Hillstone防火墙维护手册.doc

1、 防火墙维护手册Hillstone防火墙维护手册2010/10/171. 概述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Hillstone防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。2. Hillstone防火墙日常维护

2、围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Hillstone防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。2.1. 防火墙硬件部分日常维护2.1.1. 防火墙机房要求 机房的卫生状况，要求清洁，防火墙上没有灰尘。 温度（摄氏 ）工作环境温度0 40工作环境湿度（%）10% 95%2.1.2. 防火墙电源检查 检查防火墙电源插头有无松动。 检查防火墙LED电源指示灯颜色：电源指示灯颜色:PWR 1电源1绿色常亮电源1工作正常橙色常亮电源工作异常红色常亮

3、电源工作异常，系统处于关闭状态PWR 2电源2绿色常亮电源2工作正常橙色常亮电源工作异常红色常亮电源工作异常，系统处于关闭状态2.1.3. 防火墙风扇 低端产品防火墙风扇固定在产品内； 高端产品风扇为模块化设计，可热插拔； 检测防火墙风扇风扇指示灯有否告警； 检测风扇风力是否适中风扇指示灯颜色:FAN风扇状态绿色常亮风扇工作正常橙色常亮一个风扇损坏，系统正常运行红色常亮风扇系统发生严重故障将自动进入关闭状态2.1.4. 防火墙前面板指示灯检查根据防火墙指示灯状况，可迅速查看防火墙某部分出现故障，以及防火墙运行情况。指示灯用途颜色说明STATUS系统状态绿色闪烁正常运行绿色闪烁系统启动并正常工作

4、红色常亮系统启动失败或者系统异常ALARM系统警告红色常亮系统告警绿色闪烁系统处于等待状态橙色闪烁系统正在使用试用许可证橙色试用许可证到期，无合法许可证PSPS状态绿色常亮电源PS正常供电橙色常亮正常供电，电源散热风扇出现故障熄灭电源PS没有供电或者电源故障HAHA 状态绿色常亮只有一台设备，工作在master状态绿色闪烁有一主一备两台设备，本设备工作master状态黄色闪烁有一主一备两台设备，本设备工作slave状态红色闪烁HA工作异常VPNVPN状态绿色常亮VPN隧道已连接橙色常亮VPN功能开启，无隧道连接熄灭VPN功能未启用2.1.5. 防火墙模块及数据接口检查 系统防火墙接口状态检查检

5、查模块安装是否松动，接口模块上指示灯是否正常。已接有链路的端口link端为绿色常亮，ACT指示灯为黄色闪烁。防火墙接口状态指示灯颜色:Link Link状态绿色常亮端口与对端设备通过网线或者光纤连接正常熄灭端口与对端无连接或者连接失败ACTACT状态黄色闪烁端口处于收发状态熄灭端口无数据传输2.2. 防火墙系统部分日常维护2.2.1. 防火墙OS版本检查在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。hillstone(config)# show version Hillstone StoneOS software, Version

6、3.5Copyright (c) 2006-2009 by Hillstone Networks, Inc.Product name: VR5600T S/N: 0802027090006741 Assembly number: B045Boot file is SA2000-3.5R2p4.bin from flashBuilt by buildmaster2 2009/07/07 12:34:08Uptime is 0 day 0 hour 55 minutes 46 seconds2.2.2. 防火墙温度和风扇检查检查防火墙温度如有超出标准值并是否处于正常状态，检查风扇及机扇环境，及时更

7、换部件。hillstone(config)# show environment Both the temperature and fan are in normal state.2.2.3. 防火墙session利用率检查每个防火墙的并发会话数都有一个最值，如果超出最大值说明防火墙并发会话已经达到极限，防火墙成为一性能瓶颈，需要升级到更高档次防火墙。会话信息如包含alloc failed说明防火墙会话曾经达到最大值，防火墙会话建立失败，可能是防火墙性能的问题或曾经出现网络攻击现象。hillstone# show session generic VSYS 0, max 200000, alloc

