安全产品配置优化操作规范

1、安全产品配置优化操作规范H3C安全产品配置优化操作规范2020-06-08第 页,共59页2020-06-08第 #页,共59页2020-06-08第 页,共59页安全产品配置优化操作规范（FW、LB、IPS&ACG）Version1.0杭州华三通信技术有限公司2014年8月声明Copyright2020杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。该文档由H3C总部安全技术支持工程师通过长期技术积累总结而来，请务必在安全产品部署实施中重视本操作规范要求，保障设备在网运行效果及稳定性。本文档为保密

2、文档，仅限H3C原厂工程师使用，对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类：必选项：设备部署时必须严按照必选项的规范要求执行。可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。安全产品配置优化操作规范安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页FW-1、（必选）通过配置域间策略对防火墙本地实施保应用说明：ComwareV5平台防火墙为便于用户登录管理设备，当前实现机制为默认所有安全区域都可以访问代表防火墙自身的Local区域。为避免无效

3、报文、攻击流量冲击防火墙，要求必须配置到1ocal区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时，应首先允许必要的管理、协议报文与防火墙本地交互，然后禁止其它流量与防火墙本地交互。自2014年7月起，新软件版本的ComwareV5平台防火墙进行了一次默认策略变更切换，将默认所有安全区域及Local区域之间的策略变更为全部禁止互访，以满足市场需求并加强安全性，详见请查询H3C技术公告【2014】018号-关于H3CComwareV5平台防火墙变更默认域间策略转发规则的公告。参考配置思路：配置允许网管计算机访问local区域的域间策略，允许包括HTTP、HTTPS、Telnet、SS

4、H、SNMP、PING等常见网管相关协议访问本地，域间策略源IP地址范围应做严格限制，避免非管理主机访问防火墙本地；配置允许防火墙与其它网络设备进行协议交互的域间策略，例如VRRP，OSPF，BGP、PING、IKE、L2TP，ESP等常见协议；确认其他网络设备是否有目的地址为防火墙本地的探测，例如NQA、BFD等，如有则必须补充允许其他设备探测报文到达防火墙本地的域间策略；配置域间策略时应尽量使用明确的源目的IP地址范围，减少使用“any_address”等方式的粗放管理型配置，比如Trust区域的实际规划IP范围为/24,Untrust区域为Internet，则配置域间策略时应将Trust

5、区域源IP地址范围配置为/55子网地址对象，使策略更加合理精确，阻断可能出现的源地址欺骗报文经防火墙转发。5最后配置各安全区域至Local区域的全部禁止策略，避免防火墙因接收到达本地的无效报文过多而影响CPU性能，最终实现对防火墙自身的安全保护。综合以上原则，在防火墙Web管理界面中的配置示例如下图所示：FW-2、（必选）防火墙ALG功能配置优化应用说明：防火墙ALG（ApplicationLevelGateway，应用层网关）特性主要完成对应用层报文的处理。当应用层数据中包含IP地址时，ALG可以对该地址进行处理，以保证后续该地址对应的连接能够正确建立。ALG的工作包括：解析数据报文载荷中的

6、IP地址信息，并根据需要对其进行NAT（NetworkAddressTranslation，网络地址转换）处理；提取数据通道信息，为后续的会话连接建立数据通道。这里的数据通道通常指相对于用户认证的控制连接而言的数据连接；在防火墙上，安全策略通常只允许特定的端口通过，对于需要动态开放端口的协议，即使没有NAT也必须启用ALG才能合格证业务正常处理，例如FTP协议；另有些属于功能型ALG，专为实现某种功能而存在，例如DNSALG,需要视实际环境决定是否需要开启。参考配置思路：当防火墙做二层转发部署时，除FTP协议外，推荐关闭其他所有ALG功能。当防火墙做三层转发部署时，以下为H3C防火墙应用的AL

7、G推荐配置，建议只开启,关闭其他ALG功能。DNS关闭要实现相关需求可打开，一般不使用FTP打开GTP关闭有些特殊局点需要开启H.323关闭使用H.323协议的应用需要开启，一般不使用。ILS关闭MSN关闭不使用。NBT关闭PPTP关闭有PPTP业务从防火墙透传，需要开启，一般不使用。QQ关闭不使用。RTSP打开SCCP关闭SIP关闭SQLNET关闭仅适配老版本Oracle，一般不使用。TFTP关闭FW-3、（必选）防火墙双机组网环境NAT与VRRP联动应用说明：ComwareV5防火墙在双机组网场景中，当两台设备使用相同的NATOutbound地址池、NATServer、NATStatic的

8、Global地址，且与接口主IP地址在同一网段时，需要在NAT命令后跟trackvrrpvri配置，避免因主机和备机共享相同地址而出现ARP冲突。参考配置思路：以下为防火墙某外网端口配置示例：interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp1natoutbound3002address-group10trackvrrp1natoutbound3001trackvrrp1natserverprotocoltcpglobal0000vrrp1ipaddressvrrpvrid1virtual-ip54vr

