【正文】 ：接口鏈路狀態(tài)，顯示接口所屬區(qū)和鏈路UP/DOWN信息。 / Update。 Report Settings。 Zones。 Routing。 Web Filtering。 Policy: Policies。 AutoKey Advanced。Objects: Users。Reports: System Log。Wizards: Policy。 Configration配置菜單準(zhǔn)確設(shè)置Juniper防火墻的時(shí)鐘主要是為了使LOG信息都帶有正確的時(shí)間以便于分析和排錯(cuò)，設(shè)置時(shí)鐘主要有三種方法。 Update更新系統(tǒng)鏡像和配置文件用CLI命令行設(shè)置：save software from tftp filename to flash； 更新config file配置文件用CLI命令行設(shè)置：save config from tftp filename to flash，配置文件上傳后需執(zhí)行reset命令進(jìn)行重啟。TIP：進(jìn)行配置的替換必須用ROOT用戶進(jìn)行登陸，用Read－Write用戶進(jìn)行登陸是無(wú)法進(jìn)行配置的替換操縱的，只有融合配置的選項(xiàng)，替換目前配置的選項(xiàng)將會(huì)隱藏不可見(jiàn)，如下圖所示： Admin管理Administrators管理員賬戶管理只有用根ROOT用戶才能夠創(chuàng)建管理員賬戶。幾個(gè)系統(tǒng)默認(rèn)的安全區(qū)和接口：1：Trust區(qū)包含ETH1口2：Untrust區(qū)包含ETH4口3：DMZ區(qū)包含ETH3口其他區(qū)必須進(jìn)行手工創(chuàng)建并把相應(yīng)物理接口放入安全區(qū)內(nèi)。其中接口類型除非是防火墻使用透明模式，否則都會(huì)是Layer3三層的。Staitc IP選擇框是設(shè)置接口的IP地址和掩碼信息的，其中有一個(gè)Mangeable的選項(xiàng)，只有選中我們才可以通過(guò)WEB或TELNET登陸此地址進(jìn)行管理。由于路由模式比NAT模式更靈活，所以我們一般都會(huì)用路由模式。CLI:set interface redundent1 zone trustset interface redundent1 ip set interface redundent1 manage telnetset interface redundent1 manage webset interface redundent1 manage pingset interface redundent1 mode nat (trust zone 的接口都是nat mode)Juniper防火墻的地址轉(zhuǎn)換有三種方式：MIP靜態(tài)一對(duì)一地址轉(zhuǎn)換；VIP虛擬一對(duì)多地址轉(zhuǎn)換；DIP動(dòng)態(tài)多對(duì)多地址轉(zhuǎn)換。新建MIP靜態(tài)地址映射當(dāng)使用靜態(tài)MIP地址映射時(shí)，對(duì)方發(fā)起的數(shù)據(jù)流的目的地地址要注意設(shè)置為MIP后的地址。如果訪問(wèn)是多對(duì)一的（多個(gè)客戶端訪問(wèn)一個(gè)服務(wù)器），必須使用PortXlate端口轉(zhuǎn)換特性（默認(rèn)設(shè)置，建議都使用這種方式）。擴(kuò)展IP地址可以使用一個(gè)地址也可以用一個(gè)網(wǎng)段，推薦使用網(wǎng)段的方式。查看防火墻路由表設(shè)置路由我們統(tǒng)一都設(shè)在trustvr中（默認(rèn)選項(xiàng)）。下一跳默認(rèn)都是點(diǎn)在Next Hop Virtual Router Name；一定要注意改點(diǎn)到Gateway處，否則路由不生效。Action動(dòng)作是指策略是允許或拒絕，允許是一個(gè)對(duì)勾，拒絕是一個(gè)X，另外如果是綠色圖表說(shuō)明沒(méi)有做源地址轉(zhuǎn)換，藍(lán)色圖表說(shuō)明做了源地址轉(zhuǎn)換。CLI : get policy (from zone to zone )源地址和目的地址如果以前曾經(jīng)設(shè)置過(guò)，可以用下拉菜單進(jìn)行選擇，否則需要在New Address新地址欄進(jìn)行輸入。如果要進(jìn)行源或目的地址的轉(zhuǎn)換需要點(diǎn)擊高級(jí)選項(xiàng)進(jìn)入二級(jí)配置菜單。服務(wù)其實(shí)就是給對(duì)方提供的一些協(xié)議端口號(hào)，其中大部分的常見(jiàn)服務(wù)設(shè)備已經(jīng)提前設(shè)置好，比如web，telnet等等，但是一些非常用的端口號(hào)，比如TCP 8888等就需要我們自己進(jìn)行自定義設(shè)置了。點(diǎn)擊Reports－Polices：如上圖所示，我們可以直觀地看到某個(gè)時(shí)刻都有哪些業(yè)務(wù)流在進(jìn)行，灰色的記事本代表沒(méi)有業(yè)務(wù)，藍(lán)色的代表有業(yè)務(wù)數(shù)據(jù)流，點(diǎn)擊藍(lán)色記事本可以查看業(yè)務(wù)數(shù)據(jù)流的詳細(xì)信息。