H3C CMW340-R1608 User Manual
H3C SECPATH F 系列-CMW340-R1608
版本说明书
杭州华三通信技术有限公司
H3C SECPATH F系列-CMW340-
杭州华三通信技术有限公司
R1608版本说明书
H3C SECPATH F系列-CMW340-R1608版本说明书
关键词: H3C, SecPath, 防火墙,版本说明书
摘 要:本文档用以描述 SecPath F 系列版本说明,包括版本信息、变更说明书、存在问题以
及规避措施、解决问题单、配套资料以及升级指导等内容。
缩略语:
缩略语 英文全名 中文解释
CMW Comware
VPN Virtual Private Network
GRE
IPSec IP Security
IKE Internet Key Exchange
ASPF
NAT
L2TP Layer 2 Tunnel Protocol
SSL Secure Socket Layer
VRRP
ARP Address Resolution Protocol
General Route
Encapsulation
Application State Packet
Filter
Network Address
Translation
Virtual Route Redundant
Protocol
虚拟专用网
通用路由封装
IP 安全
因特网密钥交换
应用层状态包过滤
网络地址转换
二层隧道协议
安全套接层
虚拟路由冗余协议
地址解析协议
2007-4-20
第1页
H3C SECPATH F系列-CMW340-
杭州华三通信技术有限公司
R1608版本说明书
目 录
1 版本信息....................................................................................................................................4
2 版本使用限制及注意事项 ..........................................................................................................6
3 版本特性说明 ............................................................................................................................8
4 版本变更说明 ..........................................................................................................................14
4.4.1 SecPath F 系列-CMW340-R1608 版本操作方式变更 ...............................................32
4.4.2 SecPath F 系列-CMW340-R160702 版本操作方式变更...........................................32
4.4.3 SecPath F 系列-CMW340-R160701 版本操作方式变更...........................................32
4.4.4 SecPath F 系列-CMW340-R1607 版本操作方式变更 ...............................................32
4.4.5 SecPath F 系列-CMW340-R1606P01 版本操作方式变更 ........................................32
4.4.6 SecPath F 系列-CMW340-R1605P03 版本操作方式变更 ........................................32
4.4.7 SecPath F 系列-CMW340-E1605 版本操作方式变更 ...............................................32
4.4.8 SecPath F 系列-CMW340-E1604P03 版本操作方式变更.........................................32
4.4.9 SecPath F 系列-CMW340-E1604P01 版本操作方式变更.........................................32
4.4.10 SecPath F 系列-CMW340-E1604版本操作方式变更 .............................................32
5 存在问题与规避措施 ...............................................................................................................33
6 解决问题列表 ..........................................................................................................................34
7 配套资料..................................................................................................................................37
8 版本升级操作指导 ...................................................................................................................38
8.1.1 SecPath F100C防火墙 Boot 菜单 ............................................................................39
8.1.2 SecPath F100A/F100S/F100E/F1000S/F1000A/F100M 防火墙 Boot菜单..............40
2007-4-20
第2页
H3C SECPATH F系列-CMW340-
杭州华三通信技术有限公司
R1608版本说明书
