H3C SECPATH F 系列 -CMW340-R1608
版本说明书
杭州华三通信技术有限公司
H3C SECPATH F 系列-CMW340-
杭州华三通信技术有限公司
R1608版本说明书
H3C SECPATH F系列 -CMW340-R1608版本说明书
关键词: H3C, SecPath, 防火墙,版本说明书
摘 要:本文档用以描述 SecPath F 系列版本说明,包括版本信息、变更说明书、存在问题以
及规避措施、解决问题单、配套资料以及升级指导等内容。
缩略语:
缩略语 英文全名 中文解释
CMW Comware
VPN Virtual Private Network
GRE
IPSec IP Security
IKE Internet Key Exchange
ASPF
NAT
L2TP Layer 2 Tunnel Protocol
SSL Secure Socket Layer
VRRP
ARP Address Resolution Protocol
General Route
Encapsulation
Application State Packet
Filter
Network Address
Translation
Virtual Route Redundant
Protocol
虚拟专用网
通用路由封装
IP 安全
因特网密钥交换
应用层状态包过滤
网络地址转换
二层隧道协议
安全套接层
虚拟路由冗余协议
地址解析协议
2007-4-20
第 1页
H3C SECPATH F系列 -CMW340-
杭州华三通信技术有限公司
R1608版本说明书
目 录
1 版本信息 ....................................................................................................................................4
2 版本使用限制及注意事项 ..........................................................................................................6
3 版本特性说明 ............................................................................................................................8
4 版本变更说明 ..........................................................................................................................14
4.4.1 SecPath F 系列 -CMW340-R1608 版本操作方式变更 ...............................................32
4.4.2 SecPath F 系列 -CMW340-R160702 版本操作方式变更 ...........................................32
4.4.3 SecPath F 系列 -CMW340-R160701 版本操作方式变更 ...........................................32
4.4.4 SecPath F 系列 -CMW340-R1607 版本操作方式变更 ...............................................32
4.4.5 SecPath F 系列 -CMW340-R1606P01 版本操作方式变更 ........................................32
4.4.6 SecPath F 系列 -CMW340-R1605P03 版本操作方式变更 ........................................32
4.4.7 SecPath F 系列 -CMW340-E1605 版本操作方式变更 ...............................................32
4.4.8 SecPath F 系列 -CMW340-E1604P03 版本操作方式变更 .........................................32
4.4.9 SecPath F 系列 -CMW340-E1604P01 版本操作方式变更 .........................................32
4.4.10 SecPath F 系列- CMW340-E1604版本操作方式变更 .............................................32
5 存在问题与规避措施 ...............................................................................................................33
6 解决问题列表 ..........................................................................................................................34
7 配套资料 ..................................................................................................................................37
8 版本升级操作指导 ...................................................................................................................38
8.1.1 SecPath F100C防火墙 Boot 菜单 ............................................................................39
8.1.2 SecPath F100A/F100S/F100E/F1000S/F1000A/F100M 防火墙 Boot菜单 ..............40
2007-4-20
第 2页
H3C SECPATH F系列 -CMW340-
杭州华三通信技术有限公司
R1608版本说明书
表目录
表 1 历史版本信息表............................................................................................................4
表2 版本配套表 ...................................................................................................................5
表3 产品硬件特性 ...............................................................................................................8
表4 产品软件特性 ...............................................................................................................9
表5 特性变更说明 .............................................................................................................14
表 6 命令行变更说明..........................................................................................................23
表 7 MIB 文件变更说明 ......................................................................................................30
表 8 配套手册清单 .............................................................................................................37
表 9 从网站查询和下载资料的 说明....................................................................................38
2007-4-20
第3 页
杭州华三通信技术有限公司
1 版本信息
版本号
1.1
SecPath F100-M Comware software, Version 3.40, Release 1608
SecPath F1000-A Comware software, Version 3.40, Release 1608
SecPath F1000-S Comware software, Version 3.40, Release 1608
SecPath F100-A Comware software, Version 3.40, Release 1608
SecPath F100-E Comware software, Version 3.40, Release 1608
SecPath F100-S Comware software, Version 3.40, Release 1608
SecPath F100-C Comware software, Version 3.40, Release 1608
注:该 版本 号可在 命令行 任何视图 下用 display version命令查看, 见注 ①
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
历史版本信息
1.2
表1 历史版本信息表
版本号 基础版本号 发布日期 备注
CMW340-R1608 CMW340-R1607P02 2007-04-21
CMW340-R1607P02 CMW340-R1607P01 2007-03-08
SECPATH1000FA-
CMW340-R1607P01
CMW340-R1607 CMW340-R1606P01 2007-01-31
CMW340-R1606P01 CMW340-R1606 2006-12-11
CMW340-R1606 CMW340-R1605P03 2006-11-27
CMW340-R1605P03 CMW340-E1605 2006-11-21
CMW340-E1605 CMW340-E1604P03 2006-10-25
CMW340-E1604P03 CMW340-E1604P01 2006-10-15
CMW340-E1604P01 CMW340-E1604 2006-09-25
CMW340-R1607 2007-02-07
其中 F100-M 首次发布
只发布 F1000-A
正式 发布,解 决 ASPF ,
Nat Server 等问题
正式 发布
正式 发布
正式 发布
F 系列解决 IPSec 大包 问
题
F 系列解决 IP-Spoof 配
合 VPN 存在问题
F 系列增加百兆口支持
Vlan 透传功能
2007-4-20
第4 页
杭州华三通信技术有限公司
版本配套表
1.3
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
表 2 版本配套表
产品系列
型号
内存需求
FLASH 需求
BOOTROM
版本 号
(该版本 号可
在命令行 任
何视图下用
display
version 命令
查看,如
F100-C 见注
②)
目标文件 名
称
H3C SecPath Series
SecPath
F1000-
最小
512M
最小
16M
126 及
以上
SECPA
TH1000
FACMW34
0R1608.b
in
A
SecPath
F1000-
S
最小
512M
最小
16M
126 及
以上
SECPA
TH100F
SCMW34
0R1608.b
in
SecPath
F100-E
256M 256M 128M 64M
最小
16M
126 及
以上
SECPA
TH100F
ECMW34
0R1608.b
in
SecPath
F100-A
最小
16M
116 及
以上
SECPA
TH100F
ACMW34
0R1608.b
in
SecPath
F100-S
最小 8M 最小 8M
114 及
以上
SECPA
TH100F
SCMW34
0R1608.b
in
SecPath
F100-C
205 及
以上
SECPA
TH100F
CCMW34
0R1608.b
in
SecPath
F100-M
256M
最小
16M
116 及
及以上
SECPA
TH100F
MCMW34
0R1608.b
in
SecPath F100-M 采用 :
Quidview DM 3.10-R3112P06
Quidview NMF 3.10-R3112P09
其 余 对 应 :
QUIDVIEW
版本 号
Xlog 版本号
CAMS 版本
号
Quidview DM 3.10-R3112
Quidview BIMS 3.10-R3112
Quidview VDM 3.10-R3112
Quidview VSM 3.10-R3112
Quidview NCC 3.10-R3112
Quidview NMF 3.10-R3112
XLog 2.10-R0120
不支持
示例:查 看 SecPath F100-C 的软件版本和 Bootrom 版本号 方式 如下 :
2007-4-20
第5 页
杭州华三通信技术有限公司
[H3C]display version
H3C Comware Platform Software
Comware software, Version 3.40, Release 1608------- 注①
Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
Without the owner's prior written consent, no decompiling
nor reverse-engineering shall be allowed.
H3C SecPath F100-C uptime is 0 week, 0 day, 0 hour, 19 minutes
CPU type: PowerPC 859DSL 80MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
0K bytes NvRAM Memory
Pcb Version:3.0
Logic Version:1.0
BootROM Version:2.05 ------- 注②
[SLOT 1] 1FE (Hardware)3.0, (Driver)1.0, (Cpld)1.0
[SLOT 2] 1ETH (Hardware)3.0, (Driver)1.0, (Cpld)1.0
[H3C]
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
2 版本使用限制及注意事项
1. LFD17847
内容 过滤, 包 括 http 过滤、 smtp 过滤不支持 分片、重传报 文,不支持中 文编码的
过滤。
2. LFD17846
文件系 统中,最大的 文件 名长度不能超 过 64 字节,路 径名加 文件 名长度不能超 过
127。
3. LFD17844
IPSEC 模板方式 不支持多个策略。
4. LFD17843
动 态 获取的 IP不能被其他 接 口所借 用 。
5. LFD17842
在 NAT 与 ASPF 同 时使 用 时, 清除 ASPF 表项,需 要 同时 清 除快 转表 项 , 否则会
引起某些报文 还是能 够正 常通过防火墙。
2007-4-20
第6 页
杭州华三通信技术有限公司
6. LFD17760
由 于 硬件 是一个 MAC,SecPaht F100-A的所 有 LAN口只能 配 置一个 VRRP 组。
7. LFD18248
NAT 与 VRRP配合使用 时, VRRP 虚拟地址和 NAT 不要配 置 在同一 个网段 中。
8. LFD18396
SECPATHF100A-CMW340-E1604及以后 版本,不支持 128M内存的设备 。
9. LFD14087
COMWARE 支持标准 的正则表 达式 ,但是 对于复杂 的命令行表达 式 ,可能存在问题
10. LFD21716
SECPATH不支持设备侧配 置 BIMS 端口 为 443, 21, 25 等知 名端 口
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
11. LFD15632
SECPATH设备不支持网管 NCC 组 件升级 功能
12. LFD19751
SECPATH 设备防火墙黑名 单日志发 送给 XLOG 的 日志的 老化时 间字 段是以分为
单 位的 值
13. LFD15632
SECPATH设备不支持网管 NCC 组 件升级 功能
14. LFD19751
SECPATH 设备防火墙黑名 单日志发 送给 XLOG 的 日志的 老化时 间字 段是以分为
单 位的 值
2007-4-20
第7 页
杭州华三通信技术有限公司
3 版本特性说明
版本硬件特性
3.1
项目 属性
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
表 3 产品硬件特性
SePath
机 型
接 口
插槽
FLASH 16MB 16MB 16MB 16MB 16MB 8M 8M
SDRAM
1F1000
A
1 个配置 口( CON), 1 个备份口 ( AUX)
2 个
10/100/
1000M
以太网
口
1 个
MIM 插
槽 ,支
持的模
块 包括
1FE/2F
E/4FE/
1GBE/
2GBE/
1GEF/2
GEF/S
SL
缺省:
512MB
最大:
1GB
SePath
F1000
S
4 个
10/100/
1000M
以太网
口
2 个
MIM 插
槽 ,支
持的模
块 包括
1FE/2F
E/4FE/
1GBE/
2GBE/
1GEF/2
GEF
缺省:
512MB
最大:
1GB
SePath
F100E
4 个
10/100
以太网
口
1个
MIM 插
槽 ,支
持的模
块 包括
1FE/2F
E/4FE/
1GBE/
2GBE/
1GEF/2
GEF
缺省:
256MB
最大:
512MB
SePath
F100A
7 个
10/100
以太网
口
1个
MIM 插
槽 ,支
持的模
块 包括
1FE/2F
E/4FE/
NDEC
256MB 256MB 128MB 64MB
SePath
F100M
3 个
10/100
以太网
口
1 个
MIM 插
槽 ,支
持的模
块 包括
1FE/2F
E/4FE/
NDEC
SePath
F100S
4 个
10/100
以太网
口
无 无
SePath
F100C
5 个
10/100
以太网
口
436mm
外型 尺寸(W ×D
×H )
重 量
电源
2007-4-20
×
420mm
×
44mm
5.5kg 6kg 5kg 4.5kg 4.5kg 2kg 1kg
额定电压范围 :100-240V a.c. ; 50/60Hz
AC
额定电流:1.0A
额定电压范围:-48- -60V d.c.
DC
额定电流 :1.5A
436mm
×44mm
×420m
m
436mm
×44mm
×430m
m
332mm
×44mm
×432m
m
332mm
×44mm
×432m
m
NA 12V
300mm
×42mm
×220m
m
300mm
×
180mm
×
45mm
第8 页
杭州华三通信技术有限公司
项目 属性
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
版本软件特性
3.2
