Netscreen防火墻日常維護(hù)指南_第1頁
Netscreen防火墻日常維護(hù)指南_第2頁
Netscreen防火墻日常維護(hù)指南_第3頁
Netscreen防火墻日常維護(hù)指南_第4頁
Netscreen防火墻日常維護(hù)指南_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、 Netscreen 防火墻日常維護(hù)指南Juniper Networks, Inc.Jul. 2006 目 錄 一、綜述2二、Netscreen防火墻日常維護(hù)2常規(guī)維護(hù):3應(yīng)急處理6總結(jié)改進(jìn)8故障處理工具8三、Netscreen 冗余協(xié)議(NSRP)10NSRP部署建議10NSRP常用維護(hù)命令11四、策略配置與優(yōu)化(Policy)12五、攻擊防御(Screen)13五、特殊應(yīng)用處理15長連接應(yīng)用處理15不規(guī)范TCP應(yīng)用處理16VOIP應(yīng)用處理16附錄:JUNIPER防火墻Case信息表17一、綜述防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安全保護(hù),對于企業(yè)關(guān)鍵的實(shí)時業(yè)務(wù)

2、系統(tǒng),要求網(wǎng)絡(luò)能夠提供7*24小時的不間斷保護(hù),保持防火墻系統(tǒng)可靠運(yùn)行及在故障情況下快速診斷及恢復(fù)成為維護(hù)人員的工作重點(diǎn)。NetScreen防火墻提供了豐富的冗余保護(hù)機(jī)制和故障診斷、排查方法,通過日常管理監(jiān)控可確保防火墻運(yùn)行在可靠狀態(tài),在故障情況下通過有效故障排除路徑能夠在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)運(yùn)行。本文對Netscreen防火墻日常維護(hù)進(jìn)行較系統(tǒng)的總結(jié),為防火墻維護(hù)人員提供設(shè)備運(yùn)維指導(dǎo)。二、Netscreen防火墻日常維護(hù)圍繞防火墻可靠運(yùn)行和出現(xiàn)故障時能夠快速恢復(fù)為目標(biāo),Netscreen防火墻維護(hù)主要思路為:通過積極主動的日常維護(hù)將故障隱患消除在萌芽狀態(tài);故障發(fā)生時,使用恰當(dāng)?shù)脑\斷機(jī)制和有效的

3、故障排查方法及時恢復(fù)網(wǎng)絡(luò)運(yùn)行;故障處理后及時進(jìn)行總結(jié)與改進(jìn)避免故障再次發(fā)生。常規(guī)維護(hù):在防火墻的日常維護(hù)中,通過對防火墻進(jìn)行健康檢查,能夠?qū)崟r了解Netscreen防火墻運(yùn)行狀況,檢測相關(guān)告警信息,提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患,以確保設(shè)備始終處于正常工作狀態(tài)。1、 日常維護(hù)過程中,需要重點(diǎn)檢查以下幾個關(guān)鍵信息:Session:如已使用的Session數(shù)達(dá)到或接近系統(tǒng)最大值,將導(dǎo)致新Session不能及時建立連接,此時已經(jīng)建立Session的通訊雖不會造成影響;但僅當(dāng)現(xiàn)有session連接拆除后,釋放出來的Session資源才可供新建連接使用。維護(hù)建議:當(dāng)Session資源正常使用至80

4、時,需要考慮設(shè)備容量限制并及時升級,以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU: Netscreen是基于硬件架構(gòu)的高性能防火墻,很多計(jì)算工作由專用ASIC芯片完成,正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在45%以下,如出現(xiàn)CPU利用率過高情況需給予足夠重視,應(yīng)檢查Session使用情況和各類告警信息,并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU利用率過高往往與惡意流量有關(guān),可通過正確設(shè)置screening對應(yīng)選項(xiàng)進(jìn)行防范。Memory: NetScreen防火墻對內(nèi)存的使用把握得十分準(zhǔn)確,采用“預(yù)分配”機(jī)制,空載時內(nèi)存使用率為約50-60%,隨著流量不斷增長,內(nèi)存的使用率應(yīng)基本保持穩(wěn)定。如果

