Juniper防火墙日常维护手册文档格式.docx

Juniper防火墙日常维护手册文档格式.docx

《Juniper防火墙日常维护手册文档格式.docx》由会员分享，可在线阅读，更多相关《Juniper防火墙日常维护手册文档格式.docx（23页珍藏版）》请在冰点文库上搜索。

透明模式的防火墙不需要设置路由信息。

本例中，在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17

setroute0.0.0.0/0interfaceethernet2gateway211.136.202.9

用WebUI的方式配置接口，菜单：

Network->

routing->

routingentries

按New按钮可以配置一个新的路由：

1.4.高可用性配置（双机配置）

NetScreen双机的基本配置步骤：

1、检查双机的版本是否一致，原则上两台防火墙的版本要求相同。

如果版本不同，建议升级到相同的版本。

防火墙版本的检查命令：

getsystem

ProductName:

NetScreen-ISG1000

SerialNumber:

0136,ControlNumber:

00000000

HardwareVersion:

3010（0）-（04）,FPGAchecksum:

00000000,VLAN1IP（0.0.0.0）

SoftwareVersion:

5.3.0r7.0,Type:

Firewall+VPN

2、连接HA线，把接口划分到HA区段中。

HA线是防火墙的心跳线，ISG1000没有专门的HA接口，必须设置接口来并划分到HA区段中。

如果心跳线采用光纤则只需要设置一个HA口和一根心跳线，如果采用双绞线作为心跳线，则需要设置两个HA口和两条双胶线，HA接口之间采用交叉线相连接。

本例将Eth1/3及eth1/4设置为HA接口：

setinterface"

ethernet1/3"

zone"

HA"

setinterface"

ethernet1/4"

3、配置clusterID号

防火墙双机也叫cluster，同一个双机的cluster号应相同。

在两台防火墙上都用命令配置成同一个cluster：

GM-Web（M）->

setnsrpclusterid1

则两台防火墙一台会变成FW-1-M（M），另一台会变成FW-1-B（B），（M）表示主用，（B）表示备用，（I）表示初始化。

在（I）状态下，防火墙是不能正常工作的，出现此状态时一定要注意。

用WebUI方式配置双机的clusterID，菜单：

NSRP->

Cluster

4、配置VSD组及优先级

虚拟安全设备VSD组用于防火墙工作在active/active方式下，缺省情况下两台NetScreen防火墙都属于VSD组0，可以设置VSD组的优先级，优先级数值越小，则越优先。

FW-1-M（M）->

setnsrpvsd-groupid0priority50

用WebUI的方式配置VSD组的优先级，菜单：

VSDGroup，选择New或Edit菜单则可。

5、配置双机同步

配置成双机后，把在防火墙上新增加的配置会自动同步到另一台防火墙上：

在配置成双机前的防火墙上的配置不会主动同步到另一台机器上；

如果在防火墙1上做配置时，防火墙2是down的，则此时在防火墙1上做的配置，是不会主动同步到另一台防火墙上的。

如果要同步这些异常情况下的配置，则需要在备机上运行相应的命令。

配置RTO，RTO相当于防火墙上的连接信息，在两台防火墙上分别配置：

setnsrprto-mirrorsyc

FW-1-B（B）->

用WebUI的方式配置同步，菜单：

Synchronization

1.5.配置MIP（通过图形界面配置）

1、命令行

Ns204（M）->

setinterfaceeth0/2mip211.136.202.19host10.243.194.195netmask255.255.255.255

WebUI方式

选择菜单：

interfaces，选择eth0/2，按Edit按钮：

再选择MIP进入：

选择New选项，配置一个新的MIP：

1.6.配置访问策略（通过图形界面配置）

通过配置访问策略来控制通过防火墙的访问，

1、配置地址

配置地址的对象，可以是单个IP或一个网段。

选择Objects>

Addresses>

Configuration，再选择你配置源IP的安全区（或目的地址的安全区），

设置单个IP：

设置IP段：

2、配置访问Service

Netscreen防火墙中内置了许多的Service，如HTTP，FTP等，你可以在策略中直接选择需要访问的Service，如果你需要设置自定义的Service，可按如下步骤：

