Juniper防火墻日常維護(hù)手冊

/Juniper防火墻維護(hù)手冊書目1. 日常維護(hù)內(nèi)容 31.1. 配置主機(jī)名 31.2. 接口配置 41.3. 路由配置 51.4. 高可用性配置（雙機(jī)配置） 61.5. 配置MIP（通過圖形界面配置） 91.6. 配置訪問策略（通過圖形界面配置） 112. NetScreen的管理 152.1. 訪問方式 152.2. 用戶 172.3. 日志 182.4. 性能 202.5. 其他常用維護(hù)吩咐 213. 其他的配置 21日常維護(hù)內(nèi)容配置主機(jī)名NetScreen防火墻出廠配置的機(jī)器名為netscreen，為了便于區(qū)分設(shè)備和維護(hù)，在對防火墻進(jìn)行配置前先對防火墻進(jìn)行命名：Netscreen->sethostnameFW-1-MFW-1-M>接口配置配置接口的工作包括配置接口屬于什么區(qū)域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP和接口IP在同一網(wǎng)段，用于特地對接口進(jìn)行管理時用。在雙機(jī)的工作狀態(tài)下，因?yàn)榻涌诘牡刂分淮嬖谟谥鞣阑饓ι?，假如不配置管理IP，則不能對備用防火墻進(jìn)行登錄了。一般在單機(jī)時，不須要配置接口的管理IP，但在雙機(jī)時，建議對trust區(qū)域的接口配置管理IP。接口的一些管理特性包括是否允許對本接口的IP進(jìn)行ping、telnet、WebUI等操作。留意：接口的工作模式可以工作在路由模式，NAT模式和透亮模式。在產(chǎn)品線應(yīng)用中，透亮模式很少用，而NAT模式只有在trust到untrust的數(shù)據(jù)流才起作用，建議把防火墻的全部接口都配置成route的工作模式，用吩咐setinterface接口名route配置即可，缺省狀況下須要在trust區(qū)段中的接口運(yùn)用此吩咐。本例子中，配置接口ethernet2屬于Untrust區(qū)，IP地址為3/28，如設(shè)置管理方式是Http，吩咐如下：Ns204->setinterfaceethernet1zoneTrustNs204->Ns204->setinterfaceethernet1natNs204->setinterfaceethernet1zoneUntrustNs204->setinterfaceethernet2ipNs204->setinterfaceethernet1nat選擇接口后按Edit鍵后進(jìn)入以下頁面進(jìn)行配置接口特性：透亮模式只須要將防火墻的接口配置為V1-Untrust或V1-Trust等二層的區(qū)段，不須要配置接口的IP，設(shè)置的吩咐如下：FW-1-M->setinterfaceethernet1/1zoneV1-UnrustFW-1-M->setinterfaceethernet1/2zoneV1-Trust路由配置NetScreen防火墻有路由功能，缺省狀況下，內(nèi)部有Untrust-vr和Trust-vr兩個路由器，為了能和外部通訊，須要在這兩個虛擬路由器上配置路由。假如untrust-vr沒有運(yùn)用的話，不須要在untrust-vr上配置路由。一般應(yīng)用中，配置靜態(tài)路由即可滿意要求。配置靜態(tài)路由時，須要配置目的網(wǎng)絡(luò)、下一跳及出去的接口。透亮模式的防火墻不須要設(shè)置路由信息。本例中，在trust-vr上配置默認(rèn)的路由下一跳通過Untrust接口指向網(wǎng)關(guān)Ns204->setroute用WebUI的方式配置接口，菜單：Network->routing->routingentries按New按鈕可以配置一個新的路由：高可用性配置（雙機(jī)配置）NetScreen雙機(jī)的基本配置步驟：檢查雙機(jī)的版本是否一樣，原則上兩臺防火墻的版本要求相同。假如版本不同，建議升級到相同的版本。防火墻版本的檢查吩咐：FW-1-M->getsystemProductName:NetScreen-ISG1000HardwareVersion:3010(0)-(04),FPGAchecksum:00000000,VLAN1IP(.0)SoftwareVersion:r7.0,Type:Firewall+VPN連接HA線，把接口劃分到HA區(qū)段中。HA線是防火墻的心跳線，ISG1000沒有特地的HA接口，必需設(shè)置接口來并劃分到HA區(qū)段中。假如心跳線采納光纖則只須要設(shè)置一個HA口和一根心跳線，假如采納雙絞線作為心跳線，則須要設(shè)置兩個HA口和兩條雙膠線，HA接口之間采納交叉線相連接。本例將Eth1/3及eth1/4設(shè)置為HA接口：FW-1-M->setinterface"ethernet1/3"zone"HA"FW-1-M->setinterface"ethernet1/4"zone"HA"配置clusterID號防火墻雙機(jī)也叫cluster，同一個雙機(jī)的cluster號應(yīng)相同。在兩臺防火墻上都用吩咐配置成同一個cluster：GM-Web(M)->setnsrpclusterid1則兩臺防火墻一臺會變成FW-1-M(M)，另一臺會變成FW-1-B(B)，(M)表示主用，(B)表示備用，（I）表示初始化。