封闭

封闭

封闭

封号提示

内容

首页 天融信防火墙维护规则

天融信防火墙维护规则.doc

天融信防火墙维护规则

问我好助理
2019-07-29 0人阅读 告发 0 0 暂无简介

简介:本文档为《天融信防火墙维护规则doc》,可适用于IT/计算机范畴

关于天融信防火墙维护规则.doc文档,香港马会2019资科大全具备内容丰富的相干文档,站内每天千位行业名人共享新兴资料。

天融信防火墙维护规则一、综述防火墙作为企业焦点网络中的症结设备具备为一切进出网络的信息流供给安全掩护对于企业症结的实时业务系统条件网络能够供给*小时的不间断掩护保持防火墙系统稳当运行及在故障情况下快速诊断恢复成为维护人员的工作重点。天融信防火墙供给了丰富的冗余掩护机制和故障诊断、排查方法通过日常治理维护可以使防火墙运行在稳当状态在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的归纳为防火墙维护人员供给设备运维指导。二、天融信防火墙日常维护围绕防火墙稳当运行和出现故障时能够快速恢复为目标天融信防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态故障暴发时使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行故障处理后及时进行归纳与改进防止故障再次暴发。常规维护:在防火墙的日常维护中通过对防火墙进行健康检查能够实时知晓天融信防火墙运行状况检测相干告警信息提前发现并消除网络异常和潜在故障隐患以确保设备始终处于正常工作状态。、日常维护过程中具备重点检查以下几个症结信息:连接数:如当前的连接数达到或接近系统最大值将导致新会话不能及时建设连接此时已经建设连接的通讯虽不会造成感导但仅当现有的连接拆除后释放出来的资源才可供新建连接使用。维护建议:当当前连接数正常使用至%时具备考虑设备容量限制并及时升级以防止因设备容量不足感导业务拓展。CPU:天融信防火墙是高功能的防火墙正常工作状态下防火墙CPU使用率应保持在以下如出现CPU利用率过高情况需给予足够重视应检查连接数使用情况和多种告警信息并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击相关可通过正确设置系统参数、攻击防护的对应选项进行防范。内存:天融信防火墙对内存的使用把握得十分准确正常情况下内存的使用率应根基保持牢固不会出现较大的浮动。如果出现内存使用率过高(>)时可以检查连接数情况或通过实时监控功能检查网络中是否存在异常流量和攻击流量。、在业务使用高峰时段检查防火墙症结资源(如:Cpu、连接数、内存和接口流量)等使用情况建设网络中业务流量对设备资源使用的基准指标为今后确认网络是否处于正常运行状态供给参照依据。当连接数数量领先平常基准指标%时需通过实时监控检查当前网络是否存在异常流量。当Cpu占用领先平常基准指标%时需检查异常流量、定位异常主机、检查策略是否优化。、防火墙健康检查信息表:设备型号?软件版本?序列号?设备用途XX区防火墙设备状态主用备用工作形式透明路由混合检查对象相干信息检查结果备注连接数???CPU???内存???Interface???路由表???HA状态???LED指示灯???设备运行参考基线连接数?Cpu?内存?接口流量?业务种类??????????常规维护建议:、配置治理IP地址指定专用终端治理防火墙、更改暗许账号和口令不建议使用缺省的账号、密码治理防火墙严格按照实际使用需求通达防火墙的相应的治理权限并且治理权限的通达掌握粒度越细越安全设置两级治理员账号并按期变更口令仅容许使用SSH和SSL方法登陆防火墙进行治理维护。、长远理解网络中业务种类和流量特征不间断优化防火墙策略。整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用种类等)以便网络异常时快速定位故障。、整理一份上下行交换机配置备份文档(调整此中的端口地址和路由指向)供给备用网络连线。防止防火墙暴发硬件故障时能够快速旁路防火墙确保业务正常使用。、在日常维护中建设防火墙资源使用参考基线为鉴定网络异常供给参考依据。、重视并知晓防火墙产生的每一个故障告警信息在第一时间修复故障隐患。、建设设备运行档案为配置变更、事件处理供给完整的维护记录按期评估配置、策略和路由是否优化。、故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能出现的问题和应付措施条件允许情况下可以结合网络环境演练暴发多种故障时的处理流程如:设备出现故障网线故障及交换机故障时的路径掩护切换。