Netscreen防火墙部署日志一例

network

Netscreen防火墙部署日志一例 发贴： 2007年9月29日 10:54:23		回帖
在一个实际运行的网络中，部署防火墙的考虑步骤，以及遇到的实际问题如下： 一、接口模式选择 常规的部署分2种模式：路由模式和透明（桥接）模式。采用路由模式需做IP地址的规划和路由的修改（静态、动态），在一个已运行的网络中，采用透明模式的部署速度明显更快。但是在实际的环境中运用透明模式，我们发现存在以下问题： A、Netscreen只能将接口放到不同的2层Zone，而不能在相同桥接组里面划分多个zone。也就是说，所以2层接口之间的关系犹如在同一个交换机上，所有广播会被泛洪道所有接口。最严重的一点，如果生成树控制不好的话，各个区域的交换机互相串通，对区域实施策略造成麻烦。 B、如下联的各个交换机划分不同的VLAN，并且控制生成树的开销，可以实现和上图相近的逻辑，但要注意对native VLAN的控制，要么就采用不同的Native VLAN，使之处于生成树Broken破坏状态。 很明显，这增加了维护的负担，恐怕也不利于扩展。 C、Netsceen支持虚拟防火墙，可能可以实现上图逻辑，但目前采用的系统并没有vsys的授权，无法测试。 D、实际运行中，发生Native VLAN不稳定状况，因事关生产网络，所以将防火墙剥离出网络后，即恢复正常。进一步准备部署采用接口路由模式。 二、路由方式选择 因接口已决定采用路由方式，进一步考虑穿过防火墙的路由可用静态或动态方式；如动态则和现网一致的OSPF，经测试运行正常。但是有以下问题注意： A、动态路由在负载均衡状态下，对等成本路径的使用是不确定，即可能发生往返路径不对称的情况。若区域下联只有单条路径，则不存在这个问题。如采用静态路由，控制也方便。经测试，在单个区域内有多条下联链路，即使不对等路径产生，防火墙仍能正常识别报文和工作，这证明防火墙本身已经考虑了这种运行情况的问题。 跨不同区域的不对称流量，经实际运行效果来看，仍然是有问题的。 B、因原设计存在上联不同区域的节点，因此只有将不同区域合并解决。 三、HA模式选择 防火墙之间的冗余有2种方式，1种是HA，即1主1备，1种是AA，即2台负载均衡。这2种方式均可行，但大部分采用的是HA。 因为路由为动态OSPF方式实现，因此HA的切换步骤为：1、监测端口down---〉2、HA切换----〉3、接口启用----〉4、形成新的OSPF邻居-----〉5、同步数据库，建立路由表。 在静态路由模式下，切换过程只丢1个报文，而在这种情况，在网络不稳定情况下，经测试要丢8-10个报文。但是我们也观察到，在OSPF稳定一段时间之后，再进行切换，只丢了1-2个报文，甚至没有任何丢失。这证明较新版本的OS通过HA线，在2台防火墙之间提前同步了OSPF数据库。 四、应用及服务连接设置 1、长连接问题 某些应用需要长时间的连接，即使没有活动，仍要保持连接的状态，而防火墙是基于状态的，一旦会话超时即拆除该会话。这需要收集端口，手动定义建立长连接服务。否则应用不稳定。 2、短连接问题 某些应用频繁发起连接，如果不缩短其会话保持时间，则会使防火墙的会话数爆涨，进而拖垮防火墙，本次采用的防火墙可支撑50万个会话，但在实际中，1台短连接的服务器不到1天时间就将其拖垮了。收集短连接的端口，设置为1分钟保持超时（这是netscreen支持最短时间）。 五、运行中的问题排查 上线后，我们遇到以下问题： 1、数据库连接 oracle部分连接不正常，9i和unix版本的均正常；较低的8.1.7的windows版本一旦穿过防火墙即无法建立连接，据查这需要打补丁，但明显不切实际，维护人员实现不了。厂家支持无法解决，后经测试通过设置防火墙的ALG解决。

network