留意：在（I）狀態(tài)下，防火墻是不能正常工作的，出現(xiàn)此狀態(tài)時肯定要留意。用WebUI方式配置雙機(jī)的clusterID，菜單：Network->NSRP->Cluster配置VSD組及優(yōu)先級虛擬平安設(shè)備VSD組用于防火墻工作在active/active方式下，缺省狀況下兩臺NetScreen防火墻都屬于VSD組0，可以設(shè)置VSD組的優(yōu)先級，優(yōu)先級數(shù)值越小，則越優(yōu)先。FW-1-M(M)->setnsrpvsd-groupid0priority50用WebUI的方式配置VSD組的優(yōu)先級，菜單：Network->NSRP->VSDGroup，選擇New或Edit菜單則可。配置雙機(jī)同步配置成雙機(jī)后，把在防火墻上新增加的配置會自動同步到另一臺防火墻上：留意：在配置成雙機(jī)前的防火墻上的配置不會主動同步到另一臺機(jī)器上；假如在防火墻1上做配置時，防火墻2是down的，則此時在防火墻1上做的配置，是不會主動同步到另一臺防火墻上的。假如要同步這些異樣狀況下的配置，則須要在備機(jī)上運(yùn)行相應(yīng)的吩咐。配置RTO，RTO相當(dāng)于防火墻上的連接信息，在兩臺防火墻上分別配置：FW-1-M(M)->setnsrprto-mirrorsycFW-1-B(B)->setnsrprto-mirrorsyc用WebUI的方式配置同步，菜單：Network->NSRP->Synchronization配置MIP（通過圖形界面配置）吩咐行Ns204(M)->setinterfaceeth0/2mip9host95netmask55WebUI方式選擇菜單：Network->interfaces，選擇eth0/2，按Edit按鈕：再選擇MIP進(jìn)入：選擇New選項(xiàng)，配置一個新的MIP：配置訪問策略（通過圖形界面配置）通過配置訪問策略來限制通過防火墻的訪問，配置地址配置地址的對象，可以是單個IP或一個網(wǎng)段。選擇Objects>Addresses>Configuration，再選擇你配置源IP的平安區(qū)（或目的地址的平安區(qū)），設(shè)置單個IP：設(shè)置IP段：2、配置訪問ServiceNetscreen防火墻中內(nèi)置了很多的Service，如HTTP，F(xiàn)TP等，你可以在策略中干脆選擇須要訪問的Service，假如你須要設(shè)置自定義的Service，可按如下步驟：進(jìn)入Objects>Services>Custom>Edit,本例設(shè)置的是7001端口（用于HTTP）當(dāng)然，你也可以配置地址的組，將你須要的地址放入組中，并在策略中引用組。4、配置策略本例配置從Untrust到Trust區(qū)允許Any訪問22服務(wù)器的HTTP_7001服務(wù)，已定義22地址為WebServer。進(jìn)入Policies，選擇源平安區(qū)Untrust到目的平安區(qū)Trust，并點(diǎn)擊有上角New配置MIP訪問策略步驟和上相同，本例是從Untrust訪問MIP地址7。NetScreen的管理訪問方式NetScreen防火墻支持多種的管理方式：WebUI、Telnet、console、ssh、NetScreen防火墻管理軟件等。常用的有console、WebUI和Telnet。Console是通過干脆的串口線連接防火墻，對防火墻進(jìn)行管理和配置；telnet是通過終端仿真協(xié)議登錄到防火墻上的可管理地址，對防火墻進(jìn)行管理和配置；WebUI是通過IE或NetscapeCommunicator登錄到防火墻的可管理地址，對防火墻進(jìn)行管理和配置。通過串口干脆登錄到防火墻時，超級終端的端口配置如下：串行通訊9600bps8位無奇偶校驗(yàn)1停止位無信息流限制Telnet或console登錄后的吩咐行界面如下：WebUI登錄的界面如下：留意：假如要通過telnet或WebUI登錄和管理防火墻，所登錄的防火墻的接口須要打開telnet或WebUI的功能；假如防火墻的接口配置了管理IP，一般只能對接口的管理IP進(jìn)行telnet或WebUI，而不能干脆對接口IP地址進(jìn)行telnet或WebUI(版本不支持)。用吩咐行的方式檢查接口是否打開telnet或WebUI功能的方式：ns204->getintereth2Interfaceethernet2:descriptionethernet2number5,if_info10280,if_index0,moderoutelinkup,phy-linkup/full-duplexvsysRoot,zoneUntrust,vrtrust-vrdhcpclientdisabledPPPoEdisabledadminmtu0,operatingmtu1500,defaultmtu1500route-denydisablepmtu-v4disabledpingenabled,telnetenabled,SSHenabled,SNMPdisabledwebenabled,ident-resetdisabled,SSLdisabledDNSProxydisabled,webauthdisabled,webauth-i.0OSPFdisabledBGPdisabledRIPdisabledRIPngdisabledmtracedisabledPIM:notconfiguredIGMPnotconfiguredbandwidth:physical100000kbps,configuredegress[gbw0kbpsmbw0kbps]configuredingressmbw0kbps,currentbw0kbpstotalallocatedgbw0kbpsDHCP-RelaydisabledDHCP-serverdisabledNumberofSWsession:128052,hwsesserrcnt0用WebUI的方式檢查接口是否打開telnet或WebUI功能的方式：選擇菜單：Network->interface選擇對應(yīng)接口的Edit菜單：用戶NetScreen設(shè)備支持多個管理用戶級別。這些級別的可用性取決于NetScreen設(shè)備的模式。NetScreen根管理員具有完全的管理權(quán)限。每個NetScreen設(shè)備只有一個根管理員。缺省狀況下根管理員的用戶名和密碼為netscreen/netscreen。在進(jìn)行防火墻配置時，務(wù)必先修改防火墻根用戶的默認(rèn)用戶名和默認(rèn)口令。用吩咐行的方式修改根用戶的用戶名和口令的吩咐：GM-Web(M)->setadminuserxxxpasswordyyy其中xxx為根用戶的用戶名，yyy為根用戶的密碼。用WebUI的方式修改根用戶名和密碼的方式選擇菜單：Configuration->Admin->Adminstrators：選擇Edit按鈕后可出現(xiàn)以下菜單，可以輸入新的根用戶和口令：留意：NetScreen防火墻在啟用后，劇烈建議修改缺省密碼。同時在上線后，每次修改NetScreen防火墻的配置，都建議對配置作備份。因?yàn)镹etScreen防火墻密碼丟失后，復(fù)原密碼的操作會把防火墻全部的配置丟掉。日志防火墻有各種日志，常用的有告警日志和事務(wù)日志，這些日志信息對于維護(hù)防火墻時是特別有用的。用吩咐行的方式查看告警日志的吩咐：SN-NS500-FW1(M)->getalarmeventTotalevententries=44DateTimeModuleLevelTypeDescription2004-12-0715:14:26systemcrit00015Peerdevice8319360intheVirtualSecurityDevicegroup0changedstatefrombackuptoprimarybackup.2004-12-0715:14:25systemcrit00071Thelocaldevice8318976intheVirtualSecurityDevicegroup(0)changedstatefromprimarybackuptomaster,missingmaster.用吩咐行的方式查看事務(wù)日志的吩咐：GM-Web(M)->geteventTotalevententries=41DateTimeModuleLevelTypeDescription2007-01-0112:27:44systemnotif00767Alarmlogwasreviewedbyadminnetscreen.2007-01-0112:21:13systemwarn00515AdminusernetscreenhasloggedonviaTelnetfrom19:26672007-01-0112:21:13systemwarn00515LoginattempttosystembyadminnetscreenviaTelnetfrom19:2667hasfailed(Incorrectpassword)2007-01-0112:21:08systemwarn00518ADM:Localadminauthenticationfailedforloginname'netscreen':invalidpassword通過WebUI方式查看告警日志和事務(wù)日志的方法：通過WebUI登錄到防火墻上即可：性能維護(hù)時檢查防火墻的性能主要是查看防火墻CPU和Session的運(yùn)用狀況。通過吩咐行的方式查看防火墻的CPU運(yùn)用狀況：GM-Web(M)->getperformancecpuAverageSystemUtilization:1%Last1minute:2%,Last5minutes:2%,Last15minutes:2%GM-Web(M)->getperformancecpudetailAverageSystemUtilization:1%Last60seconds:59:258:257:256:255:254:253:252:251:250:249:248:247:246:245:244:243:242:241:240:239:238:237:236:235:234:233:232:231:230:229:228:227:226:225:224:223:222:221:220:219:218:217:216:215:214:213:212:211:210:29:28:27:26:25:24:23:22:21:20:2Last60minutes:59:258:257:256:255:254:253:252:251:250:249:248:247:246:245:244:243:242:241:240:239:238:237:236:235:234:233:232:231:230: