华三中低端防火墙产品主要技术参数h3csecpathf1.doc

合集下载

第二章 SecPath防火墙体系结构(WEB页面需修改)

目录
SecPath防火墙家族成员防火墙家族成员 SecPath防火墙的业务特性介绍防火墙的业务特性介绍 SecPath防火墙的典型应用防火墙的典型应用
防火墙家族成员
SecPath F1800-A 1800-
Price
SecPath F1000-A 1000-
SecPath F1000-S 1000-
配置口
WAN
LAN
www.h3c.com
8
SecPath F100-C 防火墙
电电源源开关入输
配置口口网太
以太网口
以
LAN
WAN
www.h3c.com
9
目录
SecPath防火墙家族成员防火墙家族成员 SecPath防火墙的业务特性介绍防火墙的业务特性介绍 SecPath防火墙的典型应用防火墙的典型应用
企业总部
VPN隧道隧道用户动态认证服务器认证隧道语音设备应用服务器 MCU
Secpath 500F
IP网络网络
语音视讯数据 Secpath 100F 动态密码钥匙盘
企业分支
使用VPN客户端远程办公使用客户端远程办公
H3C SecPath F1000-S防火墙不但提供强大的过滤功能,并且具有强大的VPN功能,使用 SecPath F1000-S防火墙,即可以保护内部网络的安全,也可以满足分支以及移动办公访问公司本部资源的需求.

华三中低端防火墙产品主要技术参数H3CSecpathF1

16
高可靠性
必须支持负载分担和冗余备份
17
服务质量保证
支持流量监管（Traffic Policing），支持FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ等队列技术，支持WRED拥塞避免技术、支持GTS流量整形、支持CAR、LR接口限速
18
维护性
支持网管软件统一网管，支持TELNET、SSH、CONSOLE、SNMPv1、SNMPv2C、SNMPv3，支持NTP时间同步
13
NAT功能
防火墙必须支持一对一、地址池等NAT方式；必须支持NAT多实例功能、必须支持多种应用协议，如FTP、H323、RAS、ICMP、DNS、ILS、PPTP、NBT的NAT ALG功能，支持策略NAT
14
HTTP过滤功能
必须支持HTTP URL和内容过滤
15
SMTP过滤功能
必须支持SMTP邮件地址、标题和内容过滤
19
安全维护
支持管理员分级，可分≥4级
20
认证
支持本地认证，同时支持远端RADIUS认证
21
路由协议
支持静态路由、RIP、OSPF、策略路由
5
并发连接数
100万
6
每秒新建连接数
10K
7
虚拟防火墙
64
8
3DES加密性能
500Mbps
9

H3C网络设备产品参数

安全产品技术规范

杭州华三通信技术有限公司

1.防火墙系列 (4)

1.1.M9000防火墙核心引导指标说明： (4)

1.2.M9006 (4)

1.3.M9010 (7)

1.4.M9014 (10)

1.5.新一代防火墙F50X0核心引导指标说明： (13)

1.6.F5040防火墙招标参数 (13)

1.7.F5020防火墙招标参数 (14)

1.8.F5000-S防火墙招标参数 (16)

1.9.F5000-C防火墙招标参数 (17)

1.10.新一代F10X0防火墙核心引导指标说明： (19)

1.11.H3C SecPath F1020防火墙招标参数 (19)

1.12.H3C SecPath F1030防火墙招标参数 (21)

1.13.H3C SecPath F1050防火墙招标参数 (23)

1.14.H3C SecPath F1060防火墙招标参数 (25)

1.15.H3C SecPath F1070防火墙招标参数 (28)

1.16.H3C SecPath F1080防火墙招标参数 (30)

1.17.三款新千兆防火墙核心引导指标说明： (32)

1.18.F1000-E (32)

1.19.F1000-E-SI (33)

1.20.F1000-A-EI (35)

1.21.F1000-S-AI (36)

1.22.SecBlade FW Enhanced招标参数 (37)

1.23.SecBlade FW招标参数 (39)

1.24.SecBlade FW Lite防火墙招标参数 (41)

1.25.新一代F1000-C-SI、F100-A/M-SI防火墙核心引导指标说明： (42)

