H3C防火墻(V5)配置規(guī)范

H3C防火墻(V5)配置規(guī)范ISSUE1.0日期：2012年8月杭州華三通信技術(shù)有限公司版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播作者：潘猛目錄常見功能配置規(guī)范常見組網(wǎng)防火墻問題排查手段ALGNATServerClientServerFTP被動模式RouterClientServer修改ftp報文生成

動態(tài)NAT表項(xiàng)修改ftp報文生成

動態(tài)NAT表項(xiàng)生成關(guān)聯(lián)表對于防火墻來說，一次FTP業(yè)務(wù)有兩條會話，數(shù)據(jù)連接沒有可以匹配的策略，是否會被丟棄？ALG從設(shè)備性能和穩(wěn)定性的角度出發(fā)，我們只開啟必須的ALG,那么到底需要開啟哪些ALG？DNS關(guān)閉要實(shí)現(xiàn)相關(guān)需求可打開，一般不使用FTP打開GTP關(guān)閉有些特殊局點(diǎn)需要開啟H.323關(guān)閉使用H.323協(xié)議的應(yīng)用需要開啟，一般不使用ILS關(guān)閉MSN關(guān)閉NBT關(guān)閉PPTP關(guān)閉有PPTP業(yè)務(wù)從防火墻透傳,需要開啟，一般不使用QQ關(guān)閉RTSP打開運(yùn)營商相關(guān)應(yīng)用較多，建議開啟SCCP關(guān)閉SIP關(guān)閉SQLNET關(guān)閉ALG功能只適用老版本oracle，一般不使用TFTP關(guān)閉ALG<F5000>displaysessionstatisticsCurrentsession(s):1CurrentTCPsession(s):1Half-Open:0Half-Close:0CurrentUDPsession(s):0CurrentICMPsession(s):0CurrentRAWIPsession(s):0Currentrelationtable(s):0Sessionestablishmentrate:0/sTCPSessionestablishmentrate:0/sUDPSessionestablishmentrate:0/sICMPSessionestablishmentrate:0/sRAWIPSessionestablishmentrate:0/sReceivedTCP:7833packet(s)1335102byte(s)ReceivedUDP:8641packet(s)830258byte(s)ReceivedICMP:0packet(s)0byte(s)ReceivedRAWIP:0packet(s)0byte(s)DroppedTCP:3packet(s)744byte(s)DroppedUDP:0packet(s)0byte(s)DroppedICMP:0packet(s)0byte(s)DroppedRAWIP:0packet(s)0byte(s)<F5000>displaysessionrelation-table判斷是否有匹配到ALG的流量開啟ALG的命令： [F1000E]ALGH323ALG使用自定義端口: [F1000E]port-mappingh323port11111

