Juniper防火墙维护手册 下载本文

《Juniper维护手册》深圳发展银行

get alarm event 检查设备告警信息,其中将包含NSRP状态切换信息

4.2、策略配置与优化(Policy)

防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。 策略配置与维护需要注意地方有:

试运行阶段最后一条策略定义为所有访问允许并作log,以便在不影响业务的情况下找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后一条定义为所有访问禁止并作log,以便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最后一条“禁止所有访问”策略删除。

防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面。

策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。另外,对于策略配置中的Count(流量统计)选项,如非必要建议在业务时段不使用。

简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表

45

《Juniper维护手册》深圳发展银行

简洁和简短,规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。

策略用于区段间单方向网络访问控制。如果源区段和目的区段不同,则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断,则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略,则安全设备会检查全局策略表以查找匹配策略。

MIP/VIP地址属于全局区段地址,配置策略时建议通过全局区段来配置MIP/VIP地址相关策略,MIP/VIP地址虽然可为其余区段调用,但由于其余区段的“any”地址并不包括全局区段地址,在定义策略时应加以注意,避免配置不生效的策略。

策略变更控制。组织好策略规则后,应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。

4.3、攻击防御(Screen)

Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击,一些流行的攻击手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墙在抵御这些攻击时,通过专用ASIC芯片来进行处理,适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它

46

《Juniper维护手册》深圳发展银行

选项,在开启这些防护功能前有几个因素需要考虑: 抵御攻击的功能会占用防火墙部分CPU资源;

自行开发的一些应用程序中,可能存在部分不规范的数据包格式; 网络环境中可能存在非常规性设计。

如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,则会影响正常网络处理的性能;如果自行开发的程序不规范,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的网络设计也会出现合法流量被屏蔽问题。

要想有效发挥Netscreen Screening攻击防御功能,需要对网络中流量和协议类型有比较充分的认识,同时要理解每一个防御选项的具体含义,避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式,一次仅启用一个防攻击选项,然后观察设备资源占用情况和防御结果,在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项: 设置防范DDoS Flood攻击选项

根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值,在防范DDoS的选项上添加20%的余量作为阀值。

如果要设置防范IP协议层的选项,需在深入了解网络环境后,再将IP协议和网络层的攻击选项逐步选中。

设置防范应用层的选项,在了解应用层的需求以及客户化程序的编程标准后,如不采用ActiveX控件,可以选择这些基于应用层的防攻击选项。

47

《Juniper维护手册》深圳发展银行

为检查网络中是否存在攻击流量,可以临时打开该区段screening顶部Generate Alarms without Dropping Packet选项,确认攻击类型后再将该选项去除。

在设置screening选项的过程中,应密切注意防火墙CPU的利用率,以及相关应用的使用情况;如果出现异常(CPU利用率偏高了或应用不能通过),则立刻需要取消相关的选项。

建议正常时期在untrust区启用防flood攻击选项,在办公用户区启用flood和应用层防护选项,在核心业务区不启用screening选项,仅在网络出现异常流量时再打开对应的防御功能。

4.4、特殊应用处理

4.4.1、长连接应用处理

在金融行业网络中经常会遇到长连接应用,基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下,Netscreen防火墙对每一个会话的连接保持时间是30分钟(TCP)和1分钟(UDP),超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值,以满足长连接应用的要求。配置常连接应用需注意地方有:

如果在长连接应用中已经设计了心跳维持机制(如每隔几分钟,客户端与服务端之间传送心跳以维持会话),此时无需防火墙上设置timeout时间,使用默认配置即可。

长连接应用中没有心跳机制时,通常情况下建议timeout值为36小

48