H3C SECPATH F 系列-CMW340-R1608 版本说明书

H3C SECPATH F系列-CMW340-R1608

版本说明书

杭州华三通信技术有限公司

H3C SECPATH F系列-CMW340-R1608版本说明书关键词： H3C, SecPath, 防火墙，版本说明书

摘要：本文档用以描述SecPath F系列版本说明，包括版本信息、变更说明书、存在问题以及规避措施、解决问题单、配套资料以及升级指导等内容。

缩略语：

缩略语英文全名中文解释

CMW Comware

VPN Virtual Private Network 虚拟专用网

GRE General Route

Encapsulation

通用路由封装

IPSec IP Security IP 安全

IKE Internet Key Exchange 因特网密钥交换

ASPF Application State Packet

Filter

应用层状态包过滤

NAT Network Address

Translation

网络地址转换

L2TP Layer 2 Tunnel Protocol 二层隧道协议SSL Secure Socket Layer 安全套接层

VRRP Virtual Route Redundant

Protocol

虚拟路由冗余协议

ARP Address Resolution Protocol 地址解析协议

1 版本信息 (4)

2 版本使用限制及注意事项 (6)

3 版本特性说明 (8)

4 版本变更说明 (14)

4.4.1 SecPath F 系列-CMW340-R1608版本操作方式变更 (32)

4.4.2 SecPath F 系列-CMW340-R160702版本操作方式变更 (32)

H3C_防火墙用户手册

详细介绍 H3C SecPath 系列安全网关/防火墙所涉及的配置和操作命令。包括命令名、完整命令行、参数、操作视图、使用指导和操作举例。
《 H3C SecPath 系列安全产品指导用户通过 Web 方式对 H3C SecPath 系列防火墙进行
Web 配置手册》
配置操作。
本书简介
本手册各章节内容如下：
z 第 8 章 MIM 多功能接口模块。介绍 H3C SecPath F1000-S 防火墙各功能模块的外观、面板及指示灯的含义，并介绍功能模块的安装及接口电缆的连接方法等。
本书约定
1. 命令行格式约定
格式粗体斜体 [] { x | y | ... } [ x | y | ... ] { x | y | ... } * [ x | y | ... ] * &<1-n> #
z 第 1 章产品介绍。介绍 H3C SecPath F1000-S 防火墙的特点及其应用。提供 H3C SecPath F1000-S 防火墙的外观图及系统特性描述。
z 第 2 章安装前的准备工作。介绍 H3C SecPath F1000-S 防火墙对安装环境的要求，以及安装前和安装过程中需要注意的事项，安装所需工具也是本章介绍内容。
第 2 章安装前的准备工作 .......................................................................................................2-1 2.1 安装场所要求 ..................................................................................................................... 2-1 2.1.1 温度/湿度要求.......................................................................................................... 2-1 2.1.2 洁净度要求 .............................................................................................................. 2-1 2.1.3 防静电要求 .............................................................................................................. 2-2 2.1.4 电磁环境要求........................................................................................................... 2-2 2.1.5 防雷击要求 .............................................................................................................. 2-3 2.1.6 检查安装台 .............................................................................................................. 2-3 2.2 安全注意事项 ..................................................................................................................... 2-3 2.3 检查防火墙及其附件 .......................................................................................................... 2-4 2.4 安装工具、仪表和设备....................................................................................................... 2-4

主要设备参数介绍

主要设备参数介绍：

一、H3C 3com SecPath F100-A 防火墙参数介绍

扩展性最强

基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。

强大的攻击防范能力

能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。

增强型状态安全过滤

支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。

丰富的VPN特性

集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。

应用层内容过滤

可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。

全面NAT应用支持

提供多对一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

全面的认证服务

支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配臵权限。

H3C SecPath F100系列防火墙01-入门配置指导-基本配置

(12) 在 NAT 配置页面单击<下一步>按钮，进入如下图所示的页面。图1-6 6/6: 基本配置向导
1-7
(13) 设置在提交配置的同时是否将设备当前的配置保存到下次启动配置文件（包括.cfg 文件和.xml 文件），并确认配置的参数是否正确，如果需要修改，则单击<上一步>按钮返回到前面的页面对配置进行修改。
外部IP地址：端口内部IP地址：端口
配置内部服务器功能可能会导致与设备的连接中断（例如将外部 IP 地址指定为本地主机的 IP 地址或当前接入接口的 IP 地址时），请谨慎操作
启用内部服务器时，设置服务器提供给外部访问的合法IP地址和服务端口号
启用内部服务器时，设置服务器在内部局域网的IP地址和服务端口号
该命令在接口视图下执行
1-8
操作
基于ACL的 NAT Server
命令
nat server protocol pro-type global acl-number inside local-address [ local-port ] [ vpn-instance local-name ]
配置接口的IP地址
或者
nat server [ Index | acl-number ] protocol pro-type global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ] [ track vrrp virtual-router-id ]

