H3C SECPATH F1000-E配置經(jīng)驗(yàn)心得較近配了H3C SECPAHT F1000-E���,把一些心得拿出來(lái)大家分享下
1����、該防火墻是基于V5平臺(tái)的�,命令上有不少的變化�����,好像是為了和華為的VRP徹底分家
2����、如果要實(shí)現(xiàn)遠(yuǎn)程TELNET配置需要設(shè)置TELNET SERVER ENABLE,這點(diǎn)我個(gè)人覺(jué)得安全性不如CISCO的ASA�,ASA遠(yuǎn)程只能通過(guò)SSH,telnet只能放在高安全級(jí)別的內(nèi)網(wǎng)
3��、安全區(qū)域配置需要配置在WEB界面下�,以前是在CLI下即可配置,現(xiàn)在取消了在CLI配置�����,一開(kāi)始我到處找firewall packet filter default permit 就是沒(méi)有,也沒(méi)有firewall zone trust(untrust)命令
4���、低安全級(jí)別區(qū)域訪問(wèn)高安全級(jí)別區(qū)域現(xiàn)在需要在WEB 方式下:策略管理--訪問(wèn)控制策略--面向?qū)ο蟮腁CL中做設(shè)置����,這個(gè)較困擾我����,因?yàn)镠3C以前沒(méi)有這樣配置,網(wǎng)站上也沒(méi)有這方面介紹
5�����、VPN在WEB上支持IKE�����,IPSEC����,但沒(méi)有L2TP和GRE,CLI上倒是支持L2TP和GRE;另外不支持DVPN���,不知道為什么�����,因?yàn)橐回濰3C防火墻在VPN功能上是非常強(qiáng)大的�����,而且配置起來(lái)比CISCO的簡(jiǎn)單
6�、P2P控制無(wú)法控制訊雷�,這個(gè)做售前的需要注意,畢竟這個(gè)是防火墻����,H3C沒(méi)有把P2P特征碼整合訊雷,因此P2P限速只能限制BT���,電驢��,MSN等�,特征碼還需要找H3C辦事處工程師索取
7�����、鏈路自動(dòng)偵測(cè)命令改稱NQA了��,具體可以找H3C 800要,或者看嚇SR路由器文檔���,我感覺(jué)這方面有點(diǎn)向CISCO靠攏�����,開(kāi)始用TRACK了��,一開(kāi)始寫(xiě)實(shí)施的時(shí)候是用detect-group���,結(jié)果實(shí)施時(shí)發(fā)現(xiàn)不支持該命令,后找800要了個(gè)NQA文檔才搞定!
8、防病毒策略也需要在WEB方式下在面向?qū)ο驛CL中加���,比以前直接下發(fā)麻煩的多
9����、策略路由命令注意變了����,route-policy改成policy-base-route了,這個(gè)也折騰我半天�,一開(kāi)始我都配置的是route-policy,但是在接入的PC上用TRACERT跟蹤路由�����,發(fā)現(xiàn)策略路由始終不生效,還一度以為這防火墻軟件有問(wèn)題����,汗一個(gè)
10、G0/0端口默認(rèn)為管理口��,H3C辦事處工程師建議不跑業(yè)務(wù)(個(gè)人覺(jué)得浪費(fèi)資源啊�����,還不如ASA單獨(dú)搞個(gè)管理口方便)
11�、虛擬防火墻是需要指定相應(yīng)的接口���,我測(cè)試了下�����,目前好像還做不到在同一端口劃分幾個(gè)邏輯虛擬防火墻�,而且必須在WEB方式下配置
12�、該防火墻端口不支持鏈路聚合,如果需要和核心交換機(jī)做鏈路備份���,需要再用1個(gè)端口做路由��,路由的優(yōu)先級(jí)不同即可
該產(chǎn)品配置是WEB+CLI
總的來(lái)說(shuō)��,這款防火墻如果在熟悉了以后應(yīng)該是比較容易上手��,而H3C也會(huì)不斷改進(jìn)��,希望以后出來(lái)完全WEB方式頒布或者WEB操作可以顯示在CLI中
