标签归档:防火墙

两台深信服防火墙主备部署在出口,前置两台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠。

交换机1的1口接电信线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的1口,3口连接备防火墙的1口。交换机2的1口接联通线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的5口,3口连备防火墙的5口。

主防火墙的1口和5口配置聚合口,二层透明口,新建vlan100配置电信公网IP地址,vlan200配置联通公网IP地址。2口、3口做聚合分别接下面两台核心交换机,4口为HA口连接备防火墙,备防火墙也做相同的连线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,第一条电信走电信,第二条联通走联通,第三条轮询,也可再配置一条走电信的默认路由,以防止策略路由失效。再配置代理上网,做放通策略,再配置用户防护策略和业务防护策略,再开启相关日志。

深信服防火墙AF上arp表数量限制导致网络问题的处理说明

现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。

测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。

但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。

在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。

与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开,且修改该参数不影响业务。

对主备两台参数分别修改为20000后,已正常使用。

截止目前最新的AF版本8.0.26,都存在这个问题。当然在大规模的网络中,一般也很少会将内网用户的网关都启用在防火墙上,更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。

另外深信服AF的arp老化时间是15秒,且无法修改。并且AF上的vlan数量也有限制,限制为256个vlan,dhcp地址池也有限制,限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。

具体修改方法,参见:修改linux系统的arp缓存数量的方法

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。

做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.1.2可以ping通时,则192.168.1.1ping不通,在同网段设备上查看arp,发现192.168.1.1和192.168.1.2的MAC地址是一样的。

经确认,深信服防火墙AF做双机时,网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的,所以这个环境中,虚拟ID组都是100,网卡编号都是eth1口,它们的虚拟MAC就是一样的。

这种情况的处理办法非常简单,一是修改其中一个的虚拟ID组即可,还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中,并且每台带外管理口配置成-HA的不同的地址即可。

针对这个问题,建议厂家可以将虚拟MAC的计算方式复杂一点,比较加个随机数或者加个网关编号、硬盘ID等等,使得每个虚拟MAC都不相同。

有的环境下,尤其一个项目中,防火墙设备数量较多的情况下,建议修改默认的虚拟ID组,并且不同的HA设备采用的心跳口都设置成不同的网段,比如A、B用5.5.5.0/24段,C、D用6.6.6.0/24段,来避免一些问题。

深信服防火墙AF管理员登录地址限制以及SNMP源地址限制的方法

深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:

对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:

深信服防火墙AF的OID表

zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:

NameDescriptionOID
sysDescr系统描述.1.3.6.1.2.1.1.1
sysContact联系.1.3.6.1.2.1.1.4
sysName系统名.1.3.6.1.2.1.1.5
sysLocation位置.1.3.6.1.2.1.1.6
sysServices系统服务.1.3.6.1.2.1.1.7
sysConnNum连接数.1.3.6.1.2.1.1.10
sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11
sysMemUsage内存占用率.1.3.6.1.2.1.1.12
sysDiskUsage磁盘占用率.1.3.6.1.2.1.1.13
sysNewConnTable新建连接表.1.3.6.1.2.1.1.14
hrSystemDate系统日期.1.3.6.1.2.1.25.1.2
hrSystemUptime运行的时间.1.3.6.1.2.1.25.1.1

系统信息

NameDescriptionOID
hrSystemUptime运行的时间.1.3.6.1.2.1.25.1.1
hrSystemDate系统日期.1.3.6.1.2.1.25.1.2
hrSystemNumUsers用户数.1.3.6.1.2.1.25.1.5
hrSystemProcesses进程数.1.3.6.1.2.1.25.1.6
hrSystemMaxProcesses最大进程数.1.3.6.1.2.1.25.1.7
hrMemorySize系统内存.1.3.6.1.2.1.25.2.2
hrStorageTable存储设备信息表(内存,磁盘的使用情况).1.3.6.1.2.1.25.2.3
hrDeviceTable系统设备列表.1.3.6.1.2.1.25.3.2
hrSWRunTable系统进程列表.1.3.6.1.2.1.25.4.2

