1、Juniper防火墙维护手册(版本号:V1.0)运行部网络管理室目录一、Juniper防火墙介绍51.1、NS5000系列51.1.1、NS540051.1.2、NS520051.2、ISG系列61.2.1、ISG61.2.2、ISG100061.3、SSG500系列71.3.1 SSG 550M71.3.2 SSG 52071.4、SSG300系列81.4.1 SSG 350M81.4.2 SSG 320M81.5、SSG140系列81.5.1 SSG 14091.6、SSG5/20系列91.6.1 SSG 591.6.2 SSG 209二、防火墙常见配置102.1 Juniper防火墙初始
2、化配置和操纵102.2 查看系统概要信息142.3主菜单常见配置选项导航162.4 Configration配置菜单172.5 Update更新系统镜像和配置文件182.5.1更新ScreenOS系统镜像182.5.2 更新config file配置文件192.6 Admin管理202.7 Networks配置菜单222.7.1 Zone安全区227.2 Interfaces接口配置247.2.1查看接口状态概要信息247.2.2设置interface接口基础信息247.2.3设置地址转换262.7.4设置接口Secondary IP地址342.7.5 Routing路由设置342.8 Pol
3、icy策略设置372.8.1 查看现在策略设置372.9创建策略382.10对象Object设置402.11 策略Policy汇报Report41四、防火墙日常应用424.1、Netscreen 冗余协议(NSRP)424.1.1、NSRP布署提议:434.1.2NSRP常见维护命令444.2、策略配置和优化(Policy)454.3、攻击防御(Screen)464.4、特殊应用处理484.4.1、长连接应用处理484.4.2、不规范TCP应用处理494.4.3、VOIP应用处理49五、防火墙日常维护515.1、常规维护525.2、常规维护提议:545.3 应急处理565.3.1检验设备运行状
4、态565.4、 总结改善585.5、 故障处理工具58六、 Juniper防火墙设备恢复处理方法706.1设备重开启706.2操作系统备份706.3操作系统恢复706.4配置文件备份716.5配置文件恢复716.6恢复出厂值726.7硬件故障处理726.8设备返修(RMA)72一、Juniper防火墙介绍1.1、NS5000系列1.1.1、NS5400性能和处理能力 30 Gbps 防火墙 (12G 64byte小包) 18MPPS2 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力 10 Gbps 防火墙 (4G 64
5、byte小包)1 百万同时会话数5 Gbps 3DES VPN 25,000 IPSec VPN 通道1.2、ISG系列1.2.1、ISG性能和处理能力4 Gbps 状态监测防火墙任何大小数据包2 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:3 MPPS最大在线会话数:100万,每秒23,000个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小数据包1 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:1.5 MPPS最大在线会话数:50万,每秒20,000个新会话1.3、SSG500系
6、列1.3.1 SSG 550M4Gbps FW IMIX / 600K pps1Gbps FW IMIX / 500 Mbps IPSec VPN6个 I/O 插槽 4个可插 LAN口模块双电源,DC为选项, NEBS为选项12.8万个会话,1,000条VPN 隧道1.3.2 SSG 5202Gbps FW / 300K pps600 Mbps FW IMIX / 300 Mbps IPSEC VPN6个 I/O插槽 2个可插 LAN口模块单一AC或DC电源6.4万个会话,500条VPN 隧道1.4、SSG300系列1.4.1 SSG 350M1.2 Gbps FW / 225K pps500
7、 Mbps FW IMIX / 225 Mbps IPSec VPN5个 I/O 插槽9.6万个会话,每秒2.6万会话1.4.2 SSG 320M1.2 Gbps FW / 175K pps400 Mbps FW IMIX / 175 Mbps IPSec VPN3个 I/O插槽6.4万个会话,每秒2万会话1.5、SSG140系列1.5.1 SSG 140950Mbps FW/ 100K pps300 MbpsFirewall IMIX / 100 Mbps IPSec VPN4个 I/O插槽4.8万个会话,每秒8k会话1.6、SSG5/20系列 1.6.1 SSG 5SSG 5 是一个固定规
8、格平台,提供 160 Mbps 状态防火墙流量和 40 Mbps IPSec VPN 吞吐量。SSG 5 系列配置 7 个内部集成 10/100 接口,并带有可选固定广域网端口(ISDN BRI S/T、V.92 或 RS-232 Serial/Aux)。802.11 a/b/g 和多个无线特定安全性支持是可选项,使 SSG 5 能够将安全性、路由和无线接入点整合到单个设备中。1.6.2 SSG 20SSG 20 是一个模块化平台,提供 160 Mbps 状态防火墙流量和 40 Mbps IPSec VPN 吞吐量。SSG 20 配置 5 个内部集成 10/100 接口和 2 个 I/O 扩展
