Juniper防火墙用户手册.doc

1、Juniper防火墙用户手册Juniper Networks, Inc.Jan. 2008保密和变更申明这份文档包含了来自Juniper Networks的可靠、权威的信息，这些信息是作为公司的技术信息专用，文档的阅读者应对其内容保密，未经Juniper Networks, Inc. 书面请求和书面认可，不得复制、泄露或散布这份文档。对这份文档内容的任何形式的泄露、复制或散布都是被禁止的。 目 录第1章Juniper防火墙基本工作原理31.1.基于状态检测的ASIC硬件防火墙31.2.Juniper防火墙组件结构3第2章管理52.1.Web 用户界面52.2.命令行界面62.3.串行控制台72

2、.4.如何实现对防火墙的远程管理8第3章路由9第4章访问控制策略104.1.策略的三种类型104.2.策略和规则104.3.策略查看和建立11第5章NSRP（Netscreen 冗余协议）135.1.NSRP工作原理135.2.CCB一级分行防火墙部署结构145.3.NSRP日常维护命令155.4.Juniper防火墙NSRP双机软件升级步骤155.5.如何快速配置NSRP集群备用设备16第6章防火墙日常监控与维护176.1.Juniper防火墙日常监控内容176.2.防火墙健康检查信息表186.3.常规维护建议196.4.设备运行档案表206.5.防火墙应急处理216.6.故障处理工具226

3、.7.策略配置与优化（Policy）236.8.特殊应用处理24第7章附录 NetScreen防火墙安装指南257.1.如何进入图形化界面257.2.NetScreen防火墙图形化界面配置267.3.简单故障分析及系统维护327.4.如何清掉已有的系统设置，恢复出厂默认设置33 Juniper防火墙用户手册第1章 Juniper防火墙基本工作原理1.1. 基于状态检测的ASIC硬件防火墙防火墙通过在网络边界上建立起来的相应网络安全系统来隔离内部和外部网络，以确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务，阻挡外部非法人侵，以保护网络的信息安全。 针对用户请求的新建应用连接，防火

4、墙状态检测机制检查预先设置的访问控制策略，仅允许通过访问控制策略检查的应用连接报文才能够通过防火墙，同时防火墙在内存中记录下该连接的相关信息，生成应用流（flow）的会话表（session），将进出网络的数据当成一个个的应用流来处理。对该连接的后续（双向）数据包，只要匹配会话表，报文就可以通过防火墙。状态检测防火墙好处在于：由于不需要对每个数据包进行规则检查，而是一个连接（应用流）的后续数据包通过ASIC硬件芯片执行高速散列算法，直接进行状态检查且包的转发由ASIC芯片直接进行处理，使防火墙性能得到大幅提高；同时由于会话表是动态的，故可以有选择地、动态地开放整个应用流需要的后续动态端口，使防火

5、墙能够增强对复杂协议的安全检查。1.2. Juniper防火墙组件结构Juniper Networks ScreenOS 体系结构为网络安全规划和设计提供了很强的灵活性。在具有两个以上接口的 防火墙上，可以创建多个安全区并配置策略以调节安全区内部及安全区之间的信息流。可以为每个安全区绑定一个或多个接口，并在每个安全区上启用一组唯一的管理。利用ScreenOS 可以创建网络环境所需的安全区数，分配每个区所需的接口数，并且可以根据自己的特殊要求来设计每个接口。Zone（安全区）是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。可以定义多

6、个安全区，确切数目可根据网络需要来确定。除用户定义的安全区外，通常使用预定义的安全区:Trust、Untrust和DMZ。 Interface（接口）:安全区的接口可以视为一个入口，TCP/IP 信息流可通过它在该安全区和其它任何安全区之间进行传递。通过定义的策略，可以使两个安全区的信息流向一个或两个方向流动。利用定义的路由，可指定信息流从一个安全区到另一个安全区必须使用的接口。由于可将多个接口绑定到一个安全区上，因此制定的路由对于将信息流引向所选择的接口十分重要。VR（虚拟路由器）：VR的功能与路由器相同。它拥有自己的安全区及自己的单播和组播路由表。在 ScreenOS 中，安全设备支持两个

