【文章內容簡介】 ，在設備和鏈路發(fā)生故障的情況下進行快速切換，切換時現有會話連接不會受到影響。設計NSRP架構時通常采用基于靜態(tài)路由的active/passive主備模式、口型或全交叉型連接方式。、NSRP部署建議：基于端口和設備的冗余環(huán)境中，無需啟用端口和設備級的搶占模式（preempt），避免因交換機端口不穩(wěn)定而引發(fā)nsrp反復切換。當配置兩組或兩組以上的防火墻到同一組交換機上時，每組nsrp集群應設置不同的cluster ID號，避免因相同的cluster ID號引發(fā)接口MAC地址沖突現象。防火墻nsrp集群建議采用接口監(jiān)控方式，僅在網絡不對稱的情況下有選擇使用Trackip監(jiān)控方式。在對稱網絡中接口監(jiān)控方式能夠更快更準確的反映網絡狀態(tài)變化。在單臺防火墻設備提供的session和帶寬完全可以滿足網絡需求時，建議采用基于路由的ActivePassive主備模式，該模式組網結構清晰，便于維護和管理。設備運行時應保證HA線纜連接可靠，為確保HA心跳連接不會出現中斷，建議配置HA備份鏈路“secondary－path”。NSRP許多配置參數是經過檢驗的推薦配置，通常情況下建議采用這些缺省參數。get licensekey 查看防火墻支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是簡化版，支持設備和鏈路冗余切換，不支持配置和會話同步。exec nsrp sync globalconfig checksum 檢查雙機配置命令是否同步exec nsrp sync globalconfig save 如雙機配置信息沒有自動同步，請手動執(zhí)行此同步命令，需要重啟系統(tǒng)。get nsrp 查看NSRP集群中設備狀態(tài)、主備關系、會話同步以及參數開關信息。Exec nsrp sync rto all from peer 手動執(zhí)行RTO信息同步，使雙機保持會話信息一致exec nsrp vsdgroup 0 mode backup 手動進行主備狀態(tài)切換時，在主用設備上執(zhí)行該切換命令，此時該主用設備沒有啟用搶占模式。exec nsrp vsdgroup 0 mode ineligible 手動進行主備狀態(tài)切換時，在主用設備上執(zhí)行該切換命令，此時該主用設備已啟用搶占模式。set failover on/set failover auto啟用并容許冗余接口自動切換exec failover force 手動執(zhí)行將主用端口切換為備用端口。exec failover revert 手動執(zhí)行將備用端口切換為主用端口。get alarm event 檢查設備告警信息，其中將包含NSRP狀態(tài)切換信息、策略配置與優(yōu)化（Policy）防火墻策略優(yōu)化與調整是網絡維護工作的重要內容，策略是否優(yōu)化將對設備運行性能產生顯著影響?？紤]到企業(yè)中業(yè)務流向復雜、業(yè)務種類往往比較多，因此建議在設置策略時盡量保證統(tǒng)一規(guī)劃以提高設置效率，提高可讀性，降低維護難度。策略配置與維護需要注意地方有：試運行階段最后一條策略定義為所有訪問允許并作log，以便在不影響業(yè)務的情況下找漏補遺；當確定把所有的業(yè)務流量都調查清楚并放行后，可將最后一條定義為所有訪問禁止并作log，以便在試運行階段觀察非法流量行蹤。試運行階段結束后，再將最后一條“禁止所有訪問”策略刪除。防火墻按從上至下順序搜索策略表進行策略匹配，策略順序對連接建立速度會有影響，建議將流量大的應用和延時敏感應用放于策略表的頂部，將較為特殊的策略定位在不太特殊的策略上面。策略配置中的Log(記錄日志)選項可以有效進行記錄、排錯等工作，但啟用此功能會耗用部分資源。建議在業(yè)務量大的網絡上有選擇采用，或僅在必要時采用。另外，對于策略配置中的Count(流量統(tǒng)計)選項，如非必要建議在業(yè)務時段不使用。簡化的策略表不僅便于維護，而且有助于快速匹配。盡量保持策略表簡潔和簡短，規(guī)則越多越容易犯錯誤。通過定義地址組和服務組可以將多個單一策略合并到一條組合策略中。策略用于區(qū)段間單方向網絡訪問控制。如果源區(qū)段和目的區(qū)段不同，則防火墻在區(qū)段間策略表中執(zhí)行策略查找。