安全產(chǎn)品配置優(yōu)化操作規(guī)范

安全產(chǎn)品配置優(yōu)化操作規(guī)范

（FW、LB、IPS&ACG）

Version1.0

杭州華三通信技術(shù)有限公司

2014年8月

聲明

Copyright?2022杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。

非經(jīng)本公司書(shū)面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本書(shū)內(nèi)容的部分或全部，并不得以任何形

式傳播。

該文檔由H3C總部安全技術(shù)支持工程師通過(guò)長(zhǎng)期技術(shù)積累總結(jié)而來(lái)，請(qǐng)務(wù)必在安全產(chǎn)品部署實(shí)施中

重視本操作規(guī)范要求，保障設(shè)備在網(wǎng)運(yùn)行效果及穩(wěn)定性。本文檔為保密文檔，僅限H3C原廠工程師

使用，對(duì)私自擴(kuò)散者H3c保留起訴的權(quán)利。

本文檔將安全配置優(yōu)化操作方式分為兩大類(lèi)：

?必選項(xiàng)：設(shè)備部署時(shí)必須嚴(yán)按照必選項(xiàng)的規(guī)范要求執(zhí)行。

?可選項(xiàng)：在客戶(hù)無(wú)明確要求且不影響客戶(hù)使用情況下，視具體組網(wǎng)環(huán)境可選部署。

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第3頁(yè)共61頁(yè)

聲明.........................................................................2

FW-1、（必選）通過(guò)配置域間策略對(duì)防火墻本地實(shí)施保護(hù).....................5

FW-2、（必選）防火墻ALG功能配置優(yōu)化..................................6

FW-3、（必選）防火墻雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)動(dòng)......................7

FW-4、（必選）配置ACL時(shí)慎用Denyany規(guī)則.............................8

FW-5、（必選）防火墻使用獨(dú)立物理端口做雙機(jī)熱備口.......................9

FW-6、（必選）配置NTP保持防火墻時(shí)鐘正確同步..........................9

FW-7、（必選）采用二進(jìn)制格式輸出Userlog日志...........................10

FW-8、（必選）SSLVPN采用IP接入方式配置資源.........................11

FW-9、（必選）DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化.........................11

FW-10、（必選）防火墻不啟用QoS功能...................................12

FW-U、（必選）防火墻地址對(duì)象范圍地址配置優(yōu)化.........................12

FW-12、（必選）部分型號(hào)防火墻業(yè)務(wù)端口選擇建議.........................13

FW-13、（必選）禁用會(huì)話加速功能........................................13

FW-14、（必選）禁用ACL加速功能.......................................14

FW/5、（必選）禁用域間策略加速功能....................................15

FW/6、（必選）禁止通過(guò)ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問(wèn)控制..................15

FW-17、（必選）禁止使用弱口令..........................................16

FW-18、（必選）禁止使用動(dòng)態(tài)鏈路聚合模式...............................16

FW-I9、（必選）IPSecVPN模板策略配置優(yōu)化..............................16

FW-20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù)........................17

FW-21、（可選）利用域間策略對(duì)防火墻實(shí)施路由環(huán)路保護(hù)...................18

FW-22、（可選）虛擬分片重組功能配置優(yōu)化...............................19

FW-23、（可選）會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化...........................20

FW-24、（可選）報(bào)文異常檢測(cè)功能配置優(yōu)化...............................20

FW-25、（可選）流量異常檢測(cè)功能配置優(yōu)化...............................21

FW-26、（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)中避免業(yè)務(wù)流量非對(duì)稱(chēng)路徑轉(zhuǎn)發(fā)......24

FW-27、（可選）采用逐流轉(zhuǎn)發(fā)模式........................................25

第3頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第4頁(yè)共61頁(yè)

LB-K（必選）Outbound鏈路負(fù)載均衡優(yōu)先通過(guò)ACL方式進(jìn)行虛服務(wù)配置...26

LB-2、（必選）Outbound鏈路負(fù)載均衡不啟用就近性.......................28

LB?3、（必選）服務(wù)器負(fù)載均衡虛服務(wù)IP不響應(yīng)ARP請(qǐng)求限制的解決方法.......29

LB-4、（必選）采用二進(jìn)制格式輸出Userlog日志...........................30

LB-5、（必選）關(guān)于實(shí)服務(wù)故障處理方式的配置選擇........................31

LB-6、（必選）配置NTP保持時(shí)鐘正確同步................................33

LB-7、（必選）RADIUS業(yè)務(wù)與強(qiáng)制負(fù)載均衡特性配置優(yōu)化..................34

LB-8、（必選）使用獨(dú)立物理端口做雙機(jī)熱備口.............................35

LB-9、（必選）配置ACL時(shí)慎用Denyany規(guī)則.............................36

LB-10、（必選）不啟用QoS功能.........................................36

LB-11、（必選）不啟用攻擊防范功能......................................37

LB-12、（必選）禁用ACL加速功能.......................................37

LB-I3、（可選）業(yè)務(wù)端口添加安全區(qū)域?qū)傩?...............................38

LB-14、（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)避免業(yè)務(wù)流量非對(duì)稱(chēng)路徑轉(zhuǎn)發(fā)........39

