天融信防火墻維護(hù)指南講解

1、TOFSEC天融信防火墻維護(hù)指南一、綜述防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安 全保護(hù)，對(duì)于企業(yè)關(guān)鍵的實(shí)時(shí)業(yè)務(wù)系統(tǒng)，要求網(wǎng)絡(luò)能夠提供7*24小時(shí)的不間斷保護(hù)，保持防火墻系統(tǒng)可靠運(yùn)行及在故障情況下快速診斷恢復(fù)成為維護(hù)人員的工作重 點(diǎn)。天融信防火墻提供了豐富的冗余保護(hù)機(jī)制和故障診斷、排查方法，通過(guò)日常管理 維護(hù)可以使防火墻運(yùn)行在可靠狀態(tài)，在故障情況下通過(guò)有效故障排除路徑能夠在最 短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)運(yùn)行。本文對(duì)天融信防火墻日常維護(hù)進(jìn)行較系統(tǒng)的總結(jié)，為防火 墻維護(hù)人員提供設(shè)備運(yùn)維指導(dǎo)。二、天融信防火墻日常維護(hù)圍繞防火墻可靠運(yùn)行和出現(xiàn)故障時(shí)能夠快速恢復(fù)為目標(biāo)，天融信防火墻維護(hù)

2、主 要思路為：通過(guò)積極主動(dòng)的日常維護(hù)將故障隱患消除在萌芽狀態(tài)；故障發(fā)生時(shí)，使 用恰當(dāng)?shù)脑\斷機(jī)制和有效的故障排查方法及時(shí)恢復(fù)網(wǎng)絡(luò)運(yùn)行；故障處理后及時(shí)進(jìn)行 總結(jié)與改進(jìn)避免故障再次發(fā)生。常規(guī)維護(hù)：在防火墻的日常維護(hù)中，通過(guò)對(duì)防火墻進(jìn)行健康檢查，能夠?qū)崟r(shí)了解天融信防 火墻運(yùn)行狀況，檢測(cè)相關(guān)告警信息，提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患，以 確保設(shè)備始終處于正常工作狀態(tài)。1、日常維護(hù)過(guò)程中，需要重點(diǎn)檢查以下幾個(gè)關(guān)鍵信息：連接數(shù)：如當(dāng)前的連接數(shù)達(dá)到或接近系統(tǒng)最大值，將導(dǎo)致新會(huì)話(huà)不能及時(shí)建立 連接，此時(shí)已經(jīng)建立連接的通訊雖不會(huì)造成影響；但僅當(dāng)現(xiàn)有的連接拆除后，釋放 出來(lái)的資源才可供新建連接使用。維護(hù)建議：當(dāng)

3、當(dāng)前連接數(shù)正常使用至85%時(shí)，需要考慮設(shè)備容量限制并及時(shí)升級(jí)，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU:天融信防火墻是高性能的防火墻，正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在10%以下，如出現(xiàn)CPU利用率過(guò)高情況需給予足夠重視，應(yīng)檢查連接數(shù)使用情況 和各類(lèi)告警信息，并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU利用率過(guò)高往往與攻擊有關(guān)，可通過(guò)正確設(shè)置系統(tǒng)參數(shù)、攻擊防護(hù)的對(duì)應(yīng)選項(xiàng)進(jìn)行防范。內(nèi)存：天融信防火墻對(duì)內(nèi)存的使用把握得十分準(zhǔn)確，正常情況下，內(nèi)存的使用率應(yīng)基本保持穩(wěn)定，不會(huì)出現(xiàn)較大的浮動(dòng)。如果出現(xiàn)內(nèi)存使用率過(guò)高（90%時(shí)，可以查看連接數(shù)情況，或通過(guò)實(shí)時(shí)監(jiān)控功能檢查網(wǎng)絡(luò)中是否存在異常流量和攻擊

