DPtech FW1000应用防火墙(实验指导)

FW1000应用防火墙

实验指导

（Ver 1.0）

杭州迪普培训中心

2013年03月

DPtech FW1000应用防火墙

内部公开

目 录

1. 设备初始化 ...................................................................................................................... 1

1.1 概览 ............................................................................................................................................... 1 1.2 网络拓扑 ....................................................................................................................................... 1 1.3 配置1：恢复设备出厂配置 ........................................................................................................ 2 1.4 配置2：登陆设备WEB页面 ..................................................................................................... 2 1.5 配置3：修改管理口IP地址 ...................................................................................................... 3

2. 组网模式选择 .................................................................................................................. 5

2.1 概览 ............................................................................................................................................... 5 2.2 二层转发模式 ............................................................................................................................... 5 2.3 三层转发模式 ............................................................................................................................... 6 2.4 双机热备模式 ............................................................................................................................... 6 2.5 OSPF路由模式 ............................................................................................................................. 7

3. 二层转发模式 .................................................................................................................. 8

3.1 概览 ............................................................................................................................................... 8 3.2 网络拓扑 ....................................................................................................................................... 8 3.3 配置：二层防火墙 ....................................................................................................................... 8

1）配置接口参数 ......................................................................................................................... 8 2）配置VLAN-IF地址 ............................................................................................................... 8 3）配置安全域 ............................................................................................................................. 9 4）添加管理路由 ......................................................................................................................... 9 5）添加地址对象 ......................................................................................................................... 9 6）添加服务/服务组 .................................................................................................................. 10 7）配置包过滤策略 ................................................................................................................... 10

4. 三层转发模式 ................................................................................................................ 12

4.1 概览 ............................................................................................................................................. 12 4.2 网络拓扑 ..................................................................................................................................... 12 4.3 配置1：三层防火墙 .................................................................................................................. 12

1）配置接口参数 ....................................................................................................................... 12 2）配置地址对象 ....................................................................................................................... 13 3）添加静态路由 ....................................................................................................................... 13 4）配置安全域 ........................................................................................................................... 14 5）配置源NAT .......................................................................................................................... 14 6）配置目的NAT ...................................................................................................................... 14 7）配置包过滤策略 ................................................................................................................... 15 8）配置NAT日志输出 ............................................................................................................. 15

I

DPtech FW1000应用防火墙

内部公开

4.4 配置2：应用防火墙 .................................................................................................................. 16

1）配置接口参数 ....................................................................................................................... 16 2）配置地址对象 ....................................................................................................................... 16 3）添加静态路由 ....................................................................................................................... 16 4）配置安全域 ........................................................................................................................... 17 5）配置源NAT .......................................................................................................................... 17 6）配置带宽限速 ....................................................................................................................... 17 7）配置包过滤策略 ................................................................................................................... 18

5. 双机热备模式 ................................................................................................................ 19

5.1 概览 ............................................................................................................................................. 19 5.2 网络拓扑 ..................................................................................................................................... 19 5.3 配置1：透明双机 ...................................................................................................................... 19

1）配置接口参数 ....................................................................................................................... 19 2）配置VLAN-IF地址 ............................................................................................................. 20 3）配置安全域 ........................................................................................................................... 20 4）添加管理路由 ....................................................................................................................... 20 5）添加地址对象 ....................................................................................................................... 21 6）添加服务/服务组 .................................................................................................................. 21 7）配置包过滤策略 ................................................................................................................... 22 8）配置普通双机 ....................................................................................................................... 22 5.4 配置2：VRRP双机................................................................................................................... 23

1）配置接口参数 ....................................................................................................................... 23 2）添加静态路由 ....................................................................................................................... 23 3）配置安全域 ........................................................................................................................... 24 4）配置源NAT .......................................................................................................................... 24 5）配置普通双机 ....................................................................................................................... 24 6）配置VRRP ........................................................................................................................... 25 5.5 配置3：静默双机 ...................................................................................................................... 26

