第1页 / 共778页
第2页 / 共778页
第3页 / 共778页
第4页 / 共778页
第5页 / 共778页
第6页 / 共778页
第7页 / 共778页
第8页 / 共778页
神州数码DCFW-1800系列安全网关使用手册_5.0R3.pdf
版权声明
前言
手册内容
手册约定
内容约定
CLI约定
WebUI约定
目录
第1章 产品概述
神州数码安全网关概述
特点介绍
全并行处理的安全架构(Plus® G2)
深度应用安全
全方位内容安全
基于角色和应用的管理
可扩展的模块化设计(Plus® G2)
功能介绍
第2章 搭建配置环境
配置环境介绍
搭建Console口配置环境
搭建Telnet配置环境
搭建SSH配置环境
搭建WebUI配置环境
第3章 命令行接口(CLI)
CLI介绍
命令模式和提示符
执行模式
全局配置模式
子模块配置模式
CLI命令模式切换
命令行错误信息提示
命令行的输入
命令行的缩写形式
自动列出命令关键字
自动补齐命令关键字
命令行的编辑
查看历史命令
快捷键
过滤CLI输出信息
分页显示CLI输出信息
设置终端属性
设置连接超时时间
重定向输出
诊断命令
第4章 系统管理
系统管理介绍
命名规则
配置主机名称
配置系统信息显示语言
配置系统管理员
配置管理员特权
配置管理员密码
配置管理员密码策略
配置管理员访问方式
显示管理员配置
配置可信主机
显示可信主机配置
配置NetBIOS名字解析功能
开启NetBIOS主机名查询功能
查询指定IP的NetBIOS主机名
清除NetBIOS缓存数据
查看NetBIOS缓存数据
系统用户管理
用户配置
配置静态绑定用户
配置认证用户
指定用户密码
指定用户有效期
配置用户描述信息
指定IKE ID
指定用户组
显示用户/用户组信息
用户组配置
角色配置
创建角色
配置角色映射规则
配置角色组合
显示角色信息
配置管理接口
配置Console管理接口
配置波特率
配置超时时间
配置Telnet管理接口
配置SSH管理接口
配置WebUI管理接口
显示管理接口配置
配置存储设备
格式化存储设备
安全删除存储设备
配置文件管理
配置安全网关配置信息
查看配置信息
回退起始配置信息
删除配置文件
保存配置信息
导出配置信息
导入配置信息
恢复出厂配置
系统维护与调试
Ping命令
Traceroute命令
系统调试功能
配置系统重启
DCFOS版本升级
启动系统介绍
Bootloader的工作模式
通过网络迅速升级DCFOS(TFTP)
其它升级方式
通过FTP服务器获取DCFOS
通过USB口获取DCFOS
Sysloader菜单介绍
通过CLI升级DCFOS
通过WebUI升级DCFOS
许可证管理
申请许可证
安装许可证
许可证命令
生成许可证请求
安装/卸载许可
许可证灌装介绍
许可证灌装操作
许可证安装
简单网络管理协议(SNMP)
安全网关的SNMP功能
SNMP版本
MIB信息库
Trap报文信息
配置SNMP
开启或者关闭SNMP代理功能
配置SNMP代理设备端口号
配置SNMP引擎ID
创建SNMPv3用户组
创建SNMPv3用户
配置管理主机地址
配置trap报文目标主机地址
配置管理员的标识及联系方法
配置安全网关位置
显示SNMP信息
SNMP配置示例
组网要求
示例一配置步骤
示例二配置步骤
网络时间协议(NTP)
手动配置时间
手动配置时区
配置夏令时
查看系统时间配置信息
配置NTP功能
开启/关闭NTP功能
配置NTP时钟服务器
配置最大调整时间
配置查询间隔
开启/关闭身份验证功能
配置NTP身份验证功能
查看NTP状态
NTP配置示例
配置时间表功能
创建时间表
指定绝对计划
指定周期计划
配置监测对象
Ping报文监测
HTTP报文监测
ARP报文监测
DNS报文监测
TCP报文监测
接口链路状态监测
接口流量监测
配置警戒值
监测对象警戒值
报文延时警戒值
接口流量警戒值
系统监控报警
第5章 系统结构
系统介绍
接口
安全域
VSwitch
VRouter
策略
VPN
数据包处理流程
Deny Session功能
配置Deny Session功能
指定Deny Session的类型
指定最大Deny Session
指定超时时间
显示Deny Session配置信息
显示Deny Session信息
TCP RST包检查
IP包数据处理选项
配置MSS值
TCP序列号检查
TCP三次握手超时时间检查
TCP SYN包检查
IP分片包处理
第6章 安全网关应用模式
应用模式介绍
VSwitch介绍
基本概念说明
二层安全域
二层接口
VSwitch中的转发规则
透明应用模式
混合应用模式
路由应用模式
查看MAC表信息
配置VSwitch
Virtual Wire功能
配置Virtual Wire功能
开启Virtual Wire功能
配置Virtual Wire接口对
显示Virtual Wire配置信息
透明模式下的VLAN透传
配置举例
配置步骤
透明模式下的ARP功能
配置VRouter
开启和关闭多VR功能
创建VRouter
显示VRouter信息
第7章 安全网关网络部署模式
网络部署模式介绍
直路模式
旁路模式
混合模式
旁路模式工作原理
配置旁路模式
创建Tap域
绑定接口到Tap域
配置旁路控制接口
配置统计范围
旁路部署配置举例
组网需求
配置步骤
第8章 域
域介绍
预定义安全域
配置安全域
显示域信息
创建域
绑定二层域到VSwitch
配置示例
绑定三层域到VRouter
第9章 接口
接口(Interfaces)介绍
接口类型
接口关系
查看接口信息
查看所有接口信息
查看指定接口信息
配置接口
绑定接口到域
配置接口IP地址
配置接口二级IP地址