4、流 量。2、在業(yè)務(wù)使用高峰時(shí)段檢查防火墻關(guān)鍵資源（如： Cpu連接數(shù)、內(nèi)存和接口 流量）等使用情況，建立網(wǎng)絡(luò)中業(yè)務(wù)流量對(duì)設(shè)備資源使用的基準(zhǔn)指標(biāo)，為今后確認(rèn) 網(wǎng)絡(luò)是否處于正常運(yùn)行狀態(tài)提供參照依據(jù)。當(dāng)連接數(shù)數(shù)量超過(guò)平?；鶞?zhǔn)指標(biāo)20%時(shí)，需通過(guò)實(shí)時(shí)監(jiān)控檢查當(dāng)前網(wǎng)絡(luò)是否存在異常流量。當(dāng)Cpu占用超過(guò)平?；鶞?zhǔn)指標(biāo)20%時(shí)，需查看異常流量、定位異常主機(jī)、檢查策略是否優(yōu)化。3、防火墻健康檢查信息表:設(shè)備型號(hào)軟件版本序列號(hào)設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用工作模式透明/路由/混合檢查對(duì)象相關(guān)信息檢查結(jié)果備注連接數(shù)CPU內(nèi)存Interface路由表HA狀態(tài)LED指示燈設(shè)備運(yùn)行連接數(shù)參考基線(xiàn)Cpu內(nèi)存接口流量

5、業(yè)務(wù)類(lèi)型常規(guī)維護(hù)建議：1、配置管理IP地址，指定專(zhuān)用終端管理防火墻；2、更改默認(rèn)賬號(hào)和口令，不建議使用缺省的賬號(hào)、密碼管理防火墻；嚴(yán)格按照實(shí)際 使用需求開(kāi)放防火墻的相應(yīng)的管理權(quán)限，并且管理權(quán)限的開(kāi)放控制粒度越細(xì)越安全；設(shè)置兩級(jí)管理員賬號(hào)并定期變更口令；僅容許使用SSH和SSL方式登陸防火墻進(jìn)行管理維護(hù)。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類(lèi)型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類(lèi)型等），以便網(wǎng)絡(luò)異常時(shí)快速定位故障。4、 整理一份上下行交換機(jī)配置備份文檔（調(diào)整其中的端口地址和路由指向），提供 備用網(wǎng)絡(luò)連線(xiàn)。防止防火墻發(fā)生硬件故障時(shí)能夠快速

6、旁路防火墻，保證業(yè)務(wù)正常使用。5、在日常維護(hù)中建立防火墻資源使用參考基線(xiàn)，為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6重視并了解防火墻產(chǎn)生的每一個(gè)故障告警信息，在第一時(shí)間修復(fù)故障隱患。7、建立設(shè)備運(yùn)行檔案，為配置變更、事件處理提供完整的維護(hù)記錄，定期評(píng)估配 置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的問(wèn)題 和應(yīng)對(duì)措施，條件允許情況下，可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類(lèi)故障時(shí)的處理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線(xiàn)故障及交換機(jī)故障時(shí)的路徑保護(hù)切換。9、設(shè)備運(yùn)行檔案表設(shè)備型號(hào)軟件版本設(shè)備序列號(hào)設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用工作模式透明/路由/混合保修期限供應(yīng)商聯(lián)系方

7、式配置變更變更原因變更內(nèi)容結(jié)果負(fù)責(zé)人事件處理事件現(xiàn)象處理過(guò)程結(jié)果負(fù)責(zé)人應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位故障 是否與防火墻有關(guān)。如果故障與防火墻有關(guān)，可首先檢查防火墻的、地址轉(zhuǎn)換策 略、訪(fǎng)問(wèn)控制策略、路由等是否按照實(shí)際使用需求配置，檢驗(yàn)策略配置是否存在問(wèn) 題。一旦定位防火墻故障，可通過(guò)命令進(jìn)行雙機(jī)切換，單機(jī)環(huán)境下發(fā)生故障時(shí)利用 備份的交換機(jī)/路由器配置，快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1、檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài)，通過(guò)管理器登陸到防火墻 上，快速查看CPU內(nèi)存、連接數(shù)、In terface 以及相應(yīng)信息

