Juniper防火墙维护管理手册.doc

Juniper防火墙维护管理手册 Juniper防火墙维护手册 （版本号：） 运营部网络管理室 目录 一、Juniper防火墙介绍 5 、NS5000系列 5 、NS5400 5 、NS5200 5 、ISG系列 6 、ISG2000 6 、ISG1000 6 、SSG500系列 7 SSG 550M 7 SSG 520 7 、SSG300系列 8 SSG 350M 8 SSG 320M 8 、SSG140系列 8 SSG 140 9 、SSG5/20系列 9 SSG 5 9 SSG 20 9 二、防火墙常用配置 10 Juniper防火墙初始化配置和操纵 10 查看系统概要信息 14 16 Configration配置菜单 17 Update更新系统镜像和配置文件 18 18 更新config file配置文件 19 Admin管理 20 Networks配置菜单 22 Zone安全区 22 Interfaces接口配置 24 24 24 26 IP地址 34 Routing路由设置 34 Policy策略设置 37 查看目前策略设置 37 38 40 策略Policy报告Report 41 四、防火墙日常应用 42 、Netscreen 冗余协议（NSRP） 42 、NSRP部署建议： 43 44 、策略配置与优化（Policy） 45 、攻击防御（Screen） 46 、特殊应用处理 48 、长连接应用处理 48 、不规范TCP应用处理 49 、VOIP应用处理 49 五、防火墙日常维护 51 、常规维护 52 、常规维护建议： 54 应急处理 56 56 、 总结改进 58 、 故障处理工具 58 六、 Juniper防火墙设备恢复处理方法 70 70 70 70 71 71 72 72 （RMA） 72 一、Juniper防火墙介绍 、NS5000系列 、NS5400 性能和处理能力 30 Gbps 防火墙 (>12G 64byte小包) 18MPPS 2 百万同时会话数 15 Gbps 3DES VPN 25,000 IPSec VPN 通道 、NS5200 性能和处理能力 10 Gbps 防火墙 (>4G 64byte小包) 1 百万同时会话数 5 Gbps 3DES VPN 25,000 IPSec VPN 通道 、ISG系列 、ISG2000 性能和处理能力 4 Gbps 状态监测防火墙任何大小的数据包 2 Gbps 3DES和AES IPSec VPN 任何大小数据包 防火墙数据包转发性能：3 MPPS 最大在线会话数：100万，每秒23,000个新会话 、ISG1000 性能和处理能力 2 Gbps 状态监测防火墙任何大小的数据包 1 Gbps 3DES和AES IPSec VPN 任何大小数据包 防火墙数据包转发性能： MPPS 最大在线会话数：50万，每秒20,000个新会话 、SSG500系列 SSG 550M 4Gbps 的 FW IMIX / 600K pps 1Gbps 的FW IMIX / 500 Mbps IPSec VPN 6个 I/O 插槽 – 4个可插 LAN口模块 双电源，DC为选项， NEBS为选项 ，1,000条VPN 隧道 SSG 520 2Gbps 的 FW / 300K pps 600 Mbps 的 FW IMIX / 300 Mbps IPSEC VPN 6个 I/O插槽 – 2个可插 LAN口模块 单一AC或DC电源 ，500条VPN 隧道 、SSG300系列 SSG 350M Gbps 的 FW / 225K pps 500 Mbps 的FW IMIX / 225 Mbps IPSec VPN 5个 I/O 插槽 ， SSG 320M Gbps 的 FW / 175K pps 400 Mbps 的FW IMIX / 175 Mbps IPSec VPN 3个 I/O插槽 ，每秒2万会话 、SSG140系列 SSG 140 950Mbps 的FW/ 100K pps 300 Mbps的Firewall IMIX / 100 Mbps IPSec VPN 4个 I/O插槽 ，每秒8k会话 、SSG5/20系列 SSG 5 SSG 5 是一个固定规格的平台，提供 160 Mbps 的状态防火墙流量和 40 Mbps 的 IPSec VPN 吞吐量。SSG 5 系列配备 7 个内部集成的 10/100 接口，并带有可选的固定广域网端口（ISDN BRI S/T、 或 RS-232 Serial/Aux）。 a/b/g 和多种无线特定的安全性支持是可选项，使 SSG 5 能够将安全性、路由和无线接入点整合到单个设备中。 SSG 20 SSG 20 是一个模块化平台，提供 160 Mbps 的状态防火墙流量和 40 Mbps 的 IPSec VPN 吞吐量。SSG 20 配备 5 个内部集成的 10/100 接口和 2 个 I/O 扩展插槽，可支持 I/O 卡，如ADSL2+、T1、E1、ISDN BRI S/T 以及 ，从而实现额外的广域网连接。 a/b/g和多种无线特定的安全性支持是可选项，使 SSG 20 能够将安全性、路由和无线接入点整合到单个设备中。 二、防火墙常用配置 Juniper防火墙初始化配置和操纵 对一台空配置的Juniper防火墙我们可以用两种方法去进行操纵：Console控制台和WEB。 Console控制台：使用Console线连接到Juniper的防火墙上的Console口，利用超级终端用CLI命令行界面进行配置。 