[IT/计算机]SonicWALL系列设备配置下

[IT/计算机]SonicWALL系列设备配置下 下面的设置使用VPN 虚拟网卡,就是给GVC用户分配IP地址。为此，必须配置DHCP 服务器为GVC 用户分配IP 地址。 Virtual Adapter Settings选择DHCP Lease 选中Use Default Key for Simple Client Provisioning 使用户不必输入General界面的预共享密钥。 DHCP 有两种分配方式: , 使用防火墙的DHCP 服务器，在Network->DHCP Server界面，配置DHCP，给GVC 用户 分配IP地址。 5.5之前的版本，给GVC 分配的IP 地址必须和X0口的IP地址在一个 网段。5.5版本支持多个网段的DHCP分配，GVC 用户可以拿到你配置的任意的一个网 段的地址，不再限制到和X0口的IP 在一个网段。下图配置了多个DHCP 的动态范围， X0口是10.200.2.1-10.200.2.9， 另外一个10.200.3.1-10.200.3.10不和任何端口关联。 , 配置完这个界面之后，需要配置VPN->DHCP Over VPN 界面，选择Use Internal DHCP Server, For Global VPN Client Relay Agent IP(Optional)是可选的配置。DHCP 服务器可以分配任意的网段给GVC用户。Relay Agent IP就是那个网段中的一个保留的IP地址，不会分配给GVC用户。当DHCP 请求到达DHCP服务器时，DHCP服务器知道要分配这个网段的地址给GVC用户。DHCP服务器可以是防火墙本身的DHCP服务器，可以是专门的DHCP服务器，也可以是和防火墙互联的L3交换机，L3交换机一般都支持DHCP服务器的功能。 , 第二种DHCP，见下图。 使用VPN->DHCP over VPN->Configure界面，用内网的DHCP 服务器给用户分配IP地址。 Relay Agent IP(Optional)是可选的配置。DHCP 服务器可以分配任意的网段给GVC用户。Relay Agent IP就是那个网段中的一个保留的IP地址，不会分配给GVC用户。当DHCP 请求到达DHCP服务器时，DHCP服务器知道要分配这个网段的地址给GVC用户。DHCP服务器可以是防火墙本身的DHCP服务器，可以是专门的DHCP服务器，也可以是和防火墙互联的L3交换 机，L3交换机一般都支持DHCP服务器的功能。 点击Users->local users 点击Add User按钮 在setting标签页中，输入用户名称，密码， Group标签页基本保持不变，除非你需要进行一些特殊的用户分组 VPN Access标签页是对这个用户所访问的权限分配，把这个用户需要访问的服务器地址和网段地址写进去。然后点击OK完成用户设置。 完成后结果如下。 Global VPN Client客户端软件的配置 1. 安装好客户端软件，按照 步骤 新产品开发流程的步骤课题研究的五个步骤成本核算步骤微型课题研究步骤数控铣床操作步骤 一步一步做就好了，直到安装完毕 2. 运行GVC客户端软件，有一个向导提供第一步配置界面 点击Next，进入下一步 选择Remote Access，然后进入下一步 输入中心防火墙的WAN口地址，点击下一步。 出现完成对话框，点击Finish。完成后会看到一条VPN策略添加至GVC中。 双击这个策略，会出现连接会话框，提示输入共享密码，这个共享密码在防火墙上的WANGroup VPN策略中 默认是一串数字。 把这串字符写到提示框中，GVC软件会自动把它保存起来，以后就不需要再写了。 接下来提示用户名和密码 如果配置中选中Use Default Key for Simple Client Provisioning 使用户不必输入General界面的预共享密钥。 按照我们建立的用户名和密码输入后，系统提示连接成功 配置如果不使用虚拟网卡， 建立连接后，没有分配任何IP 地址给客户机器 DHCP Lease,使用虚拟网卡， DHCP over VPN 配置如下，Relay Agent IP地址没有配置 GVC 成功建立VPN隧道连接后VPN虚拟网卡获得的IP 地址是和X0口网段在一个网段的IP 地址10.200.2.7 DHCP Relay IP Address配置成10.200.3.253，和防火墙的DHCP 服务器网段 10.200.3.1—10.200.3.10在一个段， GVC的虚拟网卡拿到IP地址 10.200.3.5， 在10.200.3.1—10.200.3.10的范围之内， 结论: SonicWALL WAN GroupVPN 和内置的DHCP 非常灵活，可以给GVC 用户分配任意网段的IP地址，可以达到和使用外部DHCP 服务器同样的效果。 5.3 SSL VPN的配置 SSL VPN设置 SonicWALL NSA产品具有SSL VPN拨号功能，可以用SSLVPN客户端(Nextender)和防火墙建立SSL VPN连接，通过SSL VPN隧道访问到公司或组织内部网络。SSL VPN只在NSA设备的5.2.0以后的系统中可以使用，如果你的系统版本低，需要下载新的系统版本，安装后才可以使用。 SSL VPN在防火墙中也是使用license进行控制的，所以在使用SSL VPN配置之前，请检查一下系统是否带有SSL VPN的license。 WAN 接口的General界面，Management, User Login, 都在HTTPS方框打勾。 选择SSL VPN->Client Setting. 在Interface下拉框中，使用X0(LAN口)作为SSL VPN服务口，同时在WAN安全区域允许SSL VPN接入，点WAN是红色的按钮变成绿色。 需要注意到是，Nextender的地址范围要和内网接口(本例是X0 LAN)的地址范围一致。这个地址范围不要和其它机器冲突。(你可以启用防火墙的另外一个没有使用的端口做SSL VPN服务接口，那么你在Interface界面选择那个接口，IP 地址池范围就是那个接口网段的地址) NetExtender Client Settings是配置客户端的细致的设置。