H3C SecPath T系列入侵防御系统配置指南

合集下载

H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

SecPath IPS入侵防御系统介绍

/Products Technology/Products/IP Security/Characteristic Service Area/

24
高可靠性机制：软件二层回退和硬件掉电保护
内置的高可用性（软件二层回退）硬件掉电保护模块 PFC（Power Free Connector)
更有效地防御混合型威胁
漏洞库
切合新型攻击手法的发展趋势提高防御精度和效率
病毒库
协议库
综合防御
我是谁？病毒、木马、蠕虫、恶意代码、后门、黑客程序、垃圾邮件、钓鱼、间谍软件 ……

22
持续安全防护：特征库的发布流程
特征库上网发布 H3C 用服部门自动升级严格的攻防验证 H3C 鉴定测试中心手动升级对漏报、误报进行严格验证
CF卡 USB口接口
4MB
2GB 1GB(内置) 1个
2
可选配 1.2G(M)/1.6G(A) 10万(M)/15万(A)
1+1电源备份
吞吐量新建连接数最大连接数
2*Combo千兆业务接口，光电复合
100万
扩展接口模块：4×10/100M/1000M以太电口，或8×10/100M/1000M以太电口，或4×1000M SFP光口

6
社会原因：攻击产业化
漏洞研究者
工具开发者
直接攻击
非法/恶意竞争偷窃
恶意软件开发者
工具销售者建立僵尸网络
攻击执行者
间谍活动企业/政府
病毒
蠕虫间谍软件僵尸网络：
租赁、贩卖、勒索
DDoS
勒索盈利
商业销售
垃圾邮件
钓鱼
欺诈销售

SecPath防火墙地址扫描和端口扫描攻击防范典型配置

SecPath地址扫描和端口扫描攻击防范典型配置一、组网需求部署SecPath防火墙，对地址扫描(ip-sweep)和端口扫描(port-scan)攻击进行防范，并利用黑名单功能将攻击者进行隔离。

二、组网图三、配置步骤[SecPath10F]dis cur#sysname SecPath10F#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable //开启全局报文统计功能#firewall blacklist enable //启用黑名单功能#radius scheme system#domain system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3service-type ftp#interface Ethernet1/0ip address 10.0.0.254 255.255.0.0#interface Ethernet2/0speed 10duplex halfip address 9.0.0.254 255.0.0.0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet1/0set priority 85#firewall zone untrustadd interface Ethernet2/0set priority 5statistic enable ip outzone //对非信任域出方向的报文进行统计#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#FTP server enable#//设置地址扫描的阈值为每秒50次，将攻击者加入到黑名单并阻断10分钟firewall defend ip-sweep max-rate 50 blacklist-timeout 10//设置端口扫描的阈值为每秒100次，将攻击者加入到黑名单并阻断10分钟firewall defend port-scan max-rate 100 blacklist-timeout 10#user-interface con 0user-interface vty 0 4authentication-mode scheme#return四、配置关键点1．对域进入或送出的报文进行统计；2．开启黑名单功能；3．设置地址/端口扫描的阈值和攻击者被阻断的时间。

安全-H3C SecPath T200-S IPS产品彩页-(V1.3)(091210)

H3C SecPath T200-S 入侵防御系统产品概述H3C SecPath T200-S IPS （Intrusion Prevention System ）集成入侵防御与检测、病毒过滤、带宽管理和URL 过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

SecPath T200-S IPS 适用于企业用户、行业用户的互联网出口和广域网边界。

SecPath T200-S典型组网SecPath IPS 在线部署模式SecPath IPS镜像产品特点强大的入侵抵御能力SecPath IPS 是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS 产品，特征库数量已达10000+。

配合H3C FIRST （Full Inspection with Rigorous State Test ）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS 通过了国际权威组织CVE(Common Vulnerabilities & Exposures ，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

专业的病毒查杀SecPath T200-S IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

零时差的应用保护H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；H3C通过了微软的MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。

SecPath高端防火墙攻防配置举例

SecPath高端防火墙攻击防范配置举例关键词：攻击防范、DDOS、扫描、黑名单摘要：本文简单描述了高端多核防火墙攻击防范模块的特点，包括SYN FLOOD攻击防范、UDP FLOOD攻击防范、ICMP FLOOD攻击防范、扫描攻击防范、单包攻击防范、静态黑名单功能、动态黑名单功能。

