最新Juniper防火墙日常维护手册.doc

《最新Juniper防火墙日常维护手册.doc》由会员分享，可在线阅读，更多相关《最新Juniper防火墙日常维护手册.doc（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateJuniper防火墙日常维护手册中国移动通信集团广东有限公司UAP四期工程Juniper防火墙日常维护Juniper防火墙维护手册目录1.日常维护内容31.1.配置主机名31.2.接口配置41.3.路由配置51.4.高可用性配置（双机配置）61.5.配置MIP（通过图形界面配置）91.6.配置访问策略（通过图形界面配置）112.NetScreen的管理152.1.访问

2、方式152.2.用户172.3.日志182.4.性能202.5.其他常用维护命令213.其他的配置211. 日常维护内容1.1. 配置主机名NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名：Netscreen- set hostname FW-1-MFW-1-M 1.2. 接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP

3、，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。本例子中，配置接口ethernet2属于Untrust区，IP地址为

4、202.38.12.23/28，如设置管理方式是Http，命令如下：Ns204 - set interface ethernet1 zone TrustNs204 - set interface ethernet1 ip 10.243.194.194/29Ns204 - set interface ethernet1 natNs204 - set interface ethernet1 zone UntrustNs204 - set interface ethernet2 ip 202.38.12.23/28Ns204 - set interface ethernet1 nat选择接口后按 E

5、dit 键后进入以下页面进行配置接口特性：透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段，不需要配置接口的IP，设置的命令如下：FW-1-M - set interface ethernet1/1 zone V1-UnrustFW-1-M - set interface ethernet1/2 zone V1-Trust1.3. 路由配置NetScreen防火墙有路由功能，缺省情况下，内部有Untrust-vr和Trust-vr两个路由器，为了能与外部通讯，需要在这两个虚拟路由器上配置路由。如果untrust-vr没有使用的话，不需要在untrust-vr

6、上配置路由。一般应用中，配置静态路由即可满足要求。配置静态路由时，需要配置目的网络、下一跳及出去的接口。透明模式的防火墙不需要设置路由信息。本例中，在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17Ns204 - set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9用WebUI的方式配置接口，菜单：Network-routing-routing entries按New按钮可以配置一个新的路由：1.4. 高可用性配置（双机配置）NetScreen双机的基本配置步骤：1、 检查双机的版

7、本是否一致，原则上两台防火墙的版本要求相同。如果版本不同，建议升级到相同的版本。防火墙版本的检查命令：FW-1-M -get systemProduct Name: NetScreen-ISG1000Serial Number: 0133102006000136, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 5.3.0r7.0, Type: Firewall+VPN2、 连接HA线，把接口划分到HA 区段中

8、。HA线是防火墙的心跳线，ISG1000没有专门的HA接口，必须设置接口来并划分到HA区段中。如果心跳线采用光纤则只需要设置一个HA口和一根心跳线，如果采用双绞线作为心跳线，则需要设置两个HA口和两条双胶线，HA接口之间采用交叉线相连接。本例将Eth1/3及eth1/4设置为HA接口：FW-1-M - set interface ethernet1/3 zone HAFW-1-M -set interface ethernet1/4 zone HA3、 配置cluster ID号防火墙双机也叫cluster，同一个双机的cluster号应相同。在两台防火墙上都用命令配置成同一个cluster：

9、GM-Web(M)-set nsrp cluster id 1则两台防火墙一台会变成FW-1-M (M)，另一台会变成FW-1-B (B)，(M)表示主用，(B)表示备用，（I）表示初始化。注意：在（I）状态下，防火墙是不能正常工作的，出现此状态时一定要注意。用WebUI方式配置双机的cluster ID，菜单：Network-NSRP-Cluster4、 配置VSD组及优先级虚拟安全设备VSD组用于防火墙工作在active/active方式下，缺省情况下两台NetScreen防火墙都属于VSD组0，可以设置VSD组的优先级，优先级数值越小，则越优先。FW-1-M (M)- set nsrp

