收藏
下载资源

H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书

上传人:飞****9 文档编号:143032590 上传时间:2020-08-25 格式:PDF 页数:71 大小:2.27MB
返回 下载 相关 举报
H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书_第1页
第1页 / 共71页
H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书_第2页
第2页 / 共71页
H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书_第3页
第3页 / 共71页
H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书_第4页
第4页 / 共71页
H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书_第5页
第5页 / 共71页
点击查看更多>>
资源描述

《H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书》由会员分享,可在线阅读,更多相关《H3C SecPath [F10X0系列][F100-A-G2][F1000-C-G2]防火墙 开局指导书(71页珍藏版)》请在金锄头文库上搜索。

1、H3C SecPath F10X0 系列、F100-A-G2、 F1000-C-G2 产品开局指导书 Copyright 2015 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以 任何形式传播。本文档中的信息可能变动,恕不另行通知。 i 目 录 1 特性简述 1 1.1 产品介绍 1 1.2 系统介绍 1 1.2.1 F10X0、F100-A-G2、F1000-C-G2 外观介绍 1 1.3 F10X0、F100-A-G2、F1000-C-G2 的管理 2 1.4 防火墙的几个基本概念 3 1.4.1 安

2、全区域 3 1.4.2 会话 3 2 F10X0、F100-A-G2、F1000-C-G2 的版本升级 4 2.1 F10X0、F100-A-G2、F1000-C-G2 版本升级过程 4 2.2 热补丁安装 5 2.3 注意事项 5 3 F10X0、F100-A-G2、F1000-C-G2 的远程管理 6 3.1 F10X0、F100-A-G2、F1000-C-G2 远程管理概述 6 3.2 F10X0、F100-A-G2、F1000-C-G2 远程telnet管理配置举例 6 3.2.1 组网需求 6 3.2.2 配置步骤 6 4 F10X0、F100-A-G2、F1000-C-G2 的域间

3、策略基本功能 7 4.1 组网需求 7 4.2 配置思路 7 4.3 配置步骤 7 4.4 注意事项 9 5 F10X0、F100-A-G2、F1000-C-G2 的NAT基本功能 9 5.1 组网需求 9 5.2 配置思路 9 5.3 配置步骤 9 5.4 注意事项 10 6 GRE over IPSEC 10 6.1 组网需求 10 6.2 配置思路 11 6.3 配置步骤 11 6.4 注意事项 15 ii 7 通过PC(Win7 操作系统)进行L2TP over IPSEC接入 16 7.1 组网需求 16 7.2 配置思路 16 7.3 配置步骤 16 7.3.1 配置F10X0(或

4、F100-A-G2、F1000-C-G2)设备 16 7.3.2 配置PC 18 7.4 注意事项 60 8 日志 61 8.1 日志简介 61 8.2 syslog日志 61 8.2.1 应用场景 61 8.2.2 配置发送syslog日志 61 8.3 配置发送customlog日志 61 8.3.1 应用场景 61 8.3.2 配置需求 61 8.3.3 配置思路 62 8.3.4 配置步骤 62 8.3.5 日志结果分析 62 8.4 配置发送Userlog日志 63 8.4.1 应用场景 63 8.4.2 组网需求 63 8.4.3 配置思路 63 8.4.4 配置步骤 63 8.4

5、.5 日志结果及分析 64 8.5 配置发送Session日志 64 8.5.1 应用场景 64 8.5.2 组网需求 64 8.5.3 配置思路 64 8.5.4 配置步骤 65 8.5.5 日志结果及分析 65 8.6 注意事项 65 9 F10X0、F100-A-G2、F1000-C-G2 的基本维护 66 9.1 配置维护 66 9.1.1 配置文件组成 66 9.1.2 配置保存 66 9.1.3 配置恢复 66 iii 9.2 查看版本信息 66 1 1 特性简述特性简述 1.1 产品介绍 F10X0 包括 H3C SecPath F1020/F1030/F1050/F1060/F

6、1070/F1080 防火墙(以下简称为 F10X0 系列)是面向行业及分销市场的高性能千兆准万兆防火墙 VPN 集成网关产品,硬件上基于多核处 理器架构,为 1U 的独立盒式防火墙。 F100-A-G2 硬件和 F1020 相同。 F1000-C-G2 硬件和 F1060 相同。 端口差异如下: F1020、F1030、F1050、F1060、F100-A-G2、F1000-C-G2 提供 16 个千兆电口及 8 个千兆 光口。 F1070 和 F1080 提供 16 个千兆电口及 8 个千兆光口、两个 SFP+万兆光口(可以自适应到千 兆 SFP) 。 F1020、F100-A-G2 支持

7、一个插卡,可以插 4 口 GE 插卡。 F1030、F1050、F1060、F1070、F1080、F1000-C-G2 支持 2 个插卡,可以插 4 口 GE 插 卡。 内存差异如下: F1020、F100-A-G2:支持 2G 内存 F1030/F1050:支持 4G 内存 F1060、F1000-C-G2:支持 8G 内存 F1080:支持 16G 内存。 1.2 系统介绍 1.2.1 F10X0、F100-A-G2、F1000-C-G2 外观介绍 F10X0 系列、F100-A-G2、F1000-C-G2 的外观类似,下面仅以 F1080 为例进行说明: 设备面板有 16 个 10/1

