SonicWALLNSAUTM產(chǎn)品高級技術(shù)培訓(xùn)學(xué)生手冊版本5.5.0目錄SonicWALLNSAUTM高級技術(shù)培訓(xùn)的課程說明1.1課程目的1.2培訓(xùn)適用范圍1.3參加培訓(xùn)人員要求SonicWALLNSAUTM產(chǎn)品線簡介2.1SonicWALLNSAUTM產(chǎn)品線:TZ,NSA，NSAE-Class2.2NSAUTM產(chǎn)品的主要功能和特點2.3SonicWALL的軟件產(chǎn)品簡介2.4SonicWALL的增值服務(wù)產(chǎn)品的注冊3.1SonicWALL注冊網(wǎng)站簡介3.2注冊SonicWALL產(chǎn)品的步驟3.3離線注冊3.4在線注冊SonicWALLNSAUTM防火墻規(guī)則的配置4.1防火墻默認規(guī)則說明4.2防火墻規(guī)則配置舉例4.3防火墻默認的NAT策略說明4.4SonicWALL防火墻發(fā)布服務(wù)器的基本配置第五章SonicWALLNSAUTM防火墻VPN的配置5.1SonicWALLUTM

防火墻VPN功能介紹5.2IPSecVPN的配置5.2.1主模式的IPSecVPN隧道的配置野蠻模式的IPSecVPN隧道的配置5.2.3移動用戶的IPSecVPN隧道的配置5.3SSLVPN的配置第六章UTM的配置6.1GAV的配置6.2IPS的配置6.3Anti-Spyware的配置6.4GAV/IPS配置技巧，限制部分用戶的IM或P2P第七章SonicWALLNSAUTM防火墻的高級配置7.1在網(wǎng)通和電信的雙線路上發(fā)布服務(wù)器，而且服務(wù)器地址和端口互聯(lián)地址不在一個網(wǎng)段上7.2多WAN鏈路的負載均衡功能7.3L2BridgeMode的配置（如OSPF透傳）7.4防火墻的帶寬管理7.5HighAvailability7.6ApplicationFirewall過濾關(guān)鍵字上傳7.7VPN備份專線的應(yīng)用第八章故障診斷和抓包分析8.1防火墻中抓包工具的使用8.2抓包軟件Wireshark的使用技巧和分析方法SonicWALLNSAUTM高級技術(shù)培訓(xùn)的課程說明課程目的SonicWALL高級技術(shù)培訓(xùn)的目的使參加培訓(xùn)的學(xué)員能夠掌握SonicWALLNSAUTM產(chǎn)品的主要功能，針對國內(nèi)典型客戶部署，能夠獨立地完成安裝和調(diào)試工作。對比較復(fù)雜的大型企業(yè)的網(wǎng)絡(luò)環(huán)境，能夠正確地配置UTM設(shè)備，實現(xiàn)客戶的功能需求。對客戶現(xiàn)場遇到的問題，可以通過設(shè)備中的診斷工具和第三方的抓包軟件，分析數(shù)據(jù)流，實現(xiàn)快速地診斷問題，解決問題，提高客戶的滿意度。同時參加培訓(xùn)的學(xué)員可以為合作伙伴提供初級的SonicWALLNSAUTM產(chǎn)品的技術(shù)培訓(xùn)。培訓(xùn)適用范圍分銷商的售前和售后工程師系統(tǒng)集成商的售前和售后工程師各單位的網(wǎng)絡(luò)管理人員參加培訓(xùn)人員要求SonicWALL高級技術(shù)培訓(xùn)針對具有SonicWALLUTM防火墻的基本安裝調(diào)試經(jīng)驗的工程師，包括調(diào)試過SonicWALL第四代PRO系列產(chǎn)品的經(jīng)驗人員。不熟悉SonicWALL

產(chǎn)品，但是對其它品牌的防火墻具有安裝和調(diào)試經(jīng)驗的，完成SonicWALL高級培訓(xùn)課程也沒有技術(shù)障礙。學(xué)員掌握基本的網(wǎng)絡(luò)知識，如二層，三層和四層的基本數(shù)據(jù)包結(jié)構(gòu)，能夠通過抓包軟件分析二層到四層的數(shù)據(jù)包，對完成故障診斷很有幫助。SonicWALLNSAUTM產(chǎn)品線簡介SonicWALLNSAUTM產(chǎn)品線:TZ系列,NSA系列，NSAE-Class系列SonicWALL公司成立于1991年，1999年在NASDAQ上市，專注于網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和銷售工作。2003年，SonicWALL推出基于Intel+ASIC架構(gòu)的PRO系列UTM產(chǎn)品，從最小型的桌面型產(chǎn)品到高端的千兆級流量的UTM產(chǎn)品，適合不同規(guī)模的企業(yè)應(yīng)用。2007年底，SonicWALL的UTM產(chǎn)品實現(xiàn)了革命性的硬件平臺升級，推出基于多核技術(shù)的UTM千兆級產(chǎn)品NSAE7500,到2009年，推出了從小型桌面型到開啟全部UTM功能仍然保持千兆以上處理速度基于多核技術(shù)的整條產(chǎn)品線。對流量大的企業(yè)和高校環(huán)境，依然可以開啟深度檢測的全部功能，而確保網(wǎng)絡(luò)的處理速度沒有明顯的下降。SonicWALL的深度包檢測引擎徹底突破了基于緩存技術(shù)的UTM產(chǎn)品的技術(shù)瓶頸，對同時掃描的文件個數(shù)和單個文件的大小沒有任何限制，因此不存在設(shè)備的緩存空間滿了之后的漏掃或者網(wǎng)絡(luò)訪問中斷的問題。SonicWALL深度包檢測引擎于2007年12月獲得美國專利，專利號：U.S.Patent7,310,815D-ASonicWALL最新的基于多核專用芯片的UTM產(chǎn)品分三個產(chǎn)品系列，TZZ系列,NSA系列和NSAE-Class系列TZ系列產(chǎn)品TZ系列包括TZ100,TZ100W,TZ200,TZ200W,TZ210,TZ210W等六款產(chǎn)品SonicWALLTZ系列的每一款設(shè)備都有帶802.11n無線的硬件版本。無線版本和有線版本的功能和性能參數(shù)相同，只是增加了802.11b/g/n的無線支持，詳細的技術(shù)參數(shù)見下面的表格SonicWALLTZ系列的每一款設(shè)備都有帶802.11n無線的硬件版本。無線版本和有線版本的功能和性能參數(shù)相同，只是增加了802.11b/g/n的無線支持，詳細的技術(shù)參數(shù)見下面的表格TZ100產(chǎn)品前面和背面照片如下：產(chǎn)品參數(shù)業(yè)界領(lǐng)先的UTM性能25MbpsUTM吞吐量75MbpsVPN吞吐量6,000并發(fā)連接1,000新建連接/秒無限制節(jié)點(5)10/100接口(端口隔離功能)干凈的SSL-VPN(贈送一個,最大5)TZ100W產(chǎn)品前面和背面照片如下：產(chǎn)品參數(shù)業(yè)界領(lǐng)先的UTM性能25MbpsUTM吞吐量75MbpsVPN吞吐量6,000并發(fā)連接1,000新建連接/秒無限制節(jié)點(5)10/100接口(端口隔離功能)干凈的802.11b/g/n干凈的SSL-VPN(贈送一個,最大5)反垃圾郵件(中文暫不支持)TZ200產(chǎn)品前面和背面照片如下：產(chǎn)品參數(shù)USB口的3G和AnalogModem故障切換領(lǐng)先的性能35MbpsUTM吞吐量75MbpsVPN吞吐量8,000并發(fā)連接1,000新建連接/秒(5)10/100以太端口(帶端口隔離)干凈的SSL-VPN(1bundled,10maximum)動態(tài)路由反垃圾郵件(中文暫不支持)TZ200W產(chǎn)品前面和背面照片如下：產(chǎn)品參數(shù)USB口的3G和AnalogModem故障切換領(lǐng)先的性能35MbpsUTM吞吐量75MbpsVPN吞吐量8,000并發(fā)連接1,000新建連接/秒(5)10/100以太端口(帶端口隔離)干凈的無線802.11b/g/n干凈的SSL-VPN(1bundled,10maximum