9、rpvrid1priority110FW-4、（必选）配置ACL时慎用Denyany规则应用说明：ComwareV5平台防火墙的ACL主要用于软件对业务或管理流量的识别与分类，并不直接用于报文的允许或阻断动作。在配置防火墙各软件模块功能参数时，常常需要使用ACL,此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可，无须在所有规则最后配置一条Denyany,这样可以在很大程度上减少防火墙的无谓性能消耗。参考配置思路：例如，在配置NAT转换策略时，需要通过ACL限制仅允许内网/16网段的用户做出方向源地址转换，引用至NAT命令，如下列所示ACL3001是正确的配置方式，而ACL3002是错误

10、的配置方式。#aclnumber3001/正确的ACL配置方式示例rule10permitipsource55#aclnumber3002/错误的ACL配置方式示例rule10permitipsource55rule20denyip/该条规则将引起不必要的性能消耗#FW-5、（必选）防火墙使用独立物理端口做双机热备口应用说明：ComwareV5平台防火墙支持双机热备功能，为提高HA连接的可靠性，两台防火墙应使用独立物理端口直接互连形成双机热备，该端口不再承载普通业务流量。若两台防火墙热安全产品配置优化操作规范安全产品配置优化操作规范安全产品配置优化操作规范2020-06-08H3C机密，未经许

11、可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页备口无法直接互联，必须经交换机桥接，则必须为HA连接单独规划部署一个二层链路或VLAN,避免其他无关报文对防火墙双机热备口造成的冲击。目前产品实现最多可以支持两条物理链路实现HA互联。参考配置思路：盒式防火墙设备建议选择第一个固定物理端口做HA口，为提高HA性能及稳定性可选择前两个固定物理端口做HA口。插卡式防火墙设备可任选一个前面板物理端口做HA口，为提高HA性能及稳定性可任选两个前面板物理端口做HA口。FW-6、（必选）配置NTP保持防火

12、墙时钟正确同步应用说明：NTP（NetworkTimeProtocol，网络时间协议）是一种时间同步协议，用来在分布式时间服务器和客户端之间进行时间同步。启用NTP的目的是对网络内所有具有时钟的设备进行时钟同步，使网络内所有设备的时钟保持一致，从而使设备能够提供基于统一时间的多种应用。如果防火墙系统时间不正确，将导致其产生的系统日志、操作日志、安全事件日志等失去时效性，给日常维护和故障定位带来诸多不便。参考配置思路：启用防火墙NTP功能，同步正确的当前系统时间。对于防火墙插卡需注意在启用NTP后禁用ACSEI客户端功能，避免出现时钟同步冲突。#ntp-serviceunicast-server

13、#FW-7、（必选）釆用二进制格式输出Userlog日志应用说明：ComwareV5平台防火墙支持Userlog日志输出功能。设备根据业务报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对网络流量进行分类统计，并生成Userlog日志。Userlog日志会记录报文的5元组、发送接收的流量大小等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的安全性与可审计性。防火墙Userlog日志支持以下两种输出方式，在实际部署时必须采用第2种方式：1、以系统信息格式输出至信息中心，再由信息中心决定日志的最终输出方向。2、以二进制格式封装成UDP报文直接输出至指定

14、的Userlog日志主机。参考配置思路：在防火墙Web配置页面中，配置Userlog日志输出参数时，不勾选“日志输出到信息中心”。具体配置界面示例如下：日志岌送时间W.0.0.1日志王机2WIPV4日志王机1察UTC匸:述地时间-J.0.0.2确定取消在“日志管理”“会话日志”“全局设置”中，注意仅开启“发送会话删除日志”。FW-8、（必选）SSLVPN采用IP接入方式配置资源应用说明：ComwareV5平台防火墙部分型号设备支持SSLVPN功能,可实现远程用户安全接入访问内网资源。受SSLVPN实现原理限制，在实现部署时应尽量避免使用Web方式、TCP方式配置内网资源，尽量使用IP方式配置，

15、以实现更好的业务兼容性及稳定性。参考配置思路：配置SSLVPN时，推荐采用IP方式进行内网资源配置。FW-9、（必选）DNS协议应用层老化时间配置优化应用说明：ComwareV5平台防火墙支持根据包含DNS协议在内的应用层协议进行会话检测与管理功能。为提高防火墙处理效率，避免DNS业务流相关会话表项在防火墙内存中驻留过长时间。建议当启用ALGDNS功能时，设置较短的DNS协议应用层老化时间。参考配置思路：出厂默认配置未启用ALGDNS功能，若根据客户业务需要启用后，应注意配置DNS协议应用层老化时间为5秒。防火墙Web页面具体配置示例如下图所示：2020-06-08H3C机密，未经许可不得扩散

16、第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页安全产品配置优化操作规范FW-10、（必选）防火墙不启用QoS功能应用说明：防火墙支持部分ComwareV5平台QoS功能，如QoSCAR限速。但启用防火墙QoS功能会对其转发性能造成非常大的影响，因此当防火墙转发业务流量较大时不要配置启用任何QoS策略。参考配置思路：不在防火墙上配置QoS策略。FW-11、（必选）防火墙地址对象范围地址配置优化应用说明：ComwareV5防火墙支持通过在域间策略中引用资源对象来简化配置工作，当管理员在进行地址对象的配置时，可通过主机地址、范围地址、子网地址三种方式进行配置。当需要

