防火墙日常维护和故障响应常规维护•获得基本信息•检查NSRP状态•提高预警水平•策略配置与优化•攻击防御•特殊应用处理•整理业务拓扑和记录•搭建模拟环境常规维护-获得系统基本信息•Getsys-cfg:了解系统的各种缺省参数设置•Getclock:确定系统时间•getsessioninfo:85%•Getsession:查看session列表•Getperformancesessiondetail:查看session的历史记录•getsessionidnumber:查看session细节•getperformancecpu:50%•getperformancecpudetail:查看CPU历史记录•getperformancecpualldetail常规维护-获得系统基本信息•Getmemory:采用“预分配”机制,90%•Getinterface:查看端口细节•Getroute:查看路由表•Getlogevent:查看普通事件记录•Getalarmevent:查看告警事件记录可以通过《Netscreen防火墙日志信息速查表.pdf》检索所关心的日志信息的具体含义。•Getchassis:查看防火墙硬件板卡状态和温度等常规维护-检查NSRP状态•execnsrpsyncglobal-configcheck-sum检查双机配置命令是否同步•execnsrpsyncglobal-configsave如双机配置信息没有自动同步,请手动执行此同步命令,需要重启系统。•getnsrp查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。•Execnsrpsyncrtoallfrompeer手动执行RTO信息同步,使双机保持会话信息一致•getalarmevent检查设备告警信息,其中将包含NSRP状态切换信息常规维护-检查NSRP状态•execnsrpvsd-group0modebackup手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。•execnsrpvsd-group0modeineligible手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。•setfailoveron/setfailoverauto启用并容许冗余接口自动切换•execfailoverforce手动执行将主用端口切换为备用端口。•execfailoverrevert手动执行将备用端口切换为主用端口。常规维护-提高预警水平•以CPU监控为例,在SNMP网管中可以实时监控获得CPU负载性能曲线,在此基础上可以设置多个报警阈值,如设置五级报警,分别在CPU负载50%、60%、70%、80%、90%时报警,这样可以实现一种“预报警”的功能,在对网络通讯产生严重影响之前就能主动进行响应,提高系统的可靠性。常规维护-提高预警水平•nsResCpuAvg:当前CPU利用率(1.3.6.1.4.1.3224.16.1.1)•nsResCpuLast1Min:最后1分钟CPU利用率(1.3.6.1.4.1.3224.16.1.2)•nsResSessAllocate:当前session数(1.3.6.1.4.1.3224.16.3.2)•IfEntry:RFC1213端口属性表(1.3.6.1.2.1.2.2.1)。其中重点监控表中的ifOperStatus、ifInOctets、ifInUcastPkts、ifInNUcastPkts、ifInDiscards、ifInErrors、ifInUnknownProtos、ifOutOctets、ifOutUcastPkts、ifOutNUcastPkts、ifOutDiscards、ifOutErrors、ifOutQLen•nsrpRtoCounterEntry:NSRP双机冗余协议RTO对象计数统计(1.3.6.1.4.1.3224.6.3.3.3.1),,其中重点监控表中的session的建立、清除和变化性能曲线(nsrpRtoCounterName中的SESS_CR、SESS_CL和SESS_CH三项的变化速率曲线)•nsrpVsdMemberStatus:NSRP双机冗余协议成员状态(1.3.6.1.4.1.3224.6.2.2.1.3)常规维护-提高预警水平追踪处理流程:•安全事件预告警(CPU、Session)•检查各条策略的流量或者session数增长是否异常•确定对应的异常流量的地址范围•Debug或者Sniffer分析常规维护-策略配置与优化•Log(记录日志)•Count(流量统计)•地址组和服务组•策略和对象的删除•区段间策略、区段内策略和全局策略•MIP/VIP地址属于全局区段地址•策略变更控制•execpolicyverify•execpolicyverifyglobal常规维护-攻击防御(Screen)•抵御攻击的功能会占用防火墙部分CPU资源;•自行开发的一些应用程序中,可能存在部分不规范的数据包格式;•网络环境中可能存在非常规性设计•防攻击选项的启用需要采用逐步逼近的方式•GenerateAlarmswithoutDroppingPacket选项常规维护-特殊应用处理•Setserviceservicenametimeoutnumber•unsetflowtcp-syn-check•setalgh323disable•SetpolicyidXfromtrusttountrustanyanyh.323permit•SetpolicyidXapplicationignore常规维护-整理业务拓扑和记录•深入理解网络中业务类型和流量特征,持续优化防火墙策略。整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。•整理一份上下行交换机配置备份文档(调整其中的端口地址和路由指向),提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。