配置接口最大传输单元(MTU)
强制关闭接口
设置接口ARP超时时间
配置接口管理功能
配置FTP服务功能
配置接口ARP认证功能
DigitalChina Secure Defender
配置接口代理ARP功能
IP即插即用配置举例
配置接口镜像功能
配置接口镜像过滤功能
配置接口逆向路由功能
配置接口备份功能
配置接口保持时间
回环接口
创建回环接口
以太网接口
创建以太网子接口
进入以太网接口配置模式
配置以太网接口的速率
配置以太网接口的工作方式
克隆MAC地址
配置Combo口
VSwitch接口
创建VSwitch接口
VLAN接口
创建VLAN接口
Super-VLAN接口
创建super-VLAN接口
集聚接口
创建集聚接口以及集聚子接口
添加接口到集聚接口
配置示例
冗余接口
创建冗余接口以及冗余子接口
添加接口到冗余接口
指定主接口
配置示例
隧道接口
创建隧道接口
绑定隧道
多隧道OSPF支持
配置借用IP地址功能(IP Unnumbered)
查看隧道接口信息
PPPoE子接口
链路聚合
LACP动态协商聚合
聚合组成员接口状态
配置LACP动态协商聚合
启用/禁用LACP协议
指定LACP系统优先级
指定接口LACP优先级
指定LACP超时时间
指定最大活动链路数
指定最小活动链路数
指定报文发送均衡方式
查看聚合组信息
支持Bypass功能
Bypass模块的连接方式
开启外置Bypass功能
查看外置Bypass信息
第10章 地址
地址(Address)介绍
地址条目
配置地址簿
添加或者删除地址条目
指定地址条目的IP地址范围
配置示例
重新命名地址条目
查看地址条目关联项
查看地址簿信息
第11章 服务
服务(Service)简介
通过CLI查看服务信息
查看服务关联项
预定义服务(Predefined Services)
远程Shell(RSH)
Sun远程程序调用(Sun RPC)
微软远程过程调用(MS RPC)
修改预定义服务超时时间
预定义服务组
用户自定义服务
创建和删除自定义服务
为自定义服务添加和删除自定义服务条目
配置示例
服务组(Service Group)
创建和删除服务组
为服务组添加和删除服务或者服务组
应用识别
动态识别
应用识别缓存表
启用/禁用应用识别缓存表
指定动态应用识别缓存表应用方式
清除应用识别缓存表信息
查看应用识别缓存表信息
特征库更新
第12章 策略
策略(Policy)介绍
策略规则的基本元素
定义策略规则
Profile介绍
QoS标签
配置策略规则
进入策略配置模式
创建策略规则
编辑策略规则
启用/禁用策略规则
策略规则的日志管理
指定缺省行为
修改规则排列顺序
网页重定向
配置重定向URL
配置空闲时间
定制重定向提示页面
查看重定向用户信息
查看策略规则信息
查看策略规则匹配次数
第13章 安全控制
安全控制介绍
主机防御
主机黑名单
添加黑名单条目
修改时间表
启用或禁用主机黑名单条目
查看主机黑名单内容
删除主机黑名单条目
IP-MAC绑定
静态绑定
添加静态IP-MAC绑定条目
添加静态MAC-端口绑定条目
仅允许IP-MAC静态绑定主机上网
动态IP-MAC-端口绑定
ARP学习功能
MAC学习功能
显示IP-MAC-端口绑定信息
清除ARP绑定信息
强制绑定动态MAC-端口绑定信息
DHCP监控
开启/关闭DHCP监控功能
配置DHCP检查功能
配置DHCP包速率限制
显示DHCP监控配置信息
DHCP监控列表
ARP检查功能
开启/关闭ARP检查功能
配置可信接口
配置ARP包速率限制
ARP防御
第14章 认证、授权与计费
AAA简介
安全网关外部认证流程
配置AAA
创建AAA服务器
配置本地服务器认证参数
配置角色映射规则
配置用户黑名单
配置备份认证服务器
配置RADIUS服务器认证参数
配置认证主服务器的IP地址或域名
配置备份服务器1的IP地址或域名
配置备份服务器2的IP地址或域名
配置RADIUS服务器端口号
配置RADIUS服务器的秘密
配置重试次数
配置超时时间
指定角色映射规则
配置用户黑名单
配置备份认证服务器
配置Active-Directory服务器认证参数
配置认证主服务器的IP地址或域名
配置备份服务器1的IP地址或域名
配置备份服务器2的IP地址或域名
配置服务器端口号
配置服务器认证方法
指定Base-DN
指定登录DN
指定登录密码
指定角色映射规则
配置用户黑名单
配置服务器监控功能
指定监听端口及用户绑定信息删除超时时间
显示监控用户信息
Security Agent安装及配置
配置用户自动同步
配置备份认证服务器
配置LDAP服务器认证参数
配置认证主服务器的IP地址或域名
配置备份服务器1的IP地址或域名
配置备份服务器2的IP地址或域名
配置服务器端口号
配置服务器认证方法
指定Base-DN
指定登录DN
指定登录密码
指定名称属性
指定Group-class
指定成员属性名
指定角色映射规则
配置用户黑名单
配置用户自动同步
配置备份认证服务器
配置RADIUS服务器的计费功能
开启或关闭计费功能
配置计费主/备份服务器的IP地址或域名
配置计费服务器端口号
配置计费服务器的秘密
指定系统管理员认证服务器
认证与授权的显示与调试
认证与授权配置举例
组网需求
配置步骤
第15章 802.1X认证协议
802.1X简介
802.1X体系结构
802.1X认证流程
配置802.1X 认证
创建802.1X Profile
认证请求帧的最大可重复发送次数
客户端重认证时间间隔
认证系统静默时间
客户端超时时间
认证服务器应答超时时间
指定802.1X认证服务器
配置端口的802.1X属性
开启/关闭802.1X认证
绑定802.1X Profile到端口
端口接入控制模式
