神州数码dcfw1800系列安全网关使用手册45r3n

DCFW-1800安全网关使用手册。本材料的相关权力归神州数码网络所有。文档中的本公司，不得转印、影印或复印。由于版本升级或其它用指导。本手册中的所有陈述信息和建议不此文档 相同，恕不另行通知。任何明示或暗示的担保。各功能模块并不本 仅为文档信息的使用而支持信息，非为或背书目的。本资料将定期更新。如欲获取最新相关信息，请查阅公司，或直接致电神州数码：中心服务或。您的意见和建议请 ：DCFW-1800安全网关使用手册。本材料的相关权力归神州数码网络所有。文档中的本公司，不得转印、影印或复印。由于版本升级或其它用指导。本手册中的所有陈述信息和建议不此文档 相同，恕不另行通知。任何明示或暗示的担保。各功能模块并不本 仅为文档信息的使用而支持信息，非为或背书目的。本资料将定期更新。如欲获取最新相关信息，请查阅公司，或直接致电神州数码：中心服务或。您的意见和建议请 ：dcnsupport@。前言手册内容首先感谢您使用神州数码的安全网关的使用与配置做了详细的介绍。本手册的内容包括以下各章：1章：安全网关概述。概括介绍安全网关信息，包括特点以及功能等。2章：搭建配置环境。描述将安全网关配置到网络环境中进行的操作。3章：命令行接口。介绍如何使用安全网关（CLI）对设备进行配置。升级等。5章：系统结构。具体介绍安全网关的系统结构。6章：安全网关应用模式。介绍安全网关的应用模式。7章：安全网关网络部署模式。介绍安全网关的旁路部署模式。8章：域。介绍安全网关的基本概念：域。9前言手册内容首先感谢您使用神州数码的安全网关的使用与配置做了详细的介绍。本手册的内容包括以下各章：1章：安全网关概述。概括介绍安全网关信息，包括特点以及功能等。2章：搭建配置环境。描述将安全网关配置到网络环境中进行的操作。3章：命令行接口。介绍如何使用安全网关（CLI）对设备进行配置。升级等。5章：系统结构。具体介绍安全网关的系统结构。6章：安全网关应用模式。介绍安全网关的应用模式。7章：安全网关网络部署模式。介绍安全网关的旁路部署模式。8章：域。介绍安全网关的基本概念：域。9章：接口。介绍安全网关的基本概念：接口。章：地址。介绍安全网关的基本概念：地址。章：服务。介绍安全网关的基本概念：服务。章：策略。介绍安全网关的基本概念：策略。第全 绍为及章：认证、与计费。介绍安全网关的认证、与计费方式。802.1X功能。认证功能。（NAT）功能。章：应用层识别与。介绍安全网关的ALG功能。19章：IPSecIPSec功能。20章：SecureSecureConnect章：拨号章：PnPConnect。SSL的登录解决方案——。介绍安全网关的拨号PnP功能及配置。概念、功能及配置。GRE协议配置。L2TP协议配置。章：防护。介绍安全网关的防护功能。VLANRSTP。27章：路由。介绍安全网关的路由功能。28DNS、DDNS、VLANRSTP。27章：路由。介绍安全网关的路由功能。28DNS、DDNS、DHCP和PPPoE。（VSYS）功能。QoS功能及配置。PKIPKI配置。（HA）功能及配置。章：防 。介绍安全网关的防功能。防御功能。章：防御系统。介绍安全网关的章：网络行为。介绍安全网关的网络行为功能。章：统计。介绍安全网关的统计功能。章：日志。介绍安全网关的日志功能。38章：GTPGTP防护功能。手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：提示：为用户提供相关参考信息。说明：为用户提供有助于理解内容的说明信息。注意：如果该操作不正确，会导致系统出错。U手动、CLI约定CLI时，遵循以下约定：大括弧（：指明该内容为可选元素。竖线（粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。斜体：斜体部分为需要用户提供值的参数。命令实例中，需要用户输入部分用粗体标出；需要用户提供值的变量用斜体标出；命令实例包括不同平台的输出，可能会有些许差别。命令实例中，命令提示符中的主机名称均使用“WebUI约定命令实例中，需要用户输入部分用粗体标出；需要用户提供值的变量用斜体标出；命令实例包括不同平台的输出，可能会有些许差别。命令实例中，命令提示符中的主机名称均使用“WebUI约定”隔开点击对象（菜单项、子菜单、按钮以及等。目录1章概述 1神州数码安全网关概述目录1章概述 1神州数码安全网关概述 1特点介绍 1全并行处理的安全架构（Plus®G2） 1深度应用安全 1全方位内容安全 1基于 和应用的管理 2可扩展的模块化设计（Plus®G2） 2功能介绍 2第2章搭建配置环境 5配置环境介绍 5搭建Console口配置环境 5搭建Telnet配置环境 6搭建SSH配置环境 7搭建WebUI配置环境 7第3章命令行接口（CLI） 8CLI介绍 8命令模式和提示符 8执行模式 8全局配置模式 8子模块配置模式 8CLI命令模式切换 8命令行错误信息提示 9命令行的输入 9命令行的缩写形式 9自动列出命令关键字 9自动补齐命令关键字 9命令行的编辑 10查看历史命令 10快捷键 10过滤CLI输出信息 10分页显示CLI输出信息 11设置终端属性 11设置连接超时时间 12重定向输出 12诊断命令 12第4章系统管理 13系统管理介绍 13I命名规则 13配置主机名称 14配置系统信息显示语言 14配置系统管理员 14配置管理员 15配置管理员 15配置管理员 策略 15配置管理员 方式 命名规则 13配置主机名称 14配置系统信息显示语言 14配置系统管理员 14配置管理员 15配置管理员 15配置管理员 策略 15配置管理员 方式 16显示管理员配置 16配置 主机 16显示 主机配置 17名字功能 17主机名功能 17指定IP的NetBIOS主机名 18清除NetBIOS缓存数据 18查看NetBIOS缓存数据 18系统用户管理 18用户配置 19配置静态绑定用户 19配置认证用户 20用户组配置 22配置 22创建 23规则 23配置配置 组合 23显示 信息 24配置管理接口 24配置Console管理接口 24配置波特率 24配置超时时间 24配置Telnet管理接口 25配置SSH管理接口 25配置WebUI管理接口 26显示管理接口配置 27配置 设备 27格式化 设备 27安全删除 设备 27配置文件管理 28配置安全网关配置信息 28查看配置信息 28回退起始配置信息 29删除配置文件 29保存配置信息 29导出配置信息 29II导入配置信息 29恢复出厂配置 30系统维护与调试 30Ping命令 30Traceroute导入配置信息 29恢复出厂配置 30系统维护与调试 30Ping命令 30Traceroute命令 31系统调试功能 33配置系统重启 33DCFOS版本升级 33启动系统介绍 34Bootloader的工作模式 34通过网络迅速升级DCFOS（TFTP） 34其它升级方式 35通过FTP服务器获取DCFOS 36通过USB口获取DCFOS 36Sysloader菜单介绍 36通过CLI升级DCFOS 37通过WebUI升级DCFOS 37证管理 38申请 证 38安装 证 38证命令 38生成 证请求 38/卸载39证灌装介绍 39证灌装操作 39证安装 40简单网络管理协议（SNMP） 40安全网关的SNMP功能 41SNMP版本 41MIB信息库 42Trap报文信息 42配置SNMP 42开启或者关闭SNMP 功能 42设备端 43配置SNMP引擎ID 43创建SNMPv3用户组 43创建SNMPv3用户 43配置管理主机地址 44配置trap报文目标主机地址 44配置管理员的标识及 方法 45配置安全网关位置 45显示SNMP信息 45SNMP配置示例 45组网要求 45III示例一配置步骤 46示例二配置步骤 47网络时间协议（NTP） 