H3C防火墙(V5)配置规范

H3C防火墙(V5)配置规范ISSUE1.0日期：2012年8月杭州华三通信技术有限公司版权所有，未经授权不得使用与传播作者：潘猛目录常见功能配置规范常见组网防火墙问题排查手段ALGNATServerClientServerFTP被动模式RouterClientServer修改ftp报文生成

动态NAT表项修改ftp报文生成

动态NAT表项生成关联表对于防火墙来说，一次FTP业务有两条会话，数据连接没有可以匹配的策略，是否会被丢弃？ALG从设备性能和稳定性的角度出发，我们只开启必须的ALG,那么到底需要开启哪些ALG？DNS关闭要实现相关需求可打开，一般不使用FTP打开GTP关闭有些特殊局点需要开启H.323关闭使用H.323协议的应用需要开启，一般不使用ILS关闭MSN关闭NBT关闭PPTP关闭有PPTP业务从防火墙透传,需要开启，一般不使用QQ关闭RTSP打开运营商相关应用较多，建议开启SCCP关闭SIP关闭SQLNET关闭ALG功能只适用老版本oracle，一般不使用TFTP关闭ALG<F5000>displaysessionstatisticsCurrentsession(s):1CurrentTCPsession(s):1Half-Open:0Half-Close:0CurrentUDPsession(s):0CurrentICMPsession(s):0CurrentRAWIPsession(s):0Currentrelationtable(s):0Sessionestablishmentrate:0/sTCPSessionestablishmentrate:0/sUDPSessionestablishmentrate:0/sICMPSessionestablishmentrate:0/sRAWIPSessionestablishmentrate:0/sReceivedTCP:7833packet(s)1335102byte(s)ReceivedUDP:8641packet(s)830258byte(s)ReceivedICMP:0packet(s)0byte(s)ReceivedRAWIP:0packet(s)0byte(s)DroppedTCP:3packet(s)744byte(s)DroppedUDP:0packet(s)0byte(s)DroppedICMP:0packet(s)0byte(s)DroppedRAWIP:0packet(s)0byte(s)<F5000>displaysessionrelation-table判断是否有匹配到ALG的流量开启ALG的命令： [F1000E]ALGH323ALG使用自定义端口: [F1000E]port-mappingh323port11111

NQANQA基本只使用ICMP，其他方式需要目标机支持，即目标机为H3C支持NQA的设备,另外配置ICMPNQA不需要开启NQAAGENT.中间有2层设备或者3层设备插卡设备NQA配置#配置探测组adminopernqaentryadminoper#类型为ICMP-Echo，即ping操作typeicmp-echo#ping的目的地址destinationip#建议频率为3000毫秒，即3秒frequency3000#配置反应组1，如果连续测试3次失败则触发相关动作reaction1checked-elementprobe-failthreshold-typeconsecutive3action-typetrigger-only#如果需要探测的对端为直连设备，需要配置bypass路由，防止路由失效后，通过其他路由导致NQA探测成功，造成震荡route-optionbypass-route#如果需要探测的地址为VPN内的地址，则需要配置vpn-instancevpn-instanceuntrust#nqa调度配置，即从配置开始起一直进行调度测试nqascheduleadminoperstart-timenowlifetimeforever以下属于NQA关联配置#跟踪组1和adminoper的reaction1绑定track1nqaentryadminoperreaction1#将vrrp和跟踪组1绑定vrrpvrid1track1reduced30#将vrrp和跟踪组1绑定也可以将静态路由与跟踪组绑定*NQA基本只使用ICMP，其他方式需要目标机支持*手册里面的配置有一个一次发送10个报文的配置，实际使用时一般不配NQA故障处理NAT&VRRP接入交换机内部交换机热备线防火墙在双机配置的情况下，NatOutbound后的地址池需要配置不同的level，防止在主备切换时发生会话冲突.[F5000A5_1]nataddress-group10level0[F5000A5_2]nataddress-group10level1当NATOutbound地址池或者是NATServer和NatStatic的Global地址与接口地址在同一网段时，需要在NAT命令后跟trackvrrp的配置，防止主机和备机出现地址冲突interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp10natoutbound3001address-group1trackvrrp10natserverprotocoltcpglobal0wwwinsidewwwtrackvrrp10ipaddressvrrpvrid10virtual-ip54vrrpvrid10priority105NAT&VRRP接入交换机内部交换机热备线防火墙ARP请求业务数据ARP响应可能出现的数据流NAT&VRRPNATOutbound存在多个地址池时，按照ACL编号从大到小匹配，即查看配置看到的显示顺序.当配置NAT的接口在VPN实例中时，需要在多处配置VPN实例来实现NAT功能。NATOutbound：ACL中需要指定vpn-instanceaclnumber3001rule0permitipvpn-instancevpnsource0NATOutbound后需要跟指定的vpn-instancenatoutbound3001address-group1vpn-instancevpnNATServer：Global和Inside地址后都需要跟指定的vpn-instancenatserverprotocoltcpglobal0wwwvpn-instancevpninside0wwwvpn-instancevpnNATStatic：需要在全局的natstatic命令Global和Inside地址后跟上指定的vpn-instancenatstatic00vpn-instancevpn00vpn-instancevpnSSH/HTTPS原则上在网设备不允许开启TELNET和HTTP服务，安全性太低SSH/HTTPS开启SSH sshserverenable local-usertest service-typessh开启HTTPS iphttpsenable防火墙上由于需要开启https服务，所以内置了证书，即设备上存在公私钥对，所以不要按照手册上的SSH配置进行操作，那样会破坏证书HTTPS常见故障：

