公司网络断网频繁，断网时PING不通juniper ssg5sh防火墙

防火墙日志看一下是什么原因造成防火墙进程卡死的？ 是吞吐量不足还是CPU处理能力不行导致卡死。 

最好装个监控服务器，把你juniper 防火墙和 下面的2个24口交换机所有端口都监控起来。看一个星期的流量图查看一下是否流量很大，对那些大流量的端口做一下策略限制。

是不是网路内有攻击，防火墙本身就可以过滤掉ARP攻击还有可以设置一些策略，关键还是要看你的防火墙日志或则图形来判断来判断原因，然后就这对那些原因做策略限制。

硬件性能不足，如果是这的硬件性能不足，比如你这个墙只有300Mbps的双向吞吐量 你的实际环境已经超过这个墙的承载能力，那么在怎么优化也没有用，只有换硬件，换性能更强的设备。

科莫多防火墙是行为跟踪型NIPS（网络防火墙）和非智能HIPS（主机入侵防御系统，也称系统防火墙）+沙箱，NIPS那边以一般人的水平倒可以驾驭，但是它里面的HIPS那部分规则设置复杂，不适合你。

卡巴斯基自80开始也在自己的KIS版本（互联网区安全套装）里面加入了HIPS，

现在的全功能版和安全部队都属于KIS版本，卡巴斯基用的是智能HIPS（病毒库型HIPS），不需什么人工操作，虽然智能的HIPS会损失一定的可靠性，但对于新手方便易用。

NIPS

英文名：NetworkIntrusion Prevention System

中文名：网络入侵防御系统

俗称：网络防

火墙

NIPS具备以下特征：

1提供针对各类攻击的检测和防御功能，同时提供丰富的访问控制能力；

2准确识别各种网络流量，降

低漏报和误报率，避免影响正常的业务通讯；

3满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；

4具备良好的可

靠性，提供硬件BYPASS或HA等可靠性保障措施；

5提供灵活的部署方式，支持在线模式部署，第一时间把攻击阻断在企业网络之外，同时也支持

旁路模式部署，用于攻击检测，适合不同用户需要；

6支持分级部署、集中管理，满足不同规模网络的使用和管理需求。

我们熟知的PC

TOOL防火墙、金山网镖、瑞星防火墙、天网防火墙等都属于NIPS网络防火墙，传统的NIPS网络防火墙说白了就是只有在你使用网络的时候能够用上，通

过特定的 tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户

访问个人用户和服务器终端，在不联网的情况下是没有什么用处的，而且浏览恶意网站、运行捆绑木马的文件，或者下载的文件中包含病毒等，这种防火墙可是干涉

不到的，你的电脑就这样暴露出来了。

现在的网络防火墙可分为病毒库型防火墙（淘汰类型）和行为跟踪型防火墙，例如瑞

星的防火墙采用的技术就是早已被国外抛弃的病毒库型防火墙，这类防火墙必须依靠定时升级防火墙内部的病毒库来阻挡攻击，如果遇到了新型攻击，病毒库中没有

相应的特征代码，那么防火墙就成了摆设，不过升级病毒库是要收费的，这就是瑞星赚钱的门路之一，金山也一样。

国外普遍采用的是行为跟踪型防火墙，

这类防火墙没有病毒库，因而体积小且内存占用少，有些防火墙甚至连更新功能都没有，即使是有更新功能的，也只是修复防火墙的漏洞或发布新版本时进行版本升

级。

行为跟踪型防火墙所采用的是根据连接到计算机上面的数据行为进行放行或拦截，因为虽然现在发动攻击的黑客、木马种类等千变万化，但是他们的行

为是固定的，防火墙就是依照这些行为进行阻挡。

HIPS

英文名：Host-basedIntrusion

Prevention System

中文名：主机入侵防范系统

俗称：系统防火墙

这种防火墙一般人不知道，但比较知名的独立HIPS有Safe'n'SecPersonal、System

SafetyMonitor、EQSecure（国产，现在是超级兔子魔法盾3D非智能HIPS）、Ghost Security Suite、Malware

Defender（奇虎360出品4D非智能HIPS）、巨盾（国产4D智能HIPS）。

我们个人用的HIPS可以分为3D：

AD(ApplicationDefend)应用程序

防御体系

RD(RegistryDefend)注册表防御体系

FD(FileDefend)文件防御体系

4D的HIPS相比于

3D多了一个ND(Network Defend)保护，也就是一个网络防御。

它通过可定制的规则对本地的运行程序、注册表的读写操作、

以及文件读写操作进行判断并允许或禁止。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病

毒还是没有运行的。引用一句话：”病

毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可

以只用HIPS而不需杀毒软件。　

HIPS系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，

也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自

己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个HIPS软件能非常

有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了。但如果安装的是3D HIPS也不安全，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的NIPS网络防火墙也是很重要的--起码有防止DDOS

