1、 天融信防火墻日常維護及常見問題綜述: 防火墻作為企業核心網絡中的關鍵設備，需要為所有進出網絡的信息流提供安全保護，對于企業關鍵的實時業務系統，要求網絡能夠提供7*24小時的不間斷保護，保持防火墻系統可靠運行及在故障情況下快速診斷恢復成為維護人員的工作重點。天融信防火墻提供了豐富的冗余保護機制和故障診斷、排查方法，通過日常管理維護可以使防火墻運行在可靠狀態，在故障情況下通過有效故障排除路徑能夠在最短時間內恢復網絡運行。本文對天融信防火墻日常維護進行較系統的總結，為防火墻維護人員提供設備運維指導。一、 防火墻的連接方式 1-1 產品提供的附件及線纜使用方式 二、 防火墻的工作狀態網絡衛士防火墻的

2、硬件設備安裝完成之后，就可以上電了。在工作過程中，具用戶可以根據網絡衛士防火墻面板上的指示燈來判斷防火墻的工作狀態，體請見下表：2-1 防火墻安裝前的準備在安裝防火墻之前必須弄清楚的幾個問題：1、路由走向(包括防火墻及其相關設備的路由調整)確定防火墻的工作模式：路由、透明、綜合。2、IP地址的分配(包括防火墻及其相關設備的IP地址分配)根據確定好的防火墻的工作模式給防火墻分配合理的IP地址3、數據應用和數據流向(各種應用的數據流向及其需要開放的端口號或者協議類型)4、要達到的安全目的(即要做什么樣的訪問控制) 三、 防火墻的管理及登錄方式Ø 串口(console)管理方式： 管理員為

3、空，回車后直接輸入口令即可，初始口令talent,用passwd修改管理員密碼，請牢記修改后的密碼。Ø WEBUI管理方式： 超級管理員:superman，口令:talent Ø TELNET管理方式： 模擬console管理方式，用戶名superman，口令：talentØ SSH管理方式： 模擬console管理方式，用戶名superman，口令：talent3-1 防火墻的WEBUI管理方式在瀏覽器輸入：HTTPS:/54，看到下列提示，選擇“是” 輸入用戶名和密碼后，按“提交”按鈕3-2 防火墻的CONSOLE管理方式超級終端參數設置

4、： 四、 防火墻日常維護防火墻輔助功能查看防火墻基本信息注：如果鏈路狀態是紅色的話表示鏈路有問題，請查看設備物理連接;查看防火墻運行狀態圖1注：通過系統狀態的查看可以查看設備是否正常工作，以及CPU和內存的使用系統圖2 注：在當前連接里面能看到連接的話表示防火墻的通訊是正常的；4-1 如何修改防火墻口令設備支持多級用戶管理，不同類型的用戶具有不同的操作權限。用戶權限基本可分為三種：超級管理員、管理用戶與審計用戶。超級管理員是系統的內建帳號，具有全部的功能權限；管理用戶可以設定和查看規則，但沒有綜合配置（例如分配管理員、配置維護等）的權限。審計用戶權限最小，只可以查看已有規則，沒有添加和修改規則

5、的權限。五、 天融信防火墻維護指南5-1常規維護：在防火墻的日常維護中，通過對防火墻進行健康檢查，能夠實時了解天融信防火墻運行狀況，檢測相關告警信息，提前發現并消除網絡異常和潛在故障隱患，以確保設備始終處于正常工作狀態。1、日常維護過程中，需要重點檢查以下幾個關鍵信息：連接數：如當前的連接數達到或接近系統最大值，將導致新會話不能及時建立連接，此時已經建立連接的通訊雖不會造成影響；但僅當現有的連接拆除后，釋放出來的資源才可供新建連接使用。維護建議：當當前連接數正常使用至85時，需要考慮設備容量限制并及時升級，以避免因設備容量不足影響業務拓展。CPU: 天融信防火墻是高性能的防火墻，正常工作狀態下

6、防火墻CPU使用率應保持在10%以下，如出現CPU利用率過高情況需給予足夠重視，應檢查連接數使用情況和各類告警信息，并檢查網絡中是否存在攻擊流量。通常情況下CPU利用率過高往往與攻擊有關，可通過正確設置系統參數、攻擊防護的對應選項進行防范。內存: 天融信防火墻對內存的使用把握得十分準確，正常情況下，內存的使用率應基本保持穩定，不會出現較大的浮動。如果出現內存使用率過高（>90%）時，可以查看連接數情況，或通過實時監控功能檢查網絡中是否存在異常流量和攻擊流量。2、在業務使用高峰時段檢查防火墻關鍵資源（如：Cpu、連接數、內存和接口流量）等使用情況，建立網絡中業務流量對設備資源使用的基準指標

