文档名称
文档密级
SecPath U200典型配置指导
1 介绍
H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM(United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障在全部安全功能开启时性能不降低;在防火墙、VPN功能基础上,集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能,产品具有极高的性价比。
H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全,同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。
2 组网需求
2.1 组网图
U200PCG0/1G0/2Internet 2.2 三层模式 2.2.1 接口与安全域配置
G0/1
三层接口,Trust域,192.168.1.1/24 Eth0/0
Trust域,10.254.254.1/24 G0/2
三层接口,Untrust域,202.0.0.1/24 2.2.2 ACL配置
2007-04-27
H3C机密,未经许可不得扩散 第1页, 共32页 文档名称
文档密级
用于内网访问Internet时作NAT
用于iware访问内网、Internet时作NAT
用于深度安全策略
2.2.3 NAT配置
nat server配置
nat outbound配置
2.3 二层模式 2.3.1 接口与安全域配置
G0/1
二层acce口,PVID 10,Trust域
2007-04-27
H3C机密,未经许可不得扩散
第2页, 共32页 文档名称
文档密级
G0/2
二层acce口,PVID为10,Untrust Eth0/0
三层接口,Trust域,10.254.254.1/24 vlan-interface 10 Trust域,192.168.1.1/24 2.3.2 ACL配置
用于iware访问内网时作NAT
用于深度安全策略
2.3.3 NAT配置
NAT Server配置
NAT outbound配置
2007-04-27
H3C机密,未经许可不得扩散 第3页, 共32页 文档名称
文档密级
3 U200典型配置举例
3.1 IPS/AV特征库升级 3.1.1 特征库自动升级
(1) 功能简述
验证U200自动升级IPS/AV特征库 (2) 测试步骤
防火墙Web管理界面,策略管理 > 深度安全策略。点击“进入深度安全策略配置”,进入i-ware WEB管理界面
系统管理 > 升级管理 > 自动升级
选择自动升级库类型,选中“启用自动升级”,设置“开始时间”、“间隔时间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。
点击按钮保存配置。指定的时间后察看版本信息有结果A (3) 验证结果
A.版本信息中当前版本更新时间显示自动更新在指定时间运行了,且特征库已更新 (4) 注意事项
2007-04-27
H3C机密,未经许可不得扩散
第4页, 共32页 文档名称
文档密级
A.确保license文件存在且有效
B.将开始时间设定在网络相对空闲的时间,如凌晨。 (5) 故障排除
A.提示license文件不存在,需要在iware隐含扩展视图,/mnt/system/config目录下执行license重新生成license文件;或通过Web License文件管理 > 文件操作页面导入license文件。
B.提示license文件错误,察看devicebom、devicename和devicecode值是否正确。
3.1.2 特征库手动升级
(1) 功能简述
验证U200手动升级IPS/AV特征库 (2) 测试步骤 进入i-ware WEB管理界面 系统管理 > 升级管理 > 手动升级
选择“特征库类型”、“协议(手动升级目前只支持tftp)”,输入“升级包的位置”,点击 。有结果A
(3) 验证结果
A.立刻开始升级特征库。结束后察看特征库版本信息,已更新 (4) 注意事项 (5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散
第5页, 共32页 文档名称
文档密级
3.2 IPS配置
(1) 功能简述
验证二层模式、三层模式下,U200对流量进行IPS检测 (2) 测试步骤
防火墙Web管理页面,策略管理 > 深度安全策略
点击,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC运行漏洞扫描软件(如x-scan)对Internet上某台计算机进行扫描,察看攻击日志,有结果A (3) 验证结果
A. 攻击日志显示检测到攻击,并执行了相应的动作 (4) 注意事项 (5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第6页, 共32页 文档名称
文档密级
3.3 防病毒配置
(1) 功能简述
验证二层模式、三层模式下,U200对流量进行病毒扫描检测 (2) 测试步骤
防火墙Web管理页面,策略管理 > 深度安全策略
