sonicwall防火墻培訓手冊.ppt

2020 3 14 1 SonicWALL典型配置和問題診斷 目的 熟悉典型客戶網(wǎng)絡環(huán)境下防火墻的配置方法分析LOG及借助工具軟件診斷并解決問題的方法參加培訓的要求 掌握SonicWALL標準版和增強版的基本配置熟悉TCP IP協(xié)議及基本網(wǎng)絡通信協(xié)議通過此次培訓 使參加培訓的工程師能夠掌握典型客戶的防護墻配置 并在發(fā)生問題時及時解決問題 2020 3 14 2 典型配置案例 1 PRO5060在高校的應用 雙WAN和策略路由2 標準版和增強版的透明模式3 靜態(tài)ARP的應用 第二個網(wǎng)段4 帶寬管理 TCPSession數(shù)管理故障診斷 點到點VPN隧道故障建立 一 二階段協(xié)商參數(shù)VPN隧道TCP超時時間的設置GVCNAT穿越 何時需要分配IP地址防火墻不能升級簽名的診斷步驟ARP表更新 IP和MAC綁定 上游路由器ARP表不刷新問題Ethereal軟件的使用 診斷問題 7 ViewPoint配置及綁定到其它的網(wǎng)卡地址時如何更正 2020 3 14 3 PRO5060雙WAN鏈路應用和策略路由 2020 3 14 4 PRO5060在高校的典型應用 雙WAN鏈路 策略路由如條件允許 還可以配置OSPF路由兩個校園出口互為備份 2020 3 14 5 學校一共有兩個校區(qū) 東校區(qū)通過一臺防火墻經(jīng)電信出口上Internet 南校區(qū)有兩個出口 一個是經(jīng)電信出口接入Internet 另一個出口接入教育網(wǎng) 兩個校區(qū)之間由專線把兩個三層交換機連通 如果在三層交換和兩臺防火墻上啟動OSPF路由協(xié)議 兩臺防火墻設備可以互為對方的備份 一臺防火墻宕機 所有到互聯(lián)網(wǎng)的出口流量可以經(jīng)過專線由另外一個校園網(wǎng)的防火墻訪問Internet 本例主要講解南校區(qū)的網(wǎng)絡配置 其中PRO5060LAN口連接一臺華為的三層交換機S8505 DMZ連接一組服務器 為教育網(wǎng)提供服務 所有到服務器的流量都走教育網(wǎng)出口 S8505三層交換機下連接4個私有IP的網(wǎng)段 7個公有IP網(wǎng)段 4個私有網(wǎng)段只通過電信出口訪問Internet NAT到一個公有IP的地址池 7個公有IP網(wǎng)段只通過教育網(wǎng)出口訪問教育網(wǎng)和互聯(lián)網(wǎng) 本例的策略路由相對簡單 注 有些高校教育網(wǎng)包月不計流量 有些高校只針對指定的教育網(wǎng)服務器不計流量 其它到教育網(wǎng)的訪問要按流量收費 所以策略路由的配置要視客戶具體需求進行調整 是按照源IP地址設置策略路由還是按目的地址設置策略路由 在教育網(wǎng)訪問按流量收費的時候一定注意設置正確的默認路由 以盡量降低數(shù)據(jù)流量產(chǎn)生的費用 2020 3 14 6 2020 3 14 7 靜態(tài)路由 策略路由 默認路由 2020 3 14 8 公有IP路由出去 私有IPNAT到公有IP地址池 2020 3 14 9 PRO5060可以修改默認的WAN口 這將影響默認的路由 使沒有明確指定策略路由的訪問均走默認路由 錯誤的默認路由設置可能造成不必要的計費損失 因為有些高校只針對特定的教育網(wǎng)服務器不按流量計費 到其它教育網(wǎng)的服務器按流量計費 還有的高校教育網(wǎng)和電信出口一樣包月 不按流量計費 針對客戶不同的具體需求 配置相應的策略路由并選擇正確的默認路由 2020 3 14 10 透明模式實現(xiàn)方法二層橋透明和ARP代理透明2 SonicOS標準版透明3 SonicOS增強版透明 2020 3 14 11 二層透明設備工作在二層透明方式 設備本身不需要任何IP地址配置 防火墻規(guī)則照常工作 檢測數(shù)據(jù)流 如果需要 也可以配置管理IP地址對設備進行管理 ARP代理透明設備工作在3層 設備的兩個端口處于同一個網(wǎng)段 但兩個端口占用同一個IP地址 需要管理員指定哪些網(wǎng)絡范圍的IP地址在設備的某一個端口 