DPtech FW1000系列防火墙系统维护手册

...wd......wd......wd...DPtechFW1000维护手册杭州迪普科技2011年10月目录DPtechFW1000维护手册1第1章常见维护事项11.1系统基本维护11.2日常故障维护11.3数据备份管理11.4补丁升级管理2第2章应急处理方案42.1运输导致设备无法启动42.2互联网访问异常42.3集中管理平台无相关日志42.4设备工作不正常52.5IPSEC-VPN无法正常建设52.6访问内网服务器异常5第3章功能项63.1用户名/密码63.2管理员63.3WEB访问63.4接口状态73.5数据互通73.6日志信息7第4章其他94.1注册与申请94.2升级与状态9第5章FAQ125.1入门篇125.2进阶篇13常见维护事项系统基本维护防火墙应该指派专人管理、维护，管理员的口令要严格保密，不得泄露防火墙管理员应定期查看统一管理中心〔UMC〕和防火墙的系统资源(包括内存/CPU/外存)，确认运行状况是否正常防火墙管理员应定期检查“严重错误〞以上级别的系统日志，发现防火墙的异常运行情况防火墙管理员应定期检查操作日志，确认是否有异常操作〔修改、添加、删除策略，删除日志等〕、异常登录〔非管理员登陆记录、屡次登陆密码错误〕，对此应立即上报并修改密码防火墙管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进展追踪(例如局部时间段异常攻击等),并出具安全运行报告防火墙管理帐号用户名：admin，初始口令admin，首次使用需修改，并备份统一管理中心服务器需要按时进展操作系统的补丁升级和杀毒软件的病毒库升级日常故障维护统一管理中心服务器无法登录，请检查能否PING通统一管理中心服务器，其相关服务〔UMC数据库服务、UMCWeb服务、UMC后台服务〕是否启动，管理端口80是否一致统一管理中心服务器上网络流量快照或FW日志无法生成，先检查端口9502、9516、9514是否开放，防火墙的日志发送配置是否正确，再用抓包工具检查防火墙是否发送日志防火墙无法登录，请检查防火墙的IP是否可以Ping通，同时检测端口80是否开放数据备份管理统一管理中心服务器系统安装后要先进展完全备份统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储统一管理中心服务器的磁盘告警阀值默认为2G，当系统可用磁盘空间小于2G时，会进展自动告警，这时需要进展数据库压缩和数据备份补丁升级管理迪普将不定期在迪普官方网站〔〕发布设备最新的软件版本，可自行下载，并升级协议库升级，在设备已存在该特征库的License的情况下，可采用手动升级〔迪普官方网站下载〕或自动升级〔前提是设备可访问迪普官方网站的链接，假设不具备此条件，那么需采用手动升级〕【软件版本】升级操作说明：〔1〕首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。〔2〕通过WEB界面登录设备，选择【基本】=>【系统管理】=>【软件版本】，如以以下列图：点击文件路径后的【浏览】按钮，本地选中要下载的软件版本，点击【下载软件版本】按钮下载的配置文件出现在列表中，鼠标移动到下次启动的软件版本后的软件版本时会变成铅笔图标点击鼠标左键，出现软件版本的下拉列表选择下次启动时需要的版本，即下载的软件版本修改完毕后，点击确认按钮〔3〕登录设备在设备在【设备管理】=>【设备信息】界面查看软件版本升级成功。【协议库】手动升级操作说明：〔1〕在设备协议库授权未过期的前提下，从迪普官方网站获取最新的协议库。〔2〕通过WEB界面登录设备，选择【基本】=>【系统管理】=>【特征库】=>【XXX特征库】，如以以下列图所示：点击浏览按钮；选择下载升级包的路径；设置完毕，点击右方确实定按钮。〔3〕协议库在升级过程中将显示进度信息，如以以下列图所示：最后，系统将提示升级完成。应急处理方案运输导致设备无法启动设备加电一段时间后，系统无法正常启动〔包括电源指示灯灭，电源指示灯亮/其他指示灯灭，RUN灯常亮或者快闪〕。更换电源线确保其正常，假设仍存在同样问题，那么需更换硬件设备。互联网访问异常接口指示灯是否正常闪烁假设接口指示灯不亮，检查连接线是否松动，且通过Web页面查看接口管理状态与链路状态是否正常假设接口指示灯闪烁，通过Web页面查看接口收发数量是否正常故障排查思路：1、链路是否连接正常，使用设备页面中的PING命令检测上行和下行链路是否畅通，如果光口连接，建议强制双工和速率。2、查看路由条目是否配置正确。NAT的源地址，目的地址，地址池，NAT方式都是否正确3、查看参与配置的接口是否参加安全域中。4、安全域是否优先级及包过滤策略是否设置正常。