8、00/1000BASE-T 自适应以太网电口、8 个 1000BASE-X 以太网光口、2 个 10GBASE-R/1000BASE-X 以太网光口、2 个 USB 接口和 1 个 Console 接口以及 2 个硬盘扩展插 槽。具体结构如下图所示 2 1: 10/100/1000BASE-T电以太网口 2: 1000BASE-X以太网光口 3: 10GBASE-R/1000BASE-X以太网光口 4: 配置口(CONSOLE) 5: USB口(预暂硬件留,不支持) 6: 设备指示灯 7: 盘扩硬展插槽 图1-1 设备后视图(F1080): 1: 电块源模插槽1 2: 电块源模插槽2 3: 接

9、口板插槽 4: 钉接地螺 1.3 F10X0、F100-A-G2、F1000-C-G2的管理 F10X0、F100-A-G2、F1000-C-G2 目前支持命令行和 web 管理,命令行可以提供全面的配置、信 息查看、故障诊断等。 如 图 1-2 所示, F10X0、 F100-A-G2、 F1000-C-G2 主控板自带Console口, 可以用串口线对F10X0、 F100-A-G2、F1000-C-G2 进行管理,其串口参数与管理H3C主网络设备设置相同。 1 2 3 4 3 图1-2 串口参数设置 对业务板的 console 口,主要用于业务板启动信息的查看,当业务板完全启动后,显示的

10、信息为和 主控板上的信息完全相同。 1.4 防火墙的几个基本概念 1.4.1 安全区域 防火墙作为网络安全设备,按照业务的重要性高低,将网络分为若干个安全区域,安全区域以防火 墙接口为边界。引入安全区域的概念之后,安全管理员将安全需求相同的接口进行分类(划分到不 同的区域) ,能够实现策略的分层管理。 目前, F10X0、 F100-A-G2、 F1000-C-G2 的缺省安全域为 Local、 Trust、 Untrust、 DMZ、 Management 和 Any 域。默认接口不在任何安全域中。需要添加安全域。 同一安全域内部、不同安全域之间、安全域和 Local 域之间,默认域间策略都

11、是 deny 的。 1.4.2 会话 所谓流(Flow) ,是一个单方向的概念,根据报文所携带的三元组或者五元组唯一标识。根据 IP 层 协议的不同,流分为四大类: TCP 流:通过五元组唯一标识 UDP 流:通过五元组唯一标识 ICMP 流:通过三元组 + ICMP type + ICMP code 唯一标识 4 RAW IP 流:不属于上述协议的,通过三元组标识 所谓会话(Session) ,以一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方 (Initiator) ,另外一个为会话响应方(Responder) 。通过会话所属的任一方向的流特征都可以唯一 确定该会话,以及方向

12、。 对于 TCP/UDP/ICMP/RAW IP 流,首包进入防火墙时开始创建会话,后续相同的流或者返回报文 可以匹配该会话。以 TCP 三次握手为例: 图1-3 会话建立 如 图 1-3 所示,trust区域的 192.168.0.2:1564 访问untrust区域的 202.0.0.2 的 23 端口,首包syn报 文开始创建一个双向会话(192.168.0.2:1564202.0.0.2:23) ,后续SYN_ACK和ACK报文都匹 配到此会话后,完整的会话创建完成。后续数据流如果匹配到此会话则放行通过。 2 F10X0、F100-A-G2、F1000-C-G2 的版本升级的版本升级

13、2.1 F10X0、F100-A-G2、F1000-C-G2版本升级过程 如果通过 Bootware 升级,和 V5 没有什么区别。 在 V7 Comware 系统下升级,升级过程如下: (1) 首先把主控的.ipe 文件上传到 flash。上传操作可以通过 ftp 或者 tftp。 (2) 下载成功后,设置该文件为某槽位主控的系统文件,如下: boot-loader file cfa:/FW.ipe slot 1 main (3) 再次重启,变为升级以后的版本。版本信息查看如下: display version H3C Comware Software, Version 7.1.054, E

14、ss 9308P01 Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C SecPath F1020 uptime is 0 weeks, 0 days, 5 hours, 14 minutes Last reboot reason: User reboot Boot image: flash:/f1000fw-cmw710-boot-E9308P01.bin Boot image version: 7.1.054, Ess 9308P01 5 Compiled Jan 08 2015 14

15、:21:17 System image: flash:/f1000fw-cmw710-system-E9308P01.bin System image version: 7.1.054, Ess 9308P01 Compiled Jan 08 2015 14:21:17 SLOT 1 CPU type: Multi-core CPU DDR3 SDRAM Memory 4094M bytes Board PCB Version:Ver.A CPLD_A Version: 2.0 CPLD_B Version: 2.0 Basic BootWare Version: 1.05 Extend BootWare Version: 1.05 Board PFC Version:Ver.A NandFlash PCB Version:Ver.A SubSlot 016GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 SLOT 2 CPU type: Multi-core CPU DDR3 SDRAM Memory 2046M bytes Board

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 规章制度

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号