、设备运行档案表设备型号?软件版本?设备序列号?设备用途XX区防火墙设备状态主用备用工作形式透明路由混合保修期限?供应商联系方法?配置变更变更因素变更内容结果负责人????????????????事件处理事件现象处理过程结果负责人???????????????????????应急处理当网络出现故障时应迅速检查防火墙状态并鉴定是否存在攻击流量定位故障是否与防火墙相关。如果故障与防火墙相关可首先检查防火墙的、地址转换策略、考查掌握策略、路由等是否按照实际使用需求配置检验策略配置是否存在问题。一旦定位防火墙故障可通过命令进行双机切换单机环境下暴发故障时利用备份的交换机路由器配置快速旁路防火墙。在故障明确定位前不要封闭防火墙。、检查设备运行状态网络出现故障时应快速鉴定防火墙设备运行状态通过治理器登陆到防火墙上快速检查CPU、内存、连接数、Interface以及相应信息初步排除防火墙硬件故障并鉴定是否存在攻击行为。、跟踪防火墙对数据包处理情况如果出现部分网络无法正常考查顺序检查接口状态、路由和策略配置是否有误在确认上述配置无误后通过tcpdump命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置相关。、检查是否存在攻击流量通过实时监控确认是否有异常流量同时在上行交换机中通过端口镜像捕获进出网络的数据包据此确认异常流量和攻击种类并在选项设置、入侵防护等项目中启用对应防护措施来屏蔽攻击流量。、检查HA工作状态检查HA工作状态进一步确认引起切换的因素引起HA切换因素通常为链路故障交换机端口故障设备断电或重启。设备运行时务请不要断开HA心跳线缆。、防火墙暴发故障时处理方法如果出现以下情况可初步鉴定防火墙硬件或系统存在故障:无法使用console口登陆防火墙防火墙反复启动、无法建设ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务可通过调整上下行设备路由指向快速将防火墙旁路同时联系供应商进行故障诊断。归纳改进故障处理后的归纳与改进是进一步巩固网络稳当性的必要环节有效的归纳能够防止很多网络故障再次暴发。、在故障处理后具备进一步归纳故障产生因素并确认该故障已经得到修复防止故障重复暴发。、条件容许的情况下建立防火墙业务检测环境对一切具备调整的配置参数在上线前进行检测评估防止因配置调整带来新的故障隐患。、分析网络可能存在的薄弱环节和潜在隐患通过技术论证和检测验证来修复隐患。故障处理工具天融信防火墙供给灵活多样的维护方法此中故障处理时最有用的两个工具是实时监控功能和tcpdump实时监控功能用于实时检查网络当前的连接情况可以快速定位存在异常流量的IP主机或攻击源主机tcpdump用于跟踪防火墙对指定包的处理。下面简要介绍一下两个工具的使用方法。Tcpdump:捕获进出防火墙的数据包、仅在老k系统和TOS中的平台和平台(猎豹)支撑TCPDUMP命令、老k系统干脆在串口登陆界面下或telnet到防火墙界面下即可使用tcpdump命令TOS中的平台和平台在串口登陆或telnet登陆后先敲system回车进入系统目次才可以使用tcpdump命令。、Tcpdump语法中存在三种主要的症结字:第一种是关于种类的症结字主要包括hostnetport例如host指明是一台主机net指明是一个网络地址port指明端口号是如果没有指定种类缺省的种类是host第二种是确定传输方向的症结字主要包括srcdstdstorsrcdstandsrc这些症结字指明了传输的方向。举例注解src指明ip包中源地址是dstnet指明目的网络地址是如果没有指明方向症结字则缺省是srcordst症结字。第三种是协议的症结字主要包括fddiiparprarptcpudp等种类。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议实际上它是"ether"的别名fddi和ether具备类似的源地址和目的地址所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个症结字就是指明了监听的包的协议内容。如果没有指定一概协议则tcpdump将会监听一切协议的信息包。、逻辑运算除了这三种种类的症结字之外其他主要的症结字如下:gatewaybroadcastlessgreater还有三种逻辑运算取非运算是'not''!'与运算是'and'''或运算是'or''││'这些症结字可以组合起来构成强大的组合条件来得志人们的具备下面举几个例子来注解。