LB-15、（可選）優(yōu)先采用四層負(fù)載均衡模式滿(mǎn)足客戶(hù)配置需求...............40

LB-16.（可選）采用逐流轉(zhuǎn)發(fā)模式........................................41

IPS&ACG-K（必選）配置IPS攻擊防范策略時(shí)必須先手工調(diào)整策略規(guī)則.....43

IPS&ACG-2.（必選）配置IPS病毒防范策略時(shí)必須先手工調(diào)整策略規(guī)則.....48

IPS&ACG-3、（必選）定期檢查IPS/ACG特征庫(kù)版本是否正常更新..........49

IPS&ACG-4、（必選）通過(guò)NTP'ACSEI保持IPS/ACG時(shí)鐘同步正確..........51

IPS&ACG-5、（必選）部署IPS/ACGMQC引流內(nèi)外安全域須為不同Vian.........52

IPS&ACG-6、（必選）部署IPS/ACG插卡MQC引流時(shí)避免二層報(bào)文風(fēng)暴....54

IPS&ACG-7.（必選）正則表達(dá)式URL過(guò)濾規(guī)則的配置優(yōu)化................55

IPS&ACG-8.（必選）帶寬管理P2P限流規(guī)則配置優(yōu)化.....................56

IPS&ACG-9、（必選）ACG通道帶寬管理功能針對(duì)DNS業(yè)務(wù)流量進(jìn)行保障.……57

IPS&ACG-10、（可選）部署專(zhuān)用日志主機(jī)配合IPS/ACG實(shí)現(xiàn)安全事件審計(jì).……58

IPS&ACG-1H（可選）ACG流日志配置優(yōu)化..............................59

IPS&ACG-12、（可選）不啟用IPSDDoS攻擊防范策略......................60

第4頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第5頁(yè)共61頁(yè)

FW-K（必選）通過(guò)配置域間策略對(duì)防火墻本地實(shí)施保

護(hù)

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻為便于用戶(hù)登錄管理設(shè)備，當(dāng)前實(shí)現(xiàn)機(jī)制為默認(rèn)所有安全區(qū)域

都可以訪問(wèn)代表防火墻自身的Local區(qū)域。為避免無(wú)效報(bào)文、攻擊流量沖擊防火墻，要求必

須配置到local區(qū)域的域間策略以對(duì)防火墻自身進(jìn)行保護(hù)。在配置具體的域間策略時(shí)，應(yīng)首

先允許必要的管理、協(xié)議報(bào)文與防火墻本地交互，然后禁止其它流量與防火墻本地交互。

自2014年7月起，新軟件版本的ComwareV5平臺(tái)防火墻進(jìn)行了一次默認(rèn)策略變更切

換，將默認(rèn)所有安全區(qū)域及Local區(qū)域之間的策略變更為全部禁止互訪，以滿(mǎn)足市場(chǎng)需求并

加強(qiáng)安全性，詳見(jiàn)請(qǐng)查詢(xún)《H3c技術(shù)公告【2014】018號(hào)-關(guān)于H3CComwareV5平臺(tái)防火

墻變更默認(rèn)域間策略轉(zhuǎn)發(fā)規(guī)則的公告》。

參考配置思路：

1.配置允許網(wǎng)管計(jì)算機(jī)訪問(wèn)local區(qū)域的域間策略，允許包括HTTP、HTTPS、Telnet、

SSH、SNMP、、PING等常見(jiàn)網(wǎng)管相關(guān)協(xié)議訪問(wèn)本地，域間策略源IP地址范圍應(yīng)做嚴(yán)格限制，

避免非管理主機(jī)訪問(wèn)防火墻本地：

2.配置允許防火墻與其它網(wǎng)絡(luò)設(shè)備進(jìn)行協(xié)議交互的域間策略，例如VRRP,OSPF,

BGP、PING、IKE、L2TP,ESP等常見(jiàn)協(xié)議；

3.確認(rèn)其他網(wǎng)絡(luò)設(shè)備是否有目的地址為防火墻本地的探測(cè)，例如NQA、BFD等，如

有則必須補(bǔ)充允許其他設(shè)備探測(cè)報(bào)文到達(dá)防火墻本地的域間策略；

4.配置域間策略時(shí)應(yīng)盡量使用明確的源目的IP地址范圍，減少使用“any_address”等

方式的粗放管理型配置，比如Trust區(qū)域的實(shí)際規(guī)劃IP范圍為/24,Untrust區(qū)域

為Internet,則配置域間策略時(shí)應(yīng)將Trust區(qū)域源IP地址范圍配置為/55子

網(wǎng)地址對(duì)象，使策略更加合理精確，阻斷可能出現(xiàn)的源地址欺騙報(bào)文經(jīng)防火墻轉(zhuǎn)發(fā)。

5.最后配置各安全區(qū)域至Local區(qū)域的全部禁止策略，避免防火墻因接收到達(dá)本地的無(wú)

