HUAWEI USG6000&USG9500
V500R001C30
典型配置案例
文档版本
01
发布日期
2016-08-19
华为技术有限公司
文档版本 01 (2016-08-19)
华为专有和保密信息
版权所有 © 华为技术有限公司
i
版权所有 © 华为技术有限公司 2016。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传
播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务
或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示
的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本
文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
深圳市龙岗区坂田华为总部办公楼 邮编:518129
网址:
http://e.huawei.com
HUAWEI USG6000&USG9500
典型配置案例
前 言
文档版本 01 (2016-08-19)
华为专有和保密信息
版权所有 © 华为技术有限公司
ii
前 言
产品版本
与本文档相对应的产品版本如下所示。
产品名称
产品版本
USG 系列,包括:
USG6300
− USG6305
− USG6305-W
− USG6310S
− USG6310S-W
− USG6310S-WL
− USG6306
− USG6308
− USG6310
− USG6320
− USG6330
− USG6350
− USG6360
− USG6370
− USG6380
− USG6390
− USG6390E
USG6500
− USG6507
− USG6510
− USG6510-WL
− USG6510-SJJ
− USG6530
− USG6550
− USG6570
USG6600
V500R001C30
HUAWEI USG6000&USG9500
典型配置案例
前 言
文档版本 01 (2016-08-19)
华为专有和保密信息
版权所有 © 华为技术有限公司
iii
产品名称
产品版本
− USG6620
− USG6620-AVE
− USG6630
− USG6650
− USG6660
− USG6670
− USG6680
USG9500
− USG9520
− USG9560
− USG9580
读者对象
本文档介绍 FW 典型应用场景的配置方法。本文档并不覆盖所有的特性,而只专注于
典型的配置场景。您可以以本文档所提供的案例为范本,自定义您的配置。
本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知
识,且具有丰富的网络管理经验。
内容约定
您购买的产品、服务或特性等应受华为技术有限公司商业合同和条款的约束,本文档
中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同
另有约定,华为技术有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文
档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担
保。
加密算法的声明
目前设备采用的加密算法包括 DES、3DES、AES、RSA、SHA1、SHA2、MD5,具体
采用哪种加密算法请根据场景而定。请优先采用我们的建议,否则会造成无法满足您
安全防御的要求。
DES/3DES/RSA(1024 位以下)/MD5(数字签名场景和口令加密)/SHA1(数字签名场
景)加密算法安全性低,存在安全风险。在协议支持的加密算法选择范围内,建议
使用更安全的加密算法,比如 AES/RSA(2048 位以上)/SHA2/HMAC-SHA2。
对称加密算法建议使用 AES(128 位及以上密钥)。
HUAWEI USG6000&USG9500
典型配置案例
前 言
文档版本 01 (2016-08-19)
华为专有和保密信息
版权所有 © 华为技术有限公司
iv
非对称加密算法建议使用 RSA(2048 位及以上密钥)。
哈希算法建议使用 SHA2(256 及以上密钥)。
HMAC(基于哈希算法的消息验证码)算法建议使用 HMAC-SHA2。
对于管理员类型的密码,必须采用不可逆加密算法,如 SHA2。
个人数据的声明
您购买的产品、服务或特性在业务运营或故障定位的过程中将可能获取或使用用户的
某些个人数据,本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律
法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程
中,您应采取足够的措施以确保用户的通信内容受到严格保护。
特性使用的声明
在使用反病毒 AV 、入侵防御 IPS、URL 过滤、文件过滤、内容过滤、应用行为控
制、URL 会话日志和邮件过滤等特性的过程中,可能涉及采集浏览的网页、传输
的文件等用户通信内容。为避免用户通信内容的泄露,建议您及时清除无用的敏
感信息。
反病毒 AV 和入侵防御 IPS 提供攻击取证功能,用于对病毒或入侵流量数据包进行
分析,但在攻击取证过程中可能涉及采集用户通信内容。产品提供专门的审计管
理员来获取攻击取证结果,其他管理员无权操作。为避免用户通信内容的泄露,
请保管好审计管理员帐号并及时清除攻击取证记录。
审计功能用于记录上网行为,涉及采集或存储用户浏览的网页、BBS 或微博的发
帖内容、通过 HTTP/FTP 传输文件的行为、收发邮件行为以及 QQ 上下线信息
等。产品提供专门的审计管理员来配置审计策略、查看审计日志,其他管理员无
权操作。为避免用户通信内容的泄露,请保管好审计管理员帐号。
端口镜像、NetStream 特性对系统故障诊断及流量统计和分析有重要意义,但在使
用过程中可能涉及采集用户通信内容。产品对这些功能提供了权限控制。建议您
在故障诊断和流量分析结束后及时删除流量记录。
数据反馈功能(用户体验计划)可能涉及转移、处理个人用户的某些通信内容和
个人数据,本公司无法单方转移、处理。建议您只有在所适用法律法规允许的目
的和范围内方可启用相应的功能。
设备支持通过 FTP、TFTP、SFTPv1&v2 及 FTPS 传输文件。使用 FTP、TFTP、
SFTPv1 协议存在安全风险,建议您使用 SFTPv2 或 FTPS 方式进行文件操作。
设备支持通过 Telnet 协议和 STelnetv1&v2 协议登录。使用 Telnet 和 STelnetv1 协
议存在安全风险,建议您使用 STelnetv2 登录设备。
设备支通过 SNMPv1&v2c&v3 协议管理设备。使用 SNMPv1&v2c 存在安全风险,
建议您使用 SNMPv3 管理设备。
