sonicwall防火墻中文_教程

1、2024/3/21,1,SonicWALL 典型配置和問題診斷,目的：熟悉典型客戶網(wǎng)絡環(huán)境下防火墻的配置方法分析LOG及借助工具軟件診斷并解決問題的方法參加培訓的要求：掌握SonicWALL標準版和增強版的基本配置熟悉TCP/IP協(xié)議及基本網(wǎng)絡通信協(xié)議通過此次培訓，使參加培訓的工程師能夠掌握典型客戶的防護墻配置，并在發(fā)生問題時及時解決問題。,2024/3/21,2,典型配置案例:1、PRO5060 在高校

2、的應用，雙WAN和策略路由2、標準版和增強版的透明模式3、靜態(tài)ARP的應用，第二個網(wǎng)段4、帶寬管理，TCP Session數(shù)管理故障診斷:點到點VPN 隧道故障建立，一、二階段協(xié)商參數(shù)VPN隧道 TCP 超時時間的設置GVC NAT 穿越, 何時需要分配IP地址防火墻不能升級簽名的診斷步驟ARP 表更新，IP和MAC綁定，上游路由器ARP表不刷新問題Ethereal 軟件的使用，診斷問題。7. ViewPoi

3、nt配置及綁定到其它的網(wǎng)卡地址時如何更正,2024/3/21,3,PRO5060 雙WAN鏈路應用和策略路由,2024/3/21,4,,PRO5060 在高校的典型應用，雙WAN鏈路+策略路由如條件允許，還可以配置OSPF路由兩個校園出口互為備份,2024/3/21,5,學校一共有兩個校區(qū)，東校區(qū)通過一臺防火墻經(jīng)電信出口上Internet，南校區(qū)有兩個出口，一個是經(jīng)電信出口接入Internet，另一個出口接入教育網(wǎng)。兩個校區(qū)之間

4、由專線把兩個三層交換機連通，如果在三層交換和兩臺防火墻上啟動OSPF路由協(xié)議，兩臺防火墻設備可以互為對方的備份，一臺防火墻宕機，所有到互聯(lián)網(wǎng)的出口流量可以經(jīng)過專線由另外一個校園網(wǎng)的防火墻訪問Internet。本例主要講解南校區(qū)的網(wǎng)絡配置。其中PRO 5060 LAN口連接一臺華為的三層交換機S8505，DMZ連接一組服務器，為教育網(wǎng)提供服務。所有到服務器的流量都走教育網(wǎng)出口。S8505 三層交換機下連接4個私有IP的網(wǎng)段，7個公有I

5、P網(wǎng)段。 4個私有網(wǎng)段只通過電信出口訪問Internet， NAT到一個公有IP的地址池，7個公有IP網(wǎng)段只通過教育網(wǎng)出口訪問教育網(wǎng)和互聯(lián)網(wǎng)。本例的策略路由相對簡單。 注:有些高校教育網(wǎng)包月不計流量, 有些高校只針對指定的教育網(wǎng)服務器不計流量,其它到教育網(wǎng)的訪問要按流量收費,所以策略路由的配置要視客戶具體需求進行調(diào)整,是按照源IP地址設置策略路由還是按目的地址設置策略路由,在教育網(wǎng)訪問按流量收費的時候一定注意設置正確的默認路由,以盡量

6、降低數(shù)據(jù)流量產(chǎn)生的費用.,2024/3/21,6,2024/3/21,7,靜態(tài)路由,策略路由,默認路由,2024/3/21,8,公有IP路由出去,私有IP NAT到公有IP地址池,2024/3/21,9,PRO5060 可以修改默認的WAN口，這將影響默認的路由，使沒有明確指定策略路由的訪問均走默認路由。 錯誤的默認路由設置可能造成不必要的計費損失，因為有些高校只針對特定的教育網(wǎng)服務器不按流量計費，到其它教育網(wǎng)的服務器按流量計費，還有的

7、高校教育網(wǎng)和電信出口一樣包月，不按流量計費，針對客戶不同的具體需求，配置相應的策略路由并選擇正確的默認路由。,2024/3/21,10,透明模式實現(xiàn)方法 二層橋透明和ARP代理透明2.SonicOS 標準版透明3.SonicOS 增強版透明,2024/3/21,11,二層透明設備工作在二層透明方式，設備本身不需要任何IP地址配置，防火墻規(guī)則照常工作，檢測數(shù)據(jù)流。如果需要，也可以配置管理IP地址對設備進行管理。ARP代理透明