5、出現(xiàn)內(nèi)存使用率超過75時,需檢查網(wǎng)絡(luò)中是否存在攻擊流量,確認(rèn)近期健康檢查內(nèi)存分配是否發(fā)生較大變化,檢查為debug分配的內(nèi)存空間是否過大(get dbuf info單位為字節(jié))。2、在業(yè)務(wù)使用高峰時段檢查防火墻關(guān)鍵資源(如:Cpu、Session、Memory和接口流量)等使用情況,建立網(wǎng)絡(luò)中業(yè)務(wù)流量對設(shè)備資源使用的基準(zhǔn)指標(biāo),為今后確認(rèn)網(wǎng)絡(luò)是否處于正常運(yùn)行狀態(tài)提供參照依據(jù)。當(dāng)session數(shù)量超過平?;鶞?zhǔn)指標(biāo)20時,需檢查session表和告警信息,檢查session是否使用于正常業(yè)務(wù),網(wǎng)絡(luò)中是否存在可疑流量和惡意攻擊行為。當(dāng)Cpu占用超過平?;鶞?zhǔn)指標(biāo)30時,需查看異常流量、告警日志、檢查策略

6、是否優(yōu)化、配置文件中是否存在無效的命令。3、防火墻健康檢查信息表:設(shè)備型號軟件版本設(shè)備序列號設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用設(shè)備組網(wǎng)方式如:Layer3 口型A/P檢查對象檢查命令相關(guān)信息檢查結(jié)果備注SessionGet sessionCPUGet perf cpuMemoryGet memoryInterfaceGet interface路由表Get routeHA狀態(tài)Get nsrp事件查看Get log event告警信息Get alarm event機(jī)箱溫度Get chassisLEDLED指示燈檢查設(shè)備運(yùn)行參考基線SessionCpuMemory接口流量業(yè)務(wù)類型機(jī)箱溫度4、 常

7、規(guī)維護(hù)建議:1、配置System-ip地址,指定專用終端管理防火墻;2、更改netscreen賬號和口令,不建議使用缺省的netscreen賬號管理防火墻;設(shè)置兩級管理員賬號并定期變更口令;僅容許使用SSH和SSL方式登陸防火墻進(jìn)行管理維護(hù)。 3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征,持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡(luò)環(huán)境視圖(網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類型等),以便網(wǎng)絡(luò)異常時快速定位故障。4、整理一份上下行交換機(jī)配置備份文檔(調(diào)整其中的端口地址和路由指向),提供備用網(wǎng)絡(luò)連線。防止防火墻發(fā)生硬件故障時能夠快速旁路防火墻,保證業(yè)務(wù)正常使用。5、在日常維護(hù)中建立防火墻資源使用

8、參考基線,為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個故障告警信息,在第一時間修復(fù)故障隱患。7、建立設(shè)備運(yùn)行檔案,為配置變更、事件處理提供完整的維護(hù)記錄,定期評估配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練:日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的問題和應(yīng)對措施,條件允許情況下,可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類故障時的處理流程,如:NSRP集群中設(shè)備出現(xiàn)故障,網(wǎng)線故障及交換機(jī)故障時的路徑保護(hù)切換。9、設(shè)備運(yùn)行檔案表設(shè)備型號軟件版本設(shè)備序列號設(shè)備用途XX區(qū)防火墻設(shè)備狀態(tài)主用/備用設(shè)備組網(wǎng)方式如:Layer3 口型A/P保修期限供應(yīng)商聯(lián)系方式配置變更變更原因變更內(nèi)容結(jié)果負(fù)責(zé)人

9、事件處理事件現(xiàn)象處理過程結(jié)果負(fù)責(zé)人應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時,應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量,定位故障是否與防火墻有關(guān)。如果故障與防火墻有關(guān),可在防火墻上打開debug功能跟蹤包處理過程,檢驗(yàn)策略配置是否存在問題。一旦定位防火墻故障,可通過命令進(jìn)行NSRP雙機(jī)切換,單機(jī)環(huán)境下發(fā)生故障時利用備份的交換機(jī)/路由器配置,快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1、 檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時,應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài),通過Console口登陸到防火墻上,快速查看CPU、Memory、Session、Interface以及告警信息,初步排除防火墻硬件故障并判斷是否存在攻擊行為

