防火牆長連接配置

根據提供的信息，H3C防火牆的長連接配置可通過以下步驟完成：

根據防火牆會話管理的設計原則，將 session aging-time 設置為 604800秒（7天）存在顯著安全隱患，不推薦在生產環境中使用。以下是關鍵原因及建議：

主要風險：

1. 資源耗盡風險

   • 長時間的老化時間會導致無效會話持續占用係統資源（內存、會話表項）。攻擊者可利用此機製發起會話洪水攻擊，快速耗盡防火牆資源，導致業務中斷。

2. 無效會話滯留

   • 若因網絡抖動、異常斷鏈或攻擊導致會話未正常關閉（如未收到FIN/RST包），這些僵死會話將長期存在防火牆中，幹擾正常流量處理。

3. 規避安全防護機製

   • 防火牆的默認老化時間設計（如TCP-EST為3600秒）可及時清理異常會話。過長老化時間會削弱防火牆對掃描攻擊、會話劫持等威脅的主動防禦能力。

4. 內存占用過高

   • 案例顯示（如F1030內存利用率92%），長時間或永久老化的會話會顯著推高內存占用，甚至觸發設備異常。

替代方案（推薦）：

配置步驟（命令行）：

1. 進入係統視圖

   system-view

2. 配置長連接會話規則
   使用命令定義符合ACL特征的TCP會話為長連接，並設置老化時間：

   session persistent acl [ipv6] <acl-number> aging-time <time-value>
   • 參數說明：
     • acl-number：ACL編號（2000~3999），用於匹配會話特征。
     • time-value：老化時間（0~360小時），0表示永不老化（缺省為24小時）。
     • ipv6：可選，用於IPv6 ACL（默認為IPv4）。

3. 示例配置

   • 將符合ACL 2000的會話設為長連接，老化時間72小時：
     session persistent acl 2000 aging-time 72
   • 將符合ACL 3000的IPv6會話設為長連接，老化時間100小時：
     session persistent acl ipv6 3000 aging-time 100

關鍵特性說明：

1. 生效條件

   • 僅對進入 TCP-EST（穩態） 的會話生效。
   • 長連接老化時間的優先級最高，其次為應用層協議老化時間，最後是協議狀態老化時間。

2. 會話刪除機製
   長連接會話僅在以下情況被刪除：

   • 會話雙方主動關閉連接。
   • 達到配置的老化時間。
   • 管理員手動清除會話（reset session table）。

3. 注意事項

   • 配置僅影響 後續生成 的會話，對現有會話無效。
   • 若會話已識別為特定應用（如HTTPS），優先遵循應用層老化時間（可通過display session aging-time application查看）。

其他配置方法（補充）：

• 安全策略視圖：
  security-policy ip rule name <rule-name> session persistent aging-time <time-value>
• 全局協議老化時間：
  session aging-time application <app-name> <time-value> # 應用層協議 session aging-time state tcp-est <time-value> # TCP狀態

⚠️ 優先級順序：安全策略會話時間 > ACL長連接規則 > 應用層協議時間 > 協議狀態時間。建議避免混合配置，以防策略衝突。

驗證命令：

• 查看會話詳情：
  display session table ipv4 verbose
• 檢查老化時間：
  display session aging-time application # 應用層協議 display session aging-time state # 協議狀態

典型場景：

若需對特定業務（如數據庫）設置永不過期：

配置後，符合ACL 3000的TCP穩態會話將保持永久活躍，直至連接主動關閉或手動清除。