防火墙运维指南

1、防火墙系统日常运维指南V1.00防火墙系统日常运维指南一、 每日例行维护1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。 确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量是否正常。 如果存在会话连接总数、半连接数、端口流量异常，超出平时的正常范围的情况下，可能是有人在进行ARP攻击或蠕虫攻击，通过会话管理查看各会话的连接情况，查找异常会话，并对其进行手动阻断。如果会话连接

2、总数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情况下，重启防火墙设备。 在管理界面中的网络接口状态正常情况下是绿色：如果工作端口出现红色的情况下，需要及时通知网络管理员，配合查看交换机与防火墙之间的端口链路是否正常。 如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时电话联系厂商工程师。 按照要求，添加新增的防护对象。2）安全管理员职责安全管理员在每日上班后定时（每日至少二次，9点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；如果出现高级别告警日志，立即按以下步骤进行处理：u 设备本身造成中高级别告警：高级别告警主要为设备本身的硬

3、件故障告警!处理方式如下： 立即通知厂商工程师到达现场处理。 处理完毕后，形成报告，并发送主管领导。u 网络故障造成的中高级别告警：网络负载过大!（ARP攻击，蠕虫等）处理方式如下： 分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的源地址。 查出源地址后，应立即安排相关技术人员到现场处理问题机器。 问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管室主任、主管副部长）。（下同）u 网络攻击行为造成的中高级别告警：如IP扫描，端口扫描等 防火墙一般会自动阻断该连接，并同时生成告警日志。 此类告警，安全管理员需分析告警日志，查询源IP地址，并安排相关技术人员到

4、达现场处理问题机器。 问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导。3）审计员职责 1）审计员应每周五登陆系统，查看系统审计日志，查看是否有异常管理员登陆行为。 2）系统发生异常时，审计员应立即登陆系统，查看系统审计日志，并分析是否有管理员的异常系统配置信息。二、周期性维护工作在防火墙设备的运行过程中，需要定期对设备进行维护。1、系统管理员职责 每星期（周五）对IPS、AV的特征码模块进行升级（至相关网站，如有最新的版本，下载后手动升级）。 升级完成后，在“系统管理维护备份恢复”界面，选择“防病毒入侵防御配置导出”，进行配置备份。 每月，系统管理员需对本月防火墙系

5、统发生的升级及变化情况进行汇总，并提交主管领导。2、安全管理员职责 每星期（周五）登陆数据中心，通过报表工具生成本周日志事件报表，并导出保存。同时需对其中高级别告警信息进行统计分析。 每星期（周五）查看数据中心数据库的磁盘空间占用情况是否正常，如磁盘空间不足，应及时将磁盘的系统自动备份的日志文件转移到其他的存储设备上。 日志管理员在每个日志备份周期到期的后一天应查看日志的自动备份工作是否正常，如果出现不正常的情况，应及时对日志进行手动备份。 及时查找无法自动备份的原因，是否是由于磁盘空间不足无法备份。如果不是由于磁盘空间不足造成，则有可能是由于PC服务器时间运行造成日志服务器相关进程异常造成的

6、，需要重启日志服务器。 每月，安全管理员需对本月防火墙上的日志通过报表工具生成本月事件报表，并导出保存，同时，需要对高级级别以上告警信息进行统计，形成分析报告后，提交主管领导。 3、审计员职责 每星期（周五）登陆登陆数据中心，通过报表工具，生成本周配置审计事件报表，并导出保存。三、不定期维护工作1、系统管理员职责 根据需求增添防护对象。 配置发生变化后，及时保存配置信息。 系统管理员对设备进行了恢复备份配置文件的操作后，应立刻将防火墙设备是行重启，使备份的配置文件能够生效。2、安全管理员职责 根据安全需要，对安全防护策略作出调整。 安全策略调整后，通知系统管理员进行配置备份。安全产品（防火墙）

7、日常检查记录单设备名称（ 天融信 ）防火墙系统管理员检查日期安全管理员检查内容（系统管理员）序号检查项正常值正常不正常处理办法1端口状态绿色2CPU使用率80%3MEM使用率85%故障处理记录记录：检查内容（安全管理员）序号检查项正常值正常不正常处理办法1日志服务器连接情况可ping通在日志服务器防火墙上设置允许ping的策略2日志级别无错误以上级别告警3日志服务器状态正常可查询异常处理记录记录： 日志服务器无法ping通，通过抓包分析发现，ping请求包能够达到日志服务器网卡，但是日志服务器未作出响应，通过检查日志服务器设置发现，是日志服务器开启了防火墙，但是防火墙禁止了icmp报文，设置日

8、志服务器的防火墙策略后，问题得以解决。四、周记录检查五、月报维护建议常规维护1、配置管理IP地址，指定专用终端管理防火墙；2、更改默认账号和口令，不建议使用缺省的账号、密码管理防火墙；严格按照实际使用需求开放防火墙的相应的管理权限，并且管理权限的开放控制粒度越细越安全；设置两级管理员账号并定期变更口令；仅容许使用SSH和SSL方式登陆防火墙进行管理维护。 3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），

9、提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：设备出现故障，网线故障及交换机故障时的路径保护切换。应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障

10、是否与防火墙有关。如果故障与防火墙有关，可首先检查防火墙的、地址转换策略、访问控制策略、路由等是否按照实际使用需求配置，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。在故障明确定位前不要关闭防火墙。1、 检查设备运行状态网络出现故障时，应快速判断防火墙设备运行状态，通过管理器登陆到防火墙上，快速查看CPU、内存、连接数、Interface以及相应信息，初步排除防火墙硬件故障并判断是否存在攻击行为。2、 跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有误，在确认

11、上述配置无误后，通过tcpdump命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。3、 检查是否存在攻击流量通过实时监控确认是否有异常流量，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在选项设置、入侵防护等项目中启用对应防护措施来屏蔽攻击流量。4、 检查HA工作状态检查HA工作状态，进一步确认引起切换的原因，引起HA切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。5、 防火墙发生故障时处理方法 如果出现以下情况可初步判断防火墙硬件或系统存在故障：无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。总结改进故障处理后的总结与改进是进一