Hillstone防火墙维护手册.doc

1、 防火墙维护手册 Hillstone防火墙维护手册 2010/10/17 1. 概述 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在

2、可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Hillstone防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。 2. Hillstone防火墙日常维护 围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Hillstone防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。 2.1. 防火墙硬件部分日常维护 2.1.

3、1. 防火墙机房要求 Ø 机房的卫生状况，要求清洁，防火墙上没有灰尘。 Ø 温度（摄氏 ℃） 工作环境温度0 ℃－40℃ 工作环境湿度（%）10% －95% 2.1.2. 防火墙电源检查 Ø 检查防火墙电源插头有无松动。 Ø 检查防火墙LED电源指示灯颜色： 电源指示灯颜色: PWR 1 电源1 绿色常亮 电源1工作正常 橙色常亮 电源工作异常 红色常亮 电源工作异常，系统处于关闭状态 PWR 2 电源2 绿色常亮 电源2工作正常 橙色常亮 电源工作异常 红色常亮 电源工作异常，系统处于关闭状态 2.1.3. 防火墙风扇 Ø

4、 低端产品防火墙风扇固定在产品内； Ø 高端产品风扇为模块化设计，可热插拔； Ø 检测防火墙风扇风扇指示灯有否告警； Ø 检测风扇风力是否适中 风扇指示灯颜色: FAN 风扇状态 绿色常亮 风扇工作正常 橙色常亮 一个风扇损坏，系统正常运行 红色常亮 风扇系统发生严重故障将自动进入关闭状态 2.1.4. 防火墙前面板指示灯检查 根据防火墙指示灯状况，可迅速查看防火墙某部分出现故障，以及防火墙运行情况。 指示灯 用途 颜色 说明 STATUS 系统状态 绿色闪烁 正常运行 绿色闪烁 系统启动并正常工作 红色常亮 系统启

5、动失败或者系统异常 ALARM 系统警告 红色常亮 系统告警 绿色闪烁 系统处于等待状态 橙色闪烁 系统正在使用试用许可证 橙色 试用许可证到期，无合法许可证 PS PS状态 绿色常亮 电源PS正常供电 橙色常亮 正常供电，电源散热风扇出现故障 熄灭 电源PS没有供电或者电源故障 HA HA 状态 绿色常亮 只有一台设备，工作在master状态 绿色闪烁 有一主一备两台设备，本设备工作master状态 黄色闪烁 有一主一备两台设备，本设备工作slave状态 红色闪烁 HA工作异常 VPN VPN

6、状态 绿色常亮 VPN隧道已连接 橙色常亮 VPN功能开启，无隧道连接 熄灭 VPN功能未启用 2.1.5. 防火墙模块及数据接口检查 Ø 系统防火墙接口状态检查 检查模块安装是否松动，接口模块上指示灯是否正常。已接有链路的端口link端为绿色常亮，ACT指示灯为黄色闪烁。 防火墙接口状态指示灯颜色: Link Link状态 绿色常亮 端口与对端设备通过网线或者光纤连接正常 熄灭 端口与对端无连接或者连接失败 ACT ACT状态 黄色闪烁 端口处于收发状态 熄灭 端口无数据传输 2.2. 防火墙系统部分日常维护 2.2.1.

7、 防火墙OS版本检查 在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。 hillstone(config)# show version Hillstone StoneOS software, Version 3.5 Copyright (c) 2006-2009 by Hillstone Networks, Inc. Product name: VR5600T S/N: 0802027090006741 Assembly number: B045 Boot file is SA2000-3.5R2p4.bin from

8、flash Built by buildmaster2 2009/07/07 12:34:08 Uptime is 0 day 0 hour 55 minutes 46 seconds 2.2.2. 防火墙温度和风扇检查 检查防火墙温度如有超出标准值并是否处于正常状态，检查风扇及机扇环境，及时更换部件。 hillstone(config)# show environment Both the temperature and fan are in normal state. 2.2.3. 防火墙session利用率检查 每个防火墙的并发会话数都有一个最值，如果超出最大值说明

