H3CSecPath系列防火墙维护指导书V2.0

《H3CSecPath系列防火墙维护指导书V2.0》由会员分享，可在线阅读，更多相关《H3CSecPath系列防火墙维护指导书V2.0（43页珍藏版）》请在装配图网上搜索。

1、H3C SecPath系列防火墙维护指导书（V2.0）杭州华三通信技术有限公司修订记录Revision Records日期Date修订版本Revision描述Description作者Author2009-03-11V1.0初稿赵彪2009-04-10V2.0统一格式安全产品技术支持组目 录1.日常维护建议总则71.1.日常维护建议71.2.维护记录表格和维护操作指导书的使用说明82.安装操作指导93.维护操作指导103.1.H3C SecPath防火墙设备现场巡检103.2.设备日常维护操作指导113.3.设备季度维护操作指导123.4.H3C设备年度维护操作指导124.入门维护134.1.

2、基本概念134.2.产品FAQ195.常见故障处理255.1.SecPath防火墙故障诊断流程255.2.H3C SecPath防火墙系统维护255.3.SecPath防火墙连通性275.4.Nat故障处理285.5.攻击防范故障处理296.常见问题及FAQ306.1.Nat专题篇FAQ306.2.攻击防范篇FAQ316.3.高可靠性篇FAQ336.4.运行模式篇FAQ347.附录377.1.维护记录表格377.2.H3C公司资源和求助途径43H3C SecPath系列防火墙维护指导书关键词：SecPath防火墙、维护指导、常见问题、摘 要：此文档用于指导日常维护H3C 防火墙产品及解决常见故

3、障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath系列防火墙设备进行健康性检查的相关事项。适用对象：本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。缩略语清单： 缩略语英文全名中文解释ASPFApplication Specific Packet Filter状态的报文过滤NATNetwork Address Translation网络地址转换HAHigh Ability高可靠性DDOSDistributed Denial of Service分布式拒绝服务攻击QOSQuality of Service服务质量OAAOpen Applic

4、ation Architecture开放应用架构产品简介伴随着因特网的蓬勃发展，网络协议的开发性注定了给入侵者留下了众多的入侵机会，安全的网络也跟着提升到一个全新的高度。安全的，即是私有的，在internet日益发达的年代，在公用网络上构建安全、可靠、能够满足特定业务QoS需求的私有专用网络，已经成为一种潮流，即可以利用internet的普及互连，经济，又可以构建一个与internet完全隔离的网络，满足金融行业信息保密的要求。H3C SecPath系列防火墙设备是华三公司面向企业用户开发的新一代专业安全网关设备，既可以作为中小型企业的核心安全网关，也可以作为大中型企业的汇聚及接入网关设备。H

5、3C SecPath防火墙是业界功能最全面、扩展性最好的防火墙产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。主要功能如下：扩展性最强 基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。强大的攻击防范能力 能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、

6、MAC绑定、内容过滤等先进功能。集中管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。应用层内容过滤 可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。丰富的VPN特性 集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。全面NAT应用支持 提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿

7、越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。全面的认证服务 支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。增强型状态安全过滤 支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。1. 日常维护建议总则1.1. 日常维护建议尊敬的用户：感谢您使用H3C公司的S

8、ecPath系列防火墙产品。系统正常、稳定地运行是我们共同的愿望，为了我们共同的目标，请您重视以下建议并参照日常维护建议进行必要的日常维护。1、 H3C SecPath系列防火墙产品关系涉及网络安全技术、Windows系列操作系统，及相关第三方厂家设备，所以应安排受过专业培训的人员进行日常维护。2、 注意保持机房整洁，防尘防潮，防止虫鼠进入。3、 参照H3C SecPath防火墙日常维护指导及常见故障处理中的内容对设备进行例行检查和测试，并记录检查结果。4、 用于系统管理、设备维护和业务操作的用户名和密码应该严格管理，定期更改，并只向特定的相关人员发放。5、 严禁在设备维护终端主机上安装与业务

9、无关的软件，严禁在设备维护终端主机上运行与业务无关的应用。维护终端主机应该定期查杀计算机病毒。6、 遇有不明原因告警或故障，请迅速与代理商工程师或H3C公司服务热线联系（400-810-0504/800-810-0504）。7、 调整线缆必须慎重，并在调整前作好标记，以防误操作。8、 对设备硬件进行相关操作时应注意戴好防静电手腕。9、 对设备进行复位操作、配置参数改动前应做好配置信息备份工作。10、 在对设备版本进行升级前，应全面备份设备配置信息，并记录当前版本号。1.2. 维护记录表格和维护操作指导书的使用说明1. H3C SecPath防火墙设备日常维护值班日志由机房维护人员填写，每日填写

