安全產品配置優化操作規范

(FW、LB.IPS&ACG)

Version1.0

杭州華三通信技術有限公司

2014年8月

聲明

Copyright?2023杭州華三通信技術有限公司版權所有，保留一切權利。

非經本公司書面許可，任何單位與個人不得擅自摘抄、復制本書內容的部分或者全部，并不得以任何

形式傳播。

該文檔由H3C總部安全技術支持工程師通過長期技術積存總結而來，請務必在安全產品部署實施中

重視本操作規范要求，保障設名在網運行效果及穩固性。本文檔為保密文檔，僅限H3C原廠工程師

使用，對私自擴散者H3c保留起訴的權利。

本文檔將安全配置優化操作方式分為兩大類：

?必選項：設備部署時務必嚴按照必選項的規范要求執行。

?可選項：在客戶無明確要求且不影響客戶使用情況下，視具體組網環境可選部署。

聲明..........................................................................2

FW-K（必選）通過配置域間策略對防火墻本地實施保護.....................5

FW-2、（必選）防火墻ALG功能配置優化...................................6

FW-3、（必選）防火墻?雙機組網環境NAT與VRRP聯動......................7

FW-4.（必選）配置ACL時慎用Denyany規則..............................8

FW-5、（必選）防火墻使用獨立物理端口做雙機熱備口.......................8

FW6、（必選）配置NTP保持防火墻時鐘正確同步..........................9

FW-7.（必選）使用二進制格式輸出Userlog日志............................9

FW-8、（必選）SSLVPN使用IP接入方式配置資源.........................10

FW-9、（必選）DNS協議應用層老化時間配置優化..........................11

FW-10、（必選）防火墻不啟用QoS功能....................................11

FW-11、（必選）防火墻地址對象范圍地址配置優化.........................12

FW-12、（必選）部分型號防火墻業務端口選擇建議.........................12

FW-13、（必選）禁用會話加速功能........................................13

FW-14、（必選）禁用ACL加速功能.......................................13

FW-15、（必選）禁用域間策略加速功能....................................14

FW-16、（必選）禁止通過ACL方式實現遠程管理訪問操縱..................14

FW-17.（必選）禁止使用弱口令...........................................15

FW-18、（必選）禁止使用動態鏈路聚合模式................................15

FW-19、（必選）IPSecVPN模板策略配置優化..............................16

FW-20、（必選）合理修改三層業務口TCPMSS參數........................16

FW-21、（可選）利用域間策略對防火墻實施路由環路保護...................17

FW-22、（可選）虛擬分片重組功能配置優化................................18

FW-23、（可選）會話表項老化時間參數配置優化............................19

FW-24、（可選）報文特殊檢測功能配置優化................................20

FW-25、（可選）流量特殊檢測功能配置優化................................21

FW-26、（可選）雙機熱備會話同步組網中避免業務流量非對稱路徑轉發......23

FW-27、（可選）使用逐流轉發模式........................................24

LB-1、（必選）Oulbound鏈路負載均衡優先通過ACL方式進行虛服務配置........26

LB-2、（必選）Oulbound鏈路負載均衡不啟用就近性........................27

LB-3、（必選）服務器負載均衡虛服務IP不響應ARP請求限制的解決方法.……28

