国家 / 地区

00-配置指导导读

手册下载


1 配置指导导读

本配置指导介绍了防火墙系列产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。

1.1  适用款型

防火墙系列产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:

表1-1 手册适用的产品款型

系列

款型

F50X0系列防火墙

F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C

F10X0系列防火墙

F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM

F1000-AK系列防火墙

F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711/F1000-GM-AK370/F1000-GM-AK380

SecBlade III FW单板

LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1

SecBlade IV NGFW单板

LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD

 

1.2  产品版本

不同款型适配的产品软件版本如下表所示。

表1-2 软件版本适配表

款型

软件版本

F5030/ F5030-6GW/F5060/F5080/F5000-M

R9606

F5010/F5020/F5040/F5000-S/F5000-C

R9320

F1005/F1010/ F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710

R9514

F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM/F1000-AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711/F1000-GM-AK370/F1000-GM-AK380

R9323

LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1

R8219

LSPM6FWD

R8513

LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0

R8514

 

1.3  单板主机适配关系

单板

适用主机

LSU3FWCEA0

·         S10500系列交换机(请不要将本单板安装在S10510设备的49号槽位,否则单板无法正常工作)

·         S7600-X系列交换机(请不要将本单板安装在S7610-X设备的49号槽位,否则单板无法正常工作)

LSUM1FWCEAB0

·         S10500系列交换机

·         S7500E系列交换机

LSX1FWCEA1

·         S12500-X系列交换机

¡  S12516-XSlot0Slot15

¡  S12510-XSlot0Slot9

·         S12500-F系列交换机

¡  S12516-FSlot0Slot15

¡  S12510-FSlot0Slot9

LSXM1FWDF1

·         S12500X-AF系列路由交换机(仅支持和F型网板配合使用)

¡  S12516X-AFSlot2Slot17

¡  S12508X-AFSlot2Slot9

¡  S12504X-AFSlot0Slot3

·         S12500F-AF系列路由交换机(仅支持和F型网板配合使用)

¡  S12516F-AFSlot2Slot17

¡  S12508F-AFSlot2Slot9

¡  S12504F-AFSlot0Slot3

LSUM1FWDEC0

·         S10500 系列交换机

·         S7600-X系列交换机

·         S12500-S系列交换机

·         S7500E-X系列交换机

IM-NGFWX-IV

·         SR8800-X系列高端路由器

¡  SR8804-X(槽位2~槽位5

¡  SR8808-X(槽位0~槽位3,槽位6~槽位9

¡  SR8808-HX(槽位0~槽位3,槽位6~槽位9

¡  SR8812-X(槽位0~槽位5,槽位8~槽位13

¡  SR8816-X(槽位0~槽位15

·         CR16000-F系列核心路由器

¡  CR16006-F(槽位2~槽位5

¡  CR16010-F(槽位0~槽位3,槽位6~槽位9

¡  CR16010-HF(槽位0~槽位3,槽位6~槽位9

¡  CR16014-F(槽位0~槽位5,槽位8~槽位13

¡  CR16018-F(槽位0~槽位15

LSQM1FWDSC0

·         S7500E系列交换机

¡  S7502E(槽位2~槽位3

¡  S7503E-S(槽位2~槽位3

¡  S7503E-M(槽位1~槽位2

¡  S7503E(槽位2~槽位4

¡  S7506E-S(槽位2~槽位7

¡  S7506E(槽位2~槽位7

¡  S7506E(非PoE)(槽位2~槽位7

¡  S7506E-V(槽位2~槽位7

¡  S7510E(槽位1~槽位4,槽位7~槽位11

·         S7600系列交换机

¡  S7602-S(槽位2~槽位3

¡  S7603-S(槽位2~槽位3

¡  S7603(槽位2~槽位4

¡  S7606-S(槽位2~槽位7

¡  S7606(槽位2~槽位7

¡  S7606(非PoE)(槽位2~槽位7

¡  S7606-V(槽位2~槽位7

¡  S7610(槽位1~槽位4,槽位7~槽位11

·         S7500E-X系列交换机

¡  S7506E-X(不同的兼容模式和高速模式请参见S7500E-X系列交换机相关手册)

