DPtechFW1000系列防火墙系统用户配置手册范本.docx

DPtechFW1000系列防火墙系统用户配置手册范本.docx

《DPtechFW1000系列防火墙系统用户配置手册范本.docx》由会员分享，可在线阅读，更多相关《DPtechFW1000系列防火墙系统用户配置手册范本.docx（169页珍藏版）》请在冰豆网上搜索。

DPtechFW1000系列防火墙系统用户配置手册范本

DPtechFW1000系列防火墙用户配置手册

XX迪普科技有限公司为客户提供全方位的技术支持。

通过XX迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系；直接向XX迪普科技有限公司购买产品的用户,可直接与公司联系。

XX迪普科技有限公司

地址：

XX市滨江区火炬大道581号三维大厦B座901室

邮编：

310053

声明

Copyright2010

XX迪普科技有限公司

版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

由于产品版本升级或其他原因,本手册内容有可能变更。

XX迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,XX迪普科技有限公司尽全力在本手册中提供准确的信息,但是XX迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

图形目录

表格目录

第1章产品概述

1.1产品简介

随着信息技术的日新月异和网络信息系统应用的发展,政府、企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

信息安全是一个动态的过程,在为自身业务提供高效的网络运营平台的同时,日趋复杂的IT业务系统与不同的背景业务用户的行为也给网络带来了潜在的威胁。

防火墙系统能够有效的防范和阻止经由防火墙的内部网络与Internet网络的业务流量和敏感信息的传输,实时、准确的掌握网络系统的安全状态,及时发现违反安全策略的事件,并实时告警、记录。

DPtechFW1000系列FW〔FireWall,防火墙产品是DPtech公司面向企业用户、行业用户和电信用户开发的新一代网络安全防护设备,能够提供各种复杂网络环境下的流量防范解决方案。

FW1000防火墙是集成包过滤、VPN安全防护功能；OSPF、RIP路由功能和NAT源与目的转换功能等于一身,使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络的网络安全设备。

FW1000防火墙不但能够满足各种网络环境对内部网络的安全防护功能,还具有强大的流量控制和分析、网页过滤等应用层安全功能,可帮助企业管理人员及时了解和掌握网络的安全状况,及时发现不安全因素<如违规访问、资源滥用、报文攻击、泄密等>；持续的周期性特征库更新,可使企业在最快的时间内获得最新的特征库,保证最安全的内部防护。

1.2WEB管理

1.2.1登录WEB管理界面

下面介绍WEB管理界面的登录方法：

确认主机同FW系统管理口通讯正常。

打开IE浏览器,用HTTP或HTTPS方式连接FW系统的管理IP地址,比如。

在如图1-1所示的界面中输入正确的用户名和密码,并点击登录,成功登录FW系统WEB管理界面

WEB管理登陆界面

注意：

建议使用IE6.0或以上版本的浏览器,屏幕分辨率最好设置为1024×768及以上。

Web网管不支持浏览器自带的后退、前进、刷新等按钮,使用这些按钮可能会导致Web页面显示不正常。

设备缺省的管理口是eth0/7,缺省管理IP地址为192.168.0.1。

初次使用本系统时可用缺省用户登录,用户名是admin,密码是admin。

建议首次登录后修改密码,具体操作方法请参见管理员配置部分。

用户登录后,如果对web页面不进行任何操作时间超过5分钟,系统将超时并退回到登录页面,必须重新登录才能继续使用。

设备支持管理员使用HTTP/HTTPS协议登陆web管理界面的总数最多为5个。

1.2.2WEB界面布局介绍

FW1000系统的各种功能通过不同WEB页面呈现,各种管理功能及与页面的关联关系如图1-2和图1-3所示。

FW系统结构图

WEB界面布局

<1>导航栏

<2>快捷区

<3>配置区

导航栏：

以导航树的形式组织设备的Web管理功能菜单。

用户在导航栏中可以方便的选择功能菜单,选中功能菜单的页面显示在配置区中。

快捷区：

显示当前配置区的页面在导航栏中的路径,显示设备状态,系统日志、操作日志的变化情况,提供折叠、首页、重启、帮助、退出功能按钮,可以方便、快捷地回到首页,重启或退出Web网络管理界面。