CPU

NameDescriptionOID
ssCpuUser用户使用CPU情况.1.3.6.1.4.1.2021.11.9
ssCpuSystem系统使用CPU情况.1.3.6.1.4.1.2021.11.10
ssCpuIdle空闲CPU.1.3.6.1.4.1.2021.11.11
sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11.0

内存

NameDescriptionOID
memTotalSwap总swap分区.1.3.6.1.4.1.2021.4.3
memAvailSwap可用swap分区.1.3.6.1.4.1.2021.4.4
memTotalReal内存总量(真实内存).1.3.6.1.4.1.2021.4.5
memAvailReal可用内存(真实内存).1.3.6.1.4.1.2021.4.6
memTotalFree可用内存(真实内存+虚拟内存).1.3.6.1.4.1.2021.4.11
memShared共享内存数量.1.3.6.1.4.1.2021.4.13
memBufferbuffer内存数量.1.3.6.1.4.1.2021.4.14
memCachedCache内存数量.1.3.6.1.4.1.2021.4.15
hrMemorySize内存总量.1.3.6.1.2.1.25.2.2
hrStorageTable存储设备信息表(内存,磁盘).1.3.6.1.2.1.25.2.3

硬盘

NameDescriptionOID
sysDiskUsage磁盘占用率.1.3.6.1.2.1.1.13
hrStorageTable存储设备信息表(内存,磁盘).1.3.6.1.2.1.25.2.3

网口

NameDescriptionOID
ifNumber接口总数.1.3.6.1.2.1.2.1
ifTable接口表(接口名,开启状态,MAC,出口流量,入口流量等).1.3.6.1.2.1.2.2
ifIndex索引.1.3.6.1.2.1.2.2.1.1
ifName网口.1.3.6.1.2.1.2.2.1.2
ifType接口类型.1.3.6.1.2.1.2.2.1.3
ifMtu接口MTU.1.3.6.1.2.1.2.2.1.4
ifPhysAddress接口mac地址.1.3.6.1.2.1.2.2.1.6
ifAdminStatus所希望的接口工作状态.1.3.6.1.2.1.2.2.1.7
ifOperStatus当前接口工作状态.1.3.6.1.2.1.2.2.1.8
ifInOctets接口收到的字节总数.1.3.6.1.2.1.2.2.1.10
ifOutOctets接口发送的字节总数.1.3.6.1.2.1.2.2.1.16

地址转换表

NameDescriptionOID
atTable地址转换表.1.3.6.1.2.1.3.1

IP

NameDescriptionOID
ipForwarding是否作为一个IP网关.1.3.6.1.2.1.4.1
ipDefaultTTLIP头中的Time To Live字段的值.1.3.6.1.2.1.4.2
ipInReceivesIP层从下层接收的数据报总数.1.3.6.1.2.1.4.3
ipInHdrErrors由于IP头出错而丢弃的数据报.1.3.6.1.2.1.4.4
ipInAddrErrors地址出错(无效地址、不支持的地址和非本地主机地址)的数据报.1.3.6.1.2.1.4.5
ipForwDatagrams已转发的数据报.1.3.6.1.2.1.4.6
ipInUnknownProtos不支持数据报的协议,因而被丢弃.1.3.6.1.2.1.4.7
ipInDiscards因缺乏缓冲资源而丢弃的数据报.1.3.6.1.2.1.4.8
ipInDelivers由IP层提交给上层的数据报.1.3.6.1.2.1.4.9
ipOutRequests由IP层交给下层需要发送的数据报,不包括ipForwDatagrams.1.3.6.1.2.1.4.10
ipOutDiscards在输出端因缺乏缓冲资源而丢弃的数据报.1.3.6.1.2.1.4.11
ipOutNoRoutes没有到达目标的路由而丢弃的数据报.1.3.6.1.2.1.4.12
ipReasmTimeout数据段等待重装配的最长时间(秒).1.3.6.1.2.1.4.13
ipReasmReqds需要重装配的数据段.1.3.6.1.2.1.4.14
ipReasmOKs成功重装配的数据段.1.3.6.1.2.1.4.15
ipReasmFails不能重装配的数据段.1.3.6.1.2.1.4.16
ipFragOKs分段成功的数据段.1.3.6.1.2.1.4.17
ipFragFails不能分段的数据段.1.3.6.1.2.1.4.18
ipFragCreates产生的数据报分段数.1.3.6.1.2.1.4.19
ipAddrTableIP地址表.1.3.6.1.2.1.4.20
ipRouteTableIP路由表.1.3.6.1.2.1.4.21
ipNetToMediaTableIP与物理地址转换表.1.3.6.1.2.1.4.22
ipRoutingDiscards无效的路由项,包括为释放缓冲空间而丢弃路由项.1.3.6.1.2.1.4.23

