Netscreen 防火墙维护指南.docx
- 文档编号:29266041
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:15
- 大小:28.72KB
Netscreen 防火墙维护指南.docx
《Netscreen 防火墙维护指南.docx》由会员分享,可在线阅读,更多相关《Netscreen 防火墙维护指南.docx(15页珍藏版)》请在冰豆网上搜索。
Netscreen防火墙维护指南
Netscreen防火墙维护指南/1B1BqK7_8
一、综述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。
_u_PV_S_
NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。
本文对Netscreen防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。
3Dy_Ksu{_=
二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Netscreen防火墙维护主要思路为:
通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。
(__t*`_3[
常规维护:
在防火墙的日常维护中,通过对防火墙进行健康检查,能够实时了解Netscreen防火墙运行状况,检测相关告警信息,提前发现并消除网络异常和潜在故障隐患,以确保设备始终处于正常工作状态。
__0X_@gs
1、_53wE_u,S
日常维护过程中,需要重点检查以下几个关键信息:
EG$6c_qo^0
Session:
如已使用的Session数达到或接近系统最大值,将导致新Session不能及时建立连接,此时已经建立Session的通讯虽不会造成影响;但仅当现有session连接拆除后,释放出来的Session资源才可供新建连接使用。
维护建议:
当Session资源正常使用至85%时,需要考虑设备容量限制并及时升级,以避免因设备容量不足影响业务拓展。
x?
_8dF;8
CPU:
Netscreen是基于硬件架构的高性能防火墙,很多计算工作由专用ASIC芯片完成,正常工作状态下防火墙CPU使用率应保持在50%以下,如出现CPU利用率过高情况需给予足够重视,应检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。
通常情况下CPU利用率过高往往与攻击有关,可通过正确设置screening对应选项进行防范。
xTh_n(W_;
Memory:
NetScreen防火墙对内存的使用把握得十分准确,采用“预分配”机制,空载时内存使用率为约50-60%,随着流量不断增长,内存的使用率应基本保持稳定。
如果出现内存使用率高达90%时,需检查网络中是否存在攻击流量,并察看为debug分配的内存空间是否过大(getdbufinfo单位为字节)。
p__{OP&q`
#_?
_fil{if
2、在业务使用高峰时段检查防火墙关键资源(如:
Cpu、Session、Memory和接口流量)等使用情况,建立网络中业务流量对设备资源使用的基准指标,为今后确认网络是否处于正常运行状态提供参照依据。
当session数量超过平常基准指标20%时,需检查session表和告警信息,检查session是否使用于正常业务,网络中是否存在flood攻击行为。
当Cpu占用超过平常基准指标50%时,需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。
_j_hty_L,
3、防火墙健康检查信息表:
0dUB_qh#7
设备型号
软件版本$_;+e7^6_z
设备序列号_6@G___@V;
设备用途
XX区防火墙
设备状态
主用/备用_Ir!
T~
},
设备组网方式_)l_,'>=g
如:
Layer3口型A/PQ
/__[+O
检查对象
检查命令c3iTdC_Fg6
(/lE]__ES_相关信息C_m|)Gfw4$
6_&c#_x16[ 检查结果"Lpa&5_H_r
___0_8i_
备注_!
_,HT_oJl
_K_[mNcD7 Session8afy9ZiIT
vx}zr_A_ Getsession-2_c_?
