Eudemon防火墻產(chǎn)品使用注意事項(xiàng)20060420-A

1、華為產(chǎn)品維護(hù)資料Eudemon防火墻產(chǎn)品使用注意事項(xiàng)2006/4/232Eudemon防火墻產(chǎn)品使用注意事項(xiàng)聲明Cop yright ?2005華為技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書面許可， 任何單位和個(gè)人不得擅自摘抄、復(fù)制本書內(nèi)容的部分或全部，并不得以任何形式傳播。鏗？、HUAWEI?、華為？、C&C08 ?、EAST8000、HONET 、ViewPoint 、INtess、ETS、DMC、TELLIN 、InfoLinkSYNLOCK ?、Radium ?、雷霆？、鏗 M900/M1800 ?、TELESIGHT ?、Quidview ?9999999oMusa 、

2、視點(diǎn)通、Airbridge?、Tellwin ?、Inmedia ?、VRP ?、DOPRA?、iTELLIN? ?HUAWEI OptiX 、C&C08 iNET '、NETENGINE? 、OptiX? 、iSite ?、 U-SYS ?、iMUSE ?、Open Eye ?、La nsway ?、SmartAX ?、邊際網(wǎng)？、 infoX?、TopEng ?均為華為技術(shù)有限公司的商標(biāo)。、Netkey、Quidway、對(duì)于本手冊(cè)中出現(xiàn)的其它商標(biāo)，由各自的所有人擁有。由于產(chǎn)品版本升級(jí)或其它原因，本手冊(cè)內(nèi)容會(huì)不定期進(jìn)行更新。本手冊(cè)僅作為使用指導(dǎo)， 本手冊(cè)中的所有陳述、 暗示的擔(dān)

3、保。除非另有約定,信息和建議不構(gòu)成任何明示或技術(shù)支持htt p: /s upp 80083021180755-28560000技術(shù)支援網(wǎng)址：客戶服務(wù)電話：地址：深圳市龍崗區(qū)坂田華為總部辦公樓 客戶服務(wù)郵箱： supp ort 傳真編：518129華為產(chǎn)品維護(hù)資料Eudemon防火墻產(chǎn)品使用注意事項(xiàng)2006/4/23i1聲明技術(shù)支持Eudemon防火墻產(chǎn)品使用注意事項(xiàng)1 Eudem on防火墻產(chǎn)品使用注意事項(xiàng)防火墻組網(wǎng)注意事項(xiàng)防火墻雙機(jī)熱備份使用注意事項(xiàng) 防火墻硬件板卡配置注意事項(xiàng) 防火墻升級(jí)注意事項(xiàng) 防火墻安裝注意事項(xiàng) 防火墻攻

4、擊防范注意事項(xiàng) . 防火墻NAT應(yīng)用注意事項(xiàng).1.81.9防火墻日常維護(hù)注意事項(xiàng) 防火墻P2P應(yīng)用注意事項(xiàng)iii華為產(chǎn)品維護(hù)資料Eudemon防火墻產(chǎn)品使用注意事項(xiàng)2006/4/202Eudemon防火墻產(chǎn)品使用注意事項(xiàng)1 Eudemon防火墻產(chǎn)品使用注意事項(xiàng)1.1防火墻組網(wǎng)注意事項(xiàng)1)不建議使用防火墻參與動(dòng)態(tài)路由計(jì)算，特別不建議在OSPF和BGP中引入大量路由。由于內(nèi)存有限，大量的路由會(huì)占用很多內(nèi)存，導(dǎo)致防火墻會(huì)話表容量 降低，同時(shí)路由計(jì)算會(huì)消耗大量的CPU資源，在鏈路動(dòng)蕩時(shí)嚴(yán)重影響防火墻的性能。2)盡可能避免來(lái)回路徑不一致情況。存在來(lái)回路徑不一致時(shí)，會(huì)導(dǎo)致防火墻無(wú)法 識(shí)別正常的會(huì)話狀態(tài)，影

