FWUTM培训胶片

1、FWUTM培训胶片目目 录录n第一章第一章 DPtech Firewall/UTMDPtech Firewall/UTM产品概述产品概述n第二章第二章 Firewall/UTMFirewall/UTM组网及部署组网及部署n第三章第三章 Firewall/UTMFirewall/UTM基本配置基本配置n第四章第四章 常见问题定位排查常见问题定位排查防火墙技术发展介绍防火墙技术发展介绍主要分为以下主要分为以下3种类型防火墙：种类型防火墙：包 过 滤 防 火 墙 ：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和

2、安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。DPTECH 防火墙属于状态检测型防火墙。状态检测技术状态检测技术防火墙硬件架构的发展趋势防火墙硬件架构的发展趋势纯软件纯软件NP技术技术多核技术多核技术ASIC技术技术工控机工控机DPTECH FW防火墙的发展趋势防火墙的发展趋势高性能：容量更大的万兆处理平台，满足更高端万兆需求深识别：提供深度识别技术，可以实现对应用层（如P2P）深层识别多功能：支持基于应用的虚拟防火墙，满足不同业务应用的逻辑划分双协议：支持IPv6，可以为IPV6网络的安全保驾护航，支持使用在IPv4、IPv6双栈环境

3、真环保：提供可回收、低辐射、无公害、低功耗的平台国产化：国内自主知识产权，通过国家安全认证，符合中国“等级保护”等国家级安全要求衡量防火墙性能的几个重要指标衡量防火墙性能的几个重要指标 主要参考以下3种性能指标：整机吞吐量：指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力。最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处

4、理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火墙对网络攻击防范能力差。DPTECH N系列防火墙产生背景系列防火墙产生背景n目前，Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统防火墙上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足，造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心，此问题显得尤为严峻。n为解决上

5、述难题，迪普科技推出了基于全新多核处理器架构的下一代防火墙DPtech FW1000 N系列应用防火墙。FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。 DPtechDPtech防火墙产品防火墙产品DPtechDPtech （UTMUTM）统一威胁管理产品）统一威胁管理产品杭州迪普科技有限公司产品简介产品简介 创新性：新一代网络安全架构 ，专用定制的Conplat平台 管理性：Web配置所见即所得 集成性：集路由器、VPN、防火墙设备功能于一身 高

6、性能：高吞吐量 高密度接口：丰富了用户的应用，并节约了成本。登录登录WEB管理页面管理页面第一，确保主机同FW管理口（默认最后一个接口）通讯正常（主机跟管理口配置同一个网段的IP）。第二，打开IE浏览器，输入(管理口默认地址），进入WEB页面。串口下修改管理口地址。串口下修改管理口地址。如果不想使用的地址，可以在串口下修改，（web页面不能进入的情况），也可以在WEB页面修改。串口下修改管理口地址，以eth0_7为例。 进入串口密码：DPTECH（大写）。（图一） 查看接口信息（show interface)。（图二）目目 录录n第一章第一章 DPtech Firewall/UTMDPtech

7、 Firewall/UTM产品概述产品概述n第二章第二章 Firewall/UTMFirewall/UTM组网及部署组网及部署n第三章第三章 Firewall/UTMFirewall/UTM基本配置基本配置n第四章第四章 常见问题定位排查常见问题定位排查组网模式及其部署组网模式及其部署透明模式透明模式基本组网组网模式及其部署组网模式及其部署基本配置基本配置安全域的配置安全域优先级的配置配置相同优先级，支持域间的隔离配置高低优先级，支持高优先级到低优先级的直接访问安全域接口列表的添加接口的配置工作模式的配置选项：三层接口、二层接口二层接口的配置接口类型的选择：ACCESS口（支持默认VLAN1数

8、据通过）、TRUNK口（支持VLAN透传）接口VLAN的设置三层接口的配置接口类型的先择：LAN、WAN、管理口（管理口不转发流量）IP地址分配：静态IP、PPPoE、DHCPVLAN的配置添加VLAN包过滤策略的配置组网模式及其部署组网模式及其部署透明模式透明模式组网应用场景需要二层交换机功能做二层转发在既有的网络中，不改变网络拓扑，而且需要安全业务防火墙的不同网口所接的局域网都位于同一网段 特点对用户是透明的，即用户意识不到防火墙的存在 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二

9、层接口，根据需要，配置接口类型为ACCESS或TRUNK接口配置VLAN属性必须配置一个vlan-ifxxx的管理地址 ，用于设备管理组网模式及其部署组网模式及其部署透明模式透明模式 接口管理组网配置：修改工作模式为 二层接口，类型为access，（trunk）选中所属VLAN.内网用户可以使用VLAN-IF接口对FW设备进行管理。组网模式及其部署组网模式及其部署路由模式路由模式基本组网组网模式及其部署组网模式及其部署路由模式路由模式组网应用场景需要路由功能做三层转发需要共享Internet接入需要对外提供应用服务需要使用虚拟专用网特点 提供丰富的路由功能，静态路由、RIP、OSPF等 提供源