使用WEB界面：Juniper防火墙上默认情况下在E1接口（trust） ；我们可以把自己的笔记本和防火墙的E1口用一根交叉线连接起来， ，。 通过IE或与IE兼容的浏览器（推荐应用微软IE浏览器）使用防火墙缺省IP地址登录防火墙（建议：保持登录防火墙的计算机与防火墙对应接口处于相同网段，直接相连）。 使用缺省IP登录之后，出现安装向导： 注：对于熟悉Juniper防火墙配置的工程师，可以跳过该配置向导，直接点选：No，skip the wizard and go straight to the WebUI management session instead，之后选择Next，直接登录防火墙设备的管理界面。 使用向导配置防火墙，请直接选择：Next，弹出下面的界面： “欢迎使用配置向导”，再选择Next。 注：进入登录用户名和密码的修改页面，Juniper防火墙的登录用户名和密码是可以更改的，这个用户名和密码的界面修改的是防火墙设备上的根用户，这个用户对于防火墙设备来说具有最高的权限，需要认真考虑和仔细配置，保存好修改后的用户名和密码。 注意1：Juniper防火墙接口的WEB管理特性默认只在E1接口（trust）口才启用，也就是说我们有可能无法通过用WEB登陆其他接口进行操纵，除非我们提前已经打开了相应接口的WEB管理选项。 注意2：如果Juniper防火墙上有配置，我们不知道目前E1接口的IP地址，我们可以先通过Console控制台用“get interface”的命令看一下目前E1口的IP地址。 注意3：Juniper防火墙OS ，也就是说我们的主机和E1口也可以用直通线进行互连，但这种方式有失效的时候，如果出现用交叉线互连物理也无法UP的情况，可以在Console控制台用 “ NS208-> delete file flash:/ns_sys_config”删除配置文件并重起防火墙的方式可以解决(Juniper的BUG)。 注：系统默认登陆用户名和口令都是：“netscreen”。 查看系统概要信息 使用WEB登陆防火墙的管理地址，进入GUI管理界面，如图所示。 左边是主配置菜单。 右边最上方是系统启动以及时间信息，右上角显示主机名。 Device information：设备信息，显示设备硬软件版本、序列号以及主机名。 Interface / VPN Link Status Monitoring：接口链路状态，显示接口所属区和链路UP/DOWN信息。 Resources Status：资源状况，显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。（其中注意内存使用率是不真实的，在系统空负荷的情况下内存占用率也会很高，是系统本身设计的问题）。 System Most Recent Alarms   /   Events：系统最近的报警和通告信息。 在主菜单中我们经常用到的配置菜单如下，后面将针对这些常用配置选项进行详细的介绍。 Configuration: Date/Time; Update; Admin; Auth; Infranet Auth; Report Settings; CPU Protection; Network: Binding; DNS; Zones; Interfaces; DHCP; ; Routing; NSRP; Vlan; Security: Screening; Web Filtering; Deep Inspection; Antivirus; ALG; Policy: Policies; MCast Policies; Policy Elements; VPNs: AutoKey IKE; AutoKey Advanced; Manual Key; L2TP; Monitor Status; Objects: Users; IP Pools; Certificates; GPRS: NSGP(Overbilling); Reports: System Log; Counters; Interface Bandwidth; Policies; Wizards: Policy; Route-based VPN; AC-VPN; 只要能够熟练掌握以上设置选项，就足以应对外网改造和日常维护的工作。 Configration配置菜单 准确设置Juniper防火墙的时钟主要是为了使LOG信息都带有正确的时间以便于分析和排错，设置时钟主要有三种方法。 用CLI命令行设置：set clock mm/dd/yyyy hh:mm:ss 。 用WEB界面使用和客户端本机的时钟同步：简单实用。 用WEB界面配置NTP和NTP服务器的时钟同步。 Update更新系统镜像和配置文件 用CLI命令行设置： save software from tftp filename to flash； 更新config file配置文件 用CLI命令行设置： save config from tftp filename to flash，配置文件上传后需执行reset命令进行重启。 在这个菜单中我们可以查看目前文本形式的配置文件，把目前的配置文件导出进行备份，以及替换和更新目前的配置。 注意单选框默认是点选在“Merge to Current Configration”即和目前配置融合的位置，而我们一般是要完全替换目前的配置文件的，因此一定要注意把单选框点击到“Replace Current Configration”。