2024年5月29日发(作者:锺希)
文档名称
文档密级
SecPath U200典型配置指导
1 介绍
H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM
(United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,
保障在全部安全功能开启时性能不降低;在防火墙、VPN功能基础上,集成了IPS、防病
毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能,产品具有极高的性
价比。
H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全,同时还可以使用
户避免部署多台安全设备所带来的运营成本和维护复杂性问题。
2 组网需求
2.1 组网图
U200
PC
G0/1
G0/2
Internet
2.2 三层模式
2.2.1 接口与安全域配置
G0/1 三层接口,Trust域,192.168.1.1/24
Eth0/0 Trust域,10.254.254.1/24
G0/2 三层接口,Untrust域,202.0.0.1/24
2.2.2 ACL配置
2007-04-27
H3C机密,未经许可不得扩散 第1页, 共32页
文档名称
文档密级
用于内网访问Internet时作NAT
用于iware访问内网、Internet时作NAT
用于深度安全策略
2.2.3 NAT配置
nat server配置
nat outbound配置
2.3 二层模式
2.3.1 接口与安全域配置
G0/1 二层access口,PVID 10,Trust域
2007-04-27
H3C机密,未经许可不得扩散 第2页, 共32页
文档名称
文档密级
G0/2 二层access口,PVID为10,Untrust
Eth0/0 三层接口,Trust域,10.254.254.1/24
vlan-interface 10 Trust域,192.168.1.1/24
2.3.2 ACL配置
用于iware访问内网时作NAT
用于深度安全策略
2.3.3 NAT配置
NAT Server配置
NAT outbound配置
2007-04-27
H3C机密,未经许可不得扩散 第3页, 共32页
文档名称
文档密级
3 U200典型配置举例
3.1 IPS/AV特征库升级
3.1.1 特征库自动升级
(1) 功能简述
验证U200自动升级IPS/AV特征库
(2) 测试步骤
防火墙Web管理界面,策略管理 > 深度安全策略。点击“进入深度安全策略配
置”,进入i-ware WEB管理界面
系统管理 > 升级管理 > 自动升级
选择自动升级库类型,选中“启用自动升级”,设置“开始时间”、“间隔时
间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。
点击< 确定>按钮保存配置。指定的时间后察看版本信息有结果A
(3) 验证结果
A. 版本信息中当前版本更新时间显示自动更新在指定时间运行了,且特征库
已更新
(4) 注意事项
2007-04-27
H3C机密,未经许可不得扩散 第4页, 共32页
文档名称
文档密级
A. 确保license文件存在且有效
B. 将开始时间设定在网络相对空闲的时间,如凌晨。
(5) 故障排除
A. 提示license文件不存在,需要在iware隐含扩展视图,/mnt/system/config
目录下执行license重新生成license文件;或通过Web License文件管理 >
文件操作页面导入license文件。
B. 提示license文件错误,察看devicebom、devicename和devicecode值是否
正确。
3.1.2 特征库手动升级
(1) 功能简述
验证U200手动升级IPS/AV特征库
(2) 测试步骤
进入i-ware WEB管理界面
系统管理 > 升级管理 > 手动升级
选择“特征库类型”、“协议(手动升级目前只支持tftp)”,输入“升级包的
位置”,点击< 确定 > 。有结果A
(3) 验证结果
A. 立刻开始升级特征库。结束后察看特征库版本信息,已更新
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第5页, 共32页
文档名称
文档密级
3.2 IPS配置
(1) 功能简述
验证二层模式、三层模式下,U200对流量进行IPS检测
(2) 测试步骤
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC运行漏洞扫描软件(如x-scan)对Internet上某台计算机进行扫描,察
看攻击日志,有结果A
(3) 验证结果
A. 攻击日志显示检测到攻击,并执行了相应的动作
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第6页, 共32页
文档名称
文档密级
3.3 防病毒配置
(1) 功能简述
