三通学院f100web配置手册

第1第1章介 1 1 1 1 2 4 4 52.3.1标题 52.3.2目录 6 6 1 1 1 3 3 4 4 5 5 6 6 83.2.5静态路 3.2.6域名服 3.2.7注销用 3.2.8重新启 1 1 1 2 3 4 5 6 7i4.2.1全局配4.2.1全局配 74.2.2接口配 4.2.3DHCP典型配置举 4.3简单网络管理协议 4.3.1基本配 4.3.2团体名管 4.3.3组管 4.3.4用户管 4.3.5视图管 4.3.6 1 1 1 4 7 7 5.3黑名 5.4安全区 第6章VPN配 1 1 1 2 4 46.2.2配置 配置 配置 1 1 5 7 1 1 3 5 6 1 1 1 2 3第10章日志管 110.1日志简 110.2配置日志功 2第11章常用工 11第11第1 系列防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、监测，并协同ACL完成动态包过滤。H3CSecPathVPNL2TPVPN、IPsecVPN、GREVLANInternet、Intranet、RemoteAccess等多种形式的VPN。H3CSecPathRIP/OSPF/BGP路由1-2第2防火2.11.H3CSecPathRS232异步串行配置口（CONSOLE），2.配置口电缆是一根8芯屏蔽电缆端压接RJ45插2第2防火2.11.H3CSecPathRS232异步串行配置口（CONSOLE），2.配置口电缆是一根8芯屏蔽电缆端压接RJ45插头插入防火墙的CONSOLE另一端则带有一个DB9（母）连接器，可插入配置终端的串口，如2-1AA图2-1PC 串口与防火墙上的配置口相连2-2列表ACL以允许相应的报文通过。关于以上内容的具体描述请参2列表ACL以允许相应的报文通过。关于以上内容的具体描述请参见《H3CSecPath系列安全产品操作手册》IP[H3C]firewallzone[H3C-zone-trust]addinterfaceGigabitEthernet0/0[H3C-zone-trust]quit[H3C]firewallpacket-filterdefaultpermit[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]ipaddressPCIP地址PCIP地址<H3C>pingPING:56databytes,pressCTRL_Cto---pingstatistics--5packet(s)5packet(s)received0.00%packetlossround-tripmin/avg/max=10/14/302-2IPWeb管理，需在透明模式下为防火墙配置2IPWeb管理，需在透明模式下为防火墙配置mode?Transparent[H3C]modeaddresssystemtheInterfaces'sipaddresseshavebeenmodeisset[H3C]firewallsystem-ipSetsystemipaddress说明当防火墙切换到透明模式时，系统为防火墙分配了一个缺省系统IP地址/8，可以使用上述命令更改系统IP地址将连接PC的接口加入到安全区域中，且将缺省的过滤行为设置为允许。防火墙连接PC的接口为GigabitEthernet0/0[H3C]firewallzone[H3C-zone-trust]addinterfaceGigabitEthernet0/0[H3C-zone-trust]quit[H3C]firewallpacket-filterdefaultPCIP地址PCIP地址<H3C>pingPING:56databytes,pressCTRL_CtoReplyfrom:bytes=56Sequence=1ttl=128time=30msReplyfrom:bytes=56Sequence=2ttl=128time=102-2---2---pingstatistics--5packet(s)5packet(s)received0.00%packetlossround-tripmin/avg/max=10/14/302.1.3添加登录用录帐户并且赋予其权限。例如：建立一个用户名和密码都为admin[H3C]local-userpasswordsimpleadminservice-typetelnetlevel在PC上启动浏览器（至少使用IE6.0或更高版本），在地址栏中输入IP地址语言，如图2-2图2-2Web2-2安全提议时（为了描述方便，_2安全提议时（为了描述方便，_代表空格），输入的IPsec安全提议名为“aaa_”，则Web页面不省略后面的空格对此名称进行检查。类似_aaa、aaa_、aa_a等包含空格的名称在Web中都被视为非法名称。但唯一的特例是，在登录页面中http.zip文件。升级完成后，建议在使用Web页面登录防火墙之前清空InternetExplorer的缓存。33IP地址10分钟。若此时黑名单功能已启用，该登录和配置区，如图2-3所示。图2-3Web2.3.1标题栏中显示当前网管操作员及登陆时间，如2-4所示2-2图2-4Web配置界面的目录2图2-4Web配置界面的目录树如2-5所示图2-5配置按钮等可以对防火墙进行配置，如2-6所示2-2图2-62图2-62-3第3理，如3-13第3理，如3-1所示图3-13.13.1.1设备概3-3图3-23图3-2激活状态，绿色代表端口已激活并检测到连接，如图3-3图3-3说明由于H3CSecPathF100-C防火墙中的4LAN以太网口是未被隔离的交换端口，面查看接口状态时，所有LAN以太网口的图例都为绿色。单击<刷新间隔>按钮设置系统刷新频率，如3-4所示3-3图3-4说明用户的配置，如图3-4中黄色区域所示。3图3-4说明用户的配置，如图3-4中黄色区域所示。存储的文件和文件所占用的存储空间与剩余空间的大小，如 3-5所示。单击<下图3-53-6所示。单击<详细信息>按钮可以进一步查看更详细3-3图3-6点击“系统管理”目录3图3-6点击“系统管理”目录中的“配置浏览”来查看防火墙当前的配置信息，如3-7图3-7限、使用的界面语言、登录类型等，如 3-8所示图3-83-33.21.提示信息33.21.提示信息，单击<确定>按钮进行保存3-9图3-92.中文，如图3-10所示图3-103-33.置同样使用TFTP协议。33.置同样使用TFTP协议。TFTP服务器后的名称，文件名不支持中文。单击<确定>点击“系统管理”目录中的“软件升级”可以进入防火墙软件升级页面，如3-图3-11在参数配置中的“IP地址”栏中输入远程TFTP的IP地址，在“远程文件名”栏中TFTP服务器上的文件的名称，在“本地文件名”栏中输入保存到防火墙中的3-12图3-123-31.31.3-13图3-13说明2.选中一个用户，单击<修改>按钮以修改用户参数，如3-14所示3-3图3-143.3图3-143.单击<超时时间>按钮可以设置所有用户的连接超时时间，如3-1560～600600图3-153.2.4接口配式、IP地址、掩码、MTU、工作方式和流控方式等3-163-3图3-16选中要配置的接口，单3图3-16选中要配置的接口，单击<配置>按钮对接口的属性进行配置，如3-17图3-17说明IPIPIPIPIP地址则只能借用主IP地址。如果被借用接口没有IP地址，则借用接口的IP地址为3-3Manual：手工为接口配置地址。在“IP地3Manual：手工为接口配置地址。在“IP地址”和“掩码”栏中分别输入IP地址和子网掩码。通过选中“IP地址”栏右侧的“sub”选项，可以为接口添加辅助IP地址。