H3C新一代防火墙平台维护指南

1、H3C 新一代防火墙V5平台维护指南技术创新 变革未来引入V5平台防火墙软件特性V5平台防火墙维护注意事项目录V5平台防火墙软件特性V5平台防火墙维护指导2Comware V5防火墙软件版本3B70平台 F5000A R3206/F1000E R3166/UTM(F1000-S-EI) R5116 Web管理页面整改、域间策略、板卡支持4G内存B83平台 F1000E F3169/F5000A F3207/UTM(F1000-S-EI) F5123 双机热备配置同步、IPv6包过滤、链路聚合、GRE P2MPB98平台 F1000E F3171/F5000A F3210/F1000-X-XI

2、R3721 盒式产品支持SSL VPN、虚拟防火墙独立管理B108平台 F1000E F3174/F1000-X-G E3725/F100-X-G R5136 除负载均衡、会话加速、SSLVPN外，支持命令行配置 板卡支持NAT444、支持新建连接数MIB节点防火墙管理方式选择遇Web页面打不开，先清浏览器缓存并开启“兼容性视图”。4系统配置管理防火墙配置文件有CLI和Web共两个。5系统服务管理默认仅开启HTTP服务，端口号80。设备默认产生的CA、Local证书仅满足基本SSL需求。6系统时间管理插卡类防火墙重启后时间会丢失推荐通过NTP服务同步系统时间注意准确配置系统时区7链路聚合支持情

3、况支持二层、三层聚合支持跨板聚合不支持动态聚合IRF28路由协议支持情况仅F5000A支持ISIS仅F5000A支持BFDPIMOSPFStaticRIPISISBGP9安全区域防火墙自身接口属于Local区域。Management仅能与Management、Local区域互通。新版本系统默认域间策略转发规则为全部阻断，老版本系统 默认安全区域之间按照优先级进行转发。B108平台支持“Any域”，在根墙中代表除Management区域外其他全部安全区域，在虚墙中代表全部安全区域。10安全区域部署示例防火墙所有接口属于Local区域将某个接口加入安全区域代表该接口所连接网络属于该区域防火墙接收报

4、文时，安全区域属性判定与转发模式有关与Vlan接口类似的还有Tunnel接口、VT接口等Management/24DMZ_A/24DMZ_B/24Trust/8G1/1G1/2V-if Zone UntrustLocal AreaV-if Zone DMZG0/0G0/1G0/2G0/311域间策略域间策略模块相对比较稳定。注意资源对象、策略的配置方法。注意策略与会话的关系。善用域间策略以实现加固系统的目的。12慎用域间策略加速相同源、目的域之间有大量规则时使能才有意义。域间策略加速后不能再修改域间策略，会引起策略失效。先关闭加速 、修改策略后再重新加速。非特定测试类场景不启用该功能。ACL加

5、速与之类似。13会话表能够读懂会话表项中的每一项信息是安全工程师基本技能。14关联表关联表由ALG功能模块产生。负责应用层地址转换、数据通道检测等重要功能。15会话/关联表项、域间策略、报文转发未开启“保存上 一跳”功能， 会 话表项不决定如 何转发报文。开启“保存上一 跳”功能，会话 表项决定如何转 发反向报文。接收报文查找二三层转发表项、 确定目的安全区域、 创建会话表项查找二三层转发表 项后转发按域间策略处理 若过滤动作为允许 则查找二三层转发 表项后转发并创建 会话表否则丢弃报文且不 创建会话表项是按默认策略处理16是是否匹配当 前会话表或 关联表某具 体表项否是否命中用 户自定义域

6、间策略否合理调整会话表项老化时间同等条件下：会话老化时间调得比缺省值更短，防火墙并发 连接数会减少；调得比缺省值更长，并发连接数会增加。17单向流检测、TCP会话长连接使能单向流检测功能，防火墙允许同一条流仅有单方向报文 经过防火墙并建立会话表项。但其会大大降低了防火墙的安 全性。仅在V5防火墙与其它设备组网且流量来回路径不一 致时开启。长连接会话，ACL条目越精细越好，老化时间越合理越好。18UserlogUserlog不仅要配置日志版本、日志主机，还要配置日志输出策略，否则防火墙不产生日志信息。Userlog支持以二进制流格式或Syslog格式输出至日志主机。19报文异常检测安全区域为攻击

