手册下载
H3C SecPath系列防火墙 配置指导(V7)(R9323_R9320_R9514_R9606_R8514_R8513_R8219)-6W207-整本手册_CHM.rar (33.69 MB)
H3C SecPath系列防火墙 配置指导(V7)(R9323_R9320_R9514_R9606_R8514_R8513_R8219)-6W207-整本手册.pdf (28.63 MB)
目 录
1.5.1 F5030/F5030-6GW/F5060/F5080/F5000-M
1.5.2 F5010/F5020/F5040/F5000-S/F5000-C
2.1.1 F5030/F5060-6GW/F5060/F5080/F5000-M槽位编号
2.1.2 F5010/F5020/F5040/F5000-S/F5000-C槽位编号
本配置指导介绍了防火墙系列产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。
防火墙产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:
表1-1 手册适用的产品款型
系列 |
款型 |
形态 |
F50X0系列防火墙 |
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
集中式IRF设备,不支持切换为独立运行模式 |
F10X0系列防火墙 |
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
|
F1000-AK系列防火墙 |
AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711/F1000-GM-AK370/F1000-GM-AK380 |
|
SecBlade III FW单板 |
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
|
SecBlade IV NGFW单板 |
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
不同款型适配的产品软件版本如下表所示。
表1-2 软件版本适配表
款型 |
软件版本 |
F5030/F5030-6GW/F5060/F5080/F5000-M |
R9606 |
F5010/F5020/F5040/F5000-S/F5000-C |
R9320 |
F1005/F1010/F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710 |
R9514 |
F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM/F1000-AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711/F1000-GM-AK370/F1000-GM-AK380 |
R9323 |
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
R8219 |
LSPM6FWD |
R8513 |
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0 |
R8514 |
单板 |
适用主机 |
LSU3FWCEA0 |
· S10500系列交换机(请不要将本单板安装在S10510设备的4到9号槽位,否则单板无法正常工作) · S7600-X系列交换机(请不要将本单板安装在S7610-X设备的4到9号槽位,否则单板无法正常工作) |
LSUM1FWCEAB0 |
· S10500系列交换机 · S7500E系列交换机 |
LSX1FWCEA1 |
· S12500-X系列交换机: ¡ S12516-X(Slot0~Slot15) ¡ S12510-X(Slot0~Slot9) · S12500-F系列交换机: ¡ S12516-F(Slot0~Slot15) ¡ S12510-F(Slot0~Slot9) |
LSXM1FWDF1 |
· S12500X-AF系列路由交换机(仅支持和F型网板配合使用): ¡ S12516X-AF(Slot2~Slot17) ¡ S12508X-AF(Slot2~Slot9) ¡ S12504X-AF(Slot0~Slot3) · S12500F-AF系列路由交换机(仅支持和F型网板配合使用): ¡ S12516F-AF(Slot2~Slot17) ¡ S12508F-AF(Slot2~Slot9) ¡ S12504F-AF(Slot0~Slot3) |
LSUM1FWDEC0 |
· S10500 系列交换机 · S7600-X系列交换机 · S12500-S系列交换机 · S7500E-X系列交换机 |
IM-NGFWX-IV |
· SR8800-X系列高端路由器 ¡ SR8804-X(槽位2~槽位5) ¡ SR8808-X(槽位0~槽位3,槽位6~槽位9) ¡ SR8808-HX(槽位0~槽位3,槽位6~槽位9) ¡ SR8812-X(槽位0~槽位5,槽位8~槽位13) ¡ SR8816-X(槽位0~槽位15) · CR16000-F系列核心路由器 ¡ CR16006-F(槽位2~槽位5) ¡ CR16010-F(槽位0~槽位3,槽位6~槽位9) ¡ CR16010-HF(槽位0~槽位3,槽位6~槽位9) ¡ CR16014-F(槽位0~槽位5,槽位8~槽位13) ¡ CR16018-F(槽位0~槽位15) |
LSQM1FWDSC0 |