8、ed 0, deny session 0, free 200000, tunnel 0, alloc failed 02.2.4. 防火墙CPU利用率检查hillstone防火墙的CPU主要任务为执行功能、会话、日志等管理功能，一般情况下CPU利用率不会太高，一般超出60%以上要检查网络是否有攻击行为或网络流量异常行为。防火墙CPU统计有1分钟、5分钟、15分钟平均值。在某一时间段CPU利率较高，属异常现象，可能有攻击等情况发生。CPU利用率持续较高，说明防火墙配置错误，需要调整防火墙配置，以降低CPU利用率。hillstone# show cpu Average cpu utilizatio

9、n : 0.2%current cpu utilization : 2.0%Last 1 minute : 0.1%Last 5 minutes : 0.2%Last 15 minutes : 0.2%2.2.5. 防火墙内存利用率检查在防火墙内执行 show memory 查看内存利用率，防火墙利用率平时最好不能超过70%,如果超过要检查网络是否存在攻击行为。hillstone# show memory The percentage of memory utilization: 25% total(kB) used(kB) free(kB) 524288 132793 391495 2.2.

10、6. 防火墙接口状态检查在防火墙执行show interface检查接口状态或者检查某个接口的状态情况详细信息。SA-2001# show interface H:physical state;A:admin state;L:link state;P:protocol state;U:up;D:down=Interface name IP address/mask Zone name H A L P MAC address -ethernet0/0 192.168.10.1/24 trust U U U U 001c.5403.e100 ethernet0/1 192.168.1.200/24

11、 untrust D U D D 001c.5403.e101 ethernet0/2 0.0.0.0/0 NULL D U D D 001c.5403.e102 ethernet0/3 0.0.0.0/0 NULL D U D D 001c.5403.e103 ethernet0/4 0.0.0.0/0 NULL D U D D 001c.5403.e104 vswitchif1 0.0.0.0/0 NULL D U D D 001c.5403.e10d SA-2001# show interface eth0/0 -Interface ethernet0/0 description: Ph

12、ysical up Admin up Link up Protocol up Interface ID:8 IP address:192.168.10.1 IP address mask:255.255.255.0 MAC address:001c.5403.e100 Ip mtu:1500 ARP learn:enable ARP disable-dynamic-entry:disable ARP timeout:1200 Speed mode:1000 Duplex mode:full media type:copper QoS input profile : 1st-level - 2n

13、d-level - QoS output profile: 1st-level - 2nd-level - downstream bandwidth is 1000000000 upstream bandwidth is 1000000000 Bind to zone trust Belong to vsys root Auth-arp disable manage service:SSH;TELNET;PING;SNMP;HTTP;HTTPS; Secondary IP address0: 0.0.0.0 mask:0.0.0.0 Secondary IP address1: 0.0.0.0

14、 mask:0.0.0.02.2.7. 防火墙路由检查防火墙在透明模式只有vswicthif1或者设备interface eth0/0口通过默认IP地址登录，用来管理防火墙，透明模式下，路由只与管理有关，与数据转发无关。防火墙在路由模式下工作时，防火墙数据转发跟系统路由相关。检查路由设置是否正确。Show ip routehillstone# show ip route Codes: K - kernel route, C - connected, S - static, I - ISP, R - RIP, O - OSPF, B - BGP, D - DHCP, P - PPPoE, H -

15、 HOST, G - SCVPN, V - VPN, M - IMPORT, - selected route, * - FIB routeRouting Table for Virtual Router =C* 192.168.1.0/24 is directly connected, ethernet0/0H* 192.168.1.1/32 0/0/1 is local address, ethernet0/0=2.2.8. 防火墙fib状态检查通过防火墙fib查看信息连接表情况SA-2001# show fib U-up; G-gateway; H-host; C-connected;