)動態(tài)路由反垃圾郵件(中文暫不支持)TZ210產(chǎn)品前面和背面照片如下：產(chǎn)品參數(shù)1個1GbpsWAN和1個1GbpsLAN接口，5個10/100Mbps自定義端口應(yīng)用層防火墻雙USB口,支持3G/Modem故障切換干凈的SSL-VPN(贈送2個授權(quán),最大支持10個SSLVPN用戶)同類產(chǎn)品中無比的性能:50MbpsUTM75MbpsVPN10,000并發(fā)連接1,500新建連接/秒反垃圾郵件(中文暫不支持)TZ210W產(chǎn)品前面和背面照片如下：產(chǎn)品參數(shù)1個GE千兆WAN和1個GE千兆LAN接口，5個10/100Mbps自定義端口應(yīng)用層防火墻干凈的802.11n無線,3x2MIMO雙USB口,支持3G/Modem故障切換干凈的SSL-VPN(贈送2個授權(quán),最大支持10個SSLVPN用戶)同類產(chǎn)品中無比的性能:50MbpsUTM75MbpsVPN10,000并發(fā)連接1,500新建連接/秒反垃圾郵件(中文暫不支持)NSA系列包括NSA240,NSA2400,NSA3500,NSA4500,NSA5000等五款產(chǎn)品SonicWALLNSA系列從2核的NSA240到8核的NSA5000，共五款產(chǎn)品，均為6個千兆端口。SonicWALLNSA系列從2核的NSA240到8核的NSA5000，共五款產(chǎn)品，均為6個千兆端口。注意的就是NSA240是桌面型的產(chǎn)品，不是19寸機架式的產(chǎn)品。NSA240,NSA2400,NSA3500HA如果需要全狀態(tài)切換，需要購買License.NSA4500,NSA5000HA的全狀態(tài)切換無需單獨夠買License。NSA240產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)3個GE千兆端口+6個10/100Mbps電口，2個USB，PC卡插槽（可選3G/模擬調(diào)制解調(diào)器），1個Console口，干凈的SSL-VPN(贈送2個授權(quán),最大支持15個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送2個授權(quán)，最大支持25個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)25/50*同類產(chǎn)品中無比的性能:110MbpsUTM(狀態(tài)檢測600Mbps,網(wǎng)關(guān)殺毒115Mbps,IPS195Mbps)150MbpsVPN(3DES/AES)25,000/35,000*并發(fā)連接2,000新建連接/秒應(yīng)用層防火墻反垃圾郵件(中文暫不支持)*(需要額外的License授權(quán))NSA2400產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)（6個）10/100/1000自適應(yīng)電口，1個Console接口，2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持25個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送10個授權(quán)，最大支持250個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)75同類產(chǎn)品中無比的性能:150MbpsUTM(狀態(tài)檢測775Mbps,網(wǎng)關(guān)殺毒160Mbps,IPS275Mbps)300MbpsVPN(3DES/AES)48,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)NSA3500產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)（6個）10/100/1000自適應(yīng)電口，1個Console接口，2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持30個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送50個授權(quán)，最大支持1000個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)800同類產(chǎn)品中無比的性能:240MbpsUTM(狀態(tài)檢測1.5Gbps,網(wǎng)關(guān)殺毒350Mbps,IPS750Mbps)625MbpsVPN(3DES/AES)128,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)NSA4500產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)（6個）10/100/1000自適應(yīng)電口，1個Console接口，2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持30個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送500個授權(quán)，最大支持3000個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)1500同類產(chǎn)品中無比的性能:600MbpsUTM(狀態(tài)檢測2.75Gbps,網(wǎng)關(guān)殺毒690Mbps,IPS1.4Gbps)1.0GbpsVPN(3DES/AES)450,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)NSA5000產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)（6個）10/100/1000自適應(yīng)電口，1個Console接口，2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持30個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送1000個授權(quán)，最大支持3500個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)2,500同類產(chǎn)品中無比的性能:800MbpsUTM(狀態(tài)檢測3.5Gbps,網(wǎng)關(guān)殺毒800Mbps,IPS1.7Gbps)1.5GbpsVPN(3DES/AES)600,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)NSA系列包括NSA5500,NSA6500,NSA7500等三款產(chǎn)品SonicWALLSonicWALLNSAE-Class均為8個千兆端口，其中NSAE5500是8核專用處理器，NSAE6500和NSAE7500均為16核專用處理器。