1、Juniper 防火墙用户手册Juniper Networks, Inc.Jan. 2008保密和变更申明这份文档包含了来自 Juniper Networks 的可靠、权威的信息,这些信息是作为公司的技术信息专用,文档的阅读者应对其内容保密,未经 Juniper Networks, Inc. 书面请求和书面认可,不得复制、泄露或散布这份文档。对这份文档内容的任何形式的泄露、复制或散布都是被禁止的。2目 录第 1 章 Juniper 防火墙基本工作原理 .31.1. 基于状态检测的 ASIC 硬件防火墙 .31.2. Juniper 防火墙组件结构 .3第 2 章 管理 52.1. Web 用户
2、界面 .52.2. 命令行界面 62.3. 串行控制台 72.4. 如何实现对防火墙的远程管理 8第 3 章 路由 9第 4 章 访问控制策略 104.1. 策略的三种类型 104.2. 策略和规则 104.3. 策略查看和建立 11第 5 章 NSRP(Netscreen 冗余协议) .135.1. NSRP 工作原理 .135.2. CCB 一 级分行防火墙部署 结构 .145.3. NSRP 日常维护命令 .155.4. Juniper 防火墙 NSRP 双机软件升级步骤 .155.5. 如何快速配置 NSRP 集群备用设备 16第 6 章 防火墙日常监控与维护 176.1. Junip
3、er 防火墙日常监控内容 .176.2. 防火墙健康检查信息表 186.3. 常规维护建议 196.4. 设备运行档案表 206.5. 防火墙应急处理 216.6. 故障处理工具 226.7. 策略配置与优化(Policy) 236.8. 特殊应用处理 24第 7 章 附录 NetScreen 防火墙安装指南 .257.1. 如何进入图形化界面 257.2. NetScreen 防火墙图形化界面配置 267.3. 简单故障分析及系统维护 327.4. 如何清掉已有的系统设置,恢复出厂默 认设置 .333Juniper 防火 墙用户手册第 1 章 Juniper 防火 墙基本工作原理1.1. 基
4、于状态检测的 ASIC 硬件防火墙防火墙通过在网络边界上建立起来的相应网络安全系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,阻挡外部非法人侵,以保护网络的信息安全。 针对用户请求的新建应用连接,防火墙状态检测机制检查预先设置的访问控制策略,仅 允许通过访问控制策略检查的应用连接报文才能够通过防火墙,同时防火 墙在内存中记录下该连接的相关信息,生成应用流(flow )的会话表(session),将进出网络的数据当成一个个的应用流来处理。对该连接的后续(双向)数据包,只要匹配会话表,报文就可以通过防火墙。状态检测防火墙好处在于:由于不需要对每个数据包进
5、行规则检查,而是一个连接(应用流)的后续数据包通过ASIC硬件芯片执行高速散列算法,直接进 行状态检查且包的转发由ASIC芯片直接进行处理,使防火墙性能得到大幅提高;同时由于会话表是动态的,故可以有选择地、动态地开放整个应用流需要的后续动态端口,使防火墙能够增强对复杂协议的安全检查。1.2. Juniper 防火墙组件结构Juniper Networks ScreenOS 体系结构为网络安全规划和设计提供了很强的灵活性。在具有两个以上接口的 防火墙上,可以创建多个安全区并配置策略以调节安全区内部及安全区之间的信息流。可以为每个安全区绑定一个或多个接口,并在每个安全区上启用一组唯一的管理。利用S
6、creenOS 可以创建网 络环境所需的安全区数,分配每个区所需的接口数,并且可以根据自己的特殊要求来设计每个接口。Zone(安全区)是由一个或多个网段组成的集合,需要通过策略来对入站和出站信息流进行调整。安全区是绑定了一个或多个接口的逻辑实体。可以定义多个安全区,确切数目可根据网络需要来确定。除用户定4义的安全区外,通常使用预定义的安全区:Trust、Untrust和DMZ 。 Interface(接口):安全区的接口可以视为一个入口,TCP/IP 信息流可通过它在该安全区和其它任何安全区之间进行传递。通过定义的策略,可以使两个安全区的信息流向一个或两个方向流动。利用定义的路由,可指定信息流
7、从一个安全区到另一个安全区必须使用的接口。由于可将多个接口绑定到一个安全区上,因此制定的路由对于将信息流引向所选择的接口十分重要。VR(虚 拟路由器):VR的功能与路由器相同。它拥有自己的安全区及自己的单播和组播路由表。在 ScreenOS 中,安全 设备支持两个预定义的虚拟路由器,这将允许安全设备维护两个单独的单播和组播路由表,同时隐藏虚拟路由器彼此之间的路由信息。Policy(策略):Juniper 防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区到另一安全区的通路的所有连接尝试,然后予以允许或拒绝。在缺省情况下,安全设备拒绝所有方向的所有信息流。通过创建策略,定义允许在预定时间
