防火墻運維指南

1、防火墻系統(tǒng)日常運維指南V1.00防火墻系統(tǒng)日常運維指南一、 每日例行維護1、系統(tǒng)管理員職責(zé) 為保證防火墻設(shè)備的正常運行，系統(tǒng)管理員需要在每日 對設(shè)備進(jìn)行例行檢 查。系統(tǒng)管理員在上班后，登錄防火墻管理界面，查看系統(tǒng)的 CPU 、內(nèi)存的使用 率及網(wǎng)接口的工作狀態(tài)是否正常。確保 CPU 使用率在 80%以下，內(nèi)存使用率 85% 以下：如出現(xiàn) CPU 及內(nèi) 存使用率過高的情況， 查看防火墻設(shè)備的會話連接總數(shù)、 半連接數(shù)以及端 口 流量是否正常。如果存在會話連接總數(shù)、 半連接數(shù)、端口流量異常， 超出平時的正常范 圍 的情況下，可能是有人在進(jìn)行 ARP 攻擊或蠕蟲攻擊，通過會話管理查 看 各會話的連接情況

2、，查找異常會話，并對其進(jìn)行手動阻斷。如果會話 連 接總數(shù)、半連接數(shù)及端口流量處在正常范圍內(nèi)，但此時網(wǎng)絡(luò)訪問效率 明 顯變慢的情況下，重啟防火墻設(shè)備。在管理界面中的網(wǎng)絡(luò)接口狀態(tài)正常情況下是綠色： 如果工作端口出現(xiàn)紅 色的情況下，需要及時通知網(wǎng)絡(luò)管理員， 配合查看交換機與防火墻之間 的 端口鏈路是否正常。如交換機及線路都正常的情況下， 重啟防火墻；如果還存在問題請及時 電 話聯(lián)系廠商工程師 按照要求，添加新增的防護對象2平安管理員職責(zé)平安管理員在每日上班后定時每日至少二次， 9 點、 17 點，通過數(shù)據(jù) 中 心，查看日志是否存在高級別的告警日志警示級別以上 ；如果出現(xiàn)高級別告警日志，立即按以下步驟

3、進(jìn)行處理： 設(shè)備本身造成中高 級別告警：高級別告警主要為設(shè)備本身的硬件故障 告警 ! 處理方式如下：立即通知廠商工程師到達(dá)現(xiàn)場處理。 處理完畢后，形成報告，并發(fā)送主管領(lǐng)導(dǎo)。 網(wǎng)絡(luò)故障造成的中高級別 告警：網(wǎng)絡(luò)負(fù)載過大 ! ARP 攻擊，蠕蟲等 處理方式如下： 分析會 話記錄，查詢可疑會話，協(xié)同系統(tǒng)管理員阻斷可疑會話的源地 址。 查出源地址后，應(yīng)立即安排相關(guān)技術(shù)人員到現(xiàn)場處理問題機器。 問題 機器處理完畢后，形成處理報告，分析此次高告警事件的原因， 并發(fā) 送主管領(lǐng)導(dǎo)主管室主任、主管副部長 。下同 網(wǎng)絡(luò)攻擊行為造 成的中高級別告警：如 IP 掃描，端口掃描等 防火墻一般會自動阻斷該 連接，并同時生

4、成告警日志。 此類告警，平安管理員需分析告警日志， 查詢源 IP 地址，并安排相關(guān) 技術(shù)人員到達(dá)現(xiàn)場處理問題機器。 問題機器處理完畢后，形成處理報告，分析此次高告警事件的原因， 并發(fā)送主管領(lǐng)導(dǎo)3審計員職責(zé)1 審計員應(yīng)每周五登陸系統(tǒng)， 查看系統(tǒng)審計日志， 查看是否有異常管 理 員登陸行為。2 系統(tǒng)發(fā)生異常時， 審計員應(yīng)立即登陸系統(tǒng)， 查看系統(tǒng)審計日志， 并 分 析是否有管理員的異常系統(tǒng)配置信息。二、周期性維護工作在防火墻設(shè)備的運行過程中，需要定期對設(shè)備進(jìn)行維護。1、系統(tǒng)管理員職責(zé)每星期周五對 IPS、AV 的特征碼模塊進(jìn)行升級至相關(guān)網(wǎng)站， 如 有最新的版本，下載后手動升級 。升級完成后，在“ 系

