登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath F3015-I[F3115-I][F3135-I]工控防火墙 用户FAQ(E6501 E6505)-5W104

手册下载

H3C SecPath F3015-I[F3115-I][F3135-I]工控防火墙 用户FAQ(E6501_E6505)-5W104-整本手册.pdf  (1.10 MB)

  • 发布时间:2023/12/22 0:03:50
  • 浏览量:
  • 下载量:

H3C SecPathF3015-I[F3115-I][F3135-I]工控防火墙系统

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021-2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 

1 硬件类FAQ·· 1

1.1 防火墙的硬件具体参数是什么?··· 1

1.2 是否支持双机热备?··· 1

2 软件类FAQ·· 1

2.1 浏览器输入IP地址后无法访问?··· 1

2.2 管理pc可以访问Web页面,无法ping通防火墙管理口?··· 1

2.3 如何查看当前运行的版本信息、授权信息?··· 1

2.4 当管理口开通ssh访问权限后,ssh仍然无法连接?··· 1

2.5 如何升级系统和规则库?··· 1

2.6 管理员忘记密码如何重置?··· 2

2.7 授权导入报授权逾期,怎么处理?··· 2

3 业务功能类FAQ·· 2

3.1 产品部署方式有哪些?··· 2

3.2 使用GE0/1 GE0/2透明模式,网还是不通?··· 2

3.3 接口配置没有配置网关的地方,只有IP地址和子网掩码?··· 2

3.4 产品的支持哪些工控协议?··· 2

3.5 产品的防护功能如何起作用?··· 2

3.6 产品防护功能的优先级是什么样的?··· 2

3.7 配置HA后协商过程中,网络为什么会中断10s左右?··· 3

3.8 主备模式的HA,能否通过业务口对设备进行管理?··· 3

3.9 主备模式的HA,双机均配置抢占模式,有什么注意事项?··· 3

3.10 Ubuntu系统网卡重启机制··· 3

3.11 日志外发注意事项··· 3

3.12 配置HA以后可以随意修改网络环境吗?··· 3

3.13 HA桥接子接口支持链路检测地址吗?··· 4

3.14 物理接口被VPN引用时是否可以修改网口IP地址?··· 4

3.15 VPN地址池起始地址终止地址范围?··· 4

3.16 L2TP over IPSec虚拟网关填写范围?· 4

3.17 L2TP over IPSec PPP认证与PC端设置对应关系?··· 4

3.18 IPSec点到点DPD怎样配置?··· 5

3.19 系统升级老版本过程中可以点击取消吗?升级过程意外中断怎么办?··· 5

3.20 CA服务器根证书默认密码是多少?··· 6

3.21 新增防火墙策略和默认阻断的策略顺序是什么样的?··· 6

3.22 防火墙做路由模式、透明模式、旁路模式,DNS中继功能是否可用?··· 6

3.23 补充不同事件类型,syslog外发日志级别··· 6

3.24 Web页面标准分辨率··· 6

3.25 路由组网配置防火墙接口聚合的平衡模式,与交换机接口聚合与交换机接口聚合的平衡模式,数据流只走一个成员口转发?    6

3.26 路由组网配置->OSPF是否支持聚合口?··· 7

3.27 防火墙双向多播路由可以配置相同的组播地址吗?··· 7

3.28 工控防火墙链路聚合模式跟交换机的链路聚合模式如何匹配?··· 7

本文档介绍工控防火墙产品的用户常见问题及解答。

1 硬件类FAQ

1.1  防火墙的硬件具体参数是什么?

导轨式:ATOM 4核处理器、4G内存、128G存储、4个千兆电口、2RS232端口、无风扇;

机架式:Intel J1900核处理器、8G内存、1T存储、6个千兆电口(还可扩展4个千兆SFP光口、8个千兆SFP光口和4个千兆电口,支持bypass)。

1.2  是否支持双机热备?

支持双机热备。

2 软件类FAQ

2.1  浏览器输入IP地址后无法访问?

(1)     请确认浏览器输入的格式为:https://url-address:10443

(2)     请确认连接工控防火墙的PC与防火墙管理地址可达。

2.2  管理pc可以访问Web页面,无法ping通防火墙管理口?

防火墙管理口(GE0/0)默认不开启Ping服务,需要通过web登录后在“网络设置-接口配置-物理接口”中开启管理口的Ping服务后,才能ping通。

2.3  如何查看当前运行的版本信息、授权信息?

web页面中,首页-系统信息板块进行查看

2.4  当管理口开通ssh访问权限后,ssh仍然无法连接?

(1)     请使用admin用户登录Web页面,确认“系统-系统设置-安全设置”页面的是否启用了ssh服务。

(2)     请确认连接ssh端口为10022

2.5  如何升级系统和规则库?

升级系统和规则库操作相同,使用admin用户登录Web页面,在“系统-系统设置-系统升级”页

面进行升级。

2.6  管理员忘记密码如何重置?

