Eudemon防火墙产品使用注意事项20060420-A.docVIP

华为产品维护资料Eudemon防火墙产品使用注意事项2006/4/23Eudemon防火墙产品使用注意事项声明Copyright 2005华为技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。、HUAWEI、华为、C&C08、EAST8000、HONET、视点、ViewPoint、INtess、ETS、DMC、TELLIN、InfoLink、Netkey、Quidway、SYNLOCK、Radium、雷霆、M900/M1800、TELESIGHT、Quidview、Musa、视点通、Airbridge、Tellwin、Inmedia、VRP、DOPRA、iTELLIN、HUAWEI OptiX、C&C08 iNET、NETENGINE、OptiX、iSite、U-SYS、iMUSE、OpenEye、Lansway、SmartAX、边际网、infoX、TopEng均为华为技术有限公司的商标。对于本手册中出现的其它商标，由各自的所有人拥有。由于产品版本升级或其它原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术支持技术支援网址：客户服务邮箱：客户服务电话：8008302118真址：深圳市龙岗区坂田华为总部办公楼邮编：518129目 录声明i技术支持iEudemon防火墙产品使用注意事项11 Eudemon防火墙产品使用注意事项11.1 防火墙组网注意事项11.2 防火墙双机热备份使用注意事项11.3 防火墙硬件板卡配置注意事项31.4 防火墙升级注意事项41.5 防火墙安装注意事项41.6 防火墙攻击防范注意事项41.7 防火墙NAT应用注意事项41.8 防火墙日常维护注意事项51.9 防火墙P2P应用注意事项5ii华为产品维护资料 Eudemon防火墙产品使用注意事项2006/4/20Eudemon防火墙产品使用注意事项1 Eudemon防火墙产品使用注意事项1.1 防火墙组网注意事项1) 不建议使用防火墙参与动态路由计算，特别不建议在OSPF和BGP中引入大量路由。由于内存有限，大量的路由会占用很多内存，导致防火墙会话表容量降低，同时路由计算会消耗大量的CPU资源，在链路动荡时严重影响防火墙的性能。2) 尽可能避免来回路径不一致情况。存在来回路径不一致时，会导致防火墙无法识别正常的会话状态，影响TCP连接的正常建立，如何关闭防火墙状态检查，则防火墙只能进行普通的包过滤，部分攻击防范能力会失效。3) 当存在来回路径不一致时，必须配置undo firewall session link-state check和firewall fragment-forward enable允许分片报文通过。4) 使用透明模式组网时避免出现二层环路，避免透传所有VLAN。5) 每种防火墙都有会话表数量限制，使用中应考虑业务容量，避免会话表规格不满足情况出现。6) 负载分担的组网是一种很复杂的组网，需要和上下行设备紧密配合才能正常工作。目前不能支持与路由器的负载分担组网。7) 双机热备组网时，VRRP组号不能和网络中其它华为设备（不限于防火墙设备）的VRRP组号重复。否则会引起虚MAC地址冲突。8) Eudemon500工作在混合模式，不要使用VLANIF作为业务网关。1.2 防火墙双机热备份使用注意事项1) 双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份。2) 由于双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡的位置，以及接口卡的类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。3) 进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。4) 在VRRP管理组中添加组成员时，注意不要在承载业务的组成员上配置transfer-only参数。该参数只用于防火墙之间的心跳接口上。5) 对于Eudemon500和Eudemon1000产品，在混合模式的双机热备组网中，不能采用心跳口的VRRP备份组监视透明模式的业务端口的方式。6) 在Eudemon500/1000中，需要将透明模式的业务端口加入到vlan，并在vlan下配置set vgmp vgmp-id 命令将vlan与VRRP管理组绑定。当该vlan中有业务端口出现故障时，与之绑定的VRRP管理组将会降低优先级（默认降低数值为10），从而触发主备切换。由于没有使用track功能，所以VRRP管理组的优先级必须配置具体的数值，不能使用using-vrrppriority的方式。7) 当防火墙工作在混合模式时，Eudemon200防火墙设置允许备防火墙转发报文的命令为：firewall mode composite permit-backupforward，而在Eudemon500/1000上该命令为：firewall composite-hrp permit-backupforward8) 在Eudemon200上有hrp permit-backupforward命令，当防火墙处于备状态时，该命令允许备防火墙根据从主防火墙备份过来的连接状态数据来转发报文。在Eudemon500/1000上没有此命令。9) Eudemon200防火墙的双机热备份组网中，所有需要备份的数据都通过VRRP管理组内的数据通道来备份；但对于Eudemon500/1000防火墙，VRRP管理组内的数据通道只能备份关键配置，无法备份连接状态数据。