Create Client Connection Profile:可以使NetExtender Client客户端软件自动保存成功连接的配置，下次连接，直接选择这个连接的参数，不用手工再次输入了。 点击SSL VPN->Client Routes菜单下，把需要访问的服务器网段地址或服务器地址添加进去。 Client Route界面把允许SSL VPN用户访问的主机地址和网段加入即可。防火墙自动创建SSL VPN到各个安全区域的规则，本例是SSL VPN用户访问LAN Primary Subnet,就是LAN口的整个网段， 自动生成的防火墙规则在Firewall->Access Rules, SSL VPN->LAN界面可以看到。 建立一个用户账户，让用户使用这个账户进行VPN拨号。点击Users->local users 点击Add User按钮 在setting标签页中，输入用户名称，密码， Group标签页中，需要把用户添加到SSL VPN Services组中，不然会无法进行拨号 VPN Access标签页保持空白，然后点击OK完成用户设置。完成后结果如下。 客户端软件配置，(Nextender客户端软件可以到 中下载)安装软件。或者使用WEB 方式登录SSL VPN设备，直接在登录入口界面里点NetExtender图标安装软件。 启动后，软件弹出一个对话框，分别输入防火墙WAN口地址，用户名，密码，和Domain。注意: Domain名称必须使用LocalDomain(区分大小写不然系统会不认) 注意SSL VPN服务器地址后面的端口号:4433, 因为本防火墙的WAN口的HTTPS远程管理ideas端口被修改成了4433， 否则默认端口443，这个SSL VPN服务器地址后无需输入端口号。 点击connect,经过一段时间，显示连接成功 如果要允许SSL VPN 用户使用WEB 浏览器登录，那么WAN 接口的Management “HTTPS”， User Login中的“HTTPS” 必须选中.如果WAN 的HTTPS 远程管理没有允许，用户根本不能通过WEB方式到达用户认证界面。 如果HTTPS 远程管理允许了， 但是User Login没有允许， SSL VPN用户通过浏览器可以到达SSL VPN 用户认证界面，但是登录会失败，说没有权限。如果用户只采用NetExtender客户端软件连接VPN设备， “HTTPS” Management 不是必须的，但是User Login中的“HTTPS” 必须选中。 简而言之: , 使用SSL VPN功能，WAN接口的User Login中的“HTTPS” 必须选中，不论WEB方式登 录， 还是NetExtender独立客户端软件方式登陆。 , WEB 方式登录，HTTPS 远程管理必须打开 使用WEB 方式登录 :4433,点Click here for SSL VPN login 如果WAN 接口的User Login的HTTPS没有允许，SSL VPN不允许登录SSL VPN入口界面 User Login允许之后，SSL VPN 用户登录成功。点NetExtender图标，自动安装NetExtender软件。如果你使用Vista浏览器在保护模式，你必须SSL VPN的URL添加到浏览器的可信站点里，才能安装软件。 修改NetExtender的端口号和防火墙HTTPS 远程管理的端口号一致。 System->Administration界面可以修改防火墙远程管理的HTTPS 端口号。默认443端口，NetExtender不需要输入端口号，只需要输入IP地址即可。 SSL VPN的配置全部完成。 第六章UTM 的配置 SonicWALL NSA UTM产品必须经过注册，才能使用UTM 功能，就是对病毒，入侵和间谍软件进行 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 ，激 活应用层防火墙的功能。注册后的界面如下: System->License界面可以看到各个服务的有效期限 Security Services->Summary界面，也可以看到各个安全服务的有效期 此外， 在Security Services->Summary界面，点Synchronize按钮，可以强制设备和后台mysonicwall注册服务器进行Licensed同步。 Security Services Settings界面，有两个安全模式，一个是默认的Maximum Security, 扫描所有的 SonicWALL分类的高，中，低等的安全威胁。另外一个模式是Performance Optimized模式，就是性能优化模式，对流量非常大，对实时性要求高的环境，可以考虑Performance Optimized模式，该模式不检测SonicWALL定义的低度安全威胁。(SonicWALL把安全威胁分成高，中，低三个等级。 在IPS和间谍软件的签名中，可以看到每一个安全威胁签名对应的等级) 另外，再次提醒一下，手工的签名升级也在Security Services->Summary界面的最下面。 6.1 GAV 的配置 6.2 IPS 的配置 View Style: Category, 选择IM，即时消息，可以查看IM 的所有的签名，并对每个签名单独配置。点该签名右边的Configure按钮，打开该签名的配置界面。我们通常只用到Prevention, Detection和Included IP Address Range三个配置参数，其它可以忽略。详细的配置在这一章的高级配置里举例，即允许部分人呢使用某个IM 应用，而禁止其它人使用该应用。 6.3 Anti-Spyware的配置 6.4 GAV/IPS配置技巧，限制部分用户的IM或P2P IM和P2P的配置完全相同，我们以P2P举例，限制公司员工使用P2P应用，但是允许特定的IP 地址使用，如总经理的IP 地址。 IP 地址和用户的对应关系可以采用IP地址和MAC 地址的对应关系来加以强制，很多交换机都可以做IP 地址和MAC 地址的绑定。SonicWALL防火墙也可以做，但是记住，经过L3 交换的时候，IP和MAC 绑定没有任何意义。因为防火墙只能看到L3 交换和防火墙互联端口的MAC 地址，不能看到L3一下各个VLAN 中的机器的MAC 地址。 