安全产品配置优化操作规范

安全产品配置优化操作规范

(FW、LB.IPS&ACG)

Version1.0

杭州华三通信技术有限公司

2014年8月

声明

Copyright©2023杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位与个人不得擅自摘抄、复制本书内容的部分或者全部，并不得以任何

形式传播。

该文档由H3C总部安全技术支持工程师通过长期技术积存总结而来，请务必在安全产品部署实施中

重视本操作规范要求，保障设名在网运行效果及稳固性。本文档为保密文档，仅限H3C原厂工程师

使用，对私自扩散者H3c保留起诉的权利。

本文档将安全配置优化操作方式分为两大类：

•必选项：设备部署时务必严按照必选项的规范要求执行。

•可选项：在客户无明确要求且不影响客户使用情况下，视具体组网环境可选部署。

声明..........................................................................2

FW-K（必选）通过配置域间策略对防火墙本地实施保护.....................5

FW-2、（必选）防火墙ALG功能配置优化...................................6

FW-3、（必选）防火墙•双机组网环境NAT与VRRP联动......................7

FW-4.（必选）配置ACL时慎用Denyany规则..............................8

FW-5、（必选）防火墙使用独立物理端口做双机热备口.......................8

FW6、（必选）配置NTP保持防火墙时钟正确同步..........................9

FW-7.（必选）使用二进制格式输出Userlog日志............................9

FW-8、（必选）SSLVPN使用IP接入方式配置资源.........................10

FW-9、（必选）DNS协议应用层老化时间配置优化..........................11

FW-10、（必选）防火墙不启用QoS功能....................................11

FW-11、（必选）防火墙地址对象范围地址配置优化.........................12

FW-12、（必选）部分型号防火墙业务端口选择建议.........................12

FW-13、（必选）禁用会话加速功能........................................13

FW-14、（必选）禁用ACL加速功能.......................................13

FW-15、（必选）禁用域间策略加速功能....................................14

FW-16、（必选）禁止通过ACL方式实现远程管理访问操纵..................14

FW-17.（必选）禁止使用弱口令...........................................15

FW-18、（必选）禁止使用动态链路聚合模式................................15

FW-19、（必选）IPSecVPN模板策略配置优化..............................16

FW-20、（必选）合理修改三层业务口TCPMSS参数........................16

FW-21、（可选）利用域间策略对防火墙实施路由环路保护...................17

FW-22、（可选）虚拟分片重组功能配置优化................................18

FW-23、（可选）会话表项老化时间参数配置优化............................19

FW-24、（可选）报文特殊检测功能配置优化................................20

FW-25、（可选）流量特殊检测功能配置优化................................21

FW-26、（可选）双机热备会话同步组网中避免业务流量非对称路径转发......23

FW-27、（可选）使用逐流转发模式........................................24

LB-1、（必选）Oulbound链路负载均衡优先通过ACL方式进行虚服务配置........26

LB-2、（必选）Oulbound链路负载均衡不启用就近性........................27

LB-3、（必选）服务器负载均衡虚服务IP不响应ARP请求限制的解决方法.……28