端口接入控制方式
配置802.1X全局参数
端口允许同时接入客户端数量最大值
已认证客户端超时时间
802.1X用户同名登录功能
拒绝同名用户登录
强制断开客户端连接
显示802.1X配置
802.1X配置举例
组网需求
配置步骤
第16章 Web认证
Web认证介绍
Web认证配置
配置Web认证策略规则
开启/关闭Web认证功能
配置认证服务器端口号
配置超时时间
配置重定向URL功能
强制用户重新登录
配置用户重新认证时间间隔
强制断开用户连接
允许本地用户修改密码
定制认证登录页面
定制登录页面
配置单点登录
配置认证超时时间
显示Web认证配置信息
显示在线Web认证用户信息
Web认证配置举例
单点登录配置举例
第17章 网络地址转换
网络地址转换(NAT)简介
NAT的基本转换过程
神州数码安全网关的NAT功能
配置NAT规则
创建SNAT规则
修改SNAT规则排列顺序
开启/关闭扩展PAT端口池功能
删除SNAT规则
显示SNAT配置信息
创建DNAT规则
修改DNAT规则排列顺序
删除DNAT规则
显示DNAT配置信息
NAT444
配置NAT444功能
显示NAT444配置信息
透明NAT
NAT配置举例
组网需求
配置步骤
第18章 应用层识别与控制
应用层识别与控制介绍
分片重组
应用层网关(ALG)
HTTP、P2P和IM
配置ALG功能
应用举例
实例1配置步骤
实例2配置步骤
第19章 IPSec协议
IPSec协议介绍
安全联盟(Security Association)
SA建立方式
第一阶段SA
第二阶段SA
验证算法
加密算法
压缩算法
相关资料
IPSec VPN的应用
配置IPSec VPN功能
手工密钥VPN
创建手工密钥VPN
指定IPSec协议的操作模式
指定安全参数索引
指定协议类型
指定加密算法
指定验证算法
指定压缩算法
指定对端IP地址
配置协议的验证密钥
配置协议的加密密钥
指定出接口
IKE VPN
配置P1提议
创建P1提议
指定认证方式
指定加密算法
指定验证算法
选择DH组
指定安全联盟的生命周期
配置ISAKMP网关
创建ISAKMP网关
绑定接口到ISAKMP网关
配置IKE协商模式
指定对端的IP地址及类型
指定P1提议
配置预共享密钥
配置PKI信任域
配置本端ID
配置对端ID
指定连接类型
开启NAT穿越功能
配置DPD功能
指定描述信息
配置P2提议
创建P2提议
指定协议类型
指定加密算法
指定验证算法
指定压缩算法
配置PFS功能
指定生命周期
配置隧道
创建IKE隧道
指定 IPSec协议的操作模式
指定ISAKMP网关
指定P2提议
指定第二阶段ID
启用接受对端ID功能
配置自动连接功能
配置分片功能
配置防重放功能
配置VPN监控及冗余备份功能
设置Commit位
指定描述信息
显示IPSec配置信息
配置举例
手工密钥VPN
组网需求
配置步骤
IKE VPN
组网需求
配置步骤
基于路由的VPN监控及冗余备份功能配置举例
组网需求
配置步骤
基于策略的VPN监控及冗余备份功能配置举例
组网需求
配置步骤
第20章 Secure Connect VPN
Secure Connect VPN介绍
SCVPN设备端配置
地址池配置
配置地址池地址范围
配置保留地址池
配置IP地址绑定规则
配置IP用户绑定规则
配置IP角色绑定规则
修改IP角色绑定规则排列顺序
配置DNS服务器
配置WINS服务器
显示SCVPN地址池信息
UDP端口号配置
SCVPN实例配置
指定地址池
指定设备端接口
指定SSL协议
指定PKI信任域
指定隧道密码
指定AAA服务器
指定HTTPS端口号
配置防重放功能
配置分片功能
配置空闲时间
配置用户同名登录功能
配置URL重定向功能
URL内容格式
配置SCVPN隧道路由
绑定SCVPN实例到隧道接口
配置客户端USB Key证书认证
开启USB Key证书认证功能
导入USB Key证书相应CA证书到信任域
配置USB Key证书相应CA证书的信任域
配置短信口令认证功能
开启/关闭短信口令认证功能
设置短信认证手机号码
配置短信认证码有效时间
配置短信最大发送数量
发送测试短信
显示短信猫配置信息
配置主机验证功能
开启主机验证功能
批准候选表项
配置超级用户
配置共享主机
添加/减少预批准主机数
清除绑定表
导出/导入绑定表
配置主机安全检测功能
主机安全检测内容
基于角色的访问控制和主机安全检测流程
配置主机安全检测Profile
通过WebUI配置主机安全检测Profile
配置主机安全检测策略规则
配置最优路径检测功能
强制断开客户端SCVPN连接
允许本地用户修改密码
导出和导入密码文件
导出密码文件
导入密码文件
定制登录页面
定制登录页面
显示SCVPN信息
SCVPN客户端
客户端的下载与安装
下载与安装(用户名/密码)
下载与安装(用户名/密码 + USB Key证书)
下载与安装(用户名/密码 + 软证书)
下载与安装(只用USB Key证书)
下载与安装(只用软证书)
客户端的启动
Web方式启动
Web方式启动(用户名/密码)
Web方式启动(用户名/密码 + USB Key证书)
Web方式启动(用户名/密码 + 软证书)
Web方式启动(只用USB Key证书)
Web方式启动(只用软证书)
直接启动
直接启动(用户名/密码)
直接启动(用户名/密码 + USB Key证书)
直接启动(用户名/密码 + 软证书)
直接启动(只用USB Key证书)
直接启动(只用软证书)
USB Key批量部署
客户端GUI
客户端菜单
Secure Connect设置
设置通用选项
添加登录信息条目
编辑登录信息条目
删除登录信息条目
客户端的卸载
SCVPN配置举例
组网需求