8、通过指定源地点到达指定目的地点的信息流的种类,可以控制安全区间的信息流。范围最大时,可以允许所有类型的信息流从一个安全区中的任何源地点到其它所有安全区中的任何目的地点,而且没有任何预定时间限制。范围最小时,可以创建一个策略,只允许一种信息流在预定的时间段内、在一个安全区中的指定主机与另一安全区中的指定主机之间流动。5第 2 章 管理Juniper 防火墙提供不同方法来管理设备,既可本地管理,也可远程管理。根据CCB各分行安全项目的要求,所有NetScreen设备通过专用的管理接口与管理网相连,所有数据端口管理功能全部关闭,也就是所有管理工作只能通过管理网完成。具体管理请参考管理文档。NetSc
9、reen所有平台均支持本地管理和远程管理,通过NSM系统软件可以实现全局的集中统一管理。本机管理方式可以通过以下管理方案实现 基于Web方式的GUI管理方式 基于Web方式的SSL安全远程管理方式(需数字证书) 基于Telnet的远程管理方式 基于SSH的安全远程管理方式(需支持SSH1.x的客户端软件) 基于Console的本地管理方式 基于专用NSM系统的管理日志管理接口包括以下方式: Syslog SNMP Webtrends(第三方解决方案) NetScreen Global Pro2.1. Web 用户界面为了便于管理,您可使用Web 用户界面(WebUI)。NetScreen 设备
10、使用Web 技术, 该技术提供了配置和管理软件的Web 服务器界面。6要使用WebUI,必 须具 备以下条件:Netscape Communicator (版本4.7 或更高版本)或Microsoft Internet Explorer(版本 5.5 或更高版本);TCP/IP 网络连 接到NetScreen 设备2.2. 命令行界面高级管理员可通过使用命令行界面(CLI) 进行更好的控制。要为NetScreen 设备配置CLI,可使用任何仿真VT100 终端的软件。如果使用终端机仿真器,可使用Windows、UNIX 或Macintosh 操作系统中的控制台配置NetScreen 设备。要通
11、过CLI 进行 远程管理,可使用 Telnet 或“安全命令外壳 ”(SCS)。要通过控制台端口进 行直接连接,可使用“Hyperterminal”。2.2.1 TelnetTelnet 是一个登 录及 终端仿真协议,该协议使用客户端/ 服务器关系连接到TCP/IP 网络上的网络设备并进行远程配置。管理员在管理工作站上运行Telnet 客户端程序并与NetScreen 设备上Telnet 服务器程序创建连接。登 录后,管理员可发出CLI 命令,将其发送到NetScreen 设备上的Telnet 程序, 对设备进行有效的配置,好像通过直接连接运行一样。使用Telnet 管理NetScreen 设
12、备需要以下条件: 管理工作站上有Telnet 软件7 “以太网 ”连接到NetScreen 设备2.2.2 安全命令外壳NetScreen 设备中内置的 “安全命令外壳” (SCS) 服务器提供一种方法,凭借这 种方法,管理员可通过使用“安全外壳 ”(SSH) 以一种安全的方式远程管理该设备。SSH 允许安全地打开远程的命令外壳并执行这些命令。NetScreen设备上运行的SCS 任务是执行SSH 1.x 服务器组件,它允许SSH 1.x 兼容的客户端控制台/ 终端应用程序连接到NetScreen 设备。管理员可通过两种认证方法之一使用SSH 连 接到NetScreen 设备。 密码认证:需要
13、进行配置或监控NetScreen 设备的管理员通常使用此方法。SSH 客户端启用SSH 连接到NetScreen 设备。如果在接收连接请求的接口上启用SCS 可管理性, 则NetScreen 设备用信号通知SSH 客 户端,以提示用户输入用户名和密码。SSH 客户端收到此信息后,会将之发送到NetScreen 设备,它将其与admin 用户帐户的用户名和密码进行比较。如果它们匹配,NetScreen 设备就认证此用户。如果它 们不匹配,NetScreen 设备就拒 绝连接请求。 公开密钥认证(PKA):此方法增强了密码认证的安全性并允许自动运行脚本。通常, SSH 客户端不发送用户名和密码,而
14、是发送用户名和RSA 公开/ 私有密钥对的公开密钥组件。NetScreen 设备将其与四个公开密钥(可绑定到admin)进行比 较。如果其中一个密钥匹配,NetScreen 设备就认证此用户。如果其中没有一个匹配, NetScreen 设备就拒绝连接请求。2.3. 串行控制台可通过直接的串行连接(通过控制台端口从管理员工作站连接到NetScreen 设备 )管理NetScreen 设备。不可能始终实现直接连接,但是如果NetScreen 设备周围是安全的,那么这种连接就是管理设备最安全的方法。根据NetScreen 设备模式创建串行连接需要以下 电缆之一: 阴性DB-9 到阳性DB-25 直通
