H3C防火墻現(xiàn)場巡檢報(bào)告

1、. H3C防火墻現(xiàn)場巡檢報(bào)告 2017年3月一、【安全設(shè)備巡檢明細(xì)】1.1 設(shè)備硬件檢查表1-1 F5000-A5機(jī)框圖1.1.2 主控板指示燈檢查內(nèi)容檢查方法檢查結(jié)果說明1. CF卡指示燈l觀察完善不完善2. 主控板RUN指示燈l觀察完善不完善3. 主控板ALM指示燈l觀察完善不完善4. 主控板ACT指示燈l觀察完善不完善1.1.3 防火墻接口板指示燈F5000-A5主要的接口板型號如下：此次巡檢的設(shè)備如下：設(shè)備槽位板卡型號序列號JSCHZ-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot1NSQM1GT8P40JSCHZ-IMS-FW04-H3CF5000Slot0

2、NSQM1MPUA0Slot1NSQM1GT8P40JSLYG-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSLYG-IMS-FW04-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSNAT-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSNJ-IMS-FW05-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSNJ-IMS-FW06-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSSUQ-

3、IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSSUQ-IMS-FW04-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSSZ-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSSZ-IMS-FW04-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSTAZ-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot1NSQM1GT8P40JSTAZ-IMS-FW04-H3CF5000Slot0NSQM1MPUA0

4、Slot2NSQM1GT8P40JSXZH-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot1NSQM1GT8P40JSXZH-IMS-FW04-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSYAC-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSYAC-IMS-FW04-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSYZH-IMS-FW03-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40JSYZH-IMS-FW04

5、-H3CF5000Slot0NSQM1MPUA0Slot2NSQM1GT8P40表1-2 F5000-A5接口板型號檢查內(nèi)容檢查方法檢查結(jié)果說明1. 接口LINK/ACT（綠色）指示燈l觀察完善不完善2. Combo接口LINK/ACT（黃綠雙色）指示燈l觀察完善不完善.1.2 設(shè)備運(yùn)行狀態(tài)檢查檢查內(nèi)容檢查方法檢查結(jié)果說 明1. 檢查設(shè)備管理情況通過串口、WEB或Telnet/SSH等相應(yīng)的方式能正常登錄到防火墻，從而確認(rèn)防火墻可以被正常網(wǎng)管。直連Console線纜登錄；遠(yuǎn)程HTTP或Telnet/SSH登錄防火墻管理地址完善不完善2. 檢查管理賬號安全性檢查設(shè)備WEB或Telnet/SSH登

6、錄賬號的安全強(qiáng)度，確保管理賬號具有較強(qiáng)的防暴力破解能力。1，設(shè)備默認(rèn)的h3c/h3c賬號應(yīng)該刪除或?qū)⒚艽a修改為較高強(qiáng)度的密碼；2，WEB或Telnet/SSH登錄賬號的密碼長度要至少6位以上，且最好為大小寫、特殊符號的混合。完善不完善3. 檢查設(shè)備基本信息查看設(shè)備的版本、運(yùn)行時間等信息，確認(rèn)版本及時更新、運(yùn)行時間正常。登錄WEB頁面，查看首頁的右側(cè)的INFO欄信息。完善不完善4. 檢查系統(tǒng)資源狀態(tài)查看設(shè)備CPU、內(nèi)存利用率情況， 為保證正常運(yùn)行，設(shè)備的CPU利用率一般要小于80%，內(nèi)存利用率要低于90%。在首頁“設(shè)備概覽“的最上部查看“系統(tǒng)資源狀態(tài)”信息。完善不完善5. 檢查設(shè)備接口信息 確認(rèn)

7、設(shè)備接口的地址掩碼、安全域的配置正確性?！菊f明】：l ：表示接口當(dāng)前狀態(tài)為開啟，且已連接l ：表示接口當(dāng)前狀態(tài)為開啟，且未連接l ：表示接口當(dāng)前狀態(tài)為關(guān)閉在首頁“設(shè)備概覽“的中部查看“設(shè)備接口信息”，如果接口較多，請點(diǎn)擊下方的“更多”鏈接，隨后進(jìn)入“設(shè)備管理 接口管理”頁面，點(diǎn)擊相應(yīng)的接口名稱鏈接，可以查看每個接口的統(tǒng)計(jì)信息。完善不完善6. 檢查設(shè)備時間確認(rèn)設(shè)備時間的準(zhǔn)確性，以便為事后追蹤安全事件提供真實(shí)的依據(jù)。依次打開“設(shè)備管理 日期和時間”頁面，查看當(dāng)前的時間設(shè)置。完善不完善7. 檢查路由信息確認(rèn)設(shè)備路由信息的準(zhǔn)確性，刪除無效的靜態(tài)路由配置、調(diào)整冗余的其他路由信息( 例如OSPF、BGP)

8、。依次打開“網(wǎng)絡(luò)管理 路由管理 路由信息”頁面，查看當(dāng)前設(shè)備的路由信息。完善不完善8. 檢查雙機(jī)熱備狀態(tài)完善不完善9. 檢查系統(tǒng)日志查看系統(tǒng)近期的運(yùn)行日志，確保里面不存在明顯異常。在首頁“設(shè)備概覽“的下部查看“近期發(fā)生的系統(tǒng)日志”，單擊“近期發(fā)生的系統(tǒng)操作日志”列表下方的“更多”鏈接，進(jìn)入“設(shè)備日志 日志報(bào)表 系統(tǒng)操作日志”的頁面進(jìn)行查看。完善不完善1.3 設(shè)備安全事件檢查檢查內(nèi)容檢查方法檢查結(jié)果說 明1. 防火墻業(yè)務(wù)運(yùn)行狀態(tài)：防火墻是否出現(xiàn)過影響客戶應(yīng)用的故障信息主要通過咨詢客戶了解業(yè)務(wù)運(yùn)行狀態(tài)完善不完善2. 檢查防火墻域間策略設(shè)置完善不完善3. 檢查入侵檢測統(tǒng)計(jì)情況完善不完善4. 檢查日志

9、報(bào)表完善不完善二、【設(shè)備運(yùn)行質(zhì)量分析】1、近期設(shè)備運(yùn)行狀況(如：近期故障、告警上報(bào)情況與性能情況分析等) 1、常州防火墻有一塊電源故障。 2、鎮(zhèn)江2臺防火墻無法遠(yuǎn)程。 3、南通防火墻遠(yuǎn)程訪問被拒。 4、無錫、淮安防火墻密碼錯誤。 5、log日志顯示防火墻存在大量嘗試登陸防火墻信息。2、安全事件分析（主要是對設(shè)備安全事件的分析）近期設(shè)備運(yùn)行無安全事件。三、【遺留問題及處理】1、更換常州防火墻JSCHZ-IMS-FW03-H3CF5000電源。2、現(xiàn)場console登陸防火墻解決防火墻無法遠(yuǎn)程登陸及修改密碼。3、增加訪問控制列表，只允許特定網(wǎng)段可以登錄防火墻，解決防火墻存在大量非法用戶嘗試登陸防火墻設(shè)備的問題。四、【運(yùn)行維護(hù)建議】1、更換常州防火墻JSCHZ-IMS-FW