8、，初步排除防火墻硬件 故障并判斷是否存在攻擊行為。2、跟蹤防火墻對(duì)數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無(wú)法正常訪(fǎng)問(wèn)，順序檢查接口狀態(tài)、路由和策略配置是否有誤，在確認(rèn)上述配置無(wú)誤后，通過(guò) tcpdump 命令檢查防火墻對(duì)特定網(wǎng)段數(shù)據(jù)報(bào)處理 情況。部分地址無(wú)法通過(guò)防火墻往往與策略配置有關(guān)。3、檢查是否存在攻擊流量通過(guò)實(shí)時(shí)監(jiān)控確認(rèn)是否有異常流量，同時(shí)在上行交換機(jī)中通過(guò)端口鏡像捕獲進(jìn)出 網(wǎng)絡(luò)的數(shù)據(jù)包，據(jù)此確認(rèn)異常流量和攻擊類(lèi)型，并在選項(xiàng)設(shè)置、入侵防護(hù)等項(xiàng)目中 啟用對(duì)應(yīng)防護(hù)措施來(lái)屏蔽攻擊流量。4、檢查HA工作狀態(tài)檢查HA工作狀態(tài)，進(jìn)一步確認(rèn)引起切換的原因，引起 HA切換原因通常為鏈路故 障，交換機(jī)端口故障，設(shè)

9、備斷電或重啟。設(shè)備運(yùn)行時(shí)務(wù)請(qǐng)不要斷開(kāi)HAU跳線(xiàn)纜。5、防火墻發(fā)生故障時(shí)處理方法如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無(wú)法使用 console 口 登陸防火墻，防火墻反復(fù)啟動(dòng)、無(wú)法建立 ARP表、接口狀態(tài)始終為Down無(wú)法進(jìn)行 配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通過(guò)調(diào)整上下行設(shè)備路由指向，快速將防火 墻旁路，同時(shí)聯(lián)系供應(yīng)商進(jìn)行故障診斷?？偨Y(jié)改進(jìn) 故障處理后的總結(jié)與改進(jìn)是進(jìn)一步鞏固網(wǎng)絡(luò)可靠性的必要環(huán)節(jié)，有效的總結(jié)能夠避 免很多網(wǎng)絡(luò)故障再次發(fā)生。1、在故障解決后，需要進(jìn)一步總結(jié)故障產(chǎn)生原因，并確認(rèn)該故障已經(jīng)得到修復(fù)，避 免故障重復(fù)發(fā)生。2、條件容許的情況下，構(gòu)建防火墻業(yè)務(wù)測(cè)試環(huán)境，對(duì)所

10、有需要調(diào)整的配置參數(shù)在上 線(xiàn)前進(jìn)行測(cè)試評(píng)估，避免因配置調(diào)整帶來(lái)新的故障隱患。3、分析網(wǎng)絡(luò)可能存在的薄弱環(huán)節(jié)和潛在隱患，通過(guò)技術(shù)論證和測(cè)試驗(yàn)證來(lái)修復(fù)隱 患。故障處理工具 天融信防火墻提供靈活多樣的維護(hù)方式，其中故障處理時(shí)最有用的兩個(gè)工具是 實(shí)時(shí)監(jiān)控功能和tcpdump,實(shí)時(shí)監(jiān)控功能用于實(shí)時(shí)查看網(wǎng)絡(luò)當(dāng)前的連接情況，可以快 速定位存在異常流量的 IP 主機(jī)或攻擊源主機(jī)， tcpdump 用于跟蹤防火墻對(duì)指定包的 處理。下面簡(jiǎn)要介紹一下兩個(gè)工具的使用方法。Tcpdump: 捕獲進(jìn)出防火墻的數(shù)據(jù)包1、僅在老4k系統(tǒng)和TOS中的.1平臺(tái)和.8平臺(tái)（獵豹）支持TCPDUM命令；2、老 4k 系統(tǒng)直接在串口登

11、陸界面下或 telnet 到防火墻界面下，即可使用 tcpdump 命令；TOS中的.1平臺(tái)和.8平臺(tái)在串口登陸或tel net登陸后，先敲system回 車(chē)，進(jìn)入系統(tǒng)目錄才可以使用 tcpdump 命令。3、Tcpdump語(yǔ)法中存在三種主要的關(guān)鍵字：第一種 是 關(guān)于 類(lèi)型的 關(guān)鍵 字， 主 要包 括 host ， net ， port ， 例如 host 210.27.48.2 ，指明 210.27.48.2 是一臺(tái)主機(jī)， net 202.0.0.0 指明 202.0.0.0 是 一個(gè)網(wǎng)絡(luò)地址， port 23 指明端口號(hào)是 23.如果沒(méi)有指定類(lèi)型，缺省的類(lèi)型是 host. 第二種 是確定

