Juniper防火墙日常维护手册.docx

1、Juniper防火墙日常维护手册Juniper防火墙维护手册防火墙维护手册1. 日常维护内容.31.1.配置主机名. 31.2.接口配置. 41.3.路由配置. 51.4.高可用性配置（双机配置）. 61.5.配置MIP（通过图形界面配置）. 91.6.配置访问策略（通过图形界面配置）. 112. NetScreen的管理.152.1.访问方式. 152.2.用户. 172.3.日志. 182.4.性能. 202.5.其他常用维护命令. 213. 其他的配置.213/23防火墙维护手册1.日常维护内容1.1.配置主机名NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设

2、备和维护，在对防火墙进行配置前先对防火墙进行命名：Netscreen-sethostnameFW-1-MFW-1-M1.2.接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。注意：接口的

3、工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令setinterface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下：Ns204-setinterfaceethernet1zoneTrustNs204-setinterfaceethernet1ip10.243.194.194/

4、29Ns204-setinterfaceethernet1natNs204-setinterfaceethernet1zoneUntrustNs204-setinterfaceethernet2ip202.38.12.23/28Ns204-setinterfaceethernet1nat4/23防火墙维护手册选择接口后按Edit键后进入以下页面进行配置接口特性：透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段，不需要配置接口的IP，设置的命令如下：FW-1-M-setinterfaceethernet1/1zoneV1-UnrustFW-1-M-setint

5、erfaceethernet1/2zoneV1-Trust1.3.路由配置NetScreen防火墙有路由功能，缺省情况下，内部有Untrust-vr和Trust-vr两个路由器，为了能与外部通讯，需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话，不需要在untrust-vr上配置路由。一般应用中，5/23防火墙维护手册配置静态路由即可满足要求。配置静态路由时，需要配置目的网络、下一跳及出去的接口。透明模式的防火墙不需要设置路由信息。本例中，在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17Ns204 - set route 0.

6、0.0.0/0 interface ethernet2 gateway211.136.202.9用WebUI的方式配置接口，菜单：Network-routing-routingentries按New按钮可以配置一个新的路由：6/23防火墙维护手册1.4.高可用性配置（双机配置）NetScreen双机的基本配置步骤：1、检查双机的版本是否一致，原则上两台防火墙的版本要求相同。如果版本不同，建议升级到相同的版本。防火墙版本的检查命令：FW-1-M-getsystemProductName:NetScreen-ISG1000SerialNumber:0133102006000136,ControlN

7、umber:00000000HardwareVersion:3010(0)-(04),FPGAchecksum:00000000,VLAN1IP(0.0.0.0)SoftwareVersion:5.3.0r7.0,Type:Firewall+VPN2、连接HA线，把接口划分到HA区段中。HA线是防火墙的心跳线，ISG1000没有专门的HA接口，必须设置接口来并划分到HA区段中。如果心跳线采用光纤则只需要设置一个HA口和一根心跳线，如果采用双绞线作为心跳线，则需要设置两个HA口和两条双胶线，HA接口之间采用交叉线相连接。本例将Eth1/3及eth1/4设置为HA接口：FW-1-M-setinte

8、rfaceethernet1/3zoneHAFW-1-M-setinterfaceethernet1/4zoneHA3、配置clusterID号防火墙双机也叫cluster，同一个双机的cluster号应相同。在两台防火墙上都用命令配置成同一个cluster：GM-Web(M)-setnsrpclusterid1则两台防火墙一台会变成FW-1-M(M)，另一台会变成FW-1-B(B)，(M)表示主用，(B)表示备用，（I）表示初始化。注意：在（I）状态下，防火墙是不能正常工作的，出现此状态时一定要注意。用WebUI方式配置双机的clusterID，菜单：Network-NSRP-Cluster

