資源描述:
《juniper防火墻常用維護指南》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1��、Netscreen防火墻日常維護指南?一��、綜述.3二��、Netscreen防火墻日常維護.3常規(guī)維護:.3應(yīng)急處理.7總結(jié)改進.8故障處理工具.9三���、Netscreen冗余協(xié)議(NSRP).10NSRP部署建議.10NSRP常用維護命令.11四、策略配置與優(yōu)化(Policy).12五�����、攻擊防御(Screen).13五�����、特殊應(yīng)用處理.15長連接應(yīng)用處理.15不規(guī)范TCP應(yīng)用處理.16VOIP應(yīng)用處理.16附錄:JUNIPER防火墻Case信息表.17?????????一、綜述防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備�����,需要為所有進出網(wǎng)絡(luò)的信息流提供安全保護����,對于企業(yè)關(guān)鍵的實時業(yè)務(wù)系
2、統(tǒng)�����,要求網(wǎng)絡(luò)能夠提供7*24小時的不間斷保護�,保持防火墻系統(tǒng)可靠運行及在故障情況下快速診斷恢復(fù)成為維護人員的工作重點����。NetScreen防火墻提供了豐富的冗余保護機制和故障診斷、排查方法���,通過日常管理維護可以使防火墻運行在可靠狀態(tài)�����,在故障情況下通過有效故障排除路徑能夠在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)運行�����。本文對Netscreen防火墻日常維護進行較系統(tǒng)的總結(jié)���,為防火墻維護人員提供設(shè)備運維指導(dǎo)����。二�����、Netscreen防火墻日常維護圍繞防火墻可靠運行和出現(xiàn)故障時能夠快速恢復(fù)為目標(biāo)�����,Netscreen防火墻維護主要思路為:通過積極主動的日常維護將故障隱患消除在萌芽狀態(tài)����;故障發(fā)生時,使用恰
3��、當(dāng)?shù)脑\斷機制和有效的故障排查方法及時恢復(fù)網(wǎng)絡(luò)運行��;故障處理后及時進行總結(jié)與改進避免故障再次發(fā)生���。常規(guī)維護:在防火墻的日常維護中����,通過對防火墻進行健康檢查,能夠?qū)崟r了解Netscreen防火墻運行狀況���,檢測相關(guān)告警信息���,提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患,以確保設(shè)備始終處于正常工作狀態(tài)�����。1�、???日常維護過程中,需要重點檢查以下幾個關(guān)鍵信息:Session:如已使用的Session數(shù)達到或接近系統(tǒng)最大值����,將導(dǎo)致新Session不能及時建立連接�,此時已經(jīng)建立Session的通訊雖不會造成影響;但僅當(dāng)現(xiàn)有session連接拆除后��,釋放出來的Session資源才可供新建連接使
4�����、用。維護建議:當(dāng)Session資源正常使用至85%時���,需要考慮設(shè)備容量限制并及時升級����,以避免因設(shè)備容量不足影響業(yè)務(wù)拓展�����。CPU:Netscreen是基于硬件架構(gòu)的高性能防火墻���,很多計算工作由專用ASIC芯片完成�,正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在50%以下�����,如出現(xiàn)CPU利用率過高情況需給予足夠重視����,應(yīng)檢查Session使用情況和各類告警信息,并檢查網(wǎng)絡(luò)中是否存在攻擊流量���。通常情況下CPU利用率過高往往與攻擊有關(guān)�,可通過正確設(shè)置screening對應(yīng)選項進行防范。Memory:NetScreen防火墻對內(nèi)存的使用把握得十分準(zhǔn)確��,采用“預(yù)分配”機制�����,空載時內(nèi)存使用率為
5�、約50-60%,隨著流量不斷增長���,內(nèi)存的使用率應(yīng)基本保持穩(wěn)定��。如果出現(xiàn)內(nèi)存使用率高達90%時�,需檢查網(wǎng)絡(luò)中是否存在攻擊流量�����,并察看為debug分配的內(nèi)存空間是否過大(getdbufinfo單位為字節(jié))����。?2���、在業(yè)務(wù)使用高峰時段檢查防火墻關(guān)鍵資源(如:Cpu�、Session、Memory和接口流量)等使用情況�����,建立網(wǎng)絡(luò)中業(yè)務(wù)流量對設(shè)備資源使用的基準(zhǔn)指標(biāo)��,為今后確認網(wǎng)絡(luò)是否處于正常運行狀態(tài)提供參照依據(jù)����。當(dāng)session數(shù)量超過平常基準(zhǔn)指標(biāo)20%時�,需檢查session表和告警信息,檢查session是否使用于正常業(yè)務(wù)�����,網(wǎng)絡(luò)中是否存在flood攻擊行為���。當(dāng)Cpu占用超過平?��;?/p>
6、準(zhǔn)指標(biāo)50%時�����,需查看異常流量、告警日志�、檢查策略是否優(yōu)化、配置文件中是否存在無效的命令�����。???3��、防火墻健康檢查信息表:設(shè)備型號?軟件版本?設(shè)備序列號?設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用設(shè)備組網(wǎng)方式如:Layer3口型A/P檢查對象檢查命令相關(guān)信息檢查結(jié)果備注SessionGetsession???CPUGetperfcpu???MemoryGetmemory???InterfaceGetinterface???路由表Getroute???HA狀態(tài)Getnsrp???事件查看Getlogevent???告警信息Getalarmevent???機箱溫度Getchas
7����、sis???LEDLED指示燈檢查???設(shè)備運行參考基線Session?Cpu?Memory?接口流量?業(yè)務(wù)類型?機箱溫度??4、常規(guī)維護建議:1�、配置System-ip地址,指定專用終端管理防火墻�����;2���、更改netscreen賬號和口令�����,不建議使用缺省的netscreen賬號管理防火墻�����;設(shè)置兩級管理員賬號并定期變更口令�����;僅容許使用SSH和SSL方式登陸防火墻進行管理維護���。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征��,持續(xù)優(yōu)化防火墻策略��。整理出完整網(wǎng)絡(luò)環(huán)境視圖(網(wǎng)絡(luò)端口�����、互聯(lián)地址�����、防護網(wǎng)段、網(wǎng)絡(luò)流向�、策略表、應(yīng)用類型等)�����,以便網(wǎng)絡(luò)異常時快速定位故障
