《机房网络维护》由会员分享,可在线阅读,更多相关《机房网络维护(3页珍藏版)》请在金锄头文库上搜索。
1、机房网络设备维护网络设备的维护 机房网络设备维护的重要内容有服务器日常维护,路由器日常维护,交换机日常维护,防火墙 的日常维护。1. 服务器日常维护 服务器是黑客攻击的主要目标,所以服务器的日常维护是非常重要的,服务器日常维护 要重点 注意如下 8 点内容:1) 服务器设备的工作状态巡查和网络设备具体内容的巡检。2) 经常更改系统管理员密码,定期更新系统补丁。3) 不要安装任何第三方软件,更不要在服务器上注册未知的组件。4) 不要在服务器上使用 IE 浏览器访问任何网站,杜绝隐患。5) 备份数据库,以防万一。6) 操作系统的维护。操作系统是服务器运行的软件基础,多数服务器使用Windows20
2、03或 Windows2008Server 作为操作系统,维护起来还是比较容易的。7) 检查系统日志,定时查看系统各个盘符的磁盘权限是否设定的安全权限。8) 及时更新病毒库,查杀病毒。2. 路由器日常维护路由器日常维护要重点注意如下 8 点内容:1) 路由器设备的工作状态巡查和网络设备具体内容的巡检。2) 保护路由器口令。一旦路由器密码泄露,网络也就毫无安全可言。3) 阻止查看到路由器当前的用户列表,命令为no service finger. 。4) 管理HTTP服务。HTTP服务器提供 Web管理接口。No ip http server命令可以停 止HTTP服务。5) 校验数据流路径的合法性
3、。使用RPF(reverse path forwarding, 反相路径转发 ) 达到抵御spoofing的攻击的目的。RPF反相路径转发的配置命令为ip verify unieastrpf 。6) 抵御 spoofin( 欺骗 ) 累攻击。使用访问控制列表,过滤掉所有目标地址为网络广播 地址。7) 防止SYN攻击。路由器的软件平台开启TCP拦截功能,防止 SYN攻击,工作模式分 栏截和监视俩种,默认情况是拦截模式。8) 使用安全的SNMP管理方案。SNM广泛应用在路由器的监控,配置方面,使用MDS 数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安 全性能的有效手段。3
4、. 交换机日常维护交换机的日常维护要重点注意如下 6 点内容;1) 交换机设备的工作状态巡查和网络设备具体内容的巡检2) 查看交换机的参数。查看命令: show switch 。查看某个端口的流量: show packet ports8 。 (8 代表为此交换机的第 8个端口 ) 查看某个端口的错误传输状态: show error ports8 。禁止和启用端口。启用第 8个的端口的命令为: config ports 8state enable。 禁 用第 8 个端口的命令为: config ports 8 state disable。3)配置端口模式。配置第8个端口的模式为自适应:confi
5、g ports 8 speed auto 。 配置第8个端口的模式为100M半双工:config ports 8 speed 100- half 。配置口的模式为 100M全双工:config ports 8 speed 100-full。4)配置宽带限制。配置第8个端口的收发率均为 10 Mbpos,rx-rate 为收,tx-rate 为发,命令如下:Co nfig ban dwidth-co ntrol 8rx-rate10 tx-rate10配置第8个端口的收发率均无限制,命令如下:Config ban dwidth-c on trol 8 rx-rate no-limit tx-ra
6、te no-limit。5)创建交换机的用户名和密码。创建一个角色为管理员,用户名 weiadmin的用户,命令如下:Create account admin(用户名角色)admin(用户名)会提示输入密码修改用户名为admin的密码,命令如下:Config account admin(用户名)会提示输入旧密码和新密码删除用户名为admin的用户,命令如下:Delete acco unt adm in(用户名)创建访问次交换机 snmp fuwu的密码,命令如下:Create snmp com munity colorme(密码)view com mun ityview read-only6)
7、禁止或启用一些服务。启用 web服务,命令:enable web。禁用 web服务,命令:disable web启用 teln et 服务,命令:en able tel net防火墙设备的工作状态巡查和网络设备具体内容的巡检。 配置System-ip地址,指定专用终端管理防火墙。 更改netscreen账号和口令,不建议使用缺省的 级管理员账号并定期变更口令;仅允许使用 防火墙日常3个关键资源信息的维护:1. Sessine 。 Session 资源正常使用限制在 时,需要检查Session表和告警信息,检查4. 防火墙日常维护netscreen账号管理的防火墙:设置两 ssh和ss方式登录防
8、火墙进行管理维护。70%以下,当Session资源正常使用到 85% Session是否使用于正常业务,网络中是否 存在flood攻击行为,需要考虑设备容量限制并及时升级。2. CPU。硬件架构的防火墙,正常工作状态下防火墙cpu使用率应保持在50%以下,如出现CPU使用率过高的情况需要检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。通常情况下,防火墙CPU使用率过高往往与攻击有关,可通过正确设置Session对应选项进行防范。需查看异常流量,告警日志,检查策略是否优化,配置文件中是否存在无效的命令。3. Menmory。防火墙对内存的使用把握的十分准确,采用“预分配”
9、机制,空载时内存使用率为约50% 60%随着流量的不断增长,内存的使用率应基本保持稳定。当出现内 存使用率高达90%时,需检查网络中是否存在攻击流量,并查看为debug分配的空间是否过大。5 ).建立防火墙维护检查信息表。防火墙维护检查信息表如下:防火墙维护检查信息表检查对象检查命令相关信息检查结果备注Sessi onGet sessi onCPUGet cpuMemoryGet memoryLn terfaceGet in terface路由表Get routeHA状态Get nsrp事件查看Get log event告警信息Get chassis6)建立防火墙设备维护表。建立防火墙设备维护
10、表,为判断网络异常提供参数依据。防火墙的维护表如下:防火墙设备维护表设备型号设备用途设备状态事件现象事件处理处理过程处理结果负责人7)应急处理。当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障 是否与防火去有关。如果故障与防火墙有关,可在防火墙上打开debug功能更综包处理过程,检验策略配置是否存在问题。一旦定位防火墙故障,双机环境下可通过命令进行双机切换;单机环境下发生故障时,利用备份交换机/路由器配置快速旁路防火墙。应急处理应注意如下4点内容;1. 检测设备运行状态。网络出现故障时,应快速判断防火墙设备运行状态,通过Con sole口登录到防火墙,快速查看CPU,Me
11、mory, Sessio n, I nteface以及告警信息,初步排除防火墙硬件故障并判断是否存在攻击行为。2. 跟踪防火墙对数据包的处理情况。如果出现部分网络无法正常访问,顺序检查接口状态,路由和策略配置是否有误,在确认上诉配置无误后,通过debug命令检查防火墙对特定网段数据包的处理情况。部分地址无法通过防火墙往往与策略配置有关。3. 检查是否存在攻击流量、通过查看告警信息确认是否有异常信息,同时在上行交换机中通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Sereen选项中启用对应防护措施来屏蔽攻击流量。4. 检查nsrp工作状态。使用 get nsrp 命令检查nsrp集群工作状态,如 nsrp转态出现异常或发生切换,需进一步确认引起切换的原因,引起nsrp切换的原因通常为链路故障,交换机端口故障,设备断电或重启。
