netscreen防火墙维护指南

1、Netscreen指南一、综述作为企业网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供 7*24小时的不间断保护，保持系统可靠运行及在故障情况下快速恢复成为的工作重点。NetScreen提供了丰富的冗余保护机制和故障、排查方法，通过日常管理可以使运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscreen日常进行较系统的总结，为提供设备运维指导。二、Netscreen日常围绕可靠运行和出现故障时能够快速恢复为目标，Netscreen主要思路为：通过积极主动的日常将故障隐患消除在萌芽状态；故障发生时，

2、使用恰当的机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。常规在：的日常中，通过对进行健康检查，能够实时了解Netscreen运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。1、日常过程中，需要重点检查以下几个关键信息：Ses：如已使用的 Ses数达到或接近系统最大值，将导致新Ses不建立连接，此时已经建立 Ses的通讯虽不会造成影响；但仅当现有 ses连接拆除后，出来的 Ses资源才可供新建连接使用。建议：当 Ses资源正常使用至 85时，需要考虑设备容量限制并及时升级，以避免因设备容量影响业务拓展。C

3、PU: Netscreen 是基于硬件架构的高性能，很多计算工作由ASIC完成，正常工作状态下CPU 使用率应保持在 50%以下，如出现 CPU 利用率过高情况需给予足够重视，应检查 Ses使用情况和各类告警信息，并检查网络中是否存在流量。通常情况下 CPU 利用率过高往往与有关，可通过正确设置 screening 对应选项进行防范。对内存的使用把握得十分准确，采用“预分Memory: NetScreen配”机制，空载时内存使用率为约 50-60%，随着流量不断增长，内存的使用率应基本保持稳定。如果出现内存使用率高达 90时，需检查网络中是否存在流量，并察看为 debug 分配的内存空间是否过

4、大（get为字节）。dbuf info2、在业务使用时段检查关键资源（如：Cpu、Ses、Memory 和接口流量）等使用情况，建立网络务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。当ses数量超过平常基准指标 20时，需检查 ses表和告警信息，检查 ses是否使用于正常业务，网络中是否存在 flood行为。当 Cpu 占用超过平常基准指标 50时，需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效令。23、健康检查信息表：3设备型号版本设备序列号设备用途XX 区设备状态主用/备用设备组网方式如：Layer3 口型 A/P检查对象检查命令相关

5、信息检查结果备注SesGet sesCPUGet perf cpuMemoryGet memoryerfaceGeterface路由表Get routeHA 状态Get nsrp事件查看Get log event告警信息Get alarm event机箱温度Get chassisLEDLED 指示灯检查设备运行参考基线SesCpuMemory接口流量业务类型机箱温度4、 常规建议：1、配置 System-ip 地址，指定终端管理；2、更改 netscreen 账号和口令，不建议使用缺省的 netscreen 账号管理防火墙；设置两级管理员账号并定期变更口令；仅容许使用 SSH 和 SSL 方式

6、登陆进行管理。3、深入理解网络务类型和流量特征，持续优化策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止发生硬件故障时能够快速旁路防火墙，保证业务正常使用。5、在日常中建立资源使用参考基线，为判断网络异常提供参考依据。6、重视并了解产生的每一个故障告警信息，在第一时间修复故障隐患。7、建立设备运行，为配置变更、事件处理提供完整的，定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练：日常工作中需考虑到网络各环节可能出现和应对

7、措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：NSRP 集群中设备出现故障，网线故障及交换机故障时的路径保护切换。9、设备运行表4设备型号版本设备序列号应急处理当网络出现故障时，应迅速检查状态并判断是否存在流量，定位故障是否与有关。如果故障与有关，可在上打开 debug 功能包处理过程，检验策略配置是否存在问题。一旦定位故障，可通过命令进行 NSRP 双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路。在故障明确定位前不要关闭。1、检查设备运行状态网络出现故障时，应快速判断设备运行状态，通过 Console 口登陆到上，快速查看 CPU、Memory

8、、Ses、erface 以及告警信息，初步排除硬件故障并判断是否存在行为。5设备用途XX 区设备状态主用/备用设备组网方式如：Layer3 口型 A/P保修期限供应商配置变更变更原因变更内容结果事件处理事件现象处理过程结果2、对数据包处理情况如果出现部分网络无法正常，顺序检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过 debug 命令检查对特定网段数据报处理情况。部分地址无法通过往往与策略配置有关。3、检查是否存在流量通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和类型，并在Screen 选项中启用对应防护措施来流量。

