H3C SecPath系列防火墙维护指导书V20.docx
- 文档编号:18099554
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:40
- 大小:143.36KB
H3C SecPath系列防火墙维护指导书V20.docx
《H3C SecPath系列防火墙维护指导书V20.docx》由会员分享,可在线阅读,更多相关《H3C SecPath系列防火墙维护指导书V20.docx(40页珍藏版)》请在冰点文库上搜索。
H3CSecPath系列防火墙维护指导书V20
H3CSecPath系列防火墙维护指导书
(V2.0)
杭州华三通信技术有限公司
修订记录RevisionRecords
日期
Date
修订版本
Revision
描述
Description
作者
Author
2009-03-11
V1.0
初稿
赵彪
2009-04-10
V2.0
统一格式
安全产品技术支持组
目录
1.日常维护建议总则7
1.1.日常维护建议7
1.2.维护记录表格和维护操作指导书的使用说明8
2.安装操作指导9
3.维护操作指导10
3.1.H3CSecPath防火墙设备现场巡检10
3.2.设备日常维护操作指导11
3.3.设备季度维护操作指导12
3.4.H3C设备年度维护操作指导12
4.入门维护13
4.1.基本概念13
4.2.产品FAQ19
5.常见故障处理25
5.1.SecPath防火墙故障诊断流程25
5.2.H3CSecPath防火墙系统维护25
5.3.SecPath防火墙连通性27
5.4.Nat故障处理28
5.5.攻击防范故障处理29
6.常见问题及FAQ30
6.1.Nat专题篇FAQ30
6.2.攻击防范篇FAQ31
6.3.高可靠性篇FAQ33
6.4.运行模式篇FAQ34
7.附录37
7.1.维护记录表格37
7.2.H3C公司资源和求助途径43
H3CSecPath系列防火墙维护指导书
关键词:
SecPath防火墙、维护指导、常见问题、
摘要:
此文档用于指导日常维护H3C防火墙产品及解决常见故障参考使用,主要描述用户维护部门周期性(每天、每季、每年)对H3CSecPath系列防火墙设备进行健康性检查的相关事项。
适用对象:
本文档适用于H3CSecPath系列防火墙产品的日常操作和维护工程师。
缩略语清单:
缩略语
英文全名
中文解释
ASPF
ApplicationSpecificPacketFilter
状态的报文过滤
NAT
NetworkAddressTranslation
网络地址转换
HA
HighAbility
高可靠性
DDOS
DistributedDenialofService
分布式拒绝服务攻击
QOS
QualityofService
服务质量
OAA
OpenApplicationArchitecture
开放应用架构
产品简介
伴随着因特网的蓬勃发展,网络协议的开发性注定了给入侵者留下了众多的入侵机会,安全的网络也跟着提升到一个全新的高度。
安全的,即是私有的,在internet日益发达的年代,在公用网络上构建安全、可靠、能够满足特定业务QoS需求的私有专用网络,已经成为一种潮流,即可以利用internet的普及互连,经济,又可以构建一个与internet完全隔离的网络,满足金融行业信息保密的要求。
H3CSecPath系列防火墙设备是华三公司面向企业用户开发的新一代专业安全网关设备,既可以作为中小型企业的核心安全网关,也可以作为大中型企业的汇聚及接入网关设备。
H3CSecPath防火墙是业界功能最全面、扩展性最好的防火墙产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。
主要功能如下:
扩展性最强
基于H3C先进的OAA开放应用架构,SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSLVPN等硬件业务模块,实现2-7层的全面安全。
强大的攻击防范能力
能防御DoS/DDoS攻击(如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。
集中管理与审计
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
应用层内容过滤
可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTPURL和内容过滤。
丰富的VPN特性
集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入。
全面NAT应用支持
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能。
全面的认证服务
支持本地用户、RADIUS、TACACS等认证方式,支持基于PKI/CA体系的数字证书(X.509格式)认证功能。
支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。
增强型状态安全过滤
支持基础、扩展和基于接口的状态检测包过滤技术;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控。
1.
