FWUTM培訓(xùn)膠片

1、FWUTM培訓(xùn)膠片目目 錄錄n第一章第一章 DPtech Firewall/UTMDPtech Firewall/UTM產(chǎn)品概述產(chǎn)品概述n第二章第二章 Firewall/UTMFirewall/UTM組網(wǎng)及部署組網(wǎng)及部署n第三章第三章 Firewall/UTMFirewall/UTM基本配置基本配置n第四章第四章 常見問題定位排查常見問題定位排查防火墻技術(shù)發(fā)展介紹防火墻技術(shù)發(fā)展介紹主要分為以下主要分為以下3種類型防火墻：種類型防火墻：包 過 濾 防 火 墻 ：根據(jù)一組規(guī)則允許/阻塞一些數(shù)據(jù)包。應(yīng)用代理型防火墻：作為應(yīng)用層代理服務(wù)器，提供安全防護(hù)。狀態(tài)檢測(cè)型防火墻：比包過濾防火墻具有更高的智能和

2、安全性，會(huì)話成功建立連接以后記錄狀態(tài)信息并時(shí)時(shí)更新，所有會(huì)話數(shù)據(jù)都要與狀態(tài)表信息相匹配；否則會(huì)話被阻斷。DPTECH 防火墻屬于狀態(tài)檢測(cè)型防火墻。狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)技術(shù)防火墻硬件架構(gòu)的發(fā)展趨勢(shì)防火墻硬件架構(gòu)的發(fā)展趨勢(shì)純軟件純軟件NP技術(shù)技術(shù)多核技術(shù)多核技術(shù)ASIC技術(shù)技術(shù)工控機(jī)工控機(jī)DPTECH FW防火墻的發(fā)展趨勢(shì)防火墻的發(fā)展趨勢(shì)高性能：容量更大的萬(wàn)兆處理平臺(tái)，滿足更高端萬(wàn)兆需求深識(shí)別：提供深度識(shí)別技術(shù)，可以實(shí)現(xiàn)對(duì)應(yīng)用層（如P2P）深層識(shí)別多功能：支持基于應(yīng)用的虛擬防火墻，滿足不同業(yè)務(wù)應(yīng)用的邏輯劃分雙協(xié)議：支持IPv6，可以為IPV6網(wǎng)絡(luò)的安全保駕護(hù)航，支持使用在IPv4、IPv6雙棧環(huán)境

3、真環(huán)保：提供可回收、低輻射、無(wú)公害、低功耗的平臺(tái)國(guó)產(chǎn)化：國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)，通過國(guó)家安全認(rèn)證，符合中國(guó)“等級(jí)保護(hù)”等國(guó)家級(jí)安全要求衡量防火墻性能的幾個(gè)重要指標(biāo)衡量防火墻性能的幾個(gè)重要指標(biāo) 主要參考以下3種性能指標(biāo)：整機(jī)吞吐量：指防火墻在狀態(tài)檢測(cè)機(jī)制下能夠處理一定包長(zhǎng)數(shù)據(jù)的最大轉(zhuǎn)發(fā)能力，業(yè)界默認(rèn)一般都采用大包衡量防火墻對(duì)報(bào)文的處理能力。最大并發(fā)連接數(shù)：由于防火墻是針對(duì)連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問。每秒新建連接數(shù)：指每秒鐘可以通過防火墻建立起來(lái)的完整TCP/UDP連接。該指標(biāo)主要用來(lái)衡量防火墻在處理過程中對(duì)報(bào)文連接的處

