天融信防火墻日常維護(hù)及常見問題

1、天融信防火墻日常維護(hù)及常見問題綜述:防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供 安全保護(hù)，對于企業(yè)關(guān)鍵的實時業(yè)務(wù)系統(tǒng)，要求網(wǎng)絡(luò)能夠提供 7*24 小時的不間 斷保護(hù)，保持防火墻系統(tǒng)可靠運(yùn)行及在故障情況下快速診斷恢復(fù)成為維護(hù)人員的 工作重點。天融信防火墻提供了豐富的冗余保護(hù)機(jī)制和故障診斷、排查方法，通過日常 管理維護(hù)可以使防火墻運(yùn)行在可靠狀態(tài)， 在故障情況下通過有效故障排除路徑能 夠在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)運(yùn)行。本文對天融信防火墻日常維護(hù)進(jìn)行較系統(tǒng)的總 結(jié)，為防火墻維護(hù)人員提供設(shè)備運(yùn)維指導(dǎo)。防火墻的連接方式產(chǎn)品外形硬件一臺串口管理機(jī)Route接 COM 口?外形： 19寸1U

2、 標(biāo)準(zhǔn)機(jī)箱Swich 、Hub直通PC1-1 產(chǎn)品提供的附件及線纜使用方式? CONSOL線E 纜? UTP5雙絞線- 直通 （1 條，顏色 : 灰色 ）- 交叉 （1 條，顏色 : 紅色 ）使用 : 直通 : 與 HUB/SWITCH 交叉 : 與路由器 / 主機(jī)（ 一些高端交換機(jī)也可以通過交叉線與 防火墻連接 ）? 軟件光盤? 上架附件6二、 防火墻的工作狀態(tài) 網(wǎng)絡(luò)衛(wèi)士防火墻的硬件設(shè)備安裝完成之后，就可以上電了。在工作過程中， 具用戶可以根據(jù)網(wǎng)絡(luò)衛(wèi)士防火墻面板上的指示燈來判斷防火墻的工作狀態(tài)， 體請見下表：2-1 防火墻安裝前的準(zhǔn)備 在安裝防火墻之前必須弄清楚的幾個問題：1、路由走向 （包

3、括防火墻及其相關(guān)設(shè)備的路由調(diào)整 ） 確定防火墻的工作模式：路由、透明、綜合。2、IP地址的分配 （包括防火墻及其相關(guān)設(shè)備的 IP地址分配） 根據(jù)確定好的防火墻的工作模式給防火墻分配合理的 IP 地址3、數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向 （各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號或者協(xié)議類 型）4、要達(dá)到的安全目的 （即要做什么樣的訪問控制 ）防火墻的管理及登錄方式串口（console管） 理方式： 管理員為空，回車后直接輸入口令即可，初始口令talent,用 passwd修改管理員密碼，請牢記修改后的密碼。WEBUI管理方式： 超級管理員 :superman，口令:talentTELNET管理方式：模擬 co

4、nsole管理方式，用戶名 superman，口令： talent SSH管理方式：模擬 console管理方式，用戶名 superman，口令： talent3-1 防火墻的 WEBUI管理方式在瀏覽器輸入： ，看到下列提示，選擇“是”輸入用戶名和密碼后，按“提交”按鈕3-2 防火墻的 CONSOLE管理方式 超級終端參數(shù)設(shè)置：防火墻的命令菜單：防火墻的 CONSOLE 管理方式1防火墻的 CONSOLE 管理方式輸入 helpmode 可以看到中文化菜單chinese命令22四、 防火墻日常維護(hù)防火墻輔助功能查看防火墻基本信息注：如果鏈路狀態(tài)是紅色的話表示鏈路有問題，請查看設(shè)備物理連接查看