9、4、 检查NSRP 工作状态使用 get nsrp 命令检查 nsrp 集群工作状态，如 nsrp 状态出现异常或发生切换，需进一步确认引起切换的原因，引起 NSRP 切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA 心跳线缆。5、发生故障时处理方法如果出现以下情况可初步判断存在故障：无法使用 console 口登陆，反复启动、无法建立 ARP 表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将旁路，同时联系供应商进行故障。总结改进故障处理后的总结与改进是进一步巩固网络可靠性的必要环节，有效的总结能够避免很

10、多网络故障再次发生。1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得6到修复，避免故障重复发生。2、条件容许的情况下，构建业务测试环境，对所有需要调整的配置参数在上线前进试评估，避免因配置调整带来新的故障隐患。3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。故障处理工具Netscreen提供灵活多样的方式，其中故障处理时最有用的两个工具是 debug 和 snoop，debug 用于对指定包的处理，snoop 用于捕获流经的数据包，由于 debug 和 snoop 均需要消耗的cpu 和 memory 资源，在使用时务必要设置过虑列表，将仅对过虑列表

11、范围内的包进行分析，包分析结束后应在第一时间关闭debug 和snoop 功能。下面简要介绍一下两个工具的使用方法。Debug：对数据包的处理过程1. Set ffilter src-ip.x dst-ip.x dst-port xx设置过滤列表,定义捕获包的范围2、clear dbuf 清除内存中缓存的分析包3、debug flow basic开启 debug 数据流功能4、发送测试数据包或让小部分流量穿越5、undebug all关闭所有 debug 功能6、get dbuf stream检查对符合过滤条件数据包的分析结果7、unset ffilter清除debug 过滤列表8、clear

12、 dbuf清除缓存的debug 信息9、get debug查看当前debug 设置7Snoop：捕获进出的数据包，与 Sniffer 嗅包功能类似。1. Snoop filter ip src-ip.x dst-ip.x dst-port xx设置过滤列表,定义捕获包的范围2、clear dbuf清除内存中缓存的分析包3、snoop开启 snoop 功能捕获数据包4、发送测试数据包或让小部分流量穿越5、snoop off停止 snoop6、get db stream检查对符合过滤条件数据包的分析结果7、snoopfilter delete清除snoop 过滤列表8、cleardbuf清除缓存的

13、debug 信息9、snoopinfo查看 snoop 设置三、Netscreen冗余协议（NSRP）Nsrp 协议提供了灵活的设备和路径冗余保护功能，在设备和链路发生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计nsrp 架构时通常采用基于静态路由的 active/passive 主备模式、口型或全交叉型连接方式。NSRP 部署建议：基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式（preempt），避免因交换机端口不稳定而nsrp 反复切换。当配置两组或两组以上的到同一组交换机上时，每组 nsrp集群应设置不同的cluster ID 号，避免因相同的 cluste

14、r ID 号引发接口 MAC 地址现象。nsrp 集群建议采用接口方式，仅在网络不对称的情况8下有选择使用 Track-ip方式。在对称网络中接口方式能够更快更准确的反映网络状态变化。在单台设备提供的 ses和带宽完全可以满足网络需求时，建议采用基于路由的 Active-Passive 主备模式，该模式组网结构清晰，便于和管理。设备运行时应保证HA 线缆连接可靠，为确保 HA 心跳连接不会出现中断，建议配置 HA 备份链路“secondarypath”。NSRP 许多配置参数是经过检验的配置，通常情况下建议采用这些缺省参数。NSRP常用命令get license-key 查看支持的 featu

15、re，其中 NSRPA/A 模式包含了 A/P 模式，A/P 模式不支持 A/A 模式。Lite 版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。exec nsrp sync global-config check-sum 检查双机配置命令是否同步exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。get nsrp 查看NSRP 集群中设备状态、主备关系、会话同步以及参数开关信息。Exec nsrp sync rto all from peer 手动执行 RTO 信息同步，使双机保持会话信息一致exec

16、 nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。9exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。set failover on/set failover auto 启用并容许冗余接口自动切换exec failover force 手动执行将主用端口切换为备用端口。exec failover revert 手动执行将备用端口切换为主用端口。get alarm event 检查设备告警信息，其

