NOKIA防火墙运维手册v11.docx
《NOKIA防火墙运维手册v11.docx》由会员分享,可在线阅读,更多相关《NOKIA防火墙运维手册v11.docx(17页珍藏版)》请在冰点文库上搜索。
NOKIA防火墙运维手册v11
NOKIAIP1260Firewall
运维管理手册
内部版本号v1.1
2008年9月29日
第1章NOKIAFirewall系统概述
第2章NOKIAIPSO日常维护
第3章CheckPointNGXR61日常维护
第4章SmartCenterServer日常维护
第5章DMZSwitch日常维护
前言
本手册包含NOKIAFirewallIP1260防火墙设备本身的维护管理操作及相关规定,涵盖NOKIAIPSO4.1硬件平台及CheckPointNGXR61防火墙平台,不涉及具体的应用及配置操作。
第1章NOKIAFirewall系统概述
第2章
NOKIAIP1260防火墙系统承载着我司B2B、B2C、邮件等互联网业务系统的安全防护工作,其网络拓扑如下图所示
防火墙设备从逻辑上将网络划分为Internet区域、DMZ区域、内网区域,安全等级从Internet—DMZ—LAN递增,其中DMZ、LAN都为我司内部网络,通过NOKIAIP1260防火墙设备实现上述各区域间的安全访问控制。
NOKIAIP1260防火墙系统由两部分组成:
NOKIAIPSO路由操作系统和其上运行的CheckPointNGXR61Firewall系统。
IPSO是NOKIA公司开发的一套硬件操作系统,与CiscoIOS、华为VRP网络操作系统类似,负责NOKIA设备CPU、硬盘等硬件管理,提供对各种网络协议的支持。
CheckpointNGX是安装在NOKIA设备上实现防火墙功能的一套软件平台。
在系统部署上包含两台安装Checkpoint的NOKIA防火墙设备,一台CheckpointSmartCenter负责策略配置下发及日志收集。
第3章NOKIAIPSO日常维护
第4章
NOKIAIPSO可通过命令行模式和Web进行配置管理,由于Web方式较为直观,信息更为丰富,在日常运维中推荐使用该模式。
设备的正常运行需要查看如下几项关键信息:
1.系统概况
2.
通过https的方式登录NOKIA管理界面,在home页面下查看设备型号、系统版本、内存容量、已安装的CheckPoint软件包等基本信息。
3.电源、风扇、扩展槽信息
4.
选择目录树下的MonitorHardwareMonitoring,在SystemStatus下查看风扇、电源、温度、电压详细信息,在SlotStatus下查看扩展槽信息,绿灯代表硬件正常
5.CPU、HD、Memory及系统健康状态
6.
选择目录树下的MonitorSystemUtilization,分别查看CPU、内存、硬盘利用率、硬盘分区、系统进程的详细信息
CPU&Memory
HD利用率及分区情况
当前进程信息
系统健康状态概览
VRRPMaster显示值为4,表示两台NOKIAIP1260与两台Cisco6509Switch互联采用VRRP方式,作为192.168.121.0/24网段的网关,两台NOKIAIP1260间也启用了VRRP
7.Interface状态
8.
选择目录树下的MonitorInterfaceMonitor和MonitorSystemHealthInterfaceTrafficStatisticscha查看网卡类型、活动状态、数据流量等信息。
红灯代表状态异常,需要特别注意。
由于端口可以进行子接口划分,故状态表中分别显示Physical、Logical信息,当前防火墙未配置子接口,只存在一个逻辑接口信息。
9.VRRP状态
10.
选择目录树下的MonitorSystemHealthVRRPServiceStatistics查看两台防火墙主备状态。
当前配置下NOKIAIP1206-01(IP:
192.168.121.1)为主墙,NOKIAIP1206-02(IP:
192.168.121.2)为备墙,192.168.121.0/24网段虚拟网关192.168.121.254在NOKIAIP1206-01上生效。
若NOKIAIP1206-01出现故障,NOKIAIP1206-02将自动切换成主墙。
NOKIAIP1206-01(主墙)
NOKIAIP1206-01(备墙)
11.系统状态报告
12.