5、防火墻運(yùn)行狀態(tài)圖1注：通過系統(tǒng)狀態(tài)的查看可以查看設(shè)備是否正常工作，以及CPU 和內(nèi)存的使用系統(tǒng)圖2注：在當(dāng)前連接里面能看到連接的話表示防火墻的通訊是正常的；4-1 如何修改防火墻口令設(shè)備支持多級用戶管理，不同類型的用戶具有不同的操作權(quán)限。用戶權(quán)限基本 可分為三種：超級管理員、管理用戶與審計用戶。超級管理員是系統(tǒng)的內(nèi)建帳號，具有全部的功能權(quán)限；管理用戶可以設(shè)定和查看規(guī)則，但沒有綜合配置 （例如分配管理員、配置維護(hù)等）的權(quán)限。審計用戶權(quán)限最小，只可以查看已 有規(guī)則，沒有添加和修改規(guī)則的權(quán)限。五、 天融信防火墻維護(hù)指南5-1 常規(guī)維護(hù)：在防火墻的日常維護(hù)中， 通過對防火墻進(jìn)行健康檢查， 能夠?qū)崟r了解

6、天融信 防火墻運(yùn)行狀況，檢測相關(guān)告警信息，提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患， 以確保設(shè)備始終處于正常工作狀態(tài)。1、日常維護(hù)過程中，需要重點檢查以下幾個關(guān)鍵信息： 連接數(shù)：如當(dāng)前的連接數(shù)達(dá)到或接近系統(tǒng)最大值， 將導(dǎo)致新會話不能及時建 立連接，此時已經(jīng)建立連接的通訊雖不會造成影響；但僅當(dāng)現(xiàn)有的連接拆除后， 釋放出來的資源才可供新建連接使用。 維護(hù)建議：當(dāng)當(dāng)前連接數(shù)正常使用至 85 時，需要考慮設(shè)備容量限制并及時升級，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU: 天融信防火墻是高性能的防火墻，正常工作狀態(tài)下防火墻 CPU使用率 應(yīng)保持在 10%以下，如出現(xiàn) CPU利用率過高情況需給予足夠重視，應(yīng)檢

7、查連接數(shù) 使用情況和各類告警信息，并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下 CPU 利用率過高往往與攻擊有關(guān)， 可通過正確設(shè)置系統(tǒng)參數(shù)、 攻擊防護(hù)的對應(yīng)選項進(jìn) 行防范。內(nèi)存 : 天融信防火墻對內(nèi)存的使用把握得十分準(zhǔn)確， 正常情況下， 內(nèi)存的使 用率應(yīng)基本保持穩(wěn)定，不會出現(xiàn)較大的浮動。如果出現(xiàn)內(nèi)存使用率過高（>90%）時，可以查看連接數(shù)情況， 或通過實時監(jiān)控功能檢查網(wǎng)絡(luò)中是否存在異常流量和 攻擊流量。2、在業(yè)務(wù)使用高峰時段檢查防火墻關(guān)鍵資源（如： Cpu、連接數(shù)、內(nèi)存和接 口流量）等使用情況， 建立網(wǎng)絡(luò)中業(yè)務(wù)流量對設(shè)備資源使用的基準(zhǔn)指標(biāo)， 為今后 確認(rèn)網(wǎng)絡(luò)是否處于正常運(yùn)行狀態(tài)提供參照依據(jù)。

8、 當(dāng)連接數(shù)數(shù)量超過平?；鶞?zhǔn)指標(biāo) 20時，需通過實時監(jiān)控檢查當(dāng)前網(wǎng)絡(luò)是否存在異常流量。 當(dāng) Cpu 占用超過平常 基準(zhǔn)指標(biāo) 20時，需查看異常流量、定位異常主機(jī)、檢查策略是否優(yōu)化。3、防火墻健康檢查信息表：設(shè)備型號軟件版本序列號設(shè)備用途防火墻設(shè)備狀態(tài)主用 /備用工作模式透明 /路由 /混合檢查對象相關(guān)信息檢查結(jié)果備注連接數(shù)CPU內(nèi)存Interface路由表HA 狀態(tài)LED 指示燈設(shè)備運(yùn)行參考基線連接數(shù)Cpu內(nèi)存接口流量業(yè)務(wù)類型常規(guī)維護(hù)建議：1、配置管理 IP 地址，指定專用終端管理防火墻；2、更改默認(rèn)賬號和口令，不建議使用缺省的賬號、密碼管理防火墻；嚴(yán)格按照 實際使用需求開放防火墻的相應(yīng)的管理權(quán)