9、防火墙并发会话已经达到极限，防火墙成为一性能瓶颈，需要升级到更高档次防火墙。 会话信息如包含alloc failed说明防火墙会话曾经达到最大值，防火墙会话建立失败，可能是防火墙性能的问题或曾经出现网络攻击现象。 hillstone# show session generic VSYS 0, max 200000, alloced 0, deny session 0, free 200000, tunnel 0, alloc failed 0 2.2.4. 防火墙CPU利用率检查 hillstone防火墙的CPU主要任务为执行功能、会话、日志等管理功能，一般情况下CPU利用率不会太

10、高，一般超出60%以上要检查网络是否有攻击行为或网络流量异常行为。 防火墙CPU统计有1分钟、5分钟、15分钟平均值。在某一时间段CPU利率较高，属异常现象，可能有攻击等情况发生。CPU利用率持续较高，说明防火墙配置错误，需要调整防火墙配置，以降低CPU利用率。 hillstone# show cpu Average cpu utilization : 0.2% current cpu utilization : 2.0% Last 1 minute : 0.1% Last 5 minutes : 0.2% Last 15 minutes : 0.2% 2.2.5. 防火墙

11、内存利用率检查 在防火墙内执行 show memory 查看内存利用率，防火墙利用率平时最好不能超过70%,如果超过要检查网络是否存在攻击行为。 hillstone# show memory The percentage of memory utilization: 25% total(kB) used(kB) free(kB) 524288 132793 391495 2.2.6. 防火墙接口状态检查 在防火墙执行show interface检查接口状态或者检查某个接口的状态情况详细信息。 SA-2001# show inter

12、face H:physical state;A:admin state;L:link state;P:protocol state;U:up;D:down =============================================================Interface name IP address/mask Zone name H A L P MAC address -----------------------------------------------------------------------------

13、 ethernet0/0 192.168.10.1/24 trust U U U U 001c.5403.e100 ethernet0/1 192.168.1.200/24 untrust D U D D 001c.5403.e101 ethernet0/2 0.0.0.0/0 NULL D U D D 001c.5403.e102 ethernet0/3 0.0.0.0/0 NULL

14、 D U D D 001c.5403.e103 ethernet0/4 0.0.0.0/0 NULL D U D D 001c.5403.e104 vswitchif1 0.0.0.0/0 NULL D U D D 001c.5403.e10d SA-2001# show interface eth0/0 ------------------------------------------------------------------------------

15、 Interface ethernet0/0 description: Physical up Admin up Link up Protocol up Interface ID:8 IP address:192.168.10.1 IP address mask:255.2

16、55.255.0 MAC address:001c.5403.e100 Ip mtu:1500 ARP learn:enable ARP disable-dynamic-entry:disable ARP timeout:1200 Speed mode:1000 Duplex mode:full media type:copp

17、er QoS input profile : 1st-level -- 2nd-level -- QoS output profile: 1st-level -- 2nd-level -- downstream bandwidth is 1000000000 upstream bandwidth is

18、1000000000 Bind to zone trust Belong to vsys root Auth-arp disable manage service:SSH;TELNET;PING;SNMP;HTTP;HTTPS; Secondary IP address0: 0.0.0.0 mask:0.0.0.0 Secondary IP address1: 0.0.0.0 mask:0.0

19、0.0 2.2.7. 防火墙路由检查 防火墙在透明模式只有vswicthif1或者设备interface eth0/0口通过默认IP地址登录，用来管理防火墙，透明模式下，路由只与管理有关，与数据转发无关。 防火墙在路由模式下工作时，防火墙数据转发跟系统路由相关。 检查路由设置是否正确。Show ip route hillstone# show ip route Codes: K - kernel route, C - connected, S - static, I - ISP, R - RIP, O - OSPF, B - BGP, D - DHCP, P -

20、 PPPoE, H - HOST, G - SCVPN, V - VPN, M - IMPORT, > - selected route, * - FIB route Routing Table for Virtual Router ==================================================================== C>* 192.168.1.0/24 is directly connected, ethernet0/0 H>* 192.168.1.1/32 [0/0/1] is local a

21、ddress, ethernet0/0 ==================================================================== 2.2.8. 防火墙fib状态检查 通过防火墙fib查看信息连接表情况 SA-2001# show fib U-up; G-gateway; H-host; C-connected; B-blackhole; N-subnet broadcast; P-ping track; S-switch over; I-interface; V-vrouter Forwarding Table for Vir