10、。2、 跟蹤防火墻對數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無法正常訪問,順序檢查接口狀態(tài)、路由和策略配置是否有誤,在確認(rèn)上述配置無誤后,通過debug命令檢查防火墻對特定網(wǎng)段數(shù)據(jù)報(bào)處理情況。部分地址無法通過防火墻往往與策略配置有關(guān)。3、 檢查是否存在攻擊流量通過查看告警信息確認(rèn)是否有異常信息,同時在上行交換機(jī)中通過端口鏡像捕獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,據(jù)此確認(rèn)異常流量和攻擊類型,并在Screen選項(xiàng)中啟用對應(yīng)防護(hù)措施來屏蔽攻擊流量。4、 檢查NSRP工作狀態(tài)使用get nsrp命令檢查nsrp集群工作狀態(tài),如nsrp狀態(tài)出現(xiàn)異?;虬l(fā)生切換,需進(jìn)一步確認(rèn)引起切換的原因,引起NSRP切換原因通常為鏈路故障,交換機(jī)

11、端口故障,設(shè)備斷電或重啟。設(shè)備運(yùn)行時務(wù)請不要斷開HA心跳線纜。5、 防火墻發(fā)生故障時處理方法 如果出現(xiàn)以下情況可初步判斷防火墻存在故障:無法使用console口登陸防火墻,防火墻反復(fù)啟動、無法建立ARP表、接口狀態(tài)始終為Down、無法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù),可通過調(diào)整上下行設(shè)備路由指向,快速將防火墻旁路,同時聯(lián)系供應(yīng)商進(jìn)行故障診斷。總結(jié)改進(jìn)故障處理后的總結(jié)與改進(jìn)是進(jìn)一步鞏固網(wǎng)絡(luò)可靠性的必要環(huán)節(jié),有效的總結(jié)能夠避免很多網(wǎng)絡(luò)故障再次發(fā)生。1、在故障解決后,需要進(jìn)一步總結(jié)故障產(chǎn)生原因,并確認(rèn)該故障已經(jīng)得到修復(fù),避免故障重復(fù)發(fā)生。2、條件容許的情況下,構(gòu)建防火墻業(yè)務(wù)測試環(huán)境,對所有需要調(diào)整

12、的配置參數(shù)在上線前進(jìn)行測試評估,避免因配置調(diào)整帶來新的故障隱患。3、分析網(wǎng)絡(luò)可能存在的薄弱環(huán)節(jié)和潛在隱患,通過技術(shù)論證和測試驗(yàn)證來修復(fù)隱患。故障處理工具Netscreen防火墻提供靈活多樣的維護(hù)方式,其中故障處理時最有用的兩個工具是debug和snoop,debug用于跟蹤防火墻對指定包的處理,snoop用于捕獲流經(jīng)防火墻的數(shù)據(jù)包,由于debug和snoop均需要消耗大量的防火墻cpu資源,在使用時務(wù)必謹(jǐn)慎開啟,包分析結(jié)束后應(yīng)在第一時間關(guān)閉debug和snoop功能。下面簡要介紹一下兩個工具的使用方法。Debug:跟蹤防火墻對數(shù)據(jù)包的處理過程1. Set ffilter src-ip x.x.

13、x.x dst-ip x.x.x.x dst-port xx 設(shè)置過濾列表,定義捕獲包的范圍2、clear dbuf 清除防火墻內(nèi)存中緩存的分析包3、debug flow basic 開啟debug數(shù)據(jù)流跟蹤功能4、發(fā)送測試數(shù)據(jù)包或讓小部分流量穿越防火墻5、undebug all 關(guān)閉所有debug功能6、get dbuf stream 檢查防火墻對符合過濾條件數(shù)據(jù)包的分析結(jié)果 7、unset ffilter 清除防火墻debug過濾列表 8、clear dbuf 清除防火墻緩存的debug信息 9、get debug 查看當(dāng)前debug設(shè)置Snoop:捕獲進(jìn)出防火墻的數(shù)據(jù)包,與Sniffer