9、限， 并且管理權(quán)限的開放控制粒度越細(xì) 越安全；設(shè)置兩級管理員賬號并定期變更口令； 僅容許使用 SSH和 SSL方式登陸 防火墻進(jìn)行管理維護(hù)。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng) 絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類型等）， 以便網(wǎng)絡(luò)異常時快速定位故障。4、整理一份上下行交換機(jī)配置備份文檔 （調(diào)整其中的端口地址和路由指向） ，提 供備用網(wǎng)絡(luò)連線。 防止防火墻發(fā)生硬件故障時能夠快速旁路防火墻， 保證業(yè)務(wù)正 常使用。5、在日常維護(hù)中建立防火墻資源使用參考基線， 為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個故障告警信息，在

10、第一時間修復(fù)故障隱患。7、建立設(shè)備運(yùn)行檔案，為配置變更、事件處理提供完整的維護(hù)記錄，定期評估 配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的 問題和應(yīng)對措施， 條件允許情況下， 可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類故障時的處 理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機(jī)故障時的路徑保護(hù)切換。9、設(shè)備運(yùn)行檔案表設(shè)備型號軟件版本設(shè)備序列號設(shè)備用途防火墻設(shè)備狀態(tài)主用/備用工作模式透明/路由/混合保修期限供應(yīng)商聯(lián)系方式配置變更變更原因變更內(nèi)容結(jié)果負(fù)責(zé)人事件處 理事件現(xiàn)象處理過程結(jié)果負(fù)責(zé)人應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位

11、故障是否與防火墻有關(guān)。 如果故障與防火墻有關(guān)， 可首先檢查防火墻的、 地址轉(zhuǎn) 換策略、訪問控制策略、 路由等是否按照實際使用需求配置， 檢驗策略配置是否 存在問題。 一旦定位防火墻故障， 可通過命令進(jìn)行雙機(jī)切換， 單機(jī)環(huán)境下發(fā)生故 障時利用備份的交換機(jī) / 路由器配置，快速旁路防火墻。在故障明確定位前不要 關(guān)閉防火墻。1、檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時， 應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài)， 通過管理器登陸到防火墻 上，快速查看 CPU、內(nèi)存、連接數(shù)、 Interface 以及相應(yīng)信息，初步排除防火墻 硬件故障并判斷是否存在攻擊行為。2、跟蹤防火墻對數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無法正常訪問， 順序

12、檢查接口狀態(tài)、 路由和策略配置是否有 誤，在確認(rèn)上述配置無誤后， 通過 tcpdump 命令檢查防火墻對特定網(wǎng)段數(shù)據(jù)報處 理情況。部分地址無法通過防火墻往往與策略配置有關(guān)。3、檢查是否存在攻擊流量通過實時監(jiān)控確認(rèn)是否有異常流量， 同時在上行交換機(jī)中通過端口鏡像捕獲進(jìn) 出網(wǎng)絡(luò)的數(shù)據(jù)包， 據(jù)此確認(rèn)異常流量和攻擊類型， 并在選項設(shè)置、 入侵防護(hù)等項 目中啟用對應(yīng)防護(hù)措施來屏蔽攻擊流量。4、防火墻發(fā)生故障時處理方法如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無法使用 console 口登陸防火墻，防火墻反復(fù)啟動、無法建立 ARP表、接口狀態(tài)始終為 Down、 無法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)

13、業(yè)務(wù)，可通過調(diào)整上下行設(shè)備路由指向， 快速將防火墻旁路，同時聯(lián)系供應(yīng)商進(jìn)行故障診斷?？偨Y(jié)改進(jìn)故障處理后的總結(jié)與改進(jìn)是進(jìn)一步鞏固網(wǎng)絡(luò)可靠性的必要環(huán)節(jié)， 有效的總結(jié)能夠 避免很多網(wǎng)絡(luò)故障再次發(fā)生。1、在故障解決后， 需要進(jìn)一步總結(jié)故障產(chǎn)生原因， 并確認(rèn)該故障已經(jīng)得到修復(fù)， 避免故障重復(fù)發(fā)生。2、條件容許的情況下，構(gòu)建防火墻業(yè)務(wù)測試環(huán)境，對所有需要調(diào)整的配置參數(shù) 在上線前進(jìn)行測試評估，避免因配置調(diào)整帶來新的故障隱患。3、分析網(wǎng)絡(luò)可能存在的薄弱環(huán)節(jié)和潛在隱患，通過技術(shù)論證和測試驗證來修復(fù) 隱患。5-2 故障處理工具天融信防火墻提供靈活多樣的維護(hù)方式， 其中故障處理時最有用的兩個工具 是實時監(jiān)控功能和