NSA5500產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)（8個）10/100/1000自適應(yīng)電口、1個GEHA接口、1個Console接口、2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持50個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送2000個授權(quán)，最大支持4000個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)4000同類產(chǎn)品中無比的性能:850MbpsUTM(狀態(tài)檢測3.9Gbps,網(wǎng)關(guān)殺毒1.0Gbps,IPS2.0Gbps)1.7GbpsVPN(3DES/AES)700,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)NSA6500產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)（8個）10/100/1000自適應(yīng)電口、1個GEHA接口、1個Console接口、2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持50個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送2000個授權(quán)，最大支持6000個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)6000同類產(chǎn)品中無比的性能:1.59GbpsUTM(狀態(tài)檢測5.0Gbps,網(wǎng)關(guān)殺毒1.69Gbps,IPS2.03Gbps)2.7GbpsVPN(3DES/AES)750,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)NSA7500產(chǎn)品前面和背面照片如下產(chǎn)品參數(shù)4個千兆以太網(wǎng)電口、4個SFP插槽、1個GEHA接口、1個Console接口、2個USB（備用）干凈的SSL-VPN(贈送2個授權(quán),最大支持50個SSLVPN用戶)IPSecVPN客戶端授權(quán)（贈送2,500個授權(quán)，最大支持10,000個IPSecVPN移動用戶）Site-2-SiteVPN隧道數(shù)10,000同類產(chǎn)品中無比的性能:1.7GbpsUTM(狀態(tài)檢測5.6Gbps,網(wǎng)關(guān)殺毒1.84Gbps,IPS2.58Gbps)3.0GbpsVPN(3DES/AES)1,000,000并發(fā)連接應(yīng)用層防火墻反垃圾郵件(中文暫不支持)SonicWALLNSAUTM產(chǎn)品的主要功能和特點SonicWALL深度包檢測引擎獲得美國專利，專利號：U.S.Patent7,310,815D-A無需對掃描的文件和內(nèi)容進行重組，因此SonicWALLUTM產(chǎn)品沒有掃描的文件大小和同時掃描的文件數(shù)目的限制，每一個經(jīng)過SonicWALLUTM設(shè)備的數(shù)據(jù)包都會經(jīng)過深度包檢測而不會漏過一個數(shù)據(jù)包，傳統(tǒng)的基于緩存和重組的UTM設(shè)備，內(nèi)存中的緩存空間滿了，會造成后續(xù)流量不能掃描，造成安全威脅直接透過UTM設(shè)備，或者丟棄不能掃描的數(shù)據(jù)，造成斷網(wǎng)。SonicWALL的免重組深度包檢測引擎徹底解決了這個問題。有效地防止病毒，入侵及間諜軟件從Internet進入內(nèi)部網(wǎng)絡(luò)或在內(nèi)部各個部門之間傳播“干凈的VPN”功能，防止病毒，入侵等安全威脅透過VPN隧道在企業(yè)分支和總部之間傳播控制MSN，QQ，BT，eMule等應(yīng)用，提高生產(chǎn)率應(yīng)用層防火墻可以控制不同下載文件類型的網(wǎng)絡(luò)帶寬,如MP3,rmvb格式文件下載限制SonicWALL的軟件產(chǎn)品簡介SonicWALL圖形化日志報表軟件，可以使管理員看到網(wǎng)絡(luò)的運行狀況，帶寬的使用，IP訪問記錄檢索，防火墻阻擋掉的病毒，入侵等安全威脅的排名SonicWALL圖形化日志報表軟件，可以使管理員看到網(wǎng)絡(luò)的運行狀況，帶寬的使用，IP訪問記錄檢索，防火墻阻擋掉的病毒，入侵等安全威脅的排名等等SonicWALL專用的網(wǎng)管軟件，可以集中管理SonicWALL所有的產(chǎn)品，產(chǎn)生日志報表等。即GMS軟件包含Viewpoint日志報表軟件的全部功能，外加管理功能。SonicWALL專用的網(wǎng)管軟件，可以集中管理SonicWALL所有的產(chǎn)品，產(chǎn)生日志報表等。即GMS軟件包含Viewpoint日志報表軟件的全部功能，外加管理功能。SonicWALLIPSecVPN客戶端軟件，支持策略自動下發(fā)，使用起來非常簡單。用戶只需要知道自己的賬號或證書，VPN網(wǎng)關(guān)上的安全策略會自動下發(fā)到客戶端，減少IT管理人員的維護工作。SonicWALLSonicWALLIPSecVPN客戶端軟件，支持策略自動下發(fā)，使用起來非常簡單。用戶只需要知道自己的賬號或證書，VPN網(wǎng)關(guān)上的安全策略會自動下發(fā)到客戶端，減少IT管理人員的維護工作。SonicWALL的網(wǎng)關(guān)殺毒，IPS，間諜軟件掃描功能默認情況下每個小時自動從SonicWALL后臺數(shù)據(jù)庫同步病毒，入侵和間諜軟件的簽名。該服務(wù)需按年訂購SonicWALL的增值服務(wù)SonicWALL打包的服務(wù)，目的在于同時購買多個服務(wù)的情況下，為客戶節(jié)省整體成本。包括網(wǎng)關(guān)殺毒，IPS，間諜軟件掃描，內(nèi)容過濾，Viewpoint報表軟件，24SonicWALL打包的服務(wù)，目的在于同時購買多個服務(wù)的情況下，為客戶節(jié)省整體成本。包括網(wǎng)關(guān)殺毒，IPS，間諜軟件掃描，內(nèi)容過濾，Viewpoint報表軟件，24×7的支持服務(wù)等等。24×7的支持服務(wù)包含快速的故障硬件替換和軟件升級服務(wù)以及廠商的技術(shù)支持。該服務(wù)是按年訂購。SonicWALL的支持服務(wù)包括軟件升級服務(wù)，8SonicWALL的支持服務(wù)包括軟件升級服務(wù)，8×5服務(wù)以及24×7服務(wù)等。服務(wù)需要按年訂購。SonicWALL產(chǎn)品的注冊SonicWALL注冊網(wǎng)站簡介SonicWALLNSAUTM產(chǎn)品必須注冊，從SonicWALL的后臺服務(wù)器同步到各種服務(wù)的License,才能使用深度包檢測的功能和移動用戶的IPSecVPN客戶端連接。沒有注冊的產(chǎn)品，不能在管理界面里直接升級軟件。產(chǎn)品注冊到網(wǎng)站之后，管理員可以在網(wǎng)站里下載新版本的軟件（看服務(wù)有效期），看到各種服務(wù)的有效期限，包括硬件質(zhì)保的期限，激活購買的各種服務(wù)的激活Key等等。訪問要采用HTTPS加密的方式訪問，確保用戶信息安全。注冊SonicWALL產(chǎn)品的步驟先訪問網(wǎng)站，如果沒有一個賬戶，注冊申請一個賬戶，過程和申請一個免費的郵箱類似，注冊過程一定要填寫一個合法的郵件地址，注冊后系統(tǒng)會發(fā)送一個確認郵件給注冊時用的郵箱，里面包含一個激活注冊帳戶的SubscriptionCode（一串數(shù)字和字母的組合）如果沒有賬戶，點最下面的Notaregistereduser?連接，到如下界面：填寫注冊信息點Register按鈕確認后，再點Submit按鈕，提交注冊申請去查你的郵箱，找到確認郵件收到確認郵件后，再次回到網(wǎng)站，輸入你申請賬戶時的郵件地址作為用戶名，自己申請帳戶時設(shè)置的帳戶密碼，進入注冊網(wǎng)站，在下面的網(wǎng)頁里，把SubscriptionCode填寫進入SubscriptionCode的空格區(qū)域，點Continue，激活賬戶。進入激活的賬戶，新的賬戶里沒有任何的產(chǎn)品注冊。如下圖所示。把產(chǎn)品注冊入這個網(wǎng)站。