Juniper防火墙维护基础手册.doc

《Juniper防火墙维护基础手册.doc》由会员分享，可在线阅读，更多相关《Juniper防火墙维护基础手册.doc（73页珍藏版）》请在咨信网上搜索。

Juniper防火墙维护手册 （版本号：V1.0） 运行部网络管理室 目录 一、Juniper防火墙介绍 5 1.1、NS5000系列 5 1.1.1、NS5400 5 1.1.2、NS5200 5 1.2、ISG系列 6 1.2.1、ISG 6 1.2.2、ISG1000 6 1.3、SSG500系列 7 1.3.1 SSG 550M 7 1.3.2 SSG 520 7 1.4、SSG300系列 8 1.4.1 SSG 350M 8 1.4.2 SSG 320M 8 1.5、SSG140系列 8 1.5.1 SSG 140 9 1.6、SSG5/20系列 9 1.6.1 SSG 5 9 1.6.2 SSG 20 9 二、防火墙常见配置 10 2.1 Juniper防火墙初始化配置和操纵 10 2.2 查看系统概要信息 14 2.3主菜单常见配置选项导航 16 2.4 Configration配置菜单 17 2.5 Update更新系统镜像和配置文件 18 2.5.1更新ScreenOS系统镜像 18 2.5.2 更新config file配置文件 19 2.6 Admin管理 20 2.7 Networks配置菜单 22 2.7.1 Zone安全区 22 7.2 Interfaces接口配置 24 7.2.1查看接口状态概要信息 24 7.2.2设置interface接口基础信息 24 7.2.3设置地址转换 26 2.7.4设置接口Secondary IP地址 34 2.7.5 Routing路由设置 34 2.8 Policy策略设置 37 2.8.1 查看现在策略设置 37 2.9创建策略 38 2.10对象Object设置 40 2.11 策略Policy汇报Report 41 四、防火墙日常应用 42 4.1、Netscreen 冗余协议（NSRP） 42 4.1.1、NSRP布署提议： 43 4.1.2NSRP常见维护命令 44 4.2、策略配置和优化（Policy） 45 4.3、攻击防御（Screen） 46 4.4、特殊应用处理 48 4.4.1、长连接应用处理 48 4.4.2、不规范TCP应用处理 49 4.4.3、VOIP应用处理 49 五、防火墙日常维护 51 5.1、常规维护 52 5.2、常规维护提议： 54 5.3 应急处理 56 5.3.1检验设备运行状态 56 5.4、 总结改善 58 5.5、 故障处理工具 58 六、 Juniper防火墙设备恢复处理方法 70 6.1设备重开启 70 6.2操作系统备份 70 6.3操作系统恢复 70 6.4配置文件备份 71 6.5配置文件恢复 71 6.6恢复出厂值 72 6.7硬件故障处理 72 6.8设备返修（RMA） 72 一、Juniper防火墙介绍 1.1、NS5000系列 1.1.1、NS5400 性能和处理能力 30 Gbps 防火墙 (>12G 64byte小包) 18MPPS 2 百万同时会话数 15 Gbps 3DES VPN 25,000 IPSec VPN 通道 1.1.2、NS5200 性能和处理能力 10 Gbps 防火墙 (>4G 64byte小包) 1 百万同时会话数 5 Gbps 3DES VPN 25,000 IPSec VPN 通道 1.2、ISG系列 1.2.1、ISG 性能和处理能力 4 Gbps 状态监测防火墙任何大小数据包 2 Gbps 3DES和AES IPSec VPN 任何大小数据包 防火墙数据包转发性能：3 MPPS 最大在线会话数：100万，每秒23,000个新会话 1.2.2、ISG1000 性能和处理能力 2 Gbps 状态监测防火墙任何大小数据包 1 Gbps 3DES和AES IPSec VPN 任何大小数据包 防火墙数据包转发性能：1.5 MPPS 最大在线会话数：50万，每秒20,000个新会话 1.3、SSG500系列 1.3.1 SSG 550M 4Gbps FW IMIX / 600K pps 1Gbps FW IMIX / 500 Mbps IPSec VPN 6个 I/O 插槽 – 4个可插 LAN口模块 双电源，DC为选项， NEBS为选项 12.8万个会话，1,000条VPN 隧道 1.3.2 SSG 520 2Gbps FW / 300K pps 600 Mbps FW IMIX / 300 Mbps IPSEC VPN 6个 I/O插槽 – 2个可插 LAN口模块 单一AC或DC电源 6.4万个会话，500条VPN 隧道 1.4、SSG300系列 