H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

SecPath-防火墙双机热备典型配置SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求：
组网图中需要三台PC, PC1和PC4在Trust区域；PC2处于DMZ区域，其IP地址与PC1和PC4在同一网段，PC3位于Untrust区域，为外部网络。

G0/0接口和G1/0接口属于同一个桥组Bridge1。

对于访问控制有如下要求：
在防火墙G0/1接口上配置NAT，使Trust区域与DMZ区域通过地址转换才能访问Untrust区域；
通过NAT Server使DMZ区域对Untrust区域提供WWW服务；
在G1/0接口绑定ASPF策略并配合包过滤，使得Trust区域用户可以访问DMZ区域设备；但DMZ区域不能访问Trust区域；
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、每一个桥组都是独立的，报文不可能在分属不同桥组的端口之间
传输。

换句话说，从一个桥组端口接收到的报文，只能从相同桥
组的其他端口发送出去。

防火墙上的一个接口不能同时加入两个
或两个以上的桥组。

2、要实现不同桥组之间或二层接口和三层接口之间数据转发，需要
创建桥组虚接口，并且将桥组虚接口加入到相应的区域。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

目录1路由设置 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置静态路由····································································································································· 1-11.3 查看激活路由表 ································································································································· 1-21.4 静态路由典型配置举例 ······················································································································ 1-31.5 注意事项············································································································································ 1-61 路由设置•本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

H3CSecPathUTM系列特征库升级典型配置举例H3C SecPath UTM系列特征库升级典型配置举例关键词：特征库摘要：本⽂主要描述了UTM设备特征库升级的典型配置⽅法。

缩略语：缩略语英⽂全名中⽂解释UTM Unified Threat Management 统⼀威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system ⼊侵防御系统⽬录1 特性简介 (1)2 应⽤场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组⽹需求 (1)4.2 配置思路 (2)4.3 使⽤版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 主要配置步骤 (3)4.5 验证结果 (5)5 相关资料 (5)5.1 其它相关资料 (5)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等，因此对于安全设备来说，必须保证特征库能够实时的更新升级，以保证它总是最新版本。

特征库的升级分为⼿动升级和⾃动升级：z⾃动升级可以帮助⽤户每隔指定的时间，使⽤特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。

z⼿动升级允许⽤户在需要的时候⼿动进⾏升级，⽤户可以⼿动设定获取特征库的协议、服务器地址和特征库⽂件名称，并且⼿动升级可以获取与设备兼容的任意⼀个版本的特征库。

⼿动升级⼀般是在⽤户的局域⽹内进⾏的。

2 应⽤场合运⾏在⽹络中的UTM设备启⽤了IPS和AV的功能，需要及时更新特征库3 注意事项要更新升级特征库，必须保证当前的License⽂件合法，并且在有效期限内。

主要配置步骤中的配置是在“应⽤安全策略”界⾯进⾏的，在左侧导航栏中点击“IPS|AV|应⽤控制 > ⾼级设置”，点击“应⽤安全策略”链接就可以进⼊“应⽤安全策略”界⾯。

4 配置举例4.1 组⽹需求某公司的内⽹⽹段为192.168.1.0/24，通过GE0/2连接到外⽹。

⽤户登录UTM的内⽹或外⽹接⼝地址，可以对UTM进⾏⼿动特征库升级操作；设置⾃动升级后，UTM会按照设定的时间⾃动进⾏特征库升级。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath系列防火墙域间策略典型配置举例关键词：域间策略摘要：域间策略在安全域之间实现流识别功能，对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。

缩略语：缩略语英文全名中文解释ACL Access Control List 访问控制列表目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 配置接口地址 (4)4.4.2 接口加入域 (6)4.4.3 配置时间段 (8)4.4.4 配置地址对象 (9)4.4.5 配置域间策略 (9)4.5 验证结果 (11)4.5.1 内部主机Public在上班时间访问外部网络 (11)4.5.2 其他内部主机在上班时间访问外部网络 (12)5 相关资料 (12)5.1 相关协议和标准 (12)5.2 其它相关资料 (12)1 特性简介域间策略是基于ACL（Access Control List，访问控制列表），在安全域之间实现流识别功能的。

域间策略在一对源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

域间策略通过引用资源管理中的地址资源和服务资源，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）等信息制定匹配规则。

每条规则还可以通过引用资源管理中的时间段资源，来指定这条规则在该时间段定义的时间范围内有效。

2 应用场合需要进行流识别，流状态监控、安全域间设置防火墙的任何场合。

3 注意事项域间策略使用的ACL序号是系统自动分配的，当首次在两个安全域之间创建域间策略的规则时，系统自动为该域间策略创建一个ACL，并从6000开始，分配当前未使用的最小序号给该ACL；当该域间策略的规则全部被删除时，系统自动删除该ACL。

1 典型配置案例导读H3C防火墙典型配置案例集共包括6个文档，介绍了防火墙产品常用特性的典型配置案例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型及软件版本本手册所描述的内容适用于防火墙产品的如下款型及版本：款型软件版本M9006/M9010/M9104 Version 7.1.051, Ess 9105及以上1.2 内容简介典型配置案例中特性的支持情况与产品的款型有关，关于特性支持情况的详细介绍，请参见《H3C SecPath M9000多业务安全网关配置指导》和《H3C SecPath M9000多业务安全网关命令参考》。

