2024年10月29日发(作者：汉冷之)

DPtech FW1000操作手册

杭州迪普科技有限公司

2011年10月

目 录

DPtech FW1000操作手册

1

第1章 组网模式1

1。1

组网模式1—透明模式1

1.2

组网模式2-路由模式2

1。3

组网模式3—混合模式3

第2章 基本网络配置3

2.1

实现功能3

2.2

网络拓扑4

2。3

配置步骤4

第3章 深度检测功能配置5

3.1

实现功能5

3.2

网络拓扑6

3。3

配置步骤6

第4章 VPN7

4。1

IPS

EC

VPN7

4.1

。

1

客户端接入模式

7

4.1.2

网关—网关模式

9

4.2

L2TP

VPN11

4.2.1

实现功能

11

4

。

2

。

2

网络拓扑

11

4

。

2

。

3

配置步骤

11

4.3

GRE

VPN15

4.3.1

实现功能

15

4

。

3

。

2

网络拓扑

15

4.3

。

3

配置步骤

15

4。4

SSL

VPN16

4.4.1

实现功能

16

4

。

4.2

网络拓扑

17

4

。

4

。

3

配置步骤

17

第5章 VRRP双机热备18

5。1

实现功能18

5。2

网络拓扑19

5。3

配置步骤19

第6章 日志输出UMC22

6.1

业务日志输出22

6。2

会话日志输出22

6.3

流量分析输出23

第1章

组网模式

1.1 组网模式1-透明模式

组网应用场景

➢ 需要二层交换机功能做二层转发

➢ 在既有的网络中，不改变网络拓扑,而且需要安全业务

➢ 防火墙的不同网口所接的局域网都位于同一网段

特点

➢ 对用户是透明的，即用户意识不到防火墙的存在

➢ 部署简单,不改变现有的网络拓扑，无需更改其他网络设备的配置

➢ 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等

配置要点

➢ 接口添加到相应的域

➢ 接口为二层接口,根据需要，配置接口类型为ACCESS或TRUNK

杭州迪普科技有限公司 第1页

➢ 接口配置VLAN属性

➢ 必须配置一个vlan-ifxxx的管理地址 ，用于设备管理

1.2 组网模式2—路由模式

组网应用场景

➢ 需要路由功能做三层转发

➢ 需要共享Internet接入

➢ 需要对外提供应用服务

➢ 需要使用虚拟专用网

特点

➢ 提供丰富的路由功能,静态路由、RIP、OSPF等

➢ 提供源NAT支持共享Internet接入

➢ 提供目的NAT支持对外提供各种服务

➢ 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等

➢ 需要使用WEB认证功能

配置要点

杭州迪普科技有限公司 第2页

➢ 接口添加到相应的域

➢ 接口工作于三层接口，并配置接口类型

➢ 配置地址分配形式静态IP、DHCP、PPPoE

1.3 组网模式3—混合模式

组网应用场景

➢ 需结合透明模式及路由模式

特点

➢ 在VLAN内做二层转发

➢ 在VLAN间做三层转发

➢ 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等

配置要点

➢ 接口添加到相应的域

➢ 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

➢ 接口配置VLAN属性

➢ 添加三层接口，用于三层转发

➢ 配置一个vlan-ifxxx的地址 ,用于三层转发

第2章

基本网络配置

2.1 实现功能

➢ 内网（3。3。3.2/24)可访问外网(10。99。0。1/24）

➢ 内网地址为DHCP获得

➢ 内网对外提供HTTP服务（安装web服务器）

杭州迪普科技有限公司 第3页

2.2 网络拓扑

2.3 配置步骤

➢ 【网络管理】—>【接口管理】下，配置接口参数

➢ 在【网络管理】—>【网络对象】下，将接口添加到安全域

➢ 在【网络管理】->【单播IPv4路由】下,添加出口路由

