【文章內(nèi)容簡介】 攻擊檢測狀態(tài)，當它監(jiān)測到向某臺服務(wù)器IP地址發(fā)送報文的速率持續(xù)達到或超過判斷閾值時，即認為該服務(wù)器受到了攻擊并轉(zhuǎn)入攻擊防范狀態(tài)，防火墻可以視具體配置情況啟動相應(yīng)的防范措施（輸出告警日志、或?qū)⒑罄m(xù)新建連接的報文進行丟棄處理）。此后，當設(shè)備檢測到向該服務(wù)器發(fā)送報文的速率低于恢復(fù)閾值時，即認為攻擊行為已停止，防火墻將由攻擊防范狀態(tài)恢復(fù)為攻擊檢測狀態(tài)，并停止執(zhí)行防范措施。參考配置思路：如果需要在防火墻上開啟本功能，必須首先了解客戶當前的業(yè)務(wù)情況，尤其是每秒新建連接數(shù)、最大并發(fā)連接數(shù)等關(guān)鍵參數(shù)，否則無法合理配置檢測閾值及恢復(fù)閾值。目前支持的攻擊檢測類型主要有SYN Flood、UDP flood、ICMP flood等。由于實現(xiàn)機制原因，如非必要不建議在日常運維過程中開啟UDP flood和ICMP flood檢測。配置SYN Flood檢測，安全區(qū)域為需保護主機所在的區(qū)域。TCP代理功能需要在攻擊來源區(qū)域上啟用，共分“單向”、“雙向”兩種模式，建議啟用“單向”模式，下圖所示為“雙向”模式。支持手工將被保護主機地址添加至TCP代理表中。如果需保護主機的IP地址不明確，但可以確定其安全區(qū)域，則可以基于該安全區(qū)域配置攻擊檢測防范策略。FW2（可選）雙機熱備會話同步組網(wǎng)中避免業(yè)務(wù)流量非對稱路徑轉(zhuǎn)發(fā)應(yīng)用說明：Comware V5平臺防火墻支持雙機熱備會話同步功能，成功使能了雙機熱備的兩臺防火墻可以實現(xiàn)普通會話、子會話、關(guān)聯(lián)表、NAT、ALG、黑名單、ASPF等業(yè)務(wù)信息的實時同步。當前防火墻雙機熱備支持兩種不同模式：不支持非對稱路徑備份：是指兩臺設(shè)備同時正常工作時，一條會話中的數(shù)據(jù)流進入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備必須相同，即進入內(nèi)網(wǎng)時經(jīng)過雙機熱備中的一臺設(shè)備，從內(nèi)網(wǎng)出去時經(jīng)過的設(shè)備是進入時經(jīng)過的設(shè)備。支持非對稱路徑備份：是指兩臺設(shè)備同時正常工作時，一條會話中的數(shù)據(jù)流進入內(nèi)網(wǎng)和從內(nèi)網(wǎng)出去所經(jīng)過的設(shè)備可以不同，即進入內(nèi)網(wǎng)時經(jīng)過雙機熱備中的一臺設(shè)備，從內(nèi)網(wǎng)出去時經(jīng)過的設(shè)備可以是進入時經(jīng)過的設(shè)備，也可以是另一臺設(shè)備。上述兩種模式中，第1種同步方式可以獲得更好的防火墻轉(zhuǎn)發(fā)性能及穩(wěn)定性。參考配置思路：在進行防火墻雙機熱備會話同步組網(wǎng)規(guī)劃時，應(yīng)首先從整網(wǎng)設(shè)計角度，使來回流量經(jīng)過兩臺防火墻時保持路徑一致，即同一會話的雙向報文須通過一臺設(shè)備進行轉(zhuǎn)發(fā)，并在實施時選擇“不支持非對稱路徑備份”模式。配置界面如下圖所示，不勾選“支持非對稱路徑備份”。FW2（可選）采用逐流轉(zhuǎn)發(fā)模式應(yīng)用說明：Comware V5平臺防火墻支持兩種流量轉(zhuǎn)發(fā)模式——逐包模式和逐流模式：逐包模式?；趫笪恼{(diào)度，即將報文依次發(fā)送到不同的vCPU進行處理，同一條流的數(shù)據(jù)也將被分發(fā)到不同的vCPU進行處理，不保證報文的處理順序，因此容易引入亂序。逐流模式?；诹髡{(diào)度，即將具有相同5元組（源IP地址、目的IP地址、源端口號、目的端口號和協(xié)議號）的同一條流分配到同一個vCPU進行處理，處理過程保證先進先出。