浅析防火墙的使用及维护.doc

浅析防火墙的使用及维护周泉淮北矿业集团通讯计算机公司处 摘要: 防火墙在网络中起到非常重要的作用，需要时刻正常运转，本文介绍了如何对防火墙进行日常维护，并对经常遇到的一些网络故障进行了分析和阐述，以助于网络管理员来更好的进行日常管理维护工作。关键词：防火墙 维护 网络故障 Abstract: The fire wall has played a very important role on the internet, so it requires assuring normal operation all the time. This paper presents how to do the daily maintenance work of the fire wall and analyzes some ordinary network faults, So as to help the network administrator get a better management for the daily maintenance work.Keywords: fire wall，safeguard，Network malfunction一、综述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。1二、 防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标，我单位所使用的防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。常规维护：在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。1、日常维护过程中，需要重点检查以下几个关键信息：连接数：如当前的连接数达到或接近系统最大值，将导致新会话不能及时建立连接，此时已经建立连接的通讯虽不会造成影响；但仅当现有的连接拆除后，释放出来的资源才可供新建连接使用。维护建议：当当前连接数正常使用至85时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。CPU: 该防火墙是高性能的防火墙，正常工作状态下防火墙CPU使用率应保持在10%以下，如出现CPU利用率过高情况需给予足够重视，应检查连接数使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关，可通过正确设置系统参数、攻击防护的对应选项进行防范。内存: 该防火墙对内存的使用把握得十分准确，正常情况下，内存的使用率应基本保持稳定，不会出现较大的浮动。如果出现内存使用率过高（90%）时，可以查看连接数情况，或通过实时监控功能检查网络中是否存在异常流量和攻击流量。2、在业务使用高峰时段检查防火墙关键资源（如：Cpu、连接数、内存和接口流量）等使用情况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。当连接数数量超过平常基准指标20时，需通过实时监控检查当前网络是否存在异常流量。当Cpu占用超过平常基准指标20时，需查看异常流量、定位异常主机、检查策略是否优化。23、防火墙健康检查信息表：设备型号软件版本序列号设备用途XX区防火墙设备状态主用/备用工作模式透明/路由/混合检查对象相关信息结果备注连接数CPU内存Interface路由表HA状态LED指示灯设备运行参考基线连接数Cpu内存接口流量业务类型常规维护建议：1、配置管理IP地址，指定专用终端管理防火墙；2、更改默认账号和口令，不建议使用缺省的账号、密码管理防火墙；严格按照实际使用需求开放防火墙的相应的管理权限，并且管理权限的开放控制粒度越细越安全；设置两级管理员账号并定期变更口令；仅容许使用SSH和SSL方式登陆防火墙进行管理维护。 3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：设备出现故障，网线故障及交换机故障时的路径保护切换。39、设备运行档案表设备型号软件版本设备序列号设备用途XX区防火墙设备状态主用/备用工作模式透明/路由/混合保修期限供应商联系方式配置变更变更原因变更内容结果负责人事件处理事件现象处理过程结果负责人三、策略配置与优化防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。策略配置与维护需要注意地方有：试运行阶段最后一条策略定义为所有访问允许并记录日志，以便在不影响业务的情况下找漏补遗；当确定把所有的业务流量都调查清楚并放行后，可将最后一条定义为所有访问禁止并记录日志，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。策略用于区域间单方向网络访问控制。如果源区域和目的区域不同，则防火墙在区域间策略表中执行策略查找。如果源区域和目的区域相同并启用区域内阻断，则防火墙在区域内部策略表中执行策略查找。如果在区域间或区域内策略表中没有找到匹配策略，则安全设备会检查相关区域的缺省访问权限以查找匹配策略。策略变更控制。组织好策略规则后，应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越小。如果防火墙有多个管理员，建议策略调整时，将变更者、变更具体时间、变更原因加入注释中，便于后续跟踪维护。4四、攻击防御防火墙利用入侵防护功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，当网络确实存在这些类型的攻击数据流时，我们可以适当开启这些抗攻击选项，可以有效的保护各种应用服务器。如果希望开启其它选项，在开启这些防护功能前有几个因素需要考虑：自行开发的一些应用程序中，可能存在部分不规范的数据包格式；如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的性能；如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的网络设计也会出现合法流量被屏蔽问题。要想有效发挥防火墙的攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项：根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防范DDoS的选项上添加20的余量作为阀值。如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议和网络层的攻击选项逐步选中。设置防范应用层的选项，在了解应用层的需求以及客户化程序的编程标准后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。为检查网络中是否存在攻击流量，可以临时打开实时监控功能，查看流量特征，判断是否为DOS/DDOS攻击，确认攻击类型。在设置入侵防御选项的过程中，应密切注意防火墙CPU的利用率，以及相关应用的使用情况；如果出现异常（CPU利用率偏高了或应用不能通过），则立刻需要取消相关的选项。建议正常时期不启用入侵防御选项，仅在网络出现异常流量时再打开对应的防御功能5五、特殊应用处里长连接应用处理：如果在长连接应用中已经设计了心跳维持机制（如每隔几分钟，客户端与服务端之间传送心跳以维持会话），此时无需防火墙上设置长连接属性，使用默认配置即可。只针对的确需要的应用启用长连接属性，一般的应用不要使用长连接，以节省防火墙的系统资源。由于设置长连接属性后，防火墙系统本身不再干预该连接情况，所以可能会出现一些特殊情况（应用服务器端异常死机等）造成该连接僵死而长期占用防火墙的资源，因此，建议经常实时监控防火墙的长连接情况，一旦发现这种僵死的长连接过多，则应该在合适的时间手动重启防火墙系统，以释放防火墙的资源。不规范TCP应用处理：正常TCP应用连接建立需要3次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似SYN没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为防火墙在默认情况下，对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况，在某些应用发生通讯障碍时，通过tcpdump抓包来判断是否是防火墙拒绝了不严谨的TCP 包，确认后通过设置的命令来使防火墙取消这种防范机制六、结束语综上所述，防火墙是企业单位不可或缺的安全设备，作为网管人员应当积极主动的熟悉它的性能功能，使其在生产工作中发挥最大的作用。参考文献1.丁春荣; 安全信息系统的实现 J;淮北煤炭师范学院学报(自然科学版); 2004年03期2.穆绍山; IP网脆弱性分析方法的研究 J;计算机安全; 2007年06期3.李安平; 防火墙的安全性分析 J;计算机