安全產(chǎn)品配置優(yōu)化操作規(guī)范

(FW、LB.IPS&ACG)

Version1.0

杭州華三通信技術(shù)有限公司

2014年8月

聲明

Copyright?2023杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。

非經(jīng)本公司書面許可，任何單位與個(gè)人不得擅自摘抄、復(fù)制本書內(nèi)容的部分或者全部，并不得以任何

形式傳播。

該文檔由H3C總部安全技術(shù)支持工程師通過長期技術(shù)積存總結(jié)而來，請(qǐng)務(wù)必在安全產(chǎn)品部署實(shí)施中

重視本操作規(guī)范要求，保障設(shè)名在網(wǎng)運(yùn)行效果及穩(wěn)固性。本文檔為保密文檔，僅限H3C原廠工程師

使用，對(duì)私自擴(kuò)散者H3c保留起訴的權(quán)利。

本文檔將安全配置優(yōu)化操作方式分為兩大類：

?必選項(xiàng)：設(shè)備部署時(shí)務(wù)必嚴(yán)按照必選項(xiàng)的規(guī)范要求執(zhí)行。

?可選項(xiàng)：在客戶無明確要求且不影響客戶使用情況下，視具體組網(wǎng)環(huán)境可選部署。

聲明..........................................................................2

FW-K（必選）通過配置域間策略對(duì)防火墻本地實(shí)施保護(hù).....................5

FW-2、（必選）防火墻ALG功能配置優(yōu)化...................................6

FW-3、（必選）防火墻?雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)動(dòng)......................7

FW-4.（必選）配置ACL時(shí)慎用Denyany規(guī)則..............................8

FW-5、（必選）防火墻使用獨(dú)立物理端口做雙機(jī)熱備口.......................8

FW6、（必選）配置NTP保持防火墻時(shí)鐘正確同步..........................9

FW-7.（必選）使用二進(jìn)制格式輸出Userlog日志............................9

FW-8、（必選）SSLVPN使用IP接入方式配置資源.........................10

FW-9、（必選）DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化..........................11

FW-10、（必選）防火墻不啟用QoS功能....................................11

FW-11、（必選）防火墻地址對(duì)象范圍地址配置優(yōu)化.........................12

FW-12、（必選）部分型號(hào)防火墻業(yè)務(wù)端口選擇建議.........................12

FW-13、（必選）禁用會(huì)話加速功能........................................13

FW-14、（必選）禁用ACL加速功能.......................................13

FW-15、（必選）禁用域間策略加速功能....................................14

FW-16、（必選）禁止通過ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問操縱..................14

FW-17.（必選）禁止使用弱口令...........................................15

FW-18、（必選）禁止使用動(dòng)態(tài)鏈路聚合模式................................15

FW-19、（必選）IPSecVPN模板策略配置優(yōu)化..............................16

FW-20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù)........................16

FW-21、（可選）利用域間策略對(duì)防火墻實(shí)施路由環(huán)路保護(hù)...................17

FW-22、（可選）虛擬分片重組功能配置優(yōu)化................................18

FW-23、（可選）會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化............................19

FW-24、（可選）報(bào)文特殊檢測(cè)功能配置優(yōu)化................................20

FW-25、（可選）流量特殊檢測(cè)功能配置優(yōu)化................................21

FW-26、（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)中避免業(yè)務(wù)流量非對(duì)稱路徑轉(zhuǎn)發(fā)......23

FW-27、（可選）使用逐流轉(zhuǎn)發(fā)模式........................................24

LB-1、（必選）Oulbound鏈路負(fù)載均衡優(yōu)先通過ACL方式進(jìn)行虛服務(wù)配置........26

LB-2、（必選）Oulbound鏈路負(fù)載均衡不啟用就近性........................27

LB-3、（必選）服務(wù)器負(fù)載均衡虛服務(wù)IP不響應(yīng)ARP請(qǐng)求限制的解決方法.……28

LB-4、（必選）使用二進(jìn)制格式輸出Userlog日志...........................29

LB-5、（必選）關(guān)于實(shí)服務(wù)故障處理方式的配置選擇........................30

LB-6、（必選）配置NTP保持時(shí)鐘正確同步................................32

LB-7、（必選）RADIUS業(yè)務(wù)與強(qiáng)制負(fù)載均衡特性配置優(yōu)化..................33

LB-8、（必選）使用獨(dú)立物理端口做雙機(jī)熱備口.............................34

LB9、（必選）配置ACL時(shí)慎用Denyany規(guī)則.............................35

LB-10、（必選）不信用QoS功能..........................................35

LB-1K（必選）不啟用攻擊防范功能......................................36

LB-12、（必選）禁用ACL加速功能.......................................36

LB-13.（可選）業(yè)務(wù)端口添加安全區(qū)域?qū)傩?...............................36

LB-14.（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)避免業(yè)務(wù)流量非對(duì)稱路徑轉(zhuǎn)發(fā)........38

LB-15、（可選）優(yōu)先使用四層負(fù)載均衡模式滿足客戶況置需求...............39

LB-16、（可選）使用逐流轉(zhuǎn)發(fā)模式........................................39

IPS&ACG-H（必選）配置IPS攻擊防范策略時(shí)務(wù)必先手工調(diào)整策略規(guī)則.....41

IPS&ACG-2.（必選）配置IPS病毒防范策略時(shí)務(wù)必先手工調(diào)整策略規(guī)則.....46

IPS&ACG-3、（必選）定期檢查IPS/ACG特征庫版本是否正常更新..........47

IPS&ACG-4、（必選）通過NTPXACSEI保持IPS/ACG時(shí)鐘同步正確..........48

IPS&ACG-5、（必選）部署IPS/ACGMQC引流內(nèi)外安全域須為不一致Vian......50

IPS&ACG-6.（必選）部署IPS/ACG插卡MQC引流時(shí)避免二層報(bào)文風(fēng)暴....52

IPS&ACG-7.（必選）正則表達(dá)式URL過濾規(guī)則的配置優(yōu)化................53

IPS&ACG-8.（必選）帶寬管理P2P限流規(guī)則配置優(yōu)化.....................53

IPS&ACG-9、（必選）ACG通道帶寬管理功能針對(duì)DNS業(yè)務(wù)流量進(jìn)行保障.......54

IPS&ACG-10.（可選）部署專用日志主機(jī)配合IPS/ACG實(shí)現(xiàn)安全事件審計(jì).......55

IPS&ACG-1K（可選）ACG流日志配置優(yōu)化...............................56

IPS&ACG-12,（可選）不啟用IPSDDoS攻擊防范策略......................57

FW?1、（必選）通過配置域間策略對(duì)防火墻本地實(shí)施保

護(hù)