4、理速度，如果該指標(biāo)低會(huì)造成用戶明顯感覺上網(wǎng)速度慢，在用戶量較大的情況下容易造成防火墻處理能力急劇下降，并且會(huì)造成防火墻對(duì)網(wǎng)絡(luò)攻擊防范能力差。DPTECH N系列防火墻產(chǎn)生背景系列防火墻產(chǎn)生背景n目前，Web2.0、音頻/視頻、P2P、云計(jì)算等各種新應(yīng)用、新業(yè)務(wù)層出不窮，傳統(tǒng)的基于端口進(jìn)行應(yīng)用識(shí)別和訪問控制的防火墻，已遠(yuǎn)遠(yuǎn)無(wú)法滿足各種新應(yīng)用下安全防護(hù)的需求，增加其它輔助設(shè)備又會(huì)增加組網(wǎng)復(fù)雜性；而通過在傳統(tǒng)防火墻上簡(jiǎn)單疊加部分應(yīng)用層安全防護(hù)功能，也由于系統(tǒng)設(shè)計(jì)和硬件架構(gòu)的天然不足，造成性能的大幅衰減，導(dǎo)致應(yīng)用層功能不敢真正啟用。特別在對(duì)性能、穩(wěn)定性要求苛刻的數(shù)據(jù)中心，此問題顯得尤為嚴(yán)峻。n為解決上

5、述難題，迪普科技推出了基于全新多核處理器架構(gòu)的下一代防火墻DPtech FW1000 N系列應(yīng)用防火墻。FW1000對(duì)網(wǎng)絡(luò)層、應(yīng)用層安全進(jìn)行融合，并采用獨(dú)有的“并行流過濾引擎”技術(shù)，全部安全策略可以一次匹配完成，即使在應(yīng)用層功能不斷擴(kuò)展、特征庫(kù)不斷增加的情況下，也不會(huì)造成性能的下降和網(wǎng)絡(luò)時(shí)延的增加。 DPtechDPtech防火墻產(chǎn)品防火墻產(chǎn)品DPtechDPtech （UTMUTM）統(tǒng)一威脅管理產(chǎn)品）統(tǒng)一威脅管理產(chǎn)品杭州迪普科技有限公司產(chǎn)品簡(jiǎn)介產(chǎn)品簡(jiǎn)介 創(chuàng)新性：新一代網(wǎng)絡(luò)安全架構(gòu) ，專用定制的Conplat平臺(tái) 管理性：Web配置所見即所得 集成性：集路由器、VPN、防火墻設(shè)備功能于一身 高

6、性能：高吞吐量 高密度接口：豐富了用戶的應(yīng)用，并節(jié)約了成本。登錄登錄WEB管理頁(yè)面管理頁(yè)面第一，確保主機(jī)同F(xiàn)W管理口（默認(rèn)最后一個(gè)接口）通訊正常（主機(jī)跟管理口配置同一個(gè)網(wǎng)段的IP）。第二，打開IE瀏覽器，輸入(管理口默認(rèn)地址），進(jìn)入WEB頁(yè)面。串口下修改管理口地址。串口下修改管理口地址。如果不想使用的地址，可以在串口下修改，（web頁(yè)面不能進(jìn)入的情況），也可以在WEB頁(yè)面修改。串口下修改管理口地址，以eth0_7為例。 進(jìn)入串口密碼：DPTECH（大寫）。（圖一） 查看接口信息（show interface)。（圖二）目目 錄錄n第一章第一章 DPtech Firewall/UTMDPtech

7、 Firewall/UTM產(chǎn)品概述產(chǎn)品概述n第二章第二章 Firewall/UTMFirewall/UTM組網(wǎng)及部署組網(wǎng)及部署n第三章第三章 Firewall/UTMFirewall/UTM基本配置基本配置n第四章第四章 常見問題定位排查常見問題定位排查組網(wǎng)模式及其部署組網(wǎng)模式及其部署透明模式透明模式基本組網(wǎng)組網(wǎng)模式及其部署組網(wǎng)模式及其部署基本配置基本配置安全域的配置安全域優(yōu)先級(jí)的配置配置相同優(yōu)先級(jí)，支持域間的隔離配置高低優(yōu)先級(jí)，支持高優(yōu)先級(jí)到低優(yōu)先級(jí)的直接訪問安全域接口列表的添加接口的配置工作模式的配置選項(xiàng)：三層接口、二層接口二層接口的配置接口類型的選擇：ACCESS口（支持默認(rèn)VLAN1數(shù)