LB-4、（必选）使用二进制格式输出Userlog日志...........................29

LB-5、（必选）关于实服务故障处理方式的配置选择........................30

LB-6、（必选）配置NTP保持时钟正确同步................................32

LB-7、（必选）RADIUS业务与强制负载均衡特性配置优化..................33

LB-8、（必选）使用独立物理端口做双机热备口.............................34

LB9、（必选）配置ACL时慎用Denyany规则.............................35

LB-10、（必选）不信用QoS功能..........................................35

LB-1K（必选）不启用攻击防范功能......................................36

LB-12、（必选）禁用ACL加速功能.......................................36

LB-13.（可选）业务端口添加安全区域属性................................36

LB-14.（可选）双机热备会话同步组网避免业务流量非对称路径转发........38

LB-15、（可选）优先使用四层负载均衡模式满足客户况置需求...............39

LB-16、（可选）使用逐流转发模式........................................39

IPS&ACG-H（必选）配置IPS攻击防范策略时务必先手工调整策略规则.....41

IPS&ACG-2.（必选）配置IPS病毒防范策略时务必先手工调整策略规则.....46

IPS&ACG-3、（必选）定期检查IPS/ACG特征库版本是否正常更新..........47

IPS&ACG-4、（必选）通过NTPXACSEI保持IPS/ACG时钟同步正确..........48

IPS&ACG-5、（必选）部署IPS/ACGMQC引流内外安全域须为不一致Vian......50

IPS&ACG-6.（必选）部署IPS/ACG插卡MQC引流时避免二层报文风暴....52

IPS&ACG-7.（必选）正则表达式URL过滤规则的配置优化................53

IPS&ACG-8.（必选）带宽管理P2P限流规则配置优化.....................53

IPS&ACG-9、（必选）ACG通道带宽管理功能针对DNS业务流量进行保障.......54

IPS&ACG-10.（可选）部署专用日志主机配合IPS/ACG实现安全事件审计.......55

IPS&ACG-1K（可选）ACG流日志配置优化...............................56

IPS&ACG-12,（可选）不启用IPSDDoS攻击防范策略......................57

FW・1、（必选）通过配置域间策略对防火墙本地实施保

护

应用说明：

ComwarcV5平台防火墙为便于用户登录管理设备，当前实现机制为默认所有安全区域

都能够访问代表防火墙自身的Local区域。为避免无效报文、攻击流量冲击防火墙，要求务

必归置到local区域的域同策略以对防火墙自身进仃保护。在配置具体的域间策略时，应首

先同意必要的管理、协议报文与防火墙本地交互，然后禁止其它流量与防火墙本地交互。

自2014年7月起，新软件版本的ComwarcV5平台防火墙进行了一次默认策略变更切

换，将默认所有安全区域及Local区域之间的策略变更为全部禁止互访，以满足市场需求并

加强安全性，详见请查询《H3c技术公告【2014】018号-关于H3CComwarcV5平台防火

墙变更默认域间策略转发规则的公告》。

参考配置思路：

2.配置同意防火墙与其它网络设备进行协议交互的域间策略，比如VRRP,OSPF,

BGP、PING、IKE、L2TP,ESP等常见协议；

3.确认其他网络设备是否有目的地址为防火墙本地的探测，比如NQA、BFD等，如

有则务必补充同意其他设备探测报文到达防火墙本地的域间策咯：

4.配置域间策略时应尽且使用明确的源目的IP地址范围，减少使用“any_address”等

方式的粗放管理型配置，比如Trust区域的实际规划IP范围为/24,Untrust区域

为Internet,则配置域间策略对应将Trust区域源IP地址范围配置为/55子

网地址对象，使策略更加合理精确，阻断可能出现的源地址欺褊报文经防火墙转发。

5.最后配置各安全区域至Local区域的全部禁止策略，避免防火墙因接收到达本地的无

效报文过多而影响CPU性能，最终实现对防火墙自身的安全保护。

综合以上原则，在防火墙Web管理界面中的配置示比如下图所示:

时日士漉目的

过澹动£器挪匹次

源域ID通IP地址目的iPi色址服务同MAC操作

作述次政

□曹段器酬

tuULhit^.oina.国口拿手

□ManagementLocal0172310(VO00255anyaddress5nmp<60065，,snmp-Permr96

trap,telnet,tftp.ssh电1

烂

□ManagementLocal1arwaddressanvaddressanvserviceDenyOft708

能

今。令次

□UntrustLocal0anvaddressanyaddressanvserviceDeny0

心汽

公3令尹

□TrustLocal0anyaddressanyaddressbqp.ospf.vrrp,pingPerm*Oft0

胪能见♦、

母m令#

□TrustLocal1anyaccessanvaddressanvserviceDeny0

新注I删除达申I导入I导出I音空统计

FW・2、（必选）防火墙ALG功能配置优化

应用说明：

防火墙ALG（ApplicationLevelGateway,应用层网关）特性要紧完成对应用层报文的

处理—当应用层数据中包含IP地址时，ALG能够对该地址进行处理，以保证后续该地址对

应的连接能够正确建立。ALG的工作包含：解析数据报文载荷中的IP地址信息，并根据需

要对其进行NAT（NetworkAddressTranslation,网络地址转换）处理；提取数据通道信息，

为后续的会话连接建立数据通道。这里的数据通道通常指相关于用户认证的操纵连接而言的

数据连接；在防火墙上，安全策略通常只同意特定的端口通过，关于需要动态开放端口的协

议，即使没有NAT也务必启用ALG才能合格证业务正常处理，比如FTP协议；另有些属

于功能型ALG,专为实现某种功能而存在，比如DNSALG,需要视实际环境决定是否需要

开启。

参考配置思路：

当防火墙做二层转发部署时，除FTP协议外，推荐关闭其他所有ALG功能。

当防火墙做三层转发部署时，下列为H3c防火墙应用的ALG推荐配置，建议只开启,

关闭其他ALG功能。

DNS关闭要实现有关需求可打开，通常不使用

FTP打开

GTP关闭有些特殊局点需要开启

H.323关闭使用H.323协议的应用需要开启，通常不使用。

ILS关闭

MSN关闭不使用。

NBT关闭

PPTP关闭有PPTP业务从防火墙透传，需要开启，通常不使用。

QQ关闭不使用。

RTSP打开

SCCP关闭

SIP关闭

SQLNET关闭仅适配老版本Oracle,通常不使用。

TFTP关闭

FW・3、(必选)防火墙双机组网环境NAT与VRRP联

动

应用说明：

ComwareV5防火墙在双机组网场景中，当两台设备使用相同的NATOulbound地址池、

NATServer.NATStatic的Global地址，且与接口主IP地址在同一网段时，需要在NAT命

令后跟trackvrrp配置，避免因主机与备机共享相同地址而出现ARP冲突。

参考配置思路：

下列为防火墙某外网端口配置示例：

interfaceGigabitEthernetO/2

portlink-moderoute

natoutboundstatictrackvrrp1

natoutbound3002address-group1()trackvrrp1

natoutbound3001trackvrrp1

natserverprotocoltcpglobal00(H)vrrp1

ipaddress

vrrpvrid1virtual-ip54

virpvrid1priority110

FW・4、（必选）配置ACL时慎用Denyany规则

应用说明：

ComwareV5平台防火墙的ACL要紧用于软件时业务或者管理流量的识别与分类，并

不直接用于报文的同意或者阻断动作。在配置防火墙各软件模块功能参数时，常常需要使用

ACL,如今应注意配置ACL规则时仅需匹配需要识别的具体流量即可，无须在所有规则最

后配置一条Denyany,这样能够在很大程度上减少防火墙的无谓性能消耗。

参考配置思路：

比如，在配置NAT转换策略时，需要通过ACL限制仅同意内网/16网段的用户

做出方向源地址转换，引用至NAT命令，如下列所示ACL300I是正确的配置方式，而ACL

3002是错误的配置方式。

#

aclnumber3001〃正确的ACL配置方式示洌

rule10permitipsource55

#

aclnumber3002〃错误的ACL配置方式示例

rule10permitipsource55

rule20denyip〃该条规则将引起不必要的性能消耗

#

FW・5、（必选）防火墙使用独立物理端口做双机热备口

