1.3.3 T1020/T1030/T1050/T1060/T1080· 1-12
1.3.4 H3C SecBlade IV IPS插卡·· 1-14
2.3 T1020/T1030/T1050/T1060/T1080· 2-4
2.4 H3C SecBlade IV IPS插卡·· 2-5
H3C入侵防御系统产品配置指导介绍了入侵防御系统系列产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。
入侵防御系统产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:
表1-1 手册适用的产品款型
系列 | 款型 | 形态 |
H3C SecPath T9000系列入侵防御系统 | T9006/T9010/T9014 | 分布式设备,可以运行在: · 独立运行模式 · IRF模式 |
H3C SecPath T50X0系列入侵防御系统 | T5010/T5020 | 集中式IRF设备 |
H3C SecPath T10X0系列入侵防御系统 | T1020/T1030/T1050/T1060/T1080 | 集中式IRF设备 |
H3C SecBlade IV IPS插卡 | LSWM1IPSD0 | 集中式IRF设备 |
本节以列表的形式介绍了入侵防御产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:
表1-2 手册内容简介
手册名称 | 内容简介 |
基础配置指导 | 介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容: · CLI配置(快速了解命令行接口、命令行接口的进阶应用、命令行接口的高级应用) · RBAC配置 · 登录设备配置(CLI登录、登录用户配置和管理) · FTP和TFTP配置 · 文件系统管理 · 配置文件管理 · 软件升级配置 · ISSU配置 · 设备管理配置 · 安全域配置 · Tcl配置 · Python配置 · License管理配置 |
虚拟化技术配置指导 | 介绍了如何配置虚拟化技术,包括如下内容: · IRF配置 · Context配置 |
安全配置指导 | 介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAA、PKI等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容: · AAA配置 · Password Control配置 · 公钥管理配置 · PKI配置 · SSH配置 · SSL配置 · ASPF配置 · APR配置 · 会话管理配置 · 连接数限制配置 · 对象组配置 · 对象策略配置 · 攻击检测与防范配置 · ARP攻击防御配置 · ND攻击防御配置 · uRPF配置 · 加密引擎配置 |
DPI深度安全配置指导 | 介绍了如何配置DPI相关策略,包括如下内容: · DPI深度安全概述 · 应用层检测引擎配置 · IPS配置 · URL过滤配置 · 数据过滤配置 · 文件过滤配置 · 防病毒配置 |
带宽管理配置指导 | 介绍了如何配置带宽管理相关的内容 |
接口管理配置指导 | 介绍了引擎口、以太网接口、Loopback接口和Null接口等内容。包括如下内容: · 接口批量配置 · 以太网接口配置 · LoopBack接口、Null接口和InLoopBack接口配置 · Blade接口配置 |
二层技术-以太网交换配置指导 | 介绍如何配置以太网交换相关内容,包括如下内容: · MAC地址表配置 · 以太网链路聚合配置 · VLAN配置 · VLAN终结配置 · LLDP配置 · 二层转发配置 |
三层技术-IP业务配置指导 | 介绍了如何手工配置IPv4/IPv6地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容: · ARP配置(ARP、代理ARP) · IP地址配置 · 域名解析配置 · IP转发基础配置 · 快速转发配置 · 流分类配置 · 邻接表配置 · IP性能优化配置 · IPv6基础配置 · IPv6快速转发配置 |
三层技术-IP路由配置指导 | 介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4、IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容: · IP路由基础配置 · 静态路由配置 · RIP配置 · OSPF配置 · 策略路由配置 · IPv6静态路由配置 · RIPng配置 · OSPFv3配置 · IPv6策略路由配置 · 路由策略配置 |
ACL配置指导 | 介绍了ACL配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类: · ACL配置 · 时间段配置 |
可靠性配置指导 | 从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容: · 备份组配置 · 冗余备份配置 · BFD配置 · Track配置 · 进程分布优化配置 |