LB-4、（必選）使用二進制格式輸出Userlog日志...........................29

LB-5、（必選）關于實服務故障處理方式的配置選擇........................30

LB-6、（必選）配置NTP保持時鐘正確同步................................32

LB-7、（必選）RADIUS業務與強制負載均衡特性配置優化..................33

LB-8、（必選）使用獨立物理端口做雙機熱備口.............................34

LB9、（必選）配置ACL時慎用Denyany規則.............................35

LB-10、（必選）不信用QoS功能..........................................35

LB-1K（必選）不啟用攻擊防范功能......................................36

LB-12、（必選）禁用ACL加速功能.......................................36

LB-13.（可選）業務端口添加安全區域屬性................................36

LB-14.（可選）雙機熱備會話同步組網避免業務流量非對稱路徑轉發........38

LB-15、（可選）優先使用四層負載均衡模式滿足客戶況置需求...............39

LB-16、（可選）使用逐流轉發模式........................................39

IPS&ACG-H（必選）配置IPS攻擊防范策略時務必先手工調整策略規則.....41

IPS&ACG-2.（必選）配置IPS病毒防范策略時務必先手工調整策略規則.....46

IPS&ACG-3、（必選）定期檢查IPS/ACG特征庫版本是否正常更新..........47

IPS&ACG-4、（必選）通過NTPXACSEI保持IPS/ACG時鐘同步正確..........48

IPS&ACG-5、（必選）部署IPS/ACGMQC引流內外安全域須為不一致Vian......50

IPS&ACG-6.（必選）部署IPS/ACG插卡MQC引流時避免二層報文風暴....52

IPS&ACG-7.（必選）正則表達式URL過濾規則的配置優化................53

IPS&ACG-8.（必選）帶寬管理P2P限流規則配置優化.....................53

IPS&ACG-9、（必選）ACG通道帶寬管理功能針對DNS業務流量進行保障.......54

IPS&ACG-10.（可選）部署專用日志主機配合IPS/ACG實現安全事件審計.......55

IPS&ACG-1K（可選）ACG流日志配置優化...............................56

IPS&ACG-12,（可選）不啟用IPSDDoS攻擊防范策略......................57

FW?1、（必選）通過配置域間策略對防火墻本地實施保

護

應用說明：

ComwarcV5平臺防火墻為便于用戶登錄管理設備，當前實現機制為默認所有安全區域

都能夠訪問代表防火墻自身的Local區域。為避免無效報文、攻擊流量沖擊防火墻，要求務

必歸置到local區域的域同策略以對防火墻自身進仃保護。在配置具體的域間策略時，應首

先同意必要的管理、協議報文與防火墻本地交互，然后禁止其它流量與防火墻本地交互。

自2014年7月起，新軟件版本的ComwarcV5平臺防火墻進行了一次默認策略變更切

換，將默認所有安全區域及Local區域之間的策略變更為全部禁止互訪，以滿足市場需求并

加強安全性，詳見請查詢《H3c技術公告【2014】018號-關于H3CComwarcV5平臺防火

墻變更默認域間策略轉發規則的公告》。

參考配置思路：

2.配置同意防火墻與其它網絡設備進行協議交互的域間策略，比如VRRP,OSPF,

BGP、PING、IKE、L2TP,ESP等常見協議；

3.確認其他網絡設備是否有目的地址為防火墻本地的探測，比如NQA、BFD等，如

有則務必補充同意其他設備探測報文到達防火墻本地的域間策咯：

4.配置域間策略時應盡且使用明確的源目的IP地址范圍，減少使用“any_address”等

方式的粗放管理型配置，比如Trust區域的實際規劃IP范圍為/24,Untrust區域

為Internet,則配置域間策略對應將Trust區域源IP地址范圍配置為/55子

網地址對象，使策略更加合理精確，阻斷可能出現的源地址欺褊報文經防火墻轉發。

5.最后配置各安全區域至Local區域的全部禁止策略，避免防火墻因接收到達本地的無

效報文過多而影響CPU性能，最終實現對防火墻自身的安全保護。

綜合以上原則，在防火墻Web管理界面中的配置示比如下圖所示:

時日士漉目的

過澹動￡器挪匹次

源域ID通IP地址目的iPi色址服務同MAC操作

作述次政

□曹段器酬

tuULhit^.oina.國口拿手

□ManagementLocal0172310(VO00255anyaddress5nmp<60065，,snmp-Permr96

trap,telnet,tftp.ssh電1

爛

□ManagementLocal1arwaddressanvaddressanvserviceDenyOft708

能

今。令次

□UntrustLocal0anvaddressanyaddressanvserviceDeny0

心汽

公3令尹

□TrustLocal0anyaddressanyaddressbqp.ospf.vrrp,pingPerm*Oft0

臚能見?、

母m令#

□TrustLocal1anyaccessanvaddressanvserviceDeny0

新注I刪除達申I導入I導出I音空統計

FW?2、（必選）防火墻ALG功能配置優化

應用說明：

防火墻ALG（ApplicationLevelGateway,應用層網關）特性要緊完成對應用層報文的

處理—當應用層數據中包含IP地址時，ALG能夠對該地址進行處理，以保證后續該地址對

應的連接能夠正確建立。ALG的工作包含：解析數據報文載荷中的IP地址信息，并根據需

要對其進行NAT（NetworkAddressTranslation,網絡地址轉換）處理；提取數據通道信息，

為后續的會話連接建立數據通道。這里的數據通道通常指相關于用戶認證的操縱連接而言的

數據連接；在防火墻上，安全策略通常只同意特定的端口通過，關于需要動態開放端口的協

議，即使沒有NAT也務必啟用ALG才能合格證業務正常處理，比如FTP協議；另有些屬

于功能型ALG,專為實現某種功能而存在，比如DNSALG,需要視實際環境決定是否需要

開啟。

參考配置思路：

當防火墻做二層轉發部署時，除FTP協議外，推薦關閉其他所有ALG功能。

當防火墻做三層轉發部署時，下列為H3c防火墻應用的ALG推薦配置，建議只開啟,

關閉其他ALG功能。

DNS關閉要實現有關需求可打開，通常不使用

FTP打開

GTP關閉有些特殊局點需要開啟

H.323關閉使用H.323協議的應用需要開啟，通常不使用。

ILS關閉

MSN關閉不使用。

NBT關閉

PPTP關閉有PPTP業務從防火墻透傳，需要開啟，通常不使用。

QQ關閉不使用。

RTSP打開

SCCP關閉

SIP關閉

SQLNET關閉僅適配老版本Oracle,通常不使用。

TFTP關閉

FW?3、(必選)防火墻雙機組網環境NAT與VRRP聯

動

應用說明：

ComwareV5防火墻在雙機組網場景中，當兩臺設備使用相同的NATOulbound地址池、

NATServer.NATStatic的Global地址，且與接口主IP地址在同一網段時，需要在NAT命

令后跟trackvrrp配置，避免因主機與備機共享相同地址而出現ARP沖突。

參考配置思路：

下列為防火墻某外網端口配置示例：

interfaceGigabitEthernetO/2

portlink-moderoute

natoutboundstatictrackvrrp1

natoutbound3002address-group1()trackvrrp1

natoutbound3001trackvrrp1

natserverprotocoltcpglobal00(H)vrrp1

ipaddress

vrrpvrid1virtual-ip54

virpvrid1priority110

FW?4、（必選）配置ACL時慎用Denyany規則

應用說明：

ComwareV5平臺防火墻的ACL要緊用于軟件時業務或者管理流量的識別與分類，并

不直接用于報文的同意或者阻斷動作。在配置防火墻各軟件模塊功能參數時，常常需要使用

ACL,如今應注意配置ACL規則時僅需匹配需要識別的具體流量即可，無須在所有規則最

后配置一條Denyany,這樣能夠在很大程度上減少防火墻的無謂性能消耗。

參考配置思路：

比如，在配置NAT轉換策略時，需要通過ACL限制僅同意內網/16網段的用戶

做出方向源地址轉換，引用至NAT命令，如下列所示ACL300I是正確的配置方式，而ACL

3002是錯誤的配置方式。

#

aclnumber3001〃正確的ACL配置方式示洌

rule10permitipsource55

#

aclnumber3002〃錯誤的ACL配置方式示例

rule10permitipsource55

rule20denyip〃該條規則將引起不必要的性能消耗

#

FW?5、（必選）防火墻使用獨立物理端口做雙機熱備口

