1、集團文件版本號：(M928-T898-M248-WU2669-I2896-DQ586-M1988)防火墻系統日常運維指南VI. 00防火墻系統日常運維指南一、每日例行維護1、系統管理員職責為保證防火墻設備的正常運行，系統管理員需要在每日對設備進行 例行檢查。系統管理員在上班后，登錄防火墻管理界面，查看系統的CPU、內存 的使用率及網接口的工作狀態是否正常。確保CPU使用率在80%以下，內存使用率85%以下：如出現CPU 及內存使用率過高的情況，查看防火墻設備的會話連接總數、半 連接數以及端口流量是否正常。如果存在會話連接總數、半連接數、端口流量異常，超出平時的 正常范圍的情況下，可能是有人在進

2、行ARP攻擊或蠕蟲攻擊，通 過會話管理查看各會話的連接情況，查找異常會話，并對其進行 手動阻斷。如果會話連接總數、半連接數及端口流量處在正常范 圍內，但此時網絡訪問效率明顯變慢的情況下，重啟防火墻設 備。在管理界面中的網絡接口狀態正常情況下是綠色：如果工作端口 出現紅色的情況下，需要及時通知網絡管理員，配合查看交換機 與防火墻之間的端口鏈路是否正常。如交換機及線路都正常的情況下，重啟防火墻；如果還存在問題 請及時電話聯系廠商工程師。按照要求，添加新增的防護對象。2）安全管理員職責安全管理員在每日上班后定時（每日至少二次，9點、17點），通 過數據中心，查看日志是否存在高級別的告警日志（警示級別

3、以上）； 如果出現高級別告警日志，立即按以下步驟進行處理：設備本身造成中高級別告警：高級別告警主要為設備本身的硬 件故障告警！處理方式如下：立即通知廠商工程師到達現場處理。處理完畢后，形成報告，并發送主管領導。網絡故障造成的中高級別告警：網絡負載過大！（ARP攻擊，蠕 蟲等）處理方式如下：分析會話記錄，查詢可疑會話，協同系統管理員阻斷可疑會話的 源地址。查出源地址后，應立即安排相關技術人員到現場處理問題機器。 問題機潛處理完畢后，形成處理報告，分析此次高告警事件的原 因，并發送主管領導（主管室主任、主管副部長）。（下同） 網絡攻擊行為造成的中高級別告警：如IP掃描，端口掃描等 防火墻一般會自動

4、阻斷該連接，并同時生成告警日志。此類告警，安全管理員需分析告警日志，查詢源IP地址，并安 排相關技術人員到達現場處理問題機器。問題機器處理完畢后，形成處理報告，分析此次高告警事件的原 因，并發送主管領導。3）審計員職責1）審計員應每周五登陸系統，查看系統審計日志，查看是否有異常 管理員登陸行為。2）系統發生異常時，審計員應立即登陸系統，查看系統審計日志， 并分析是否有管理員的異常系統配置信息。二、周期性維護工作在防火墻設備的運行過程中，需要定期對設備進行維護。1、系統管理員職責每星期（周五）對IPS、AV的特征碼模塊進行升級（至相關網 站，如有最新的版本，下載后手動升級）。升級完成后，在“系統

5、管理一維護一備份恢復”界面，選擇 “防病毒入侵防御配置導出"，進行配置備份。每月，系統管理員需對本月防火墻系統發生的升級及變化情況 進行匯總，并提交主管領導。2、安全管理員職責每星期（周五）登陸數據中心，通過報表工具生成本周口志事 件報表，并導出保存。同時需對其中高級別告警信息進行統計 分析。每星期（周五）查看數據中心數據庫的磁盤空間占用情況是否 正常，如磁盤空間不足，應及時將磁盤的系統自動備份的日志 文件轉移到其他的存儲設備上。日志管理員在每個口志備份周期到期的后一天應查看日志的自 動備份工作是否正常，如果出現不正常的情況，應及時對日志 進行手動備份。及時查找無法自動備份的原因，是

6、否是由于磁盤空間不足無法 備份。如果不是由于磁盤空間不足造成，則有可能是由于PC 服務器時間運行造成日志服務器相關進程異常造成的，需要重 啟日志服務器。每月，安全管理員需對本月防火墻上的日志通過報表工具生成 本月事件報表，并導出保存，同時，需要對高級級別以上告警 信息進行統計，形成分析報告后，提交主管領導。3、審計員職責每星期（周五）登陸登陸數據中心，通過報表工具，生成本周 配置審計事件報表，并導出保存。三、不定期維護工作1、系統管理員職責根據需求增添防護對象。配置發生變化后，及時保存配置信息。系統管理員對設備進行了恢復備份配置文件的操作后，應立刻將防火墻設備是行重啟，使備份的配置文件能夠生效