配置区：

用户进行配置和查看的区域。

WEB管理功能具体介绍如表1-1所示。

WEB管理功能列表

菜单项

功能介绍

基本

功能

系统

管理

设备

管理

设备信息

显示系统当前的系统名称、系统时间、系统时区、内存大小、外存信息、设备序列号、PCB硬件版本、软件版本、出厂管理口默认信息、CPLD硬件版本和Conboot版本及电源功率

设备状态

查看系统的CPU、内存、硬盘、CF卡的使用率和CPU、主板的温度以及风扇、电源状态

设备

设置

系统阈值设置

设置系统的CPU、内存、硬盘的使用率阈值和CPU、主板的温度阈值

系统名称设置

设置系统名称

系统时间设置

设置系统时间,包括时区、日期和时间

SNMP配置

配置简单网络管理协议相关项

管

理

员

当前管理员

查看当前登录到Web管理设备上的所有用户,并可将除自己外的指定用户强制退出

管理员设置

查看所有管理员的信息列表,添加、修改和删除不同的管理员

登录参数设置

查看和设置用户登录Web的安全方面的参数,包括超时时间、错误登录锁定次数和解锁时间设定

配置文件

查看当前配置文件,进行配置文件的备份、下载、删除操作,恢复出厂设置

特

征

库

APP特征库

查看APP特征库版本信息包括当前版本、历史版本和有效期,设置版本回退、自动和手动升级APP特征库

License文件管理

License文件导入和导出

软件版本

显示设备上存在的所有版本的名称、版本号和版本状态,备份、下载、删除软件版本

网络

管理

网

络

对

象

安全域

设置与其相连接的网络Trust、Untrust、DMZ

IP地址

设置安全域里的地址对象、地址对象组、地址对象群

Mac地址

设置Mac对象和Mac组

服务

设置安全域对应的相关服务

帐号

设置用户组和远程连接相关项

实名

设置用户组及实名列表相关项

单播IPv4路由

静态路由

配置静态路由

路由表

查询路由表项

等价路由

配置等价路由分担方式

BGP协议

配置BGP协议和显示BGP邻居信息

RIP协议

配置RIP协议项

OSPF协议

配置OSPF协议项

单播IPv6路由

配置IPv6静态路由和显示IPv6路由表

接口管理

查看和设置设备接口的工作模式、接口类型、IP、所属VLAN等

组播路由

配置PIM/IGMP协议

策略路由

配置源网段、目的网段、TOS等

DNS配置

配置DNS服务器地址

DHCP

服务器

DHCP服务器配置

查看和设定DHCP服务器启用情况,查看和添加动态、静态地址池

DHCP中继代理

查看和设定DHCP中继代理启用情况,,查看和添加接口及中继代理服务器

DHCP地址信息列表

显示DHCP地址信息列表,包括主机名、MAC地址和IP地址

诊断工具

设置执行Ping命令并显示执行结果

无线配置

配置设备的无线功能

防火墙

包过滤策略

添加、删除、插入包过滤策略

NAT

配置源NAT、目的NAT、一对一NaT等

基本攻击防护