Dhcp：使用DHCP协议自动获取IP地址None击<删除>按钮可以删除IP选中的IP地址。2.Vlan此选项仅当配置以太网子接口时才可在输入栏中输入使 封装后接口Half：指定以太网接口工作在半双工模式下。当接口与集线器（Hub）相连时Negotiation：指定以太网接口将自动协商工作模式。SecPathF100-C防火墙的WAN接口不支持自动协商。NoChange：指定以太网接口工作在缺省模式下，即自动协商模式正常进入UP状态。Disable：禁用接口的流控制3-310：指定以太网接口的速率为10Mb/s100：指310：指定以太网接口的速率为10Mb/s100：指定以太网接口的速率为100Mb/sMTU最大传输单中输入MTU值进行设置。MTU46～1500；DialerMTU128～1500；Virtual-TemplateMTU取值范围为128～1500；Tunnel接口MTU取值范围为100～64000。点击“系统管理”目录中的“静态路由”可以进入静态路由信息概览页面，单击创建>按钮进行配置，如图3-18所示图3-183-33其他参数：“Reject”表示目的地不可达的路由，任何去往该目的IP报文都的路由，任何去往该目的地的IP报文都将被丢弃，并且不通知源主机。面，单击<创建>按钮配置静态的域名映射，如3-19图3-19退出登录，如图3-20图3-203-3将会3将会提示您保存当前的配置，如图3-21所示图3-213-第4网络地址转换NAT（NetworkAddressTranslation）实现了私有网络访问外部网络第4网络地址转换NAT（NetworkAddressTranslation）实现了私有网络访问外部网络IP地址。Internet地址分配组织规定将下列的IP地址保留用作私有地址：置概览页面，单击<创建>按钮进入地址池配置页面4-1图4-1NAT4-地址池索引号：用来表示地址池的号码，范围 0～31中的地址数目不能超过255个，否则系统将提示地址池超出范围。地址池索引号：用来表示地址池的号码，范围 0～31中的地址数目不能超过255个，否则系统将提示地址池超出范围。在“NAT”子目录下点击“地址转换管理”进入NAT地址转换配置概览页面，单击创建>按钮进入地址转换配置页面。如4-2所示图4-2NAT指定在此接口上使用静态地址转换。静态转换条目的创建将在选择静态地址转换后，“转换类型”、“地址池”和编号”选项将不可用ACL（访问控制列表）编4-指定NAT转换中使用的基本访问列表和高级指定NAT转换中使用的基本访问列表和高级访问列表的编围为2000～3999（ACL）的方法将在5.2.1ACLNO-PAT：指定NAT使用多对多地址转换。将访问控制列表和NAT地址池关联时，如果选择NO-PAT转换类型，则表示只转换数据包的IP地址而不转换端口信息，即不使用NAPT功能。在“NAT”子目录下点击“内部服务器”进入NAT内部服务器配置概览页面，单击创建>按钮进入配置页面，如图4-3图4-34-协议类型：选择侦听的协议类型。可从下拉框中选择常用的协议类型协议类型：选择侦听的协议类型。可从下拉框中选择常用的协议类型：TCPUDP和ICMP；选择“Other”可以自定义协议IP地址范围中地址的数目相等，否则在“NAT”子目录下点击“超时时间”进入地址转换超时配置页面，如4-4所示4-图4-4接的有效时间，范围为10～86400，单位为“秒”。图4-4接的有效时间，范围为10～86400，单位为“秒”。说明此配置用于将地址转换方式设置为静态地址转换时的情况。请参见4.1.2地址转换点击“NAT”子目录下的“静态表项”进入NAT静态表项配置概览页面，单击<创>按钮进入配置页面，如图4-5所示4-一个公司通过SecPath防火墙连接到Internet一个公司通过SecPath防火墙连接到Internet。公司内部网段为/24。由ISP分配给防火墙外部接口的地址范围为～。其中防火墙的接口GigabitEthernet0/0连接内部网络，地址为；接口GigabitEthernet0/1Internet。WWWServerFTPNATInternet，并且外部的用户可以访问内部的WWWServerTelnetServer图4-6NAT第一步：创建允许内部网段访问所有外部资源的基本ACL，以供NAT使用。创建的方法可参见5.2.1ACL址”栏中输入，“源地址通配符”中输入55，单击<应用在“地址池索引号”栏中输入1，“起始地址”栏中输入束地址”栏中输，单击<应用>4-下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入已创下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入已创由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用NAT地址复用，单击<应用>按钮。“外部地址”栏中输入。WWW服务器使用的端口号，这里假设为80端口。在“内部起始地址”栏中输入内部WWW服务器的IPWWW服务器使用的端口号，这里也假设为80端口，单击<应用>按钮。4.2动态主机配置协议动态主机配置协议DHCP（DynamicHostConfigurationProtocol）可以为设备快速、略返回相应配置信息。DHCP不仅可以为设备分配IP地址，还可以为其分配缺省关、DNS服务器等多种网络参数4.2.1全局配1.点击“DHCP”子目录下的“全局DHCP基本配置”进入配置页面，如4-7所示4-图4-7DHCP在此配置页面中可以启用防火墙上图4-7DHCP在此配置页面中可以启用防火墙上的DHCP服务和伪DHCP服务器检测功能说明在网络中果有私自架DHCP服务器，当其他用户申请IP地址DHCP问网络资源，这种私设的DHCP服务器称为伪DHCP服务器。单击<高级>按钮将进入高级配置页面4-8图4-8为防止IP地址重复分配导致地址冲突，DHCP服务器为客户端分配地址前pingping应答。如果pingping包数量达到最大值。如果仍4-在此配置页面可以设置DHCPPing报文的最大在此配置页面可以设置DHCPPing报文的最大（范围为0～10，缺省和Ping报文的超时时间（范围为0～10000，单位为“毫秒”，缺省值为500）2.DHCPIPDHCP请求时，DHCP服务器选择合适的地址池，并从中挑选一个空闲的IP地址，与其他相关参数（如DNS服务器地址、地址租用期限等）一起传送给客户端。览页面，如图4-9所示。单击<创建>按钮建立新的地址池址池名称输入地址池的名字如4-当前所存在的地址池属性进行设置，如 4-11所示4-图4-11但同一DHCP地址池中的地址都具有相同的期限。可以指定租约期限为“无DHCP服务器上，可以为每个地址池分别指定客户端使用的图4-11但同一DHCP地址池中的地址都具有相同的期限。可以指定租约期限为“无DHCP服务器上，可以为每个地址池分别指定客户端使用的进行设置，如图4-12图4-124-不能对同一个DHCP地址池同时配置这两种方式。一个地址的特殊的DHCP地址池。不能对同一个DHCP地址池同时配置这两种方式。一个地址的特殊的DHCP地址池。MACDHCPMAC地址寻找到对应的固定IP地址分配给客户端。户端的MAC地址进行绑定，如图4-13所示。图4-13绑定IP说明报文中带有identifier字段，所以在DHCP服务器端设置静态绑定时应该使用4-3.InternetIP地址，这是通过域名系统DN（Domai3.InternetIP地址，这是通过域名系统DN（DomaiSystemDHCP服务器可以在为客户端分配IP地址的同时指定DNS服务器的地址。内部DNS服务器可以将请求转发到外部的DNS服务器上。