表目录
表 1 历史版本信息表............................................................................................................4
表2 版本配套表 ...................................................................................................................5
表3 产品硬件特性 ...............................................................................................................8
表4 产品软件特性 ...............................................................................................................9
表5 特性变更说明 .............................................................................................................14
表 6 命令行变更说明..........................................................................................................23
表 7 MIB文件变更说明 ......................................................................................................30
表 8 配套手册清单 .............................................................................................................37
表 9 从网站查询和下载资料的说明....................................................................................38
2007-4-20
第3页
杭州华三通信技术有限公司
1 版本信息
版本号
1.1
SecPath F100-M Comware software, Version 3.40, Release 1608
SecPath F1000-A Comware software, Version 3.40, Release 1608
SecPath F1000-S Comware software, Version 3.40, Release 1608
SecPath F100-A Comware software, Version 3.40, Release 1608
SecPath F100-E Comware software, Version 3.40, Release 1608
SecPath F100-S Comware software, Version 3.40, Release 1608
SecPath F100-C Comware software, Version 3.40, Release 1608
注:该版本号可在命令行任何视图下用 display version命令查看,见注①
H3C SECPATH F 系列-CMW340-
R1608版本说明书
历史版本信息
1.2
表1 历史版本信息表
版本号 基础版本号 发布日期 备注
CMW340-R1608 CMW340-R1607P02 2007-04-21
CMW340-R1607P02 CMW340-R1607P01 2007-03-08
SECPATH1000FA-
CMW340-R1607P01
CMW340-R1607 CMW340-R1606P01 2007-01-31
CMW340-R1606P01 CMW340-R1606 2006-12-11
CMW340-R1606 CMW340-R1605P03 2006-11-27
CMW340-R1605P03 CMW340-E1605 2006-11-21
CMW340-E1605 CMW340-E1604P03 2006-10-25
CMW340-E1604P03 CMW340-E1604P01 2006-10-15
CMW340-E1604P01 CMW340-E1604 2006-09-25
CMW340-R1607 2007-02-07
其中 F100-M首次发布
只发布 F1000-A
正式发布,解决 ASPF,
Nat Server 等问题
正式发布
正式发布
正式发布
F 系列解决 IPSec 大包问
题
F 系列解决 IP-Spoof 配
合 VPN 存在问题
F 系列增加百兆口支持
Vlan 透传功能
2007-4-20
第4页
杭州华三通信技术有限公司
版本配套表
1.3
H3C SECPATH F 系列-CMW340-
R1608版本说明书
表2 版本配套表
产品系列
型号
内存需求
FLASH 需求
BOOTROM
版本号
(该版本号可
在命令行任
何视图下用
display
version 命令
查看,如
F100-C 见注
②)
目标文件名
称
H3C SecPath Series
SecPath
F1000-
最小
512M
最小
16M
126 及
以上
SECPA
TH1000
FACMW34
0R1608.b
in
A
SecPath
F1000-
S
最小
512M
最小
16M
126 及
以上
SECPA
TH100F
SCMW34
0R1608.b
in
SecPath
F100-E
256M 256M 128M 64M
最小
16M
126 及
以上
SECPA
TH100F
ECMW34
0R1608.b
in
SecPath
F100-A
最小
16M
116 及
以上
SECPA
TH100F
ACMW34
0R1608.b
in
SecPath
F100-S
最小 8M 最小 8M
114 及
以上
SECPA
TH100F
SCMW34
0R1608.b
in
SecPath
F100-C
205 及
以上
SECPA
TH100F
CCMW34
0R1608.b
in
SecPath
F100-M
256M
最小
16M
116 及
及以上
SECPA
TH100F
MCMW34
0R1608.b
in
