(完整版)天融信防火墻日常維護(hù)與常見問題.doc

1、天融信防火墻日常維護(hù)及常見問題綜述 :防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安全保護(hù)，對(duì)于企業(yè)關(guān)鍵的實(shí)時(shí)業(yè)務(wù)系統(tǒng)，要求網(wǎng)絡(luò)能夠提供7*24 小時(shí)的不間斷保護(hù)，保持防火墻系統(tǒng)可靠運(yùn)行及在故障情況下快速診斷恢復(fù)成為維護(hù)人員的工作重點(diǎn)。天融信防火墻提供了豐富的冗余保護(hù)機(jī)制和故障診斷、排查方法，通過日常管理維護(hù)可以使防火墻運(yùn)行在可靠狀態(tài)，在故障情況下通過有效故障排除路徑能夠在最短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)運(yùn)行。本文對(duì)天融信防火墻日常維護(hù)進(jìn)行較系統(tǒng)的總結(jié)，為防火墻維護(hù)人員提供設(shè)備運(yùn)維指導(dǎo)。一、防火墻的連接方式產(chǎn)品外形硬件一臺(tái)? 外形： 19 寸 1U 標(biāo)準(zhǔn)機(jī)箱串口線交叉直通交叉線管理機(jī)線

2、線Swich 、RoutePCHub接COM 口51-1產(chǎn)品提供的附件及線纜使用方式產(chǎn)品提供的附件及線纜使用方式?CONSOLE線纜UTP5雙絞線- 直通 (1 條，顏色 : 灰色 )- 交叉 (1 條，顏色 : 紅色 )使用 :直通 : 與 HUB/SWITCH交叉 : 與路由器 / 主機(jī)（ 一些高端交換機(jī)也可以通過交叉線與防火墻連）接?軟件光盤上架附件6二、防火墻的工作狀態(tài)網(wǎng)絡(luò)衛(wèi)士防火墻的硬件設(shè)備安裝完成之后，就可以上電了。在工作過程中，具用戶可以根據(jù)網(wǎng)絡(luò)衛(wèi)士防火墻面板上的指示燈來判斷防火墻的工作狀態(tài)，體請(qǐng)見下表：2-1防火墻安裝前的準(zhǔn)備在安裝防火墻之前必須弄清楚的幾個(gè)問題：1、路由走向

3、(包括防火墻及其相關(guān)設(shè)備的路由調(diào)整)確定防火墻的工作模式：路由、透明、綜合。2、IP 地址的分配 (包括防火墻及其相關(guān)設(shè)備的IP 地址分配 )根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP 地址3、數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向 (各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號(hào)或者協(xié)議類型 )4、要達(dá)到的安全目的 (即要做什么樣的訪問控制)三、防火墻的管理及登錄方式? 串口 (console) 管理方式：管理員為空，回車后直接輸入口令即可，初始口令talent, 用 passwd修改管理員密碼，請(qǐng)牢記修改后的密碼。? WEBUI 管理方式：超級(jí)管理員 :superman ，口令 :talent? TELNET

4、 管理方式：模擬 console管理方式，用戶名superman ，口令： talent? SSH 管理方式：模擬 console管理方式，用戶名superman ，口令： talent3-1防火墻的 WEBUI 管理方式在瀏覽器輸入： HTTPS:/54，看到下列提示，選擇 “是 ”輸入用戶名和密碼后，按“提交 ”按鈕3-2防火墻的 CONSOLE 管理方式超級(jí)終端參數(shù)設(shè)置：防火墻的CONSOLE管理方式防火墻的命令菜單：1防火墻的CONSOLE管理方式輸入helpmodechinese命令可以看到中文化菜單22四、防火墻日常維護(hù)防火墻輔助功能查看防火墻基本信息注：如果

