【正文】 務(wù)IP地址配置為sub地址的方式實(shí)現(xiàn)；在LB雙機(jī)組網(wǎng)環(huán)境中，可以通過將虛服務(wù)IP地址配置為VRRP虛地址的方式實(shí)現(xiàn)。但從實(shí)際部署應(yīng)用效果看，啟用就近性后會(huì)大量消耗LB控制平面處理性能，造成控制平面不穩(wěn)定、業(yè)務(wù)流量訪問緩慢等諸多更嚴(yán)重的問題，且難以實(shí)現(xiàn)預(yù)期效果。需注意，IP方式配置虛服務(wù)優(yōu)先級更高，因此建議改為ACL方式配置虛服務(wù)后，不再保留任何IP方式配置的虛服務(wù)。采用IP方式配置虛服務(wù)，其形式和效果與普通的目的地址路由表項(xiàng)相似，都是在設(shè)備接收到報(bào)文后根據(jù)會(huì)話首包的目的IP地址進(jìn)行虛服務(wù)查找匹配?；诹髡{(diào)度，即將具有相同5元組（源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議號）的同一條流分配到同一個(gè)vCPU進(jìn)行處理，處理過程保證先進(jìn)先出。配置界面如下圖所示，不勾選“支持非對稱路徑備份”。當(dāng)前防火墻雙機(jī)熱備支持兩種不同模式：不支持非對稱路徑備份：是指兩臺(tái)設(shè)備同時(shí)正常工作時(shí)，一條會(huì)話中的數(shù)據(jù)流進(jìn)入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備必須相同，即進(jìn)入內(nèi)網(wǎng)時(shí)經(jīng)過雙機(jī)熱備中的一臺(tái)設(shè)備，從內(nèi)網(wǎng)出去時(shí)經(jīng)過的設(shè)備是進(jìn)入時(shí)經(jīng)過的設(shè)備。TCP代理功能需要在攻擊來源區(qū)域上啟用，共分“單向”、“雙向”兩種模式，建議啟用“單向”模式，下圖所示為“雙向”模式。參考配置思路：如果需要在防火墻上開啟本功能，必須首先了解客戶當(dāng)前的業(yè)務(wù)情況，尤其是每秒新建連接數(shù)、最大并發(fā)連接數(shù)等關(guān)鍵參數(shù)，否則無法合理配置檢測閾值及恢復(fù)閾值。FW2（可選）流量異常檢測功能配置優(yōu)化應(yīng)用說明：防火墻流量異常檢測功能，即泛洪攻擊檢測功能主要用于保護(hù)服務(wù)器。下圖為Web配置界面舉例：FW2（可選）報(bào)文異常檢測功能配置優(yōu)化應(yīng)用說明：單包攻擊（亦稱為畸形報(bào)文檢測）是指攻擊者通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文，如分片重疊的IP報(bào)文、TCP標(biāo)志位非法的報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IP報(bào)文時(shí)出錯(cuò)、崩潰，給目標(biāo)系統(tǒng)帶來損失，或者通過發(fā)送大量無用報(bào)文占用網(wǎng)絡(luò)帶寬等行為來造成攻擊。FW2（可選）會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化應(yīng)用說明：防火墻會(huì)話管理主要基于傳輸層協(xié)議對報(bào)文進(jìn)行檢測。若同一區(qū)域已包含多個(gè)接口，且各接口之間確有業(yè)務(wù)互訪需求時(shí)，可以先配置相應(yīng)的允許策略，再配置防環(huán)路策略；或者重新將各個(gè)接口劃分至不同的安全區(qū)域中，再配置防環(huán)路策略。參考配置思路：在配置VT端口或Tunnel端口后，需在端口上根據(jù)物理接口MTU計(jì)算并修改合理的TCP MSS參數(shù)，通常修改為1400字節(jié)。錯(cuò)誤的配置方式：ipsec policytemplate temp_1 1ipsec policytemplate temp_2 1ipsec policytemplate temp_3 1ipsec policy test 1 isakmp template temp_1ipsec policy test 2 isakmp template temp_2ipsec policy test 3 isakmp template temp_3參考配置思路：正確的配置方式為：若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)相同，則推薦使用單個(gè)策略模板進(jìn)行匹配；若各分支節(jié)點(diǎn)IKE協(xié)商參數(shù)不同，則應(yīng)當(dāng)利用策略模板中的序列號參數(shù)創(chuàng)建多個(gè)不同協(xié)商參數(shù)的策略組合，而整體上仍然保持只有一個(gè)策略模板，這樣便可以極大地優(yōu)化軟件處理效率及速度。