Netscreen防火墙日常维护指南分解

1、Netscreen防火墙日常维护指南察JuniperNETWORKSIJuniperNetworks,Inc.Jul.2006目录一、综述3二、Netscreen防火墙日常维护4常规维护：4应急处理9总结改进10故障处理工具11三、Netscreen冗余协议（NSRP）13NSRP部署建议13NSRP常用维护命令14四、策略配置与优化（POLICY）15五、攻击防御（screen）17五、特殊应用处理19长连接应用处理19不规范TCP应用处理20VOIP应用处理21附录：JUNIPER防火墙CASE信息表错误！未定义书签。一、综述7*24防火墙作为企业核心网络中的关键设备，需要为所有进出网络的

2、信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断及恢复成为维护人员的工作重点。NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方Juniper"NETWORKSI法，通过日常管理监控可确保防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Netscreen防火墙维护主要思路为：通过积极

3、主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。常规维护：在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解Netscreen防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。1、日常维护过程中，需要重点检查以下几个关键信息：Session:如已使用的Session数达到或接近系统最大值，将导致新Session不能及时建立连接，此时已经建立Session的通讯虽不会造成影响；但仅当现有session连接拆除后，释放出来的Ses

4、sion资源才可冬Juniper®NETWORKSI供新建连接使用。维护建议：当Session资源正常使用至80%时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。CPU:Netscreen是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC芯片完成，正常工作状态下防火墙CPU使用率应保持在45%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与恶意流量有关，可通过正确设置screening对应选项进行防范。Memory:NetScreen防火墙对内存的使用

5、把握得十分准确，采用预分配”机制，空载时内存使用率为约50-60%,随着流量不断增长，内存的使用率应基本保持稳定。如果出现内存使用率超过75%时，需检查网络中是否存在攻击流量，确认近期健康检查内存分配是否发生较大变化，检查为debug分配的内存空间是否过大（getdbufinfo单位为字节）。2、在业务使用高峰时段检查防火墙关键资源（如：Cpu、Session、Memory和接口流量）等使用情况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。当session数量超过平常基准指标20%时，需检查session表和告警信冬Juniper®NE

6、TWORKSI息，检查session是否使用于正常业务，网络中是否存在可疑流量和恶意攻击行为。当Cpu占用超过平常基准指标30%时，需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。3、防火墙健康检查信息表:设备型号软件版本设备序列号设备用途XX区防火墙设备状态主用/备用设备组网方式如：Layer3口型A/P检查对象检查命令相关信息检查结果备注SessionGetsessionCPUGetperfcpuMemoryGetmemoryInterfaceGetinterface路田！GetrouteHA状态Getnsrp事件查看Getlogevent告警信息Getalarm

7、event机箱温度LEDGetchassisLED指示灯检查设备运行Session参考基线CpuMemory接口流量业务类型机箱温度4、常规维护建议：1、配置System-ip地址，指定专用终端管理防火墙；2、更改netscreen账号和口令，不建议使用缺省的netscreen账号管理防火墙；设置两级管理员账号并定期变更口令；仅容许使用SSH和SSL方式登陆防火墙进行管理维护。3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。4、整理一份上下行交换机配置备份文档（调整其中的

8、端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故冬Juniper®NETWORKSI障隐患。7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：NSRP集群中设备出现故障，网线故障及交换机故障时的路径保护切

9、换。9、设备运行档案表设备型号软件版本设备序列号设备用途XX区防火墙设备状态主用/备用设备组网方式如：Layer3口型A/P保修期限供应商联系方式配置变更交更原因艾更内容结果负责人事件处理事件现象处理过程结果负责人应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行NSRP双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位前不要关闭防火墙。1、 检查设备运行状态网络出现故障时，应快速判

10、断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。2、 跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。Juniper"NETWORKSI3、 检查是否存在攻击流量通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在Scr

11、een选项中启用对应防护措施来屏蔽攻击流量。4、检查NSRP工作状态使用getnsrp命令检查nsrp集群工作状态，如nsrp状态出现异常或发生切换，需进一步确认引起切换的原因，引起NSRP切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。5、防火墙发生故障时处理方法如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。总结改进故障处理后的总结与改进是进一步

12、巩固网络可靠性的必要环节，有效的总结能够避免很多网络故障再次发生。冬Juniper®NETWORKSI1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整的配置参数在上线前进行测试评估，避免因配置调整带来新的故障隐患。3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。故障处理工具Netscreen防火墙提供灵活多样的维护方式，其中故障处理时最有用的两个工具是debug和snoop,debug用于跟踪防火墙对指定包的处理，snoop用于捕获流经防火墙的数据包，由于

13、debug和snoop均需要消耗大量的防火墙cpu资源，在使用时务必谨慎开启，包分析结束后应在第一时间关闭debug和snoop功能。下面简要介绍一下两个工具的使用方法。Debug:跟踪防火墙对数据包的处理过程1.Setffiltersrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表，定义捕获包的范围2、cleardbuf清除防火墙内存中缓存的分析包4、发送测试数据包或让小部分流量穿越防火墙5、undebugall关闭所有debug功能6、getdbufstream检查防火墙对符合过滤条件数据包的分析结果7、unsetffilter清除防火墙debug过滤列表

14、8、cleardbuf清除防火墙缓存的debug信息9、getdebug查看当前debug设置Snoop:捕获进出防火墙的数据包，与Sniffer嗅包软件功能类似c1. Snoopfilteripsrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表，定义捕获包的范围2、cleardbuf清除防火墙内存中缓存的分析包3、snoop开启snoop功能捕获数据包4、发送测试数据包或让小部分流量穿越防火墙5、snoopoff停止snoop6、getdbstream检查防火墙对符合过滤条件数据包的分析结果7、snoopfilterdelete清除防火墙snoop过滤列表8

