下载文档原格式
NetScreen防火墙常用命令1、get systemget system命令是最基本的命令之一,它用于显示NetScreen防火墙硬件和软件的基本信息。
因为不同的版本有不同的特征,实现的功能也不完全相同,所以,查看硬件和软件的信息是解决问题的重要一步。
在进行故障处理时,我们通常从这个命令开始收集数据。
该命令将帮助用户收集下列信息:防火墙硬件型号⌝产品序列号⌝产品硬件版本⌝ScreenOS软件版本⌝时钟和系统运行时间信息⌝系统运行模式⌝接口信息⌝2、get config [saved]get config命令用于显示当前防火墙的配置,这可以说是排除故障的重要起点。
get config 命令用于查看当前系统配置,get config saved用来显示保存的系统配置。
3、get interfaceget interface命令可以显示所有接口的当前状态。
如果只是想查看特定接口的详细状态,请在该命令后输入接口类型和接口号,例如:get interface ethernet1命令将查看以太网接口1的运行状态和相关信息。
NetScreen防火墙接口接收发送数据包的统计值(Input, Output)则通过get counter statistics interface < interface>命令获取,这些信息对排查联通性的问题都是必需的。
4、get counterget counter 命令用来显示防火墙流量计数器,包括攻击防范(Screen)计数,策略计数,接口计数和报文流计数。
其中:get counter statistics interface < interface> | zone <zone> 命令获取接口或区域的流量统计信息。
get counter flow interface < interface> | zone <zone>命令获取报文流统计信息。
网络防火墙的维护与更新常见问题解答一、为什么需要维护和更新网络防火墙?网络防火墙作为保护企业网络安全的重要设备,定期的维护和更新至关重要。
维护和更新网络防火墙可以及时修复安全漏洞,防止恶意攻击和数据泄露。
同时,随着网络攻击技术的不断演进,更新网络防火墙可以加强其对新型威胁的检测和防御能力,以提升网络安全水平。
二、网络防火墙维护包括哪些内容?网络防火墙的维护内容包括以下几个方面:1. 定期备份配置文件和日志:定期备份配置文件可以防止因设备故障或错误操作导致的配置丢失。
同时,备份日志可以有助于检测和分析网络安全事件。
2. 确保操作系统和应用程序的安全更新:及时安装厂商提供的操作系统和应用程序的安全更新补丁,可以修复已知安全漏洞,防止黑客利用这些漏洞进行攻击。
3. 定期更新网络防火墙软件版本:网络防火墙厂商会定期发布新版本的软件,其中包括了更强大的安全功能和更好的性能。
更新软件版本可以提升网络防火墙的防御能力和性能。
4. 监控网络防火墙的性能和运行状态:通过实时监控网络防火墙的性能和运行状态,可以及时发现设备故障、网络异常或者异常访问行为,从而采取相应的措施。
5. 定期进行安全审计和验证:通过定期进行安全审计和验证,可以确保网络防火墙的配置符合安全策略、规则和最佳实践,以提高网络安全水平。
三、网络防火墙更新常见问题解答1. 如何选择适合自己企业的网络防火墙?选择适合自己企业的网络防火墙需要考虑多个因素,包括预算、业务需求、用户数量、安全性能等。
可以根据企业需求咨询专业的网络安全服务提供商,进行方案设计和选型。
2. 如何保证网络防火墙的升级不影响企业正常业务?在进行网络防火墙升级前,需要进行详细的规划和测试,确保升级过程中不会对企业正常业务造成影响。
可以选择在非工作时间进行升级,并根据需要进行备份和恢复操作,以防止意外发生。
3. 如何防止网络防火墙被攻击?为了防止网络防火墙被攻击,可以采取以下措施:- 使用强密码和密钥对设备进行保护;- 限制管理接口的访问权限,只允许授权人员访问;- 配置访问控制列表(ACL)限制通过网络防火墙的流量;- 定期监控网络流量和日志,及时发现异常行为。
Netscreen 防火墙日常维护指南Juniper Networks, Inc.Jul. 2006目录一、综述 (3)二、N ETSCREEN防火墙日常维护 (3)常规维护: (3)应急处理 (7)总结改进 (9)故障处理工具 (9)三、N ETSCREEN 冗余协议(NSRP) (10)NSRP部署建议 (10)NSRP常用维护命令 (11)四、策略配置与优化(P OLICY) (12)五、攻击防御(S CREEN) (14)五、特殊应用处理 (15)长连接应用处理 (16)在金融行业网络中经常会遇到长连接应用,基于状态检测机制的防火墙在处理此类应用时要加以注意。
