《专题资料(2021-2022年)H3CSecPath系列防火墙维护指导书V2.0》由会员分享,可在线阅读,更多相关《专题资料(2021-2022年)H3CSecPath系列防火墙维护指导书V2.0(43页珍藏版)》请在金锄头文库上搜索。
1、H3C SecPath系列防火墙维护指导书(V2.0)杭州华三通信技术有限公司修订记录Revision Records日期Date修订版本Revision描述Description作者Author2009-03-11V1.0初稿赵彪2009-04-10V2.0统一格式安全产品技术支持组目 录1.日常维护建议总则71.1.日常维护建议71.2.维护记录表格和维护操作指导书的使用说明82.安装操作指导93.维护操作指导103.1.H3C SecPath防火墙设备现场巡检103.2.设备日常维护操作指导113.3.设备季度维护操作指导123.4.H3C设备年度维护操作指导124.入门维护134.1.
2、基本概念134.2.产品FAQ195.常见故障处理255.1.SecPath防火墙故障诊断流程255.2.H3C SecPath防火墙系统维护255.3.SecPath防火墙连通性275.4.Nat故障处理285.5.攻击防范故障处理296.常见问题及FAQ306.1.Nat专题篇FAQ306.2.攻击防范篇FAQ316.3.高可靠性篇FAQ336.4.运行模式篇FAQ347.附录377.1.维护记录表格377.2.H3C公司资源和求助途径43杭州华三通信技术有限公司H3C SecPath系列防火墙维护指导书V2.0H3C SecPath系列防火墙维护指导书关键词:SecPath防火墙、维护指
3、导、常见问题、摘 要:此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用,主要描述用户维护部门周期性(每天、每季、每年)对H3C SecPath系列防火墙设备进行健康性检查的相关事项。适用对象:本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。缩略语清单: 缩略语英文全名中文解释ASPFApplication Specific Packet Filter状态的报文过滤NATNetwork Address Translation网络地址转换HAHigh Ability高可靠性DDOSDistributed Denial of Service分布式拒绝服务攻击QO
4、SQuality of Service服务质量OAAOpen Application Architecture开放应用架构产品简介伴随着因特网的蓬勃发展,网络协议的开发性注定了给入侵者留下了众多的入侵机会,安全的网络也跟着提升到一个全新的高度。安全的,即是私有的,在internet日益发达的年代,在公用网络上构建安全、可靠、能够满足特定业务QoS需求的私有专用网络,已经成为一种潮流,即可以利用internet的普及互连,经济,又可以构建一个与internet完全隔离的网络,满足金融行业信息保密的要求。H3C SecPath系列防火墙设备是华三公司面向企业用户开发的新一代专业安全网关设备,既可以
5、作为中小型企业的核心安全网关,也可以作为大中型企业的汇聚及接入网关设备。H3C SecPath防火墙是业界功能最全面、扩展性最好的防火墙产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。主要功能如下:扩展性最强 基于H3C 先进的OAA开放应用架构,SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块,实现2-7层的全面安全。强大的攻击防范能力 能防御DoS/DDoS攻击(如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、Large I
6、CMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。集中管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。应用层内容过滤 可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤。丰富的VPN特性 集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入。全面NAT应用支持 提供多对一、多对多、静态网段、双向
7、转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。全面的认证服务 支持本地用户、RADIUS、TACACS等认证方式,支持基于PKI/CA体系的数字证书(X.509格式)认证功能。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。增强型状态安全过滤 支持基础、扩展和基于接口的状态检测包过滤技术;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控。1.
