SecPath防火墙地址扫描和端口扫描攻击防范典型配置

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求：
组网图中需要三台PC, PC1和PC4在Trust区域；PC2处于DMZ区域，其IP地址与PC1和PC4在同一网段，PC3位于Untrust区域，为外部网络。

G0/0接口和G1/0接口属于同一个桥组Bridge1。

对于访问控制有如下要求：
在防火墙G0/1接口上配置NAT，使Trust区域与DMZ区域通过地址转换才能访问Untrust区域；
通过NAT Server使DMZ区域对Untrust区域提供WWW服务；
在G1/0接口绑定ASPF策略并配合包过滤，使得Trust区域用户可以访问DMZ区域设备；但DMZ区域不能访问Trust区域；
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、每一个桥组都是独立的，报文不可能在分属不同桥组的端口之间
传输。

换句话说，从一个桥组端口接收到的报文，只能从相同桥
组的其他端口发送出去。

防火墙上的一个接口不能同时加入两个
或两个以上的桥组。

2、要实现不同桥组之间或二层接口和三层接口之间数据转发，需要
创建桥组虚接口，并且将桥组虚接口加入到相应的区域。

目录1访问控制 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置访问控制····································································································································· 1-11.3 访问控制典型配置举例 ······················································································································ 1-3 2网站过滤 ············································································································································ 2-12.1 概述 ··················································································································································· 2-12.2 网站过滤典型配置举例 ······················································································································ 2-23 MAC地址过滤 ···································································································································· 3-13.1 概述 ··················································································································································· 3-13.2 配置MAC地址过滤····························································································································· 3-13.2.1 配置MAC地址过滤类型··········································································································· 3-13.2.2 配置要过滤的MAC地址··········································································································· 3-23.3 MAC地址过滤典型配置举例 ·············································································································· 3-3 4攻击防范 ············································································································································ 4-14.1 概述 ··················································································································································· 4-14.1.1 黑名单功能······························································································································ 4-14.1.2 入侵检测功能 ·························································································································· 4-14.2 配置黑名单 ········································································································································ 4-34.2.1 配置概述 ································································································································· 4-34.2.2 启用黑名单过滤功能 ··············································································································· 4-44.2.3 手动新建黑名单表项 ··············································································································· 4-44.2.4 查看黑名单······························································································································ 4-54.3 配置入侵检测····································································································································· 4-54.4 攻击防范典型配置举例 ······················································································································ 4-64.4.1 攻击防范典型配置举例 ··········································································································· 4-6 5应用控制 ············································································································································ 5-15.1 概述 ··················································································································································· 5-15.2 配置应用控制····································································································································· 5-15.2.1 配置概述 ································································································································· 5-15.2.2 加载应用程序 ·························································································································· 5-15.2.3 配置自定义应用程序 ··············································································································· 5-25.2.4 使能应用控制 ·························································································································· 5-35.3 应用控制典型配置举例 ······················································································································ 5-41 访问控制1.1 概述访问控制是指通过设置时间段、局域网内计算机的IP地址、端口范围和数据包协议类型，禁止符合指定条件的数据包通过，来限制局域网内的计算机对Internet的访问。

SecPath高端防火墙攻击防范配置举例关键词：攻击防范、DDOS、扫描、黑名单摘要：本文简单描述了高端多核防火墙攻击防范模块的特点，包括SYN FLOOD攻击防范、UDP FLOOD攻击防范、ICMP FLOOD攻击防范、扫描攻击防范、单包攻击防范、静态黑名单功能、动态黑名单功能。

