《防火墙标准配置模板和日常维护建议ppt培训课件》由会员分享,可在线阅读,更多相关《防火墙标准配置模板和日常维护建议ppt培训课件(40页珍藏版)》请在金锄头文库上搜索。
1、Juniper防火墙标准配置模板和日常维护建议标准配署模板eee*setclockdst-off#关闭夏时制“Setclockntp#呆用ntp服务“setclocktimezone8#设署为东八区“SetclocktimeXXXX#设置设备本地时钟*setntpserver“X.X.X.X林设置ntp服务器地址“setntpsarverbackup1“yyV:Y“setntpserverbackUp2Zz2“setntpmax-adjustment0#允许任意时钟误差情况下都进行时间更新“execntpupdate多手动执行NTP同步“getntp#检查NTP同步状态CUpdateStatu
2、s:ldle表示没有同步)“Setntpno-ha-sync考关闭NSRP模式下的主备防火墙问的NTP同步eeeSyslog配置茬tsyslogconfig“xX.x.X.X“#设置syslog服务器地*setsyslogconfig“x.x.x.xX“facilitieslocal7local0#指定alarmlevel(emergency、alert、critical的日志送到local7,eventlevel(error、warning、notification、informiatiop、debug镶昌志送到胸瞻恤具体local值请和syslog管理员*setsyslogenable#启
3、用syslog服务eeEZone配置“setzone“zonename“vrouter“trustvr“孝所有zone都放在trust-vr路由表中*unsetzone“zonename“tcp-rst#关闭不必要的tcp-rst功能。在启用tcp-syn-check环境下,tcp-rst将使防火墙丢弈不带syn的首包,并给源端发送reset报文*Setzone“zonehanieblock绑ane肖部楚口【才按门间流量互访必颉经过Policy格查*setzone“zonename“screenlimit-sessionsource-ip-based“number“#对同一源地址的sessio
4、n数量进行限制,用于特定情况,对防火墙资源消耗有限eeeZone配置的特例*#如果要求带外管理zone和数据通讯zone进行路由隔离(企业规范要求或地址祈突等原因),则分别使用不同的路由表,进行路由隔离,一般情况不要如此配置,会增加维护复杂性“setzone“MCT“yroutef“irustvr“#带外管理zone使用trusicvr益由表“setzone“zonename“vrouter“untrust-vr“#数据通讯zone使用untrust-vr路由表eeEInterface配置“setinterface“interfacename“route#所有端口都设置为route模式,默认情
5、况下trustzone下的interface为nat模式,霁要注意这一反“setinterface“interfacename“ipX.X.X.X/XX“setinterface“interfacename“man泵罘房-ipXX-X-Y英需要区分NSRP主吴机上的Syslog或SP或NTP盖Telnet或Track-ip符管途流坤皂源IP时,所必须具备的前提*setinterfaceredundant1primaryethernet2/1#如果配置丁redundant端口则指定主用端口eeensrp配置“setnsrpclusterid1日董etnsrpvsd-groupid0priorit
6、y50#主防火墙优先级-董etnsrpvsd-groupid0priority100#备防火墙优先级“要求配置双HA接口,不需发secondnsrpinterfaceeeEzsansrpRTO配置*setnsrprto-mirrorsync#同步各种RTO对象*unsetnsrprto-mirrorsessionping#取消ICMPsession的同步,一般认为ICMPsession不是业务连接,不需要同步eeEzsaflow配置。setflowsyn-proxysyn-cookie#介选用于0S5.4以上版本1许河沥沥招Ptenl-setflownotcp-seq-check#不做TCP序列号检查“可以通过getflow来确认结果:0S50版李的结林:CheckTCPSYNbltbeloreprealesession:NoSkipsequsncynunibsrohexkinlalalu|nspcclonYES0854D上版李的结林:,CheckTCPSYNbtbelorecrealesession&nefeshsessiononyatericp3wayhandshake:NC-CheckTCPSYNbtbelorecrealesession:NO-Spsequencenumbercheckinstatefulinspecton:YESeee