47手动配置时间和时区 示例一配置步骤 46示例二配置步骤 47网络时间协议（NTP） 47手动配置时间和时区 48手动配置时间 48手动配置时区 48查看系统时间配置信息 48配置NTP功能 48开启/关闭NTP功能 49配置NTP时钟服务器 49配置最大调整时间 49配置 间隔 49/关闭配置NTP验证功能 50验证功能 50查看NTP状态 50NTP配置示例 50配置时间表功能 50创建时间表 51指定绝对计划 51指定周期计划 51配置监测对象 5255系统第5章系统结构 58系统介绍 58接口 58安全域 58VSwitch 58VRouter 58策略 5960数据包处理流程 60DenySession功能 62配置DenySession功能 63指定DenySession的类型 63指定最大DenySession 63指定超时时间 64显示DenySession配置信息 64显示DenySession信息 64IP包数据处理选项 64配置MSS值 64TCP序列号检查 65TCP三次握手超时时间检查 65TCPSYN包检查 65IP分片包处理 65IV第6第6章安全网关应用模式 67应用模式介绍 67VSwitch介绍 67基本概念说明 67二层安全域 67二层接口 68VSwitch中的转发规则 68透明应用模式 69混合应用模式 69路由应用模式 70查看MAC表信息 70配置VSwitch 71VirtualWire功能 71配置VirtualWire功能 72开启VirtualWire功能 72配置VirtualWire接口对 72显示VirtualWire配置信息 72透明模式下的VLAN透传 73配置举例 73配置步骤 74配置VRouter 75开启和关闭多VR功能 75创建VRouter 75显示VRouter信息 76第7章安全网关网络部署模式 77网络部署模式介绍 77直路模式 77旁路模式 77混合模式 78旁路模式工作原理 78配置旁路模式 79创建Tap域 79绑定接口到Tap域 79配置旁路 接口 79配置统计范围 80旁路部署配置举例 80组网需求 80配置步骤 80第8章域 82域介绍 82预定义安全域 82配置安全域 82显示域信息 82创建域 82V绑定二层域到VSwitch 83配置示例 绑定二层域到VSwitch 83配置示例 83绑定三层域到VRouter. 83第9章接口 84接口（Interfaces）介绍 84接口类型 84接口关系 85查看接口信息 85查看所有接口信息 86查看指定接口信息 86配置接口 86绑定接口到域 87配置接口IP地址 88配置接口 IP地址 88配置接口最大传输单元（MTU） 88强制关闭接口 89设置接口ARP超时时间 89配置接口管理功能 89配置FTP服务功能 90配置接口ARP认证功能 90DigitalChinaSecureDefender 91配置接口 ARP功能 91IP即插即用配置举例 92配置接口镜像功能 93配置接口逆向路由功能 93配置接口备份功能 94配置接口保持时间 94回环接口 95创建回环接口 95以太网接口 95创建以太网子接口 95进入以太网接口配置模式 95配置以太网接口的速率 96配置以太网接口的工作方式 96克隆MAC地址 96配置Combo口 97VSwitch接口 97创建VSwitch接口 97VLAN接口 97创建VLAN接口 98Super-VLAN接口 98创建super-VLAN接口 98集聚接口 98创建集聚接口以及集聚子接口 98VI添加接口到集聚接口 99配置示例 99冗余接口 99创建冗余接口以及冗 接口添加接口到集聚接口 99配置示例 99冗余接口 99创建冗余接口以及冗 接口 99添加接口到冗余接口 100指定主接口 100配置示例 100隧道接口 101创建隧道接口 101绑定隧道 101多隧道OSPF支持 102配置借用IP地址功能（IPUnnumbered） 102查看隧道接口信息 102PPPoE子接口 103支持Bypass功能 103Bypass模块的连接方式 103开启外置Bypass功能 104查看外置Bypass信息 105第10章地址 106地址（Address）介绍 106地址条目 106配 址簿 106添加或者删除地址条目 106指定地址条目的IP地址范围 107配置示例 108查看地址条目关联项 108查看地址簿信息 109第11章服务 110服务（Service）简介 110通过CLI查看服务信息 110查看服务关联项 110预定义服务（PredefinedServices） 111Shell（RSH） 111Sun微软程序调用（SunRPC） 111过程调用（MSRPC） 111修改预定义服务超时时间 112预定义服务组 112用户自定义服务 112创建和删除自定义服务 113为自定义服务添加和删除自定义服务条目 113配置示例 114服务组（ServiceGroup） 115创建和删除服务组 115为服务组添加和删除服务或者服务组 115VII应用识别 115动态识别 116特征库更新 116第12章策略 118策略（Policy）介绍 应用识别 115动态识别 116特征库更新 116第12章策略 118策略（Policy）介绍 118策略规则的基本元素 118定义策略规则 118Profile介绍 119QoS.......................................................................................................119配置策略规则 119进入策略配置模式 119创建策略规则 119编辑策略规则 121启用/禁用策略规则 123策略规则的日志管理 123指定缺省行为 123修改规则排列顺序 124网页重定向 124配置重定向URL 124配置空闲时间 124定制重定向提示页面 125查看重定向用户信息 125查看策略规则信息 125查看策略规则匹配次数 126第13章安全 128安全 介绍 128主机防御 128....................................................................................................128条目 129主机添加修改时间表 129条目 130启用或禁用主机内容 130条目 130查看主机删除主机IP-MAC绑定 131静态绑定 131添加静态IP-MAC绑定条目 131添加静态MAC-端口绑定条目 132仅 IP-MAC静态绑定主机上网 132动态IP-MAC-端口绑定 132ARP学习功能 132MAC学习功能 132显示IP-MAC-端口绑定信息 133清除ARP绑定信息 133强制绑定动态MAC-端口绑定信息 133VIIIDHCP.....................................................................................................133/关闭DHCP功能 134配置DHCP检查功能 134配置DHCP包速率限制 134DHCP配置信息 135列表 135ARP检查功能 135开启/关闭ARP检查功能 136配置 接口 136DHCP.....................................................................................................133/关闭DHCP功能 134配置DHCP检查功能 134配置DHCP包速率限制 134DHCP配置信息 135列表 135ARP检查功能 135开启/关闭ARP检查功能 136配置 接口 136配置ARP包速率限制 136ARP防御 