NQANQA基本只使用ICMP，其他方式需要目標(biāo)機(jī)支持，即目標(biāo)機(jī)為H3C支持NQA的設(shè)備,另外配置ICMPNQA不需要開啟NQAAGENT.中間有2層設(shè)備或者3層設(shè)備插卡設(shè)備NQA配置#配置探測組adminopernqaentryadminoper#類型為ICMP-Echo，即ping操作typeicmp-echo#ping的目的地址destinationip#建議頻率為3000毫秒，即3秒frequency3000#配置反應(yīng)組1，如果連續(xù)測試3次失敗則觸發(fā)相關(guān)動作reaction1checked-elementprobe-failthreshold-typeconsecutive3action-typetrigger-only#如果需要探測的對端為直連設(shè)備，需要配置bypass路由，防止路由失效后，通過其他路由導(dǎo)致NQA探測成功，造成震蕩route-optionbypass-route#如果需要探測的地址為VPN內(nèi)的地址，則需要配置vpn-instancevpn-instanceuntrust#nqa調(diào)度配置，即從配置開始起一直進(jìn)行調(diào)度測試nqascheduleadminoperstart-timenowlifetimeforever以下屬于NQA關(guān)聯(lián)配置#跟蹤組1和adminoper的reaction1綁定track1nqaentryadminoperreaction1#將vrrp和跟蹤組1綁定vrrpvrid1track1reduced30#將vrrp和跟蹤組1綁定也可以將靜態(tài)路由與跟蹤組綁定*NQA基本只使用ICMP，其他方式需要目標(biāo)機(jī)支持*手冊里面的配置有一個一次發(fā)送10個報文的配置，實(shí)際使用時一般不配NQA故障處理NAT&VRRP接入交換機(jī)內(nèi)部交換機(jī)熱備線防火墻在雙機(jī)配置的情況下，NatOutbound后的地址池需要配置不同的level，防止在主備切換時發(fā)生會話沖突.[F5000A5_1]nataddress-group10level0[F5000A5_2]nataddress-group10level1當(dāng)NATOutbound地址池或者是NATServer和NatStatic的Global地址與接口地址在同一網(wǎng)段時，需要在NAT命令后跟trackvrrp的配置，防止主機(jī)和備機(jī)出現(xiàn)地址沖突interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp10natoutbound3001address-group1trackvrrp10natserverprotocoltcpglobal0wwwinsidewwwtrackvrrp10ipaddressvrrpvrid10virtual-ip54vrrpvrid10priority105NAT&VRRP接入交換機(jī)內(nèi)部交換機(jī)熱備線防火墻ARP請求業(yè)務(wù)數(shù)據(jù)ARP響應(yīng)可能出現(xiàn)的數(shù)據(jù)流NAT&VRRPNATOutbound存在多個地址池時，按照ACL編號從大到小匹配，即查看配置看到的顯示順序.當(dāng)配置NAT的接口在VPN實(shí)例中時，需要在多處配置VPN實(shí)例來實(shí)現(xiàn)NAT功能。NATOutbound：ACL中需要指定vpn-instanceaclnumber3001rule0permitipvpn-instancevpnsource0NATOutbound后需要跟指定的vpn-instancenatoutbound3001address-group1vpn-instancevpnNATServer：Global和Inside地址后都需要跟指定的vpn-instancenatserverprotocoltcpglobal0wwwvpn-instancevpninside0wwwvpn-instancevpnNATStatic：需要在全局的natstatic命令Global和Inside地址后跟上指定的vpn-instancenatstatic00vpn-instancevpn00vpn-instancevpnSSH/HTTPS原則上在網(wǎng)設(shè)備不允許開啟TELNET和HTTP服務(wù)，安全性太低SSH/HTTPS開啟SSH sshserverenable local-usertest service-typessh開啟HTTPS iphttpsenable防火墻上由于需要開啟https服務(wù)，所以內(nèi)置了證書，即設(shè)備上存在公私鑰對，所以不要按照手冊上的SSH配置進(jìn)行操作，那樣會破壞證書HTTPS常見故障：

