深信服防火墙AF上arp表数量限制导致网络问题的处理说明

现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。

测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。

但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。

在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。

与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF[……]

阅读全文

深信服设备限制导致tracert不显示设备地址的说明

现有一网络,拓扑为出口深信服上网行为管理AC,下接深信服防火墙AF,AC的WAN口接公网,AC的LAN口接AF的WAN口,AF的LAN口为内网PC的网关。AC上做NAT代理上网,AF上不启用NAT。现在内网PC上网正常,ping百度也正常,但是tracert百度的时候,第一跳是AF的内网,第二跳第三跳都是星号*,第四跳就是AC的WAN口的网关,就是运营商的地址了。

在防火墙上去traceroute百度,前两跳仍然不显示。继续排查,发现是深信服AC的机制。

关于深信服AC跟踪路由不显示的说明如下:

1、AC设备主要用于上网管理和审计,为了避免被内网终端窥探,及出于网络安全考虑,[……]

阅读全文

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。

做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.[……]

阅读全文

H3C交换机配置SSH源地址登录限制和SNMP源地址限制的方法

需求1:对SSH远程管理进行限源,仅允许10.0.1.0/24,210.1.0.0/24段ip进行登录;
需求2:对SNMP管理进行限源,仅允许210.1.0.200-210.1.0.202这3个ip进行访问。

配置方法:
ssh登录后,输入:
sys
acl number 2000 match-order config
rule 1 permit source 10.0.1.0 0.0.0.255
rule 2 permit source 210.1.0.0 0.0.0.255
rule 3 deny source any
quit
acl number 2001 match-order config
r[……]

阅读全文

深信服防火墙AF管理员登录地址限制以及SNMP源地址限制的方法

深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:

对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:

[……]

阅读全文

深信服上网行为管理AC的OID表

zabbix监控深信服上网行为管理AC时,会需要用到上网行为管理的OID,以下就是截止2020年9月,最新的OID表格:

CPU占用率,以百分比为单位1.3.6.1.4.1.33333.1.1.1.0设备类型(如M5000)1.3.6.1.4.1.33333.1.1.2.0剩余内存,free+buffers,以KB为单位1.3.6.1.4.1.33333.1.1.3.0 设备运行时间(UPTIME),以1/100秒为单位。1.3.6.1.2.1.1.3.0系统描述1.3.6.1.2.1.1.1.0设备型号1.3.6.1.2.1.1.5.0 接口数量1.3.6.1.2.[……]

阅读全文

深信服防火墙AF的OID表

zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:

NameDescriptionOIDsysDescr系统描述.1.3.6.1.2.1.1.1sysContact联系.1.3.6.1.2.1.1.4sysName系统名.1.3.6.1.2.1.1.5sysLocation位置.1.3.6.1.2.1.1.6sysServices系统服务.1.3.6.1.2.1.1.7sysConnNum连接数.1.3.6.1.2.1.1.10sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11sysMemUsage内存占用率.1.[……]

阅读全文

HW总结报告模板之一

今天终于结束了为期XX天的HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重复。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模板,毕竟有保密协议,脱敏的道路还是有些累的,所以此文章主要是模板,内容未必真实,帮大家解决最后一公里路程,希望有点帮助——从HW的痛苦中结束,投入到70周年重保的痛苦中去~~~

由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:

 201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX[……]

阅读全文

HW总结报告模板之二

1. HW背景
能源:“xxx是国家的支柱能源和经济命脉,其安全稳定运行不仅关系到国家的经济发展,而且维系国家安全。随着xxx规模的逐渐扩大,安全事故的影响范围越来越大,安全问题越来越突出,xxx网络安全运行已经成为全球的研究热点。”

银行:”随着我国信息化发展的日新月异,信息系统的风险评估也被国家决策层纳为重要项目。银行信息安全是至关重要的问题,因为在任何一个环节出现问题,就会影响到整个系统的发展,造成全局性的失误。所以其中的信息安全成为重中之重。银行给客户提供服务的同时,必须要为客户提供可靠的环境以及信息的准确性和安全性。”

(以上选一即可)201X年X月X日-201X年X月X日[……]

阅读全文

Linux 命令行,bash shell和环境变量

bash shell

bashshell 是可用于 Linux 的几个 shell 之一,也被称为 Bourne-again shell,是根据一个早期的 shell (/bin/sh) 的创建者 Stephen Bourne 来命名的。Bash 高度兼容 sh,但它在函数和编程功能上都提供了许多改进。它合并了来自 Korn shell (ksh) 和 C shell (csh) 的特性,想要成为一个符合 POSIX 的 shell。

在深入了解 bash 之前,回想一下 shell是一个接受和执行命令的程序。它还支持编程结构,允许使用更小的部件构建复杂的命令。这些复杂命令或 脚本[……]

阅读全文