應(yīng)用說明：

ComwarcV5平臺(tái)防火墻為便于用戶登錄管理設(shè)備，當(dāng)前實(shí)現(xiàn)機(jī)制為默認(rèn)所有安全區(qū)域

都能夠訪問代表防火墻自身的Local區(qū)域。為避免無效報(bào)文、攻擊流量沖擊防火墻，要求務(wù)

必歸置到local區(qū)域的域同策略以對(duì)防火墻自身進(jìn)仃保護(hù)。在配置具體的域間策略時(shí)，應(yīng)首

先同意必要的管理、協(xié)議報(bào)文與防火墻本地交互，然后禁止其它流量與防火墻本地交互。

自2014年7月起，新軟件版本的ComwarcV5平臺(tái)防火墻進(jìn)行了一次默認(rèn)策略變更切

換，將默認(rèn)所有安全區(qū)域及Local區(qū)域之間的策略變更為全部禁止互訪，以滿足市場(chǎng)需求并

加強(qiáng)安全性，詳見請(qǐng)查詢《H3c技術(shù)公告【2014】018號(hào)-關(guān)于H3CComwarcV5平臺(tái)防火

墻變更默認(rèn)域間策略轉(zhuǎn)發(fā)規(guī)則的公告》。

參考配置思路：

2.配置同意防火墻與其它網(wǎng)絡(luò)設(shè)備進(jìn)行協(xié)議交互的域間策略，比如VRRP,OSPF,

BGP、PING、IKE、L2TP,ESP等常見協(xié)議；

3.確認(rèn)其他網(wǎng)絡(luò)設(shè)備是否有目的地址為防火墻本地的探測(cè)，比如NQA、BFD等，如

有則務(wù)必補(bǔ)充同意其他設(shè)備探測(cè)報(bào)文到達(dá)防火墻本地的域間策咯：

4.配置域間策略時(shí)應(yīng)盡且使用明確的源目的IP地址范圍，減少使用“any_address”等

方式的粗放管理型配置，比如Trust區(qū)域的實(shí)際規(guī)劃IP范圍為/24,Untrust區(qū)域

為Internet,則配置域間策略對(duì)應(yīng)將Trust區(qū)域源IP地址范圍配置為/55子

網(wǎng)地址對(duì)象，使策略更加合理精確，阻斷可能出現(xiàn)的源地址欺褊報(bào)文經(jīng)防火墻轉(zhuǎn)發(fā)。

5.最后配置各安全區(qū)域至Local區(qū)域的全部禁止策略，避免防火墻因接收到達(dá)本地的無

效報(bào)文過多而影響CPU性能，最終實(shí)現(xiàn)對(duì)防火墻自身的安全保護(hù)。

綜合以上原則，在防火墻Web管理界面中的配置示比如下圖所示:

時(shí)日士漉目的

過澹動(dòng)￡器挪匹次

源域ID通IP地址目的iPi色址服務(wù)同MAC操作

作述次政

□曹段器酬

tuULhit^.oina.國口拿手

□ManagementLocal0172310(VO00255anyaddress5nmp<60065，,snmp-Permr96

trap,telnet,tftp.ssh電1

爛

□ManagementLocal1arwaddressanvaddressanvserviceDenyOft708

能

今。令次

□UntrustLocal0anvaddressanyaddressanvserviceDeny0

心汽

公3令尹

□TrustLocal0anyaddressanyaddressbqp.ospf.vrrp,pingPerm*Oft0

臚能見?、

母m令#

□TrustLocal1anyaccessanvaddressanvserviceDeny0

新注I刪除達(dá)申I導(dǎo)入I導(dǎo)出I音空統(tǒng)計(jì)

FW?2、（必選）防火墻ALG功能配置優(yōu)化

應(yīng)用說明：

防火墻ALG（ApplicationLevelGateway,應(yīng)用層網(wǎng)關(guān)）特性要緊完成對(duì)應(yīng)用層報(bào)文的

處理—當(dāng)應(yīng)用層數(shù)據(jù)中包含IP地址時(shí)，ALG能夠?qū)υ摰刂愤M(jìn)行處理，以保證后續(xù)該地址對(duì)

應(yīng)的連接能夠正確建立。ALG的工作包含：解析數(shù)據(jù)報(bào)文載荷中的IP地址信息，并根據(jù)需

要對(duì)其進(jìn)行NAT（NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換）處理；提取數(shù)據(jù)通道信息，

為后續(xù)的會(huì)話連接建立數(shù)據(jù)通道。這里的數(shù)據(jù)通道通常指相關(guān)于用戶認(rèn)證的操縱連接而言的

數(shù)據(jù)連接；在防火墻上，安全策略通常只同意特定的端口通過，關(guān)于需要?jiǎng)討B(tài)開放端口的協(xié)

