H3C SecCenter Mini UTM Mananger 1_00-B0001版本说明书

产品概述目录目录第1章快速入门 ....................................................................................................................... 1-11.1 SecCenter A1000产品介绍 ............................................................................................... 1-11.1.1 产品概述.................................................................................................................. 1-11.1.2 产品外观.................................................................................................................. 1-11.1.3 SCA1000的网络接口.............................................................................................. 1-21.1.4 SCA1000的出厂网络配置....................................................................................... 1-31.2 将SCA1000接入网络........................................................................................................ 1-31.2.1 SCA1000部署位置参考 .......................................................................................... 1-31.2.2 登录SCA1000的远程桌面...................................................................................... 1-41.2.3 设置千兆以太网口IP地址....................................................................................... 1-51.2.4 Web登录SCA1000 ................................................................................................. 1-71.2.5 设备的syslog配置 .................................................................................................. 1-81.3 功能快速浏览 ..................................................................................................................... 1-91.3.1 SCA1000的操作界面介绍....................................................................................... 1-91.3.2 Dashboard ............................................................................................................. 1-101.3.3 安全中心................................................................................................................ 1-161.3.4 策略与告警（Policies & Alert）............................................................................. 1-251.3.5 定制报告（Profiles）............................................................................................. 1-291.3.6 深度分析（Forensics）......................................................................................... 1-321.3.7 设备、主机管理（Groups,Devices,Hosts）.......................................................... 1-38第1章快速入门1.1 SecCenter A1000产品介绍1.1.1 产品概述SecCenter A1000是华为3Com公司推出的安全管理解决方案中的重要组成部分，是一款基于硬件的安全智能、高效实施的安全信息及事件管理（SIEM）系统。

SecCenter解决方案技术白皮书Hangzhou H3C Technology Co., Ltd.杭州华三通信技术有限公司All rights reserved版权所有侵权必究目录1 商业用户网络对于安全管理的需求 (5)2 安全管理技术方案比较 (6)3 H3C安全管理中心解决方案 (7)3.1 安全管理中心基本思路 (7)3.2 解决方案特点 (8)3.3 典型组网图 (9)4 系统主要技术特性分析 (10)4.1 不同种类的安全设备支持 (10)4.2 企业安全分析 (11)4.3 网络架构 (12)4.4 安全拓扑和可视化威胁 (12)4.5 监控&事件关联 (13)4.6 安全管理报告 (15)4.7 可升级日志管理 (15)4.8 搜索分析 (15)5 总结和展望 (16)6 参考文献 (16)7 附录 (16)Figure List 图目录图1 典型组网图 (10)图2 安全管理添加到网络和应用管理 (11)图3 SecCenter支持单独配置和分布式配置 (12)图4 基于拓扑的实时威胁可视化下拉菜单 (13)图5 监控仪表盘展示了一个实时的全部安全状态的一部分 (14)SecCenter解决方案技术白皮书关键词：SecCenter、安全管理、事件、日志、搜索摘要：本文档对于SecCenter安全管理中心的解决方案进行了介绍。

