安全產(chǎn)品配置優(yōu)化操作規(guī)范模板

杭州華三通信技術(shù)有限公司版權(quán)所有,保留一切權(quán)利。非經(jīng)本公司書面許可,任何單位和個(gè)人不得擅自摘抄、復(fù)制本書內(nèi)容的部分或全部,并不得以任何形式傳播。該文檔由H3C總部安全技術(shù)支持工程師經(jīng)過長期技術(shù)積累總結(jié)而來,請務(wù)必在安全產(chǎn)品部署實(shí)施中重視本操作規(guī)范要求,保障設(shè)備在網(wǎng)運(yùn)行效果及穩(wěn)定性。本文檔為保密文檔,僅限H3C原廠工程師使用,對私自擴(kuò)散者H3C保留起訴的權(quán)利。本文檔將安全配置優(yōu)化操作方式分為兩大類:必選項(xiàng):設(shè)備部署時(shí)必須嚴(yán)按照必選項(xiàng)的規(guī)范要求執(zhí)行?？蛇x項(xiàng):在客戶無明確要求且不影響客戶使用情況下,視具體組網(wǎng)環(huán)境可選部署。聲明 2FW-1、（必選）通過配置域間策略對防火墻本地實(shí)施保護(hù) 5FW-2、（必選）防火墻ALG功能配置優(yōu)化 6FW-3、（必選）防火墻雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)動(dòng) 7FW-4、（必選）配置ACL時(shí)慎用Denyany規(guī)則 8FW-5、（必選）防火墻使用獨(dú)立物理端口做雙機(jī)熱備口 8FW-6、（必選）配置NTP保持防火墻時(shí)鐘正確同步 9FW-7、（必選）采用二進(jìn)制格式輸出Userlog日志 9FW-8、（必選）SSLVPN采用IP接入方式配置資源 11FW-9、（必選）DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化 11FW-10、（必選）防火墻不啟用QoS功能 12FW-11、（必選）防火墻地址對象范圍地址配置優(yōu)化 12FW-12、（必選）部分型號防火墻業(yè)務(wù)端口選擇建議 12FW-13、（必選）禁用會(huì)話加速功能 13FW-14、（必選）禁用ACL加速功能 14FW-15、（必選）禁用域間策略加速功能 14FW-16、（必選）禁止通過ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問控制 15FW-17、（必選）禁止使用弱口令 15FW-18、（必選）禁止使用動(dòng)態(tài)鏈路聚合模式 16FW-19、（必選）IPSecVPN模板策略配置優(yōu)化 16FW-20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù) 17FW-21、（可選）利用域間策略對防火墻實(shí)施路由環(huán)路保護(hù) 18FW-22、（可選）虛擬分片重組功能配置優(yōu)化 18FW-23、（可選）會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化 19FW-24、（可選）報(bào)文異常檢測功能配置優(yōu)化 20FW-25、（可選）流量異常檢測功能配置優(yōu)化 21FW-26、（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)中避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā) 23FW-27、（可選）采用逐流轉(zhuǎn)發(fā)模式 24LB-1、（必選）Outbound鏈路負(fù)載均衡優(yōu)先通過ACL方式進(jìn)行虛服務(wù)配置 26LB-2、（必選）Outbound鏈路負(fù)載均衡不啟用就近性 27LB-3、（必選）服務(wù)器負(fù)載均衡虛服務(wù)IP不響應(yīng)ARP請求限制的解決方法 28LB-4、（必選）采用二進(jìn)制格式輸出Userlog日志 29LB-5、（必選）關(guān)于實(shí)服務(wù)故障處理方式的配置選擇 30LB-6、（必選）配置NTP保持時(shí)鐘正確同步 32LB-7、（必選）RADIUS業(yè)務(wù)與強(qiáng)制負(fù)載均衡特性配置優(yōu)化 33LB-8、（必選）使用獨(dú)立物理端口做雙機(jī)熱備口 34LB-9、（必選）配置ACL時(shí)慎用Denyany規(guī)則 35LB-10、（必選）不啟用QoS功能 35LB-11、（必選）不啟用攻擊防范功能 36LB-12、（必選）禁用ACL加速功能 36LB-13、（可選）業(yè)務(wù)端口添加安全區(qū)域?qū)傩?36LB-14、（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā) 38LB-15、（可選）優(yōu)先采用四層負(fù)載均衡模式滿足客戶配置需求 39LB-16、（可選）采用逐流轉(zhuǎn)發(fā)模式 40IPS&ACG-1、（必選）配置IPS攻擊防范策略時(shí)必須先手工調(diào)整策略規(guī)則 42IPS&ACG-2、（必選）配置IPS病毒防范策略時(shí)必須先手工調(diào)整策略規(guī)則 47IPS&ACG-3、（必選）定期檢查IPS/ACG特征庫版本是否正常更新 48IPS&ACG-4、（必選）通過NTP\ACSEI保持IPS/ACG時(shí)鐘同步正確 49IPS&ACG-5、（必選）部署IPS/ACGMQC引流內(nèi)外安全域須為不同Vlan 51IPS&ACG-6、（必選）部署IPS/ACG插卡MQC引流時(shí)避免二層報(bào)文風(fēng)暴 53IPS&ACG-7、（必選）正則表達(dá)式URL過濾規(guī)則的配置優(yōu)化 54IPS&ACG-8、（必選）帶寬管理P2P限流規(guī)則配置優(yōu)化 54IPS&ACG-9、（必選）ACG通道帶寬管理功能針對DNS業(yè)務(wù)流量進(jìn)行保障 55IPS&ACG-10、（可選）部署專用日志主機(jī)配合IPS/ACG實(shí)現(xiàn)安全事件審計(jì) 56IPS&ACG-11、（可選）ACG流日志配置優(yōu)化 58IPS&ACG-12、（可選）不啟用IPSDDoS攻擊防范策略 59FW-1、(必選)經(jīng)過配置域間策略對防火墻本地實(shí)施保護(hù)應(yīng)用說明:ComwareV5平臺防火墻為便于用戶登錄管理設(shè)備,當(dāng)前實(shí)現(xiàn)機(jī)制為默認(rèn)所有安全區(qū)域都能夠訪問代表防火墻自身的Local區(qū)域。為避免無效報(bào)文、攻擊流量沖擊防火墻,要求必須配置到local區(qū)域的域間策略以對防火墻自身進(jìn)行保護(hù)。在配置具體的域間策略時(shí),應(yīng)首先允許必要的管理、協(xié)議報(bào)文與防火墻本地交互,然后禁止其它流量與防火墻本地交互。自7月起,新軟件版本的ComwareV5平臺防火墻進(jìn)行了一次默認(rèn)策略變更切換,將默認(rèn)所有安全區(qū)域及Local區(qū)域之間的策略變更為全部禁止互訪,以滿足市場需求并加強(qiáng)安全性,詳見請查詢《H3C技術(shù)公告【】018號-關(guān)于H3CComwareV5平臺防火墻變更默認(rèn)域間策略轉(zhuǎn)發(fā)規(guī)則的公告》。參考配置思路:1. 配置允許網(wǎng)管計(jì)算機(jī)訪問local區(qū)域的域間策略,允許包括HTTP、HTTPS、Telnet、SSH、SNMP、FTP、TFTP、PING等常見網(wǎng)管相關(guān)協(xié)議訪問本地,域間策略源IP地址范圍應(yīng)做嚴(yán)格限制,避免非管理主機(jī)訪問防火墻本地;2. 配置允許防火墻與其它網(wǎng)絡(luò)設(shè)備進(jìn)行協(xié)議交互的域間策略,例如VRRP,OSPF,BGP、PING、IKE、L2TP,ESP等常見協(xié)議;3. 確認(rèn)其它網(wǎng)絡(luò)設(shè)備是否有目的地址為防火墻本地的探測,例如NQA、BFD等,如有則必須補(bǔ)充允許其它設(shè)備探測報(bào)文到達(dá)防火墻本地的域間策略;4．配置域間策略時(shí)應(yīng)盡量使用明確的源目的IP地址范圍,減少使用”any_address”等方式的粗放管理型配置,比如Trust區(qū)域的實(shí)際規(guī)劃IP范圍為/24,Untrust區(qū)域?yàn)镮nternet,則配置域間策略時(shí)應(yīng)將Trust區(qū)域源IP地址范圍配置為/55子網(wǎng)地址對象,使策略更加合理精確,阻斷可能出現(xiàn)的源地址欺騙報(bào)文經(jīng)防火墻轉(zhuǎn)發(fā)。5.最后配置各安全區(qū)域至Local區(qū)域的全部禁止策略,避免防火墻因接收到達(dá)本地的無效報(bào)文過多而影響CPU性能,最終實(shí)現(xiàn)對防火墻自身的安全保護(hù)。綜合以上原則,在防火墻Web管理界面中的配置示例如下圖所示:FW-2、(必選)防火墻ALG功能配置優(yōu)化應(yīng)用說明:防火墻ALG(ApplicationLevelGateway,應(yīng)用層網(wǎng)關(guān))特性主要完成對應(yīng)用層報(bào)文的處理。當(dāng)應(yīng)用層數(shù)據(jù)中包含IP地址時(shí),ALG能夠?qū)υ摰刂愤M(jìn)行處理,以保證后續(xù)該地址對應(yīng)的連接能夠正確建立。ALG的工作包括:解析數(shù)據(jù)報(bào)文載荷中的IP地址信息,并根據(jù)需要對其進(jìn)行NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)處理;提取數(shù)據(jù)通道信息,為后續(xù)的會(huì)話連接建立數(shù)據(jù)通道。這里的數(shù)據(jù)通道一般指相對于用戶認(rèn)證的控制連接而言的數(shù)據(jù)連接;在防火墻上,安全策略一般只允許特定的端口經(jīng)過,對于需要?jiǎng)討B(tài)開放端口的協(xié)議,即使沒有NAT也必須啟用ALG才能合格證業(yè)務(wù)正常處理,例如FTP協(xié)議;另有些屬于功能型ALG,專為實(shí)現(xiàn)某種功能而存在,例如DNSALG,需要視實(shí)際環(huán)境決定是否需要開啟。