137第14章认证、 与计费 138AAA简介 138安全网关外部认证流程 138配置AAA 139创建AAA服务器 139配置本地服务器认证参数 139配置RADIUS服务器认证参数 140配置认证主服务器的IP地址或2的IP地址或...............................................................140...............................................................140...............................................................140RADIUS服务器端RADIUS服务器的.......................................................................141.......................................................................141配置重试次数 141配置超时时间 141规则 141指定配置Active-Directory服务器认证参数 142配置认证主服务器的IP地址或2的IP地址或...............................................................142...............................................................142...............................................................142配置服务器端 143配置服务器认证方法 143指定Base-DN 143指定登录DN 143指定登录 144规则 144指定配置服务器 功能 144配置LDAP服务器认证参数 147配置认证主服务器的IP地址或2的IP地址或...............................................................148...............................................................148...............................................................148配置服务器端 148配置服务器认证方法 148指定Base-DN 149IX指定登录DN 149指定登录 149指定名称属性 149指定Group-class 150指定成员属性名 150规则 150指定配置RADIUS指定登录DN 149指定登录 149指定名称属性 149指定Group-class 150指定成员属性名 150规则 150指定配置RADIUS服务器的计费功能 150开启或关闭计费功能 150/备份服务器的IP地址或........................................................151配置计费服务器端 151配置计费服务器的 151指定系统管理员认证服务器 151认证与 的显示与调试 152认证与 配置举例 152组网需求 152配置步骤 153第15章802.1X认证协议 154802.1X简介 154802.1X体系结构 154802.1X认证流程 154配置802.1X认证 155创建802.1XProfile 155认证请求帧的最大可重复 次数 155客户端重认证时间间隔 156认证系统静默时间 156客户端超时时间 156认证服务器应答超时时间 156指定802.1X认证服务器 156配置端口的802.1X属性 157开启/关闭802.1X认证 157绑定802.1XProfile到端口 157端口接入 模式 157端口接入 方式 157配置802.1X全局参数 158端口 同时接入客户端数量最大值 158已认证客户端超时时间 158802.1X用户同名登录功能 158拒绝同名用户登录 158强制断开客户端连接 159显示802.1X配置 159802.1X配置举例 159组网需求 159配置步骤 160第16章Web认证 162XWeb认证介绍 162Web认证配置 162配置Web认证介绍 162Web认证配置 162配置Web认证策略规则 162开启/关闭Web认证功能 162配置认证服务器端 163配置超时时间 163配置重定向URL功能 163强制用户重新登录 163配置用户重新认证时间间隔 164强制断开用户连接 164本地用户修改 164定制认证登录页面 165定制登录页面 166显示Web认证配置信息 166显示 Web认证用户信息 167Web认证配置举例 167第17章网络地址转换 169网络地址转换（NAT）简介 169NAT的基本转换过程 169神州数码安全网关的NAT功能 170配置NAT规则 170创建SNAT规则 170修改SNAT规则排列顺序 172开启/关闭扩展PAT端口池功能 172删除SNAT规则 172显示SNAT配置信息 172创建DNAT规则 173修改DNAT规则排列顺序 174删除DNAT规则 174显示DNAT配置信息 174NAT配置举例 175组网需求 175配置步骤 176第18章应用层识别与 179应用层识别与 介绍 179分片重组 179应用层网关（ALG） 179HTTP、P2P和IM 180配置ALG功能 180应用举例 180实例1配置步骤 181实例2配置步骤 181第19章IPSec协议 183IPSec协议介绍 183XI安全 （SecurityAssociation） 183SA建立方式 183第一阶段SA 184第二阶段SA 184验证算法 185加密算法 185压缩算法 185相关资料 186IPSec配置IPSec的应用 186安全 （SecurityAssociation） 183SA建立方式 183第一阶段SA 184第二阶段SA 184验证算法 185加密算法 185压缩算法 185相关资料 186IPSec配置IPSec的应用 186功能 186............................................................................................186手工密钥创建手工密钥 186指定IPSec协议的操作模式 187指定安全参数索引 187指定协议类型 187指定加密算法 187指定验证算法 188指定压缩算法 188指定对端IP地址 188配置协议的验证密钥 188配置协议的加密密钥 188指定出接口 189..................................................................................................189配置P1提议 189配置ISAKMP网关 191配置P2提议 194配置隧道 196IKE显示IPSec配置信息 200配置举例 201手工密钥 201组网需求 201配置步骤 201IKE..................................................................................................203组网需求 203配置步骤 204及冗余备份功能配置举例 207组网需求 207配置步骤 20820章SecureConnect.............................................................................214SecureConnect介绍 214SC设备端配置 214地址池配置 