Juniper Netscreen 防火墙维护指南

JUNIPER防火墙配置维护目录第1章防火墙的基本知识及概念 (1)第2章安装步骤 (2)2.1初始化配置 (2)2.2端口设置 (4)2.2.1 设置HA端口 (4)2.2.2 连接接口设置 (5)2.2.3 Internet接口设置。

(6)2.2.4 设置redundant 冗余接口 (7)2.2.5 建立red1冗余接口的成员 (8)2.3设置路由 (9)2.3.1 路由表选择 (9)2.3.2 增加默认路由 (10)2.3.3 增加内部网络的路由 (11)2.4NA T设置 (11)2.4.1 设置Internet网端的NAT (11)2.4.2 设置10.0.0.0网端的地址翻译 (14)2.5端口服务 (15)2.6定义策略 (18)2.6.1 设置10.0.0.0网端访问防火墙内部业务处理机服务器的策略 (18)2.6.2 内部网络访问外部网络的策略定义 (21)2.7双机冗余NSRP配置 (22)2.7.1 激活NSRP (22)2.7.2 设置VSD Group (23)2.7.3 同步 (23)2.7.4 监控端口 (24)2.7.5 同步另一台配置 (25)2.8账号管理 (26)2.9配置文件备份 (27)2.10版本升级步骤 (29)第1章防火墙的基本知识及概念摘要：本章内容介绍防火墙基本知识和概念。

安全区是由一个或多个网段组成的集合，需要通过策略来对入站和出站信息流进行调整安全区是绑定了一个或多个接口的逻辑实体。

1．通过多种类型的NetScreen设备，用户可以定义多个安全区，确切数目可根据网络需要来确定。

除用户定义的区段外，用户还可以使用预定义的区段：Trust、Untrust和DMZ（用于第3层操作），或者V1-Trust、V1-Untrust和V1-DMZ（用于第2层操作）。

2．如果愿意，可以继续使用这些预定义区段。

也可以忽略预定义区段而只使用用户定义的区段。

J u n i p e r防火墙日常维护公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]Juniper防火墙日常维护手册（v ）版本说明目录1. 日常操作查看硬件信息（1）ScreenOS在CLI下命令为：get chassis示例：JP1000A-> get chassisChassis Environment:Power Supply: GoodFan Status: GoodCPU Temperature: 98'F ( 37'C)Slot Information:Slot Type S/N Assembly-No Version Temperature0 System Board 01000999 0066-004 F01 86'F (30'C), 87'F (31'C)4 Management 00000999 0049-004 D19 98'F (37'C)5 ASIC Board 002079351g110017 0065-002 B00Marin FPGA version 9, Jupiter ASIC version 1, Fresno FPGA version 110I/O BoardSlot Type S/N Version FPGA version2 4 port miniGBIC (0x3) 01000999 B02 261 4 port 10/100/1000T 38Alarm Control Information:Power failure audible alarm: disabledFan failure audible alarm: disabledLow battery audible alarm: disabledTemperature audible alarm: disabledNormal alarm temperature is 132'F (56'C)Severe alarm temperature is 150'F (66'C)（2）JunOS在CLI - 操作模式下命令为：show chassis hardware示例：syro@JP650A> show chassis hardwareHardware inventory:Item Version Part number Serial number Description Chassis AJ4309AA0999 SRX650Midplane REV 08 710-023875 AAAS7310System IO REV 08 710-023209 AAAS9446 SRXSME System IO Routing Engine REV 14 750-023223 AAAW4729 RE-SRXSME-SRE6 FPC 0 FPCPIC 0 4x GE Base PIC FPC 2 REV 07 750-026182 AAAS7999 FPCPIC 0 16x GE gPIM Power Supply 0 Rev 03 740-024283 TH01999 PS 645W AC Power Supply 1 Rev 03 740-024283 TH01099 PS 645W AC查看OS信息（1）ScreenOS在CLI下命令为：get system示例：JP1000A-> get systemProduct Name: NetScreen-ISG1000Serial Number: 01000999, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP () Software Version: Type: Firewall+VPNOS Loader Version: by build_master at: Wed Apr 28 23:08:24 PDT 2010 Base Mac: Name: default (screenos_image), Checksum: de317771, Total Memory: 1024MBDate 01/01/2013 11:50:43, Daylight Saving Time disabledThe Network Time Protocol is EnabledUp 3286 hours 23 minutes 35 seconds Since 17Aug2012:13:27:08Total Device Resets: 0（2）JunOS在CLI - 操作模式下命令为：show system software示例：syro@JP650A> show system softwareInformation for junos:Comment:JUNOS Software Release [ 查看CPU/SPU使用率信息查看CPU/SPU使用率信息（1）ScreenOS —— CPU在CLI下命令为：get performance cpu示例：JP1000A-> get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%（2）JunOS —— SPU当SPU使用率达到60%就要引起关注，可能网络或设备有异常。