在實際組網(wǎng)應(yīng)用中，當防火墻轉(zhuǎn)發(fā)語音、監(jiān)控等應(yīng)用流量時，由于防火墻默認采用逐包模式（除SecBladeII R3179版本外），因此可能會導致業(yè)務(wù)報文經(jīng)防火墻轉(zhuǎn)發(fā)后出現(xiàn)亂序，若上層應(yīng)用對報文亂序非常敏感，則容易引起諸如視頻圖像出現(xiàn)馬賽克，F(xiàn)TP下線速度慢等問題。參考配置思路：除運營商客戶等業(yè)務(wù)流量非常大的組網(wǎng)環(huán)境，推薦使用防火墻逐流轉(zhuǎn)發(fā)模式。具體配置命令如下，注意需防火墻重啟后才能生效：[H3C] ip forwarding perflowLB（必選）Outbound鏈路負載均衡優(yōu)先通過ACL方式進行虛服務(wù)配置應(yīng)用說明：在LB的Outbound鏈路負載均衡功能中，支持IP、ACL兩種配置方式。采用IP方式配置虛服務(wù)，其形式和效果與普通的目的地址路由表項相似，都是在設(shè)備接收到報文后根據(jù)會話首包的目的IP地址進行虛服務(wù)查找匹配。而采用ACL方式配置虛服務(wù)，其形式和效果與普通策略路由相似，除根據(jù)目的IP地址外，還支持根據(jù)源IP地址等其他ACL規(guī)則中的參數(shù)進行虛服務(wù)查找匹配。當LB部署在公網(wǎng)出口位置時，若采用IP方式配置一條“全零”虛服務(wù)指向外網(wǎng)時，當源自內(nèi)網(wǎng)訪問外網(wǎng)的某條會話表項正常老化后，如外網(wǎng)側(cè)仍有反向報文發(fā)送至LB（通常為UDP、ICMP協(xié)議報文），此時由于虛服務(wù)優(yōu)先級高于路由表，會短時間內(nèi)在LB與ISP網(wǎng)關(guān)設(shè)備間形成一個臨時的三層轉(zhuǎn)發(fā)環(huán)路，極大地增加了ISP出口位置的突發(fā)無效流量，引起網(wǎng)絡(luò)運行不穩(wěn)定。如果改為ACL方式配置虛服務(wù)，控制匹配規(guī)則為源IP地址為內(nèi)網(wǎng)用戶的會話首報文才能命中虛服務(wù)并執(zhí)行調(diào)度，則可以有效避免此類問題。需注意，IP方式配置虛服務(wù)優(yōu)先級更高，因此建議改為ACL方式配置虛服務(wù)后，不再保留任何IP方式配置的虛服務(wù)。參考配置思路：配置LB的Outbound鏈路負載均衡時，首先創(chuàng)建一條規(guī)則為匹配源IP地址為內(nèi)網(wǎng)的ACL，然后將其設(shè)置為指導報文向公網(wǎng)側(cè)轉(zhuǎn)發(fā)的虛服務(wù)，即與指向外網(wǎng)的邏輯鏈路組綁定。若還有從外網(wǎng)主動發(fā)起訪問內(nèi)網(wǎng)的業(yè)務(wù)，則可以再創(chuàng)建一條規(guī)則為匹配目的IP地址為內(nèi)網(wǎng)的ACL(如有NAT則應(yīng)匹配inside地址)，然后將其與指向內(nèi)網(wǎng)的邏輯鏈路組綁定，并開啟“保存上一跳信息”功能，使來自多條ISP線路的訪問內(nèi)網(wǎng)的會話，其回程報文仍保持從原線路返回，實現(xiàn)“電信進電信出、聯(lián)通進聯(lián)通出”的組網(wǎng)目標。，ACL及Outbound虛服務(wù)配置示例如下：acl number 3001 rule 5 permit ip source acl number 3002 rule 5 permit ip destination ACL方式配置Outbound鏈路負載均衡配置示例（“IP地址方式”中配置為空）：LB（必選）Outbound鏈路負載均衡不啟用就近性應(yīng)用說明：Comware V5平臺LB產(chǎn)品支持就近性探測功能，其設(shè)計理念可以使設(shè)備在進行流量調(diào)度時探測遠端目的可達性狀態(tài)變化，以動態(tài)決定調(diào)度結(jié)果。但從實際部署應(yīng)用效果看，啟用就近性后會大量消耗LB控制平面處理性能，造成控制平面不穩(wěn)定、業(yè)務(wù)流量訪問緩慢等諸多更嚴重的問題，且難以實現(xiàn)預(yù)期效果。