議，即使沒有NAT也務(wù)必啟用ALG才能合格證業(yè)務(wù)正常處理，比如FTP協(xié)議；另有些屬

于功能型ALG,專為實(shí)現(xiàn)某種功能而存在，比如DNSALG,需要視實(shí)際環(huán)境決定是否需要

開啟。

參考配置思路：

當(dāng)防火墻做二層轉(zhuǎn)發(fā)部署時(shí)，除FTP協(xié)議外，推薦關(guān)閉其他所有ALG功能。

當(dāng)防火墻做三層轉(zhuǎn)發(fā)部署時(shí)，下列為H3c防火墻應(yīng)用的ALG推薦配置，建議只開啟,

關(guān)閉其他ALG功能。

DNS關(guān)閉要實(shí)現(xiàn)有關(guān)需求可打開，通常不使用

FTP打開

GTP關(guān)閉有些特殊局點(diǎn)需要開啟

H.323關(guān)閉使用H.323協(xié)議的應(yīng)用需要開啟，通常不使用。

ILS關(guān)閉

MSN關(guān)閉不使用。

NBT關(guān)閉

PPTP關(guān)閉有PPTP業(yè)務(wù)從防火墻透?jìng)鳎枰_啟，通常不使用。

QQ關(guān)閉不使用。

RTSP打開

SCCP關(guān)閉

SIP關(guān)閉

SQLNET關(guān)閉僅適配老版本Oracle,通常不使用。

TFTP關(guān)閉

FW?3、(必選)防火墻雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)

動(dòng)

應(yīng)用說明：

ComwareV5防火墻在雙機(jī)組網(wǎng)場(chǎng)景中，當(dāng)兩臺(tái)設(shè)備使用相同的NATOulbound地址池、

NATServer.NATStatic的Global地址，且與接口主IP地址在同一網(wǎng)段時(shí)，需要在NAT命

令后跟trackvrrp配置，避免因主機(jī)與備機(jī)共享相同地址而出現(xiàn)ARP沖突。

參考配置思路：

下列為防火墻某外網(wǎng)端口配置示例：

interfaceGigabitEthernetO/2

portlink-moderoute

natoutboundstatictrackvrrp1

natoutbound3002address-group1()trackvrrp1

natoutbound3001trackvrrp1

natserverprotocoltcpglobal00(H)vrrp1

ipaddress

vrrpvrid1virtual-ip54

virpvrid1priority110

FW?4、（必選）配置ACL時(shí)慎用Denyany規(guī)則

應(yīng)用說明：

ComwareV5平臺(tái)防火墻的ACL要緊用于軟件時(shí)業(yè)務(wù)或者管理流量的識(shí)別與分類，并

不直接用于報(bào)文的同意或者阻斷動(dòng)作。在配置防火墻各軟件模塊功能參數(shù)時(shí)，常常需要使用

ACL,如今應(yīng)注意配置ACL規(guī)則時(shí)僅需匹配需要識(shí)別的具體流量即可，無須在所有規(guī)則最

后配置一條Denyany,這樣能夠在很大程度上減少防火墻的無謂性能消耗。

參考配置思路：

比如，在配置NAT轉(zhuǎn)換策略時(shí)，需要通過ACL限制僅同意內(nèi)網(wǎng)/16網(wǎng)段的用戶

做出方向源地址轉(zhuǎn)換，引用至NAT命令，如下列所示ACL300I是正確的配置方式，而ACL

3002是錯(cuò)誤的配置方式。

#

aclnumber3001〃正確的ACL配置方式示洌

rule10permitipsource55

#

aclnumber3002〃錯(cuò)誤的ACL配置方式示例

rule10permitipsource55

rule20denyip〃該條規(guī)則將引起不必要的性能消耗

#

FW?5、（必選）防火墻使用獨(dú)立物理端口做雙機(jī)熱備口

應(yīng)用說明：

ComwareV5平臺(tái)防火墻支持雙機(jī)熱備功能，為提高HA連接的可靠性，兩臺(tái)防火墻應(yīng)

使用獨(dú)立物理端口直接互連形成雙機(jī)熱備，該端口不再承載普通業(yè)務(wù)流量。若兩臺(tái)防火墻熱

備口無法直接互聯(lián)，務(wù)必經(jīng)交換機(jī)橋接，則務(wù)必為HA連接單獨(dú)規(guī)劃部署一個(gè)二層鏈路或者

VLAN,避免其他無關(guān)報(bào)文對(duì)防火墻雙機(jī)熱備口造成的沖擊。目前產(chǎn)品實(shí)現(xiàn)最多能夠支持兩

條物理鏈路實(shí)現(xiàn)HA互聯(lián)。

參考配置思路：

盒式防火墻設(shè)備建議選擇第一個(gè)固定物理端口做HA口，為提高HA性能及穩(wěn)固性可選

擇前兩個(gè)固定物理端口做HA口。

插卡式防火墻設(shè)備可任選一個(gè)前而板物理端口做HA口，為提高HA性能及穩(wěn)固性可任

選兩個(gè)前面板物理端口做HA口。

FW?6、（必選）配置NTP保持防火墻時(shí)鐘正確同步

應(yīng)用說明：

NTP（NetworkTimeProtocol,網(wǎng)絡(luò)時(shí)間協(xié)議）是一種時(shí)間同步協(xié)議，用來在分布式時(shí)

間服務(wù)器與客戶端之間進(jìn)行時(shí)間同步。啟用NTP的目的是對(duì)網(wǎng)絡(luò)內(nèi)所有具有的時(shí)候鐘的設(shè)

備進(jìn)行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持-?致，從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的