额定功 率
工作环境温度 0 ~ 40℃
环境相对 湿度 10 ~90%(不 结露)
100W 100W 57W 54W 54W 11W 10W
表4 产品软件特性
属性 说明
网络安全性
验证、 授权和 计帐
(AAA) 服务
RADIUS
HWTACACS
CHAP 验证
PAP 验证
域认证
防火墙 包过滤
基于接口的访问控制列表
基于时 间段的 访问 控制列表
ASPF 状态防火墙
防攻击 特性:
Land、 Smurf、 Fraggle、 WinNuke、 Ping of
Death、 Tear Drop、 IP Spoofing、 SYN Flood、
ICMP Flood、 UDP Flood、 ARP Flood、 ARP 欺
骗 攻 击 防范
ARP 主动 反向查询
TCP 报文 标志位 不合法攻 击防范
2007-4-20
超大 ICMP 报文攻击 防 范
地址/端口扫描的防范
DoS/DDoS 攻击防 范
第9 页
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
反向路由 检查功能
邮件过滤:
SMTP 邮件地址过滤
邮件/ 网页过滤
安全 管理
SMTP 邮件 标题过滤
SMTP 邮件 内容过滤
SMTP 邮件 附件过滤
支持 SQL/Java Applet/ActiveX 过滤
网页过滤:
HTTPURL 过滤
HTTP 内容过滤
攻击实时 日志
黑名单 日志
地址 绑定日志
流量告警 日志
流量统 计和分 析功能
全局/基于 安全域连 接速率 监控
全局/基于 安全域 协议报 文比例 监控
安全事 件统计 功能
E-Mail 邮件 实时 告警功能
E-Mail 邮件定 期信息发布功能
2007-4-20
第10页
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
数据 安全
NAT
L2TP VPN
IPSec/IKE
IPSec
IKE
支持地址池 方式的地址变换
支持使用 ACL 控制地址转换
支持 Easy IP
支持 NAT Server
可配置 支持地址转换 的有效 时间
支持多种 ALG ,包 括 FTP,H323,DNS 等
可以根据 VPN 用 户完整用 户名和用 户域 名向指定
LNS 发起连接
可以为 VPN 用户分 配地址
可以进行 LCP 重协商 和二 次 CHAP 验证
支持 AH、ESP 协议
支持手工或 通过 IKE 协商自动建立 安全联盟
ESP 支持 DES、3DES 和 AES 三种加 密算法
支持 MD5 及 SHA-1 验证算法
支持 IKE 主模式 及野蛮模式
VPN
网络 互连
GRE VPN
DVPN
局域网协议
链路层协议
支持 NAT 穿越
支持自 动建立隧道技术
支持 UDP 封装 ,以实现 NAT 穿越
支持提供 对报文 的校验
支持静态 MAP
支持 client 端接入 认证及节点 间 的加密认证
支持使用 动态 IP 地址构建 VPN
同一 个节点 可以属于 不同的 VPN域
支持多个 VPN 域
支持数据 加密
通过 动 态 建立 隧道 节省 Server 带宽
Ethernet_II
Ethernet_SNAP
VLAN
PPP
2007-4-20
第11页
杭州华三通信技术有限公司
属性 说明
PPPoE
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
ARP
ARP Proxy
静 态域名 解析
IP 地址借 用
网络协议
网络可靠 性
服务质 量保 证
(QoS)
IP 服务
IP 路由
VRRP
流量 监管
拥塞管 理 FIFO、 PQ、 CQ、 WFQ、 CBWFQ、 RTPQ
拥塞避免
流量 整形
DHCP 中继
DHCP 服务器
DHCP 客户端
L3 Monitor
HWPing
静 态路由管理
RIP-1/RIP-2
OSPF
BGP
路由 策略
策略路由
Traffic Policing
WRED
GTS
接口速率 限制 LR、 CAR
配置管理
2007-4-20
命令行接口 通过 Console 口进行 本地配置
通过 AUX 口进行远程 配置
通过 Telnet 或 SSH 进 行本地或远程 配置
配置 命令分级保护 ,确保未授权用户无 法 配置设备
提供全中 文的 提示和 帮助信息
详尽的 调试信息, 帮助诊断网络 故障
提供网络 测试工 具,如 Tracert、 Ping 命令 等,迅
速诊断网络是否正 常
用 Telnet 命令直 接登录并管 理其 它 网络设备
第12页
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
支持 TFTP 上传下载文件
支持通过 BIMS 更新 配置 文件和 应用程序
支持通过 VPN Manager 来完 成 VPN 的 部署 和配
置
支持 日志功能
文件系 统管理
WEB网管 接口 系统管理 :
系 统资源管理
设备重启 ,软件升级支持
配置浏览,保 存,下载,上传支持
用户 配置
接口管理
静 态路由,域 名 服务支持
IPSec 配置
支持 防火墙:
攻 击防 范
ACL
黑 名单
安全区域
IP/MAC 地址绑定
2007-4-20
支持 网页过滤 :
HTTP URL 过滤
第 13页
HTTP 内容过滤
杭州华三通信技术有限公司
属性 说明
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
4 版本变更说明
特性变更说明
4.1
版本号 项目 描述
NAT 管理
DHCP 管理
SNMP 管理
常 用 工 具支持(包 括 Ping, Tracert 等 )
帮助信息
注销身份
支持标准网 管 SNMPV3 ,并且兼 容 SNMP V2C、SNMP V1
支持 NTP 时间 同步
表 5 特性变更说明
H3C
SecPath
F 系列-
CMW340
R1607P0
2
H3C
SecPath
F 系列-
CMW340
R1607P0
2
H3C
SecPath
F 系列-
CMW340
R1607P0
1
软件特性更新 无
硬件特性变更 无
软件特性更新 无
硬件特性变更 增加新 的款 型 F100-M
软件特性更新 无
硬件特性变更 无
2007-4-20
第14页
杭州华三通信技术有限公司
版本号 项目 描述
H3C SECPATH F 系列 -CMW340-
R1608版本说明书
H3C
SecPath
F 系列-
CMW340
-R1607
H3C
SecPath
F 系列-
CMW340
-R1607
软件特性更新 无
硬件特性变更 无
新 增特性:
流日志 软件特性:
软件特性更新
通过实现此 特性, 防火墙设备将 流经 防火墙的所 有的业 务流都
进 行日志记 录 的能力 , 从而使用远端 的 日志主 机 能够 对 防火墙
的日志进行 分析 ,达到更 细粒 度的流 分析 能力 。
2007-4-20
第15页