【正文】 設備代理商將根據(jù)報修流程，由Juniper公司對保修期內的損壞部件或設備進行RMA（設備返修）?；蛟谥饔迷O備上執(zhí)行：exec nsrp vsdgroup id 0 mode backup,手動執(zhí)行防火墻主備切換。（注意保存配置） 當防火墻出現(xiàn)故障時，且已經(jīng)排除配置故障和ScreenOS軟件故障，可通過NSRP切換到備用設備來恢復網(wǎng)絡運行，并進一步定位硬件故障。 3) 超級終端遠程telnet/ssh到防火墻，通過unset all 命令清除防火墻配置，并進行重啟，重啟后將備份的配置命令粘貼到防火墻中。 防火墻當前配置信息若存在錯誤，需進行配置信息快速恢復，操作方式有三種： 1) tftp 服務器并在命令行下執(zhí)行：save config from tftp filename to flash，配置文件上傳后需執(zhí)行reset命令進行重啟。 2) 通過超級終端遠程telnet/ssh到防火墻，通過log記錄方式將get config配置信息記錄到本地。 當防火墻工作發(fā)生異常時，可通過兩種方式快速恢復防火墻操作系統(tǒng)： 1) 命令行方式：save software from tftp filename to flash； 2) web方式：Configuration Update ScreenOS/Keys下選中Firmware Update (ScreenOS)選項，并在Load File欄選中保存在本地的ScreenOS文件，然后點擊apply按鈕，上傳ScreenOS后防火墻將自動進行重啟。 Juniper防火墻在工作期間出現(xiàn)運行異常時，如需進行系統(tǒng)復位，可通過console線纜使用reset命令對防火墻進行重啟，重啟動期間可以在操作終端上查看防火墻相關啟動信息。Debug：跟蹤防火墻對數(shù)據(jù)包的處理過程1. Set ffilter srcip dstip dstport xx 設置過濾列表,定義捕獲包的范圍clear dbuf 清除防火墻內存中緩存的分析包debug flow basic 開啟debug數(shù)據(jù)流跟蹤功能發(fā)送測試數(shù)據(jù)包或讓小部分流量穿越防火墻undebug all 關閉所有debug功能get dbuf stream 檢查防火墻對符合過濾條件數(shù)據(jù)包的分析結果 unset ffilter 清除防火墻debug過濾列表 clear dbuf 清除防火墻緩存的debug信息 get debug 查看當前debug設置Snoop：捕獲進出防火墻的數(shù)據(jù)包，與Sniffer嗅包軟件功能類似。、 故障處理工具Netscreen防火墻提供靈活多樣的維護方式，其中故障處理時最有用的兩個工具是debug和snoop，debug用于跟蹤防火墻對指定包的處理，snoop用于捕獲流經(jīng)防火墻的數(shù)據(jù)包，由于debug和snoop均需要消耗防火墻的cpu和memory資源，在使用時務必要設置過慮列表，防火墻將僅對過慮列表范圍內的包進行分析，包分析結束后應在第一時間關閉debug和snoop功能。條件容許的情況下，構建防火墻業(yè)務測試環(huán)境，對所有需要調整的配置參數(shù)在上線前進行測試評估，避免因配置調整帶來新的故障隱患。、 總結改進故障處理后的總結與改進是進一步鞏固網(wǎng)絡可靠性的必要環(huán)節(jié)，有效的總結能夠避免很多網(wǎng)絡故障再次發(fā)生。防火墻發(fā)生故障時處理方法如果出現(xiàn)以下情況可初步判斷防火墻存在故障：無法使用console口登陸防火墻，防火墻反復啟動、無法建立ARP表、接口狀態(tài)始終為Down、無法進行配置調整等現(xiàn)象。檢查NSRP工作狀態(tài)使用get nsrp命令檢查nsrp集群工作狀態(tài)，如nsrp狀態(tài)出現(xiàn)異?；虬l(fā)生切換，需進一步確認引起切換的原因，引起NSRP切換原因通常為鏈路故障，交換機端口故障，設備斷電或重啟。部分地址無法通過防火墻往往與策略配置有關。網(wǎng)絡出現(xiàn)故障時，應快速判斷防火墻設備運行狀態(tài)，通過Console口登陸到防火墻上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。一旦定位防火墻故障，可通過命令進行NSRP雙機切換，單機環(huán)境下發(fā)生故障時利用備份的交換機/路由器配置，快速旁路防火墻。