7、，為今后確認網絡是否處于正常運行狀態提供參照依據。當連接數數量超過平?；鶞手笜?0時，需通過實時監控檢查當前網絡是否存在異常流量。當Cpu占用超過平?；鶞手笜?0時，需查看異常流量、定位異常主機、檢查策略是否優化。3、防火墻健康檢查信息表：設備型號軟件版本序列號設備用途防火墻設備狀態主用/備用工作模式透明/路由/混合檢查對象相關信息檢查結果備注連接數CPU內存Interface路由表HA狀態LED指示燈設備運行參考基線連接數Cpu內存接口流量業務類型常規維護建議：1、配置管理IP地址，指定專用終端管理防火墻；2、更改默認賬號和口令，不建議使用缺省的賬號、密碼管理防火墻；嚴格按照實際使用需求開放

8、防火墻的相應的管理權限，并且管理權限的開放控制粒度越細越安全；設置兩級管理員賬號并定期變更口令；僅容許使用SSH和SSL方式登陸防火墻進行管理維護。 3、深入理解網絡中業務類型和流量特征，持續優化防火墻策略。整理出完整網絡環境視圖（網絡端口、互聯地址、防護網段、網絡流向、策略表、應用類型等），以便網絡異常時快速定位故障。4、整理一份上下行交換機配置備份文檔（調整其中的端口地址和路由指向），提供備用網絡連線。防止防火墻發生硬件故障時能夠快速旁路防火墻，保證業務正常使用。5、在日常維護中建立防火墻資源使用參考基線，為判斷網絡異常提供參考依據。6、重視并了解防火墻產生的每一個故障告警信息，在第一時間

9、修復故障隱患。7、建立設備運行檔案，為配置變更、事件處理提供完整的維護記錄，定期評估配置、策略和路由是否優化。8、故障設想和故障處理演練：日常維護工作中需考慮到網絡各環節可能出現的問題和應對措施，條件允許情況下，可以結合網絡環境演練發生各類故障時的處理流程，如：設備出現故障，網線故障及交換機故障時的路徑保護切換。9、設備運行檔案表設備型號軟件版本設備序列號設備用途防火墻設備狀態主用/備用工作模式透明/路由/混合保修期限供應商聯系方式配置變更變更原因變更內容結果負責人事件處理事件現象處理過程結果負責人應急處理當網絡出現故障時，應迅速檢查防火墻狀態并判斷是否存在攻擊流量，定位故障是否與防火墻有關。

10、如果故障與防火墻有關，可首先檢查防火墻的、地址轉換策略、訪問控制策略、路由等是否按照實際使用需求配置，檢驗策略配置是否存在問題。一旦定位防火墻故障，可通過命令進行雙機切換，單機環境下發生故障時利用備份的交換機/路由器配置，快速旁路防火墻。在故障明確定位前不要關閉防火墻。1、 檢查設備運行狀態網絡出現故障時，應快速判斷防火墻設備運行狀態，通過管理器登陸到防火墻上，快速查看CPU、內存、連接數、Interface以及相應信息，初步排除防火墻硬件故障并判斷是否存在攻擊行為。2、 跟蹤防火墻對數據包處理情況如果出現部分網絡無法正常訪問，順序檢查接口狀態、路由和策略配置是否有誤，在確認上述配置無誤后，通

11、過tcpdump命令檢查防火墻對特定網段數據報處理情況。部分地址無法通過防火墻往往與策略配置有關。3、 檢查是否存在攻擊流量通過實時監控確認是否有異常流量，同時在上行交換機中通過端口鏡像捕獲進出網絡的數據包，據此確認異常流量和攻擊類型，并在選項設置、入侵防護等項目中啟用對應防護措施來屏蔽攻擊流量。4、 防火墻發生故障時處理方法 如果出現以下情況可初步判斷防火墻硬件或系統存在故障：無法使用console口登陸防火墻，防火墻反復啟動、無法建立ARP表、接口狀態始終為Down、無法進行配置調整等現象。為快速恢復業務，可通過調整上下行設備路由指向，快速將防火墻旁路，同時聯系供應商進行故障診斷?？偨Y改進

