Juniper防火墙维护手册

《Juniper维护手册》深圳发展银行

时。应用通常在工作时间建立连接，这样可在下班后时间拆除连接。 在配置 timeout值时，特别提醒不要使用“never timeout”（永不超时）的选项。该选项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长，建议配置一个具体的长时间段（如一周）。

4.4.2、不规范TCP应用处理

正常TCP应用连接建立需要3次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似SYN没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为netscreen防火墙在默认情况下，对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况，在某些应用发生通讯障碍时，通过debug分析是否是防火墙拒绝了不严谨的TCP 包，确认后通过设置unset flow tcp-syn-check 的命令来使防火墙取消这种防范机制。

4.4.3、VOIP应用处理

Netscreen防火墙默认启用H.323应用代理机制，应用代理的作用是使防火墙能够理解应用通讯的内容，让防火墙能够从信令通道中提取出协商的端口信息，并在防火墙上动态的打开这些端口，在语音通讯结束后，再动态关闭这些临时端口。但由于H.323协议的复杂性和各厂家实现上的差异，容易造成防火墙在与各厂家VOIP系统互操

49

《Juniper维护手册》深圳发展银行

作上存在兼容性问题，出现IP话机无法注册、语音连接无法建立、拨号时间较长等故障现象。解决方法两种：

1、set alg h323 disable 直接关闭防火墙上的h.323应用代理功能，让H.323语音流量按常规应用连接方式进行通信。

2、Set policy id X from trust to untrust any any h.323 permit Set policy id X application ignore

通过访问控制策略使H.323应用采用常规连接方式进行通信。（注：很多用户定制程序使用自定义的端口号，ignore参数使防火墙忽略端口的应用类型，仅按常规方式处理通信连接。此参数也适用于端口号非21/20的FTP应用）

附录：JUNIPER防火墙Case信息表(开case时需提供的信息) 设备型号 软件版本 网络结构 设备序列号 故障级别 如：Layer3 A/P 口型结构 故障现象 具体描述 Get session 资源占用 info Get pre cpu 50