1、時間不對，尤其是插卡設(shè)備，由于插卡無時鐘芯片，如果不配置時間同步，會造成設(shè)備時間恢復(fù)到2000年，而證書的有效期是2007年開始的，這樣證書就會校驗(yàn)失敗，造成https啟動失敗 2、證書錯誤UserlogUserlogUserlog是發(fā)送會話日志（又稱NAT日志）的一種的方法，設(shè)備還支持syslog發(fā)送的方式，由于syslog對設(shè)備CPU消耗較大，會造成設(shè)備不穩(wěn)定，所以我們禁止使用syslog的方式發(fā)送會話日志；除了IMC和SecCenter，其他網(wǎng)管要接受Userlog，必須進(jìn)行開發(fā)，Userlog的日志格式可以向二線咨詢SecCenter看不到NAT日志的情況：1、時間配置有問題，目前版本支持兩種方式發(fā)送，一種是以本地時鐘發(fā)送（加上時區(qū)以后），一種是以格林威治時間發(fā)送（不加時區(qū)），在SecCenter側(cè)，選擇以本地時鐘處理（在時間戳上加上時區(qū)信息），以格林威治時間處理（不加時區(qū)）2、設(shè)備上沒有會話產(chǎn)生和老化會話超時會話超時時間可以適當(dāng)?shù)恼{(diào)整，一般可以調(diào)整到缺省值的1/2到1/3,對于TCPESTABLISHED狀態(tài)，通常在一些書籍中會提到這個狀態(tài)的超時時間為7200秒，但是在實(shí)際應(yīng)用中，很少有TCP會話會持續(xù)那么長時間既沒有數(shù)據(jù)也不關(guān)閉，所以適當(dāng)?shù)母男∵@個值對應(yīng)用幾乎無影響。虛擬分片重組將攻擊報文進(jìn)行IP分片是一種常見的穿越防火墻技術(shù)，H3C防火墻為了抵御這種攻擊，必須開啟虛擬分片重組。另外分片報文經(jīng)過防火墻時，為了解決匹配會話的問題，也必須開啟虛擬分片重組。但是虛擬分片重組的隊列存在限制，容易造成PING大包無法通過防火墻。這種情況下： 1、我們要糾正客戶使用ping大包來評價網(wǎng)絡(luò)狀況的方法 2、可以優(yōu)化虛擬分片重組的配置Flood類攻擊處理UDP/ICMPFLOOD手段比較單一，采用丟包方式，會影響正常業(yè)務(wù)，閾值不好控制SYNFLOOD可以采用代理方式，代理在源域配置，防攻擊都是在目的域配置通常flood攻擊源地址為偽造源地址，可以通過域間策略進(jìn)行過濾如果是正常會話較多（狀態(tài)為established），則可以考慮使用連接數(shù)限制連接數(shù)限制網(wǎng)絡(luò)中經(jīng)常會出現(xiàn)部分主機(jī)中毒，產(chǎn)生大量會話的情況。比如內(nèi)網(wǎng)的主機(jī)向外發(fā)起大量tcp連接，從策略上看屬于正常連接，但是連接太多會造成防火墻壓力巨大，設(shè)備運(yùn)行不穩(wěn)定，建議在會話數(shù)異常時，在防火墻上配置連接數(shù)限制，防止這種情況發(fā)生。安全加固SNMP:對SNMP訪問進(jìn)行訪問控制snmp-agentcommunityreadpublicacl2000//引用ACLsnmp-agentcommunitywriteprivateacl2000同時可以開啟

snmplogset來記錄snmp的set操作；snmp-agentlogset-operation黑名單：多次登錄失敗加入黑名單；密碼策略：密碼要夠復(fù)雜，周期性修改環(huán)路避免：使用靜態(tài)路由時必須仔細(xì)檢查，尤其是部署在網(wǎng)絡(luò)出口做NAT時，可能出現(xiàn)環(huán)路防止偽造源地址：對于路由范圍比較明確的組網(wǎng)，配置明確的域間策略，禁止使用any這種配置方式MIB常用防火墻MIB：獲取設(shè)備系統(tǒng)名稱

sysName .獲取設(shè)備啟動時間

sysUpTime ..0獲取設(shè)備系統(tǒng)描述

sysDescr .獲取設(shè)備溫度

hh3cEntityExtTemperature .4.1.2550.2.3獲取單板內(nèi)存總大小

hh3cEntityExtMemSize .4.1.2550.0.3獲取單板內(nèi)存使用率

hh3cEntityExtMemUsage .4.1.2550..3獲取單板CPU利用率

hh3cEntityExtCpuUsage .4.1.2550..3設(shè)備最大會話數(shù)

hh3cFWMaxConnNum .4.1.25設(shè)備當(dāng)前會話數(shù)

hh3cFWConnNumCurr .4.1.25雙機(jī)熱備

雙機(jī)熱備線：

用于同步兩臺防火墻上的會話信息、配置等信息，屬于專用線路，線路上不會傳輸任何業(yè)務(wù)數(shù)據(jù)和協(xié)議報文；

配置同步：

支持絕大部分的配置同步，不支持主機(jī)名、接口地址、VRRP地址等配置，所有配置需要在網(wǎng)頁上配置才能同步，必須在作為主設(shè)備的機(jī)器上配置；