10、NAT支持共享Internet接入 提供目的NAT支持对外提供各种服务 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等 需要使用WEB认证功能配置要点 接口添加到相应的域 接口工作于三层接口，并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE组网模式及其部署组网模式及其部署路由模式路由模式LAN口接内网接口，WAN口接外网接口。组网模式及其部署组网模式及其部署混合模式混合模式组网应用场景需结合透明模式及路由模式特点在VLAN内做二层转发在VLAN间做三层转发支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口，根据需要，

11、配置接口类型为ACCESS或TRUNK接口配置VLAN属性添加三层接口，用于三层转发配置一个vlan-ifxxx的地址 ，用于三层转发目目 录录n第一章第一章 产品概述产品概述n第二章第二章 组网模式及部署组网模式及部署n第三章第三章 FWFW基本配置基本配置n第四章第四章 常见问题定位排查常见问题定位排查升级版本升级版本进入系统管理软件版本页面。第一步，点击“浏览”，选择版本存放的正确路径。第二步，选择“下载软件版本”，红色边框标识处。这时要等几分钟，直到出现两个版本。红色边框标识处。升级版本升级版本第三,如果需要导出配置可以如下操作，等设备启动后，再倒入配置.(可选步骤），图一所示。第四，

12、清除数据库，重启。图二所示。丰富的安全功能丰富的安全功能FW1000安全区域安全区域桥接桥接 三层三层状态检测状态检测攻击防范攻击防范VPNNAT策略路由策略路由虚拟防火墙虚拟防火墙n攻击防范和远程安全接入一体化攻击防范和远程安全接入一体化n深度状态识别，提供基于状态的安全过滤深度状态识别，提供基于状态的安全过滤n集成地址转换、流量控制等网络应用集成地址转换、流量控制等网络应用功能特点功能特点采用先进的多核硬件架构 多核多线程的硬件设计 集成硬件网络加速和安全加速引擎 网络处理性能高 功耗低，更加环保 成本低，市场竞争力强完善的安全策略管理机制 支持面向对象的策略管理 支持业务策略的定制功能特

13、点功能特点支持无用户限制NAT 解除单IP受限于端口的限制 单IP可支持百万级别以上会话 节约公网IP地址多WAN口备份 增加出口带宽 线路备份 负载均衡策略：支持会话方式、流量方式功能特点功能特点应用识别及基于网络应用的访问控制 支持各类应用的识别，包括P2P、电子邮件、股票、网络游戏等 支持特征库升级，支持后续应用识别的扩展 支持各类网络应用的访问控制 支持网络应用带宽限速丰富的URL访问控制 支持基于内容分类的URL访问控制 支持URL库的管理，包括URL数据库在线、离线更新 URL数据库容量大，分类数多 基于URL正则表达式的URL过滤 支持Web访问的黑、白名单设置 HTTP URL

14、关键字过滤 HTTP POST命令关键字过滤功能特点功能特点强大的审计功能 支持对各种网络应用的审计 支持按时间、用户行为、源IP、目的IP的审计 支持当前在线用户的上网行为的审计 支持业务流量的分析 支持单用户业务流量的分析丰富的日志功能 支持系统日志、操作日志、业务日志 支持黑名单、地址绑定、攻击日志、策略日志等 支持各类日志导出、查询、删除 支持日志耗尽策略功能特点功能特点 接口密度高 支持虚拟防火墙 支持IPMAC地址对自动探测和唯一性检查 支持3G接入基本配置基本配置 - 安全区域划分安全区域划分DMZ区区Trust 可信区域可信区域DPtech 防火墙InternetUntrust

15、 不可信区域不可信区域n提供灵活的安全区域隔离功能，按区域进行重点安全防护。n所有逻辑接口都可以自由的划分在不同的安全区域中，包括子接口、隧道接口、物理接口等。n支持安全区域自定义，满足更复杂的组网要求。安全域配置安全域配置安全域分为trust、untrust、DMZ ,trust 域优先级最高，DMZ其次，untrust优先级最低默认情况下，优先级高的能访问优先级低的。如果优先级相同或者优先级低的域访问高的域，需要配置包过滤策略，允许通过。安全域优先级的配置必须将相应接口加入安全域，（当接口属于某个VLAN时，应加入VLAN接口）将内网接口加入trust信任域，将外网口加入untrust非信

16、任域，将内网映射到外网的服务器加入DMZ区域。基本配置基本配置-包过滤策略包过滤策略 配置包过滤策略，禁止Internet访问内网。灵活智能灵活智能NATNAT转换转换 FW1000防火墙防火墙NAT1. SIP:192.168.01=SIP: 2. SIP:192.168.02=SIP: 3. SIP:192.168.01=SIP: n支持多个地址对一个地址的转换n支持多个地址对多个地址的转换n支持一对一地址转换n支持基于端口的转换隐藏内网结构隐藏内网结构NATNAT转换转换网络地址转换(NAT,Network Addr