應用說明：

ComwareV5平臺防火墻支持雙機熱備功能，為提高HA連接的可靠性，兩臺防火墻應

使用獨立物理端口直接互連形成雙機熱備，該端口不再承載普通業務流量。若兩臺防火墻熱

備口無法直接互聯，務必經交換機橋接，則務必為HA連接單獨規劃部署一個二層鏈路或者

VLAN,避免其他無關報文對防火墻雙機熱備口造成的沖擊。目前產品實現最多能夠支持兩

條物理鏈路實現HA互聯。

參考配置思路：

盒式防火墻設備建議選擇第一個固定物理端口做HA口，為提高HA性能及穩固性可選

擇前兩個固定物理端口做HA口。

插卡式防火墻設備可任選一個前而板物理端口做HA口，為提高HA性能及穩固性可任

選兩個前面板物理端口做HA口。

FW?6、（必選）配置NTP保持防火墻時鐘正確同步

應用說明：

NTP（NetworkTimeProtocol,網絡時間協議）是一種時間同步協議，用來在分布式時

間服務器與客戶端之間進行時間同步。啟用NTP的目的是對網絡內所有具有的時候鐘的設

備進行時鐘同步，使網絡內所有設備的時鐘保持-?致，從而使設備能夠提供基于統一時間的

多種應用。假如防火墻系統時間不正確，將導致其產生的系統日志、操作日志、安全事件U

志等失去時效性，給日常保護與故障定位帶來諸多不便。

參考配置思路：

啟用防火墻NTP功能，同步正確的當前系統時間。關于防火墻插卡需注意在啟用NTP

后禁用ACSEI客戶端功能，避免出現時鐘同步沖突。

#

ntp-serviceunicast-server

#

FW?7、（必選）使用二進制格式輸出Userlog日志

應用說明：

ComwareV5平臺防火墻支持Userlog日志輸出功能。設備根據業務報文的5元組（源

IP地址、目的IP地址、源端口、目的端口、協議號）對網絡流量遂行分類統計，并生成Userlog

日志。Userlog日志會記錄報文的5元組、發送接收的流量大小等信息。網絡管理員利用這

些信息能夠實時跟蹤、記錄用戶訪問網絡的情況，增強網絡的安全性與可審計性。

防火墻Userlog日志支持下列兩種輸出方式，在實際部署時務必使用第2種方式:

1、以系統信息格式輸出至信息中心，再由信息中心決定日志的最終輸出方向。

2、以二進制格式封裝成UDP報文直接輸出至指定的Userlog日志主機。

參考配置思路:

在防火墻Web配置頁而中，配置Userlog日志輸出參數時，不勾選“日志輸出到信息中

心”。具體配置界而示比如下:

Usenog日志

版本O1.0您3.0

日志發送時間@UTCO本地時訶

報文源I巡址|io。。」

日志主機配置

日志主機1

@IPv4OlPv6

I%址110.002|VP喉例色

端口號|30017-|（o-65535）

日志主機2

@IPv4OlPv6

I%址|:VP喉例色

端口號II（0-65535）

口日聲輸出到信息中心（啟用此功能時，Userlog日志將不會發送到指定的Userlog日志主機￡]

咫＜*）為必狽嗔與【貝一

確定|取消

在''日志管理”一“會活日志”一“全局設置”中，注意僅開啟“發送會話刪除日志”。

全局設置

□時間因值：分8（10-120,必須為1C的倍數）

口流量閾值：紙文數閾值：兆包（1-1000）

宇節數閾值：兆字節（1-1000）

□發送金話創建日志一

回發送會話刪除日志]

|確定

FW?8、（必選）SSLVPN使用IP接入方式配置資源

應用說明:

ComwareV5平臺防火墻部分型號設備支持SSLVPN功能,可實現遠程用戶安全接入訪

間內網資源。受SSLVPN實現原理限制，在實現部署時應盡量避免使用Web方式、TCP

方式配置內網資源，盡量使用IP方式配置，以實現更好的業務兼容性及穩固性。

參考配置思路：

配置SSLVPN時，推薦使用IP方式進行內網資源配置。

FW?9、（必選）DNS協議應用層老化時間配置優化

應用說明:

ComwareV5平臺防火墻支持根據包含DNS協議在內的應用層協議進行會話檢測與管

理功能。為提高防火墻處理效率，避免DNS業務流有關會話表項在防火墻內存中駐留過長

時間。建議當啟用ALGDNS功能時，設置較短的DNS協議應用層老化時間。

參考配置思路；

出廠默認配置未啟用ALGDNS功能，若根據客戶業務需要啟用后，應注意配置DNS

協議應用層老化時間為5秒。防火墻Web頁面具體配置示比如下圖所示：

應用層協議老化時間

DN嶺話的老化a寸可：5*510000W，琰省值=60)

FTP會話的老化時間：36001*（5-100000H）,磷省值=3600）

MSN會活的老化時間：|3600510000第，琰省值=3600）

QQ會話的老化時間：[60*610000%，玦省值=60)

SIP會話的老化時間：300*(5-10000(^,琰省值=300)