· S7500E系列交换机 ¡ S7502E(槽位2~槽位3) ¡ S7503E-S(槽位2~槽位3) ¡ S7503E-M(槽位1~槽位2) ¡ S7503E(槽位2~槽位4) ¡ S7506E-S(槽位2~槽位7) ¡ S7506E(槽位2~槽位7) ¡ S7506E(非PoE)(槽位2~槽位7) ¡ S7506E-V(槽位2~槽位7) ¡ S7510E(槽位1~槽位4,槽位7~槽位11) · S7600系列交换机 ¡ S7602-S(槽位2~槽位3) ¡ S7603-S(槽位2~槽位3) ¡ S7603(槽位2~槽位4) ¡ S7606-S(槽位2~槽位7) ¡ S7606(槽位2~槽位7) ¡ S7606(非PoE)(槽位2~槽位7) ¡ S7606-V(槽位2~槽位7) ¡ S7610(槽位1~槽位4,槽位7~槽位11) · S7500E-X系列交换机 ¡ S7506E-X(不同的兼容模式和高速模式请参见S7500E-X系列交换机相关手册) ¡ 兼容模式(槽位0~槽位3) ¡ 高速模式(槽位0~槽位1) ¡ S7510E-X(槽位0~槽位3) |
LSWM1FWD0 |
· S6800-2C系列交换机(Slot1~Slot2) · S6800-4C系列交换机(Slot1~Slot4) · S7502E-XS系列交换机(Slot1~Slot2) · S7504E-XS系列交换机(Slot1~Slot4) · S6900-2F系列交换机(Slot1~Slot2) · S6900-4F系列交换机(Slot1~Slot4) |
LSPM6FWD |
· S5560-EI系列交换机: ¡ S5560-30C-EI ¡ S5560-30F-EI ¡ S5560-34C-EI ¡ S5560-54C-EI · S5560-HI系列交换机: ¡ S5560-32C-HI(Slot1~Slot2) ¡ S5560-56C-HI(Slot1~Slot2) ¡ S5560-56C-PWR-HI(Slot1~Slot2) ¡ S5560-56F-HI(Slot1~Slot2) ¡ S5560-38C-HI-XG · S5800-EI系列交换机: ¡ S5800-32C-EI(Slot1~Slot2) ¡ S5800-56C-EI(Slot1~Slot2) ¡ S5800-56C-EI-M(Slot1~Slot2) · S5130-HI系列交换机: ¡ S5130-30F-HI ¡ S5130-30C-HI ¡ S5130-34C-HI ¡ S5130-54C-HI · S5560X-EI系列交换机: ¡ S5560X-30C-EI ¡ S5560X-54C-EI ¡ S5560X-30F-EI ¡ S5560X-54F-EI ¡ S5560X-30C-PWR-EI ¡ S5560X-54C-PWR-EI |
本节以列表的形式介绍了安全产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:
表1-3 手册内容简介
手册名称 |
内容简介 |
基础配置指导 |
介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容: · CLI配置(快速了解命令行接口、命令行接口的进阶应用、命令行接口的高级应用) · RBAC配置 · 登录设备配置(CLI登录、登录用户配置和管理) · FTP和TFTP配置 · 文件系统管理 · 配置文件管理 · 软件升级配置 · ISSU配置 · 自动配置 · 设备管理配置 · Tcl配置 · Python配置 · License管理配置 |
虚拟化技术配置指导 |
介绍了如何配置虚拟化技术,包括如下内容: · IRF配置 · Context配置 |
安全配置指导 |
介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAA、PKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容: · 安全域配置 · 安全策略配置 · 对象组配置 · 对象策略配置 · AAA配置 · Portal配置 · 用户身份识别与管理配置 · Password Control配置 · 公钥管理配置 · PKI配置 · IPsec配置 · SSH配置 · SSL配置 · ASPF配置 · APR配置 · 会话管理配置 · 连接数限制配置 · 攻击检测与防范配置 · IP Source Guard配置 · ARP攻击防御配置 · ND攻击防御配置 · uRPF配置 · 加密引擎配置 · keychain配置 |
DPI深度安全配置指导 |
介绍了DPI深度安全的特性,包括以下内容: · DPI深度安全概述 · 应用层检测引擎配置 · IPS配置 · URL过滤配置 · 数据过滤配置 · 文件过滤配置 · 防病毒配置 |
NAT配置指导 |
介绍了NAT和AFT相关的特性,包括以下内容: · NAT配置 · AFT配置 |
VPN配置指导 |
介绍了隧道、L2TP、SSL VPN、GRE相关的特性,包括以下内容: · 隧道配置 · L2TP配置 · SSL VPN配置 · GRE配置 |
上网行为管理配置指导 |
介绍了带宽管理、应用审计与管理相关的特性,包括以下内容: · 带宽管理配置 · 应用审计与管理配置 |
接口管理配置指导 |
介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容: · 接口批量配置 · 以太网接口配置 · LoopBack接口、Null接口和InLoopBack接口配置 |
二层技术-以太网交换配置指导 |
