sonicwall防火墙中文_教程.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,SonicWALL,典型配置和问题诊断,目的：,熟悉典型客户网络环境下防火墙的配置方法,分析,LOG,及借助工具软件诊断并解决问题的方法,参加培训的要求：,掌握,SonicWALL,标准版和增强版的基本配置,熟悉,TCP/IP,协议及基本网络通信协议,通过此次培训，使参加培训的工程师能够掌握典型客户的,防护墙配置，并在发生问题时及时解决问题。,2026/1/

2、24 周六,1,典型配置案例:,1、PRO5060,在高校的应用，双,WAN,和策略路由,2、,标准版和增强版的透明模式,3、,静态,ARP,的应用，第二个网段,4、,带宽管理，,TCP Session,数管理,故障诊断:,点到点,VPN,隧道故障建立，一、二阶段协商参数,VPN,隧道,TCP,超时时间的设置,GVC NAT,穿越,何时需要分配,IP,地址,防火墙不能升级签名的诊断步骤,ARP,表更新，,IP,和,MAC,绑定，上游路由器,ARP,表不刷新问题,Ethereal,软件的使用，诊断问题。,7.,ViewPoint,配置及绑定到其它的网卡地址时如何更正,2026/1/24 周六,2

3、PRO5060,双,WAN,链路应用和策略路由,2026/1/24 周六,3,PRO5060,在高校的典型应用，双,WAN,链路+策略路由,如条件允许，还可以配置,OSPF,路由两个校园出口互为备份,2026/1/24 周六,4,学校一共有两个校区，东校区通过一台防火墙经电信出口上,Internet，,南校区有两个出口，一个是经电信出口接入,Internet，,另一个出口接入教育网。两个校区之间由专线把两个三层交换机连通，如果在三层交换和两台防火墙上启动,OSPF,路由协议，两台防火墙设备可以互为对方的备份，一台防火墙宕机，所有到互联网的出口流量可以经过专线由另外一个校园网的防火墙访问,In

4、ternet。,本例主要讲解南校区的网络配置。其中,PRO 5060 LAN,口连接一台华为的三层交换机,S8505，DMZ,连接一组服务器，为教育网提供服务。所有到服务器的流量都走教育网出口。,S8505,三层交换机下连接4个私有,IP,的网段，7个公有,IP,网段。4个私有网段只通过电信出口访问,Internet，NAT,到一个公有,IP,的地址池，7个公有,IP,网段只通过教育网出口访问教育网和互联网。本例的策略路由相对简单。,注:有些高校教育网包月不计流量,有些高校只针对指定的教育网服务器不计流量,其它到教育网的访问要按流量收费,所以策略路由的配置要视客户具体需求进行调整,是按照源,I

5、P,地址设置策略路由还是按目的地址设置策略路由,在教育网访问按流量收费的时候一定注意设置正确的默认路由,以尽量降低数据流量产生的费用.,2026/1/24 周六,5,2026/1/24 周六,6,静态路由,策略路由,默认路由,2026/1/24 周六,7,公有,IP,路由出去,私有,IP NAT,到公有,IP,地址池,2026/1/24 周六,8,PRO5060,可以修改默认的,WAN,口，这将影响默认的路由，使没有明确指定策略路由的访问均走默认路由。错误的默认路由设置可能造成不必要的计费损失，因为有些高校只针对特定的教育网服务器不按流量计费，到其它教育网的服务器按流量计费，还有的高校教育网和

6、电信出口一样包月，不按流量计费，针对客户不同的具体需求，配置相应的策略路由并选择正确的默认路由。,2026/1/24 周六,9,透明模式实现方法,二层桥透明和,ARP,代理透明,2.,SonicOS,标准版透明,3.,SonicOS,增强版透明,2026/1/24 周六,10,二层透明,设备工作在二层透明方式，设备本身不需要任何,IP,地址配置，防火墙规则照常工作，检测数据流。如果需要，也可以配置管理,IP,地址对设备进行管理。,ARP,代理透明,设备工作在3层，设备的两个端口处于同一个网段，但两个端口占用同一个,IP,地址，需要管理员指定哪些网络范围的,IP,地址在设备的某一个端口，使设备能