8、設備工作在3層，設備的兩個端口處于同一個網(wǎng)段，但兩個端口占用同一個IP地址，需要管理員指定哪些網(wǎng)絡范圍的IP地址在設備的某一個端口，使設備能正確轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的端口。SonicWALL的UTM設備透明方式是ARP代理透明，需要在WAN口和LAN口（或DMZ口）占用一個IP地址。,2024/3/21,12,SonicOS 標準版防火墻LAN口和WAN口透明,2024/3/21,13,2024/3/21,14,2024/3/21,

9、15,2024/3/21,16,注：透明模式并不意味著所有的業(yè)務端口都“透明”，必須設置必要的防火墻規(guī)則以允許WAN到LAN或WAN到DMZ服務器的訪問。,2024/3/21,17,SonicOS 標準版防火墻DMZ口和WAN口透明（TZ170 OPT口默認相當于DMZ口）DMZ口可以工作在透明模式或NAT模式,2024/3/21,18,2024/3/21,19,2024/3/21,20,2024/3/21,21,SonicO

10、S 增強版透明模式配置任意端口和WAN口之間都可以配置成透明模式，需要指定透明范圍以使防火墻能正確轉(zhuǎn)發(fā)數(shù)據(jù)包到正確的端口,2024/3/21,22,2024/3/21,23,2024/3/21,24,2024/3/21,25,SonicOS標準版一個端口支持多個網(wǎng)段的兩種方式LAN Primary IP: 192.168.168.168/24在Network-〉Settings LAN Interface 配置界面加入第

11、二個網(wǎng)關192.168.10.1/24采用靜態(tài)ARP，在一個端口增加第二個IP,2024/3/21,26,增加第二個網(wǎng)關，支持第二個網(wǎng)段LAN Primary IP：192.168.168.168/24Second Subnet：192.168.10.0/24,方法一,2024/3/21,27,配置靜態(tài)ARP和靜態(tài)路由，在一個端口支持第二個網(wǎng)段，視訪問需求可在Firewall->Access Rules里添加允許到第二個

12、網(wǎng)段的訪問規(guī)則,Network-〉ARP,Network-〉Routing,方法二,2024/3/21,28,SonicOS增強版一個端口支持多個網(wǎng)段采用靜態(tài)ARP，配置過程與標準版采用靜態(tài)ARP支持第二個網(wǎng)段完全相同,不過注意靜態(tài)路由的配置是在策略路由的界面配置的。詳見下頁。注：在一個物理端口如LAN上設置兩個網(wǎng)段，則兩個網(wǎng)段之間由防火墻路由，訪問規(guī)則不影響兩個網(wǎng)段的通信，但是LAN到DMZ第二個網(wǎng)段的通信可由防火墻規(guī)則控制。

13、,2024/3/21,29,配置靜態(tài)ARP和靜態(tài)路由，在一個端口支持第二個網(wǎng)段，視訪問需求可在Firewall->Access Rules里添加允許到第二個網(wǎng)段的訪問規(guī)則,Network-〉ARP,Network-〉Routing,2024/3/21,30,帶寬管理和TCP Session 數(shù)限制,2024/3/21,31,必須在WAN口設置進出的帶寬參數(shù)，否則在防火墻的規(guī)則里不會出現(xiàn)帶寬管理的界面,2024/3/21,32,2

14、024/3/21,33,2024/3/21,34,2024/3/21,35,故障診斷,2024/3/21,36,點到點VPN 隧道故障建立，一、二階段協(xié)商參數(shù),PRO4060 VPN Policy,2024/3/21,37,TZ150W VPN Policy，故意設置與對端不同,2024/3/21,38,NO_PROPOSAL_CHOSEN 是指參數(shù)不匹配,2024/3/21,39,NO_PROPOSAL_CHOSEN 是指參數(shù)不匹配,

15、2024/3/21,40,PRO4060 Shared Secret,2024/3/21,41,PRO4060 Log PAYLOAD_MALFORMED表示共享密鑰不匹配，網(wǎng)絡故障導致VPN隧道斷開，如果隧道兩端VPN設備采用的DPD不是一個標準，重新協(xié)商時也可能出現(xiàn)此錯誤,2024/3/21,42,TCP 超時時間的設置，TCP Setting和防火墻規(guī)則設置,此參數(shù)只影響新創(chuàng)建的防火墻規(guī)則，修改此參數(shù)之前創(chuàng)建的規(guī)則的TCP

