天融信防火墙维护指南文档格式.docx

天融信防火墙维护指南文档格式.docx

《天融信防火墙维护指南文档格式.docx》由会员分享，可在线阅读，更多相关《天融信防火墙维护指南文档格式.docx（14页珍藏版）》请在冰点文库上搜索。

2、在业务使用高峰时段检查防火墙关键资源（如:

Cpu、连接数、内存和接口流量）等使用情况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。

当连接数数量超过平常基准指标20,时，需通过实时监控检查当前网络是否存在异常流量。

当Cpu占用超过平常基准指标20,时，需查看异常流量、定位异常主机、检查策略是否优化。

3、防火墙健康检查信息表:

设备型号软件版本序列号

设备用途XX区防火墙设备状态主用/备用工作模式透明/路由/混合

检查对象相关信息检查结果备注

连接数

CPU

内存

Interface

路由表

HA状态

LED指示灯

设备运行连接数

2

参考基线Cpu

接口流量

业务类型

常规维护建议:

1、配置管理IP地址，指定专用终端管理防火墙;

2、更改默认账号和口令，不建议使用缺省的账号、密码管理防火墙;

严格按照实际使用需求开放防火墙的相应的管理权限，并且管理权限的开放控制粒度越细越安全;

设置两级管理员账号并定期变更口令;

仅容许使用SSH和SSL方式登陆防火墙进行管理维护。

3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。

整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。

4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。

防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。

5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。

6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。

7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。

8、故障设想和故障处理演练:

日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如:

设备出现故障，网线故障及交换机故障时的路径保护切换。

9、设备运行档案表

设备型号软件版本设备序列号

3

设备用途XX区防火墙设备状态主用/备用工作模式透明/路由/混合保修期限供应商联系方式

变更原因变更内容结果负责人

配置变更

事件现象处理过程结果负责人

事件处理

应急处理

当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。

如果故障与防火墙有关，可首先检查防火墙的、地址转换策略、访问控制策略、路由等是否按照实际使用需求配置，检验策略配置是否存在问题。

一旦定位防火墙故障，可通过命令进行双机切换，单机环境下发生故障时利用备份的交换机/路由器配置，快速旁路防火墙。

在故障明确定位前不要关闭防火墙。

1、检查设备运行状态

网络出现故障时，应快速判断防火墙设备运行状态，通过管理器登陆到防火墙上，快速查看CPU、内存、连接数、Interface以及相应信息，初步排除防火墙硬件故障并判断是否存在攻击行为。

2、跟踪防火墙对数据包处理情况

如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有

4

误，在确认上述配置无误后，通过tcpdump命令检查防火墙对特定网段数据报处理情况。

部分地址无法通过防火墙往往与策略配置有关。

3、检查是否存在攻击流量

通过实时监控确认是否有异常流量，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在选项设置、入侵防护等项目中启用对应防护措施来屏蔽攻击流量。

4、检查HA工作状态

检查HA工作状态，进一步确认引起切换的原因，引起HA切换原因通常为链路故障，交换机端口故障，设备断电或重启。

设备运行时务请不要断开HA心跳线缆。

5、防火墙发生故障时处理方法

如果出现以下情况可初步判断防火墙硬件或系统存在故障:

无法使用console口登陆防火墙，防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。

为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。

总结改进

故障处理后的总结与改进是进一步巩固网络可靠性的必要环节，有效的总结能够避免很多网络故障再次发生。

1、在故障解决后，需要进一步总结故障产生原因，并确认该故障已经得到修复，避免故障重复发生。

2、条件容许的情况下，构建防火墙业务测试环境，对所有需要调整的配置参数在上线前进行测试评估，避免因配置调整带来新的故障隐患。

3、分析网络可能存在的薄弱环节和潜在隐患，通过技术论证和测试验证来修复隐患。

故障处理工具

天融信防火墙提供灵活多样的维护方式，其中故障处理时最有用的两个工具是实时监控功能和tcpdump，实时监控功能用于实时查看网络当前的连接情况，可以快速定位存在异常流量的IP主机或攻击源主机，tcpdump用于跟踪防火墙对指定包的