1.4.1 SSG 350M 1.2 Gbps FW / 225K pps 500 Mbps FW IMIX / 225 Mbps IPSec VPN 5个 I/O 插槽 9.6万个会话，每秒2.6万会话 1.4.2 SSG 320M 1.2 Gbps FW / 175K pps 400 Mbps FW IMIX / 175 Mbps IPSec VPN 3个 I/O插槽 6.4万个会话，每秒2万会话 1.5、SSG140系列 1.5.1 SSG 140 950Mbps FW/ 100K pps 300 MbpsFirewall IMIX / 100 Mbps IPSec VPN 4个 I/O插槽 4.8万个会话，每秒8k会话 1.6、SSG5/20系列 1.6.1 SSG 5 SSG 5 是一个固定规格平台，提供 160 Mbps 状态防火墙流量和 40 Mbps IPSec VPN 吞吐量。SSG 5 系列配置 7 个内部集成 10/100 接口，并带有可选固定广域网端口（ISDN BRI S/T、V.92 或 RS-232 Serial/Aux）。802.11 a/b/g 和多个无线特定安全性支持是可选项，使 SSG 5 能够将安全性、路由和无线接入点整合到单个设备中。 1.6.2 SSG 20 SSG 20 是一个模块化平台，提供 160 Mbps 状态防火墙流量和 40 Mbps IPSec VPN 吞吐量。SSG 20 配置 5 个内部集成 10/100 接口和 2 个 I/O 扩展插槽，可支持 I/O 卡，如ADSL2+、T1、E1、ISDN BRI S/T 和 V.92，从而实现额外广域网连接。802.11 a/b/g和多个无线特定安全性支持是可选项，使 SSG 20 能够将安全性、路由和无线接入点整合到单个设备中。 二、防火墙常见配置 2.1 Juniper防火墙初始化配置和操纵 对一台空配置Juniper防火墙我们能够用两种方法去进行操纵：Console控制台和WEB。 Console控制台：使用Console线连接到Juniper防火墙上Console口，利用超级终端用CLI命令行界面进行配置。 使用WEB界面：Juniper防火墙上默认情况下在E1接口（trust）口有一个初始管理IP地址192.168.1.1 255.255.255.0；我们能够把自己笔记本和防火墙E1口用一根交叉线连接起来，然后把本机地址配置为192.168.1.X 255.255.255.0，以后我们就能够在本机上经过IE浏览器登陆192.168.1.1地址经过WEB界面对设备进行配置了。 经过IE或和IE兼容浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（提议：保持登录防火墙计算机和防火墙对应接口处于相同网段，直接相连）。 使用缺省IP登录以后，出现安装向导： 注：对于熟悉Juniper防火墙配置工程师，能够跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，以后选择Next，直接登录防火墙设备管理界面。 使用向导配置防火墙，请直接选择：Next，弹出下面界面： “欢迎使用配置向导”，再选择Next。 注：进入登录用户名和密码修改页面，Juniper防火墙登录用户名和密码是能够更改，这个用户名和密码界面修改是防火墙设备上根用户，这个用户对于防火墙设备来说含有最高权限，需要认真考虑和仔细配置，保留好修改后用户名和密码。 注意1：Juniper防火墙接口WEB管理特征默认只在E1接口（trust）口才启用，也就是说我们有可能无法经过用WEB登陆其它接口进行操纵，除非我们提前已经打开了对应接口WEB管理选项。 注意2：假如Juniper防火墙上有配置，我们不知道现在E1接口IP地址，我们能够先经过Console控制台用“get interface”命令看一下现在E1口IP地址。 注意3：Juniper防火墙OS 5.0以上版本支持MDI和MDIX自适应，也就是说我们主机和E1口也能够用直通线进行互连，但这种方法有失效时候，假如出现用交叉线互连物理也无法UP情况，能够在Console控制台用 “ NS208-> delete file flash:/ns_sys_config”删除配置文件并重起防火墙方法能够处理(JuniperBUG)。 注：系统默认登陆用户名和口令全部是：“netscreen”。 2.2 查看系统概要信息 使用WEB登陆防火墙管理地址，进入GUI管理界面，图所表示。 左边是主配置菜单。 右边最上方是系统开启以立即间信息，右上角显示主机名。 Device information：设备信息，显示设备硬软件版本、序列号和主机名。 