您的位置:360文档中心› DPtech DPX8000 系列深度业务交换网关用户配置手册(防火墙业务板)V1.0

DPtech DPX8000 系列深度业务交换网关用户配置手册(防火墙业务板)V1.0

DPtech DPX8000系列深度业务交换网关用户配置手册防火墙分册

杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。

杭州迪普科技有限公司

地址:杭州市滨江区通和路68号中财大厦6层

邮编:310051

声明

Copyright 2011

杭州迪普科技有限公司

版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录

防火墙插卡部分 (1)

第1章防火墙 (1)

1.1简介 (1)

1.2包过滤策略 (2)

1.2.1包过滤策略 (2)

1.2.2包过滤策略日志 (5)

1.2.3A LG配置 (6)

1.3IP V6包过滤 (6)

1.4NAT (7)

1.4.1简介 (7)

1.4.2源NAT (7)

1.4.3目的NAT (8)

1.4.4一对一NAT (9)

1.4.5地址池 (10)

1.4.6A LG配置 (11)

1.5NAT_PT (11)

1.6基本攻击防护 (12)

1.6.1基本攻击防护 (12)

1.6.2基本攻击防护日志查询 (13)

1.7会话数限制 (14)

1.7.1会话数限制 (14)

1.8服务限制 (15)

1.9基本DDOS防护 (15)

1.9.1防护目标管理 (15)

1.9.2防护目标配置和趋势图 (16)

1.9.3防护快照和历史 (21)

1.10全局DDOS防护 (22)

1.10.1TCP防护配置 (22)

1.10.2ICMP防护配置 (23)

1.10.3UDP防护配置 (23)

1.10.4防护日志查询 (23)

1.11黑名单 (23)

1.11.1黑名单 (23)

1.12QOS服务质量 (26)

1.12.1VIP带宽保证 (26)

1.12.2流量整形 (26)

1.13防ARP欺骗 (27)

1.13.1防ARP欺骗 (27)

1.13.2ARP设置 (27)

第2章负载均衡 (29)

2.1链路负载均衡 (29)

2.1.1简介 (29)

2.1.2链路接口配置 (29)

2.1.3链路健康检查 (30)

2.1.4运营商网段表 (30)

2.1.5高级调度策略 (30)

第3章 VPN (31)

3.1简介 (31)

3.2IPS EC (31)

3.2.1IPS EC简介 (31)

3.2.2IPS EC VPN (32)

3.2.2.1 IPSec系统配置 (32)

3.2.2.2策略方式IPSec (32)

3.2.2.3路由方式IPSec (33)

3.2.2.4 DPVPN配置 (33)

3.2.2.5安全提议配置 (34)

3.2.2.6 IPSec接口配置 (34)

3.2.3IPS EC连接显示 (35)

3.2.4IPS EC X AUTH配置 (35)

3.3L2TP (35)

3.3.1L2TP (35)

3.3.2L2TP用户认证 (37)

3.3.3L2TP地址池 (37)

3.4GRE (38)

3.4.1GRE简介 (38)

3.5SSL VPN (39)

3.5.1SSL VPN简介 (39)

3.5.3资源管理 (41)

3.5.4用户管理 (45)

3.5.4.1用户配置 (45)

3.5.4.2状态显示 (46)

3.5.5认证策略 (46)

3.5.5.1安全登录选项 (46)

3.5.5.2 Radius选项 (47)

3.5.5.3 LDAP选项 (47)

3.5.6日志管理 (48)

3.5.6.1日志查询 (48)

3.5.6.2日志配置 (48)

第4章 IDS联动 (49)

4.1IDS联动日志 (49)

第5章高可靠性 (50)

5.1备份组 (50)

第6章 IP限速 (51)

6.1IP限速 (51)

图形目录

图1-1 防火墙菜单 (2)

图1-2 包过滤策略 (2)

图1-3 配置动作 (4)

图1-4 包过滤策略日志 (5)