介绍如何配置以太网交换相关内容,包括如下内容: · MAC地址表配置 · 以太网链路聚合配置 · VLAN配置 · VLAN终结配置 · 生成树配置 · LLDP配置 · 二层转发配置 |
三层技术-IP业务配置指导 |
介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容: · ARP配置(ARP、代理ARP) · IP地址配置 · DHCP配置 · 域名解析配置 · IP转发基础配置 · 快速转发配置 · 流分类配置 · 邻接表配置 · IP性能优化配置 · IPv6基础配置 · DHCPv6配置 · IPv6快速转发配置 · ADVPN配置 · WAAS配置 |
三层技术-IP路由配置指导 |
介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4、IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容: · IP路由基础配置 · 静态路由配置 · RIP配置 · OSPF配置 · IS-IS配置 · BGP配置 · 策略路由配置 · IPv6静态路由配置 · IPv6策略路由配置 · RIPng配置 · OSPFv3配置 · IPv6 IS-IS配置 · 路由策略配置 |
ACL和QoS配置指导 |
介绍了ACL和QoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率: · ACL配置 · QoS配置(QoS简介、QoS配置方式、流量监管、流量重定向和流量统计) · 时间段配置 |
IP组播配置指导 |
介绍了IGMP/MLD、PIM/IPv6 PIM、MSDP等三层组播协议,包括如下内容: · 组播概述 · 组播路由与转发配置 · IGMP配置 · PIM配置 |
PPP和PPPoE配置指导 |
介绍了PPP相关的特性,包括PPP配置。 |
可靠性配置指导 |
从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容: · VRRP配置 · 冗余备份配置 · BFD配置 · Track配置 · 进程分布优化配置 · 负载均衡配置 · 接口组联动配置 · Monitor Link配置 |
网络管理和监控配置指导 |
介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用ping、tracert、debug等命令来检查、调试当前网络的连接情况,包括如下内容: · 系统维护与调试配置(Ping、Tracert、系统调试) · NQA配置 · NTP配置 · EAA配置 · 进程监控和维护配置 · NETCONF配置 · CWMP配置 · 信息中心配置 · SNMP配置(SNMP配置、MIB风格配置) · NetStream配置 · RMON配置 · Flow日志配置 · Event MIB配置 · 报文捕获配置 · 快速日志输出配置 |
服务链配置指导 |
介绍了服务链相关的特性,包括服务链配置等内容。 |
VPN实例配置指导 |
介绍了VPN实例相关的特性,包括VPN实例配置等内容。 |
缩略语 |
列举了防火墙系列配置指导中用到的缩略语 |
H3C SecPath F5030、F5030-6GW、F5060、F5080和F5000-M(以下简称F5030/F5030-6GW/F5060/F5080/F5000-M)系列是面向行业和运营商市场的高性能万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为2U的独立盒式防火墙。F5000系列支持丰富的接口类型,并能通过接口卡进行扩展。作为NGFW产品,丰富的审计功能是必不可少的,产品可以扩展大容量双硬盘。
在安全功能方面,作为一款NGFW产品,除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。
表1-4 接口和槽位
项目 |
说明 |
Console口 |
1个(9600bps~115200bps),缺省为9600bps |
USB接口 |
2个(Host模式,A类型接口) |
固定以太网口 |
4个Combo口(4个10/100/1000BASE-T以太网电口+4个1000BASE-X以太网光口) |
扩展槽位 |
· 接口模块扩展槽位: 8个 · 硬盘扩展槽位: 2个 |
F5030、F5030-6GW、F5060、F5080和/F5000-M的外观类似,仅产品型号丝印信息不同。
图1-1 F5030/F5030-6GW/F5060/F5080/F5000-M设备前视图
1: 接口模块插槽(Slot1~Slot8) |
2: 硬盘扩展插槽HD0 |
3: 硬盘扩展插槽HD1 |
4: 设备指示灯 |
图1-2 F5030/F5030-6GW/F5060/F5080/F5000-M设备后视图
1: 10/100/1000BASE-T以太网电口(COMBO口) |
2: 1000BASE-X以太网光口(COMBO口) |
3: 配置口(CONSOLE) |
4: USB口 |
5: 风扇模块插槽FAN0 |
6: 风扇模块插槽FAN1 |
7: 电源模块插槽PWR0 |
8: 接地螺钉 |
9: 电源模块插槽PWR1 |
H3C SecPath F5010、F5020、F5040、F5000-S和F5000-C(以下简称F5010/F5020/F5040/F5000-S/F5000-C)是面向运营商及行业市场的高性能超万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为2U的独立盒式防火墙。
