2022年天融信防火墙日常维护与常见问题.docx

《2022年天融信防火墙日常维护与常见问题.docx》由会员分享，可在线阅读，更多相关《2022年天融信防火墙日常维护与常见问题.docx（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选学习资料 - - - - - - - - - 天融信防火墙日常爱护及常见问题综述 : 防火墙作为企业核心网络中的关键设备,需要为全部进出网络的信息流供应 安全爱护,对于企业关键的实时业务系统,要求网络能够供应 7*24 小时的不间 断爱护,保持防火墙系统牢靠运行及在故障情形下快速诊断复原成为爱护人员的 工作重点；天融信防火墙供应了丰富的冗余爱护机制和故障诊断、排查方法,通过日常治理爱护可以使防火墙运行在牢靠状态,在故障情形下通过有效故障排除路径能够在最短时间内复原网络运行；本文对天融信防火墙日常爱护进行较系统的总 结,为防火墙爱护人员供应设备运维指导；一、防火墙的连接方式名师归纳总结 -

2、- - - - - -第 1 页,共 22 页精选学习资料 - - - - - - - - - 产品形状硬件一台. 形状： 19 寸 1U 标准机箱串口 线交叉治理机直通交叉线PC线线接 COM 口Swich 、RouteHub51-1 产品供应的附件及线缆使用方式产品供应的附件及线缆使用方式. .CONSOLE线缆 UTP5双绞线-直通 1 条,颜色 : 灰色 -交叉 1 条,颜色 : 红色 使用 : 直通 : 与HUB/SWITCH交叉 : 与路由器 / 主机（ 一些高端交换机也可以通过交叉线与防火墙连接. 软件光盘. 上架附件6名师归纳总结 - - - - - - -第 2 页,共 22

3、 页精选学习资料 - - - - - - - - - 二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后,就可以上电了；在工作过程中,具用户可以依据网络卫士防火墙面板上的指示灯来判定防火墙的工作状态,体请见下表：2-1 防火墙安装前的预备在安装防火墙之前必需弄清晰的几个问题：1、路由走向 包括防火墙及其相关设备的路由调整 确定防火墙的工作模式：路由、透亮、综合；2、IP 地址的安排 包括防火墙及其相关设备的 IP 地址安排 依据确定好的防火墙的工作模式给防火墙分协作理的 IP 地址3、数据应用和数据流向 各种应用的数据流向及其需要开放的端口号或者协议类型 4、要达到的安全目的 即要做什么

4、样的拜访掌握 三、防火墙的治理及登录方式名师归纳总结 - - - - - - -第 3 页,共 22 页精选学习资料 - - - - - - - - - .串口 console治理方式：治理员为空,回车后直接输入口令即可,初始口令理员密码,请牢记修改后的密码；. WEBUI 治理方式：超级治理员 :superman ,口令 :talent . TELNET 治理方式：talent, 用 passwd 修改管模拟 console 治理方式,用户名 superman ,口令： talent . SSH 治理方式：模拟 console 治理方式,用户名3-1 防火墙的 WEBUI 治理方式super

5、man ,口令： talent 名师归纳总结 在浏览器输入： HTTPS:/192.168.1.254,看到以下提示,挑选 “是”第 4 页,共 22 页- - - - - - -精选学习资料 - - - - - - - - - 输入用户名和密码后,按“提交 ”按钮3-2 防火墙的 CONSOLE 治理方式超级终端参数设置：名师归纳总结 - - - - - - -第 5 页,共 22 页精选学习资料 - - - - - - - - - 防火墙的CONSOLE治理方式防火墙的命令菜单：1防火墙的CONSOLE治理方式helpmodechinese命令输入可以看到中文化菜单22四、防火墙日常爱护防