215配 址池地址范围 215配置保留地址池 215XII配置IP地址绑定规则 216配置DNS服务器 217配置WINS服务器 217显示SC地址池信息 217端SC配置 218实例配置 218指定地址池 219指定设备端接口 219指定SSL协议 219指定PKI配置IP地址绑定规则 216配置DNS服务器 217配置WINS服务器 217显示SC地址池信息 217端SC配置 218实例配置 218指定地址池 219指定设备端接口 219指定SSL协议 219指定PKI信任域 220指定隧道 220指定AAA服务器 220.................................................................................220配置防重放功能 221配置分片功能 221配置空闲时间 221配置用户同名登录功能 222配置URL重定向功能 222配置SC绑定SC隧道路由 224实例到隧道接口 224USBKey开启USBKey导入USBKey配置USBKey认证 224认证功能 225CACA到信任域 225的信任域 226配置 口令认证功能 226/关闭口令认证功能 227认证 号码 227认证码有效时间 227最大 数量 227配置测试 227显示 猫配置信息 228配置主机验证功能 228开启主机验证功能 228批准候选表项 229配置超级用户 229配置共享主机 229添加/减少预批准主机数 229清除绑定表 230导出/导入绑定表 230配置主机安全检测功能 231主机安全检测内容 231和主机安全检测流程 231基于的配置主机安全检测Profile 232配置主机安全检测策略规则 234XIII配置最优路径检测功能 235强制断开客户端SC本地用户修改连接 237..................................................................................237导出和导入 文件 238定制登录页面 239定制登录页面 239显示SC信息 240SC客户端 配置最优路径检测功能 235强制断开客户端SC本地用户修改连接 237..................................................................................237导出和导入 文件 238定制登录页面 239定制登录页面 239显示SC信息 240SC客户端 240客户端的 与安装 240客户端的启动 242Web方式启动 242直接启动 243客户端GUI 246客户端菜单 247SecureConnect设置 247设置通用选项 248添加登录信息条目 248编辑登录信息条目 249删除登录信息条目 249客户端的卸载 249配置举例 249组网需求 249需求一配置步骤 250需求二配置步骤 251准备工作 251配置步骤 252SCURL重定向配置举例 253配置步骤 253主机安全检测配置举例 254组网需求 255配置步骤 256最优路径检测配置举例 260组网需求一 260设备端作最优通道 260客户端 最优通道 262组网需求二 263设备端作最优通道 263客户端 最优通道 26521章拨号................................................................................................266拨号 介绍 266拨号 的应用 266中心设备配置 266配置P1提议 266创建P1提议 266XIV指定认证方式 267指定加密算法 指定认证方式 267指定加密算法 267指定验证算法 267选择DH组 267指定安全 的生命周期 268配置ISAKMP网关 268创建ISAKMP网关 268指定ISAKMP网关的认证服务器 268绑定接口到ISAKMP网关 269配置IKE协商模式 269指定对端类型 269指定P1提议 269配置预共享密钥 269配置PKI信任域 270配置本端ID 270指定连接类型 270开启NAT穿越功能 270配置DPD功能 271指定描述信息 271配置P2提议 271创建P2提议 271指定协议类型 271指定加密算法 272指定验证算法 272配置PFS功能 272指定生命周期 273配置隧道 273创建IKE隧道 273指定IPSec协议的操作模式 273指定ISAKMP网关 273指定P2提议 274指定第二阶段ID 274配置自动连接功能 274配置分片功能 274配置防重放功能 275设置Commit位 275配置空闲时间 275指定描述信息 275配置自动生成路由功能 275配置拨号端用户信息 276创建拨号端用户帐号 276生成拨号端用户预共享密钥 276拨号端配置 277拨号 举例 277XV组网需求 277中心设备配置 277拨号端1配置 279拨号端2配置 28022章PnP................................................................................................282PnPPnPPnP组网需求 277中心设备配置 277拨号端1配置 279拨号端2配置 28022章PnP................................................................................................282PnPPnPPnP简介 282工作流程 282服务器端配置 282CLI配置PnP服务器端 282配置用户网络参数 283配置隧道网络参数 283配置ISAKMP网关对端通配符 284配置PnP客户端的隧道接口 284通过WebUI配置服务器端 285用户配置 285IKE配置 285隧道接口配置 287路由配置 287策略配置 288配置PnP客户端 288PnP配置举例 288组网需求 288配置步骤 290服务器端配置 290客户端配置 292第23章GRE协议 294GRE协议介绍 294GRE配置 294配置GRE隧道 294指定源地址 294指定目的地址 295指定出接口 295指定IPSec隧道 295绑定GRE隧道到隧道接口 295显示GRE隧道配置信息 296配置举例 296需求描述 296配置步骤 296中心配置 296分支配置 298第24章L2TP协议 301介绍 301典型的L2TP隧道组网 301L2TPoverIPSec 302XVILNS端配置 302地址池配置 302配 址池地址范围 303配置保留地址池 303配置IP地址绑定规则 303L2TPLNS端配置 302地址池配置 302配 址池地址范围 303配置保留地址池 303配置IP地址绑定规则 303L2TP实例配置 305指定地址池 305配置DNS服务器 305配置WINS服务器 306指定隧道出接口 306指定AAA服务器 306指定PPP认证的协议 306指定Hello报文间隔 306启用隧道认证 307指定隧道 307指定LNS本端名称 307启用AVP数据隐含 307指定隧道接受窗口大小 308配置用户同名登录功能 308或 客户端指定IP地址 308指定 报文重传次数 308IPSec隧道 309绑定L2TP实例到隧道接口 309强制断开L2TP连接 309隧道重启 309显示L2TP信息 309L2TP客户端配置 310L2TP配置举例 310组网需求 310配置步骤 311LNS配置 311客户端配置 312使用客户端连接LNS 316L2TPoverIPSec配置举例 317组网需求 317配置步骤 317LNS配置 317客户端配置 319使用客户端连接LNS 32025章防护 