sZ_F
0I_jbey' GetperfcpuI_q_\RSEH! 1_b__IX_9T MemorySQ__`_`*y` Getmemory_rT: q[! Bi \ {Oj_B^p< Interface6m: gOx}h Getinterface1! 5_8cVBd E ~)*_'D. 路由表>_HA~E_ybR GetrouteiO_%Ag1EG _VuX_T] HA状态CFz&~Zfo|^ GetnsrpQ_p2_A*mU _qHK! __62事件查看yd&_k@___ Getlogevent>kQg_skj_ aX;OX30\# 告警信息___;R,<-l Getalarmeventv\H: &|j;< Q J+Y*I2R6机箱温度"2jx]_2VJ GetchassisT%dnA: ~W_ D1%oi{_u_ LED&u: >h___ LED指示灯检查>_]M&_o? Z Q_t^X_KTCQ 设备运行_Nf/: GH~Fr 参考基线-L#{42_@^> SessiondU`___ M'_TW"__ CpuOTy_ _yK~ /? gP`s}TMemory`_Jj`>;9&t hF;@aVLd_接口流量_T_d4>_4_C qSmvks-_ 业务类型_3S>__[,LC __b._9C^d机箱温度__uR~P_ 4、常规维护建议: rF;_R#~_ 1、配置System-ip地址,指定专用终端管理防火墙;_8_v;Efn 2、更改netscreen账号和口令,不建议使用缺省的netscreen账号管理防火墙;设置两级管理员账号并定期变更口令;仅容许使用SSH和SSL方式登陆防火墙进行管理维护。 C}6m_Hu~_ 3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。 整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。 7_ED_p>fa_ 4、整理一份上下行交换机配置备份文档(调整其中的端口地址和路由指向),提供备用网络连线。 防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。 _f*AQ(_B_$ 5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。 +t_Iv$}73Q 6、重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故障隐患。 Y_: 4#x__@ 7、建立设备运行档案,为配置变更、事件处理提供完整的维护记录,定期评估配置、策略和路由是否优化。 __>)dpg<__ 8、故障设想和故障处理演练: 日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如: NSRP集群中设备出现故障,网线故障及交换机故障时的路径保护切换。 =Ab__<7VJ_ 9、设备运行档案表X1_fNm0 应急处理当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障是否与防火墙有关。 如果故障与防火墙有关,可在防火墙上打开debug功能跟踪包处理过程,检验策略配置是否存在问题。 一旦定位防火墙故障,可通过命令进行NSRP双机切换,单机环境下发生故障时利用备份的交换机/路由器配置,快速旁路防火墙。 在故障明确定位前不要关闭防火墙。 _&ma 1、__hiRmHv__ 检查设备运行状态qK[$! _t_+ 网络出现故障时,应快速判断防火墙设备运行状态,通过Console口登陆到防火墙上,快速查看CPU、Memory、Session、Interface以及告警信息,初步排除防火墙硬件故障并判断是否存在攻击行为。 ^_j: __F 2、V_pw*l_#V{ 跟踪防火墙对数据包处理情况__[7G_=v^ 如果出现部分网络无法正常访问,顺序检查接口状态、路由和策略配置是否有误,在确认上述配置无误后,通过debug命令检查防火墙对特定网段数据报处理情况。 部分地址无法通过防火墙往往与策略配置有关。 nK_Wy,v_7; 3、n0"eWN! e% 检查是否存在攻击流量__{" CH_ 通过查看告警信息确认是否有异常信息,同时在上行交换机中通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Screen选项中启用对应防护措施来屏蔽攻击流量。 VfY__Y_'T 4、检查NSRP工作状态: Cq2o%2LRm 使用getnsrp命令检查nsrp集群工作状态,如nsrp状态出现异常或发生切换,需进一步确认引起切换的原因,引起NSRP切换原因通常为链路故障,交换机端口故障,设备断电或重启。 设备运行时务请不要断开HA心跳线缆。 _{Qe,_p_fB 5、xWW_jReCMf 防火墙发生故障时处理方法I[y)_r+,_X 如果出现以下情况可初步判断防火墙存在故障: 无法使用console口登陆防火墙,防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。 为快速恢复业务,可通过调整上下行设备路由指向,快速将防火墙旁路,同时联系供应商进行故障诊断。 gH~$9_=[J, 总结改进故障处理后的总结与改进是进一步巩固网络可靠性的必要环节,有效的总结能够避免很多网络故障再次发生。 KsD8__s 1、在故障解决后,需要进一步总结故障产生原因,并确认该故障已经得到修复,避免故障重复发生。 %-Rw/Dn]_ 2、条件容许的情况下,构建防火墙业务测试环境,对所有需要调整的配置参数在上线前进行测试评估,避免因配置调整带来新的故障隐患。 SrZ_"_|^2- 3、分析网络可能存在的薄弱环节和潜在隐患,通过技术论证和测试验证来修复隐患。 ix~_b@l7wl 故障处理工具Netscreen防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是debug和snoop,debug用于跟踪防火墙对指定包的处理,snoop用于捕获流经防火墙的数据包,由于debug和snoop均需要消耗防火墙的cpu和memory资源,在使用时务必要设置过虑列表,防火墙将仅对过虑列表范围内的包进行分析,包分析结束后应在第一时间关闭debug和snoop功能。 