SecPath防火墙邮件主题过滤的典型组网

合集下载

华为Secpath典型配置案例

华为Secpath典型配置案例时间:2007-01-03 21:27:48 来源: 作者:whsong 点击:376次出处:技术无忧关键字：华为1 时间段访问控制列表（ACL）：功能需求及组网说明:『组网需求』：要求内部用户，在8：00－12：00和13：30－18：00可以出公网，其它的时间都不可以出公网『配置实例』：1．在系统视图下配置时间段：[Secpath] time-range huawei1 08:00 to 18:00 daily[Secpath] time-range huawei2 12:00 to 13:30 daily2．配置高级访问控制列表：[Secpath] acl number 3001[Secpath-acl-adv-3001] rule deny ip time-range huawei2[Secpath-acl-adv-3001] rule permit ip time-range huawei1[Secpath-acl-adv-3001] rule deny ip3．进入内网接口视图，下发时间段ACL规则：[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound4．对于其它的规则配置请查看操作手册。

『注意事项』：1、在同一个名字下可以配置多个时间段，这些时间段是“或”关系。

2、在SECPATH系列产品中，只有SECPATH10F是不可以保存系统时间的，重启设备后，时间就会丢失。

3、要将基于MAC地址的访问控制列表应用到接口上，防火墙必须工作在透明模式下，否则系统会提示“Please firstly active the Transparent mode !”。

2 地址转换（NAT）：『配置实例』：1．配置域名与外部地址、端口号、协议类型之间的映射。

[Secpath] nat dns-map 10.153.49.197 80 tcp[Secpath] nat dns-map 10.153.49.197 21 tcp2．相关NAT地址转换及映射配置，请参考手册。

SecPath防火墙混合模式下VLAN透传的典型配置

//接口 //接口 //接口 /配置桥组 1
# firewall interzone local untrust # firewall interzone local DMZ # firewall interzone trust untrust # firewall interzone trust DMZ # firewall interzone DMZ untrust # user-interface con 0 user-interface aux 0 authentication-mode scheme user-interface vty 0 4 authentication-mode scheme #
//使能桥组 2 接 //使能桥组 2 的报文
// //使能桥组 3 的报文
//接口 //接口 //接口
bridge-set 1 加入桥组 1
vlan-type dot1q vid 100 # interface GigabitEthernet0/1.200 bridge-set 2 加入桥组 2 vlan-type dot1q vid 200 # interface GigabitEthernet0/1.300 bridge-set 3 加入桥组 3 vlan-type dot1q vid 300 # interface Encrypt2/0 # interface Bridge-template2 的路由地址 ip address 192.168.2.100 255.255.255.0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface GigabitEthernet0/1 add interface Bridge-template2 add interface GigabitEthernet0/1.100 add interface GigabitEthernet0/1.200 add interface GigabitEthernet0/1.300 set priority 85 # firewall zone untrust add interface GigabitEthernet0/0 add interface GigabitEthernet0/0.100 add interface GigabitEthernet0/0.200 add interface GigabitEthernet0/0.300 set priority 5 # firewall zone DMZ set priority 50 # firewall interzone local trust

H3C SecPath F100-A防火墙VLAN透传的典型配置

H3C SecPath F100-A防火墙VLAN透传的典型配置
一、组网需求：
客户端PC1和PC3属于VLAN100，客户端PC2和PC4属于VLAN200，用来模拟属于不同VLAN的用户，在Switch1和Switch2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、子接口不支持VLAN透传；
2、SecPath F100-A设备的四个LAN接口需要执行undo insulate
命令聚合成一个接口才能使用VLAN透传功能；
3、VLAN透传与交换机的Trunk功能并不相同，当与交换机互通时，
如果希望SecPath防火墙与交换机的管理VLAN 互通，需要借助子接口来实现。