选择阻断各种基本攻击〔IP分片、死亡之Ping、LAND攻击等,并可选择是否上报日志,并查询相关日志

DDOS

攻击

防护

SYNFlood防护

设置SYNFlood防护对象和每秒连接数

ICMPFlood防护

设置ICMPFlood防护对象和每秒连接数

UDPFlood防护

设置UDPFlood防护对象和每秒连接数

DDOS日志查询

根据不同的条件查询、删除相关的DDOS防护日志

MAC/IP绑定

自动学习、绑定MAC/IP,查询MAC/IP绑定日志

会话管理

设置绘画参数、查看会话列表

日志

管理

系统

日志

最近的日志

显示当前系统日志中最近的25条,并能导出到CSV格式的文件中；设置手动刷新和自动刷新及刷新周期

系统日志查询

按照不同条件或条件的组合查询系统日志,并能导出到CSV格式的文件中

系统日志文件操作

显示系统日志文件列表,并能备份、删除指定系统日志文件

系统

日志

配置

输出到远程日志主机

设置是否开启输出到远程日志主机；设置远程日志主机IP地址、服务端口、时间戳格式参数

保存天数

设置系统日志自动清除周期

操作

日志

最近的日志

显示当前操作日志中最近的25条,并能导出到CSV格式的文件中；设置手动刷新和自动刷新及刷新周期

操作日志查询

按照不同条件或条件的组合查询操作日志,并能导出到CSV格式的文件中

操作日志文件操作

显示操作日志文件列表,并能备份、删除指定操作日志文件

操作

日志

配置

输出到远程日志主机

设置是否开启输出到远程日志主机；设置远程日志主机IP地址、服务端口、时间戳格式参数

保存天数

设置操作日志自动清除周期

业务

日志

配置

保存天数

设置业务日志最大保存天数

摘要日志

接受消息通知

审计日志

审计功能

输出到远程日志主机

设置是否开启输出到远程日志主机；设置远程日志主机IP地址、服务端口、时间戳格式参数

发送邮件

设置是否开启发送到邮箱,设置邮件参数

业务

功能

应用防火墙

网络

应用

带宽

限速

网络应用用户组限速

查看和配置组带宽应用限速,新建和修改名称、报文入接口、网络用户组、使能/禁止状态、网络应用组、限速速率及规则的有效时间；拷贝网络应用组及相应的限速速率；删除组带宽应用限速策略

网络应用每IP限速

查看和配置每IP带宽应用限速,新建和修改名称、报文入接口、网络用户组、使能/禁止状态、网络应用组、限速速率及规则的有效时间；拷贝网络应用组及相应的限速速率；删除每IP带宽应用限速策略

网络应用组管理

查看服务类型,添加、修改、删除网络应用组

网络

应用

访问

控制

网络应用访问控制

查看和设置网络应用访问控制阻断规则,修改服务类型、带宽使用者/组、使能状态、服务类型、黑/白名单、是否发日志、有效时间等参数；拷贝和删除访问控制规则

网络应用组管理

查看服务类型,添加、修改、删除网络应用组

URL过滤策略

查看和配置URL过滤策略,新建和修改策略的名称、报文入接口、网络用户组、使能/禁止状态、过滤参数、黑/白名单、是否发日志及URL过滤策略的有效时间；拷贝和删除URL过滤策略

