H3C新一代防火墻平臺(tái)維護(hù)指南

1、H3C 新一代防火墻V5平臺(tái)維護(hù)指南技術(shù)創(chuàng)新 變革未來(lái)引入V5平臺(tái)防火墻軟件特性V5平臺(tái)防火墻維護(hù)注意事項(xiàng)目錄V5平臺(tái)防火墻軟件特性V5平臺(tái)防火墻維護(hù)指導(dǎo)2Comware V5防火墻軟件版本3B70平臺(tái) F5000A R3206/F1000E R3166/UTM(F1000-S-EI) R5116 Web管理頁(yè)面整改、域間策略、板卡支持4G內(nèi)存B83平臺(tái) F1000E F3169/F5000A F3207/UTM(F1000-S-EI) F5123 雙機(jī)熱備配置同步、IPv6包過(guò)濾、鏈路聚合、GRE P2MPB98平臺(tái) F1000E F3171/F5000A F3210/F1000-X-XI

2、R3721 盒式產(chǎn)品支持SSL VPN、虛擬防火墻獨(dú)立管理B108平臺(tái) F1000E F3174/F1000-X-G E3725/F100-X-G R5136 除負(fù)載均衡、會(huì)話加速、SSLVPN外，支持命令行配置 板卡支持NAT444、支持新建連接數(shù)MIB節(jié)點(diǎn)防火墻管理方式選擇遇Web頁(yè)面打不開(kāi)，先清瀏覽器緩存并開(kāi)啟“兼容性視圖”。4系統(tǒng)配置管理防火墻配置文件有CLI和Web共兩個(gè)。5系統(tǒng)服務(wù)管理默認(rèn)僅開(kāi)啟HTTP服務(wù)，端口號(hào)80。設(shè)備默認(rèn)產(chǎn)生的CA、Local證書(shū)僅滿足基本SSL需求。6系統(tǒng)時(shí)間管理插卡類(lèi)防火墻重啟后時(shí)間會(huì)丟失推薦通過(guò)NTP服務(wù)同步系統(tǒng)時(shí)間注意準(zhǔn)確配置系統(tǒng)時(shí)區(qū)7鏈路聚合支持情

3、況支持二層、三層聚合支持跨板聚合不支持動(dòng)態(tài)聚合IRF28路由協(xié)議支持情況僅F5000A支持ISIS僅F5000A支持BFDPIMOSPFStaticRIPISISBGP9安全區(qū)域防火墻自身接口屬于Local區(qū)域。Management僅能與Management、Local區(qū)域互通。新版本系統(tǒng)默認(rèn)域間策略轉(zhuǎn)發(fā)規(guī)則為全部阻斷，老版本系統(tǒng) 默認(rèn)安全區(qū)域之間按照優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)。B108平臺(tái)支持“Any域”，在根墻中代表除Management區(qū)域外其他全部安全區(qū)域，在虛墻中代表全部安全區(qū)域。10安全區(qū)域部署示例防火墻所有接口屬于Local區(qū)域?qū)⒛硞€(gè)接口加入安全區(qū)域代表該接口所連接網(wǎng)絡(luò)屬于該區(qū)域防火墻接收?qǐng)?bào)

4、文時(shí)，安全區(qū)域?qū)傩耘卸ㄅc轉(zhuǎn)發(fā)模式有關(guān)與Vlan接口類(lèi)似的還有Tunnel接口、VT接口等Management/24DMZ_A/24DMZ_B/24Trust/8G1/1G1/2V-if Zone UntrustLocal AreaV-if Zone DMZG0/0G0/1G0/2G0/311域間策略域間策略模塊相對(duì)比較穩(wěn)定。注意資源對(duì)象、策略的配置方法。注意策略與會(huì)話的關(guān)系。善用域間策略以實(shí)現(xiàn)加固系統(tǒng)的目的。12慎用域間策略加速相同源、目的域之間有大量規(guī)則時(shí)使能才有意義。域間策略加速后不能再修改域間策略，會(huì)引起策略失效。先關(guān)閉加速 、修改策略后再重新加速。非特定測(cè)試類(lèi)場(chǎng)景不啟用該功能。ACL加

