防火墙介绍 v1

H3C SecBlade插卡的优势说明一、高可靠性：降低单点故障1.在设备内部，基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。

任何一块插卡出现故障，基于H3C专利技术，可以通过Bypass方式使得流量自动绕过故障插卡，保证业务流正常处理和转发，不会出现单点故障。

2.插卡式设备，所有的关键部件都可以冗余部署。

单独的盒式设备，一般最多提供双电源的可靠性设计。

而插卡式设备，包括电源、引擎、接口板、业务板等都可以冗余部署，大大提高了可靠性。

当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。

3.所有的插卡都支持热插拔，大大降低出现故障时更换设备的时间。

二、高性能和高扩展性：减少业务瓶颈1.高性能：所有的H3C SecBlade业务模块都采用了业界最领先的多核多线程CPU+ASIC+FPGA的高性能、分布式硬件架构。

这种分布式的硬件架构保证了所有的业务能在第一时间并行处理。

对于现在大量的应用层安全攻击，由于需要进行深入的报文分析，只有这种多核多线程的硬件架构才能真正做到实时处理，不会产生大的数据延迟。

2.高转发：所有的SecBlade业务模块与交换机及其他插卡之间都是通过交换机Crossbar总线进行数据传输，数据带宽高达10Gbps以上。

相对于盒式设备之间通常采用的网线连接方式，数据带宽更高、延时更低，而且可靠性更高，不会出现由于网线故障或连接故障导致的业务中断。

3.盒式设备性能一般是固定的，但是插卡式设备的处理能力可以通过板卡的扩展进行数倍的提升。

即使是单块的业务板，得益于其先进的多核架构，其性能优势也很明显（FW性能可以达到单模块万兆处理能力）。

4.接口多：普通盒式设备一般最多提供几个接口，而插卡式设备的接口板可提供无限制的接口，并且可根据要求进行扩展，所有接口的VLAN都可以共享各种业务板卡。

同时，通过虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，每个逻辑板卡拥有完全独立的资源和策略。

中国移动N E T S C R E E N防火墙安全配置规范S p e c i f i c a t i o n f o r N E T S C R E E N F i r e W a l lC o n f i g u r a t i o n U s e d i n C h i n a M o b i l e版本号：１.０.０╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部1概述 (4)1.1适用范围 (4)1.2内部适用性说明 (4)1.3外部引用说明 (5)1.4术语和定义 (6)1.5符号和缩略语 (6)2NETSCREEN防火墙设备安全配置要求 (6)2.1直接引用《通用规范》的配置要求 (6)2.2日志配置要求 (12)2.3告警配置要求 (15)2.4安全策略配置要求 (19)2.5攻击防护配置要求 (24)2.6设备其它安全要求 (25)3编制历史 (26)附录 (27)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准明确了NETSCREEN防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位：中国移动通信有限公司网路部、中国移动通信集团上海、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：刘金根、石磊、程晓鸣、周智、曹一生。

1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的NETSCREEN防火墙。

本规范明确了NETSCREEN防火墙安全配置方面的基本要求。

第四章防火墙访问控制列表v1.0 幻灯片 1包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数据包。

包过滤防火墙的基本原理是：通过配置ACL（Access Control List，访问控制列表）实施数据包的过滤。

实施过滤主要是基于数据包中的源/目的IP 地址、源/目的端口号、IP 标识和报文传递的方向等信息。

访问控制列表定义的数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处理。

因此，访问控制列表的核心作用是：根据定义的规则对经过防火墙的流量进行筛选，由关键字确定筛选出的流量如何进行下一步操作。

在防火墙应用中，访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段，决定了后续的应用数据流是否被处理。

访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。

ACL 能够通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是包过滤、NAT、IPSec、QoS、策略路由等应用的基础。

访问控制列表的使用：1、访问控制列表可以用于防火墙2、访问控制列表可以用于Qos(Quality of Service)，对数据流量进行控制3、在DCC中，访问控制列表还可用来规定触发拨号的条件4、访问控制列表还可以用于地址转换5、在配置路由策略时，可以利用访问控制列表来作路由信息的过滤包过滤包过滤作为一种网络安全保护机制，用于控制在两个不同安全级别的网络之间流入和流出网络的数据。

在防火墙转发数据包时，先检查包头信息（例如包的源地址/目的地址、源端口/目的端口和上层协议等），然后与设定的规则进行比较，根据比较的结果决定对该数据包进行转发还是丢弃处理。

地址转换NAT（Network Address Translation）是将数据报报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。

CheckPoint FireWall-1防火墙技术2007-11-14 18:22:23随着Internet的迅速发展，如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务等机密信息的交换中，如何保证信息存取和传输中不被窃取、篡改，已成为企业非常关注的问题。

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位，其FireWall-1防火墙在市场占有率上已超过44%，世界上许多著名的大公司，如IBM、HP、CISCO、3COM、BAY等，都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。

CheckPoint FireWall-1 V3.0防火墙的主要特点。

从网络安全的需求上来看，可以将FireWall-1的主要特点分为三大类，第一类为安全性类，包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐，•包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制，包括负载均衡高可靠性等；下面分别进行介绍。

1．访问控制这是限制未授权用户访问本公司网络和信息资源的措施。

评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。

第一代包过滤技术，无法实施对应用级协议处理，也无法处理UDP、RPC或动态的协议。

第二代应用代理网关防火墙技术，为实现访问控制需要占用大量的CPU资源，对Internet上不断出现的新应用(如多媒体应用)，无法快速支持.CheckPoint FireWall-1的状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持。

目前支持160种以上的预定义应用和协议，包括所有Internet服务，如安全Web浏览器、传统Internet应用（mail、ftp、telnet）、UDP、RPC等，此外，支持重要的商业应用，如OracleSQL*Net、SybaseSQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等，以及Internet广播服务，如BackWeb、PointCast。

DPtech FW1000-GS-N-A防火墙安装手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。

杭州迪普科技有限公司地址：杭州市滨江区通和路68号中财大厦6层邮编：310052声明Copyright 2009杭州迪普科技有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品介绍 1-11.1产品概述1-1 1.2DP TECH FW1000-GS-N-A产品外观 1-1 1.3产品规格1-3 1.3.1存储器1-3 1.3.2外形尺寸和重量 1-3 1.3.3固定接口和槽位数 1-4 1.3.4输入电源 1-4 1.3.5工作环境 1-4第2章安装前的准备 2-12.1通用安全注意事项 2-1 2.2检查安装场所 2-1 2.2.2温度/湿度要求 2-1 2.2.3洁净度要求 2-2 2.2.4防静电要求 2-2 2.2.5抗干扰要求 2-3 2.2.6防雷击要求 2-3 2.2.7接地要求 2-3 2.2.8布线要求 2-3 2.3安装工具2-4第3章设备安装 3-13.1安装前的确认 3-1 3.2安装流程3-2 3.3安装设备到指定位置 3-2 3.3.2安装设备到工作台 3-3 3.3.3安装设备到19英寸机柜 3-4 3.4连接接地线 3-5 3.5连接接口线缆 3-6 3.5.1连接配置口线缆 3-6 3.5.2连接网络管理口 3-63.5.3连接业务口 3-7 3.6连接电源线 3-7 3.7安装后检查 3-7第4章设备启动及软件升级 4-14.1设备启动4-1 4.1.1搭建配置环境 4-1 4.1.2设备上电 4-4 4.1.3启动过程 4-5 4.2W EB默认登录方式 4-6第5章常见问题处理 5-15.1电源系统问题故障处理 5-1 5.2设备故障处理 5-1图形目录图1-1 DPtech FW1000-GS-N-A前视图 1-1图1-2 DPtech FW1000-GS-N-A前面板指示灯 1-3图1-3 DPtech FW1000-GS-N-A后视图 1-3图3-1 设备安装流程 3-2 图3-2 安装设备于工作台 3-4图3-3 安装挂耳3-4图3-4 安装设备到机柜（为清晰起见省略了机柜） 3-4图3-5 固定设备3-5图3-6 连接接地线示意图 3-5图3-7 连接保护地线到接地排 3-6图3-8 电源线连接示意图 3-7图4-1 通过 Console口进行本地配置示意图 4-1图4-2 超级终端连接描述界面 4-1图4-3 超级终端连接使用串口设置 4-2图4-4 串口参数设置 4-3 图4-5 超级终端窗口 4-3 图4-6 终端类型设置 4-4 图4-7 Web网管登录页面 4-7表格目录表1-1 存储器规格1-3表1-2 外形尺寸和重量规格 1-3表1-3 固定接口规格 1-4 表1-4 输入电压1-4表1-5 工作环境1-4表2-1 机房温度/湿度要求 2-2表2-2 机房灰尘含量要求 2-2表2-3 机房有害气体限值 2-2表4-1 设置串接口属性 4-2第1章产品介绍1.1 产品概述DPtech FW1000-GS-N-A防火墙创新性地采用了“多业务并行处理引擎（MPE）”技术，能够满足各种网络对安全的多层防护、高性能和高可靠性的需求。