缺省情况下,N ETSCREEN防火墙对每一个会话的连接保持时间是30分钟(TCP)和1分钟(UDP),超时后状态表项将会被清除。
所以在实施长连接应用策略时要配置合适的TIMEOUT值,以满足长连接应用的要求。
配置常连接应用需注意地方有: (16)不规范TCP应用处理 (16)VOIP应用处理 (17)一、综述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断及恢复成为维护人员的工作重点。
NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理监控可确保防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。
本文对Netscreen 防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。
二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Netscreen防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。
J u n i p e r防火墙日常维护(总43页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除Juniper防火墙日常维护手册(v 20131112)版本说明目录版本说明.................................................................... 错误!未指定书签。
目录...................................................................... 错误!未指定书签。
1. 日常操作................................................................. 错误!未指定书签。
1.1 查看硬件信息 ....................................................... 错误!未指定书签。
1.2 查看OS信息 ........................................................ 错误!未指定书签。
1.3 查看CPU/SPU使用率信息 ............................................. 错误!未指定书签。
1.3.1 查看CPU/SPU使用率信息....................................... 错误!未指定书签。
1.3.2 查看每秒CPU使用率........................................... 错误!未指定书签。
1.4 查看内存使用率 ..................................................... 错误!未指定书签。
1.5 SRX RE CPU使用率/内存使用率信息(仅JunOS适用).................... 错误!未指定书签。
网络防火墙的维护与更新常见问题解答维护和更新网络防火墙是网络安全的重要一环。
通过定期维护和更新,可以有效减少网络攻击和数据泄露的风险。
在这篇文章中,我们将回答一些关于网络防火墙的常见问题,以帮助您更好地了解如何维护和更新网络防火墙。
问题一:为什么需要维护和更新网络防火墙?网络安全威胁不断进化,黑客们的攻击手段也在不断升级。
因此,一个过时的网络防火墙在保护您的网络安全方面可能就不够用了。
通过维护和更新网络防火墙,可以及时修复已知的漏洞,并使其具备对新威胁的防御能力。
问题二:网络防火墙的维护包括哪些内容?网络防火墙的维护工作可以包括以下几个方面:1. 更新漏洞补丁:及时安装厂商发布的漏洞修复补丁,以修复已知漏洞,提高防火墙的安全性。
2. 定期检查和更新规则集:规则集是网络防火墙的核心组成部分,它定义了允许或拒绝通过防火墙的网络流量。
定期检查规则集并针对新威胁进行更新,可以提高防火墙的有效性。
3. 日志分析:定期分析防火墙的日志记录,以便及时发现可能的攻击行为或异常情况。
4. 网络设备检查:检查网络设备的状态、配置和更新固件,确保网络防火墙的正常运行。
问题三:如何保证网络防火墙的更新不会影响业务正常运行?更新网络防火墙时,为了避免对业务正常运行造成影响,我们可以采取以下几个步骤:1. 预测试:在更新网络防火墙之前,可以先在预测试环境中进行测试,以确保更新不会引起不必要的问题。
2. 窗口期维护:选择在业务低峰期进行维护和更新,减少对正常业务的影响。
