SecPath防火墙常见flood攻击防范典型配置

华为Secpath典型配置案例时间:2007-01-03 21:27:48 来源: 作者:whsong 点击:376次出处:技术无忧关键字：华为1 时间段访问控制列表（ACL）：功能需求及组网说明:『组网需求』：要求内部用户，在8：00－12：00和13：30－18：00可以出公网，其它的时间都不可以出公网『配置实例』：1．在系统视图下配置时间段：[Secpath] time-range huawei1 08:00 to 18:00 daily[Secpath] time-range huawei2 12:00 to 13:30 daily2．配置高级访问控制列表：[Secpath] acl number 3001[Secpath-acl-adv-3001] rule deny ip time-range huawei2[Secpath-acl-adv-3001] rule permit ip time-range huawei1[Secpath-acl-adv-3001] rule deny ip3．进入内网接口视图，下发时间段ACL规则：[Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound4．对于其它的规则配置请查看操作手册。

『注意事项』：1、在同一个名字下可以配置多个时间段，这些时间段是“或”关系。

2、在SECPATH系列产品中，只有SECPATH10F是不可以保存系统时间的，重启设备后，时间就会丢失。

3、要将基于MAC地址的访问控制列表应用到接口上，防火墙必须工作在透明模式下，否则系统会提示“Please firstly active the Transparent mode !”。

2 地址转换（NAT）：『配置实例』：1．配置域名与外部地址、端口号、协议类型之间的映射。

[Secpath] nat dns-map 10.153.49.197 80 tcp[Secpath] nat dns-map 10.153.49.197 21 tcp2．相关NAT地址转换及映射配置，请参考手册。

SecPath地址扫描和端口扫描攻击防范典型配置一、组网需求部署SecPath防火墙，对地址扫描(ip-sweep)和端口扫描(port-scan)攻击进行防范，并利用黑名单功能将攻击者进行隔离。

二、组网图三、配置步骤[SecPath10F]dis cur#sysname SecPath10F#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable //开启全局报文统计功能#firewall blacklist enable //启用黑名单功能#radius scheme system#domain system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3service-type ftp#interface Ethernet1/0ip address 10.0.0.254 255.255.0.0#interface Ethernet2/0speed 10duplex halfip address 9.0.0.254 255.0.0.0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet1/0set priority 85#firewall zone untrustadd interface Ethernet2/0set priority 5statistic enable ip outzone //对非信任域出方向的报文进行统计#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#FTP server enable#//设置地址扫描的阈值为每秒50次，将攻击者加入到黑名单并阻断10分钟firewall defend ip-sweep max-rate 50 blacklist-timeout 10//设置端口扫描的阈值为每秒100次，将攻击者加入到黑名单并阻断10分钟firewall defend port-scan max-rate 100 blacklist-timeout 10#user-interface con 0user-interface vty 0 4authentication-mode scheme#return四、配置关键点1．对域进入或送出的报文进行统计；2．开启黑名单功能；3．设置地址/端口扫描的阈值和攻击者被阻断的时间。

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

H3C SecPath T 系列入侵防御系统配置指南前言本书简介本手册主要介绍H3C SecPath T 系列入侵防御系统的产品概况、安装前的准备、安装过程、设备启动以及常见问题处理。

在安装设备的过程中，为避免可能出现的设备损坏和人身伤害，请仔细阅读本手册。

本手册各章节内容如下：•第1 章产品介绍。

介绍了设备的概况、产品外观、产品规格以及接口。

•第2 章接口模块。

介绍设备支持的接口模块规格、外观、指示灯含义、接口属性和连接电缆。

•第3 章安装前的准备。

介绍设备安装前的准备工作及相关的安全注意事项。

•第4 章设备安装。

介绍设备的安装、线缆的连接以及安装后的检查。

•第5 章设备启动及软件升级。

介绍设备初次上电时的启动过程以及升级软件的方法。

•第6 章常见问题处理。

对设备操作过程的常见问题进行故障说明及故障处理。

本书约定1.命令行格式约定2.图形界面格式约定3.各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：。