juniper防火墙详细配置手册Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读 (4)1.1第二卷：基本原理41.1.1第一章：ScreenOS 体系结构41.1.2第二章：路由表和静态路由41.1.3第三章：区段41.1.4第四章：接口41.1.5第五章：接口模式51.1.6第六章：为策略构建块51.1.7第七章：策略51.1.8第八章：地址转换51.1.9第十一章：系统参数61.2第三卷：管理61.2.1第一章：管理61.2.2监控NetScreen 设备61.3第八卷：高可用性61.3.1...................................................... NSRP61.3.2故障切换72Juniper防火墙初始化配置和操纵 (8)3查看系统概要信息 (9)4主菜单常用配置选项导航 (10)5Configration配置菜单 (11)5.1Date/Time:日期和时间115.2Update更新系统镜像和配置文件125.2.1更新ScreenOS系统镜像125.2.2更新config file配置文件135.3Admin管理155.3.1Administrators管理员账户管理155.3.2Permitted IPs：允许哪些主机可以对防火墙进行管理166Networks配置菜单 (17)6.1Zone安全区176.2Interfaces接口配置196.2.1查看接口状态的概要信息196.2.2设置interface接口的基本信息196.2.3设置地址转换216.2.4设置接口Secondary IP地址256.3Routing路由设置266.3.1查看防火墙路由表设置266.3.2创建新的路由条目277Policy策略设置 (28)7.1查看目前策略设置287.2创建策略298对象Object设置 (31)9策略Policy报告Report (33)1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

FortiGate防火墙SNMP状态监控OID值说明目录一、概述 (3)1.编写目的 (3)2.主要内容 (3)3.适合版本 (3)二、常用OID介绍 (4)1.静态数据 (4)1.1.主机名称 (4)1.2.设备序列号 (4)1.3.CPU数量 (4)2.状态数据 (4)2.1.接口数量及状态 (4)2.2.系统运行时间 (6)3.性能数据 (6)3.1.CPU利用率 (6)3.2.内存利用率 (7)3.3.接口（每个接口的流量、包转发） (7)3.4.并发连接数 (9)3.5.每秒新建连接数 (10)3.6.接口吞吐量 (10)4.丢包数据 (11)4.1 接口丢包 (11)4.2 防火墙deny策略丢包 (12)4.3 数据包协议错误丢包 (13)4.4 其它丢包监控 (14)一、概述1. 编写目的本文档对FortiGate设备的SNMP常用OID进行了介绍，供SNMP网络管理时参考。

2. 主要内容本文档对FortiGate设备的常用OID进行了介绍，其中包括：●静态数据●状态数据●性能数据3. 适合版本FortiOS v4.0MR3。

二、 常用OID 介绍1. 静态数据 1.1. 主机名称1.2. 设备序列号1.3. CPU 数量2. 状态数据 2.1. 接口数量及状态获取接口的索引和名称：snmpwalk -c public -v 2c -O n x.x.x.x .1.3.6.1.2.1.2.2.1.1 输出结果即为接口列表及每个接口的index。

参考示例：该设备有12个接口，接口index为1-12。

设接口index为x：监控建议值：2.2. 系统运行时间3. 性能数据3.1. CPU利用率获取CPU（物理或Core，下同）的索引和名称：snmpwalk -c public -v 2c -O n 192.168.79.100 .1.3.6.1.4.1.12356.101.4.4.2.1.1 输出结果即为CPU列表及每个CPU的index。

精品文档Juniper 防火墙维护手册（版本号： V1.0）运营部网络管理室目录一、 Juniper 防火墙介绍 (5)1.1、NS5000 系列 (5)1.1.1、 NS5400 (5)1.1.2、 NS5200 (5)1.2、ISG 系列 (6)1.2.1、 ISG2000 (6)1.2.2、 ISG1000 (6)1.3、SSG500 系列 (7)1.3.1 SSG550M (7)1.3.2 SSG520 (7)1.4、SSG300 系列 (8)1.4.1 SSG350M (8)1.4.2 SSG320M (8)1.5、SSG140 系列 (8)1.5.1 SSG140 (9)1.6、SSG5/20 系列 (9)1.6.1 SSG5 (9)1.6.2 SSG20 (9)二、防火墙常用配置 (10)2.1 Juniper防火墙初始化配置和操纵 (10)2.2 查看系统概要信息 (14)2.3 主菜单常用配置选项导航 (16)2.4 Configration 配置菜单 (17)2.5 Update更新系统镜像和配置文件 (18)2.5.1 更新 ScreenOS系统镜像 (18)2.5.2 更新 config file 配置文件 (19)2.6 Admin 管理 (20)2.7.1 Zone安全区227.2 Interfaces接口配置 (24)7.2.1 查看接口状态的概要信息247.2.2 设置 interface 接口的基本信息247.2.3 设置地址转换262.7.4 设置接口 Secondary IP地址342.7.5 Routing 路由设置342.8 Policy 策略设置 (37)2.8.1 查看目前策略设置372.9 创建策略 (38)2.10 对象 Object 设置 (40)2.11 策略 Policy 报告 Report (41)四、防火墙日常应用 (42)4.1、Netscreen 冗余协议（ NSRP） (42)4.1.1、 NSRP 部署建议：434.1.2NSRP常用维护命令444.2、策略配置与优化（ Policy ） (45)4.3、攻击防御（ Screen） (46)4.4、特殊应用处理 (48)4.4.1、长连接应用处理484.4.2、不规范 TCP 应用处理494.4.3、 VOIP 应用处理49五、防火墙日常维护 (51)5.1、常规维护 (52)5.2、常规维护建议： (54)5.3 应急处理 (56)5.3.1 检查设备运行状态565.4、总结改进 (58)六、 Juniper 防火墙设备恢复处理方法 (70)6.1 设备重启动 (70)6.2 操作系统备份 (70)6.3 操作系统恢复 (70)6.4 配置文件备份 (71)6.5 配置文件恢复 (71)6.6 恢复出厂值 (72)6.7 硬件故障处理 (72)6.8 设备返修（ RMA ） (72)一、 Juniper 防火墙介绍1.1 、NS5000 系列1.1.1、NS5400性能和处理能力30 Gbps 防火墙 (>12G 64byte小包) 18MPPS 2百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力10 Gbps 防火墙 (>4G 64byte小包)1百万同时会话数5 Gbps 3DES VPN25,000 IPSec VPN 通道1.2 、ISG 系列1.2.1、ISG2000性能和处理能力4 Gbps 状态监测防火墙任何大小的数据包2 Gbps 3DES和 AES IPSec VPN 任何大小数据包防火墙数据包转发性能：3 MPPS最大在线会话数： 100 万，每秒 23,000 个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小的数据包1 Gbps 3DES和 AES IPSec VPN 任何大小数据包防火墙数据包转发性能： 1.5 MPPS最大在线会话数： 50 万，每秒 20,000 个新会话1.3 、SSG500系列1.3.1 SSG 550M4Gbps 的 FW IMIX / 600K pps1Gbps 的 FW IMIX / 500 Mbps IPSec VPN6 个 I/O插槽–4个可插LAN口模块双电源， DC为选项， NEBS为选项12.8 万个会话， 1,000 条 VPN 隧道1.3.2 SSG 5202Gbps 的 FW / 300K pps600 Mbps 的 FW IMIX / 300 Mbps IPSEC VPN 6 个 I/O插槽–2个可插LAN口模块单一 AC或 DC电源6.4 万个会话， 500 条 VPN 隧道1.4 、SSG300系列1.4.1 SSG 350M1.2 Gbps 的 FW / 225K pps500 Mbps 的 FW IMIX / 225 Mbps IPSec VPN 5 个 I/O插槽9.6 万个会话，每秒 2.6 万会话1.4.2 SSG 320M1.2 Gbps 的 FW / 175K pps400 Mbps 的 FW IMIX / 175 Mbps IPSec VPN 3 个 I/O插槽6.4 万个会话，每秒 2 万会话1.5 、SSG140系列1.5.1 SSG 140950Mbps 的 FW/ 100K pps300 Mbps 的 Firewall IMIX / 100 Mbps IPSec VPN4 个 I/O插槽4.8 万个会话，每秒8k 会话1.6 、SSG5/20系列1.6.1 SSG 5SSG5 是一个固定规格的平台，提供160 Mbps 的状态防火墙流量和40 Mbps 的 IPSec VPN 吞吐量。

