H3C防火墙常见问题汇总

ALG的作用是什么 ??

??地址转换会导致许多对NAT敏感的应用协议无法正常工作，必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和（或）端口号，如果不进行特殊处理，将会严重影响后继的协议交互。 ??

??地址转换应用网关（NAT Application Level Gateway，NAT ALG）是解决特殊协议穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。 ??

??在SecPath上，当开启NAT功能后，系统会自动开启NAT ALG，无需手工设置。 ??

??防火墙的域（zone）是什么意思 ??

??区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于的主要特征。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。SecPath缺省有trust、untrust、DMZ、local 4个安全域，同时还可以自定义12个区域。 ??

??[SecPath]firewall zone ? ??

?? DMZ DMZ security zone ??

?? local Local security zone ??

?? name Specify a new security zone name and create it ??

?? trust Trust security zone ??

?? untrust Untrust security zone ??

?? 一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。 ??

??SecPath防火墙中inbound和outbound的含义是什么呢 ??

??SecPath防火墙的ACL规则和路由器一样，是应用在接口上的，inbound指从接口进入防火墙的方向，outbound是从防火墙出接口的方向。这点是与Eudemon和SecPath1800F不同的。Eudemon和SecPath1800F的ACL是应用在域间的，inbound是指从低安全级别的域进入高安全级别域的流量，如从untrust进入trust，outbound的方向与此相反。

??

??为什么我的接口配了IP地址和PC对连却ping不通 ??

??接口必须加入且只能加入一个域才能生效。特别要注意的是，除了物理口要加入域外，virtual-template和tunnul也必须加入域。如果不加入域，可能出现端口up但是却互相ping不通、SecPoint拨号接入却获取不到IP地址等情况。这是刚接触防火墙常犯的错误，希望大家能够牢记。 ??

??命令为firewall zone trust/untrust ??

?? Add interface eth 0/1 ??

??同时，在3.4-0006版本后，缺省情况下，更改了包过滤的缺省规则，缺省规则由permit改为deny，缺省情况下，所有的接口都是不通的，需要在系统视图下配置firewall packet-filter default permit才能访问。 ??

??Secpath系列产品如何查看flash中有哪些文件 ??

??dir/all ??

??Directory of flash:/ ??

?? 1 -rw- 5800821 Oct 10 2002 10:10:10 system ??

?? 2 -rw- 1021629 Oct 10 2002 10:10:10 http.zip ??

?? 3 -rw- 962 Sep 22 2010 16:42:11 config.cfg ??

?? 4 -rw- 524288 Aug 09 2010 09:35:41 bootromfull ??

??15621 KB total (8439 KB free) ??

??Secpath系列产品如何备份配置文件和VRP文件 ??

??1、使用TFTP方式（需要有TFTP服务器，如3CDaemon） ??

?? 前提条件：保证PC机和设备之间可以双向PING通 ??

??tftp 1.1.1.1（TFTP服务器的地址） put system （VRP文件名） ??

??tftp 1.1.1.1（TFTP服务器的地址） put config.cfg （VRP文件名） ??

??2、使用FTP方式 ??

??前提条件：保证PC机和设备之间可以双向PING通 ??

??[Quidway]ftp server enable 启动FTP服务 ??

??[Quidway] local-user huawe 创建FTP用户和密码及及登陆后的目录 ??

??[Quidway] password simple huawei ??

??[Quidway]service-type ftp ftp-directory flash:/ ??

??在PC“运行”键入CMD命令进入到DOS界面 ??

??ftp 设备IP地址 ??

??用户名和密码都是huawei ??

??Secpath产品BOOTROM升级说明 ??

??进入bootrom命令 ??

??Ctrl_D 进入bootrom升级bootrom ??

??Ctrl_B 进入bootrom升级VRP ??

??BOOTROM文件 ??

