天融信防火墻日常維護(hù)及常見問題

天融信防火墻日常維護(hù)及常見問題綜述：防火墻作為企業(yè)核心網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，需要為所有進(jìn)出網(wǎng)絡(luò)的信息流提供安全保護(hù)，對(duì)于企業(yè)關(guān)鍵的實(shí)時(shí)業(yè)務(wù)系統(tǒng)，要求網(wǎng)絡(luò)能夠提供7*24小時(shí)的不間斷保護(hù)，保持防火墻系統(tǒng)可靠運(yùn)行及在故障情況下快速診斷恢復(fù)成為維護(hù)人員的工作重點(diǎn)。天融信防火墻提供了豐富的冗余保護(hù)機(jī)制和故障診斷、排查方法，通過日常管理維護(hù)可以使防火墻運(yùn)行在可靠狀態(tài)，在故障情況下通過有效故障排除路徑能夠在最短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)運(yùn)行。本文對(duì)天融信防火墻日常維護(hù)進(jìn)行較系統(tǒng)的總結(jié)，為防火墻維護(hù)人員提供設(shè)備運(yùn)維指導(dǎo)。一、防火墻的連接方式猝硬件一臺(tái)接COM口5Swich、Hub1-1產(chǎn)品提供的附件及線纜使用方式猝硬件一臺(tái)接COM口5Swich、Hub產(chǎn)品提供的附件及線纜使用方式式天祖信ATORSBC可佰胃塹陞金世界?CONSOLE線纜?UTP5雙絞線-直通（1條，顏色：灰色）_-交叉（1條，顏色：紅色）使用：產(chǎn)品提供的附件及線纜使用方式式天祖信ATORSBC可佰胃塹陞金世界-直通：與HUB/SWITCH-交叉:與路由器/主機(jī)（一些高端交換機(jī)也可以通過交叉線與

防火墻連接）?軟件光盤?上架附件二、防火墻的工作狀態(tài)網(wǎng)絡(luò)衛(wèi)士防火墻的硬件設(shè)備安裝完成之后，就可以上電了。在工作過程中，具用戶可以根據(jù)網(wǎng)絡(luò)衛(wèi)士防火墻面板上的指示燈來判斷防火墻的工作狀態(tài)，體請(qǐng)見下表：指示燈名稱指示燈狀態(tài)描述工作燈與防火墻進(jìn)入工作狀態(tài)肘，工作燈閃爍-主從燈主從燈亮的時(shí)候，代表這臺(tái)墻是1一作堵反之,如果主從燈處于熄滅狀態(tài)，則該防火墻工作在備份模式-管理燈當(dāng)網(wǎng)絡(luò)管理員,如安全審計(jì)管理員，登錄防火墻時(shí),管理燈點(diǎn)亮.日志燈當(dāng)有L［志記錄動(dòng)作發(fā)生時(shí)，且前后兩次日志記錄發(fā)生的時(shí)間間隔超過1秒鐘時(shí)■H志燈會(huì)點(diǎn)亮，2-1防火墻安裝前的準(zhǔn)備在安裝防火墻之前必須弄清楚的幾個(gè)問題：1、路由走向（包括防火墻及其相關(guān)設(shè)備的路由調(diào)整）確定防火墻的工作模式：路由、透明、綜合。2、IP地址的分配（包括防火墻及其相關(guān)設(shè)備的IP地址分配）根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP地址3、數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向（各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號(hào)或者協(xié)議類型）4、要達(dá)到的安全目的（即要做什么樣的訪問控制）三、防火墻的管理及登錄方式>串口（console）管理方式：管理員為空，回車后直接輸入口令即可，初始口令talent，用passwd修改管理員密碼，請(qǐng)牢記修改后的密碼。WEBUI管理方式：超級(jí)管理員:superman，口令:talentTELNET管理方式：模擬console管理方式，用戶名superman，口令：talentSSH管理方式：模擬console管理方式，用戶名superman，口令：talent3-1防火墻的WEBUI管理方式在瀏覽器輸入：HTTPS://54，看到下列提示，選擇“是〃@TheTorld膏葉（日礎(chǔ)〔曰杏專舊），倒曲死〔3；丁耳⑴而口跑）昭助四）：匚I-?土匠虹>、Q仝I滿-煎港展略|爆蝦久工具▼回將inqo-地址。httpS//5-1httpE^/1^S4輸入用戶名和密碼后，按“提交〃按鈕

