H3C SecBlade II 防火墙(SR66)开局指导书(修改).doc

H3C SecBlade II 防火墙(SR66)开局指导书(修改) Describe abbreviationsin thisdocument,full spellingof theabbreviation andChinese explanationshould beprovided.缩略语Abbreviations英文全名Full spelling中文解释Chinese explanation?注意本文中的配置均以SecBladeII和SR66为例。 第1页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.1产品简介与基本工作原理1.1产品简介H3C SecBlade II防火墙插卡采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。 SecBlade防火墙插卡采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，路由器的原有业务处理不会受到任何影响。 1.2基本工作原理SecBlade II防火墙插卡与路由器通过内部10GE总线进行通信。 其工作原理如下图1SecBlade II防火墙插卡与路由器的报文转发如上图，SR66第2号槽位上接入SecBladeII防火墙插卡，3号槽位为普通业务口，g3/0/1和g3/0/2接口运行业务，SecBladeII防火墙插卡和SR66内部数据交互口在SR66系统上表现为int Ten-GigabitEther2/1/1，在SecBladeII上表现为Ten-GigabitEther0/0。 数据包的转发过程如下 (1)数据包通过业务板g3/0/1送给SR66；第2页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. (2)SR66通过与SecBladeII的内部总线int Ten-GigabitEther2/1/1送给SecBladeII的Ten-GigabitEther0/0（或者子接口）。 (3)SecBladeII进行相关防火墙功能处理后，通过Ten-GigabitEther0/0（或者子接口）送回SR66； (4)SR66做相关处理后通过业务口g3/0/2正常转发。 2版本配套与硬件安装2.1版本配套H3C SecBladeII插卡目前包括的单板类型为SPE-FWM（用于H3C SR6608路由器），其对应的软硬件配套关系如下SecBladeII SECBLADEII-CMW520-B3155及以上SR66SR6600-CMW520-E2208-RPE，及以上SR66防火墙插卡与S7500E、S9500的防火墙插卡，前插卡硬件相同，后插卡不同，软件版本相同。 2.2硬件安装SecBladeII的硬件安装与SR66其它单板相同，支持热插拔。 安装完成后，SR66能识别单板（如果不能识别，请仔细对照2.1版本配套）SR66086608dis verH3C ComwarePlatform SoftwareComware Software,Version5.20,A2203Copyright(c)xx-xxHangzhou H3C Tech.Co.,Ltd.All rightsreserved.H3C SR6608uptime is0week,0day,21hours,27minutes Slot0:RPE-X1,uptime is0week,0day,21hours,27minutes CPUtype:FREESCALE MPC85481000MHz1024M bytesDDR2SDRAM Memory4M bytesFlash Memory第3页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.128K bytesNVRAM PCB Version:Ver.B BasicLogic Version:2.0Extend LogicVersion:1.0Basic BootWare Version:1.12Extend BootWare Version:1.18FIXED PORTCON(Hardware)Ver.B,(Driver)1.0,(Cpld)1.0FIXED PORTAUX(Hardware)Ver.B,(Driver)1.0,(Cpld)1.0FIXED PORTMGE0/0/0(Hardware)Ver.B,(Driver)1.0,(Cpld)1.0Slot1:The Boardis absent.Slot2:The Boardis absent.Slot3:The Boardis absent.Slot4:SPE-FWM,uptime is0week,0day,21hours,26minutes CPUtype:RMI XLR716800MHz1024M bytesDDR2SDRAM Memory4M bytesFlash Memory128K bytesNVRAM PCBVersion:Ver.A LogicVersion:129.0第4页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. Basic BootWareVersion:1.00Extend BootWareVersion:1.00ACCESS PORTXGE4/0/0(Hardware)Ver.A,(Driver)1.0,(Cpld)129.0Slot5:FIP-200,uptime is0week,0day,21hours,25minutes CPUtype:RMI XLR7321000MHz1024M bytesDDR2SDRAM Memory4M bytesFlash Memory0K bytesNVRAM PCBVersion:Ver.A LogicVersion:136.0Basic BootWareVersion:1.12Extend BootWareVersion:1.18FIXED PORTGE5/0/0(Hardware)Ver.A,(Driver)1.0,(Cpld)134.0FIXED PORTGE5/0/1(Hardware)Ver.A,(Driver)1.0,(Cpld)134.0SUBSLOT1The SubCardis