H3C防火墙配置说明书

《H3C防火墙配置说明书》由会员分享，可在线阅读，更多相关《H3C防火墙配置说明书（30页珍藏版）》请在装配图网上搜索。

1、wordH3C防火墙配置说明华三通信技术所有 侵权必究All rights reserved相关配置方法：安全要求-设备-路由器-功能-14 设备应支持路由协议OSPF/ISIS/BGP等认证,认证字以不可逆密文方式存放。待确认支持配置OSPF验证从安全性角度来考虑，为了防止路由信息外泄或者对OSPF路由器进展恶意攻击，OSPF提供报文验证功能。OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进展密码验证，只有通过验证的报文才能接收，否如此将不会接收报文，不能正常建立邻居。要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须一样

2、，同一个网段的路由器需要配置一样的接口验证模式和口令。表1-29 配置OSPF验证操作命令说明进入系统视图system-view-进入OSPF视图ospf process-id | router-idrouter-id | vpn-instancevpn-instance-name *-进入OSPF区域视图areaarea-id-配置OSPF区域的验证模式authentication-mode md5 | simple 必选缺省情况下，没有配置区域验证模式退回OSPF视图quit-退回系统视图quit-进入接口视图interfaceinterface-type interface-number

3、-配置OSPF接口的验证模式简单验证ospf authentication-mode simple cipher | plain password二者必选其一缺省情况下，接口不对OSPF报文进展验证配置OSPF接口的验证模式MD5验证ospf authentication-mode hmac-md5 | md5 key-id cipher | plain password提高IS-IS网络的安全性在安全性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。配置准备在配置IS-IS验证功能之前，需完成以下任务：配置接

4、口的网络层地址，使相邻节点网络层可达使能IS-IS功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的Hello报文进展验证密码的检查，通过检查才会形成邻居关系，否如此将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。两台路由器要形成邻居关系必须配置一样的验证方式和验证密码。表1-37 配置邻居关系验证操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-type interface-number-配置邻居关系验证方式和验证密码isis authentication-m

5、ode md5 | simple cipher password level-1 | level-2 ip | osi 必选缺省情况下，接口没有配置邻居关系验证，既不会验证收到的Hello报文，也不会把验证密码插入到Hello报文中参数level-1和level-2的支持情况和产品相关，具体请以设备的实际情况为准必须先使用isis enable命令使能该接口才能进展参数level-1和level-2的配置。如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式与验证密码。如果没有指定ip或osi参数，将检查Hello报文中OSI的相应

6、字段的配置容。配置区域验证通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息参加到本地Level-1的LSDB中。配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文LSP、CSNP、PSNP中，并对收到的Level-1报文进展验证密码的检查。同一区域的路由器必须配置一样的验证方式和验证密码。表1-38 配置区域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-instance vpn-instance-name -配置区域验证方式和验证密码area-authentication-mode md5 | sim

7、ple cipher password ip | osi 必选缺省情况下，系统没有配置区域验证，既不会验证收到的Level-1报文，也不会把验证密码插入到Level-1报文中配置路由域验证通过配置路由域验证，可以防止将不可信的路由信息注入当前路由域。配置路由域验证后，验证密码将会按照设定的方式封装到Level-2报文LSP、CSNP、PSNP中，并对收到的Level-2报文进展验证密码的检查。所有骨干层Level-2路由器必须配置一样的验证方式和验证密码。表1-39 配置路由域验证操作命令说明进入系统视图system-view-进入IS-IS视图isis process-id vpn-inst

8、ance vpn-instance-name -配置路由域验证方式和验证密码domain-authentication-mode md5 | simple cipher password ip | osi 必选缺省情况下，系统没有配置路由域验证，既不会验证收到的Level-2报文，也不会把验证密码插入到Level-2报文中配置BGP的MD5认证通过在BGP对等体上配置BGP的MD5认证，可以在以下两方面提高BGP的安全性： 为BGP建立TCP连接时进展MD5认证，只有两台路由器配置的密码一样时，才能建立TCP连接，从而防止与非法的BGP路由器建立TCP连接。传递BGP报文时，对封装BGP报文的