IPSecVPN

IPSecVPN配置

IPSecVPN连接配置

IPSecVPN连接显示

显示IPSecVPN连接状况

L2TPVPN

配置L2TP工作模式、LNS配置、客户信息配置

GREVPN

设置GRE隧道

SSLVPN

设置全局配置、用户管理、资源配置

数字证书

配置IPSecVPN所用的数字认证证书

审计

分析

流量

分析

网络流量快照

按照时间,流向查看网络流量快照,按不同服务显示流量；查看TOP

用户统计信息及TOP用户不同服务下的统计信息

业务流量分析

按不同周期统计业务流量分布；按双向、单向显示业务流量趋势变化情况及详细信息

单用户业务流量分析

查看具体用户在不同周期下的业务流量分布情况及双向、单向业务流量的趋势变化情况及详细信息

TOP用户流量分析

查看TOP用户在一定周期、不同业务、不同流向的流量趋势变化情况及详细信息

流量统计配置

配置流量统计参数,包括关闭流量分析、本地显示及发向服务器的一些参数设置

行为

审计

行为审计

新建行为审计规则,对邮件、网页浏览、文件传输、聊天工具进行行为审计

最近的日志

查看最近的25条行为审计日志并能导出到CSV文件,设置自动刷新或手动刷新

审计日志查询与删除

按照用户行为、源和目的IP、及规则名称、时间等查询条件及查询条件的不同组合来查询审计日志,并能将查询到的日志导出到CSV；删除查询出的审计日志

用户当前行为

查看用户当前的主要上网行为

关键

字过

滤

关键字过滤

查看、添加关键字阻断/过滤规则,删除关键字

最近的日志

查看最近的25条日志并能导出到CSV文件,设置自动刷新或手动刷新

审计日志的查询

按照用户行为、源IP、目的IP等查询条件或不同组合查询日志,并能将查询到的日志导出到CSV；删除查询出的日志

应用层过滤

关键字设置

设置关键字过滤内容

邮箱设置

设置邮箱过滤内容

HTTP过滤

设置HTTP过滤内容

邮件过滤

设置邮件过滤内容

FTP过滤

设置FTP过滤内容

本地认证用户

配置本地认证的用户名和密码

Web认证

Web认证配置

启用/禁用Web认证；设置启用时的相关参数,如选择Web认证的用户组、选择认证方法、添加认证背景图片

Web认证在线用户

查看Web认证在线的用户,并可以强制退出登录用户

前台管理

设置酒店前台管理,添加、删除管理员,并向指定的管理员发送用户上网管理信息邮件

高可靠性

VRRP

配置VRRP备份组

双机热备

启动/关闭双机热备功能

第2章系统管理

2.1简介

系统管理提供了设备系统相关的管理功能,包括：

设备管理

管理员

配置文件

特征库

软件版本

访问方式：

选择[基本]=>[系统管理],如图2-1所示。

系统管理菜单

2.2设备管理

2.2.1设备信息

设备信息模块可以帮助用户了解系统和设备硬件的相关信息。

设备信息显示系统当前的系统名称、系统时间、系统时区、内存大小、外存信息、设备序列号、PCB硬件版本、软件版本、出厂管理口默认信息、CPLD硬件版本、Conboot版本和电源功率。

