H3C防火墻(V5)配置規范ISSUE1.0日期：2012年8月杭州華三通信技術有限公司版權所有，未經授權不得使用與傳播作者：潘猛目錄常見功能配置規范常見組網防火墻問題排查手段ALGNATServerClientServerFTP被動模式RouterClientServer修改ftp報文生成

動態NAT表項修改ftp報文生成

動態NAT表項生成關聯表對于防火墻來說，一次FTP業務有兩條會話，數據連接沒有可以匹配的策略，是否會被丟棄？ALG從設備性能和穩定性的角度出發，我們只開啟必須的ALG,那么到底需要開啟哪些ALG？DNS關閉要實現相關需求可打開，一般不使用FTP打開GTP關閉有些特殊局點需要開啟H.323關閉使用H.323協議的應用需要開啟，一般不使用ILS關閉MSN關閉NBT關閉PPTP關閉有PPTP業務從防火墻透傳,需要開啟，一般不使用QQ關閉RTSP打開運營商相關應用較多，建議開啟SCCP關閉SIP關閉SQLNET關閉ALG功能只適用老版本oracle，一般不使用TFTP關閉ALG<F5000>displaysessionstatisticsCurrentsession(s):1CurrentTCPsession(s):1Half-Open:0Half-Close:0CurrentUDPsession(s):0CurrentICMPsession(s):0CurrentRAWIPsession(s):0Currentrelationtable(s):0Sessionestablishmentrate:0/sTCPSessionestablishmentrate:0/sUDPSessionestablishmentrate:0/sICMPSessionestablishmentrate:0/sRAWIPSessionestablishmentrate:0/sReceivedTCP:7833packet(s)1335102byte(s)ReceivedUDP:8641packet(s)830258byte(s)ReceivedICMP:0packet(s)0byte(s)ReceivedRAWIP:0packet(s)0byte(s)DroppedTCP:3packet(s)744byte(s)DroppedUDP:0packet(s)0byte(s)DroppedICMP:0packet(s)0byte(s)DroppedRAWIP:0packet(s)0byte(s)<F5000>displaysessionrelation-table判斷是否有匹配到ALG的流量開啟ALG的命令： [F1000E]ALGH323ALG使用自定義端口: [F1000E]port-mappingh323port11111

NQANQA基本只使用ICMP，其他方式需要目標機支持，即目標機為H3C支持NQA的設備,另外配置ICMPNQA不需要開啟NQAAGENT.中間有2層設備或者3層設備插卡設備NQA配置#配置探測組adminopernqaentryadminoper#類型為ICMP-Echo，即ping操作typeicmp-echo#ping的目的地址destinationip#建議頻率為3000毫秒，即3秒frequency3000#配置反應組1，如果連續測試3次失敗則觸發相關動作reaction1checked-elementprobe-failthreshold-typeconsecutive3action-typetrigger-only#如果需要探測的對端為直連設備，需要配置bypass路由，防止路由失效后，通過其他路由導致NQA探測成功，造成震蕩route-optionbypass-route#如果需要探測的地址為VPN內的地址，則需要配置vpn-instancevpn-instanceuntrust#nqa調度配置，即從配置開始起一直進行調度測試nqascheduleadminoperstart-timenowlifetimeforever以下屬于NQA關聯配置#跟蹤組1和adminoper的reaction1綁定track1nqaentryadminoperreaction1#將vrrp和跟蹤組1綁定vrrpvrid1track1reduced30#將vrrp和跟蹤組1綁定也可以將靜態路由與跟蹤組綁定*NQA基本只使用ICMP，其他方式需要目標機支持*手冊里面的配置有一個一次發送10個報文的配置，實際使用時一般不配NQA故障處理NAT&VRRP接入交換機內部交換機熱備線防火墻在雙機配置的情況下，NatOutbound后的地址池需要配置不同的level，防止在主備切換時發生會話沖突.[F5000A5_1]nataddress-group10level0[F5000A5_2]nataddress-group10level1當NATOutbound地址池或者是NATServer和NatStatic的Global地址與接口地址在同一網段時，需要在NAT命令后跟trackvrrp的配置，防止主機和備機出現地址沖突interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp10natoutbound3001address-group1trackvrrp10natserverprotocoltcpglobal0wwwinsidewwwtrackvrrp10ipaddressvrrpvrid10virtual-ip54vrrpvrid10priority105NAT&VRRP接入交換機內部交換機熱備線防火墻ARP請求業務數據ARP響應可能出現的數據流NAT&VRRPNATOutbound存在多個地址池時，按照ACL編號從大到小匹配，即查看配置看到的顯示順序.當配置NAT的接口在VPN實例中時，需要在多處配置VPN實例來實現NAT功能。NATOutbound：ACL中需要指定vpn-instanceaclnumber3001rule0permitipvpn-instancevpnsource0NATOutbound后需要跟指定的vpn-instancenatoutbound3001address-group1vpn-instancevpnNATServer：Global和Inside地址后都需要跟指定的vpn-instancenatserverprotocoltcpglobal0wwwvpn-instancevpninside0wwwvpn-instancevpnNATStatic：需要在全局的natstatic命令Global和Inside地址后跟上指定的vpn-instancenatstatic00vpn-instancevpn00vpn-instancevpnSSH/HTTPS原則上在網設備不允許開啟TELNET和HTTP服務，安全性太低SSH/HTTPS開啟SSH sshserverenable local-usertest service-typessh開啟HTTPS iphttpsenable防火墻上由于需要開啟https服務，所以內置了證書，即設備上存在公私鑰對，所以不要按照手冊上的SSH配置進行操作，那樣會破壞證書HTTPS常見故障：

