防火墙运维指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙系统日常运维指南
防火墙系统
日常运维指南
一、每日例行维护
1、系统管理员职责
为保证防火墙设备的正常运行,系统管理员需要在每日对设备进行例行检查。
系统管理员在上班后,登录防火墙管理界面,查看系统的CPU、内存的使用率及网接口的工作状态是否正常。
确保CPU使用率在80%以下,内存使用率85%以下:如出现CPU及内存
使用率过高的情况,查看防火墙设备的会话连接总数、半连接数以及端
口流量是否正常。
如果存在会话连接总数、半连接数、端口流量异常,超出平时的正常范
围的情况下,可能是有人在进行ARP攻击或蠕虫攻击,通过会话管理查
看各会话的连接情况,查找异常会话,并对其进行手动阻断。如果会话
连接总数、半连接数及端口流量处在正常范围内,但此时网络访问效率
明显变慢的情况下,重启防火墙设备。
在管理界面中的网络接口状态正常情况下是绿色:如果工作端口出现红
色的情况下,需要及时通知网络管理员,配合查看交换机与防火墙之间
的端口链路是否正常。
如交换机及线路都正常的情况下,重启防火墙;如果还存在问题请及时
电话联系厂商工程师。
按照要求,添加新增的防护对象。
2)安全管理员职责
安全管理员在每日上班后定时(每日至少二次,9点、17点),通过数据中心,查看日志是否存在高级别的告警日志(警示级别以上);
如果出现高级别告警日志,立即按以下步骤进行处理:
设备本身造成中高级别告警:高级别告警主要为设备本身的硬件故障
告警!
处理方式如下:
立即通知厂商工程师到达现场处理。
处理完毕后,形成报告,并发送主管领导。
网络故障造成的中高级别告警:网络负载过大!(ARP攻击,蠕虫等)
处理方式如下:
分析会话记录,查询可疑会话,协同系统管理员阻断可疑会话的源地
址。
查出源地址后,应立即安排相关技术人员到现场处理问题机器。
问题机器处理完毕后,形成处理报告,分析此次高告警事件的原因,
并发送主管领导(主管室主任、主管副部长)。(下同)
网络攻击行为造成的中高级别告警:如IP扫描,端口扫描等
防火墙一般会自动阻断该连接,并同时生成告警日志。
此类告警,安全管理员需分析告警日志,查询源IP地址,并安排相关
技术人员到达现场处理问题机器。
问题机器处理完毕后,形成处理报告,分析此次高告警事件的原因,
并发送主管领导。
3)审计员职责
1)审计员应每周五登陆系统,查看系统审计日志,查看是否有异常管理员登陆行为。
2)系统发生异常时,审计员应立即登陆系统,查看系统审计日志,并分析是否有管理员的异常系统配置信息。
二、周期性维护工作
在防火墙设备的运行过程中,需要定期对设备进行维护。
1、系统管理员职责
每星期(周五)对IPS、AV的特征码模块进行升级(至相关网站,
如有最新的版本,下载后手动升级)。
升级完成后,在“系统管理-维护-备份恢复”界面,选择“防病
毒入侵防御配置导出”,进行配置备份。
每月,系统管理员需对本月防火墙系统发生的升级及变化情况进行
汇总,并提交主管领导。
2、安全管理员职责
每星期(周五)登陆数据中心,通过报表工具生成本周日志事件报
表,并导出保存。同时需对其中高级别告警信息进行统计分析。
每星期(周五)查看数据中心数据库的磁盘空间占用情况是否正常,
如磁盘空间不足,应及时将磁盘的系统自动备份的日志文件转移到
其他的存储设备上。
日志管理员在每个日志备份周期到期的后一天应查看日志的自动备
份工作是否正常,如果出现不正常的情况,应及时对日志进行手动
备份。
及时查找无法自动备份的原因,是否是由于磁盘空间不足无法备份。
如果不是由于磁盘空间不足造成,则有可能是由于PC服务器时间运
行造成日志服务器相关进程异常造成的,需要重启日志服务器。
每月,安全管理员需对本月防火墙上的日志通过报表工具生成本月
事件报表,并导出保存,同时,需要对高级级别以上告警信息进行
统计,形成分析报告后,提交主管领导。
3、审计员职责
每星期(周五)登陆登陆数据中心,通过报表工具,生成本周配置
审计事件报表,并导出保存。
三、不定期维护工作
1、系统管理员职责
根据需求增添防护对象。
配置发生变化后,及时保存配置信息。
系统管理员对设备进行了恢复备份配置文件的操作后,应立刻将防火墙设备是行重启,使备份的配置文件能够生效。
2、安全管理员职责
根据安全需要,对安全防护策略作出调整。
安全策略调整后,通知系统管理员进行配置备份。
四、周记录检查
五、月报
维护建议
常规维护
1、配置管理IP地址,指定专用终端管理防火墙;
2、更改默认账号和口令,不建议使用缺省的账号、密码管理防火墙;严格按照实际使用需求开放防火墙的相应的管理权限,并且管理权限的开放控制粒度越细越安全;设置两级管理员账号并定期变更口令;仅容许使用SSH和SSL方式登陆防火墙进行管理维护。
3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。
4、整理一份上下行交换机配置备份文档(调整其中的端口地址和路由指向),提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。
5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。
6、重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故障隐患。
7、建立设备运行档案,为配置变更、事件处理提供完整的维护记录,定期评估配置、策略和路由是否优化。
8、故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:设备出现故障,网线故障及交换机故障时的路径保护切换。
应急处理
当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位