參考配置思路:當(dāng)防火墻做二層轉(zhuǎn)發(fā)部署時(shí),除FTP協(xié)議外,推薦關(guān)閉其它所有ALG功能。當(dāng)防火墻做三層轉(zhuǎn)發(fā)部署時(shí),以下為H3C防火墻應(yīng)用的ALG推薦配置,建議只開啟FTP和RTSP,關(guān)閉其它ALG功能。DNS關(guān)閉要實(shí)現(xiàn)相關(guān)需求可打開,一般不使用FTP打開GTP關(guān)閉有些特殊局點(diǎn)需要開啟H.323關(guān)閉使用H.323協(xié)議的應(yīng)用需要開啟,一般不使用。ILS關(guān)閉MSN關(guān)閉不使用。NBT關(guān)閉PPTP關(guān)閉有PPTP業(yè)務(wù)從防火墻透傳,需要開啟,一般不使用。QQ關(guān)閉不使用。RTSP打開SCCP關(guān)閉SIP關(guān)閉SQLNET關(guān)閉僅適配老版本Oracle,一般不使用。TFTP關(guān)閉FW-3、(必選)防火墻雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)動(dòng)應(yīng)用說明:ComwareV5防火墻在雙機(jī)組網(wǎng)場景中,當(dāng)兩臺設(shè)備使用相同的NATOutbound地址池、NATServer、NATStatic的Global地址,且與接口主IP地址在同一網(wǎng)段時(shí),需要在NAT命令后跟trackvrrpvrid配置,避免因主機(jī)和備機(jī)共享相同地址而出現(xiàn)ARP沖突。參考配置思路:以下為防火墻某外網(wǎng)端口配置示例:interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp1natoutbound3002address-group10trackvrrp1natoutbound3001trackvrrp1natserverprotocoltcpglobal00wwwinside00wwwtrackvrrp1ipaddressvrrpvrid1virtual-ip54vrrpvrid1priority110FW-4、(必選)配置ACL時(shí)慎用Denyany規(guī)則應(yīng)用說明:ComwareV5平臺防火墻的ACL主要用于軟件對業(yè)務(wù)或管理流量的識別與分類,并不直接用于報(bào)文的允許或阻斷動(dòng)作。在配置防火墻各軟件模塊功能參數(shù)時(shí),常常需要使用ACL,此時(shí)應(yīng)注意配置ACL規(guī)則時(shí)僅需匹配需要識別的具體流量即可,無須在所有規(guī)則最后配置一條Denyany,這樣能夠在很大程度上減少防火墻的無謂性能消耗。參考配置思路:例如,在配置NAT轉(zhuǎn)換策略時(shí),需要經(jīng)過ACL限制僅允許內(nèi)網(wǎng)/16網(wǎng)段的用戶做出方向源地址轉(zhuǎn)換,引用至NAT命令,如下列所示ACL3001是正確的配置方式,而ACL3002是錯(cuò)誤的配置方式。#aclnumber3001 //正確的ACL配置方式示例rule10permitipsource55#aclnumber3002 //錯(cuò)誤的ACL配置方式示例rule10permitipsource55rule20denyip //該條規(guī)則將引起不必要的性能消耗#FW-5、(必選)防火墻使用獨(dú)立物理端口做雙機(jī)熱備口應(yīng)用說明:ComwareV5平臺防火墻支持雙機(jī)熱備功能,為提高HA連接的可靠性,兩臺防火墻應(yīng)使用獨(dú)立物理端口直接互連形成雙機(jī)熱備,該端口不再承載普通業(yè)務(wù)流量。若兩臺防火墻熱備口無法直接互聯(lián),必須經(jīng)交換機(jī)橋接,則必須為HA連接單獨(dú)規(guī)劃部署一個(gè)二層鏈路或VLAN,避免其它無關(guān)報(bào)文對防火墻雙機(jī)熱備口造成的沖擊。當(dāng)前產(chǎn)品實(shí)現(xiàn)最多能夠支持兩條物理鏈路實(shí)現(xiàn)HA互聯(lián)。參考配置思路:盒式防火墻設(shè)備建議選擇第一個(gè)固定物理端口做HA口,為提高HA性能及穩(wěn)定性可選擇前兩個(gè)固定物理端口做HA口。插卡式防火墻設(shè)備可任選一個(gè)前面板物理端口做HA口,為提高HA性能及穩(wěn)定性可任選兩個(gè)前面板物理端口做HA口。FW-6、(必選)配置NTP保持防火墻時(shí)鐘正確同步應(yīng)用說明:NTP(NetworkTimeProtocol,網(wǎng)絡(luò)時(shí)間協(xié)議)是一種時(shí)間同步協(xié)議,用來在分布式時(shí)間服務(wù)器和客戶端之間進(jìn)行時(shí)間同步。啟用NTP的目的是對網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步,使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一致,從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種應(yīng)用。如果防火墻系統(tǒng)時(shí)間不正確,將導(dǎo)致其產(chǎn)生的系統(tǒng)日志、操作日志、安全事件日志等失去時(shí)效性,給日常維護(hù)和故障定位帶來諸多不便。參考配置思路:啟用防火墻NTP功能,同步正確的當(dāng)前系統(tǒng)時(shí)間。對于防火墻插卡需注意在啟用NTP后禁用ACSEI客戶端功能,避免出現(xiàn)時(shí)鐘同步?jīng)_突。#ntp-serviceunicast-server#FW-7、(必選)采用二進(jìn)制格式輸出Userlog日志應(yīng)用說明:ComwareV5平臺防火墻支持Userlog日志輸出功能。設(shè)備根據(jù)業(yè)務(wù)報(bào)文的5元組(源IP地址、目的IP地址、源端口、目的端口、協(xié)議號)對網(wǎng)絡(luò)流量進(jìn)行分類統(tǒng)計(jì),并生成Userlog日志。Userlog日志會(huì)記錄報(bào)文的5元組、發(fā)送接收的流量大小等信息。網(wǎng)絡(luò)管理員利用這些信息能夠?qū)崟r(shí)跟蹤、記錄用戶訪問網(wǎng)絡(luò)的情況,增強(qiáng)網(wǎng)絡(luò)的安全性與可審計(jì)性。防火墻Userlog日志支持以下兩種輸出方式,在實(shí)際部署時(shí)必須采用第2種方式:1、以系統(tǒng)信息格式輸出至信息中心,再由信息中心決定日志的最終輸出方向。2、以二進(jìn)制格式封裝成UDP報(bào)文直接輸出至指定的Userlog日志主機(jī)。參考配置思路:在防火墻Web配置頁面中,配置Userlog日志輸出參數(shù)時(shí),不勾選”日志輸出到信息中心”。具體配置界面示例如下:在”日志管理”－”會(huì)話日志”－”全局設(shè)置”中,注意僅開啟”發(fā)送會(huì)話刪除日志”。FW-8、(必選)SSLVPN采用IP接入方式配置資源應(yīng)用說明:ComwareV5平臺防火墻部分型號設(shè)備支持SSLVPN功能,可實(shí)現(xiàn)遠(yuǎn)程用戶安全接入訪問內(nèi)網(wǎng)資源。受SSLVPN實(shí)現(xiàn)原理限制,在實(shí)現(xiàn)部署時(shí)應(yīng)盡量避免使用Web方式、TCP方式配置內(nèi)網(wǎng)資源,盡量使用IP方式配置,以實(shí)現(xiàn)更好的業(yè)務(wù)兼容性及穩(wěn)定性。參考配置思路:配置SSLVPN時(shí),推薦采用IP方式進(jìn)行內(nèi)網(wǎng)資源配置。FW-9、(必選)DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化應(yīng)用說明:ComwareV5平臺防火墻支持根據(jù)包含DNS協(xié)議在內(nèi)的應(yīng)用層協(xié)議進(jìn)行會(huì)話檢測與管理功能。為提高防火墻處理效率,避免DNS業(yè)務(wù)流相關(guān)會(huì)話表項(xiàng)在防火墻內(nèi)存中駐留過長時(shí)間。建議當(dāng)啟用ALGDNS功能時(shí),設(shè)置較短的DNS協(xié)議應(yīng)用層老化時(shí)間。參考配置思路:出廠默認(rèn)配置未啟用ALGDNS功能,若根據(jù)客戶業(yè)務(wù)需要啟用后,應(yīng)注意配置DNS協(xié)議應(yīng)用層老化時(shí)間為5秒。防火墻Web頁面具體配置示例如下圖所示:FW-10、(必選)防火墻不啟用QoS功能應(yīng)用說明:防火墻支持部分ComwareV5平臺QoS功能,如QoSCAR限速。但啟用防火墻QoS功能會(huì)對其轉(zhuǎn)發(fā)性能造成非常大的影響,因此當(dāng)防火墻轉(zhuǎn)發(fā)業(yè)務(wù)流量較大時(shí)不要配置啟用任何QoS策略。參考配置思路:不在防火墻上配置QoS策略。FW-11、(必選)防火墻地址對象范圍地址配置優(yōu)化應(yīng)用說明:ComwareV5防火墻支持經(jīng)過在域間策略中引用資源對象來簡化配置工作,當(dāng)管理員在進(jìn)行地址對象的配置時(shí),可經(jīng)過主機(jī)地址、范圍地址、子網(wǎng)地址三種方式進(jìn)行配置。當(dāng)需要對較大范圍的地址進(jìn)行匹配時(shí),建議盡量使用子網(wǎng)地址方式,否則會(huì)對設(shè)備性能產(chǎn)生較大影響。參考配置思路:防火墻上進(jìn)行大量地址的對象資源配置時(shí),盡量采用子網(wǎng)地址方式進(jìn)行配置。下圖所示為反例,萬不可效仿:FW-12、(必選)部分型號防火墻業(yè)務(wù)端口選擇建議應(yīng)用說明:部分ComwareV5平臺防火墻受硬件設(shè)計(jì)原因所限,其GigabitEthernet0/4、GigabitEthernet0/5端口轉(zhuǎn)發(fā)性能較低,在設(shè)備部署實(shí)施過程中應(yīng)避免將其應(yīng)用為業(yè)務(wù)端口或雙機(jī)熱備口,建議可用作設(shè)備帶外管理端口并劃分至系統(tǒng)管理區(qū)域。