迪普防火墙 DPtech FW1000系列生产环境配置指南

工作模式说明二三层转发的工作机制DPtech 防火墙设备的接口可以配置为二层和三层模式。支持二层和三层转发、二三层混合转发。如果设备接收到的报文目的 MAC 地址为本机 MAC则通过设备的 VLAN 接口/三层物理口进行三层转发若设备接收到的报文目的 MAC 地址为非本机 MAC则设备通过二层接口进行二层转发。DPtech 防火墙设备的二层物理口有两种模式Trunk 和 Access。通过设备二层数据链路层的Trunk 链路可以实现将用户的原始数据加上 VLAN Tag通过 Trunk 链路可以实现在同一条链路上传输多种 VLAN Tag 的数据。安全域的工作机制DPtech 防火墙通过安全域来实现默认的安全机制安全域基于接口进行访问控制。默认情况下设备具有三个安全域分别为“Trust”用于放置内网 PC、内网设备、内网服务器、“Untrust”面向公网环境、“DMZ”用于放置公网映射的服务器。这三个安全域的优先级无法更改。当然用户也可以自定义配置安全域及优先级。在未配置任何安全策略的情况下较高优先级的安全域可以访问较低优先级的安全域较低优先级的安全域无法访问较高优先级的安全域。用户在使用过程中请注意安全域默认规则规则如下1、 优先级高的安全域默认可以访问低优先级安全域包过滤中无需放通2、 低优先级的安全域默认不可以访问高优先级安全域如果需要访问则包过滤中必须配置相应放通策略3、 同在 Trust 安全域或同在 DMZ 安全域默认可以相互访问包过滤中无需要放通4、 优先级相同安全域名字不同默认不可相互访问如果需要访问则包过滤中必须配置相应放通策略。--------批注这个逻辑和模仿思科和华为的做法和华为防火墙是一样的和华为不同的是它没有local安全域说明1、未配置任何安全策略的情况下同样安全级别的两个安全域之间无法互访。2、防火墙无论是二层转发还是三层转发必须定义二层接口或三层接口所属于的安全域否则转发不通。授权说明产品随箱带有授权书授权书带5位数字字母组成的授权码进入迪普科技官网点击https://www.dptech.com/index.php?mcontentcindexalistscatid52输入其中1个授权书的5位授权码用于查询产品类别下图License首次激活申请步骤2输入所有授权书的5位授权码以英文,分割输入产品序列号输入用户信息即可生成授权主要包括AV授权和IPS授权1个库1年为1份授权书产品序列号在这里找管理配置说明首先得找到默认密码厂商说明说的默认密码未必对我也贴下用户名admin 密码DPtech300768如果提示错误则DPtech FW1000系列防火墙通过console登录后console没设置密码输入conf-mod进入配置模式local-user adminplain-text-password 回车输入2次新密码系统提示密码更新成功show running-config 可以看到有个默认的管理口IP是192.168.0.1/24默认开了https直接能登录管理,默认板载网卡最后一个电口是管理口登录之后有几个操作1个是修改默认HTTPS管理端口这边所有的修改必须在当前页点提交修改后的内容才会保存。下图配置HTTPS默认管理端口为18443由于该防火墙没有local域的概念也不能像H3C或者华为防火墙那样直接在接口下配置管理方式只能在如下界面配置管理方式默认是允许所有端口的所有类型的方式建议关闭外网接口的除了ping以外的所有管理方式。下图限制管理访问然后是确定如何对设备进行管理如果是带外管理则将管理口三层口修改为带外管理的IP添加默认路由迪普FW1000系列默认板载网卡最后一个接口为带外管理接口工作模式为三层接口接口类型为管理点击IP设置将默认管理IP 192.168.0.1/24修改为自己内网用的管理IP下图带外管理IP设置如果是网桥模式部署带内管理情形12端交换机是access口则不需要创建VLAN用VLAN1不打标签作为管理VLAN需要注意交换机2端互联IP的规划需要多于2个IP地址除了2个互联IP外还有给设备带内管理分配1个IP地址情形22端是交换机是Trunk互联则防火墙也需要创建对应VLAN且管理VLAN配置管理IP情形32端直接是3层接口互联这种情况参照情形1下图添加带内管理IP如果是网桥模式静态路由指向内网网关IP如果是3层模式部署则默认路由指向出口并添加内网回程路由下图添加路由DNS代理特征库升级NTP时间同步都需要用到系统DNSDNS设置如下图其余系统配置说明必配1、时间配置时间配置主要是基于时间的访问控制策略以及系统日志作为参照和引用下图设置NTP时间图形化界面看不到时间是否同步了所以只能进命令行show ntp status 能够看到synchonized说明同步成功了current time 就是当前时间这里系统默认时区设置为了北京 东八区所以不需要修改。2、会话日志开关系统会话日志开关默认关闭需要手工开启如果不勾选则包过滤开了日志系统也不会记录日志如下图这个是会话日志的总开关3、特征库定期升级配置特征库定期升级配置如下图4、调整登录超时时间系统默认登录超时时间是5分钟5分钟不管你是否操作完了它都退出登录我们调整下登录超时时间单位秒部署模式确认设备支持2层和3层部署旁路模式以及混合部署其中2层模式既支持网桥模式也支持虚拟网线虚拟网线就没有安全域的概念适用于点到点传输模式网桥可以是多端口网桥适用范围更广。下图旁路模式适用于不能串入现网的情况这里是配置监听接口阻断包通过管理接口发送。下图透明网线透明网桥模式普通网桥或者3层模式区别就是下图的工作模式如下图调整接口工作模式2个接口2口和3口组网桥2端设备是access类型如下图下图2个接口2口和3口组网桥2端设备是Trunk类型先批量添加VLAN如下图然后修改接口类型为Trunk VLAN里面所属VLAN需要填写需要放行的所有VLAN号默认VLAN填写2端设备Trunk接口的PVID号接口规划完必须将接口放入对应的安全域设备才能转发流量虽然说安全域优先级高的能够直接访问优先级低的但是还是需要通过包过滤策略调用IPS和AV等高级检测模块。下图将接口加入对应安全域预先添加下IP地址对象和服务对象这里不赘述内容安全至此防火墙基本配置菜单就没啥好配置的地方了我们点业务配置菜单开始配置包过滤入下图防病毒模板配置系统默认高流行特征为告警建议改为阻止如下图在包过滤中调用IPS模板规则默认选default够用了如下图IPS模板规则在包过滤中调用配置NAT配置源NAT如下图配置SNAT配置目的NAT如下图配置DNAT含双向NAT配置说明注意:DNAT需要使用1-1024端口避免和目的NAT的端口号冲突迪普防火墙不会做规避!