集中管理平台无相关日志安装集中管理平台客户端后，双击任务栏的集中管理平台图标，查看数据库服务、web服务、后台服务是否正常，假设不正常那么重新启动PC或卸载重新安装〔注意：设置本地安全控件允许集中管理平台安装的各个细节，如360安全卫士等〕检查集中管理平台的License是否正常导入、运行状态是否正常〔正常登录web网管〕、本地防火墙是否关闭、入侵防御设备与集中管理平台间是否有防火墙未开启相应端口〔9502、9514等〕；入侵防御设备与集中管理平台之间网络是否正常，入侵防御设备是否配置了各种审计谋略，入侵防御设备配置是否正常通知到集中管理平台上检查流量是否流经设备，查看设备接口统计数据设备工作不正常双机热备工作不正常，主机设备宕机之后，备机设备无法正常工作，需要查看备机是否加电，备机电源指示灯是否亮，备机接口状态是否正常〔接口指示灯是否亮、闪烁〕，是否可以正常登录备机设备断电保护工作不正常，先将连接线切换到之前状态，将断电保护模块旁路，假设网络正常，那么说明断电保护模块损坏，需更换断电保护模块；假设网络仍不正常，需进展网络排查冗余电源工作不正常，查看电源指示灯是否亮，假设不亮，那么需更换硬件设备IPSEC-VPN无法正常建设首先确认公网对端提供IPSEC-VPN地址是否可达。由于IPSEC-VPN是需要双方设备相互配合的，首先需要确定IPSEC-VPN的协调状态，是哪一阶段协调不起来，如果是第一阶段的SA协商不起不，请排查下，本地保护网段与对端保护网段是否一致，且用于交互的预共享密钥是否填写正确，协商时间保持一样，第二阶段的SA如果没方法建设起来，查看IPSEC-VPN的高级配置中ESP的协商参数，加密算法和HASH算法是否选择正确。访问内网服务器异常配置目的NAT，实现服务器的映射，这里需要注意的是ISP分配的外网的IP地址，一个IP地址的一个端口服务只能映射一台内部服务器。如果内网用户需要使用域名进展访问映射的服务器，需启用DNSALG。功能项用户名/密码FW设备，初始IP地址为，用户名admin，密码adminUMC软件：初始用户名admin，密码UMCAdministrator首次使用请更改，并定期维护管理员管理员设置，添加管理员；防止“admin〞管理员被恶意尝试而锁定WEB访问访问协议设置，配置HTTP及HTTPS参数〔注意：重启后生效〕接口状态注意接口协商状态，及转发数据是否正常。当上下行设备发生变化时，必须查看数据互通在【网络管理】->【诊断工具】中，验证网络畅通性〔如：FW——UMC可达〕日志信息如：流量分析其他注册与申请查看设备包装箱内License授权序列号，或在WEB首页中查看设备序列号翻开UMC的WEB页面，进入“License管理->申请License〞，输入相关信息，并保存此文件登陆迪普官方网站，输入相关信息，申请相应License升级与状态查看设备状态导入License文件导入相应特征库升级软件版本，导入后，选为“下次启动使用的软件版本〞后，重启设备即可查看系统、操作日志，查询告警及可疑日志查看UMC本地信息FAQ入门篇为什么配置了管理地址IP，PC却Ping不通在同网段中，PC的IP地址与配置管理IP地址必须同属这一网段；在不同网段中，需要在FW设备上添加相应的路由，确保与PC连通。在WEB界面上直接对管理口的设置修改，会有什么结果会导致当前WEB界面down掉，无法继续进展任何操作。需要访问改后的IP地址，或者可通过console口，进入到相应的管理口下，以命令的方式对管理口，重新配置合理的参数。需要升级软件版本情况下，下载完软件版本并指定后，是否需要重启需要重启。当设备异常断电时，之前在WEB界面上的配置是否保存保存，设备开启的情况下，对于操作与配置都是时时保存的。设备上的USB接口做什么用的外置断电保护PFP，以及3G扩展。我有特征库文件，为什么不能升级需事先导入相应License。已将软件版本导入设备的CF卡中，为什么重启后不能加载该版本须将该版本状态选为“使用中〞才可。设备运行一段时间后，发现局部系统日志和操作日志不见了，为什么在无手动删除的情况下，查看是否超过了保存该日志的时间。输出到UMC的业务日志和流量分析的端口号是什么业务日志是9514，流量分析是9502。为什么配置策略的时候，优先使用指定用户组，而不用Allusers做到对业务的细化，同时过滤多余信息。进阶篇接入设备后，发现接口协商成半双工产生丢包，若何办需要双方都强制相应的速率和双工状态。如果FW与UMC系统时间间隔过大，有何影响UMC产生的日志会有相应的滞后，建议安装UMC后，立即开启时间同步功能。若何跨网段对设备进展管理添加默认路由，或指定路由。我开启了特征库自动升级，为什么没有生效在License有效的情况下，确定设备可以直接连入网络。〔使用诊断工具Ping外网IP地址，当路由不通、需要认证、各种访问控制限制下，均不可自动升级〕若何使得限速效果更明显〔P2P和多媒体〕双向均配置策略。细化被限速的应用。若何快速诊断UMC的运行状态在设备已配置了流量分析、