juniper防火墻常用維護(hù)指南

1、screenscreen防火墻日常維護(hù)指南防火墻日常維護(hù)指南一、綜述.3二、screen防火墻日常維護(hù).3常規(guī)維護(hù)：.3應(yīng)急處理.7總結(jié)改進(jìn).8故障處理工具.9三、screen冗余協(xié)議（NSRP）.10NSRP部署建議.10NSRP常用維護(hù)命令.11四、策略配置與優(yōu)化（Policy）.12五、攻擊防御（Screen）.13五、特殊應(yīng)用處理.15長(zhǎng)連接應(yīng)用處理.15不規(guī)范TCP應(yīng)用處理.16VOIP應(yīng)用處理.16附錄：JUNIPER防火墻

2、Case信息表.17SessionSession：如已使用的Session數(shù)達(dá)到或接近系統(tǒng)最大值，將導(dǎo)致新Session不能及時(shí)建立連接，此時(shí)已經(jīng)建立Session的通訊雖不會(huì)造成影響；但僅當(dāng)現(xiàn)有session連接拆除后，釋放出來的Session資源才可供新建連接使用。維護(hù)建議：當(dāng)Session資源正常使用至85％時(shí)，需要考慮設(shè)備容量限制并及時(shí)升級(jí)，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU:CPU:screen是基于硬件架構(gòu)的高性能防火

3、墻，很多計(jì)算工作由專用ASIC芯片完成，正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在50%以下，如出現(xiàn)CPU利用率過高情況需給予足夠重視，應(yīng)檢查Session使用情況和各類告警信息，并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU利用率過高往往與攻擊有關(guān)，可通過正確設(shè)置screening對(duì)應(yīng)選項(xiàng)進(jìn)行防范。Memy:Memy:Screen防火墻對(duì)內(nèi)存的使用把握得十分準(zhǔn)確，采用“預(yù)分配”機(jī)制，空載時(shí)內(nèi)存使用率為約5060%，隨著流量不斷增長(zhǎng)，內(nèi)存

4、的使用率應(yīng)基本保持穩(wěn)定。如果出現(xiàn)內(nèi)存使用率高達(dá)90％時(shí)，需檢查網(wǎng)絡(luò)中是否存在攻擊流量，并察看為debug分配的內(nèi)存空間是否過大（getdbufinfo單位為字節(jié)）。2、在業(yè)務(wù)使用高峰時(shí)段檢查防火墻關(guān)鍵資源（如：Cpu、Session、Memy和接口流量）等使用情況，建立網(wǎng)絡(luò)中業(yè)務(wù)流量對(duì)設(shè)備資源使用的基準(zhǔn)指標(biāo)，為今后確認(rèn)網(wǎng)絡(luò)是否處于正常運(yùn)行狀態(tài)提供參照依據(jù)。當(dāng)session數(shù)量超過平?；鶞?zhǔn)指標(biāo)20％時(shí)，需檢查session表和告警信息，檢