《防火墙配置培训.pptx》由会员分享,可在线阅读,更多相关《防火墙配置培训.pptx(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华为3Com技术有限公司华为华为华为华为3Com3Com公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播公司版权所有,未经授权不得使用与传播防火墙技术介绍防火墙技术介绍防火墙技术介绍防火墙技术介绍学习目标学习目标学习目标学习目标l防火墙的域和模式防火墙的域和模式l攻攻击击防防范范、包包过过滤滤、黑黑名名单单的的使用方法使用方法学习完本课程,您应该能够了解:学习完本课程,您应该能够了解:2防火墙的模式防火墙的模式防火墙的模式防火墙的模式l路由模式路由模式l为防火墙的以太网接口(以为防火墙的以太网接口(以0/0 为例)配置为例)配置 地址
2、。地址。l 0/0l0/0 192.168.0.1 255.255.255.0l透明模式透明模式l 当当防防火火墙墙工工作作在在透透明明模模式式下下时时,其其所所有有接接口口都都将将工工作作在在第第二二层层,即即不不能能为为接接口口配配置置 地地址址。这这样样,用用户户若若要要对对防防火火墙墙进进行行 管管理理,需需在在透透明明模模式式下下为为防防火火墙墙配配置置一一个个系系统统 地地址址()。用用户户可可以以通通过过此此地地址址对防火墙进行对防火墙进行 管理。缺省情况下,防火墙工作在路由模式。管理。缺省情况下,防火墙工作在路由模式。l(1)配置防火墙工作在透明模式。配置防火墙工作在透明模式。
3、l?l l l l .l 0/0 !l 0/1 !l s .l .l从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的 地址已经被删除。地址已经被删除。l(2)为防火墙配置系统为防火墙配置系统 地址。地址。l 192.168.0.1 255.255.255.0l .l说说明明:当当防防火火墙墙切切换换到到透透明明模模式式时时,系系统统为为防防火火墙墙分分配配了了一一个个缺缺省省系系统统地地址址169.0.0.1/8,可可以以使使用用上上述述命令更改系统命令更改系统 地址。地址。3防火墙的模式防
4、火墙的模式防火墙的模式防火墙的模式l可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。l透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的地址进行各种安全策略的匹配。l相比较而言,路由模式的功能更强大一
5、些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。4防火墙的属性配置命令防火墙的属性配置命令防火墙的属性配置命令防火墙的属性配置命令l打开或者关闭防火墙l|l设置防火墙的缺省过滤模式l l显示防火墙的状态信息l 5在接口上应用访问控制列表在接口上应用访问控制列表在接口上应用访问控制列表在接口上应用访问控制列表l将访问控制列表应用到接口上l指明在接口上是还是方向0访问控制列表101作用在Ethernet0接口在out方向有效0访问控制列表3作用在0接口上在方向上有效6基于时间段的包过滤基于时间段的包过滤基于时间段的包过滤基于时间段的包过滤l“特殊时间段内应用特殊的规则”上班时间(上午8:
6、00 下午5:00)只能访问特定的站点;其余时间可以访问其他站点7时间段的配置命令时间段的配置命令时间段的配置命令时间段的配置命令l 命令l l 命令l .l l显示 命令l l显示 命令l 8访问控制列表的组合访问控制列表的组合访问控制列表的组合访问控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:和。l规则冲突时,若匹配顺序为(深度优先),描述的地址范围越小的规则,将会优先考虑。l深度的判断要依靠通配比较位和地址结合比较l 4 202.38.0.0 0.0.255.255 l 4 202.38.160.1 0.0.0.255 l两条规则结合则表示禁止一个大网段(
7、202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。l规则冲突时,若匹配顺序为,先配置的规则会被优先考虑。9防火墙防火墙防火墙防火墙在测试环境中,划分了最常用的三个安全区域:区域用于连接外部网络;区域放置对外服务器;区域用于连接内部安全网络。DMZ区域Untrust区域SecPathserver BPC 2192.168.1.3/24192.168.1.2/24192.168.1.1/24GigabitEthernet0/1GigabitEthernet0/0Ethernet1/0192.168.3.1/24192.168.2.1/24192.168.3
8、.2/24 区域 1192.168.2.2/24 A10防火墙基本配置防火墙基本配置防火墙基本配置防火墙基本配置:0/0 192.168.3.1 255.255.255.0 0/1 192.168.1.1 255.255.255.0 1/0 192.168.2.1 255.255.255.01:配置配置 地址为地址为192.168.1.3/242:配置配置 地址为地址为192.168.1.2/24 11防火墙的功能演示防火墙的功能演示防火墙的功能演示防火墙的功能演示演示演示项目目功能功能测试演示子演示子项目目协议检测测试说明明 ()是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火
9、墙协同工作,以便于实施内部网络的安全策略。能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。通常在内部网络和外部网络之间应用功能,保证内部主机可以访问外部网络,只有由内部发起连接对应的返回报文才可以进入内部网络,而外部网络不能够直接发起对内部网络的访问。除了完成传统状态防火墙的功能之外,对应用层协议进行检测,安全性更高。本例演示功能对协议的状态检测。预置条件置条件见演示环境及基本配置 20002000 11 120 0/10/1 2000 0/1 1 在2上运行服务器配置步配置步骤1.打开的 开关2.1上运行 程序,登录 B上的 3.查看上的信息,可以看到结果14.执行
10、 查看上的 会话信息,可以看到结果25.等待超时后,可以看到结果36.在 B上到 1上的,可以看到结果4预期期结果果1.信息显示有调试信息*0.103900850 1000 8:0 x264168C4-=83,=32,1331 a.2.查看 存在 会话信息3.超时删除,1不能浏览或上传下载数据到 4.B上不能到内部网络的主机上。12防火墙的功能演示防火墙的功能演示防火墙的功能演示防火墙的功能演示演示演示项目目功能测试演示子演示子项目目协议测试演示演示说明明本例演示功能对协议的状态检测。预置条件置条件见演示环境及基本配置 20002000 11 120 0/10/1 2000 0/1 1 在2上
11、运行服务器测试步步骤1.打开的 开关2.1 登录到 B3.查看上的信息,可以看到结果14.执行 查看上的 会话信息,可以看到结果25.等待超时后,可以看到结果36.在1上启动服务,从 B上1,可以看到结果4预期期结果果1.信息显示有调试信息2.查看 存在 会话信息3.超时删除,连接断开4.不成功13防火墙的功能演示防火墙的功能演示防火墙的功能演示防火墙的功能演示演示演示项目目攻击防范测试演示子演示子项目目 攻击防范测试 攻击防范测试演示演示说明明 攻击者短时间内用大量的消息(如)和报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。本测试验证防火墙对 攻击的阻断,配置中保
12、护中的主机不会受到 攻击的影响。预置条件置条件见演示环境及基本配置 1000 或 100 演示步演示步骤1在 B 上(环境下可以使用2程序)发送大量的报文到 A上。2在 A上使用抓包工具抓包,可以看到结果13在上取消 攻击防范功能:在上发送大量的报文,同时在上抓包,可以看到结果2预期期结果果1.上接收到少量的报文.同时在上会看到 攻击 攻击报警 2.上接收到大量的攻击报文14防火墙的功能演示防火墙的功能演示防火墙的功能演示防火墙的功能演示演示演示项目目地址绑定测试演示子演示子项目目地址绑定功能测试演示演示说明明和地址绑定,指防火墙可以根据用户的配置,在特定的地址和地址之间形成关联关系。对于声称
13、从这个发送的的报文,如果其地址不是指定关系对中的地址,防火墙将予以丢弃,发送给这个地址的报文,在通过防火墙时将被强制发送给这个地址。从而形成有效的保护,是避免地址假冒攻击的一种方式。本演示验证防火墙地址绑定的功能。预置条件置条件见测试环境及基本配置(假设2的地址为0000-1000-10000)192.168.1.2 0000-1000-1000 演示步演示步骤1在 2 上 A 或者,可以看到结果12关闭2的网口,把1的地址修改为2的地址:192.168.1.2,然后从1上 或者,可以看到结果2预期期结果果1.2能够和或者通讯 2.1不可以和或者通讯15l()是针对应用层的包过滤,即基于状态的
