h3c ips(acg)日常维护指导书.doc

h3c ips(acg)日常维护指导书 适用对象本文档适用于维护H3C IPS/ACG产品的工程师缩略语缩略语英文全名中文解释H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第6页，共23页第第1章日常维护建议维护范围日常维护主要涉及的范围是维护手段巡检、优化、处理投诉、保障等1.1IPS/ACG日常维护建议尊敬的用户感谢您使用H3C公司的产品IPS/ACG。 系统运行的正常、稳定是我们共同的愿望，为了我们共同的目标，请您重视以下建议并参照日常维护建议进行必要的日常维护。 1、IPS/ACG的使用涉及网络安全技术、Windows系列操作系统，及相关第三方厂家设备，所以应安排受过专业培训的专人进行日常维护。 2、保持机房清洁干净，防尘防潮，防止虫鼠进入。 3、每天参照H3C IPS/ACG日常维护指导书中内容对设备进行例行检查和测试，并记录检查结果。 4、用于系统管理、设备维护和业务操作的用户名和口令应该严格管理，定期更改，并只向特定相关人员发放。 5、严禁在设备维护终端主机上安装与业务无关的软件，严禁在设备维护终端主机上运行与业务无关的应用。 维护终端主机应该定期查杀计算机病毒。 6、遇有不明原因告警，请迅速与代理商工程师或者H3C公司服务热线联系（400-8100504/800-8100504）。 7、调整线缆一定要慎重，调整前要作标记，以防误接。 8、对设备硬件进行操作时应戴防静电手腕。 9、对设备进行复位、改动业务数据之前做好备份工作。 10、在对设备版本进行升级前，请详细阅读版本说明书中的升级指导，并全面备份相关配置。 H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第7页，共23页IPS/ACG设备日常的维护工作内容主要有季度巡检、故障处理、投诉处理、网络整改、通信保障等。 季度巡检定期对所有站点进行一次现场巡检，对巡检时发现的问题现场进行处理并登记。 故障处理主要通过网管系统发现故障并根据故障性质进行处理。 用户投诉用户投诉要求在接到投诉后一定时限内赶到现场进行处理，处理完要求回访客户进行故障恢复确认。 网络优化针对客户投诉、会议保障以及站点性质变化所作的较大的网络调整。 通讯保障当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。 1.2IPS/ACG运维建议H3C IPS/ACG产品在使用维护过程中需要关注许多方面，并以负责任的态度履行注意事项 (1)设备开箱验货完成后，开始设备的安装和基本调试； (2)进行设备初始化配置，验证设备状态是否正常； (3)协调准备设备安装条件及环境，确定设备已升级到目前最新版本或指定统一版本（建议）； (4)依据工程设计方案进行设备安装，按照规范要求连接电源和接地，并保证连接稳定可靠、不易被非维护人员触碰； (5)按照设计的网络拓扑进行网络线路连接，保证线路质量和走线方式符合要求，并注意网络线缆连接的可靠性； (6)检查IPS/ACG的配置，参考配置模板逐项满足客户需求； (7)按照客户需求逐项进行检查各需检查功能是否生效，各需检查功能主要包括基本上网、LAN口连接、基本网管、等； (8)根据开局设计的网络建设方案，就基本维护方面的内容向客户使用维护人员说明。 H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第8页，共23页第第2章维护操作指导2.1设备日常维护操作指导维护类别维护项目操作指导参考标准设备运行环境电源查看电源监控系统或测试电源输出电压电压输出正常，无异常告警温度（正常040）测试温度温度范围0-40；建议为15-25湿度（正常590）测试相对湿度相对湿度5%-90%（无冷凝）机房清洁度（灰尘含量）检查空气中灰尘的含量每平方米灰尘颗粒数量3104(3天内桌面无可见灰尘)注灰尘粒子直径5m直观判断三天内桌面无可见灰尘为好其他状况（火警、烟尘）查看消防控制系统告警状态消防控制系统无告警，若无条件则以肉眼判断为准设备运行状态电源指示灯状态查看电源指示灯状态电源指示灯显示正常系统指示灯状态查看系统指示灯状态系统指示灯显示正常CF指示灯状态查看CF指示灯状态CF指示灯显示正常电源线连接情况检查电源线连接是否安全可靠。 (1)各连接处安全、可靠。 (2)线缆无腐蚀、无老化。 线缆连接情况检查线缆连接是否安全可靠。 (1)各连接处安全、可靠。 (2)线缆无腐蚀、无老化。 