Netscreen防火墙日常维护指南Word文档格式.docx

1、五、特殊应用处理 19长连接应用处理 19不规范 TCP 应用处理 20VOIP 应用处理 21附录： JUNIPER 防火墙 CASE 信息表 错误！未定义书签。一、综述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流7*24提供安全保护，对于企业关键的实时业务系统，要求网络能够提供 小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断 及恢复成为维护人员的工作重点。NetScreen 防火墙提供了丰富的冗余保护机制和故障诊断、排查方 法，通过日常管理监控可确保防火墙运行在可靠状态，在故障情况下通 过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscree

2、n 防火墙日常维护进行较系统的总结，为防火墙维护人员提供 设备运维指导。二、 Netscreen 防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标， Netscreen 防火墙维护主要思路为： 通过积极主动的日常维护将故障隐患消除在萌 芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时 恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。在防火墙的日常维护中，通过对防火墙进行健康检查 ， 能够实时了解Netscreen 防火墙运行状况，检测相关告警信息，提前发现并消除网络 异常和潜在故障隐患，以确保设备始终处于正常工作状态。1、 日常维护过程中，需要重点检查以

3、下几个关键信息：Session ： 如已使用的 Session 数达到或接近系统最大值，将导致新Session 不能及时建立连接，此时已经建立 Session 的通讯虽不会造成 影响；但仅当现有 session 连接拆除后，释放出来的 Session 资源才可 供新建连接使用。维护建议：当 Session 资源正常使用至 80 时，需要 考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。CPU: Netscreen 是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC 芯片完成，正常工作状态下防火墙 CPU 使用率应保持在 45% 以 下，如出现 CPU 利用率过高情况需给予足

4、够重视，应检查 Session 使 用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU 利用率过高往往与恶意流量有关，可通过正确设置 screening 对应 选项进行防范。Memory: NetScreen 防火墙对内存的使用把握得十分准确，采用 “预分 配”机制，空载时内存使用率为约 50-60% ，随着流量不断增长，内存的 使用率应基本保持稳定。如果出现内存使用率超过 75时，需检查网络 中是否存在攻击流量，确认近期健康检查内存分配是否发生较大变化， 检查为 debug 分配的内存空间是否过大（ get dbuf info 单位为字节）。2、在业务使用高峰时段检查防火墙

5、关键资源（如： Cpu 、Session 、Memory 和接口流量）等使用情况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。当 session 数量超过平常基准指标 20 时，需检查 session 表和告警信息，检查session是否使用于正常业务，网络中是否存在可疑流量和恶意攻击行为。当 Cpu占用超过平常基准指标 30 %时，需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。3、防火墙健康检查信息表:设备型号软件版本设备序列号设备用途XX区防火墙设备状态主用/备用设备组网方式如: Layer3 口型 A/P检查对象

6、检查命令相关信息检查结果备注SessionGet sessi onCPUGet perf cpuMemoryGet memoryInterfaceGet in terface路由表Get routeHA状态Get nsrp事件查看Get log event告警信息Get alarm event机箱温度Get chassisLEDLED指示灯检查设备运行Sessi on参考基线Cpu接口流量业务类型4、常规维护建议：1、 配置System-ip地址，指定专用终端管理防火墙；2、 更改netscreen账号和口令，不建议使用缺省的 netscreen账号管理防 火墙；设置两级管理员账号并定期变更口

7、令；仅容许使用 SSH和SSL 方式登陆防火墙进行管理维护。3、 深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理 出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策 略表、应用类型等），以便网络异常时快速定位故障。4、 整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防 火墙，保证业务正常使用。5、 在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供 参考依据。6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患7、 建立设备运行档案，为配置变更、事件处理提供完整的维护记录，

8、 定期评估配置、策略和路由是否优化。8、 故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可 能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发 生各类故障时的处理流程，如： NSRP集群中设备出现故障，网线故障 及交换机故障时的路径保护切换。9、 设备运行档案表女口：保修期限供应商联系方式配置变更变更原因变更内容结果负责人事件处理事件现象处理过程应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流 量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙 上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦 定位防火墙故障，可通过命令进行

9、 NSRP双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位 前不要关闭防火墙。1、 检查设备运行状态网络出现故障时，应快速判断防火墙设备运行状态，通过 Con sole 口 登陆到防火墙上，快速查看 CPU、Memory、Session、In terface以及 告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。2、 跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配 置是否有误，在确认上述配置无误后，通过 debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有3、 检查是否存

10、在攻击流量通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端 口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在 Screen 选项中启用对应防护措施来屏蔽攻击流量。4、 检查 NSRP 工作状态使用 get nsrp 命令检查 nsrp 集群工作状态，如 nsrp 状态出现异常或 发生切换，需进一步确认引起切换的原因，引起 NSRP 切换原因通常为 链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断 开 HA 心跳线缆。5、 防火墙发生故障时处理方法如果出现以下情况可初步判断防火墙存在故障：无法使用 console 口 登陆防火墙，防火墙反复启动、无法建立 A

11、RP 表、接口状态始终为 Down 、无法进行配置调整等现象。为快速恢复业务，可通过调整上下 行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。总结改进故障处理后的总结与改进是进一步巩固网络可靠性的必要环节，有效的总结能够避免很多网络故障再次发生1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整的 配置参数在上线前进行测试评估，避免因配置调整带来新的故障隐患。3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验 证来修复隐患。故障处理工具Netscreen 防火墙提供灵活多

12、样的维护方式，其中故障处理时最有用 的两个工具是 debug 和 snoop ，debug 用于跟踪防火墙对指定包的处 理， snoop 用于捕获流经防火墙的数据包， 由于 debug 和 snoop 均需要 消耗大量的防火墙 cpu 资源，在使用时务必谨慎开启， 包分析结束后应 在第一时间关闭 debug 和 snoop 功能。下面简要介绍一下两个工具的 使用方法。Debug ：跟踪防火墙对数据包的处理过程1. Set ffilter src-ip x.x.x.x dst-ip x.x.x.x dst-port xx设置过滤列表 ,定义捕获包的范围2、 clear dbuf 清除防火墙内存中

13、缓存的分析包4、发送测试数据包或让小部分流量穿越防火墙5、 undebug all 关闭所有 debug 功能6、 get dbuf stream 检查防火墙对符合过滤条件数据包的分析结果7、 unset ffilter 清除防火墙 debug 过滤列表8、 clear dbuf 清除防火墙缓存的 debug 信息9、 get debug 查看当前 debug 设置Snoop ：捕获进出防火墙的数据包，与 Sniffer 嗅包软件功能类似。1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表 ,定义捕获包的范围3、 snoop 开启 snoop 功能捕获数据包5、 snoop off 停止 snoop6、 get db stream 检查防火墙对符合过滤条件数据包的分析结果7、 snoop filter delete 清除防火墙 snoop 过滤列表9、 snoop info 查看 snoop 设置三、 Netscreen 冗余协议（ NSRP ）