- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath F100-X-XI[F1000-E-XI]防火墙产品
快速开局指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本手册可帮助您对防火墙的使用过程有初步的认识,并完成防火墙的基本配置,如防火墙的常见组网方式,如何将防火墙快速接入Internet,如何快速实现企业网络的安全防护和常用的设备运维操作等。如果您想深入了解和使用防火墙其他更多、更丰富的安全防护功能,具体查阅对应产品的手册。本手册使用F100-A-XI设备的F8590P09版本举例,不同的款型的设备界面可能存在差异,仅供参考具体配置请以实际情况为准。本手册所描述的内容适用于如下款型及版本:
表1-1 适配款型
|
系列 |
款型及版本 |
|
F100-X-XI |
· F100-A-XI:F8590 · F100-C-XI、F100-S-XI:F9590 |
|
F1000-X-XI |
F1000-E-XI:F8890 |
防火墙产品外观丰富,具体可查阅对应产品的安装手册,本节仅F100-A-XI为例介绍设备外观。
设备前面板上有2个1000BASE-X以太网光口、5个10/100/1000BASE-T自适应以太网电口(含1个管理以太网口)、1个USB接口、1个CONSOLE接口和1个RESET按键以及1个Micro SD插槽。具体结构如下图所示。
图2-1 设备前视图
|
1: 10/100/1000BASE-T以太网电口 |
2: 1000BASE-X以太网光口 |
|
3: CONSOLE口 |
4: USB口(Host模式,A类型接口) |
|
5: Micro SD插槽 |
6: RESET按键(重启设备) |
|
7: 直流电源插孔 |
8: Micro SD、SYS、PWR指示灯 |
|
9: 1000BASE-X以太网光口指示灯 |
10: 10/100/1000BASE-T以太网电口指示灯 |
|
11: 管理以太网口(MGMT) |
|
RESET按键用于重启设备,不会恢复默认出厂配置。
图2-2 设备后视图
|
1: 接地螺钉 |
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种隔离是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
防火墙控制网络流量的实现主要依托于安全域和安全策略,下文详细介绍。
如图3-1所示,管理员将安全需求相同的接口进行分类,并划分到不同的安全域(Security Zone),能够实现域间策略的统一管理。安全域,是一个逻辑概念。
设备上缺省存在Local、Management、LAN、DMZ、Trust和Untrust安全域。缺省安全域不能被删除。各缺省安全域的作用及应用场景说明如下:
· Local:指设备本身,且不能向Local安全域添加接口成员。Local安全域访问其他安全域的报文均默认放行。非LAN安全域与设备本身进行通信时,需要配置放行相应安全域与Local安全域之间报文的安全策略。
· Management:指用于管理设备的区域。
· LAN:局域网区域,该安全域与自身或设备本身通信的报文默认放行,即LAN与LAN、LAN与Local之间的报文默认放行,无需配置安全策略。缺省情况下,设备出厂时除GE1/01以外的以太网电接口和Vlan-interface1均属于LAN安全域。
· DMZ:Demilitarized Zone,隔离区。通常会将设备连接各类公共服务或资源(如Web server、FTP server等)的接口添加至DMZ安全域,并通过配置安全策略,对其他安全域发往DMZ的报文进行审计,避免服务器被攻击或机密数据被非法窃取。
· Trust:指可信任的网络区域。通常会将设备连接内网的接口添加至Trust安全域,并通过配置安全策略,对其他安全域发往Trust的报文进行威胁检测,保护内网主机,对Trust发往其他安全域的报文进行严格管理和控制,避免机密数据外泄。
· Untrust:指不信任的网络区域。通常会将设备连接Internet的接口添加至Untrust安全域,并通过配置安全策略,对Untrust发往其他安全域的报文进行严格检测,阻断外来攻击和病毒等威胁。
如图3-2所示,安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、终端、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
防火墙设备出厂配置如下表,用户也可通过设备上的铭牌获取到设备的缺省用户名和密码等信息。
表4-1 防火墙出厂配置
|
登录信息项 |
默认配置 |
备注 |
|
用户名 |
admin |
- |
|
密码 |
admin |
- |
|
登录类型 |
· 通过Web界面登录设备 · 通过Console口登录设备 |
其他登录类型需要自行配置 |
|
IP地址 |
· 接口:Vlan-interface1 · IP地址:192.168.0.1/24(由FW自身作为DHCP sever为接口分配,设备启动后,需要等待2-3分钟) |
若网络中有其他设备作为DHCP sever,IP地址与DHCP sever的实际配置有关,请到DHCP server上查看其为设备分配的IP地址 |
|
以太网电接口 |
· GE1/0/1:工作在三层模式 · 其他以太网电接口:工作在二层模式且已加入VLAN 1 |
在非自主组网场景中,不建议使用VLAN 1进行网络配置 |
如图4-1所示,按照图中的拓扑连接设备的管理网口、内网口GE1/0/2和外网口GE1/0/1。管理网口和管理员主机连接,用于登录Web界面。内网口作为LAN口,一般加入Trust安全域(或者LAN安全域),用于连接公司内网主机等。外网口作为WAN口,一般加入Untrust安全域(或者WAN安全域),用于连接运营商网络与外部进行通信。
如果使用命令行配置设备,在首次登录设备,请使用Console配置线连接管理PC的串口和设备的Console口。