Juniper防火墙日常维护手册（v 20131112）版本说明目录版本说明 (2)目录 (3)1. 日常操作 (5)1.1 查看硬件信息 (5)1.2 查看OS信息 (6)1.3 查看CPU/SPU使用率信息 (7)1.3.1 查看CPU/SPU使用率信息 (7)1.3.2 查看每秒CPU使用率 (9)1.4 查看内存使用率 (12)1.5 SRX RE CPU使用率/内存使用率信息（仅JunOS适用） (14)1.6 查看Session会话信息 (16)1.6.1 查看会话总数 (16)1.6.2 查看每秒新建会话数量 (18)1.6.3 查看防火墙所有会话条目 (20)1.6.4 按过滤条件查看会话 (21)1.6.5 查看会话详细内容 (23)1.6.6 保存防火墙所有会话条目 (25)1.7 查看警告日志 (26)1.8 查看事件日志——ScreenOS (27)1.8.1 查看所有事件日志（仅ScreenOS适用） (27)1.8.2 按事件级别过滤查看事件日志（仅ScreenOS适用） (27)1.8.3 按时间过滤查看事件日志（仅ScreenOS适用） (28)1.9 查看事件日志——JunOS (29)1.10 查看策略流量日志 (30)1.11 查看/备份配置 (32)1.12 查看接口状态 (34)1.12.1 查看所有接口状态 (34)1.12.2 查看单一接口详情 (36)1.13 查看ARP表 (38)1.14 查看路由 (39)1.14.1 查看全部路由 (39)1.14.2 查看特定目标地址的路由 (40)1.15 查看策略 (41)1.15.1 查看所有策略 (41)1.15.2 查看单条策略的详细内容 (42)1.16 查看防火墙主备状态 (43)1.17 查看集群接口状态（仅JunOS适用） (44)1.18 查看配置同步状态（仅ScreenOS适用） (45)1.19 常用排错命令 (46)1.19.1 ping (46)1.19.2 telnet (48)1.19.3 trace route (49)1.19.4 收集support信息 (50)1.20 按过滤条件查看各类信息 (52)2. 应急操作 (53)2.1 清除指定IP的ARP记录 (53)2.2 清除指定源IP/目的IP的会话记录 (53)2.3 关闭和开启端口 (54)2.3.1 关闭端口 (54)2.3.2 开启端口 (54)2.4 防火墙主备状态切换 (55)2.5 同步会话（仅ScreenOS适用） (56)2.6 重启设备 (56)3. 日常维护周期策略 (57)3.1 日巡检维护建议 (57)3.2 周巡检维护建议 (58)3.3 月巡检维护建议 (58)3.4 不定期维护建议 (59)1. 日常操作1.1 查看硬件信息（1）ScreenOS在CLI下命令为：get chassis示例：JP1000A-> get chassisChassis Environment:Power Supply: GoodFan Status: GoodCPU Temperature: 98'F ( 37'C)Slot Information:Slot Type S/N Assembly-No Version Temperature0 System Board 0993072011000999 0066-004 F01 86'F (30'C), 87'F (31'C)4 Management 0099082011000999 0049-004 D19 98'F (37'C)5 ASIC Board 002079351g110017 0065-002 B00Marin FPGA version 9, Jupiter ASIC version 1, Fresno FPGA version 110I/O BoardSlot Type S/N Version FPGA version2 4 port miniGBIC (0x3) 0994092011000999 B02 261 4 port 10/100/1000T 38Alarm Control Information:Power failure audible alarm: disabledFan failure audible alarm: disabledLow battery audible alarm: disabledTemperature audible alarm: disabledNormal alarm temperature is 132'F (56'C)Severe alarm temperature is 150'F (66'C)（2）JunOS在CLI - 操作模式下命令为：show chassis hardware示例：syro@JP650A> show chassis hardwareHardware inventory:Item Version Part number Serial number Description Chassis AJ4309AA0999 SRX650 Midplane REV 08 710-023875 AAAS7310System IO REV 08 710-023209 AAAS9446 SRXSME System IO Routing Engine REV 14 750-023223 AAAW4729 RE-SRXSME-SRE6 FPC 0 FPCPIC 0 4x GE Base PIC FPC 2 REV 07 750-026182 AAAS7999 FPCPIC 0 16x GE gPIM Power Supply 0 Rev 03 740-024283 TH01999 PS 645W AC Power Supply 1 Rev 03 740-024283 TH01099 PS 645W AC1.2 查看OS信息（1）ScreenOS在CLI下命令为：get system示例：JP1000A-> get systemProduct Name: NetScreen-ISG1000Serial Number: 0993072011000999, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 6.1.0r7-cu12.0, Type: Firewall+VPNOS Loader Version: 1.0.2Compiled by build_master at: Wed Apr 28 23:08:24 PDT 2010Base Mac: 0026.889b.fa80File Name: default (screenos_image), Checksum: de317771, Total Memory: 1024MBDate 01/01/2013 11:50:43, Daylight Saving Time disabledThe Network Time Protocol is EnabledUp 3286 hours 23 minutes 35 seconds Since 17Aug2012:13:27:08Total Device Resets: 0（2）JunOS在CLI - 操作模式下命令为：show system software示例：syro@JP650A> show system softwareInformation for junos:Comment:JUNOS Software Release [10.4R10.7]1.3 查看CPU/SPU使用率信息1.3.1 查看CPU/SPU使用率信息（1）ScreenOS ——CPU在CLI下命令为：get performance cpu示例：JP1000A-> get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%（2）JunOS ——SPU当SPU使用率达到60%就要引起关注，可能网络或设备有异常。

