防火墻運維指南(共8頁)

1、精選優(yōu)質文檔-傾情為你奉上防火墻系統(tǒng)日常運維指南V1.00專心-專注-專業(yè)防火墻系統(tǒng)日常運維指南一、 每日例行維護1、系統(tǒng)管理員職責為保證防火墻設備的正常運行，系統(tǒng)管理員需要在每日對設備進行例行檢查。系統(tǒng)管理員在上班后，登錄防火墻管理界面，查看系統(tǒng)的CPU、內(nèi)存的使用率及網(wǎng)接口的工作狀態(tài)是否正常。Ø 確保CPU使用率在80%以下，內(nèi)存使用率85%以下：如出現(xiàn)CPU及內(nèi)存使用率過高的情況，查看防火墻設備的會話連接總數(shù)、半連接數(shù)以及端口流量是否正常。Ø 如果存在會話連接總數(shù)、半連接數(shù)、端口流量異常，超出平時的正常范圍的情況下，可能是有人在進行ARP攻擊或蠕蟲攻擊，通過會話管理查

2、看各會話的連接情況，查找異常會話，并對其進行手動阻斷。如果會話連接總數(shù)、半連接數(shù)及端口流量處在正常范圍內(nèi)，但此時網(wǎng)絡訪問效率明顯變慢的情況下，重啟防火墻設備。Ø 在管理界面中的網(wǎng)絡接口狀態(tài)正常情況下是綠色：如果工作端口出現(xiàn)紅色的情況下，需要及時通知網(wǎng)絡管理員，配合查看交換機與防火墻之間的端口鏈路是否正常。Ø 如交換機及線路都正常的情況下，重啟防火墻；如果還存在問題請及時電話聯(lián)系廠商工程師。Ø 按照要求，添加新增的防護對象。2）安全管理員職責安全管理員在每日上班后定時（每日至少二次，9點、17點），通過數(shù)據(jù)中心，查看日志是否存在高級別的告警日志（警示級別以上）；如果

3、出現(xiàn)高級別告警日志，立即按以下步驟進行處理：u 設備本身造成中高級別告警：高級別告警主要為設備本身的硬件故障告警!處理方式如下：Ø 立即通知廠商工程師到達現(xiàn)場處理。Ø 處理完畢后，形成報告，并發(fā)送主管領導。u 網(wǎng)絡故障造成的中高級別告警：網(wǎng)絡負載過大!（ARP攻擊，蠕蟲等）處理方式如下：Ø 分析會話記錄，查詢可疑會話，協(xié)同系統(tǒng)管理員阻斷可疑會話的源地址。Ø 查出源地址后，應立即安排相關技術人員到現(xiàn)場處理問題機器。Ø 問題機器處理完畢后，形成處理報告，分析此次高告警事件的原因，并發(fā)送主管領導（主管室主任、主管副部長）。（下同）u 網(wǎng)絡攻擊行為造成

4、的中高級別告警：如IP掃描，端口掃描等Ø 防火墻一般會自動阻斷該連接，并同時生成告警日志。Ø 此類告警，安全管理員需分析告警日志，查詢源IP地址，并安排相關技術人員到達現(xiàn)場處理問題機器。Ø 問題機器處理完畢后，形成處理報告，分析此次高告警事件的原因，并發(fā)送主管領導。3）審計員職責 1）審計員應每周五登陸系統(tǒng)，查看系統(tǒng)審計日志，查看是否有異常管理員登陸行為。 2）系統(tǒng)發(fā)生異常時，審計員應立即登陸系統(tǒng)，查看系統(tǒng)審計日志，并分析是否有管理員的異常系統(tǒng)配置信息。二、周期性維護工作在防火墻設備的運行過程中，需要定期對設備進行維護。1、系統(tǒng)管理員職責Ø 每星期（周五

5、）對IPS、AV的特征碼模塊進行升級（至相關網(wǎng)站，如有最新的版本，下載后手動升級）。Ø 升級完成后，在“系統(tǒng)管理維護備份恢復”界面，選擇“防病毒入侵防御配置導出”，進行配置備份。Ø 每月，系統(tǒng)管理員需對本月防火墻系統(tǒng)發(fā)生的升級及變化情況進行匯總，并提交主管領導。2、安全管理員職責Ø 每星期（周五）登陸數(shù)據(jù)中心，通過報表工具生成本周日志事件報表，并導出保存。同時需對其中高級別告警信息進行統(tǒng)計分析。Ø 每星期（周五）查看數(shù)據(jù)中心數(shù)據(jù)庫的磁盤空間占用情況是否正常，如磁盤空間不足，應及時將磁盤的系統(tǒng)自動備份的日志文件轉移到其他的存儲設備上。Ø 日志管理

6、員在每個日志備份周期到期的后一天應查看日志的自動備份工作是否正常，如果出現(xiàn)不正常的情況，應及時對日志進行手動備份。Ø 及時查找無法自動備份的原因，是否是由于磁盤空間不足無法備份。如果不是由于磁盤空間不足造成，則有可能是由于PC服務器時間運行造成日志服務器相關進程異常造成的，需要重啟日志服務器。Ø 每月，安全管理員需對本月防火墻上的日志通過報表工具生成本月事件報表，并導出保存，同時，需要對高級級別以上告警信息進行統(tǒng)計，形成分析報告后，提交主管領導。 3、審計員職責Ø 每星期（周五）登陸登陸數(shù)據(jù)中心，通過報表工具，生成本周配置審計事件報表，并導出保存。三、不定期維護工