下面简要介绍一下两个工具的使用方法。 ]_o_C._% Debug: 跟踪防火墙对数据包的处理过程_3_e8_]_V 1.Setffiltersrc-ipx.x.x.xdst-ipx.x.x.xdst-portxxD)SP{&qU> 设置过滤列表,定义捕获包的范围j,=lC6_D6E 2、cleardbufDi___|F^8 清除防火墙内存中缓存的分析包N/;h6MOi+ 3、debugflowbasic@M|_Kq}ip 开启debug数据流跟踪功能s]PihJHZ 4、发送测试数据包或让小部分流量穿越防火墙~~_MTu_{TL 5、undebugall6S_C__"g@ 关闭所有debug功能_YT(y8iLoS 6、getdbufstreampk"|@_#) J~"'_fY_ 检查防火墙对符合过滤条件数据包的分析结果 }X._c8xS 7、unsetffilter>_l_~}l_ Z=PJt_4! xL 清除防火墙debug过滤列表|g_v'x"_s= h`f,v&a_j 8、cleardbufty9n/_uF`V 清除防火墙缓存的debug信息,lI_d'7_IZ 9、getdebugd_M? cc_o: i 查看当前debug设置2 __X_v>; Snoop: 捕获进出防火墙的数据包,与Sniffer嗅包软件功能类似。 u@wA` 1.Snoopfilteripsrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx"Sn_KY#0_F 设置过滤列表,定义捕获包的范围L_g*__.EX 2、cleardbuf`E/__t3Ln 清除防火墙内存中缓存的分析包Fp__"l`_' 3、snoopP voJO4P7U 开启snoop功能捕获数据包"}_lCz]L]_ 4、发送测试数据包或让小部分流量穿越防火墙mT' }C__h< 5、snoopoff_p_gA"b_*5 停止snoop{Q_3FnT? 6、getdbstream\P: {_(_,_Y _DBh_: r]Cq 检查防火墙对符合过滤条件数据包的分析结果l[? "3IJA_ 7、snoopfilterdelete+}H[CgI: 9 清除防火墙snoop过滤列表$S___r_v <3%VDXv5_Z 8、cleardbuf~byrjb__! F 清除防火墙缓存的debug信息/__=___$}n 9、snoopinfo_P(1i`fIp_ 查看snoop设置<_Zc,t_ak_ 三、Netscreen冗余协议(NSRP)Nsrp协议提供了灵活的设备和路径冗余保护功能,在设备和链路发生故障的情况下进行快速切换,切换时现有会话连接不会受到影响。 设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。 i_K)[0Ts|_ NSRP部署建议 Q4u^#-0cS _\_=___ i -_k? 6? $_eH : _R_,g#_sE l 基于端口和设备的冗余环境中,无需启用端口和设备级的抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。 T_c)_8TU l4{_W_S_^D 当配置两组或两组以上的防火墙到同一组交换机上时,每组nsrp集群应设置不同的clusterID号,避免因相同的clusterID号引发接口MAC地址冲突现象。 &GPb6$FJu l? z__=M_RIJ 防火墙nsrp集群建议采用接口监控方式,仅在网络不对称的情况下有选择使用Track-ip监控方式。 在对称网络中接口监控方式能够更快更准确的反映网络状态变化。 ;7X_utbZ_[ la_i__J_6_6 在单台防火墙设备提供的session和带宽完全可以满足网络需求时,建议采用基于路由的Active-Passive主备模式,该模式组网结构清晰,便于维护和管理。 S_G;__Z;f3 lXTS_|_w{_{ 设备运行时应保证HA线缆连接可靠,为确保HA心跳连接不会出现中断,建议配置HA备份链路“secondary-path”。 \<_N_&bOSJ lhPL-df7PhU NSRP许多配置参数是经过检验的推荐配置,通常情况下建议采用这些缺省参数。 n$=cd[SUv@ NSRP常用维护命令le$(._8LRHG getlicense-key查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。 Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。 lH_[5G]h__ l_nsHi_dB" execnsrpsyncglobal-configcheck-sum检查双机配置命令是否同步M~JT_Cl(_2 lU_fd*;<9 execnsrpsyncglobal-configsave如双机配置信息没有自动同步,请手动执行此同步命令,需要重启系统。 BbYY7e_#? > l,c*bX9byh getnsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。 gX=d5_.k lpLOV___eT< Execnsrpsyncrtoallfrompeer手动执行RTO信息同步,使双机保持会话信息一致R: [ _}Q_(1 lZ];aw=]=_* execnsrpvsd-group0modebackup手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。 [_o_S%#6v_ l|_dmfie_n execnsrpvsd-group0modeineligible手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。 (y_R]_H4o_ l_ULFT1_O'n setfailoveron/setfailoverauto启用并容许冗余接口自动切换c}{Yn_kb]p lu3as execfailoverforce"__8_iA-_ 手动执行将主用端口切换为备用端口。 