防火墻運(yùn)維指南(共8頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上防火墻系統(tǒng)日常運(yùn)維指南V1.00專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)防火墻系統(tǒng)日常運(yùn)維指南一、 每日例行維護(hù)1、系統(tǒng)管理員職責(zé)為保證防火墻設(shè)備的正常運(yùn)行，系統(tǒng)管理員需要在每日對(duì)設(shè)備進(jìn)行例行檢查。系統(tǒng)管理員在上班后，登錄防火墻管理界面，查看系統(tǒng)的CPU、內(nèi)存的使用率及網(wǎng)接口的工作狀態(tài)是否正常。Ø 確保CPU使用率在80%以下，內(nèi)存使用率85%以下：如出現(xiàn)CPU及內(nèi)存使用率過(guò)高的情況，查看防火墻設(shè)備的會(huì)話(huà)連接總數(shù)、半連接數(shù)以及端口流量是否正常。Ø 如果存在會(huì)話(huà)連接總數(shù)、半連接數(shù)、端口流量異常，超出平時(shí)的正常范圍的情況下，可能是有人在進(jìn)行ARP攻擊或蠕蟲(chóng)攻擊，通過(guò)會(huì)話(huà)管理查

2、看各會(huì)話(huà)的連接情況，查找異常會(huì)話(huà)，并對(duì)其進(jìn)行手動(dòng)阻斷。如果會(huì)話(huà)連接總數(shù)、半連接數(shù)及端口流量處在正常范圍內(nèi)，但此時(shí)網(wǎng)絡(luò)訪(fǎng)問(wèn)效率明顯變慢的情況下，重啟防火墻設(shè)備。Ø 在管理界面中的網(wǎng)絡(luò)接口狀態(tài)正常情況下是綠色：如果工作端口出現(xiàn)紅色的情況下，需要及時(shí)通知網(wǎng)絡(luò)管理員，配合查看交換機(jī)與防火墻之間的端口鏈路是否正常。Ø 如交換機(jī)及線(xiàn)路都正常的情況下，重啟防火墻；如果還存在問(wèn)題請(qǐng)及時(shí)電話(huà)聯(lián)系廠商工程師。Ø 按照要求，添加新增的防護(hù)對(duì)象。2）安全管理員職責(zé)安全管理員在每日上班后定時(shí)（每日至少二次，9點(diǎn)、17點(diǎn)），通過(guò)數(shù)據(jù)中心，查看日志是否存在高級(jí)別的告警日志（警示級(jí)別以上）；如果

3、出現(xiàn)高級(jí)別告警日志，立即按以下步驟進(jìn)行處理：u 設(shè)備本身造成中高級(jí)別告警：高級(jí)別告警主要為設(shè)備本身的硬件故障告警!處理方式如下：Ø 立即通知廠商工程師到達(dá)現(xiàn)場(chǎng)處理。Ø 處理完畢后，形成報(bào)告，并發(fā)送主管領(lǐng)導(dǎo)。u 網(wǎng)絡(luò)故障造成的中高級(jí)別告警：網(wǎng)絡(luò)負(fù)載過(guò)大!（ARP攻擊，蠕蟲(chóng)等）處理方式如下：Ø 分析會(huì)話(huà)記錄，查詢(xún)可疑會(huì)話(huà)，協(xié)同系統(tǒng)管理員阻斷可疑會(huì)話(huà)的源地址。Ø 查出源地址后，應(yīng)立即安排相關(guān)技術(shù)人員到現(xiàn)場(chǎng)處理問(wèn)題機(jī)器。Ø 問(wèn)題機(jī)器處理完畢后，形成處理報(bào)告，分析此次高告警事件的原因，并發(fā)送主管領(lǐng)導(dǎo)（主管室主任、主管副部長(zhǎng)）。（下同）u 網(wǎng)絡(luò)攻擊行為造成

4、的中高級(jí)別告警：如IP掃描，端口掃描等Ø 防火墻一般會(huì)自動(dòng)阻斷該連接，并同時(shí)生成告警日志。Ø 此類(lèi)告警，安全管理員需分析告警日志，查詢(xún)?cè)碔P地址，并安排相關(guān)技術(shù)人員到達(dá)現(xiàn)場(chǎng)處理問(wèn)題機(jī)器。Ø 問(wèn)題機(jī)器處理完畢后，形成處理報(bào)告，分析此次高告警事件的原因，并發(fā)送主管領(lǐng)導(dǎo)。3）審計(jì)員職責(zé) 1）審計(jì)員應(yīng)每周五登陸系統(tǒng)，查看系統(tǒng)審計(jì)日志，查看是否有異常管理員登陸行為。 2）系統(tǒng)發(fā)生異常時(shí)，審計(jì)員應(yīng)立即登陸系統(tǒng)，查看系統(tǒng)審計(jì)日志，并分析是否有管理員的異常系統(tǒng)配置信息。二、周期性維護(hù)工作在防火墻設(shè)備的運(yùn)行過(guò)程中，需要定期對(duì)設(shè)備進(jìn)行維護(hù)。1、系統(tǒng)管理員職責(zé)Ø 每星期（周五

