华为防火墙产品TOP问题汇总

disagree [复制链接]
发表于 : 2019-12-6 09:26:29 最新回复:2019-12-06 09:26:29
586 0
强叔侃墙
强叔侃墙 官方号

091356d8vmgfcz88fvjwgv.png

这篇帖子主要介绍华为防火墙产品的常见问题,主要涉及USG和Eudemon系列产品。


       License      如何获取防火墙的商用许可证书? 新建局点场景获取商用License有两种方式:授权激活方式和密码激活方式。授权激活主要是根据选中的授权,然后将授权绑定到网元进行激活的一种方式。适用于前期明确授权和网元的匹配关系的场景。
如何获取防火墙的临时License? 临时License适用于新特性试用,市场拓展阶段的POC测试,品牌展览展示,以及产品上市前研发测试的业务场景。
如何在防火墙设备上加载License? License文件后缀为*.dat,请存放于存储器的根目录下,手动激活指定的License文件。只有当设备ESN、软件版本等信息完全与License文件内容吻合的情况下,License才能成功被激活。
如果绑定了错误的ESN,要如何处理? 如果在申请License阶段绑定到错误的ESN,且正确的ESN在ESDP系统上已有绑定过License的记录,则需要在ESDP系统中将绑定错误ESN的License状态从激活回退到未激活状态。
如果防火墙软件升级了,License要如何处理? 在升级设备软件版本后,建议对License文件进行版本升级并重新在设备上加载,否则可能因为不同版本间的License控制项有变化,导致业务异常。升级或降级License的版本只针对永久License,固定期限License和临时License不允许进行升级或降级操作。
防火墙的控制项的有效期如何计算? 在ESDP平台绑定授权ID和设备序列号ESN,生成License文件,此时的ESDP系统时间就是所有License控制项的激活时间。从激活时间开始计算有效
         NAT      如何配置一个内部服务器对外发布多个公网地址? 对于同一个内部服务器发布多个公网IP供外部网络访问的场景,如果不同公网IP所在的链路规划在不同的安全区域,可以通过配置针对不同的安全区域发布不同的公网IP的NAT Server来实现。如果不同公网IP所在的链路规划在同一个安全区域,可以通过配置指定no-reverse参数的NAT Server来实现。
黑洞路由的作用是什么? 当NAT地址池中的地址与防火墙WAN口的地址不在同一网段时,需要配置黑洞路由,避免防火墙与Internet之间形成环路。 
NAT Server与目的NAT的区别是什么?  NAT Server作为一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可用于解决私网IP与公网IP存在固定映射关系的场景。但基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。
防火墙上NAT策略是按什么顺序进行匹配的? 如果创建了多条NAT策略,设备会依据NAT策略列表中的存储顺序从上到下依次进行匹配。如果流量匹配了某个NAT策略,进行NAT转换后,将不再进行下一个NAT策略的匹配。
双机热备场景下,什么时候需要配置NAT地址池和VRRP绑定? 主备备份方式的双机热备下,不需要手工配置VRRP备份组与NAT地址池绑定负载分担方式的双机热备下,如果NAT地址池地址与VRRP备份组地址不在同一网段,不需要配置NAT地址池与VRRP绑定。如果NAT地址池地址与VRRP备份组地址在同一网段,需要配置NAT地址池与VRRP绑定。
如何把NAT地址池和NAT Server的global地址路由发布出去? 当NAT地址池和nat server的global地址和接口地址在同一网段时只需要把接口的地址路由发布出去就可以。当NAT地址池和nat server的global地址和接口地址不在同一网段时,可以在防火墙上配置NAT地址池的地址或者是nat server的global地址的黑洞路由,然后通过在OSPF中引入静态路由的方式实现
 SecoClient    从哪里可以获取SecoClient文档? SecoClient文档包括管理员指南和终端用户接入指南,可以从技术支持Support网站获取对应的文档。