17、对较大范围的地址进行匹配时，建议尽量使用子网地址方式，否则会对设备性能产生较大影响。参考配置思路：防火墙上进行大量地址的对象资源配置时，尽量采用子网地址方式进行配置。下图所示为反例，万不可效仿：安全产品配置优化操作规范FW-12、（必选）部分型号防火墙业务端口选择建议应用说明：部分ComwareV5平台防火墙受硬件设计原因所限，其GigabitEthernet0/4、GigabitEthernet0/5端口转发性能较低，在设备部署实施过程中应避免将其应用为业务端口或双机热备口，建议可用作设备带外管理端口并划分至系统管理区域。适用本优化建议的产品型号具体包括：SecPath系列FW：F1000S

18、-EI、F1000C-SI、F100A-SI、F100M-SI、F100E-G、F100A-G、F100M-GSecPath系列UTM：U200-A、U200-M、U200-CA参考配置思路：不在上述型号FW或UTM设备上将GigabitEthernetO/4、GigabitEthernetO/5配置为业务端口或双机热备口，可将其用于带外网管口并划分至Management区域。FW-13、（必选）禁用会话加速功能应用说明：会话加速功能可以在特定应用场景下提升防火墙设备的每秒新建连接性能。需要注意的是，如果会话发起方报文的出接口与响应方报文的入接口不同，并且两个接口上的业务配置也不相同，则不能实

19、现会话加速。该功能可以在特殊应用场景中提高设备转发性能，但由于其应用场景毕竟有限，因此通常情况下应该保持默认配置，即关闭此功能。参考配置思路：“会话加速”功能的配置界面在Web管理页中的“防火墙”一“会话管理”一“高级设置”“会话加速”，去掉“启用会话加速”复选框的勾并单击“确定”按钮即可关闭本功能。安全产品配置优化操作规范FW-14、（必选）禁用ACL加速功能应用说明：ComwareV5平台防火墙部分型号产品支持ACL加速特性，通过启用该特性，可使软件在对单个ACL中存在大量规则时的查找匹配速度更快。但另一方面，当启用某条ACL的加速特性后，不允许再对该ACL进行任何修改，否则会造成加速失效

20、，规则查找匹配将出现混乱。为避免日常维护过程中因操作失误，导致管理员在启用ACL加速的状态下修改规则导致配置失效，在实际生产环境中建议禁用ACL加速功能。参考配置思路：在防火墙Web配置页面中禁用ACL加速功能。停止加速后，正确的状态如下图所示：ACL加谨状态圏标描述：已加谨未加谨嗾效2访问控制列表ID丫查询|高级查询口访问控制列表ID类型规贝I数重匹母顺序描述AEL加速管理操作3001高级1用户酉蜃仙速郵n血高级2用户配置n新建刪除选中刪除全部FW-15、（必选）禁用域间策略加速功能应用说明：ComwareV5平台防火墙部分型号产品支持域间策略加速特性，通过启用该特性，可使软件在进行域间策略

21、查找匹配时速度更快。但另一方面，某两个安全区域之间启用域间策略加速特性后，不允许再对该域间的任何策略进行修改，否则会造成加速失效，策略查找匹配将出现混乱。为避免日常维护过程中因操作失误，导致管理员在启用域间策略加速的状态下修改规则导致配置失效，在实际生产环境中建议禁用域间策略加速功能。参考配置思路：在防火墙Web配置页面中，禁用域间策略加速功能。停止加速后，正确的状态如下图所示：安全产品配置优化操作规范安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页FW-16、（必选）禁止通过ACL方式实现

22、远程管理访问控制应用说明：为提高防火墙在网运行健壮性，管理员应严格限制可以远程访问设备的源主机ip地址。在配置此类策略时，注意不要通过软件ACL方式做简单限制。例如，以下两种通过配置方式都是不推荐的。1、在user-interface下配置ACL,对SSH做访问控制。user-interfacevty04acl2001inbound2、在IPHTTPS后面配置ACL,对HTTPS做访问控制。iphttpsacl2001参考配置思路：在防火墙上配置限制可以远程访问本设备的主机源IP地址，应通过配置防火墙域间策略实现。FW-17、（必选）禁止使用弱口令应用说明：防火墙远程管理相关SNMP、SSH/

23、Telent、等功能，一般通过用户名密码对管理员或管理服务器进行认证和鉴权。在实际部署过程中，不得因贪图一时方便而使用弱口令，给系统安全留下隐患。参考配置思路：设备开局部署阶段及时做好密码管理工作，避免使用弱口令，推荐启用password-control相关功能。FW-18、（必选）禁止使用动态链路聚合模式应用说明：ComwareV5平台防火墙支持二三层链路聚合功能，受性能因素影响，在实际开局部署过程中，应采用静态链路聚合模式进行配置。参考配置思路：设备开局部署阶段需要启用链路聚合功能时，使用静态链路聚合模式。FW-19、（必选）IPSecVPN模板策略配置优化应用说明：ComwareV5平台