如果源區(qū)段和目的區(qū)段相同并啟用區(qū)段內阻斷，則防火墻在區(qū)段內部策略表中執(zhí)行策略查找。如果在區(qū)段間或區(qū)段內策略表中沒有找到匹配策略，則安全設備會檢查全局策略表以查找匹配策略。MIP/VIP地址屬于全局區(qū)段地址，配置策略時建議通過全局區(qū)段來配置MIP/VIP地址相關策略，MIP/VIP地址雖然可為其余區(qū)段調用，但由于其余區(qū)段的“any”地址并不包括全局區(qū)段地址，在定義策略時應加以注意，避免配置不生效的策略。策略變更控制。組織好策略規(guī)則后，應寫上注釋并及時更新。注釋可以幫助管理員了解每條策略的用途，對策略理解得越全面，錯誤配置的可能性就越小。如果防火墻有多個管理員，建議策略調整時，將變更者、變更具體時間、變更原因加入注釋中，便于后續(xù)跟蹤維護。、攻擊防御（Screen）Netscreen防火墻利用Screening功能抵御互聯網上流行的DoS/DDoS的攻擊，一些流行的攻擊手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墻在抵御這些攻擊時，通過專用ASIC芯片來進行處理，適當開啟這些抗攻擊選項對防火墻的性能不會產生太大影響。如果希望開啟Screening內的其它選項，在開啟這些防護功能前有幾個因素需要考慮：抵御攻擊的功能會占用防火墻部分CPU資源；自行開發(fā)的一些應用程序中，可能存在部分不規(guī)范的數據包格式；網絡環(huán)境中可能存在非常規(guī)性設計。如果因選擇過多的防攻擊選項而大幅降低了防火墻處理能力，則會影響正常網絡處理的性能；如果自行開發(fā)的程序不規(guī)范，可能會被IP數據包協(xié)議異常的攻擊選項屏蔽；非常規(guī)的網絡設計也會出現合法流量被屏蔽問題。要想有效發(fā)揮Netscreen Screening攻擊防御功能，需要對網絡中流量和協(xié)議類型有比較充分的認識，同時要理解每一個防御選項的具體含義，避免引發(fā)無謂的網絡故障。防攻擊選項的啟用需要采用逐步逼近的方式，一次僅啟用一個防攻擊選項，然后觀察設備資源占用情況和防御結果，在確認運行正常后再考慮按需啟用另一個選項。建議采用以下順序漸進實施防攻擊選項：設置防范DDoS Flood攻擊選項根據掌握的正常運行時的網絡流量、會話數量以及數據包傳輸量的值，在防范DDoS的選項上添加20％的余量作為閥值。如果要設置防范IP協(xié)議層的選項，需在深入了解網絡環(huán)境后，再將IP協(xié)議和網絡層的攻擊選項逐步選中。設置防范應用層的選項，在了解應用層的需求以及客戶化程序的編程標準后，如不采用ActiveX控件，可以選擇這些基于應用層的防攻擊選項。為檢查網絡中是否存在攻擊流量，可以臨時打開該區(qū)段screening頂部Generate Alarms without Dropping Packet選項，確認攻擊類型后再將該選項去除。 在設置screening選項的過程中，應密切注意防火墻CPU的利用率，以及相關應用的使用情況；如果出現異常（CPU利用率偏高了或應用不能通過），則立刻需要取消相關的選項。建議正常時期在untrust區(qū)啟用防flood攻擊選項，在辦公用戶區(qū)啟用flood和應用層防護選項，在核心業(yè)務區(qū)不啟用screening選項，僅在網絡出現異常流量時再打開對應的防御功能。、特殊應用處理、長連接應用處理在金融行業(yè)網絡中經常會遇到長連接應用，基于狀態(tài)檢測機制的防火墻在處理此類應用時要加以注意。缺省情況下，Netscreen防火墻對每一個會話的連接保持時間是30分鐘（TCP）和1分鐘（UDP），超時后狀態(tài)表項將會被清除。所以在實施長連接應用策略時要配置合適的timeout值，以滿足長連接應用的要求。配置常連接應用需注意地方有：如果在長連接應用中已經設計了心跳維持機制（如每隔幾分鐘，客戶端與服務端之間傳送心跳以維持會話），此時無需防火墻上設置timeout時間，使用默認配置即可。長連接應用中沒有心跳機制時，通常情況下建議timeout值為36小時。應用通常在工作時間建立連接，這樣可在下班后時間拆除連接。在配置 timeout值時，特別提醒不要使用“never timeout”（永不超時）的選項。該選項將可能造成防火墻的session被大量消耗同時這些session處于僵死狀態(tài)。