在安全功能方面,F5010/F5020/F5040/F5000-S/F5000-C为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NAT、ALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter,应用状态检测技术),可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN等。
表1-5 接口和槽位
项目 |
说明 |
Console口 |
1个(9600bps~115200bps),缺省为9600bps |
USB接口 |
1个(Host模式,A类型接口) |
固定以太网口 |
12个千兆以太网电口+12千兆以太光网光口+4个万兆以太网光口 |
CF卡槽 |
1个 |
扩展槽位 |
1个,支持NSQ1G24XS60接口板 |
F5010、F5020、F5040、F5000-S和F5000-C的外观类似,仅产品型号丝印信息不同。
图1-3 F5010/F5020/F5040/F5000-S/F5000-C前面板
1: 10/100/1000BASE-T以太网电口 |
2: 1000BASE-X以太网光口 |
3: 10GBASE-R以太网光口 |
4: 配置口(CONSOLE) |
5: USB口 |
6: 设备指示灯 |
7: 接口板插槽 |
图1-4 F5010/F5020/F5040/F5000-S/F5000-C后面板
1: 风扇 |
2: 电源模块插槽1 |
3: 电源模块插槽2 |
4: 接地螺钉 |
(1) 防火墙应用
F5010/F5020/F5040/F5000-S/F5000-C防火墙提供强大的过滤功能和优秀的管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。
图1-5 F5010/F5020/F5040/F5000-S/F5000-C防火墙应用组网图
(2) VPN应用
F5010/F5040/F5020/F5000-S/F5000-C防火墙提供强大的VPN功能,帮助企业分支用户安全的访问公司总部资源,也可以满足分支以及移动办公访问公司本部资源的需求。
图1-6 VPN应用组网图
(3) 虚拟防火墙应用
F5010/F5020/F5040/F5000-S/F5000-C不但提供强大的防火墙/VPN功能,还可支持虚拟防火墙功能,一台F5010/F5020/F5040/F5000-S/F5000-C防火墙可虚拟成多台逻辑上的防火墙,每个虚拟防火墙有自己的策略且可进行独立管理。
图1-7 虚拟防火墙应用组网图
H3C SecPath F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM防火墙(以下简称为F10X0系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。
在安全功能方面,F10X0系列作为一款NGFW产品,除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。
在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。
表1-6 接口和槽位规格
项目 |
说明 |
Console口 |
1个(9600bps~115200bps),缺省为9600bps |
USB接口 |
2个(Host模式,A类型接口) |
固定以太网口 |
· F1070/F1080/F1070-GM:16个千兆以太网电口+8个千兆以太网光口+2个万兆以太网光口 · F1020/F1030/F1050/F1060:16个千兆以太网电口+8个千兆以太网光口 · F1005/F1010:8个千兆电口+2个Combo口+2个Bypass口 |
扩展槽位 |
接口模块扩展槽位: · F1005/F1010不支持扩展槽位 · F1020支持1个 · F1030/F1050/F1060/F1070/F1080/F1070-GM支持2个 硬盘扩展槽位: · F1005/F1010/F1020/F1030/F1050/F1060支持1个 · F1070/F1080/F1070-GM支持2个 |
F10X0系列的外观类似,下面仅以F1080为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。
设备面板有16个10/100/1000BASE-T自适应以太网电口、8个1000BASE-X以太网光口、2个10GBASE-R/1000BASE-X以太网光口、2个USB接口和1个Console接口以及2个硬盘扩展插槽。具体结构如下图所示。
图1-8 设备前视图
1: 10/100/1000BASE-T以太网电口 |
2: 1000BASE-X以太网光口 |
3: 10GBASE-R/1000BASE-X以太网光口 |
4: 配置口(CONSOLE) |
5: USB口 |
6: 设备指示灯 |
7: 硬盘扩展插槽 |
图1-9 设备后视图
1: 电源模块插槽1 |
2: 电源模块插槽2 |
3: 接口板插槽 |
4: 接地螺钉 |
F10X0系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。
图1-10 出口安全防护
H3C SecPath F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711/F1000-GM-AK370/F1000-GM-AK380防火墙(以下简称为F1000-AK系列)是面向SMB市场的高性能千兆/准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。