因此，除售前測試或客戶明確要求啟用的場景外，不建議啟用Outbound鏈路負載均衡的就近性功能。參考配置思路：1. 在創(chuàng)建/編輯虛服務(wù)配置界面中，不勾選“使能就近性”。LB（必選）服務(wù)器負載均衡虛服務(wù)IP不響應(yīng)ARP請求限制的解決方法應(yīng)用說明：在服務(wù)器負載均衡場景中，由于虛服務(wù)IP地址不響應(yīng)ARP請求，因此需要通過其他方式使得LB上一跳設(shè)備可以將目的地址為虛服務(wù)業(yè)務(wù)報文正常轉(zhuǎn)發(fā)給LB處理。在單臺LB的組網(wǎng)環(huán)境中，可以通過將虛服務(wù)IP地址配置為sub地址的方式實現(xiàn)；在LB雙機組網(wǎng)環(huán)境中，可以通過將虛服務(wù)IP地址配置為VRRP虛地址的方式實現(xiàn)。除上述兩種方式外，還可以通過直接在LB上一跳設(shè)備配置精確路由來指導業(yè)務(wù)報文轉(zhuǎn)發(fā)，解決LB虛服務(wù)不響應(yīng)ARP請求的限制問題。參考配置思路：，可通過以下三種方式解決虛服務(wù)不響應(yīng)ARP請求的限制問題。方法一：sub地址方式（適用于單機，在LB上配置）interface TenGigabitEthernet0/ vlantype dot1q vid 10 ip address ip address sub方法二：VRRP虛地址方式（適用于雙機，在LB上配置）interface TenGigabitEthernet0/ vlantype dot1q vid 10 ip address vrrp vrid 100 virtualip vrrp vrid 100 priority 110方法三：精確路由方式（在LB上一跳三層設(shè)備上配置）ip routestatic description LB（必選）采用二進制格式輸出Userlog日志應(yīng)用說明：Comware V5平臺LB支持Userlog日志輸出功能。設(shè)備根據(jù)業(yè)務(wù)報文的5元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議號）對網(wǎng)絡(luò)流量進行分類統(tǒng)計，并生成Userlog日志。Userlog日志會記錄報文的5元組、發(fā)送接收的流量大小等信息。網(wǎng)絡(luò)管理員可以利用這些信息實時跟蹤、記錄用戶訪問網(wǎng)絡(luò)的情況，增強網(wǎng)絡(luò)的安全性與可審計性。Userlog日志支持以下兩種輸出方式，在實際應(yīng)用時必須采用第2種方式：以系統(tǒng)信息格式輸出至信息中心，再由信息中心決定日志的最終輸出方向。以二進制格式封裝成UDP報文直接輸出至指定的Userlog日志主機。參考配置思路：在LB的Web配置頁面中，配置Userlog日志輸出參數(shù)時，不勾選“日志輸出到信息中心”。具體配置界面示例如下：LB（必選）關(guān)于實服務(wù)故障處理方式的配置選擇應(yīng)用說明：在鏈路負載均衡、服務(wù)器負載均衡應(yīng)用場景中，當LB通過健康性檢測機制發(fā)現(xiàn)實服務(wù)出現(xiàn)故障時，支持下列三種處理方式：保持已有連接：LB不主動刪除與故障實服務(wù)相關(guān)的會話表項，由客戶及服務(wù)器兩端的應(yīng)用程序決定何時拆除或重建連接斷開已有連接：LB主動刪除與故障實服務(wù)相關(guān)的會話表項重定向已有連接：LB將會話表項重定向到實服務(wù)組中其他可用實服務(wù)處理關(guān)于三種實服務(wù)故障處理方式的詳細描述如下：保持已有連接：實服務(wù)或者邏輯鏈路的狀態(tài)變遷不影響已有會話表項的狀態(tài)，會話表項將根據(jù)老化時間或客戶端/服務(wù)器的拆鏈報文而正常刪除。斷開已有連接：實服務(wù)故障后，對于TCP連接，客戶端后續(xù)發(fā)來的報文將被LB丟棄，并觸發(fā)LB主動回復(fù)RST報文拆鏈，隨后LB會將該會話表項立即清除。