《Juniper防火墙维护手册 .doc》由会员分享,可在线阅读,更多相关《Juniper防火墙维护手册 .doc(73页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Juniper防火墙维护手册(版本号:V1.0)运营部网络管理室目录一、Juniper防火墙介绍51.1、NS5000系列51.1.1、NS540051.1.2、NS520051.2、ISG系列61.2.1、ISG200061.2.2、ISG100061.3、SSG500系列71.3.1 SSG 550M71.3.2 SSG 52071.4、SSG300系列81.4.1 SSG 350M81.4.2 SSG 320M81.5、SSG140系列81.5.1 SSG 14091.6、SSG5/20系列91.6.1 SSG 591.6.2 SSG 209二、防火墙常用配置102.1 Juniper防
2、火墙初始化配置和操纵102.2 查看系统概要信息142.3主菜单常用配置选项导航162.4 Configration配置菜单172.5 Update更新系统镜像和配置文件182.5.1更新ScreenOS系统镜像182.5.2 更新config file配置文件192.6 Admin管理202.7 Networks配置菜单222.7.1 Zone安全区227.2 Interfaces接口配置247.2.1查看接口状态的概要信息247.2.2设置interface接口的基本信息247.2.3设置地址转换262.7.4设置接口Secondary IP地址342.7.5 Routing路由设置342
3、.8 Policy策略设置372.8.1 查看目前策略设置372.9创建策略382.10对象Object设置402.11 策略Policy报告Report41四、防火墙日常应用424.1、Netscreen 冗余协议(NSRP)424.1.1、NSRP部署建议:434.1.2NSRP常用维护命令444.2、策略配置与优化(Policy)454.3、攻击防御(Screen)464.4、特殊应用处理484.4.1、长连接应用处理484.4.2、不规范TCP应用处理494.4.3、VOIP应用处理49五、防火墙日常维护515.1、常规维护525.2、常规维护建议:545.3 应急处理565.3.1检
4、查设备运行状态565.4、 总结改进585.5、 故障处理工具58六、 Juniper防火墙设备恢复处理方法706.1设备重启动706.2操作系统备份706.3操作系统恢复706.4配置文件备份716.5配置文件恢复716.6恢复出厂值726.7硬件故障处理726.8设备返修(RMA)72一、Juniper防火墙介绍1.1、NS5000系列1.1.1、NS5400性能和处理能力 30 Gbps 防火墙 (12G 64byte小包) 18MPPS2 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力 10 Gbps 防火墙
5、(4G 64byte小包)1 百万同时会话数5 Gbps 3DES VPN 25,000 IPSec VPN 通道1.2、ISG系列1.2.1、ISG2000性能和处理能力4 Gbps 状态监测防火墙任何大小的数据包2 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:3 MPPS最大在线会话数:100万,每秒23,000个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小的数据包1 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能:1.5 MPPS最大在线会话数:50万,每秒20,000个新会
6、话1.3、SSG500系列1.3.1 SSG 550M4Gbps 的 FW IMIX / 600K pps1Gbps 的FW IMIX / 500 Mbps IPSec VPN6个 I/O 插槽 4个可插 LAN口模块双电源,DC为选项, NEBS为选项12.8万个会话,1,000条VPN 隧道1.3.2 SSG 5202Gbps 的 FW / 300K pps600 Mbps 的 FW IMIX / 300 Mbps IPSEC VPN6个 I/O插槽 2个可插 LAN口模块单一AC或DC电源6.4万个会话,500条VPN 隧道1.4、SSG300系列1.4.1 SSG 350M1.2 Gb
7、ps 的 FW / 225K pps500 Mbps 的FW IMIX / 225 Mbps IPSec VPN5个 I/O 插槽9.6万个会话,每秒2.6万会话1.4.2 SSG 320M1.2 Gbps 的 FW / 175K pps400 Mbps 的FW IMIX / 175 Mbps IPSec VPN3个 I/O插槽6.4万个会话,每秒2万会话1.5、SSG140系列1.5.1 SSG 140950Mbps 的FW/ 100K pps300 Mbps的Firewall IMIX / 100 Mbps IPSec VPN4个 I/O插槽4.8万个会话,每秒8k会话1.6、SSG5/2
