天融信防火墙维护指南.docx

《天融信防火墙维护指南.docx》由会员分享，可在线阅读，更多相关《天融信防火墙维护指南.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天融信防火墙维护指南天融信防火墙维护指南一、综述防火墙作为企业核心网络中的关键设备，需要为全部进出网络的信息流供给安全保护，对于企业关键的实时业务系统，要求网络能够供给 7*24 小时的不连续保护，保持防火墙系统牢靠运行及在故障状况下快速诊断恢复成为维护人员的工作重点。天融信防火墙供给了丰富的冗余保护机制和故障诊断、排查方法，通过日常治理维护可以使防火墙运行在牢靠状态，在故障状况下通过有效故障排解路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进展较系统的总结，为防火墙维护人员供给设备运维指导。二、天融信防火墙日常维护围绕防火墙牢靠运行和消灭故障时能够快速恢复为目标，天融信防火墙维

2、护主要思路为：通过乐观主动的日常维护将故障隐患消退在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法准时恢复网络运行；故障处理后准时进展总结与改进避开故障再次发生。常规维护：在防火墙的日常维护中，通过对防火墙进展安康检查，能够实时了解天融信防火墙运行状况，检测相关告警信息，提前觉察并消退网络特别和潜在故障隐患，以确保设备始终处于正常工作状态。1、日常维护过程中，需要重点检查以下几个关键信息：连接数： 如当前的连接数到达或接近系统最大值，将导致会话不能准时建立连接，此时已经建立连接的通讯虽不会造成影响；但仅当现有的连接撤除后，释放出来的资源才可供建连接使用。维护建议：当当前连接数正常

3、使用至 85时，需要考虑设备容量限制并准时升级，以避开因设备容量缺乏影响业务拓展。CPU: 天融信防火墙是高性能的防火墙，正常工作状态下防火墙 CPU 使用率应保第 1 页 共 13 页持在 10%以下，如消灭 CPU 利用率过高状况需赐予足够重视，应检查连接数使用状况和各类告警信息，并检查网络中是否存在攻击流量。通常状况下 CPU 利用率过高往往与攻击有关，可通过正确设置系统参数、攻击防护的对应选项进展防范。内存: 天融信防火墙对内存的使用把握得格外准确，正常状况下，内存的使用率应根本保持稳定，不会消灭较大的浮动。假设消灭内存使用率过高 90%时， 可以查看连接数状况，或通过实时监控功能检查

4、网络中是否存在特别流量和攻击流量。2、在业务使用顶峰时段检查防火墙关键资源如： Cpu、连接数、内存和接口流量等使用状况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态供给参照依据。当连接数数量超过寻常基准指标20 时，需通过实时监控检查当前网络是否存在特别流量。当 Cpu 占用超过寻常基准指标 20时，需查看特别流量、定位特别主机、检查策略是否优化。设备型号软件版本序列号设备用途XX 区防火墙 设备状态主用/备用工作模式透亮/路由/混合检查对象相关信息检查结果备注连接数CPU内存Interface路由表HA 状态LED 指示灯设备运行连接数3、防火墙安康检查信

5、息表：10设备型号软件版本设备序列号参考基线Cpu内存接口流量业务类型常规维护建议：1、配置治理 IP 地址，指定专用终端治理防火墙；2、更改默认账号和口令，不建议使用缺省的账号、密码治理防火墙；严格依据实际使用需求开放防火墙的相应的治理权限，并且治理权限的开放掌握粒度越细越安全；设置两级治理员账号并定期变更口令；仅容许使用 SSH 和 SSL 方式登陆防火墙进展治理维护。3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图网络端口、互联地址、防护网段、网络流向、策略表、应用类型等，以便网络特别时快速定位故障。4、整理一份上下行交换机配置备份文档调整其中的端口地址和

6、路由指向 ，供给备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。5、在日常维护中建立防火墙资源使用参考基线，为推断网络特别供给参考依据。6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。7、建立设备运行档案，为配置变更、大事处理供给完整的维护记录，定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能消灭的问题和应对措施，条件允许状况下，可以结合网络环境演练发生各类故障时的处理流程，如：设备消灭故障，网线故障及交换机故障时的路径保护切换。9、设备运行档案表设备用途XX 区防火墙设备状态主用/备用工作模式

7、透亮/路由/混合保修期限供给商联系方式变更缘由变更内容结果负责人配置变更大事现象处理过程结果负责人大事处理应急处理当网络消灭故障时，应快速检查防火墙状态并推断是否存在攻击流量，定位故障是否与防火墙有关。假设故障与防火墙有关，可首先检查防火墙的、地址转换策略、访问掌握策略、路由等是否依据实际使用需求配置，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进展双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位前不要关闭防火墙。1、检查设备运行状态网络消灭故障时，应快速推断防火墙设备运行状态，通过治理器登陆到防火墙上，快速查看 CPU、内存、连接数、In