描述了用户对于安全管理中心的需求，各种方案的比较。

介绍了H3C推出解决方案的技术特点、组网图、主要技术分析等。

缩略语清单：1 商业用户网络对于安全管理的需求一个公司只是注重在物理上对网络安全的投资是远远不够的，即使安全防范再严密的网络，也会有可能有破坏性漏洞的产生。

据估计在世界范围内由攻击造成的经济损失已经由1997 年的33 亿美元上升到2003 年的120亿美元。

这个数字还在快速上升。

另外，为了满足政府规范要求，需要执行安全审计流程。

如果不能满足政府的规范要求，除了有可能被高额的罚款以外，还有可能触犯法律，面临刑事诉讼。

1 蠕虫重要危害有（ BC）A 经济损失巨大B 回绝服务袭击(DoS)袭击C 网络拥挤D 影响环境2 SecPath 防火墙产品当前包括那几种型号（BD ）A SecPath F1000-MB SecPath F1000-EC SecPath F1800-AD SecPath F100-S 3下述哪些是典型VPN布置模式（ABCD ）A 作广域线路备份线路B 移动顾客接入总部网络C 局域网内建立加密通道D 分支机构与总部连接4支持在H3C核心互换机S95/75上安全模块叫什么（A ）A SecBladeB SecChannleC SecPathD SecEngine5 H3C ASE设备重要有哪些功能（ABCD ） A SSL卸载和加速 B . WEB加速 C .负载均衡 D . TCP优化 6.SecCenter可以对如下哪些事件进行统一管理（ ABCD）A 应用事件B 系统事件C 安全事件D 网络事件7ASM和NSM模块可以应用于哪些SecPath系列防火墙产品（ABCD ）A F100-AB . F1000-SC . F100-MD . F1000-A8 SecPath ASE 可以解决什么问题（AC ）A . 加快服务器应用传递到客户端速度B . 防垃圾邮件C . 减少服务器负载D . 防病毒9 SecCenter集中式布置重要有哪些长处（ABCD ）A . 投资回报率高B . 适合中小公司C . 成本低D . 管理简朴10下说法对的是：（ C）A 应用了H3C防病毒网关后，顾客终端就不需要安装认证防病毒软件B终端感染蠕虫病毒后，对网络无影响C BT是惯用一种下载工具，其下载人越多速度就越快，BT采用了一种特有对等合同，其建立在TCP/IP合同之上D IDS与防火墙联动不存在延迟解决问题11SecCenter实时监控功能涉及如下哪些方面（ ABCD）A . 实时按合同记录网络流量B . 实时监控带宽运用率C . 实时监控每台设备流量D . 实时按应用查看流量12H3C 安全系列插卡有SecBlade FW，SecBlade VPN，尚有（ABCD ）A . NSM网流监控B . ASM防病毒C . SecBlade ACGD . SecBlade IPS13 ASE有哪些布置方式（BC ）A . 侦听模式B . 单臂模式C . 在线模式D . 混合模式14.如下哪些是H3C SecPath防火墙特点（ABCD ）A . 先进ASPF技术（基于应用状态包过滤），实现了对FTP，H.323，SIP等十余种合同应用层精细控制B . 强大抗袭击技术和智能防蠕虫病毒技术，制止数十种袭击和各种DoS/DDoS袭击C . 电信级硬件平台和业务丰富私有软件平台D . 丰富应用层安全技术：SMTP邮件过滤、HTTP过滤15.H3C SecCenter支持哪些设备（ABCD ）A . IDSB . IPSC . 路由器D . 防火墙16.下面关于内网控制解决方案描述对的是（BCD ）A . BIMS能对所有设备进行管理，以便易用B . SecCenter统一管理不同厂商、不同设备安全事件，自动输出审计报告C . 方案中包括了EAD、防火墙、IPS、SecCenter 和iMC，构成联动方案D . 该方案能实现事前防止、事中控制和事后审计 17 SecPath 防火墙硬件可靠性体当前（ABCD ）A . 完全自主设计主板B . 机箱内部温度控制电扇C . 双电源冗余设计D . 接口模块热插拔18SecCenter重要功能涉及（ABCD ）A . 实时监控与事件关联B . 可收集近100家主流厂家安全与网络产品安全事件C . 对防火墙/IPS进行方略配备D . 1000种报表自动或手工生成19防火墙典型布置模式涉及如下哪几种（ABC ）A . 大型广域网络内部隔离B . 内部数据中心安全防护C . Internet边界安全防护20.有了防火墙，为什么还需要IPS（ ABC）A . 防火墙采用每包转发方式，不能进行包重组B . 恶意程序可以通过防火墙信任端口建立隧道穿过去C . 防火墙没有深度包检测来发现恶意代码D . 老式防火墙布置办法仅仅是网络边沿，不能防御内部袭击21.ASE产品重要功能（ABCD）A . SSL VPN加速B . HTTP加速C . 应用加速D . 负载均衡22.NSM插卡功能是（A ）A . 网络安全管理B . 网络安全监控C . 网络服务监控D . 网络服务管理23.SecCenter可以解决那些问题（ABCD ）A . 无法遵从有关法规B . 信息孤岛C . 杂乱海量信息D . 以反映性办法为核心进行建设24.间谍软件有那几种类型（ ABD）A . 浏览器劫持B . Winsock劫持C . P2P软件D . 中间人代理25.当浮现大量VPN需求时，可以引导哪些产品（CD ）A . H3C IPSB . SR系列路由器C . SecPath系列VPND . SecPath系列防火墙26.防火墙与IPS关系是（A）A . 互补关系，形成2-7层安全防护B . 没什么关系C . IPS需要防火墙联动才干发挥作用D . 代替关系，有了IPS就不需要防火墙了27.H3C SecPath系列防火墙和VPN产品中，哪款不支持SSL VPN（ B）A . F100-AB . F100-C C . F1000-SD . F1000-A28.如下哪个不是BIMS优势（ D）A . 配备集中管理和批量下发，实现了配备方略一致性和业务迅速布置B . 有效解决了动态获得IP地址分支节点配备管理C . 具备很高易操作和安全性保证D . 可以有效解决VPN设备之间动态互联问题29.SSL VPN同IPSec VPN相比优势是（ABD ）A . 可以进一步控制VPN内数据访问，进行细粒度访问控制B . 采用B/S架构，不需要进行客户端安装和维护C . 实现数据加密D . 可以定制登录界面，实现个性化配备30.关于宽带流量精细化运营解决方案作用，下面说法对的是（ACD ）A . 可以解决地下VOIP问题B . 可以解决间谍软件导致信息泄漏问题C . 可以解决带宽滥用问题D . 可以解决“一托N”问题31下面哪些是H3C SecPath 系列VPN产品功能特点（ ABCD）A . 支持IPSec VPNNAT穿越，可以灵活组网B . VPN mananger实现VPN业务集中管理C . 支持和RSA公司动态口令卡集成，保证口令安全D . 支持DVPN（动态VPN）技术，减少配备难度32.SSL VPN是解决远程顾客访问敏感公司数据最简朴最安全解决技术。

