資源描述:
《juniper防火墻常用維護指南》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、Netscreen防火墻日常維護指南?一、綜述.3二、Netscreen防火墻日常維護.3常規(guī)維護:.3應(yīng)急處理.7總結(jié)改進.8故障處理工具.9三、Netscreen冗余協(xié)議(NSRP).10NSRP部署建議.10NSRP常用維護命令.11四、策略配置與優(yōu)化(Policy).12五、攻擊防御(Screen).13五、特殊應(yīng)用處理.15長連接應(yīng)用處理.15不規(guī)范TCP應(yīng)用處理.16VOIP應(yīng)用處理.16附錄:JUNIPER防火墻Case信息表.17?????????一、綜述防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,需要為所有進出網(wǎng)絡(luò)的信息流提供安全保護,對于企業(yè)關(guān)鍵的實時業(yè)務(wù)系
2、統(tǒng),要求網(wǎng)絡(luò)能夠提供7*24小時的不間斷保護,保持防火墻系統(tǒng)可靠運行及在故障情況下快速診斷恢復(fù)成為維護人員的工作重點。NetScreen防火墻提供了豐富的冗余保護機制和故障診斷、排查方法,通過日常管理維護可以使防火墻運行在可靠狀態(tài),在故障情況下通過有效故障排除路徑能夠在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)運行。本文對Netscreen防火墻日常維護進行較系統(tǒng)的總結(jié),為防火墻維護人員提供設(shè)備運維指導(dǎo)。二、Netscreen防火墻日常維護圍繞防火墻可靠運行和出現(xiàn)故障時能夠快速恢復(fù)為目標(biāo),Netscreen防火墻維護主要思路為:通過積極主動的日常維護將故障隱患消除在萌芽狀態(tài);故障發(fā)生時,使用恰
3、當(dāng)?shù)脑\斷機制和有效的故障排查方法及時恢復(fù)網(wǎng)絡(luò)運行;故障處理后及時進行總結(jié)與改進避免故障再次發(fā)生。常規(guī)維護:在防火墻的日常維護中,通過對防火墻進行健康檢查,能夠?qū)崟r了解Netscreen防火墻運行狀況,檢測相關(guān)告警信息,提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患,以確保設(shè)備始終處于正常工作狀態(tài)。1、???日常維護過程中,需要重點檢查以下幾個關(guān)鍵信息:Session:如已使用的Session數(shù)達到或接近系統(tǒng)最大值,將導(dǎo)致新Session不能及時建立連接,此時已經(jīng)建立Session的通訊雖不會造成影響;但僅當(dāng)現(xiàn)有session連接拆除后,釋放出來的Session資源才可供新建連接使
4、用。維護建議:當(dāng)Session資源正常使用至85%時,需要考慮設(shè)備容量限制并及時升級,以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU:Netscreen是基于硬件架構(gòu)的高性能防火墻,很多計算工作由專用ASIC芯片完成,正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在50%以下,如出現(xiàn)CPU利用率過高情況需給予足夠重視,應(yīng)檢查Session使用情況和各類告警信息,并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU利用率過高往往與攻擊有關(guān),可通過正確設(shè)置screening對應(yīng)選項進行防范。Memory:NetScreen防火墻對內(nèi)存的使用把握得十分準(zhǔn)確,采用“預(yù)分配”機制,空載時內(nèi)存使用率為
5、約50-60%,隨著流量不斷增長,內(nèi)存的使用率應(yīng)基本保持穩(wěn)定。如果出現(xiàn)內(nèi)存使用率高達90%時,需檢查網(wǎng)絡(luò)中是否存在攻擊流量,并察看為debug分配的內(nèi)存空間是否過大(getdbufinfo單位為字節(jié))。?2、在業(yè)務(wù)使用高峰時段檢查防火墻關(guān)鍵資源(如:Cpu、Session、Memory和接口流量)等使用情況,建立網(wǎng)絡(luò)中業(yè)務(wù)流量對設(shè)備資源使用的基準(zhǔn)指標(biāo),為今后確認網(wǎng)絡(luò)是否處于正常運行狀態(tài)提供參照依據(jù)。當(dāng)session數(shù)量超過平常基準(zhǔn)指標(biāo)20%時,需檢查session表和告警信息,檢查session是否使用于正常業(yè)務(wù),網(wǎng)絡(luò)中是否存在flood攻擊行為。當(dāng)Cpu占用超過平?;?/p>
6、準(zhǔn)指標(biāo)50%時,需查看異常流量、告警日志、檢查策略是否優(yōu)化、配置文件中是否存在無效的命令。???3、防火墻健康檢查信息表:設(shè)備型號?軟件版本?設(shè)備序列號?設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用設(shè)備組網(wǎng)方式如:Layer3口型A/P檢查對象檢查命令相關(guān)信息檢查結(jié)果備注SessionGetsession???CPUGetperfcpu???MemoryGetmemory???InterfaceGetinterface???路由表Getroute???HA狀態(tài)Getnsrp???事件查看Getlogevent???告警信息Getalarmevent???機箱溫度Getchas
7、sis???LEDLED指示燈檢查???設(shè)備運行參考基線Session?Cpu?Memory?接口流量?業(yè)務(wù)類型?機箱溫度??4、常規(guī)維護建議:1、配置System-ip地址,指定專用終端管理防火墻;2、更改netscreen賬號和口令,不建議使用缺省的netscreen賬號管理防火墻;設(shè)置兩級管理員賬號并定期變更口令;僅容許使用SSH和SSL方式登陸防火墻進行管理維護。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征,持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡(luò)環(huán)境視圖(網(wǎng)絡(luò)端口、互聯(lián)地址、防護網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類型等),以便網(wǎng)絡(luò)異常時快速定位故障