24、防火墙支持“中心分支”型IPSecVPN,为简化中心侧设备配置，可以采用模板方式进行策略配置。管理员在进行模板策略配置时，须特别注意不要配置成如下形式，即每个分支节点对应一个不同的模板。由于最终的IPSec策略中引用了多个模板，会导致软件匹配查找时效率大大降低。错误的配置方式：ipsecpolicy-templatetemp_11ipsecpolicy-templatetemp_21ipsecpolicy-templatetemp_31ipsecpolicytest1isakmptemplatetemp_1ipsecpolicytest2isakmptemplatetemp_2ipsecpol

25、icytest3isakmptemplatetemp_3参考配置思路：正确的配置方式为：若各分支节点IKE协商参数相同，则推荐使用单个策略模板进行匹配；若各分支节点IKE协商参数不同，则应当利用策略模板中的序列号参数创建多个不同协商参数的策略组合，而整体上仍然保持只有一个策略模板，这样便可以极大地优化软件2020-06-08H3C机密，未经许可不得扩散第 #页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页安全产品配置优化操作规范处理效率及速度。正确的配置方式：ipsecpolicy-templatetemp1ipsecpolicy-templatetemp2ipse

26、cpolicy-templatetemp3ipsecpolicytest1isakmptemplatetempFW-20、（必选）合理修改三层业务口TCPMSS参数应用说明：防火墙各三层业务口默认状态下TCPMSS参数值为1460字节，加上TCP包头及IP包头长度后正好为以太网最大负载长度1500字节，当报文从普通以太网端口发出时无需进行IP分片操作。但在诸如L2TPVPN、GREVPN、IPSecVPN等防火墙常见应用场景中，由于防火墙在进行业务报文转发前需额外封装包头，导致报文最终长度会超过接口MTU，引起IP分片操作，大大降低流量处理效率。因此，在防火墙开局部署阶段应该注意根据实际链路及

27、配置情况，灵活调整TCPMSS参数值，避免防火墙转发报文过程中执行IP分片操作。参考配置思路：在配置VT端口或Tunnel端口后，需在端口上根据物理接口MTU计算并修改合理的TCPMSS参数，通常修改为1400字节。命令行配置示例如下：#interfaceVirtual-Template1tcpmss1400#interfaceTunnel1tcpmss1400tunnel-protocolipsecipv4#在配置IKE/IPSecVPN策略时，应根据业务流量走向规划，在业务流量对应防火墙的入出业务接口修改TCPMSS参数，保证经IPSec封装后的报文长度不会引起防火墙执行IP分安全产品配置

28、优化操作规范安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页片操作，通常修改为1350字节。FW-21、（可选）利用域间策略对防火墙实施路由环路保护应用说明：可以利用域间策略来将防火墙接收到的三层环路报文丢弃处理，例如存在路由环路的接口已添加至Trust区域，则可以配置从Trust到Trust的域间策略，动作配置为Deny,从而将防火墙从Trust接收但仍将转发至Trust区域的报文直接丢弃。注意实施该配置方法的前提，即配置防火墙安全区域时，提前按业务及组网需求规划好各个安全区域，不能简单地

29、将全部接口加入同一个安全区域中。若同一区域已包含多个接口，且各接口之间确有业务互访需求时，可以先配置相应的允许策略，再配置防环路策略；或者重新将各个接口划分至不同的安全区域中，再配置防环路策略。参考配置思路：综合以上原则，假设Trust区域仅包含一个物理端口，无内部无访需求，为实现防止内网口三层环路报文冲击防火墙，在Web管理界面中防环路策略配置如下图所示：FW-22、（可选）拟分片重组功能配置优化IDSiPjfiW目的ipfflhi启用世顷日志加能siucmBlWCltMt1TmatTrustD刖UFfi眄那血1君5anvsem闭DenyQY二也应用说明：为了避免每个业务模块（如：IPSec

30、、NAT和防火墙）单独处理后片先到（报文分片后）而导致复杂度过高，设备需要将收到的IP报文执行虚拟分片重组功能，以实现对IP分片报文的检验、排序和缓存，保证其它后续业务模块处理的都是顺序正确的IP分片报文。另外，IP虚拟分片重组功能还可以对分片攻击进行检测，如果检测到分片攻击行为，设备可以丢弃收到的异常分片报文，提高设备的安全性与性能。参考配置思路：当防火墙出现IP大包不通或丢包现象时，可以在虚拟分片重组功能配置页面，将“分片队列数”和“分片报文数”调整至最大值，老化时间保持默认值即可。豁区城Trust片欧刁克化WB10分片阴|威会话加演ASPF栈能彗D竝1024?55（.1-255.缺省值胡

31、时啾1-04琅芒伍=3）虛冰另片莹组（1-1034,缺省值=叭TBt竿芸曲一忖旧审ER驰愜:ME策晤幻無匹概HL-irrWi：iTSNAT一应用层协边检珈-ACL厨ARP管圧圃ARP哪:圧-S3Q&5TS:禅底官J*吕岂哇总话磁连族熬限制一工订如-.-曲广）为曇质壇写顶FW-23、（可选）会话表项老化时间参数配置优化应用说明：防火墙会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息（即通用TCP协议和UDP协议）来对连接的状态进行跟踪，并对所有连接的状态信息进行统一维护和管理。参考配置思路：设备默认会话超时时间较长，在大并发的环境下，可以适当调整会话表项老化时间，以减小防

