Eudemon防火墻產(chǎn)品使用注意事項20060420-A

1、華為產(chǎn)品維護資料Eudemon防火墻產(chǎn)品使用注意事項2006/4/232Eudemon防火墻產(chǎn)品使用注意事項聲明Cop yright ?2005華為技術有限公司版權所有，保留一切權利。非經(jīng)本公司書面許可， 任何單位和個人不得擅自摘抄、復制本書內(nèi)容的部分或全部，并不得以任何形式傳播。鏗？、HUAWEI?、華為？、C&C08 ?、EAST8000、HONET 、ViewPoint 、INtess、ETS、DMC、TELLIN 、InfoLinkSYNLOCK ?、Radium ?、雷霆？、鏗 M900/M1800 ?、TELESIGHT ?、Quidview ?9999999oMusa 、

2、視點通、Airbridge?、Tellwin ?、Inmedia ?、VRP ?、DOPRA?、iTELLIN? ?HUAWEI OptiX 、C&C08 iNET '、NETENGINE? 、OptiX? 、iSite ?、 U-SYS ?、iMUSE ?、Open Eye ?、La nsway ?、SmartAX ?、邊際網(wǎng)？、 infoX?、TopEng ?均為華為技術有限公司的商標。、Netkey、Quidway、對于本手冊中出現(xiàn)的其它商標，由各自的所有人擁有。由于產(chǎn)品版本升級或其它原因，本手冊內(nèi)容會不定期進行更新。本手冊僅作為使用指導， 本手冊中的所有陳述、 暗示的擔

3、保。除非另有約定,信息和建議不構成任何明示或技術支持htt p: /s upp 80083021180755-28560000技術支援網(wǎng)址：客戶服務電話：地址：深圳市龍崗區(qū)坂田華為總部辦公樓 客戶服務郵箱： supp ort 傳真編：518129華為產(chǎn)品維護資料Eudemon防火墻產(chǎn)品使用注意事項2006/4/23i1聲明技術支持Eudemon防火墻產(chǎn)品使用注意事項1 Eudem on防火墻產(chǎn)品使用注意事項防火墻組網(wǎng)注意事項防火墻雙機熱備份使用注意事項 防火墻硬件板卡配置注意事項 防火墻升級注意事項 防火墻安裝注意事項 防火墻攻

4、擊防范注意事項 . 防火墻NAT應用注意事項.1.81.9防火墻日常維護注意事項 防火墻P2P應用注意事項iii華為產(chǎn)品維護資料Eudemon防火墻產(chǎn)品使用注意事項2006/4/202Eudemon防火墻產(chǎn)品使用注意事項1 Eudemon防火墻產(chǎn)品使用注意事項1.1防火墻組網(wǎng)注意事項1)不建議使用防火墻參與動態(tài)路由計算，特別不建議在OSPF和BGP中引入大量路由。由于內(nèi)存有限，大量的路由會占用很多內(nèi)存，導致防火墻會話表容量 降低，同時路由計算會消耗大量的CPU資源，在鏈路動蕩時嚴重影響防火墻的性能。2)盡可能避免來回路徑不一致情況。存在來回路徑不一致時，會導致防火墻無法 識別正常的會話狀態(tài)，影

5、響 TCP連接的正常建立，如何關閉防火墻狀態(tài)檢查, 則防火墻只能進行普通的包過濾，部分攻擊防范能力會失效。3)當存在來回路徑不一致時，必須配置禾n firewall fragment-forward enableundo firewallsession link-state check允許分片報文通過。4)使用透明模式組網(wǎng)時避免出現(xiàn)二層環(huán)路,避免透傳所有VLAN。5)每種防火墻都有會話表數(shù)量限制，使用中應考慮業(yè)務容量，避免會話表規(guī)格不 滿足情況出現(xiàn)。6)負載分擔的組網(wǎng)是一種很復雜的組網(wǎng)，需要和上下行設備緊密配合才能正常工 作。目前不能支持與路由器的負載分擔組網(wǎng)。7)雙機熱備組網(wǎng)時，VRRP組號

6、不能和網(wǎng)絡中其它華為設備（不限于防火墻設備）的VRRP組號重復。否則會引起虛 MAC地址沖突。8)Eudemon500工作在混合模式，不要使用VLANIF作為業(yè)務網(wǎng)關。1.2防火墻雙機熱備份使用注意事項1）雙機熱備目前只支持兩臺設置進行備份，不支持多臺設備進行備份。但對于只 使用VRRP的組網(wǎng)可以支持多臺設備進行冗余備份。2）由于雙機熱備中具有備份機制可以備份動態(tài)信息和命令，因此要求進行雙機熱 備的兩臺設備板卡的位置，以及接口卡的類型都要求相同，否則會出現(xiàn)主防火華為產(chǎn)品維護資料Eudemon防火墻產(chǎn)品使用注意事項2006/4/203)4)5)6)7)8)9)10)墻備份過去的信息，與從防火墻根

