安全保障之H3C.docx

安全保障之H3C.docx

《安全保障之H3C.docx》由会员分享，可在线阅读，更多相关《安全保障之H3C.docx（23页珍藏版）》请在冰豆网上搜索。

安全保障之H3C

安全保障之H3C-F100防火墙校园实测（转载自IT168）

随着网络信息化的普及，基本上所有中小学都建立了自己的内部校园网络，各种网络服务纷纷在校园网内应用，资源以及教师学生等数据储存在服务器上，因此网络安全问题需要引起各学校网络管理人员的特别重视。

在学校外网出口放置一台高品质的防火墙是目前最直接最有效的办法。

最近笔者拿到了一款适合中小学以及中小企业的安全产品——H3CSecPathF100-C-EI防火墙，下面我们就来体验一把F100防火墙校园实测，看看他是如何为学校网络安全作出保障的。

　　一，产品简介：

　　H3CSecPathF100-C-EI防火墙设备是H3C公司面向家庭办公、小型办公室以及中小企业开发的新一代专业防火墙产品。

该产品拥有五个10/100M自适应以太网接口，可灵活配置为不同的安全域，如Trust安全域、DMZ安全域、Untrust安全域和管理安全域等。

　　产品正面一共有六个接口，从左往右依次是五个以太接口以及一个CONSOLE接口，五个以太接口连接内外网，CONSOLE接口负责初始化和日常参数配置。

就自身硬件配置来说H3CSecPathF100-C-EI防火墙使用的内存是SDRAM的，容量为64MB，同时FLASH存储空间为8MB，默认情况下基本被全部占用。

（如图1）

　　二，实测拓扑结构以及设备初始化：

　　为了更好的测试F100的自身性能，笔者将其放置到一所中学进行实地测试，该中学规模中等，学校内部按照部门分为多个区域，包括网络管理区，服务器群，教师办公室计算机区，学生机房计算机区。

在区域划分上比较符合防火墙多区域管理的特点。

笔者将F100放置到学校网络中心机房，负责连接各个区域以及外网出口。

由于该学校网络出口通过光猫连接光纤访问internet，所以笔者选择LAN4这个接口作为外网接口通过RJ45线缆连接光猫;同时其他几个LAN接口依次连接网络管理区，服务器群，教师办公计算机区，学生机房计算机区。

由于学校服务器需要对外发布WWW站点以及CMIS管理信息系统，所以在配置时将服务器群连接的接口添加到DMZ区。

（如图2）

　　小提示：

　　F100有五个LAN接口，他们依次编号为LAN0，LAN1，LAN2，LAN3，LAN4。

在实际测试时笔者选择最后一个接口LAN4连接外网。

　　规划好网络拓扑以及防火墙的位置后我们就要针对F100进行初始化设置了，首先使用随机CONSOLE线连接F100的CONSOLE接口以及计算机的COM口，然后设置超级终端相关连接，完毕后开启F100电源启动防火墙，在超级终端中应该可以看到防火墙的启动界面以及自检信息。

出现“pressentertogetstarted”后我们回车即可进入命令行设置界面。

（如图3）

　　进入命令行设置界面后我们执行的操作和H3C其他相关路由器交换机产品是一致的，通过Discur我们可以看出各个接口对应的是ethernet0/0到ethernet0/4。

同时默认情况下防火墙针对访问权限划分了四个区域，分别是LOCAL，Trust，Untrust以及DMZ区，对应的优先级也各不相同。

（如图4）（如图5）

　　三，更加人性——用WEB方式配置防火墙：

　　和之前的路由器交换机不同的是H3C在SecPathF100-C-EI防火墙设备中增加了更加人性的WEB方式配置界面，用户可以通过WEB方式来访问防火墙管理界面并通过图形化方式来配置各种网络参数，这点改进大大降低了防火墙设置的门槛，让用户可以更快的上手进行安全操作。

下面我们就来看看如何通过WEB方式来配置SecPathF100-C-EI防火墙，当然默认情况下WEB方式是关闭的，我们需要执行以下几条命令开启他。

　　第一步：

进入命令行设置界面将容许访问WEB界面的那个接口IP地址进行设置，例如笔者将Ethernet0/0的IP地址设置为192.168.0.1255.255.255.0。