TCP

NameDescriptionOID
tcpRtoAlgorithm重传时间算法.1.3.6.1.2.1.6.1
tcpRtoMin 重传时间最小值.1.3.6.1.2.1.6.2
tcpRtoMax重传时间最大值.1.3.6.1.2.1.6.3
tcpMaxConn可建立的最大连接数.1.3.6.1.2.1.6.4
tcpActiveOpens主动打开的连接数.1.3.6.1.2.1.6.5
tcpPassiveOpens被动打开的连接数.1.3.6.1.2.1.6.6
tcpAttemptFails连接建立失败数.1.3.6.1.2.1.6.7
tcpEstabResets连接复位数.1.3.6.1.2.1.6.8
tcpCurrEstab状态为established或closeWait的连接数.1.3.6.1.2.1.6.9
tcpInSegs接收的TCP段总数.1.3.6.1.2.1.6.10
tcpOutSegs发送的TCP段总数.1.3.6.1.2.1.6.11
tcpRetransSegs重传的TCP段总数.1.3.6.1.2.1.6.12
tcpConnTable连接表.1.3.6.1.2.1.6.13
tcpInErrors接收的出错TCP段数.1.3.6.1.2.1.6.14
tcpOutRests发出的含RST标志的段数.1.3.6.1.2.1.6.15

UDP

udpInDatagrams接收的数据报总数.1.3.6.1.2.1.7.1
udpNoPorts没有发现端口而无法提交的数据报.1.3.6.1.2.1.7.2
udpInErrors出错的数据报.1.3.6.1.2.1.7.3
udpOutDatagrams上层协议要求输出的数据报.1.3.6.1.2.1.7.4
udpTableUDP表.1.3.6.1.2.1.7.5

SNMP

snmpInPktsSNMP模块接收到的分组数.1.3.6.1.2.1.11.1
snmpInTotalReqVars被成功读取的Object数,包括get-request和get-next操作.1.3.6.1.2.1.11.13
snmpInGetRequestsSNMP模块接收到并处理的get-request的分组数.1.3.6.1.2.1.11.15
snmpInGetNextsSNMP模块接收到并处理的get-next的分组数.1.3.6.1.2.1.11.16
snmpOutGetResponsesSNMP模块发出的get-responses的分组数.1.3.6.1.2.1.11.28
snmpEnableAuthenTraps标记是否允许代理程序产生检验失败警告.1.3.6.1.2.1.11.30

关于深信服上网行为管理AC的OID可查看这篇文章:深信服上网行为管理AC的OID表https://www.eumz.com/2020-10/2064.html

深信服防火墙配置IPS的说明

深信服防火墙的基础功能带有漏洞攻击防护,即IPS,可以根据IPS策略对服务器和客户端做IPS防护,增加模块有WAF、网站防篡改、实时漏洞分析。

一般没有购买增强模块,只有漏洞攻击防护,没有实时漏洞分析,其实实时漏洞分析是根据服务器返回的数据包来检测服务器是否存在漏洞,也就是说只能检测不能拦截,且只针对服务器。

基础版本的漏洞攻击防护即可以检测又可以拦截(策略配置成拒绝),而且不仅对服务器生效也对客户端也生效。但是配置IPS的时候有以下几点需要注意:

1、假设防火墙有WAN、LAN1、LAN2三个区域,WAN接公网,LAN1接内网PC,LAN2接服务器,那么业务防护(保护服务器)的配置,源区域为WAN,目的区域为LAN2,IPS选项勾选保护服务器、口令暴力破解即可,不要勾选保护客户端、恶意软件。

