某项目出口防火墙F1010带宽缓慢问题分析

一、故障现象

    F1010防火墙做Internet出口，无任何带宽限制策略，客户反馈网络缓慢。百兆光宽带下载速度1Mb/s左右，利用排除法去掉F1010进行测试；带宽恢复，下载速度达到12Mb/s左右。

二、设备信息

    版本：H3C Comware Software, Version 7.1.064, Release 9510P06

    型号：SecPath F1010

三、问题分析

1、  通过故障分析定位故障应该是出在防火墙上。登陆F1010进行排查，发现无任何带宽限制策略。客户在untrust区域设置了“攻击防范策略”如下所示。

    2、发现“攻击防范策略”中“泛洪防范公共配置”，“知名单包攻击防范”客户进行了全部框选。

3、怀疑“攻击防范策略”检测过多，导致端口转发性能下降，产生带宽缓慢的现象。将Untrust区域的策略去掉进行测试，带宽恢复，测试下载速度12Mb/s 。

四、经验总结

    防火墙“攻击防范”中检测内容多会影响端口转发性能，导致网络缓慢。项目建设中建议引导客户仅对“攻击防范”中重要的攻击类型进行检测防护，避免此故障现象的产生。

2018年03月