




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、2008技術(shù)白皮書神州數(shù)碼終結(jié)者DCFW-1800S/E-x V2 系列 2008 神州數(shù)碼網(wǎng)絡(luò)Digital China Networks2008-12-1本白皮內(nèi)容是神州數(shù)碼DCFW-1800S/E-V2終結(jié)者系列技術(shù)白皮本公書。本材料的相關(guān)權(quán)力歸神州數(shù)碼網(wǎng)絡(luò)所有。白皮司,不得轉(zhuǎn)印、影印或復(fù)印。由于產(chǎn)品版本升級或其它原因本白皮書內(nèi)容會不定期進行更新除非另有約定本白皮書僅作為使用指導(dǎo)本手冊中的所有陳述信息和建議不任何明示或暗示的擔(dān)保。本僅為文檔信息的使用而,非為或產(chǎn)品背書目的。支持信息本資料將定期更新,如欲獲取或相關(guān)信息,請查閱公司.cnm或直接致電本公司產(chǎn)品中心01082705312 及
2、神州數(shù)碼中心服務(wù)熱線。您的意見和建議請發(fā)送至:jiangz目錄神州數(shù)碼終結(jié)者系列簡介6功能介紹7神州數(shù)碼DCFW-1800S/E終結(jié)者系列功能介紹10工作模式10透明模式10路由/NAT模式10混合模式10安全特性11安全策略11應(yīng)用層識別與控制11ARP防護12主機防御12URL過濾132.防護132.63.NAT15源NAT15目的NAT15路由16靜態(tài)路由16ISP路由16源路由17源接口路由17策略路由17動態(tài)路由17等價多徑路由18鏈路故障探測19備份接口204.5.交換特性及接入5.4PPPOE21端口聚合21端口橋接組21802.1Q21網(wǎng)絡(luò)參數(shù)226.6.
3、16.26.3DNS/. 22DDNS23DHCP23QoS(流量管控)247.分類和標(biāo)記27.47.5流量和整形26帶寬保證26多層QoS27彈性QoS27. 2IPSecSSL. 28. 28. 309.認證與10.靠性3111.日志審計3212.管理33管理方式33SNMP. 33系統(tǒng)管理34附錄:神州數(shù)碼終結(jié)者系列各型號規(guī)格表35DCFW-1800S-L-V235DCFW-1800S-H-V236DCFW-1800S-V237DCFW-1800E-V238DCFW-1800E-2G39DCFW-1800E-4G40DCFW-
4、1800E-8G41DCFW-1800E-10G42神州數(shù)碼終結(jié)者系列簡介隨著計算機技術(shù)的發(fā)展和網(wǎng)絡(luò)及其應(yīng)用的普及,日益成為影響網(wǎng)絡(luò)效能的重要問題。而ernet 所具有的開放性、國際性和性在增加應(yīng)用度的同時,也對提出了更高的要求。作為技術(shù)成熟度最高、產(chǎn)品化最早的安全產(chǎn)品防火墻,由于其針對性強、易于實施和管理等特點,已經(jīng)成為實現(xiàn)ernet 網(wǎng)絡(luò)安全最重要和最有效的神州數(shù)碼網(wǎng)絡(luò)產(chǎn)品之一。作為國內(nèi)知名的網(wǎng)絡(luò)設(shè)備供應(yīng)商,始終關(guān)注的發(fā)展并提出了“L網(wǎng)”方案的全方位網(wǎng)絡(luò)應(yīng)用理念。在努力提高網(wǎng)絡(luò)設(shè)備安全性的同時,神州數(shù)碼網(wǎng)絡(luò)源優(yōu)勢,投入到依托多年網(wǎng)絡(luò)產(chǎn)品的研發(fā)經(jīng)驗,整合神州數(shù)碼的資領(lǐng)域并取得了技術(shù)突破,DC
5、FW-1800S/E-x V2 系列多核架構(gòu)就是神州數(shù)碼網(wǎng)絡(luò) 10 年磨一劍的力作。神州數(shù)碼 DCFW-1800 系列是神州數(shù)碼研究開發(fā)的面向全系列用戶的專業(yè)高性能純硬件解決方案。產(chǎn)品系列設(shè)備。能夠為各種用戶規(guī)模的問題提供安全高速的目前,神州數(shù)碼DCFW-1800 系列產(chǎn)品型號有DCFW-1800E-10G、DCFW-1800E-8G、DCFW-1800E-4G、DCFW-1800E-2G、DCFW-1800E-V2、DCFW-1800S-V2、DCFW-1800S-H-V2 和DCFW-1800S-L-V2。特點介紹神州數(shù)碼DCFW-1800 系列領(lǐng)先的系統(tǒng)結(jié)構(gòu)設(shè)計具有以下主要特點:強健的實
6、時操作系統(tǒng)最低的總體擁有成本領(lǐng)先的系統(tǒng)結(jié)構(gòu)設(shè)計神州數(shù)碼DCFW-1800 系列是創(chuàng)新的新一代高效處理,它采用64 位高性能多核處理器技術(shù),擁有包括TCP 會話保持與報文重組、QoS流量管理的級加速方案,并且提供獨立的硬件DFA 引擎。輔以高達48Gbps 高速交換總線,以及新一代64 位實時并行操作系統(tǒng)-DCFOS,確保了整個系統(tǒng)不僅在處理網(wǎng)絡(luò)通信,并且在處理應(yīng)用安全防護時擁有充足的系統(tǒng)資源保障。強健的實時操作系統(tǒng)DCFW-1800 系列采用64 位實時并行操作系統(tǒng),其并行的處理能力和模塊化的結(jié)構(gòu)易于集成和擴展安全功能。的安全加固64 位操作系統(tǒng)針對新一代多核處理器安全機構(gòu)進行了全面的優(yōu)化和安
7、全加固,極大地提高了系統(tǒng)的處理效率、系統(tǒng)穩(wěn)定性和安全性。模塊化和并行多任務(wù)的處理機制,為神州數(shù)碼新一代的網(wǎng)絡(luò)安全系統(tǒng)提供了極大的可擴展能力,包括支持核處理器和集成安全功能。積累多年被證實的專業(yè)硬件安全產(chǎn)品研發(fā)和市場經(jīng)驗,DCFW-1800 系列在軟硬件的穩(wěn)定性和可靠性上都有了進一步提高。全面優(yōu)化的軟硬件系統(tǒng)擁有高穩(wěn)定性和靠性,為網(wǎng)絡(luò)流量和網(wǎng)絡(luò)日益膨脹的企業(yè)IT 環(huán)境提供了強大的保障。DCFW-1800系列能夠在最大程度上確保企業(yè)關(guān)鍵業(yè)務(wù)的不間斷運行。最低的總體擁有成本神州數(shù)碼 DCFW-1800 系列提供了非常友好的使用和管理界面,部署簡單、易于和管理。靈活的特性可以滿足不同用戶對不同應(yīng)用環(huán)境
8、的需求。獨特創(chuàng)新的新一代架構(gòu)提供給用戶最大化的可擴展能力,有效保護用戶投資。功能介紹神州數(shù)碼 DCFW-1800 系列豐富詳盡的防護功能,從而保障用戶的硬件及其配套操作系統(tǒng)DCNOS 支持。表1-2 列出神州數(shù)碼DCFW-1800系列支持的主要功能以及功能描述:表1-2:神州數(shù)碼DCFW-1800 系列主要功能列表功能描述防護TCP/IP防護(IP 碎片、IP Option、IP 地址、Land、Smurf掃描保護(IP 地址掃描端口掃描)Flood 保護(Syn FloodICMP FloodUDP Flood)IPSecSC(基于SSL 的登錄解決方案)撥號控制基于安全域的控制基于時間的控