14、tcpdump，實時監(jiān)控功能用于實時查看網(wǎng)絡(luò)當(dāng)前的連接情況， 可以快速定位存在異常流量的 IP 主機(jī)或攻擊源主機(jī)， tcpdump 用于跟蹤防火墻 對指定包的處理。下面簡要介紹一下兩個工具的使用方法。Tcpdump: 捕獲進(jìn)出防火墻的數(shù)據(jù)包1、TFW支持 TCPDUM命P令；2、直接在串口登陸界面下或 telnet 到防火墻界面下，即可使用 tcpdump 命令； 在串口登陸或 telnet 登陸后，先敲 system 回車，進(jìn)入系統(tǒng)目錄才可以使用 tcpdump 命令。3、Tcpdump語法中存在三種主要的關(guān)鍵字： 第一種是關(guān)于類型的關(guān)鍵字， 主要包括 host ，net ，port ， 例

15、如 host ，指明 是一臺主機(jī)， net 指明 是一個網(wǎng)絡(luò)地址， port 23 指明端口號是 23. 如果沒有指定類型，缺省的類型是 host.第二種 是確定 傳輸方向 的關(guān)鍵字，主要包括 src ， dst ，dst or src ， dst and src ，這些關(guān)鍵字指明了傳輸?shù)姆较?。舉例說明， src ，指明 ip 包中源 地址是 ， dst net 指明目 的網(wǎng)絡(luò)地址是 如果沒有指明方向關(guān)鍵字，則缺省是 src or dst 關(guān)鍵字。第三種是協(xié)議的關(guān)鍵字，主要包括 fddi ，ip ，arp ，rarp ，tcp ，udp等類型。 Fddi 指明是在 FDDI（分布式光纖數(shù)據(jù)接口

16、網(wǎng)絡(luò)）上的特定的網(wǎng)絡(luò)協(xié)議，實際上它是 "ether" 的別名，fddi 和 ether 具有類似的源地址和目的地址， 所以可以將 fddi 協(xié)議包當(dāng)作 ether 的包進(jìn)行處理和分析。 其他的幾個關(guān)鍵字就是指明了監(jiān)聽的包 的協(xié)議內(nèi)容。如果沒有指定任何協(xié)議，則 tcpdump 將會監(jiān)聽所有協(xié)議的信息包。4、邏輯運(yùn)算 除了這三種類型的關(guān)鍵字之外， 其他重要的關(guān)鍵字如下： gateway， broadcast ， less ，greater ，還有三種邏輯運(yùn)算，取非運(yùn)算是 'not '' ！ ' ， 與運(yùn)算是 'and' ，'

17、;&&' ；或運(yùn)算 是'or' ，' ' ；這些關(guān)鍵字可以組 合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要，下面舉幾個例子來說明。5、使用例子：例 1 ：在 eth1 口抓包，只顯示地址為 和 icmp 協(xié)議的報文。Tcpdump i eth1 host and icmp例 2 ：在所有的接口抓包，不顯示 4000 端口的管理報文，和 23 端口的 telnet 報文。Tcpdump i any not port 4000 and not port 23（在同時管理的時候很實用）例 3 ：在 eth1 口抓包，顯示地址為 或 的報文。Tcpd