321防护（AD）介绍 321概述 321常见网络地址Land（IPSpoofing）....................................................................321.................................................................................................321XVIISmurfFraggleWinNukeSYNFlood...............................................................................................321.............................................................................................321...........................................................................................322..........................................................................................322ICMPFlood和UDPFlood.......................................................................322地址扫描与端口扫描 322PingofDeath.....................................................................................322配置 防护功能 322地址扫描配置端口扫描配置IP地址配置SYNFlood防护功能 323防护功能 324防护功能 324防护功能SmurfFraggleWinNukeSYNFlood...............................................................................................321.............................................................................................321...........................................................................................322..........................................................................................322ICMPFlood和UDPFlood.......................................................................322地址扫描与端口扫描 322PingofDeath.....................................................................................322配置 防护功能 322地址扫描配置端口扫描配置IP地址配置SYNFlood防护功能 323防护功能 324防护功能 324防护功能 325配置SYN-Proxy功能 326配置ICMPFlood配置UDPFlood配置HugeICMP包防护功能 327防护功能 327防护功能 328防护功能 328配置PingofDeath防护功能 328配置IPOption防护功能 329防护功能 329防护功能 329配置Land配置IP碎片防护功能 330防护功能 330和Fraggle防护功能 330配置ARP防护功能 331配置DNSQueryFlood防护功能 331配置会话限制功能 332会话限制配置 332会话限制显示 334显示安全域的 防护配置和统计信息 334防护配置举例 334Land防护功能配置举例 334组网需求 334配置步骤 335SYNFlood防护功能配置举例 336组网需求 336配置步骤 336IP地址扫描防护功能配置举例 337组网需求 337配置步骤 337二层IP地址防护功能配置举例 338组网需求 338配置步骤 338第26章交换 340XVIII介绍 340VLAN. 340配置VLAN 340创建介绍 340VLAN. 340配置VLAN 340创建VLAN 340配置接口类型及其所属VLAN 341创建VLAN接口 341查看VLAN配置信息 341Super-VLAN 342配置super-VLAN 342创建super-VLAN 342创建super-VLAN接口 343添加sub-VLAN 343查看super-VLAN配置信息 343RSTP 343配置RSTP 343创建RSTP 344开启设备的RSTP功能 344开启接口RSTP功能 344配置设备的桥优先级 344配置Hello报文间隔 345配置ForwardDelay时间 345配置BPDU消息的生存时间 345配置接口RSTP优先级 345配置接口RSTP开销 346查看RSTP配置信息 346配置举例 346组网需求 346配置步骤 346第27章路由 348路由介绍 348/关闭静态路由................................................................................348VRouter 349指定最大路由条目数 349引入VRouter路由 349静态路由 349配置静态路由 350添加目的路由条目 350显示目的路由信息 350ISP路由 351配置ISP信息 351配置ISP路由 351查看ISP路由配置信息 352上传ISP配置文件 352上传预定义ISP配置文件 353XIX保存自定义ISP配置文件保存自定义ISP配置文件 353删除已上传的预定义ISP配置文件 353配置源路由 353添加源路由条目 354查看源路由条目信息 354配置源接口路由 354添加源接口路由条目 354查看源接口路由条目信息 355配置策略路由 355创建PBR策略 355创建PBR规则 356编辑PBR策略规则 356启用/禁用PBR策略规则 357修改规则排列顺序 358应用PBR策略 358查看PBR策略规则信息 358动态路由 358配置RIP 358基本配置 359引入路由 360配置 接口 361配置邻居 361配置网络 361配置距离 361RIP数据库 362配置接口的RIP功能 362显示系统RIP信息 363配置OSPF 363OSPF协议配置 363配置接口OSPF功能 369显示OSPF信息 370BGP配置 371BGP协议配置 372查看BGP信息 378等价多径路由（ECMP） 378配置ECMP功能 378配置ECMP选路方式 378静态组播路由 378开启/关闭组播路由功能 379配置静态组播路由 379指定入接口/出接口 379显示组播路由信息 380显示组播FIB信息 380互联网组管理协议 380XXIGMPProxy 380......................................................................................381IGMP模式 381查看IGMPProxy信息 381IGMPSnooping 382启用IGMPSnooping. 