关于H3C 国密办加密模块的说明
“国家商用密码管理办公室”对“深圳市海思半导体有限公司”进行认证和授权，认可其商用密码芯片产品SSX31-B具有国密办加密算法功能。

H3C的国密办加密模块采用海思公司SSX31-B加密芯片制成，因此具有国密办商用密码功能，符合“国家商用密码管理办公室”的要求。

海思芯片支持SCB2等加密算法，支持IPSec标准封装算法。

H3C加密模块使用了海思SSX31-B加密芯片，因此支持国密办加密算法SCB2。

附1：海思在国家商业密码管理办公室的认证
附2：海思SSX31-B系列产品功能描述
/cn/products/networksecurity/networksecurity1.html
1、支持IPSec ESP和AH协议，可一次处理AH+ESP绑定数据包，实现反重放功能
2、支持IPSec ESP和AH协议，可以一次处理完成AH+ESP绑定模式的数据包
3、加密/解密单元支持算法：国家通用商密算法SCB2
4、支持的加密模式：ECB、CBC
5、Hash运算单元支持算法：HMAC-SHA-1
6、带有第三方加密和Hash算法接口，用户可以灵活使用自己的算法
7、支持多种IKE算法加速：RSA运算、DSA签名和验证、D-H密钥产生和协商
8、支持IPSec传输和隧道模式。

H3C综合日志审计平台技术白皮书1.系统简介近年来，国内外相继发生的“棱镜门”、域名系统遭攻击、国外情报机构的网络攻击工具曝光、勒索病毒爆发、大规模用户信息泄漏等问题，以及信息通信诈骗等问题不断给我们敲响警钟。

日志是对网络信息系统在运行过程中产生的事件的记录。

通过日志，信息安全人员可以了解系统的运行状况。

通过对安全相关的日志的分析，信息安全人员可以检验信息系统安全机制的有效性。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，另一方面，识别来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。

综合日志审计平台的需求H3C 综合日志审计平台能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统等产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

H3C 综合日志审计平台功能2.系统架构H3C 综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志，可结合云端的威胁情报，对海量安全日志进行统计分析和关联分析，协助用户准确、快速地识别安全事故，从而及时做出响应。

该架构可划分为四个层次，数据采集层、数据处理层、数据分析层和业务表示层。

（1）数据采集层主要利用SYSLOG、ODBC、TCP/UDP、FTP等多种协议方式，采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。

