H3CSecPath防火墙培训.ppt

产品简介 F5000-A5产品规格 板卡介绍 主控板：NSQ1MPUA0 业务版： NSQ1GT8C40 NSQM1GT8P40 NSQ1XP20 Comware软件平台架构 防火墙软件架构 高速、丰富的NAT转换 VPN相关协议及技术 网络深度融合能力 虚拟防火墙实例提供相互隔离的安全服务，具备私有的区域、域间、ACL规则组和NAT地址池，并且能够将绑定接口加入私有区域 虚拟防火墙实例能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻击防范、ASPF和NAT ALG等私有的安全服务 虚拟防火墙为用户提供相互隔离的配置管理平面 虚拟防火墙管理员登录防火墙后有权管理和维护私有的防火墙路由和安全策略 高可靠性：保障您的业务不间断性 高可用性—电信级硬件平台 日志管理及告警 统一设备网管能力 防火墙管理配置方式 管理方式一：console方式 管理方式二：Web方式 管理方式三：Telnet/SSH方式 通过指定IP通过指定端口管理防火墙 SNMP配置 SNMP（Simple Network Management Protocol）是使用TCP/IP协议族对互联网上的设备进行管理的一个框架，它提供一组基本的操作来监视和维护互联网。 [H3C]snmp-agent //启用SNMP功能 [H3C]snmp-agent local-engineid 800063A203000000000202 [H3C] snmp-agent community read public //设置SNMP Community及其操作限； [H3C]snmp-agent community write private [H3C]snmp-agent sys-info version all //设置SNMP版本； [H3C]snmp-agent trap source GigabitEthernet2/0 //设置SNMP trap源地址； [H3C]snmp-agent target-host trap address udp-domain params securityname h3c //设置SNMP target-host trap address； 设置设备名称及WEB管理超时时间 设置日期和时间 网络管理 防火墙的网络管理包括端口参数设置、VLAN配置、路由协议配置及路由表的维护、DHCP、DNS以及流量统计等内容。 以太网接口管理 常用端口参数设置命令： [H3C]int GigabitEthernet 2/8 [H3C-GigabitEthernet2/8]speed 100/1000 //设置端口速率 [H3C-GigabitEthernet2/8]duplex full/half/auto //设置双工模式 [H3C-GigabitEthernet2/8]combo enable copper/fiber //设置combo口类型 [H3C-GigabitEthernet2/8] port link-mode bridge/route //设置端口工作模式 [H3C-GigabitEthernet2/8]shutdown //关闭端口 [H3C-GigabitEthernet2/8]no shutdown //开启端口 [H3C-GigabitEthernet2/8] tcp mss ？ // 修改端口MSS值 INTEGER128-2048 TCP-MSS value [H3C-GigabitEthernet2/8] mtu ？ //修改端口MTU值 INTEGER46-1500 MTU value 链路聚合功能 链路聚合是将多个物理以太网接口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 链路聚合可以实现数据流量在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。 H3C防火墙支持三层、二层以及静态、动态链路聚合功能。 三层链路聚合 组网需求： F5000A的GE1/6和GE1/7采用三层链路聚合到group 1，与交换机进行对接，基于源地址实现链路负载分担和动态备份。 配置方法： 创建聚合组，并将接口加入聚合组 配置负载分担方式 将实际接口和聚合口加入安