¡  兼容模式(槽位0~槽位3

¡  高速模式(槽位0~槽位1

¡  S7510E-X(槽位0~槽位3

LSWM1FWD0

·         S6800-2C系列交换机Slot1Slot2

·         S6800-4C系列交换机Slot1Slot4

·         S7502E-XS系列交换机Slot1Slot2

·         S7504E-XS系列交换机Slot1Slot4

·         S6900-2F系列交换机Slot1Slot2

·         S6900-4F系列交换机Slot1Slot4

LSPM6FWD

·         S5560-EI系列交换机

¡  S5560-30C-EI

¡  S5560-30F-EI

¡  S5560-34C-EI

¡  S5560-54C-EI

·         S5560-HI系列交换机:

¡  S5560-32C-HISlot1Slot2

¡  S5560-56C-HISlot1Slot2

¡  S5560-56C-PWR-HISlot1Slot2

¡  S5560-56F-HISlot1Slot2

¡  S5560-38C-HI-XG

·         S5800-EI系列交换机:

¡  S5800-32C-EISlot1Slot2

¡  S5800-56C-EISlot1Slot2

¡  S5800-56C-EI-MSlot1Slot2

·         S5130-HI系列交换机:

¡  S5130-30F-HI

¡  S5130-30C-HI

¡  S5130-34C-HI

¡  S5130-54C-HI

·         S5560X-EI系列交换机:

¡  S5560X-30C-EI

¡  S5560X-54C-EI

¡  S5560X-30F-EI

¡  S5560X-54F-EI

¡  S5560X-30C-PWR-EI

¡  S5560X-54C-PWR-EI

 

1.4  内容简介

本节以列表的形式介绍了安全产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:

表1-3 手册内容简介

手册名称

内容简介

基础配置指导

介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容:

·         CLI配置(快速了解命令行接口、命令行接口的进阶应用、命令行接口的高级应用)

·         RBAC配置

·         登录设备配置(CLI登录、登录用户配置和管理)

·         FTPTFTP配置

·         文件系统管理

·         配置文件管理

·         软件升级配置

·         ISSU配置

·         设备管理配置

·         Tcl配置

·         Python配置

·         License管理配置

虚拟化技术配置指导

介绍了如何配置虚拟化技术,包括如下内容:

·         IRF配置

·         Context配置

安全配置指导

介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAAPKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容:

·         安全域配置

·         安全策略配置

·         对象组配置

·         对象策略配置

·         AAA配置

·         Portal配置

·         用户身份识别与管理配置

·         Password Control配置

·         公钥管理配置

·         PKI配置

·         IPsec配置

·         SSH配置

·         SSL配置

·         ASPF配置

·         APR配置

·         会话管理配置

·         连接数限制配置

·         攻击检测与防范配置

·         IP Source Guard配置

·         ARP攻击防御配置

·         ND攻击防御配置

·         uRPF配置

·         加密引擎配置

DPI深度安全配置指导

介绍了DPI深度安全的特性,包括以下内容:

·         DPI深度安全概述

·         应用层检测引擎配置

·         IPS配置

·         URL过滤配置

·         数据过滤配置

·         文件过滤配置

·         防病毒配置

NAT配置指导

介绍了NATAFT相关的特性,包括以下内容:

·         NAT配置

·         AFT配置

VPN配置指导

介绍了隧道、L2TPSSL VPNGRE相关的特性,包括以下内容:

·         隧道配置

·         L2TP配置

·         SSL VPN配置

·         GRE配置

上网行为管理配置指导

介绍了带宽管理、应用审计与管理相关的特性,包括以下内容:

·         带宽管理配置

·         应用审计与管理配置

接口管理配置指导

介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容:

·         接口批量配置

·         以太网接口配置

·         LoopBack接口、Null接口和InLoopBack接口配置

二层技术-以太网交换配置指导

介绍如何配置以太网交换相关内容,包括如下内容:

·         MAC地址表配置

·         以太网链路聚合配置

·         VLAN配置

·         VLAN终结配置

·         生成树配置

·         LLDP配置

·         二层转发配置

三层技术-IP业务配置指导

介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容:

·         ARP配置ARP、代理ARP

·         IP地址配置

·         DHCP配置

·         域名解析配置

·         IP转发基础配置

·         快速转发配置

·         流分类配置

·         邻接表配置

·         IP性能优化配置

·         IPv6基础配置

·         DHCPv6配置

·         IPv6快速转发配置

·         ADVPN配置

·         WAAS配置

三层技术-IP路由配置指导

介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容:

·         IP路由基础配置

·         静态路由配置

·         RIP配置

·         OSPF配置

·         IS-IS配置

·         BGP配置

·         策略路由配置

·         IPv6静态路由配置

·         IPv6策略路由配置

·         RIPng配置

·         OSPFv3配置

·         IPv6 IS-IS配置

·         路由策略配置

ACLQoS配置指导

介绍了ACLQoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率:

·         ACL配置

·         QoS配置(QoS简介、QoS配置方式、流量监管、流量重定向和流量统计)

·         时间段配置

IP组播配置指导

介绍了IGMP/MLDPIM/IPv6 PIMMSDP等三层组播协议,包括如下内容:

·         组播概述

·         组播路由与转发配置

·         PIM配置

PPPPPPoE配置指导

介绍了PPP相关的特性,包括PPP配置。

可靠性配置指导

从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容:

·         VRRP配置

·         冗余备份配置

·         BFD配置

·         Track配置

·         进程分布优化配置

·         负载均衡配置

·         接口组联动配置

·         Monitor Link配置

网络管理和监控配置指导

介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用pingtracertdebug等命令来检查、调试当前网络的连接情况,包括如下内容:

·         系统维护与调试配置(PingTracert、系统调试)

·         NQA配置

·         NTP配置

·         EAA配置

·         进程监控和维护配置

·         NETCONF配置

·         CWMP配置

·         信息中心配置

·         SNMP配置SNMP配置、MIB风格配置)

·         NetStream配置

·         RMON配置

·         Flow日志配置

·         Event MIB配置

·         报文捕获配置

·         快速日志输出配置

服务链配置指导

介绍了服务链相关的特性,包括服务链配置等内容。

VPN实例配置指导

介绍了VPN实例相关的特性,包括VPN实例配置等内容。

缩略语

列举了防火墙系列配置指导中用到的缩略语

 

1.5  产品简介

1.5.1  F5030/F5030-6GW/F5060/F5080/F5000-M

1. 产品介绍

H3C SecPath F5030F5030-6GWF5060F5080F5000-M(以下简称F5030/F5030-6GW/F5060/F5080/F5000-M)系列是面向行业和运营商市场的高性能万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为2U的独立盒式防火墙。F5000系列支持丰富的接口类型,并能通过接口卡进行扩展。作为NGFW产品,丰富的审计功能是必不可少的,产品可以扩展大容量双硬盘。

在安全功能方面,作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

2. 接口和槽位

表1-4 接口和槽位

项目

说明

Console

1个(9600bps115200bps),缺省为9600bps

USB接口

2个(Host模式,A类型接口)

固定以太网口

4Combo口(410/100/1000BASE-T以太网电口+41000BASE-X以太网光口)

扩展槽位

·         接口模块扩展槽位:8

·         硬盘扩展槽位:2

 

3. 产品外观

F5030F5030-6GWF5060F5080/F5000-M的外观类似,仅产品型号丝印信息不同。

图1-1 F5030/F5030-6GW/F5060/F5080/F5000-M设备前视图

1: 接口模块插槽(Slot1Slot8

2: 硬盘扩展插槽HD0

3: 硬盘扩展插槽HD1

4: 设备指示灯

 

图1-2 F5030/F5030-6GW/F5060/F5080/F5000-M设备后视图

1: 10/100/1000BASE-T以太网电口(COMBO口)

