網(wǎng)絡設備電子手冊h3c secpath f100操作手冊

1、Copyright ©2006-2008 杭州留一切權利。通信技術及其者，保本公司全部，并不得以，任何和個人不得擅自摘抄、。本書內(nèi)容的部分或、H3Care、H3C、Aolynk、TOP G、IRF、cPath、NetPilot、Neocean、NeoVTL、SecPro、SecPo、SecEngiComware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVi、HUASAN、為杭州通信技術有限公司的商標。對于本手冊中出現(xiàn)的其它公司的商標、產(chǎn)品標識及商品名稱，由各自權利人擁有。由于產(chǎn)品版本升級或其他原因，本手冊

2、內(nèi)容有可能變更。H3C 保留在沒有任何通知或者提示的情況下對本手冊的內(nèi)容進行修改的權利。本手冊僅作為使用指導，H3C 盡全力在本手冊中提供準確的信息，但是 H3C 并不確保手冊內(nèi)容完全沒有錯誤，本手冊中的所有陳述、信息和建議也不擔保。任何明示或暗示的技術支持用戶支持郵箱：custom技術支持：（固話撥打）（、固話均可撥打）：.cn相關資料及其獲取方式相關資料資料獲取方式您可以通過 H3C（）獲取最新的產(chǎn)品資料：H3C與產(chǎn)品資料相關的主要欄目介紹如下：l 產(chǎn)品技術：可以獲取產(chǎn)品介紹和技術介紹的文檔。l 解決方案：可以獲取解決方案類資料。l 服務支持/文檔中心：可以獲取安裝類、配置類或類等產(chǎn)品資料

3、。l 服務支持/軟件：可以獲取與軟件版本配套的資料。資料意見反饋如果您在使用過發(fā)現(xiàn)產(chǎn)品資料的任何問題，可以通過以下方式反饋：感謝您的反饋，讓做得更好！手冊名稱用途H3C SecPath 系列安全產(chǎn)品命令手冊該手冊介紹了 H3C SecPath 系列安全網(wǎng)關/所涉及的配置和操作命令。包括命令名、完整命令行、參數(shù)、操作視圖、使用指導和操作舉例。H3C SecPath 系列安全產(chǎn)品Web 配置手冊指導用戶通過 Web 方式對 H3C SecPath 系列安全網(wǎng)關/防火墻進行配置操作。H3C SecPath SSL超級管理員配置手冊該手冊介紹了 H3C SecPath SSL系統(tǒng)的安裝與配置，以及超級

4、管理員對系統(tǒng)的資源、用戶等的操作指導。H3C SecPath SSL管理員使用手冊該手冊介紹了 H3C SecPath SSL系統(tǒng)的管理員對系統(tǒng)的用戶、資源以及各類策略的操作指導。H3C SecPath SSL用戶使用手冊該手冊介紹了 H3C SecPath SSL系統(tǒng)的用戶對各類資源的方式。前 言本書簡介本手冊各章節(jié)內(nèi)容如下：第 1 部分 基礎配置。該部分首先簡要介紹安全網(wǎng)關/的基礎配置包括用戶配置的接口（命令行接口）、的特點及功能特性。管理、自動偵z測配置、HW配置、SNMP 的配置、RMON 配置、BIMS 配置、終端服務、Modem 配置以及接口配置，在用戶配置的接口中說明了配置網(wǎng)關所

5、需要搭建的環(huán)境，命令行接口特點，以及最基本的配置。在管理中描述了日志與調(diào)試信息中心、文件系統(tǒng)與文件操作、用戶界面、用戶管理系統(tǒng)和 NTP 配置。SNMP 配置介紹了安全網(wǎng)關/作為Agent 所需要的設置。終端服務中介紹安全網(wǎng)關/可以接入的配置終端的種類和方法。接口配置包括安全網(wǎng)關/的幾種物理接口和邏輯接口的配置。第 2 部分 用戶接入。該部分主要介紹安全網(wǎng)關/接入用戶的幾種方式。z包括 PPP 配置、PPPoE 配置和 VLAN 配置。其中 PPPoE 方式的配置包括PPPoE Server 配置和 PPPoE Cnt 配置。第 3 部分 網(wǎng)絡層協(xié)議。該部分包括 IP 地址的介紹和配置、IP

6、應用、IP 性能、zIP 單播策略路由的配置，還包括安全網(wǎng)關/作為 DHCP Server、DHCPCnt 及 DHCP 中繼的配置、BOOTP 配置、UDP HELPER 配置。第 4 部分由、RI路由協(xié)議。該部分包括 IP 單播路由協(xié)議的介紹和配置。包括靜態(tài)路PF、BGP 等協(xié)議的配置和路由策略的配置。MPLS。該部分包括 MPLS 的基本原理和應用的介紹、MPLS 基本能z第 5 部分z力的配置。第 6 部分。該部分介紹了的技術原理和應用分類，說明實現(xiàn)z的協(xié)議 L2TP 和 GRE 的配置，動態(tài)的配置以及與安全相關的 IPsec和 IKE 配置。該部分還簡要說明了 BGP/MPLS的配置