（2）数据处理层由于不同数据源对网络安全事件的定义通常具有不同的格式，还需要通过范式处理将数据归一化为统一格式，然后进行去除冗余及噪声数据。

同时实现对海量安全日志的快速检索。

（3）数据分析层通过统计分析引擎和关联分析引擎，通过融合、归并和关联底层多个安全设备提供的安全日志，并对网络中安全事件进行预警。

产品手册客服热线：400-810-0504杭州总部杭州市滨江区长河路466号邮编:310052新华三集团北京总部北京市朝阳区广顺南大街8号院 利星行中心1号楼邮编:100102Copyright2021新华三集团 保留一切权利免责声明：虽然新华三集团试图在本资料中提供准确的信息，但不保证本资料的内容不含有技术性误差或印刷性错误，为此新华三集团对本资料中信息的准确性不承担任何责任。

新华三集团保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利。

CONTENTS目录H3C Mini 产品概述01H3C Mini 产品介绍02H3C Mini 解决方案03H3C Mini 服务体系04H3C Mini 经典案例05H3C Mini产品手册H3C Mini是新华三旗下专注于中小微企业场景的网络产品系列，涵盖GR路由器、Mini交换机、Mini无线AC、Mini无线AP，随着在网络领域的深厚技术积累，2015年成立独立Mini品牌，产品全场景云端管理，致力于为商业客户提供“经济、高效、智能”的品质产品，持续提供中小企业、中小学、区县医疗、酒店、餐饮娱乐、工厂仓储等场景解决方案。

H3C Mini全家福H3C Mini产品概述Mini 应用场景商铺民宿/经济酒店小微企业别墅餐饮全千兆高性能路由器GR5200GR路由器美容美发KTV 中小学校S1008A-S S1208D-SH3C Mini系列路由器H3C Mini AP系列产品H3C Mini系列交换机H3C Mini 产品介绍Mini 吸顶AP产品规格智能无线◆无缝漫游◆黑/白名单无线客户端MAC地址接入控制◆M系列管理器和GR路由器都◆内置多路高增益全向天线◆快速二层漫游◆高通企业级无线芯片◆企业级无线信号放大电路PA和低噪功放接受电路LNA◆多SSID,SSID和VLAN绑定，安全灵活◆POE、DC电源供电广覆盖H3C Mini AP产品特点产品图片Mini室外无线产品规格H3C Mini 系列交换机是新华三推出的新一代绿色节能无管理以太网交换机产品，安装维护便利、业务特性丰富，可广泛应用于小微企业、商业连锁、酒店、校园等场景。

H3CSecPathUTM系列特征库升级典型配置举例H3C SecPath UTM系列特征库升级典型配置举例关键词：特征库摘要：本⽂主要描述了UTM设备特征库升级的典型配置⽅法。

缩略语：缩略语英⽂全名中⽂解释UTM Unified Threat Management 统⼀威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system ⼊侵防御系统⽬录1 特性简介 (1)2 应⽤场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组⽹需求 (1)4.2 配置思路 (2)4.3 使⽤版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 主要配置步骤 (3)4.5 验证结果 (5)5 相关资料 (5)5.1 其它相关资料 (5)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等，因此对于安全设备来说，必须保证特征库能够实时的更新升级，以保证它总是最新版本。

特征库的升级分为⼿动升级和⾃动升级：z⾃动升级可以帮助⽤户每隔指定的时间，使⽤特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。

z⼿动升级允许⽤户在需要的时候⼿动进⾏升级，⽤户可以⼿动设定获取特征库的协议、服务器地址和特征库⽂件名称，并且⼿动升级可以获取与设备兼容的任意⼀个版本的特征库。

⼿动升级⼀般是在⽤户的局域⽹内进⾏的。

2 应⽤场合运⾏在⽹络中的UTM设备启⽤了IPS和AV的功能，需要及时更新特征库3 注意事项要更新升级特征库，必须保证当前的License⽂件合法，并且在有效期限内。

主要配置步骤中的配置是在“应⽤安全策略”界⾯进⾏的，在左侧导航栏中点击“IPS|AV|应⽤控制 > ⾼级设置”，点击“应⽤安全策略”链接就可以进⼊“应⽤安全策略”界⾯。

4 配置举例4.1 组⽹需求某公司的内⽹⽹段为192.168.1.0/24，通过GE0/2连接到外⽹。

⽤户登录UTM的内⽹或外⽹接⼝地址，可以对UTM进⾏⼿动特征库升级操作；设置⾃动升级后，UTM会按照设定的时间⾃动进⾏特征库升级。

H3C SecCenter CSAP-SA-AK系列综合日志审计系统用户FAQCopyright © 2019 新华三技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