17、中将包含 NSRP 状态切换信息四、策略配置与优化（Policy）策略优化与调整是网络工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证规划以提高设置效率，提高可读性，降低难度。策略配置与需要注意地方有：试运行阶段最后一条策略定义为所有允许并作 log，以便在不影响业务的情况下找漏补遗；当确定把所有的业务流量都清楚并放行后，可将最后一条定义为所有并作 log，以便在试运行阶段观察流量行踪。试运行阶段结束后，再将最后一条“所有”策略删除。按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大

18、的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。策略配置中的 Log(日志)选项可以有效进行、排错等工10作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。另外，对于策略配置中的 Count(流量统计)选项，如非必要建议在业务时段不使用。简化的策略表不仅便于，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。策略用于区段间单方向网络控制。如果源区段和目的区段不同，则在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断，则在区段策略表

19、中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略，则安全设备会检查全局策略表以查找匹配策略。MIP/VIP 地址属于全局区段地址，配置策略时建议通过全局区段来配置 MIP/VIP 地址相关策略，MIP/VIP 地址虽然可为其余区段调用，但由于其余区段的“any”地址并不包括全局区段地址，在定义策略时应加以注意，避免配置不生效的策略。策略变更控制。组织好策略规则后，应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。如果有多个管理员，建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪。五、防御（Screen）N

20、etscreen利用 Screening 功能抵御互联网上流行的 DoS/DDoS的，一些流行的手法有 Synflood，Udpflood，Smurf，of11Death，Land Attack 等，在抵御这些时，通过ASIC 芯片来进行处理，适当开启这些抗选项对的性能不会产生太大影响。如果希望开启 Screening 内的其它选项，在开启这些防护功能前有几个需要考虑：抵御的功能会占用部分 CPU 资源；自行开发的一些应用程序中，可能存在部分不规范的数据包格式；网络环境中可能存在非常规性设计。如果因选择过多的防选项而大幅降低了处理能力，则会影响正常网络处理的性能；如果自行开发的程序不规范，可能

21、会被 IP 数据包协议异常的选项；非常规的网络设计也会出现合法流量被问题。要想有效发挥 Netscreen Screening防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免无谓的网络故障。防选项的启用需要采用逐步近的方式，一次仅启用一个防选项，然后观察设备资源占用情况和防御结果，在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防选项：设置防范DDoS Flood选项根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范 DDoS 的选项上添加 20的余量作为阀值。如果要设置防范 IP 协议层的选项，需在深入了解网络

22、环境后，再将 IP 协议和网络层的选项逐步选中。设置防范应用层的选项，在了解应用层的需求以及客户化程序的12编程标准后，如不采用 ActiveX 控件，可以选择这些基于应用层的防选项。为检查网络中是否存在 流量，可以临时打开该区段screening 顶部 Generate Alarms without DropPacket 选项，确认类型后再将该选项去除。在设置 screening 选项的过程中，应密切注意CPU 的利用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应用不能通过），则立刻需要取消相关的选项。建议正常时期在 untrust 区启用防 flood选项，在办公用户区启

23、用 flood 和应用层防护选项，在 业务区不启用screening 选项，仅在网络出现异常流量时再打开对应的防御功能。五、特殊应用处理长连接应用处理在金融行业网络中经常会遇到长连接应用，基于状态检测机制的在处理此类应用时要加以注意。缺省情况下，Netscreen对每一个会话的连接保持时间是 30 分钟（TCP）和 1 分钟（UDP），超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值，以满足长连接应用的要求。配置常连接应用需注意地方有：如果在长连接应用中已经设计了心跳维持机制（如每隔几分钟，客户端与服务端之间传送心跳以维持会话），此时无需上设置timeout 时

24、间，使用默认配置即可。13长连接应用中没有心跳机制时，通常情况下建议 timeout 值为 36 小时。应用通常在工作时间建立连接，这样可在下班后时间拆除连接。在配置 timeout 值时，特别提醒不要使用“never timeout”（永不超时）的选项。该选项将可能造成的 ses被大量消耗同时这些 ses处于僵死状态。如果需要超时等待的时间确实很长，建议配置一个具体的长时间段（如一周）。不规范TCP应用处理正常 TCP 应用连接建立需要 3 次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似 SYN 没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为 netscreen 防火墙在默认情况下，对这种不严谨的 TCP 连接视为连接并将连接阻断。建议网络中每类业务的通讯状况，在某些应用发生通讯时，通过 debug 分析是否是了不严谨的 TCP 包，