15、串行电缆8 阴性DB-9 到阳性DB-9 直通串行电缆 阴性DB-9 到阳性MiniDIN-8 串行电缆与附带RJ-45 到RJ-45 直通以太网电缆的RJ-45 适配器相连的阴性DB-9 电缆还 需要在管理工作站上安装“ 超级终端” 软件(或另一种VT100 终端机仿真器),“ 超级终端”端口设置配置如下: 串行通信9600 bps 8 位 无奇偶校验 1 停止位 无流量控制2.4. 如何实现对防火墙的远程管理管理员如果需要实现对防火墙的远程管理,防火墙的配置需要满足以下四个条件:1、 客户端 IP 地址在防火墙定义的 system manager-ip 地址范围内,缺省情况下,防火墙没有配
16、置 system manager-ip 地址段,可以允许任何客户端地址对防火墙进行管理。2、 防火墙接口 IP 地址容许客户端进行远程访问,MGT 口配置的 IP 地址,业务接口配置的 manage-ip 可以直接被客户端进行访问,业务接口的 IP 地址需要定位为 manageable才容许客户端进行访问。3、 业务接口 IP 地址需要明确开启远程管理访问的服务,命令如:set interface eth2/1 ip manage telnet,MGT 口配置的 IP地址,业务接口配置的 manage-ip 地址缺省情况下已经开放所有防火墙可提供的远程访问服务,不需要额外再打开这些服务。4、
17、只有提供正确的管理员账户和口令,管理员才能对防火墙进行远程管理。9第 3 章 路由Juniper 防火 墙将其路由 组件划分为两个或更多 VR(虚拟路由器),其中每个 VR 以路由表、路由条目以及相关安全区的形式保持其自己的已知网络列表。一个单独的 VR 可以支持静态路由、动态路由和组播路由。Juniper 防火墙有两个预定义的 VR,trust-vr,在缺省情况下包含所有预定义安全区和所有用户定义区;untrust-vr ,在缺省情况下不含任何安全区。不能删除 trust-vr 或 untrust-vr VR。可以存在多个 VR,但是 trust-vr 是缺省 VR。可以使用 get vro
18、uter CLI 命令来查看 VR 表。在 VR 表中,星号 (*)指示 trust-vr 为命令行界面(CLI)中的缺省 VR。要在其它的 VR 内安全区和接口,必须按名称指定 VR,例如 untrust-vr 。在 CCB 各分行防火墙部署时,从安全性角度考虑,我们建议将所有业务接口所在的安全区(zone)均放置在 Untrust-vr 中,仅保留 MGT 接口所在的 MGT zone 位于缺省的 Trust-vr 中,当管理员从防火墙上向外访问时(源地址为防火墙地址),由于防火墙查找目的地址的路由的顺序是从缺省 VR 开始查找路由,如果在缺省 VR 中查不到匹配的路由,才会从其它 VR
19、中进一步查找路由。因此, 针对 CCB 各分行防火墙部署环境,建议不通 过 MGT 口来管理防火墙,而通 过在业务接口启用 manage-ip 地址来区别并管理两台防火墙。如果需要通 过启用 MGT 口管理防火墙, 请不要 设置 MGT 口的缺省网关,可以通 过配置去往 MGT 口的明细路由,如:set vr trust-vr x.x.x.x/y interface mgt gateway A.B.C.D,这样就可避免 ping 外面的地址无法 ping 通的现象。在防火墙上为业务流量添加静态路由时,需要明确指定 VR(虚拟路由器)为 Untrust-vr,具体命令如:set vr Untru
20、st-vr x.x.x.x/y interface eth2/1 gateway A.B.C.D,如果不明确指定 VR,那么添加的静态路由就会放在缺省的 Trust-vr 中。可以通过 get route 命令来查看每个 VR 中的路由条目。第 4 章 访问控制策略NetScreen 设备的缺省行为是拒绝安全区内部的所有信息流 ( 安全10区内部信息流) 1 (Untrust 安全区内的信息流除外),并允许绑定到同一安全区的接口间的所有信息流( 安全区内部信息流 )。为了允许选定的安全区内部信息流通过 NetScreen 设备,必须创建覆盖缺省行为的安全区内部策略。同样, 为了防止选定的安全区
21、内部信息流通过 NetScreen 设备,必须创建安全区内部策略。4.1. 策略的三种类型可通过以下三种策略控制信息流的流动: 通过创建安全区间策略,可以管理允许从一个安全区到另一个安全区的信息流的种类。 通过创建安全区内部策略,也可以控制允许通过绑定到同一安全区的接口间的信息流的类型。 通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区。防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导通过执行策略组列表( 安全区内部策略、内部安全区策略和全局策略) 产生的信息流。策略能允许、拒绝、加密和解密、 认证、排定 优先次序、调度、 过滤以及监控尝