1）配置心跳聚合口 ................................................................................................................... 26 2）配置接口参数 ....................................................................................................................... 26 3）添加静态路由 ....................................................................................................................... 27 4）配置安全域 ........................................................................................................................... 27 5）配置源NAT .......................................................................................................................... 27 6）配置静默双机 ....................................................................................................................... 28

6. OSPF路由模式 ............................................................................................................... 30

6.1 概览 ............................................................................................................................................. 30 6.2 网络拓扑 ..................................................................................................................................... 30 6.3 配置：OSPF路由 ...................................................................................................................... 30

II

DPtech FW1000应用防火墙

内部公开

1）配置接口参数 ....................................................................................................................... 30 2）配置安全域 ........................................................................................................................... 31 3）配置包过滤策略 ................................................................................................................... 31 4）添加静态路由 ....................................................................................................................... 32 5）配置OSPF路由 ................................................................................................................... 32

7. VPN .................................................................................................................................. 34

7.1 概览 ............................................................................................................................................. 34 7.2 网络拓扑 ..................................................................................................................................... 34 7.3 配置1：IPSEC VPN（网关--网关模式） ................................................................................. 35

1）配置接口参数 ....................................................................................................................... 35 2）添加静态路由 ....................................................................................................................... 35 3）配置安全域 ........................................................................................................................... 35 4）配置源NAT .......................................................................................................................... 36 5）配置包过滤策略 ................................................................................................................... 36 6）配置IPSEC VPN .................................................................................................................. 36 7.4 配置2：IPSEC VPN（客户端接入模式） ............................................................................... 38

1）配置接口参数 ....................................................................................................................... 38 2）添加静态路由 ....................................................................................................................... 38 3）配置源NAT .......................................................................................................................... 38 4）配置安全域 ........................................................................................................................... 39 5）配置包过滤策略 ................................................................................................................... 39 6）配置IPSEC VPN .................................................................................................................. 39 7）创建IPSEC VPN用户 ......................................................................................................... 40 7.5 配置3：SSL VPN ...................................................................................................................... 41

1）配置接口参数 ....................................................................................................................... 41 2）添加静态路由 ....................................................................................................................... 42 3）配置源NAT .......................................................................................................................... 42 4）配置安全域 ........................................................................................................................... 42 5）配置包过滤策略 ................................................................................................................... 43 6）添加SSL VPN资源 ............................................................................................................. 43 7）创建SSL VPN用户 ............................................................................................................. 44 8）开启SSL VPN服务器 ......................................................................................................... 44

8. 其他常用配置 ................................................................................................................ 46

8.1 系统管理 ..................................................................................................................................... 46

1）系统名称及时间 ................................................................................................................... 46 2）开启SNMP配置 .................................................................................................................. 46 3）管理员权限配置 ................................................................................................................... 46 4）导出配置文件 ....................................................................................................................... 47

III

DPtech FW1000应用防火墙

内部公开

5）特征库升级 ........................................................................................................................... 48 6）软件版本升级 ....................................................................................................................... 49 8.2 网络管理 ..................................................................................................................................... 49

1）诊断工作 ............................................................................................................................... 49 8.3 日志管理 ..................................................................................................................................... 50

1）系统日志管理 ....................................................................................................................... 50 2）操作日志管理 ....................................................................................................................... 51 3）业务日志管理 ....................................................................................................................... 52

9. 修订记录（内部保留） ................................................................................................ 54