??1、bootromd的版本文件可能有2个，大小分别是100多K和512K。

??2、bootrom升级时，从低版本到高版本使用100k的update，但是从高到低必须使用512k的重新down，建议都使用512K的bootrom文件 ??

??Secpath产品在线升级BOOTROM和VRP方法 ??

??BOOT在线升级： ??

??【TFTP方式】 ??

??1、配置secpath F和PC地址，使之互通。 ??

??2、 PC上启用TFTP server程序，同时指定为升级的boot文件所在目录。 ??

??3、将boot文件拷入flash中。在用户视图下，执行以下命令： ??

??<>copy x.x.x.x/bootromfull bootromfull ??

??这里，x.x.x.x为PC的地址，bootromfull为升级的boot文件名，注意：只能为bootromfull。如果只升级boot扩展段，则拷入的文件名应为bootrom。如果无法确定需要升级boot扩展段还是整个boot，则建议直接升级整个boot文件。 ??

??4、将boot升级，执行： ??

??<>upgrade bootrom bootromfull ??

??这里，bootromfull为拷入的文件名称。 ??

??5、重启系统。 ??

??【FTP方式】 ??

??同中低端路由器版本。 ??

??版本软件在线升级： ??

??【TFTP方式】 ??

??1、配置secpath F和PC地址，使之互通。 ??

??PC上启用TFTP server程序，同时指定为升级文件所在目录。 ??

??2、在用户视图下，执行以下命令： ??

??copy x.x.x.x/system system ??

??这里，x.x.x.x为PC的地址，system为升级的系统文件名，注意：只能为system。 ??

??3、 重启系统。 ??

??【FTP方式】 ??

??同中低端路由器版本。 ??

??说明： ??

??防火墙应用程序缺省名称为system，配置文件缺省名称为config.cfg，Boot ROM扩展段文件缺省名称为bootrom，整个Boot ROM文件缺省名称为bootromfull。 ??

??Secpath在BOOT中升级VRP版本时，下载完文件提示“Writing into Flash Fails.”该如何处理 ??

??一般是由于Flash出了问题。可以把Flash先格式化再下载。格式化flash可以在进入BOOT菜单后按“ctrl+b”再按“CTRL+F”执行。 ??

??为什么从系统下升级VRP版本重启设备后未生效 ??

??SecPath产品默认的系统文件为system，如果是在Bootrom下TFTP升级，系统将自动自动覆盖以前的system文件。如果在用户视图下FTP下载系统文件，需要手动更改下载的文件名为system。 ??

??在BootRom模式下TFTP升级VRP版本时，为什么从有些接口上下载不了版本 ??

??SecPath系列防火墙在bootrom下TFTP升级版本时，有一个默认的eth0口用于下载，该接口是不能更改的。各系列产品所对应于eth0的接口如下： ??

?? Secpath1000/1000F: Gigabit0/0 ??

?? Secpath100F: WAN2 ??

?? Sepcath100: eth0/0 ??

?? Secpath10/10F WAN ??

??删除FLASH里面的VRP系统文件，从BootRom模式下TFTP升级VRP版时，系统却提示FLASH空间不足，版本无法下载，系统启动不了怎么办 ??

??删除文件时一定要 /u 才能完全删除，假如在用户视图直接del system，该系统文件将放入回收站，同样占用FLASH的空间。这时，如果重启，老系统文件不生效，新系统文件又无空间写入。这时的杀手锏就是在进入boot菜单时CTRL+F格式化FLASH了。 ??

??VRP系统损坏了怎么办 ??

??进入boot菜单时CTRL+F格式化FLASH，通过bootrom方式升级。 ??

??Secpath产品是否支持WEB管理 ??

??目前支持WEB管理的设备有：secpath10f、100f、1000f。但FLASH中一定得有“http.zip”文件，如果没有就采用detach命令来解压软件版本。例： ??

??detach system ??

?? System file length 7856557 bytes, http file length 834724 bytes. ?? ??dir ??

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库H3C防火墙常见问题汇总在线全文阅读。