多種應(yīng)用。假如防火墻系統(tǒng)時(shí)間不正確，將導(dǎo)致其產(chǎn)生的系統(tǒng)日志、操作日志、安全事件U

志等失去時(shí)效性，給日常保護(hù)與故障定位帶來諸多不便。

參考配置思路：

啟用防火墻NTP功能，同步正確的當(dāng)前系統(tǒng)時(shí)間。關(guān)于防火墻插卡需注意在啟用NTP

后禁用ACSEI客戶端功能，避免出現(xiàn)時(shí)鐘同步?jīng)_突。

#

ntp-serviceunicast-server

#

FW?7、（必選）使用二進(jìn)制格式輸出Userlog日志

應(yīng)用說明：

ComwareV5平臺(tái)防火墻支持Userlog日志輸出功能。設(shè)備根據(jù)業(yè)務(wù)報(bào)文的5元組（源

IP地址、目的IP地址、源端口、目的端口、協(xié)議號(hào)）對(duì)網(wǎng)絡(luò)流量遂行分類統(tǒng)計(jì)，并生成Userlog

日志。Userlog日志會(huì)記錄報(bào)文的5元組、發(fā)送接收的流量大小等信息。網(wǎng)絡(luò)管理員利用這

些信息能夠?qū)崟r(shí)跟蹤、記錄用戶訪問網(wǎng)絡(luò)的情況，增強(qiáng)網(wǎng)絡(luò)的安全性與可審計(jì)性。

防火墻Userlog日志支持下列兩種輸出方式，在實(shí)際部署時(shí)務(wù)必使用第2種方式:

1、以系統(tǒng)信息格式輸出至信息中心，再由信息中心決定日志的最終輸出方向。

2、以二進(jìn)制格式封裝成UDP報(bào)文直接輸出至指定的Userlog日志主機(jī)。

參考配置思路:

在防火墻Web配置頁而中，配置Userlog日志輸出參數(shù)時(shí)，不勾選“日志輸出到信息中

心”。具體配置界而示比如下:

Usenog日志

版本O1.0您3.0

日志發(fā)送時(shí)間@UTCO本地時(shí)訶

報(bào)文源I巡址|io。。」

日志主機(jī)配置

日志主機(jī)1

@IPv4OlPv6

I%址110.002|VP喉例色

端口號(hào)|30017-|（o-65535）

日志主機(jī)2

@IPv4OlPv6

I%址|:VP喉例色

端口號(hào)II（0-65535）

口日聲輸出到信息中心（啟用此功能時(shí)，Userlog日志將不會(huì)發(fā)送到指定的Userlog日志主機(jī)￡]

咫＜*）為必狽嗔與【貝一

確定|取消

在''日志管理”一“會(huì)活日志”一“全局設(shè)置”中，注意僅開啟“發(fā)送會(huì)話刪除日志”。

全局設(shè)置

□時(shí)間因值：分8（10-120,必須為1C的倍數(shù)）

口流量閾值：紙文數(shù)閾值：兆包（1-1000）

宇節(jié)數(shù)閾值：兆字節(jié)（1-1000）

□發(fā)送金話創(chuàng)建日志一

回發(fā)送會(huì)話刪除日志]

|確定

FW?8、（必選）SSLVPN使用IP接入方式配置資源

應(yīng)用說明:

ComwareV5平臺(tái)防火墻部分型號(hào)設(shè)備支持SSLVPN功能,可實(shí)現(xiàn)遠(yuǎn)程用戶安全接入訪

間內(nèi)網(wǎng)資源。受SSLVPN實(shí)現(xiàn)原理限制，在實(shí)現(xiàn)部署時(shí)應(yīng)盡量避免使用Web方式、TCP

方式配置內(nèi)網(wǎng)資源，盡量使用IP方式配置，以實(shí)現(xiàn)更好的業(yè)務(wù)兼容性及穩(wěn)固性。

參考配置思路：

配置SSLVPN時(shí)，推薦使用IP方式進(jìn)行內(nèi)網(wǎng)資源配置。

FW?9、（必選）DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化

應(yīng)用說明:

ComwareV5平臺(tái)防火墻支持根據(jù)包含DNS協(xié)議在內(nèi)的應(yīng)用層協(xié)議進(jìn)行會(huì)話檢測(cè)與管

理功能。為提高防火墻處理效率，避免DNS業(yè)務(wù)流有關(guān)會(huì)話表項(xiàng)在防火墻內(nèi)存中駐留過長

時(shí)間。建議當(dāng)啟用ALGDNS功能時(shí)，設(shè)置較短的DNS協(xié)議應(yīng)用層老化時(shí)間。

參考配置思路；

出廠默認(rèn)配置未啟用ALGDNS功能，若根據(jù)客戶業(yè)務(wù)需要啟用后，應(yīng)注意配置DNS

協(xié)議應(yīng)用層老化時(shí)間為5秒。防火墻Web頁面具體配置示比如下圖所示：

應(yīng)用層協(xié)議老化時(shí)間

DN嶺話的老化a寸可：5*510000W，琰省值=60)

FTP會(huì)話的老化時(shí)間：36001*（5-100000H）,磷省值=3600）

MSN會(huì)活的老化時(shí)間：|3600510000第，琰省值=3600）

QQ會(huì)話的老化時(shí)間：[60*610000%，玦省值=60)

SIP會(huì)話的老化時(shí)間：300*(5-10000(^,琰省值=300)

星號(hào)（,）為必須填寫項(xiàng)

確定

FW-10.（必選）防火墻不啟用QoS功能

應(yīng)用說明：

防火墻支持部分ComwareV5平臺(tái)QoS功能，如QoSCAR限速。但啟用防火墻QoS

功能會(huì)對(duì)其轉(zhuǎn)發(fā)性能造成非常大的影響，因此當(dāng)防火墻轉(zhuǎn)發(fā)業(yè)務(wù)流量較大時(shí)不要配置啟用任

何QoS策略。

參考配置思路：

不在防火墻上配置QoS策略。

FW-1K（必選）防火墻地址對(duì)象范圍地址配置優(yōu)化

應(yīng)用說明：

ComwareV5防火墻支持通過在域間策略中引用資源對(duì)象來簡化配置工作，當(dāng)管理員在

進(jìn)行地址對(duì)象的配置時(shí)，可通過主機(jī)地址、范圍地址、子網(wǎng)地址三種方式進(jìn)行配置。當(dāng)需要

對(duì)較大范圍的地址進(jìn)行匹配時(shí)，建議盡量使用子網(wǎng)地址方式，否則會(huì)對(duì)設(shè)備性能產(chǎn)生較大影