15、、cleardbuf清除防火墙缓存的debug信息9、snoopinfo查看snoop设置冬Juniper®NETWORKSI三、Netscreen冗余协议(NSRP)Nsrp协议提供了灵活的设备和路径冗余保护功能，在设备和链路发生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。NSRP部署建议：基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。当配置两组或两组以上的防火墙到同一组交换机上时，每组ns

16、rp集群应设置不同的clusterID号，避免因相同的clusterID号引发接口MAC地址冲突现象。防火墙nsrp集群建议采用接口监控方式，仅在网络不稳定的情况下有选择使用Track-ip监控方式。接口监控方式能够更快更准确的反映网络状态变化。在单台防火墙设备提供的session和带宽完全可以满足网络需求时，建议采用基于路由的Active-Passive主备模式，该模式组网结构清晰，便于维护和管理。冬Juniper®NETWORKSI设备运行时应保证HA线缆连接可靠，为确保HA心跳连接不会出现中断，建议配置HA备份链路secondarypath：NSRP许多配置参数是经过检验的推荐

17、配置，通常情况下建议采用缺省参数。NSRP常用维护命令getlicense-key查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。execnsrpsyncglobal-configcheck-sum检查双机酉已置命令是否同步execnsrpsyncglobal-configsave如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。getnsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。Execnsrpsyncrtoallfrompeer手动

18、执行RTO信息同步，使双机保持会话信息一致execnsrpvsd-group0modebackup手动进行主备状态切换时，在冬Juniper®NETWORKSI主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。execnsrpvsd-group0modeineligible手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。setfailoveron/setfailoverauto启用并容许冗余接口自动切换execfailoverforce手动执行将主用端口切换为备用端口。execfailoverrevert手动执行将备用端口切换为主用端口。ge

19、talarmevent检查设备告警信息其中将包含NSRP状态切换信息四、策略配置与优化（Policy）防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效可，提高可读性，降低维护难度。策略配置与维护需要注意地方有：试运行阶段最后一条策略定义为所有访问允许并作10g,以便在不影响业务的情况下找漏补遗；当确定把主要业务流量都调查清楚并放行后，可将最后一条定义为所有访问禁止并作log,以便在试运Juniper"NETWORKSI行阶段观察非法流量行踪。试运行阶段

20、结束后，再将最后一条“禁止所有访问”策略删除。防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。策略配置中的Log（记录日志）选项可以有效进行记录、排错等工作，但启用此功能会耗用一定的CPU资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。另外，对于策略配置中的Count（流量统计）选项，如非必要建议在业务时段不使用。简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中

21、。策略用于区段间单方向网络访问控制。如果源区段和目的区段不同，则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断，则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略，则安全设备会检查全局策略表以查找匹配策略。MIP/VIP地址属于全局区段地址，配置策略时建议通过全局区段来冬Juniper®NETWORKSI配置MIP/VIP地址相关策略，MIP/VIP地址虽然可为其余区段调用，但由于其余区段的“any”地址并不包括全局区段地址，在定义策略时应加以注意，避免配置不生效的策略。策略变更控制。组织好策略规则后，应写上注释并及时更

22、新。注释可以帮助管理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。如果防火墙有多个管理员，建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。各类Object及Policy的name和注释均有长度限制，请配置相关对象时注意复核配置后name和注释长度。（如policyname最长容许字符为31bit）。五、攻击防御（Screen）Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Synflood,Udpflood,Smurf,PingofDeath,LandAttack等，防火墙在抵御这

23、些攻击时，通过专用ASIC芯片来进行处理，适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它选项，在开启Juniper"NETWORKSI这些防护功能前有几个因素需要考虑：抵御攻击的功能会占用防火墙一定的CPU资源；自行开发的一些应用程序中，可能存在部分不规范的数据包格式；网络环境中可能存在非常规性设计。如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的性能；如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的网络设计也会出现合法流量被屏蔽问题。要想有效发挥NetscreenScreening

24、攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项：设置防范DDoSFlood攻击选项根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的选项上添加20%的余量作为阀值冬Juniper®NETWORKSI如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层的攻击选项逐步选中。设置防范应用层的选

25、项，在了解应用层的需求以及客户化程序的编程标准后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。为检查网络中是否存在攻击流量，可以临时打开该区段screening顶部GenerateAlarmswithoutDroppingPacket选项，确认攻击类型后再将该选项去除。在设置screening选项的过程中，应密切注意防火墙CPU的禾用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应用不能通过），则立刻需要取消相关的选项。建议正常时期在untrust区启用防flood攻击选项，在办公用户区启用flood和应用层防护选项，在核心业务区不启用screening选项

26、，仅在网络出现异常流量时再打开对应的防御功能。五、特殊应用处理长连接应用处理在金融行业网络中经常会遇到长连接应用，基于状态检测机制的防火墙冬Juniper®NETWORKSI在处理此类应用时要加以注意。缺省情况下，Netscreen防火墙对每一个会话的连接保持时间是30分钟（TCP）和1分钟（UDP）,超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值，以满足长连接应用的要求。配置常连接应用需注意地方有：如果在长连接应用中已经设计了心跳维持机制（如每隔几分钟，客户端与服务端之间传送心跳以维持会话），此时无需防火墙上设置timeout时间，使用默认配置即可。长连接应用中没有心跳机制时，通常情况下建议timeout值为36小时。应用通常在工作时间建立连接，这样可在下班后时间拆除连接。