10、vsd-group id 0 priority 50用WebUI的方式配置VSD组的优先级，菜单：Network-NSRP-VSD Group，选择New或Edit菜单则可。5、 配置双机同步配置成双机后，把在防火墙上新增加的配置会自动同步到另一台防火墙上：注意：在配置成双机前的防火墙上的配置不会主动同步到另一台机器上；如果在防火墙1上做配置时，防火墙2是down的，则此时在防火墙1上做的配置，是不会主动同步到另一台防火墙上的。如果要同步这些异常情况下的配置，则需要在备机上运行相应的命令。配置RTO，RTO相当于防火墙上的连接信息，在两台防火墙上分别配置：FW-1-M (M)- set nsr

11、p rto-mirror sycFW-1-B (B)- set nsrp rto-mirror syc用WebUI的方式配置同步，菜单：Network-NSRP-Synchronization1.5. 配置MIP（通过图形界面配置）1、 命令行Ns204 (M)- set interface eth0/2 mip 211.136.202.19 host 10.243.194.195 netmask 255.255.255.255 WebUI方式选择菜单：Network-interfaces，选择eth0/2，按Edit按钮：再选择MIP进入：选择New选项，配置一个新的MIP：1.6. 配置访

12、问策略（通过图形界面配置）通过配置访问策略来控制通过防火墙的访问，1、 配置地址配置地址的对象，可以是单个IP或一个网段。选择ObjectsAddressesConfiguration ，再选择你配置源IP的安全区（或目的地址的安全区），设置单个IP：设置IP段：2、配置访问ServiceNetscreen防火墙中内置了许多的Service，如HTTP，FTP等，你可以在策略中直接选择需要访问的Service，如果你需要设置自定义的Service，可按如下步骤：进入ObjectsServicesCustomEdit,本例设置的是7001端口（用于HTTP）当然，你也可以配置地址的组，将你需要的

13、地址放入组中，并在策略中引用组。4、配置策略本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务，已定义172.16.1.122地址为WebServer。进入Policies，选择源安全区Untrust到目的安全区Trust，并点击有上角New6、 配置MIP访问策略步骤与上相同，本例是从Untrust访问MIP地址202.38.12.17。2. NetScreen的管理2.1. 访问方式NetScreen防火墙支持多种的管理方式：WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。常用的有console、

14、WebUI和Telnet。Console是通过直接的串口线连接防火墙，对防火墙进行管理和配置；telnet是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；WebUI是通过IE或Netscape Communicator登录到防火墙的可管理地址，对防火墙进行管理和配置。通过串口直接登录到防火墙时，超级终端的端口配置如下：-串行通讯9600bps-8位-无奇偶校验-1停止位-无信息流控制Telnet或console登录后的命令行界面如下：WebUI登录的界面如下：注意：如果要通过telnet或WebUI登录和管理防火墙，所登录的防火墙的接口需要打开telnet或WebUI的功

15、能；如果防火墙的接口配置了管理IP，一般只能对接口的管理IP进行telnet或WebUI，而不能直接对接口IP地址进行telnet或WebUI(版本不支持)。用命令行的方式检查接口是否打开telnet或WebUI功能的方式：ns204- get inter eth2Interface ethernet2: description ethernet2 number 5, if_info 10280, if_index 0, mode route link up, phy-link up/full-duplex vsys Root, zone Untrust, vr trust-vr dhcp c

16、lient disabled PPPoE disabled admin mtu 0, operating mtu 1500, default mtu 1500 *ip 211.136.202.10/30 mac 0014.f642.d475 *manage ip 211.136.202.10, mac 0014.f642.d475 route-deny disable pmtu-v4 disabled ping enabled, telnet enabled, SSH enabled, SNMP disabled web enabled, ident-reset disabled, SSL d

17、isabled DNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0 OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured bandwidth: physical 100000kbps, configured egress gbw 0kbps mbw 0kbps configured ingress mbw 0kbps, current bw 0kbps total a