Network->Address Object界面，点Custom Address Object,只看自定义的地址对象。我们再点Address Object下的Add按钮，添加一个主机地址对象 192.168.2.2，我们允许该IP地址使用P2P 应用，而禁止 所有其他的IP 地址使用P2P应用。 Security Services->Intrusion Prevention界面，IPS Global Setting下面，选中Enable IPS, Prevent All和Detect All 全部的选中，则IPS 功能对高，中，低三种危险都阻拦，其中低度危险包含P2P应用的全部签名。 注意: , Low Priority Attacks 的Prevent All那一列的对号选中后，所有的低度威胁的应用都被阻断，包括IM 即时消息的应用，如MSN,QQ等等。 所以，如果公司允许IM， 而禁止P2P 应用，你可以不在IPS Global Settings界面的Low Priority Attacks 的Prevent All那一列打勾，就是不阻拦低度危险的应用，转而 在每个低度危险的签名类别上去做设置，见下页。 , 低度危险包括PING，IPS Global Settings界面的Low Priority Attacks 的Prevent All打勾，低度危 险被阻拦后，PING 也被禁止，因此可能发现经过防火墙的PING 都被禁止了。 封掉P2P的全局配置1 封掉P2P的全局配置2 在P2P 的类别上做阻断的设置，把上图Low Priority Attacks对号去掉， IPS Policy->View Style, Category选择All Categories,即按照类别来显示IPS 的签名 找到P2P 的签名，点右边的Configure按钮，打开P2P 这一类的控制，在Prevention的下拉菜单里选择 Enable，这样，P2P 一类被阻拦。其它类别默认是使用全局的配置，就是IPS Global Settings里对三种 安全威胁等级的设置。每个签名按照威胁等级，被阻拦还是被放过。我们建议中，高度威胁全部阻拦。 下面是关键的一步，放开IP 地址192.168.2.2，允许其使用“迅雷” 应用。在IPS Policy->View Style, Category选择P2P,或者在如下界面直接点P2P，都可以进入P2P 这一类的每个签名的独立配置界面。 找到“迅雷”对应的签名，例如151签名，点该签名右边对应的Configure按钮，在Prevention下拉框选Disable,在Included IP Address Range下拉框选择要放开的IP 地址或地址组，我们选择192.168.2.2的地址对象，该配置是个反逻辑，含义是192.168.2.2的IP 地址的该迅雷签名的阻断被Disable了，其实就是该IP地址的该迅雷签名是放开的，可以使用。重复这个过程，把迅雷对应的多个签名都做同样的配置，则该IP 地址可以使用迅雷的所有功能。 配置完成。 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf :IM和P2P 的部分用户放开，其它人禁止，就是在IPS全局设置的低度威胁上禁止或者在签名的类别设置上把IM,P2P 禁止，然后在IM和P2P的类别里，针对每一签名，逐个做放开的配置。要把Prevention选则为禁止，在Included IP Address Range里填入放开的IP 地址或地址组。 记住这个配置就好。 第七章 SonicWALL NSA UTM防火墙的高级配置 7.1 在网通和电信的双线路上发布服务器，而且服务器地址和端口互联地址不在一个网段上 WEB服务器和 FTP服务器在网通和电信双线路上发布。网通的用户通过网通的IP地址访问他们，电信的用户通过电信的IP 访问他们，避免跨越运营商互联线路的速度瓶颈。同时对用户LAN 网段上的公有IP 地址，限定他们只能走X2口电信的线路路由去Internet. 下面的配置完成如上的用户需求。本配置的IP地址是随意写的，不代表真实的运营商的IP 地址网段. Network->Interface界面，把端口安全区域和IP地址配置好 Network->Address Objects,配置好所有的地址对象和地址组对象 三个地址组: 为了方便下面的策略路由和NAT 策略的配置 ALL VLAN: 所有VLAN VLANs with Public IP: 公有IP的LAN 网段 4.4.4.X: X2电信WAN 口上的服务器的IP 地址组 内网回指路由网关10.1.4.2， 8个LAN网段，服务器发布的4个公网IP 及两个服务器的私有IP Network->Routing界面增加回指路由，到内部所有VLAN 的下一条指向三层交换10.1.4.2的IP 地址，同时增加二条策略路由:一条是公网网段的PC 上Internet 只经过X2口电信的线路，另外一条是X2 WAN口发布服务器的两个IP 地址4.4.4.20，4.4.4.21，这两个IP 地址为源，到任意目的，任意服务，走X2口的默认网关X2 Default Gateway，端口是X2口，因为默认配置X1口 是主WAN 口，路由表的最后一条默认路由是X1 Default Gateway 1.1.1.1, 如果不增加以4.4.4.2，4.4.4.21为源的策略路由，这两个地址的回包路由就是X1 Default Gateway 1.1.1.1, 这样，进来的数据从X2口到达，返回的数据从X1口回去，防火墙认为这是不可能的，当做IP Spoof ，把数据包丢弃，因为必须增加这个策略路由。 注意:如果服务器在多个WAN 线路上发布，那么除了作为默认路由的主WAN 之外，其它WAN口上发布的服务器的公网IP地址，必须有对应的从其自己WAN口的网关返回的策略路由。如本例所做。否则，只有默认主WAN 的发布成功，其它WAN 的发布将会失败。添加好策略路由，如上例所示，发布自然没有问题。 Firewall-> Access Rules, WAN->DMZ Network->NAT Policies Web服务器的NAT配置，选择Create a reflexive policy，自动创建反向NAT策略。