H3C防火墙典型配置规范与案例
H3C防火墙运营商典型配置规范与案例
杭州华三通信技术有限公司
https://www.360docs.net/doc/1f15887715.html,
起草人:潘猛
H3C技术支持中心
起草日期: 2012/6/1
文档信息
修订记录
审批发布
H3C机密,未经许可,请勿传播第2页, 共77页
1.常见功能配臵规范 (4)
1.1.ALG配臵 (4)
1.2.NQA配臵 (5)
1.3.双机与VRRP (7)
1.4.路由环路避免 (9)
1.5.NAT配臵 (11)
https://www.360docs.net/doc/1f15887715.html,erlog (14)
1.7.安全策略 (18)
1.8.设备的管理(SSH,HTTPS) (18)
1.9.MTU相关问题 (23)
1.10.PING大包问题 (24)
1.11.会话超时时间 (25)
1.12.报文异常检测 (26)
1.13.flood类攻击 (27)
1.14.连接数限制 (29)
1.15.安全加固 (29)
1.15.1.口令 (29)
1.15.2.端口和服务 (30)
1.15.3.访问控制 (30)
1.15.4.加密算法 (31)
1.15.5.SNMP (31)
1.15.6.黑名单 (31)
1.15.7.安全策略加固 (32)
1.16.NAT444配臵 (33)
1.17.MIB (33)
2.WAP综合网关组网案例 (35)
2.1.拓扑结构和业务流量 (35)
2.2.项目实施关键点 (39)
2.3.主要配臵说明 (40)
2.3.1.S95E的配臵 (40)
2.3.2.FW1的配臵 (60)
2.3.3.FW3的配臵 (63)
3.常见故障处理 (71)
3.1.转发异常 (71)
3.2.自动重启问题 (73)
3.3.内存异常 (75)
3.4.设备管理页面打不开 (77)
3.5.策略造成业务故障 (77)
H3C机密,未经许可,请勿传播第3页, 共77页
1.常见功能配臵规范
1.1.ALG配臵
ALG(Application Level Gateway,应用层网关)特性主要完成对应用层报文的处理。当应用层数据中包含IP地址时,ALG可以对该地址进行处理,以保证后续该地址对应的连接能够正确建立。
ALG的工作包括:
解析数据报文载荷中的IP地址信息,并根据需要对其进行NAT(Network Address Translation,网络地址转换)处理;
提取数据通道信息,为后续的报文连接建立数据通道。数据通道为相对于用户认证的控制连接而言的数据连接;
在防火墙上,安全策略通常只允许特定的端口通过,对于需要动态开放端口的协议,即使没有NAT也必须启用ALG,例如FTP;有些ALG属于功能型ALG,为了实现某种功能,例如DNS ALG,需要视实际环境决定是否需要开启;有些协议比较复杂,且各版本实现不一或者十分灵活,也需要视实际情况选择是否开启,例如SIP,SQLNET等。
以下为H3C防火墙在运营商应用的ALG推荐配臵,原则是只开启FTP和RTSP,关闭其他ALG。
H3C机密,未经许可,请勿传播第4页, 共77页
实际配臵:
[H3C]Undo alg all
[H3C]Alg ftp
[H3C]Alg rtsp
1.2.NQA配臵
NQA是Network Quality Analyzer(网络质量分析)的简称。NQA通过各种探测方式对网络或服务进行质量分析,并提供测试结果。目前NQA支持的测试类型包括:TCP、UDP、Jitter、ICMP、HTTP、FTP、DHCP、DLSw和SNMP测试。
H3C机密,未经许可,请勿传播第5页, 共77页
NQA的基本探测方式为客户端向对端发送不同类型的测试报文,根据对端是否回应报文以及报文的往返时间等参数,来判断协议的可用性和网络的性能。
通常我们使用NQA来探测对端网关,或者是在插卡组网中探测插卡是否正常。根据nqa探测的结果来进行相应的动作,比如VRRP 优先级reduce,路由失效等。
