ASPF简介

H3C SecPath F100-C防火墙安装手册杭州华三通信技术有限公司资料版本：T1-08044M-20070430-C-1.03声明Copyright ©2006-2007 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

如需要获取最新手册，请登录。

技术支持用户支持邮箱：customer_service@技术支持热线电话：800-810-0504（固话拨打）400-810-0504（手机、固话均可拨打）网址：前言相关手册手册名称用途《H3C SecPath系列安全产品操作手册》 该手册介绍了H3C SecPath系列安全网关/防火墙的功能特性、工作原理和配置及操作指导。

《H3C SecPath系列安全产品命令手册》该手册介绍了H3C SecPath系列安全网关/防火墙所涉及的配置和操作命令。

包括命令名、完整命令行、参数、操作视图、使用指导和操作举例。

《H3C SecPath系列安全产品 Web配置手册》指导用户通过Web方式对H3C SecPath系列防火墙进行配置操作。

本书简介本手册各章节内容如下：z第1章产品介绍。

介绍H3C SecPath F100-C防火墙的特点及其应用。

《H3C路由交换技术》教学进程表总计学习课时为180 课时，其中理论课时为90 课时，实验课时为90 课时，适用专业: TC精英教育网络工程专业使用，各章节课时分配如下：章节号章节名称理论课时分配实验课时分配说明第1章计算机网络基础 5 5第2章局域网技术基础12 12第3章广域网技术基础7 7第4章网络层协议原理12 12第5章传输层协议原理 5 5第6章应用层协议原理 5 5第7章以太网交换技术12 12第8章IP路由技术12 12第9章网络安全技术基础8 8第10章网络优化和管理基础12 12课时小计90 90课时总计180《H3C路由交换技术》课程教学大纲课程代码：非标教材(自选)课程性质：选修课先修课程：网络基础适用专业：TC教育各专业使用教材：《路由交换技术第1卷（上册、下册）（H3C网络学院系列教程）》清华大学出版社执笔人:王海军审稿人:叶伟一、课程的性质与任务H3C网络学院路由交换技术第1卷对建设中小型企业网络所需的网络技术进行详细介绍，包括网络模型、TCP/IP、局域网和广域网接人技术、以太网交换、IP路由、网络安全基础、网络优化和管理基础等。

本书的最大特点是理论与实践紧密结合，依托H3C路由器和交换机等网络设备精心设计的大量实验，有助于读者迅速、全面地掌握相关的知识和技能。

二、课程的考核方法《H3C路由交换技术》为考查课程，采用做案例方法，即在课程结束后以案例形式进行考核，课程学完后学员可自愿参加H3C公司网络工程师认证考试。

三、课程的目的要求“目的要求”是指通过教师的讲授及学生的认真学习所应达到的教学目的和要求。

结合本课程的教学特点，“目的要求”分为“掌握”、“熟悉”和“了解”三个级别。

“掌握”的内容，要求教师在授课时，进行深入的剖析和讲解，使学生达到彻底明了，能用文字或语言顺畅地表述，并能独立完成操作，同时也是考试的主要内容；“熟悉”的内容，要求教师予以提纲挈领地讲解，使之条理分明，使学生对此内容完全领会，明白其中的道理及其梗概，在考试时会对基本概念、基本知识进行考核；“了解”的内容，要求教师讲清概念及相关内容，使学生具有粗浅的印象。

目录“新华三杯”2018年全国大学生数字技术大赛决赛大纲 (2)1概述 (2)1.1 文件说明 (2)1.2 决赛考试说明 (2)1.3 建议参加的培训和参考资料 (3)2决赛知识点分布 (4)2.1 路由协议 (4)2.2以太网交换及相关技术 (4)2.3 VPN技术 (5)2.4 WLAN技术基础 (5)2.5 IPv6技术 (5)2.6 高可靠性技术 (5)2.7 H3C云计算基础知识 (6)2.8 H3C SDN基础知识 (6)2.9 H3C DataEngine技术 (6)2.10 防火墙及安全防护技术 (6)“新华三杯”2018年全国大学生数字技术大赛决赛大纲1概述1.1 文件说明本文件是新华三技术有限公司在全国范围内举行的“新华三杯”2018年全国大学生数字技术大赛（后简称“大赛”）决赛的大纲，用于指导参赛人员复习备考。