图1-5 Alg配置 (6)

图1-6 IPv6包过滤策略 (7)

图1-7 源NAT配置列表 (7)

图1-8 配置目的NAT (8)

图1-9 配置一对一NAT (9)

图1-10 地址池 (10)

图1-11 Alg配置 (11)

图1-12 IPv6侧地址映射 (12)

图1-13 基本攻击防护 (12)

图1-14 基本攻击防护日志查询 (13)

图1-15 会话数限制 (14)

图1-16 服务限制 (15)

图1-17 防护目标管理 (15)

图1-18 流量和状态监视 (16)

图1-19 SYN FLOOD流量及状态 (16)

图1-20 ICMP FLOOD流量及状态 (17)

图1-21 UDP FLOOD流量及状态 (17)

图1-22 SYN-ACK流量及状态 (18)

图1-23 SYN-FIN流量及状态 (18)

图1-24 IP分片流量及状态 (19)

图1-25 HTTP GET 源IP流量及状态 (19)

图1-26 HTTP GET URI流量及状态 (20)

图1-27 DDOS攻击防护设置 (20)

图1-28 DDOS攻击防护设置手动配置阈值 (21)

图1-29 DDOS攻击防护设置自动学习阈值 (21)

图1-31 TCP防护配置 (23)

图1-32 ICMP防护配置 (23)

图1-33 UDP防护配置 (23)

图1-34 防护日志查询 (23)

图1-35 黑名单配置 (24)

图1-36 黑名单查询 (24)

图1-37 黑名单日志查询 (25)

图1-38 VIP带宽保证 (26)

图1-39 流量整形 (26)

图1-40 防ARP欺骗 (27)

图1-41 ARP配置 (28)

图2-1 链路接口配置 (29)

图2-2 链路健康检查 (30)

图2-3 运营商网段表 (30)

图2-4 高级调度策略 (30)

图3-1 VPN菜单 (31)

图3-2 IPSec系统配置 (32)

图3-3 策略方式IPSec (33)

图3-4 路由方式IPSec (33)

图3-5 DPVPN配置 (33)

图3-6 安全提议配置 (34)

图3-7 IPSec接口配置 (34)

图3-8 IPSec连接显示 (35)

图3-9 IPSecXauth配置 (35)

图3-10 L2TP VPN (36)

图3-11 L2TP 用户认证 (37)

图3-12 L2TP 地址池 (37)

图3-13 GRE (38)

图3-14 SSL VPN 全局配置 (40)

图3-15 资源配置 (42)

图3-16 用户配置 (45)

图3-17 状态显示 (46)

图3-19 安全登录选项 (47)

图3-20 Radius选项 (47)

图3-21 LDAP选项 (48)

图3-22 日志查询 (48)

图3-23 日志配置 (48)

图4-1 IDS 联动日志查看 (49)

图5-1 备份组 (50)

图6-1 IP限速 (51)

DPtech DPX8000系列深度业务交换网关用户配置手册防火墙分册----------------------------------------------------------------------------------------------------------------------------------------------------------------

表格目录

表1-1 配置包过滤 (2)

表1-2 配置动作 (4)

表1-3 包过滤策略日志 (5)

表1-4 Alg配置 (6)

表1-5 源NAT配置列表 (7)

表1-6 目的NAT配置列表 (8)

表1-7 目的NAT配置列表 (9)

表1-8 地址池配置列表 (10)

表1-9 Alg配置 (11)

表1-10 基本攻击防护详细说明 (13)

表1-11 攻击防护日志查询详细说明 (13)

表1-12 会话数限制 (14)

表1-13 防护历史的详细说明 (22)

表1-14 黑名单配置列表 (24)

表1-15 黑名单查询 (24)

表1-16 黑名单日志 (25)

表1-17 VIP带宽保证详细说明 (26)

表1-18 防ARP欺骗详细说明 (27)

表1-19 ARP配置详细说明 (28)

