安全產(chǎn)品配置優(yōu)化操作規(guī)范

安全產(chǎn)品配置優(yōu)化操作規(guī)范

（FW、LB、IPS&ACG）

Version1.0

杭州華三通信技術(shù)有限公司

2014年8月

聲明

Copyright?2022杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。

非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復制本書內(nèi)容的部分或全部，并不得以任何形

式傳播。

該文檔由H3C總部安全技術(shù)支持工程師通過長期技術(shù)積累總結(jié)而來，請務(wù)必在安全產(chǎn)品部署實施中

重視本操作規(guī)范要求，保障設(shè)備在網(wǎng)運行效果及穩(wěn)定性。本文檔為保密文檔，僅限H3C原廠工程師

使用，對私自擴散者H3c保留起訴的權(quán)利。

本文檔將安全配置優(yōu)化操作方式分為兩大類：

?必選項：設(shè)備部署時必須嚴按照必選項的規(guī)范要求執(zhí)行。

?可選項：在客戶無明確要求且不影響客戶使用情況下，視具體組網(wǎng)環(huán)境可選部署。

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第3頁共61頁

聲明.........................................................................2

FW-1、（必選）通過配置域間策略對防火墻本地實施保護.....................5

FW-2、（必選）防火墻ALG功能配置優(yōu)化..................................6

FW-3、（必選）防火墻雙機組網(wǎng)環(huán)境NAT與VRRP聯(lián)動......................7

FW-4、（必選）配置ACL時慎用Denyany規(guī)則.............................8

FW-5、（必選）防火墻使用獨立物理端口做雙機熱備口.......................9

FW-6、（必選）配置NTP保持防火墻時鐘正確同步..........................9

FW-7、（必選）采用二進制格式輸出Userlog日志...........................10

FW-8、（必選）SSLVPN采用IP接入方式配置資源.........................11

FW-9、（必選）DNS協(xié)議應(yīng)用層老化時間配置優(yōu)化.........................11

FW-10、（必選）防火墻不啟用QoS功能...................................12

FW-U、（必選）防火墻地址對象范圍地址配置優(yōu)化.........................12

FW-12、（必選）部分型號防火墻業(yè)務(wù)端口選擇建議.........................13

FW-13、（必選）禁用會話加速功能........................................13

FW-14、（必選）禁用ACL加速功能.......................................14

FW/5、（必選）禁用域間策略加速功能....................................15

FW/6、（必選）禁止通過ACL方式實現(xiàn)遠程管理訪問控制..................15

FW-17、（必選）禁止使用弱口令..........................................16

FW-18、（必選）禁止使用動態(tài)鏈路聚合模式...............................16

FW-I9、（必選）IPSecVPN模板策略配置優(yōu)化..............................16

FW-20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù)........................17

FW-21、（可選）利用域間策略對防火墻實施路由環(huán)路保護...................18

FW-22、（可選）虛擬分片重組功能配置優(yōu)化...............................19

FW-23、（可選）會話表項老化時間參數(shù)配置優(yōu)化...........................20

FW-24、（可選）報文異常檢測功能配置優(yōu)化...............................20

FW-25、（可選）流量異常檢測功能配置優(yōu)化...............................21

FW-26、（可選）雙機熱備會話同步組網(wǎng)中避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā)......24

FW-27、（可選）采用逐流轉(zhuǎn)發(fā)模式........................................25

第3頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第4頁共61頁

LB-K（必選）Outbound鏈路負載均衡優(yōu)先通過ACL方式進行虛服務(wù)配置...26

LB-2、（必選）Outbound鏈路負載均衡不啟用就近性.......................28

LB?3、（必選）服務(wù)器負載均衡虛服務(wù)IP不響應(yīng)ARP請求限制的解決方法.......29

LB-4、（必選）采用二進制格式輸出Userlog日志...........................30

LB-5、（必選）關(guān)于實服務(wù)故障處理方式的配置選擇........................31

LB-6、（必選）配置NTP保持時鐘正確同步................................33

LB-7、（必選）RADIUS業(yè)務(wù)與強制負載均衡特性配置優(yōu)化..................34

LB-8、（必選）使用獨立物理端口做雙機熱備口.............................35

LB-9、（必選）配置ACL時慎用Denyany規(guī)則.............................36

LB-10、（必選）不啟用QoS功能.........................................36

LB-11、（必選）不啟用攻擊防范功能......................................37

LB-12、（必選）禁用ACL加速功能.......................................37

LB-I3、（可選）業(yè)務(wù)端口添加安全區(qū)域?qū)傩?...............................38

LB-14、（可選）雙機熱備會話同步組網(wǎng)避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā)........39

