收藏
下载资源

juniper防火墙标准配置模板和日常维护建议v5

上传人:第*** 文档编号:53706228 上传时间:2018-09-04 格式:PPT 页数:45 大小:466.50KB
返回 下载 相关 举报
juniper防火墙标准配置模板和日常维护建议v5_第1页
第1页 / 共45页
juniper防火墙标准配置模板和日常维护建议v5_第2页
第2页 / 共45页
juniper防火墙标准配置模板和日常维护建议v5_第3页
第3页 / 共45页
juniper防火墙标准配置模板和日常维护建议v5_第4页
第4页 / 共45页
juniper防火墙标准配置模板和日常维护建议v5_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《juniper防火墙标准配置模板和日常维护建议v5》由会员分享,可在线阅读,更多相关《juniper防火墙标准配置模板和日常维护建议v5(45页珍藏版)》请在金锄头文库上搜索。

1、Juniper防火墙标准配置模板和日常维护建议,标准配置模板,时钟设置,set clock dst-off #关闭夏时制 set clock ntp#启用ntp服务 set clock timezone 8#设置为东八区 set clock time xxxx #设置设备本地时钟 set ntp server “x.x.x.x“#设置ntp服务器地址 set ntp server backup1 “y.y.y.y“ set ntp server backup2 “z.z.z.z“ set ntp max-adjustment 0#允许任意时钟误差情况下都进行时间更新 exec ntp upda

2、te #手动执行NTP同步 get ntp #检查NTP同步状态(Update Status: Idle表示没有同步) set ntp no-ha-sync #关闭NSRP模式下的主备防火墙间的NTP同步,Syslog配置,set syslog config “x.x.x.x“#设置syslog服务器地址 set syslog config “x.x.x.x” facilities local7 local0#指定alarm level(emergency、alert、critical)的日志送到local7,event level(error、warning、notification、inf

3、ormation、debug)的日志送到local0,具体local值请和syslog管理员协商 set syslog enable#启用syslog服务,Zone配置,set zone “zone name ” vrouter “trust-vr“#所有zone都放在trust-vr路由表中 unset zone “zone name” tcp-rst #关闭不必要的tcp-rst功能。在启用tcp-syn-check环境下,tcp-rst将使防火墙丢弃不带syn的首包,并给源端发送reset报文 Set zone “zone name” block #zone内部接口(子接口)间流量互访必

4、须经过Policy检查 set zone “zone name” screen limit-session source-ip-based “number”#对同一源地址的session数量进行限制,用于特定情况,对防火墙资源消耗有限,Zone配置的特例,#如果要求带外管理zone和数据通讯zone进行路由隔离(企业规范要求或地址冲突等原因),则分别使用不同的路由表,进行路由隔离,一般情况不要如此配置,会增加维护复杂性 set zone “MGT” vrouter “trust-vr” “#带外管理zone使用trust-vr路由表 set zone “zone name” vrouter “

5、untrust-vr“#数据通讯zone使用untrust-vr路由表,Interface配置,set interface “interface name” route#所有端口都设置为route模式,默认情况下trust zone下的interface为nat模式,需要注意这一点 set interface “interface name” ip x.x.x.x/xx set interface “interface name” manage-ip x.x.x.y#需要区分NSRP主备机上的Syslog或SNMP或NTP或Telnet 或Track-ip等管理流量的源IP时,所必须具备的前提

6、 set interface redundant1 primary ethernet2/1 #如果配置了redundant端口则指定主用端口,nsrp配置,set nsrp cluster id 1 set nsrp vsd-group id 0 priority 50#主防火墙优先级 set nsrp vsd-group id 0 priority 100#备防火墙优先级 要求配置双HA接口,不需要second nsrp interface,nsrp RTO配置,set nsrp rto-mirror sync#同步各种RTO对象 unset nsrp rto-mirror session

7、ping#取消ICMP session的同步,一般认为ICMP session不是业务连接,不需要同步,nsrp failover功能配置,set nsrp monitor interface “interface name”#在device级别设置端口监控 set nsrp monitor track-ip ip#启用track-ip功能 set interface “interface name” manage-ip z.z.z.z #启用track-ip功能必须设置端口的管理地址 set nsrp monitor track-ip ip x.x.x.x threshold 5#设置tra

8、ckip地址和连续丢包的阈值为5 ,降低误报的可能性 set nsrp monitor track-ip ip x.x.x.x method arp #x.x.x.x是本地设备地址,用arp方法检查,y.y.y.y是远端设备地址,用ping方法检查 set nsrp monitor track-ip ip x.x.x.x weight 150 set nsrp monitor track-ip ip y.y.y.y threshold 5 #要求同时设置两个以上的track-ip地址,单一地址可能出现误切换 set nsrp monitor track-ip ip y.y.y.y weight