響。

參考配置思路：

防火墻上進(jìn)行大量地址的對(duì)象資源配置時(shí)，盡量使用子網(wǎng)地址方式進(jìn)行配置。下圖所示

為反例，萬不可效仿：

***&中導(dǎo)入行出

FW-12.（必選）部分型號(hào)防火墻業(yè)務(wù)端口選擇建議

應(yīng)用說明：

部分ComwareV5平臺(tái)防火地受硬件設(shè)計(jì)原因所限，其GigabitEthemetO/4、

GigabitEthernetO/5端口轉(zhuǎn)發(fā)性能較低，在設(shè)備部署實(shí)施過程中應(yīng)避免將其應(yīng)用為業(yè)務(wù)端口或

者雙機(jī)熱備口，建議可用作設(shè)備帶外管理端口并劃分至系統(tǒng)管理區(qū)域。

適用本優(yōu)化建議的產(chǎn)品型號(hào)具體包含：

SecPath系列FW：F1000S-ELF1000C-SLF100A-SLFIOOM-SkF100E-G.F100A-G.

F100M-G

SecPalh系列UTM：U200-A.U200-M、U200-CA

參考配置思路：

不在上述型號(hào)FW或者UTM設(shè)備上將GigabitEthernetO/4.GigabitEthernetO/5配置為業(yè)

務(wù)端口或者雙機(jī)熱備口，可將其用于帶外網(wǎng)管口并劃分至Management區(qū)域。

FW?13、（必選）禁用會(huì)話加速功能

應(yīng)用說明：

會(huì)話加速功能能夠在特定應(yīng)用場(chǎng)景下提升防火墻設(shè)備的每秒新建連接性能。需要注意的

是，假如會(huì)話發(fā)起方報(bào)文的出接口與響應(yīng)方報(bào)文的入接口不一致，同時(shí)兩個(gè)接口上的業(yè)務(wù)配

置也不相同，則不能實(shí)現(xiàn)會(huì)話加速。該功能能夠在特殊應(yīng)用場(chǎng)景中提高設(shè)備轉(zhuǎn)發(fā)性能，但由

于其應(yīng)用場(chǎng)景畢竟有限，因此通常情況下應(yīng)該保持默認(rèn)配置，叩關(guān)閉此功能。

參考配置思路：

“會(huì)話加速”功能的配置界面在Web管理頁中的“防火墻”一“會(huì)話管理”一“高級(jí)

設(shè)置”一“會(huì)話加速”，去掉“啟用會(huì)話加速”復(fù)選框的勾并單擊“確定”按鈕即可關(guān)閉本

功能。

會(huì)話加速

□啟用會(huì)話加速

確定

FW?14、（必選）禁用ACL加速功能

應(yīng)用說明：

ComwareV5平臺(tái)防火墻部分型號(hào)產(chǎn)品支持ACL加速特性,通過啟用該特性,可使軟

件在對(duì)單個(gè)ACL中存在大量規(guī)則時(shí)的查找匹配速度更快。但另一方面，當(dāng)啟用某條ACL

的加速特性后，不同意再對(duì)該ACL進(jìn)行任何修改，否則會(huì)造成加速失效，規(guī)則查找匹配將

出現(xiàn)混亂。為避免FI常保護(hù)過程中因操作失誤，導(dǎo)致管理員在啟用ACL加速的狀態(tài)下修改

規(guī)則導(dǎo)致配置失效，在實(shí)際生產(chǎn)環(huán)境中建議禁用ACL加速功能。

參考配置思路：

在防火墻Web配置頁而中，禁用ACL加速功能。停止加速后，正確的狀態(tài)如下圖所示：

ACL加速狀態(tài)圖標(biāo)描一：?已加速C未加速恢效

邁阿匡制列表IDv查詢|高級(jí)查詢

□訪問控制列表ID理規(guī)則數(shù)里匹顰順序描述ACL加速管理操作

□3001高級(jí)1用戶酉1置諫?a

□3002高如2用戶酉2署

新建刪除選中刪除全部

FW?15、（必選）禁用域間策略加速功能

應(yīng)用說明：

ComwareV5平臺(tái)防火墻部分型號(hào)產(chǎn)品支持域間策略加速特性，通過啟用該特性，可使

軟件在進(jìn)行域間策略查找匹配時(shí)速度更快。但另一方面，某兩個(gè)安全區(qū)域之間啟用域間策略

加速特性后，不同意再對(duì)該域間的任何策略進(jìn)行修改，否則會(huì)造成加速失效，策略查找匹配

將出現(xiàn)混亂。為避免日常保護(hù)過程中因操作失誤，導(dǎo)致管理員在啟用域間策略加速的狀態(tài)下

修改規(guī)則導(dǎo)致配置失效，在實(shí)際生產(chǎn)環(huán)境中建議禁用域間策略加速功能。

參考配置思路：

在防火墻Wuh配置頁面中，禁用域間策略加速功能，停止加速后，正確的狀態(tài)如下圖

所示：

ACL加速狀態(tài)圖標(biāo)磁：?已加速G未加速帙效

源域目的域規(guī)則數(shù)里ACL加速管理

UntrustTrust1Oho.

