【文章內(nèi)容簡介】 ，在設(shè)備和鏈路發(fā)生故障的情況下進(jìn)行快速切換，切換時(shí)現(xiàn)有會(huì)話連接不會(huì)受到影響。設(shè)計(jì)NSRP架構(gòu)時(shí)通常采用基于靜態(tài)路由的active/passive主備模式、口型或全交叉型連接方式。、NSRP部署建議：基于端口和設(shè)備的冗余環(huán)境中，無需啟用端口和設(shè)備級(jí)的搶占模式（preempt），避免因交換機(jī)端口不穩(wěn)定而引發(fā)nsrp反復(fù)切換。當(dāng)配置兩組或兩組以上的防火墻到同一組交換機(jī)上時(shí)，每組nsrp集群應(yīng)設(shè)置不同的cluster ID號(hào)，避免因相同的cluster ID號(hào)引發(fā)接口MAC地址沖突現(xiàn)象。防火墻nsrp集群建議采用接口監(jiān)控方式，僅在網(wǎng)絡(luò)不對(duì)稱的情況下有選擇使用Trackip監(jiān)控方式。在對(duì)稱網(wǎng)絡(luò)中接口監(jiān)控方式能夠更快更準(zhǔn)確的反映網(wǎng)絡(luò)狀態(tài)變化。在單臺(tái)防火墻設(shè)備提供的session和帶寬完全可以滿足網(wǎng)絡(luò)需求時(shí)，建議采用基于路由的ActivePassive主備模式，該模式組網(wǎng)結(jié)構(gòu)清晰，便于維護(hù)和管理。設(shè)備運(yùn)行時(shí)應(yīng)保證HA線纜連接可靠，為確保HA心跳連接不會(huì)出現(xiàn)中斷，建議配置HA備份鏈路“secondary－path”。NSRP許多配置參數(shù)是經(jīng)過檢驗(yàn)的推薦配置，通常情況下建議采用這些缺省參數(shù)。get licensekey 查看防火墻支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是簡化版，支持設(shè)備和鏈路冗余切換，不支持配置和會(huì)話同步。exec nsrp sync globalconfig checksum 檢查雙機(jī)配置命令是否同步exec nsrp sync globalconfig save 如雙機(jī)配置信息沒有自動(dòng)同步，請(qǐng)手動(dòng)執(zhí)行此同步命令，需要重啟系統(tǒng)。get nsrp 查看NSRP集群中設(shè)備狀態(tài)、主備關(guān)系、會(huì)話同步以及參數(shù)開關(guān)信息。Exec nsrp sync rto all from peer 手動(dòng)執(zhí)行RTO信息同步，使雙機(jī)保持會(huì)話信息一致exec nsrp vsdgroup 0 mode backup 手動(dòng)進(jìn)行主備狀態(tài)切換時(shí)，在主用設(shè)備上執(zhí)行該切換命令，此時(shí)該主用設(shè)備沒有啟用搶占模式。exec nsrp vsdgroup 0 mode ineligible 手動(dòng)進(jìn)行主備狀態(tài)切換時(shí)，在主用設(shè)備上執(zhí)行該切換命令，此時(shí)該主用設(shè)備已啟用搶占模式。set failover on/set failover auto啟用并容許冗余接口自動(dòng)切換exec failover force 手動(dòng)執(zhí)行將主用端口切換為備用端口。exec failover revert 手動(dòng)執(zhí)行將備用端口切換為主用端口。get alarm event 檢查設(shè)備告警信息，其中將包含NSRP狀態(tài)切換信息、策略配置與優(yōu)化（Policy）防火墻策略優(yōu)化與調(diào)整是網(wǎng)絡(luò)維護(hù)工作的重要內(nèi)容，策略是否優(yōu)化將對(duì)設(shè)備運(yùn)行性能產(chǎn)生顯著影響?？紤]到企業(yè)中業(yè)務(wù)流向復(fù)雜、業(yè)務(wù)種類往往比較多，因此建議在設(shè)置策略時(shí)盡量保證統(tǒng)一規(guī)劃以提高設(shè)置效率，提高可讀性，降低維護(hù)難度。策略配置與維護(hù)需要注意地方有：試運(yùn)行階段最后一條策略定義為所有訪問允許并作log，以便在不影響業(yè)務(wù)的情況下找漏補(bǔ)遺；當(dāng)確定把所有的業(yè)務(wù)流量都調(diào)查清楚并放行后，可將最后一條定義為所有訪問禁止并作log，以便在試運(yùn)行階段觀察非法流量行蹤。