9、制基于 MAC 的控制IP-MAC-端口地址綁定NAT/PAT 功能多個地址到同一個公網(wǎng)地址多個地址到多個公網(wǎng)地址地址到公網(wǎng)地址外部網(wǎng)絡(luò)主機服務(wù)器地址到接口公網(wǎng) IP 地址虛擬 IP應(yīng)用協(xié)議的 NAT 穿越FTPTFTPHTTPSUN RPCRTSPRPCH323SIPRSHSQL NETv2內(nèi)容安全Java Applet 阻斷ActiveX 阻斷可執(zhí)行文件阻斷URL 過濾P2P&IMMSNYahooBitTorrent迅雷eMule網(wǎng)絡(luò)PPPoEDHCPDNSDDNSARPVSwitch路由靜態(tài)路由動態(tài)路由(RIP 以及 OSPF)策略路由(SBR 以及 SIBR)ISP 路由QoS帶寬管理
10、IP-QoS應(yīng)用 QoS網(wǎng)游優(yōu)化管理命令行接口(CLI)WebUI(HTTP, HTTPS)ConsolenetSSHSNMP流量統(tǒng)計/Traceroute系統(tǒng)利用率審計用戶行為流日志NAT 轉(zhuǎn)換日志實時日志地址綁定日志流量告警日志實時流量統(tǒng)計和分析功能安全事件統(tǒng)計功能神州數(shù)碼DCFW-1800S/E終結(jié)者系列功能介紹1.工作模式1.1透明模式在很多用戶網(wǎng)絡(luò)中,網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)是先于建設(shè)進行的,當(dāng)用戶打而導(dǎo)致一些關(guān)鍵應(yīng)用算進行建設(shè)時,往往會發(fā)現(xiàn)由于初期的網(wǎng)絡(luò)設(shè)計不是依賴于網(wǎng)絡(luò)拓撲的,因此在對這些關(guān)鍵應(yīng)用進行安全防護時,必須采用透明模式接入,DCFW-1800使用透明模式可以在不改變用戶現(xiàn)有網(wǎng)
11、絡(luò)結(jié)構(gòu)的情況下讓建設(shè)無縫過度。路由/NAT模式1.2對于需要使用配置在路由模式下運行,做三層轉(zhuǎn)發(fā)的網(wǎng)絡(luò)環(huán)境,神州數(shù)碼終結(jié)者系列也可以在路由模式下可以被化分為一個或多個安全域,數(shù)據(jù)報文會在三層域之間轉(zhuǎn)發(fā),并且被轉(zhuǎn)發(fā)的流量會被執(zhí)行安全檢查.對于路由模式被轉(zhuǎn)發(fā)的數(shù)據(jù)報文的 IP 地址不會被轉(zhuǎn)換.同時對于需要執(zhí)行地址轉(zhuǎn)換(NAT)的情形,能夠通過配置NAT 策略來實現(xiàn).包括實現(xiàn)一對一、一對多、多對多的地址和端口轉(zhuǎn)換。1.3混合模式在復(fù)雜的網(wǎng)絡(luò)環(huán)境下,用戶需要在同一個網(wǎng)關(guān)設(shè)備上透明模式和路由模式共存的需求,如果這兩種工作模式不能混合在一起同時工作,那用戶網(wǎng)絡(luò)將會由于被割裂而無法實施接入的困局。DCFW-
12、1800S/E-V2系列提供混合模式,將透明模式和路由/NAT模式無縫結(jié)合,從而實現(xiàn)安全與路由交換的完美。2.安全特性神州數(shù)碼 DCFW-1800 終結(jié)者中運行的 DCNOS 是 64 位實時并行操作系統(tǒng),具備豐富的安全特性,可為網(wǎng)絡(luò)及應(yīng)用安全提供全方位的安全控制功能2.1 安全策略安全策略是設(shè)備的基本功能。默認情況下,會設(shè)備上所有安全域之間的信息傳輸。而安全策略則通過策略規(guī)則(Policy Rule)決定從一個安全域到另一個安全域的哪些流量該被允許,哪些流量該被。同一安全域不同接口間的流量也可以通過安全策略來定義其行為。DCNOS 中的安全策略可以基于以下元素來定義:源安全域、目的安全域、源
13、地址、目的地址、源端口、目的端口、行為、生效時間、流量標(biāo)識以及應(yīng)用層控制等。根據(jù)以上元素建立的安全策略可以對流量的轉(zhuǎn)發(fā)做到全面而細致的控制。2.2 應(yīng)用層識別與控制神州數(shù)碼 DCFW-1800 終結(jié)者系列提供廣泛的應(yīng)用層、統(tǒng)計和控制過、炒股濾功能。該功能能夠?qū)TP、HTTP、P2P 應(yīng)用、實時通信工具、以及VoIP 語音數(shù)據(jù)等應(yīng)用進行識別,并根據(jù)安全策略配置規(guī)則,保證應(yīng)用的正常通信或?qū)ζ溥M行指定的操作,如、流量統(tǒng)計、流量控制和阻斷等。DCFOS 利用分片重組及傳輸層技術(shù),使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境,即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下,也能有效的獲取應(yīng)用層信息,從而
14、保證安全策略的有效實施。目前可識別并可控的P2P 應(yīng)用包括:迅雷BTEMule VAGAA可識別的即時通訊工具包括:騰訊MSNSkype淘寶雅虎通 網(wǎng)易泡泡新浪UC2.3 ARP防護神州數(shù)碼終結(jié)者防火器設(shè)備集成套豐富、完善的方案網(wǎng)絡(luò)、防護二層、路由器和交換機功能于一體,提供一整。事實表明,在一些Windows上,即使是靜態(tài)綁定的條目仍然可以被改變OS支持一個專有的協(xié)議來認證ARP請求和響應(yīng)。對于那些很難做靜態(tài)綁定或者不能做靜態(tài)綁定的網(wǎng)絡(luò)環(huán)境來說,這是一個最好的解決方案。裝有終結(jié)者防火器ARP客戶端的PC會與終結(jié)者防火器設(shè)備進行基于認證的ARP協(xié)議通訊,這就保證每臺安裝客戶端的PC能夠獲得來自于
15、終結(jié)者防火器設(shè)備認證過的設(shè)備MAC地址。這個交換使用公鑰基礎(chǔ)設(shè)施(PKI)來確保ARP信息的真實性。該協(xié)議執(zhí)行強大的反和防重放機制,使系統(tǒng)免受各種重放的ARP包。,包括的ARP包和ARP客戶端還可以PC的可疑二層行為并阻斷受的PC對同一局域網(wǎng)內(nèi)的其他PC或網(wǎng)絡(luò)設(shè)備發(fā)動ARP。此外,DCNOS可以探測客戶端是否安裝了ARP驗證工具并且在客戶端安裝該工具之前其ernet。這能幫助管理員強制部署ARP防護策略。這個協(xié)議和工具能夠向下兼容傳統(tǒng)的ARP協(xié)議。因此,如果策略允許,將不會出現(xiàn)跟原有設(shè)備/客戶端的互操作問題。ARP客戶端不需要任何設(shè)置。每一臺PC只需要執(zhí)行一次安裝,之后不需要任何操作,十分簡便