12、傳輸方向 的關(guān)鍵字，主要包括 src ， dst ， dst or src ， dst and src ，這些關(guān)鍵字指明了傳輸?shù)姆较?。舉例說(shuō)明， src 210.27.48.2 ，指明 ip 包中 源地址是 210.27.48.2 ， dst net 202.0.0.0 指明目的網(wǎng)絡(luò)地址是 202.0.0.0 . 如 果沒(méi)有指明方向關(guān)鍵字，則缺省是 src or dst 關(guān)鍵字。第三種是協(xié)議的關(guān)鍵字，主要包括 fddi ， ip， arp， rarp， tcp， udp 等類(lèi)型。 Fddi 指明是在 FDDI（分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò)）上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是ether 的別名， fddi

13、 和 ether 具有類(lèi)似的源地址和目的地址，所以可以將 fddi 協(xié) 議包當(dāng)作 ether 的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽(tīng)的包的協(xié) 議內(nèi)容。如果沒(méi)有指定任何協(xié)議，則 tcpdump 將會(huì)監(jiān)聽(tīng)所有協(xié)議的信息包。4、邏輯運(yùn)算除了這三種類(lèi)型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway， broadcast ，less ， greater ，還有三種邏輯運(yùn)算，取非運(yùn)算是 not !,與運(yùn)算是and , &;或運(yùn)算是or, | ;這些關(guān)鍵字可以組合起來(lái)構(gòu)成強(qiáng)大的組合條件來(lái)滿(mǎn)足人們的需要，下面舉幾個(gè)例子來(lái)說(shuō)明。5、使用例子：例1：在eth1 口抓包，只顯示地址為10.1.1.1

14、和icmp協(xié)議的報(bào)文。Tcpdump - i eth1 host 10.1.1.1 and icmp例 2 ：在所有的接口抓包，不顯示 4000 端口的管理報(bào)文，和 23 端口的 telnet 報(bào) 文。Tcpdump - i any not port 4000 and not port 23（在同時(shí)管理的時(shí)候很實(shí)用）例 3：在 eth1 口抓包，顯示地址為 211.1.1.1 或 10.1.1.1 的報(bào)文。Tcpdump - i ethl host 211.1.1.1 or host 10.1.1.1（針對(duì) MAP前后的地址同時(shí)抓包定位時(shí)非常實(shí)用）例 4：在所有的接口抓包，顯示地址為 10.1

15、.1.1 報(bào)文。Tcpdump |grep host 10.1.1.1（在adls環(huán)境中非常實(shí)用，圭寸裝了 PPPOE勺報(bào)文也能抓到，但是TOS不支持grep的參數(shù)了）在tos系統(tǒng)中，X86的平臺(tái)下才有抓包的工具，n表示不需要域名解析，加快抓包 的速度。并且-evv比老的4k系統(tǒng)中，能抓到更多的信息，其中還包括校驗(yàn)和。例5: System tcpdump - i any - evv -n （TOS系統(tǒng)中最后必須加-n的參數(shù)，才能 保證抓包的速度）例6: System tcpdump - i ipsec0 -n（TOS支持在ipsec0中抓包，來(lái)判斷數(shù)據(jù)流是否進(jìn)入隧道）例7： System tc