9、TCP报文段进展MD5运算，从而保证BGP报文不会被篡改。表1-41 配置BGP的MD5认证操作命令说明进入系统视图system-view-进入BGP视图或BGP-VPN实例视图进入BGP视图bgp as-number二者必选其一进入BGP-VPN实例视图bgp as-numberipv4-familyvpn-instancevpn-instance-name配置BGP的MD5认证peer group-name | ip-address password cipher | simple password必选缺省情况下，BGP不进展MD5认证安全要求-设备-防火墙-功能-2防火墙应具备记录VPN

10、日志功能，记录VPN访问登陆、退出等信息。待确认暂不支持安全要求-设备-防火墙-功能-5防火墙应具备日志容量告警功能，在日志数达到指定阈值时产生告警。待确认暂不支持安全要求-设备-防火墙-功能-3防火墙应具备流量日志记录功能，记录通过防火墙的网络连接。待确认支持Userlog日志设置Flow日志要生成Userlog日志，需要配置会话日志功能，详细配置请参见“1.6 会话日志。Userlog日志简介Userlog日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组源IP地址、目的IP地址、源端口、目的端口、协议号对用户访问外部网络的流进展分类统计，并生成Userlog日志。Userlo

11、g日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和安全性。Userlog日志有以下两种输出方式，用户可以根据需要使用其中一种： 以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方向。 以二进制格式封装成UDP报文输出到指定的Userlog日志主机。Userlog日志有和两个版本。两种Userlog日志的格式稍有不同，具体差异请参见表1-2和表1-3。版本Userlog日志信息字段描述SourceIP源IP地址DestIP目的IP地址SrcPortTCP/UDP源端口号DestPortTCP/U

12、DP目的端口号StartTime流起始时间，以秒为单位，从1970/1/1 0:0开始计算EndTime流完毕时间，以秒为单位，从1970/1/1 0:0开始计算ProtIP承载的协议类型Operator操作字，主要指流完毕原因Reserved保存版本Userlog日志信息字段描述ProtIP承载的协议类型Operator操作字，主要指流完毕原因IpVersionIP报文版本TosIPv4IPv4报文的Tos字段SourceIP源IP地址SratIPNAT转换后的源IP地址DestIP目的IP地址DestNatIPNAT转换后的目的IP地址SrcPortTCP/UDP源端口号SratPortN

13、AT转换后的TCP/UDP源端口号DestPortTCP/UDP目的端口号DestNatPortNAT转换后的TCP/UDP目的端口号StartTime流起始时间，以秒为单位，从1970/01/01 00:00开始计算EndTime流完毕时间，以秒为单位，从1970/01/01 00:00开始计算InTotalPkg接收的报文包数InTotalByte接收的报文字节数OutTotalPkg发出的报文包数OutTotalByte发出的报文字节数Reserved1 对于0x02版本FirewallV200R001保存 对于0x03版本FirewallV200R005第一个字节为源VPN ID，第二

14、个字节为目的VPN ID，第三、四个字节保存Reserved2保存Reserved3保存配置Userlog日志(1) 在导航栏中选择“日志管理 Userlog日志，进入如如下图所示的页面。图1-2 Userlog日志(2) 配置Userlog日志参数，的详细配置如下表所示。(3) 单击按钮完成操作。表1-4 Userlog日志的详细配置配置项说明版本设置Userlog日志的版本。包括、请根据日志接收设备的实际能力配置Userlog日志的版本，如果接收设备不支持某个版本的Userlog日志，如此无确解析收到的日志报文源IP地址设置Userlog日志报文的源IP地址指定源地址后，当设备A向设备B发

15、送Userlog日志时，就使用这个IP地址作为报文的源IP地址，而不使用报文出接口的真正地址。这样，即便A使用不同的端口向B发送报文，B也可以根据源IP地址来准确的判断该报文是否由A产生。而且该功能还简化了ACL规如此和安全策略的配置，只要将ACL规如此中定义的源地址或者目的地址参数指定为该源地址，就可以屏蔽接口IP地址的差异以与接口状态的影响，实现对Userlog日志报文的过滤建议使用Loopback接口地址作为日志报文的源IP地址日志主机配置日志主机1设置Userlog日志主机的IPv4/IPv6地址、端口号和所在的VPN实例只在指定IPv4地址的日志主机时可以显示和设置此项，以便将Use