7、。第 7 部分AAA、安全。該部分包括命令行分級保護、基于 RADIUS/HWTACACS 的z、網(wǎng)絡地址轉(zhuǎn)換、SSL 和 PKI、透明濾、狀態(tài)、混合模式、面象管理、Web 和郵件過濾、防范與報文統(tǒng)計、IDS 聯(lián)動、日志統(tǒng)計等。與此相關的配置還有控制列表。第 8 部分 可靠性。該部分介紹了 VRRP 和雙機熱備的技術原理和配置。zl 第 9 部分 QoS。該部分 QoS 的介紹，流分類、流量和流量整形的配置、擁塞管理配置、擁塞避免配置和 MPLS QoS 的配置。其中擁塞管理包括 FIFO、 PQ、CQ、WFQ、CBQ 和 RTPQ 幾種隊列機制。l 第 10 部分 附錄。包括本手冊常用的縮略

8、語，及對應的英文全稱和中文解釋。本書約定1. 命令行格式約定2. 圖形界面格式約定3. 各類標志本書還采用各種醒目標志來表示在操作過義如下：應該特別注意的地方，這些標志的意、注意：提醒操作中應注意的事項，不當?shù)牟僮骺赡軙е聰?shù)據(jù)丟失或者設備損壞。警告：該標志后的注釋需給予格外關注，不當?shù)牟僮骺赡軙θ松碓斐?。?式意 義< >帶尖括號“< >”表示按鈕名，如“單擊<確定>按鈕”。 帶方括號“ ”表示窗口名、菜單名和數(shù)據(jù)表，如“彈出新建用戶窗口”。/多級菜單用“/”隔開。如文件/新建/文件夾多級菜單表示文件菜單下的新建子菜單下的文件夾菜單項。格 式意 義粗體命

9、令行關鍵字（命令中保持不變、必須照輸?shù)牟糠郑┎捎眉哟肿煮w表示。斜體命令行參數(shù)（命令中必須由實際值進行替代的部分）采用斜體表示。 表示用“ ”括起來的部分在命令配置時是可選的。 x | y | . 表示從兩個或多個選項中選取一個。 x | y | . 表示從兩個或多個選項中選取一個或者不選。 x | y | . *表示從兩個或多個選項中選取多個，最少選取一個，最多選取所有選項。 x | y | . *表示從兩個或多個選項中選取多個或者不選。&<1-n>表示符號&前面的參數(shù)可以重復輸入 1n 次。#由“#”號開始的行表示為注釋行。 說明、提示、竅門、思考：對操作內(nèi)容的描

10、述進行必要的補充和說明?；A配置H3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄目 錄第 1 章 安全產(chǎn)品概述1-11.1 安全網(wǎng)關簡介1-11.2簡介1-11.3 主要特點1-21.3.1 安全保障1-21.3.2 支持豐富的業(yè)務1-31.4 H3C SecPath系列安全產(chǎn)品功能特性列表1-9第 2 章 用戶配置接口2-12.1 配置環(huán)境搭建2-12.1.1 通過Console口搭建2-12.1.2 通過net搭建2-32.1.3 通過AUX口撥號搭建2-42.1.4 通過SSH方式搭建2-62.2 命令行接口2-62.2.1 命令行視圖2-72.2.2 命令行. 2-92

11、.2.3 命令行錯誤信息2-102.2.4 歷史命令2-112.2.5 編輯特性2-112.2.6 顯示特性2-122.2.7 正則表達式的使用2-132.3 快捷鍵2-152.3.1 快捷鍵的分類2-152.3.2 快捷鍵的使用2-162.3.3 快捷鍵使用舉例2-172.3.4 配置命令行別名2-17第 3 章 Comware的基本配置3-13.1 進入和退出系統(tǒng)視圖3-13.2 設置的名稱3-13.3 設置系統(tǒng)時鐘3-13.4 設置提示信息3-23.5 切換用戶級別3-23.6 鎖定用戶界面3-33.7 設置命令級別3-3iH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄

12、3.8 顯示系統(tǒng)狀態(tài)信息3-4第 4 章4.1管理4-1與調(diào)試4-14.1.1 網(wǎng)絡連接的測試工具4-14.1.2 系統(tǒng)調(diào)試功能4-34.1.3 配置系統(tǒng)重啟4-44.1.4 升級BootROM4-54.1.5 配置熱插拔4-54.2 信息中心功能4-64.2.1 信息中心簡介4-64.2.2 信息中心配置4-74.2.3 顯示終端的設置4-114.2.4 syslog功能簡介4-124.2.5 信息中心的顯示4-144.2.6 信息中心配置舉例4-144.3 配置HTTP服務器4-164.3.1 使能HTTP服務器4-164.3.2 配置HTTP服務器的限制4-16第 5 章 自動偵測配置5

