安全产品配置优化操作规范模板

杭州华三通信技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。该文档由H3C总部安全技术支持工程师经过长期技术积累总结而来,请务必在安全产品部署实施中重视本操作规范要求,保障设备在网运行效果及稳定性。本文档为保密文档,仅限H3C原厂工程师使用,对私自扩散者H3C保留起诉的权利。本文档将安全配置优化操作方式分为两大类:必选项:设备部署时必须严按照必选项的规范要求执行。可选项:在客户无明确要求且不影响客户使用情况下,视具体组网环境可选部署。声明 2FW-1、（必选）通过配置域间策略对防火墙本地实施保护 5FW-2、（必选）防火墙ALG功能配置优化 6FW-3、（必选）防火墙双机组网环境NAT与VRRP联动 7FW-4、（必选）配置ACL时慎用Denyany规则 8FW-5、（必选）防火墙使用独立物理端口做双机热备口 8FW-6、（必选）配置NTP保持防火墙时钟正确同步 9FW-7、（必选）采用二进制格式输出Userlog日志 9FW-8、（必选）SSLVPN采用IP接入方式配置资源 11FW-9、（必选）DNS协议应用层老化时间配置优化 11FW-10、（必选）防火墙不启用QoS功能 12FW-11、（必选）防火墙地址对象范围地址配置优化 12FW-12、（必选）部分型号防火墙业务端口选择建议 12FW-13、（必选）禁用会话加速功能 13FW-14、（必选）禁用ACL加速功能 14FW-15、（必选）禁用域间策略加速功能 14FW-16、（必选）禁止通过ACL方式实现远程管理访问控制 15FW-17、（必选）禁止使用弱口令 15FW-18、（必选）禁止使用动态链路聚合模式 16FW-19、（必选）IPSecVPN模板策略配置优化 16FW-20、（必选）合理修改三层业务口TCPMSS参数 17FW-21、（可选）利用域间策略对防火墙实施路由环路保护 18FW-22、（可选）虚拟分片重组功能配置优化 18FW-23、（可选）会话表项老化时间参数配置优化 19FW-24、（可选）报文异常检测功能配置优化 20FW-25、（可选）流量异常检测功能配置优化 21FW-26、（可选）双机热备会话同步组网中避免业务流量非对称路径转发 23FW-27、（可选）采用逐流转发模式 24LB-1、（必选）Outbound链路负载均衡优先通过ACL方式进行虚服务配置 26LB-2、（必选）Outbound链路负载均衡不启用就近性 27LB-3、（必选）服务器负载均衡虚服务IP不响应ARP请求限制的解决方法 28LB-4、（必选）采用二进制格式输出Userlog日志 29LB-5、（必选）关于实服务故障处理方式的配置选择 30LB-6、（必选）配置NTP保持时钟正确同步 32LB-7、（必选）RADIUS业务与强制负载均衡特性配置优化 33LB-8、（必选）使用独立物理端口做双机热备口 34LB-9、（必选）配置ACL时慎用Denyany规则 35LB-10、（必选）不启用QoS功能 35LB-11、（必选）不启用攻击防范功能 36LB-12、（必选）禁用ACL加速功能 36LB-13、（可选）业务端口添加安全区域属性 36LB-14、（可选）双机热备会话同步组网避免业务流量非对称路径转发 38LB-15、（可选）优先采用四层负载均衡模式满足客户配置需求 39LB-16、（可选）采用逐流转发模式 40IPS&ACG-1、（必选）配置IPS攻击防范策略时必须先手工调整策略规则 42IPS&ACG-2、（必选）配置IPS病毒防范策略时必须先手工调整策略规则 47IPS&ACG-3、（必选）定期检查IPS/ACG特征库版本是否正常更新 48IPS&ACG-4、（必选）通过NTP\ACSEI保持IPS/ACG时钟同步正确 49IPS&ACG-5、（必选）部署IPS/ACGMQC引流内外安全域须为不同Vlan 51IPS&ACG-6、（必选）部署IPS/ACG插卡MQC引流时避免二层报文风暴 53IPS&ACG-7、（必选）正则表达式URL过滤规则的配置优化 54IPS&ACG-8、（必选）带宽管理P2P限流规则配置优化 54IPS&ACG-9、（必选）ACG通道带宽管理功能针对DNS业务流量进行保障 55IPS&ACG-10、（可选）部署专用日志主机配合IPS/ACG实现安全事件审计 56IPS&ACG-11、（可选）ACG流日志配置优化 58IPS&ACG-12、（可选）不启用IPSDDoS攻击防范策略 59FW-1、(必选)经过配置域间策略对防火墙本地实施保护应用说明:ComwareV5平台防火墙为便于用户登录管理设备,当前实现机制为默认所有安全区域都能够访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙,要求必须配置到local区域的域间策略以对防火墙自身进行保护。在配置具体的域间策略时,应首先允许必要的管理、协议报文与防火墙本地交互,然后禁止其它流量与防火墙本地交互。自7月起,新软件版本的ComwareV5平台防火墙进行了一次默认策略变更切换,将默认所有安全区域及Local区域之间的策略变更为全部禁止互访,以满足市场需求并加强安全性,详见请查询《H3C技术公告【】018号-关于H3CComwareV5平台防火墙变更默认域间策略转发规则的公告》。参考配置思路:1. 配置允许网管计算机访问local区域的域间策略,允许包括HTTP、HTTPS、Telnet、SSH、SNMP、FTP、TFTP、PING等常见网管相关协议访问本地,域间策略源IP地址范围应做严格限制,避免非管理主机访问防火墙本地;2. 配置允许防火墙与其它网络设备进行协议交互的域间策略,例如VRRP,OSPF,BGP、PING、IKE、L2TP,ESP等常见协议;3. 确认其它网络设备是否有目的地址为防火墙本地的探测,例如NQA、BFD等,如有则必须补充允许其它设备探测报文到达防火墙本地的域间策略;4．配置域间策略时应尽量使用明确的源目的IP地址范围,减少使用”any_address”等方式的粗放管理型配置,比如Trust区域的实际规划IP范围为/24,Untrust区域为Internet,则配置域间策略时应将Trust区域源IP地址范围配置为/55子网地址对象,使策略更加合理精确,阻断可能出现的源地址欺骗报文经防火墙转发。5.最后配置各安全区域至Local区域的全部禁止策略,避免防火墙因接收到达本地的无效报文过多而影响CPU性能,最终实现对防火墙自身的安全保护。综合以上原则,在防火墙Web管理界面中的配置示例如下图所示:FW-2、(必选)防火墙ALG功能配置优化应用说明:防火墙ALG(ApplicationLevelGateway,应用层网关)特性主要完成对应用层报文的处理。当应用层数据中包含IP地址时,ALG能够对该地址进行处理,以保证后续该地址对应的连接能够正确建立。