目录1 产品介绍............................................................................. 1-11.1 产品概述............................................................................ 1-11.2 产品外观及指示灯说明................................................................ 1-11.2.1 T200/T200-E产品外观 .......................................................... 1-11.2.2 T200-A/M/S产品外观 ........................................................... 1-31.2.3 T1000-A/M/S/C产品外观 ........................................................ 1-61.3 产品规格............................................................................ 1-81.3.1 处理器和存储器................................................................ 1-81.3.2 外形尺寸和重量................................................................ 1-91.3.3 固定接口和槽位数............................................................. 1-101.3.4 输入电源..................................................................... 1-111.3.5 工作环境..................................................................... 1-121.4 产品组件........................................................................... 1-121.4.1 处理器及存储器............................................................... 1-121.4.2 各类接口..................................................................... 1-131.4.3 USB接口..................................................................... 1-191.4.4 扩展接口卡（选配）........................................................... 1-191.4.5 RPS电源（选配）............................................................. 1-192 接口模块............................................................................. 2-12.1 4GBE/8GBE ...................................................................................................................................... 2-12.2 4GBP ................................................................................................................................................. 2-32.3 GT4C ................................................................................................................................................. 2-52.4 GX4C................................................................................................................................................. 2-73 安装前的准备......................................................................... 3-13.1 通用安全注意事项.................................................................... 3-13.2 检查安装场所........................................................................ 3-13.2.1 温度/湿度要求.................................................................. 3-13.2.2 洁净度要求.................................................................... 3-13.2.3 防静电要求.................................................................... 3-23.2.4 抗干扰要求.................................................................... 3-23.2.5 防雷击要求.................................................................... 3-23.2.6 接地要求...................................................................... 3-33.2.7 布线要求...................................................................... 3-33.3 激光使用安全........................................................................ 3-33.4 安装工具............................................................................ 3-34 设备安装............................................................................. 4-14.1 安装前的确认........................................................................ 4-14.2 安装流程............................................................................ 4-24.3 安装设备到指定位置.................................................................. 4-24.3.1 安放设备到工作台.............................................................. 4-24.3.2 安装设备到19 英寸机柜......................................................... 4-34.4 连接保护接地线...................................................................... 4-54.5 连接接口线缆........................................................................ 4-64.5.1 连接配置口线缆................................................................ 4-64.5.2 连接网络管理口................................................................ 4-74.5.3 连接业务口.................................................................... 4-74.6 连接交流电源线...................................................................... 4-84.7 安装/拆卸扩展接口卡（可选） ......................................................... 4-84.8 安装/拆卸CF卡（可选）............................................................... 4-94.8.1 安装CF卡 ..................................................................... 4-94.8.2 拆卸CF卡 .................................................................... 4-104.9 连接PFC（可选）................................................................... 4-104.10 连接RPS电源线（可选）............................................................ 4-104.11 安装后检查........................................................................ 4-125 设备启动及软件升级................................................................... 5-15.1 设备启动............................................................................ 5-15.1.1 搭建配置环境.................................................................. 5-15.1.2 设备上电...................................................................... 5-45.1.3 启动过程...................................................................... 5-55.2 Web登录方式........................................................................ 5-75.2.1 采用Web默认登录方式.......................................................... 5-75.2.2 改变Web默认登录方式.......................................................... 5-85.3 系统软件升级........................................................................ 5-95.3.1 命令行方式.................................................................... 5-95.3.2 Web方式..................................................................... 5-106 常见问题处理......................................................................... 6-16.1 电源系统问题故障处理................................................................ 6-16.2 设备故障处理........................................................................ 6-11产品介绍1.1 产品概述H3C SecPath T 系列IPS（Intrusion Prevention System，入侵防御系统）产品是杭州华三通信技术有限公司（以下简称H3C 公司）面向企业、行业、电信开发的新一代网络入侵防御系统。

SecPath高端防火墙攻击防范配置举例关键词：攻击防范、DDOS、扫描、黑名单摘要：本文简单描述了高端多核防火墙攻击防范模块的特点，包括SYN FLOOD攻击防范、UDP FLOOD攻击防范、ICMP FLOOD攻击防范、扫描攻击防范、单包攻击防范、静态黑名单功能、动态黑名单功能。

给出攻击防范典型的配置案例及攻击报文构造的详细步骤。

缩略语：目录1 介绍 (1)2 特性使用指南 (1)2.1 使用场合 (1)2.2 配置指南 (1)2.3 攻击软件介绍 (2)2.4 注意事项 (2)3 支持的设备和版本 (2)3.1 设备版本 (2)3.2 支持的设备 (3)3.3 配置保存 (3)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本配置 (4)4.3 攻击防范业务典型配置举例 (5)5 相关资料 (28)5.1 相关协议和标准 (28)5.2 其它相关资料 (28)1 介绍(1) 攻击防范是防火墙的重要特性之一，它分析经过防火墙报文的内容和行为，判断报文是否具有攻击特性，如果有则执行一定的防范措施：如加入黑名单、输出告警日志、丢弃报文等。