RG-WALL 1600T/M/S系列防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (4)2.1 温度／湿度要求 (5)2.2 洁净度要求 (5)2.3 抗干扰要求 (5)四、通过CONSOLE口命令行进行管理 (6)五、通过WEB界面进行管理 (13)六、常见问题解答FAQ (19)一、概述RG-WALL防火墙缺省支持两种管理方式：CONSOLE口命令行方式通过网口的WEB（https）管理CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-WALL1600M系列防火墙前面板示意图如下图所示：RG-WALL1600T系列防火墙前面板示意图如下图所示：RG-WALL1600S系列防火墙前面板示意图如下图所示：说明如下：三、防火墙安装1．安全使用注意事项本章列出安全使用注意事项，请仔细阅读并在使用RG-WALL防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。

资料编码产品名称Quidway自研以太网交换机使用对象华为工程师、合作工程师产品版本编写部门软件服务部-解决方案部资料版本V100R002Quidway防火墙 Eudemon1000E 开局指导书拟制：孙崧铭日期：2009-09-20审核：日期：审核：日期：批准：日期：华为技术有限公司版权所有侵权必究修订记录日期修订版本描述作者2009-10-25 V1.0 完成孙崧铭目录第1章Quidway Eudemon 1000E产品概述 (1)1.1 系统介绍 (1)1.2 组网介绍 (2)1.3 系统结构介绍 (2)第2章Quidway Eudemon 1000E的特点 (3)2.1 产品系列 (3)2.2 产品优点 (4)2.3 安全域概念介绍 (5)2.3.1 防火墙的域 (5)2.3.2 域间概念 (6)2.3.3 本地域 (6)2.4 防火墙工作模式 (7)2.4.1 防火墙工作模式概述 (7)2.4.2 路由模式 (7)2.4.3 透明模式 (8)2.4.4 混合模式 (9)2.5 访问控制策略和报文过滤 (9)2.5.1 访问控制策略的异同 (9)2.5.2 ACL加速查找 (9)2.5.3 报文过滤规则的应用 (10)2.5.4 防火墙缺省动作 (11)2.6 双机热备 (11)2.6.1 VRRP的应用 (12)2.6.2 传统VRRP在E1000E备份实现的不足 (13)2.6.3 VGMP备份组 (15)2.6.4 HRP备份 (15)2.6.5 VRRP、VGMP和HRP之间的协议层次关系 (15)2.7 NAT介绍 (16)2.7.1 NAT的应用 (16)2.7.2 NAT与VRRP绑定 (17)第3章Quidway Eudemon 1000E数据准备 (18)3.1 初始连接配置 (18)3.1.1 通过Console接口搭建 (18)3.1.2 通过Telnet方式搭建 (21)3.1.3 通过WEB方式接入设备 (23)3.2 设备启动 (24)3.2.1 设备上电 (24)3.2.2 设备启动过程 (25)3.3 版本配套 (28)3.3.1 查看当前的软件版本 (28)3.4 软件版本升级 (28)3.5 配置规划 (30)3.5.1 网络拓扑图 (30)3.5.2 系统名 (31)3.5.3 当地时区 (31)3.5.4 远程维护登录帐号/口令和Super密码 (31)3.5.5 区域、接口和IP地址规划 (32)3.5.6 路由规划 (32)3.5.7 访问策略规划 (32)3.5.8 双机热备规划 (33)3.5.9 链路可达性规划 (33)3.5.10会话快速备份规划 (34)3.5.11 NAT规划 (34)3.5.12 NAT与VRRP绑定 (34)第4章Quidway Eudemon 1000E 配置 (35)4.1 时间日期和时区配置 (35)4.2 系统名配置 (35)4.3 远程维护登录帐号/口令和Super密码配置 (36)4.3.1 远程维护登录帐号/口令配置 (36)4.3.2 Super密码配置 (36)4.4 区域、接口和IP地址配置 (37)4.4.1 数据配置步骤 (37)4.4.2 测试验证 (38)4.5 路由配置 (38)4.5.1 缺省路由配置 (38)4.5.2 静态路由配置 (38)4.5.3 动态路由OSPF配置 (39)4.5.4 测试验证 (39)4.6 访问策略控制配置 (39)4.6.1 需求说明 (39)4.6.2 数据配置 (40)4.6.3 测试验证 (41)4.7 双机热备配置 (41)4.7.1 VRRP/VGMP配置 (41)4.7.2 HRP配置 (41)4.7.3 测试验证 (42)4.8 链路可达性配置 (42)4.8.1 配置方法 (42)4.8.2 测试验证 (42)4.9 会话快速备份配置 (43)4.10 NAT配置 (43)4.10.1 配置地址池与VRRP绑定 (43)4.10.2 配置内部服务器与VRRP绑定 (44)4.10.3 验证测试 (44)第5章Quidway Eudemon 1000E基本维护 (44)5.1 查看软件版本信息 (44)5.2 系统配置文件维护 (44)5.3 查看单板、电源、风扇运行状况 (45)5.4 查看CPU占用率 (45)5.5 查看内存占用率 (45)5.6 查看接口流量 (45)5.7 查看接口、链路状态 (46)5.8 查看日志缓冲区信息 (46)5.9 查看路由表信息 (46)5.10 查看ARP映射表 (46)5.11 查看会话表信息 (46)5.12 收集系统诊断信息 (46)关键词：Quidway，防火墙，Eudemon1000E，开局指导书摘要：本文结合业务与软件产品线工程师开局需要对华为Quidway局域网交换机数据准备给出指导，并对其常见配置进行描述。