7、本就無法進行搭配使用，如出現(xiàn)主備狀態(tài)切 換就會導致業(yè)務出問題。進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設備配置 相同，以免由于先前的配置而導致業(yè)務問題。在VRRP管理組中添加組成員時，注意不要在承載業(yè)務的組成員上 transfer-oniy參數(shù)。該參數(shù)只用于防火墻之間的心跳接口上。對于Eudemon500 和Eudemon1000 產(chǎn)品，在混合模式的雙機熱備組網(wǎng)中, 能采用心跳口的 VRRP備份組監(jiān)視透明模式的業(yè)務端口的方式。在Eudemon500/1000 中，需要將透明模式的業(yè)務端口加入到 下配置set vgmp vgmp-id 命令將vlan與VRRP管理組綁定。 務

8、端口出現(xiàn)故障時，與之綁定的VRRP管理組將會降低優(yōu)先級為10），從而觸發(fā)主備切換。由于沒有使用 優(yōu)先級必須配置具體的數(shù)值，不能使用I配置via nvlan，并在當該vlan中有業(yè) （默認降低數(shù)值I track功能，所以VRRP管理組的 usin g-vrr pp riority 的方式。當防火墻工作在混合模式時，Eudemo n200防火墻設置允許備防火墻轉發(fā)報文的命令為：firewall mode comp osite p ermit-back up forward而在Eudemon500/1000 上該命令為:firewall compo site-hr p p ermit-back up

9、 forward在Eudemon200 上有hrp permit-backupforward命令，當防火墻處于備狀態(tài)時,該命令允許備防火墻根據(jù)從主防火墻備份過來的連接狀態(tài)數(shù)據(jù)來轉發(fā)報文。在Eudemo n500/1000 上沒有此命令。Eudem on200防火墻的雙機熱備份組網(wǎng)中，所有需要備份的數(shù)據(jù)都通過VRRP管理組內(nèi)的數(shù)據(jù)通道來備份；但對于 Eudemon500/1000 防火墻，VRRP管理 組內(nèi)的數(shù)據(jù)通道只能備份關鍵配置，無法備份連接狀態(tài)數(shù)據(jù)。雙機熱備份組網(wǎng)中不支持easy-ip的組網(wǎng)方式5)611)當防火墻工作在混合模式下，且與二層上下行設備組網(wǎng)時，要禁止備防火墻轉 發(fā)報文（默認即

10、禁止），否則易形成二層轉發(fā)環(huán)路。當防火墻工作在混合模式下時，上下行設備學習到的ARP為實接口的MAC地址。在防火墻由主切換到備時，上下行設備可能無法感知到這種切換，此時需 要將業(yè)務端口 down以促使上下行設備更新 ARP表項。為了在管理組狀態(tài)由主 切換到備時能自動執(zhí)行此操作，需要在管理組中為業(yè)務端口配置triggerdow n命令。13)14)15)16)17)注：在Eudemon500/1000 下有其他機制能達到此目的，因此無需配置。與防火墻相連的上下行設備如果配置了STP功能，在防火墻主備切換時可能影響流量的倒換，因此需要在這些接口上取消STP功能。在混合模式的組網(wǎng)中，如果上下行設備運

11、行動態(tài)路由協(xié)議，則要允許備防火墻 轉發(fā)報文（默認不允許），否則動態(tài)路由協(xié)議報文也無法通過備防火墻。另外 對于上行或者下行設備， 需要將與主備防火墻相連的接口配置的不同的vlan中以防止產(chǎn)生二層環(huán)路。如果要使用VRRP備份組的track功能來監(jiān)視其它接口，則相應管理組的優(yōu)先 級必須用us in g-vrrp priority 方式來計算，否則track功能就不起作用。當VRRP備份組加入到 VRRP管理組后，在 將不起作用，其切換過程完全由所屬的 VRR P 組的優(yōu)先級是直接指定數(shù)值時，則加入該管理組的所有VRRP備份組上配置的搶占標志 管理組控制。另外當VRRP管理VRRP備份組成員的優(yōu)先級也