17、ess Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。源nat-就是把内网私有ip转换成公网ip。FW外网地址借用出接口或者选择已有地址池NATNAT转换转换目的nat-就是让外网的用户，可以访问内网私有的ip地址或服务.外网流量进入的接口，即WALN口。要映射的内网地址选择内部服务器提供的服务 。NATNAT转换转换 一个公网ip对应一个内网ip地址。路由路由FW使用静态路由和动态路由相结合的解决方案，来处理不同网络环境下的不同网络协议。静态路由： 在组网比较简单的网

18、络中，只配置静态路由就可以完成网络的选路工作。使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。策略路由策略路由策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策 略路由，防火墙将通过路由表决定如何对需要路由的数据包进行处理，路由表决定了一个数据包的下一跳转发路由器。 全面的攻击防范全面的攻击防范Flood类攻击类攻击扫描探测扫描探测 SYN Flood UDP Flood ARP Flood ICMP Flood Port Scan IP Scan Tracert 协议异常协议异常 Smurf Ping of Death Tear Drop Land FW10

19、00基于状态基于状态的防护的防护FW1000基于协议基于协议的防护的防护FW1000探测探测&扫扫描防护描防护可以抵御各种类型的攻击威胁，提供全面的攻击防范可以抵御各种类型的攻击威胁，提供全面的攻击防范基本攻击防护基本攻击防护配置组内防护目标：被保护的内网服务器基本攻击防护基本攻击防护 设置DDOS攻击防护基本攻击防护基本攻击防护 流量和状态监视：防火墙的优势功能防火墙的优势功能虚拟防火墙虚拟防火墙虚拟防火墙1虚拟防火墙2虚拟防火墙3外网外网1外网外网2外网外网3内网内网1内网内网2内网内网3虚拟防火墙：虚拟防火墙：n 灵活安全策略配置n 部署简单，组网方便n 节约投资链路负载均衡链路

20、负载均衡链路负载均衡：在有多个运营商出接口的组网环境中，可以采用出方向多链路动态负载均衡，实现链路的动态选择，提高服务的可靠性。双链路就点复制按钮，配置2条。WAN口链路负载均衡链路负载均衡配置健康检查。如果下一跳出现问题，则转向另一条链路。下一跳地址防火墙优势功能防火墙优势功能多多VPN组合应用组合应用L2TP VPNGRE VPNIPSec VPNSSL VPNDESAESMD5SHA-1支持的协议支持的协议加密算法加密算法n实现远程安全互联，方便移动用户、合作伙伴的远程接入n支持多种VPN的组合，保障数据传输的安全性目目 录录n第一章第一章 产品概述产品概述n第二章第二章 组网模式及部署

21、组网模式及部署n第三章第三章 基本配置基本配置n第四章第四章 常见问题定位排查常见问题定位排查杭州迪普科技有限公司第四章第四章 常见问题定位排查常见问题定位排查 入门篇入门篇 为什么管理口配了IP地址，PC却Ping不通？在同网段中，PC的IP地址与配置管理口的IP地址必须同属这一网段；在不同网段中，需要在FW设备上添加相应的路由，确保与PC连通。在WEB界面上直接对管理口的设置修改，会有什么结果？会导致当前WEB界面down掉，无法继续进行任何操作。需要访问改后的IP地址，或者可通过console口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。杭州迪普科技有限公司第四章第

22、四章 常见问题定位排查常见问题定位排查 入门篇入门篇下载完软件版本，是否需要重启？什么情况下下载软件版本前，需要清除数据库？需要重启。当前后两版本数据库有变动时，需要清除数据库后，再下载版本。 当设备异常断电时，之前在WEB界面上的配置是否保存？保存，设备开启的情况下，对于操作与配置都是时时保存的。设备上的USB接口做什么用的？3G扩展。 杭州迪普科技有限公司第四章第四章 常见问题定位排查常见问题定位排查 入门篇入门篇当设备WEB在线用户已有5人，进不去怎么办？等待其中一个用户超时即可。（退出WEB页面需点击快捷栏的“退出”，直接关闭WEB页面，会导致当前用户没有下线）我有特征库文件，为什么不

23、能升级？需要先导入License，且保证License未过期。已将软件版本导入设备的CF卡中，为什么重启后不能加载该版本？须将该版本状态选为“使用中”才可。 杭州迪普科技有限公司第四章第四章 常见问题定位排查常见问题定位排查 入门篇入门篇设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？在无手动删除的情况下，查看是否超过了保存该日志的时间。输出到UMC的业务日志和流量分析的端口号是什么？业务日志是9514，流量分析是9502。为什么配置策略的时候，优先使用指定用户组，而不用All users？做到对业务的细化，同时过滤多余信息。杭州迪普科技有限公司第四章第四章 常见问题定位排查常见问题定位排查 进阶篇进阶篇同一台PC先后使用了2款FW设备，并使用了相同的IP地址，后一台FW设备为什么无法打开WEB界面？由于IE缓存的缘故，导致WEB界面加载时产生冲突，需要清除IE缓存。接入设备后，发现接口协商成半双工产生丢包，怎么办？一般情况下，与FW协商成半双工的那一端设备是接口强制导致，需要双方都强制相应的速率和双工状态，切忌一方自协