會話同步：

無主備關(guān)系，相互同步會話，只同步穩(wěn)態(tài)會話；

當(dāng)開啟支持非對稱路徑時，可以同步非穩(wěn)態(tài)會話；

雙機(jī)熱備是否一定要開啟？非對稱路徑是否要開啟？目錄常見功能配置規(guī)范常見組網(wǎng)防火墻問題排查手段典型組網(wǎng)一接入交換機(jī)內(nèi)部交換機(jī)熱備線防火墻VRRPVRRP典型組網(wǎng)二NQA1NQA2NQA3NQA4vrrpvrrp錯誤組網(wǎng)接入交換機(jī)內(nèi)部交換機(jī)熱備線防火墻VRRPVRRP接入交換機(jī)內(nèi)部交換機(jī)熱備線防火墻VRRPVRRP目錄常見功能配置規(guī)范常見組網(wǎng)防火墻問題排查手段日志主機(jī)和網(wǎng)管由于故障處理通常都有滯后性，而設(shè)備的日志緩存又不可靠，在條件允許的情況下，一定要配置日志服務(wù)器和網(wǎng)管系統(tǒng)?。?yán)禁關(guān)閉info-center的做法，如果攻擊日志太多，可以單獨(dú)關(guān)閉攻擊防范，或者是關(guān)閉攻擊防范日志；[SecBladeII_1]info-centersourceATTACKchannellogbufferlogstateoff配置日志主機(jī)：[SecBladeII_1]info-centerloghost20配置SNMP：[SecBladeII_1]snmp-agentcommunityreadpublicacl2001[SecBladeII_1]snmp-agentcommunitywritepublicacl2001視頻卡問題Core-1Core-2缺省設(shè)備采用逐包轉(zhuǎn)發(fā)方式Core-1Core-2采用逐流轉(zhuǎn)發(fā)方式視頻卡問題修改逐包轉(zhuǎn)發(fā)方式為逐流業(yè)務(wù)不通處理流程業(yè)務(wù)部分不通查詢問題業(yè)務(wù)的源IP，基于源IP和目的IP查看會話詳情無會話有會話根據(jù)會話信息，確認(rèn)會話狀態(tài)是否正常根據(jù)會話信息，確認(rèn)收發(fā)包報文數(shù)是否正常關(guān)閉邏輯轉(zhuǎn)發(fā)，debug報文確認(rèn)收發(fā)是否正常從其他設(shè)備定位Debug防火墻策略，確認(rèn)是否被防火墻策略過濾修改域間策略否是查看上游設(shè)備路由是否正確正常不正常Debug會話狀態(tài)機(jī)，確認(rèn)會話狀態(tài)刷新是否正常聯(lián)系H3C技術(shù)支持中心正常不正常查看各設(shè)備路由和NAT是否正確正常不正常收集診斷信息，拓?fù)浣Y(jié)構(gòu)，記錄排查過程未解決未解決未解決未解決調(diào)試命令查詢問題業(yè)務(wù)的源IP，基于源IP和目的IP查看會話詳情Debug防火墻策略，確認(rèn)是否被防火墻策略過濾根據(jù)會話信息，確認(rèn)會話狀態(tài)是否正常Debug會話狀態(tài)機(jī)，確認(rèn)會話狀態(tài)刷新是否正常根據(jù)會話信息，確認(rèn)收發(fā)包報文數(shù)是否正常關(guān)閉邏輯轉(zhuǎn)發(fā)，debug報文確認(rèn)收發(fā)是否正常（F5000）在接口上配置qos或者是ipsec策略，實(shí)現(xiàn)關(guān)閉邏輯轉(zhuǎn)發(fā)的效果自動重啟[H3C]_hidecmdNowyouenterahiddencommandviewfordeveloper'stesting,somecommandsmayaffectoperationbywronguse,pleasecarefullyuseitwithourengineer'sdirection.[H3C-hidecmd]displayexception10verbose[H3C-hidecmd]displayexception10verbosefrom-device[H3C-hidecmd]displayerror-information50verbose[H3C-hidecmd]displayerror-information50verbosefrom-device內(nèi)存異常[H3C]dissessionstatistics[H3C]disnatstatistics[H3C]dismemory[H3C]_H