8、日常维护建议总则1.1. 日常维护建议尊敬的用户:感谢您使用H3C公司的SecPath系列防火墙产品。系统正常、稳定地运行是我们共同的愿望,为了我们共同的目标,请您重视以下建议并参照日常维护建议进行必要的日常维护。1、 H3C SecPath系列防火墙产品关系涉及网络安全技术、Windows系列操作系统,及相关第三方厂家设备,所以应安排受过专业培训的人员进行日常维护。2、 注意保持机房整洁,防尘防潮,防止虫鼠进入。3、 参照H3C SecPath防火墙日常维护指导及常见故障处理中的内容对设备进行例行检查和测试,并记录检查结果。4、 用于系统管理、设备维护和业务操作的用户名和密码应该严格管理,定
9、期更改,并只向特定的相关人员发放。5、 严禁在设备维护终端主机上安装与业务无关的软件,严禁在设备维护终端主机上运行与业务无关的应用。维护终端主机应该定期查杀计算机病毒。6、 遇有不明原因告警或故障,请迅速与代理商工程师或H3C公司服务热线联系(400-810-0504/800-810-0504)。7、 调整线缆必须慎重,并在调整前作好标记,以防误操作。8、 对设备硬件进行相关操作时应注意戴好防静电手腕。9、 对设备进行复位操作、配置参数改动前应做好配置信息备份工作。10、 在对设备版本进行升级前,应全面备份设备配置信息,并记录当前版本号。1.2. 维护记录表格和维护操作指导书的使用说明1. H
10、3C SecPath防火墙设备日常维护值班日志由机房维护人员填写,每日填写一张表格,说明值班期间机房环境、设备运行情况等。用户可根据本局点具体情况以及第三方设备情况对H3C SecPath防火墙设备日常维护值班日志表格内容进行修改,并将表格制作成值班日志手册,将H3C SecPath防火墙系统日常维护指导的内容附加在值班日志手册的后面。2. H3C SecPath防火墙设备季度维护记录表是对H3C SecPath防火墙设备进行季度维护时维护内容的记录,每季度维护的方法可参考H3C SecPath防火墙设备季度维护操作指导。3. 突发问题处理记录表是对H3C SecPath防火墙设备突发问题及相
11、应处理措施所作的记录,作为以后进行维修或查看问题记录的依据。用户可根据本局具体情况对突发问题处理记录表的内容进行修改,并制作H3C SecPath防火墙设备日常突发问题处理记录手册。4. 硬件更换记录表是设备整机或插在其上部件的更换记录。5. 数据修改记录表是H3C SecPath防火墙设备配置信息修改的记录表格具体内容请参考本文档最后附表。2. 安装操作指导H3C SecPath防火墙产品涉及多种软硬件知识,请严格遵循下列安装要求:1、 设备开箱验货完成后,开始设备的安装和基本调试。2、 进行设备初始化配置,验证设备状态是否正常。3、 协调准备设备安装条件及环境,确定设备已升级到目前最新版本
12、或指定统一版本(建议)。4、 依据工程设计方案进行设备安装,按照规范要求连接电源和接地,并保证连接稳定可靠、不易被非维护人员触碰。5、 按照设计的网络拓扑进行网络线路连接,保证线路质量和走线方式符合要求,并注意网络线缆连接的可靠性。6、 检查SecPath防火墙的配置,参考配置模板逐项满足客户需求。7、 按照客户需求逐项进行检查各需检查功能是否生效,各需检查功能主要包括基本上网、LAN口连接、基本网管、访问策略、攻击防范等。8、 根据开局设计的网络建设方案,就基本维护方面的内容向客户使用维护人员说明。3. 维护操作指导H3C SecPath防火墙产品在使用维护过程中需要关注许多方面,并以负责任
13、的态度履行注意事项:(1) 保证设备按照要求进行可靠接地。(2) 维护人员做好防静电措施。(3) 及时修改安全策略保证访问安全。(4) 保证网络线缆连接正常,以免影响网络稳定性。(5) 室外特殊环境下注意工程规范性和安全性要求。H3C SecPath防火墙设备运维日常的维护工作内容主要有定期巡检、故障处理、投诉处理、策略优化、通信保障等。定期巡检:定期对所有站点进行一次现场巡检,对巡检时发现的问题现场进行处理并登记。故障处理:主要通过网管系统发现故障并根据故障性质进行处理。用户投诉:用户投诉要求在接到投诉后一定时限内赶到现场进行处理,处理结束后要求回访客户进行故障恢复确认。策略优化:针对客户投
14、诉、会议保障以及站点性质变化所作的较大的网络调整和安全策略优化。通讯保障:当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。下面对于日常维护及巡检内容进行简单说明:3.1. H3C SecPath防火墙设备现场巡检现场巡检人员需定期(建议每季度)对全区所有的设备实施一次巡检。为了保证网络的稳定性,对于招标选型新入网设备推荐每个月实施一次巡检,持续3个月。(1) 设备供电、接地情况;H3C SecPath防火墙如果安置在人流过往较多的地方,电源线、接地线容易被牵扯,因此每次巡检时应当检查电源线、接地线是否牢固,并检查电源线、接地线布线是否合理,尽量做到不易被人接触。(2) 查看H3C SecPath防火墙设备各指示灯状态:结合指示灯状态和客户感受判断设备运转情况,指示灯通常为绿色常亮或均匀闪烁,具体指示灯含义请参考本文档最后附表,如有异常情况,可以进一步进行排查并登录到设备收集诊断信息。(3) 检查H3C SecPath防火墙产品版本可以通过display version查看当前版本,如果版本低于H3C SecPath防火墙最新发布版本,建议升级到H3C SecPath防火墙最新发布版本。3.2. 设备日常维护操作指导维护类别维护项目操作指导参考标准设备运行环境电