目录1硬件类FAQ (1)1.1 硬件简介 (1)2售前FAQ (2)2.1 什么是综合日志审计？ (2)2.2 为什么各类IT设备自身都有审计日志，还需要我们的什么产品？ (2)2.3 综合日志审计平台能做什么？ (2)3售后FAQ (2)3.1 日志采集范围： (2)3.2 端口可达的情况下，SSH远程连接失败？ (3)3.3 Web页面无法访问 (3)3.4 Windows Agent安装失败 (3)3.5 Windows Agent配置无法保存 (4)3.6 Windows日志源无日志 (4)3.7 Syslog日志源无日志 (4)3.8 日志查询显示other和未知事件 (4)3.9 日志查询收集的日志之前可以解析，突然出现不能解析的情况 (5)3.10 网卡模块 (5)3.11 Windows XP和Winserver 2003系统安装完Agent后，系统日志采集列表处显示空白或显示不全 (5)3.12 设备关机重启 (6)3.13 设备WMI采集不到日志 (6)3.14 设备导入授权后资产数和剩余资产数显示不变 (6)3.15 设置了自动转存路径，但是在转存路径下无文件 (6)3.16 告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效 (7)3.17 设备插上或拔出插卡未初始化，导致网络>网络设置，修改设备地址功能不生效 (7)3.18 配置完过滤规则后，过滤功能不生效 (7)3.19 点击日志还原，日志还原功能不生效 (7)3.20 设备已导入正式授权，再导入之前临时的授权文件，License会更新 (7)3.21 设备同时配置主备DNS，当主DNS生效时，备DNS不生效 (8)3.22 日志审计系统通过snmptrap接收日志，当前交换机、数据库审计等设备可以接收到日志,但日志不解析，ACG等设备无法接收到日志 (8)3.23 设置session会话超时时间，修改后，会自动退出到登录界面 (8)3.24 系统内存总量、磁盘总量显示不准确，无法读出磁盘使用量 (8)3.25 分析目录下部分图表的横坐标IP地址及应用名称显示不全 (9)3.26 Web页面无法恢复出厂设置 (9)3.27 通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差 (9)3.28 设备面板口接口坏掉一个或多个，初始化后会导致接口顺序混乱 (9)3.29 设备面板口接口坏掉一个或多个，初始化后会导致接口顺序混乱 (9)本文档介绍H3C SecCenter CSAP-SA综合日志审计平台的用户常见问题及解答。

H3C Mini iMC智能管理中心宣传彩页1 产品简介iMC智能管理平台中小型网络管理版（后续简称为Mini iMC）面向的是中小型企业网络用户（40节点以下），涵盖了传统网管的基本功能，包括设备管理、拓扑管理、告警管理、性能管理等。

不仅能够管理H3C公司的全线数据通信设备，还能够通过标准MIB管理Cisco、3Com、华为等各主流厂商的数据通信设备。

Mini iMC的管理特性主要包括：z集中化的设备资源管理z丰富的设备资源管理能力z实用的网络视图z完整的网络拓扑z智能的告警显示z直观的状态监控z简单易用的性能管理2 产品特点y集中化的设备资源管理1. 对H3C、3Com、华为、Cisco各厂家网络设备的分类和识别；对设备状态和基本信息的管理，包含了设备的基本信息、接口信息、性能数据和告警信息。

2. 支持对设备访问参数的批量配置和校验，提供对网络设备资源的查找、修改、删除和批量导入/导出功能。

y丰富的设备资源管理能力1. 能够通过自动发现和手工添加方式增加网络设备资源；自动发现支持多种方式，除了简易的种子发现方式外，还支持路由方式、ARP方式、IPSec VPN方式、网段方式发现网络设备。

2. 支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。

3. 支持对设备以及接口的管理/去管理，接口信息的显示和接口UP/DOWN配置。

y实用的网络视图具备实用的视图功能，使得管理员可以从多个角度观测和管理网络。

1. 通过IP视图，用户可以观测网络的逻辑结构。

2. 设备视图，使得用户对网络中设备类型和数量一目了然。

y完整的网络拓扑拓扑更加美观清晰，能够实时显示当前视图的拓扑状态。

通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息，管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视。

