F1000 系列防火墙

华三通信全系列防火墙产品获信息安全证书EAL3＋
佚名
【期刊名称】《中国信息安全》
【年(卷),期】2016(0)3
【摘要】近日，华三通信全系列防火墙产品通过中国信息安全测评中心EAL3＋级测试，获得《信息技术产品安全测评证书，级别：EAL3＋》证书。

此次测试，华
三通信M9000系列、FS000系列、F1000系列、SecBlade安全插卡系列等产品，历经多轮严格的评估检验，全部成功通过测试。

其中SecBlade安全插卡系列产品是业界首先获得该类产品EAL3＋级证书的产品。

【总页数】1页(P112-112)
【关键词】信息技术产品;防火墙产品;安全证书;通信;安全测评;M9000;测试;插卡【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.中国绿色食品协会授予拜耳产品绿色生资证书/香蕉谨慎使用三唑类杀菌剂/1月
共320项农药产品获登记 [J],
2.郑州磨料磨具磨削研究所又有两项新产品分别获国家重点新产品证书和河南省高新技术产品证书 [J],
3.华为P20系列展现五星通信力成首获泰尔认定证书的终端产品 [J], 无;
4.交通运输通信信息工程质量检测中心获中国船级社产品检验证书 [J],
5.海林全系列产品获康居认证证书 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

目录1 简介...................................................................................................................................................1-11.1 分册简介............................................................................................................................................1-12 业务特性明晰.....................................................................................................................................2-12.1 概述...................................................................................................................................................2-12.2 特性功能索引.....................................................................................................................................2-12.3 特性功能明晰.....................................................................................................................................2-22.3.1 防火墙功能Web配置分册........................................................................................................2-22.3.2 SSL VPN功能Web配置分册...................................................................................................2-82.3.3 安全分册.................................................................................................................................2-92.3.4 接入分册...............................................................................................................................2-102.3.5 IP业务分册............................................................................................................................2-102.3.6 IP路由分册............................................................................................................................2-112.3.7 系统分册...............................................................................................................................2-112.3.8 VPN分册...............................................................................................................................2-132.3.9 IP组播分册............................................................................................................................2-131 简介z本手册当前适用于H3C SecPath F1000-E（F3166）、F1000-S-EI（E5114）及SecBlade防火墙插卡（F3166）产品。

H3C防火墙F1000L2TP配置H3C 防火墙F1000-A基于Windows自带VPN拨号软件的L2TP 配置一组网需求PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。

希望通过L2TP拨号的方式接入到对端防火墙。

用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的Sec Path防火墙。

软件版本如下：Version 5.20, Release 3102三、配置步骤3.1 防火墙上的配置#sysname F1000A#l2tp enable //开启L2TP功能#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池#local-user h3cpassword cipher G`M^B<1!!< p="">service-type telnetlevel 3local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池password simple 123456level 3service-type ppp#l2tp-group 1 //配置L2TP组undo tunnel authentication //不使用隧道认证allow l2tp virtual-template 1 //使用虚模板1认证#interface Virtual-T emplate1 //配置L2TP虚模板ppp authentication-mode chap //配置ppp认证方式为chap，使用system默认域 remote address pool 1 //指定使用ip pool 1 给用户分配地址ip address 1.1.1.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0ip address 10.153.43.20 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust区域add interface Virtual-Template1set priority 85#Return3.2 Windows自带拨号软件的设置由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPS ec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。

H3C 盒式 NGFW 设备出口网关双主模式典型指南1 简介本文档介绍了H3C 盒式NGFW 设备出口网关双主典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IRF LLB 和链路聚合等特性。

3 使用限制∙在F1000 系列防火墙中，最优选择相同型号的机型之间建立IRF。

∙组建IRF 的两台F1000 防火墙堆叠必须使用相同的软件版本。

∙F1000 的IRF 口可以使用前面板的GE 光口或GE 电口。

4 配置举例4.1 组网需求如图1所示，两台F1050 组成IRF，内网用户通过防火墙下行链路聚合HASH分流到两台设备，在防火墙上通过链路负载均衡技术选路到电信网络和联通网络，在F1050 上配置链路聚合本地优先，对本地转发流量优先从本设备出，避免横向流量。