给出攻击防范典型的配置案例及攻击报文构造的详细步骤。

缩略语：目录1 介绍 (1)2 特性使用指南 (1)2.1 使用场合 (1)2.2 配置指南 (1)2.3 攻击软件介绍 (2)2.4 注意事项 (2)3 支持的设备和版本 (2)3.1 设备版本 (2)3.2 支持的设备 (3)3.3 配置保存 (3)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本配置 (4)4.3 攻击防范业务典型配置举例 (5)5 相关资料 (28)5.1 相关协议和标准 (28)5.2 其它相关资料 (28)1 介绍(1) 攻击防范是防火墙的重要特性之一，它分析经过防火墙报文的内容和行为，判断报文是否具有攻击特性，如果有则执行一定的防范措施：如加入黑名单、输出告警日志、丢弃报文等。

(2) 防火墙的攻击防范能够检测拒绝服务型（DoS）、扫描窥探型、畸形报文型等多种类型的攻击，并对攻击采取合理的防范措施。

攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。

(3) 攻击防范管理是对防火墙的黑名单过滤、攻击特征识别、流量异常检测、入侵检测统计几项重要的功能进行配置管理。

本节将分别介绍上述功能及其配置。

2 特性使用指南2.1 使用场合(1) 在内外网之间通过分析防火墙报文的内容和行为，判断报文是否具有攻击特性，从而执行防范措施，保护网络安全运行。

2.2 配置指南关于攻击防范功能业务的配置全部可以采用Web方式配置。

攻击防范业务功能需要在Web配置以下内容：A. 静态黑名单功能B. 动态黑名单功能C. ICMP FLOOD攻击防范D. UDP FLOOD攻击防范E. SYN FLOOD攻击防范F. 扫描攻击防范G. 单包攻击防范2.3 攻击软件介绍攻击防范软件有很多选择，本文中选择使用NetWizard 2.2。

SecPath防火墙ip-sweep和port-scan攻击防范动态加入黑名单的典型配置一、组网需求：测试SecPath防火墙ip-sweep和port-scan防范功能，对扫描类的攻击动态加入到黑名单。

二、组网图SecPath1000F：版本为Version 3.40, ESS 1604P01；Web Server：Windows 2003操作系统；PC：Windows XP操作系统，安装EasyToolKit攻击工具。

三、配置步骤1.SecPath1000F的主要配置#sysname Quidway#firewall packet-filter enablefirewall packet-filter default permit#firewall statistic system enable //全局模式启用统计功能#firewall blacklist enable //启用黑名单功能firewall blacklist 202.38.1.99 //手工添加到黑名单条目#interface GigabitEthernet0/0ip address 172.16.1.1 255.255.255.0#interface GigabitEthernet0/1ip address 192.168.1.1 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0set priority 85#firewall zone untrustadd interface GigabitEthernet0/1set priority 5statistic enable ip outzone //连接发起域出方向启用IP统计功能#firewall defend ip-sweep max-rate 300 blacklist-timeout 15 //配置ip-sweep防范属性firewall defend port-scan max-rate 300 blacklist-timeout 10 //配置port-scan 防范属性#[Quidway]dis firewall blacklist item //显示黑名单表项Firewall blacklist item :Current manual insert items : 1Current automatic insert items : 2Need aging items : 2IP Address Insert reason Insert time Agetime(minutes)--------------------------------------------------------------------------202.38.1.99 Manual 2006/10/11 08:30:22 Permanent192.168.1.2 Port Scan 2006/10/11 08:59:53 10192.168.1.2 IP Sweep 2006/10/11 09:55:13 15[Quidway]dis firewall statistic system defend //显示攻击防范统计Display firewall defend statistic:IP-sweep, 2 time(s)TCP port-scan, 2 time(s)UDP port-scan, 0 time(s)total, 4 time(s)2.PC攻击工具配置打开“EasyAttacker”程序，选择攻击网卡，浏览选择攻击类型：编辑配置文件：运行脚本，构造攻击报文：验证结果：四、配置关键点1.连接发起域出方向启用IP统计功能；2.使用“EasyToolKit”前，必须安装“dotnetfx.exe”和“WinPcap”；3.全局下必须开启统计功能；4.max-rate默认值为4000；5.默认不加入黑名单。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM （United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。