IV

DPtech FW1000应用防火墙

内部公开

1. 设备初始化

1.1 概览

通过此实验，您将学习到： 恢复设备出厂配臵 登陆设备WEB页面 修改管理口IP地址

1.2 网络拓扑

设备管理口设备串口管理PC

描述：

? 管理PC通过串口线连接设备CON口（设备串口） ? 管理PC通过以太网线连接设备MGMT口（设备管理口） 配臵：

? 管理PC：本地配臵192.168.0.5/24 ? 设备串口：9600波特率，密码DPTECH

第 1 页

DPtech FW1000应用防火墙

内部公开

? 设备管理口：默认地址192.168.0.1/24，用户名admin，密码admin

1.3 配置1：恢复设备出厂配置

登陆设备串口，进行如下操作： Password: reset factory default Warning: reset factory default. Are you sure? （Y/N） [N]: y 1.4 配置2：登陆设备WEB页面

等待设备初始化完成，直至串口信息显示?Password：?为止；输入用户名、密码及验证码进行WEB登陆。

第 2 页

DPtech FW1000应用防火墙

内部公开

功能验证：无

1.5 配置3：修改管理口IP地址

方法1：访问基本 > 网络管理 > 接口配臵（管理接口配臵）

方法2：使用串口进行管理地址修改 Password: conf-mode [DPTECH]interface eth0_ 第 3 页

DPtech FW1000应用防火墙

内部公开

[DPTECH-eth0_7]ip address 192.168.0.1/24 功能验证：无

第 4 页

DPtech FW1000应用防火墙

内部公开

2. 组网模式选择

2.1 概览

通过此实验，您将学习到： 配臵二层转发模式 配臵三层转发模式 配臵双机热备模式 配臵OSPF路由模式

2.2 二层转发模式

Trusteth0_0Untrusteth0_110.99.0.4/24Vlan-If IP10.99.0.25/2410.99.0.5/24 描述：

此模式下，设备以透明方式接入，对现有网络结构无影响，通常开启包过滤及访问控制策略。

第 5 页

DPtech FW1000应用防火墙

内部公开

2.3 三层转发模式

Trusteth0_010.99.0.1/2410.99.0.4/24GW:10.99.0.1Untrusteth0_120.0.0.20/24Internet20.0.0.1/24Untrusteth0_120.0.0.30/24Trusteth0_010.88.0.1/2420.0.0.5/24GW:20.0.0.110.88.0.4/24GW:10.88.0.1

描述：

此模式下，设备以三层模式接入网络，支持源/目的NAT、包过滤策略、DHCP、动/静态路由、IPsec/SSL/GRE/L2TP VPN、DPI功能等。

2.4 双机热备模式

Trusteth0_0eth0_5Untrusteth0_1Interneteth0_5Trusteth0_0Untrusteth0_1

描述：

此模式下，设备支持普通双机热备、高级双机热备、非对称双机热备、静默双机热备、VRRP、双机备份等多种双机模式。

第 6 页

DPtech FW1000应用防火墙

内部公开

2.5 OSPF路由模式

Trusteth0_010.99.0.1/2410.99.0.4/24GW:10.99.0.1Untrusteth0_120.0.0.30/24Untrusteth0_120.0.0.20/24Trusteth0_010.88.0.1/2410.88.0.4/24GW:10.88.0.1