星號（,）為必須填寫項

確定

FW-10.（必選）防火墻不啟用QoS功能

應用說明：

防火墻支持部分ComwareV5平臺QoS功能，如QoSCAR限速。但啟用防火墻QoS

功能會對其轉發性能造成非常大的影響，因此當防火墻轉發業務流量較大時不要配置啟用任

何QoS策略。

參考配置思路：

不在防火墻上配置QoS策略。

FW-1K（必選）防火墻地址對象范圍地址配置優化

應用說明：

ComwareV5防火墻支持通過在域間策略中引用資源對象來簡化配置工作，當管理員在

進行地址對象的配置時，可通過主機地址、范圍地址、子網地址三種方式進行配置。當需要

對較大范圍的地址進行匹配時，建議盡量使用子網地址方式，否則會對設備性能產生較大影

響。

參考配置思路：

防火墻上進行大量地址的對象資源配置時，盡量使用子網地址方式進行配置。下圖所示

為反例，萬不可效仿：

***&中導入行出

FW-12.（必選）部分型號防火墻業務端口選擇建議

應用說明：

部分ComwareV5平臺防火地受硬件設計原因所限，其GigabitEthemetO/4、

GigabitEthernetO/5端口轉發性能較低，在設備部署實施過程中應避免將其應用為業務端口或

者雙機熱備口，建議可用作設備帶外管理端口并劃分至系統管理區域。

適用本優化建議的產品型號具體包含：

SecPath系列FW：F1000S-ELF1000C-SLF100A-SLFIOOM-SkF100E-G.F100A-G.

F100M-G

SecPalh系列UTM：U200-A.U200-M、U200-CA

參考配置思路：

不在上述型號FW或者UTM設備上將GigabitEthernetO/4.GigabitEthernetO/5配置為業

務端口或者雙機熱備口，可將其用于帶外網管口并劃分至Management區域。

FW?13、（必選）禁用會話加速功能

應用說明：

會話加速功能能夠在特定應用場景下提升防火墻設備的每秒新建連接性能。需要注意的

是，假如會話發起方報文的出接口與響應方報文的入接口不一致，同時兩個接口上的業務配

置也不相同，則不能實現會話加速。該功能能夠在特殊應用場景中提高設備轉發性能，但由

于其應用場景畢竟有限，因此通常情況下應該保持默認配置，叩關閉此功能。

參考配置思路：

“會話加速”功能的配置界面在Web管理頁中的“防火墻”一“會話管理”一“高級

設置”一“會話加速”，去掉“啟用會話加速”復選框的勾并單擊“確定”按鈕即可關閉本

功能。

會話加速

□啟用會話加速

確定

FW?14、（必選）禁用ACL加速功能

應用說明：

ComwareV5平臺防火墻部分型號產品支持ACL加速特性,通過啟用該特性,可使軟

件在對單個ACL中存在大量規則時的查找匹配速度更快。但另一方面，當啟用某條ACL

的加速特性后，不同意再對該ACL進行任何修改，否則會造成加速失效，規則查找匹配將

出現混亂。為避免FI常保護過程中因操作失誤，導致管理員在啟用ACL加速的狀態下修改

規則導致配置失效，在實際生產環境中建議禁用ACL加速功能。

參考配置思路：

在防火墻Web配置頁而中，禁用ACL加速功能。停止加速后，正確的狀態如下圖所示：

ACL加速狀態圖標描一：?已加速C未加速恢效

邁阿匡制列表IDv查詢|高級查詢

□訪問控制列表ID理規則數里匹顰順序描述ACL加速管理操作

□3001高級1用戶酉1置諫?a

□3002高如2用戶酉2署

新建刪除選中刪除全部

FW?15、（必選）禁用域間策略加速功能

應用說明：

ComwareV5平臺防火墻部分型號產品支持域間策略加速特性，通過啟用該特性，可使

軟件在進行域間策略查找匹配時速度更快。但另一方面，某兩個安全區域之間啟用域間策略

加速特性后，不同意再對該域間的任何策略進行修改，否則會造成加速失效，策略查找匹配

將出現混亂。為避免日常保護過程中因操作失誤，導致管理員在啟用域間策略加速的狀態下

修改規則導致配置失效，在實際生產環境中建議禁用域間策略加速功能。

參考配置思路：

在防火墻Wuh配置頁面中，禁用域間策略加速功能，停止加速后，正確的狀態如下圖

所示：

ACL加速狀態圖標磁：?已加速G未加速帙效

源域目的域規則數里ACL加速管理

UntrustTrust1Oho.