心Th?，E“S：f+（F}Wfli：E）理?悝）UPSfetiJi）iJIQjB口t也明為:曰）?g<&>Xi!-..林皿G>_&JizI*-k*-r■u、F--?fitAritoWFL實(shí)1呻1-|瑚W1fJK丫||―-—————j4，jc用尸名r用尸名r乂wrnsn3-2防火墻的CONSOLE管理方式超級(jí)終端參數(shù)設(shè)置：ee!nweeeecfiessee!nweeeecfiessMissssS=sSstvwp口pp3l>ot0fl0000000rrThlpTTTTTTTc:Opcr~citxii-sji

cNetifcrkSecuri?：m^□.3.001.050.1tyTechnolo^vCO.,i-cn參數(shù)名稱取值每秒位數(shù)：9600數(shù)據(jù)位，8奇偶校驗(yàn)*七KM'Z?。時(shí)就tB?三［甘由）釁nu匚、CL^串fttiOPD汐器HO占面<ff-癡地徑斌BL5HEDDDO:]Sat^itJQ&DDB-tf-J防火墻的命令菜單:TopserOSWTopsecOSii?syst^iMnetworkhndefinedebuglogauthenticationcertsiim)ofdpifirewallnatids(K>s防火墻的命令菜單:TopserOSWTopsecOSii?syst^iMnetworkhndefinedebuglogauthenticationcertsiim)ofdpifirewallnatids(K>ssaveshg_rimrdngsh?helpmodleexitTopsecOSK.cr防火墻的CONSOLE管理方式syste-mconfigurenetworkconfigor^highcivciilabilitycoinfiguraiionnetworkobjecidefinedebugsystemlogauthenticationcertmanagersnmipconfigpack&tfiltercotnfiguredpiobjectdefinefirewallconfiaurenatconfigureidsconfigureqosconfiguresavesv*ste*configshowSi*ste*runconfigshowsysteRiconfighelpmodeBenglishorChineseexitshell防火墻的CONSOLE管理方式TcM|>&ecttrigtem?3aC1?!.1loi>secKijtwerkSociiritwTochnclowCO.,LTDhtto:/Zwww.t(jfr與heco**.cnlooin:supcruianI1-O55word:T<Mps*j-cOSWhe1paio^!?!■c:hinesse_輸入helpmodeChinese命令可以看到中文化菜單M偵■野皆h!*腰摹醬巖*N祟Tx*腳Lsrilsl咋腐W加食申南22防火墻輔助功能一查看防火墻基本信息T天皿百.■>T5-seaz-[|']r-rfgg^alc舊行值*C-[|']r-rfgg^alc舊行值*CasT帷擴(kuò)Cttss￡?-□腳管起+?□皆謝管理*-□用戶認(rèn)證□芯火用*-□內(nèi)等過面Yltl9*R必□AfiRrai3□病而聃+=□或T用性日志與并警J1E出親建氟燎§財(cái):奇可GE版圣?史壘引率：厚度庖容冠誨:1ATSBF：iAiiE：K?