Juniper防火墙标准配置模板和日常维护建议v4ppt课件

Juniper防火墙标准配置模板和日常维护建议 标准配置模板 时钟设置 setclockdst off 关闭夏时制setclockntp 启用ntp服务setclocktimezone8 设置为东八区setclocktimexxxx 设置设备本地时钟setntpserver x x x x 设置ntp服务器地址setntpserverbackup1 y y y y setntpserverbackup2 z z z z setntpmax adjustment0 允许任意时钟误差情况下都进行时间更新execntpupdate 手动执行NTP同步getntp 检查NTP同步状态 UpdateStatus Idle表示没有同步 setntpno ha sync 关闭NSRP模式下的主备防火墙间的NTP同步 Syslog配置 setsyslogconfig x x x x 设置syslog服务器地址setsyslogconfig x x x x facilitieslocal7local0 指定alarmlevel emergency alert critical 的日志送到local7 eventlevel error warning notification information debug 的日志送到local0 具体local值请和syslog管理员协商setsyslogenable 启用syslog服务 Zone配置 setzone zonename vrouter trust vr 所有zone都放在trust vr路由表中unsetzone zonename tcp rst 关闭不必要的tcp rst功能 在启用tcp syn check环境下 tcp rst将使防火墙丢弃不带syn的首包 并给源端发送reset报文Setzone zonename block zone内部接口 子接口 间流量互访必须经过Policy检查setzone zonename screenlimit sessionsource ip based number 对同一源地址的session数量进行限制 用于特定情况 对防火墙资源消耗有限 Zone配置的特例 如果要求带外管理zone和数据通讯zone进行路由隔离 企业规范要求或地址冲突等原因 则分别使用不同的路由表 进行路由隔离 一般情况不要如此配置 会增加维护复杂性setzone MGT vrouter trust vr 带外管理zone使用trust vr路由表setzone zonename vrouter untrust vr 数据通讯zone使用untrust vr路由表 Interface配置 setinterface interfacename route 所有端口都设置为route模式 默认情况下trustzone下的interface为nat模式 需要注意这一点setinterface interfacename ipx x x x xxsetinterface interfacename manage ipx x x y 区分NSRP主备机上的Syslog或SNMP或NTP或Telnet或Track ip等管理流量的源IP所必须具备的前提setinterfaceredundant1primaryethernet2 1 如果配置了redundant端口则指定主用端口 nsrp配置 setnsrpclusterid1setnsrpvsd groupid0priority50 主防火墙优先级setnsrpvsd groupid0priority100 备防火墙优先级setnsrpvsd groupmaster always exist 在主备都存在故障情况下强制选择出一个主防火墙 防止NSRPmonitor失误引起的双备机现象要求配置双HA接口 不需要secondnsrpinterface nsrpRTO配置 setnsrprto mirrorsync 同步各种RTO对象unsetnsrprto mirrorsessionping 取消ICMPsession的同步 一般认为ICMPsession不是业务连接 不需要同步setnsrprto mirrorsessionageout ack 备防火墙session表项超时前会向主防火墙进行是否超时确认 nsrpfailover功能配置 setnsrpmonitorinterface interfacename 在device级别设置端口监控setnsrpmonitortrack ipip 启用track ip功能setinterface interfacename manage ipz z z z 启用track ip功能必须设置端口的管理地址setnsrpmonitortrack ipipx x x xthreshold5 设置trackip地址和连续丢包的阈值为5 降低误报的可能性setnsrpmonitortrack ipipx x x xmethodarp x x x x是本地设备地址 用arp方法检查 y y y y是远端设备地址 用ping方法检查setnsrpmonitortrack