注冊產(chǎn)品需要這個設(shè)備的序列號(SerialNunber)和認證碼（AuthenticationCode），在SonicWALLNSAUTM產(chǎn)品的序列號和認證碼在設(shè)備的標簽上有標注。設(shè)備的管理界面System->Status里可以看到同樣的信息。離線注冊產(chǎn)品，REGISTERAPRODUCT如果設(shè)備不允許訪問Internet，只要你有設(shè)備的序列號和認證碼，你可以離線注冊你的設(shè)備?？梢栽谧缘木W(wǎng)站里把LicenseKeySet復(fù)制，粘貼到設(shè)備的LicenseSet的輸入界面，完成設(shè)備的離線注冊。離線注冊的過程如下：在登錄網(wǎng)站之后，在EnterActivationKeyorSerialnumber的輸入框，輸入設(shè)備的序列號，點Next，按鈕輸入一個友好的名字，在你的賬戶你，你可以很方便地記得這個設(shè)備是安裝在哪里的哪個型號的設(shè)備等。我輸入的是TZ200W@SonicWALLBJOffice,再輸入AuthenticationCode,點Register按鈕，完成產(chǎn)品的注冊。注冊后，網(wǎng)站里顯示如下的信息點softwareandfirmwareupdates,可以到達下載軟件的界面點擊任何一個服務(wù)后面對應(yīng)的EnterKey,例如Softwareandfirmwareupdates,輸入激活KEY，點Submit,可以激活購買的對應(yīng)的服務(wù)。離線注冊后，一個全新的設(shè)備里顯示設(shè)備還是沒有注冊。在mysonicwall注冊賬戶里的MyProducts->ProductsManagement界面，找到注冊的設(shè)備的序列號或友好名，點該友好名（或者設(shè)備的序列號），進入設(shè)備的服務(wù)管理界面服務(wù)管理界面“AddLicensesmanuallytoyourfirewall”ViewLicenseKeyset,點ViewLicenseKeyset的超鏈接，看到設(shè)備的LicenseKeyset，全選這些字符，點鼠標右鍵，點Copy,把LicenseKeyset拷貝下來。在設(shè)備的System->Licenses界面的ManualUpgrade部分的大的LicenseKetset輸入放框，輸入LicenseKeyset,點Submit,完成License的手工導(dǎo)入工作。如果有網(wǎng)關(guān)殺毒，IPS，間諜軟件掃描等，可以在能上Internet的PC上，從mysonicwall的網(wǎng)站里先下載簽名。登錄M之后，在Downloads->DownloadsSignatures的界面，右邊選擇SignatureID(2或3代表不同的產(chǎn)品系列)，選擇正確的適合你的設(shè)備的SignatureID，再點下面的ClickheretodownloadtheSignatureFile,下載簽名庫。然后在設(shè)備管理界面的SecurityServices->Summary界面的最下面，點ImportSignatures,收工導(dǎo)入簽名。注意：離線注冊的目的就是在封閉環(huán)境，不允許設(shè)備登錄Internet的情況下，我們采取的一個方法。SonicWALLUTM在線注冊的過程：用戶拿到一個全新的SonicWALLUTM設(shè)備后，直接登錄設(shè)備的管理界面，一次就可以完成全部的注冊過程。SonicWALLUTM設(shè)備的X0(LAN)默認的IP地址是68，68,用戶名：admin,密碼：password,就可以登錄設(shè)備的管理界面進行管理和注冊工作。過程如下：68,admin,password,進入設(shè)備的管理界面配置LAN，WAN的IP地址，DNS，使設(shè)備能夠訪問Internet。Network->Interface界面，點WAN的Configure圓形的“配置”按鈕，配置WAN的IP和DNS在System->Status界面，點Register,按照屏幕的提示，一步一步完成產(chǎn)品的注冊過程。界面右邊的紅色的字“YourSonicWALLisnotregistered”提示用戶的設(shè)備還沒有注冊，點下一行的藍色的Register的超鏈接，按照提示完成注冊的過程。如果設(shè)備在網(wǎng)站里離線注冊過，完成設(shè)備的注冊可以采用同樣的過程。輸入的賬號名和密碼，點Submit,提交注冊根據(jù)提示試用各個服務(wù)或者不試用各個服務(wù)，最后到達如下的界面，給設(shè)備起個友好的名字，填寫代理上的信息（可選），點Submit,提交完成注冊設(shè)備里的各個License的狀況如下，至此，注冊設(shè)備完成。你可以在這個License界面激活任何購買的服務(wù)KEY。點對應(yīng)的服務(wù)的Active的超鏈接就可以了。SonicWALLNSAUTM防火墻規(guī)則的配置4.1防火墻默認規(guī)則說明防火墻的基本功能就是實現(xiàn)對于內(nèi)外網(wǎng)之間的訪問控制，和路由器及交換機產(chǎn)品類似，防火墻也使用一種策略的規(guī)則來實現(xiàn)管理，這也是一種ACL（AccessControlList）。防火墻規(guī)則是由5個部分組成，源地址、源端口、目的地址、目的端口、執(zhí)行動作來決定。SonicWALLＮＳＡ系列產(chǎn)品都是采用基于對象的控制方式，通過定義不同的對象，然后把它們組合到一條策略中，來實現(xiàn)訪問規(guī)則的配置。防火墻規(guī)則能夠控制到單向訪問，配置防火墻策略，首先需要判定訪問方向，如果方向不對，就會出現(xiàn)配置好的策略不起作用，或根本無法達到應(yīng)有的目的等情況。訪問方向的是按照發(fā)起方來進行判定的，如從內(nèi)網(wǎng)訪問外網(wǎng)的WEB網(wǎng)站，就屬于從內(nèi)網(wǎng)訪問外網(wǎng)方向（LAN->WAN）。不同方向的訪問規(guī)則不會相互干擾。常見的防火墻策略的方向分為從外網(wǎng)（ＷＡＮ）到內(nèi)網(wǎng)（ＬＡＮ），從內(nèi)網(wǎng)到外網(wǎng)，從內(nèi)網(wǎng)到ＤＭＺ，從ＤＭＺ到內(nèi)網(wǎng)，從ＤＭＺ到外網(wǎng)，從外網(wǎng)到ＤＭＺ等幾種。最常用的就是從內(nèi)網(wǎng)（ＬＡＮ）到外網(wǎng)（ＷＡＮ）的策略配置，因為要控制內(nèi)網(wǎng)的用戶到外網(wǎng)的訪問。在配置幾條策略在一個訪問方向的時候，需要注意到是策略的排列，防火墻產(chǎn)品對于策略的匹配是有規(guī)則的，上面的規(guī)則優(yōu)先于下面的規(guī)則，（上面是指在規(guī)則界面中排在上方的規(guī)則），當防火墻進行策略匹配時，一旦查詢到一條匹配規(guī)則，防火墻將停止向下查詢。如果同時需要做幾個規(guī)則，需要考慮這幾條規(guī)則的邏輯關(guān)系。SonicWALLNSA產(chǎn)品在出廠默認情況下，規(guī)則是從安全級別高的區(qū)域，如內(nèi)網(wǎng)（LAN）到所有安全級別低的區(qū)域-------如外網(wǎng)（WAN）和DMZ--------是允許訪問的，而從安全級別低的區(qū)域到安全級別高的區(qū)域，是禁止訪問的。SonicWALLUTM防火墻是基于對象管理的，防火墻規(guī)則是在各個安全區(qū)域之間定義的。只要把一個物理端口劃分到一個安全區(qū)域，在防火墻的Firewall->AccessRules界面就可以定制各個區(qū)域之間的安全規(guī)則。默認情況下，SonicWALL防火墻會自動產(chǎn)生各個安全區(qū)域之間的默認規(guī)則，用戶可以自己刪除，修改默認規(guī)則，也可以增加自定義的其它規(guī)則。下面的一個例子是TZ200W防火墻的配置舉例。