验证二层模式、三层模式下,U200对流量进行病毒扫描检测
(2) 测试步骤
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC从 下载eicar测试病毒,有结果A
(3) 验证结果
A. 下载失败。察看病毒日志,显示病毒被检测到并阻断。
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第7页, 共32页
文档名称
文档密级
3.4 URL过滤
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的URL请求进行过滤,阻断对不
良/恶意网站的访问。
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
时间表配置
i-ware Web管理页面,对象管理 > 时间表管理,点击创建时间表
输入“名称”(工作时间);在时间段2的输入框中输入该时间段的名称
( Worktime) ,点击时间段2对应的蓝色图标,然后在时间表格中选择所需的格
子
2007-04-27
H3C机密,未经许可不得扩散 第8页, 共32页
文档名称
文档密级
点击“检查方案”按钮查看当前时间分组所对应的时间段信息
URL过滤策略配置
i-ware WEB管理界面,对象管理 > URL过滤 > 策略管理,点击< 创建策略 >
输入“名称”(Custom URL Filter),选择“时间表”(工作时间)
2007-04-27
H3C机密,未经许可不得扩散 第9页, 共32页
文档名称
文档密级
点击确定,进入“规则管理”页面。点击<创建规则> 按钮,
输入“名称”(),选择“过滤类型”(主机名),输入“固
定字符串”(),选择“使能状态”(使能),选择“时间
分组”(timegroup1),设置“动作集”(时间段default的动作集选择Permit,
时间段Worktime的动作集选择Block)。
2007-04-27
H3C机密,未经许可不得扩散 第10页, 共32页
文档名称
文档密级
点击< 创建规则 > 按钮,输入“名称”(Worm Site),选择“过滤类型”(IP
地址),输入“固定字符串”(61.154.3.2),选择“使能状态”(使能),
选择“时间分组”(任意时间),设置“动作集”(Block)。
2007-04-27
H3C机密,未经许可不得扩散 第11页, 共32页
文档名称
文档密级
关联应用URL过滤段策略
对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“url过滤策略”、“选择策略”(Custom URL Filter)、
方向(内部到外部、外部到内部),点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第12页, 共32页
文档名称
文档密级
点击< 激活 > 使配置生效
内网PC访问和61.154.3.2,有结果A
(3) 验证结果
A. 不能打开页面。察看系统状态页面,URL过滤中显示阻断计数
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第13页, 共32页
文档名称
文档密级
3.5 协议内容审计
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的http、ftp、smtp协议内容进行
审计,并将审计日志发送到syslog服务器。
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
协议内容审计策略配置
i-ware WEB管理界面,对象管理 > 协议内容审计 > 策略管理,点击< 创建
策略 >
2007-04-27
H3C机密,未经许可不得扩散 第14页, 共32页
文档名称
文档密级
输入“名称”(Custom Audit Policy)
点击确定,进入“规则管理”页面。
禁止规则POP3
选中协议规则(pop3),点击 < 禁止规则 > 按钮
修改Notify动作
2007-04-27
H3C机密,未经许可不得扩散 第15页, 共32页
文档名称
文档密级
修改Notify动作,向syslog服务器发送审计日志
对象管理 > 动作管理 > 通知动作列表,点击通知动作“Notify”或操作栏中
“修改通知动作资料”按钮
“通知方式”中选中“输出到syslog主机”,输入“名称”(192.168.1.2)、
IP地址(192.168.1.2)和端口号(514)。
点击< 增加 > 按钮,将syslog主机添加到左侧的列表框中,选中添加的syslog
主机,点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第16页, 共32页
文档名称
文档密级
关联应用协议内容审计段策略
对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(协议内容审计策略)、“选择策略”