（如图6）

　　第二步：

接下来将该接口添加到信任区中，只有信任区的接口才能够通过WEB方式来管理，同时配置防火墙的默认策略为容许数据通过。

（如图7）

　　第三步：

在防火墙中建立相应的帐户信息以及密码，同时给予该帐户telnet权限，默认权限设置为最大的级别3。

因为在SecPathF100-C-EI防火墙中WEB访问权限是与telnet权限一致的，两者共同存在。

当然不同的权限级别会对应不同的设置权限，在我们通过WEB访问管理时也能够看到差别。

（如图8）

　　第四步：

接下来我们将计算机的IP地址设置到与Ethernet0/0在一个网段，然后通过浏览器访问http:

//192.168.0.1即可看到SecPathF100-C-EI防火墙的WEB管理登录界面。

（如图9）

　　第五步：

输入刚刚设置的具备LEVEL3的帐户信息后顺利近入管理界面，在这里我们可以通过图形化方式来配置SecPathF100-C-EI防火墙的各个网络参数，所配置的信息实时生效。

（如图10）

　　支持基于WEB方式的管理是SecPathF100-C-EI防火墙的最大特色这一，相比传统的H3C路由交换设备来说图形化管理界面可以更加方便用户设置，毕竟中小企业的网管人员自身技术水平有限，通过图形化可以让安全设置信息更加直观，更有利于企业网络的安全。

　　四，F100特色功能简介：

　　俗话说系统集成设备配置从图形化界面开始，而故障排查深入应用才到命令行下去寻找答案，所以笔者也将从图形化界面入手来为各位介绍F100的各个特色功能。

通过“系统管理”->“设备概览”->“文件系统”我们可以看到默认情况下F100的FLASH中存储有三个文件，其中的HTTP.ZIP是WEB管理平台程序。

（如图11）

（1）系统资源占用浏览更直观：

　　以往笔者在配置路由交换设备当网络通讯速度缓慢时一般都要首先查看设备的CPU及内存占用情况，在命令行下通过discpu等命令监控，不过F100的图形化界面为我们简化了此步骤，在“系统管理”->“设备概览”->“系统资源”下我们可以直接看到设备自身的CPU占用率以及内存占用情况，必要时可以通过“详细信息”按钮查看每个进程每个连接对CPU与内存的占用。

（如图12）

（2）域名服务节约DNSserver：

　　在企业和学校内部都会有专门的DNS服务器来完成域名解析工作，特别是当自己网络中存在域时更需要建立域名到IP地址的映射关系，以往都是通过专门的DNS服务器来完成，不过在F100中的“系统管理”->“域名服务”中我们可以手工添加这种映射，简化了操作节约了DNS服务器的配置。

（如图13）

　　（3）路由管理不含糊：

　　在WEB管理界面下的“网络配置”->“路由管理”中我们可以根据网络实际情况添加静态路由和缺省路由信息，从而更加灵活的转发数据包。

不过遗憾的是虽然SecPathF100-C-EI防火墙支持RIP和OSPF动态路由协议，但是我们无法在WEB管理界面中进行配置，如果要开启动态路由协议的话只能到命令行界面中却配置。

同时SecPathF100-C-EI防火墙还支持PPPOE拨号以及SNMP网络管理协议，如果企业有RADIUS验证服务器的话也可以通过F100的AAA实现远程验证的功能。

（如图14）

　　（4）对象管理更灵活：

　　以往在设置网络设备时都要反复设置时间规则，地址规则，服务规则等信息，而在F100中我们可以通过图形化界面轻松设置这些信息。

在“对象管理”下有包括“地址，服务，时间段对象以及流对象”等多个信息供我们选择。

这里设置的对象在后面的策略管理，防火墙策略等应用中可以直接调用，避免的反复输入的麻烦也为批量更改提供了便利条件。

（如图15）

　　小提示：

　　流对象实际上就是我们平时说的访问控制列表，通过流对象可以定义一条数据包丢弃和转发规则。

不过在这里设置不能随意，所有信息都通过下拉菜单选择，下拉菜单中的信息恰恰是之前设置的地址对象，服务对象以及时间对象等信息（如图16）

　　（5）策略管理让数据管理事半功倍：

　　在策略管理中我们可以针对流过滤策略的应用接口进行设置，这点类似于命令行下的packet-filterinbound|outbound，我们只需要选择要应用的接口，流过滤策略名称以及策略应用方向即可。

