《最新Juniper防火墙日常维护手册.doc》由会员分享,可在线阅读,更多相关《最新Juniper防火墙日常维护手册.doc(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateJuniper防火墙日常维护手册中国移动通信集团广东有限公司UAP四期工程Juniper防火墙日常维护Juniper防火墙维护手册目录1.日常维护内容31.1.配置主机名31.2.接口配置41.3.路由配置51.4.高可用性配置(双机配置)61.5.配置MIP(通过图形界面配置)91.6.配置访问策略(通过图形界面配置)112.NetScreen的管理152.1.访问
2、方式152.2.用户172.3.日志182.4.性能202.5.其他常用维护命令213.其他的配置211. 日常维护内容1.1. 配置主机名NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名:Netscreen- set hostname FW-1-MFW-1-M 1.2. 接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP
3、,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。本例子中,配置接口ethernet2属于Untrust区,IP地址为
4、202.38.12.23/28,如设置管理方式是Http,命令如下:Ns204 - set interface ethernet1 zone TrustNs204 - set interface ethernet1 ip 10.243.194.194/29Ns204 - set interface ethernet1 natNs204 - set interface ethernet1 zone UntrustNs204 - set interface ethernet2 ip 202.38.12.23/28Ns204 - set interface ethernet1 nat选择接口后按 E
5、dit 键后进入以下页面进行配置接口特性:透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段,不需要配置接口的IP,设置的命令如下:FW-1-M - set interface ethernet1/1 zone V1-UnrustFW-1-M - set interface ethernet1/2 zone V1-Trust1.3. 路由配置NetScreen防火墙有路由功能,缺省情况下,内部有Untrust-vr和Trust-vr两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话,不需要在untrust-vr
6、上配置路由。一般应用中,配置静态路由即可满足要求。配置静态路由时,需要配置目的网络、下一跳及出去的接口。透明模式的防火墙不需要设置路由信息。本例中,在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17Ns204 - set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9用WebUI的方式配置接口,菜单:Network-routing-routing entries按New按钮可以配置一个新的路由:1.4. 高可用性配置(双机配置)NetScreen双机的基本配置步骤:1、 检查双机的版
7、本是否一致,原则上两台防火墙的版本要求相同。如果版本不同,建议升级到相同的版本。防火墙版本的检查命令:FW-1-M -get systemProduct Name: NetScreen-ISG1000Serial Number: 0133102006000136, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 5.3.0r7.0, Type: Firewall+VPN2、 连接HA线,把接口划分到HA 区段中
8、。HA线是防火墙的心跳线,ISG1000没有专门的HA接口,必须设置接口来并划分到HA区段中。如果心跳线采用光纤则只需要设置一个HA口和一根心跳线,如果采用双绞线作为心跳线,则需要设置两个HA口和两条双胶线,HA接口之间采用交叉线相连接。本例将Eth1/3及eth1/4设置为HA接口:FW-1-M - set interface ethernet1/3 zone HAFW-1-M -set interface ethernet1/4 zone HA3、 配置cluster ID号防火墙双机也叫cluster,同一个双机的cluster号应相同。在两台防火墙上都用命令配置成同一个cluster:
9、GM-Web(M)-set nsrp cluster id 1则两台防火墙一台会变成FW-1-M (M),另一台会变成FW-1-B (B),(M)表示主用,(B)表示备用,(I)表示初始化。注意:在(I)状态下,防火墙是不能正常工作的,出现此状态时一定要注意。用WebUI方式配置双机的cluster ID,菜单:Network-NSRP-Cluster4、 配置VSD组及优先级虚拟安全设备VSD组用于防火墙工作在active/active方式下,缺省情况下两台NetScreen防火墙都属于VSD组0,可以设置VSD组的优先级,优先级数值越小,则越优先。FW-1-M (M)- set nsrp
10、vsd-group id 0 priority 50用WebUI的方式配置VSD组的优先级,菜单:Network-NSRP-VSD Group,选择New或Edit菜单则可。5、 配置双机同步配置成双机后,把在防火墙上新增加的配置会自动同步到另一台防火墙上:注意:在配置成双机前的防火墙上的配置不会主动同步到另一台机器上;如果在防火墙1上做配置时,防火墙2是down的,则此时在防火墙1上做的配置,是不会主动同步到另一台防火墙上的。如果要同步这些异常情况下的配置,则需要在备机上运行相应的命令。配置RTO,RTO相当于防火墙上的连接信息,在两台防火墙上分别配置:FW-1-M (M)- set nsr