13、-15.1 自動偵測簡介5-15.2 自動偵測基本配置5-15.2.1 自動偵測基本配置任務5-15.2.2 自動偵測基本配置舉例5-25.3 自動偵測在靜態(tài)路由中的應用5-35.3.1 靜態(tài)路由中的應用配置任務5-35.3.2 靜態(tài)路由中的應用舉例5-45.4 自動偵測在VRRP中的應用5-55.4.1 VRRP中的應用配置任務5-55.4.2 VRRP中的應用舉例5-5第 6 章 HW6.1 HW6.2 HW配置6-1簡介6-1的配置6-16.2.1 HW6.2.2 HW服務器的配置6-1客戶端的配置6-26.3 執(zhí)6.4 HW6.5 HW試6-13的顯示和調(diào)試6-13典型配置舉例6-14

14、6.5.1 ICMP測試6-146.5.2 DHCP測試6-15iiH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄6.5.3 FTP測試6-156.5.4 HTTP測試6-176.5.5 Jitter測試6-176.5.6 SNMP測試6-196.5.7 指定端口的TCP測試6-206.5.8 指定端口的UDP測試6-21第 7 章 文件管理7-17.1 文件系統(tǒng)7-17.1.1 文件系統(tǒng)簡介7-17.1.2 目錄操作7-17.1.3 文件操作7-17.1.4 解包Web文件7-27.1.5設備操作7-27.1.6 文件系統(tǒng)提示方式7-27.1.7 文件系統(tǒng)使用舉例7-37.

15、2 FTP配置7-47.2.1 FTP簡介7-47.2.2 啟動FTP服務器7-47.2.3 配置FTP服務器的驗證和. 7-47.2.4 配置FTP服務器的運行參數(shù)7-57.2.5 FTP服務器的顯示和調(diào)試7-67.2.6 FTP客戶端介紹7-77.2.7 使用7.2.8 使用升級升級ware應用程序典型配置舉例 1.7-8ware應用程序典型配置舉例 2.7-107.3 TFTP配置7-117.3.1 TFTP簡介7-117.3.2 TFTP協(xié)議配置7-117.3.3 TFTP客戶端的顯示7-137.4 配置文件管理7-137.4.1 簡介7-137.4.2 配置文件命名及啟動時的選擇順序

16、7-157.4.3 備份配置文件7-16第 8 章 用戶界面配置8-18.1 用戶界面簡介8-18.1.1 用戶界面概述8-18.1.2 用戶界面的. 8-18.2 用戶界面配置步驟8-28.2.1 進入用戶界面視圖8-28.2.2 設置所在用戶界面支持的協(xié)議8-38.2.3 配置異步接口屬性8-3iiiH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄8.2.4 配置終端屬性8-58.2.5 Modem屬性配置8-78.2.6 配置自動執(zhí)行命令8-88.2.7 配置VTY類型用戶界面的呼入呼出限制8-88.3 用戶界面的顯示和調(diào)試8-98.3.1 顯示用戶界面的使用信息8-98

17、.3.2 顯示用戶界面的物理屬性和一些配置8-9第 9 章 用戶管理9-19.1 用戶管理概述9-19.1.1 用戶分類9-19.1.2 用戶的優(yōu)先級9-19.1.3 認證方案9-29.1.4 規(guī)劃的用戶9-29.2 配置用戶9-29.2.1 配置認證用戶的方式9-39.2.2 配置用戶名及口令9-39.2.3 設置用戶的優(yōu)先級9-49.2.4 設置用戶按命令行進行計費9-59.3 顯示用戶信息9-69.4 用戶管理舉例9-69.4.1 使用password方式認證用戶9-69.4.2 使用本地用戶數(shù)據(jù)庫進行用戶認證9-6第 10 章 NTP配置10-110.1 NTP協(xié)議簡介10-110.2

18、 NTP協(xié)議配置10-310.2.1 配置NTP工作模式10-310.2.2 配置NTP驗證功能10-610.2.3 設置本地發(fā)送NTP消息的接口10-710.2.4 設置NTP主時鐘10-810.2.5 設置/允許接口接收NTP消息10-810.2.6 設置對本地NTP服務的控制權限10-910.2.7 設置本地允許建立的sess數(shù)目10-910.3 NTP顯示與調(diào)試10-1010.4 NTP典型配置舉例10-1010.4.1 配置NTP服務器10-1010.4.2 配置NTP對等體舉例10-1210.4.3 配置NTP廣播模式10-1310.4.4 配置帶認證的NTP廣播模式10-1510

19、.4.5 配置NTP組播模式10-1710.4.6 配置帶驗證的NTP服務器模式10-18ivH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄第 11 章 SNMP配置11-111.1 協(xié)議簡介11-111.1.1 SNMP協(xié)議介紹11-111.1.2 SNMP版本及支持的MIB11-111.2 SNMP配置11-211.2.1 啟動或關閉SNMP Agent服務11-211.2.2 使能或SNMP協(xié)議的相應版本11-311.2.3 設置團體名11-311.2.4 設置/刪除SNMP組11-411.2.5 添加/刪除用戶11-411.2.6 設置管理員的聯(lián)系方法11-511.2