效報(bào)文過(guò)多而影響CPU性能，最終實(shí)現(xiàn)對(duì)防火墻自身的安全保護(hù)。

第5頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第6頁(yè)共61頁(yè)

綜合以上原則，在防火墻Web管理界面中的配置示例如下圖所示:

內(nèi)咨

時(shí)源目的

目的過(guò)速動(dòng)過(guò)蛙插啟用日志匹雷

通域ID通IP地址目的IP地址照務(wù)間MACMAC操作

□域作策珞逑送頂功能次數(shù)

枝地址地址

模板

hue.https.ciEi.

□ManagementLocal0172310055anvaddresssnmAroauesLsnm>Permit止能96

trap,telnetffle.ssfi骷〈

合01?土

□ManagementLocal1anyaddressanyaddressanyserviceDeny止能708

金值臺(tái)主

UntrustLocal0anyaddressanyaddressanyserviceDeny0

□胖能電

□TrustLocal0anyaddressanvaddressboo,osof.mu,oinflPermit止能0

睦

anvaddressanyaddressanyserviceDenyOff

□TrustLocal1止能0

新建［刪除送中］導(dǎo)1導(dǎo)出］清空統(tǒng)計(jì)

FW?2、（必選）防火墻ALG功能配置優(yōu)化

應(yīng)用說(shuō)明：

防火墻ALG（ApplicationLevelGateway,應(yīng)用層網(wǎng)關(guān)）特性主要完成對(duì)應(yīng)用層報(bào)文的

處理。當(dāng)應(yīng)用層數(shù)據(jù)中包含IP地址時(shí)，ALG可以對(duì)該地址進(jìn)行處理，以保證后續(xù)該地址對(duì)

應(yīng)的連接能夠正確建立。ALG的工作包括：解析數(shù)據(jù)報(bào)文載荷中的IP地址信息，并根據(jù)需

要對(duì)其進(jìn)行NAT（NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換）處理；提取數(shù)據(jù)通道信息，

為后續(xù)的會(huì)話連接建立數(shù)據(jù)通道。這里的數(shù)據(jù)通道通常指相對(duì)于用戶(hù)認(rèn)證的控制連接而言的

數(shù)據(jù)連接：在防火墻上，安全策略通常只允許特定的端口通過(guò)，對(duì)于需要?jiǎng)討B(tài)開(kāi)放端口的協(xié)

議，即使沒(méi)有NAT也必須啟用ALG才能合格證業(yè)務(wù)正常處理，例如FTP協(xié)議；另有些屬

于功能型ALG,專(zhuān)為實(shí)現(xiàn)某種功能而存在，例如DNSALG,需要視實(shí)際環(huán)境決定是否需要

開(kāi)啟。

參考配置思路：

當(dāng)防火墻做二層轉(zhuǎn)發(fā)部署時(shí)，除FTP協(xié)議外，推薦關(guān)閉其他所有ALG功能。

當(dāng)防火墻做三層轉(zhuǎn)發(fā)部署時(shí)，以下為H3c防火墻應(yīng)用的ALG推薦配置，建議只開(kāi)啟，

關(guān)閉其他ALG功能。

DNS關(guān)閉要實(shí)現(xiàn)相關(guān)需求可打開(kāi)，一般不使用

第6頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第7頁(yè)共61頁(yè)

FTP打開(kāi)

GTP關(guān)閉有些特殊局點(diǎn)需要開(kāi)啟

H.323關(guān)閉使用H.323協(xié)議的應(yīng)用需要開(kāi)啟，一般不使用。

ILS關(guān)閉

MSN關(guān)閉不使用。

NBT關(guān)閉

PPTP關(guān)閉有PPTP業(yè)務(wù)從防火墻透?jìng)?，需要開(kāi)啟，一般不使用。

QQ關(guān)閉不使用。

RTSP打開(kāi)

SCCP關(guān)閉

SIP關(guān)閉

SQLNET關(guān)閉僅適配老版本Oracle,一般不使用。

TFTP關(guān)閉

FW?3、（必選）防火墻雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)

動(dòng)

應(yīng)用說(shuō)明：

ComwarcV5防火墻在雙機(jī)組網(wǎng)場(chǎng)景中，當(dāng)兩臺(tái)設(shè)備使用相同的NATOutbound地址池、

NATServer.NATStatic的Global地址，且與接口主IP地址在同一網(wǎng)段時(shí)，需要在NAT命

令后跟trackvrrpwid配置，避免因主機(jī)和備機(jī)共享相同地址而出現(xiàn)ARP沖突。

參考配置思路：

以下為防火墻某外網(wǎng)端口配置示例：

interfaceGigabitEthemetO/2

portlink-moderoute

natoutboundstatictrackvrrp1

natoutbound3002address-group10trackvrrp1

第7頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第8頁(yè)共61頁(yè)

natoutbound3001trackvrrp1

natserverprotocoltcpglobal0000vrrp1

ipaddress

vrrpvrid1virtual-ip54

vrrpvrid1priority110

FW?4、（必選）配置ACL時(shí)慎用Denyany規(guī)則

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻的ACL主要用于軟件對(duì)業(yè)務(wù)或管理流量的識(shí)別與分類(lèi)，并不