適用本優(yōu)化建議的產(chǎn)品型號具體包括:SecPath系列FW:F1000S-EI、F1000C-SI、F100A-SI、F100M-SI、F100E-G、F100A-G、F100M-GSecPath系列UTM:U200-A、U200-M、U200-CA參考配置思路:不在上述型號FW或UTM設(shè)備上將GigabitEthernet0/4、GigabitEthernet0/5配置為業(yè)務(wù)端口或雙機(jī)熱備口,可將其用于帶外網(wǎng)管口并劃分至Management區(qū)域。FW-13、(必選)禁用會(huì)話加速功能應(yīng)用說明:會(huì)話加速功能能夠在特定應(yīng)用場景下提升防火墻設(shè)備的每秒新建連接性能。需要注意的是,如果會(huì)話發(fā)起方報(bào)文的出接口與響應(yīng)方報(bào)文的入接口不同,而且兩個(gè)接口上的業(yè)務(wù)配置也不相同,則不能實(shí)現(xiàn)會(huì)話加速。該功能能夠在特殊應(yīng)用場景中提高設(shè)備轉(zhuǎn)發(fā)性能,但由于其應(yīng)用場景畢竟有限,因此一般情況下應(yīng)該保持默認(rèn)配置,即關(guān)閉此功能。參考配置思路:”會(huì)話加速”功能的配置界面在Web管理頁中的”防火墻”－”會(huì)話管理”－”高級設(shè)置”－”會(huì)話加速”,去掉”啟用會(huì)話加速”復(fù)選框的勾并單擊”確定”按鈕即可關(guān)閉本功能。FW-14、(必選)禁用ACL加速功能應(yīng)用說明:ComwareV5平臺防火墻部分型號產(chǎn)品支持ACL加速特性,經(jīng)過啟用該特性,可使軟件在對單個(gè)ACL中存在大量規(guī)則時(shí)的查找匹配速度更快。但另一方面,當(dāng)啟用某條ACL的加速特性后,不允許再對該ACL進(jìn)行任何修改,否則會(huì)造成加速失效,規(guī)則查找匹配將出現(xiàn)混亂。為避免日常維護(hù)過程中因操作失誤,導(dǎo)致管理員在啟用ACL加速的狀態(tài)下修改規(guī)則導(dǎo)致配置失效,在實(shí)際生產(chǎn)環(huán)境中建議禁用ACL加速功能。參考配置思路:在防火墻Web配置頁面中,禁用ACL加速功能。停止加速后,正確的狀態(tài)如下圖所示:FW-15、(必選)禁用域間策略加速功能應(yīng)用說明:ComwareV5平臺防火墻部分型號產(chǎn)品支持域間策略加速特性,經(jīng)過啟用該特性,可使軟件在進(jìn)行域間策略查找匹配時(shí)速度更快。但另一方面,某兩個(gè)安全區(qū)域之間啟用域間策略加速特性后,不允許再對該域間的任何策略進(jìn)行修改,否則會(huì)造成加速失效,策略查找匹配將出現(xiàn)混亂。為避免日常維護(hù)過程中因操作失誤,導(dǎo)致管理員在啟用域間策略加速的狀態(tài)下修改規(guī)則導(dǎo)致配置失效,在實(shí)際生產(chǎn)環(huán)境中建議禁用域間策略加速功能。參考配置思路:在防火墻Web配置頁面中,禁用域間策略加速功能。停止加速后,正確的狀態(tài)如下圖所示:FW-16、(必選)禁止經(jīng)過ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問控制應(yīng)用說明:為提高防火墻在網(wǎng)運(yùn)行健壯性,管理員應(yīng)嚴(yán)格限制能夠遠(yuǎn)程訪問設(shè)備的源主機(jī)IP地址。在配置此類策略時(shí),注意不要經(jīng)過軟件ACL方式做簡單限制。例如,以下兩種經(jīng)過配置方式都是不推薦的。1、在user-interface下配置ACL,對SSH做訪問控制。user-interfacevty04aclinbound2、在IPHTTPS后面配置ACL,對HTTPS做訪問控制。iphttpsacl參考配置思路:在防火墻上配置限制能夠遠(yuǎn)程訪問本設(shè)備的主機(jī)源IP地址,應(yīng)經(jīng)過配置防火墻域間策略實(shí)現(xiàn)。FW-17、(必選)禁止使用弱口令應(yīng)用說明:防火墻遠(yuǎn)程管理相關(guān)SNMP、SSH/Telent、FTP、HTTP/HTTPS等功能,一般經(jīng)過用戶名密碼對管理員或管理服務(wù)器進(jìn)行認(rèn)證和鑒權(quán)。在實(shí)際部署過程中,不得因貪圖一時(shí)方便而使用弱口令,給系統(tǒng)安全留下隱患。參考配置思路:設(shè)備開局部署階段及時(shí)做好密碼管理工作,避免使用弱口令,推薦啟用password-control相關(guān)功能。FW-18、(必選)禁止使用動(dòng)態(tài)鏈路聚合模式應(yīng)用說明:ComwareV5平臺防火墻支持二三層鏈路聚合功能,受性能因素影響,在實(shí)際開局部署過程中,應(yīng)采用靜態(tài)鏈路聚合模式進(jìn)行配置。參考配置思路:設(shè)備開局部署階段需要啟用鏈路聚合功能時(shí),使用靜態(tài)鏈路聚合模式。FW-19、(必選)IPSecVPN模板策略配置優(yōu)化應(yīng)用說明:ComwareV5平臺防火墻支持”中心——分支”型IPSecVPN,為簡化中心側(cè)設(shè)備配置,能夠采用模板方式進(jìn)行策略配置。管理員在進(jìn)行模板策略配置時(shí),須特別注意不要配置成如下形式,即每個(gè)分支節(jié)點(diǎn)對應(yīng)一個(gè)不同的模板。由于最終的IPSec策略中引用了多個(gè)模板,會(huì)導(dǎo)致軟件匹配查找時(shí)效率大大降低。錯(cuò)誤的配置方式:ipsecpolicy-templatetemp_11ipsecpolicy-templatetemp_21ipsecpolicy-templatetemp_31ipsecpolicytest1isakmptemplatetemp_1ipsecpolicytest2isakmptemplatetemp_2ipsecpolicytest3isakmptemplatetemp_3參考配置思路:正確的配置方式為:若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)相同,則推薦使用單個(gè)策略模板進(jìn)行匹配;若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)不同,則應(yīng)當(dāng)利用策略模板中的序列號參數(shù)創(chuàng)立多個(gè)不同協(xié)商參數(shù)的策略組合,而整體上依然保持只有一個(gè)策略模板,這樣便能夠極大地優(yōu)化軟件處理效率及速度。正確的配置方式:ipsecpolicy-templatetemp1ipsecpolicy-templatetemp2ipsecpolicy-templatetemp3ipsecpolicytest1isakmptemplatetempFW-20、(必選)合理修改三層業(yè)務(wù)口TCPMSS參數(shù)應(yīng)用說明:防火墻各三層業(yè)務(wù)口默認(rèn)狀態(tài)下TCPMSS參數(shù)值為1460字節(jié),加上TCP包頭及IP包頭長度后正好為以太網(wǎng)最大負(fù)載長度1500字節(jié),當(dāng)報(bào)文從普通以太網(wǎng)端口發(fā)出時(shí)無需進(jìn)行IP分片操作。但在諸如L2TPVPN、GREVPN、IPSecVPN等防火墻常見應(yīng)用場景中,由于防火墻在進(jìn)行業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)前需額外封裝包頭,導(dǎo)致報(bào)文最終長度會(huì)超過接口MTU,引起IP分片操作,大大降低流量處理效率。因此,在防火墻開局部署階段應(yīng)該注意根據(jù)實(shí)際鏈路及配置情況,靈活調(diào)整TCPMSS參數(shù)值,避免防火墻轉(zhuǎn)發(fā)報(bào)文過程中執(zhí)行IP分片操作。參考配置思路:在配置VT端口或Tunnel端口后,需在端口上根據(jù)物理接口MTU計(jì)算并修改合理的TCPMSS參數(shù),一般修改為1400字節(jié)。命令行配置示例如下:#interfaceVirtual-Template1tcpmss1400#interfaceTunnel1tcpmss1400tunnel-protocolipsecipv4#在配置IKE/IPSecVPN策略時(shí),應(yīng)根據(jù)業(yè)務(wù)流量走向規(guī)劃,在業(yè)務(wù)流量對應(yīng)防火墻的入出業(yè)務(wù)接口修改TCPMSS參數(shù),保證經(jīng)IPSec封裝后的報(bào)文長度不會(huì)引起防火墻執(zhí)行IP分片操作,一般修改為1350字節(jié)。FW-21、(可選)利用域間策略對防火墻實(shí)施路由環(huán)路保護(hù)應(yīng)用說明:能夠利用域間策略來將防火墻接收到的三層環(huán)路報(bào)文丟棄處理,例如存在路由環(huán)路的接口已添加至Trust區(qū)域,則能夠配置從Trust到Trust的域間策略,動(dòng)作配置為Deny,從而將防火墻從Trust接收但仍將轉(zhuǎn)發(fā)至Trust區(qū)域的報(bào)文直接丟棄。注意實(shí)施該配置方法的前提,即配置防火墻安全區(qū)域時(shí),提前按業(yè)務(wù)及組網(wǎng)需求規(guī)劃好各個(gè)安全區(qū)域,不能簡單地將全部接口加入同一個(gè)安全區(qū)域中。若同一區(qū)域已包含多個(gè)接口,且各接口之間確有業(yè)務(wù)互訪需求時(shí),能夠先配置相應(yīng)的允許策略,再配置防環(huán)路策略;或者重新將各個(gè)接口劃分至不同的安全區(qū)域中,再配置防環(huán)路策略。