8、terface 以及相应信息，初步排解防火墙硬件故障并推断是否存在攻击行为。2、跟踪防火墙对数据包处理状况假设消灭局部网络无法正常访问，挨次检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过 tcpdump 命令检查防火墙对特定网段数据报处理状况。局部地址无法通过防火墙往往与策略配置有关。3、 检查是否存在攻击流量通过实时监控确认是否有特别流量，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认特别流量和攻击类型，并在选项设置、入侵防护等工程中启用对应防护措施来屏蔽攻击流量。4、 检查 HA 工作状态检查 HA 工作状态，进一步确认引起切换的缘由，引起 HA 切换缘由通

9、常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开 HA 心跳线缆。5、 防火墙发生故障时处理方法假设消灭以下状况可初步推断防火墙硬件或系统存在故障：无法使用 console 口登陆防火墙，防火墙反复启动、无法建立 ARP 表、接口状态始终为 Down、无法进展配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供给商进展故障诊断。总结改进故障处理后的总结与改进是进一步稳固网络牢靠性的必要环节，有效的总结能够避开很多网络故障再次发生。1、在故障解决后，需要进一步总结故障产生缘由，并确认该故障已经得到修复，避开故障重复发生。2、条件容许的状况

10、下，构建防火墙业务测试环境，对全部需要调整的配置参数在上线前进展测试评估，避开因配置调整带来的故障隐患。3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。故障处理工具天融信防火墙供给敏捷多样的维护方式，其中故障处理时最有用的两个工具是实时监控功能和 tcpdump，实时监控功能用于实时查看网络当前的连接状况，可以快速定位存在特别流量的 IP 主机或攻击源主机，tcpdump 用于跟踪防火墙对指定包的处理。下面简要介绍一下两个工具的使用方法。Tcpdump: 捕获进出防火墙的数据包1、仅在老 4k 系统和 TOS 中的.1 平台和.8 平台猎豹支持 TCPDUMP 命令

11、；2、老 4k 系统直接在串口登陆界面下或 telnet 到防火墙界面下，即可使用 tcpdump 命令；TOS 中的.1 平台和.8 平台在串口登陆或 telnet 登陆后，先敲 system 回车，进入系统名目才可以使用 tcpdump 命令。3、Tcpdump 语法中存在三种主要的关键字：第 一种 是关于类型 的关 键字 ， 主要 包括 host ， net ， port ， 例 如 host 210.27.48.2，指明 210.27.48.2 是一台主机，net 202.0.0.0 指明 202.0.0.0 是一个网络地址，port 23 指明端口号是 23.假设没有指定类型，缺省的

12、类型是 host. 其次种是确定传输方向的关键字，主要包括 src ， dst ，dst or src， dst and src ，这些关键字指明白传输的方向。举例说明，src 210.27.48.2 ，指明 ip 包中源地址是 210.27.48.2 ， dst net 202.0.0.0 指明目的网络地址是 202.0.0.0 .假设没有指明方向关键字，则缺省是 src or dst 关键字。第三种是协议的关键字，主要包括 fddi，ip，arp，rarp，tcp，udp 等类型。Fddi指明是在 FDDI分布式光纤 数据接口网络 上的特定的网络协 议，实际上它是“ether“的别名，fd

13、di 和 ether 具有类似的源地址和目的地址，所以可以将 fddi 协议包当作 ether 的包进展处理和分析。其他的几个关键字就是指明白监听的包的协议内容。假设没有指定任何协议，则 tcpdump 将会监听全部协议的信息包。4、 规律运算除了这三种类型的关键字之外，其他重要的关键字如下： gateway， broadcast， less，greater，还有三种规律运算，取非运算是 ”not ”！ ”， 与运算是”and”，”&”；或运算 是”or” ，”；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。5、使用例子：例 1：在 eth1 口抓包，只显示地

14、址为 10.1.1.1 和 icmp 协议的报文。Tcpdump i eth1 host 10.1.1.1 and icmp例 2：在全部的接口抓包，不显示 4000 端口的治理报文，和 23 端口的 telnet 报文。Tcpdump i anynot port 4000 and not port 23在同时治理 的时候很有用例 3：在 eth1 口抓包，显示地址为 211.1.1.1 或 10.1.1.1 的报文。Tcpdump i eth1 host 211.1.1.1 or host 10.1.1.1 针对 MAP 前后的地址同时抓包定位时格外有用例 4：在全部的接口抓包，显示地址为