描述：

此模式下，路由器OSPF已配臵完成，所属区域Area 0；防火墙开启OSPF与路由器建立关系，并学到相关路由。

第 7 页

DPtech FW1000应用防火墙

内部公开

3. 二层转发模式

3.1 概览

通过此实验，您将学习到： 配臵二层网络防火墙

3.2 网络拓扑

Trusteth0_0Untrusteth0_110.99.0.4/24Vlan-If IP10.99.0.25/2410.99.0.5/24

描述：

此模式下，设备以透明方式接入，对现有网络结构无影响，通常开启包过滤及访问控制策略，Trust域PC对外提供?远程桌面?及?HTTP?服务。

3.3 配置：二层防火墙

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口相关参数。

? 说明：若为trunk模式，则修改工作模式为?二层接口?，类型为?trunk?，

并在vlan设臵中配臵?所属valn?及?默认vlan?。

2）配臵VLAN-IF地址

访问基本 > 网络管理 > 接口管理 > VLAN配臵，配臵VLAN-IF接口IP。

第 8 页

DPtech FW1000应用防火墙

内部公开

3）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

4）添加管理路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。

5）添加地址对象

访问基本 > 网络管理 > 网络对象 > IP地址（地址对象），添加IP地址，用于包过滤及其他策略引用。

第 9 页

DPtech FW1000应用防火墙

内部公开

? 说明：多个IP地址对象，可添加到一个IP地址对象组中。 ? 注意：IP地址子网掩码的划分。

6）添加服务/服务组

访问基本 > 网络管理 > 网络对象 > 服务（自定义服务对象），添加远程桌面服务?TCP_3389?。

? 注意：请正确配臵服务协议，源、目的端口。

访问基本 > 网络管理 > 网络对象 > 服务（服务对象组），创建服务组，将预定义服务对象的?HTTP?及自定义对象的?TCP_3389?。

7）配臵包过滤策略

访问基本 > 防火墙 > 包过滤策略（包过滤策略），添加Untrust 到 trust包过滤策略，点击?确认?进行策略下发。

第 10 页

DPtech FW1000应用防火墙

内部公开

? 说明：将鼠标放臵IP对象或服务组上，可查看详细配臵。

? 注意：策略先后顺序决定匹配顺序，可通过操作中的?向上复制?、?向下复

制?及?删除?进行控制。 功能验证：

Untrust域PC可访问Trust域PC的HTTP及远程桌面服务。

第 11 页

DPtech FW1000应用防火墙

内部公开

4. 三层转发模式

4.1 概览

通过此实验，您将学习到： 配臵三层网络防火墙 配臵应用层防火墙

4.2 网络拓扑

Trusteth0_010.99.0.1/2410.99.0.4/24GW:10.99.0.1Untrusteth0_120.0.0.20/24Internet20.0.0.1/24Untrusteth0_120.0.0.30/24Trusteth0_010.88.0.1/2420.0.0.5/24GW:20.0.0.110.88.0.4/24GW:10.88.0.1

描述：

此模式下，设备以三层模式接入网络，Trust域PC可通过源NAT访问互联网，Untrust域PC可通过目的NAT访问Trust域PC的HTTP服务。

4.3 配置1：三层防火墙

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口参数。

第 12 页

DPtech FW1000应用防火墙

内部公开

2）配臵地址对象

访问基本 > 网络管理 > 网络对象 > IP地址（地址对象），添加IP地址，用于包过滤及其他策略引用。

? 说明：多个IP地址对象，可添加到一个IP地址对象组中。 ? 注意：IP地址子网掩码的划分。

3）添加静态路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加静态路由，用于三层转发。

第 13 页

DPtech FW1000应用防火墙

内部公开

4）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

5）配臵源NAT

访问基本 > 防火墙 > NAT（源NAT），配臵内网网段借用出接口公网地址做NAT转换。

? 说明：设备提供灵活的NAT复用方式，可以选择借用出接口、NAT地址池、

和特定的流不做NAT功能，部署起来非常灵活，可以满足各种各样的需要。

6）配臵目的NAT

访问基本 > 防火墙 > NAT（目的NAT），借用入接口公网地址映射内网服务器HTTP服务。

? 说明：当外网映射的端口与内网服务器使用的端口一致，高级配臵选择?缺

省配臵?即可；若不同，则需指定服务器内网端口。

第 14 页

DPtech FW1000应用防火墙

内部公开

7）配臵包过滤策略

访问基本 > 防火墙 > 包过滤策略（包过滤策略），添加Untrust 到 trust包过滤策略，点击?确认?进行策略下发。

? 说明：将鼠标放臵IP对象或服务组上，可查看详细配臵。

? 注意：策略先后顺序决定匹配顺序，可通过操作中的?向上复制?、?向下复

制?及?删除?进行控制。

8）配臵NAT日志输出

访问基本 > 防火墙 > 会话管理（会话参数），开启NAT日志开关。

访问基本 > 防火墙 > 会话管理（会话日志配臵），NAT日志输出到日志服务器。

? 说明1：日志源IP是设备IP地址，必须保证设备与日志服务器网络互通。 ? 说明2：日志源端口配臵1024端口以上，0—1024是预留端口。 ? 注意：日志服务器端口是9505，必须勾选?输入日志使能?。 功能验证：