5

处理。

下面简要介绍一下两个工具的使用方法。

Tcpdump:

捕获进出防火墙的数据包

1、仅在老4k系统和TOS中的.1平台和.8平台（猎豹）支持TCPDUMP命令;

2、老4k系统直接在串口登陆界面下或telnet到防火墙界面下，即可使用tcpdump

命令;

TOS中的.1平台和.8平台在串口登陆或telnet登陆后，先敲system回

车，进入系统目录才可以使用tcpdump命令。

3、Tcpdump语法中存在三种主要的关键字:

第一种是关于类型的关键字，主要包括host，net，port，例如host210.27.48.2，指明210.27.48.2是一台主机，net202.0.0.0指明202.0.0.0是一个网络地址，port23指明端口号是23.如果没有指定类型，缺省的类型是host.第二种是确定传输方向的关键字，主要包括src，dst，dstorsrc，dstandsrc，这些关键字指明了传输的方向。

举例说明，src210.27.48.2，指明ip包中

dstnet202.0.0.0指明目的网络地址是202.0.0.0.如源地址是210.27.48.2，

果没有指明方向关键字，则缺省是srcordst关键字。

第三种是协议的关键字，主要包括fddi，ip，arp，rarp，tcp，udp等类型。

Fddi指明是在FDDI（分布式光纤数据接口网络）上的特定的网络协议，实际上它是"

ether"

的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。

其他的几个关键字就是指明了监听的包的协议内容。

如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

4、逻辑运算

除了这三种类型的关键字之外，其他重要的关键字如下:

gateway，broadcast，less，greater，还有三种逻辑运算，取非运算是'

not'

'

～'

，与运算是'

and'

，'

&

;

或运算是'

or'

，'

?

这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

5、使用例子:

例1:

在eth1口抓包，只显示地址为10.1.1.1和icmp协议的报文。

Tcpdump–ieth1host10.1.1.1andicmp

6

例2:

在所有的接口抓包，不显示4000端口的管理报文，和23端口的telnet报文。

Tcpdump–ianynotport4000andnotport23（在同时管理的时候很实用）

例3:

在eth1口抓包，显示地址为211.1.1.1或10.1.1.1的报文。

Tcpdump–ieth1host211.1.1.1orhost10.1.1.1（针对MAP前后的地址同时抓包定位时非常实用）

例4:

在所有的接口抓包，显示地址为10.1.1.1报文。

Tcpdump|grephost10.1.1.1（在adls环境中非常实用，封装了PPPOE的报文也能抓到，但是TOS不支持grep的参数了）

在tos系统中，X86的平台下才有抓包的工具，,n表示不需要域名解析，加快抓包的速度。

并且-evv比老的4k系统中，能抓到更多的信息，其中还包括校验和。

例5:

Systemtcpdump–iany–evv-n（TOS系统中最后必须加-n的参数，才能保证抓包的速度）

例6:

Systemtcpdump–iipsec0-n（TOS支持在ipsec0中抓包，来判断数据流是否进入隧道）

例7:

Systemtcpdump–ippp0-n（TOS支持在ppp0中抓包，来判断数据流是否进入PPPoE的封装）

实时监控功能:

实时查看进出防火墙的连接情况

1、天融信防火墙支持实时监控功能，可以实时了解当前经过防火墙的连接情况，

其可以查看的内容有需:

源IP地址、目的IP地址、源端口、目的端口、连接建

立时间、接收的流量、发送的流量、NAT转换后的地址、连接属性等等内容。

2、查看实时监控需要在防火墙上开放相应的权限，老4K系统开放权限过程为:

选

7

项设置,安全设备登陆控制,增加一个客户类型为监控器的管理项即可（具体

参考老4K用户手册）;

