《[ZA]H3C防火墙现场巡检报告029》由会员分享,可在线阅读,更多相关《[ZA]H3C防火墙现场巡检报告029(9页珍藏版)》请在金锄头文库上搜索。
1、H3C防火墙现场巡检报告2017年3月、【安全设备巡检明细】1.1设备硬件检查匚F卡楷示灯RUI前示灯I表1-1F5000-A5机框图主控板指示灯检查内容检查方法检查结果说明1.CF卡指示灯观察完善不元善2.主控板RUN指示灯观察完善不元善3.主控板ALM指示灯观察完善不元善4.主控板ACT指示灯观察完善不元善防火墙接口板指示灯F5000-A5主要的接口板型号如下:型号描述NSQM1MPUA0主控板引擎NSQM1GT8P408个SFP和4个Combo此次巡检的设备如下:设备槽位板卡型号序列号JSCHZ-IMS-FW03Slot0NSQM1MPUA0-H3CF5000Slot1NSQM1GT8P
2、40JSCHZ-IMS-FW04Slot0NSQM1MPUA0-H3CF5000Slot1NSQM1GT8P40JSLYG-IMS-FW03-卜3Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSLYG-IMS-FW04-卜3Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSNAT-IMS-FW03-卜3Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSNJ-IMS-FW05-H3CSlot0NSQM1MPUA0二5000Slot2NSQM1GT8P40JSNJ-IMS-FW06-H3CSlot0NSQM1MP
3、UA0二5000Slot2NSQM1GT8P40JSSUQ-IMS-FW03-HdSlot0NSQM1MPUA03CF5000Slot2NSQM1GT8P40JSSUQ-IMS-FW04-HdSlot0NSQM1MPUA0表1-2F5000-A5接口板型号3CF5000Slot2NSQM1GT8P40JSSZ-IMS-FW03-H3CSlot0NSQM1MPUA035000Slot2NSQM1GT8P40JSSZ-IMS-FW04-H3CSlot0NSQM1MPUA0二5000Slot2NSQM1GT8P40JSTAZ-IMS-FW03-H3Slot0NSQM1MPUA0CF5000Slot1
4、NSQM1GT8P40JSTAZ-IMS-FW04-H3Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSXZH-IMS-FW03-卜3Slot0NSQM1MPUA0CF5000Slot1NSQM1GT8P40JSXZH-IMS-FW04-卜3Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSYAC-IMS-FW03-卜13Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSYAC-IMS-FW04-H13Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSYZH-IMS-FW03-H3
5、Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40JSYZH-IMS-FW04-H3Slot0NSQM1MPUA0CF5000Slot2NSQM1GT8P40检查内容检查方法检查结果说明1.接口LINK/ACT(绿色)指示灯观察完善不元善2.Combo接口LINK/ACT(黄绿双色)指示灯观察完善不元善1.2设备运行状态检查检查内容检查方法检查结果说明1.检查设备管理情况通过串口、WE或Telnet/SSH等相应的方式能正常登录到防火墙,从而确认防火墙可以被正常网管。直连Console线缆登录。远程HTTP或Telnet/SSH登录防火墙管理地址完善不元善2.检查管理账
6、号安全性检查设备WEB或Telnet/SSH登录账号的安全强度,确保管理账号具有较强的防暴力破解能力。1,设备默认的h3c/h3c账号应该删除或将密码修改为较高强度的密码。2,WEB或Telnet/SSH登录账号的密码长度要至少6位以上,且最好为大小写、特殊符号的混合。完善不元善3.检查设备基本信息查看设备的版本、运行进度等信息,确认版本及时更新、运行进度正常。登录WEB页面,查看首页的右侧的INFO栏信息。完善不元善4.检查系统资源状态查看设备CPU内存利用率情况,为保证正常运行,设备的CPI利用率一般要小于80%,内存利用率要低于90%在首页“设备概览“的最上部查看“系统资源状态”信息。完
7、善不元善5.检查设备接口信息确认设备接口的地址掩码、安全域的配置正确性。【说明】:O:表示接口当前状态为开启,且已连接O:表示接口当前状态为开启,且未连接O:表示接口当前状态为关闭在首页“设备概览“的中部查看“设备接口信息”,如果接口较多,请点击下方的“更多”链接,随后进入“设备管理接口管理”页面,点击相应的接口名称链接,可以查看每个接口的统计信息。完善不元善6.检查设备进度确认设备进度的准确性,以便为事后追踪安全事件提供真实的依据。依次打开“设备管理日期和进度”页面,查看当前的进度设置。完善不元善7.检查路由信息确认设备路由信息的准确性,删除无效的静态路由配置、调整冗余的其他路由信息(例如O
8、SPF、BGP)。依次打开“网络管理路由管理路由信息”页面,查看当前设备的路由信息。完善不元善8.检查双机热备状态完善不元善9.检查系统日志查看系统近期的运行日志,确保里面不存在明显异常。在首页“设备概览“的下部查看“近期发生的系统日志”,单击“近期发生的系统制作日志”列表下方的“更多”链接,进入“设备日志日志报表系统制作日志”的页面完善不元善进行查看。1.3设备安全事件检查检查内容检查方法检查结果说明1.防火墙业务运行状态:防火墙是否出现过影响客户应用的故障信息主要通过咨询客户了解业务运行状态完善不元善2.检查防火墙域间策略设置完善不元善3.检查入侵检测统计情况完善不元善4.检查日志报表完善
9、不元善CTGS-资料文件二、【设备运行质量分析】1、近期设备运行状况(如:近期故障、告警上报情况与性能情况分析等)1 、常州防火墙有一块电源故障。2 、镇江2台防火墙无法远程。3 、南通防火墙远程访问被拒。4 、无锡、淮安防火墙密码不对。5 、log日志显示防火墙存在大量尝试登陆防火墙信息。2、安全事件分析(主要是对设备安全事件的分析)近期设备运行无安全事件。三、【遗留问题及处理】1、更换常州防火墙JSCHZ-IMS-FW03-H3CF5000电源。2、现场console登陆防火墙解决防火墙无法远程登陆及修改密码。3、增加访问控制列表,只允许特定网段可以登录防火墙,解决防火墙存在大量非法用户尝试登陆防火墙设备的问题。四、【运行维护建议】1、更换常州防火墙JSCHZ-IMS-FW03-H3CF5000电源。2、现场console登陆防火墙解决防火墙无法远程登陆及修改密码。3、增加访问控制列表,只允许特定网段可以登录防火墙,解决防火墙存在大量非法用户尝试登陆防火墙设备的问题。六、【客户意见和建议】七、【客户签章】签章:签章:进度:年月日进度:年月日