由于有非对称场景，所以需要配置会话热备功能。

图1 NGFW 设备出口网关双主典型配置组网图4.2 配置思路∙在两台F1050 之间建立IRF。

∙为了防止IRF 链路故障导致IRF 分裂，在网络中产生两个配置冲突的IRF，需要启用MAD 检测功能。

将F1050_1 的GE1/0/4 和F1050_2 的GE2/0/4 BFD MAD 检测。

∙将F1050_1 的GE1/0/6 和F1050_2 的GE2/0/6 配置为三层聚合口。

F1050_1 的GE1/0/7 配置为电信网络出接口，并添加到聚合组2 中，F1050_2 的GE2/0/7 配置为联通网络出接口，同样添加到聚合组3 中。

∙在防火墙上配置链路负载均衡将内网流量负载分担到两条链路中。

4.3 使用版本本举例是在F1050 的Ess 9316 版本上进行配置和验证的。

H3C产品列表IP网络产品路由器系列H3C SR8800 系列路由器SR8800核心业务路由器（以下简称SR8800）是华为3Com公司面向企业网应用而推出的新一代核心业务路由器，该产品融合了华为3Com 自适应安全技术理念，将安全融入到网络之中，集成了防火墙、安全网关、网络流量分析等功能，解决了以往依赖单台设备、单一功能、独立部署的防护方式。

可广泛应用于行业网、大型园区网、IDC网络的骨干位置。

H3C SR8800提供超强的路由处理能力、丰富的接口和高品质业务，提供形式多样的广域网接口，满足丰富的接入方式的需求。

内置高性能的业务处理引擎，能够支持MPLS VPN业务的线速转发，适用大型企业组建高性价比VPN业务网络。

H3C MSR 50 系列路由器H3C MSR 50-40路由器H3C MSR 50-60路由器MSR（Multiple Services Router）多业务开放路由器是华为3Com公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。

MSR先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。

企业信息架构正在由C/S模式向B/S模式转变，MSR具备高数据转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。

MSR集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。

针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。

H3C SecPath F1000-S-AI/F1000-A-EI/F1000-E-SI防火墙安装指导杭州华三通信技术有限公司资料版本：6PW103-20120908Copyright © 2010-2012 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C 、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。

H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，H3C尽全力在本手册中提供准确的信息，但是H3C并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

安全声明重要！在产品上电启动之前，请阅读本产品的安全与兼容性信息。

IMPORTANT! See Compliance and Safety information for the product before connecting to the supply.您可以通过以下步骤获取本产品的安全与兼容性信息：To obtain Compliance and Safety information, follow these steps:(1) 请访问网址：/Technical_Documents；Go to /Technical_Documents.(2) 选择产品类型以及产品型号；Choose the desired product category and model.(3) 您可以从安全与兼容性手册或安装手册中获取安全与兼容性信息。

H3C SecPath F1000-C详细参数
切换到传统表格版
主要参数
设备类型企业级防火墙
网络端口
2*10/100/1000Mbps以太网口,2*10/100/1000Mbps以太网口,1*AUX口,1*Con
sole,2个MIM插槽
入侵检测Dos,DDoS
安全标准CE,FCC
管理支持标准网管SNMPv3,并且兼容SNMP v2c、SNMP v1,支持NTP时间同步,支持Web方式进行远程配置管理,支持Quidview BIMS系统进行设备管理,支持Quidview VPN Manager系统进行VPN业务管理和监控,命令行接口
VPN支持支持
一般参数
适用环境工作温度:0℃-45℃,相对湿度:10-95%无凝结
电源输入:100-240V ；50/60Hz,输出:12V,最大功率:100W
防火墙尺
寸
44×436×430mm
防火墙重
量
5kg
其他性能
支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤,
多种VPN业务等功能
产品特性
产品特性1 内存容量：512MB 闪存容量：16MB
主要参数
设备类型：企业级防火墙
网络端口：2*10/100/1000Mbps以太网口,2*10/100/1000Mbps以太网口,1*AUX口,1*Console,2个MIM插槽
入侵检测：Dos,DDoS。