(Custom Audit Policy)、方向(双向),点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第17页, 共32页
文档名称
文档密级
点击< 激活 > 使配置生效
内网PC进行到Internet的http、ftp、smtp和pop3访问,察看syslog主机,有结
果A
(3) 验证结果
A. 接收到http、ftp和smtp审计日志
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第18页, 共32页
文档名称
文档密级
3.6 带宽管理配置(应用带宽控制)
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限
速)
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理 > BWC管理 >应用带宽控制列表,点击< 增
加带宽控制 >
2007-04-27
H3C机密,未经许可不得扩散 第19页, 共32页
文档名称
文档密级
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
动作集配置
对象管理 > 动作管理 > 限速动作列表,点击< 添加限速动作 >
输入“名称”(limit_p2p_400kbps);“带宽控制”设置中,选中“从内网到
外网(上行)方向带宽控制”并选择已添加的应用带宽控制规则
(limit_p2p_400kbps) ,选中“从外网到内网(下行)方向带宽控制”并选
择已添加的应用带宽控制规则(limit_p2p_400kbps)。
2007-04-27
H3C机密,未经许可不得扩散 第20页, 共32页
文档名称
文档密级
对象管理 > 动作管理 > 动作集列表
点击 < 添加动作集 >
输入“名称”(limit_p2p_400kbps),“选择动作”选择“限速:,并选择已
添加的限速动作(limit_p2p_400kbps) 。
2007-04-27
H3C机密,未经许可不得扩散 第21页, 共32页
文档名称
文档密级
带宽管理配置
对象管理 > 带宽管理 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Service Control Policy1),选择“时间表”(工作时
间)。点击确定,进入“规则管理”页面。
2007-04-27
H3C机密,未经许可不得扩散 第22页, 共32页
文档名称
文档密级
点击 < 创建规则 > ,输入策略“名称”(P2P下载限速),选择“服务”(P2P),
选择“时间分组”(timegroup1),选择“动作集”(default时间段动作集选
择Permit,Worktime时间段动作集选择 limit_p2p_400kbps)。点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第23页, 共32页
文档名称
文档密级
创建网络游戏、在线视频阻断规则
2007-04-27
H3C机密,未经许可不得扩散 第24页, 共32页
文档名称
文档密级
规则管理页面,选择“工作模式”为“用户模式”,实现每用户/IP限速
注:组模式对符合策略的所有用户的带宽之和进行控制,用户模式对符合策略
的单个用户的带宽进行独立地控制
关联带宽管理段策略
对象管理 > 段策略管理,点击< 新建段策略 >
2007-04-27
H3C机密,未经许可不得扩散 第25页, 共32页
文档名称
文档密级
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(Custom
Service Control Policy1)、管理区域(内部区域),添加例外IP地址
(192.168.1.168),点击确定。
点击< 激活 > 使配置生效
工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)
2007-04-27
H3C机密,未经许可不得扩散 第26页, 共32页
文档名称
文档密级
执行emule、BT、迅雷等P2P下载,有结果A
非工作时间内网PC(IP地址非192.168.1.168)执行P2P下载,有结果B
工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)
执行网络游戏(QQ游戏、联众游戏)和在线视频(PPlive),有结果C
非工作时间内网PC(IP地址非192.168.1.168)执行网络游戏(QQ游戏、联众
游戏)和在线视频(PPlive),有结果C
Ip地址为192.168.1.168的PC在任意时间执行P2P下载、网络游戏和在线视频,
有结果D
(3) 验证结果
A. 一台PC各P2P软件总的下载速率不超过400Kbps
B. 一台PC各P2P软件总的下载速率可能会超过400Kbps
C. 网络游戏不能运行,网络视频不能观看
D. P2P下载速率不受限制,可能会超过400kbps。网络游戏能够运行,视频能