给出攻击防范典型的配置案例及攻击报文构造的详细步骤。

缩略语：目录1 介绍 (1)2 特性使用指南 (1)2.1 使用场合 (1)2.2 配置指南 (1)2.3 攻击软件介绍 (2)2.4 注意事项 (2)3 支持的设备和版本 (2)3.1 设备版本 (2)3.2 支持的设备 (3)3.3 配置保存 (3)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本配置 (4)4.3 攻击防范业务典型配置举例 (5)5 相关资料 (28)5.1 相关协议和标准 (28)5.2 其它相关资料 (28)1 介绍(1) 攻击防范是防火墙的重要特性之一，它分析经过防火墙报文的内容和行为，判断报文是否具有攻击特性，如果有则执行一定的防范措施：如加入黑名单、输出告警日志、丢弃报文等。

(2) 防火墙的攻击防范能够检测拒绝服务型（DoS）、扫描窥探型、畸形报文型等多种类型的攻击，并对攻击采取合理的防范措施。

攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。

(3) 攻击防范管理是对防火墙的黑名单过滤、攻击特征识别、流量异常检测、入侵检测统计几项重要的功能进行配置管理。

本节将分别介绍上述功能及其配置。

2 特性使用指南2.1 使用场合(1) 在内外网之间通过分析防火墙报文的内容和行为，判断报文是否具有攻击特性，从而执行防范措施，保护网络安全运行。

2.2 配置指南关于攻击防范功能业务的配置全部可以采用Web方式配置。

攻击防范业务功能需要在Web配置以下内容：A. 静态黑名单功能B. 动态黑名单功能C. ICMP FLOOD攻击防范D. UDP FLOOD攻击防范E. SYN FLOOD攻击防范F. 扫描攻击防范G. 单包攻击防范2.3 攻击软件介绍攻击防范软件有很多选择，本文中选择使用NetWizard 2.2。

H3C入侵防御系统特性

H3C IPSH3C SecPath IPS（Intrusion Prevention System）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为，并对分布在网络中的各种P2P、IM 等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护。

产品综述高性能高可靠性领先的多核架构及分布式搜索引擎，确保SecPath IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。

通过掉电保护（PFC）、二层回退、双机热备等高可靠性设计，保证IPS在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。

便捷的管理方式支持本地和分布式管理。

在单台或小规模部署时，通过IPS内置的Web界面进行图形化管理；在大规模部署时，可通过H3C 安全管理中心SecCenter对分布部署的IPS进行统一监控、分析与策略管理。

灵活的组网模式透明模式，即插即用，支持在线或IDS旁路方式部署；融合了丰富的网络特性，可在MPLS、802.1Q、QinQ、GRE等各种复杂的网络环境中灵活组网。

网络基础设施保护SecPath IPS具有强大的DDoS攻击防护和流量模型自学习能力，当DDoS攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种恶意攻击，保证关键业务的通畅。

精细化流量管理SecPath IPS能精确识别P2P/IM、炒股软件、网络多媒体、网络游戏等应用，并能按时段、用户（组）、Session、应用等进行限流或阻断，限流粒度可以精确到8Kbps。

通过精细化带宽管理，帮助用户遏制非关键应用抢夺宝贵的带宽和IT 资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。

H3C SecPath T200-M入侵防御系统产品彩页-5PW101-20091211

H3C SecPath T200-M 入侵防御系统1 产品概述H3C SecPath T200-M IPS（Intrusion Prevention System）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

SecPath T200-M IPS适用于小型网络的数据中心和中小型网络边界。

图1SecPath T200-M2 产品特点强大的入侵抵御能力SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达10000+。

配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS通过了国际权威组织CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

专业的病毒查杀SecPath T200-M IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

H3CSecPathUTM系列特征库升级典型配置举例

H3CSecPathUTM系列特征库升级典型配置举例H3C SecPath UTM系列特征库升级典型配置举例关键词：特征库摘要：本⽂主要描述了UTM设备特征库升级的典型配置⽅法。

缩略语：缩略语英⽂全名中⽂解释UTM Unified Threat Management 统⼀威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system ⼊侵防御系统⽬录1 特性简介 (1)2 应⽤场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组⽹需求 (1)4.2 配置思路 (2)4.3 使⽤版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 主要配置步骤 (3)4.5 验证结果 (5)5 相关资料 (5)5.1 其它相关资料 (5)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等，因此对于安全设备来说，必须保证特征库能够实时的更新升级，以保证它总是最新版本。