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备信息],如图2-2所示。

设备信息

设备信息字段的详细说明如表2-1所示。

设备信息

项目

说明

系统名称

显示系统设备的名称

系统时间

显示系统当前的时间

系统时区

显示系统当前的时区

内存大小

显示硬件设备的内存容量

外存信息

显示硬件设备的外存信息和容量

设备序列号

显示硬件设备的序列号信息

PCB硬件版本

显示硬件PCB的版本信息

软件版本

显示系统软件的版本信息

出厂管理口默认信息

显示默认的管理接口名称和其默认IP地址

CPLD硬件版本

显示硬件CPLD逻辑的版本信息

Conboot版本

显示系统Conboot基本段版本信息

电源功率

显示设备的电源功率

说明：

登录WEB控制页面时,显示的首页即是[设备信息]页面。

2.2.2设备状态

设备状态模块显示系统当前的健康状态,借此可以帮助用户了解CPU、内存、硬盘、CF卡的使用率,风扇、电源的状态,CPU、主板的温度信息。

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备状态],如图2-3所示。

设备状态

设备状态的详细说明如表2-2所示。

设备状态

项目

说明

CPU使用率

显示CPU的实时使用率

超过阈值时,显示红灯；否则,显示绿灯

内存使用率

显示内存的实时使用率

超过阈值时,显示红灯；否则,显示绿灯

硬盘使用率

显示硬盘的实时使用率

超过阈值时,显示红灯；否则,显示绿灯

CF卡使用率

显示CF卡的实时使用率

超过阈值时,显示红灯；否则,显示绿灯

风扇状态

显示风扇当前的工作状态

风扇损坏时,显示红灯；否则,显示绿灯

电源状态

显示电源当前的工作状态

电源损坏时,显示红灯；否则,显示绿灯

CPU温度

显示系统CPU的当前温度

超过阈值时,显示红灯；否则,显示绿灯

主板温度

显示主板的当前温度

超过阈值时,显示红灯；否则,显示绿灯

说明：

将鼠标放置某个项目后的指示灯上时,可显示相应的实时数据。

在WEB配置页面上方有CPU、内存使用率的即时信息和风扇、电源的即时状态显示。

WEB管理页面上方为设备状态查看的快捷区域,如图2-4所示。

在此区域可以即时查看CPU、内存的使用率及风扇、电源的状态、CUP温度和主板温度。

设备状态查看快捷区域

2.2.3设备设置

系统名称设置

系统名称设置功能允许用户自定义系统名称,便于管理。

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备设置],如图2-5所示。

系统名称设置

修改系统名称的操作流程：

选择[设备信息设置]选项卡,在系统名称栏输入要重新设置的系统名称

点击右上方的确认按钮,新设置的系统名称即时生效

系统时间设置

系统时间设置功能允许用户自定义系统时间,与当前时间同步。

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备设置],如图2-6所示。

系统时间设置

修改系统时间的操作流程：

选择[设备信息设置]选项卡,在系统时间栏输入要重新设置的时区、日期和时间

点击右上方的确认按钮,新设置的系统时间即时生效

系统阈值设置

系统阈值设置功能可以允许用户设置系统硬件使用率和温度的阈值。

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备设置],如图2-7所示。

系统阈值设置

系统阈值设置的详细说明如表2-3所示。

系统阈值设置

项目

说明

CPU使用率阈值

设置CPU使用率的阈值

内存使用率阈值

设置内存使用率的阈值

硬盘使用率阈值

设置硬盘使用率的阈值

CPU温度阈值

设置CPU温度阈值的下限值和上限值

主板温度阈值

设置主板温度阈值的下限值和上限值

阈值设置的操作流程：

选择[设备信息设置]选项卡

在系统阈值栏相应的位置输入要重新设置的阈值

点击右上方的确认按钮,修改后的阈值即时生效

注意：

请根据硬件的规格和处理能力正确设置阈值,如无特殊需求,请采用系统默认值。

当设备硬件使用率和CPU、主板温度超出阈值时,设备状态页面中的硬件指示灯将会由绿色变为红色。

请及时联系管理员排查问题。

启动远程诊断

启动远程诊断功能可以允许用户对本设备提供远程协助。

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备设置],如图2-8所示。

系统阈值设置

启动远程诊断的操作流程：

选择[设备信息设置]选项卡

把启动远程诊断栏的复选框选中

点击右上方的确认按钮,启动远程诊断功能即时生效