在安全功能方面,F1000-AK系列作为一款NGFW产品,除支持安全控制、VPN、NAT、DOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPS、AV、应用控制、DLP、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。
在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。
表1-7 接口和槽位
项目 |
说明 |
Console口 |
1个(9600bps~115200bps),缺省为9600bps |
USB接口 |
2个(Host模式,A类型接口) |
固定以太网口 |
· F1000-AK175/AK180/AK185:16个千兆以太网电口+8个千兆以太网光口+2个万兆以太网光口 · F1000-AK130/AK140/AK150/AK155/AK160/AK165/AK170/F1000-GM-AK370/F1000-GM-AK380:16个千兆以太网电口+8个千兆以太网光口 · F1000-AK135/AK145/AK711:16个千兆以太网电口+2个千兆以太网光口 · F1000-AK710:8个千兆电口+2个Combo口 · F1000-AK110/AK120/AK125:8个千兆电口+2个Combo口+2个Bypass口 · F1000-AK108:8个千兆电口 · F1000-AK109:8个千兆电口+2个千兆光口 · F1000-AK115:8个千兆电口+2个Combo口 |
扩展槽位 |
接口模块扩展槽位: · F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710不支持扩展槽位 · F1000-AK130支持1个 · F1000-AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711/F1000-GM-AK370/F1000-GM-AK380支持2个 硬盘扩展槽位: · F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK140/AK150/AK155/AK160/AK165/AK170/AK710/F1000-GM-AK370支持1个 · F1000-AK135/AK145/AK175/AK180/AK185/AK711/F1000-GM-AK380支持2个 |
F1000-AK系列的外观类似,下面仅以F1000-AK180为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。
设备面板有16个10/100/1000BASE-T自适应以太网电口、8个1000BASE-X以太网光口、2个10GBASE-R/1000BASE-X以太网光口、2个USB接口和1个Console接口以及2个硬盘扩展插槽。具体结构如下图所示。
设备前面板上有16个10/100/1000BASE-T自适应以太网电口、8个1000BASE-X以太网光口、2个10GBASE-R/1000BASE-X以太网光口、2个USB接口和1个Console接口以及2个硬盘扩展插槽。具体结构如下图所示。
图1-11 设备前视图
1: 硬盘扩展插槽 |
2: 设备指示灯 |
3: 10/100/1000BASE-T以太网电口 |
4: 1000BASE-X以太网光口 |
5: 10GBASE-R/1000BASE-X以太网光口 |
6: 配置口(CONSOLE) |
7: USB口 |
U盘自动加载配置,详细介绍请参见相关产品配置指导手册“基础配置指导”中的“自动配置”。
图1-12 设备后视图
1: 电源模块插槽0 |
2: 电源模块插槽1 |
3: 接口模块插槽 |
4: 接地螺钉 |
F1000-AK180系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。
图1-13 出口安全防护
随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。
H3C SecBlade III FW单板集成防火墙、VPN、NAT、URL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
H3C SecBlade III FW单板与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
图1-14 LSX1FWCEA1面板
(1) Console接口(CONSOLE) |
(2) USB接口 |
(3) Combo电接口(10/100/1000BASE-T) |
(4) Combo电接口指示灯(LINK/ACT) |
(5) Combo光接口(1000BASE-X) |
(6) Combo光接口指示灯(LINK/ACT) |
(7) 告警指示灯(ALM) |
(8) 系统运行指示灯(RUN) |
(9) 扳手 |
(10) 松不脱螺钉 |
图1-15 LSU3FWCEA0面板
(1) Console接口(CONSOLE) |
(2) USB接口 |
(3) Combo电接口(10/100/1000BASE-T) |
(4) Combo电接口指示灯(LINK/ACT) |
(5) Combo光接口(1000BASE-X) |
(6) Combo光接口指示灯(LINK/ACT) |
(7) 告警指示灯(ALM) |