其他线缆连接情况检查其他线缆连接是否安全可靠。 (1)各连接处安全、可靠。 (2)线缆无腐蚀、无老化。 设备配置检查系统登录检查是否可以登录设备系统可正常通过Tel、Console等方式登录。 系统时间及运行状态信息检查系统时间及运行状态系统时间设定正常，运行状态信息显示正常业务配置管理信息检查系统业务配置管理信息系统各功能项配置正常，符合网络安全规划设计要求系统日志信息检查系统日志信息日志中无异常告警记录。 攻击日志信息检查攻击日志信息对攻击日志进行分析H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第9页，共23页2.2设备季度维护操作指导维护类别维护项目操作指导参考标准设备维护设备机柜状态检查安装设备的机柜安放是否平稳、安装是否牢靠设备机柜放置水平、稳定，无晃动。 固定牢靠设备安装状态检查设备在机柜中的状态设备在机柜中安装平稳、牢靠，无松动设备散热状态检查设备散热状态设备周围通风良好，无杂物堆积，设备无过热现象设备清洁状态检查设备清洁状态设备无明显附着灰尘，外壳及各接口无腐蚀，工作台或机柜干净整洁季度维护检查系统时钟登录到系统管理页面，检查系统时钟信息显示时间和当前准确时间的误差不超过5秒网络连通性测试在设备维护终端主机上ping各网段服务器或主机在设备维护终端主机上，通过ping测试，各服务器与主机等节点的连通性正常检查与更新系统版本查看系统当前版本信息。 通过登录H3C网站检查下载并更新设备至最新版本若设备运行异常，可尝试将设备版本升级至最新版本。 检查机柜清洁状态检查机柜清洁状态机柜无明显附着灰尘污渍，外壳及各连接处无腐蚀现象，机柜内部干净整洁检查值班电话状态检查值班电话拨入、拨出情况 (1)值班电话可顺利拨入 (2)值班电话可顺利拨出 (3)话机工作正常2.3设备年度维护操作指导维护类别维护项目操作指导参考标准接地线、地阻、业务线缆连接检查接地线检查检查接地线连接是否安全可靠 (1)各连接处安全、可靠、无腐蚀 (2)接地线无老化 (3)地线排无腐蚀，防腐蚀处理得当地阻检查使用地阻仪测试地阻地阻值应小于1欧姆业务线缆连接检查业务线缆是否与设备及配线架可靠连接 (1)各连接处安全、可靠无腐蚀。 (2)线缆无老化。 业务线缆布放检查业务线缆布放标识清晰。 (1)业务线缆布线整齐。 (2)业务线缆标识清晰，容易识别。 电源检查UPS电源检查检查UPS的输出电压是否稳定；市电中断之后UPS是否继续稳定供电 (1)UPS的输出电压稳定 (2)市电中断之后UPS的继续稳定供电H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第10页，共23页第第3章维护记录表格3.1H3C IPS/ACG设备日常维护值班日志日期年月日值班时间时至时交班人接班人维护类别维护项目维护状况备注维护人设备运行环境电源（直流/交流）?正常?不正常温度（正常040）?正常?不正常湿度（正常590）?正常?不正常机房清洁度（灰尘含量）?正常?不正常其他状况（火警、烟尘）?正常?不正常?设备运行状态电源指示灯状态?正常?不正常诊断指示灯状态?正常?不正常?USB指示灯状态?正常?不正常?电源线连接情况?正常?不正常?线缆连接情况?正常?不正常?其他线缆连接情况?正常?不正常?设备配置检查系统登录?正常?不正常系统时间及运行状态信息?正常?不正常?业务配置管理信息?正常?不正常?系统日志信息?正常?不正常?故障情况及其处理遗留问题主管核查H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第11页，共23页3.2H3C IPS/ACG设备季度维护记录表维护周期年月日至年月日维护类别维护项目维护状况备注维护人设备维护设备机柜状态?正常?不正常设备安装状态?正常?不正常设备散热状态?正常?不正常设备清洁状态?正常?不正常季度维护检查系统时钟?正常?不正常变更管理员登陆密码?完成?未完成网络连通性测试?正常?不正常?备份设备配置信息?完成?未完成检查与更新系统版本?完成?未完成?检查机柜清洁状态?完成?未完成?检查值班电话状态?完成?未完成?发现问题及处理情况记录遗留问题说明主管核查H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第12页，共23页3.3H3C IPS/ACG设备年度维护记录表维护周期年月日至年月日维护类别维护项目维护状况备注维护人接地线、业务线缆连接检查接地线连接检查?正常?不正常地阻检查?正常?不正常业务线缆布放检查?