器配置概览页面，单击<配置>按钮进入DNS服务器配置页面，如图4-14所示。在“地址池”栏中选择要配置的地址池名称；在“DNS服务器地址”栏中输入说明如图4-14所示。4.网关、FTP服务器等），否则，同一地址分配给两台主机会造成IP地址冲突。概览页面，单击<创建>按钮进行配置，如图4-15所示。4-图4-15“高端IP地址”将不可用。“IP地址段”表示一个地址范围。图4-15“高端IP地址”将不可用。“IP地址段”表示一个地址范围。5.到其他网段。DHCP提供对客户端自动分配网关或路由器地址的功能。说明目前每个地址池中最多可以设置8个网关地址，地址中间用空格分隔4-6.当DHCP客户端在网络中使用NetBIOS名称与其他设备进行通讯时需要在NetBIOSIPNetBIOS广播数据包动态建立的也可以是客户端通过端对端的对NetBIOS服务器进行查询6.当DHCP客户端在网络中使用NetBIOS名称与其他设备进行通讯时需要在NetBIOSIPNetBIOS广播数据包动态建立的也可以是客户端通过端对端的对NetBIOS服务器进行查询NetBIOS服务器通信的方式获取映射关系的b类节点。PHP的NtBIODHP地址池NtBIOS配置NtBIOSS图4-17DHCP地址池NetBIOS7.以通过手工定义的方式将新选项添加到DHCP服务器的属性列表中。选项配置概览页面，单击<创建>按钮进入自定义选项配置页面，如图4-18所示。4-图4-18DHCP图4-18DHCP46、50～55、57～61、184和217被系统保留使用。1.当DHCP服务器收到客户端发出的目的地址是本地的DHCP报文可以通过配在“DHCP”子目录下点击“接口DHCP基本配置”进入接口DHCP基本配置概面，单击<配置>按钮对报文处理模式进行配置，如4-194-2.2.DHCP支持在特定接口上配置地址池。在“DHCP”子目录下点击“接口DHCP池”进入接口地址池配置信息概览页面，如 4-20所示图4-20只有在接口DHCP基本配置中，报文处理模式被配置为“Interface”的接口才会现在接口地址池配置信息概览页面中，有关配置接口报文处理模式参见4.2.2接口要对DHCP接口地址池属性进行配置，单击<配置>按钮进入配置页面，如4-21图4-214-客户端域名：选择“UserDefined”自定义域客户端域名：选择“UserDefined”自定义域名；选择“None只有在接口DHCP基本配置中报文处理模式被配置为“Interface”的接口才会出在“接口名称”下拉框中，有关配置接口报文处理模式参见4.2.2接口配置中的基4-22图4-22接口IP在“接口名称”下拉框中，有关配置接口报文处理模式参见4.2.2接口配置中的基3.在“DHCP”子目录下点击“接口DHCP的DNS”进入接口地址池DNS配置信览页面，单击<配置>按钮进入接口地址池DNS配置页面，如4-23所示4-在“接口名称”下拉框中选择要配置的接在“接口名称”下拉框中选择要配置的接口名称服务器地址”栏中说明现在“接口名称”下拉框中，有关配置接口报文处理模式参见4.2.2接口配置中目前最多可以设置8个DNS服务器地址，地址中间用空格分隔，如图4-234.在“DHCP”子目录下点击“接口DHCP的NetBIOS”进入接口DHCP地址池配置概览页面，单击<配置>按钮进入配置页面，如4-24所示图4-24DHCPNetBIOS4-现在“接口名称”下拉框中，有关配置接口报文处理模式参见4.2.2接口配置中5.在“DHCP”子目录下点击“接现在“接口名称”下拉框中，有关配置接口报文处理模式参见4.2.2接口配置中5.在“DHCP”子目录下点击“接口DHCP自定义选项”进入接口DHCP自定义选置概览页面，单击<创建>按钮进入配置页面，如4-25所示配置方法参见4.2.14.2.3DHCPDHCPIP地址，地址池网段/24。DHCP服务器GigabitEthernet0/0接口地址为/24。。并且其中一个客户端要求使用固定的IP00MAC地址000f-1f7e-fec5。4-选择“GigabitEthernet0/1”接口。在“IP，掩码中第二步：启用防火墙的DHCP服务器功能在“业务管理”下的“DHCP”子目录中点击DHCP基本配置”，在右侧配置区域中的“使能或禁止DHCP服务”下拉框中选择“Enable”，单击<应第三步：配置全局DHCP地址池DHCP地址池”，在右边的配置区域中单击<创建>按钮，在“地址池名称”栏中dhcppool，单击<应用>按钮。期限设置为3天12小时，在“客户端域名”栏中输入，单击<应用>在“IP，第四步：配置地址池的DNS点击“全局DHCP的DNS”，在右侧的配置区域中单击“配置”按钮，从下拉框中选择“dhcppool”，在“DNS，单击4-DHCP网关”，在右侧的配置区域中单击<配置>按钮，从下拉框DHCP网关”，在右侧的配置区域中单击<配置>按钮，从下拉框简单网络管理协议简单网络管理协议（SimpleNetworkManagementProtocolSNMP）是被广只要求无连接的传输层协议UDP，受到了广泛的支持。SNMP的结构分为NMS（NetworkManagementStation）和Agent两部分，NMSAgent是运行在网络设备上的服务器端软件。NMSAgent之间通过如下方式进行消息交互。一方面，NMS可以向AGENT发出GetRequest、GetNextRequest、GetBulkRequestSetRequest请求报文，AgentNMS的请求报文后，根ReadWriteResponse报文，返回给NMS。另一方面，Agent在设备发生冷/热启动等异常情况时，也会主动向NMS发送Trap报文，报告所发生的事件。对象，SNMP用层次结构命名方案来识别管理对象。整个层次结构就象一棵树的节点表示管理对象，如4-27所示。每一个节点，都可以用从根开始的一1211212B56A图4-27MIB4-ObjectIdentifier（客体标识符）MIB（ManagementInformationBase）的作防火墙中的SNMPAgent支持标准网管SNMPv3，兼容SNMPv1、SNMPv2c持的MIB如4-1表4-1系统支持的4.3.1基本配在“SNMP”子目录中点击“一般配置”进入SNMP属性配置页面。在配置ObjectIdentifier（客体标识符）MIB（ManagementInformationBase）的作防火墙中的SNMPAgent支持标准网管SNMPv3，兼容SNMPv1、SNMPv2c持的MIB如4-1表4-1系统支持的4.3.1基本配在“SNMP”子目录中点击“一般配置”进入SNMP属性配置页面。在配置以启动SNMP代理，如图4-28所示。4-公有基于TCP/IP网络设备的MIBRIP-2RFCPPPRFCOSPFBGPIFFrameworkUsmMpdVacmTargetRADIUS私有性能告警-设备面板-设备资源---图4-28SNMP单击<应用>按钮启动服图4-28SNMP单击<应用>按钮启动服务后，将跳转到SNMP一般配置信息概览页面，可以查SNMP的配置信息，如本地引擎ID、最大包长度、联系信息、物理位置信息和SNMP报文、版本错误的SNMP数据、非法的团体名的数据报文等，如4-29所示图4-29SNMP单击页面底部的<配置>按钮对SNMP的属性进行配置，如4-30所示4-图4-30SNMPSNMP：通过选择“Disable”可以停止图4-30SNMPSNMP：通过选择“Disable”可以停止SNMP代理服务本地引擎ID：设置本地设备的引擎ID。本地引擎必须是16进制字符形式的字符串，至少5个字符，可以是IP地址、MAC地址或者自己定义的文本，缺省最大包长度：设置SNMP代理能接收/发送的SNMP消息包的最大值。