够观看。
(4) 注意事项
(5) 故障排除
3.7 带宽管理配置(策略带宽控制)
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限
速)
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
2007-04-27
H3C机密,未经许可不得扩散 第27页, 共32页
文档名称
文档密级
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理 > BWC管理 > 策略带宽控制列表,点击< 增
加带宽控制 >
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
2007-04-27
H3C机密,未经许可不得扩散 第28页, 共32页
文档名称
文档密级
带宽管理配置
对象管理 > 带宽管理 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Service Control Policy2),点击确定,进入“规则管
理”页面。
2007-04-27
H3C机密,未经许可不得扩散 第29页, 共32页
文档名称
文档密级
选中默认规则“Default”,点击<禁止选中规则>
点击< 创建规则 >,输入“名称”(P2P下载),选择“服务”(P2P)、动
作集(Permit),点击确定。
网络视频允许规则
2007-04-27
H3C机密,未经许可不得扩散 第30页, 共32页
文档名称
文档密级
网络游戏阻断规则
关联带宽管理段策略
对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(Custom
2007-04-27
H3C机密,未经许可不得扩散 第31页, 共32页
文档名称
文档密级
Service Control Policy2)、管理区域(内部区域),点击确定。
点击< 激活 > 使配置生效
内网多台PC任意时间同时进行emule、BT、迅雷等P2P下载,PPlive网络电视,
有结果A
内网PC任意时间运行网络游戏(QQ游戏、联众游戏),有结果B
(3) 验证结果
A. 所有PC总的下载速率不超过400kbps
B. 网络游戏不能运行
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第32页, 共32页
2024年5月29日发(作者:锺希)
文档名称
文档密级
SecPath U200典型配置指导
1 介绍
H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM
(United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,
保障在全部安全功能开启时性能不降低;在防火墙、VPN功能基础上,集成了IPS、防病
毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能,产品具有极高的性
价比。
H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全,同时还可以使用
户避免部署多台安全设备所带来的运营成本和维护复杂性问题。
2 组网需求
2.1 组网图
U200
PC
G0/1
G0/2
Internet
2.2 三层模式
2.2.1 接口与安全域配置
G0/1 三层接口,Trust域,192.168.1.1/24
Eth0/0 Trust域,10.254.254.1/24
G0/2 三层接口,Untrust域,202.0.0.1/24
2.2.2 ACL配置
2007-04-27
H3C机密,未经许可不得扩散 第1页, 共32页
文档名称
文档密级
用于内网访问Internet时作NAT
用于iware访问内网、Internet时作NAT
用于深度安全策略
2.2.3 NAT配置
nat server配置
nat outbound配置
2.3 二层模式
2.3.1 接口与安全域配置
G0/1 二层access口,PVID 10,Trust域
2007-04-27
H3C机密,未经许可不得扩散 第2页, 共32页
文档名称
文档密级
G0/2 二层access口,PVID为10,Untrust
Eth0/0 三层接口,Trust域,10.254.254.1/24
vlan-interface 10 Trust域,192.168.1.1/24
2.3.2 ACL配置
用于iware访问内网时作NAT
用于深度安全策略
2.3.3 NAT配置
NAT Server配置
NAT outbound配置
2007-04-27
H3C机密,未经许可不得扩散 第3页, 共32页
文档名称
文档密级
3 U200典型配置举例
3.1 IPS/AV特征库升级
3.1.1 特征库自动升级
(1) 功能简述
验证U200自动升级IPS/AV特征库
(2) 测试步骤