、使用例子:例:在eth口抓包只显示地址为和icmp协议的报文。Tcpdump–iethhostandicmp例:在一切的接口抓包不显示端口的治理报文和端口的telnet报文。Tcpdump–iany?notportandnotport?(在同时治理的时候很实用)例:在eth口抓包显示地址为或的报文。Tcpdump–iethhostorhost?(对准MAP前后的地址同时抓包定位时非常实用)例:在一切的接口抓包显示地址为报文。Tcpdump|grephost??(在adls环境中非常实用封装了PPPOE的报文也能抓到但是TOS不支撑grep的参数了)在tos系统中X的平台下才有抓包的工具-n表示不具备域名解析加快抓包的速度。并且evv比老的k系统中能抓到更多的信息此中还包括校验和。例:Systemtcpdump–iany–evvn(TOS系统中结尾务必加n的参数才能确保抓包的速度)例:Systemtcpdump–iipsec?n?(TOS支撑在ipsec中抓包来鉴定数据流是否进入隧道)例:Systemtcpdump–ippp?n?(TOS支撑在ppp中抓包来鉴定数据流是否进入PPPoE的封装)实时监控功能:实时检查进出防火墙的连接情况、天融信防火墙支撑实时监控功能可以实时知晓当前经过防火墙的连接情况其可以检查的内容有需:源IP地址、目的IP地址、源端口、目的端口、连接建设时间、接收的流量、推送的流量、NAT转换后的地址、连接属性等等内容。、检查实时监控具备在防火墙上通达相应的权限老K系统通达权限过程为:选项设置-安全设备登陆掌握-增加一个客户种类为监控器的治理项即可(具体参考老K用户手册)TOS防火墙通达监控权限过程为:系统-通达办事-增加一个权限为GUI治理的项目即可(具体参见TOS防火墙用户手册)、老K防火墙干脆通过集中治理器-实时监控-连接信息-启动监控即可TOS系统具备通过治理中心的安全工具登陆防火墙再启用连接监控-启动即可、实时监控功能支撑按照各个监控内容排序显示通过实时监控功能可以很快的定位处异常主机。、实时监控可以设置监控的过滤条件(具体见用户使用手册)三、策略配置与优化防火墙策略优化与调整是网络维护工作的主要内容策略是否优化将对设备运行功能产生显著感导。考虑到企业中业务流向复杂、业务种类往往比较多因此建议在设置策略时尽量确保统一参谋以进步设置效率进步可读性降低维护难度。策略配置与维护具备当心地方有:●试运行阶段结尾一条策略定义为一切考查允许并记录日志以便在不感导业务的情况下找漏补遗当确定把一切的业务流量都调查清楚并放行后可将结尾一条定义为一切考查禁止并记录日志以便在试运行阶段观察非法流量行踪。试运行阶段停止后再将结尾一条“禁止一切考查”策略删除。●防火墙按从上至下顺序探索策略表进行策略匹配策略顺序对连接建设速度会有感导建议将流量大的应用和延时敏感应用放于策略表的顶部将较为特殊的策略定位在不太特殊的策略上面。●策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作但启用此功能会耗用部分资源。建议在业务量大的网络上有取舍采用或仅在必要时采用。●简化的策略表不仅便于维护况且有助于快速匹配。尽量保持策略表简洁和简短规则越多越容易犯错误。通过定义地址组和办事组可以将多个单一策略合并到一条组合策略中。●策略用于区域间单方向网络考查掌握。如果源区域和目的区域差异则防火墙在区域间策略表中执行策略查找。如果源区域和目的区域相同并启用区域内阻断则防火墙在区域内部策略表中执行策略查找。如果在区域间或区域内策略表中没有找到匹配策略则安全设备会检查相干区域的缺省考查权限以查找匹配策略。●策略变更掌握。组织好策略规则后应写上注释并及时更新。注释可以帮助治理员知晓每条策略的用途对策略理解得越通盘错误配置的可能性就越小。如果防火墙有多个治理员建议策略调整时将变更者、变更具体时间、变更因素加入注释中便于后续跟踪维护。四、攻击防御天融信防火墙利用入侵防护功能抵御互联网上流行的DoSDDoS的攻击一些流行的攻击手法有SynfloodUdpfloodSmurfPingofDeathLandAttack等防火墙在抵御这些攻击时会消耗防火墙一部分的系统资源所以在网络正常情况下正常不推举使用但是当网络的确存在这些种类的攻击数据流时我们可以适当开启这些抗攻击选项可以有效的掩护各种应用办事器。如果希望开启其它选项在开启这些防护功能前有几个因素具备考虑:l抵御攻击的功能会占用防火墙部分CPU资源l自行开辟的一些应用程序中可能存在部分不规范的数据包格式l网络环境中可能存在非常规性设计。