2: 1000BASE-X以太网光口(COMBO口)

3: 配置口(CONSOLE

4: USB

5: 风扇模块插槽FAN0

6: 风扇模块插槽FAN1

7: 电源模块插槽PWR0

8: 接地螺钉

9: 电源模块插槽PWR1

 

1.5.2  F5010/F5020/F5040/F5000-S/F5000-C

1. 产品介绍

H3C SecPath F5010F5020F5040F5000-SF5000-C(以下简称F5010/F5020/F5040/F5000-S/F5000-C)是面向运营商及行业市场的高性能超万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为2U的独立盒式防火墙。

在安全功能方面,F5010/F5020/F5040/F5000-S/F5000-C为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NATALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPFApplication Specific Packet Filter,应用状态检测技术),可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPNGRE VPNIPSec VPN等。

2. 接口和槽位

表1-5 接口和槽位

项目

说明

Console

1个(9600bps115200bps),缺省为9600bps

USB接口

1个(Host模式,A类型接口)

固定以太网口

12个千兆以太网电口+12千兆以太光网光口+4个万兆以太网光口

CF卡槽

1

扩展槽位

1个,支持NSQ1G24XS60接口板

 

3. 产品外观

F5010F5020F5040F5000-SF5000-C的外观类似,仅产品型号丝印信息不同。

图1-3 F5010/F5020/F5040/F5000-S/F5000-C前面板

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R以太网光口

4: 配置口(CONSOLE

5: USB

6: 设备指示灯

7: 接口板插槽

 

图1-4 F5010/F5020/F5040/F5000-S/F5000-C后面板

1: 风扇

2: 电源模块插槽1

3: 电源模块插槽2

4: 接地螺钉

 

4. 典型应用

(1)       防火墙应用

F5010/F5020/F5040/F5000-S/F5000-C防火墙提供强大的过滤功能和优秀的管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-5 F5010/F5020/F5040/F5000-S/F5000-C防火墙应用组网图

 

(2)       VPN应用

F5010/F5040/F5020/F5000-S/F5000-C防火墙提供强大的VPN功能,帮助企业分支用户安全的访问公司总部资源,也可以满足分支以及移动办公访问公司本部资源的需求。

图1-6 VPN应用组网图

 

(3)       虚拟防火墙应用

F5010/F5020/F5040/F5000-S/F5000-C不但提供强大的防火墙/VPN功能,还可支持虚拟防火墙功能,一台F5010/F5020/F5040/F5000-S/F5000-C防火墙可虚拟成多台逻辑上的防火墙,每个虚拟防火墙有自己的策略且可进行独立管理。

图1-7 虚拟防火墙应用组网图

 

1.5.3  F10X0系列

1. 产品介绍

H3C SecPath F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM防火墙(以下简称为F10X0系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。

在安全功能方面,F10X0系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

2. 接口和槽位

表1-6 接口和槽位规格

项目

说明

Console

1个(9600bps115200bps),缺省为9600bps

USB接口

2个(Host模式,A类型接口)

固定以太网口

·         F1070/F1080/F1070-GM16个千兆以太网电口+8个千兆以太网光口+2个万兆以太网光口

·         F1020/F1030/F1050/F106016个千兆以太网电口+8个千兆以太网光口

·         F1005/F10108个千兆电口+2Combo口+2Bypass

扩展槽位

接口模块扩展槽位:

·         F1005/F1010不支持扩展槽位

·         F1020支持1

·         F1030/F1050/F1060/F1070/F1080/F1070-GM支持2

硬盘扩展槽位:

·         F1005/F1010/F1020/F1030/F1050/F1060支持1

·         F1070/F1080/F1070-GM支持2

 

3. 产品外观

说明

F10X0系列的外观类似,下面仅以F1080为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

F1080设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、210GBASE-R/1000BASE-X以太网光口、2USB接口和1Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

图1-8 F1080设备前视图

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R/1000BASE-X以太网光口

4: 配置口(CONSOLE

5: USB

6: 设备指示灯

7: 硬盘扩展插槽

 