10、一张表格，说明值班期间机房环境、设备运行情况等。用户可根据本局点具体情况以及第三方设备情况对H3C SecPath防火墙设备日常维护值班日志表格内容进行修改，并将表格制作成值班日志手册，将H3C SecPath防火墙系统日常维护指导的内容附加在值班日志手册的后面。2. H3C SecPath防火墙设备季度维护记录表是对H3C SecPath防火墙设备进行季度维护时维护内容的记录，每季度维护的方法可参考H3C SecPath防火墙设备季度维护操作指导。3. 突发问题处理记录表是对H3C SecPath防火墙设备突发问题及相应处理措施所作的记录，作为以后进行维修或查看问题记录的依据。用户可根据本局

11、具体情况对突发问题处理记录表的内容进行修改，并制作H3C SecPath防火墙设备日常突发问题处理记录手册。4. 硬件更换记录表是设备整机或插在其上部件的更换记录。5. 数据修改记录表是H3C SecPath防火墙设备配置信息修改的记录表格具体内容请参考本文档最后附表。2. 安装操作指导H3C SecPath防火墙产品涉及多种软硬件知识，请严格遵循下列安装要求：1、 设备开箱验货完成后，开始设备的安装和基本调试。2、 进行设备初始化配置，验证设备状态是否正常。3、 协调准备设备安装条件及环境，确定设备已升级到目前最新版本或指定统一版本（建议）。4、 依据工程设计方案进行设备安装，按照规范要求连

12、接电源和接地，并保证连接稳定可靠、不易被非维护人员触碰。5、 按照设计的网络拓扑进行网络线路连接，保证线路质量和走线方式符合要求，并注意网络线缆连接的可靠性。6、 检查SecPath防火墙的配置，参考配置模板逐项满足客户需求。7、 按照客户需求逐项进行检查各需检查功能是否生效，各需检查功能主要包括基本上网、LAN口连接、基本网管、访问策略、攻击防范等。8、 根据开局设计的网络建设方案，就基本维护方面的内容向客户使用维护人员说明。3. 维护操作指导H3C SecPath防火墙产品在使用维护过程中需要关注许多方面，并以负责任的态度履行注意事项:（1） 保证设备按照要求进行可靠接地。（2） 维护人员

13、做好防静电措施。（3） 及时修改安全策略保证访问安全。（4） 保证网络线缆连接正常，以免影响网络稳定性。（5） 室外特殊环境下注意工程规范性和安全性要求。H3C SecPath防火墙设备运维日常的维护工作内容主要有定期巡检、故障处理、投诉处理、策略优化、通信保障等。定期巡检:定期对所有站点进行一次现场巡检，对巡检时发现的问题现场进行处理并登记。故障处理:主要通过网管系统发现故障并根据故障性质进行处理。用户投诉:用户投诉要求在接到投诉后一定时限内赶到现场进行处理，处理结束后要求回访客户进行故障恢复确认。策略优化:针对客户投诉、会议保障以及站点性质变化所作的较大的网络调整和安全策略优化。通讯保障:

14、当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。下面对于日常维护及巡检内容进行简单说明：3.1. H3C SecPath防火墙设备现场巡检现场巡检人员需定期（建议每季度）对全区所有的设备实施一次巡检。为了保证网络的稳定性，对于招标选型新入网设备推荐每个月实施一次巡检，持续3个月。（1） 设备供电、接地情况；H3C SecPath防火墙如果安置在人流过往较多的地方，电源线、接地线容易被牵扯，因此每次巡检时应当检查电源线、接地线是否牢固，并检查电源线、接地线布线是否合理，尽量做到不易被人接触。（2） 查看H3C SecPath防火墙设备各指示灯状态：结合指示灯状态和客户感受判断设备运转情

15、况，指示灯通常为绿色常亮或均匀闪烁，具体指示灯含义请参考本文档最后附表，如有异常情况，可以进一步进行排查并登录到设备收集诊断信息。（3） 检查H3C SecPath防火墙产品版本可以通过display version查看当前版本，如果版本低于H3C SecPath防火墙最新发布版本，建议升级到H3C SecPath防火墙最新发布版本。3.2. 设备日常维护操作指导维护类别维护项目操作指导参考标准设备运行环境电源查看电源监控系统或测试电源输出电压电压输出正常，无异常告警温度（正常040）测试温度温度范围：0-40；建议为15-25湿度（正常590）测试相对湿度相对湿度：5%-90%（无冷凝）机房