即将配置了与交换机管理VLAN ID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

H3C SecPath防火墙GRE+IPSEC+OSPF典型配置举例

# //由于2630要与SecPath1与SecPath2都建立GRE连接，所以需要建立两个ike协商
ike peer 1 //ike对等体的名字为1
exchange-mode aggressive
pre-shared-key 1 //配置身份验证字为1
id-type name //使用name方式作为ike协商的ID类型
interface Aux0
async mode flow
link-protocol ppp
#
interface Dialer1 //创建一个共享式拨号接口1
link-protocol ppp //拨号接口封装的链路层协议为PPP
mtu 1450
ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到
ip address4.1.1.3 255.255.255.0
source 192.168.0.3
destination 192.168.0.1
ospf cost 100
#
interface Tunnel1
ip address5.1.1.3 255.255.255.0
source 192.168.0.3
也可以在virtual-ethernet上配置，此配置是配置pppoe会话，一个拨号接口对应创建一个pppoe会话
#
interface Tunnel0
ip address6.1.1.3 255.255.255.0
source 192.168.0.4
destination 192.168.0.1
ospf cost 100
dialer user test //配置呼叫对端的用户

SecPath高端防火墙系统管理及包过滤典型配置指导-2007124

SecPath高端防火墙系统管理及包过滤典型配置举例关键词：Web、TCP、 IP摘要：本文简单描述了高端多核防火墙虚拟设备、安全域、会话管理、ASPF、包过滤模块的特点，详细描述了虚拟设备、安全域、会话管理、ASPF、包过滤模块的典型配置和详细步骤。

缩略语：目录1 介绍 (1)2 特性使用指南 (1)2.1 使用场合 (1)2.2 配置指南 (2)2.3 注意事项 (2)3 支持的设备和版本 (2)3.1 设备版本 (2)3.2 支持的设备 (3)3.3 配置保存 (3)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本命令行配置 (4)4.3 业务典型配置举例 (5)5 相关资料 (17)5.1 相关协议和标准 (17)5.2 其它相关资料 (17)1 介绍虚拟设备: 虚拟设备是一个逻辑概念，一台防火墙设备可以逻辑上划分为多个部分，每一个部分可以作为一台单独的设备。

在防火墙产品中，要求大多数防火墙特性支持虚拟设备化，每个虚拟设备之间相互独立，一般情况下不允许相互通信，这就是所谓的“虚拟防火墙”，每个部分是一个虚拟防火墙实例（VFI）。

安全区域：所谓安全区域，是一个抽象的概念，它可以包含三层接口，二层VLAN子接口，也可以包括二层物理Trunk接口+VLAN，划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。

引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理会话管理：会话管理是为了简化NAT、ASPF、ALG、攻击防范、连接数限制等功能模块的设计而引申出来的一个项目，能够处理各种会话信息，根据会话状态进行老化处理，并提供给各业务模块一个统一的接口。

会话管理同时支持多个防火墙特性（NAT，ASPF，ATTACK，CONN-LIMIT 等）时，能发挥出统一资源管理的特点，提高原有的防火墙整体性能。

ASPF: 状态防火墙(ASPF)基于会话管理模块提供的会话管理功能实现域间会话状态检测功能。

H3C SecPath防火墙系列产品混合模式的典型配置

H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求：
组网图中需要三台PC, PC1和PC4在Trust区域；PC2处于DMZ区域，其IP地址与PC1和PC4在同一网段，PC3位于Untrust区域，为外部网络。

G0/0接口和G1/0接口属于同一个桥组Bridge1。

对于访问控制有如下要求：
在防火墙G0/1接口上配置NAT，使Trust区域与DMZ区域通过地址转换才能访问Untrust区域；
通过NAT Server使DMZ区域对Untrust区域提供WWW服务；
在G1/0接口绑定ASPF策略并配合包过滤，使得Trust区域用户可以访问DMZ区域设备；但DMZ区域不能访问Trust区域；
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、每一个桥组都是独立的，报文不可能在分属不同桥组的端口之间
传输。

换句话说，从一个桥组端口接收到的报文，只能从相同桥
组的其他端口发送出去。

防火墙上的一个接口不能同时加入两个
或两个以上的桥组。

2、要实现不同桥组之间或二层接口和三层接口之间数据转发，需要
创建桥组虚接口，并且将桥组虚接口加入到相应的区域。

SecPath防火墙IPSec(手工协商)的典型配置

一、组网需求：两个Peer分别使用的是SecPath1000F，中间公网使用一台SecPath100F起连接作用，两局域网分别使用的是SecPath1000F的LoopBack0口来模拟。