Interface / VPN Link Status Monitoring：接口链路状态，显示接口所属区和链路UP/DOWN信息。 Resources Status：资源情况，显示系统CPU和内存使用率和现在会话和策略是系统满负荷百分比。（其中注意内存使用率是不真实，在系统空负荷情况下内存占用率也会很高，是系统本身设计问题）。 System Most Recent Alarms   /   Events：系统最近报警和通告信息。 2.3主菜单常见配置选项导航 在主菜单中我们常常见到配置菜单以下，后面将针对这些常见配置选项进行具体介绍。 Configuration: Date/Time; Update; Admin; Auth; Infranet Auth; Report Settings; CPU Protection; Network: Binding; DNS; Zones; Interfaces; DHCP; 802.1X; Routing; NSRP; Vlan; Security: Screening; Web Filtering; Deep Inspection; Antivirus; ALG; Policy: Policies; MCast Policies; Policy Elements; VPNs: AutoKey IKE; AutoKey Advanced; Manual Key; L2TP; Monitor Status; Objects: Users; IP Pools; Certificates; GPRS: NSGP(Overbilling); Reports: System Log; Counters; Interface Bandwidth; Policies; Wizards: Policy; Route-based VPN; AC-VPN; 只要能够熟练掌握以上设置选项，就足以应对外网改造和日常维护工作。 2.4 Configration配置菜单 正确设置Juniper防火墙时钟关键是为了使LOG信息全部带有正确时间方便于分析和排错，设置时钟关键有三种方法。 用CLI命令行设置：set clock mm/dd/yyyy hh:mm:ss 。 用WEB界面使用和用户端本机时钟同时：简单实用。 用WEB界面配置NTP和NTP服务器时钟同时。 2.5 Update更新系统镜像和配置文件 2.5.1更新ScreenOS系统镜像 用CLI命令行设置： save software from tftp x.x.x.x filename to flash； 2.5.2 更新config file配置文件 用CLI命令行设置： save config from tftp x.x.x.x filename to flash，配置文件上传后需实施reset命令进行重启。 在这个菜单中我们能够查看现在文本形式配置文件，把现在配置文件导出进行备份，和替换和更新现在配置。 注意单选框默认是点选在“Merge to Current Configration”即和现在配置融合位置，而我们通常是要完全替换现在配置文件，所以一定要注意把单选框点击到“Replace Current Configration”。当进行配置替换以后系统会自动重起使新配置生效。 TIP：进行配置替换必需用ROOT用户进行登陆，用Read－Write用户进行登陆是无法进行配置替换操纵，只有融合配置选项，替换现在配置选项将会隐藏不可见，以下图所表示： 2.6 Admin管理 Administrators管理员账户管理 只有用根ROOT用户才能够创建管理员账户。 能够进行ROOT用户账户用户名和密码更改，但此账户不能被删除。 能够创建只读账户和读写账户，其中读写账户能够对设备大部分配置进行更改。 用CLI命令行设置： set admin user Smith password 3MAb99j2 privilege all set admin user read password 4DFB993J2 privilege read-only save Permitted IPs：许可哪些主机能够对防火墙进行管理 用CLI命令行设置： set admin manager-ip 172.16.40.42/32 save 2.7 Networks配置菜单 2.7.1 Zone安全区 查看现在安全区设置 安全区内必需有物理接口才会有实际意义，每一个安全区同时能够包含多个物理接口，但每一个物理接口同时只能属于一个安全区。 多个系统默认安全区和接口： 1：Trust区包含ETH1口 2：Untrust区包含ETH4口 3：DMZ区包含ETH3口 其它区必需进行手工创建并把对应物理接口放入安全区内。 虚拟路由我们统一选Trust-Vr，多个VR对我们没有太大意义，不提议使用。 