ALG的工作包括:解析数据报文载荷中的IP地址信息,并根据需要对其进行NAT(NetworkAddressTranslation,网络地址转换)处理;提取数据通道信息,为后续的会话连接建立数据通道。这里的数据通道一般指相对于用户认证的控制连接而言的数据连接;在防火墙上,安全策略一般只允许特定的端口经过,对于需要动态开放端口的协议,即使没有NAT也必须启用ALG才能合格证业务正常处理,例如FTP协议;另有些属于功能型ALG,专为实现某种功能而存在,例如DNSALG,需要视实际环境决定是否需要开启。参考配置思路:当防火墙做二层转发部署时,除FTP协议外,推荐关闭其它所有ALG功能。当防火墙做三层转发部署时,以下为H3C防火墙应用的ALG推荐配置,建议只开启FTP和RTSP,关闭其它ALG功能。DNS关闭要实现相关需求可打开,一般不使用FTP打开GTP关闭有些特殊局点需要开启H.323关闭使用H.323协议的应用需要开启,一般不使用。ILS关闭MSN关闭不使用。NBT关闭PPTP关闭有PPTP业务从防火墙透传,需要开启,一般不使用。QQ关闭不使用。RTSP打开SCCP关闭SIP关闭SQLNET关闭仅适配老版本Oracle,一般不使用。TFTP关闭FW-3、(必选)防火墙双机组网环境NAT与VRRP联动应用说明:ComwareV5防火墙在双机组网场景中,当两台设备使用相同的NATOutbound地址池、NATServer、NATStatic的Global地址,且与接口主IP地址在同一网段时,需要在NAT命令后跟trackvrrpvrid配置,避免因主机和备机共享相同地址而出现ARP冲突。参考配置思路:以下为防火墙某外网端口配置示例:interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp1natoutbound3002address-group10trackvrrp1natoutbound3001trackvrrp1natserverprotocoltcpglobal00wwwinside00wwwtrackvrrp1ipaddressvrrpvrid1virtual-ip54vrrpvrid1priority110FW-4、(必选)配置ACL时慎用Denyany规则应用说明:ComwareV5平台防火墙的ACL主要用于软件对业务或管理流量的识别与分类,并不直接用于报文的允许或阻断动作。在配置防火墙各软件模块功能参数时,常常需要使用ACL,此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可,无须在所有规则最后配置一条Denyany,这样能够在很大程度上减少防火墙的无谓性能消耗。参考配置思路:例如,在配置NAT转换策略时,需要经过ACL限制仅允许内网/16网段的用户做出方向源地址转换,引用至NAT命令,如下列所示ACL3001是正确的配置方式,而ACL3002是错误的配置方式。#aclnumber3001 //正确的ACL配置方式示例rule10permitipsource55#aclnumber3002 //错误的ACL配置方式示例rule10permitipsource55rule20denyip //该条规则将引起不必要的性能消耗#FW-5、(必选)防火墙使用独立物理端口做双机热备口应用说明:ComwareV5平台防火墙支持双机热备功能,为提高HA连接的可靠性,两台防火墙应使用独立物理端口直接互连形成双机热备,该端口不再承载普通业务流量。若两台防火墙热备口无法直接互联,必须经交换机桥接,则必须为HA连接单独规划部署一个二层链路或VLAN,避免其它无关报文对防火墙双机热备口造成的冲击。当前产品实现最多能够支持两条物理链路实现HA互联。参考配置思路:盒式防火墙设备建议选择第一个固定物理端口做HA口,为提高HA性能及稳定性可选择前两个固定物理端口做HA口。插卡式防火墙设备可任选一个前面板物理端口做HA口,为提高HA性能及稳定性可任选两个前面板物理端口做HA口。FW-6、(必选)配置NTP保持防火墙时钟正确同步应用说明:NTP(NetworkTimeProtocol,网络时间协议)是一种时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。启用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。如果防火墙系统时间不正确,将导致其产生的系统日志、操作日志、安全事件日志等失去时效性,给日常维护和故障定位带来诸多不便。参考配置思路:启用防火墙NTP功能,同步正确的当前系统时间。对于防火墙插卡需注意在启用NTP后禁用ACSEI客户端功能,避免出现时钟同步冲突。#ntp-serviceunicast-server#FW-7、(必选)采用二进制格式输出Userlog日志应用说明:ComwareV5平台防火墙支持Userlog日志输出功能。设备根据业务报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对网络流量进行分类统计,并生成Userlog日志。Userlog日志会记录报文的5元组、发送接收的流量大小等信息。网络管理员利用这些信息能够实时跟踪、记录用户访问网络的情况,增强网络的安全性与可审计性。防火墙Userlog日志支持以下两种输出方式,在实际部署时必须采用第2种方式:1、以系统信息格式输出至信息中心,再由信息中心决定日志的最终输出方向。2、以二进制格式封装成UDP报文直接输出至指定的Userlog日志主机。参考配置思路:在防火墙Web配置页面中,配置Userlog日志输出参数时,不勾选”日志输出到信息中心”。具体配置界面示例如下:在”日志管理”－”会话日志”－”全局设置”中,注意仅开启”发送会话删除日志”。FW-8、(必选)SSLVPN采用IP接入方式配置资源应用说明:ComwareV5平台防火墙部分型号设备支持SSLVPN功能,可实现远程用户安全接入访问内网资源。受SSLVPN实现原理限制,在实现部署时应尽量避免使用Web方式、TCP方式配置内网资源,尽量使用IP方式配置,以实现更好的业务兼容性及稳定性。参考配置思路:配置SSLVPN时,推荐采用IP方式进行内网资源配置。FW-9、(必选)DNS协议应用层老化时间配置优化应用说明:ComwareV5平台防火墙支持根据包含DNS协议在内的应用层协议进行会话检测与管理功能。为提高防火墙处理效率,避免DNS业务流相关会话表项在防火墙内存中驻留过长时间。建议当启用ALGDNS功能时,设置较短的DNS协议应用层老化时间。参考配置思路:出厂默认配置未启用ALGDNS功能,若根据客户业务需要启用后,应注意配置DNS协议应用层老化时间为5秒。防火墙Web页面具体配置示例如下图所示:FW-10、(必选)防火墙不启用QoS功能应用说明:防火墙支持部分ComwareV5平台QoS功能,如QoSCAR限速。但启用防火墙QoS功能会对其转发性能造成非常大的影响,因此当防火墙转发业务流量较大时不要配置启用任何QoS策略。