防火墙Web管理界面,策略管理 > 深度安全策略。点击“进入深度安全策略配
置”,进入i-ware WEB管理界面
系统管理 > 升级管理 > 自动升级
选择自动升级库类型,选中“启用自动升级”,设置“开始时间”、“间隔时
间”和“升级包的位置”。升级包的位置支持http、tftp两种协议。
点击< 确定>按钮保存配置。指定的时间后察看版本信息有结果A
(3) 验证结果
A. 版本信息中当前版本更新时间显示自动更新在指定时间运行了,且特征库
已更新
(4) 注意事项
2007-04-27
H3C机密,未经许可不得扩散 第4页, 共32页
文档名称
文档密级
A. 确保license文件存在且有效
B. 将开始时间设定在网络相对空闲的时间,如凌晨。
(5) 故障排除
A. 提示license文件不存在,需要在iware隐含扩展视图,/mnt/system/config
目录下执行license重新生成license文件;或通过Web License文件管理 >
文件操作页面导入license文件。
B. 提示license文件错误,察看devicebom、devicename和devicecode值是否
正确。
3.1.2 特征库手动升级
(1) 功能简述
验证U200手动升级IPS/AV特征库
(2) 测试步骤
进入i-ware WEB管理界面
系统管理 > 升级管理 > 手动升级
选择“特征库类型”、“协议(手动升级目前只支持tftp)”,输入“升级包的
位置”,点击< 确定 > 。有结果A
(3) 验证结果
A. 立刻开始升级特征库。结束后察看特征库版本信息,已更新
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第5页, 共32页
文档名称
文档密级
3.2 IPS配置
(1) 功能简述
验证二层模式、三层模式下,U200对流量进行IPS检测
(2) 测试步骤
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC运行漏洞扫描软件(如x-scan)对Internet上某台计算机进行扫描,察
看攻击日志,有结果A
(3) 验证结果
A. 攻击日志显示检测到攻击,并执行了相应的动作
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第6页, 共32页
文档名称
文档密级
3.3 防病毒配置
(1) 功能简述
验证二层模式、三层模式下,U200对流量进行病毒扫描检测
(2) 测试步骤
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
注:配置检测两个方向发起的访问流量的深度安全策略;
段3默认关联了AV+IPS策略。
内网PC从 下载eicar测试病毒,有结果A
(3) 验证结果
A. 下载失败。察看病毒日志,显示病毒被检测到并阻断。
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第7页, 共32页
文档名称
文档密级
3.4 URL过滤
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的URL请求进行过滤,阻断对不
良/恶意网站的访问。
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
时间表配置
i-ware Web管理页面,对象管理 > 时间表管理,点击创建时间表
输入“名称”(工作时间);在时间段2的输入框中输入该时间段的名称
( Worktime) ,点击时间段2对应的蓝色图标,然后在时间表格中选择所需的格
子
2007-04-27
H3C机密,未经许可不得扩散 第8页, 共32页
文档名称
文档密级
点击“检查方案”按钮查看当前时间分组所对应的时间段信息
URL过滤策略配置
i-ware WEB管理界面,对象管理 > URL过滤 > 策略管理,点击< 创建策略 >
输入“名称”(Custom URL Filter),选择“时间表”(工作时间)
2007-04-27
H3C机密,未经许可不得扩散 第9页, 共32页
文档名称
文档密级
点击确定,进入“规则管理”页面。点击<创建规则> 按钮,
输入“名称”(),选择“过滤类型”(主机名),输入“固
定字符串”(),选择“使能状态”(使能),选择“时间
分组”(timegroup1),设置“动作集”(时间段default的动作集选择Permit,
时间段Worktime的动作集选择Block)。
2007-04-27
H3C机密,未经许可不得扩散 第10页, 共32页
文档名称
文档密级
点击< 创建规则 > 按钮,输入“名称”(Worm Site),选择“过滤类型”(IP
地址),输入“固定字符串”(61.154.3.2),选择“使能状态”(使能),
选择“时间分组”(任意时间),设置“动作集”(Block)。
2007-04-27
H3C机密,未经许可不得扩散 第11页, 共32页
文档名称
文档密级
关联应用URL过滤段策略