进入Objects>

Services>

Custom>

Edit,本例设置的是7001端口（用于HTTP）

当然，你也可以配置地址的组，将你需要的地址放入组中，并在策略中引用组。

4、配置策略

本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务，已定义172.16.1.122地址为WebServer。

进入Policies，选择源安全区Untrust到目的安全区Trust，并点击有上角New

6、配置MIP访问策略

步骤与上相同，本例是从Untrust访问MIP地址202.38.12.17。

2.NetScreen的管理

2.1.访问方式

NetScreen防火墙支持多种的管理方式：

WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。

常用的有console、WebUI和Telnet。

Console是通过直接的串口线连接防火墙，对防火墙进行管理和配置；

telnet是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；

WebUI是通过IE或NetscapeCommunicator登录到防火墙的可管理地址，对防火墙进行管理和配置。

通过串口直接登录到防火墙时，超级终端的端口配置如下：

-----串行通讯9600bps

-----8位

-----无奇偶校验

-----1停止位

-----无信息流控制

Telnet或console登录后的命令行界面如下：

WebUI登录的界面如下：

如果要通过telnet或WebUI登录和管理防火墙，所登录的防火墙的接口需要打开telnet或WebUI的功能；

如果防火墙的接口配置了管理IP，一般只能对接口的管理IP进行telnet或WebUI，而不能直接对接口IP地址进行telnet或WebUI（版本不支持）。

用命令行的方式检查接口是否打开telnet或WebUI功能的方式：

ns204->

getintereth2

Interfaceethernet2:

descriptionethernet2

number5,if_info10280,if_index0,moderoute

linkup,phy-linkup/full-duplex

vsysRoot,zoneUntrust,vrtrust-vr

dhcpclientdisabled

PPPoEdisabled

adminmtu0,operatingmtu1500,defaultmtu1500

*ip211.136.202.10/30mac0014.f642.d475

*manageip211.136.202.10,mac0014.f642.d475

route-denydisable

pmtu-v4disabled

pingenabled,telnetenabled,SSHenabled,SNMPdisabled

webenabled,ident-resetdisabled,SSLdisabled

DNSProxydisabled,webauthdisabled,webauth-ip0.0.0.0

OSPFdisabledBGPdisabledRIPdisabledRIPngdisabledmtracedisabled

PIM:

notconfiguredIGMPnotconfigured

bandwidth:

physical100000kbps,configuredegress[gbw0kbpsmbw0kbps]

configuredingressmbw0kbps,currentbw0kbps

totalallocatedgbw0kbps

DHCP-Relaydisabled

DHCP-serverdisabled

NumberofSWsession:

128052,hwsesserrcnt0

用WebUI的方式检查接口是否打开telnet或WebUI功能的方式：

interface

选择对应接口的Edit菜单：

2.2.用户

NetScreen设备支持多个管理用户级别。

这些级别的可用性取决于NetScreen设备的模式。

NetScreen根管理员具有完全的管理权限。

每个NetScreen设备只有一个根管理员。

缺省情况下根管理员的用户名和密码为netscreen/netscreen。

在进行防火墙配置时，务必先修改防火墙根用户的默认用户名和默认口令。

用命令行的方式修改根用户的用户名和口令的命令：

setadminuserxxxpasswordyyy

其中xxx为根用户的用户名，yyy为根用户的密码。

用WebUI的方式修改根用户名和密码的方式

Configuration->

Admin->

Adminstrators：

选择Edit按钮后可出现以下菜单，可以输入新的根用户和口令：

NetScreen防火墙在启用后，强烈建议修改缺省密码。

同时在上线后，每次修改NetScreen防火墙的配置，都建议对配置作备份。

因为NetScreen防火墙密码丢失后，恢复密码的操作会把防火墙所有的配置丢掉。

2.3.日志

防火墙有各种日志，常用的有告警日志和事件日志，这些日志信息对于维护防火墙时是非常有用的。

用命令行的方式查看告警日志的命令：

SN-NS500-FW1（M）->

getalarmevent

Totalevententries=44

DateTimeModuleLevelTypeDescription

2004-12-0715:

14:

26systemcrit00015Peerdevice8319360intheVirtual

SecurityDevicegroup0changedstate

frombackuptoprimarybackup.

