DPtech FW1000系列防火墻系統(tǒng)維護手冊

DPtechFW1000維護手冊杭州迪普科技有限公司2012年01月 杭州迪普科技有限公司PAGE目錄DPtechFW1000維護手冊 1第1章常見維護事項 11.1系統(tǒng)基本維護 11.2日常故障維護 11.3數(shù)據(jù)備份管理 11.4補丁升級管理 2第2章應急處理方案 42.1運輸導致設備無法啟動 42.2互聯(lián)網(wǎng)訪問異常 42.3集中管理平臺無相關日志 42.4設備工作不正常 52.5IPSEC-VPN無法正常建立 52.6訪問內(nèi)網(wǎng)服務器異常 52.7新加入的設備，內(nèi)網(wǎng)無法上網(wǎng) 52.8個別內(nèi)網(wǎng)地址無法上網(wǎng) 62.9映射內(nèi)網(wǎng)服務器訪問不了 62.10用戶訪問網(wǎng)站慢 6第3章功能項 73.1用戶名/密碼 73.2管理員 73.3WEB訪問 73.4接口狀態(tài) 83.5數(shù)據(jù)互通 83.6日志信息 8第4章其他 104.1注冊與申請 104.2升級與狀態(tài) 10第5章FAQ 135.1入門篇 135.2進階篇 14常見維護事項系統(tǒng)基本維護防火墻應該指派專人管理、維護，管理員的口令要嚴格保密，不得泄露防火墻管理員應定期查看統(tǒng)一管理中心（UMC）和防火墻的系統(tǒng)資源(包括內(nèi)存/CPU/外存)，確認運行狀況是否正常防火墻管理員應定期檢查“嚴重錯誤”以上級別的系統(tǒng)日志，發(fā)現(xiàn)防火墻的異常運行情況防火墻管理員應定期檢查操作日志，確認是否有異常操作（修改、添加、刪除策略，刪除日志等）、異常登錄（非管理員登陸記錄、多次登陸密碼錯誤），對此應立即上報并修改密碼防火墻管理員應定期檢查和分析自動生成的報表，對報表中的可疑事件進行追蹤(例如部分時間段異常攻擊等),并出具安全運行報告防火墻管理帳號用戶名：admin，初始口令admin，首次使用需修改，并備份統(tǒng)一管理中心服務器需要按時進行操作系統(tǒng)的補丁升級和殺毒軟件的病毒庫升級日常故障維護統(tǒng)一管理中心服務器無法登錄，請檢查能否PING通統(tǒng)一管理中心服務器，其相關服務（UMC數(shù)據(jù)庫服務、UMCWeb服務、UMC后臺服務）是否啟動，管理端口80是否一致統(tǒng)一管理中心服務器上網(wǎng)絡流量快照或FW日志無法生成，先檢查端口9502、9516、9514是否開放，防火墻的日志發(fā)送配置是否正確，再用抓包工具檢查防火墻是否發(fā)送日志防火墻無法登錄，請檢查防火墻的IP是否可以Ping通，同時檢測端口80是否開放數(shù)據(jù)備份管理統(tǒng)一管理中心服務器系統(tǒng)安裝后要先進行完全備份統(tǒng)一管理中心服務器管理員應定期將備份的數(shù)據(jù)導入到指定的備份機或刻盤存儲統(tǒng)一管理中心服務器的磁盤告警閥值默認為2G，當系統(tǒng)可用磁盤空間小于2G時，會進行自動告警，這時需要進行數(shù)據(jù)庫壓縮和數(shù)據(jù)備份補丁升級管理迪普將不定期在迪普官方網(wǎng)站（）發(fā)布設備最新的軟件版本，可自行下載，并升級協(xié)議庫升級，在設備已存在該特征庫的License的情況下，可采用手動升級（迪普官方網(wǎng)站下載）或自動升級（前提是設備可訪問迪普官方網(wǎng)站的鏈接，若不具備此條件，則需采用手動升級）【軟件版本】升級操作說明：（1）首先從迪普官方網(wǎng)站或迪普技術支持人員獲取最新的軟件版本。（2）通過WEB界面登錄設備，選擇【基本】=>【系統(tǒng)管理】=>【軟件版本】，如圖所示：點擊文件路徑后的【瀏覽】按鈕，本地選中要下載的軟件版本，點擊【下載軟件版本】按鈕下載的配置文件出現(xiàn)在列表中，鼠標移動到下次啟動的軟件版本后的軟件版本時會變成鉛筆圖標點擊鼠標左鍵，出現(xiàn)軟件版本的下拉列表選擇下次啟動時需要的版本，即下載的軟件版本修改完畢后，點擊確認按鈕（3）登錄設備在設備在【設備管理】=>【設備信息】界面查看軟件版本升級成功?！緟f(xié)議庫】手動升級操作說明：（1）在設備協(xié)議庫授權未過期的前提下，從迪普官方網(wǎng)站獲取最新的協(xié)議庫。（2）通過WEB界面登錄設備，選擇【基本】=>【系統(tǒng)管理】=>【特征庫】=>【XXX特征庫】，如下圖所示：點擊瀏覽按鈕；選擇下載升級包的路徑；設置完畢，點擊右方的確定按鈕。（3）協(xié)議庫在升級過程中將顯示進度信息，如下圖所示：最后，系統(tǒng)將提示升級完成。