6、火墙帮助功能查看防火墙基本信息名师归纳总结 - - - - - - -第 6 页,共 22 页精选学习资料 - - - - - - - - - 注：假如链路状态是红色的话表示链路有问题,请查看设备物理连接 ; 查看防火墙运行状态图 1 注：通过系统状态的查看可以查看设备是否正常工作,以及 CPU 和内存的使用名师归纳总结 - - - - - - -第 7 页,共 22 页精选学习资料 - - - - - - - - - 系统图 2 注：在当前连接里面能看到连接的话表示防火墙的通讯是正常的；4-1 如何修改防火墙口令 设备支持多级用户治理,不同类型的用户具有不同的操作权限；用户权限基本 可分为三

7、种：超级治理员、治理用户与审计用户；超级治理员是系统的内建帐 号,具有全部的功能权限；治理用户可以设定和查看规章,但没有综合配置（例如安排治理员、配置爱护等）的权限；审计用户权限最小,只可以查看已 有规章,没有添加和修改规章的权限；名师归纳总结 - - - - - - -第 8 页,共 22 页精选学习资料 - - - - - - - - - 五、天融信防火墙爱护指南5-1 常规爱护：在防火墙的日常爱护中, 通过对防火墙进行健康检查, 能够实时明白天融信防火墙运行状况,检测相关告警信息, 提前发觉并排除网络反常和潜在故障隐患,以确保设备始终处于正常工作状态；1、日常爱护过程中,需要重点检查以下

8、几个关键信息：连接数：如当前的连接数达到或接近系统最大值,将导致新会话不能准时建立连接,此时已经建立连接的通讯虽不会造成影响；但仅当现有的连接拆除后,释放出来的资源才可供新建连接使用； 爱护建议：当当前连接数正常使用至 85 时,需要考虑设备容量限制并准时升级,以防止因设备容量不足影响业务拓展；CPU: 天融信防火墙是高性能的防火墙,正常工作状态下防火墙 CPU 使用 率应保持在 10% 以下,如显现 CPU 利用率过高情形需赐予足够重视,应检查连名师归纳总结 - - - - - - -第 9 页,共 22 页精选学习资料 - - - - - - - - - 接数使用情形和各类告警信息,并检查

9、网络中是否存在攻击流量；通常情形下 CPU 利用率过高往往与攻击有关,可通过正确设置系统参数、攻击防护的对应 选项进行防范；内存 : 天融信防火墙对内存的使用把握得特别精确,正常情形下,内存的使 用率应基本保持稳固, 不会显现较大的浮动； 假如显现内存使用率过高 （90% ）时,可以查看连接数情形, 或通过实时监控功能检查网络中是否存在反常流量和攻击流量；2、在业务使用高峰时段检查防火墙关键资源（如：Cpu 、连接数、内存和接口流量） 等使用情形, 建立网络中业务流量对设备资源使用的基准指标,为今后确认网络是否处于正常运行状态供应参照依据；当连接数数量超过平常基准指标 20时,需通过实时监控检

10、查当前网络是否存在反常流量；当 Cpu 占用超过平常基准指标 20 时,需查看反常流量、定位反常主机、检查策略是否优化；3、防火墙健康检查信息表：名师归纳总结 设备型号防火墙软件版本序列号透亮 / 路由 / 混合第 10 页,共 22 页设备用途设备状态主用 / 备用工作模式检查对象相关信息检查结果备注- - - - - - -精选学习资料 - - - - - - - - - 连接数CPU 内存Interface 路由表HA 状态LED 指示灯连接数Cpu 设备运行 内存参考基线 接口流量业务类型常规爱护建议：名师归纳总结 - - - - - - -第 11 页,共 22 页精选学习资料 -

11、- - - - - - - - 1、配置治理 IP 地址,指定专用终端治理防火墙；2、更换默认账号和口令,不建议使用缺省的账号、密码治理防火墙；严格依据实际使用需求开放防火墙的相应的治理权限,并且治理权限的开放掌握粒度越细越安全；设置两级治理员账号并定期变更口令；仅容许使用 SSH 和 SSL 方式登 陆防火墙进行治理爱护；3、深化懂得网络中业务类型和流量特点,连续优化防火墙策略；整理出完整网 络环境视图（网络端口、 互联地址、防护网段、 网络流向、策略表、应用类型等）,以便网络反常时快速定位故障；4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向） ,提供备用网络连线； 防止

