juniper防火墙常用维护指南(3)

l 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。另外，对于策略配置中的Count(流量统计)选项，如非必要建议在业务时段不使用。 l 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。

l 策略用于区段间单方向网络访问控制。如果源区段和目的区段不同，则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断，则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略，则安全设备会检查全局策略表以查找匹配策略。

l MIP/VIP地址属于全局区段地址，配置策略时建议通过全局区段来配置MIP/VIP地址相关策略，

MIP/VIP地址虽然可为其余区段调用，但由于其余区段的“any”地址并不包括全局区段地址，在定义策略时应加以注意，避免配置不生效的策略。 l 策略变更控制。组织好策略规则后，应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。如果防火墙有多个管理员，建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。

五、攻击防御（Screen）

Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击，一些流行 的攻击手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墙在抵御这些攻击时，通过专用ASIC芯片来进行处理，适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它选项，在开启这些防护功能前有几个因素需要考虑：·

抵御攻击的功能会占用防火墙部分CPU资源；·

自行开发的一些应用程序中，可能存在部分不规范的数据包格式；

网络环境中可能存在非常规性设计。如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的性能；如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的网络设计也会出现合法流量被屏蔽问题。要想有效发挥Netscreen Screening攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在

确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项： l 设置防范DDoS Flood攻击选项 l 根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的选项上添加20％的余量作为阀值。

l 如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层的攻击选项逐步选中。

l 设置防范应用层的选项，在了解应用层的需求以及客户化程序的编程标准后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。

l 为检查网络中是否存在攻击流量，可以临时打开该区段screening顶部Generate Alarms without Dropping Packet选项，确认攻击类型后再将该选项去除。

l 在设置screening选项的过程中，应密切注意防火墙CPU的利用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应用不能通过），则立刻需要取消相关的选项 。

l 建议正常时期在untrust区启用防flood攻击选项，在办公用户区启用flood和应用层防护选项，在核心业务区不启用screening选项，仅在网络出现异常流量时再打开对应的防御功能。

五、特殊应用处理

长连接应用处理

在金融行业网络中经常会遇到长连接应用，基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下，Netscreen防火墙对每一个会话的连接保持时间是30分钟（TCP）和5分钟（UDP），超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值，以满足长连接应用的要求。配置常连接应用需注意地方有：

l 如果在长连接应用中已经设计了心跳维持机制（如每隔几分钟，客户端与服务端之间传送心跳以维持会话），此时无需防火墙上设置timeout时间，使用默认配置即可。

l 长连接应用中没有心跳机制时，通常情况下建议timeout值为36小时。应用通常在工作时间建立连接，这样可在下班后时间拆除连接。

l 在配置 timeout值时，特别提醒不要使用“never timeout”（永不超时）的选项。该选 项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长，建议配置一个具体的长时间段（如一周）。

不规范TCP应用处理

正常TCP应用连接建立需要3次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似SYN没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为netscreen防火墙在默认情况下，对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况，在某些应用发生通讯障碍时，通过debug分析是否是防火墙拒绝了不严谨的TCP 包，确认后通过设置unset flow tcp-syn-check 的命令来使防火墙取消这种防范机

制。

VOIP应用处理

Netscreen防火墙默认启用H.323应用代理机制，应用代理的作用是使防火墙能够理解应 用通讯的内容，让防火墙能够从信令通道中提取出协商的端口信息，并在防火墙上动态的打开这些端口，在

语音通讯结束后，再动态关闭这些临时端口。但由于H.323协议的复杂性和各厂家实现上的差异，容易造成防

火墙在与各厂家VOIP系统互操作上存在兼容性问题，出现IP话机无法注册、语音连接无法建立、拨号时间较

长等故障现象。

解决方法两种： 1、set alg h323 disable 直接关闭防火墙上的h.323应用代理功能，让H.323语音流量按常规应用连接方式进行通信。

2、Set policy id X from trust to untrust any anyh.323 permit Set policy id X application ignore 通过访问控制策略使H.323应用采用常规连接方式进行

通信。（注：很多用户定制程序使用自定义的端口号，ignore参数使防火墙忽略端口的应用类型，仅按常规方式处理通信连接。此参数也适用于端口号非21/20的FTP应用）

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说幼小课堂juniper防火墙常用维护指南(3)在线全文阅读。