3. 备份和回滚计划:在更新之前,及时备份网络防火墙的配置和规则集,并制定回滚计划,以便在更新后出现问题时能够快速还原系统。
问题四:如何选择适合的网络防火墙软件或硬件?选择适合的网络防火墙软件或硬件应该根据实际需求和预算来进行决策。
以下是一些考虑因素:1. 功能和性能:根据网络规模和业务需求选择功能和性能与之匹配的网络防火墙产品。
2. 厂商支持:选择有良好技术支持和及时更新的厂商,以确保及时获取最新的漏洞修复和新功能。
网络防火墙的维护与更新常见问题解答导言:随着互联网的迅猛发展,保护企业网络安全变得越来越重要。
网络防火墙作为一种有效的安全措施,被广泛应用于各个行业。
然而,维护与更新网络防火墙常常困扰着用户。
本文将针对常见的问题进行解答,帮助用户更好地维护和更新网络防火墙。
一、如何定期检查网络防火墙的运行状态?定期检查网络防火墙的运行状态对确保网络安全至关重要。
以下是一些常见的检查方法:1.检查日志记录:定期查看防火墙的日志记录,以了解网络的异常行为和任何潜在的入侵行为。
2.测试防火墙规则:通过定期进行规则测试,确保防火墙规则的有效性。
3.更新防火墙软件和固件:定期检查并升级防火墙软件和固件以确保其安全性和功能性。
4.定期检查端口:检查网络防火墙的端口开放情况,确保只有必要的端口开放。
二、如何保护网络防火墙免受未经授权访问?保护网络防火墙免受未经授权访问是确保网络安全的重要措施。
以下是一些常见的保护方法:1.加强认证控制:设置强密码且定期更换密码,采用多因素身份验证等方式加强认证控制。
2.限制访问:仅允许授权用户访问网络防火墙,并限制其访问权限。
3.加密通信:使用安全协议(如SSL/TLS)加密所有与网络防火墙的通信,确保数据传输的安全性。
4.设立安全区域:将网络防火墙放置在安全区域,只允许授权人员访问。
三、什么时候需要更新网络防火墙?网络防火墙的更新非常重要,可提供新功能、修补漏洞以及增强安全性。
以下是一些常见的情况需要更新网络防火墙:1.安全补丁发布:当网络防火墙供应商发布安全补丁时,及时更新以修补已知漏洞。
2.新功能需求:当需要新的功能或改进时,更新网络防火墙以满足需求。
3.网络拓扑变化:当网络拓扑发生变化时,如新增设备或调整网络结构,需要相应地更新防火墙配置。
4.升级防火墙软件和固件:网络防火墙供应商定期发布新的软件和固件版本,更新以提高性能和安全性。
结论:网络防火墙的维护和更新对于确保网络的安全性至关重要。
网络防火墙的维护与更新常见问题解答随着信息技术的快速发展,人们对网络安全的需求也越来越高。
而网络防火墙作为阻止非法访问和恶意攻击的第一道防线,扮演着重要的角色。
然而,由于防火墙的复杂性和技术要求,用户常常遇到各种问题。
本文将解答网络防火墙维护与更新中的常见问题,以帮助读者更好地理解和使用防火墙。
一、如何进行网络防火墙的维护和更新?网络防火墙的维护和更新是确保其有效性和稳定性的关键。
首先,定期更新防火墙的软件版本和安全补丁是非常重要的。
随着黑客技术的不断发展,防火墙厂商会及时发布新的版本来应对各种新的攻击方式。
用户需要密切关注厂商的更新公告,并及时下载、安装新版本。
除了软件更新,还需要定期检查和维护防火墙的硬件设备。
用户应检查防火墙设备的电源、风扇、硬盘等是否正常运作,确保设备的稳定性和可靠性。
此外,还需要定期备份防火墙的配置文件和日志数据,以防止硬件故障或者意外数据丢失。
二、什么是防火墙策略?防火墙策略是指管理员制定的规则集合,用于决定防火墙如何检查和控制网络流量。
防火墙策略根据源IP地址、目标IP地址、端口号等诸多因素来定义流量的允许或拒绝规则。
管理员可以根据实际情况制定不同的策略,以允许特定的流量通过防火墙,同时拒绝非法或危险的流量。
在制定防火墙策略时,管理员应根据组织的网络架构和安全需求进行综合考虑。
需要注意的是,策略的制定应尽量简洁明了,避免过于复杂,以免造成管理的困难和安全漏洞。
三、如何应对DDoS攻击?DDoS攻击是一种以拒绝服务为目的的恶意攻击方式,会导致网络瘫痪和服务不可用。
防火墙在面对DDoS攻击时也有一定的应对能力。
首先,用户可以利用防火墙的限制带宽功能来控制流量,减轻攻击的影响。
其次,防火墙可以检测和过滤掉DDoS攻击流量,保护系统免受攻击。
然而,对于大规模的DDoS攻击,防火墙的单一设备往往无力应对。
此时,用户需要考虑使用分布式防火墙系统或者云防火墙来增强网络的安全性和韧性。
Juniper NETSCREEN NSRP典型配置及维护(一)一、NSRP工作原理NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。
