H3C SecPath系列防火墙维护指导书

（V2.0）

杭州华三通信技术有限公司

修订记录Revision Records

目  录

TOC \o "1-2" \h \z \u 1.日常维护建议总则7

1.1.日常维护建议7

1.2.维护记录表格和维护操作指导书的使用说明8

2.安装操作指导9

3.维护操作指导10

3.1.H3C SecPath防火墙设备现场巡检10

3.2.设备日常维护操作指导11

3.3.设备季度维护操作指导12

3.4.H3C设备年度维护操作指导12

4.入门维护13

4.1.基本概念13

4.2.产品FAQ19

5.常见故障处理25

5.1.SecPath防火墙故障诊断流程25

5.2.H3C SecPath防火墙系统维护25

5.3.SecPath防火墙连通性27

5.4.Nat故障处理28

5.5.攻击防范故障处理29

6.常见问题及FAQ30

6.1.Nat专题篇FAQ30

6.2.攻击防范篇FAQ31

6.3.高可靠性篇FAQ33

6.4.运行模式篇FAQ34

7.附录37

7.1.维护记录表格37

7.2.H3C公司资源和求助途径43

H3C SecPath系列防火墙维护指导书

关键词：SecPath防火墙、维护指导、常见问题、

摘   要：此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath系列防火墙设备进行健康性检查的相关事项。

适用对象：本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。

缩略语清单：

产品简介

伴随着因特网的蓬勃发展，网络协议的开发性注定了给入侵者留下了众多的入侵机会，安全的网络也跟着提升到一个全新的高度。安全的，即是私有的，在internet日益发达的年代，在公用网络上构建安全、可靠、能够满足特定业务QoS需求的私有专用网络，已经成为一种潮流，即可以利用internet的普及互连，经济，又可以构建一个与internet完全隔离的网络，满足金融行业信息保密的要求。H3C SecPath系列防火墙设备是华三公司面向企业用户开发的新一代专业安全网关设备，既可以作为中小型企业的核心安全网关，也可以作为大中型企业的汇聚及接入网关设备。

H3C SecPath防火墙是业界功能最全面、扩展性最好的防火墙产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。主要功能如下：

扩展性最强

基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。

强大的攻击防范能力

能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。

集中管理与审计

提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

应用层内容过滤

可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。

丰富的VPN特性

集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。

全面NAT应用支持

提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

全面的认证服务

支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。

增强型状态安全过滤

支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。

1 日常维护建议总则

2.1 日常维护建议

尊敬的用户：

感谢您使用H3C公司的SecPath系列防火墙产品。系统正常、稳定地运行是我们共同的愿望，为了我们共同的目标，请您重视以下建议并参照《日常维护建议》进行必要的日常维护。

1 H3C SecPath系列防火墙产品关系涉及网络安全技术、Windows系列操作系统，及相关第三方厂家设备，所以应安排受过专业培训的人员进行日常维护。

2 注意保持机房整洁，防尘防潮，防止虫鼠进入。

3 参照《H3C SecPath防火墙日常维护指导及常见故障处理》中的内容对设备进行例行检查和测试，并记录检查结果。

4 用于系统管理、设备维护和业务操作的用户名和密码应该严格管理，定期更改，并只向特定的相关人员发放。

5 严禁在设备维护终端主机上安装与业务无关的软件，严禁在设备维护终端主机上运行与业务无关的应用。维护终端主机应该定期查杀计算机病毒。

6 遇有不明原因告警或故障，请迅速与代理商工程师或H3C公司服务热线联系（400-810-0504/800-810-0504）。

7 调整线缆必须慎重，并在调整前作好标记，以防误操作。

8 对设备硬件进行相关操作时应注意戴好防静电手腕。

9 对设备进行复位操作、配置参数改动前应做好配置信息备份工作。

10 在对设备版本进行升级前，应全面备份设备配置信息，并记录当前版本号。

2.2 维护记录表格和维护操作指导书的使用说明

1 《H3C SecPath防火墙设备日常维护值班日志》由机房维护人员填写，每日填写一张表格，说明值班期间机房环境、设备运行情况等。用户可根据本局点具体情况以及第三方设备情况对《H3C SecPath防火墙设备日常维护值班日志》表格内容进行修改，并将表格制作成值班日志手册，将H3C SecPath防火墙系统日常维护指导的内容附加在值班日志手册的后面。

2 《H3C SecPath防火墙设备季度维护记录表》是对H3C SecPath防火墙设备进行季度维护时维护内容的记录，每季度维护的方法可参考《H3C SecPath防火墙设备季度维护操作指导》。

3 《突发问题处理记录表》是对H3C SecPath防火墙设备突发问题及相应处理措施所作的记录，作为以后进行维修或查看问题记录的依据。用户可根据本局具体情况对《突发问题处理记录表》的内容进行修改，并制作H3C SecPath防火墙设备日常突发问题处理记录手册。