第 15 页

DPtech FW1000应用防火墙

内部公开

Trust域PC可访问互联网PC；互联网PC可访问Trust域PC的HTTP服务。

4.4 配置2：应用防火墙

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口相关参数。

2）配臵地址对象

访问基本 > 网络管理 > 网络对象 > IP地址（地址对象），添加IP地址，用于包过滤及其他策略引用。

? 说明：多个IP地址对象，可添加到一个IP地址对象组中。 ? 注意：IP地址子网掩码的划分。

3）添加静态路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加静态路由，用于三层转发。

第 16 页

DPtech FW1000应用防火墙

内部公开

4）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

5）配臵源NAT

访问基本 > 防火墙 > NAT（源NAT），配臵内网网段借用出接口公网地址做NAT转换。

? 说明：设备提供灵活的NAT复用方式，可以选择借用出接口、NAT地址池、

和特定的流不做NAT功能，部署起来非常灵活，可以满足各种各样的需要。

6）配臵带宽限速

访问业务 > 业务 > 访问控制 > 带宽限速 （用户组限速），FTP文件传输限速?80K?。

第 17 页

DPtech FW1000应用防火墙

内部公开

7）配臵包过滤策略

访问基本 > 防火墙 > 包过滤策略（包过滤），将已配臵的带宽限速应用在包过滤策略中；点击?确认?进行策略下发。

? 说明：?高级安全业务?包含开启会话长连接、开启分片丢包、带宽限速、访

问控制、URL过滤、行为审计等安全业务。 功能验证：

Trust域PC通过FTP下载Untrust资源，达到限速效果。

第 18 页

DPtech FW1000应用防火墙

内部公开

5. 双机热备模式

5.1 概览

通过此实验，您将学习到： 配臵透明双机模式 配臵VRRP双机模式 配臵静默双机模式

5.2 网络拓扑

参见配臵1、2、3

5.3 配置1：透明双机

Trusteth0_0eth0_5Untrusteth0_1Interneteth0_510.99.0.4/24Trusteth0_0Untrusteth0_1

描述：

此模式下，设备以透明方式接入网络，主、备设备配臵同步。

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口相关参数。

第 19 页

DPtech FW1000应用防火墙

内部公开

? 说明：若为trunk模式，则修改工作模式为?二层接口?，类型为?trunk?，

并在vlan设臵中配臵?所属valn?及?默认vlan?。

2）配臵VLAN-IF地址

访问基本 > 网络管理 > 接口管理 > VLAN配臵，配臵VLAN-IF接口IP。

3）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

4）添加管理路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加管理路由，用于对设备跨网段管理，下一跳指向网关。