选择目录树下的MonitorReports可自定义时间、内容生成报表信息。
考虑到磁盘利用率和安全管理规范,系统将保存60天的日志信息。
13.系统日志
14.
选择目录树下的MonitorSystemLogs可进行日志查询,进入SystemMessageLogs项查看端口状态,配置操作等历史日志。
选择日期、关键字对内容进行查询。
当系统空间不足时,可通过console、telnet或ssh方式登录NOKIAIP1260的命令行模式,进入/var/log/删除相关日志文件
15.系统备份
16.
选择目录树下的ConfigurationSystemConfigurationBackupandRestore
填入备份文件名,选择备份内容,点“Apply”其中,HomeDirectories为NOKIACPU、内存利用率、网络流量等报告文件,LogFiles为NOKIAIPSO系统日志文件,Cpsuite-R61为CheckPoint防火墙系统。
完成本地备份后出现以下选项
此处可选择AutomaticTransferofArchiveFiles项在备份之前填入TFTP/FTP服务器信息,完成系统本地备份后自动上传备份文件至指定服务器
选择ManualTransferofArchiveFiles项在完成系统本地备份后,手工上传系统备份文件
选择DownloadArchiveFile可直接点击列表中的备份文件下载到本地计算机,在日常运维中推荐使用此方法将文件备份到本地计算机
第5章CheckPointNGXR61日常维护
第6章
1.检查CheckPoint是否正常工作
2.
CheckPoint正常运行时,可使用CheckPoint管理工具中的SmartViewMonitor监控CheckPoint在两台墙上的运行状态,同时可以看到CheckPoint运行时对CPU、内存的实时占用情况,以及CheckPointNGX的版本信息和距上一次重启后的运行时间
进入Firewall选项可以详细了解包过滤情况
3.检查CheckPoint是否受到攻击
4.
运行CheckPoint管理工具中的SmartViewTracker观察SmartDefense部分日志判断是否受到攻击。
第7章SmartCenterServer日常维护
第8章
1.SmartCenterServer状态监控
2.
使用CheckPoint管理工具中的SmartViewMonitor可对SmartCenterServer健康状态进行监控,包括CPU使用率、内存占用情况
3.备份/删除防火墙Log日志
4.
SmartCenter上保存着全部防火墙日志文件,随着防火墙的运行日志将占用大量磁盘空间,必通定期登陆SmartCenterServer对日志进行清理备份工作。
通过远程桌面登陆SmartCenterServer192.168.121.231,打开FWLOGDIR目录根据情况备份/删除后缀名为*.log的防火墙日志文件。
3,NOKIA策略备份,每次更改策略后,需要对策略进行备份,策略备份步骤如下:
进入命令行,输入d:
进入D盘,
输入cdD:
\checkpoint\R65\fw1\bin\upgrade_tools,打开策略备份工具,
输入dir,将显示如下信息
VolumeindriveDhasnolabel.
VolumeSerialNumberisE095-DFA9
DirectoryofD:
\checkpoint\R65\fw1\bin\upgrade_tools
2010-04-0809:
36
2010-04-0809:
36
2010-01-0616:
0424,443,270cpconfig20100106.tgz
2010-04-0809:
3624,673,116cpconfig20100408.tgz
2009-01-2823:
27112,040upgrade_export.exe
2009-01-2823:
271,119,656upgrade_import.exe
4File(s)50,348,082bytes
2Dir(s)67,568,214,016bytesfree
可以看到已经备份的文件
输入upgrade_export导出备份文件,后面加导出备份文件名称如:
cpconfig+日期。
第9章DMZSwitch日常维护
第10章
DMZ区现已部署3台交换机:
DMZ_Switch_RootQuidwayS3026C192.168.121.253
DMZ_Switch_01H3CS3628192.168.121.250
DMZ_Switch_02QuidwayS3026C192.168.121.251
DMZ_Switch_Root交换机通过GE口连接两台NOKIA防火墙,DMZ_Switch_01,DMZ_Switch_02交换机通过FE口与DMZ_Switch_Root互联。
作为网络设备需定期对其配置进行备份,在添加DMZ区设备时按照《苏宁电器服务器IP地址管理规范》进行地址分配,并在DMZ交换机上添加相关端口描述。