7、预定义的虚拟路由器，这将允许安全设备维护两个单独的单播和组播路由表，同时隐藏虚拟路由器彼此之间的路由信息。Policy（策略）：Juniper 防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区到另一安全区的通路的所有连接尝试，然后予以允许或拒绝。在缺省情况下，安全设备拒绝所有方向的所有信息流。通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，可以控制安全区间的信息流。范围最大时，可以允许所有类型的信息流从一个安全区中的任何源地点到其它所有安全区中的任何目的地点，而且没有任何预定时间限制。范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个

8、安全区中的指定主机与另一安全区中的指定主机之间流动。第2章 管理Juniper 防火墙提供不同方法来管理设备，既可本地管理，也可远程管理。根据CCB各分行安全项目的要求，所有NetScreen设备通过专用的管理接口与管理网相连，所有数据端口管理功能全部关闭，也就是所有管理工作只能通过管理网完成。具体管理请参考管理文档。NetScreen所有平台均支持本地管理和远程管理，通过NSM系统软件可以实现全局的集中统一管理。本机管理方式可以通过以下管理方案实现l 基于Web方式的GUI管理方式l 基于Web方式的SSL安全远程管理方式（需数字证书）l 基于Telnet的远程管理方式l 基于SSH的安全远

9、程管理方式（需支持SSH1.x的客户端软件）l 基于Console的本地管理方式l 基于专用NSM系统的管理日志管理接口包括以下方式：l Syslogl SNMPl Webtrends（第三方解决方案）l NetScreen Global Pro2.1. Web 用户界面为了便于管理，您可使用Web 用户界面(WebUI)。NetScreen 设备使用Web 技术，该技术提供了配置和管理软件的Web 服务器界面。要使用WebUI，必须具备以下条件：Netscape Communicator （版本4.7 或更高版本）或Microsoft Internet Explorer（版本5.5 或更高版

10、本）；TCP/IP 网络连接到NetScreen 设备2.2. 命令行界面高级管理员可通过使用命令行界面(CLI) 进行更好的控制。要为NetScreen 设备配置CLI，可使用任何仿真VT100 终端的软件。如果使用终端机仿真器，可使用Windows、UNIX 或Macintosh 操作系统中的控制台配置NetScreen 设备。要通过CLI 进行远程管理，可使用Telnet 或“安全命令外壳”(SCS)。要通过控制台端口进行直接连接，可使用“Hyperterminal”。2.2.1 TelnetTelnet 是一个登录及终端仿真协议，该协议使用客户端/ 服务器关系连接到TCP/IP 网络上

11、的网络设备并进行远程配置。管理员在管理工作站上运行Telnet 客户端程序并与NetScreen 设备上Telnet 服务器程序创建连接。登录后，管理员可发出CLI 命令，将其发送到NetScreen 设备上的Telnet 程序，对设备进行有效的配置，好像通过直接连接运行一样。使用Telnet 管理NetScreen 设备需要以下条件：l 管理工作站上有Telnet 软件l “以太网”连接到NetScreen 设备2.2.2 安全命令外壳NetScreen 设备中内置的“安全命令外壳” (SCS) 服务器提供一种方法，凭借这种方法，管理员可通过使用“安全外壳”(SSH) 以一种安全的方式远程管

12、理该设备。SSH 允许安全地打开远程的命令外壳并执行这些命令。NetScreen设备上运行的SCS 任务是执行SSH 1.x 服务器组件，它允许SSH 1.x 兼容的客户端控制台/ 终端应用程序连接到NetScreen 设备。管理员可通过两种认证方法之一使用SSH 连接到NetScreen 设备。l 密码认证：需要进行配置或监控NetScreen 设备的管理员通常使用此方法。SSH 客户端启用SSH 连接到NetScreen 设备。如果在接收连接请求的接口上启用SCS 可管理性，则NetScreen 设备用信号通知SSH 客户端，以提示用户输入用户名和密码。SSH 客户端收到此信息后，会将之发

13、送到NetScreen 设备，它将其与admin 用户帐户的用户名和密码进行比较。如果它们匹配，NetScreen 设备就认证此用户。如果它们不匹配，NetScreen 设备就拒绝连接请求。l 公开密钥认证(PKA)：此方法增强了密码认证的安全性并允许自动运行脚本。通常，SSH 客户端不发送用户名和密码，而是发送用户名和RSA 公开/ 私有密钥对的公开密钥组件。NetScreen 设备将其与四个公开密钥（可绑定到admin）进行比较。如果其中一个密钥匹配，NetScreen 设备就认证此用户。如果其中没有一个匹配， NetScreen 设备就拒绝连接请求。2.3. 串行控制台可通过直接的串行连

