四,F100特色功能简介:
俗话说系统集成设备配置从图形化界面开始,而故障排查深入应用才到命令行下去寻找答案,所以笔者也将从图形化界面入手来为各位介绍F100的各个特色功能。通过“系统管理”->“设备概览”->“文件系统”我们可以看到默认情况下F100的FLASH中存储有三个文件,其中的HTTP.ZIP是WEB管理平台程序。(如图11)
(1)系统资源占用浏览更直观:
以往笔者在配置路由交换设备当网络通讯速度缓慢时一般都要首先查看设备的CPU及内存占用情况,在命令行下通过dis cpu等命令监控,不过F100的图形化界面为我们简化了此步骤,在“系统管理”->“设备概览”->“系统资源”下我们可以直接看到设备自身的CPU占用率以及内存占用情况,必要时可以通过“详细信息”按钮查看每个进程每个连接对CPU与内存的占用。(如图12)
(2)域名服务节约DNS server:
在企业和学校内部都会有专门的DNS服务器来完成域名解析工作,特别是当自己网络中存在域时更需要建立域名到IP地址的映射关系,以往都是通过专门的DNS服务器来完成,不过在F100中的“系统管理”->“域名服务”中我们可以手工添加这种映射,简化了操作节约了DNS服务器的配置。(如图13)
(3)路由管理不含糊:
在WEB管理界面下的“网络配置”->“路由管理”中我们可以根据网络实际情况添加静态路由和缺省路由信息,从而更加灵活的转发数据包。不过遗憾的是虽然SecPath F100-C-EI防火墙支持RIP和OSPF动态路由协议,但是我们无法在WEB管理界面中进行配置,如果要开启动态路由协议的话只能到命令行界面中却配置。同时SecPath F100-C-EI防火墙还支持PPPOE拨号以及SNMP网络管理协议,如果企业有RADIUS验证服务器的话也可以通过F100的AAA实现远程验证的功能。(如图14)
(4)对象管理更灵活:
以往在设置网络设备时都要反复设置时间规则,地址规则,服务规则等信息,而在F100中我们可以通过图形化界面轻松设置这些信息。在“对象管理”下有包括“地址,服务,时间段对象以及流对象”等多个信息供我们选择。这里设置的对象在后面的策略管理,防火墙策略等应用中可以直接调用,避免的反复输入的麻烦也为批量更改提供了便利条件。(如图15)
小提示:
流对象实际上就是我们平时说的访问控制列表,通过流对象可以定义一条数据包丢弃和转发规则。不过在这里设置不能随意,所有信息都通过下拉菜单选择,下拉菜单中的信息恰恰是之前设置的地址对象,服务对象以及时间对象等信息(如图16)
(5)策略管理让数据管理事半功倍:
在策略管理中我们可以针对流过滤策略的应用接口进行设置,这点类似于命令行下的packet-filter inbound|outbound,我们只需要选择要应用的接口,流过滤策略名称以及策略应用方向即可。当然在策略管理下我们还可以针对NAT地址转换策略进行设置。F100支持EASY IP这种多对一的NAT转换形式。(如图17)
(6)中规中矩的区域安全设置:
区域安全设置是防火墙区别于路由交换以及VPN产品的最大特色之一,F100中也特别添加了区域安全设置功能,我们可以针对不同区域设置其自身安全优先级,同时可以设置不同接口属于不同安全区域。(如图18)
(7)强大的攻击防范功能:
最后笔者再说说F100强大的防火墙管理功能,在“防火墙管理”下有多个特色功能,包括攻击防范,邮件过滤,网页过滤,黑名单,IP-MAC地址绑定,防火墙会话,ASPF,TCP代理等等,每个选项都对应非常不错的功能。特别是“攻击防范”,在这里F100为我们提供了预防各个扫描攻击,定向攻击的功能,一共23种之多,建议用户在实施时将他们全部选中。同时为了避免被Ddos攻击,F100提供了三种防范策略,分别是预防syn flood攻击,预防udp flood攻击以及预防ICMP flood攻击。要知道这些预防配置在命令行下根本无从下手,而图形化界面却为我们大大简化了此操作。(如图19)
(8)页面过滤以及SQL注入防范功能:
在F100中我们可以针对访问目的地址,内容等方面进行过滤,我们只需要在“防火墙管理”->“网页过滤”中进行添加即可,学校通过关键字对黄赌毒等不良信息进行封锁。而在该功能下的SQL注入攻击则更有特色,要知道由于SQL语句的原因很多使用PHP或ASP制作的站点都容易被SQL注入攻击而篡改网页。而通过F100的SQL注入攻击过滤参数配置功能可以提前将SQL查询语句以及对应的关键字信息进行过滤,从而阻止非法入侵者针对SQL语句和表名字段信息的查询,彻底避免外网的SQL注入攻击。(如图20)
(9)VPN设置与安全连接:
在F100中也提供了VPN的接入,我们可以设置L2TP,IPSEC,GRE,PKI等多种方式的VPN接入服务。(如图21)
(10)日子后查询提供更完善:
H3C设备内部都有一个信息中心,所有日志记录都储存在信息中心中,不过在命令行下查询非常不方便也不直观。不过F100为我们提供了图形化的日志查询功能,我们可以实时了解每台主机,每个时间段的日志信息,保证故障发生后能够通过查询日志快速解决。另外结合流量统计功能我们也可以在第一时间发现内网各个终端流量的异常情况。(如图22)
(11)应用控制功能让网络带宽应用更合理:
在F100的“应用控制”功能下提供了几个行之有效的功能,他们分别是“防P2P软件”,“防即时通讯工具”,“内网主机速率控制”,“内网主机速率保证”。通过这些功能可以针对内网P2P类下载软件进行封杀,也可以禁止内网用户通过MSN或QQ聊天。同时还可以针对主机的速度设置最低速度以及最高速度。(如图23)
当然F100中提供的功能还有很多,上文只是针对其特色功能进行了介绍,由于篇幅关系这里就不详细说明了,感兴趣的读者可以自行参考配置手册。总之F100通过多个方面来加强内网管理提升内网安全,同时WEB方式的管理界面也让我们的安全配置更加方便灵活,以往在命令行下无法实现的功能也可以在图形化界面下轻松解决。