1.2 决赛考试说明考试对象：所有参赛人员。

考试内容考试内容百分比备注路由协议25%以“H3CSE-RS认证教材HLRNT V2.0”中的内容为主以太网交换及相关技术25%以“H3CSE-RS认证教材CHPCN V2.0”中的内容为主VPN技术20%以“H3CSE-RS认证教材CSOW V2.0”中的内容为主WLAN技术基础5%以“网络学院WLAN教程”或者“H3CS-WLAN认证教材”中的内容为主H3C SDN基础知识5%以H3C SDN实训教材中的内容为主H3C云计算基础知识5% 以H3C云计算实训教材中的内容为主考试时长及分数笔试题型笔试采用现场闭卷考试形式，考生独立完成。

试题类型及数量如下：机试题型上机考试使用HCL模拟器（V2.1.1），试卷中包含若干个配置任务，考生根据试卷要求，独立完成相关配置任务，即得到相关分数。

HCL模拟器下载地址：/cn/Service/Document_Software/Software_Download/Other_Product/H3C_Cl oud_Lab/Catalog/HCL/1.3 建议参加的培训和参考资料建议参加的培训参考资料H3CS-WLAN认证教材构建H3C无线网络(V2.1)H3CS-IPV6认证教材IPv6技术(V1.0)H3C SDN实训手册H3C SDN实验课程教材用户手册20131105-H3C S5830V2[S5820V2]系列以太网交换机配置指导-R22XX-6W100用户手册20140512-H3C MSR 系列路由器配置指导(V7)-6W103H3CNE Security认证教材H3C认证网络安全工程师认证教材2决赛知识点分布2.1 路由协议∙路由基础：路由控制与转发、路由协议原理、静态路由配置与应用、动态路由协议特点与比较、路由选择原则、路由负载分担与备份、路由聚合与CIDR。

第1章防火墙配置1.1 防火墙简介防火墙一方面阻止来自因特网的对受保护网络的未授权的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。

应用：1）作为一个访问网络的权限控制关口，如允许组织内的特定的主机可以访问外网。

2）在组织网络内部保护大型机和重要的资源（如数据）。

对受保护数据的访问都必须经过防火墙的过滤，即使网络内部用户要访问受保护的数据，也要经过防火墙。

类型：目前设备中的防火墙主要是指基于访问控制列表（ACL）的包过滤（以下简称ACL/包过滤）、基于应用层状态的包过滤（以下简称状态防火墙ASPF，Application Specific Packet Filter）和地址转换。

1.1.1 ACL/包过滤防火墙简介ACL/包过滤应用在设备中，为设备增加了对数据包的过滤功能。

工作过程：对设备需要转发的数据包，先获取数据包的包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等，然后和设定的ACL（访问控制列表）规则进行比较，根据比较的结果决定对数据包进行相应的处理。

1.2 包过滤防火墙配置1.启用防火墙功能进入系统视图system-view启用防火墙功能firewall enable2.配置防火墙的缺省过滤方式防火墙的缺省过滤方式，即在没有一个合适的规则去判定用户数据包是否可以通过的时候，防火墙采取的策略是允许还是禁止该数据包通过。

在防火墙开启时，缺省过滤方式为“允许”进入系统视图system-view设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny }3.配置访问控制列表4.在接口上应用访问控制列表进入对应接口视图interface interface-type interface-number 配置接口的出/入方向报文过滤，并设置所使用的访问控制列表号firewall packet-filter acl-number{ inbound | outbound }1.3 ACL1.3.1 ACL分类根据应用目的，可将IPv4 ACL分为四种类型：●基本ACL（ACL序号为2000～2999）：只根据报文的源IP地址信息制定规则。

