Juniper netscreen 防火墙培训维护篇.ppt

* * * * * 策略用于区段间单方向网络访问控制。如果源区段和目的区段不同，则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断，则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略，则安全设备会检查全局策略表以查找匹配策略 * * * Copyright ? 2008 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2008 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Juniper 防火墙维护指南 孙小位 主题 常规维护 应急处理 攻击防护 策略配置与优化 常规维护 日常维护过程中，需要重点检查以下几条关键信息 Session（会话）：当Session资源正常使用到85%时，需要考虑设备容量限制并及时升级。 CPU：正常在50%以下，如果CPU利用率过高，应高度重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关，可通过正确设置screening对应选项进行防范。 Memory：采取“预分配”机制,空载时使用率约50-60%，流量不端增长，内存基本不变，如果出现使用率高达90%，检查是否有攻击流量。是否开启DEBUG 防火墙健康检查命令 Session Get session CPU Get perf cpu Memory Get memory Interface Get interface 路由表 Get route HA状态 Get nsrp 事件查看 Get log event 告警信息 Get alarm event 机箱温度 Get chassis 常规维护建议 配置System-ip,指定专用终端管理防火墙。 更改防火墙账号和密码，设置两级管理，仅容许试用SSH和SSL方式登入设备。 整理一份上下行交换机配置备份文档，提供备用连线。 建议设备配置变更文档管理，定期评估配置、策略和路由是否优化。 故障设想和故障处理演练。 应急处理 当出现网络故障问题时，检查防火墙状态并判断是否存在攻击流量，定位是否和防火墙有关，如果有关，开启DEBUG跟踪包处理，检查是否侧路有问题，一旦定位防火墙故障，应尽快旁路设备。在故障明确定位前不要关闭防火墙。 应急处理流程 检查设备运行状态 网络出现故障时，应快速判断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。 跟踪防火墙对数据包处理情况 如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。 检查是否存在攻击流量 通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在Screen选项中启用对应防护措施来屏蔽攻击流量。 4. 检查NSRP工作状态 使用get nsrp命令检查nsrp集群工作状态，如nsrp状态出现异常或发生切换，需进一步确认引起切换的原因，引起NSRP切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。 5、防火墙发生故障时处理方法 如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。 攻击防护 Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等， 防火墙在抵御这些攻击时，通过专用ASIC芯片来进行处理，适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。 如果希望开启Screening内的其它选项，在开启