12、故障處理后的總結與改進是進一步鞏固網絡可靠性的必要環節，有效的總結能夠避免很多網絡故障再次發生。1、在故障解決后，需要進一步總結故障產生原因，并確認該故障已經得到修復，避免故障重復發生。2、條件容許的情況下，構建防火墻業務測試環境，對所有需要調整的配置參數在上線前進行測試評估，避免因配置調整帶來新的故障隱患。3、分析網絡可能存在的薄弱環節和潛在隱患，通過技術論證和測試驗證來修復隱患。5-2故障處理工具天融信防火墻提供靈活多樣的維護方式，其中故障處理時最有用的兩個工具是實時監控功能和tcpdump，實時監控功能用于實時查看網絡當前的連接情況，可以快速定位存在異常流量的IP主機或攻擊源主機，tcp

13、dump用于跟蹤防火墻對指定包的處理。下面簡要介紹一下兩個工具的使用方法。Tcpdump: 捕獲進出防火墻的數據包1、 TFW支持TCPDUMP命令；2、 直接在串口登陸界面下或telnet到防火墻界面下，即可使用tcpdump命令；在串口登陸或telnet登陸后，先敲system回車，進入系統目錄才可以使用tcpdump命令。3、 Tcpdump語法中存在三種主要的關鍵字：第一種是關于類型的關鍵字，主要包括host，net，port， 例如 host ，指明 是一臺主機，net 指明 是一個網絡地址，port

14、23 指明端口號是23.如果沒有指定類型，缺省的類型是host. 第二種是確定傳輸方向的關鍵字，主要包括src ， dst ，dst or src， dst and src ，這些關鍵字指明了傳輸的方向。舉例說明，src ，指明ip包中源地址是 ， dst net 指明目的網絡地址是 .如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。第三種是協議的關鍵字，主要包括fddi，ip，arp，rarp，tcp，udp等類型。Fddi指明是在FDDI（分布式光纖數據接口網絡）上的特定的網絡協議，實際上它是&

15、quot;ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議，則tcpdump將會監聽所有協議的信息包。4、 邏輯運算除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway， broadcast，less，greater，還有三種邏輯運算，取非運算是 'not ' '！ '， 與運算是'and'，'&&'；或運算 是'or' ，'&

16、#39;；這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。5、 使用例子：例1：在eth1口抓包，只顯示地址為和icmp協議的報文。Tcpdump i eth1 host and icmp 例2：在所有的接口抓包，不顯示4000端口的管理報文，和23端口的telnet報文。Tcpdump i any not port 4000 and not port 23 （在同時管理的時候很實用）例3：在eth1口抓包，顯示地址為或的報文。Tcpdump i eth1 host or h

17、ost （針對MAP前后的地址同時抓包定位時非常實用）例4：在所有的接口抓包，顯示地址為報文。Tcpdump |grep host （在adls環境中非常實用，封裝了PPPOE的報文也能抓到，但是TOS不支持grep的參數了）在tos系統中，X86的平臺下才有抓包的工具，n表示不需要域名解析，加快抓包的速度。并且-evv比老的4k系統中，能抓到更多的信息，其中還包括校驗和。例5：System tcpdump i any evv -n （TOS系統中最后必須加-n的參數，才能保證抓包的速度）例6：System tcpdump i ipsec0

18、-n （TOS支持在ipsec0中抓包，來判斷數據流是否進入隧道）例7：System tcpdump i ppp0 -n （TOS支持在ppp0中抓包，來判斷數據流是否進入PPPoE的封裝）實時監控功能：實時查看進出防火墻的連接情況1、 天融信防火墻支持實時監控功能，可以實時了解當前經過防火墻的連接情況，其可以查看的內容有需：源IP地址、目的IP地址、源端口、目的端口、連接建立時間、接收的流量、發送的流量、NAT轉換后的地址、連接屬性等等內容。2、查看實時監控需要在防火墻上開放相應的權限，老4K系統開放權限過程為：選項設置安全設備登陸控制增加一個客戶類型為監控器的管理項即可（具體參考老4K用戶