网络管理和监控配置指导 | 介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用ping、tracert、debug等命令来检查、调试当前网络的连接情况,包括如下内容: · 系统维护与调试配置(Ping、Tracert、系统调试) · NQA配置 · NTP配置 · SNMP配置(SNMP配置、MIB风格配置) · RMON配置 · NETCONF配置 · EAA配置 · 进程监控和维护配置 · 信息中心配置 · Flow日志配置 · Event MIB配置 |
MCE配置指导 | 介绍VPN多实例的创建和应用,以及设备作为MCE(Multi-VPN-Instance CE,多VPN实例CE)时的一些基本配置和典型应用 |
缩略语 | 列举了入侵防御系统系列配置指导中用到的缩略语 |
(1) 简介
H3C SecPath T9000系列入侵防御系统(以下简称为设备)是H3C公司自主研发的、面向运营商及行业市场的高性能产品,支持攻击检测、内容过滤等业务特性。
硬件上基于全分布式架构,包括T9006、T9010和T9014三个款型,整机硬件均采用高可靠设计,支持电源、风扇等关键部件的冗余设计,并同时支持交流或直流机型。
在安全功能方面,T9000系列入侵防御系统为用户提供了全面的安全防范体系和远程安全接入能力,支持DoS/DDoS攻击防御、URL过滤、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理。
有关T9000系列设备前后面板、硬件规格及单板规格等详细介绍,请参见“H3C SecPath T9000系列入侵防御系统 安装指导”。
图1-1 T9006外观图
图1-2 T9010外观图
(3) 结构介绍
T9000系列设备主要由主控板区、接口板和业务板区、网板区、电源区、风扇区等几个部分组成,下面以T9010为例,对各部分进行介绍。
表1-3 机箱各区域说明
说明 区域 | 区域说明 | 选配情况 |
①接口板和业务板区 | 安装接口板或者业务板的槽位 | 接口板选配,业务板必配(机箱发货时不带接口板和业务板) |
②主控板区 | 安装主控板的槽位 | 主控板必配(机箱发货时不带主控板) 目前支持的主控板型号为NSQ1SUPC0 |
③电源区 | 安装电源模块的槽位 | 电源模块必配(机箱发货时不带电源模块) 支持的电源模块型号为LSUM1AC2500和LSUM1DC2400 · T9006具有4个电源模块插槽 · T9010、T9014具有6个电源模块插槽 |
④风扇区 | 安装散热风扇框的槽位,位于机箱背面 | 风扇框必配(机箱发货时已安装好相应风扇框) 根据不同机箱的特点,风扇框的位置有所不同: · T9006、T9014:风扇框位于机箱背面的左侧 · T9010:风扇框位于机箱背面的上方 |
⑤网板区 | 安装交换网板的槽位 | 网板必配(机箱发货时不带网板) 每机箱至少要配1块网板,最多可配置4块网板,并且要求编号最小的两个网板槽位中至少要有一个槽位安装了网板: · T9006的6或者7槽位至少要有一块网板在位 · T9010的10或者11槽位至少要有一块网板在位 · T9014的14或者15槽位至少要有一块网板在位 |
(1) 入侵防御系统应用
T9000系列设备提供强大的过滤功能和管理能力,部署在内网出口,防范各种来自外部的攻击,也可作为内网访问控制设备隔离不同安全等级的区域。
图1-5 应用组网图
T9000系列设备支持虚拟IPS功能,一台T9000设备可虚拟成多台逻辑上的IPS,每个虚拟IPS有自己的策略且可进行独立管理。
图1-6 虚拟IPS功能应用组网图
H3C SecPath T5010和T5020入侵防御系统(以下简称T5010/T5020)是H3C公司自主研发的、面向运营商及行业市场应用的IPS产品,硬件上基于多核处理器架构,为2U的独立盒式设备。提供12个千兆以太电口、12个千兆以太光口和4个万兆以太网光口,并提供一个扩展槽位用于进行接口及业务扩充。设备采用双电源冗余设计,支持交流或直流机型。
在安全功能方面,T5010/T5020还一体化地集成了IPS、带宽管理、防病毒、应用控制、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。
T5010和T5020的外观类似,性能不同,设备外观以及硬件规格的详细说明,请参见“H3C SecPath T5010[T5020] 入侵防御系统 安装指导”,功能配置请参见设备配套的配置指导和命令参考。
图1-7 T5010/T5020前面板
1: 10/100/1000BASE-T以太网电口 | 2: 1000BASE-X以太网光口 |
3: 10GBASE-R以太网光口 | 4: 配置口(CONSOLE) |
5: USB口(仅支持供电) | 6: 设备指示灯 |
7: 接口板插槽 |
图1-8 T5010/T5020后面板
1: 风扇 | 2: 电源模块插槽1 |
3: 电源模块插槽2 | 4: 接地螺钉 |
(1) 简介
H3C SecPath T1020/T1030/T1050/T1060/T1080入侵防御系统(以下简称为T1000系列)是面向行业市场应用的IPS产品,硬件上基于多核处理器架构,为1U的独立盒式入侵防御系统。其中T1020、T1030、T1050提供16个千兆电口及8个千兆光口,T1060和T1080提供16个千兆电口及8个千兆光口以及2个SFP+万兆光口(可以自适应到千兆SFP)。
在安全功能方面,T1000系列作为一款IPS产品还一体化地集成了IPS、带宽管理、防病毒、应用控制、URL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。
