DPtechFW系列防火墙系统维护手册.docx

1、DPtechFW系列防火墙系统维护手册DPtech FW1000维护手册杭州迪普科技有限公司2012年01月第1章 常见维护事项1.1 系统基本维护 防火墙应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 防火墙管理员应定期查看统一管理中心（UMC）和防火墙的系统资源(包括内存/CPU/外存)，确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志，发现防火墙的异常运行情况 防火墙管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即上报并修改密码 防火墙管理员应定期检查和分析自动

2、生成的报表，对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名：admin，初始口令admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否PING通统一管理中心服务器，其相关服务（UMC数据库服务、UMC Web服务、UMC后台服务）是否启动，管理端口80是否一致 统一管理中心服务器上网络流量快照或FW日志无法生成，先检查端口9502、9516、9514是否开放，防火墙的日志发送配置是否正确，再用抓包工具检查防火墙是否发送日志 防火墙无法

3、登录，请检查防火墙的IP是否可以Ping通，同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储 统一管理中心服务器的磁盘告警阀值默认为2G，当系统可用磁盘空间小于2G时，会进行自动告警，这时需要进行数据库压缩和数据备份1.4 补丁升级管理 迪普将不定期在迪普官方网站（）发布设备最新的软件版本，可自行下载，并升级 协议库升级，在设备已存在该特征库的License的情况下，可采用手动升级（迪普官方网站下载）或自动升级（前提是设备可访问迪普官方网站的链接，若不具备此条件，则需采用手动升级）

4、 【软件版本】升级操作说明：（1）首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。（2）通过WEB界面登录设备，选择【基本】=【系统管理】=【软件版本】，如图所示： 点击文件路径后的【浏览】按钮，本地选中要下载的软件版本，点击【下载软件版本】按钮 下载的配置文件出现在列表中，鼠标移动到下次启动的软件版本后的软件版本时会变成铅笔图标 点击鼠标左键，出现软件版本的下拉列表 选择下次启动时需要的版本，即下载的软件版本 修改完毕后，点击确认按钮 （3）登录设备在设备在【设备管理】=【设备信息】界面查看软件版本升级成功。 【协议库】手动升级操作说明：（1）在设备协议库授权未过期的前提下，从迪普官

5、方网站获取最新的协议库。（2）通过WEB界面登录设备，选择【基本】=【系统管理】=【特征库】=【XXX特征库】，如下图所示： 点击浏览按钮； 选择下载升级包的路径； 设置完毕，点击右方的确定按钮。 （3）协议库在升级过程中将显示进度信息，如下图所示：最后，系统将提示升级完成。第2章 应急处理方案2.1 运输导致设备无法启动设备加电一段时间后，系统无法正常启动（包括电源指示灯灭，电源指示灯亮/其他指示灯灭，RUN灯常亮或者快闪）。更换电源线确保其正常，若仍存在同样问题，则需更换硬件设备。2.2 互联网访问异常接口指示灯是否正常闪烁若接口指示灯不亮，检查连接线是否松动，且通过Web页面查看接口管理

6、状态与链路状态是否正常若接口指示灯闪烁，通过Web页面查看接口收发数量是否正常故障排查思路：1、链路是否连接正常，使用设备页面中的PING命令检测上行和下行链路是否畅通，如果光口连接，建议强制双工和速率。2、查看路由条目是否配置正确。NAT的源地址，目的地址，地址池，NAT方式都是否正确3、查看参与配置的接口是否加入安全域中。4、安全域是否优先级及包过滤策略是否设置正常。2.3 集中管理平台无相关日志安装集中管理平台客户端后，双击任务栏的集中管理平台图标，查看数据库服务、web服务、后台服务是否正常，若不正常则重新启动PC或卸载重新安装（注意：设置本地安全控件允许集中管理平台安装的各个细节，如

7、360安全卫士等）检查集中管理平台的License是否正常导入、运行状态是否正常（正常登录web网管）、本地防火墙是否关闭、入侵防御设备与集中管理平台间是否有防火墙未开启相应端口（9502、9514等）；入侵防御设备与集中管理平台之间网络是否正常，入侵防御设备是否配置了各种审计策略，入侵防御设备配置是否正常通知到集中管理平台上检查流量是否流经设备，查看设备接口统计数据2.4 设备工作不正常双机热备工作不正常，主机设备宕机之后，备机设备无法正常工作，需要查看备机是否加电，备机电源指示灯是否亮，备机接口状态是否正常（接口指示灯是否亮、闪烁），是否可以正常登录备机设备断电保护工作不正常，先将连接线切

8、换到之前状态，将断电保护模块旁路，若网络正常，则说明断电保护模块损坏，需更换断电保护模块；若网络仍不正常，需进行网络排查冗余电源工作不正常，查看电源指示灯是否亮，若不亮，则需更换硬件设备2.5 IPSEC-VPN无法正常建立首先确认公网对端提供IPSEC-VPN地址是否可达。由于IPSEC-VPN是需要双方设备相互配合的，首先需要确定IPSEC-VPN的协调状态，是哪一阶段协调不起来，如果是第一阶段的SA协商不起不，请排查下，本地保护网段与对端保护网段是否一致，且用于交互的预共享密钥是否填写正确，协商时间保持相同，第二阶段的SA如果没办法建立起来，查看IPSEC-VPN的高级配置中ESP的协商