：命奇理由協(xié)盤：IQF5ICT-TpserOpwiti^cSyrtcn喧3.CCI030ICKC"網(wǎng)USUE據(jù)'*HTTP7TFTtlF3S1TPT1UF心HIKHIS瓦洗SQlliETTOIfJitEESSATTWamuriiumiAnn.wha^snrrtuiE心iwmrD5FFJIPffinSfih接口電Jjt?lKiNJd理由TJ?1汨L8能山■295235.K50?Ui2.Ch3蹄出炫I&812S4/E552S5.2EE□^KRW3W注：如果鏈路狀態(tài)是紅色的話表示鏈路有問題，請(qǐng)查看設(shè)備物理連接;+C.3J07-12-Q3d：A339t?推:口沸由在條%-亡系殖荏如田□維臚蹣日珈；根繇+C.3J07-12-Q3d：A339t?推:口沸由在條%-亡系殖荏如田□維臚蹣日珈；根繇肅運(yùn)麗司:□EST逾t-U囑醉十口蚩鄉(xiāng)二]用戶認(rèn)HF￡-□EjJdS+山內(nèi)茁觀￡-□他蝴f-UAsm?，口郴印虧刀函佛性t-U日戒卷誓□退出森筋注：通過系統(tǒng)狀態(tài)的查看可以查看設(shè)備是否正常工作，以及CPU和內(nèi)存的使用系統(tǒng)

*7天融底3TOP5E3C-CSKrTSfsriii；-□liEijffAn理n斷蛆麟酵*7天融底3TOP5E3C-CSKrTSfsriii；-□liEijffAn理n斷蛆麟酵w.□KisifS-"］用戶UH*■nhAta土;二|內(nèi)吞過誼±-二］詮煎專冏--二|XSEta*-_j序腳*_!可可用程*■FJ日志揶郭f沮出系統(tǒng)用炫氣花的寄iSlSlSFl?IP_JsuciL—目的rC一目的*i□-I霍撮Ijij^hnM|3上—頁(yè)|■頁(yè)液寮1腿iJlF?畢口齡ltn■湖口HI目的W：績(jī)口目的KITIPEtcp102.L6B.3.234:9L45Lffl.166.1.234:31455132.LBBJ.254:443192.LBB.L.254:443CtcpIE.L6B.1.23i.3L4lLffl.16S.1.234:3144T1EE.LEB.1.254.4-13ISC.LGB.L.254.443CtgIK.160]234引43LW168L遂字國(guó)T1QZ.LGB.1制卻192LEB.L254:443Clb=p19Z.LEB]234-3I4EL9E】6El.234：3]?T192.LEB.]254*4-4^192IGB.LE54-443CIcp192.L6B.].234:314]Lffi.]0ft1.2M:3ULT192.1B2.LBB.L.2S4.443CtepIE.LflB.1.23i:9L4DLffl.1甌1.234:3地T192.LB0.1.25i.-M3192.LBB.L.2&4.-W3Ctcpg160i23+5139匾IK；l.2S4：.313flTIQS.LBB.125+443192LBB.L254443CgIE.158.1.E34-3I3Bls.leai.Z3i：3ra913Z.LBB.]254：H3ISELBB.L溫W3CL叩I9Z.LEB]2343L3TL9E]￡e1..234：3]37TI9Z.LEB.]354:443192IEB.L￡54-443Ctq>182.L6B.].23i:3L3bL梨166.L23fl:?力段T102.LBB.].￡54:443192.Lfib.L.2&l.4-13CtCD192.L135L34:3135JO1SZ.LG0.1.251.-M31E.LBB.L.2S4.4-13Eik.l.CQClo.-.LHmud涕山2Kd-T97THITH7T^■■Z天削信□>TOF-SEC-J蔓本信耳-J運(yùn)行但耳??日配置□部L-□EM外口資祖管理小口用戶隊(duì)證■改用戶屋性五、天融信防火墻維護(hù)指南5-1常規(guī)維護(hù)：在防火墻的日常維護(hù)中，通過對(duì)防火墻進(jìn)行健康檢查，能夠?qū)崟r(shí)了解天融信防火墻運(yùn)行狀況，檢測(cè)相關(guān)告警信息，提前發(fā)現(xiàn)并消除網(wǎng)絡(luò)異常和潛在故障隱患，以確保設(shè)備始終處于正常工作狀態(tài)。