当进行配置替换的之后系统会自动重起使新配置生效。 TIP：进行配置的替换必须用ROOT用户进行登陆，用Read－Write用户进行登陆是无法进行配置的替换操纵的，只有融合配置的选项，替换目前配置的选项将会隐藏不可见，如下图所示： Admin管理 Administrators管理员账户管理 只有用根ROOT用户才能够创建管理员账户。 可以进行ROOT用户账户用户名和密码的更改，但此账户不能被删除。 可以创建只读账户和读写账户，其中读写账户可以对设备的大部分配置进行更改。 用CLI命令行设置： set admin user Smith password 3MAb99j2 privilege all set admin user read password 4DFB993J2 privilege read-only save Permitted IPs：允许哪些主机可以对防火墙进行管理 用CLI命令行设置： set admin manager-ip save Networks配置菜单 Zone安全区 查看目前的安全区设置 安全区内必须有物理接口才会有实际意义，每一个安全区同时可以包含多个物理接口，但每一个物理接口同时只能属于一个安全区。 几个系统默认的安全区和接口： 1：Trust区包含ETH1口 2：Untrust区包含ETH4口 3：DMZ区包含ETH3口 其他区必须进行手工创建并把相应物理接口放入安全区内。 虚拟路由我们统一选Trust-Vr，多个VR对我们没有太大意义，不建议使用。 创建新的安全区： 在输入安全区名称后其余选项均保持默认值即可。 用CLI命令行设置： set vrouter trust-vr zone XXXX Interfaces接口配置 接口概要显示接口的IP地址信息，所属安全区，接口类型和链路的状态。其中接口类型除非是防火墙使用透明模式，否则都会是Layer3三层的。 CLI : get interface 接口基本配置包括接口的IP地址掩码，是否可以被管理，接口的模式以及接口的管理特性选项。 最上面的几个链接是配置NAT地址转换以及IP跟踪等高级特性的。 下面那个其中需要大家配置的地方是设置此物理接口属于哪个安全区，从下拉框中点选，其他选项保持不变即可。 Staitc IP选择框是设置接口的IP地址和掩码信息的，其中有一个Mangeable的选项，只有选中我们才可以通过WEB或TELNET登陆此地址进行管理。Manage IP框保持为空的时候系统会自动把实际IP作为管理IP自动加上。 接口模式有路由模式和NAT模式： NAT模式：从此接口进入从其他口流出的流量源地址都会做转换，即使我们在策略中不引用转换地址池，源地址都会转换为出站的接口地址。 路由模式：除非我们在策略定义中明确引用了转换地址池，否则源地址都不会做转换。 由于路由模式比NAT模式更灵活，所以我们一般都会用路由模式。 ETH1口默认是NAT模式，一定要注意把其更改为Route路由模式。 Service options服务选项：设置此接口是否允许被PING，WEB或TELNET等方式进行管理，默认情况下ETH1（内网口）的都是打开的，而ETH4口(外网口)的WEB和TELNET管理选项是关闭的，也就是说如果我们想从外网登陆ETH4口的IP进行管理，必须把相应的WEB或TELNET选项点中。 最后的配置框可以保持默认值。 CLI: set interface redundent1 zone trust set interface redundent1 ip set interface redundent1 manage telnet set interface redundent1 manage web set interface redundent1 manage ping set interface redundent1 mode nat (trust zone 的接口都是nat mode) Juniper防火墙的地址转换有三种方式：MIP-静态一对一地址转换；VIP-虚拟一对多地址转换；DIP-动态多对多地址转换。 由于MIP和VIP地址转换有一些规则限制，比如要转换外网发起流量的源地址的时候，转换后的地址必须和ETH1内网口在同一个子网，否则无法配置。而DIP不受此规则的影响，同时可以完成MIP和VIP的功能，应用和设置比较灵活。 配置MIP静态地址映射的时候要注意转换后的虚拟地址要在数据流的出站接口上进行配置：例如流量从E1口入从E4口出，，，，也就是E4口上的。 新建MIP静态地址映射 当使用静态MIP地址映射时，对方发起的数据流的目的地地址要注意设置为MIP后的地址。 CLI: set interface ethernet1 mip host netmask vrouter trust-vr set policy from untrust to trust any mip() http permit DIP动态地址转换可以实现一对一，一对多，多对一和多对多的访问。 DIP地址池和MIP一样要设置在出站接口上来实现源地址的翻译。 DIP地址池可以和出站接口不再一个网段（使用扩展IP技术）。 如果访问是多对一的（多个客户端访问一个服务器），必须使用Port-Xlate端口转换特性（默认设置，建议都使用这种方式）。 如果DIP被策略引用则无法编辑和更改，必须先移除策略后才可以编辑。 创建新的DIP地址池： 如果DIP地址池和出站接口不在同一网段必须使用扩展IP特性，把选择框选择到下方“In the same as the extended ip”，并输入一个扩展IP的地址。 ，，。 扩展IP地址可以使用一个地址也可以用一个网段，推荐使用网段的方式。 同一DIP地址网段可以同时分布在多个接口上，、E2和E3口上。 但同一个DIP地址只能同时设置在一个接口上，，。 CLI: 1、NAT-DIP 带PAT功能 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 定义DIP set interface ethernet3 dip 5 定义策略 set policy from trust to untrust any any http nat src dip-id 5 permit save 2、NAT-DIP 不带PAT功能 接口 set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip DIP set interface ethernet3 dip 6 fix-port 策略 set policy from trust to untrust any any e-stock nat src dip-id 6 permit save 3、带有地址变换的 NAT-Src 接口 set interface ethernet1 zone trust set interface ethernet1 ip set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip DIP set interface ethernet3 dip 10 shift-from to 地址 set address trust host1 set address trust host2 set address trust host3 set address trust host4 set address trust host5 set group address trust group1 add host1 set group address trust group1 add host2 set group address trust group1 add host3 set group address trust group1 add host4 set group address trust group1 add host5 策略 set policy from trust to untrust group1 any http nat src dip-id 10 permit save IP地址 Routing路由设置 Juniper防火墙我们一般仅使用静态路由，静态路由的选路规则和路由器基本相同，例如最长掩码匹配优先，接口如果DOWN，相应静态条目会消失。 查看防火墙路由表设置 路由我们统一都设在trust-vr中（默认选项）。 只有带“*”号的才表示路由有效，等同于路由器show ip route的效果。 添加的路由条目只能删除，无法编辑。 CLI: get route （vrouter trust-vr/ untrust-vr） 创建新的路由条目 目标地址段可以写IP/掩码也可以写IP/前缀； 。 下一跳默认都是点在Next Hop Virtual Router Name；一定要注意改点到Gateway处，否则路由不生效。 接口和下一跳网关地址都要选择和输入。 CLI:set route next Policy策略设置 查看目前策略设置 可以选择查看从某个源安全区到某个目的安全区的策略，也可以选择从ALL到ALL来查看所有的策略。 Service是系统预定义或我们自定义的服务端口号。 Action动作是指策略是允许或拒绝，允许是一个对勾，拒绝是一个X，另外如果是绿色图表说明没有做源地址转换，蓝色图表说明做了源地址转换。 在Option下如果有一个小记事本的图表，说明我们要记录此数据流，当数据流通过时可以看到详细的地址转换情况。 生效：可以通过取消对勾让本策略暂时失效。 移动：可以调整策略查找的顺序，策略的查找和匹配默认是从上到下，我们可以通过移动来控制策略生效的顺序。 CLI : get policy (from zone to zone ) 源地址和目的地址如果以前曾经设置过，可以用下拉菜单进行选择，否则需要在New Address新地址栏进行输入。 如果地址曾经输入过，做策略时我们仍在New Address栏中进行输入，点击确定的时候系统会出现重复IP地址条目的提示信息，但不影响策略的设置。 入侵检测的配置如果自己不是特别了解应用的特性建议不要做任何配置，保持原有默认配置不变。 在进行调试时建议打开LOG记录，看是否有数据流通过及地址转换情况。 如果要进行源或目的地址的转换需要点击高级选项进入二级配置菜单。 源地址转换点击DIP下拉菜单后前面的选择框会自动选中。 目的地址转换必须手工点击选中前面的目标地址转换的选择框。 CLI: set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit set policy from dmz to untrust mail_svr r-mail_svr MAIL permit set policy from untrust to dmz r-mail_svr mail_svr MAIL permit 对象Object的设置主要是为了简化和方便策略的引用和设置，比如地址组和服务组等，下面我们重点介绍一下服务的设置。 