H3C SecPath F100-C-EI 防火墙说明书

第1章产品介绍...............................................................................1-1

1.1 简介....................................................................................1-1

1.2 外观....................................................................................1-2

1.2.1 前面板......................................................................1-2

1.2.2 后面板......................................................................1-2

1.3 规格....................................................................................1-3

1.4 指示灯................................................................................1-3

1.5 固定接口.............................................................................1-4

H3C SecPath F1000-S-AI 防火墙

H3C SecPath F1000-S-AI防火墙产品SecPath系列产品是H3C公司为企业和运营商用户设计的专业网络安全产品，通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上，不但能为用户提供广泛和深入的安全防护和安全连接功能，同时可以降低与安全相关的总体拥有成本以及部署的复杂程度，是网络安全解决方案的理想选择。

SecPath系列产品作为H3C公司iSPN（智能安全渗透网络）解决方案的重要组成部分，已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。

1 产品概述

SecPath F1000-S-AI是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。

SecPath F1000-S-AI采用了H3C公司最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持万兆接口、数十个GE接口，能满足电信级应用的需求。

SecPath F1000-S-AI支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如GRE VPN、IPSec VPN、SSL VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6双协议栈；支持丰富的QoS特性。

SecPathF1000-E防火墙产品

www.h3c.com
8
虚拟设备
www.h3c.com
9
安全区域
安全区域是防火墙区别于普通网络设备的基本特征之一。以接口为边界，按照安全级别不同将业务分成若干区域，防火墙的策略（如ACL、攻击防范等）在区域或者区域之间下发。
www.h3c.com
10
安全区域
F1000-E Ge0 /1 192.168 .1.1/24 Ge0/2 202 .0.0.1/24
www.h3c.com
17
防火墙的详细处理流程——入方向
IP正规化（普通合法性检查）黑名单 URPF(与IPSPOOFING整合) 虚拟分片重组
IPSec预处理
Session-start
单包攻击和扫描处理
NAT
Flood攻击
QoS
IP路由等处理
www.h3c.com
18
防火墙的详细处理流程——出方向
20
透明模式普通转发
组网需求：
PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上，其 IP地址分别为10.0.0.1/24和10.0.0.2/24，需要通过F1000-E实现互通。
Ge0/1
Ge0/2
PC1 F1000-E
PC2
www.h3c.com
21
透明模式普通转发

设置H3C SecPath F100 系列防火墙的web访问

最近集团下属酒店退回一台H3C SecPath F100-S防火墙，自我学习巩固的同时，给大家带来几篇教程，欢迎大家的拍砖。今天给大家带来的是如何实现通过Web方式访问和配置路由器。

和H3C之前的产品不同，H3C在SecPath F100系列防火墙产品中增加了更加人性化的WEB方式配置界面，用户可以通过WEB方式来访问防火墙并通过图形化界面来配置各种参数，这点改进大大降低了防火墙设置的门槛，让用户可以更快的上手。下面我们就来看看如何通过WEB方式配置SecPath F100-S防火墙，当然默认情况下WEB方式是关闭的。

第一步：建立与防火墙之间的连接，我们采用console方式进行配置，将防火墙自带console线的RJ45端插入防火墙“console”端口，另一头连接到电脑串口。在电脑上启动“超级终端”，我们选用默认值：9600/8/无/1/无，然后点击确定。

第一步：建立与防火墙之间的连接，我们采用console方式进行配置，将防火墙自带console 线的RJ45端插入防火墙“console”端口，另一头连接到电脑串口。在电脑上启动“超级终端”，我们选用默认值：9600/8/无/1/无，然后点击确定。