取值范围为484～17940，单位为“字节”。联系信息：设置管理员的标识及联系方法。设置管理员的联系方法是MIBIISNMP版本：启用SNMP协议的相应版本，缺省情况为使用SNMPv3版本。4.3.2团体名管SNMPV1、SNMPV2C采用团体名认证，与设备认可的团体名不SNMP报文将被击<创建>进行配置，如图4-314-图4-31SNMP图4-31SNMP点击SNMP团体信息配置概览页面中的<修改>按钮可以对团体属性进行修在“SNMP”子目录中点击“组管理”进入SNMP组管理配置信息概览页面，单击创建>按钮来建立新的SNMP组，如4-32所示图4-32SNMP4-报文认证但不加密；auth/priv代表对报文进行认证和加密；noauth/nopriv为报文认证但不加密；auth/priv代表对报文进行认证和加密；noauth/nopriv为若要为SNMP组添加用户，在“SNMP”子目录中点击“用户管理”进入SNMP用信息概览页面，单击<创建>按钮建立新用户，如4-33所示图4-33SNMPSNMP组。如果输入的组名不存在，系统会提示稍后MD5和SHA两种认证模式，选择“None”不启用认证4-此选项仅当安全模式为SNMPv3时才可用。SNMPv3时才可在“SNMP”子目录中点击“视图管理”进入SNMP视图信息概览页面，可以看系统中已经缺省存才的四个视图，如4-34所示图4-34SNMP单击<创建>按钮建立新视图。如4-35所示图4-35SNMP字符串，取值范围为1～255个字符。4-如 4-35中所示，将建立一个视图包含internet（）的如 4-35中所示，将建立一个视图包含internet（）的所有对象。新视图将现在信息视图概览页面，如图4-36图4-36看到Trap的老化时间和消息列队长度4-37图4-37SNMPTrap建立Trap目的主机，如图4-38图4-38创建Trap4-SNMPv3时此选项才可用，可选择Authentication和Privacy安全级Authentication代表对报文进行认证但SNMPv3时此选项才可用，可选择Authentication和Privacy安全级Authentication代表对报文进行认证但不加密，Privacy代表对报文既认证又加密，选择“None”为无安全级别。在Trap概要信息页面单击<配置>按钮进入SNMPTrap配置页面，选择“Enable发送所有模块的所有类型的Trap报文，如4-39图4-39SNMPTrapSNMP以下图为例，网管工作站（NMS）与防火墙通过以太网相连，网管工作站IP地址3，防火墙以太网口IP地址为图4-40SNMP4-第四步：允许向网管工作站（NMS）3发送Trap报文，使用的团public，NMStrap的端口号5000，并使v1trap发送中输入NMS的地址3，“UDP端口号”栏中输入5000public，在“安全模型”下拉框中选择“v1”，单击<应用4-5第5墙配 系列防火5第5墙配 系列防火墙支持外部攻击防范、内网安全、流量监控等功能防火墙还支持基于应用层的包过滤ASPF（ApplicationSpecificPacketFilter）。5.1启用对此攻击类型的防范机能，如图5-1所示图5-15-5的破坏。这就造成IPSpoofing攻击。5的破坏。这就造成IPSpoofing攻击。个“半开放”连接。这将导致在连接过程中，客户机永远不会响应SYN/ACK消WinNuke攻击通常向装Windows系统的特定目标NetBIOS端口（139）发送OOB（out-of-band）NetBIOS片断重叠，致使目标主机崩溃。IGMP分片报文，一般情况下，IGMP报文是不会分片的，所以，不少PingofDeathIP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。对于ICMP超大的ICMP报文对系统进行的一种攻击TearDropLandLandSYNTCPSYN包的源地址和目标地址都配置SYNFlood5-5后，不会收到ACK报文，造5后，不会收到ACK报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被接超时。在一些创建连接不受限制的实现里，SYNFlood具有类似的影响，它会攻击者可以利用用户数据报协议（UDP）以及某种能回应数据包的服务使网络混乱而拒绝服务，具体方法是在两个目标系统之间生成大量UDP数据包ICMPFloodPing简单的Smurf攻击，用来攻击一个网络。方法是发送ICMP应答请求，该请求包的目ICMP应答请ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机接收到ICMP应答消息而崩溃。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。要防止网络成为Smurf攻击的广播目标，一种可采取(10)Fraggle攻(11)5-25-5图5-2超大ICMP攻击报文长度阈：范围为28～65535，5图5-2超大ICMP攻击报文长度阈：范围为28～65535，单位为“字节”。ARPFlood1～10000，单位为“包/秒”。IP扫描攻击速率检测阈：范围为1～10000，单位为“包/秒”。IP扫描攻击源黑名单限制时间：范围为0～1000，单位为“分钟”。端口扫描攻击速率检测阈：范围为1～10000，单位为“包/秒”。最大相同分片报文速率：范围为1～10000，单位为“包/秒”。最大分片报文速率：范围为1～10000，单位为“包/秒ARP欺骗攻击防范级别：defaultloose。ARP欺骗攻击防范有两种模式，default选项）时，防火墙会将目的MAC地址为单播地址的ARP请求视为攻址为单播地址的ARP请求不被视为攻击报文，且不进行丢弃。5.1.2Flood1.SYNFlood范配置概览页面，单击<创建>按钮进行配置，如5-3所示图5-3创建SYNFlood5-5参见5.4选择“按照IP地5参见5.4选择“按照IP地址创建”，单击<下一步>按钮，如5-4所示图5-4根据IP包的总数，超过该阈值将视为攻击，范围 1～1,000,000，单位为“包/秒”TCP代理：设定是否启用TCP代理。启用TCP代理时，当检测到受保护主机受择适当的区域，其他参数设置同上，如 5-5所示图5-5说明5-5SYNFlood攻击防范功能必须满足三点：1.使能受保护域（IP所在域）IP统计功能；25SYNFlood攻击防范功能必须满足三点：1.使能受保护域（IP所在域）IP统计功能；2SYNFlood攻击防范功能；3.配置具体的SYNFlood攻击防范功能。2UDPFlood式，以按照IP地址创建为例，如5-6所示图5-6UDPFlood3.ICMPFlood式，以按照安全区域名创建为例，如 5-7所示图5-7ICMPFlood在此页面指定受保护的安全区域和最大速率，范围为1～1,000,000，单位为“包5-55.2访问控制列表ACL（AccessControl55.2访问控制列表ACL（AccessControl在“防火墙”目录中点击“ACL”进入配置页面，如5-8图5-8ACL则下通过时间段名称引用该时间段，从而实现基于时间段的ACL过滤。在“ACL配置”区域单击<ACL时间段信息>按钮进入时间段配置页面间段生效的日期的复选框。如5-9所示的名为workdays的时间段生效时间将在每图5-95-5vacation2005265vacation20052612005220号的晚上11点。单击<创建>按钮添加时间段图5-102ACL在配置ACL时候，需要使用到通配符掩码，而不是子网掩码。