1、时间不对，尤其是插卡设备，由于插卡无时钟芯片，如果不配置时间同步，会造成设备时间恢复到2000年，而证书的有效期是2007年开始的，这样证书就会校验失败，造成https启动失败 2、证书错误UserlogUserlogUserlog是发送会话日志（又称NAT日志）的一种的方法，设备还支持syslog发送的方式，由于syslog对设备CPU消耗较大，会造成设备不稳定，所以我们禁止使用syslog的方式发送会话日志；除了IMC和SecCenter，其他网管要接受Userlog，必须进行开发，Userlog的日志格式可以向二线咨询SecCenter看不到NAT日志的情况：1、时间配置有问题，目前版本支持两种方式发送，一种是以本地时钟发送（加上时区以后），一种是以格林威治时间发送（不加时区），在SecCenter侧，选择以本地时钟处理（在时间戳上加上时区信息），以格林威治时间处理（不加时区）2、设备上没有会话产生和老化会话超时会话超时时间可以适当的调整，一般可以调整到缺省值的1/2到1/3,对于TCPESTABLISHED状态，通常在一些书籍中会提到这个状态的超时时间为7200秒，但是在实际应用中，很少有TCP会话会持续那么长时间既没有数据也不关闭，所以适当的改小这个值对应用几乎无影响。虚拟分片重组将攻击报文进行IP分片是一种常见的穿越防火墙技术，H3C防火墙为了抵御这种攻击，必须开启虚拟分片重组。另外分片报文经过防火墙时，为了解决匹配会话的问题，也必须开启虚拟分片重组。但是虚拟分片重组的队列存在限制，容易造成PING大包无法通过防火墙。这种情况下： 1、我们要纠正客户使用ping大包来评价网络状况的方法 2、可以优化虚拟分片重组的配置Flood类攻击处理UDP/ICMPFLOOD手段比较单一，采用丢包方式，会影响正常业务，阈值不好控制SYNFLOOD可以采用代理方式，代理在源域配置，防攻击都是在目的域配置通常flood攻击源地址为伪造源地址，可以通过域间策略进行过滤如果是正常会话较多（状态为established），则可以考虑使用连接数限制连接数限制网络中经常会出现部分主机中毒，产生大量会话的情况。比如内网的主机向外发起大量tcp连接，从策略上看属于正常连接，但是连接太多会造成防火墙压力巨大，设备运行不稳定，建议在会话数异常时，在防火墙上配置连接数限制，防止这种情况发生。安全加固SNMP:对SNMP访问进行访问控制snmp-agentcommunityreadpublicacl2000//引用ACLsnmp-agentcommunitywriteprivateacl2000同时可以开启