8、據(jù)通過）、TRUNK口（支持VLAN透?jìng)鳎┙涌赩LAN的設(shè)置三層接口的配置接口類型的先擇：LAN、WAN、管理口（管理口不轉(zhuǎn)發(fā)流量）IP地址分配：靜態(tài)IP、PPPoE、DHCPVLAN的配置添加VLAN包過濾策略的配置組網(wǎng)模式及其部署組網(wǎng)模式及其部署透明模式透明模式組網(wǎng)應(yīng)用場(chǎng)景需要二層交換機(jī)功能做二層轉(zhuǎn)發(fā)在既有的網(wǎng)絡(luò)中，不改變網(wǎng)絡(luò)拓?fù)?，而且需要安全業(yè)務(wù)防火墻的不同網(wǎng)口所接的局域網(wǎng)都位于同一網(wǎng)段 特點(diǎn)對(duì)用戶是透明的，即用戶意識(shí)不到防火墻的存在 部署簡(jiǎn)單，不改變現(xiàn)有的網(wǎng)絡(luò)拓?fù)?，無(wú)需更改其他網(wǎng)絡(luò)設(shè)備的配置 支持各類安全特性：攻擊防護(hù)、包過濾、應(yīng)用識(shí)別及應(yīng)用訪問控制等配置要點(diǎn)接口添加到相應(yīng)的域接口為二

9、層接口，根據(jù)需要，配置接口類型為ACCESS或TRUNK接口配置VLAN屬性必須配置一個(gè)vlan-ifxxx的管理地址 ，用于設(shè)備管理組網(wǎng)模式及其部署組網(wǎng)模式及其部署透明模式透明模式 接口管理組網(wǎng)配置：修改工作模式為 二層接口，類型為access，（trunk）選中所屬VLAN.內(nèi)網(wǎng)用戶可以使用VLAN-IF接口對(duì)FW設(shè)備進(jìn)行管理。組網(wǎng)模式及其部署組網(wǎng)模式及其部署路由模式路由模式基本組網(wǎng)組網(wǎng)模式及其部署組網(wǎng)模式及其部署路由模式路由模式組網(wǎng)應(yīng)用場(chǎng)景需要路由功能做三層轉(zhuǎn)發(fā)需要共享Internet接入需要對(duì)外提供應(yīng)用服務(wù)需要使用虛擬專用網(wǎng)特點(diǎn) 提供豐富的路由功能，靜態(tài)路由、RIP、OSPF等 提供源

10、NAT支持共享Internet接入 提供目的NAT支持對(duì)外提供各種服務(wù) 支持各類安全特性：攻擊防護(hù)、包過濾、應(yīng)用識(shí)別及應(yīng)用訪問控制等 需要使用WEB認(rèn)證功能配置要點(diǎn) 接口添加到相應(yīng)的域 接口工作于三層接口，并配置接口類型 配置地址分配形式靜態(tài)IP、DHCP、PPPoE組網(wǎng)模式及其部署組網(wǎng)模式及其部署路由模式路由模式LAN口接內(nèi)網(wǎng)接口，WAN口接外網(wǎng)接口。組網(wǎng)模式及其部署組網(wǎng)模式及其部署混合模式混合模式組網(wǎng)應(yīng)用場(chǎng)景需結(jié)合透明模式及路由模式特點(diǎn)在VLAN內(nèi)做二層轉(zhuǎn)發(fā)在VLAN間做三層轉(zhuǎn)發(fā)支持各類安全特性：攻擊防護(hù)、包過濾、應(yīng)用識(shí)別及應(yīng)用訪問控制等配置要點(diǎn)接口添加到相應(yīng)的域接口為二層接口，根據(jù)需要，

11、配置接口類型為ACCESS或TRUNK接口配置VLAN屬性添加三層接口，用于三層轉(zhuǎn)發(fā)配置一個(gè)vlan-ifxxx的地址 ，用于三層轉(zhuǎn)發(fā)目目 錄錄n第一章第一章 產(chǎn)品概述產(chǎn)品概述n第二章第二章 組網(wǎng)模式及部署組網(wǎng)模式及部署n第三章第三章 FWFW基本配置基本配置n第四章第四章 常見問題定位排查常見問題定位排查升級(jí)版本升級(jí)版本進(jìn)入系統(tǒng)管理軟件版本頁(yè)面。第一步，點(diǎn)擊“瀏覽”，選擇版本存放的正確路徑。第二步，選擇“下載軟件版本”，紅色邊框標(biāo)識(shí)處。這時(shí)要等幾分鐘，直到出現(xiàn)兩個(gè)版本。紅色邊框標(biāo)識(shí)處。升級(jí)版本升級(jí)版本第三,如果需要導(dǎo)出配置可以如下操作，等設(shè)備啟動(dòng)后，再倒入配置.(可選步驟），圖一所示。第四，

12、清除數(shù)據(jù)庫(kù)，重啟。圖二所示。豐富的安全功能豐富的安全功能FW1000安全區(qū)域安全區(qū)域橋接橋接 三層三層狀態(tài)檢測(cè)狀態(tài)檢測(cè)攻擊防范攻擊防范VPNNAT策略路由策略路由虛擬防火墻虛擬防火墻n攻擊防范和遠(yuǎn)程安全接入一體化攻擊防范和遠(yuǎn)程安全接入一體化n深度狀態(tài)識(shí)別，提供基于狀態(tài)的安全過濾深度狀態(tài)識(shí)別，提供基于狀態(tài)的安全過濾n集成地址轉(zhuǎn)換、流量控制等網(wǎng)絡(luò)應(yīng)用集成地址轉(zhuǎn)換、流量控制等網(wǎng)絡(luò)應(yīng)用功能特點(diǎn)功能特點(diǎn)采用先進(jìn)的多核硬件架構(gòu) 多核多線程的硬件設(shè)計(jì) 集成硬件網(wǎng)絡(luò)加速和安全加速引擎 網(wǎng)絡(luò)處理性能高 功耗低，更加環(huán)保 成本低，市場(chǎng)競(jìng)爭(zhēng)力強(qiáng)完善的安全策略管理機(jī)制 支持面向?qū)ο蟮牟呗怨芾?支持業(yè)務(wù)策略的定制功能特

13、點(diǎn)功能特點(diǎn)支持無(wú)用戶限制NAT 解除單IP受限于端口的限制 單IP可支持百萬(wàn)級(jí)別以上會(huì)話 節(jié)約公網(wǎng)IP地址多WAN口備份 增加出口帶寬 線路備份 負(fù)載均衡策略：支持會(huì)話方式、流量方式功能特點(diǎn)功能特點(diǎn)應(yīng)用識(shí)別及基于網(wǎng)絡(luò)應(yīng)用的訪問控制 支持各類應(yīng)用的識(shí)別，包括P2P、電子郵件、股票、網(wǎng)絡(luò)游戲等 支持特征庫(kù)升級(jí)，支持后續(xù)應(yīng)用識(shí)別的擴(kuò)展 支持各類網(wǎng)絡(luò)應(yīng)用的訪問控制 支持網(wǎng)絡(luò)應(yīng)用帶寬限速豐富的URL訪問控制 支持基于內(nèi)容分類的URL訪問控制 支持URL庫(kù)的管理，包括URL數(shù)據(jù)庫(kù)在線、離線更新 URL數(shù)據(jù)庫(kù)容量大，分類數(shù)多 基于URL正則表達(dá)式的URL過濾 支持Web訪問的黑、白名單設(shè)置 HTTP URL

14、關(guān)鍵字過濾 HTTP POST命令關(guān)鍵字過濾功能特點(diǎn)功能特點(diǎn)強(qiáng)大的審計(jì)功能 支持對(duì)各種網(wǎng)絡(luò)應(yīng)用的審計(jì) 支持按時(shí)間、用戶行為、源IP、目的IP的審計(jì) 支持當(dāng)前在線用戶的上網(wǎng)行為的審計(jì) 支持業(yè)務(wù)流量的分析 支持單用戶業(yè)務(wù)流量的分析豐富的日志功能 支持系統(tǒng)日志、操作日志、業(yè)務(wù)日志 支持黑名單、地址綁定、攻擊日志、策略日志等 支持各類日志導(dǎo)出、查詢、刪除 支持日志耗盡策略功能特點(diǎn)功能特點(diǎn) 接口密度高 支持虛擬防火墻 支持IPMAC地址對(duì)自動(dòng)探測(cè)和唯一性檢查 支持3G接入基本配置基本配置 - 安全區(qū)域劃分安全區(qū)域劃分DMZ區(qū)區(qū)Trust 可信區(qū)域可信區(qū)域DPtech 防火墻InternetUntrust

15、 不可信區(qū)域不可信區(qū)域n提供靈活的安全區(qū)域隔離功能，按區(qū)域進(jìn)行重點(diǎn)安全防護(hù)。n所有邏輯接口都可以自由的劃分在不同的安全區(qū)域中，包括子接口、隧道接口、物理接口等。n支持安全區(qū)域自定義，滿足更復(fù)雜的組網(wǎng)要求。安全域配置安全域配置安全域分為trust、untrust、DMZ ,trust 域優(yōu)先級(jí)最高，DMZ其次，untrust優(yōu)先級(jí)最低默認(rèn)情況下，優(yōu)先級(jí)高的能訪問優(yōu)先級(jí)低的。如果優(yōu)先級(jí)相同或者優(yōu)先級(jí)低的域訪問高的域，需要配置包過濾策略，允許通過。安全域優(yōu)先級(jí)的配置必須將相應(yīng)接口加入安全域，（當(dāng)接口屬于某個(gè)VLAN時(shí)，應(yīng)加入VLAN接口）將內(nèi)網(wǎng)接口加入trust信任域，將外網(wǎng)口加入untrust非信

16、任域，將內(nèi)網(wǎng)映射到外網(wǎng)的服務(wù)器加入DMZ區(qū)域?；九渲没九渲?包過濾策略包過濾策略 配置包過濾策略，禁止Internet訪問內(nèi)網(wǎng)。靈活智能靈活智能NATNAT轉(zhuǎn)換轉(zhuǎn)換 FW1000防火墻防火墻NAT1. SIP:192.168.01=SIP: 2. SIP:192.168.02=SIP: 3. SIP:192.168.01=SIP: n支持多個(gè)地址對(duì)一個(gè)地址的轉(zhuǎn)換n支持多個(gè)地址對(duì)多個(gè)地址的轉(zhuǎn)換n支持一對(duì)一地址轉(zhuǎn)換n支持基于端口的轉(zhuǎn)換隱藏內(nèi)網(wǎng)結(jié)構(gòu)隱藏內(nèi)網(wǎng)結(jié)構(gòu)NATNAT轉(zhuǎn)換轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Addr

17、ess Translation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。源nat-就是把內(nèi)網(wǎng)私有ip轉(zhuǎn)換成公網(wǎng)ip。FW外網(wǎng)地址借用出接口或者選擇已有地址池NATNAT轉(zhuǎn)換轉(zhuǎn)換目的nat-就是讓外網(wǎng)的用戶，可以訪問內(nèi)網(wǎng)私有的ip地址或服務(wù).外網(wǎng)流量進(jìn)入的接口，即WALN口。要映射的內(nèi)網(wǎng)地址選擇內(nèi)部服務(wù)器提供的服務(wù) 。NATNAT轉(zhuǎn)換轉(zhuǎn)換 一個(gè)公網(wǎng)ip對(duì)應(yīng)一個(gè)內(nèi)網(wǎng)ip地址。路由路由FW使用靜態(tài)路由和動(dòng)態(tài)路由相結(jié)合的解決方案，來(lái)處理不同網(wǎng)絡(luò)環(huán)境下的不同網(wǎng)絡(luò)協(xié)議。靜態(tài)路由： 在組網(wǎng)比較簡(jiǎn)單的網(wǎng)

18、絡(luò)中，只配置靜態(tài)路由就可以完成網(wǎng)絡(luò)的選路工作。使用靜態(tài)路由可以改進(jìn)網(wǎng)絡(luò)的性能，并可為重要的應(yīng)用保證帶寬。策略路由策略路由策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。應(yīng)用了策 略路由，防火墻將通過路由表決定如何對(duì)需要路由的數(shù)據(jù)包進(jìn)行處理，路由表決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器。 全面的攻擊防范全面的攻擊防范Flood類攻擊類攻擊掃描探測(cè)掃描探測(cè) SYN Flood UDP Flood ARP Flood ICMP Flood Port Scan IP Scan Tracert 協(xié)議異常協(xié)議異常 Smurf Ping of Death Tear Drop Land FW10

19、00基于狀態(tài)基于狀態(tài)的防護(hù)的防護(hù)FW1000基于協(xié)議基于協(xié)議的防護(hù)的防護(hù)FW1000探測(cè)探測(cè)&掃掃描防護(hù)描防護(hù)可以抵御各種類型的攻擊威脅，提供全面的攻擊防范可以抵御各種類型的攻擊威脅，提供全面的攻擊防范基本攻擊防護(hù)基本攻擊防護(hù)配置組內(nèi)防護(hù)目標(biāo)：被保護(hù)的內(nèi)網(wǎng)服務(wù)器基本攻擊防護(hù)基本攻擊防護(hù) 設(shè)置DDOS攻擊防護(hù)基本攻擊防護(hù)基本攻擊防護(hù) 流量和狀態(tài)監(jiān)視：防火墻的優(yōu)勢(shì)功能防火墻的優(yōu)勢(shì)功能虛擬防火墻虛擬防火墻虛擬防火墻1虛擬防火墻2虛擬防火墻3外網(wǎng)外網(wǎng)1外網(wǎng)外網(wǎng)2外網(wǎng)外網(wǎng)3內(nèi)網(wǎng)內(nèi)網(wǎng)1內(nèi)網(wǎng)內(nèi)網(wǎng)2內(nèi)網(wǎng)內(nèi)網(wǎng)3虛擬防火墻：虛擬防火墻：n 靈活安全策略配置n 部署簡(jiǎn)單，組網(wǎng)方便n 節(jié)約投資鏈路負(fù)載均衡鏈路

20、負(fù)載均衡鏈路負(fù)載均衡：在有多個(gè)運(yùn)營(yíng)商出接口的組網(wǎng)環(huán)境中，可以采用出方向多鏈路動(dòng)態(tài)負(fù)載均衡，實(shí)現(xiàn)鏈路的動(dòng)態(tài)選擇，提高服務(wù)的可靠性。雙鏈路就點(diǎn)復(fù)制按鈕，配置2條。WAN口鏈路負(fù)載均衡鏈路負(fù)載均衡配置健康檢查。如果下一跳出現(xiàn)問題，則轉(zhuǎn)向另一條鏈路。下一跳地址防火墻優(yōu)勢(shì)功能防火墻優(yōu)勢(shì)功能多多VPN組合應(yīng)用組合應(yīng)用L2TP VPNGRE VPNIPSec VPNSSL VPNDESAESMD5SHA-1支持的協(xié)議支持的協(xié)議加密算法加密算法n實(shí)現(xiàn)遠(yuǎn)程安全互聯(lián)，方便移動(dòng)用戶、合作伙伴的遠(yuǎn)程接入n支持多種VPN的組合，保障數(shù)據(jù)傳輸?shù)陌踩阅磕?錄錄n第一章第一章 產(chǎn)品概述產(chǎn)品概述n第二章第二章 組網(wǎng)模式及部署

21、組網(wǎng)模式及部署n第三章第三章 基本配置基本配置n第四章第四章 常見問題定位排查常見問題定位排查杭州迪普科技有限公司第四章第四章 常見問題定位排查常見問題定位排查 入門篇入門篇 為什么管理口配了IP地址，PC卻Ping不通？在同網(wǎng)段中，PC的IP地址與配置管理口的IP地址必須同屬這一網(wǎng)段；在不同網(wǎng)段中，需要在FW設(shè)備上添加相應(yīng)的路由，確保與PC連通。在WEB界面上直接對(duì)管理口的設(shè)置修改，會(huì)有什么結(jié)果？會(huì)導(dǎo)致當(dāng)前WEB界面down掉，無(wú)法繼續(xù)進(jìn)行任何操作。需要訪問改后的IP地址，或者可通過console口，進(jìn)入到相應(yīng)的管理口下，以命令的方式對(duì)管理口，重新配置合理的參數(shù)。杭州迪普科技有限公司第四章第

22、四章 常見問題定位排查常見問題定位排查 入門篇入門篇下載完軟件版本，是否需要重啟？什么情況下下載軟件版本前，需要清除數(shù)據(jù)庫(kù)？需要重啟。當(dāng)前后兩版本數(shù)據(jù)庫(kù)有變動(dòng)時(shí)，需要清除數(shù)據(jù)庫(kù)后，再下載版本。 當(dāng)設(shè)備異常斷電時(shí)，之前在WEB界面上的配置是否保存？保存，設(shè)備開啟的情況下，對(duì)于操作與配置都是時(shí)時(shí)保存的。設(shè)備上的USB接口做什么用的？3G擴(kuò)展。 杭州迪普科技有限公司第四章第四章 常見問題定位排查常見問題定位排查 入門篇入門篇當(dāng)設(shè)備WEB在線用戶已有5人，進(jìn)不去怎么辦？等待其中一個(gè)用戶超時(shí)即可。（退出WEB頁(yè)面需點(diǎn)擊快捷欄的“退出”，直接關(guān)閉WEB頁(yè)面，會(huì)導(dǎo)致當(dāng)前用戶沒有下線）我有特征庫(kù)文件，為什么不

23、能升級(jí)？需要先導(dǎo)入License，且保證License未過期。已將軟件版本導(dǎo)入設(shè)備的CF卡中，為什么重啟后不能加載該版本？須將該版本狀態(tài)選為“使用中”才可。 杭州迪普科技有限公司第四章第四章 常見問題定位排查常見問題定位排查 入門篇入門篇設(shè)備運(yùn)行一段時(shí)間后，發(fā)現(xiàn)部分系統(tǒng)日志和操作日志不見了，為什么？在無(wú)手動(dòng)刪除的情況下，查看是否超過了保存該日志的時(shí)間。輸出到UMC的業(yè)務(wù)日志和流量分析的端口號(hào)是什么？業(yè)務(wù)日志是9514，流量分析是9502。為什么配置策略的時(shí)候，優(yōu)先使用指定用戶組，而不用All users？做到對(duì)業(yè)務(wù)的細(xì)化，同時(shí)過濾多余信息。杭州迪普科技有限公司第四章第四章 常見問題定位排查常見問題定位排查 進(jìn)階篇進(jìn)階篇同一臺(tái)PC先后使用了2款FW設(shè)備，并使用了相同的IP地址，后一臺(tái)FW設(shè)備為什么無(wú)法打開WEB界面？由于IE緩存的緣故，導(dǎo)致WEB界面加載時(shí)產(chǎn)生沖突，需要清除IE緩存。接入設(shè)備后，發(fā)現(xiàn)接口協(xié)商成半雙工產(chǎn)生丟包，怎么辦？一般情況下，與FW協(xié)商成半雙工的那一端設(shè)備是接口強(qiáng)制導(dǎo)致，需要雙方都強(qiáng)制相應(yīng)的速率和雙工狀態(tài)，切忌一方自協(xié)