7、报文来源区域。ICMP不可达报文、ICMP重定向报文、Tracert报文建议不选。20流量异常检测安全区域为攻击来源区域。仅TCP SYN Flood攻击防范支持Proxy功能。21虚拟分片重组仅对三层IP分片报文有效。功能默认开启，安全区域为报文来源区域。按默认配置估算，防火墙最大可处理IP报文为1500*16字节。22双机热备会话同步与配置同步双机热备分为会话同步和配置同步两大主要功能配置同步目前仅支持自动同步，且必须在配置主设备上操作备份接口间支持跨IEEE 802.1Q交换机桥接备份接口支持内联万兆口23NAT配置与双机热备双机热备组网中，两台防火墙配置NAT时需做好地址规划。双机热备

8、主备关系组网，须配置VRRP，并将NAT命令与VRRP组绑定。注意地址池优先级。涉及VPN-Instance的，配置NAT命令时也不能少。24虚拟防火墙虚拟防火墙不同虚墙之间的关系、及安全区域及域间策略。虚拟防火墙与VRF（vpn-instance）之间的关系。虚拟防火墙的会话表。虚拟防火墙的登录、配置、管理。25SSL VPN26SSL VPN基本特性 B98平台合入功能，仅支持IP资源接入 无需外接扩展卡或加密卡 无需客户采购License SecPath F5000A、SecBlade规格不支持 支持Windows XP/Vista/7 32bit/64bit操作系统 支持IE6.0/7

9、.0/8.0/9.0 32bit/64bit(later)浏览器环境 本地可创建用户数参考 1000(FW)/100(UTM) 同时在线用户数参考 100(FW)/50/(UTM)SSL VPN注意事项客户端软件需在操作系统及浏览器环境运行，须避免其对客户端软件的影响。避免杀毒软件、360安全卫士等安全软件对SSL VPN客户端启动运行产生的影响。27不同型号防火墙软件特性细节差导产品手册详细记录了各型号设备对某软件特性的支持情况。某软件特性 在具体的产 品型号上是 否提供支持关于该软件 特性的一些 重要说明28目录V5平台防火墙软件特性V5平台防火墙维护指导29F5000A的绊脚石buffe

10、r小5* 1GE2* 1GE10GE1GE2* 1GE link-aggregation302* 1GE link-aggregation“以多欺少”“以大欺小”“分赃不均”上面三种场景在业务流量突出较多时容易出现转发丢包“以多欺少”、“以大欺小”要在组网规划时避免。HASH不均可通过配置聚合链路逐包分担缓解。SecBladeII 跨Vlan二层转发部署跨Vlan二层转发部署容易引起二层环路，不推荐。VLAN 20VLAN 1031VLAN 20VLAN 10双机热备那些事儿一条数据流不应同时经过形成双机热备关系的两台防火墙“支持非对称路径”和“不支持非对称路径”单卡每秒新建会话性能减半32事

11、故多发地段ALGH3Cundo alg ?allEnable all ALG function dnsEnable dns ALG function ftpEnable ftp ALG function gtpEnable GTP ALG function h323Enable h323 ALG function ilsEnable ils ALG function msnEnable MSN ALG function nbtEnable nbt ALG function pptpEnable PPTP ALG function qqEnable QQ ALG function rtspEna

12、ble rtsp ALG function sccpEnable SCCP ALG function sipEnable sip ALG function sqlnetEnable sqlnet ALG function tftpEnable TFTP ALG function33V5平台ALG模块已知问题较多，在维护过程中建议将不 用的模块尽量关闭。“两高”High CPU、High MemoryH3C display cpu-usage Unit CPU usage:67% in last 5 seconds55% in last 1 minute60% in last 5 minutes

13、H3C-hidecmddisplay cpu-usage task= Current CPU usage info = CPU Usage Stat. Cycle: 51 (Second)CPU Usage : 65%CPU Usage Stat. Time : 2013-04-03 06:20:39CPU Usage Stat. Tick : 0 x107(CPU Tick High) 0 xaeb91808(CPU Tick Low) Actual Stat. Cycle : 0 x0(CPU Tick High) 0 xccdb530b(CPU Tick Low)TaskNameCPUR