2、保护客户端的IPS策略,源区域为LAN1,目的区域为WAN,只勾选保护客户端、恶意软件,不要勾选保护服务器、口令暴力破解

3、以上两点为建议配置,如果将IPS策略源区域和目的区域选所有,可能会出现误报现象,如果对于客户端区域(没有服务器的情况下)勾选了保护服务器、口令暴力破解,也会出现误报。

深信服防火墙主备模式下添加监视网口的办法

现有两台深信服防火墙,路由模式,主备模式配置,现在用户在主防火墙上新加了一个带外管理口,但IP并没有加-HA,导致用户使用该IP登录防火墙时有时登录到主机有时登录到备机,此时需要将该网口也添加到网口监视口。

用户的防火墙并不是直连公网,而且放在出口设备的后面,现在在主防火墙上做一条地址转换,将备机心跳口的443端口映射到主防火墙WAN口的10443端口,然后在出口设备上将住房获取的WAN口的443端口和10443端口都映射到公网上,此时通过公网的443端口即可登录主防火墙,通过10443端口即可登录备防火墙。

然后配置步骤大概如下:
1、在备防火墙上,首选将双机热备的配置同步勾选去掉,备机只有不同步配置,才可以修改双机热备的配置;
2、其次在备机上将带外管理口加入监视网口;
3、再将备机的同步配置勾选上。
4、备防火墙配置完成后,此时在主防火墙上将带外管理口加入监视网口,即可。

整个配置过程,都不会导致主备切换,且一定不要关闭任意一台防火墙双机热备。

深信服防火墙路由模式HA配置说明

防火墙路由模式一般只能配置成主备,无法配置成主主。

除了两台防火墙的HA口配置为-HA,即不同步,一般其他网口都不需要加-HA,且都要放在双机监视网口中,每组监视网口中的所有网口都断开则会切换,比如防火墙有2个WAN口,1个LAN,如果把每个WAN口和LAN口都放在独立的网口监视组中,那么当2个WAN口和1个LAN口有任意一个网口断开都会切换,但是如果把2个WAN口放到同一个网口监视组中,那么只有当2个WAN口都断开才会主备切换。

如果两台防火墙除了WAN口和LAN口还要接带外管理口,那么可以为带外管理口加-HA,即两台使用不同的管理口地址,可以同时管理主备两台防火墙,如果管理口上还需要跑路由,那么就不能加-HA,且一定要加到双机热备的网口监视中,如果不加到网口监视,那么该带外管理口的地址会在两台防火墙上造成地址冲突,即使用该管理口地址会随机登录到主备其中一台且会频繁注销。

另外如果做端口聚合,下接交换机是静态聚合时,深信服防火墙上配置工作模式负载均衡-hash,如果有问题可以都配置成动态聚合。

另外截止深信服防火墙的8.0.26版本,防火墙上最多只能配置256个VLAN,DHCP地址池的地址总数只能有1万个,超过1万会不生效。

以下是两台防火墙路由模式配置HA的截图,主机:

HA配置:

备机只需要将eth4口配置成-HA的心跳口地址,备机HA配置:

深信服防火墙网桥模式HA配置说明

对于两台深信服防火墙,如果配置网桥模式,一般拓扑是口字型,此时可以配置为主主,即两台都在使用,网桥地址可以加-HA,即都可以同时管理,双机热备处不要配置,基本信息及配置同步正常配置。

如果配置成主备模式,即备机静默不发包,备机上下联设备看不到备机的arp信息,此时基本信息、双机热备、配置同步都要正常。

深信服防火墙配置内网PC仅允许访问指定域名的方法

需求是内网PC仅允许访问指定的域名,配置步骤如下:

1、先定义内网PC网段及域名

2、新建一条应用控制策略,针对内网PC放通DNS、HTTP(HTTPS)服务

3、新建一条内容安全策略,URL过滤针对内网PC拒绝访问所有网页

4、新建一条内容安全策略,URL过滤针对内网PC允许访问指定域名,并将该条策略放置最上面

以上步骤即可实现该需求。