H3C SecPath U200系列统一威胁管理 彩页-200811

管 理 创 新【摘　要】当前，随着信息网络技术的迅猛发展，影响中职学校校园网的不安全因素越来越多。

本文列举了影响校园网安全的常见因素，介绍了常用网络安全技术，并提出了校园网安全问题的解决方案。

随着网络的快速发展和不断普及，很多中等职业学校都建设了校园网并通过各种渠道接入了Internet，还有些学校已经使用校园网来提高学校的信息化管理水平。

但是随着校园网规模不断扩大，需要的功能不断增加，应用环境日趋复杂，负责管理校园网络的管理人员相对较少，导致校园网事故时有发生。

因此，对于如何提高校园网络的安全性和稳定性，是各个中职院校需要重视的问题。

【关键词】校园网安全；防火墙；入侵检测技术；VLAN技术一、校园网目前存在的安全隐患1.计算机病毒的威胁当今社会，计算机病毒的威胁时刻影响着互联网，病毒制造者不断制造更隐蔽、破坏性更强的病毒。

当校园网接入Internet后，受病毒感染的机会成倍增加，往往在浏览一个网页，或者打开一个邮件时，都有可能使计算机感染上病毒。

当校园网中任意一台机器感染上病毒，如果措施不当，极有可能会造成严重后果，轻则系统被破坏，重则大量资料被毁，甚至造成硬件的损坏。

还有可能会在局域网内扩散，破坏网络资源，使整个网络的效率和作用急剧下降，直至造成校园网络系统的瘫痪。

2.非法入侵和破坏黑客攻击是网络中一个常见的安全隐患，接入Internet的校园网同样存在着被非法入侵的可能。

现在互联网中黑客工具随处可以下载，黑客工具教学的网站和培训班到处都是，对于一个电脑爱好者来说，想掌握一些黑客工具的使用已不再是一件难事。

即使在校园网的内部，也不乏跃跃欲试者，或有其他企图者，他们也可能会使用非法的手段对网络进行攻击，或者设法入侵服务器，有选择的破坏信息的有效性和完整性，导致数据被获取或修改，从而对整个网络系统造成破坏。

3.系统自身的安全隐患任何系统都可能存在缺陷，操作系统和网络软件也是有漏洞的，中职院校校园网中服务器操作系统基本上使用的是Windows 2003 Server。

H3C SecPath 入侵防御系统产品概述H3C SecPath IPS （Intrusion Prevention System ）集成入侵防御与检测、病毒过滤、带宽管理和URL 过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

产品系列SecPath T200-ESecPath T200SecPath T1000-ASecPath T1000-MSecPathT1000-S典型组网SecPath IPS 在线部署模式SecPath IPS镜像产品特点强大的入侵抵御能力SecPath IPS 是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS 产品，特征库数量已达10000+。

配合H3C FIRST （Full Inspection with Rigorous State Test ）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

专业的病毒查杀SecPath IPS集成卡巴斯基防病毒引擎，内置专业病毒库。

采用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

零时差的应用保护H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到IPS设备中，使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

带宽滥用控制SecPath IPS能帮助用户遏制非关键应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。

安全产品介绍第一章 H3C UTM介绍 (1)1.1 H3C SecPath U200-A (11)1.2 H3C SecPath U200-M (12)1.3 H3C SecPath U200-S (13)1.4 H3C SecPath U200-CA (14)1.5 H3C SecPath U200-CM (15)1.5 H3C SecPath U200-CS (15)第一章 H3C UTM介绍H3C SecPath U200是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。

在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

H3C公司的SecPath U200不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。

市场领先的安全防护功能l 完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。

能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。

l 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。

l 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。

l 实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。

H3C SecPath T200-S 入侵防御系统产品概述H3C SecPath T200-S IPS （Intrusion Prevention System ）集成入侵防御与检测、病毒过滤、带宽管理和URL 过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