8、0系列 1.6.1 SSG 5SSG 5 是一个固定规格的平台,提供 160 Mbps 的状态防火墙流量和 40 Mbps 的 IPSec VPN 吞吐量。SSG 5 系列配备 7 个内部集成的 10/100 接口,并带有可选的固定广域网端口(ISDN BRI S/T、V.92 或 RS-232 Serial/Aux)。802.11 a/b/g 和多种无线特定的安全性支持是可选项,使 SSG 5 能够将安全性、路由和无线接入点整合到单个设备中。1.6.2 SSG 20SSG 20 是一个模块化平台,提供 160 Mbps 的状态防火墙流量和 40 Mbps 的 IPSec VPN 吞吐量。SS
9、G 20 配备 5 个内部集成的 10/100 接口和 2 个 I/O 扩展插槽,可支持 I/O 卡,如ADSL2+、T1、E1、ISDN BRI S/T 以及 V.92,从而实现额外的广域网连接。802.11 a/b/g和多种无线特定的安全性支持是可选项,使 SSG 20 能够将安全性、路由和无线接入点整合到单个设备中。二、防火墙常用配置2.1 Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵:Console控制台和WEB。Console控制台:使用Console线连接到Juniper的防火墙上的Console口,利用超级终端用CLI命令行界
10、面进行配置。使用WEB界面:Juniper防火墙上默认情况下在E1接口(trust)口有一个初始管理IP地址192.168.1.1 255.255.255.0;我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来,然后把本机的地址配置为192.168.1.X 255.255.255.0,之后我们就可以在本机上通过IE浏览器登陆192.168.1.1的地址通过WEB界面对设备进行配置了。通过IE或与IE兼容的浏览器(推荐应用微软IE浏览器)使用防火墙缺省IP地址登录防火墙(建议:保持登录防火墙的计算机与防火墙对应接口处于相同网段,直接相连)。使用缺省IP登录之后,出现安装向导:注:对于熟悉
11、Juniper防火墙配置的工程师,可以跳过该配置向导,直接点选:No,skip the wizard and go straight to the WebUI management session instead,之后选择Next,直接登录防火墙设备的管理界面。使用向导配置防火墙,请直接选择:Next,弹出下面的界面:“欢迎使用配置向导”,再选择Next。注:进入登录用户名和密码的修改页面,Juniper防火墙的登录用户名和密码是可以更改的,这个用户名和密码的界面修改的是防火墙设备上的根用户,这个用户对于防火墙设备来说具有最高的权限,需要认真考虑和仔细配置,保存好修改后的用户名和密码。注意1:
12、Juniper防火墙接口的WEB管理特性默认只在E1接口(trust)口才启用,也就是说我们有可能无法通过用WEB登陆其他接口进行操纵,除非我们提前已经打开了相应接口的WEB管理选项。注意2:如果Juniper防火墙上有配置,我们不知道目前E1接口的IP地址,我们可以先通过Console控制台用“get interface”的命令看一下目前E1口的IP地址。注意3:Juniper防火墙OS 5.0以上的版本支持MDI和MDIX自适应,也就是说我们的主机和E1口也可以用直通线进行互连,但这种方式有失效的时候,如果出现用交叉线互连物理也无法UP的情况,可以在Console控制台用“ NS208-
13、delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。注:系统默认登陆用户名和口令都是:“netscreen”。2.2 查看系统概要信息使用WEB登陆防火墙的管理地址,进入GUI管理界面,如图所示。左边是主配置菜单。右边最上方是系统启动以及时间信息,右上角显示主机名。Device information:设备信息,显示设备硬软件版本、序列号以及主机名。Interface / VPN Link Status Monitoring:接口链路状态,显示接口所属区和链路UP/DOWN信息。Resources Status:资
14、源状况,显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。(其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题)。System Most Recent Alarms / Events:系统最近的报警和通告信息。2.3主菜单常用配置选项导航在主菜单中我们经常用到的配置菜单如下,后面将针对这些常用配置选项进行详细的介绍。Configuration: Date/Time; Update; Admin; Auth; Infranet Auth; Report Settings; CPU Protection; Network: Binding;
15、DNS; Zones; Interfaces; DHCP; 802.1X; Routing; NSRP; Vlan; Security: Screening; Web Filtering; Deep Inspection; Antivirus; ALG; Policy: Policies; MCast Policies; Policy Elements;VPNs: AutoKey IKE; AutoKey Advanced; Manual Key; L2TP; Monitor Status;Objects: Users; IP Pools; Certificates;GPRS: NSGP(Ov