9、7/23防火墙维护手册4、配置VSD组及优先级虚拟安全设备VSD组用于防火墙工作在active/active方式下，缺省情况下两台NetScreen防火墙都属于VSD组0，可以设置VSD组的优先级，优先级数值越小，则越优先。FW-1-M(M)-setnsrpvsd-groupid0priority50用WebUI的方式配置VSD组的优先级，菜单：Network-NSRP-VSD Group，选择New或Edit菜单则可。5、配置双机同步配置成双机后，把在防火墙上新增加的配置会自动同步到另一台防火墙上：8/23防火墙维护手册注意：在配置成双机前的防火墙上的配置不会主动同步到另一台机器上；如果在防

10、火墙1上做配置时，防火墙2是down的，则此时在防火墙1上做的配置，是不会主动同步到另一台防火墙上的。如果要同步这些异常情况下的配置，则需要在备机上运行相应的命令。配置RTO，RTO相当于防火墙上的连接信息，在两台防火墙上分别配置：FW-1-M(M)-setnsrprto-mirrorsycFW-1-B(B)-setnsrprto-mirrorsyc用WebUI的方式配置同步，菜单：Network-NSRP-Synchronization1.5.配置MIP（通过图形界面配置）1、命令行Ns204(M)-setinterfaceeth0/2mip211.136.202.19host10.243.

11、194.195netmask255.255.255.255WebUI方式选择菜单：Network-interfaces，选择eth0/2，按Edit按钮：9/23防火墙维护手册再选择MIP进入：10/23防火墙维护手册选择New选项，配置一个新的MIP：1.6.配置访问策略（通过图形界面配置）通过配置访问策略来控制通过防火墙的访问，1、配置地址配置地址的对象，可以是单个IP或一个网段。选择ObjectsAddressesConfiguration，再选择你配置源IP的安全区（或目的地址的安全区），11/23防火墙维护手册设置单个IP：设置IP段：2、配置访问ServiceNetscreen防火

12、墙中内置了许多的Service，如HTTP，FTP等，你可以在策略中直接选择需要访问的Service，如果你需要设置自定义的Service，可按如下步骤：进入ObjectsServicesCustomEdit,本例设置的是7001端口（用于HTTP）12/23防火墙维护手册当然，你也可以配置地址的组，将你需要的地址放入组中，并在策略中引用组。4、配置策略本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务，已定义172.16.1.122地址为WebServer。进入Policies，选择源安全区Untrust到目的安全区Trust，并点击有

13、上角New13/23防火墙维护手册6、配置MIP访问策略步骤与上相同，本例是从Untrust访问MIP地址202.38.12.17。14/23防火墙维护手册2.NetScreen的管理2.1.访问方式NetScreen防火墙支持多种的管理方式：WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。常用的有console、WebUI和Telnet。Console是通过直接的串口线连接防火墙，对防火墙进行管理和配置；telnet是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；WebUI是通过IE或NetscapeCommunicator登录到防

14、火墙的可管理地址，对防火墙进行管理和配置。通过串口直接登录到防火墙时，超级终端的端口配置如下：-串行通讯9600bps-8位-无奇偶校验-1停止位-无信息流控制Telnet或console登录后的命令行界面如下：15/23防火墙维护手册WebUI登录的界面如下：注意：如果要通过telnet或WebUI登录和管理防火墙，所登录的防火墙的接口需要打开telnet或WebUI的功能；如果防火墙的接口配置了管理IP，一般只能对接口的管理IP进行telnet或WebUI，而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。用命令行的方式检查接口是否打开telnet或WebUI功能的方式：

15、ns204-getintereth2Interfaceethernet2:descriptionethernet2number5,if_info10280,if_index0,moderoutelinkup,phy-linkup/full-duplex16/23防火墙维护手册vsysRoot,zoneUntrust,vrtrust-vrdhcpclientdisabledPPPoEdisabledadminmtu0,operatingmtu1500,defaultmtu1500*ip211.136.202.10/30 mac0014.f642.d475*manageip211.136.202.