4 《硬件更换记录表》是设备整机或插在其上部件的更换记录。

5 《数据修改记录表》是H3C SecPath防火墙设备配置信息修改的记录

表格具体内容请参考本文档最后附表。

2 安装操作指导

H3C SecPath防火墙产品涉及多种软硬件知识，请严格遵循下列安装要求：

1 设备开箱验货完成后，开始设备的安装和基本调试。

2 进行设备初始化配置，验证设备状态是否正常。

3 协调准备设备安装条件及环境，确定设备已升级到目前最新版本或指定统一版本（建议）。

4 依据工程设计方案进行设备安装，按照规范要求连接电源和接地，并保证连接稳定可靠、不易被非维护人员触碰。

5 按照设计的网络拓扑进行网络线路连接，保证线路质量和走线方式符合要求，并注意网络线缆连接的可靠性。

6 检查SecPath防火墙的配置，参考配置模板逐项满足客户需求。

7 按照客户需求逐项进行检查各需检查功能是否生效，各需检查功能主要包括基本上网、LAN口连接、基本网管、访问策略、攻击防范等。

8 根据开局设计的网络建设方案，就基本维护方面的内容向客户使用维护人员说明。

3 维护操作指导

H3C SecPath防火墙产品在使用维护过程中需要关注许多方面，并以负责任的态度履行注意事项:

（1 保证设备按照要求进行可靠接地。

（2 维护人员做好防静电措施。

（3 及时修改安全策略保证访问安全。

（4 保证网络线缆连接正常，以免影响网络稳定性。

（5 室外特殊环境下注意工程规范性和安全性要求。

H3C SecPath防火墙设备运维日常的维护工作内容主要有定期巡检、故障处理、投诉处理、策略优化、通信保障等。

定期巡检:定期对所有站点进行一次现场巡检，对巡检时发现的问题现场进行处理并登记。

故障处理:主要通过网管系统发现故障并根据故障性质进行处理。

用户投诉:用户投诉要求在接到投诉后一定时限内赶到现场进行处理，处理结束后要求回访客户进行故障恢复确认。

策略优化:针对客户投诉、会议保障以及站点性质变化所作的较大的网络调整和安全策略优化。

通讯保障:当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。

下面对于日常维护及巡检内容进行简单说明：

4.3 H3C SecPath防火墙设备现场巡检

现场巡检人员需定期（建议每季度）对全区所有的设备实施一次巡检。为了保证网络的稳定性，对于招标选型新入网设备推荐每个月实施一次巡检，持续3个月。

（1 设备供电、接地情况；

H3C SecPath防火墙如果安置在人流过往较多的地方，电源线、接地线容易被牵扯，因此每次巡检时应当检查电源线、接地线是否牢固，并检查电源线、接地线布线是否合理，尽量做到不易被人接触。

（2 查看H3C SecPath防火墙设备各指示灯状态：

结合指示灯状态和客户感受判断设备运转情况，指示灯通常为绿色常亮或均匀闪烁，具体指示灯含义请参考本文档最后附表，如有异常情况，可以进一步进行排查并登录到设备收集诊断信息。

（3 检查H3C SecPath防火墙产品版本

可以通过display version查看当前版本，如果版本低于H3C SecPath防火墙最新发布版本，建议升级到H3C SecPath防火墙最新发布版本。

4.4 设备日常维护操作指导

4.5 设备季度维护操作指导

4.6 H3C设备年度维护操作指导

4 入门维护

5.7 基本概念

5.8.1 从路由器到防火墙快速入门

从网络位置上，防火墙的位置是在接入层，即介于外网和内网之间。因此，它的路由功能相对较弱，也不推荐大家配置较多的路由条目和启动动态路由协议。这是由防火墙的功能决定的。因为防火墙主要的作用是为了防范外网对内网的攻击。它的位置同样决定了它必须有强大的报文转发能力。

从概念上，防火墙与路由器的区别主要有两个，一是防火墙有安全域的概念，二是防火墙能进行除了ACL过滤的其它攻击防范。它能提供黑名单、攻击防范、内容过滤、流量统计等路由器没有的功能。具体功能可参见产品规格。

在配置上，SecPath采用COMWARE平台，有V3和V5两个版本。ComWare 3.4版本的防火墙操作命令与路由器是相同的。同时SecPath还支持WEB管理，要实现WEB管理的配置方法见后面小节的说明。V5平台的防火墙大部分功能都是Web界面完成的，命令行只提供调试功能。

5.8.2 SecPath中低端防火墙（V3平台）数据包转发流程

ØSecPath软件体系架构

SecPath中低端防火墙（V3平台）是在COMWARE 3.4的基础上，对VPN、防火墙特性进行增强。其由链路层、配置管理、数据转发、动态路由、系统服务等部分组成。