5、鏈路狀態(tài)是紅色的話表示鏈路有問題，請(qǐng)查看設(shè)備物理連接;查看防火墻運(yùn)行狀態(tài)圖 1注：通過系統(tǒng)狀態(tài)的查看可以查看設(shè)備是否正常工作，以及CPU 和內(nèi)存的使用系統(tǒng)圖 2注：在當(dāng)前連接里面能看到連接的話表示防火墻的通訊是正常的；4-1如何修改防火墻口令設(shè)備支持多級(jí)用戶管理，不同類型的用戶具有不同的操作權(quán)限。用戶權(quán)限基本可分為三種：超級(jí)管理員、管理用戶與審計(jì)用戶。超級(jí)管理員是系統(tǒng)的內(nèi)建帳號(hào)，具有全部的功能權(quán)限；管理用戶可以設(shè)定和查看規(guī)則，但沒有綜合配置（例如分配管理員、配置維護(hù)等）的權(quán)限。審計(jì)用戶權(quán)限最小，只可以查看已有規(guī)則，沒有添加和修改規(guī)則的權(quán)限。五、天融信防火墻維護(hù)指南5-1 常規(guī)維護(hù)：在防火墻的日

6、常維護(hù)中， 通過對(duì)防火墻進(jìn)行健康檢查， 能夠?qū)崟r(shí)了解天融信防火墻運(yùn)行狀況，檢測(cè)相關(guān)告警信息，提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患，以確保設(shè)備始終處于正常工作狀態(tài)。1、日常維護(hù)過程中，需要重點(diǎn)檢查以下幾個(gè)關(guān)鍵信息：連接數(shù)：如當(dāng)前的連接數(shù)達(dá)到或接近系統(tǒng)最大值，將導(dǎo)致新會(huì)話不能及時(shí)建立連接，此時(shí)已經(jīng)建立連接的通訊雖不會(huì)造成影響；但僅當(dāng)現(xiàn)有的連接拆除后，釋放出來的資源才可供新建連接使用。維護(hù)建議：當(dāng)當(dāng)前連接數(shù)正常使用至85 時(shí)，需要考慮設(shè)備容量限制并及時(shí)升級(jí)，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU: 天融信防火墻是高性能的防火墻，正常工作狀態(tài)下防火墻CPU 使用率應(yīng)保持在 10% 以下，如出現(xiàn) CP

7、U 利用率過高情況需給予足夠重視，應(yīng)檢查連接數(shù)使用情況和各類告警信息，并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU 利用率過高往往與攻擊有關(guān)，可通過正確設(shè)置系統(tǒng)參數(shù)、攻擊防護(hù)的對(duì)應(yīng)選項(xiàng)進(jìn)行防范。內(nèi)存 : 天融信防火墻對(duì)內(nèi)存的使用把握得十分準(zhǔn)確，正常情況下，內(nèi)存的使用率應(yīng)基本保持穩(wěn)定， 不會(huì)出現(xiàn)較大的浮動(dòng)。 如果出現(xiàn)內(nèi)存使用率過高 （90% ）時(shí)，可以查看連接數(shù)情況， 或通過實(shí)時(shí)監(jiān)控功能檢查網(wǎng)絡(luò)中是否存在異常流量和攻擊流量。2、在業(yè)務(wù)使用高峰時(shí)段檢查防火墻關(guān)鍵資源（如：Cpu 、連接數(shù)、內(nèi)存和接口流量）等使用情況， 建立網(wǎng)絡(luò)中業(yè)務(wù)流量對(duì)設(shè)備資源使用的基準(zhǔn)指標(biāo)，為今后確認(rèn)網(wǎng)絡(luò)是否處于正常運(yùn)行狀態(tài)

8、提供參照依據(jù)。當(dāng)連接數(shù)數(shù)量超過平?；鶞?zhǔn)指標(biāo) 20 時(shí)，需通過實(shí)時(shí)監(jiān)控檢查當(dāng)前網(wǎng)絡(luò)是否存在異常流量。當(dāng) Cpu 占用超過平?；鶞?zhǔn)指標(biāo) 20 時(shí)，需查看異常流量、定位異常主機(jī)、檢查策略是否優(yōu)化。3、防火墻健康檢查信息表：設(shè)備型號(hào)軟件版本序列號(hào)設(shè)備用途防火墻設(shè)備狀態(tài)主用 / 備用工作模式透明 / 路由 / 混合檢查對(duì)象相關(guān)信息檢查結(jié)果備注連接數(shù)CPU內(nèi)存Interface路由表HA 狀態(tài)LED 指示燈設(shè)備運(yùn)行參考基線連接數(shù)Cpu內(nèi)存接口流量業(yè)務(wù)類型常規(guī)維護(hù)建議：1、配置管理 IP 地址，指定專用終端管理防火墻；2、更改默認(rèn)賬號(hào)和口令，不建議使用缺省的賬號(hào)、密碼管理防火墻；嚴(yán)格按照實(shí)際使用需求開放防火