防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连设备出现故障的情况下,提供网络访问路径无缝切换。
NSRP冗余协议提供复杂网络环境下的冗余路径保护机制。
NSRP主要功能有:1、在高可用群组成员之间同步配置信息;2、提供活动会话同步功能,以保证发生路径切换情况下不会中断网络连接;3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检测和状态切换。
NSRP集群两种工作模式:一、Active/Passive模式:通过对一个冗余集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。
主用设备负责处理所有网络信息流,备用设备处于在线备份状态。
主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理。
二、Active/Active模式:在NSRP中创建两个虚拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通信。
设备A充当VSD组1的主设备和VSD 组2的备份设备。
设备B充当VSD组2的主设备和VSD组1的备份设备。
Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。
在双主动模式中不存在任何单一故障点。
如下图所示,通过调整防火墙上下行路由/交换设备到网络的路由指向,HostA通过左侧路径访问ServerA,HostB通过右侧路径访问ServerB,网络中任一设备或链路出现故障时,NSRP集群均能够做出正确的路径切换。
网络防火墙维护流程背景网络防火墙是保护计算机网络免受恶意攻击和未经授权访问的重要设备。
为了确保网络安全,定期进行网络防火墙的维护是必要的。
目标本文档旨在提供网络防火墙维护流程的指导,确保网络安全和稳定运行。
流程1. 更新防火墙软件- 定期检查防火墙厂商的官方网站,了解最新的软件补丁和更新版本。
2. 定期备份配置文件- 创建防火墙的配置文件的备份,以便在需要恢复时可以使用。
- 将备份文件存储在安全的位置,确保文件的完整性和可用性。
3. 确保访问控制策略有效- 定期检查和更新防火墙的访问控制策略。
- 仔细审查策略并删除不再需要的规则,以减少潜在的安全漏洞。
- 添加新的规则以适应网络环境的变化,并确保规则的正确性和有效性。
4. 检查网络流量- 定期监视和分析网络流量,以便及时发现异常活动。
- 使用网络监测工具检测不寻常的流量模式和可疑的连接。
- 快速响应并采取适当的措施来应对潜在的威胁。
5. 更新入侵检测系统(IDS)和入侵防御系统(IPS)- 确保IDS和IPS的软件和规则库保持最新,以便及时发现和阻止入侵行为。
- 定期更新软件和规则库,以包括最新的攻击签名和漏洞修复。
6. 定期进行安全审计- 进行定期的安全审计和漏洞扫描,以评估防火墙的安全性。
- 识别和修复潜在的安全漏洞和配置错误,以增强防火墙的安全性。
7. 培训和意识推广- 为网络管理员提供定期培训,使其熟悉最佳的网络防火墙维护实践。
- 提供员工培训和意识推广,以提高对网络安全的认识和重要性。
结论通过按照以上所述的网络防火墙维护流程进行定期维护,可以提高网络的安全性和稳定性,防止未经授权的访问和恶意攻击。
请遵循该流程并确保有效执行。
Netscreen 防火墙日常维护指南Juniper Networks, Inc.Jul. 2006目录一、综述 (3)二、N ETSCREEN防火墙日常维护 (3)常规维护: (3)应急处理 (7)总结改进 (8)故障处理工具 (9)三、N ETSCREEN 冗余协议(NSRP) (10)NSRP部署建议 (10)NSRP常用维护命令 (11)四、策略配置与优化(P OLICY) (12)五、攻击防御(S CREEN) (13)五、特殊应用处理 (15)长连接应用处理 (15)不规范TCP应用处理 (16)VOIP应用处理 (16)附录:JUNIPER防火墙C ASE信息表..................... 错误!未定义书签。
一、综述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断及恢复成为维护人员的工作重点。
NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理监控可确保防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。
本文对Netscreen防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。