创建新安全区： 在输入安全区名称后其它选项均保持默认值即可。 用CLI命令行设置： set vrouter trust-vr zone XXXX 7.2 Interfaces接口配置 7.2.1查看接口状态概要信息 接口概要显示接口IP地址信息，所属安全区，接口类型和链路状态。其中接口类型除非是防火墙使用透明模式，不然全部会是Layer3三层。 CLI : get interface 7.2.2设置interface接口基础信息 接口基础配置包含接口IP地址掩码，是否能够被管理，接口模式和接口管理特征选项。 最上面多个链接是配置NAT地址转换和IP跟踪等高级特征。 下面那个其中需要大家配置地方是设置此物理接口属于哪个安全区，从下拉框中点选，其它选项保持不变即可。 Staitc IP选择框是设置接口IP地址和掩码信息，其中有一个Mangeable选项，只有选中我们才能够经过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空时候系统会自动把实际IP作为管理IP自动加上。 接口模式有路由模式和NAT模式： NAT模式：以后接口进入从其它口流出流量源地址全部会做转换，即使我们在策略中不引用转换地址池，源地址全部会转换为出站接口地址。 路由模式：除非我们在策略定义中明确引用了转换地址池，不然源地址全部不会做转换。 因为路由模式比NAT模式更灵活，所以我们通常全部会用路由模式。 ETH1口默认是NAT模式，一定要注意把其更改为Route路由模式。 Service options服务选项：设置此接口是否许可被PING，WEB或TELNET等方法进行管理，默认情况下ETH1（内网口）全部是打开，而ETH4口(外网口)WEB和TELNET管理选项是关闭，也就是说假如我们想从外网登陆ETH4口IP进行管理，必需把对应WEB或TELNET选项点中。 最终配置框能够保持默认值。 CLI: set interface redundent1 zone trust set interface redundent1 ip X.X.X.X/X set interface redundent1 manage telnet set interface redundent1 manage web set interface redundent1 manage ping set interface redundent1 mode nat (trust zone 接口全部是nat mode) 7.2.3设置地址转换 Juniper防火墙地址转换有三种方法：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。 因为MIP和VIP地址转换有部分规则限制，比如要转换外网提议流量源地址时候，转换后地址必需和ETH1内网口在同一个子网，不然无法配置。而DIP不受此规则影响，同时能够完成MIP和VIP功效，应用和设置比较灵活。 7.2.3.1配置MIP静态地址转换 配置MIP静态地址映射时候要注意转换后虚拟地址要在数据流出站接口上进行配置：比如流量从E1口入从E4口出，192.168.1.1访问外网，我们把192168.1.1地址转换为1.1.1.1，那么这个1.1.1.1地址MIP是做在出站接口，也就是E4口上。 新建MIP静态地址映射 当使用静态MIP地址映射时，对方提议数据流目标地地址要注意设置为MIP后地址。 CLI: set interface ethernet1 mip X.X.X.X host Y.Y.Y.Y netmask 255.255.255.255 vrouter trust-vr set policy from untrust to trust any mip(X.X.X.X) http permit 7.2.3.2设置DIP动态地址转换 DIP动态地址转换能够实现一对一，一对多，多对一和多对多访问。 DIP地址池和MIP一样要设置在出站接口上来实现源地址翻译。 DIP地址池能够和出站接口不再一个网段（使用扩展IP技术）。 假如访问是多对一（多个用户端访问一个服务器），必需使用Port-Xlate端口转换特征（默认设置，提议全部使用这种方法）。 假如DIP被策略引用则无法编辑和更改，必需先移除策略后才能够编辑。 创建新DIP地址池： 假如DIP地址池和出站接口不在同一网段必需使用扩展IP特征，把选择框选择到下方“In the same as the extended ip”，并输入一个扩展IP地址。 比如出站接口是9X.2.244.1/28，而源地址出站时我们想转换成192.168.1.X地址，那么在扩展IP框中我们能够输入192.168.1.0/24。 扩展IP地址能够使用一个地址也能够用一个网段，推荐使用网段方法。 