32、火墙并发会话数，通常建议将TCPSYN/TCPEST/UDPOPEN会话超时时间改为缺省值的一半。注意切勿将会话表项老化时间配置得过长或过短。下图为Web配置界面举例：FW-24、（可选）报文异常检测功能配置优化应用说明：单包攻击（亦称为畸形报文检测）是指攻击者通过向目标系统发送有缺陷的ip报文，如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃，给目标系统带来损失，或者通过发送大量无用报文占用网络带宽等行为来造成攻击防火墙报文异常检测功能支持对部分单包攻击进行检测和防御。参考配置思路：目前防火墙支持以下基于特征识别的防攻击，可以在所有安全区域开启攻击防

33、范，但建议不启用“ICMP不可达报文攻击检测，否则会引起大量的主机操作系统正常发送的ICMP协议报文被阻断。另外，在需要通过防火墙执行Tracert操作时，不启用“Tracert报文攻击检测”。FW-25、（可选）流量异常检测功能配置优化应用说明：防火墙流量异常检测功能，即泛洪攻击检测功能主要用于保护服务器。防火墙通过监测客户端向服务器发起连接请求的速率来检测各类泛洪攻击，一般应用在设备连接内部网络的安全域上，且仅对应用了攻击检测策略的安全域的出方向报文有效。配置了泛洪攻击检测后，设备将处于攻击检测状态，当它监测到向某台服务器ip地址发送报文的速率持续达到或超过判断阈值时，即认为该服务器受到了

34、攻击并转入攻击防范状态，防火墙可以视具体配置情况启动相应的防范措施（输出告警日志、或将后续新建连接的报文进行丢弃处理）。此后，当设备检测到向该服务器发送报文的速率低于恢复阈值时，即认为攻击行为已停止，防火墙将由攻击防范状态恢复为攻击检测状态，并停止执行防范措施。参考配置思路：如果需要在防火墙上开启本功能，必须首先了解客户当前的业务情况，尤其是每秒新建连接数、最大并发连接数等关键参数，否则无法合理配置检测阈值及恢复阈值。目前支持的攻击检测类型主要有SYNFlood、UDPflood、ICMPflood等。由于实现机制原因，如非必要不建议在日常运维过程中开启UDPflood和ICMPflood检测

35、。1、配置SYNFlood检测，安全区域为需保护主机所在的区域。YF50flflA5_lfloatEirrT-iiii：冲芭辿3岡他OWG：屮H用笆迎Q-l-二汗T；一ICMP口DDdUDPFbodDid|_n，-ii作押腐F：-=-URPFimSTCPPrnKy-2、TCP代理功能需要在攻击来源区域上启用，共分“单向”、“双向”两种模式，建议启用“单向”模式，下图所示为“双向”模式。3、支持手工将被保护主机地址添加至TCP代理表中。4、如果需保护主机的IP地址不明确，但可以确定其安全区域，则可以基于该安全区域配置攻击检测防范策略。-J.taMBHCTpfIchhJUDF-Ftaod卸卄JFt

36、aod-URPFI2K*TCPPtxiiv-KFFTUT.WB-球FW-26、（可选）双机热备会话同步组网中避免业务流量非对称路径转发应用说明：ComwareV5平台防火墙支持双机热备会话同步功能，成功使能了双机热备的两台防火墙可以实现普通会话、子会话、关联表、NAT、ALG、黑名单、ASPF等业务信息的实时同步。当前防火墙双机热备支持两种不同模式：1、不支持非对称路径备份：是指两台设备同时正常工作时，一条会话中的数据流进入内网和从内网出去所经过的设备必须相同，即进入内网时经过双机热备中的一台设备，从内网出去时经过的设备是进入时经过的设备。2、支持非对称路径备份：是指两台设备同时正常工作时，一

37、条会话中的数据流进入内网和从内网出去所经过的设备可以不同，即进入内网时经过双机热备中的一台设备，从内网出去时经过的设备可以是进入时经过的设备，也可以是另一台设备。上述两种模式中，第1种同步方式可以获得更好的防火墙转发性能及稳定性。参考配置思路：在进行防火墙双机热备会话同步组网规划时，应首先从整网设计角度，使来回流量经过两台防火墙时保持路径一致，即同一会话的双向报文须通过一台设备进行转发，并在实施时选择“不支持非对称路径备份”模式。配置界面如下图所示，不勾选“支持非对称路径备份”。FW-27、（可选）采用逐流转发模式应用说明：ComwareV5平台防火墙支持两种流量转发模式逐包模式和逐流模式：1

38、、逐包模式。基于报文调度，即将报文依次发送到不同的vCPU进行处理，同一条流的数据也将被分发到不同的vCPU进行处理，不保证报文的处理顺序，因此容易引入乱序。2、逐流模式。基于流调度，即将具有相同5元组（源IP地址、目的IP地址、源端口号、目的端口号和协议号）的同一条流分配到同一个vCPU进行处理，处理过程保证先进先出。在实际组网应用中，当防火墙转发语音、监控等应用流量时，由于防火墙默认采用逐包模式（除SecBladellR3179版本外），因此可能会导致业务报文经防火墙转发后出现乱序，若上层应用对报文乱序非常敏感，则容易引起诸如视频图像出现马赛克，FTP下线速度慢等问题。参考配置思路：除运营