当然在策略管理下我们还可以针对NAT地址转换策略进行设置。

F100支持EASYIP这种多对一的NAT转换形式。

（如图17）

　　（6）中规中矩的区域安全设置：

　　区域安全设置是防火墙区别于路由交换以及VPN产品的最大特色之一，F100中也特别添加了区域安全设置功能，我们可以针对不同区域设置其自身安全优先级，同时可以设置不同接口属于不同安全区域。

（如图18）

　　（7）强大的攻击防范功能：

　　最后笔者再说说F100强大的防火墙管理功能，在“防火墙管理”下有多个特色功能，包括攻击防范，邮件过滤，网页过滤，黑名单，IP-MAC地址绑定，防火墙会话，ASPF，TCP代理等等，每个选项都对应非常不错的功能。

特别是“攻击防范”，在这里F100为我们提供了预防各个扫描攻击，定向攻击的功能，一共23种之多，建议用户在实施时将他们全部选中。

同时为了避免被Ddos攻击，F100提供了三种防范策略，分别是预防synflood攻击，预防udpflood攻击以及预防ICMPflood攻击。

要知道这些预防配置在命令行下根本无从下手，而图形化界面却为我们大大简化了此操作。

（如图19）

　　（8）页面过滤以及SQL注入防范功能：

　　在F100中我们可以针对访问目的地址，内容等方面进行过滤，我们只需要在“防火墙管理”->“网页过滤”中进行添加即可，学校通过关键字对黄赌毒等不良信息进行封锁。

而在该功能下的SQL注入攻击则更有特色，要知道由于SQL语句的原因很多使用PHP或ASP制作的站点都容易被SQL注入攻击而篡改网页。

而通过F100的SQL注入攻击过滤参数配置功能可以提前将SQL查询语句以及对应的关键字信息进行过滤，从而阻止非法入侵者针对SQL语句和表名字段信息的查询，彻底避免外网的SQL注入攻击。

（如图20）

　　（9）VPN设置与安全连接：

　　在F100中也提供了VPN的接入，我们可以设置L2TP，IPSEC，GRE，PKI等多种方式的VPN接入服务。

（如图21）

　　（10）日子后查询提供更完善：

　　H3C设备内部都有一个信息中心，所有日志记录都储存在信息中心中，不过在命令行下查询非常不方便也不直观。

不过F100为我们提供了图形化的日志查询功能，我们可以实时了解每台主机，每个时间段的日志信息，保证故障发生后能够通过查询日志快速解决。

另外结合流量统计功能我们也可以在第一时间发现内网各个终端流量的异常情况。

（如图22）

　　（11）应用控制功能让网络带宽应用更合理：

　　在F100的“应用控制”功能下提供了几个行之有效的功能，他们分别是“防P2P软件”，“防即时通讯工具”，“内网主机速率控制”，“内网主机速率保证”。

通过这些功能可以针对内网P2P类下载软件进行封杀，也可以禁止内网用户通过MSN或QQ聊天。

同时还可以针对主机的速度设置最低速度以及最高速度。

（如图23）

　　当然F100中提供的功能还有很多，上文只是针对其特色功能进行了介绍，由于篇幅关系这里就不详细说明了，感兴趣的读者可以自行参考配置手册。

总之F100通过多个方面来加强内网管理提升内网安全，同时WEB方式的管理界面也让我们的安全配置更加方便灵活，以往在命令行下无法实现的功能也可以在图形化界面下轻松解决。

　　五，实际使用感受：

　　笔者将SecPathF100-C-EI防火墙放置到一所中学测试了将近两周，在这两周时间里F100表现还是不错运行很稳定，没有出现死机的情况。

笔者将服务器群放到了DMZ区在外网也可以顺利访问，对内部也顺利的实现了服务发布等功能。

同时笔者针对教师办公计算机区以及学生机房计算机区进行了区域划分，将前者放置到优先级更高的区域。

由于防火墙只容许高优先对低优先的方法，所以学校内部实现了教师办公计算机可以访问机房计算机而机房计算机无法访问教师办公计算机的目的，这点相比VLAN划分以及访问控制列表过滤等方法来说实现起来更加简单和灵活，也体现了防火墙的优势。

　　另外防火墙自身也提供了DHCP自动分配地址的功能，从而在实际使用过程中省去了搭建DHCP服务器的麻烦，总体来讲全校100多台网络终端设备在F100的接入下运行非常稳定，网络通讯也很流畅，F100的表现可圈可点。

　　五，实际使用感受：

　　笔者将SecPathF100-C-EI防火墙放置到一所中学测试了将近两周，在这两周时间里F100表现还是不错运行很稳定，没有出现死机的情况。

笔者将服务器群放到了DMZ区在外网也可以顺利访问，对内部也顺利的实现了服务发布等功能。

同时笔者针对教师办公计算机区以及学生机房计算机区进行了区域划分，将前者放置到优先级更高的区域。

由于防火墙只容许高优先对低优先的方法，所以学校内部实现了教师办公计算机可以访问机房计算机而机房计算机无法访问教师办公计算机的目的，这点相比VLAN划分以及访问控制列表过滤等方法来说实现起来更加简单和灵活，也体现了防火墙的优势。

　　另外防火墙自身也提供了DHCP自动分配地址的功能，从而在实际使用过程中省去了搭建DHCP服务器的麻烦，总体来讲全校100多台网络终端设备在F100的接入下运行非常稳定，网络通讯也很流畅，F100的表现可圈可点。

　　另外在图形化界面中我们配置各种对象时不能输入诸如中文或带*等字符的信息，系统都会弹出“对象名包含非法字符”的错误提示。

要知道中文对象名的设置可以让用户更直观的区分对象的差别;另外如果企业通过诸如ADSL等PPPOE方式拨号的话，如果是在北京ADSL帐户都是以“*”开头的字符串，自然无法在WEB图形化界面中正确配置。

不过令人欣慰的是这种问题在命令行下不存在，我们可以在命令行下通过PPPOE设置指令添加带有*字符的拨号帐户等信息。

（如图25）（如图26）

　　当然图形化界面设置信息的保存也存在一定的问题，很容易被用户误操作造成设置信息的丢失。

众所周知我们在命令行下进行配置后都需要通过save命令保存更改，但是在F100的图形化界面中我们修改参数后关闭浏览器并没有任何配置信息需要保存的提示，也就是说在WEB界面下做的所有改动会随着F100设备的重新启动而丢失。

笔者发现要保存更改的配置必须到“系统管理”->“配置保存”中执行一次“确定”操作，在实际配置过程中用户很容易忽视这点而忘记保存WEB下的更改。

（如图27）（如图28）

　　图形化界面与命令行配置的差异也属于美中不足，例如在图形化界面下无法针对DHCP服务，DNS等信息进行设置，无法开启动态路由协议。

图形化界面下访问控制列表以及流控制必须在下拉菜单中选择地址段，这也不如命令行下配置灵活。

　　就设备自身而言产品没有添加RESET功能键，要想恢复原厂配置不得不通过resetsave命令并reboot来实现。

另外该产品只拥有一个WAN接口，对于中小企业需要多条线路合并提高速度以及实现电信联通双线负载均衡等功能的网络在功能上存在缺失。

　　七，总结：

　　当然SecPathF100-C-EI防火墙的定位以及价格决定了他的功能，就笔者个人感觉F100在中小学和中小企业网络中的表现还是相当不错的，通过多个接口实现多个区域安全级别的划分在一定程度上提高了网络安全;同时通过自身的安全防护策略也可以大大减少内网终端设备被外网攻击事件的发生。