參考配置思路：設(shè)備開局部署階段需要啟用鏈路聚合功能時(shí)，使用靜態(tài)鏈路聚合模式。FW1（必選）禁止使用弱口令應(yīng)用說明：防火墻遠(yuǎn)程管理相關(guān)SNMP、SSH/Telent、FTP、HTTP/HTTPS等功能，一般通過用戶名密碼對管理員或管理服務(wù)器進(jìn)行認(rèn)證和鑒權(quán)。例如，以下兩種通過配置方式都是不推薦的。為避免日常維護(hù)過程中因操作失誤，導(dǎo)致管理員在啟用域間策略加速的狀態(tài)下修改規(guī)則導(dǎo)致配置失效，在實(shí)際生產(chǎn)環(huán)境中建議禁用域間策略加速功能。為避免日常維護(hù)過程中因操作失誤，導(dǎo)致管理員在啟用ACL加速的狀態(tài)下修改規(guī)則導(dǎo)致配置失效，在實(shí)際生產(chǎn)環(huán)境中建議禁用ACL加速功能。該功能可以在特殊應(yīng)用場景中提高設(shè)備轉(zhuǎn)發(fā)性能，但由于其應(yīng)用場景畢竟有限，因此通常情況下應(yīng)該保持默認(rèn)配置，即關(guān)閉此功能。下圖所示為反例，萬不可效仿：FW1（必選）部分型號防火墻業(yè)務(wù)端口選擇建議應(yīng)用說明：部分Comware V5平臺(tái)防火墻受硬件設(shè)計(jì)原因所限，其GigabitEthernet0/GigabitEthernet0/5端口轉(zhuǎn)發(fā)性能較低，在設(shè)備部署實(shí)施過程中應(yīng)避免將其應(yīng)用為業(yè)務(wù)端口或雙機(jī)熱備口，建議可用作設(shè)備帶外管理端口并劃分至系統(tǒng)管理區(qū)域。參考配置思路：不在防火墻上配置QoS策略。建議當(dāng)啟用ALG DNS功能時(shí)，設(shè)置較短的DNS協(xié)議應(yīng)用層老化時(shí)間。受SSL VPN實(shí)現(xiàn)原理限制，在實(shí)現(xiàn)部署時(shí)應(yīng)盡量避免使用 Web方式、TCP方式配置內(nèi)網(wǎng)資源，盡量使用IP方式配置，以實(shí)現(xiàn)更好的業(yè)務(wù)兼容性及穩(wěn)定性。以二進(jìn)制格式封裝成UDP報(bào)文直接輸出至指定的Userlog日志主機(jī)。設(shè)備根據(jù)業(yè)務(wù)報(bào)文的5元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議號）對網(wǎng)絡(luò)流量進(jìn)行分類統(tǒng)計(jì)，并生成Userlog日志。如果防火墻系統(tǒng)時(shí)間不正確，將導(dǎo)致其產(chǎn)生的系統(tǒng)日志、操作日志、安全事件日志等失去時(shí)效性，給日常維護(hù)和故障定位帶來諸多不便。參考配置思路：盒式防火墻設(shè)備建議選擇第一個(gè)固定物理端口做HA口，為提高HA性能及穩(wěn)定性可選擇前兩個(gè)固定物理端口做HA口。參考配置思路：例如，在配置NAT轉(zhuǎn)換策略時(shí)，引用至NAT命令，如下列所示ACL 3001是正確的配置方式，而ACL 3002是錯(cuò)誤的配置方式。RTSP打開SCCP關(guān)閉SIP關(guān)閉SQLNET關(guān)閉僅適配老版本Oracle，一般不使用。DNS關(guān)閉要實(shí)現(xiàn)相關(guān)需求可打開，一般不使用FTP打開GTP關(guān)閉有些特殊局點(diǎn)需要開啟關(guān)閉，一般不使用。ALG的工作包括：解析數(shù)據(jù)報(bào)文載荷中的IP地址信息，并根據(jù)需要對其進(jìn)行NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）處理；提取數(shù)據(jù)通道信息，為后續(xù)的會(huì)話連接建立數(shù)據(jù)通道。參考配置思路：1. 