华三中低端防火墙产品主要技术参数h3csecpathf1.doc

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SECPATH F系列-CMW340-R1608版本说明书杭州华三通信技术有限公司H3C SECPATH F系列-CMW340-R1608版本说明书关键词： H3C, SecPath, 防火墙，版本说明书摘要：本文档用以描述SecPath F系列版本说明，包括版本信息、变更说明书、存在问题以及规避措施、解决问题单、配套资料以及升级指导等内容。

缩略语：缩略语英文全名中文解释CMW ComwareVPN Virtual Private Network 虚拟专用网GRE General RouteEncapsulation通用路由封装IPSec IP Security IP 安全IKE Internet Key Exchange 因特网密钥交换ASPF Application State PacketFilter应用层状态包过滤NAT Network AddressTranslation网络地址转换L2TP Layer 2 Tunnel Protocol 二层隧道协议SSL Secure Socket Layer 安全套接层VRRP Virtual Route RedundantProtocol虚拟路由冗余协议ARP Address Resolution Protocol 地址解析协议目录1 版本信息 (4)2 版本使用限制及注意事项 (6)3 版本特性说明 (8)4 版本变更说明 (14)4.4.1 SecPath F 系列-CMW340-R1608版本操作方式变更 (32)4.4.2 SecPath F 系列-CMW340-R160702版本操作方式变更 (32)4.4.3 SecPath F 系列-CMW340-R160701版本操作方式变更 (32)4.4.4 SecPath F 系列-CMW340-R1607版本操作方式变更 (32)4.4.5 SecPath F 系列-CMW340-R1606P01版本操作方式变更 (32)4.4.6 SecPath F 系列-CMW340-R1605P03版本操作方式变更 (32)4.4.7 SecPath F 系列-CMW340-E1605版本操作方式变更 (32)4.4.8 SecPath F 系列-CMW340-E1604P03版本操作方式变更 (32)4.4.9 SecPath F 系列-CMW340-E1604P01版本操作方式变更 (32)4.4.10 SecPath F 系列-CMW340-E1604版本操作方式变更 (32)5 存在问题与规避措施 (33)6 解决问题列表 (34)7 配套资料 (37)8 版本升级操作指导 (38)8.1.1 SecPath F100C防火墙Boot菜单 (39)8.1.2 SecPath F100A/F100S/F100E/F1000S/F1000A/F100M防火墙Boot菜单 (40)表目录表1 历史版本信息表 (4)表2 版本配套表 (5)表3 产品硬件特性 (8)表4 产品软件特性 (9)表5 特性变更说明 (14)表6 命令行变更说明 (23)表7 MIB文件变更说明 (30)表8 配套手册清单 (37)表9 从网站查询和下载资料的说明 (38)1 版本信息1.1 版本号SecPath F100-M Comware software, Version 3.40, Release 1608SecPath F1000-A Comware software, Version 3.40, Release 1608SecPath F1000-S Comware software, Version 3.40, Release 1608SecPath F100-A Comware software, Version 3.40, Release 1608SecPath F100-E Comware software, Version 3.40, Release 1608SecPath F100-S Comware software, Version 3.40, Release 1608SecPath F100-C Comware software, Version 3.40, Release 1608注：该版本号可在命令行任何视图下用display version命令查看，见注①1.2 历史版本信息表1历史版本信息表版本号基础版本号发布日期备注CMW340-R1608 CMW340-R1607P02 2007-04-21CMW340-R1607P02 CMW340-R1607P01 2007-03-08 其中F100-M首次发布SECPATH1000FA-CMW340-R1607P01CMW340-R1607 2007-02-07 只发布F1000-ACMW340-R1607 CMW340-R1606P01 2007-01-31 正式发布，解决ASPF，Nat Server等问题CMW340-R1606P01 CMW340-R1606 2006-12-11 正式发布CMW340-R1606 CMW340-R1605P03 2006-11-27 正式发布CMW340-R1605P03 CMW340-E1605 2006-11-21 正式发布CMW340-E1605 CMW340-E1604P03 2006-10-25 F系列解决IPSec大包问题CMW340-E1604P03 CMW340-E1604P01 2006-10-15 F系列解决IP-Spoof配合VPN存在问题CMW340-E1604P01 CMW340-E1604 2006-09-25 F系列增加百兆口支持Vlan透传功能1.3 版本配套表表2版本配套表产品系列H3C SecPath Series型号SecPathF1000-ASecPathF1000-SSecPathF100-ESecPathF100-ASecPathF100-SSecPathF100-CSecPathF100-M内存需求最小512M最小512M256M 256M 128M 64M256MFLASH需求最小16M最小16M最小16M最小16M最小8M 最小8M 最小16MBOOTROM 版本号(该版本号可在命令行任何视图下用display version命令查看，如F100-C见注②) 126及以上126及以上126及以上116及以上114及以上205及以上116及及以上目标文件名称SECPATH1000FA-CMW340-R1608.binSECPATH100FS-CMW340-R1608.binSECPATH100FE-CMW340-R1608.binSECPATH100FA-CMW340-R1608.binSECPATH100FS-CMW340-R1608.binSECPATH100FC-CMW340-R1608.binSECPATH100FM-CMW340-R1608.binQUIDVIEW 版本号SecPath F100-M采用：Quidview DM 3.10-R3112P06 Quidview NMF 3.10-R3112P09 其余对应：Quidview DM 3.10-R3112 Quidview BIMS 3.10-R3112 Quidview VDM 3.10-R3112 Quidview VSM 3.10-R3112 Quidview NCC 3.10-R3112 Quidview NMF 3.10-R3112Xlog版本号XLog 2.10-R0120CAMS版本号不支持示例：查看SecPath F100-C的软件版本和Bootrom版本号方式如下：[H3C]display versionH3C Comware Platform SoftwareComware software, Version 3.40, Release 1608------- 注①Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompilingnor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 0 hour, 19 minutesCPU type: PowerPC 859DSL 80MHz64M bytes SDRAM Memory8M bytes Flash Memory0K bytes NvRAM MemoryPcb Version:3.0Logic Version:1.0BootROM Version:2.05 ------- 注②[SLOT 1] 1FE (Hardware)3.0, (Driver)1.0, (Cpld)1.0[SLOT 2] 1ETH (Hardware)3.0, (Driver)1.0, (Cpld)1.0[H3C]2 版本使用限制及注意事项1. LFD17847内容过滤，包括http过滤、smtp过滤不支持分片、重传报文，不支持中文编码的过滤。

H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求：
组网图中需要三台PC, PC1和PC4在Trust区域；PC2处于DMZ区域，其IP地址与PC1和PC4在同一网段，PC3位于Untrust区域，为外部网络。

G0/0接口和G1/0接口属于同一个桥组Bridge1。

对于访问控制有如下要求：
在防火墙G0/1接口上配置NAT，使Trust区域与DMZ区域通过地址转换才能访问Untrust区域；
通过NAT Server使DMZ区域对Untrust区域提供WWW服务；
在G1/0接口绑定ASPF策略并配合包过滤，使得Trust区域用户可以访问DMZ区域设备；但DMZ区域不能访问Trust区域；
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、每一个桥组都是独立的，报文不可能在分属不同桥组的端口之间
传输。

换句话说，从一个桥组端口接收到的报文，只能从相同桥
组的其他端口发送出去。

防火墙上的一个接口不能同时加入两个
或两个以上的桥组。

2、要实现不同桥组之间或二层接口和三层接口之间数据转发，需要
创建桥组虚接口，并且将桥组虚接口加入到相应的区域。