设为首页收藏本站订阅本站

CCNA|CCNP|CCIE|CCNA培训|CCNP培训CCIE培训|思科Cisco网络工程师技术社区学习论坛-IT雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 691|回复: 1

某工程师H3C SECPATH F1000-E配置经验心得

[复制链接]
发表于 2017-1-8 21:57:29 | 显示全部楼层 |阅读模式

某工程师H3C SECPATH F1000-E配置经验心得

                               H3C SECPATH F1000-E配置经验心得最近配了H3C SECPAHTF1000-E,把一些心得拿出来大家分享下


1、该防火墙是基于V5平台的,命令上有不少的变化,好像是为了和华为的VRP彻底分家
2、如果要实现远程TELNET配置需要设置TELNETSERVER ENABLE,这点我个人觉得安全性不如CISCO的ASA,ASA远程只能通过SSH,telnet只能放在高安全级别的内网
3、安全区域配置需要配置在WEB界面下,以前是在CLI下即可配置,现在取消了在CLI配置,一开始我到处找firewall packet filter defaultpermit 就是没有,也没有firewall zone trust(untrust)命令
4、低安全级别区域访问高安全级别区域现在需要在WEB 方式下:策略管理--访问控制策略--面向对象的ACL中做设置,这个最困扰我,因为H3C以前没有这样配置,网站上也没有这方面介绍
5、VPN在WEB上支持IKE,IPSEC,但没有L2TP和GRE,CLI上倒是支持L2TP和GRE;另外不支持DVPN,不知道为什么,因为一贯H3C防火墙在VPN功能上是非常强大的,而且配置起来比CISCO的简单
6、P2P控制无法控制讯雷,这个做售前的需要注意,毕竟这个是防火墙,H3C没有把P2P特征码整合讯雷,因此P2P限速只能限制BT,电驴,MSN等,特征码还需要找H3C办事处工程师索取
7、链路自动侦测命令改称NQA了,具体可以找H3C 800要,或者看吓SR路由器文档,我感觉这方面有点向CISCO靠拢,开始用TRACK了,一开始写实施的时候是用detect-group,结果实施时发现不支持该命令,后找800要了个NQA文档才搞定,查资料,cisco的是 SLAnqa entry admin cnc
type icmp-echo
  destination ip z.z.z.z
  frequency 1000
  reaction 3 checked-element probe-failthreshold-type consecutive 3 action-type trigger-only
#
nqa entry admin dianxin1
type icmp-echo
  destination ip x.x.x.x
  frequency 1000
  reaction 1 checked-element probe-failthreshold-type consecutive 3 action-type trigger-only
#
nqa entry admin dianxin2
type icmp-echo
  destination ip y.y.y.y
  frequency 1000
  reaction 2 checked-element probe-failthreshold-type consecutive 3 action-type trigger-only
ip route-static 0.0.0.0 0.0.0.0 电信1网关 track 1
ip route-static 0.0.0.0 0.0.0.0 电信2网关 track 2 preference 70
ip route-static 0.0.0.0 0.0.0.0 网通 track 3 preference80
#
track 1 nqa entry admin dianxin1 reaction 1
track 2 nqa entry admin dianxin2 reaction 2
track 3 nqa entry admin cnc reaction 3
#
nqa schedule admin cnc start-time now lifetime forever
nqa schedule admin dianxin1 start-time now lifetime forever
nqa schedule admin dianxin2 start-time now lifetime forever

8、防病毒策略也需要在WEB方式下在面向对象ACL中加,比以前直接下发麻烦的多


如需了解更多,请选择下载该文档。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
发表于 2017-6-12 08:41:22 | 显示全部楼层
此帖仅作者可见

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

思科课程
在线咨询

QQ|小黑屋|CCNA_CCNP_CCIE_思科华为技术论坛-雏鹰部落论坛 ( 沪ICP备09076391  

GMT+8, 2018-5-20 17:46 , Processed in 0.191123 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表