9、插槽,可支持 I/O 卡,如ADSL2+、T1、E1、ISDN BRI S/T 和 V.92,从而实现额外广域网连接。802.11 a/b/g和多个无线特定安全性支持是可选项,使 SSG 20 能够将安全性、路由和无线接入点整合到单个设备中。二、防火墙常见配置2.1 Juniper防火墙初始化配置和操纵对一台空配置Juniper防火墙我们能够用两种方法去进行操纵:Console控制台和WEB。Console控制台:使用Console线连接到Juniper防火墙上Console口,利用超级终端用CLI命令行界面进行配置。使用WEB界面:Juniper防火墙上默认情况下在E1接口(trust)口有
10、一个初始管理IP地址192.168.1.1 255.255.255.0;我们能够把自己笔记本和防火墙E1口用一根交叉线连接起来,然后把本机地址配置为192.168.1.X 255.255.255.0,以后我们就能够在本机上经过IE浏览器登陆192.168.1.1地址经过WEB界面对设备进行配置了。经过IE或和IE兼容浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(提议:保持登录防火墙计算机和防火墙对应接口处于相同网段,直接相连)。使用缺省IP登录以后,出现安装向导:注:对于熟悉Juniper防火墙配置工程师,能够跳过该配置向导,直接点选:No,skip the wizard
11、and go straight to the WebUI management session instead,以后选择Next,直接登录防火墙设备管理界面。使用向导配置防火墙,请直接选择:Next,弹出下面界面:“欢迎使用配置向导”,再选择Next。注:进入登录用户名和密码修改页面,Juniper防火墙登录用户名和密码是能够更改,这个用户名和密码界面修改是防火墙设备上根用户,这个用户对于防火墙设备来说含有最高权限,需要认真考虑和仔细配置,保留好修改后用户名和密码。注意1:Juniper防火墙接口WEB管理特征默认只在E1接口(trust)口才启用,也就是说我们有可能无法经过用WEB登陆其它接
12、口进行操纵,除非我们提前已经打开了对应接口WEB管理选项。注意2:假如Juniper防火墙上有配置,我们不知道现在E1接口IP地址,我们能够先经过Console控制台用“get interface”命令看一下现在E1口IP地址。注意3:Juniper防火墙OS 5.0以上版本支持MDI和MDIX自适应,也就是说我们主机和E1口也能够用直通线进行互连,但这种方法有失效时候,假如出现用交叉线互连物理也无法UP情况,能够在Console控制台用“ NS208- delete file flash:/ns_sys_config”删除配置文件并重起防火墙方法能够处理(JuniperBUG)。注:系统默认
13、登陆用户名和口令全部是:“netscreen”。2.2 查看系统概要信息使用WEB登陆防火墙管理地址,进入GUI管理界面,图所表示。左边是主配置菜单。右边最上方是系统开启以立即间信息,右上角显示主机名。Device information:设备信息,显示设备硬软件版本、序列号和主机名。Interface / VPN Link Status Monitoring:接口链路状态,显示接口所属区和链路UP/DOWN信息。Resources Status:资源情况,显示系统CPU和内存使用率和现在会话和策略是系统满负荷百分比。(其中注意内存使用率是不真实,在系统空负荷情况下内存占用率也会很高,是系统本
14、身设计问题)。System Most Recent Alarms / Events:系统最近报警和通告信息。2.3主菜单常见配置选项导航在主菜单中我们常常见到配置菜单以下,后面将针对这些常见配置选项进行具体介绍。Configuration: Date/Time; Update; Admin; Auth; Infranet Auth; Report Settings; CPU Protection; Network: Binding; DNS; Zones; Interfaces; DHCP; 802.1X; Routing; NSRP; Vlan; Security: Screening; W
15、eb Filtering; Deep Inspection; Antivirus; ALG; Policy: Policies; MCast Policies; Policy Elements;VPNs: AutoKey IKE; AutoKey Advanced; Manual Key; L2TP; Monitor Status;Objects: Users; IP Pools; Certificates;GPRS: NSGP(Overbilling);Reports: System Log; Counters; Interface Bandwidth; Policies;Wizards:
16、Policy; Route-based VPN; AC-VPN;只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护工作。2.4 Configration配置菜单正确设置Juniper防火墙时钟关键是为了使LOG信息全部带有正确时间方便于分析和排错,设置时钟关键有三种方法。用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。用WEB界面使用和用户端本机时钟同时:简单实用。用WEB界面配置NTP和NTP服务器时钟同时。2.5 Update更新系统镜像和配置文件2.5.1更新ScreenOS系统镜像用CLI命令行设置:save software from tft
17、p x.x.x.x filename to flash;2.5.2 更新config file配置文件用CLI命令行设置:save config from tftp x.x.x.x filename to flash,配置文件上传后需实施reset命令进行重启。在这个菜单中我们能够查看现在文本形式配置文件,把现在配置文件导出进行备份,和替换和更新现在配置。注意单选框默认是点选在“Merge to Current Configration”即和现在配置融合位置,而我们通常是要完全替换现在配置文件,所以一定要注意把单选框点击到“Replace Current Configration”。当进行配置
18、替换以后系统会自动重起使新配置生效。TIP:进行配置替换必需用ROOT用户进行登陆,用ReadWrite用户进行登陆是无法进行配置替换操纵,只有融合配置选项,替换现在配置选项将会隐藏不可见,以下图所表示:2.6 Admin管理Administrators管理员账户管理只有用根ROOT用户才能够创建管理员账户。能够进行ROOT用户账户用户名和密码更改,但此账户不能被删除。能够创建只读账户和读写账户,其中读写账户能够对设备大部分配置进行更改。用CLI命令行设置:set admin user Smith password 3MAb99j2 privilege allset admin user re
19、ad password 4DFB993J2 privilege read-onlysavePermitted IPs:许可哪些主机能够对防火墙进行管理用CLI命令行设置:set admin manager-ip 172.16.40.42/32save2.7 Networks配置菜单2.7.1 Zone安全区查看现在安全区设置安全区内必需有物理接口才会有实际意义,每一个安全区同时能够包含多个物理接口,但每一个物理接口同时只能属于一个安全区。多个系统默认安全区和接口:1:Trust区包含ETH1口2:Untrust区包含ETH4口3:DMZ区包含ETH3口其它区必需进行手工创建并把对应物理接口放入
20、安全区内。虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不提议使用。创建新安全区: 在输入安全区名称后其它选项均保持默认值即可。用CLI命令行设置: set vrouter trust-vr zone XXXX7.2 Interfaces接口配置7.2.1查看接口状态概要信息接口概要显示接口IP地址信息,所属安全区,接口类型和链路状态。其中接口类型除非是防火墙使用透明模式,不然全部会是Layer3三层。CLI : get interface7.2.2设置interface接口基础信息接口基础配置包含接口IP地址掩码,是否能够被管理,接口模式和接口管理特征选项。最上面多个链接是
21、配置NAT地址转换和IP跟踪等高级特征。下面那个其中需要大家配置地方是设置此物理接口属于哪个安全区,从下拉框中点选,其它选项保持不变即可。Staitc IP选择框是设置接口IP地址和掩码信息,其中有一个Mangeable选项,只有选中我们才能够经过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空时候系统会自动把实际IP作为管理IP自动加上。接口模式有路由模式和NAT模式:NAT模式:以后接口进入从其它口流出流量源地址全部会做转换,即使我们在策略中不引用转换地址池,源地址全部会转换为出站接口地址。路由模式:除非我们在策略定义中明确引用了转换地址池,不然源地址全部不会做转换。因
22、为路由模式比NAT模式更灵活,所以我们通常全部会用路由模式。ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。Service options服务选项:设置此接口是否许可被PING,WEB或TELNET等方法进行管理,默认情况下ETH1(内网口)全部是打开,而ETH4口(外网口)WEB和TELNET管理选项是关闭,也就是说假如我们想从外网登陆ETH4口IP进行管理,必需把对应WEB或TELNET选项点中。最终配置框能够保持默认值。CLI:set interface redundent1 zone trustset interface redundent1 ip X.X.X.X/
23、Xset interface redundent1 manage telnetset interface redundent1 manage webset interface redundent1 manage pingset interface redundent1 mode nat (trust zone 接口全部是nat mode)7.2.3设置地址转换Juniper防火墙地址转换有三种方法:MIP-静态一对一地址转换;VIP-虚拟一对多地址转换;DIP-动态多对多地址转换。因为MIP和VIP地址转换有部分规则限制,比如要转换外网提议流量源地址时候,转换后地址必需和ETH1内网口在同一个