14、接（通过控制台端口从管理员工作站连接到NetScreen 设备）管理NetScreen 设备。不可能始终实现直接连接，但是如果NetScreen 设备周围是安全的，那么这种连接就是管理设备最安全的方法。根据NetScreen 设备模式创建串行连接需要以下电缆之一：l 阴性DB-9 到阳性DB-25 直通串行电缆l 阴性DB-9 到阳性DB-9 直通串行电缆l 阴性DB-9 到阳性MiniDIN-8 串行电缆与附带RJ-45 到RJ-45 直通以太网电缆的RJ-45 适配器相连的阴性DB-9 电缆还需要在管理工作站上安装“超级终端”软件（或另一种VT100 终端机仿真器），“超级终端”端口设置配

15、置如下： 串行通信9600 bps 8 位 无奇偶校验 1 停止位 无流量控制2.4. 如何实现对防火墙的远程管理管理员如果需要实现对防火墙的远程管理，防火墙的配置需要满足以下四个条件：1、 客户端IP地址在防火墙定义的system manager-ip地址范围内，缺省情况下，防火墙没有配置system manager-ip地址段，可以允许任何客户端地址对防火墙进行管理。2、 防火墙接口IP地址容许客户端进行远程访问，MGT口配置的IP地址，业务接口配置的manage-ip可以直接被客户端进行访问，业务接口的IP地址需要定位为manageable才容许客户端进行访问。3、 业务接口IP地址需要

16、明确开启远程管理访问的服务，命令如：set interface eth2/1 ip manage telnet，MGT口配置的IP地址，业务接口配置的manage-ip地址缺省情况下已经开放所有防火墙可提供的远程访问服务，不需要额外再打开这些服务。4、 只有提供正确的管理员账户和口令，管理员才能对防火墙进行远程管理。第3章 路由Juniper防火墙将其路由组件划分为两个或更多 VR（虚拟路由器），其中每个 VR 以路由表、路由条目以及相关安全区的形式保持其自己的已知网络列表。一个单独的 VR 可以支持静态路由、动态路由和组播路由。Juniper防火墙有两个预定义的VR，trust-vr，在缺省

17、情况下包含所有预定义安全区和所有用户定义区；untrust-vr，在缺省情况下不含任何安全区。不能删除 trust-vr或untrust-vr VR。可以存在多个VR，但是trust-vr 是缺省VR。可以使用get vrouter CLI 命令来查看 VR 表。在VR表中，星号 (*)指示trust-vr为命令行界面(CLI)中的缺省VR。要在其它的 VR 内安全区和接口，必须按名称指定VR，例如 untrust-vr。在CCB 各分行防火墙部署时，从安全性角度考虑，我们建议将所有业务接口所在的安全区（zone）均放置在Untrust-vr中，仅保留MGT接口所在的MGT zone位于缺省的

18、Trust-vr中，当管理员从防火墙上向外访问时（源地址为防火墙地址），由于防火墙查找目的地址的路由的顺序是从缺省VR开始查找路由，如果在缺省VR中查不到匹配的路由，才会从其它VR中进一步查找路由。因此，针对CCB各分行防火墙部署环境，建议不通过MGT口来管理防火墙，而通过在业务接口启用manage-ip地址来区别并管理两台防火墙。如果需要通过启用MGT口管理防火墙，请不要设置MGT口的缺省网关，可以通过配置去往MGT口的明细路由，如：set vr trust-vr x.x.x.x/y interface mgt gateway A.B.C.D，这样就可避免ping外面的地址无法ping通的现

19、象。在防火墙上为业务流量添加静态路由时，需要明确指定VR（虚拟路由器）为Untrust-vr，具体命令如：set vr Untrust-vr x.x.x.x/y interface eth2/1 gateway A.B.C.D，如果不明确指定VR，那么添加的静态路由就会放在缺省的Trust-vr中。可以通过get route命令来查看每个VR中的路由条目。第4章 访问控制策略NetScreen 设备的缺省行为是拒绝安全区内部的所有信息流( 安全区内部信息流) 1 (Untrust 安全区内的信息流除外)，并允许绑定到同一安全区的接口间的所有信息流( 安全区内部信息流)。为了允许选定的安全区内部

