Juniper防火墙标准配置模板和日常维护建议v4.ppt
《Juniper防火墙标准配置模板和日常维护建议v4.ppt》由会员分享,可在线阅读,更多相关《Juniper防火墙标准配置模板和日常维护建议v4.ppt(45页珍藏版)》请在冰点文库上搜索。
Juniper防火墙标准配置模板和日常维护建议,标准配置模板,时钟设置,setclockdst-off#关闭夏时制setclockntp#启用ntp服务setclocktimezone8#设置为东八区setclocktimexxxx#设置设备本地时钟setntpserver“x.x.x.x“#设置ntp服务器地址setntpserverbackup1“y.y.y.ysetntpserverbackup2“z.z.z.zsetntpmax-adjustment0#允许任意时钟误差情况下都进行时间更新execntpupdate#手动执行NTP同步getntp#检查NTP同步状态(UpdateStatus:
Idle表示没有同步)setntpno-ha-sync#关闭NSRP模式下的主备防火墙间的NTP同步,Syslog配置,setsyslogconfig“x.x.x.x“#设置syslog服务器地址setsyslogconfig“x.x.x.x”facilitieslocal7local0#指定alarmlevel(emergency、alert、critical)的日志送到local7,eventlevel(error、warning、notification、information、debug)的日志送到local0,具体local值请和syslog管理员协商setsyslogenable#启用syslog服务,Zone配置,setzone“zonename”vrouter“trust-vr“#所有zone都放在trust-vr路由表中unsetzone“zonename”tcp-rst#关闭不必要的tcp-rst功能。
在启用tcp-syn-check环境下,tcp-rst将使防火墙丢弃不带syn的首包,并给源端发送reset报文Setzone“zonename”block#zone内部接口(子接口)间流量互访必须经过Policy检查setzone“zonename”screenlimit-sessionsource-ip-based“number”#对同一源地址的session数量进行限制,用于特定情况,对防火墙资源消耗有限,Zone配置的特例,#如果要求带外管理zone和数据通讯zone进行路由隔离(企业规范要求或地址冲突等原因),则分别使用不同的路由表,进行路由隔离,一般情况不要如此配置,会增加维护复杂性setzone“MGT”vrouter“trust-vr”“#带外管理zone使用trust-vr路由表setzone“zonename”vrouter“untrust-vr“#数据通讯zone使用untrust-vr路由表,Interface配置,setinterface“interfacename”route#所有端口都设置为route模式,默认情况下trustzone下的interface为nat模式,需要注意这一点setinterface“interfacename”ipx.x.x.x/xxsetinterface“interfacename”manage-ipx.x.x.y#区分NSRP主备机上的Syslog或SNMP或NTP或Telnet或Track-ip等管理流量的源IP所必须具备的前提setinterfaceredundant1primaryethernet2/1#如果配置了redundant端口则指定主用端口,nsrp配置,setnsrpclusterid1setnsrpvsd-groupid0priority50#主防火墙优先级setnsrpvsd-groupid0priority100#备防火墙优先级setnsrpvsd-groupmaster-always-exist#在主备都存在故障情况下强制选择出一个主防火墙,防止NSRPmonitor失误引起的双备机现象要求配置双HA接口,不需要secondnsrpinterface,nsrpRTO配置,setnsrprto-mirrorsync#同步各种RTO对象unsetnsrprto-mirrorsessionping#取消ICMPsession的同步,一般认为ICMPsession不是业务连接,不需要同步setnsrprto-mirrorsessionageout-ack#备防火墙session表项超时前会向主防火墙进行是否超时确认,nsrpfailover功能配置,setnsrpmonitorinterface“interfacename”#在device级别设置端口监控setnsrpmonitortrack-ipip#启用track-ip功能setinterface“interfacename”manage-ipz.z.z.z#启用track-ip功能必须设置端口的管理地址setnsrpmonitortrack-ipipx.x.x.xthreshold5#设置trackip地址和连续丢包的阈值为5,降低误报的可能性setnsrpmonitortrack-ipipx.x.x.xmethodarp#x.x.x.x是本地设备地址,用arp方法检查,y.y.y.y是远端设备地址,用ping方法检查setnsrpmonitortrack-ipipx.x.x.xweight150setnsrpmonitortrack-ipipy.y.y.ythreshold5#要求同时设置两个以上的track-ip地址,单一地址可能出现误切换setnsrpmonitortrack-ipipy.y.y.yweight150#要求x.x.x.x和y.y.y.y这两个地址是在防火墙同一侧的两台设备,只有当这两个地址同时ping或arp不通时,产生权重300255,防火墙才会failover切换,降低误报的可能性禁止使用类似setnsrpvsd-groupid0monitorxxx这种vsd-group级别的监控功能,这会导致device级别的监控配置失效,flow配置,setflowsyn-proxysyn-cookie#仅适用于0S5.4以上版本unsetflowtcp-syn-check#不做TCPsyn检查,如果是新增防火墙,则建议启用以提高安全性,但是启用NAT时则一定会做syn检查setflowno-tcp-seq-check#不做TCP序列号检查可以通过getflow来确认结果:
OS5.0版本的结果:
CheckTCPSYNbitbeforecreatesession:
NoSkipsequencenumbercheckinstatefulinspection:
YESOS5.4以上版本的结果:
CheckTCPSYNbitbeforecreatesession&refreshsessiononlyaftertcp3wayhandshake:
NOCheckTCPSYNbitbeforecreatesession:
NOSkipsequencenumbercheckinstatefulinspection:
YES,ALG配置,unsetalgmgcpenableunsetalgsccpenableunsetalgsunrpcenableunsetalgmsrpcenableunsetalgrtspenableunsetalgsipenableunsetalgh323enable#关闭所有不需要的ALG,不同OS版本ALG数量不同,setalg?
看有哪些具体ALG,一般情况下FTP、SQL等常用ALG建议保留,如果需要禁用的话可以在policy级别禁用,arp配置,setarpalways-on-dest其目的是通过防火墙arp表来获得session表中的返回数据包的MAC地址,而不是通过in包的MAC地址作为返回数据包的MAC地址,这可以规避有些双机协议、负载分担协议等存在的设计缺陷。
但是需要注意一种可能存在的风险,就是已经在线的防火墙,并且没有配置缺省路由,在没有session中的源地址的路由条目的情况下,session原来也是可以建立并转发的,一旦设置了这条命令会引起这种session的中断。
注意在OS6.0上,“setarpalways-on-dest”映射为“setflowreverse-routeclear-textalways”“unsetarpalways-on-dest”映射为“setflowreverse-routeclear-textprefer”,不要随意添加额外的功能,如:
nsrppreemptnsrpsecondary-pathnsrpha-linkprobe等等对其它系统默认参数的调整也是严格禁止的,日常维护建议,SNMP网管监控1,nsResCpuLast1Min:
最近1分钟CPU利用率(1.3.6.1.4.1.3224.16.1.2)每分钟采样nsResSessAllocate:
当前session数(1.3.6.1.4.1.3224.16.3.2)每分钟采样nsResMemLeft:
剩余内存(1.3.6.1.4.1.3224.16.2.2)每5分钟采样nsResMemFrag:
MemFrag(1.3.6.1.4.1.3224.16.2.3)每5分钟采样根据实际经验设置告警阈值。
SNMP网管监控2,主防火墙nsrpRtoCounterSend中的SESS_CR值(1.3.6.1.4.1.3224.6.3.3.3.1.3.1)、SESS_CL值(1.3.6.1.4.1.3224.6.3.3.3.1.3.2)和SESS_CH值(1.3.6.1.4.1.3224.6.3.3.3.1.3.3)。
每分钟采样。
备防火墙nsrpRtoCounterReceive中的SESS_CR值(1.3.6.1.4.1.3224.6.3.3.3.1.4.1)、SESS_CL值(1.3.6.1.4.1.3224.6.3.3.3.1.4.2)和SESS_CH值(1.3.6.1.4.1.3224.6.3.3.3.1.4.3)。
每分钟采样。
SNMP网管监控3,NsIfFlowEntry:
Netscreen端口流量表(1.3.6.1.4.1.3224.9.3.1),是对IfEntry的补充完善,其中重点监控表中的nsIfFlowInPacket(1.3.6.1.4.1.3224.9.3.1.4)、nsIfFlowOutPacket(1.3.6.1.4.1.3224.9.3.1.6)等。
每5分钟采样。
IfEntry:
RFC1213端口属性表(1.3.6.1.2.1.2.2.1)。
其中重点监控表中的ifInOctets、ifInDiscards、ifInErrors、ifOutOctets、ifOutDiscards、ifOutErrors每5分钟采样。
对其中的错包进行告警。
SNMP网管监控4,对所有Trap信息进行告警。
对syslog中的alarmlevel(emergency、alert、critical)日志进行告警。
需要以防止漏报或误报时,则根据syslog中的type类型加description描述中的关键字两者组合进行告警级别自定义。
强烈建议通过网管系统进行持续ping检查告警,要求ping包穿越防火墙的所有安全zone,以检查防火墙的可用性。
Logtraffic,在业务内网环境下,建议在policy条目的底部增加denyanypolicy并记录log,定期根据log记录对异常流量审查。
当通过logtraffic发现大量的拒绝流量并且无法禁止时(如病毒扫描),可以通过置顶的拒绝策略来过滤以减轻防火墙负载,但是拒绝策略数量不宜过多。
原则上建议使越靠近顶部的policy击中的流量越多。
如果符合拒绝策略的流量极高,则关闭log功能以减轻CPU负载。
SQLALG的特殊维护,解释:
SQL协议存在一些特殊性,其control端口是1521端口,data端口可能是动态端口,也可能是1521端口。
后一种情况与一般的网络协议中将control和data端口分开的情况不同。
当大流量的data流也走1521端口时,SQLALG需要对每个包进行信令分析,造成CPU高负载。
维护建议:
在配置每条policy时,确认SQL的data端口是否是1521?
如果是则在policy中增加setpolicyidxxxapplication“IGNORE”命令取消ALG检查。
Policy变更维护,变更policy有可能造成使用该policy的session表项被清除。
建议通过在该policy前面增加policy的方式进行变更,等到确认所有命中该policy的session表项全部消失后再清除该policy。
新建policyID号和原有policyID号相同时,原有policy会在没有提示的情况下被替换。
建议变更前对ID号进行确认。
定义policy时要防止由于掩码错误或地址错误造成对其它现有策略的覆盖,可以通过execpolicyverify来检查是否存在覆盖现象,但这只是进行policy之间的两两对比,不能涵盖各种复杂情况。
policyname长度不要超过31个英文字符,其它各种自定义的名称也不要超过允许定义的长度定期执行execnsrpglobal-configchecksum检查配置同步情况,通过getdbs查看结果,主备切换维护,有些情况下,通过设置unsetnsrprto-mirrorsessionageout-ack以减少NSRP同步的负载消耗,但是会导致长连接session在备机上消失而在主机上仍然存在,因此在手工进行主备切换时,需要在备机上执行“execnsrpsynrtosessionfrompeer”,使备机上session与主机保持一致。
切换前执行execnsrpglobal-configchecksum检查配置同步情况,通过getdbs查看结果,中文字符问题,防火墙配置支持中文字符,但是假设防火墙地址对象的最大长度为4位,则该对象只能容纳4个英文字母(或2个汉字),如果定义对象为“A银行”,则由于“A银”已经占用了3位,“行”将显示为“?
”,最终该对象将显示为“A银?
”,这将导致后续无法对该对象进行编辑。
所以建议尽可能避免使用中文字符,NAT问题,MIP(包括VIP)和policy-basedNAT之间的选择:
如果仅涉及两个zone之间的NAT可以选择MIP,涉及三个以上zone之间的NAT选择policy-basedNAT更灵活。
MIP地址可以对arp请求进行响应,policy-basedNAT则不行,必须在对端路由器上指定主机路由,如果没有路由器管理权限则这一点很难实现。
建议不要同时配置MIP和policy-basedNAT,当发生逻辑冲突时MIP的优先级更高,会禁用相关的policy-basedNAT。
在做policy-based的双向地址翻译时,当FTP为PASV模式,则DIP必须采用fix-port方式。
FTP-Get和FTP-Put问题,这两个服务必须单独在policy中使用,不能用在multipleservice(或者servicegroup)中。
如FTP-Get的含义是只允许FTP-Get,拒绝其它service,含有额外的否定含义。
长连接问题1,不要设置timeoutnever的service,一旦这种session没有被应用正常关闭,这种session将会永远存在。
或者应用出现异常大量建立session,将会造成session表爆满。
防火墙支持的最大servicetimeout值为36小时,通讯间隔超过此时间长度时,应考虑session表超时消失的问题。
可以通过关闭syn-check方法予以解决。
不要使用预定义的any服务,需要时可以自定义“any”服务,预定义的any服务的超时值会受到servicetimeout值调整的影响而变得不可预测,自定义的“any”服务的超时值不会发生变化。
长连接问题2,在policy中使用multipleservice(或者servicegroup)时,避免使用有重叠端口号的service项目,以免造成歧义。
如果不可避免,应检查配置中定义的service项目的顺序,保证第一个匹配的service项目的timeout值是所期望的值。
在multipleservice(或者servicegroup)中的service排序是自动排序的,如果需要更改排序,需要通过修改service名称的方法来达到改变排序的目的。
这个方法适合于5.4以上版本,不适合于5.0版本。
长连接的service名称定义应明确包含时间长度内容,以便于维护和升级时找到长连接策略,长连接问题3,OS5.0升级到OS5.4以上版本时,由于sessiontimeout取值的规则发生了一定的变化,需要在升级过程中对其进行调整:
确认所有使用any服务的策略所实际需要的端口,在OS5.0下通过getservicetimeouttcp(或udp)portxxx来确认超时值,在OS5.4下通过getservicetimeouttcp(或udp)table来检查同一端口在OS5.4中的超时值,该值在OS5.4下还受到修改次数的影响,对升级前后配置进行比较调整。
所有使用multiservice或者servicegroup的policy应逐一核对,可以通过getservicetimeouttcp(或udp)table来检查对应端口在OS5.0中的超时值,通过service名称来确认在OS5.4中的超时值,对升级前后配置进行比较调整。
OS升级问题,必须实时监控console口有无报错信息核对相应版本的Releasenotes中的升级要求。