LB-15、（可選）優(yōu)先采用四層負載均衡模式滿足客戶配置需求...............40

LB-16.（可選）采用逐流轉(zhuǎn)發(fā)模式........................................41

IPS&ACG-K（必選）配置IPS攻擊防范策略時必須先手工調(diào)整策略規(guī)則.....43

IPS&ACG-2.（必選）配置IPS病毒防范策略時必須先手工調(diào)整策略規(guī)則.....48

IPS&ACG-3、（必選）定期檢查IPS/ACG特征庫版本是否正常更新..........49

IPS&ACG-4、（必選）通過NTP'ACSEI保持IPS/ACG時鐘同步正確..........51

IPS&ACG-5、（必選）部署IPS/ACGMQC引流內(nèi)外安全域須為不同Vian.........52

IPS&ACG-6、（必選）部署IPS/ACG插卡MQC引流時避免二層報文風暴....54

IPS&ACG-7.（必選）正則表達式URL過濾規(guī)則的配置優(yōu)化................55

IPS&ACG-8.（必選）帶寬管理P2P限流規(guī)則配置優(yōu)化.....................56

IPS&ACG-9、（必選）ACG通道帶寬管理功能針對DNS業(yè)務(wù)流量進行保障.……57

IPS&ACG-10、（可選）部署專用日志主機配合IPS/ACG實現(xiàn)安全事件審計.……58

IPS&ACG-1H（可選）ACG流日志配置優(yōu)化..............................59

IPS&ACG-12、（可選）不啟用IPSDDoS攻擊防范策略......................60

第4頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第5頁共61頁

FW-K（必選）通過配置域間策略對防火墻本地實施保

護

應(yīng)用說明：

ComwareV5平臺防火墻為便于用戶登錄管理設(shè)備，當前實現(xiàn)機制為默認所有安全區(qū)域

都可以訪問代表防火墻自身的Local區(qū)域。為避免無效報文、攻擊流量沖擊防火墻，要求必

須配置到local區(qū)域的域間策略以對防火墻自身進行保護。在配置具體的域間策略時，應(yīng)首

先允許必要的管理、協(xié)議報文與防火墻本地交互，然后禁止其它流量與防火墻本地交互。

自2014年7月起，新軟件版本的ComwareV5平臺防火墻進行了一次默認策略變更切

換，將默認所有安全區(qū)域及Local區(qū)域之間的策略變更為全部禁止互訪，以滿足市場需求并

加強安全性，詳見請查詢《H3c技術(shù)公告【2014】018號-關(guān)于H3CComwareV5平臺防火

墻變更默認域間策略轉(zhuǎn)發(fā)規(guī)則的公告》。

參考配置思路：

1.配置允許網(wǎng)管計算機訪問local區(qū)域的域間策略，允許包括HTTP、HTTPS、Telnet、

SSH、SNMP、、PING等常見網(wǎng)管相關(guān)協(xié)議訪問本地，域間策略源IP地址范圍應(yīng)做嚴格限制，

避免非管理主機訪問防火墻本地：

2.配置允許防火墻與其它網(wǎng)絡(luò)設(shè)備進行協(xié)議交互的域間策略，例如VRRP,OSPF,

BGP、PING、IKE、L2TP,ESP等常見協(xié)議；

3.確認其他網(wǎng)絡(luò)設(shè)備是否有目的地址為防火墻本地的探測，例如NQA、BFD等，如

有則必須補充允許其他設(shè)備探測報文到達防火墻本地的域間策略；

4.配置域間策略時應(yīng)盡量使用明確的源目的IP地址范圍，減少使用“any_address”等

方式的粗放管理型配置，比如Trust區(qū)域的實際規(guī)劃IP范圍為/24,Untrust區(qū)域

為Internet,則配置域間策略時應(yīng)將Trust區(qū)域源IP地址范圍配置為/55子

網(wǎng)地址對象，使策略更加合理精確，阻斷可能出現(xiàn)的源地址欺騙報文經(jīng)防火墻轉(zhuǎn)發(fā)。

5.最后配置各安全區(qū)域至Local區(qū)域的全部禁止策略，避免防火墻因接收到達本地的無

效報文過多而影響CPU性能，最終實現(xiàn)對防火墻自身的安全保護。

第5頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第6頁共61頁

綜合以上原則，在防火墻Web管理界面中的配置示例如下圖所示:

內(nèi)咨

時源目的

目的過速動過蛙插啟用日志匹雷

通域ID通IP地址目的IP地址照務(wù)間MACMAC操作

□域作策珞逑送頂功能次數(shù)

枝地址地址

模板

hue.https.ciEi.

□ManagementLocal0172310055anvaddresssnmAroauesLsnm>Permit止能96

trap,telnetffle.ssfi骷〈

合01?土

□ManagementLocal1anyaddressanyaddressanyserviceDeny止能708

金值臺主

UntrustLocal0anyaddressanyaddressanyserviceDeny0

□胖能電

□TrustLocal0anyaddressanvaddressboo,osof.mu,oinflPermit止能0

睦

anvaddressanyaddressanyserviceDenyOff

□TrustLocal1止能0

新建［刪除送中］導1導出］清空統(tǒng)計

FW?2、（必選）防火墻ALG功能配置優(yōu)化

應(yīng)用說明：

防火墻ALG（ApplicationLevelGateway,應(yīng)用層網(wǎng)關(guān)）特性主要完成對應(yīng)用層報文的

處理。當應(yīng)用層數(shù)據(jù)中包含IP地址時，ALG可以對該地址進行處理，以保證后續(xù)該地址對

應(yīng)的連接能夠正確建立。ALG的工作包括：解析數(shù)據(jù)報文載荷中的IP地址信息，并根據(jù)需

要對其進行NAT（NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換）處理；提取數(shù)據(jù)通道信息，

為后續(xù)的會話連接建立數(shù)據(jù)通道。這里的數(shù)據(jù)通道通常指相對于用戶認證的控制連接而言的

數(shù)據(jù)連接：在防火墻上，安全策略通常只允許特定的端口通過，對于需要動態(tài)開放端口的協(xié)

議，即使沒有NAT也必須啟用ALG才能合格證業(yè)務(wù)正常處理，例如FTP協(xié)議；另有些屬

于功能型ALG,專為實現(xiàn)某種功能而存在，例如DNSALG,需要視實際環(huán)境決定是否需要

開啟。

參考配置思路：

當防火墻做二層轉(zhuǎn)發(fā)部署時，除FTP協(xié)議外，推薦關(guān)閉其他所有ALG功能。

當防火墻做三層轉(zhuǎn)發(fā)部署時，以下為H3c防火墻應(yīng)用的ALG推薦配置，建議只開啟，

關(guān)閉其他ALG功能。

DNS關(guān)閉要實現(xiàn)相關(guān)需求可打開，一般不使用

第6頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第7頁共61頁

FTP打開

GTP關(guān)閉有些特殊局點需要開啟

H.323關(guān)閉使用H.323協(xié)議的應(yīng)用需要開啟，一般不使用。

ILS關(guān)閉

MSN關(guān)閉不使用。

NBT關(guān)閉

PPTP關(guān)閉有PPTP業(yè)務(wù)從防火墻透傳，需要開啟，一般不使用。

QQ關(guān)閉不使用。

RTSP打開

SCCP關(guān)閉

SIP關(guān)閉

SQLNET關(guān)閉僅適配老版本Oracle,一般不使用。

TFTP關(guān)閉

FW?3、（必選）防火墻雙機組網(wǎng)環(huán)境NAT與VRRP聯(lián)