杭州迪普科技有限公司 第4页

➢ 在【网络管理】—〉【DHCP配置】下，启动DHCP Server

➢ 在【防火墙】—>【NAT】下，添加源NAT

➢ 在【防火墙】—>【NAT】下,添加目的NAT

➢ 在【防火墙】-〉【包过滤策略】下，添加Untrust到Trust包过滤策略

第3章

深度检测功能配置

3.1 实现功能

➢ 采用第1章——基本网络配置

➢ 内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访

问控制、URL过滤、行为审计等）

➢ 备注：本次功能配置以应用限速为例

杭州迪普科技有限公司 第5页

3.2 网络拓扑

3.3 配置步骤

➢ 在【访问控制】-〉【网络应用带宽限速】下,配置限速策略

➢ 在【防火墙】—〉【包过滤策略】下，添加包过滤策略,并引用应用限速策略

➢ 部分DPI功能配置举例

杭州迪普科技有限公司 第6页

第4章

VPN

4.1 IPSec VPN

4.1.1

客户端接入模式

4.1.1.1 实现功能

➢ 采用第1章——基本网络配置

➢ 外网（10.99.0。4）可通过IPSec VPN客户端方式连接到内网,共享内网资源

杭州迪普科技有限公司 第7页

4.1.1.2 网络拓扑

4.1.1.3 配置步骤

➢ 在【VPN】—〉【IPSec】下，启动IPSec，配置客户端接入模式

➢ 在客户端安装IPSec VPN客户端程序

杭州迪普科技有限公司 第8页

4.1.2

网关-网关模式

4.1.2.1 实现功能

➢ 两端配置采用第1章——基本网络配置（相关IP不同）

➢ PC（3。3。3.2)可通过IPSec VPN访问PC(4。4。4.2），并可共享两端资源

杭州迪普科技有限公司 第9页

4.1.2.2 网络拓扑

4.1.2.3 配置步骤

➢ 在【VPN】—〉【IPSec】下，进行网关—网关模式配置

杭州迪普科技有限公司 第10页

4.2 L2TP VPN

4.2.1

实现功能

➢ 采用第1章——基本网络配置

➢ 外网(10.99。0.4)可通过L2TP VPN连接到内网，共享内网资源

4.2.2

网络拓扑

4.2.3

配置步骤

➢ 在【网络管理】->【网络对象】下，将L2TP使用接口添加到安全域中

杭州迪普科技有限公司 第11页

➢ 在【VPN】->【L2TP】下，启动L2TP,配置LNS和用户信息

➢ 在客户端上添加注册表键值（windows默认的l2tp/ipsec是只支持用证书认证的，对

于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表），需重启

客户端PC，键值如下:

＃

Windows Registry Editor Version 5。00

［HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameter

s]

"ProhibitIPSec”=dword：00000001

#

杭州迪普科技有限公司 第12页

➢ 新建L2TP客户端，在【网上邻居】中创建新连接

➢ 需要修改的参数如下

杭州迪普科技有限公司 第13页

杭州迪普科技有限公司 第14页

4.3 GRE VPN

4.3.1

实现功能

➢ 两端配置采用第1章——基本网络配置（相关IP不同）

➢ PC（3.3。3.2）可通过GRE VPN访问PC（4。4.4。2）,并可共享两端资源

4.3.2

网络拓扑

4.3.3

配置步骤

➢ 在【网络管理】-〉【单播IPv4路由】下，添加静态路由

杭州迪普科技有限公司 第15页

➢ 在【VPN】—〉【GRE】下,创建GRE VPN策略

4.4 SSL VPN

4.4.1

实现功能

➢ 采用第1章—-基本网络配置

➢ 外网(10.99.0.4)可通过SSL VPN连接到内网，共享分配相应权限的内网资源

杭州迪普科技有限公司 第16页

4.4.2

网络拓扑

4.4.3

配置步骤

➢ 在【VPN】-〉【SSL VPN】下，启动SSL VPN,并导入相应证书（新版本自带证书，

老版本需搭建服务器获得)