1、日常維護(hù)過程中，需要重點(diǎn)檢查以下幾個(gè)關(guān)鍵信息：連接數(shù)：如當(dāng)前的連接數(shù)達(dá)到或接近系統(tǒng)最大值，將導(dǎo)致新會(huì)話不能及時(shí)建立連接，此時(shí)已經(jīng)建立連接的通訊雖不會(huì)造成影響；但僅當(dāng)現(xiàn)有的連接拆除后，釋放出來的資源才可供新建連接使用。維護(hù)建議：當(dāng)當(dāng)前連接數(shù)正常使用至85%時(shí)，需要考慮設(shè)備容量限制并及時(shí)升級(jí)，以避免因設(shè)備容量不足影響業(yè)務(wù)拓展。CPU:天融信防火墻是高性能的防火墻，正常工作狀態(tài)下防火墻CPU使用率應(yīng)保持在10%以下，如出現(xiàn)CPU利用率過高情況需給予足夠重視，應(yīng)檢查連接數(shù)使用情況和各類告警信息，并檢查網(wǎng)絡(luò)中是否存在攻擊流量。通常情況下CPU利用率過高往往與攻擊有關(guān)，可通過正確設(shè)置系統(tǒng)參數(shù)、攻擊防護(hù)的對(duì)應(yīng)選項(xiàng)進(jìn)行防范。內(nèi)存：天融信防火墻對(duì)內(nèi)存的使用把握得十分準(zhǔn)確，正常情況下，內(nèi)存的使用率應(yīng)基本保持穩(wěn)定，不會(huì)出現(xiàn)較大的浮動(dòng)。如果出現(xiàn)內(nèi)存使用率過高（＞90%）時(shí)，可以查看連接數(shù)情況，或通過實(shí)時(shí)監(jiān)控功能檢查網(wǎng)絡(luò)中是否存在異常流量和攻擊流量。2、在業(yè)務(wù)使用高峰時(shí)段檢查防火墻關(guān)鍵資源（如：Cpu、連接數(shù)、內(nèi)存和接口流量）等使用情況，建立網(wǎng)絡(luò)中業(yè)務(wù)流量對(duì)設(shè)備資源使用的基準(zhǔn)指標(biāo)，為今后確認(rèn)網(wǎng)絡(luò)是否處于正常運(yùn)行狀態(tài)提供參照依據(jù)。當(dāng)連接數(shù)數(shù)量超過平常基準(zhǔn)指標(biāo)20%時(shí)，需通過實(shí)時(shí)監(jiān)控檢查當(dāng)前網(wǎng)絡(luò)是否存在異常流量。當(dāng)Cpu占用超過平?；鶞?zhǔn)指標(biāo)20%時(shí)，需查看異常流量、定位異常主機(jī)、檢查策略是否優(yōu)化。

3、防火墻健康檢查信息表:設(shè)備型號(hào)軟件版本序列號(hào)設(shè)備用途防火墻設(shè)備狀態(tài)主用/備用工作模式透明/路由/混合檢查對(duì)象相關(guān)信息檢查結(jié)果備注連接數(shù)CPU內(nèi)存Interface路由表HA狀態(tài)LED指示燈設(shè)備運(yùn)行參考基線連接數(shù)Cpu內(nèi)存接口流量業(yè)務(wù)類型常規(guī)維護(hù)建議：1、配置管理IP地址，指定專用終端管理防火墻；2、更改默認(rèn)賬號(hào)和口令，不建議使用缺省的賬號(hào)、密碼管理防火墻；嚴(yán)格按照實(shí)際使用需求開放防火墻的相應(yīng)的管理權(quán)限，并且管理權(quán)限的開放控制粒度越細(xì)越安全；設(shè)置兩級(jí)管理員賬號(hào)并定期變更口令；僅容許使用SSH和SSL方式登陸防火墻進(jìn)行管理維護(hù)。3、深入理解網(wǎng)絡(luò)中業(yè)務(wù)類型和流量特征，持續(xù)優(yōu)化防火墻策略。整理出完整網(wǎng)絡(luò)環(huán)境視圖（網(wǎng)絡(luò)端口、互聯(lián)地址、防護(hù)網(wǎng)段、網(wǎng)絡(luò)流向、策略表、應(yīng)用類型等），以便網(wǎng)絡(luò)異常時(shí)快速定位故障。