图1-9 F1080设备后视图

 

1: 电源模块插槽1

2: 电源模块插槽2

3: 接口板插槽

4: 接地螺钉

 

4. 典型应用

F10X0系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-10 出口安全防护

 

1.5.4  F1000-AK系列

1. 产品介绍

H3C SecPath F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711/F1000-GM-AK370/F1000-GM-AK380防火墙(以下简称为F1000-AK系列)是面向SMB市场的高性能千兆/准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。

在安全功能方面,F1000-AK系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

2. 接口和槽位

表1-7 接口和槽位

项目

说明

Console

1个(9600bps115200bps),缺省为9600bps

USB接口

2个(Host模式,A类型接口)

固定以太网口

·         F1000-AK175/AK180/AK185/F1000-GM-AK370/F1000-GM-AK38016个千兆以太网电口+8个千兆以太网光口+2个万兆以太网光口

·         F1000-AK130/AK140/AK150/AK155/AK160/AK165/AK17016个千兆以太网电口+8千兆以太网光口

·         F1000-AK135/AK145/AK71116个千兆以太网电口+2个千兆以太网光口

·         F1000-AK7108个千兆电口+2Combo

·         F1000-AK110/AK120/AK1258个千兆电口+2Combo口+2Bypass

·         F1000-AK1088个千兆电口

·         F1000-AK1098个千兆电口+2个千兆光口

·         F1000-AK1158个千兆电口+2Combo

扩展槽位

接口模块扩展槽位:

·         F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710不支持扩展槽位

·         F1000-AK130支持1

·         F1000-AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711/F1000-GM-AK370/F1000-GM-AK380支持2

硬盘扩展槽位:

·         F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK140/AK150/AK155/AK160/AK165/AK170/AK710支持1

·         F1000-AK135/AK145/AK175/AK180/AK185/AK711/F1000-GM-AK370/F1000-GM-AK380支持2

 

3. 产品外观

说明

F1000-AK系列的外观类似,下面仅以F1000-AK180为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

F1000-AK180设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、210GBASE-R/1000BASE-X以太网光口、2USB接口和1Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

设备前面板上有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、210GBASE-R/1000BASE-X以太网光口、2USB接口和1Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

图1-11 F1000-AK180设备前视图

1: 硬盘扩展插槽

2: 设备指示灯

3: 10/100/1000BASE-T以太网电口

4: 1000BASE-X以太网光口

5: 10GBASE-R/1000BASE-X以太网光口

6: 配置口(CONSOLE

7: USB

 

说明

U盘自动加载配置,详细介绍请参见相关产品配置指导手册“基础配置指导”中的“自动配置”。

 

图1-12 F1000-AK180设备后视图

1: 电源模块插槽0

2: 电源模块插槽1

3: 接口模块插槽

4: 接地螺钉

 

4. 典型应用

F1000-AK系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-13 出口安全防护

 

1.5.5  H3C SecBlade III FW单板

1. 产品介绍

随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。

H3C SecBlade III FW单板集成防火墙、VPNNATURL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。

H3C SecBlade III FW单板与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

2. 产品外观

图1-14 LSX1FWCEA1面板

(1) Console接口(CONSOLE

(2) USB接口

(3) Combo电接口(10/100/1000BASE-T

(4) Combo电接口指示灯(LINK/ACT

(5) Combo光接口(1000BASE-X

(6) Combo光接口指示灯(LINK/ACT

(7) 告警指示灯(ALM

(8) 系统运行指示灯(RUN

(9) 扳手

(10) 松不脱螺钉

 

图1-15 LSU3FWCEA0面板

(1) Console接口(CONSOLE

(2) USB接口

(3) Combo电接口(10/100/1000BASE-T

(4) Combo电接口指示灯(LINK/ACT)

(5) Combo光接口(1000BASE-X

(6) Combo光接口指示灯(LINK/ACT)

(7) 告警指示灯(ALM

(8) 系统运行指示灯(RUN)

(9) 扳手

(10) 松不脱螺钉

 

