前 言
产品版本
与本文档相对应的产品版本如下所示。
产品名称 |
产品版本 |
|---|---|
USG6000 |
V500R005C00及后续版本 |
USG9500 |
V500R005C00及后续版本 |
USG6000E |
V600R006C00及后续版本 |
Eudemon200E-N |
V500R005C00及后续版本 |
Eudemon1000E-N |
V500R005C00及后续版本 |
Eudemon8000E-X |
V500R005C00及后续版本 |
Eudemon200E-G |
V600R006C00及后续版本 |
Eudemon1000E-G |
V600R006C00及后续版本 |
如无特殊声明,以上USG和Eudemon系列产品在本文档中统称为FW。
读者对象
本文档介绍FW在典型项目中的应用及配置方法。本文档并不覆盖所有的场景,您可以以本文档所提供的案例为范本,自定义您的配置。
本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识,且具有丰富的网络管理经验。
内容约定
您购买的产品、服务或特性等应受华为技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为技术有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
本文档涉及的截图仅为示例,最终界面以实际设备显示的界面为准。
加密算法的声明
目前设备采用的加密算法包括DES、3DES、AES、RSA、SHA1、SHA2、MD5,具体采用哪种加密算法请根据场景而定。请优先采用我们的建议,否则会造成无法满足您安全防御的要求。
- DES/3DES/RSA(1024位以下)/MD5(数字签名场景和口令加密)/SHA1(数字签名场景)加密算法安全性低,存在安全风险。在协议支持的加密算法选择范围内,建议使用更安全的加密算法,比如AES/RSA(2048位以上)/SHA2/HMAC-SHA2。
- 对称加密算法建议使用AES(128位及以上密钥)。
- 非对称加密算法建议使用RSA(2048位及以上密钥)。
- 哈希算法建议使用SHA2(256及以上密钥)。
- HMAC(基于哈希算法的消息验证码)算法建议使用HMAC-SHA2。
- 对于管理员类型的密码,必须采用不可逆加密算法,如SHA2。
个人数据的声明
您购买的产品、服务或特性在业务运营或故障定位的过程中将可能获取或使用用户的某些个人数据,本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。
特性使用的声明
- 在使用反病毒AV、入侵防御IPS、URL过滤、文件过滤、内容过滤、应用行为控制、URL会话日志和邮件过滤等特性的过程中,可能涉及采集浏览的网页、传输的文件等用户通信内容。为避免用户通信内容的泄露,建议您及时清除无用的敏感信息。
- 反病毒AV和入侵防御IPS提供攻击取证功能,用于对病毒或入侵流量数据包进行分析,但在攻击取证过程中可能涉及采集用户通信内容。产品提供专门的审计管理员来获取攻击取证结果,其他管理员无权操作。为避免用户通信内容的泄露,请保管好审计管理员帐号并及时清除攻击取证记录。
- 审计功能用于记录上网行为,涉及采集或存储用户浏览的网页、BBS或微博的发帖内容、通过HTTP/FTP传输文件的行为、收发邮件行为以及QQ上下线信息等。产品提供专门的审计管理员来配置审计策略、查看审计日志,其他管理员无权操作。为避免用户通信内容的泄露,请保管好审计管理员帐号。
- 端口镜像、NetStream特性对系统故障诊断及流量统计和分析有重要意义,但在使用过程中可能涉及采集用户通信内容。产品对这些功能提供了权限控制。建议您在故障诊断和流量分析结束后及时删除流量记录。
- 五元组抓包功能通过配置可以抓取到完整的报文内容,可能存在泄露用户个人数据的风险,您需遵从所在国家的相关法律法规使用该功能,并采取适当的安全保护措施以确保用户的个人数据受到充分的保护,例如技术支持工程师需经过客户授权同意后才可以进行抓包操作;问题定位分析完成后立即彻底删除抓包内容等。华为对非因华为过错造成的个人数据泄露等安全事件不承担任何法律责任。
- 数据反馈功能(用户体验计划)可能涉及转移、处理个人用户的某些通信内容和个人数据,本公司无法单方转移、处理。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。
- 设备支持通过FTP、TFTP、SFTPv1&v2及FTPS传输文件。使用FTP、TFTP、SFTPv1协议存在安全风险,建议您使用SFTPv2或FTPS方式进行文件操作。
- 设备支持通过Telnet协议和STelnetv1&v2协议登录。使用Telnet和STelnetv1协议存在安全风险,建议您使用STelnetv2登录设备。
- 设备支通过SNMPv1&v2c&v3协议管理设备。使用SNMPv1&v2c存在安全风险,建议您使用SNMPv3管理设备。
MAC地址、IP地址使用的声明
出于特性介绍及配置示例的需要,本文档中会使用真实设备的MAC地址、公网的IP地址,如无特殊说明,出现的真实设备的MAC地址、公网的IP地址均为示意,不指代任何实际意义。
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
符号 |
说明 |
|---|---|
表示如不避免则将会导致死亡或严重伤害的具有高等级风险的危害。 |
|
表示如不避免则可能导致死亡或严重伤害的具有中等级风险的危害。 |
|
表示如不避免则可能导致轻微或中度伤害的具有低等级风险的危害。 |
|
用于传递设备或环境安全警示信息。如不避免则可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。 “须知”不涉及人身伤害。 |
|
对正文中重点信息的补充说明。 “说明”不是安全警示信息,不涉及人身、设备及环境伤害信息。 |
命令行格式约定
在本文中可能出现下列命令行格式,它们所代表的含义如下。
格式 |
意义 |
|---|---|
粗体 |
命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。 |
斜体 |
命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。 |
[ ] |
表示用“[ ]”括起来的部分在命令配置时是可选的。 |
{ x | y | ... } |
表示从两个或多个选项中选取一个。 |
[ x | y | ... ] |
表示从两个或多个选项中选取一个或者不选。 |
{ x | y | ... } * |
表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项。 |
[ x | y | ... ] * |
表示从两个或多个选项中选取多个或者不选。 |
&<1-n> |
表示符号“&”前面的参数可以重复1~n次。 |
# |
表示由“#”开始的行为注释行。 |
图形界面元素引用约定
在本文中可能出现下列图形界面元素,它们所代表的含义如下。
格式 |
意义 |
|---|---|
“” |
带双引号“”的格式表示各类界面控件名称和数据表,如单击“确定”。 |
> |
多级菜单用“>”隔开。如选择“文件 > 新建 > 文件夹”,表示选择“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。 |
修订记录
修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。
文档版本 02 (2019-08-30)
第二次正式发布。
文档版本 01 (2019-01-10)
第一次正式发布。