39、商客户等业务流量非常大的组网环境，推荐使用防火墙逐流转发模式。具体配置命令如下，注意需防火墙重启后才能生效：H3Cipforwardingper-flow安全产品配置优化操作规范安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页安全产品配置优化操作规范LB-1、（必选）Outbound链路负载均衡优先通过ACL方式进行虚服务配置应用说明：在LB的Outbound链路负载均衡功能中，支持IP、ACL两种配置方式。采用IP方式配置虚服

40、务，其形式和效果与普通的目的地址路由表项相似，都是在设备接收到报文后根据会话首包的目的IP地址进行虚服务查找匹配。而采用ACL方式配置虚服务，其形式和效果与普通策略路由相似，除根据目的IP地址外，还支持根据源IP地址等其他ACL规则中的参数进行虚服务查找匹配。当LB部署在公网出口位置时，若采用IP方式配置一条“全零”虚服务指向外网时，当源自内网访问外网的某条会话表项正常老化后，如外网侧仍有反向报文发送至LB（通常为UDP、ICMP协议报文），此时由于虚服务优先级高于路由表，会短时间内在LB与ISP网关设备间形成一个临时的三层转发环路，极大地增加了ISP出口位置的突发无效流量，引起网络运行不稳定

41、。如果改为ACL方式配置虚服务，控制匹配规则为源IP地址为内网用户的会话首报文才能命中虚服务并执行调度，则可以有效避免此类问题。需注意，IP方式配置虚服务优先级更高，因此建议改为ACL方式配置虚服务后，不再保留任何IP方式配置的虚服务。参考配置思路：配置LB的Outbound链路负载均衡时，首先创建一条规则为匹配源IP地址为内网的ACL，然后将其设置为指导报文向公网侧转发的虚服务，即与指向外网的逻辑链路组绑定。若还有从外网主动发起访问内网的业务，则可以再创建一条规则为匹配目的IP地址为内网的ACL（如有NAT则应匹配inside地址），然后将其与指向内网的逻辑链路组绑定，并开启“保存上一跳信息

42、”功能，使来自多条ISP线路的访问内网的会话，其回程报文仍保持从原线路返回，实现“电信进电信出、联通进联通出”的组网目标。以内网网段为/8举例，ACL及Outbound虚服务配置示例如下：#aclnumber3001rule5permitipsource55aclnumber3002rule5permitipdestination55#ACL方式配置Outbound链路负载均衡配置示例（“IP地址方式”中配置为空）:LB-2、（必选）Outbound链路负载均衡不启用就近性应用说明：ComwareV5平台LB产品支持就近性探测功能，其设计理念可以使设备在进行流量调度时探测远端目的可达性状态变化

43、，以动态决定调度结果。但从实际部署应用效果看，启用就近性后会大量消耗LB控制平面处理性能，造成控制平面不稳定、业务流量访问缓慢等诸多更严重的问题，且难以实现预期效果。因此，除售前测试或客户明确要求启用的场景外，不建议启用Outbound链路负载均衡的就近性功能。参考配置思路：在创建/编辑虚服务配置界面中，不勾选“使能就近性。匹闻方我：IF地址方式*ACL方式ACL:3000-C2000-3999）优先级：10-C1-1024）持续性方法：|2连按数眼制：矗|（0-104857&0,除示不限制，玦省ff=）逻辑错路组：Internet2誓使能虚朋碁使能就近止0使能怎临路0使能铤路繁忙保护星号为必

44、须填写顷确定|取消LB-3、（必选）服务器负载均衡虚服务IP不响应ARP请求限制的解决方法应用说明：在服务器负载均衡场景中，由于虚服务IP地址不响应ARP请求，因此需要通过其他方式使得LB上一跳设备可以将目的地址为虚服务业务报文正常转发给LB处理。在单台LB的组网环境中，可以通过将虚服务IP地址配置为sub地址的方式实现；在LB双机组网环境中，可以通过将虚服务IP地址配置为VRRP虚地址的方式实现。除上述两种方式外，还可以通过直接在LB上一跳设备配置精确路由来指导业务报文转发，解决LB虚服务不响应ARP请求的限制问题。参考配置思路：以服务器负载均衡虚服务00/80为例，可通过以下三种方式解决虚

45、服务不响应ARP请求的限制问题。方法一：sub地址方式（适用于单机，在LB上配置）#interfaceTen-GigabitEthernet0/0.10vlan-typedot1qvid10ipaddressipaddress00sub#方法二：VRRP虚地址方式（适用于双机，在LB上配置）#interfaceTen-GigabitEthernet0/0.10vlan-typedot1qvid10ipaddressvrrpvrid100virtual-ip00vrrpvrid100priority110#方法三：精确路由方式（在LB上一跳三层设备上配置）#iproute-static0055d

46、escriptionSLB_to_00/80#LB-4、（必选）采用二进制格式输出Userlog日志应用说明：ComwareV5平台LB支持Userlog日志输出功能。设备根据业务报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对网络流量进行分类统计，并生成Userlog日志。Userlog日志会记录报文的5元组、发送接收的流量大小等信息。网络管理员可以利用这些信息实时跟踪、记录用户访问网络的情况，增强网络的安全性与可审计性。Userlog日志支持以下两种输出方式，在实际应用时必须采用第2种方式：1、以系统信息格式输出至信息中心，再由信息中心决定日志的最终输出方向。2、以二进