20、.7 允許/發(fā)送Trap報文11-511.2.8 設置本地設備的引擎ID11-511.2.9 設置Trap目標主機的地址11-611.2.10 設置接口發(fā)送狀態(tài)Trap報文11-611.2.11 設置的位置信息11-611.2.12 指定發(fā)送Trap的源地址11-711.2.13 MIB視圖信息設置11-711.2.14 設置消息包的最大值11-711.2.15 設置Trap報文的消息隊列的長度11-811.2.16 設置Trap報文的保存時間11-811.3 SNMP顯示和調(diào)試11-911.4 SNMP典型配置舉例11-9第 12 章 BIMS配置12-112.1 BIMS概述12-112.

21、2 BIMS配置12-212.2.1 配置使能BIMS功能12-212.2.2 配置設備唯一標識符12-212.2.3 配置BIMS中心的IP地址和端. 12-312.2.4 配置BIMS設備發(fā)送報文時攜帶的源IP地址12-312.2.5 配置BIMS設備側(cè)和中心側(cè)的共享密鑰12-312.2.6 配置當設備上電時是否觸發(fā)設備BIMS中心12-412.2.7 配置觸發(fā)BIMS中心的間隔時間12-412.2.8 配置設備在某一特定的時間BIMS中心以及的周期12-412.2.9 配置設備立即BIMS中心12-512.3 BIMS配置調(diào)試12-512.4 BIMS典型配置舉例12-512.4.1 配

22、置設備上電后立即BIMS中心12-512.4.2 配置設備在一定時間段內(nèi)周期性BIMS中心12-712.5 BIMS常見配置錯誤舉例12-8vH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄12.5.1 無法成功BIMS服務器12-812.5.2 無法新文件12-812.5.3 無法通過DHCP獲取BIMS配置12-912.5.4BIMS服務器導致設備上的bimserval命令配置發(fā)生變化12-9第 13 章 RMON配置13-113.1 RMON簡介13-113.2 RMON的配置13-213.2.1 添加/刪除事件表的一個表項13-213.2.2 添加/刪除告警表的一個表項

23、13-213.2.3 添加/刪除RMON告警擴展表的一個表項13-313.2.4 添加/刪除歷史控制表的一個表項13-413.2.5 添加/刪除統(tǒng)計表的一個表項13-413.2.6 RMON顯示和調(diào)試13-513.3 RMON典型配置舉例13-5第 14 章 終端服務14-114.1 終端服務簡介14-114.2 Console口終端服務14-114.3 AUX口的終端服務14-114.3.1 功能描述14-114.3.2 AUX口的配置終端服務特性14-214.4net終端服務14-214.4.1net服務種類14-214.4.2 建立14.4.3 為net連接14-3net Server指

24、定源接口或IP地址14-514.4.4net顯示和調(diào)試14-514.5 SSH終端服務14-614.5.1 SSH簡介14-614.5.2 SSH Server配置14-914.5.3 SSH C nt配置14-1514.5.4 SSH顯示和調(diào)試14-1714.5.5 SSH Server配置舉例14-1814.5.6 SSH C nt配置舉例14-2014.6 SFTP服務14-2114.6.1 SFTP簡介14-2114.6.2 SFTP Server配置14-2214.6.3 SFTP Cnt配置14-2314.6.4 SFTP配置舉例14-2614.7 啞終端服務14-2814.7.1

25、 啞終端的功能描述14-28viH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）目 錄14.7.2 啞終端服務特性14-2914.7.3 啞終端的典型應用14-2914.7.4 配置啞終端服務14-2914.7.5 啞終端連接的定時斷開14-31第 15 章 Modem管理配置15-115.1 Modem管理簡介15-115.1.1 Comware提供的Modem管理功能15-115.1.2 Modem. 15-115.2 Modem管理的配置15-315.2.1 配置Modem的呼入和呼出權限15-315.2.2 配置Modem15.2.3 手工執(zhí)行Modem. 15-4. 15-

26、415.2.4 配置Modem的應答方式15-415.3 Modem顯示和調(diào)試15-515.4 Modem典型配置舉例15-515.4.1 使用Modem管理Modem15-515.4.2 使用進行直接撥號15-615.5 Modem管理常見故障的與排除15-6第 16 章 接口配置16-116.1 接口配置概述16-116.1.1 接口介紹16-116.1.2 接口的配置16-116.1.3 接口的顯示和調(diào)試16-316.2 以太網(wǎng)接口16-416.2.1 以太網(wǎng)接口介紹16-416.2.2 以太網(wǎng)接口的配置16-416.2.3 以太網(wǎng)接口的顯示和調(diào)試16-816.2.4 以太網(wǎng)接口典型配置

27、舉例16-816.2.5 以太網(wǎng)接口常見故障的與排除16-916.3 AUX接口16-1016.3.1 AUX接口介紹16-1016.3.2 AUX接口配置16-1116.4 邏輯接口配置16-1216.4.1 Dialer接口16-1216.4.2 Loack接口16-1416.4.3 Null接口16-1516.4.4 子接口16-1616.4.5 虛擬模板接口和虛擬接口16-17viiH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述第1章 安全產(chǎn)品概述 說明：l SecPath 系列安全產(chǎn)品包括 SecPath 系列安全網(wǎng)關及 SecPath 系列設備。

28、本手冊以 SecPath為例進行了配置操作描述，同樣適用于安全網(wǎng)關設備。l SecPath 系列中不同型號的產(chǎn)品之間所支持的功能或命令行會略有不同，請用戶以實際產(chǎn)品的版本為準。1.1安全網(wǎng)關簡介H3C SecPath 安全網(wǎng)關設備（以下簡稱安全網(wǎng)關）是面向企業(yè)用戶開發(fā)的新一代專業(yè)安全網(wǎng)關設備，可以作為企業(yè)的匯聚及接入網(wǎng)關設備。安全網(wǎng)關支持濾、AAA、NAT、QoS 等技術，可以確保在開放的ernet上實現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡。安全網(wǎng)關支持多種業(yè)務，如 L2TP、IPsec、SSL、GRE、動態(tài)等等，可以針對客戶需求通過撥號、租用線路、VLAN 或隧道等方式接入遠端用戶，構(gòu)建ran

29、et、Extranet、Acs 等多種形式的。安全網(wǎng)關支持完備的加密解決方案，通過加密，實現(xiàn)高速 IPsec/SSL 特性。安全網(wǎng)關提供基本的路由能力，支持 RI支持豐富的 QoS 特性，提供流分類、流量PF/BGP/路由策略及策略路由。、流量整形及多種隊列調(diào)度策略。1.2簡介除支持上述安全網(wǎng)關的所有特性外，H3C SecPath還提供了多種安全特性。H3C SecPath型的網(wǎng)絡支持防范特性。的防范功能能夠檢測出多種類，如 IP 地址、地址掃描與端口掃描、SYN Floodof Death等等，并能采取相應的措施保護內(nèi)部網(wǎng)絡免受的正常運行。，保證內(nèi)部網(wǎng)絡及系統(tǒng)H3C SecPath支持 We

30、b 和郵件過濾，以內(nèi)部用戶的或訪問含有內(nèi)容的網(wǎng)頁，防止內(nèi)網(wǎng)用戶向郵件地址發(fā)送郵件或向外發(fā)送與工作無關的郵件。同時，郵件過濾也能防止外部向內(nèi)部發(fā)送郵件。H3C SecPath支持功能，可以以高速實現(xiàn)報文的過濾，從而有效地將。特定 IP 地址發(fā)送來的報文1-1H3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述H3C SecPath支持 MAC 和 IP 地址綁定，是避免 IP 地址的式，從而形成有效的保護。H3C SecPath支持 IDS（ ruDetect System）聯(lián)動，通過協(xié)作外部 IDS設備的深度檢測功能，防止、網(wǎng)絡的。注意：l SecPath 系列使

31、用安全區(qū)域的概念來表示與其相連接的網(wǎng)絡。若要實現(xiàn)防火墻和其它設備的互通，必須先將相應的接口添加到某一安全區(qū)域中。l 缺省情況下，SecPath 系列使能的濾功能，且缺省的過濾行為為所有報文通過。若要實現(xiàn)和其它設備的互通，需先關閉的包控制列表過濾功能，或?qū)⑷笔〉倪^濾行為改為允許報文通過，或在接口應用ACL 以允許相應的報文通過。關于以上內(nèi)容的具體描述請參見本手冊的“安全”部分。1.3 主要特點1.3.1安全保障1.過濾濾技術。借助報文中優(yōu)先級、TOS、UDP 或 TCP 端口等信息作為過濾參支持考，通過在接口輸入或輸出方向上使用基本或高級控制規(guī)則，可以實現(xiàn)對數(shù)據(jù)包的過濾。同時，還可以按照時間段進

32、行過濾，不僅保護內(nèi)部網(wǎng)絡免遭外來，還可以有效控制內(nèi)部主機對外部資源的同時，規(guī)則自動排序還簡化了配置復雜度。，形成內(nèi)絡之間的安全保護屏障，支持應用層報文過濾 ASPF（Application Specific Packet Filter），也稱為狀態(tài)防火墻。這是一種高級通信過濾，它檢查基于 TCP/UDP 協(xié)議的應用層協(xié)議信息（目前可以檢測 FTP、HTTP、SMTP、RTSP、H.323 協(xié)議），并且基于連接的應用層協(xié)議狀態(tài)，墻。每接的狀態(tài)信息，并動態(tài)地決定數(shù)據(jù)包是否允許通過防火2. 安全認證提供了如下幾方面的安全認證功能：l 實現(xiàn)了用戶管理，不同的用戶擁有不同令執(zhí)行權限，可以防止低權限用戶獲

33、取或修改配置信息等。設置了如下四種的用戶：參觀（Visit）級、用戶。（Monitor）級、配置（Config）級和管理（Manage）級1-2H3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述視圖分級保護。將用戶分成 4 級，每級用戶賦予不同的配置權限，級別低的用戶不能進入更高級的視圖。z在 PPP 線支持 CHAP 和 PAP 驗證協(xié)議。支持基于 RADIUS （ Remote Authentication Dial-In User Service ）和 zzHWTACACS（Terminal Acs Controller Acs Control Syste

34、m）的 AAA（Authentication, Authorization, Accounting）服務，可以與 RADIUS和 TACACS 服務器配合實施對接入用戶的驗證、和計費的安全服務，防止。路由協(xié)議 OSPF、RIPv2 都具有 MD5 認證功能，確保所交換路由信息的可靠性。z3. NAT 應用地址轉(zhuǎn)換 NAT（Network Address Translation）又稱地址，將內(nèi)部網(wǎng)絡主機的IP 地址和端替換為外部網(wǎng)絡地址和端，有效控制內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的，不僅節(jié)約了寶貴的 IP 地址資源，而且為內(nèi)部主機提供了“隱私”保護。目前，提供一對一、多對一、地址池、ACL 控制等地址轉(zhuǎn)

35、換方式，在一個接口上支持多種地址轉(zhuǎn)換服務，通過內(nèi)部服務器可以向外提供 FTP實現(xiàn)公網(wǎng)和私網(wǎng)混合地址解決方案。net 和 WWW 等服務，1.3.2支持豐富的業(yè)務1. 支持 L2TPL2TP 協(xié)議提供了對 PPP 鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持。按照 L2TP 協(xié)議實現(xiàn) PPP 提供的認證（PAP、CHAP）功能，支持 RADIUS 服務器驗證和內(nèi)部地址分配功能，支持在隧道兩端由運營商及企業(yè)網(wǎng)進行靈活計費。另外，結(jié)合、IPsec 等技術可為信息提供安全保障。L2TP 協(xié)議適合性很強的用戶通過隧道構(gòu)建 Acs。兩種典型的 L2TP 隧道模式：(1)由撥號用戶發(fā)起系統(tǒng)可以通過 PSTN/

36、ISDN/ADSL/等多種方式撥入 LAC，由 LAC 通過ernet向 LNS 發(fā)起建立通道連接請求。撥號用戶地址由 LNS 分配；對撥號用戶的驗證與計費既可由 LAC 側(cè)的完成，也可在 LNS 側(cè)完成。(2)直接由 LAC 客戶（指可在本地支持 L2TP 協(xié)議的用戶）發(fā)起LAC 客戶擁有公網(wǎng)地址后，可直接向 LNS 發(fā)起通道連接請求，無需再經(jīng)過一個單獨的 LAC 設備。此時，LAC 客戶的私網(wǎng)地址分配由 LNS 來完成。1-3H3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述2. 支持 GREGRE 是第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為 Tunn

37、el（隧道）的技術，在一個 Tunnel 的兩端分別對數(shù)據(jù)報進行封裝及解封裝。Tunnel 是一個虛擬的點對點的連接，在實際中可以看成僅支持點對點連接的虛擬接口，這個接口提供了一條通路使封裝的數(shù)據(jù)報能夠在這個通傳輸。采用這種方式對網(wǎng)絡層協(xié)議（如：IP，IPX，AppleTalk 等）的數(shù)據(jù)報進行封裝后，這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡層協(xié)議中傳輸。由于實現(xiàn)機制簡單，所以隧道兩端設備的 CPU 負擔小。由于GRE 不提供數(shù)據(jù)加密功能、不對數(shù)據(jù)源進行驗證、不保證數(shù)據(jù)傳輸?shù)秸_的目的地，故一般與 IPsec 相結(jié)合使用構(gòu)建ranet/Extranet。3. 支持 IPsecIPsec（IP sec

38、urity）協(xié)議族是 IETF 制定的一系列協(xié)議，它為 IP 數(shù)據(jù)報提供了高質(zhì)量的、可互操作的、基于學的安全性。特定的通信方之間在 IP 層通過加密與數(shù)據(jù)源驗證等方式，來保證數(shù)據(jù)報在網(wǎng)絡上傳輸時的私有性、完整性、真實性和防重放。IPsec 通過 AH（Authentication Header，認證頭）和 ESP（Encapsulating Security Payload，封裝安全載荷）這兩個安全協(xié)議來實現(xiàn)上述目標。IPsec 可以通過手工方式建立安全 ，也可以通過 IKE 方式（ ernet Key Exchange，因特網(wǎng)密鑰交換協(xié)議）自動為 IPsec 提供自動協(xié)商交換密鑰、建立和安全

39、的服務。IPsec解決方案。通常情況下，協(xié)議為對要求較高的用戶提供了一個安全的IPsec 與 L2TP 協(xié)議和 GRE 協(xié)議等相結(jié)合使用。(1)IPsec 協(xié)議的操作模式IPsec 協(xié)議有兩種操作模式：傳輸模式和隧道模式。SA 中指定了協(xié)議的操作模式。在傳輸模式下，AH 或 ESP入到IP 頭之后但在所有傳輸層協(xié)議之前。在隧道模式下，AH 或 ESP 插在原始 IP 頭之前，另外生成一個新頭放到 AH 或 ESP 之前。不同安全協(xié)議在傳輸模式和隧道模式下的數(shù)據(jù)封裝形式（傳輸協(xié)議以 TCP 為例）如下圖所示：圖1-1 安全協(xié)議數(shù)據(jù)封裝格式從安全性來講，隧道模式優(yōu)于傳輸模式。它可以完全地對原始 I

40、P 數(shù)據(jù)報進行驗證和加密；此外，可以使用 IPsec 對等體的 IP 地址來隱藏客戶機的 IP 地址。從性能來1-4模式協(xié)議transporttunnelAHESPnew IP HeaderESPraw IP HeaderTCPHeaderdataESPTailESPAuth dataAH-ESPIPHeaderAHESPTCPHeaderdataESPTailESPAuth datanew IP HeaderAHESPraw P HeaderTCPHeaderdataESPTailESPAuth dataIPHeaderESPTCPHeaderdataESPTailESPAuth datan

41、ew IP HeaderAHraw IP HeaderTCPHeaderdataIPHeaderAHHH3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述講，隧道模式比傳輸模式占用帶寬，因為它有一個額外的 IP 頭。因此，到底使用哪種模式需要在安全性和性能間進行權衡。(2)驗證算法AH 和 ESP 都能夠?qū)?IP 報文的完整性進行驗證，以判別報文在傳輸過是否被篡改。驗證算法的實現(xiàn)主要是通過 Hash 函數(shù)，Hash 函數(shù)是一種能夠接受任意長的消息輸入，并產(chǎn)生固定長度輸出的算法，該輸出稱為消息摘要。IPsec 對等體計算摘要，如果兩個摘要是相同的，則表示報文是完整兩

42、種驗證算法：篡改的。一般來說 IPsec 使用l MD5：MD5 通過輸入任意長度的消息，產(chǎn)生 128bit 的消息摘要。l SHA-1：SHA-1 通過輸入長度小于 2 的 64 次方比特的消息，產(chǎn)生 160bit 的消息摘要。SHA-1 的摘要長于 MD5，因而是更安全的。(3)加密算法ESP 能夠?qū)?IP 報文內(nèi)容進行加密保護，防止報文內(nèi)容在傳輸過被窺探。加密算法實現(xiàn)主要通過對稱密鑰系統(tǒng)，它使用相同的密鑰對數(shù)據(jù)進行加密和Comware 中的 IPsec 實現(xiàn)了三種加密算法：。DES：使用 56bit 的密鑰對每個 64bit 的明文塊進行加密。3DES：使用三個 56bit 的 DES

43、密鑰（共 168bit 密鑰）對明文進行加密。3DES具有更高的安全性，但其加密數(shù)據(jù)的速度要比 DES 慢得多。 AES（Advanced Encryption Standard）：Comware 實現(xiàn)了 128bit、192bit和 256bit 密鑰長度的 AES 算法。協(xié)商方式zzz(4)有兩種協(xié)商方式建立安全，一種是手工方式（manual），一種是 IKE 自動協(xié)商（isakmp）方式。前者配置比較復雜，創(chuàng)建安全所需的全部信息都必須手工配置，而且 IPsec 的一些高級特性（例如定時更新密鑰）不被支持，但優(yōu)點是可以不依賴 IKE 而單獨實現(xiàn) IPsec 功能。而后者則相對比較簡單，只需

44、要配置好 IKE 協(xié)商安全策略的信息，由 IKE 自動協(xié)商來創(chuàng)建和安全。當與之進行通信的對等體設備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工配置安全是可行的。對于中、大型的絡環(huán)境中，使用 IKE 協(xié)商建立安全。(5)IKE在實施 IPsec 的過，可以使用因特網(wǎng)密鑰交換 IKE（ ernet Key Exchange），該協(xié)議建立在由ernet 安全和密鑰管理協(xié)議 ISAKMP協(xié)議來建立安全（ ernet Security Assotion and Key Management Protocol）定義的框架上。IKE為 IPsec 提供了自動協(xié)商交換密鑰、建立安全的服務，可以在不安全的網(wǎng)絡上1-5

45、H3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述安全地分發(fā)密鑰、驗證、建立 IPsec 安全，即簡化了 IPsec 的使用和管理，又進一步保障數(shù)據(jù)安全。IKE 的安全機制包括：l DH（Diffie-man）交換及密鑰分發(fā)Diffie-man 算法是以-的名字命名的一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過交換一些數(shù)據(jù)，計算出共享的密鑰。加密的前提是交換加密數(shù)據(jù)的雙方必須要有共享的密鑰。IKE 的精髓在于它永遠不在不安全的網(wǎng)絡上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，最終計算出雙方共享的密鑰。即使第三者（如）截獲了雙于計算密鑰的所有交換數(shù)據(jù)，也不足以計