图1：SecPath防火墙软件体系结构

SecPath防火墙从链路层收到报文后，进行快转表的查找，如果找到快转表则直接根据快转表进行转发；否则查找路由表，根据路由所定应的接口发送。

SecPath无论是在快转流程或在普通路由转发流程中，均需要处理VPN、防火墙等功能。

ØIPSec VPN报文转发流程

在转发数据报文时，根据所配置的规则（ACL）来决定是否需要加密，如果需要加密，则查找相应的加密参数（SA），如果没有找到，就触发IPSEC隧道的协商、建立，后续报文直接用协商出来的参数进行加密，并转发出去。

对于接收到数据报文，如果是加密后的报文，则根据SPI查找响应的SA，并进行解密，然后转发；如果没有找到SA则丢包。如果是非加密报文，根据所配置的规则来决定是否是需要加密的，如果是需要加密的则丢包。

5.8.3 SecPath高端防火墙（V5平台）数据转发流程

ØSecPath高端防火墙（V5平台）基本转发流程

图2：V5平台防火墙基本转发流程

ØSecPath高端防火墙（V5平台）报文入方向详细处理流程

                  图3：V5防火墙报文入方向处理流程

ØSecPath高端防火墙（V5平台）报文出方向详细处理流程

图4：V5防火墙报文出方向处理流程

5.8.4 如何理解和正确应用ASPF？

ASPF（Application Specific Packet Filter）是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。

ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表。一个会话可以认为是一个TCP连接。状态表项维护了一次会话中某一时刻会话所处的状态，用于匹配后续的发送报文，并检测会话状态的转换是否正确。状态表在检测到第一个外发报文时创建（对于TCP，检测到SYN报文）。临时访问控制表项在创建状态表项的时候同时创建，会话结束后删除，相当于一个扩展ACL的permit项。它用于匹配一个会话中的所有应答报文。对于处于半开连接状态的会话（TCP SYN），还创建半开连接表项。如图7所示：

图5：ASPF协议工作原理

在应用时应注意：V3平台防火墙ASPF的应用是基于接口的，因此在应用时应确保ASPF所检测的协议发起方向和数据回包都是经过应用ASPF的接口的。特别是当防火墙有双出口时应注意此问题。

5.8.5 防火墙的域（zone）是什么意思？

区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高。

V3平台：安全域不存在两个具有相同安全级别的区域。中低端防火墙缺省有Trust、Untrust、DMZ、local 4个安全域，同时还可以自定义12个区域。

[SecPath]firewall zone ?                                                        

 DMZ   DMZ security zone                                                    

 local    Local security zone                                                  

 name    Specify a new security zone name and create it                      

 Trust    Trust security zone                                                  

 Untrust  Untrust security zone  

V5平台：安全域可以允许两个相同安全级别的区域，缺省有Trust、Untrust、DMZ、local和Management5个安全域，同时可以自定义256个区域，并且只能在Web页面进行配置。

一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。

5.8.6 什么是虚拟防火墙？

虚拟设备是一个逻辑概念，一台防火墙设备可以逻辑上划分为多个部分，每一个部分可以作为一台单独的防火墙（虚拟设备）。每个虚拟设备之间相互独立，业务单独控制，一般情况下不允许相互通信，这就是所谓的“虚拟防火墙”。

由于虚拟防火墙配置复杂，一般不推荐配置。

5.8.7 什么是数据流？

所谓流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：

TCP流：通过五元组唯一标识

UDP流：通过五元组唯一标识

ICMP流：通过三元组 + ICMP type + ICMP code唯一标识

RAW IP流：不属于上述协议的，通过三元组标识

5.8.8 SecPath防火墙中会话是什么意思？

所谓会话（Session），以一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。

对于TCP/UDP/ICMP/RAW IP流，首包进入防火墙时开始创建会话，后续相同的流或者返回报文可以匹配该会话。以TCP 三次握手为例：

图6：会话建立过程

如图6 Trust区域的192.168.0.2:1564访问Untrust区域的202.0.0.2的23端口，首包syn报文开始创建一个双向会话（192.168.0.2:1564<---->202.0.0.2:23），后续SYN_ACK和ACK报文都匹配到此会话后，完整的会话创建完成。后续数据流如果匹配到此会话则放行通过。

5.8 产品FAQ

5.9.9 SecPath系列防火墙采用什么软件平台？

SecPath系列防火墙采用自主研发的ComWare软件平台，有V3和V5两个版本。

5.9.10 SecPath系列防火墙有哪几款产品？

V3平台：SecPath F100-C/F100-S/F100-M/F100-A-SI/F100-A/F100-E/F1000-C/
F1000-S/F1000-A，以及Secblade FW（1代FW插卡，插在S65/85交换机上）；共九款，其中1代Secblade FW插卡已停产。

V5平台：SecPath F1000-E/F5000-A和Secblade FW（二代），供三款，其中2代Secblade FW插卡可以插在S75E/S95/S95E系列交换机和SR66/SR88系列路由器上。