22、试从一个安全区流到另一个安全区的信息流。可以决定哪些用户和数据能进出,以及它们进出的时间和地点。4.2. 策略和规则单个用户定义的策略内部生成一个或多个逻辑规则,而每个逻辑规则都由一组组件(源地址、目的地址和服务) 组成。组件占用内存资源。引用组件的逻辑规则不占用内存资源。根据源地址组、目的地址组和策略中服务组件的多个条目或组的使用,逻辑规则 的数量可比创建单个策略时明显可见的大得多。例如,以下策略产生 125 个逻辑规则:1 个策略: 5 个源地址 x 5 个目的地址 x 5 个服务= 125 个逻辑规则11但是,NetScreen 设备不为每个逻辑规则复制组件。规则以不同的组合使用同一组组
23、件。例如,产生 125 个逻辑规则的上述策略只生成 15 个组件:5 个源地址+ 5 个目的地址+ 5 个服务= 15 个组件这 15 个组件以不同方式组合,生成由单个策略产生的 125 个逻辑规则。允许 多个逻辑规则以不同组合使用同一组组件,与每个逻辑规则与其组件具有一对一关系相比, NetScreen 设备占用的资源少得多。由于新策略的安装时间与 NetScreen 设备添加、删除或修改的组件数量成比例,因此组件较少策略的安装更快。同样,与每个规则都需要专用组件相比,通过允许大量的逻辑规则共享一小组组件,NetScreen 使用户能创建更多的策略, NetScreen 设备能 创建更多的规
24、则。注意: 对于支持虚拟系统的 NetScreen 设备,根系统中的策略组不影响虚拟系统中的策略组。4.3. 策略查看和建立要通过 WebUI 查看策略,请单击 Policies。通过从 From 和 To 下拉列表中选择安全区名称,然后单击 Go,可以按源安全区和目的安全区分类显示策略。在 CLI 中,使用 get policy all | from zone to zone | global | id number 命令。策略图标查看策略列表时, WebUI 使用图标提供策略组件的图形化汇总。下表解释了策略页中使用的不同图标。12创建策略要允许信息流在两个安全区内部流动,应在这些安全区内部
25、创建允许、拒绝或 设置信息流的策略。如果NetScreen 设备唯一能够设置( 在策略中引用的) 源和目的地址间安全区内部信息流的路由的网络设备,则也可创建策略,控制同一安全区内的信息流。也可创建全局策略,使用Global 安全区通讯簿中的源和目的地址。要允许两个安全区内部(例如, Trust 和Untrust 安全区) 的双向信息流,需要创 建从Trust 到 Untrust 的策略,然后创建从Untrust 到Trust 的第二个策略。根据需要,两个策略可以使用相同或不同的IP 地址,只是源地址和目的地址需反向。第 5 章 NSRP(Netscreen 冗余协议)5.1. NSRP 工作原
26、理NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连13设备出现故障的情况下,提供网络访问路径无缝切换。NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。NSRP主要功能有:1、在高可用群组成员之间同步配置信息;2、提供活动会话同步功能,以保证发生路径切换情况下不会中断网络连接;3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检测和状态切换。N
27、SRP 集群两种工作模式:一、Active/Passive模式:通过对一个冗余集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。主用设备负责处理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理。二、Active/Active模式:在NSRP中创建两个虚 拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI 接口与网络进行通信。设备A充当V
28、SD 组1的主设备和VSD 组2的备份设备。设备B充当VSD组2的主设备和VSD组1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点。如下图所示,通 过调整防火墙上下行路由/交换设备到网络的路由指向,HostA通过左侧路径访问ServerA,HostB通过右侧路径访问ServerB,网络中任一设备或链路出现故障时,NSRP集群均能够做出正确的路径切换。NSRP集群技 术优势主要体现于:1、消除防火墙及前后端设备单点故障,提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。2、根据客户
29、网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。NSRP双机集群能 够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组 网方式。为用户提供灵活的组网选择。 3、NSRP双机结构便于网络维护管理,通 过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。144、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安
