《Juniper防火墙维护手册范本.doc》由会员分享,可在线阅读,更多相关《Juniper防火墙维护手册范本.doc(74页珍藏版)》请在三一办公上搜索。
1、Juniper防火墙维护手册版本号:V1.0目录一、Juniper防火墙介绍5、NS5000系列5、NS54005、NS52005、ISG系列6、ISG20006、ISG10006、SSG500系列71.3.1 SSG 550M71.3.2 SSG 5207、SSG300系列81.4.1 SSG 350M81.4.2 SSG 320M8、SSG140系列81.5.1 SSG 1409、SSG5/20系列91.6.1 SSG 591.6.2 SSG 209二、防火墙常用配置102.1 Juniper防火墙初始化配置和操纵102.2 查看系统概要信息14主菜单常用配置选项导航162.4 Confi
2、gration配置菜单172.5 Update更新系统镜像和配置文件18更新ScreenOS系统镜像182.5.2 更新config file配置文件192.6 Admin管理202.7 Networks配置菜单222.7.1 Zone安全区227.2 Interfaces接口配置24查看接口状态的概要信息24设置interface接口的根本信息24设置地址转换26设置接口Secondary IP地址342.7.5 Routing路由设置342.8 Policy策略设置372.8.1 查看目前策略设置37创建策略38对象Object设置402.11 策略Policy报告Report41四、防火
3、墙日常应用42、Netscreen 冗余协议NSRP42、NSRP部署建议:43常用维护命令44、策略配置与优化Policy45、攻击防御Screen46、特殊应用处理48、长连接应用处理48、不规XTCP应用处理49、VOIP应用处理49五、防火墙日常维护51、常规维护52、常规维护建议:545.3 应急处理56检查设备运行状态56、总结改良58、故障处理工具58六、 Juniper防火墙设备恢复处理方法70设备重启动70操作系统备份70操作系统恢复70配置文件备份71配置文件恢复71恢复出厂值72硬件故障处理72设备返修RMA72一、Juniper防火墙介绍1.1、NS5000系列1.1.
4、1、NS5400性能和处理能力 30 Gbps 防火墙 (12G 64byte小包) 18MPPS2 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力 10 Gbps 防火墙 (4G 64byte小包)1 百万同时会话数5 Gbps 3DES VPN 25,000 IPSec VPN 通道1.2、ISG系列1.2.1、ISG2000性能和处理能力4 Gbps 状态监测防火墙任何大小的数据包2 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:3 MPPS最大在线会话数:100万,每秒23
5、,000个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小的数据包1 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:1.5 MPPS最大在线会话数:50万,每秒20,000个新会话1.3、SSG500系列1.3.1SSG 550M4Gbps 的 FW IMIX / 600K pps1Gbps 的FW IMIX / 500 Mbps IPSec VPN6个 I/O 插槽 4个可插 LAN口模块双电源,DC为选项, NEBS为选项12.8万个会话,1,000条VPN 隧道1.3.2 SSG 5202Gbps 的 FW / 30
6、0K pps600 Mbps 的 FW IMIX / 300 Mbps IPSEC VPN6个 I/O插槽 2个可插 LAN口模块单一AC或DC电源6.4万个会话,500条VPN 隧道1.4、SSG300系列1.4.1 SSG 350M1.2 Gbps 的 FW / 225K pps500 Mbps 的FW IMIX / 225 Mbps IPSec VPN5个 I/O 插槽1.4.2 SSG 320M1.2 Gbps 的 FW / 175K pps400 Mbps 的FW IMIX / 175 Mbps IPSec VPN3个 I/O插槽6.4万个会话,每秒2万会话1.5、SSG140系列1
7、.5.1 SSG 140950Mbps 的FW/ 100K pps300 Mbps的Firewall IMIX / 100 Mbps IPSec VPN4个 I/O插槽4.8万个会话,每秒8k会话1.6、SSG5/20系列1.6.1 SSG 5SSG 5 是一个固定规格的平台,提供 160 Mbps 的状态防火墙流量和 40 Mbps 的 IPSec VPN 吞吐量。SSG 5 系列配备 7 个内部集成的 10/100 接口,并带有可选的固定广域网端口ISDN BRI S/T、V.92 或 RS-232 Serial/Aux。802.11 a/b/g 和多种无线特定的安全性支持是可选项,使 S
8、SG 5 能够将安全性、路由和无线接入点整合到单个设备中。1.6.2 SSG 20SSG 20 是一个模块化平台,提供 160 Mbps 的状态防火墙流量和 40 Mbps 的 IPSec VPN 吞吐量。SSG 20 配备 5 个内部集成的 10/100 接口和 2 个 I/O 扩展插槽,可支持 I/O 卡,如ADSL2+、T1、E1、ISDN BRI S/T 以与 V.92,从而实现额外的广域网连接。802.11 a/b/g和多种无线特定的安全性支持是可选项,使 SSG 20 能够将安全性、路由和无线接入点整合到单个设备中。二、防火墙常用配置2.1 Juniper防火墙初始化配置和操纵对一
