返回
eudemon防火墙产品使用注意事项 20060420-a

eudemon防火墙产品使用注意事项 20060420-a

ID:10022609

大小:1.17 MB

页数:8页

时间:2018-05-21

eudemon防火墙产品使用注意事项 20060420-a_第1页
eudemon防火墙产品使用注意事项 20060420-a_第2页
eudemon防火墙产品使用注意事项 20060420-a_第3页
eudemon防火墙产品使用注意事项 20060420-a_第4页
eudemon防火墙产品使用注意事项 20060420-a_第5页
资源描述:

《eudemon防火墙产品使用注意事项 20060420-a》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、华为产品维护资料Eudemon防火墙产品使用注意事项2006/4/23Eudemon防火墙产品使用注意事项声明Copyright©2005华为技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。®、HUAWEI®、华为®、C&C08®、EAST8000®、HONET®、®、视点®、ViewPoint®、INtess®、ETS®、DMC®、TELLIN®、InfoLink®、Netkey®、Quidway®、SYNLOCK®、Radium®、雷霆®、M900/M1800®、

2、TELESIGHT®、Quidview®、Musa®、视点通®、Airbridge®、Tellwin®、Inmedia®、VRP®、DOPRA®、iTELLIN®、HUAWEIOptiX®、C&C08iNET®、NETENGINE™、OptiX™、iSite™、U-SYS™、iMUSE™、OpenEye™、Lansway™、SmartAX™、边际网™、infoX™、TopEng™均为华为技术有限公司的商标。对于本手册中出现的其它商标,由各自的所有人拥有。由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本手册仅作为使用指导,本手册

3、中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术支持技术支援网址:http://support.huawei.com客户服务邮箱:support@huawei.com客户服务电话:80083021180755-28560000传真:0755-28560111地址:深圳市龙岗区坂田华为总部办公楼邮编:518129ii华为产品维护资料Eudemon防火墙产品使用注意事项2006/4/23目录声明i技术支持iEudemon防火墙产品使用注意事项11Eudemon防火墙产品使用注意事项11.1防火墙组网注意事项11.2防火墙双机热备份使用注意事项11

4、.3防火墙硬件板卡配置注意事项31.4防火墙升级注意事项41.5防火墙安装注意事项41.6防火墙攻击防范注意事项41.7防火墙NAT应用注意事项41.8防火墙日常维护注意事项51.9防火墙P2P应用注意事项5ii华为产品维护资料Eudemon防火墙产品使用注意事项2006/4/20Eudemon防火墙产品使用注意事项1Eudemon防火墙产品使用注意事项1.1防火墙组网注意事项1)不建议使用防火墙参与动态路由计算,特别不建议在OSPF和BGP中引入大量路由。由于内存有限,大量的路由会占用很多内存,导致防火墙会话表容量降低,同时路由计算会消耗大量的CP

5、U资源,在链路动荡时严重影响防火墙的性能。2)尽可能避免来回路径不一致情况。存在来回路径不一致时,会导致防火墙无法识别正常的会话状态,影响TCP连接的正常建立,如何关闭防火墙状态检查,则防火墙只能进行普通的包过滤,部分攻击防范能力会失效。3)当存在来回路径不一致时,必须配置undofirewallsessionlink-statecheck和firewallfragment-forwardenable允许分片报文通过。4)使用透明模式组网时避免出现二层环路,避免透传所有VLAN。5)每种防火墙都有会话表数量限制,使用中应考虑业务容量,避免会话表规格不

6、满足情况出现。6)负载分担的组网是一种很复杂的组网,需要和上下行设备紧密配合才能正常工作。目前不能支持与路由器的负载分担组网。7)双机热备组网时,VRRP组号不能和网络中其它华为设备(不限于防火墙设备)的VRRP组号重复。否则会引起虚MAC地址冲突。8)Eudemon500工作在混合模式,不要使用VLANIF作为业务网关。1.2防火墙双机热备份使用注意事项1)双机热备目前只支持两台设置进行备份,不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份。2)6华为产品维护资料Eudemon防火墙产品使用注意事项2006/4/20由

7、于双机热备中具有备份机制可以备份动态信息和命令,因此要求进行双机热备的两台设备板卡的位置,以及接口卡的类型都要求相同,否则会出现主防火墙备份过去的信息,与从防火墙根本就无法进行搭配使用,如出现主备状态切换就会导致业务出问题。1)进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同,以免由于先前的配置而导致业务问题。2)在VRRP管理组中添加组成员时,注意不要在承载业务的组成员上配置transfer-only参数。该参数只用于防火墙之间的心跳接口上。3)对于Eudemon500和Eudemon1000产品,在混合模式的双机热备组网中

8、,不能采用心跳口的VRRP备份组监视透明模式的业务端口的方式。4)在Eudemon500/1000中,需要将

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。