9、墻的相應(yīng)的管理權(quán)限，并且管理權(quán)限的開放控制粒度越細(xì)越安全；設(shè)置兩級(jí)管理員賬號(hào)并定期變更口令；僅容許使用SSH 和 SSL 方式登陸防火墻進(jìn)行管理維護(hù)。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類型等），以便網(wǎng)絡(luò)異常時(shí)快速定位故障。4、整理一份上下行交換機(jī)配置備份文檔（調(diào)整其中的端口地址和路由指向） ，提供備用網(wǎng)絡(luò)連線。 防止防火墻發(fā)生硬件故障時(shí)能夠快速旁路防火墻，保證業(yè)務(wù)正常使用。5、在日常維護(hù)中建立防火墻資源使用參考基線，為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個(gè)故障告警信息，在第一

10、時(shí)間修復(fù)故障隱患。7、建立設(shè)備運(yùn)行檔案，為配置變更、事件處理提供完整的維護(hù)記錄，定期評(píng)估配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的問題和應(yīng)對(duì)措施， 條件允許情況下， 可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類故障時(shí)的處理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機(jī)故障時(shí)的路徑保護(hù)切換。9、設(shè)備運(yùn)行檔案表設(shè)備型號(hào)軟件版本設(shè)備序列號(hào)設(shè)備用途防火墻設(shè)備狀態(tài)主用 / 備用工作模式透明 / 路由 / 混合保修期限供應(yīng)商聯(lián)系方式變更原因變更內(nèi)容結(jié)果負(fù)責(zé)人配置變更事件現(xiàn)象處理過程結(jié)果負(fù)責(zé)人事 件 處理應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定

11、位故障是否與防火墻有關(guān)。 如果故障與防火墻有關(guān)， 可首先檢查防火墻的、 地址轉(zhuǎn)換策略、訪問控制策略、 路由等是否按照實(shí)際使用需求配置，檢驗(yàn)策略配置是否存在問題。一旦定位防火墻故障， 可通過命令進(jìn)行雙機(jī)切換， 單機(jī)環(huán)境下發(fā)生故障時(shí)利用備份的交換機(jī) / 路由器配置，快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1 、檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時(shí)， 應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài)，通過管理器登陸到防火墻上，快速查看 CPU 、內(nèi)存、連接數(shù)、 Interface以及相應(yīng)信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。2 、跟蹤防火墻對(duì)數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無法正常訪問，順序檢查接口狀態(tài)、

12、 路由和策略配置是否有誤，在確認(rèn)上述配置無誤后，通過tcpdump命令檢查防火墻對(duì)特定網(wǎng)段數(shù)據(jù)報(bào)處理情況。部分地址無法通過防火墻往往與策略配置有關(guān)。3 、檢查是否存在攻擊流量通過實(shí)時(shí)監(jiān)控確認(rèn)是否有異常流量， 同時(shí)在上行交換機(jī)中通過端口鏡像捕獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包， 據(jù)此確認(rèn)異常流量和攻擊類型，并在選項(xiàng)設(shè)置、 入侵防護(hù)等項(xiàng)目中啟用對(duì)應(yīng)防護(hù)措施來屏蔽攻擊流量。4 、防火墻發(fā)生故障時(shí)處理方法如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無法使用console口登陸防火墻，防火墻反復(fù)啟動(dòng)、無法建立ARP 表、接口狀態(tài)始終為Down 、無法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通過調(diào)整上下行設(shè)備路由指