· 建议使用以下浏览器访问Web管理页面:Chrome 40及以上版本、Firefox 19及以上版本、Internet Explorer 10及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
路由模式接入是指设备以三层模式(即设备的上下行业务接口工作在三层模式)部署在网络中,此模式下设备一般作为企业的网关连接内网和互联网,对网络流量进行安全监测和安全控制。此模式下设备可支持丰富的路由功能和安全功能。为适应不同的网络环境,设备提供如下三种方式快速接入Internet。
· 指定IP方式接入:是从运营商获取一个固定的公网IP地址,用户内网需通过该公网IP地址接入Internet。
· DHCP方式接入:是设备通过运营商提供的DHCP服务动态获取一个公网IP地址即可接入Internet。
· PPPoE方式接入:用户从运营商处获取一个PPPoE接入认证账户,可通过该帐户接入Internet。
指定IP地址方式是从运营商获取一个固定的公网IP地址,用户内网需通过该公网地址接入Internet。具体配置方法如下。
DHCP方式接入Internet方式是设备通过运营商提供的DHCP服务动态获取一个公网IP地址即可接入Internet。具体配置方法如下。
用户从运营商处获取一个PPPoE接入认证账户,可通过该帐户接入Internet。具体配置方法如下。
不同于路由模式,透明模式采用二层模式(即设备的上下行业务接口工作在二层模式)部署在网络中,此模式下设备一般部署在企业网关内侧,不直接与互联网连接,但可以对网络流量进行安全监测和安全控制。此模式无需路由及NAT,不改变网络结构,可快速部署设备,上线安全业务。具体配置方法如下。
设备的部分特性也需要获取License授权后才能使用,因此为使这些特性能够使用,需要激活这些特性的License。设备缺省支持管理1个AP,管理员需要为设备购买授权码,然后注册并安装License,才能管理更多的AP。
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C 安全产品 License注册演示视频》、《H3C 安全产品 License注册演示图解》、《H3C 安全产品 License注册演示典型配置举例》和《H3C 安全产品 License使用指南》。
License首次注册激活成功后,管理员可在设备Web管理页面的“系统 > License配置”页面,查看特性的License状态为“In use”。
图4-2 查看License状态
单击“操作”列的<查看>按钮,可以查看License的详细信息。
图4-3 License详细信息
各业务的特征库升级功能需要安装License才能使用。License过期后,各业务可以采用设备中已有的特征库正常工作,但无法升级特征库。
· 定时升级:设备根据管理员设置的时间定期自动更新本地的特征库。
· 立即升级:管理员手工触发设备立即更新本地的特征库。
· 本地升级:当设备无法自动获取特征库时,需要管理员先手动获取最新的特征库,再更新设备本地的特征库。
定时升级和立即升级需要放行设备本身的Local安全域与升级服务器所在安全域的报文。由于设备缺省存在AUTONET_LOCAL2ANY_DONTMODIFY安全策略,即可以放行设备本地到任何安全域的报文,包括升级服务器所在的安全域。
恢复到出厂配置,将抹去除“.bin”和License文件以外的所有配置,请谨慎使用。
某公司为了给员工提供更好的无线网络服务且对安全性有较高要求,希望在该公司内进行无线网络全覆盖,并以防火墙作为出口网关来确保内网的安全性。
如图5-1所示,公司内部署的AP工作在Fit模式,通过PoE交换机连接到出口网关防火墙上,接入Internet。防火墙同时作为DHCP Server为AP和无线客户端分配IP地址,并为内网设备提供安全防护功能。
图5-1 防火墙融合AC典型配置组网图
有关融合AC功能的配置方法,请参见《H3C SecPath F100-C-A防火墙融合AC产品最佳实践》。
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。此功能需要在路由模式下使用。
初始配置中,路由模式的快速向导会自动生成了一条内网访问外网流量的NAT策略,保证内网可以访问外网。您可以直接使用此NAT策略,也可以根据不同网络的实际需求,配置不同的NAT策略。
图5-2 NAT功能示意图
有关NAT相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《全局NAT目的地址转换典型配置举例演示视频》和《全局NAT源地址转换典型配置举例演示视频》。
IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)远程办公的安全接入技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
图5-3 IPsec功能示意图
有关IPsec相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《IPsec典型配置举例演示视频视频》。
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
图5-4 SSL VPN功能示意图
有关SSL VPN相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《SSL VPN IP接入配置演示视频》。
双机热备是一种设备级的高可靠性(High Availability,简称HA)的技术。此技术能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。双机热备通过我司私有的RBM(Remote Backup Management,远端备份管理)协议来实现。
图5-5 双机热备功能示意图
有关双机热备相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《HA联动VRRP双主典型配置举例演示视频(IPv4)》、《HA联动VRRP主备典型配置举例演示视频(IPv4)》、《HA联动路由双主典型配置举例演示视频(IPv4)》和《HA联动路由主备典型配置举例演示视频(IPv4)》。
支持
售前咨询
售后咨询
人工在线咨询