实际组网中,盒式设备通常是由防火墙进行NQA探测,插卡组网通常由交换机或者路由器来进行NQA探测,如果交换机为二层,则由防火墙插卡来探测,具体情况具体对待。
#配臵探测组admin oper
nqa entry admin oper
#类型为ICMP-Echo,即ping操作
type icmp-echo
#ping的目的地址1.2.0.2
destination ip 1.2.0.2
#建议频率为3000毫秒,即3秒
frequency 3000
#配臵反应组1,如果连续测试3次失败则触发相关动作
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only #如果需要探测的对端为直连设备,需要配臵bypass路由,防止路由失效后,通过其他路由导致NQA探测成功,造成震荡
route-option bypass-route
#如果需要探测的地址为VPN内的地址,则需要配臵vpn-instance
vpn-instance untrust
H3C机密,未经许可,请勿传播第6页, 共77页
#nqa调度配臵,即从配臵开始起一直进行调度测试
nqa schedule admin oper start-time now lifetime forever
以下属于NQA关联配臵
#跟踪组1和admin oper的reaction 1绑定
track 1 nqa entry admin oper reaction 1
#将vrrp和跟踪组1绑定
vrrp vrid 1 track 1 reduced 30
#将vrrp和跟踪组1绑定
也可以将静态路由与跟踪组绑定
*NQA基本只使用ICMP,其他方式需要目标机支持,即目标机为H3C支持NQA的设备。另外配臵ICMP NQA不需要开启NQA AGENT
1.3.双机与VRRP
通常盒式设备的双机热备组网如下图所示,在运营商组网中,接入交换机一般属于其他部门维护,他们通常就是提供两条线和三个地址给业务系统。
H3C机密,未经许可,请勿传播第7页, 共77页
设备冗余一般都采用静态路由加VRRP的方式来实现,防火墙VRRP通告报文通过接入交换机的Trunk链路转发。在配臵这种组网时,需要注意以下几点:
1、VRRP VRID的配臵:由于接入交换机通常也是采用的VRRP协议,那么防火墙
在这个接口上使能的VRRP时,VRID一定不能与接入交换机相同,实施时可
以咨询接入交换机维护人员,也可以自己抓包来确认(有些设备在接入接口
上不发送VRRP报文,比如HUAWEI NE路由器,需要开启VRRP BROADCAST
ENABLE),内部交换机也存在同样问题,两端设备的VRRP VRID不能相同;
2、热备线:热备线是用来同步会话和配臵的,不能跑业务。在这种组网情况下,
尽量不要在防火墙之间连线来跑业务,这样可能会造成单向路径,ALG故障;
3、性能要求高需关闭会话同步:在某些组网中,对设备的新建性能要求较高,
这时需要关闭会话同步以增强设备新建性能,关闭会话对业务影响非常有限;
4、双机工作模式:通常运营商维护人员对于juniper防火墙较熟悉,他们在做双机
时,整机处于master或者slave状态,与我们基于接口的状态机不同。在运营商
的一些配臵文档中会要求主备切换后,主机线路恢复不回切,但是这种方式H3C机密,未经许可,请勿传播第8页, 共77页
不适用于H3C防火墙基于接口VRRP的切换机制;
5、插卡环境VLAN ID的配臵:所在交换机的物理接口通常配臵为access口,那么
这个接口所属的VLAN号,在本机上唯一即可,无需与对端交换机相同,但两
边防火墙VLAN应该一致;
6、子接口还是vlan虚接口:插卡方案中防火墙推荐使用三层子接口。
1.4.路由环路避免
大部分防火墙在组网中使用静态路由,当路由规划存在不合理情况时,容易出现环路,这时需要在适当的地方配臵黑洞路由来防止环路,或者在防火墙上配臵特殊的域间策略来防止环路,这里以某WAP网关项目为例,介绍如何避免环路。