13、向，快速將防火墻旁路，同時(shí)聯(lián)系供應(yīng)商進(jìn)行故障診斷。總結(jié)改進(jìn)故障處理后的總結(jié)與改進(jìn)是進(jìn)一步鞏固網(wǎng)絡(luò)可靠性的必要環(huán)節(jié)，有效的總結(jié)能夠避免很多網(wǎng)絡(luò)故障再次發(fā)生。1、在故障解決后， 需要進(jìn)一步總結(jié)故障產(chǎn)生原因，并確認(rèn)該故障已經(jīng)得到修復(fù)，避免故障重復(fù)發(fā)生。2、條件容許的情況下，構(gòu)建防火墻業(yè)務(wù)測(cè)試環(huán)境，對(duì)所有需要調(diào)整的配置參數(shù)在上線前進(jìn)行測(cè)試評(píng)估，避免因配置調(diào)整帶來新的故障隱患。3、分析網(wǎng)絡(luò)可能存在的薄弱環(huán)節(jié)和潛在隱患，通過技術(shù)論證和測(cè)試驗(yàn)證來修復(fù)隱患。5-2 故障處理工具天融信防火墻提供靈活多樣的維護(hù)方式，其中故障處理時(shí)最有用的兩個(gè)工具是實(shí)時(shí)監(jiān)控 功能和 tcpdump，實(shí)時(shí)監(jiān)控功能用于實(shí)時(shí)查看網(wǎng)絡(luò)當(dāng)前

14、的連接情況，可以快速定位存在異常流量的IP 主機(jī)或攻擊源主機(jī)， tcpdump用于跟蹤防火墻對(duì)指定包的處理。下面簡(jiǎn)要介紹一下兩個(gè)工具的使用方法。Tcpdump:捕獲進(jìn)出防火墻的數(shù)據(jù)包1、 TFW 支持 TCPDUMP 命令；2、 直接在串口登陸界面下或telnet到防火墻界面下，即可使用 tcpdump命令；在串口登陸或 telnet登陸后，先敲system 回車，進(jìn)入系統(tǒng)目錄才可以使用tcpdump命令。3、 Tcpdump語法中存在三種主要的關(guān)鍵字：第一種 是關(guān) 于類型 的 關(guān)鍵字，主要包括host ， net ， port ，例如host ，指明210.27.48.

15、2是一臺(tái)主機(jī)， net指明 是一個(gè)網(wǎng)絡(luò)地址， port 23指明端口號(hào)是 23. 如果沒有指定類型，缺省的類型是host.第二種是確定傳輸方向 的關(guān)鍵字，主要包括src ， dst，dst or src ， dst andsrc ，這些關(guān)鍵字指明了傳輸?shù)姆较颉Ｅe例說明，src ，指明 ip 包中源地址是 ， dst net 指明目的網(wǎng)絡(luò)地址是 .如果沒有指明方向關(guān)鍵字，則缺省是src or dst關(guān)鍵字。第三種是協(xié)議的關(guān)鍵字，主要包括fddi ，ip ，arp ，rarp ，tc

16、p ，udp等類型。Fddi 指明是在 FDDI（分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò)）上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是 ether 的別名， fddi 和 ether 具有類似的源地址和目的地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。如果沒有指定任何協(xié)議，則tcpdump將會(huì)監(jiān)聽所有協(xié)議的信息包。4、邏輯運(yùn)算除了這三種類型的關(guān)鍵字之外， 其他重要的關(guān)鍵字如下： gateway ， broadcast ，less ，greater ，還有三種邏輯運(yùn)算，取非運(yùn)算是not ！ ， 與運(yùn)算是 and ， & ；或運(yùn)算是 or， ；這些關(guān)鍵字可以組合起

17、來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要，下面舉幾個(gè)例子來說明。5、 使用例子：例 1 ：在 eth1 口抓包，只顯示地址為 和 icmp 協(xié)議的報(bào)文。Tcpdumpi eth1 host and icmp例 2：在所有的接口抓包，不顯示4000 端口的管理報(bào)文，和23 端口的 telnet報(bào)文。Tcpdumpi anynot port 4000 and not port 23（在同時(shí)管理的時(shí)候很實(shí)用）例 3 ：在 eth1 口抓包，顯示地址為 或 的報(bào)文。Tcpdumpi eth1 host or hos

18、t （針對(duì) MAP 前后的地址同時(shí)抓包定位時(shí)非常實(shí)用）例 4 ：在所有的接口抓包，顯示地址為 報(bào)文。Tcpdump |grep host （在 adls 環(huán)境中非常實(shí)用，封裝了PPPOE的報(bào)文也能抓到，但是TOS 不支持 grep 的參數(shù)了）在 tos 系統(tǒng)中， X86 的平臺(tái)下才有抓包的工具， n 表示不需要域名解析，加快抓包的速度。并且 -evv 比老的 4k 系統(tǒng)中，能抓到更多的信息，其中還包括校驗(yàn)和。例 5 ：System tcpdump i any evv -n （TOS 系統(tǒng)中最后必須加 -n 的參數(shù)，才能保證抓包的速度）例 6 ：S