應急處理方案運輸導致設備無法啟動設備加電一段時間后，系統(tǒng)無法正常啟動（包括電源指示燈滅，電源指示燈亮/其他指示燈滅，RUN燈常亮或者快閃）。更換電源線確保其正常，若仍存在同樣問題，則需更換硬件設備。互聯(lián)網(wǎng)訪問異常接口指示燈是否正常閃爍若接口指示燈不亮，檢查連接線是否松動，且通過Web頁面查看接口管理狀態(tài)與鏈路狀態(tài)是否正常若接口指示燈閃爍，通過Web頁面查看接口收發(fā)數(shù)量是否正常故障排查思路：1、鏈路是否連接正常，使用設備頁面中的PING命令檢測上行和下行鏈路是否暢通，如果光口連接，建議強制雙工和速率。2、查看路由條目是否配置正確。NAT的源地址，目的地址，地址池，NAT方式都是否正確3、查看參與配置的接口是否加入安全域中。4、安全域是否優(yōu)先級及包過濾策略是否設置正常。集中管理平臺無相關日志安裝集中管理平臺客戶端后，雙擊任務欄的集中管理平臺圖標，查看數(shù)據(jù)庫服務、web服務、后臺服務是否正常，若不正常則重新啟動PC或卸載重新安裝（注意：設置本地安全控件允許集中管理平臺安裝的各個細節(jié)，如360安全衛(wèi)士等）檢查集中管理平臺的License是否正常導入、運行狀態(tài)是否正常（正常登錄web網(wǎng)管）、本地防火墻是否關閉、入侵防御設備與集中管理平臺間是否有防火墻未開啟相應端口（9502、9514等）；入侵防御設備與集中管理平臺之間網(wǎng)絡是否正常，入侵防御設備是否配置了各種審計策略，入侵防御設備配置是否正常通知到集中管理平臺上檢查流量是否流經(jīng)設備，查看設備接口統(tǒng)計數(shù)據(jù)設備工作不正常雙機熱備工作不正常，主機設備宕機之后，備機設備無法正常工作，需要查看備機是否加電，備機電源指示燈是否亮，備機接口狀態(tài)是否正常（接口指示燈是否亮、閃爍），是否可以正常登錄備機設備斷電保護工作不正常，先將連接線切換到之前狀態(tài)，將斷電保護模塊旁路，若網(wǎng)絡正常，則說明斷電保護模塊損壞，需更換斷電保護模塊；若網(wǎng)絡仍不正常，需進行網(wǎng)絡排查冗余電源工作不正常，查看電源指示燈是否亮，若不亮，則需更換硬件設備IPSEC-VPN無法正常建立首先確認公網(wǎng)對端提供IPSEC-VPN地址是否可達。由于IPSEC-VPN是需要雙方設備相互配合的，首先需要確定IPSEC-VPN的協(xié)調狀態(tài)，是哪一階段協(xié)調不起來，如果是第一階段的SA協(xié)商不起不，請排查下，本地保護網(wǎng)段與對端保護網(wǎng)段是否一致，且用于交互的預共享密鑰是否填寫正確，協(xié)商時間保持相同，第二階段的SA如果沒辦法建立起來，查看IPSEC-VPN的高級配置中ESP的協(xié)商參數(shù)，加密算法和HASH算法是否選擇正確。訪問內(nèi)網(wǎng)服務器異常配置目的NAT，實現(xiàn)服務器的映射，這里需要注意的是ISP分配的外網(wǎng)的IP地址，一個IP地址的一個端口服務只能映射一臺內(nèi)部服務器。如果內(nèi)網(wǎng)用戶需要使用域名進行訪問映射的服務器，需啟用DNSALG。新加入的設備，內(nèi)網(wǎng)無法上網(wǎng)查看設備接口鏈路的協(xié)商情況，確保協(xié)商一致。如果是光口，確保雙方都是自協(xié)商或強制。查看設備ARP表，看是否學習到上下游直連設備MAC地址。通過設備PING上下游設備直連IP，確保上下游ARP表更新。查看設備路由表，確保流量不通的IP網(wǎng)段有正確的路由，可以通過PING來驗證。通過設備PING一個公網(wǎng)IP地址，確保公網(wǎng)出口沒有問題。查看源NAT規(guī)則，確保有相應的地址轉換規(guī)則。查看設備安全策略，有相應的通行策略。個別內(nèi)網(wǎng)地址無法上網(wǎng)PING防火墻的地址是否能通。查看安全策略規(guī)則，是否有規(guī)則阻斷。當規(guī)則太多或者比較緊急時，可以在安全策略的第一條前插入一條通的策略。確保有相應的NAT地址轉換規(guī)則。查看設備會話表，看是否有相應的會話。映射內(nèi)網(wǎng)服務器訪問不了通過設備PING內(nèi)網(wǎng)服務器，確保路由可達。telnet內(nèi)網(wǎng)服務器端口，確保服務器端口開啟。查看目的NAT規(guī)則是否正確。查看安全策略規(guī)則是否有通行策略，情況緊急時可以在第一條前插入一條通行策略。查看設備會話表，是否有相應會話。用戶訪問網(wǎng)站慢通過設備PING網(wǎng)站，查看延時，查看是否有丟包。用戶直接PING網(wǎng)站，查看延時，查看是否有丟包。訪問其他網(wǎng)站，排查是否是個別服務器問題。查看設備CPU占用率與流量，排查是否有攻擊行為。第一條策略前插入一條全通策略，排查是否設備性能導致。