16、rlog日志封装成UDP报文发送给指定的Userlog日志主机。日志主机可以对Userlog日志进展解析和分类显示，以达到远程监控的目的 集中式设备：最多可以指定2台不同的Userlog日志主机 分布式设备：每个单板上最多可以指定2台不同的Userlog日志主机 日志主机IPv6地址的支持情况与设备的具体型号有关，请以设备的实际情况为准 为防止与通用的UDP端口号冲突，建议使用102565535的UDP端口号日志主机2日志输出到信息中心设置将Userlog日志以系统信息的格式输出到信息中心 启用此功能时，Userlog日志将不会发往指定的Userlog日志主机 日志输出到信息中心会占用设备的存

17、储空间，因此，建议在日志量较小的情况下使用该输出方向查看Userlog日志统计信息当设置了将Userlog日志封装成UDP报文发送给指定的Userlog日志主机时，可以查看相关的统计信息，包括设备向指定日志主机发送的Userlog日志总数和包含Userlog日志的UDP报文总数，以与设备缓存中的Userlog日志总数。(1) 在导航栏中选择“日志管理 Userlog日志，进入如图1-2所示的页面。(2) 单击页面下方的“查看统计信息扩展按钮，展开如如下图所示的容，可以查看Userlog日志的统计信息。图1-3 查看Userlog日志统计信息清空Userlog日志与统计信息(1) 在导航栏中选择

18、“日志管理 Userlog日志，进入如图1-2所示的页面。(2) 单击页面下方的“查看统计信息扩展按钮，展开如图1-3所示的容。(3) 集中式设备：单击按钮，可以去除设备上的所有Userlog日志统计信息和缓存中的Userlog日志。(4) 分布式设备：单击按钮，可以去除相应单板上的所有Userlog日志统计信息和缓存中的Userlog日志。安全要求-设备-防火墙-功能-11防火墙必须具备扫描攻击检测和告警功能。并阻断后续扫描流量。扫描的检测和告警的参数应可由管理员根据实际网络情况设置。待确认支持配置扫描攻击检测 扫描攻击检测主要用于检测攻击者的探测行为，一般配置在设备连接外部网络的安全域上。

19、扫描攻击检测自动添加了黑项，如果在短时间手动删除了该黑项，如此系统不会再次添加。因为系统会把再次检测到的攻击报文认为是同一次攻击尚未完毕。(1) 在导航栏中选择“攻击防 流量异常检测 扫描攻击，进入如如下图所示页面。图1-10 扫描攻击(2) 为安全域配置扫描攻击检测，详细配置如下表所示。(3) 单击按钮完成操作。表1-6 扫描攻击检测的详细配置配置项说明安全区域设置要进展扫描攻击检测设置的安全域启动扫描攻击检测设置是否对选中的安全域启动扫描攻击检测功能扫描阈值设置扫描建立的连接速率的最大值源IP参加黑设置是否把系统发现的扫描源IP地址添加到黑中必须在“攻击防 黑中启用黑过滤功能，扫描攻击检测

20、才会将发现的扫描源IP地址添加到黑中，并对来自该IP地址的报文做丢弃处理黑持续时间设置扫描源参加黑的持续时间安全要求-设备-防火墙-功能-12防火墙必须具备关键字容过滤功能，在，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。待确认支持容过滤典型配置举例1. 组网需求如如下图所示，局域网网段的主机通过Device访问Internet。Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。 启用正文过滤功能，阻止含有“abc关键字的响应报文通过。 启用Java Applet阻断功能，仅允许IP地址为的Java Applet请求通过。 启用SMTP

21、附件名称过滤功能，阻止用户发送带有“.exe附件的。 启用FTP上传文件名过滤功能，阻止用户上传带有“system名称的文件。 启用Telnet命令字过滤功能，阻止用户键入含有“reboot关键字的命令。图1-29 容过滤配置组网图2. 配置Device(1) 配置设备各接口的IP地址和所属安全域略(2) 配置过滤条目# 配置关键字过滤条目“abc。步骤1：在导航栏中选择“应用控制 容过滤 过滤条目，默认进入“关键字页签的页面。步骤2：单击按钮。步骤3：如如下图所示，输入名称为“abc，输入关键字为“abc。步骤4：单击按钮完成操作。图1-30 配置关键字过滤条目“abc# 配置关键字过滤条目