【关键字】设置Juniper防火墙简明实用手册（版本号：V1.0）目录1juniper中文参考手册重点章节导读版本：Juniper防火墙5.0中文参考手册，内容非常庞大和繁杂，其中很多介绍和功能实际应用的可能性不大，为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作，下面简单对参考手册中的重点章节进行一个总结和概括，掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。

1.1 第二卷：基本原理1.1.1第一章：ScreenOS 体系结构●安全区●安全区接口●策略1.1.2第二章：路由表和静态路由●配置静态路由1.1.3第三章：区段●安全区●配置安全区●功能区段：HA区段1.1.4第四章：接口●接口类型：安全区接口：物理●接口类型：安全区接口：功能区段接口●察看接口●配置安全区接口：将接口绑定到安全区、从安全区解除接口绑定、修改接口、跟踪IP地址●二级IP地址1.1.5第五章：接口模式●透明模式●NAT模式●路由模式1.1.6第六章：为策略构建块●地址：地址条目、地址组●服务：预定义的服务、定制服务●DIP池：端口地址转换、范例：创建带有PAT的DIP池、范例：修改DIP池、扩展接口和DIP●时间表1.1.7第七章：策略●三种类型的策略●策略定义●策略应用1.1.8第八章：地址转换●地址转换简介●源网络地址转换●目的网络地址转换●映射IP 地址●虚拟IP地址1.1.9第十一章：系统参数●下载/上传设置和固件●系统时钟1.2 第三卷：管理1.2.1第一章：管理●通过WEB 用户界面进行管理●通过命令行界面进行管理●管理的级别：根管理员、可读/ 写管理员、只读管理员、定义Admin用户●保证管理信息流的安全：更改端口号、更改Admin 登录名和密码、重置设备到出厂缺省设置、限制管理访问1.2.2监控NetScreen 设备●储存日志信息●事件日志●信息流日志●系统日志1.3 第八卷：高可用性1.3.1NSRP●NSRP 概述●NSRP 和NETSCREEN 的操作模式●NSRP集群●VSD组●同步1.3.2故障切换●设备故障切换(NSRP)●VSD 组故障切换(NSRP)●为设备或VSD 组故障切换配置对象监控2Juniper防火墙初始化配置和操纵对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console 控制台和WEB。

