防火墙运维指南

防火墙运维指南 Company number【1089WT-1898YT-1W8CB-9UUT-92108】

防火墙系统

日常运维指南

V1.00

防火墙系统

日常运维指南

一、每日例行维护

1、系统管理员职责

为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU

及内存使用率过高的情况，查看防火墙设备的会话连接总数、半

连接数以及端口流量是否正常。

如果存在会话连接总数、半连接数、端口流量异常，超出平时的

正常范围的情况下，可能是有人在进行ARP攻击或蠕虫攻击，通

过会话管理查看各会话的连接情况，查找异常会话，并对其进行

手动阻断。如果会话连接总数、半连接数及端口流量处在正常范

围内，但此时网络访问效率明显变慢的情况下，重启防火墙设

备。

在管理界面中的网络接口状态正常情况下是绿色：如果工作端口

出现红色的情况下，需要及时通知网络管理员，配合查看交换机

与防火墙之间的端口链路是否正常。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题

请及时电话联系厂商工程师。

按照要求，添加新增的防护对象。

2）安全管理员职责

安全管理员在每日上班后定时（每日至少二次，9点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；

如果出现高级别告警日志，立即按以下步骤进行处理：

设备本身造成中高级别告警：高级别告警主要为设备本身的硬

件故障告警!

处理方式如下：

立即通知厂商工程师到达现场处理。

处理完毕后，形成报告，并发送主管领导。

网络故障造成的中高级别告警：网络负载过大!（ARP攻击，蠕

虫等）

处理方式如下：

分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的

源地址。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原

因，并发送主管领导（主管室主任、主管副部长）。（下同）

网络攻击行为造成的中高级别告警：如IP扫描，端口扫描等

防火墙一般会自动阻断该连接，并同时生成告警日志。

此类告警，安全管理员需分析告警日志，查询源IP地址，并安

排相关技术人员到达现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原

因，并发送主管领导。

3）审计员职责

1）审计员应每周五登陆系统，查看系统审计日志，查看是否有异常管理员登陆行为。

2）系统发生异常时，审计员应立即登陆系统，查看系统审计日志，并分析是否有管理员的异常系统配置信息。

二、周期性维护工作

在防火墙设备的运行过程中，需要定期对设备进行维护。

1、系统管理员职责

每星期（周五）对IPS、AV的特征码模块进行升级（至相关网

站，如有最新的版本，下载后手动升级）。

升级完成后，在“系统管理－维护－备份恢复”界面，选择

“防病毒入侵防御配置导出”，进行配置备份。

每月，系统管理员需对本月防火墙系统发生的升级及变化情况

进行汇总，并提交主管领导。

2、安全管理员职责

每星期（周五）登陆数据中心，通过报表工具生成本周日志事

件报表，并导出保存。同时需对其中高级别告警信息进行统计

分析。

每星期（周五）查看数据中心数据库的磁盘空间占用情况是否

正常，如磁盘空间不足，应及时将磁盘的系统自动备份的日志

文件转移到其他的存储设备上。

日志管理员在每个日志备份周期到期的后一天应查看日志的自

动备份工作是否正常，如果出现不正常的情况，应及时对日志

进行手动备份。

及时查找无法自动备份的原因，是否是由于磁盘空间不足无法

备份。如果不是由于磁盘空间不足造成，则有可能是由于PC

服务器时间运行造成日志服务器相关进程异常造成的，需要重

启日志服务器。

每月，安全管理员需对本月防火墙上的日志通过报表工具生成

本月事件报表，并导出保存，同时，需要对高级级别以上告警

信息进行统计，形成分析报告后，提交主管领导。

3、审计员职责

每星期（周五）登陆登陆数据中心，通过报表工具，生成本周

配置审计事件报表，并导出保存。

三、不定期维护工作

1、系统管理员职责

根据需求增添防护对象。

配置发生变化后，及时保存配置信息。

系统管理员对设备进行了恢复备份配置文件的操作后，应立刻

将防火墙设备是行重启，使备份的配置文件能够生效。

2、安全管理员职责

根据安全需要，对安全防护策略作出调整。

安全策略调整后，通知系统管理员进行配置备份。

五、月报

维护建议

常规维护

1、配置管理IP地址，指定专用终端管理防火墙；

2、更改默认账号和口令，不建议使用缺省的账号、密码管理防火墙；严格按照实际使用需求开放防火墙的相应的管理权限，并且管理权限的开放控制粒度越细越安全；设置两级管理员账号并定期变更口令；仅容许使用SSH和SSL方式登陆防火墙进行管理维护。

3、深入理解网络中业务类型和流量特征，持续优化防火墙策略。整理出完整网络环境视图（网络端口、互联地址、防护网段、网络流向、策略表、应用类型等），以便网络异常时快速定位故障。

4、整理一份上下行交换机配置备份文档（调整其中的端口地址和路由指向），提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙，保证业务正常使用。

5、在日常维护中建立防火墙资源使用参考基线，为判断网络异常提供参考依据。

6、重视并了解防火墙产生的每一个故障告警信息，在第一时间修复故障隐患。

7、建立设备运行档案，为配置变更、事件处理提供完整的维护记录，定期评估配置、策略和路由是否优化。

8、故障设想和故障处理演练：日常维护工作中需考虑到网络各环节可能出现的问题和应对措施，条件允许情况下，可以结合网络环境演练发生各类故障时的处理流程，如：设备出现故障，网线故障及交换机故障时的路径保护切换。

应急处理

当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可首先检查