SecPath F100-M 采用:
Quidview DM 3.10-R3112P06
Quidview NMF 3.10-R3112P09
其余对应:
QUIDVIEW
版本号
Xlog 版本号
CAMS 版本
号
Quidview DM 3.10-R3112
Quidview BIMS 3.10-R3112
Quidview VDM 3.10-R3112
Quidview VSM 3.10-R3112
Quidview NCC 3.10-R3112
Quidview NMF 3.10-R3112
XLog 2.10-R0120
不支持
示例:查看 SecPath F100-C的软件版本和 Bootrom 版本号方式如下:
2007-4-20
第5页
杭州华三通信技术有限公司
[H3C]display version
H3C Comware Platform Software
Comware software, Version 3.40, Release 1608------- 注①
Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
Without the owner's prior written consent, no decompiling
nor reverse-engineering shall be allowed.
H3C SecPath F100-C uptime is 0 week, 0 day, 0 hour, 19 minutes
CPU type: PowerPC 859DSL 80MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
0K bytes NvRAM Memory
Pcb Version:3.0
Logic Version:1.0
BootROM Version:2.05 ------- 注②
[SLOT 1] 1FE (Hardware)3.0, (Driver)1.0, (Cpld)1.0
[SLOT 2] 1ETH (Hardware)3.0, (Driver)1.0, (Cpld)1.0
[H3C]
H3C SECPATH F 系列-CMW340-
R1608版本说明书
2 版本使用限制及注意事项
1. LFD17847
内容过滤,包括 http 过滤、smtp 过滤不支持分片、重传报文,不支持中文编码的
过滤。
2. LFD17846
文件系统中,最大的文件名长度不能超过 64 字节,路径名加文件名长度不能超过
127。
3. LFD17844
IPSEC 模板方式不支持多个策略。
4. LFD17843
动态获取的 IP不能被其他接口所借用。
5. LFD17842
在 NAT 与 ASPF 同时使用时,清除 ASPF 表项,需要同时清除快转表项,否则会
引起某些报文还是能够正常通过防火墙。
2007-4-20
第6页
杭州华三通信技术有限公司
6. LFD17760
由于硬件是一个 MAC,SecPaht F100-A的所有 LAN口只能配置一个 VRRP 组。
7. LFD18248
NAT 与 VRRP配合使用时, VRRP 虚拟地址和 NAT 不要配置在同一个网段中。
8. LFD18396
SECPATHF100A-CMW340-E1604及以后版本,不支持 128M内存的设备。
9. LFD14087
COMWARE 支持标准的正则表达式,但是对于复杂的命令行表达式,可能存在问题
10. LFD21716
SECPATH不支持设备侧配置 BIMS 端口为 443, 21,25 等知名端口
H3C SECPATH F 系列-CMW340-
R1608版本说明书
11. LFD15632
SECPATH设备不支持网管 NCC 组件升级功能
12. LFD19751
SECPATH 设备防火墙黑名单日志发送给 XLOG 的日志的老化时间字段是以分为
单位的值
13. LFD15632
SECPATH设备不支持网管 NCC 组件升级功能
14. LFD19751
SECPATH 设备防火墙黑名单日志发送给 XLOG 的日志的老化时间字段是以分为
单位的值
2007-4-20
第7页
杭州华三通信技术有限公司
3 版本特性说明
版本硬件特性
3.1
项目 属性
H3C SECPATH F 系列-CMW340-
R1608版本说明书
表3 产品硬件特性
SePath
机型
接口
插槽
FLASH 16MB 16MB 16MB 16MB 16MB 8M 8M
SDRAM
1F1000
A
1 个配置口(CON),1 个备份口(AUX)
2 个
10/100/
1000M
以太网
口
1 个
MIM 插
槽,支
持的模
块包括
1FE/2F
E/4FE/
1GBE/
2GBE/
1GEF/2
GEF/S
SL
缺省:
512MB
最大:
1GB
SePath
F1000
S
4 个
10/100/
1000M
以太网
口
2 个
MIM 插
槽,支
持的模
块包括
1FE/2F
E/4FE/
1GBE/
2GBE/
1GEF/2
GEF
缺省:
512MB
最大:
1GB
SePath
F100E
4 个
10/100
以太网
口
1个
MIM 插
槽,支
持的模
块包括
1FE/2F
E/4FE/
1GBE/
2GBE/
1GEF/2
GEF
缺省:
256MB
最大:
512MB
SePath
F100A
7 个
10/100
以太网
口
1个
MIM 插
槽,支
持的模
块包括
1FE/2F
E/4FE/
NDEC
256MB 256MB 128MB 64MB
SePath
F100M
3 个
10/100
以太网
口
1 个
MIM 插
槽,支
持的模
块包括
1FE/2F
E/4FE/
NDEC
SePath
F100S
4 个
10/100
以太网
口
无 无
SePath
F100C
5 个
10/100
以太网
口
436mm
外型尺寸(W×D
×H)
重量
电源
2007-4-20
×
420mm
×
44mm
5.5kg 6kg 5kg 4.5kg 4.5kg 2kg 1kg
额定电压范围:100-240V a.c. ;50/60Hz
AC
额定电流:1.0A
额定电压范围:-48- -60V d.c.
DC
额定电流:1.5A
436mm
×44mm
×420m
m
436mm
×44mm
×430m
m
332mm
×44mm
×432m
m
332mm
×44mm
×432m
m
NA 12V
300mm
×42mm
×220m
m
300mm
×
180mm
×
45mm
第8页
杭州华三通信技术有限公司
项目 属性
H3C SECPATH F 系列-CMW340-
R1608版本说明书
版本软件特性
3.2
额定功率
工作环境温度 0~40℃
环境相对湿度 10~90%(不结露)