16、pdump - i ppp0 -n（TOS支持在ppp0中抓包，來(lái)判斷數(shù)據(jù)流是否進(jìn)入PPPoE勺封裝）實(shí)時(shí)監(jiān)控功能:實(shí)時(shí)查看進(jìn)出防火墻的連接情況1、天融信防火墻支持實(shí)時(shí)監(jiān)控功能，可以實(shí)時(shí)了解當(dāng)前經(jīng)過(guò)防火墻的連接情況，其可以查看的內(nèi)容有需：源IP地址、目的IP地址、源端口、目的端口、連接建 立時(shí)間、接收的流量、發(fā)送的流量、 NAT 轉(zhuǎn)換后的地址、連接屬性等等內(nèi)容。2、 查看實(shí)時(shí)監(jiān)控需要在防火墻上開(kāi)放相應(yīng)的權(quán)限，老4K 系統(tǒng)開(kāi)放權(quán)限過(guò)程為：選項(xiàng)設(shè)置安全設(shè)備登陸控制增加一個(gè)客戶(hù)類(lèi)型為監(jiān)控器的管理項(xiàng)即可（具體參考老4K用戶(hù)手冊(cè)）；TOS防火墻開(kāi)放監(jiān)控權(quán)限過(guò)程為：系統(tǒng)-開(kāi)放服務(wù)-增加 一個(gè)權(quán)限為GUI管

17、理的項(xiàng)目即可（具體參見(jiàn) TOS防火墻用戶(hù)手冊(cè)）；3、 老4K防火墻直接通過(guò)集中管理器實(shí)時(shí)監(jiān)控連接信息啟動(dòng)監(jiān)控即可，TOS系統(tǒng)需要通過(guò)管理中心的安全工具登陸防火墻，再啟用連接監(jiān)控啟動(dòng)即可；4、實(shí)時(shí)監(jiān)控功能支持按照各個(gè)監(jiān)控內(nèi)容排序顯示，通過(guò)實(shí)時(shí)監(jiān)控功能可以很快的定位處異常主機(jī)。5、 實(shí)時(shí)監(jiān)控可以設(shè)置監(jiān)控的過(guò)濾條件（具體見(jiàn)用戶(hù)使用手冊(cè)）；三、策略配置與優(yōu)化防火墻策略?xún)?yōu)化與調(diào)整是網(wǎng)絡(luò)維護(hù)工作的重要內(nèi)容，策略是否優(yōu)化將對(duì)設(shè)備運(yùn)行 性能產(chǎn)生顯著影響。考慮到企業(yè)中業(yè)務(wù)流向復(fù)雜、業(yè)務(wù)種類(lèi)往往比較多，因此建議 在設(shè)置策略時(shí)盡量保證統(tǒng)一規(guī)劃以提高設(shè)置效率，提高可讀性，降低維護(hù)難度。 策略配置與維護(hù)需要注意地方有：

18、試運(yùn)行階段最后一條策略定義為所有訪(fǎng)問(wèn)允許并記錄日志，以便在不影響業(yè) 務(wù)的情況下找漏補(bǔ)遺；當(dāng)確定把所有的業(yè)務(wù)流量都調(diào)查清楚并放行后，可將 最后一條定義為所有訪(fǎng)問(wèn)禁止并記錄日志，以便在試運(yùn)行階段觀察非法流量 行蹤。試運(yùn)行階段結(jié)束后，再將最后一條“禁止所有訪(fǎng)問(wèn)”策略刪除。 防火墻按從上至下順序搜索策略表進(jìn)行策略匹配，策略順序?qū)B接建立速度 會(huì)有影響，建議將流量大的應(yīng)用和延時(shí)敏感應(yīng)用放于策略表的頂部，將較為 特殊的策略定位在不太特殊的策略上面。策略配置中的Log（記錄日志）選項(xiàng)可以有效進(jìn)行記錄、排錯(cuò)等工作，但啟用此功能會(huì)耗用部分資源。建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用，或僅在必要時(shí)采用。簡(jiǎn)化的策略表不僅

