天融信防火墙日常维护及常见问题

天融信防火墙日常维护及常见问题 综述:

防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

一、 防火墙的连接方式

5

硬件一台

•外形：19寸1U 标准机箱

产品外形

接COM 口

管理机

直通线交叉线

串口线

PC

Route

Swich 、Hub

交叉线

1-1 产品提供的附件及线缆使用方式

产品提供的附件及线缆使用方式

•CONSOLE线缆

•UTP5双绞线

-直通(1条，颜色:灰色)

-交叉(1条，颜色:红色)

使用:

–直通:与HUB/SWITCH

–交叉:与路由器/主机（一些高端交换机也可以通过交叉线与

防火墙连接）

•软件光盘

•上架附件

6

二、防火墙的工作状态

网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，

具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，

体请见下表：

2-1防火墙安装前的准备

在安装防火墙之前必须弄清楚的几个问题：

1、路由走向(包括防火墙及其相关设备的路由调整)

确定防火墙的工作模式：路由、透明、综合。

2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)

根据确定好的防火墙的工作模式给防火墙分配合理的IP地址

3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)

4、要达到的安全目的(即要做什么样的访问控制)

三、防火墙的管理及登录方式

➢串口(console)管理方式：

管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。

➢WEBUI管理方式：

超级管理员:superman，口令:talent

➢TELNET管理方式：

模拟console管理方式，用户名superman，口令：talent

➢SSH管理方式：

模拟console管理方式，用户名superman，口令：talent

3-1 防火墙的WEBUI管理方式

在浏览器输入：HTTPS://192.168.1.254，看到下列提示，选择“是”

输入用户名和密码后，按“提交”按钮

3-2 防火墙的CONSOLE管理方式超级终端参数设置：

防火墙的CONSOLE 管理方式

防火墙的命令菜单：

1

防火墙的CONSOLE 管理方式

输入helpmode chinese命令

可以看到中文化菜单

22四、防火墙日常维护

防火墙辅助功能－查看防火墙基本信息

注：如果链路状态是红色的话表示链路有问题，请查看设备物理连接;

查看防火墙运行状态

图1

注：通过系统状态的查看可以查看设备是否正常工作，以及CPU和内存的使用系统

图2

注：在当前连接里面能看到连接的话表示防火墙的通讯是正常的；

4-1 如何修改防火墙口令

设备支持多级用户管理，不同类型的用户具有不同的操作权限。用户权限基本可分为三种：超级管理员、管理用户与审计用户。超级管理员是系统的内建帐号，具有全部的功能权限；管理用户可以设定和查看规则，但没有综合配置（例如分配管理员、配置维护等）的权限。审计用户权限最小，只可以查看已有规则，没有添加和修改规则的权限。

五、天融信防火墙维护指南

5-1常规维护：

在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解天融信防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。

1、日常维护过程中，需要重点检查以下几个关键信息：

连接数：如当前的连接数达到或接近系统最大值，将导致新会话不能及时建立连接，此时已经建立连接的通讯虽不会造成影响；但仅当现有的连接拆除后，释放出来的资源才可供新建连接使用。维护建议：当当前连接数正常使用至85％时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。

CPU:天融信防火墙是高性能的防火墙，正常工作状态下防火墙CPU使用率应保持在10%以下，如出现CPU利用率过高情况需给予足够重视，应检查连接数使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU 利用率过高往往与攻击有关，可通过正确设置系统参数、攻击防护的对应选项进行防范。

内存:天融信防火墙对内存的使用把握得十分准确，正常情况下，内存的使用率应基本保持稳定，不会出现较大的浮动。如果出现内存使用率过高（>90%）时，可以查看连接数情况，或通过实时监控功能检查网络中是否存在异常流量和攻击流量。

2、在业务使用高峰时段检查防火墙关键资源（如：Cpu、连接数、内存和接口流量）等使用情况，建立网络中业务流量对设备资源使用的基准指标，为今后确认网络是否处于正常运行状态提供参照依据。当连接数数量超过平常基准指标20％时，需通过实时监控检查当前网络是否存在异常流量。当Cpu占用超过平常基准指标20％时，需查看异常流量、定位异常主机、检查策略是否优化。