DCFW-1800GES 防火墙快速配置手册--v4[1].0版本

神州数码DCFW-1800防火墙快速配置多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT 配置一、网络拓扑Internet网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui 登录防火墙界面输入缺省用户名admin ，密码admin 后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

DCFW-1800 G/E/S 路由模式不作NAT的配置步骤DCFW-1800 G/E/S路由模式不作NAT的配置步骤在有些网络环境中，由于本地有路由器，并且针对内网的地址转换已经在路由器上作了，那么在加入防火墙后，我们就不用在防火墙上作地址转换了，只需要添加防火墙的安全规则就可以了。

在本章节我们来介绍一下DCFW-1800G/E/S防火墙路由模式下不作NA T的配置方法以及步骤。

网络结构：要求：将防火墙内网接口地址更改为192.168.10.1 255.255.255.0将外网接口地址更改为：10.1.157.131 255.255.255.0将DMZ口地址更改为：192.168.20.1 255.255.255.0防火墙的默认网关为：10.1.157.2管理主机地址：192.168.10.2规则要求：要求内网网段192.168.1.0 能够访问互联网，并且能够访问pc2 的web，ftp，ping 服务，要求外网能够访问pc2 上的web，ftp服务。

另外：针对内网的动态地址转换在路由器上做，针对pc2的静态地址转换也在路由器上做。

路由器上已经添加了返回内网和DMZ的静态路由：ip route 192.168.10.0 255.255.255.0 10.1.157.131ip route 192.168.20.0 255.255.255.0 10.1.157.131按照上面的描述，我们只需要更改防火墙的网络地址和在防火墙上添加相应的安全规则！实验步骤：说明：防火墙的网络地址的默认配置：内网口192.168.1.1 , 外网口192.168.0.1 ,DMZ口192.168.3.1系统管理员的名称：admin 密码：admin.一根据需求更改防火墙IP地址，添加管理主机，进入web管理界面1．1进入超级终端，添加管理防火墙的IP地址：( 超级终端的配置)点击确定进入到1800E/S防火墙的超级终端配置界面：1.2 根据网络环境更改防火墙的IP地址的配置说明：if0 为防火墙的外网口；if1 为防火墙的内网口；if2 为防火墙的DMZ口1.3 为了验证我们刚才的配置，可以在超级终端中运行如下的命令：1.4完成上面的配置后，我们就可以在管理主机上（也就是IP地址为192.168.10.2的那台机器上）通过WEB 的方式来管理防火墙了首先将管理主机的pc机的IP地址更改为：192.168.10.2然后打开浏览器，进入到防火墙的web管理界面模式，如下图：在IE的地址栏中输入：https://防火墙地址:1211也就是：https://192.168.10.1:1211进入web管理页面后我们就可以在图形界面下对防火墙进行其他复杂的操作了。

DCFW1800E/S防火墙（V4.1）地址转换配置指南DCFW1800E/S防火墙支持双向地址转换，下面的配置案例给出了动态地址转换、静态地址转换及端口映射的配置。

1、拓扑图2、实现需求z允许trust和DMZ 区域的机器访问互联网（案例里放开了any服务，具体放开的服务根据实际需要选择）DMZ区域通过转换为防火墙的外网接口地址（eth0口）访问互联网trust区域通过转换为指定范围的地址[172.16.11.4-172.16.11.10]访问互联网。

z将公网地址172.16.11.3静态映射到DMZ区域的WEB Server上，并将web server 的tcp 80端口对互联网开放。

z将防火墙外网接口（eth0）地址的tcp21、20端口映射到trust zone的ftp server 的tcp21、20端口，并将ftp server的ftp服务对互联网开放3、配置步骤配置接口地址， 在 接口-〉物理接口 下点击各接口后的修改按钮可修改IP地址添加缺省网关。