1、時間不對，尤其是插卡設備，由于插卡無時鐘芯片，如果不配置時間同步，會造成設備時間恢復到2000年，而證書的有效期是2007年開始的，這樣證書就會校驗失敗，造成https啟動失敗 2、證書錯誤UserlogUserlogUserlog是發送會話日志（又稱NAT日志）的一種的方法，設備還支持syslog發送的方式，由于syslog對設備CPU消耗較大，會造成設備不穩定，所以我們禁止使用syslog的方式發送會話日志；除了IMC和SecCenter，其他網管要接受Userlog，必須進行開發，Userlog的日志格式可以向二線咨詢SecCenter看不到NAT日志的情況：1、時間配置有問題，目前版本支持兩種方式發送，一種是以本地時鐘發送（加上時區以后），一種是以格林威治時間發送（不加時區），在SecCenter側，選擇以本地時鐘處理（在時間戳上加上時區信息），以格林威治時間處理（不加時區）2、設備上沒有會話產生和老化會話超時會話超時時間可以適當的調整，一般可以調整到缺省值的1/2到1/3,對于TCPESTABLISHED狀態，通常在一些書籍中會提到這個狀態的超時時間為7200秒，但是在實際應用中，很少有TCP會話會持續那么長時間既沒有數據也不關閉，所以適當的改小這個值對應用幾乎無影響。虛擬分片重組將攻擊報文進行IP分片是一種常見的穿越防火墻技術，H3C防火墻為了抵御這種攻擊，必須開啟虛擬分片重組。另外分片報文經過防火墻時，為了解決匹配會話的問題，也必須開啟虛擬分片重組。但是虛擬分片重組的隊列存在限制，容易造成PING大包無法通過防火墻。這種情況下： 1、我們要糾正客戶使用ping大包來評價網絡狀況的方法 2、可以優化虛擬分片重組的配置Flood類攻擊處理UDP/ICMPFLOOD手段比較單一，采用丟包方式，會影響正常業務，閾值不好控制SYNFLOOD可以采用代理方式，代理在源域配置，防攻擊都是在目的域配置通常flood攻擊源地址為偽造源地址，可以通過域間策略進行過濾如果是正常會話較多（狀態為established），則可以考慮使用連接數限制連接數限制網絡中經常會出現部分主機中毒，產生大量會話的情況。比如內網的主機向外發起大量tcp連接，從策略上看屬于正常連接，但是連接太多會造成防火墻壓力巨大，設備運行不穩定，建議在會話數異常時，在防火墻上配置連接數限制，防止這種情況發生。安全加固SNMP:對SNMP訪問進行訪問控制snmp-agentcommunityreadpublicacl2000//引用ACLsnmp-agentcommunitywriteprivateacl2000同時可以開啟