需求一配置步骤
需求二配置步骤
准备工作
配置步骤
URL重定向配置举例
配置步骤
主机安全检测配置举例
组网需求
配置步骤
最优路径检测配置举例
组网需求一
设备端作最优通道判断
客户端判断最优通道
组网需求二
设备端作最优通道判断
客户端判断最优通道
第21章 拨号VPN
拨号VPN介绍
拨号VPN的应用
中心设备配置
配置P1提议
创建P1提议
指定认证方式
指定加密算法
指定验证算法
选择DH组
指定安全联盟的生命周期
配置ISAKMP网关
创建ISAKMP网关
指定ISAKMP网关的认证服务器
绑定接口到ISAKMP网关
配置IKE协商模式
指定对端类型
指定P1提议
配置预共享密钥
配置PKI信任域
配置本端ID
指定连接类型
开启NAT穿越功能
配置DPD功能
指定描述信息
配置P2提议
创建P2提议
指定协议类型
指定加密算法
指定验证算法
配置PFS功能
指定生命周期
配置隧道
创建IKE隧道
指定 IPSec协议的操作模式
指定ISAKMP网关
指定P2提议
指定第二阶段ID
配置自动连接功能
配置分片功能
配置防重放功能
设置Commit位
配置空闲时间
指定描述信息
配置自动生成路由功能
配置拨号端用户信息
创建拨号端用户帐号
生成拨号端用户预共享密钥
拨号端配置
拨号VPN举例
组网需求
中心设备配置
拨号端1配置
拨号端2配置
第22章 PnPVPN
PnPVPN简介
PnPVPN工作流程
PnPVPN服务器端配置
通过CLI配置PnPVPN服务器端
配置用户网络参数
配置隧道网络参数
配置ISAKMP网关对端通配符
配置PnPVPN客户端的隧道接口
通过WebUI配置服务器端
用户配置
IKE VPN配置
隧道接口配置
路由配置
策略配置
配置PnPVPN客户端
PnPVPN配置举例
组网需求
配置步骤
服务器端配置
客户端配置
第23章 GRE协议
GRE协议介绍
GRE配置
配置GRE隧道
指定源地址
指定目的地址
指定出接口
指定IPSec VPN隧道
绑定GRE隧道到隧道接口
显示GRE隧道配置信息
配置举例
需求描述
配置步骤
中心配置
分支配置
第24章 L2TP协议
介绍
典型的L2TP隧道组网
L2TP over IPSec
LNS端配置
地址池配置
配置地址池地址范围
配置保留地址池
配置IP地址绑定规则
配置静态IP地址绑定规则
配置角色-IP地址绑定规则
修改角色-IP地址绑定规则排列顺序
L2TP 实例配置
指定地址池
配置DNS服务器
配置WINS服务器
指定隧道出接口
指定AAA服务器
指定PPP认证的协议
指定LCP Echo报文发送间隔
指定Hello报文间隔
启用隧道认证
指定隧道密码
指定LNS本端名称
启用AVP数据隐含
指定隧道接受窗口大小
配置用户同名登录功能
允许或禁止客户端指定IP地址
指定控制报文重传次数
引用IPSec隧道
绑定L2TP实例到隧道接口
强制断开L2TP连接
隧道重启
显示L2TP信息
L2TP客户端配置
L2TP配置举例
组网需求
配置步骤
LNS配置
客户端配置
创建L2TP拨号连接
配置L2TP拨号连接
修改注册表
使用客户端连接LNS
L2TP over IPSec配置举例
组网需求
配置步骤
LNS配置
客户端配置
创建L2TP拨号连接
配置L2TP拨号连接
启用IPSec加密
使用客户端连接LNS
第25章 攻击防护
攻击防护(AD)介绍
常见网络攻击概述
IP地址欺骗(IP Spoofing)攻击
Land攻击
Smurf攻击
Fraggle攻击
WinNuke攻击
SYN Flood攻击
ICMP Flood和UDP Flood攻击
地址扫描与端口扫描攻击
Ping of Death攻击
配置攻击防护功能
配置IP地址扫描攻击防护功能
配置端口扫描攻击防护功能
配置IP地址欺骗攻击防护功能
配置SYN Flood攻击防护功能
配置SYN-Proxy功能
配置ICMP Flood攻击防护功能
配置UDP Flood攻击防护功能
配置Huge ICMP包攻击防护功能
配置WinNuke攻击防护功能
配置Ping of Death攻击防护功能
配置Teardrop攻击防护功能
配置IP Option攻击防护功能
配置TCP异常攻击防护功能
配置Land攻击防护功能
配置IP 碎片攻击防护功能
配置Smurf和Fraggle攻击防护功能
配置ARP欺骗防护功能
配置DNS Query Flood攻击防护功能
配置攻击防护白名单
配置会话限制功能
会话限制配置
会话限制显示
显示安全域的攻击防护配置和统计信息
攻击防护配置举例
Land攻击防护功能配置举例
组网需求
配置步骤
SYN Flood攻击防护功能配置举例
组网需求
配置步骤
IP地址扫描攻击防护功能配置举例
组网需求
配置步骤
二层IP地址欺骗攻击防护功能配置举例
组网需求
配置步骤
第26章 交换
介绍
VLAN
配置VLAN
创建VLAN
配置接口类型及其所属VLAN
创建VLAN接口
查看VLAN配置信息
Super-VLAN
配置super-VLAN
创建super-VLAN
创建super-VLAN接口
添加sub-VLAN
查看super-VLAN配置信息
RSTP
配置RSTP
创建RSTP
开启设备的RSTP功能
开启接口RSTP功能
配置设备的桥优先级
配置Hello报文间隔
配置Forward Delay时间
配置BPDU消息的生存时间
配置接口RSTP优先级
配置接口RSTP开销
查看RSTP配置信息
配置举例
组网需求
配置步骤
第27章 路由
路由介绍
开启/关闭静态路由查询
VRouter
指定最大路由条目数
引入VRouter路由
静态路由
配置静态路由
添加目的路由条目
显示目的路由信息
ISP路由
配置ISP信息
