所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

HUAWEI 防火墙 综合配置案例

本文档介绍防火墙在典型项目中的应用及配置方法。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
前 言

前 言

产品版本

与本文档相对应的产品版本如下所示。

产品名称

产品版本

USG6000

V500R005C00及后续版本

USG9500

V500R005C00及后续版本

USG6000E

V600R006C00及后续版本

Eudemon200E-N

V500R005C00及后续版本

Eudemon1000E-N

V500R005C00及后续版本

Eudemon8000E-X

V500R005C00及后续版本

Eudemon200E-G

V600R006C00及后续版本

Eudemon1000E-G

V600R006C00及后续版本

读者对象

本文档介绍FW在典型项目中的应用及配置方法。本文档并不覆盖所有的场景,您可以以本文档所提供的案例为范本,自定义您的配置。

本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识,且具有丰富的网络管理经验。

内容约定

您购买的产品、服务或特性等应受华为技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为技术有限公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

加密算法的声明

目前设备采用的加密算法包括DES、3DES、AES、RSA、SHA1、SHA2、MD5,具体采用哪种加密算法请根据场景而定。请优先采用我们的建议,否则会造成无法满足您安全防御的要求。

  • DES/3DES/RSA(1024位以下)/MD5(数字签名场景和口令加密)/SHA1(数字签名场景)加密算法安全性低,存在安全风险。在协议支持的加密算法选择范围内,建议使用更安全的加密算法,比如AES/RSA(2048位以上)/SHA2/HMAC-SHA2。
  • 对称加密算法建议使用AES(128位及以上密钥)。
  • 非对称加密算法建议使用RSA(2048位及以上密钥)。
  • 哈希算法建议使用SHA2(256及以上密钥)。
  • HMAC(基于哈希算法的消息验证码)算法建议使用HMAC-SHA2。
  • 对于管理员类型的密码,必须采用不可逆加密算法,如SHA2。

个人数据的声明

您购买的产品、服务或特性在业务运营或故障定位的过程中将可能获取或使用用户的某些个人数据,本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。

特性使用的声明

  • 在使用反病毒AV、入侵防御IPS、URL过滤、文件过滤、内容过滤、应用行为控制、URL会话日志和邮件过滤等特性的过程中,可能涉及采集浏览的网页、传输的文件等用户通信内容。为避免用户通信内容的泄露,建议您及时清除无用的敏感信息。
  • 反病毒AV和入侵防御IPS提供攻击取证功能,用于对病毒或入侵流量数据包进行分析,但在攻击取证过程中可能涉及采集用户通信内容。产品提供专门的审计管理员来获取攻击取证结果,其他管理员无权操作。为避免用户通信内容的泄露,请保管好审计管理员帐号并及时清除攻击取证记录。
  • 审计功能用于记录上网行为,涉及采集或存储用户浏览的网页、BBS或微博的发帖内容、通过HTTP/FTP传输文件的行为、收发邮件行为以及QQ上下线信息等。产品提供专门的审计管理员来配置审计策略、查看审计日志,其他管理员无权操作。为避免用户通信内容的泄露,请保管好审计管理员帐号。
  • 端口镜像、NetStream特性对系统故障诊断及流量统计和分析有重要意义,但在使用过程中可能涉及采集用户通信内容。产品对这些功能提供了权限控制。建议您在故障诊断和流量分析结束后及时删除流量记录。
  • 数据反馈功能(用户体验计划)可能涉及转移、处理个人用户的某些通信内容和个人数据,本公司无法单方转移、处理。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。
  • 设备支持通过FTP、TFTP、SFTPv1&v2及FTPS传输文件。使用FTP、TFTP、SFTPv1协议存在安全风险,建议您使用SFTPv2或FTPS方式进行文件操作。
  • 设备支持通过Telnet协议和STelnetv1&v2协议登录。使用Telnet和STelnetv1协议存在安全风险,建议您使用STelnetv2登录设备。
  • 设备支通过SNMPv1&v2c&v3协议管理设备。使用SNMPv1&v2c存在安全风险,建议您使用SNMPv3管理设备。

符号约定

在本文中可能出现下列标志,它们所代表的含义如下。

符号

说明

用于警示紧急的危险情形,若不避免,将会导致人员死亡或严重的人身伤害。

用于警示潜在的危险情形,若不避免,可能会导致人员死亡或严重的人身伤害。

用于警示潜在的危险情形,若不避免,可能会导致中度或轻微的人身伤害。

用于传递设备或环境安全警示信息,若不避免,可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。

“注意”不涉及人身伤害。

用于突出重要/关键信息、最佳实践和小窍门等。

“说明”不是安全警示信息,不涉及人身、设备及环境伤害信息。

命令行格式约定

在本文中可能出现下列命令行格式,它们所代表的含义如下。

格式

意义

粗体

命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。

斜体

命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。

[ ]

表示用“[ ]”括起来的部分在命令配置时是可选的。

{ x | y | ... }

表示从两个或多个选项中选取一个。

[ x | y | ... ]

表示从两个或多个选项中选取一个或者不选。

{ x | y | ... } *

表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项。

[ x | y | ... ] *

表示从两个或多个选项中选取多个或者不选。

&<1-n>

表示符号“&”前面的参数可以重复1~n次。

#

表示由“#”开始的行为注释行。

图形界面元素引用约定

在本文中可能出现下列图形界面元素,它们所代表的含义如下。

格式

意义

“”

带双引号“”的格式表示各类界面控件名称和数据表,如单击“确定”。

>

多级菜单用“>”隔开。如选择文件 > 新建 > 文件夹,表示选择“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。

修订记录

修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。

文档版本 01 (2019-01-10)

第一次正式发布。

翻译
下载文档
更新时间:2019-01-26

文档编号:EDOC1100062976

浏览量:52299

下载量:5977

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页