H3C SecPath系列防火墙（V5）维护指导书（V1.0）杭州华三通信技术有限公司2016-03-29 H3C机密，未经许可不得扩散第1页，共35页修订记录Revision Records2016-03-29 H3C机密，未经许可不得扩散第2页，共35页目录1.日常维护建议总则 (7)1.1.日常维护建议 (7)1.2.维护记录表格和维护操作指导书的使用说明 (8)2.安装操作指导 (9)3.维护操作指导 (10)3.1.H3C S EC P ATH防火墙设备现场巡检 (10)3.2.设备日常维护操作指导 (11)3.3.设备季度维护操作指导 (12)3.4.H3C设备年度维护操作指导 (12)4.入门维护 (13)4.1.基本概念 (13)4.2.产品FAQ (17)5.常见故障处理 (21)5.1.S EC P ATH防火墙故障诊断流程 (21)5.2.H3C S EC P ATH防火墙系统维护 (21)5.3.S EC P ATH防火墙连通性 (22)5.4.N AT故障处理 (22)5.5.攻击防范故障处理 (23)6.常见问题及FAQ (25)6.1.N AT专题篇FAQ (25)6.2.攻击防范篇FAQ (26)6.3.高可靠性篇FAQ (27)7.附录 (29)7.1.维护记录表格 (29)7.2.H3C公司资源和求助途径 (35)2016-03-29 H3C机密，未经许可不得扩散第3页，共35页H3C SecPath系列防火墙维护指导书关键词：SecPath防火墙、维护指导、常见问题、摘要：此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath系列防火墙设备进行健康性检查的相关事项。

适用对象：本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。

缩略语清单：2009-4-10 H3C版权所有，未经许可不得扩散第4页, 共35页产品简介伴随着因特网的蓬勃发展，网络协议的开发性注定了给入侵者留下了众多的入侵机会，安全的网络也跟着提升到一个全新的高度。

1概述基于华为通用路由操作系统平台VRP的Quidway系列中低端路由器采用了多种网络安全技术，为企业网络提供了丰富的安全特性。

基于应用层协议状态检测的包过滤防火墙（ASPF）就是华为3Com公司Quidway系列中低端路由器关键的安全特性之一。

它能为企业内部网络与外部网络之间的通信提供基于应用的访问控制，保护企业内部用户和网络设备免受外部的恶意攻击，从而为企业内部网络的安全保驾护航。

1.1网络的安全隐患对于企业用户来说，其面临的安全威胁主要来自于未经授权的非法网络访问、传输过程中可能出现的关键信息窃取、数据完整性被破坏等几个方面。

网络安全问题的原因可分为技术因素和人为管理因素两方面。

从技术方面来说，Internet 是基于开放性标准的。

此外，很多基于TCP/IP的应用服务都在不同程度上存在着安全缺陷。

另一方面，缺乏必要的安全策略也是造成安全问题的一个重要方面。

企业网络监控、审计和漏洞修补的不充分性会导致网络的非授权使用。

访问控制的配置通常比较复杂，而网络管理人员的错误配置往往会给企业网络留下安全漏洞。

网络中路由器可能遭受的安全威胁主要有以下几类：1.IP地址欺骗IP地址欺骗是指对IP数据包的源地址进行更改以隐藏发送方的身份。

它通过利用位于可靠网络IP地址范围内的IP地址，伪装成可信任的主机访问受保护的信息资源。

因为Internet中的路由操作只使用目标地址将数据包发送到它的路径上，而忽略源地址，所以黑客可能会伪装这个源地址向系统发送破坏性的数据包，而系统却不了解它来自何处。