杭州迪普科技有限公司 第17页

➢ 在【VPN】—>【SSL VPN】下,配置资源（IP资源、web资源等）

➢ 在【VPN】—〉【SSL VPN】下，添加用户

第5章

VRRP双机热备

5.1 实现功能

➢ 内网PC(3。3.3.3)可访问Internet资源

➢ 当FW1(10。99。0。192，主）与FW2（10。99.0。193,备)为主备模式下,断开FW1

与SW1的连接,流量自动切换至FW2,PC应用无影响

➢ 重新连接FW1与SW1的连接，流量自动切换回FW1，PC应用无影响

杭州迪普科技有限公司 第18页

5.2 网络拓扑

5.3 配置步骤

➢ 在【网络管理】->【接口管理】下，配置接口参数（eth_4为双机热备心跳线，eth_5

连接内网，eth_6连接外网）

杭州迪普科技有限公司 第19页

➢ 在【网络管理】—>【网络对象】下，将接口添加到安全域中

➢ 在【网络管理】—>【单播IPv4路由】下，添加出口默认路由

➢ 在【防火墙】->【NAT】下,配置源NAT策略

➢ 在【高可靠性】-〉【VRRP】下，配置VRRP备份组（内网PC网关指向备份组虚拟

IP）

杭州迪普科技有限公司 第20页

➢ 在【高可靠性】—〉【双机热备】下，进行双机热备配置(心跳线），此功能将同步

配置、会话等参数

➢ 在【高可靠性】—〉【接口状态同步组】下，进行端口同步组配置（可选）；此功能

作用为，如下行接口(eth0_5）down掉，则相同接口同步组下的其他接口，也将down

掉,如需重新up,则需重新打开接口的管理状态

杭州迪普科技有限公司 第21页

第6章

日志输出UMC

6.1 业务日志输出

➢ 在【日志管理】—>【业务日志】下，配置业务日志输出

➢ FW中,业务日志主要包括行为审计日志

6.2 会话日志输出

➢ 在【防火墙】—>【会话管理】下，配置会话日志输出

➢ FW中，会话日志主要包括NAT日志

杭州迪普科技有限公司 第22页

6.3 流量分析输出

➢ 在【上网行为管理】->【流量分析】下,配置流量分析输出

➢ FW中，流量分析主要包括流量分析日志

杭州迪普科技有限公司 第23页

2024年10月29日发(作者：汉冷之)