拓扑上提供了常用的Ping、Telnet、TraceRoute、打开设备Web网管、管理/不管理设备等常用操作和相关链接，拓扑可以作为管理员管理网络的主要入口。

技术支持中心H3C iMC开局配置一指禅H3C官方网站： H3C知了社区：服务热线：400-810-0504目录一、iMC 产品简介 (3)二、iMC资料介绍 (4)1、官网资料 (4)2、大讲堂多媒体视频 (6)3、KMS案例库 (8)4、根叔的云图 (9)5、根叔的种子 (12)三、iMC安装注册升级三部曲 (14)1、iMC软件下载 (14)2、iMC安装 (16)3、License注册 (18)4、iMC升级 (19)四、iMC功能配置指导 (19)五、iMC通用故障信息收集方法 (22)六、iMC常见功能速查及故障排查 (29)1、Portal认证 (29)2、Dbman数据备份与恢复 (31)3、802.1x认证 (31)4、Portal无感知 (33)5、短信认证 (33)6、MAC地址认证 (33)7、WSM无法同步AC或AP (33)8、PLAT设备管理/SNMP (34)9、PLAT告警管理 (34)10、拓扑管理 (35)11、LDAP认证 (35)12、访客管理 (35)13、iNode (36)14、EAD (36)15、APM (36)16、NTA/UBA (37)一、iMC 产品简介二、iMC资料介绍iMC资料主要分为5部分：官网资料，大讲堂多媒体视频，KMS案例库，根叔的云图，根叔的种子1、官网资料官网地址：登录方式：使用自己注册的账号/密码登录路径：（1）、官网>服务>文档中心>管理软件/cn/Service/Document_Center/IP_Management/（2）、官网>服务>技术资料>业务软件/cn/Service/TechnicalInfo/PorductMaintanInfo/Softwa re/2、大讲堂多媒体视频地址：登录方式：使用代理商账号密码登录。