19、ystemtcpdumpiipsec0-n（TOS 支持在 ipsec0 中抓包，來判斷數(shù)據(jù)流是否進(jìn)入隧道）例 7 ：Systemtcpdumpippp0-n（ TOS 支持在 ppp0 中抓包，來判斷數(shù)據(jù)流是否進(jìn)入PPPoE 的封裝）實(shí)時(shí)監(jiān)控功能：實(shí)時(shí)查看進(jìn)出防火墻的連接情況1、天融信防火墻支持實(shí)時(shí)監(jiān)控功能， 可以實(shí)時(shí)了解當(dāng)前經(jīng)過防火墻的連接情況，其可以查看的內(nèi)容有需：源IP 地址、目的 IP 地址、源端口、目的端口、連接建立時(shí)間、接收的流量、發(fā)送的流量、NAT 轉(zhuǎn)換后的地址、連接屬性等等內(nèi)容。2、查看實(shí)時(shí)監(jiān)控需要在防火墻上開放相應(yīng)的權(quán)限，老4K 系統(tǒng)開放權(quán)限過程為：選項(xiàng)設(shè)置安全設(shè)備登陸控制

20、增加一個(gè)客戶類型為監(jiān)控器的管理項(xiàng)即可（具體參考老 4K 用戶手冊(cè)）；TOS 防火墻開放監(jiān)控權(quán)限過程為：系統(tǒng)開放服務(wù)增加一個(gè)權(quán)限為GUI 管理的項(xiàng)目即可（具體參見TOS 防火墻用戶手冊(cè)）；3、老 4K 防火墻直接通過集中管理器實(shí)時(shí)監(jiān)控連接信息啟動(dòng)監(jiān)控即可，TOS 系統(tǒng)需要通過管理中心的安全工具登陸防火墻，再啟用連接監(jiān)控啟動(dòng)即可；4、實(shí)時(shí)監(jiān)控功能支持按照各個(gè)監(jiān)控內(nèi)容排序顯示，通過實(shí)時(shí)監(jiān)控功能可以很快的定位處異常主機(jī)。5、實(shí)時(shí)監(jiān)控可以設(shè)置監(jiān)控的過濾條件（具體見用戶使用手冊(cè)）；5-3 策略配置與優(yōu)化防火墻策略優(yōu)化與調(diào)整是網(wǎng)絡(luò)維護(hù)工作的重要內(nèi)容，策略是否優(yōu)化將對(duì)設(shè)備運(yùn)行性能產(chǎn)生顯著影響。 考慮到企業(yè)中業(yè)

21、務(wù)流向復(fù)雜、業(yè)務(wù)種類往往比較多， 因此建議在設(shè)置策略時(shí)盡量保證統(tǒng)一規(guī)劃以提高設(shè)置效率，提高可讀性， 降低維護(hù)難度。策略配置與維護(hù)需要注意地方有：試運(yùn)行階段最后一條策略定義為所有訪問允許并記錄日志，以便在不影響業(yè)務(wù)的情況下找漏補(bǔ)遺；當(dāng)確定把所有的業(yè)務(wù)流量都調(diào)查清楚并放行后，可將最后一條定義為所有訪問禁止并記錄日志，以便在試運(yùn)行階段觀察非法流量行蹤。試運(yùn)行階段結(jié)束后，再將最后一條“禁止所有訪問”策略刪除。防火墻按從上至下順序搜索策略表進(jìn)行策略匹配，策略順序?qū)B接建立速度會(huì)有影響， 建議將流量大的應(yīng)用和延時(shí)敏感應(yīng)用放于策略表的頂部，將較為特殊的策略定位在不太特殊的策略上面。策略配置中的 Log( 記