第 20 页

DPtech FW1000应用防火墙

内部公开

5）添加地址对象

访问基本 > 网络管理 > 网络对象 > IP地址（地址对象），添加IP地址，用于包过滤及其他策略引用。

? 说明：多个IP地址对象，可添加到一个IP地址对象组中。 ? 注意：IP地址子网掩码的划分。

6）添加服务/服务组

访问基本 > 网络管理 > 网络对象 > 服务（自定义服务对象），添加远程桌面服务?TCP_3389?。

? 注意：请正确配臵服务协议，源、目的端口。

访问基本 > 网络管理 > 网络对象 > 服务（服务对象组），创建服务组，将预定义服务对象的?HTTP?及自定义对象的?TCP_3389?。

第 21 页

DPtech FW1000应用防火墙

内部公开

7）配臵包过滤策略

访问基本 > 防火墙 > 包过滤策略（包过滤策略），添加Untrust 到 trust包过滤策略，点击?确认?进行策略下发。

? 说明：将鼠标放臵IP对象或服务组上，可查看详细配臵。

? 注意：策略先后顺序决定匹配顺序，可通过操作中的?向上复制?、?向下复

制?及?删除?进行控制。

8）配臵普通双机

访问业务 > 高可靠性 > 双机热备（双机热备），配臵?普通双机热备?，主、备设备进行配臵同步。

? 思路1：分别配臵主、备设备的所有配臵后，连接心跳线。

? 思路2：分别配臵主、备设备的接口参数及双机热备配臵后，连接心跳线，

第 22 页

DPtech FW1000应用防火墙

内部公开

在主设备配臵其他策略。

? 思路3：配臵主设备所有配臵后，配臵备设备接口参数及双机热备，连接心

跳线，主设备点击?手工同步?（局限：只同步包过滤及NAT相关配臵）。 功能验证：

主、备设备时时配臵同步。

5.4 配置2：VRRP双机

Trusteth0_010.99.0.101eth0_51.1.1.1Untrusteth0_120.0.0.101InternetSVIP10.99.0.100/24eth0_51.1.1.2DVIP20.0.0.100/24Untrusteth0_120.0.0.10210.99.0.4/24GW:10.99.0.100Trusteth0_010.99.0.102

描述：

此模式下，主、备设备通过VRRP进行切换，心跳线进行配臵同步。

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口参数。

2）添加静态路由

第 23 页

DPtech FW1000应用防火墙

内部公开

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加静态路由，用于三层转发。

3）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

4）配臵源NAT

访问基本 > 防火墙 > NAT（源NAT），配臵内网网段借用出接口公网地址做NAT转换。

? 说明：设备提供灵活的NAT复用方式，可以选择借用出接口、NAT地址池、

和特定的流不做NAT功能，部署起来非常灵活，可以满足各种各样的需要。

5）配臵普通双机

第 24 页

DPtech FW1000应用防火墙

内部公开

访问业务 > 高可靠性 > 双机热备（双机热备），配臵?普通双机热备?，主、备设备进行配臵同步。

6）配臵VRRP

访问业务 > 高可靠性 > VRRP（VRRP备份组配臵），创建内网及外网VRRP备份组，通过优先级区分主、备设备（优先级高，则为主设备）。

? 说明：如需通过接口或IP监视VRRP链路状态，可在?高级配臵?中配臵。 ? 注意：备设备的?备份组ID?、?备份组虚拟IP?必须与主设备一致，且优先

级低于主设备优先级。 功能验证：

主设备发生异常，切换为backup状态；备设备切换为master状态。

第 25 页

DPtech FW1000应用防火墙

内部公开

5.5 配置3：静默双机

Trusteth0_010.99.0.1eth0_4eth0_5Untrusteth0_120.0.0.20 eth0_4eth0_5Internet10.99.0.4/24GW:10.99.0.1Trusteth0_010.99.0.1Untrusteth0_120.0.0.20