9、台空配置的Juniper防火墙我们可以用两种方法去进展操纵:Console控制台和WEB。Console控制台:使用Console线连接到Juniper的防火墙上的Console口,利用超级终端用CLI命令行界面进展配置。使用WEB界面:Juniper防火墙上默认情况下在E1接口trust口有一个初始管理IP地址192.168.1.1 255.255.255.0;我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来,然后把本机的地址配置为192.168.1.X 255.255.255.0,之后我们就可以在本机上通过IE浏览器登陆192.168.1.1的地址通过WEB界面对设备进展配置了。
10、通过IE或与IE兼容的浏览器推荐应用微软IE浏览器使用防火墙缺省IP地址登录防火墙建议:保持登录防火墙的计算机与防火墙对应接口处于一样网段,直接相连。使用缺省IP登录之后,出现安装向导:注:对于熟悉Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面。使用向导配置防火墙,请直接选择:Next,弹出下面的界面:“欢迎使用配置向导,再选择Next。注:进入登录用户名和密码的修改页面,Junip
11、er防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。注意1:Juniper防火墙接口的WEB管理特性默认只在E1接口trust口才启用,也就是说我们有可能无法通过用WEB登陆其他接口进展操纵,除非我们提前已经打开了相应接口的WEB管理选项。注意2:如果Juniper防火墙上有配置,我们不知道目前E1接口的IP地址,我们可以先通过Console控制台用“get interface的命令看一下目前E1口的IP地址。注意3:Juniper防火墙OS 5.0以上的版本
12、支持MDI和MDIX自适应,也就是说我们的主机和E1口也可以用直通线进展互连,但这种方式有失效的时候,如果出现用交叉线互连物理也无法UP的情况,可以在Console控制台用“ NS208- delete file flash:/ns_sys_config删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。注:系统默认登陆用户名和口令都是:“netscreen。2.2 查看系统概要信息使用WEB登陆防火墙的管理地址,进入GUI管理界面,如下列图。左边是主配置菜单。右边最上方是系统启动以与时间信息,右上角显示主机名。Device information:设备信息,显示设备硬软件版本、
13、序列号以与主机名。Interface / VPN Link Status Monitoring:接口链路状态,显示接口所属区和链路UP/DOWN信息。Resources Status:资源状况,显示系统CPU和内存使用率以与目前的会话和策略是系统满负荷的比例。其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题。System Most Recent Alarms / Events:系统最近的报警和通告信息。在主菜单中我们经常用到的配置菜单如下,后面将针对这些常用配置选项进展详细的介绍。Configuration: Date/Time; Update; Ad
14、min; Auth; Infranet Auth; Report Settings; CPU Protection; Network: Binding; DNS; Zones; Interfaces; DHCP; 802.1X; Routing; NSRP; Vlan; Security: Screening; Web Filtering; Deep Inspection; Antivirus; ALG; Policy: Policies; MCast Policies; Policy Elements;VPNs: AutoKey IKE; AutoKey Advanced; Manual K
15、ey; L2TP; Monitor Status;Objects: Users; IP Pools; Certificates;GPRS: NSGP(Overbilling);Reports: System Log; Counters; Interface Bandwidth; Policies;Wizards: Policy; Route-based VPN; AC-VPN;只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护的工作。2.4 Configration配置菜单准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错,设置时钟主要有三种方法。
16、用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。用WEB界面使用和客户端本机的时钟同步:简单实用。用WEB界面配置NTP和NTP服务器的时钟同步。2.5 Update更新系统镜像和配置文件用CLI命令行设置:save software from tftp x.x.x.x filename to flash;2.5.2 更新config file配置文件用CLI命令行设置:save config from tftp x.x.x.x filename to flash,配置文件上传后需执行reset命令进展重启。在这个菜单中我们可以查看目前文本形式的配置文件,把目