对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“url过滤策略”、“选择策略”(Custom URL Filter)、
方向(内部到外部、外部到内部),点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第12页, 共32页
文档名称
文档密级
点击< 激活 > 使配置生效
内网PC访问和61.154.3.2,有结果A
(3) 验证结果
A. 不能打开页面。察看系统状态页面,URL过滤中显示阻断计数
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第13页, 共32页
文档名称
文档密级
3.5 协议内容审计
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的http、ftp、smtp协议内容进行
审计,并将审计日志发送到syslog服务器。
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
协议内容审计策略配置
i-ware WEB管理界面,对象管理 > 协议内容审计 > 策略管理,点击< 创建
策略 >
2007-04-27
H3C机密,未经许可不得扩散 第14页, 共32页
文档名称
文档密级
输入“名称”(Custom Audit Policy)
点击确定,进入“规则管理”页面。
禁止规则POP3
选中协议规则(pop3),点击 < 禁止规则 > 按钮
修改Notify动作
2007-04-27
H3C机密,未经许可不得扩散 第15页, 共32页
文档名称
文档密级
修改Notify动作,向syslog服务器发送审计日志
对象管理 > 动作管理 > 通知动作列表,点击通知动作“Notify”或操作栏中
“修改通知动作资料”按钮
“通知方式”中选中“输出到syslog主机”,输入“名称”(192.168.1.2)、
IP地址(192.168.1.2)和端口号(514)。
点击< 增加 > 按钮,将syslog主机添加到左侧的列表框中,选中添加的syslog
主机,点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第16页, 共32页
文档名称
文档密级
关联应用协议内容审计段策略
对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(协议内容审计策略)、“选择策略”
(Custom Audit Policy)、方向(双向),点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第17页, 共32页
文档名称
文档密级
点击< 激活 > 使配置生效
内网PC进行到Internet的http、ftp、smtp和pop3访问,察看syslog主机,有结
果A
(3) 验证结果
A. 接收到http、ftp和smtp审计日志
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第18页, 共32页
文档名称
文档密级
3.6 带宽管理配置(应用带宽控制)
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限
速)
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理 > BWC管理 >应用带宽控制列表,点击< 增
加带宽控制 >
2007-04-27
H3C机密,未经许可不得扩散 第19页, 共32页
文档名称
文档密级
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
动作集配置
对象管理 > 动作管理 > 限速动作列表,点击< 添加限速动作 >
输入“名称”(limit_p2p_400kbps);“带宽控制”设置中,选中“从内网到
外网(上行)方向带宽控制”并选择已添加的应用带宽控制规则
(limit_p2p_400kbps) ,选中“从外网到内网(下行)方向带宽控制”并选
择已添加的应用带宽控制规则(limit_p2p_400kbps)。
2007-04-27
H3C机密,未经许可不得扩散 第20页, 共32页
文档名称
文档密级
对象管理 > 动作管理 > 动作集列表
点击 < 添加动作集 >
输入“名称”(limit_p2p_400kbps),“选择动作”选择“限速:,并选择已
添加的限速动作(limit_p2p_400kbps) 。
2007-04-27
H3C机密,未经许可不得扩散 第21页, 共32页
文档名称
文档密级
带宽管理配置
对象管理 > 带宽管理 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Service Control Policy1),选择“时间表”(工作时
间)。点击确定,进入“规则管理”页面。
2007-04-27