16、erbilling);Reports: System Log; Counters; Interface Bandwidth; Policies;Wizards: Policy; Route-based VPN; AC-VPN;只要能够熟练掌握以上设置选项,就足以应对外网改造和日常维护的工作。2.4 Configration配置菜单准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错,设置时钟主要有三种方法。用CLI命令行设置:set clock mm/dd/yyyy hh:mm:ss 。用WEB界面使用和客户端本机的时钟同步:简单实用。用WEB界面配置NTP
17、和NTP服务器的时钟同步。2.5 Update更新系统镜像和配置文件2.5.1更新ScreenOS系统镜像用CLI命令行设置:save software from tftp x.x.x.x filename to flash;2.5.2 更新config file配置文件用CLI命令行设置:save config from tftp x.x.x.x filename to flash,配置文件上传后需执行reset命令进行重启。在这个菜单中我们可以查看目前文本形式的配置文件,把目前的配置文件导出进行备份,以及替换和更新目前的配置。注意单选框默认是点选在“Merge to Current Con
18、figration”即和目前配置融合的位置,而我们一般是要完全替换目前的配置文件的,因此一定要注意把单选框点击到“Replace Current Configration”。当进行配置替换的之后系统会自动重起使新配置生效。TIP:进行配置的替换必须用ROOT用户进行登陆,用ReadWrite用户进行登陆是无法进行配置的替换操纵的,只有融合配置的选项,替换目前配置的选项将会隐藏不可见,如下图所示:2.6 Admin管理Administrators管理员账户管理只有用根ROOT用户才能够创建管理员账户。可以进行ROOT用户账户用户名和密码的更改,但此账户不能被删除。可以创建只读账户和读写账户,其中
19、读写账户可以对设备的大部分配置进行更改。用CLI命令行设置:set admin user Smith password 3MAb99j2 privilege allset admin user read password 4DFB993J2 privilege read-onlysavePermitted IPs:允许哪些主机可以对防火墙进行管理用CLI命令行设置:set admin manager-ip 172.16.40.42/32save2.7 Networks配置菜单2.7.1 Zone安全区查看目前的安全区设置安全区内必须有物理接口才会有实际意义,每一个安全区同时可以包含多个物理接口
20、,但每一个物理接口同时只能属于一个安全区。几个系统默认的安全区和接口:1:Trust区包含ETH1口2:Untrust区包含ETH4口3:DMZ区包含ETH3口其他区必须进行手工创建并把相应物理接口放入安全区内。虚拟路由我们统一选Trust-Vr,多个VR对我们没有太大意义,不建议使用。创建新的安全区: 在输入安全区名称后其余选项均保持默认值即可。用CLI命令行设置: set vrouter trust-vr zone XXXX7.2 Interfaces接口配置7.2.1查看接口状态的概要信息接口概要显示接口的IP地址信息,所属安全区,接口类型和链路的状态。其中接口类型除非是防火墙使用透明模
21、式,否则都会是Layer3三层的。CLI : get interface7.2.2设置interface接口的基本信息接口基本配置包括接口的IP地址掩码,是否可以被管理,接口的模式以及接口的管理特性选项。最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区,从下拉框中点选,其他选项保持不变即可。Staitc IP选择框是设置接口的IP地址和掩码信息的,其中有一个Mangeable的选项,只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。接
22、口模式有路由模式和NAT模式:NAT模式:从此接口进入从其他口流出的流量源地址都会做转换,即使我们在策略中不引用转换地址池,源地址都会转换为出站的接口地址。路由模式:除非我们在策略定义中明确引用了转换地址池,否则源地址都不会做转换。由于路由模式比NAT模式更灵活,所以我们一般都会用路由模式。ETH1口默认是NAT模式,一定要注意把其更改为Route路由模式。Service options服务选项:设置此接口是否允许被PING,WEB或TELNET等方式进行管理,默认情况下ETH1(内网口)的都是打开的,而ETH4口(外网口)的WEB和TELNET管理选项是关闭的,也就是说如果我们想从外网登陆E
23、TH4口的IP进行管理,必须把相应的WEB或TELNET选项点中。最后的配置框可以保持默认值。CLI:set interface redundent1 zone trustset interface redundent1 ip X.X.X.X/Xset interface redundent1 manage telnetset interface redundent1 manage webset interface redundent1 manage pingset interface redundent1 mode nat (trust zone 的接口都是nat mode)7.2.3设置地