同一DIP地址网段能够同时分布在多个接口上，比如9X.2.18.0虚拟地址簿能够同时设置在E1、E2和E3口上。 但同一个DIP地址只能同时设置在一个接口上，比如9X.2.18.1地址只能设置在E1或E2或E3口上，不能同时在多个接口上全部设置9X.2.18.1。 CLI: 1、NAT-DIP 带PAT功效 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 定义DIP set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 定义策略 set policy from trust to untrust any any http nat src dip-id 5 permit save 2、NAT-DIP 不带PAT功效 接口 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 DIP set interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port 策略 set policy from trust to untrust any any e-stock nat src dip-id 6 permit save 3、带有地址变换 NAT-Src 接口 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 DIP set interface ethernet3 dip 10 shift-from 10.1.1.11 to 1.1.1.101 1.1.1.105 地址 set address trust host1 10.1.1.11/32 set address trust host2 10.1.1.12/32 set address trust host3 10.1.1.13/32 set address trust host4 10.1.1.14/32 set address trust host5 10.1.1.15/32 set group address trust group1 add host1 set group address trust group1 add host2 set group address trust group1 add host3 set group address trust group1 add host4 set group address trust group1 add host5 策略 set policy from trust to untrust group1 any http nat src dip-id 10 permit save 2.7.4设置接口Secondary IP地址 2.7.5 Routing路由设置 Juniper防火墙我们通常仅使用静态路由，静态路由选路规则和路由器基础相同，比如最长掩码匹配优先，接口假如DOWN，对应静态条目会消失。 查看防火墙路由表设置 路由我们统一全部设在trust-vr中（默认选项）。 只有带“*”号才表示路由有效，等同于路由器show ip route效果。 添加路由条目只能删除，无法编辑。 CLI: get route （vrouter trust-vr/ untrust-vr） 创建新路由条目 目标地址段能够写IP/掩码也能够写IP/前缀；如100.1.1.0 255.255.255.0或100.1.1.0/24。 下一跳默认全部是点在Next Hop Virtual Router Name；一定要注意改点到Gateway处，不然路由不生效。 接口和下一跳网关地址全部要选择和输入。 CLI:set route 100.1.1.0 255.255.255.0 next x.x.x.x 2.8 Policy策略设置 2.8.1 查看现在策略设置 能够选择查看从某个源安全区到某个目标安全区策略，也能够选择从ALL到ALL来查看全部策略。 Service是系统预定义或我们自定义服务端口号。 Action动作是指策略是许可或拒绝，许可是一个对勾，拒绝是一个X，另外假如是绿色图表说明没有做源地址转换，蓝色图表说明做了源地址转换。 在Option下假如有一个小记事本图表，说明我们要统计此数据流，当数据流经过时能够看到具体地址转换情况。 生效：能够经过取消对勾让本策略临时失效。 移动：能够调整策略查找次序，策略查找和匹配默认是从上到下，我们能够经过移动来控制策略生效次序。 CLI : get policy (from zone to zone ) 2.9创建策略 源地址和目标地址假如以前曾经设置过，能够用下拉菜单进行选择，不然需要在New Address新地址栏进行输入。 