应用说明：

ComwareV5平台防火墙支持双机热备功能，为提高HA连接的可靠性，两台防火墙应

使用独立物理端口直接互连形成双机热备，该端口不再承载普通业务流量。若两台防火墙热

备口无法直接互联，务必经交换机桥接，则务必为HA连接单独规划部署一个二层链路或者

VLAN,避免其他无关报文对防火墙双机热备口造成的冲击。目前产品实现最多能够支持两

条物理链路实现HA互联。

参考配置思路：

盒式防火墙设备建议选择第一个固定物理端口做HA口，为提高HA性能及稳固性可选

择前两个固定物理端口做HA口。

插卡式防火墙设备可任选一个前而板物理端口做HA口，为提高HA性能及稳固性可任

选两个前面板物理端口做HA口。

FW・6、（必选）配置NTP保持防火墙时钟正确同步

应用说明：

NTP（NetworkTimeProtocol,网络时间协议）是一种时间同步协议，用来在分布式时

间服务器与客户端之间进行时间同步。启用NTP的目的是对网络内所有具有的时候钟的设

备进行时钟同步，使网络内所有设备的时钟保持-•致，从而使设备能够提供基于统一时间的

多种应用。假如防火墙系统时间不正确，将导致其产生的系统日志、操作日志、安全事件U

志等失去时效性，给日常保护与故障定位带来诸多不便。

参考配置思路：

启用防火墙NTP功能，同步正确的当前系统时间。关于防火墙插卡需注意在启用NTP

后禁用ACSEI客户端功能，避免出现时钟同步冲突。

#

ntp-serviceunicast-server

#

FW・7、（必选）使用二进制格式输出Userlog日志

应用说明：

ComwareV5平台防火墙支持Userlog日志输出功能。设备根据业务报文的5元组（源

IP地址、目的IP地址、源端口、目的端口、协议号）对网络流量遂行分类统计，并生成Userlog

日志。Userlog日志会记录报文的5元组、发送接收的流量大小等信息。网络管理员利用这

些信息能够实时跟踪、记录用户访问网络的情况，增强网络的安全性与可审计性。

防火墙Userlog日志支持下列两种输出方式，在实际部署时务必使用第2种方式:

1、以系统信息格式输出至信息中心，再由信息中心决定日志的最终输出方向。

2、以二进制格式封装成UDP报文直接输出至指定的Userlog日志主机。

参考配置思路:

在防火墙Web配置页而中，配置Userlog日志输出参数时，不勾选“日志输出到信息中

心”。具体配置界而示比如下:

Usenog日志

版本O1.0您3.0

日志发送时间@UTCO本地时诃

报文源I巡址|io。。」

日志主机配置

日志主机1

@IPv4OlPv6

I%址110.002|VP喉例色

端口号|30017-|（o-65535）

日志主机2

@IPv4OlPv6

I%址|:VP喉例色

端口号II（0-65535）

口日声输出到信息中心（启用此功能时，Userlog日志将不会发送到指定的Userlog日志主机£]

咫＜*）为必狈嗔与【贝一

确定|取消

在''日志管理”一“会活日志”一“全局设置”中，注意仅开启“发送会话删除日志”。

全局设置

□时间因值：分8（10-120,必须为1C的倍数）

口流量阈值：纸文数阈值：兆包（1-1000）

宇节数阈值：兆字节（1-1000）

□发送金话创建日志一

回发送会话删除日志]

|确定

FW・8、（必选）SSLVPN使用IP接入方式配置资源

应用说明:

ComwareV5平台防火墙部分型号设备支持SSLVPN功能,可实现远程用户安全接入访

间内网资源。受SSLVPN实现原理限制，在实现部署时应尽量避免使用Web方式、TCP

方式配置内网资源，尽量使用IP方式配置，以实现更好的业务兼容性及稳固性。

参考配置思路：

配置SSLVPN时，推荐使用IP方式进行内网资源配置。

FW・9、（必选）DNS协议应用层老化时间配置优化

应用说明:

ComwareV5平台防火墙支持根据包含DNS协议在内的应用层协议进行会话检测与管

理功能。为提高防火墙处理效率，避免DNS业务流有关会话表项在防火墙内存中驻留过长

时间。建议当启用ALGDNS功能时，设置较短的DNS协议应用层老化时间。

参考配置思路；

出厂默认配置未启用ALGDNS功能，若根据客户业务需要启用后，应注意配置DNS

协议应用层老化时间为5秒。防火墙Web页面具体配置示比如下图所示：

应用层协议老化时间

DN岭话的老化a寸可：5*510000W，琰省值=60)

FTP会话的老化时间：36001*（5-100000H）,磷省值=3600）

MSN会活的老化时间：|3600510000第，琰省值=3600）

QQ会话的老化时间：[60*610000%，玦省值=60)

SIP会话的老化时间：300*(5-10000(^,琰省值=300)