18、ump i eth1 host or host （針對 MAP前后的地址同時抓包定位時非常實用）例 4 ：在所有的接口抓包，顯示地址為 報文。Tcpdump |grep host （在 adls 環(huán)境中非常實用，封裝了 PPPOE的報文也能抓到，但是 TOS不支持 grep 的參數(shù)了）在 tos 系統(tǒng)中， X86 的平臺下才有抓包的工具， n 表示不需要域名解析，加快 抓包的速度。并且-evv 比老的 4k 系統(tǒng)中，能抓到更多的信息，其中還包括校驗和。例 5：System tcpdump i any evv -n （ TOS系統(tǒng)中最后必須加 -n 的參數(shù)， 才能保證抓包的速度）例 6：Syst

19、em tcpdump i ipsec0 -n（ TOS支持在 ipsec0 中抓包，來判斷數(shù)據(jù)流是否進(jìn)入隧道）例 7： System tcpdump i ppp0 -n（ TOS支持在 ppp0 中抓包，來判斷數(shù)據(jù)流是否進(jìn)入 PPPoE的封裝） 實時監(jiān)控功能：實時查看進(jìn)出防火墻的連接情況 1、天融信防火墻支持實時監(jiān)控功能， 可以實時了解當(dāng)前經(jīng)過防火墻的連接情況， 其可以查看的內(nèi)容有需：源 IP地址、目的 IP 地址、源端口、目的端口、連 接建立時間、接收的流量、發(fā)送的流量、 NAT轉(zhuǎn)換后的地址、連接屬性等等 內(nèi)容。2、查看實時監(jiān)控需要在防火墻上開放相應(yīng)的權(quán)限，老 4K 系統(tǒng)開放權(quán)限過程為： 選

20、項設(shè)置安全設(shè)備登陸控制增加一個客戶類型為監(jiān)控器的管理項即可 （具體參考老 4K 用戶手冊）；TOS防火墻開放監(jiān)控權(quán)限過程為：系統(tǒng)開放 服務(wù)增加一個權(quán)限為 GUI 管理的項目即可（具體參見 TOS防火墻用戶手 冊）；3、老 4K 防火墻直接通過集中管理器實時監(jiān)控連接信息啟動監(jiān)控即可， TOS 系統(tǒng)需要通過管理中心的安全工具登陸防火墻，再啟用連接監(jiān)控啟動即 可；4、實時監(jiān)控功能支持按照各個監(jiān)控內(nèi)容排序顯示，通過實時監(jiān)控功能可以很快 的定位處異常主機(jī)。5、實時監(jiān)控可以設(shè)置監(jiān)控的過濾條件（具體見用戶使用手冊） ；5-3 策略配置與優(yōu)化防火墻策略優(yōu)化與調(diào)整是網(wǎng)絡(luò)維護(hù)工作的重要內(nèi)容， 策略是否優(yōu)化將對設(shè)備

21、運(yùn) 行性能產(chǎn)生顯著影響。 考慮到企業(yè)中業(yè)務(wù)流向復(fù)雜、 業(yè)務(wù)種類往往比較多， 因此 建議在設(shè)置策略時盡量保證統(tǒng)一規(guī)劃以提高設(shè)置效率， 提高可讀性， 降低維護(hù)難 度。策略配置與維護(hù)需要注意地方有：試運(yùn)行階段最后一條策略定義為所有訪問允許并記錄日志， 以便在不影響 業(yè)務(wù)的情況下找漏補(bǔ)遺；當(dāng)確定把所有的業(yè)務(wù)流量都調(diào)查清楚并放行后， 可將最后一條定義為所有訪問禁止并記錄日志， 以便在試運(yùn)行階段觀察非 法流量行蹤。試運(yùn)行階段結(jié)束后，再將最后一條“禁止所有訪問”策略刪 除。防火墻按從上至下順序搜索策略表進(jìn)行策略匹配， 策略順序?qū)B接建立速 度會有影響， 建議將流量大的應(yīng)用和延時敏感應(yīng)用放于策略表的頂部， 將