(2) 防火墙的攻击防范能够检测拒绝服务型（DoS）、扫描窥探型、畸形报文型等多种类型的攻击，并对攻击采取合理的防范措施。

攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。

(3) 攻击防范管理是对防火墙的黑名单过滤、攻击特征识别、流量异常检测、入侵检测统计几项重要的功能进行配置管理。

本节将分别介绍上述功能及其配置。

2 特性使用指南2.1 使用场合(1) 在内外网之间通过分析防火墙报文的内容和行为，判断报文是否具有攻击特性，从而执行防范措施，保护网络安全运行。

2.2 配置指南关于攻击防范功能业务的配置全部可以采用Web方式配置。

攻击防范业务功能需要在Web配置以下内容：A. 静态黑名单功能B. 动态黑名单功能C. ICMP FLOOD攻击防范D. UDP FLOOD攻击防范E. SYN FLOOD攻击防范F. 扫描攻击防范G. 单包攻击防范2.3 攻击软件介绍攻击防范软件有很多选择，本文中选择使用NetWizard 2.2。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

目录1路由设置 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置静态路由····································································································································· 1-11.3 查看激活路由表 ································································································································· 1-21.4 静态路由典型配置举例 ······················································································································ 1-31.5 注意事项············································································································································ 1-61 路由设置•本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

SecPath防火墙常见flood攻击防范典型配置一、组网需求SecPath开启syn-flood、icmp-flood和udp-flood的攻击防范,防止对Server的flood攻击。

二、组网图软件版本如下：SecPath10F：VRP 3.40 ESS 1604；三、配置步骤[Quidway]dis cur #sysname Quidway #firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable //开启报文全局统计# radius scheme system# domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp # acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 # interface Ethernet1/0 ip address 10.0.0.254 255.255.0.0 # interface Ethernet2/0 speed 10 duplex full ip address 192.168.1.254 255.255.255.0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface Ethernet2/0set priority 85 # firewall zone untrust add interface Ethernet1/0 //服务器加入非信任域set priority 5 statistic enable ip inzone //开启所在域入方向的报文统计# firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ #firewall interzone trust untrust# firewall interzone trust DMZ# firewall interzone DMZ untrust#FTP server enable#firewall defend landfirewall defend smurffirewall defend winnukefirewall defend syn-flood enable //使能syn-flood攻击范firewall defend icmp-flood enable //使能imcp-flood攻击防范//设置受保护主机和启用tcp代理firewall defend syn-flood ip 10.0.0.1 max-rate 100 tcp-proxyfirewall defend icmp-flood ip 10.0.0.1 //设置受保护的主机# user-interface con 0 user-interface vty 0 4authentication-mode scheme# return四、配置关键点1．在全局下开启报文统计；2．开启受保护主机所在域的入方向的报文统计；3．使能相应的flood攻击防范；4．设置受保护主机。

防flood类攻击设置参数防范Flood类攻击的重要参数设置在网络安全领域中，Flood类攻击是一种常见的攻击手段，其主要特点是通过大量无效的请求或数据包来占用目标系统的资源，从而导致系统崩溃或无法正常运行。