16、清洁度（灰尘含量）检查空气中灰尘的含量见附表1其他状况（火警、烟尘）查看消防控制系统告警状态消防控制系统无告警，若无条件则以肉眼判断为准设备运行状态电源指示灯状态查看电源指示灯状态电源指示灯显示正常系统指示灯状态查看系统指示灯状态系统指示灯显示正常CF指示灯状态查看CF指示灯状态CF指示灯显示正常电源线连接情况检查电源线连接是否安全可靠。(1) 各连接处安全、可靠。(2) 线缆无腐蚀、无老化。线缆连接情况检查线缆连接是否安全可靠。(1) 各连接处安全、可靠。(2) 线缆无腐蚀、无老化。其他线缆连接情况检查其他线缆连接是否安全可靠。(1) 各连接处安全、可靠。(2) 线缆无腐蚀、无老化。设备配置

17、检查系统登录检查是否可以登录设备系统可正常通过Telnet、Console、Web等方式登录。系统时间及运行状态信息检查系统时间及运行状态系统时间设定正常，运行状态信息显示正常业务配置管理信息检查系统业务配置管理信息系统各功能项配置正常，符合网络安全规划设计要求系统日志信息检查系统日志信息日志中无异常告警记录。攻击日志信息检查攻击日志信息对攻击日志进行分析3.3. 设备季度维护操作指导维护类别维护项目操作指导参考标准设备维护设备机柜状态检查安装设备的机柜安放是否平稳、安装是否牢靠设备机柜放置水平、稳定，无晃动。固定牢靠设备安装状态检查设备在机柜中的状态设备在机柜中安装平稳、牢靠，无松动设备散热

18、状态检查设备散热状态设备周围通风良好，无杂物堆积，设备无过热现象设备清洁状态检查设备清洁状态设备无明显附着灰尘，外壳及各接口无腐蚀，工作台或机柜干净整洁季度维护检查系统时钟登录到系统管理页面，检查系统时钟信息显示时间和当前准确时间的误差不超过5秒网络连通性测试在设备维护终端主机上ping 各网段服务器或主机在设备维护终端主机上，通过ping测试，各服务器与主机等节点的连通性正常检查与更新系统版本查看系统当前版本信息。通过登录H3C网站检查下载并更新设备至最新版本若设备运行异常，可尝试将设备版本升级至最新版本。检查机柜清洁状态检查机柜清洁状态机柜无明显附着灰尘污渍，外壳及各连接处无腐蚀现象，机柜

19、内部干净整洁检查值班电话状态检查值班电话拨入、拨出情况(1)值班电话可顺利拨入(2)值班电话可顺利拨出(3)话机工作正常3.4. H3C设备年度维护操作指导维护类别维护项目操作指导参考标准接地线、地阻、业务线缆连接检查接地线检查检查接地线连接是否安全可靠(1) 各连接处安全、可靠、无腐蚀(2) 接地线无老化(3) 地线排无腐蚀，防腐蚀处理得当地阻检查使用地阻仪测试地阻地阻值应小于1欧姆业务线缆连接检查业务线缆是否与设备及配线架可靠连接(1) 各连接处安全、可靠无腐蚀。(2) 线缆无老化。业务线缆布放检查业务线缆布放标识清晰。(1) 业务线缆布线整齐。(2) 业务线缆标识清晰，容易识别。电源检查

20、UPS电源检查检查UPS的输出电压是否稳定；市电中断之后UPS是否继续稳定供电(1) UPS的输出电压稳定(2) 市电中断之后UPS的继续稳定供电4. 入门维护4.1. 基本概念4.1.1. 从路由器到防火墙快速入门从网络位置上，防火墙的位置是在接入层，即介于外网和内网之间。因此，它的路由功能相对较弱，也不推荐大家配置较多的路由条目和启动动态路由协议。这是由防火墙的功能决定的。因为防火墙主要的作用是为了防范外网对内网的攻击。它的位置同样决定了它必须有强大的报文转发能力。从概念上，防火墙与路由器的区别主要有两个，一是防火墙有安全域的概念，二是防火墙能进行除了ACL过滤的其它攻击防范。它能提供黑名

21、单、攻击防范、内容过滤、流量统计等路由器没有的功能。具体功能可参见产品规格。在配置上，SecPath采用COMWARE平台，有V3和V5两个版本。ComWare 3.4版本的防火墙操作命令与路由器是相同的。同时SecPath还支持WEB管理，要实现WEB管理的配置方法见后面小节的说明。V5平台的防火墙大部分功能都是Web界面完成的，命令行只提供调试功能。4.1.2. SecPath中低端防火墙（V3平台）数据包转发流程 SecPath软件体系架构SecPath中低端防火墙（V3平台）是在COMWARE 3.4的基础上，对VPN、防火墙特性进行增强。其由链路层、配置管理、数据转发、动态路由、系统