IP欺骗通常会引发拒绝服务攻击。

2.拒绝服务（Denial of Service）拒绝服务攻击(DoS)是网络上常见的攻击形式，也是最难阻止的攻击。

与其他类型的攻击不同，它不会对网络产生永久性破坏，而是通过使网络设备崩溃或网络资源耗尽来阻止合法用户获得网络服务。

分布式 DoS (DDoS) 攻击是指黑客利用多台被入侵的主机，集中攻击一台主机系统。

ASPF 简介acl/包过滤防火墙为静态防火墙，目前存在如下问题：1 对于多通道的应用层协议（如ftp，h.323 等），部分安全策略配置无法预知。

2 无法检测某些来自于应用层的攻击行为（如tcp syn、java applet 等）。

故提出了状态防火墙――aspf 的概念。

aspf（application specific packet filter）是针对应用层及传输层的包过滤，即基于状态的报文过滤。

aspf 能够实现的应用层协议检测包括：ftp、http、smtp、rtsp、h.323（q.931，h.245，rtp/rtcp）检测；能够实现的传输层协议检测包括：通用tcp/udp 检测。

aspf 的主要功能如下：1 能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。

对于所有连接，每一个连接状态信息都将被aspf 维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以便阻止恶意的入侵。

2 能够检测传输层协议信息（即通用tcp 和udp 协议检测），能够根据源、目的地址及端口号决定tcp 或udp 报文是否可以通过防火墙进入内部网络。

aspf 的其它功能：1 dos（denial of service，拒绝服务）攻击的检测和防范。

2 aspf不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，提供对不可信站点的java blocking（java 阻断）功能。

3 增强的会话日志功能。

可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。

4 支持应用协议端口映射pam（port to application map），允许用户自定义应用层协议使用非通用端口。

在网络边界，aspf 和普通的静态防火墙协同工作，能够为企业内部网络提供更全面的、更符合实际需求的安全策略。

1. 基本概念(1)java blockingjava blocking 是对通过http 协议传输的java applet 小程序进行阻断。

SecBlade防火墙插卡虚拟设备、安全域及域间策略典型配置举例关键词：Web、TCP、IP摘要：本文简单描述了SecBlade防火墙插卡虚拟设备、安全域、会话管理、ASPF、包过滤模块的特点，详细描述了虚拟设备、安全域、会话管理、ASPF、包过滤模块的典型配置和详细步骤。

缩略语：缩略语英文全名中文解释HTTP Hypertext Transfer Protocol WWW服务程序所用的协议TCP Transfer Control Protocol 传输控制协议Protocol 网际协议IP Internet目录1 特性简介 (3)2 特性使用指南 (3)2.1 使用场合 (3)2.2 配置指南 (3)3 配置举例 (4)3.1 组网需求 (4)3.2 配置思路 (4)3.3 使用版本 (5)3.4 设备基本配置 (5)3.4.1 交换机配置 (5)3.4.2 SecBlade配置 (5)3.5 业务典型配置举例 (6)3.5.1 虚拟设备的创建、设置、选择、删除 (6)3.5.2 安全域的创建、设置、删除 (7)3.5.3 同一虚拟设备内，面向对象的包过滤 (9)3.5.4 不同虚拟设备之间的面向对象的包过滤 (12)3.5.5 ASPF（ICMP、TCP非SYN报文的包过滤） (15)4 相关资料 (16)1 特性简介z虚拟设备：虚拟设备是一个逻辑概念，一台防火墙设备可以逻辑上划分为多个部分，每一个部分可以作为一台单独的设备。

在防火墙产品中，要求大多数防火墙特性支持虚拟设备化，每个虚拟设备之间相互独立，一般情况下不允许相互通信，这就是所谓的“虚拟防火墙”，每个部分是一个虚拟防火墙实例（VFI）。

z安全区域：所谓安全区域，是一个抽象的概念，它可以包含三层接口，二层VLAN子接口，也可以包括二层物理Trunk接口+VLAN，划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。

引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理z会话管理：会话管理是为了简化NAT、ASPF、ALG、攻击防范、连接数限制等功能模块的设计而引申出来的一个项目，能够处理各种会话信息，根据会话状态进行老化处理，并提供给各业务模块一个统一的接口。