正常?不正常业务线缆连接检查?正常?不正常电源检查UPS电源检查?正常?不正常?发现问题及处理情况记录遗留问题说明主管核查H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第13页，共23页3.4H3C IPS/ACG设备突发问题处理记录表发生时间解决时间值班人处理人问题类别?设备问题（包含软硬件，下同）?连接线缆问题?电网供电/UPS问题?接地或电源连接问题?设备安装问题?操作问题?其他（温度、湿度、鼠害、电磁干扰等）?不可抗力（洪水、飓风、地震、雷电等）?其他设备设备名称生产厂家设备名称生产厂家设备名称生产厂家故障描述处理方法及结果H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第14页，共23页3.5硬件更换记录表更换原因原设备名称/型号/条码新设备名称/型号/条码数量日期更换人H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第15页，共23页3.6系统参数修改记录表修改人修改时间修改原因修改内容H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第16页，共23页第第4章常见故障处理4.1数据日志丢失4.1.1问题原因 （1）IPS/ACG系列产品提供日志可分为3类系统日志、操作日志以及数据日志。 不同的日志类别保存方式不同系统日志和操作日志直接保存在设备硬盘/CF卡上，用于设备状态维护及操作监控；数据日志包括攻击日志、病毒日志、服务日志等数据日志保存在内存中，只有reboot时，设备会启动脚本保存日志到存储介质（硬盘或CF卡）；否则，直接掉电重启设备，日志会丢失 （2）数据日志数量超过产品规格，旧日志被新日志覆盖。 4.1.2解决方法 （1）用户可以通过“保存到CSV”功能，定期将日志保存在本地； （2）配置Notify动作将数据日志输出到syslog主机或IPS/ACG Manager，进行日志管理；使用日志输出方式会影响设备性能。 （3）在隐藏视图下执行data-log save命令将数据日志保存或定时保存。 4.2无法查询DDoS、限速等日志4.2.1问题原因目前除攻击日志、病毒日志、URL日志、内容监控及服务日志以外的数据日志，设备不支持web查询，如DDoS日志，限速日志等。 H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第17页，共23页4.2.2解决方法必要情况下，可修改默认Notify动作，选择将日志输出到Syslog主机使用日志服务器（如3CDaemon）获取并保存日志。 目前SecCenter还不支持限速日志显示。 使用Notify动作输出日志会影响设备性能。 4.3URL过滤功能失效4.3.1问题原因 （1）流量未经过设备该可能性一般针对插卡，特别是多插卡使用MQC引流方式的时候，需要仔细检查流量的走向，是否存在来回路径不一致？从设备回来的报文是否被重定向到了其它地方？内联口是否配置了策略将设备返回的报文误丢弃了？ （2）流量方向URL策略只针对从内到外的url检测，请检查内外部域方向连线有没有接反？内外部域对应的接口有没有配置错误？ （3）配置错误4.3.2解决方法 （1）检查引流配置，确保来回路径一致、DNS响应报文经过设备。 （2）目前不支持固定端口地址的过滤，如不支持过滤1.1.1.14000. （3）配置URL过滤时，有以下注意事项“域名过滤”是必选配置项，“URI路径过滤”是可选配置项。 它们又分别有固定字符串和正则表达式两种配置方式。 值得注意的是，用户所配置的“域名过滤”将精确匹配请求中的Host字段后的完整内容；“URI路径过滤”将精确匹配请求中的Get字段后的完整内容；H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第18页，共23页如果选择固定字符串方式而且只截取其中一部分，将不会匹配成功；URI的内容从第一个左斜杠开始，注意不要遗漏；如果只想配置包含某个字符串的URI，须使用正则表达式进行通配；目前URL过滤对大小写不敏感，且不支持中文关键字过滤。 阻断.*189.*、.*sina.*、.*sohu.*等多个网站。 由于IPS&ACG整机active的URL条数为16条，如果流经IPS的流量带有“189”、“sina”、“sohu”、“”的数量超过16条，那么超过的URL将无法匹配，阻断失败。 可以将上述改为.