数据库清空

数据库清空功能方便用户快速简单的清空数据库信息

访问方式：

选择[基本]=>[系统管理]=>[设备管理]=>[设备设置],如图2-9所示。

数据库清空设置

数据库清空的操作流程：

选择[数据库清空]选项卡

点击

按钮

点击弹出框的确定按钮,设备即时重启并清空数据库

2.3SNMP配置

2.3.1简介

SNMP配置模块提供了网络管理相关的认证服务和访问策略等功能

2.3.2配置信息

配置信息向用户提供定义以及查看与网络管理相关的信息等功能。

访问方式：

选择[基本]=>[系统管理]=>[SNMP配置],如图2-10所示。

配置信息设置

管理员模块提供的具体功能如表2-4所示。

配置信息设置

项目

说明

读团体字

定义读团体字

读写团体字

定义读写团体字

设备位置

描述设备所处地理位置

联系信息

描述设备相关联系信息

Trap目的主机

描述Trap目的主机相关信息

配置信息的操作流程：

选择[SNMP设置]选项卡

在配置信息栏的相应位置输入要定义的团体字、设备位置等相关信息

点击右上方的确认按钮,配置信息将即时生效

2.3.3IP地址列表

IP地址列表功能可以使用户指定的管理者才具有对MIB的访问权限。

访问方式：

选择[基本]=>[系统管理]=>[SNMP配置],如图2-11所示。

IP地址列表设置

配置信息的操作流程：

选择[SNMP设置]选项卡

在IP地址列表栏的IP地址输入框里填写要指定的管理者的IP地址

点击

按钮,将IP地址添加到左边IP地址列表框里

点击右上方的确认按钮,IP地址列表将即时生效

2.4管理员

2.4.1简介

管理员模块提供了对管理用户的添加、修改、删除等管理功能。

管理员模块提供的具体功能如表2-5所示。

用户管理功能特性

项目

说明

当前管理员

显示所有当前已登录管理员的信息列表,并可强制退出其他管理员

管理员设置

可以添加或删除管理员、修改管理员的密码、尚未登录的管理员权限及除自己以外管理员的状态

登录参数设置

设置登录参数,包括超时时间、错误登录锁定和锁定后解锁

2.4.2当前管理员

以列表的形式查看当前已登录的管理员。

访问方式：

选择[基本]=>[系统管理]=>[管理员],如图2-12所示。

当前管理员

当前管理员列表的详细信息说明,如表2-6所示。

当前管理员列表

项目

说明

管理员

显示当前已成功登录到设备的管理员名称

登录时间

显示管理员成功登录到设备的具体时间

最近访问时间

显示用户最近一次在Web上进行操作的时间

登录地址

已成功登录设备的管理员主机IP地址

操作

点击

强制退出图标可以使某已登录管理员退出当前登录

2.4.3管理员设置

具有创建、修改和删除管理员的功能。

访问方式：

选择[基本]=>[系统管理]=>[管理员],如图2-13所示。

管理员设置

管理员设置列表中各项目的说明如表2-7所示。

用户列表的详细说明

项目

说明

管理员

系统中创建管理员的名称

由大小写英文字母、数字和特殊字符._-组合而成,且必须以字母或数字开头,长度为3-20个字符

密码

管理员登录时的密码

由大小写英文字母及数字组成,允许使用特殊字符<>-+=|[]:

;/_,长度为3-128个字符

确认密码

输入的确认密码必须与密码一致,如果不一致,在提交设置时,系统会弹出提示框,提示两次输入的密码不一致

描述

设置对该管理员的描述

由大小写英文字母、数字、空格及特殊字符._-组成,长度为0-40个字符

权限

设置该管理员的权限

不同权限的管理员访问设备的功能权限不同

状态

管理员的状态：

锁定或正常

Ø锁定：

表示管理员已被锁定,无法成功登录WEB界面

Ø正常：

表示管理员未被锁定,可以正常登录WEB界面

操作

点击

删除图标,可以删除已创建的管理员

添加管理员的操作流程：

点击添加管理员按钮

在新建的管理员列表行中填写管理员名称、密码、确认密码及描述

勾选此管理员的权限范围

点击右上方的确认按钮

修改管理员属性的操作流程：

确认需修改管理员的列表行

如需修改管理员密码,请将鼠标移动到密码附近,随即鼠标变为铅笔图标,左键单击后修改密码

修改确认密码与修改的密码一致

点击右上方的确认按钮

如需修改管理员的其他属性：

描述、权限和状态,重复以上步骤即可

删除管理员的操作流程：

确认需删除管理员的列表行

点击操作列中相应的删除图标

点击右上方的确认按钮

注意：

添加管理员时的默认密码不可用,请自行设定符合创建规则的密码；

添加管理员时不能对管理员进行锁定,默认为正常状态。

如需锁定请在创建成功后进行锁定；

删除管理员时会出现窗口提示,请谨慎使用删除操作；

2.4.4登录参数设置

可