12、防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用；5、在日常爱护中建立防火墙资源使用参考基线,为判定网络反常供应参考依据；6、重视并明白防火墙产生的每一个故障告警信息,在第一时间修复故障隐患；7、建立设备运行档案,为配置变更、大事处理供应完整的爱护记录,定期评估 配置、策略和路由是否优化；8、故障设想和故障处理演练：日常爱护工作中需考虑到网络各环节可能显现的问题和应对措施, 条件答应情形下, 可以结合网络环境演练发生各类故障时的处理流程,如：设备显现故障,网线故障及交换机故障时的路径爱护切换；9、设备运行档案表名师归纳总结 设备型号防火墙软件版本设备序列号透亮/ 路由/ 混合第 12

13、页,共 22 页设备用途设备状态主用 /备用工作模式保修期限供应商联系方式- - - - - - -精选学习资料 - - - - - - - - - 变更缘由变更内容结果负责人配置变更大事现象处理过程结果负责人事 件 处 理应急处理当网络显现故障时,应快速检查防火墙状态并判定是否存在攻击流量,定位 故障是否与防火墙有关； 假如故障与防火墙有关, 可第一检查防火墙的、 地址转 换策略、拜访掌握策略、 路由等是否依据实际使用需求配置,检验策略配置是否 存在问题； 一旦定位防火墙故障, 可通过命令进行双机切换, 单机环境下发生故名师归纳总结 - - - - - - -第 13 页,共 22 页精选学

14、习资料 - - - - - - - - - 障时利用备份的交换机 / 路由器配置,快速旁路防火墙；在故障明确定位前不要关闭防火墙；1、 检查设备运行状态网络显现故障时, 应快速判定防火墙设备运行状态,通过治理器登陆到防火墙上,快速查看 CPU、内存、连接数、 Interface 以及相应信息,初步排除防火墙硬件故障并判定是否存在攻击行为；2、 跟踪防火墙对数据包处理情形假如显现部分网络无法正常拜访,次序检查接口状态、 路由和策略配置是否有误,在确认上述配置无误后,通过tcpdump命令检查防火墙对特定网段数据报处理情形；部分地址无法通过防火墙往往与策略配置有关；3、 检查是否存在攻击流量通过实

15、时监控确认是否有反常流量, 同时在上行交换机中通过端口镜像捕捉进出网络的数据包, 据此确认反常流量和攻击类型,目中启用对应防护措施来屏蔽攻击流量；4、 防火墙发生故障时处理方法并在选项设置、 入侵防护等项假如显现以下情形可初步判定防火墙硬件或系统存在故障：无法使用console口登陆防火墙,防火墙反复启动、无法建立ARP 表、接口状态始终为Down 、无法进行配置调整等现象；为快速复原业务,可通过调整上下行设备路由指向,快速将防火墙旁路,同时联系供应商进行故障诊断；总结改进名师归纳总结 故障处理后的总结与改进是进一步巩固网络牢靠性的必要环节,有效的总结能够第 14 页,共 22 页- - -

16、- - - -精选学习资料 - - - - - - - - - 防止许多网络故障再次发生；1、在故障解决后, 需要进一步总结故障产生缘由,防止故障重复发生；并确认该故障已经得到修复,2、条件容许的情形下,构建防火墙业务测试环境,对全部需要调整的配置参数 在上线前进行测试评估,防止因配置调整带来新的故障隐患；3、分析网络可能存在的薄弱环节和潜在隐患,通过技术论证和测试验证来修复 隐患；5-2 故障处理工具天融信防火墙供应敏捷多样的爱护方式,其中故障处理时最有用的两个工具是实时监控 功能和 tcpdump,实时监控功能用于实时查看网络当前的连接情形,可以快速定位存在反常流量的 IP 主机或攻击源主

