防火墙常见问题

SCREENOS的问题

在通常情况下，Juniper的防火墙设备的OS出现故障的现象很少，但是，也有一些情况是因为OS在使用的过程中不当造成的，下面介绍几个由OS升级不当造成的故障现象，与大家共享。

现象1：

防火墙在每天的一个特定的时间死机，很像一个超出科学解释的问题，有一点儿像：闹鬼，但是，实际的情况是客户刚刚进行一次OS的升级，所选择的OS的版本无法保证其来源的安全性，也无法保证该OS在传输的过程中是否有损。在升级完成之后，设备启动正常，在检测的过程中发现缺少部分操作命令，如：unset all命令，经过与厂家工程师沟通，得到的结论是，此命令不存在版本的区别，即：所有的版本都包含此命令，至此认为，OS升级不当，重新在Juniper网站下载最新的OS，并进行升级，在之后的若干天内，没有出现类似问题，故障解决。
总结：来源不明的OS，以及升级过程中的线路不稳定都会导致OS的应用问题，以OS升级不当所造成的问题最多，问题也最奇怪。

现象2：

防火墙的配置在使用一段时间之后，突然发现防火墙的无法管理和登陆，同时，也无法PING通。
检查后发现，防火墙当中的配置不翼而飞，防火墙被恢复到了出厂状态，重新配置之后，在稳定运行若干天后，还会出现，了解客户的应用，发现客户通常都在每个晚上将防火墙的电源关闭，而客户使用的设备是没有独立电源开关的低端产品，在排除了人为操作导致的问题之外，我们怀疑与OS有关，所以，更新OS，并提醒用户，防火墙的电源，不需要经常关闭和开启。之后，这种现象再没有出现。
总结：防火墙设备出现这种问题，与OS和电源管理有关，这种问题通常出现在早期的OS版本中，而且，中低端产品居多，与刚刚推出的OS的稳定性有一定的关联。

现象3：

防火墙在稳定工作一段时间之后，突然无法登陆防火墙的现象，同时，PING防火墙的地址时，也无法PING通，通过建立控制台连接观测到，防火墙在不停的重新启动。了解客户得知，客户刚刚进行了新的OS升级，之后，就出现了上述的问题。由此，我们判断，防火墙在进行升级的过程中，可能出现网络或电源中断的问题，导致，OS升级不完善，以致于防火墙的启动信息不全，无法实现完全启动。解决的办法是：通过登陆防火墙的安全模式，重新进行防火墙OS的更新，保证在更新过程中的电源和网线连接的稳定性，实现完全的OS升级，之后，问题解决。
总结：防火墙设备在进行升级OS的操作时，是带有一定的危险性的，所以，一定要尽量避免外部因素的干扰，保证OS升级的顺利进行。

现象4：

防火

墙设备在进行升级之后，发现无法登陆和PING通，通过建立控制台连接观测防火墙的启动过程发现：没有任何硬件信息，只出现一行没有任何意义的乱码，多次重新启动，断电操作，现象依旧。如此，怀疑产品硬件出现问题，并咨询厂家工程师得出结论，防火墙的存储器出现故障，这种故障可能是电流的突然变化或升级过程中的不当操作造成的，解决的办法是：RMA，返厂维修。
总结：这种现象相对少见，因为电流的变化或升级的不当导致的存储器故障，使硬件设备出现损坏，几率很低，但是，现象明显，容易判断。

方案共享：

Juniper NetScreen 防火墙设备，在其OS升级到5.0.0系统之后，开始支持透明模式和NAT/ROUTE模式的混合应用，但是，厂家出于对产品出货量的考虑，没有对外宣布支持此种混合模式，同时，该模式因为不支持内部透明模式和三层模式之间的数据转发，而必须通过外部循环实现透明和三层模式之间的配置，也是厂家宣称不支持此种应用的原因之一。
在防火墙产品的部署过程中，客户处的特殊环境需求，使这种独特的混合模式可以实现创造了条件。

客户的环境和需求：

客户的环境：拥有两端独立的公网IP地址，并且，每个公网地址都有独立的网关地址，其中的A段公网IP地址用于访问互联网的NAT使用；B段公网IP地址主要是给服务器应用，为外显服务器提供固定的公网IP地址，使其可以被互联网用户访问；同时，服务器的IP地址为直接定义在服务器上的，没有经过NAT转换。
客户的需求：要求提供一台网络安全设备，实现上述环境下的网络安全防护，并保证两个网段的合理应用和互不影响。
转自JUNIPER技术论坛 杜松之家