如图所示,红色箭头表示10.0.0.0/8的路由,这些地址是预留给手机使用的,所以所有到达10.0.0.0/8的报文会发给S95E,而S95E上的GRE隧道只有到10.127.0.0/24、10.128.0.0/24、10.129.0.0/24、10.210.0.0/24、10.219.0.0/24、10.220.0.0/24,如果有一些目的地址属于10.0.0.0/8,而不属于这些网段的报文,就会在这里形成环路,通常建议在这里配臵一条H3C机密,未经许可,请勿传播第9页, 共77页
黑洞路由来方式环路。
ip route-static vpn-instance cmccwap 10.0.0.0 255.0.0.0 NULL0
还有一种常见的情况,就是局方分配给业务系统的IP范围比较大,而系统实际使用的IP较少,那么系统接收到目的地址为未使用的IP的报文,就会出现环路,通常采用黑洞路由来实现,或者修改上游设备的路由。
如果不清楚现网的路由规划,怀疑网络中存在环路,可以使用display ip interface 来查看接口是否存在大量TTL超时的报文。
H3C机密,未经许可,请勿传播第10页, 共77页
这种情况下,可以配臵域间策略来将环路报文丢弃,比如存在环路的接口在区域Trust,可以配臵Trust到Trust的域间策略,动作配臵为deny。但是这种方法有缺陷,就是trust区域存在多个接口,多个接口之间本身有业务来往,配臵域间策略会导致业务故障,这时可以考虑调整安全区域的配臵。但是根本办法还是修改造成环路的错误路由配臵。
1.5.NAT配臵
下图中的典型组网中,经常需要在防火墙的外网口配臵NAT,包括NAT Outbound、NAT Server、NAT Static.
1、主备机上的地址池要使用不同的level
[F5000A5_1]nat address-group 1 10.0.0.1 10.0.0.10 level 0
H3C机密,未经许可,请勿传播第11页, 共77页
[F5000A5_2]nat address-group 1 10.0.0.1 10.0.0.10 level 1
2、当NAT Outbound地址池或者是NAT Server和Nat Static的Global地址与接口地址在同一网段时,需要在NAT命令后跟track vrrp的配臵,防止主机和备机出现地址冲突。
interface GigabitEthernet0/2
port link-mode route
nat outbound static track vrrp 10
nat outbound 3001 address-group 1 track vrrp 10
*在ACL 3001中,不要在最后配臵deny any的规则,这个原则同样适用于ipsec acl nat server protocol tcp global 211.11.10.20 www inside 192.168.1.1 www track vrrp 10
ip address 211.11.10.1 255.255.255.0
vrrp vrid 10 virtual-ip 211.11.10.254
vrrp vrid 10 priority 105
H3C机密,未经许可,请勿传播第12页, 共77页
3、在双机配臵的情况下,Nat Outbound 后的地址池需要配臵不同的level,防止在主备切换时发生会话冲突.
[H3C-MASTER]nat address-group 1 221.11.10.11 221.11.10.20 level 0
[H3C-SLAVER]nat address-group 1 221.11.10.11 221.11.10.20 level 1
4、NAT Outbound存在多个地址池时,按照ACL编号从大到小匹配,即查看配臵看到的显示顺序.