19、便于維護(hù)，而且有助于快速匹配。盡量保持策略表簡(jiǎn)潔和 簡(jiǎn)短，規(guī)則越多越容易犯錯(cuò)誤。通過(guò)定義地址組和服務(wù)組可以將多個(gè)單一策 略合并到一條組合策略中。策略用于區(qū)域間單方向網(wǎng)絡(luò)訪(fǎng)問(wèn)控制。如果源區(qū)域和目的區(qū)域不同，則防火 墻在區(qū)域間策略表中執(zhí)行策略查找。如果源區(qū)域和目的區(qū)域相同并啟用區(qū)域 內(nèi)阻斷，貝U防火墻在區(qū)域內(nèi)部策略表中執(zhí)行策略查找。如果在區(qū)域間或區(qū)域 內(nèi)策略表中沒(méi)有找到匹配策略，則安全設(shè)備會(huì)檢查相關(guān)區(qū)域的缺省訪(fǎng)問(wèn)權(quán)限 以查找匹配策略。策略變更控制。組織好策略規(guī)則后，應(yīng)寫(xiě)上注釋并及時(shí)更新。注釋可以幫助 管理員了解每條策略的用途，對(duì)策略理解得越全面，錯(cuò)誤配置的可能性就越 小。如果防火墻有多個(gè)管理員，建

20、議策略調(diào)整時(shí)，將變更者、變更具體時(shí) 間、變更原因加入注釋中，便于后續(xù)跟蹤維護(hù)。四、攻擊防御天融信防火墻利用入侵防護(hù)功能抵御互聯(lián)網(wǎng)上流行的DoS/DDoS的攻擊，一些流行的攻擊手法有 Sy nflood， Udpflood，Smurf，Ping of Death ，La nd Attack 等， 防火墻在抵御這些攻擊時(shí)，會(huì)消耗防火墻一部分的系統(tǒng)資源，所以，在網(wǎng)絡(luò)正常情 況下，一般不推薦使用，但是當(dāng)網(wǎng)絡(luò)確實(shí)存在這些類(lèi)型的攻擊數(shù)據(jù)流時(shí)，我們可以 適當(dāng)開(kāi)啟這些抗攻擊選項(xiàng)，可以有效的保護(hù)各種應(yīng)用服務(wù)器。如果希望開(kāi)啟其它選 項(xiàng)，在開(kāi)啟這些防護(hù)功能前有幾個(gè)因素需要考慮：*抵御攻擊的功能會(huì)占用防火墻部分 CP

21、U資源；自行開(kāi)發(fā)的一些應(yīng)用程序中，可能存在部分不規(guī)范的數(shù)據(jù)包格式；*網(wǎng)絡(luò)環(huán)境中可能存在非常規(guī)性設(shè)計(jì)。如果因選擇過(guò)多的防攻擊選項(xiàng)而大幅降低了防火墻處理能力，則會(huì)影響正常網(wǎng)絡(luò)處理的性能；如果自行開(kāi)發(fā)的程序不規(guī)范，可能會(huì)被IP數(shù)據(jù)包協(xié)議異常的攻擊選項(xiàng)屏蔽；非常規(guī)的網(wǎng)絡(luò)設(shè)計(jì)也會(huì)出現(xiàn)合法流量被屏蔽問(wèn)題。要想有效發(fā)揮天融信防火墻的攻擊防御功能，需要對(duì)網(wǎng)絡(luò)中流量和協(xié)議類(lèi)型有比 較充分的認(rèn)識(shí)，同時(shí)要理解每一個(gè)防御選項(xiàng)的具體含義，避免引發(fā)無(wú)謂的網(wǎng)絡(luò)故 障。防攻擊選項(xiàng)的啟用需要采用 逐步逼近的方式，一次僅啟用一個(gè)防攻擊選項(xiàng)，然 后觀察設(shè)備資源占用情況和防御結(jié)果，在確認(rèn)運(yùn)行正常后再考慮按需啟用另一個(gè)選 項(xiàng)。建議采用

22、以下順序漸進(jìn)實(shí)施防攻擊選項(xiàng)：設(shè)置防范DDoS Flood攻擊選項(xiàng)根據(jù)掌握的正常運(yùn)行時(shí)的網(wǎng)絡(luò)流量、會(huì)話(huà)數(shù)量以及數(shù)據(jù)包傳輸量的值，在防 范DDoS勺選項(xiàng)上添加20%的余量作為閥值。如果要設(shè)置防范 IP 協(xié)議層的選項(xiàng)，需在深入了解網(wǎng)絡(luò)環(huán)境后，再將 IP 協(xié)議 和網(wǎng)絡(luò)層的攻擊選項(xiàng)逐步選中。設(shè)置防范應(yīng)用層的選項(xiàng)，在了解應(yīng)用層的需求以及客戶(hù)化程序的編程標(biāo)準(zhǔn) 后，如不采用 ActiveX 控件，可以選擇這些基于應(yīng)用層的防攻擊選項(xiàng)。 為檢查網(wǎng)絡(luò)中是否存在攻擊流量，可以臨時(shí)打開(kāi)實(shí)時(shí)監(jiān)控功能，查看流量特 征，判斷是否為DOS/DDO攻擊，確認(rèn)攻擊類(lèi)型。在設(shè)置入侵防御選項(xiàng)的過(guò)程中，應(yīng)密切注意防火墻 CPU勺利用率，

