H3C防火墙(V5)配置规范

H3C防火墙(V5)配置规范ISSUE1.0日期：2012年8月杭州华三通信技术有限公司版权所有，未经授权不得使用与传播作者：潘猛目录常见功能配置规范常见组网防火墙问题排查手段表项生成关联表对于防火墙来说，一次FTP业务有两条会话，数据连接没有可以匹配的策略，是否会被丢弃？从设备性能和稳定性的角度出发，我们只开启必须的ALG,那么到底需要开启哪些ALG？DNS关闭要实现相关需求可打开，一般不使用FTP打开GTP关闭有些特殊局点需要开启H.323关闭使用H.323协议的应用需要开启，一般不使用ILS关闭MSN关闭NBT关闭PPTP关闭有PPTP业务从防火墙透传,需要开启，一般不使用QQ关闭RTSP打开运营商相关应用较多，建议开启SCCP关闭SIP关闭SQLNET关闭ALG功能只适用老版本oracle，一般不使用TFTP关闭(s):1CurrentTCPsession(s):1Half-Open:0Half-Close:0CurrentUDPsession(s):0CurrentICMPsession(s):0CurrentRAWIPsession(s):0Currentrelationtable(s):0Sessionestablishmentrate:0/sTCPSessionestablishmentrate:0/sUDPSessionestablishmentrate:0/sICMPSessionestablishmentrate:0/sRAWIPSessionestablishmentrate:0/sReceivedTCP:7833packet(s)1335102byte(s)ReceivedUDP:8641packet(s)830258byte(s)ReceivedICMP:0packet(s)0byte(s)ReceivedRAWIP:0packet(s)0byte(s)DroppedTCP:3packet(s)744byte(s)DroppedUDP:0packet(s)0byte(s)DroppedICMP:0packet(s)0byte(s)DroppedRAWIP:0packet(s)0byte(s)F5000displaysessionrelation-table判断是否有匹配到ALG的流量开启ALG的命令：[F1000E]ALGH323ALG使用自定义端口:[F1000E]port-mappingh323port11111NQA基本只使用ICMP，其他方式需要目标机支持，即目标机为H3C支持NQA的设备,另外配置ICMPNQA不需要开启NQAAGENT.中间有2层设备或者3层设备插卡设备配置#配置探测组adminopernqaentryadminoper#类型为ICMP-Echo，即ping操作typeicmp-echo#ping的目的地址1.2.0.2destinationip1.2.0.2#建议频率为3000毫秒，即3秒frequency3000#配置反应组1，如果连续测试3次失败则触发相关动作reaction1checked-elementprobe-failthreshold-typeconsecutive3action-typetrigger-only#如果需要探测的对端为直连设备，需要配置bypass路由，防止路由失效后，通过其他路由导致NQA探测成功，造成震荡route-optionbypass-route#如果需要探测的地址为VPN内的地址，则需要配置vpn-instancevpn-instanceuntrust#nqa调度配置，即从配置开始起一直进行调度测试nqascheduleadminoperstart-timenowlifetimeforever以下属于NQA关联配置#跟踪组1和adminoper的reaction1绑定track1nqaentryadminoperreaction1#将vrrp和跟踪组1绑定vrrpvrid1track1reduced30#将vrrp和跟踪组1绑定也可以将静态路由与跟踪组绑定*NQA基本只使用ICMP，其他方式需要目标机支持*手册里面的配置有一个一次发送10个报文的配置，实际使用时一般不配接入交换机内部交换机热备线防火墙在双机配置的情况下，NatOutbound后的地址池需要配置不同的level，防止在主备切换时发生会话冲突.[F5000A5_1]nataddress-group110.0.0.110.0.0.10level0[F5000A5_2]nataddress-group110.0.0.110.0.0.10level1当NATOutbound地址池或者是NATServer和NatStatic的Global地址与接口地址在同一网段时，需要在NAT命令后跟trackvrrp的配置，防止主机和备机出现地址冲突interfaceGigabitEthernet0/2portlink-moderoutenatoutboundstatictrackvrrp10natoutbound3001address-group1trackvrrp10natserverprotocoltcpglobal211.11.10.20接入交换机内部交换机热备线防火墙ARP请求业务数据ARP响应可能出现的数据流存在多个地址池时，按照ACL编号从大到小匹配，即查看配置看到的显示顺序.