notpresentSUBSLOT2The SubCardis notpresent SecbladeFW插卡secdis verH3C ComwarePlatform SoftwareComware Software,Version5.20,Release3102Copyright(c)xx-xxHangzhou H3C Tech.Co.,Ltd.All rightsreserved.H3C SecBladeFW uptimeis0week,0day,21hours,28minutes CPUtype:RMI XLR7321000MHz CPU1024M bytesDDR2SDRAM Memory4M bytesFlash MemoryPCBVersion:Ver.A LogicVersion:1.0BasicBootWareVersion:1.13第5页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. ExtendBootWareVersion:1.19FIXED PORTCON(Hardware)Ver.A,(Driver)1.0,(Cpld)1.0FIXED PORTGE0/0(Hardware)Ver.A,(Driver)1.0,(Cpld)1.0FIXED PORTGE0/1(Hardware)Ver.A,(Driver)1.0,(Cpld)1.0FIXED PORTGE0/2(Hardware)Ver.A,(Driver)1.0,(Cpld)1.0FIXED PORTGE0/3(Hardware)Ver.A,(Driver)1.0,(Cpld)1.0FIXED PORTXGE0/0(Hardware)Ver.A,(Driver)1.0,(Cpld)1.02.3网络连接2.3.1SecBladeII接口介绍图2SecBladeII接口介绍SecBladeII自带1个console口、4个千兆外部接口（int g0/0int g0/3）和1个10GE的内部接口（interface Ten-GigabitEther0/0）。 4个千兆口主要用于管理，不推荐运行业务。 10GE的内部接口用于与路由器交互数据，运行业务，其基本的报文转发流程见图1。 2.3.2SecBladeII与SR66业务线缆连接在插入SecBladeII后，一般情况下，SR66对外业务连接接口，使用其它业务单板第6页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.接口，不推荐使用SecBladeII自带GE口处理业务。 2.4SecBladeII的管理SecBladeII集成强大的WEB管理功能，大部分配置都能通过WEB完成，同时，支持命令行，命令行主要提供简单的配置、信息查看、故障诊断。 推荐使用WEB方式进行配置。 2.4.1WEB方式管理SecBlade防火墙出厂时已经设置默认的Web登录信息，用户可以直接使用该默认信息登录防火墙的Web界面。 默认的Web登录信息包括?用户名“h3c”密码“h3c”SecBladeII的g0/0口IP地址“”采用Web方式登录防火墙的步骤如下 (1)连接设备和PC用以太网线将PC和设备的以太网口GigabitEther0/1相连。 (2)为PC配置IP地址，保证能与设备互通修改IP地址为/24，例如。 (3)启动浏览器，输入登录信息在PC上启动浏览器（建议使用IE5.0及以上版本），在地址栏中输入IP地址“”后回车，即可进入设备的Web登录页面，如图3所示。 输入用户名“h3c”、密码“h3c”，单击按钮即可登录。 第7页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.图3Web登录界面?注意从B3155以后版本（不含B3155）开始，除了管理域，其他安全域在缺省配置下也能够访问local区域，因此在设备上线以后恶意攻击可以通过业务口攻击Web网管，建议配置acl限制访问Web网管的IP地址。 具体配置如下H3Cip acl?INTEGERBasic aclH3Cip sacl?INTEGERBasic ACL2.4.2命令行方式管理如图2，SecBladeII自带console口，可以用串口线对SecBladeII进行管理，其串口参数与管理H3C主网络设备设置相同。 第8页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.3防火墙基础配置3.1防火墙的几个基本概念3.1.1虚拟设备虚拟设备是一个逻辑概念，一台防火墙设备可以逻辑上划分为多个部分，每一个部分可以作为一台单独的防火墙（虚拟设备）。 每个虚拟设备之间相互独立，业务单独控制，一般情况下不允许相互通信，这就是所谓的“虚拟防火墙”。 3.1.2安全区域防火墙作为网络安全设备，按照业务的重要性高低，将网络分为若干个安全区域，安全区域以防火墙接口为边界。 引入安全区域的概念之后，安全管理员将安全需求相同的接口进行分类（划分到不同的区域），能够实现策略的分层管理。 第9页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.图4防火墙安全区域缺省情况下，一个防火墙（或者虚拟）有4个业务安全区域local、trust、dmz、untrust，其安全级别分别是 100、 85、 50、5。 还有一个特殊的管理区域management，安全级别为100。 用户可以手动创建区域。 如图4，把g0/1g0/3分别加入trust、untrust、dmz区域，其含义是以防火墙为边界，g0/1g0/3接口外的区域分别属于trust、untrust、dmz区域。 防火墙本身所有接口g0/1g0/3（加入management域的接口除外），都属于local区域。 建议为每个接口单独设置不同的区域，以方面后续灵活的进行区域间的策略配置。 3.1.3会话所谓流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。 根据IP层协议的不同，流分为四大类?TCP流通过五元组唯一标识UDP流通过五元组唯一标识ICMP流通过三元组+ICMP type+ICMP code唯一标识RAW IP流不属于上述协议的，通过三元组标识所谓会话（Session），以一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。 