22、服务等部分组成。图1：SecPath防火墙软件体系结构SecPath防火墙从链路层收到报文后，进行快转表的查找，如果找到快转表则直接根据快转表进行转发；否则查找路由表，根据路由所定应的接口发送。SecPath无论是在快转流程或在普通路由转发流程中，均需要处理VPN、防火墙等功能。 IPSec VPN报文转发流程在转发数据报文时，根据所配置的规则（ACL）来决定是否需要加密，如果需要加密，则查找相应的加密参数（SA），如果没有找到，就触发IPSEC隧道的协商、建立，后续报文直接用协商出来的参数进行加密，并转发出去。对于接收到数据报文，如果是加密后的报文，则根据SPI查找响应的SA，并进行解密，然

23、后转发；如果没有找到SA则丢包。如果是非加密报文，根据所配置的规则来决定是否是需要加密的，如果是需要加密的则丢包。4.1.3. SecPath高端防火墙（V5平台）数据转发流程 SecPath高端防火墙（V5平台）基本转发流程图2：V5平台防火墙基本转发流程 SecPath高端防火墙（V5平台）报文入方向详细处理流程 图3：V5防火墙报文入方向处理流程 SecPath高端防火墙（V5平台）报文出方向详细处理流程图4：V5防火墙报文出方向处理流程4.1.4. 如何理解和正确应用ASPF？ASPF（Application Specific Packet Filter）是一种高级通信过滤。它检查应用

24、层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表。一个会话可以认为是一个TCP连接。状态表项维护了一次会话中某一时刻会话所处的状态，用于匹配后续的发送报文，并检测会话状态的转换是否正确。状态表在检测到第一个外发报文时创建（对于TCP，检测到SYN报文）。临时访问控制表项在创建状态表项的时候同时创建，会话结束后删除，相当于一个扩展ACL

25、的permit项。它用于匹配一个会话中的所有应答报文。对于处于半开连接状态的会话（TCP SYN），还创建半开连接表项。如图7所示：图5：ASPF协议工作原理在应用时应注意：V3平台防火墙ASPF的应用是基于接口的，因此在应用时应确保ASPF所检测的协议发起方向和数据回包都是经过应用ASPF的接口的。特别是当防火墙有双出口时应注意此问题。4.1.5. 防火墙的域（zone）是什么意思？ 区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0100的数字来表示，数字越大表示安全级别越

26、高。V3平台：安全域不存在两个具有相同安全级别的区域。中低端防火墙缺省有Trust、Untrust、DMZ、local 4个安全域，同时还可以自定义12个区域。SecPathfirewall zone ? DMZ DMZ security zone local Local security zone name Specify a new security zone name and create it Trust Trust security zone Untrust Untrust security zone V5平台：安全域可以允许两个相同安全级别的区域，缺省有Trust、Untrust、

27、DMZ、local和Management5个安全域，同时可以自定义256个区域，并且只能在Web页面进行配置。一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。4.1.6. 什么是虚拟防火墙？虚拟设备是一个逻辑概念，一台防火墙设备可以逻辑上划分为多个部分，每一个部

28、分可以作为一台单独的防火墙（虚拟设备）。每个虚拟设备之间相互独立，业务单独控制，一般情况下不允许相互通信，这就是所谓的“虚拟防火墙”。由于虚拟防火墙配置复杂，一般不推荐配置。4.1.7. 什么是数据流？所谓流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组 + ICMP type + ICMP code唯一标识RAW IP流：不属于上述协议的，通过三元组标识4.1.8. SecPath防火墙中会话是什么意思？所谓会话（Session），以一个双向的概念，

29、一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。对于TCP/UDP/ICMP/RAW IP流，首包进入防火墙时开始创建会话，后续相同的流或者返回报文可以匹配该会话。以TCP 三次握手为例：图6：会话建立过程如0Trust区域的192.168.0.2:1564访问Untrust区域的202.0.0.2的23端口，首包syn报文开始创建一个双向会话（192.168.0.2:1564202.0.0.2:23），后续SYN_ACK和ACK报文都匹配到此会话后，完整的会话创建完

30、成。后续数据流如果匹配到此会话则放行通过。4.2. 产品FAQ4.2.1. SecPath系列防火墙采用什么软件平台？SecPath系列防火墙采用自主研发的ComWare软件平台，有V3和V5两个版本。4.2.2. SecPath系列防火墙有哪几款产品？V3平台：SecPath F100-C/F100-S/F100-M/F100-A-SI/F100-A/F100-E/F1000-C/F1000-S/F1000-A，以及Secblade FW（1代FW插卡，插在S65/85交换机上）；共九款，其中1代Secblade FW插卡已停产。V5平台：SecPath F1000-E/F5000-A和Se