4、整理一份上下行交換機(jī)配置備份文檔（調(diào)整其中的端口地址和路由指向），提供備用網(wǎng)絡(luò)連線。防止防火墻發(fā)生硬件故障時(shí)能夠快速旁路防火墻，保證業(yè)務(wù)正常使用。5、在日常維護(hù)中建立防火墻資源使用參考基線，為判斷網(wǎng)絡(luò)異常提供參考依據(jù)。6、重視并了解防火墻產(chǎn)生的每一個(gè)故障告警信息，在第一時(shí)間修復(fù)故障隱患。7、建立設(shè)備運(yùn)行檔案，為配置變更、事件處理提供完整的維護(hù)記錄，定期評(píng)估配置、策略和路由是否優(yōu)化。8、故障設(shè)想和故障處理演練：日常維護(hù)工作中需考慮到網(wǎng)絡(luò)各環(huán)節(jié)可能出現(xiàn)的問題和應(yīng)對(duì)措施，條件允許情況下，可以結(jié)合網(wǎng)絡(luò)環(huán)境演練發(fā)生各類故障時(shí)的處理流程，如：設(shè)備出現(xiàn)故障，網(wǎng)線故障及交換機(jī)故障時(shí)的路徑保護(hù)切換。9、設(shè)備運(yùn)行檔案表設(shè)備型號(hào)軟件版本設(shè)備序列號(hào)設(shè)備用途防火墻設(shè)備狀態(tài)主用/備用工作模式透明/路由/混合保修期限供應(yīng)商聯(lián)系方式配置變更變更原因變更內(nèi)容結(jié)果負(fù)責(zé)人事件處理事件現(xiàn)象處理過程結(jié)果負(fù)責(zé)人應(yīng)急處理當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)迅速檢查防火墻狀態(tài)并判斷是否存在攻擊流量，定位故障是否與防火墻有關(guān)。如果故障與防火墻有關(guān)，可首先檢查防火墻的、地址轉(zhuǎn)換策略、訪問控制策略、路由等是否按照實(shí)際使用需求配置，檢驗(yàn)策略配置是否存在問題。一旦定位防火墻故障，可通過命令進(jìn)行雙機(jī)切換，單機(jī)環(huán)境下發(fā)生故障時(shí)利用備份的交換機(jī)/路由器配置，快速旁路防火墻。在故障明確定位前不要關(guān)閉防火墻。1、檢查設(shè)備運(yùn)行狀態(tài)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，應(yīng)快速判斷防火墻設(shè)備運(yùn)行狀態(tài)，通過管理器登陸到防火墻上，快速查看CPU、內(nèi)存、連接數(shù)、Interface以及相應(yīng)信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、跟蹤防火墻對(duì)數(shù)據(jù)包處理情況如果出現(xiàn)部分網(wǎng)絡(luò)無法正常訪問，順序檢查接口狀態(tài)、路由和策略配置是否有誤，在確認(rèn)上述配置無誤后，通過tcpdump命令檢查防火墻對(duì)特定網(wǎng)段數(shù)據(jù)報(bào)處理情況。部分地址無法通過防火墻往往與策略配置有關(guān)。3、檢查是否存在攻擊流量通過實(shí)時(shí)監(jiān)控確認(rèn)是否有異常流量，同時(shí)在上行交換機(jī)中通過端口鏡像捕獲進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，據(jù)此確認(rèn)異常流量和攻擊類型，并在選項(xiàng)設(shè)置、入侵防護(hù)等項(xiàng)目中啟用對(duì)應(yīng)防護(hù)措施來屏蔽攻擊流量。4、防火墻發(fā)生故障時(shí)處理方法如果出現(xiàn)以下情況可初步判斷防火墻硬件或系統(tǒng)存在故障：無法使用console口登陸防火墻，防火墻反復(fù)啟動(dòng)、無法建立ARP表、接口狀態(tài)始終為Down、無法進(jìn)行配置調(diào)整等現(xiàn)象。