100W 100W 57W 54W 54W 11W 10W
表4 产品软件特性
属性 说明
网络安全性
验证、授权和计帐
(AAA)服务
RADIUS
HWTACACS
CHAP 验证
PAP 验证
域认证
防火墙 包过滤
基于接口的访问控制列表
基于时间段的访问控制列表
ASPF 状态防火墙
防攻击特性:
Land、Smurf、Fraggle、WinNuke、Ping of
Death、Tear Drop、IP Spoofing、SYN Flood、
ICMP Flood、UDP Flood、ARP Flood、ARP 欺
骗攻击防范
ARP 主动反向查询
TCP 报文标志位不合法攻击防范
2007-4-20
超大 ICMP 报文攻击防范
地址/端口扫描的防范
DoS/DDoS 攻击防范
第9页
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列-CMW340-
R1608版本说明书
反向路由检查功能
邮件过滤:
SMTP 邮件地址过滤
邮件/网页过滤
安全管理
SMTP 邮件标题过滤
SMTP 邮件内容过滤
SMTP 邮件附件过滤
支持 SQL/Java Applet/ActiveX 过滤
网页过滤:
HTTPURL 过滤
HTTP 内容过滤
攻击实时日志
黑名单日志
地址绑定日志
流量告警日志
流量统计和分析功能
全局/基于安全域连接速率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
E-Mail 邮件实时告警功能
E-Mail 邮件定期信息发布功能
2007-4-20
第10页
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列-CMW340-
R1608版本说明书
数据安全
NAT
L2TP VPN
IPSec/IKE
IPSec
IKE
支持地址池方式的地址变换
支持使用 ACL控制地址转换
支持 Easy IP
支持 NAT Server
可配置支持地址转换的有效时间
支持多种 ALG,包括 FTP,H323,DNS 等
可以根据 VPN 用户完整用户名和用户域名向指定
LNS 发起连接
可以为 VPN 用户分配地址
可以进行 LCP 重协商和二次 CHAP 验证
支持 AH、ESP 协议
支持手工或通过 IKE 协商自动建立安全联盟
ESP 支持 DES、3DES 和 AES 三种加密算法
支持 MD5 及 SHA-1 验证算法
支持 IKE 主模式及野蛮模式
VPN
网络互连
GRE VPN
DVPN
局域网协议
链路层协议
支持 NAT 穿越
支持自动建立隧道技术
支持 UDP 封装,以实现 NAT 穿越
支持提供对报文的校验
支持静态 MAP
支持 client 端接入认证及节点间的加密认证
支持使用动态 IP 地址构建 VPN
同一个节点可以属于不同的 VPN域
支持多个 VPN 域
支持数据加密
通过动态建立隧道节省 Server 带宽
Ethernet_II
Ethernet_SNAP
VLAN
PPP
2007-4-20
第11页
杭州华三通信技术有限公司
FTP Server/Client
,
可以使用
FTP
下载、上载配
属性 说明
PPPoE
H3C SECPATH F 系列-CMW340-
R1608版本说明书
ARP
ARP Proxy
静态域名解析
IP 地址借用
网络协议
网络可靠性
服务质量保证
(QoS)
IP 服务
IP 路由
VRRP
流量监管
拥塞管理 FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
拥塞避免
流量整形
DHCP 中继
DHCP 服务器
DHCP 客户端
L3 Monitor
HWPing
静态路由管理
RIP-1/RIP-2
OSPF
BGP
路由策略
策略路由
Traffic Policing
WRED
GTS
接口速率限制 LR、CAR
配置管理
2007-4-20
命令行接口 通过 Console 口进行本地配置
通过 AUX 口进行远程配置
通过 Telnet 或 SSH 进行本地或远程配置
配置命令分级保护,确保未授权用户无法配置设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如 Tracert、Ping 命令等,迅
速诊断网络是否正常
用 Telnet 命令直接登录并管理其它网络设备
第12页
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列-CMW340-
R1608版本说明书
支持 TFTP 上传下载文件
支持通过 BIMS 更新配置文件和应用程序
支持通过 VPN Manager 来完成 VPN 的部署和配
置
支持日志功能
文件系统管理
WEB网管接口 系统管理:
系统资源管理
设备重启,软件升级支持
配置浏览,保存,下载,上传支持
用户配置
接口管理
静态路由,域名服务支持
IPSec 配置
支持防火墙:
攻击防范
ACL
黑名单
安全区域
IP/MAC 地址绑定
2007-4-20
支持网页过滤:
HTTP URL 过滤
第13页
HTTP 内容过滤
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列-CMW340-
R1608版本说明书
4 版本变更说明
特性变更说明
4.1
版本号 项目 描述
NAT 管理
DHCP 管理
SNMP 管理
常用工具支持(包括 Ping,Tracert 等)
帮助信息
注销身份
支持标准网管 SNMPV3,并且兼容 SNMP V2C、SNMP V1
支持 NTP 时间同步
表5 特性变更说明
H3C
SecPath
F 系列-
CMW340
R1607P0
2
H3C
SecPath
F 系列-
CMW340
R1607P0
2
H3C
SecPath
F 系列-
CMW340
R1607P0
1
软件特性更新 无
硬件特性变更 无
软件特性更新 无
硬件特性变更 增加新的款型 F100-M
软件特性更新 无
硬件特性变更 无
2007-4-20
第14页
杭州华三通信技术有限公司
版本号 项目 描述
H3C SECPATH F 系列-CMW340-
R1608版本说明书
H3C
SecPath
F 系列-
CMW340
-R1607
H3C
SecPath
F 系列-
CMW340
-R1607
软件特性更新 无
硬件特性变更 无
新增特性:
流日志软件特性:
软件特性更新
通过实现此特性,防火墙设备将流经防火墙的所有的业务流都
进行日志记录的能力,从而使用远端的日志主机能够对防火墙
的日志进行分析,达到更细粒度的流分析能力。
2007-4-20
第15页
Loading...