DMZUntrust1

UntrustDMZ1—

FW-16.（必選）禁止通過ACL方式實現遠程管理訪問

操縱

應用說明:

為提高防火地在網運行健壯性，管理員應嚴格限制能夠遠程訪問設備的源主機IP地址。

在配置此類策略時，注意不要通過軟件ACL方式做簡單限制。比如，下列兩種通過配置方

式都是不推薦的。

1、在user-interface卜,配置ACL,對SSH做訪問操縱。

user-interfacevly04

acl2001inbound

參考配置思路：

在防火墻上配置限制能夠遠程訪問本設備的主機源IP地址，應通過配置防火墻域間策

略實現。

FW-17>（必選）禁止使用弱口令

應用說明；

防火墻遠程管理有關SNMP、SSH/Tclcnt.等功能，通常通過用戶名密碼對管理員或者

管理服務器進行認證與鑒權。在實際部署過程中，不得因貪圖一時方便而使用弱口令，給系

統安全留下的患。

參考配置思路：

設備開局部署階段及時做好密碼管理工作，避免使用弱口令，推薦啟用password-control

有關功能。

FW-18.（必選）禁止使用動態鏈路聚合模式

應用說明：

ComwareV5平臺防火墻支持二三層鏈路聚合功能，受性能因素影響，在實際開局部署

過程中，應使用靜態鏈路聚合模式進行配置。

參考配置思路：

設備開局部署階段需要啟用鏈路聚合功能時，使用靜態鏈路聚合模式。

FW?19、（必選）IPSecVPN模板策略配置優化

應用說明：

ComwareV5平臺防火墻支持“中心一一分支"型IPSecVPN,為簡化中心側設備配置，

能夠使用模板方式進行策略配置。管理員在進行模板策略配置時，須特別注意不要配置成如

下形式，即每個分支節點對應一個不一致的模板。由于最終的IPSec策略中引用了多個模板，

會導致軟件匹配杳找時效率大大降低。

錯誤的配置方式：

ipsecpolicy-templatetemp_l1

ipsecpolicy-templatetemp_21

ipsecpolicy-templatetcmp_31

ipsecpolicytest1isakmptemplatetemp_l

ipsecpolicytest2isakmptemplatetemp_2

ipsecpolicytest3isakmptemplatetemp_3

參考配置思路：

正確的配置方式為：若各分支行點IKE協商參數相同，貝J推薦使用單個策略模板進行

匹配：若各分支節點IKE協商參數不一致，則應當利用策略模板中的序列號參數創建多個

不一致協商參數的策略組合，而整體上仍然保持只有一個策略模板，這樣便能夠極大地優化

軟件處理效率及速度。

正確的配置方式；

ipsecpolicy-templatetempI

ipsecpolicy-templatetemp2

ipsecpolicy-templatetemp3

ipsecpolicytest1isakmptemplatetemp

FW?20、（必選）合理修改三層業務口TCPMSS參數

應用說明：

防火墻各三層業務口默認狀態下TCPMSS參數值為1460字節，加上TCP包頭及IP包

頭長度后正好為以太網最大負載長度1500字節，當報文從普通以太網端口發出時無需進行

IP分片操作。但在諸如L2TPVPN、GREVPN、IPSecVPN等防火墻常見應用場景中，由于

防火墻在進行業務報文轉發前需額外封裝包頭，導致報文最終長度會超過接口MTU,引起

IP分片操作，大大降低流量處理效率。因此，在防火墻開局部署階段應該注意根據實際鏈

路及配置情況，靈活調整TCPMSS參數值，避免防火墻轉發報文過程中執行IP分片操作。

參考配置思路：

在配置VT端口或者Tunnel端口后，需在端口上根據物理接口MTU計算并修改合理的

TCPMSS參數，通常修改為1400字節。命令行配置示比如下：

#

interfaceVirtual-Template1

tcpmss1400

#

interfaceTunnel1

tcpmss1400

tunnel-protocolipsecipv4

#

在配置IKE/IPSecVPN策略時，應根據業務流量走向規劃，在業務流量對應防火墻的入

出業務接口修改TCPMSS參數，保證經IPSec封裝后的報文長度不可能引起防火墻執行IP

分片操作，通常修改為1350字節。

FW?21、（可選）利用域間策略對防火墻實施路由環路