5、速與之類(lèi)似。13會(huì)話表能夠讀懂會(huì)話表項(xiàng)中的每一項(xiàng)信息是安全工程師基本技能。14關(guān)聯(lián)表關(guān)聯(lián)表由ALG功能模塊產(chǎn)生。負(fù)責(zé)應(yīng)用層地址轉(zhuǎn)換、數(shù)據(jù)通道檢測(cè)等重要功能。15會(huì)話/關(guān)聯(lián)表項(xiàng)、域間策略、報(bào)文轉(zhuǎn)發(fā)未開(kāi)啟“保存上 一跳”功能， 會(huì) 話表項(xiàng)不決定如 何轉(zhuǎn)發(fā)報(bào)文。開(kāi)啟“保存上一 跳”功能，會(huì)話 表項(xiàng)決定如何轉(zhuǎn) 發(fā)反向報(bào)文。接收?qǐng)?bào)文查找二三層轉(zhuǎn)發(fā)表項(xiàng)、 確定目的安全區(qū)域、 創(chuàng)建會(huì)話表項(xiàng)查找二三層轉(zhuǎn)發(fā)表 項(xiàng)后轉(zhuǎn)發(fā)按域間策略處理 若過(guò)濾動(dòng)作為允許 則查找二三層轉(zhuǎn)發(fā) 表項(xiàng)后轉(zhuǎn)發(fā)并創(chuàng)建 會(huì)話表否則丟棄報(bào)文且不 創(chuàng)建會(huì)話表項(xiàng)是按默認(rèn)策略處理16是是否匹配當(dāng) 前會(huì)話表或 關(guān)聯(lián)表某具 體表項(xiàng)否是否命中用 戶自定義域

6、間策略否合理調(diào)整會(huì)話表項(xiàng)老化時(shí)間同等條件下：會(huì)話老化時(shí)間調(diào)得比缺省值更短，防火墻并發(fā) 連接數(shù)會(huì)減少；調(diào)得比缺省值更長(zhǎng)，并發(fā)連接數(shù)會(huì)增加。17單向流檢測(cè)、TCP會(huì)話長(zhǎng)連接使能單向流檢測(cè)功能，防火墻允許同一條流僅有單方向報(bào)文 經(jīng)過(guò)防火墻并建立會(huì)話表項(xiàng)。但其會(huì)大大降低了防火墻的安 全性。僅在V5防火墻與其它設(shè)備組網(wǎng)且流量來(lái)回路徑不一 致時(shí)開(kāi)啟。長(zhǎng)連接會(huì)話，ACL條目越精細(xì)越好，老化時(shí)間越合理越好。18UserlogUserlog不僅要配置日志版本、日志主機(jī)，還要配置日志輸出策略，否則防火墻不產(chǎn)生日志信息。Userlog支持以二進(jìn)制流格式或Syslog格式輸出至日志主機(jī)。19報(bào)文異常檢測(cè)安全區(qū)域?yàn)楣?/p>

7、報(bào)文來(lái)源區(qū)域。ICMP不可達(dá)報(bào)文、ICMP重定向報(bào)文、Tracert報(bào)文建議不選。20流量異常檢測(cè)安全區(qū)域?yàn)楣魜?lái)源區(qū)域。僅TCP SYN Flood攻擊防范支持Proxy功能。21虛擬分片重組僅對(duì)三層IP分片報(bào)文有效。功能默認(rèn)開(kāi)啟，安全區(qū)域?yàn)閳?bào)文來(lái)源區(qū)域。按默認(rèn)配置估算，防火墻最大可處理IP報(bào)文為1500*16字節(jié)。22雙機(jī)熱備會(huì)話同步與配置同步雙機(jī)熱備分為會(huì)話同步和配置同步兩大主要功能配置同步目前僅支持自動(dòng)同步，且必須在配置主設(shè)備上操作備份接口間支持跨IEEE 802.1Q交換機(jī)橋接備份接口支持內(nèi)聯(lián)萬(wàn)兆口23NAT配置與雙機(jī)熱備雙機(jī)熱備組網(wǎng)中，兩臺(tái)防火墻配置NAT時(shí)需做好地址規(guī)劃。雙機(jī)熱備

8、主備關(guān)系組網(wǎng)，須配置VRRP，并將NAT命令與VRRP組綁定。注意地址池優(yōu)先級(jí)。涉及VPN-Instance的，配置NAT命令時(shí)也不能少。24虛擬防火墻虛擬防火墻不同虛墻之間的關(guān)系、及安全區(qū)域及域間策略。虛擬防火墻與VRF（vpn-instance）之間的關(guān)系。虛擬防火墻的會(huì)話表。虛擬防火墻的登錄、配置、管理。25SSL VPN26SSL VPN基本特性 B98平臺(tái)合入功能，僅支持IP資源接入 無(wú)需外接擴(kuò)展卡或加密卡 無(wú)需客戶采購(gòu)License SecPath F5000A、SecBlade規(guī)格不支持 支持Windows XP/Vista/7 32bit/64bit操作系統(tǒng) 支持IE6.0/7