22、 較為特殊的策略定位在不太特殊的策略上面。策略配置中的 Log（記錄日志 ）選項可以有效進(jìn)行記錄、排錯等工作，但啟 用此功能會耗用部分資源。 建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用， 或僅在 必要時采用。簡化的策略表不僅便于維護(hù)， 而且有助于快速匹配。 盡量保持策略表簡潔 和簡短， 規(guī)則越多越容易犯錯誤。 通過定義地址組和服務(wù)組可以將多個單 一策略合并到一條組合策略中。策略用于區(qū)域間單方向網(wǎng)絡(luò)訪問控制。 如果源區(qū)域和目的區(qū)域不同， 則防 火墻在區(qū)域間策略表中執(zhí)行策略查找。 如果源區(qū)域和目的區(qū)域相同并啟用 區(qū)域內(nèi)阻斷， 則防火墻在區(qū)域內(nèi)部策略表中執(zhí)行策略查找。 如果在區(qū)域間 或區(qū)域內(nèi)策略表中沒有找到匹

23、配策略， 則安全設(shè)備會檢查相關(guān)區(qū)域的缺省 訪問權(quán)限以查找匹配策略。策略變更控制。組織好策略規(guī)則后，應(yīng)寫上注釋并及時更新。注釋可以幫 助管理員了解每條策略的用途， 對策略理解得越全面， 錯誤配置的可能性 就越小。如果防火墻有多個管理員，建議策略調(diào)整時，將變更者、變更具 體時間、變更原因加入注釋中，便于后續(xù)跟蹤維護(hù)。5-4 攻擊防御天融信防火墻利用入侵防護(hù)功能抵御互聯(lián)網(wǎng)上流行的 DoS/DDoS的攻擊，一些 流行的攻擊手法有 Synflood ， Udpflood ，Smurf， Ping of Death ，Land Attack 等，防火墻在抵御這些攻擊時，會消耗防火墻一部分的系統(tǒng)資源，所以，

24、在網(wǎng)絡(luò) 正常情況下，一般不推薦使用，但是當(dāng)網(wǎng)絡(luò)確實存在這些類型的攻擊數(shù)據(jù)流時， 我們可以適當(dāng)開啟這些抗攻擊選項， 可以有效的保護(hù)各種應(yīng)用服務(wù)器。 如果希望 開啟其它選項，在開啟這些防護(hù)功能前有幾個因素需要考慮：抵御攻擊的功能會占用防火墻部分 CPU資源；自行開發(fā)的一些應(yīng)用程序中，可能存在部分不規(guī)范的數(shù)據(jù)包格式； 網(wǎng)絡(luò)環(huán)境中可能存在非常規(guī)性設(shè)計。如果因選擇過多的防攻擊選項而大幅降低了防火墻處理能力， 則會影響正常網(wǎng)絡(luò) 處理的性能；如果自行開發(fā)的程序不規(guī)范，可能會被 IP 數(shù)據(jù)包協(xié)議異常的攻擊 選項屏蔽；非常規(guī)的網(wǎng)絡(luò)設(shè)計也會出現(xiàn)合法流量被屏蔽問題。要想有效發(fā)揮天融信防火墻的攻擊防御功能， 需要對網(wǎng)

25、絡(luò)中流量和協(xié)議類型有 比較充分的認(rèn)識， 同時要理解每一個防御選項的具體含義， 避免引發(fā)無謂的網(wǎng)絡(luò) 故障。防攻擊選項的啟用需要采用 逐步逼近 的方式，一次僅啟用一個防攻擊選項， 然后觀察設(shè)備資源占用情況和防御結(jié)果， 在確認(rèn)運(yùn)行正常后再考慮按需啟用另一 個選項。建議采用以下順序漸進(jìn)實施防攻擊選項：設(shè)置防范 DDoS Flood 攻擊選項 根據(jù)掌握的正常運(yùn)行時的網(wǎng)絡(luò)流量、會話數(shù)量以及數(shù)據(jù)包傳輸量的值， 在防范 DDoS的選項上添加 20的余量作為閥值。如果要設(shè)置防范 IP 協(xié)議層的選項，需在深入了解網(wǎng)絡(luò)環(huán)境后，再將 IP 協(xié)議和網(wǎng)絡(luò)層的攻擊選項逐步選中。設(shè)置防范應(yīng)用層的選項，在了解應(yīng)用層的需求以及客戶化程序的編程標(biāo) 準(zhǔn)后，如不采用 Act