配置允許網(wǎng)管計(jì)算機(jī)訪問local區(qū)域的域間策略，允許包括HTTP、HTTPS、Telnet、SSH、SNMP、FTP、TFTP、PING等常見網(wǎng)管相關(guān)協(xié)議訪問本地，域間策略源IP地址范圍應(yīng)做嚴(yán)格限制，避免非管理主機(jī)訪問防火墻本地；2. 配置允許防火墻與其它網(wǎng)絡(luò)設(shè)備進(jìn)行協(xié)議交互的域間策略，例如VRRP，OSPF，BGP、PING、IKE、L2TP，ESP等常見協(xié)議； 3. 確認(rèn)其他網(wǎng)絡(luò)設(shè)備是否有目的地址為防火墻本地的探測，例如NQA、BFD等，如有則必須補(bǔ)充允許其他設(shè)備探測報(bào)文到達(dá)防火墻本地的域間策略；4．配置域間策略時(shí)應(yīng)盡量使用明確的源目的IP地址范圍，減少使用“any_address”等方式的粗放管理型配置，Untrust區(qū)域?yàn)镮nternet，則配置域間策略時(shí)應(yīng)將Trust區(qū)域源IP地址范圍配置為 ，使策略更加合理精確，阻斷可能出現(xiàn)的源地址欺騙報(bào)文經(jīng)防火墻轉(zhuǎn)發(fā)。ACG1（可選）不啟用IPS DDoS攻擊防范策略 59FW（必選）通過配置域間策略對防火墻本地實(shí)施保護(hù)應(yīng)用說明：Comware V5平臺(tái)防火墻為便于用戶登錄管理設(shè)備，當(dāng)前實(shí)現(xiàn)機(jī)制為默認(rèn)所有安全區(qū)域都可以訪問代表防火墻自身的Local區(qū)域。ACG（必選）帶寬管理P2P限流規(guī)則配置優(yōu)化 54IPSamp。ACG（必選）通過NTP\ACSEI保持IPS/ACG時(shí)鐘同步正確 49IPSamp。58 / 58聲明 2FW（必選）通過配置域間策略對防火墻本地實(shí)施保護(hù) 5FW（必選）防火墻ALG功能配置優(yōu)化 6FW（必選）防火墻雙機(jī)組網(wǎng)環(huán)境NAT與VRRP聯(lián)動(dòng) 7FW（必選）配置ACL時(shí)慎用Deny any規(guī)則 8FW（必選）防火墻使用獨(dú)立物理端口做雙機(jī)熱備口 8FW（必選）配置NTP保持防火墻時(shí)鐘正確同步 9FW（必選）采用二進(jìn)制格式輸出Userlog日志 9FW（必選）SSL VPN采用IP接入方式配置資源 11FW（必選）DNS協(xié)議應(yīng)用層老化時(shí)間配置優(yōu)化 11FW（必選）防火墻不啟用QoS功能 12FW1（必選）防火墻地址對象范圍地址配置優(yōu)化 12FW1（必選）部分型號防火墻業(yè)務(wù)端口選擇建議 12FW1（必選）禁用會(huì)話加速功能 13FW1（必選）禁用ACL加速功能 14FW1（必選）禁用域間策略加速功能 14FW1（必選）禁止通過ACL方式實(shí)現(xiàn)遠(yuǎn)程管理訪問控制 15FW1（必選）禁止使用弱口令 15FW1（必選）禁止使用動(dòng)態(tài)鏈路聚合模式 16FW1（必選）IPSec VPN模板策略配置優(yōu)化 16FW（必選）合理修改三層業(yè)務(wù)口TCP MSS參數(shù) 17FW2（可選）利用域間策略對防火墻實(shí)施路由環(huán)路保護(hù) 18FW2（可選）虛擬分片重組功能配置優(yōu)化 18FW2（可選）會(huì)話表項(xiàng)老化時(shí)間參數(shù)配置優(yōu)化 19FW2（可選）報(bào)文異常檢測功能配置優(yōu)化 20FW2（可選）流量異常檢測功能配置優(yōu)化 21FW2（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)中避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā) 23FW2（可選）采用逐流轉(zhuǎn)發(fā)模式 24LB（必選）Outbound鏈路負(fù)載均衡優(yōu)先通過ACL方式進(jìn)行虛服務(wù)配置 26LB（必選）Outbound鏈路負(fù)載均衡不啟用就近性 27LB（必選）服務(wù)器負(fù)載均衡虛服務(wù)IP不響應(yīng)ARP請求限制的解決方法 28LB（必選）采用二進(jìn)制格式輸出Userlog日志 29LB（必選）關(guān)于實(shí)服務(wù)故障處理方式的配置選擇 30LB（必選）配置NTP保持時(shí)鐘正確同步 32LB（必選）RADIUS業(yè)務(wù)與強(qiáng)制負(fù)載均衡特性配置優(yōu)化 