直接用于報(bào)文的允許或阻斷動(dòng)作。在配置防火墻各軟件模塊功能參數(shù)時(shí)，常常需要使用ACL,

此時(shí)應(yīng)注意配置ACL規(guī)則時(shí)僅需匹配需要識(shí)別的具體流量即可，無(wú)須在所有規(guī)則最后配置

一條Denyany,這樣可以在很大程度上減少防火墻的無(wú)謂性能消耗。

參考配置思路：

例如，在配置NAT轉(zhuǎn)換策略時(shí)，需要通過(guò)ACL限制僅允許內(nèi)網(wǎng)/16網(wǎng)段的用戶(hù)

做出方向源地址轉(zhuǎn)換，引用至NAT命令，如下列所示ACL3001是正確的配置方式，而ACL

3002是錯(cuò)誤的配置方式。

#

aclnumber3001〃正確的ACL配置方式示例

rule10permitipsource55

#

aclnumber3002〃錯(cuò)誤的ACL配置方式示例

rule10permitipsource55

rule20denyip〃該條規(guī)則將引起不必要的性能消耗

#

第8頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第9頁(yè)共61頁(yè)

FW?5、（必選）防火墻使用獨(dú)立物理端口做雙機(jī)熱備口

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻支持雙機(jī)熱備功能，為提高HA連接的可靠性，兩臺(tái)防火墻應(yīng)

使用獨(dú)立物理端口直接互連形成雙機(jī)熱備，該端口不再承載普通業(yè)務(wù)流量。若兩臺(tái)防火墻熱

備口無(wú)法直接互聯(lián)，必須經(jīng)交換機(jī)橋接，則必須為HA連接單獨(dú)規(guī)劃部署一個(gè)二層鏈路或

VLAN,避免其他無(wú)關(guān)報(bào)文對(duì)防火墻雙機(jī)熱備口造成的沖擊。目前產(chǎn)品實(shí)現(xiàn)最多可以支持兩

條物理鏈路實(shí)現(xiàn)HA互聯(lián)。

參考配置思路：

盒式防火墻設(shè)備建議選擇第一個(gè)固定物理端口做HA口，為提高HA性能及穩(wěn)定性可選

擇前兩個(gè)固定物理端口做HA口。

插卡式防火墻設(shè)備可任選一個(gè)前面板物理端口做HA口，為提高HA性能及穩(wěn)定性可任

選兩個(gè)前面板物理端口做HA口。

FW?6、（必選）配置NTP保持防火墻時(shí)鐘正確同步

應(yīng)用說(shuō)明：

NTP（NetworkTimeProtocol,網(wǎng)絡(luò)時(shí)間協(xié)議）是一種時(shí)間同步搟議，用來(lái)在分布式時(shí)

間服務(wù)器和客戶(hù)端之間進(jìn)行時(shí)間同步。啟用NTP的目的是對(duì)網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)

行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種

應(yīng)用。如果防火墻系統(tǒng)時(shí)間不正確，將導(dǎo)致其產(chǎn)生的系統(tǒng)日志、操作日志、安全事件日志等

失去時(shí)效性，給日常維護(hù)和故障定位帶來(lái)諸多不便。

參考配置思路：

啟用防火墻NTP功能，同步正確的當(dāng)前系統(tǒng)時(shí)間。對(duì)于防火墻插卡需注意在啟用NTP

后禁用ACSEI客戶(hù)端功能，避免出現(xiàn)時(shí)鐘同步?jīng)_突。

#

ntp-serviceunicast-server

#

第9頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第1。頁(yè)共61頁(yè)

FW?7、（必選）采用二進(jìn)制格式輸出Userlog日志

應(yīng)用說(shuō)明：

ComwarcV5平臺(tái)防火墻支持Userlog日志輸出功能。設(shè)備根據(jù)業(yè)務(wù)報(bào)文的5元組（源

IP地址、目的IP地址、源端口、目的端口、協(xié)議號(hào)）對(duì)網(wǎng)絡(luò)流量進(jìn)行分類(lèi)統(tǒng)計(jì)，并生成Userlog

日志。Userlog日志會(huì)記錄報(bào)文的5元組、發(fā)送接收的流量大小等信息。網(wǎng)絡(luò)管理員利用這

些信息可以實(shí)時(shí)跟蹤、記錄用戶(hù)訪問(wèn)網(wǎng)絡(luò)的情況，增強(qiáng)網(wǎng)絡(luò)的安全性與可審計(jì)性。