假如地址曾经输入过，做策略时我们仍在New Address栏中进行输入，点击确定时候系统会出现反复IP地址条目标提醒信息，但不影响策略设置。 入侵检测配置假如自己不是尤其了解应用特征提议不要做任何配置，保持原有默认配置不变。 在进行调试时提议打开LOG统计，看是否有数据流经过及地址转换情况。 假如要进行源或目标地址转换需关键点击高级选项进入二级配置菜单。 源地址转换点击DIP下拉菜单后前面选择框会自动选中。 目标地址转换必需手工点击选中前面目标地址转换选择框。 CLI: set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit set policy from dmz to untrust mail_svr r-mail_svr MAIL permit set policy from untrust to dmz r-mail_svr mail_svr MAIL permit 2.10对象Object设置 对象Object设置关键是为了简化和方便策略引用和设置，比如地址组和服务组等，下面我们关键介绍一下服务设置。 服务其实就是给对方提供部分协议端口号，其中大部分常见服务设备已经提前设置好，比如web，telnet等等，不过部分很用端口号，比如TCP 8888等就需要我们自己进行自定义设置了。 查看自定义服务：Policy > Policy Elements > Services > Custom 技巧：我们能够给服务一个名称，可用汉字描述一个中间业务名称，然后在策略里进行引用，这么在进行排错时候我们就能够很方便地找到对应策略，即使我们也能够给策略一个名称，但在策略汇总表中是不显示出来。 CLI: get service 创建一个新服务 目标协议和端口号我们能够设置多个组合，比如TCP 8888＋UDP＋ICMP等 我们通常仅设置目标端口号，源端口号不做限制，比如我们要提供一个WWW服务，类似设置就是： TCP 0 65535 80 80 假如设置许可ICMPPING，能够设置为：ICMP 80 2.11 策略Policy汇报Report 假如我们想看具体某一条策略是否有流量或流量源地址、目标地址和源和目标转换情况我们能够在策略中点击记事本直接进行观看。 另外系统也提供一个汇总方法让我们能够方便地观察全部策略数据流概要信息，比如在一个时刻全部有哪些业务在运行，每种业务数据量等等。 点击Reports－Polices： 如上图所表示，我们能够直观地看到某个时刻全部有哪些业务流在进行，灰色记事本代表没有业务，蓝色代表有业务数据流，点击蓝色记事本能够查看业务数据流具体信息。 四、防火墙日常应用 4.1、Netscreen 冗余协议（NSRP） NSRP协议提供了灵活设备和路径冗余保护功效，在设备和链路发生故障情况下进行快速切换，切换时现有会话连接不会受到影响。设计NSRP架构时通常采取基于静态路由active/passive主备模式、口型或全交叉型连接方法。 4.1.1、NSRP布署提议： 基于端口和设备冗余环境中，无需启用端口和设备级抢占模式（preempt），避免因交换机端口不稳定而引发nsrp反复切换。 当配置两组或两组以上防火墙到同一组交换机上时，每组nsrp集群应设置不一样cluster ID号，避免因相同cluster ID号引发接口MAC地址冲突现象。 防火墙nsrp集群提议采取接口监控方法，仅在网络不对称情况下有选择使用Track-ip监控方法。在对称网络中接口监控方法能够愈加快更正确反应网络状态改变。 在单台防火墙设备提供session和带宽完全能够满足网络需求时，提议采取基于路由Active-Passive主备模式，该模式组网结构清楚，便于维护和管理。 设备运行时应确保HA线缆连接可靠，为确保HA心跳连接不会出现中止，提议配置HA备份链路“secondary－path”。 NSRP很多配置参数是经过检验推荐配置，通常情况下提议采取这些缺省参数。 4.1.2NSRP常见维护命令 get license-key 查看防火墙支持feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同时。 exec nsrp sync global-config check-sum 检验双机配置命令是否同时 exec nsrp sync global-config save 如双机配置信息没有自动同时，请手动实施此同时命令，需要重启系统。 get nsrp 查看NSRP集群中设备状态、主备关系、会话同时和参数开关信息。 