V3平台防火墙通常叫做中低端防火墙，V5平台防火墙通常叫做高端核心防火墙。

5.9.11 SecPath系列防火墙采用什么硬件架构？

V3平台防火墙采用CPU架构，SecPath F1000-E和Secblade FW（2代）插卡采用多核（8核，每核4线程）架构，SecPath F5000A采用多核+FPGA硬件架构，可以看出V5平台的防火墙性能非常强大。

5.9.12 SecPath系列防火墙命名中的S、M等代表什么意思？

C —— 表示Compact，定位为该档次的精简型产品，强调性价比，物料在成本上有优势，并且在功能特性方面有所裁减。

S —— 表示Standard，定位为该档次的标准型产品，具有该档次的完整功能。强调性价比，物料在成本上有优势。

M —— 表示Middle，定位为该档次的中间型产品，具有该档次的完整功能，同时在硬件规格、性能指标方面优于标准型产品。

A —— 表示Advanced, 定位为该档次的高级型产品，具有该档次的完整功能，并提供高级特性。同时硬件规格、性能指标方面优于中间型产品。

E —— 表示Enhanced，定位为该档次的增强型产品，具有该档次的完整功能，并提供高级特性。同时硬件规格、性能指标方面优于高级型产品。

5.9.13 SecPath系列防火墙命名中的C、S、M等型号产品的性能关系如何？

以SecPath F100系列防火墙为例，性能从低到高依次为：C<S<M<A<E。

5.9.14 SecPath系列V3平台防火墙有几个扩展槽位？

SecPath系列V3平台中低端防火墙（除F100-C/S没有槽位外）都有两个槽位，实际上只有底下的槽位可用，即只有1个扩展槽位，其中F1000-C/S除外，这两款产品有2个扩展槽位。

5.9.15 SecPath系列防火墙中inbound和outbound的含义是什么呢？

SecPath中低端防火墙（V3平台）的ACL规则和路由器一样，是应用在接口上的，inbound指从接口进入防火墙的方向，outbound是从防火墙出接口出去的方向。这点是与V5平台防火墙是不同的。SecPath F1000-E/F5000-A和Secblade FW插卡的ACL（面向对象的acl）是应用在域间的，inbound是指从低安全级别的域进入高安全级别域的流量，如从Untrust进入Trust，outbound的方向与此相反。

5.9.16 由于SecPath高端防火墙（V5平台）的区域只能在Web界面配置，那么缺省如何进行配置管理？

由于V5平台防火墙命令不能配置区域，缺省情况下，F1000-E防火墙的G0/0口已经加入到了Management域，缺省管理IP地址是192.168.0.1，登录账号口令都是h3c。在登录到Web页面后，不能把当前的接口从安全域中删除，否则导致不能管理防火墙。

5.9.17 SecPath F100-C/F100-A等防火墙上的WAN口和LAN口必须分别接公网和内网吗？

不必须但是推荐这样使用。

5.9.18 SecPath F100-C有4个LAN、1个WAN口，为何display ip interface brief却只显示有eth1/0和eth2/0两个接口？

SecPath F100-C防火墙4个LAN是一交换模块。不能单独配置IP地址，他们的接口地址统一在eth1/0（共用一个MAC地址）上配置。

5.9.19 SecPath F100-A防火墙的四个LAN口为什么只能配一个IP地址？

SecPath F100-A的四个LAN口是一个交换口，所以只能配置一个IP地址。

在3.4-0006及以后的版本中，通过软件方式将4 个交换LAN 接口改为4 个独立的以太网接口（Ethernet 0/0～Ethernet0/3）。如果要改回原来的方式，需要在全局下配置insulate命令即可。

5.9.20 SecPath防火墙中Session怎么查看？

V3平台有三个Session模块，分别是ASPF Session、NAT Session和FW Session，可以通过命令display aspf session、display NAT session和display firewall session table进行查看。

V5平台的防火墙将三个会话模块合在了一起，即共用一个Session模块，命令行下通过display session table进行查看，也可以通过web页面直观查看。

5.9.21 在BootRom模式下TFTP升级ComWare版本时，为什么从有些接口上下载不了版本？

   SecPath系列防火墙在bootrom下TFTP升级版本时，有一个默认的eth0口用于下载，该接口是不能更改的。各系列产品所对应于eth0的接口如下：

SecPath F1000-C/F1000-S/F1000-A：    G0/0

SecPath F100-A:                       WAN2

SecPath F100-C：                       WAN

SecPath F1000-E：                                  G0/0

Secblade插卡系列：                                 G0/2

5.9.22 为何SecPath中低端防火墙（V3平台）的系统文件无法删除？

由于SecPath中低端防火墙flash空间比较小，只能存放一个系统文件，如果被恶意删除，设备重启后将无法正常启动。基于这个原因，研发做了删除保护。如果想升级版本，只能使用一个同样名称的系统文件将flash中的系统文件进行替换。