20、信息流通过NetScreen 设备，必须创建覆盖缺省行为的安全区内部策略。同样，为了防止选定的安全区内部信息流通过NetScreen 设备，必须创建安全区内部策略。4.1. 策略的三种类型可通过以下三种策略控制信息流的流动: 通过创建安全区间策略，可以管理允许从一个安全区到另一个安全区的信息流的种类。 通过创建安全区内部策略，也可以控制允许通过绑定到同一安全区的接口间的信息流的类型。 通过创建全局策略，可以管理地址间的信息流，而不考虑它们的安全区。防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导通过执行策略组列表(安全区内部策略、内部安全区策略和全局策

21、略) 产生的信息流。策略能允许、拒绝、加密和解密、认证、排定优先次序、调度、过滤以及监控尝试从一个安全区流到另一个安全区的信息流。可以决定哪些用户和数据能进出，以及它们进出的时间和地点。4.2. 策略和规则单个用户定义的策略内部生成一个或多个逻辑规则，而每个逻辑规则都由一组组件(源地址、目的地址和服务) 组成。组件占用内存资源。引用组件的逻辑规则不占用内存资源。根据源地址组、目的地址组和策略中服务组件的多个条目或组的使用，逻辑规则的数量可比创建单个策略时明显可见的大得多。例如，以下策略产生125 个逻辑规则:1 个策略: 5 个源地址x 5 个目的地址x 5 个服务= 125 个逻辑规则但是，

22、NetScreen 设备不为每个逻辑规则复制组件。规则以不同的组合使用同一组组件。例如，产生125 个逻辑规则的上述策略只生成15 个组件:5 个源地址+ 5 个目的地址+ 5 个服务= 15 个组件这15 个组件以不同方式组合，生成由单个策略产生的125 个逻辑规则。允许多个逻辑规则以不同组合使用同一组组件，与每个逻辑规则与其组件具有一对一关系相比， NetScreen 设备占用的资源少得多。由于新策略的安装时间与NetScreen 设备添加、删除或修改的组件数量成比例，因此组件较少策略的安装更快。同样，与每个规则都需要专用组件相比，通过允许大量的逻辑规则共享一小组组件，NetScreen

23、使用户能创建更多的策略， NetScreen 设备能创建更多的规则。注意: 对于支持虚拟系统的NetScreen 设备，根系统中的策略组不影响虚拟系统中的策略组。4.3. 策略查看和建立要通过WebUI 查看策略，请单击Policies。通过从From 和To 下拉列表中选择安全区名称，然后单击Go，可以按源安全区和目的安全区分类显示策略。在CLI 中，使用get policy all | from zone to zone | global | id number 命令。策略图标查看策略列表时， WebUI 使用图标提供策略组件的图形化汇总。下表解释了策略页中使用的不同图标。创建策略要允许信

24、息流在两个安全区内部流动，应在这些安全区内部创建允许、拒绝或设置信息流的策略。如果NetScreen 设备唯一能够设置( 在策略中引用的) 源和目的地址间安全区内部信息流的路由的网络设备，则也可创建策略，控制同一安全区内的信息流。也可创建全局策略，使用Global 安全区通讯簿中的源和目的地址。要允许两个安全区内部(例如， Trust 和Untrust 安全区) 的双向信息流，需要创建从Trust 到Untrust 的策略，然后创建从Untrust 到Trust 的第二个策略。根据需要，两个策略可以使用相同或不同的IP 地址，只是源地址和目的地址需反向。第5章 NSRP（Netscreen 冗

25、余协议）5.1. NSRP工作原理NSRP（NetScreen Redundant Protocol）是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，为满足客户不间断业务访问需求，要求防火墙设备必须具备高可靠性，能够在设备、链路及互连设备出现故障的情况下，提供网络访问路径无缝切换。NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。NSRP主要功能有：1、在高可用群组成员之间同步配置信息；2、提供活动会话同步功能，以保证发生路径切换情况下不会中断网络连接；3、采用高效的故障切换算法，能够在短短几秒内迅

26、速完成故障检测和状态切换。NSRP集群两种工作模式：一、Active/Passive模式：通过对一个冗余集群中的两台安全设备进行电缆连接和配置，使其中一台设备作为主用设备，另一台作为备用设备。主用设备负责处理所有网络信息流，备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备，备用设备始终保持与主用设备配置信息和会话连接信息的同步，并跟踪主用设备状态，一旦主设备出现故障，备份设备将在极短时间内晋升为主设备并接管信息流处理。二、Active/Active模式：在NSRP中创建两个虚拟安全设备 (VSD) 组，每个组都具有自己的虚拟安全接口(VSI)，通过VSI接口与网络