5、統(tǒng)管理維護備份恢復(fù) 界面，選擇“ 防 病 毒入侵防御配置導(dǎo)出 ，進(jìn)行配置備份。 每月，系統(tǒng)管理員需對本月防火墻系統(tǒng)發(fā)生的升級及變化情況進(jìn)行 匯 總，并提交主管領(lǐng)導(dǎo)。2、平安管理員職責(zé) 每星期周五登陸數(shù)據(jù)中心，通過報表工具生本錢周 日志事件報 表，并導(dǎo)出保存。同時需對其中高級別告警信息進(jìn)行統(tǒng) 計分析。 每星期周五查看數(shù)據(jù)中心數(shù)據(jù)庫的磁盤空間占用情況 是否正常， 如磁盤空間缺乏，應(yīng)及時將磁盤的系統(tǒng)自動備份的日志 文件轉(zhuǎn)移到 其他的存儲設(shè)備上。 日志管理員在每個日志備份周期到期的后一天應(yīng)查看日志的自動備 份工作是否正常， 如果出現(xiàn)不正常的情況， 應(yīng)及時對日志進(jìn)行手動 備 份。及時查找無法自動備份的原

6、因， 是否是由于磁盤空間缺乏無法備份。 如果不是由于磁盤空間缺乏造成， 那么有可能是由于 PC 效勞器時間 運 行造成日志效勞器相關(guān)進(jìn)程異常造成的，需要重啟日志效勞器。每月，平安管理員需對本月防火墻上的日志通過報表工具生本錢月事件報表，并導(dǎo)出保存， 同時，需要對高級級別以上告警信息進(jìn)行 統(tǒng) 計，形成分析報告后，提交主管領(lǐng)導(dǎo)。3 、審計員職責(zé) 每星期周五登陸登陸數(shù)據(jù)中心，通過報表工具，生成本周配置 審計事件報表，并導(dǎo)出保存。、不定期維護工作1、系統(tǒng)管理員職責(zé)根據(jù)需求增添防護對象。配置發(fā)生變化后，及時保存配置信息。 系統(tǒng)管理員對設(shè)備進(jìn)行了恢 復(fù)備份配置文件的操作后，應(yīng)立刻將防 火墻設(shè)備是行重啟，使

7、備份 的配置文件能夠生效。2、平安管理員職責(zé)根據(jù)平安需要，對平安防護策略作出調(diào)整。平安策略調(diào)整后，通知系統(tǒng)管理員進(jìn)行配置備份。平安產(chǎn)品防火墻日常檢查記錄單設(shè)備名稱天融信防火墻系統(tǒng)管理員檢查日期平安管理員檢查內(nèi)容系統(tǒng)管理員序號檢查項正常值正常不正常處理方法1端口狀態(tài)綠色2CPU使用率<80%3MEM使用率<85%故障處理記錄記錄：檢查內(nèi)容平安管理員序號檢查項正常值正常不正常處理方法1日志效勞器 連接情況可pi ng通在日志效勞器防火墻 上設(shè)置允許ping的策 略2日志級別無錯誤以上級別告警3日志效勞器狀 態(tài)正?？刹樵儺惓Ｌ幚碛涗浻涗洠喝罩拘谄鳠o法ping通，通過抓包分析發(fā)現(xiàn)，pin

8、g請求包能夠到達(dá)日志效勞器網(wǎng)卡，但是 日 志效勞器未作出響應(yīng)，通過檢查日志效勞器設(shè)置發(fā)現(xiàn)，是日志效勞器開啟了防火墻，但是防火墻禁止了 icmp報文，設(shè)置日志效勞器的防火墻策略后，冋題得以解決。四、周記錄檢查五、月報維護建議常規(guī)維護1、配置管理 IP 地址，指定專用終端管理防火墻；2、更改默認(rèn)賬號和口令， 不建議使用缺省的賬號、 密碼管理防火墻； 嚴(yán)格按照 實 際使用需求開放防火墻的相應(yīng)的管理權(quán)限， 并且管理權(quán)限的開放控制粒度越細(xì) 越 平安；設(shè)置兩級管理員賬號并定期變更口令； 僅容許使用 SSH 和 SSL 方式登陸 防火墻進(jìn)行管理維護。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征， 持續(xù)優(yōu)化防火墻策略