TOS防火墙开放监控权限过程为:

系统,开放服务,增加

一个权限为GUI管理的项目即可（具体参见TOS防火墙用户手册）;

3、老4K防火墙直接通过集中管理器,实时监控,连接信息,启动监控即可，TOS系

统需要通过管理中心的安全工具登陆防火墙，再启用连接监控,启动即可;

4、实时监控功能支持按照各个监控内容排序显示，通过实时监控功能可以很快的定

位处异常主机。

5、实时监控可以设置监控的过滤条件（具体见用户使用手册）;

三、策略配置与优化

防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。

考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。

策略配置与维护需要注意地方有:

试运行阶段最后一条策略定义为所有访问允许并记录日志，以便在不影响业

务的情况下找漏补遗;

当确定把所有的业务流量都调查清楚并放行后，可将

最后一条定义为所有访问禁止并记录日志，以便在试运行阶段观察非法流量

行踪。

试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。

防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度

会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为

特殊的策略定位在不太特殊的策略上面。

策略配置中的Log（记录日志）选项可以有效进行记录、排错等工作，但启用此

功能会耗用部分资源。

建议在业务量大的网络上有选择采用，或仅在必要时

采用。

简化的策略表不仅便于维护，而且有助于快速匹配。

尽量保持策略表简洁和

简短，规则越多越容易犯错误。

通过定义地址组和服务组可以将多个单一策

略合并到一条组合策略中。

策略用于区域间单方向网络访问控制。

如果源区域和目的区域不同，则防火

8

墙在区域间策略表中执行策略查找。

如果源区域和目的区域相同并启用区域

内阻断，则防火墙在区域内部策略表中执行策略查找。

如果在区域间或区域

内策略表中没有找到匹配策略，则安全设备会检查相关区域的缺省访问权限

以查找匹配策略。

策略变更控制。

组织好策略规则后，应写上注释并及时更新。

注释可以帮助

管理员了解每条策略的用途，对策略理解得越全面，错误配置的可能性就越

小。

如果防火墙有多个管理员，建议策略调整时，将变更者、变更具体时

间、变更原因加入注释中，便于后续跟踪维护。

四、攻击防御

天融信防火墙利用入侵防护功能抵御互联网上流行的DoS/DDoS的攻击，一些流行的攻击手法有Synflood，Udpflood，Smurf，PingofDeath，LandAttack等，防火墙在抵御这些攻击时，会消耗防火墙一部分的系统资源，所以，在网络正常情况下，一般不推荐使用，但是当网络确实存在这些类型的攻击数据流时，我们可以适当开启这些抗攻击选项，可以有效的保护各种应用服务器。

如果希望开启其它选

项，在开启这些防护功能前有几个因素需要考虑:

抵御攻击的功能会占用防火墙部分CPU资源;

自行开发的一些应用程序中，可能存在部分不规范的数据包格式;

网络环境中可能存在非常规性设计。

如果因选择过多的防攻击选项而大幅降低了防火墙处理能力，则会影响正常网络处理的性能;

如果自行开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽;

非常规的网络设计也会出现合法流量被屏蔽问题。

要想有效发挥天融信防火墙的攻击防御功能，需要对网络中流量和协议类型有比较充分的认识，同时要理解每一个防御选项的具体含义，避免引发无谓的网络故障。

防攻击选项的启用需要采用逐步逼近的方式，一次仅启用一个防攻击选项，然后观察设备资源占用情况和防御结果，在确认运行正常后再考虑按需启用另一个选项。

建议采用以下顺序渐进实施防攻击选项:

设置防范DDoSFlood攻击选项

9

根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值，在防

范DDoS的选项上添加20,的余量作为阀值。

如果要设置防范IP协议层的选项，需在深入了解网络环境后，再将IP协议

和网络层的攻击选项逐步选中。

设置防范应用层的选项，在了解应用层的需求以及客户化程序的编程标准

后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。

为检查网络中是否存在攻击流量，可以临时打开实时监控功能，查看流量特

征，判断是否为DOS/DDOS攻击，确认攻击类型。

在设置入侵防御选项的过程中，应密切注意防火墙CPU的利用率，以及相关

应用的使用情况;