5.9.23 ComWare系统文件损坏了怎么办？

进入boot菜单时CTRL+F格式化FLASH，通过bootrom方式升级。

5.9.24 SecPath防火墙如何恢复出厂设置？

V3平台防火墙在命令行用户模式下：reset sa；

V5平台防火墙在命令用户模式下delete删除system.xml和config.cfg两个文件。

5.9.25 为何SecPath F1000-E防火墙在命令行保存配置文件后，重启后发现配置未保存成功？

SecPath F1000-E配置文件有两个：system.xml和config.cfg，在命令行保存的是config.cfg文件，导致Web页面的配置未保存。SecPath F1000-E只有通过Web方式保存配置时会同时保存这两个文件。

5.9.26 为什么SecPath F1000-E防火墙Combo口插上光纤后接口不UP？

SecPath F1000-E防火墙Combo口缺省启用的copper（电口）模式，如果使用光纤，需要将接口类型修改为fiber模式。

5.9.27 SecPath F1000-A/F1000-S防火墙Combo口同时接插双绞线和光纤时，哪个接口优先使用？

SecPath F1000-A/F1000-S防火墙Combo口的fiber与copper不能随意选择，fiber优先，即插入光模块后启用fiber口，copper口失效。

5.9.28 SecPath防火墙哪些系列型号支持SSL VPN功能？

要实现SSL VPN功能，必须为防火墙配外置SSL加密卡，即只要有扩展槽的V3平台防火墙都支持。目前V5平台防火墙暂不支持SSL VPN功能。

5.9.29 SecPath F1000-E防火墙上的USB接口做什么用的？

目前没有用，预留后期开发使用。

5.9.30 SecPath防火墙域间有相应的缺省规则吗？为什么我设置 firewall packet-filter default deny域间还是能够访问？

V3平台：缺省情况下包过滤的缺省规则为deny，即缺省情况下，所有的接口都是不通的，需要配置firewall packet-filter default permit才能访问。因为V3平台安全策略是基于接口的，如果即使包过滤缺省规则为Permit，则所有的区域都是互通的。

V5平台：由于防火墙策略是基于域间的，根据防火墙特性，缺省情况下，高优先级的区域可以访问低优先级的区域，如果低优先级的区域想访问高优先级的区域，则需要在Web界面配置域间规则。此外注意，任何区域都可以访问Local区域（优先级为100）。

5 常见故障处理

6.9 SecPath防火墙故障诊断流程

步骤1：检查物理链路状态

步骤2：检查防火墙的缺省动作是拦截还是放行

步骤3：检查接口是否加入正确的域

步骤4：检查ARP表项是否正确

步骤5：检查ACL规则的匹配情况

步骤6：检查NAT表项是否正确

步骤7：检查ASPF是否启用，是否应用到正确的接口正确的方向

步骤8：检查域统计功能是否开启

6.10 H3C SecPath防火墙系统维护

6.11.31 SecPath防火墙如何进行升级版本？

两种升级方法：

在线升级：通过TFTP、FTP将主机文件上传到flash中替换原来的版本文件，然后重启后;

Bootrom菜单升级：通过XModem或TFTP方式进行版本升级。

6.11.32 SecPath中低端防火墙（V3平台）如何支持WEB管理？

首先，要支持Web管理，FLASH里面必须有http.zip文件。在用户试图下查看FLASH里面的文件：

<H3C>dir

看里面有没有http.zip文件。如果没有，请升级到最新的版本。

注意：如果采用系统视图下ftp方式下载VRP软件，重启后依然没有http.zip。必须手动拆离出该文件。

<H3C>dir

Directory of flash:/

  0   -rw-   8691281  Jun 16 2009 06:46:36   system.bin

  1   -rw-      1830  Jun 17 2009 07:47:16   config.cfg

15621 KB total (7126 KB free)

<H3C>detach system.bin

   System file length 7856557 bytes, http file length 834724 bytes.

<H3C>dir

Directory of flash:/

  0   -rw-   8691281  Jun 16 2009 06:46:36   system.bin

  1   -rw-      1830  Jun 17 2009 07:47:16   config.cfg

  2   -rw-    834724  Jun 18 2009 02:22:39   http.zip

 如果在bootrom下TFTP升级，系统重启后将自动拆离出http.zip。

有了http.zip文件之后，需要在SecPath防火墙上创建登录用户，类型telnet。如admin/admin 使用http://x.x.x.x（SecPath防火墙以太口地址）登录即可。

注意：需要提升你的权限才能访问所有内容！

[F3-luser-admin]lev ?