當(dāng)配置兩組或兩組以上的防火墻到同一組交換機(jī)上時(shí)，每組nsrp集群應(yīng)設(shè)置不同的cluster ID號(hào)，避免因相同的cluster ID號(hào)引發(fā)接口MAC地址沖突現(xiàn)象。設(shè)備運(yùn)行時(shí)應(yīng)保證HA線纜連接可靠，為確保HA心跳連接不會(huì)出現(xiàn)中斷，建議配置HA備份鏈路“secondary－path”。exec nsrp sync globalconfig checksum 檢查雙機(jī)配置命令是否同步exec nsrp sync globalconfig save 如雙機(jī)配置信息沒(méi)有自動(dòng)同步，請(qǐng)手動(dòng)執(zhí)行此同步命令，需要重啟系統(tǒng)。set failover on/set failover auto啟用并容許冗余接口自動(dòng)切換exec failover force 手動(dòng)執(zhí)行將主用端口切換為備用端口。策略配置與維護(hù)需要注意地方有：試運(yùn)行階段最后一條策略定義為所有訪問(wèn)允許并作log，以便在不影響業(yè)務(wù)的情況下找漏補(bǔ)遺；當(dāng)確定把所有的業(yè)務(wù)流量都調(diào)查清楚并放行后，可將最后一條定義為所有訪問(wèn)禁止并作log，以便在試運(yùn)行階段觀察非法流量行蹤。建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用，或僅在必要時(shí)采用。通過(guò)定義地址組和服務(wù)組可以將多個(gè)單一策略合并到一條組合策略中。如果在區(qū)段間或區(qū)段內(nèi)策略表中沒(méi)有找到匹配策略，則安全設(shè)備會(huì)檢查全局策略表以查找匹配策略。注釋可以幫助管理員了解每條策略的用途，對(duì)策略理解得越全面，錯(cuò)誤配置的可能性就越小。如果因選擇過(guò)多的防攻擊選項(xiàng)而大幅降低了防火墻處理能力，則會(huì)影響正常網(wǎng)絡(luò)處理的性能；如果自行開(kāi)發(fā)的程序不規(guī)范，可能會(huì)被IP數(shù)據(jù)包協(xié)議異常的攻擊選項(xiàng)屏蔽；非常規(guī)的網(wǎng)絡(luò)設(shè)計(jì)也會(huì)出現(xiàn)合法流量被屏蔽問(wèn)題。如果要設(shè)置防范IP協(xié)議層的選項(xiàng)，需在深入了解網(wǎng)絡(luò)環(huán)境后，再將IP協(xié)議和網(wǎng)絡(luò)層的攻擊選項(xiàng)逐步選中。建議正常時(shí)期在untrust區(qū)啟用防flood攻擊選項(xiàng)，在辦公用戶區(qū)啟用flood和應(yīng)用層防護(hù)選項(xiàng)，在核心業(yè)務(wù)區(qū)不啟用screening選項(xiàng)，僅在網(wǎng)絡(luò)出現(xiàn)異常流量時(shí)再打開(kāi)對(duì)應(yīng)的防御功能。配置常連接應(yīng)用需注意地方有：如果在長(zhǎng)連接應(yīng)用中已經(jīng)設(shè)計(jì)了心跳維持機(jī)制（如每隔幾分鐘，客戶端與服務(wù)端之間傳送心跳以維持會(huì)話），此時(shí)無(wú)需防火墻上設(shè)置timeout時(shí)間，使用默認(rèn)配置即可。該選項(xiàng)將可能造成防火墻的session被大量消耗同時(shí)這些session處于僵死狀態(tài)。、VOIP應(yīng)用處理，應(yīng)用代理的作用是使防火墻能夠理解應(yīng)用通訊的內(nèi)容，讓防火墻能夠從信令通道中提取出協(xié)商的端口信息，并在防火墻上動(dòng)態(tài)的打開(kāi)這些端口，在語(yǔ)音通訊結(jié)束后，再動(dòng)態(tài)關(guān)閉這些臨時(shí)端口。（注：很多用戶定制程序使用自定義的端口號(hào)，ignore參數(shù)使防火墻忽略端口的應(yīng)用類型，僅按常規(guī)方式處理通信連接。維護(hù)建議：當(dāng)Session資源正常使用至85％時(shí)，需要考慮設(shè)備容量限制并及時(shí)升級(jí)，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。如果出現(xiàn)內(nèi)存使用率高達(dá)90％時(shí)，需檢查網(wǎng)絡(luò)中是否存在攻擊流量，并察看為debug分配的內(nèi)存空間是否過(guò)大（get dbuf info單位為字節(jié)）。防火墻健康檢查信息表：設(shè)備型號(hào)軟件版本設(shè)備序列號(hào)設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用設(shè)備組網(wǎng)方式如：Layer3 口型A/P檢查對(duì)象檢查命令相關(guān)信息檢查結(jié)果備注SessionGet sessionCPUGet perf cpuMemoryGet memoryInterfaceGet interface路由表Get routeHA狀態(tài)Get nsrp事件查看Get log event告警信息Get alarm event機(jī)箱溫度Get chassisLEDLED指示燈檢查設(shè)備運(yùn)行參考基線SessionCpuMemory接口流量業(yè)務(wù)類型機(jī)箱溫度、常規(guī)維護(hù)建議：配置Systemip地址，指定專用終端管理防火墻；更改netscreen賬號(hào)和口令，不建議使用缺省的netscreen賬號(hào)管理防火墻；設(shè)置兩級(jí)管理員賬號(hào)并定期變更口令；僅容許使用SSH和SSL方式登陸防火墻進(jìn)行管理維護(hù)。