(1)     使用fwadmin用户登录ssh,密码为fwadmin

(2)     登录成功后,用 passwd命令进行管理员密码重置。

2.7  授权导入报授权逾期,怎么处理?

(1)     串口进入到防火墙CLI页面,通过命令date查看系统时间是否正确,如果不正确,使用date –s命令进行系统时间的临时修改,修改完成后重新导入授权文件。

(2)     导入授权文件后,使用admin账户登录防火墙WEB,在系统”>“系统设置”>“时间设置中进行时间的设置并点击确认

3 业务功能类FAQ

3.1  产品部署方式有哪些?

支持路由模式、透明模式、混合模式、旁路模式。

3.2  使用GE0/1 GE0/2透明模式,网还是不通?

防火墙默认是全阻断模式,需要添加一条允许的策略。

3.3  接口配置没有配置网关的地方,只有IP地址和子网掩码?

默认网关在“网络设置-路由-静态路由”配置里面。

3.4  产品的支持哪些工控协议?

支持10多种常用的工控通信协议和TCP/IP协议,如:IEC104DNP3OPC UAOPC DAS7CommS7Comm PLusModbusProfinetCIPProfinetBacnetIEC61850MMSTRDP

3.5  产品的防护功能如何起作用?

(1)     在应用防护或工控防护模块创建模板。

(2)     在“策略-防火墙策略”页面对监控范围进行设置,在页面下方防护安全设置中选择配置的防护模板。

3.6  产品防护功能的优先级是什么样的?

(1)     IP白名单

(2)     IP黑名单

(3)     IP/MAC绑定

(4)     防火墙的五元组策略

(5)     防护功能

3.7  配置HA后协商过程中,网络为什么会中断10s左右?

配置HA后,服务需要要进行重启、初始化服务、以及HA的协商需要10s左右,在这个协商过程中网络是不通的。

3.8  主备模式的HA,能否通过业务口对设备进行管理?

不能。HA主备单机运行是通过隐藏了业务口的ip以及关闭业务口的转发来实现的,所以不能实现业务口路由转发到管理口。可以通过直连管理口或者配置基于管理口的带外管理路由对备机进行访问。

3.9  主备模式的HA,双机均配置抢占模式,有什么注意事项?

配置完成后,需要先启用预想主机的HA,再启用预想备机的HA

3.10  Ubuntu系统网卡重启机制

Ubuntu系统自身机制,插拔网线会引起所在网卡的重启,此时网络会受到影响,可通过重启设备解决。

3.11  日志外发注意事项

(1)     事件告警设置,建议选择重要的攻击防护事件进行外发,以免外发量过大导致系统资源被大量占用,推荐如下:

(2)     事件告警设置,勾选syslog告警后需要开启syslog服务并配置网络可达的syslog服务器

 

3.12  配置HA以后可以随意修改网络环境吗?

不可以,比如路由模式,再修改桥接模式,必须重新启动HA重新协商。

3.13  HA桥接子接口支持链路检测地址吗?

不支持,防火墙是清除了桥子接口的ip地址,链路检测无效,配置需谨慎,避免意外切换。

3.14  物理接口被VPN引用时是否可以修改网口IP地址?

可以,网口被VPN引用时如果网口IP地址发生了变化,应用该网口的VPN默认自定更新配置为:该网口的第一个IP地址(IPv4)。

3.15  VPN地址池起始地址终止地址范围?

VPN地址池起始地址与终止地址范围,以起始地址为准,在起始地址掩码16位以内。

3.16  L2TP over IPSec虚拟网关填写范围?

根据所选的地址池范围而定,L2TP over IPSec虚拟网关填写范围为所选地址池起始地址掩码16位以内且不在地址池起始地址和终止地址之间。

3.17  L2TP over IPSec PPP认证与PC端设置对应关系?

 

配置对应关系应遵循以下规则:

 

3.18  IPSec点到点DPD怎样配置?

1. 检测模式分为按需和周期性检测。

(1)     按需型:当本段需要向对端发送IPSec报文时,如果当前距离最后一次收到对端IPSec报文的时长超过DPD空闲时间(检测时间间隔),则触发DPD检测,本端主动向对端发送DPD请求报文。

(2)     周期型:如果当前距离最后一次收到对端IPSec报文的时长已超过DPD空闲时间(检测时间间隔)

2. 重传时间间隔

本端在DPD报文的重传时间间隔内未收到对端发送的DPD回应报文,则重传DPD请求报文。

(1)     若本端在DPD报文的重传时间间隔内未收到对端发送的DPD回应报文,则重传DPD请求报文,根据重传次数进行重传之后,若仍然没有收到对端的DPD回应报文,则认为对端离线,删除该IKE SA和对应的IPSec SA已关闭连接。

3. 设备默认值

(1)     设备默认情况下DPD空闲时间(检测时间间隔)、DPD报文重传间隔(重传时间间隔)和重传次数分别为30秒、15秒和3次。

 

注意

IPSec两端未配置DPD报文,当隧道内无流量时,会等待SA的生命周期到期,到期前会发起硬协商,若协商未成功则拆除SA,直至下次数据流触发协商才能恢复SA。如果因为网络原因一端拆除SA,另一端没有拆除SA,会导致业务流量不通,需要等待SA生命周期老化或手工清除SA

3.19  系统升级老版本过程中可以点击取消吗?升级过程意外中断怎么办?