配置ISP路由
查看ISP路由配置信息
上传ISP配置文件
上传预定义ISP配置文件
保存自定义ISP配置文件
删除已上传的预定义ISP配置文件
配置源路由
添加源路由条目
查看源路由条目信息
配置源接口路由
添加源接口路由条目
查看源接口路由条目信息
配置策略路由
创建PBR策略
创建PBR规则
编辑PBR策略规则
启用/禁用PBR策略规则
修改规则排列顺序
应用PBR策略
查看PBR策略规则信息
链路负载均衡
出站负载均衡
就近探测路由
入站负载均衡
启用SmartDNS功能
启用ISP动态探测
配置SmartDNS规则表
创建SmartDNS规则表
指定域名
指定返回IP地址
查看链路负载均衡信息
动态路由
配置RIP
基本配置
指定版本号
指定缺省度量
指定缺省距离
配置缺省信息发布
配置定时器
引入路由
配置被动接口
配置邻居
配置网络
配置距离
RIP数据库
配置接口的RIP功能
配置RIP报文认证
配置发送和接收的RIP版本号
配置水平分割
显示系统RIP信息
配置OSPF
OSPF协议配置
配置Router ID
配置区域认证
配置区域的路由聚合
配置区域的缺省花费
配置stub区域
配置OSPF的引用带宽
指定缺省度量
配置缺省信息发布
指定缺省距离
配置OSPF定时器
指定运行OSPF协议的接口网络
引入路由
配置路由映射表
匹配多条路由匹配规则
修改引入路由属性
配置路由访问控制列表
配置距离
配置被动接口
配置接口OSPF功能
配置接口的OSPF认证
指定接口的链路花费
配置接口定时器
指定接口路由器优先级
显示OSPF信息
BGP配置
BGP协议配置
进入BGP配置模式
指定Router ID
创建聚合路由
添加静态BGP路由
配置定时器
指定BGP路由管理距离
引入路由
指定缺省度量
创建BGP对等体组
添加BGP对等体到对等体组
配置BGP对等体
配置BGP MD5认证
激活BGP连接
配置缺省信息发布
配置描述信息
配置BGP对等体定时器
配置下一跳为自身
关闭对等体或者对等体组
重置BGP连接
查看BGP信息
等价多径路由(ECMP)
配置ECMP功能
配置ECMP选路方式
静态组播路由
开启/关闭组播路由功能
配置静态组播路由
指定入接口/出接口
显示组播路由信息
显示组播FIB信息
互联网组管理协议
IGMP Proxy
启用IGMP代理
配置接口的IGMP代理模式
查看IGMP Proxy信息
IGMP Snooping
启用IGMP Snooping
配置IGMP Snooping
未知组播丢弃
查看IGMP Snooping信息
路由配置举例
开启/关闭静态路由查询功能配置举例
配置步骤
多VR配置举例
多VR独立转发
配置步骤
跨VR转发
配置步骤
静态组播路由配置举例
组网需求
配置步骤
IGMP Proxy配置举例
组网需求
配置步骤
IGMP Snooping配置举例
组网需求
配置步骤
链路负载均衡功能配置举例
组网需求
配置步骤
第28章 网络参数
网络参数介绍
DNS
神州数码安全网关的DNS功能
配置DNS名字服务
设置域名
设置DNS域名服务器
配置DNS代理功能
配置DNS代理选择列表
开启/关闭接口的域名代理功能
配置黑白名单
开启/关闭黑名单功能
开启/关闭白名单功能
添加域名到黑名单
添加域名到白名单
解析
设置DNS请求的响应超时时间
设置DNS请求重试次数
缓存
添加静态DNS映射条目
查看DNS映射条目
清除动态DNS映射条目
开启/关闭安全网关的DNS功能
DNS配置举例
组网需求
配置步骤
DDNS
配置DDNS功能
配置DDNS服务名称
指定DDNS服务器类型
指定DDNS服务器名称和端口号
指定最小更新间隔
指定最大更新间隔
指定DDNS用户
绑定DDNS服务名称到接口
显示DDNS信息
DDNS配置举例
组网需求
配置步骤
DHCP
安全网关的DHCP功能
配置DHCP客户端功能
配置DHCP方式获取IP地址
释放和重新获取IP地址
配置路由优先级(管理距离)和路由权值
配置DHCP服务器功能
DHCP地址池基本配置
IP地址配置
保留地址池配置
网关配置
网络掩码配置
DHCP租约配置
配置自动配置功能
为DHCP客户端配置DNS、WINS服务器和域名
为DHCP客户端配置SMTP、POP3和新闻服务器
配置中继代理IP地址
IP-MAC地址绑定
绑定地址池到接口
查看DHCP配置信息
配置DHCP中继代理功能
指定DHCP服务器的IP地址
开启接口的DHCP中继代理功能
PPPoE
PPPoE配置
配置PPPoE实例
指定访问集中器
指定验证方式
配置PPPoE连接方式
指定网络掩码
指定路由距离和权值
指定服务
指定静态IP
指定PPPoE用户信息
配置时间表功能
指定PPPoE服务器MAC地址
配置连接状态检测
配置接口使用PPPoE方式获得IP地址
绑定PPPoE实例到接口
手动连接或者断开PPPoE连接
显示PPPoE配置信息
PPPoE配置举例
组网需求
配置步骤
第29章 虚拟系统
虚拟系统(VSYS)介绍
VSYS对象
根VSYS和非根VSYS
管理员
VRouter、VSwitch、安全域和接口
共享VRouter
共享VSwitch
共享域
共享接口
创建接口
配置VSYS
创建非根VSYS
创建VSYS Profile
设置资源配额
绑定Profile到VSYS
进入非根VSYS
配置共享属性
导入/导出物理接口
分配逻辑接口
配置VSYS日志功能
显示VSYS信息
显示VSYS Profile信息
VSYS配置举例
例1:VSYS在三层流量转发中的应用(通过单一VSYS)
组网需求
配置步骤
例2:VSYS在三层流量转发中的应用(通过共享VRouter)
组网需求
配置步骤