31、cblade FW（二代），供三款，其中2代Secblade FW插卡可以插在S75E/S95/S95E系列交换机和SR66/SR88系列路由器上。V3平台防火墙通常叫做中低端防火墙，V5平台防火墙通常叫做高端核心防火墙。4.2.3. SecPath系列防火墙采用什么硬件架构？V3平台防火墙采用CPU架构，SecPath F1000-E和Secblade FW（2代）插卡采用多核（8核，每核4线程）架构，SecPath F5000A采用多核+FPGA硬件架构，可以看出V5平台的防火墙性能非常强大。4.2.4. SecPath系列防火墙命名中的S、M等代表什么意思？C 表示Compact，定位为

32、该档次的精简型产品，强调性价比，物料在成本上有优势，并且在功能特性方面有所裁减。S 表示Standard，定位为该档次的标准型产品，具有该档次的完整功能。强调性价比，物料在成本上有优势。M 表示Middle，定位为该档次的中间型产品，具有该档次的完整功能，同时在硬件规格、性能指标方面优于标准型产品。A 表示Advanced, 定位为该档次的高级型产品，具有该档次的完整功能，并提供高级特性。同时硬件规格、性能指标方面优于中间型产品。E 表示Enhanced，定位为该档次的增强型产品，具有该档次的完整功能，并提供高级特性。同时硬件规格、性能指标方面优于高级型产品。4.2.5. SecPath系列防

33、火墙命名中的C、S、M等型号产品的性能关系如何？以SecPath F100系列防火墙为例，性能从低到高依次为：CSMAE。4.2.6. SecPath系列V3平台防火墙有几个扩展槽位？SecPath系列V3平台中低端防火墙（除F100-C/S没有槽位外）都有两个槽位，实际上只有底下的槽位可用，即只有1个扩展槽位，其中F1000-C/S除外，这两款产品有2个扩展槽位。4.2.7. SecPath系列防火墙中inbound和outbound的含义是什么呢？SecPath中低端防火墙（V3平台）的ACL规则和路由器一样，是应用在接口上的，inbound指从接口进入防火墙的方向，outbound是从防

34、火墙出接口出去的方向。这点是与V5平台防火墙是不同的。SecPath F1000-E/F5000-A和Secblade FW插卡的ACL（面向对象的acl）是应用在域间的，inbound是指从低安全级别的域进入高安全级别域的流量，如从Untrust进入Trust，outbound的方向与此相反。4.2.8. 由于SecPath高端防火墙（V5平台）的区域只能在Web界面配置，那么缺省如何进行配置管理？由于V5平台防火墙命令不能配置区域，缺省情况下，F1000-E防火墙的G0/0口已经加入到了Management域，缺省管理IP地址是192.168.0.1，登录账号口令都是h3c。在登录到Web

35、页面后，不能把当前的接口从安全域中删除，否则导致不能管理防火墙。 4.2.9. SecPath F100-C/F100-A等防火墙上的WAN口和LAN口必须分别接公网和内网吗？不必须但是推荐这样使用。4.2.10. SecPath F100-C有4个LAN、1个WAN口，为何display ip interface brief却只显示有eth1/0和eth2/0两个接口？SecPath F100-C防火墙4个LAN是一交换模块。不能单独配置IP地址，他们的接口地址统一在eth1/0（共用一个MAC地址）上配置。4.2.11. SecPath F100-A防火墙的四个LAN口为什么只能配一个IP

36、地址？SecPath F100-A的四个LAN口是一个交换口，所以只能配置一个IP地址。在3.4-0006及以后的版本中，通过软件方式将4 个交换LAN 接口改为4 个独立的以太网接口（Ethernet 0/0Ethernet0/3）。如果要改回原来的方式，需要在全局下配置insulate命令即可。4.2.12. SecPath防火墙中Session怎么查看？V3平台有三个Session模块，分别是ASPF Session、NAT Session和FW Session，可以通过命令display aspf session、display NAT session和display firewall

37、 session table进行查看。V5平台的防火墙将三个会话模块合在了一起，即共用一个Session模块，命令行下通过display session table进行查看，也可以通过web页面直观查看。4.2.13. 在BootRom模式下TFTP升级ComWare版本时，为什么从有些接口上下载不了版本？ SecPath系列防火墙在bootrom下TFTP升级版本时，有一个默认的eth0口用于下载，该接口是不能更改的。各系列产品所对应于eth0的接口如下：SecPath F1000-C/F1000-S/F1000-A： G0/0SecPath F100-A: WAN2SecPath F100

38、-C： WANSecPath F1000-E： G0/0Secblade插卡系列： G0/24.2.14. 为何SecPath中低端防火墙（V3平台）的系统文件无法删除？由于SecPath中低端防火墙flash空间比较小，只能存放一个系统文件，如果被恶意删除，设备重启后将无法正常启动。基于这个原因，研发做了删除保护。如果想升级版本，只能使用一个同样名称的系统文件将flash中的系统文件进行替换。4.2.15. ComWare系统文件损坏了怎么办？进入boot菜单时CTRL+F格式化FLASH，通过bootrom方式升级。4.2.16. SecPath防火墙如何恢复出厂设置？V3平台防火墙在命令