16、。2.4 主機防御為了防止網(wǎng)絡(luò)中的者冒充接口IP向其他主機發(fā)送ARP報文,DCNOS能夠周期性地發(fā)送免費ARP包來更新網(wǎng)絡(luò)中各主機中的其保持正確。ARP表項,以使此外,DCNOS的主機防御功能也可以讓代替不同主機發(fā)送免費ARP包,保護被主機免受ARP。該功能啟用后,將以主機的IP和MAC采用設(shè)定的發(fā)送頻率向網(wǎng)絡(luò)中廣播免費ARP報文,以此達到定期更新其他設(shè)備中該主機的ARP表項的作用。2.5 URL過濾DCFW-1800 終結(jié)者系列具備URL 過濾功能,它可以控制用戶的PC 對某些的。URL 過濾功能包含以下組成部分:包含不可以的URL。不同包含的最大URL 條數(shù)不同。包含的最大URL 條數(shù)不同
17、。白:包含允許URL。不同白關(guān)鍵字列表:如果 URL 中包含有關(guān)鍵字列表中的關(guān)鍵字,則 PC 不可以該URL。不同關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。不受限IP:不受URL 過濾配置影響,可以任何。只允許用:如果開啟該功能,用戶只可以通過ernet,IP 地址類型的URL 將被。只允許白里的URL:如果開啟該功能,用戶只可以白中的URL,其它地址都會被。防護2.6現(xiàn)今的網(wǎng)絡(luò)世界里存在著防不勝防的各種,如侵入或破壞網(wǎng)絡(luò)上的服務(wù)器、盜取服務(wù)器的敏感數(shù)據(jù)、破壞服務(wù)器對外提供的服務(wù),或者直接破壞網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)服務(wù)異常甚至中斷。作為設(shè)備的,必須具備網(wǎng)絡(luò)免受防護功能來檢測各種類型的網(wǎng)絡(luò),從而采取相應(yīng)的措施
18、保護,以保證網(wǎng)絡(luò)及系統(tǒng)正常運行。神州數(shù)碼終結(jié)者提供了基于域的防護功能。能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)中主流的目前終結(jié)者進行合理處置,以達到保護用戶的目的。中支持對以下進行防護:IP 地址(IP Spoofing)LandSmurfFraggleWinNukeSYN FloodICMP Flood 和UDP Flood地址掃描與端口掃描of Death3.NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)神州數(shù)碼終結(jié)者系列的 NAT 功能是將網(wǎng)絡(luò)主機的 IP 地址和端口轉(zhuǎn)換為外部網(wǎng)絡(luò)的地址和端口,以及將的外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為網(wǎng)絡(luò)主機的 IP 地址和端口。也就是“私有地址+端口”與“公有地址+端口”之間的轉(zhuǎn)換。DCFW-1800 系列通
19、過創(chuàng)建并執(zhí)行NAT 規(guī)則來實現(xiàn)NAT 功能。NAT 規(guī)則有兩類,分別為源NAT 規(guī)則(SNAT Rule)和目的NAT 規(guī)則(DNAT Rule)。SNAT轉(zhuǎn)換源 IP 地址,從而隱藏IP 地址或者有限的 IP 地址;DNAT 轉(zhuǎn)換目的 IP地址,通常是將受保護的服務(wù)器(如 WWW 服務(wù)器或者 SMTP 服務(wù)器)的IP 地址轉(zhuǎn)換成公網(wǎng)IP 地址。3.1 源NAT源NAT(SNAT)提供三種工作模式:ic :靜態(tài)源 NAT 轉(zhuǎn)換即一對一的轉(zhuǎn)換。該模式要求被轉(zhuǎn)換到的地址條目(trans-to-address)包含的 IP 地址數(shù)與流量的源地址的地址條目(src-address)包含的IP 地址數(shù)相
20、同。Dynamic IP:動態(tài)源 NAT 轉(zhuǎn)換即多對多的轉(zhuǎn)換。該模式將源地址轉(zhuǎn)換到指定的IP 地址。每一個源地址會被到一個唯一的 IP 地址做轉(zhuǎn)換,直到指定地址全部被占用。Dynamic port : 即PAT。多個源地址將被轉(zhuǎn)換成指定IP 地址條目中的一個地址。如果不使用 sticky,地址條目中的第一個地址將會首先被使用,當(dāng)?shù)谝粋€地址的端口資源被用盡,第二個地址將會被使用。如果使用了sticky,每一個源IP 產(chǎn)生的所有會話將被 到同一個固定的IP 地址。3.2 目的NAT目的NAT(DNAT) 規(guī)則指定是否對符合條件的流量的目的IP 地址做NAT 轉(zhuǎn)換。通常用于隱藏或保護用于向提供服務(wù)的
21、內(nèi)外服務(wù)器。DCNOS 支持 1:1 和 1:N 以,并且在 1:N 和 N:N 的模式時支持服務(wù)器負載均衡功及 N:N 的端口能。和 IP4.路由神州數(shù)碼 DCFW-1800 終結(jié)者系列具有三層路由功能,通過 VRouter【VRouter 的功能與路由器相同,并且擁有自己的路由表。DCFOS 目前支持一個VRouter,即 trust-vr。DCFW-1800 系列的所有路由配置都需要在 VRouter 配置模式下進行?!浚M行路由配置,對不同的數(shù)據(jù)包進行轉(zhuǎn)發(fā)。DCFW-1800 系列支持靜態(tài)路由(Sic Routing)、ISP 路由、 源路由( Source-Based Routing
22、 ,簡 稱 SBR )、 源接口路由 (Source-erface-Based Routing,簡稱 SIBR)、策略路由(Policy-Based Routing,簡稱PBR)、動態(tài)路由(包括 RIP 和OSPF)和等價多徑路由(Equal Cost MultiPath Routing,簡稱ECMP)。當(dāng) DCNOS 對進入的數(shù)據(jù)包進行轉(zhuǎn)發(fā)時,按照這樣的順序選路:策略路由源接口路由源路由目的路由/ISP 路由/動態(tài)路由。4.1 靜態(tài)路由靜態(tài)路由是手工定義的路由條目,根據(jù)目的地址指定下一跳,因此也稱作目的路由。對外連接較少或者內(nèi)網(wǎng)連接相對比較穩(wěn)定的網(wǎng)絡(luò)通常使用靜態(tài)路由。用戶可以根據(jù)需要確定是否
23、添加默認路由條目。靜態(tài)路由中包含管理距離(distance-value)參數(shù)。該參數(shù)設(shè)定路由的優(yōu)先級,取值越小,優(yōu)先級越高,而在有多條路由選擇的時候,優(yōu)先級高的路由會被優(yōu)先使用。取值范圍是 1 到 255,默認值為 1。當(dāng)路由距離為 255 時,該路由無效。靜態(tài)路由中也包括路由權(quán)值(weight-value)參數(shù),該參數(shù)指定路由權(quán)值的大小。路由權(quán)值決定負載均衡中流量轉(zhuǎn)發(fā)的。范圍是 1 到 255,默認值是 1。4.2 ISP路由很多用戶通常會申請多條線路進行流量負載均衡。然而,一般的均衡是不會根據(jù)流量的流向做均衡的,如果網(wǎng)通的服務(wù)器通過電問,網(wǎng)速就會很慢。DCFW-1800系列針對該問題,提供