17、前的配置文件导出进展备份,以与替换和更新目前的配置。注意单项选择框默认是点选在“Merge to Current Configration即和目前配置融合的位置,而我们一般是要完全替换目前的配置文件的,因此一定要注意把单项选择框点击到“Replace Current Configration。当进展配置替换的之后系统会自动重起使新配置生效。TIP:进展配置的替换必须用ROOT用户进展登陆,用ReadWrite用户进展登陆是无法进展配置的替换操纵的,只有融合配置的选项,替换目前配置的选项将会隐藏不可见,如如下图所示:2.6 Admin管理Administrators管理员账户管理只有用根ROOT
18、用户才能够创建管理员账户。可以进展ROOT用户账户用户名和密码的更改,但此账户不能被删除。可以创建只读账户和读写账户,其中读写账户可以对设备的大局部配置进展更改。用CLI命令行设置:set admin user Smith password 3MAb99j2 privilege allset admin user read password 4DFB993J2 privilege read-onlysavePermitted IPs:允许哪些主机可以对防火墙进展管理用CLI命令行设置:save2.7 Networks配置菜单2.7.1 Zone安全区查看目前的安全区设置安全区内必须有物理接口才
19、会有实际意义,每一个安全区同时可以包含多个物理接口,但每一个物理接口同时只能属于一个安全区。几个系统默认的安全区和接口:1:Trust区包含ETH1口2:Untrust区包含ETH4口3:DMZ区包含ETH3口其他区必须进展手工创建并把相应物理接口放入安全区内。虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不建议使用。创建新的安全区:在输入安全区名称后其余选项均保持默认值即可。用CLI命令行设置: set vrouter trust-vr zone XXXX7.2 Interfaces接口配置接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。其中接口类型除非是
20、防火墙使用透明模式,否如此都会是Layer3三层的。CLI : get interface接口根本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以与接口的管理特性选项。最上面的几个是配置NAT地址转换以与IP跟踪等高级特性的。下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进展管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。接口模式有路由模式和NAT模式:N
21、AT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。路由模式:除非我们在策略定义中明确引用了转换地址池,否如此源地址都不会做转换。由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进展管理,默认情况下ETH1内网口的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆ETH4口的IP进展管理,必须把相应
22、的WEB或TELNET选项点中。最后的配置框可以保持默认值。CLI:set interface redundent1 zone trustset interface redundent1 manage telnetset interface redundent1 manage webset interface redundent1 manage pingset interface redundent1 mode nat (trust zone 的接口都是nat mode)Juniper防火墙的地址转换有三种方式:MIP-静态一对一地址转换;VIP-虚拟一对多地址转换;DIP-动态多对多地址转换
23、。由于MIP和VIP地址转换有一些规如此限制,比如要转换外网发起流量的源地址的时候,转换后的地址必须和ETH1内网口在同一个子网,否如此无法配置。而DIP不受此规如此的影响,同时可以完成MIP和VIP的功能,应用和设置比拟灵活。配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进展配置:例如流量从E1口入从E4口出,192.168.1.1访问外网,我们把192168.1.1的地址转换为1.1.1.1,那么这个1.1.1.1的地址的MIP是做在出站接口,也就是E4口上的。新建MIP静态地址映射当使用静态MIP地址映射时,对方发起的数据流的目的地地址要注意设置为MIP后的地址
24、。CLI:set interface ethernet1 mip X.X.X.X host Y.Y.Y.Y netmask 255.255.255.255 vrouter trust-vrset policy from untrust to trust any mip(X.X.X.X) permitDIP动态地址转换可以实现一对一,一对多,多对一和多对多的访问。DIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。DIP地址池可以和出站接口不再一个网段使用扩展IP技术。如果访问是多对一的多个客户端访问一个服务器,必须使用Port-Xlate端口转换特性默认设置,建议都使用这种方式。如果