例3:VSYS在二层流量转发中的应用(通过共享VSwitch)
组网需求
配置步骤
第30章 QoS管理
QoS介绍
QoS的实现
分类和标记
分类
标记
802.1Q/p
IP优先权和DSCP
管制和整形
令牌桶算法
拥塞管理
拥塞避免
配置QoS
配置Class
配置应用类型匹配条件
配置DSCP值匹配条件
配置CoS值匹配条件
配置IP地址范围匹配条件
配置地址条目匹配条件
配置QoS标签匹配条件
配置IP优先权匹配条件
配置入接口匹配条件
配置角色/用户/用户组匹配条件
显示Class信息
配置QoS Profile
指定最小带宽保证
配置管制功能
配置整形功能
配置基于IP的QoS(IP QoS)
预留带宽分配原则
配置IP QoS优先级
配置低延迟队列
配置拥塞避免功能
设置CoS值
设置DSCP值
设置IP优先权值
配置匹配优先级
配置排除策略
配置基于角色的QoS(角色QoS)
预留带宽分配原则
嵌套QoS Profile
指定出接口QoS管理操作
设置无效Class
绑定接口
显示接口QoS信息
显示QoS Profile信息
弹性QoS
配置全局弹性QoS功能
配置Class的弹性QoS功能
多层QoS
QoS配置举例
例1:匹配优先级配置举例
例2:分类与标记
例3:管制与整形
例4:基于应用的QoS
例5:最小带宽保证
例6:低延迟队列&拥塞避免
例7:IP QoS(1)
例8:IP QoS(2)
方法1
方法2
方法3
例9:IP QoS中的多VR应用
例10:IP QoS优先级
例11:角色QoS
例12:嵌套QoS Profile
例13:多层QoS
需求描述
第一层应用QoS配置步骤
第二层IP限流配置步骤
例14:综合用例
需求描述
配置步骤
推荐配置
第31章 PKI配置
PKI介绍
安全网关的PKI功能
PKI配置
创建和删除PKI密钥对
配置PKI信任域
指定证书获得方法
指定密钥对
配置主题内容
配置证书撤销列表
导入CA证书
生成证书服务请求
安装本地证书
下载证书撤销列表
导出和导入PKI信任域信息
导出PKI信任域信息
导入PKI信任域信息
导出和导入本地证书
导出本地证书
导入本地证书
证书有效期相关配置
显示PKI配置信息
配置举例
组网需求
配置步骤
第32章 高可靠性
高可靠性介绍
HA簇
HA组
HA组接口和虚拟MAC
HA选举
HA同步
高可靠性配置
HA组配置
指定优先级
指定Hello报文间隔
指定Hello报文警戒值
配置抢占模式
指定发送ARP包个数
手动发送免费ARP包
指定描述信息
指定监测对象
配置HA组的接口
HA连接配置
指定HA连接接口
指定HA连接接口IP地址
HA簇配置
接口管理IP配置
手动同步HA信息
启用/禁用HA会话自动同步
HA Traffic配置
配置HA Traffic报文延迟时间
显示HA配置
HA配置举例
例1:HA Active-Passive工作模式配置举例
组网需求
配置步骤
例2:HA Active-Active工作模式配置举例
组网需求
配置步骤
例3:HA Traffic功能配置举例
组网需求
配置步骤
第33章 病毒过滤
病毒过滤功能介绍
病毒过滤配置
创建病毒过滤Profile
防恶意网站功能
指定协议类型
指定文件类型
标签邮件功能
开启或关闭标签邮件功能
配置邮件签名
绑定病毒过滤Profile到安全域
绑定病毒过滤Profile到策略规则
显示病毒过滤profile信息
指定可压缩嵌套层数
病毒特征库更新配置
配置病毒特征库更新模式
配置更新服务器
指定更新时间
立即更新
引入病毒特征文件
显示病毒特征库信息
显示病毒特征库更新配置信息
配置举例
配置步骤
第34章 入侵防御系统
介绍
IPS检测及报告流程
特征介绍
特征库更新
IPS工作模式
IPS配置
保护内网关键服务
保护企业内网
隔离企业内部攻击
配置指导说明
第35章 网络行为控制
概述
功能介绍
对象配置
预定义URL库
预定义URL库更新
自定义URL库
URL查询
URL查询服务器配置
关键字类别
关键字匹配规则
SSL代理
通过CLI配置SSL代理功能
指定设备证书的PKI信任域
指定审计方式
指定审计网站
获取网站证书的CommonName字段
警告提示
配置可信SSL证书列表
导入设备证书到客户端Web浏览器
创建SSL代理Profile
绑定SSL代理Profile到策略规则
显示SSL代理功能相关信息
通过WebUI配置SSL代理功能
页面提示
用户被阻断警告
用户被监控警告
Bypass域名
免监控用户
URL过滤
通过WebUI配置URL过滤功能
通过CLI配置URL过滤功能
创建URL过滤Profile
指定URL类别及控制动作
指定URL关键字类别及控制动作
绑定URL过滤Profile到策略规则
显示URL过滤Profile信息
网页关键字
通过WebUI配置网页关键字功能
通过CLI配置网页关键字功能
创建内容过滤Profile
指定关键字类别及控制动作
指定关键字控制范围
仅过滤网页内容
绑定内容过滤Profile到策略规则
显示内容过滤Profile信息
Web外发信息
通过WebUI配置Web外发信息功能
通过CLI配置Web外发信息功能
创建Web外发信息Profile
指定Web外发信息类型及控制动作
指定网站控制范围
绑定Web外发信息Profile到策略规则
显示Web外发信息Profile信息
邮件过滤
通过WebUI配置邮件过滤功能
通过CLI配置邮件过滤功能
创建邮件过滤Profile
指定受控邮箱
指定所有邮件及控制动作
指定发件人和收件人及控制动作
指定附件及控制动作
指定内容关键字及控制动作
启用/禁用指定邮件控制内容
指定其它邮件及控制动作
指定例外帐号
绑定邮件过滤Profile到策略规则