9、.0/8.0/9.0 32bit/64bit(later)瀏覽器環(huán)境 本地可創(chuàng)建用戶數(shù)參考 1000(FW)/100(UTM) 同時(shí)在線用戶數(shù)參考 100(FW)/50/(UTM)SSL VPN注意事項(xiàng)客戶端軟件需在操作系統(tǒng)及瀏覽器環(huán)境運(yùn)行，須避免其對(duì)客戶端軟件的影響。避免殺毒軟件、360安全衛(wèi)士等安全軟件對(duì)SSL VPN客戶端啟動(dòng)運(yùn)行產(chǎn)生的影響。27不同型號(hào)防火墻軟件特性細(xì)節(jié)差導(dǎo)產(chǎn)品手冊(cè)詳細(xì)記錄了各型號(hào)設(shè)備對(duì)某軟件特性的支持情況。某軟件特性 在具體的產(chǎn) 品型號(hào)上是 否提供支持關(guān)于該軟件 特性的一些 重要說(shuō)明28目錄V5平臺(tái)防火墻軟件特性V5平臺(tái)防火墻維護(hù)指導(dǎo)29F5000A的絆腳石buffe

10、r小5* 1GE2* 1GE10GE1GE2* 1GE link-aggregation302* 1GE link-aggregation“以多欺少”“以大欺小”“分贓不均”上面三種場(chǎng)景在業(yè)務(wù)流量突出較多時(shí)容易出現(xiàn)轉(zhuǎn)發(fā)丟包“以多欺少”、“以大欺小”要在組網(wǎng)規(guī)劃時(shí)避免。HASH不均可通過(guò)配置聚合鏈路逐包分擔(dān)緩解。SecBladeII 跨Vlan二層轉(zhuǎn)發(fā)部署跨Vlan二層轉(zhuǎn)發(fā)部署容易引起二層環(huán)路，不推薦。VLAN 20VLAN 1031VLAN 20VLAN 10雙機(jī)熱備那些事兒一條數(shù)據(jù)流不應(yīng)同時(shí)經(jīng)過(guò)形成雙機(jī)熱備關(guān)系的兩臺(tái)防火墻“支持非對(duì)稱路徑”和“不支持非對(duì)稱路徑”單卡每秒新建會(huì)話性能減半32事

11、故多發(fā)地段ALGH3Cundo alg ?allEnable all ALG function dnsEnable dns ALG function ftpEnable ftp ALG function gtpEnable GTP ALG function h323Enable h323 ALG function ilsEnable ils ALG function msnEnable MSN ALG function nbtEnable nbt ALG function pptpEnable PPTP ALG function qqEnable QQ ALG function rtspEna

12、ble rtsp ALG function sccpEnable SCCP ALG function sipEnable sip ALG function sqlnetEnable sqlnet ALG function tftpEnable TFTP ALG function33V5平臺(tái)ALG模塊已知問(wèn)題較多，在維護(hù)過(guò)程中建議將不 用的模塊盡量關(guān)閉?！皟筛摺盚igh CPU、High MemoryH3C display cpu-usage Unit CPU usage:67% in last 5 seconds55% in last 1 minute60% in last 5 minutes

13、H3C-hidecmddisplay cpu-usage task= Current CPU usage info = CPU Usage Stat. Cycle: 51 (Second)CPU Usage : 65%CPU Usage Stat. Time : 2013-04-03 06:20:39CPU Usage Stat. Tick : 0 x107(CPU Tick High) 0 xaeb91808(CPU Tick Low) Actual Stat. Cycle : 0 x0(CPU Tick High) 0 xccdb530b(CPU Tick Low)TaskNameCPUR

14、untime(CPU Tick High/CPU Tick Low)VIDL30%0/b91b29fcTICK0%0/ 78640fSTMR4%0/ 895bf10DRVT4%0/ 8489d36TMSG0%0/331a42IPCB0%0/be3fbRPCQ0%0/36621eVP0%0/328ADJ60%0/8679IPCM0%0/f63ac39955%0/0%0/ 1a249INFOOMS- More -控制平面CPU使用率info-center進(jìn)程占用率高H3Cdisplay memorySystem Total Memory(bytes): 3212817600 Total Used