30、全防护,减少企业防火墙部署数量和维护成本。5.2. CCB 一级分行防火 墙部署结构CCB一级分行防火墙部署采用Layer3 口型A/P 组网模式, 该组网模式是当前很多企业广泛采用的HA 模式, 该结构具有对网络环境要求不高,无需网络结构做较大调整,具有较好冗余性、便于管理维护等优点。Layer3 口型组网A/P 模式具有 较强冗余性、低端口成本和网 络结构简单、便于维护管理等角度考虑,成为很多企业选用该组网模式的标准。配置说明:两台 Netscreen 设备采用相同硬件型号和软件版本,组成Active/Passive 冗余模式,两台防火墙均使用一致的 Ethernet 接口编号连接到网络。
31、通过将 2 个 Ethernet 接口放入 HA 安全区,其中控制链路用于 NSRP 心跳信息、配置信息和 Session 会话同步,数据链路用于在两防火墙间必要时传输数据流量5.3. NSRP 日常维护命令1、exec nsrp sync global-config check-sum 在备机上检查双机配置是否同步,通过 console 口执行这条命令时,防火墙会直接提示当前双机配置是否同步,如通过 telnet 执行该命令时,15需要通过 get db stream 来查看是否同步提示信息。3、exec nsrp sync global-config save 如双机配置信息没有自动同步,
32、请在备机上手动执行此同步命令,需重启系统,重启系统前如果提示是否要保存配置,选 NO。4、get nsrp 查看 NSRP 集群中设备状态、主备关系、会话同步以及参数开关信息。5、Exec nsrp sync rto all from peer手动执行 RTO 信息同步,使双机保持会话信息一致6、exec nsrp vsd-group 0 mode backup手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备应没有启用抢占模式。7、exec nsrp vsd-group 0 mode ineligible手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用
33、抢占模式。8、get alarm event检查设备告警信息,其中将包含 NSRP 状态切换信息5.4. Juniper 防火墙 NSRP 双机软件升级步骤1使用 Tftp 备份两台防火墙现有配置文件和 OS 系统文件。2升级步骤为先升级备用设备后升级主用设备,如果是 Active/Active模式请切换为 Active/Passive 模式后再升级备用设备。用笔记本电脑连接 NS-B 的 Console 口和 MGT 口,通过 Web 界面上对 NS-B 进行升级,并在 Console 口上观察升级过程。3NS-B 升级后将自动重启,通 过 Console 口观察重启过程。启动后在conso
34、le 上输入 get system 命令,验证升级后的版本号。输入 get license,验证 license 信息是否符合升级要求。输入 get nsrp,验证此设备处于备机状态。4Session 信息应该自 动从主机上同步到备机。为进一步确保 Session 信息同步,在 NS-B 上执行 exec nsrp syn rto all from peer,手工同步Session 信息。5主备双机进行状态切换。用笔记本接 NS-A 的 Console 口,输入 exec nsrp vsd-group 0 mode backup 命令,将状 态切换。使用 get nsrp 命令,验证设备状态已
35、切换完成,此时 NS-A 为备机,NS-B 为主机。166在 Web 界面上对 NS-A 进行升级,在 Console 口上观察升级过程。7NS-A 升级后会自动重起,在 Console 口上观察重起过程。启动后在console 上输入 get system 命令,验证升级后的版本号。输入 get license,验证 license 信息是否满足升级需求。输入 get nsrp 验证此台设备为备机状态。8恢复原先的主备状态:在 NS-B 上执行 exec nsrp vsd-group 0 mode backup 命令,将状态切换。验证设备状态已切换完成,此时 NS-A 为主机,NS-B 为备
36、机。9在设备 NS-A 上执行 exec nsrp syn vsd-group 0 global-config checksum,验证两台设备的配置同步。如双机配置文件没有同步,请执行 exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。10观察两台防火墙的日志,验证是否存在异常告警信息。5.5. 如何快速配置 NSRP 集群备用设备Netscreen 提供快速配置 NSRP 集群中备用设备的方法,适用于创建NSRP 集群双机配置和备用设备出现故障时用备件进行替换。1、清空备机配置命令Unset all“Erase all system
