Juniper防火墙标准配置模板和日常维护建议v5

Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Juniper防火墙标准配置模板和日常维护建议Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›标准配置模板Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›时钟设置setclockdst-off#关闭夏时制setclockntp#启用ntp服务setclocktimezone8#设置为东八区setclocktimexxxx#设置设备本地时钟setntpserver“x.x.x.x“#设置ntp服务器地址setntpserverbackup1“y.y.y.ysetntpserverbackup2“z.z.z.zsetntpmax-adjustment0#允许任意时钟误差情况下都进行时间更新execntpupdate#手动执行NTP同步getntp#检查NTP同步状态（UpdateStatus:Idle表示没有同步）setntpno-ha-sync#关闭NSRP模式下的主备防火墙间的NTP同步Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Syslog配置setsyslogconfig“x.x.x.x“#设置syslog服务器地址setsyslogconfig“x.x.x.x”facilitieslocal7local0#指定alarmlevel（emergency、alert、critical）的日志送到local7，eventlevel（error、warning、notification、information、debug）的日志送到local0，具体local值请和syslog管理员协商setsyslogenable#启用syslog服务Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Zone配置setzone“zonename”vrouter“trust-vr““#所有zone都放在trust-vr路由表中unsetzone“zonename”tcp-rst#关闭不必要的tcp-rst功能。在启用tcp-syn-check环境下，tcp-rst将使防火墙丢弃不带syn的首包，并给源端发送reset报文Setzone“zonename”block#zone内部接口（子接口）间流量互访必须经过Policy检查setzone“zonename”screenlimit-sessionsource-ip-based“number”#对同一源地址的session数量进行限制,用于特定情况，对防火墙资源消耗有限Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Zone配置的特例#如果要求带外管理zone和数据通讯zone进行路由隔离(企业规范要求或地址冲突等原因)，则分别使用不同的路由表，进行路由隔离，一般情况不要如此配置，会增加维护复杂性setzone“MGT”vrouter“trust-vr”“#带外管理zone使用trust-vr路由表setzone“zonename”vrouter“untrust-vr“#数据通讯zone使用untrust-vr路由表Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›Interface配置setinterface“interfacename”route#所有端口都设置为route模式，默认情况下trustzone下的interface为nat模式，需要注意这一点setinterface“interfacename”ipx.x.x.x/xxsetinterface“interfacename”manage-ipx.x.x.y#需要区分NSRP主备机上的Syslog或SNMP或NTP或Telnet或Track-ip等管理流量的源IP时，所必须具备的前提setinterfaceredundant1primaryethernet2/1#如果配置了redundant端口则指定主用端口Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›nsrp配置setnsrpclusterid1setnsrpvsd-groupid0priority50#主防火墙优先级setnsrpvsd-groupid0priority100#备防火墙优先级要求配置双HA接口，不需要secondnsrpinterfaceCopyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›nsrpRTO配置setnsrprto-mirrorsync#同步各种RTO对象unsetnsrprto-mirrorsessionping#取消ICMPsession的同步，一般认为ICMPsession不是业务连接，不需要同步Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›nsrpfailover功能配置setnsrpmonitorinterface“interfacename”#在device级别设置端口监控•setnsrpmonitortrack-ipip#启用track-ip功能•setinterface“interfacename”manage-ipz.z.z.z#启用track-ip功能必须设置端口的管理地址setnsrpmonitortrack-ipipx.x.x.xthreshold5#设置trackip地址和连续丢包的阈值为5，降低误报的可能性setnsrpmonitortrack-ipipx.x.x.xmethodarp#x.x.x.x是本地设备地址，用arp方法检查，y.y.y.y是远端设备地址，用ping方法检查setnsrpmonitortrack-ipipx.x.x.xweight150setnsrpmonitortrack-ipipy.y.y.ythreshold5#要求同时设置两个以上的track-ip地址，单一地址可能出现误切换setnsrpmonitortrack-ipipy.y.y.yweight150#要求x.x.x.x和y.y.y.y这两个地址是在防火墙同一侧的两台设备，只有当这两个地址同时ping或arp不通时，产生权重300255,防火墙才会failover切换，降低误报的可能性禁止使用类似setnsrpvsd-groupid0monitorxxx这种vsd-group级别的监控功能，这会导致device级别的监控配置失效Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›flow配置•setflowsyn-proxysyn-cookie#仅适用于0S5.4以上版本•unsetflowtcp-syn-check#不做TCPsyn检查，如果是新增防火墙，则建议启用以提高安全性，但是启用NAT时则一定会做syn检查•setflowno-tcp-seq-check#不做TCP序列号检查•可以通过getflow来确认结果：OS5.0版本的结果：CheckTCPSYNbitbeforecreatesession:NoSkipsequencenumbercheckinstatefulinspection:YESOS5.4以上版本的结果：•CheckTCPSYNbitbeforecreatesession&refreshsessiononlyaftertcp3wayhandshake:NO•CheckTCPSYNbitbeforecreatesession:NO•Skipsequencenumbercheckinstatefulinspection:YESCopyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›ALG配置unsetalgmgcpenableunsetalgsccpenableunsetalgsunrpcenableunsetalgmsrpcenableunsetalgrtspenableunsetalgsipenableunsetalgh323enable#关闭所有不需要的ALG，不同OS版本ALG数量不同，setalg?看有哪些具体ALG，一般情况下FTP、SQL等常用ALG建议保留，如果需要禁用的话可以在policy级别禁用Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›arp配置•setarpalways-on-dest•其目的是通过防火墙arp表来获得session表中的返回数据包的MAC地址，而不是通过in包的MAC地址作为返回数据包的MAC地址，这可以规避有些双机协议、负载分担协议等存在的设计缺陷。•但是需要注意一种可能存在的风险，就是已经在线的防火墙，并且没有配置缺省路由，在没有session中的源地址的路由条目的情况下，session原来也是可以建立并转发的，一旦设置了这条命令会引起这种session的中断。•注意在OS6.0上，•“setarpalways-on-dest”映射为“setflowreverse-routeclear-textalways”•“unsetarpalways-on-dest”映射为“setflowreverse-routeclear-textprefer”Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›不要随意添加额外的功能，如：nsrppreemptnsrpsecondary-pathnsrpha-linkprobe等等对其它系统默认参数的调整也是严格禁止的Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›日常维护建议Copyright©2007JuniperNetworks,Inc.ProprietaryandConfidential‹#›SNMP网管监控1nsResCpuLast1Min：最近1分钟CPU利用率（1.3.6.1.4.1.3224.16.1.2）－每分钟采样nsResSessAllocate：当前session数（1.3.6.1.4.1.3224.16.3.2）－每分钟采样nsResMemLeft：剩余内存（1.3.6.1.4.1.3224.16.2.2）－每5分钟采样nsResMemFrag：MemFrag（1.3.6.1.4.1.3224.16.2.3)－每5分钟采样根据实际经验设置告