27、进行通信。设备A充当VSD组1的主设备和VSD 组2的备份设备。设备B充当VSD组2的主设备和VSD组1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点。如下图所示，通过调整防火墙上下行路由/交换设备到网络的路由指向，HostA通过左侧路径访问ServerA，HostB通过右侧路径访问ServerB，网络中任一设备或链路出现故障时，NSRP集群均能够做出正确的路径切换。NSRP集群技术优势主要体现于：1、消除防火墙及前后端设备单点故障，提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障，也能够保证业务安全可靠运

28、行。2、根据客户网络环境和业务可靠性需要，提供灵活多样的可靠组网方式。NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式；2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。为用户提供灵活的组网选择。 3、NSRP双机结构便于网络维护管理，通过将流量在双机间的灵活切换，在防火墙软件升级、前后端网络结构优化改造及故障排查时，双机结构均能够保证业务的不间断运行。4、结合Netscreen虚拟系统和虚拟路由器技术，部署一对NSRP集群防火墙，可以为企业更多的应用提供灵活可

29、靠的安全防护，减少企业防火墙部署数量和维护成本。5.2. CCB一级分行防火墙部署结构CCB一级分行防火墙部署采用Layer3 口型A/P组网模式，该组网模式是当前很多企业广泛采用的HA模式，该结构具有对网络环境要求不高，无需网络结构做较大调整，具有较好冗余性、便于管理维护等优点。Layer3 口型组网A/P模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑，成为很多企业选用该组网模式的标准。配置说明：两台Netscreen设备采用相同硬件型号和软件版本，组成Active/Passive冗余模式，两台防火墙均使用一致的Ethernet接口编号连接到网络。通过将2个Ethern

30、et接口放入HA安全区，其中控制链路用于NSRP心跳信息、配置信息和Session会话同步，数据链路用于在两防火墙间必要时传输数据流量5.3. NSRP日常维护命令1、exec nsrp sync global-config check-sum 在备机上检查双机配置是否同步，通过console口执行这条命令时，防火墙会直接提示当前双机配置是否同步，如通过telnet执行该命令时，需要通过get db stream来查看是否同步提示信息。3、exec nsrp sync global-config save 如双机配置信息没有自动同步，请在备机上手动执行此同步命令，需重启系统,重启系统前如果提示

31、是否要保存配置，选NO。4、get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。5、Exec nsrp sync rto all from peer手动执行RTO信息同步，使双机保持会话信息一致6、exec nsrp vsd-group 0 mode backup手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备应没有启用抢占模式。7、exec nsrp vsd-group 0 mode ineligible手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。8、get alarm event检查设备告警信息，其中将包

32、含NSRP状态切换信息5.4. Juniper防火墙NSRP双机软件升级步骤1使用Tftp备份两台防火墙现有配置文件和OS系统文件。2升级步骤为先升级备用设备后升级主用设备，如果是Active/Active模式请切换为Active/Passive模式后再升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口，通过Web界面上对NS-B进行升级，并在Console口上观察升级过程。3NS-B升级后将自动重启，通过Console口观察重启过程。启动后在console上输入get system命令，验证升级后的版本号。输入get license，验证license信息是否符合升级要求。输

33、入get nsrp，验证此设备处于备机状态。4Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步，在NS-B上执行exec nsrp syn rto all from peer，手工同步Session信息。5主备双机进行状态切换。用笔记本接NS-A的Console口，输入exec nsrp vsd-group 0 mode backup命令，将状态切换。使用get nsrp命令，验证设备状态已切换完成，此时NS-A为备机，NS-B为主机。6在Web界面上对NS-A进行升级，在Console口上观察升级过程。7NS-A升级后会自动重起，在Console口上观察重起过

34、程。启动后在console上输入get system命令，验证升级后的版本号。输入get license，验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。8恢复原先的主备状态：在NS-B上执行exec nsrp vsd-group 0 mode backup命令，将状态切换。验证设备状态已切换完成，此时NS-A为主机，NS-B为备机。9在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum，验证两台设备的配置同步。如双机配置文件没有同步，请执行exec nsrp syn vsd-group 0 g

35、lobal-config save 手动进行配置同步。10观察两台防火墙的日志，验证是否存在异常告警信息。5.5. 如何快速配置NSRP集群备用设备Netscreen提供快速配置NSRP集群中备用设备的方法，适用于创建NSRP集群双机配置和备用设备出现故障时用备件进行替换。1、清空备机配置命令Unset allErase all system config, are you sure y / n? YResetConfiguration modified, save? y / n NSystem reset, are you sure? y / n Y2、系统重新启动后配置命令Set host