24、 ISP 路由功能,使不同 ISP 流量走專有路由,從而提高網(wǎng)絡(luò)速度。目前 DCNOS 提供一個預(yù)定義 ISP 配置文件,包含兩個 ISP,分別電信()和中通()。當(dāng)用戶的網(wǎng)絡(luò)接入線路同時包含多個運營商時,ISP 路由將會給設(shè)備配置及部署數(shù)據(jù)轉(zhuǎn)發(fā)帶來非常大的便利和靈活性。4.3 源路由源路由也是手工定義的一種路由,它與目的路由的不同之處在于他的選路依據(jù)是以數(shù)據(jù)包的源地址做出的。在檢測出數(shù)據(jù)包的源地址與源路由表項匹配后不管目的地址是多少都直接轉(zhuǎn)發(fā)至源路由表中定義的下一跳網(wǎng)關(guān) IP。源路由的優(yōu)先級要高于目的路由。4.4 源接口路由源接口路由與源路由有點類似,源接口路由是根據(jù)數(shù)據(jù)包來自與判別如何轉(zhuǎn)發(fā)
25、的,當(dāng)部署網(wǎng)絡(luò)時將具有同一屬性的用戶規(guī)劃至的哪個接口而同一接口下時,使用源接口路由就可以極其方便的定義不同用戶的網(wǎng)絡(luò)選路過程。源接口路由的選路優(yōu)先級要高于源路由。4.5 策略路由DCNOS 中的策略路由構(gòu)建元素包括數(shù)據(jù)包的源IP、目的 IP 和服務(wù)類型,并對匹配策略的數(shù)據(jù)包的下一跳進行指定。策略路由是中最細致的選路標(biāo)準(zhǔn),而且DCFW-1800中的策略路由可以針對不同的接口或安全域來部署。策略路由的選路優(yōu)先級在所有種類路由中是最高的。4.6 動態(tài)路由動態(tài)路由是根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行情況而自動調(diào)整的路由。DCFW-1800 系列防火墻根據(jù)路由協(xié)議自動調(diào)整動態(tài)路由表。DCFOS 目前支持 RIP 和 O
26、SPF 兩種動態(tài)路由協(xié)議。DCFW-1800 系列對于RIP 的兩個版本(RIP-1 和RIP-2)均支持。對 RIP協(xié)議的配置包括基本配置、引入路由、接口、鄰居、網(wǎng)絡(luò)和距離。另外,RIP 參數(shù)配置完成后,用戶還需要在不同的接口上配置 RIP 參數(shù),包括指定接口接收和發(fā)送更新的RIP 版本號、水平分割以及接口的RIP 認證。DCFW-1800 系列各項:配置 Router ID對于OSPF 的支持也很完善。OSPF 協(xié)議配置包括以下配置區(qū)域認證配置區(qū)域的路由聚合配置區(qū)域的缺省花費配置區(qū)域的虛擬鏈路配置stub 區(qū)域配置接口發(fā)送OSPF 報文的缺省花費配置缺省度量配置缺省信息發(fā)布配置缺省距離配置
27、OSPF 定時器指定運行OSPF 協(xié)議的接口網(wǎng)絡(luò)引入路由配置距離配置接口4.7 等價多徑路由等價多徑路由(ECMP)是為到達相同目的IP 地址或網(wǎng)段的數(shù)據(jù)流量在多條相同管理距離的路徑上進行負載均衡而設(shè)計的。當(dāng)在上到達同一目的網(wǎng)絡(luò)存在多條具有相同管理距離的路由條目時,缺省情況下將在這些路由條目上使用負載均衡方式進行轉(zhuǎn)發(fā),每條路由上轉(zhuǎn)發(fā)的流量大小可以通過修改其權(quán)值參數(shù)來定義。DCFW-1800最多允許在 40 條路由上進行負載均衡。ECMP在選路方式上支持以下幾種:by-5-tuple 基于五元組(源IP 地址、目的IP 地址、源端口、目的端口和服務(wù)類型)作哈希選路(hash)。by-src 基于
28、源 IP 地址作哈希選路(hash)。by-src-and-dst - 基于源IP 地址和目的IP 地址作哈希選路(hash)。默認情況下,基于源IP 地址和目的IP 地址做哈希選路(hash)。4.8 鏈路故障探測DCFW-1800 系列的監(jiān)測功能能夠監(jiān)測指定的目標(biāo)(IP 地址或者主機)是否可達或者接口的鏈路是否連通。監(jiān)測功能用于 HA 以及接口多種方式對目標(biāo)進行監(jiān)測:。支持通過接口狀態(tài):通過對指定接口狀態(tài)的可用。來判斷與該接口連接的網(wǎng)絡(luò)鏈路是否:指定網(wǎng)絡(luò)上的一個目標(biāo)主機(IP 或),并通過指定的接口以指定的時間間隔向目標(biāo)主機發(fā)送報文,當(dāng)無法持續(xù)通目標(biāo)主機時,即認為與該接口連接的鏈路不可用。
29、(即使此接口的狀態(tài)為 UP)HTTP:指定網(wǎng)絡(luò)上的一個目標(biāo)主機(IP 或),并通過指定的接口以指定的時間間隔向目標(biāo)主機發(fā)送 HTTP 請求報文,當(dāng)目標(biāo)主機持續(xù)沒有回應(yīng)時,即認為與該接口連接的鏈路不可用。(即使此接口的狀態(tài)為 UP)ARP:指定網(wǎng)絡(luò)上的一個目標(biāo)主機(IP 或),目標(biāo)主機必須與接口位于同一廣播域。將通過指定借口以指定的時間間隔向目標(biāo)主機發(fā)送 ARP 請求報文,當(dāng)目標(biāo)主機持續(xù)沒有應(yīng)答時,即認為與該接口連接的鏈路不可用。(即使此接口的狀態(tài)為 UP)對于同一接口開啟鏈路探測時,以上功能可以組合使用,以到達對接口及鏈路狀態(tài)全面而完善的檢測。對接口開啟鏈路探測功能時,當(dāng)通過以上任何式探測到接
30、口或鏈路出現(xiàn)故障時,現(xiàn)故障時將把與該接口相關(guān)的所有路由置為非活動狀態(tài)。從而避免了某條鏈路出還繼續(xù)向該鏈路轉(zhuǎn)發(fā)報文。典型的應(yīng)用案例如:當(dāng)上的幾條路通過鏈路探測功由執(zhí)行負載均衡時,其中一條路由對應(yīng)的鏈路出現(xiàn)故障,這時的發(fā)現(xiàn)了,并立即將該條路由置為無效,從而避免了該條路由繼續(xù)參與負載均衡轉(zhuǎn)發(fā)而出現(xiàn)丟包或無法通信的現(xiàn)象。鏈路探測功能同時也用于接口備份時對于主接口及其鏈路狀態(tài)的檢測。當(dāng)鏈路探測功能查探到主接口或與其連接的出現(xiàn)故障時,將適時的啟用備份鏈路,以此能將鏈路故障導(dǎo)致的影響減至最小。此外鏈路探測還用于HA 時對活動主機狀態(tài)的探測。4.9 備份接口備份接口(Backup-erface)也可稱之為鏈路
