联想网御系列防火墙日常故障处理方法.ppt

联想网御系列防火墙日常故障处理方法,工程实施部2007年8月,重要说明防火墙在配置与使用过程中，如果配置不当往往会造成防火墙无法管理，网络中断等现场。为了有效的避免这些故障的发生，我们在配置过程中应该注意以下的问题。,日常故障处理,问题：电子钥匙认证问题处理:电子钥匙连接防火墙时提示“认证失败，请检查IP地址及网络”,处理方法:防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成,更改管理主机ip.,日常故障处理,问题：帐号密码问题处理:密码被锁，要恢复使用该帐号只能重启,若密码忘了，可以使用admin/admin123帐号进行登录作临时配置修改。若要修改忘记的密码只能联系客户中心。,日常故障处理,问题：CPU使用率过高处理:NAT规则中一定不能添加any到any的nat规则，请查明网络中的内网地址到底是哪个网段，然后再根据这些网段为源地址添加nat规则。Any到any的nat规则会将进入防火墙的报文也进行地址转化，会对ip映射、端口映射、vpn产生影响。即便在端口映射和ip映射中选择了源地址不转换，但是如果添加了any到any的nat规则，进入防火墙的报文的源地址还是会被转换。同时该规则还会将进入vpn隧道的报文进行地址转换，这样做的结果是vpn隧道可以建立起来当时隧道内通讯不通。,日常故障处理,问题：synflood攻击参数SYNFlood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。处理:抗synflood攻击参数的意义：0：监控规则中每一个目的地址的半连接数的数量，如果该目的地址的半连接数量超过90个，则针对该目的地址启动synproxy。参数每增加1，则将启动synproxy的触发值降低10（半连接数）。增加到9时，则是对该规则中目的地址的所有连接都启用synproxy。如果规则中的目的地址为any，则synproxy功能保护的目的地址也为any。但此时防火墙的负载会非常重。所以添加此规则时，尽量明确目的地址的范围，在多数情况下，抗synflood参数设为0即可。,日常故障处理,问题：映射问题处理:防火墙中配置了端口映射或IP映射规则后，为什么外网和内网用户还是无法访问DMZ区服务器？处理方法：在配置了映射规则后，还需要配置相应的包过滤规则才可以。,日常故障处理,问题：为什么我们更改了防火墙的fe1口的地址后,却管理不上了?处理:当我们更改防火墙的网络接口的同时，要确认你已经添加了此接口网段的管理主机，否则你将无法管理防火墙。没有用的管理主机址尽量删除，因为管理主机的IP地址是做为管理防火墙的一个很重要的条件,日常故障处理,问题：为什么刚刚登陆到防火墙的界面后CPU利用率有时会变得很高？处理:这是正常的，因为登陆时占用资源比较多，造成了瞬时CPU利用率增高,日常故障处理,问题：为什么防火墙配置完毕,重启后配置却丢失了?处理:配置过程中防火墙的规则生效的，这样就会造成一个错觉，认为配置已经保存下来了，