5、響 TCP連接的正常建立，如何關(guān)閉防火墻狀態(tài)檢查, 則防火墻只能進(jìn)行普通的包過(guò)濾，部分攻擊防范能力會(huì)失效。3)當(dāng)存在來(lái)回路徑不一致時(shí)，必須配置禾n firewall fragment-forward enableundo firewallsession link-state check允許分片報(bào)文通過(guò)。4)使用透明模式組網(wǎng)時(shí)避免出現(xiàn)二層環(huán)路,避免透?jìng)魉蠽LAN。5)每種防火墻都有會(huì)話表數(shù)量限制，使用中應(yīng)考慮業(yè)務(wù)容量，避免會(huì)話表規(guī)格不 滿足情況出現(xiàn)。6)負(fù)載分擔(dān)的組網(wǎng)是一種很復(fù)雜的組網(wǎng)，需要和上下行設(shè)備緊密配合才能正常工 作。目前不能支持與路由器的負(fù)載分擔(dān)組網(wǎng)。7)雙機(jī)熱備組網(wǎng)時(shí)，VRRP組號(hào)

6、不能和網(wǎng)絡(luò)中其它華為設(shè)備（不限于防火墻設(shè)備）的VRRP組號(hào)重復(fù)。否則會(huì)引起虛 MAC地址沖突。8)Eudemon500工作在混合模式，不要使用VLANIF作為業(yè)務(wù)網(wǎng)關(guān)。1.2防火墻雙機(jī)熱備份使用注意事項(xiàng)1）雙機(jī)熱備目前只支持兩臺(tái)設(shè)置進(jìn)行備份，不支持多臺(tái)設(shè)備進(jìn)行備份。但對(duì)于只 使用VRRP的組網(wǎng)可以支持多臺(tái)設(shè)備進(jìn)行冗余備份。2）由于雙機(jī)熱備中具有備份機(jī)制可以備份動(dòng)態(tài)信息和命令，因此要求進(jìn)行雙機(jī)熱 備的兩臺(tái)設(shè)備板卡的位置，以及接口卡的類型都要求相同，否則會(huì)出現(xiàn)主防火華為產(chǎn)品維護(hù)資料Eudemon防火墻產(chǎn)品使用注意事項(xiàng)2006/4/203)4)5)6)7)8)9)10)墻備份過(guò)去的信息，與從防火墻根

7、本就無(wú)法進(jìn)行搭配使用，如出現(xiàn)主備狀態(tài)切 換就會(huì)導(dǎo)致業(yè)務(wù)出問(wèn)題。進(jìn)行雙機(jī)熱備的兩臺(tái)防火墻中的配置文件最好為初始配置或保證兩臺(tái)設(shè)備配置 相同，以免由于先前的配置而導(dǎo)致業(yè)務(wù)問(wèn)題。在VRRP管理組中添加組成員時(shí)，注意不要在承載業(yè)務(wù)的組成員上 transfer-oniy參數(shù)。該參數(shù)只用于防火墻之間的心跳接口上。對(duì)于Eudemon500 和Eudemon1000 產(chǎn)品，在混合模式的雙機(jī)熱備組網(wǎng)中, 能采用心跳口的 VRRP備份組監(jiān)視透明模式的業(yè)務(wù)端口的方式。在Eudemon500/1000 中，需要將透明模式的業(yè)務(wù)端口加入到 下配置set vgmp vgmp-id 命令將vlan與VRRP管理組綁定。 務(wù)

8、端口出現(xiàn)故障時(shí)，與之綁定的VRRP管理組將會(huì)降低優(yōu)先級(jí)為10），從而觸發(fā)主備切換。由于沒(méi)有使用 優(yōu)先級(jí)必須配置具體的數(shù)值，不能使用I配置via nvlan，并在當(dāng)該vlan中有業(yè) （默認(rèn)降低數(shù)值I track功能，所以VRRP管理組的 usin g-vrr pp riority 的方式。當(dāng)防火墻工作在混合模式時(shí)，Eudemo n200防火墻設(shè)置允許備防火墻轉(zhuǎn)發(fā)報(bào)文的命令為：firewall mode comp osite p ermit-back up forward而在Eudemon500/1000 上該命令為:firewall compo site-hr p p ermit-back up

9、 forward在Eudemon200 上有hrp permit-backupforward命令，當(dāng)防火墻處于備狀態(tài)時(shí),該命令允許備防火墻根據(jù)從主防火墻備份過(guò)來(lái)的連接狀態(tài)數(shù)據(jù)來(lái)轉(zhuǎn)發(fā)報(bào)文。在Eudemo n500/1000 上沒(méi)有此命令。Eudem on200防火墻的雙機(jī)熱備份組網(wǎng)中，所有需要備份的數(shù)據(jù)都通過(guò)VRRP管理組內(nèi)的數(shù)據(jù)通道來(lái)備份；但對(duì)于 Eudemon500/1000 防火墻，VRRP管理 組內(nèi)的數(shù)據(jù)通道只能備份關(guān)鍵配置，無(wú)法備份連接狀態(tài)數(shù)據(jù)。雙機(jī)熱備份組網(wǎng)中不支持easy-ip的組網(wǎng)方式5)611)當(dāng)防火墻工作在混合模式下，且與二層上下行設(shè)備組網(wǎng)時(shí)，要禁止備防火墻轉(zhuǎn) 發(fā)報(bào)文（默認(rèn)即