Juniper防火墙日常维护手册（v 20131112）版本说明目录版本说明1目录21. 日常操作31.1 查看硬件信息31.2 查看OS信息51.3 查看CPU/SPU使用率信息61.3.1 查看CPU/SPU使用率信息61.3.2 查看每秒CPU使用率81.4 查看内存使用率111.5 SRX RE CPU使用率/内存使用率信息（仅JunOS适用）131.6 查看Session会话信息141.6.1 查看会话总数141.6.2 查看每秒新建会话数量161.6.3 查看防火墙所有会话条目191.6.4 按过滤条件查看会话201.6.5 查看会话详细内容221.6.6 保存防火墙所有会话条目231.7 查看警告日志241.8 查看事件日志—— ScreenOS251.8.1 查看所有事件日志（仅ScreenOS适用）251.8.2 按事件级别过滤查看事件日志（仅ScreenOS适用）261.8.3 按时间过滤查看事件日志（仅ScreenOS适用）271.9 查看事件日志—— JunOS271.10 查看策略流量日志281.11 查看/备份配置301.12 查看接口状态321.12.1 查看所有接口状态321.12.2 查看单一接口详情351.13 查看ARP表361.14 查看路由361.14.1 查看全部路由361.14.2 查看特定目标地址的路由381.15 查看策略381.15.1 查看所有策略381.15.2 查看单条策略的详细内容391.16 查看防火墙主备状态401.17 查看集群接口状态（仅JunOS适用）421.18 查看配置同步状态（仅ScreenOS适用）421.19 常用排错命令431.19.1 ping431.19.2 telnet451.19.3 trace route451.19.4 收集support信息471.20 按过滤条件查看各类信息482. 应急操作492.1 清除指定IP的ARP记录492.2 清除指定源IP/目的IP的会话记录492.3 关闭和开启端口502.3.1 关闭端口502.3.2 开启端口502.4 防火墙主备状态切换512.5 同步会话（仅ScreenOS适用）522.6 重启设备523. 日常维护周期策略523.1 日巡检维护建议523.2 周巡检维护建议533.3 月巡检维护建议543.4 不定期维护建议541.日常操作1.1查看硬件信息（1）ScreenOS在CLI下命令为：get chassis示例：JP1000A-> get chassisChassis Environment:Power Supply: GoodFan Status: GoodCPU Temperature: 98'F ( 37'C)Slot Information:Slot Type S/N Assembly-No Version Temperature0 System Board 0993072011000999 0066-004 F01 86'F (30'C), 87'F (31'C)4 Management 0099082011000999 0049-004 D19 98'F (37'C)5 ASIC Board 002079351g110017 0065-002 B00Marin FPGA version 9, Jupiter ASIC version 1, Fresno FPGA version 110I/O BoardSlot Type S/N Version FPGA version2 4 port miniGBIC (0x3) 0994092011000999 B02 261 4 port 10/100/1000T 38Alarm Control Information:Power failure audible alarm: disabledFan failure audible alarm: disabledLow battery audible alarm: disabledTemperature audible alarm: disabledNormal alarm temperature is 132'F (56'C)Severe alarm temperature is 150'F (66'C)（2）JunOS在CLI - 操作模式下命令为：show chassis hardware示例：syro@JP650A> show chassis hardwareHardware inventory:Item Version Part number Serial number DescriptionChassis AJ4309AA0999 SRX650Midplane REV 08 710-023875 AAAS7310System IO REV 08 710-023209 AAAS9446 SRXSME System IO Routing Engine REV 14 750-023223 AAAW4729 RE-SRXSME-SRE6 FPC 0 FPCPIC 0 4x GE Base PIC FPC 2 REV 07 750-026182 AAAS7999 FPCPIC 0 16x GE gPIM Power Supply 0 Rev 03 740-024283 TH01999 PS 645W AC Power Supply 1 Rev 03 740-024283 TH01099 PS 645W AC1.2查看OS信息（1）ScreenOS在CLI下命令为：get system示例：JP1000A-> get systemProduct Name: NetScreen-ISG1000Serial Number: 0993072011000999, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0), Type: Firewall+VPNCompiled by build_master at: Wed Apr 28 23:08:24 PDT 2010File Name: default (screenos_image), Checksum: de317771, Total Memory: 1024MBDate 01/01/2013 11:50:43, Daylight Saving Time disabledThe Network Time Protocol is EnabledUp 3286 hours 23 minutes 35 seconds Since 17Aug2012:13:27:08Total Device Resets: 0（2）JunOS在CLI - 操作模式下命令为：show system software示例：syro@JP650A> show system softwareInformation for junos:Comment:JUNOS Software Release []1.3查看CPU/SPU使用率信息1.3.1查看CPU/SPU使用率信息（1）ScreenOS —— CPU在CLI下命令为：get performance cpu示例：JP1000A-> get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%（2）JunOS —— SPU当SPU使用率达到60%就要引起关注，可能网络或设备有异常。

Netscreen 防火墙维护指南一、综述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。

本文对Netscreen防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Netscreen防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。

常规维护：在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解Netscreen防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。

