H3C SecPah T9000系列入侵防御系统配置指导介绍了T9000系列产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。
T9000产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:
表1-1 手册适用的产品款型
系列 | 款型 | 形态 |
H3C SecPath T9000系列入侵防御系统 | T9006/T9010/T9014/T9008-S | 分布式设备,可以运行在: · 独立运行模式 · IRF模式 |
不同款型适配的产品软件版本如下表所示。
表1-2 软件版本适配表
款型 | 软件版本 |
T9006/T9010/T9014 | R9114 |
T9008-S | R9801 |
(1) 简介
H3C SecPath T9000系列入侵防御系统(以下简称为T9000系列设备)是H3C公司自主研发的、面向运营商及行业市场的高性能产品,支持防火墙、NAT、VPN、攻击检测、内容过滤等业务特性。
硬件上基于全分布式架构,包括T9006、T9010、T9014和T9008-S四个款型,整机硬件均采用高可靠设计,支持电源、风扇等关键部件的冗余设计,并同时支持交流或直流机型。
在安全功能方面,T9000系列设备为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、NAT、ALG、虚拟防火墙、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN、IPSec VPN等。
有关T9000系列设备前后面板、硬件规格及单板规格等详细介绍,请参见“H3C SecPath T9000系列入侵防御系统 安装指导”和“H3C SecPath T9008-S入侵防御系统 安装指导”。
图1-1 T9006外观图
图1-2 T9010外观图
图1-4 T9008-S外观图
(3) 结构介绍
T9000系列设备主要由主控板区、接口板和业务板区、网板区、电源区、风扇区等几个部分组成,下面以T9010为例,对各部分进行介绍。
表1-3 机箱各区域说明
区域说明 | 选配情况 | |
①接口板和业务板区 | 安装接口板或者业务板的槽位 | 接口板和业务板必配(机箱发货时不带接口板和业务板) |
②主控板区 | 安装主控板的槽位 | 主控板必配(机箱发货时不带主控板) · T9006/T9010/T9014支持的主控板型号为NSQ1SUPC0 · T9008-S支持的主控板型号为NSQM2TMPUC0 |
③电源区 | 安装电源模块的槽位 | 电源模块必配(机箱发货时不带电源模块) · T9006具有4个电源模块插槽 · T9010、T9014具有6个电源模块插槽 · T9008-S具有2个电源模块插槽 · T9006/T9010/T9014支持的电源模块型号为NSQM1AC2500和NSQM1DC2400 · T9008-S支持的电源模块型号为NSQM2AC1400和NSQM2DC1400 |
④风扇区 | 安装散热风扇框的槽位 | 风扇框必配(机箱发货时已安装好相应风扇框) 根据不同机箱的特点,风扇框的位置有所不同: · T9006、T9014:风扇框位于机箱背面的左侧 · T9010:风扇框位于机箱背面的上方 · T9008-S:风扇框位于机箱右侧 |
⑤网板区 | 安装交换网板的槽位 | T9006/T9010/T9014: · 网板必配(机箱发货时不带网板) · 每机箱至少要配3块网板,最多可配置4块网板 T9008-S无交换网板 |
当前T9000系列支持多种业务板类型,且各种类型的业务板不支持混插使用。具体差异见下表:
业务板类型 | 业务板型号 |
T9000+入侵防御系统业务版 | NSQM1IPSDFG0 |
T9008-S+FW业务板 | NSQM2IPSDSCA0 |
T9000系列设备提供强大的过滤功能和管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。
图1-6 应用组网图
(2) 虚拟入侵防御系统应用
T9000系列设备支持虚拟IPS功能,一台T9000设备可虚拟成多台逻辑上的IPS,每个虚拟IPS有自己的策略且可进行独立管理。
图1-7 虚拟IPS功能应用组网图
本节以列表的形式介绍了T9000系列产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:
表1-4 手册内容简介
手册名称 | 内容简介 |