在两个Peer上配置IPSec（手工协商），使两个局域网能够穿越公网进行通信，并且保护一切传输的数据。

二、组网图SecPath1000F：版本为Version 3.40, ESS 1622；三、配置步骤1．SecPath1000F（左）的主要配置：sysname fw1#firewall packet-filter enablefirewall packet-filter default permit#ipsec proposal wanxin //创建一个名为“wanxin”的安全提议（全部使用缺省策略）#ipsec policy 1 10 manual //创建安全策略，协商方式为手工协商，不采用IKE的策略协商security acl 3000 //引用下面设置的acl 3000proposal wanxin //引用上面设置的“ipsec proposal wanxin”tunnel local 192.168.1.1 //设置本端地址tunnel remote 202.103.1.1 //设置对端地址sa spi inbound esp 54321 //设置SPI和密钥（两者分别和对端设置的参数相反）sa string-key inbound esp 54321sa spi outbound esp 12345sa string-key outbound esp 12345#acl number 3000 //创建加密数据流（加密的是两LAN的网段，这个很关键）rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255rule 1 deny ip#interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0ipsec policy 1 //在出接口上应用安全策略（只有应用了IPSec才能生效）#interface LoopBack0 //用一个回环口地址带模拟一个LAN地址ip address 10.1.1.1 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0set priority 85#ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 preference 60 //保证两Peer之间能够通信，从而协商IPSec参数，同时也触发加密流量2．SecPath1000F（Peer2）的主要配置：注：Peer2的配置与Peer1基本相同，故注释同上sysname fw2#firewall packet-filter enablefirewall packet-filter default permit#ipsec proposal wanxin#ipsec policy 1 10 manualsecurity acl 3000proposal wanxintunnel local 202.103.1.1tunnel remote 192.168.1.1sa spi inbound esp 12345sa string-key inbound esp 12345sa spi outbound esp 54321sa string-key outbound esp 54321#acl number 3000rule 0 permit ip source 10.2.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 rule 1 deny ip#interface GigabitEthernet0/0ip address 202.103.1.1 255.255.255.0ipsec policy 1#interface LoopBack0ip address 10.2.2.2 255.255.255.0#firewall zone untrustadd interface GigabitEthernet0/0set priority 5#ip route-static 0.0.0.0 0.0.0.0 202.103.1.2 preference 603．验证结果：ping –a 10.1.1.1 10.2.2.2 //测试两LAN之间是否能通信dis ipsec sa //查看安全联盟的信息dis ipsec statistica //查看安全报文的统计信息四、配置关键点1．Peer1与Peer2的Ipsec阶段的安全参数必须相同,手工配置的SPI和密钥两Peer间必须相反；2．其他关键点见注释。

SecPath_防火墙双机热备典型配置

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

SecPath-防火墙双机热备典型配置

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

SecPath防火墙邮件内容过滤的典型组网

ＳｅｃＰａｔｈ防火墙邮件内容过滤的典型组网安全产品赵彪０４７０８组网需求：阻止某些特定邮件内容的垃圾邮件和病毒邮件。

组网图ＳｅｃＰａｔｈ１０００Ｆ：版本为Ｖｅｒｓｉｏｎ３．４０，ＥＳＳ１６０４Ｐ０１；ＤＮＳ／ＭＡＩＬＳｅｒｖｅｒ：Ｗｉｎｄｏｗｓ２００３操作系统；ＰＣ：ＷｉｎｄｏｗｓＸＰ操作系统，ＤＨＣＰ客户端。