Exec nsrp sync rto all from peer 手动实施RTO信息同时，使双机保持会话信息一致 exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上实施该切换命令，此时该主用设备没有启用抢占模式。 exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上实施该切换命令，此时该主用设备已启用抢占模式。 set failover on/set failover auto启用并许可冗余接口自动切换 exec failover force 手动实施将主用端口切换为备用端口。 exec failover revert 手动实施将备用端口切换为主用端口。 get alarm event 检验设备告警信息，其中将包含NSRP状态切换信息 4.2、策略配置和优化（Policy） 防火墙策略优化和调整是网络维护工作关键内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，所以提议在设置策略时尽可能确保统一计划以提升设置效率，提升可读性，降低维护难度。 策略配置和维护需要注意地方有： 试运行阶段最终一条策略定义为全部访问许可并作log，方便在不影响业务情况下找漏补遗；当确定把全部业务流量全部调查清楚并放行后，可将最终一条定义为全部访问严禁并作log，方便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最终一条“严禁全部访问”策略删除。 防火墙按从上至下次序搜索策略表进行策略匹配，策略次序对连接建立速度会有影响，提议将流量大应用和延时敏感应用放于策略表顶部，将较为特殊策略定位在不太特殊策略上面。 策略配置中Log(统计日志)选项能够有效进行统计、排错等工作，但启用此功效会耗用部分资源。提议在业务量大网络上有选择采取，或仅在必需时采取。另外，对于策略配置中Count(流量统计)选项，如非必需提议在业务时段不使用。 简化策略表不仅便于维护，而且有利于快速匹配。尽可能保持策略表简练和简短，规则越多越轻易犯错误。经过定义地址组和服务组能够将多个单一策略合并到一条组合策略中。 策略用于区段间单方向网络访问控制。假如源区段和目标区段不一样，则防火墙在区段间策略表中实施策略查找。假如源区段和目标区段相同并启用区段内阻断，则防火墙在区段内部策略表中实施策略查找。假如在区段间或区段内策略表中没有找到匹配策略，则安全设备会检验全局策略表以查找匹配策略。 MIP/VIP地址属于全局区段地址，配置策略时提议经过全局区段来配置MIP/VIP地址相关策略，MIP/VIP地址即使可为其它区段调用，但因为其它区段“any”地址并不包含全局区段地址，在定义策略时应加以注意，避免配置不生效策略。 策略变更控制。组织好策略规则后，应写上注释并立即更新。注释能够帮助管理员了解每条策略用途，对策略了解得越全方面，错误配置可能性就越小。假如防火墙有多个管理员，提议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。 4.3、攻击防御（Screen） Netscreen防火墙利用Screening功效抵御互联网上流行DoS/DDoS攻击，部分流行攻击手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墙在抵御这些攻击时，经过专用ASIC芯片来进行处理，合适开启这些抗攻击选项对防火墙性能不会产生太大影响。假如期望开启Screening内其它选项，在开启这些防护功效前有多个原因需要考虑： 抵御攻击功效会占用防火墙部分CPU资源； 自行开发部分应用程序中，可能存在部分不规范数据包格式； 网络环境中可能存在很规性设计。 假如因选择过多防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理性能；假如自行开发程序不规范，可能会被IP数据包协议异常攻击选项屏蔽；很规网络设计也会出现正当流量被屏蔽问题。 要想有效发挥Netscreen Screening攻击防御功效，需要对网络中流量和协议类型有比较充足认识，同时要了解每一个防御选项具体含义，避免引发无谓网络故障。防攻击选项启用需要采取逐步迫近方法，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在确定运行正常后再考虑按需启用另一个选项。提议采取以下次序渐进实施防攻击选项： 设置防范DDoS Flood攻击选项 依据掌握正常运行时网络流量、会话数量和数据包传输量值，在防范DDoS选项上添加20％余量作为阀值。 假如要设置防范IP协议层选项，需在深入了解网络环境后，再将IP协议和网络层攻击选项逐步选中。 设置防范应用层选项，在了解应用层需求和用户化程序编程标准后，如不采取ActiveX控件，能够选择这些