星号（,）为必须填写项

确定

FW-10.（必选）防火墙不启用QoS功能

应用说明：

防火墙支持部分ComwareV5平台QoS功能，如QoSCAR限速。但启用防火墙QoS

功能会对其转发性能造成非常大的影响，因此当防火墙转发业务流量较大时不要配置启用任

何QoS策略。

参考配置思路：

不在防火墙上配置QoS策略。

FW-1K（必选）防火墙地址对象范围地址配置优化

应用说明：

ComwareV5防火墙支持通过在域间策略中引用资源对象来简化配置工作，当管理员在

进行地址对象的配置时，可通过主机地址、范围地址、子网地址三种方式进行配置。当需要

对较大范围的地址进行匹配时，建议尽量使用子网地址方式，否则会对设备性能产生较大影

响。

参考配置思路：

防火墙上进行大量地址的对象资源配置时，尽量使用子网地址方式进行配置。下图所示

为反例，万不可效仿：

***&中导入行出

FW-12.（必选）部分型号防火墙业务端口选择建议

应用说明：

部分ComwareV5平台防火地受硬件设计原因所限，其GigabitEthemetO/4、

GigabitEthernetO/5端口转发性能较低，在设备部署实施过程中应避免将其应用为业务端口或

者双机热备口，建议可用作设备带外管理端口并划分至系统管理区域。

适用本优化建议的产品型号具体包含：

SecPath系列FW：F1000S-ELF1000C-SLF100A-SLFIOOM-SkF100E-G.F100A-G.

F100M-G

SecPalh系列UTM：U200-A.U200-M、U200-CA

参考配置思路：

不在上述型号FW或者UTM设备上将GigabitEthernetO/4.GigabitEthernetO/5配置为业

务端口或者双机热备口，可将其用于带外网管口并划分至Management区域。

FW・13、（必选）禁用会话加速功能

应用说明：

会话加速功能能够在特定应用场景下提升防火墙设备的每秒新建连接性能。需要注意的

是，假如会话发起方报文的出接口与响应方报文的入接口不一致，同时两个接口上的业务配

置也不相同，则不能实现会话加速。该功能能够在特殊应用场景中提高设备转发性能，但由

于其应用场景毕竟有限，因此通常情况下应该保持默认配置，叩关闭此功能。

参考配置思路：

“会话加速”功能的配置界面在Web管理页中的“防火墙”一“会话管理”一“高级

设置”一“会话加速”，去掉“启用会话加速”复选框的勾并单击“确定”按钮即可关闭本

功能。

会话加速

□启用会话加速

确定

FW・14、（必选）禁用ACL加速功能

应用说明：

ComwareV5平台防火墙部分型号产品支持ACL加速特性,通过启用该特性,可使软

件在对单个ACL中存在大量规则时的查找匹配速度更快。但另一方面，当启用某条ACL

的加速特性后，不同意再对该ACL进行任何修改，否则会造成加速失效，规则查找匹配将

出现混乱。为避免FI常保护过程中因操作失误，导致管理员在启用ACL加速的状态下修改

规则导致配置失效，在实际生产环境中建议禁用ACL加速功能。

参考配置思路：

在防火墙Web配置页而中，禁用ACL加速功能。停止加速后，正确的状态如下图所示：

ACL加速状态图标描一：•已加速C未加速恢效

迈阿匡制列表IDv查询|高级查询

□访问控制列表ID理规则数里匹颦顺序描述ACL加速管理操作

□3001高级1用户酉1置谏®a

□3002高如2用户酉2署

新建删除选中删除全部

FW・15、（必选）禁用域间策略加速功能

应用说明：

ComwareV5平台防火墙部分型号产品支持域间策略加速特性，通过启用该特性，可使

软件在进行域间策略查找匹配时速度更快。但另一方面，某两个安全区域之间启用域间策略

加速特性后，不同意再对该域间的任何策略进行修改，否则会造成加速失效，策略查找匹配

将出现混乱。为避免日常保护过程中因操作失误，导致管理员在启用域间策略加速的状态下

修改规则导致配置失效，在实际生产环境中建议禁用域间策略加速功能。

参考配置思路：

在防火墙Wuh配置页面中，禁用域间策略加速功能，停止加速后，正确的状态如下图

所示：

ACL加速状态图标磁：•已加速G未加速帙效

源域目的域规则数里ACL加速管理

UntrustTrust1Oho.