15、Memory(bytes): 3105304620Used Rate: 96%內(nèi)存占用率高主 要由于會(huì)話表項(xiàng) 數(shù)量多造成Comware V5平 臺(tái)會(huì)話管理模塊占 用內(nèi)存回收緩慢 ，緊急情況可通 過(guò)重置會(huì)話表，即執(zhí)行resetsession命令臨時(shí) 緩解和恢復(fù)(大流 量下可能造成設(shè) 備重啟，需謹(jǐn)慎)34Session Flood類(lèi)攻擊分析與判斷display session statisticsCurrent session(s): 2000298CurrentTCP session(s): 1993223Half-Open: 1980032Half-Close: 2543Current Cur

16、rent CurrentUDP session(s): 5692ICMP session(s): 1380RAWIP session(s): 3Current relation table(s): 0Session establishment rate:65443/sTCPSession establishment rate:63443/sUDPSession establishment rate:1495/sICMPSession establishment rate:505/sRAWIPSession establishment rate:0/sReceivedTCP:51475234 p

17、acket(s)875581044 byte(s)ReceivedUDP:1153404 packet(s)456559980 byte(s)ReceivedICMP:4383187 packet(s)561047936 byte(s)ReceivedRAWIP:1130 packet(s)42708 byte(s)DroppedTCP:359965 packet(s)33467904 byte(s)DroppedUDP:213260 packet(s)6535692 byte(s)DroppedICMP:21578 packet(s)179806 byte(s)DroppedRAWIP:0

18、packet(s)0 byte(s)TCP半開(kāi)會(huì)話比例異常TCP會(huì)話新建速率異常35Session Flood類(lèi)攻擊防范36分析攻擊類(lèi)型 查看防火墻會(huì)話表，分析攻擊流量 常見(jiàn)Flood類(lèi)攻擊包括源地址固定、目的地址固定等 攻擊流量的目的IP是否是防火墻自身 大流量廣播報(bào)文也要引起重視制定應(yīng)對(duì)手段 域間策略 黑名單 URPF實(shí)施精確打擊自身性能代價(jià)最小專(zhuān)克源IP地址欺騙 攻擊防范策略 根據(jù)管理員閾值配置抵御DoS流量多核CPU轉(zhuǎn)發(fā)Comware V5平臺(tái)防火墻采用多核多線程CPU架構(gòu)?？刂坪伺c轉(zhuǎn)發(fā)核邏輯分離。轉(zhuǎn)發(fā)線程默認(rèn)使用逐包分擔(dān)，可改為逐流分擔(dān)。37吞吐量、快速轉(zhuǎn)發(fā)表、會(huì)話加速Comware

19、 V5平臺(tái)防火墻默認(rèn)開(kāi)啟IP快速轉(zhuǎn)發(fā)。默認(rèn)配置，當(dāng)會(huì)話表進(jìn)入穩(wěn)定狀態(tài)后建立相應(yīng)快轉(zhuǎn)表。H3C-hidecmd display ip fast-forwarding statistics Ip fast-forwarding state : enableIp fast-forwarding enable-Update time : 5000 ms Update max num : 128 Cache used :valid used caches : 0 wait free caches : 0 total used caches : 0Cache freeing :current free c

20、aches : 0 next free caches : 0 idle free caches : 0 total free caches : 0-Hash bucket number: 4194304Hash bucket capability : 4Hash no hit buckets: 4194304 Hash hit buckets: 0Hash Buckets use statistics(Capability : Number):- More -38運(yùn)行中重啟問(wèn)題H3C-hidecmddisplay exception 10 verbose= exception info (no

21、: 0) =390 x20 NMI0 x81345B4C00Exception Number: Exception Name: Exception Instruction: Exception Slot: Exception VCpu: Exception Task:Exception Stack Base: Exception Time: Exception Tick:vt0 (TID: 75)0 x804bbfe82012-11-28 07:25:360 x57(CPU Tick High) 0 xa69ad3e7(CPU Tick Low)Register contents:Reg:zero, Val = 0 x00000000 ; Reg:at, Val = 0 x82cd0000 ;Reg:v0, Val = 0 x8205ff0c ; Reg:v1, Val = 0 x8205ff04 ;Reg:a0, Val = 0 x81345b4c ; Reg:a1, Val = 0 x014b3796 ;Reg:a2, Val = 0 x955dce28 ; Reg:a3, Val = 0 x00000101 ;Reg:t0, V