通配符掩码不取反，然后和sour-addr进行“与”运算，从而得出源地址范围。例如：源地址通配符掩码源地址范围55相当于所有源地址在“ACL配置”区域单击<ACL配置信息>按钮进入ACL配置页面ACL在“ACL编号”中输入接口ACL的编号，范围为1000～1999。在“匹配拉框中选择此ACL中的规则的匹配顺序址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如指定了一台主机：，而则指定了一个网段：～55，显然前规则，配置了“any5-5Config：按照用户配置ACL5Config：按照用户配置ACL的规则的先后进行匹单击<创建>按钮后可看到新的接口ACL出现在ACL信息列表中，如5-11所示图5-11创建接口在ACL信息列表中选中一个接口ACL，单击<配置>按钮对ACL进行配置，如5-ACL规则已经存在，则会使用新定义的规则覆盖旧的定义，相当于编辑一个已经存在的ACL的ACL规则不存在，则使用指定的编号创建一个新的ACL规则单击<应用>按钮后此规则将会出现在接口ACL规则配置概览列表中，如图5-125-5 ACL基本ACL5 ACL基本ACL仅使用源地址信息作为定义访问控制列表规则的元素。若要配置基本ACL，在“ACL编号”中输入基本ACL的编号，范2000～2999在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序。单击<创建>按钮后图5-13创建基本在ACL信息列表中选中一个基本ACL，单击<配置>按钮对ACL进行配置，如5-ACL规则已经存在，则会使用新定义的规则覆盖旧的定义，相当于编辑一个已经存在的ACL的ACL规则不存在，则使用指定的编号创建一个新的ACL规则5-55单击<应用>按钮后此规则将会出现在基本ACL规则配置概览列表中，如图5-14 ACL高级ACL可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型（例如TCP的源端口、目的端口，ICMP协议的类型、消息码等内容）定义规则。利用高级ACL可以定义出比基本ACL更准确、丰富和灵活的规则。Internet的上层应用都是通过TCP或UDP报文进行传输的，通过使用高匹只有TCP和UDP协议可以指定端口号，如5-1所示5-5表5-1TCPUDP5表5-1TCPUDP5-DaytimeEcho(7)Exec(rsh,FingerFileTransferProtocol(21)FTPdataconnections(20)Gopher(70)InternetRelayChat(194)Kerberoslogin(543)KerberosshellPrinterserviceProtocol(119)PostOfficeProtocolv2PostOfficeProtocolv3Protocol(25)SyslogTalkTelnetTimeWorldWideWeb(HTTP,55息码。例如，“目的站点不可达”的ICMP报文的消息类型是3，如果该报文传达“网0；如果该报文传达“主机不可达”信息，则消息码为1。ICMP报文类型和消息码如表5-25-MailnotifyTokenMap(90)EchoMobilIP-MNHostNameServerNetworkTimeProtocolSNMPSNMPTRAPSyslogTalkTime(37)Protocol(177)5表5-2ICMP若要配置高级ACL5表5-2ICMP若要配置高级ACL，在“ACL编号”中输入高级ACL的编号，范3000～3999在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序。单击<创建>按钮后图5-15创建高级在ACL信息列表中选中一个高级ACL，单击<配置>按钮对ACL进行配置，如5-5-Type=8,Code=0Type=0,Code=0Type=3,Code=4Type=5,Code=1Type=5,Code=3Type=3,Code=1Type=5,Code=0Type=5,Code=2Type=3,Code=0Type=3,Code=3Type=3,Code=2Type=4,Code=0Type=3,Code=5Type=11,5ACL规则已经存在，则会使5ACL规则已经存在，则会使用新定义的规则覆盖旧的定义，相当于编辑一个已经存在的ACL的ACL规则不存在，则使用指定的编号创建一个新的规则。如果不指定编号，表示增加一个新规则，系统自动会为这个ACL规源地址设置：指定ACL规则的源地址信息，并指定源地址的通配符掩TCP/UDP报文的任何源端口信息都匹配，也可以从时有效。如果不配置，表示任何ICMP类型的报文都匹配，也可以从下拉框中选5-5单击<应用>按钮后5单击<应用>按钮后此规则将会出现在高级ACL规则配置概览列表中EthernetFrameACLMACACL可以对MAC地址进行过击<创建>按钮后可看到新的EthernetFrameACL出现在ACL5-17图5-17EthernetFrame在ACL信息列表中选中一个EthernetFrameACL，单击<配置>按钮对ACL进行配置5-18图5-18EthernetFrameACL5-5ACL规则已经存在，则会使用新定义的规5ACL规则已经存在，则会使用新定义的规则覆盖旧的定义，相当于编辑一个已经存在的ACL的ACL规则不存在，则使用指定的编号创建一个新的规则。如果不指定编号，表示增加一个新规则，系统自动会为这个ACL规MAC”和“LSAP”时此选项才可用。单击<创建>按钮后此规则将会出现在以太帧头ACL规则配置概览列表中，如5-ACLACLACL应用到接口时，同时会遵ASPF策略应用于指定的接口，这样才能对通过接口的流量进行检测（ASPF策略暂不支持Web配置）。口的ASPF或ACL配置”配置页面，如图5-19、图5-20所示。5-5滤）、5滤）、ethernet-frame-filter或ASPF。策略号，范围为1～99。说明基于接口的访问控制列表（1000到1999的ACL）只能使用参数5.2.3ACLTelnet，WWW假定外部特定用户的IP地址为5-5图5-21ACL5图5-21ACL信息>按钮。在“ACL编号”栏中输入基本ACL的编号2001，单击<创建>钮，在下面的列表中选择 ACL，单击<配置>按钮址”栏中输入内部特定PC的地址，“源地址通配符”中输入访问外部的ACL并且保留“源IP地址”栏空白，代表所有源地址，单击<应用>按钮。在“防火墙”目录中点击“ACL”，在右边的ACL配置区域中单击<ACL配置信息>按钮。在“ACL编号”栏中输入ACL的编号3001，单击<创建>按钮，在下面的列表中选择此ACL，单击<配置>按钮。0。在“目的地址TelnetServer的地，通配符0。5-5使用同样方法为此特定外部用户5使用同样方法为此特定外部用户创建允许其访问内部FTPWWW服务器的规则，其中FTP使用端口号为2021，WWW使用的端口号为80。5.3IPACL的包过滤功能相有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由SecPath防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特IPIP地址发送的报文5-22所示图5-225-23所示图5-235-55 统已经缺省创建的安全区域及其优先级和所连接的接口，如5-23所示图5-24防火墙连接此区域所使用的接口，如 5-25所示图5-255-55MAC地址，从而形成有效的保护，避免IP地址欺骗攻击。5-26所示。