华为防火墙配置会话表老化时间和长连接老化时间

小乔

会话表是状态检测防火墙进行转发的基础。本例中，通过调整会话老化时间和长连接老化时间，为特殊应用保证长时间的数据连接。需要注意的是，保持数据连接需要消耗一定的系统性能。
组网需求
USG部署在某公司的出口。该公司对外提供FTP服务，对内提供FTP服务和数据库服务。组网需求如下：
用户可以长时间从FTP服务器下载大体积文件，且下载完毕后无需重新连接FTP服务器。
用户可以隔很长时间才查询一次数据库。
组网图如图1所示。

窍门：
当FTP控制通道的老化时间设置得比FTP数据通道短时，则用户在下载文件完毕后需要重新连接FTP服务器。这是因为当下载大文件时，FTP数据通道上会一直有流量传输，故会话不会老化。但是，如果用户一直在等待文件下载完毕，那么FTP控制通道上将不会有报文传输，故FTP控制通道在老化时间后将被删除掉。
为了避免这种情况的出现，应将FTP控制通道的老化时间设置得比FTP数据通道长，本例中假设FTP控制通道的老化时间为1个小时，FTP数据通道的老化时间为5分钟。所以只要用户在1个小时内将文件下载完，然后继续进行浏览FTP目录、请求文件下载等操作，使FTP控制通道上有报文收发，那么就可以继续使用FTP功能，而不需要重新登录。

配置思路
1根据网络规划为USG分配接口IP地址，并将接口加入相应的安全区域。
2配置域间包过滤，并匹配创建的ACL规则。
3为了满足隔很长时间才访问一次数据库的需求，开启域间长连接功能，并设置长连接的老化时间。
4为了满足长时间下载大体积文件的需求，调整FTP控制通道与FTP数据通道的老化时间。

操作步骤
1配置各个接口的IP地址，并划入相应的安全区域。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0   
[USG-GigabitEthernet0/0/0] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/1              
[USG-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] interface GigabitEthernet 0/0/2                 
[USG-GigabitEthernet0/0/2] ip address 1.1.1.1 24
[USG-GigabitEthernet0/0/2] quit
[USG] firewall zone trust                                               
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
[USG] firewall zone dmz                                               
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
[USG] firewall zone untrust                                               
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] quit

2创建一条ACL用于定义内网用户访问数据库服务器的流量。
[USG] acl 3001
[USG-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.3 0
[USG-acl-adv-3001] quit

3配置域间包过滤，以保证网络基本通信正常。
[USG] policy interzone trust dmz outbound
[USG-policy-interzone-trust-dmz-outbound] policy 0
[USG-policy-interzone-trust-dmz-outbound-0] policy source 192.168.1.0 0.0.0.255
[USG-policy-interzone-trust-dmz-outbound-0] policy destination range 10.1.1.2 10.1.1.3
[USG-policy-interzone-trust-dmz-outbound-0] action permit
[USG-policy-interzone-trust-dmz-outbound-0] quit
[USG-policy-interzone-trust-dmz-outbound] quit
[USG] policy interzone untrust dmz inbound
[USG-policy-interzone-dmz-untrust-inbound] policy 0
[USG-policy-interzone-dmz-untrust-inbound-0] policy destination 10.1.1.2 0
[USG-policy-interzone-dmz-untrust-inbound-0] action permit
[USG-policy-interzone-dmz-untrust-inbound-0] quit
[USG-policy-interzone-dmz-untrust-inbound] quit

4配置域间NAT策略和NAT Server 参考以前发布的内容
5 在Trust区域与DMZ区域的域间引用ACL3001进行长连接的配置。
[USG] firewall interzone trust dmz
[USG-interzone-trust-dmz] detect ftp
[USG-interzone-trust-dmz] long-link 3001 outbound
WARNING: Too large range of ACL maybe affect the performance of firewall, please use this command carefully!
Are you sure?[Y/N]Y
[USG-interzone-trust-dmz] quit
[USG] firewall interzone untrust dmz
[USG-interzone-dmz-untrust] detect ftp
[USG-interzone-dmz-untrust] quit
6配置长连接功能老化时间，使ACL3001中定义的流量按照该时间进行老化。然后调整FTP控制通道与FTP数据通道的老化时间。该配置对所有流量生效，所以不需要匹配ACL。其中ftp表示FTP控制通道，ftp-data表示FTP数据通道。
[USG] firewall long-link aging-time 24
[USG] firewall session aging-time service-set ftp 3600
[USG] firewall session aging-time service-set ftp-data 300

结果验证
1 通过命令display firewall long-link aging-time查看当前配置的长连接老化时间。
[USG] display firewall long-link aging-time
11:27:16  2011/09/16
Long-link aging-time is 24 hours  
从屏显信息中可以看到，当前长连接的老化时间为24小时。
2通过命令display firewall session aging-time查看当前配置的FTP控制通道和数据通道的老化时间。
[USG] display firewall session aging-time
11:35:22  2011/09/16
Sequence  Pre-defined                     VPN                  Timeout(s)
----------------------------------------------------------------------
1         http                            All                  600
2         telnet                          All                  600
3         ftp                             All                  3600
4         ras                             All                  600
5         dns                             All                  120
6         rtsp                            All                  600
7         ils                             All                  600
8         hwcc                            All                  120
9         smtp                            All                  600
10        sip                             All                  600
11        sqlnet                          All                  600
12        netbios-name                    All                  120
13        netbios-session                 All                  120
14        netbios-data                    All                  120
15        pptp                            All                  600
16        qq                              All                  120
17        stun                            All                  600
18        msn-stun                        All                  240
19        mgcp                            All                  130
20        mms                             All                  600
21        rpc                             All                  600
22        h225                            All                  1200
23        h245                            All                  1200
24        icmp                            All                  20
25        msn                             All                  600
26        msn-audio                       All                  240
27        msn-discard                     All                  240
28        ftp-data                        All                  300
29        rtsp-rtp                        All                  120
30        rtsp-rtcp                       All                  120
从屏显信息中可以看到，由于还没有进行报文的传输，故FTP控制通道的剩余老化时间为3600秒，FTP数据通道的剩余老化时间为300秒。

• 
  
  

人在旅途2013

misaka1

Thank you for sharing!