神州数码多核防火墙快速配置手册V3.0

神州数码网络公司客户服务中心1多核墙快速配置手册V3.0神州数码网络（北京）有限公司客户服务中心技术支持部2012年3月神州数码网络公司客户服务中心2关于本手册本手册是针对神州数码1800系列多核防火墙常用功能配置手册，希望借助此手册用户和网络工程师能够快速掌握多核防火墙的基本使用，能够进行简单的故障排除。更加详细的内容请参考多核墙的安装手册、配置手册、命令手册。该手册中的配置及web抓图都使用DCFOS4.5R3系列版本。手册配置中如有发现问题或疑问请发送邮件到zhujya@digitalchina.com，谢谢！神州数码网络公司客户服务中心3多核防火墙快速配置手册V3.0防火墙配置一：SNAT配置............................................................................................................4防火墙配置二：DNAT配置...........................................................................................................6防火墙配置三：透明模式配置.....................................................................................................11防火墙配置四：混合模式配置.....................................................................................................14防火墙配置五：DHCP配置.........................................................................................................18防火墙配置六：DNS代理配置....................................................................................................19防火墙配置七：DDNS配置.........................................................................................................21防火墙配置八：负载均衡配置.....................................................................................................23防火墙配置九：源路由配置.........................................................................................................25防火墙配置十：双机热备配置.....................................................................................................27防火墙配置十一：IP-QoS配置....................................................................................................30防火墙配置十二：应用QoS配置................................................................................................33防火墙配置十三：Web认证配置................................................................................................36防火墙配置十四：会话控制配置.................................................................................................43防火墙配置十五：IP-MAC绑定配置..........................................................................................44防火墙配置十七：URL过滤配置................................................................................................47防火墙配置十八：网页内容过滤配置.........................................................................................52防火墙配置十九：基于路由静态IPSEC配置案例....................................................................54防火墙配置二十：基于路由动态IPSEC配置案例....................................................................60防火墙配置二十一：基于策略静态IPSEC配置案例................................................................69防火墙配置二十二：SSLVPN配置案例....................................................................................78防火墙配置二十三：防病毒配置.................................................................................................84防火墙配置二十四：IPS配置......................................................................................................87防火墙配置二十五：日志服务器配置.........................................................................................91防火墙配置二十六：邮件形式输出日志信息.............................................................................93防火墙配置二十七：记录上网URL日志配置...........................................................................95防火墙配置二十八：Web外发信息控制....................................................................................96防火墙配置二十九：配置管理及恢复出厂.................................................................................99防火墙配置三十：软件版本升级...............................................................................................102神州数码网络公司客户服务中心4防火墙配置一：SNAT配置一、网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置，通过Webui登录防火墙界面如下：输入缺省用户名admin，密码admin后点击登录，配置外网接口地址Internet网络拓扑神州数码网络公司客户服务中心5内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目并添加下一条地址第三步：添加SNAT策略在网络/NAT/源NAT中添加源NAT策略神州数码网络公司客户服务中心6第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略防火墙配置二：DNAT配置一、网络拓扑二、需求描述1、使用外网口IP为内网FTPServer及WEBServerA做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。2、允许内网用户通过域名访问WEBServerA(即通过合法IP访问）。3、使用合法IP218.240.143.220为WebServerB做IP映射，允许内外网用户对该Server的Web访问。Eth0/0192.168.1.91Eth0/0:192.168.1.91/24Zone:trustEth0/1218.240.143.221th0/1Eth0/1:218.240.143.221/24Zone:untrustFTPServer&WebServerBIP:192.168.1.10/24InternetWebServerAIP:192.168.10.2/24Eth0/2192.168.10.1Eth0/2:192.168.10.1/24Zone:DMZ192.168.1.10/24IP:192.168.10.2/24192.168.10.2/24IP:192.168.10.2/24神州数码网络公司客户服务中心7三、配置步骤要求一：外网口IP为内网FTPServer及WEBServerA做端口映射并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。第一步：配置准备工作1、设置对象用户/地址簿，在地址簿中设置服务器地址2、设置服务簿，防火墙出厂自带一些预定义服务，如果我们需要的服务在预定义中不包含时，需要在对象用户/服务簿中手工定义第二步：创建目的NAT配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口神州数码网络公司客户服务中心8第三步：放行安全策略创建安全策略，允许untrust区域用户访问trust区域server的FTP和web应用关于服务项中我们这里放行的是ftp服务和tcp-8000服务要求二：允许内网用户通过域名访问WEBServerA(即通过合法IP访问）。神州数码网络公司客户服务中心9实现这一步所需要做的就是在之前的配置基础上，增加Trust-Trust的安全策略。要求三：使用合法IP218.240.143.220为WebServerB做IP映射，允许内外网用户对该Server的Web访问。第四步：配置准备工作1、将服务器的实际地址使用web_serverB来表示2、将服务器的公网地址使用IP_218.240.143.220来表示神州数码网络公司客户服务中心10第五步：配置目的NAT创建静态NAT条目，在新建处选择IP映射第六步：