1、日常维护过程中，需要重点检查以下几个关键信息：Session：如已使用的Session数达到或接近系统最大值，将导致新Session不能及时建立连接，此时已经建立Session的通讯虽不会造成影响；但仅当现有session连接拆除后，释放出来的Session资源才可供新建连接使用。

维护建议：当Session资源正常使用至85％时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。

CPU: Netscreen是基于硬件架构的高性能防火墙，很多计算工作由专用ASIC芯片完成，正常工作状态下防火墙CPU使用率应保持在50%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。

Juniper防火墙维护手册（版本号：V1.0）运营部网络管理室目录一、Juniper防火墙介绍51.1、NS5000系列5、NS54005、NS520051.2、ISG系列6、ISG20006、ISG100061.3、SSG500系列71.3.1 SSG 550M71.3.2 SSG 52071.4、SSG300系列81.4.1 SSG 350M81.4.2 SSG 320M81.5、SSG140系列91.5.1 SSG 14091.6、SSG5/20系列91.6.1 SSG 591.6.2 SSG 2010二、防火墙常用配置102.1 Juniper防火墙初始化配置和操纵102.2 查看系统概要信息142.3主菜单常用配置选项导航162.4 Configration配置菜单172.5 Update更新系统镜像和配置文件18更新ScreenOS系统镜像182.5.2 更新config file配置文件192.6 Admin管理202.7 Networks配置菜单222.7.1 Zone安全区227.2 Interfaces接口配置24查看接口状态的概要信息24设置interface接口的基本信息24设置地址转换26设置接口Secondary IP地址342.7.5 Routing路由设置342.8 Policy策略设置372.8.1 查看目前策略设置372.9创建策略382.10对象Object设置402.11 策略Policy报告Report41四、防火墙日常应用434.1、Netscreen 冗余协议（NSRP）43、NSRP部署建议：43常用维护命令444.2、策略配置与优化（Policy）454.3、攻击防御（Screen）464.4、特殊应用处理48、长连接应用处理48、不规范TCP应用处理49、VOIP应用处理49五、防火墙日常维护525.1、常规维护525.2、常规维护建议：555.3 应急处理56检查设备运行状态575.4、总结改进585.5、故障处理工具58六、Juniper防火墙设备恢复处理方法706.1设备重启动706.2操作系统备份706.3操作系统恢复716.4配置文件备份716.5配置文件恢复726.6恢复出厂值726.7硬件故障处理726.8设备返修（RMA）73一、Juniper防火墙介绍1.1、NS5000系列1.1.1、NS5400性能和处理能力30 Gbps 防火墙(>12G 64byte小包) 18MPPS 2 百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力10 Gbps 防火墙(>4G 64byte小包)1 百万同时会话数5 Gbps 3DES VPN25,000 IPSec VPN 通道1.2、ISG系列1.2.1、ISG2000性能和处理能力4 Gbps 状态监测防火墙任何大小的数据包2 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能：3 MPPS最大在线会话数：100万，每秒23,000个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小的数据包1 Gbps 3DES和AES IPSec VPN 任何大小数据包防火墙数据包转发性能：1.5 MPPS最大在线会话数：50万，每秒20,000个新会话1.3、SSG500系列SSG 550M4Gbps 的FW IMIX / 600K pps1Gbps 的FW IMIX / 500 Mbps IPSec VPN6个I/O 插槽–4个可插LAN口模块双电源，DC为选项，NEBS为选项12.8万个会话，1,000条VPN 隧道1.3.2 SSG 5202Gbps 的FW / 300K pps600 Mbps 的FW IMIX / 300 Mbps IPSEC VPN 6个I/O插槽–2个可插LAN口模块单一AC或DC电源6.4万个会话，500条VPN 隧道1.4、SSG300系列1.4.1 SSG 350M1.2 Gbps 的FW / 225K pps500 Mbps 的FW IMIX / 225 Mbps IPSec VPN 5个I/O 插槽9.6万个会话，每秒2.6万会话1.4.2 SSG 320M1.2 Gbps 的FW / 175K pps400 Mbps 的FW IMIX / 175 Mbps IPSec VPN 3个I/O插槽6.4万个会话，每秒2万会话1.5、SSG140系列1.5.1 SSG 140950Mbps 的FW/ 100K pps300 Mbps的Firewall IMIX / 100 Mbps IPSec VPN4个I/O插槽4.8万个会话，每秒8k会话1.6、SSG5/20系列1.6.1 SSG 5SSG 5 是一个固定规格的平台，提供160 Mbps 的状态防火墙流量和40 Mbps 的IPSec VPN 吞吐量。