H3C机密,未经许可不得扩散 第22页, 共32页
文档名称
文档密级
点击 < 创建规则 > ,输入策略“名称”(P2P下载限速),选择“服务”(P2P),
选择“时间分组”(timegroup1),选择“动作集”(default时间段动作集选
择Permit,Worktime时间段动作集选择 limit_p2p_400kbps)。点击确定。
2007-04-27
H3C机密,未经许可不得扩散 第23页, 共32页
文档名称
文档密级
创建网络游戏、在线视频阻断规则
2007-04-27
H3C机密,未经许可不得扩散 第24页, 共32页
文档名称
文档密级
规则管理页面,选择“工作模式”为“用户模式”,实现每用户/IP限速
注:组模式对符合策略的所有用户的带宽之和进行控制,用户模式对符合策略
的单个用户的带宽进行独立地控制
关联带宽管理段策略
对象管理 > 段策略管理,点击< 新建段策略 >
2007-04-27
H3C机密,未经许可不得扩散 第25页, 共32页
文档名称
文档密级
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(Custom
Service Control Policy1)、管理区域(内部区域),添加例外IP地址
(192.168.1.168),点击确定。
点击< 激活 > 使配置生效
工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)
2007-04-27
H3C机密,未经许可不得扩散 第26页, 共32页
文档名称
文档密级
执行emule、BT、迅雷等P2P下载,有结果A
非工作时间内网PC(IP地址非192.168.1.168)执行P2P下载,有结果B
工作时间(每周一到周五8:30到18:00),内网PC(IP地址非192.168.1.168)
执行网络游戏(QQ游戏、联众游戏)和在线视频(PPlive),有结果C
非工作时间内网PC(IP地址非192.168.1.168)执行网络游戏(QQ游戏、联众
游戏)和在线视频(PPlive),有结果C
Ip地址为192.168.1.168的PC在任意时间执行P2P下载、网络游戏和在线视频,
有结果D
(3) 验证结果
A. 一台PC各P2P软件总的下载速率不超过400Kbps
B. 一台PC各P2P软件总的下载速率可能会超过400Kbps
C. 网络游戏不能运行,网络视频不能观看
D. P2P下载速率不受限制,可能会超过400kbps。网络游戏能够运行,视频能
够观看。
(4) 注意事项
(5) 故障排除
3.7 带宽管理配置(策略带宽控制)
(1) 功能简述
验证二层模式、三层模式下,U200对经过设备的应用流量进行管理(阻断、限
速)
(2) 测试步骤
配置深度安全策略
防火墙Web管理页面,策略管理 > 深度安全策略
点击<新建>,选择“源域”(Trust)、“目的域”(Untrust),指定“段ID”
(3)和“访问控制列表ID”(3998)。建立Trust->Untrust的深度安全策略
2007-04-27
H3C机密,未经许可不得扩散 第27页, 共32页
文档名称
文档密级
建立Untrust->Trust深度安全策略
带宽控制配置
i-ware WEB管理界面,对象管理 > BWC管理 > 策略带宽控制列表,点击< 增
加带宽控制 >
输入“名称”(limit_p2p_400kbps)、“平均带宽限制”(400kbps)
2007-04-27
H3C机密,未经许可不得扩散 第28页, 共32页
文档名称
文档密级
带宽管理配置
对象管理 > 带宽管理 > 策略管理,点击< 创建策略 >
输入“名称”(Custom Service Control Policy2),点击确定,进入“规则管
理”页面。
2007-04-27
H3C机密,未经许可不得扩散 第29页, 共32页
文档名称
文档密级
选中默认规则“Default”,点击<禁止选中规则>
点击< 创建规则 >,输入“名称”(P2P下载),选择“服务”(P2P)、动
作集(Permit),点击确定。
网络视频允许规则
2007-04-27
H3C机密,未经许可不得扩散 第30页, 共32页
文档名称
文档密级
网络游戏阻断规则
关联带宽管理段策略
对象管理 > 段策略管理,点击< 新建段策略 >
选择“要关联的段”(3)、“策略类型”(带宽管理策略)、“选择策略”(Custom
2007-04-27
H3C机密,未经许可不得扩散 第31页, 共32页
文档名称
文档密级
Service Control Policy2)、管理区域(内部区域),点击确定。
点击< 激活 > 使配置生效
内网多台PC任意时间同时进行emule、BT、迅雷等P2P下载,PPlive网络电视,
有结果A
内网PC任意时间运行网络游戏(QQ游戏、联众游戏),有结果B
(3) 验证结果
A. 所有PC总的下载速率不超过400kbps
B. 网络游戏不能运行
(4) 注意事项
(5) 故障排除
2007-04-27
H3C机密,未经许可不得扩散 第32页, 共32页