31、備份,是為了解決用戶在采用單 鏈路接入的情況下, 當(dāng)接入鏈路出現(xiàn)故障時而引起全網(wǎng)業(yè)務(wù)中斷的局面。DCFW-1800引入備份接口的目的在于:當(dāng)用戶擁有兩條或兩條以上接入鏈路時,通常情況下只有主鏈路處于活動狀態(tài),而另外一條鏈路則處于備份狀態(tài)(比如備份鏈路按流量時)。當(dāng)檢測到主鏈路出現(xiàn)故障時,會將與主鏈路有關(guān)的路由條目置為非活動狀態(tài),同時立即激活備份鏈路來代替主鏈路進行轉(zhuǎn)發(fā)。在備份鏈路工作期間還將不斷的探測之前的主鏈路的狀態(tài),一旦發(fā)現(xiàn)主鏈路恢復(fù)正常將馬上啟用主鏈路,同時將當(dāng)前鏈路再次置為備份狀態(tài)。DCFW-1800備份接口功能可以有效保證用戶網(wǎng)絡(luò)業(yè)務(wù)的連續(xù)性,結(jié)合其對于網(wǎng)絡(luò)鏈路狀態(tài)高度智能化的判斷,
32、使得理有效的管控。能將用戶的鏈路資源始終做到最合5.交換特性及接入5.1 PPPOEDCFW-1800 系列支持基本的 PPPOE 撥號功能外,還支持在同一物理口上同時綁定多個PPPOE 撥號線路。即一個物理接口綁定多個PPPoE 子接口功能。多個 PPPoE 子接口功能指基于以太網(wǎng)口創(chuàng)建多個 PPPoE 子接口后,一個物理以太網(wǎng)口便可以通過多個 PPPoE 子接口連接多個 ISP。每接口可最多綁定 8 個 PPPoE子接口,即使用一個物理接口同時撥號 8 條PPPOE 線路。這為使用多 PPPOE 線路接入的網(wǎng)絡(luò)提供了良好的解決方案,并節(jié)省了的寶貴接口資源。5.2 端口聚合DCFW-1800
33、提供的端口聚合是將兩個或者多個物理接口的邏輯上起來。這些物理接口平均分擔(dān)通過該集聚接口的流量,集聚接口能夠接口的可用帶寬。如果集聚接口中的一個物理接口出現(xiàn)故障不能工作,那么其它接口還可以繼續(xù)處理流量。通過這種方法可以解決單接口接入帶寬的情況。5.3 端口橋接組在某些組網(wǎng)情況下需要進行快速轉(zhuǎn)發(fā)使用。例如的幾個接口位于同一廣播域,作為一個交換環(huán)境來下聯(lián)做雙機熱備的兩臺交換機時就需要到這種解決方案。DCFW-1800中的端口橋接組(BGroup)就是為滿足這樣的需求而設(shè)計的。BGroup 將多個物理接口組織在一起。每一個 BGroup一個獨立的廣播域,數(shù)據(jù)包可以在 BGroup 中的接口之間根據(jù) M
34、AC 地址由硬件進行快速轉(zhuǎn)發(fā)。使用BGroup 能夠提高設(shè)備的轉(zhuǎn)發(fā)性能。用戶在創(chuàng)建一個 BGroup 接口的同時,也創(chuàng)建了與該 BGroup 接口相對應(yīng)的 BGroup。用戶可以將 BGroup 接口綁定到二層安全域,然后將其添加到VSwitch 中,也可以將 BGroup 接口綁定到三層安全域,再為其配置 IP 地址。因此在二、三層交叉的組網(wǎng)設(shè)計時 BGroup 可以為用戶提供靈活的組網(wǎng)方案。5.4 802.1Q在交換型網(wǎng)絡(luò)大行其道的今天,網(wǎng)絡(luò)設(shè)備對于 802.1Q 協(xié)議(dot1q)的支持非常重要,尤其是像這種復(fù)合型定位的設(shè)備,有可能需要部署在網(wǎng)絡(luò)中的任何位置,這就使得它更需要具備對 80
35、2.1Q 的完善解決方案。DCFW-1800不僅支持接口在路由模式下的 802.1Q 封裝,而且在透明模式下也能做到對 802.1Q 協(xié)議的完美處理。目前支持的VLAN 數(shù)為 4094 個。6.網(wǎng)絡(luò)參數(shù)為了能使DCFW-1800在中小型網(wǎng)絡(luò)中獲得更好的使用體驗,在防火墻中集成了幾個常用服務(wù)功能,其中包括 DNS/DNS服務(wù))。、DHCP、DDNS(動態(tài)6.1 DNS/DNS(Name System)是一種組織成域?qū)哟谓Y(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)命名系統(tǒng),用于 TCP/IP 網(wǎng)絡(luò),主要用來尋找ernet(如)并轉(zhuǎn)化為IP 地址(如“”)以定位相應(yīng)的計算機和相應(yīng)服務(wù)。神州數(shù)碼 DCFW-1800 系列的
36、DNS 功能如下:名字服務(wù):為配置DNS 服務(wù)器和默認,為自身需要進行域名時提供服務(wù)。DNS功能作為DNS服務(wù)器,為與其連接的 PC 等(客戶端)提供 DNS端所有的功能。也就是說客戶端將 DNS 地址指定為的 IP,客戶請求都發(fā)往,由完成動作并將結(jié)果反饋給客戶端。這個功能可大大減少對客戶端DNS的工作量。緩存:在果啟用了DNS功能后,客戶端針對每個的首次結(jié)都會將該DNS項在緩存中,當(dāng)后續(xù)由其他客戶端需要該時,將直接從緩沖中查找,這樣就能大大提高速度。6.2 DDNSDDNS 是動態(tài)服務(wù)(DynamicName Server)的縮寫,可以實現(xiàn)固定到動態(tài) IP 地址之間的。通常情況下,用戶每次連
37、接因特網(wǎng)時都會從 ISP得到一個動態(tài) IP 地址,即用戶每次連接因特網(wǎng)得到的 IP 地址都不同。動態(tài)功能可以將動態(tài)的綁定到用戶每次獲得的不同IP 地址上,每次當(dāng)用戶連接到因特網(wǎng)時,它都會自動更新自己的動態(tài)IP 與的綁定。在使用 DDNS 功能之前,用戶需要在 DDNS 服務(wù)的提供商那里進行,以獲取動態(tài)使用前請。DCFW-1800 系列支持以下三個動態(tài)服務(wù)提供商:3322.:H:h: http:相應(yīng)的主頁進行.cn。DDNS 在用戶無法獲得固定合法IP 而又需要聯(lián)網(wǎng)發(fā)布服務(wù)的情況下提供了可靠的解決方案,另外也讓設(shè)備間使用動態(tài) IP 地址建立隧道成為可能。6.3 DHCPDHCP 是動態(tài)主機配置協(xié)
38、議(Dynamic Host Configuration Protocol)的縮寫。DHCP 能夠自動為子網(wǎng)分配適當(dāng)?shù)腎P 地址以及相關(guān)網(wǎng)絡(luò)參數(shù),從而減少網(wǎng)絡(luò)管理工作量。同時,DHCP 能夠保證網(wǎng)絡(luò)中不會出現(xiàn)地址源。,并能重新分配閑置的IP 地址資DCFW-1800 系列功能。支持 DHCP 客戶端功能、DHCP 服務(wù)器功能和 DHCP中繼DHCP 客戶端:動態(tài)獲得IP 地址。DHCP 服務(wù)器:的接口可以設(shè)置成 DHCP 客戶端,從 DHCP 服務(wù)器的接口可以設(shè)置成 DHCP 服務(wù)器,通過配置的地址池,向與該接口相連的主機分配IP 地址。DHCP 中繼:的接口可以設(shè)置成 DHCP 中繼,中繼從