參考配置思路:綜合以上原則,假設(shè)Trust區(qū)域僅包含一個(gè)物理端口,無內(nèi)部無訪需求,為實(shí)現(xiàn)防止內(nèi)網(wǎng)口三層環(huán)路報(bào)文沖擊防火墻,在Web管理界面中防環(huán)路策略配置如下圖所示:FW-22、(可選)虛擬分片重組功能配置優(yōu)化應(yīng)用說明:為了避免每個(gè)業(yè)務(wù)模塊(如:IPSec、NAT和防火墻)單獨(dú)處理后片先到(報(bào)文分片后)而導(dǎo)致復(fù)雜度過高,設(shè)備需要將收到的IP報(bào)文執(zhí)行虛擬分片重組功能,以實(shí)現(xiàn)對IP分片報(bào)文的檢驗(yàn)、排序和緩存,保證其它后續(xù)業(yè)務(wù)模塊處理的都是順序正確的IP分片報(bào)文。另外,IP虛擬分片重組功能還能夠?qū)Ψ制暨M(jìn)行檢測,如果檢測到分片攻擊行為,設(shè)備能夠丟棄收到的異常分片報(bào)文,提高設(shè)備的安全性與性能。參考配置思路:當(dāng)防火墻出現(xiàn)IP大包不通或丟包現(xiàn)象時(shí),能夠在虛擬分片重組功能配置頁面,將”分片隊(duì)列數(shù)”和”分片報(bào)文數(shù)”調(diào)整至最大值,老化時(shí)間保持默認(rèn)值即可。FW-23、(可選)會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化應(yīng)用說明:防火墻會(huì)話管理主要基于傳輸層協(xié)議對報(bào)文進(jìn)行檢測。其實(shí)質(zhì)是經(jīng)過檢測傳輸層協(xié)議信息(即通用TCP協(xié)議和UDP協(xié)議)來對連接的狀態(tài)進(jìn)行跟蹤,并對所有連接的狀態(tài)信息進(jìn)行統(tǒng)一維護(hù)和管理。參考配置思路:設(shè)備默認(rèn)會(huì)話超時(shí)時(shí)間較長,在大并發(fā)的環(huán)境下,能夠適當(dāng)調(diào)整會(huì)話表項(xiàng)老化時(shí)間,以減小防火墻并發(fā)會(huì)話數(shù),一般建議將TCPSYN/TCPEST/UDPOPEN會(huì)話超時(shí)時(shí)間改為缺省值的一半。注意切勿將會(huì)話表項(xiàng)老化時(shí)間配置得過長或過短。下圖為Web配置界面舉例:FW-24、(可選)報(bào)文異常檢測功能配置優(yōu)化應(yīng)用說明:單包攻擊(亦稱為畸形報(bào)文檢測)是指攻擊者經(jīng)過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文,如分片重疊的IP報(bào)文、TCP標(biāo)志位非法的報(bào)文,使得目標(biāo)系統(tǒng)在處理這樣的IP報(bào)文時(shí)出錯(cuò)、崩潰,給目標(biāo)系統(tǒng)帶來損失,或者經(jīng)過發(fā)送大量無用報(bào)文占用網(wǎng)絡(luò)帶寬等行為來造成攻擊。防火墻報(bào)文異常檢測功能支持對部分單包攻擊進(jìn)行檢測和防御。參考配置思路:當(dāng)前防火墻支持以下基于特征識別的防攻擊,能夠在所有安全區(qū)域開啟攻擊防范,但建議不啟用”ICMP不可達(dá)報(bào)文攻擊檢測”,否則會(huì)引起大量的主機(jī)操作系統(tǒng)正常發(fā)送的ICMP協(xié)議報(bào)文被阻斷。另外,在需要經(jīng)過防火墻執(zhí)行Tracert操作時(shí),不啟用”Tracert報(bào)文攻擊檢測”。FW-25、(可選)流量異常檢測功能配置優(yōu)化應(yīng)用說明:防火墻流量異常檢測功能,即泛洪攻擊檢測功能主要用于保護(hù)服務(wù)器。防火墻經(jīng)過監(jiān)測客戶端向服務(wù)器發(fā)起連接請求的速率來檢測各類泛洪攻擊,一般應(yīng)用在設(shè)備連接內(nèi)部網(wǎng)絡(luò)的安全域上,且僅對應(yīng)用了攻擊檢測策略的安全域的出方向報(bào)文有效。配置了泛洪攻擊檢測后,設(shè)備將處于攻擊檢測狀態(tài),當(dāng)它監(jiān)測到向某臺服務(wù)器IP地址發(fā)送報(bào)文的速率持續(xù)達(dá)到或超過判斷閾值時(shí),即認(rèn)為該服務(wù)器受到了攻擊并轉(zhuǎn)入攻擊防范狀態(tài),防火墻能夠視具體配置情況啟動(dòng)相應(yīng)的防范措施(輸出告警日志、或?qū)⒑罄m(xù)新建連接的報(bào)文進(jìn)行丟棄處理)。此后,當(dāng)設(shè)備檢測到向該服務(wù)器發(fā)送報(bào)文的速率低于恢復(fù)閾值時(shí),即認(rèn)為攻擊行為已停止,防火墻將由攻擊防范狀態(tài)恢復(fù)為攻擊檢測狀態(tài),并停止執(zhí)行防范措施。參考配置思路:如果需要在防火墻上開啟本功能,必須首先了解客戶當(dāng)前的業(yè)務(wù)情況,特別是每秒新建連接數(shù)、最大并發(fā)連接數(shù)等關(guān)鍵參數(shù),否則無法合理配置檢測閾值及恢復(fù)閾值。當(dāng)前支持的攻擊檢測類型主要有SYNFlood、UDPflood、ICMPflood等。由于實(shí)現(xiàn)機(jī)制原因,如非必要不建議在日常運(yùn)維過程中開啟UDPflood和ICMPflood檢測。1、配置SYNFlood檢測,安全區(qū)域?yàn)樾璞Ｗo(hù)主機(jī)所在的區(qū)域。2、TCP代理功能需要在攻擊來源區(qū)域上啟用,共分”單向”、”雙向”兩種模式,建議啟用”單向”模式,下圖所示為”雙向”模式。3、支持手工將被保護(hù)主機(jī)地址添加至TCP代理表中。4、如果需保護(hù)主機(jī)的IP地址不明確,但能夠確定其安全區(qū)域,則能夠基于該安全區(qū)域配置攻擊檢測防范策略。FW-26、(可選)雙機(jī)熱備會(huì)話同步組網(wǎng)中避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā)應(yīng)用說明:ComwareV5平臺防火墻支持雙機(jī)熱備會(huì)話同步功能,成功使能了雙機(jī)熱備的兩臺防火墻能夠?qū)崿F(xiàn)普通會(huì)話、子會(huì)話、關(guān)聯(lián)表、NAT、ALG、黑名單、ASPF等業(yè)務(wù)信息的實(shí)時(shí)同步。當(dāng)前防火墻雙機(jī)熱備支持兩種不同模式:1、不支持非對稱路徑備份:是指兩臺設(shè)備同時(shí)正常工作時(shí),一條會(huì)話中的數(shù)據(jù)流進(jìn)入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備必須相同,即進(jìn)入內(nèi)網(wǎng)時(shí)經(jīng)過雙機(jī)熱備中的一臺設(shè)備,從內(nèi)網(wǎng)出去時(shí)經(jīng)過的設(shè)備是進(jìn)入時(shí)經(jīng)過的設(shè)備。2、支持非對稱路徑備份:是指兩臺設(shè)備同時(shí)正常工作時(shí),一條會(huì)話中的數(shù)據(jù)流進(jìn)入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備能夠不同,即進(jìn)入內(nèi)網(wǎng)時(shí)經(jīng)過雙機(jī)熱備中的一臺設(shè)備,從內(nèi)網(wǎng)出去時(shí)經(jīng)過的設(shè)備能夠是進(jìn)入時(shí)經(jīng)過的設(shè)備,也能夠是另一臺設(shè)備。上述兩種模式中,第1種同步方式能夠獲得更好的防火墻轉(zhuǎn)發(fā)性能及穩(wěn)定性。參考配置思路:在進(jìn)行防火墻雙機(jī)熱備會(huì)話同步組網(wǎng)規(guī)劃時(shí),應(yīng)首先從整網(wǎng)設(shè)計(jì)角度,使來回流量經(jīng)過兩臺防火墻時(shí)保持路徑一致,即同一會(huì)話的雙向報(bào)文須經(jīng)過一臺設(shè)備進(jìn)行轉(zhuǎn)發(fā),并在實(shí)施時(shí)選擇”不支持非對稱路徑備份”模式。配置界面如下圖所示,不勾選”支持非對稱路徑備份”。FW-27、(可選)采用逐流轉(zhuǎn)發(fā)模式應(yīng)用說明:ComwareV5平臺防火墻支持兩種流量轉(zhuǎn)發(fā)模式——逐包模式和逐流模式:1、逐包模式。基于報(bào)文調(diào)度,即將報(bào)文依次發(fā)送到不同的vCPU進(jìn)行處理,同一條流的數(shù)據(jù)也將被分發(fā)到不同的vCPU進(jìn)行處理,不保證報(bào)文的處理順序,因此容易引入亂序。2、逐流模式?；诹髡{(diào)度,即將具有相同5元組(源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議號)的同一條流分配到同一個(gè)vCPU進(jìn)行處理,處理過程保證先進(jìn)先出。在實(shí)際組網(wǎng)應(yīng)用中,當(dāng)防火墻轉(zhuǎn)發(fā)語音、監(jiān)控等應(yīng)用流量時(shí),由于防火墻默認(rèn)采用逐包模式(除SecBladeIIR3179版本外),因此可能會(huì)導(dǎo)致業(yè)務(wù)報(bào)文經(jīng)防火墻轉(zhuǎn)發(fā)后出現(xiàn)亂序,若上層應(yīng)用對報(bào)文亂序非常敏感,則容易引起諸如視頻圖像出現(xiàn)馬賽克,FTP下線速度慢等問題。參考配置思路:除運(yùn)營商客戶等業(yè)務(wù)流量非常大的組網(wǎng)環(huán)境,推薦使用防火墻逐流轉(zhuǎn)發(fā)模式。具體配置命令如下,注意需防火墻重啟后才能生效:[H3C]ipforwardingper-flowLB-1、(必選)Outbound鏈路負(fù)載均衡優(yōu)先經(jīng)過ACL方式進(jìn)行虛服務(wù)配置應(yīng)用說明:在LB的Outbound鏈路負(fù)載均衡功能中,支持IP、ACL兩種配置方式。采用IP方式配置虛服務(wù),其形式和效果與普通的目的地址路由表項(xiàng)相似,都是在設(shè)備接收到報(bào)文后根據(jù)會(huì)話首包的目的IP地址進(jìn)行虛服務(wù)查找匹配。而采用ACL方式配置虛服務(wù),其形式和效果與普通策略路由相似,除根據(jù)目的IP地址外,還支持根據(jù)源IP地址等其它ACL規(guī)則中的參數(shù)進(jìn)行虛服務(wù)查找匹配。