5、）對(duì)IPS、AV的特征碼模塊進(jìn)行升級(jí)（至相關(guān)網(wǎng)站，如有最新的版本，下載后手動(dòng)升級(jí)）。Ø 升級(jí)完成后，在“系統(tǒng)管理維護(hù)備份恢復(fù)”界面，選擇“防病毒入侵防御配置導(dǎo)出”，進(jìn)行配置備份。Ø 每月，系統(tǒng)管理員需對(duì)本月防火墻系統(tǒng)發(fā)生的升級(jí)及變化情況進(jìn)行匯總，并提交主管領(lǐng)導(dǎo)。2、安全管理員職責(zé)Ø 每星期（周五）登陸數(shù)據(jù)中心，通過(guò)報(bào)表工具生成本周日志事件報(bào)表，并導(dǎo)出保存。同時(shí)需對(duì)其中高級(jí)別告警信息進(jìn)行統(tǒng)計(jì)分析。Ø 每星期（周五）查看數(shù)據(jù)中心數(shù)據(jù)庫(kù)的磁盤(pán)空間占用情況是否正常，如磁盤(pán)空間不足，應(yīng)及時(shí)將磁盤(pán)的系統(tǒng)自動(dòng)備份的日志文件轉(zhuǎn)移到其他的存儲(chǔ)設(shè)備上。Ø 日志管理

6、員在每個(gè)日志備份周期到期的后一天應(yīng)查看日志的自動(dòng)備份工作是否正常，如果出現(xiàn)不正常的情況，應(yīng)及時(shí)對(duì)日志進(jìn)行手動(dòng)備份。Ø 及時(shí)查找無(wú)法自動(dòng)備份的原因，是否是由于磁盤(pán)空間不足無(wú)法備份。如果不是由于磁盤(pán)空間不足造成，則有可能是由于PC服務(wù)器時(shí)間運(yùn)行造成日志服務(wù)器相關(guān)進(jìn)程異常造成的，需要重啟日志服務(wù)器。Ø 每月，安全管理員需對(duì)本月防火墻上的日志通過(guò)報(bào)表工具生成本月事件報(bào)表，并導(dǎo)出保存，同時(shí)，需要對(duì)高級(jí)級(jí)別以上告警信息進(jìn)行統(tǒng)計(jì)，形成分析報(bào)告后，提交主管領(lǐng)導(dǎo)。 3、審計(jì)員職責(zé)Ø 每星期（周五）登陸登陸數(shù)據(jù)中心，通過(guò)報(bào)表工具，生成本周配置審計(jì)事件報(bào)表，并導(dǎo)出保存。三、不定期維護(hù)工

7、作1、系統(tǒng)管理員職責(zé)Ø 根據(jù)需求增添防護(hù)對(duì)象。Ø 配置發(fā)生變化后，及時(shí)保存配置信息。Ø 系統(tǒng)管理員對(duì)設(shè)備進(jìn)行了恢復(fù)備份配置文件的操作后，應(yīng)立刻將防火墻設(shè)備是行重啟，使備份的配置文件能夠生效。2、安全管理員職責(zé)Ø 根據(jù)安全需要，對(duì)安全防護(hù)策略作出調(diào)整。Ø 安全策略調(diào)整后，通知系統(tǒng)管理員進(jìn)行配置備份。安全產(chǎn)品（防火墻）日常檢查記錄單設(shè)備名稱(chēng)（ 天融信 ）防火墻系統(tǒng)管理員檢查日期安全管理員檢查內(nèi)容（系統(tǒng)管理員）序號(hào)檢查項(xiàng)正常值正常不正常處理辦法1端口狀態(tài)綠色2CPU使用率<80%3MEM使用率<85%故障處理記錄記錄：檢查內(nèi)容（安全管理員