显示邮件过滤Profile信息
网络聊天
网络聊天规则配置
通过WebUI配置网络聊天规则
通过CLI配置网络聊天规则
创建网络聊天Profile
绑定网络聊天Profile到策略规则
显示网络聊天Profile信息
应用行为控制
通过WebUI配置应用行为控制功能
通过CLI配置应用行为控制功能
创建行为Profile
FTP行为控制
HTTP行为控制
HTTP下载控制
绑定行为Profile到策略规则
显示行为Profile信息
日志管理
日志信息级别及输出格式
日志信息输出目的地
配置日志功能
典型配置举例
例1:URL过滤配置举例
准备工作
WebUI配置步骤
CLI配置步骤
例2:网页关键字配置举例
准备工作
WebUI配置步骤
CLI配置步骤
例3:Web外发信息配置举例
准备工作
WebUI配置步骤
CLI配置步骤
例4:邮件过滤配置举例
WebUI配置步骤
CLI配置步骤
例5:网络聊天配置举例
WebUI配置步骤
CLI配置步骤
例6:SSL代理配置举例
WebUI配置步骤
第36章 统计
统计功能介绍
配置基于接口的统计功能
查看基于接口的统计信息
配置基于地址的统计功能
查看基于地址的统计信息
配置基于服务的统计功能
查看基于服务的统计信息
配置统计集
预定义统计集
自定义统计集
创建统计集
配置统计数据类型
配置数据组织方式
配置过滤条件
开启/关闭统计集统计功能
查看统计集信息
导出统计信息
统计集配置举例
示例一
示例二
示例三
第37章 日志
日志介绍
日志的严重等级
日志信息输出目的地
日志信息格式
配置系统日志功能
开启和关闭日志功能
事件日志信息的输出及过滤
告警日志信息的输出及过滤
配置接收告警日志信息的手机号码
安全日志信息的输出
配置、流量、调试和网络日志信息的输出
IPS日志信息的输出
配置Syslog Server
指定场所
设置流量日志的主机名称/用户名称的显示状态
配置Email地址
配置SMTP实例
显示日志配置信息
显示日志信息
导出日志信息
清除日志信息
日志分布式外发
日志功能配置示例
示例1:向Console口输出事件日志信息
示例2:向Syslog Server输出事件日志信息
第38章 GTP防护
介绍
安全网关的GTP防护功能
配置GTP防护功能
创建GTP Profile
协议异常检查
GTP-in-GTP过滤
GTP消息长度限制
GTP消息速率限制
GTP消息类型过滤
GTP消息IE过滤
GTP内部数据检查
GTP MSISDN过滤
GTP日志
绑定GTP Profile到策略规则
显示GTP Profile信息
配置举例
组网需求
配置步骤
第39章 IPv6
简介
IPv6地址配置
指定全局IPv6地址
配置IPv6通用前缀
指定无状态地址自动配置
指定EUI-64地址
指定链路本地地址
指定接口IPv6最大传输单元
显示接口的IPv6配置
IPv6邻居发现协议配置
DAD功能配置
指定可达时间
配置RA报文参数
指定Hop Limit
指定是否通告MTU值
指定自动配置类型标签
指定IPv6前缀及参数
指定RA报文发送间隔
指定RA报文的生存时间
指定DRP
配置LAN口RA报文传输状态
添加/删除静态IPv6邻居缓存表项
IPv6系统管理配置
IPv6 SNMP管理配置
配置IPv6管理主机
配置IPv6 Trap报文目标主机
创建SNMPv3用户(IPv6远程管理主机)
IPv6系统调试配置
IPv6路由配置
配置IPv6目的路由条目
配置IPv6源路由条目
配置源接口路由
查看IPv6路由信息
IPv6 DNS配置
配置IPv6 DNS域名服务器
配置IPv6 DNS代理服务选择列表
添加静态IPv6 DNS映射条目
清除动态IPv6 DNS映射条目
查看IPv6 DNS映射条目
查看IPv6 DNS配置信息
PMTU配置
IPv6策略配置
IPv6地址簿配置
IPv6服务簿配置
IPv6策略规则行为配置
IPv6策略规则配置
编辑IPv6策略规则
IPv6 ALG配置
NDP安全防护
IP-MAC绑定
添加静态IP-MAC绑定表项
一键绑定
仅允许IP-MAC静态绑定主机上网
查看IP-MAC绑定信息
清除动态IP-MAC绑定信息
NDP学习功能
NDP检查
开启/关闭NDP检查功能
配置可信接口
禁止接收RA报文
配置NDP报文速率限制
查看NDP检查功能配置
配置NDP欺骗防护功能
查看NDP欺骗防护功能统计信息
NDP防御
攻击防护
IPv6 6to4隧道配置
创建隧道
指定隧道的出接口
指定手工隧道的目的地址
绑定IPv6 6to4隧道到隧道接口
显示IPv6 6to4隧道配置信息
IPv6 4to6隧道配置
创建隧道
指定隧道的源地址
指定隧道的目的地址
绑定IPv6 4to6隧道到隧道接口
显示IPv6 4to6隧道配置信息
NAT-PT配置
配置NAT-PT规则
创建SNAT规则
修改SNAT规则排列顺序
删除SNAT规则
显示SNAT配置信息
创建DNAT规则
修改DNAT规则排列顺序
删除DNAT规则
显示DNAT配置信息
DNS64和NAT64配置
创建DNS64规则
创建DNAT规则
IPv6配置举例
IPv6透明模式转发
IPv6路由模式转发
IPv6手工隧道转发
IPv6 6to4隧道转发
IPv6 SNMP配置举例
通过IPv4网络访问IPv6 MIB信息
通过IPv6网络访问IPv6 MIB信息
IPv6 NAT-PT配置举例
需求一
需求二
IPv6 DNS64和NAT64配置举例
DCFW-1800 系列
神州数码安全网关使用手册
文档发布版本号:V-N5.0R3-01
© 2013 神州数码网络有限公司
Digital China Networks LTD
All Rights Reserved.