一個LAN安全區(qū)域（X0，X5），一個WAN區(qū)域（包含X1,X2,X3三個端口）,一個DMZ安全區(qū)域（包含X4，X6）,一個WLAN安全區(qū)域（W0無線端口）。一個安全區(qū)域包含哪些端口，可以在Network->PortShieldGroups界面配置。在Network->PortShieldGroup界面，可以配置X2到X6口的用途，也就是對X2到X6口進行分組，一組端口相當于在一個L2交換上連接。X2到X6口的任意一個端口即可單獨做為一個獨立的三層端口使用，也可以配置成PortShield到X0LAN或者任何的DMZ的端口。PortShield的含義是把幾個端口放在一個L2的交換機上。下面的例子是X5PortShield到X0口，就是X5和X0在一個L2交換機上，以X0口IP作為默認的網(wǎng)關(guān)，X1,X2,X3是三個獨立的端口（在Network->Interfaces界面分別配置到WAN的安全區(qū)域），X4是獨立的端口（在Network->Interfaces界面配置到DMZ的安全區(qū)域），X6端口Portshield到X4端口，就是X6和X4口在一個L2交換機上，以X4口IP作為默認網(wǎng)關(guān)。從上面的圖中可以看出，雖然X5口PortShield到X0口，X6口PortShield到X4口，但是X5，X6口本身不出現(xiàn)在Network->Interfaces的界面，他們相當于是X0口和X4口分別連接L2交換機擴展出來的端口。按照如上的端口配置，防火墻的默認的AccessRules界面如下。各個安全區(qū)域的可信度排列如下，LAN是最可信的區(qū)域，WLAN次之，DMZ排在其后，WAN最不可信。VPN和SSLVPN的安全區(qū)域與其它安全區(qū)域之間的訪問規(guī)則，是在配置了VPN隧道后，防火墻在VPN隧道上的訪問控制規(guī)則。只有配置VPN的應(yīng)用才有意義。默認情況下，從可信級高的安全區(qū)域到可信級別低的安全區(qū)域，是允許訪問的，如LAN->WAN,LAN->DMZ,LAN->WLAN，默認都是允許任意端口的訪問，反之，WAN->LAN,DMZ->LAN,WLAN->LAN都是禁止任意端口。LAN->WAN的默認規(guī)則，全部允許默認規(guī)則可以刪除，修改WAN->LAN，默認規(guī)則，全部禁止，就是默認情況下，WAN不能訪問LAN的任何IP的任何端口，如果需要發(fā)布服務(wù)器，從WAN上訪問位于LAN的服務(wù)器，必須增加WAN->LAN的允許的規(guī)則，同時如果服務(wù)器本身是私有IP地址，必須配置相應(yīng)的NAT策略。4.2防火墻規(guī)則配置舉例下面以一個實例來說明防火墻策略配置的方法：如圖所示，某單位有很多不同網(wǎng)段和用戶，每個網(wǎng)段的用戶網(wǎng)絡(luò)訪問是不同的，需要在設(shè)備上做策略，需要下面幾個步驟：定義地址對象，針對不同的用戶進行控制，必須要把用戶的地址首先輸入到防火墻的地址對象中，然后才能在策略編輯中使用。地址對象編輯在Network->AddressObjects里面點擊AddressObjects下面的Add按鈕，在彈出的對話框中輸入地址，如主機00然后按Add完成再輸入需要控制的其它地址，如10，20輸入網(wǎng)絡(luò)地址對象192.168.1.X,注意對象的類型和Network,不是Host按照同樣的方式輸入另外的網(wǎng)絡(luò)地址192.168.2.X，結(jié)果如下圖所示：完成地址輸入后，可以進行策略配置。3.點擊Firewall->AccessRules里面的從LAN->WAN，進入到策略詳細列表在詳細列表中，有一個默認的規(guī)則是允許所有訪問的規(guī)則。點擊Add按鈕，根據(jù)自己的需求添加規(guī)則。首先我們需要定義的是針對00地址的訪問策略，這個地址只能使用FTP，其它全部禁止，所以添加兩條策略，一條是允許FTP訪問，另外一條是禁止所有訪問下一條是禁止策略類似的添加關(guān)于192.168.110的策略和20的訪問控制注意：由于針對Email的服務(wù)有兩種，分別是發(fā)送Email（SMTP）和接收（POP3），所以要添加兩種不同的服務(wù)，最后的結(jié)果如下圖所示：注意：SonicWALL的產(chǎn)品是有自動排序功能的，當你添加一條策略之后，系統(tǒng)會自動把它放到相應(yīng)的位置，如果你想手動進行排序，點擊策略編號前面的6.然后添加針對網(wǎng)段的策略，為了減少看到的策略數(shù)目，我們這次使用組來進行控制，你可以定義地址組（addressGroup）和服務(wù)組（serviceGroup），然后再策略中使用這些組?，F(xiàn)在我們定義服務(wù)組：選擇Firewall->services,并在上面選customservice,因為sonicWALL產(chǎn)品有大量的預(yù)定義服務(wù)和組，這樣可以過濾那些不需要關(guān)注的對象點擊AddGroup按鈕自己起一個服務(wù)組的名字，本例為MymailGroup，把需要的服務(wù)添加到右面的框中，然后點OK在策略編輯界面上，使用新建的服務(wù)組。同樣添加其它的策略。完成后如下圖所示。注意：訪問網(wǎng)絡(luò)時，首先使用的是域名解析服務(wù)（DNS），所以，要讓所有的人可以使用DNS服務(wù)，才能夠達到效果，如果禁止的話，雖然開啟了HTTP服務(wù)，客戶仍然訪問不到網(wǎng)站。4.3防火墻默認的NAT策略說明SonicWALL防火墻為了方便用戶的使用，配置了默認的NAT策略。默認的NAT策略把LAN安全區(qū)域，DMZ安全區(qū)域上Internet的流量都做NAT，NAT到對應(yīng)的WAN口的IP地址。對每一個WAN口，防火墻都做相應(yīng)的NAT策略。以上面的端口配置情況為例，一個LAN區(qū)域（X0,X5），一個DMZ區(qū)域(X4,X6)，一個無線區(qū)域W0端口，三個WAN端口(X1,X2,X3)，那么防火墻自動產(chǎn)生15個NAT策略。以第一個WAN口X1為例，X0->X1,X5->X1,X4->X1,X6->X1,W0->X1共有五個NAT策略，同樣（X0,X5,X4,X6,W0）經(jīng)過X2,X3的WAN口到Internet訪問，也各有五個默認的NAT策略，共計15個默認的NAT策略。下圖中的策略14到28是這些默認的NAT策略。這些NAT策略可以修改，刪除。用戶也可以增加更多的自定義的NAT策略。如果把默認策略的方框中的對號去掉，就變成路由了。如14條的NAT策略，如果把Enabled得方框中的對號去掉，那么X6->X1的數(shù)據(jù)就是從X6進，從X1口路由出去。其實，從防火墻的任何一個端口進入防火墻，再從任何一個端口（不一定是WAN口）出的流量，都可以自定義NAT策略。如果LAN和DMZ端口下連接有三層交換機，三層交換機上有多個VLAN，有些VLAN可能是公網(wǎng)的IP地址，有些VLAN是私有的IP地址，那么公網(wǎng)的IP地址經(jīng)過防火墻，沒有必要經(jīng)過NAT，直接路由出去。私有IP的VLAN的IP地址，經(jīng)過防火墻訪問Internet,必須經(jīng)過NAT。防火墻默認的WAN口的NAT策略是NAT到WAN口的IP地址。但是如果內(nèi)部的PC數(shù)量多，經(jīng)過防火墻訪問Internet的并發(fā)連接超過65536的話，NAT到一個IP地址是不能滿足上網(wǎng)需求的。我們可以定制NAT策略，把上網(wǎng)的流量NAT到一個公網(wǎng)的IP地址池，這樣可以支持超過64K的并發(fā)連接。TCP連接數(shù)可以隨著IP地址池里IP地址的數(shù)量的增加而增加，直到到達防火墻最大的并發(fā)連接數(shù)。（開UTM和不開UTM，最大并發(fā)連接數(shù)不同。