二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Netscreen 防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。
常规维护:在防火墙的日常维护中,通过对防火墙进行健康检查,能够实时了解Netscreen防火墙运行状况,检测相关告警信息,提前发现并消除网络异常和潜在故障隐患,以确保设备始终处于正常工作状态。
1、日常维护过程中,需要重点检查以下几个关键信息:Session:如已使用的Session数达到或接近系统最大值,将导致新Session不能及时建立连接,此时已经建立Session的通讯虽不会造成影响;但仅当现有session连接拆除后,释放出来的Session资源才可供新建连接使用。
维护建议:当Session资源正常使用至80%时,需要考虑设备容量限制并及时升级,以避免因设备容量不足影响业务拓展。
CPU: Netscreen是基于硬件架构的高性能防火墙,很多计算工作由专用ASIC芯片完成,正常工作状态下防火墙CPU使用率应保持在45%以下,如出现CPU利用率过高情况需给予足够重视,应检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。
通常情况下CPU利用率过高往往与恶意流量有关,可通过正确设臵screening对应选项进行防范。
Memory: NetScreen防火墙对内存的使用把握得十分准确,采用“预分配”机制,空载时内存使用率为约50-60%,随着流量不断增长,内存的使用率应基本保持稳定。
如果出现内存使用率超过75%时,需检查网络中是否存在攻击流量,确认近期健康检查内存分配是否发生较大变化,检查为debug分配的内存空间是否过大(get dbuf info单位为字节)。
2、在业务使用高峰时段检查防火墙关键资源(如:Cpu、Session、Memory和接口流量)等使用情况,建立网络中业务流量对设备资源使用的基准指标,为今后确认网络是否处于正常运行状态提供参照依据。
当session数量超过平常基准指标20%时,需检查session表和告警信息,检查session是否使用于正常业务,网络中是否存在可疑流量和恶意攻击行为。
当Cpu占用超过平常基准指标30%时,需查看异常流量、告警日志、检查策略是否优化、配臵文件中是否存在无效的命令。
3、防火墙健康检查信息表:4、常规维护建议:1、配臵System-ip地址,指定专用终端管理防火墙;2、更改netscreen账号和口令,不建议使用缺省的netscreen账号管理防火墙;设臵两级管理员账号并定期变更口令;仅容许使用SSH和SSL方式登陆防火墙进行管理维护。
3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。
整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。
4、整理一份上下行交换机配臵备份文档(调整其中的端口地址和路由指向),提供备用网络连线。
防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。
5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。
6、重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故障隐患。
7、建立设备运行档案,为配臵变更、事件处理提供完整的维护记录,定期评估配臵、策略和路由是否优化。
8、故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:NSRP集群中设备出现故障,网线故障及交换机故障时的路径保护切换。
9、设备运行档案表应急处理当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障是否与防火墙有关。
如果故障与防火墙有关,可在防火墙上打开debug功能跟踪包处理过程,检验策略配臵是否存在问题。
一旦定位防火墙故障,可通过命令进行NSRP双机切换,单机环境下发生故障时利用备份的交换机/路由器配臵,快速旁路防火墙。
在故障明确定位前不要关闭防火墙。
1、检查设备运行状态网络出现故障时,应快速判断防火墙设备运行状态,通过Console口登陆到防火墙上,快速查看CPU、Memory、Session、Interface以及告警信息,初步排除防火墙硬件故障并判断是否存在攻击行为。
2、跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问,顺序检查接口状态、路由和策略配臵是否有误,在确认上述配臵无误后,通过debug命令检查防火墙对特定网段数据报处理情况。