對于UDP連接，若LB必須使能ip unreachable enable，則會向客戶端發(fā)送ICMP目的不可達報文，若LB持續(xù)收到客戶端繼續(xù)發(fā)來的報文，則LB會持續(xù)丟棄這些報文并回復(fù)ICMP目的不可達報文，即如果一直有客戶端后續(xù)報文命中該條UDP會話，則其老化時間將被一直刷新，無法老化。對于ICMP連接，來自客戶端的后續(xù)報文同樣會被LB丟棄，LB也會回應(yīng)一個ICMP目的不可達報文，并將該會話表項的狀態(tài)切換至加速老化狀態(tài)（默認老化時間至10S），如果客戶端持續(xù)發(fā)送后續(xù)報文至LB，則該條會話表項永遠不老化（常見于客戶端設(shè)置連續(xù)ping場景）。重定向已有連接：原有實服務(wù)故障后，LB將重新調(diào)度一個健康的實服務(wù)并掛接到該會話中，一旦有后續(xù)報文命中該會話，則會被直接重定向至新的實服務(wù)處理。如果新的實服務(wù)也出現(xiàn)故障，則LB會再次調(diào)度一個健康的實服務(wù)掛接到該會話中。如果最初調(diào)度的實服務(wù)恢復(fù)，LB將繼續(xù)根據(jù)會話當前所掛接的實服務(wù)轉(zhuǎn)發(fā)報文。由此可見，重定向已有連接方式不會產(chǎn)生新的會話表項。當后續(xù)報文命中表項時，也會正常刷新會話表項的老化時間。在服務(wù)器負載均衡場景中，服務(wù)器響應(yīng)的反方向由于無法匹配原有會話，因此將新建一條會話，這將導致客戶端收到的報文源IP地址是變?yōu)閷嵎?wù)IP，不是虛服務(wù)IP，報文會被客戶端丟棄。如果LB啟用SNAT功能，當LB重新調(diào)度一個健康的實服務(wù)掛接到該會話時，會重新分配SNAT信息并刷新會話老化時間，但很顯然，由于新的SNAT信息與執(zhí)行重定向前的信息不一致，因此報文仍無法正常轉(zhuǎn)發(fā)。而在鏈路負載均衡和防火墻負載均衡場景中，服務(wù)器響應(yīng)的反向報文是可以命中原有會話的。但如果LB除了負載分擔外還執(zhí)行了NAT操作，由于原有出接口的NAT相關(guān)信息與重定向后出接口的NAT信息不一致，所以仍會導致NAT模塊檢查失敗、報文被丟棄、會話被刪除。參考配置思路：綜前所述，“斷開已有連接”可以用于部分特定的服務(wù)器負載均衡場景，而“重定向已有連接”可以用于防火墻轉(zhuǎn)發(fā)模式及部分鏈路負載均衡場景。另外需注意，這兩種方式均不支持IP快速轉(zhuǎn)發(fā)處理，對LB的轉(zhuǎn)發(fā)性能有較大影響。因此，除售前測試功能驗證或其它特定場景外，應(yīng)保持實服務(wù)故障處理方式選定默認配置，即“保持已有連接”。Web管理界面實服務(wù)故障處理配置示例如下圖所示：LB（必選）配置NTP保持時鐘正確同步應(yīng)用說明：NTP（Network Time Protocol，網(wǎng)絡(luò)時間協(xié)議）是一種時間同步協(xié)議，用來在分布式時間服務(wù)器和客戶端之間進行時間同步。啟用NTP的目的是對網(wǎng)絡(luò)內(nèi)所有具有時鐘的設(shè)備進行時鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時鐘保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時間的多種應(yīng)用。如果LB系統(tǒng)時間不正確，將導致其產(chǎn)生的系統(tǒng)日志、操作日志、Userlog日志等失去時效性，給日常維護和故障定位帶來諸多不便。參考配置思路：啟用NTP功能，同步正確的當前系統(tǒng)時間。 ntpservice unicastserver LB（必選）RADIUS業(yè)務(wù)與強制負載均衡特性配置優(yōu)化應(yīng)用說明：Radius業(yè)務(wù)一般是在BRAS和服務(wù)器之間交互報文，報文的源目地址和源目端口號一般都是長期固定不變的，且報文交互頻率高。如果使用常規(guī)的服務(wù)器負載均衡配置，在選擇實服務(wù)故障處理方式時，若使用保持已有連接和斷開已有連接，當實服務(wù)器出現(xiàn)故障時，由于持續(xù)有報文匹配原有會話，而這條會話由于持續(xù)刷新