Netscreen防火墙日常维护指南Word文档格式.docx
《Netscreen防火墙日常维护指南Word文档格式.docx》由会员分享,可在线阅读,更多相关《Netscreen防火墙日常维护指南Word文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
五、特殊应用处理19
长连接应用处理19
不规范TCP应用处理20
VOIP应用处理21
附录:
JUNIPER防火墙CASE信息表错误!
未定义书签。
一、综述
防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流
7*24
提供安全保护,对于企业关键的实时业务系统,要求网络能够提供小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断及恢复成为维护人员的工作重点。
NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理监控可确保防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。
本文对
Netscreen防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。
二、Netscreen防火墙日常维护
围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Netscreen防火墙维护主要思路为:
通过积极主动的日常维护将故障隐患消除在萌芽状态;
故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;
故障处理后及时进行总结与改进避免故障再次发生。
在防火墙的日常维护中,通过对防火墙进行健康检查,能够实时了解
Netscreen防火墙运行状况,检测相关告警信息,提前发现并消除网络异常和潜在故障隐患,以确保设备始终处于正常工作状态。
1、日常维护过程中,需要重点检查以下几个关键信息:
Session:
如已使用的Session数达到或接近系统最大值,将导致新
Session不能及时建立连接,此时已经建立Session的通讯虽不会造成影响;
但仅当现有session连接拆除后,释放出来的Session资源才可供新建连接使用。
维护建议:
当Session资源正常使用至80%时,需要考虑设备容量限制并及时升级,以避免因设备容量不足影响业务拓展。
CPU:
Netscreen是基于硬件架构的高性能防火墙,很多计算工作由专用
ASIC芯片完成,正常工作状态下防火墙CPU使用率应保持在45%以下,如出现CPU利用率过高情况需给予足够重视,应检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。
通常情况下
CPU利用率过高往往与恶意流量有关,可通过正确设置screening对应选项进行防范。
Memory:
NetScreen防火墙对内存的使用把握得十分准确,采用“预分配”机制,空载时内存使用率为约50-60%,随着流量不断增长,内存的使用率应基本保持稳定。
如果出现内存使用率超过75%时,需检查网络中是否存在攻击流量,确认近期健康检查内存分配是否发生较大变化,检查为debug分配的内存空间是否过大(getdbufinfo单位为字节)。
2、在业务使用高峰时段检查防火墙关键资源(如:
Cpu、Session、
Memory和接口流量)等使用情况,建立网络中业务流量对设备资源使
用的基准指标,为今后确认网络是否处于正常运行状态提供参照依据。
当session数量超过平常基准指标20%时,需检查session表和告警信
息,检查session是否使用于正常业务,网络中是否存在可疑流量和恶
意攻击行为。
当Cpu占用超过平常基准指标30%时,需查看异常流
量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。
3、防火墙健康检查信息表:
设备型号
软件版本
设备序列号
设备用途
XX区防火墙
设备状态
主用/备用
设备组网方式
如:
Layer3口型A/P
检查对象
检查命令
相关信息
检查结果
备注
Session
Getsession
CPU
Getperfcpu
Memory
Getmemory
Interface
Getinterface
路由表
Getroute
HA状态
Getnsrp
事件查看
Getlogevent
告警信息
Getalarmevent
机箱温度
Getchassis
LED
LED指示灯检查
设备运行
Session
参考基线
Cpu
接口流量
业务类型
4、常规维护建议:
1、配置System-ip地址,指定专用终端管理防火墙;
2、更改netscreen账号和口令,不建议使用缺省的netscreen账号管理防火墙;
设置两级管理员账号并定期变更口令;
仅容许使用SSH和SSL方式登陆防火墙进行管理维护。
3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。
整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。
