800(config-if-eth0/6)# zone l2-trust将eth7接口设置成二层安全域l2-untrust物理接口配置为二层安全域时无法配置IP 地址 第二步:配置虚拟交换机(Vswitch )如果没有单独接口做管理的话,可以先使用控制线通过控制口登陆下防火墙在命令下" DCFW-1800(config)# interface vswitchif1 " DCFW-1800(config-if-vsw1)# zone trust" DCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24 " DCFW-1800(config-if-vsw1)# manage ping"DCFW-1800(config-if-vsw1)# manage https当然也可以在防火墙上单独使用一个接口做管理,通过该接口登陆到防火墙在Web下进行配置第三步:添加对象"定义地址对象•定义网段A (192.168.1.1 – 192.168.1.100)•定义网段B (192.168.1.101 – 192.168.1.200)要求允许网段A ping 网段B及访问网段B的WEB服务,在这里我们将ping和http服务建立一个服务组选中左侧的服务对象推送到右侧的成员组中第四步:配置安全策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后,新建策略目的地址选择网段B的地址对象选择网段A访问网段B的服务对象防火墙配置四:混合模式配置一、网络拓扑IP:192.168.1.0/24Web ServerA二、需求描述1、将eth0口设置成路由接口,eth1和eth2口设置成二层接口。
并设置Vswitch接口;2、设置源NAT策略;3、配置安全策略三、配置步骤第一步:设置接口1、设置内网口地址,设置eth0口为内网口地址为192.168.1.1/242、设置外网口,eth6口连接外网,将eth6口设置成二层安全域l2-untrust3、设置服务器接口,将eth7口设置成l2-dmz安全域,连接服务器。
第二步:配置Vswitch接口由于二层安全域接口不能设置地址,需要将地址设置在网桥接口上,该网桥接口即为Vswitch第三步:设置SNAT策略针对内网所有地址我们在防火墙上设置源NAT,内网PC在访问外网时,数据包凡是从Vswitch接口出去的数据包都做地址转换,转换地址为Vswitch接口地址第四步:添加路由要创建一条到外网的缺省路由,如果内网有三层交换机的话还需要创建到内网的回指路由。
第五步:设置地址簿在放行安全策略时,我们需要选择相应的地址和服务进行放行,所有这里首先要创建服务器的地址簿。
在创建地址簿时,如果是创建的服务器属单个ip,使用IP成员方式的话,那掩码一定要写32位第六步:放行策略放行策略时,首先要保证内网能够访问到外网。
应该放行内网口所属安全域到Vswitch 接口所属安全域的安全策略,应该是从trust 到untrust另外还要保证外网能够访问Web_server ,该服务器的网关地址设置为ISP 网关218.240.143.1 那需要放行二层安全之前的安全策略,应该是放行l2-untrust 到l2-dmz 策略防火墙配置五:DHCP 配置一、网络拓扑网络拓扑二、需求描述1、要求内网用户能够自动获取到IP 地址以及DNS ;2、要求内网用户获取到IP 地址后能直接访问外网三、配置步骤第一步:设置DHCP地址池首先在创建DHCP前先要创建一个地址池,目的是PC获取地址时从该网段中来获取IP。
如下图设置好池名称、地址范围、网关、掩码和租约时间后点击确定即可。
另外如果需要内网PC自动获取DNS地址的话,需要在编辑下该地址池,在高级设置中填写DNS地址第二步:设置DHCP服务在网络/DHCP/服务中选择启用DHCP的服务接口。
选择创建的DHCP服务器地址池即可第三步:验证内网PC使用自动获取IP地址的方式来获取IP地址,可以看到PC已经获取到192.168.1.66的ip地址网关为192.168.1.1,DNS地址是218.240.250.101防火墙配置六:DNS代理配置一、网络拓扑网络拓扑二、需求描述将内网用户DNS地址设置成防火墙内网口地址,内网用户可以访问网页,能够解析成功。
三、配置步骤第一步:配置DNS服务器在防火墙/网络/DNS中设置DNS服务器地址第二步:配置DNS代理在网络/DNS/代理中,设置代理服务。
域名选择点击确定后即可,此时DNS代理地址使用的是防火墙本身的DNS地址第三步:启用接口DNS代理编辑内网接口eth0/0点击高级设置,在高级设置中将DNS代理勾选防火墙配置七:DDNS 配置一、网络拓扑二、需求描述1、首先到http:/ 网站申请一个DDNS 账号,然后在该账号下申请一个动态域2、火墙上设置DDNS 账号,并将动态域名绑定在防火墙上。