反向NAT策略就是服 务器主动发包到Internet,服务器的地址也NAT到该服务器的公网IP地址。没有反向策略，不影响用户访 问服务器，但是服务器发起到Internet的访问，其源IP被NAT到防火墙的WAN口IP 或者IP 地址池。 以下发布服务器的配置同上，注意服务端口和进入防火墙的端口不同。 , 配置完成后的NAT 策略。第21条NAT策略的含义是公网IP 的LAN 上的PC 从X2口电信线路访问 Internet,其源IP 地址保持不变，就是路由出去了。因为策略路由里强制公网IP 的PC 只能X2电信 口访问Internet. 路由策略决定数据从哪个防火墙端口转发出去。NAT 策略决定防火墙转发数据包 时，对源IP地址，目的IP 地址是否做转换。 , 13-16是DNS 环回的策略，允许内网的PC 以服务器的公有IP 或者域名访问该服务器。如果不添加 该DNS 环回的NAT 策略，那么内网的PC 只能用服务器的私有IP 地址访问该服务器。(DMZ区域服务 器是公有IP 的情况，不需要考虑DNS 环回的问题) 至此，本配置全部完成 验证配置结果:从LAN 上的PC 分别用Web Server 的私有IP地址172.16.100.8,公有IP地址 3.3.3.10 和 4.4.4.20访问该WEB 服务器，访问都正常。 从X1 WAN口访问3.3.3.10，访问正常 从X2 WAN 口访问4.4.4.20，访问正常 注意:服务器的发布过程可以使用向导来操作，简单方便。唯一要注意的是发布服务器的向导不可能知道哪些内部LAN 的IP 要用服务器的公网IP 访问服务器，就是DNS 环回的NAT 策略部分，防火墙用Firewalled Subnet预定义的地址对象，只包含防火墙LAN, DMZ 等内网端口直连的网段。你可以把内网的其它网段加入到DNS 环回的NAT 策略当中(如本例一样，创建一个地址组，用这个地址组替换掉Firewalled Subnet地址对象即可) 7.2 多WAN 链路的负载均衡功能 SonicWALL支持配置N-1个WAN口，N 是防火墙的端口的数量。但是只有4个WAN口可以用来在就是WAN 的链路负载均衡中使用。该功能是允许用户使用多个WAN ，访问Internet. WAN Failover & LB功能和策略路由本身不冲突。策略路由可以定义用户的什么流量走哪个物理WAN口出去Internet. 策略路由的定义比WAN Failover & Load Balancing界面定义的数据流分担的算法优先。本例子主要解释多个WAN 上的流量分流的方法。 X1,X2,X4,X5配置成WAN 的安全区域，所以本例子共配置4个WAN口。 Network->WAN Failover & LB界面，Primary WAN Ethernet Interface默认是X1端口。 在Alternate WAN#1, Alternate WAN#2, Alternate WAN#3,分别选择对应的WAN 口。我们按顺序选择X2,X4,X5. Enable Load Balancing默认允许了。默认的流量分担方法是主/备模式下的抢占模式。X1口故障，切换到X2口，X2口故障，切换到X4口，依次类推。当高优先级(本例X1最高)的端口恢复，流量切换回高优先级的端口。低优先级的端口只起备份作用，平时不走流量。 Per Destination Round-Robin:轮训方式。每个新建的连结在多个WAN口上轮流分配。 Spillover-Based:主WAN 的流量超过一定的阈值，启用备选线路。外出的流量在多个备选线路上以轮训的方式分配，就是一个连接在Alternate WAN#1，新建连接在Alternate WAN#2，再新建连接在Alternate WAN#3，再新建连接在Alternate WAN#1，不断循环分配。当主WAN的流量下降到设置的阈值之下，新建的连结回到主WAN口，已经在Alternate WAN#1, Alternate WAN#2, Alternate WAN#3的连接继续在该WAN口直到连接结束或防火墙的链接表超时删除该连接。 Percentage-Based:在多个WAN口上按一定的比例分担流量。 逻辑探测的配置，允许对多个WAN口做网络连通性的逻辑探测。默认只能选择对主WAN口和Alternate WAN#1做一跳或者两跳的逻辑检测。防火墙不往逻辑探测失败的端口上转发数据。只有逻辑探测成功的端口才参与外出流量的分担。 你可以设置探测的条件和探测注意的域名或者IP 地址。 两个探测地址中的一个成功，就认为成功 两个探测地址都成功，才认为成功 第一个探测地址成功，就认为成功 永远成功(不探测) ---这个选项不会用到，没有实际的意义。 Default Target IP:当探测的主机的域名解析不成功，或者你配置了0.0.0.0的地址时，使用Default Target IP里配置的IP 地址作为探测的地址 我们手工配置逻辑探测只在主WAN 和Alternate WAN#1上。 如果想对所有的四个WAN口做逻辑探测，选择如下的选项，所有的WAN口使用同样的厂家预定义的探测方法进行探测。下面手工设置的探测条件将不起作用。 Probe responder.global.sonicwall.com on Primary, Alternate #1, Alternate #2, Alternate #3 多WAN 链路的负载均衡功能的目的就是对内部PC 发起到Internet访问的流量，可以在多个WAN 链路上分担并备份，当一条或者几条ISP链路故障时，确保Internet访问不被中断(只要不是所有的WAN 链路都同时中断) 7.3 L2 Bridge Mode的配置(如OSPF 透传) L2 Bridge Mode使UTM防火墙的部署变得简单。在用户不想改变原有的网络结构的情况下，把UTM防火墙 部署成L2 Bridge Mode,就像插入一个L2 交换机一样，原有的网络配置不需要任何的改变。 但是注意，UTM 防火墙的二层桥模式并不等于是一个L2 交换机，因为UTM 防火墙的三、四层的防火墙规则，DPI 引擎的深度包检测等仍然起作用，你必须配置合理的规则，才能达到桥模式部署UTM 防火墙的目的和效果。 