H3C SECPATH F1000-E配置经验心得较近配了H3C SECPAHT F1000-E,把一些心得拿出来大家分享下
1、该防火墙是基于V5平台的,命令上有不少的变化,好像是为了和华为的VRP彻底分家
2、如果要实现远程TELNET配置需要设置TELNET SERVER ENABLE,这点我个人觉得安全性不如CISCO的ASA,ASA远程只能通过SSH,telnet只能放在高安全级别的内网
3、安全区域配置需要配置在WEB界面下,以前是在CLI下即可配置,现在取消了在CLI配置,一开始我到处找firewall packet filter default permit 就是没有,也没有firewall zone trust(untrust)命令
4、低安全级别区域访问高安全级别区域现在需要在WEB 方式下:策略管理--访问控制策略--面向对象的ACL中做设置,这个较困扰我,因为H3C以前没有这样配置,网站上也没有这方面介绍
5、VPN在WEB上支持IKE,IPSEC,但没有L2TP和GRE,CLI上倒是支持L2TP和GRE;另外不支持DVPN,不知道为什么,因为一贯H3C防火墙在VPN功能上是非常强大的,而且配置起来比CISCO的简单
6、P2P控制无法控制讯雷,这个做售前的需要注意,毕竟这个是防火墙,H3C没有把P2P特征码整合讯雷,因此P2P限速只能限制BT,电驴,MSN等,特征码还需要找H3C办事处工程师索取
7、链路自动侦测命令改称NQA了,具体可以找H3C 800要,或者看吓SR路由器文档,我感觉这方面有点向CISCO靠拢,开始用TRACK了,一开始写实施的时候是用detect-group,结果实施时发现不支持该命令,后找800要了个NQA文档才搞定!
8、防病毒策略也需要在WEB方式下在面向对象ACL中加,比以前直接下发麻烦的多
9、策略路由命令注意变了,route-policy改成policy-base-route了,这个也折腾我半天,一开始我都配置的是route-policy,但是在接入的PC上用TRACERT跟踪路由,发现策略路由始终不生效,还一度以为这防火墙软件有问题,汗一个
10、G0/0端口默认为管理口,H3C办事处工程师建议不跑业务(个人觉得浪费资源啊,还不如ASA单独搞个管理口方便)
11、虚拟防火墙是需要指定相应的接口,我测试了下,目前好像还做不到在同一端口划分几个逻辑虚拟防火墙,而且必须在WEB方式下配置
12、该防火墙端口不支持链路聚合,如果需要和核心交换机做链路备份,需要再用1个端口做路由,路由的优先级不同即可
该产品配置是WEB+CLI
总的来说,这款防火墙如果在熟悉了以后应该是比较容易上手,而H3C也会不断改进,希望以后出来完全WEB方式颁布或者WEB操作可以显示在CLI中