37、config, are you sure y / n?“ YReset“Configuration modified, save? y / n“ N“System reset, are you sure? y / n“ Y2、系统重新启动后配置命令Set hostname xxxxxxSet interface mgt ip x.x.x.x/xSet nsrp cluster id 1Exec nsrp sync fileExec nsrp sync global-config run /*适应于5.1以上版本,5.0中使用Exec nsrp sync global-config save命令
38、,需要重启设备*/Set nsrp rto-mirror syncSave all3、检查设备状态Nsrp:get nsrp17接口:Get interface路由:get route会话:get session第 6 章 防火墙日常监控与维护防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24 小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断及恢复成为维护人员的工作重点。NetScreen 防火墙提供了丰富的冗余保护机制和故障 诊断、排 查方法,通过日常管理监控可确保防火墙运行在可靠状态,在故障情况下通
39、过有效故障排除路径能够在最短时间内恢复网络运行。本文对 Netscreen 防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。6.1. Juniper 防火墙日常监控内容围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Juniper防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。在防火墙的日常维护中,通过对防火墙进行健康检查,能够实时了解Netscreen 防火墙运行状况,检测相关告警信息,提前发现并消除网络异常和潜在故障隐患,以确保设备始终
40、处于正常工作状态。日常维护过程中,需要重点检查以下几个关键信息:Session:如已使用的 Session 数达到或接近系统最大值,将导致新Session 不能及 时建立 连接,此时已经建立 Session 的通讯虽不会造成影响;但仅当现有 session 连接拆除后,释放出来的 Session 资源才可供新建连接使用。维护建议:当 Session 资源正常使用至 80时,需要考虑设备容量限制并及时升级,以避免因设备容量不足影响业务拓展。CPU: Netscreen 是基于硬件架构的高性能防火墙,很多计算工作由专用ASIC 芯片完成,正常工作状态下防火墙 CPU 使用率应保持在 50%以下,1
41、8如出现 CPU 利用率过 高情况需给予足够重视,应检查 Session 使用情况和各类告警信息,并检查网络中是否存在攻击流量。通常情况下 CPU 利用率过高往往与恶意流量有关,可通过正确设置 screening 对应选项进行防范。Memory: NetScreen 防火 墙对内存的使用把握得十分准确,采用 “预分配”机制,空载时内存使用率为约 60-70%,随着流量不断增长,内存的使用率应基本保持稳定。如果出现内存使用率超过 85时,需检查网络中是否存在攻击流量,确认近期健康检查内存分配是否发生较大变化,检查为 debug 分配的内存空间是否过大(get dbuf info 单位为字节)。2
42、、在业务使用高峰时段检查防火墙关键资源(如:Cpu、Session 、Memory和接口流量)等使用情况,建立网络中业务流量对设备资源使用的基准指标,为今后确认网络是否处于正常运行状态提供参照依据。当 session数量超过平常基准指标 20时,需检查 session 表和告警信息,检查session 是否使用于正常业务,网络中是否存在可疑流量和恶意攻击行为。当 Cpu 占用超过平常基准指标 50时,需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。6.2. 防火墙健康检查信息表设备型号 软件版本 设备序列号设备用途 XX 区防火墙 设备状态 主用/备用 设备组网方式
43、如:Layer3 口型 A/P检查对象 检查命令 相关信息 检查结果 备注Session Get sessionCPU Get perf cpuMemory Get memoryInterface Get interface路由表 Get routeHA 状态 Get nsrp19事件查看 Get log event告警信息 Get alarm event机箱温度 Get chassisLED LED 指示灯检查SessionCpuMemory接口流量业务类型设备运行参考基线机箱温度6.3. 常规维护建议1、配置 manager-ip 地址,指定 专用终端管理防火墙;2、更改 netscree