服务其实就是给对方提供的一些协议端口号，其中大部分的常见服务设备已经提前设置好，比如web，telnet等等，但是一些非常用的端口号，比如TCP 8888等就需要我们自己进行自定义设置了。 查看自定义的服务：Policy > Policy Elements > Services > Custom 技巧：我们可以给服务一个名称，可用中文描述一个中间业务的名称，然后在策略里进行引用，这样在进行排错的时候我们就可以很方便地找到相应的策略，虽然我们也可以给策略一个名称，但在策略汇总表中是不显示出来的。 CLI: get service 创建一个新的服务 目标协议和端口号我们可以设置多个组合，例如TCP 8888＋UDP＋ICMP等 我们一般仅设置目标端口号，源端口号不做限制，例如我们要提供一个WWW的服务，类似设置就是： TCP 0 65535 80 80 如果设置允许ICMP的PING，可以设置为：ICMP 80 策略Policy报告Report 如果我们想看具体某一条策略是否有流量或流量的源地址、目的地址以及源和目的转换的情况我们可以在策略中点击记事本直接进行观看。 另外系统也提供一个汇总的方式让我们能够方便地观测所有策略的数据流的概要信息，比如在一个时刻都有哪些业务在运行，每种业务的数据量等等。 点击Reports－Polices： 如上图所示，我们可以直观地看到某个时刻都有哪些业务流在进行，灰色的记事本代表没有业务，蓝色的代表有业务数据流，点击蓝色记事本可以查看业务数据流的详细信息。 四、防火墙日常应用 、Netscreen 冗余协议（NSRP） NSRP协议提供了灵活的设备和路径冗余保护功能，在设备和链路发生故障的情况下进行快速切换，切换时现有会话连接不会受到影响。设计NSRP架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。 、NSRP部署建议： 基于端口和设备的冗余环境中，无需启用端口和设备级的抢占模式（preempt），避免因交换机端口不稳定而引发nsrp反复切换。 当配置两组或两组以上的防火墙到同一组交换机上时，每组nsrp集群应设置不同的cluster ID号，避免因相同的cluster ID号引发接口MAC地址冲突现象。 防火墙nsrp集群建议采用接口监控方式，仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。 在单台防火墙设备提供的session和带宽完全可以满足网络需求时，建议采用基于路由的Active-Passive主备模式，该模式组网结构清晰，便于维护和管理。 设备运行时应保证HA线缆连接可靠，为确保HA心跳连接不会出现中断，建议配置HA备份链路“secondary－path”。 NSRP许多配置参数是经过检验的推荐配置，通常情况下建议采用这些缺省参数。 get license-key 查看防火墙支持的feature，其中NSRPA/A模式包含了A/P模式，A/P模式不支持A/A模式。Lite版本是简化版，支持设备和链路冗余切换，不支持配置和会话同步。 exec nsrp sync global-config check-sum 检查双机配置命令是否同步 exec nsrp sync global-config save 如双机配置信息没有自动同步，请手动执行此同步命令，需要重启系统。 get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。 Exec nsrp sync rto all from peer 手动执行RTO信息同步，使双机保持会话信息一致 exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备没有启用抢占模式。 exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时，在主用设备上执行该切换命令，此时该主用设备已启用抢占模式。 set failover on/set failover auto启用并容许冗余接口自动切换 exec failover force 手动执行将主用端口切换为备用端口。 exec failover revert 手动执行将备用端口切换为主用端口。 get alarm event 检查设备告警信息，其中将包含NSRP状态切换信息 、策略配置与优化（Policy） 防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。 策略配置与维护需要注意地方有： 试运行阶段最后一条策略定义为所有访问允许并作log，以便在不影响业务的情况下找漏补遗；当确定把所有的业务流量都调查清楚并放行后，可将最后一条定义为所有访问禁止并作log，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。 防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。另外，对于策略配置中的Count(流量统计)选项，如非必要建议在业务时段不使用。 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。 策略用于区段间单方向网络访问控制。