会,涉及这个技术公告,你可以确认下自己设备情况,有条件升级下
还有个设计日志开启后的情况也可以看下:https://zhiliao.h3c.com/Theme/details/215288
1、
问题描述
公告类别 |
强制立即整改 |
整改完成期限 |
2022/9/23 |
操作要求 |
配置更改 |
【产品型号】
F100系列、F1000系列、F5000系列、SecBlade FW 系列中低端防火墙;
T1000系列、T5000系列、SecBlade IPS 系列入侵防御;
L100系列、L1000系列、L5000系列、SecBlade ADE 系列负载均衡。
【涉及版本】
所有Comware V7版本。
【问题描述】
当大量安全模块日志(安全策略日志、流日志、威胁日志等)上送设备信息中心时,可能导致设备运行异常,出现无法登录、转发异常、设备挂死、设备重启等故障。
原因分析
【原因分析】
当日志量大的情况下,可能导致控制核繁忙,内部进程通信异常,同时转发性能下降。
规避措施/解决方案
【解决方案】
1、开启各安全模块记录日志功能时,必须同步配置快速日志(customlog)将对应模块日志发送至日志主机;
2、严禁配置Flow日志输出到信息中心。
来自 <https://zhiliao.h3c.com/Theme/details/196632>
2、F1000-AK155
防火墙安全模块的日志直接上送到信息中心,有已知问题,会概率导致设备运行异常,导致网络中断(见附件“关于安全部分产品大量日志上送信息中心可能导致设备运行异常问题的技术公告”)。需要配置快速日志:
customlog format命令用来开启快速日志输出功能,部分模块介绍:
packet-filter:将报文过滤模块的日志快速输出到日志主机。
session:将会话管理模块的日志快速输出到日志主机。
attack-defense:将攻击检测与防范模块的日志快速输出到日志主机。
dpi:将DPI(Deep Packet Inspection,深度报文检测)相关模块的日志快速输出到日志主机。不指定任何参数时,则表示将所有DPI相关模块的日志快速输出到日志主机。
部分模块配置举例:
---------快速日志输出安全策略日志举例---------------
#开启快速日志输出功能
[H3C] customlog format packet-filter
#将报文过滤模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.90 export packet-filter
防火墙当前版本也存在大量导致设备异常重启的已知问题,建议升级如下版本:
https://www.h3c.com/cn/d_202106/1421347_30005_0.htm #R9345P2413版本下载链接
除了策略日志外,有如下改进点可能会有影响:
===============debugging infomation===============
ASPF packet debugging switch is on(acl:3333)
IP packet debugging switch is on ( ACL:3333 )
Security-policy packet ipv6 acl 3333 debugging switch is on
session statistics enable
④清除登录黑名单再测试,目前黑名单中存在较多地址,都是admin账户,结合上面的Telnet登录失败来看,现场网络中存在攻击
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论