24、子网,不然无法配置。而DIP不受此规则影响,同时能够完成MIP和VIP功效,应用和设置比较灵活。7.2.3.1配置MIP静态地址转换配置MIP静态地址映射时候要注意转换后虚拟地址要在数据流出站接口上进行配置:比如流量从E1口入从E4口出,192.168.1.1访问外网,我们把192168.1.1地址转换为1.1.1.1,那么这个1.1.1.1地址MIP是做在出站接口,也就是E4口上。新建MIP静态地址映射当使用静态MIP地址映射时,对方提议数据流目标地地址要注意设置为MIP后地址。CLI:set interface ethernet1 mip X.X.X.X host Y.Y.Y.Y netm
25、ask 255.255.255.255 vrouter trust-vrset policy from untrust to trust any mip(X.X.X.X) http permit7.2.3.2设置DIP动态地址转换DIP动态地址转换能够实现一对一,一对多,多对一和多对多访问。DIP地址池和MIP一样要设置在出站接口上来实现源地址翻译。DIP地址池能够和出站接口不再一个网段(使用扩展IP技术)。假如访问是多对一(多个用户端访问一个服务器),必需使用Port-Xlate端口转换特征(默认设置,提议全部使用这种方法)。假如DIP被策略引用则无法编辑和更改,必需先移除策略后才能够编辑。
26、创建新DIP地址池:假如DIP地址池和出站接口不在同一网段必需使用扩展IP特征,把选择框选择到下方“In the same as the extended ip”,并输入一个扩展IP地址。比如出站接口是9X.2.244.1/28,而源地址出站时我们想转换成192.168.1.X地址,那么在扩展IP框中我们能够输入192.168.1.0/24。扩展IP地址能够使用一个地址也能够用一个网段,推荐使用网段方法。同一DIP地址网段能够同时分布在多个接口上,比如9X.2.18.0虚拟地址簿能够同时设置在E1、E2和E3口上。但同一个DIP地址只能同时设置在一个接口上,比如9X.2.18.1地址只能设置在
27、E1或E2或E3口上,不能同时在多个接口上全部设置9X.2.18.1。CLI:1、NAT-DIP 带PAT功效配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24定义DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30定义策略set policy
28、from trust to untrust any any http nat src dip-id 5 permitsave2、NAT-DIP 不带PAT功效接口set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24DIPset interface ethernet3 dip 6 1.1.1.50 1.1.1
29、.150 fix-port策略set policy from trust to untrust any any e-stock nat src dip-id 6 permitsave3、带有地址变换 NAT-Src接口set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24DIPset interface et
30、hernet3 dip 10 shift-from 10.1.1.11 to 1.1.1.101 1.1.1.105地址set address trust host1 10.1.1.11/32set address trust host2 10.1.1.12/32set address trust host3 10.1.1.13/32set address trust host4 10.1.1.14/32set address trust host5 10.1.1.15/32set group address trust group1 add host1set group address tr
31、ust group1 add host2set group address trust group1 add host3set group address trust group1 add host4set group address trust group1 add host5策略set policy from trust to untrust group1 any http nat src dip-id 10 permitsave2.7.4设置接口Secondary IP地址2.7.5 Routing路由设置Juniper防火墙我们通常仅使用静态路由,静态路由选路规则和路由器基础相同,比如