保護

應用說明：

能夠利用域間策略來將防火墻接收到的三層環路報文丟棄處理，比如存在路由環路的接

I」已添加至Trust區域，則能哆配置從Trust到Trust的域間策略，動作配置為Deny,從而

將防火墻從Trust接收但仍將轉發至Trust區域的報文直接丟棄。注意實施該配置方法的前

提.即配置防火墻安全區域時，提早按業務及組網需求規劃好各個安全區域，不能簡單地將

全部接口加入同?個安全區域中。若同?區域已包含多個接口，且各接口之間確有業務互訪

需求時，能夠先配置相應的同意策略，再配置防環路策略：或者者重新將各個接口劃分至不

一致的安全區域中，再配置防環路策略。

參考配置思路：

綜合以上原則，假設Trust區域僅包含一個物理端口，無內部無訪需求，為實現防止內

網口三層環路報文沖擊防火墻，在Web管理界面中防環路策略配置如下圖所示：

'一直基於宣

taJl1g

絲目的域OfPJfiW目的啾酬時間股過感玲作幅追腳。悌觸H用做日志犍部眈地址目的JMC蝴n作

m0專卜

□TrustTrust0an、,addressan」addressamsergDeny

FW-22.（可選）虛擬分片重組功能配置優化

應用說明：

為了避免每個根務模塊（如：IPSec、NAT與防火墻）單獨處理后片先到（報文分片后）

而導致復雜度過高，設備需要將收到的IP報文執行虛擬分片重組功能，以實現對IP分片報

文的檢驗、排序與緩存，保證其它后續業務模塊處理的都是順序正確的IP分片報文。另外，

IP虛擬分片重組功能還能夠對分片攻擊進行檢測，假如檢測到分片攻擊行為，設備能夠丟

棄收到的特殊分片報文，提高設備的安全性與性能。

參考配置思路：

當防火墻出現IP大包不通或者丟包現象時，能夠在虛擬分片重組功能配置頁面，將''分

片隊列數”與“分片報文數”調整至最大值，老化時間保持默人值即可。

FW-23、（可選）會話表項老化時間參數配置優化

應用說明：

防火墻會話管理要緊基于傳輸層協議對報文進行檢測。事實上質是通過檢測傳輸層協議

信息（即通用TCP協議與UDP協議）來對連接的狀態進行跟蹤，并對所有連接的狀態信息

進行統一保護與管理。

參考配置思路：

設備默認會話超時時間較長，在大并發的環境下，能夠適當調整會話表項老化時間，以

減小防火墻并發會話數，通常建議將TCPSYN/TCPEST/UDPOPEN會話超時時間改為缺省

值的一半。注意切勿將會話表項老化時間配置得過長或者過短。

下圖為Web配置界而舉例:

會話層協議老化時間

TCP協議

［（5-100000^,缺省值=30）

「SYN_SENT和SYN_RC就融喇耳：15

FIN_WAITb除老化時間：30*（5-100000^,缺省值=30）

[ESTABLISHED狀態老仙寸間：

18001（5-100000^,缺省值=3600）

UDPffr議

「PEW犬態老化時間：J（5-100000^,缺省值=30）

READYU態老化時間：60*（5-100000^,缺省值=60）

ICMPffr議

OPENU態老化時間：60*（5-100000^,缺省值=60）

CLOSED狀態老化時間：30*（5-100000^,缺省值=30〉

超時加速隊列

題寸加f隊列機時間：10*（5-100000^,缺省值=10）

RAWIP協議

OPEW態老化時間：1800*（5-100000^.缺省值=30）

READYU態老化時間：1800*（5-100000^,缺省值=60）

FW-24.（可選）報文特殊檢測功能配置優化

應用說明：

單包攻擊（亦稱之畸形報文檢測）是指攻擊者通過向目標系統發送有缺陷的IP報文，

如分片重疊的IP報文、TCP標志位非法的報文，使得目標系統在處理這樣的IP報文時出錯、

崩潰,給目標系統帶來缺失，或者者通過發送大量無用報文占用網絡帶寬等行為來造成攻擊。

防火墻報文特殊檢測功能支持對部分單包攻擊進行檢測與防御。

參考配置思路：

目前防火墻支持下列基于特征識別的防攻擊，能夠在所有安全區域開啟攻擊防范，但建

議不啟用“ICMP不可達報文攻擊檢測”，否則會引起大量的主機操作系統正常發送的ICMP

協議報文被阻斷。另外，在需要通過防火墻執行Traccrt操作時，不啟用“Traccri報文攻擊

檢測”。

F5000A5_l[Root]

世曾聯

凱貴向導

田設爸管理安全區域：Trust▼?