版权声明
DCFW-1800
DCFW-1800 DCFW-1800
www.digitalchina.com
http://www.dcnetworks.com.cn 400-810-9119
dcnsupport@digitalchina.com
手册内容
前言
¤ 1
¤ 2
¤ 3 CLI
¤ 4
¤ 5
¤ 6
¤ 7
¤ 8
¤ 9
¤ 10
¤ 11
¤ 12
¤ 13 IP-MAC HTTP Profile URL
¤ 14
¤ 15 802.1X 802.1X
¤ 16 Web Web
¤ 17 NAT
¤ 18 ALG
¤ 19 IPSec IPSec VPN
¤ 20 Secure Connect VPN SSL
Secure Connect VPN
¤ 21 VPN VPN
¤ 22 PnPVPN PnPVPN
¤ 23 GRE GRE
¤ 24 L2TP L2TP
¤ 25
¤ 26 VLAN RSTP
¤ 27
¤ 28 DNSDDNSDHCP PPPoE
¤ 29 VSYS
¤ 30 QoS QoS
¤ 31 PKI PKI
¤ 32 HA
¤ 33
¤ 34
¤ 35
¤ 36
¤ 37
¤ 38 GTP GTP
¤ 39 IPv6 IPv6
手册约定
内容约定
¤
¤
¤
¤ WebUI
¤ < > WebUI
MTU <>
CLI 约定
CLI
¤ { }
¤ [ ]
¤ |
¤
¤
¤
¤ hostname
WebUI 约定
WebUI
目录
第 1 章 产品概述 ....................................................................................................... 1
神州数码安全网关概述 .......................................................................................... 1
特点介绍 ...................................................................................................... 1
全并行处理的安全架构(Plus® G2) ............................................................... 1
深度应用安全 ............................................................................................ 1
全方位内容安全 ......................................................................................... 1
基于角色和应用的管理 ................................................................................. 2
可扩展的模块化设计(Plus® G2) .................................................................. 2
功能介绍 ...................................................................................................... 2
第 2 章 搭建配置环境 ................................................................................................. 6
配置环境介绍 ..................................................................................................... 6
搭建 Console 口配置环境 ....................................................................................... 6
搭建 Telnet 配置环境 ............................................................................................ 7
搭建 SSH 配置环境 .............................................................................................. 8
搭建 WebUI 配置环境 ........................................................................................... 8
第 3 章 命令行接口(CLI) ......................................................................................... 9
CLI 介绍 ........................................................................................................... 9
命令模式和提示符 ................................................................................................ 9
执行模式 ...................................................................................................... 9
全局配置模式 ................................................................................................ 9
子模块配置模式 .............................................................................................. 9
CLI 命令模式切换 ........................................................................................... 9
命令行错误信息提示 ........................................................................................... 10
命令行的输入 ................................................................................................... 10
命令行的缩写形式 ......................................................................................... 10
自动列出命令关键字 ...................................................................................... 10
自动补齐命令关键字 ...................................................................................... 10
命令行的编辑 ................................................................................................... 11
查看历史命令 .............................................................................................. 11
快捷键 ....................................................................................................... 11
过滤 CLI 输出信息 ............................................................................................. 12
分页显示 CLI 输出信息 ........................................................................................ 12
设置终端属性 ................................................................................................... 12
设置连接超时时间 .............................................................................................. 13
重定向输出 ...................................................................................................... 13
诊断命令 ......................................................................................................... 13
第 4 章 系统管理 ..................................................................................................... 15
系统管理介绍 ................................................................................................... 15
I
命名规则 ......................................................................................................... 15
配置主机名称 ................................................................................................... 16
配置系统信息显示语言 ........................................................................................ 16
配置系统管理员 ................................................................................................. 16
配置管理员特权 ............................................................................................ 17
配置管理员密码 ............................................................................................ 17
配置管理员密码策略 ................................................................................. 17
配置管理员访问方式 ...................................................................................... 18
显示管理员配置 ............................................................................................ 18
配置可信主机 ................................................................................................... 18
显示可信主机配置 ......................................................................................... 19
配置 NetBIOS 名字解析功能 ................................................................................. 19
开启 NetBIOS 主机名查询功能 ......................................................................... 19
查询指定 IP 的 NetBIOS 主机名 ........................................................................ 20
清除 NetBIOS 缓存数据 ................................................................................. 20
查看 NetBIOS 缓存数据 ................................................................................. 20
系统用户管理 ................................................................................................... 20
用户配置 .................................................................................................... 21
配置静态绑定用户 .................................................................................... 21
配置认证用户 .......................................................................................... 22
用户组配置 ................................................................................................. 24
角色配置 .................................................................................................... 24
创建角色 ............................................................................................... 25
配置角色映射规则 .................................................................................... 25
配置角色组合 .......................................................................................... 25
显示角色信息 .......................................................................................... 26
配置管理接口 ................................................................................................... 26
配置 Console 管理接口 .................................................................................. 26
配置波特率 ............................................................................................ 26
配置超时时间 .......................................................................................... 26
配置 Telnet 管理接口 ..................................................................................... 27
配置 SSH 管理接口 ....................................................................................... 27
配置 WebUI 管理接口 .................................................................................... 28
显示管理接口配置 ......................................................................................... 29
配置存储设备 ................................................................................................... 29
格式化存储设备 ............................................................................................ 29
安全删除存储设备 ......................................................................................... 29
配置文件管理 ................................................................................................... 30
配置安全网关配置信息 .................................................................................... 30
查看配置信息 .......................................................................................... 30
回退起始配置信息 .................................................................................... 31
删除配置文件 .......................................................................................... 31
保存配置信息 .......................................................................................... 31
导出配置信息 .......................................................................................... 31
II
导入配置信息 .......................................................................................... 32
恢复出厂配置 .......................................................................................... 32
系统维护与调试 ................................................................................................. 32
Ping 命令 ................................................................................................... 32
Traceroute 命令 .......................................................................................... 33
系统调试功能 .............................................................................................. 35
配置系统重启 ................................................................................................... 35
DCFOS 版本升级 ............................................................................................... 36
启动系统介绍 .............................................................................................. 36
Bootloader 的工作模式 ............................................................................. 36
通过网络迅速升级 DCFOS(TFTP) ................................................................... 36
其它升级方式 .............................................................................................. 38
通过 FTP 服务器获取 DCFOS ...................................................................... 38
通过 USB 口获取 DCFOS ........................................................................... 39
Sysloader 菜单介绍 ................................................................................. 39
通过 CLI 升级 DCFOS .................................................................................... 39
通过 WebUI 升级 DCFOS ............................................................................... 40
许可证管理 ...................................................................................................... 40
申请许可证 ................................................................................................. 40
安装许可证 ................................................................................................. 41
许可证命令 ................................................................................................. 41
生成许可证请求 ....................................................................................... 41
安装/卸载许可 ........................................................................................ 42
许可证灌装介绍 ............................................................................................ 42
许可证灌装操作 ....................................................................................... 42
许可证安装 ............................................................................................ 42
简单网络管理协议(SNMP) ................................................................................. 43
安全网关的 SNMP 功能 ................................................................................... 43
SNMP 版本 ............................................................................................ 44
MIB 信息库 ............................................................................................ 44
Trap 报文信息 ........................................................................................ 45
配置 SNMP ................................................................................................. 45
开启或者关闭 SNMP 代理功能 ..................................................................... 45
配置 SNMP 代理设备端口号 ........................................................................ 45
配置 SNMP 引擎 ID .................................................................................. 46
创建 SNMPv3 用户组 ................................................................................ 46
创建 SNMPv3 用户 .................................................................................. 46
配置管理主机地址 .................................................................................... 47
配置 trap 报文目标主机地址 ........................................................................ 47
配置管理员的标识及联系方法 ...................................................................... 47
配置安全网关位置 .................................................................................... 48
显示 SNMP 信息 ........................................................................................... 48
SNMP 配置示例 ........................................................................................... 48
组网要求 ............................................................................................... 48
III
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