使設備能正確轉發(fā)數(shù)據(jù)包到正確的端口 SonicWALL的UTM設備透明方式是ARP代理透明 需要在WAN口和LAN口 或DMZ口 占用一個IP地址 2020 3 14 12 SonicOS標準版防火墻LAN口和WAN口透明 2020 3 14 13 2020 3 14 14 2020 3 14 15 2020 3 14 16 注 透明模式并不意味著所有的業(yè)務端口都 透明 必須設置必要的防火墻規(guī)則以允許WAN到LAN或WAN到DMZ服務器的訪問 2020 3 14 17 SonicOS標準版防火墻DMZ口和WAN口透明 TZ170OPT口默認相當于DMZ口 DMZ口可以工作在透明模式或NAT模式 2020 3 14 18 2020 3 14 19 2020 3 14 20 2020 3 14 21 SonicOS增強版透明模式配置任意端口和WAN口之間都可以配置成透明模式 需要指定透明范圍以使防火墻能正確轉發(fā)數(shù)據(jù)包到正確的端口 2020 3 14 22 2020 3 14 23 2020 3 14 24 2020 3 14 25 SonicOS標準版一個端口支持多個網(wǎng)段的兩種方式LANPrimaryIP 192 168 168 168 24在Network SettingsLANInterface配置界面加入第二個網(wǎng)關192 168 10 1 24采用靜態(tài)ARP 在一個端口增加第二個IP 2020 3 14 26 增加第二個網(wǎng)關 支持第二個網(wǎng)段LANPrimaryIP 192 168 168 168 24SecondSubnet 192 168 10 0 24 方法一 2020 3 14 27 配置靜態(tài)ARP和靜態(tài)路由 在一個端口支持第二個網(wǎng)段 視訪問需求可在Firewall AccessRules里添加允許到第二個網(wǎng)段的訪問規(guī)則 Network ARP Network Routing 方法二 2020 3 14 28 SonicOS增強版一個端口支持多個網(wǎng)段采用靜態(tài)ARP 配置過程與標準版采用靜態(tài)ARP支持第二個網(wǎng)段完全相同 不過注意靜態(tài)路由的配置是在策略路由的界面配置的 詳見下頁 注 在一個物理端口如LAN上設置兩個網(wǎng)段 則兩個網(wǎng)段之間由防火墻路由 訪問規(guī)則不影響兩個網(wǎng)段的通信 但是LAN到DMZ第二個網(wǎng)段的通信可由防火墻規(guī)則控制 2020 3 14 29 配置靜態(tài)ARP和靜態(tài)路由 在一個端口支持第二個網(wǎng)段 視訪問需求可在Firewall AccessRules里添加允許到第二個網(wǎng)段的訪問規(guī)則 Network ARP Network Routing 2020 3 14 30 帶寬管理和TCPSession數(shù)限制 2020 3 14 31 必須在WAN口設置進出的帶寬參數(shù) 否則在防火墻的規(guī)則里不會出現(xiàn)帶寬管理的界面 2020 3 14 32 2020 3 14 33 2020 3 14 34 2020 3 14 35 故障診斷 2020 3 14 36 點到點VPN隧道故障建立 一 二階段協(xié)商參數(shù) PRO4060VPNPolicy 2020 3 14 37 TZ150WVPNPolicy 故意設置與對端不同 2020 3 14 38 NO PROPOSAL CHOSEN是指參數(shù)不匹配 2020 3 14 39 NO PROPOSAL CHOSEN是指參數(shù)不匹配 2020 3 14 40 PRO4060SharedSecret 2020 3 14 41 PRO4060LogPAYLOAD MALFORMED表示共享密鑰不匹配 網(wǎng)絡故障導致VPN隧道斷開 如果隧道兩端VPN設備采用的DPD不是一個標準 重新協(xié)商時也可能出現(xiàn)此錯誤 2020 3 14 42 TCP超時時間的設置 TCPSetting和防火墻規(guī)則設置 