25、DIP被策略引用如此无法编辑和更改,必须先移除策略后才可以编辑。创建新的DIP地址池:如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性,把选择框选择到下方“In the same as the extended ip,并输入一个扩展IP的地址。例如出站接口是9X.2.244.1/28,而源地址出站时我们想转换成192.168.1.X的地址,那么在扩展IP框中我们可以输入192.168.1.0/24。扩展IP地址可以使用一个地址也可以用一个网段,推荐使用网段的方式。同一DIP地址网段可以同时分布在多个接口上,比如9X.2.18.0虚拟地址簿可以同时设置在E1、E2和E3口上。但同一个D
26、IP地址只能同时设置在一个接口上,比如9X.2.18.1地址只能设置在E1或E2或E3口上,不能同时在多个接口上都设置9X.2.18.1。CLI:1、NAT-DIP 带PAT功能配置接口参数set interface ethernet1 zone trustset interface ethernet1 natset interface ethernet3 zone untrust定义DIP定义策略set policy from trust to untrust any any nat src dip-id 5 permitsave2、NAT-DIP 不带PAT功能接口set interfac
27、e ethernet1 zone trustset interface ethernet1 natset interface ethernet3 zone untrustDIPset interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port策略set policy from trust to untrust any any e-stock nat src dip-id 6 permitsave3、带有地址变换的 NAT-Src接口set interface ethernet1 zone trustset interface ethernet1
28、natset interface ethernet3 zone untrustDIP地址set group address trust group1 add host1set group address trust group1 add host2set group address trust group1 add host3set group address trust group1 add host4set group address trust group1 add host5策略set policy from trust to untrust group1 any nat src di
29、p-id 10 permitsave2.7.4设置接口Secondary IP地址2.7.5 Routing路由设置Juniper防火墙我们一般仅使用静态路由,静态路由的选路规如此和路由器根本一样,例如最长掩码匹配优先,接口如果DOWN,相应静态条目会消失。查看防火墙路由表设置路由我们统一都设在trust-vr中默认选项。只有带“*号的才表示路由有效,等同于路由器show ip route的效果。添加的路由条目只能删除,无法编辑。CLI: get route vrouter trust-vr/ untrust-vr创建新的路由条目目标地址段可以写IP/掩码也可以写IP/前缀;如100.1.1.
30、0 255.255.255.0或者100.1.1.0/24。下一跳默认都是点在Next Hop Virtual Router Name;一定要注意改点到Gateway处,否如此路由不生效。接口和下一跳网关地址都要选择和输入。2.8 Policy策略设置2.8.1 查看目前策略设置可以选择查看从某个源安全区到某个目的安全区的策略,也可以选择从ALL到ALL来查看所有的策略。Service是系统预定义或我们自定义的服务端口号。Action动作是指策略是允许或拒绝,允许是一个对勾,拒绝是一个X,另外如果是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。在Option下如果有一个小记事本的图
31、表,说明我们要记录此数据流,当数据流通过时可以看到详细的地址转换情况。生效:可以通过取消对勾让本策略暂时失效。移动:可以调整策略查找的顺序,策略的查找和匹配默认是从上到下,我们可以通过移动来控制策略生效的顺序。CLI : get policy (from zone to zone )源地址和目的地址如果以前曾经设置过,可以用下拉菜单进展选择,否如此需要在New Address新地址栏进展输入。如果地址曾经输入过,做策略时我们仍在New Address栏中进展输入,点击确定的时候系统会出现重复IP地址条目的提示信息,但不影响策略的设置。入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配
32、置,保持原有默认配置不变。在进展调试时建议打开LOG记录,看是否有数据流通过与地址转换情况。如果要进展源或目的地址的转换需要点击高级选项进入二级配置菜单。源地址转换点击DIP下拉菜单后前面的选择框会自动选中。目的地址转换必须手工点击选中前面的目标地址转换的选择框。CLI: set policy from trust to dmz corp_net mail_svr MAIL-POP3 permitset policy from dmz to untrust mail_svr r-mail_svr MAIL permitset policy from untrust to dmz r-mail_