39、行用户模式下：reset sa；V5平台防火墙在命令用户模式下delete删除system.xml和config.cfg两个文件。4.2.17. 为何SecPath F1000-E防火墙在命令行保存配置文件后，重启后发现配置未保存成功？SecPath F1000-E配置文件有两个：system.xml和config.cfg，在命令行保存的是config.cfg文件，导致Web页面的配置未保存。SecPath F1000-E只有通过Web方式保存配置时会同时保存这两个文件。4.2.18. 为什么SecPath F1000-E防火墙Combo口插上光纤后接口不UP？SecPath F1000-E防

40、火墙Combo口缺省启用的copper（电口）模式，如果使用光纤，需要将接口类型修改为fiber模式。4.2.19. SecPath F1000-A/F1000-S防火墙Combo口同时接插双绞线和光纤时，哪个接口优先使用？SecPath F1000-A/F1000-S防火墙Combo口的fiber与copper不能随意选择，fiber优先，即插入光模块后启用fiber口，copper口失效。4.2.20. SecPath防火墙哪些系列型号支持SSL VPN功能？要实现SSL VPN功能，必须为防火墙配外置SSL加密卡，即只要有扩展槽的V3平台防火墙都支持。目前V5平台防火墙暂不支持SSL V

41、PN功能。4.2.21. SecPath F1000-E防火墙上的USB接口做什么用的？目前没有用，预留后期开发使用。4.2.22. SecPath防火墙域间有相应的缺省规则吗？为什么我设置 firewall packet-filter default deny域间还是能够访问？V3平台：缺省情况下包过滤的缺省规则为deny，即缺省情况下，所有的接口都是不通的，需要配置firewall packet-filter default permit才能访问。因为V3平台安全策略是基于接口的，如果即使包过滤缺省规则为Permit，则所有的区域都是互通的。V5平台：由于防火墙策略是基于域间的，根据防火墙

42、特性，缺省情况下，高优先级的区域可以访问低优先级的区域，如果低优先级的区域想访问高优先级的区域，则需要在Web界面配置域间规则。此外注意，任何区域都可以访问Local区域（优先级为100）。5. 常见故障处理5.1. SecPath防火墙故障诊断流程步骤1：检查物理链路状态 步骤2：检查防火墙的缺省动作是拦截还是放行 步骤3：检查接口是否加入正确的域 步骤4：检查ARP表项是否正确 步骤5：检查ACL规则的匹配情况 步骤6：检查NAT表项是否正确 步骤7：检查ASPF是否启用，是否应用到正确的接口正确的方向 步骤8：检查域统计功能是否开启5.2. H3C SecPath防火墙系统维护5.2.1

43、. SecPath防火墙如何进行升级版本？两种升级方法：在线升级：通过TFTP、FTP将主机文件上传到flash中替换原来的版本文件，然后重启后;Bootrom菜单升级：通过XModem或TFTP方式进行版本升级。5.2.2. SecPath中低端防火墙（V3平台）如何支持WEB管理？首先，要支持Web管理，FLASH里面必须有http.zip文件。在用户试图下查看FLASH里面的文件：dir看里面有没有http.zip文件。如果没有，请升级到最新的版本。注意：如果采用系统视图下ftp方式下载VRP软件，重启后依然没有http.zip。必须手动拆离出该文件。dirDirectory of fl

44、ash:/ 0 -rw- 8691281 Jun 16 2009 06:46:36 system.bin 1 -rw- 1830 Jun 17 2009 07:47:16 config.cfg15621 KB total (7126 KB free)detach system.bin System file length 7856557 bytes, http file length 834724 bytes.dirDirectory of flash:/ 0 -rw- 8691281 Jun 16 2009 06:46:36 system.bin 1 -rw- 1830 Jun 17 200

45、9 07:47:16 config.cfg 2 -rw- 834724 Jun 18 2009 02:22:39 http.zip 如果在bootrom下TFTP升级，系统重启后将自动拆离出http.zip。有了http.zip文件之后，需要在SecPath防火墙上创建登录用户，类型telnet。如admin/admin 使用http:/x.x.x.x（SecPath防火墙以太口地址）登录即可。注意：需要提升你的权限才能访问所有内容！F3-luser-adminlev ? INTEGER Level of userF3-luser-adminlevel 3F3-luser-adminquit通