如果因取舍过多的防攻击选项而大幅降低了防火墙处理能力则会感导正常网络处理的功能如果自行开辟的程序不规范可能会被IP数据包协议异常的攻击选项屏蔽非常规的网络设计也会出现合法流量被屏蔽问题。要想有效发挥天融信防火墙的攻击防御功能具备对网络中流量和协议种类有比较充分的认识同时要理解每一个防御选项的具体含义防止引发无谓的网络故障。防攻击选项的启用具备采用逐步逼近的方法一次仅启用一个防攻击选项然后观察设备资源占用情况和防御结果在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进履行防攻击选项:●设置防范DDoSFlood攻击选项●遵循掌握的正常运行时的网络流量、会话数量以及数据包传输量的值在防范DDoS的选项上添加%的余量作为阀值。●如果要设置防范IP协议层的选项需在长远知晓网络环境后再将IP协议和网络层的攻击选项逐步选中。●设置防范应用层的选项在知晓应用层的需求以及客户化程序的编程尺度后如不采用ActiveX控件可以取舍这些立足应用层的防攻击选项。●为检查网络中是否存在攻击流量可以暂时打开实时监控功能检查流量特征鉴定是否为DOSDDOS攻击确认攻击种类。●在设置入侵防御选项的过程中应密切当心防火墙CPU的利用率以及相干应用的使用情况如果出现异常(CPU利用率偏高了或应用不能通过)则立刻具备取消相干的选项。●建议正常时期不启用入侵防御选项仅在网络出现异常流量时再打开对应的防御功能。五、特殊应用处理长连接应用处理在金融行业网络中经常会遇到长连接应用(正常为数据库等应用)立足状态检测机制的防火墙在处理此类应用时要加以当心。缺省情况下天融信防火墙对每一个会话的连接保持时间是秒(TCP)和秒(UDP)(差异系统平台、差异版本会有差异)超时后状态表项将会被清除。所以在履行长连接应用策略时要配置合适的timeout值以得志长连接应用的条件。配置常连接应用需当心地方有:●如果在长连接应用中已经设计了心跳维持机制(如每隔几分钟客户端与办事端之间传送心跳以维持会话)此时无需防火墙上设置长连接属性使用暗许配置即可。●只对准的确具备的应用启用长连接属性正常的应用不要使用长连接以节省防火墙的系统资源。●由于设置长连接属性后防火墙系统本身不再干预该连接情况所以可能会出现一些特殊情况(应用办事器端异常死机等)造成该连接僵死而长期占用防火墙的资源因此建议经常实时监控防火墙的长连接情况一旦发现这种僵死的长连接过多则应该在合适的时间手动重启防火墙系统以释放防火墙的资源。不规范TCP应用处理正常TCP应用连接建设具备次握手然而某些用户定制的应用程序因开辟规范不严谨或特殊具备存在类似SYN没有置位的连接请求对于这类不严谨的通讯处理应加以出奇当心因为天融信防火墙在暗许情况下对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况在某些应用暴发通讯障碍时通过tcpdump抓包来鉴定是否是防火墙拒绝了不严谨的TCP包确认后通过设置fwsioff(老K版本)或networksessionsessionintegrityoff(TOS平台版本)的命令来使防火墙取消这种防范机制。六、附录:天融信防火墙外部故障信息申报故障名称:故障提交时间:故障优先级:现场工程师的联系方法(E-mail和电话):干脆负责处理该故障的技服人员(北京):防火墙产品型号(定制版本当心标明主板型号、内存)?是否有扩展卡?防火墙软件版本:干脆负责处理该故障的技服人员(北京)对故障情况补充注解:网络拓朴图:(以文件名的形式粘贴,附件提交Bugzilla)网络拓朴注解:现场工程师对故障描述:包括出现故障时cpu利用率是多少连接数有多少内存使用情况用户的主要应用描述一下如果是特殊应用导致问题一定要描述清楚尽可能多供给应用信息。现场工程师对故障的处理手段和鉴定方法:出现故障状况下在防火墙内、外网口的抓包数据:(以文件名的形式粘贴附件提交Bugzilla)防火墙配置文件:(以文件名的形式粘贴附件提交Bugzilla)交换机、路由器主要配置注解:(配置可以文件名的形式粘贴附件提交Bugzilla)调试信息:(以文件名的形式粘贴,附件提交Bugzilla)Console口打印信息日志信息:(以文件名的形式粘贴附件提交Bugzilla)办事器和客户端抓包情况如果是设备死机或者重启的情况最好供给打印信息、健康记录和注解粗略多长时间出现一次??为加快后台部门对故障的处理上项目黑色字体是必写项目蓝色字体为尽量供给项目。七、参考文档Netscreen防火墙维护规则Tcpdump的用法Tcpdump经常使用命令及底子故障定位板斧