ipipx x x xweight150setnsrpmonitortrack ipipy y y ythreshold5 要求同时设置两个以上的track ip地址 单一地址可能出现误切换setnsrpmonitortrack ipipy y y yweight150 要求x x x x和y y y y这两个地址是在防火墙同一侧的两台设备 只有当这两个地址同时ping或arp不通时 产生权重300 255 防火墙才会failover切换 降低误报的可能性禁止使用类似setnsrpvsd groupid0monitorxxx这种vsd group级别的监控功能 这会导致device级别的监控配置失效 flow配置 setflowsyn proxysyn cookie 仅适用于0S5 4以上版本unsetflowtcp syn check 不做TCPsyn检查 如果是新增防火墙 则建议启用以提高安全性 但是启用NAT时则一定会做syn检查setflowno tcp seq check 不做TCP序列号检查可以通过getflow来确认结果 OS5 0版本的结果 CheckTCPSYNbitbeforecreatesession NoSkipsequencenumbercheckinstatefulinspection YESOS5 4以上版本的结果 CheckTCPSYNbitbeforecreatesession refreshsessiononlyaftertcp3wayhandshake NOCheckTCPSYNbitbeforecreatesession NOSkipsequencenumbercheckinstatefulinspection YES ALG配置 unsetalgmgcpenableunsetalgsccpenableunsetalgsunrpcenableunsetalgmsrpcenableunsetalgrtspenableunsetalgsipenableunsetalgh323enable 关闭所有不需要的ALG 不同OS版本ALG数量不同 setalg 看有哪些具体ALG 一般情况下FTP SQL等常用ALG建议保留 如果需要禁用的话可以在policy级别禁用 arp配置 setarpalways on dest其目的是通过防火墙arp表来获得session表中的返回数据包的MAC地址 而不是通过in包的MAC地址作为返回数据包的MAC地址 这可以规避有些双机协议 负载分担协议等存在的设计缺陷 但是需要注意一种可能存在的风险 就是已经在线的防火墙 并且没有配置缺省路由 在没有session中的源地址的路由条目的情况下 session原来也是可以建立并转发的 一旦设置了这条命令会引起这种session的中断 注意在OS6 0上 setarpalways on dest 映射为 setflowreverse routeclear textalways unsetarpalways on dest 映射为 setflowreverse routeclear textprefer 不要随意添加额外的功能 如 nsrppreemptnsrpsecondary pathnsrpha linkprobe等等对其它系统默认参数的调整也是严格禁止的 日常维护建议 SNMP网管监控1 nsResCpuLast1Min 最近1分钟CPU利用率 1 3 6 1 4 1 3224 16 1 2 每分钟采样nsResSessAllocate 当前session数 1 3 6 1 4 1 3224 16 3 2 每分钟采样nsResMemLeft 剩余内存 1 3 6 1 4 1 3224 16 2 2 每5分钟采样nsResMemFrag MemFrag 1 3 6 1 4 1 3224 16 2 3 每5分钟采样根据实际经验设置告警阈值 SNMP网管监控2 主防火墙nsrpRtoCounterSend中的SESS CR值 1 3 6 1 4 1 3224 6 3 3 3 1 3 1 SESS CL值 1 3 6 1 4 1 3224 6 3 3 3 1 3 2 和SESS CH值 1 3 6 1 4 1 3224 6 3 3 3 1 3 3 每分钟采样 备防火墙nsrpRtoCounterReceive中的SESS CR值 1 3 6 1 4 1 3224 6 3 3 3 1 4 1 SESS CL值 1 3 6 1 4 1 3224 6 3 3 3 1 4 2 和SESS CH值 1 3 6 1 4 1 3224 6 3 3 3 1 4 3 每分钟采样 SNMP网管监控3 NsIfFlowEntry Netscreen端口流量表 1 3 6 1 4 1 3224 9 3 1 是对IfEntry的补充完善 其中重点监控表中的nsIfFlowInPacket 1 3 6 1 4 1 3224 9 3 1 4 nsIfFlowOutPacket 1 3 6 1 4 1 3224 9 3 1 6 等 每5分钟采样 IfEntry RFC1213端口属性表 1 3 6 1 2 1 2 2 1 