Juniper防火墙标准配置模板和日常维护建议v4.ppt
- 文档编号:2732268
- 上传时间:2022-11-10
- 格式:PPT
- 页数:45
- 大小:543KB
Juniper防火墙标准配置模板和日常维护建议v4.ppt
《Juniper防火墙标准配置模板和日常维护建议v4.ppt》由会员分享,可在线阅读,更多相关《Juniper防火墙标准配置模板和日常维护建议v4.ppt(45页珍藏版)》请在冰豆网上搜索。
Copyright2007JuniperNetworks,Inc.ProprietaryandC1Juniper防火防火墙标墙标准配置模板准配置模板和日常和日常维护维护建建议议Copyright2007JuniperNetworks,Inc.ProprietaryandC2标准配置模板标准配置模板Copyright2007JuniperNetworks,Inc.ProprietaryandC3时钟设置时钟设置setclockdst-off#关闭夏时制关闭夏时制setclockntp#启用启用ntp服务服务setclocktimezone8#设置为东八区设置为东八区setclocktimexxxx#设置设备本地时钟设置设备本地时钟setntpserver“x.x.x.x“#设置设置ntp服务器地址服务器地址setntpserverbackup1“y.y.y.ysetntpserverbackup2“z.z.z.zsetntpmax-adjustment0#允许任意时钟误差情况下都进行时间更新允许任意时钟误差情况下都进行时间更新execntpupdate#手动执行手动执行NTP同步同步getntp#检查检查NTP同步状态(同步状态(UpdateStatus:
Idle表示没有同步)表示没有同步)setntpno-ha-sync#关闭关闭NSRP模式下的主备防火墙间的模式下的主备防火墙间的NTP同步同步Copyright2007JuniperNetworks,Inc.ProprietaryandC4Syslog配置配置setsyslogconfig“x.x.x.x“#设置设置syslog服务器地服务器地址址setsyslogconfig“x.x.x.x”facilitieslocal7local0#指定指定alarmlevel(emergency、alert、critical)的日志送到)的日志送到local7,eventlevel(error、warning、notification、information、debug)的日志送到的日志送到local0,具体,具体local值请和值请和syslog管理员管理员协商协商setsyslogenable#启用启用syslog服务服务Copyright2007JuniperNetworks,Inc.ProprietaryandC5Zone配置配置setzone“zonename”vrouter“trust-vr“#所有所有zone都放在都放在trust-vr路由表中路由表中unsetzone“zonename”tcp-rst#关闭不必要的关闭不必要的tcp-rst功能。
功能。
在启用在启用tcp-syn-check环境下,环境下,tcp-rst将使防火墙丢弃不带将使防火墙丢弃不带syn的首包,并给源端发送的首包,并给源端发送reset报文报文Setzone“zonename”block#zone内部接口(子接口)间流内部接口(子接口)间流量互访必须经过量互访必须经过Policy检查检查setzone“zonename”screenlimit-sessionsource-ip-based“number”#对同一源地址的对同一源地址的session数量进行限制数量进行限制,用于用于特定情况,对防火墙资源消耗有限特定情况,对防火墙资源消耗有限Copyright2007JuniperNetworks,Inc.ProprietaryandC6Zone配置的特例配置的特例#如果要求带外管理如果要求带外管理zone和数据通讯和数据通讯zone进行路由隔进行路由隔离离(企业规范要求或地址冲突等原因企业规范要求或地址冲突等原因),则分别使用不同,则分别使用不同的路由表,进行路由隔离,一般情况不要如此配置,的路由表,进行路由隔离,一般情况不要如此配置,会增加维护复杂性会增加维护复杂性setzone“MGT”vrouter“trust-vr”“#带外管理带外管理zone使用使用trust-vr路由表路由表setzone“zonename”vrouter“untrust-vr“#数据数据通讯通讯zone使用使用untrust-vr路由表路由表Copyright2007JuniperNetworks,Inc.ProprietaryandC7Interface配置配置setinterface“interfacename”route#所有端口都设所有端口都设置为置为route模式,默认情况下模式,默认情况下trustzone下的下的interface为为nat模式,需要注意这一点模式,需要注意这一点setinterface“interfacename”ipx.x.x.x/xxsetinterface“interfacename”manage-ipx.x.x.y#区分区分NSRP主备机上的主备机上的Syslog或或SNMP或或NTP或或Telnet或或Track-ip等管理流量的源等管理流量的源IP所必须具备的前所必须具备的前提提setinterfaceredundant1primaryethernet2/1#如如果配置了果配置了redundant端口则指定主用端口端口则指定主用端口Copyright2007JuniperNetworks,Inc.ProprietaryandC8nsrp配置配置setnsrpclusterid1setnsrpvsd-groupid0priority50#主防火