防火墙运维指南

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

防火墙系统

日常运维指南

V1.00

防火墙系统

日常运维指南

一、每日例行维护

1、系统管理员职责

为保证防火墙设备的正常运行,系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后,登录防火墙管理界面,查看系统的CPU、内存的使用率及网接口的工作状态是否正常。

确保CPU使用率在80%以下,内存使用率85%以下:如出现CPU及

内存使用率过高的情况,查看防火墙设备的会话连接总数、半连接

数以及端口流量是否正常。

如果存在会话连接总数、半连接数、端口流量异常,超出平时的正

常范围的情况下,可能是有人在进行ARP攻击或蠕虫攻击,通过会

话管理查看各会话的连接情况,查找异常会话,并对其进行手动阻

断。如果会话连接总数、半连接数及端口流量处在正常范围内,但

此时网络访问效率明显变慢的情况下,重启防火墙设备。

在管理界面中的网络接口状态正常情况下是绿色:如果工作端口出

现红色的情况下,需要及时通知网络管理员,配合查看交换机与防

火墙之间的端口链路是否正常。

如交换机及线路都正常的情况下,重启防火墙;如果还存在问题请

及时电话联系厂商工程师。

按照要求,添加新增的防护对象。

2)安全管理员职责

安全管理员在每日上班后定时(每日至少二次,9点、17点),通过数据中心,查看日志是否存在高级别的告警日志(警示级别以上);

如果出现高级别告警日志,立即按以下步骤进行处理:

设备本身造成中高级别告警:高级别告警主要为设备本身的硬件

故障告警!

处理方式如下:

立即通知厂商工程师到达现场处理。

处理完毕后,形成报告,并发送主管领导。

网络故障造成的中高级别告警:网络负载过大!(ARP攻击,蠕虫

等)

处理方式如下:

分析会话记录,查询可疑会话,协同系统管理员阻断可疑会话的

源地址。

查出源地址后,应立即安排相关技术人员到现场处理问题机器。

问题机器处理完毕后,形成处理报告,分析此次高告警事件的原

因,并发送主管领导(主管室主任、主管副部长)。(下同)

网络攻击行为造成的中高级别告警:如IP扫描,端口扫描等

防火墙一般会自动阻断该连接,并同时生成告警日志。

此类告警,安全管理员需分析告警日志,查询源IP地址,并安排

相关技术人员到达现场处理问题机器。

问题机器处理完毕后,形成处理报告,分析此次高告警事件的原

因,并发送主管领导。

3)审计员职责

1)审计员应每周五登陆系统,查看系统审计日志,查看是否有异常管理员登陆行为。

2)系统发生异常时,审计员应立即登陆系统,查看系统审计日志,并分析是否有管理员的异常系统配置信息。

二、周期性维护工作

在防火墙设备的运行过程中,需要定期对设备进行维护。

1、系统管理员职责

每星期(周五)对IPS、AV的特征码模块进行升级(至相关网

站,如有最新的版本,下载后手动升级)。

升级完成后,在“系统管理-维护-备份恢复”界面,选择“防

病毒入侵防御配置导出”,进行配置备份。

每月,系统管理员需对本月防火墙系统发生的升级及变化情况

进行汇总,并提交主管领导。

2、安全管理员职责

每星期(周五)登陆数据中心,通过报表工具生成本周日志事

件报表,并导出保存。同时需对其中高级别告警信息进行统计

分析。

每星期(周五)查看数据中心数据库的磁盘空间占用情况是否

正常,如磁盘空间不足,应及时将磁盘的系统自动备份的日志

文件转移到其他的存储设备上。

日志管理员在每个日志备份周期到期的后一天应查看日志的自

动备份工作是否正常,如果出现不正常的情况,应及时对日志

进行手动备份。

及时查找无法自动备份的原因,是否是由于磁盘空间不足无法

备份。如果不是由于磁盘空间不足造成,则有可能是由于PC服

务器时间运行造成日志服务器相关进程异常造成的,需要重启

日志服务器。

每月,安全管理员需对本月防火墙上的日志通过报表工具生成

本月事件报表,并导出保存,同时,需要对高级级别以上告警

信息进行统计,形成分析报告后,提交主管领导。

3、审计员职责

每星期(周五)登陆登陆数据中心,通过报表工具,生成本周

配置审计事件报表,并导出保存。

三、不定期维护工作

1、系统管理员职责

根据需求增添防护对象。

配置发生变化后,及时保存配置信息。

系统管理员对设备进行了恢复备份配置文件的操作后,应立刻将防火墙设备是行重启,使备份的配置文件能够生效。

2、安全管理员职责

根据安全需要,对安全防护策略作出调整。

安全策略调整后,通知系统管理员进行配置备份。

四、周记录检查

五、月报

维护建议

常规维护

1、配置管理IP地址,指定专用终端管理防火墙;

2、更改默认账号和口令,不建议使用缺省的账号、密码管理防火墙;严格按照实际使用需求开放防火墙的相应的管理权限,并且管理权限的开放控制粒度越细越安全;设置两级管理员账号并定期变更口令;仅容许使用SSH 和SSL方式登陆防火墙进行管理维护。

3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。

4、整理一份上下行交换机配置备份文档(调整其中的端口地址和路由指向),提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。

5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。

6、重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故障隐患。

7、建立设备运行档案,为配置变更、事件处理提供完整的维护记录,定期评估配置、策略和路由是否优化。

8、故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:设备出现故障,网线故障及交换机故障时的路径保护切换。

相关文档
最新文档