動

應(yīng)用說明：

ComwarcV5防火墻在雙機組網(wǎng)場景中，當兩臺設(shè)備使用相同的NATOutbound地址池、

NATServer.NATStatic的Global地址，且與接口主IP地址在同一網(wǎng)段時，需要在NAT命

令后跟trackvrrpwid配置，避免因主機和備機共享相同地址而出現(xiàn)ARP沖突。

參考配置思路：

以下為防火墻某外網(wǎng)端口配置示例：

interfaceGigabitEthemetO/2

portlink-moderoute

natoutboundstatictrackvrrp1

natoutbound3002address-group10trackvrrp1

第7頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第8頁共61頁

natoutbound3001trackvrrp1

natserverprotocoltcpglobal0000vrrp1

ipaddress

vrrpvrid1virtual-ip54

vrrpvrid1priority110

FW?4、（必選）配置ACL時慎用Denyany規(guī)則

應(yīng)用說明：

ComwareV5平臺防火墻的ACL主要用于軟件對業(yè)務(wù)或管理流量的識別與分類，并不

直接用于報文的允許或阻斷動作。在配置防火墻各軟件模塊功能參數(shù)時，常常需要使用ACL,

此時應(yīng)注意配置ACL規(guī)則時僅需匹配需要識別的具體流量即可，無須在所有規(guī)則最后配置

一條Denyany,這樣可以在很大程度上減少防火墻的無謂性能消耗。

參考配置思路：

例如，在配置NAT轉(zhuǎn)換策略時，需要通過ACL限制僅允許內(nèi)網(wǎng)/16網(wǎng)段的用戶

做出方向源地址轉(zhuǎn)換，引用至NAT命令，如下列所示ACL3001是正確的配置方式，而ACL

3002是錯誤的配置方式。

#

aclnumber3001〃正確的ACL配置方式示例

rule10permitipsource55

#

aclnumber3002〃錯誤的ACL配置方式示例

rule10permitipsource55

rule20denyip〃該條規(guī)則將引起不必要的性能消耗

#

第8頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第9頁共61頁

FW?5、（必選）防火墻使用獨立物理端口做雙機熱備口

應(yīng)用說明：

ComwareV5平臺防火墻支持雙機熱備功能，為提高HA連接的可靠性，兩臺防火墻應(yīng)