防火墻Userlog日志支持以下兩種輸出方式，在實(shí)際部署時(shí)必須采用第2種方式：

1、以系統(tǒng)信息格式輸出至信息中心，再由信息中心決定日志的最終輸出方向。

2、以二進(jìn)制格式封裝成UDP報(bào)文直接輸出至指定的Userlog日志主機(jī)。

參考配置思路：

在防火墻Web配置頁(yè)面中，配置Userlog日志輸出參數(shù)時(shí)，不勾選“日志輸出到信息中

心”。具體配置界面示例如下：

在“日志管理”一“會(huì)話日志”一“全局設(shè)置”中，注意僅開(kāi)啟“發(fā)送會(huì)話刪除日志”。

第10頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第11頁(yè)共61頁(yè)

FW?8、（必選）SSLVPN采用IP接入方式配置資源

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻部分型號(hào)設(shè)備支持SSLVPN功能,可實(shí)現(xiàn)遠(yuǎn)程用戶(hù)安全接入訪

問(wèn)內(nèi)網(wǎng)資源。受SSLVPN實(shí)現(xiàn)原理限制，在實(shí)現(xiàn)部署時(shí)應(yīng)盡量避免使用Web方式、TCP

方式配置內(nèi)網(wǎng)資源，盡量使用IP方式配置，以實(shí)現(xiàn)更好的業(yè)務(wù)兼容性及穩(wěn)定性。

參考配置思路：

配置SSLVPN時(shí)，推薦采用IP方式進(jìn)行內(nèi)網(wǎng)資源配置。

FW?9、（必選）DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻支持根據(jù)包含DNS協(xié)議在內(nèi)的應(yīng)用層協(xié)議進(jìn)行會(huì)話檢測(cè)與管

理功能。為提高防火墻處理效率，避免DNS業(yè)務(wù)流相關(guān)會(huì)話表項(xiàng)在防火墻內(nèi)存中駐留過(guò)長(zhǎng)

時(shí)間。建議當(dāng)啟用ALGDNS功能時(shí)，設(shè)置較短的DNS協(xié)議應(yīng)用層老化時(shí)間。

參考配置思路：

出廠默認(rèn)配置未啟用ALGDNS功能，若根據(jù)客戶(hù)業(yè)務(wù)需要啟用后，應(yīng)注意配置DNS

協(xié)議應(yīng)用層老化時(shí)間為5秒。防火墻Web頁(yè)面具體配置示例如下圖所示：

第11頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第12頁(yè)共61頁(yè)

應(yīng)用層協(xié)議老化時(shí)間

DN噲?jiān)挼睦匣瘯r(shí)間：5*（5-10000?,缺省值=60）

FTP會(huì)話的老化時(shí)間：36004（5-10000?,缺省值=3600）

MSN會(huì)話的老化時(shí)間：3600*（5-10000瞅缺省值=3600）

QQ會(huì)話的老化時(shí)間：的4（5-10000?,缺省值=60）

SIP會(huì)話的老化時(shí)間：300*（5-10000配，缺省值:300）

星號(hào)（*）為必須填寫(xiě)項(xiàng)

確定

FW-10s（必選）防火墻不啟用QoS功能

應(yīng)用說(shuō)明：

防火墻支持部分ComwareV5平臺(tái)QoS功能，如QoSCAR限速。但啟用防火墻QoS

功能會(huì)對(duì)其轉(zhuǎn)發(fā)性能造成非常大的影響，因此當(dāng)防火墻轉(zhuǎn)發(fā)業(yè)務(wù)流量較大時(shí)不要配置啟用任

何QoS策略。

參考配置思路：

不在防火墻上配置QoS策略＜

FW.11、（必選）防火墻地址對(duì)象范圍地址配置優(yōu)化

應(yīng)用說(shuō)明：

ComwareV5防火墻支持通過(guò)在域間策略中引用資源對(duì)象來(lái)簡(jiǎn)化配置工作，當(dāng)管理員在

進(jìn)行地址對(duì)象的配置時(shí)，可通過(guò)主機(jī)地址、范圍地址、子網(wǎng)地址三種方式進(jìn)行配置。當(dāng)需要

對(duì)較大范圍的地址進(jìn)行匹配時(shí)，建議盡量使用子網(wǎng)地址方式，否則會(huì)對(duì)設(shè)備性能產(chǎn)生較大影

響。

參考配置思路：

防火墻上進(jìn)行大量地址的對(duì)象資源配置時(shí)，盡量采用子網(wǎng)地址方式進(jìn)行配置。下圖所示

為反例，萬(wàn)不可效仿:

第12頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第13頁(yè)共61頁(yè)