基础配置指导 | 介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容: · CLI配置(快速了解命令行接口、命令行接口的进阶应用、命令行接口的高级应用) · RBAC配置 · 登录设备配置(CLI登录、登录用户配置和管理) · FTP和TFTP配置 · 文件系统管理 · 配置文件管理 · 软件升级配置 · ISSU配置 · 设备管理配置 · Tcl配置 · Python配置 · License管理配置 |
虚拟化技术配置指导 | 介绍了如何配置虚拟化技术,包括如下内容: · IRF配置 · Context配置 |
安全配置指导 | 介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAA、PKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容: · 安全域配置 · 安全策略配置 · 对象组配置 · 对象策略配置 · AAA配置 · 用户身份识别与管理配置 · Password Control配置 · 公钥管理配置 · PKI配置 · SSL配置 · SSH配置 · ASPF配置 · APR配置 · 会话管理配置 · 连接数限制配置 · 攻击检测与防范配置 · uRPF配置 · Keychain配置 · ARP攻击防御配置 · ND攻击防御配置 |
DPI深度安全配置指导 | 介绍了DPI深度安全的特性,包括以下内容: · DPI深度安全概述 · 应用层检测引擎配置 · IPS配置 · URL过滤配置 · 数据过滤配置 · 文件过滤配置 · 防病毒配置 |
上网行为管理配置指导 | 介绍了如何配置带宽和对用户的上网行为进行审计和记录,包括以下内容: · 带宽管理配置 · 应用审计与管理配置 |
接口管理配置指导 | 介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容: · 接口批量配置 · 以太网接口配置 · LoopBack接口、Null接口和InLoopBack接口配置 · Blade接口配置 |
二层技术-以太网交换配置指导 | 介绍如何配置以太网交换相关内容,包括如下内容: · MAC地址表配置 · 以太网链路聚合配置 · VLAN配置 · VLAN终结配置 · LLDP配置 · 二层转发配置 |
三层技术-IP路由配置指导 | 介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4、IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容: · IP路由基础配置 · 静态路由配置 · RIP配置 · OSPF配置 · 策略路由配置 · IPv6静态路由配置 · RIPng配置 · OSPFv3配置 · IPv6策略路由配置 · 路由策略配置 |
三层技术-IP业务配置指导 | 介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容: · ARP配置(ARP、代理ARP) · IP地址配置 · 域名解析配置 · IP转发基础配置 · 快速转发配置 · 流分类配置 · IP性能优化配置 · IPv6基础配置 · IPv6快速转发配置 |
ACL配置指导 | 介绍了ACL配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率: · ACL配置 · 时间段配置 |
可靠性配置指导 | 从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容: · 备份组配置 · 冗余备份配置 · BFD配置 · Track配置 · 进程分布优化配置 |
网络管理和监控配置指导 | 介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用ping、tracert、debug等命令来检查、调试当前网络的连接情况,包括如下内容: · 系统维护与调试配置(Ping、Tracert、系统调试) · NQA配置 · NTP配置 · SNMP配置(SNMP配置、MIB风格配置) · RMON配置 · NETCONF配置 · EAA配置 · 进程监控和维护配置 · 信息中心配置 · Event MIB配置 · 报文捕获配置 · 快速日志输出配置 |
缩略语 | 列举了T9000系列配置指导中用到的缩略语 |
下图中的数字代表了T9000系列入侵防御系统的槽位编号。
· T9006:Slot0~Slot5,在设备槽位的最右侧印有这些编号;
· T9010:Slot0~Slot9,在设备槽位的最上沿印有这些编号;
· T9014:Slot0~Slot13,在设备槽位的最右侧印有这些编号;
· T9008-S:Slot0~Slot7,在设备槽位的最右侧印有这些编号。
下图中,从左至右分别为T9006、T9010和T9014。