*189.*、.*sina.*、.*sohu.*。 用“”对“.”进行转义，让它只匹配“.”而不是通配。 这样流经IPS的URL变为“89.”“sina.”“sohu.”，使得active的URL的数量减少。 4.4P2P限速/阻断效果不明显4.4.1解决方法由于目前流行的P2P类软件采用多方式获取资源，因此推荐采用如下配置方法进行P2P软件测试 （1）在带宽管理添加规则中，需要选择“P2P”服务，“文件服务器”服务。 配置完成后，带宽管理规则包括的规则如下，配置这种情况，对系统目前支持的所有P2P类软件生效。 （2）此外，一些P2P类软件还会通过正常下载方式获取资源，因此可以选“正常下载”服务，可以阻断P2P类软件通过方式获取资源。 但是如果配置了此服务，所有通过方式正常下载的方式(如“右键另存”方式)都会被阻断，如果用户只想阻断P2P类软件，而不影响正常上网下载，建议不要选择此服务，但是可能会出现一些P2P流量(如FlashGet2.0版本)无法阻断的情况。 （3）注意事项H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第19页，共23页由于目前各种P2P软件都是用了多协议进行文件的上传和下载，所以在配置中一般情况下需要对P2P和文件服务器这两个服务进行统计配置；由于P2P协议命中非常多，在对P2P配置动作集时不要配置Block+Notify,以避免存在大量的日志信息；单进程下载这个服务是某些P2P软件使用的，但是在Win2000+IE6.0的情况下正常的上网会误报为该服务，从而无法浏览网页，在实际用户网络使用中需要把这个服务配置为Permit，以免影响用户实际使用，如下图多进程下载这个服务也是某些P2P软件使用的，但是在用户的实际网络提供的WEB服务中，可能会使用到多进程下载这个协议，在实际用户网络使用中根据用户网络的实际情况把这个服务配置为Permit，以免影响用户实际使用。 如下图所示或者如下图在策略中配置该服务器地址为例外IP地址来解决这个问题H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第20页，共23页平台主线版本i-Ware V100R001B13到i-Ware V100R001B15版本，增加了加密P2P协议的识别，当IPS或者ACG设备放在NAT设备与出口路由器之间，由于IPS或者ACG只可以看到NAT设备的IP地址，统计上已经存在很大的误差，会误识别为加密P2P协议，在实际用户网络使用中需要配置为Permit，如下图在单用户测试过程中可以开启。 4.5迅雷限速/阻断效果不明显4.5.1解决方法由于迅雷软件采用多方式获取资源，因此推荐采用如下配置方法进行迅雷软件测试。 在带宽管理添加规则中，需要选择“迅雷”、“BitTorrent”、“电骡”、“单线程”、“多线程”、“暴风影音（属于流媒体）”服务。 配置完成后，带宽管理规则包括的规则如下H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第21页，共23页4.6IPS部署后无攻击日志产生4.6.1解决方法 （1）配置问题首先确保配置正确，即在使用的段上应用了IPS策略（建议用默认的IPS策略，若有更改，确保启用的规则能够命中并记录日志）；使用的网络接口有流量经过（接口状态OK； （2）检测的流量确实比较干净，如放在DMZ区域，服务器用的是SSL安全协议时攻击会比较少。 建议更改部署位置，如放在网络出口或内部网络区域间； （3）在确认配置没有问题后，可通过如下简单的方法来排除是设备问题还是流量问题确保“151001622HP WebJetAdmin wja系统文件存取漏洞”攻击规则开启，找台提供80端口的pc2（如Inter的web服务器），pc1访问pc2pc1/wja?page=/././，如1.1.1.1/wja?page=/././,其流量经过IPS检测，就会有攻击日志。 如找不到开80端口的pc，可用如下小软件将80端口打开H3C无线产品日常维护指导书有限公开xx-03-29H3C机密，未经许可不得扩散第22页，共23页4.7单用户限速不准，上报系统日志“User numexceed max（ （16000）”4.7.1问题描述系统日志上报如下信息，部分单用户限速不准。 4.7.2解决方法IPS/ACG产品整机支持单用户限速为16000个用户，超过将无法正常限速。 4.8流量上了IPS/ACG插卡但是插卡没有识别没有会话、数据日志等4.8.1问题描述IPS/AC