- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath工控防火墙系统
用户FAQ
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
2.2 管理pc可以访问Web页面,无法ping通防火墙管理口?
3.3 接口配置没有配置网关的地方,只有IP地址和子网掩码?
3.7 配置HA后协商过程中,网络为什么会中断10s左右?···
3.9 主备模式的HA,双机均配置抢占模式,有什么注意事项?
3.19 L2TP over IPSec PPP认证与PC端设置对应关系?
3.21 系统升级老版本过程中可以点击取消吗?升级过程意外中断怎么办?
3.24 防火墙做路由模式、透明模式、旁路模式,DNS中继功能是否可用?
3.27 路由组网配置防火墙接口聚合的平衡模式,与交换机接口聚合与交换机接口聚合的平衡模式,数据流只走一个成员口转发?
3.28 工控防火墙链路聚合模式跟交换机的链路聚合模式如何匹配?
3.29 工控防火墙和交换机之间做链路聚合,交换机将聚合口配置为trunk接口,网络不通?
本文档介绍工控防火墙产品的用户常见问题及解答。
支持双机热备。
只有F3000-CN-G支持万兆口插入千兆光模块后可以千兆自适应。其他型号不支持千兆自适应。
(1) 请确认浏览器输入的格式为:https://url-address:10443。
(2) 请确认连接工控防火墙的PC与防火墙管理地址可达。
防火墙管理口(MGMT)默认不开启Ping服务,只开启https服务。需要通过web登录后在“网络设置-接口配置-物理接口”中开启管理口的Ping服务后,才能ping通。
在web页面中,首页-系统信息板块进行查看。
(1) 请使用admin用户登录Web页面,确认“系统-系统设置-安全设置”页面的是否启用了ssh服务。
(2) 请确认连接ssh端口为10022。
升级系统和规则库操作相同,使用admin用户登录Web页面,在“系统-系统设置-系统升级”页面进行升级。
(1) 使用ssh(端口10022)或串口登录设备,fwadmin用户登录,密码为fwadmin。
(2) 登录成功后,用 passwd命令进行管理员密码重置。
授权文件的是有生效起止时间的且精确到小时(开始时间为提交授权申请的时间),故如果设备系统时间不准确,授权是会提示“授权逾期”,出现此问题使用 fwadmin 用户将系统时间调整为准确时间,重新导入授权即可。
(1) 串口进入到防火墙CLI页面,通过命令date查看系统时间是否正确,如果不正确,使用date –s命令进行系统时间的临时修改,修改完成后重新导入授权文件。
(2) 导入授权文件后,使用admin账户登录防火墙WEB,在“系统”>“系统设置”>“时间设置”中进行时间的设置并点击“确认”。
(1) 拔插扩展卡会对网卡进行重新命名,需要重启两次才能生效。
· 支持路由模式、透明模式、混合模式、旁路模式。
防火墙默认是全阻断模式,需要添加一条允许的策略。
默认网关在“网络设置-路由-静态路由”配置里面。
支持40多种常用的工控通信协议和TCP/IP协议,如:IEC104、DNP3、OPC UA、OPC DA、S7Comm、S7Comm PLus、Modbus、Profinet、CIP、Profinet、Bacnet、IEC61850MMS、TRDP、FF、FINS、TRDP、RSSP1、EGD、MQTT、HartIP、Gryphon、Caneth、RTPS、Lontalk、KNXNetIP、CoAP、PTP、Fox、PCWorx、EPA、Crimson3、ProConOs、MELSECQ、C37118、ADS、DLMS、DDP、SinecH1、RTSP、DoIP、AMQP。
(1) 在应用防护或工控防护模块创建模板。
(2) 在“策略-防火墙策略”页面对监控范围进行设置,在页面下方防护安全设置中选择配置的防护模板。
(1) IP白名单
(2) IP黑名单
(3) IP/MAC绑定
(4) 防火墙的五元组策略
(5) 防护功能
