防火墙长连接配置

根据提供的信息，H3C防火墙的长连接配置可通过以下步骤完成：

根据防火墙会话管理的设计原则，将 session aging-time 设置为 604800秒（7天）存在显著安全隐患，不推荐在生产环境中使用。以下是关键原因及建议：

主要风险：

1. 资源耗尽风险

   • 长时间的老化时间会导致无效会话持续占用系统资源（内存、会话表项）。攻击者可利用此机制发起会话洪水攻击，快速耗尽防火墙资源，导致业务中断。

2. 无效会话滞留

   • 若因网络抖动、异常断链或攻击导致会话未正常关闭（如未收到FIN/RST包），这些僵死会话将长期存在防火墙中，干扰正常流量处理。

3. 规避安全防护机制

   • 防火墙的默认老化时间设计（如TCP-EST为3600秒）可及时清理异常会话。过长老化时间会削弱防火墙对扫描攻击、会话劫持等威胁的主动防御能力。

4. 内存占用过高

   • 案例显示（如F1030内存利用率92%），长时间或永久老化的会话会显著推高内存占用，甚至触发设备异常。

替代方案（推荐）：

配置步骤（命令行）：

1. 进入系统视图

   system-view

2. 配置长连接会话规则
   使用命令定义符合ACL特征的TCP会话为长连接，并设置老化时间：

   session persistent acl [ipv6] <acl-number> aging-time <time-value>
   • 参数说明：
     • acl-number：ACL编号（2000~3999），用于匹配会话特征。
     • time-value：老化时间（0~360小时），0表示永不老化（缺省为24小时）。
     • ipv6：可选，用于IPv6 ACL（默认为IPv4）。

3. 示例配置

   • 将符合ACL 2000的会话设为长连接，老化时间72小时：
     session persistent acl 2000 aging-time 72
   • 将符合ACL 3000的IPv6会话设为长连接，老化时间100小时：
     session persistent acl ipv6 3000 aging-time 100

关键特性说明：

1. 生效条件

   • 仅对进入 TCP-EST（稳态） 的会话生效。
   • 长连接老化时间的优先级最高，其次为应用层协议老化时间，最后是协议状态老化时间。

2. 会话删除机制
   长连接会话仅在以下情况被删除：

   • 会话双方主动关闭连接。
   • 达到配置的老化时间。
   • 管理员手动清除会话（reset session table）。

3. 注意事项

   • 配置仅影响 后续生成 的会话，对现有会话无效。
   • 若会话已识别为特定应用（如HTTPS），优先遵循应用层老化时间（可通过display session aging-time application查看）。

其他配置方法（补充）：

• 安全策略视图：
  security-policy ip rule name <rule-name> session persistent aging-time <time-value>
• 全局协议老化时间：
  session aging-time application <app-name> <time-value> # 应用层协议 session aging-time state tcp-est <time-value> # TCP状态

⚠️ 优先级顺序：安全策略会话时间 > ACL长连接规则 > 应用层协议时间 > 协议状态时间。建议避免混合配置，以防策略冲突。

验证命令：

• 查看会话详情：
  display session table ipv4 verbose
• 检查老化时间：
  display session aging-time application # 应用层协议 display session aging-time state # 协议状态

典型场景：

若需对特定业务（如数据库）设置永不过期：

配置后，符合ACL 3000的TCP稳态会话将保持永久活跃，直至连接主动关闭或手动清除。