使用獨立物理端口直接互連形成雙機熱備，該端口不再承載普通業(yè)務(wù)流量。若兩臺防火墻熱

備口無法直接互聯(lián)，必須經(jīng)交換機橋接，則必須為HA連接單獨規(guī)劃部署一個二層鏈路或

VLAN,避免其他無關(guān)報文對防火墻雙機熱備口造成的沖擊。目前產(chǎn)品實現(xiàn)最多可以支持兩

條物理鏈路實現(xiàn)HA互聯(lián)。

參考配置思路：

盒式防火墻設(shè)備建議選擇第一個固定物理端口做HA口，為提高HA性能及穩(wěn)定性可選

擇前兩個固定物理端口做HA口。

插卡式防火墻設(shè)備可任選一個前面板物理端口做HA口，為提高HA性能及穩(wěn)定性可任

選兩個前面板物理端口做HA口。

FW?6、（必選）配置NTP保持防火墻時鐘正確同步

應(yīng)用說明：

NTP（NetworkTimeProtocol,網(wǎng)絡(luò)時間協(xié)議）是一種時間同步搟議，用來在分布式時

間服務(wù)器和客戶端之間進行時間同步。啟用NTP的目的是對網(wǎng)絡(luò)內(nèi)所有具有時鐘的設(shè)備進

行時鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時間的多種

應(yīng)用。如果防火墻系統(tǒng)時間不正確，將導致其產(chǎn)生的系統(tǒng)日志、操作日志、安全事件日志等

失去時效性，給日常維護和故障定位帶來諸多不便。

參考配置思路：

啟用防火墻NTP功能，同步正確的當前系統(tǒng)時間。對于防火墻插卡需注意在啟用NTP

后禁用ACSEI客戶端功能，避免出現(xiàn)時鐘同步?jīng)_突。

#

ntp-serviceunicast-server

#

第9頁共61頁

編號：

時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第1。頁共61頁

FW?7、（必選）采用二進制格式輸出Userlog日志

應(yīng)用說明：

ComwarcV5平臺防火墻支持Userlog日志輸出功能。設(shè)備根據(jù)業(yè)務(wù)報文的5元組（源

IP地址、目的IP地址、源端口、目的端口、協(xié)議號）對網(wǎng)絡(luò)流量進行分類統(tǒng)計，并生成Userlog

日志。Userlog日志會記錄報文的5元組、發(fā)送接收的流量大小等信息。網(wǎng)絡(luò)管理員利用這

些信息可以實時跟蹤、記錄用戶訪問網(wǎng)絡(luò)的情況，增強網(wǎng)絡(luò)的安全性與可審計性。

防火墻Userlog日志支持以下兩種輸出方式，在實際部署時必須采用第2種方式：

1、以系統(tǒng)信息格式輸出至信息中心，再由信息中心決定日志的最終輸出方向。

2、以二進制格式封裝成UDP報文直接輸出至指定的Userlog日志主機。

參考配置思路：

在防火墻Web配置頁面中，配置Userlog日志輸出參數(shù)時，不勾選“日志輸出到信息中

心”。具體配置界面示例如下：

在“日志管理”一“會話日志”一“全局設(shè)置”中，注意僅開啟“發(fā)送會話刪除日志”。

第10頁共61頁

編號：

時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第11頁共61頁

FW?8、（必選）SSLVPN采用IP接入方式配置資源

應(yīng)用說明：

ComwareV5平臺防火墻部分型號設(shè)備支持SSLVPN功能,可實現(xiàn)遠程用戶安全接入訪

問內(nèi)網(wǎng)資源。受SSLVPN實現(xiàn)原理限制，在實現(xiàn)部署時應(yīng)盡量避免使用Web方式、TCP

方式配置內(nèi)網(wǎng)資源，盡量使用IP方式配置，以實現(xiàn)更好的業(yè)務(wù)兼容性及穩(wěn)定性。

參考配置思路：

配置SSLVPN時，推薦采用IP方式進行內(nèi)網(wǎng)資源配置。

FW?9、（必選）DNS協(xié)議應(yīng)用層老化時間配置優(yōu)化

應(yīng)用說明：

ComwareV5平臺防火墻支持根據(jù)包含DNS協(xié)議在內(nèi)的應(yīng)用層協(xié)議進行會話檢測與管

理功能。為提高防火墻處理效率，避免DNS業(yè)務(wù)流相關(guān)會話表項在防火墻內(nèi)存中駐留過長

時間。建議當啟用ALGDNS功能時，設(shè)置較短的DNS協(xié)議應(yīng)用層老化時間。

參考配置思路：

出廠默認配置未啟用ALGDNS功能，若根據(jù)客戶業(yè)務(wù)需要啟用后，應(yīng)注意配置DNS

協(xié)議應(yīng)用層老化時間為5秒。防火墻Web頁面具體配置示例如下圖所示：

第11頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第12頁共61頁

應(yīng)用層協(xié)議老化時間

DN噲話的老化時間：5*（5-10000?,缺省值=60）

FTP會話的老化時間：36004（5-10000?,缺省值=3600）

MSN會話的老化時間：3600*（5-10000瞅缺省值=3600）

QQ會話的老化時間：的4（5-10000?,缺省值=60）

SIP會話的老化時間：300*（5-10000配，缺省值:300）

星號（*）為必須填寫項

確定

FW-10s（必選）防火墻不啟用QoS功能

應(yīng)用說明：

防火墻支持部分ComwareV5平臺QoS功能，如QoSCAR限速。但啟用防火墻QoS

功能會對其轉(zhuǎn)發(fā)性能造成非常大的影響，因此當防火墻轉(zhuǎn)發(fā)業(yè)務(wù)流量較大時不要配置啟用任

何QoS策略。

參考配置思路：

不在防火墻上配置QoS策略＜

FW.11、（必選）防火墻地址對象范圍地址配置優(yōu)化

應(yīng)用說明：

ComwareV5防火墻支持通過在域間策略中引用資源對象來簡化配置工作，當管理員在

進行地址對象的配置時，可通過主機地址、范圍地址、子網(wǎng)地址三種方式進行配置。當需要

對較大范圍的地址進行匹配時，建議盡量使用子網(wǎng)地址方式，否則會對設(shè)備性能產(chǎn)生較大影

響。

參考配置思路：

防火墻上進行大量地址的對象資源配置時，盡量采用子網(wǎng)地址方式進行配置。下圖所示

為反例，萬不可效仿:

第12頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第13頁共61頁

FW?12、（必選）部分型號防火墻業(yè)務(wù)端口選擇建議

應(yīng)用說明：

部分ComwareV5平臺防火墻受硬件設(shè)計原因所限，其GigabitEthernetO/4、

GigabitEthernetO/5端口轉(zhuǎn)發(fā)性能較低，在設(shè)備部署實施過程中應(yīng)避免將其應(yīng)用為業(yè)務(wù)端口或

雙機熱備口，建議可用作設(shè)備帶外管理端口并劃分至系統(tǒng)管理區(qū)域。

適用本優(yōu)化建議的產(chǎn)品型號具體包括：

SecPath系列FW：F1OOOS-ELF1OOOC-SLF1OOA-SLF100M-SLF100E-G、F100A-G、

F100M-G

SecPath系歹UUTM：U200?A、U200-M、U200-CA

參考配置思路：

不在上述型號FW或UTM設(shè)備上將GigabitEthernetO/4.GigabitEthernetO/5配置為業(yè)務(wù)

端口或雙機熱備口，可將其用于帶外網(wǎng)管口并劃分至Management區(qū)域。

FW-13、（必選）禁用會話加速功能

應(yīng)用說明：

會話加速功能可以在特定應(yīng)用場景下提升防火墻設(shè)備的每秒新建連接性能。需要注意的

是，如果會話發(fā)起方報文的出接口與響應(yīng)方報文的入接口不同，并且兩個接口上的業(yè)務(wù)配置

也不相同，則不能實現(xiàn)會話加速。該功能可以在特殊應(yīng)用場景中提高設(shè)備轉(zhuǎn)發(fā)性能，但由于

第13頁共61頁

編號：

時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第14頁共61頁

其應(yīng)用場景畢竟有限，因此通常情況下應(yīng)該保持默認配置，即關(guān)閉此功能。

參考配置思路:

“會話加速”功能的配置界而在Web管理頁中的“防火墻”一“會話管理”一“高級

設(shè)置”一“會話加速”，去掉“啟用會話加速”&選框的勾并單擊“確定”按鈕即可關(guān)閉本

功能。

虛擬分片重組ASPF會話加速

啟用會話加速

確定

FW?14、（必選）禁用ACL加速功能

應(yīng)用說明：

ComwareV5平臺防火墻部分型號產(chǎn)品支持ACL加速特性，通過啟用該特性，可使軟

件在對單個ACL中存在大量規(guī)則時的查找匹配速度更快。但另一方面，當啟用某條ACL

的加速特性后，不允許再對該ACL進行任何修改，否則會造成加速失效，規(guī)則查找匹配將

出現(xiàn)混亂。為避免日常維護過程中因操作失誤，導致管理員在啟用ACL加速的狀態(tài)下修改

規(guī)則導致配置失效，在實際生產(chǎn)環(huán)境中建議禁用ACL加速功能。

參考配置思路：

在防火墻Web配置頁面中，禁用ACL加速功能。停止加速后，正確的狀態(tài)如下圖所示:

ACL加速狀態(tài)圖標描述：?已加速。未加速鐵效

|訪問控制列凄ID?查詢_||高級查詢

□訪問控制列裹ID類型規(guī)則數(shù)里匹配I順序描述ACL加速管理操作

□3001高級1用戶配置61口諫爭!1

□3002高級2用戶配置61解

新建刪除選中刪除全部

第14頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第15頁共61頁

FW-15.（必選）禁用域間策略加速功能

應(yīng)用說明：

ComwareV5平臺防火墻部分型號產(chǎn)品支持域間策略加速特性，通過啟用該特性，可使

軟件在進行域間策略查找匹配時速度更快。但另一方面，某兩個安全區(qū)域之間啟用域間策略

加速特性后，不允許再對該域間的任何策略進行修改，否則會造成加速失效，策略查找匹配

將出現(xiàn)混亂。為避免日常維護過程中因操作失誤，導致管理員在啟用域間策略加速的狀態(tài)下

修改規(guī)則導致配置失效，在實際生產(chǎn)環(huán)境中建議禁用域間策略加速功能。

參考配置思路：

在防火墻Web配置頁面中，禁用域間策略加速功能。停止加速后，正確的狀態(tài)如下圖

所示：

ACL加速狀態(tài)圖標描述：?己加速G未加速鐵效

源域目的域規(guī)則數(shù)量ACL加速管理

UntrustTrust1

DMZUntrust16io諫

UntrustDMZ1

FW?16、（必選）禁止通過ACL方式實現(xiàn)遠程管理訪問

控制

應(yīng)用說明：

為提高防火墻在網(wǎng)運行健壯性，管理員應(yīng)嚴格限制可以遠程訪問設(shè)備的源主機IP地址。

在配置此類策略時，注意不要通過軟件ACL方式做簡單限制。例如，以下兩種通過配置方

式都是不推薦的。

1、在user-interface下配置ACL,對SSH做訪問控制。

user-interfacevty04

acl2001inbound

2、在IPHTTPS后面配置ACL,對HTTPS做訪問控制。

iphttpsacl2001

第15頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第16頁共61頁

參考配置思路：

在防火墻上配置限制可以遠程訪問本設(shè)備的主機源IP地址，應(yīng)通過配置防火墻域間策

略實現(xiàn)。

FW-17>（必選）禁止使用弱口令

應(yīng)用說明：

防火墻遠程管理相關(guān)SNMP、SSH/Telent.等功能，一般通過用戶名密碼對管理員或管

理服務(wù)器進行認證和鑒權(quán)。在實際部署過程中，不得因貪圖一時方便而使用弱口令，給系統(tǒng)

安全留下隱患。

參考配置思路：

設(shè)備開局部署階段及時做好密碼管理工作，避免使用弱口令，推薦啟用password-control

相關(guān)功能。

FW?18、（必選）禁止使用動態(tài)鏈路聚合模式

應(yīng)用說明：

ComwareV5平臺防火墻支持二三層鏈路聚合功能，受性能因素影響，在實際開局部署

過程中，應(yīng)采用靜態(tài)鏈路聚合模式進行配置。

參考配置思路：

設(shè)備開局部署階段需要啟用鏈路聚合功能時，使用靜態(tài)鏈路聚合模式。

FW-19>（必選）IPSecVPN模板策略配置優(yōu)化

應(yīng)用說明：

ComwareV5平臺防火墻支持“中心一一分支"型IPSecVPN,為簡化中心側(cè)設(shè)備配置，

可以采用模板方式進行策略配置。管理員在進行模板策略配置時，須特別注意不要配置成如

第16頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第17頁共61頁

下形式，即每個分支節(jié)點對應(yīng)一個不同的模板。由于最終的IPSec策略中引用了多個模板，

會導致軟件匹配查找時效率大大降低。

錯誤的配置方式：

ipsecpolicy-templatetcmp_l1

ipsecpolicy-templatetemp_21

ipsecpolicy-templatetemp_3I

ipsecpolicytest1isakmptemplatetemp_l

ipsecpolicytest2isakmptemplatetemp_2

ipsecpolicytest3isakmptemplatetemp_3

參考配置思路：

正確的配置方式為：若各分支節(jié)點IKE協(xié)商參數(shù)相同，則推薦使用單個策略模板進行

匹配；若各分支節(jié)點IKE協(xié)商參數(shù)不同，則應(yīng)當利用策略模板中的序列號參數(shù)創(chuàng)建多個不

同協(xié)商參數(shù)的策略組合，而整體上仍然保持只有一個策略模板，這樣便可以極大地優(yōu)化軟件

處理效率及速度。

正確的配置方式：

ipsecpolicy-templatetemp1

ipsecpolicy-templatetemp2

ipsecpolicy-templatetemp3

ipsecpolicytestIisakmptemplatetemp

FW?20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù)

應(yīng)用說明：

防火墻各三層業(yè)務(wù)口默認狀態(tài)下TCPMSS參數(shù)值為1460字節(jié)，加上TCP包頭及IP包

頭長度后正好為以太網(wǎng)最大負載長度1500字節(jié)，當報文從普通以太網(wǎng)端口發(fā)出時無需進行

IP分片操作。但在諸如L2TPVPN、GREVPN、IPSecVPN等防火墻常見應(yīng)用場景中，由于

防火墻在進行業(yè)務(wù)報文轉(zhuǎn)發(fā)前需額外封裝包頭，導致報文最終長度會超過接口MTU,引起

IP分片操作，大大降低流量處理效率。因此，在防火墻開局部署階段應(yīng)該注意根據(jù)實際鏈

第17頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第18頁共61頁

路及配置情況，靈活調(diào)整TCPM3S參數(shù)值，避免防火墻轉(zhuǎn)發(fā)報文過程中執(zhí)行1P分片操作。

參考配置思路：

在配置VT端口或Tunnel端口后，需在端口上根據(jù)物理接口MTU計算并修改合理的

TCPMSS參數(shù)，通常修改為1400字節(jié)。命令行配置示例如下：

#

interfaceVirtual-Template!