10、禁止），否則易形成二層轉(zhuǎn)發(fā)環(huán)路。當(dāng)防火墻工作在混合模式下時(shí)，上下行設(shè)備學(xué)習(xí)到的ARP為實(shí)接口的MAC地址。在防火墻由主切換到備時(shí)，上下行設(shè)備可能無(wú)法感知到這種切換，此時(shí)需 要將業(yè)務(wù)端口 down以促使上下行設(shè)備更新 ARP表項(xiàng)。為了在管理組狀態(tài)由主 切換到備時(shí)能自動(dòng)執(zhí)行此操作，需要在管理組中為業(yè)務(wù)端口配置triggerdow n命令。13)14)15)16)17)注：在Eudemon500/1000 下有其他機(jī)制能達(dá)到此目的，因此無(wú)需配置。與防火墻相連的上下行設(shè)備如果配置了STP功能，在防火墻主備切換時(shí)可能影響流量的倒換，因此需要在這些接口上取消STP功能。在混合模式的組網(wǎng)中，如果上下行設(shè)備運(yùn)

11、行動(dòng)態(tài)路由協(xié)議，則要允許備防火墻 轉(zhuǎn)發(fā)報(bào)文（默認(rèn)不允許），否則動(dòng)態(tài)路由協(xié)議報(bào)文也無(wú)法通過(guò)備防火墻。另外 對(duì)于上行或者下行設(shè)備， 需要將與主備防火墻相連的接口配置的不同的vlan中以防止產(chǎn)生二層環(huán)路。如果要使用VRRP備份組的track功能來(lái)監(jiān)視其它接口，則相應(yīng)管理組的優(yōu)先 級(jí)必須用us in g-vrrp priority 方式來(lái)計(jì)算，否則track功能就不起作用。當(dāng)VRRP備份組加入到 VRRP管理組后，在 將不起作用，其切換過(guò)程完全由所屬的 VRR P 組的優(yōu)先級(jí)是直接指定數(shù)值時(shí)，則加入該管理組的所有VRRP備份組上配置的搶占標(biāo)志 管理組控制。另外當(dāng)VRRP管理VRRP備份組成員的優(yōu)先級(jí)也

12、將不再起作用，組成員的主備狀態(tài)完全由其所屬的管理組決定。當(dāng)直接給VRRP管理組優(yōu)先級(jí)賦值時(shí)，要注意主備防火墻上對(duì)應(yīng)管理組優(yōu)先級(jí) 的差別不要太大。合理的差值是要保證當(dāng)主防火墻管理組內(nèi)任一組成員出現(xiàn)故障后優(yōu)先級(jí)會(huì)降低到備防火墻管理組的優(yōu)先級(jí)以下,從而確保能發(fā)生主備切換。18)兩個(gè)防火墻上的管理組編號(hào)、構(gòu)成必須完全一樣。這就是說(shuō)EudemonA上的管理組包括備份組1、2和3，貝U EudemonB上的同樣編號(hào)的管理組也必須包含 備份組1、2和3。1.3防火墻硬件板卡配置注意事項(xiàng)1)在E200上不要使用1FE網(wǎng)卡。2)3)高速卡優(yōu)先使用第 2槽位。4)對(duì)于8FE卡盡可能不使用1號(hào)和6號(hào)端口6)注：第3

13、、4兩個(gè)問(wèn)題只在老版本里存在，在P2P分支版本D020以后已解決,基線版本在D045以后解決。盡可能不要使用2GE模塊，由于兩個(gè)GE接口共享一條總線，在有突發(fā)流量時(shí) 可能會(huì)丟包，可以只使用其中一個(gè)接口，另一個(gè)接口閑置。對(duì)E200優(yōu)先使用主控板上的以太網(wǎng)接口，該接口的性能比模塊的接口性能高。E500的第3槽位為低速卡槽位，只能安裝低速加密卡。華為產(chǎn)品維護(hù)資料Eudemon防火墻產(chǎn)品使用注意事項(xiàng)2006/4/201.47）對(duì)E500和E1000，不要使用主控板上的以太網(wǎng)接口，否則該接口的流量稍大 時(shí)就會(huì)影響高速接口卡的性能。防火墻升級(jí)注意事項(xiàng)1）升級(jí)前需仔細(xì)閱讀針對(duì)該版本的升級(jí)指導(dǎo)書。檢查配置是否