22、“reboot。步骤1：在“关键字页签的页面单击按钮。步骤2：如如下图所示，输入名称为“reboot，输入关键字为“reboot。步骤3：单击按钮完成操作。图1-31 配置关键字过滤条目“reboot# 配置文件名过滤条目“*.exe。步骤1：单击“文件名页签。步骤2：单击按钮。步骤3：如如下图所示，输入名称为“exe，输入文件名为“*.exe。步骤4：单击按钮完成操作。图1-32 配置文件名过滤条目“*.exe# 配置文件名过滤条目“system。步骤1：在“文件名页签的页面单击按钮。步骤2：如如下图所示，输入名称为“system，输入文件名为“system。步骤3：单击按钮完成操作。图1-

23、33 配置文件名过滤条目“system(3) 配置容过滤策略# 配置不带Java Applet阻断的过滤策略。步骤1：在导航栏中选择“应用控制 容过滤 过滤策略，默认进入“策略页签的页面。步骤2：单击按钮。步骤3：进展如下配置，如如下图所示。 输入名称为“_policy1。 单击“正文过滤前的扩展按钮。 在正文过滤的可选过滤条目列表框中选中“abc关键字过滤条目，单击“按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-34 配置不带Java Applet阻断的过滤策略# 配置带Java Applet阻断的过滤策略。步骤1：在“策略页签的页面单击按钮。步骤2：进展如下配置，如如

24、下图所示。 输入名称为“_policy2。 单击“正文过滤前的扩展按钮。 在正文过滤的可选过滤条目列表框中选中“abc关键字过滤条目，单击“按钮将其添加到已选过滤条目列表框中。 选中“Java Applet阻断前的复选框。步骤3：单击按钮完成操作。图1-35 配置带Java Applet阻断的过滤策略# 配置SMTP过滤策略。步骤1：单击“SMTP策略页签。步骤2：单击按钮。步骤3：进展如下配置，如如下图所示。 输入名称为“smtp_policy。 单击“附件过滤前的扩展按钮。 在附件名称过滤的可选过滤条目列表框中选中“exe文件名过滤条目，单击“按钮将其添加到已选过滤条目列表框中。步骤3：单

25、击按钮完成操作。图1-36 配置SMTP过滤策略# 配置FTP过滤策略。步骤1：单击“FTP策略页签。步骤2：单击按钮。步骤3：进展如下配置，如如下图所示。 输入名称为“ftp_policy。 单击“上传文件名过滤前的扩展按钮。 在上传文件名过滤的可选过滤条目列表框中选中“system文件名过滤条目，单击“按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-37 配置FTP过滤策略# 配置Telnet过滤策略。步骤1：单击“Telnet策略页签。步骤2：单击按钮。步骤3：进展如下配置，如如下图所示。 输入名称为“telnet_policy。 单击“命令字过滤前的扩展按钮。 在命

26、令字过滤的可选过滤条目列表框中选中“reboot关键字过滤条目，单击“按钮将其添加到已选过滤条目列表框中。步骤4：单击按钮完成操作。图1-38 配置Telnet过滤策略(4) 配置容过滤策略模板# 配置不带Java Applet阻断的容过滤策略模板。步骤1：在导航栏中选择“应用控制 容过滤 策略模板。步骤2：单击按钮。步骤3：进展如下配置，如如下图所示。 输入名称为“template1。 选择过滤策略为“_policy1。 选择SMTP过滤策略为“smtp_policy。 选择FTP过滤策略为“ftp_policy。 选择Telnet过滤策略为“telnet_policy步骤4：单击按钮完成操

27、作。图1-39 配置不带Java Applet阻断的容过滤策略模板# 配置带Java Applet阻断的容过滤策略模板。步骤1：在策略模板页面单击按钮。步骤2：进展如下配置，如如下图所示。 输入名称为“template2。 选择过滤策略为“_policy2。 选择SMTP过滤策略为“smtp_policy。 选择FTP过滤策略为“ftp_policy。 选择Telnet过滤策略为“telnet_policy。步骤3：单击按钮完成操作。图1-40 配置带Java Applet阻断的容过滤策略模板(5) 配置引用容过滤策略模板的域间策略# 配置Trust安全域到Untrust安全域的目的地址为的域