SecPath T200-S IPS 适用于企业用户、行业用户的互联网出口和广域网边界。

SecPath T200-S典型组网SecPath IPS 在线部署模式SecPath IPS镜像产品特点强大的入侵抵御能力SecPath IPS 是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS 产品，特征库数量已达10000+。

配合H3C FIRST （Full Inspection with Rigorous State Test ）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS 通过了国际权威组织CVE(Common Vulnerabilities & Exposures ，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

专业的病毒查杀SecPath T200-S IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

零时差的应用保护H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；H3C通过了微软的MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。

H3C UTM产品日常维护指导书V1.0杭州华三通信技术有限公司修订记录目录第1章日常维护建议 (2)1.1 UTM产品日常维护建议 (2)第2章维护操作指导 (4)2.1 H3C UTM设备日常维护操作指导 (4)2.2 H3C UTM设备季度维护操作指导 (4)2.3 H3C UTM设备年度维护操作指导 (5)第3章维护记录表格 (6)3.1 H3C UTM设备日常维护值班日志 (6)3.2 H3C UTM设备季度维护记录表 (7)3.3 H3C UTM设备年度维护记录表 (8)3.4 H3C UTM设备突发问题处理记录表 (9)3.5 硬件更换记录表 (10)3.6 系统参数修改记录表 (11)第4章常见故障处理 (12)4.1 Ping不通或丢包 (12)4.1.1 故障描述 (12)4.1.2 故障处理步骤 (12)4.2 有NAT转换情况下，Ping丢包或不通 (13)4.2.1 故障描述 (13)4.2.2 故障处理步骤 (13)4.2.3 故障诊断命令 ................................................................................. 错误!未定义书签。

4.3 动态NAT转换故障(以动态NAT Outbound为例) (14)4.3.1 故障描述 (14)4.3.2 故障处理步骤 (15)4.4 设备作为出口网关设备割接之后，NAT业务不通，但是设备接口IP地址可以Ping通 (16)4.4.1 故障描述 (16)4.4.2 故障处理步骤 (16)4.4.3 故障诊断命令 ................................................................................. 错误!未定义书签。

4.5 CPU占用率高 (17)4.5.1 故障描述 (17)4.5.2 故障处理步骤 (18)4.6 内存占用率高 (19)4.6.1 故障描述 (19)4.6.2 故障处理步骤 (19)4.6.3 故障诊断命令 ................................................................................. 错误!未定义书签。

H3C SecPath T200-M 入侵防御系统1 产品概述H3C SecPath T200-M IPS（Intrusion Prevention System）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

SecPath T200-M IPS适用于小型网络的数据中心和中小型网络边界。

图1SecPath T200-M2 产品特点强大的入侵抵御能力SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达10000+。

配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS通过了国际权威组织CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

专业的病毒查杀SecPath T200-M IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

零时差的应用保护H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；H3C通过了微软的MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。