14、嗅包軟件功能類似。1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 設(shè)置過濾列表,定義捕獲包的范圍2、clear dbuf 清除防火墻內(nèi)存中緩存的分析包3、snoop 開啟snoop功能捕獲數(shù)據(jù)包4、發(fā)送測試數(shù)據(jù)包或讓小部分流量穿越防火墻5、snoop off 停止snoop6、get db stream 檢查防火墻對符合過濾條件數(shù)據(jù)包的分析結(jié)果 7、snoop filter delete 清除防火墻snoop過濾列表 8、clear dbuf 清除防火墻緩存的debug信息 9、snoop info 查看snoop設(shè)置三

15、、Netscreen 冗余協(xié)議(NSRP)Nsrp協(xié)議提供了靈活的設(shè)備和路徑冗余保護(hù)功能,在設(shè)備和鏈路發(fā)生故障的情況下進(jìn)行快速切換,切換時現(xiàn)有會話連接不會受到影響。設(shè)計(jì)nsrp架構(gòu)時通常采用基于靜態(tài)路由的active/passive主備模式、口型或全交叉型連接方式。NSRP部署建議:l 基于端口和設(shè)備的冗余環(huán)境中,無需啟用端口和設(shè)備級的搶占模式(preempt),避免因交換機(jī)端口不穩(wěn)定而引發(fā)nsrp反復(fù)切換。l 當(dāng)配置兩組或兩組以上的防火墻到同一組交換機(jī)上時,每組nsrp集群應(yīng)設(shè)置不同的cluster ID號,避免因相同的cluster ID號引發(fā)接口MAC地址沖突現(xiàn)象。l 防火墻nsrp集群

16、建議采用接口監(jiān)控方式,僅在網(wǎng)絡(luò)不穩(wěn)定的情況下有選擇使用Track-ip監(jiān)控方式。接口監(jiān)控方式能夠更快更準(zhǔn)確的反映網(wǎng)絡(luò)狀態(tài)變化。l 在單臺防火墻設(shè)備提供的session和帶寬完全可以滿足網(wǎng)絡(luò)需求時,建議采用基于路由的Active-Passive主備模式,該模式組網(wǎng)結(jié)構(gòu)清晰,便于維護(hù)和管理。l 設(shè)備運(yùn)行時應(yīng)保證HA線纜連接可靠,為確保HA心跳連接不會出現(xiàn)中斷,建議配置HA備份鏈路“secondarypath”。l NSRP許多配置參數(shù)是經(jīng)過檢驗(yàn)的推薦配置,通常情況下建議采用缺省參數(shù)。NSRP常用維護(hù)命令l get license-key 查看防火墻支持的feature,其中NSRPA/A模式包含了

17、A/P模式,A/P模式不支持A/A模式。Lite版本是簡化版,支持設(shè)備和鏈路冗余切換,不支持配置和會話同步。l exec nsrp sync global-config check-sum 檢查雙機(jī)配置命令是否同步l exec nsrp sync global-config save 如雙機(jī)配置信息沒有自動同步,請手動執(zhí)行此同步命令,需要重啟系統(tǒng)。l get nsrp 查看NSRP集群中設(shè)備狀態(tài)、主備關(guān)系、會話同步以及參數(shù)開關(guān)信息。l Exec nsrp sync rto all from peer 手動執(zhí)行RTO信息同步,使雙機(jī)保持會話信息一致l exec nsrp vsd-group 0

18、mode backup 手動進(jìn)行主備狀態(tài)切換時,在主用設(shè)備上執(zhí)行該切換命令,此時該主用設(shè)備沒有啟用搶占模式。l exec nsrp vsd-group 0 mode ineligible 手動進(jìn)行主備狀態(tài)切換時,在主用設(shè)備上執(zhí)行該切換命令,此時該主用設(shè)備已啟用搶占模式。l set failover on/set failover auto啟用并容許冗余接口自動切換l exec failover force 手動執(zhí)行將主用端口切換為備用端口。l exec failover revert 手動執(zhí)行將備用端口切換為主用端口。l get alarm event 檢查設(shè)備告警信息,其中將包含NSRP狀態(tài)