手册包含的文档列表如下：编号名称1H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例(V7)2H3C 防火墙IPsec典型配置案例(V7)3H3C 防火墙NAT444典型配置案例(V7)4H3C 防火墙NAT典型配置案例(V7)5H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7)6H3C 防火墙基于对象策略的域间策略典型配置案例(V7)H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置注意事项 (2)3.5 配置步骤 (2)3.5.1 M9000的配置 (2)3.5.2 FW A的配置 (6)3.5.3 FW B的配置 (8)3.6 验证配置 (9)3.7 配置文件 (12)1 简介本文档介绍使用GRE over IPSec 虚拟防火墙的配置案例。

H3C SecPa‎t h F100系‎列防火墙配‎置教程初始化配置‎〈H3C〉syste‎m-view开启防火墙‎功能[H3C]firew‎a ll packe‎t-filte‎r enabl‎e[H3C]firew‎a ll packe‎t-filte‎r defau‎l t permi‎t分配端口区‎域[H3C] firew‎a ll zone untru‎s t[H3C-zone-trust‎] add inter‎f ace Gigab‎i tEth‎e rnet‎0/0[H3C] firew‎a ll zone trust‎[H3C-zone-trust‎] add inter‎f ace Gigab‎i tEth‎e rnet‎0/1工作模式firew‎a ll mode trans‎p aren‎t透明传输firew‎a ll mode route‎路由模式http 服务器使能HTT‎P服务器 undo ip http shutd‎o wn关闭HTT‎P服务器 ip http shutd‎o wn添加WEB‎用户[H3C] local‎-user admin‎[H3C-luser‎-admin‎] passw‎o rd simpl‎e admin‎[H3C-luser‎-admin‎] servi‎c e-type telne‎t[H3C-luser‎-admin‎] level‎3开启防范功‎能firew‎a ll defen‎d all 打开所有防‎范切换为中文‎模式 langu‎a ge-mode chine‎s e设置防火墙‎的名称 sysna‎m e sysna‎m e配置防火墙‎系统IP 地址 firew‎a ll syste‎m-ip syste‎m-ip-addre‎s s [ addre‎s s-mask ] 设置标准时‎间 clock‎datet‎i me time date设置所在的‎时区 clock‎timez‎o ne time-zone-name { add | minus‎} time取消时区设‎置 undo clock‎timez‎o ne配置切换用‎户级别的口‎令 super‎passw‎o rd [ level‎user-level‎] { simpl‎e | ciphe‎r } passw‎o rd取消配置的‎口令 undo super‎passw‎o rd [ level‎user-level‎]缺缺省情况‎下，若不指定级‎别，则设置的为‎切换到3 级的密码。

H3C SecPath 运维审计系统配置指南前言H3C SecPath 运维审计系统典型配置案例集共包括10 个文档，介绍了运维审计系统常用的典型配置举例，包含组网需求、配置步骤等内容。

前言部分包含如下内容：∙读者对象∙本书约定∙资料获取方式∙技术支持∙资料意见反馈读者对象本手册主要适用于如下工程师：∙网络规划人员∙现场技术支持与维护人员∙负责网络配置和维护的网络管理员本书约定1. 命令行格式约定2. 图形界面格式约定多级菜单用“/”隔开。

如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下/的[文件夹]菜单项。

3. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：4. 图标约定本书使用的图标及其含义如下：TT该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSL VPN插卡、IPS插卡、ACG插卡等安全插卡。

5. 端口编号示例约定本手册中出现的端口编号仅作示例，并不代表设备上实际具有此编号的端口，实际使用中请以设备上存在的端口编号为准。

目录1 AD域认证典型配置举例 (1)1.1 简介 (1)1.2 配置前提 (1)1.3 注意事项 (1)1.4 OU模式的认证典型配置举例 (6)1.4.1 适用产品和版本 (6)1.4.2 配置思路 (6)1.4.3 配置步骤 (6)1.4.4 验证配置 (8)1.5 CN模式的认证典型配置举例 (12)1.5.1 适用产品和版本 (12)1.5.2 配置思路 (13)1.5.3 配置步骤 (13)1.5.4 验证配置 (15)1 AD域认证典型配置举例1.1 简介本章介绍运维审计系统的AD 域认证配置。

AD是Activ e Directory（活动目录）的简称，也叫域服务（DS）。

AD DS 提供分布式数据库，该数据库存储和管理有关网络资源和来自支持目录的应用程序及应用程序特定数据的信息。

SecBlade防火墙插卡NAT典型配置举例关键词：NAT、PAT、私有地址、公有地址、地址池摘要：本文简单描述了SecBlade防火墙插卡NAT模块相关业务的特点，详细描述了NAT各特性的典型应用，并给出NAT基本的配置案例。

缩略语：缩略语英文全名中文解释Translator 网络地址转换AddressNAT NetworkALG Application Level Gateway 应用层网关ACL Access Control List 访问控制列表VPN Virtual Private Network 虚拟专用网PAT Port Address Translation 端口地址转换Translation 端口地址不转换No-PAT No-PortAddress目录1 特性简介 (3)2 特性使用 (3)2.1 使用场合 (3)2.2 配置指南 (3)3 支持的设备 (3)3.1 支持的设备 (3)3.2 使用版本 (3)3.3 配置保存 (4)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本配置 (5)4.3 NAT业务典型配置举例 (6)4.3.1 Easy IP方式NAT (6)4.3.2 PAT方式NAT (7)4.3.3 no-PAT 方式NAT (9)4.3.4 NAT Static (11)4.3.5 NAT Server (15)4.3.6 关于多实例的NAT (17)5 相关资料 (20)5.1 相关协议和标准 (20)5.2 其它相关资料 (20)1 特性简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。

通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度；同时给内部网络提供一种“隐私”保护，也可以按照用户的需要提供给外部网络一定的服务。