天清漢馬USG-FW-P防火墻實(shí)施指南

1、天清漢馬USG-FW-P防火墻實(shí)施指南P系列防火墻原理介紹 防火墻基本概念介紹什么是防火墻？防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)信任域與非信任域之間的一系列功能部件的組合。通過制訂安全策略，它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。通常是網(wǎng)絡(luò)安全防護(hù)體系的最外一層。 防火墻基本概念介紹什么是防火墻？防火墻能做什么保障授權(quán)合法用戶的通信與訪問禁止未經(jīng)授權(quán)的非法通信與訪問記錄經(jīng)過防火墻的通信活動(dòng)防火墻不能做什么不能主動(dòng)防范新的安全威脅不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊不能控制不經(jīng)防火墻的通信與訪問 防火墻基本概念介紹什么是防火墻？ 防

2、火墻主要技術(shù)介紹 透明模式 防火墻主要技術(shù)介紹 路由模式 防火墻主要技術(shù)介紹 混合模式 防火墻主要技術(shù)介紹包過濾技術(shù)數(shù)據(jù)包的形式:防火墻能利用包頭的信息進(jìn)行過濾，僅允許符合規(guī)則的數(shù)據(jù)包通過防火墻 規(guī)則可細(xì)分為源地址/目的地址、源端口/目的端口、協(xié)議、連接方向等項(xiàng)目 防火墻主要技術(shù)介紹什么叫狀態(tài)檢測(cè)？每個(gè)網(wǎng)絡(luò)連接包括以下信息：源地址、目的地址；源端口和目的端口；協(xié)議類型；連接（會(huì)話）狀態(tài)（如超時(shí)時(shí)間，TCP連接的狀態(tài)）等；防火墻把這些信息統(tǒng)稱為狀態(tài)，能夠檢測(cè)這些狀態(tài)的防火墻叫做狀態(tài)檢測(cè)防火墻。 防火墻主要技術(shù)介紹狀態(tài)檢測(cè)的優(yōu)點(diǎn)？ （與包過濾防火墻相比）更安全：檢查內(nèi)容 = 包過濾檢查內(nèi)容 + 連

3、接狀態(tài)更高效：包過濾收到一個(gè)包，檢查一遍規(guī)則集狀態(tài)檢測(cè)先查狀態(tài)表，再查規(guī)則集IP 包檢測(cè)包頭下一步處理安全策略：過濾規(guī)則會(huì)話連接狀態(tài)緩存表狀態(tài)檢測(cè)包過濾防火墻符合不符合丟棄狀態(tài)檢測(cè)過濾流程符合 防火墻主要技術(shù)介紹-技術(shù)原理簡(jiǎn)單包過濾狀態(tài)檢測(cè)過濾綜合安全過濾 防火墻主要技術(shù)介紹-軟件技術(shù)綜合安全防護(hù)網(wǎng)關(guān)監(jiān)測(cè)/阻斷系統(tǒng)入侵隔離蠕蟲/網(wǎng)絡(luò)病毒隔離混合攻擊阻斷木馬/后門防止地址欺騙抗拒絕服務(wù)攻擊屏蔽端口掃描防火墻防止數(shù)據(jù)竊聽和篡改Anti-SpamIPSAnti-VirusWeb Filter防火墻VPN流量整形安全認(rèn)證 防火墻主要技術(shù)介紹-軟件技術(shù)P系列防火墻功能介紹目錄登陸管理透明接入路由&NAT

4、接入路由配置VLAN環(huán)境接入VPN設(shè)置HA使用會(huì)話管理抗掃描使用防火墻功能介紹案例1. 登錄管理設(shè)備支持的登錄管理方式：HTTPSSSHTelnet console默認(rèn)管理接口：eth3：54Eth0：54默認(rèn)管理IP：00案例1. 登錄管理WEB管理-登錄管理用戶登錄版本防火墻web界面如果連續(xù)輸入錯(cuò)誤的用戶名密碼3-10次(默認(rèn)3次),防火墻系統(tǒng)將鎖定該用戶10-600分鐘（默認(rèn)10分鐘），或直到防火墻重啟?？梢杂闷渌~戶登錄后執(zhí)行命令解鎖。 WEB管理-數(shù)字證書認(rèn)證案例1. 登錄管理案例1. 登錄管理WEB管理-證書頁面導(dǎo)入設(shè)備上已經(jīng)有了默認(rèn)證書，無需導(dǎo)入。如果有特別需要，也可以導(dǎo)入其他