7奧謂管理

口網絡管理[7發現攻擊丟也

.用戶管理V母力Fragg俯攻擊檢刎

通防火墻[Z國加an順擊檢刑

向攻擊防近也或WinNuke攻擊檢則

里名單±自動TCPFla致擊檢別

年加CM際可達儂攻擊槍攻1

位及里異常檢刑:陰在加CM唯定向根支攻擊槍測

-URPF檢宣K等力Tracertf雙攻擊檢測

<3TCPProxy也豉力Smu破擊檢測

一入侵檢系順計￡等力帶通路由選項?丹R文攻擊蛤則

◎應用控制叵自動帶路由記錄選項出書艮文攻擊檢測

FVPN叵等力超大ICMP報文攻擊檢測⑥大報文長度：4000（28-65534）字節

Ti高可靠性

諭定

國日志管理

FW-25.（可選）流量特殊檢測功能配置優化

應用說明：

防火墻流量特殊檢測功能，即泛洪攻擊檢測功能要緊用于保護服務器。防火墻通過監測

客戶端向服務器發起連接請求的速率來檢測各類泛洪攻擊，通常應用在設備連接內部網絡的

安全域上，且僅對應用了攻擊檢測策略的安全域的出方向報文有效。配置了泛洪攻擊檢測后,

設備將處于攻擊檢測狀態，當它監測到向某臺服務器IP地址發送報文的速率持續達到或者

超過推斷閾值時，即認為該服務器受到了攻擊并轉入攻擊防范狀態，防火墻能夠視具體配置

情況啟動相應的防范措施（輸出告警日志、或者將后續新建連接的報文進行丟棄處理）。此

后，當設備檢測到向該服務器發送報文的速率低于恢復閾值時，即認為攻擊行為已停止，防

火墻將由攻擊防范狀態恢復為攻擊檢測狀態，并停止執行防范措施。

參考配置思路：

假如需要在防火墻上開啟本功能，務必首先熟悉客戶當前的業務情況，特別是每秒新建

連接數、最大并發連接數等關鍵參數，否則無法合理配置檢測閾值及恢復閾值。目前支持的

攻擊檢測類型要緊有SYNFlood、UDPflood、ICMPflood等。由于實現機制原因，如北必

要不建議在日常運維過程中開啟UDPflood與ICMPflood檢測。

1、配置SYNFlood檢測，安全區域為需保護主機所在的區域。

&F5000A5.1[Root]?全區域：Frust3

'設黃妣

攻擊防礴器|

一a設著管曖二向TCPPr最逢如跑護1時5址]

發弱攻據算報文

'口資源管理

L曬」

1網絡管理

*□用戶管理

‘心防火墻

一?攻擊防35

1%址觸發聞值（報文效及）

熊的

[1921680101000750

一報文燈第1瀏

?光堡異常怯測

針建

卜1cMpFlood

-UDPFlood

DN^too^

?

SfiiKSI'J

?掃揖攻擊

一URPF檢置

??TCPProxy

入侵抬9長々H

2、TCP代理功能需要在攻擊來源區域上啟用，共分“單向”、“雙向”兩種模式，建議

啟用“單向”模式，下圖所示為“雙向”模式。

3、支持手工將被保護主機地址添加至TCP代理表中。

.RUTHS'.Al?.附

~1匚...豈■懵文。1?作

和？丸8，03trtc1

WBH全麗htOIQ

3Md

?tt■訪n

**6?

■膠方重忸，

?tlHiruw

-WOR?d

UOPFkMd

Dtttftood

*SYNFM

(m，j

一麗re

,UW?FteI

?TOPfOxy

“，—ariOCS

SVBflWB

4、假如需保護主機的IP地址不明確，但能夠確定其安全區域，則能夠基于該安全區域

配置攻擊檢測防范策略。

?多森?9

□RU?&

?。網

&廂9

?加3折W

卜皿SEO.

rHQ.5.

l-IOOFbod

CISFtoP

4>inr;r.

■曲卜歸亶

??TB所a”

卜TCPPronttfi

FW?26、（可選）雙機熱備會話同步組網中避免業務流

量非對稱路徑轉發

應用說明：

ComwareV5平臺防火墻支持雙機熱備會話同步功能，成功使能了雙機熱備的兩臺防火

墻能夠實現普通會話、子會話、關聯表、NAT、AL