DPtech FW1000操作手册

杭州迪普科技有限公司

2011年10月

目 录

DPtech FW1000操作手册

1

第1章 组网模式1

1。1

组网模式1—透明模式1

1.2

组网模式2-路由模式2

1。3

组网模式3—混合模式3

第2章 基本网络配置3

2.1

实现功能3

2.2

网络拓扑4

2。3

配置步骤4

第3章 深度检测功能配置5

3.1

实现功能5

3.2

网络拓扑6

3。3

配置步骤6

第4章 VPN7

4。1

IPS

EC

VPN7

4.1

。

1

客户端接入模式

7

4.1.2

网关—网关模式

9

4.2

L2TP

VPN11

4.2.1

实现功能

11

4

。

2

。

2

网络拓扑

11

4

。

2

。

3

配置步骤

11

4.3

GRE

VPN15

4.3.1

实现功能

15

4

。

3

。

2

网络拓扑

15

4.3

。

3

配置步骤

15

4。4

SSL

VPN16

4.4.1

实现功能

16

4

。

4.2

网络拓扑

17

4

。

4

。

3

配置步骤

17

第5章 VRRP双机热备18

5。1

实现功能18

5。2

网络拓扑19

5。3

配置步骤19

第6章 日志输出UMC22

6.1

业务日志输出22

6。2

会话日志输出22

6.3

流量分析输出23

第1章

组网模式

1.1 组网模式1-透明模式

组网应用场景

➢ 需要二层交换机功能做二层转发

➢ 在既有的网络中，不改变网络拓扑,而且需要安全业务

➢ 防火墙的不同网口所接的局域网都位于同一网段

特点

➢ 对用户是透明的，即用户意识不到防火墙的存在

➢ 部署简单,不改变现有的网络拓扑，无需更改其他网络设备的配置

➢ 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等

配置要点

➢ 接口添加到相应的域

➢ 接口为二层接口,根据需要，配置接口类型为ACCESS或TRUNK

杭州迪普科技有限公司 第1页

➢ 接口配置VLAN属性

➢ 必须配置一个vlan-ifxxx的管理地址 ，用于设备管理

1.2 组网模式2—路由模式

组网应用场景

➢ 需要路由功能做三层转发

➢ 需要共享Internet接入

➢ 需要对外提供应用服务

➢ 需要使用虚拟专用网

特点

➢ 提供丰富的路由功能,静态路由、RIP、OSPF等

➢ 提供源NAT支持共享Internet接入

➢ 提供目的NAT支持对外提供各种服务

➢ 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等

➢ 需要使用WEB认证功能

配置要点

杭州迪普科技有限公司 第2页

➢ 接口添加到相应的域

➢ 接口工作于三层接口，并配置接口类型

➢ 配置地址分配形式静态IP、DHCP、PPPoE

1.3 组网模式3—混合模式

组网应用场景

➢ 需结合透明模式及路由模式

特点

➢ 在VLAN内做二层转发

➢ 在VLAN间做三层转发

➢ 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等

配置要点

➢ 接口添加到相应的域

➢ 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

➢ 接口配置VLAN属性

➢ 添加三层接口，用于三层转发

➢ 配置一个vlan-ifxxx的地址 ,用于三层转发

第2章

基本网络配置

2.1 实现功能

➢ 内网（3。3。3.2/24)可访问外网(10。99。0。1/24）

➢ 内网地址为DHCP获得

➢ 内网对外提供HTTP服务（安装web服务器）

杭州迪普科技有限公司 第3页

2.2 网络拓扑

2.3 配置步骤

➢ 【网络管理】—>【接口管理】下，配置接口参数

➢ 在【网络管理】—>【网络对象】下，将接口添加到安全域

➢ 在【网络管理】->【单播IPv4路由】下,添加出口路由

杭州迪普科技有限公司 第4页

➢ 在【网络管理】—〉【DHCP配置】下，启动DHCP Server

➢ 在【防火墙】—>【NAT】下，添加源NAT

➢ 在【防火墙】—>【NAT】下,添加目的NAT

➢ 在【防火墙】-〉【包过滤策略】下，添加Untrust到Trust包过滤策略

第3章

深度检测功能配置

3.1 实现功能

➢ 采用第1章——基本网络配置

➢ 内网（Trust）到外网（Untrust）方向匹配DPI策略（包括应用限速、每IP限速、访

问控制、URL过滤、行为审计等）

➢ 备注：本次功能配置以应用限速为例

杭州迪普科技有限公司 第5页

3.2 网络拓扑

3.3 配置步骤

➢ 在【访问控制】-〉【网络应用带宽限速】下,配置限速策略

➢ 在【防火墙】—〉【包过滤策略】下，添加包过滤策略,并引用应用限速策略

➢ 部分DPI功能配置举例

杭州迪普科技有限公司 第6页

第4章

VPN

4.1 IPSec VPN

4.1.1

客户端接入模式

4.1.1.1 实现功能

➢ 采用第1章——基本网络配置

➢ 外网（10.99.0。4）可通过IPSec VPN客户端方式连接到内网,共享内网资源

杭州迪普科技有限公司 第7页

4.1.1.2 网络拓扑

4.1.1.3 配置步骤

➢ 在【VPN】—〉【IPSec】下，启动IPSec，配置客户端接入模式

➢ 在客户端安装IPSec VPN客户端程序

杭州迪普科技有限公司 第8页

4.1.2

网关-网关模式

4.1.2.1 实现功能

➢ 两端配置采用第1章——基本网络配置（相关IP不同）

➢ PC（3。3。3.2)可通过IPSec VPN访问PC(4。4。4.2），并可共享两端资源

杭州迪普科技有限公司 第9页

4.1.2.2 网络拓扑

4.1.2.3 配置步骤

➢ 在【VPN】—〉【IPSec】下，进行网关—网关模式配置

杭州迪普科技有限公司 第10页

4.2 L2TP VPN

4.2.1

实现功能

➢ 采用第1章——基本网络配置

➢ 外网(10.99。0.4)可通过L2TP VPN连接到内网，共享内网资源

4.2.2

网络拓扑

4.2.3

配置步骤

➢ 在【网络管理】->【网络对象】下，将L2TP使用接口添加到安全域中

杭州迪普科技有限公司 第11页

➢ 在【VPN】->【L2TP】下，启动L2TP,配置LNS和用户信息

➢ 在客户端上添加注册表键值（windows默认的l2tp/ipsec是只支持用证书认证的，对

于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表），需重启

客户端PC，键值如下:

＃

Windows Registry Editor Version 5。00

［HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameter

s]

"ProhibitIPSec”=dword：00000001

#

杭州迪普科技有限公司 第12页

➢ 新建L2TP客户端，在【网上邻居】中创建新连接

➢ 需要修改的参数如下

杭州迪普科技有限公司 第13页

杭州迪普科技有限公司 第14页

4.3 GRE VPN

4.3.1

实现功能

➢ 两端配置采用第1章——基本网络配置（相关IP不同）

➢ PC（3.3。3.2）可通过GRE VPN访问PC（4。4.4。2）,并可共享两端资源

4.3.2

网络拓扑

4.3.3

配置步骤

➢ 在【网络管理】-〉【单播IPv4路由】下，添加静态路由

杭州迪普科技有限公司 第15页

➢ 在【VPN】—〉【GRE】下,创建GRE VPN策略

4.4 SSL VPN

4.4.1

实现功能

➢ 采用第1章—-基本网络配置

➢ 外网(10.99.0.4)可通过SSL VPN连接到内网，共享分配相应权限的内网资源

杭州迪普科技有限公司 第16页

4.4.2

网络拓扑

4.4.3

配置步骤

➢ 在【VPN】-〉【SSL VPN】下，启动SSL VPN,并导入相应证书（新版本自带证书，

老版本需搭建服务器获得)

杭州迪普科技有限公司 第17页

➢ 在【VPN】—>【SSL VPN】下,配置资源（IP资源、web资源等）

➢ 在【VPN】—〉【SSL VPN】下，添加用户

第5章

VRRP双机热备

5.1 实现功能

➢ 内网PC(3。3.3.3)可访问Internet资源

➢ 当FW1(10。99。0。192，主）与FW2（10。99.0。193,备)为主备模式下,断开FW1

与SW1的连接,流量自动切换至FW2,PC应用无影响

➢ 重新连接FW1与SW1的连接，流量自动切换回FW1，PC应用无影响

杭州迪普科技有限公司 第18页

5.2 网络拓扑

5.3 配置步骤

➢ 在【网络管理】->【接口管理】下，配置接口参数（eth_4为双机热备心跳线，eth_5

连接内网，eth_6连接外网）

杭州迪普科技有限公司 第19页

➢ 在【网络管理】—>【网络对象】下，将接口添加到安全域中

➢ 在【网络管理】—>【单播IPv4路由】下，添加出口默认路由

➢ 在【防火墙】->【NAT】下,配置源NAT策略

➢ 在【高可靠性】-〉【VRRP】下，配置VRRP备份组（内网PC网关指向备份组虚拟

IP）

杭州迪普科技有限公司 第20页

➢ 在【高可靠性】—〉【双机热备】下，进行双机热备配置(心跳线），此功能将同步

配置、会话等参数

➢ 在【高可靠性】—〉【接口状态同步组】下，进行端口同步组配置（可选）；此功能

作用为，如下行接口(eth0_5）down掉，则相同接口同步组下的其他接口，也将down

掉,如需重新up,则需重新打开接口的管理状态

杭州迪普科技有限公司 第21页

第6章

日志输出UMC

6.1 业务日志输出

➢ 在【日志管理】—>【业务日志】下，配置业务日志输出

➢ FW中,业务日志主要包括行为审计日志

6.2 会话日志输出

➢ 在【防火墙】—>【会话管理】下，配置会话日志输出

➢ FW中，会话日志主要包括NAT日志

杭州迪普科技有限公司 第22页

6.3 流量分析输出

➢ 在【上网行为管理】->【流量分析】下,配置流量分析输出

➢ FW中，流量分析主要包括流量分析日志

杭州迪普科技有限公司 第23页