5、證書，并進(jìn)行管理導(dǎo)入防火墻證書要導(dǎo)入相對(duì)應(yīng)的IE瀏覽器證書.在管理主機(jī)本地雙擊IE瀏覽器證書，按照提示進(jìn)行安裝，需要輸入密碼時(shí)輸入“hhhhhh”，當(dāng)出現(xiàn)導(dǎo)入成功后點(diǎn)擊確定完成。案例1. 登錄管理WEB管理-瀏覽器證書導(dǎo)入當(dāng)防火墻與IE證書均導(dǎo)入成功后，我們?cè)诠芾碇鳈C(jī)打開IE瀏覽器并輸入https:/ 54:8889，出現(xiàn)選擇證書提示后點(diǎn)擊“確定”畫面。密碼默認(rèn)為leadsec7766WEB管理-登錄案例1. 登錄管理 防火墻出廠時(shí)默認(rèn)的管理主機(jī)地址00，當(dāng)接入一個(gè)新的網(wǎng)絡(luò)環(huán)境中時(shí)，首先要進(jìn)行管理主機(jī)的配置。其中增加了IPv6管理地址，設(shè)備可以通過配置在接口上的IPv6地址來管理。如：http

6、s:/2002:ac0:101:1:8889設(shè)備默認(rèn)沒有IPv6地址，所以默認(rèn)情況下，不能使用IPv6地址管理墻必須把IPv6地址放在中括號(hào)中 案例1. 登錄管理WEB管理-管理主機(jī)設(shè)置案例1. 登錄管理WEB管理-儀表盤 管理主機(jī)無法管理防火墻問題說明墻接口與默認(rèn)管理主機(jī)不在同一網(wǎng)段；而管理主機(jī)列表中沒有能管理墻的主機(jī)案例1. 登錄管理WEB管理-無法管理問題案例1. 登錄管理UTMWEB管理UTM-儀表盤2案例1. 登錄管理WEB管理-接口流量曲線案例1. 登錄管理WEB管理-最新事件案例1. 登錄管理WEB管理-導(dǎo)出日志& 皮膚設(shè)置案例1. 登錄管理WEB管理-權(quán)限設(shè)置案例1. 登錄管理

7、WEB管理-模塊配置導(dǎo)入導(dǎo)出案例1. 登錄管理WEB管理-License案例1. 登錄管理WEB管理-日志存儲(chǔ)類型支持將感興趣的日志保留并導(dǎo)出案例1. 登錄管理WEB管理-日志分類查看防火墻功能介紹案例2. 透明接入案例2. 透明接入透明接入多部署于拓?fù)湎鄬?duì)固定網(wǎng)絡(luò)，為了不改變?cè)芯W(wǎng)絡(luò)拓?fù)?，常采用此部署方式（防火墻本身作為網(wǎng)橋接入網(wǎng)絡(luò)）。按照此方式部署后的防火墻如出現(xiàn)軟硬件故障，可以緊急將防火墻撤離網(wǎng)絡(luò)，不必更改其他路由、交換設(shè)備的配置。按照目前的網(wǎng)絡(luò)情況，透明接入主要用于在網(wǎng)絡(luò)骨干建設(shè)完畢的網(wǎng)絡(luò)中加入應(yīng)用防護(hù)設(shè)備，如UTM。透明接入概述案例2. 透明接入C:00S:00Brg：54eth1e

8、th2透明接入拓?fù)鋱D案例2. 透明接入透明接入模式配置需求：防火墻配置的eth1eth2口配置為透明模式。 注意：設(shè)置為透明模式的接口，默認(rèn)不會(huì)加到任何一個(gè)橋設(shè)備中。設(shè)置規(guī)則允許工作站00訪問服務(wù)器00的HTTP服務(wù)。設(shè)置規(guī)則讓工作站00不能訪問服務(wù)器00的其它服務(wù)。如果需要啟用AV策略、IPS策略、協(xié)議控制策略、上網(wǎng)行為策略，則需要在啟用策略前，先定義好這些策略。透明接入要求案例2. 透明接入透明接入將接口加入到橋案例2. 透明接入透明接入啟用STP案例2. 透明接入透明接入策略配置準(zhǔn)備1，地址配置策略中目前不支持直接輸入IP的方式，所以需要預(yù)定義好地址對(duì)象。案例2. 透明接入透明接入策略配