#

sysnameH3C

#

firewallpacket-filterenable

firewallpacket-filterdefaultpermit

#

insulate

#

nataddress-group160.190.42.9760.190.42.100

#

firewallstatisticsystemenable

#

radiusschemesystem

server-typeextended

#

domainsystem

#

local-useradmin

passwordsimpleadmin

service-typetelnetterminal

level3

service-typeftp

#

aclnumber2000

rule0permitsource192.168.1.00.0.0.255

aclnumber2001

rule0permitsource192.168.1.00.0.0.255

#

interfaceAux0

asyncmodeflow

#

interfaceEthernet0/0

ipaddress192.168.1.1255.255.255.0

dhcpselectinterface

dhcpserverdns-list202.96.104.17192.168.1.7

#

interfaceEthernet0/1

#

interfaceEthernet0/2

#

interfaceEthernet0/3

#

interfaceEthernet0/4

ipaddress60.190.42.98255.255.255.248

natoutbound2001address-group1

natoutbound2000

#

interfaceEncrypt1/0

#

interfaceNULL0

#

firewallzonelocal

setpriority100

#

firewallzonetrust

addinterfaceEthernet0/0

addinterfaceEthernet0/1

setpriority85

#

firewallzoneuntrust

addinterfaceEthernet0/4

setpriority5

#

firewallzoneDMZ

setpriority50

#

firewallinterzonelocaltrust

#

firewallinterzonelocaluntrust

#

firewallinterzonelocalDMZ

#

firewallinterzonetrustuntrust

#

firewallinterzonetrustDMZ

#

firewallinterzoneDMZuntrust

#

FTPserverenable

#

iproute-static0.0.0.00.0.0.060.190.42.97preference60

#

user-interfacecon0

user-interfaceaux0

user-interfacevty04

authentication-modescheme

#

return

新人求F100-C-EI入网配置

电信10M光纤接入，通过光纤转发器接一根网线到H3CF100-C-EI，然后再接H3CS1650的交换机，

想求一份完整的Internet上网配置（有两个固定IP）

可以的话，我还想实现VLAN和简单的VPN功能，能否也提供一份详细的配置啊

谢谢！

举例说明：

[liuyang-SFCC]

[liuyang-SFCC]discurrent-configuration

#

sysnameliuyang-SFCC

#

firewallpacket-filterenable

firewallpacket-filterdefaultpermit -----包的默认过滤模式。

#

insulate

#

nataddress-group1220.XXX.XXX.XXX 220.XXX.XXX.XXX电信给你的2个公网地址

#

firewallstatisticsystemenable

#

radiusschemesystem

server-typeextended

#

domainsystem

#

local-useradmin

passwordsimpleadmin

service-typetelnet        ------以后telnet管理的用户

level3

#

aclnumber2001

rule0permitsource192.168.1.00.0.0.255  -----内网用户网段，做NAT地址转换用

#

interfaceAux0

asyncmodeflow

#

interfaceEthernet0/0

ipaddress192.168.1.1255.255.255.0  内网用户网关

#

interfaceEthernet0/1

#

interfaceEthernet0/2

#

interfaceEthernet0/3

#

interfaceEthernet1/0

ipaddress220.XXX.XXX.XXX  255.255.255.252   ---电信给的公网地址

natoutbound2001address-group1        -----NAT

#

interfaceEthernet1/1

#

interfaceNULL0

#

firewallzonelocal

setpriority100

#

firewallzonetrust

  addinterfaceEthernet0/0

addinterfaceEthernet0/1

addinterfaceEthernet0/2

addinterfaceEthernet0/3---------用到的接口都要加入对应的域

setpriority85

#

firewallzoneuntrust

addinterfaceEthernet1/0

addinterfaceEthernet1/1

setpriority5

#

firewallzoneDMZ

setpriority50

#

firewallinterzonelocaltrust

#

firewallinterzonelocaluntrust

#

firewallinterzonelocalDMZ

#

firewallinterzonetrustuntrust

#

firewallinterzonetrustDMZ

#

firewallinterzoneDMZuntrust

#

undoinfo-centerenable

#

iproute-static0.0.0.00.0.0.0220.XXX.XXX.XXX preference60  缺省上网的路由到电信下一跳

#

user-interfacecon0

user-interfaceaux0

user-interfacevty04

authentication-modesc