通过会话所属的任一方向的流特征都可以唯一确定该会话，以及方向。 第10页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.对于TCP/UDP/ICMP/RAW IP流，首包进入防火墙时开始创建会话，后续相同的流或者返回报文可以匹配该会话。 以TCP三次握手为例图5会话建立如图5trust区域的:1564访问untrust区域的的23端口，首包syn报文开始创建一个双向会话（:1564:23），后续SYN_ACK和ACK报文都匹配到此会话后，完整的会话创建完成。 后续数据流如果匹配到此会话则放行通过。 第11页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.3.2防火墙的基本工作流程图6防火墙的基本工作流程?注意防火墙缺省下，高级别区域能访问低级别区域，低级别区域不能访问高级别区域。 此缺省规则不能更改。 第12页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.3.3防火墙的基本配置图7SecBladeII基本图如图7，创建两个子接口ten-g0/0.1和ten-g0/0.2，分别属于trust和untrust区域。 (1)创建子接口ten-g0/0.1和ten-g0/0.2，“系统管理接口管理添加”。 图8创建子接口ten-g0/0.1第13页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.图9创建子接口ten-g0/0.2 (2)将子接口ten-g0/0.1和ten-g0/0.2分别加入trust、untrust区域以将ten-g0/0.1加入trust区域为例，ten-g0/0.2加入untrust域步骤类似，系统配置安全域管理。 对trust域进行操作，将ten-g0/0.1加入。 做了上述操作后，从高级别区域（如trust）能访问低级别区域（如untrust），反方向不能访问。 第14页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.4路由模式基本转发配置4.1组网需求图10NAT典型组网4.2设备基本命令行配置4.2.1初始配置SR6608acl number3000rule0permit ipsource55rule5deny ipacl number3001rule0permit ipsource55rule5deny ip#interface GigabitEther5/0/0ip address54ip policy-based-route g00#interface GigabitEther5/0/1ip address54ip policy-based-route g01#interface Ten-GigabitEther4/0/0#第15页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. interface Ten-GigabitEther4/0/0.1vlan-type dot1q vid100ip address54#interface Ten-GigabitEther4/0/0.2vlan-type dot1q vid200ip address54#policy-based-route g00permit node10if-match acl3000apply ip-address next-hop53#policy-based-route g01permit node10if-match acl3001apply ip-address next-hop53Secblade II防火墙插卡interface Ten-GigabitEther0/0port link-mode route#interface Ten-GigabitEther0/0.1vlan-type dot1q vid100ip address53#interface Ten-GigabitEther0/0.2vlan-type dot1q vid200ip address53#ip route-static54ip route-static54PC机IP地址配置PC1/24PC2:/24第16页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. Secblade安全域配置如下将子接口ten0/0.1加入trust安全域，子接口ten0/0.2加入untrust安全域第17页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.4.3NAT业务典型配置举例4.3.1Easy IP方式NAT (1)功能简述地址转换时，利用访问控制列表控制哪些内部地址可以进行地址转换。 并直接使用接口的公有IP地址作为转换后的源地址。 (2)典型配置步骤策略管理地址转换策略地址转换新建选择接口（Ten-GigabitEther0/0.2），输入acl号，地址转换方式选择Easy IP，点击。 A.从PC1上访问PC2，执行ping、ftp、dns、tel操作，B.查看会话列表，可以看到结果B。 (3)验证结果A.ping、ftp、dns、tel访问正常B.查看会话列表 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除4.3.2PAT方式NAT (1)功能简述防火墙使用地址池IP地址对数据报文进行地址转换，源端口改变。 (2)典型配置步骤第18页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. A.创建地址池对象管理NAT地址池地址池新建输入地址池索引、开始IP地址和结束IP地址，点击。 B.配置NAT PAT策略管理地址转换策略地址转换新建选择接口（Ten-GigabitEther0/0.2），输入acl号，输入地址池索引，地址转换方式选择PAT，点击。 C.从PC1上访问PC2，执行ping、ftp、dns、tel操作，D.查看会话列表，可以看到结果B。 (3)验证结果A.ping、ftp、dns、tel访问正常B.查看会话列表可以看到，执行了地址转换源地址转换为nat地址池中不同的地址；源端口也进行了转换，各不相同。 