网络-〉路由-〉缺省路由添加DMZ访问untrust的动态NAT。

NAT->动态NAT->新增（注意 源、目的IP的设置）添加trust访问untrust的动态NAT。

NAT->动态NAT->新增添加对web server的静态NAT（一对一的地址映射）。

NAT->静态NAT->新增注意分清转换前IP和转换后IP转换前IP是web server上实际配置的地址—即私网IP转换后IP是互联网上的用户访问web server时要使用的地址—即公网IP映射端口21映射端口20添加策略，允许trust 访问untrust 服务any。

策略->策略设置->新增添加策略，允许DMZ访问untrust 服务 any。

策略->策略设置->新增添加策略，允许互联网用户访问DMZ区域Web server的tcp80端口。

神州数码DCFW-1800S/E防火墙系统FAQ DCFW-1800 S/E文档发布版本号 V4.1神州数码网络有限公司Digital China Networks LTDAll Rights Reserved.神州数码DCFW-1800S/E防火墙系统FAQ版权声明本文档中的内容是神州数码DCFW-1800 S(C)/S/E-VII/G防火墙系统FAQ文档。

本文档的相关权力归神州数码网络有限公司所有。

文档中的任何部分未经本公司许可，不得转印、影印或复印。

由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。

本声明仅为文档信息的使用而发表，非为广告或产品背书目的。

支持信息本资料将定期更新，如欲获取最新相关信息，请查阅公司网站： 或 或直接致电神州数码客服中心服务热线8008109119您的意见和建议请发送至：Zhanghfc@神州数码DCFW-1800S/E防火墙系统FAQQ: 忘记了管理员密码怎么办？A: 将防火墙重新启动，并在控制终端上观察启动过程，在启动出现若干个“！”时，按键盘“p”，将自动清除当前管理员密码，并恢复为出厂密码设置“admin”。

重新启动后共出现两次“！”，都可以按“P”恢复密码，但是第一次出现时按“P”有提示，“Set Password！”，第二次出现时没有提示。

Q: 如果防火墙不通，可能是哪几个方面的原因？A：首先看是否按照说明书的配置方法进行配置(参见《神州数码防火墙系统基本功能用户指南》第2章快速入门)。

特别注意的是：是否配置了缺省网关外网口的IP地址是否有冲突在NAT规则配置时，映射的外网地址是否有冲突如果防火墙处于HA的备机状态，且无处于主机状态的防火墙，也会导致服务不通Q: 如果防火墙内部主机不能访问外网的站点，可能是什么原因？A：在包过滤策略的配置中，检查是否配置了允许该内部主机由内到外的访问策略；是否配置了允许由内到外的DNS服务通过，并且在系统中正确地配置了DNS服务器；该内部主机是否在策略配置的阻止主机列表中。

神州数码dcfw1800系列安全网关命令手册40r4c一、系统基本命令1. 登录与退出（1）登录网关admindcfw1800> enablePassword:admindcfw1800configure terminal输入管理员密码后，即可进入配置模式。

（2）退出网关admindcfw1800exit退出配置模式后，系统将返回用户模式。

2. 查看系统信息（1）查看系统版本admindcfw1800show version执行此命令，可以查看当前网关的软件版本、硬件版本等信息。

（2）查看系统状态admindcfw1800show system status执行此命令，可以查看网关的运行状态、CPU使用率、内存使用率等信息。

3. 配置系统时间（1）设置系统时间admindcfw1800clock set HH:MM:SS YYYYMMDD将HH:MM:SS替换为具体的小时、分钟和秒，将YYYYMMDD替换为具体的年、月、日。

（2）查看系统时间admindcfw1800show clock执行此命令，可以查看当前网关的系统时间。

二、接口配置命令1. 查看接口状态admindcfw1800show interface执行此命令，可以查看所有接口的状态、速率、双工模式等信息。

2. 配置接口（1）进入接口配置模式admindcfw1800interface <interfacetype> <interfacenumber>将<interfacetype>替换为接口类型（如GigabitEthernet），将<interfacenumber>替换为接口编号（如0/0）。

（2）设置接口描述admindcfw1800description <descriptiontext>将<descriptiontext>替换为接口描述信息。

（3）设置接口速率和双工模式admindcfw1800speed <speed> duplex <duplexmode>将<speed>替换为接口速率（如1000），将<duplexmode>替换为双工模式（如full或half）。