當(dāng)LB部署在公網(wǎng)出口位置時(shí),若采用IP方式配置一條”全零”虛服務(wù)指向外網(wǎng)時(shí),當(dāng)源自內(nèi)網(wǎng)訪問外網(wǎng)的某條會(huì)話表項(xiàng)正常老化后,如外網(wǎng)側(cè)仍有反向報(bào)文發(fā)送至LB(一般為UDP、ICMP協(xié)議報(bào)文),此時(shí)由于虛服務(wù)優(yōu)先級高于路由表,會(huì)短時(shí)間內(nèi)在LB與ISP網(wǎng)關(guān)設(shè)備間形成一個(gè)臨時(shí)的三層轉(zhuǎn)發(fā)環(huán)路,極大地增加了ISP出口位置的突發(fā)無效流量,引起網(wǎng)絡(luò)運(yùn)行不穩(wěn)定。如果改為ACL方式配置虛服務(wù),控制匹配規(guī)則為源IP地址為內(nèi)網(wǎng)用戶的會(huì)話首報(bào)文才能命中虛服務(wù)并執(zhí)行調(diào)度,則能夠有效避免此類問題。需注意,IP方式配置虛服務(wù)優(yōu)先級更高,因此建議改為ACL方式配置虛服務(wù)后,不再保留任何IP方式配置的虛服務(wù)。參考配置思路:配置LB的Outbound鏈路負(fù)載均衡時(shí),首先創(chuàng)立一條規(guī)則為匹配源IP地址為內(nèi)網(wǎng)的ACL,然后將其設(shè)置為指導(dǎo)報(bào)文向公網(wǎng)側(cè)轉(zhuǎn)發(fā)的虛服務(wù),即與指向外網(wǎng)的邏輯鏈路組綁定。若還有從外網(wǎng)主動(dòng)發(fā)起訪問內(nèi)網(wǎng)的業(yè)務(wù),則能夠再創(chuàng)立一條規(guī)則為匹配目的IP地址為內(nèi)網(wǎng)的ACL(如有NAT則應(yīng)匹配inside地址),然后將其與指向內(nèi)網(wǎng)的邏輯鏈路組綁定,并開啟”保存上一跳信息”功能,使來自多條ISP線路的訪問內(nèi)網(wǎng)的會(huì)話,其回程報(bào)文仍保持從原線路返回,實(shí)現(xiàn)”電信進(jìn)電信出、聯(lián)通進(jìn)聯(lián)通出”的組網(wǎng)目標(biāo)。以內(nèi)網(wǎng)網(wǎng)段為/8舉例,ACL及Outbound虛服務(wù)配置示例如下:#aclnumber3001rule5permitipsource55aclnumber3002rule5permitipdestination55#ACL方式配置Outbound鏈路負(fù)載均衡配置示例(”IP地址方式”中配置為空):LB-2、(必選)Outbound鏈路負(fù)載均衡不啟用就近性應(yīng)用說明:ComwareV5平臺LB產(chǎn)品支持就近性探測功能,其設(shè)計(jì)理念能夠使設(shè)備在進(jìn)行流量調(diào)度時(shí)探測遠(yuǎn)端目的可達(dá)性狀態(tài)變化,以動(dòng)態(tài)決定調(diào)度結(jié)果。但從實(shí)際部署應(yīng)用效果看,啟用就近性后會(huì)大量消耗LB控制平面處理性能,造成控制平面不穩(wěn)定、業(yè)務(wù)流量訪問緩慢等諸多更嚴(yán)重的問題,且難以實(shí)現(xiàn)預(yù)期效果。因此,除售前測試或客戶明確要求啟用的場景外,不建議啟用Outbound鏈路負(fù)載均衡的就近性功能。參考配置思路:1. 在創(chuàng)立/編輯虛服務(wù)配置界面中,不勾選”使能就近性”。LB-3、(必選)服務(wù)器負(fù)載均衡虛服務(wù)IP不響應(yīng)ARP請求限制的解決方法應(yīng)用說明:在服務(wù)器負(fù)載均衡場景中,由于虛服務(wù)IP地址不響應(yīng)ARP請求,因此需要經(jīng)過其它方式使得LB上一跳設(shè)備能夠?qū)⒛康牡刂窞樘摲?wù)業(yè)務(wù)報(bào)文正常轉(zhuǎn)發(fā)給LB處理。在單臺LB的組網(wǎng)環(huán)境中,能夠經(jīng)過將虛服務(wù)IP地址配置為sub地址的方式實(shí)現(xiàn);在LB雙機(jī)組網(wǎng)環(huán)境中,能夠經(jīng)過將虛服務(wù)IP地址配置為VRRP虛地址的方式實(shí)現(xiàn)。除上述兩種方式外,還能夠經(jīng)過直接在LB上一跳設(shè)備配置精確路由來指導(dǎo)業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā),解決LB虛服務(wù)不響應(yīng)ARP請求的限制問題。參考配置思路:以服務(wù)器負(fù)載均衡虛服務(wù)00/80為例,可經(jīng)過以下三種方式解決虛服務(wù)不響應(yīng)ARP請求的限制問題。方法一:sub地址方式(適用于單機(jī),在LB上配置)#interfaceTen-GigabitEthernet0/0.10vlan-typedot1qvid10ipaddressipaddress00sub#方法二:VRRP虛地址方式(適用于雙機(jī),在LB上配置)#interfaceTen-GigabitEthernet0/0.10vlan-typedot1qvid10ipaddressvrrpvrid100virtual-ip00vrrpvrid100priority110#方法三:精確路由方式(在LB上一跳三層設(shè)備上配置)#iproute-static0055descriptionSLB_to_00/80#LB-4、(必選)采用二進(jìn)制格式輸出Userlog日志應(yīng)用說明:ComwareV5平臺LB支持Userlog日志輸出功能。設(shè)備根據(jù)業(yè)務(wù)報(bào)文的5元組(源IP地址、目的IP地址、源端口、目的端口、協(xié)議號)對網(wǎng)絡(luò)流量進(jìn)行分類統(tǒng)計(jì),并生成Userlog日志。Userlog日志會(huì)記錄報(bào)文的5元組、發(fā)送接收的流量大小等信息。網(wǎng)絡(luò)管理員能夠利用這些信息實(shí)時(shí)跟蹤、記錄用戶訪問網(wǎng)絡(luò)的情況,增強(qiáng)網(wǎng)絡(luò)的安全性與可審計(jì)性。Userlog日志支持以下兩種輸出方式,在實(shí)際應(yīng)用時(shí)必須采用第2種方式:1、以系統(tǒng)信息格式輸出至信息中心,再由信息中心決定日志的最終輸出方向。2、以二進(jìn)制格式封裝成UDP報(bào)文直接輸出至指定的Userlog日志主機(jī)。參考配置思路:在LB的Web配置頁面中,配置Userlog日志輸出參數(shù)時(shí),不勾選”日志輸出到信息中心”。具體配置界面示例如下:LB-5、(必選)關(guān)于實(shí)服務(wù)故障處理方式的配置選擇應(yīng)用說明:在鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡應(yīng)用場景中,當(dāng)LB經(jīng)過健康性檢測機(jī)制發(fā)現(xiàn)實(shí)服務(wù)出現(xiàn)故障時(shí),支持下列三種處理方式:1、保持已有連接:LB不主動(dòng)刪除與故障實(shí)服務(wù)相關(guān)的會(huì)話表項(xiàng),由客戶及服務(wù)器兩端的應(yīng)用程序決定何時(shí)拆除或重建連接2、斷開已有連接:LB主動(dòng)刪除與故障實(shí)服務(wù)相關(guān)的會(huì)話表項(xiàng)3、重定向已有連接:LB將會(huì)話表項(xiàng)重定向到實(shí)服務(wù)組中其它可用實(shí)服務(wù)處理關(guān)于三種實(shí)服務(wù)故障處理方式的詳細(xì)描述如下:保持已有連接:實(shí)服務(wù)或者邏輯鏈路的狀態(tài)變遷不影響已有會(huì)話表項(xiàng)的狀態(tài),會(huì)話表項(xiàng)將根據(jù)老化時(shí)間或客戶端/服務(wù)器的拆鏈報(bào)文而正常刪除。斷開已有連接:實(shí)服務(wù)故障后,對于TCP連接,客戶端后續(xù)發(fā)來的報(bào)文將被LB丟棄,并觸發(fā)LB主動(dòng)回復(fù)RST報(bào)文拆鏈,隨后LB會(huì)將該會(huì)話表項(xiàng)立即清除。對于UDP連接,若LB必須使能ipunreachableenable,則會(huì)向客戶端發(fā)送ICMP目的不可達(dá)報(bào)文,若LB持續(xù)收到客戶端繼續(xù)發(fā)來的報(bào)文,則LB會(huì)持續(xù)丟棄這些報(bào)文并回復(fù)ICMP目的不可達(dá)報(bào)文,即如果一直有客戶端后續(xù)報(bào)文命中該條UDP會(huì)話,則其老化時(shí)間將被一直刷新,無法老化。對于ICMP連接,來自客戶端的后續(xù)報(bào)文同樣會(huì)被LB丟棄,LB也會(huì)回應(yīng)一個(gè)ICMP目的不可達(dá)報(bào)文,并將該會(huì)話表項(xiàng)的狀態(tài)切換至加速老化狀態(tài)(默認(rèn)老化時(shí)間至10S),如果客戶端持續(xù)發(fā)送后續(xù)報(bào)文至LB,則該條會(huì)話表項(xiàng)永遠(yuǎn)不老化(常見于客戶端設(shè)置連續(xù)ping場景)。重定向已有連接:原有實(shí)服務(wù)故障后,LB將重新調(diào)度一個(gè)健康的實(shí)服務(wù)并掛接到該會(huì)話中,一旦有后續(xù)報(bào)文命中該會(huì)話,則會(huì)被直接重定向至新的實(shí)服務(wù)處理。如果新的實(shí)服務(wù)也出現(xiàn)故障,則LB會(huì)再次調(diào)度一個(gè)健康的實(shí)服務(wù)掛接到該會(huì)話中。如果最初調(diào)度的實(shí)服務(wù)恢復(fù),LB將繼續(xù)根據(jù)會(huì)話當(dāng)前所掛接的實(shí)服務(wù)轉(zhuǎn)發(fā)報(bào)文。由此可見,重定向已有連接方式不會(huì)產(chǎn)生新的會(huì)話表項(xiàng)。當(dāng)后續(xù)報(bào)文命中表項(xiàng)時(shí),也會(huì)正常刷新會(huì)話表項(xiàng)的老化時(shí)間。