24、址转换Juniper防火墙的地址转换有三种方式:MIP-静态一对一地址转换;VIP-虚拟一对多地址转换;DIP-动态多对多地址转换。由于MIP和VIP地址转换有一些规则限制,比如要转换外网发起流量的源地址的时候,转换后的地址必须和ETH1内网口在同一个子网,否则无法配置。而DIP不受此规则的影响,同时可以完成MIP和VIP的功能,应用和设置比较灵活。7.2.3.1配置MIP静态地址转换配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置:例如流量从E1口入从E4口出,192.168.1.1访问外网,我们把192168.1.1的地址转换为1.1.1.1,那么这个1.1
25、.1.1的地址的MIP是做在出站接口,也就是E4口上的。新建MIP静态地址映射当使用静态MIP地址映射时,对方发起的数据流的目的地地址要注意设置为MIP后的地址。CLI:set interface ethernet1 mip X.X.X.X host Y.Y.Y.Y netmask 255.255.255.255 vrouter trust-vrset policy from untrust to trust any mip(X.X.X.X) http permit7.2.3.2设置DIP动态地址转换DIP动态地址转换可以实现一对一,一对多,多对一和多对多的访问。DIP地址池和MIP一样要设置
26、在出站接口上来实现源地址的翻译。DIP地址池可以和出站接口不再一个网段(使用扩展IP技术)。如果访问是多对一的(多个客户端访问一个服务器),必须使用Port-Xlate端口转换特性(默认设置,建议都使用这种方式)。如果DIP被策略引用则无法编辑和更改,必须先移除策略后才可以编辑。创建新的DIP地址池:如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性,把选择框选择到下方“In the same as the extended ip”,并输入一个扩展IP的地址。例如出站接口是9X.2.244.1/28,而源地址出站时我们想转换成192.168.1.X的地址,那么在扩展IP框中我们可以输入
27、192.168.1.0/24。扩展IP地址可以使用一个地址也可以用一个网段,推荐使用网段的方式。同一DIP地址网段可以同时分布在多个接口上,比如9X.2.18.0虚拟地址簿可以同时设置在E1、E2和E3口上。但同一个DIP地址只能同时设置在一个接口上,比如9X.2.18.1地址只能设置在E1或E2或E3口上,不能同时在多个接口上都设置9X.2.18.1。CLI:1、NAT-DIP 带PAT功能配置接口参数set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1
28、natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24定义DIPset interface ethernet3 dip 5 1.1.1.30 1.1.1.30定义策略set policy from trust to untrust any any http nat src dip-id 5 permitsave2、NAT-DIP 不带PAT功能接口set interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set
29、interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24DIPset interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port策略set policy from trust to untrust any any e-stock nat src dip-id 6 permitsave3、带有地址变换的 NAT-Src接口set interface ethernet1 zone trustset interface
30、 ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24DIPset interface ethernet3 dip 10 shift-from 10.1.1.11 to 1.1.1.101 1.1.1.105地址set address trust host1 10.1.1.11/32set address trust host2 10.1.1.12/32set address trust host3
31、10.1.1.13/32set address trust host4 10.1.1.14/32set address trust host5 10.1.1.15/32set group address trust group1 add host1set group address trust group1 add host2set group address trust group1 add host3set group address trust group1 add host4set group address trust group1 add host5策略set policy fro