為快速恢復(fù)業(yè)務(wù)，可通過調(diào)整上下行設(shè)備路由指向，快速將防火墻旁路，同時(shí)聯(lián)系供應(yīng)商進(jìn)行故障診斷?？偨Y(jié)改進(jìn)故障處理后的總結(jié)與改進(jìn)是進(jìn)一步鞏固網(wǎng)絡(luò)可靠性的必要環(huán)節(jié)，有效的總結(jié)能夠避免很多網(wǎng)絡(luò)故障再次發(fā)生。1、在故障解決后，需要進(jìn)一步總結(jié)故障產(chǎn)生原因，并確認(rèn)該故障已經(jīng)得到修復(fù)，避免故障重復(fù)發(fā)生。2、條件容許的情況下，構(gòu)建防火墻業(yè)務(wù)測(cè)試環(huán)境，對(duì)所有需要調(diào)整的配置參數(shù)在上線前進(jìn)行測(cè)試評(píng)估，避免因配置調(diào)整帶來新的故障隱患。3、分析網(wǎng)絡(luò)可能存在的薄弱環(huán)節(jié)和潛在隱患，通過技術(shù)論證和測(cè)試驗(yàn)證來修復(fù)隱患。5-2故障處理工具天融信防火墻提供靈活多樣的維護(hù)方式，其中故障處理時(shí)最有用的兩個(gè)工具是實(shí)時(shí)監(jiān)控功能和tcpdump，實(shí)時(shí)監(jiān)控功能用于實(shí)時(shí)查看網(wǎng)絡(luò)當(dāng)前的連接情況，可以快速定位存在異常流量的IP主機(jī)或攻擊源主機(jī)，tcpdump用于跟蹤防火墻對(duì)指定包的處理。下面簡(jiǎn)要介紹一下兩個(gè)工具的使用方法。Tcpdump:捕獲進(jìn)出防火墻的數(shù)據(jù)包1、TFW支持TCPDUMP命令；2、直接在串口登陸界面下或telnet到防火墻界面下，即可使用tcpdump命令；在串口登陸或telnet登陸后，先敲system回車，進(jìn)入系統(tǒng)目錄才可以使用tcpdump命令。3、Tcpdump語法中存在三種主要的關(guān)鍵字：第一種是關(guān)于類型的關(guān)鍵字，主要包括host，net，port，例如host，指明是一臺(tái)主機(jī)，net指明是一個(gè)網(wǎng)絡(luò)地址，port23指明端口號(hào)是23.如果沒有指定類型，缺省的類型是host.第二種是確定傳輸方向的關(guān)鍵字，主要包括src，dst，dstorsrc，dstandsrc，這些關(guān)鍵字指明了傳輸?shù)姆较颉Ｅe例說明，src，指明ip包中源地址是，dstnet指明目的網(wǎng)絡(luò)地址是.如果沒有指明方向關(guān)鍵字，則缺省是srcordst關(guān)鍵字。第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI（分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò)）上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是"ether〃的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。如果沒有指定任何協(xié)議，則tcpdump將會(huì)監(jiān)聽所有協(xié)議的信息包。4、邏輯運(yùn)算除了這三種類型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway，broadcast,less,greater，還有三種邏輯運(yùn)算，取非運(yùn)算是'not',!',與運(yùn)算是'and','&&'；或運(yùn)算是'or','||'；這些關(guān)鍵字可以組合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要，下面舉幾個(gè)例子來說明。