• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙修改策略时长太久了

3小时前提问
  • 0关注
  • 0收藏,46浏览
粉丝:0人 关注:0人

问题描述:

安全策略目前有520条,修改某条策略时--时长过久,太长就显示 https已断开。

组网及组网描述:

3 个回答
粉丝:21人 关注:0人

清除浏览器缓存试下,不过策略是有点多了,可以合并合并

暂无评论

粉丝:22人 关注:2人

、根因说明(为什么改策略就超时断网页)
520 条策略加载全量消耗 CPU
Web 修改任意一条安全策略时,设备后台会全量加载、校验、重新编译全部 520 条域间策略,策略数量越大,CPU 占用越高,HTTPD 网页服务进程被抢占,浏览器 HTTPS 会话超时断开。
安全策略加速未激活
V7 防火墙默认策略加速仅对旧规则生效,新增 / 修改规则不会自动进入加速缓存,每次编辑都要全量遍历所有规则,耗时成倍增加。
Web 服务资源参数默认值偏小
默认 Web 会话、SSL 加密参数保守,CPU 高负载时 HTTPS 握手 / 会话维持直接中断。
大量冗余规则、基于域名 / 应用深度匹配加重编译开销
域名策略、应用特征识别规则编译开销远高于纯 IP 端口规则。
二、分 4 步解决(先临时缓解网页断开,再根治卡顿)
步骤 1:优先用 Console/Telnet 命令行修改策略,彻底规避 Web 超时(临时最优方案)
Web 页面全量渲染 520 条规则极易超时,命令行无前端渲染开销,编辑无断开风险。
常用安全策略命令(修改单条规则)
plaintext
system-view
# 进入域间策略视图
security-policy ip
# 查看所有规则序号,定位要修改的rule编号
display this
# 直接修改对应规则(例修改rule 30)
rule 30 name Server_Access
source-zone trust
destination-zone untrust
source-address 10.1.0.0 0.0.255.255
action pass
# 保存配置
save force

运维习惯:批量 / 频繁改策略优先 Console,仅查看少量策略用 Web。
步骤 2:调优 Web HTTPS 服务参数,防止网页直接断开
1)优化 SSL 加密与 Web 会话
plaintext
system-view
# 仅使用TLS1.2简化加密运算,降低CPU开销
ip https ssl-server version tls1.2
ip https ssl-server cipher-suite AES128-GCM-SHA256
# 限制Web并发会话,避免多个人同时登录抢占CPU
web-manager session max 8
# 调大TCP会话保活时间,防止编辑中HTTPS断开
tcp timer fin-timeout 15
tcp timer syn-timeout 5

2)关闭占用 CPU 的后台功能(编辑策略前临时关闭)
plaintext
# 关闭实时日志打印(实时日志会持续抢占CPU)
undo info-center enable
# 关闭全局流量监控、应用深度检测(不影响转发,仅临时关闭)
undo flow-monitor enable
undo dpi deep-inspect enable

步骤 3:开启 + 激活【安全策略加速】,根治策略编译卡顿(核心修复)
安全策略加速将规则编译为硬件 / 快速匹配缓存,修改后手动激活,大幅减少每次编辑的全量遍历耗时。
全局开启策略加速
plaintext
system-view
security-policy acceleration enable

每次修改完任意一条策略,必须执行手动加速激活
plaintext
security-policy acceleration activate

自动加速周期 20 秒(规则 > 100 条),手动 activate 即时生效;
激活后所有 520 条规则进入加速缓存,下次编辑编译速度提升 70% 以上。
Web 端操作入口:安全策略页面右上角【立即加速】按钮,修改完点一次。
步骤 4:长期根治 —— 精简、分组重构 520 条策略(从根源减少编译耗时)
1)清理冗余无效规则
plaintext
# 查看策略命中统计,删除90天无命中、过期、重复规则
display security-policy ip statistics

删除重复、废弃、长期未命中规则,目标压缩至 300 条以内,编辑延迟大幅下降。
2)合并同类规则,减少条目数量
多条同安全域、同动作、仅端口不同的规则合并为端口范围:
plaintext
# 多条拆分规则
rule permit tcp source 10.1.1.0 0.0.0.255 destination-port eq 80
rule permit tcp source 10.1.1.0 0.0.0.255 destination-port eq 443
# 合并为单条
rule permit tcp source 10.1.1.0 0.0.0.255 destination-port range 80 443

3)使用地址对象 / 服务对象分组,简化规则编译
把同网段、同端口批量创建对象,一条规则匹配整组,大幅减少规则总量。
4)少用基于域名、应用特征的规则
域名解析、DPI 应用识别会增加策略编译 CPU 开销,固定业务优先用 IP 网段匹配。
三、双机 HRP 防火墙额外优化(双机同步加重卡顿)
如果是主备防火墙,修改策略时同步配置同步会额外消耗 CPU:
plaintext
# 策略同步延迟,避免修改瞬间大量同步抢占CPU
hrp sync delay 10
# 修改完策略手动触发同步,不要实时同步
hrp sync start now

四、操作顺序推荐(现场快速落地)
紧急处理:用 Console 线登录命令行修改策略,完全避开 Web 超时;
调优 Web SSL、TCP 参数,关闭实时日志 / 流量监控;
开启安全策略加速,每次改完策略执行 activate 激活;
长期优化:清理冗余规则、合并同类规则,压缩策略总数;
若版本老旧:升级防火墙至最新稳定 Hotfix,官方优化了 Web 策略加载逻辑。
五、验证 CPU 负载命令(判断优化是否生效)
plaintext
# 查看整机CPU,编辑策略时正常应低于60%
display cpu-usage
# 查看网页进程HTTPD占用,优化后应低于30%
display process | include HTTPD
# 查看安全策略加速状态
display security-policy acceleration status

暂无评论

席宸 三段
粉丝:2人 关注:10人

一、看你防火墙型号(性能)

二、看看设备硬件指标

三、更换浏览器测试

四、登录设备命令行配置看看是否依旧很慢

520条其实不多,上千条的都经常见

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明