topmss1400

#

interfaceTunnel1

tcpmss1400

tunnel-protocolipsecipv4

#

在配置IKE/IPSecVPN策略時，應(yīng)根據(jù)業(yè)務(wù)流量走向規(guī)劃，在業(yè)務(wù)流量對應(yīng)防火墻的入

出業(yè)務(wù)接口修改TCPMSS參數(shù)，保證經(jīng)IPSec封裝后的報文長度不會引起防火墻執(zhí)行IP分

片操作，通常修改為1350字節(jié)。

FW?21、（可選）利用域間策略對防火墻實施路由環(huán)路

保護

應(yīng)用說明：

可以利用域間策略來將防火墻接收到的三層環(huán)路報文丟棄處理，例如存在路由環(huán)路的接

口已添加至Trust區(qū)域，則可以配置從Trust到Trusi的域間策略，動作配置為Deny,從而

將防火墻從Trusi接收但仍將轉(zhuǎn)發(fā)至Trust區(qū)域的報文直接丟棄。注意實施該配置方法的前

提，即配置防火墻安全區(qū)域時，提前按業(yè)務(wù)及組網(wǎng)需求規(guī)劃好各個安全區(qū)域，不能簡單地將

全部接口加入同一個安全區(qū)域中。若同一區(qū)域已包含多個接口，且各接口之間確有業(yè)務(wù)互訪

需求時，可以先配置相應(yīng)的允許策略，再配置防環(huán)路策略：或者重新將各個接口劃分至不同

的安全區(qū)域中，再配置防環(huán)路策略。

參考配置思路:

第18頁共61頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第19頁共61頁

綜合以上原則，假設(shè)Trusl區(qū)域僅包含一個物理端口，無內(nèi)部無訪需求，為實現(xiàn)防止內(nèi)

網(wǎng)口三層環(huán)路報文沖擊防火墻，在Web管理界面中防環(huán)路策略配置如下圖所示:

4原域5?1|徽直海

琮慢目的回ID目的鶴時同段過闞昨內(nèi)吝述日模板量遂啟用選項日起雁fMACjewa?MACjew

多金

BTrustTrust0arwaMressanyadsessam,seviceDeny礴

電＜

FW-22.（可選）虛擬分片重組功能配置優(yōu)化

應(yīng)用說明：

為了避免每個業(yè)務(wù)模塊（如：IPNec、NAT和防火墻）單獨處理后片先到（報文分片后）

而導致復雜度過高，設(shè)備需要將收到的IP報文執(zhí)行虛擬分片重組功能，以實現(xiàn)對IP分片報

文的檢驗、排序和緩存，保證其它后續(xù)業(yè)務(wù)模塊處理的都是順序正確的IP分片報文。另外，

IP虛擬分片重組功能還可以對分片攻擊進行檢測，如果檢測到分片攻擊行為，設(shè)備可以丟

棄收到的異常分片報文，提高設(shè)備的安全性與性能。

參考配置思路：

當防火墻出現(xiàn)IP大包不通或丟包現(xiàn)象時，可以在虛擬分片重組功能配置頁面，將“分

片隊列數(shù)”和“分片報文數(shù)”調(diào)整至最大值，老化時間保持默認值即可。

r防火墻

產(chǎn)安全策略成概分片重擔ASPF會話力使

卜域間融

后全區(qū)域Trust▼

策蹄加速

函使能虛擬分片重蛆

一域間策解組

一策露匹螺統(tǒng)計分片隊歹蛾：,1024*（1-1024,缺省0=64）

引用關(guān)系查調(diào)

分片報文數(shù)：■5―*《1-255,缺省值=16）

-ONAT

分片隊列走做寸間：3型（1