安全产品维护手册15.docVIP

、 PAGE 1 安全产品服务中心 (第15期) 目 录 TOC \o 1-3 \h \z Part I FAQ 4 1. 防火墙的包过滤规则里的其它协议到底是什么协议？ 4 2.防火墙的日志太大无法一次删除怎么解决？ 5 3. 关于NET: N messages suppressed.报错 5 4. 关于防火墙单对单nat无法对外提供服务的问题 6 5.关于做地址绑定时的一些问题 7 6.关于重新安装np防火墙内核时一些需要注意的地方 7 7.什么是ipsec 8 8.关于配置非ip规则需要注意的地方 9 9.什么是源路由攻击? 9 10.关于配置防火墙时容易出错和需要注意的几个地方 10 11.一个网卡硬件问题造成网络不通的处理 11 12.vpn参数介绍 12 13.vpn双机热备是否可行？ 13 14.做vpn时本地访问控制规则的作用是什么？ 13 15.vpn的通道超时时间是多少？ 13 16.vpn通道建立的过程介绍 14 17.登录防火墙很慢是什么原因？ 15 18. 防火墙x86架构NP架构的区别 15 19.755主板防火墙管理口通信功能最好禁用 16 20.关于selfnflt的应用 16 21.如何设置radius认证防火墙管理用户 17 22.如何配置一台IDS与多台防火墙联动？ 18 23.如何用命令方式添加路由？ 19 24.双机热备的必要条件是什么？ 19 25.防火墙基本原理介绍 20 26.关于防火墙内核里的内容过滤 22 27.np防火墙之命令速查表 22 28.IDS特征库创建的思路及过程 29 29.关于思科交换机span及rspan的设置 33 30.防火墙的一些局限性 35 Part II 典型案例 37 紫金矿业vpn一部分主机不能连接问题 37 中兴南宁节点双链路实施方案 41 中兴贵阳节点双链路方案 45 单播，多播，广播的介绍 47 Part I FAQ 1. 防火墙的包过滤规则里的其它协议到底是什么协议？ 协议号是存在于IP数据报的首部的20字节当中的固定部分，占有8bit.该字段是指出此数据报所携带的数据是使用何种协议，以便目的主机的IP层知道将数据部分上交给哪个处理过程。也就是协议字段告诉IP层应当如何交付数据。 而端口，则是运输层服务访问点TSAP，端口的作用是让应用层的各种应用进程都能将其数据通过端口向下交付给运输层，以及让运输层知道应当将其报文段中的数据向上通过端口交付给应用层的进程。 端口号存在于UDP和TCP报文的首部，而IP数据报则是将UDP或者TCP报文做为其数据部分，再加上IP数据报首部，封装成IP数据报。而协议号则是存在这个IP数据报的首部. 他们是在不同层上所使用的，简单的说，协议号是从1-255，而端口号是1-65535，如ospf协议号是89，ICMP的协议号是1，tcp协议号是6,udp协议号是17等等，如果仔细注意就会发现我们的default规则的其它协议是 包括elseip(2-5) 协议号： 2 – 5,elseip(7-16) 协议号： 7 - 16,elseip(18-255) 协议号： 18 – 255，也就是除去了ICMP、tcp和udp的协议号，所以我们在自己做包过滤规则时也需要注意，如果我们做了eip的1-255的规则，那么实际上就已经包含了tcp和udp的所有端口全通的规则，如果这条规则是排在最前面的，那么后面再做的对tcp和udp的限制就不会再起作用。（如只做一条内到外eip1-255的规则，就相当于内到外的icmp,udp和tcp都已经全部放开） 2.防火墙的日志太大无法一次删除怎么解决？ 有时记录在防火墙硬盘上的日志如果太长时间没有清理，那么就有可能无法一次性删除，用审计系统一般是无法删掉的。这时，需要进入终端手动清除/fwsys/var/db/audit,event,stat三个目录的日志文件。其它两个目录的文件比较好删除，但是audit目录下的文件比较多，一般用“rm *”时会提示“Argument too long”而无法删掉，用ls看这个目录也会有这种提示，一般这种情况是防火墙的内存不足所造成的，拔掉所有网线进行删除日志操作，如果还不行，则可以把*号再细化为.frm .ISD及.ISM的后缀