382配置IGMPSnooping. 382未知组播丢弃 382查看IGMPSnooping信息 IGMPProxy 380......................................................................................381IGMP模式 381查看IGMPProxy信息 381IGMPSnooping 382启用IGMPSnooping. 382配置IGMPSnooping. 382未知组播丢弃 382查看IGMPSnooping信息 383路由配置举例 383/关闭静态路由功能配置举例 383配置步骤 384多VR配置举例 384多VR转发 384跨VR转发 386静态组播路由配置举例 387组网需求 387配置步骤 388IGMPProxy配置举例 389组网需求 389配置步骤 390IGMPSnooping配置举例 391组网需求 391配置步骤 391第28章网络参数 393网络参数介绍 393DNS 393神州数码安全网关的DNS功能 393配置DNS名字服务 393设置 393配置DNS配置DNS服务器 394功能 394选择列表 394/关闭接口的功能 395配置黑白 395.......................................................................................................396设置DNS请求的响应超时时间 396设置DNS请求重试次数 396缓存 397添加静态DNS条目 397查看DNS条目 397清除动态DNS条目 397开启/关闭安全网关的DNS功能 397DNS配置举例 398XXI组网需求 398配置步骤 398DDNS 398配置DDNS功能 399配置DDNS服务名称 399组网需求 398配置步骤 398DDNS 398配置DDNS功能 399配置DDNS服务名称 399绑定DDNS服务名称到接口 401显示DDNS信息 401DDNS配置举例 401组网需求 401配置步骤 401DHCP 402安全网关的DHCP功能 402配置DHCP客户端功能 402配置DHCP方式获取IP地址 402和重新获取IP地址 403配置路由优先级（管理距离）和路由权值 403配置DNS服务器优先级 403配置DHCP服务器功能 403DHCP地址池基本配置 404配置自动配置功能 405为DHCP客户端配置DNS、WINS服务器和...............................................405客户端配置SMTP、POP3和服务器 406配置中继 IP地址 406IP-MAC地址绑定 406绑定地址池到接口 407查看DHCP配置信息 407DHCP中继功能 407指定DHCP服务器的IP地址 407开启接口的DHCP中继功能 407PPPoE 407PPPoE配置 408配置PPPoE实例 408配置接口使用PPPoE方式获得IP地址 412绑定PPPoE实例到接口 412手动连接或者断开PPPoE连接 412显示PPPoE配置信息 412PPPoE配置举例 412组网需求 413配置步骤 413第29章虚拟系统 414虚拟系统（VSYS）介绍 414VSYS对象 414根VSYS和非根VSYS 414管理员 415XXIIVRouter、VSwitch、安全域和接口 416共享VRouter 417共享VRouter、VSwitch、安全域和接口 416共享VRouter 417共享VSwitch 417共享域 417共享接口 417创建接口 417配置VSYS 417创建非根VSYS 417创建VSYSProfile 418........................................................................................418设置绑定Profile到VSYS 419进入非根VSYS 419配置共享属性 419导入/导出物理接口 420分配逻辑接口 420显示VSYS信息 420显示VSYSProfile信息 420VSYS配置举例 420在三层流量转发中的应用（通过单一VSYS） 421组网需求 421配置步骤 421发中的应用（通过共享VRouter） 422组网需求 422配置步骤 423在二层流量转发中的应用（通过共享VSwitch） 425组网需求 425配置步骤 427第30章QoS管理 429QoS介绍 429QoS的实现 429分类和标记 430分类 430标记 430和整形 431令牌桶算法 432拥塞管理 433拥塞避免 433配置QoS 433配置Class 433配置应用类型匹配条件 434配置DSCP值匹配条件 434配置CoS值匹配条件 435配置IP地址范围匹配条件 435配 址条目匹配条件 435XXIII配置QoS匹配条件 435配置IP优先权匹配条件 436配置入接口匹配条件 436配置 /用户/用户组匹配条件配置QoS匹配条件 435配置IP优先权匹配条件 436配置入接口匹配条件 436配置 /用户/用户组匹配条件 436显示Class信息 436配置QoSProfile 437指定最小带宽保证 438配置 功能 438配置整形功能 439配置基于IP的QoS（IPQoS） 439配置IPQoS优先级 441配置低延迟队列 441配置拥塞避免功能 441设置CoS值 442设置DSCP值 442设置IP优先权值 442配置匹配优先级 442配置排除策略 443配置基于 的QoS（QoS） 443嵌套QoSProfile 445指定出接口QoS管理操作 445设置无效Class 445绑定接口 446显示接口QoS信息 446显示QoSProfile信息 446弹性QoS 446配置全局弹性QoS功能 447配置Class的弹性QoS功能 447多层QoS 448QoS配置举例 448例1：匹配优先级配置举例 448例2：分类与标记 449与整形 450例4：基于应用的QoS 451例5：最小带宽保证 451例6：低延迟队列&拥塞避免 452例7：IPQoS（1） 453例8：IPQoS（2） 454方法1 454方法2 455方法3 456例9：IPQoS中的多VR应用 457例10：IPQoS优先级 460QoS 461XXIV例12：嵌套QoSProfile 462例13：多层QoS 463需求描述 464第一层应用QoS例12：嵌套QoSProfile 462例13：多层QoS 463需求描述 464第一层应用QoS配置步骤 464第二层IP限流配置步骤 465例14：综合用例 466需求描述 466配置步骤 467推荐配置 473第31章PKI配置 474PKI介绍 474安全网关的PKI功能 474PKI配置 474创建和删除PKI密钥对 475配置PKI信任域 475指定 获得方法 476指定密钥对 476配置主题内容 476撤销列表 477..............................................................................................477配置CA生成 服务请求 477安装本地 477撤销列表 478导出和导入PKI信任域信息 478导出PKI信任域信息 478导入PKI信任域信息 478导出和导入本地 479导出本地 479导入本地 480有效期相关配置 480显示PKI配置信息 481配置举例 481组网需求 481配置步骤 482第32章高可靠性 487高可靠性介绍 487HA簇 488HA组 488HA组接口和虚拟MAC 