39、DHCP 服務(wù)器獲得DHCP 信息,然后將獲得信息傳遞到與接口相連的主機。7.QoS(流量管控)QoS(Quality of Service)即“服務(wù)質(zhì)量”。它是指網(wǎng)絡(luò)為特定流量提供更高優(yōu)先服務(wù)的同時控制抖動和延遲的能力,并且能夠降低數(shù)據(jù)傳輸丟包率。當(dāng)網(wǎng)絡(luò)過載或擁塞時,QoS 能夠確保重要業(yè)務(wù)流量的正常傳輸。在互聯(lián)網(wǎng)飛速發(fā)展的今天,網(wǎng)絡(luò)中各種需要高帶寬的應(yīng)用層出不窮,而傳統(tǒng)通訊業(yè)務(wù)中的音頻、等應(yīng)用也加速聯(lián)網(wǎng)融合,在這種趨勢下就對網(wǎng)絡(luò)為應(yīng)用提供可的要求。、可管控的帶寬服務(wù)提出了更高DCFW-1800 系列提供了完善的 QoS 解決方案,能夠?qū)α鹘?jīng)的各種流量實施細致深入的流控策略,能夠?qū)崿F(xiàn)對用戶帶
40、寬和應(yīng)用帶寬的有效管理,可以根據(jù)不同網(wǎng)絡(luò)應(yīng)用的重要性為其提供不同的轉(zhuǎn)發(fā)優(yōu)先級。DCFW-1800分類和標(biāo)記的QoS 基于以下管理機制實現(xiàn):和整形擁塞管理擁塞避免圖 7-1 描繪了 QoS 的體系結(jié)構(gòu)。圖 7-1:QoS 體系結(jié)構(gòu)IngressEgressIngress TrafficDSCP MarkingVoIPVoIPHTTPHTTPClasssifierIPIPPHY IFIngress TrafficClassification and MarkingLLQWREDQueuing Scheduling PHY IFandShaEgress TrafficCongestionConges
41、tionAvoidanceManagementMarker orr7.1 分類和標(biāo)記分類和標(biāo)記的過程就是識別出需進行不同處理(優(yōu)先或者區(qū)分)的流量的過程。分類和標(biāo)記是執(zhí)行QoS 管理的第一步。DCFW-1800S標(biāo)準(zhǔn)??筛鶕?jù)以下標(biāo)準(zhǔn)進行分類。表 7-1 列出了不同字段的分類表 7-1:分類標(biāo)準(zhǔn)DCFW-1800提供專有的對應(yīng)用進行智能識別標(biāo)記的功能,能夠識別現(xiàn)下互聯(lián)網(wǎng)中流行的百余種應(yīng)用,包括對P2P(迅雷、BT、eMule、eDonkey 等)和即時通訊應(yīng)用的識別分類。DCFW-1800還支持用戶自定義服務(wù),并對自定義服務(wù)進行識別和標(biāo)記。然后根據(jù)應(yīng)用識別和標(biāo)記結(jié)果對流量帶寬進行控制并區(qū)分出優(yōu)先
42、級。該功能的典型解決方案如:用戶可以為網(wǎng)絡(luò)中關(guān)鍵的 OA、及數(shù)據(jù)庫等應(yīng)用進行標(biāo)識并為其設(shè)置高優(yōu)先級和保證帶寬,以使他們獲得優(yōu)先轉(zhuǎn)發(fā)。對于P2P 流量可以為他們設(shè)置最低優(yōu)先級,并對他們進行帶寬限制。這樣就能使有限的帶寬資源最大限度的服務(wù)于急需的業(yè)務(wù)應(yīng)用。對于標(biāo)記DCFW-1800可攜帶的字段如下:第 2 層標(biāo)記字段:802.1Q/p第 3 層標(biāo)記字段:IP 優(yōu)先權(quán)和DSCPLayer標(biāo)準(zhǔn)描述Layer 1物理接口接口Layer 2802.1Q/p 服務(wù)類別(CoS)位串Layer 3IP 優(yōu)先權(quán)(IP Precedence)、DiffServ 代碼(DSCP)和源/目的IP 地址組Layer 4
43、端(TCP 或者 UDP)Layer 7應(yīng)用類型(Application Type)或者應(yīng)用簽名(ApplicationSignature)7.2 流量和整形QoS 管理提供和整形功能。和整形的作用是識別流量違約并做出響應(yīng)。和整形使用同樣的算法識別流量違約,但是做出的響應(yīng)不同。工具對流量違約進行即時檢查,發(fā)現(xiàn)違約后立即采取設(shè)定的動作進行處理。例如,工具可以確定負載是否超出了定義的流量速率,然后對超出部分的流量進行重新標(biāo)記或者直接丟棄。工具可以應(yīng)用在的入接口和出接口上。整形工具是一個與排隊機制一起工作的流量平滑工具。整形的目的是將所有的流量發(fā)送到同一個接口,并且控制流量不超出指定的速率,使流量平
44、滑地通過該接口發(fā)送出去。整形工具只可以應(yīng)用在出接口上。與整形相比較,具有以下區(qū)別,參見表 7-2。表 7-2:的行為與整形比較和IP QoS 結(jié)合使用,用戶可以很容易的通過將DCFW-1800為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。DCFW-1800最多可支持 20,000 個不同IP 地址的流量優(yōu)先級區(qū)分和帶寬控制(可分別對接口的出方向和入方向進行控制),這樣就相當(dāng)于系統(tǒng)中可容納超過 40,000 個QoS 隊列。7.3 帶寬保證DCFW-1800 系列中的帶寬保證功能使用擁塞管理工具實現(xiàn)。擁塞管理工具是QoS 工具中最重要的一個。擁塞管理工具即排隊工具,應(yīng)用在產(chǎn)生擁塞的接口上。由于網(wǎng)絡(luò)之間的速
45、率不匹配,在廣域網(wǎng)或者局域網(wǎng)中都有可能出現(xiàn)擁塞。只有當(dāng)接口發(fā)生擁塞時,排隊工具才會被啟用。DCFW-1800 系列(CBWFQ)和低延遲隊列(LLQ)。支持公平隊列CBWFQ:基于類別的公平隊列。使用戶能夠為某一類流量配置最小帶整形由于丟棄,引起TCP 重傳通常延遲流量,很少引起TCP 重傳不靈活和不可適應(yīng)通過排隊機制來適應(yīng)網(wǎng)絡(luò)擁塞入接口和出接口工具出接口工具沒有緩存的速率限制有緩存的速率限制寬。LLQ:低延遲隊列。LLQ 是 PQ、CQ 和 WFQ 的綜合算LQ 一般用于語音和交互式。在配置時,所有 LLQ 類型的應(yīng)用所占總帶寬過鏈路帶寬的 33%。此外,DCFW-1800 系列還使用早期隨
46、機檢測(WRED)算法實現(xiàn)擁塞避免。擁塞避免機制是排隊算法的補充,并且依賴于排隊算法。使用擁塞避免工具的目的是為了處理基于TCP 的數(shù)據(jù)流。7.4 多層QoSDCFW-1800 系列的 QoS 功能包括應(yīng)用 QoS 和 IP QoS 兩種,它們是兩個獨立的數(shù)據(jù)流控制工具。應(yīng)用 QoS 從全局出發(fā),調(diào)度安排經(jīng)過系統(tǒng)的數(shù)據(jù)流,讓高優(yōu)先級的數(shù)據(jù)得到更好更快的服務(wù);IP QoS 從每一個獨立的IP 出發(fā),限定每一個IP的帶寬。同時使用這兩種 QoS,即為多層 QoS。配置多層 QoS 后,通過系統(tǒng)的流量需要經(jīng)過兩層QoS 控制。一般部署多層QoS 時會在第一層使用應(yīng)用QoS,在第二層使用IP 限流。流