FW?12、（必選）部分型號(hào)防火墻業(yè)務(wù)端口選擇建議

應(yīng)用說(shuō)明：

部分ComwareV5平臺(tái)防火墻受硬件設(shè)計(jì)原因所限，其GigabitEthernetO/4、

GigabitEthernetO/5端口轉(zhuǎn)發(fā)性能較低，在設(shè)備部署實(shí)施過(guò)程中應(yīng)避免將其應(yīng)用為業(yè)務(wù)端口或

雙機(jī)熱備口，建議可用作設(shè)備帶外管理端口并劃分至系統(tǒng)管理區(qū)域。

適用本優(yōu)化建議的產(chǎn)品型號(hào)具體包括：

SecPath系列FW：F1OOOS-ELF1OOOC-SLF1OOA-SLF100M-SLF100E-G、F100A-G、

F100M-G

SecPath系歹UUTM：U200?A、U200-M、U200-CA

參考配置思路：

不在上述型號(hào)FW或UTM設(shè)備上將GigabitEthernetO/4.GigabitEthernetO/5配置為業(yè)務(wù)

端口或雙機(jī)熱備口，可將其用于帶外網(wǎng)管口并劃分至Management區(qū)域。

FW-13、（必選）禁用會(huì)話加速功能

應(yīng)用說(shuō)明：

會(huì)話加速功能可以在特定應(yīng)用場(chǎng)景下提升防火墻設(shè)備的每秒新建連接性能。需要注意的

是，如果會(huì)話發(fā)起方報(bào)文的出接口與響應(yīng)方報(bào)文的入接口不同，并且兩個(gè)接口上的業(yè)務(wù)配置

也不相同，則不能實(shí)現(xiàn)會(huì)話加速。該功能可以在特殊應(yīng)用場(chǎng)景中提高設(shè)備轉(zhuǎn)發(fā)性能，但由于

第13頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第14頁(yè)共61頁(yè)

其應(yīng)用場(chǎng)景畢竟有限，因此通常情況下應(yīng)該保持默認(rèn)配置，即關(guān)閉此功能。

參考配置思路:

“會(huì)話加速”功能的配置界而在Web管理頁(yè)中的“防火墻”一“會(huì)話管理”一“高級(jí)

設(shè)置”一“會(huì)話加速”，去掉“啟用會(huì)話加速”&選框的勾并單擊“確定”按鈕即可關(guān)閉本

功能。

虛擬分片重組ASPF會(huì)話加速

啟用會(huì)話加速

確定

FW?14、（必選）禁用ACL加速功能

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻部分型號(hào)產(chǎn)品支持ACL加速特性，通過(guò)啟用該特性，可使軟

件在對(duì)單個(gè)ACL中存在大量規(guī)則時(shí)的查找匹配速度更快。但另一方面，當(dāng)啟用某條ACL

的加速特性后，不允許再對(duì)該ACL進(jìn)行任何修改，否則會(huì)造成加速失效，規(guī)則查找匹配將

出現(xiàn)混亂。為避免日常維護(hù)過(guò)程中因操作失誤，導(dǎo)致管理員在啟用ACL加速的狀態(tài)下修改

規(guī)則導(dǎo)致配置失效，在實(shí)際生產(chǎn)環(huán)境中建議禁用ACL加速功能。

參考配置思路：

在防火墻Web配置頁(yè)面中，禁用ACL加速功能。停止加速后，正確的狀態(tài)如下圖所示:

ACL加速狀態(tài)圖標(biāo)描述：?已加速。未加速鐵效

|訪問(wèn)控制列凄ID?查詢(xún)_||高級(jí)查詢(xún)

□訪問(wèn)控制列裹ID類(lèi)型規(guī)則數(shù)里匹配I順序描述ACL加速管理操作

□3001高級(jí)1用戶(hù)配置61口諫爭(zhēng)!1

□3002高級(jí)2用戶(hù)配置61解

新建刪除選中刪除全部

第14頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第15頁(yè)共61頁(yè)

FW-15.（必選）禁用域間策略加速功能

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻部分型號(hào)產(chǎn)品支持域間策略加速特性，通過(guò)啟用該特性，可使

軟件在進(jìn)行域間策略查找匹配時(shí)速度更快。但另一方面，某兩個(gè)安全區(qū)域之間啟用域間策略

加速特性后，不允許再對(duì)該域間的任何策略進(jìn)行修改，否則會(huì)造成加速失效，策略查找匹配

將出現(xiàn)混亂。為避免日常維護(hù)過(guò)程中因操作失誤，導(dǎo)致管理員在啟用域間策略加速的狀態(tài)下

修改規(guī)則導(dǎo)致配置失效，在實(shí)際生產(chǎn)環(huán)境中建議禁用域間策略加速功能。

參考配置思路：

在防火墻Web配置頁(yè)面中，禁用域間策略加速功能。停止加速后，正確的狀態(tài)如下圖

所示：

ACL加速狀態(tài)圖標(biāo)描述：?己加速G未加速鐵效

源域目的域規(guī)則數(shù)量ACL加速管理

UntrustTrust1

DMZUntrust16io諫

UntrustDMZ1

FW?16、（必選）禁止通過(guò)ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問(wèn)