参考配置思路:不在防火墙上配置QoS策略。FW-11、(必选)防火墙地址对象范围地址配置优化应用说明:ComwareV5防火墙支持经过在域间策略中引用资源对象来简化配置工作,当管理员在进行地址对象的配置时,可经过主机地址、范围地址、子网地址三种方式进行配置。当需要对较大范围的地址进行匹配时,建议尽量使用子网地址方式,否则会对设备性能产生较大影响。参考配置思路:防火墙上进行大量地址的对象资源配置时,尽量采用子网地址方式进行配置。下图所示为反例,万不可效仿:FW-12、(必选)部分型号防火墙业务端口选择建议应用说明:部分ComwareV5平台防火墙受硬件设计原因所限,其GigabitEthernet0/4、GigabitEthernet0/5端口转发性能较低,在设备部署实施过程中应避免将其应用为业务端口或双机热备口,建议可用作设备带外管理端口并划分至系统管理区域。适用本优化建议的产品型号具体包括:SecPath系列FW:F1000S-EI、F1000C-SI、F100A-SI、F100M-SI、F100E-G、F100A-G、F100M-GSecPath系列UTM:U200-A、U200-M、U200-CA参考配置思路:不在上述型号FW或UTM设备上将GigabitEthernet0/4、GigabitEthernet0/5配置为业务端口或双机热备口,可将其用于带外网管口并划分至Management区域。FW-13、(必选)禁用会话加速功能应用说明:会话加速功能能够在特定应用场景下提升防火墙设备的每秒新建连接性能。需要注意的是,如果会话发起方报文的出接口与响应方报文的入接口不同,而且两个接口上的业务配置也不相同,则不能实现会话加速。该功能能够在特殊应用场景中提高设备转发性能,但由于其应用场景毕竟有限,因此一般情况下应该保持默认配置,即关闭此功能。参考配置思路:”会话加速”功能的配置界面在Web管理页中的”防火墙”－”会话管理”－”高级设置”－”会话加速”,去掉”启用会话加速”复选框的勾并单击”确定”按钮即可关闭本功能。FW-14、(必选)禁用ACL加速功能应用说明:ComwareV5平台防火墙部分型号产品支持ACL加速特性,经过启用该特性,可使软件在对单个ACL中存在大量规则时的查找匹配速度更快。但另一方面,当启用某条ACL的加速特性后,不允许再对该ACL进行任何修改,否则会造成加速失效,规则查找匹配将出现混乱。为避免日常维护过程中因操作失误,导致管理员在启用ACL加速的状态下修改规则导致配置失效,在实际生产环境中建议禁用ACL加速功能。参考配置思路:在防火墙Web配置页面中,禁用ACL加速功能。停止加速后,正确的状态如下图所示:FW-15、(必选)禁用域间策略加速功能应用说明:ComwareV5平台防火墙部分型号产品支持域间策略加速特性,经过启用该特性,可使软件在进行域间策略查找匹配时速度更快。但另一方面,某两个安全区域之间启用域间策略加速特性后,不允许再对该域间的任何策略进行修改,否则会造成加速失效,策略查找匹配将出现混乱。为避免日常维护过程中因操作失误,导致管理员在启用域间策略加速的状态下修改规则导致配置失效,在实际生产环境中建议禁用域间策略加速功能。参考配置思路:在防火墙Web配置页面中,禁用域间策略加速功能。停止加速后,正确的状态如下图所示:FW-16、(必选)禁止经过ACL方式实现远程管理访问控制应用说明:为提高防火墙在网运行健壮性,管理员应严格限制能够远程访问设备的源主机IP地址。在配置此类策略时,注意不要经过软件ACL方式做简单限制。例如,以下两种经过配置方式都是不推荐的。1、在user-interface下配置ACL,对SSH做访问控制。user-interfacevty04aclinbound2、在IPHTTPS后面配置ACL,对HTTPS做访问控制。iphttpsacl参考配置思路:在防火墙上配置限制能够远程访问本设备的主机源IP地址,应经过配置防火墙域间策略实现。FW-17、(必选)禁止使用弱口令应用说明:防火墙远程管理相关SNMP、SSH/Telent、FTP、HTTP/HTTPS等功能,一般经过用户名密码对管理员或管理服务器进行认证和鉴权。在实际部署过程中,不得因贪图一时方便而使用弱口令,给系统安全留下隐患。参考配置思路:设备开局部署阶段及时做好密码管理工作,避免使用弱口令,推荐启用password-control相关功能。FW-18、(必选)禁止使用动态链路聚合模式应用说明:ComwareV5平台防火墙支持二三层链路聚合功能,受性能因素影响,在实际开局部署过程中,应采用静态链路聚合模式进行配置。参考配置思路:设备开局部署阶段需要启用链路聚合功能时,使用静态链路聚合模式。FW-19、(必选)IPSecVPN模板策略配置优化应用说明:ComwareV5平台防火墙支持”中心——分支”型IPSecVPN,为简化中心侧设备配置,能够采用模板方式进行策略配置。管理员在进行模板策略配置时,须特别注意不要配置成如下形式,即每个分支节点对应一个不同的模板。由于最终的IPSec策略中引用了多个模板,会导致软件匹配查找时效率大大降低。错误的配置方式:ipsecpolicy-templatetemp_11ipsecpolicy-templatetemp_21ipsecpolicy-templatetemp_31ipsecpolicytest1isakmptemplatetemp_1ipsecpolicytest2isakmptemplatetemp_2ipsecpolicytest3isakmptemplatetemp_3参考配置思路:正确的配置方式为:若各分支节点IKE协商参数相同,则推荐使用单个策略模板进行匹配;若各分支节点IKE协商参数不同,则应当利用策略模板中的序列号参数创立多个不同协商参数的策略组合,而整体上依然保持只有一个策略模板,这样便能够极大地优化软件处理效率及速度。正确的配置方式:ipsecpolicy-templatetemp1ipsecpolicy-templatetemp2ipsecpolicy-templatetemp3ipsecpolicytest1isakmptemplatetempFW-20、(必选)合理修改三层业务口TCPMSS参数应用说明:防火墙各三层业务口默认状态下TCPMSS参数值为1460字节,加上TCP包头及IP包头长度后正好为以太网最大负载长度1500字节,当报文从普通以太网端口发出时无需进行IP分片操作。但在诸如L2TPVPN、GREVPN、IPSecVPN等防火墙常见应用场景中,由于防火墙在进行业务报文转发前需额外封装包头,导致报文最终长度会超过接口MTU,引起IP分片操作,大大降低流量处理效率。因此,在防火墙开局部署阶段应该注意根据实际链路及配置情况,灵活调整TCPMSS参数值,避免防火墙转发报文过程中执行IP分片操作。参考配置思路:在配置VT端口或Tunnel端口后,需在端口上根据物理接口MTU计算并修改合理的TCPMSS参数,一般修改为1400字节。