Network->Interface的配置界面 Network->Interface的X2 Interface的配置界面 我们把X2选择成LAN 安全区域，IP Assignment选择成Layer 2 Bridge Mode, Bridged to: 选择成X3口， 就X2 和X3口是二层桥的一对端口。在下面的选项中，把Never route traffic on this bridge Pair 选中，就是从X2口或者X3口进入的数据，只从对方转发出，而不参与防火墙的其它端口的路由。 Disable Stateful-Inspection on this bridge-pair是解绝多个L2 Bridge存在的时候，进和出防火墙的数据不在一个L2 Bridge上,就是一个TCP 会话的数据，进出防火墙的时候，走的不是一条路，状态检测的时候， 会把这样的非对称路由的数据丢弃。选择这个选项，可以允许一个TCP会话的进出的防火墙的数据走不同的透明桥对。Comment是用户填写的注释，对这个L2 Bridge桥对进行说明，例如说明其桥接到哪个端口。 同样X4 桥接到X5 端口，如下图。 下面要做的工作就是配置防火墙的规则。在Firewall->Access Rules界面，点LAN->WAN的交叉点，配置 LAN->WAN的规则。 默认是全部允许，你可以改成禁止，再增加你希望放开的访问。 WAN->LAN 的访问规则举例如下: 至此，两个透明桥对的配置都完成了。总的来说，L2 Bridge的配置非常简单。我们只需要把一个端口配置成L2 Bridge Mode,并选择一个透明桥接的端口。 注意: 一个防火墙配置两对儿透明桥对儿的时候，注意接到原有的网络中时，不要产生环路。如果产生环路，防火墙会过载而无法正常工作。 一定避免环路的发生。 上面的配置对TCP,UDP 的应用都没有任何的问题，然而有时需要特殊的配置，来处理组播。例如OSPF的组播包。有时后，用户的L3交换机之间或交换机和路由器之间走OSPF 路由，OSPF 的五种组播包，如Hello包，Database Description, Link State Request, Link State Update, Link State ACK必须通过L2 Bridge. SonicWALL UTM防火墙默认不允许组播包通过。必须配置组播，并允许组播包通过。 L2 Bridge允许组播的配置过程: 在Firewall->Services界面，点Services下的Add按钮，添加五种OSPF 的包。如下图。分别对应OSPF 的Type1,Type2, Type3, Type4, Type5五种包。 在Firewall->Services界面，点Services Group下的Add按钮,添加OSPF 的服务组，把OSPF 的五种包都加入其中。 在Network-> Address Object界面，添加OSPF 的组播地址组，224.0.0.5，224.0.0.6 LAN->WAN 方向的防火墙规则，允许OSPF 通过 WAN -> LAN方向的防火墙规则，允许OSPF 通过 在Firewall->Multicast界面， 选择Enable Multicast, 在Enable reception for the following multicast addresses 下拉菜单中，选择我们创建好的OSPF 的组播地址对象，包含两个组播地址。点 Accept按钮接受配置。 注意: IGMP Membership Report不是必须的，可以不配置。在每个端口上的高级选项中的Enable Multicast Support也不需要配置。端口的Multicast配置在端口的配置界面的高级配置界面中。 至此，L2 Bridge 模式下的OSPF 透传配置完成，OSPF 组播包可以通过SonicWALL的L2 Bridge. 7.4 防火墙的带宽管理 要使用带宽管理，首先在Network->Interfaces, WAN interface, Advanced 界面配置Egress(出方向)和 Ingress(进方向)的带宽参数设置。配置好WAN 口的带宽参数，防火墙的规则上才会出现BWM(Bandwidth Management)的配置按钮。 Network->Interface, 点WAN Interface的Configure配置按钮， Advanced界面，设置出和进方向的带宽参数，以Kbps为单位，下面得参数是进出都10Mbps。 带宽参数的设置以ISP 给的实际带宽为准，不要简单地设置成端口的带宽。因为你的设备可 能是100Mbps的以太网端口，但是你的ISP 给你的带宽可能只有10Mbps. 然后在每个防火墙规则上出现一个Ethernet BWM的按钮。 点Ethernet BWM配置相应的带宽保证参数，有Guaranteed Bandwidth即保证带宽，还有Maximum Bandwidth,即最大带宽， 带宽参数可以用Kbps绝对值设置，也可以设置成WAN口的带宽的百分比。每个规则还有一个队列优先级的设置， Priority 0 的优先级最高，Priority 7 的优先级最低。如下面的图例所示。 注意:SonicWALL防火墙的带宽管理是绑定在防火墙规则上的。一个TCP 的链接，要看谁先发起TCP SYC 请求，建立TCP 连接。 对一个在LAN 上的服务器来说，它可以接收Internet用户的访问，那么对Internet用户访问该服务器的带宽控制要在WAN->LAN方向的防火墙规则上去做。 同时该服务器也可能主动发起LAN->WAN方向的访问，如主动去下载补丁，那么对下载补丁的保证带宽参数，要在LAN->WAN 方向的防火墙规则上去做。增加一个LAN->WAN 方向的防火墙规则，源IP地址是该服务器，目地和服务可以是Any,把Inbound保证带宽设置在这条规则上。 注意多WAN 口时的BWM参数: 在设置Inbound, Outbound带宽的时候，除了按照绝对值数设置外，还可以按照WAN的带宽的百分比来设置。如果只有一个WAN 口,那么百分比都是WAN口进，出带宽的百分比。如果有两个以上的WAN口，启用WAN 链路负载均衡，那么有三种情况: ,. 