17、机, tcpdump 用于跟踪防火墙对指定包的处理；下面简要介绍一下两个工具的使用方法；Tcpdump: 捕捉进出防火墙的数据包1、 TFW 支持 TCPDUMP 命令；2、 直接在串口登陆界面下或telnet 到防火墙界面下,即可使用 tcpdump命令；在串口登陆或 telnet 登陆后,先敲 system 回车,进入系统目录才可以使用tcpdump 命令；3、 Tcpdump 语法中存在三种主要的关键字：第一种 是关 于 类型 的 关键字,主 要包括 host , net , port ,例如 host 210.27.48.2 ,指明 210.27.48.2 是一台主机, net 202

18、.0.0.0 指明 202.0.0.0是一个网络地址, port 23 指明端口号是 23.假如没有指定类型,缺省的类型是名师归纳总结 - - - - - - -第 15 页,共 22 页精选学习资料 - - - - - - - - - host. 其次种 是确定 传输方向 的关键字,主要包括src , dst ,dst or src , dst and src ,这些关键字指明白传输的方向；举例说明,src 210.27.48.2 ,指明 ip 包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是 202.0.0.0 .假如没有指明方向关键字,就缺

19、省是 src or dst 关键字；第三种 是协议的关键字,主要包括 fddi ,ip ,arp ,rarp ,tcp ,udp 等类型；Fddi 指明是在 FDDI（分布式光纤数据接口网络）上的特定的网络协议,实际上它是 ether 的别名, fddi 和 ether 具有类似的源地址和目的地址,所以可以将fddi 协议包当作 ether 的包进行处理和分析；其他的几个关键字就是指明白监听的包的协议内容；假如没有指定任何协议,就 tcpdump 将会监听全部协议的信息包；4、 规律运算除了这三种类型的关键字之外, 其他重要的关键字如下： gateway , broadcast ,less,g

20、reater ,仍有三种规律运算,取非运算是 not ！ , 与运算是 and ,& ；或运算 是or , ；这些关键字可以组合起来构成强大的组合条件来满意人们的需要,下面举几个例子来说明；5、 使用例子：例 1：在 eth1 口抓包,只显示地址为10.1.1.1 和 icmp 协议的报文；Tcpdump i eth1 host 10.1.1.1 and icmp 例 2：在全部的接口抓包,不显示4000 端口的治理报文,和23 端口的 telnet报文；名师归纳总结 - - - - - - -第 16 页,共 22 页精选学习资料 - - - - - - - - - Tcpdump i an

21、y not port 4000 and not port 23 （在同时治理的时候很有用）例 3：在 eth1 口抓包,显示地址为211.1.1.1 或 10.1.1.1 的报文；Tcpdump i eth1 host 211.1.1.1 or host 10.1.1.1 （针对 MAP 前后的地址同时抓包定位时特别有用）例 4：在全部的接口抓包,显示地址为 10.1.1.1 报文；Tcpdump |grep host 10.1.1.1 （在 adls 环境中特别有用,封装了 PPPOE的报文也能抓到,但是TOS 不支持 grep 的参数了）在 tos 系统中, X86 的平台下才有抓包的工具

22、,n 表示不需要域名解析,加快抓包的速度；并且 -evv 比老的 4k 系统中,能抓到更多的信息,其中仍包括校验和；例 5：System tcpdump 才能保证抓包的速度）i any evv -n （TOS 系统中最终必需加 -n 的参数,例 6：System tcpdump i ipsec0 -n （TOS 支持在 ipsec0 中抓包,来判断数据流是否进入隧道）例 7：System tcpdump i ppp0 -n （TOS 支持在 ppp0 中抓包,来判定数据流是否进入 PPPoE 的封装）实时监控功能：实时查看进出防火墙的连接情形1、天融信防火墙支持实时监控功能, 可以实时明白当前

