DPtech-FW1000系列防火墙系统维护手册(同名11373).doc

DPtechDPtech FW1000FW1000 维护手册维护手册 杭州迪普科技有限公司杭州迪普科技有限公司 2012 年年 01 月月 目目 录录 DPtechDPtech FW1000FW1000 维护手册维护手册.1 第第 1 章章 常见维护事项常见维护事项.1 1.1 系统基本维护.1 1.2 日常故障维护.1 1.3 数据备份管理.1 1.4 补丁升级管理.2 第第 2 章章 应急处理方案应急处理方案.4 2.1 运输导致设备无法启动.4 2.2 互联网访问异常.4 2.3 集中管理平台无相关日志.4 2.4 设备工作不正常.5 2.5 IPSEC-VPN 无法正常建立.5 2.6 访问内网服务器异常.5 2.7 新加入的设备，内网无法上网.5 2.8 个别内网地址无法上网.6 2.9 映射内网服务器访问不了.6 2.10 用户访问网站慢.6 第第 3 章章 功能项功能项.7 3.1 用户名/密码.7 3.2 管理员.7 3.3 WEB 访问.7 3.4 接口状态.8 3.5 数据互通.8 3.6 日志信息.8 第第 4 章章 其他其他.10 4.1 注册与申请.10 4.2 升级与状态.10 第第 5 章章 FAQ.13 5.1 入门篇.13 5.2 进阶篇.14 第第 1 章章 常见维护事项常见维护事项 1.1 系统基本维护 防火墙应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 防火墙管理员应定期查看统一管理中心（UMC）和防火墙的系统资源(包括内存 /CPU/外存)，确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志，发现防火墙的异常运 行情况 防火墙管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略， 删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即 上报并修改密码 防火墙管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行追踪(例 如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名：admin，初始口令 admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级 1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否 PING 通统一管理中心服务器，其相关 服务（UMC 数据库服务、UMC Web 服务、UMC 后台服务）是否启动，管理端口 80 是否一致 统一管理中心服务器上网络流量快照或 FW 日志无法生成，先检查端口 9502、9516、9514 是否开放，防火墙的日志发送配置是否正确，再用抓包工具检查 防火墙是否发送日志 防火墙无法登录，请检查防火墙的 IP 是否可以 Ping 通，同时检测端口 80 是否开放 1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储 统一管理中心服务器的磁盘告警阀值默认为 2G，当系统可用磁盘空间小于 2G 时， 会进行自动告警，这时需要进行数据库压缩和数据备份 1.4 补丁升级管理 迪普将不定期在迪普官方网站（）发布设备最新的软件版本， 可自行下载，并升级 协议库升级，在设备已存在该特征库的 License 的情况下，可采用手动升级（迪普 官方网站下载）或自动升级（前提是设备可访问迪普官方网站的链接，若不具备此 条件，则需采用手动升级） 【软件版本】升级操作说明： （1）首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。 （2）通过 WEB 界面登录设备，选择【基本】=【系统管理】=【软件版本】，如图所示： 点击文件路径后的【浏览】按钮，本地选中要下载的软件版本，点击【下载软 件版本】按钮 下载的配置文件出现在列表中，鼠标移动到下次启动的软件版本后的软件版 本时会变成铅笔图标 点击鼠标左键，出现软件版本的下拉列表 选择下次启动时需要的版本，即下载的软件版本 修改完毕后，点击确认按钮 （3）登录设备在设备在【设备管理】=【设备信息】界面查看软件版本升级成功。 