5、当配臵NAT的接口在VPN 实例中时,需要在多处配臵VPN实例来实现NAT功能。NAT Outbound:
ACL中需要指定vpn-instance
acl number 3001
H3C机密,未经许可,请勿传播第13页, 共77页
H3C 机密,未经许可,请勿传播
第14页, 共77页
rule 0 permit ip vpn-instance vpn source 1.1.1.1 0 NAT Outbound 后需要跟指定的vpn-instance
nat outbound 3001 address-group 1 vpn-instance vpn
NAT Server :
Global 和Inside 地址后都需要跟指定的vpn-instance
nat server protocol tcp global 211.10.11.10 www vpn-instance vpn inside 192.168.0.10 www vpn-instance vpn
NAT Static :
需要在全局的nat static
命令 Global 和Inside 地址后跟上指定的vpn-instance
nat static 192.168.0.100 vpn-instance vpn 211.10.11.100 vpn-instance vpn
1.6. Userlog
Userlog 是用来记录防火墙会话信息的日志,目前支持SYSLOG 和二进制两种方式发送,实际使用只允许使用二进制方式。由于运营商多采用集中网关,无法单独安装SecCenter ,网管厂家需要能够识别这种日志,目前ZTE,NSN,贝尔都已经有做过相应的开发。以下为userlog 的日志格式,一个日志头后面可以有多条日志记录。 日志头:
日志体:
H3C机密,未经许可,请勿传播第15页, 共77页
H3C 机密,未经许可,请勿传播 第16
页, 共77页
典型配臵:
1、选择菜单中的日志管理->Userlog ,版本必须选择3.0,IP 地址填写日志服务器地址,如果日志服务器在VPN 内,则需要配臵vpn 实例的名称。 下面的日志输出到信息中心不要勾选。
2、选择菜单中的日志管理->会话日志->日志输出策略,新建需要发送日志的区域间的策略。
3、选择菜单中的日志管理->会话日志->全局设臵,在新建压力较低时(低于20000),建议两个都勾选,新建压力较大时,勾选发送会话删除日志。
4、查看日志发送状态
dis userlog export
H3C机密,未经许可,请勿传播第17页, 共77页
H3C 机密,未经许可,请勿传播 第18
页, 共77页
1.7. 安全策略
防火墙在缺省情况下, 高优先级区域可以访问低优先级区域。在缺省区域中, Trust 可以访问Untrust 和DMZ ,DMZ 可以访问Untrust ,Untrust 不能访问DMZ 和Trust 。 Local 和Manage 区域比较特殊,不以优先级原则判断,Manage 只能访问设备即Local , Local 可以访问所有区域,所有区域也可以访问local 。
防火墙策略的生效顺序是以网页上的显示顺序匹配,位臵靠前先匹配。
1.8. 设备的管理(SSH,HTTPS)
通常运营商只允许两个方式访问设备,就是SSH 和HTTPS ,在设备正式上线前,必须将管理方式改为SSH 和HTTPS 。SSH 和HTTPS 都会使用到RSA 公私钥对,而每个设备上只能有一个公私钥对,所以SSH 和HTTPS 必须共用一个。由于防火墙已经内臵ca 证书和local 证书,所以设备内已经有一个私钥,所以在使用ssh 时,不需要按照手册进行公私钥对的创建,直接使能ssh server enable 就可以了。比较保险且所有设备都适用的方法是先查看一下是否有本地公钥。
如果已经配臵SSH ,造成HTTPS 不可用,可以通过删除证书和私钥,重启设备来恢复。
1、在隐藏模式下,修改hostkey 文件的隐藏属性
[fw-hidecmd]attrib cfa0:/hostkey -h #修改hostkey属性
% Change file attributes successfully.
2、删除以下三个文件
< fw>delete /unreserved hostkey
< fw>delete /unreserved default_local.cer
4、重启设备即可恢复本地证书
5、查看本地证书
6、使能SSH服务
[fw]ssh server enable
另外也可以自己导入证书来解决,这也是最安全的一种方式
1、将证书上传到设备中
H3C机密,未经许可,请勿传播第19页, 共77页
这里的ca证书叫ca.cer,本地证书叫jxcz.pfx, pfx文件中包含证书的私钥
2、导入CA和本地证书
导入CA证书
导入本地证书,当本地存在私钥时,会导入失败
这时需要先删除本地私钥,然后再导入本地证书
开启HTTPS
H3C机密,未经许可,请勿传播第20页, 共77页