Netscreen防火墙日常维护指南 (2).doc

Netscreen 防火墙日常维护指南
Juniper Networks, Inc.
Jul. 2006
目录
一、综述2
二、Netscreen防火墙日常维护
LED
LED指示灯检查
设备运行
参考基线
Session
Cpu
Memory
接口流量
业务类型
机箱温度
4、 常规维护建议：
1、配置System-ip地址，指定专用终端管理防火墙；
2、更改netscreen账号和口令，不建议使用缺省的netscreen账号管理防火墙；设置两级管理员账号并定期变更口令；仅容许使用SSH和SSL方式登陆防火墙进行管理维护。
3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。
4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。
5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。
6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。
7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。
8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：NSRP集群中设备出现故障，网线故障及交换机故障时的路径保护切换。
9、设备运行档案表
设备型号
软件版本
设备序列号
设备用途
XX区防火墙
设备状态
主用/备用
设备组网方式
如：Layer3 口型A/P
保修期限
供应商联系方式
配置变更
变更原因
变更内容
结果
负责人
事件处理
事件现象
处理过程
结果
负责人
应急处理
当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行NSRP双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位前不要关闭防火墙。
检查设备运行状态
网络出现故障时，应快速判断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。
跟踪防火墙对数据包处理情况
如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。
检查是否存在攻击流量
通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在Screen选项中启用对应防护措施来屏蔽攻击流量。
4、检查NSRP工作状态
使用get nsrp命令检查nsrp集群工作状态，如nsrp状态出现异常或发生切换，需进一步确认引起切换的原因，引起NSRP切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。
防火墙发生故障时处理方法
如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。
总结改进
故障处理后的总结与改进是进一步巩固网络可靠性的必要环节，有效的总结能够避免很多网络故障再次发生。
1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。
2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整的配置参数在上线前进行测试评估，避免因配置调整带来新的故障隐患。
3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。
故障处理工具
Netscreen防火墙提供灵活多样的维护方式，其中故障处理时最有用的两个工具是debug和sno