从哪里可以获取SecoClient安装包? SecoClient安装包和防火墙软件包在support网站同一个“软件”目录下,可以到对应补丁版本的软件目录下获取适用于Windows、Linux、MAC、Android以及IOS操作系统的SecoClient安装包。
为USG防火墙,V5版本是否提供VPN客户端? SecoClient华为公司推出的一款用于VPN远程接入的终端软件,主要为移动办公用户远程访问企业内网资源提供安全、便捷接入服务。V5版本提供VPN客户端。
SecoClient最新版本是什么 目前,SecoClient最新版本为7.0.2,跟随华为USG系列防火墙V500R005C20版本发布上网。
SecoClient支持哪些操作系统?对操作系统的硬件有要求吗? SecoClient客户端支持Windows(32位/64位)、Linux(32位/64位)和MAC(64位)系统。对内存、硬盘、CPU等硬件没有特殊要求。
SecoClient支持哪些VPN技术? SecoClient提供三种主要的VPN接入技术,即SSL VPN、L2TP VPN和L2TP over IPSec VPN,为移动办公用户远程访问企业内网资源提供安全、便捷的接入服务。
SecoClient支持哪些认证方式? SecoClient客户端提供多种认证方式,包括用户名/密码认证、证书匿名认证、证书挑战认证、双因子认证等,覆盖各种VPN接入的认证场景。
 SSL VPN 如何配置证书认证方式的SSL VPN网络扩展功能? SSL VPN支持证书匿名认证和证书挑战认证。配置证书认证方式的网络扩展功能需要管理员在防火墙上传CA证书,并在创建虚拟网关时选择证书认证方式,配置“用户过滤字段”和“组过滤字段”,将客户端证书发放给终端用户,终端用户通过在客户端上传证书来进行身份认证。
SSL VPN有哪些认证方式? SSL VPN提供的认证方式包括:用户名/密码认证、服务器认证、证书认证等
SSL VPN网络扩展中的三种路由模式如何使用? 网络扩展中分离路由模式只转发前往内网的数据;全路由模式,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理;手动路由模式,管理员必须手动配置内网网段静态路由,然后客户端识别前往该网段的数据,交由虚拟网卡转发。
配置SSL VPN时如何为不同的用户授权? FW基于角色进行访问授权和接入控制,一个角色中的所有用户拥有相同的权限。角色是连接用户与业务资源、主机检查策略、登录时间段等权限控制项的桥梁,可以将权限相同的用户加入到某个角色,然后在角色中关联业务资源、主机检查策略等。
SSL VPN如何实现一个账号多处同时登录? 创建虚拟网关后,修改已创建的网关,在“网关配置页面”可以勾选“允许一个账号在多处同时登录”,实现同一账号在多处同时登录虚拟网关。
如何分析SSL VPN各业务的安全策略? 移动办公用户访问内网服务器过程中,经过FW的流量分为创建SSL VPN隧道的加密报文和后续的业务报文,安全策略需要根据不同业务的不同流量进行分析。
 日志  如何配置向日志主机发送会话日志?  防火墙支持向日志服务器发送会话日志。报文经过防火墙处理后将会在防火墙上建立会话。管理员可以根据实际需要,选择在会话老化后输出、新建会话时输出、或者定期输出会话信息。
 为什么Web页面看不到流量日志和流量报表  用户登录防火墙后可以看到日志页面,如果看不到具体的日志可能是由于设备未挂载硬盘等导致
 在Web下可以查看到哪些日志?  当硬盘或SD卡在位时,可以在Web上查看和导出日志,某些型号的设备在硬盘或SD卡不在位时也可以在Web相应日志节点下查看少量的日志每种型号支持查看的日志种类不同。
 日志有哪些存储路径,如何查看日志?  当报文经过防火墙满足相应的日志生成和记录条件时,防火墙的日志模块会根据配置的各种日志格式进行组装;然后防火墙将日志发送给日志服务器或其他存储路径,最终用户在存储日志的路径下进行查看。
 为什么Web页面看不到导出按钮  用户在Web页面中可以查询日志,但看不到导出日志的按钮,可能是由于管理员没有导出权限或设备未加载硬盘导致的


  • x
  • 常规:

点评 回复

跳转到指定楼层
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录