当配置NAT的接口在VPN实例中时，需要在多处配置VPN实例来实现NAT功能。NATOutbound：ACL中需要指定vpn-instanceaclnumber3001rule0permitipvpn-instancevpnsource1.1.1.10NATOutbound后需要跟指定的vpn-instancenatoutbound3001address-group1vpn-instancevpnNATServer：Global和Inside地址后都需要跟指定的vpn-instancenatserverprotocoltcpglobal211.10.11.10：需要在全局的natstatic命令Global和Inside地址后跟上指定的vpn-instancenatstatic192.168.0.100vpn-instancevpn211.10.11.100vpn-instancevpn原则上在网设备不允许开启TELNET和HTTP服务，安全性太低开启SSHsshserverenablelocal-usertestservice-typessh开启HTTPSiphttpsenable防火墙上由于需要开启https服务，所以内置了证书，即设备上存在公私钥对，所以不要按照手册上的SSH配置进行操作，那样会破坏证书常见故障：1、时间不对，尤其是插卡设备，由于插卡无时钟芯片，如果不配置时间同步，会造成设备时间恢复到2000年，而证书的有效期是2007年开始的，这样证书就会校验失败，造成https启动失败2、证书错误是发送会话日志（又称NAT日志）的一种的方法，设备还支持syslog发送的方式，由于syslog对设备CPU消耗较大，会造成设备不稳定，所以我们禁止使用syslog的方式发送会话日志；除了IMC和SecCenter，其他网管要接受Userlog，必须进行开发，Userlog的日志格式可以向二线咨询SecCenter看不到NAT日志的情况：1、时间配置有问题，目前版本支持两种方式发送，一种是以本地时钟发送（加上时区以后），一种是以格林威治时间发送（不加时区），在SecCenter侧，选择以本地时钟处理（在时间戳上加上时区信息），以格林威治时间处理（不加时区）2、设备上没有会话产生和老化会话超时会话超时时间可以适当的调整，一般可以调整到缺省值的1/2到1/3,对于TCPESTABLISHED状态，通常在一些书籍中会提到这个状态的超时时间为7200秒，但是在实际应用中，很少有TCP会话会持续那么长时间既没有数据也不关闭，所以适当的改小这个值对应用几乎无影响。分片是一种常见的穿越防火墙技术，H3C防火墙为了抵御这种攻击，必须开启虚拟分片重组。另外分片报文经过防火墙时，为了解决匹配会话的问题，也必须开启虚拟分片重组。但是虚拟分片重组的队列存在限制，容易造成PING大包无法通过防火墙。这种情况下：1、我们要纠正客户使用ping大包来评价网络状况的方法2、可以优化虚拟分片重组的配置类攻击处理UDP/ICMPFLOOD手段比较单一，采用丢包方式，会影响正常业务，阈值不好控制SYNFLOOD可以采用代理方式，代理在源域配置，防攻击都是在目的域配置通常flood攻击源地址为伪造源地址，可以通过域间策略进行过滤如果是正常会话较多（状态为established），则可以考虑使用连接数限制连接数限制网络中经常会出现部分主机中毒，产生大量会话的情况。比如内网的主机向外发起大量tcp连接，从策略上看属于正常连接，但是连接太多会造成防火墙压力巨大，设备运行不稳定，建议在会话数异常时，在防火墙上配置连接数限制，防止这种情况发生。对SNMP访问进行访问控制snmp-agentcommunityreadpublicacl2000//引用ACLsnmp-agentcommunitywriteprivateacl2000同时可以开启snmplogset来记录snmp的set操作；snmp-agentlogset-operation黑名单：多次登录失败加入黑名单；密码策略：密码要够复杂，周期性修改环路避免：使用静态路由时必须仔细检查，尤其是部署在网络出口做NAT时，可能出现环路防止伪造源地址：对于路由范围比较明确的组网，配置明确的域间策略，禁止使用any这种配置方式：获取设备系统名称sysName1.3.6.1.2.1.1.5获取设备启动时间sysUpTime1.3.6.1.2.1.1.3.0获取设备系统描述sysDescr1.3.6.1.2.1.1.1获取设备温度hh3cEntityExtTemperature1.3.6.1.4.1.25506.2.6.1.1.1.1.12.3获取单板内存总大小hh3cEntityExtMemSize1.3.6.1.4.1.25506.2.6.1.1.1.1.10.3获取