22、utal Router ====================================================================== Destination Gateway Flags Interface Weight ------------------------------------------------------------------------------ 192.168.10.0/24 0.0.0.0 UC

23、 ethernet0/0 1/1/1 192.168.10.1/32 192.168.10.1 UH ethernet0/0 1/1/1 192.168.10.255/32 192.168.10.255 UN ethernet0/0 1/1/1 2.2.9. 防火墙日志检查 hillstone 提供了用于监控系统事件和网络流量的事件日志以及便于系统管理员分析和跟踪设备各种问题情况。Stoneos的日志信息分为七种，分别是事件（Event

24、日志信息、告警（Alarm）日志信息、安全（Security）日志信息、配置（Configuration）日志信息、网络（network）日志信息、流量（Traffic）日志信息和调试（Debug）日志信息。日志信息根据严重级别的不同，又可以分为8级别。 日志信息严重性级别分类： Ø Emergency （紧急）级别0：系统不可用信息。 Ø Alert（警示）级别1：需要立即处理的信息，如设备受到攻击灯。 Ø Critical（关键）级别2：危急信息，如硬件出错。 Ø Error （错误）级别3： 错误信息。 Ø Warning（警告）级别4： 报警信息。 Ø Notific

25、ation （通知）级别5：非错误信息，但需要特殊处理。 Ø Information （信息）级别6： 通知信息。 Ø Debugging（调试）级别7： 调试信息，包括正常的使用信息。 查看一些日志告警信息如下： show logging event show logging security 2.3. 常见故障排查指南 2.3.1. 防火墙CPU过高的处理 Ø 查看设备当前吞吐是否到达设备极限，如果到达设备极限，建议通过减少通过设备流量，或者更换其他高性能防火墙的方式来解决。 Ø 查看设备是否开启太多的统计集，如果统计集功能开启较多会占用较大cpu，建议通过关闭统计集

26、的方法来降低cpu的使用率。如果确实需要开启统计集，建议在一定时间内开启，待结果统计出来后即刻关闭统计集。 Ø 查看设备是否开启debug，cli下输入 show debug 如果开启建议关闭debug，方法：连续按两次ESC键。 Ø 设备开启太多占用cpu资源的功能，建议暂时关闭部分功能，或者更换高性能防火墙。 2.3.2. 设备session数过多的处理 通过show session generic 或web 查看到设备session数使用过多，解决方法： 在统计集中开启基于用户的session数统计，查看具体session数字过大的ip，手动将该ip的session删除，命令：

27、clear session src-ip ip-address，来暂时降低设备的session。 通过配置session-limit的形式来控制用户的session数，操作方法（web）：请根据实际情况配置上面数值。 2.3.3. HA异常的处理 在HA正常配置后，如果网络结果不发生变化，很少出现问题。如果出现问题一般是由于HA心跳线由于某种原因断开所致。 建议出现问题后先通过下面的几个命令查看HA状态，可以先暂时将备用设备的HA功能关闭，检查两台设备HA部分配置是否一致，确认无误后再开启备用设备的HA功能。 查看HA状态命令: Ø show ha link status  /

28、/查看HA link 状态 ，确认HA link接口状态是否正常。 Ø  show ha group config //查看HA group 配置状态 ，确认HA group相关配置。 Ø  show ha group 0     //通过查看HA group 0 状态 ，确认对端状态是否正常。 Ø show ha cluster //查HA簇配置信息。 Ø show ha sync state config //查看HA配置同步状态。 Ø no ha cluster //关闭HA配置。 2.3.4. 内网用户丢包的处理 Ø 确认用户到到网关是否丢包，如果内网网关丢包

29、请检查内网交换、路由问题。 Ø 确认到内网不丢包，到外网网关丢包，请检查从防火墙上到外网网关是否有丢包，如果丢包请联系线路供应商检查链路质量。 Ø 确认从防火墙上到外网网关不丢包，请检查防火墙cpu是否很高，如果cpu高请根据cpu高的处理方法操作。 Ø 确认cpu不高，请开启接口带宽统计集，查看接口带宽是否占满，如果带宽占满，请考虑通过配置qos功能对流量做控制。 2.3.5. 目的NAT不生效的处理 Ø 检查服务器本身端口是否开启。 Ø 检查是否有从外到内的策略是否有放行，源地址为any 目的地址为映射后的公网地址。 Ø 检查内网服务器网关配置是否正确 2.3.6. 设备无