15、10.1.1.1 报文。Tcpdump |grep host 10.1.1.1在 adls 环境中格外有用，封装了 PPPOE 的报文也能抓到，但是 TOS 不支持 grep 的参数了在 tos 系统中，X86 的平台下才有抓包的工具，n 表示不需要域名解析，加快抓包的速度。并且-evv 比老的 4k 系统中，能抓到更多的信息，其中还包括校验和。例 5：System tcpdump i any evv -n TOS 系统中最终必需加-n 的参数，才能保证抓包的速度例 6：System tcpdump i ipsec0-n TOS 支持在 ipsec0 中抓包，来推断数据流是否进入隧道例 7：S

16、ystem tcpdump i ppp0-n TOS 支持在 ppp0 中抓包，来推断数据流是否进入 PPPoE 的封装实时监控功能：实时查看进出防火墙的连接状况1、 天融信防火墙支持实时监控功能，可以实时了解当前经过防火墙的连接状况， 其可以查看的内容有需：源 IP 地址、目的 IP 地址、源端口、目的端口、连接建立时间、接收的流量、发送的流量、NAT 转换后的地址、连接属性等等内容。2、查看实时监控需要在防火墙上开放相应的权限，老 4K 系统开放权限过程为：选项设置安全设备登陆掌握增加一个客户类型为监控器的治理项即可具体参考老 4K 用户手册；TOS 防火墙开放监控权限过程为：系统开放效劳

17、增加一个权限为 GUI 治理的工程即可具体参见 TOS 防火墙用户手册；3、老 4K 防火墙直接通过集中治理器实时监控连接信息启动监控即可，TOS 系统需要通过治理中心的安全工具登陆防火墙，再启用连接监控启动即可；4、实时监控功能支持依据各个监控内容排序显示，通过实时监控功能可以很快的定位处特别主机。5、实时监控可以设置监控的过滤条件具体见用户使用手册；三、策略配置与优化防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向简单、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。 策略配置与维

18、护需要留意地方有：l 试运行阶段最终一条策略定义为全部访问允许并记录日志，以便在不影响业务的状况下找漏补遗；当确定把全部的业务流量都调查清楚并放行后，可将最终一条定义为全部访问制止并记录日志，以便在试运行阶段观看非法流量行踪。试运行阶段完毕后，再将最终一条“制止全部访问”策略删除。l 防火墙按从上至下挨次搜寻策略表进展策略匹配，策略挨次对连接建立速度会有影响， 建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特别的策略定位在不太特别的策略上面。l 策略配置中的 Log(记录日志)选项可以有效进展记录、排错等工作，但启用此功能会耗用局部资源。建议在业务量大的网络上有选择承受，或仅在必要时

19、承受。l 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规章越多越简洁犯错误。通过定义地址组和效劳组可以将多个单一策略合并到一条组合策略中。l 策略用于区域间单方向网络访问掌握。假设源区域和目的区域不同，则防火墙在区域间策略表中执行策略查找。假设源区域和目的区域一样并启用区域内阻断，则防火墙在区域内部策略表中执行策略查找。假设在区域间或区域内策略表中没有找到匹配策略，则安全设备会检查相关区域的缺省访问权限以查找匹配策略。l 策略变更掌握。组织好策略规章后，应写上注释并准时更。注释可以帮助治理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。假设防火墙有

20、多个治理员，建议策略调整时，将变更者、变更具体时 间、变更缘由参加注释中，便于后续跟踪维护。四、攻击防范天融信防火墙利用入侵防护功能抵挡互联网上流行的 DoS/DDoS 的攻击，一些流行的攻击手法有 Synflood，Udpflood，Smurf，Ping of Death，Land Attack 等， 防火墙在抵挡这些攻击时，会消耗防火墙一局部的系统资源，所以，在网络正常状况下，一般不推举使用，但是当网络确实存在这些类型的攻击数据流时，我们可以适当开启这些抗攻击选项，可以有效的保护各种应用效劳器。假设期望开启其它选项，在开启这些防护功能前有几个因素需要考虑： 抵挡攻击的功能会占用防火墙局部

21、CPU 资源； 自行开发的一些应用程序中，可能存在局部不标准的数据包格式； 网络环境中可能存在格外规性设计。假设因选择过多的防攻击选项而大幅降低了防火墙处理力量，则会影响正常网络处理的性能；假设自行开发的程序不标准，可能会被 IP 数据包协议特别的攻击选项屏蔽；格外规的网络设计也会消灭合法流量被屏蔽问题。要想有效发挥天融信防火墙的攻击防范功能，需要对网络中流量和协议类型有比较充分的生疏，同时要理解每一个防范选项的具体含义，避开引发无谓的网络故 障。防攻击选项的启用需要承受 逐步靠近 的方式，一次仅启用一个防攻击选项，然后观看设备资源占用状况和防范结果，在确认运行正常后再考虑按需启用另一个选项。