如果出现异常（CPU利用率偏高了或应用不能通过），则立

刻需要取消相关的选项。

建议正常时期不启用入侵防御选项，仅在网络出现异常流量时再打开对应的

防御功能。

五、特殊应用处理

长连接应用处理

在金融行业网络中经常会遇到长连接应用（一般为数据库等应用），基于状态检测机制的防火墙在处理此类应用时要加以注意。

缺省情况下，天融信防火墙对每一个会话的连接保持时间是300秒（TCP）和30秒（UDP）（不同系统平台、不同版本会有不同），超时后状态表项将会被清除。

所以在实施长连接应用策略时要配置合适的timeout值，以满足长连接应用的要求。

配置常连接应用需注意地方有:

如果在长连接应用中已经设计了心跳维持机制（如每隔几分钟，客户端与服务端

之间传送心跳以维持会话），此时无需防火墙上设置长连接属性，使用默认配置

即可。

只针对的确需要的应用启用长连接属性，一般的应用不要使用长连接，以节省防

火墙的系统资源。

由于设置长连接属性后，防火墙系统本身不再干预该连接情况，所以可能会出现

10

一些特殊情况（应用服务器端异常死机等）造成该连接僵死而长期占用防火墙的

资源，因此，建议经常实时监控防火墙的长连接情况，一旦发现这种僵死的长连

接过多，则应该在合适的时间手动重启防火墙系统，以释放防火墙的资源。

不规范TCP应用处理

正常TCP应用连接建立需要3次握手，然而某些用户定制的应用程序因开发规范不严谨或特殊需要，存在类似SYN没有置位的连接请求，对于这类不严谨的通讯处理应加以特别注意，因为天融信防火墙在默认情况下，对这种不严谨的TCP连接视为非法连接并将连接阻断。

建议跟踪网络中每类业务的通讯状况，在某些应用发生通讯障碍时，通过tcpdump抓包来判断是否是防火墙拒绝了不严谨的TCP包，确认后通过设置fw_sioff（老4K，版本2.6.40）或networksessionsession-

integrityoff（TOS平台，版本3.2.100.010.1）的命令来使防火墙取消这种防范机制。

11

六、附录:

天融信防火墙外部故障信息报告

故障名称:

故障提交时间:

故障优先级:

现场工程师的联系方式（E,mail和电话）:

直接负责处理该故障的技服人员（北京）:

防火墙产品型号（定制版本注意标明主板型号、内

存）

是否有扩展卡

防火墙软件版本:

直接负责处理该故障的技服人员（北京）对故障情况补充说明:

网络拓朴图:

（以文件名的形式粘贴,附件提交Bugzilla）

网络拓朴说明:

现场工程师对故障描述:

包括出现故障时cpu利用率是多少，连接数有多少，内存使用情况，用户的主要应用描述一下，如果是特殊应用导致问题一定要描述清楚，尽可能多提供应用信息。

现场工程师对故障的处理手段和判断方法:

出现故障状况下，在防火墙内、外网口的抓包数据:

（以文件名的形式粘贴，附件提交Bugzilla）

防火墙配置文件:

交换机、路由器主要配置说明:

（配置可以文件名的形式粘贴，附件提交Bugzilla）

调试信息:

Console口打印信息

日志信息:

服务器和客户端抓包情况

如果是设备死机或者重启的情况，最好提供打印信息、健康记录和说明大概多长时间出现一次

为加快后台部门对故障的处理，上项目，黑色字体是必写项目，蓝色字体为尽量提供项目。

12

七、参考文档

1，Netscreen防火墙维护指南

2，Tcpdump的用法

3，Tcpdump常用命令及基础故障定位3板斧

13