9、置準(zhǔn)備2，定義病毒防護(hù)策略案例2. 透明接入透明接入策略配置準(zhǔn)備3，定義入侵防護(hù)策略案例2. 透明接入透明接入策略配置案例2. 透明接入透明接入常見問題和注意事項(xiàng)如果防火墻部署在兩臺(tái)Cisco交換機(jī)之間，應(yīng)提前向用戶詢問兩臺(tái)交換機(jī)之間的鏈路是否為TRUNK模式。如果是TRUNK，防火墻的接口應(yīng)開啟TRUNK功能。防火墻功能介紹案例3. 路由&NAT接入案例3. 路由&NAT接入路由&NAT接入概述配置路由/NAT模式的防火墻多部署于網(wǎng)絡(luò)邊界，或者是連接多個(gè)不同網(wǎng)絡(luò),起到保護(hù)內(nèi)網(wǎng)主機(jī)安全，屏蔽內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)涞茸饔?。案?. 路由&NAT接入路由&NAT接入路由模式C:/24S:/24Eth1:54

10、/24Eth2:54/24eth1eth2工作在路由/NAT模式下防火墻配置需求：本案例拓?fù)錇橐粋€(gè)只有兩個(gè)網(wǎng)段的小型局域網(wǎng)。服務(wù)器開放http/ftp服務(wù)。允許工作站訪問服務(wù)器的http服務(wù)禁止工作站訪問服務(wù)器其它服務(wù)。Cilent AServer B案例3. 路由&NAT接入路由&NAT接入IP配置案例3. 路由&NAT接入路由&NAT接入配置默認(rèn)路由1 配置默認(rèn)路由案例3. 路由&NAT接入路由&NAT接入配置策略準(zhǔn)備1：定義地址對(duì)象案例3. 路由&NAT接入路由&NAT接入配置策略準(zhǔn)備2：配置策略以上策略允許：訪問 并對(duì)其中的流量進(jìn)行病毒防護(hù)、攻擊防護(hù)、上網(wǎng)行為管理防護(hù)、協(xié)議控制案例3.

11、 路由&NAT接入路由&NAT接入NAT概述 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT為IETF定義標(biāo)準(zhǔn)，用于允許專用網(wǎng)絡(luò)上的多臺(tái)PC共享單個(gè)、全局路由的IPv4地址IPv4地址日益不足是經(jīng)常部署NAT的一個(gè)主要原因。另外網(wǎng)絡(luò)地址轉(zhuǎn)換NAT經(jīng)常作為一種網(wǎng)絡(luò)安全手段使用，安全域內(nèi)的機(jī)器通過NAT設(shè)備后源地址被重新封裝，起到一定屏蔽內(nèi)網(wǎng)作用。 案例3. 路由&NAT接入路由&NAT接入NAT概述2內(nèi)網(wǎng)外網(wǎng)C:eth1eth2internetEth1:Eth2:S:防火墻工作路由/NAT模式。內(nèi)部客戶PC需要通過防火墻訪問internet上服務(wù)。從防火墻外無法看到內(nèi)部客戶端的真實(shí)IP。案例3. 路由&NAT接入路由&NA

12、T接入定義服務(wù)器并配置策略案例3. 路由&NAT接入路由&NAT接入配置NAT策略案例3. 路由&NAT接入注意： NAT規(guī)則中不建議添加any到any的nat規(guī)則，請(qǐng)查明用戶網(wǎng)絡(luò)中的內(nèi)網(wǎng)地址到底是哪個(gè)網(wǎng)段，然后再根據(jù)這些網(wǎng)段為源地址添加nat規(guī)則。 Any到any的nat規(guī)則會(huì)將進(jìn)入防火墻的報(bào)文也進(jìn)行地址轉(zhuǎn)化，會(huì)對(duì)映射、vpn產(chǎn)生影響。即便你在端口映射和ip映射中選擇了源地址不轉(zhuǎn)換，但是如果你添加了any到any的nat規(guī)則，進(jìn)入防火墻的報(bào)文的源地址還是會(huì)被轉(zhuǎn)換。 對(duì)于送往IPsec的流量，不要進(jìn)行NAT，否則IPsec規(guī)則會(huì)匹配出錯(cuò)。案例3. 路由&NAT接入路由&NAT接入配置NAT策略