10) 双机热备份组网中不支持easy-ip的组网方式11) 当防火墙工作在混合模式下，且与二层上下行设备组网时，要禁止备防火墙转发报文（默认即禁止），否则易形成二层转发环路。12) 当防火墙工作在混合模式下时，上下行设备学习到的ARP为实接口的MAC地址。在防火墙由主切换到备时，上下行设备可能无法感知到这种切换，此时需要将业务端口down以促使上下行设备更新ARP表项。为了在管理组状态由主切换到备时能自动执行此操作，需要在管理组中为业务端口配置triggerdown命令。注：在Eudemon500/1000下有其他机制能达到此目的，因此无需配置。13) 与防火墙相连的上下行设备如果配置了STP功能，在防火墙主备切换时可能影响流量的倒换，因此需要在这些接口上取消STP功能。14) 在混合模式的组网中，如果上下行设备运行动态路由协议，则要允许备防火墙转发报文（默认不允许），否则动态路由协议报文也无法通过备防火墙。另外对于上行或者下行设备，需要将与主备防火墙相连的接口配置的不同的vlan中以防止产生二层环路。15) 如果要使用VRRP备份组的track功能来监视其它接口，则相应管理组的优先级必须用using-vrrppriority方式来计算，否则track功能就不起作用。16) 当VRRP备份组加入到VRRP管理组后，在VRRP备份组上配置的抢占标志将不起作用，其切换过程完全由所属的VRRP管理组控制。另外当VRRP管理组的优先级是直接指定数值时，则加入该管理组的所有VRRP备份组成员的优先级也将不再起作用，组成员的主备状态完全由其所属的管理组决定。17) 当直接给VRRP管理组优先级赋值时，要注意主备防火墙上对应管理组优先级的差别不要太大。合理的差值是要保证当主防火墙管理组内任一组成员出现故障后优先级会降低到备防火墙管理组的优先级以下，从而确保能发生主备切换。18) 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。1.3 防火墙硬件板卡配置注意事项1) 在E200上不要使用1FE网卡。2) E500的第3槽位为低速卡槽位，只能安装低速加密卡。3) 高速卡优先使用第2槽位。4) 对于8FE卡尽可能不使用1号和6号端口注：第3、4两个问题只在老版本里存在，在P2P分支版本D020以后已解决，基线版本在D045以后解决。5) 尽可能不要使用2GE模块，由于两个GE接口共享一条总线，在有突发流量时可能会丢包，可以只使用其中一个接口，另一个接口闲置。6) 对E200优先使用主控板上的以太网接口，该接口的性能比模块的接口性能高。7) 对E500和E1000，不要使用主控板上的以太网接口，否则该接口的流量稍大时就会影响高速接口卡的性能。1.4 防火墙升级注意事项1) 升级前需仔细阅读针对该版本的升级指导书。检查配置是否有更改、设备版本和网管版本是否配套。2) 版本下载到FLASH后需要重新指定启动文件，否则启动后新版本无法生效。1.5 防火墙安装注意事项1) 防火墙在安装时必须可靠接地，否则会引起端口误码、丢包甚至频繁up/down，更严重时会导致系统异常复位。2) 扩展模块暂不支持热插拔功能，安装、拆卸模块需要在关机的情况下进行。1.6 防火墙攻击防范注意事项1) 配置UDP-Flood 攻击防范时注意选择合适的阀值，阀值过大影响防范效果，阀值过小会影响正常的业务。2) 存在来回路径不一致时不要打开基于接口的TCP Flood攻击防范。1.7 防火墙NAT应用注意事项1) 不要使用一对一地址映射模式（即NO_PAT模式）。2) E500/1000不支持EasyIP方式的NAT转换，E500/1000的地址池中的地址可以包含接口地址，可使用地址池的方式模拟EasyIP方式。3) Eudemon1000/500支持一个私网对一公网、以及一个私网地址对应多个公网地址的情况（ 可以通过一台服务器为外部提供多种服务（如：FTP、邮件服务器、HTTP服务器等）， 这些服务器在外面表现的为不同的公网IP）。4) E500/1000在透明模式时可以做NAT，要求地址池的地址和防火墙两端设备地址不在一个网段内，而E200在透明模式时无法实现NAT功能。5) 目前的版本不支持SIP协议的NAT穿越，在NGN组网中需注意规避。6) Eudemon1000/500若配置 NAT Server, 若服务器主动发起连接，必须在对应的域间配置NAT Outbound， 对应的ACL中允许 NAT Server的私网地址。 NAT Outbound地址池的地址没有要求必须包括对应的 NAT Server的公网地址。7) 一些特殊协议在穿越NAT时（如FTP协议）必须配置相应协议的NAT ALG功能。8) 配置NAT Server时，配置Nat Server的包过滤规则的时候E200/E100需要配置私网地址（inside地址），但是E500/E1000目前不需要配置ACL就能访问，如果要禁止访问的话可以通过配置ACL来禁止；9) 双机热备时的NAT 地址池和NAT Server配置命令中必须跟随vrrp id 组号，否则在倒换时会导致业务中断。10) 不支持低域到高域的NAT转换。11) 避免来回路径不一致情况。12) 当存在分片报文时，需要打开分片缓存功能，firewall fragment-cache enable。13) 在做NAT时一定要关闭分片报文转发功能，执行undo firewall fragment-forward enable，否则分片报文不做NAT，而直接转发。1.8 防火墙日常维护注意事项1) 在搜集display diag 信息后需要执行undo debug all 命令，因为执行display diag 命令时会打开一些调试信息开