发布时间 : 星期四 文章Juniper网络安全防火墙配置手册 - 图文更新完毕开始阅读082008e031b765ce050814cf
Juniper防火墙快速安装手册
16、查看某一条路由 get route ip 10.10.10.1
17、查看防火墙双机状态是否同步
18、查看防火墙PAT端口复用分配情况
7.3检查设备CPU的占有率
如果防火墙CPU占有率过高,是重要问题,影响业务正常处理。 7.3.1 原因分析
检查设备告警日志,分析设备流量信息,出现CPU占有率过高告警信息,可能的原因有:
1、 同时在线会话数超出阀值。 2、 新建会话数超出阀值。 3、网络攻击。 7.3.2采取的措施
1、检查会话数目和新建会话数目。
第 37 页 共 53 页
Juniper防火墙快速安装手册
2、查看日志,是否存在网络攻击。 3、关闭ALG功能
4、执行get gate和get pport命令,查看流媒体信息和基于接口的地址翻译情况。
5、根据日志或者会话分析检查发起攻击的源,对并发起攻击的源进行检查隔离,直至问题解决。
7.4检查内存占有率
由于juniper防火墙内存使用模式是预分配模式,正常情况下内存使用率为50%左右,但如果内存占有率过高,需检查原因。 7.4.1 原因分析
检查设备告警日志,分析设备流量信息,内存占用率过高,可能的原因有: 1、会话数过大,超出设备阀值。
2、用户列表数目过大(比如IC认证的用户列表)。 7.4.2 采取的措施
根据日志检查分析会话数和用户列表数目过大的原因。
7.5双机异常
防火墙双机出现异常是重要问题,虽然不影响业务正常处理,但影响设备可靠性。 7.5.1原因分析
防火墙设备双机异常的现象表现在主备机通信异常、无法正常切换等。引起这种现象可能是因为:
1、设备双机网络配置不正确,网络IP地址存在冲突、网络故障、硬件故障或损坏。
2、设备双机配置不正确。
第 38 页 共 53 页
Juniper防火墙快速安装手册
7.5.2采取的措施
1、 检查双机网络配置是否正常。 2、检查网络IP地址是否冲突。
3、检查设备双机配置是否异常,请参见产品手册对应设备双机配置说明,根据其中的指引进行配置。
4、必要时,请联系Juniper公司当地办事处技术服务工程师进行紧急处理。
如果防火墙前面板的LED HA指示灯出现红色,表明防火墙双机配置不同步。可以通过CLI命令行方式查看防火墙双机工作状态:
1、如果是console口登录时请执行命令:exec nsrp sync global check-sum 2、如果是telnet登录时请执行命令:exec nsrp sync global-config ch和 get db stream
防火墙输出有两种情况:
1、Warning: configuration out of sync说明防火墙配置或RTO不同步,需要检查配置或执行RTO同步。当设备出现配置不同步情况下,请按照以下步骤操作:
先执行防火墙主机切换到备机命令:
exec nsrp vsd-group [group number] mode backup
然后请使用以下命令将它们同步: exec nsrp sync global-config save (然后重新启动设备) 或exec nsrp sync global-config run ( 无需重新启动设备)。 2、configuration in sync 说明防火墙配置同步。
7.6故障处理工具
Juniper防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是debug和snoop,debug用于跟踪防火墙对指定包的处理,snoop用于捕获流经防火墙的数据包,由于debug和snoop均需要消耗防火墙的cpu和memory资源,在使用时务必要设置过滤列表,防火墙将仅对过滤列表范围内的包进行分析,包分析结束后应在第一时间关闭debug和snoop功能。下面简要介绍一下两个工具的使用方法。
第 39 页 共 53 页
Juniper防火墙快速安装手册
7.6.1 Debug
Debug:跟踪防火墙对数据包的处理过程
1. Set ffilter src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围
2、clear dbuf 清除防火墙内存中缓存的分析包 3、debug flow basic 开启debug数据流跟踪功能 4、发送测试数据包或让小部分流量穿越防火墙 5、undebug all 关闭所有debug功能
6、get dbuf stream 检查防火墙对符合过滤条件数据包的分析结果 7、unset ffilter 清除防火墙debug过滤列表 8、clear dbuf 清除防火墙缓存的debug信息 9、get debug 查看当前debug设置 7.6.2 Snoop
Snoop:捕获进出防火墙的数据包,与Sniffer嗅包软件功能类似。
1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx 设置过滤列表,定义捕获包的范围
2、clear dbuf 清除防火墙内存中缓存的分析包 3、snoop 开启snoop功能捕获数据包 注:snoop内有双方向抓包的命令,可以添加。 4、发送测试数据包或让小部分流量穿越防火墙 5、snoop off 停止snoop
6、get db stream 检查防火墙对符合过滤条件数据包的分析结果 7、snoop filter delete 清除防火墙snoop过滤列表 8、clear dbuf 清除防火墙缓存的debug信息 9、snoop info 查看snoop设置
第 40 页 共 53 页