32、最长掩码匹配优先,接口假如DOWN,对应静态条目会消失。查看防火墙路由表设置路由我们统一全部设在trust-vr中(默认选项)。只有带“*”号才表示路由有效,等同于路由器show ip route效果。添加路由条目只能删除,无法编辑。CLI: get route (vrouter trust-vr/ untrust-vr)创建新路由条目目标地址段能够写IP/掩码也能够写IP/前缀;如100.1.1.0 255.255.255.0或100.1.1.0/24。下一跳默认全部是点在Next Hop Virtual Router Name;一定要注意改点到Gateway处,不然路由不生效。接口和下一跳
33、网关地址全部要选择和输入。CLI:set route 100.1.1.0 255.255.255.0 next x.x.x.x2.8 Policy策略设置2.8.1 查看现在策略设置能够选择查看从某个源安全区到某个目标安全区策略,也能够选择从ALL到ALL来查看全部策略。Service是系统预定义或我们自定义服务端口号。Action动作是指策略是许可或拒绝,许可是一个对勾,拒绝是一个X,另外假如是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。在Option下假如有一个小记事本图表,说明我们要统计此数据流,当数据流经过时能够看到具体地址转换情况。生效:能够经过取消对勾让本策略临时失效
34、。移动:能够调整策略查找次序,策略查找和匹配默认是从上到下,我们能够经过移动来控制策略生效次序。CLI : get policy (from zone to zone )2.9创建策略源地址和目标地址假如以前曾经设置过,能够用下拉菜单进行选择,不然需要在New Address新地址栏进行输入。假如地址曾经输入过,做策略时我们仍在New Address栏中进行输入,点击确定时候系统会出现反复IP地址条目标提醒信息,但不影响策略设置。入侵检测配置假如自己不是尤其了解应用特征提议不要做任何配置,保持原有默认配置不变。在进行调试时提议打开LOG统计,看是否有数据流经过及地址转换情况。假如要进行源或目标
35、地址转换需关键点击高级选项进入二级配置菜单。源地址转换点击DIP下拉菜单后前面选择框会自动选中。目标地址转换必需手工点击选中前面目标地址转换选择框。CLI: set policy from trust to dmz corp_net mail_svr MAIL-POP3 permitset policy from dmz to untrust mail_svr r-mail_svr MAIL permitset policy from untrust to dmz r-mail_svr mail_svr MAIL permit2.10对象Object设置对象Object设置关键是为了简化和方便
36、策略引用和设置,比如地址组和服务组等,下面我们关键介绍一下服务设置。服务其实就是给对方提供部分协议端口号,其中大部分常见服务设备已经提前设置好,比如web,telnet等等,不过部分很用端口号,比如TCP 8888等就需要我们自己进行自定义设置了。查看自定义服务:Policy Policy Elements Services Custom技巧:我们能够给服务一个名称,可用汉字描述一个中间业务名称,然后在策略里进行引用,这么在进行排错时候我们就能够很方便地找到对应策略,即使我们也能够给策略一个名称,但在策略汇总表中是不显示出来。CLI: get service创建一个新服务目标协议和端口号我们能
37、够设置多个组合,比如TCP 8888UDPICMP等我们通常仅设置目标端口号,源端口号不做限制,比如我们要提供一个WWW服务,类似设置就是:TCP 0 65535 80 80 假如设置许可ICMPPING,能够设置为:ICMP 802.11 策略Policy汇报Report假如我们想看具体某一条策略是否有流量或流量源地址、目标地址和源和目标转换情况我们能够在策略中点击记事本直接进行观看。另外系统也提供一个汇总方法让我们能够方便地观察全部策略数据流概要信息,比如在一个时刻全部有哪些业务在运行,每种业务数据量等等。点击ReportsPolices:如上图所表示,我们能够直观地看到某个时刻全部有哪些
38、业务流在进行,灰色记事本代表没有业务,蓝色代表有业务数据流,点击蓝色记事本能够查看业务数据流具体信息。四、防火墙日常应用4.1、Netscreen 冗余协议(NSRP)NSRP协议提供了灵活设备和路径冗余保护功效,在设备和链路发生故障情况下进行快速切换,切换时现有会话连接不会受到影响。设计NSRP架构时通常采取基于静态路由active/passive主备模式、口型或全交叉型连接方法。4.1.1、NSRP布署提议:基于端口和设备冗余环境中,无需启用端口和设备级抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。当配置两组或两组以上防火墙到同一组交换机上时,每组nsrp集群应
39、设置不一样cluster ID号,避免因相同cluster ID号引发接口MAC地址冲突现象。防火墙nsrp集群提议采取接口监控方法,仅在网络不对称情况下有选择使用Track-ip监控方法。在对称网络中接口监控方法能够愈加快更正确反应网络状态改变。在单台防火墙设备提供session和带宽完全能够满足网络需求时,提议采取基于路由Active-Passive主备模式,该模式组网结构清楚,便于维护和管理。设备运行时应确保HA线缆连接可靠,为确保HA心跳连接不会出现中止,提议配置HA备份链路“secondarypath”。NSRP很多配置参数是经过检验推荐配置,通常情况下提议采取这些缺省参数。4.1.