14、报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。l为保护网络安全,基于规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。能够检测应用层协议的信息,并对应用的流量进行监控。16l能够l监测、H.323、的流量l(,拒绝服务)的检测和防范。l(阻断)保护网络不受有害 的破坏。l(阻断)保护网络不受有害的破坏。l支持端口到应用的映射,为基于应用层协议的服务指定非通用端口。l增强的会话日志功能。可以对所有的连接进行记录,包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。17攻击类型简介攻击
15、类型简介攻击类型简介攻击类型简介l单报文攻击单报文攻击l l 18攻击类型简介攻击类型简介攻击类型简介攻击类型简介l分片报文攻击l l l拒绝服务类攻击l l&l扫描l l 19单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-1-1l l特征:报文,目的端口特征:报文,目的端口特征:报文,目的端口特征:报文,目的端口7 7()或()或()或()或1919()l l目的:服务会将发送给这个端口的报文再次发送回去目的:服务会将发送给这个端口的报文再次发送回去目的:服务会将发送给这个端口的报文再次发送回去目的:服务会将发送给这个端口的报文再次发送回去l l 服务会回复无效的
16、字符串服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串l l攻攻攻攻击击击击者者者者伪伪伪伪冒冒冒冒受受受受害害害害者者者者地地地地址址址址,向向向向目目目目的的的的地地地地址址址址为为为为广广广广播播播播地地地地址址址址的的的的上上上上述述述述端端端端口口口口,发送请求,会导致受害者被回应报文泛滥攻击发送请求,会导致受害者被回应报文泛滥攻击发送请求,会导致受害者被回应报文泛滥攻击发送请求,会导致受害者被回应报文泛滥攻击l l如如如如果果果果将将将将二二二二者者者者互互互互指指指指,源源源源、目目目目的的的的都都都都是是是是广广广广播播播播地地地地址址址址,会会会会造造造造成
17、成成成网网网网络络络络带带带带宽宽宽宽被被被被占满占满占满占满l l配置:配置:配置:配置:l l原理:过滤类型的目的端口号为原理:过滤类型的目的端口号为原理:过滤类型的目的端口号为原理:过滤类型的目的端口号为7 7或或或或1919的报文的报文的报文的报文20单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-2-2l l l l特征:地址伪冒特征:地址伪冒特征:地址伪冒特征:地址伪冒l l目的:伪造地址发送报文目的:伪造地址发送报文目的:伪造地址发送报文目的:伪造地址发送报文l l配置:配置:配置:配置:l l原原原原理理理理:对对对对源源源源地地地地址址址址进进进进行
18、行行行路路路路由由由由表表表表查查查查找找找找,如如如如果果果果发发发发现现现现报报报报文文文文进进进进入入入入接接接接口口口口不不不不是是是是本机所认为的这个地址的出接口,丢弃报文本机所认为的这个地址的出接口,丢弃报文本机所认为的这个地址的出接口,丢弃报文本机所认为的这个地址的出接口,丢弃报文21单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-3-3l l特特特特征征征征:源源源源目目目目的的的的地地地地址址址址都都都都是是是是受受受受害害害害者者者者的的的的地地地地址址址址,或或或或者者者者源源源源地地地地址址址址为为为为127127这这这这个个个个网段的地址网段
19、的地址网段的地址网段的地址l l目的:导致被攻击设备向自己发送响应报文,通常用在目的:导致被攻击设备向自己发送响应报文,通常用在目的:导致被攻击设备向自己发送响应报文,通常用在目的:导致被攻击设备向自己发送响应报文,通常用在 攻击中攻击中攻击中攻击中l l配置:配置:配置:配置:l l防范原理:对符合上述特征的报文丢弃防范原理:对符合上述特征的报文丢弃防范原理:对符合上述特征的报文丢弃防范原理:对符合上述特征的报文丢弃22单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-4-4l l特征:伪冒受害者地址向广播地址发送特征:伪冒受害者地址向广播地址发送特征:伪冒受害者地址
20、向广播地址发送特征:伪冒受害者地址向广播地址发送 l l目的:使受害者被网络上主机回复的响应淹没目的:使受害者被网络上主机回复的响应淹没目的:使受害者被网络上主机回复的响应淹没目的:使受害者被网络上主机回复的响应淹没l l配置:配置:配置:配置:l l原理:丢弃目的地址为广播地址的报文原理:丢弃目的地址为广播地址的报文原理:丢弃目的地址为广播地址的报文原理:丢弃目的地址为广播地址的报文23单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-5-5l l l l特特特特征征征征:报报报报文文文文的的的的所所所所有有有有可可可可设设设设置置置置的的的的标标标标志志志志都都都都