其中重点监控表中的ifInOctets ifInDiscards ifInErrors ifOutOctets ifOutDiscards ifOutErrors 每5分钟采样 对其中的错包进行告警 SNMP网管监控4 对所有Trap信息进行告警 对syslog中的alarmlevel emergency alert critical 日志进行告警 需要以防止漏报或误报时 则根据syslog中的type类型加description描述中的关键字两者组合进行告警级别自定义 强烈建议通过网管系统进行持续ping检查告警 要求ping包穿越防火墙的所有安全zone 以检查防火墙的可用性 Logtraffic 在业务内网环境下 建议在policy条目的底部增加denyanypolicy并记录log 定期根据log记录对异常流量审查 当通过logtraffic发现大量的拒绝流量并且无法禁止时 如病毒扫描 可以通过置顶的拒绝策略来过滤以减轻防火墙负载 但是拒绝策略数量不宜过多 原则上建议使越靠近顶部的policy击中的流量越多 如果符合拒绝策略的流量极高 则关闭log功能以减轻CPU负载 SQLALG的特殊维护 解释 SQL协议存在一些特殊性 其control端口是1521端口 data端口可能是动态端口 也可能是1521端口 后一种情况与一般的网络协议中将control和data端口分开的情况不同 当大流量的data流也走1521端口时 SQLALG需要对每个包进行信令分析 造成CPU高负载 维护建议 在配置每条policy时 确认SQL的data端口是否是1521 如果是则在policy中增加setpolicyidxxxapplication IGNORE 命令取消ALG检查 Policy变更维护 变更policy有可能造成使用该policy的session表项被清除 建议通过在该policy前面增加policy的方式进行变更 等到确认所有命中该policy的session表项全部消失后再清除该policy 新建policyID号和原有policyID号相同时 原有policy会在没有提示的情况下被替换 建议变更前对ID号进行确认 定义policy时要防止由于掩码错误或地址错误造成对其它现有策略的覆盖 可以通过execpolicyverify来检查是否存在覆盖现象 但这只是进行policy之间的两两对比 不能涵盖各种复杂情况 policyname长度不要超过31个英文字符 其它各种自定义的名称也不要超过允许定义的长度定期执行execnsrpglobal configchecksum检查配置同步情况 通过getdbs查看结果 主备切换维护 有些情况下 通过设置unsetnsrprto mirrorsessionageout ack以减少NSRP同步的负载消耗 但是会导致长连接session在备机上消失而在主机上仍然存在 因此在手工进行主备切换时 需要在备机上执行 execnsrpsynrtosessionfrompeer 使备机上session与主机保持一致 切换前执行execnsrpglobal configchecksum检查配置同步情况 通过getdbs查看结果 中文字符问题 防火墙配置支持中文字符 但是假设防火墙地址对象的最大长度为4位 则该对象只能容纳4个英文字母 或2个汉字 如果定义对象为 A银行 则由于 A银 已经占用了3位 行 将显示为 最终该对象将显示为 A银 这将导致后续无法对该对象进行编辑 所以建议尽可能避免使用中文字符 NAT问题 MIP 包括VIP 和policy basedNAT之间的选择 如果仅涉及两个zone之间的NAT可以选择MIP 涉及三个以上zone之间的NAT选择policy basedNAT更灵活 MIP地址可以对arp请求进行响应 policy basedNAT则不行 必须在对端路由器上指定主机路由 如果没有路由器管理权限则这一点很难实现 建议不要同时配置MIP和policy basedNAT 当发生逻辑冲突时MIP的优先级更高 会禁用相关的policy basedNAT 在做policy based的双向地址翻译时 当FTP为PASV模式 则DIP必须采用fix port方式 FTP Get和FTP Put问题 这两个服务必须单独在policy中使用 不能用在multipleservice 或者servicegroup 中 如FTP Get的含义是只允许FTP Get 拒绝其它service 含有额外的否定含义 长连接问题1 不要设置timeoutnever的service 一旦这种session没有被应用正常关闭 这种session将会永远存在 或者应用出现异常大量建立session 将会造成session表爆满 防火墙支持的最大servicetimeout值为36小时 通讯间隔超过此时间长度时 应考虑session表超时消失的问题 可以通过关闭syn check方法予以解决 不要使用预定义的any服务 需要时可以自定义 any 服务 预定义的any服务的超时值会受到servicetimeout值调整的影响而变得不可预测 自定义的 any 服务的超时值不会发生变化 长连接问题2 在policy中使用multipleservice 