40、2NSRP常见维护命令get license-key 查看防火墙支持feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同时。exec nsrp sync global-config check-sum 检验双机配置命令是否同时exec nsrp sync global-config save 如双机配置信息没有自动同时,请手动实施此同时命令,需要重启系统。get nsrp 查看NSRP集群中设备状态、主备关系、会话同时和参数开关信息。Exec nsrp sync rto all from peer
41、手动实施RTO信息同时,使双机保持会话信息一致exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时,在主用设备上实施该切换命令,此时该主用设备没有启用抢占模式。exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时,在主用设备上实施该切换命令,此时该主用设备已启用抢占模式。set failover on/set failover auto启用并许可冗余接口自动切换exec failover force 手动实施将主用端口切换为备用端口。exec failover revert 手动实施将备用端口切换为主用端口。g
42、et alarm event 检验设备告警信息,其中将包含NSRP状态切换信息4.2、策略配置和优化(Policy)防火墙策略优化和调整是网络维护工作关键内容,策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,所以提议在设置策略时尽可能确保统一计划以提升设置效率,提升可读性,降低维护难度。策略配置和维护需要注意地方有:试运行阶段最终一条策略定义为全部访问许可并作log,方便在不影响业务情况下找漏补遗;当确定把全部业务流量全部调查清楚并放行后,可将最终一条定义为全部访问严禁并作log,方便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最终一条“严禁全部
43、访问”策略删除。防火墙按从上至下次序搜索策略表进行策略匹配,策略次序对连接建立速度会有影响,提议将流量大应用和延时敏感应用放于策略表顶部,将较为特殊策略定位在不太特殊策略上面。策略配置中Log(统计日志)选项能够有效进行统计、排错等工作,但启用此功效会耗用部分资源。提议在业务量大网络上有选择采取,或仅在必需时采取。另外,对于策略配置中Count(流量统计)选项,如非必需提议在业务时段不使用。简化策略表不仅便于维护,而且有利于快速匹配。尽可能保持策略表简练和简短,规则越多越轻易犯错误。经过定义地址组和服务组能够将多个单一策略合并到一条组合策略中。策略用于区段间单方向网络访问控制。假如源区段和目标
44、区段不一样,则防火墙在区段间策略表中实施策略查找。假如源区段和目标区段相同并启用区段内阻断,则防火墙在区段内部策略表中实施策略查找。假如在区段间或区段内策略表中没有找到匹配策略,则安全设备会检验全局策略表以查找匹配策略。MIP/VIP地址属于全局区段地址,配置策略时提议经过全局区段来配置MIP/VIP地址相关策略,MIP/VIP地址即使可为其它区段调用,但因为其它区段“any”地址并不包含全局区段地址,在定义策略时应加以注意,避免配置不生效策略。策略变更控制。组织好策略规则后,应写上注释并立即更新。注释能够帮助管理员了解每条策略用途,对策略了解得越全方面,错误配置可能性就越小。假如防火墙有多个
45、管理员,提议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。4.3、攻击防御(Screen)Netscreen防火墙利用Screening功效抵御互联网上流行DoS/DDoS攻击,部分流行攻击手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墙在抵御这些攻击时,经过专用ASIC芯片来进行处理,合适开启这些抗攻击选项对防火墙性能不会产生太大影响。假如期望开启Screening内其它选项,在开启这些防护功效前有多个原因需要考虑:抵御攻击功效会占用防火墙部分CPU资源;自行开发部分应用程序中,可能存在部分不规范数
46、据包格式;网络环境中可能存在很规性设计。假如因选择过多防攻击选项而大幅降低了防火墙处理能力,则会影响正常网络处理性能;假如自行开发程序不规范,可能会被IP数据包协议异常攻击选项屏蔽;很规网络设计也会出现正当流量被屏蔽问题。要想有效发挥Netscreen Screening攻击防御功效,需要对网络中流量和协议类型有比较充足认识,同时要了解每一个防御选项具体含义,避免引发无谓网络故障。防攻击选项启用需要采取逐步迫近方法,一次仅启用一个防攻击选项,然后观察设备资源占用情况和防御结果,在确定运行正常后再考虑按需启用另一个选项。提议采取以下次序渐进实施防攻击选项:设置防范DDoS Flood攻击选项依据掌握正常运行时网络流量、会话数量和数据包传输量值,在防范DDoS选项上添加20余量作为阀值。假如要设置防范IP协议层选项,需在深入了解网络环境后,再将IP协议和网络层攻击选项逐步选中。设置防范应用层选项,在了解应用层需求和用户化程序编程标准后,如不采取ActiveX控件,能够选择这些