墙优先主防火墙优先级级setnsrpvsd-groupid0priority100#备防火墙优先备防火墙优先级级setnsrpvsd-groupmaster-always-exist#在主备都在主备都存在故障情况下强制选择出一个主防火墙,防止存在故障情况下强制选择出一个主防火墙,防止NSRPmonitor失误引起的双备机现象失误引起的双备机现象要求配置双要求配置双HA接口,不需要接口,不需要secondnsrpinterfaceCopyright2007JuniperNetworks,Inc.ProprietaryandC9nsrpRTO配置配置setnsrprto-mirrorsync#同步各种同步各种RTO对象对象unsetnsrprto-mirrorsessionping#取消取消ICMPsession的同步,一般认为的同步,一般认为ICMPsession不是业务连不是业务连接,不需要同步接,不需要同步setnsrprto-mirrorsessionageout-ack#备防火墙备防火墙session表项超时前会向主防火墙进行是否超时确认表项超时前会向主防火墙进行是否超时确认Copyright2007JuniperNetworks,Inc.ProprietaryandC10nsrpfailover功能配置功能配置setnsrpmonitorinterface“interfacename”#在在device级别设置端口监级别设置端口监控控setnsrpmonitortrack-ipip#启用启用track-ip功能功能setinterface“interfacename”manage-ipz.z.z.z#启用启用track-ip功能必功能必须设置端口的管理地址须设置端口的管理地址setnsrpmonitortrack-ipipx.x.x.xthreshold5#设置设置trackip地址和连续地址和连续丢包的阈值为丢包的阈值为5,降低误报的可能性,降低误报的可能性setnsrpmonitortrack-ipipx.x.x.xmethodarp#x.x.x.x是本地设备地址,是本地设备地址,用用arp方法检查,方法检查,y.y.y.y是远端设备地址,用是远端设备地址,用ping方法检查方法检查setnsrpmonitortrack-ipipx.x.x.xweight150setnsrpmonitortrack-ipipy.y.y.ythreshold5#要求同时设置两个以上要求同时设置两个以上的的track-ip地址,单一地址可能出现误切换地址,单一地址可能出现误切换setnsrpmonitortrack-ipipy.y.y.yweight150#要求要求x.x.x.x和和y.y.y.y这这两个地址是在防火墙同一侧的两台设备,只有当这两个地址同时两个地址是在防火墙同一侧的两台设备,只有当这两个地址同时ping或或arp不通时,产生权重不通时,产生权重300255,防火墙才会防火墙才会failover切换,降低误报的可能性切换,降低误报的可能性禁止使用类似禁止使用类似setnsrpvsd-groupid0monitorxxx这种这种vsd-group级别的级别的监控功能,这会导致监控功能,这会导致device级别的监控配置失效级别的监控配置失效Copyright2007JuniperNetworks,Inc.ProprietaryandC11flow配置配置setflowsyn-proxysyn-cookie#仅适用于仅适用于0S5.4以上版本以上版本unsetflowtcp-syn-check#不做不做TCPsyn检查,如果是新增防火墙,则建议启用以检查,如果是新增防火墙,则建议启用以提高安全性,但是启用提高安全性,但是启用NAT时则一定会做时则一定会做syn检查检查setflowno-tcp-seq-check#不做不做TCP序列号检查序列号检查可以通过可以通过getflow来确认结果:
来确认结果:
OS5.0版本的结果:
CheckTCPSYNbitbeforecreatesession:
NoSkipsequencenumbercheckinstatefulinspection:
YESOS5.4以上版本的结果:
CheckTCPSYNbitbeforecreatesession&refreshsessiononlyaftertcp3wayhandshake:
NOCheckTCPSYNbitbeforecreatesession:
NOSkipsequencenumbercheckinstatefulinspection:
YESCopyright2007JuniperNetworks,Inc.ProprietaryandC12ALG配置配置unsetalgmgcpenableunsetalgsccpenableunsetalgsunrpcenableunsetalgmsrpcenableunsetalgrtspenableunsetalgsipenableunsetalgh323enable#关闭所有不需要的关闭所有不需要的ALG,不同,不同OS版本版本ALG数量不同,数量不同,setalg?
看有哪些具体看有哪些具体ALG,一,一般情况下般情况下FTP、SQL等常用等常用ALG建议保留,如果需要禁用建议保留,如果需要禁用的话可以在的话可以在policy级别禁用级别禁用Copyright2007JuniperNetworks,Inc.ProprietaryandC13arp配置配置setarpalways-on-dest其目的是通过防火墙其目的是通过防火墙arp表来获得表来获得session表中的返回数据包的表中的返回数据包的MAC地址,而不是通过地址
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper 防火墙 标准 配置 模板 日常 维护 建议 v4