图2-1 T9006/T9010/T9014槽位编号
下图中为T9008-S
主控板、接口板和业务板的槽位如表2-1所示:
产品型号 | 主控板槽位编号 | 接口板/业务板槽位编号 | 交换网板槽位编号 |
T9006 | 0、1 | 2~5 | 6~9 |
T9010 | 4、5 | 0~3、6~9 | 10~13 |
T9014 | 6、7 | 0~5、8~13 | 14~17 |
T9008-S | 0、1 | 2~7 | 无交换网板 |
<Sysname> display device slot 4 subslot 0
Slot Type State Subslot Soft Ver Patch Ver
4 NSQ1FWCEA0 Normal 0 T9006-9114P01 None
上述显示信息中,Slot代表单板所在的槽位,Subslot代表单板本身,在插有子卡的槽位上取值为1~2,代表子槽位。
T9000系列设备支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、Blade接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
当设备运行在独立运行模式或者IRF模式下时,GigabitEthernet/Tex-GigabitEthernet接口的编号规则有所不同:
· 当设备运行在独立运行模式时,接口采用“三维”编号方法——interface-type X/Y/Z:
¡ interface-type:表示接口类型,如GigabitEthernet等。
¡ X:表示槽位号,即单板(主控板、接口板或者业务板等,以下同)在设备上的槽位编号,T9006、T9010、T9014和T9008-S的槽位编号范围详见表2-1。
¡ Y:表示子槽位,在插有子卡的槽位上取值为1~2,没有插子卡的槽位上统一编号为0。
¡ Z:表示接口序号,即接口在单板上的编号,从1开始编号。
· 当设备运行在IRF模式时,接口采用“四维”编号方法——interface-type W/X/Y/Z:
¡ W:IRF成员设备的编号。
¡ 其余元素的意义和设备运行在独立运行模式时相同,不再赘述。
¡ 需要注意的是:当设备运行在IRF模式下时,管理口的编号固定为M-GE1/0/0/0。
· 当设备运行在独立运行模式时,在设备上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE2/0/1 DOWN DOWN 192.168.1.1/24
GE2/0/2 DOWN DOWN --
GE2/0/3 DOWN DOWN --
GE2/0/4 DOWN DOWN --
GE2/0/5 DOWN DOWN --
……
GE2/0/47 DOWN DOWN --
GE2/0/48 DOWN DOWN --
· 当设备运行在IRF模式并且成员设备编号为1时,同样在设备上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/2/0/1 DOWN DOWN 192.168.1.1
GE1/2/0/2 DOWN DOWN --
GE1/2/0/3 DOWN DOWN --
GE1/2/0/4 DOWN DOWN --
GE1/2/0/5 DOWN DOWN --
……
GE1/2/0/47 DOWN DOWN --
GE1/2/0/48 DOWN DOWN --
设备存在两种类型的安全域,分别是:
· 缺省安全域:不需要通过命令security-zone name配置就已经存在的安全域,名称为:Local、Trust、DMZ、Management和Untrust;
· 非缺省安全域:通过命令security-zone name创建的安全域。
无论是缺省安全域,还是非缺省安全域,都没有优先级的概念。下述接口之间的报文要实现互访,必须配置安全策略,而且只有匹配放行策略的报文,才允许通过,否则系统默认丢弃这些接口之间发送的报文:
· 同一个安全域的接口之间
· 处于不同安全域的接口之间
· 处于安全域的接口和处于非安全域的接口之间
· 目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。
需要注意的是,这里的安全策略包括安全策略、包过滤策略、ASPF策略和对象策略等。关于安全域和安全策略的详细介绍和具体配置,请参见表3-1。
特性名称 | 配置指导/命令参考 | 文档名称 |
包过滤策略 | ACL和QoS配置指导、ACL和QoS命令参考 | ACL |
安全策略 | 安全配置指导、安全命令参考 | 安全策略 |
安全域、安全域间实例 | 安全域 | |
ASPF策略 | ASPF | |
对象策略 | 对象策略 |