无
无
1、配置DNS解析
dns resolve
dns server 61.128.128.68
2、开启DPI
dpi enable
3、开启DPI自动更新及更新周期
dpi
update rule-base server domain sec.huawei.com
update rule-base remote period 30
4、开启Local到Untrust区域的防火墙策略
firewall packet-filter default permit interzone local untrust direction outbound
USG BSR系列不支持DPI自动升级。需手动到Sec.huawei.com下载上传升级。
无
无
<table summary="" frame="border" rules="all" border="1" cellpadding="4" cellspacing="0"><caption><b>表2 </b>PON技术比较</caption>
<thead align="left">
<tr>
<th class="cellrowborder" id="mcps1.3.4.6.2.4.1.1" valign="top" width="22.666666666666668%" align="left">项目</th>
<th class="cellrowborder" id="mcps1.3.4.6.2.4.1.2" valign="middle" width="26%" align="center">EPON</th>
<th class="cellrowborder" id="mcps1.3.4.6.2.4.1.3" valign="middle" width="51.33333333333333%" align="center">GPON</th>
</tr>
</thead>
<tbody>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">下行速率</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">1250Mbit/s</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">1244Mbit/s或2488Mbit/s</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">上行速率</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">1250Mbit/s</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">155Mbit/s、622Mbit/s、1244Mbit/s或2488Mbit/s</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">分路比</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">取决与光功率预算</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">取决与光功率预算</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">最大传输距离</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">10km或20km</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">20km</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">数据链路层协议</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">以太网</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">GEM或ATM</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">封装效率</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">高</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">最高</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">技术标准化程度</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">完备</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">一般</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">芯片、器件成熟程度</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">高</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">一般</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">理论成本</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">低</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">低</td>
</tr>
<tr>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.1 " valign="top" width="22.666666666666668%" align="left">实际成本</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.2 " valign="middle" width="26%" align="center">低</td>
<td class="cellrowborder" headers="mcps1.3.4.6.2.4.1.3 " valign="middle" width="51.33333333333333%" align="center">高</td>
</tr>
</tbody>
</table>
无
无
无
V100R005C00SPC700版本以后配置DPI
dpi
whole-packet-search enable application gnutella
whole-packet-search enable application msn_audio
whole-packet-search enable application msn_im
whole-packet-search enable application http
whole-packet-search enable application https
whole-packet-search enable application mms_stream_signal
whole-packet-search enable application rtsp
whole-packet-search enable application pop3_ssl
whole-packet-search enable application wap_connless
whole-packet-search enable application wap_conn
whole-packet-search enable application ssl
whole-packet-search enable application quicktime_streaming
whole-packet-search enable application cotp_data
whole-packet-search enable application stun
whole-packet-search enable application icy