主WAN 和Secondary WAN是主备，那么百分比参数是参照主WAN 口的进出带宽 ,. 轮训或者按比例分配流量的时候，百分比参数是两个WAN 的带宽的总和 ,. Spill Over,主链路带宽超过一定阈值，启用备份链路。启用备用链路之前，带宽的参考是 主WAN 的进出带宽，即百分比按照主WAN 的进出带宽设置计算。当启用备用链路分 担流量时，超过阈值的流量都走备用链路，带宽的百分比参考是以备用链路的进出带宽 计算，即备用链路的带宽乘以百分比，是你想设定的带宽参数。、 注意:总的保证带宽不能超过WAN口总带宽的100%。 如果你的WAN 口的带宽是10000Kbps, 那么你在多个访问规则上设置进，出的保证带宽，这些规则保证的进，出的带宽参数之和不能超过WAN口的带宽的进，出的参数。因为不可能保证比WAN口带宽还大的带宽。 有多WAN口同时做带宽管理时，建议设置绝对参数，不必计算百分比。 下面是发布的一个FTP 服务器的带宽参数设置的一个例子: Firewall->Access Rules, WAN->LAN方向，在发布FTP 服务器的防火墙规则上，Ethernet BWM界面，设置Inbound, Outbound的带宽参数。(WAN 口的进，出带宽参数已经设置好，WAN口的带宽参数设置见前面的说明) Firewall-> Access Rules, WAN->LAN, FTP Allow的规则上，点Ethernet BWM 设置Inbound的保证带宽为1Mbps, 最大带宽为2Mbps. 队列的优先级为0，这个规则的数据队列优先级是最高的。Outbound的保证带宽为2Mbps, 最大带宽为4Mbps. 队列的优先级为0. 注意: 这个规则是WAN->LAN的方向。Inbound是从Internet到LAN 上的FTP 服务器，Outbound是从LAN 上的FTP 服务器到Internet。 因此，这个带宽管理的含义就是用户从WAN连接到FTP 服务器，保证的下载带宽是2Mbps(所有用户从FTP 服务器下载一共2M，不是保证一个用户2M), 最大4M。 用户往FTP 服务器上传文件的保证带宽是1M，最大带宽是2M。 Inbound和Outbound的定义是按照安全区域定义的。从不安全的去往安全的区域，是I FTP服务器主动往Internet发起连接，收发的带宽不受这个规则限制。如果想限制FTP 服务主动发起的TCP 连接的带宽，在LAN->WAN 方向增加一个源IP 地址是FTP 服务器的防火墙规则，在那条规则上配置Ethernet BWM的Inbound和 Outbound的参数。 7.5 High Availability (James He) 如何配置HA(High Availability) 拓扑图: 说明: 你不需要配置备机，只要配置好第一步，在备机启动后，连接心跳线，备机会自动和主机进行同步并导入配置，导入成功后机器自动重启，重启完成后，配置成功。注意，备机和主机第一次进行心跳线连接之前，请确认两台机器的操作系统版本一致，即Firmware版本一致。 一(配置HA 1. 登录需要做第一主机的机器。 2. 从左边的菜单栏里面选择，High Availability->Setting 3. 在右边的页面中，选择启用HA(Enable High Availability)选择框 4. 在下面的sonicWALL地址选项中，输入第二台机器(备机)的序列号。(注:备机的序 列号可以在机器的铭牌或者system->status下的serial number信息中找到) 5. 点击Accept按钮保存设置 二(配置带状态同步的HA 1.以管理员身份登录防火墙 2. 选择HA->Advance 3. 在Advance菜单下面，如果需要当设备正常后恢复使用第一主机，在Enable Preempt Mode 上面打勾,使用虚拟MAC ，发生切换时，上下游设备不需要更新ARP 表。选择Enable Virtual MAC即可 4. 如果升级Firmware时需要备份当前的系统版本和设置时，勾选Generate/Overwrite Backup Firmware and Settings When Upgrading Firmware. 5. 当需要调整两台设备通讯间隔时间时，可以修改Heartbeat Interval的值，默认值是5000毫 秒进行一次通讯，最小的通讯时间间隔是1000毫秒，值得注意到是，如果间隔时间设的太小， 容易引起误操作导致系统切换，特别是在系统负载比较大的时候。在这种情况下，推荐采用 比较大的时间间隔设置 6. Failover Trigger Level选项是确定心跳丢失而进行主机切换的数据包的数量 7. Probe Level 是关于上行或下行流量间断的时间，SonicWALL推荐使用至少5秒的等待值。在 High Availability > Monitoring菜单中你可以在Probe IP Address(es)中设置进行检查时使用的IP 地址 8. Election Delay Time 是用来确定当需要进行两台机器确定谁是第一主机时内部进程中的延时 时间， 9. Include Certificates/Keys 选项是规定同步时是否把相应的证书和密码进行同步 10. Synchronize Settings 按钮是用来把第一主机的配置同步到备份主机中 11. Synchronize Firmware 如果备机没有在线时，更新过主机的Firmware，在备机上线的时候， 需要选择这个选项以便备机可以把主机的firmware复制到自己的系统中，从而保证两台设备 完全一致。 12. 选择Accept保存配置。 配置HA的监测方式 1. 以管理员身份登录到系统中 2. 在左边的菜单栏中选择High Availability > Monitoring 3. 选择X0接口，点击Configure 4. 在Primary IP Address的项目中，填入管理第一主机时使用的IP地址(注:在配置HA后， 两台机器的内网IP配置和外网IP地址是相同的，为了分别进行管理，需要添加额外的地址 来对两个机器进行区分) 5. 在Backup IP Address 的项目中，填入管理备份主机时使用的IP地址 6. 