23、经过防火墙的连接情形,其可以查看的内容有需：源IP 地址、目的 IP 地址、源端口、目的端口、连名师归纳总结 - - - - - - -第 17 页,共 22 页精选学习资料 - - - - - - - - - 接建立时间、接收的流量、发送的流量、等内容；NAT 转换后的地址、连接属性等2、查看实时监控需要在防火墙上开放相应的权限,老 4K 系统开放权限过程为：选项设置安全设备登陆掌握增加一个客户类型为监控器的治理项即可（详细参考老 4K 用户手册）；TOS 防火墙开放监控权限过程为：系统开放服务增加一个权限为GUI 治理的项目即可（详细参见TOS 防火墙用户手册）；3、老 4K 防火墙直接通

24、过集中治理器实时监控连接信息启动监控即可,TOS 系统需要通过治理中心的安全工具登陆防火墙,再启用连接监控启 动即可；4、实时监控功能支持依据各个监控内容排序显示,通过实时监控功能可以很快 的定位处反常主机；5、实时监控可以设置监控的过滤条件（详细见用户使用手册）；5-3 策略配置与优化防火墙策略优化与调整是网络爱护工作的重要内容,行性能产生显著影响； 考虑到企业中业务流向复杂、建议在设置策略时尽量保证统一规划以提高设置效率,度；策略配置与爱护需要留意地方有：策略是否优化将对设备运 业务种类往往比较多, 因此 提高可读性, 降低爱护难试运行阶段最终一条策略定义为全部拜访答应并记录日志,以便在不

25、影响业务的情形下找漏补遗；当确定把全部的业务流量都调查清晰并放行后,名师归纳总结 - - - - - - -第 18 页,共 22 页精选学习资料 - - - - - - - - - 可将最终一条定义为全部拜访禁止并记录日志,以便在试运行阶段观看非法流量行踪；试运行阶段终止后,再将最终一条“ 禁止全部拜访” 策略删 除；防火墙按从上至下次序搜寻策略表进行策略匹配,策略次序对连接建立速度会有影响, 建议将流量大的应用和延时敏锐应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面；策略配置中的 Log 记录日志 选项可以有效进行记录、排错等工作,但启用此功能会耗用部分资源； 建议在业务量

26、大的网络上有挑选采纳,或仅在必要时采纳；简化的策略表不仅便于爱护, 而且有助于快速匹配； 尽量保持策略表简洁和简短,规章越多越简单犯错误； 通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中；策略用于区域间单方向网络拜访掌握；假如源区域和目的区域不同,就防火墙在区域间策略表中执行策略查找；假如源区域和目的区域相同并启用区域内阻断, 就防火墙在区域内部策略表中执行策略查找；假如在区域间或区域内策略表中没有找到匹配策略,拜访权限以查找匹配策略；就安全设备会检查相关区域的缺省策略变更掌握；组织好策略规章后,应写上注释并准时更新；注释可以帮助治理员明白每条策略的用途,计策略懂得得越全面, 错

27、误配置的可能性就越小；假如防火墙有多个治理员,建议策略调整时,将变更者、变更具 体时间、变更缘由加入注释中,便于后续跟踪爱护；5-4 攻击防备名师归纳总结 - - - - - - -第 19 页,共 22 页精选学习资料 - - - - - - - - - 天融信防火墙利用入侵防护功能抵挡互联网上流行的DoS/DDoS的攻击,一些流行的攻击手法有Synflood ,Udpflood ,Smurf ,Ping of Death,Land Attack 等,防火墙在抵挡这些攻击时,会消耗防火墙一部分的系统资源,所以,在网络正常情形下, 一般不举荐使用, 但是当网络的确存在这些类型的攻击数据流时,我

