NOKIA防火墙运维手册v1..doc

NOKIA IP1260 Firewall运维管理手册内部版本号v1.12008年9月29日目 录第1章 NOKIA Firewall系统概述第2章 NOKIA IPSO日常维护第3章 CheckPoint NGX R61日常维护第4章 SmartCenter Server日常维护第5章 DMZ Switch日常维护前言本手册包含NOKIA Firewall IP1260防火墙设备本身的维护管理操作及相关规定，涵盖NOKIA IPSO4.1硬件平台及CheckPoint NGX R61防火墙平台，不涉及具体的应用及配置操作。第1章 NOKIA Firewall系统概述NOKIA IP1260防火墙系统承载着我司B2B、B2C、邮件等互联网业务系统的安全防护工作，其网络拓扑如下图所示防火墙设备从逻辑上将网络划分为Internet区域、DMZ区域、内网区域，安全等级从InternetDMZLAN递增，其中DMZ、LAN都为我司内部网络，通过NOKIA IP1260防火墙设备实现上述各区域间的安全访问控制。NOKIA IP1260防火墙系统由两部分组成：NOKIA IPSO 路由操作系统和其上运行的CheckPoint NGX R61 Firewall系统。IPSO是NOKIA公司开发的一套硬件操作系统，与Cisco IOS、华为VRP网络操作系统类似，负责NOKIA设备CPU、硬盘等硬件管理，提供对各种网络协议的支持。Checkpoint NGX是安装在NOKIA设备上实现防火墙功能的一套软件平台。在系统部署上包含两台安装Checkpoint的NOKIA防火墙设备，一台Checkpoint SmartCenter负责策略配置下发及日志收集。第2章 NOKIA IPSO日常维护NOKIA IPSO可通过命令行模式和Web进行配置管理，由于Web方式较为直观，信息更为丰富，在日常运维中推荐使用该模式。设备的正常运行需要查看如下几项关键信息：1 系统概况通过https的方式登录NOKIA管理界面，在home页面下查看设备型号、系统版本、内存容量、已安装的CheckPoint软件包等基本信息。2 电源、风扇、扩展槽信息选择目录树下的MonitorHardware Monitoring，在System Status下查看风扇、电源、温度、电压详细信息，在Slot Status下查看扩展槽信息，绿灯代表硬件正常3 CPU、HD、Memory及系统健康状态选择目录树下的MonitorSystem Utilization，分别查看CPU、内存、硬盘利用率、硬盘分区、系统进程的详细信息CPU&MemoryHD利用率及分区情况当前进程信息系统健康状态概览VRRP Master显示值为4，表示两台NOKIA IP1260与两台Cisco6509 Switch互联采用VRRP方式，作为/24网段的网关，两台NOKIA IP1260间也启用了VRRP4 Interface状态选择目录树下的MonitorInterface Monitor和MonitorSystem Health Interface Traffic Statisticscha查看网卡类型、活动状态、数据流量等信息。红灯代表状态异常，需要特别注意。由于端口可以进行子接口划分，故状态表中分别显示Physical、Logical信息，当前防火墙未配置子接口，只存在一个逻辑接口信息。5 VRRP状态选择目录树下的MonitorSystem Health VRRP Service Statistics查看两台防火墙主备状态。当前配置下NOKIA IP1206-01（IP：）为主墙，NOKIA IP1206-02（IP：）为备墙，/24网段虚拟网关54在NOKIA IP1206-01上生效。若NOKIA IP1206-01出现故障，NOKIA IP1206-02将自动切换成主墙。NOKIA IP1206-01（主墙）NOKIA IP1206-01（备墙）6 系统状态报告选择目录树下的MonitorReports可自定义时间、内容生成报表信息。考虑到磁盘利用率和安全管理规范，系统将保存60天的日志信息。7 系统日志选择目录树下的MonitorSystem Logs可进行日志查询，进入System Message Logs项查看端口状态，配置操作等历史日志。选择日期、关键字对内容进行查询。当系统空间不足时，可通过console、telnet或ssh方式登录NOKIA IP1260的命令行模式，进入/var/log/删除相关日志文件8 系统备份选择目录树下的ConfigurationSystem ConfigurationBackup and Restore填入备份文件名，选择备份内容，点“Apply” 其中，Home Directories为NOKIA CPU、内存利用率、网络流量等报告文件，Log Files为NOKIA IPSO系统日志文件，Cpsuite-R61为CheckPoint防火墙系统。完成本地备份后出现以下选项此处可选择Automatic Transfer of Archive Files项在备份之前填入TFTP/FTP服务器信息，完成系统本地备份后自动上传备份文件至指定服务器选择Manual Transfer of Archive Files项在完成系统本地备份后，手工上传系统备份文件选择Download Archive File可直接点击列表中的备份文件下载到本地计算机，在日常运维中推荐使用此方法将文件备份到本地计算机第3章 CheckPoint NGX R61日常维护1 检查CheckPoint是否正常工作CheckPoint正常运行时，可使用CheckPoint管理工具中的SmartView Monitor监控CheckPoint在两台墙上的运行状态，同时可以看到CheckPoint运行时对CPU、内存的实时占用情况，以及CheckPoint NGX的版本信息和距上一次重启后的运行时间进入Firewall选项可以详细了解包过滤情况2 检查CheckPoint是否受到攻击运行CheckPoint管理工具中的SmartView Tracker观察SmartDefense部分日志判断是否受到攻击。第4章 SmartCenter Server日常维护1 SmartCenter Server状态监控使用CheckPoint管理工具中的SmartView Monitor可对SmartCenter Server健康状态进行监控，包括CPU使用率、内存占用情况2 备份/删除防火墙Log日志SmartCenter 上保存着全部防火墙日志文件，随着防火墙的运行日志将占用大量磁盘空间，必通定期登陆SmartCenter Server对日志进行清理备份工作。通过远程桌面登陆SmartCenter Server 31，打开FWLOGDIR目录根据情况备份/删除后缀名为*.log的防火墙日志文件。3，NOKIA策略备份，每次更改策略后，需要对策略进行备份，策略备份步骤如下：进入命令行，输入d:进入D盘，输入cd D:checkpointR65fw1binupgrade_tools，打开策略备份工具，输入dir,将显示如下信息Volume in drive D has no label.Volume Serial Number is E095-DFA9Directory of D:checkpointR65fw1binupgrade_tools2010-04-08 09:36 2010-04-08 09:36 2010-01-06 16:04 24,443,270 cpconfig20100106.tgz2010-04-08 09:36 24,673,116 cpconfig20100408.tgz2009-01-28 23:27 112,040 upgrade_export.exe2009-01-28 23:27 1,119,656 upgrade_import.exe 4 File(s) 50,348,082 bytes 2 Dir(s) 67,568,214,016 bytes free可以看到已经备份的文件输入upgrade_export导出备份文件，后面加导出备份文件名称如:cpconfig+日期。第5章 DMZ Switch日常维护DMZ区现已部署3台交换机：DMZ_Switch_Root Quidway S3026C 53 DMZ_Switch_01 H3C S3628 50DMZ_Switch_