会影响正常网络处理的性能;如果自行开发的程序不规范,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的网络设计也会出现合法流量被屏蔽问题。
要想有效发挥天融信防火墙的攻击防御功能,需要对网络中流量和协议类型有比较充分的认识,同时要理解每一个防御选项的具体含义,避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式,一次仅启用一个防攻击选项,然后观察设备资源占用情况和防御结果,在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项: 设置防范DDoS Flood攻击选项
根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值,在防范DDoS的选项上添加20%的余量作为阀值。
如果要设置防范IP协议层的选项,需在深入了解网络环境后,再将IP协议和网络层的攻击选项逐步选中。
设置防范应用层的选项,在了解应用层的需求以及客户化程序的编程标准后,如不采用ActiveX控件,可以选择这些基于应用层的防攻击选项。
为检查网络中是否存在攻击流量,可以临时打开实时监控功能,查看流量特征,判断是否为DOS/DDOS攻击,确认攻击类型。 在设置入侵防御选项的过程中,应密切注意防火墙CPU的利用率,以及相关应用的使用情况;如果出现异常(CPU利用率偏高了或应用不能通过),则立刻需要取消相关的选项。
18
建议正常时期不启用入侵防御选项,仅在网络出现异常流量时再打开对应的防御功能。
1.4.4特殊应用处理
在电力网络中经常会遇到长连接应用(一般为数据库等应用),基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下,天融信防火墙对每一个会话的连接保持时间是300秒(TCP)和30秒(UDP)(不同系统平台、不同版本会有不同),超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值,以满足长连接应用的要求。配置常连接应用需注意地方有:
如果在长连接应用中已经设计了心跳维持机制(如每隔几分钟,客户端与服务端之间传送心跳以维持会话),此时无需防火墙上设置长连接属性,使用默认配置即可。
只针对的确需要的应用启用长连接属性,一般的应用不要使用长连接,以节省防火墙的系统资源。
由于设置长连接属性后,防火墙系统本身不再干预该连接情况,所以可能会出现一些特殊情况(应用服务器端异常死机等)造成该连接僵死而长期占用防火墙的资源,因此,建议经常实时监控防火墙的长连接情况,一旦发现这种僵死的长连接过多,则应该在合适的时间手动重启防火墙系统,以释放防火墙的资源。 不规范TCP应用处理
正常TCP应用连接建立需要3次握手,然而某些用户定制的应用
19
程序因开发规范不严谨或特殊需要,存在类似SYN没有置位的连接请求,对于这类不严谨的通讯处理应加以特别注意,因为天融信防火墙在默认情况下,对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况,在某些应用发生通讯障碍时,通过tcpdump抓包来判断是否是防火墙拒绝了不严谨的TCP 包,确认后通过设置fw_si off(老4K,版本2.6.40)或 network session session-integrity off(TOS平台,版本3.2.100.010.1)的命令来使防火墙取消这种防范机制。
二、 运维服务流程及保证体系
建议用户采用的服务方式为两种:一种为技术人员现场值守,另一种是定期巡检结合故障现场服务。
技术人员现场值守运行维护服务的基本操作流程如下图所示:
20
IT资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资
定期巡检结合故障现场运行维护服务的基本操作流程如下图所示:
21
IT资资资资资资资资资资资资资资资资资资7*24资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资MICROSOFT CORPORATION资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资资
2.1服务方式说明
2.1.1、日常巡检
提供每月2次对网络设备现场巡检,对维保设备和系统进行细致全面地监视、检查、故障解决、隐患排除等。并按照用户要求提供特殊时段保障要求的巡检,检查的内容包括软件、硬件检查,日志检查、电源、告警及设备运行环境检查等,并在此基础上进行相应的网络调
22