11、p rto-mirror sycFW-1-B (B)- set nsrp rto-mirror syc用WebUI的方式配置同步,菜单:Network-NSRP-Synchronization1.5. 配置MIP(通过图形界面配置)1、 命令行Ns204 (M)- set interface eth0/2 mip 211.136.202.19 host 10.243.194.195 netmask 255.255.255.255 WebUI方式选择菜单:Network-interfaces,选择eth0/2,按Edit按钮:再选择MIP进入:选择New选项,配置一个新的MIP:1.6. 配置访
12、问策略(通过图形界面配置)通过配置访问策略来控制通过防火墙的访问,1、 配置地址配置地址的对象,可以是单个IP或一个网段。选择ObjectsAddressesConfiguration ,再选择你配置源IP的安全区(或目的地址的安全区),设置单个IP:设置IP段:2、配置访问ServiceNetscreen防火墙中内置了许多的Service,如HTTP,FTP等,你可以在策略中直接选择需要访问的Service,如果你需要设置自定义的Service,可按如下步骤:进入ObjectsServicesCustomEdit,本例设置的是7001端口(用于HTTP)当然,你也可以配置地址的组,将你需要的
13、地址放入组中,并在策略中引用组。4、配置策略本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务,已定义172.16.1.122地址为WebServer。进入Policies,选择源安全区Untrust到目的安全区Trust,并点击有上角New6、 配置MIP访问策略步骤与上相同,本例是从Untrust访问MIP地址202.38.12.17。2. NetScreen的管理2.1. 访问方式NetScreen防火墙支持多种的管理方式:WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。常用的有console、
14、WebUI和Telnet。Console是通过直接的串口线连接防火墙,对防火墙进行管理和配置;telnet是通过终端仿真协议登录到防火墙上的可管理地址,对防火墙进行管理和配置;WebUI是通过IE或Netscape Communicator登录到防火墙的可管理地址,对防火墙进行管理和配置。通过串口直接登录到防火墙时,超级终端的端口配置如下:-串行通讯9600bps-8位-无奇偶校验-1停止位-无信息流控制Telnet或console登录后的命令行界面如下:WebUI登录的界面如下:注意:如果要通过telnet或WebUI登录和管理防火墙,所登录的防火墙的接口需要打开telnet或WebUI的功
15、能;如果防火墙的接口配置了管理IP,一般只能对接口的管理IP进行telnet或WebUI,而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。用命令行的方式检查接口是否打开telnet或WebUI功能的方式:ns204- get inter eth2Interface ethernet2: description ethernet2 number 5, if_info 10280, if_index 0, mode route link up, phy-link up/full-duplex vsys Root, zone Untrust, vr trust-vr dhcp c
16、lient disabled PPPoE disabled admin mtu 0, operating mtu 1500, default mtu 1500 *ip 211.136.202.10/30 mac 0014.f642.d475 *manage ip 211.136.202.10, mac 0014.f642.d475 route-deny disable pmtu-v4 disabled ping enabled, telnet enabled, SSH enabled, SNMP disabled web enabled, ident-reset disabled, SSL d
17、isabled DNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0 OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured bandwidth: physical 100000kbps, configured egress gbw 0kbps mbw 0kbps configured ingress mbw 0kbps, current bw 0kbps total a
18、llocated gbw 0kbps DHCP-Relay disabled DHCP-server disabledNumber of SW session: 128052, hw sess err cnt 0用WebUI的方式检查接口是否打开telnet或WebUI功能的方式:选择菜单:Network-interface选择对应接口的Edit菜单:2.2. 用户NetScreen 设备支持多个管理用户级别。这些级别的可用性取决于 NetScreen 设备的模式。NetScreen根管理员具有完全的管理权限。每个 NetScreen 设备只有一个根管理员。缺省情况下根管理员的用户名和密码为n