H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。

2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口，Trust域，192.168.1.1/24Eth0/0 Trust域，10.254.254.1/24G0/2 三层接口，Untrust域，202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口，PVID 10，Trust域G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，10.254.254.1/24vlan-interface 10 Trust域，192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理> 深度安全策略。

SecPath系列防火墙域间策略典型配置举例关键词：域间策略摘要：域间策略在安全域之间实现流识别功能，对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。

缩略语：缩略语英文全名中文解释ACL Access Control List 访问控制列表目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 配置接口地址 (4)4.4.2 接口加入域 (6)4.4.3 配置时间段 (8)4.4.4 配置地址对象 (9)4.4.5 配置域间策略 (9)4.5 验证结果 (11)4.5.1 内部主机Public在上班时间访问外部网络 (11)4.5.2 其他内部主机在上班时间访问外部网络 (12)5 相关资料 (12)5.1 相关协议和标准 (12)5.2 其它相关资料 (12)1 特性简介域间策略是基于ACL（Access Control List，访问控制列表），在安全域之间实现流识别功能的。

域间策略在一对源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

域间策略通过引用资源管理中的地址资源和服务资源，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）等信息制定匹配规则。

每条规则还可以通过引用资源管理中的时间段资源，来指定这条规则在该时间段定义的时间范围内有效。

2 应用场合需要进行流识别，流状态监控、安全域间设置防火墙的任何场合。

3 注意事项域间策略使用的ACL序号是系统自动分配的，当首次在两个安全域之间创建域间策略的规则时，系统自动为该域间策略创建一个ACL，并从6000开始，分配当前未使用的最小序号给该ACL；当该域间策略的规则全部被删除时，系统自动删除该ACL。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address[ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath UTM系列ARP防攻击典型配置举例关键词：UTM，ARP摘要：ARP协议因为没有任何安全机制而容易被攻击发起者利用。

为了避免各种攻击带来的危害，设备提供了多种技术对攻击进行检测和解决。

缩略语：缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理ARP Address Resolution Protocol 地址解析协议目录1 特性简介 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (1)4.3 使用版本 (2)4.4 配置步骤 (2)4.4.1 配置接口地址 (2)4.4.2 接口加入域 (4)4.4.3 配置ARP防攻击方法—免费ARP (6)4.4.4 配置ARP防攻击方法—ARP扫描 (7)4.4.5 配置ARP防攻击方法—ARP固化 (7)4.5 验证结果 (8)4.5.1 免费ARP验证结果 (8)4.5.2 ARP扫描验证结果 (9)4.5.3 ARP固化验证结果 (9)5 相关资料 (11)5.1 相关协议和标准 (11)5.2 其它相关资料 (11)1 特性简介ARP协议有简单、易用的优点，但是也因为其没有任何安全机制而容易被攻击发起者利用。

目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁，为了避免各种攻击带来的危害，设备提供了多种技术对攻击进行检测和解决。

2 应用场合网吧、校园网等局域网。

3 注意事项z配置免费ARP功能后，只有当接口链路Up并且配置IP地址后，此功能才真正生效。

z如果修改了免费ARP报文的发送周期，则在下一个发送周期才能生效。

z不要在配置了VRRP备份组的接口下使能免费ARP功能。

z建议用户在ARP自动扫描期间不要进行其他操作。

z只有三层以太网接口、三层以太网子接口、VLAN接口学习到的动态ARP表项可以被固化。

4 配置举例4.1 组网需求本配置举例中，UTM设备使用的是U200-S。

H3C SecPath F100系列防火墙配置2009-10-13 16:52:34标签：H3C防火墙配置初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