16、B-blackhole; N-subnet broadcast;P-ping track; S-switch over; I-interface; V-vrouterForwarding Table for Virutal Router =Destination Gateway Flags Interface Weight -192.168.10.0/24 0.0.0.0 UC ethernet0/0 1/1/1 192.168.10.1/32 192.168.10.1 UH ethernet0/0 1/1/1 192.168.10.255/32 192.168.10.255 UN ether

17、net0/0 1/1/1 2.2.9. 防火墙日志检查 hillstone 提供了用于监控系统事件和网络流量的事件日志以及便于系统管理员分析和跟踪设备各种问题情况。Stoneos的日志信息分为七种，分别是事件（Event）日志信息、告警（Alarm）日志信息、安全（Security）日志信息、配置（Configuration）日志信息、网络（network）日志信息、流量（Traffic）日志信息和调试（Debug）日志信息。日志信息根据严重级别的不同，又可以分为8级别。日志信息严重性级别分类： Emergency （紧急）级别0：系统不可用信息。 Alert（警示）级别1：需要立即处理的信息

18、，如设备受到攻击灯。 Critical（关键）级别2：危急信息，如硬件出错。 Error （错误）级别3： 错误信息。 Warning（警告）级别4： 报警信息。 Notification （通知）级别5：非错误信息，但需要特殊处理。 Information （信息）级别6： 通知信息。 Debugging（调试）级别7： 调试信息，包括正常的使用信息。查看一些日志告警信息如下：show logging eventshow logging security2.3. 常见故障排查指南2.3.1. 防火墙CPU过高的处理 查看设备当前吞吐是否到达设备极限，如果到达设备极限，建议通过减少通过设备流量

19、，或者更换其他高性能防火墙的方式来解决。 查看设备是否开启太多的统计集，如果统计集功能开启较多会占用较大cpu，建议通过关闭统计集的方法来降低cpu的使用率。如果确实需要开启统计集，建议在一定时间内开启，待结果统计出来后即刻关闭统计集。 查看设备是否开启debug，cli下输入 show debug 如果开启建议关闭debug，方法：连续按两次ESC键。 设备开启太多占用cpu资源的功能，建议暂时关闭部分功能，或者更换高性能防火墙。2.3.2. 设备session数过多的处理通过show session generic 或web 查看到设备session数使用过多，解决方法：在统计集中开启基于

20、用户的session数统计，查看具体session数字过大的ip，手动将该ip的session删除，命令：clear session src-ip ip-address，来暂时降低设备的session。通过配置session-limit的形式来控制用户的session数，操作方法（web）：请根据实际情况配置上面数值。2.3.3. HA异常的处理在HA正常配置后，如果网络结果不发生变化，很少出现问题。如果出现问题一般是由于HA心跳线由于某种原因断开所致。建议出现问题后先通过下面的几个命令查看HA状态，可以先暂时将备用设备的HA功能关闭，检查两台设备HA部分配置是否一致，确认无误后再开启备用设备

21、的HA功能。查看HA状态命令: show ha link status /查看HA link 状态 ，确认HA link接口状态是否正常。 show ha group config /查看HA group 配置状态 ，确认HA group相关配置。 show ha group 0 /通过查看HA group 0 状态 ，确认对端状态是否正常。 show ha cluster /查HA簇配置信息。 show ha sync state config /查看HA配置同步状态。 no ha cluster /关闭HA配置。2.3.4. 内网用户丢包的处理 确认用户到到网关是否丢包，如果内网网关丢包请

22、检查内网交换、路由问题。 确认到内网不丢包，到外网网关丢包，请检查从防火墙上到外网网关是否有丢包，如果丢包请联系线路供应商检查链路质量。 确认从防火墙上到外网网关不丢包，请检查防火墙cpu是否很高，如果cpu高请根据cpu高的处理方法操作。 确认cpu不高，请开启接口带宽统计集，查看接口带宽是否占满，如果带宽占满，请考虑通过配置qos功能对流量做控制。2.3.5. 目的NAT不生效的处理 检查服务器本身端口是否开启。 检查是否有从外到内的策略是否有放行，源地址为any 目的地址为映射后的公网地址。 检查内网服务器网关配置是否正确2.3.6. 设备无法管理的处理 设备不能通过某些pc实现管理，原