23、以及相關(guān) 應(yīng)用的使用情況；如果出現(xiàn)異常（CPU利用率偏高了或應(yīng)用不能通過(guò)），則立 刻需要取消相關(guān)的選項(xiàng)。 建議正常時(shí)期不啟用入侵防御選項(xiàng)，僅在網(wǎng)絡(luò)出現(xiàn)異常流量時(shí)再打開(kāi)對(duì)應(yīng)的 防御功能。五、特殊應(yīng)用處理長(zhǎng)連接應(yīng)用處理 在金融行業(yè)網(wǎng)絡(luò)中經(jīng)常會(huì)遇到長(zhǎng)連接應(yīng)用（一般為數(shù)據(jù)庫(kù)等應(yīng)用） ，基于狀態(tài)檢測(cè)機(jī) 制的防火墻在處理此類(lèi)應(yīng)用時(shí)要加以注意。缺省情況下，天融信防火墻對(duì)每一個(gè)會(huì) 話(huà)的連接保持時(shí)間是300秒（TCP和30秒（UDP （不同系統(tǒng)平臺(tái)、不同版本會(huì)有 不同），超時(shí)后狀態(tài)表項(xiàng)將會(huì)被清除。所以在實(shí)施長(zhǎng)連接應(yīng)用策略時(shí)要配置合適的 timeout 值，以滿(mǎn)足長(zhǎng)連接應(yīng)用的要求。配置常連接應(yīng)用需注意地方有：如果

24、在長(zhǎng)連接應(yīng)用中已經(jīng)設(shè)計(jì)了心跳維持機(jī)制（如每隔幾分鐘，客戶(hù)端與服務(wù)端 之間傳送心跳以維持會(huì)話(huà)） ，此時(shí)無(wú)需防火墻上設(shè)置長(zhǎng)連接屬性，使用默認(rèn)配置 即可。只針對(duì)的確需要的應(yīng)用啟用長(zhǎng)連接屬性，一般的應(yīng)用不要使用長(zhǎng)連接，以節(jié)省防 火墻的系統(tǒng)資源。由于設(shè)置長(zhǎng)連接屬性后，防火墻系統(tǒng)本身不再干預(yù)該連接情況，所以可能會(huì)出現(xiàn)一些特殊情況（應(yīng)用服務(wù)器端異常死機(jī)等）造成該連接僵死而長(zhǎng)期占用防火墻的資源，因此，建議經(jīng)常實(shí)時(shí)監(jiān)控防火墻的長(zhǎng)連接情況，一旦發(fā)現(xiàn)這種僵死的長(zhǎng)連接過(guò)多，則應(yīng)該在合適的時(shí)間手動(dòng)重啟防火墻系統(tǒng)，以釋放防火墻的資源。不規(guī)范TCP應(yīng)用處理正常TCP應(yīng)用連接建立需要3次握手，然而某些用戶(hù)定制的應(yīng)用程序因開(kāi)發(fā)規(guī) 范不嚴(yán)謹(jǐn)或特殊需要，存在類(lèi)似 SYN 沒(méi)有置位的連接請(qǐng)求，對(duì)于這類(lèi)不嚴(yán)謹(jǐn)?shù)耐ㄓ?處理應(yīng)加以特別注意，因?yàn)樘烊谛欧阑饓υ谀J(rèn)情況下，對(duì)這種不嚴(yán)謹(jǐn)?shù)腡CP連接視為非法連接并將連接阻斷。建議跟蹤網(wǎng)