7、正确转发数据包到正确的端口。,SonicWALL,的,UTM,设备透明方式是,ARP,代理透明，需要在,WAN,口和,LAN,口（或,DMZ,口）占用一个,IP,地址。,2026/1/24 周六,11,SonicOS,标准版,防火墙,LAN,口和,WAN,口透明,2026/1/24 周六,12,2026/1/24 周六,13,2026/1/24 周六,14,2026/1/24 周六,15,注：透明模式并不意味着所有的业务端口都,“,透明,”,，,必须设置必要的防火墙规则以允许,WAN,到,LAN,或,WAN,到,DMZ,服务器的访问。,2026/1/24 周六,16,SonicOS,标准版,防

8、火墙,DMZ,口和,WAN,口透明,（TZ170 OPT,口默认相当于,DMZ,口）,DMZ,口可以工作在透明模式或,NAT,模式,2026/1/24 周六,17,2026/1/24 周六,18,2026/1/24 周六,19,2026/1/24 周六,20,SonicOS,增强版,透明模式配置,任意端口和,WAN,口之间都可以配置成透明模式，需要指定透明范围以使防火墙能正确转发数据包到正确的端口,2026/1/24 周六,21,2026/1/24 周六,22,2026/1/24 周六,23,2026/1/24 周六,24,SonicOS,标准版一个端口支持多个网段的两种方式,LAN Prim

9、ary IP:192.168.168.168/24,在,Network-Settings LAN Interface,配置界面加入第二个网关192.168.10.1/24,采用静态,ARP，,在一个端口增加第二个,IP,2026/1/24 周六,25,增加第二个网关，支持第二个网段,LAN Primary IP：192.168.168.168/24,Second Subnet：192.168.10.0/24,方法一,2026/1/24 周六,26,配置静态,ARP,和静态路由,，,在一个端口支持第,二个网段，视访问需求可在,Firewall-Access Rules,里添加允许到第二个网段的访

10、问规则,Network-ARP,Network-Routing,方法二,2026/1/24 周六,27,SonicOS,增强版一个端口支持多个网段,采用静态,ARP，,配置过程与标准版采用静态,ARP,支持第二个网段完全相同,不过注意静态路由的配置是在策略路由的界面配置的。详见下页。,注：在一个物理端口如,LAN,上设置两个网段，则两个网段之间由防火墙路由，访问规则不影响两个网段的通信，但是,LAN,到,DMZ,第二个网段的通信可由防火墙规则控制。,2026/1/24 周六,28,配置静态,ARP,和静态路由,，,在一个端口支持第,二个网段，视访问需求可在,Firewall-Access Ru

11、les,里添加允许到第二个网段的访问规则,Network-ARP,Network-Routing,2026/1/24 周六,29,带宽管理和,TCP Session,数限制,2026/1/24 周六,30,必须在,WAN,口设置进出的带宽参数，否则在防火墙的规则里不会出现带宽管理的界面,2026/1/24 周六,31,2026/1/24 周六,32,2026/1/24 周六,33,2026/1/24 周六,34,故障诊断,2026/1/24 周六,35,点到点,VPN,隧道故障建立，一、二阶段协商参数,PRO4060 VPN Policy,2026/1/24 周六,36,TZ150W VPN

12、Policy，,故意设置与对端不同,2026/1/24 周六,37,NO_PROPOSAL_CHOSEN,是指参数不匹配,2026/1/24 周六,38,NO_PROPOSAL_CHOSEN,是指参数不匹配,2026/1/24 周六,39,PRO4060 Shared Secret,2026/1/24 周六,40,PRO4060 Log PAYLOAD_MALFORMED,表示共享密钥不匹配，网络故障导致,VPN,隧道,断开，如果隧道两端,VPN,设备采用的,DPD,不是,一个标准，重新协商时也可能出现此错误,2026/1/24 周六,41,TCP,超时时间的设置，,TCP Setting,和

13、防火墙规则设置,此参数只影响新创建的防火墙规则，修改此参数之前,创建的规则的,TCP,超时参数不受此参数影响。,2026/1/24 周六,42,有些应用如,Oracle,客户端，,ERP,系统等通过,VPN,隧道访问服务器，默认的,TCP,超时时间一定要修改，否则这些系统可能会产生问题，如有的,ERP,系统在有中间设备断开,TCP,连接后，会延迟30分钟才允许客户端再次建立连接,2026/1/24 周六,43,有些应用如,Oracle,客户端，,ERP,系统等通过,VPN,隧道访问服务器，默认的,TCP,超时时间一定要修改，否则这些系统可能会产生问题，如有的,ERP,系统在有中间设备断开,TC