33、svr mail_svr MAIL permit对象Object的设置主要是为了简化和方便策略的引用和设置,比如地址组和服务组等,下面我们重点介绍一下服务的设置。服务其实就是给对方提供的一些协议端口号,其中大局部的常见服务设备已经提前设置好,比如web,telnet等等,但是一些非常用的端口号,比如TCP 8888等就需要我们自己进展自定义设置了。查看自定义的服务:Policy Policy Elements Services Custom技巧:我们可以给服务一个名称,可用中文描述一个中间业务的名称,然后在策略里进展引用,这样在进展排错的时候我们就可以很方便地找到相应的策略,虽然我们也可以给策
34、略一个名称,但在策略汇总表中是不显示出来的。CLI: get service创建一个新的服务目标协议和端口号我们可以设置多个组合,例如TCP 8888UDPICMP等我们一般仅设置目标端口号,源端口号不做限制,例如我们要提供一个的服务,类似设置就是:TCP 0 65535 80 80 如果设置允许ICMP的PING,可以设置为:ICMP 802.11 策略Policy报告Report如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以与源和目的转换的情况我们可以在策略中点击记事本直接进展观看。另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息,比如在一个时刻都
35、有哪些业务在运行,每种业务的数据量等等。点击ReportsPolices:如上图所示,我们可以直观地看到某个时刻都有哪些业务流在进展,灰色的记事本代表没有业务,蓝色的代表有业务数据流,点击蓝色记事本可以查看业务数据流的详细信息。四、防火墙日常应用4.1、Netscreen 冗余协议NSRPNSRP协议提供了灵活的设备和路径冗余保护功能,在设备和链路发生故障的情况下进展快速切换,切换时现有会话连接不会受到影响。设计NSRP架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。4.1.1、NSRP部署建议:基于端口和设备的冗余环境中,无需启用端口和设备级的抢占模
36、式preempt,防止因交换机端口不稳定而引发nsrp反复切换。当配置两组或两组以上的防火墙到同一组交换机上时,每组nsrp集群应设置不同的cluster ID号,防止因一样的cluster ID号引发接口MAC地址冲突现象。防火墙nsrp集群建议采用接口监控方式,仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。在单台防火墙设备提供的session和带宽完全可以满足网络需求时,建议采用基于路由的Active-Passive主备模式,该模式组网结构清晰,便于维护和管理。设备运行时应保证HA线缆连接可靠,为确保HA心跳连接不会出现
37、中断,建议配置HA备份链路“secondarypath。NSRP许多配置参数是经过检验的推荐配置,通常情况下建议采用这些缺省参数。get license-key 查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。exec nsrp sync global-config check-sum 检查双机配置命令是否同步exec nsrp sync global-config save 如双机配置信息没有自动同步,请手动执行此同步命令,需要重启系统。get nsrp 查看NSRP集群中
38、设备状态、主备关系、会话同步以与参数开关信息。Exec nsrp sync rto all from peer 手动执行RTO信息同步,使双机保持会话信息一致exec nsrp vsd-group 0 mode backup 手动进展主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。exec nsrp vsd-group 0 mode ineligible 手动进展主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。set failover on/set failover auto启用并容许冗余接口自动切换exec failover force
39、手动执行将主用端口切换为备用端口。exec failover revert 手动执行将备用端口切换为主用端口。get alarm event 检查设备告警信息,其中将包含NSRP状态切换信息4.2、策略配置与优化Policy防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比拟多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。策略配置与维护需要注意地方有:试运行阶段最后一条策略定义为所有访问允许并作log,以便在不影响业务的情况下找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最