9、。 整理出完整網(wǎng) 絡(luò) 環(huán)境視圖網(wǎng)絡(luò)端口、 互聯(lián)地址、防護網(wǎng)段、 網(wǎng)絡(luò)流向、 策略表、應(yīng)用類型等 ， 以便網(wǎng)絡(luò)異常時快速定位故障。4、整理一份上下行交換機配置備份文檔 調(diào)整其中的端口地址和路由指向 ， 提 供備用網(wǎng)絡(luò)連線。 防止防火墻發(fā)生硬件故障時能夠快速旁路防火墻， 保證業(yè) 務(wù)正 常使用。5 、在日常維護中建立防火墻資源使用參考基線， 為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個故障告警信息，在第一時間修復(fù)故障隱患。7、建立設(shè)備運行檔案， 為配置變更、 事件處理提供完整的維護記錄， 定期評估 配 置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護工作中需考慮到網(wǎng)絡(luò)各環(huán)

10、節(jié)可能出現(xiàn)的問題和應(yīng)對措施， 條件允許情況下， 可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類故障時的處 理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機故障時的路徑保護切換。應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時， 應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量， 定位 故 障是否與防火墻有關(guān)。 如果故障與防火墻有關(guān)， 可首先檢查防火墻的、 地址轉(zhuǎn) 換策略、訪問控制策略、 路由等是否按照實際使用需求配置， 檢驗策略配置是 否 存在問題。 一旦定位防火墻故障， 可通過命令進(jìn)行雙機切換， 單機環(huán)境下 發(fā)生故 障時利用備份的交換機 / 路由器配置，快速旁路防火墻。在故障明確定位 前不要 關(guān)閉防火墻。1、 檢查設(shè)備運行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時，

11、應(yīng)快速判斷防火墻設(shè)備運行狀態(tài)， 通過管理器登陸到防火 墻 上，快速查看 CPU 、內(nèi)存、連接數(shù)、 Interface 以及相應(yīng)信息，初步排除防火 墻 硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對數(shù)據(jù)包處理情況如果出現(xiàn)局部網(wǎng)絡(luò)無法正常訪問， 順序檢查接口狀態(tài)、 路由和策略配置是否 有 誤，在確認(rèn)上述配置無誤后， 通過 tcpdump 命令檢查防火墻對特定網(wǎng)段數(shù)據(jù) 報處 理情況。局部地址無法通過防火墻往往與策略配置有關(guān)。3、檢查是否存在攻擊流量通過實時監(jiān)控確認(rèn)是否有異常流量， 同時在上行交換機中通過端口鏡像捕獲進(jìn) 出網(wǎng)絡(luò)的數(shù)據(jù)包， 據(jù)此確認(rèn)異常流量和攻擊類型， 并在選項設(shè)置、 入侵防護等項 目中啟用對應(yīng)防護措施來屏蔽攻擊流量4、檢查 HA 工作狀態(tài)檢查 HA 工作狀態(tài)， 進(jìn)一步確認(rèn)引起切換的原因， 引起 HA 切換原因通常為 鏈路 故障，交換機端口故障，設(shè)備斷電或重啟。設(shè)備運行時務(wù)請不要斷開HA 心跳線纜。5、防火墻發(fā)生故障時處理方法 如果出現(xiàn)以下情況可初步判斷防火墻硬件或系 統(tǒng)存在故障：無法使用 console 口登陸防火墻，防火墻反復(fù)啟動、無法建立 ARP 表、接口狀態(tài)始終為 Down 、 無法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通 過調(diào)整上下行設(shè)備路由指向， 快速將防火墻旁路， 同時聯(lián)系供給商進(jìn)行故障診斷?？偨Y(jié)改良故障處理后的總結(jié)與改良是進(jìn)一