在Probe IP Address 的项目中， 填入用来进行连接监测的设备IP地址，一般使用内网的一 个路由器或服务器IP作为监测对象 7. 在Enable Interface Monitoring选项上打勾，启用IP地址监测。 当地址监测启用后，第一主 机和备份主机会分别ping监测地址以确认连接性，如果有一台机器无法ping到监测地址而 另外一台可以，则进行切换。如果两台设备都可以ping到或都不能ping到，不会发生切换 动作，因为如果两台设备都不能ping到，程序会判断是监测主机出故障而不是防火墙本身。 8. 另外，你可以自己手工添加虚拟MAC地址，在相应的空白里面输入需要的MAC地址并启用 它。 9. 点击OK 10. 回到High Availability > Monitoring界面，选择你需要修改的其它接口，最后点击Accept保存 配置。 7.6 Application Firewall过滤关键字上传 目的: 使用SonicWALL防火墙的Application Firewall, 即应用层防火墙功能封堵一些关键字的上传,如防止上传一些不恰当的言论到Web论坛上. 配置Application Firewall, 要确保Application Firewall 已经授权 察看License情况, 在 System->License界面. ( 如果购买了网关杀毒/IPS功能,那么Application Firewall功能就包含在其中) , 看下面的图里Application Firewall(Included with IPS) 那一行. SonicWALL防火墙支持UTF-8,UTF-16编码,但是不支持简体中文GB2312,繁体中文BIG5等编码,.所以我们采用16进制的匹配方式, 把中文字符转换成16进制,在应用层防火墙的规则中去使用. 我们可以使用一个免费的软件XVI32,把中文转换成16进制. 下载地址如下: 解压缩XVI32.RAR文件,解压后,直接执行XVI32.EXE即可. 先在菜单栏选择File->New, 然后在菜单栏,选择 Edit->Insert String, 输入汉字 点Text->Hex转换按钮, 法轮功三个字被转换成16进制的数字 B7 A8 C2 D6 B9 A6 我们测试用如下短语测试应用层防火墙功能 (测试应用层防火墙) B2 E2 CA D4 D3 A6 D3 C3 B2 E3 B7 C0 BB F0 C7 BD B2E2CAD4D3A6D3C3B2E3B7C0BBF0C7BD (拷贝到记事本, 把空格都删除,如果像上面的软件转换后,直接拷贝出来,中间的空格也拷贝出来,到防火墙的Application Object里增加一个Application Object, 直接输入带空格的16进制字符串, 防火墙会报错误) 本测试以”测试应用层防火墙”作为关键字测试,发送这个短语的,将被应用层防火墙阻拦 在Application Firewall->Application Objects界面, 点Add New Object 按钮 输入Object Name, 随便取名字,我们建议用拼音或者英文,因为系统本身是英文系统,避免双字节识别的问题,我用英文Block Bad Key Words就是阻挡不良的关键字, Application Object Type选择Custom Object, 就是自定义对象类型, Match Type是Exact Match, 是严格匹配, 在Content内容部分,输入转换后的16进制的中文关键字, Input Representation 选择 Hexadecimal,即16进制, 点Add按钮, 关键字加入到List列表里面, 点OK,可以输入多个关键字,任何一个匹配到, 策略都会被执行. (策略还没有配置,看后面) 在Policy->Add New Policy界面, 输入Policy Name, 即策略名字, Policy Type, 选择HTTP Client Application Object ,选择前面创建的Block Bad Key Words ,Action: RESET/DROP, Direction: Outgoing, 代表外出方向, 策略配置完毕. Application Firewall->Policies界面，点Add New Policy，按照前面说明，配置Policy Application Firewall->Policies界面的Application Firewall Global Setting, Enable Application Firewall选择框打勾,激活Application Firewall功能, 测试: 到新华网论坛上, 测试发表评论 提交失败, 无法显示该网页 察看防火墙的Log,显示应用层防火墙策略把提交的内容阻挡了 7.7 VPN 备份专线的应用 Network->Interfaces，X1口作为主WAN口，X2口作为第二个WAN口 (Alternate WAN#1) Network->NAT Policies, 把X0 到X1 的NAT 去掉， XO 到X1 成路由模式 (18条NAT 策略的)对端的设备X1到X0也配置成路由模式，配置方法相同。( 正常的业务流量从本地VPN设备的X0->X1-------对端VPN 设备的X1->X0， 路由模式， 返回的数据包原路返回) 在VPN 配置界面，配置好第二个WAN口X2口到对端的点到点VPN 隧道。如何配置VPN 隧道参见前面第五章5.2。 从192.168.168.100 Ping 10.1.4.9, 发现所有的PING 包都走VPN 隧道，没有走X1 WAN口出去。说明VPN隧道的目的地址路由比防火墙的默认路由优先级要高( 这是正常的) 在Network->Routing界面增加策略路由，如下图第一条所示，到10.1.4.0的目的网路 ，走X1口的网关。这样，从192.168.168.100 Ping 10.1.4.9，数据从X1口发出去，经过专线网络，到达对端总部的VPN设备的X1口，再路由给目的服务器。 拔掉X1 WAN口的网线，PING包丢失几个后，通信恢复。 抓包发现这是的数据都走VPN隧道。 把主WAN口X1口网线恢复，丢失一个PING 包后，所有PING 包都恢复到X1口的专线线路。 