5、使用例子：例1：在ethl口抓包，只顯示地址為和icmp協(xié)議的報(bào)文。Tcpdump-ieth1hostandicmp例2：在所有的接口抓包，不顯示4000端口的管理報(bào)文，和23端口的telnet報(bào)文。Tcpdump-ianynotport4000andnotport23（在同時(shí)管理的時(shí)候很實(shí)用）例3：在eth1口抓包，顯示地址為或的報(bào)文。Tcpdump-ieth1hostorhost（針對(duì)MAP前后的地址同時(shí)抓包定位時(shí)非常實(shí)用）例4：在所有的接口抓包，顯示地址為報(bào)文。Tcpdump|grephost（在adls環(huán)境中非常實(shí)用，封裝了PPPOE的報(bào)文也能抓到，但是TOS不支持grep的參數(shù)了）在tos系統(tǒng)中，X86的平臺(tái)下才有抓包的工具，一n表示不需要域名解析，加快抓包的速度。并且-evv比老的4k系統(tǒng)中，能抓到更多的信息，其中還包括校驗(yàn)和。例5：Systemtcpdump-iany-evv-n（TOS系統(tǒng)中最后必須加-n的參數(shù)，才能保證抓包的速度）例6：Systemtcpdump-iipsec0-n（TOS支持在ipsec0中抓包，來判斷數(shù)據(jù)流是否進(jìn)入隧道）例7：Systemtcpdump-ippp0-n（TOS支持在ppp0中抓包，來判斷數(shù)據(jù)流是否進(jìn)入PPPoE的封裝）實(shí)時(shí)監(jiān)控功能：實(shí)時(shí)查看進(jìn)出防火墻的連接情況1、天融信防火墻支持實(shí)時(shí)監(jiān)控功能，可以實(shí)時(shí)了解當(dāng)前經(jīng)過防火墻的連接情況，其可以查看的內(nèi)容有需：源IP地址、目的IP地址、源端口、目的端口、連接建立時(shí)間、接收的流量、發(fā)送的流量、NAT轉(zhuǎn)換后的地址、連接屬性等等內(nèi)容。2、查看實(shí)時(shí)監(jiān)控需要在防火墻上開放相應(yīng)的權(quán)限，老4K系統(tǒng)開放權(quán)限過程為：選項(xiàng)設(shè)置一安全設(shè)備登陸控制一增加一個(gè)客戶類型為監(jiān)控器的管理項(xiàng)即可（具體參考老4K用戶手冊(cè)）；TOS防火墻開放監(jiān)控權(quán)限過程為：系統(tǒng)一開放服務(wù)一增加一個(gè)權(quán)限為GUI管理的項(xiàng)目即可（具體參見TOS防火墻用戶手冊(cè)）；3、老4K防火墻直接通過集中管理器一實(shí)時(shí)監(jiān)控一連接信息一啟動(dòng)監(jiān)控即可，TOS系統(tǒng)需要通過管理中心的安全工具登陸防火墻，再啟用連接監(jiān)控一啟動(dòng)即可；4、實(shí)時(shí)監(jiān)控功能支持按照各個(gè)監(jiān)控內(nèi)容排序顯示，通過實(shí)時(shí)監(jiān)控功能可以很快的定位處異常主機(jī)。5、實(shí)時(shí)監(jiān)控可以設(shè)置監(jiān)控的過濾條件（具體見用戶使用手冊(cè)）；5-3策略配置與優(yōu)化防火墻策略優(yōu)化與調(diào)整是網(wǎng)絡(luò)維護(hù)工作的重要內(nèi)容，策略是否優(yōu)化將對(duì)設(shè)備運(yùn)行性能產(chǎn)生顯著影響?？紤]到企業(yè)中業(yè)務(wù)流向復(fù)雜、業(yè)務(wù)種類往往比較多，因此建議在設(shè)置策略時(shí)盡量保證統(tǒng)一規(guī)劃以提高設(shè)置效率，提高可讀性，降低維護(hù)難度。