 INTEGER<0-3>  Level of user

[F3-luser-admin]level 3

[F3-luser-admin]quit

通过Web网管不需要配置SNMP。

如果通过FTP方式升级，请在升级后执行detach命令将新http.zip文件解压出来覆盖以前的http.zip。否则可能会导致WEB管理不可用。

6.11.33 网页内容关键字过滤设置后不生效

步骤1：检查ASPF是否配置为检测HTTP；

步骤2：检查ASPF是否应用到接口或者域间；

步骤3：通过display firewall web-filter 查看过滤记录。

注意事项：配置网页过滤及邮件过滤时，必须打开ASPF检测功能。

6.11 SecPath防火墙连通性

6.12.34 防火墙接口配置IP地址后，ping不通

分析诊断：ping不通存在如下可能，请按照下面逐一检查：

  步骤1：确保防火墙物理链路up状态；

  步骤2：确保物理接口加入区域中的一个；

  步骤3：检查防火墙的缺省规则及ACL规则；

  步骤4： 检查ARP表项中是否存在对端设备的MAC地址；

  步骤5： 通过debug命令查看ICMP报文的收发情况。

6.12.35 V3平台防火墙透明模式设置为透明模式，防火墙两边的路由器不能建立OSPF邻居关系

步骤1：检查是否开启对unknown-mac的泛洪或者广播功能。

步骤2：通过ping检查两端的物理链路是否通畅。

步骤3：检查两端hello报文部分的区域号、网络号、hello间隔时间和死亡时间等参数是否一致。

步骤4：其他部分请参考OSPF协议的调试部分内容。

6.12 Nat故障处理

6.13.36 公网口做了FTP或HTTP的NAT Server但不生效，如何检查网络的连通性?

步骤1：检查接口下Nat配置是否正确；

interface Ethernet1/0                                                          

ip address 202.0.0.1 255.255.255.0                                            

nat server protocol tcp global 202.0.0.10 ftp inside 192.0.0.10 ftp            

nat server protocol tcp global 202.0.0.10 www inside 192.0.0.10 www

步骤2：检查接口是否加入区域；

步骤3：这时候，从外网ping 202.0.0.10是ping不通的，需要增加ICMP从外网到内网的映射：

nat server protocol icmp global 202.0.0.10 inside 192.0.0.10

这时从外网口就能ping通202.0.10的地址了。

6.13.37 服务器放在DMZ区域，在外网口作了NAT Server后，Trust区域的用户如何通过服务器私网地址和映射出去的公网访问服务器？

      目前还不支持Trust区域用户同时通过公网和私网地址访问DMZ区域的服务器。如果只在外网口作了NAT SERVER，则Trust区域用户只能通过服务器的私网地址访问。如果想让Trust区域的用户通过公网IP访问，则只需要在加入Trust区域的接口上作和外网口一样的NAT Server的设置，但这时Trust区域的用户就不能通过私网地址访问服务器了。

6.13.38 服务器放在DMZ区域，在外网口作了NAT Server后，DMZ区域的用户如何通过服务器私网地址和映射出去的公网访问服务器？

与5.4.2不一样，这个需求非常多，用户和服务器在同一个接口下，内网用户如何通过公网地址和私网地址同时访问服务器？首先内网用户可以直接通过私网地址访问服务器，如果内网用户想通过公网地址访问服务器，需要在防火墙内联口上配置外网口同样的Nat Server外，还需要配置Nat Outbound（对源为内网用户目的去往内部服务器的数据流）策略。

6.13 攻击防范故障处理

6.14.39 配置端口扫描和地址扫描攻击防范及动态黑名单后在防火墙上看不到攻击日志，同时没有把扫描源地址动态加入到黑名单里

  步骤1：检查扫描工具的扫描速度是否超过配置文件文件设置的每秒的max-rate值；

  步骤2：检查是否启用黑名单功能；

 步骤3：检查连接发起方域出方向的IP统计功能是否开启。

6.14.40 SecPath防火墙双出口通过策略路由进行业务分担，但是为什么开启攻击防范后，网络不通了？

SecPath防火墙做策略路由的组网与IP- Spoofing攻击防范冲突，所以在策略路由的组网中不能开启IP- Spoofing攻击防范。

6.14.41 SecPath中低端防火墙（V3平台）在命令行配置Firewall defend all后，是不是攻击防范都生效了？

不是，多包攻击需要开启报文统计和攻击的阀值。

6.14.42 将PC的MAC和IP地址绑定后，为何我修改了PC的IP地址，还是能够上网？

IP和MAC绑定的目的是为了防止非法用户冒用绑定的IP地址，而不是防止用户自行修改自己的IP地址。当SecPath防火墙收到源为该绑定的IP地址的报文时，会对该IP的MAC地址进行检查，若该MAC地址是该绑定的MAC，则允许数据包通过，否则丢弃该包。如果绑定了IP和MAC的PC修改了自己的IP地址，由于该IP地址并非所绑定的IP地址，因此防火墙不会作MAC地址检查而直接转发报文。