13、2NAT策略中，允許通過即意味著可以不對(duì)數(shù)據(jù)包做源地址轉(zhuǎn)換案例3. 路由&NAT接入路由&NAT接入配置端口映射&IP映射案例3. 路由&NAT接入路由&NAT接入配置端口映射&IP映射防火墻功能介紹案例4. 路由設(shè)置案例4. 路由設(shè)置路由設(shè)置概述路由 靜態(tài)路由 默認(rèn)路由 ISP路由 策略路由 案例4. 路由設(shè)置路由設(shè)置靜態(tài)路由拓?fù)鋬?nèi)網(wǎng)外網(wǎng)54/24eth1eth3internet54/30C:/2400/3054/24防火墻工作路由/NAT模式。內(nèi)部客PC需要通過防火墻訪問internet。防火墻和客戶機(jī)之間有一臺(tái)路由器。在防火墻上需要做回指路由保證客戶機(jī)能訪問internet。案例4. 路

14、由設(shè)置路由設(shè)置靜態(tài)路由配置注：相同目的地的訪問，metic值越小的靜態(tài)路由越優(yōu)案例4. 路由設(shè)置路由設(shè)置默認(rèn)路由均衡 默認(rèn)路由均衡功能主要是防火墻對(duì)其各個(gè)路由網(wǎng)關(guān)的可連通性進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并提供給內(nèi)核路由表，以供系統(tǒng)作出合理的路由選擇。依據(jù)各路由的處理能力或繁忙程度等因素，通過對(duì)每個(gè)路由設(shè)定權(quán)重，達(dá)到分流負(fù)載提高訪問速度的作用。 案例4. 路由設(shè)置路由設(shè)置默認(rèn)路由均衡 防火墻連有多個(gè)接入路由設(shè)備，并且每個(gè)路由設(shè)備皆保證路由可達(dá)。各個(gè)接入路由設(shè)備之間可以實(shí)現(xiàn)路由冗余。用戶根據(jù)各個(gè)接入路由的不同帶寬自行設(shè)置權(quán)重如50:1、10:1(權(quán)重越大，路由命中的概率越大)。 當(dāng)新建連接與已建立連接的源IP或目

15、的IP不同時(shí)，防火墻將依據(jù)預(yù)先定義的權(quán)重選擇默認(rèn)路由。案例4. 路由設(shè)置路由設(shè)置默認(rèn)路由均衡拓?fù)浒咐?. 路由設(shè)置路由設(shè)置多默認(rèn)路由均衡拓?fù)湔f明1. 防火墻具備兩個(gè)出口eth1 eth2且皆路由可達(dá)外網(wǎng)服務(wù)器。2.客戶端1客戶端2網(wǎng)關(guān)指向防火墻內(nèi)網(wǎng)接口eth3。3.由于數(shù)據(jù)流量較大防火墻有路由均衡的需求案例4. 路由設(shè)置路由設(shè)置路由負(fù)載均衡設(shè)置案例4. 路由設(shè)置路由設(shè)置路由負(fù)載均衡設(shè)置案例4. 路由設(shè)置路由設(shè)置ISP路由ISP路由將不同運(yùn)營(yíng)商的地址進(jìn)行分類，將去往不同目的地的訪問數(shù)據(jù)按設(shè)置選擇路由，實(shí)現(xiàn)按運(yùn)營(yíng)商區(qū)分的智能選路注：?jiǎn)螐圛SP地址表地址上限：1024案例4. 路由設(shè)置路由設(shè)置ISP