攻击和防ARP欺骗攻击功能(对内网用户尤为重要)！

现在的HIPS分为智能HIPS（病毒库型）和非智能HIPS（人工型），智能

HIPS系统防火墙就是依赖升级病毒库判定程序行为是否有害或浏览的网页是否有害，但有一定的误报几率，不过对于新手来说规则设置简单的智能HIPS系统防火墙是很好的选择。

非智能HIPS系统防火墙检测到某一程序（即使是正常的程序）的动作时，不能自动判别是否有害，因为它

根本没有那个功能，只会向用户弹出提示，所以程序规则设置较多，也较复杂，高手使用非智能HIPS软件甚至可以不用杀毒软件、U盘防火墙、注册表防火墙、网盾

等，而新手用起来，除了晕头转向还是晕头转向。

之所以HIPS不能做成行为跟踪型是因为我们使用的windows系统本身就是一个巨大的

间谍软件，1996年，澳大利亚海军就发现舰艇使用的Windows 95会悄悄向微软发送机器中的信息；1999年3月，人们发现 Windows

98会根据用户计算机的硬件配置情况，生成与用户名和地址相关的、全球唯一的识别码，通过操作系统的注册程序自动传送给微软；在Vista的开发中，美国

国家安全局扮演了重要角色，并坦言参与测试出于美国国家利益考虑，且留有后门，而且越新系统后门越多，而大部分带有木马行为的后门程序本身也是重要的系统

文件，如果采用行为跟踪型HIPS系统防火墙，那么无法避免的会有大量的系统程序被阻止无法运行，那么结果只是windows直接关机并再也无法启动。

首先你是要设置内网IP 的vip端口映射还是外网IP和内网IP对应？

如果完全对应，请直接用MIP。

如果是端口对应，实现你的确定的你的virturl IP是一个可用的IP，最起码的在外网可以ping通，

这样你的virturl IP的端口8520就对应上你的内网ip 10132020 的80端口；

设置后你的给你的VIP IP设置访问规则，你的service 用any 那就是全部的服务和端口开放，至于你的http访问出现的问题，那不是防火墙的事，你DNS设置的是公网IP，访问的就是公网IP，如果是变化的你看看你的域名解析，以及web代码，这应用没有调好。

最简单来讲的话，juniper是做防火墙的厂商，目前在防火墙的领域有很大的知名度 可称为第一

radware是专门做负载均衡设备的厂商，其主要负责服务器负载均衡，链路负载均衡

DIP,源地址转换，也就是将内部地址转换成公网地址出去访问互联网

MIP，静态地址一对一转换，将内部地址和公网地址一对一映射

VIP，可以将一个公网地址转换成多个内网地址，是基于端口来做映射。可以将内网不同服务器的不同端口映射到公网的不同端口。

防火墙主要功能有：端口隐藏、危险端口屏蔽、绑定MAC地址、防IP冲突、保护ARP缓存、通信过滤、NDIS驱动过滤、防PING、防DOS、僵尸网络、蠕虫攻击等。

1 COMODO防火墙，世界上最好的防火墙之一。还带有HIPS即防内防火墙的功能。推荐指数80%

2 PC TOOLS Firewall plus简称PCT防火墙。属纯防火墙，推荐指数75%。

3 outpost 防火墙收费，但是全功能套装免费。推荐指数75%

4国产瑞星防火墙，易用。加入云主动防御，还可防网页挂马。但是自我保护弱。最好的是结合瑞星杀毒软件使用。即瑞星全功能软件。推荐指数60%。

5 还有些墙适合企业或者是用于服务器。如：诺顿企业版。规则严。风云服务器版。不适合个人电脑安装使用。

6 一些著名反病毒公司，如：卡巴斯基都以安全套装使用。综合使用效果好。