DMZUntrust1

UntrustDMZ1—

FW-16.（必選）禁止通過ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問

操縱

應(yīng)用說明:

為提高防火地在網(wǎng)運(yùn)行健壯性，管理員應(yīng)嚴(yán)格限制能夠遠(yuǎn)程訪問設(shè)備的源主機(jī)IP地址。

在配置此類策略時(shí)，注意不要通過軟件ACL方式做簡單限制。比如，下列兩種通過配置方

式都是不推薦的。

1、在user-interface卜,配置ACL,對(duì)SSH做訪問操縱。

user-interfacevly04

acl2001inbound

參考配置思路：

在防火墻上配置限制能夠遠(yuǎn)程訪問本設(shè)備的主機(jī)源IP地址，應(yīng)通過配置防火墻域間策

略實(shí)現(xiàn)。

FW-17>（必選）禁止使用弱口令

應(yīng)用說明；

防火墻遠(yuǎn)程管理有關(guān)SNMP、SSH/Tclcnt.等功能，通常通過用戶名密碼對(duì)管理員或者

管理服務(wù)器進(jìn)行認(rèn)證與鑒權(quán)。在實(shí)際部署過程中，不得因貪圖一時(shí)方便而使用弱口令，給系

統(tǒng)安全留下的患。

參考配置思路：

設(shè)備開局部署階段及時(shí)做好密碼管理工作，避免使用弱口令，推薦啟用password-control

有關(guān)功能。

FW-18.（必選）禁止使用動(dòng)態(tài)鏈路聚合模式

應(yīng)用說明：

ComwareV5平臺(tái)防火墻支持二三層鏈路聚合功能，受性能因素影響，在實(shí)際開局部署

過程中，應(yīng)使用靜態(tài)鏈路聚合模式進(jìn)行配置。

參考配置思路：

設(shè)備開局部署階段需要啟用鏈路聚合功能時(shí)，使用靜態(tài)鏈路聚合模式。

FW?19、（必選）IPSecVPN模板策略配置優(yōu)化

應(yīng)用說明：

ComwareV5平臺(tái)防火墻支持“中心一一分支"型IPSecVPN,為簡化中心側(cè)設(shè)備配置，

能夠使用模板方式進(jìn)行策略配置。管理員在進(jìn)行模板策略配置時(shí)，須特別注意不要配置成如

下形式，即每個(gè)分支節(jié)點(diǎn)對(duì)應(yīng)一個(gè)不一致的模板。由于最終的IPSec策略中引用了多個(gè)模板，

會(huì)導(dǎo)致軟件匹配杳找時(shí)效率大大降低。

錯(cuò)誤的配置方式：

ipsecpolicy-templatetemp_l1

ipsecpolicy-templatetemp_21

ipsecpolicy-templatetcmp_31

ipsecpolicytest1isakmptemplatetemp_l

ipsecpolicytest2isakmptemplatetemp_2

ipsecpolicytest3isakmptemplatetemp_3

參考配置思路：

正確的配置方式為：若各分支行點(diǎn)IKE協(xié)商參數(shù)相同，貝J推薦使用單個(gè)策略模板進(jìn)行

匹配：若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)不一致，則應(yīng)當(dāng)利用策略模板中的序列號(hào)參數(shù)創(chuàng)建多個(gè)

不一致協(xié)商參數(shù)的策略組合，而整體上仍然保持只有一個(gè)策略模板，這樣便能夠極大地優(yōu)化

軟件處理效率及速度。

正確的配置方式；

ipsecpolicy-templatetempI

ipsecpolicy-templatetemp2

ipsecpolicy-templatetemp3

ipsecpolicytest1isakmptemplatetemp

FW?20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù)

應(yīng)用說明：

防火墻各三層業(yè)務(wù)口默認(rèn)狀態(tài)下TCPMSS參數(shù)值為1460字節(jié)，加上TCP包頭及IP包

頭長度后正好為以太網(wǎng)最大負(fù)載長度1500字節(jié)，當(dāng)報(bào)文從普通以太網(wǎng)端口發(fā)出時(shí)無需進(jìn)行

IP分片操作。但在諸如L2TPVPN、GREVPN、IPSecVPN等防火墻常見應(yīng)用場(chǎng)景中，由于

防火墻在進(jìn)行業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)前需額外封裝包頭，導(dǎo)致報(bào)文最終長度會(huì)超過接口MTU,引起

IP分片操作，大大降低流量處理效率。因此，在防火墻開局部署階段應(yīng)該注意根據(jù)實(shí)際鏈

路及配置情況，靈活調(diào)整TCPMSS參數(shù)值，避免防火墻轉(zhuǎn)發(fā)報(bào)文過程中執(zhí)行IP分片操作。

參考配置思路：

在配置VT端口或者Tunnel端口后，需在端口上根據(jù)物理接口MTU計(jì)算并修改合理的

TCPMSS參數(shù)，通常修改為1400字節(jié)。命令行配置示比如下：

#

interfaceVirtual-Template1

tcpmss1400

#

interfaceTunnel1

tcpmss1400

tunnel-protocolipsecipv4

#

在配置IKE/IPSecVPN策略時(shí)，應(yīng)根據(jù)業(yè)務(wù)流量走向規(guī)劃，在業(yè)務(wù)流量對(duì)應(yīng)防火墻的入

出業(yè)務(wù)接口修改TCPMSS參數(shù)，保證經(jīng)IPSec封裝后的報(bào)文長度不可能引起防火墻執(zhí)行IP

分片操作，通常修改為1350字節(jié)。

FW?21、（可選）利用域間策略對(duì)防火墻實(shí)施路由環(huán)路

保護(hù)

應(yīng)用說明：

能夠利用域間策略來將防火墻接收到的三層環(huán)路報(bào)文丟棄處理，比如存在路由環(huán)路的接

I」已添加至Trust區(qū)域，則能哆配置從Trust到Trust的域間策略，動(dòng)作配置為Deny,從而

將防火墻從Trust接收但仍將轉(zhuǎn)發(fā)至Trust區(qū)域的報(bào)文直接丟棄。注意實(shí)施該配置方法的前

提.即配置防火墻安全區(qū)域時(shí)，提早按業(yè)務(wù)及組網(wǎng)需求規(guī)劃好各個(gè)安全區(qū)域，不能簡單地將

全部接口加入同?個(gè)安全區(qū)域中。若同?區(qū)域已包含多個(gè)接口，且各接口之間確有業(yè)務(wù)互訪

需求時(shí)，能夠先配置相應(yīng)的同意策略，再配置防環(huán)路策略：或者者重新將各個(gè)接口劃分至不

一致的安全區(qū)域中，再配置防環(huán)路策略。

參考配置思路：

綜合以上原則，假設(shè)Trust區(qū)域僅包含一個(gè)物理端口，無內(nèi)部無訪需求，為實(shí)現(xiàn)防止內(nèi)