在防火墻的System->Diagnostics界面點DownloadReport,保存TechSupportReport文件，打開TSR文件，搜索關(guān)鍵詞MAX，找到MaxConnections,MaxConnectionswhenusingGAV/IPS就是不開啟UTM和開啟UTM情況下的防火墻的最大并發(fā)連接的數(shù)目。自定義的NAT策略，實現(xiàn)內(nèi)部的某些IP經(jīng)過防火墻的WAN口不做NAT，而走路由方式的舉例：我們假設(shè)X0LAN口網(wǎng)段的IP網(wǎng)段，經(jīng)過X1WAN口不做NAT，要路由出去，一個是按照前面的做法，把默認的NAT策略的Enable的對號去掉，還有一個辦法就是不修改默認策略，增加一個自定義的NAT策略如下：在Network->NATPolicies界面，點Add按鈕，增加一個NAT策略，8個參數(shù)如下：OriginalSource:最初的源IP地址TranslatedSource:經(jīng)過防火墻翻譯后的源IP地址OriginalDestination:最初的目的IP地址TranslatedDestination:經(jīng)過防火墻翻譯后的目的IP地址OriginalServices:最初的服務(wù)（TCP,UDP的端口號）TranslatedServices:經(jīng)過防火墻翻譯后的服務(wù)（TCP,UDP端口號）InboundInterface:數(shù)據(jù)進入防火墻的端口OutboundInterface:數(shù)據(jù)離開防火墻的端口上圖的配置是把LANPrimarySubnet,即整個X0口IP網(wǎng)段作為源IP，經(jīng)過防火墻翻譯后的IP選擇成original,original就是保持不變的意思，到任意目的，目地地址不翻譯，訪問任意的端口，端口不翻譯，從X0口進來，從X1口出去。換一句話來說，就是從X0口進入防火墻，從X1口出去的任意數(shù)據(jù)包，經(jīng)過防火墻后，源IP地址保持不變。源IP地址不變就是從防火墻路由出去了。源IP地址你可以隨意修改。例如LAN下面有三層交換機的情況，三層交換上有的VLAN是公網(wǎng)的IP地址，不需要經(jīng)過防火墻做NAT，那么你把公網(wǎng)的IP網(wǎng)段作為源IP，TranslatedSource:Original，那么公網(wǎng)IP地址經(jīng)過X0口進，X1口出，就是路由出去了。其它的私有網(wǎng)段，走默認的NAT策略，就NAT到X1口的IP地址了。下圖是增加完這個NAT策略后的屏幕截圖。4.4SonicWALL防火墻發(fā)布服務(wù)器的基本配置(AccessRule+NAT)地址映射是防火墻的一項重要功能，也是常用的功能之一。地址映射的定義其實比較容易理解，就是把一臺機器的私有地址（不能在互聯(lián)網(wǎng)上流通）經(jīng)過防火墻以后，轉(zhuǎn)變成一個公有地址（能夠在互聯(lián)網(wǎng)上訪問到）。這是最常見的一種轉(zhuǎn)化方式。從這種轉(zhuǎn)換方式可以衍生出其它的地址轉(zhuǎn)換方式，如內(nèi)網(wǎng)地址之間的轉(zhuǎn)換，DMZ之間的地址轉(zhuǎn)換。但是要掌握NAT的轉(zhuǎn)換規(guī)律和靈活應(yīng)用，需要深刻理解網(wǎng)絡(luò)訪問的原理，需要明白網(wǎng)絡(luò)地址轉(zhuǎn)換的目的和使用的對象，辨清需要達到的訪問結(jié)果，才能夠在千變?nèi)f化中抓住本質(zhì)，不被應(yīng)用牽著走。下面就以一個例子來詳細說明SonicWALL產(chǎn)品做NAT轉(zhuǎn)換時的配置方法為了給大家一個速成的配置指南，我們先討論使用向?qū)碜鲞@個配置。在SonicWALLOS系統(tǒng)中，NAT是比較煩瑣的配置，但是有一個竅門，可以又快又好的進行配置，這就是向?qū)?。使用向?qū)Э梢员ＷC90%以上的成功率，（在某些復(fù)雜的環(huán)境中，需要一些額外的配置修改才能達到效果）。從上面的拓撲圖中，我們提出了幾個需求，下面從第一個開始需求一.把服務(wù)器10的web端口和TCP1963端口映射到外網(wǎng)地址00上，配置如下：登陸到管理界面點擊右上方的wizards按鈕在彈出的新窗口中，選擇PublicServer（公共服務(wù)器）選擇需要發(fā)布的服務(wù)器類型，系統(tǒng)給出了幾種常用的服務(wù)器（Web，Mail，F(xiàn)TP，Terminal等），如果你要發(fā)布的端口并不在系統(tǒng)設(shè)置的服務(wù)器類型中，也沒有關(guān)系，我們有一種小技巧也可以做到，就拿今天案例中的TCP1963端口來做例子。一般我們直接選擇web，在name欄輸入服務(wù)器名稱（自定義），serverprivateip欄輸入服務(wù)器的私有地址（即內(nèi)網(wǎng)地址），comment是對這個服務(wù)器的描述，可以寫也可以不寫，然后點擊下一步（Next）接下來輸入服務(wù)器映射的公網(wǎng)地址（注：系統(tǒng)默認會給出一個第一個WAN口的地址，如果你只有一個公網(wǎng)地址，這里就保持不變，如果有其它的公網(wǎng)地址，直接輸入地址）然后點擊下一步（NEXT）如果你有兩個公網(wǎng)鏈路，需要映射的是在第二個鏈路上的地址，也同樣是這樣操作，系統(tǒng)會自動辨認地址所在的位置，如果內(nèi)網(wǎng)地址在DMZ區(qū)，也不需要去手工指定。接下來系統(tǒng)把需要進行的操作步驟寫了一個總結(jié)，你可以檢查地址輸入是否正確，服務(wù)是否正確（使用系統(tǒng)默認的服務(wù)，這步可以省略）點擊apply（應(yīng)用），系統(tǒng)操作完成后，報告一個成功界面，http的映射就完成了。接下來我們需要再做一個TCP1963的端口映射，這時候我們就要使用我們的小技巧了。點擊左邊的firewall->service菜單選擇右面上方的customservice，把默認的服務(wù)組和服務(wù)去掉10．點擊services下面的添加按鈕（add）11．建立一個新的服務(wù)，本例為tcp1963，加入需要映射的端口號12．點擊完成13．在上面的servicegroup（服務(wù)組）看到有一個以我們剛才命名的公共服務(wù)器名字的服務(wù)組，這個服務(wù)組就是專門做映射用的服務(wù)組，點擊右邊的編輯按鈕14．把剛才新建的端口TCP1963從左邊拖到右邊的欄框中。點擊OK確認。如果要添加其它的端口，只要把服務(wù)拖到右邊的欄框中就可以了。12，到此，對于服務(wù)器10的映射就完成了，現(xiàn)在我們把它的http和TCP1963已經(jīng)映射到了公網(wǎng)地址00上。二．補充說明：通過剛才的步驟，我們做好了地址映射，但是，在防火墻中，系統(tǒng)究竟添加了哪些規(guī)則和設(shè)置，達到了映射到目的呢？同時，如果我們操作完成后，如果還是沒有達到預(yù)期的效果，應(yīng)該怎樣檢查，修改哪些配置才能夠滿足我們期望呢？這些都需要詳細了解系統(tǒng)在做鏡像時的一些具體行為。下面我們將對系統(tǒng)的這些功能做詳細的解釋：首先我們需要了解向?qū)г谂渲糜成涞竭^程中究竟在系統(tǒng)配置中做了什么改動，我們再復(fù)習(xí)一下向?qū)У目偨Y(jié)，通過總結(jié)來說明這個問題。在上圖中我們看到向?qū)б还沧隽?個步驟，并把它分成了四個類別，我們先看第一個步驟。關(guān)于serveraddressobject,在第一個步驟中，系統(tǒng)分別建立了不同的地址對象addressobject，分別是我們需要使用的外網(wǎng)地址對象（即客戶訪問服務(wù)器的公網(wǎng)地址）和內(nèi)網(wǎng)地址對象（服務(wù)器的實際私網(wǎng)地址），這個比較簡單。