特征库的升级分为⼿动升级和⾃动升级：z⾃动升级可以帮助⽤户每隔指定的时间，使⽤特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。

z⼿动升级允许⽤户在需要的时候⼿动进⾏升级，⽤户可以⼿动设定获取特征库的协议、服务器地址和特征库⽂件名称，并且⼿动升级可以获取与设备兼容的任意⼀个版本的特征库。

⼿动升级⼀般是在⽤户的局域⽹内进⾏的。

2 应⽤场合运⾏在⽹络中的UTM设备启⽤了IPS和AV的功能，需要及时更新特征库3 注意事项要更新升级特征库，必须保证当前的License⽂件合法，并且在有效期限内。

主要配置步骤中的配置是在“应⽤安全策略”界⾯进⾏的，在左侧导航栏中点击“IPS|AV|应⽤控制 > ⾼级设置”，点击“应⽤安全策略”链接就可以进⼊“应⽤安全策略”界⾯。

4 配置举例4.1 组⽹需求某公司的内⽹⽹段为192.168.1.0/24，通过GE0/2连接到外⽹。

⽤户登录UTM的内⽹或外⽹接⼝地址，可以对UTM进⾏⼿动特征库升级操作；设置⾃动升级后，UTM会按照设定的时间⾃动进⾏特征库升级。

H3C SecPath高端防火墙操作手册(V5.03)

目录1 简介...................................................................................................................................................1-11.1 分册简介............................................................................................................................................1-12 业务特性明晰.....................................................................................................................................2-12.1 概述...................................................................................................................................................2-12.2 特性功能索引.....................................................................................................................................2-12.3 特性功能明晰.....................................................................................................................................2-22.3.1 防火墙功能Web配置分册........................................................................................................2-22.3.2 SSL VPN功能Web配置分册...................................................................................................2-82.3.3 安全分册.................................................................................................................................2-92.3.4 接入分册...............................................................................................................................2-102.3.5 IP业务分册............................................................................................................................2-102.3.6 IP路由分册............................................................................................................................2-112.3.7 系统分册...............................................................................................................................2-112.3.8 VPN分册...............................................................................................................................2-132.3.9 IP组播分册............................................................................................................................2-131 简介z本手册当前适用于H3C SecPath F1000-E（F3166）、F1000-S-EI（E5114）及SecBlade防火墙插卡（F3166）产品。

SecPath系列防火墙配置管理典型配置举例

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

H3C IPS入侵防御系统配置指导整本手册

表示从多个选项中选取一个或者不选。
{ x | y | ... } *
表示从多个选项中至少选取一个。
[ x | y | ... ] *
表示从多个选项中选取一个、多个或者不选。
&<1-n>
表示符号&前面的参数可以重复输入1～n次。
#
由“#”号开始的行表示为注释行。
2. 图形界面格式约定
格式
意义
<>
带尖括号“< >”表示按钮名，如“单击<确定>按钮”。
本书约定
1. 命令行格式约定
格式
意义
粗体
命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。
斜体
命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。
[]
表示用“[ ]”括起来的部分在命令配置时是可选的。
{ x | y | ... }
表示从多个选项中仅选取一个。
[ x | y | ... ]
Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名
称，由各自权利人拥有。
由于产品版本升级或其他原因，本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的信息，但是 H3C 并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
表1-3 Telnet 服务配置
操作
命令

H3C-攻击防范配置

z SYN Flood 攻击由于资源的限制，TCP/IP 协议栈只能允许有限个 TCP 连接。SYN Flood 攻击者向服务器发送伪造源地址的 SYN 报文，服务器在收到 SYN 报文后发送 SYN ACK 响应报文，此响应报文发出去后，由于目的地址是伪造的，因此服务器不会收到相应的 ACK 报文，从而在服务器上产生一个半连接。若攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，耗尽其系统资源，使正常的用户无法访问，直到半连接超时。在一些创建连接不受限制的目标系统中，SYN Flood 攻击具有类似的影响，它会消耗掉系统的内存等资源。
目录
1 攻击防范配置..................................................................................................................................... 1-1 1.1 攻击防范简介..................................................................................................................................... 1-1 1.1.1 网络攻击类型 .......................................................................................................................... 1-1 1.1.2 黑名单..................................................................................................................................... 1-2 1.1.3 流量统计 ................................................................................................................................. 1-3 1.2 攻击防范配置任务简介 ...................................................................................................................... 1-3 1.3 配置接口上的攻击防范 ...................................................................................................................... 1-4 1.3.1 创建攻击防范策略................................................................................................................... 1-4 1.3.2 配置攻击防范策略................................................................................................................... 1-4 1.3.3 在接口上应用攻击防范策略 .................................................................................................... 1-8 1.4 配置黑名单 ........................................................................................................................................ 1-8 1.5 在接口上使能流量统计 ...................................................................................................................... 1-8 1.6 攻击防范的显示和维护 ...................................................................................................................... 1-9 1.7 攻击防范典型配置举例 ...................................................................................................................... 1-9 1.7.1 配置接口上的攻击防范 ........................................................................................................... 1-9 1.7.2 配置黑名单............................................................................................................................ 1-11 1.7.3 配置流量统计 ........................................................................................................................ 1-12