DCFW1800E/S防火墙（v4.1）源地址路由配置指南DCFW1800E/S防火墙的源地址路由功能区别于一般常用的目的路由在于：源地址路由在判断数据包的转发时除了查看目的地址外，还要匹配数据包的源地址。

下面是源地址路由在上网分流时使用的案例。

1、网络拓扑2、案例需求这个案例中防火墙有两条上网线路，为了实现上网数据分流在防火墙上设定：当内网网段192.168.10.0/24上网时经由网通线路（即转发至网关172.16.11.1）。

当内网网段192.168.100.0/24上网时经由电线线路（即转发至网关10.1.1.2/24）。

3、配置步骤添加防火墙接口地址。

网络->接口添加去往内网网段192.168.10.0/24网段的路由。

网络->路由->路由->新增添加去往内网网段192.168.100.0/24网段的路由。

网络->路由->路由->新增添加内网192.168.10.0/24网段访问Internet的源地址路由，经由网通线路。

网络->路由->源地址路由->新增添加内网192.168.100.0/24网段访问Internet的源地址路由，经由电信线路。

网络->路由->源地址路由->新增添加192.168.10.0/24网段访问Internet的动态NAT，因为该网段通过网通线路访问Inernet，所以要使用if0接口地址做NAT。

NAT->动态NAT->新增添加192.168.100.0/24网段访问Internet的动态NAT，因为该网段通过电信线路访问Inernet，所以要使用if2接口地址做NAT。

NAT->动态NAT->新增为网段192.168.10.0/24定义网络对象，在后续的策略中要引用（注意选择正确接口）。

网络->网络对象->新增为网段192.168.100.0/24定义网络对象，在后续的策略中要引用（注意选择正确接口）。

神州数码DCFW-1800防火墙安装手册神州数码（上海）网络有限公司二零零二年十月1.神州数码DCFW-1800防火墙设备的安装清点配件打开神州数码DCFW-1800防火墙的包装箱后，应首先找到防火墙的装箱单，按照装箱单清理防火墙的随机配件。

装箱单内容如下：1）神州数码DCFW-1800防火墙主机一台2）电源线一根3）Console线一根4）交叉双绞线一根5）机架角铁2个6）螺丝包1个7）防火墙配置管理器（GUI）安装、安装手册、调试手册电子版光盘8）装箱单一张9）保修卡一份确定防火墙的安装位置应根据用户机房的布局及剩余空间合理安排防火墙的安装位置，一般情况下选择机架或安全牢固的桌子作为防火墙设备的安装位置。

选择设备放置地点的前提是：必须为设备提供充足的散热空间，必须保证能够方便的进行布线。

确定防火墙的工作模式确定防火墙的保护对象以后，用户需要根据自己网络的实际环境决定防火墙的工作模式。

通常防火墙有两种工作模式，路由模式和网桥模式。

神州数码DCFW-1800防火墙默认为路由模式。

也可以通过GUI界面设定网桥的模式。

制定网络拓扑图规划网络地址根据用户自己网络的实际情况，画出拓扑图，确定各节点的IP地址，包含要添加的防火墙的内外网口的地址。

安装注意事项确定自己的网络环境后，开始加载防火墙的软件和硬件。

请严格遵守以下条款，以免损坏设备。

1.请仔细阅读本手册。

2.在安装神州数码DCFW-1800防火墙之前，请先关电源并把插头拔出插座。

请勿对防火墙硬件使用液体或清洁剂，建议使用微湿的抹布。

3.请勿将此设备置于潮湿环境中。

4.请将此设备放置在稳固的桌面上，或机架上。

请勿使此设备受到震动或摔击，以避免设备损坏。

5.请勿在防火墙运转时搬动。

6.请在设备周围留出充足的散热空间，建议前后左右各预留15 cm。

7.接通电源之前，请先确定电压与插座的安全。

8.请勿在设备的电线上放任何物品，同时也应避免电线受到脚踏或其它磨损。