NOKIA防火墙运维手册v11.docx

NOKIA防火墙运维手册v11.docx

《NOKIA防火墙运维手册v11.docx》由会员分享，可在线阅读，更多相关《NOKIA防火墙运维手册v11.docx（17页珍藏版）》请在冰点文库上搜索。

NOKIA防火墙运维手册v11

NOKIAIP1260Firewall

运维管理手册

内部版本号v1.1

2008年9月29日

第1章NOKIAFirewall系统概述

第2章NOKIAIPSO日常维护

第3章CheckPointNGXR61日常维护

第4章SmartCenterServer日常维护

第5章DMZSwitch日常维护

前言

本手册包含NOKIAFirewallIP1260防火墙设备本身的维护管理操作及相关规定，涵盖NOKIAIPSO4.1硬件平台及CheckPointNGXR61防火墙平台，不涉及具体的应用及配置操作。

第1章NOKIAFirewall系统概述

第2章

NOKIAIP1260防火墙系统承载着我司B2B、B2C、邮件等互联网业务系统的安全防护工作，其网络拓扑如下图所示

防火墙设备从逻辑上将网络划分为Internet区域、DMZ区域、内网区域，安全等级从Internet—DMZ—LAN递增，其中DMZ、LAN都为我司内部网络，通过NOKIAIP1260防火墙设备实现上述各区域间的安全访问控制。

NOKIAIP1260防火墙系统由两部分组成：

NOKIAIPSO路由操作系统和其上运行的CheckPointNGXR61Firewall系统。

IPSO是NOKIA公司开发的一套硬件操作系统，与CiscoIOS、华为VRP网络操作系统类似，负责NOKIA设备CPU、硬盘等硬件管理，提供对各种网络协议的支持。

CheckpointNGX是安装在NOKIA设备上实现防火墙功能的一套软件平台。

在系统部署上包含两台安装Checkpoint的NOKIA防火墙设备，一台CheckpointSmartCenter负责策略配置下发及日志收集。

第3章NOKIAIPSO日常维护

第4章

NOKIAIPSO可通过命令行模式和Web进行配置管理，由于Web方式较为直观，信息更为丰富，在日常运维中推荐使用该模式。

设备的正常运行需要查看如下几项关键信息：

1．系统概况

2．

通过https的方式登录NOKIA管理界面，在home页面下查看设备型号、系统版本、内存容量、已安装的CheckPoint软件包等基本信息。

3．电源、风扇、扩展槽信息

4．

选择目录树下的MonitorHardwareMonitoring，在SystemStatus下查看风扇、电源、温度、电压详细信息，在SlotStatus下查看扩展槽信息，绿灯代表硬件正常

5．CPU、HD、Memory及系统健康状态

6．

选择目录树下的MonitorSystemUtilization，分别查看CPU、内存、硬盘利用率、硬盘分区、系统进程的详细信息

CPU&Memory

HD利用率及分区情况

当前进程信息

系统健康状态概览

VRRPMaster显示值为4，表示两台NOKIAIP1260与两台Cisco6509Switch互联采用VRRP方式，作为192.168.121.0/24网段的网关，两台NOKIAIP1260间也启用了VRRP

7．Interface状态

8．

选择目录树下的MonitorInterfaceMonitor和MonitorSystemHealthInterfaceTrafficStatisticscha查看网卡类型、活动状态、数据流量等信息。

红灯代表状态异常，需要特别注意。

由于端口可以进行子接口划分，故状态表中分别显示Physical、Logical信息，当前防火墙未配置子接口，只存在一个逻辑接口信息。

9．VRRP状态

10．

选择目录树下的MonitorSystemHealthVRRPServiceStatistics查看两台防火墙主备状态。

当前配置下NOKIAIP1206-01（IP：

192.168.121.1）为主墙，NOKIAIP1206-02（IP：

192.168.121.2）为备墙，192.168.121.0/24网段虚拟网关192.168.121.254在NOKIAIP1206-01上生效。

若NOKIAIP1206-01出现故障，NOKIAIP1206-02将自动切换成主墙。

NOKIAIP1206-01（主墙）

NOKIAIP1206-01（备墙）

11．系统状态报告

12．

选择目录树下的MonitorReports可自定义时间、内容生成报表信息。

考虑到磁盘利用率和安全管理规范，系统将保存60天的日志信息。

13．系统日志

14．

选择目录树下的MonitorSystemLogs可进行日志查询，进入SystemMessageLogs项查看端口状态，配置操作等历史日志。

选择日期、关键字对内容进行查询。

当系统空间不足时，可通过console、telnet或ssh方式登录NOKIAIP1260的命令行模式，进入/var/log/删除相关日志文件

15．系统备份

16．

选择目录树下的ConfigurationSystemConfigurationBackupandRestore

填入备份文件名，选择备份内容，点“Apply”其中，HomeDirectories为NOKIACPU、内存利用率、网络流量等报告文件，LogFiles为NOKIAIPSO系统日志文件，Cpsuite-R61为CheckPoint防火墙系统。

完成本地备份后出现以下选项

此处可选择AutomaticTransferofArchiveFiles项在备份之前填入TFTP/FTP服务器信息，完成系统本地备份后自动上传备份文件至指定服务器

选择ManualTransferofArchiveFiles项在完成系统本地备份后，手工上传系统备份文件

选择DownloadArchiveFile可直接点击列表中的备份文件下载到本地计算机，在日常运维中推荐使用此方法将文件备份到本地计算机

第5章CheckPointNGXR61日常维护

第6章

1．检查CheckPoint是否正常工作

2．

CheckPoint正常运行时，可使用CheckPoint管理工具中的SmartViewMonitor监控CheckPoint在两台墙上的运行状态，同时可以看到CheckPoint运行时对CPU、内存的实时占用情况，以及CheckPointNGX的版本信息和距上一次重启后的运行时间

进入Firewall选项可以详细了解包过滤情况

3．检查CheckPoint是否受到攻击

4．

运行CheckPoint管理工具中的SmartViewTracker观察SmartDefense部分日志判断是否受到攻击。

第7章SmartCenterServer日常维护

第8章

1．SmartCenterServer状态监控

2．

使用CheckPoint管理工具中的SmartViewMonitor可对SmartCenterServer健康状态进行监控，包括CPU使用率、内存占用情况

3．备份/删除防火墙Log日志

4．

SmartCenter上保存着全部防火墙日志文件，随着防火墙的运行日志将占用大量磁盘空间，必通定期登陆SmartCenterServer对日志进行清理备份工作。

通过远程桌面登陆SmartCenterServer192.168.121.231，打开FWLOGDIR目录根据情况备份/删除后缀名为*.log的防火墙日志文件。

3，NOKIA策略备份，每次更改策略后，需要对策略进行备份，策略备份步骤如下：

进入命令行，输入d:

进入D盘，

输入cdD:

\checkpoint\R65\fw1\bin\upgrade_tools，打开策略备份工具，

输入dir,将显示如下信息

VolumeindriveDhasnolabel.

VolumeSerialNumberisE095-DFA9

DirectoryofD:

\checkpoint\R65\fw1\bin\upgrade_tools

2010-04-0809:

36