40、后一条定义为所有访问禁止并作log,以便在试运行阶段观察非法流量行踪。试运行阶段完毕后,再将最后一条“禁止所有访问策略删除。防火墙按从上至下顺序搜索策略表进展策略匹配,策略顺序对连接建立速度会有影响,建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面。策略配置中的Log(记录日志)选项可以有效进展记录、排错等工作,但启用此功能会耗用局部资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。另外,对于策略配置中的Count(流量统计)选项,如非必要建议在业务时段不使用。简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表简洁和简短,规如此越多越
41、容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。策略用于区段间单方向网络访问控制。如果源区段和目的区段不同,如此防火墙在区段间策略表中执行策略查找。如果源区段和目的区段一样并启用区段内阻断,如此防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略,如此安全设备会检查全局策略表以查找匹配策略。MIP/VIP地址属于全局区段地址,配置策略时建议通过全局区段来配置MIP/VIP地址相关策略,MIP/VIP地址虽然可为其余区段调用,但由于其余区段的“any地址并不包括全局区段地址,在定义策略时应加以注意,防止配置不生效的策略。策略变更控制。组织好
42、策略规如此后,应写上注释并与时更新。注释可以帮助管理员了解每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,建议策略调整时,将变更者、变更具体时间、变更原因参加注释中,便于后续跟踪维护。4.3、攻击防御ScreenNetscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击,一些流行的攻击手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墙在抵御这些攻击时,通过专用ASIC芯片来进展处理,适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screenin
43、g内的其它选项,在开启这些防护功能前有几个因素需要考虑:抵御攻击的功能会占用防火墙局部CPU资源;自行开发的一些应用程序中,可能存在局部不规X的数据包格式;网络环境中可能存在非常规性设计。如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,如此会影响正常网络处理的性能;如果自行开发的程序不规X,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的网络设计也会出现合法流量被屏蔽问题。要想有效发挥Netscreen Screening攻击防御功能,需要对网络中流量和协议类型有比拟充分的认识,同时要理解每一个防御选项的具体含义,防止引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式,一次仅启
44、用一个防攻击选项,然后观察设备资源占用情况和防御结果,在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项:设置防XDDoS Flood攻击选项根据掌握的正常运行时的网络流量、会话数量以与数据包传输量的值,在防XDDoS的选项上添加20的余量作为阀值。如果要设置防XIP协议层的选项,需在深入了解网络环境后,再将IP协议和网络层的攻击选项逐步选中。设置防X应用层的选项,在了解应用层的需求以与客户化程序的编程标准后,如不采用ActiveX控件,可以选择这些基于应用层的防攻击选项。为检查网络中是否存在攻击流量,可以临时打开该区段screening顶部Generate Alar
45、ms without Dropping Packet选项,确认攻击类型后再将该选项去除。 在设置screening选项的过程中,应密切注意防火墙CPU的利用率,以与相关应用的使用情况;如果出现异常CPU利用率偏高了或应用不能通过,如此立刻需要取消相关的选项。建议正常时期在untrust区启用防flood攻击选项,在办公用户区启用flood和应用层防护选项,在核心业务区不启用screening选项,仅在网络出现异常流量时再打开对应的防御功能。4.4、特殊应用处理4.4.1、长连接应用处理在金融行业网络中经常会遇到长连接应用,基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下,Nets
46、creen防火墙对每一个会话的连接保持时间是30分钟TCP和1分钟UDP,超时后状态表项将会被去除。所以在实施长连接应用策略时要配置适宜的timeout值,以满足长连接应用的要求。配置常连接应用需注意地方有:如果在长连接应用中已经设计了心跳维持机制如每隔几分钟,客户端与服务端之间传送心跳以维持会话,此时无需防火墙上设置timeout时间,使用默认配置即可。长连接应用中没有心跳机制时,通常情况下建议timeout值为36小时。应用通常在工作时间建立连接,这样可在下班后时间拆除连接。在配置 timeout值时,特别提醒不要使用“never timeout永不超时的选项。该选项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长,建议配置一个具体的长时间段如一周。4.4.2、不规XTCP应用处理正常TCP应用连接建立需要3次握手,然而某些用户定制的应用程序因开发规X不严谨或特殊需要,存在类似SYN