snmplogset来记录snmp的set操作；snmp-agentlogset-operation黑名单：多次登录失败加入黑名单；密码策略：密码要够复杂，周期性修改环路避免：使用静态路由时必须仔细检查，尤其是部署在网络出口做NAT时，可能出现环路防止伪造源地址：对于路由范围比较明确的组网，配置明确的域间策略，禁止使用any这种配置方式MIB常用防火墙MIB：获取设备系统名称

sysName .获取设备启动时间

sysUpTime ..0获取设备系统描述

sysDescr .获取设备温度

hh3cEntityExtTemperature .4.1.2550.2.3获取单板内存总大小

hh3cEntityExtMemSize .4.1.2550.0.3获取单板内存使用率

hh3cEntityExtMemUsage .4.1.2550..3获取单板CPU利用率

hh3cEntityExtCpuUsage .4.1.2550..3设备最大会话数

hh3cFWMaxConnNum .4.1.25设备当前会话数

hh3cFWConnNumCurr .4.1.25双机热备

双机热备线：

用于同步两台防火墙上的会话信息、配置等信息，属于专用线路，线路上不会传输任何业务数据和协议报文；

配置同步：

支持绝大部分的配置同步，不支持主机名、接口地址、VRRP地址等配置，所有配置需要在网页上配置才能同步，必须在作为主设备的机器上配置；

会话同步：

无主备关系，相互同步会话，只同步稳态会话；

当开启支持非对称路径时，可以同步非稳态会话；

双机热备是否一定要开启？非对称路径是否要开启？目录常见功能配置规范常见组网防火墙问题排查手段典型组网一接入交换机内部交换机热备线防火墙VRRPVRRP典型组网二NQA1NQA2NQA3NQA4vrrpvrrp错误组网接入交换机内部交换机热备线防火墙VRRPVRRP接入交换机内部交换机热备线防火墙VRRPVRRP目录常见功能配置规范常见组网防火墙问题排查手段日志主机和网管由于故障处理通常都有滞后性，而设备的日志缓存又不可靠，在条件允许的情况下，一定要配置日志服务器和网管系统！！严禁关闭info-center的做法，如果攻击日志太多，可以单独关闭攻击防范，或者是关闭攻击防范日志；[SecBladeII_1]info-centersourceATTACKchannellogbufferlogstateoff配置日志主机：[SecBladeII_1]info-centerloghost20配置SNMP：[SecBladeII_1]snmp-agentcommunityreadpublicacl2001[SecBladeII_1]snmp-agentcommunitywritepublicacl2001视频卡问题Core-1Core-2缺省设备采用逐包转发方式Core-1Core-2采用逐流转发方式视频卡问题修改逐包转发方式为逐流业务不通处理流程业务部分不通查询问题业务的源IP，基于源IP和目的IP查看会话详情无会话有会话根据会话信息，确认会话状态是否正常根据会话信息，确认收发包报文数是否正常关闭逻辑转发，debug报文确认收发是否正常从其他设备定位Debug防火墙策略，确认是否被防火墙策略过滤修改域间策略否是查看上游设备路由是否正确正常不正常Debug会话状态机，确认会话状态刷新是否正常联系H3C技术支持中心正常不正常查看各设备路由和NAT是否正确正常不正常收集诊断信息，拓扑结构，记录排查过程未解决未解决未解决未解决调试命令查询问题业务的源IP，基于源IP和目的IP查看会话详情Debug防火墙策略，确认是否被防火墙策略过滤根据会话信息，确认会话状态是否正常Debug会话状态机，确认会话状态刷新是否正常根据会话信息，确认收发包报文数是否正常关闭逻辑转发，debug报文确认收发是否正常（F5000）在接口上配置qos或者是ipsec策略，实现关闭逻辑转发的效果自动重启[H3C]_hidecmdNowyouenterahiddencommandviewfordeveloper'stesting,somecommandsmayaffectoperationbywronguse,pleasecarefullyuseitwithourengineer'sdirection.[H3C-hidecmd]displayexception10verbose[H3C-hidecmd]displayexception10verbosefrom-device[H3C-hidecmd]displayerror-information50verbose[H3C-hidecmd]displayerror-information50verbosefrom-device内存异常[H3C]dissessionstatistics[H3C]disnatstatistics[H3C]dismemory[H3C]_H