47、制格式封装成UDP报文直接输出至指定的Userlog日志主机。参考配置思路：在LB的Web配置页面中，配置Userlog日志输出参数时，不勾选“日志输出到信息中心。具体配置界面示例如下：LB-5、（必选）关于实服务故障处理方式的配置选择应用说明：在链路负载均衡、服务器负载均衡应用场景中，当LB通过健康性检测机制发现实服务出现故障时，支持下列三种处理方式：1、保持已有连接：LB不主动删除与故障实服务相关的会话表项，由客户及服务器两端的应用程序决定何时拆除或重建连接2、断开已有连接：LB主动删除与故障实服务相关的会话表项3、重定向已有连接：LB将会话表项重定向到实服务组中其他可用实服务处理关于三种

48、实服务故障处理方式的详细描述如下：保持已有连接：实服务或者逻辑链路的状态变迁不影响已有会话表项的状态，会话表项将根据老化时间或客户端/服务器的拆链报文而正常删除。断开已有连接：实服务故障后，对于TCP连接，客户端后续发来的报文将被LB丢弃，并触发LB主动回复RST报文拆链，随后LB会将该会话表项立即清除。对于UDP连接，若LB必须使能ipunreachableenable，则会向客户端发送ICMP目的不可达报文，若LB持续收到客户端继续发来的报文，则LB会持续丢弃这些报文并回复ICMP目的不可达报文，即如安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第 页,共59页2

49、020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页果一直有客户端后续报文命中该条UDP会话，则其老化时间将被一直刷新，无法老化。对于ICMP连接，来自客户端的后续报文同样会被LB丢弃，LB也会回应一个ICMP目的不可达报文，并将该会话表项的状态切换至加速老化状态（默认老化时间至10S）,如果客户端持续发送后续报文至LB,则该条会话表项永远不老化（常见于客户端设置连续ping场景）。重定向已有连接：原有实服务故障后，LB将重新调度一个健康的实服务并挂接到该会话中，一旦有后续报文命中该会话，则会被直接重定向至新的实服务处理

50、。如果新的实服务也出现故障，则LB会再次调度一个健康的实服务挂接到该会话中。如果最初调度的实服务恢复，LB将继续根据会话当前所挂接的实服务转发报文。由此可见，重定向已有连接方式不会产生新的会话表项。当后续报文命中表项时，也会正常刷新会话表项的老化时间。在服务器负载均衡场景中，服务器响应的反方向由于无法匹配原有会话，因此将新建一条会话，这将导致客户端收到的报文源IP地址是变为实服务IP,不是虚服务IP,报文会被客户端丢弃。如果LB启用SNAT功能，当LB重新调度一个健康的实服务挂接到该会话时，会重新分配SNAT信息并刷新会话老化时间，但很显然，由于新的SNAT信息与执行重定向前的信息不一致，因此

51、报文仍无法正常转发。而在链路负载均衡和防火墙负载均衡场景中，服务器响应的反向报文是可以命中原有会话的。但如果LB除了负载分担外还执行了NAT操作，由于原有出接口的NAT相关信息与重定向后出接口的NAT信息不一致，所以仍会导致NAT模块检查失败、报文被丢弃、会话被删除。参考配置思路：综前所述，“断开已有连接”可以用于部分特定的服务器负载均衡场景，而“重定向已有连接”可以用于防火墙转发模式及部分链路负载均衡场景。另外需注意，这两种方式均不支持IP快速转发处理，对LB的转发性能有较大影响。因此，除售前测试功能验证或其它特定场景外，应保持实服务故障处理方式选定默认配置，即“保持已有连接”。Web管理界

52、面实服务故障处理配置示例如下图所示：实朋务组名:ServerVS字符(1-31)调度算法:源地址散列己选检则方法惨改实朋奔组健康性检剩方法:（最釦E个）arph社picmip7imap可选检则方法健康性检剩成功条件：全部V健康性检剩方法通过实册务故障处理：保持已有连接V识别特证：宇符(1-127)ACL:(2000-3999)诣级西隘星号厂）为必须填写项确定|取消LB-6、（必选）配置NTP保持时钟正确同步应用说明：NTP（NetworkTimeProtocol，网络时间协议）是一种时间同步协议，用来在分布式时间服务器和客户端之间进行时间同步。启用NTP的目的是对网络内所有具有时钟的设备进行时

53、钟同步，使网络内所有设备的时钟保持一致，从而使设备能够提供基于统一时间的多种应用。如果LB系统时间不正确，将导致其产生的系统日志、操作日志、Userlog日志等失去时效性，给日常维护和故障定位带来诸多不便。参考配置思路：启用NTP功能，同步正确的当前系统时间。#ntp-serviceunicast-server#安全产品配置优化操作规范LB-7、（必选）RADIUS业务与强制负载均衡特性配置优化应用说明：Radius业务一般是在BRAS和服务器之间交互报文，报文的源目地址和源目端口号一般都是长期固定不变的，且报文交互频率高。如果使用常规的服务器负载均衡配置，在选择实服务故障处理方式时，若使用保