16、 超時參數(shù)不受此參數(shù)影響。,2024/3/21,43,有些應用如Oracle客戶端，ERP系統(tǒng)等通過VPN隧道訪問服務器，默認的TCP超時時間一定要修改，否則這些系統(tǒng)可能會產(chǎn)生問題，如有的ERP系統(tǒng)在有中間設備斷開TCP連接后，會延遲30分鐘才允許客戶端再次建立連接,2024/3/21,44,有些應用如Oracle客戶端，ERP系統(tǒng)等通過VPN隧道訪問服務器，默認的TCP超時時間一定要修改，否則這些系統(tǒng)可能會產(chǎn)生問題，如有的ERP系統(tǒng)在

17、有中間設備斷開TCP連接后，會延遲30分鐘才允許客戶端再次建立連接,2024/3/21,45,GVC NAT 穿越, 何時需要分配IP地址當服務器的默認網(wǎng)關指向另外一個路由器，通過專線聯(lián)接互聯(lián)網(wǎng)，而不指向SonicWALL防火墻設備時，一定要分配IP地址給GVC，以免除路由問題。,由于各個網(wǎng)絡設備廠家的NAT設備在對IPSec VPN的支持不盡相同，有些支持IPSec Pass Through, 有些不支持。經(jīng)過不支持IPSec

18、Pass Through的NAT設備建立IPSec VPN隧道，必須采用NAT穿越技術(shù)。SonicWALL GVC自動檢測沿途設備是否支持IPSec， 如果需要，自動啟動NAT穿越，但是有些設備的IPSec pass throug不穩(wěn)定，有些支持IPSec的NAT設備反而不能正確處理NAT穿越數(shù)據(jù)，需要在SonicWALL GVC上禁止NAT穿越參數(shù)。,2024/3/21,46,有些支持IPSec的NAT設備不能正確處理NAT穿越數(shù)據(jù)，

19、需要在SonicWALL GVC上禁止NAT穿越參數(shù)，常見的問題是客戶端不能從防火墻通過DHCP獲取IP地址，GVC LOG 提示信號燈超時(semaphore Timeout),修改此參數(shù)大部分情況可解決問題。,2024/3/21,47,防火墻不能升級簽名的診斷步驟1. 確認LAN PC能通過防火墻WAN口訪問互聯(lián)網(wǎng)2. 確認防火墻System->Diagnostics里的DNS解析能解析 licensemanager.

20、sonicwall.com3. 防火墻通過HTTPS直接訪問 licensemanager.sonicwall.com，不能經(jīng)過代理服務器.4. 確認沒有防火墻規(guī)則禁止LAN Primary IP訪問Internet.5. 確認防護墻里的系統(tǒng)時間正確。如果系統(tǒng)時間不正確，可導致訪問Licensemanager超時.6. 如果還有問題，可以在WAN口上抓包，以幫助診斷問題。,2024/3/21,48,IP和MAC綁定,So

21、nicWALL SonicOS 3.0 以上操作系統(tǒng)支持IP到MAC地址的綁定gon功能。在Network-〉ARP 界面配置所有設備支持300個IP地址到MAC地址的綁定。,2024/3/21,49,ARP 表更新，上游路由器ARP表不刷新問題,,SonicWALL設備在加電后會廣播ARP信息，包括其WAN口IP，一對一映射的公網(wǎng)IP，IP地址池的IP等等，使上游路由器更新其ARP表，正確轉(zhuǎn)發(fā)數(shù)據(jù)到防火墻WAN口的MAC地址

22、，有些情況下，上游路由器不刷新其ARP表，導致問題，要電話聯(lián)系電信網(wǎng)管強行刷新上游路由器的ARP表，因為SonicWALL已經(jīng)廣播了ARP信息。有些VDSL/ADSL運營商會自動綁定第一次上網(wǎng)的設備的MAC地址，更換ADSL/VDSL設備是要運營商更新ARP表。,2024/3/21,50,Ethereal 軟件的使用，診斷問題。,在 Capture 菜單選擇 Start,2024/3/21,51,選擇要抓包的網(wǎng)卡,選擇時時更新和自動

23、滾屏,2024/3/21,52,察看各層詳細信息直至某一個Bit,診斷問題很有幫助,2024/3/21,53,ViewPoint配置及綁定到其它的網(wǎng)卡地址時如何更正,,安裝ViewPoint軟件時，如果計算機上有多塊物理網(wǎng)卡或者有VPN虛擬網(wǎng)卡，可能導致ViewPoint服務綁定道錯誤的網(wǎng)卡上，其表現(xiàn)是防火墻把ViewPoint數(shù)據(jù)送到ViewPoint服務器的IP地址，但是ViewPoint軟件始終收不到任何數(shù)據(jù)。,2024/3/21