6 常见问题及FAQ

7.14 Nat专题篇FAQ

7.15.43 NAT与NAT Server到底是用来干什么的？静态NAT呢？

NAT是为了保护私网的隐蔽性，使私网用户访问外网时，在外网口将私网地址转换为接口地址或可用的外网地址。而NAT Server是为了使外网用户能访问DMZ区域的私网地址服务器而在外网口进行的地址和端口映射。

因此，私网地址在公网出口作了NAT以后，只能从内网主动发起到外网的访问，而不能从外网主动发起到内网的访问，这样起到了保护私网的目的。

作了NAT Server后，外网能通过映射出去的公网地址和端口发起到服务器的访问。

而静态NAT，不仅能使从内网主动发起到外网的访问，而且外网也能通过该静态映射的公网IP访问内网。

7.15.44 为什么我更改NAT转换后的地址后就访问不了外网了呢？

由于防火墙的转发是基于SESSION的，如果更改了NAT的地址，但是防火墙中供以前转发的老的地址的SESSION还未老化，此时防火墙的转发就会有问题。解决的办法是：手动清除以前的session或者等以前的会话自动超时老化。

 V3平台手动清除session的方法是：

<H3C>res firewall session table

<H3C>res nat session                                                        

 Clearing nat session table, please wait...

V5平台手动清除session的方法是：

<H3C>reset session table

7.15.45 ALG的作用是什么？如何应用？

地址转换会导致许多对NAT敏感的应用协议无法正常工作，必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和（或）端口号，如果不进行特殊处理，将会严重影响后继的协议交互。

地址转换应用网关（NAT Application Level Gateway，NAT ALG）是解决特殊协议穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。目前ComWare平台的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。

在SecPath防火墙上，当开启NAT功能后，系统会自动开启NAT ALG，无需手工设置。

7.15.46 SecPath防火墙是否支持双向Nat？有什么注意事项？

SecPath防火墙支持双向Nat功能，V3平台实现双向Nat时，需要在接口下关闭IP快转功能：undo ip fast-forwarding。

7.15.47 DMZ区服务器在外网口配置Nat Server后，客户想限制某些用户访问DMZ区的服务器，那么在外网口的入方向配置包过滤，包过滤策略怎么写？

外网口应用的包过滤策略规则写源为想限制的用户的地址，目的为Nat Server转换前的服务器的私网地址。

7.15.48 SecPath防火墙做Easy IP方式时Nat Session能够达到多少？

我们知道一个地址最多有65535个端口，并且有很多端口是保留的。SecPath防火墙将0-12288端口保留作为Nat Server映射使用，所以Easy IP方式最多可以有65535减去12888再减去其它用途端口，大概在49000多个Nat Session。

7.15 攻击防范篇FAQ

7.16.49 SecPath防火墙支持哪些攻击防范？

SecPath防火墙可以防范3/4层的攻击，可以分为单包攻击、多包攻击，多包攻击又分为扫描类和flood类的攻击。比如：Land攻击就是单包攻击，Syn-flood、Port-Scan等为多包攻击。

7.16.50 SecPath防火墙攻击防范原理什么？如何进行攻击防范的？

由于SecPath防火墙支持的攻击防范的种类很多，可以从H3C网上查找参考《SecPath攻击防范技术白皮书》一文。

7.16.51 SecPath防火墙黑名单原理是什么？有几种方式？

黑名单原理就是基于源IP做包过滤的一种技术。SecPath防火墙黑名单有两种：静态黑名单和动态黑名单，其中动态黑名单必须配合扫描攻击使用。

7.16.52 日志有几种类型？

日志一般有两种类型：Syslog日志和二进制日志。

像黑名单、攻击防范、网页过滤、邮件过滤、命令操作等都会记录日志，这些日志都是Syslog日志。

二进制日志通常也叫流日志，包括NetStream日志、Nat日志、Netflow日志、Nflow日志、Cflow日志等格式，流日志一般都是动态的会话（Nat会话、FW会话等），可以记录流量信息。

7.16.53 什么软件可以接收二进制日志或流日志？

SecCenter A1000、Firewall Manager（SecCenter组件之一）和XLog等。

7.16.54 SecPath防火墙支持二进制流日志吗？

V3平台防火墙从V1R6版本（E1604版本及以后）开始支持；V5平台防火墙都支持。

7.16.55 为什么SecPath F1000-E防火墙命令行下没有攻击防范的配置命令？

V5平台防火墙攻击防范必须在Web配置，命令行只提供简单配置和调试。所以大家一定要改变思维习惯。

7.16.56 SecPath防火墙是否支持防病毒功能？

支持，必须配置ASM防病毒插卡。其中SecPath F100-E和V5平台防火墙不支持。

7.16.57 SecPath防火墙是否支持P2P防御？

支持，但是可以实现对很少的P2P进行防御。但是不建议开启。

7.16.58 SecPath防火墙开启攻击防范后，为什么内网用户无法trace到外网？

Tracert是利用TTL为0时返回的ICMP超时报文，和达到目的地时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径，它可以窥探网络的结构。