不可以,不能点击取消,升级过程涉及替换文件操作,且该过程不可恢复,不能在升级过程中点击取消,新版本升级页面弹框会阻止用户操作,6501版本页面没有控制,不能点击取消。

升级过程中如果意外断电或发生了意外中断,首先确认一下页面是否能访问,如果能访问,先将配置导出后再进行恢复出厂设置,最后导入配置即可;如果上述操作不成功或导入配置后有异常,请联系技术人员。

3.20  CA服务器根证书默认密码是多少?

CA服务器根证书默认密码为:123qweasdzxc

3.21  新增防火墙策略和默认阻断的策略顺序是什么样的?

防火墙默认有1条阻断策略,为了方便用户查看阻断策略的计数及阻断流量大小。

当有新增策略时,会添加到默认阻断策略之上,策略匹配顺序自上而下,默认阻断策略最后匹配,不会影响链路正常策略的使用。

3.22  防火墙做路由模式、透明模式、旁路模式,DNS中继功能是否可用?

1.     DNS中继是DNS的一个代理,路由模式和透明桥都可以使用,若为透明模式,需要为网桥配置地址,保证业务正常通信;

2.     旁路模式没有地址,无法进行dns服务转发,因此无法使用DNS中继。

3.23  补充不同事件类型,syslog外发日志级别

1.  系统日志:CPU、内存、磁盘级别为告警类;其他为信息类,该级别用户不可配置。

2.  操作日志:默认信息、告警,且用户不可配置。

3.  安全日志:默认为高级,且用户不可配置。

4.  NAT日志:  无默认值,用户进行配置。

5.  扫描日志:无级别,用户不可配置。

6.  工控日志:默认级别为高级。用户可配置。

7.  应用防护日志:内置规则,默认级别(具体规则级别),用户不可配置;自定义规则无默认级别,用户可以配置。

8.  IP黑名单日志:默认级别高,用户可配。

9.  DOS防护日志:默认级别高,用户可配。

10.IP/MAC日志:默认级别高,用户可配。

11.病毒防护日志:默认级别高,用户可配。

3.24  Web页面标准分辨率

 Web 页面标准分辨率为1920*1080 ,浏览器缩放±20%

3.25  路由组网配置防火墙接口聚合的平衡模式,与交换机接口聚合与交换机接口聚合的平衡模式,数据流只走一个成员口转发?

交换机和防火墙使用聚合组网,交换机聚合模式配置为静态,负载分担算法使用默认的l2+l3。防火墙配置平衡模式,负载分担算法默认使用l2+l3

根据负载分担的算法特性:如果数据包不是IP类型,则根据源和目的MAC做哈希计算出数据包从那个接口转发、如果数据包是IP类型,则根据源IP和目的IP做哈希计算出数据包从那个接口转发。

因此在接入网络的设备地址不发生变化的情况下,经过交换机或者防火墙之后计算出来的哈希值是固定的,所以转发接口也是固定的,导致数据流就会一直走同一个成员口转发。

3.26  路由组网配置->OSPF是否支持聚合口?

OSPF只支持物理口,暂不支持聚合口。

3.27  防火墙双向多播路由可以配置相同的组播地址吗?

   不可以,双向多播路由组播地址不能相同。转发接口需要与组播地址进行绑定,但是一个组播地址不支持绑定到多个转发接口上。因此需要配置不同的组播地址进行转发。

3.28  工控防火墙链路聚合模式跟交换机的链路聚合模式如何匹配?

工控防火墙链路聚合支持 “平衡策略” IEEE 802.3ad动态链路聚合”。

其中 “平衡策略”为手工模式、“IEEE 802.3ad动态链路聚合”为 LACP 模式。

举例:

与华为交换机配置链路聚合:

1、工控防火墙链路聚合选择 “平衡策略”模式,交互机在配置 链路聚合时不需要设置 mode 配置。

两端链路聚合配置如下:

连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:

 

2、工控防火墙链路聚合选择 IEEE 802.3ad动态链路聚合”模式,交互机在配置 链路聚合时需要设置 mode lacp 如下图:

 两端链路聚合配置如下:

 

连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:

 

 

H3C交换机配置链路聚合:

1.工控防火墙链路聚合选择 “平衡策略”模式,

两端链路聚合配置如下:

 

 

连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:

2、工控防火墙链路聚合选择 IEEE 802.3ad动态链路聚合”模式:

 两端链路聚合配置如下:

 

连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:

新华三官网
联系我们