①通过Web浏览器方式管理.推荐使用IE浏览器进行登录管理,需要知道防火墙对应端口的管理IP地址;②命令行方式.支持通过Console端口超级终端连接和Telnet防火墙管理IP地址连接两种命令行登录管理模式.Juniper防火墙默认端口绑定说明:型号端口命名方式(从左往右计数) 配置界面端口形式NS-5GT 1口为Untrust接口;2-4口为Trust接口; Interface:untrust,trustNS25 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为NullInterface:1口为ethernet1,2口为ethernet2,其他接口顺序后推NS50-204 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为HA接口Interface:1口为ethernet1,2口为ethernet2,其他接口顺序后推NS208 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4-7口为Null接口;8口为HA接口;Interface:1口为ethernet1,2口为ethernet2,其他接口顺序后推SSG5 1口为Untrust接口;2口为DMZ接口;3-7口为Trust接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG20 1口为Untrust接口;2口为DMZ接口;3-5口为Trust接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG140 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4-10口为Null接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推SSG520-550 1口为Trust接口;2口为DMZ接口;3口为Untrust接口;4口为Null接口;Interface:1口为ethernet0/0,2口为ethernet0/1,其他接口顺序后推Juniper防火墙缺省管理端口和IP地址:①Juniper防火墙出厂时可通过缺省设置的IP地址使用Telnet或者Web方式管理.缺省IP地址为:192.168.1.1/255.255.255.0;②缺省IP地址通常设置在防火墙的Trust端口上(NS-5GT),最小端口编号的物理端口上(NS-25/50/204/208/SSG系列),或者专用的管理端口上(ISG-1000/2000,NS-5200/5400).Juniper防火墙缺省登录管理账号:①用户名:netscreen;②密码:netscreen.1.3,Juniper防火墙的常用功能在一般情况下,防火墙设备的常用功能包括:透明模式的部署,NAT/路由模式的部署,NAT的应用,MIP的应用,DIP的应用,VIP的应用,基于策略VPN的应用.本安装手册将分别对以上防火墙的配置及功能的实现加以说明.注:在对MIP/DIP/VIP等Juniper防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!2,Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:①基于TCP/IP协议三层的NAT模式;②基于TCP/IP协议三层的路由模式;③基于二层协议的透明模式.2.1,NAT模式当Juniper防火墙入口接口("内网端口")处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源IP 地址和源端口号. 防火墙使用Untrust 区(外网或者公网)接口的IP 地址替换始发端主机的源IP 地址; 同时使用由防火墙生成的任意端口号替换源端口号.NAT模式应用的环境特征:①注册IP地址(公网IP地址)的数量不足;②内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet;③内部网络中有需要外显并对外提供服务的服务器.2.2,Route模式当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略).①与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;②与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中.路由模式应用的环境特征:①防火墙完全在内网中部署应用;②NAT模式下的所有环境;③需要复杂的地址翻译.2.3,透明模式当Juniper防火墙接口处于"透明"模式时,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息.防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的. 透明模式是一种保护内部网络从不可信源接收信息流的方便手段.使用透明模式有以下优点:①不需要修改现有网络规划及配置;②不需要实施地址翻译;③可以允许动态路由协议,Vlan trunking的数据包通过.2.4,基于向导方式的NA T/Route模式下的基本配置Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web 浏览器配置向导完成.注:要启动配置向导,则必须保证防火墙设备处于出厂状态.例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备.通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下:①缺省IP:192.168.1.1/255.255.255.0;②缺省用户名/密码:netscreen/ netscreen;注:缺省管理IP地址所在端口参见在前言部份讲述的"Juniper防火墙缺省管理端口和IP地址"中查找!! 在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置.防火墙配置规划:①防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;②防火墙外网接口IP地址(通常情况下为公网IP地址,在这里我们使用私网IP地址模拟公网IP地址)为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251要求: 实现内部访问Internet的应用.注:在进行防火墙设备配置前,要求正确连接防火墙的物理链路;调试用的计算机连接到防火墙的内网端口上.1. 通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连).2. 使用缺省IP登录之后,出现安装向导:注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面.3. 使用向导配置防火墙,请直接选择:Next,弹出下面的界面:4. "欢迎使用配置向导",再选择Next.注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码.5. 在完成防火墙的登录用户名和密码的设置之后,出现了一个比较关键的选择,这个选择决定了防火墙设备是工作在路由模式还是工作在NAT模式:选择Enable NAT,则防火墙工作在NAT模式;不选择Enable NAT,则防火墙工作在路由模式.6. 防火墙设备工作模式选择,选择:Trust-Untrust Mode模式.这种模式是应用最多的模式,防火墙可以被看作是只有一进一出的部署模式.注:NS-5GT防火墙作为低端设备,为了能够增加低端产品应用的多样性,Juniper在NS-5GT的OS中独立开发了几种不同的模式应用于不同的环境.目前,除NS-5GT以外,Juniper其他系列防火墙不存在另外两种模式的选择.7. 完成了模式选择,点击"Next"进行防火墙外网端口IP配置.外网端口IP配置有三个选项分别是:DHCP自动获取IP地址;通过PPPoE拨号获得IP地址;手工设置静态IP 地址,并配置子网掩码和网关IP地址.在这里,我们选择的是使用静态IP地址的方式,配置外网端口IP地址为:10.10.10.1/255.255.255.0,网关地址为:10.10.10.251.8. 完成外网端口的IP地址配置之后,点击"Next"进行防火墙内网端口IP配置:9. 在完成了上述的配置之后,防火墙的基本配置就完成了,点击"Next"进行DHCP服务器配置.注:DHCP服务器配置在需要防火墙在网络中充当DHCP服务器的时候才需要配置.否则请选择"NO"跳过.注:上面的页面信息显示的是在防火墙设备上配置实现一个DHCP服务器功能,由防火墙设备给内部计算机用户自动分配IP地址,分配的地址段为:192.168.1.100-192.168.1.150一共51个IP地址,在分配IP地址的同时,防火墙设备也给计算机用户分配了DNS服务器地址,DNS用于对域名进行解析,如:将解析为IP地址:202.108.33.32.如果计算机不能获得或设置DNS服务器地址,无法访问互联网.10. 完成DHCP服务器选项设置,点击"Next"会弹出之前设置的汇总信息:11. 确认配置没有问题,点击"Next"会弹出提示"Finish"配置对话框: 在该界面中,点选:Finish之后,该Web页面会被关闭,配置完成. 此时防火墙对来自内网到外网的访问启用基于端口地址的NAT,同时防火墙设备会自动在策略列表部分生成一条由内网到外网的访问策略:策略:策略方向由Trust到Untrust,源地址:ANY,目标地址:ANY,网络服务内容:ANY; 策略作用:允许来自内网的任意IP地址穿过防火墙访问外网的任意地址.重新开启一个IE页面,并在地址栏中输入防火墙的内网端口地址,确定后,出现下图中的登录界面.输入正确的用户名和密码,登录到防火墙之后,可以对防火墙的现有配置进行修改.总结:上述就是使用Web浏览器通过配置向导完成的防火墙NAT或路由模式的应用.通过配置向导,可以在不熟悉防火墙设备的情况下,配置简单环境的防火墙应用.2.5,基于非向导方式的NAT/Route模式下的基本配置基于非向导方式的NAT和Route模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口IP地址的影响.注:在设备缺省的情况下,防火墙的信任区(Trust Zone)所在的端口是工作在NAT模式的,其它安全区所在的端口是工作在路由模式的. 基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):2.5.1,NS-5GT NAT/Route模式下的基本配置注:NS-5GT设备的物理接口名称叫做trust和untrust;缺省Zone包括:trust和untrust, 请注意和接口区分开.①Unset interface trust ip (清除防火墙内网端口的IP地址);②Set interface trust zone trust(将内网端口分配到trust zone);③Set interface trust ip 192.168.1.1/24(设置内网端口的IP地址,必须先定义zone,之后再定义IP地址);④Set interface untrust zone untrust(将外网口分配到untrust zone);⑤Set interface untrust ip 10.10.10.1/24(设置外网口的IP地址);⑥Set route 0.0.0.0/0 interface untrust gateway 10.10.10.251(设置防火墙对外的缺省路由网关地址);⑦Set policy from trust to untrust any any any permit log(定义一条由内网到外网的访问策略.策略的方向是:由zone trust 到zone untrust, 源地址为:any,目标地址为:any,网络服务为:any,策略动作为:permit允许,log:开启日志记录);⑧Save (保存上述的配置文件).2.5.2,非NS-5GT NAT/Route模式下的基本配置①Unset interface ethernet1 ip(清除防火墙内网口缺省IP地址);②Set interface ethernet1 zone trust(将ethernet1端口分配到trust zone);③Set interface ethernet1 ip 192.168.1.1/24(定义ethernet1端口的IP地址);④Set interface ethernet3 zone untrust(将ethernet3端口分配到untrust zone);⑤Set interface ethernet3 ip 10.10.10.1/24(定义ethernet3端口的IP地址);⑥Set route 0.0.0.0/0 interface ethernet3 gateway 10.10.10.251(定义防火墙对外的缺省路由网关);⑦Set policy from trust to untrust any any any permit log(定义由内网到外网的访问控制策略);⑧Save (保存上述的配置文件)注:上述是在命令行的方式上实现的NAT模式的配置,因为防火墙出厂时在内网端口(trust zone所属的端口)上启用了NAT,所以一般不用特别设置,但是其它的端口则工作在路由模式下,例如:untrust和DMZ区的端口. 如果需要将端口从路由模式修改为NAT模式,则可以按照如下的命令行进行修改:①Set interface ethernet2 NAT (设置端口2为NAT模式)②Save总结:①NAT/Route模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做NAT-地址转换,这种情况下防火墙所有端口都处于Route模式,防火墙首先作为一台路由器进行部署);②关于配置举例,NS-5GT由于设备设计上的特殊性,因此专门列举加以说明;Juniper 在2006年全新推出的SSG系列防火墙,除了端口命名不一样,和NS系列设备管理配置方式一样.2.6,基于非向导方式的透明模式下的基本配置实现透明模式配置建议采用命令行的方式,因为采用Web的方式实现时相对命令行的方式麻烦.通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令及步骤进行二层透明模式的配置:①Unset interface ethernet1 ip(将以太网1端口上的默认IP地址删除);②Set interface ethernet1 zone v1-trust(将以太网1端口分配到v1-trust zone:基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置IP地址);③Set interface ethernet2 zone v1-dmz(将以太网2端口分配到v1-dmz zone);④Set interface ethernet3 zone v1-untrust(将以太网3端口分配到v1-untrust zone);⑤Set interface vlan1 ip 192.168.1.1/24(设置VLAN1的IP地址为:192.168.1.1/255.255.255.0,该地址作为防火墙管理IP地址使用);⑥Set policy from v1-trust to v1-untrust any any any permit log(设置一条由内网到外网的访问策略);⑦Save(保存当前的配置);总结:①带有V1-字样的zone为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;②虽然Juniper防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:NAT和路由).3,Juniper防火墙几种常用功能的配置这里讲述的Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP,VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务.3.1,MIP的配置MIP是"一对一"的双向地址翻译(转换)过程.