如果源区段和目的区段不同，则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断，则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略，则安全设备会检查全局策略表以查找匹配策略。 MIP/VIP地址属于全局区段地址，配置策略时建议通过全局区段来配置MIP/VIP地址相关策略，MIP/VIP地址虽然可为其余区段调用，但由于其余区段的“any”地址并不包括全局区段地址，在定义策略时应加以注意，避免配置不生效的策略。 策略变更控制。组织好策略规则后，应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。如果防火墙有多个管理员，建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。 、攻击防御（Screen） Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墙在抵御这些攻击时，通过专用ASIC芯片来进行处理，适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它选项，在开启这些防护功能前有几个因素需要考虑： 抵御攻击的功能会占用防火墙部分CPU资源； 自行开发的一些应用程序中，可能存在部分不规范的数据包格式； 网络环境中可能存在非常规性设计。 如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的性能；如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的网络设计也会出现合法流量被屏蔽问题。 要想有效发挥Netscreen Screening攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项： 设置防范DDoS Flood攻击选项 根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的选项上添加20％的余量作为阀值。 如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层的攻击选项逐步选中。 设置防范应用层的选项，在了解应用层的需求以及客户化程序的编程标准后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。 为检查网络中是否存在攻击流量，可以临时打开该区段screening顶部Generate Alarms without Dropping Packet选项，确认攻击类型后再将该选项去除。 在设置screening选项的过程中，应密切注意防火墙CPU的利用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应用不能通过），则立刻需要取消相关的选项。 建议正常时期在untrust区启用防flood攻击选项，在办公用户区启用flood和应用层防护选项，在核心业务区不启用screening选项，仅在网络出现异常流量时再打开对应的防御功能。 、特殊应用处理 、长连接应用处理 在金融行业网络中经常会遇到长连接应用，基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下，Netscreen防火墙对每一个会话的连接保持时间是30分钟（TCP）和1分钟（UDP），超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值，以满足长连接应用的要求。配置常连接应用需注意地方有： 如果在长连接应用中已经设计了心跳维持机制（如每隔几分钟，客户端与服务端之间传送心跳以维持会话），此时无需防火墙上设置timeout时间，使用默认配置即可。 长连接应用中没有心跳机制时，通常情况下建议timeout值为36小时。应用通常在工作时间建立连接，这样可在下班后时间拆除连接。 在配置 timeout值时，特别提醒不要使用“never timeout”（永不超时）的选项。该选项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长，建议配置一个具体的长时间段（如一周）。 、不规范TCP应用处理 正常TCP应用连接建立需要3次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似SYN没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为netscreen防火墙在默认情况下，对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况，在某些应用发生通讯障碍时，通过debug分析是否是防火墙拒绝了不严谨的TCP 包，确认后通过设置unset flow tcp-syn-check 的命令来使防火墙取消这种防范机制。 、VOIP应用处理 ，应用代理的作用是使防火墙能够理解应用通讯的内容，让防火墙能够从信令通道中提取出协商的端口信息，并在防火墙上动态的打开这些端口，在语音通讯结束后，再动态关闭这些临时端口。，容易造成防火墙在与各厂家VOIP系统互操作上存在兼容性问题，出现IP话机无法注册、语音连接无法建立、拨号时间较长等故障现象。解决方法两种： 1、set alg h323 disable ，。 2、Set policy id