控制

應(yīng)用說(shuō)明：

為提高防火墻在網(wǎng)運(yùn)行健壯性，管理員應(yīng)嚴(yán)格限制可以遠(yuǎn)程訪問(wèn)設(shè)備的源主機(jī)IP地址。

在配置此類(lèi)策略時(shí)，注意不要通過(guò)軟件ACL方式做簡(jiǎn)單限制。例如，以下兩種通過(guò)配置方

式都是不推薦的。

1、在user-interface下配置ACL,對(duì)SSH做訪問(wèn)控制。

user-interfacevty04

acl2001inbound

2、在IPHTTPS后面配置ACL,對(duì)HTTPS做訪問(wèn)控制。

iphttpsacl2001

第15頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第16頁(yè)共61頁(yè)

參考配置思路：

在防火墻上配置限制可以遠(yuǎn)程訪問(wèn)本設(shè)備的主機(jī)源IP地址，應(yīng)通過(guò)配置防火墻域間策

略實(shí)現(xiàn)。

FW-17>（必選）禁止使用弱口令

應(yīng)用說(shuō)明：

防火墻遠(yuǎn)程管理相關(guān)SNMP、SSH/Telent.等功能，一般通過(guò)用戶(hù)名密碼對(duì)管理員或管

理服務(wù)器進(jìn)行認(rèn)證和鑒權(quán)。在實(shí)際部署過(guò)程中，不得因貪圖一時(shí)方便而使用弱口令，給系統(tǒng)

安全留下隱患。

參考配置思路：

設(shè)備開(kāi)局部署階段及時(shí)做好密碼管理工作，避免使用弱口令，推薦啟用password-control

相關(guān)功能。

FW?18、（必選）禁止使用動(dòng)態(tài)鏈路聚合模式

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻支持二三層鏈路聚合功能，受性能因素影響，在實(shí)際開(kāi)局部署

過(guò)程中，應(yīng)采用靜態(tài)鏈路聚合模式進(jìn)行配置。

參考配置思路：

設(shè)備開(kāi)局部署階段需要啟用鏈路聚合功能時(shí)，使用靜態(tài)鏈路聚合模式。

FW-19>（必選）IPSecVPN模板策略配置優(yōu)化

應(yīng)用說(shuō)明：

ComwareV5平臺(tái)防火墻支持“中心一一分支"型IPSecVPN,為簡(jiǎn)化中心側(cè)設(shè)備配置，

可以采用模板方式進(jìn)行策略配置。管理員在進(jìn)行模板策略配置時(shí)，須特別注意不要配置成如

第16頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第17頁(yè)共61頁(yè)

下形式，即每個(gè)分支節(jié)點(diǎn)對(duì)應(yīng)一個(gè)不同的模板。由于最終的IPSec策略中引用了多個(gè)模板，

會(huì)導(dǎo)致軟件匹配查找時(shí)效率大大降低。

錯(cuò)誤的配置方式：

ipsecpolicy-templatetcmp_l1

ipsecpolicy-templatetemp_21

ipsecpolicy-templatetemp_3I

ipsecpolicytest1isakmptemplatetemp_l

ipsecpolicytest2isakmptemplatetemp_2

ipsecpolicytest3isakmptemplatetemp_3

參考配置思路：

正確的配置方式為：若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)相同，則推薦使用單個(gè)策略模板進(jìn)行

匹配；若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)不同，則應(yīng)當(dāng)利用策略模板中的序列號(hào)參數(shù)創(chuàng)建多個(gè)不

同協(xié)商參數(shù)的策略組合，而整體上仍然保持只有一個(gè)策略模板，這樣便可以極大地優(yōu)化軟件

處理效率及速度。

正確的配置方式：

ipsecpolicy-templatetemp1

ipsecpolicy-templatetemp2

ipsecpolicy-templatetemp3

ipsecpolicytestIisakmptemplatetemp

FW?20、（必選）合理修改三層業(yè)務(wù)口TCPMSS參數(shù)

應(yīng)用說(shuō)明：

防火墻各三層業(yè)務(wù)口默認(rèn)狀態(tài)下TCPMSS參數(shù)值為1460字節(jié)，加上TCP包頭及IP包

頭長(zhǎng)度后正好為以太網(wǎng)最大負(fù)載長(zhǎng)度1500字節(jié)，當(dāng)報(bào)文從普通以太網(wǎng)端口發(fā)出時(shí)無(wú)需進(jìn)行

IP分片操作。但在諸如L2TPVPN、GREVPN、IPSecVPN等防火墻常見(jiàn)應(yīng)用場(chǎng)景中，由于

防火墻在進(jìn)行業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)前需額外封裝包頭，導(dǎo)致報(bào)文最終長(zhǎng)度會(huì)超過(guò)接口MTU,引起