7、作1、系統(tǒng)管理員職責Ø 根據(jù)需求增添防護對象。Ø 配置發(fā)生變化后，及時保存配置信息。Ø 系統(tǒng)管理員對設備進行了恢復備份配置文件的操作后，應立刻將防火墻設備是行重啟，使備份的配置文件能夠生效。2、安全管理員職責Ø 根據(jù)安全需要，對安全防護策略作出調整。Ø 安全策略調整后，通知系統(tǒng)管理員進行配置備份。安全產(chǎn)品（防火墻）日常檢查記錄單設備名稱（ 天融信 ）防火墻系統(tǒng)管理員檢查日期安全管理員檢查內(nèi)容（系統(tǒng)管理員）序號檢查項正常值正常不正常處理辦法1端口狀態(tài)綠色2CPU使用率<80%3MEM使用率<85%故障處理記錄記錄：檢查內(nèi)容（安全管理員

8、）序號檢查項正常值正常不正常處理辦法1日志服務器連接情況可ping通在日志服務器防火墻上設置允許ping的策略2日志級別無錯誤以上級別告警3日志服務器狀態(tài)正常可查詢異常處理記錄記錄： 日志服務器無法ping通，通過抓包分析發(fā)現(xiàn)，ping請求包能夠達到日志服務器網(wǎng)卡，但是日志服務器未作出響應，通過檢查日志服務器設置發(fā)現(xiàn)，是日志服務器開啟了防火墻，但是防火墻禁止了icmp報文，設置日志服務器的防火墻策略后，問題得以解決。四、周記錄檢查五、月報維護建議常規(guī)維護1、配置管理IP地址，指定專用終端管理防火墻；2、更改默認賬號和口令，不建議使用缺省的賬號、密碼管理防火墻；嚴格按照實際使用需求開放防火墻的相

9、應的管理權限，并且管理權限的開放控制粒度越細越安全；設置兩級管理員賬號并定期變更口令；僅容許使用SSH和SSL方式登陸防火墻進行管理維護。 3、深入理解網(wǎng)絡中業(yè)務類型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡環(huán)境視圖（網(wǎng)絡端口、互聯(lián)地址、防護網(wǎng)段、網(wǎng)絡流向、策略表、應用類型等），以便網(wǎng)絡異常時快速定位故障。4、整理一份上下行交換機配置備份文檔（調整其中的端口地址和路由指向），提供備用網(wǎng)絡連線。防止防火墻發(fā)生硬件故障時能夠快速旁路防火墻，保證業(yè)務正常使用。5、在日常維護中建立防火墻資源使用參考基線，為判斷網(wǎng)絡異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個故障告警信息，在第一時間修復故障隱

10、患。7、建立設備運行檔案，為配置變更、事件處理提供完整的維護記錄，定期評估配置、策略和路由是否優(yōu)化。8、故障設想和故障處理演練：日常維護工作中需考慮到網(wǎng)絡各環(huán)節(jié)可能出現(xiàn)的問題和應對措施，條件允許情況下，可以結合網(wǎng)絡環(huán)境演練發(fā)生各類故障時的處理流程，如：設備出現(xiàn)故障，網(wǎng)線故障及交換機故障時的路徑保護切換。應急處理當網(wǎng)絡出現(xiàn)故障時，應迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位故障是否與防火墻有關。如果故障與防火墻有關，可首先檢查防火墻的、地址轉換策略、訪問控制策略、路由等是否按照實際使用需求配置，檢驗策略配置是否存在問題。一旦定位防火墻故障，可通過命令進行雙機切換，單機環(huán)境下發(fā)生故障時利用備份

11、的交換機/路由器配置，快速旁路防火墻。在故障明確定位前不要關閉防火墻。1、 檢查設備運行狀態(tài)網(wǎng)絡出現(xiàn)故障時，應快速判斷防火墻設備運行狀態(tài)，通過管理器登陸到防火墻上，快速查看CPU、內(nèi)存、連接數(shù)、Interface以及相應信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡無法正常訪問，順序檢查接口狀態(tài)、路由和策略配置是否有誤，在確認上述配置無誤后，通過tcpdump命令檢查防火墻對特定網(wǎng)段數(shù)據(jù)報處理情況。部分地址無法通過防火墻往往與策略配置有關。3、 檢查是否存在攻擊流量通過實時監(jiān)控確認是否有異常流量，同時在上行交換機中通過端口鏡像捕獲進出網(wǎng)絡的數(shù)據(jù)包，據(jù)此確認異常流量和攻擊類型，并在選項設置、入侵防護等項目中啟用對應防護措施來屏蔽攻擊流量。4、 檢查HA工作狀態(tài)檢查HA工作狀態(tài)，進一步確認引起切換的原因，引起HA切換原因通常為鏈路故障，交換機端口故障，設備斷電或重啟。設備運行時務請不要斷開HA心跳線纜。5、 防火墻發(fā)生故障時處理方法 如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無法使用console口登陸防火墻，防火墻反復啟動、無法建立ARP表、接口狀態(tài)始終為Down、無法進行配置調整等現(xiàn)象。為快速恢復業(yè)務，可通過調整上下行設備路由指向，快速將防火墻旁路，同時聯(lián)系供應商進行故障診斷?？偨Y改進故障處理后