第二步：插电启动防火墙，我们就会在超级终端界面上清楚的看到防火墙的全部启动过程。按回车键，进入防火墙命令行配置模式

第三步：

输入“system-view”命令，进入高级管理模式，我们首先查看一下防火墙默认的配置信息

第四步：下面开始配置：

防火墙参数.doc

防火墙参数

H3CSecPathU200-CA（25000元）属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务RADIUS认证HWTACACS认证PKI/CA（X.509格式）认证域认证CHAP验证PAP验证防火墙虚拟防火墙安全区域划分可以防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤静态和动态黑名单功能MAC和IP绑定功能基于MAC的访问控制列表支持802.1qVLAN透传病毒防护基于病毒特征进行检测支持病毒库手动和自动升级报文流处理模式支持HTTP、FTP、SMTP、POP3协议支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和报表URL过滤客户自定义URL过滤规则库支持JavaBlocking、ActiveXBlocking过滤垃圾邮件防护支持IP地址黑名单支持对收发邮件的地址、附件名、附件内容、主体、正文内容、收发邮件人姓名等关键字匹配过滤深度安全防护支持对黑客攻击、蠕虫、木马常等攻击的防御支持对BT等P2P/IM 识别和控制安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL

H3CSecPath防火墙配置指导

1路由设置 ············································································································································ 1-1

1.1 概述 ··················································································································································· 1-1

1.2 配置静态路由····································································································································· 1-1

1.3 查看激活路由表 ································································································································· 1-2

1.4 静态路由典型配置举例 ······················································································································ 1-3

H3C_SecPath F1000-S 防火墙安装手册正文

第 4 章防火墙的启动与配置....................................................................................................4-1 4.1 启动.................................................................................................................................... 4-1
H3C SecPath F1000-S 防火墙安装手册
目录
目录
第 1 章产品介绍 .....................................................................................................................1-1 1.1 简介.................................................................................................................................... 1-1 1.2 硬件特性............................................................................................................................. 1-2 1.2.1 外观 ......................................................................................................................... 1-2 1.2.2 系统说明 .................................................................................................................. 1-2 1.2.3 指示灯含义 .............................................................................................................. 1-3 1.2.4 固定接口属性........................................................................................................... 1-3 1.2.5 MIM多功能接口模块 ................................................................................................ 1-5

H3C F100-A-AC防火墙

H3C SecPath F100 系列防火墙

稳定可靠功能全面

H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。

H3C SecPath F100系列防火墙包括SecPath F100-C/SecPath F100-C-EI/SecPa th F100-S/SecPath F100-M/SecPath F100-A-SI/SecPath F100-A/SecPath F10 0-E等七款产品，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L 2TP VPN、GRE VPN、IPSec VPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

H3C F100-A-AC防火墙

产品特点

扩展性最强

基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。

强大的攻击防范能力

H3C SecPath F100系列防火墙01-入门配置指导-基本配置

(11) 配置 NAT，详细配置如下表所示。表1-5 NAT 的详细配置
配置项
说明
接口
设置要配置NAT功能的接口
1-6
配置项动态地址转换源IP地址/通配符目的IP地址/通配符协议类型
内部服务器
说明
设置是否启用动态地址转换功能启用动态地址转换功能，则对匹配的报文直接使用接口的IP地址作为转换后的地址缺省情况下，动态地址转换处于关闭状态
目录
1 基本配置 ············································································································································ 1-1 1.1 概述 ···················································································································································1-1 1.2 通过Web方式进行设备基本配置 ·······································································································1-1 1.3 通过命令行方式进行设备基本配置 ····································································································1-8 1.4 业务配置说明·····································································································································1-9

华三中低端防火墙产品主要技术参数h3csecpathf1.doc

第二章 SecPath防火墙体系结构(WEB页面需修改)

华三中低端防火墙产品主要技术参数H3CSecpathF1

H3C网络设备产品参数

H3C SECPATH F 系列-CMW340-R1608 版本说明书

H3C_防火墙用户手册

主要设备参数介绍

H3C SecPath F100系列防火墙01-入门配置指导-基本配置

H3C SecPath F100-C-EI 防火墙说明书

H3C SecPath F1000-S-AI 防火墙

SecPathF1000-E防火墙产品

设置H3C SecPath F100 系列防火墙的web访问

防火墙参数.doc

H3CSecPath防火墙配置指导

H3C_SecPath F1000-S 防火墙 安装手册 正文

H3C F100-A-AC防火墙

H3C SecPath F100系列防火墙01-入门配置指导-基本配置

H3C_SecPath F1000-S 防火墙安装手册正文