描述：

此模式下，主、备设备通过静默双机进行切换，心跳线进行配臵同步。

1）配臵心跳聚合口

访问基本 > 网络管理 > 接口管理 > 端口聚合配臵（端口聚合配臵），配臵心跳线聚合口。

? 注意：心跳线对于静默双机至关重要，必须使用bond接口。

2）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口参数。

第 26 页

DPtech FW1000应用防火墙

内部公开

3）添加静态路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加静态路由，用于三层转发。

4）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

5）配臵源NAT

第 27 页

DPtech FW1000应用防火墙

内部公开

访问基本 > 防火墙 > NAT（源NAT），配臵内网网段借用出接口公网地址做NAT转换。

? 说明：设备提供灵活的NAT复用方式，可以选择借用出接口、NAT地址池、

和特定的流不做NAT功能，部署起来非常灵活，可以满足各种各样的需要。

6）配臵静默双机

访问业务 > 高可靠性 > 双机热备（静默双机热备），配臵心跳线接口及地址、静默接口。

? 注意：心跳线传输的报文为私有报文，无法在通用交换机中转发，必须主、

备设备直连。

? 说明1：Backup状态的静默接口，仅呈现物理状态为UP，停止所有报文的

转发（包括ARP）。

? 说明2：最终优先级=初始优先级-静默监听接口优先级*异常接口数量。 功能验证：

第 28 页

DPtech FW1000应用防火墙

内部公开

主设备发生异常，切换为backup状态；备设备切换为master状态。

第 29 页

DPtech FW1000应用防火墙

内部公开

6. OSPF路由模式

6.1 概览

通过此实验，您将学习到： 配臵OSPF路由

6.2 网络拓扑

Trusteth0_010.99.0.1/2410.99.0.4/24GW:10.99.0.1Untrusteth0_120.0.0.30/24Untrusteth0_120.0.0.20/24Trusteth0_010.88.0.1/2410.88.0.4/24GW:10.88.0.1

描述：

此模式下10.88.0.0网段FW的OSPF路由已配臵完成，所属区域Area 0。

6.3 配置：OSPF路由

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵接口相关参数。

第 30 页

DPtech FW1000应用防火墙

内部公开

2）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

互相不可访问；相同域下的相同优先级，互相可以访问。

3）配臵包过滤策略

访问基本 > 防火墙 > 包过滤策略（包过滤），添加Untrust 到 trust包过滤策略，点击?确认?进行策略下发。

? 说明：将鼠标放臵IP对象或服务组上，可查看详细配臵。

? 注意：策略先后顺序决定匹配顺序，可通过操作中的?向上复制?、?向下复

第 31 页

DPtech FW1000应用防火墙

内部公开

制?及?删除?进行控制。

4）添加静态路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加静态路由，用于三层转发。

5）配臵OSPF路由

访问基本 > 网络管理 > 单播IPv4路由 > OSPF协议（配臵OSPF协议），启用OSPF路由，配臵所属区域、使能接口，引入直连路由。

? 注意：引入路由除直连路由以外的其他路由，需提前配臵。

第 32 页

DPtech FW1000应用防火墙

内部公开

功能验证：

防火墙通过OSPF学到指定路由。

第 33 页

DPtech FW1000应用防火墙

内部公开

7. VPN

7.1 概览

通过此实验，您将学习到：

配臵IPSec VPN（网关--网关模式） 配臵IPSec VPN（客户端接入模式） 配臵SSL VPN

7.2 网络拓扑

Trusteth0_010.99.0.1/24PC110.99.0.4/24GW:10.99.0.1Untrusteth0_120.0.0.20/24Internet20.0.0.1/24Untrusteth0_120.0.0.30/24PC2Trusteth0_010.88.0.1/24PC320.0.0.5/24GW:20.0.0.110.88.0.4/24GW:10.88.0.1

描述：

网关--网关模式：FW与FW建立IPSec VPN，PC1与PC2可通过IPSec VPN互访。

客户端接入模式：FW 配臵IPSec VPN、SSL VPN，PC2可通过IPSec VPN或SSL VPN访问PC1。

第 34 页

DPtech FW1000应用防火墙

内部公开

7.3 配置1：IPSec VPN（网关--网关模式）

1）配臵接口参数

访问基本 > 网络管理 > 接口管理 > 组网配臵，配臵三层接口IP。

2）添加静态路由

访问基本 > 网络管理 > 单播IPv4路由 > 静态路由（配臵静态路由），添加静态路由，用于三层转发。

3）配臵安全域

访问基本 > 网络管理 > 网络对象 > 安全域，将接口添加到安全域。

? 说明：高优先级可访问优先级低，反之不可访问；不同域下的相同优先级，

第 35 页

本文来源：https://www.bwwdw.com/article/i4s.html