配置HA后,服务需要要进行重启、初始化服务、以及HA的协商需要10s左右,在这个协商过程中网络是不通的。
不能。HA主备单机运行是通过隐藏了业务口的ip以及关闭业务口的转发来实现的,所以不能实现业务口路由转发到管理口。可以通过直连管理口或者配置基于管理口的带外管理路由对备机进行访问。
配置完成后,需要先启用预想主机的HA,再启用预想备机的HA。
Ubuntu系统自身机制,插拔网线会引起所在网卡的重启,此时网络会受到影响,可通过重启设备解决。
(1) 事件告警设置,建议选择重要的攻击防护事件进行外发,以免外发量过大导致系统资源被大量占用,推荐如下:
(2) 事件告警设置,勾选syslog告警后需要开启syslog服务并配置网络可达的syslog服务器
不可以,比如路由模式,再修改桥接模式,必须重新启动HA重新协商。
不可以,准备通过隐藏了业务口的ip以及关闭业务口的转发来实现的,备机配置网络会导致重新下发备机的网络配置,会导致双通脑裂的问题。
成环的原因是还没有配置HA的时候双桥启动导致网络成环,解决方式可以主备接好心跳线以后,只插主机的业务口,等主备协商好后再插备机业务口,来避免成环。
不支持,防火墙是清除了桥子接口的ip地址,链路检测无效,配置需谨慎,避免意外切换。
可以,网口被VPN引用时如果网口IP地址发生了变化,应用该网口的VPN默认自定更新配置为:该网口的第一个IP地址(IPv4)。
VPN地址池起始地址与终止地址范围,以起始地址为准,在起始地址掩码16位以内。
根据所选的地址池范围而定,L2TP over IPSec虚拟网关填写范围为所选地址池起始地址掩码16位以内且不在地址池起始地址和终止地址之间。
配置对应关系应遵循以下规则:
(1) 按需型:当本段需要向对端发送IPSec报文时,如果当前距离最后一次收到对端IPSec报文的时长超过DPD空闲时间(检测时间间隔),则触发DPD检测,本端主动向对端发送DPD请求报文。
(2) 周期型:如果当前距离最后一次收到对端IPSec报文的时长已超过DPD空闲时间(检测时间间隔)
本端在DPD报文的重传时间间隔内未收到对端发送的DPD回应报文,则重传DPD请求报文。
(1) 若本端在DPD报文的重传时间间隔内未收到对端发送的DPD回应报文,则重传DPD请求报文,根据重传次数进行重传之后,若仍然没有收到对端的DPD回应报文,则认为对端离线,删除该IKE SA和对应的IPSec SA已关闭连接。
(1) 设备默认情况下DPD空闲时间(检测时间间隔)、DPD报文重传间隔(重传时间间隔)和重传次数分别为30秒、15秒和3次。
若IPSec两端未配置DPD报文,当隧道内无流量时,会等待SA的生命周期到期,到期前会发起硬协商,若协商未成功则拆除SA,直至下次数据流触发协商才能恢复SA。如果因为网络原因一端拆除SA,另一端没有拆除SA,会导致业务流量不通,需要等待SA生命周期老化或手工清除SA。
不可以,不能点击取消,升级过程涉及替换文件操作,且该过程不可恢复,不能在升级过程中点击取消,新版本升级页面弹框会阻止用户操作,E6501版本页面没有控制,不能点击取消。
升级过程中如果意外断电或发生了意外中断,首先确认一下页面是否能访问,如果能访问,先将配置导出后再进行恢复出厂设置,最后导入配置即可;如果上述操作不成功或导入配置后有异常,请联系技术人员。
CA服务器根证书默认密码为:123qweasdzxc。
防火墙默认有1条阻断策略,为了方便用户查看阻断策略的计数及阻断流量大小。
当有新增策略时,会添加到默认阻断策略之上,策略匹配顺序自上而下,默认阻断策略最后匹配,不会影响链路正常策略的使用。
1. DNS中继是DNS的一个代理,路由模式和透明桥都可以使用,若为透明模式,需要为网桥配置地址,保证业务正常通信;
2. 旁路模式没有地址,无法进行dns服务转发,因此无法使用DNS中继。
1. 系统日志:CPU、内存、磁盘级别为告警类;其他为信息类,该级别用户不可配置。
2. 操作日志:默认信息、告警,且用户不可配置。
3. 安全日志:默认为高级,且用户不可配置。
4. NAT日志: 无默认值,用户进行配置。
5. 扫描日志:无级别,用户不可配置。
6. 工控日志:默认级别为高级。用户可配置。