4、整理一份上下行交换机配置备份文档(调整其中的端口地址和路由
指向),提供备用网络连线。
防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。
5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。
6、重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故
障隐患
7、建立设备运行档案,为配置变更、事件处理提供完整的维护记录,定期评估配置、策略和路由是否优化。
8、故障设想和故障处理演练:
日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:
NSRP集群中设备出现故障,网线故障及交换机故障时的路径保护切换。
9、设备运行档案表
女口:
保修期限
供应商联系方式
配置变更
变更原因
变更内容
结果
负责人
事件处理
事件现象
处理过程
应急处理
当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障是否与防火墙有关。
如果故障与防火墙有关,可在防火墙上打开debug功能跟踪包处理过程,检验策略配置是否存在问题。
一旦定位防火墙故障,可通过命令进行NSRP双机切换,单机环境下发生故
障时利用备份的交换机/路由器配置,快速旁路防火墙。
在故障明确定位前不要关闭防火墙。
1、检查设备运行状态
网络出现故障时,应快速判断防火墙设备运行状态,通过Console口登陆到防火墙上,快速查看CPU、Memory、Session、Interface以及告警信息,初步排除防火墙硬件故障并判断是否存在攻击行为。
2、跟踪防火墙对数据包处理情况
如果出现部分网络无法正常访问,顺序检查接口状态、路由和策略配置是否有误,在确认上述配置无误后,通过debug命令检查防火墙对特
定网段数据报处理情况。
部分地址无法通过防火墙往往与策略配置有
3、检查是否存在攻击流量
通过查看告警信息确认是否有异常信息,同时在上行交换机中通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Screen选项中启用对应防护措施来屏蔽攻击流量。
4、检查NSRP工作状态
使用getnsrp命令检查nsrp集群工作状态,如nsrp状态出现异常或发生切换,需进一步确认引起切换的原因,引起NSRP切换原因通常为链路故障,交换机端口故障,设备断电或重启。
设备运行时务请不要断开HA心跳线缆。
5、防火墙发生故障时处理方法
如果出现以下情况可初步判断防火墙存在故障:
无法使用console口登陆防火墙,防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。
为快速恢复业务,可通过调整上下行设备路由指向,快速将防火墙旁路,同时联系供应商进行故障诊断。
总结改进
故障处理后的总结与改进是进一步巩固网络可靠性的必要环节,有效的
总结能够避免很多网络故障再次发生
1、在故障解决后,需要进一步总结故障产生原因,并确认该故障已经
得到修复,避免故障重复发生。
2、条件容许的情况下,构建防火墙业务测试环境,对所有需要调整的配置参数在上线前进行测试评估,避免因配置调整带来新的故障隐患。
3、分析网络可能存在的薄弱环节和潜在隐患,通过技术论证和测试验证来修复隐患。
故障处理工具
Netscreen防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是debug和snoop,debug用于跟踪防火墙对指定包的处理,snoop用于捕获流经防火墙的数据包,由于debug和snoop均需要消耗大量的防火墙cpu资源,在使用时务必谨慎开启,包分析结束后应在第一时间关闭debug和snoop功能。
下面简要介绍一下两个工具的使用方法。
Debug:
跟踪防火墙对数据包的处理过程
1.Setffiltersrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx
设置过滤列表,定义捕获包的范围
2、cleardbuf清除防火墙内存中缓存的分析包
4、发送测试数据包或让小部分流量穿越防火墙
5、undebugall关闭所有debug功能
6、getdbufstream检查防火墙对符合过滤条件数据包的分析结果
7、unsetffilter清除防火墙debug过滤列表
8、cleardbuf清除防火墙缓存的debug信息
9、getdebug查看当前debug设置
Snoop:
捕获进出防火墙的数据包,与Sniffer嗅包软件功能类似。
1.Snoopfilteripsrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表,定义捕获包的范围
3、snoop开启snoop功能捕获数据包
5、snoopoff停止snoop
6、getdbstream检查防火墙对符合过滤条件数据包的分析结果
7、snoopfilterdelete清除防火墙snoop过滤列表
9、snoopinfo查看snoop设置
三、Netscreen冗余协议(NSRP)
升级会员 