488HA....................................................................................................489HA同步 489高可靠性配置 489HA组配置 489指定优先级 490XXV指定Hello报文间隔 490指定Hello报文警戒值 490配置抢占模式 491指定 ARP包个数 491指定描述信息 491指定监测对象指定Hello报文间隔 490指定Hello报文警戒值 490配置抢占模式 491指定 ARP包个数 491指定描述信息 491指定监测对象 491配置HA组的接口 492HA连接配置 492指定HA连接接口 492指定HA连接接口IP地址 493HA簇配置 493接口管理IP配置 493手动同步HA信息 493显示HA配置 494HA配置举例 495式配置举例 495组网需求 495配置步骤 496工作模式配置举例 497组网需求 497配置步骤 49833章过滤 503过滤功能介绍 503过滤配置 503创建 过滤Profile 504功能 504防指定协议类型 504指定文件类型 506邮件功能 507绑定 过滤Profile到安全域 508绑定 过滤Profile到策略规则 508显示 过滤profile信息 509指定可压缩嵌套层数 509特征库更新配置 509配置 特征库更新模式 509配置更新服务器 510指定更新时间 510立即更新 510引入 特征文件 510显示 特征库信息 511显示 特征库更新配置信息 511配置举例 511配置步骤 51134章防御系统 513XXVI介绍 513IPS检测及报告流程 513特征介绍 513特征库更新 514IPS工作模式 515IPS配置 515介绍 513IPS检测及报告流程 513特征介绍 513特征库更新 514IPS工作模式 515IPS配置 515保护内网关键服务 516保护企业内网 520企业内部 521配置指导说明 523第35章网络行为 525概述 525功能介绍 525对象配置 527预定义URL库 527预定义URL库更新 527自定义URL库 529URLURL..................................................................................................529服务器配置 530关键字类别 531关键字匹配规则 532SSL..................................................................................................532配置SSL功能 533功能 538页面提示 539用户被阻断警告 539用户被 警告 541Bypass..............................................................................................542免 用户 542URL过滤 542通过WebUI配置URL过滤功能 543通过CLI配置URL过滤功能 544创建URL过滤Profile 544绑定URL过滤Profile到策略规则 545显示URL过滤Profile信息 545网页关键字 545通过WebUI配置网页关键字功能 546通过CLI配置网页关键字功能 547创建内容过滤Profile 547绑定内容过滤Profile到策略规则 548显示内容过滤Profile信息 548Web外发信息 549通过WebUI配置Web外发信息功能 549通过CLI配置Web外发信息功能 550XXVII创建Web外发信息Profile 550绑定Web外发信息Profile到策略规则 552显示Web创建Web外发信息Profile 550绑定Web外发信息Profile到策略规则 552显示Web外发信息Profile信息 552邮件过滤 552通过WebUI配置邮件过滤功能 552通过CLI配置邮件过滤功能 554创建邮件过滤Profile 554绑定邮件过滤Profile到策略规则 558显示邮件过滤Profile信息 558网络聊天 559网络聊天规则配置 559通过WebUI配置网络聊天规则 559通过CLI配置网络聊天规则 560应用行为 561CLI配置应用行为功能 561功能 563创建行为Profile 563绑定行为Profile到策略规则 564显示行为Profile信息 565日志管理 565日志信息级别及输出格式 565日志信息输出目的地 565配置日志功能 566典型配置举例 567例1：URL过滤配置举例 568准备工作 568WebUI配置步骤 568CLI配置步骤 569例2：网页关键字配置举例 570准备工作 570WebUI配置步骤 571CLI配置步骤 571例3：Web外发信息配置举例 572准备工作 572WebUI配置步骤 573CLI配置步骤 573例4：邮件过滤配置举例 574WebUI配置步骤 574CLI配置步骤 575例5：网络聊天配置举例 575WebUI配置步骤 575CLI配置步骤 577配置举例 579WebUI配置步骤 579XXVIII第36章统计 584统计功能介绍 584配置基于接口的统计功能 584第36章统计 584统计功能介绍 584配置基于接口的统计功能 584查看基于接口的统计信息 584配置统计集 584预定义统计集 585自定义统计集 586创建统计集 586配置统计数据类型 586配置数据组织方式 587配置过滤条件 591开启/关闭统计集统计功能 593查看统计集信息 593统计集配置举例 593示例一 593示例二 594示例三 596第37章日志 597日志介绍 597日志的严重等级 597日志信息输出目的地 598日志信息格式 598配置系统日志功能 598开启和关闭日志功能 599日志信息的输出及过滤 599告警日志信息的输出及过滤 600配置接收告警日志信息的 号码 601安全日志信息的输出 602配置、流量、调试和网络日志信息的输出 602IPS日志信息的输出 603配置SyslogServer 604指定场所 604设置流量日志的主机名称/用户名称的显示状态 605地址 605配置配置SMTP实例 605显示日志配置信息 606显示日志信息 606导出日志信息 607清除日志信息 607日志功能配置示例 607口输出日志信息 607输出日志信息 608第38章GTP防护 609介绍 609XXIX安全网关的GTP防护功能安全网关的GTP防护功能 610配置GTP防护功能 610创建GTPProfile 610协议异常检查 610GTP-in-GTP过滤 611GTP消息长度限制 611GTP消息速率限制 611GTP消息类型过滤 611GTP消息IE过滤 612GTP日志 613绑定GTPProfile到策略规则 613显示GTPProfile信息 613配置举例 614组网需求 614配置步骤 614神州数码DCFW-1800系列安全网关使用手册1章概述神州数码安全网关概述神州数码系列安全网关是神州数码。该系列产品的基于 深度应用的Plus®G2安全架构了传统安全网关只能基于IP和端口的防范限制。百兆到万兆的处理能力使该系列以及、IPSec/SSL内容安全等。深度应用安全的、应用带宽管理、过滤、特点介绍神州数码安全网关具有以下主要特点：全并行处理的安全架构（Plus®G2）深度应用安全全方位内容安全基于和应用的管理可扩展的模块化设计(Plus®G2)全并行处理的安全架构（Plus®G2）64DCFOS®具备强大的并行处理能力。DCFOS®神州数码采用专利的多处理器全并行架构，和常见的处理器或神州数码DCFW-1800系列安全网关使用手册1章概述神州数码安全网关概述神州数码系列安全网关是神州数码。