神州数码网络防火墙解决方案
神州数码Juniper防火墙安装手册
Juniper防火墙安装手册神州数码(深圳)有限公司二零零五年十二月Juniper 防火墙安装手册项目编号 Juniper200601 文档名称 Juniper防火墙安装手册编写人完成日期 2006.01.18文档修订记录:日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤目录一、透明模式 (5)1.1 、网络结构图 (5)1.2、配置文件 (5)二、NAT模式 (8)2.1 、网络结构图 (8)2.2、安装步骤 (8)2.2.1 初始化配置 (8)2.2.2 管理功能设置 (11)2.2.3 安全区 (12)2.2.4 端口设置 (13)2.2.5 设置路由 (14)2.2.6 NAT设置 (16)2.2.7 端口服务 (19)2.2.8 定义策略 (21)三、路由模式 (24)3.1 、网络结构图 (24)3.2、安装步骤 (24)3.2.1 初始化配置 (24)3.2.2 管理功能设置 (27)3.2.3 安全区 (28)3.2.4 端口设置 (29)3.2.5 Route 模式设置 (30)3.2.6 设置路由 (31)3.2.7 定义策略 (32)四、动态路由 (35)五、VPN (35)5.1 C LIENT TO SITE (35)5.2 建立L2TP (44)5.2.1网络结构图 (44)5.2.2配置防火墙 (45)5.5.3 测试 (54)六、HA (56)6.1、网络拓扑结构图 (56)6.2、设置步骤 (56)6.3、命令行配置方式 (57)6.4、图形界面下的配置步骤 (61)七、故障排除 (65)7.1 常用TROUBLESHOOTING命令 (65)7.1.1 get system (65)7.1.2 get route (65)7.1.3 get arp (66)7.1.4 get sess (66)7.1.5 debug (67)7.1.6 set ffilter (68)7.1.7 snoop (69)7.2 T ROUBLESHOOTING ROUTE (70)7.2.1 Example 1- no route (70)7.2.2 Example 2- no policy (70)7.3 T ROUBLESHOOTING NAT (71)7.3.1 Interface NAT-src (71)7.3.2 policy NAT-src (71)7.3.3 policy NAT-dst (72)7.3.4 VIP (74)7.3.5 MIP (74)7.4 T ROUBLESHOOTING VPN (75)7.4.1 常用调试命令 (75)7.4.2 常见错误(以下日志是从VPN接收端收集) (76)一、透明模式1.1 、网络结构图接口为透明模式时,NetScreen设备过滤通过防火墙的数据包,而不会修改IP数据包包头中的任何源或目的地信息。
(参考资料)神州数码防火墙命令
Configure static MAC address entry Configure the description of MAC address
解释
Enter configuration mode Import image/license/configuration to system
Export image/license/log/configuration/database/pktdumpfrom
system Reset functions or clear the screen
Configure ECMP route selection type Expand source NAT's port resource
Configure Flex QoS for IP queue Configure Flex QoS ramp-up rate
Configure flow Configure the work status of the flow on core0
Configure block notification Configure class map Configure clock time
Configure serial console functions
contentfilter contentfilter-profile
cwmp ddns dhcp-server dot1x ecmp-route-select expanded-port-pool flex-qos flex-qos-up-rate flow flow-on-core0 fragment ftp gratuitous-arp-send gtp-profile ha host-blacklist hostname http https im-profile interface
神州数码大型企业网络防火墙解决方案
神州数码大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。
另一方面,神州数码DCFW-1800系列防火墙还内置了VPN 功能,可以实现利用Internet构建企业的虚拟专用网络。
返回页首防火墙VPN解决方案作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。
神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性:- 标准的IPSEC,IKE与PPTP协议- 支持Gateway-to-Gateway网关至网关模式虚拟专网- 支持VPN的星形(star)连接方式- VPN隧道的NAT穿越- 支持IP与非IP协议通过VPN- 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。
- 支持密钥生存周期可定制- 支持完美前项保密- 支持多种加密与认证算法:- 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP- 认证算法:SHA, MD5, Rmd160- 支持Client-to-Gateway移动用户模式虚拟专网- 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。
返回页首防火墙双机热备方案为了保证网络的高可用性与高可靠性,神州数码DCFW-1800E防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。
防火墙多出口配置
防火墙多出口配置实例目前国内的骨干网南有电信北有网通,除此之外还有移动、教育网等。
考虑到不同运营商之间的通信都需要到骨干网进行数据交换,因此跨运营商访问时比较慢。
由此很多大型网络设置双出口、甚至多出口来规避这个问题。
本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。
文档中涉及到目的路由、ISP路由、源路由和策略路由,涉及到等价路由的负载均衡,路由转发权值、线路监控,还有多线路服务器映射后的逆向路由问题。