通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制.MIP应用的网络拓扑图:注:MIP配置在防火墙的外网端口(连接Internet的端口).3.1.1,使用Web浏览器方式配置MIP①登录防火墙,将防火墙部署为三层模式(NA T或路由模式);②定义MIP:Network=>Interface=>ethernet2=>MIP,配置实现MIP的地址映射.MappedIP:公网IP地址,Host IP:内网服务器IP地址③定义策略:在POLICY中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问.3.1.2,使用命令行方式配置MIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24②定义MIPset interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vroutertrust-vr③定义策略set policy from untrust to trust any mip(1.1.1.5) http permitsave3.2,VIP的配置MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端口(协议端口如:21,25,110等)与内部多个私有IP地址的不同服务端口的映射关系.通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的.VIP应用的拓扑图:注:VIP配置在防火墙的外网连接端口上(连接Internet的端口).3.2.1,使用Web浏览器方式配置VIP①登录防火墙,配置防火墙为三层部署模式.②添加VIP:Network=>Interface=>ethernet8=>VIP③添加与该VIP公网地址相关的访问控制策略.3.2.2,使用命令行方式配置VIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义VIPset interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10③定义策略set policy from untrust to trust any vip(1.1.1.10) http permitsave注:VIP的地址可以利用防火墙设备的外网端口地址实现(限于低端设备).3.3,DIP的配置DIP的应用一般是在内网对外网的访问方面.当防火墙内网端口部署在NAT模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性.解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址.DIP应用的网络拓扑图:3.3.1,使用Web浏览器方式配置DIP①登录防火墙设备,配置防火墙为三层部署模式;②定义DIP:Network=>Interface=>ethernet3=>DIP,在定义了公网IP地址的untrust端口定义IP地址池;③定义策略:定义由内到外的访问策略,在策略的高级(ADV)部分NAT的相关内容中, 启用源地址NAT,并在下拉菜单中选择刚刚定义好的DIP地址池,保存策略,完成配置; 策略配置完成之后拥有内部IP地址的网络设备在访问互联网时会自动从该地址池中选择一个公网IP地址进行NAT.3.3.2,使用命令行方式配置DIP①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30③定义策略set policy from trust to untrust any any http nat src dip-id 5 permitsave4,Juniper防火墙IPSec VPN的配置Juniper所有系列防火墙(除部分早期型号外)都支持IPSec VPN,其配置方式有多种,包括:基于策略的VPN,基于路由的VPN,集中星形VPN和背靠背VPN等.在这里,我们主要介绍最常用的VPN模式:基于策略的VPN. 站点间(Site-to-Site)的VPN是IPSec VPN的典型应用,这里我们介绍两种站点间基于策略VPN的实现方式:站点两端都具备静态公网IP地址;站点两端其中一端具备静态公网IP地址,另一端动态公网IP地址.4.1,站点间IPSec VPN配置:staic ip-to-staic ip当创建站点两端都具备静态IP的VPN应用中,位于两端的防火墙上的VPN配置基本相同,不同之处是在VPN gateway部分的VPN网关指向IP不同,其它部分相同. VPN组网拓扑图:staic ip-to-staic ip4.1.1,使用Web浏览器方式配置①登录防火墙设备,配置防火墙为三层部署模式;②定义VPN第一阶段的相关配置:VPNs=>Autokey Advanced=>Gateway 配置VPN gateway部分,定义VPN网关名称,定义"对端VPN设备的公网IP地址" 为本地VPN 设备的网关地址,定义预共享密钥,选择发起VPN服务的物理端口;③在VPN gateway的高级(Advanced)部分,定义相关的VPN隧道协商的加密算法, 选择VPN的发起模式;④配置VPN第一阶段完成显示列表如下图;⑤定义VPN第二阶段的相关配置:VPNs=>Autokey IKE在Autokey IKE部分,选择第一阶段的VPN配置;⑥在VPN第二阶段高级(Advances)部分,选择VPN的加密算法;⑦配置VPN第二阶段完成显示列表如下图;⑧定义VPN策略,选择地址和服务信息,策略动作选择为:隧道模式;VPN隧道选择为: 刚刚定义的隧道,选择自动设置为双向策略;4.1.2,使用命令行方式配置CLI ( 东京)①配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250③定义地址set address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24④定义IPSec VPNset ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatible⑤定义策略set policy top name "To/From Paris" from trust to untrust Trust_LAN paris_officeany tunnel vpn tokyo_parisset policy top name "To/From Paris" from untrust to trust paris_office Trust_LANany tunnel vpn tokyo_parissaveCLI ( 巴黎)①定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24④定义IPSec VPNset ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3 preshareh1p8A24nG5 proposal pre-g2-3des-shaset vpn paris_tokyo gateway to_tokyo sec-level compatible⑤定义策略set policy top name "To/From Tokyo" from trust to untrust Trust_LAN tokyo_officeany tunnel vpn paris_tokyoset policy top name "To/From Tokyo" from untrust to trust tokyo_office Trust_LANany tunnel vpn paris_tokyosave4.2,站点间IPSec VPN配置:staic ip-to-dynamic ip在站点间IPSec VPN应用中,有一种特殊的应用,即在站点两端的设备中,一端拥有静态的公网IP地址,而另外一端只有动态的公网IP地址,以下讲述的案例是在这种情况下,Juniper防火墙如何建立IPSec VPN隧道.基本原则: 在这种IPSec VPN组网应用中,拥有静态公网IP地址的一端作为被访问端出现,拥有动态公网IP地址的一端作为VPN隧道协商的发起端. 和站点两端都具备静态IP地址的配置的不同之处在于VPN第一阶段的相关配置,在主动发起端(只有动态公网IP地址一端)需要指定VPN网关地址,需配置一个本地ID,配置VPN发起模式为:主动模式;在站点另外一端(拥有静态公网IP地址一端)需要指定VPN网关地址为对端设备的ID信息,不需要配置本地ID,其它部分相同.IPSec VPN组网拓扑图:staic ip-to-dynamic ip4.2.1,使用Web浏览器方式配置①VPN第一阶段的配置:动态公网IP地址端.VPN的发起必须由本端开始,动态地址端可以确定对端防火墙的IP地址,因此在VPN 阶段一的配置中,需指定对端VPN设备的静态IP地址.同时,在本端设置一个Local ID,提供给对端作为识别信息使用.②VPN第一阶段的高级配置:动态公网IP地址端.在VPN阶段一的高级配置中动态公网IP一端的VPN的发起模式应该配置为:主动模式(Aggressive)③VPN第一阶段的配置:静态公网IP地址端.在拥有静态公网IP地址的防火墙一端,在VPN阶段一的配置中,需要按照如下图所示的配置:"Remote Gateway Type"应该选择"Dynamic IP Address",同时设置Peer ID(和在动态IP地址一端设置的Local ID相同).④VPN第二阶段配置,和在"static ip-to-static ip"模式下相同.⑤VPN的访问控制策略,和在"static ip-to-static ip"模式下相同.4.2.1,使用命令行方式配置CLI ( 设备-A)①定义接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.1.5②定义路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3③定义用户set user pmason password Nd4syst4④定义地址set address trust "trusted network" 10.1.1.0/24set address untrust "mail server" 3.3.3.5/32⑤定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑥定义VPNset ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn branch_corp gateway to_mail sec-level compatible⑦定义策略set policy top from trust to untrust "trusted network" "mail server" remote_mailtunnel vpn branch_corp auth server Local user pmasonset policy top from untrust to trust "mail server" "trusted network" remote_mailtunnel vpn branch_corpsaveCLI ( 设备-B)①定义接口参数set interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24②路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250③定义地址set address dmz "mail server" 3.3.3.5/32set address untrust "branch office" 10.1.1.0/24④定义服务set service ident protocol tcp src-port 0-65535 dst-port 113-113set group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3⑤定义VPNset ike gateway to_branch dynamic pmason@ aggressiveoutgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn corp_branch gateway to_branch tunnel sec-level compatible⑥定义策略set policy top from dmz to untrust "mail server" "branch office" remote_mailtunnel vpn corp_branchset policy top from untrust to dmz "branch office" "mail server" remote_mailtunnel vpn corp_branchsave5,Juniper中低端防火墙的UTM功能配置Juniper中低端防火墙(目前主要以SSG系列防火墙为参考)支持非常广泛的攻击防护及内容安全功能,主要包括:防病毒(Anti-Virus),防垃圾邮件(Anti-Spam),URL过滤(URL filtering)以及深层检测/入侵防御(Deep Inspection/IPS).注:上述的安全/防护功能集成在防火墙的ScreenOS操作系统中,但是必须通过license (许可)激活后方可使用(并会在激活一段时间(通常是1年)后过期).当然在使用这些功能的时候,我们还需要设定好防火墙的时钟以及DNS服务器地址. 当防火墙激活了相应的安全/防护功能以后,通过WebUI可以发现,Screening条目下会增加相应的功能条目,如下图:5.1,防病毒功能的设置Juniper防火墙的防病毒引擎(从ScreenOS5.3开始内嵌Kaspersky的防病毒引擎)可以针对HTTP,FTP,POP3,IMAP以及SMTP等协议进行工作.5.1.1,Scan Manager的设置"Pattern Update Server"项中的URL地址为Juniper防火墙病毒特征库的官方下载网址(当系统激活了防病毒功能后,该网址会自动出现). "Auto Pattern Update"项允许防火墙自动更新病毒特征库;后面的"Interval"项可以指定自动更新的频率. "Update Now"项可以执行手动的病毒特征库升级."Drop/Bypass file if its size exceeds KB"项用来控制可扫表/传输的文件大小."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而不做扫描."Drop//Bypass file if the number of concurrent files exceeds files"项用控制同时扫描/传输的文件数量."Drop"项会在超过限额后,扔掉文件而不做扫描;"Bypass"项则会放行文件而不做扫描.5.1.2,Profile的设置通过设置不同的Profile,我们可以对不同的安全策略(Policy)采用不同的防病毒操作(Juniper防火墙的防病毒引用是基于安全策略的;也就是说我们的防病毒设置是通过在特定的策略中引入特定的Profile来实现的.),进而实现高粒度化地防病毒控制,将防病毒对系统资源的消耗降到最低.ns-profile是系统自带的profile.用户不需要做任何设置,就可以在安全策略里直接引用它. 除此之外,用户可以根据自己的需求来设置适合自身需求的profile.Profile方面的设置包括对FTP,HTTP,IMAP,POP3以及SMTP等5个协议的内容,见下图. Enable选项每个特定的协议类型,都有一个Enable选项.选择之,则防病毒引擎会检查与这个协议相关的流量;反之,则不会检查.Scan Mode的设置Scan Mode有三个选择项:Scan All,Scan Intelligent,Scan By Extension.Scan All:对于流量,检查所有已知的特征码.Scan Intelligent:对于流量,检查比较常见的特征码.Scan By Extension:仅针对特定的文件扩展名类型进行检查.如果选择该类型,则需要事先设定好Ext-List(设置文件扩展名的类型)与Include/Exclude Extension List. Decompress Layer的设置为了减少传输的时间,很多文件在传输过程中都会被压缩.Decompress Layer就是用来设置防病毒引擎扫描压缩文件的层数.防病毒引擎最多可以支持对4层压缩文件的扫描.Skipmime Enable的设置对于HTTP协议,可以进行Skipmime Enable的设置.打开该功能,则防病毒引擎不扫描Mime List中包括的文件类型(系统默认打开该功能,并匹配默认的Mime List:ns-skip-mime-list).Email Notify的设置对于IMAP,POP3,SMTP等email协议,可以进行Email Nortify的设置.打开该功能, 可以在发现病毒/异常后,发送email来通知用户(病毒发送者/邮件发送方/邮件接收方).5.1.3,防病毒profile在安全策略中的引用我们前面已经提到过,防病毒的实现是通过在特定安全策略中应用profile来实现的.比如,我们在名为ftp-scan的策略中引用av1的防病毒profile.①首先建立了名为av1的profile,并enable FTP协议的扫描;由于我仅希望检测的是FTP应用,故关闭对其他协议的扫描.见下图:②设置ftp-scan安全策略,并引用profile av1.。