(8) 系统运行指示灯(RUN) |
(9) 扳手 |
(10) 松不脱螺钉 |
图1-16 LSUM1FWCEAB0面板
(1) Console接口(CONSOLE) |
(2) USB接口 |
(3) Combo电接口(10/100/1000BASE-T) |
(4) Combo电接口指示灯(LINK/ACT) |
(5) Combo光接口(1000BASE-X) |
(6) Combo光接口指示灯(LINK/ACT) |
(7) 告警指示灯(ALM) |
(8) 系统运行指示灯(RUN) |
(9) 扳手 |
(10) 松不脱螺钉 |
H3C SecBlade III FW单板可结合S12500-X/S12500-FS10500/S7500E/S7600-X系列交换机设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。
图1-17 H3C SecBlade III FW应用组网图
随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。
H3C SecBlade IV NGFW单板集成防火墙、VPN、NAT、URL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
H3C SecBlade IV NGFW单板与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
图1-18 LSWM1FWD0面板
(1) 扳手 |
(2) 锁闩 |
(3) USB接口 |
(4) Console接口(CONSOLE) |
(5) 管理以太网接口指示灯(LINK) |
(6) 管理以太网接口(10/100/1000BASE-T) |
(7) 管理以太网接口指示灯(ACT) |
(8) SFP光接口指示灯(LINK) |
(9) SFP光接口(1000BASE-X) |
(10) SFP光接口指示灯(ACT) |
(11)系统运行指示灯(SYS) |
|
图1-19 LSUM1FWDEC0面板
(1) 硬盘插槽 |
(2) Console接口(CONSOLE) |
(3) 千兆以太网电接口(10/100/1000BASE-T) |
(4) USB接口 |
(5) 硬盘指示灯(HD) |
(6) 系统运行指示灯(SYS) |
(7) 扳手 |
(8) 松不脱螺钉 |
图1-20 IM-NGFWX-IV面板
(1) 硬盘插槽 |
(2) Console接口(CONSOLE) |
(3) 千兆以太网电接口(10/100/1000BASE-T) |
(4) USB接口 |
(5) 硬盘指示灯(HD) |
(6) 系统运行指示灯(SYS) |
(7) 扳手 |
(8) 松不脱螺钉 |
图1-21 LSXM1FWDF1面板
(1) USB接口 |
(2) 千兆以太网电接口(10/100/1000BASE-T) |
(3) Console接口(CONSOLE) |
(4) 系统运行指示灯(RUN) |
(5) 扳手 |
(6) 松不脱螺钉 |
图1-22 LSQM1FWDSC0面板
(1) 硬盘插槽 |
(2) Console接口(CONSOLE) |
(3) 千兆以太网电接口(10/100/1000BASE-T) |
(4) USB接口(仅支持供电) |
(5) 硬盘指示灯(HD) |
(6) 系统运行指示灯(SYS) |
(7) 扳手 |
(8) 松不脱螺钉 |
图1-23 LSPM6FWD面板
(1) 管理以太网接口指示灯(ACT/LINK) |
(2) 管理以太网接口(10/100/1000BASE-T) |
(3) 系统运行指示灯(SYS) |
(4) Console接口(CONSOLE) |
(5) 松不脱螺钉 |
|
H3C SecBlade IV FW单板可结合S6800-2C/S6800-4C/S12500X-AF/S5560-EI/S5560-HI/S5800-EI/S5130-HI系列交换机设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。
图1-24 H3C SecBlade IV FW单板防火墙应用组网图
F5030/F5060-6GW/F5060/F5080/F5000-M有8个子槽位。
图2-1 F5030/F5060-6GW/F5060/F5080/F5000-M设备前视图
<Sysname> display device
Slot.No Cpu.Id Brd Type Brd Status Subslot Sft Ver Patch Ver
1 0 RPU Normal 0 9606P06 None
1 0 NSQM1TG8A Normal 1 None None
1 0 NONE Absent 2 None None
1 0 NONE Absent 3 None None
1 0 NONE Absent 4 None None
1 0 NONE Absent 5 None None
1 0 NONE Absent 6 None None
1 0 NONE Absent 7 None None
1 0 NSQM1GT8A Normal 8 None None
上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表槽位号,Brd Type表示单板类型、例如RPU表示业务板,且软件版本号为9606P06。
F5010/F5020/F5040/F5000-S/F5000-C有2个槽位,其中编号为0的槽位代表主控板所在槽位,编号为1的槽位代表接口板所在槽位。