基础防护建议勾选如下几项IP黑名单的添加QoS 限速操作可以针对应用角度或者单用户角度进行限速支持动态限速QoS带宽保障主要保障服务器出口代理和关键办公应用下图第一步首先需要确定出口带宽总体数据第二步调用前面创建的外网线路进行带宽保障日志查看系统内置一个简易的日志查看页面如下图但是这个页面非常简略也无法针对安全策略这个条件进行会话日志的查询所以需要进入到内置的日志中心我们以某条包过滤策略名称作为筛选条件进行日志筛选选择高级查询限定包过滤策略名称大小写匹配这样就能够筛选出哪些包过滤策略是自己漏掉的防火墙HA最后关注下防火墙HA的配置这里仅贴下官方给出的解释我们注意到H3C采用的是普通双机热备深信服防火墙采用的静默双机热备普通双机热备需要起2组VRRP接口并做到状态同步静默双机热备则不需要拓扑图是一样的静默双机热备配置比普通双机热备简单推荐采用静默主备部署不同步接口IP配置逻辑口配置不同步HA自身的配置不同步IPS和病毒防护策略profile);需要预先配置完然后包过滤策略会自动调用主墙的动作HA配置界面1HA配置界面2双机热备维护点击手工同步后点击 配置一致性检查 点击开始根据检查结果修改2端配置知道检查结果一致如果无法修改备机无法修改则先关闭HA再修改。拓扑图由于项目敏感程度这里不放出来了。可以看到核心交换机堆叠后跨设备链路聚合交叉接线上行到2台防火墙之所以这样设计处于以下2点考虑1、防火墙主备切换监听口配置为bond1口当其中1台核心交换机故障后bond1状态不变主备防火墙不切换保证业务稳定2、部分流量50%左右不穿越堆叠线上行道到防火墙传输效率更高3、链路聚合提高了吞吐量SSL配置1、启用SSL2、指定监听端口3、其余配置创建地址池用于分配给SSL客户端导入SSL授权系统默认自带10个创建IP资源可以将防火墙互联地址也加入进去用于防火墙自身的管理创建角色将资源关联给角色创建用户将用户和角色关联选配短信二次认证迪普防火墙支持如下短信网关最后需要将SSL逻辑端口加入相应安全域并做安全策略否则SSL业务访问不通双向NATNAT回流配置如果内网用于要通过外网映射的端口访问内部服务器则必须配置NAT回流或者叫做双向NAT各大厂家针对双向NAT的配置做了简化一般只要在目的NAT中勾选部分选项即可如下图安全策略生产环境常用命令行配置说明生产环境下当对象众多图形化创建变得非常缓慢并且菜单非常难找推荐采用命令行配置常用的配置如下进入配置模式conf-mod修改用户密码local-user admin password plain-text-password PASSWORD安全策略日志配置logging security-policy enable logging security-policy format syslog logging security-policy src-ip172.16.254.2port5000logging security-policy host172.16.255.5port514logging security-policy export all logging security-policy facility17打开SSH 并将网页管理超时时间改为最长默认SSH未打开网页管理超时时间默认5分钟ssh enable timeout web65535创建IP地址对象特别注意1个对象有2行语句组成第一行是描述属于可选配置第二行才是真实地址必须配置address-object192.168.10.29description192.168.10.29address-object192.168.10.29192.168.10.29/32address-objectSSL description SSL address-objectSSL2.0.1.0/24创建服务对象特别注意1个服务对象有2行语句组成第一行描述属于可选配置第二行是真实端口号必须配置service-objectTCP8036 description TCP8036 service-objectTCP8036 protocol tcp src-port0to65535dst-port8036配置接口这里按照3层部署模式有bond1动态聚合成员口5-6口连核心交换机4口连外网9口是双机配置同步口10口是双机心跳口11口是带外管理口!interfacebond1bond modedynamicdescription to_core_sw ip address172.16.254.2/24!interfacegige0_4transfer-mode wan ip address122.1.1.1/24!interfacegige0_5bondgroup1!interfacegige0_6bondgroup1!interfacegige0_9ip address172.16.200.1/24!interfacegige0_10!interfacegige0_11transfer-mode lan ip address192.168.0.1/24!会话日志配置logging session session-type nat logging session session-type general logging session format syslog1logging session send-time both logging session send-modegloballogging session export local logging session export remote-server logging session src-ip172.16.254.2logging session host172.16.255.5port514logging session enable默认路由和回程路由ip route0.0.0.0/0gige0_4122.1.1.2description 默认路由 ip route172.16.253.0/24bond1172.16.254.1ip route172.16.255.0/24bond1172.16.254.1ip route192.168.10.0/24bond1172.16.254.1配置双机热备device-cluster