在服務(wù)器負(fù)載均衡場景中,服務(wù)器響應(yīng)的反方向由于無法匹配原有會(huì)話,因此將新建一條會(huì)話,這將導(dǎo)致客戶端收到的報(bào)文源IP地址是變?yōu)閷?shí)服務(wù)IP,不是虛服務(wù)IP,報(bào)文會(huì)被客戶端丟棄。如果LB啟用SNAT功能,當(dāng)LB重新調(diào)度一個(gè)健康的實(shí)服務(wù)掛接到該會(huì)話時(shí),會(huì)重新分配SNAT信息并刷新會(huì)話老化時(shí)間,但很顯然,由于新的SNAT信息與執(zhí)行重定向前的信息不一致,因此報(bào)文仍無法正常轉(zhuǎn)發(fā)。而在鏈路負(fù)載均衡和防火墻負(fù)載均衡場景中,服務(wù)器響應(yīng)的反向報(bào)文是能夠命中原有會(huì)話的。但如果LB除了負(fù)載分擔(dān)外還執(zhí)行了NAT操作,由于原有出接口的NAT相關(guān)信息與重定向后出接口的NAT信息不一致,因此仍會(huì)導(dǎo)致NAT模塊檢查失敗、報(bào)文被丟棄、會(huì)話被刪除。參考配置思路:綜前所述,”斷開已有連接”能夠用于部分特定的服務(wù)器負(fù)載均衡場景,而”重定向已有連接”能夠用于防火墻轉(zhuǎn)發(fā)模式及部分鏈路負(fù)載均衡場景。另外需注意,這兩種方式均不支持IP快速轉(zhuǎn)發(fā)處理,對LB的轉(zhuǎn)發(fā)性能有較大影響。因此,除售前測試功能驗(yàn)證或其它特定場景外,應(yīng)保持實(shí)服務(wù)故障處理方式選定默認(rèn)配置,即”保持已有連接”。Web管理界面實(shí)服務(wù)故障處理配置示例如下圖所示:LB-6、(必選)配置NTP保持時(shí)鐘正確同步應(yīng)用說明:NTP(NetworkTimeProtocol,網(wǎng)絡(luò)時(shí)間協(xié)議)是一種時(shí)間同步協(xié)議,用來在分布式時(shí)間服務(wù)器和客戶端之間進(jìn)行時(shí)間同步。啟用NTP的目的是對網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步,使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一致,從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種應(yīng)用。如果LB系統(tǒng)時(shí)間不正確,將導(dǎo)致其產(chǎn)生的系統(tǒng)日志、操作日志、Userlog日志等失去時(shí)效性,給日常維護(hù)和故障定位帶來諸多不便。參考配置思路:啟用NTP功能,同步正確的當(dāng)前系統(tǒng)時(shí)間。#ntp-serviceunicast-server#LB-7、(必選)RADIUS業(yè)務(wù)與強(qiáng)制負(fù)載均衡特性配置優(yōu)化應(yīng)用說明:Radius業(yè)務(wù)一般是在BRAS和服務(wù)器之間交互報(bào)文,報(bào)文的源目地址和源目端口號一般都是長期固定不變的,且報(bào)文交互頻率高。如果使用常規(guī)的服務(wù)器負(fù)載均衡配置,在選擇實(shí)服務(wù)故障處理方式時(shí),若使用保持已有連接和斷開已有連接,當(dāng)實(shí)服務(wù)器出現(xiàn)故障時(shí),由于持續(xù)有報(bào)文匹配原有會(huì)話,而這條會(huì)話由于持續(xù)刷新老化,勢必造成后續(xù)報(bào)文被丟棄,進(jìn)而引發(fā)業(yè)務(wù)中斷故障;若選擇實(shí)服務(wù)故障處理方式為重定向已有連接,LB將會(huì)把匹配上實(shí)服務(wù)故障的會(huì)話重新調(diào)度到新的實(shí)服務(wù)上,但此時(shí)的回應(yīng)報(bào)文被LB直接路由轉(zhuǎn)發(fā)回Radius客戶端,不再進(jìn)行應(yīng)有的地址轉(zhuǎn)換操作,這將導(dǎo)致BRAS認(rèn)為響應(yīng)錯(cuò)誤,同樣地造成業(yè)務(wù)中斷故障。為解決上述問題,在Radius業(yè)務(wù)場景下,強(qiáng)烈建議使用UDP強(qiáng)制負(fù)載均衡特性,并配置Radius持續(xù)性方法。該配置方法將強(qiáng)制LB設(shè)備執(zhí)行逐包調(diào)度,當(dāng)實(shí)服務(wù)故障后LB會(huì)直接刪除持續(xù)性表項(xiàng)并重新進(jìn)行業(yè)務(wù)調(diào)度,從而實(shí)現(xiàn)業(yè)務(wù)的無縫切換及高可靠性。參考配置思路:在部署服務(wù)負(fù)載分擔(dān)RADIUS業(yè)務(wù)時(shí),啟用”七層應(yīng)用內(nèi)容識別”模式,配置UDP協(xié)議并使能”強(qiáng)制負(fù)載均衡”,同時(shí)啟用”RADIUS方式”的持續(xù)性方法。LB-8、(必選)使用獨(dú)立物理端口做雙機(jī)熱備口應(yīng)用說明:ComwareV5平臺LB支持雙機(jī)熱備功能,為提高HA連接的可靠性,兩臺設(shè)備應(yīng)使用獨(dú)立物理端口直連形成雙機(jī)熱備,該端口不承載普通業(yè)務(wù)流量。若兩臺設(shè)備熱備口無法直接互聯(lián),必須經(jīng)交換機(jī)橋接,則必須為HA連接單獨(dú)規(guī)劃部署一個(gè)二層鏈路或VLAN,避免其它無關(guān)報(bào)文對LB雙機(jī)熱備口造成的沖擊。當(dāng)前產(chǎn)品實(shí)現(xiàn)最多能夠支持兩條物理鏈路實(shí)現(xiàn)HA互聯(lián)。參考配置思路:盒式LB設(shè)備建議選擇第一個(gè)固定物理端口做HA口。插卡式LB設(shè)備可任選一個(gè)前面板物理端口做HA口。LB-9、(必選)配置ACL時(shí)慎用Denyany規(guī)則應(yīng)用說明:ComwareV5平臺LB的ACL主要用于軟件對業(yè)務(wù)或管理流量的識別與分類,并不直接用于報(bào)文的允許或阻斷動(dòng)作。在配置LB各軟件模塊功能參數(shù)時(shí),常常需要使用ACL,此時(shí)應(yīng)注意配置ACL規(guī)則時(shí)僅需匹配需要識別的具體流量即可,無須在所有規(guī)則最后配置一條Denyany,這樣能夠在很大程度上減少無謂的性能消耗。參考配置思路:例如,在配置NAT轉(zhuǎn)換策略時(shí),需要經(jīng)過ACL限制僅允許內(nèi)網(wǎng)/16網(wǎng)段的用戶做出方向源地址轉(zhuǎn)換,引用至NAT命令,如下列所示ACL3001是正確的配置方式,而ACL3002是錯(cuò)誤的配置方式。#aclnumber3001 //正確的ACL配置方式rule10permitipsource55#aclnumber3002 //錯(cuò)誤的ACL配置方式rule10permitipsource55rule20denyip //該條規(guī)則將引起不必要的性能消耗#LB-10、(必選)不啟用QoS功能應(yīng)用說明:LB支持部分ComwareV5平臺QoS功能,如QoSCAR限速。但啟用QoS功能會(huì)對LB的轉(zhuǎn)發(fā)性能造成較大的影響,因此當(dāng)LB轉(zhuǎn)發(fā)業(yè)務(wù)壓力較大時(shí)不要配置啟用任何QoS策略。參考配置思路:不在LB上配置QoS策略。LB-11、(必選)不啟用攻擊防范功能應(yīng)用說明:ComwareV5平臺LB配置界面中支持部分安全防攻擊特性,包括報(bào)文異常檢測、流量異常檢測等,但由于LB在整體組網(wǎng)中更重要的是提供負(fù)載均衡特性,為優(yōu)化LB轉(zhuǎn)發(fā)性能,不建議啟用其攻擊防范功能。參考配置思路:在LB配置界面中,除售前測試或特定場景需求外,不啟用LB的攻擊防范功能。LB-12、(必選)禁用ACL加速功能應(yīng)用說明:ComwareV5平臺LB部分型號產(chǎn)品支持ACL加速特性,經(jīng)過啟用該特性,可使軟件在對單個(gè)ACL中存在大量規(guī)則時(shí),查找匹配速度更快。但另一方面,某條ACL啟用加速特性后,不允許再對該ACL進(jìn)行修改,否則會(huì)造成加速失效,規(guī)則查找匹配出現(xiàn)混亂。因此,除售前測試等特殊需求場景外,在實(shí)際生產(chǎn)環(huán)境中,必須禁用ACL加速功能。參考配置思路:在設(shè)備Web配置頁面中,禁用ACL加速功能。停止加速后,正確的狀態(tài)如下圖所示:LB-13、(可選)業(yè)務(wù)端口添加安全區(qū)域?qū)傩詰?yīng)用說明:ComwareV5平臺LB產(chǎn)品部分繼承了防火墻特性,支持為各個(gè)業(yè)務(wù)接口添加安全區(qū)域?qū)傩?。在?shí)際部署時(shí),推薦為LB所連接的各個(gè)接口添加不同的安全區(qū)域,從而使管理員在日常維護(hù)和故障排查時(shí),能夠根據(jù)會(huì)話表項(xiàng)中記錄的入出安全區(qū)域信息,快速準(zhǔn)確判斷業(yè)務(wù)報(bào)文在LB設(shè)備的接收、發(fā)送端口,特別對于管理員隨時(shí)分析LB的負(fù)載分擔(dān)效果特別有幫助。參考配置思路:在某局點(diǎn)Outbound鏈路負(fù)載均衡場景中,假設(shè)LB連接了2條電信線路,1條聯(lián)通線路,1條移動(dòng)線路和1條教育網(wǎng)線路,管理員能夠事先創(chuàng)立若干自定義安全區(qū)域,如”CTC_1”、”CTC_2”、”CNC”、”CMCC”、”EDU”,分別對應(yīng)5條ISP線路。然后將業(yè)務(wù)端口添加至對應(yīng)的安全區(qū)域,另將LB與內(nèi)網(wǎng)互聯(lián)端口加入”Trust”區(qū)域中。上述配置完成后,在查看LB會(huì)話表項(xiàng)的詳細(xì)信息時(shí),便能夠經(jīng)過該條會(huì)話表項(xiàng)的入安全區(qū)域、出安全區(qū)域快速判斷LB設(shè)備收、發(fā)會(huì)話報(bào)文的實(shí)際線路了。