H3C Comware V3平台防火墙基础规格类FAQ
Q:H3C Comware V3平台防火墙哪些型号支持路由模式/透明模式?
A:SecPath F100S、SecPath F100C支持路由模式/透明模式。
Q:H3C Comware V3平台防火墙哪些型号支持路由模式/混合模式?
A:除SecPath F100S、SecPath F100C以外其他型号均支持路由模式/混合模式。
Q:H3C Comware V3平台设备如何支持SSL VPN?
A:SecPath F100M、SecPath F100A-SI、SecPath F100A、SecPath F100E、SecPath F1000C、SecPath F1000S、SecPath F1000A通过在防火墙扩展槽位增加SSL VPN加密卡,配合防火墙主机软件可以实现SSL VPN功能。
SecPath V100E默认内置SSL VPN加密芯片,不需要额外安装SSL VPN加密卡即可配合软件实现SSL VPN功能。
SecBlade SSL VPN使用性能更好地专用芯片,同样不需要额外安装硬件即可配合软件实现SSL VPN功能。
Q:H3C Comware V3平台防火墙是否支持域间策略功能?
A:不支持。Comware V3防火墙支持包过滤功能。
Q:H3C Comware V3平台防火墙如何实现单向访问?
A:可以在防火墙上配置ASPF策略并开启相应协议的会话状态检测功能后,配合包过滤策略实现业务单向访问需求。但由于ASPF策略对防火墙性能影响较大,ASPF会话表新建速率较低,可能会对正常业务产生不良影响,因此在通常情况下不建议启用该功能。
Q:H3C Comware V3平台防火墙如何提高IPSec业务处理性能。
A:可以利用硬件加密卡执行IPSec涉及的加解密操作,缓解CPU性能。V3平台防火墙SecPath F100-C、SecPath F100-C-EI、SecPath F100-S、SecPath F100-V产品的CPU自带加密引擎,具体体现为在配置界面中可以看到如“encrypt-card 1/0”的配置视图。V3平台防火墙SecPath F1000-A、SecPath F1000-S、SecPath F100-E内置IPSec加密卡,具体体现和在设备上安装了一块物理NDEC加密卡相同。其他V3平台防火墙,如果支持扩展插槽,可以安装一块NDEC物理加密卡用于硬件加密。通过将IPSec安全提议配置为硬件加密方式,可以大大减轻CPU性能压力,提高防火墙IPSec报文吞吐能力。
通过加密卡进行IPSec硬件加密的主要配置如下:
#
ike proposal 10
authentication-algorithm md5
#
ike dpd 1
#
ike peer ike_1_peer
exchange-mode aggressive
pre-shared-key 123456
remote-address 113.107.154.100
local-address 113.107.154.98
dpd 1
#
ipsec card-proposal ipsec_p2_2 //配置硬件加密卡IPSec安全提议
use encrypt-card 1/0
#
ipsec policy ipsec_policy 1 isakmp
security acl 3001
ike-peer ike_1_peer
proposal ipsec_p2_2
#
interface Ethernet0/4
description OutSide to TEL
ip address 113.107.154.98 255.255.255.0
nat outbound 3000
ipsec policy ipsec_policy
#
通过上述配置案例可以看出,使用硬件加密卡配置IPSec加密的关键是新建加密卡IPSec Proposal,并在创建IPSec策略时引用该安全提议。配置完成后,可以利用display ipsec sa命令来检查创建的IPSec SA是否是采用硬件加密的。
Q:H3C Comware V3平台防火墙单个IP地址作为NAT Outbound公网地址池地址,最多可以建立多少条NAT会话?
A:V3平台防火墙单个IP地址作为NAT Outbound公网地址池地址时,最大支持约5万条会话。当达到最大会话表项数后,会出现内网用户通过NAT访问公网缓慢,无法新建连接等故障,此时可以通过清空NAT Session立即恢复业务,然后通过缩短NAT Session表老化时间配置降低并发连接数延缓故障复现,还可以通过增加NAT地址池中的公网地址个数来缓解。
Q:H3C Comware V3平台防火墙是否支持双机热备?
A:V3平台防火墙双机热备功能通过RDO特性实现,但由于RDO功能缺陷较多,现已不推荐使用。建议通过VRRP、非等价路由等方式实现主备关系的防火墙组网,防火墙会话表不再进行备份。当防火墙因故出现主备倒换后,上层应用自行感知会话中断并重建会话恢复,例如FTP业务,客户端会发现操作过程中出现网络中断,重新和FTP服务器建立连接后可以重新访问业务;如果是HTTP业务,客户端刷新Web页面即可恢复,甚至对网络出现过中断感知不到。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作