7、。2、安全管理員職責根據安全需要，對安全防護策略作出調整。安全策略調整后，通知系統管理員進行配置備份。安全產品（防火墻）日常檢查記錄單設備名稱（天融信）防火墻系統管理 員檢查日期安全管理 員檢查內容（系統管理員）序號檢查項正常值正常不正常處理辦法1端口狀態綠色2CPU使用 率<80%3MEM使用 率<85%故障處理記錄 記錄：檢查內容（安全管理員）序號檢查項正常值正常不正常處理辦法1口志服務 器連接情 況可ping通在口志服務器防 火墻上設置允許 ping的策略2日志級別無錯誤以 上級別告 警3口志服務 器狀態正常可查 詢異常處理記錄記錄：日志服務器無法ping通，通過抓包分析發現

8、，ping請求包能夠達到日志 服務器網卡，但是日志服務器未作出響應，通過檢查日志服務器設置發 現，是日志服務器開啟了防火墻，但是防火墻禁止了 icmp報文，設置日志 服務器的防火墻策略后，問題得以解決。四、周記錄檢查五、月報 維護建議常規維護 1、配置管理IP地址，指定專用終端管理防火墻；2、更改默認賬號和口令，不建議使用缺省的賬號、密碼管理防火墻；嚴 格按照實際使用需求開放防火墻的相應的管理權限，并且管理權限的開 放控制粒度越細越安全；設置兩級管理員賬號并定期變更口令；僅容許 使用SSH和SSL方式登陸防火墻進行管理維護。3、深入理解網絡中業務類型和流量特征，持續優化防火墻策略。整理出 完整

9、網絡環境視圖（網絡端口、互聯地址、防護網段、網絡流向、策略 表、應用類型等），以便網絡異常時快速定位故障。4、整理一份上下行交換機配置備份文檔（調整其中的端口地址和路由指 向），提供備用網絡連線。防止防火墻發生硬件故障時能夠快速旁路防 火墻，保證業務正常使用。5、在日常維護中建立防火墻資源使用參考基線，為判斷網絡異常提供參 考依據。6、重視并了解防火墻產生的每一個故障告警信息，在第一時間修復故障 隱患。7、建立設備運行檔案，為配置變更、事件處理提供完整的維護記錄，定 期評估配置、策略和路由是否優化。8、故障設想和故障處理演練：日常維護工作中需考慮到網絡各環節可能 出現的問題和應對措施，條件允許

10、情況下，可以結合網絡環境演練發生 各類故障時的處理流程，如：設備出現故障，網線故障及交換機故障時 的路徑保護切換。應急處理當網絡出現故障時，應迅速檢查防火墻狀態并判斷是否存在攻擊流 量，定位故障是否與防火墻有關。如果故障與防火墻有關，可首先檢查 防火墻的、地址轉換策略、訪問控制策略、路由等是否按照實際使用需 求配置，檢驗策略配置是否存在問題。一旦定位防火墻故障，可通過命 令進行雙機切換，單機環境下發生故障時利用備份的交換機/路由器配 置，快速旁路防火墻。在故障明確定位前不要關閉防火墻。1、 檢查設備運行狀態網絡出現故障時，應快速判斷防火墻設備運行狀態，通過管理器登陸 到防火墻上，快速查看CPU

11、、內存、連接數、Interface以及相應信息， 初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對數據包處理情況如果出現部分網絡無法正常訪問，順序檢查接口狀態、路由和策略配 置是否有誤，在確認上述配置無誤后，通過tcpdump命令檢查防火墻對 特定網段數據報處理情況。部分地址無法通過防火墻往往與策略配置有 關。3、 檢查是否存在攻擊流量通過實時監控確認是否有異常流量，同時在上行交換機中通過端口鏡 像捕獲進出網絡的數據包，據此確認異常流量和攻擊類型，并在選項設 置、入侵防護等項目中啟用對應防護措施來屏蔽攻擊流量。4、 檢查HA工作狀態檢查HA工作狀態，進一步確認引起切換的原因，引起HA切換原因通 常為鏈路故障，交換機端口故障，設備斷電或重啟。設備運行時務請不 要斷開HA心跳線纜。5、 防火墻發生故障時處理方法如果出現以下情況可初步判斷防火墻硬件或系統存在故障：無法使用 console 口登陸防火墻，防火墻反復啟動、無法建立ARP表、接口狀態始 終為Down、無法進行配置調整等現象。為快速恢復業務，可通過調整上 下行設備路由指向，快速將防火墻旁路，同時聯系供應商進行故障診 斷。總結改進 故障處理后的總結與改進是