FortiGate防火墙SNMP状态监控OID值说明目录一、概述 (3)1.编写目的 (3)2.主要内容 (3)3.适合版本 (3)二、常用OID介绍 (4)1.静态数据 (4)1.1.主机名称 (4)1.2.设备序列号 (4)1.3.CPU数量 (4)2.状态数据 (4)2.1.接口数量及状态 (4)2.2.系统运行时间 (6)3.性能数据 (6)3.1.CPU利用率 (6)3.2.内存利用率 (7)3.3.接口（每个接口的流量、包转发） (7)3.4.并发连接数 (9)3.5.每秒新建连接数 (10)3.6.接口吞吐量 (10)4.丢包数据 (11)4.1 接口丢包 (11)4.2 防火墙deny策略丢包 (12)4.3 数据包协议错误丢包 (13)4.4 其它丢包监控 (14)一、概述1. 编写目的本文档对FortiGate设备的SNMP常用OID进行了介绍，供SNMP网络管理时参考。

2. 主要内容本文档对FortiGate设备的常用OID进行了介绍，其中包括：●静态数据●状态数据●性能数据3. 适合版本FortiOS v4.0MR3。

二、 常用OID 介绍1. 静态数据 1.1. 主机名称1.2. 设备序列号1.3. CPU 数量2. 状态数据 2.1. 接口数量及状态获取接口的索引和名称：snmpwalk -c public -v 2c -O n x.x.x.x .1.3.6.1.2.1.2.2.1.1 输出结果即为接口列表及每个接口的index。