类似资料

该用户的其他资料

综合实践课掩护环境教学设计档.doc

2015年风云人物评选计划.doc

水汽车间煤气管道治理轨制(DOC).doc

运管站信访紧急预案.doc

网络安全课件第三套.doc

职业精品

精彩专题

建筑动工合同范本大全

动工合同亦称“工程合同”或“包工合同”。指发包方 (建设单元) 和包揽方 (动工单元) 为完成商定的建筑安装工程动工任务,明确相互之间权利、义务关系的书面协议。对于我们日常接触比较多,且需求量比较大的动工合同,这些模板粗略能够帮到你。

用户评论

0/200
上传我的资料

热门资料排行换一换

  • “三箭齐发”对中国经济的感导分析

  • 美学与艺术欣赏在产业设计上的应用

  • 园林绿化正常种哪些植物

  • 熔化和凝固练习题

  • 证明圆的切线经典例题1

  • 中华人民共和国学科划分与代码简表

  • 4-电压环路调试步骤-2006-3…

  • 河南省驻马店市正阳高中2013-2…

  • 人权大步走计画-落实公民与政治权利…

  • 资料评价:

    / 14
    所需积分:0 立即下载

    VIP

    在线
    客服

    免费
    邮箱

    香港马会2019资科大全办事号

    扫描体贴领取更多福利