試運(yùn)行階段結(jié)束后，再將最后一條“禁止所有訪問”策略刪除。防火墻按從上至下順序搜索策略表進(jìn)行策略匹配，策略順序?qū)B接建立速度會(huì)有影響，建議將流量大的應(yīng)用和延時(shí)敏感應(yīng)用放于策略表的頂部，將較為特殊的策略定位在不太特殊的策略上面。策略配置中的Log(記錄日志)選項(xiàng)可以有效進(jìn)行記錄、排錯(cuò)等工作，但啟用此功能會(huì)耗用部分資源。建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用，或僅在必要時(shí)采用。另外，對(duì)于策略配置中的Count(流量統(tǒng)計(jì))選項(xiàng)，如非必要建議在業(yè)務(wù)時(shí)段不使用。簡化的策略表不僅便于維護(hù)，而且有助于快速匹配。盡量保持策略表簡潔和簡短，規(guī)則越多越容易犯錯(cuò)誤。通過定義地址組和服務(wù)組可以將多個(gè)單一策略合并到一條組合策略中。策略用于區(qū)段間單方向網(wǎng)絡(luò)訪問控制。如果源區(qū)段和目的區(qū)段不同，則防火墻在區(qū)段間策略表中執(zhí)行策略查找。如果源區(qū)段和目的區(qū)段相同并啟用區(qū)段內(nèi)阻斷，則防火墻在區(qū)段內(nèi)部策略表中執(zhí)行策略查找。如果在區(qū)段間或區(qū)段內(nèi)策略表中沒有找到匹配策略，則安全設(shè)備會(huì)檢查全局策略表以查找匹配策略。MIP/VIP地址屬于全局區(qū)段地址，配置策略時(shí)建議通過全局區(qū)段來配置MIP/VIP地址相關(guān)策略，MIP/VIP地址雖然可為其余區(qū)段調(diào)用，但由于其余區(qū)段的“any”地址并不包括全局區(qū)段地址，在定義策略時(shí)應(yīng)加以注意，避免配置不生效的策略。策略變更控制。組織好策略規(guī)則后，應(yīng)寫上注釋并及時(shí)更新。注釋可以幫助管理員了解每條策略的用途，對(duì)策略理解得越全面，錯(cuò)誤配置的可能性就越小。如果防火墻有多個(gè)管理員，建議策略調(diào)整時(shí)，將變更者、變更具體時(shí)間、變更原因加入注釋中，便于后續(xù)跟蹤維護(hù)。、攻擊防御（Screen）Netscreen防火墻利用Screening功能抵御互聯(lián)網(wǎng)上流行的DoS/DDoS的攻擊，一些流行的攻擊手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墻在抵御這些攻擊時(shí)，通過專用ASIC芯片來進(jìn)行處理，適當(dāng)開啟這些抗攻擊選項(xiàng)對(duì)防火墻的性能不會(huì)產(chǎn)生太大影響。如果希望開啟Screening內(nèi)的其它選項(xiàng)，在開啟這些防護(hù)功能前有幾個(gè)因素需要考慮：抵御攻擊的功能會(huì)占用防火墻部分CPU資源；自行開發(fā)的一些應(yīng)用程序中，可能存在部分不規(guī)范的數(shù)據(jù)包格式；網(wǎng)絡(luò)環(huán)境中可能存在非常規(guī)性設(shè)計(jì)。如果因選擇過多的防攻擊選項(xiàng)而大幅降低了防火墻處理能力，則會(huì)影響正常網(wǎng)絡(luò)處理的性能；如果自行開發(fā)的程序不規(guī)范，可能會(huì)被IP數(shù)據(jù)包協(xié)議異常的攻擊選項(xiàng)屏蔽；非常規(guī)的網(wǎng)絡(luò)設(shè)計(jì)也會(huì)出現(xiàn)合法流量被屏蔽問題。要想有效發(fā)揮Netscreen Screening攻擊防御功能，需要對(duì)網(wǎng)絡(luò)中流量和協(xié)議類型有比較充分的認(rèn)識(shí)，同時(shí)要理解每一個(gè)防御選項(xiàng)的具體含義，避免引發(fā)無謂的網(wǎng)絡(luò)故障。防攻擊選項(xiàng)的啟用需要采用逐步逼近的方式，一次僅啟用一個(gè)防攻擊選項(xiàng)，然后觀察設(shè)備資源占用情況和防御結(jié)果，在確認(rèn)運(yùn)行正常后再考慮按需啟用另一個(gè)選項(xiàng)。建議采用以下順序漸進(jìn)實(shí)施防攻擊選項(xiàng)：設(shè)置防范DDoS Flood攻擊選項(xiàng)根據(jù)掌握的正常運(yùn)行時(shí)的網(wǎng)絡(luò)流量、會(huì)話數(shù)量以及數(shù)據(jù)包傳輸量的值，在防范DDoS的選項(xiàng)上添加20％的余量作為閥值。