命令行配置示例如下:#interfaceVirtual-Template1tcpmss1400#interfaceTunnel1tcpmss1400tunnel-protocolipsecipv4#在配置IKE/IPSecVPN策略时,应根据业务流量走向规划,在业务流量对应防火墙的入出业务接口修改TCPMSS参数,保证经IPSec封装后的报文长度不会引起防火墙执行IP分片操作,一般修改为1350字节。FW-21、(可选)利用域间策略对防火墙实施路由环路保护应用说明:能够利用域间策略来将防火墙接收到的三层环路报文丢弃处理,例如存在路由环路的接口已添加至Trust区域,则能够配置从Trust到Trust的域间策略,动作配置为Deny,从而将防火墙从Trust接收但仍将转发至Trust区域的报文直接丢弃。注意实施该配置方法的前提,即配置防火墙安全区域时,提前按业务及组网需求规划好各个安全区域,不能简单地将全部接口加入同一个安全区域中。若同一区域已包含多个接口,且各接口之间确有业务互访需求时,能够先配置相应的允许策略,再配置防环路策略;或者重新将各个接口划分至不同的安全区域中,再配置防环路策略。参考配置思路:综合以上原则,假设Trust区域仅包含一个物理端口,无内部无访需求,为实现防止内网口三层环路报文冲击防火墙,在Web管理界面中防环路策略配置如下图所示:FW-22、(可选)虚拟分片重组功能配置优化应用说明:为了避免每个业务模块(如:IPSec、NAT和防火墙)单独处理后片先到(报文分片后)而导致复杂度过高,设备需要将收到的IP报文执行虚拟分片重组功能,以实现对IP分片报文的检验、排序和缓存,保证其它后续业务模块处理的都是顺序正确的IP分片报文。另外,IP虚拟分片重组功能还能够对分片攻击进行检测,如果检测到分片攻击行为,设备能够丢弃收到的异常分片报文,提高设备的安全性与性能。参考配置思路:当防火墙出现IP大包不通或丢包现象时,能够在虚拟分片重组功能配置页面,将”分片队列数”和”分片报文数”调整至最大值,老化时间保持默认值即可。FW-23、(可选)会话表项老化时间参数配置优化应用说明:防火墙会话管理主要基于传输层协议对报文进行检测。其实质是经过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。参考配置思路:设备默认会话超时时间较长,在大并发的环境下,能够适当调整会话表项老化时间,以减小防火墙并发会话数,一般建议将TCPSYN/TCPEST/UDPOPEN会话超时时间改为缺省值的一半。注意切勿将会话表项老化时间配置得过长或过短。下图为Web配置界面举例:FW-24、(可选)报文异常检测功能配置优化应用说明:单包攻击(亦称为畸形报文检测)是指攻击者经过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者经过发送大量无用报文占用网络带宽等行为来造成攻击。防火墙报文异常检测功能支持对部分单包攻击进行检测和防御。参考配置思路:当前防火墙支持以下基于特征识别的防攻击,能够在所有安全区域开启攻击防范,但建议不启用”ICMP不可达报文攻击检测”,否则会引起大量的主机操作系统正常发送的ICMP协议报文被阻断。另外,在需要经过防火墙执行Tracert操作时,不启用”Tracert报文攻击检测”。FW-25、(可选)流量异常检测功能配置优化应用说明:防火墙流量异常检测功能,即泛洪攻击检测功能主要用于保护服务器。防火墙经过监测客户端向服务器发起连接请求的速率来检测各类泛洪攻击,一般应用在设备连接内部网络的安全域上,且仅对应用了攻击检测策略的安全域的出方向报文有效。配置了泛洪攻击检测后,设备将处于攻击检测状态,当它监测到向某台服务器IP地址发送报文的速率持续达到或超过判断阈值时,即认为该服务器受到了攻击并转入攻击防范状态,防火墙能够视具体配置情况启动相应的防范措施(输出告警日志、或将后续新建连接的报文进行丢弃处理)。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值时,即认为攻击行为已停止,防火墙将由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。参考配置思路:如果需要在防火墙上开启本功能,必须首先了解客户当前的业务情况,特别是每秒新建连接数、最大并发连接数等关键参数,否则无法合理配置检测阈值及恢复阈值。当前支持的攻击检测类型主要有SYNFlood、UDPflood、ICMPflood等。由于实现机制原因,如非必要不建议在日常运维过程中开启UDPflood和ICMPflood检测。1、配置SYNFlood检测,安全区域为需保护主机所在的区域。2、TCP代理功能需要在攻击来源区域上启用,共分”单向”、”双向”两种模式,建议启用”单向”模式,下图所示为”双向”模式。3、支持手工将被保护主机地址添加至TCP代理表中。4、如果需保护主机的IP地址不明确,但能够确定其安全区域,则能够基于该安全区域配置攻击检测防范策略。FW-26、(可选)双机热备会话同步组网中避免业务流量非对称路径转发应用说明:ComwareV5平台防火墙支持双机热备会话同步功能,成功使能了双机热备的两台防火墙能够实现普通会话、子会话、关联表、NAT、ALG、黑名单、ASPF等业务信息的实时同步。当前防火墙双机热备支持两种不同模式:1、不支持非对称路径备份:是指两台设备同时正常工作时,一条会话中的数据流进入内网和从内网出去所经过的设备必须相同,即进入内网时经过双机热备中的一台设备,从内网出去时经过的设备是进入时经过的设备。2、支持非对称路径备份:是指两台设备同时正常工作时,一条会话中的数据流进入内网和从内网出去所经过的设备能够不同,即进入内网时经过双机热备中的一台设备,从内网出去时经过的设备能够是进入时经过的设备,也能够是另一台设备。上述两种模式中,第1种同步方式能够获得更好的防火墙转发性能及稳定性。参考配置思路:在进行防火墙双机热备会话同步组网规划时,应首先从整网设计角度,使来回流量经过两台防火墙时保持路径一致,即同一会话的双向报文须经过一台设备进行转发,并在实施时选择”不支持非对称路径备份”模式。配置界面如下图所示,不勾选”支持非对称路径备份”。FW-27、(可选)采用逐流转发模式应用说明:ComwareV5平台防火墙支持两种流量转发模式——逐包模式和逐流模式:1、逐包模式。基于报文调度,即将报文依次发送到不同的vCPU进行处理,同一条流的数据也将被分发到不同的vCPU进行处理,不保证报文的处理顺序,因此容易引入乱序。2、逐流模式。基于流调度,即将具有相同5元组(源IP地址、目的IP地址、源端口号、目的端口号和协议号)的同一条流分配到同一个vCPU进行处理,处理过程保证先进先出。在实际组网应用中,当防火墙转发语音、监控等应用流量时,由于防火墙默认采用逐包模式(除SecBladeIIR3179版本外),因此可能会导致业务报文经防火墙转发后出现乱序,若上层应用对报文乱序非常敏感,则容易引起诸如视频图像出现马赛克,FTP下线速度慢等问题。