36、name xxxxxxSet interface mgt ip x.x.x.x/xSet nsrp cluster id 1Exec nsrp sync fileExec nsrp sync global-config run /*适应于5.1以上版本，5.0中使用Exec nsrp sync global-config save命令，需要重启设备*/Set nsrp rto-mirror syncSave all3、检查设备状态Nsrp：get nsrp接口：Get interface路由：get route会话：get session第6章 防火墙日常监控与维护防火墙作为企业核心网络中的关

37、键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断及恢复成为维护人员的工作重点。NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理监控可确保防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。6.1. Juniper防火墙日常监控内容围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Juniper防火墙维护主要思路为：通过积极主动的

38、日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解Netscreen防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。日常维护过程中，需要重点检查以下几个关键信息：Session：如已使用的Session数达到或接近系统最大值，将导致新Session不能及时建立连接，此时已经建立Session的通讯虽不会造成影响；但仅当现有session连接拆除后，释放出来的Session资源才可供新

39、建连接使用。维护建议：当Session资源正常使用至80时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。CPU: Netscreen是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC芯片完成，正常工作状态下防火墙CPU使用率应保持在50%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与恶意流量有关，可通过正确设置screening对应选项进行防范。Memory: NetScreen防火墙对内存的使用把握得十分准确，采用“预分配”机制，空载时内存使用率为约60-7

40、0%，随着流量不断增长，内存的使用率应基本保持稳定。如果出现内存使用率超过85时，需检查网络中是否存在攻击流量，确认近期健康检查内存分配是否发生较大变化，检查为debug分配的内存空间是否过大（get dbuf info单位为字节）。2、在业务使用高峰时段检查防火墙关键资源（如：Cpu、Session、Memory和接口流量）等使用情况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。当session数量超过平常基准指标20时，需检查session表和告警信息，检查session是否使用于正常业务，网络中是否存在可疑流量和恶意攻击行为。当Cpu占用超

41、过平常基准指标50时，需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。6.2. 防火墙健康检查信息表设备型号软件版本设备序列号设备用途XX区防火墙设备状态主用/备用设备组网方式如：Layer3 口型A/P检查对象检查命令相关信息检查结果备注SessionGet sessionCPUGet perf cpuMemoryGet memoryInterfaceGet interface路由表Get routeHA状态Get nsrp事件查看Get log event告警信息Get alarm event机箱温度Get chassisLEDLED指示灯检查设备运行参考基线Se

42、ssionCpuMemory接口流量业务类型机箱温度6.3. 常规维护建议1、配置manager-ip地址，指定专用终端管理防火墙；2、更改netscreen账号和口令，不建议使用缺省的netscreen账号管理防火墙；设置两级管理员账号并定期变更口令；仅容许使用telnet和http方式登陆防火墙进行管理维护。 3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时

43、能够快速旁路防火墙，保证业务正常使用。5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：NSRP集群中设备出现故障，网线故障及交换机故障时的路径保护切换。6.4. 设备运行档案表设备型号软件版本设备序列号设备用途XX区防火墙设备状态主用/备用设备组网方式如：L

44、ayer3 口型A/P保修期限供应商联系方式配置变更变更原因变更内容结果负责人事件处理事件现象处理过程结果负责人6.5. 防火墙应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行NSRP双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位前不要关闭防火墙。检查设备运行状态网络出现故障时，应快速判断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看CPU、Memory、Se

45、ssion、Interface以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。l 检查是否存在攻击流量通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在Screen选项中启用对应防护措施来屏蔽攻击流量。l 检查NSRP工作状态使用get nsrp命令检查nsrp集群工作状态，如nsrp状态出现异常或发

46、生切换，需进一步确认引起切换的原因，引起NSRP切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。l 防火墙发生故障时处理方法 如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。l 故障总结故障处理后的总结与改进是进一步巩固网络可靠性的必要环节，有效的总结能够避免很多网络故障再次发生。1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整的配置参数在上线前进行测试评估，避免因配置调整带来新的故障隐患。3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。6.6. 故障处理工具Netscreen防火墙提供灵活多样的维护方式，其中故障处理时最有用的两个工具是debug和snoop，debug用于跟踪防火墙