關(guān)于serverservicegroupobject（服務(wù)器服務(wù)組），系統(tǒng)定義了一個以映射服務(wù)器名稱（具體名稱看向?qū)У牡诙剑槊值姆?wù)器組，并按照要求把http的服務(wù)添加到服務(wù)組中。ServerNATpolices（NAT策略），總共添加了三條NAT策略，每一條策略都對應(yīng)了相應(yīng)的功能，我們先看第一條它對應(yīng)的防火墻上的NAT策略是點擊右邊的edit按鈕，我們可以看到策略的詳細參數(shù)。Source指的是發(fā)起端，originalsource指的是發(fā)起端的原始地址，translatedsource指的是發(fā)起端地址通過防火墻以后的新地址（即轉(zhuǎn)換后的地址）。因為我們本例是做的外網(wǎng)訪問到內(nèi)網(wǎng)服務(wù)器的映射，所以外網(wǎng)的地址發(fā)起訪問的時候是公網(wǎng)地址，經(jīng)過防火墻后并不做任何轉(zhuǎn)換，（original是指原始地址，意即沒有做改變）。Destination指的是目的端，originaldestination指的是訪問時目的的地址，translateddestination指的是經(jīng)過防火墻后的目的地址。這是我們做公網(wǎng)地址映射到關(guān)鍵所在，公網(wǎng)地址在發(fā)起訪問的時候，訪問的目的地址是公網(wǎng)地址，所以originaldestination地址是服務(wù)器的公網(wǎng)地址，防火墻負責(zé)把這個公網(wǎng)地址轉(zhuǎn)換到可以進內(nèi)網(wǎng)的私網(wǎng)地址，所以translateddestination地址應(yīng)該是服務(wù)器的私網(wǎng)地址，這樣當數(shù)據(jù)包經(jīng)過防火墻后，變成了目的地址是到服務(wù)器地址的訪問，從而訪問能夠成功。Originalservice指的是訪問的端口，即客戶端要訪問的端口。這個端口可以是一個，也可以是一個服務(wù)組，我們本例就是使用了服務(wù)組，它包括兩個服務(wù)對象，HTTP和TCP1963.Translatedservice是指通過防火墻之后轉(zhuǎn)換的端口，一般情況下不需要做轉(zhuǎn)換，所以這里是original。Inbound和outboundinterface是any，是說不管從哪個接口去訪問這個服務(wù)器地址，都是可以進行地址翻譯的。如果我們自己定義規(guī)則，推薦也是選擇anyComment是我們在服務(wù)器向?qū)е袨榉?wù)器寫的描述。綜上，我們可以看出這個策略是定義了從外網(wǎng)訪問到內(nèi)網(wǎng)時，防火墻采取的動作，那么在一般情況下，只要有這個規(guī)則，同時還要有一個從WAN到LAN的防火墻規(guī)則（accessrule），從外網(wǎng)訪問內(nèi)網(wǎng)已經(jīng)可以實現(xiàn)了。那么其余的兩條規(guī)則是起什么作用呢？第二條NAT規(guī)則它對應(yīng)的策略是下圖的第二條點擊編輯edit按鈕可以看到策略的詳細內(nèi)容這個策略的主要作用是：當服務(wù)器發(fā)起互聯(lián)網(wǎng)訪問時，把服務(wù)器的地址翻譯成映射服務(wù)器的公網(wǎng)地址出去，這個主要是解決在某些情況下，服務(wù)器訪問和訪問服務(wù)器地址不一致時出現(xiàn)的問題。如郵件服務(wù)器，當訪問地址和發(fā)起訪問的服務(wù)器地址不一致時，很多防垃圾郵件設(shè)備會認為這個機器有問題而拒絕轉(zhuǎn)發(fā)從這個服務(wù)器發(fā)出的郵件。5第三條NAT規(guī)則說明第三個NAT規(guī)則是一條回環(huán)規(guī)則，這個規(guī)則的作用是當防火墻連接的這些接口網(wǎng)段地址訪問這個映射的公網(wǎng)地址時，使用回環(huán)地址來完成，我們看具體規(guī)則從規(guī)則上看，F(xiàn)irewalledSubnets代表和防火墻相連的所有被保護的網(wǎng)段（意即除了WAN區(qū)的所有網(wǎng)段，一般為LAN區(qū)和DMZ區(qū)），當他們訪問服務(wù)器的公網(wǎng)地址時，使用服務(wù)器的公網(wǎng)地址去訪問。這個規(guī)則是SonicWALL產(chǎn)品所特有的，其它產(chǎn)品都沒有這個規(guī)則，（是把它隱含掉了）。如果沒有用這個地址訪問服務(wù)器的話，中間會有一個會話判斷的錯誤從而造成防火墻狀態(tài)監(jiān)測機制把這個數(shù)據(jù)包丟掉。請注意：如果你的防火墻設(shè)備下面所接的網(wǎng)絡(luò)具有三層設(shè)備（路由器、交換機），你需要把所有這些設(shè)備上接到的網(wǎng)段全部加到FirewalledSubnets里面去，不然就會出現(xiàn)從公網(wǎng)上可以訪問服務(wù)器，但在內(nèi)網(wǎng)卻訪問不到的情況補充說明：你可以使用Wizard向?qū)Оl(fā)布服務(wù)器，這樣，防火墻規(guī)則和NAT策略都一次性配置好了。還有DNS環(huán)回也同時配置好了。DNS環(huán)回見4.5說明。熟練的管理員可以不使用向?qū)В苯釉贔irewall->AccessRule和Network->NATPolicies界面配置發(fā)布服務(wù)器必須的防火墻規(guī)則和NAT策略。發(fā)布一個服務(wù)器，無非就是兩步驟。第一步是允許外網(wǎng)用戶訪問服務(wù)器的公網(wǎng)IP和特定的TCP和UDP端口。如果服務(wù)本身是私有IP地址，經(jīng)過防火墻NAT了，那么防火墻再做一個NAT策略，把公網(wǎng)地址NAT到內(nèi)部的服務(wù)器的私有IP地址。如果服務(wù)器本身是公網(wǎng)IP地址，防火墻是路由方式或者L2Bridge模式發(fā)布服務(wù)器，那么只需要配置防火墻規(guī)則，不需要任何NAT策略了。如果用戶只有一個公網(wǎng)IP地址，并且該IP地址配置在防火墻的WAN口上，那么發(fā)布WEB服務(wù)器必須使用該IP地址。不過防火墻本身的管理端口默認也是HTTP80，HTTPS443.為了避免沖突，我們必須把防火墻的HTTP管理端口改成其它端口，才能用默認的HTTP80端口來發(fā)布WEB服務(wù)器。修改防火墻管理端口的界面在System->Administration界面。例如下面的例子把HTTP端口改成8088，HTTPS端口改成4433，這樣標準的HTTP80,HTTPS443端口就可以用來做發(fā)布服務(wù)器了。這不僅能利用一個公網(wǎng)IP地址實現(xiàn)發(fā)布服務(wù)器，還能使遠程管理更加安全。（遠程管理在Network->Interface的WAN端口的Advance界面配置）第五章SonicWALLNSAUTM防火墻VPN的配置5.1SonicWALLUTM