14、有更改、設(shè)備版本 和網(wǎng)管版本是否配套。2）版本下載到FLASH后需要重新指定啟動(dòng)文件，否則啟動(dòng)后新版本無(wú)法生效。1.5防火墻安裝注意事項(xiàng)91）防火墻在安裝時(shí)必須可靠接地，否則會(huì)引起端口誤碼、 丟包甚至頻繁up/down ,更嚴(yán)重時(shí)會(huì)導(dǎo)致系統(tǒng)異常復(fù)位。2）擴(kuò)展模塊暫不支持熱插拔功能，安裝、拆卸模塊需要在關(guān)機(jī)的情況下進(jìn)行。1.6防火墻攻擊防范注意事項(xiàng)1）配置UDP-Flood 攻擊防范時(shí)注意選擇合適的閥值，閥值過(guò)大影響防范效果, 閥值過(guò)小會(huì)影響正常的業(yè)務(wù)。2） 存在來(lái)回路徑不一致時(shí)不要打開基于接口的TCP Flood攻擊防范。1.7防火墻NAT應(yīng)用注意事項(xiàng)1)不要使用一對(duì)一地址映射模式（即NO_P

15、AT模式）。2)E500/1000 不支持EasyIP方式的NAT轉(zhuǎn)換，E500/1000 的地址池中的地址可 以包含接口地址，可使用地址池的方式模擬EasyIP方式。3)Eudemo n1000/500支持一個(gè)私網(wǎng)對(duì)一公網(wǎng)、以及一個(gè)私網(wǎng)地址對(duì)應(yīng)多個(gè)公網(wǎng)地址的情況（可以通過(guò)一臺(tái)服務(wù)器為外部提供多種服務(wù)（如： 器、HTTP服務(wù)器等），這些服務(wù)器在外面表現(xiàn)的為不同的公網(wǎng)FTP、郵件服務(wù)IP)。4)而 E200在透明模式時(shí)無(wú)法實(shí)現(xiàn) NAT功能。E500/1000在透明模式時(shí)可以做 NAT,要求地址池的地址和防火墻兩端設(shè)備地 址不在一個(gè)網(wǎng)段內(nèi)，5)目前的版本不支持SIP協(xié)議的NAT穿越，在NGN組網(wǎng)中

16、需注意規(guī)避。6)若配置NAT Server,若服務(wù)器主動(dòng)發(fā)起連接，必須在對(duì)7)8)9)10)11)12)13)Eudemo n1000/500應(yīng)的域間配置NAT Outbound ，對(duì)應(yīng)的ACL中允許NAT Server的私網(wǎng)地址。NAT Outbound地址池的地址沒(méi)有要求必須包括對(duì)應(yīng)的NAT Server的公網(wǎng)地址。一些特殊協(xié)議在穿越 NAT時(shí)（如FTP協(xié)議）必須配置相應(yīng)協(xié)議的 NAT ALG功 能。配置NAT Server時(shí)，配置Nat Server的包過(guò)濾規(guī)則的時(shí)候E200/E100需要配置私網(wǎng)地址（inside地址），但是E500/E1000目前不需要配置 ACL就能訪問(wèn)， 如果要禁

17、止訪問(wèn)的話可以通過(guò)配置ACL來(lái)禁止；雙機(jī)熱備時(shí)的 NAT地址池和NAT Server配置命令中必須跟隨 vrrp id組號(hào), 否則在倒換時(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷。不支持低域到高域的 NAT轉(zhuǎn)換。避免來(lái)回路徑不一致情況。當(dāng)存在分片報(bào)文時(shí)，需要打開分片緩存功能，firewallfragment-cache enable。在做 NAT時(shí)一定要關(guān)閉分片報(bào)文轉(zhuǎn)發(fā)功能，執(zhí)行undo firewall fragment-forward enable，否則分片報(bào)文不做NAT而直接轉(zhuǎn)發(fā)。1.8防火墻日常維護(hù)注意事項(xiàng)1)在搜集dis play diag信息后需要執(zhí)行 un do debug all命令，因?yàn)閳?zhí)行 dis play diag命令時(shí)會(huì)