12、將不再起作用，組成員的主備狀態(tài)完全由其所屬的管理組決定。當直接給VRRP管理組優(yōu)先級賦值時，要注意主備防火墻上對應管理組優(yōu)先級 的差別不要太大。合理的差值是要保證當主防火墻管理組內(nèi)任一組成員出現(xiàn)故障后優(yōu)先級會降低到備防火墻管理組的優(yōu)先級以下,從而確保能發(fā)生主備切換。18)兩個防火墻上的管理組編號、構成必須完全一樣。這就是說EudemonA上的管理組包括備份組1、2和3，貝U EudemonB上的同樣編號的管理組也必須包含 備份組1、2和3。1.3防火墻硬件板卡配置注意事項1)在E200上不要使用1FE網(wǎng)卡。2)3)高速卡優(yōu)先使用第 2槽位。4)對于8FE卡盡可能不使用1號和6號端口6)注：第3

13、、4兩個問題只在老版本里存在，在P2P分支版本D020以后已解決,基線版本在D045以后解決。盡可能不要使用2GE模塊，由于兩個GE接口共享一條總線，在有突發(fā)流量時 可能會丟包，可以只使用其中一個接口，另一個接口閑置。對E200優(yōu)先使用主控板上的以太網(wǎng)接口，該接口的性能比模塊的接口性能高。E500的第3槽位為低速卡槽位，只能安裝低速加密卡。華為產(chǎn)品維護資料Eudemon防火墻產(chǎn)品使用注意事項2006/4/201.47）對E500和E1000，不要使用主控板上的以太網(wǎng)接口，否則該接口的流量稍大 時就會影響高速接口卡的性能。防火墻升級注意事項1）升級前需仔細閱讀針對該版本的升級指導書。檢查配置是否

14、有更改、設備版本 和網(wǎng)管版本是否配套。2）版本下載到FLASH后需要重新指定啟動文件，否則啟動后新版本無法生效。1.5防火墻安裝注意事項91）防火墻在安裝時必須可靠接地，否則會引起端口誤碼、 丟包甚至頻繁up/down ,更嚴重時會導致系統(tǒng)異常復位。2）擴展模塊暫不支持熱插拔功能，安裝、拆卸模塊需要在關機的情況下進行。1.6防火墻攻擊防范注意事項1）配置UDP-Flood 攻擊防范時注意選擇合適的閥值，閥值過大影響防范效果, 閥值過小會影響正常的業(yè)務。2） 存在來回路徑不一致時不要打開基于接口的TCP Flood攻擊防范。1.7防火墻NAT應用注意事項1)不要使用一對一地址映射模式（即NO_P

15、AT模式）。2)E500/1000 不支持EasyIP方式的NAT轉換，E500/1000 的地址池中的地址可 以包含接口地址，可使用地址池的方式模擬EasyIP方式。3)Eudemo n1000/500支持一個私網(wǎng)對一公網(wǎng)、以及一個私網(wǎng)地址對應多個公網(wǎng)地址的情況（可以通過一臺服務器為外部提供多種服務（如： 器、HTTP服務器等），這些服務器在外面表現(xiàn)的為不同的公網(wǎng)FTP、郵件服務IP)。4)而 E200在透明模式時無法實現(xiàn) NAT功能。E500/1000在透明模式時可以做 NAT,要求地址池的地址和防火墻兩端設備地 址不在一個網(wǎng)段內(nèi)，5)目前的版本不支持SIP協(xié)議的NAT穿越，在NGN組網(wǎng)中

16、需注意規(guī)避。6)若配置NAT Server,若服務器主動發(fā)起連接，必須在對7)8)9)10)11)12)13)Eudemo n1000/500應的域間配置NAT Outbound ，對應的ACL中允許NAT Server的私網(wǎng)地址。NAT Outbound地址池的地址沒有要求必須包括對應的NAT Server的公網(wǎng)地址。一些特殊協(xié)議在穿越 NAT時（如FTP協(xié)議）必須配置相應協(xié)議的 NAT ALG功 能。配置NAT Server時，配置Nat Server的包過濾規(guī)則的時候E200/E100需要配置私網(wǎng)地址（inside地址），但是E500/E1000目前不需要配置 ACL就能訪問， 如果要禁

17、止訪問的話可以通過配置ACL來禁止；雙機熱備時的 NAT地址池和NAT Server配置命令中必須跟隨 vrrp id組號, 否則在倒換時會導致業(yè)務中斷。不支持低域到高域的 NAT轉換。避免來回路徑不一致情況。當存在分片報文時，需要打開分片緩存功能，firewallfragment-cache enable。在做 NAT時一定要關閉分片報文轉發(fā)功能，執(zhí)行undo firewall fragment-forward enable，否則分片報文不做NAT而直接轉發(fā)。1.8防火墻日常維護注意事項1)在搜集dis play diag信息后需要執(zhí)行 un do debug all命令，因為執(zhí)行 dis play diag命令時會