防火墻VPN功能介紹SonicWALLUTM防火墻內(nèi)置了IPSecVPN功能和簡單的SSLVPN的功能。IPSecVPN:的主要用途是通過互聯(lián)網(wǎng)，把企業(yè)的分支機構(gòu)的局域網(wǎng)和總部的局域網(wǎng)通過VPN隧道連接起來，實現(xiàn)安全的互連，替代昂貴的專線接入方式。IPSecVPN也支持移動用戶的遠程接入，但是需要預(yù)先安裝IPSecVPN的客戶端軟件，訪問控制上沒有SSLVPN靈活細致。 SSLVPN:SSLVPN的唯一目的就是支持移動用戶的遠程接入。用戶可以使用瀏覽器訪問SSLVPN的用戶入口，通過代理方式或動態(tài)隧道方式訪問內(nèi)網(wǎng)資源。當然用戶也可以選在在電腦上預(yù)先安裝客戶端軟件，實現(xiàn)隧道方式的訪問。SSLVPN支持多種操作系統(tǒng)，如Windows,Linux,MacOS,WindowsMobile等等。5.2IPSecVPN的配置主模式的IPSecVPN隧道的配置上圖中，我們需要在兩個設(shè)備之間建立基于IPsec的VPN隧道，讓遠程客戶可以訪問到公司內(nèi)部的服務(wù)器。IPsecVPN根據(jù)網(wǎng)絡(luò)情況不同，分為MainMode（主模式）和AggressiveMode（野蠻模式）兩種，主模式主要對應(yīng)于設(shè)備兩端都有固定的公網(wǎng)IP地址，通過互聯(lián)網(wǎng)可以直接進行訪問和加密協(xié)商的情況；野蠻模式針對只有一端有固定公網(wǎng)IP地址，另外一端是可變的IP地址的情況，因為無法直接確定地址，所以要通過ID來進行身份驗證，同時必須由非固定IP那端發(fā)起連接請求，才可以順利建立IPsec隧道下面是MainMode（主模式）的配置步驟：NSA3500配置點擊配置界面中的VPN菜單，選Setting，出現(xiàn)如下的界面注意EnableVPN處于選擇狀態(tài)系統(tǒng)本身已經(jīng)存在兩個VPN策略，分別是針對VPNclient用戶和Wlan無線用戶的，我們需要再新建一條靜態(tài)的VPN策略所以點擊Add（新建）按鈕出現(xiàn)下圖的界面我們現(xiàn)在配置的是MainMode（主模式的VPN），所以在IPsecPrimaryGatewayNameorAddress欄中輸入對端的IP地址，IPsecSecondaryGatewayNameorAddress（第二個VPN網(wǎng)關(guān)）是當你的總部設(shè)備有兩個不同的公網(wǎng)出口，你可以在第二個出口處使用的備份網(wǎng)關(guān)，當?shù)谝粋€網(wǎng)關(guān)無法連接時，系統(tǒng)自動查找第二個線路進行連接嘗試。這個適用于公司總部有網(wǎng)通和電信兩條鏈路的情況。SharedSecret（共享密鑰），是兩臺防火墻設(shè)備在進行IPsec的IKE協(xié)商時使用的密碼，這個是在階段一進行初始化時使用的（關(guān)于IPsec的具體過程，請參考相關(guān)文檔）。兩臺設(shè)備的共享密鑰必須一致才能協(xié)商成功。LocalIKEID和PeerIKEID（本地ID和對端ID），是在野蠻模式下雙方進行配置IPSec身份驗證的憑證，因為我們現(xiàn)在使用主模式，它直接使用WAN口的IP地址作為雙方的ID進行驗證，所以這里不需要配置。接下來進入第二個標簽頁這個頁面主要是輸入關(guān)于兩端網(wǎng)絡(luò)的地址信息，我們需要把作VPN的網(wǎng)段地址輸進去，這個也是IPsecVPN參數(shù)的一部分，如果輸入錯誤，IPsec隧道也無法建立起來，我們先輸入本地網(wǎng)絡(luò)地址，從下拉框中選新建地址對象（createnewaddressobject）（注：也可以直接在Network->AddressObjects中建立）在接下來彈出的對話框中輸入本地網(wǎng)段地址點擊OK完成本地地址的輸入，然后進行對端地址輸入在輸入對端地址的時候，要注意輸入的區(qū)域選擇（ZoneAssignment），因為是要做VPN，所以對端的區(qū)域（ZoneAssignment）要指定為VPN，另外因為我們做的是網(wǎng)段之間的VPN隧道，在地址中一般使用網(wǎng)絡(luò)（network）來建立。完成后如下圖所示接下來設(shè)置第三個頁面第三個頁面中包含了進行IPsec協(xié)商時使用的加密方法、校驗方法、SA存活時間等一系列的參數(shù)，這些參數(shù)都是建立IPsecVPN所必須的，因為篇幅問題，本文不對這些參數(shù)進行詳細說明，但需要注意的是，兩邊設(shè)備間所設(shè)置的這些參數(shù)，必須一一對應(yīng)，要完全一致，不然建立VPN時會出現(xiàn)Proposal不匹配的錯誤。第四個頁面基本保持不變。在特別的情況下，需要進行一些參數(shù)選項設(shè)置，如VPN終結(jié)端口點擊OK完成VPN設(shè)置。二．遠端NSA240配置：1．VPN->Setting進入配置界面（參考一（1））2.點擊新建（Add）進入配置界面在新版本中，添加了PolicyType選項，選擇SitetoSite。和NSA3500類似，網(wǎng)關(guān)IPsecPrimaryGatewayNameorAddress處輸入總部的公網(wǎng)IP地址。共享密碼(SharedSecret)和總部的密碼是一致的，這里用sonicwall作密碼。接下來到Network頁面因為遠程網(wǎng)絡(luò)比較簡單，只有一個網(wǎng)段地址，所以可以使用本地的預(yù)定義對象LANprimarySubnet作為本地對象（也可以自己定義一個本地的網(wǎng)絡(luò)對象地址是來作為這個選項的選擇）。遠程地址選擇新建地址對象（createnewaddressobject）在地址欄中輸入總部網(wǎng)絡(luò)的地址段，注意區(qū)域選擇是VPN，然后選擇OK。完成后如下圖：點擊第三個標簽頁Proposal，保持各項參數(shù)和對端的一致。點擊第四個標簽頁，基本不做修改點擊OK，完成VPN設(shè)置。5.2.2野蠻模式的IPSecVPN隧道的配置上圖中，我們需要在兩個設(shè)備之間建立基于IPsec的VPN隧道，讓遠程客戶可以訪問到公司內(nèi)部的服務(wù)器。IPsecVPN根據(jù)網(wǎng)絡(luò)情況不同，分為MainMode（主模式）和AggressiveMode（野蠻模式）兩種，主模式主要對應(yīng)于設(shè)備兩端都有固定的公網(wǎng)IP地址，通過互聯(lián)網(wǎng)可以直接進行訪問和加密協(xié)商的情況；野蠻模式針對只有一端有固定公網(wǎng)IP地址，另外一端是可變的IP地址的情況，因為無法直接確定地址，所以要通過ID來進行身份驗證，同時必須由非固定IP那端發(fā)起連接請求，才可以順利建立IPsec隧道下面是AgressiveMode（野蠻模式）的配置步驟：NSA3500配置，我們假設(shè)NSA3500有固定公網(wǎng)IP地址，NSA240沒有固定公網(wǎng)IP點擊配置界面中的VPN菜單，選Setting，出現(xiàn)如下的界面注意EnableVPN處于選擇狀態(tài)系統(tǒng)本身已經(jīng)存在兩個VPN策略，分別是針對VPNclient用戶和Wlan無線用戶的，我們需要再新建一條靜態(tài)的VPN策略所以點擊Add（新建）按鈕出現(xiàn)下圖的界面我們現(xiàn)在配置的是AggressiveMode（野蠻模式的VPN），所以在IPsecPrimaryGatewayNameorAddress欄中輸入對端的IP地址為（因為不知道對端確切的IP），SharedSecret（共享密鑰），是兩臺防火墻設(shè)備在進行IPsec的IKE協(xié)商時使用的密碼，這個是在階段一進行初始化時使用的（關(guān)于IPsec的具體過程，請參考相關(guān)文檔）。兩臺設(shè)備的共享密鑰必須一致才能協(xié)商成功。LocalIKEID和PeerIKEID（本地ID和對端ID），是在野蠻模式下雙方進行配置IPSec身份驗證的憑證，因為我們現(xiàn)在使用野蠻模式，使用本地的ID為shanghai，對方的ID為beijing,IKEID類型可以選擇任意的類型，只要兩端的設(shè)備的IDTYPE是匹配的就可以。SonicWALLIdentifier對應(yīng)的ISAKMP的IDType在本例最后解釋。接下來進入第二個標簽頁這個頁面主要是輸入關(guān)于兩端網(wǎng)絡(luò)的地址信息，我們需要把作VPN的網(wǎng)段地址輸進去，這個也是IPsecVPN參數(shù)的一部分，如果輸入錯誤，IPsec隧道也無法建立起來，我們先輸入本地網(wǎng)絡(luò)地址，從下拉框中選新建地址對象（createnewaddressobject）（注：也可以直接在Network->AddressObjects中建立）在接下來彈出的對話框中輸入本地