参考示例：该设备有12个接口，接口index为1-12。

设接口index为x：监控建议值：2.2. 系统运行时间3. 性能数据3.1. CPU利用率获取CPU（物理或Core，下同）的索引和名称：snmpwalk -c public -v 2c -O n 192.168.79.100 .1.3.6.1.4.1.12356.101.4.4.2.1.1 输出结果即为CPU列表及每个CPU的index。

Checkpoint防⽕墙安全配置⼿册V1.1Checkpoint防⽕墙安全配置⼿册v1.1CheckPoint防⽕墙安全配置⼿册Version 1.1XX公司⼆零⼀五年⼀⽉第1页共41 页⽬录1 综述 (3)2 Checkpoint的⼏种典型配置 (4)2.1 checkpoint 初始化配置过程： (4)2.2 Checkpoint Firewall-1 GUI安装 (13)2.3 Checkpoint NG的对象定义和策略配置 (19)3 Checkpoint防⽕墙⾃⾝加固 (37)1综述本配置⼿册介绍了Checkpoint防⽕墙的⼏种典型的配置场景，以加强防⽕墙对⽹络的安全防护作⽤。

同时也提供了Checkpoint防⽕墙⾃⾝的安全加固建议，防⽌针对防⽕墙的直接攻击。

通⽤和共性的有关防⽕墙管理、技术、配置⽅⾯的内容，请参照《中国移动防⽕墙安全规范》。

2Checkpoint的⼏种典型配置2.1checkpoint 初始化配置过程：在安装完Checkpoint软件之后，需要在命令⾏使⽤cpconfig命令来完成Checkpoint 的配置。

如下图所⽰，SSH连接到防⽕墙，在命令⾏中输⼊以下命令：IP350[admin]# cpconfigWelcome to Check Point Configuration Program================================================= Please read the following license agreement.Hit 'ENTER' to continue...（显⽰Checkpoint License版权信息，敲回车继续，敲q可直接跳过该License提⽰信息）Do you accept all the terms of this license agreement (y/n) ?y（输⼊y同意该版权声明）Which Module would you like to install ?-------------------------------------------(1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module(2) VPN-1 & FireWall-1 Enforcement Module(3) VPN-1 & FireWall-1 Enterprise Primary ManagementCheckpoint Firewall-1/VPN-1⽀持多种安装模式，Firewall-1/VPN-1主要包括三个模块：GUI：⽤户看到的图形化界⾯，⽤于配置安全策略，上⾯并不存储任何防⽕墙安全策略和对象，安装于⼀台PC机上；Management：存储为防⽕墙定义的各种安全策略和对象；Enforcement Module：起过滤数据包作⽤的过滤模块，它只与Managerment通信，其上的安全策略由管理模块下载；以上三个选项中如果Management与Enforcement Module安装于同⼀台设备上，则选择（1），如果Management与Enforcement Module分别安装于不同的设备上，则选择（2）或（3）。

H3C设备使用手册H3C SecPath F100-C防火墙安装手册1、设备介绍H3C SecPath F100-C/ SecPath 10F防火墙（塑料外壳）提供4个10/100M自适应FE LAN 口和1个10M 半双工WAN以太网接口。

前面板外观图如下：1 以太网口指示灯LAN3 5 广域网口指示灯WAN2 以太网口指示灯LAN2 6 系统运行指示灯SYS3 以太网口指示灯LAN1 7 电源指示灯PWR4 以太网口指示灯LAN0H3C SecPath F100-C/ SecPath 10F（塑料外壳）防火墙后面板：1 电源开关 6 以太网口2（LAN2）2 电源输入插座 7 以太网口3（LAN3）3 配置口（CONSOLE ） 8 接地端子4 以太网口0（LAN0） 9 广域网口（WAN ）5 以太网口1（LAN1）H3C SecPath F100-C II （铁盒外壳）的外观：(1)(2)(3)(4)(5)(6)(7)(8)(9)(10)1 以太网口指示灯（黄色） 6 以太网口（WAN ）2 以太网口指示灯（绿色） 7 以太网口（LAN3） 3系统运行指示灯（SYS ）8 以太网口（LAN2）4 电源指示灯（PWR）9 以太网口（LAN1）5 配置口（CONSOLE）10 以太网口（LAN0）（1）（2）1 交流电源输入插座2 接地端子2、登陆设备使用超级终端方式：如下图所示，将配置电缆（即console线）一端与防火墙的配置口相连，DB9一端与微机的串口相连。

