DAV首页
数字音视工程网

微信公众号

数字音视工程网

手机DAV

null
null
null
卓华,
招商,
null
null
null
快捷,
null

我的位置:

share

甲方喊你给防火墙做体检

来源:弱电工程师的圈子        编辑:小月亮    2020-07-27 17:29:10     加入收藏

网络设备巡检,简单的理解就是对正在运行中的网络设备,包括交换机,路由器,防火墙,负载均衡等设备进行一次例行检查。

  网络设备巡检,简单的理解就是对正在运行中的网络设备,包括交换机,路由器,防火墙,负载均衡等设备进行一次例行检查。

  主要的内容是检查设备的健康状况,根据检查的结果发现并排除安全隐患。其实,巡检网络设备也和中医看病一样,分为“望闻问切”。

  “望闻问切”

  望: 硬件方面,查看设备的电源、网线是否接好。设备硬件方面可以查看设备的指示灯,在正常的情况下,设备的指示灯应该都显示为绿色(特殊的双引擎设备可能会有红灯显示);对于网线连接的情况,如果是光纤,可以看到光纤指示灯闪烁;如果是双绞线,则应该看到绿灯和橙灯常亮或者无规律的闪烁。

  闻: 不是让你去用鼻子闻灰尘哈!这里的“闻”和“听”是一个意思。主要是听这个设备风扇转动的声音,用来确认这个设备风扇是不是正在运转。

  问: 一问客户,近期网络有没有出现过断网或者网速变慢的情况。二问设备(设备是机器,怎么问呢?),问设备的意思就是说:使用命令行将设备的关键指标全部抓取下来,重点是CPU、内存利用率,设备的温度等信息。如果是交换路由设备,它运行了路由协议,还要把路由协议(OSPF、EIGRP、BGP)的邻居,路由表全部采集。最后,设备的板卡,模块状况,包括设备近三个月的日志信息也必须全部采集到位。

  切: 如果是进入机房的现场巡检,可以简单的触碰一下设备的出风口,感受一下设备的温度。同时也可以摸出设备是否需要进行除尘处理,当然啦,这个过程可能有点脏,不过那也是你必须做的操作,注意严格按照规范进行操作,防止触电。

  巡检的频率

  巡检会根据客户的要求,设备的重要程度等因素安排巡检的深度或频率。对于一般的巡检,只需远程登录,查看一下设备的CPU利用率,内存利用率,设备的温度等信息;如果是深度巡检,则除了上述关键信息以外,还有日志,路由,会话,接口等信息的采集。通常情况下,一般的例行巡检每月一次,深度巡检一个季度一次。如果碰到重大节假日或某些重要日期时,也会要求进行一次深度巡检。

  巡检的注意事项

  进机房对设备进行查看时,需要遵守客户机房管理规定。如果需要用手去摸设备,注意一定动作要轻柔,不要把网线,光纤碰掉。有一些客户对防静电这一块要求比较严格,所以还需要带着防静电手环才能进行触摸操作。

  远程巡检时,基本上都是show、display之类的命令,所以巡检时严禁进入配置模式进行操作。对于巡检采集的命令,也是用SecureCRT的记录日志的功能给导入到txt中。

  对于每一次巡检,都必须做好巡检记录。如果发现有报错,告警的日志信息,或者设备温度偏高,风扇,电源等故障,需要及时向客户报告,并作出建议方案。

  巡检要求实事求是,认真负责。当然,要注意别给自己“挖坑”!如果你带着批判的眼光去对待巡检操作,本来一个不是隐患的问题,都被你给客户进行“夸大”处理,导致客户对此“心存芥蒂”,那等待你和你队友的可就是一场难上加难的整改作业了。

迪普DPTech-FW1000巡检信息

  一般的信息包括CPU利用率,内存利用率,设备温度;另外还需要查询设备当前运行的版本信息,序列号信息等。

  对于迪普这类的国产防火墙,可以使用Web界面进行信息采集,把采集到的信息截图带回。也可以使用命令行进行采集。

  迪普DPTech-FW1000系列防火墙的一般信息采集命令如下:

  下面给大家用采集到的信息,说几个关键的参数

  该操作采集了防火墙的运行环境。可以看到如下信息:

  Board Temperature为主板温度,当前为47摄氏度;(告警阈值为60摄氏度);

  CPU Temperature为CPU温度,当前为56摄氏度;(告警阈值为80摄氏度);

  Fan status:OK,表示风扇状态良好;

  Power[0]、[1]表示两个电源,Normal表示状态良好;

  这是采集到的防火墙版本信息:

  软件型号为S11C008D014;

  硬件型号为FW1000-GC-N,已经连续运行了98个星期零3天15小时12分钟;