enable device-cluster reconnect3device-cluster timeout100device-cluster interval1!session-sync batch-backup enable session-sync expect-backup enable!hotbackup enable hotbackup config-syncinterfacegige0_9peer-ip172.16.200.2hotbackup config-sync disable shrp module route hotbackup config-sync disable shrp module vlan hotbackup config-sync disable shrp module session hotbackup config-sync disable standard module ord-route hotbackup mode shrp hotbackup shrp heartbeatinterfacegige0_10hotbackup shrp silence-interfacegige0_4gige0_5 gige0_6 hotbackup shrp monitor-interfacebond1priority10hotbackup auto-check enable hotbackup auto-check time-interval10hotb-backup-device config disable!配置DNSarp source-suppression enable ip name-server223.5.5.5223.6.6.6将接口加入安全域配置域间规则默认Untrust域间接口不能通信其他域间接口可以security-zone Trustinterfacebond1security-zone Trustinterfaceloopback1security-zone Trust priority85security-zone DMZ priority50security-zone Untrustinterfacegige0_4security-zone Untrustinterfacetunnel_ssl0security-zone Untrust priority5security-zone Untrust inner-zone-action deny定义SNAT用于内网访问外网nat source-nat 上网interfacegige0_4nat source-nat 上网 src-address any nat source-nat 上网 dst-address any nat source-nat 上网 service any nat source-nat 上网 action use-interfacenatsource-nat 上网 port1500to65535定义DNAT 后面第二句就是双向NAT如果不需要第二句可以不用配置nat destination-nat192.168.10.2-80interfaceanyglobal-address122.1.1.1service tcp6038to6038local-address192.168.10.2to192.168.10.2local-port80nat destination-nat192.168.10.2-80src-address-translate use-interface包过滤策略security-policy192.168.10.2src-zone Untrust dst-zone Trust dst-address address-object192.168.10.2security-policy192.168.10.2src-zone Untrust dst-zone Trust service service-objectHTTP security-policy192.168.10.2src-zone Untrust dst-zone Trust service service-objectTCP9010 security-policy192.168.10.2src-zone Untrust dst-zone Trust action advanced security-policy192.168.10.2src-zone Untrust dst-zone Trust action ips-policydefaultsecurity-policy192.168.10.2src-zone Untrust dst-zone Trust action anti-virusdefaultsecurity-policy192.168.10.2src-zone Untrust dst-zone Trust logging policy security-policy192.168.10.2src-zone Untrust dst-zone Trust logging session配置是自动保存的不放心的话可以去页面核对一遍DPtech FW1000 系列防火墙典型配置案例链路负载SSLVPN,IPsecVPN等特性请移步官方文档https://download.dptech.com:9443/file/down/public/7727DPtech FW1000 系列防火墙离线库下载地址纯内网环境需要手工更新特征库https://www.dptech.com/index.php?mcontentcindexalistscatid191subcat%E7%89%B9%E5%BE%81%E5%BA%93DPtech FW1000 系列防火墙固件升级下载地址上架第一件事就是更新固件https://www.dptech.com/index.php?mcontentcindexalistscatid56DPtech FW1000 授权文件下载地址第二件事就是下载并导入授权文件https://www.dptech.com/index.php?mcontentcindexalistscatid52总体来说迪普的防火墙功能非常全面能够配置的参数非常多可玩性挺高但也存在日志信息记录不全系统因为是统一的操作系统对初学者不友好等问题。