IP分片操作，大大降低流量處理效率。因此，在防火墻開(kāi)局部署階段應(yīng)該注意根據(jù)實(shí)際鏈

第17頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第18頁(yè)共61頁(yè)

路及配置情況，靈活調(diào)整TCPM3S參數(shù)值，避免防火墻轉(zhuǎn)發(fā)報(bào)文過(guò)程中執(zhí)行1P分片操作。

參考配置思路：

在配置VT端口或Tunnel端口后，需在端口上根據(jù)物理接口MTU計(jì)算并修改合理的

TCPMSS參數(shù)，通常修改為1400字節(jié)。命令行配置示例如下：

#

interfaceVirtual-Template!

topmss1400

#

interfaceTunnel1

tcpmss1400

tunnel-protocolipsecipv4

#

在配置IKE/IPSecVPN策略時(shí)，應(yīng)根據(jù)業(yè)務(wù)流量走向規(guī)劃，在業(yè)務(wù)流量對(duì)應(yīng)防火墻的入

出業(yè)務(wù)接口修改TCPMSS參數(shù)，保證經(jīng)IPSec封裝后的報(bào)文長(zhǎng)度不會(huì)引起防火墻執(zhí)行IP分

片操作，通常修改為1350字節(jié)。

FW?21、（可選）利用域間策略對(duì)防火墻實(shí)施路由環(huán)路

保護(hù)

應(yīng)用說(shuō)明：

可以利用域間策略來(lái)將防火墻接收到的三層環(huán)路報(bào)文丟棄處理，例如存在路由環(huán)路的接

口已添加至Trust區(qū)域，則可以配置從Trust到Trusi的域間策略，動(dòng)作配置為Deny,從而

將防火墻從Trusi接收但仍將轉(zhuǎn)發(fā)至Trust區(qū)域的報(bào)文直接丟棄。注意實(shí)施該配置方法的前

提，即配置防火墻安全區(qū)域時(shí)，提前按業(yè)務(wù)及組網(wǎng)需求規(guī)劃好各個(gè)安全區(qū)域，不能簡(jiǎn)單地將

全部接口加入同一個(gè)安全區(qū)域中。若同一區(qū)域已包含多個(gè)接口，且各接口之間確有業(yè)務(wù)互訪

需求時(shí)，可以先配置相應(yīng)的允許策略，再配置防環(huán)路策略：或者重新將各個(gè)接口劃分至不同

的安全區(qū)域中，再配置防環(huán)路策略。

參考配置思路:

第18頁(yè)共61頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第19頁(yè)共61頁(yè)

綜合以上原則，假設(shè)Trusl區(qū)域僅包含一個(gè)物理端口，無(wú)內(nèi)部無(wú)訪需求，為實(shí)現(xiàn)防止內(nèi)

網(wǎng)口三層環(huán)路報(bào)文沖擊防火墻，在Web管理界面中防環(huán)路策略配置如下圖所示:

4原域5?1|徽直海

琮慢目的回ID目的鶴時(shí)同段過(guò)闞昨內(nèi)吝述日模板量遂啟用選項(xiàng)日起雁fMACjewa?MACjew

多金

BTrustTrust0arwaMressanyadsessam,seviceDeny礴

電＜

FW-22.（可選）虛擬分片重組功能配置優(yōu)化

應(yīng)用說(shuō)明：

為了避免每個(gè)業(yè)務(wù)模塊（如：IPNec、NAT和防火墻）單獨(dú)處理后片先到（報(bào)文分片后）

而導(dǎo)致復(fù)雜度過(guò)高，設(shè)備需要將收到的IP報(bào)文執(zhí)行虛擬分片重組功能，以實(shí)現(xiàn)對(duì)IP分片報(bào)

文的檢驗(yàn)、排序和緩存，保證其它后續(xù)業(yè)務(wù)模塊處理的都是順序正確的IP分片報(bào)文。另外，

IP虛擬分片重組功能還可以對(duì)分片攻擊進(jìn)行檢測(cè)，如果檢測(cè)到分片攻擊行為，設(shè)備可以丟

棄收到的異常分片報(bào)文，提高設(shè)備的安全性與性能。

參考配置思路：

當(dāng)防火墻出現(xiàn)IP大包不通或丟包現(xiàn)象時(shí)，可以在虛擬分片重組功能配置頁(yè)面，將“分

片隊(duì)列數(shù)”和“分片報(bào)文數(shù)”調(diào)整至最大值，老化時(shí)間保持默認(rèn)值即可。

r防火墻

產(chǎn)安全策略成概分片重?fù)?dān)ASPF會(huì)話力使

卜域間融

后全區(qū)域Trust▼

策蹄加速

函使能虛擬分片重蛆

一域間策解組

一策露匹螺統(tǒng)計(jì)分片隊(duì)歹蛾：,1024*（1-1024,缺省0=64）

引用關(guān)系查調(diào)

分片報(bào)文數(shù)：■5―*《1-255,缺省值=16）

-ONAT

分片隊(duì)列走做寸間：3型（1