[2012-5-7]H3C Comware V3平台防火墙基础规格类FAQ

H3C Comware V3平台防火墙基础规格类FAQ

Q：H3C Comware V3平台防火墙哪些型号支持路由模式/透明模式？

A：SecPath F100S、SecPath F100C支持路由模式/透明模式。

Q：H3C Comware V3平台防火墙哪些型号支持路由模式/混合模式？

A：除SecPath F100S、SecPath F100C以外其他型号均支持路由模式/混合模式。

Q：H3C Comware V3平台设备如何支持SSL VPN？

A：SecPath F100M、SecPath F100A-SI、SecPath F100A、SecPath F100E、SecPath F1000C、SecPath F1000S、SecPath F1000A通过在防火墙扩展槽位增加SSL VPN加密卡，配合防火墙主机软件可以实现SSL VPN功能。

SecPath V100E默认内置SSL VPN加密芯片，不需要额外安装SSL VPN加密卡即可配合软件实现SSL VPN功能。

SecBlade SSL VPN使用性能更好地专用芯片，同样不需要额外安装硬件即可配合软件实现SSL VPN功能。

Q：H3C Comware V3平台防火墙是否支持域间策略功能？

A：不支持。Comware V3防火墙支持包过滤功能。

Q：H3C Comware V3平台防火墙如何实现单向访问？

A：可以在防火墙上配置ASPF策略并开启相应协议的会话状态检测功能后，配合包过滤策略实现业务单向访问需求。但由于ASPF策略对防火墙性能影响较大，ASPF会话表新建速率较低，可能会对正常业务产生不良影响，因此在通常情况下不建议启用该功能。

Q：H3C Comware V3平台防火墙如何提高IPSec业务处理性能。

A：可以利用硬件加密卡执行IPSec涉及的加解密操作，缓解CPU性能。V3平台防火墙SecPath F100-C、SecPath F100-C-EI、SecPath F100-S、SecPath F100-V产品的CPU自带加密引擎，具体体现为在配置界面中可以看到如“encrypt-card 1/0”的配置视图。V3平台防火墙SecPath F1000-A、SecPath F1000-S、SecPath F100-E内置IPSec加密卡，具体体现和在设备上安装了一块物理NDEC加密卡相同。其他V3平台防火墙，如果支持扩展插槽，可以安装一块NDEC物理加密卡用于硬件加密。通过将IPSec安全提议配置为硬件加密方式，可以大大减轻CPU性能压力，提高防火墙IPSec报文吞吐能力。

通过加密卡进行IPSec硬件加密的主要配置如下：

#

ike proposal 10

 authentication-algorithm md5

#

ike dpd 1

#

ike peer ike_1_peer

 exchange-mode aggressive

 pre-shared-key 123456

 remote-address 113.107.154.100

 local-address 113.107.154.98

 dpd 1

#

ipsec card-proposal ipsec_p2_2     //配置硬件加密卡IPSec安全提议

 use encrypt-card 1/0

#        

ipsec policy ipsec_policy 1 isakmp

 security acl 3001

 ike-peer ike_1_peer

 proposal ipsec_p2_2

#

interface Ethernet0/4

 description OutSide to TEL

 ip address 113.107.154.98 255.255.255.0

 nat outbound 3000

 ipsec policy ipsec_policy

#

通过上述配置案例可以看出，使用硬件加密卡配置IPSec加密的关键是新建加密卡IPSec Proposal，并在创建IPSec策略时引用该安全提议。配置完成后，可以利用display ipsec sa命令来检查创建的IPSec SA是否是采用硬件加密的。

Q：H3C Comware V3平台防火墙单个IP地址作为NAT Outbound公网地址池地址，最多可以建立多少条NAT会话？

A：V3平台防火墙单个IP地址作为NAT Outbound公网地址池地址时，最大支持约5万条会话。当达到最大会话表项数后，会出现内网用户通过NAT访问公网缓慢，无法新建连接等故障，此时可以通过清空NAT Session立即恢复业务，然后通过缩短NAT Session表老化时间配置降低并发连接数延缓故障复现，还可以通过增加NAT地址池中的公网地址个数来缓解。

Q：H3C Comware V3平台防火墙是否支持双机热备？

A：V3平台防火墙双机热备功能通过RDO特性实现，但由于RDO功能缺陷较多，现已不推荐使用。建议通过VRRP、非等价路由等方式实现主备关系的防火墙组网，防火墙会话表不再进行备份。当防火墙因故出现主备倒换后，上层应用自行感知会话中断并重建会话恢复，例如FTP业务，客户端会发现操作过程中出现网络中断，重新和FTP服务器建立连接后可以重新访问业务；如果是HTTP业务，客户端刷新Web页面即可恢复，甚至对网络出现过中断感知不到。