功能項用戶名/密碼FW設備，初始IP地址為，用戶名admin，密碼adminUMC軟件：初始用戶名admin，密碼UMCAdministrator首次使用請更改，并定期維護管理員管理員設置，添加管理員；防止“admin”管理員被惡意嘗試而鎖定WEB訪問訪問協(xié)議設置，配置HTTP及HTTPS參數(shù)（注意：重啟后生效）接口狀態(tài)注意接口協(xié)商狀態(tài)，及轉發(fā)數(shù)據(jù)是否正常。當上下行設備發(fā)生變化時，必須查看數(shù)據(jù)互通在【網(wǎng)絡管理】->【診斷工具】中，驗證網(wǎng)絡暢通性（如：FW——UMC可達）日志信息如：流量分析

其他注冊與申請查看設備包裝箱內(nèi)License授權序列號，或在WEB首頁中查看設備序列號打開UMC的WEB頁面，進入“License管理->申請License”，輸入相關信息，并保存此文件登陸迪普官方網(wǎng)站，輸入相關信息，申請相應License升級與狀態(tài)查看設備狀態(tài)導入License文件導入相應特征庫升級軟件版本，導入后，選為“下次啟動使用的軟件版本”后，重啟設備即可查看系統(tǒng)、操作日志，查詢告警及可疑日志查看UMC本地信息

FAQ入門篇為什么配置了管理地址IP，PC卻Ping不通？在同網(wǎng)段中，PC的IP地址與配置管理IP地址必須同屬這一網(wǎng)段；在不同網(wǎng)段中，需要在FW設備上添加相應的路由，確保與PC連通。在WEB界面上直接對管理口的設置修改，會有什么結果？會導致當前WEB界面down掉，無法繼續(xù)進行任何操作。需要訪問改后的IP地址，或者可通過console口，進入到相應的管理口下，以命令的方式對管理口，重新配置合理的參數(shù)。需要升級軟件版本情況下，下載完軟件版本并指定后，是否需要重啟？需要重啟。當設備異常斷電時，之前在WEB界面上的配置是否保存？保存，設備開啟的情況下，對于操作與配置都是時時保存的。設備上的USB接口做什么用的？外置斷電保護PFP，以及3G擴展。我有特征庫文件，為什么不能升級？需事先導入相應License。已將軟件版本導入設備的CF卡中，為什么重啟后不能加載該版本？須將該版本狀態(tài)選為“使用中”才可。設