Juniper防火墙维护手册 下载本文

《Juniper维护手册》深圳发展银行

时。应用通常在工作时间建立连接,这样可在下班后时间拆除连接。 在配置 timeout值时,特别提醒不要使用“never timeout”(永不超时)的选项。该选项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长,建议配置一个具体的长时间段(如一周)。

4.4.2、不规范TCP应用处理

正常TCP应用连接建立需要3次握手,然而某些用户定制的应用程序因开发规范不严谨或特殊需要,存在类似SYN没有置位的连接请求,对于这类不严谨的通讯处理应加以特别注意,因为netscreen防火墙在默认情况下,对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况,在某些应用发生通讯障碍时,通过debug分析是否是防火墙拒绝了不严谨的TCP 包,确认后通过设置unset flow tcp-syn-check 的命令来使防火墙取消这种防范机制。

4.4.3、VOIP应用处理

Netscreen防火墙默认启用H.323应用代理机制,应用代理的作用是使防火墙能够理解应用通讯的内容,让防火墙能够从信令通道中提取出协商的端口信息,并在防火墙上动态的打开这些端口,在语音通讯结束后,再动态关闭这些临时端口。但由于H.323协议的复杂性和各厂家实现上的差异,容易造成防火墙在与各厂家VOIP系统互操

49

《Juniper维护手册》深圳发展银行

作上存在兼容性问题,出现IP话机无法注册、语音连接无法建立、拨号时间较长等故障现象。解决方法两种:

1、set alg h323 disable 直接关闭防火墙上的h.323应用代理功能,让H.323语音流量按常规应用连接方式进行通信。

2、Set policy id X from trust to untrust any any h.323 permit Set policy id X application ignore

通过访问控制策略使H.323应用采用常规连接方式进行通信。(注:很多用户定制程序使用自定义的端口号,ignore参数使防火墙忽略端口的应用类型,仅按常规方式处理通信连接。此参数也适用于端口号非21/20的FTP应用)

附录:JUNIPER防火墙Case信息表(开case时需提供的信息) 设备型号 软件版本 网络结构 设备序列号 故障级别 如:Layer3 A/P 口型结构 故障现象 具体描述 Get session 资源占用 info Get pre cpu 50