默认情况下，防火墙只探测X1口和X2口的物理连接。 我们可以更进一步采用逻辑探测的方式，VPN隧道备份专线的切换就更加完善，不仅可以在物理端口宕掉的情况下发生VPN 备份专线的应用，还可以在逻辑探测检测专线由于路由问题而不能到达目的地的时候，触发VPN隧道备份专线。 逻辑探测的详细解释见 7.2 多WAN链路负载均衡的配置说明。 第八章 故障诊断和抓包分析 8.1 防火墙中抓包工具的使用 在System->Packet Capture界面，可以让防火墙抓包，对分析问题非常有帮助。通过抓包，对诊断上网问题，发布服务器的问题，基本都能直接找到问题并解决问题。 点Packet Capture,点Configure,可以设置抓包的过滤条件。如果不设置任何的过滤条件，则默认情况下，抓包抓所有通过防火墙的所有端口的所有的数据包(管理界面和HA 心跳线的数据除外) Interface Name可以设置抓哪个端口的包 Source IP Address可以设置源IP 地址 Source Port 设置源端口 Destination IP 设置目的IP Destination Port 设置目的端口 点每一个过滤条件的右边的小三角，关于这个参数的详细解释就在一个弹出窗口中显示出来。 IP类型可以设置抓TCP,UDP,ICMP，ESP等等 例如IP 地址部分，可以设置最多10个IP 地址，用逗号隔开。 设置好过滤条件，再点OK，点Start ,开始抓包的过程。界面里出现一个绿色的灯，显示抓包正在进行。 抓包结束后，点Export As下拉框，选择Libpcap,保存正这个格式，我们用Wireshark软件可以打开抓到的包进行分析。 保存文件.cap格式。Wireshark可以打开.cap格式的抓包文件进行详细的分析。 8.2抓包软件Wireshark的使用技巧和分析方法 Wireshark(原名叫Ethereal)是一款非常好用的完全免费的抓包和分析开源软件(GPL License)，全部的程序和源代码都可以在 网站免费下载。 全部的抓包看起来很乱，很难做故障诊断 加入各种过滤条件，很容易找到自己想看的和问题相关的数据包 例如: 下面的表达式是包含主机地址192.168.168.65的ICMP 包 ，192.168.168.65可以是源IP，也可以是目的IP。 Icmp and ip.host==192.168.168.65 tcp and ip.host==172.16.10.222，列出源或目的包含172.16.10.222的TCP 的数据包,UDP及其 它的ARP，ICMP 等包都被排除在外，只列出这这个地址相关的TCP 的数据包 下面是在防火墙里抓包，从内网的一台PC PING 百度的服务器，PING 包经过防火做NAT，到百度服务器，从百度服务器的回包到防火墙的WAN 口， 防火墙经过NAT后转发给发起PING 的机器，一共四个包，防火墙都记录下来。 内网 10.200.2.9的机器发PING 包， ping www.baidu.com, 在防火墙里启用抓包，保存结果， 用Wireshare打开抓到的包， 在Filter里设置过滤，只显示ICMP包， 10.200.2.9开始PING 202.108.22.5，该包到达防火墙的X0 口的MAC地址00:17:c5:39:fe:b0， (在详细信息的部分，点对应网络层次的左边的“+”号，把这层数据包打开，可以看到对应数据层的包内容。二层可以看到源和目的MAC地址。MAC 地址非常重要，因为设备默认只接收送给它的这个物理端口的MAC 地址的包，而丢弃其它的MAC 地址的包。)抓包软件之所以能接收所有的包，是因为抓包软件使网卡工作在混杂模式，接收所有的包。而正常通信的应用程序不会接收任意MAC地址的包。 防火墙NAT 该PING 包，变成123.127.134.147 ping 202.108.22.5, 从防火墙的WAN 口MAC 地址00:17:c5:39:fe:b1发出去，123.127.134.147是防火墙WAN口的IP 地址。 202.108.22.5回包给123.127.134.147，到达防火墙的WAN 口的MAC 地址00:17:c5:39:fe:b1 防火墙再次NAT，把PING 包NAT 到10.200.2.9的IP 地址，发给目的MAC 地址0017C527B799 这里以PING 举例，其实任何一个经过防火墙的包，防火墙都会记录四个包。从某个端口收到一个包，再从某个端口转发出去，转发后，防火墙有没有对这个包做NAT， 防火墙有没有收到返回的包，返回的包经过防火墙后有没有再次NAT，所有通信的端口和MAC 地址，都能查看清楚。如果某个过程没有收到预期收到的包，则可以判断问题在哪里发生。 注意: 只看三层以上是不够的。有时看到三层的四个包都是有去有回， 但是实际网路访问就是不通。 这种情况我在过去见过多次，尤其是在学校等环境测试。 发生这种事情的时候，往往是学校测试多个厂家的产品，把一个厂家的产品撤下来，我们的产品配置成和上一个厂家产品一样的IP地址，直接挂到网络上。 这时， 经常会有上游的运营商的路由器端不刷新ARP(某些设置不能自动更新ARP，必须等超时，有的ISP 线路甚至直接做MAC 地址绑定)，那么你抓包的结果在三层能看到回包，但是奇怪的就是所有内网的PC 经过防火墙不能上网，发布的服务器也不通。 但是你分析L2的包，会发现上游的路由器返回的数据包的MAC 地址根本不是你的防火墙设备的WAN 口的MAC 地址，而是上一次在这个线路上应用的设备或者测试PC 的MAC 地址。 遇到这种情况，只能给ISP 电话，让ISP 手工刷新其路由器的ARP 表。 注意: Wireshark的过滤器非常灵活，可以做多种与或非组合的表达式，还可以在某个TCP 的数据包上点右键，选择这个TCP 流的结果，则只显示这个TCP 连接的数据。Wireshark的在线帮助有详细的解释。 右击一个TCP 数据包，在下拉菜单选Follow TCP Stream,显示这个TCP流的数据 Filter里看到tcp.stream eq 5 (eq 就是等于 ==)，内容里只显示这个TCP 流的数据，另外一个文本窗 口Follow TCP Stream显示这个TCP流重组的数据。