配置步骤１．ＳｅｃＰａｔｈ１０００Ｆ的主要配置#sysname Quidway#firewall packet-filter enablefirewall packet-filter default permit#firewall smtp-filter content enable//启用邮件内容过滤功能firewall smtp-filter content load-file flash:/mail-content//指定加载位置和文件#aspf-policy1//配置aspf策略detect smtp//对smtp进行检测detect tcpdetect udp#dhcp server ip-pool test//创建DHCP地址池，定义属性值network192.168.1.0mask255.255.255.0gateway-list192.168.1.1dns-list202.38.1.2domain-name #acl number3000//创建NAT转换的ACLrule0permit ip source192.168.1.00.0.0.255rule1deny ip#interface GigabitEthernet0/0ip address192.168.1.1255.255.255.0dhcp select interface//在接口下启用DHCPdhcp server dns-list202.38.1.2//定义DHCP Server分配的DNS#interface GigabitEthernet0/1ip address202.38.1.1255.255.255.0firewall aspf1outbound//接口的出方向应用aspfnat outbound3000//配置nat outbound#firewall zone trustadd interface GigabitEthernet0/0set priority85#firewall zone untrustadd interface GigabitEthernet0/1set priority5#ip route-static0.0.0.00.0.0.0202.38.1.2//配置默认路由#[Quidway]firewall smtp-filter content add huawei//添加邮件内容过滤关键字<Quidway>dis firewall smtp-filter content item-all//显示邮件内容过滤条目Firewall smtp-filter content itemsitem(s)added manually:1item(s)loaded from file:0SN Match-Times Keyword----------------------------------------------10huawei<Quidway>dirDirectory of flash:/1-rw-8576044Sep30200608:57:31system2-rw-1021629Sep27200610:26:51http.zip3-rw-1735Oct09200617:18:35config.cfg4-rw-4Sep28200621:27:48snmpboots5-rw-8Oct09200620:49:57mail-content//在flash中保存mail-content<Quidway>more mail-content//显示mail-content文件内容huawei2.ＰＣ的验证结果显示自动获取的IP地址：未配置邮件内容过滤时，通过客户端OE发送邮件：配置邮件内容过滤后，通过客户端OE发送邮件：配置关键点３．添加完关键字后，如果重启设备，配置的关键字会丢失，需要通过firewall smtp-filter content save-file mail-content命令保存关键字到flash中；此外，如果重启设备后，还需要重新加载已经保存在flash中的文件，可以通过firewall smtp-filter content load-file mail-content命令自动加载；4.可以通过Tftp程序把mail-content文件下载到本地，修改完成后再上传到flash中。

SecPath系列防火墙配置管理典型配置举例

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath防火墙地址扫描和端口扫描攻击防范典型配置

SecPath防火墙地址扫描和端口扫描攻击防范典型配置SecPath地址扫描和端口扫描攻击防范典型配置一、组网需求部署SecPath防火墙，对地址扫描(ip-sweep)和端口扫描(port-scan)攻击进行防范，并利用黑名单功能将攻击者进行隔离。

二、组网图三、配置步骤[SecPath10F]dis cur#sysname SecPath10F#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable //开启全局报文统计功能#firewall blacklist enable //启用黑名单功能#radius scheme system#domain system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3service-type ftp#interface Ethernet1/0ip address 10.0.0.254 255.255.0.0#interface Ethernet2/0speed 10duplex halfip address 9.0.0.254 255.0.0.0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet1/0set priority 85#firewall zone untrustadd interface Ethernet2/0set priority 5statistic enable ip outzone //对非信任域出方向的报文进行统计#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#FTP server enable#//设置地址扫描的阈值为每秒50次，将攻击者加入到黑名单并阻断10分钟firewall defend ip-sweep max-rate 50 blacklist-timeout 10//设置端口扫描的阈值为每秒100次，将攻击者加入到黑名单并阻断10分钟firewall defend port-scan max-rate 100 blacklist-timeout 10#user-interface con 0user-interface vty 0 4authentication-mode scheme#return四、配置关键点1．对域进入或送出的报文进行统计；2．开启黑名单功能；3．设置地址/端口扫描的阈值和攻击者被阻断的时间。

第二章 SecPath防火墙体系结构

F100-E

地址转换
F100-A F100-S F100-C

安全认证

内容过滤及邮件过滤

智能分析和管理手段
丰富的VPN业务

网络协议积累

11
SecPath系列防火墙的主要业务特性
黑客
阻止
防火墙受信区域
DoS攻击
不受信区域
正常用户

包过滤应用层状态检测
多种攻击防范手段
分支机构
分支机构……
分支机构
SecPath 防火墙支持VPN应用，同时能够提供设备冗余备份和负载分担。通过在企业总部放置两台SecPath 防火墙，分支通过IPSec VPN接入，来保证数据在网络上传输时的私有性、完整性、真实性和防重放。企业总部使用两台防火墙进行负载分担，同时在一台设备出现问题之后实现备份。