snmplogset來記錄snmp的set操作；snmp-agentlogset-operation黑名單：多次登錄失敗加入黑名單；密碼策略：密碼要夠復雜，周期性修改環路避免：使用靜態路由時必須仔細檢查，尤其是部署在網絡出口做NAT時，可能出現環路防止偽造源地址：對于路由范圍比較明確的組網，配置明確的域間策略，禁止使用any這種配置方式MIB常用防火墻MIB：獲取設備系統名稱

sysName .獲取設備啟動時間

sysUpTime ..0獲取設備系統描述

sysDescr .獲取設備溫度

hh3cEntityExtTemperature .4.1.2550.2.3獲取單板內存總大小

hh3cEntityExtMemSize .4.1.2550.0.3獲取單板內存使用率

hh3cEntityExtMemUsage .4.1.2550..3獲取單板CPU利用率

hh3cEntityExtCpuUsage .4.1.2550..3設備最大會話數

hh3cFWMaxConnNum .4.1.25設備當前會話數

hh3cFWConnNumCurr .4.1.25雙機熱備

雙機熱備線：

用于同步兩臺防火墻上的會話信息、配置等信息，屬于專用線路，線路上不會傳輸任何業務數據和協議報文；

配置同步：

支持絕大部分的配置同步，不支持主機名、接口地址、VRRP地址等配置，所有配置需要在網頁上配置才能同步，必須在作為主設備的機器上配置；

會話同步：

無主備關系，相互同步會話，只同步穩態會話；

當開啟支持非對稱路徑時，可以同步非穩態會話；

雙機熱備是否一定要開啟？非對稱路徑是否要開啟？目錄常見功能配置規范常見組網防火墻問題排查手段典型組網一接入交換機內部交換機熱備線防火墻VRRPVRRP典型組網二NQA1NQA2NQA3NQA4vrrpvrrp錯誤組網接入交換機內部交換機熱備線防火墻VRRPVRRP接入交換機內部交換機熱備線防火墻VRRPVRRP目錄常見功能配置規范常見組網防火墻問題排查手段日志主機和網管由于故障處理通常都有滯后性，而設備的日志緩存又不可靠，在條件允許的情況下，一定要配置日志服務器和網管系統！！嚴禁關閉info-center的做法，如果攻擊日志太多，可以單獨關閉攻擊防范，或者是關閉攻擊防范日志；[SecBladeII_1]info-centersourceATTACKchannellogbufferlogstateoff配置日志主機：[SecBladeII_1]info-centerloghost20配置SNMP：[SecBladeII_1]snmp-agentcommunityreadpublicacl2001[SecBladeII_1]snmp-agentcommunitywritepublicacl2001視頻卡問題Core-1Core-2缺省設備采用逐包轉發方式Core-1Core-2采用逐流轉發方式視頻卡問題修改逐包轉發方式為逐流業務不通處理流程業務部分不通查詢問題業務的源IP，基于源IP和目的IP查看會話詳情無會話有會話根據會話信息，確認會話狀態是否正常根據會話信息，確認收發包報文數是否正常關閉邏輯轉發，debug報文確認收發是否正常從其他設備定位Debug防火墻策略，確認是否被防火墻策略過濾修改域間策略否是查看上游設備路由是否正確正常不正常Debug會話狀態機，確認會話狀態刷新是否正常聯系H3C技術支持中心正常不正常查看各設備路由和NAT是否正確正常不正常收集診斷信息，拓撲結構，記錄排查過程未解決未解決未解決未解決調試命令查詢問題業務的源IP，基于源IP和目的IP查看會話詳情Debug防火墻策略，確認是否被防火墻策略過濾根據會話信息，確認會話狀態是否正常Debug會話狀態機，確認會話狀態刷新是否正常根據會話信息，確認收發包報文數是否正常關閉邏輯轉發，debug報文確認收發是否正常（F5000）在接口上配置qos或者是ipsec策略，實現關閉邏輯轉發的效果自動重啟[H3C]_hidecmdNowyouenterahiddencommandviewfordeveloper'stesting,somecommandsmayaffectoperationbywronguse,pleasecarefullyuseitwithourengineer'sdirection.[H3C-hidecmd]displayexception10verbose[H3C-hidecmd]displayexception10verbosefrom-device[H3C-hidecmd]displayerror-information50verbose[H3C-hidecmd]displayerror-information50verbosefrom-device內存異常[H3C]dissessionstatistics[H3C]disnatstatistics[H3C]dismemory[H3C]_H