(2) 产品外观
T1000系列的外观类似,下面仅以T1080为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。
设备面板有16个10/100/1000BASE-T自适应以太网电口、8个1000BASE-X以太网光口、2个10GBASE-R/1000BASE-X以太网光口、2个USB接口和1个Console接口以及2个硬盘扩展插槽。具体结构如下图所示。
图1-10 设备前视图(T1080)
1: 10/100/1000BASE-T以太网电口 | 2: 1000BASE-X以太网光口 |
3: 10GBASE-R/1000BASE-X以太网光口 | 4: 配置口(CONSOLE) |
5: USB口(仅支持供电) | 6: 设备指示灯 |
7: 硬盘扩展插槽 |
图1-11 设备后视图(T1080)
1: 电源模块插槽1 | 2: 电源模块插槽2 |
3: 接口板插槽 | 4: 接地螺钉 |
T1000系列入侵防御系统部署在广域网出口及Internet出口提供对外访问的安全控制,同时通过入侵防御系统的攻击防范及深度安全防御功能保护DMZ区的服务器。
图1-12 出口安全防护
(1) 产品简介
随着网络应用的不断深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。
LSWM1IPSD0是H3C公司开发的第四代高性能入侵防御系统业务板,可应用于H3C S6800-2C、S6800-4C、S6900-2F和S6900-4F系列以太网交换机,为用户提供融合多业务的一体化网络安全解决方案。
H3C SecBlade IV IPS模块集URL过滤、应用层过滤等功能,有效的保证网络的安全,提升了网络设备的安全业务能力,为用户提供全面的安全防护。支持基于用户及应用的感知,能够识别对大量应用进行识别及控制。同时提供操作日志、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
H3C SecBlade IV IPS模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
(2) 产品外观
图1-13 LSWM1IPSD0业务板前面板
(1) 扳手 | (2) 锁闩 |
(3) USB接口(仅支持供电) | (4) Console接口(CONSOLE) |
(5) 管理以太网接口(RJ-45接口)指示灯(LINK) | (6) 管理以太网接口(RJ-45接口) |
(7) 管理以太网接口(RJ-45接口)指示灯(ACT) | (8) 管理以太网接口(SFP光接口)指示灯(LINK) |
(9) 管理以太网接口(SFP光接口) | (10) 管理以太网接口(SFP光接口)指示灯(ACT) |
(11) 系统运行指示灯(SYS) |
|
LSWM1IPSD0模块可结合S6800-2C/S6800-4C/S6900-2F/S6900-4F系列交换机设备作为边界防护设备,防范各种外部攻击,也可作为内网访问控制设备隔离不同安全等级的区域。
图1-14 IPS业务板应用组网图
下图中的数字代表了T9000系列入侵防御系统的槽位编号。
· T9006:Slot0~Slot5,在设备槽位的最右侧印有这些编号;
· T9010:Slot0~Slot9,在设备槽位的最上沿印有这些编号;
· T9014:Slot0~Slot13,在设备槽位的最右侧印有这些编号。
下图中,从左至右分别为T9006、T9010和T9014。
图2-1 T9006/T9010/T9014槽位编号
主控板、接口板和业务板的槽位如表2-1所示:
产品型号 | 主控板槽位编号 | 接口板/业务板槽位编号 |
T9006 | 0、1 | 2~5 |
T9010 | 4、5 | 0~3、6~9 |
T9014 | 6、7 | 0~5、8~13 |
<Sysname> display device slot 2 subslot 0
Slot Type State Subslot Soft Ver Patch Ver
2 NSQ1GT48EA0 Normal 0 T9006-9104P03 None
上述显示信息中,Slot代表单板所在的槽位,Subslot代表单板本身。
T9000系列设备支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、Blade接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
当设备运行在独立运行模式或者IRF模式下时,GigabitEthernet/Tex-GigabitEthernet接口的编号规则有所不同:
· 当设备运行在独立运行模式时,接口采用“三维”编号方法——interface-type X/Y/Z:
¡ interface-type:表示接口类型,如GigabitEthernet等。
¡ X:表示槽位号,即单板(主控板、接口板或者业务板等,以下同)在设备上的槽位编号,T9006、T9010和T9014的槽位编号范围详见表2-1。
¡ Y:表示子槽位,对于T9000系列设备来说没有实际意义,统一编号为0。
¡ Z:表示接口序号,即接口在单板上的编号,从1开始编号。
· 当设备运行在IRF模式时,接口采用“四维”编号方法——interface-type W/X/Y/Z:
¡ W:IRF成员设备的编号。