该系列产品的基于 深度应用的Plus®G2安全架构了传统安全网关只能基于IP和端口的防范限制。百兆到万兆的处理能力使该系列以及、IPSec/SSL内容安全等。深度应用安全的、应用带宽管理、过滤、特点介绍神州数码安全网关具有以下主要特点：全并行处理的安全架构（Plus®G2）深度应用安全全方位内容安全基于和应用的管理可扩展的模块化设计(Plus®G2)全并行处理的安全架构（Plus®G2）64DCFOS®具备强大的并行处理能力。DCFOS®神州数码采用专利的多处理器全并行架构，和常见的处理器或NP/ASIC只负责三层包转发的架构不同，实DCFW-1800系列安全网关较业界其5倍的性能提升，为同时开启多项防护功能奠定了性能基础，了传统安全网关的功能实用性和性能的无法两全的局限。深度应用安全HTTP/HTTPS等应用层协议之上。新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的安全网关只能依据端口或协议去设置安全策现对应用的识别和，而不依赖于端口或协议，即使加密过的数据流也能应付自如。全方位内容安全过滤、问 和应用流量整形等功能，可防范、。关键字过滤和基神州数码网络客户服务中心1神州数码DCFW-1800系列安全网关使用手册2000万的网页，特征库、 库URL库可以通过网络服务实时对不良的。，、、新网页的及时响应。基于 和应用的管理DCFOS®的应用和识别功能能够满足越来越多的深度安全需求。基于和的管理（RBNS）让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有的内容也可以在本机模块或阅相关 使查找更简单。基于面。基于的管理模式可以通过对者IPPC终端者的用的数据泄露等问题。可扩展的模块化设计（Plus®G2）神州数码安全网关部分型号采用模块化设计，支持三种类型的扩展模块：接口扩展模块、应用处理扩展模块和 应用环境的需求，进而充分地保护用户投资：通过增加接口扩展模块提高设备的连接性，使设备过时；因为网络带宽或应用系统的升级而通过增加应用处理扩展模块提高本机应用处理能力，让应用处理不再成为性能瓶颈；扩展模块提供实时 日志、Web日志、Web内容审通过增加计日志等）功能，从而满足 部82现实，以适应校园网和小区宽带等大流量的应用场景。功能介绍列出神州数码安全网关支持的主要功能以及功能描述：用户神州数码DCFW-1800系列安全网关使用手册2000万的网页，特征库、 库URL库可以通过网络服务实时对不良的。，、、新网页的及时响应。基于 和应用的管理DCFOS®的应用和识别功能能够满足越来越多的深度安全需求。基于和的管理（RBNS）让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有的内容也可以在本机模块或阅相关 使查找更简单。基于面。基于的管理模式可以通过对者IPPC终端者的用的数据泄露等问题。可扩展的模块化设计（Plus®G2）神州数码安全网关部分型号采用模块化设计，支持三种类型的扩展模块：接口扩展模块、应用处理扩展模块和 应用环境的需求，进而充分地保护用户投资：通过增加接口扩展模块提高设备的连接性，使设备过时；因为网络带宽或应用系统的升级而通过增加应用处理扩展模块提高本机应用处理能力，让应用处理不再成为性能瓶颈；扩展模块提供实时 日志、Web日志、Web内容审通过增加计日志等）功能，从而满足 部82现实，以适应校园网和小区宽带等大流量的应用场景。功能介绍列出神州数码安全网关支持的主要功能以及功能描述：用户神州数码网络客户服务中心2功能描述防护TCP/IP 、Land、Smurf 、Fraggle ICMP包 、ARP 、WinNuke 、Ping-of-Death 、Teardrop ）保护（IP地址扫描 、端口扫描 ）QueryFlood ）二层 ARP防护DHCPSnooping）网络行为过滤：对用户 某类 进行 和审计神州数码DCFW-1800系列安全网关使用手册神州数码网络客户服务中心3功能描述网页关键字：对用户 加密网页）进行 和审计布含有某关键字信息进行 和审计邮件）进行 和审计网络聊天：对用户通过即时通讯工具聊天进行 审计应用行为 应用程序行为进行 和审计日志管理（网络行为 志）防御（IPS）神州数码DCFW-1800系列安全网关使用手册神州数码网络客户服务中心3功能描述网页关键字：对用户 加密网页）进行 和审计布含有某关键字信息进行 和审计邮件）进行 和审计网络聊天：对用户通过即时通讯工具聊天进行 审计应用行为 应用程序行为进行 和审计日志管理（网络行为 志）防御（IPS）模式/IPS 模拟模式IPS检测特征库 、本地更新IPS过滤（AV）协议防 、IMAP、POP3压缩文防 扫描多压缩扫R、PP、、R方式：中断连接、文件填充、日志特征库 更新、本地更新（HA）Active-Passive（A/P）模式Active-Active（A/A）模式IPSecSC 的 登录解决方案）拨号PnPL2TP基于安全域的基于时间的基于MAC的IP-MAC-端口地址绑定用户认证本地用户认证外部服务器用户认证（RADIUS、LDAP、MSAD）802.1X多个内部地址 同一个公网地址多个内部地址 个公网地址外部网络主机 服务器内部地址 IP地址FTPTFTPHTTPSUNRPCRTSPMicrosoftRPC神州数码DCFW-1800系列安全网关使用手册神州数码网络客户服务中心4功能描述H323SIPRSHSQLNETv2网络PPPoEDHCPDNSDDNSARPVSwitchVRouter路由（目的路由、源路由、源接口路由）OSPF）（SBRSIBR）路由策略路由静态组播路由QoS带宽管理IP-QoSQoSQoS网游优化QoS管理（CLI神州数码DCFW-1800系列安全网关使用手册神州数码网络客户服务中心4功能描述H323SIPRSHSQLNETv2网络PPPoEDHCPDNSDDNSARPVSwitchVRouter路由（目的路由、源路由、源接口路由）OSPF）（SBRSIBR）路由策略路由静态组播路由QoS带宽管理IP-QoSQoSQoS网游优化QoS管理（CLI）WebUI（HTTP，HTTPS）ConsoleTelnetSSHSNMP流量统计Ping/Traceroute系统利用率报表实时日志地址绑定日志流量告警日志网络 测日志安全 计功能神州数码DCFW-1800系列安全网关使用手册2章搭建配置环境配置环境介绍手册指导安装完毕，用户需要为安全网关搭建合适的配置环境，然后进行配置。安全网关支持本地与 行配置。用户可以搭建并使用的配置环境如下：口配置环境搭建Telnet配置环境配置环境搭建Console口配置环境Console口配置环境：1.RS-232神州数码DCFW-1800系列安全网关使用手册2章搭建配置环境配置环境介绍手册指导安装完毕，用户需要为安全网关搭建合适的配置环境，然后进行配置。安全网关支持本地与 行配置。用户可以搭建并使用的配置环境如下：口配置环境搭建Telnet配置环境配置环境搭建Console口配置环境Console口配置环境：1.RS-232PCCON口连接起来。2-1所示：口配置环境2.2-1在计算机上运行终端配置终端参数：程序（系统的超级终端等）建立与安全网关的连接。按照表神州数码网络客户服务中心5参数数值波特率9600bit/s数据位8奇偶校验无停止位1数据流无神州数码DCFW-1800系列安全网关使用手册3.给安全网关上电。安全网关会进行自检，并且自动进行系统初始化配置。如果系统启动成nn界面出现 提示“s，输入默认CLI配置界面。“admin”并敲回车键，此时用户便4.用命令对安全网关进行配置或者查看安全网关的运行状态。使用命令时可随时键入“？”寻求帮助。搭建Telnet配置环境件都已经满足：管理神州数码DCFW-1800系列安全网关使用手册3.给安全网关上电。安全网关会进行自检，并且