44、n 账号和口令,不建议使用缺省的 netscreen 账号管理防火墙;设置两级管理员账号并定期变更口令;仅容许使用 telnet 和 http 方式登陆防火墙进行管理维护。 3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。4、整理一份上下行交换机配置备份文档(调整其中的端口地址和路由指向),提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。6、重视并了解防火墙产生的每一个
45、故障告警信息,在第一时间修复故障隐患。7、建立设备运行档案,为配置变更、事件 处理提供完整的维护记录,定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能20出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:NSRP 集群中设备出现故障,网线故障及交换机故障时的路径保护切换。6.4. 设备运行档案表设备型号 软件版本 设备序列号设备用途 XX 区防火墙 设备状态 主用/备用 设备组网方式 如:Layer3 口型 A/P保修期限 供应商联系方式变更原因 变更内容 结果 负责人配置变更事件现象 处理过程 结果 负责
46、人事件处理6.5. 防火墙应急处理当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障是否与防火墙有关。如果故障与防火墙有关,可在防火墙上打开 debug 功能跟踪包 处理过程,检验策略配置是否存在问题。一旦定位防火墙故障,可通过命令进行 NSRP 双机切换,单机环境下发生故障时利用备份的交换机/路由器配置,快速旁路防火墙。在故障明确定位前不要关闭防火墙。检查设备运行状态21网络出现故障时,应快速判断防火墙设备运行状态,通过 Console 口登陆到防火墙上,快速查看 CPU、Memory、Session、Interface 以及告警信息,初步排除防火墙硬件故障并判断是否存在
47、攻击行为。跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问,顺序检查接口状态、路由和策略配置是否有误,在确认上述配置无误后,通过 debug 命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。 检查是否存在攻击流量通过查看告警信息确认是否有异常信息,同时在上行交换机中通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Screen 选项 中启用对应防护措施来屏蔽攻击流量。 检查 NSRP 工作状态使用 get nsrp 命令检查 nsrp 集群工作状态,如 nsrp 状态出现异常或发生切换,需 进一步确认引起切换的原因,引起 NSRP 切换原
48、因通常为链路故障,交换机端口故障,设备断电或重启。设备运行时务请不要断开HA 心跳线缆。 防火墙发生故障时处理方法如果出现以下情况可初步判断防火墙存在故障:无法使用 console 口登陆防火墙,防火墙反复启动、无法建立 ARP 表、接口状态始终为 Down、无法进行配置调整等现象。为快速恢复业务,可通过调整上下行设备路由指向,快速将防火墙旁路,同时联系供应商进行故障诊断。 故障总结故障处理后的总结与改进是进一步巩固网络可靠性的必要环节,有效的总结能够避免很多网络故障再次发生。1、在故障解决后,需要进一步总结故障产生原因,并确认该故障已经得到修复,避免故障重复发生。2、条件容许的情况下,构建防
49、火墙业务测试环境,对所有需要调整的配置参数在上线前进行测试评估,避免因配置调整带来新的故障隐患。3、分析网络可能存在的薄弱环节和潜在隐患,通过技术论证和测试验证来修复隐患。6.6. 故障处理工具22Netscreen 防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是 debug 和 snoop,debug 用于跟踪防火墙对指定包的处理,snoop 用于捕获流经防火墙的数据包,由于 debug 和 snoop 均需要消耗大量的防火墙 cpu 资源,在使用 时务必谨慎开启,包分析结束后应在第一时间关闭 debug 和 snoop 功能。下面简要介 绍一下两个工具的使用方法。Debug:跟踪防火 墙对数据包的处理过程1. Set ffilter src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围2、clear dbuf 清除防火 墙内存中缓存的分析包3、debug flow basic 开启 debug 数据流跟踪功能4、发送测试数据包或让小部分流量穿越防火墙5、undebug all 关闭所有 debug 功能6、get dbuf stream 检查防火墙对符合过滤条件数据包的