点击,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC从www.daodoc.com),选择“过滤类型”(主机名),输入“固定字符串”(www.daodoc.com),选择“使能状态”(使能),选择“时间分组”(timegroup1),设置“动作集”(时间段default的动作集选择Permit,时间段Worktime的动作集选择Block)。
2007-04-27
H3C机密,未经许可不得扩散 第10页, 共32页 文档名称
文档密级
点击 按钮,输入“名称”(Worm Site),选择“过滤类型”(IP地址),输入“固定字符串”(61.154.3.2),选择“使能状态”(使能),选择“时间分组”(任意时间),设置“动作集”(Block)。
2007-04-27
H3C机密,未经许可不得扩散 第11页, 共32页 文档名称
文档密级
关联应用URL过滤段策略
对象管理 > 段策略管理,点击
选择“要关联的段”(3)、“url过滤策略”、“选择策略”(Custom URL Filter)、方向(内部到外部、外部到内部),点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第12页, 共32页 文档名称
文档密级
点击 使配置生效
内网PC访问www.daodoc.com和61.154.3.2,有结果A (3) 验证结果
A.不能打开页面。察看系统状态页面,URL过滤中显示阻断计数
(4) 注意事项 (5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第13页, 共32页 文档名称
文档密级
3.5 协议内容审计
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的http、ftp、smtp协议内容进行审计,并将审计日志发送到syslog服务器。 (2) 测试步骤 配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
协议内容审计策略配置
i-ware WEB管理界面,对象管理 > 协议内容审计 > 策略管理,点击
2007-04-27
H3C机密,未经许可不得扩散 第14页, 共32页 文档名称
文档密级
输入“名称”(Custom Audit Policy)
点击确定,进入“规则管理”页面。 禁止规则POP3 选中协议规则(pop3),点击 按钮
修改Notify动作
2007-04-27
H3C机密,未经许可不得扩散
第15页, 共32页 文档名称
文档密级
修改Notify动作,向syslog服务器发送审计日志
对象管理 > 动作管理 > 通知动作列表,点击通知动作“Notify”或操作栏中“修改通知动作资料”按钮
“通知方式”中选中“输出到syslog主机”,输入“名称”(192.168.1.2)、IP地址(192.168.1.2)和端口号(514)。
点击 按钮,将syslog主机添加到左侧的列表框中,选中添加的syslog主机,点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第16页, 共32页 文档名称
文档密级
关联应用协议内容审计段策略
对象管理 > 段策略管理,点击
选择“要关联的段”(3)、“策略类型”(协议内容审计策略)、“选择策略”(Custom Audit Policy)、方向(双向),点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第17页, 共32页 文档名称
文档密级
点击 使配置生效
内网PC进行到Internet的http、ftp、smtp和pop3访问,察看syslog主机,有结果A (3) 验证结果
A.接收到http、ftp和smtp审计日志 (4) 注意事项 (5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第18页, 共32页 文档名称
文档密级
3.6 带宽管理配置(应用带宽控制)
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限速)
(2) 测试步骤 配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理 > BWC管理 >应用带宽控制列表,点击 2007-04-27
H3C机密,未经许可不得扩散 第19页, 共32页 文档名称
文档密级
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
动作集配置
对象管理 > 动作管理 > 限速动作列表,点击
输入“名称”(limit_p2p_400kbps);“带宽控制”设置中,选中“从内网到外网(上行)方向带宽控制”并选择已添加的应用带宽控制规则(limit_p2p_400kbps) ,选中“从外网到内网(下行)方向带宽控制”并选择已添加的应用带宽控制规则(limit_p2p_400kbps)。
2007-04-27
H3C机密,未经许可不得扩散 第20页, 共32页 文档名称
文档密级
对象管理 > 动作管理 > 动作集列表 点击
输入“名称”(limit_p2p_400kbps),“选择动作”选择“限速:,并选择已添加的限速动作(limit_p2p_400kbps) 。
2007-04-27
H3C机密,未经许可不得扩散 第21页, 共32页 文档名称
文档密级
带宽管理配置
对象管理 > 带宽管理 > 策略管理,点击
输入“名称”(Custom Service Control Policy1),选择“时间表”(工作时间)。点击确定,进入“规则管理”页面。
2007-04-27
H3C机密,未经许可不得扩散 第22页, 共32页 文档名称
文档密级
点击 ,输入策略“名称”(P2P下载限速),选择“服务”(P2P),选择“时间分组”(timegroup1),选择“动作集”(default时间段动作集选择Permit,Worktime时间段动作集选择 limit_p2p_400kbps)。点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第23页, 共32页 文档名称
文档密级
创建网络游戏、在线视频阻断规则
2007-04-27
H3C机密,未经许可不得扩散 第24页, 共32页 文档名称
文档密级
规则管理页面,选择“工作模式”为“用户模式”,实现每用户/IP限速
注:组模式对符合策略的所有用户的带宽之和进行控制,用户模式对符合策略的单个用户的带宽进行独立地控制 关联带宽管理段策略
对象管理 > 段策略管理,点击
2007-04-27
H3C机密,未经许可不得扩散 第25页, 共32页 文档名称
文档密级
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(Custom Service Control Policy1)、管理区域(内部区域),添加例外IP地址(192.168.1.168),点击确定。
点击 使配置生效
工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)2007-04-27
H3C机密,未经许可不得扩散
第26页, 共32页 文档名称
文档密级
执行emule、BT、迅雷等P2P下载,有结果A 非工作时间内网PC(IP地址非192.168.1.168)执行P2P下载,有结果B 工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)执行网络游戏(QQ游戏、联众游戏)和在线视频(PPlive),有结果C 非工作时间内网PC(IP地址非192.168.1.168)执行网络游戏(QQ游戏、联众游戏)和在线视频(PPlive),有结果C
Ip地址为192.168.1.168的PC在任意时间执行P2P下载、网络游戏和在线视频,有结果D (3) 验证结果
A.一台PC各P2P软件总的下载速率不超过400Kbps B.一台PC各P2P软件总的下载速率可能会超过400Kbps C.网络游戏不能运行,网络视频不能观看
D.P2P下载速率不受限制,可能会超过400kbps。网络游戏能够运行,视频能够观看。 (4) 注意事项 (5) 故障排除
3.7 带宽管理配置(策略带宽控制)
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限速)
(2) 测试步骤 配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
2007-04-27
H3C机密,未经许可不得扩散 第27页, 共32页 文档名称
文档密级
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理 > BWC管理 > 策略带宽控制列表,点击
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
2007-04-27
H3C机密,未经许可不得扩散 第28页, 共32页 文档名称
文档密级
带宽管理配置
对象管理 > 带宽管理 > 策略管理,点击
输入“名称”(Custom Service Control Policy2),点击确定,进入“规则管理”页面。
2007-04-27
H3C机密,未经许可不得扩散 第29页, 共32页 文档名称
文档密级
选中默认规则“Default”,点击
点击,输入“名称”(P2P下载),选择“服务”(P2P)、动作集(Permit),点击确定。
网络视频允许规则
2007-04-27
H3C机密,未经许可不得扩散 第30页, 共32页 文档名称
文档密级
网络游戏阻断规则
关联带宽管理段策略
对象管理 > 段策略管理,点击
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(Custom 2007-04-27
H3C机密,未经许可不得扩散
第31页, 共32页 文档名称
文档密级
Service Control Policy2)、管理区域(内部区域),点击确定。
点击 使配置生效
内网多台PC任意时间同时进行emule、BT、迅雷等P2P下载,PPlive网络电视,有结果A 内网PC任意时间运行网络游戏(QQ游戏、联众游戏),有结果B (3) 验证结果
A.所有PC总的下载速率不超过400kbps B.网络游戏不能运行 (4) 注意事项 (5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第32页, 共32页