参考配置思路:除运营商客户等业务流量非常大的组网环境,推荐使用防火墙逐流转发模式。具体配置命令如下,注意需防火墙重启后才能生效:[H3C]ipforwardingper-flowLB-1、(必选)Outbound链路负载均衡优先经过ACL方式进行虚服务配置应用说明:在LB的Outbound链路负载均衡功能中,支持IP、ACL两种配置方式。采用IP方式配置虚服务,其形式和效果与普通的目的地址路由表项相似,都是在设备接收到报文后根据会话首包的目的IP地址进行虚服务查找匹配。而采用ACL方式配置虚服务,其形式和效果与普通策略路由相似,除根据目的IP地址外,还支持根据源IP地址等其它ACL规则中的参数进行虚服务查找匹配。当LB部署在公网出口位置时,若采用IP方式配置一条”全零”虚服务指向外网时,当源自内网访问外网的某条会话表项正常老化后,如外网侧仍有反向报文发送至LB(一般为UDP、ICMP协议报文),此时由于虚服务优先级高于路由表,会短时间内在LB与ISP网关设备间形成一个临时的三层转发环路,极大地增加了ISP出口位置的突发无效流量,引起网络运行不稳定。如果改为ACL方式配置虚服务,控制匹配规则为源IP地址为内网用户的会话首报文才能命中虚服务并执行调度,则能够有效避免此类问题。需注意,IP方式配置虚服务优先级更高,因此建议改为ACL方式配置虚服务后,不再保留任何IP方式配置的虚服务。参考配置思路:配置LB的Outbound链路负载均衡时,首先创立一条规则为匹配源IP地址为内网的ACL,然后将其设置为指导报文向公网侧转发的虚服务,即与指向外网的逻辑链路组绑定。若还有从外网主动发起访问内网的业务,则能够再创立一条规则为匹配目的IP地址为内网的ACL(如有NAT则应匹配inside地址),然后将其与指向内网的逻辑链路组绑定,并开启”保存上一跳信息”功能,使来自多条ISP线路的访问内网的会话,其回程报文仍保持从原线路返回,实现”电信进电信出、联通进联通出”的组网目标。以内网网段为/8举例,ACL及Outbound虚服务配置示例如下:#aclnumber3001rule5permitipsource55aclnumber3002rule5permitipdestination55#ACL方式配置Outbound链路负载均衡配置示例(”IP地址方式”中配置为空):LB-2、(必选)Outbound链路负载均衡不启用就近性应用说明:ComwareV5平台LB产品支持就近性探测功能,其设计理念能够使设备在进行流量调度时探测远端目的可达性状态变化,以动态决定调度结果。但从实际部署应用效果看,启用就近性后会大量消耗LB控制平面处理性能,造成控制平面不稳定、业务流量访问缓慢等诸多更严重的问题,且难以实现预期效果。因此,除售前测试或客户明确要求启用的场景外,不建议启用Outbound链路负载均衡的就近性功能。参考配置思路:1. 在创立/编辑虚服务配置界面中,不勾选”使能就近性”。LB-3、(必选)服务器负载均衡虚服务IP不响应ARP请求限制的解决方法应用说明:在服务器负载均衡场景中,由于虚服务IP地址不响应ARP请求,因此需要经过其它方式使得LB上一跳设备能够将目的地址为虚服务业务报文正常转发给LB处理。在单台LB的组网环境中,能够经过将虚服务IP地址配置为sub地址的方式实现;在LB双机组网环境中,能够经过将虚服务IP地址配置为VRRP虚地址的方式实现。除上述两种方式外,还能够经过直接在LB上一跳设备配置精确路由来指导业务报文转发,解决LB虚服务不响应ARP请求的限制问题。参考配置思路:以服务器负载均衡虚服务00/80为例,可经过以下三种方式解决虚服务不响应ARP请求的限制问题。方法一:sub地址方式(适用于单机,在LB上配置)#interfaceTen-GigabitEthernet0/0.10vlan-typedot1qvid10ipaddressipaddress00sub#方法二:VRRP虚地址方式(适用于双机,在LB上配置)#interfaceTen-GigabitEthernet0/0.10vlan-typedot1qvid10ipaddressvrrpvrid100virtual-ip00vrrpvrid100priority110#方法三:精确路由方式(在LB上一跳三层设备上配置)#iproute-static0055descriptionSLB_to_00/80#LB-4、(必选)采用二进制格式输出Userlog日志应用说明:ComwareV5平台LB支持Userlog日志输出功能。设备根据业务报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对网络流量进行分类统计,并生成Userlog日志。Userlog日志会记录报文的5元组、发送接收的流量大小等信息。网络管理员能够利用这些信息实时跟踪、记录用户访问网络的情况,增强网络的安全性与可审计性。Userlog日志支持以下两种输出方式,在实际应用时必须采用第2种方式:1、以系统信息格式输出至信息中心,再由信息中心决定日志的最终输出方向。2、以二进制格式封装成UDP报文直接输出至指定的Userlog日志主机。参考配置思路:在LB的Web配置页面中,配置Userlog日志输出参数时,不勾选”日志输出到信息中心”。具体配置界面示例如下:LB-5、(必选)关于实服务故障处理方式的配置选择应用说明:在链路负载均衡、服务器负载均衡应用场景中,当LB经过健康性检测机制发现实服务出现故障时,支持下列三种处理方式:1、保持已有连接:LB不主动删除与故障实服务相关的会话表项,由客户及服务器两端的应用程序决定何时拆除或重建连接2、断开已有连接:LB主动删除与故障实服务相关的会话表项3、重定向已有连接:LB将会话表项重定向到实服务组中其它可用实服务处理关于三种实服务故障处理方式的详细描述如下:保持已有连接:实服务或者逻辑链路的状态变迁不影响已有会话表项的状态,会话表项将根据老化时间或客户端/服务器的拆链报文而正常删除。断开已有连接:实服务故障后,对于TCP连接,客户端后续发来的报文将被LB丢弃,并触发LB主动回复RST报文拆链,随后LB会将该会话表项立即清除。对于UDP连接,若LB必须使能ipunreachableenable,则会向客户端发送ICMP目的不可达报文,若LB持续收到客户端继续发来的报文,则LB会持续丢弃这些报文并回复ICMP目的不可达报文,即如果一直有客户端后续报文命中该条UDP会话,则其老化时间将被一直刷新,无法老化。对于ICMP连接,来自客户端的后续报文同样会被LB丢弃,LB也会回应一个ICMP目的不可达报文,并将该会话表项的状态切换至加速老化状态(默认老化时间至10S),如果客户端持续发送后续报文至LB,则该条会话表项永远不老化(常见于客户端设置连续ping场景)。重定向已有连接:原有实服务故障后,LB将重新调度一个健康的实服务并挂接到该会话中,一旦有后续报文命中该会话,则会被直接重定向至新的实服务处理。