设置配置终端的参数第一步：打开配置终端，建立新的连接。

第二步：设置终端参数。

确定后键入<Enter>后屏幕出现（若没有设置登录验证）：<h3c>该提示符表明防火墙已经进入用户视图，可以对防火墙进行配置了。

四、H3C SecPath F100-C防火墙配置手册下面是H3C F100-C/ SecPath 10F（一代产品为塑料盒）配置容：1、配置容一览表●保存/删除原有配置●配置接口●配置DHCP服务器●配置BIMS管理●配置静态路由●配置SSH访问●配置用户和密码●配置虚拟线路终端●查看检查配置●配置测试●回退操作2、配置保存为了确保保险集团站点式VPN迁移的顺利实施，首先需要将设备的原有配置进行备份，具体操作如下：✧用超级终端登录到设备✧备份现有配置：<h3c> copy config.cfg config.bak/备份当前配置Copy flash:/config.cfg to flash:/config.bak?[Y/N]:y...%Copy file flash:/config.cfg to flash:/config.bak...Done.<h3c>查看备份文件是否在flash中：<h3c>dirDirectory of flash:/(*) -rw- 1561 Apr 02 2000 00:17:55 config.cfg-rw- 1561 Apr 01 2000 23:56:36 config.bak(*) -with main attribute (b) -with backup attribute(*b) -with both main and backup attribute注： h3c处为设备名，不用修改，请记下配置的该台设备的设备名称,每台设备不一样，请注意<h3c>表示处于用户模式[h3c]表示处于配置模式3、删除原有配置在本次迁移中，原有的ADSL线路需要迁移到中国电信CN2网络上，因此首先需要将原先的配置删除，具体如下：✧删除原有配置✧使用超级终端登陆到设备上，依次使用如下的命令：<h3c>reset saved-configuration /删除原有配置The saved configuration will be erased.Are you sure?[Y/N]yConfiguration in flash memory is being cleared.Please wait ......reset saved-configuration successfully.<h3c>reboot /重启设备Start to check configuration with next startup configuration file, please wait.........DONE!This command will reboot the device. Current configuration may be lost in nextstartup if you continue. Continue? [Y/N]:y4、加载新配置删除完原有的配置后，依次使用如下的命令：配置接口E1/0作为分支机构的网网关：<h3c>system-view /进入配置模式[h3c] interface Ethernet1/0 /进入E1/0端口配置视图[h3c-Ethernet1/0] ip address x.x.x.x x.x.x.x /配置E1/0地址(地址为网网关) [h3c-Ethernet1/0] quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：[h3c]dhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图[h3c-dhcp-pool-1] network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址围(网地址段) [h3c-dhcp-pool-1] gateway-list x.x.x.x /配置DHCP客户端的出口网关(网网关) [h3c-dhcp-pool-1] dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址[h3c-dhcp-pool-1] nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址[h3c-dhcp-pool-1]quit /返回上一层[h3c] dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(网网关)配置防火墙支持BIMS管理：[h3c] bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能[h3c-bims]bims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）[h3c-bims]bims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号[h3c-bims]bims source ip-address 10.255.x.x（网网关）/配置BIMS设备发送报文时携带的源地址[h3c-bims]bims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) [h3c-bims]bims boot request /配置设备上电启动完成时访问BIMS中心[h3c-bims]bims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E2/0作为分支机构的外网CE口：[h3c]int Ethernet 2/0 /进入E2/0端口配置视图[h3c-Ethernet2/0]ip address x.x.x.x x.x.x.x WAN口 /配置CE地址[h3c-Ethernet2/0]quit /返回上一层配置静态路由：[h3c] ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址[h3c] ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上[h3c] ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问：[h3c]local-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added.[h3c-luser-pingan]service-type ssh /设置用户可以使用的服务类型[h3c-luser-pingan]password cipher pingan /配置用户的密码[h3c-luser-pingan]quit /返回上一层[h3c]rsa local-pair creat /产生本地RSA密钥对,注意个别华三型号只能用rsa local-key-pair creat 配置指令The range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]: /(直接回车)配置本地RSA密匙对的长度Generating keys….....++++++[h3c] ssh user pingan authentication-type password /为SSH用户配置验证方式[h3c]user-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图[h3c-ui-vty0-4]authentication-mode scheme /设置所在用户界面验证方式[h3c-ui-vty0-4]protocol inbound ssh /设置所在用户界面支持的协议[h3c-ui-vty0-4]quit /返回上一层[h3c]super password cipher pingan /配置切换用户级别的口令[h3c]snmp-agent /网管snmp配置(共7行)[h3c]snmp-agent local-engineid 000007DB7FD19[h3c]snmp-agent community read Ragga0ck3rd0M[h3c]snmp-agent community write Raggawall0p3R[h3c]snmp-agent sys-info version all[h3c]snmp-agent target-host trap address udp-domain 61.129.61.50 params securitynameRagga0ck3rd0M v2c[h3c]snmp-agent trap source Ethernet2/0查看当前设备使用的版本信息：[H3C]display version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 1608P04Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 1 hour, 39 minutesCPU type: PowerPC 859DSL 80MHz 64M bytes SDRAM Memory 8M bytes Flash Memory 0K bytes NvRAM Memory Pcb Version:5.0 Logic Version:1.0 BootROM Version:2.06[SLOT 1] 1FE (Hardware)5.0, (Driver)1.0, (Cpld)1.0[SLOT 2] 1ETH (Hardware)5.0, (Driver)1.0, (Cpld)1.0查看目前接口状态：查看WAN口的协商速率/工作模式/与协转是否协商正常：[h3c]display interface e2/0下面是H3C F100-C II（二代产品为铁盒）配置容：1、配置容一览表●保存/删除原有配置●配置接口和网桥组●配置DHCP服务器●配置BIMS管理●配置静态路由●配置SSH访问●配置用户和密码●配置虚拟线路终端●查看配置●配置测试●回退操作2、H3C SecPath F100-C II型防火墙新配置配置网桥组：<h3c>system-view /进入配置模式[h3c]bridge enable /启用网桥功能[h3c]bridge 1 enable /启用网桥组功能并建立网桥组1[h3c] interface Ethernet0/0 /进入E0/0端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/1 /进入E0/1端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/2 /进入E0/2端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/3 /进入E0/3端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c]interface bridge-template 1 /创建bridge-template虚拟接口，将指定的网桥组连接到网络中[h3c- bridge-template 1] ip address x.x.x.x x.x.x.x /配置bridge-template 1接口IP地址(网网关)[h3c- bridge-template 1] quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：[h3c]dhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图[h3c-dhcp-pool-1] network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址围(网地址段) [h3c-dhcp-pool-1] gateway-list x.x.x.x /配置DHCP客户端的出口网关(网网关) [h3c-dhcp-pool-1] dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址[h3c-dhcp-pool-1] nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址[h3c-dhcp-pool-1]quit /返回上一层[h3c] dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(网网关)配置防火墙支持BIMS管理：[h3c] bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能[h3c-bims]bims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）[h3c-bims]bims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号[h3c-bims]bims source ip-address 10.255.x.x（网网关）/配置BIMS设备发送报文时携带的源地址[h3c-bims]bims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) [h3c-bims]bims boot request /配置设备上电启动完成时访问BIMS中心[h3c-bims]bims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E0/4作为分支机构的外网CE口：[h3c]int Ethernet 0/4 /进入E0/4端口配置视图[h3c-Ethernet0/4]ip address x.x.x.x x.x.x.x WAN口 /配置CE地址[h3c-Ethernet0/4]quit /返回上一层配置静态路由：[h3c] ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址[h3c] ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上[h3c] ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问：[h3c]local-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added.[h3c-luser-pingan]service-type ssh /设置用户可以使用的服务类型[h3c-luser-pingan]password cipher pingan /配置用户的密码[h3c-luser-pingan]quit /返回上一层[h3c]rsa local-pair creat /产生本地RSA密钥对The range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]: /(直接回车)配置本地RSA密匙对的长度Generating keys….....++++++[h3c] ssh user pingan authentication-type password /为SSH用户配置验证方式[h3c]user-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图[h3c-ui-vty0-4]authentication-mode scheme /设置所在用户界面验证方式[h3c-ui-vty0-4]protocol inbound ssh /设置所在用户界面支持的协议[h3c-ui-vty0-4]quit /返回上一层[h3c]super password cipher pingan /配置切换用户级别的口令[h3c]snmp-agent /网管snmp配置(共7行)[h3c]snmp-agent local-engineid 000007DB7FD19[h3c]snmp-agent community read Ragga0ck3rd0M[h3c]snmp-agent community write Raggawall0p3R[h3c]snmp-agent sys-info version all[h3c]snmp-agent target-host trap address udp-domain 61.129.61.50 params securitynameRagga0ck3rd0M v2c[h3c]snmp-agent trap source Ethernet0/4查看当前设备使用的版本信息：[H3C]display version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 5102P02Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 3 hours, 58 minutesCPU type: Mips IDT RC32365 150MHz 64M bytes SDRAM Memory 8M bytes Flash MemoryPcb Version:2.0 Logic Version:1.0 BootROM Version:1.17[SLOT 0] 5FE (Hardware)2.0, (Driver)2.0, (Cpld)1.0[SLOT 1] 1SE (Hardware)1.0, (Driver)1.0, (Cpld)1.0保存配置：<h3c>save /将设备的配置进行保存The current configuration will be written to the device. Are you sure? [Y/N]:yPlease input the file name(*.cfg)[config.cfg](To leave the existing filename unchanged, press the enter key): (直接回车 )五、H3C SecPath F100-C 防火墙测试手册1、设备接线图配置完成后，保持设备接线图中的局域网PC至少有一台接在上面,具体设备接线图如下：H3C SecPath F100-C塑料外壳型号H3C SecPath F100-CII铁盒外壳型号2、检查验证广域网线及CN2线路连通性1)当按上述图接好后，首先通过超级终端登陆到设备中，然后使用下面的命令：<h3c>ping x.x.x.x /(x.x.x.x为当地电信PE地址)<h3c>ping –a x.x.x.x 10.16.111.156 /(-a后x.x.x.x为ICMP的源IP地址，即各分支机构网网关)查看这两个地址是否能ping通，如果<h3c>ping –a x.x.x.x 10.16.111.156 不通，则登陆设备来检查配置，同时按如下步骤测试线路连通性：2)用一台PC直接连接电信线路；3)将此电脑配置成分支机构的CE地址，不设置网关；4)使用电脑的ping命令：开始运行输入cmd ping 分支机构所在地电信PE地址，查看是否能够成功ping通。

多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin，密码admin后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

第三章防火墙基础知识与配置v1.0 幻灯片 1防火墙技术是安全技术中的一个具体体现。

防火墙原本是指房屋之间修建的一道墙，用以防止火灾发生时的火势蔓延。

我们这里讨论的是硬件防火墙，它是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。

硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、普通PC等）运行。

它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。

同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。

现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。

在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。

而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行访问。

幻灯片 6防火墙发展至今已经历经三代，分类方法也各式各样，例如按照形态划分可以分为硬件防火墙及软件防火墙；按照保护对象划分可以分为单机防火墙及网络防火墙等。

但总的来说，最主流的划分方法是按照处理方式进行分类。

防火墙按照处理方式可以分为以下三类：包过滤防火墙包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。

包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实施数据包的过滤。

主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。