46、算出真正的密鑰。l 完善的前向安全性（Perfect Forward Secrecy，PFS）PFS 特性是一種安全特性，指一個密鑰被，并不影響其他密鑰的安全性，因為這些密鑰間沒有派生關系。對于 IPsec，是通過在 IKE 階段 2 協(xié)商中增加一次密鑰交換來實現(xiàn)的。驗證z驗證確認通信雙方的。對于 pre-shared key 驗證方法，驗證字用來作為一個輸入產(chǎn)生密鑰，驗證字不同是不可能在雙方產(chǎn)生相同的密鑰的。驗證字是驗證雙方的關鍵。保護z數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送，實現(xiàn)了對數(shù)據(jù)的保護。l IKE 階段的協(xié)商模式另外，為了使 IKE 支持目前廣泛應用的通過 ADSL 方式構(gòu)建的方案中的特殊情況

47、即局端設備的 IP 地址為固定分配的，用戶端設備的 IP 地址為動態(tài)獲取的情況，在 IKE 階段的協(xié)商模式中增加了 IKE 野蠻模式，它可以選擇根據(jù)協(xié)商發(fā)起端的 IP 地址或者 ID 來查找對應的驗證字，并最終完成協(xié)商。IKE 野蠻模式相對模式來說更加靈活，能夠支持協(xié)商發(fā)起端為動態(tài) IP 地址的情況。l NAT 穿越功能在 IPsec/IKE 組建的隧道中，若存在 NAT 網(wǎng)關設備，且 NAT 網(wǎng)關設備對業(yè)務數(shù)據(jù)流進行了 NAT 轉(zhuǎn)換的話，則必須配置 IPsec/IKE 的 NAT 穿越功能。該功能刪去了 IKE 協(xié)商過對端 UDP 端的驗證過程，同時實現(xiàn)了對隧道中NAT 網(wǎng)關設備的發(fā)現(xiàn)功能，

48、即如果發(fā)現(xiàn) NAT 網(wǎng)關設備，則將在之后的 IPsec 數(shù)據(jù)傳輸中使用 UDP 封裝（即將 IPsec 報文封裝到 IKE 協(xié)商所使用的 UDP 連接隧道里）的方法，避免了 NAT 網(wǎng)關對 IPsec 報文進行篡改（NAT 網(wǎng)關設備將只能夠修改最外層的 IP 和 UDP 報文頭，對 UDP 報文封裝的 IPsec 報文將不作修改），從而保證了IPsec 報文的完整性（IPsec 數(shù)據(jù)加密接收端）。驗證過要求報文原封不動地被傳送到1-6H3C SecPath 系列安全產(chǎn)品 操作手冊（基礎配置）第 1 章 安全產(chǎn)品概述4. 支持 SSLSSL 協(xié)議是一種在兩臺設備之間提供安全通道的協(xié)議。它具有保護

49、傳輸數(shù)據(jù)以及識別通信機器的功能。SSL 協(xié)議設計目標主要有兩個：第一是為客戶端與服務器之間的傳輸提供性；第二是認證（包括服務器認證和可選客戶端認證）。SSL 協(xié)議提供了全面的安全策略：協(xié)商加密套件后，使用套件中的非對稱加密算法實現(xiàn)會話密鑰的交換，利用的認證方式保證用戶的，在傳輸過用密鑰對數(shù)據(jù)進行加密，保證應用數(shù)據(jù)傳輸時的安全性。如果發(fā)生數(shù)據(jù)的篡改、用戶驗證等錯誤時，自動斷開連接，防止各種類型的。SSL（Security Socket Layer，技術。在 SSL接層）是一種新興的的基礎上，實現(xiàn) HTTPS 服務器和 HTTPS 客戶端，保證遠端合法用戶可以安全的登錄到設備上，同時實現(xiàn)了對網(wǎng)絡資源細粒度的控制。在 SecPath SSL系統(tǒng)中，用戶有三種方式可以資源：Web 接入方式、TCP 接入方式和 IP 接入方式。采用基于角色的權限管理方法，根據(jù)用戶登錄的，限制用戶可以的資源；同時，結(jié)合用戶主機安全檢查可以實現(xiàn)動態(tài)分配用戶可權限。SecPath 系列/安全網(wǎng)關支持 SSLWeb 管理，管理員可以使用 Web 瀏覽器來配置和管理 SSL系統(tǒng)。SSL與傳統(tǒng)系統(tǒng)相比，有更好的易用性，無需用戶配置、免客戶端安裝、部署簡單，安全性高且安全控制力度大，極大地方便了企業(yè)的移動辦公用戶和網(wǎng)絡管理。5. 支持動態(tài)動態(tài)（D）