網(wǎng)口三層環(huán)路報(bào)文沖擊防火墻，在Web管理界面中防環(huán)路策略配置如下圖所示：

'一直基於宣

taJl1g

絲目的域OfPJfiW目的啾酬時(shí)間股過感玲作幅追腳。悌觸H用做日志犍部眈地址目的JMC蝴n作

m0專卜

□TrustTrust0an、,addressan」addressamsergDeny

FW-22.（可選）虛擬分片重組功能配置優(yōu)化

應(yīng)用說明：

為了避免每個(gè)根務(wù)模塊（如：IPSec、NAT與防火墻）單獨(dú)處理后片先到（報(bào)文分片后）

而導(dǎo)致復(fù)雜度過高，設(shè)備需要將收到的IP報(bào)文執(zhí)行虛擬分片重組功能，以實(shí)現(xiàn)對(duì)IP分片報(bào)

文的檢驗(yàn)、排序與緩存，保證其它后續(xù)業(yè)務(wù)模塊處理的都是順序正確的IP分片報(bào)文。另外，

IP虛擬分片重組功能還能夠?qū)Ψ制暨M(jìn)行檢測(cè)，假如檢測(cè)到分片攻擊行為，設(shè)備能夠丟

棄收到的特殊分片報(bào)文，提高設(shè)備的安全性與性能。

參考配置思路：

當(dāng)防火墻出現(xiàn)IP大包不通或者丟包現(xiàn)象時(shí)，能夠在虛擬分片重組功能配置頁面，將''分

片隊(duì)列數(shù)”與“分片報(bào)文數(shù)”調(diào)整至最大值，老化時(shí)間保持默人值即可。

FW-23、（可選）會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化

應(yīng)用說明：

防火墻會(huì)話管理要緊基于傳輸層協(xié)議對(duì)報(bào)文進(jìn)行檢測(cè)。事實(shí)上質(zhì)是通過檢測(cè)傳輸層協(xié)議

信息（即通用TCP協(xié)議與UDP協(xié)議）來對(duì)連接的狀態(tài)進(jìn)行跟蹤，并對(duì)所有連接的狀態(tài)信息

進(jìn)行統(tǒng)一保護(hù)與管理。

參考配置思路：

設(shè)備默認(rèn)會(huì)話超時(shí)時(shí)間較長，在大并發(fā)的環(huán)境下，能夠適當(dāng)調(diào)整會(huì)話表項(xiàng)老化時(shí)間，以

減小防火墻并發(fā)會(huì)話數(shù)，通常建議將TCPSYN/TCPEST/UDPOPEN會(huì)話超時(shí)時(shí)間改為缺省

值的一半。注意切勿將會(huì)話表項(xiàng)老化時(shí)間配置得過長或者過短。

下圖為Web配置界而舉例:

會(huì)話層協(xié)議老化時(shí)間

TCP協(xié)議

［（5-100000^,缺省值=30）

「SYN_SENT和SYN_RC就融喇耳：15

FIN_WAITb除老化時(shí)間：30*（5-100000^,缺省值=30）

[ESTABLISHED狀態(tài)老仙寸間：

18001（5-100000^,缺省值=3600）

UDPffr議

「PEW犬態(tài)老化時(shí)間：J（5-100000^,缺省值=30）

READYU態(tài)老化時(shí)間：60*（5-100000^,缺省值=60）

ICMPffr議

OPENU態(tài)老化時(shí)間：60*（5-100000^,缺省值=60）

CLOSED狀態(tài)老化時(shí)間：30*（5-100000^,缺省值=30〉

超時(shí)加速隊(duì)列

題寸加f隊(duì)列機(jī)時(shí)間：10*（5-100000^,缺省值=10）

RAWIP協(xié)議

OPEW態(tài)老化時(shí)間：1800*（5-100000^.缺省值=30）

READYU態(tài)老化時(shí)間：1800*（5-100000^,缺省值=60）

FW-24.（可選）報(bào)文特殊檢測(cè)功能配置優(yōu)化

應(yīng)用說明：

單包攻擊（亦稱之畸形報(bào)文檢測(cè)）是指攻擊者通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文，

如分片重疊的IP報(bào)文、TCP標(biāo)志位非法的報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IP報(bào)文時(shí)出錯(cuò)、

崩潰,給目標(biāo)系統(tǒng)帶來缺失，或者者通過發(fā)送大量無用報(bào)文占用網(wǎng)絡(luò)帶寬等行為來造成攻擊。

防火墻報(bào)文特殊檢測(cè)功能支持對(duì)部分單包攻擊進(jìn)行檢測(cè)與防御。

參考配置思路：

目前防火墻支持下列基于特征識(shí)別的防攻擊，能夠在所有安全區(qū)域開啟攻擊防范，但建

議不啟用“ICMP不可達(dá)報(bào)文攻擊檢測(cè)”，否則會(huì)引起大量的主機(jī)操作系統(tǒng)正常發(fā)送的ICMP

協(xié)議報(bào)文被阻斷。另外，在需要通過防火墻執(zhí)行Traccrt操作時(shí)，不啟用“Traccri報(bào)文攻擊

檢測(cè)”。

F5000A5_l[Root]

世曾聯(lián)

凱貴向?qū)?/p>

田設(shè)爸管理安全區(qū)域：Trust▼?