18
SecPath系列防火墙的典型应用（3）

soho防火墙结合VPN功能应用
使用VPN客户端远程办公
SOHO内部网络
Untrust区域
Trust区域
H3C SecPath F100-C防火墙具有强大的VPN功能，可以满足分支以及移动办公访问公司本部资源的需求，适应SOHO型的家庭或者办公网络。 SecPath F100-C防火墙还提供强大的过滤功能和优秀的管理功能。可以将其部署在内部网络的出口，防范来自外部网络的各种攻击。
10 Gbps 防火墙呑吐量交换机级别延时 100W并发连接每秒钟新建5W连接 2Gbps的IPSec加密性能 1Gbps的DDos防护性能支持10GE接口/最大支持20个GE

5
SecPath F1000-A 防火墙

SecPath防火墙DHCP功能的典型配置

SecPath防火墙DHCP功能的典型配置一、组网需求：验证SecPath防火墙的DHCP Server和DHCP Relay的功能。

二、组网图SecPath100F：版本为SECPATH100F-VRP340-E1605。

三、配置步骤1.DHCP_Server的主要配置#sysname DHCP_Server#firewall packet-filter enablefirewall packet-filter default permitdhcp server ip-pool 2 //配置dhcp地址池2 network 192.168.1.0 mask 255.255.255.0gateway-list 192.168.1.254dns-list 202.106.0.20#dhcp server ip-pool 10 //配置dhcp地址池10 network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 202.106.0.20#interface Ethernet0/0ip address 172.16.1.1 255.255.255.0#firewall zone trustadd interface Ethernet0/0set priority 85ip route-static 192.168.0.0 255.255.0.0 172.16.1.2 //配置去往内网的路由#2.DHCP_Relay的主要配置#sysname DHCP_Relay#firewall packet-filter enablefirewall packet-filter default permit#interface Ethernet1/0ip address 172.16.1.2 255.255.255.0interface Ethernet1/2.2 //创建子接口ip address 192.168.1.254 255.255.255.0ip relay address 172.16.1.1 //配置dhcp relay的地址dhcp select relay //启用dhcp relay功能vlan-type dot1q vid 2 //封装成VLAN2#interface Ethernet1/2.10 //创建子接口ip address 192.168.10.254 255.255.255.0ip relay address 172.16.1.1 //配置dhcp relay的地址dhcp select relay //启用dhcp relay功能vlan-type dot1q vid 10 //封装成VLAN10#firewall zone trustadd interface Ethernet1/2add interface Ethernet1/2.2add interface Ethernet1/2.10set priority 85#firewall zone untrustadd interface Ethernet1/0set priority 5#ip route-static 0.0.0.0 0.0.0.0 172.16.1.1 //配置默认路由#3.S3526E交换机的主要配置#sysname S3536E#vlan 1#vlan 2 //创建VLAN2 #vlan 10 //创建VLAN10 #interface Ethernet0/18port access vlan 2 //把端口加入到VLAN2 #interface Ethernet0/20port access vlan 10 //把端口加入到VLAN10 #interface Ethernet0/24port link-type trunk //把端口设置为Trunk port trunk permit vlan 1 to 2 10#四、配置关键点见注释。

SecPath防火墙静态网段地址转换的典型配置

SecPath防火墙静态网段地址转换的典型配置一、组网需求：在私网A和私网B的IP地址重复的情况下，私网B需要访问私网A内的服务器。

二、组网图SecPath100F：版本为Version 3.40, ESS 1604P01三、配置步骤1.SecPath100F-1的主要配置配置防火墙默认规则firewall packet-filter enablefirewall packet-filter default permit配置网段地址静态转换nat static inside ip 192.168.1.1 192.168.1.254 global ip 172.16.1.0 255.255.255.0配置内网口interface Ethernet0/0ip address 192.168.1.1 255.255.255.0配置外网口interface Ethernet1/0ip address 202.38.1.1 255.255.255.0nat outbound static配置区域firewall zone trustadd interface Ethernet0/0firewall zone untrustadd interface Ethernet1/0set priority 5配置路由ip route-static 172.16.2.0 255.255.255.0 202.38.1.22.SecPath100F-2的主要配置配置防火墙默认规则firewall packet-filter enablefirewall packet-filter default permit配置网段地址静态转换nat static inside ip 192.168.1.1 192.168.1.254 global ip 172.16.2.0 255.255.255.0 配置内网口interface Ethernet0/0ip address 192.168.1.1 255.255.255.0配置外网口interface Ethernet1/0ip address 202.38.1.2 255.255.255.0nat outbound static配置区域firewall zone trustadd interface Ethernet0/0set priority 85firewall zone untrustadd interface Ethernet1/0set priority 5配置路由ip route-static 172.16.1.0 255.255.255.0 202.38.1.13.PC端的验证结果在私网B中PC的IE中输入：http://172.16.1.99就能访问私网A中的WEB服务器四、配置关键点1.VRP3.4-1210P01版本以前的静态地址段转换的命令为natstatic net-to-net；2.保证有到17.16.1.0/24和172.16.2.0/24的路由；3.由于做了net static net-to-net，访问对端私网地址不再是192.168.1.X/24，而是172.16.1.X/24或172.16.2.X/24，最后一位地址不变。