9、 150#要求x.x.x.x和y.y.y.y这两个地址是在防火墙同一侧的两台设备,只有当这两个地址同时ping或arp不通时,产生权重300255,防火墙才会failover切换,降低误报的可能性 禁止使用类似set nsrp vsd-group id 0 monitor xxx这种vsd-group级别的监控功能,这会导致device级别的监控配置失效,flow配置,set flow syn-proxy syn-cookie#仅适用于0S5.4以上版本 unset flow tcp-syn-check#不做TCP syn检查,如果是新增防火墙,则建议启用以提高安全性,但是启用NAT时则一定会

10、做syn检查 set flow no-tcp-seq-check#不做TCP序列号检查 可以通过get flow来确认结果: OS5.0版本的结果: Check TCP SYN bit before create session : No Skip sequence number check in stateful inspection : YES OS5.4以上版本的结果: Check TCP SYN bit before create session & refresh session only after tcp 3 way handshake : NO Check TCP SYN bi

11、t before create session : NO Skip sequence number check in stateful inspection : YES,ALG配置,unset alg mgcp enable unset alg sccp enable unset alg sunrpc enable unset alg msrpc enable unset alg rtsp enable unset alg sip enable unset alg h323 enable#关闭所有不需要的ALG,不同OS版本ALG数量不同,set alg ?看有哪些具体ALG,一般情况下FTP

12、、SQL等常用ALG建议保留,如果需要禁用的话可以在policy级别禁用,arp配置,set arp always-on-dest 其目的是通过防火墙arp表来获得session表中的返回数据包的MAC地址,而不是通过in包的MAC地址作为返回数据包的MAC地址,这可以规避有些双机协议、负载分担协议等存在的设计缺陷。 但是需要注意一种可能存在的风险,就是已经在线的防火墙,并且没有配置缺省路由,在没有session中的源地址的路由条目的情况下,session原来也是可以建立并转发的,一旦设置了这条命令会引起这种session的中断。 注意在OS6.0上, “set arp always-on-d

13、est” 映射为 “set flow reverse-route clear-text always” “unset arp always-on-dest” 映射为 “set flow reverse-route clear-text prefer”,不要随意添加额外的功能,如:,nsrp preempt nsrp secondary-path nsrp ha-link probe 等等 对其它系统默认参数的调整也是严格禁止的,日常维护建议,SNMP网管监控1,nsResCpuLast1Min:最近1分钟CPU利用率(1.3.6.1.4.1.3224.16.1.2)每分钟采样 nsResSes

14、sAllocate:当前session数(1.3.6.1.4.1.3224.16.3.2)每分钟采样 nsResMemLeft:剩余内存(1.3.6.1.4.1.3224.16.2.2)每5分钟采样 nsResMemFrag:MemFrag(1.3.6.1.4.1.3224.16.2.3) 每5分钟采样 根据实际经验设置告警阈值。,SNMP网管监控2,主防火墙nsrpRtoCounterSend中的SESS_CR值(1.3.6.1.4.1.3224.6.3.3.3.1.3.1)、SESS_CL值(1.3.6.1.4.1.3224.6.3.3.3.1.3.2)和SESS_CH值(1.3.6.1.

15、4.1.3224.6.3.3.3.1.3.3)。每分钟采样。 备防火墙nsrpRtoCounterReceive中的SESS_CR值(1.3.6.1.4.1.3224.6.3.3.3.1.4.1)、SESS_CL值(1.3.6.1.4.1.3224.6.3.3.3.1.4.2)和SESS_CH值(1.3.6.1.4.1.3224.6.3.3.3.1.4.3)。每分钟采样。,SNMP网管监控3,NsIfFlowEntry:Netscreen端口流量表(1.3.6.1.4.1.3224.9.3.1),是对IfEntry的补充完善,其中重点监控表中的nsIfFlowInPacket(1.3.6.1.

16、4.1.3224.9.3.1.4)、nsIfFlowOutPacket(1.3.6.1.4.1.3224.9.3.1.6)等。每5分钟采样 。 IfEntry:RFC1213端口属性表(1.3.6.1.2.1.2.2.1)。其中重点监控表中的ifInOctets、ifInDiscards、ifInErrors、ifOutOctets、ifOutDiscards、ifOutErrors每5分钟采样。 对其中的错包进行告警。,SNMP网管监控4,对所有Trap信息进行告警 。 对syslog中的alarm level(emergency、alert、critical) 日志进行告警。 需要以防止漏

17、报或误报时,则根据syslog中的type类型加description描述中的关键字两者组合进行告警级别自定义。 强烈建议通过网管系统进行持续ping检查告警,要求ping包穿越防火墙的所有安全zone,以检查防火墙的可用性。,Log traffic,在业务内网环境下,建议在policy条目的底部增加deny any policy并记录log,定期开启和关闭,根据log记录对异常流量审查。 当通过log traffic发现大量的拒绝流量并且无法禁止时(如病毒扫描),可以通过置顶的拒绝策略来过滤以减轻防火墙负载,但是拒绝策略数量不宜过多。原则上建议使越靠近顶部的policy击中的流量越多。 如果符合拒绝策略的流量极高,则关闭log功能以减轻CPU负载。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 外语文库 > 英语学习

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号