whole-packet-search enable application tcp_other
relation-detection enable
auto save configuration
update rule-base server domain sec.huawei.com
update rule-base remote period 15
remission-ip 192.168.104.0 mask 24 /免监控IP
remission-ip address-set vip /免监控IP
identification-range 192.168.0.0 mask 16 /监控IP
#
template 1 /配置模版
rule 0 if-match category Attack apply deny
rule 1 if-match category BotNet apply deny
rule 2 if-match category P2P apply deny
rule 3 if-match category PeerCasting apply qos-car 100
rule 4 if-match category Worm apply deny
#
policy 1 /应用模块
policy template 1
#
早期版本:
#
dpi
whole-packet-search enable application gnutella
whole-packet-search enable application msn_audio
whole-packet-search enable application msn_im
whole-packet-search enable application http
whole-packet-search enable application https
whole-packet-search enable application mms_stream_signal
whole-packet-search enable application rtsp
whole-packet-search enable application pop3_ssl
whole-packet-search enable application wap_connless
whole-packet-search enable application wap_conn
whole-packet-search enable application ssl
whole-packet-search enable application cotp_data
whole-packet-search enable application stun
whole-packet-search enable application icy
relation-detection enable
update rule-base server domain sec.huawei.com
update rule-base remote period 15
rule 1 if-match category p2p packet-filter acl-number 2000 直接配置Rule应用ACL。
#
return
无
华为USG系列防火墙如何通过WEB配置上网行为管理。
无
华为USG2000/5000系列防火墙在V100R005C00SPC700后支持通过WEB配置上网行为管理。V100R005C00SPC700 之前版本只能在命令行配置。
无
无
无
文件系统安全性对比
从自动修复损坏的文件系统来看,ext2、ext3 都能自动修复损坏的文件系统,也都是在开机时进行。ext2 和 ext3 文件系统在默认的情况下是“每间隔 21 次挂载文件系统或每 180 天,就要自动检测一次。通过实践来看 ext2 和 ext3 在自动检测上是存在风险,有时文件系统开机后就进入单用户模式,并且把整个系统“扔”进 lost+found 目录,如果要恢复系统,就得用 fsck 来进行修复;当然 fsck 也同样存在风险;所以对 ext2 和 ext3 文件系统的使用,对新手来说的确需要心里准备;毕竟修复已经损坏的 ext2 和 ext3 文件系统是有困难的;另外 ext2 和 ext3 文件系统对于意外关机和断电,也可能导致文件系统损坏,所以我们在使用过程中,必须是合法关机;比如执行 poweroff 指令来关掉机器。
从文件系统的反删除来看,ext2 支持反删除,对于一般使用者来说应该是安全的,但对于保密单位来说可能意味着不安全。从反删除角度来说明文件系统的安全性,也是有两方面。如果用户的工作是从事比较机密的,用 ext3 比较好,因为 ext3 一旦删除文件,是不可恢复的,因为反删除能恢复相应的绝秘资料的泄秘,所以 ext3 可能更适合从事机密工作的用户。
新型的 Ext4 文件系统
Ext4 是 Linux 内核版本 2.6.28 的重要部分。它是 Linux 文件系统的一次革命。在很多方面,Ext4 相对于 Ext3 的进步要远超过 Ext3 相对于 Ext2 的进步。Ext3 相对于 Ext2 的改进主要在于日志方面,但是 Ext4 相对于 Ext3 的的改进是更深层次的,是文件系统数据结构方面的优化。一个高效的、优秀的、可靠的和极具特点的文件系统就此诞生。目前,该文件系统并未在所有的 Linux 发行套件中完全普及使用,还处于初期的测试阶段。
无
经常在安装软件时提示端口被占用。但又无法确定是被什么软件占用,如何确定。
无
开始/运行/CMD,运行natstat -ano 查看对应端口最后一项的PID。记住PID后在任务管理器里查看。但任务管理器默认是不显示PID的,需要执行查看/选择列,将PID钩上。
无
华为USG防火墙在替换原有客户防火墙时,因客户端MAC地址进行了绑定。需要将LAN口侧修改
无
USG防火墙不可以直接修改接口MAC地址。但可以通过ETH-TRUNK的方式来处理。
interface eth-trunk 1
MAC-address 0001-0002-0003
无
无
无
1、速率。目前来看,我们建议所有新建网用户采用802.11A/B/N,支持300M
2、胖AP Or 瘦AP:AP数量大型12台建议采用瘦AP,瘦AP支持漫游业务不中断。
3、功率大小:用户密度大,功率小,用户密度小,功率选大,一个AP支持的用户数大概为15-20个。
4、放装型还是分布型:楼道、普通用户密度小用分布型,会议室用户密码大用放装型。
无
华为低端交换机是没有硬件时钟芯片的,设备重启后时间将被重置。如何解决。
无
使用NTP时间同步的方式处理。网络中一般路由器、防火墙设备都有硬件时钟芯片。我们可以通过NTP时钟同步的方式将所有网络设备的时钟进行同步。
例:
防火墙配置(10.10.1.254): ntp-service refclock-master 2
交换机配置: ntp-service unicast-server 10.10.1.254
我们建议不管交换机是否有时钟芯片,都采用NTP方式来同步时钟,有助于设备故障排除及管理。
无
无
1、由于华为交换机(Sx300/Sx700)默认是不将操作命令记入日志,如果需要将操作的命令写入日志,需要配置相关的命令。
2、在设备需要配置如下的命令:
info-center source SHELL channel logbuffer log level debugging state on,这样在设备上通过display logbuffer就可以看见登陆设备之后操作的命令了。
例如:
[SW-L-S2752-02]info-center source SHELL channel logbuffer log level debugging state on
[SW-L-S2752-02]dis logb
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 0
Current messages : 295
Feb 15 2012 04:50:32-05:13 SW-L-S2752-02 %%01SHELL/5/CMDRECORD(l)[0]:Record command information. (Task=VT0 , Ip=10.10.1.254, User=huawei, Command="info-center source SHELL channel logbuffer log level debugging state on")
无