H3C SecPath T1000-S入侵防御系统产品彩页-5PW101-20091215

H3C SecPath T1000-S入侵防御系统1 产品概述H3C SecPath T1000-S IPS（Intrusion Prevention System）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

SecPath T1000-S IPS适用于中型网络的数据中心和大型网络边界。

图1SecPath T1000-S2 产品特点强大的入侵抵御能力SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达10000+。

配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS通过了国际权威组织CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

专业的病毒查杀SecPath T1000-S IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

零时差的应用保护H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；H3C通过了微软的MAPP (MicrosoftActive Protections Program)认证，可以提前获得微软的漏洞信息。

09-H3C SecPath UTM系列ARP防攻击典型配置举例

H3C SecPath UTM系列ARP防攻击典型配置举例关键词：UTM，ARP摘要：ARP协议因为没有任何安全机制而容易被攻击发起者利用。

为了避免各种攻击带来的危害，设备提供了多种技术对攻击进行检测和解决。

缩略语：缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理ARP Address Resolution Protocol 地址解析协议目录1 特性简介 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (1)4.3 使用版本 (2)4.4 配置步骤 (2)4.4.1 配置接口地址 (2)4.4.2 接口加入域 (4)4.4.3 配置ARP防攻击方法—免费ARP (6)4.4.4 配置ARP防攻击方法—ARP扫描 (7)4.4.5 配置ARP防攻击方法—ARP固化 (7)4.5 验证结果 (8)4.5.1 免费ARP验证结果 (8)4.5.2 ARP扫描验证结果 (9)4.5.3 ARP固化验证结果 (9)5 相关资料 (11)5.1 相关协议和标准 (11)5.2 其它相关资料 (11)1 特性简介ARP协议有简单、易用的优点，但是也因为其没有任何安全机制而容易被攻击发起者利用。

目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁，为了避免各种攻击带来的危害，设备提供了多种技术对攻击进行检测和解决。

2 应用场合网吧、校园网等局域网。

3 注意事项z配置免费ARP功能后，只有当接口链路Up并且配置IP地址后，此功能才真正生效。

z如果修改了免费ARP报文的发送周期，则在下一个发送周期才能生效。

z不要在配置了VRRP备份组的接口下使能免费ARP功能。

z建议用户在ARP自动扫描期间不要进行其他操作。

z只有三层以太网接口、三层以太网子接口、VLAN接口学习到的动态ARP表项可以被固化。

4 配置举例4.1 组网需求本配置举例中，UTM设备使用的是U200-S。

H3C SecPath T5000-S3入侵防御系统安装手册-5PW103

目录3 设备的安装........................................................................................................................................3-13.1 安装前的准备工作.............................................................................................................................3-13.2 设备的安装流程.................................................................................................................................3-13.3 安装设备到指定位置..........................................................................................................................3-23.3.1 安放设备到工作台...................................................................................................................3-23.3.2 安装设备到19英寸机柜.........................................................................................................3-23.4 连接保护地线.....................................................................................................................................3-53.4.1 连接保护地线的重要性...........................................................................................................3-53.4.2 连接保护地线的方法...............................................................................................................3-53.5 安装通用模块.....................................................................................................................................3-63.6 连接接口电缆.....................................................................................................................................3-63.6.1 连接CONSOLE口电缆............................................................................................................3-63.6.2 连接管理以太网口电缆...........................................................................................................3-73.6.3 连接以太网电缆......................................................................................................................3-83.7 连接电源线........................................................................................................................................3-93.7.1 电源接口及保护地...................................................................................................................3-93.7.2 连接交流电源线......................................................................................................................3-93.7.3 连接直流电源线....................................................................................................................3-113.8 连接PFC（可选）...........................................................................................................................3-123.9 安装网口避雷器（可选）................................................................................................................3-133.9.1 需要工具...............................................................................................................................3-133.9.2 安装步骤...............................................................................................................................3-133.9.3 安装注意事项........................................................................................................................3-143.10 安装交流电源避雷器（防雷接线排）（可选）..............................................................................3-143.11 选择和安装信号避雷器（可选）....................................................................................................3-153.12 安装后的检查.................................................................................................................................3-163 设备的安装3.1 安装前的准备工作请确认第2章中所述的要求已经满足。