16、10,mac0014.f642.d475route-denydisablepmtu-v4disabledpingenabled,telnetenabled,SSHenabled,SNMPdisabledwebenabled,ident-resetdisabled,SSLdisabledDNSProxydisabled,webauthdisabled,webauth-ip0.0.0.0OSPFdisabledBGPdisabledRIPdisabledRIPngdisabledmtracedisabledPIM:notconfiguredIGMPnotconfiguredbandwidth:ph

17、ysical100000kbps,configuredegressgbw0kbpsmbw0kbpsconfiguredingressmbw0kbps,currentbw0kbpstotalallocatedgbw0kbpsDHCP-RelaydisabledDHCP-serverdisabledNumberofSWsession:128052,hwsesserrcnt0用WebUI的方式检查接口是否打开telnet或WebUI功能的方式：选择菜单：Network-interface选择对应接口的Edit菜单：17/23防火墙维护手册2.2.用户NetScreen设备支持多个管理用户级别。这些级

18、别的可用性取决于NetScreen设备的模式。NetScreen根管理员具有完全的管理权限。每个NetScreen设备只有一个根管理员。缺省情况下根管理员的用户名和密码为netscreen/netscreen。在进行防火墙配置时，务必先修改防火墙根用户的默认用户名和默认口令。用命令行的方式修改根用户的用户名和口令的命令：GM-Web(M)-setadminuserxxxpasswordyyy其中xxx为根用户的用户名，yyy为根用户的密码。用WebUI的方式修改根用户名和密码的方式选择菜单：Configuration-Admin-Adminstrators：18/23防火墙维护手册选择Edit

19、按钮后可出现以下菜单，可以输入新的根用户和口令：注意：NetScreen防火墙在启用后，强烈建议修改缺省密码。同时在上线后，每次修改NetScreen防火墙的配置，都建议对配置作备份。因为NetScreen防火墙密码丢失后，恢复密码的操作会把防火墙所有的配置丢掉。2.3.日志防火墙有各种日志，常用的有告警日志和事件日志，这些日志信息对于维护防火墙时是非常有用的。用命令行的方式查看告警日志的命令：SN-NS500-FW1(M)-getalarmeventTotalevententries=44Date Time ModuleLevelTypeDescription2004-12-0715:14:

20、26systemcrit00015Peerdevice8319360intheVirtualSecurityDevicegroup0changedstatefrombackuptoprimarybackup.2004-12-0715:14:25systemcrit 00071Thelocaldevice8318976inthe19/23防火墙维护手册VirtualSecurityDevicegroup(0)changedstatefromprimarybackuptomaster,missingmaster.用命令行的方式查看事件日志的命令：GM-Web(M)-geteventTotaleve

21、ntentries=41Date Time ModuleLevelTypeDescription2007-01-0112:27:44systemnotif00767Alarmlogwasreviewedbyadminnetscreen.2007-01-0112:21:13systemwarn00515AdminusernetscreenhasloggedonviaTelnetfrom172.16.1.119:26672007-01-0112:21:13systemwarn00515LoginattempttosystembyadminnetscreenviaTelnetfrom172.16.1

22、.119:2667hasfailed(Incorrectpassword)2007-01-0112:21:08systemwarn00518ADM:Localadminauthenticationfailedforloginnamenetscreen:invalidpassword通过WebUI方式查看告警日志和事件日志的方法：通过WebUI登录到防火墙上即可：2.4.性能维护时检查防火墙的性能主要是查看防火墙CPU和Session的使用情况。通过命令行的方式查看防火墙的CPU使用情况：GM-Web(M)-getperformancecpuAverageSystemUtilization:1%

23、Last1minute:2%,Last5minutes:2%,Last15minutes:2%GM-Web(M)-getperformancecpudetail20/23防火墙维护手册AverageSystemUtilization:1%Last60seconds:59:2 58:2 57:2 56:2 55:2 54:253:2 52:2 51:2 50:2 49:2 48:247:2 46:2 45:2 44:2 43:2 42:241:2 40:2 39:2 38:2 37:2 36:235:2 34:2 33:2 32:2 31:2 30:229:2 28:2 27:2 26:2 25:2 24:223:2 22:2 21:2 20:2 19:2 18:217:2 16:2 15:2 14:2 13:2 12:211:2 10:2 9:2 8:2 7:2 6:25:2 4:2 3:2 2:2 1:2 0:2Last60minutes:59:2 58:2 57:2 56:2 55:2 54:2