目录6 UTM设备的软件维护..........................................................................................................................6-16.1 简介...................................................................................................................................................6-16.1.1 UTM设备管理的文件..............................................................................................................6-16.1.2 BootWare程序文件.................................................................................................................6-16.1.3 应用程序文件..........................................................................................................................6-16.1.4 配置文件.................................................................................................................................6-26.1.5 UTM设备的软件维护的几种方法............................................................................................6-26.2 BootWare菜单...................................................................................................................................6-36.2.1 BootWare主菜单.....................................................................................................................6-36.2.2 串口子菜单..............................................................................................................................6-66.2.3 以太网子菜单..........................................................................................................................6-66.2.4 文件控制子菜单......................................................................................................................6-76.2.5 BootWare操作子菜单.............................................................................................................6-76.2.6 存储设备操作子菜单...............................................................................................................6-86.3 通过串口升级BootWare和应用程序..................................................................................................6-86.3.1 XModem协议简介...................................................................................................................6-86.3.2 串口参数的修改......................................................................................................................6-96.3.3 升级应用程序........................................................................................................................6-106.3.4 升级BootWare......................................................................................................................6-126.4 通过TFTP升级应用程序..................................................................................................................6-146.4.1 在BootWare菜单中通过TFTP升级应用程序.........................................................................6-156.4.2 在命令行模式通过TFTP升级和备份应用程序.......................................................................6-176.5 通过FTP升级应用程序....................................................................................................................6-196.5.1 通过BootWare菜单升级应用程序.........................................................................................6-196.5.2 在命令模式下通过FTP升级应用程序....................................................................................6-206.6 应用程序以及配置文件的维护.........................................................................................................6-246.6.1 显示所有文件........................................................................................................................6-256.6.2 设置应用程序文件类型.........................................................................................................6-256.6.3 删除文件...............................................................................................................................6-266.6.4 设置下次启动配置文件.........................................................................................................6-276.7 口令的丢失处理和修改....................................................................................................................6-286.7.1 BootWare口令丢失处理和修改.............................................................................................6-286.7.2 用户口令丢失的处理.............................................................................................................6-286.7.3 Super Password口令丢失的处理..........................................................................................6-296.8 BootWare的备份和恢复..................................................................................................................6-306.8.1 备份完整BootWare...............................................................................................................6-306.8.2 恢复完整BootWare...............................................................................................................6-31 6.9 Web方式/i-Ware方式升级管理配置.................................................................................................6-326.9.1 概述......................................................................................................................................6-326.9.2 Web方式升级软件.................................................................................................................6-336.9.3 i-Ware方式升级特征库和维护配置文件................................................................................6-356 UTM设备的软件维护6.1 简介6.1.1 UTM设备管理的文件UTM设备有三类文件需要管理，分别是：z BootWare程序文件z应用程序文件z配置文件6.1.2 BootWare程序文件BootWare程序文件是UTM设备启动时用来引导应用程序的文件。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM （United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。

H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。

2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口，Trust域，192.168.1.1/24Eth0/0 Trust域，10.254.254.1/24G0/2 三层接口，Untrust域，202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口，PVID 10，Trust域G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，10.254.254.1/24vlan-interface 10 Trust域，192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理> 深度安全策略。

H3C SecPath 防火墙/VPN产品概述H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。

支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN和动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

SecPath 防火墙/VPN系列产品典型组网产品特点扩展性最强基于H3C先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。

强大的攻击防范能力能防御DoS/DDoS攻击（如CC、SYN Flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。

增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。

丰富的VPN特性集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。

应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。

H3C SecPath U200至中神通UTMWALL的功能迁移手册更多产品迁移说明：SecPath U系列统一威胁管理产品是H3C公司自主研发的、面向企业级用户开发的新一代专业UTM设备。

SecPath U 系列统一威胁管理产品除了具有传统的防火墙功能外，还支持虚拟设备、安全区域、入侵检测和防御、网关防病毒、防垃圾邮件、P2P 流量控制、URL 过滤等功能，且支持特征库动态更新，能够有效地保证网络安全；采用ASPF 技术，可以对连接过程和非法操作进行监测，并协同ACL 完成动态包过滤；支持多种VPN 业务，提供丰富的路由能力。

武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品，有硬件整机、OS软件、虚拟化云网关等三种产品形式，OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成，每个APP都有配套的在线帮助、任务向导、视频演示和状态统计，可以担当安全网关、防火墙、UTM、NGFW等角色，胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任，具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点，是云计算时代的网络安全产品。

以下是两者之间的功能对比迁移表：SecPath U200业务特性特性说明中神通UTMWALL v1.8功能项页码Web 概述对防火墙功能的Web 网管进行了整体的介绍B快速安装指南2.4 菜单界面954设备概览设备概览模块可以帮助用户了解设备的状态和概要信息，如系统资源状态、设备接口信息等。

