咨询大家个防火墙问题

Mrserious

上周五被很虐了一把，针对一个小局域网中的拓扑图，要做流量测试， 可是从路由到交换机下面的端口硬是流量丢了一半，各种方法测试最终得出结论是防火墙的原因，可是在检查位于路由器和交换机之间的一个防火墙的时候，硬是没有发现有特殊的策略限制，搞得很是颓废啊，设备是中兴的 US550， 小弟觉的路由和交换的配置和调试还算可以，没想到防火墙这么难搞定～～～ ，一下午都觉的很受伤，大概的拓扑就是 外网进内网时候接路由器，路由器经防火墙再接交换转到最终PC终端。这里向咨询下大家，防火墙好象是安全方向的内容吧？ ， 向思科，华为，H3C，锐捷 这些厂家防火墙默认如果不配置的话，纯粹当作一个交换机使用的话，默认策略是允许所有流量的吧？  有其他特殊的么？

vaio

默认防火墙就是不允许任何流量通过。这个和交换机路由器不一样。
另外也有可能是部分广播包被阻断了。看这个样子，防火墙是一个透明墙。

alex9331

防火墙默认不允许

Rockyw

路过了解一下

24K

弱弱的问下楼主，流量测试怎么做的

Mrserious

24K 发表于 2015-8-23 11:29
弱弱的问下楼主，流量测试怎么做的

嗯 流量测试大概就是基于上面描述的一个拓扑结构， 然后从上游路由器 打流量， 并下游的交换机下面接收流量，然后对比下流量总量

Mrserious

vaio 发表于 2015-8-23 09:40
默认防火墙就是不允许任何流量通过。这个和交换机路由器不一样。
另外也有可能是部分广播包被阻断了。看这 ...

嗯 谢谢解答，今天也网络上看了些防火墙的文档，我当时打的是TCP的流量，估计默认防火墙阻止握手数量过多造成的，所以造成了，流量减半，想先拿思科的模拟器做下实验，不知道可不可行，另外想问下，cisco的话模拟防护墙，GNS3 ，效果怎么样，谢谢了

Mrserious

alex9331 发表于 2015-8-22 23:25
防火墙默认不允许

嗯，查了资料，说是默认不允许的，但是我加了 permit any any 类似的策略之后，还是有丢流量，怀疑是TCP连接过多自动阻止造成的

vaio

Mrserious 发表于 2015-8-23 16:03
嗯 谢谢解答，今天也网络上看了些防火墙的文档，我当时打的是TCP的流量，估计默认防火墙阻止握手数量过多 ...

防火墙针对DDOS的攻击有一定效果的防御。
你如果要打流量，建议使用udp打。这样比较方便看出。tcp来来回回3次握手4次分手的。很麻烦。
另外测试性能需要用硬件设备，用gns变成看你pc性能了。而且流量测试一般用IXIA或者思博伦的设备，这种的设备也需要2个口连接到网络的两端吧。

Mrserious

vaio 发表于 2015-8-23 09:40
默认防火墙就是不允许任何流量通过。这个和交换机路由器不一样。
另外也有可能是部分广播包被阻断了。看这 ...

您好 我想跟您再问下 如何在防火墙上解除对 TCP半连接的限制呢？

alex9331

如怀疑TCP连接过多，查看connetion table, 可增加允许数，半开连接数不推荐过多， 防止小马拉大车。 另：防火墙策略不应有permit any any

ASA防火墙的TCP设置
hostname(config)# class-map CONNS
hostname(config-cmap)# match any
hostname(config-cmap)# policy-map CONNS
hostname(config-pmap)# class CONNS
hostname(config-pmap-c)# set connection conn-max 1000 embryonic-conn-max 3000
hostname(config-pmap-c)# set connection timeout tcp 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd
hostname(config-pmap-c)# service-policy CONNS interface outside

Mrserious

alex9331 发表于 2015-8-23 22:21
如怀疑TCP连接过多，查看connetion table, 可增加允许数，半开连接数不推荐过多， 防止小马拉大车。 另：防 ...

PIX是基于ACL的是吧 ，所以做TCP的限制只能在ASA这类防火墙上做？ 另外下面这三句是啥意思？
hostname(config-pmap-c)# set connection conn-max 1000 embryonic-conn-max 3000
hostname(config-pmap-c)# set connection timeout tcp 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd
hostname(config-pmap-c)# service-policy CONNS interface outside
刚刚练习完一些PIX的实验，ASA还没有看到，还请帮解释下，谢谢了!

alex9331

PIX不太懂，抱歉

hostname(config-pmap-c)# set connection conn-max 1000 embryonic-conn-max 3000
设置最大连接数1000，半开连接最大3000

hostname(config-pmap-c)# set connection timeout tcp 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd
设置连接的时间半开连接相对时间40分钟，半开连接释放时间20分钟，开启死连接监测

hostname(config-pmap-c)# service-policy CONNS interface outside
在outside接口应用CONNS策略

Mrserious

alex9331 发表于 2015-8-23 22:59
PIX不太懂，抱歉

hostname(config-pmap-c)# set connection conn-max 1000 embryonic-conn-max 3000

好的 ，非常感谢~  一会儿做下 ASA的实验 看看