多媒体视频资料见下表：3、KMS案例库网址：登录方式：使用代理商账号密码登录。

H3C SecPath UTM Series Anti-Spam ConfigurationExampleKeywords: Anti-spam,SMTP, POP3Abstract: This document presents an anti-spam configuration example for UTM devices.Acronyms:Acronym Full spellingUTM Unified Threat ManagementSMTP Simple Mail Transfer ProtocolPOP3 Post Office Protocol, Version 3Table of ContentsFeature Overview (3)Application Scenarios (3)Configuration Guidelines (3)Anti-Spam Configuration Example (3)Network Requirements (3)Configuration Considerations (4)Hardware/Software Version Used (4)Configuration Procedures (4)Basic Configuration (4)Anti-Spam Configuration (7)Verification (10)Related Documentation (11)Feature OverviewBy cooperating with a Commtouch mail server (a third-party mail server), the anti-spam feature of an H3C UTM device can inspect all emails sent from external networks to the internal network and process the emails as configured, so as to prevent spam from wasting the resources of the internal network.With the anti-spam feature configured, the device forwards all emails received from external networks to the Commtouch mail server for inspection and, after receiving the inspection results, processes the emails based on the actions specified in the anti-spam policy.The anti-spam feature supports inspecting Simple Mail Transfer Protocol (SMTP) emails and Post Office Protocol, Version 3 (POP3) emails:z SMTP: In a scenario where the SMTP clients are on the external network and the SMTP server is on the internal network.z POP3: In a scenario where the POP3 clients are on the internal network and the POP3 server is on the external network.Application ScenariosThe anti-spam feature can be deployed to check emails entering an internal network to prevent email spam from occupying resources of the internal network.Configuration GuidelinesBefore configuring the anti-spam feature, ensure that:z The device can communicate with the Commtouch mail server normally. The address of the Commtouch mail server is http://resolver%, where %d indicates a number in therange from 1 to 10.z The device has a legal, effective license of the anti-spam feature.z The device can connect to to verify the validity of the license for the anti-spam feature. When the license of the anti-spam feature expires, all anti-spam configurations will not beeffective any more.Anti-Spam Configuration ExampleNetwork RequirementsAs shown in Figure 1, the internal network of a company is 4.1.1.0/24, and the external network is 192.168.100.0/22. Configure the UTM device to inspect emails received from the POP3 server and process those emails as follows:z Modify the subjects of emails from known spam sources and log them.z Modify the subjects of emails from unknown spam sources and log them.z Log suspicious emails.z Forward normal emails normally.Figure 1 Network diagram for anti-spam configurationConfiguration Considerationsz Redirect the traffic of interest for in-depth inspection.z Configure the anti-spam policy and rules.z Apply the policy to the segment.Hardware/Software Version Used<H3C>dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Ess 5115Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C SecPath U200-CM uptime is 0 week, 3 days, 20 hours, 54 minutesCPU type: RMI XLS404 800MHz CPU512M bytes DDR2 SDRAM Memory32M bytes Flash Memory247M bytes CF0 CardPCB Version:Ver.BLogic Version: 2.0Basic BootWare Version: 1.23Extend BootWare Version: 1.23[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[SUBCARD 1] 2GE (Hardware)Ver.B, (Driver)1.0, (Cpld)1.0Configuration ProceduresBasic ConfigurationConfiguring interface GE 0/1Select Device Management > Interface from the navigation tree and then click the icon of GE 0/1 to enter the interface configuration page. Perform the configurations shown in the following figure and click Apply.Select Device Management > Zone from the navigation tree and then click the icon of the Untrust zone to enter the page for modifying the security zone configurations. Add interface GE 0/1 to the Untrust zone as shown in the following figure, and click Apply to complete the operation and return to the security zone page.Configuring interface GE 0/4Similarly, assign IP address 4.1.1.1/24 to interface GE 0/4 and add the interface to security zone Trust. Selecting Device Management > Interface from the navigation tree, you should see the following list:Configuring NATTo enable internal hosts to connect to the external network through the UTM device, you need to configure a NAT policy on interface GE 0/1. In this example, the policy references ACL 3004 and uses the NAT mode of Easy IP.Select Firewall > ACL from the navigation tree and then create ACL 3004 and add a rule to the ACL to identify the flow of interest. In this example, the ACL permits packets sourced from 4.1.1.0/24. The configurations are shown in the following figure:Select Firewall > NAT Policy > Dynamic NAT from the navigation tree and then under Dynamic NAT, click Add and then specify ACL 3004 and Easy IP for interface GigabitEthernet 0/1. The following figure shows the configuration result:Configuring a routeSelect Network > Routing Management > Static Routing from the navigation tree and configure a default route, setting the next hop to the IP address for the intranet side interface of the router that connects the GE 0/1 interface of the UTM device with the external network (192.168.100.254 in this example).Configuring a redirect policyConfigure a redirect policy to redirect the flow of interest to the i-Ware platform for in-depth analysis. In this example, traffic between zone Trust and zone Untrust that matches ACL 3000 will be redirected to segment 0.First , select Firewall > ACL from the navigation tree and then create ACL 3000 and add rules to the ACL to identify the traffic of interest. The configurations are shown in the following figure:Then, select IPS | AV | Application Control > Advanced Configuration from the navigation tree and create a redirect policy to redirect traffic matching ACL 3000 to segment 0.Anti-Spam ConfigurationSelect IPS | AV | Application Control > Advanced Configuration from the navigation tree and click the Application Security Policy link to enter the in-depth inspection configuration page.Enabling anti-spam inspectionSelect Anti-Spam > Anti-Spam from the navigation tree and perform the following configurations in the Server Configuration area:z Select the Antispam inspection check box.z Click Apply.z After a while, you will see that the operation status becomes normal.z If the UTM device connects to the Commtouch mail server through a proxy server, you need to configure the proxy server according to the networking scheme.z The anti-spam signature database stores all email spam signatures that the device can identify.The license of the anti-spam feature has a validity period specified. After the license expires, you need to recharge to obtain a new license before upgrading the anti-spam signature database.Creating and applying the anti-spam policyUnder Policy Application List, click Add and perform the following configurations:z Type test as the name.z Select Modify subject and log as the action for POP3 emails from known spam sources.z Select Modify subject and log as the action for POP3 emails from unknown spam sources.z Select Log as the action for suspicious POP3 emails.z Select Log as the action for normal POP3 emails.z Under Apply Policy, click Add and perform the following configurations on the page that appears: z Select segment 0.z Click Apply.z Now, segment 0 should appear on the list under Apply Policy. Click Apply to complete the operation.Activating configurationsAfter the application operation is complete, the anti-spam configuration page appears again, as shown in the following figure. Click Activate and confirm your operation.VerificationOn internal host 4.1.1.2, configure Outlook Express to receive emails. Then, on the web interface of the device, select Log Management > Anti-Spam Logs from the navigation tree. Logs about inspection and processing of emails destined for the user should appear on the list.Hangzhou H3C Technologies Co., Ltd. 11/11Related DocumentationAnti-Spam Configuration of the Web configuration manual.。