   SecPath防火墙开启Tracert攻击防范后会检查ICMP报文是否为超时（类型为11）或为目的端口不可达报文（类型号为3，代码号为3），如果是，则根据本控制功能的使能状态选择对报文进行转发或丢弃。在禁止转发时，如发现此类报文到达，则记录日志。

7.16 高可靠性篇FAQ

7.17.59 主备切换与双机热备有什么区别？

双机热备是在主备切换VRRP的基础上，通过心跳线实现双机的配置和会话信息的实时备份。因此，双机热备在主设备切换到备份设备上时，备份机不需要重新建立会话信息，业务不会中断；而VRRP在主备切换时备份机要重新建立会话信息，因此会使业务有短暂的中断。

7.17.60 SecPath防火墙支持双机热备吗？

支持。

7.17.61 SecPath防火墙V3平台和V5平台的双机热备有区别吗？

有区别。V3平台防火墙双机热备采用RDO方式来实现，组网与VRRP类似，可以实现会话同步和配置（安全相关）同步。V5平台防火墙双机热备与组网无关，只能实现会话同步。

7.17.62 SecPath中低端防火墙（V3平台）都支持双机热备吗？不同型号的设备可以配置双机热备吗？

V3平台的防火墙从V1R6B02（E1621及以后）版本开始支持双机热备的功能。不同型号的设备不推荐做双机热备。

7.17.63 SecPath F1000-E防火墙配置完双机热备后，为什么HA接口在接口列表看不到了？

V5平台防火墙配置双机热备后，HA接口在命令行下不可见。

7.17.64 SecPath F1000-E防火墙配置完双机热备后，为什么在两台防火墙的会话没有同步？

V5平台防火墙配置双机热备后，必须保存配置重启后才生效。

7.17 运行模式篇FAQ

7.18.65 SecPath防火墙有集中运行模式？

三种运行模式：路由模式、透明模式和混合模式。

7.18.66 SecPath中低端防火墙（V3平台）透明模式怎么配置？

SecPath中低端防火墙（V3平台）E1621以前的版本，在系统模式下配置：firewall mode transparent；V1R6B02版本（E1621及以后）只需要在系统模式下开启bridge功能，而后进入物理接口加入相应的桥组即可，配置跟VLAN有点类似。透明模式组网，报文在设备上是基于Mac地址进行转发。

7.18.67 SecPath中低端防火墙（V3平台）哪些版本支持混合模式？

SecPath中低端防火墙（V3平台）V1R6B02版本（E1621及以后）支持混合模式，设备缺省在路由模式，通过开启bridge实现二层桥接。二层和三层之间通过桥接口进行通讯。

7.18.68 SecPath防火墙E1621以前的版本在透明模式下，PC通过防火墙接入DHCP SERVER，为何无法获得地址？

SecPath防火墙E1621以前的版本在透明模式下，对未知MAC的报文会采取单播的方式，因此PC如何要获取到IP地址，必须手动开启unknown-mac的泛洪或广播功能，即在系统视图下：

[SecPath]firewall unknown-mac flood

7.18.69 SecPath防火墙E1621以前的版本在透明模式下，防火墙两边的路由器为何不能建立OSPF邻居关系？

首先，请确定两路由器端口是相通的，在此基础上，检查是否了开启unknown-mac的泛洪或广播功能，即在系统视图下：

[SecPath]firewall unknown-mac flood 。

7.18.70 SecPath高端防火墙（V5平台）如何配置二层功能？

SecPath高端防火墙（V5平台）将交换机代码移植过来了，配置与交换机一样。即将接口配置成access、trunk等类型。

7.18.71 SecPath高端防火墙（V5平台）做二层时有几种组网？

三种：普通二层转发、In-line转发和跨VLAN转发。

普通二层转发：报文经过防火墙是基于MAC地址进行转发；

In-line转发：将两个接口加入一个In-line组，报文基于接口转发；

跨VLAN转发：一般会在Secblade FW插卡上使用（交换机做三层、防火墙插卡做二层），顾名思义，报文在不同的VLAN中转发，详细见《H3C Secblade FW插卡开局指导书》。

7.18.72 SecPath高端防火墙（V5平台）做三层时有几种组网？

三种：普通三层转发、三层子接口方式和三层虚接口（Vlan-Interface）方式。结合二层组网和混合组网模式，V5平台防火墙有三大类八小类的组网模式。

7 附录

8.18 维护记录表格

8.19.73 表一：H3C SecPath防火墙设备日常维护值班日志

日期：   年 月 日

8.19.74 表二：H3C SecPath防火墙设备季度维护记录表

维护周期 ：          年        月        日   至          年        月        日

8.19.75 表三：H3C SecPath防火墙设备年度维护记录表

维护周期 ：          年        月        日   至          年        月        日

8.19.76 表四：突发问题处理记录表

8.19.77 表五：硬件更换记录表

8.19.78 表六：系统参数修改记录表