28、们可以适当开启这些抗攻击选项,可以有效的爱护各种应用服务器；如果期望开启其它选项,在开启这些防护功能前有几个因素需要考虑：. 抵挡攻击的功能会占用防火墙部分 CPU 资源；. 自行开发的一些应用程序中,可能存在部分不规范的数据包格式；. 网络环境中可能存在特别规性设计；假如因挑选过多的防攻击选项而大幅降低了防火墙处理才能,就会影响正常网络处理的性能；假如自行开发的程序不规范,可能会被IP 数据包协议反常的攻击选项屏蔽；特别规的网络设计也会显现合法流量被屏蔽问题；要想有效发挥天融信防火墙的攻击防备功能,需要对网络中流量和协议类型有比较充分的熟悉, 同时要懂得每一个防备选项的详细含义,防止引发无谓

29、的网络故障；防攻击选项的启用需要采纳逐步靠近 的方式,一次仅启用一个防攻击选项,然后观看设备资源占用情形和防备结果,在确认运行正常后再考虑按需启用另一个选项；建议采纳以下次序渐进实施防攻击选项：设置防范 DDoS Flood 攻击选项依据把握的正常运行时的网络流量、会话数量以及数据包传输量的值,在防范 DDoS 的选项上添加 20的余量作为阀值；假如要设置防范IP 协议层的选项,需在深化明白网络环境后,再将IP协议和网络层的攻击选项逐步选中；名师归纳总结 - - - - - - -第 20 页,共 22 页精选学习资料 - - - - - - - - - 设置防范应用层的选项,在明白应用层的需

30、求以及客户化程序的编程标准后,如不采纳 ActiveX 控件,可以挑选这些基于应用层的防攻击选项；为检查网络中是否存在攻击流量,可以暂时打开实时监控功能,查看流量特点,判定是否为DOS/DDOS 攻击,确认攻击类型；在设置入侵防备选项的过程中,应亲密留意防火墙 CPU 的利用率,以及相关应用的使用情形；假如显现反常（通过）,就马上需要取消相关的选项；CPU 利用率偏高了或应用不能建议正常时期不启用入侵防备选项,仅在网络显现反常流量时再打开对 应的防备功能；5-5 特殊应用处理长连接应用处理在金融行业网络中常常会遇到长连接应用（一般为数据库等应用）,基于状态检测机制的防火墙在处理此类应用时要加以

31、留意；缺省情形下, 天融信防火墙对每一个会话的连接保持时间是 300 秒（ TCP）和 30 秒（ UDP ）（不同系统平台、不同版本会有不同）,超时后状态表项将会被清除；所以在实施长连接应用策略时要配置合适的timeout值,以满意长连接应用的要求；配置常连接应用需注意地方有：假如在长连接应用中已经设计了心跳爱护机制（如每隔几分钟,客户端与服务端之间传送心跳以爱护会话） ,此时无需防火墙上设置长连接属性,使用默认配置即可；名师归纳总结 - - - - - - -第 21 页,共 22 页精选学习资料 - - - - - - - - - 只针对的确需要的应用启用长连接属性,一般的应用不要使用长

32、连接,以节省防火墙的系统资源；由于设置长连接属性后,防火墙系统本身不再干预该连接情形,所以可能会 显现一些特殊情形（应用服务器端反常死机等）造成该连接僵死而长期占用 防火墙的资源,因此,建议常常实时监控防火墙的长连接情形,一旦发觉这 种僵死的长连接过多,就应当在合适的时间手动重启防火墙系统,以释放防 火墙的资源；不规范 TCP 应用处理正常 TCP 应用连接建立需要 发规范不严谨或特殊需要,存在类似3 次握手,然而某些用户定制的应用程序因开 SYN 没有置位的连接恳求,对于这类不严谨的通讯处理应加以特殊留意, 由于天融信防火墙在默认情形下,对这种不严谨的 TCP 连接视为非法连接并将连接阻断；名师归纳总结 - - - - - - -第 22 页,共 22 页