如果需要超時等待的時間確實很長，建議配置一個具體的長時間段（如一周）。、不規(guī)范TCP應用處理正常TCP應用連接建立需要3次握手，然而某些用戶定制的應用程序因開發(fā)規(guī)范不嚴謹或特殊需要，存在類似SYN沒有置位的連接請求，對于這類不嚴謹的通訊處理應加以特別注意，因為netscreen防火墻在默認情況下，對這種不嚴謹的TCP連接視為非法連接并將連接阻斷。建議跟蹤網絡中每類業(yè)務的通訊狀況，在某些應用發(fā)生通訊障礙時，通過debug分析是否是防火墻拒絕了不嚴謹的TCP 包，確認后通過設置unset flow tcpsyncheck 的命令來使防火墻取消這種防范機制。、VOIP應用處理，應用代理的作用是使防火墻能夠理解應用通訊的內容，讓防火墻能夠從信令通道中提取出協(xié)商的端口信息，并在防火墻上動態(tài)的打開這些端口，在語音通訊結束后，再動態(tài)關閉這些臨時端口。，容易造成防火墻在與各廠家VOIP系統(tǒng)互操作上存在兼容性問題，出現IP話機無法注冊、語音連接無法建立、撥號時間較長等故障現象。解決方法兩種：set alg h323 disable 。Set policy id X from trust to untrust any any permit Set policy id X application ignore 。（注：很多用戶定制程序使用自定義的端口號，ignore參數使防火墻忽略端口的應用類型，僅按常規(guī)方式處理通信連接。此參數也適用于端口號非21/20的FTP應用）附錄：JUNIPER防火墻Case信息表(開case時需提供的信息)設備型號軟件版本設備序列號故障級別網絡結構如：Layer3 A/P 口型結構故障現象具體描述資源占用Get session infoGet pre cpu detailGet memory狀態(tài)信息Get configGet systemGet interfaceGet nsrpGet routeGet arpGet chassisGet socketGet pport日志查看Get log eventGet alarm event Get log system關聯信息Get techsupport通過tftp服務器收集后作為文件附件一并附上五、防火墻日常維護圍繞防火墻可靠運行和出現故障時能夠快速恢復為目標，Netscreen防火墻維護主要思路為：通過積極主動的日常維護將故障隱患消除在萌芽狀態(tài)；故障發(fā)生時，使用恰當的診斷機制和有效的故障排查方法及時恢復網絡運行；故障處理后及時進行總結與改進避免故障再次發(fā)生。、常規(guī)維護在防火墻的日常維護中，通過對防火墻進行健康檢查，能夠實時了解Netscreen防火墻運行狀況，檢測相關告警信息，提前發(fā)現并消除網絡異常和潛在故障隱患，以確保設備始終處于正常工作狀態(tài)。日常維護過程中，需要重點檢查以下幾個關鍵信息：Session：如已使用的Session數達到或接近系統(tǒng)最大值，將導致新Session不能及時建立連接，此時已經建立Session的通訊雖不會造成影響；但僅當現有session連接拆除后，釋放出來的Session資源才可供新建連接使用。維護建議：當Session資源正常使用至85％時，需要考慮設備容量限制并及時升級，以避免因設備容量不足影響業(yè)務拓展。CPU: Netscreen是基于硬件架構的高性能防火墻，很多計算工作由專用ASIC芯片完成，正常工作狀態(tài)下防火墻CPU使用率應保持在50%以下，如出現CPU利用率過高情況需給予足夠重視，應檢查Session使用情況和各類告警信息，并檢查網絡中是否存在攻擊流量。通常情況下CPU利用率過高往往與攻擊有關，可通過正確設置screening對應選項進行防范。Memory: NetScreen防火墻對內存的使用把握得十分準確，采用“預分配”機制，空載時內存使用率為約5060%，隨著流量不斷增長，內存的使用率應基本保持穩(wěn)定。如果出現內存使用率高達90％時，需檢查網絡中是否存在攻擊流量，并察看為debug分配的內存空間是否過大（get dbuf info單位為字節(jié)）。在業(yè)務使用高峰時段檢查防火墻關鍵資源（如：Cpu、Session、Memory和接口流量）等使用情況，建立網絡中業(yè)務流