•在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。常规维护-整理业务拓扑和记录•重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故障隐患。•建立设备运行档案,为配置变更、事件处理提供完整的维护记录,定期评估配置、策略和路由是否优化。•故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:NSRP集群中设备出现故障,网线故障及交换机故障时的路径保护切换。常规维护-搭建模拟环境•通过实验来学习、理解和验证应急响应•数据包处理流程•快速检查和保留故障信息•NSRP应急操作•防火墙旁路•Debug•Snoop•Sniffer应急响应-数据包处理流程应急响应-快速检查和保留故障信息•getclock:获得分析记录的时间点•gettech:获得基本信息,寻求TAC支持•getlogsystem:检查系统模块日志•getlogsyssaved:检查系统模块存储的日志,用于系统crash情况下的dumped数据分析•getsessioninfo:检查session数•getperformancesessiondetail:检查session生成的历史记录•getperformancecpualldetail:检查双cpu负载的历史记录•getmemory:检查free内存容量•getmemorychunk:检查内存分配情况应急响应-快速检查和保留故障信息•getostask:检查系统进程•getnet-pakstats:数据包统计分析•getsocket:检查防火墙开放端口•getpport:检查端口地址转换•getgate:检查网关应用•gettcp:检查TCP连接•getinterface:检查端口状态•getevent:=getalarmevent+getlogevent应急响应-NSRP应急操作应急响应-NSRP应急操作•getnsrp•execnsrpvsd-group0modebackup应急处理-防火墙旁路•通过备份的路由器或三层交换机进行旁路处理,但是不要关闭防火墙。应急处理-Debug•跟踪防火墙对指定包的处理•TrafficNotPassing-debugflowbasic•VPNNotWorking-debugikedetail•EverythingElse!-debug?应急处理-Debug•Setffiltersrc-ipx.x.x.xdst-ipx.x.x.xdst-portxx设置过滤列表,定义捕获包的范围•cleardbuf:清除防火墙内存中缓存的分析包•debugflowbasic:开启debug数据流跟踪功能•发送测试数据包或让小部分流量穿越防火墙•undebugall:关闭所有debug功能•getdbufstream:检查防火墙对符合过滤条件数据包的分析结果•unsetffilter:清除防火墙debug过滤列表•cleardbuf:清除防火墙缓存的debug信息•getdebug:查看当前debug设置应急处理-Debug******997629.0:Trust/trustpacketreceived[60]******ipid=5359(14ef),@03c9f550packetpassedsanitycheck.trust:192.168.100.205/4608-172.27.10.251/512,1(8/0)Rootchoseinterfacetrustasincomingnatif.searchrouteto(trust,192.168.100.205-172.27.10.251)invrtrust-vrforvsd-0/flag-0/ifp-null[Dest]2.route172.27.10.251-0.0.0.0,tountrustrouted(172.27.10.251,0.0.0.0)fromtrust(trustin0)tountrustpolicysearchfromzone2-zone1NoSWRPCrulematch,searchHWrulePermittedbypolicy9Nosrcxlatechooseinterfaceuntrustasoutgoingphyifnolooponifpuntrust.sessionapplicationtype0,nameNone,timeout60secservicelookupidentifiedservice0.Session(id:818)createdforfirstpak1routeto172.27.10.251arpentryfoundfor172.27.10.251nsp2wingprepared,readycachemacinthesessionflowgotsession.flowsessionid818postaddrxlation:192.168.100.205-172.27.10.251.应急处理-Debug******997629.0:Untrust/untrustpacketreceived[60]******ipid=29278(725e),@03c391d0packetpassedsanitycheck.untrust:172.27.10.251/512-192.168.100.205/4608,1(0/0)Rootexistingsessionfound.sesstoken3flowgotsession.flowsessionid818postaddrxlation:172.27.10.251-192.168.100.205.IKEDebuggerBasics•Forsimplicity,trytoonlyinitiateonly1IKEtunnelatatime.•ToturnthedebuggerO