1.1系统概要/仪表盘1.5 网卡状态1725防火墙策略配置向导提供了对虚拟设备的防火墙策略的快速配置功能，可以帮助用户完成域间策略相关参数的配置。

2.2 初始设置2.3 任务向导4952IPSec VPN 配置向导IPSec VPN 策略配置向导提供了对IPSec VPN 的快速配置功能，可以帮助用户完成IPSec VPN 相关参数的配置。

目录4 UTM设备的安装.................................................................................................................................4-14.1 安装前的准备工作.............................................................................................................................4-14.2 UTM设备的安装流程.........................................................................................................................4-14.3 安装UTM设备到指定位置..................................................................................................................4-24.3.1 将UTM设备安装到工作台上....................................................................................................4-24.3.2 将UTM设备安装到机柜上.......................................................................................................4-24.4 安装通用模块.....................................................................................................................................4-44.5 连接保护地线.....................................................................................................................................4-44.5.1 连接保护地线的重要性...........................................................................................................4-44.5.2 连接保护地线的方法...............................................................................................................4-44.6 安装网口避雷器（可选）..................................................................................................................4-64.6.1 需要工具.................................................................................................................................4-64.6.2 安装步骤.................................................................................................................................4-64.6.3 安装注意事项..........................................................................................................................4-74.7 安装交流电源避雷器（防雷接线排）（可选）..................................................................................4-74.8 选择和安装信号避雷器（可选）........................................................................................................4-84.9 连接电源线........................................................................................................................................4-94.9.1 电源接口及保护地...................................................................................................................4-94.9.2 连接交流电源线....................................................................................................................4-104.10 连接接口电缆.................................................................................................................................4-104.10.1 连接Console口电缆............................................................................................................4-104.10.2 连接以太网电缆..................................................................................................................4-114.10.3 连接2GE模块接口电缆.......................................................................................................4-124.10.4 连接NSQ1GT2UA0模块接口电缆......................................................................................4-124.10.5 连接NSQ1GP4U0模块接口电缆........................................................................................4-124.10.6 连接NSQ1WLAN0模块接口天线........................................................................................4-134.11 安装后的检查.................................................................................................................................4-134 UTM设备的安装4.1 安装前的准备工作z请确认已经仔细阅读第3章的内容。