28、间策略，并引用不带Java Applet阻断的容过滤策略模板。步骤1：在导航栏中选择“防火墙 安全策略 域间策略。步骤2：单击按钮。步骤3：进展如下配置，如如下图所示。 选择源域为“Trust。 选择目的域为“Untrust。 选择源IP地址为“any_address。 选中目的IP地址中“新建IP地址前的单项选择按钮，输入目的IP地址为“。 选择服务名称为“any_service。 选择过滤动作为“Permit。 选择容过滤策略模板为“template1。 选中“启用规如此前的复选框。 选中“确定后续添加下一条规如此前的复选框。步骤4：单击按钮完成操作。图1-41 配置引用不带Java Ap

29、plet阻断的容过滤策略模板的域间策略# 配置Trust安全域到Untrust安全域的域间策略，并引用带Java Applet阻断的容过滤策略模板。步骤1：保持之前选择的源域和目的域不变，继续进展如下配置，如如下图所示。 选择源IP地址和目的IP地址均为“any_address。 选择服务名称为“any_service。 选择过滤动作为“Permit。 选择容过滤策略模板为“template2。 选中“启用规如此前的复选框。步骤2：单击按钮完成操作。图1-42 配置引用带Java Applet阻断的容过滤策略模板的域间策略3. 配置结果验证完成上述配置后，局域网用户不能收到含有“abc关键字的

30、响应；除对IP地址为的Web服务器外，不能成功发送Java Applet请求；不能成功发送带有“.exe附件的；不能通过FTP方式上传名称为“abc的文件；不能执行Telnet命令“reboot。设备运行一段时间后，在导航栏中选择“应用控制 容过滤 统计信息，可以看到如如下图所示的统计信息。图1-43 容过滤统计信息4.须知事项配置容过滤时需要注意如下事项：(1) 配置URL主机名过滤条目时，需要注意通配符的使用规如此： “表示开头匹配。只能出现在关键字的开头，且只能出现一次。 “$表示结尾匹配。只能出现在关键字的结尾，且只能出现一次。 “&代替一个字符，不能代替空格和“.。可出现任意多个，可

31、连续出现，可位于关键字的任意位置，但不能与“*一起使用。 “*代替任意多个字符，不能代替“.。在关键字中只能出现一次，可以位于关键字的开头和中间，不能位于结尾，并且不能和“、“$相邻。 如果关键字的开头有“或结尾有“$，表示准确匹配。例如，“webfilter表示以“webfilter开头的网址如webfilter.或类似于cmm.webfilter-any.的网址将被过滤掉。关键字“webfilter$表示过滤包含独立词语“webfilter的网址，比如.webfilter.，但是类似于.webfilter-china.的网址将不会被过滤。 如果关键字的开头和结尾都没有通配符，表示模糊匹配。

32、对于模糊匹配，只要网址中包含了该关键字就会被过滤。 不支持纯数字的关键字。如果需要过滤类似.123.的，使用“123作为过滤地址是不合法的，但可以使用“123$、“.123.和“123.等作为过滤地址。因此，对于以数字作为地址的，建议采用准确匹配方式进展过滤。(2) 配置URL参数过滤关键字时，需要注意通配符的使用规如此： “表示开头匹配。只能出现在关键字的开头，且只能出现一次。 “$表示结尾匹配。只能出现在关键字的结尾，且只能出现一次。 “&代替一个字符。可出现任意多个，可连续出现，可位于关键字的任意位置，但不能与“*相邻，如果出现在开始和结尾的位置，如此一定要和“或“$相邻。 “*代替长度

33、不超过4个字符的任意字符串，可代替空格。只能位于关键字的中间，且只能出现一次。 如果关键字的开头有“或结尾有“$，表示准确匹配。例如，关键字“webfilter$表示网址中的URL参数包含独立词语“webfilter的请求将被过滤掉，比如.abc./webfilter any，但是类似于.abc./webfilterany的网址将不会被过滤。 如果关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中的URL参数包含了该关键字就会被过滤。安全要求-设备-防火墙-功能-13-可选防火墙必须具备病毒防护功能，对蠕虫等病毒传播时的攻击流量进展过滤。待确认高端防火墙不支持；中低端防火墙

