H3C SECPATH F1000-E配置经验心得最近配了H3C SECPAHT F1000-E，江苏万和计算机培训中心小编一些心得拿出来大家分享下

　　1、该防火墙是基于V5平台的，命令上有不少的变化，好像是为了和华为的VRP彻底分家。南京HCIE认证

　　2、如果要实现远程TELNET配置需要设置TELNET SERVER ENABLE，这点我个人觉得安全性不如CISCO的ASA，ASA远程只能通过SSH，telnet只能放在高安全级别的内网。

　　3、安全区域配置需要配置在WEB界面下，以前是在CLI下即可配置，现在取消了在CLI配置，一开始我到处找firewall packet filter default permit 就是没有，也没有firewall zone trust（untrust）命令。

　　4、低安全级别区域访问高安全级别区域现在需要在WEB 方式下：策略管理--访问控制策略--面向对象的ACL中做设置，这个最困扰我，因为H3C以前没有这样配置，网站上也没有这方面介绍。南京HCIE认证

　　5、VPN在WEB上支持IKE，IPSEC，但没有L2TP和GRE，CLI上倒是支持L2TP和GRE；另外不支持DVPN，不知道为什么，因为一贯H3C防火墙在VPN功能上是非常强大的，而且配置起来比CISCO的简单。

　　6、P2P控制无法控制讯雷，这个做售前的需要注意，毕竟这个是防火墙，H3C没有把P2P特征码整合讯雷，因此P2P限速只能限制BT，电驴，MSN等，特征码还需要找H3C办事处工程师索取。

　　7、链路自动侦测命令改称NQA了，具体可以找H3C 800要，或者看吓SR路由器文档，我感觉这方面有点向CISCO靠拢，开始用TRACK了，一开始写实施的时候是用detect-group，结果实施时发现不支持该命令,后找800要了个NQA文档才搞定，查资料，cisco的是SLAnqa entry admin cnc