30、法管理的处理 Ø 设备不能通过某些pc实现管理，原因： Ø 查看设备时候配置有可信任主机，并且该地址是否在可信任主机列表中。  web下位置：系统-设备管理-可信任主机   cli下命令：show admin host Ø 添加可信任主机及权限方法：   web下位置：系统-设备管理-可信任主机-新建   cli下命令：SA(config)# admin host A.B.C.D/M  any  2.4. 策略配置与优化(policy) 防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因

31、此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。 2.4.1. 策略配置与维护 l 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。 l 防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。 l 防火墙管理存在多个管理员情况,平时防火墙策略可能出现重复叠加情况,导致策略数过多,时间一长会耗尽防火墙策略资源,为了更好策略数过多而且存在重

32、复情况,采用策略规则匹配次数统计功能在观察一些没有匹配流量的策略并进行确认后删除. show policy hit-count {id id | [from src-zone] [to dst-zone] top {10 | 20 | 50}} ♦ id id – 显示指定ID 规则的匹配次数统计信息。 ♦ from src-zone – 显示源安全域为指定域的规则的匹配次数统计信息 ♦ to dst-zone – 显示目标安全域为指定域的规则的匹配次数统计信息。 ♦ top {10 | 20 | 50} – 显示匹配次数位于前10、20 或者50 计信息。 2.5. 故障处理

33、工具 2.5.1. 系统诊断工具 安全网关支持网络连接测试工具Ping 和Traceroute，当网络出现问题时，用户可以用这些工具对网络进行测试，查找故障原因。安全网关同时具有调试功能，供用户查阅与分析。 Ø Ping 命令主要用于检查网络连接状态以及主机是否可达。 ping {ip-address | hostname} [count number] [size number] [source ip-address] [timeout time] Ø Traceroute 用于测试数据包从发送主机到目的地所经过的网关。它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故

34、障。 traceroute {ip-address | hostname} [numberic] [port port-number] [probe probe-number] [timeout time] [ttl [min-ttl] [max-ttl]] [source interface] [use-icmp] 2.5.2. debug诊断与排错 Ø DEBUG数据流基本步骤 1、关闭debug信息输出到console no logging debug to console 2、设置debug过滤器 debug dp filter {src-ip | src-port

35、 | proto | dst-ip | dst-port} 3、开启debug功能 debug dp basic 4、清除缓存debug日志信息 clear logging debug 5、发起数据流访问 6、查看debug日志信息 show logging debug 7、关闭debug undebug all 或 连击“ESC”两次 8、查看调试功能开启或者关闭状态 show debug Ø 正常访问debug信息: hostname(config)# sh log deb 2009-03-04 16:17:39, DEBUG@FLOW: cor

36、e 0 (sys up 0x8e65ae ms): 001d.7294.e5f6->00 1c.5402.8c00, size 73, type 0x800, vid 0, port ethernet0/0 Switchid is 8(interface ethernet0/0) port ethernet0/0 Start l3 forward Packet: 192.168.1.12 -> 202.106.0.20, id: 8369, ip size 59, prot: 17(UDP): 3332 -> 53 ① No session found, try to creat

37、e session ----------------First path creating new session----------------- --------VR:trust-vr start-------- 192.168.1.12:3332->202.106.0.20:53 ② No DNAT configured for this VR ③ Get nexthop if_id: 10, flags: 0, nexthop: 10.188.9.1 ④ Found the reverse route for force revs-route setting ⑤ Matc

38、hed source NAT: snat rule id:1 Matched source NAT: source port3332->port3332 --------VR:trust-vr end-------- ⑥ Pak src zone trust, dst zone untrust, prot 17, dst-port 53. Policy 1 matches, ===PERMIT=== ⑦ Identified as app DNS (prot=17). timeout 60. flow0 src 192.168.1.12 --> dst 202.106.0.20 w

39、ith nexthop 0.0.0.0 ifindex 0 flow1 src 202.106.0.20 --> dst 10.188.9.100 with nexthop 192.168.1.12 ifindex 8 flow0's next hop: 192.168.1.12 flow1's next hop: 10.188.9.1 crt_sess->revs_rres.nextop: 192.168.1.12, crt_sess->revs_rres.nexthop 10.188.9.1 Application 7 hasn't been registered, don't n