22、建议承受以下挨次渐进实施防攻击选项：l 设置防范 DDoS Flood 攻击选项l 依据把握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范 DDoS 的选项上添加 20的余量作为阀值。l 假设要设置防范 IP 协议层的选项，需在深入了解网络环境后，再将 IP 协议和网络层的攻击选项逐步选中。l 设置防范应用层的选项，在了解应用层的需求以及客户化程序的编程标准后，如不承受 ActiveX 控件，可以选择这些基于应用层的防攻击选项。l 为检查网络中是否存在攻击流量，可以临时翻开实时监控功能，查看流量特征，推断是否为 DOS/DDOS 攻击，确认攻击类型。l 在设置入侵防范选项的过程中

23、，应亲热留意防火墙 CPU 的利用率，以及相关应用的使用状况；假设消灭特别CPU 利用率偏高了或应用不能通过，则马上需要取消相关的选项。l 建议正常时期不启用入侵防范选项，仅在网络消灭特别流量时再翻开对应的防范功能。五、特别应用处理长连接应用处理在金融行业网络中常常会遇到长连接应用一般为数据库等应用，基于状态检测机制的防火墙在处理此类应用时要加以留意。缺省状况下，天融信防火墙对每一个会话的连接保持时间是 300 秒TCP和 30 秒UDP不同系统平台、不同版本会有不同，超时后状态表项将会被去除。所以在实施长连接应用策略时要配置适宜的timeout 值，以满足长连接应用的要求。配置常连接应用需留

24、意地方有：l 假设在长连接应用中已经设计了心跳维持机制如每隔几分钟，客户端与效劳端之间传送心跳以维持会话，此时无需防火墙上设置长连接属性，使用默认配置即可。l 只针对确实需要的应用启用长连接属性，一般的应用不要使用长连接，以节约防火墙的系统资源。l 由于设置长连接属性后，防火墙系统本身不再干预该连接状况，所以可能会消灭一些特别状况应用效劳器端特别死机等造成该连接僵死而长期占用防火墙的资源，因此，建议常常实时监控防火墙的长连接状况，一旦觉察这种僵死的长连接过多，则应当在适宜的时间手动重启防火墙系统，以释放防火墙的资源。不标准TCP 应用处理正常 TCP 应用连接建立需要 3 次握手，然而某些用户

25、定制的应用程序因开发标准不严谨或特别需要，存在类似 SYN 没有置位的连接恳求，对于这类不严谨的通讯处理应加以特别留意，由于天融信防火墙在默认状况下，对这种不严谨的 TCP 连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况，在某些应用发生通讯障碍时，通过 tcpdump 抓包来推断是否是防火墙拒绝了不严谨的 TCP 包，确认后通过设置 fw_si off 老 4K，版本 2.6.40或 network session session- integrity offTOS 平台，版本 3.2.100.010.1的命令来使防火墙取消这种防范机制。六、附录：天融信防火墙外部故障信息报告故

26、障名称：故障提交时间： 故障优先级：现场工程师的联系方式 Email 和 ：直接负责处理该故障的技服人员北京：防火墙产品型号定制版本留意标明主板型号、内存是否有扩展卡防火墙软件版本：直接负责处理该故障的技服人员北京对故障状况补充说明： 网络拓朴图：以文件名的形式粘贴, 附件提交 Bugzilla网络拓朴说明：现场工程师对故障描述：包括消灭故障时cpu利用率是多少，连接数有多少，内存使用状况，用户的主要应用描述一下，假设是特别应用导致问题肯定要描述清楚，尽可能多供给应用信息。现场工程师对故障的处理手段和推断方法：消灭故障状况下，在防火墙内、外网口的抓包数据： 以文件名的形式粘贴，附件提交Bugz

27、illa防火墙配置文件：以文件名的形式粘贴，附件提交 Bugzilla交换机、路由器主要配置说明：配置可以文件名的形式粘贴，附件提交 Bugzilla调试信息：以文件名的形式粘贴, 附件提交 BugzillaConsole 口打印信息日志信息：以文件名的形式粘贴，附件提交 Bugzilla效劳器和客户端抓包状况假设是设备死机或者重启的状况，最好供给打印信息、安康记录和说明也很多长时间消灭一次为加快后台部门对故障的处理，上工程，黑色字体是必写工程，蓝色字体为尽量供给工程。七、参考文档 1，Netscreen 防火墙维护指南2，Tcpdump 的用法3，Tcpdump 常用命令及根底故障定位 3 板斧