手册下载
H3C SecPath 防火墙产品 快速开局指导-6W100-整本手册.pdf (7.43 MB)
H3C SecPath 防火墙产品
快速开局指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本手册可帮助您对防火墙的使用过程有初步的认识,并完成防火墙的基本配置,如防火墙的常见组网方式,如何将防火墙快速接入Internet,如何快速实现企业网络的安全防护和常用的设备运维操作等。如果您想深入了解和使用防火墙其他更多、更丰富的安全防护功能,具体查阅对应产品的手册。本手册使用F100-A-G5设备的R8860P31版本举例,不同的款型的设备界面可能存在差异,仅供参考具体配置请以实际情况为准。本手册所描述的内容适用于如下款型及版本:
表1-1 F5000系列
F5000系列 |
款型 |
F50X0系列 |
F5010、F5020-GM、F5020、F5040、F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A、F5000-C、F5000-S |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
表1-2 F1000系列
F1000系列 |
款型 |
F1000-AI-X0系列 |
F1000-AI-03、F1000-AI-10、F1000-AI-20、F1000-AI-30、F1000-AI-50、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90 |
F1000-AI-X5系列 |
F1000-AI-05、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-65、F1000-AI-75 |
F1000-X-G5系列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
F1000-X-G3系列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
F1000-X-G2系列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
F1000-9X0-AI系列 |
F1000-9305-AI、F1000-9310-AI、F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-9330-AI、F1000-9320-AI |
F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
|
F1000-C83X0系列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8330、F1000-C8320、F1000-C8310、F1000-C8305 |
F1000-C81X0系列 |
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-AK710、F1000-AK711、F1000-GM-AK370、F1000-GM-AK380 |
F1000-AK1105、F1000-AK1010、F1000-AK1020、F1000-AK1030、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1342、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
|
F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
F1000-L系列 |
F1003-L、F1005-L、F1010-L、F1003-L-C、F1003-L-S |
F1000-7X0-HI系列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI、F1000-730-HI、F1000-720-HI、F1000-710-HI |
F1000-C-X系列 |
F1000-C-EI、F1000-C-HI、F1000-C-XI、F1000-E-XI |
表1-3 F100系列
F100系列 |
型号 |
F100-X-G5系列 |
F100-A-G5、F100-E-G5、F100-C-G5、F100-M-G5、F100-S-G5 |
F100-X-G3系列 |
F100-A-G3、F100-E-G3、F100-C-G3、F100-M-G3、F100-S-G3 |
F100-X-G2系列 |
F100-A-G2、F100-E-G2、F100-C-G2、F100-M-G2、F100-S-G2 |
F100-WiNet系列 |
F100-A91-WiNet、F100-A81-WiNet、F100-A80-WiNet、F100-C80-WiNet、F100-S80-WiNet、F100-C60-WiNet、F100-C50-WiNet |
F100-C-A系列 |
F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W、F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A1、F100-C-A2 |
F100-X-XI系列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-A-XI、F100-C-EI、F100-C-HI、F100-C-XI、F100-E-EI、F100-S-HI、F100-S-XI |
表1-4 视频网关系列
视频网关系列 |
款型 |
F5000-V系列 |
F5000-V30 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90、F1000-E-VG、F1000-S-VG |
防火墙产品外观丰富,具体可查阅对应产品的安装手册,本节仅F100-A-G5为例介绍设备外观。
设备前面板上有18个10/100/1000BASE-T自适应以太网电口、2个10GBASE-R以太网光口、2个管理以太网口、4个BYPASS口、8个COMBO口、1个CONSOLE口、2个USB口、1个RESET按键以及2个硬盘扩展插槽。具体结构如下图所示。
图2-1 设备前视图
1: 管理以太网口(1/MGMT) |
2: BYPASS口 |
3: 10/100/1000BASE-T以太网电口(COMBO口) |
4: 设备指示灯 |
5: CONSOLE口 |
6: USB口 |
7: RESET按键(重启设备) |
8: 10GBASE-R以太网光口 |
9: 1000BASE-X以太网光口(COMBO口) |
10: 10/100/1000BASE-T以太网电口 |
11:管理以太网口(0/MGMT) |
12: 硬盘扩展插槽 |
RESET按键:用于重启设备,不会恢复默认出厂配置。
图2-2 设备后视图
1: 电源线接口 |
2: 接地螺钉 |
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种隔离是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
防火墙控制网络流量的实现主要依托于安全域和安全策略,下文详细介绍。
如图3-1所示,管理员将安全需求相同的接口进行分类,并划分到不同的安全域(Security Zone),能够实现域间策略的统一管理。安全域,是一个逻辑概念。
设备上缺省存在Local、Management、Trust、DMZ和Untrust安全域。缺省安全域不能被删除。各缺省安全域的作用及应用场景说明如下:
· Local:指设备本身,且不能向Local安全域添加接口成员。非Management安全域与设备本身之间相互通信时,需要配置放行相应安全域与Local安全域之间报文的安全策略。
· Management:指用于管理设备的区域,该安全域与设备本身通信的报文默认放行,即Management与Local之间的报文默认放行,无需配置安全策略。缺省情况下,设备管理口属于Management安全域,用于通过PC登录设备进行配置。
· Trust:指可信任的网络区域。通常会将设备连接内网的接口添加至Trust安全域,并通过配置安全策略,对其他安全域发往Trust的报文进行威胁检测,保护内网主机,对Trust发往其他安全域的报文进行严格管理和控制,避免机密数据外泄。
· DMZ:Demilitarized Zone,隔离区。通常会将设备连接各类公共服务或资源(如Web server、FTP server等)的接口添加至DMZ安全域,并通过配置安全策略,对其他安全域发往DMZ的报文进行审计,避免服务器被攻击或机密数据被非法窃取。
· Untrust:指不信任的网络区域。通常会将设备连接Internet的接口添加至Untrust安全域,并通过配置安全策略,对Untrust发往其他安全域的报文进行严格检测,阻断外来攻击和病毒等威胁。
如图3-2所示,安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、终端、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。
防火墙设备出厂配置如下表,用户也可通过设备上的铭牌获取到设备的缺省用户名和密码等信息。
表4-1 防火墙出厂配置
登录信息项 |
默认配置 |
备注 |
用户名 |
admin |
- |
密码 |
admin |
- |
登录类型 |
· 通过Web界面登录设备 · 通过Console口登录设备 |
其他登录类型需要自行配置 |
以太网管理口的IP地址 |
· 接口号:GigabitEthernet1/0/0或M-GigabitEthernet1/0/0 · IP地址:192.168.0.1/24 |
不同设备的管理网口编号存在差异,具体可查阅对应的产品资料或者查看设备的铭牌 |
如图4-1所示,按照图中的拓扑连接设备的管理网口、内网口GE1/0/2和外网口GE1/0/1。管理网口和管理员主机连接,用于登录Web界面。内网口作为LAN口,一般加入Trust安全域,用于连接公司内网主机等。外网口作为WAN口,一般加入Untrust安全域,用于连接运营商网络与外部进行通信。
如果使用命令行配置设备,在首次登录设备,请使用Console配置线连接管理PC的串口和设备的Console口。
· 建议使用以下浏览器访问Web管理页面:Chrome 40及以上版本、Firefox 19及以上版本、Internet Explorer 10及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
路由模式接入是指设备以三层模式(即设备的上下行业务接口工作在三层模式)部署在网络中,此模式下设备一般作为企业的网关连接内网和互联网,对网络流量进行安全监测和安全控制。此模式下设备可支持丰富的路由功能和安全功能。为适应不同的网络环境,设备提供如下三种方式快速接入Internet。
· 指定IP方式接入:是从运营商获取一个固定的公网IP地址,用户内网需通过该公网IP地址接入Internet。
· DHCP方式接入:是设备通过运营商提供的DHCP服务动态获取一个公网IP地址即可接入Internet。
· PPPoE方式接入:用户从运营商处获取一个PPPoE接入认证账户,可通过该帐户接入Internet。
指定IP地址方式是从运营商获取一个固定的公网IP地址,用户内网需通过该公网地址接入Internet。具体配置方法如下。
DHCP方式接入Internet方式是设备通过运营商提供的DHCP服务动态获取一个公网IP地址即可接入Internet。具体配置方法如下。
用户从运营商处获取一个PPPoE接入认证账户,可通过该帐户接入Internet。具体配置方法如下。
不同于路由模式,透明模式采用二层模式(即设备的上下行业务接口工作在二层模式)部署在网络中,此模式下设备一般部署在企业网关内侧,不直接与互联网连接,但可以对网络流量进行安全监测和安全控制。此模式无需路由及NAT,不改变网络结构,可快速部署设备,上线安全业务。具体配置方法如下。
各业务的特征库升级功能需要安装License才能使用。License过期后,各业务可以采用设备中已有的特征库正常工作,但无法升级特征库。
· 定时升级:设备根据管理员设置的时间定期自动更新本地的特征库。
· 立即升级:管理员手工触发设备立即更新本地的特征库。
· 本地升级:当设备无法自动获取特征库时,需要管理员先手动获取最新的特征库,再更新设备本地的特征库。
设备的部分特性需要获取License授权后才能使用,因此为使这些特性能够使用,需要激活这些特性的License。具体可观看《H3C 安全产品 License注册演示视频(Comware V7)》完成License的激活和安装。
恢复到出厂配置,将抹去除“.bin”和License文件以外的所有配置,请谨慎使用。
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。此功能需要在路由模式下使用。
初始配置中,路由模式的快速向导会自动生成了一条内网访问外网流量的NAT策略,保证内网可以访问外网。您可以直接使用此NAT策略,也可以根据不同网络的实际需求,配置不同的NAT策略。
图5-1 NAT功能示意图
有关NAT相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《全局NAT目的地址转换典型配置举例演示视频》和《全局NAT源地址转换典型配置举例演示视频》。
IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)远程办公的安全接入技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
图5-2 IPsec功能示意图
有关IPsec相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《IPsec典型配置举例演示视频视频》。
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务。用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
图5-3 SSL VPN功能示意图
有关SSL VPN相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《SSL VPN IP接入配置演示视频》。
双机热备是一种设备级的高可靠性(High Availability,简称HA)的技术。此技术能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。双机热备通过我司私有的RBM(Remote Backup Management,远端备份管理)协议来实现。
图5-4 双机热备功能示意图
有关双机热备相关功能的配置视频,请点击此链接《H3C SecPath系列防火墙 Web典型配置演示视频》观看《HA联动VRRP双主典型配置举例演示视频(IPv4)》、《HA联动VRRP主备典型配置举例演示视频(IPv4)》、《HA联动路由双主典型配置举例演示视频(IPv4)》和《HA联动路由主备典型配置举例演示视频(IPv4)》。
至此,您已了解和掌握了防火墙的基本功能和部分常用的高级功能。后续您可以登录H3C官网,访问“文档中心”或“知了社区”获取更多的产品知识。
图6-1 文档中心二维码
产品资料的具体获取方法请参考图6-2。