如果要設(shè)置防范IP協(xié)議層的選項(xiàng)，需在深入了解網(wǎng)絡(luò)環(huán)境后，再將IP協(xié)議和網(wǎng)絡(luò)層的攻擊選項(xiàng)逐步選中。設(shè)置防范應(yīng)用層的選項(xiàng)，在了解應(yīng)用層的需求以及客戶化程序的編程標(biāo)準(zhǔn)后，如不采用ActiveX控件，可以選擇這些基于應(yīng)用層的防攻擊選項(xiàng)。為檢查網(wǎng)絡(luò)中是否存在攻擊流量，可以臨時(shí)打開該區(qū)段screening頂部Generate Alarms without Dropping Packet選項(xiàng)，確認(rèn)攻擊類型后再將該選項(xiàng)去除。 在設(shè)置screening選項(xiàng)的過程中，應(yīng)密切注意防火墻CPU的利用率，以及相關(guān)應(yīng)用的使用情況；如果出現(xiàn)異常（CPU利用率偏高了或應(yīng)用不能通過），則立刻需要取消相關(guān)的選項(xiàng)。建議正常時(shí)期在untrust區(qū)啟用防flood攻擊選項(xiàng)，在辦公用戶區(qū)啟用flood和應(yīng)用層防護(hù)選項(xiàng)，在核心業(yè)務(wù)區(qū)不啟用screening選項(xiàng)，僅在網(wǎng)絡(luò)出現(xiàn)異常流量時(shí)再打開對(duì)應(yīng)的防御功能。、特殊應(yīng)用處理、長連接應(yīng)用處理在金融行業(yè)網(wǎng)絡(luò)中經(jīng)常會(huì)遇到長連接應(yīng)用，基于狀態(tài)檢測機(jī)制的防火墻在處理此類應(yīng)用時(shí)要加以注意。缺省情況下，Netscreen防火墻對(duì)每一個(gè)會(huì)話的連接保持時(shí)間是30分鐘（TCP）和1分鐘（UDP），超時(shí)后狀態(tài)表項(xiàng)將會(huì)被清除。所以在實(shí)施長連接應(yīng)用策略時(shí)要配置合適的timeout值，以滿足長連接應(yīng)用的要求。配置常連接應(yīng)用需注意地方有：如果在長連接應(yīng)用中已經(jīng)設(shè)計(jì)了心跳維持機(jī)制（如每隔幾分鐘，客戶端與服務(wù)端之間傳送心跳以維持會(huì)話），此時(shí)無需防火墻上設(shè)置timeout時(shí)間，使用默認(rèn)配置即可。長連接應(yīng)用中沒有心跳機(jī)制時(shí)，通常情況下建議timeout值為36小時(shí)。應(yīng)用通常在工作時(shí)間建立連接，這樣可在下班后時(shí)間拆除連接。在配置 timeout值時(shí)，特別提醒不要使用“never timeout”（永不超時(shí)）的選項(xiàng)。該選項(xiàng)將可能造成防火墻的session被大量消耗同時(shí)這些session處于僵死狀態(tài)。如果需要超時(shí)等待的時(shí)間確實(shí)很長，建議配置一個(gè)具體的長時(shí)間段（如一周）。、不規(guī)范TCP應(yīng)用處理正常TCP應(yīng)用連接建立需要3次握手，然而某些用戶定制的應(yīng)用程序因開發(fā)規(guī)范不嚴(yán)謹(jǐn)或特殊需要，存在類似SYN沒有置位的連接請(qǐng)求，對(duì)于這類不嚴(yán)謹(jǐn)?shù)耐ㄓ嵦幚響?yīng)加以特別注意，因?yàn)閚etscreen防火墻在默認(rèn)情況下，對(duì)這種不嚴(yán)謹(jǐn)?shù)腡CP連接視為非法連接并將連接阻斷。建議跟蹤網(wǎng)絡(luò)中每類業(yè)務(wù)的通訊狀況，在某些應(yīng)用發(fā)生通訊障礙時(shí)，通過debug分析是否是防火墻拒絕了不嚴(yán)謹(jǐn)?shù)腡CP 包，確認(rèn)后通過設(shè)置unset flow tcpsyncheck 的命令來使防火墻取消這種防范機(jī)制。、VOIP應(yīng)用處理，應(yīng)用代理的作用是使防火墻能夠理解應(yīng)用通訊的內(nèi)容，讓防火墻能夠從信令通道中提取出協(xié)商的端口信息，并在防火墻上動(dòng)態(tài)的打開這些端口，在語音通訊結(jié)束后，再動(dòng)態(tài)關(guān)閉這些臨時(shí)端口。，容易造成防火墻在與各廠家VOIP系統(tǒng)互操作上存在兼容性問題，出現(xiàn)IP話機(jī)無法注冊(cè)、語音連接無法建立、撥號(hào)時(shí)間較長等故障現(xiàn)象。