32、m trust to untrust group1 any http nat src dip-id 10 permitsave2.7.4设置接口Secondary IP地址2.7.5 Routing路由设置Juniper防火墙我们一般仅使用静态路由,静态路由的选路规则和路由器基本相同,例如最长掩码匹配优先,接口如果DOWN,相应静态条目会消失。查看防火墙路由表设置路由我们统一都设在trust-vr中(默认选项)。只有带“*”号的才表示路由有效,等同于路由器show ip route的效果。添加的路由条目只能删除,无法编辑。CLI: get route (vrouter trust-vr/ un
33、trust-vr)创建新的路由条目目标地址段可以写IP/掩码也可以写IP/前缀;如100.1.1.0 255.255.255.0或者100.1.1.0/24。下一跳默认都是点在Next Hop Virtual Router Name;一定要注意改点到Gateway处,否则路由不生效。接口和下一跳网关地址都要选择和输入。CLI:set route 100.1.1.0 255.255.255.0 next x.x.x.x2.8 Policy策略设置2.8.1 查看目前策略设置可以选择查看从某个源安全区到某个目的安全区的策略,也可以选择从ALL到ALL来查看所有的策略。Service是系统预定义或我
34、们自定义的服务端口号。Action动作是指策略是允许或拒绝,允许是一个对勾,拒绝是一个X,另外如果是绿色图表说明没有做源地址转换,蓝色图表说明做了源地址转换。在Option下如果有一个小记事本的图表,说明我们要记录此数据流,当数据流通过时可以看到详细的地址转换情况。生效:可以通过取消对勾让本策略暂时失效。移动:可以调整策略查找的顺序,策略的查找和匹配默认是从上到下,我们可以通过移动来控制策略生效的顺序。CLI : get policy (from zone to zone )2.9创建策略源地址和目的地址如果以前曾经设置过,可以用下拉菜单进行选择,否则需要在New Address新地址栏进行输
35、入。如果地址曾经输入过,做策略时我们仍在New Address栏中进行输入,点击确定的时候系统会出现重复IP地址条目的提示信息,但不影响策略的设置。入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置,保持原有默认配置不变。在进行调试时建议打开LOG记录,看是否有数据流通过及地址转换情况。如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。源地址转换点击DIP下拉菜单后前面的选择框会自动选中。目的地址转换必须手工点击选中前面的目标地址转换的选择框。CLI: set policy from trust to dmz corp_net mail_svr MAIL-POP3 pe
36、rmitset policy from dmz to untrust mail_svr r-mail_svr MAIL permitset policy from untrust to dmz r-mail_svr mail_svr MAIL permit2.10对象Object设置对象Object的设置主要是为了简化和方便策略的引用和设置,比如地址组和服务组等,下面我们重点介绍一下服务的设置。服务其实就是给对方提供的一些协议端口号,其中大部分的常见服务设备已经提前设置好,比如web,telnet等等,但是一些非常用的端口号,比如TCP 8888等就需要我们自己进行自定义设置了。查看自定义的服
37、务:Policy Policy Elements Services Custom技巧:我们可以给服务一个名称,可用中文描述一个中间业务的名称,然后在策略里进行引用,这样在进行排错的时候我们就可以很方便地找到相应的策略,虽然我们也可以给策略一个名称,但在策略汇总表中是不显示出来的。CLI: get service创建一个新的服务目标协议和端口号我们可以设置多个组合,例如TCP 8888UDPICMP等我们一般仅设置目标端口号,源端口号不做限制,例如我们要提供一个WWW的服务,类似设置就是:TCP 0 65535 80 80 如果设置允许ICMP的PING,可以设置为:ICMP 802.11 策略
38、Policy报告Report如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以及源和目的转换的情况我们可以在策略中点击记事本直接进行观看。另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息,比如在一个时刻都有哪些业务在运行,每种业务的数据量等等。点击ReportsPolices:如上图所示,我们可以直观地看到某个时刻都有哪些业务流在进行,灰色的记事本代表没有业务,蓝色的代表有业务数据流,点击蓝色记事本可以查看业务数据流的详细信息。四、防火墙日常应用4.1、Netscreen 冗余协议(NSRP)NSRP协议提供了灵活的设备和路径冗余保护功能,在设备和链路发生
39、故障的情况下进行快速切换,切换时现有会话连接不会受到影响。设计NSRP架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。4.1.1、NSRP部署建议:基于端口和设备的冗余环境中,无需启用端口和设备级的抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。当配置两组或两组以上的防火墙到同一组交换机上时,每组nsrp集群应设置不同的cluster ID号,避免因相同的cluster ID号引发接口MAC地址冲突现象。防火墙nsrp集群建议采用接口监控方式,仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能