23、因： 查看设备时候配置有可信任主机，并且该地址是否在可信任主机列表中。web下位置：系统-设备管理-可信任主机 cli下命令：show admin host 添加可信任主机及权限方法： web下位置：系统-设备管理-可信任主机-新建 cli下命令：SA(config)# admin hostA.B.C.D/Many2.4. 策略配置与优化(policy)防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。2.4.1. 策略配置与维护l

24、简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。l 防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。l 防火墙管理存在多个管理员情况,平时防火墙策略可能出现重复叠加情况,导致策略数过多,时间一长会耗尽防火墙策略资源,为了更好策略数过多而且存在重复情况,采用策略规则匹配次数统计功能在观察一些没有匹配流量的策略并进行确认后删除.show policy hit-count i

25、d id | from src-zone to dst-zone top 10 | 20| 50 id id 显示指定ID 规则的匹配次数统计信息。 from src-zone 显示源安全域为指定域的规则的匹配次数统计信息 to dst-zone 显示目标安全域为指定域的规则的匹配次数统计信息。 top 10 | 20 | 50 显示匹配次数位于前10、20 或者50计信息。2.5. 故障处理工具2.5.1. 系统诊断工具安全网关支持网络连接测试工具Ping 和Traceroute，当网络出现问题时，用户可以用这些工具对网络进行测试，查找故障原因。安全网关同时具有调试功能，供用户查阅与分析。

26、Ping 命令主要用于检查网络连接状态以及主机是否可达。ping ip-address | hostname count number size number source ip-address timeout time Traceroute 用于测试数据包从发送主机到目的地所经过的网关。它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。traceroute ip-address | hostname numberic port port-numberprobe probe-number timeout time ttl min-ttl max-ttlsource interfa

27、ce use-icmp2.5.2. debug诊断与排错 DEBUG数据流基本步骤1、关闭debug信息输出到consoleno logging debug to console2、设置debug过滤器 debug dp filter src-ip | src-port | proto | dst-ip | dst-port 3、开启debug功能 debug dp basic4、清除缓存debug日志信息 clear logging debug5、发起数据流访问 6、查看debug日志信息 show logging debug7、关闭debugundebug all 或 连击“ESC”两次

28、8、查看调试功能开启或者关闭状态show debug 正常访问debug信息:hostname(config)# sh log deb 2009-03-04 16:17:39, DEBUGFLOW: core 0 (sys up 0x8e65ae ms): 001d.7294.e5f6-001c.5402.8c00, size 73, type 0x800, vid 0, port ethernet0/0Switchid is 8(interface ethernet0/0) port ethernet0/0Start l3 forwardPacket: 192.168.1.12 - 202.

29、106.0.20, id: 8369, ip size 59, prot: 17(UDP): 3332 - 53 No session found, try to create session-First path creating new session-VR:trust-vr start-192.168.1.12:3332-202.106.0.20:53 No DNAT configured for this VR Get nexthop if_id: 10, flags: 0, nexthop: 10.188.9.1 Found the reverse route for force r

30、evs-route setting Matched source NAT: snat rule id:1Matched source NAT: source port3332-port3332-VR:trust-vr end- Pak src zone trust, dst zone untrust, prot 17, dst-port 53.Policy 1 matches, =PERMIT= Identified as app DNS (prot=17). timeout 60.flow0 src 192.168.1.12 - dst 202.106.0.20 with nexthop 0

31、.0.0.0 ifindex 0flow1 src 202.106.0.20 - dst 10.188.9.100 with nexthop 192.168.1.12 ifindex 8flow0s next hop: 192.168.1.12 flow1s next hop: 10.188.9.1crt_sess-revs_rres.nextop: 192.168.1.12, crt_sess-revs_rres.nexthop 10.188.9.1Application 7 hasnt been registered, dont need do ALGAPP inited for appl