40、eed do ALG APP inited for application 7 The following session is installed ⑧ session: id 99962, prot 17, flag a, created 9332, life 60 flow0(if id: 8 flow id: 199924 flag: 801): 192.168.1.12:3332->202.106.0.20:53 flow1(if id: 10 flow id: 199925 flag: 800): 202.106.0.20:53->10.188.9.100:3332

41、 Session installed successfully -----------------------First path over--------------------- ⑨ Found the session 99962 session: id 99962, prot 17, flag 4a, created 9332, life 60 flow0(if id: 8 flow id: 199924 flag: 811): 192.168.1.12:3332->202.106.0.20:53 flow1(if id: 10 flow id: 199925 fla

42、g: 810): 202.106.0.20:53->10.188.9.100:3332 Set fast code to fe proc Go to fe proc directly Got mac: ip:10.188.9.1, mac:001c.5400.1dc1 L3 forward, out if is ethernet0/2 msw_dsa_tag_encap_from_cpu: TX packet from interface ethernet0/2, vid 0 cos 0. Ø 路由问题DEBUG信息 -----------------First path cre

43、ating new session----------------- --------VR:trust-vr start-------- 192.168.1.12:55577->10.188.7.10:53 No DNAT configured for this VR Failed to get route to 10.188.7.10 (找不到路由存在) Dropped: Can't find forwarding route. Abort!! deny session:flow0 src 192.168.1.12 --> dst 10.188.7.10 Deny sessio

44、n installed s uccessfully --------VR:trust-vr end-------- -----------------------First path over (session not created) Droppped: failed to create session, drop the packet Ø 策略问题DEBUG信息 -----------------First path creating new session----------------- --------VR:trust-vr start-------- 192.16

45、8.1.12:4716->202.106.0.20:53 No DNAT configured for this VR Get nexthop if_id: 10, flags: 0, nexthop: 10.188.9.1 Found the reverse route for force revs-route setting Matched source NAT: snat rule id:1 Matched source NAT: source port4716->port4716 --------VR:trust-vr end-------- Pak src zone t

46、rust, dst zone untrust, prot 17, dst-port 53. No policy set in this ctxt, default ===DENY=== (找不到策略允许) Dropped: Can't find policy/policy denied. Abort!! deny session:flow0 src 192.168.1.12 --> dst 202.106.0.20 Deny session installed successfully -----------------------First path over (session no

47、t created) Ø VPN问题DEBUG信息 安全网关提供VPN的Debug命令：debug vpn，通过该命令可以帮助我们定位VPN无法正常协商成功的原因。 针对VPN容易由于配置问题导致无法协商建立，可以通过一下命令VPN排错： Debug vpn Show logging debug | begin {No suitable | mismatched | failed to get sainfo} 如出现相应日志，对照上述DEBUG信息描述即可定位问题所在。 例如下面debug vpn信息 第一阶段提议不匹配： 2009-03-04 17:33:41, DE

48、BUG@VPN: [200.0.0.2:500]: No suitable proposal found 2009-03-04 17:33:41, DEBUG@VPN: [200.0.0.2:500]: phase 1 (aggressive mode): failed to get valid proposal. 第一阶段参数没有协商成功 第一阶段预共享密钥不匹配（需要从VPN发起端查看）： 2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: Compute phase1 HASH successful! 2009-03-04 19:1

49、1:45, DEBUG@VPN: [200.0.0.1:500]: HASH mismatched 密钥不匹配 2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: Begin encryption ... 2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: Encrypted successful! 第二阶段提议不匹配： 2009-03-04 17:46:29, DEBUG@VPN: [200.0.0.2:500]: No suitable proposals found. 第二阶段参数没有

50、协商成功 2009-03-04 17:46:29, DEBUG@VPN: [200.0.0.2:500]: ++++++++Phase 2 (quick mode) first msg receive END.++++++++ 第二阶段proxy-id不匹配： 2009-03-04 18:56:13, DEBUG@VPN: [200.0.0.2:500]: failed to get sainfo. 2009-03-04 18:56:13, DEBUG@VPN: [200.0.0.2:500]: phase 2 (quick mode) : failed to get sainf