46、过Web网管不需要配置SNMP。如果通过FTP方式升级，请在升级后执行detach命令将新http.zip文件解压出来覆盖以前的http.zip。否则可能会导致WEB管理不可用。 5.2.3. 网页内容关键字过滤设置后不生效步骤1：检查ASPF是否配置为检测HTTP； 步骤2：检查ASPF是否应用到接口或者域间； 步骤3：通过display firewall web-filter 查看过滤记录。注意事项：配置网页过滤及邮件过滤时，必须打开ASPF检测功能。5.3. SecPath防火墙连通性5.3.1. 防火墙接口配置IP地址后，ping不通分析诊断：ping不通存在如下可能，请按照下面逐一检

47、查： 步骤1：确保防火墙物理链路up状态； 步骤2：确保物理接口加入区域中的一个； 步骤3：检查防火墙的缺省规则及ACL规则； 步骤4： 检查ARP表项中是否存在对端设备的MAC地址； 步骤5： 通过debug命令查看ICMP报文的收发情况。5.3.2. V3平台防火墙透明模式设置为透明模式，防火墙两边的路由器不能建立OSPF邻居关系步骤1：检查是否开启对unknown-mac的泛洪或者广播功能。步骤2：通过ping检查两端的物理链路是否通畅。步骤3：检查两端hello报文部分的区域号、网络号、hello间隔时间和死亡时间等参数是否一致。步骤4：其他部分请参考OSPF协议的调试部分内容。5.4

48、. Nat故障处理5.4.1. 公网口做了FTP或HTTP的NAT Server但不生效，如何检查网络的连通性?步骤1：检查接口下Nat配置是否正确；interface Ethernet1/0 ip address 202.0.0.1 255.255.255.0 nat server protocol tcp global 202.0.0.10 ftp inside 192.0.0.10 ftp nat server protocol tcp global 202.0.0.10 www inside 192.0.0.10 www步骤2：检查接口是否加入区域；步骤3：这时候，从外网ping 20

49、2.0.0.10是ping不通的，需要增加ICMP从外网到内网的映射：nat server protocol icmp global 202.0.0.10 inside 192.0.0.10这时从外网口就能ping通202.0.10的地址了。5.4.2. 服务器放在DMZ区域，在外网口作了NAT Server后，Trust区域的用户如何通过服务器私网地址和映射出去的公网访问服务器？ 目前还不支持Trust区域用户同时通过公网和私网地址访问DMZ区域的服务器。如果只在外网口作了NAT SERVER，则Trust区域用户只能通过服务器的私网地址访问。如果想让Trust区域的用户通过公网IP访问，则

50、只需要在加入Trust区域的接口上作和外网口一样的NAT Server的设置，但这时Trust区域的用户就不能通过私网地址访问服务器了。5.4.3. 服务器放在DMZ区域，在外网口作了NAT Server后，DMZ区域的用户如何通过服务器私网地址和映射出去的公网访问服务器？与5.4.2不一样，这个需求非常多，用户和服务器在同一个接口下，内网用户如何通过公网地址和私网地址同时访问服务器？首先内网用户可以直接通过私网地址访问服务器，如果内网用户想通过公网地址访问服务器，需要在防火墙内联口上配置外网口同样的Nat Server外，还需要配置Nat Outbound（对源为内网用户目的去往内部服务器的

51、数据流）策略。5.5. 攻击防范故障处理5.5.1. 配置端口扫描和地址扫描攻击防范及动态黑名单后在防火墙上看不到攻击日志，同时没有把扫描源地址动态加入到黑名单里 步骤1：检查扫描工具的扫描速度是否超过配置文件文件设置的每秒的max-rate值； 步骤2：检查是否启用黑名单功能； 步骤3：检查连接发起方域出方向的IP统计功能是否开启。5.5.2. SecPath防火墙双出口通过策略路由进行业务分担，但是为什么开启攻击防范后，网络不通了？SecPath防火墙做策略路由的组网与IP- Spoofing攻击防范冲突，所以在策略路由的组网中不能开启IP- Spoofing攻击防范。5.5.3. Sec

52、Path中低端防火墙（V3平台）在命令行配置Firewall defend all后，是不是攻击防范都生效了？不是，多包攻击需要开启报文统计和攻击的阀值。5.5.4. 将PC的MAC和IP地址绑定后，为何我修改了PC的IP地址，还是能够上网？IP和MAC绑定的目的是为了防止非法用户冒用绑定的IP地址，而不是防止用户自行修改自己的IP地址。当SecPath防火墙收到源为该绑定的IP地址的报文时，会对该IP的MAC地址进行检查，若该MAC地址是该绑定的MAC，则允许数据包通过，否则丢弃该包。如果绑定了IP和MAC的PC修改了自己的IP地址，由于该IP地址并非所绑定的IP地址，因此防火墙不会作MAC