設備運行檔案表設備型號軟件版本設備序列號設備用途XX區(qū)防火墻設備狀態(tài)主用/備用設備組網(wǎng)方式如：Layer3 口型A/P保修期限供應商聯(lián)系方式配置變更變更原因變更內容結果負責人事件處理事件現(xiàn)象處理過程結果負責人 應急處理當網(wǎng)絡出現(xiàn)故障時，應迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位故障是否與防火墻有關。建立設備運行檔案，為配置變更、事件處理提供完整的維護記錄，定期評估配置、策略和路由是否優(yōu)化。在日常維護中建立防火墻資源使用參考基線，為判斷網(wǎng)絡異常提供參考依據(jù)。整理一份上下行交換機配置備份文檔（調整其中的端口地址和路由指向），提供備用網(wǎng)絡連線。 深入理解網(wǎng)絡中業(yè)務類型和流量特征，持續(xù)優(yōu)化防火墻策略。當Cpu占用超過平?；鶞手笜?0％時，需查看異常流量、告警日志、檢查策略是否優(yōu)化、配置文件中是否存在無效的命令。在業(yè)務使用高峰時段檢查防火墻關鍵資源（如：Cpu、Session、Memory和接口流量）等使用情況，建立網(wǎng)絡中業(yè)務流量對設備資源使用的基準指標，為今后確認網(wǎng)絡是否處于正常運行狀態(tài)提供參照依據(jù)。Memory: NetScreen防火墻對內存的使用把握得十分準確，采用“預分配”機制，空載時內存使用率為約5060%，隨著流量不斷增長，內存的使用率應基本保持穩(wěn)定。CPU: Netscreen是基于硬件架構的高性能防火墻，很多計算工作由專用ASIC芯片完成，正常工作狀態(tài)下防火墻CPU使用率應保持在50%以下，如出現(xiàn)CPU利用率過高情況需給予足夠重視，應檢查Session使用情況和各類告警信息，并檢查網(wǎng)絡中是否存在攻擊流量。日常維護過程中，需要重點檢查以下幾個關鍵信息：Session：如已使用的Session數(shù)達到或接近系統(tǒng)最大值，將導致新Session不能及時建立連接，此時已經(jīng)建立Session的通訊雖不會造成影響；但僅當現(xiàn)有session連接拆除后，釋放出來的Session資源才可供新建連接使用。此參數(shù)也適用于端口號非21/20的FTP應用）附錄：JUNIPER防火墻Case信息表(開case時需提供的信息)設備型號軟件版本設備序列號故障級別網(wǎng)絡結構如：Layer3 A/P 口型結構故障現(xiàn)象具體描述資源占用Get session infoGet pre cpu detailGet memory狀態(tài)信息Get configGet systemGet interfaceGet nsrpGet routeGet arpGet chassisGet socketGet pport日志查看Get log eventGet alarm event Get log system關聯(lián)信息Get techsupport通過tftp服務器收集后作為文件附件一并附上五、防火墻日常維護圍繞防火墻可靠運行和出現(xiàn)故障時能夠快速恢復為目標，Netscreen防火墻維護主要思路為：通過積極主動的日常維護將故障隱患消除在萌芽狀態(tài)；故障發(fā)生時，使用恰當?shù)脑\斷機制和有效的故障排查方法及時恢復網(wǎng)絡運行；故障處理后及時進行總結與改進避免故障再次發(fā)生。Set policy id X from trust to untrust any any permit Set policy id X application ignore 。容易造成防火墻在與各廠家VOIP系統(tǒng)互操作上存在兼容性問題，出現(xiàn)IP話機無法注冊、語音連接無法建立、撥號時間較長等故障現(xiàn)象。建議跟蹤網(wǎng)絡中每類業(yè)務的通訊狀況，在某些應用發(fā)生通訊障礙時，通過debug分析是否是防火墻拒絕了不嚴謹?shù)腡CP 包，確認后通過設置unset flow tcpsyncheck 的命令來使防火墻取消這種防范機制。如果需要超時等待的時間確實很長，建議配置一個具體的長時間段（如一周）。在配置 timeout值時，特別提醒不要使用“never timeout”（永不超時）的選項。長連接應用中沒有心跳機制時，通常情況下建議timeout值為36小時。所以在實施長連接應用策略時要配置合適的timeout值，以滿足長連接應用的要求。、特殊應用處理、長連接應用處理在金融行業(yè)網(wǎng)絡中經(jīng)常會遇到長連接應用，基于狀態(tài)檢測機制的防火墻在處理此類應用時要加以注意。 在設置screening選項的過程中，應密切注意防火墻CPU的利用率，以及相關應用的使用情況；如果出現(xiàn)異常（CPU利用率偏高了或應用不能通過），則立刻需要取消相關的選項。設置防范應用層的選項，在了解應用層的需求以及客戶化程序的編程標準后，如不采用ActiveX控件，可以選擇這些基于應用層的防攻擊選項。建議采用以下順序漸進實施防攻擊選項：設置防范DDoS Flood攻擊選項根據(jù)掌握的正常運行時的網(wǎng)絡流量、會話數(shù)量以及數(shù)據(jù)包傳輸量的值，在防范DDoS的選項上添加20％的余量作為閥值。要想有效發(fā)揮Netscreen Screening攻擊防御功能，需要對網(wǎng)絡中流量和協(xié)議類型有比較充分的認識，同時要理解每一個防御選項的具體含義，避免引發(fā)無謂的網(wǎng)絡故障。如果希望開啟Screening內的其它選項，在開啟這些防護功能前有幾個因素需要考慮：抵御攻擊的功能會占用防火墻部分CPU資源；自行開發(fā)的一些應用程序中，可能存在部分不規(guī)范的數(shù)據(jù)包格式；網(wǎng)絡環(huán)境中可能存在非常規(guī)性設計。如果防火墻有多個管理員，建議策略調整時，將變更者、變更具體時間、變更原因加入注釋中，便于后續(xù)跟蹤維護。組織好策略規(guī)則后，應寫上注釋并及時更新。MIP/VIP地址屬于全局區(qū)段地址，配置策略時建議通過全局區(qū)段來配置MIP/VIP地址相關策略，MIP/VIP地址雖然可為其余區(qū)段調用，但由于其余區(qū)段的“any”地址并不包括全局區(qū)段地址，在定義策略時應加以注意，避免配置不生效的策略。如果源區(qū)段和目的區(qū)段相同并啟用區(qū)段內阻斷，則防火墻在區(qū)段內部策略表中執(zhí)行策略查找。策略用于區(qū)段間單方向網(wǎng)絡訪問控制。盡量保持策略表簡潔和簡短，規(guī)則越多越容易犯錯誤。另外，對于策略配置中的Count(流量統(tǒng)計)選項，如非必要建議在業(yè)務時段不使用。策略配置中的Log(記錄日志)選項可以有效進行記錄、排錯等工作，但啟用此功能會耗用部分資源。試運行階段結束后，再將最后一條“禁止所有訪問”策略刪除。考慮到企業(yè)中業(yè)務流向復雜、業(yè)務種類往往比較多，因此建議在設置策略時盡量保證統(tǒng)一規(guī)劃以提高設置效率，提高可讀性，降低維護難度。exec failover revert 手動執(zhí)行將備用端口切換為主用端口。exec nsrp vsdgroup 0 mode ineligible 手動進行主備狀態(tài)切換時，在主用設備上執(zhí)行該切換命令，此時該主用設備已啟用搶占模式。get nsrp 查看NSRP集群中設備狀態(tài)、主備關系、會話同步以及參數(shù)開關信息。Lite版本是簡化版，支持設備和鏈路冗余切換，不支持配置和會話同步。NSRP許多配置參數(shù)是經(jīng)過檢驗的推薦配置，通常情況下建議采用這些缺省參數(shù)。在單臺防火墻設備提供的session和帶寬完全可以滿足網(wǎng)絡需求時，建議采用基于路由的ActivePassive主備模式，該模式組網(wǎng)結構清晰，便于維護和管理。防火墻nsrp集群建議采用接口監(jiān)控方式，僅在網(wǎng)絡不對稱的情況下有選擇使用Trackip監(jiān)控方式。、NSRP部署建議：基于端口和設備的冗余環(huán)境中，無需啟用端口和設備級的搶占模式（preempt），避免因交換機端口不穩(wěn)定而引發(fā)nsrp反復切換。四、防火墻日常應用、Netscreen 冗余協(xié)議（NSRP）NSRP協(xié)議提供了靈活的設備和路徑冗余保護功能，在設備和鏈路發(fā)生故障的情況下進行快速切換，切換時現(xiàn)有會話連接不會受到影響。另外系統(tǒng)也提供一個匯總的方式讓我們能夠方便地觀測所有策略的數(shù)據(jù)流的概要信息，比如在一個時刻都有哪些業(yè)務在運行，每種業(yè)務的數(shù)據(jù)量等等。查看自定義的服務：Policy Policy Elements Services Custom