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除4.3.3no-PAT方式NAT (1)功能简述防火墙使用地址池IP地址对数据报文进行地址转换，源端口不变。 (2)典型配置步骤第19页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. A.配置NAT no-PAT策略管理地址转换策略地址转换已创建地址转换接口的操作栏修改按钮地址转换方式选择no-PAT，点击。 B.从PC1上访问PC2，执行ping、ftp、dns、tel操作，C.查看会话列表，可以看到结果B。 (3)验证结果A.ping、ftp、dns、tel访问正常B.查看会话列表可以看到访问正常，执行了地址转换源地址转换为地址池中的地址，源端口不变。 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除4.3.4NAT Static (1)功能简述防火墙对数据报文进行双向一对一地址转换，源端口或目的端口不变。 指定范围内的内部主机地址转换为指定的公网网段地址，转换过程中只对网段地址进行转换。 (2)典型配置步骤2.测试步骤A.配置一对一地址转换策略管理地址转换策略一对一地址转换新建输入内部IP地址和外部IP地址，点击。 第20页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. B.创建Untrust域Trust域策略a.策略管理访问控制策略面向对象ACL，使Untrust到Trust区域允许访问； (1)验证结果A.PC2对PC1执行ping、ftp、dns、tel操作，察看debug信息和会话列表，可以看到源地址转换为指定的地址。 (2)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (3)故障排除4.3.5NAT Server (1)功能简述外部网络访问内部服务器功能。 外部网络的用户访问内部服务器时，NAT将请求报文内的目的地址转换成内部服务器的私有地址。 即防火墙对数据报文进行入方向地址转换，目的IP地址转换为指定地址，目的端口转换为指定端口。 (2)典型配置步骤A.配置NAT Server策略管理地址转换策略内部服务器新建选择接口、选择协议类型、输入外部IP地址、输入外部端口、输入内部IP地址、输入内部端口，点击。 B.配置NAT Server（指定VPN实例）策略管理地址转换策略内部服务器新建选择接口、选择VPN实例、选择协议类型、输入外部IP地址、输入外部端口、输入内部IP地址、输入内部端口，点击。 C.创建Untrust域Trust域，Untrust域DMZ域的访问控制策略，策略管理访问控制策略面向对象ACL第21页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.PC2对PC1执行ping、ftp、dns、tel操作，察看debug信息和会话列表，可以看到预期结果 (3)验证结果A.ping、ftp、dns、tel访问正常B.查看会话列表可以看到预期结果 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 故障排除5攻击防范模式配置举例5.1典型组网图11攻击防范典型组网第22页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.5.2设备基本配置5.2.1其他共同配置A.接口模式G0/ 0、G0/ 1、G0/2和G0/3均为三层接口:Interface PhysicalProtocol IPAddress Ten-GigabitEther0/0.1up upTen-GigabitEther0/0.2up upTen-GigabitEther0/0.3up upB.安全域（Web页面“系统管理”-“安全域管理”）G0/0置于Management域（默认）；Ten-GigabitEther0/0.1置于root设备Trust域；Ten-GigabitEther0/0.2置于root设备DMZ域；Ten-GigabitEther0/0.3置于root设备Untrust域5.3攻击防范业务典型配置举例5.3.1静态黑名单功能 (1)功能简述防火墙静态黑名单的功能，有效地将特定IP地址发送来的报文屏蔽。 (2)典型配置步骤A.按照组网连接正确，Host C与Host A之间路由可达。 B.进入Web管理界面，入侵检测-黑名单，配置C.在黑名单老化时间内，从Host C上向Host A执行ping操作ping，有预期结果 (1)第23页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.配置的黑名单老化后，再从Host C上向Host A执行ping操作ping，有预期结果 (2) (3)验证结果 (1)无法ping通防火墙黑名单有丢包统计 (2)可以ping通 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除5.3.2动态黑名单功能 (1)功能简述验证防火墙动态黑名单的功能，根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。 (2)典型配置步骤A.按照组网连接正确，Host C与Host A之间路由可达。 B.进入Web管理界面，入侵检测-流量异常检测-扫描攻击，选择Untrust域，配置C.进入Web管理界面，入侵检测-黑名单，使能黑名单过滤功能第24页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.在Host C上使用构造的扫描攻击报文或配置好的扫描程序(如Netwizard或superscan)对目标网络/主机（如Server/Host A）进行扫描，有预期结果。 (3)验证结果Host C的IP地址自动被添加到黑名单表项中，后续扫描报文被丢弃 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除5.3.3ICMP FLOOD攻击防范 (1)功能简述验证防火墙对ICMP FLOOD攻击的阻断，配置中保护DMZ中的主机不会受到ICMP FLOOD攻击的影响。 (2)典型配置步骤A.按照组网连接正确，Host C与Server之间路由可达；B.在Host C上用攻击软件构造ICMP报文。 C.配置防火墙进入Web管理界面，入侵检测-流量异常检测-ICMP flood，安全区域选择DMZ，配置D.在Host C上发送大量（连接数率阈值超过设定值）ICMP报文到Server，在防火墙上查看入侵检测统计，有预期结果 (1)。 E.在防火墙上取消ICMP FLOOD攻击防范功能，在Host C上发送大量（连接数率阈值超过设定值）的ICMP报文到Server，同时在Server上抓包，有预期结第25页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c.果 （2）。 (3)验证结果 (1)防火墙上会看到ICMP FLOOD攻击报警 (2)Server上接收到大量的ICMP攻击报文第26页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除5.3.4UDP FLOOD攻击防范 (1)功能简述验证防火墙对UDP FLOOD攻击的阻断，配置中保护DMZ中的服务器不会受到UDP FLOOD攻击的影响。 (2)典型配置步骤A.按照组网连接正确，Host C与Server之间路由可达；B.在Host C上用攻击软件构造UDP报文。 C.进入Web管理界面，入侵检测-流量异常检测-UDP flood，安全区域选择DMZ，配置第27页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.在Host C上发送大量（连接数率阈值超过设定值）UDP报文到Server，在防火墙上查看入侵检测统计，有预期结果 (1)；E.在防火墙上删除UDP FLOOD攻击防范功能，在Host C上发送大量（连接数率阈值超过设定值）的UDP报文到Server，同时在Server上抓包，有预期结果错误！未找到引用源。 (3)验证结果 (1)在防火墙上会看到UDP FLOOD攻击报警 (2)Server上接收到大量的UDP攻击报文第28页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除5.3.5SYN FLOOD攻击防范 (1)功能简述验证防火墙对SYN攻击的阻断，配置中保护DMZ中的服务器不会受到SYN FLOOD攻击的影响。 (2)典型配置步骤A.按照组网图连接正确，Host C与Server之间路由可达；B.在Host C上用攻击软件构造TCP SYN报文。 C.进入Web管理界面，入侵检测-流量异常检测-SYN flood，安全区域选择DMZ，配置第29页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.从Host C上发送大量（连接/半连接数率阈值超过设定值）的TCP SYN报文到Server，在防火墙上查看入侵检测统计，预期结果 (1)。 E.在Host C上发送大量（连接/半连接数率阈值超过设定值）TCP SYN攻击报文的背景流量下，通过访问Server，有预期结果 （2）。 F.在防火墙上删除SYN攻击防范配置，在Host C上发送大量（连接/半连接数率阈值超过设定值）的TCP SYN报文到Server，同时在Server上抓包，有预期结果 (3)。 (3)验证结果 (1)防火墙上有SYN flood报警 (2)可以正常浏览Server上的网页 (3)Server上接收到大量的SYN攻击报文第30页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除5.3.6扫描攻击防范 (1)功能简述验证防火墙对扫描攻击的发现，并阻断攻击，保护网络不受到扫描攻击的影响。 (2)典型配置步骤A.按照组网连接正确，Host C与Server之间路由可达；B.在Host C上用攻击软件构造扫描攻击报文。 C.进入Web管理界面，入侵检测-流量异常检测-扫描攻击，安全区域选择Untrust，配置第31页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.在Host C上对目标主机（Server）进行扫描，查看防火墙入侵检测统计，有预期结果。 (3)验证结果防火墙上会产生扫描攻击报警，超过阈值报文被丢弃 (4)注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5)故障排除5.3.7单包攻击防范 (1)功能简述验证防火墙对单包攻击的发现，阻断攻击，保护主机不受到单包攻击的影响。 (2)典型配置步骤A.按照组网连接正确，Host C与Host A之间路由可达；B.在Host C上用攻击软件构造好各种单包攻击报文。 C.进入Web管理界面，入侵检测-特征识别，安全区域选择Untrust，配置第32页共55页Hangzhou H3C TechnologiesCo.,Ltd.h3c. D.在Host C上对Host A进行Fraggle攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 E.在Host C上对Host A进行Land攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 F.在Host C上对Host A进行Winnuke攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 G.在Host C上对Host A进行TCP Flag攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 H.在Host C上对Host A进行ICMP Unreachable攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 I.在Host C上对Host A进行ICMP Redirect攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 J.在Host C上对Host A进行Tracert攻击，在防火墙的入侵检测统计中查看报警输出，有预期结果 (1)。 K.在Host C上对Host A进行Smurf攻击，在防火墙的入