H3C SecPath防火墙系列产品混合模式的典型配置

H3C SecPath F100-A防火墙VLAN透传的典型配置
一、组网需求：
客户端PC1和PC3属于VLAN100，客户端PC2和PC4属于VLAN200，用来模拟属于不同VLAN的用户，在Switch1和Switch2与防火墙相连接口上都要配置成Trunk模式，保证带Tag标记的报文能够透传。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、子接口不支持VLAN透传；
2、SecPath F100-A设备的四个LAN接口需要执行undo insulate
命令聚合成一个接口才能使用VLAN透传功能；
3、VLAN透传与交换机的Trunk功能并不相同，当与交换机互通时，
如果希望SecPath防火墙与交换机的管理VLAN 互通，需要借助子接口来实现。

即将配置了与交换机管理VLAN ID相同的子接口加入到桥组，并创建相应的桥组虚接口（BVI接口），配置同一网段地址，则防火墙的桥组虚接口就可以与交换机管理VLAN接口互通。

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

新手可以根据下面的配置一步一步操作，仔细一点儿就没问题了~！可以用超级终端配置，也可以用CRT配置如果配置了，还是不能上网，可以加我的QQ：1恢复出厂设置：Reset saved-configuration配置防火墙缺省允许报文通过：system-viewfirewall packet-filter default permit为防火墙的以太网接口（以Ethernet0/0为例）配置IP地址，并将接口加入到安全区域：interface Ethernet0/0ip address IP地址子网掩码quitfirewall zone trustadd interface Ethernet0/0quit添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限：local-user 登录账号password simple 登录密码service-type telnetlevel 3quitquitsysfirewall packet-filter default permitdialer-rule 1 ip permitacl number 3000rule 0 permit ipquitinterface Dialer1link-protocol pppppp chap user PPPOE账号ppp chap password simple PPPOE密码ip address ppp-negotiatedialer-group 1dialer bundle 1nat outbound 3000quitinterface Ethernet0/4pppoe-client dial-bundle-number 1firewall zone untrustadd interface Ethernet0/4add interface Dialer1quitfirewall zone trustadd interface Ethernet0/0quitip route-static Dialer 1 preference 60 save。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM （United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。

H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。

2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口，Trust域，192.168.1.1/24Eth0/0 Trust域，10.254.254.1/24G0/2 三层接口，Untrust域，202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口，PVID 10，Trust域G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，10.254.254.1/24vlan-interface 10 Trust域，192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理> 深度安全策略。

SecPath系列防火墙域间策略典型配置举例关键词：域间策略摘要：域间策略在安全域之间实现流识别功能，对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。

缩略语：缩略语英文全名中文解释ACL Access Control List 访问控制列表目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 配置接口地址 (4)4.4.2 接口加入域 (6)4.4.3 配置时间段 (8)4.4.4 配置地址对象 (9)4.4.5 配置域间策略 (9)4.5 验证结果 (11)4.5.1 内部主机Public在上班时间访问外部网络 (11)4.5.2 其他内部主机在上班时间访问外部网络 (12)5 相关资料 (12)5.1 相关协议和标准 (12)5.2 其它相关资料 (12)1 特性简介域间策略是基于ACL（Access Control List，访问控制列表），在安全域之间实现流识别功能的。

域间策略在一对源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

域间策略通过引用资源管理中的地址资源和服务资源，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）等信息制定匹配规则。

每条规则还可以通过引用资源管理中的时间段资源，来指定这条规则在该时间段定义的时间范围内有效。

2 应用场合需要进行流识别，流状态监控、安全域间设置防火墙的任何场合。

3 注意事项域间策略使用的ACL序号是系统自动分配的，当首次在两个安全域之间创建域间策略的规则时，系统自动为该域间策略创建一个ACL，并从6000开始，分配当前未使用的最小序号给该ACL；当该域间策略的规则全部被删除时，系统自动删除该ACL。

目录1路由设置 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置静态路由····································································································································· 1-11.3 查看激活路由表 ································································································································· 1-21.4 静态路由典型配置举例 ······················································································································ 1-31.5 注意事项············································································································································ 1-61 路由设置•本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

H3C-SecPath-F100系列防火墙配置教程H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit 分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezonetime-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password[ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。