部分地址无法通过防火墙往往与策略配臵有关。
3、检查是否存在攻击流量通过查看告警信息确认是否有异常信息,同时在上行交换机中通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Screen选项中启用对应防护措施来屏蔽攻击流量。
4、检查NSRP工作状态使用get nsrp命令检查nsrp集群工作状态,如nsrp状态出现异常或发生切换,需进一步确认引起切换的原因,引起NSRP切换原因通常为链路故障,交换机端口故障,设备断电或重启。
设备运行时务请不要断开HA心跳线缆。
5、防火墙发生故障时处理方法如果出现以下情况可初步判断防火墙存在故障:无法使用console口登陆防火墙,防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配臵调整等现象。
为快速恢复业务,可通过调整上下行设备路由指向,快速将防火墙旁路,同时联系供应商进行故障诊断。
总结改进故障处理后的总结与改进是进一步巩固网络可靠性的必要环节,有效的总结能够避免很多网络故障再次发生。
1、在故障解决后,需要进一步总结故障产生原因,并确认该故障已经得到修复,避免故障重复发生。
2、条件容许的情况下,构建防火墙业务测试环境,对所有需要调整的配臵参数在上线前进行测试评估,避免因配臵调整带来新的故障隐患。
3、分析网络可能存在的薄弱环节和潜在隐患,通过技术论证和测试验证来修复隐患。
故障处理工具Netscreen防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是debug和snoop,debug用于跟踪防火墙对指定包的处理,snoop用于捕获流经防火墙的数据包,由于debug和snoop均需要消耗大量的防火墙cpu资源,在使用时务必谨慎开启,包分析结束后应在第一时间关闭debug和snoop功能。
下面简要介绍一下两个工具的使用方法。
Debug:跟踪防火墙对数据包的处理过程1. Set ffilter src-ip x.x.x.x dst-ip x.x.x.x dst-port xx设臵过滤列表,定义捕获包的范围2、clear dbuf 清除防火墙内存中缓存的分析包3、debug flow basic 开启debug数据流跟踪功能4、发送测试数据包或让小部分流量穿越防火墙5、undebug all 关闭所有debug功能6、get dbuf stream 检查防火墙对符合过滤条件数据包的分析结果7、unset ffilter 清除防火墙debug过滤列表8、clear dbuf 清除防火墙缓存的debug信息9、get debug 查看当前debug设臵Snoop:捕获进出防火墙的数据包,与Sniffer嗅包软件功能类似。
1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设臵过滤列表,定义捕获包的范围2、clear dbuf 清除防火墙内存中缓存的分析包3、snoop 开启snoop功能捕获数据包4、发送测试数据包或让小部分流量穿越防火墙5、snoop off 停止snoop6、get db stream 检查防火墙对符合过滤条件数据包的分析结果7、snoop filter delete 清除防火墙snoop过滤列表8、clear dbuf 清除防火墙缓存的debug信息9、snoop info 查看snoop设臵三、Netscreen 冗余协议(NSRP)Nsrp协议提供了灵活的设备和路径冗余保护功能,在设备和链路发生故障的情况下进行快速切换,切换时现有会话连接不会受到影响。
设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。
NSRP部署建议:●基于端口和设备的冗余环境中,无需启用端口和设备级的抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。
●当配臵两组或两组以上的防火墙到同一组交换机上时,每组nsrp集群应设臵不同的cluster ID号,避免因相同的cluster ID号引发接口MAC地址冲突现象。
●防火墙nsrp集群建议采用接口监控方式,仅在网络不稳定的情况下有选择使用Track-ip监控方式。
接口监控方式能够更快更准确的反映网络状态变化。
●在单台防火墙设备提供的session和带宽完全可以满足网络需求时,建议采用基于路由的Active-Passive主备模式,该模式组网结构清晰,便于维护和管理。
●设备运行时应保证HA线缆连接可靠,为确保HA心跳连接不会出现中断,建议配臵HA备份链路“secondary-path”。