SecPath防火墙WEB和邮件过滤的配置

SecPath防火墙WEB和邮件过滤的配置一、组网需求用一台防火墙连接两台PC，PC1模拟局域网（内网）用户，PC2模拟Internet （外网）上的Server。

在PC2上开启Web和邮件服务，使PC1可以访问Web服务器上的网页和发送邮件。

二、网络拓扑三、配置步骤//定义ASPF策略1，并进入该ASPF策略视图[SecPath100F]aspf-policy 1[SecPath100F-aspf-policy-1]detect http //配置检测http协议[SecPath100F-aspf-policy-1]detect smtp //配置检测smtp协议[SecPath100F-aspf-policy-1]detect tcp //配置检测tcp协议[SecPath100F-aspf-policy-1]quit[SecPath100F]acl number 2001//配置需要进行NAT转换的IP地址范围[SecPath100F-acl-basic-2001]rule permit source 172.16.0.0 0.0.0.255 [SecPath100F]interface Ethernet 0/0 //进入连接PC的接口视图[SecPath100F-Ethernet0/0]ip address 172.16.0.1 24[SecPath100F-Ethernet0/0]quit[SecPath100F]interface Ethernet 0/1 //进入连接Server的接口视图[SecPath100F-Ethernet0/1]ip address 192.168.100.1 24//对接口的出方向的报文应用ASPF策略1[SecPath100F-Ethernet0/1]firewall aspf 1 outbound//直接使用该接口的IP地址作为NAT转换后的IP地址，对匹配标准访问控制列表2001的//数据报文的源IP地址进行NAT转换[SecPath100F-Ethernet0/1]nat outbound 2001[SecPath100F-Ethernet0/1]quit//设置防火墙缺省过滤规则为允许[SecPath100F]firewall packet-filter default permit[SecPath100F]firewall zone trust[SecPath100F-zone-trust]add interface Ethernet 0/0[SecPath100F]firewall zone untrust[SecPath100F-zone-untrust]add interface Ethernet 0/1[SecPath100F]firewall url-filter host enable //使能Web地址过滤功能//添加拒绝访问的过滤条目[SecPath100F]firewall url-filter host add deny [SecPath100F]firewall webdata-filter enable //使能Web内容过滤功能//添加拒绝访问含有以hello开头的字符串的网页的过滤条目[SecPath100F]firewall webdata-filter add ^hello[SecPath100F]firewall smtp-filter rcptto enable //使能邮件地址过滤功能[SecPath100F]firewall smtp-filter rcptto add deny *@//添加拒绝收件人地址为域中的所有地址“*@”的过滤条目[SecPath100F]firewall smtp-filter subject enable //使能邮件主题过滤功能//添加邮件主题中含有字符串lover的过滤条目[SecPath100F]firewall smtp-filter subject add lover[SecPath100F]firewall smtp-filter content enable //使能邮件内容过滤功能//添加拒绝邮件中含有字符串virus的过滤条目[SecPath100F]firewall smtp-filter content add virus[SecPath100F]firewall smtp-filter attach enable //使能邮件附件过滤功能//添加附件文件扩展名为exe的过滤条目[SecPath100F]firewall smtp-filter attach add *.exe四、配置要点1，配置aspf策略，使能检测http、smtp和tcp；2，使能URL过滤、使能SMTP过滤；3，设置过滤内容。