34、支持配置防病毒策略(1) 在导航栏中选择“深度安全防御 防病毒，默认进入“防病毒策略页签的页面，如图1-9所示。(2) 单击按钮，进入新建防病毒策略的配置页面，如如下图所示。图1-10 新建防病毒策略(3) 配置防病毒策略，详细配置如下表所示。(4) 单击按钮完成操作。表1-7 新建防病毒策略的详细配置配置项说明名称设置防病毒策略的名称动作设置对检测到的攻击所采取的动作，包括：记录日志和阻断攻击类型显示设备能够检测和防御的病毒类型应用防病毒策略(1) 在导航栏中选择“深度安全检测 防病毒，单击“防病毒策略应用页签，进入如如下图所示的页面。图1-11 防病毒策略应用(2) 单击按钮，进入新建防病

35、毒策略应用的配置页面，如如下图所示。图1-12 新建防病毒策略应用(3) 配置防病毒策略应用，详细配置如下表所示。(4) 单击按钮完成操作。表1-8 新建防病毒策略应用的详细配置配置项说明源域设置要应用防病毒策略的源安全域 同一对安全域只能配置一条防病毒策略应用 当源域和目的域不同时，建议将部可信任的安全域设置为目的域，将外部不可信的安全域设置为源域目的域设置要应用防病毒策略的目的域防病毒策略设置要应用的防病毒策略单击下拉框后面的按钮，进入新建防病毒策略的配置页面，可以新创建一个防病毒策略以供选择，详细配置请参见“1.5.4 配置防病毒策略保护区域设置要应用防病毒策略的保护区域，包括：目的域、

36、目的域和源域源IP地址列表设置防病毒策略匹配的源IP地址可以配置主机地址或网段地址，最多配置10个目的IP地址列表设置防病毒策略匹配的目的地址可以配置主机地址或网段地址，最多配置10个例外IP地址列表设置防病毒策略的例外IP地址，例外IP地址不受该防病毒策略的限制可以配置主机地址或网段地址，最多配置10个，且必须包含在源IP地址或目的IP地址中安全要求-设备-防火墙-功能-14-可选防火墙逻辑接口上具备防源地址欺骗功能。待确认支持配置URPF检查(1) 在导航栏中选择“攻击防 URPF检查，进入如如下图所示的页面。图1-3 URPF检查(2) 在安全区域上配置URPF检查功能，详细配置如下表所

37、示。(3) 单击按钮完成操作。表1-1 URPF检查的详细配置配置项说明安全区域设置URPF检查的安全区域，URPF检查功能的配置对该安全区域中的所有接口生效URPF检查仅对安全区域中接口收到的报文有效使能URPF设置启用或关闭URPF检查功能假如不选中该复选框，如此表示关闭URPF检查，后面的各配置项均不可配缺省路由设置是否允许对缺省路由进展处理ACL设置是否进展ACL匹配，并指定匹配的ACL序号URPF检查类型设置URPF检查的类型，包括：Strict和Loose安全要求-设备-防火墙-功能-16防火墙必须具备对VPN拨入用户的进展访问控制的功能。待确认支持安全要求-设备-防火墙-配置-2

38、开启记录VPN日志，记录VPN访问登陆、退出等信息。待确认暂不支持安全要求-设备-防火墙-配置-3配置记录流量日志，记录通过防火墙的网络连接的信息。待确认支持安全要求-设备-防火墙-配置-5配置日志容量告警阈值，在日志数达到日志容量的75%时产生告警。待确认暂不支持安全要求-设备-防火墙-配置-12-可选配置关键字容过滤功能，在，SMTP，POP3等应用协议流量过滤包含有设定的关键字的报文。待确认支持安全要求-设备-防火墙-配置-13-可选配置病毒防护选项，对蠕虫等病毒传播时的攻击流量进展过滤。待确认高端防火墙不支持；中低端支持安全要求-设备-防火墙-配置-25对于防火墙各逻辑接口配置开启防源地址欺骗功能。待确认支持30 / 30