为了有效防范Flood类攻击，我们需要合理设置一些参数来增强系统的安全性。

1. 连接数限制在防范Flood类攻击中，我们可以设置系统的连接数限制。

通过限制同时可以建立的连接数，可以阻止恶意用户通过大量的连接请求来消耗系统资源。

合理设置连接数限制可以平衡系统的资源分配，避免过度占用。

2. 请求频率限制为了防止Flood类攻击，我们可以设置系统的请求频率限制。

通过限制单位时间内可以接受的请求次数，可以有效地防止大量的无效请求对系统造成的资源浪费。

合理设置请求频率限制可以平衡系统的负载，保证系统的正常运行。

3. 数据包大小限制Flood类攻击中常常使用大量的大型数据包来占用系统的带宽和计算资源。

为了防范此类攻击，我们可以设置系统的数据包大小限制。

通过限制接收或发送的数据包大小，可以有效地阻止大量大型数据包对系统造成的资源浪费。

合理设置数据包大小限制可以保护系统的网络传输和计算资源。

4. IP地址访问限制Flood类攻击往往是通过大量不同的IP地址发起的，为了防止此类攻击，我们可以设置系统的IP地址访问限制。

通过限制特定IP地址的访问次数或频率，可以有效地阻止恶意用户通过大量不同的IP 地址来发起攻击。

合理设置IP地址访问限制可以大大减少Flood类攻击对系统的影响。

5. 验证码机制为了防止Flood类攻击，我们可以引入验证码机制。

通过要求用户在发起请求之前输入验证码，可以有效地阻止自动化程序或恶意脚本对系统发起的大量无效请求。

合理设置验证码机制可以增强系统的安全性，减少Flood类攻击对系统的影响。

6. 恶意行为检测与阻断为了防范Flood类攻击，我们可以引入恶意行为检测与阻断机制。

通过分析用户的行为模式和请求特征，可以及时识别并阻断恶意用户的访问。

SecPath系列防火墙配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在Web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (6)4.5 验证结果 (8)4.5.1 配置保存 (8)4.5.2 配置备份 (9)4.5.3 配置恢复 (9)4.5.4 恢复出厂配置 (9)4.5.5 软件升级 (9)4.5.6 设备重启 (9)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过Web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 通过在命令行下输入save或在Web管理页面点击“配置保存”，可以对当前配置进行保存。

保存的配置文件有两个，分别为startup.cfg和system.xml。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是U200-S。

本典型配置适合SecPath F5000-A5、SecPath F1000E、SecPath UTM 200-A/200-M/200-S防火墙图1配置管理组网图设备默认出厂配置，GE0/0口为管理口，地址为192.168.0.1/24，用户可以将管理PC的网卡与设备的GE0/0口连接，并设置网卡地址为同网段的地址，则可以通过在浏览器的地址栏输入http://192.168.0.1 登录设备的Web网管，进行其他配置操作。

SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM （United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。

H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。

2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口，Trust域，192.168.1.1/24Eth0/0 Trust域，10.254.254.1/24G0/2 三层接口，Untrust域，202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口，PVID 10，Trust域G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，10.254.254.1/24vlan-interface 10 Trust域，192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理> 深度安全策略。

SecPath系列防火墙域间策略典型配置举例关键词：域间策略摘要：域间策略在安全域之间实现流识别功能，对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。

缩略语：缩略语英文全名中文解释ACL Access Control List 访问控制列表目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 配置接口地址 (4)4.4.2 接口加入域 (6)4.4.3 配置时间段 (8)4.4.4 配置地址对象 (9)4.4.5 配置域间策略 (9)4.5 验证结果 (11)4.5.1 内部主机Public在上班时间访问外部网络 (11)4.5.2 其他内部主机在上班时间访问外部网络 (12)5 相关资料 (12)5.1 相关协议和标准 (12)5.2 其它相关资料 (12)1 特性简介域间策略是基于ACL（Access Control List，访问控制列表），在安全域之间实现流识别功能的。

域间策略在一对源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

域间策略通过引用资源管理中的地址资源和服务资源，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）等信息制定匹配规则。

每条规则还可以通过引用资源管理中的时间段资源，来指定这条规则在该时间段定义的时间范围内有效。

2 应用场合需要进行流识别，流状态监控、安全域间设置防火墙的任何场合。

3 注意事项域间策略使用的ACL序号是系统自动分配的，当首次在两个安全域之间创建域间策略的规则时，系统自动为该域间策略创建一个ACL，并从6000开始，分配当前未使用的最小序号给该ACL；当该域间策略的规则全部被删除时，系统自动删除该ACL。

H3C SecPa‎t h F100系‎列防火墙配‎置教程初始化配置‎〈H3C〉syste‎m-view开启防火墙‎功能[H3C]firew‎a ll packe‎t-filte‎r enabl‎e[H3C]firew‎a ll packe‎t-filte‎r defau‎l t permi‎t分配端口区‎域[H3C] firew‎a ll zone untru‎s t[H3C-zone-trust‎] add inter‎f ace Gigab‎i tEth‎e rnet‎0/0[H3C] firew‎a ll zone trust‎[H3C-zone-trust‎] add inter‎f ace Gigab‎i tEth‎e rnet‎0/1工作模式firew‎a ll mode trans‎p aren‎t透明传输firew‎a ll mode route‎路由模式http 服务器使能HTT‎P服务器 undo ip http shutd‎o wn关闭HTT‎P服务器 ip http shutd‎o wn添加WEB‎用户[H3C] local‎-user admin‎[H3C-luser‎-admin‎] passw‎o rd simpl‎e admin‎[H3C-luser‎-admin‎] servi‎c e-type telne‎t[H3C-luser‎-admin‎] level‎3开启防范功‎能firew‎a ll defen‎d all 打开所有防‎范切换为中文‎模式 langu‎a ge-mode chine‎s e设置防火墙‎的名称 sysna‎m e sysna‎m e配置防火墙‎系统IP 地址 firew‎a ll syste‎m-ip syste‎m-ip-addre‎s s [ addre‎s s-mask ] 设置标准时‎间 clock‎datet‎i me time date设置所在的‎时区 clock‎timez‎o ne time-zone-name { add | minus‎} time取消时区设‎置 undo clock‎timez‎o ne配置切换用‎户级别的口‎令 super‎passw‎o rd [ level‎user-level‎] { simpl‎e | ciphe‎r } passw‎o rd取消配置的‎口令 undo super‎passw‎o rd [ level‎user-level‎]缺缺省情况‎下，若不指定级‎别，则设置的为‎切换到3 级的密码。