如果新的实服务也出现故障,则LB会再次调度一个健康的实服务挂接到该会话中。如果最初调度的实服务恢复,LB将继续根据会话当前所挂接的实服务转发报文。由此可见,重定向已有连接方式不会产生新的会话表项。当后续报文命中表项时,也会正常刷新会话表项的老化时间。在服务器负载均衡场景中,服务器响应的反方向由于无法匹配原有会话,因此将新建一条会话,这将导致客户端收到的报文源IP地址是变为实服务IP,不是虚服务IP,报文会被客户端丢弃。如果LB启用SNAT功能,当LB重新调度一个健康的实服务挂接到该会话时,会重新分配SNAT信息并刷新会话老化时间,但很显然,由于新的SNAT信息与执行重定向前的信息不一致,因此报文仍无法正常转发。而在链路负载均衡和防火墙负载均衡场景中,服务器响应的反向报文是能够命中原有会话的。但如果LB除了负载分担外还执行了NAT操作,由于原有出接口的NAT相关信息与重定向后出接口的NAT信息不一致,因此仍会导致NAT模块检查失败、报文被丢弃、会话被删除。参考配置思路:综前所述,”断开已有连接”能够用于部分特定的服务器负载均衡场景,而”重定向已有连接”能够用于防火墙转发模式及部分链路负载均衡场景。另外需注意,这两种方式均不支持IP快速转发处理,对LB的转发性能有较大影响。因此,除售前测试功能验证或其它特定场景外,应保持实服务故障处理方式选定默认配置,即”保持已有连接”。Web管理界面实服务故障处理配置示例如下图所示:LB-6、(必选)配置NTP保持时钟正确同步应用说明:NTP(NetworkTimeProtocol,网络时间协议)是一种时间同步协议,用来在分布式时间服务器和客户端之间进行时间同步。启用NTP的目的是对网络内所有具有时钟的设备进行时钟同步,使网络内所有设备的时钟保持一致,从而使设备能够提供基于统一时间的多种应用。如果LB系统时间不正确,将导致其产生的系统日志、操作日志、Userlog日志等失去时效性,给日常维护和故障定位带来诸多不便。参考配置思路:启用NTP功能,同步正确的当前系统时间。#ntp-serviceunicast-server#LB-7、(必选)RADIUS业务与强制负载均衡特性配置优化应用说明:Radius业务一般是在BRAS和服务器之间交互报文,报文的源目地址和源目端口号一般都是长期固定不变的,且报文交互频率高。如果使用常规的服务器负载均衡配置,在选择实服务故障处理方式时,若使用保持已有连接和断开已有连接,当实服务器出现故障时,由于持续有报文匹配原有会话,而这条会话由于持续刷新老化,势必造成后续报文被丢弃,进而引发业务中断故障;若选择实服务故障处理方式为重定向已有连接,LB将会把匹配上实服务故障的会话重新调度到新的实服务上,但此时的回应报文被LB直接路由转发回Radius客户端,不再进行应有的地址转换操作,这将导致BRAS认为响应错误,同样地造成业务中断故障。为解决上述问题,在Radius业务场景下,强烈建议使用UDP强制负载均衡特性,并配置Radius持续性方法。该配置方法将强制LB设备执行逐包调度,当实服务故障后LB会直接删除持续性表项并重新进行业务调度,从而实现业务的无缝切换及高可靠性。参考配置思路:在部署服务负载分担RADIUS业务时,启用”七层应用内容识别”模式,配置UDP协议并使能”强制负载均衡”,同时启用”RADIUS方式”的持续性方法。LB-8、(必选)使用独立物理端口做双机热备口应用说明:ComwareV5平台LB支持双机热备功能,为提高HA连接的可靠性,两台设备应使用独立物理端口直连形成双机热备,该端口不承载普通业务流量。若两台设备热备口无法直接互联,必须经交换机桥接,则必须为HA连接单独规划部署一个二层链路或VLAN,避免其它无关报文对LB双机热备口造成的冲击。当前产品实现最多能够支持两条物理链路实现HA互联。参考配置思路:盒式LB设备建议选择第一个固定物理端口做HA口。插卡式LB设备可任选一个前面板物理端口做HA口。LB-9、(必选)配置ACL时慎用Denyany规则应用说明:ComwareV5平台LB的ACL主要用于软件对业务或管理流量的识别与分类,并不直接用于报文的允许或阻断动作。在配置LB各软件模块功能参数时,常常需要使用ACL,此时应注意配置ACL规则时仅需匹配需要识别的具体流量即可,无须在所有规则最后配置一条Denyany,这样能够在很大程度上减少无谓的性能消耗。参考配置思路:例如,在配置NAT转换策略时,需要经过ACL限制仅允许内网/16网段的用户做出方向源地址转换,引用至NAT命令,如下列所示ACL3001是正确的配置方式,而ACL3002是错误的配置方式。#aclnumber3001 //正确的ACL配置方式rule10permitipsource55#aclnumber3002 //错误的ACL配置方式rule10permitipsource55rule20denyip //该条规则将引起不必要的性能消耗#LB-10、(必选)不启用QoS功能应用说明:LB支持部分ComwareV5平台QoS功能,如QoSCAR限速。但启用QoS功能会对LB的转发性能造成较大的影响,因此当LB转发业务压力较大时不要配置启用任何QoS策略。参考配置思路:不在LB上配置QoS策略。LB-11、(必选)不启用攻击防范功能应用说明:ComwareV5平台LB配置界面中支持部分安全防攻击特性,包括报文异常检测、流量异常检测等,但由于LB在整体组网中更重要的是提供负载均衡特性,为优化LB转发性能,不建议启用其攻击防范功能。参考配置思路:在LB配置界面中,除售前测试或特定场景需求外,不启用LB的攻击防范功能。LB-12、(必选)禁用ACL加速功能应用说明:ComwareV5平台LB部分型号产品支持ACL加速特性,经过启用该特性,可使软件在对单个ACL中存在大量规则时,查找匹配速度更快。但另一方面,某条ACL启用加速特性后,不允许再对该ACL进行修改,否则会造成加速失效,规则查找匹配出现混乱。因此,除售前测试等特殊需求场景外,在实际生产环境中,必须禁用ACL加速功能。参考配置思路:在设备Web配置页面中,禁用ACL加速功能。停止加速后,正确的状态如下图所示:LB-13、(可选)业务端口添加安全区域属性应用说明:ComwareV5平台LB产品部分继承了防火墙特性,支持为各个业务接口添加安全区域属性。在实际部署时,推荐为LB所连接的各个接口添加不同的安全区域,从而使管理员在日常维护和故障排查时,能够根据会话表项中记录的入出安全区域信息,快速准确判断业务报文在LB设备的接收、发送端口,特别对于管理员随时分析LB的负载分担效果特别有帮助。参考配置思路:在某局点Outbound链路负载均衡场景中,假设LB连接了2条电信线路,1条联通线路,1条移动线路和1条教育网线路,管理员能够事先创立若干自定义安全区域,如”CTC_1”、”CTC_2”、”CNC”、”CMCC”、”EDU”,分别对应5条ISP线路。