18、llocated gbw 0kbps DHCP-Relay disabled DHCP-server disabledNumber of SW session: 128052, hw sess err cnt 0用WebUI的方式检查接口是否打开telnet或WebUI功能的方式：选择菜单：Network-interface选择对应接口的Edit菜单：2.2. 用户NetScreen 设备支持多个管理用户级别。这些级别的可用性取决于 NetScreen 设备的模式。NetScreen根管理员具有完全的管理权限。每个 NetScreen 设备只有一个根管理员。缺省情况下根管理员的用户名和密码为n

19、etscreen/netscreen。在进行防火墙配置时，务必先修改防火墙根用户的默认用户名和默认口令。用命令行的方式修改根用户的用户名和口令的命令：GM-Web(M)- set admin user xxx password yyy其中xxx为根用户的用户名，yyy为根用户的密码。用WebUI的方式修改根用户名和密码的方式选择菜单：Configuration-Admin-Adminstrators：选择Edit按钮后可出现以下菜单，可以输入新的根用户和口令：注意：NetScreen防火墙在启用后，强烈建议修改缺省密码。同时在上线后，每次修改NetScreen防火墙的配置，都建议对配置作备份。

20、因为NetScreen防火墙密码丢失后，恢复密码的操作会把防火墙所有的配置丢掉。2.3. 日志防火墙有各种日志，常用的有告警日志和事件日志，这些日志信息对于维护防火墙时是非常有用的。用命令行的方式查看告警日志的命令：SN-NS500-FW1(M)- get alarm eventTotal event entries = 44Date Time Module Level Type Description2004-12-07 15:14:26 system crit 00015 Peer device 8319360 in the Virtual Security Device group 0

21、changed state from backup to primary backup.2004-12-07 15:14:25 system crit 00071 The local device 8318976 in the Virtual Security Device group (0) changed state from primary backup to master, missing master.用命令行的方式查看事件日志的命令：GM-Web(M)- get eventTotal event entries = 41Date Time Module Level Type Des

22、cription2007-01-01 12:27:44 system notif 00767 Alarm log was reviewed by admin netscreen.2007-01-01 12:21:13 system warn 00515 Admin user netscreen has logged on via Telnet from 172.16.1.119:26672007-01-01 12:21:13 system warn 00515 Login attempt to system by admin netscreen via Telnet from 172.16.1

23、.119: 2667 has failed (Incorrect password)2007-01-01 12:21:08 system warn 00518 ADM: Local admin authentication failed for login name netscreen: invalid password通过WebUI方式查看告警日志和事件日志的方法：通过WebUI登录到防火墙上即可：2.4. 性能维护时检查防火墙的性能主要是查看防火墙CPU和Session的使用情况。通过命令行的方式查看防火墙的CPU使用情况：GM-Web(M)- get performance cpuAve

24、rage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%GM-Web(M)- get performance cpu detail Average System Utilization: 1%Last 60 seconds:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2

25、 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2 29: 2 28: 2 27: 2 26: 2 25: 2 24: 2 23: 2 22: 2 21: 2 20: 2 19: 2 18: 2 17: 2 16: 2 15: 2 14: 2 13: 2 12: 2 11: 2 10: 2 9: 2 8: 2 7: 2 6: 2 5: 2 4: 2 3: 2 2: 2 1: 2 0: 2 Last 60 minutes:59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2

26、 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2通过命令行方式查看Session的使用情况：GM-Web(M)- get sessionalloc 1/max 64064, alloc failed 0, mcast alloc 0, di alloc failed 0total reserved 0, free sessions in shared pool 64063id 64054/s*,vsys 0,flag

27、 00000040/0080/0021,policy 320002,time 180, dip 0 module 0 if 6(nspflag 800601):172.16.1.119/2667-172.16.1.1/23,6,0015c5130cb2,sess token 4,vlan 0,tun 0,vsd 0,route 5 if 3(nspflag 0010):172.16.1.119/2667ReportSNMPCommunity Edit4.2、Syslog配置可以通过设置来接收防火墙的Syslog，Syslog可以包括Event Log和TrafficLog，Syslog的设置进入菜单：ConfigurationReport SettingsSyslog-