大版本的升级过程中session表无法保存,会有网络中断现象。
升级过程中可能出现部分config丢失和config格式发生变化,需要进行人工核对。
升级过程中可能出现部分config无法识别,造成配置加载失败,需要人工删除无法识别部分并重启加载。
升级过程中可以将备机在线升级,降级过程中应首先将备机离线后再降级OS5.4版本下的权限变化:
saveconfigto/fromtftp命令限制只有root用户才有权限。
savesoftwaretotftp命令限制只有root用户才有权限。
savefile命令限制只有root用户才有权限。
OS降级问题,必须实时监控console口有无报错信息降级回退过程中config大都无法识别,需要提前备份和手工编辑。
Radius相关配置将会受到影响,降级后无法通过radius进行管理员认证。
需要提前获取本地(Local)管理员账号。
Juniper防火墙产品运维方案,设备全面健康检查设备运行优化整改日常运行监控故障解决思路故障应急方案,监控方案,CPU负载查看每分钟平均值,应稳定保持在50以下getperformancecpudetail活动会话当前活动会话总量Alloc值应保持在MAX值80以下getsessioninfo新建会话反映当前业务交易量交易量不应远离日常基线,该值会对CPU负载产生直接影响。
Getperformancesessiondetail,监控方案,告警信息应无任何异常告警信息,或告警信息是可控的。
getalarmeventMemory已分配Memory值应保持在80以下getmemoryLED状态指示灯没有红色告警灯接口状态灯,故障定位思路,路由、ARP、各项资源指标、告警信息Policy是否允许?
ExecpolicyverifySession是否建立?
Getsessionsrc-ipx.x.x.xdst-ipy.y.y.y能否看到双向报文?
交换机抓包、Getlogtrafficdst-ip是否有报文被防火墙拒绝?
-Sniffer防火墙是如何处理这些报文?
-debug,应急方案,双机切换接口状态异常、设备产生硬件告警、CPU负载过高切换方法:
拔网线、在主防火墙上execnsrpvsd-groupmodebackup清除会话活动会话过高,业务交易受到到影响双机环境:
clearclustersessionall(可能影响部分业务)设备重启设备远程和Console口均无法登陆、阻断网络流量,应用出现故障,设备呈现挂死状态。
应急方案(续),设备与应用旁路设备旁路:
大面积业务持续中断、设备CPU负载持续过高、并发会话持续过载。
应用旁路:
个别应用故障,通过PBR技术剥离该应用流量。
演练提高设施效率。
故障信息收集具体现象描述、故障地址及访问关系、网络结构图、设备两侧交换机抓包,尽可能保留防火墙故障环境务请不要关闭防火墙电源。
防火墙故障排查,故障排查要点-报文转发路径,故障排查-debug,Debugsetffiltersrc-ipXdst-ipYdst-portZ-设置过滤器debugflowbasic-跟踪包处理过程getdebug-检查debug功能打开情况undebugall-关闭debug功能getdbufstream-显示捕捉信息getdbufstreamtftpx.x.x.xfilename-捕捉信息过多时,将其传到TFTP服务器上cleardbuf-清除捕捉信息Unsetffilter/getffilter-取消过滤器,故障排查-snoop,snoop接口报文捕捉Snoop打开snoop功能Snoopinfo检查snoop功能打开情况Snoopoff关闭snoop功能snoopfilteripinterfaceXdst-ipYdst-portZ-设置过滤器getdbufstream-显示捕捉信息getdbufstreamtftpx.x.x.xfilename-捕捉信息过多时,将其传到TFTP服务器上cleardbuf-清除捕捉信息snoopfilterdelete-取消过滤器,故障排查-Session,SessionGetsessionid1883/s*,vsys0,flag00000000/0000/0001,policy1,time5,dip2module0if2(nspflag800801):
192.168.1.2/1054-10.155.50.11/161,17,00112547747e,sesstoken4,vlan0,tun0,vsd0,route1if1(nspflag800800):
10.155.42.68/1908tftpx.x.x.xfilename,故障排查-Logtraffic,Getlogtraffic记录报文类型、流量流向、会话持续时间及会话拆除原因。
出现突然中断或者缓慢故障时的简单分析,最近是否进行过网络变更?
CPU是否过高?
通过getperformancecpualldetail可以看到cpu利用率,括号中左边的数值代表流量处理的CPU消耗,右边的数值代表其它管理任务的CPU消耗Session表是否正常?
通过getperformancesessiondetail可以看到新建session情况,检查是否明显超过正常值。
通过getsessioninfo可以看到当前并发session数,检查是否过高甚至达到最大。
看软硬件s
升级会员 