DMZUntrust1

UntrustDMZ1—

FW-16.（必选）禁止通过ACL方式实现远程管理访问

操纵

应用说明:

为提高防火地在网运行健壮性，管理员应严格限制能够远程访问设备的源主机IP地址。

在配置此类策略时，注意不要通过软件ACL方式做简单限制。比如，下列两种通过配置方

式都是不推荐的。

1、在user-interface卜,配置ACL,对SSH做访问操纵。

user-interfacevly04

acl2001inbound

参考配置思路：

在防火墙上配置限制能够远程访问本设备的主机源IP地址，应通过配置防火墙域间策

略实现。

FW-17>（必选）禁止使用弱口令

应用说明；

防火墙远程管理有关SNMP、SSH/Tclcnt.等功能，通常通过用户名密码对管理员或者

管理服务器进行认证与鉴权。在实际部署过程中，不得因贪图一时方便而使用弱口令，给系

统安全留下的患。

参考配置思路：

设备开局部署阶段及时做好密码管理工作，避免使用弱口令，推荐启用password-control

有关功能。

FW-18.（必选）禁止使用动态链路聚合模式

应用说明：

ComwareV5平台防火墙支持二三层链路聚合功能，受性能因素影响，在实际开局部署

过程中，应使用静态链路聚合模式进行配置。

参考配置思路：

设备开局部署阶段需要启用链路聚合功能时，使用静态链路聚合模式。

FW・19、（必选）IPSecVPN模板策略配置优化

应用说明：

ComwareV5平台防火墙支持“中心一一分支"型IPSecVPN,为简化中心侧设备配置，

能够使用模板方式进行策略配置。管理员在进行模板策略配置时，须特别注意不要配置成如

下形式，即每个分支节点对应一个不一致的模板。由于最终的IPSec策略中引用了多个模板，

会导致软件匹配杳找时效率大大降低。

错误的配置方式：

ipsecpolicy-templatetemp_l1

ipsecpolicy-templatetemp_21

ipsecpolicy-templatetcmp_31

ipsecpolicytest1isakmptemplatetemp_l

ipsecpolicytest2isakmptemplatetemp_2

ipsecpolicytest3isakmptemplatetemp_3

参考配置思路：

正确的配置方式为：若各分支行点IKE协商参数相同，贝J推荐使用单个策略模板进行

匹配：若各分支节点IKE协商参数不一致，则应当利用策略模板中的序列号参数创建多个

不一致协商参数的策略组合，而整体上仍然保持只有一个策略模板，这样便能够极大地优化

软件处理效率及速度。

正确的配置方式；

ipsecpolicy-templatetempI

ipsecpolicy-templatetemp2

ipsecpolicy-templatetemp3

ipsecpolicytest1isakmptemplatetemp

FW・20、（必选）合理修改三层业务口TCPMSS参数

应用说明：

防火墙各三层业务口默认状态下TCPMSS参数值为1460字节，加上TCP包头及IP包

头长度后正好为以太网最大负载长度1500字节，当报文从普通以太网端口发出时无需进行

IP分片操作。但在诸如L2TPVPN、GREVPN、IPSecVPN等防火墙常见应用场景中，由于

防火墙在进行业务报文转发前需额外封装包头，导致报文最终长度会超过接口MTU,引起

IP分片操作，大大降低流量处理效率。因此，在防火墙开局部署阶段应该注意根据实际链

路及配置情况，灵活调整TCPMSS参数值，避免防火墙转发报文过程中执行IP分片操作。

参考配置思路：

在配置VT端口或者Tunnel端口后，需在端口上根据物理接口MTU计算并修改合理的

TCPMSS参数，通常修改为1400字节。命令行配置示比如下：

#

interfaceVirtual-Template1

tcpmss1400

#

interfaceTunnel1

tcpmss1400

tunnel-protocolipsecipv4

#

在配置IKE/IPSecVPN策略时，应根据业务流量走向规划，在业务流量对应防火墙的入

出业务接口修改TCPMSS参数，保证经IPSec封装后的报文长度不可能引起防火墙执行IP

分片操作，通常修改为1350字节。