防止防火墻發(fā)生硬件故障時(shí)能夠快速旁路防火墻，保證業(yè)務(wù)正常使用。故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的問(wèn)題和應(yīng)對(duì)措施，條件允許情況下，可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類故障時(shí)的處理流程，如：NSRP集群中設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機(jī)故障時(shí)的路徑保護(hù)切換。在故障明確定位前不要關(guān)閉防火墻。檢查是否存在攻擊流量通過(guò)查看告警信息確認(rèn)是否有異常信息，同時(shí)在上行交換機(jī)中通過(guò)端口鏡像捕獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，據(jù)此確認(rèn)異常流量和攻擊類型，并在Screen選項(xiàng)中啟用對(duì)應(yīng)防護(hù)措施來(lái)屏蔽攻擊流量。為快速恢復(fù)業(yè)務(wù)，可通過(guò)調(diào)整上下行設(shè)備路由指向，快速將防火墻旁路，同時(shí)聯(lián)系供應(yīng)商進(jìn)行故障診斷。分析網(wǎng)絡(luò)可能存在的薄弱環(huán)節(jié)和潛在隱患，通過(guò)技術(shù)論證和測(cè)試驗(yàn)證來(lái)修復(fù)隱患。1. Snoop filter ip srcip dstip dstport xx 設(shè)置過(guò)濾列表,定義捕獲包的范圍clear dbuf 清除防火墻內(nèi)存中緩存的分析包snoop 開(kāi)啟snoop功能捕獲數(shù)據(jù)包發(fā)送測(cè)試數(shù)據(jù)包或讓小部分流量穿越防火墻snoop off 停止snoopget db stream 檢查防火墻對(duì)符合過(guò)濾條件數(shù)據(jù)包的分析結(jié)果 snoop filter delete 清除防火墻snoop過(guò)濾列表 clear dbuf 清除防火墻緩存的debug信息 snoop info 查看snoop設(shè)置例子：Flow debug 例子設(shè)置輸出到console的bufferset console dbuf設(shè)置過(guò)濾列表：set ffilter ?如果設(shè)置多個(gè)過(guò)濾列表，各列表之間的是“或”的運(yùn)算關(guān)系開(kāi)啟/關(guān)閉debug 數(shù)據(jù)流的功能[debug/undebug] flow basicDebug 例子：（ICMP request）****** : Trust/trust packet received [60]******ipid = 5359(14ef), 03c9f550packet passed sanity check.trust:,1(8/0)Rootchose interface trust as ining nat if.search route to (trust, ) in vr trustvr for vsd0/flag0/ifpnull[Dest] , to untrustrouted (, ) from trust (trust in 0) to untrustpolicy search from zone 2 zone 1No SW RPC rule match, search HW rulePermitted by policy 9No src xlate choose interface untrust as outgoing phy ifno loop on ifp untrust.session application type 0, name None, timeout 60secservice lookup identified service 0.Session (id:818) created for first pak 1route to arp entry found for nsp2 wing prepared, readycache mac in the session****** : Untrust/untrust packet received [60]******ipid = 29278(725e), 03c391d0packet passed sanity check.untrust:,1(0/0)Rootexisting session found. sess token 3flow got session.flow session id 818post addr xlation: .IKE 會(huì)話debugDebug 命令：（開(kāi)啟IKE