图1-16 LSUM1FWCEAB0面板

 

(1) Console接口(CONSOLE

(2) USB接口

(3) Combo电接口(10/100/1000BASE-T

(4) Combo电接口指示灯(LINK/ACT)

(5) Combo光接口(1000BASE-X

(6) Combo光接口指示灯(LINK/ACT)

(7) 告警指示灯(ALM

(8) 系统运行指示灯(RUN)

(9) 扳手

(10) 松不脱螺钉

 

3. 典型应用

H3C SecBlade III FW单板可结合S12500-X/S12500-FS10500/S7500E/S7600-X系列交换机设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-17 H3C SecBlade III FW应用组网图

 

1.5.6  H3C SecBlade IV FW单板

1. 产品介绍

随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。

H3C SecBlade IV NGFW单板集成防火墙、VPNNATURL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。

H3C SecBlade IV NGFW单板与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。

2. 产品外观

图1-18 LSWM1FWD0面板

(1) 扳手

(2) 锁闩

(3) USB接口

(4) Console接口(CONSOLE

(5) 管理以太网接口指示灯(LINK

(6) 管理以太网接口(10/100/1000BASE-T

(7) 管理以太网接口指示灯(ACT

(8) SFP光接口指示灯(LINK

(9) SFP光接口(1000BASE-X

(10) SFP光接口指示灯(ACT

(11)系统运行指示灯(SYS

 

 

图1-19 LSUM1FWDEC0面板

(1) 硬盘插槽

(2) Console接口(CONSOLE

(3) 千兆以太网电接口(10/100/1000BASE-T

(4) USB接口

(5) 硬盘指示灯(HD

(6) 系统运行指示灯(SYS

(7) 扳手

(8) 松不脱螺钉

 

图1-20 IM-NGFWX-IV面板

(1) 硬盘插槽

(2) Console接口(CONSOLE

(3) 千兆以太网电接口(10/100/1000BASE-T

(4) USB接口

(5) 硬盘指示灯(HD

(6) 系统运行指示灯(SYS)

(7) 扳手

(8) 松不脱螺钉

 

图1-21 LSXM1FWDF1面板

(1) USB接口

(2) 千兆以太网电接口(10/100/1000BASE-T

(3) Console接口(CONSOLE

(4) 系统运行指示灯(RUN

(5) 扳手

(6) 松不脱螺钉

 

图1-22 LSQM1FWDSC0面板

(1) 硬盘插槽

(2) Console接口(CONSOLE

(3) 千兆以太网电接口(10/100/1000BASE-T

(4) USB接口(仅支持供电)

(5) 硬盘指示灯(HD

(6) 系统运行指示灯(SYS)

(7) 扳手

(8) 松不脱螺钉

 

图1-23 LSPM6FWD面板

(1) 管理以太网接口指示灯(ACT/LINK)

(2) 管理以太网接口(10/100/1000BASE-T)

(3) 系统运行指示灯(SYS)

(4) Console接口(CONSOLE)

(5) 松不脱螺钉

 

 

3. 典型应用

H3C SecBlade IV FW单板可结合S6800-2C/S6800-4C/S12500X-AF/S5560-EI/S5560-HI/S5800-EI/S5130-HI系列交换机设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。

图1-24 H3C SecBlade IV FW单板防火墙应用组网图

 

 


2 槽位和接口编号

2.1  F50X0系列

2.1.1  F5030/F5030-6GW/F5060/F5080/F5000-M槽位编号

1. 定义

F5030/F5030-6GW/F5060/F5080/F5000-M8个子槽位。

图2-1 F5030/F5030-6GW/F5060/F5080/F5000-M设备前视图

 

2. 举例

<Sysname> display device

Slot.No  Cpu.Id  Brd Type    Brd Status  Subslot  Sft Ver  Patch Ver

1        0       RPU         Normal      0        9606P06  None

1        0       NSQM1TG8A   Normal      1        None     None

1        0       NONE        Absent      2        None     None

1        0       NONE        Absent      3        None     None

1        0       NONE        Absent      4        None     None

1        0       NONE        Absent      5        None     None

1        0       NONE        Absent      6        None     None

1        0       NONE        Absent      7        None     None

1        0       NSQM1GT8A   Normal      8        None     None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表槽位号,Brd Type表示单板类型、例如RPU表示业务板,且软件版本号为9606P06