7奧謂管理

口網(wǎng)絡(luò)管理[7發(fā)現(xiàn)攻擊丟也

.用戶管理V母力Fragg俯攻擊檢刎

通防火墻[Z國加an順擊檢刑

向攻擊防近也或WinNuke攻擊檢則

里名單±自動(dòng)TCPFla致?lián)魴z別

年加CM際可達(dá)儂攻擊槍攻1

位及里異常檢刑:陰在加CM唯定向根支攻擊槍測(cè)

-URPF檢宣K等力Tracertf雙攻擊檢測(cè)

<3TCPProxy也豉力Smu破擊檢測(cè)

一入侵檢系順計(jì)￡等力帶通路由選項(xiàng)?丹R文攻擊蛤則

◎應(yīng)用控制叵自動(dòng)帶路由記錄選項(xiàng)出書艮文攻擊檢測(cè)

FVPN叵等力超大ICMP報(bào)文攻擊檢測(cè)⑥大報(bào)文長度：4000（28-65534）字節(jié)

Ti高可靠性

諭定

國日志管理

FW-25.（可選）流量特殊檢測(cè)功能配置優(yōu)化

應(yīng)用說明：

防火墻流量特殊檢測(cè)功能，即泛洪攻擊檢測(cè)功能要緊用于保護(hù)服務(wù)器。防火墻通過監(jiān)測(cè)

客戶端向服務(wù)器發(fā)起連接請(qǐng)求的速率來檢測(cè)各類泛洪攻擊，通常應(yīng)用在設(shè)備連接內(nèi)部網(wǎng)絡(luò)的

安全域上，且僅對(duì)應(yīng)用了攻擊檢測(cè)策略的安全域的出方向報(bào)文有效。配置了泛洪攻擊檢測(cè)后,

設(shè)備將處于攻擊檢測(cè)狀態(tài)，當(dāng)它監(jiān)測(cè)到向某臺(tái)服務(wù)器IP地址發(fā)送報(bào)文的速率持續(xù)達(dá)到或者

超過推斷閾值時(shí)，即認(rèn)為該服務(wù)器受到了攻擊并轉(zhuǎn)入攻擊防范狀態(tài)，防火墻能夠視具體配置

情況啟動(dòng)相應(yīng)的防范措施（輸出告警日志、或者將后續(xù)新建連接的報(bào)文進(jìn)行丟棄處理）。此

后，當(dāng)設(shè)備檢測(cè)到向該服務(wù)器發(fā)送報(bào)文的速率低于恢復(fù)閾值時(shí)，即認(rèn)為攻擊行為已停止，防

火墻將由攻擊防范狀態(tài)恢復(fù)為攻擊檢測(cè)狀態(tài)，并停止執(zhí)行防范措施。

參考配置思路：

假如需要在防火墻上開啟本功能，務(wù)必首先熟悉客戶當(dāng)前的業(yè)務(wù)情況，特別是每秒新建

連接數(shù)、最大并發(fā)連接數(shù)等關(guān)鍵參數(shù)，否則無法合理配置檢測(cè)閾值及恢復(fù)閾值。目前支持的

攻擊檢測(cè)類型要緊有SYNFlood、UDPflood、ICMPflood等。由于實(shí)現(xiàn)機(jī)制原因，如北必

要不建議在日常運(yùn)維過程中開啟UDPflood與ICMPflood檢測(cè)。

1、配置SYNFlood檢測(cè)，安全區(qū)域?yàn)樾璞Ｗo(hù)主機(jī)所在的區(qū)域。

&F5000A5.1[Root]?全區(qū)域：Frust3

'設(shè)黃妣

攻擊防礴器|

一a設(shè)著管曖二向TCPPr最逢如跑護(hù)1時(shí)5址]

發(fā)弱攻據(jù)算報(bào)文

'口資源管理

L曬」

1網(wǎng)絡(luò)管理

*□用戶管理

‘心防火墻

一?攻擊防35

1%址觸發(fā)聞值（報(bào)文效及）

熊的

[1921680101000750

一報(bào)文燈第1瀏

?光堡異常怯測(cè)

針建

卜1cMpFlood

-UDPFlood

DN^too^

?

SfiiKSI'J

?掃揖攻擊

一URPF檢置

??TCPProxy

入侵抬9長々H

2、TCP代理功能需要在攻擊來源區(qū)域上啟用，共分“單向”、“雙向”兩種模式，建議

啟用“單向”模式，下圖所示為“雙向”模式。

3、支持手工將被保護(hù)主機(jī)地址添加至TCP代理表中。

.RUTHS'.Al?.附

~1匚...豈■懵文。1?作

和？丸8，03trtc1

WBH全麗htOIQ

3Md

?tt■訪n

**6?

■膠方重忸，

?tlHiruw

-WOR?d

UOPFkMd

Dtttftood

*SYNFM

(m，j

一麗re

,UW?FteI

?TOPfOxy

“，—ariOCS

SVBflWB

4、假如需保護(hù)主機(jī)的IP地址不明確，但能夠確定其安全區(qū)域，則能夠基于該安全區(qū)域

配置攻擊檢測(cè)防范策略。

?多森?9

□RU?&

?。網(wǎng)

&廂9

?加3折W

卜皿SEO.

rHQ.5.

l-IOOFbod

CISFtoP

4>inr;r.

■曲卜歸亶

??TB所a”

卜TCPPronttfi

FW?26、（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)中避免業(yè)務(wù)流

量非對(duì)稱路徑轉(zhuǎn)發(fā)

應(yīng)用說明：

ComwareV5平臺(tái)防火墻支持雙機(jī)熱備會(huì)話同步功能，成功使能了雙機(jī)熱備的兩臺(tái)防火

墻能夠?qū)崿F(xiàn)普通會(huì)話、子會(huì)話、關(guān)聯(lián)表、NAT、AL