9、参数，加密算法和HASH算法是否选择正确。2.6 访问内网服务器异常配置目的NAT，实现服务器的映射，这里需要注意的是ISP分配的外网的IP地址，一个IP地址的一个端口服务只能映射一台内部服务器。如果内网用户需要使用域名进行访问映射的服务器，需启用DNS ALG。2.7 新加入的设备，内网无法上网查看设备接口链路的协商情况，确保协商一致。如果是光口，确保双方都是自协商或强制。查看设备ARP表，看是否学习到上下游直连设备MAC地址。通过设备PING上下游设备直连IP，确保上下游ARP表更新。查看设备路由表，确保流量不通的IP网段有正确的路由，可以通过PING来验证。通过设备PING一个公网IP地

10、址，确保公网出口没有问题。查看源NAT规则，确保有相应的地址转换规则。查看设备安全策略，有相应的通行策略。2.8 个别内网地址无法上网PING防火墙的地址是否能通。查看安全策略规则，是否有规则阻断。当规则太多或者比较紧急时，可以在安全策略的第一条前插入一条通的策略。确保有相应的NAT地址转换规则。查看设备会话表，看是否有相应的会话。2.9 映射内网服务器访问不了通过设备PING内网服务器，确保路由可达。telnet内网服务器端口，确保服务器端口开启。查看目的NAT规则是否正确。查看安全策略规则是否有通行策略，情况紧急时可以在第一条前插入一条通行策略。查看设备会话表，是否有相应会话。2.10 用

11、户访问网站慢通过设备PING网站，查看延时，查看是否有丢包。用户直接PING网站，查看延时，查看是否有丢包。访问其他网站，排查是否是个别服务器问题。查看设备CPU占用率与流量，排查是否有攻击行为。第一条策略前插入一条全通策略，排查是否设备性能导致。第3章 功能项3.1 用户名/密码 FW设备，初始IP地址为，用户名admin，密码admin UMC软件：初始用户名admin，密码UMCAdministrator首次使用请更改，并定期维护3.2 管理员 管理员设置，添加管理员；防止“admin”管理员被恶意尝试而锁定3.3 WEB访问 访问协议设置，配置HTTP及HTTPS参数（注意：重启后生效

12、）3.4 接口状态 注意接口协商状态，及转发数据是否正常。当上下行设备发生变化时，必须查看3.5 数据互通 在【网络管理】-【诊断工具】中，验证网络畅通性（如：FWUMC可达）3.6 日志信息 如：流量分析第4章 其他4.1 注册与申请 查看设备包装箱内License授权序列号，或在WEB首页中查看设备序列号 打开UMC的WEB页面，进入“License管理-申请License”，输入相关信息，并保存此文件 登陆迪普官方网站，输入相关信息，申请相应License4.2 升级与状态 查看设备状态 导入License文件 导入相应特征库 升级软件版本，导入后，选为“下次启动使用的软件版本”后，重启

13、设备即可 查看系统、操作日志，查询告警及可疑日志 查看UMC本地信息第5章 FAQ5.1 入门篇1、 为什么配置了管理地址IP，PC却Ping不通 在同网段中，PC的IP地址与配置管理IP地址必须同属这一网段；在不同网段中，需要在FW设备上添加相应的路由，确保与PC连通。2、 在WEB界面上直接对管理口的设置修改，会有什么结果 会导致当前WEB界面down掉，无法继续进行任何操作。需要访问改后的IP地址，或者可通过console口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。3、 需要升级软件版本情况下，下载完软件版本并指定后，是否需要重启 需要重启。4、 当设备异常断电时

14、，之前在WEB界面上的配置是否保存 保存，设备开启的情况下，对于操作与配置都是时时保存的。5、 设备上的USB接口做什么用的 外置断电保护PFP，以及3G扩展。6、 我有特征库文件，为什么不能升级 需事先导入相应License。7、 已将软件版本导入设备的CF卡中，为什么重启后不能加载该版本 须将该版本状态选为“使用中”才可。8、 设备运行一段时间后，发现部分系统日志和操作日志不见了，为什么 在无手动删除的情况下，查看是否超过了保存该日志的时间。9、 输出到UMC的业务日志和流量分析的端口号是什么 业务日志是9514，流量分析是9502。10、 为什么配置策略的时候，优先使用指定用户组，而不用

15、All users 做到对业务的细化，同时过滤多余信息。5.2 进阶篇1、 接入设备后，发现接口协商成半双工产生丢包，怎么办 需要双方都强制相应的速率和双工状态。2、 如果FW与UMC系统时间间隔过大，有何影响 UMC产生的日志会有相应的滞后，建议安装UMC后，立即开启时间同步功能 。3、 如何跨网段对设备进行管理 添加默认路由，或指定路由。4、 我开启了特征库自动升级，为什么没有生效 在License有效的情况下，确定设备可以直接连入网络。（使用诊断工具Ping外网IP地址，当路由不通、需要认证、各种访问控制限制下，均不可自动升级）5、 如何使得限速效果更明显（P2P和多媒体） 双向均配置策略。 细化被限速的应用。6、 如何快速诊断UMC的运行状态 在设备已配置了流量分析、业务日志发送到UMC，且参数正确情况下，双击Windows系统任务栏上的UMC客户端，可直接查看UMC运行状态。 查看UMC的设备管理中，是否有FW设备信息。（若无设备信息，需手动添加） 在FW配置正常，且已经触发业务日志或者流量分析，但UMC没日志情况下。使用抓包工具，查看安装UMC服务器上的网卡是否收到了9514或者9502的报文：有报文，则需排查是否是本地防火墙等安全类软件导致；无报文，查看FW到UMC的链路情况（路由，访问控制策略等）。