某项目出口防火墙F1010带宽缓慢问题分析
一、故障现象
F1010防火墙做Internet出口,无任何带宽限制策略,客户反馈网络缓慢。百兆光宽带下载速度1Mb/s左右,利用排除法去掉F1010进行测试;带宽恢复,下载速度达到12Mb/s左右。
二、设备信息
版本:H3C Comware Software, Version 7.1.064, Release 9510P06
型号:SecPath F1010
三、问题分析
1、 通过故障分析定位故障应该是出在防火墙上。登陆F1010进行排查,发现无任何带宽限制策略。客户在untrust区域设置了“攻击防范策略”如下所示。
2、发现“攻击防范策略”中“泛洪防范公共配置”,“知名单包攻击防范”客户进行了全部框选。
3、怀疑“攻击防范策略”检测过多,导致端口转发性能下降,产生带宽缓慢的现象。将Untrust区域的策略去掉进行测试,带宽恢复,测试下载速度12Mb/s 。
四、经验总结
防火墙“攻击防范”中检测内容多会影响端口转发性能,导致网络缓慢。项目建设中建议引导客户仅对“攻击防范”中重要的攻击类型进行检测防护,避免此故障现象的产生。
2018年03月
本期文章
-
卷首语
-
公司动态
-
行业聚焦
-
产品推荐
-
案例介绍
-
经验共享
-
培训天地