H3C SecPath防火墙配置指导

目录1路由设置 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置静态路由····································································································································· 1-11.3 查看激活路由表 ································································································································· 1-21.4 静态路由典型配置举例 ······················································································································ 1-31.5 注意事项············································································································································ 1-61 路由设置•本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

H3C SecPath UTM Series Anti-Spam配置示例说明书

H3C SecPath UTM Series Anti-Spam ConfigurationExampleKeywords: Anti-spam,SMTP, POP3Abstract: This document presents an anti-spam configuration example for UTM devices.Acronyms:Acronym Full spellingUTM Unified Threat ManagementSMTP Simple Mail Transfer ProtocolPOP3 Post Office Protocol, Version 3Table of ContentsFeature Overview (3)Application Scenarios (3)Configuration Guidelines (3)Anti-Spam Configuration Example (3)Network Requirements (3)Configuration Considerations (4)Hardware/Software Version Used (4)Configuration Procedures (4)Basic Configuration (4)Anti-Spam Configuration (7)Verification (10)Related Documentation (11)Feature OverviewBy cooperating with a Commtouch mail server (a third-party mail server), the anti-spam feature of an H3C UTM device can inspect all emails sent from external networks to the internal network and process the emails as configured, so as to prevent spam from wasting the resources of the internal network.With the anti-spam feature configured, the device forwards all emails received from external networks to the Commtouch mail server for inspection and, after receiving the inspection results, processes the emails based on the actions specified in the anti-spam policy.The anti-spam feature supports inspecting Simple Mail Transfer Protocol (SMTP) emails and Post Office Protocol, Version 3 (POP3) emails:z SMTP: In a scenario where the SMTP clients are on the external network and the SMTP server is on the internal network.z POP3: In a scenario where the POP3 clients are on the internal network and the POP3 server is on the external network.Application ScenariosThe anti-spam feature can be deployed to check emails entering an internal network to prevent email spam from occupying resources of the internal network.Configuration GuidelinesBefore configuring the anti-spam feature, ensure that:z The device can communicate with the Commtouch mail server normally. The address of the Commtouch mail server is http://resolver%, where %d indicates a number in therange from 1 to 10.z The device has a legal, effective license of the anti-spam feature.z The device can connect to to verify the validity of the license for the anti-spam feature. When the license of the anti-spam feature expires, all anti-spam configurations will not beeffective any more.Anti-Spam Configuration ExampleNetwork RequirementsAs shown in Figure 1, the internal network of a company is 4.1.1.0/24, and the external network is 192.168.100.0/22. Configure the UTM device to inspect emails received from the POP3 server and process those emails as follows:z Modify the subjects of emails from known spam sources and log them.z Modify the subjects of emails from unknown spam sources and log them.z Log suspicious emails.z Forward normal emails normally.Figure 1 Network diagram for anti-spam configurationConfiguration Considerationsz Redirect the traffic of interest for in-depth inspection.z Configure the anti-spam policy and rules.z Apply the policy to the segment.Hardware/Software Version Used<H3C>dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Ess 5115Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C SecPath U200-CM uptime is 0 week, 3 days, 20 hours, 54 minutesCPU type: RMI XLS404 800MHz CPU512M bytes DDR2 SDRAM Memory32M bytes Flash Memory247M bytes CF0 CardPCB Version:Ver.BLogic Version: 2.0Basic BootWare Version: 1.23Extend BootWare Version: 1.23[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[SUBCARD 1] 2GE (Hardware)Ver.B, (Driver)1.0, (Cpld)1.0Configuration ProceduresBasic ConfigurationConfiguring interface GE 0/1Select Device Management > Interface from the navigation tree and then click the icon of GE 0/1 to enter the interface configuration page. Perform the configurations shown in the following figure and click Apply.Select Device Management > Zone from the navigation tree and then click the icon of the Untrust zone to enter the page for modifying the security zone configurations. Add interface GE 0/1 to the Untrust zone as shown