16、路由添加ISP路由表，引用定義的ISP地址，ISP路由是否生效狀態(tài)根據(jù)鏈路up/down實(shí)時(shí)顯示。注：區(qū)別于老版本，ISP路由添加完立即生效，不需要在高級(jí)路由策略里面再次引用。案例4. 路由設(shè)置路由設(shè)置策略路由防火墻策略路由通過細(xì)化到源目IP，流入網(wǎng)口，服務(wù)的策略來更好的進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，針對(duì)不同的內(nèi)網(wǎng)用戶指定不同的路由策略注：防火墻添加策略路由，策略路由會(huì)優(yōu)先于直連路由。解決辦法：在高級(jí)路由表中添加下一跳全零、指定流出網(wǎng)口的路由。案例4. 路由設(shè)置路由設(shè)置策略路由策略路由流入網(wǎng)口可以選擇any，簡(jiǎn)化了多網(wǎng)口策略路由的配置過程Ip rule show命令可以查看當(dāng)前防火墻設(shè)備所存在的路由，從上面可

17、以看出優(yōu)先級(jí)為1的路由為我們所添加的策略路由防火墻功能介紹案例5. VLAN案例5. VLAN接入VLAN接入概述當(dāng)上下游的交換機(jī)配置TRUNK，劃分多個(gè)VLAN的環(huán)境。防火墻可以接入不同VLAN，使不同VLAN間的PC可以正常通訊。防火墻支持802.1Q、NEGO和ISL三種VLAN協(xié)議。案例5. VLAN接入VLAN接入環(huán)境防火墻與交換機(jī)之間trunk相連，實(shí)現(xiàn)兩端同VLAN互訪案例5. VLAN接入VLAN接入配置1、防火墻eth1口與交換機(jī)g1/0/2接口相連，eth1口處于TRUNK模式下，分別添加vlan子接口eth1.50(VLANID 50)、eth1.60(VLANID 60

18、)案例5. VLAN接入VLAN接入配置案例5. VLAN接入VLAN接入配置案例5. VLAN接入VLAN接入配置2、防火墻eth0、eth2口為普通物理設(shè)備接口，且也在透明模式下案例5. VLAN接入VLAN接入配置2、防火墻eth0、eth2口為普通物理設(shè)備接口，且也在透明模式下案例5. VLAN接入VLAN接入配置3、添加橋設(shè)備，brg0、brg1。將eth2、eth1.50放入brg0中；將 eth0、eth1.60放入brg1中案例5. VLAN接入VLAN接入配置4、交換機(jī)上g1/0/5設(shè)為access口，屬于vlan50。g1/0/6設(shè)為access口，屬于vlan605、此時(shí)

19、防火墻eth2端PC 00能正常與交換機(jī)端vlan50中PC 00通信，但不能與交換機(jī)端vlan60中的PC50通信。因?yàn)榇朔N情況下，eth2與eth1.50綁定在一起，只能與VLAN50的PC進(jìn)行通信。6、防火墻eth0端PC 0能正常與交換機(jī)端VLAN60中PC 50通信，但不能與交換機(jī)端VLAN50中的PC 00通信。原因同上。案例5. VLAN接入VLAN接入配置7、注意項(xiàng)：此種情況下，沒有將eth1上的VLAN子接口放入一個(gè)橋設(shè)備中，此時(shí)會(huì)導(dǎo)致環(huán)路，交換機(jī)會(huì)出現(xiàn)接口error-disable情況。當(dāng)將防火墻的物理接口與不同的VLAN子接口進(jìn)行綁定時(shí)，相當(dāng)于進(jìn)行了VLAN隔離，此時(shí)只能

20、同VLAN間通信。8、注意，這個(gè)應(yīng)用場(chǎng)景不支持VLAN區(qū)間設(shè)備，實(shí)際部署中請(qǐng)注意。案例5. VLAN接入VLAN接入配置交換機(jī)上vlan客戶端PC1、PC2、PC3均能正常與防火墻端C1、C2正常通信注意項(xiàng)：此種場(chǎng)景下，防火墻必須針對(duì)每vlan配置相應(yīng)的vlan子接口；由于交換機(jī)上默認(rèn)路由為均衡狀態(tài)，如果只是配置了vlan10子接口，一旦vlan10的訪問通過2.254的路由到達(dá)防火墻則會(huì)導(dǎo)致數(shù)據(jù)丟失。防火墻功能介紹案例6. VPN設(shè)置案例6. VPN設(shè)置VPN概述網(wǎng)御安全網(wǎng)關(guān)的VPN（虛擬私有網(wǎng)絡(luò)）功能模塊使得用戶可以在Internet上構(gòu)建基于IPSec（IP 數(shù)據(jù)包加密）技術(shù)的一系列加密