21、被被被被标标标标记记记记,明明明明显显显显有有有有冲冲冲冲突突突突。比比比比如如如如同时设置、等位同时设置、等位同时设置、等位同时设置、等位l l目的:使被攻击主机因处理错误死机目的:使被攻击主机因处理错误死机目的:使被攻击主机因处理错误死机目的:使被攻击主机因处理错误死机l l配置:配置:配置:配置:l l原理:丢弃符合特征的报文原理:丢弃符合特征的报文原理:丢弃符合特征的报文原理:丢弃符合特征的报文24单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-6-6l l特特特特征征征征:设设设设置置置置了了了了分分分分片片片片标标标标志志志志的的的的报报报报文文文文,或或
22、或或针针针针对对对对139139端端端端口口口口的的的的设设设设置置置置了了了了标标标标志志志志的报文的报文的报文的报文l l目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机l l配置:配置:配置:配置:l l原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文25单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范单包攻击原理及防范-7-7l l特征:同时设置了和标志,或偏移量加报文长度超过特征:同时设置了和标志,或偏移量加报文长度超过特征:同时设置了
23、和标志,或偏移量加报文长度超过特征:同时设置了和标志,或偏移量加报文长度超过6553565535l l目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机l l配置:配置:配置:配置:l l原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文原理:丢弃符合上述特征报文26分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范-1-1l l l l特征:分片报文后片和前片发生重叠特征:分片报文后片和前片发生重叠特征:分片报文后片和前片发生重叠特征:分片报
24、文后片和前片发生重叠l l目目目目的的的的:使使使使被被被被攻攻攻攻击击击击设设设设备备备备因因因因处处处处理理理理不不不不当当当当而而而而死死死死机机机机或或或或使使使使报报报报文文文文通通通通过过过过重重重重组组组组绕绕绕绕过过过过防火墙访问内部端口防火墙访问内部端口防火墙访问内部端口防火墙访问内部端口l l配置:配置:配置:配置:l l原原原原理理理理:防防防防火火火火墙墙墙墙为为为为分分分分片片片片报报报报文文文文建建建建立立立立数数数数据据据据结结结结构构构构,记记记记录录录录通通通通过过过过防防防防火火火火墙墙墙墙的的的的分分分分片报文的偏移量,一点发生重叠,丢弃报文片报文的偏移量
25、,一点发生重叠,丢弃报文片报文的偏移量,一点发生重叠,丢弃报文片报文的偏移量,一点发生重叠,丢弃报文27分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范分片报文攻击原理及防范-2-2l l l l特征:报文全长超过特征:报文全长超过特征:报文全长超过特征:报文全长超过6553565535l l目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机目的:使被攻击设备因处理不当而死机l l配置:配置:配置:配置:l l原原原原理理理理:检检检检查查查查报报报报文文文文长长长长度度度度如如如如果果果果最最最最后后后后分分分分片片片片的
26、的的的偏偏偏偏移移移移量量量量和和和和本本本本身身身身长长长长度度度度相相相相加加加加超超超超过过过过6553565535,丢弃该分片,丢弃该分片,丢弃该分片,丢弃该分片28拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范-1-1l l l l特征:向受害主机发送大量连接请求报文特征:向受害主机发送大量连接请求报文特征:向受害主机发送大量连接请求报文特征:向受害主机发送大量连接请求报文l l目目目目的的的的:使使使使被被被被攻攻攻攻击击击击设设设设备备备备消消消消耗耗耗耗掉掉掉掉所所所所有有有有处处处处理理理理能能能能力力力力,无无无无法法法法响响响响应