19、切換信息四、策略配置與優(yōu)化(Policy)防火墻策略優(yōu)化與調(diào)整是網(wǎng)絡(luò)維護(hù)工作的重要內(nèi)容,策略是否優(yōu)化將對設(shè)備運(yùn)行性能產(chǎn)生顯著影響??紤]到企業(yè)中業(yè)務(wù)流向復(fù)雜、業(yè)務(wù)種類往往比較多,因此建議在設(shè)置策略時盡量保證統(tǒng)一規(guī)劃以提高設(shè)置效率,提高可讀性,降低維護(hù)難度。策略配置與維護(hù)需要注意地方有:l 試運(yùn)行階段最后一條策略定義為所有訪問允許并作log,以便在不影響業(yè)務(wù)的情況下找漏補(bǔ)遺;當(dāng)確定把主要業(yè)務(wù)流量都調(diào)查清楚并放行后,可將最后一條定義為所有訪問禁止并作log,以便在試運(yùn)行階段觀察非法流量行蹤。試運(yùn)行階段結(jié)束后,再將最后一條“禁止所有訪問”策略刪除。l 防火墻按從上至下順序搜索策略表進(jìn)行策略匹配,策略順

20、序?qū)B接建立速度會有影響,建議將流量大的應(yīng)用和延時敏感應(yīng)用放于策略表的頂部,將較為特殊的策略定位在不太特殊的策略上面。l 策略配置中的Log(記錄日志)選項(xiàng)可以有效進(jìn)行記錄、排錯等工作,但啟用此功能會耗用一定的CPU資源。建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用,或僅在必要時采用。另外,對于策略配置中的Count(流量統(tǒng)計(jì))選項(xiàng),如非必要建議在業(yè)務(wù)時段不使用。l 簡化的策略表不僅便于維護(hù),而且有助于快速匹配。盡量保持策略表簡潔和簡短,規(guī)則越多越容易犯錯誤。通過定義地址組和服務(wù)組可以將多個單一策略合并到一條組合策略中。l 策略用于區(qū)段間單方向網(wǎng)絡(luò)訪問控制。如果源區(qū)段和目的區(qū)段不同,則防火墻在區(qū)段間策略表

21、中執(zhí)行策略查找。如果源區(qū)段和目的區(qū)段相同并啟用區(qū)段內(nèi)阻斷,則防火墻在區(qū)段內(nèi)部策略表中執(zhí)行策略查找。如果在區(qū)段間或區(qū)段內(nèi)策略表中沒有找到匹配策略,則安全設(shè)備會檢查全局策略表以查找匹配策略。l MIP/VIP地址屬于全局區(qū)段地址,配置策略時建議通過全局區(qū)段來配置MIP/VIP地址相關(guān)策略,MIP/VIP地址雖然可為其余區(qū)段調(diào)用,但由于其余區(qū)段的“any”地址并不包括全局區(qū)段地址,在定義策略時應(yīng)加以注意,避免配置不生效的策略。l 策略變更控制。組織好策略規(guī)則后,應(yīng)寫上注釋并及時更新。注釋可以幫助管理員了解每條策略的用途,對策略理解得越全面,錯誤配置的可能性就越小。如果防火墻有多個管理員,建議策略調(diào)整

22、時,將變更者、變更具體時間、變更原因加入注釋中,便于后續(xù)跟蹤維護(hù)。l 各類Object及Policy的name和注釋均有長度限制,請配置相關(guān)對象時注意復(fù)核配置后name和注釋長度。(如policy name最長容許字符為31 bit)。五、攻擊防御(Screen)Netscreen防火墻利用Screening功能抵御互聯(lián)網(wǎng)上流行的DoS/DDoS的攻擊,一些流行的攻擊手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墻在抵御這些攻擊時,通過專用ASIC芯片來進(jìn)行處理,適當(dāng)開啟這些抗攻擊選項(xiàng)對防火墻的性能不會產(chǎn)生太大影響。如果希望開啟

