全国咨询服务电话

15378180513 

企业新闻

联系我们

客户至上

成都达锐斯科技有限公司
地址:成都市武候区人民南路4段53号嘉云台丙栋7楼

电话:15378180513

联系人:

邮箱:3511891@qq.com

官网:http://www.cdh3c.com

企业新闻

当前位置: 首页>>企业新闻

H3C V5防火墙注意事项

  H3C SECPATH F1000-E配置经验心得较近配了H3C SECPAHT F1000-E,把一些心得拿出来大家分享下

  1、该防火墙是基于V5平台的,命令上有不少的变化,好像是为了和华为的VRP彻底分家

  2、如果要实现远程TELNET配置需要设置TELNET SERVER ENABLE,这点我个人觉得安全性不如CISCO的ASA,ASA远程只能通过SSH,telnet只能放在高安全级别的内网

  3、安全区域配置需要配置在WEB界面下,以前是在CLI下即可配置,现在取消了在CLI配置,一开始我到处找firewall packet filter default permit 就是没有,也没有firewall zone trust(untrust)命令

  4、低安全级别区域访问高安全级别区域现在需要在WEB 方式下:策略管理--访问控制策略--面向对象的ACL中做设置,这个较困扰我,因为H3C以前没有这样配置,网站上也没有这方面介绍

  5、VPN在WEB上支持IKE,IPSEC,但没有L2TP和GRE,CLI上倒是支持L2TP和GRE;另外不支持DVPN,不知道为什么,因为一贯H3C防火墙在VPN功能上是非常强大的,而且配置起来比CISCO的简单

  6、P2P控制无法控制讯雷,这个做售前的需要注意,毕竟这个是防火墙,H3C没有把P2P特征码整合讯雷,因此P2P限速只能限制BT,电驴,MSN等,特征码还需要找H3C办事处工程师索取

  7、链路自动侦测命令改称NQA了,具体可以找H3C 800要,或者看吓SR路由器文档,我感觉这方面有点向CISCO靠拢,开始用TRACK了,一开始写实施的时候是用detect-group,结果实施时发现不支持该命令,后找800要了个NQA文档才搞定!

  8、防病毒策略也需要在WEB方式下在面向对象ACL中加,比以前直接下发麻烦的多

  9、策略路由命令注意变了,route-policy改成policy-base-route了,这个也折腾我半天,一开始我都配置的是route-policy,但是在接入的PC上用TRACERT跟踪路由,发现策略路由始终不生效,还一度以为这防火墙软件有问题,汗一个

  10、G0/0端口默认为管理口,H3C办事处工程师建议不跑业务(个人觉得浪费资源啊,还不如ASA单独搞个管理口方便)

  11、虚拟防火墙是需要指定相应的接口,我测试了下,目前好像还做不到在同一端口划分几个逻辑虚拟防火墙,而且必须在WEB方式下配置

  12、该防火墙端口不支持链路聚合,如果需要和核心交换机做链路备份,需要再用1个端口做路由,路由的优先级不同即可

  该产品配置是WEB+CLI

  总的来说,这款防火墙如果在熟悉了以后应该是比较容易上手,而H3C也会不断改进,希望以后出来完全WEB方式颁布或者WEB操作可以显示在CLI中

友情链接

新华三集团 思科

公司地址

ADDRESS

成都市武候区人民南路4段53号嘉云台丙栋7楼

服务电话

HOTTELEPHONE
  • 15378180513
公司简介
产品展示
H3C交换机
H3C路由器
思科交换机
思科路由器
其它
企业新闻
技术文档
  • 扫一扫,加微信

Copyright © 2024 达锐斯科技 川公网安备 51010802000119号 XML地图

蜀ICP备2020034250号-1 技术支持: 网站模板