o__/EqZ*Hq lT6Z#V|cfcf execfailoverrevert手动执行将备用端口切换为主用端口。 WtD5t_So_O l"x1o%: 90q getalarmevent检查设备告警信息,其中将包含NSRP状态切换信息! |_%5M4$j 四、策略配置与优化(Policy)防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。 考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。 ##9PQ_? 策略配置与维护需要注意地方有: xW%B0vek4_ lv~%_2|w 试运行阶段最后一条策略定义为所有访问允许并作log,以便在不影响业务的情况下找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后一条定义为所有访问禁止并作log,以便在试运行阶段观察非法流量行踪。 试运行阶段结束后,再将最后一条“禁止所有访问”策略删除。 ]8MdTC8dx: l_SGXHF\P_) 防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面。 r0_,Q`p>Md leeKd__}_Q 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用部分资源。 建议在业务量大的网络上有选择采用,或仅在必要时采用。 另外,对于策略配置中的Count(流量统计)选项,如非必要建议在业务时段不使用。 xgT_DEpxx$ lwyOzQ-FlkE 简化的策略表不仅便于维护,而且有助于快速匹配。 尽量保持策略表简洁和简短,规则越多越容易犯错误。 通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。 q-_*/k%c_Q lR>+2^F_[a_ 策略用于区段间单方向网络访问控制。 如果源区段和目的区段不同,则防火墙在区段间策略表中执行策略查找。 如果源区段和目的区段相同并启用区段内阻断,则防火墙在区段内部策略表中执行策略查找。 如果在区段间或区段内策略表中没有找到匹配策略,则安全设备会检查全局策略表以查找匹配策略。 Cj5WIN_aY lB2_+[8P,}+ MIP/VIP地址属于全局区段地址,配置策略时建议通过全局区段来配置MIP/VIP地址相关策略,MIP/VIP地址虽然可为其余区段调用,但由于其余区段的“any”地址并不包括全局区段地址,在定义策略时应加以注意,避免配置不生效的策略。 >__[ n_\ lk]R5K+m"_ 策略变更控制。 组织好策略规则后,应写上注释并及时更新。 注释可以帮助管理员了解每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。 如果防火墙有多个管理员,建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。 aIGdx&/o4 五、攻击防御(Screen)Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击,一些流行的攻击手法有Synflood,Udpflood,Smurf,PingofDeath,LandAttack等,防火墙在抵御这些攻击时,通过专用ASIC芯片来进行处理,适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。 如果希望开启Screening内的其它选项,在开启这些防护功能前有几个因素需要考虑: e\_5lL*__L ·d&H_p"toP; 抵御攻击的功能会占用防火墙部分CPU资源;qN&_Ap*F: ·r_6j? Vs(_# 自行开发的一些应用程序中,可能存在部分不规范的数据包格式;cFMz`{g_w vw? V8drb* 网络环境中可能存在非常规性设计。 ^g1ZtrBO 如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,则会影响正常网络处理的性能;如果自行开发的程序不规范,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的网络设计也会出现合法流量被屏蔽问题。 OXUW3eMb_ 要想有效发挥NetscreenScreening攻击防御功能,需要对网络中流量和协议类型有比较充分的认识,同时要理解每一个防御选项的具体含义,避免引发无谓的网络故障。 防攻击选项的启用需要采用逐步逼近的方式,一次仅启用一个防攻击选项,然后观察设备资源占用情况和防御结果,在确认运行正常后再考虑按需启用另一个选项。 建议采用以下顺序渐进实施防攻击选项: ! e[7(d_$z~ lRANgJ'_9Y 设置防范DDoSFlood攻击选项W.__LH+\XS lVgsz,_`QA 根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值,在防范DDoS的选项上添加20%的余量作为阀值。 2K_{_: "8s^ l'C#g__P_Nc 如果要设置防范IP协议层的选项,需在深入了解网络环境后,再将IP协议和网络层的攻击选项逐步选中。 |['cJ_QrU- l1nhx_l\55r 设置防范应用层的选项,在了解应用层的需求以及客户化程序的编程标准后,如不采用ActiveX控件,可以选择这些基于应用层的防攻击选项。 4t}_m_>FO l__[c5*S\D 为检查网络中是否存在攻击流量,可以临时打开该区段screening顶部GenerateAlarmswithoutDroppingPacket选项,确认攻击类型后再将该选项去除。 H_f_t _tU l ~P_pP! /_6 在设置screening选项的过程中,应密切注意防火墙CPU的利用率,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Netscreen 防火墙维护指南 防火墙 维护 指南
![提示](https://static.bdocx.com/images/bang_tan.gif)