in the following figure, and click Apply to complete the operation and return to the security zone page.Configuring interface GE 0/4Similarly, assign IP address 4.1.1.1/24 to interface GE 0/4 and add the interface to security zone Trust. Selecting Device Management > Interface from the navigation tree, you should see the following list:Configuring NATTo enable internal hosts to connect to the external network through the UTM device, you need to configure a NAT policy on interface GE 0/1. In this example, the policy references ACL 3004 and uses the NAT mode of Easy IP.Select Firewall > ACL from the navigation tree and then create ACL 3004 and add a rule to the ACL to identify the flow of interest. In this example, the ACL permits packets sourced from 4.1.1.0/24. The configurations are shown in the following figure:Select Firewall > NAT Policy > Dynamic NAT from the navigation tree and then under Dynamic NAT, click Add and then specify ACL 3004 and Easy IP for interface GigabitEthernet 0/1. The following figure shows the configuration result:Configuring a routeSelect Network > Routing Management > Static Routing from the navigation tree and configure a default route, setting the next hop to the IP address for the intranet side interface of the router that connects the GE 0/1 interface of the UTM device with the external network (192.168.100.254 in this example).Configuring a redirect policyConfigure a redirect policy to redirect the flow of interest to the i-Ware platform for in-depth analysis. In this example, traffic between zone Trust and zone Untrust that matches ACL 3000 will be redirected to segment 0.First , select Firewall > ACL from the navigation tree and then create ACL 3000 and add rules to the ACL to identify the traffic of interest. The configurations are shown in the following figure:Then, select IPS | AV | Application Control > Advanced Configuration from the navigation tree and create a redirect policy to redirect traffic matching ACL 3000 to segment 0.Anti-Spam ConfigurationSelect IPS | AV | Application Control > Advanced Configuration from the navigation tree and click the Application Security Policy link to enter the in-depth inspection configuration page.Enabling anti-spam inspectionSelect Anti-Spam > Anti-Spam from the navigation tree and perform the following configurations in the Server Configuration area:z Select the Antispam inspection check box.z Click Apply.z After a while, you will see that the operation status becomes normal.z If the UTM device connects to the Commtouch mail server through a proxy server, you need to configure the proxy server according to the networking scheme.z The anti-spam signature database stores all email spam signatures that the device can identify.The license of the anti-spam feature has a validity period specified. After the license expires, you need to recharge to obtain a new license before upgrading the anti-spam signature database.Creating and applying the anti-spam policyUnder Policy Application List, click Add and perform the following configurations:z Type test as the name.z Select Modify subject and log as the action for POP3 emails from known spam sources.z Select Modify subject and log as the action for POP3 emails from unknown spam sources.z Select Log as the action for suspicious POP3 emails.z Select Log as the action for normal POP3 emails.z Under Apply Policy, click Add and perform the following configurations on the page that appears: z Select segment 0.z Click Apply.z Now, segment 0 should appear on the list under Apply Policy. Click Apply to complete the operation.Activating configurationsAfter the application operation is complete, the anti-spam configuration page appears again, as shown in the following figure. Click Activate and confirm your operation.VerificationOn internal host 4.1.1.2, configure Outlook Express to receive emails. Then, on the web interface of the device, select Log Management > Anti-Spam Logs from the navigation tree. Logs about inspection and processing of emails destined for the user should appear on the list.Hangzhou H3C Technologies Co., Ltd. 11/11Related DocumentationAnti-Spam Configuration of the Web configuration manual.。

H3C IPS入侵防御系统命令手册(V1.06)

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。

H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，H3C尽全力在本手册中提供准确的信息，但是H3C并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

技术支持用户支持邮箱：customer_service@技术支持热线电话：800-810-0504（固话拨打）400-810-0504（手机、固话均可拨打）网址：相关资料及其获取方式相关资料手册名称用途《H3C IPS入侵防御系统操作手介绍H3C IPS入侵防御系统所涉及的配置和操作指导。

册》《H3C IPS入侵防御系统 Web配置指导用户通过Web方式对H3C IPS入侵防御系统进行配置操作。

手册》《H3C SecPath T系列入侵防御系介绍H3C SecPath T系列入侵防御系统的安装指导及安全注意事项等。

统安装手册》资料获取方式您可以通过H3C网站（）获取最新的产品资料：H3C网站与产品资料相关的主要栏目介绍如下：z[产品技术]：可以获取产品介绍和技术介绍的文档。