33LB（必選）使用獨(dú)立物理端口做雙機(jī)熱備口 34LB（必選）配置ACL時(shí)慎用Deny any規(guī)則 35LB（必選）不啟用QoS功能 35LB1（必選）不啟用攻擊防范功能 36LB1（必選）禁用ACL加速功能 36LB1（可選）業(yè)務(wù)端口添加安全區(qū)域?qū)傩?36LB1（可選）雙機(jī)熱備會(huì)話同步組網(wǎng)避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā) 38LB1（可選）優(yōu)先采用四層負(fù)載均衡模式滿足客戶配置需求 39LB1（可選）采用逐流轉(zhuǎn)發(fā)模式 40IPSamp。該文檔由H3C總部安全技術(shù)支持工程師通過長期技術(shù)積累總結(jié)而來，請務(wù)必在安全產(chǎn)品部署實(shí)施中重視本操作規(guī)范要求，保障設(shè)備在網(wǎng)運(yùn)行效果及穩(wěn)定性。安全產(chǎn)品配置優(yōu)化操作規(guī)范（FW、LB、IPSamp。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本書內(nèi)容的部分或全部，并不得以任何形式傳播。l 可選項(xiàng)：在客戶無明確要求且不影響客戶使用情況下，視具體組網(wǎng)環(huán)境可選部署。ACG（必選）定期檢查IPS/ACG特征庫版本是否正常更新 48IPSamp。ACG（必選）正則表達(dá)式URL過濾規(guī)則的配置優(yōu)化 54IPSamp。ACG1（可選）ACG流日志配置優(yōu)化 58IPSamp。自2014年7月起，新軟件版本的Comware V5平臺(tái)防火墻進(jìn)行了一次默認(rèn)策略變更切換，將默認(rèn)所有安全區(qū)域及Local區(qū)域之間的策略變更為全部禁止互訪，以滿足市場需求并加強(qiáng)安全性，詳見請查詢《H3C 技術(shù)公告【2014】018號關(guān)于H3C Comware V5平臺(tái)防火墻變更默認(rèn)域間策略轉(zhuǎn)發(fā)規(guī)則的公告》。當(dāng)應(yīng)用層數(shù)據(jù)中包含IP地址時(shí)，ALG可以對該地址進(jìn)行處理，以保證后續(xù)該地址對應(yīng)的連接能夠正確建立。當(dāng)防火墻做三層轉(zhuǎn)發(fā)部署時(shí)，以下為H3C防火墻應(yīng)用的ALG推薦配置，建議只開啟FTP和RTSP，關(guān)閉其他ALG功能。關(guān)閉不使用。在配置防火墻各軟件模塊功能參數(shù)時(shí)，常常需要使用ACL，此時(shí)應(yīng)注意配置ACL規(guī)則時(shí)僅需匹配需要識(shí)別的具體流量即可，無須在所有規(guī)則最后配置一條Deny any，這樣可以在很大程度上減少防火墻的無謂性能消耗。目前產(chǎn)品實(shí)現(xiàn)最多可以支持兩條物理鏈路實(shí)現(xiàn)HA互聯(lián)。啟用NTP的目的是對網(wǎng)絡(luò)內(nèi)所有具有時(shí)鐘的設(shè)備進(jìn)行時(shí)鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時(shí)鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時(shí)間的多種應(yīng)用。 ntpservice unicastserver FW（必選）采用二進(jìn)制格式輸出Userlog日志應(yīng)用說明：Comware V5平臺(tái)防火墻支持Userlog日志輸出功能。防火墻Userlog日志支持以下兩種輸出方式，在實(shí)際部署時(shí)必須采用第2種方式：以系統(tǒng)信息格式輸出至信息中心，再由信息中心決定日志的最終輸出方向。FW（必選）SSL VPN采用IP接入方式配置資源應(yīng)用說明：Comware V5平臺(tái)防火墻部分型號設(shè)備支持SSL VPN功能，可實(shí)現(xiàn)遠(yuǎn)程用戶安全接入訪問內(nèi)網(wǎng)資源。為提高防火墻處理效率，避免DNS業(yè)務(wù)流相關(guān)會(huì)話表項(xiàng)在防火墻內(nèi)存中駐留過長時(shí)間。但啟用防火墻QoS功能會(huì)對其轉(zhuǎn)發(fā)性能造成非常大的影響，因此當(dāng)防火墻轉(zhuǎn)發(fā)