22、錄日志 )選項(xiàng)可以有效進(jìn)行記錄、排錯(cuò)等工作，但啟用此功能會(huì)耗用部分資源。 建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用，或僅在必要時(shí)采用。簡(jiǎn)化的策略表不僅便于維護(hù)，而且有助于快速匹配。 盡量保持策略表簡(jiǎn)潔和簡(jiǎn)短，規(guī)則越多越容易犯錯(cuò)誤。 通過定義地址組和服務(wù)組可以將多個(gè)單一策略合并到一條組合策略中。策略用于區(qū)域間單方向網(wǎng)絡(luò)訪問控制。如果源區(qū)域和目的區(qū)域不同，則防火墻在區(qū)域間策略表中執(zhí)行策略查找。如果源區(qū)域和目的區(qū)域相同并啟用區(qū)域內(nèi)阻斷， 則防火墻在區(qū)域內(nèi)部策略表中執(zhí)行策略查找。如果在區(qū)域間或區(qū)域內(nèi)策略表中沒有找到匹配策略，則安全設(shè)備會(huì)檢查相關(guān)區(qū)域的缺省訪問權(quán)限以查找匹配策略。策略變更控制。組織好策略規(guī)則后，

23、應(yīng)寫上注釋并及時(shí)更新。注釋可以幫助管理員了解每條策略的用途，對(duì)策略理解得越全面， 錯(cuò)誤配置的可能性就越小。如果防火墻有多個(gè)管理員，建議策略調(diào)整時(shí)，將變更者、變更具體時(shí)間、變更原因加入注釋中，便于后續(xù)跟蹤維護(hù)。5-4攻擊防御天融信防火墻利用入侵防護(hù)功能抵御互聯(lián)網(wǎng)上流行的DoS/DDoS的攻擊，一些流行的攻擊手法有Synflood ， Udpflood， Smurf ，Ping of Death， LandAttack 等，防火墻在抵御這些攻擊時(shí)，會(huì)消耗防火墻一部分的系統(tǒng)資源，所以，在網(wǎng)絡(luò)正常情況下， 一般不推薦使用， 但是當(dāng)網(wǎng)絡(luò)確實(shí)存在這些類型的攻擊數(shù)據(jù)流時(shí)，我們可以適當(dāng)開啟這些抗攻擊選項(xiàng)，可以

24、有效的保護(hù)各種應(yīng)用服務(wù)器。如果希望開啟其它選項(xiàng)，在開啟這些防護(hù)功能前有幾個(gè)因素需要考慮：? 抵御攻擊的功能會(huì)占用防火墻部分 CPU 資源；? 自行開發(fā)的一些應(yīng)用程序中，可能存在部分不規(guī)范的數(shù)據(jù)包格式；? 網(wǎng)絡(luò)環(huán)境中可能存在非常規(guī)性設(shè)計(jì)。如果因選擇過多的防攻擊選項(xiàng)而大幅降低了防火墻處理能力， 則會(huì)影響正常網(wǎng)絡(luò)處理的性能；如果自行開發(fā)的程序不規(guī)范，可能會(huì)被IP 數(shù)據(jù)包協(xié)議異常的攻擊選項(xiàng)屏蔽；非常規(guī)的網(wǎng)絡(luò)設(shè)計(jì)也會(huì)出現(xiàn)合法流量被屏蔽問題。要想有效發(fā)揮天融信防火墻的攻擊防御功能，需要對(duì)網(wǎng)絡(luò)中流量和協(xié)議類型有比較充分的認(rèn)識(shí)， 同時(shí)要理解每一個(gè)防御選項(xiàng)的具體含義，避免引發(fā)無謂的網(wǎng)絡(luò)故障。防攻擊選項(xiàng)的啟用需要采用逐步逼近 的方式，一次僅啟用一個(gè)防攻擊選項(xiàng)，然后觀察設(shè)備資源占用情況和防御結(jié)果，在確認(rèn)運(yùn)行正常后再考慮按需啟用另一個(gè)選項(xiàng)。建議采用以下順序漸進(jìn)實(shí)施防攻擊選項(xiàng)：設(shè)置防范 DDoS Flood攻擊選項(xiàng)根據(jù)掌握的正常運(yùn)行時(shí)的網(wǎng)絡(luò)流量、會(huì)話數(shù)量以及數(shù)據(jù)包傳輸量的值，在防范 DDoS 的選項(xiàng)上添加 20 的余量作為閥值。如果要設(shè)置防范IP 協(xié)議層的選項(xiàng)，需在深入了解網(wǎng)絡(luò)環(huán)境后，再將IP協(xié)議和網(wǎng)絡(luò)層的攻擊選項(xiàng)逐步選中。設(shè)置防范應(yīng)用層的選項(xiàng)，在了解應(yīng)用層的需求以及客戶