14、P,连接后，会延迟30分钟才允许客户端再次建立连接,2026/1/24 周六,44,GVC NAT,穿越,何时需要分配,IP,地址,当服务器的默认网关指向另外一个路由器，通过专线联接互联网，,而不指向,SonicWALL,防火墙设备时，一定要分配,IP,地址给,GVC，,以免除路由问题。,由于各个网络设备厂家的,NAT,设备在对,IPSec,VPN,的支持不尽相同，有些支持,IPSec,Pass Through,有些不支持。经过不支持,IPSec,Pass Through,的,NAT,设备建立,IPSec,VPN,隧道，必须采用,NAT,穿越技术。,SonicWALL,GVC,自动检测沿途设备

15、是否支持,IPSec,，,如果需要，自动启动,NAT,穿越，但是有些设备的,IPSec,pass,throug,不稳定，有些支持,IPSec,的,NAT,设备反而不能正确处理,NAT,穿越数据，需要在,SonicWALL,GVC,上禁止,NAT,穿越参数。,2026/1/24 周六,45,有些支持,IPSec,的,NAT,设备不能正确处理,NAT,穿越数据，需要在,SonicWALL,GVC,上禁止,NAT,穿越参数，常见的问题是客户端不能从防火墙通过,DHCP,获取,IP,地址，,GVC LOG,提示信号灯超时(,semaphore Timeout),修改此参数大部分情况可解决问题,。,20

16、26/1/24 周六,46,防火墙不能升级签名的诊断步骤,1.确认,LAN PC,能通过防火墙,WAN,口访问互联网,2.,确认防火墙,System-Diagnostics,里的,DNS,解析能解析,licensemanager,.,sonicwall,.com,3.,防火墙通过,HTTPS,直接访问,licensemanager,.,sonicwall,.com，,不能经过代理服务器.,4.,确认没有防火墙规则禁止,LAN Primary IP,访问,Internet.,5.,确认防护墙里的系统时间正确。如果系统时间不正确，可导致访问,Licensemanager,超时.,6.,如果还有问题

17、可以在,WAN,口上抓包，以帮助诊断问题。,2026/1/24 周六,47,IP,和,MAC,绑定,SonicWALL,SonicOS,3.0,以上操作系统支持,IP,到,MAC,地址的绑定,gon,功能。,在,Network-ARP,界面配置,所有设备支持300个,IP,地址到,MAC,地址的绑定。,2026/1/24 周六,48,ARP,表更新，上游路由器,ARP,表不刷新问题,SonicWALL,设备在加电后会广播,ARP,信息，包括其,WAN,口,IP，,一对一映射的公网,IP，IP,地址池的,IP,等等，使上游路由器更新其,ARP,表，正确转发数据到防火墙,WAN,口的,MAC,地

18、址，有些情况下，上游路由器不刷新其,ARP,表，导致问题，要电话联系电信网管强行刷新上游路由器的,ARP,表，因为,SonicWALL,已经广播了,ARP,信息。有些,VDSL/ADSL,运营商会自动绑定第一次上网的设备的,MAC,地址，更换,ADSL/VDSL,设备是要运营商更新,ARP,表。,2026/1/24 周六,49,Ethereal,软件的使用，诊断问题。,在,Capture,菜单选择,Start,2026/1/24 周六,50,选择要抓包,的网卡,选择时时更新,和自动滚屏,2026/1/24 周六,51,察看各层详细信息直至某一个,Bit,诊断问题很有帮助,2026/1/24 周

19、六,52,ViewPoint,配置及绑定到其它的网卡地址时如何更正,安装,ViewPoint,软件时，如果计算机上有多块物理网卡或者有,VPN,虚拟网卡，可能导致,ViewPoint,服务绑定道错误的网卡上，其表现是防火墙把,ViewPoint,数据送到,ViewPoint,服务器的,IP,地址，但是,ViewPoint,软件始终收不到任何数据,。,2026/1/24 周六,53,解决方法：修改,c:,sgmsConfig,.xml,文件中的,Scheduler.,ipAddress,参数，设置正确的,IP,地址，然后重启,ViewPoint,服务,2026/1/24 周六,54,在系统控制面板里找到服务，重启以,SNWL,ViewPoint,开始的四个,ViewPoint,服务,2026/1/24 周六,55,