此參數(shù)只影響新創(chuàng)建的防火墻規(guī)則 修改此參數(shù)之前創(chuàng)建的規(guī)則的TCP超時參數(shù)不受此參數(shù)影響 2020 3 14 43 有些應用如Oracle客戶端 ERP系統(tǒng)等通過VPN隧道訪問服務器 默認的TCP超時時間一定要修改 否則這些系統(tǒng)可能會產(chǎn)生問題 如有的ERP系統(tǒng)在有中間設備斷開TCP連接后 會延遲30分鐘才允許客戶端再次建立連接 2020 3 14 44 有些應用如Oracle客戶端 ERP系統(tǒng)等通過VPN隧道訪問服務器 默認的TCP超時時間一定要修改 否則這些系統(tǒng)可能會產(chǎn)生問題 如有的ERP系統(tǒng)在有中間設備斷開TCP連接后 會延遲30分鐘才允許客戶端再次建立連接 2020 3 14 45 GVCNAT穿越 何時需要分配IP地址當服務器的默認網(wǎng)關指向另外一個路由器 通過專線聯(lián)接互聯(lián)網(wǎng) 而不指向SonicWALL防火墻設備時 一定要分配IP地址給GVC 以免除路由問題 由于各個網(wǎng)絡設備廠家的NAT設備在對IPSecVPN的支持不盡相同 有些支持IPSecPassThrough 有些不支持 經(jīng)過不支持IPSecPassThrough的NAT設備建立IPSecVPN隧道 必須采用NAT穿越技術 SonicWALLGVC自動檢測沿途設備是否支持IPSec 如果需要 自動啟動NAT穿越 但是有些設備的IPSecpassthroug不穩(wěn)定 有些支持IPSec的NAT設備反而不能正確處理NAT穿越數(shù)據(jù) 需要在SonicWALLGVC上禁止NAT穿越參數(shù) 2020 3 14 46 有些支持IPSec的NAT設備不能正確處理NAT穿越數(shù)據(jù) 需要在SonicWALLGVC上禁止NAT穿越參數(shù) 常見的問題是客戶端不能從防火墻通過DHCP獲取IP地址 GVCLOG提示信號燈超時 semaphoreTimeout 修改此參數(shù)大部分情況可解決問題 2020 3 14 47 防火墻不能升級簽名的診斷步驟1 確認LANPC能通過防火墻WAN口訪問互聯(lián)網(wǎng)2 確認防火墻System Diagnostics里的DNS解析能解析3 防火墻通過HTTPS直接訪問 不能經(jīng)過代理服務器 4 確認沒有防火墻規(guī)則禁止LANPrimaryIP訪問Internet 5 確認防護墻里的系統(tǒng)時間正確 如果系統(tǒng)時間不正確 可導致訪問Licensemanager超時 6 如果還有問題 可以在WAN口上抓包 以幫助診斷問題 2020 3 14 48 IP和MAC綁定 SonicWALLSonicOS3 0以上操作系統(tǒng)支持IP到MAC地址的綁定gon功能 在Network ARP界面配置所有設備支持300個IP地址到MAC地址的綁定 2020 3 14 49 ARP表更新 上游路由器ARP表不刷新問題 SonicWALL設備在加電后會廣播ARP信息 包括其WAN口IP 一對一映射的公網(wǎng)IP IP地址池的IP等等 使上游路由器更新其ARP表 正確轉發(fā)數(shù)據(jù)到防火墻WAN口的MAC地址 有些情況下 上游路由器不刷新其ARP表 導致問題 要電話聯(lián)系電信網(wǎng)管強行刷新上游路由器的ARP表 因為SonicWALL已經(jīng)廣播了ARP信息 有些VDSL ADSL運營商會自動綁定第一次上網(wǎng)的設備的MAC地址 更換ADSL VDSL設備是要運營商更新ARP表 2020 3 14 50 Ethereal軟件的使用 診斷問題 在Capture菜單選擇Start 2020 3 14 51 選擇要抓包的網(wǎng)卡 選擇時時更新和自動滾屏 2020 3 14 52 察看各層詳細信息直至某一個Bit 診斷問題很有幫助 2020 3 14 53 ViewPoint配置及綁定到其它的網(wǎng)卡地址時如何更正 安裝ViewPoint軟件時 如果計算機上有多塊物理網(wǎng)