或者servicegroup 时 避免使用有重叠端口号的service项目 以免造成歧义 如果不可避免 应检查配置中定义的service项目的顺序 保证第一个匹配的service项目的timeout值是所期望的值 在multipleservice 或者servicegroup 中的service排序是自动排序的 如果需要更改排序 需要通过修改service名称的方法来达到改变排序的目的 这个方法适合于5 4以上版本 不适合于5 0版本 长连接的service名称定义应明确包含时间长度内容 以便于维护和升级时找到长连接策略 长连接问题3 OS5 0升级到OS5 4以上版本时 由于sessiontimeout取值的规则发生了一定的变化 需要在升级过程中对其进行调整 确认所有使用any服务的策略所实际需要的端口 在OS5 0下通过getservicetimeouttcp 或udp portxxx来确认超时值 在OS5 4下通过getservicetimeouttcp 或udp table来检查同一端口在OS5 4中的超时值 该值在OS5 4下还受到修改次数的影响 对升级前后配置进行比较调整 所有使用multiservice或者servicegroup的policy应逐一核对 可以通过getservicetimeouttcp 或udp table来检查对应端口在OS5 0中的超时值 通过service名称来确认在OS5 4中的超时值 对升级前后配置进行比较调整 OS升级问题 必须实时监控console口有无报错信息核对相应版本的Releasenotes中的升级要求 大版本的升级过程中session表无法保存 会有网络中断现象 升级过程中可能出现部分config丢失和config格式发生变化 需要进行人工核对 升级过程中可能出现部分config无法识别 造成配置加载失败 需要人工删除无法识别部分并重启加载 升级过程中可以将备机在线升级 降级过程中应首先将备机离线后再降级OS5 4版本下的权限变化 saveconfigto fromtftp命令限制只有root用户才有权限 savesoftwaretotftp命令限制只有root用户才有权限 savefile命令限制只有root用户才有权限 OS降级问题 必须实时监控console口有无报错信息降级回退过程中config大都无法识别 需要提前备份和手工编辑 Radius相关配置将会受到影响 降级后无法通过radius进行管理员认证 需要提前获取本地 Local 管理员账号 Juniper防火墙产品运维方案 设备全面健康检查设备运行优化整改日常运行监控故障解决思路故障应急方案 监控方案 CPU负载查看每分钟平均值 应稳定保持在50 以下getperformancecpudetail活动会话当前活动会话总量Alloc值应保持在MAX值80 以下getsessioninfo新建会话反映当前业务交易量交易量不应远离日常基线 该值会对CPU负载产生直接影响 Getperformancesessiondetail 监控方案 告警信息应无任何异常告警信息 或告警信息是可控的 getalarmeventMemory已分配Memory值应保持在80 以下getmemoryLED状态指示灯没有红色告警灯接口状态灯 故障定位思路 路由 ARP 各项资源指标 告警信息Policy是否允许 ExecpolicyverifySession是否建立 Getsessionsrc ipx x x xdst ipy y y y能否看到双向报文 交换机抓包 Getlogtrafficdst ip是否有报文被防火墙拒绝 Sniffer防火墙是如何处理这些报文 debug 应急方案 双机切换接口状态异常 设备产生硬件告警 CPU负载过高切换方法 拔网线 在主防火墙上execnsrpvsd groupmodebackup清除会话活动会话过高 业务交易受到到影响双机环境 clearclustersessionall 可能影响部分业务 设备重启设备远程和Console口均无法登陆 阻断网络流量 应用出现故障 设备呈现挂死状态 应急方案 续 设备与应用旁路设备旁路 大面积业务持续中断 设备CPU负载持续过高 并发会话持续过载 应用旁路 个别应用故障 通过PBR技术剥离该应用流量 演练提高设施效率 故障信息收集具体现象描述 故障地址及访问关系 网络结构图 设备两侧交换机抓包 尽可能保留防火墙故障环境 务请不要关闭防火墙电源 防火墙故障排查 故障排查要点 报文转发路径 故障排查 debug Debugsetffiltersrc ipXdst ipYdst portZ 设置过滤器debugflowbasic 跟踪包处理过程getdebug 检查debug功能打开情况undebugall 关闭debug功能getdbufstream 显示捕捉信息getdbufstream tftpx x x xfilename 捕捉信息过多时 将其传到TFTP服务器上cleardbuf 清除捕捉信息Unsetffilter getffilter 取消过滤器 故障排查 snoop snoop接口报文捕捉Snoop打开snoop功能Snoopinf