¡ 其余元素的意义和设备运行在独立运行模式时相同,不再赘述。
¡ 需要注意的是:当设备运行在IRF模式下时,管理口的编号固定为M-GE1/0/0/0。
· 当设备运行在独立运行模式时,在Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE2/0/1 DOWN DOWN 192.168.1.1/24
GE2/0/2 DOWN DOWN --
GE2/0/3 DOWN DOWN --
GE2/0/4 DOWN DOWN --
GE2/0/5 DOWN DOWN --
……
GE2/0/47 DOWN DOWN --
GE2/0/48 DOWN DOWN --
· 当设备运行在IRF模式并且成员设备编号为1时,同样在Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/2/0/1 DOWN DOWN 192.168.1.1
GE1/2/0/2 DOWN DOWN --
GE1/2/0/3 DOWN DOWN --
GE1/2/0/4 DOWN DOWN --
GE1/2/0/5 DOWN DOWN --
……
GE1/2/0/47 DOWN DOWN --
GE1/2/0/48 DOWN DOWN --
T5010/T5020有2个槽位,其中编号为0的槽位代表主控板所在槽位,编号为1的槽位代表接口板所在槽位。
图2-2 T5010/T5020
<Sysname> display device slot 1 subslot 0
Slot.No Cpu.Id Brd Type Brd Status Subslot Sft Ver Patch Ver
1 0 T5020 Normal 0 8504P03 None
上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表编号为0的主控板,主控板名称为T5020,并且软件版本号为8504P03。
T5010/T5020支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即单板(主控板或者接口板,以下同)在设备上的槽位编号,主控板取值为0,接口板取值为1。
· Z:表示接口序号,即接口在单板上的编号,从0开始编号。
Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/0/0 DOWN DOWN 192.168.1.1
GE1/0/1 DOWN DOWN --
GE1/0/2 DOWN DOWN --
GE1/0/3 DOWN DOWN --
GE1/0/4 DOWN DOWN --
……
GE1/0/22 DOWN DOWN --
GE1/0/23 DOWN DOWN --
T1020/T1030/T1050/T1060/T1080有1个固定槽位,编号为0,代表主控板所在槽位。
<Sysname> display device
Slot.No Cpu.Id Brd Type Brd Status Subslot Sft Ver Patch Ver
1 0 T1030 Normal 0 9313P06 None
上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0。
T1000系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
T1020/T1030/T1050/T1060/T1080缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0。
· Z:表示接口序号,即接口在主控板上的编号,从0开始编号。
Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
GE1/0/0 UP UP 192.168.100.82
GE1/0/1 DOWN DOWN --
GE1/0/2 DOWN DOWN --
……
GE1/0/22 DOWN DOWN --
GE1/0/23 DOWN DOWN --
H3C SecBlade IV IPS插卡支持多种接口,包括Console接口、GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
设备缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z:
· X:IRF成员设备的编号。
· Y:表示槽位号,即插卡在设备上的槽位编号,固定取值为0。
· Z:表示接口序号,即接口在插卡上的编号,从0开始编号。
Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface GigabitEthernet brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
GE1/0/1 up up 192.168.100.86
Brief information on interfaces in bridge mode:
Link: ADM - administratively down; Stby - standby
Speed: (a) - auto
Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
GE1/0/2 DOWN auto A