舉例如下,經(jīng)過會(huì)話表項(xiàng)詳細(xì)信息不難判斷該條業(yè)務(wù)流是從內(nèi)網(wǎng)主動(dòng)發(fā)起,經(jīng)LB調(diào)度至電信1線路出口:Initiator:SourceIP/Port:/60098DestIP/Port:/80VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:/80DestIP/Port:/1025VPN-Instance/VLANID/VLLID:Pro:TCP(6)App:unknownState:TCP-ESTStarttime:-07-0415:10:26TTL:3591sRootZone(in):Trust //會(huì)話發(fā)起方所在區(qū)域,對應(yīng)正向接收端口(內(nèi)網(wǎng)口)。Zone(out):CTC_1 //會(huì)話響應(yīng)方所在區(qū)域,對應(yīng)正向發(fā)送端口(電信1)。Receivedpacket(s)(Init):1372packet(s)63076byte(s)Receivedpacket(s)(Reply):1347packet(s)73221byte(s)LB-14、(可選)雙機(jī)熱備會(huì)話同步組網(wǎng)避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā)應(yīng)用說明:ComwareV5平臺LB支持雙機(jī)熱備會(huì)話同步功能,成功使能了雙機(jī)熱備的兩臺LB能夠?qū)崿F(xiàn)普通會(huì)話、子會(huì)話、關(guān)聯(lián)表、NAT、ALG等業(yè)務(wù)信息的實(shí)時(shí)同步。當(dāng)前雙機(jī)熱備會(huì)話同步支持兩種不同模式:1、不支持非對稱路徑備份:是指兩臺設(shè)備同時(shí)正常工作時(shí),一條會(huì)話中的數(shù)據(jù)流進(jìn)入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備必須相同,即進(jìn)入內(nèi)網(wǎng)時(shí)經(jīng)過雙機(jī)熱備中的一臺設(shè)備,從內(nèi)網(wǎng)出去時(shí)經(jīng)過的設(shè)備是進(jìn)入時(shí)經(jīng)過的設(shè)備。2、支持非對稱路徑備份:是指兩臺設(shè)備同時(shí)正常工作時(shí),一條會(huì)話中的數(shù)據(jù)流進(jìn)入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備能夠不同,即進(jìn)入內(nèi)網(wǎng)時(shí)經(jīng)過雙機(jī)熱備中的一臺設(shè)備,從內(nèi)網(wǎng)出去時(shí)經(jīng)過的設(shè)備能夠是進(jìn)入時(shí)經(jīng)過的設(shè)備,也能夠是另一臺設(shè)備。上述兩種模式中,第1種同步方式能夠獲得更好的性能及穩(wěn)定性。參考配置思路:在進(jìn)行LB雙機(jī)熱備會(huì)話同步組網(wǎng)規(guī)劃時(shí),應(yīng)首先從整網(wǎng)設(shè)計(jì)角度,使來回流量經(jīng)過兩臺LB時(shí)保持路徑一致,即同一會(huì)話的雙向報(bào)文須經(jīng)過一臺設(shè)備進(jìn)行轉(zhuǎn)發(fā),并在實(shí)施時(shí)選擇”不支持非對稱路徑備份”模式。配置界面如下圖所示,不勾選”支持非對稱路徑備份”。LB-15、(可選)優(yōu)先采用四層負(fù)載均衡模式滿足客戶配置需求應(yīng)用說明:在服務(wù)器負(fù)載均衡場景下在,在能夠滿足用戶需求的前提下,優(yōu)先選用四層負(fù)載均衡模式進(jìn)行配置,即啟用”四層協(xié)議及應(yīng)用識別”。此時(shí),LB能夠提供兩倍于七層服務(wù)器負(fù)載均衡模式的轉(zhuǎn)發(fā)性能,及更好的穩(wěn)定性。參考配置思路:LB-16、(可選)采用逐流轉(zhuǎn)發(fā)模式應(yīng)用說明:ComwareV5平臺LB支持兩種流量轉(zhuǎn)發(fā)模式——逐包模式和逐流模式:1、逐包模式?；趫?bào)文調(diào)度,即將報(bào)文依次發(fā)送到不同的vCPU進(jìn)行處理,同一條流的數(shù)據(jù)也將被分發(fā)到不同的vCPU進(jìn)行處理,不保證報(bào)文的處理順序,因此容易引入亂序。2、逐流模式?；诹髡{(diào)度,即將具有相同5元組(源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議號)的同一條流分配到同一個(gè)vCPU進(jìn)行處理,處理過程保證先進(jìn)先出。在實(shí)際組網(wǎng)應(yīng)用中,當(dāng)LB轉(zhuǎn)發(fā)語音、監(jiān)控等應(yīng)用流量時(shí),由于默認(rèn)采用逐包模式,可能會(huì)導(dǎo)致業(yè)務(wù)報(bào)文經(jīng)LB轉(zhuǎn)發(fā)后出現(xiàn)亂序,若上層應(yīng)用對報(bào)文亂序非常敏感,則容易引起諸如視頻圖像出現(xiàn)馬賽克,FTP下線速度慢等問題。參考配置思路:除運(yùn)營商客戶等業(yè)務(wù)流量非常大的組網(wǎng)環(huán)境,推薦使用LB逐流轉(zhuǎn)發(fā)模式。具體配置命令如下,注意需重啟后才能生效:[H3C]ipforwardingper-flowIPS&ACG-1、(必選)配置IPS攻擊防范策略時(shí)必須先手工調(diào)整策略規(guī)則應(yīng)用說明:在部署IPS設(shè)備時(shí),用戶一般會(huì)有這樣的疑問,IPS策略有幾千條規(guī)則,我應(yīng)該開啟哪些規(guī)則?關(guān)閉哪些規(guī)則?如果開啟全部規(guī)則,會(huì)對設(shè)備的性能造成不必要的壓力,而且上報(bào)的無關(guān)日志過多,會(huì)分散用戶對真正的攻擊的注意。如果規(guī)則開啟過少,可能會(huì)有部分攻擊檢測不到,引發(fā)安全問題。因此,建議在典型部署場景中,經(jīng)過開啟IPS策略規(guī)則保護(hù)對象分類功能。IPS策略規(guī)則保護(hù)對象分類介紹當(dāng)前IPS策略規(guī)則支持的保護(hù)對象分類如下.操作系統(tǒng)WindowsLinuxUnixSolarisMacOSNovel瀏覽器InternetExplorerMozilaFirefoxNetscapeMaxthon網(wǎng)絡(luò)設(shè)備CiscoJuniperNortelD-LinkLinksysHPNokiaWeb服務(wù)器ApacheIISAIXWebLogicTomCatResinFTP服務(wù)器Serv-UWU-FTPDWS_FTPNetTermFTP3CDeamonProFTPD郵件服務(wù)器SendmailLotusNotesFoxmailMSExchangeiPlanetIpswitchDNS服務(wù)器BINDDNSRedirector數(shù)據(jù)庫MySqlMSSQLServerOracleSybaseDB2ACCESSInfomixPostgreSQLSQLiteWeb應(yīng)用程序PHPJSPASPPerlC辦公軟件AdobeAcrobatMicrosoftOfficeWPSVisio應(yīng)用軟件即時(shí)通訊軟件下載軟件游戲軟件媒體播放軟件安全軟件備份軟件郵件客戶端軟件其它軟件數(shù)據(jù)中心部署場景:保護(hù)數(shù)據(jù)中心的服務(wù)器是IPS部署遇到最多的一個(gè)典型場景,例如銀行系統(tǒng)網(wǎng)銀區(qū)域;運(yùn)營商的數(shù)據(jù)中心,包括網(wǎng)上營業(yè)廳,電子渠道等等;政府機(jī)構(gòu),教育機(jī)構(gòu)的門戶網(wǎng)站,政務(wù)系統(tǒng);企業(yè)網(wǎng)內(nèi)部的ERP系統(tǒng)等等。保護(hù)數(shù)據(jù)中心服務(wù)器,我們推薦開啟操作系統(tǒng),WEB服務(wù)器,WEB應(yīng)用程序,數(shù)據(jù)庫,DNS服務(wù)器這幾類保護(hù)對象的規(guī)則。我們建議根據(jù)數(shù)據(jù)中心服務(wù)器的操作系統(tǒng)類型開啟相應(yīng)保護(hù)對象的防護(hù)規(guī)則,根據(jù)WEB服務(wù)器的軟件類型開啟相應(yīng)保護(hù)對象的防護(hù)規(guī)則,其它軟件指的是沒有列出的其它WEB軟件,任意軟件指的是針對網(wǎng)頁內(nèi)容的攻擊,例如SQL注入,跨站腳本攻擊等等,無論客戶的WEB服務(wù)器使用哪種軟件都推薦開啟。根據(jù)WEB服務(wù)器動(dòng)態(tài)頁面的編程語言開啟相應(yīng)的防護(hù)規(guī)則,根據(jù)數(shù)據(jù)中心數(shù)據(jù)庫服務(wù)器的軟件類型開啟相應(yīng)保護(hù)對象的防護(hù)規(guī)則,根據(jù)DNS服務(wù)器的軟件類型開啟相應(yīng)保護(hù)對象的防護(hù)規(guī)則。下面以一個(gè)典型數(shù)據(jù)中心的IPS部署場景為例,介紹一下推薦開啟的IPS防護(hù)規(guī)則。部署于數(shù)據(jù)中心出口,數(shù)據(jù)中心部署有多種Web服務(wù)器,數(shù)據(jù)庫服務(wù)器,中間件服務(wù)器和DNS服務(wù)器Web服務(wù)器、中間件服務(wù)器、數(shù)據(jù)庫服務(wù)器、DNS服務(wù)器使用了Windows、Linux、Unix多種操作系統(tǒng)Web服務(wù)器軟件為Apache,數(shù)據(jù)庫軟件為MySqlDNS服務(wù)器使用Linux操作系統(tǒng),DNS軟件為Bind上述典型場景下推薦開啟下列規(guī)則:1、默認(rèn)推薦開啟的規(guī)則2、操作系統(tǒng)分類中Windows、Linux、Unix子類的規(guī)則3、Web服務(wù)器分類中Apache子類規(guī)則4、數(shù)據(jù)庫分類中MySql子類規(guī)則5、Web應(yīng)用程序分類規(guī)則(一般網(wǎng)站會(huì)同時(shí)使用多種技術(shù),這塊兒讓實(shí)施人員細(xì)分比較困難)6、DNS服務(wù)器分類中的Bind子類規(guī)則互聯(lián)網(wǎng)出口部署場景:如果IPS部署在互聯(lián)網(wǎng)出口,我們推薦開啟保護(hù)對象為操作系統(tǒng),辦公軟件,應(yīng)用軟件,瀏覽器的防護(hù)規(guī)則。