《Hillstone防火墙维护手册》由会员分享,可在线阅读,更多相关《Hillstone防火墙维护手册(30页珍藏版)》请在金锄头文库上搜索。
1、 防火墙维护手册Hillstone防火墙维护手册2010/10/171. 概述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Hillstone防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。2. Hillstone防火墙日常维护
2、围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Hillstone防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。2.1. 防火墙硬件部分日常维护2.1.1. 防火墙机房要求 机房的卫生状况,要求清洁,防火墙上没有灰尘。 温度(摄氏 )工作环境温度0 40工作环境湿度(%)10% 95%2.1.2. 防火墙电源检查 检查防火墙电源插头有无松动。 检查防火墙LED电源指示灯颜色:电源指示灯颜色:PWR 1电源1绿色常亮电源1工作正常橙色常亮电源工作异常红色常亮
3、电源工作异常,系统处于关闭状态PWR 2电源2绿色常亮电源2工作正常橙色常亮电源工作异常红色常亮电源工作异常,系统处于关闭状态2.1.3. 防火墙风扇 低端产品防火墙风扇固定在产品内; 高端产品风扇为模块化设计,可热插拔; 检测防火墙风扇风扇指示灯有否告警; 检测风扇风力是否适中风扇指示灯颜色:FAN风扇状态绿色常亮风扇工作正常橙色常亮一个风扇损坏,系统正常运行红色常亮风扇系统发生严重故障将自动进入关闭状态2.1.4. 防火墙前面板指示灯检查根据防火墙指示灯状况,可迅速查看防火墙某部分出现故障,以及防火墙运行情况。指示灯用途颜色说明STATUS系统状态绿色闪烁正常运行绿色闪烁系统启动并正常工作
4、红色常亮系统启动失败或者系统异常ALARM系统警告红色常亮系统告警绿色闪烁系统处于等待状态橙色闪烁系统正在使用试用许可证橙色试用许可证到期,无合法许可证PSPS状态绿色常亮电源PS正常供电橙色常亮正常供电,电源散热风扇出现故障熄灭电源PS没有供电或者电源故障HAHA 状态绿色常亮只有一台设备,工作在master状态绿色闪烁有一主一备两台设备,本设备工作master状态黄色闪烁有一主一备两台设备,本设备工作slave状态红色闪烁HA工作异常VPNVPN状态绿色常亮VPN隧道已连接橙色常亮VPN功能开启,无隧道连接熄灭VPN功能未启用2.1.5. 防火墙模块及数据接口检查 系统防火墙接口状态检查检
5、查模块安装是否松动,接口模块上指示灯是否正常。已接有链路的端口link端为绿色常亮,ACT指示灯为黄色闪烁。防火墙接口状态指示灯颜色:Link Link状态绿色常亮端口与对端设备通过网线或者光纤连接正常熄灭端口与对端无连接或者连接失败ACTACT状态黄色闪烁端口处于收发状态熄灭端口无数据传输2.2. 防火墙系统部分日常维护2.2.1. 防火墙OS版本检查在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。hillstone(config)# show version Hillstone StoneOS software, Version
6、3.5Copyright (c) 2006-2009 by Hillstone Networks, Inc.Product name: VR5600T S/N: 0802027090006741 Assembly number: B045Boot file is SA2000-3.5R2p4.bin from flashBuilt by buildmaster2 2009/07/07 12:34:08Uptime is 0 day 0 hour 55 minutes 46 seconds2.2.2. 防火墙温度和风扇检查检查防火墙温度如有超出标准值并是否处于正常状态,检查风扇及机扇环境,及时更
7、换部件。hillstone(config)# show environment Both the temperature and fan are in normal state.2.2.3. 防火墙session利用率检查每个防火墙的并发会话数都有一个最值,如果超出最大值说明防火墙并发会话已经达到极限,防火墙成为一性能瓶颈,需要升级到更高档次防火墙。会话信息如包含alloc failed说明防火墙会话曾经达到最大值,防火墙会话建立失败,可能是防火墙性能的问题或曾经出现网络攻击现象。hillstone# show session generic VSYS 0, max 200000, alloc
8、ed 0, deny session 0, free 200000, tunnel 0, alloc failed 02.2.4. 防火墙CPU利用率检查hillstone防火墙的CPU主要任务为执行功能、会话、日志等管理功能,一般情况下CPU利用率不会太高,一般超出60%以上要检查网络是否有攻击行为或网络流量异常行为。防火墙CPU统计有1分钟、5分钟、15分钟平均值。在某一时间段CPU利率较高,属异常现象,可能有攻击等情况发生。CPU利用率持续较高,说明防火墙配置错误,需要调整防火墙配置,以降低CPU利用率。hillstone# show cpu Average cpu utilizatio
9、n : 0.2%current cpu utilization : 2.0%Last 1 minute : 0.1%Last 5 minutes : 0.2%Last 15 minutes : 0.2%2.2.5. 防火墙内存利用率检查在防火墙内执行 show memory 查看内存利用率,防火墙利用率平时最好不能超过70%,如果超过要检查网络是否存在攻击行为。hillstone# show memory The percentage of memory utilization: 25% total(kB) used(kB) free(kB) 524288 132793 391495 2.2.
10、6. 防火墙接口状态检查在防火墙执行show interface检查接口状态或者检查某个接口的状态情况详细信息。SA-2001# show interface H:physical state;A:admin state;L:link state;P:protocol state;U:up;D:down=Interface name IP address/mask Zone name H A L P MAC address -ethernet0/0 192.168.10.1/24 trust U U U U 001c.5403.e100 ethernet0/1 192.168.1.200/24
11、 untrust D U D D 001c.5403.e101 ethernet0/2 0.0.0.0/0 NULL D U D D 001c.5403.e102 ethernet0/3 0.0.0.0/0 NULL D U D D 001c.5403.e103 ethernet0/4 0.0.0.0/0 NULL D U D D 001c.5403.e104 vswitchif1 0.0.0.0/0 NULL D U D D 001c.5403.e10d SA-2001# show interface eth0/0 -Interface ethernet0/0 description: Ph
12、ysical up Admin up Link up Protocol up Interface ID:8 IP address:192.168.10.1 IP address mask:255.255.255.0 MAC address:001c.5403.e100 Ip mtu:1500 ARP learn:enable ARP disable-dynamic-entry:disable ARP timeout:1200 Speed mode:1000 Duplex mode:full media type:copper QoS input profile : 1st-level - 2nd-level - QoS output profile: 1st-level - 2nd-lev
