防火墙巡检报告书模版

1、juniper防火墙设备巡检技术服务报告书项目单位：项目单位地址：用户负责人：联系电话：巡检工程师：联系电话：巡检地点：巡检时间：设备型号：设备数目：巡 检 结 果 报 告设备名称：编号检查内容检查方法检查标准检测结果1检查软件版本web方式检查：选择“home”查看“device information”中“firmware version”的值。命令行方式查看：在防火墙各节点上分别执行：get systemnetscreen os应为正式发布的版本，要求主备防火墙版本一致。2检查日志信息web方式检查：选择“home”查看the most recent events的日志信息。命令行方式查

2、看：在防火墙各节点上分别执行：get log event正常工作情况下，日志中不应该有大量重复的信息，如端口频繁up/down、大量用户认证失败信息等。3检查调试信息开关命令行方式查看：在防火墙各节点上分别执行：get debugsnoop info正常运行时所有debug、snoop开关应该全部关闭。l 如果启用debug，则可以在命令行提示下，单击键盘上的esc键。l 如果启用snoop，则可以在命令行提示下，单击键盘上的esc键。说明debug和snoop为隐藏命令。4检查系统时间是否与当地时间和时区一致web方式检查：选择“home”查看“system time“的值。命令行方式查看：

3、在防火墙各节点上分别执行：get clock系统时间和当地时间、时区一致。5检查telnet、web、snmp登录控制情况在untrust区域进行telnet登录测试和ie登录测试。不能打开untrust区域接口的telnet、web、snmp的权限。6多接口监控配置检查在防火墙各节点上分别执行：get nsrp vsd-group allget nsrp monitor interface所有的在用接口都是up状态。7检查netscreen防火墙双机的配置是否同步在防火墙各节点上分别执行：exec nsrp sync global-config check-sum主备机数据同步时，conso

4、le上会输出：configuration in sync说明此命令的结果只在console上显示，所以必须在console上执行，才能看到结果。8检查系统接口配置web方式检查：选择“network->interface”查看各接口的状态。在防火墙各节点上分别执行：get interface正在使用的接口应为up或active。9检查fe/ge口配置web方式检查：选择“configuration->updte->config file”查看“current system configuration”的内容。命令行方式查看：在防火墙各节点上分别执行：get config查看当

5、前配置。web方式检查：选择“network->interface”查看各接口的状态。命令行方式查看：get interface查看接口状态。端口模式（包括速率、双工模式）配置对接双方必须一致；端口实际工作模式必须与对端一致。在检验端口速率双工配置时也要检查对端端口设置。10检查ip地址分配web方式检查：选择“network->interface”查看各接口的状态。命令行方式查看：在防火墙各节点上分别执行：get interfaceget log eventl 同一网段内主机和网络设备ip地址掩码一致。l 没有地址冲突现象。l ip子网分配没有出现重叠现象。l log中没有报地址

6、冲突11检查telnet、串口和web登录是否成功在防火墙各节点上分别进行telnet连接测试、串口连接测试和web连接测试。telnet、串口和web三种方式能正常登录。12检查系统cpu使用率web方式检查：选择“home”查看“resources status ”中“cpu”的值。命令行方式查看：在防火墙各节点上分别执行：get perform cpu detail系统cpu使用率不应超过50%。从web界面上看，cpu使用率指示条应该是正常的蓝颜色，不能出现黄/红颜色的告警信息。13检查系统内存使用率web方式检查：选择“home”查看“resources status ”中“memo

7、ry”的值。命令行方式查看：在防火墙各节点上分别执行：get memory系统内存使用率不应超过90%。从web界面上看，内存使用率指示条应该是正常的蓝颜色，不能出现黄/红颜色的告警信息。14检查防火墙系统连接数web方式检查：选择“home”查看“resources status ”中“sessions”的值。命令行方式查看：在防火墙各节点上分别执行：get session info查看防火墙现在有多少连接数。经验值是一般系统现有连接数不会超过最大值的50%。其中ns5000支持的最大值为1000000。isg2000支持的最大值为50000015检查区域名称配置是否正常web方式检查：选择

8、“network”查看“zones”中zone是否正常。命令行方式查看：在防火墙各节点上分别执行：get zone显示防火墙上配置的区域，包括系统自定义的区域和用户自定义区域。没有异常区域配置或异常接口归属到指定区域。16检查域间应用的访问策略配置web方式检查：选择“policies”查看策略信息。命令行方式查看：在防火墙各节点上分别执行：get policy查看域间应用的访问策略，不应有多余的策略，同时不能有从低安全级别到高安全级别开放any服务的策略。17防火墙设备指示灯检查直接查看防火墙前面板的led 指示灯。status ：系统状态。黄色闪烁表示系统正常启动；绿色闪烁表示系统正常工作。alarm：系统告警。红色表示系统有严重硬件或软件故障；黄色表示系统有某一方面负载过重。如：内存少于10%、cpu 利用率超过90%、 连接数满。绿色表示没有告警。pwr：电源供电情况。绿色表示电源工作正常；红色表示电源失效或没装电源模块。ha：高可用状态。绿色表示系统当前为主用状态；绿色闪烁表示没有找到冗余组成员；黄色表示系统当前为备用状态；黑色表示系统没有配置ha（高可用性）。fw ：防火墙告警。绿色表示没有防火墙攻击；黄色表示防火墙有告警事件发生。18防火墙接口指示