27、应应应正正正正常常常常用用用用户户户户的请求的请求的请求的请求l l配置:配置:配置:配置:l l l l|l l l l原原原原理理理理:防防防防火火火火墙墙墙墙基基基基于于于于目目目目的的的的地地地地址址址址统统统统计计计计对对对对每每每每个个个个地地地地址址址址收收收收到到到到的的的的连连连连接接接接请请请请求求求求进进进进行行行行代代代代理理理理,代代代代替替替替受受受受保保保保护护护护的的的的主主主主机机机机回回回回复复复复请请请请求求求求,如如如如果果果果收收收收到到到到请请请请求求求求者者者者的的的的报报报报文文文文,认为这是有效连接,在二者之间进行中转,否则删掉该会话认为这是有
28、效连接,在二者之间进行中转,否则删掉该会话认为这是有效连接,在二者之间进行中转,否则删掉该会话认为这是有效连接,在二者之间进行中转,否则删掉该会话29拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范拒绝服务攻击原理及防范-2-2小小小小l l l l特征:向受害主机发送大量报文特征:向受害主机发送大量报文特征:向受害主机发送大量报文特征:向受害主机发送大量报文l l目的:使被攻击设备消耗掉所有处理能力目的:使被攻击设备消耗掉所有处理能力目的:使被攻击设备消耗掉所有处理能力目的:使被攻击设备消耗掉所有处理能力l l配置:配置:配置:配置:l l l l|l l l l原原原原理
29、理理理:防防防防火火火火墙墙墙墙基基基基于于于于目目目目的的的的地地地地址址址址统统统统计计计计对对对对每每每每个个个个地地地地址址址址收收收收到到到到的的的的报报报报文文文文速速速速率率率率,超过设定的阈值上限,进行超过设定的阈值上限,进行超过设定的阈值上限,进行超过设定的阈值上限,进行30扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范-1-1l l l l特征:地址扫描,向一个网段内的地址发送报文特征:地址扫描,向一个网段内的地址发送报文特征:地址扫描,向一个网段内的地址发送报文特征:地址扫描,向一个网段内的地址发送报文 l l目目目目的的的的:用用用用以以以以判
30、判判判断断断断是是是是否否否否存存存存在在在在活活活活动动动动的的的的主主主主机机机机以以以以及及及及主主主主机机机机类类类类型型型型等等等等信信信信息息息息,为为为为后续攻击作准备后续攻击作准备后续攻击作准备后续攻击作准备l l配置:配置:配置:配置:l l l l l l原原原原理理理理:防防防防火火火火墙墙墙墙根根根根据据据据报报报报文文文文源源源源地地地地址址址址进进进进行行行行统统统统计计计计,检检检检查查查查某某某某个个个个地地地地址址址址向向向向外外外外连连连连接接接接速速速速率率率率,如如如如果果果果这这这这个个个个速速速速率率率率超超超超过过过过了了了了阈阈阈阈值值值值上上上
31、上限限限限,则则则则可可可可以以以以将将将将这这这这个个个个地地地地址址址址添添添添加到黑名单中进行隔离加到黑名单中进行隔离加到黑名单中进行隔离加到黑名单中进行隔离l l注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单31扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范扫描攻击原理和防范-2-2l l l l特征:相同一个地址的不同端口发起连接特征:相同一个地址的不同端口发起连接特征:相同一个地址的不同端口发起连接特征:相同一个地址的不同端口发起
32、连接l l目的:确定被扫描主机开放的服务,为后续攻击做准备目的:确定被扫描主机开放的服务,为后续攻击做准备目的:确定被扫描主机开放的服务,为后续攻击做准备目的:确定被扫描主机开放的服务,为后续攻击做准备l l配置:配置:配置:配置:l l l l l l原原原原理理理理:防防防防火火火火墙墙墙墙根根根根据据据据报报报报文文文文源源源源地地地地址址址址进进进进行行行行统统统统计计计计,检检检检查查查查某某某某个个个个地地地地址址址址向向向向同同同同一一一一个个个个地地地地址址址址发发发发起起起起连连连连接接接接的的的的速速速速率率率率,如如如如果果果果这这这这个个个个速速速速率率率率超超超超过过
33、过过了了了了阈阈阈阈值值值值上上上上限限限限,则则则则可可可可以将这个地址添加到黑名单中进行隔离以将这个地址添加到黑名单中进行隔离以将这个地址添加到黑名单中进行隔离以将这个地址添加到黑名单中进行隔离l l注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单注意:如果要启用黑名单隔离功能,需要先启动黑名单32防火墙防范的其他报文防火墙防范的其他报文防火墙防范的其他报文防火墙防范的其他报文l l l l l l l l l l 33华为3Com技术有限公司华为3Com公司网址:www.huawei-华为3Com技术论坛网址:forum.huawei-34