54、持已有连接和断开已有连接，当实服务器出现故障时，由于持续有报文匹配原有会话，而这条会话由于持续刷新老化，势必造成后续报文被丢弃，进而引发业务中断故障；若选择实服务故障处理方式为重定向已有连接，LB将会把匹配上实服务故障的会话重新调度到新的实服务上，但此时的回应报文被LB直接路由转发回Radius客户端，不再进行应有的地址转换操作，这将导致BRAS认为响应错误，同样地造成业务中断故障。为解决上述问题，在Radius业务场景下，强烈建议使用UDP强制负载均衡特性，并配置Radius持续性方法。该配置方法将强制LB设备执行逐包调度，当实服务故障后LB会直接删除持续性表项并重新进行业务调度，从而实现业

55、务的无缝切换及高可靠性。参考配置思路：在部署服务负载分担RADIUS业务时，启用“七层应用内容识别”模式，配置UDP协议并使能“强制负载均衡”，同时启用“RADIUS方式”的持续性方法。LB-8、（必选）使用独立物理端口做双机热备口应用说明：ComwareV5平台LB支持双机热备功能，为提高HA连接的可靠性，两台设备应使用独立物理端口直连形成双机热备，该端口不承载普通业务流量。若两台设备热备口无法直接互联，必须经交换机桥接，则必须为HA连接单独规划部署一个二层链路或VLAN，避免其他无关报文对LB双机热备口造成的冲击。目前产品实现最多可以支持两条物理链路实现HA互联。参考配置思路：盒式LB设备

56、建议选择第一个固定物理端口做HA口。插卡式LB设备可任选一个前面板物理端口做HA口。安全产品配置优化操作规范2020-06-08H3C机密，未经许可不得扩散第 页,共59页2020-06-08H3C机密，未经许可不得扩散第 页,共59页LB-9、（必选）配置ACL时慎用Denyany规则应用说明：ComwareV5平台LB的ACL主要用于软件对业务或管理流量的识别与分类，并不直接用于报文的允许或阻断动作。在配置LB各软件模块功能参数时，常常需要使用ACL，此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可，无须在所有规则最后配置一条Denyany,这样可以在很大程度上减少无谓的性能消耗。

57、参考配置思路：例如，在配置NAT转换策略时，需要通过ACL限制仅允许内网/16网段的用户做出方向源地址转换，引用至NAT命令，如下列所示ACL3001是正确的配置方式，而ACL3002是错误的配置方式。#aclnumber3001/正确的ACL配置方式rule10permitipsource55#aclnumber3002/错误的ACL配置方式rule10permitipsource55rule20denyip/该条规则将引起不必要的性能消耗#LB-10、（必选）不启用QoS功能应用说明：LB支持部分ComwareV5平台QoS功能，如QoSCAR限速。但启用QoS功能会对LB的转发性能造成较

58、大的影响，因此当LB转发业务压力较大时不要配置启用任何QoS策略。参考配置思路：不在LB上配置QoS策略。安全产品配置优化操作规范LB-11、（必选）不启用攻击防范功能应用说明：ComwareV5平台LB配置界面中支持部分安全防攻击特性，包括报文异常检测、流量异常检测等,但由于LB在整体组网中更重要的是提供负载均衡特性,为优化LB转发性能，不建议启用其攻击防范功能。参考配置思路：在LB配置界面中，除售前测试或特定场景需求外，不启用LB的攻击防范功能。LB-12、（必选）禁用ACL加速功能应用说明：ComwareV5平台LB部分型号产品支持ACL加速特性，通过启用该特性，可使软件在对单个ACL中

59、存在大量规则时，查找匹配速度更快。但另一方面，某条ACL启用加速特性后，不允许再对该ACL进行修改，否则会造成加速失效，规则查找匹配出现混乱。因此，除售前测试等特殊需求场景外，在实际生产环境中，必须禁用ACL加速功能。参考配置思路：在设备Web配置页面中，禁用ACL加速功能。停止加速后，正确的状态如下图所示：LB-13、（可选）业务端口添加安全区域属性应用说明：ComwareV5平台LB产品部分继承了防火墙特性，支持为各个业务接口添加安全区域属性。在实际部署时，推荐为LB所连接的各个接口添加不同的安全区域，从而使管理员在日常维护和故障排查时，可以根据会话表项中记录的入出安全区域信息，快速准确判

60、断业务报文在LB设备的接收、发送端口，尤其对于管理员随时分析LB的负载分担效果特别有帮助。参考配置思路：在某局点Outbound链路负载均衡场景中，假设LB连接了2条电信线路,1条联通线路，1条移动线路和1条教育网线路，管理员可以事先创建若干自定义安全区域，如“CTC_1”、“CTC_2”、“CNC”、“CMCC”、“EDU”，分别对应5条ISP线路。然后将业务端口添加至对应的安全区域，另将LB与内网互联端口加入“Trust”区域中。上述配置完成后，在查看LB会话表项的详细信息时，便可以通过该条会话表项的入安全区域、出安全区域快速判断LB设备收、发会话报文的实际线路了。举例如下，通过会话表项详