  该防火墙CPU主频是1000MHz,Flash大小为4M,CF卡大小为1G

  这是采集到的防火墙内存,CF卡,CPU信息。内存总体使用率为16%,CF卡的总体使用率为9%,CPU平均使用率为10.25%

  说明此时防火墙的运行负担并不重,不至于造成通信瓶颈。

  采集深度巡检信息

  对于深度巡检,除了一般信息查询的内容以外,还有如下内容需要进行查询

  下面列出检查命令:

  深度巡检除了检查设备运行健康状况以外,还需要对设备的配置进行检查,找出不符合安全规范或者存在安全隐患的配置。在一些实时性,安全性要求较高的场合,还会让你进行接口错包数量统计,关闭没有使用的物理接口。当然还可能让你对一些安全策略进行优化调整。

  抓取设备运行配置,主要是为了检查安全策略的配置和NAT的配置是不是符合安全规范。

  我们可以查看一下当前防火墙的日志:

  该日志显示了有两个站点正在建立IPsec。生效的提议中,加密协议是3DES,认证协议是HMAC。而且这个IPsec sa生存时间很短,没有数据传输就马上断开。

  这个日志的级别是Notifacations(迪普防火墙的日志级别类似Cisco ASA)。

  这里是针对防火墙上的Local-User(本地登录用户)和Local-Group(本地组)进行了检查。这里存在一个名为“admin”的用户,此为DPTech-FW1000的默认用户名,不能被删除。

  所以建议平时的管理操作不用admin这个用户,并且为admin用户设置一个复杂度较高的密码。

  巡检报告的编写

  每一次对设备进行巡检并采集配置以后,除了一些紧急的故障需要立刻告知客户进行处理以外,其他的信息可以编入巡检报告中,并针对巡检的结果给出针对性的建议。如果在巡检采集的信息中发现有安全隐患,则必须在巡检报告中体现出来。

  不同的客户可能会有不同的巡检报告模板(大部分情况下巡检报告不用你亲自做,你直接拿现成的模板来套),但是不管是怎么样的巡检报告模板,都分为以下几大块内容

  a.硬件层面

  包括设备的电源、风扇模块是否正常运转,如果是双机设备,则查看双机运行是否正常。同时,记录机房的温度,湿度是不是满足要求等。另外,多电源设备,要确保电源接在不同的UPS插座上。整机指示灯的状态。

  b.系统层面

  设备当前运行的操作系统是否过于老旧,设备的系统日志是否设置,时钟是否显示正确。设备Flash卡,CF卡是否被正常读取。

  c.安全层面

  包括本地登录管理,用户名和密码设置,Telnet/SSH设置,安全策略的限制是否满足安全的需求。

  d.汇总信息

  将巡检的结果做一个汇总信息,把有问题的设备标记出来,并且用简短的备注说明该设备有什么问题,严重程度如何。

  针对不同的检查项目,应该设置不同的表格,表示当前设备的检查情况。巡检报告的基本要求就是简明扼要,能用句子的不用段落,能用词语表示的不用句子。

  一般信息的记录表格

  摘要表格

  在这个摘要表格中主要体现以下几个信息:

  1.你巡检了哪些设备;

  2.这些设备承担了哪些业务,比如数据中心DMZ区防火墙,总部大楼服务器区防火墙;

  3.这些设备当前运行状态正常吗?一般情况下,没有发现可能导致断网的情形都写正常;

  4.建议/已采取的行动,发现设备运行不正常且已经威胁到网络的正常运转,你可以写建议或准备采取什么行动。

  以设备为单元的基本信息表格

  以设备为单元的基本信息表格

  1.列出设备名称和序列号;

  2.简短的描述巡检的内容,和故障的情况。

  3.列出关键指标,CPU、内存利用率,电源、风扇、NAT、ACL状态

  4.如果有故障,写出故障类型和原因,建议执行什么动作。

  如果是深度巡检报告,则会以检查内容为单元来制作表格

  以温度为单元的巡检结果表格。

  根据设备启动信息(运行时间)为单元的巡检结果表格

  对于检查出来的问题,简单的描述出你的整改建议:

  巡检虽然技术含量不算高,但是却最能反映出一个网络工程师做事的细心程度,也能考验出一个工程师的责任心。而且,对于一些有上进心的网络工程师来说,巡检却是学习技术最好的途径。因为经过一次巡检,你都把设备的配置命令采集走了,这完全可以当成是配置模板啊!

免责声明:本文来源于弱电工程师的圈子,本文仅代表作者个人观点,本站不作任何保证和承诺,若有任何疑问,请与本文作者联系或有侵权行为联系本站删除。(原创稿件未经许可,不可转载,转载请注明来源)
扫一扫关注数字音视工程网公众号

相关阅读related

评论comment

 
验证码:
您还能输入500