策略配置與維護(hù)需要注意地方有：試運(yùn)行階段最后一條策略定義為所有訪問允許并記錄日志，以便在不影響業(yè)務(wù)的情況下找漏補(bǔ)遺；當(dāng)確定把所有的業(yè)務(wù)流量都調(diào)查清楚并放行后，可將最后一條定義為所有訪問禁止并記錄日志，以便在試運(yùn)行階段觀察非法流量行蹤。試運(yùn)行階段結(jié)束后，再將最后一條“禁止所有訪問”策略刪除。?防火墻按從上至下順序搜索策略表進(jìn)行策略匹配，策略順序?qū)B接建立速度會(huì)有影響，建議將流量大的應(yīng)用和延時(shí)敏感應(yīng)用放于策略表的頂部，將較為特殊的策略定位在不太特殊的策略上面。策略配置中的Log（記錄日志）選項(xiàng)可以有效進(jìn)行記錄、排錯(cuò)等工作，但啟用此功能會(huì)耗用部分資源。建議在業(yè)務(wù)量大的網(wǎng)絡(luò)上有選擇采用，或僅在必要時(shí)采用。?簡(jiǎn)化的策略表不僅便于維護(hù)，而且有助于快速匹配。盡量保持策略表簡(jiǎn)潔和簡(jiǎn)短，規(guī)則越多越容易犯錯(cuò)誤。通過定義地址組和服務(wù)組可以將多個(gè)單一策略合并到一條組合策略中。策略用于區(qū)域間單方向網(wǎng)絡(luò)訪問控制。如果源區(qū)域和目的區(qū)域不同，則防火墻在區(qū)域間策略表中執(zhí)行策略查找。如果源區(qū)域和目的區(qū)域相同并啟用區(qū)域內(nèi)阻斷，則防火墻在區(qū)域內(nèi)部策略表中執(zhí)行策略查找。如果在區(qū)域間或區(qū)域內(nèi)策略表中沒有找到匹配策略，則安全設(shè)備會(huì)檢查相關(guān)區(qū)域的缺省訪問權(quán)限以查找匹配策略。策略變更控制。組織好策略規(guī)則后，應(yīng)寫上注釋并及時(shí)更新。注釋可以幫助管理員了解每條策略的用途，對(duì)策略理解得越全面，錯(cuò)誤配置的可能性就越小。如果防火墻有多個(gè)管理員，建議策略調(diào)整時(shí)，將變更者、變更具體時(shí)間、變更原因加入注釋中，便于后續(xù)跟蹤維護(hù)。5-4攻擊防御天融信防火墻利用入侵防護(hù)功能抵御互聯(lián)網(wǎng)上流行的DoS/DDoS的攻擊，一些流行的攻擊手法有Synflood，Udpflood，Smurf，PingofDeath，LandAttack等，防火墻在抵御這些攻擊時(shí)，會(huì)消耗防火墻一部分的系統(tǒng)資源，所以，在網(wǎng)絡(luò)正常情況下，一般不推薦使用，但是當(dāng)網(wǎng)絡(luò)確實(shí)存在這些類型的攻擊數(shù)據(jù)流時(shí)，我們可以適當(dāng)開啟這些抗攻擊選項(xiàng)，可以有效的保護(hù)各種應(yīng)用服務(wù)器。如果希望開啟其它選項(xiàng)，在開啟這些防護(hù)功能前有幾個(gè)因素需要考慮：?抵御攻擊的功能會(huì)占用防火墻部分CPU資源；?自行開發(fā)的一些應(yīng)用程序中，可能存在部分不規(guī)范的數(shù)據(jù)包格式；?網(wǎng)絡(luò)環(huán)境中可能存在非常規(guī)性設(shè)計(jì)。如果因選擇過多的防攻擊選項(xiàng)而大幅降低了防火墻處理能力，則會(huì)影響正常網(wǎng)絡(luò)處理的性能；如果自行開發(fā)的程序不規(guī)范，可能會(huì)被IP數(shù)據(jù)包協(xié)議異常的攻擊選項(xiàng)屏蔽；非常規(guī)的網(wǎng)絡(luò)設(shè)計(jì)也會(huì)出現(xiàn)合法流量被屏蔽問題。要想有效發(fā)揮天融信防火墻的攻擊防御功能，需要對(duì)網(wǎng)絡(luò)中流量和協(xié)議類型有比較充分的認(rèn)識(shí)，同時(shí)要理解每一個(gè)防御