如果內(nèi)網(wǎng)防護(hù)PC全部使用Windows操作系統(tǒng),這種場景下推薦開啟下列規(guī)則:1、默認(rèn)推薦開啟的規(guī)則2、操作系統(tǒng)分類中Windows子類的規(guī)則3、辦公軟件、應(yīng)用軟件、瀏覽器三個(gè)大類的規(guī)則IPS策略按照保護(hù)對象使能防護(hù)規(guī)則的配置方法本節(jié)介紹一下按照前面推薦的原則確定了要開啟哪幾類保護(hù)對象的防護(hù)規(guī)則,如何在IPS設(shè)備上進(jìn)行配置。如果IPS設(shè)備當(dāng)前版本尚不支持該配置方法,需要先升級軟件版本然后再進(jìn)行配置操作。具體配置方法為:首先選”IPS”>”策略管理”,新建一個(gè)IPS策略,按照默認(rèn)規(guī)則使能狀態(tài)應(yīng)用到段上。然后選”IPS”>”規(guī)則管理”,選擇剛才新建的策略,按照保護(hù)對象查詢并使能相應(yīng)的防護(hù)規(guī)則。當(dāng)然,如果現(xiàn)場流量比較大,能夠先開啟上面保護(hù)對象里嚴(yán)重和一般的防護(hù)規(guī)則,再酌情開啟警告和提示的防護(hù)規(guī)則。至于IPS策略執(zhí)行的動(dòng)作,如果沒有特殊要求,建議保留每個(gè)防護(hù)規(guī)則默認(rèn)的動(dòng)作。IPS&ACG-2、(必選)配置IPS病毒防范策略時(shí)必須先手工調(diào)整策略規(guī)則應(yīng)用說明:IPS設(shè)備支持防病毒策略,經(jīng)過采用實(shí)時(shí)分析,自動(dòng)阻截?cái)y帶病毒的報(bào)文與異常流量。IPS基于在線部署模式,能夠針對這些異常流量施以阻截、隔離或干擾的處理,以阻斷病毒經(jīng)過網(wǎng)絡(luò)傳播。系統(tǒng)默認(rèn)的病毒防范策略根據(jù)網(wǎng)絡(luò)病毒種類,細(xì)分為31個(gè)大類,缺省均為禁用狀態(tài)。當(dāng)需要啟用病毒防范功能時(shí),管理員應(yīng)根據(jù)實(shí)際需求量,創(chuàng)立一條自定義防病毒策略,調(diào)整部分病毒分類規(guī)則至使能狀態(tài),然后再將應(yīng)用至段上激活生效。若客戶無明確要求,建議將”Worm”、”Trojan”、”Backdoor”、”Rootkit”、”Exploit”、”Virus”等幾大類規(guī)則設(shè)置為使能狀態(tài);若客戶有更高要求,可根據(jù)實(shí)際情況使能更多病毒分類,直至全部使能,并注意在后續(xù)維護(hù)過程中觀察設(shè)備內(nèi)存占用率情況。配置思路:具體配置方法為:首先選擇”防病毒”>”策略管理”,點(diǎn)擊”新建策略”按鈕新建一條防病毒策略。然后在”規(guī)則管理”界面中,修改要開啟的病毒分類至”使能”狀態(tài)。規(guī)則修改完成后,進(jìn)入”防病毒”>”端策略管理”界面,點(diǎn)擊”新建策略應(yīng)用”按鈕,將剛才創(chuàng)立的防病毒策略下發(fā)至段,最后單擊”激活”按鈕使策略生效。IPS&ACG-3、(必選)定期檢查IPS/ACG特征庫版本是否正常更新應(yīng)用說明:特征庫記錄了設(shè)備可識別的攻擊特征、病毒特征、應(yīng)用特征等,因此對于IPS/ACG設(shè)備而言,必須保證其特征庫得到實(shí)時(shí)更新升級,才能保持其各項(xiàng)主要功能的正常工作。參考配置思路:特征庫的升級分為手動(dòng)升級和自動(dòng)升級兩種方式:手動(dòng)升級是指用戶能夠經(jīng)過手動(dòng)設(shè)定,使用HTTP或TFTP協(xié)議將保存在用戶本地主機(jī)上的特征庫文件獲取到設(shè)備上。手動(dòng)升級一般是在用戶的局域網(wǎng)內(nèi)進(jìn)行的,而且手動(dòng)升級能夠獲取與設(shè)備兼容的任意一個(gè)版本的特征庫。在導(dǎo)航欄中選擇”系統(tǒng)管理>設(shè)備管理>特征庫升級”,進(jìn)入特征庫升級的頁面。在”手動(dòng)升級”頁簽中能夠手動(dòng)升級特征庫的版本,如下圖所示。自動(dòng)升級能夠幫助用戶每隔指定的時(shí)間,使用特定的協(xié)議直接從特定的特征庫版本服務(wù)器獲取當(dāng)前最新版本的特征庫文件到設(shè)備;或者在用戶需要的時(shí)候,立即從特定的特征庫版本服務(wù)器獲取當(dāng)前最新版本的特征庫文件到設(shè)備。在導(dǎo)航欄中選擇”系統(tǒng)管理>設(shè)備管理>特征庫升級”,進(jìn)入特征庫升級的頁面。在”自動(dòng)升級”頁簽中能夠配置自動(dòng)升級特征庫的相關(guān)參數(shù),如下圖所示:注:(1)關(guān)于”開始時(shí)間”,由于設(shè)備升級特征庫的時(shí)候,涉及數(shù)據(jù)庫的讀寫操作,十分消耗資源,強(qiáng)烈建議自動(dòng)升級時(shí)間選擇在用戶業(yè)務(wù)量較小的時(shí)候(如:2:00-4:00左右)。(2)關(guān)于”間隔時(shí)間”,一般選擇7天。(3)確保設(shè)備管理口能夠正常連接互聯(lián)網(wǎng),并要求同時(shí)配置正確的DNS服務(wù)器IP。IPS&ACG-4、(必選)經(jīng)過NTP\ACSEI保持IPS/ACG時(shí)鐘同步正確應(yīng)用說明:為了保證本設(shè)備與其它設(shè)備協(xié)調(diào)工作,用戶需要將系統(tǒng)時(shí)間配置準(zhǔn)確。系統(tǒng)時(shí)間模塊能夠幫助用戶設(shè)置系統(tǒng)的日期、時(shí)間和時(shí)區(qū)等信息。盒式設(shè)備支持手動(dòng)配置系統(tǒng)時(shí)間和自動(dòng)同步SNTP(SimpleNetworkTimeProtocol,簡單網(wǎng)絡(luò)時(shí)間協(xié)議)服務(wù)器的時(shí)間。插卡能夠經(jīng)過ACSEI自動(dòng)同步時(shí)鐘。參考配置思路:盒式設(shè)備:在導(dǎo)航欄中選擇”系統(tǒng)管理>設(shè)備管理>系統(tǒng)時(shí)間”,進(jìn)入如圖所示的頁面。插卡設(shè)備:路由交換主機(jī)側(cè)使能ACSEI服務(wù)器功能:[H3C]acseiserverenable檢查插卡注冊信息,確保IPS/ACG插卡已經(jīng)注冊成功,否則無法實(shí)現(xiàn)時(shí)間同步:<H3C>displayacseiclientinfoTotalClientNumber:1ClientID:1ClientDescription:ApplicationControlGatewayHardware:1.0SystemSoftware:i-Waresoftware,Version1.10ApplicationSoftware:Ess6119P02CPU:RMIXLR732PCBVersion:Ver.ACPLDVersion:1.0BootromVersion:1.19CFcard:249MBMemory:MBHarddisk:0MBIPS&ACG-5、(必選)部署IPS/ACGMQC引流內(nèi)外安全域須為不同Vlan應(yīng)用說明:SecBladeIPS/ACG插卡配合路由交換主機(jī)部署MQC引流時(shí),由于板卡硬件僅有一個(gè)內(nèi)聯(lián)口,因此只能經(jīng)過VLANID區(qū)分從內(nèi)聯(lián)口接收報(bào)文的安全域?qū)傩?因此在實(shí)施MQC引流時(shí)重定向至IPS/ACG插卡的上下行流量必須屬于不同的VLAN。參考配置思路:SecBladeIPS/ACG相關(guān)配置:(交換機(jī)側(cè)配置請參考相關(guān)文檔)(1)去使能ACFPClient功能。在MQC引流方案中,不使能ACFP相關(guān)功能。配置界面位于”系統(tǒng)管理”－”網(wǎng)絡(luò)管理”－”ACFPClient配置”。(2)創(chuàng)立內(nèi)外網(wǎng)安全區(qū)域,接口均選擇為xeth0-0(內(nèi)聯(lián)口),內(nèi)部區(qū)域?qū)儆诤蛢?nèi)網(wǎng)核心設(shè)備三層互聯(lián)的VLAN30,外部區(qū)域?qū)儆诤屯饩W(wǎng)出口設(shè)備三層互聯(lián)的VLAN20?！庇驊?yīng)用模式”選擇”常規(guī)”模式。配置界面位于”系統(tǒng)管理”－”網(wǎng)絡(luò)管理”－”安全區(qū)域”。新建內(nèi)網(wǎng)安全區(qū)域如下圖所示:新建外網(wǎng)安全區(qū)域如下圖所示:在”系統(tǒng)管理”－”網(wǎng)絡(luò)管理”－”段配置”界面中將內(nèi)外網(wǎng)安全區(qū)域組成段。段配置完成后便能夠進(jìn)一步配置安全策略了。iWare系統(tǒng)配置完成后注意”激活”使配置生效,并保存。IPS&ACG-6、(必選)部署IPS/ACG插卡MQC引流時(shí)避免二層報(bào)文風(fēng)暴應(yīng)用說明:由于SecBladeIPS、SecBladeACG兩類安全板卡屬二層透明設(shè)備,交換機(jī)經(jīng)過MQC引流方式將業(yè)務(wù)報(bào)文利用內(nèi)聯(lián)接口重定向至安全板卡后,經(jīng)過安全策略檢查的業(yè)務(wù)報(bào)文依然會(huì)從該內(nèi)聯(lián)接口返回交換機(jī)繼續(xù)轉(zhuǎn)發(fā)。這個(gè)特殊機(jī)制對于交換機(jī)而言相當(dāng)于在其與IPS、ACG內(nèi)聯(lián)口上形成了一個(gè)自環(huán)接口,而2個(gè)這樣的內(nèi)聯(lián)口則形成了一個(gè)二