47、量通過第一層應(yīng)用 QoS 時,重要數(shù)據(jù),例如、VoIP,可以被加速,非重要數(shù)據(jù),如P2P,會被丟棄或延遲。由此,通過第一層應(yīng)用QoS 后,整個系統(tǒng)中的流量就具備了優(yōu)先順序。所有經(jīng)過第一層應(yīng)用QoS 的流量進入第二層IP 限流,實現(xiàn)限流控制。7.5 彈性QoS當(dāng)配置 QoS 功能后,不同的 IP 地址可獲得的最大帶寬通常會被限制在一個數(shù)值之內(nèi),此時,即使接口有閑置帶寬,被限制的IP 也不可以使用,造成資源的浪費。針對這一現(xiàn)象,DCFW-1800 系列用。提供彈性QoS 功能,以實現(xiàn)帶寬資源的充分利彈性 QoS 設(shè)置最大和最小兩個門限值,缺省最小門限值為 75,缺省最大門限值為 85。開啟彈性Qo
48、S 功能后,當(dāng)出口帶寬利用率小于 75%時,用戶可以使用的實際帶寬緩慢的呈線性增加,當(dāng)帶寬利用率到達 85%時,用戶使用的帶寬呈指數(shù)減少,直到實際限定的帶寬。這兩個門限值用戶可根據(jù)實際情況自行修改。8.(Virtual Private Network)虛擬網(wǎng),是指利用公用電信網(wǎng)絡(luò)為用戶提供網(wǎng)的所有各種功能。的組網(wǎng)方式為企業(yè)提供了一種低成本的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,并增加了企業(yè)網(wǎng)絡(luò)功能,擴大了其雖然用戶實際上并不存在一個獨立網(wǎng)的范圍。由于采用了“虛擬網(wǎng)”技術(shù),的網(wǎng)絡(luò),但用戶既不需要建設(shè)或租用專線,也不需要裝備的設(shè)備,就能組成一個屬于用戶自己的電信網(wǎng)絡(luò),從而在很大程度上降低了企業(yè)組網(wǎng)的費用。此外,很好的私密
49、性和安全性。神州數(shù)碼的DCFW-1800 系列加密技術(shù)也使通過傳輸?shù)臄?shù)據(jù)具備了支持IPSec 和SSL,強大的功能可以為用戶提供高性能、高容量、穩(wěn)定靈活的解決方案。8.1 IPSecIPSec是現(xiàn)在互聯(lián)網(wǎng)上最重要的網(wǎng)關(guān)到網(wǎng)關(guān)技術(shù),他已經(jīng)成為企業(yè)分支機構(gòu)間互聯(lián)的首選。DCFW-1800IPSec具有豐富的支持特性。從成網(wǎng)結(jié)構(gòu)上可分為:網(wǎng)關(guān)到網(wǎng)關(guān)方式和 HUB and Spoken(星型)方式;按數(shù)據(jù)驅(qū)動類型可分為:基于策略的和基于路由的廠商設(shè)備互通;標(biāo)準(zhǔn)的IPSec技術(shù)使其能夠與國際全面的加密算法支持,包括 DES、3DES、AES、AES192、AES256,驗證算法包括SHA、MD5,DH
50、組支持:Group1、Group2、Groutp5;協(xié)商模式支持預(yù)共享密鑰、手工密鑰及PKI;支持NAT 穿越技術(shù)具備DPD(對端下線檢測)機制支持對端使用靜態(tài)IP、動態(tài)IP 創(chuàng)建隧道支持對支持多隧道中的應(yīng)用進行控制隧道間負載均衡支持防重放(Anti-Replay)功能支持響應(yīng)方設(shè)置Commit 位(mit)功能8.2 SSL為解決用戶安全私網(wǎng)數(shù)據(jù),DCFW-1800 系列提供基于SSL 的登錄解決方案Secure Connect,簡稱為SC。SC功能可以通過簡單易用的方法實現(xiàn)信息的神州數(shù)碼 DCFW-1800 系列連通。的SC功能包含設(shè)備端和客戶端兩部分。配置了SC功能的作為設(shè)備端,具有以下
51、功能:接受客戶端連接;為客戶端分配IP 地址、DNS 服務(wù)器地址和WINS 服務(wù)器地址;進行客戶端用戶的認證與;對IPSec 數(shù)據(jù)進行加密與轉(zhuǎn)發(fā)。DCFW-1800 系列用戶可以通過瀏覽器SC的客戶端工具為DigitalChina Secure Connect。該客戶端,然后將其安裝到 PC,連接設(shè)備端成功后,用戶就可以通過SCDCFW-1800功能安全的傳輸數(shù)據(jù)信息。的SSL不需要用戶預(yù)先安裝和配置客戶端,所有的安裝和配置都可以在接入時自動完成,大大降低了的工作量,使該功能對最終用戶變得簡單易用。此外 DCFW-1800可以針對用戶或用戶組的接入實現(xiàn)細粒度的集成了基于SSL 的用戶認證機制,
52、控制,使特定的網(wǎng)絡(luò)資源只給正確的用戶DCFW-1800。的SSL功能具備以下特性:基于IP 層面的接入,兼容所有基于IP 的應(yīng)用私有IP 地址分配內(nèi)網(wǎng)的DNS 和WINS 服務(wù)器,提供SSL隧道支持多種加密算法自動配置路由多個用戶域,每個域可以用自己的認證服務(wù)器支持多種認證方式,包括本地認證、Active Directory、L對接入的用戶實時、Radius基于用戶的控制可以提供細粒度的控制。這種用戶可以是用戶名、部門的組合同一接口支持多SSL接入通道,提供更高安全性9.認證與AAA 是 Authentication(認證)、Authorization(費)的簡稱。具體內(nèi)容如下:)和 Acco
53、unting(計認證:驗證用戶。:根據(jù)配置對用戶授予一定權(quán)限。計費:用戶使用網(wǎng)絡(luò)資源應(yīng)付的費用。DCFW-1800 系列支持以下認證方式:本地認證:將用戶信息(包括用戶名稱、本地認證速度快,可以降低運營成本,但是和各種屬性)配置在上。信息量受設(shè)備硬件條件的限制。默認情況下,使用本地認證的方式對用戶進行認證。外部認證:支持通過 RADIUS 和LDAP 協(xié)議進行外部認證。將用戶信息在外部RADIUS、Active-Directory 或者LDAP 服務(wù)器上,通過外部RADIUS、Active-Directory 或者LDAP 服務(wù)器對的用戶進行認證。DCFW-1800 系列本地支持以下方式:根據(jù)
54、上為本地用戶帳號配置的相關(guān)屬性進行。外部服務(wù)器認證成功后:RADIUive-Directory/LDAP 協(xié)議的認證和綁定在一起。目前DCFW-1800上的認證功能可以用于Web 認證和SSL用戶認證。上創(chuàng)建Web 認證:為內(nèi)網(wǎng)用戶在認證服務(wù)器上創(chuàng)建用戶名、口令,并在基于用戶角色的安全策略,當(dāng)內(nèi)網(wǎng)用戶通過其他安全域的資源時首先策略允許的服務(wù)或資源。需要輸入用戶名、進行認證,認證通過后方可使用Web 認證的好處是:避免了在針對用戶 IP 地址進行控制時,非用戶通過私自修改IP 地址來獲得他人的權(quán)限。而 Web 認證完全不關(guān)心客戶配置了什么 IP 地址,僅根據(jù)用戶角色來判斷其權(quán)限,這樣就能對每個用