19、etscreen/netscreen。在进行防火墙配置时,务必先修改防火墙根用户的默认用户名和默认口令。用命令行的方式修改根用户的用户名和口令的命令:GM-Web(M)- set admin user xxx password yyy其中xxx为根用户的用户名,yyy为根用户的密码。用WebUI的方式修改根用户名和密码的方式选择菜单:Configuration-Admin-Adminstrators:选择Edit按钮后可出现以下菜单,可以输入新的根用户和口令:注意:NetScreen防火墙在启用后,强烈建议修改缺省密码。同时在上线后,每次修改NetScreen防火墙的配置,都建议对配置作备份。
20、因为NetScreen防火墙密码丢失后,恢复密码的操作会把防火墙所有的配置丢掉。2.3. 日志防火墙有各种日志,常用的有告警日志和事件日志,这些日志信息对于维护防火墙时是非常有用的。用命令行的方式查看告警日志的命令:SN-NS500-FW1(M)- get alarm eventTotal event entries = 44Date Time Module Level Type Description2004-12-07 15:14:26 system crit 00015 Peer device 8319360 in the Virtual Security Device group 0
21、changed state from backup to primary backup.2004-12-07 15:14:25 system crit 00071 The local device 8318976 in the Virtual Security Device group (0) changed state from primary backup to master, missing master.用命令行的方式查看事件日志的命令:GM-Web(M)- get eventTotal event entries = 41Date Time Module Level Type Des
22、cription2007-01-01 12:27:44 system notif 00767 Alarm log was reviewed by admin netscreen.2007-01-01 12:21:13 system warn 00515 Admin user netscreen has logged on via Telnet from 172.16.1.119:26672007-01-01 12:21:13 system warn 00515 Login attempt to system by admin netscreen via Telnet from 172.16.1
23、.119: 2667 has failed (Incorrect password)2007-01-01 12:21:08 system warn 00518 ADM: Local admin authentication failed for login name netscreen: invalid password通过WebUI方式查看告警日志和事件日志的方法:通过WebUI登录到防火墙上即可:2.4. 性能维护时检查防火墙的性能主要是查看防火墙CPU和Session的使用情况。通过命令行的方式查看防火墙的CPU使用情况:GM-Web(M)- get performance cpuAve
24、rage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%GM-Web(M)- get performance cpu detail Average System Utilization: 1%Last 60 seconds:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2
25、 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2 29: 2 28: 2 27: 2 26: 2 25: 2 24: 2 23: 2 22: 2 21: 2 20: 2 19: 2 18: 2 17: 2 16: 2 15: 2 14: 2 13: 2 12: 2 11: 2 10: 2 9: 2 8: 2 7: 2 6: 2 5: 2 4: 2 3: 2 2: 2 1: 2 0: 2 Last 60 minutes:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2
26、 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2通过命令行方式查看Session的使用情况:GM-Web(M)- get sessionalloc 1/max 64064, alloc failed 0, mcast alloc 0, di alloc failed 0total reserved 0, free sessions in shared pool 64063id 64054/s*,vsys 0,flag
27、 00000040/0080/0021,policy 320002,time 180, dip 0 module 0 if 6(nspflag 800601):172.16.1.119/2667-172.16.1.1/23,6,0015c5130cb2,sess token 4,vlan 0,tun 0,vsd 0,route 5 if 3(nspflag 0010):172.16.1.119/2667ReportSNMPCommunity Edit4.2、Syslog配置可以通过设置来接收防火墙的Syslog,Syslog可以包括Event Log和TrafficLog,Syslog的设置进入菜单:ConfigurationReport SettingsSyslog-