IP-MAC地址绑定配置信息概览页面单击<使能>IP-MAC地址绑定功图5-26IP-MAC防火墙会话表能对面的上半部分可以查看到当前防火墙会话表的各个协议的超时时间，如 5-27所示5-5图5-275图5-275-28图5-285.6.2查看防火墙会话信图5-29过此会话信息可以看到当前地址为的主机与防火墙的5-55全区域中的所有主机提供保护，如 5-30所示。单击<添加>按钮启动TCP代理图5-30TCP说明如果在配置SYNFlood攻击时也启用了TCP代理（参见5.1.2），则在此处的配置优5-第6VPN6.1VPNVPN第6VPN6.1VPNVPN合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet1.VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过VPNVPNVPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPNVPN不是一种简单的高层业务。该业务建立专网用户之间的网络互联2.VPN得VPN的应用具有很大灵活性。6-3VPNVPN是由Site组成的集合。Site可以同时属于不同的VPN，但是必须遵循如下规则：两个Site只有同时属3VPNVPN是由Site组成的集合。Site可以同时属于不同的VPN，但是必须遵循如下规则：两个Site只有同时属于一个VPN定义Site集合，才具有IP连通性。按SiteSiteSiteSiteVPNVPNSiteVPN图6-1VPNVPN1---Site2、VPN2---Site1、Site3、VPN3---Site1、6.1.2VPN的基本技以某企业为例，通过VPN建立的企业内部网如6-2所示远端用P公司总合作伙内部图6-2VPN6-从上图可以看出，企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本ISPPOP（PointofPresence）服务器，从而访问公司内部资源。而利用传统ISP的上网权限就可以访问企业内部资源，VPNVPN从上图可以看出，企业内部资源享用者通过PSTN/ISDN网或局域网就可以连入本ISPPOP（PointofPresence）服务器，从而访问公司内部资源。而利用传统ISP的上网权限就可以访问企业内部资源，VPNVPN的服务2.VPNVPNVPN图6-3VPN如上图所示，VPN用户通过PSTN/ISDN网拨入ISP的NAS（NetworkAccessIPVPN服务器，VPN服务器收到数据包并拆封加密处理，使Internet上的其它用户无法读取，因而是安全可靠的。对用户来说，隧道是其PSTN/ISDN链路的逻辑延伸，操作起来和实际物理链路相同。3COM等公司支持WindowsNT4.0以上版本中支持。该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，为传输的PPP报文提供流控和拥塞控制的封装服务。L2F（Layer2Forwarding）6-L2TP（Layer2TunnelingProtocol）：IETFL2TP（Layer2TunnelingProtocol）：IETFIPsec（IPsecurity）协议：IPsecIP网PPP帧，这可能产生传输效率问题。其次，PPP会话贯穿整个隧道并终止在用户侧设备上，导致用户侧网关必须要保存性。此PPPLCPNCP协商都对时间非常敏感，这样隧道的效率降低会NASPPP对话的状态，从而6.2L2TP6.2.1L2TP协议简1VPDNVPDN（VirtualPrivateDialNetwork，虚拟私有拨号网是指利用公共（6-VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。VPDN有下列两种实现方式VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。VPDN有下列两种实现方式NAS通过隧道协议VPDNPPP需要NAS支持VPDN协议，需要认证系统支持VPDN属性。客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立与Internet的连接，再通过专用的客户软件（如Win2000支持的L2TP客户端）与网关VPDN隧道协议可分为PPTP、L2FL2TP三种，目前使用最广泛的是L2TP使用L2TP协议构建的VPDN应用的典型组网如6-46-远地用InternetL2TP通道远地分支内部服务其中，LACL2TP访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有PPP端系统L2TP协议处理能力的设备LAC一般远地用InternetL2TP通道远地分支内部服务其中，LACL2TP访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有PPP端系统L2TP协议处理能力的设备LAC一般是一个网络接入服务器NAS，主要用于通过PSTN/ISDN网络为用户提供接入服LNS表示L2TP网络服务器（L2TPNetworkServer）PPP端系统上用于处理L2TP协议服务L2TP协议进行封装并送往LNS，将从LNS收到的信息包进行解封装并送往远端系统。LAC与远端系统之间可以采用本地连接或PPP链路，VPDN应用中通常为PPP链路。LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑L2TP协议的技术细L2TP图6-5L2TP6-PPPL2TP数据通口（未必 1701），给发送方的指定端口回送报文。至此，双方的端口选定，并LNSLAC对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，它定义了一个LNSLAC口（未必 1701），给发送方的指定端口回送报文。至此，双方的端口选定，并LNSLAC对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，它定义了一个LNSLAC对；另一种是会话（Session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。在同一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制连接和一个或多个会话（Session）组等信息的交换）成功之后进行，每个会话连接对应于LACLNS之间的一个PPP数据流。控制消息和PPP数据报文都在隧道上传输。L2TPHello报文来检测隧道的连通性。LACLNSHello报文，若在一段时间内未收到Hello报文的应答，该隧道连接将被断开。控制消息和数据消息共享相同的报文头。L2TP报文头中包含隧道标识符（TunnelID）和会话标识符（SessionID）信息，用来标识不同的隧道和会话。隧道标识相远端系统或LAC客户端（运行L2TP协议的主机）与LNS之间的隧道模式6-6LAC客户内部服务Frameor远端系内部服务6-PSTN/ISDNLACLAC拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS侧完成。直接由LAC客户（指可在本地支持L2TP协议的用户）发起。此时LAC客户可直接向LNS发起通道连接请求，无需再经过一个单独的LAC设备。此时，LAC客户地址的分配由LNS来完成。L2TP隧道会话的建立过应用的典型组网如下图所示RADIUSPSTN/ISDNLACLAC拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS侧完成。