8、）序號(hào)檢查項(xiàng)正常值正常不正常處理辦法1日志服務(wù)器連接情況可ping通在日志服務(wù)器防火墻上設(shè)置允許ping的策略2日志級(jí)別無(wú)錯(cuò)誤以上級(jí)別告警3日志服務(wù)器狀態(tài)正?？刹樵?xún)異常處理記錄記錄： 日志服務(wù)器無(wú)法ping通，通過(guò)抓包分析發(fā)現(xiàn)，ping請(qǐng)求包能夠達(dá)到日志服務(wù)器網(wǎng)卡，但是日志服務(wù)器未作出響應(yīng)，通過(guò)檢查日志服務(wù)器設(shè)置發(fā)現(xiàn)，是日志服務(wù)器開(kāi)啟了防火墻，但是防火墻禁止了icmp報(bào)文，設(shè)置日志服務(wù)器的防火墻策略后，問(wèn)題得以解決。四、周記錄檢查五、月報(bào)維護(hù)建議常規(guī)維護(hù)1、配置管理IP地址，指定專(zhuān)用終端管理防火墻；2、更改默認(rèn)賬號(hào)和口令，不建議使用缺省的賬號(hào)、密碼管理防火墻；嚴(yán)格按照實(shí)際使用需求開(kāi)放防火墻的相

9、應(yīng)的管理權(quán)限，并且管理權(quán)限的開(kāi)放控制粒度越細(xì)越安全；設(shè)置兩級(jí)管理員賬號(hào)并定期變更口令；僅容許使用SSH和SSL方式登陸防火墻進(jìn)行管理維護(hù)。 3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類(lèi)型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類(lèi)型等），以便網(wǎng)絡(luò)異常時(shí)快速定位故障。4、整理一份上下行交換機(jī)配置備份文檔（調(diào)整其中的端口地址和路由指向），提供備用網(wǎng)絡(luò)連線(xiàn)。防止防火墻發(fā)生硬件故障時(shí)能夠快速旁路防火墻，保證業(yè)務(wù)正常使用。5、在日常維護(hù)中建立防火墻資源使用參考基線(xiàn)，為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個(gè)故障告警信息，在第一時(shí)間修復(fù)故障隱

10、患。7、建立設(shè)備運(yùn)行檔案，為配置變更、事件處理提供完整的維護(hù)記錄，定期評(píng)估配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的問(wèn)題和應(yīng)對(duì)措施，條件允許情況下，可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類(lèi)故障時(shí)的處理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線(xiàn)故障及交換機(jī)故障時(shí)的路徑保護(hù)切換。應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位故障是否與防火墻有關(guān)。如果故障與防火墻有關(guān)，可首先檢查防火墻的、地址轉(zhuǎn)換策略、訪(fǎng)問(wèn)控制策略、路由等是否按照實(shí)際使用需求配置，檢驗(yàn)策略配置是否存在問(wèn)題。一旦定位防火墻故障，可通過(guò)命令進(jìn)行雙機(jī)切換，單機(jī)環(huán)境下發(fā)生故障時(shí)利用備份

11、的交換機(jī)/路由器配置，快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1、 檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài)，通過(guò)管理器登陸到防火墻上，快速查看CPU、內(nèi)存、連接數(shù)、Interface以及相應(yīng)信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對(duì)數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無(wú)法正常訪(fǎng)問(wèn)，順序檢查接口狀態(tài)、路由和策略配置是否有誤，在確認(rèn)上述配置無(wú)誤后，通過(guò)tcpdump命令檢查防火墻對(duì)特定網(wǎng)段數(shù)據(jù)報(bào)處理情況。部分地址無(wú)法通過(guò)防火墻往往與策略配置有關(guān)。3、 檢查是否存在攻擊流量通過(guò)實(shí)時(shí)監(jiān)控確認(rèn)是否有異常流量，同時(shí)在上行交換機(jī)中通過(guò)端口鏡像捕獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，據(jù)此確認(rèn)異常流量和攻擊類(lèi)型，并在選項(xiàng)設(shè)置、入侵防護(hù)等項(xiàng)目中啟用對(duì)應(yīng)防護(hù)措施來(lái)屏蔽攻擊流量。4、 檢查HA工作狀態(tài)檢查HA工作狀態(tài)，進(jìn)一步確認(rèn)引起切換的原因，引起HA切換原因通常為鏈路故障，交換機(jī)端口故障，設(shè)備斷電或重啟。設(shè)備運(yùn)行時(shí)務(wù)請(qǐng)不要斷開(kāi)HA心跳線(xiàn)纜。5、 防火墻發(fā)生故障時(shí)處理方法 如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無(wú)法使用console口登陸防火墻，防火墻反復(fù)啟動(dòng)、無(wú)法建立ARP表、接口狀態(tài)始終為Down、無(wú)法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通過(guò)調(diào)整上下行設(shè)備路由指向，快速將防火墻旁路，同時(shí)聯(lián)系供應(yīng)商進(jìn)行故障診斷?？偨Y(jié)改進(jìn)故障處理后