2.1.2  F5010/F5020/F5040/F5000-S/F5000-C槽位编号

1. 定义

F5010/F5020/F5040/F5000-S/F5000-C2个槽位,其中编号为0的槽位代表主控板所在槽位,编号为1的槽位代表接口板所在槽位。

图2-2 F5010/F5020/F5040/F5000-S/F5000-C槽位编号

 

2. 举例

<Sysname> display device

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver     Patch Ver  

1         0        F5040         Normal        0          9316        None  

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表编号为0的主控板,主控板名称为F5040,并且软件版本号为9316

2.1.3  接口编号

1. 定义

F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即单板在设备上的槽位编号,主控板取值为0,接口板取值为1

·            Z:表示接口序号,即接口在单板上的编号,从0开始编号。

2. 举例

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Main IP         Description

GE1/0/0              DOWN DOWN     192.168.1.1

GE1/0/1              DOWN DOWN     --

GE1/0/2              DOWN DOWN     --

GE1/0/3              DOWN DOWN     --

GE1/0/4              DOWN DOWN     --

……

GE1/0/22             DOWN DOWN     --

GE1/0/23             DOWN DOWN     --

2.2  F10X0系列

2.2.1  槽位编号

1. 定义

F10X0系列有1个固定槽位,编号为0,代表主控板所在槽位。

2. 举例

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        F1030         Normal        0          9323P02    None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0

2.2.2  接口编号

1. 定义

F10X0系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0

·            Z:表示接口序号,即接口在主控板上的编号,从0开始编号。

2. 举例

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                       

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                          

GE1/0/2              DOWN DOWN     --                                          

……

GE1/0/22             DOWN DOWN     --                                          

GE1/0/23             DOWN DOWN     --

 

2.3  F1000-AK系列

2.3.1  槽位编号

1. 定义

F1000-AK系列有1个固定槽位,编号为0,代表主控板所在槽位。

2. 举例

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        F1000-AK130   Normal        0          9323P06    None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0

2.3.2  接口编号

1. 定义

F1000-AK系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0

·            Z:表示接口序号,即接口在主控板上的编号,从0开始编号。

2. 举例

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                       

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                          

GE1/0/2              DOWN DOWN     --                                          

……

GE1/0/22             DOWN DOWN     --                                          

GE1/0/23             DOWN DOWN     --


2.4  H3C SecBlade III FW单板

1. 定义

H3C SecBlade III FW Enhanced单板支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即单板在设备上的槽位编号,固定取值为0

·            Z:表示接口序号,即接口在单板上的编号,从0开始编号。

2. 举例

<Sysname> display interface GigabitEthernet brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP     Description

GE1/0/1              up  up     192.168.100.86

                                                   

Brief information on interfaces in bridge mode:

Link: ADM - administratively down; Stby - standby

Speed: (a) - auto

Duplex: (a)/A - auto; H - half; F - full

Type: A - access; T - trunk; H - hybrid

Interface           Link Speed   Duplex Type PVID Description

GE1/0/2             DOWN auto   A

2.5  H3C SecBlade IV FW单板

1. 定义

H3C SecBlade IV NGFW单板支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即单板在设备上的槽位编号,固定取值为0

·            Z:表示接口序号,即接口在单板上的编号,从0开始编号。

2. 举例

<Sysname> display interface GigabitEthernet brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP     Description

GE1/0/1              up  up     192.168.100.86

                                                   

Brief information on interfaces in bridge mode:

Link: ADM - administratively down; Stby - standby

Speed: (a) - auto

Duplex: (a)/A - auto; H - half; F - full

Type: A - access; T - trunk; H - hybrid

Interface           Link Speed   Duplex Type PVID Description

GE1/0/2             DOWN auto   A