图2-2 F5010/F5020/F5040/F5000-S/F5000-C槽位编号
<Sysname> display device
Slot.No Cpu.Id Brd Type Brd Status Subslot Sft Ver Patch Ver
1 0 F5040 Normal 0 9316 None
上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表编号为0的主控板,主控板名称为F5040,并且软件版本号为9316。
F5010/F5020/F5030/F5040/F5060/F5080/F5000-M支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即单板在设备上的槽位编号,主控板取值为0,接口板取值为1。
· Z:表示接口序号,即接口在单板上的编号,从0开始编号。
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/0/0 DOWN DOWN 192.168.1.1
GE1/0/1 DOWN DOWN --
GE1/0/2 DOWN DOWN --
GE1/0/3 DOWN DOWN --
GE1/0/4 DOWN DOWN --
……
GE1/0/22 DOWN DOWN --
GE1/0/23 DOWN DOWN --
F10X0系列有1个固定槽位,编号为0,代表主控板所在槽位。
<Sysname> display device
Slot.No Cpu.Id Brd Type Brd Status Subslot Sft Ver Patch Ver
1 0 F1030 Normal 0 9323P02 None
上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0。
F10X0系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0。
· Z:表示接口序号,即接口在主控板上的编号,从0开始编号。
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/0/0 UP UP 192.168.100.82
GE1/0/1 DOWN DOWN --
GE1/0/2 DOWN DOWN --
……
GE1/0/22 DOWN DOWN --
GE1/0/23 DOWN DOWN --
F1000-AK系列有1个固定槽位,编号为0,代表主控板所在槽位。
<Sysname> display device
Slot.No Cpu.Id Brd Type Brd Status Subslot Sft Ver Patch Ver
1 0 F1000-AK130 Normal 0 9323P06 None
上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0。
F1000-AK系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0。
· Z:表示接口序号,即接口在主控板上的编号,从0开始编号。
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/0/0 UP UP 192.168.100.82
GE1/0/1 DOWN DOWN --
GE1/0/2 DOWN DOWN --
……
GE1/0/22 DOWN DOWN --
GE1/0/23 DOWN DOWN --
H3C SecBlade III FW Enhanced单板支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即单板在设备上的槽位编号,固定取值为0。
· Z:表示接口序号,即接口在单板上的编号,从0开始编号。
<Sysname> display interface GigabitEthernet brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
GE1/0/1 up up 192.168.100.86
Brief information on interfaces in bridge mode:
Link: ADM - administratively down; Stby - standby
Speed: (a) - auto
Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
GE1/0/2 DOWN auto A
H3C SecBlade IV NGFW单板支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即单板在设备上的槽位编号,固定取值为0。
· Z:表示接口序号,即接口在单板上的编号,从0开始编号。
<Sysname> display interface GigabitEthernet brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
GE1/0/1 up up 192.168.100.86
Brief information on interfaces in bridge mode:
Link: ADM - administratively down; Stby - standby
Speed: (a) - auto
Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
GE1/0/2 DOWN auto A