14、untime(CPU Tick High/CPU Tick Low)VIDL30%0/b91b29fcTICK0%0/ 78640fSTMR4%0/ 895bf10DRVT4%0/ 8489d36TMSG0%0/331a42IPCB0%0/be3fbRPCQ0%0/36621eVP0%0/328ADJ60%0/8679IPCM0%0/f63ac39955%0/0%0/ 1a249INFOOMS- More -控制平面CPU使用率info-center进程占用率高H3Cdisplay memorySystem Total Memory(bytes): 3212817600 Total Used

15、Memory(bytes): 3105304620Used Rate: 96%内存占用率高主 要由于会话表项 数量多造成Comware V5平 台会话管理模块占 用内存回收缓慢 ，紧急情况可通 过重置会话表，即执行resetsession命令临时 缓解和恢复(大流 量下可能造成设 备重启，需谨慎)34Session Flood类攻击分析与判断display session statisticsCurrent session(s): 2000298CurrentTCP session(s): 1993223Half-Open: 1980032Half-Close: 2543Current Cur

16、rent CurrentUDP session(s): 5692ICMP session(s): 1380RAWIP session(s): 3Current relation table(s): 0Session establishment rate:65443/sTCPSession establishment rate:63443/sUDPSession establishment rate:1495/sICMPSession establishment rate:505/sRAWIPSession establishment rate:0/sReceivedTCP:51475234 p

17、acket(s)875581044 byte(s)ReceivedUDP:1153404 packet(s)456559980 byte(s)ReceivedICMP:4383187 packet(s)561047936 byte(s)ReceivedRAWIP:1130 packet(s)42708 byte(s)DroppedTCP:359965 packet(s)33467904 byte(s)DroppedUDP:213260 packet(s)6535692 byte(s)DroppedICMP:21578 packet(s)179806 byte(s)DroppedRAWIP:0

18、packet(s)0 byte(s)TCP半开会话比例异常TCP会话新建速率异常35Session Flood类攻击防范36分析攻击类型 查看防火墙会话表，分析攻击流量 常见Flood类攻击包括源地址固定、目的地址固定等 攻击流量的目的IP是否是防火墙自身 大流量广播报文也要引起重视制定应对手段 域间策略 黑名单 URPF实施精确打击自身性能代价最小专克源IP地址欺骗 攻击防范策略 根据管理员阈值配置抵御DoS流量多核CPU转发Comware V5平台防火墙采用多核多线程CPU架构。控制核与转发核逻辑分离。转发线程默认使用逐包分担，可改为逐流分担。37吞吐量、快速转发表、会话加速Comware

19、 V5平台防火墙默认开启IP快速转发。默认配置，当会话表进入稳定状态后建立相应快转表。H3C-hidecmd display ip fast-forwarding statistics Ip fast-forwarding state : enableIp fast-forwarding enable-Update time : 5000 ms Update max num : 128 Cache used :valid used caches : 0 wait free caches : 0 total used caches : 0Cache freeing :current free c

20、aches : 0 next free caches : 0 idle free caches : 0 total free caches : 0-Hash bucket number: 4194304Hash bucket capability : 4Hash no hit buckets: 4194304 Hash hit buckets: 0Hash Buckets use statistics(Capability : Number):- More -38运行中重启问题H3C-hidecmddisplay exception 10 verbose= exception info (no

21、: 0) =390 x20 NMI0 x81345B4C00Exception Number: Exception Name: Exception Instruction: Exception Slot: Exception VCpu: Exception Task:Exception Stack Base: Exception Time: Exception Tick:vt0 (TID: 75)0 x804bbfe82012-11-28 07:25:360 x57(CPU Tick High) 0 xa69ad3e7(CPU Tick Low)Register contents:Reg:zero, Val = 0 x00000000 ; Reg:at, Val = 0 x82cd0000 ;Reg:v0, Val = 0 x8205ff0c ; Reg:v1, Val = 0 x8205ff04 ;Reg:a0, Val = 0 x81345b4c ; Reg:a1, Val = 0 x014b3796 ;Reg:a2, Val = 0 x955dce28 ; Reg:a3, Val = 0 x00000101 ;Reg:t0, V