FW・21、（可选）利用域间策略对防火墙实施路由环路

保护

应用说明：

能够利用域间策略来将防火墙接收到的三层环路报文丢弃处理，比如存在路由环路的接

I」已添加至Trust区域，则能哆配置从Trust到Trust的域间策略，动作配置为Deny,从而

将防火墙从Trust接收但仍将转发至Trust区域的报文直接丢弃。注意实施该配置方法的前

提.即配置防火墙安全区域时，提早按业务及组网需求规划好各个安全区域，不能简单地将

全部接口加入同•个安全区域中。若同•区域已包含多个接口，且各接口之间确有业务互访

需求时，能够先配置相应的同意策略，再配置防环路策略：或者者重新将各个接口划分至不

一致的安全区域中，再配置防环路策略。

参考配置思路：

综合以上原则，假设Trust区域仅包含一个物理端口，无内部无访需求，为实现防止内

网口三层环路报文冲击防火墙，在Web管理界面中防环路策略配置如下图所示：

'一直基於宣

taJl1g

丝目的域OfPJfiW目的啾酬时间股过感玲作幅追脚。悌触H用做日志犍部眈地址目的JMC蝴n作

m0专卜

□TrustTrust0an、,addressan」addressamsergDeny

FW-22.（可选）虚拟分片重组功能配置优化

应用说明：

为了避免每个根务模块（如：IPSec、NAT与防火墙）单独处理后片先到（报文分片后）

而导致复杂度过高，设备需要将收到的IP报文执行虚拟分片重组功能，以实现对IP分片报

文的检验、排序与缓存，保证其它后续业务模块处理的都是顺序正确的IP分片报文。另外，

IP虚拟分片重组功能还能够对分片攻击进行检测，假如检测到分片攻击行为，设备能够丢

弃收到的特殊分片报文，提高设备的安全性与性能。

参考配置思路：

当防火墙出现IP大包不通或者丢包现象时，能够在虚拟分片重组功能配置页面，将''分

片队列数”与“分片报文数”调整至最大值，老化时间保持默人值即可。

FW-23、（可选）会话表项老化时间参数配置优化

应用说明：

防火墙会话管理要紧基于传输层协议对报文进行检测。事实上质是通过检测传输层协议

信息（即通用TCP协议与UDP协议）来对连接的状态进行跟踪，并对所有连接的状态信息

进行统一保护与管理。

参考配置思路：

设备默认会话超时时间较长，在大并发的环境下，能够适当调整会话表项老化时间，以

减小防火墙并发会话数，通常建议将TCPSYN/TCPEST/UDPOPEN会话超时时间改为缺省

值的一半。注意切勿将会话表项老化时间配置得过长或者过短。

下图为Web配置界而举例:

会话层协议老化时间

TCP协议

［（5-100000^,缺省值=30）

「SYN_SENT和SYN_RC就融喇耳：15

FIN_WAITb除老化时间：30*（5-100000^,缺省值=30）

[ESTABLISHED状态老仙寸间：

18001（5-100000^,缺省值=3600）

UDPffr议

「PEW犬态老化时间：J（5-100000^,缺省值=30）

READYU态老化时间：60*（5-100000^,缺省值=60）

ICMPffr议

OPENU态老化时间：60*（5-100000^,缺省值=60）

CLOSED状态老化时间：30*（5-100000^,缺省值=30〉

超时加速队列

题寸加f队列机时间：10*（5-100000^,缺省值=10）

RAWIP协议

OPEW态老化时间：1800*（5-100000^.缺省值=30）

READYU态老化时间：1800*（5-100000^,缺省值=60）

FW-24.（可选）报文特殊检测功能配置优化

应用说明：

单包攻击（亦称之畸形报文检测）是指攻击者通过向目标系统发送有缺陷的IP报文，

如分片重叠的IP报文、TCP标志位非法的报文，使得目标系统在处理这样的IP报文时出错、

崩溃,给目标系统带来缺失，或者者通过发送大量无用报文占用网络带宽等行为来造成攻击。

防火墙报文特殊检测功能支持对部分单包攻击进行检测与防御。

参考配置思路：

目前防火墙支持下列基于特征识别的防攻击，能够在所有安全区域开启攻击防范，但建

议不启用“ICMP不可达报文攻击检测”，否则会引起大量的主机操作系统正常发送的ICMP

协议报文被阻断。另外，在需要通过防火墙执行Traccrt操作时，不启用“Traccri报文攻击

检测”。

F5000A5_l[Root]