直接由LAC客户（指可在本地支持L2TP协议的用户）发起。此时LAC客户可直接向LNS发起通道连接请求，无需再经过一个单独的LAC设备。此时，LAC客户地址的分配由LNS来完成。L2TP隧道会话的建立过应用的典型组网如下图所示RADIUSRADIUSIPIP图6-7L2TP隧道的呼叫建立流程可如下图所示 (1)Call (2)PPPLCP(3)PAPorCHAP(4)access(5)accessnegotiationparameter(11)access(13)access 图6-8L2TP6-L2TP隧道的呼叫建立流程过程为用户端PC机发起呼叫连L2TP隧道的呼叫建立流程过程为用户端PC机发起呼叫连接请求PCLAC端进PPPLCP协商LACPC机提供的用户信息进行PAPCHAP认证LAC将认证信息（用户名、密码）发送给RADIUS服务器进行认证；相关信息，并且LAC准备发起Tunnel连接请求；LAC端向指定LNSTunnel连接请求LACLNSCHAPchallenge信息，LNSchallenge响应消息CHAPresponse，并发送LNS侧的CHAPchallenge，LAC返回该challenge的响应消息CHAPresponse； 服务器认证该请求信息，如果认证通过则返回响应信LNSCHAPLNSLNS再次将接入请求信息发送给RADIUS服务器进行认证；L2TP协议的特L2TP协议本身并不提供连接的安全性但它可依赖于PPP提供的认（比如CHAP、PAP等）PPP所具有的所有安全特性。L2TPIPsec结合起来实现安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方L2TPPPP数据包，这样就可以在PPP数据包内封装多种协议6-理，可支持私有地址应用（RFC1918）。为远端用户所分配的理，可支持私有地址应用（RFC1918）。为远端用户所分配的地址不 下面LAC、LNS两侧分别介绍L2TP的配置1.在“VPN配置”目录下的“L2TP”子目录中点击“基本配置”，进入L2TP基本息配置概览页面，可以查看L2TP使能状态，如6-9图6-9L2TP单击页面中的<配置>按钮进入L2TP基本参数配置页面，如6-10所示图6-10L2TP2.L2TP的配置中，LACLNS端的配置有所不同。在各项配置任务中6-在“L2TP”子目录中点击“组配置”，在“L2TP”子目录中点击“组配置”，进入L2TP组配置信息概览页面，单击<创>按钮进入组配置页面6-11图6-11L2TPLACL2TP组，这不仅可以在防火墙上LACLNS组网应用。L2TPLACLNS上独立编号，只需要保证LACLNS之间关选中L2TP组的客户信息”按钮，即进行LAC侧的配置。LAC侧需要进行对端LNSIP地址：防火墙需要满足一定的条件才会向其它设备（如安全网LNS服务器）L2TP连接的请求。通过配置对接入用6-VPN用户，并决定是否向LNS发起连接。VPN用户，并决定是否向LNS发起连接。最多可以设置五个LNS，中间LNS。正常运行时，防火墙（LAC）LNS配置的先后顺序，依次向对端（LNS）L2TPLNS接受连接请求，该LNS就成L2TP隧道的对端L2TP通道本端名称：设置隧道的本端名称。LACLNS侧配置的接Hello报文发送时间间隔Hello报文时间间隔。为了检LACLNS之间通道的连通性，LAC和LNS会定期向对端发送Hello报文，接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello置，LAC将采用此缺省值为周期向对端发送Hello报文。之前启用隧道验证。隧道验证请求可由LACLNS任何一侧发起。只要有一各厂商生产的VPN设备或客户端软件创建VPN隧道连接时略有不同，如使用Windows自带的VPN客户端做LAC时，启用了隧道验证但不配置密码，也是允许建立隧道的。本手册中的描述只适用于LNS和LAC设备都选用H3CSecPath系列产品及H3CSecPoint客户端软件时的情况。（AttributeValuePair，属性值对）L2TP的一些参数属性等。6-L2TP隧道流控：选择Enable以启用L2TP隧道流控L2TP隧道流控：选择Enable以启用L2TP隧道流控功能L2TP隧道保持不挂断：当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。LACLNS任何一端都可主动发起隧道ACK消息丢失的情况下能够正确接收到对端LNSL2TP组，这不仅可以在防火墙上LACLNS组网应用。L2TPLACLNS上独立编号，只需要保证LACLNS之间关侧要进行的配置包L2TP组号：创建并指定L2TP组的号码在运行过程中动态创建的虚接口的工作参数，如MP捆绑逻辑接L2TP逻辑LAC名称：设置通道对端的名称。LNS可以使用不同的虚拟接口模板接收不同的LAC创建隧道的请求。在接收到LAC发来的创建隧道请求后，LNSLAC的名称是否与合法通道对端名称相符合，从而决定是否允与LNS相连的企业域名：设置企业通道本端名称：设置LNS侧的本端隧道名称Hello报文发送时间间隔Hello报文时间间隔。为了检LACLNS之间通道的连通性，LAC和LNS会定期向对端发送Hello报文，接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello6-之前启用隧道验证。隧道验证请求可由之前启用隧道验证。隧道验证请求可由LACLNS任何一侧发起。只要有一说明各厂商生产的VPN设备或客户端软件创建VPN隧道连接时略有不同，如使用Windows自带的VPN客户端做LAC时，启用了隧道验证但不配置密码，也是允许建立隧道的。本手册中的描述只适用于LNS和LAC设备都选用H3CSecPath系列产品及H3CSecPoint客户端软件时的情况。LCP参数重协商Enable以启用强制LCP重协商。NAS发起的VPN服务请求（NAS-InitializedVPN），在PPP会话开始时，用户先和NAS（网络接入服务器）PPP协商。若协商通过，则由NAS初始L2TP通道连接，并将用户信息传递给LNS，由LNS根据收到的代理验证信息，判断用户是否合法。但在某些特定的情况下（如需在LNS侧也要进行验证与计费），LNSLCPNAS侧的代L2TPAVP隐藏功Enable以启AVP隐藏功L2TP协议使用（AttributeValuePair，属性值对）L2TP的一些参数属性等。面的配置，将这些AVP隐藏起来传输。隐含AVP功能必须是两端都使用隧道L2TP隧道流控：选择Enable以启用L2TP隧道流控功能L2TP隧道保持不挂断：当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。LACLNS任何一端都可主动发起隧道6-3.在“L2TP”子目录中点击“状态查3.在“L2TP”子目录中点击“状态查询”，进入L2TP状态查询页面，可以通过单击息>按钮对相应的信息进行浏览，如图6-12所示。图6-12L2TP6.3IPsec1IPsec说明完整性（Dataintegrity）指对接收的数据进行验证，以判定报文是否被篡改。真实性（Dataauthentication）指验证数据源，以保证数据来自真实的发送者Payload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过（InternetKeyExchange，因特网密钥交换协议）IPsec6-AH（AuthenticationHeader）是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重放功能；然而，AH并不加密所保护的数据AH（AuthenticationHeader）是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重放功能；然而，AH并不加密所保护的数据说明说明2.