h3c mini m60说明书全新的硬件架构，全千兆高速上网体验* 采用全新的硬件架构，专业的双核64位网络处理器。

* 支持2个千兆WAN口，3个千兆LAN口。

* 硬件拨码开关，路由及AC模式一键切换。

支持LAN/WAN切换，负载均衡* 默认双WAN口，支持LAN/WAN切换，便于多运营商接入，提高出口上网速率，最多支持4个WAN口。

* 支持负载均衡，可以让用户根据线路实际带宽分配网络流量，达到充分利用带宽的目的。

* 支持带宽保障，当其中一条运营商线路出现故障时，其余线路也能正常工作，上网不受影响。

企业级IPSec VPN/L2TP VPN功能* 支持IPSec VPN，通过简单的WEB配置实现端到端安全的VPN 连接，支持多种加密算法，是分支节点理想的接入设备。

* 支持L2TP VPN，同时支持LNS（服务器模式）、LAC（客户端模式），使总部+分支机构的组网方式更便捷、更安全。

支持快速扩展无线AP* 内置AC功能，支持对H3C Mini系列无线AP的统一管理。

* AP零配置，即插即用。

专业的上网行为管理，智能的流量管理* 支持全新的用户上网行为管理模块，支持组策略的配置，通过该模块可以轻松的制定企业用户的访问权限和策略。

* 支持多种即时通信软件的应用控制，比如QQ/IM软件的应用控制功能。

* 通过基于IP的网络流量限速机制和NAT表项限制机制，可以有效控制BT/迅雷等P2P软件对网络带宽的过度占用。

* 支持针对IP网段/IP范围以共享和独占的方式根据特定的时间段进行 QoS策略配置，满足用户灵活的业务配置需求。

企业级的安全防护* 内置专业的防火墙，可以防护外部多种专业的攻击手段，如：ARP攻击、DDOS攻击、端口扫描等等。

* 支持ARP防伪认证功能，可以有效地避免内部PC中毒后引起的网络中断，有效保障上网体验。

第一局部重点学问点：SecCenter：1、SecCenter共两款产品：SecCenter A1000 安全治理中心和H3C SecCenter安全治理平台。

2、SecCenter A1000安全治理中心供给了综合的安全智能、高效实施的安全信息和大事治理〔SIEM〕解决方案，能够对全网海量的安全大事、日志进展集中收集与统一分析，兼容异构网络中各厂商的多种设备。

SecCenter A1000 可以实时监控全网安全状况，依据不同用户的需求自动供给丰富的报告和具有说服力的网络安全状况评估与政策符合性审计。

同时SecCenter A1000是一个盒式设备。

〔本章重点讲SecCenter A1000〕3、H3C SecCenter 安全治理平台是不同于SecCenter a1000 的另一款产品，其下有很多组件：a)H3C SecCenter 应用掌握与审计治理系统(ACG manager)用于治理ACG；b)H3C SecCenter IPS manager 用于治理IPS 设备；c)H3C SecCenter UTM manager 用于治理UTM 设备；d)H3C SecCenter 智能流量分析系统〔iTAS〕e)NTC 网络流量清洗治理f)Firewall Manager4、SecCenter能够供给如下主要法规服从性报告：a)Sarbanes-Oxley♣萨班斯法案b)GLBA♣格雷姆-里奇-比利雷法c)HIPAA♣安康保险可携性和可纠责性法案d)FISMA♣联邦信息安全治理法案e)同时SecCenter 供给了敏捷的报告定制功能。

5、Seccenter能够解析的日志有：支持Syslog、netstream、netflow 、cflow、SecPathbinary flow 等多种日志格式.100 多主流厂商的日志，可以定制日志。

6、缺省seccenter 开启的是syslog 日志，SECENTER A1000 接收SYSLOG 日志开启的端口是UDP 514。