【协议库】手动升级操作说明： （1）在设备协议库授权未过期的前提下，从迪普官方网站获取最新的协议库。 （2）通过 WEB 界面登录设备，选择【基本】=【系统管理】=【特征库】=【XXX 特征库】 ，如下图所示： 点击浏览按钮； 选择下载升级包的路径； 设置完毕，点击右方的确定按钮。 （3）协议库在升级过程中将显示进度信息，如下图所示： 最后，系统将提示升级完成。 第第 2 章章 应急处理方案应急处理方案 2.1 运输导致设备无法启动 设备加电一段时间后，系统无法正常启动（包括电源指示灯灭，电源指示灯亮/其他 指示灯灭，RUN 灯常亮或者快闪） 。 更换电源线确保其正常，若仍存在同样问题，则需更换硬件设备。 2.2 互联网访问异常互联网访问异常 接口指示灯是否正常闪烁 若接口指示灯不亮，检查连接线是否松动，且通过 Web 页面查看接口管理状态与链 路状态是否正常 若接口指示灯闪烁，通过 Web 页面查看接口收发数量是否正常 故障排查思路： 1、链路是否连接正常，使用设备页面中的 PING 命令检测上行和下行链路是否畅通， 如果光口连接，建议强制双工和速率。 2、查看路由条目是否配置正确。NAT 的源地址，目的地址，地址池，NAT 方式都 是否正确 3、查看参与配置的接口是否加入安全域中。 4、安全域是否优先级及包过滤策略是否设置正常。 2.3 集中管理平台无相关日志集中管理平台无相关日志 安装集中管理平台客户端后，双击任务栏的集中管理平台图标，查看数据库服务、 web 服务、后台服务是否正常，若不正常则重新启动 PC 或卸载重新安装（注意：设置 本地安全控件允许集中管理平台安装的各个细节，如 360 安全卫士等） 检查集中管理平台的 License 是否正常导入、运行状态是否正常（正常登录 web 网 管） 、本地防火墙是否关闭、入侵防御设备与集中管理平台间是否有防火墙未开启相应 端口（9502、9514 等） ；入侵防御设备与集中管理平台之间网络是否正常，入侵防御设 备是否配置了各种审计策略，入侵防御设备配置是否正常通知到集中管理平台上 检查流量是否流经设备，查看设备接口统计数据 2.4 设备设备工作不正常工作不正常 双机热备工作不正常，主机设备宕机之后，备机设备无法正常工作，需要查看备机 是否加电，备机电源指示灯是否亮，备机接口状态是否正常（接口指示灯是否亮、闪烁） ，是否可以正常登录备机设备 断电保护工作不正常，先将连接线切换到之前状态，将断电保护模块旁路，若网络 正常，则说明断电保护模块损坏，需更换断电保护模块；若网络仍不正常，需进行网络 排查 冗余电源工作不正常，查看电源指示灯是否亮，若不亮，则需更换硬件设备 2.5 IPSEC-VPN 无法正常建立无法正常建立 首先确认公网对端提供 IPSEC-VPN 地址是否可达。由于 IPSEC-VPN 是需要双方设 备相互配合的，首先需要确定 IPSEC-VPN 的协调状态，是哪一阶段协调不起来，如果 是第一阶段的 SA 协商不起不，请排查下，本地保护网段与对端保护网段是否一致，且 用于交互的预共享密钥是否填写正确，协商时间保持相同，第二阶段的 SA 如果没办法 建立起来，查看 IPSEC-VPN 的高级配置中 ESP 的协商参数，加密算法和 HASH 算法是 否选择正确。 2.6 访问内网服务器异常访问内网服务器异常 配置目的 NAT，实现服务器的映射，这里需要注意的是 ISP 分配的外网的 IP 地址， 一个 IP 地址的一个端口服务只能映射一台内部服务器。如果内网用户需要使用域名进 行访问映射的服务器，需启用 DNS ALG。 2.7 新加入的设备，内网无法上网新加入的设备，内网无法上网 查看设备接口链路的协商情况，确保协商一致。如果是光口，确保双方都是自协商 或强制。 查看设备 ARP 表，看是否学习到上下游直连设备 MAC 地址。 通过设备 PING 上下游设备直连 IP，确保上下游 ARP 表更新。 查看设备路由表，确保流量不通的 IP 网段有正确的路由，可以通过 PING 来验证。 通过设备 PING 一个公网 IP 地址，确保公网出口没有问题。 查看源 NAT 规则，确保有相应的地址转换规则。 查看设备安全策略，有相应的通行策略。 2.8 个别内网地址无法上网个别内网地址无法上网 PING 防火墙的地址是否能通。 查看安全策略规则，是否有规则阻断。当规则太多或者比较紧急时，可以在安全策 略的第一条前插入一条通的策略。 确保有相应的 NAT 地址转换规则。 查看设备会话表，看是否有相应的会话。 2.9 映射内网服务器访问不了映射内网服务器访问不了 通过设备 PING 内网服务器，确保路由可达。 telnet 内网服务器端口，确保服务器端口开启。 查看目的 NAT 规则是否正确。 查看安全策略规则是否有通行策略，情况紧急时可以在第一条前插入一条通行策略。 查看设备会话表，是否有相应会话。 2.10 用户访问网站慢用户访问网站慢 通过设备 PING 网站，查看延时，查看是否有丢包。 用户直接 PING 网站，查看延时，查看是否有丢包。 访问其他网站，排查是否是个别服务器问题。 查看设备 CPU 占用率与流量，排查是否有攻击行为。 第一条策略前插入一条全通策略，排查是否设备性能导致。 第第 3 章章 功能项功能项 3.1 用户名/密码 FW 设备，初始 IP 地址为 ，用户名 admin，密码 admin UMC 软件：初始用户名 admin，密码 UMCAdministrator 首次使用请更改，并定期维护 3.2 管理员 管理员设置，添加管理员；防止“admin”管理员被恶意尝试而锁定 3.3 WEB 访问 访问协议设置，配置 HTTP 及 HTTPS 参数（注意：重启后生效） 3.4 接口状态 注意接口协商状态，及转发数据是否正常。当上下行设备发生变化时，必须查看 3.5 数据互通 在【网络管理】-【诊断工具】中，验证网络畅通性（如：FWUMC 可达） 3.6 日志信息 如：流量分析 第第 4 章章 其他其他 4.1 注册与申请 查看设备包装箱内 License 授权序列号，或在 WEB 首页中查看设备序列号 打开 UMC 的 WEB 页面，进入“License 管理-申请 License”，输入相关信息，并 保存此文件 登陆迪普官方网站，输入相关信息，申请相应 License 4.2 升级与状态 查看设备状态 导入 License 文件 导入相应特征库 升级软件版本，导入后，选为“下次启动使用的软件版本”后，重启设备即可 查看系统、操作日志，查询告警及可疑日志 查看 UMC 本地信息 第第 5 章章 FAQ 5.1 入门篇 1、 为什么配置了管理地址 IP，PC 却 Ping 不通？ 在同网段中，PC 的 IP 地址与配置管理 IP 地址必须同属这一网段；在不同网段中，需要在 FW 设备上添加相应的路由，确保与 PC 连通。 2、 在 WEB 界面上直接对管理口的设置修改，会有什么结果？ 会导致当前 WEB 界面 down 掉，无法继续进行任何操作。需要访问改后的 IP 地址，或者 可通过 console 口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。 3、 需要升级软件版本情况下，下载完软件版本并指定后，是否需要重启？ 需要重启。 4、 当设备异常断电时，之前在 WEB 界面上的配置是否保存？ 保存，设备开启的情况下，对于操作与配置都是时时保存的。 5、 设备上的 USB 接口做什么用的？ 外置断电保护 PFP，以及 3G 扩展。 6、 我有特征库文件，为什么不能升级？ 需事先导入相应 License。 7、 已将软件版本导入设备的 CF 卡中，为什么重启后不能加载该版本？ 须将该版本状态选为“使用中”才可。 8、 设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么？ 在无手动删除的情况下，查看是否超过了保存该日志的时间。 9、 输出到 UMC 的业务日志和流量分析的端口号是什么？ 业务日志是 9514，流量分析是 9502。 10、为什么配置策略的时候，优先使用指定用户组，而不用 All users？ 做到对业务的细化，同时过滤多余信息。 5.2 进阶篇 1、 接入设备后，发现接口协商成半双工产生丢包，怎么办？ 需要双方都强制相应的速率和双工状态。 2、 如果 FW 与 UMC 系统时间间隔过大，有何影响？ UMC 产生的日志会有相应的滞后，建议安装 UMC 后，立即开启时间同步功能 。 3、 如何跨网段对设备进行管理？ 添加默认路由，或指定路由。 4、 我开启了特征库自动升级，为什么没有生效？ 在 License 有效的情况下，确定设备可以直接连入网络。 （使用诊断工具 Ping 外网 IP 地址， 当路由不通、需要认证、各种访问控制限制下，均不可自动升级） 5、 如何使得限速效果更明显（P2P 和多媒体）？ 双向均配置策略。 细化被限速的应用。 6