7. 应用防护日志:内置规则,默认级别(具体规则级别),用户不可配置;自定义规则无默认级别,用户可以配置。
8. IP黑名单日志:默认级别高,用户可配。
9. IP/MAC绑定日志:默认级别高,用户可配。
10. DOS防护日志:默认级别高,用户可配。
11.病毒防护日志:默认级别高,用户可配。
Web 页面标准分辨率为1920*1080 ,浏览器缩放±20%。
交换机和防火墙使用聚合组网,交换机聚合模式配置为静态,负载分担算法使用默认的l2+l3。防火墙配置平衡模式,负载分担算法默认使用l2+l3。
根据负载分担的算法特性:如果数据包不是IP类型,则根据源和目的MAC做哈希计算出数据包从那个接口转发、如果数据包是IP类型,则根据源IP和目的IP做哈希计算出数据包从那个接口转发。
因此在接入网络的设备地址不发生变化的情况下,经过交换机或者防火墙之后计算出来的哈希值是固定的,所以转发接口也是固定的,导致数据流就会一直走同一个成员口转发。
工控防火墙链路聚合支持 “平衡策略” 和 “IEEE 802.3ad动态链路聚合”。
其中 “平衡策略”为手工模式、“IEEE 802.3ad动态链路聚合”为 LACP 模式。
举例:
与华为交换机配置链路聚合:
1、工控防火墙链路聚合选择 “平衡策略”模式,交互机在配置 链路聚合时不需要设置 mode 配置。
两端链路聚合配置如下:
连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:
2、工控防火墙链路聚合选择 “IEEE 802.3ad动态链路聚合”模式,交互机在配置 链路聚合时需要设置 mode 为 lacp 如下图:
两端链路聚合配置如下:
连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:
与 H3C交换机配置链路聚合:
1.工控防火墙链路聚合选择 “平衡策略”模式,
两端链路聚合配置如下:
连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:
2、工控防火墙链路聚合选择 “IEEE 802.3ad动态链路聚合”模式:
两端链路聚合配置如下:
连接成功后链路聚合接口速率为链路聚合接口添加的所有接口的速率之和。如图:
防火墙需要先将聚合口加入到对应放通的vlan中,再将对应vlan口加入到设备上下行桥口。
以下以trunk口放通vlan 1016为例,进行举例说明。
交换机配置:
防火墙配置:
先配置链路聚合口agg1
再将聚合口agg1加入到放通的vlan接口中
最后将该vlan接口加入到桥口
设备重启后,需要等待引擎完全启动后才会将接口 UP 起来。
由于系统的配置可以在同型号硬件且同版本系统之间进行相互导入,为避免将保存有HA 主设备的配置导入到之前的备机上,出现两个主设备使网络瘫痪的问题出现,故在升级、配置导入导出是不对 HA 配置进行保留。
由于不同型号的硬件设备间网口数量可能存在差异,故不支持跨型号导入设备配置。仅支持同型号同版本之间进行配置导入。
先根据策略中 源接口、源地址、目的地址、时间、服务、源MAC 命中数据包后,如果策略动作是阻断,就不会在往下规则的进行匹配,如果策略动作是放行,数据包依次经过工控规则、DDOS规则、入侵规则、病毒规则,其中一但触发到阻断规则,就不会在往下进行匹配。
当前工控协议仅支持标准端口解析,暂不支持非标端口的深度解析。
首先扩展卡不支持热插拔,只能在关机状态下插拔,重启设备时会重启两次。因为插拔扩展卡会对网卡进行重新命名,需要重启才能生效。
应用流量统计时,以 ip统计最多统计4000条再进行排行;以 ip+appid进行统计最多统计8000条再进行排;以 appid进行统计最多统计2000条再进行排行。超过此限制不统计到排行中展示。
工控防火墙默认DEAD间隔为60s,交换机默认DEAD间隔40s,请手动修改工控防火墙或交换机的DEAD间隔时间,保证两端参数配置一致。
F3000-CN-G型号后台命令行显示系统盘大小7GB为总的容量。一部分为系统预留安装软件使用的容量,另一部分为软件能使用的容量即WEB界面显示的系统盘5.94G。
支持