信息的安全，加密/解密、认证的算法一般比较复杂，防火墙IPsec软件进行加密/解密算法将占用大量的CPU资源，从而影响了防火墙整体的处理效率。因此，防火墙可以使用加密卡或内置加密芯片，以硬件方式完成数据的IPsec运算，消除了IPsec处理的过程中，若处理某特定数据流的加密卡状态异且Comware主体软件IPsec模块支持该加密卡使用的加密/认证算法，则ComwareIPsecIPsec处理，从而实6-说明ComwareIPsec模块对数据的处理机制完全相同，区别仅仅在于ComwareIPsec3说明ComwareIPsec模块对数据的处理机制完全相同，区别仅仅在于ComwareIPsec3IPsecIPsec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如，某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保3DES（TripleDataEncryptionStandard，三重数据加密标准）进行加密；另一方面，策略可能规定来自另一个站点的数据流只使用ESP保护，并仅使用安全联盟是IPsec的基础，也是IPsec的本质。SA是通信对等体间对某些要素的模式和隧道模式）、密码算法（DES、 AES）、特定流中保护数据的共对两个方向的数据流进行安全保护。同时，如果希望同时使用AHESP来保护对等体间的数据流，则分别需要两个SA，一个用于AH，另一个用于ESP。安全联盟由一个三元组来唯一标识，这个三元组包括SPI（SecurityParameterIndex，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。SPI是为唯一SA而生成的一个32比特的数值，它在AHESP头中传输。在传输模式下，AHESP被插入IP头之后但在所有传输层协议之前。在隧道模式下，AH或ESP插在原始IP头之前，另外生成一个新头放到AH或ESP之前。不同安全协议在传输模式和隧道模式下的数据封装形式（传输协议以TCP为例）如6-图6-13IPsecIPIP地址。从性能来AH和ESP都能够对IP报文的完整性进行验以判别报文在传输过程中是否被篡息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPsec对等体计算摘IPsec使用MD5：MD5通过输入任意长图6-13IPsecIPIP地址。从性能来AH和ESP都能够对IP报文的完整性进行验以判别报文在传输过程中是否被篡息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPsec对等体计算摘IPsec使用MD5：MD5通过输入任意长度的消息，产生128bit的消息摘要法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。ComwareIPsec实现三种加密算DES：使用56bit的密钥对一个64bit的明文块进行加密3DES：使用三个56bitDES密钥（168bit密钥）对明文进行加密。AES（AdvancedEncryptionStandard）：Comware128bit、192bit和256bit密钥长度的AES算法。6-newIPrawIPnewIPrawIPAuthAuthrawIPAuthAuth安全策略的信息，由IKE自动协商来创建和维护安全联盟。安全策略的信息，由IKE自动协商来创建和维护安全联盟。1.ComwareAHESP安全协议，两者既可单独使用，也可结合使用。其中，AH支持MD5SHA-1验证算法；ESP协议支持MD5、SHA-1验证算法和DES、3DES、AES加密算法。Comware支持的操作模式包括传输模式和隧道模式。个防火墙或安全网关实施IPsec，建议采用隧道模式，以隐藏实际通信的源和目的IP地址。面，单击<创建>按钮建立并配置新的安全提议，如图6-14所示。图6-14提议类型：指定此安全提议的类型是否为加密卡安全提议，Proposal或安全协议：选择使用的安全协议，AH、或两者同时使用6-验证算法（ah）：指定验证算法（ah）：指定AH协议所使用的验证算法，MD5或SHA192位AES或256位AES。2.和“顺序号”共同唯一确定。安全策略分为手工安全策略和IKE协商安全策略，前者需要用户手工配置密钥、SPI等参数，在隧道模式下还需要手工配置安全隧道两个端点的IP地址；后者则由IKE自动协商生成这些参数。页面，单击<创建>按钮进入创建安全策略页面，如图6-15所示。图6-15安全策略模板：指定此策略所引用的安全策略模板。仅当使用IKE自动协商创建略参数配置页面，如图6-166-图6-16图6-16时才可设置此参数。Web管理暂不支持对手工方式协商安全联盟的策略进行时才可设置此参数。Web管理暂不支持对手工方式协商安全联盟的策略进行体的配置请参考6.4IKEPFS：选择协商时使用的PFS特性，768位DH组、1024位DH组、1536位DH2048DHIKE自动协商创建安全联盟时此选项才可用。PFS（PerfectForwardSecrecy，完善的前向安全性）PFSPFS，对PFSDH组必须一致，否则协商会失败。1024-bitDiffie-Hellman768-bitDiffie-Hellman组提供更高6-说明IKEIPsec安全策略相同，只是很多参数说明IKEIPsec安全策略相同，只是很多参数PFS特性可以不配置。但需要注意：如果配置了这些参数中的一个或几个，则在协4.接口便不再具有IPsec的安全保护功能。6-H3CSecPath系列防火墙实现的IPsec安全策略除了可以应用到实际物理接口上之Tunnel、VirtualTemplate等虚接口上。这样就可以根据实际组网要求，在如GRE、H3CSecPath系列防火墙实现的IPsec安全策略除了可以应用到实际物理接口上之Tunnel、VirtualTemplate等虚接口上。这样就可以根据实际组网要求，在如GRE、L2TP等隧道上应用IPsec。览页面，单击<创建>按钮配置接口安全策略，如图6-17所示。图6-17IPsec协商建立新的安全联盟，这样在旧的安全联盟失效时新的安全联盟就已览页面，可以查看基于时间的和流量的安全联盟生存周期，如 6-18所示图6-18单击<配置>按钮可以对生存周期进行配置，如6-19所示6-图6-19其中基于时间的生存图6-19其中基于时间的生存周期的缺省值为3600秒，范围为30～604800秒；基于流量生存周期的缺省值为1843200字节，范围为256～4194303字节6.4IKEIPsecIKE具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建立IPsec安全联盟。加密的前提是交换加密数据的双方必须要有共享的密钥。IKE的精髓在于它永IPsecIKE6-身份验证。身份验证确认通信双方的身份。对于pre-sharedkey验证方法IKEIPsec进行密钥协商并建立安全联盟：第一阶段，通信各方ISAKMP安全联盟，即ISAKMPSA；第二阶段，用在第一阶段建立的安全通道为IPsec协商安全服务，即为身份验证。身份验证确认通信双方的身份。对于pre-sharedkey验证方法IKEIPsec进行密