然后将业务端口添加至对应的安全区域,另将LB与内网互联端口加入”Trust”区域中。上述配置完成后,在查看LB会话表项的详细信息时,便能够经过该条会话表项的入安全区域、出安全区域快速判断LB设备收、发会话报文的实际线路了。举例如下,经过会话表项详细信息不难判断该条业务流是从内网主动发起,经LB调度至电信1线路出口:Initiator:SourceIP/Port:/60098DestIP/Port:/80VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:/80DestIP/Port:/1025VPN-Instance/VLANID/VLLID:Pro:TCP(6)App:unknownState:TCP-ESTStarttime:-07-0415:10:26TTL:3591sRootZone(in):Trust //会话发起方所在区域,对应正向接收端口(内网口)。Zone(out):CTC_1 //会话响应方所在区域,对应正向发送端口(电信1)。Receivedpacket(s)(Init):1372packet(s)63076byte(s)Receivedpacket(s)(Reply):1347packet(s)73221byte(s)LB-14、(可选)双机热备会话同步组网避免业务流量非对称路径转发应用说明:ComwareV5平台LB支持双机热备会话同步功能,成功使能了双机热备的两台LB能够实现普通会话、子会话、关联表、NAT、ALG等业务信息的实时同步。当前双机热备会话同步支持两种不同模式:1、不支持非对称路径备份:是指两台设备同时正常工作时,一条会话中的数据流进入内网和从内网出去所经过的设备必须相同,即进入内网时经过双机热备中的一台设备,从内网出去时经过的设备是进入时经过的设备。2、支持非对称路径备份:是指两台设备同时正常工作时,一条会话中的数据流进入内网和从内网出去所经过的设备能够不同,即进入内网时经过双机热备中的一台设备,从内网出去时经过的设备能够是进入时经过的设备,也能够是另一台设备。上述两种模式中,第1种同步方式能够获得更好的性能及稳定性。参考配置思路:在进行LB双机热备会话同步组网规划时,应首先从整网设计角度,使来回流量经过两台LB时保持路径一致,即同一会话的双向报文须经过一台设备进行转发,并在实施时选择”不支持非对称路径备份”模式。配置界面如下图所示,不勾选”支持非对称路径备份”。LB-15、(可选)优先采用四层负载均衡模式满足客户配置需求应用说明:在服务器负载均衡场景下在,在能够满足用户需求的前提下,优先选用四层负载均衡模式进行配置,即启用”四层协议及应用识别”。此时,LB能够提供两倍于七层服务器负载均衡模式的转发性能,及更好的稳定性。参考配置思路:LB-16、(可选)采用逐流转发模式应用说明:ComwareV5平台LB支持两种流量转发模式——逐包模式和逐流模式:1、逐包模式。基于报文调度,即将报文依次发送到不同的vCPU进行处理,同一条流的数据也将被分发到不同的vCPU进行处理,不保证报文的处理顺序,因此容易引入乱序。2、逐流模式。基于流调度,即将具有相同5元组(源IP地址、目的IP地址、源端口号、目的端口号和协议号)的同一条流分配到同一个vCPU进行处理,处理过程保证先进先出。在实际组网应用中,当LB转发语音、监控等应用流量时,由于默认采用逐包模式,可能会导致业务报文经LB转发后出现乱序,若上层应用对报文乱序非常敏感,则容易引起诸如视频图像出现马赛克,FTP下线速度慢等问题。参考配置思路:除运营商客户等业务流量非常大的组网环境,推荐使用LB逐流转发模式。具体配置命令如下,注意需重启后才能生效:[H3C]ipforwardingper-flowIPS&ACG-1、(必选)配置IPS攻击防范策略时必须先手工调整策略规则应用说明:在部署IPS设备时,用户一般会有这样的疑问,IPS策略有几千条规则,我应该开启哪些规则?关闭哪些规则?如果开启全部规则,会对设备的性能造成不必要的压力,而且上报的无关日志过多,会分散用户对真正的攻击的注意。如果规则开启过少,可能会有部分攻击检测不到,引发安全问题。因此,建议在典型部署场景中,经过开启IPS策略规则保护对象分类功能。IPS策略规则保护对象分类介绍当前IPS策略规则支持的保护对象分类如下.操作系统WindowsLinuxUnixSolarisMacOSNovel浏览器InternetExplorerMozilaFirefoxNetscapeMaxthon网络设备CiscoJuniperNortelD-LinkLinksysHPNokiaWeb服务器ApacheIISAIXWebLogicTomCatResinFTP服务器Serv-UWU-FTPDWS_FTPNetTermFTP3CDeamonProFTPD邮件服务器SendmailLotusNotesFoxmailMSExchangeiPlanetIpswitchDNS服务器BINDDNSRedirector数据库MySqlMSSQLServerOracleSybaseDB2ACCESSInfomixPostgreSQLSQLiteWeb应用程序PHPJSPASPPerlC办公软件AdobeAcrobatMicrosoftOfficeWPSVisio应用软件即时通讯软件下载软件游戏软件媒体播放软件安全软件备份软件邮件客户端软件其它软件数据中心部署场景:保护数据中心的服务器是IPS部署遇到最多的一个典型场景,例如银行系统网银区域;运营商的数据中心,包括网上营业厅,电子渠道等等;政府机构,教育机构的门户网站,政务系统;企业网内部的ERP系统等等。保护数据中心服务器,我们推荐开启操作系统,WEB服务器,WEB应用程序,数据库,DNS服务器这几类保护对象的规则。我们建议根据数据中心服务器的操作系统类型开启相应保护对象的防护规则,根据WEB服务器的软件类型开启相应保护对象的防护规则,其它软件指的是没有列出的其它WEB软件,任意软件指的是针对网页内容的攻击,例如SQL注入,跨站脚本攻击等等,无论客户的WEB服务器使用哪种软件都推荐开启。根据WEB服务器动态页面的编程语言开启相应的防护规则,根据数据中心数据库服务器的软件类型开启相应保护对象的防护规则,根据DNS服务器的软件类型开启相应保护对象的防护规则。下面以一个典型数据中心的IPS部署场景为例,介绍一下推荐开启的IPS防护规则。部署于数据中心出口,数据中心部署有多种Web服务器,数据库服务器,中间件服务器和DNS服务器Web服务器、中间件服务器、数据库服务器、DNS服务器使用了Windows、Linux、Unix多种操作系统Web服务器软件为Apache,数据库软件为MySqlDNS服务器使用Linux操作系统,DNS软件为Bind上述典型场景下推荐开启下列规则:1、默认推荐开启的规则2、操作系统分类中Windows、Linux、Unix子类的规则3、Web服务器分类中Apache子类规则4、数据库分类中MySql子类规则5、Web应用程序分类规则(一般网站会同时使用多种技术,这块儿让实施人员细分比较困难)6、DNS服务器分类中的Bind子类规则互联网出口部署场景:如果IPS部署在互联网出口,我们推荐开启保护对象为操作系统,办公软件,应用软件,浏览器的防护规则。