一、网络拓扑及描述用户环境描述:用户出口设备使用神州数码DCFW-1800E-10G防火墙,内网主要分成宿舍子网区、教学子网区、服务应用区及服务器区。
外线总共有八条,四条电信线路都是100M带宽,一条网通线路100M,一条教育网线路100M,两条移动线路都是1G。
二、用户需求描述a)禁止banip_class地址列表中地址访问外网;b)cernet_host地址列表外的地址禁止访问discardsite列表中的外网地址(只有前者才能访问后者);c)cernet_host地址列表中的地址只通过教育网链路对外进行访问,同时对外访问时不做地址转换;d)目标地址在zdserver列表中,使用电信3链路进行访问(银行或其他部分对访问地址比较严格的站点);e)目标地址是教育网地址段的,通过教育网链路进行访问;f)目标地址是移动cmhost列表铁通crc列表的通过移动链路进行访问;g)目的地址是电信段的走电信线路,其中电信1和其他三条按8:10比例;h)目的地址是网通和unicom地址段的通过网通线路访问外网;i)源地址在hcsp列表中的使用电信3链路进行访问(测试或内网特殊用户);j)P2P流量走移动线路;k)考虑到八条外线带宽不同转发流量时要按照实际带宽的比例转发,另外很多服务器都是通过电信1映射,因此电信1和其他电信线路流量转发按照8:10的比例。
l)一旦某条链路出现故障后,该链路不再转发流量。
神州数码DCFW-1800 防火墙快速配置
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
神州数码防火墙讲解PPT-2-搭建配置环境
……
Copyright (c) 2001-2010 by DigitalChina Networks Limited. Product name: DCFW-1800S-L-V3 S/N: 0802049090018950 Assembly number: B056 Boot file is DCFOS-4.0R4.bin from flash Built by buildmaster2 2010/06/08 10:58:01
搭建配置环境
章节目标
• 通过完成此章节课程,您将可以:
● ●
●
了解系统构架的功能 根据需要选择配置环境 搭建配置环境
议程:搭建配置环境
系统构件
• 搭建配置环境
系统构件
外部存储
FTP/TFTP USB
DCFW Networks Device
Interface
RAM
Tables Buffers Running Config Serial cable
允许管理的接口 ethernet 0/0 http://192.168.1.1 用户名和密码为admin
配置接口(WebUI)
• 网络>接口 点击需配置接口右侧编辑按钮
编辑接口
• 网络>接口>基本配置
选择安全域类型 绑定到何安全域
↖
接口IP地址
开放管理服务 开放管理服务
配置默认路由(WebUI)
CLI:
Console connection (安全) Telnet (TCP/IP port 23) SSH(密文传输 TCP22)
WebUI:
HTTP port 80 (缺省tcp80,可以修改) HTTPS port443 (可以修改)
01 - DCN多核防火墙初始配置
神州数码网络
11
The End
神州数码网络
需要使用admin账户创建新的管理员账户,并可对其修改、删除。 使用admin添加的新管理员账户可赋予不同的权限(读、写) 使用admin添加的新管理员账户可赋予不同的管理方式(Console、Telnet、SSH、
HTTP、HTTPS) 神州数码网络 9
恢复出厂设置
CLI
命令: unset all
WebUI
系统> 维护> 配置 >管理>重置
硬件
开机加电前按住前面板“CLR”,然后加电;加电15秒后松开。
神州数码网络
10
常用查看命令
Show config Show version Show interface Show zone Show ip route Show admin user/host/auth-server Show arp
这表示192.168.1.0/24网段 的设备都具备对防火墙的 https管理权限
方式对防火墙进行管理) (完成以上配置就可通过WEBUI方式对防火墙进行管理) 完成以上配置就可通过 方式对防火墙进行管理 神州数码网络 8
具有安全意义的步骤
修改缺省管理员admin口令
2008-06-26 14:56:14, Event ERR@NET: Failed to execute configuration command interface ethernet0/1 :ip address 192.168.10.1 255.255.255.0 error:the interface doesn't bind to any zone, please bind to a zone before config ip address
神州数码防火墙系统FAQ V4.1
神州数码DCFW-1800S/E防火墙系统FAQ DCFW-1800 S/E文档发布版本号 V4.1神州数码网络有限公司Digital China Networks LTDAll Rights Reserved.神州数码DCFW-1800S/E防火墙系统FAQ版权声明本文档中的内容是神州数码DCFW-1800 S(C)/S/E-VII/G防火墙系统FAQ文档。
本文档的相关权力归神州数码网络有限公司所有。
文档中的任何部分未经本公司许可,不得转印、影印或复印。
由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。
本声明仅为文档信息的使用而发表,非为广告或产品背书目的。
支持信息本资料将定期更新,如欲获取最新相关信息,请查阅公司网站: 或 或直接致电神州数码客服中心服务热线8008109119您的意见和建议请发送至:Zhanghfc@神州数码DCFW-1800S/E防火墙系统FAQQ: 忘记了管理员密码怎么办?A: 将防火墙重新启动,并在控制终端上观察启动过程,在启动出现若干个“!”时,按键盘“p”,将自动清除当前管理员密码,并恢复为出厂密码设置“admin”。
重新启动后共出现两次“!”,都可以按“P”恢复密码,但是第一次出现时按“P”有提示,“Set Password!”,第二次出现时没有提示。
Q: 如果防火墙不通,可能是哪几个方面的原因?A:首先看是否按照说明书的配置方法进行配置(参见《神州数码防火墙系统基本功能用户指南》第2章快速入门)。
特别注意的是:是否配置了缺省网关外网口的IP地址是否有冲突在NAT规则配置时,映射的外网地址是否有冲突如果防火墙处于HA的备机状态,且无处于主机状态的防火墙,也会导致服务不通Q: 如果防火墙内部主机不能访问外网的站点,可能是什么原因?A:在包过滤策略的配置中,检查是否配置了允许该内部主机由内到外的访问策略;是否配置了允许由内到外的DNS服务通过,并且在系统中正确地配置了DNS服务器;该内部主机是否在策略配置的阻止主机列表中。