表3-1 IPSec VPN系统配置 (32)

表3-2 DPVPN配置的详细说明 (33)

表3-3 IPSec接口配置详细说明 (34)

表3-4 L2TP系统配置说明 (36)

表3-5 LNS配置说明 (36)

表3-6 L2TP地址池配置 (38)

表3-7 GRE配置详细说明 (38)

表3-8 SSL VPN全局配置说明 (40)

表3-9 用户组信息配置 (45)

表3-10 用户信息配置 (45)

防火墙插卡部分

第1章防火墙

1.1 简介

防火墙可以控制进出网络的信息包,拦截外网攻击,防火墙模块提供的相关功能,包括:?包过滤策略

?IPv6包过滤

?NAT

?NAT_PT

?基本攻击防护

?会话数限制

?服务限制

?基本DDOS防护

?全局DDOS防护

?黑名单

?QoS服务质量

?防ARP欺骗

图1-1防火墙菜单

1.2 包过滤策略

1.2.1 包过滤策略

包过滤,通过检查数据流中每一个数据包的源域、目的域、发起方源IP、发起方目的IP、发起方源MAC、发起方目的MAC、服务,动作等元素或它们的组合来确定是否允许该数据包通过。

访问方式:选择【防火墙】=>【防火墙】=>【包过滤策略】=>【包过滤策略】,如图1-2所示。

图1-2包过滤策略

配置包过滤的详细说明如表1-1所示。

表1-1配置包过滤

项目说明

序号创建规则的序号

源域指定规则的源域

目的域指定规则的目的域

发起方源IP 指定报文的源IP地址范围

发起方目的IP 指定报文的目的IP地址范围

发起方源MAC 指定报文的源MAC地址范围

发起方目的MAC 指定报文的目的MAC地址范围

服务指定报文的协议

高级配置配置源MAC、目的MAC、ip分片和流重标记

长连接勾选是否长连接

生效时间指定规则的生效时间

状态指定当前规则是否有效

动作对规则进行更深一步的限制,并是否允许报文通过

操作点击拷贝图标,可以拷贝当前规则到新规则中。

点击删除图标,可以删除当前规则。

点击插入图标,可以在当前规则前面插入一条新规则。

图1-3配置动作

配置动作详细说明如表1-2所示。

表1-2配置动作

项目说明

直接通过让报文能够通过

丢包让报文不能通过

应用限速选择在业务应用防火墙中配置的网络应用用户组限速每IP限速选择在业务应用防火墙中配置的网络应用每IP限速访问控制选择在业务应用防火墙中配置的网络应用访问控制URL过滤选择在业务应用防火墙中配置的URL过滤

应用层过滤选择在应用层过滤中配置的规则

行为审计选择在流量分析行为审计中配置的规则

流量分析选择是否开启流量分析

添加包过滤的操作流程:

?点击拷贝图标

?在新增的一行中选择源域、目的域

?选择发起方源IP,发起方目的IP

?选择相应的服务,生效时间

?动作选择通过、丢包或各种限速规则

?点击右上方的确认按钮

! 注意:

当所有规则未被匹配时,将执行缺省策略。缺省策略为安全域中高优先级可访问低优先级,低优先级不可以访问高优先级。

1.2.2 包过滤策略日志

包过滤策略日志查询可以在数据库中查询指定的策略日志。

访问方式:选择【防火墙】=>【防火墙】=>【包过滤策略】=>【包过滤策略日志】,如图1-4所示。

图1-4包过滤策略日志

包过滤策略日志的详细说明如表1-3所示。

表1-3包过滤策略日志

项目说明

序号显示规则的序号

时间显示日志发生时间

协议显示协议

源IP 显示源IP

目的IP 显示目的IP

源端口/type 显示源端口/type

目的端口/code 显示目的端口/code

入接口显示入接口

出接口显示出接口

1.2.3 Alg配置

Alg配置是指配置设备的各个协议的应用层网关,来达到各个协议能够正常传输的目的。

访问方式:选择【防火墙】=>【防火墙】=>【包过滤策略】=>【Alg配置】,如图1-5所示。

图1-5Alg配置

Alg配置的详细说明如表1-4所示。

表1-4Alg配置

项目说明

协议名显示协议名

开启状态开启/关闭 Alg

1.3 IPv6包过滤

访问方式:选择【防火墙】=>【防火墙】=>【IPv6包过滤策略】,如图1-6所示。

图1-6IPv6包过滤策略

1.4 NAT

1.4.1 简介

NAT(Network Address Translation,网络地址转换)是将IP数据报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度。

1.4.2 源NAT

访问方式:选择【防火墙】=>【防火墙】=>【NAT】=>【源NAT】,如图1-7所示。

图1-7源NAT配置列表

源NAT配置列表的详细说明,如表1-5所示。

表1-5源NAT配置列表

项目说明

序号显示源NAT策略序号

名称输入名称

出接口选择源NAT策略的相应出接口

发起方源 IP 设置发起方源IP地址

发起方目的IP 设置发起方目的IP地址

服务设置服务类型

公网IP地址(池)设置公网IP地址或地址池

关联VRRP 设置不关联VRRP

操作

点击复制图标或删除图标可以复制或删除该源NAT策略1.4.3 目的NAT

访问方式:【防火墙】=>【防火墙】=>【NAT】=>【目的NAT】,如图1-8所示。

图1-8配置目的NAT

目的NAT配置列表的详细说明,如表1-6所示。

表1-6目的NAT配置列表

项目说明

序号显示源NAT策略序号

名称输入目的NAT配置名称

入接口选择目的NAT策略的相应入接口

公网地址输入公网地址

服务设置目的NAT服务类型

内网IP地址(池)设置内网IP地址

高级配置设置服务器内网端口

槽号选择槽号

关联VRRP 设置不关联VRRP

操作

点击复制图标或删除图标可以复制或删除该源NAT策略配置目的NAT的操作流程:

?点击按键(除第一条外)

?设置目的NAT转换的入接口

?设置目的NAT转换的服务器内网地址

?设置目的NAT转换的服务类型

?设置目的NAT的服务器公网地址

?设置目的NAT的服务器内网端口

?完毕后,点击右上方的确认按钮

1.4.4 一对一NAT

访问方式:选择【防火墙】=>【防火墙】=>【NAT】=>【一对一NAT】,如图1-9所示。

图1-9配置一对一NAT

一对一NAT配置列表的详细说明,如表1-7所示。

表1-7目的NAT配置列表

项目说明

序号显示源NAT策略序号

名称输入一对一NAT配置名称

公网接口选择一对一NAT策略的相应入接口

内网地址设置一对一NAT策略相对应的服务器内网地址

公网地址设置目的NAT策略的服务器公网地址

关联VRRP 设置不关联VRRP

操作

点击复制图标或删除图标可以复制或删除该源NAT策略配置目的NAT的操作流程:

?点击按键(除第一条外)

?设置一对一NAT公网的接口

?设置一对一NAT转换的服务器内网地址

?设置一对一NAT的服务器公网地址

?完毕后,点击右上方的确认按钮

1.4.5 地址池

访问方式:选择【防火墙】=>【防火墙】=>【NAT】=>【地址池】,如图1-10所示。

图1-10地址池

地址池配置列表的详细说明,如表1-8所示。

表1-8地址池配置列表

项目说明

ID号显示源NAT策略序号

名称输入地址池配置名称

起始地址选择目的NAT策略的相应入接口

结束地址设置目的NAT策略相对应的服务器内网地址

防回环路由勾选是否防回环路由

地址池类型配置地址池类型

地址分配配置地址分配

操作

点击复制图标或删除图标可以复制或删除该条地址池配置地址池的操作流程:

?点击按键(除第一条外)

相关主题
相关文档
最新文档