40、够更快更准确的反映网络状态变化。在单台防火墙设备提供的session和带宽完全可以满足网络需求时,建议采用基于路由的Active-Passive主备模式,该模式组网结构清晰,便于维护和管理。设备运行时应保证HA线缆连接可靠,为确保HA心跳连接不会出现中断,建议配置HA备份链路“secondarypath”。NSRP许多配置参数是经过检验的推荐配置,通常情况下建议采用这些缺省参数。4.1.2NSRP常用维护命令get license-key 查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置
41、和会话同步。exec nsrp sync global-config check-sum 检查双机配置命令是否同步exec nsrp sync global-config save 如双机配置信息没有自动同步,请手动执行此同步命令,需要重启系统。get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。Exec nsrp sync rto all from peer 手动执行RTO信息同步,使双机保持会话信息一致exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。exec
42、 nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。set failover on/set failover auto启用并容许冗余接口自动切换exec failover force 手动执行将主用端口切换为备用端口。exec failover revert 手动执行将备用端口切换为主用端口。get alarm event 检查设备告警信息,其中将包含NSRP状态切换信息4.2、策略配置与优化(Policy)防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。考
43、虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。策略配置与维护需要注意地方有:试运行阶段最后一条策略定义为所有访问允许并作log,以便在不影响业务的情况下找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后一条定义为所有访问禁止并作log,以便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最后一条“禁止所有访问”策略删除。防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面。策略配置中的Log(
44、记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。另外,对于策略配置中的Count(流量统计)选项,如非必要建议在业务时段不使用。简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表简洁和简短,规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。策略用于区段间单方向网络访问控制。如果源区段和目的区段不同,则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断,则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略,则安全设备会检
45、查全局策略表以查找匹配策略。MIP/VIP地址属于全局区段地址,配置策略时建议通过全局区段来配置MIP/VIP地址相关策略,MIP/VIP地址虽然可为其余区段调用,但由于其余区段的“any”地址并不包括全局区段地址,在定义策略时应加以注意,避免配置不生效的策略。策略变更控制。组织好策略规则后,应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。4.3、攻击防御(Screen)Netscreen防火墙利用Screening功能抵御互联网上流行的
46、DoS/DDoS的攻击,一些流行的攻击手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墙在抵御这些攻击时,通过专用ASIC芯片来进行处理,适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它选项,在开启这些防护功能前有几个因素需要考虑:抵御攻击的功能会占用防火墙部分CPU资源;自行开发的一些应用程序中,可能存在部分不规范的数据包格式;网络环境中可能存在非常规性设计。如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,则会影响正常网络处理的性能;如果自行开发的程序不规范,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的网络设计也会出现合法流量被屏蔽问题。要想有效发挥Netscreen Screening攻击防御功能,需要对网络中流量和协议类型有比较充分的认识,同时要理解每一个防御选项的具体含义,避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式,一次仅启用一个防攻击选项,然后观察设备资源