25systemcrit00071Thelocaldevice8318976inthe

VirtualSecurityDevicegroup（0）

changedstatefromprimarybackupto

master,missingmaster.

用命令行的方式查看事件日志的命令：

getevent

Totalevententries=41

2007-01-0112:

27:

44systemnotif00767Alarmlogwasreviewedbyadmin

netscreen.

21:

13systemwarn00515Adminusernetscreenhasloggedonvia

Telnetfrom172.16.1.119:

2667

13systemwarn00515Loginattempttosystembyadmin

netscreenviaTelnetfrom172.16.1.119:

2667hasfailed（Incorrectpassword）

08systemwarn00518ADM:

Localadminauthenticationfailed

forloginname'

netscreen'

:

invalid

password

通过WebUI方式查看告警日志和事件日志的方法：

通过WebUI登录到防火墙上即可：

2.4.性能

维护时检查防火墙的性能主要是查看防火墙CPU和Session的使用情况。

通过命令行的方式查看防火墙的CPU使用情况：

getperformancecpu

AverageSystemUtilization:

1%

Last1minute:

2%,Last5minutes:

2%,Last15minutes:

2%

getperformancecpudetail

Last60seconds:

59:

258:

257:

256:

255:

254:

2

53:

252:

251:

250:

249:

248:

47:

246:

245:

244:

243:

242:

41:

240:

239:

238:

237:

236:

35:

234:

233:

232:

231:

230:

29:

228:

227:

226:

225:

224:

23:

222:

221:

220:

219:

218:

17:

216:

215:

214:

213:

212:

11:

210:

29:

28:

27:

26:

5:

24:

23:

22:

21:

20:

Last60minutes:

2

通过命令行方式查看Session的使用情况：

getsession

alloc1/max64064,allocfailed0,mcastalloc0,diallocfailed0

totalreserved0,freesessionsinsharedpool64063

id64054/s**,vsys0,flag00000040/0080/0021,policy320002,time180,dip0module

0

if6（nspflag800601）:

172.16.1.119/2667->

172.16.1.1/23,6,0015c5130cb2,sesstoken

4,vlan0,tun0,vsd0,route5

if3（nspflag0010）:

172.16.1.119/2667<

-172.16.1.1/23,6,0,sesstoken8

vlan0,tun0,vsd0,route0

Total1sessionsshown

上述表明现在防火墙有1个Session。

通过WebUI的方式查看防火墙的cpu及session的使用情况：

登录到WebUI首页：

2.5.其他常用维护命令

NetScreen防火墙其他常用维护命令有：

✓gettech-support：

收集当前系统的运行状态信息，供远程支持人员或厂商进行故障分析；

✓getsystem：

查看当前防火墙的软件版本、硬件版本，接口的配置和状态的信息；

✓getcounter：

查看各种计数器的统计值，后面需要加上相应的类型参数；

✓getmip：

查看防火墙的MIP地址映射；

✓getpolicy：

查看防火墙的策略信息；

✓getroute：

查看防火墙的路由的信息；

✓getarp：

查看防火墙的arp信息；

✓getclock：

查看防火墙的时间。

3.其他的配置

4.1、SNMP配置

SNMP主要用于对网络设置进行监控和管理的协议，Netscreen防火墙的SNMP之策V1和V2C,你可以进入菜单Configuration>

Report>

SNMP>

CommunityEdit

4.2、Syslog配置

可以通过设置来接收防火墙的Syslog，Syslog可以包括EventLog和TrafficLog，Syslog的设置进入菜单：

Configuration>

ReportSettings>

Syslog