世曾联

凯贵向导

田设爸管理安全区域：Trust▼•

7奥谓管理

口网络管理[7发现攻击丢也

.用户管理V母力Fragg俯攻击检刎

通防火墙[Z国加an顺击检刑

向攻击防近也或WinNuke攻击检则

里名单±自动TCPFla致击检别

年加CM际可达侬攻击枪攻1

位及里异常检刑:阴在加CM唯定向根支攻击枪测

-URPF检宣K等力Tracertf双攻击检测

<3TCPProxy也豉力Smu破击检测

一入侵检系顺计£等力带通路由选项।丹R文攻击蛤则

◎应用控制叵自动带路由记录选项出书艮文攻击检测

FVPN叵等力超大ICMP报文攻击检测⑥大报文长度：4000（28-65534）字节

Ti高可靠性

谕定

国日志管理

FW-25.（可选）流量特殊检测功能配置优化

应用说明：

防火墙流量特殊检测功能，即泛洪攻击检测功能要紧用于保护服务器。防火墙通过监测

客户端向服务器发起连接请求的速率来检测各类泛洪攻击，通常应用在设备连接内部网络的

安全域上，且仅对应用了攻击检测策略的安全域的出方向报文有效。配置了泛洪攻击检测后,

设备将处于攻击检测状态，当它监测到向某台服务器IP地址发送报文的速率持续达到或者

超过推断阈值时，即认为该服务器受到了攻击并转入攻击防范状态，防火墙能够视具体配置

情况启动相应的防范措施（输出告警日志、或者将后续新建连接的报文进行丢弃处理）。此

后，当设备检测到向该服务器发送报文的速率低于恢复阈值时，即认为攻击行为已停止，防

火墙将由攻击防范状态恢复为攻击检测状态，并停止执行防范措施。

参考配置思路：

假如需要在防火墙上开启本功能，务必首先熟悉客户当前的业务情况，特别是每秒新建

连接数、最大并发连接数等关键参数，否则无法合理配置检测阈值及恢复阈值。目前支持的

攻击检测类型要紧有SYNFlood、UDPflood、ICMPflood等。由于实现机制原因，如北必

要不建议在日常运维过程中开启UDPflood与ICMPflood检测。

1、配置SYNFlood检测，安全区域为需保护主机所在的区域。

&F5000A5.1[Root]»全区域：Frust3

'设黄妣

攻击防礴器|

一a设着管暧二向TCPPr最逢如跑护1时5址]

发弱攻据算报文

'口资源管理

L晒」

1网络管理

*□用户管理

‘心防火墙

一・攻击防35

1%址触发闻值（报文效及）

熊的

[1921680101000750

一报文灯第1浏

・光堡异常怯测

针建

卜1cMpFlood

-UDPFlood

DN^too^

।

SfiiKSI'J

।扫揖攻击

一URPF检置

«•TCPProxy

入侵抬9长々H

2、TCP代理功能需要在攻击来源区域上启用，共分“单向”、“双向”两种模式，建议

启用“单向”模式，下图所示为“双向”模式。

3、支持手工将被保护主机地址添加至TCP代理表中。

.RUTHS'.Al•.附

~1匚...岂■懵文。1•作

和？丸8，03trtc1

WBH全丽htOIQ

3Md

・tt■访n

**6•

■胶方重忸，

・tlHiruw

-WOR»d

UOPFkMd

Dtttftood

*SYNFM

(m，j

一丽re

,UW»FteI

・TOPfOxy

“，—ariOCS

SVBflWB

4、假如需保护主机的IP地址不明确，但能够确定其安全区域，则能够基于该安全区域

配置攻击检测防范策略。

・多森・9

□RU・&

・。网

&厢9

・加3折W

卜皿SEO.

rHQ.5.

l-IOOFbod

CISFtoP

4>inr;r.

■曲卜归亶

•・TB所a”

卜TCPPronttfi

FW・26、（可选）双机热备会话同步组网中避免业务流

量非对称路径转发

应用说明：

ComwareV5平台防火墙支持双机热备会话同步功能，成功使能了双机热备的两台防火

墙能够实现普通会话、子会话、关联表、NAT、AL