如果内网防护PC全部使用Windows操作系统,这种场景下推荐开启下列规则:1、默认推荐开启的规则2、操作系统分类中Windows子类的规则3、办公软件、应用软件、浏览器三个大类的规则IPS策略按照保护对象使能防护规则的配置方法本节介绍一下按照前面推荐的原则确定了要开启哪几类保护对象的防护规则,如何在IPS设备上进行配置。如果IPS设备当前版本尚不支持该配置方法,需要先升级软件版本然后再进行配置操作。具体配置方法为:首先选”IPS”>”策略管理”,新建一个IPS策略,按照默认规则使能状态应用到段上。然后选”IPS”>”规则管理”,选择刚才新建的策略,按照保护对象查询并使能相应的防护规则。当然,如果现场流量比较大,能够先开启上面保护对象里严重和一般的防护规则,再酌情开启警告和提示的防护规则。至于IPS策略执行的动作,如果没有特殊要求,建议保留每个防护规则默认的动作。IPS&ACG-2、(必选)配置IPS病毒防范策略时必须先手工调整策略规则应用说明:IPS设备支持防病毒策略,经过采用实时分析,自动阻截携带病毒的报文与异常流量。IPS基于在线部署模式,能够针对这些异常流量施以阻截、隔离或干扰的处理,以阻断病毒经过网络传播。系统默认的病毒防范策略根据网络病毒种类,细分为31个大类,缺省均为禁用状态。当需要启用病毒防范功能时,管理员应根据实际需求量,创立一条自定义防病毒策略,调整部分病毒分类规则至使能状态,然后再将应用至段上激活生效。若客户无明确要求,建议将”Worm”、”Trojan”、”Backdoor”、”Rootkit”、”Exploit”、”Virus”等几大类规则设置为使能状态;若客户有更高要求,可根据实际情况使能更多病毒分类,直至全部使能,并注意在后续维护过程中观察设备内存占用率情况。配置思路:具体配置方法为:首先选择”防病毒”>”策略管理”,点击”新建策略”按钮新建一条防病毒策略。然后在”规则管理”界面中,修改要开启的病毒分类至”使能”状态。规则修改完成后,进入”防病毒”>”端策略管理”界面,点击”新建策略应用”按钮,将刚才创立的防病毒策略下发至段,最后单击”激活”按钮使策略生效。IPS&ACG-3、(必选)定期检查IPS/ACG特征库版本是否正常更新应用说明:特征库记录了设备可识别的攻击特征、病毒特征、应用特征等,因此对于IPS/ACG设备而言,必须保证其特征库得到实时更新升级,才能保持其各项主要功能的正常工作。参考配置思路:特征库的升级分为手动升级和自动升级两种方式:手动升级是指用户能够经过手动设定,使用HTTP或TFTP协议将保存在用户本地主机上的特征库文件获取到设备上。手动升级一般是在用户的局域网内进行的,而且手动升级能够获取与设备兼容的任意一个版本的特征库。在导航栏中选择”系统管理>设备管理>特征库升级”,进入特征库升级的页面。在”手动升级”页签中能够手动升级特征库的版本,如下图所示。自动升级能够帮助用户每隔指定的时间,使用特定的协议直接从特定的特征库版本服务器获取当前最新版本的特征库文件到设备;或者在用户需要的时候,立即从特定的特征库版本服务器获取当前最新版本的特征库文件到设备。在导航栏中选择”系统管理>设备管理>特征库升级”,进入特征库升级的页面。在”自动升级”页签中能够配置自动升级特征库的相关参数,如下图所示:注:(1)关于”开始时间”,由于设备升级特征库的时候,涉及数据库的读写操作,十分消耗资源,强烈建议自动升级时间选择在用户业务量较小的时候(如:2:00-4:00左右)。(2)关于”间隔时间”,一般选择7天。(3)确保设备管理口能够正常连接互联网,并要求同时配置正确的DNS服务器IP。IPS&ACG-4、(必选)经过NTP\ACSEI保持IPS/ACG时钟同步正确应用说明:为了保证本设备与其它设备协调工作,用户需要将系统时间配置准确。系统时间模块能够帮助用户设置系统的日期、时间和时区等信息。盒式设备支持手动配置系统时间和自动同步SNTP(SimpleNetworkTimeProtocol,简单网络时间协议)服务器的时间。插卡能够经过ACSEI自动同步时钟。参考配置思路:盒式设备:在导航栏中选择”系统管理>设备管理>系统时间”,进入如图所示的页面。插卡设备:路由交换主机侧使能ACSEI服务器功能:[H3C]acseiserverenable检查插卡注册信息,确保IPS/ACG插卡已经注册成功,否则无法实现时间同步:<H3C>displayacseiclientinfoTotalClientNumber:1ClientID:1ClientDescription:ApplicationControlGatewayHardware:1.0SystemSoftware:i-Waresoftware,Version1.10ApplicationSoftware:Ess6119P02CPU:RMIXLR732PCBVersion:Ver.ACPLDVersion:1.0BootromVersion:1.19CFcard:249MBMemory:MBHarddisk:0MBIPS&ACG-5、(必选)部署IPS/ACGMQC引流内外安全域须为不同Vlan应用说明:SecBladeIPS/ACG插卡配合路由交换主机部署MQC引流时,由于板卡硬件仅有一个内联口,因此只能经过VLANID区分从内联口接收报文的安全域属性,因此在实施MQC引流时重定向至IPS/ACG插卡的上下行流量必须属于不同的VLAN。参考配置思路:SecBladeIPS/ACG相关配置:(交换机侧配置请参考相关文档)(1)去使能ACFPClient功能。在MQC引流方案中,不使能ACFP相关功能。配置界面位于”系统管理”－”网络管理”－”ACFPClient配置”。(2)创立内外网安全区域,接口均选择为xeth0-0(内联口),内部区域属于和内网核心设备三层互联的VLAN30,外部区域属于和外网出口设备三层互联的VLAN20。”域应用模式”选择”常规”模式。配置界面位于”系统管理”－”网络管理”－”安全区域”。新建内网安全区域如下图所示:新建外网安全区域如下图所示:在”系统管理”－”网络管理”－”段配置”界面中将内外网安全区域组成段。段配置完成后便能够进一步配置安全策略了。iWare系统配置完成后注意”激活”使配置生效,并保存。IPS&ACG-6、(必选)部署IPS/ACG插卡MQC引流时避免二层报文风暴应用说明:由于SecBladeIPS、SecBladeACG两类安全板卡属二层透明设备,交换机经过MQC引流方式将业务报文利用内联接口重定向至安全板卡后,经过安全策略检查的业务报文依然会从该内联接口返回交换机继续转发。这个特殊机制对于交换机而言相当于在其与IPS、ACG内联口上形成了一个自环接口,而2个这样的内联口则形成了一个二