内部公开 Quidway SecPath 系列安全网关产品市场技术指导书Quidway SecPath1800F防火墙 典型配置手册华为-3Com技术有限公司版权所有 侵权必究2005-10-20版权所有，侵权必究第1页，共26页内部公开 Quidway SecPath 系列安全网关产品市场技术指导书目录目 录 ................................................................................................................................................................................ 2 第一章 AAA 认证配置....................................................................................................................................................... 3 L2tp＋IPSec＋NAT 穿越的客户端本地认证配置 ..................................................................................................... 3 L2tp 客户端接入 Radius 认证 ..................................................................................................................................... 7 第二章 ASPF 配置 ............................................................................................................................................................ 12 ASPF 原理简介 .......................................................................................................................................................... 12 ASPF 典型应用 .......................................................................................................................................................... 15 第三章 安全防范 .............................................................................................................................................................. 17 防止 SYN-Flood 攻击配置（一）tcp-proxy 方式 ................................................................................................ 17 防止 SYN-Flood 攻击配置（二）流量统计方式 .................................................................................................. 18 防止 UDP-Flood ICMP-Flood 攻击配置 ................................................................................................................ 19 防止 Port-Scan、IP-Scan 攻击，并将攻击方加入黑名单 ...................................................................................... 20 第四章 双机热备配置 ...................................................................................................................................................... 232005-10-20版权所有，侵权必究第2页，共26页Quidway SecPath 系列安全网关产品市场技术指导书机密第一章 AAA 认证配置L2tp＋IPSec＋NAT 穿越的客户端本地认证配置【拓扑图】 组网如下：1800F 接口地址 6.6.6.1，PC 公网地址 202.118.0.3。

SecPath系列产品常见问题汇总1. 防火墙相关问题1.1 Q:为什么选择H3C的安全产品A：H3C的安全产品无论是在功能、性能、稳定性、配套管理和维护上都是业内首屈一指的。

H3C 防火墙/VPN产品功能全面，支持现有所以DDoS攻击防范、深度内容检测、多种VPN技术；产品采用多核电信级平台，并且率先通过国际严格的RoHS环保认证，使得H3C的安全产品的性能和可靠性都满足用户需求；支持多种管理模式（Web、iMC、BIMS等）。

1.2 Q：防火墙可以防范哪些攻击?A：目前防火墙可以防范比较常见的攻击包括:SYN Flood、检测到SYN Flood,自动启用TCP Proxy、UDP Flood、IP Spoofing、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke、Ping of Death、Tear Drop、地址扫描、端口扫描、IP Option控制、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制和TRACERT报文控制。

1.3 Q：防火墙是否支持内容过滤，邮件告警A：防火墙上目前支持SMTP邮件地址过滤、SMTP邮件标题过滤和SMTP邮件内容过滤，可以支持实时邮件和定时邮件告警.1.4 Q：防火墙是否支持状态过滤?A：防火墙中采用ASPF技术对报文采取智能动态过滤, 可以根据配置对流量进行实时过滤。

1.5 Q：防火墙系列产品是否支持VPN特性，是否支持硬件加密?A：防火墙的所有产品中都支持VPN特性, 这也是防火墙的趋势, 在一台设备上集成VPN接入功能, 对于硬件加密, F100-C、F100-S、F100-E、F1000-S和F1000-A 内置了硬件加密芯片。

1.6 Q：SecPath系列防火墙产品中的L3 Monitor是什么？如何应用？A：L3 Monitor可以检测一条端到端的路由，用来解决静态路由无法检测到远端接口的状况。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address[ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。