解決方法兩種：set alg h323 disable 。Set policy id X from trust to untrust any any permit Set policy id X application ignore 。（注：很多用戶定制程序使用自定義的端口號(hào)，ignore參數(shù)使防火墻忽略端口的應(yīng)用類型，僅按常規(guī)方式處理通信連接。此參數(shù)也適用于端口號(hào)非21/20的FTP應(yīng)用）附錄：JUNIPER防火墻Case信息表(開case時(shí)需提供的信息)設(shè)備型號(hào)軟件版本設(shè)備序列號(hào)故障級(jí)別網(wǎng)絡(luò)結(jié)構(gòu)如：Layer3 A/P 口型結(jié)構(gòu)故障現(xiàn)象具體描述資源占用Get session infoGet pre cpu detailGet memory狀態(tài)信息Get configGet systemGet interfaceGet nsrpGet routeGet arpGet chassisGet socketGet pport日志查看Get log eventGet alarm event Get log system關(guān)聯(lián)信息Get techsupport通過tftp服務(wù)器收集后作為文件附件一并附上五、防火墻日常維護(hù)圍繞防火墻可靠運(yùn)行和出現(xiàn)故障時(shí)能夠快速恢復(fù)為目標(biāo)，Netscreen防火墻維護(hù)主要思路為：通過積極主動(dòng)的日常維護(hù)將故障隱患消除在萌芽狀態(tài)；故障發(fā)生時(shí)，使用恰當(dāng)?shù)脑\斷機(jī)制和有效的故障排查方法及時(shí)恢復(fù)網(wǎng)絡(luò)運(yùn)行；故障處理后及時(shí)進(jìn)行總結(jié)與改進(jìn)避免故障再次發(fā)生。、常規(guī)維護(hù)在防火墻的日常維護(hù)中，通過對(duì)防火墻進(jìn)行健康檢查，能夠?qū)崟r(shí)了解Netscreen防火墻運(yùn)行狀況，檢測相關(guān)告警信息，提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患，以確保設(shè)備始終處于正常工作狀態(tài)。日常維護(hù)過程中，需要重點(diǎn)檢查以下幾個(gè)關(guān)鍵信息：Session：如已使用的Session數(shù)達(dá)到或接近系統(tǒng)最大值，將導(dǎo)致新Session不能及時(shí)建立連接，此時(shí)已經(jīng)建立Session的通訊雖不會(huì)造成影響；但僅當(dāng)現(xiàn)有session連接拆除后，釋放出來的Session資源才可供新建連接使用。維護(hù)建議：當(dāng)Session資源正常使用至85％時(shí)，需要考慮設(shè)備容量限制并及時(shí)升級(jí)，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU: Netscreen是基于硬件架構(gòu)的高性能防火墻，很多計(jì)算工作由專用ASIC芯片完成，正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在50%以下，如出現(xiàn)CPU利用率過高情況需給予足夠重視，應(yīng)檢查Session使用情況和各類告警信息，并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU利用率過高往往與攻擊有關(guān)，可通過正確設(shè)置screening對(duì)應(yīng)選項(xiàng)進(jìn)行防范。Memory: NetScreen防火墻對(duì)內(nèi)存的使用把握得十分準(zhǔn)確，采用“預(yù)分配”機(jī)制，空載時(shí)內(nèi)存使用率為約5060%，隨著流量不斷增長，內(nèi)存的使用率應(yīng)基本保持穩(wěn)定。如果出現(xiàn)內(nèi)存使用率高達(dá)90％時(shí)，需檢查網(wǎng)絡(luò)中是否存在攻擊流量，并察看為debug分配的內(nèi)存空間是否過大（get dbuf info單位為字節(jié)）。在業(yè)務(wù)使用高峰時(shí)段檢查防火墻關(guān)鍵資源（如：Cpu、Session、Memory和接口流量）等使用情況，建立網(wǎng)絡(luò)中業(yè)務(wù)流