SecPath-防火墙双机热备典型配置SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

H3C SecPath系列防火墙（V5）维护指导书（V1.0）杭州华三通信技术有限公司2016-03-29 H3C机密，未经许可不得扩散第1页，共35页修订记录Revision Records2016-03-29 H3C机密，未经许可不得扩散第2页，共35页目录1.日常维护建议总则 (7)1.1.日常维护建议 (7)1.2.维护记录表格和维护操作指导书的使用说明 (8)2.安装操作指导 (9)3.维护操作指导 (10)3.1.H3C S EC P ATH防火墙设备现场巡检 (10)3.2.设备日常维护操作指导 (11)3.3.设备季度维护操作指导 (12)3.4.H3C设备年度维护操作指导 (12)4.入门维护 (13)4.1.基本概念 (13)4.2.产品FAQ (17)5.常见故障处理 (21)5.1.S EC P ATH防火墙故障诊断流程 (21)5.2.H3C S EC P ATH防火墙系统维护 (21)5.3.S EC P ATH防火墙连通性 (22)5.4.N AT故障处理 (22)5.5.攻击防范故障处理 (23)6.常见问题及FAQ (25)6.1.N AT专题篇FAQ (25)6.2.攻击防范篇FAQ (26)6.3.高可靠性篇FAQ (27)7.附录 (29)7.1.维护记录表格 (29)7.2.H3C公司资源和求助途径 (35)2016-03-29 H3C机密，未经许可不得扩散第3页，共35页H3C SecPath系列防火墙维护指导书关键词：SecPath防火墙、维护指导、常见问题、摘要：此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath系列防火墙设备进行健康性检查的相关事项。

适用对象：本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。

缩略语清单：2009-4-10 H3C版权所有，未经许可不得扩散第4页, 共35页产品简介伴随着因特网的蓬勃发展，网络协议的开发性注定了给入侵者留下了众多的入侵机会，安全的网络也跟着提升到一个全新的高度。

Firewall：1、网络安全威逼分为如下几类：●非法使用●拒绝效劳●信息盗窃●数据篡改2、SecPath 防火墙支持日志格式●二进制流日志●Syslog 日志3、FW 硬件：F1000S/F1000C 有两个可用mim 扩展插槽，其它F100M 及以上-F1000E 以下支持一个mim 扩展插槽。

F1000A 缺省有两个光电复用接口，缺省用电口。

F100A 有4 个lan 口和3 个wan 口，lan0 和wan2 属于高速接口其它为低速接口。

4 个lan 口支持undo insulated 把四个路由接口变成一个交换接口。

4、SecPath 防火墙的主要业务特性：ASPFNAT网页和邮件过滤智能分析和治理手段RadiusZone 和ACL丰富的VPN路由协议等等5、安全区域：中低端FW 默认4 个安全区域，可以自定义安全区域，最多12 个Local 100Trust 85Untrust 5Dmz 50 解决效劳器放置的问题自定义安全区域的优先级不能和已存在区域优先级一样。

缺省各区域之间均可互访。

6、防火墙接口工作必需将接口参加到安全区域。

规章：除loopback 接口外〔也除像ssl-card 接口、Encrypt 加密卡接口外〕其它全部的物理接口和规律接口必需加到安全区域下。

7、ACL 四种：标准2022-2999、扩展3000-3999、接口1000-1999、MAC 4000-4999。

路由模式支持：标准、扩展、接口MAC 地址的访问掌握列表只能用于透亮或混合模式。

基于接口的ACL 只能应用在接口的outbound 方向。

8、ACL的主要作用〔中低端和高端一样〕：qos流的定义；包过滤；nat流的定义；ipsec 流的定义；策略路由等等。

9、包过滤：缺省状况下，防火墙的规章是deny，需要开启permit。

定义acl，acl 中的规章的匹配挨次是config 挨次优先。

10、包过滤和ASPF 比照缺点：●无法检测应用层的攻击如java 阻断和active 等等●不支持多通道的应用层协议【如ftp、h.323〔Q.931，H.245，RTP/RTCP〕、RTSP 等】11、FW 能够实现单向访问掌握的方法有：NAT 和ASPF。