目录1 前言...................................................................................................................................................1-11.1 概述...................................................................................................................................................1-11.2 使用说明............................................................................................................................................1-11.3 缩略语...............................................................................................................................................1-12 安全注意事项.....................................................................................................................................2-12.1 基本要求............................................................................................................................................2-12.2 环境要求............................................................................................................................................2-12.3 使用须知............................................................................................................................................2-12.4 清洁须知............................................................................................................................................2-23 产品介绍............................................................................................................................................3-13.1 产品简介............................................................................................................................................3-13.2 应用环境............................................................................................................................................3-13.3 产品特性............................................................................................................................................3-13.4 产品外观............................................................................................................................................3-23.4.1 前面板.....................................................................................................................................3-23.4.2 后面板.....................................................................................................................................3-33.5 产品规格............................................................................................................................................3-44 开通前预配置.....................................................................................................................................4-14.1 环境准备............................................................................................................................................4-14.2 开箱检查............................................................................................................................................4-14.2.1 配件检查.................................................................................................................................4-14.2.2 设备ID检查..............................................................................................................................4-14.3 硬件连接............................................................................................................................................4-24.3.1 设备连线.................................................................................................................................4-24.3.2 开启电源.................................................................................................................................4-24.4 参数准备............................................................................................................................................4-34.4.1 设备登录参数..........................................................................................................................4-34.4.2 配置信息准备..........................................................................................................................4-34.5 登录操作............................................................................................................................................4-44.5.1 PC操作台设置.........................................................................................................................4-44.5.2 登录配置界面..........................................................................................................................4-44.6 开通前预配置.....................................................................................................................................4-44.6.1 配置向导.................................................................................................................................4-44.6.2 选择接入方式..........................................................................................................................4-64.6.4 配置允许进行远程Web登录的主机IP地址..............................................................................4-94.6.5 配置TR069管理平台............................................................................................................4-114.6.6 配置SNMP Trap上报主机地址和SNMP管理地址.................................................................4-124.6.7 配置远程Syslog主机地址......................................................................................................4-134.6.8 配置远程Userlog主机地址....................................................................................................4-144.7 配置状态检查...................................................................................................................................4-164.8 保存配置..........................................................................................................................................4-164.8.1 配置保存...............................................................................................................................4-164.8.2 装箱......................................................................................................................................4-185 产品安装............................................................................................................................................5-15.1 现场连接............................................................................................................................................5-15.2 设备加电............................................................................................................................................5-25.3 客户信息交付和告知..........................................................................................................................5-25.4 连接状态检测.....................................................................................................................................5-26 基本功能配置.....................................................................................................................................6-16.1 修改宽带上网参数.............................................................................................................................6-16.2 配置页面访问密码修改......................................................................................................................6-26.3 无线组网............................................................................................................................................6-36.3.1 使用出厂预配置的无线网络....................................................................................................6-36.3.2 添加新的无线网络...................................................................................................................6-36.4 访问控制............................................................................................................................................6-66.5 入侵检测............................................................................................................................................6-96.6 Web过滤..........................................................................................................................................6-126.6.1 功能简介...............................................................................................................................6-126.6.2 配置举例...............................................................................................................................6-166.7 IPS（入侵防御系统）.....................................................................................................................6-216.8 防病毒.............................................................................................................................................6-216.9 应用程序控制...................................................................................................................................6-226.10 日志配置........................................................................................................................................6-236.11 会话管理........................................................................................................................................6-246.11.1 查看会话列表......................................................................................................................6-246.11.2 配置会话基本设置...............................................................................................................6-256.11.3 配置会话高级设置...............................................................................................................6-266.11.4 配置会话统计使能状态.......................................................................................................6-277 高级功能配置.....................................................................................................................................7-17.1 双线上行（双WAN连接）.................................................................................................................7-17.1.1 综述........................................................................................................................................7-17.2 NAT（包含DMZ及虚拟服务器）.......................................................................................................7-57.2.1 综述........................................................................................................................................7-57.2.2 配置举例（以GE0/1上配置NAT为例）：..............................................................................7-5 7.3 DNS...................................................................................................................................................7-97.3.1 综述........................................................................................................................................7-97.3.2 配置......................................................................................................................................7-10 7.4 DHCP Server..................................................................................................................................7-117.4.1 综述......................................................................................................................................7-117.4.2 配置......................................................................................................................................7-12 7.5 内网网段划分及控制........................................................................................................................7-157.5.1 综述......................................................................................................................................7-157.5.2 配置......................................................................................................................................7-15 7.6 静态路由..........................................................................................................................................7-187.6.1 综述......................................................................................................................................7-187.6.2 配置......................................................................................................................................7-18 7.7 ARP管理..........................................................................................................................................7-197.7.1 ARP表...................................................................................................................................7-197.7.2 免费ARP...............................................................................................................................7-207.7.3 动态表项管理........................................................................................................................7-21 7.8 ARP防攻击......................................................................................................................................7-227.8.1 综述......................................................................................................................................7-227.8.2 配置......................................................................................................................................7-22 7.9 负载均衡..........................................................................................................................................7-247.9.1 综述......................................................................................................................................7-247.9.2 配置......................................................................................................................................7-24 7.10 虚拟专网（IPSec VPN）..............................................................................................................7-287.10.1 综述....................................................................................................................................7-287.10.2 配置....................................................................................................................................7-29 7.11 L2TP..............................................................................................................................................7-397.11.1 综述....................................................................................................................................7-397.11.2 配置....................................................................................................................................7-39 7.12 GRE..............................................................................................................................................7-427.12.1 综述....................................................................................................................................7-427.12.2 配置....................................................................................................................................7-42 7.13 流量监管........................................................................................................................................7-477.13.1 综述....................................................................................................................................7-477.13.2 配置举例.............................................................................................................................7-477.14 服务质量保证（QoS）..................................................................................................................7-497.14.1 综述....................................................................................................................................7-497.14.2 网段带宽限速配置...............................................................................................................7-507.14.3 高级带宽限速配置...............................................................................................................7-507.14.4 高级带宽保证配置...............................................................................................................7-527.15 无线加密/鉴权等配置.....................................................................................................................7-547.15.1 综述....................................................................................................................................7-547.15.2 配置....................................................................................................................................7-568 设备恢复和升级.................................................................................................................................8-18.1 恢复到开通前预配置..........................................................................................................................8-18.2 恢复到出厂预配置.............................................................................................................................8-18.3 设备升级............................................................................................................................................8-28.4 特征库升级........................................................................................................................................8-38.5 特征库License...................................................................................................................................8-49 设备运行状态查看..............................................................................................................................9-19.1 设备状态查看.....................................................................................................................................9-19.1.1 设备信息.................................................................................................................................9-19.1.2 接口状态.................................................................................................................................9-19.1.3 路由信息.................................................................................................................................9-29.1.4 VPN状态.................................................................................................................................9-29.1.5 无线状态.................................................................................................................................9-39.2 设备日志查看.....................................................................................................................................9-39.2.1 综述........................................................................................................................................9-39.2.2 设备访问日志..........................................................................................................................9-39.2.3 设备安全日志..........................................................................................................................9-410 故障诊断和处理方法......................................................................................................................10-110.1 常见故障列表.................................................................................................................................10-110.2 远程诊断........................................................................................................................................10-110.3 现场故障处理.................................................................................................................................10-210.4 诊断工具使用介绍.........................................................................................................................10-210.4.1 Ping工具.............................................................................................................................10-210.4.2 路由追踪工具（TraceRoute）............................................................................................10-3附录A 设备出厂预配置清单. (1)附录B Windows XP无线客户端配置 (1)附录C Windows XP配置动态获取IP地址 (1)附录D IPSec VPN客户端配置 (1)附录E 配置界面简介 (1)1 前言1.1 概述本手册面向H3C SecPath U200-C统一威胁管理产品的安装维护和技术支持工程师，用于指导其安装维护操作。

SecPath T1000-S入侵防御系统H3C SecPath T1000-S入侵防御系统(Intrusion PreventionSystem，IPS)是H3C公司开发的业界领先的IPS产品。

它以在线的方式部署在网络的关键路径上，对经过的数据流进行2到7层的深度分析，能精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，还具有实用的带宽管理和URL过滤功能，可为用户网络提供最全面的深度防御。

SecPath T1000-S系列入侵防御系统外观图CN-082330-20080306-LF-V1.0-过滤变种病毒网络基础设施保护-保护DNS 和其他网络基础设施-抵御流量异常以及SYN Flood 、UDP Flood 、ICMP Flood 、DNS Query Flood 、CC 等各种DDoS 攻击-访问控制流量正规化-提高网络带宽和路由器性能-正规化非法网络流量-优化网络性能URL 过滤-根据时间定制过滤规则-自定义URL 过滤规则• 高可靠性，打造99.999%安全网络SecPath T1000-S 使用内置的无源连接模块PFC （Power Free Connector ）提供掉电保护功能。

在T1000-S 掉电的情况下，PFC 将网络流量自动绕开T1000-S ，旁路到下一跳设备上去；当恢复电源供给后，PFC 又会自动禁止旁路功能，所有流量将再度流经T1000-S 接受检测。

SecPath T1000-S 内置的监测模块以很高的频率定时监测设备的健康状况。

一旦探测到检测引擎或软件系统故障，该模块会将T1000-S 设置成一个简单的二层交换设备，网络流量将在两个接口之间直接贯通，从而保持网络业务的连续性。