23、Screening內(nèi)的其它選項(xiàng),在開啟這些防護(hù)功能前有幾個因素需要考慮:· 抵御攻擊的功能會占用防火墻一定的CPU資源;· 自行開發(fā)的一些應(yīng)用程序中,可能存在部分不規(guī)范的數(shù)據(jù)包格式;· 網(wǎng)絡(luò)環(huán)境中可能存在非常規(guī)性設(shè)計(jì)。如果因選擇過多的防攻擊選項(xiàng)而大幅降低了防火墻處理能力,則會影響正常網(wǎng)絡(luò)處理的性能;如果自行開發(fā)的程序不規(guī)范,可能會被IP數(shù)據(jù)包協(xié)議異常的攻擊選項(xiàng)屏蔽;非常規(guī)的網(wǎng)絡(luò)設(shè)計(jì)也會出現(xiàn)合法流量被屏蔽問題。要想有效發(fā)揮Netscreen Screening攻擊防御功能,需要對網(wǎng)絡(luò)中流量和協(xié)議類型有比較充分的認(rèn)識,同時要理解每一個防御選項(xiàng)的具體含義,避免引發(fā)無謂的

24、網(wǎng)絡(luò)故障。防攻擊選項(xiàng)的啟用需要采用逐步逼近的方式,一次僅啟用一個防攻擊選項(xiàng),然后觀察設(shè)備資源占用情況和防御結(jié)果,在確認(rèn)運(yùn)行正常后再考慮按需啟用另一個選項(xiàng)。建議采用以下順序漸進(jìn)實(shí)施防攻擊選項(xiàng):l 設(shè)置防范DDoS Flood攻擊選項(xiàng)l 根據(jù)掌握的正常運(yùn)行時的網(wǎng)絡(luò)流量、會話數(shù)量以及數(shù)據(jù)包傳輸量的值,在防范DDoS的選項(xiàng)上添加20的余量作為閥值。l 如果要設(shè)置防范IP協(xié)議層的選項(xiàng),需在深入了解網(wǎng)絡(luò)環(huán)境后,再將IP協(xié)議和網(wǎng)絡(luò)層的攻擊選項(xiàng)逐步選中。l 設(shè)置防范應(yīng)用層的選項(xiàng),在了解應(yīng)用層的需求以及客戶化程序的編程標(biāo)準(zhǔn)后,如不采用ActiveX控件,可以選擇這些基于應(yīng)用層的防攻擊選項(xiàng)。l 為檢查網(wǎng)絡(luò)中是否存

25、在攻擊流量,可以臨時打開該區(qū)段screening頂部Generate Alarms without Dropping Packet選項(xiàng),確認(rèn)攻擊類型后再將該選項(xiàng)去除。l 在設(shè)置screening選項(xiàng)的過程中,應(yīng)密切注意防火墻CPU的利用率,以及相關(guān)應(yīng)用的使用情況;如果出現(xiàn)異常(CPU利用率偏高了或應(yīng)用不能通過),則立刻需要取消相關(guān)的選項(xiàng)。l 建議正常時期在untrust區(qū)啟用防flood攻擊選項(xiàng),在辦公用戶區(qū)啟用flood和應(yīng)用層防護(hù)選項(xiàng),在核心業(yè)務(wù)區(qū)不啟用screening選項(xiàng),僅在網(wǎng)絡(luò)出現(xiàn)異常流量時再打開對應(yīng)的防御功能。五、特殊應(yīng)用處理長連接應(yīng)用處理在金融行業(yè)網(wǎng)絡(luò)中經(jīng)常會遇到長連接應(yīng)用,基于狀態(tài)檢測機(jī)制的防火墻在處理此類應(yīng)用時要加以注意。缺省情況下,Netscreen防火墻對每一個會話的連接保持時間是30分鐘(TCP)和1分鐘(UDP),超時后狀態(tài)表項(xiàng)將會被清除。所以在實(shí)施長連接應(yīng)用策略時要配置合適的timeout值,以滿足長連接應(yīng)用的要求。配置常連接應(yīng)用需注意地方有:l 如果在長連接應(yīng)用中已經(jīng)設(shè)計(jì)了心跳維持機(jī)制(如每隔幾分鐘,客戶端與服務(wù)端之間傳送心跳以維持會話),此時無需防火墻上設(shè)置timeout時間,使用默認(rèn)配置即可。l 長連接應(yīng)用中沒有心跳機(jī)制時,通常情況下建議timeout值為36小時。應(yīng)用通常在工作時間建立連接,這樣可在下班后時間拆

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論