19、手冊）；TOS防火墻開放監控權限過程為：系統開放服務增加一個權限為GUI管理的項目即可（具體參見TOS防火墻用戶手冊）；3、老4K防火墻直接通過集中管理器實時監控連接信息啟動監控即可，TOS系統需要通過管理中心的安全工具登陸防火墻，再啟用連接監控啟動即可；4、實時監控功能支持按照各個監控內容排序顯示，通過實時監控功能可以很快的定位處異常主機。5、實時監控可以設置監控的過濾條件（具體見用戶使用手冊）；5-3策略配置與優化防火墻策略優化與調整是網絡維護工作的重要內容，策略是否優化將對設備運行性能產生顯著影響?？紤]到企業中業務流向復雜、業務種類往往比較多，因此建議在設置策略時盡量保證統一規劃以提高設

20、置效率，提高可讀性，降低維護難度。策略配置與維護需要注意地方有：l 試運行階段最后一條策略定義為所有訪問允許并記錄日志，以便在不影響業務的情況下找漏補遺；當確定把所有的業務流量都調查清楚并放行后，可將最后一條定義為所有訪問禁止并記錄日志，以便在試運行階段觀察非法流量行蹤。試運行階段結束后，再將最后一條“禁止所有訪問”策略刪除。l 防火墻按從上至下順序搜索策略表進行策略匹配，策略順序對連接建立速度會有影響，建議將流量大的應用和延時敏感應用放于策略表的頂部，將較為特殊的策略定位在不太特殊的策略上面。l 策略配置中的Log(記錄日志)選項可以有效進行記錄、排錯等工作，但啟用此功能會耗用部分資源。建議

21、在業務量大的網絡上有選擇采用，或僅在必要時采用。l 簡化的策略表不僅便于維護，而且有助于快速匹配。盡量保持策略表簡潔和簡短，規則越多越容易犯錯誤。通過定義地址組和服務組可以將多個單一策略合并到一條組合策略中。l 策略用于區域間單方向網絡訪問控制。如果源區域和目的區域不同，則防火墻在區域間策略表中執行策略查找。如果源區域和目的區域相同并啟用區域內阻斷，則防火墻在區域內部策略表中執行策略查找。如果在區域間或區域內策略表中沒有找到匹配策略，則安全設備會檢查相關區域的缺省訪問權限以查找匹配策略。l 策略變更控制。組織好策略規則后，應寫上注釋并及時更新。注釋可以幫助管理員了解每條策略的用途，對策略理解得

22、越全面，錯誤配置的可能性就越小。如果防火墻有多個管理員，建議策略調整時，將變更者、變更具體時間、變更原因加入注釋中，便于后續跟蹤維護。5-4 攻擊防御天融信防火墻利用入侵防護功能抵御互聯網上流行的DoS/DDoS的攻擊，一些流行的攻擊手法有Synflood，Udpflood，Smurf，Ping of Death，Land Attack等，防火墻在抵御這些攻擊時，會消耗防火墻一部分的系統資源，所以，在網絡正常情況下，一般不推薦使用，但是當網絡確實存在這些類型的攻擊數據流時，我們可以適當開啟這些抗攻擊選項，可以有效的保護各種應用服務器。如果希望開啟其它選項，在開啟這些防護功能前有幾個因素需要考慮

23、：· 抵御攻擊的功能會占用防火墻部分CPU資源；· 自行開發的一些應用程序中，可能存在部分不規范的數據包格式；· 網絡環境中可能存在非常規性設計。如果因選擇過多的防攻擊選項而大幅降低了防火墻處理能力，則會影響正常網絡處理的性能；如果自行開發的程序不規范，可能會被IP數據包協議異常的攻擊選項屏蔽；非常規的網絡設計也會出現合法流量被屏蔽問題。要想有效發揮天融信防火墻的攻擊防御功能，需要對網絡中流量和協議類型有比較充分的認識，同時要理解每一個防御選項的具體含義，避免引發無謂的網絡故障。防攻擊選項的啟用需要采用逐步逼近的方式，一次僅啟用一個防攻擊選項，然后觀察設備資源占用情況和防御結果，在確認運行正常后再考慮按需啟用另一個選項。建議采用以下順序漸進實施防攻擊選項：l 設置防范DDoS Flood攻擊選項l 根據掌握的正常運行時的網絡流量、會話數量以及數據包傳輸量的值，在防范DDoS的選項上添加20的余量作為閥值。l 如果要設置防范IP協議層的選項，需在深入了解網絡環境后，再將IP協議和網絡層的攻擊選項逐步選中。l 設置防范應用層的選項，在了解應用層的需求以及客戶化程序的編程標準后，如不采用ActiveX控件，可以