55、戶做到有效的管控。SSL用戶認證:在認證服務(wù)器上為 SSL用戶創(chuàng)建賬號,SSL用戶使用創(chuàng)建好的用戶名接入,并且在控制。上可根據(jù)具體用戶來制定訪問策略,從而達到細粒度的10.靠性靠性(High Availability),簡稱為 HA,是 DCFW-1800為需要靠性服務(wù)的用戶提供的雙機熱備解決方案。HA 能夠在主設(shè)備通信線路或發(fā)生故障時提供及時的備用方案,從而保證數(shù)據(jù)通信的暢通,有效增強網(wǎng)絡(luò)的可靠性。實現(xiàn) HA功能,用戶需要配置兩臺設(shè)備,組成HA 簇,系統(tǒng)使用HCMP 協(xié)議,按照兩臺設(shè)備上的 HA 配置信息,在 HA 簇中出主設(shè)備,另外一臺設(shè)備為備份設(shè)備。正常情況下主設(shè)備處于活動狀態(tài),轉(zhuǎn)發(fā)報文
56、,當(dāng)主設(shè)備出現(xiàn)故障時,備份設(shè)備其工作,轉(zhuǎn)發(fā)報文。這樣就保證了網(wǎng)絡(luò)通信的不間斷進行,極大地提高了通信的可靠性。為保證備份設(shè)備能夠在主設(shè)備失效時代替主設(shè)備工作,主設(shè)備需要與備用設(shè)備進行同步。同步的信息類型有三種:配置信息、文件以及 RDO(Runtime Dynamic Object)。RDO 的具體內(nèi)容主要包括:會話信息信息 DNS 緩存 ARP 表PKI 信息 DHCP 信息MAC 表條目系統(tǒng)使用兩種方法進行同步,分別是實時同步和批量同步。當(dāng)主設(shè)備剛剛成功時,系統(tǒng)會使用批量同步方法,將主設(shè)備信息全部同步到備份設(shè)備;當(dāng)配置發(fā)生變化時,系統(tǒng)將使用實時同步的方法將變化的信息同步到備份設(shè)備。除 HA
57、相關(guān)配置和本地配置(例如,主機名稱配置),其它的配置都會被同步。11. 日志審計DCFW-1800事件日志告警日志安全日志配置日志網(wǎng)絡(luò)日志提供豐富的日志審計功能,可的系統(tǒng)日志包括:提供syslog日志格式,日志送日志。支持本地,發(fā)送至日志服務(wù)器,以及郵件方式發(fā)對于每接口的流量情況,在中能夠以二維柱狀圖的方式顯示出來,能夠統(tǒng)計每接口在5分鐘、1小時、3小時及24小時內(nèi)的雙方向流量情況,并可以將結(jié)果手動導(dǎo)出。12. 管理12.1 管理方式DCFW-1800 系列支持Consolenet、SSH 以及WebUI 方式的。用戶可以配置各種方式的超時時間、端以及 HTTPS 的 PKI 信任域。對于We
58、bUI 管理界面,DCFW-1800支持使用HTTP 和HTTPS 兩種方式登錄管理,使用 HTTPS,因為采用 HTTPS 時管理端與樣可以有效的防止管理信息外泄。之間的交互會話將被加密,這使用net、SSH、HTTP 或者 HTTPS 方式登錄設(shè)備時,如果在一分鐘內(nèi)連續(xù)三次登錄失敗,系統(tǒng)會將登錄失敗的 IP 地址鎖定兩分鐘。被鎖定的 IP 地址在兩分鐘內(nèi)不能建立與設(shè)備的連接。12.2 SNMPDCFW-1800也支持SNMP功能,DCFW-1800 系列擁有一個SNMP,該 SNMP提供網(wǎng)絡(luò)管理,通過統(tǒng)計數(shù)據(jù)和接收重要系統(tǒng)時間通知網(wǎng)絡(luò)和設(shè)備的運行情況。DCFW-1800 系列trap:的
59、SNMP生成以下各種熱啟動trapSNMP 驗證失敗trap端口狀態(tài)改變trapSA 協(xié)商狀態(tài)改變trapCPU 使用率超過 80%的trapDCFW-1800 系列支持以下版本的SNMP:SNMPv1 協(xié)議,具體描述請參閱 RFC-1157 中的 A Simple NetworkManagement Protocol;SNMPv2 協(xié)議,具體描述請參閱 RFC-1901 中的roduction toCommunity-based SNMPv2;RFC-1905 中的Protocol Operations forVer2 of the Simple Network Management Pro
60、tocol;RFC-1906 中的 Transport Maps for Ver2 of the Simple NetworkManagement Protocol。DCFW-1800 系列支持 RFC-1213 中定義的所有相關(guān)的管理信息庫組(Management Information Base for Network Management of TCP/IP-basedernets: MIB-II)。此外,DCNOS 提供一個私有 MIB 庫,用戶可以將其導(dǎo)入到管理主機的 MIB 瀏覽器進行使用。12.3 系統(tǒng)管理DCFW-1800 系列支持分級管理體系,設(shè)備由系統(tǒng)管理員(Adminis
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年演出經(jīng)紀(jì)人之演出市場政策與法律法規(guī)模擬考試試卷B卷及答案【名師系列】
- 2025年O2O零售模式報告:線上線下融合下的消費體驗升級
- 物理●福建卷丨2024年福建省普通高中學(xué)業(yè)水平選擇性考試物理試卷及答案
- 企業(yè)質(zhì)量管理精要
- 2025屆高考物理大一輪復(fù)習(xí)課件 第一章 第3課時 自由落體運動和豎直上拋運動 多過程問題
- 政治●安徽卷丨2024年安徽省普通高中學(xué)業(yè)水平選擇性考試政治試卷及答案
- 江西省吉安市陽明中學(xué)2025屆高考英語保溫卷(一)(原卷版)
- 消防規(guī)范試題及答案
- 西部計劃試題及答案青海
- 安徽省宣城市2025年中考三模道德與法治試卷(含答案)
- 《電氣工程基礎(chǔ)》熊信銀-張步涵-華中科技大學(xué)習(xí)題答案全解
- 財政一體化業(yè)務(wù)系統(tǒng)
- 北美連續(xù)油管技術(shù)的新進展及發(fā)展趨勢李宗田
- 行政單位會計實習(xí)報告(共36頁)
- 110千伏變電站工程檢測試驗項目計劃
- 《鐵路貨物運價規(guī)則》
- YD_T 3956-2021 電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范_(高清版)
- (完整版)數(shù)學(xué)常用英文詞匯
- 小學(xué)三年級下冊音樂《春天舉行音樂會》人音版(簡譜2014秋)(18張)(1)ppt課件
- 《口腔粘接材料》PPT課件.ppt
- 最新《消費者行為學(xué)》綜合練習(xí)
評論
0/150
提交評論