53、地址检查而直接转发报文。6. 常见问题及FAQ6.1. Nat专题篇FAQ 6.1.1. NAT与NAT Server到底是用来干什么的？静态NAT呢？NAT是为了保护私网的隐蔽性，使私网用户访问外网时，在外网口将私网地址转换为接口地址或可用的外网地址。而NAT Server是为了使外网用户能访问DMZ区域的私网地址服务器而在外网口进行的地址和端口映射。因此，私网地址在公网出口作了NAT以后，只能从内网主动发起到外网的访问，而不能从外网主动发起到内网的访问，这样起到了保护私网的目的。作了NAT Server后，外网能通过映射出去的公网地址和端口发起到服务器的访问。而静态NAT，不仅能使从内网主

54、动发起到外网的访问，而且外网也能通过该静态映射的公网IP访问内网。 6.1.2. 为什么我更改NAT转换后的地址后就访问不了外网了呢？由于防火墙的转发是基于SESSION的，如果更改了NAT的地址，但是防火墙中供以前转发的老的地址的SESSION还未老化，此时防火墙的转发就会有问题。解决的办法是：手动清除以前的session或者等以前的会话自动超时老化。 V3平台手动清除session的方法是：res firewall session tableres nat session Clearing nat session table, please wait.V5平台手动清除session的方法是

55、：reset session table6.1.3. ALG的作用是什么？如何应用？地址转换会导致许多对NAT敏感的应用协议无法正常工作，必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和（或）端口号，如果不进行特殊处理，将会严重影响后继的协议交互。地址转换应用网关（NAT Application Level Gateway，NAT ALG）是解决特殊协议穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。目前ComWare平台的NAT ALG支持PPTP、DNS、FTP、ILS、NB

56、T、SIP、H.323等协议。在SecPath防火墙上，当开启NAT功能后，系统会自动开启NAT ALG，无需手工设置。6.1.4. SecPath防火墙是否支持双向Nat？有什么注意事项？SecPath防火墙支持双向Nat功能，V3平台实现双向Nat时，需要在接口下关闭IP快转功能：undo ip fast-forwarding。6.1.5. DMZ区服务器在外网口配置Nat Server后，客户想限制某些用户访问DMZ区的服务器，那么在外网口的入方向配置包过滤，包过滤策略怎么写？外网口应用的包过滤策略规则写源为想限制的用户的地址，目的为Nat Server转换前的服务器的私网地址。6.1.

57、6. SecPath防火墙做Easy IP方式时Nat Session能够达到多少？ 我们知道一个地址最多有65535个端口，并且有很多端口是保留的。SecPath防火墙将0-12288端口保留作为Nat Server映射使用，所以Easy IP方式最多可以有65535减去12888再减去其它用途端口，大概在49000多个Nat Session。6.2. 攻击防范篇FAQ 6.2.1. SecPath防火墙支持哪些攻击防范？SecPath防火墙可以防范3/4层的攻击，可以分为单包攻击、多包攻击，多包攻击又分为扫描类和flood类的攻击。比如：Land攻击就是单包攻击，Syn-flood、Por

58、t-Scan等为多包攻击。6.2.2. SecPath防火墙攻击防范原理什么？如何进行攻击防范的？由于SecPath防火墙支持的攻击防范的种类很多，可以从H3C网上查找参考SecPath攻击防范技术白皮书一文。6.2.3. SecPath防火墙黑名单原理是什么？有几种方式？黑名单原理就是基于源IP做包过滤的一种技术。SecPath防火墙黑名单有两种：静态黑名单和动态黑名单，其中动态黑名单必须配合扫描攻击使用。6.2.4. 日志有几种类型？日志一般有两种类型：Syslog日志和二进制日志。像黑名单、攻击防范、网页过滤、邮件过滤、命令操作等都会记录日志，这些日志都是Syslog日志。二进制日志通常

59、也叫流日志，包括NetStream日志、Nat日志、Netflow日志、Nflow日志、Cflow日志等格式，流日志一般都是动态的会话（Nat会话、FW会话等），可以记录流量信息。6.2.5. 什么软件可以接收二进制日志或流日志？SecCenter A1000、Firewall Manager（SecCenter组件之一）和XLog等。6.2.6. SecPath防火墙支持二进制流日志吗？V3平台防火墙从V1R6版本（E1604版本及以后）开始支持；V5平台防火墙都支持。6.2.7. 为什么SecPath F1000-E防火墙命令行下没有攻击防范的配置命令？V5平台防火墙攻击防范必须在Web配置，命令行只提供简单配置和调试。所以大家一定要改变思维习惯。6.2.8. SecPath防火墙是否支持防病毒功能？支持，必须配置ASM防病毒插卡。其中SecPath F100-E和V5平台防火墙不支持。6.2.9. SecPath防火墙是否支持P2P防御？支持，但是可以实现对很少的P2P进行防御。但是不建议开启。