21、認(rèn)證技術(shù)以及密鑰交換方案，使得在公共網(wǎng)絡(luò)上組建的VPN，具有同本地私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等特點(diǎn)，同時(shí)大大降低了建設(shè)遠(yuǎn)程私有網(wǎng)絡(luò)的費(fèi)用。VPN 模塊支持IPSec協(xié)議和SSL協(xié)議，提供網(wǎng)絡(luò)層報(bào)文的身份鑒別、加密和完整性認(rèn)證等功能。案例6. VPN設(shè)置IPSec VPN網(wǎng)關(guān)到網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)鋱D上圖是模擬局域網(wǎng)-局域網(wǎng)的應(yīng)用環(huán)境。網(wǎng)段是 和網(wǎng)段是 可以通過防火墻之間建立的加密隧道互訪。案例6. VPN設(shè)置IPSec VPN設(shè)置案例6. VPN設(shè)置IPSec VPN設(shè)置案例6. VPN設(shè)置IPSec VPN設(shè)置案例6. VPN設(shè)置IPSec VPN設(shè)置案例6. VPN設(shè)置IPSec VPN

22、設(shè)置案例6. VPN設(shè)置IPSec VPN設(shè)置案例6. VPN設(shè)置IPSec VPN設(shè)置案例6. VPN設(shè)置IPSec VPN設(shè)置防火墻功能介紹案例7. HA設(shè)置案例7. HA設(shè)置HA概述網(wǎng)御Power V防火墻雙機(jī)熱備功能可以在路由模式、透明模式和混合模式下使用。網(wǎng)御Power V防火墻雙機(jī)負(fù)載均衡功能可以在路由模式下使用。案例7. HA設(shè)置HA使用拓?fù)潆p機(jī)熱備案例7. HA設(shè)置HA熱備配置說明配置順序1、先配置主墻HA參數(shù)，以及其他所有配置。2、從墻離線配置HA參數(shù)，保存后關(guān)機(jī)。3、從墻與主墻連接心跳線，并且開機(jī)。4、在主墻上同步節(jié)點(diǎn)配置（網(wǎng)絡(luò)配置 HAHA基本參數(shù)查看HA狀態(tài)同步所有節(jié)點(diǎn)

23、配置 ，也可以通過系統(tǒng)監(jiān)控HA狀態(tài)同步所有節(jié)點(diǎn)配置 來實(shí)現(xiàn)配置同步）。確認(rèn)“節(jié)點(diǎn)配置同步”欄中 所有節(jié)點(diǎn)狀態(tài)為“已同步”。5、連接從墻的數(shù)據(jù)線，將從墻接入網(wǎng)絡(luò)中。6、測(cè)試雙機(jī)是否正常工作。案例7. HA設(shè)置HA熱備配置界面HA心跳口可以自由選擇已經(jīng)啟用的路由物理設(shè)備作為HA心跳網(wǎng)口案例7. HA設(shè)置HA熱備配置界面案例7. HA設(shè)置HA熱備配置界面案例7. HA設(shè)置HA會(huì)話同步拓?fù)鋾?huì)話同步案例7. HA設(shè)置HA會(huì)話同步配置說明注意該拓?fù)錇闋顟B(tài)同步的透明環(huán)境下的一種典型應(yīng)用，但也可以在雙鏈路路由環(huán)境下運(yùn)行，起到會(huì)話保護(hù)的作用在該拓?fù)渲腥缧枵Ｊ褂?，需交換機(jī)配置鏈路聚合；防火墻除配置狀態(tài)同步外，還需配置端口聯(lián)動(dòng)案例7. HA設(shè)置HA會(huì)話同步配置界面HA心跳口可以自由選擇已經(jīng)啟用的路由物理設(shè)備作為HA心跳網(wǎng)口防火墻功能介紹案例8. 會(huì)話管理案例8. 會(huì)話管理會(huì)話管理概述連接管理功能提供狀態(tài)監(jiān)控功能，可以提供連接狀態(tài)統(tǒng)計(jì)、分析、管理功能。（目前沒有