32、ication 7The following session is installed session: id 99962, prot 17, flag a, created 9332, life 60 flow0(if id: 8 flow id: 199924 flag: 801): 192.168.1.12:3332-202.106.0.20:53 flow1(if id: 10 flow id: 199925 flag: 800): 202.106.0.20:53-10.188.9.100:3332Session installed successfully-First path ov

33、er- Found the session 99962session: id 99962, prot 17, flag 4a, created 9332, life 60 flow0(if id: 8 flow id: 199924 flag: 811): 192.168.1.12:3332-202.106.0.20:53 flow1(if id: 10 flow id: 199925 flag: 810): 202.106.0.20:53-10.188.9.100:3332Set fast code to fe procGo to fe proc directlyGot mac: ip:10

34、.188.9.1, mac:001c.5400.1dc1L3 forward, out if is ethernet0/2msw_dsa_tag_encap_from_cpu: TX packet from interface ethernet0/2, vid 0 cos 0. 路由问题DEBUG信息-First path creating new session-VR:trust-vr start-192.168.1.12:55577-10.188.7.10:53No DNAT configured for this VRFailed to get route to 10.188.7.10

35、(找不到路由存在)Dropped: Cant find forwarding route. Abort!deny session:flow0 src 192.168.1.12 - dst 10.188.7.10 Deny session installed successfully -VR:trust-vr end-First path over (session not created)Droppped: failed to create session, drop the packet 策略问题DEBUG信息-First path creating new session-VR:trust

36、-vr start-192.168.1.12:4716-202.106.0.20:53No DNAT configured for this VRGet nexthop if_id: 10, flags: 0, nexthop: 10.188.9.1Found the reverse route for force revs-route settingMatched source NAT: snat rule id:1Matched source NAT: source port4716-port4716-VR:trust-vr end-Pak src zone trust, dst zone

37、 untrust, prot 17, dst-port 53.No policy set in this ctxt, default =DENY= (找不到策略允许)Dropped: Cant find policy/policy denied. Abort!deny session:flow0 src 192.168.1.12 - dst 202.106.0.20 Deny session installed successfully-First path over (session not created) VPN问题DEBUG信息安全网关提供VPN的Debug命令：debug vpn，通

38、过该命令可以帮助我们定位VPN无法正常协商成功的原因。 针对VPN容易由于配置问题导致无法协商建立，可以通过一下命令VPN排错： Debug vpn Show logging debug | begin No suitable | mismatched | failed to get sainfo如出现相应日志，对照上述DEBUG信息描述即可定位问题所在。 例如下面debug vpn信息第一阶段提议不匹配： 2009-03-04 17:33:41, DEBUGVPN: 200.0.0.2:500: No suitable proposal found2009-03-04 17:33:41, D

39、EBUGVPN: 200.0.0.2:500: phase 1 (aggressive mode): failed to get valid proposal. 第一阶段参数没有协商成功第一阶段预共享密钥不匹配（需要从VPN发起端查看）： 2009-03-04 19:11:45, DEBUGVPN: 200.0.0.1:500: Compute phase1 HASH successful!2009-03-04 19:11:45, DEBUGVPN: 200.0.0.1:500: HASH mismatched 密钥不匹配2009-03-04 19:11:45, DEBUGVPN: 200.0

40、.0.1:500: Begin encryption .2009-03-04 19:11:45, DEBUGVPN: 200.0.0.1:500: Encrypted successful! 第二阶段提议不匹配： 2009-03-04 17:46:29, DEBUGVPN: 200.0.0.2:500: No suitable proposals found. 第二阶段参数没有协商成功2009-03-04 17:46:29, DEBUGVPN: 200.0.0.2:500: +Phase 2 (quick mode) first msg receive END.+第二阶段proxy-id不匹配： 2009-03-04 18:56:13, DEBUGVPN: 200.0.0.2:500: failed to get sainfo.2009-03-04 18:56:13, DEBUGVPN: 200.0.0.2:500: phase 2 (quick mode) : failed to get sainf