日常维护建议总则
1.1.日常维护建议
尊敬的用户:
感谢您使用H3C公司的SecPath系列防火墙产品。
系统正常、稳定地运行是我们共同的愿望,为了我们共同的目标,请您重视以下建议并参照《日常维护建议》进行必要的日常维护。
1、H3CSecPath系列防火墙产品关系涉及网络安全技术、Windows系列操作系统,及相关第三方厂家设备,所以应安排受过专业培训的人员进行日常维护。
2、注意保持机房整洁,防尘防潮,防止虫鼠进入。
3、参照《H3CSecPath防火墙日常维护指导及常见故障处理》中的内容对设备进行例行检查和测试,并记录检查结果。
4、用于系统管理、设备维护和业务操作的用户名和密码应该严格管理,定期更改,并只向特定的相关人员发放。
5、严禁在设备维护终端主机上安装与业务无关的软件,严禁在设备维护终端主机上运行与业务无关的应用。
维护终端主机应该定期查杀计算机病毒。
6、遇有不明原因告警或故障,请迅速与代理商工程师或H3C公司服务热线联系(400-810-0504/800-810-0504)。
7、调整线缆必须慎重,并在调整前作好标记,以防误操作。
8、对设备硬件进行相关操作时应注意戴好防静电手腕。
9、对设备进行复位操作、配置参数改动前应做好配置信息备份工作。
10、在对设备版本进行升级前,应全面备份设备配置信息,并记录当前版本号。
1.2.
维护记录表格和维护操作指导书的使用说明
1.《H3CSecPath防火墙设备日常维护值班日志》由机房维护人员填写,每日填写一张表格,说明值班期间机房环境、设备运行情况等。
用户可根据本局点具体情况以及第三方设备情况对《H3CSecPath防火墙设备日常维护值班日志》表格内容进行修改,并将表格制作成值班日志手册,将H3CSecPath防火墙系统日常维护指导的内容附加在值班日志手册的后面。
2.《H3CSecPath防火墙设备季度维护记录表》是对H3CSecPath防火墙设备进行季度维护时维护内容的记录,每季度维护的方法可参考《H3CSecPath防火墙设备季度维护操作指导》。
3.《突发问题处理记录表》是对H3CSecPath防火墙设备突发问题及相应处理措施所作的记录,作为以后进行维修或查看问题记录的依据。
用户可根据本局具体情况对《突发问题处理记录表》的内容进行修改,并制作H3CSecPath防火墙设备日常突发问题处理记录手册。
4.《硬件更换记录表》是设备整机或插在其上部件的更换记录。
5.《数据修改记录表》是H3CSecPath防火墙设备配置信息修改的记录
表格具体内容请参考本文档最后附表。
2.
安装操作指导
H3CSecPath防火墙产品涉及多种软硬件知识,请严格遵循下列安装要求:
1、设备开箱验货完成后,开始设备的安装和基本调试。
2、进行设备初始化配置,验证设备状态是否正常。
3、协调准备设备安装条件及环境,确定设备已升级到目前最新版本或指定统一版本(建议)。
4、依据工程设计方案进行设备安装,按照规范要求连接电源和接地,并保证连接稳定可靠、不易被非维护人员触碰。
5、按照设计的网络拓扑进行网络线路连接,保证线路质量和走线方式符合要求,并注意网络线缆连接的可靠性。
6、检查SecPath防火墙的配置,参考配置模板逐项满足客户需求。
7、按照客户需求逐项进行检查各需检查功能是否生效,各需检查功能主要包括基本上网、LAN口连接、基本网管、访问策略、攻击防范等。
8、根据开局设计的网络建设方案,就基本维护方面的内容向客户使用维护人员说明。
3.
维护操作指导
H3CSecPath防火墙产品在使用维护过程中需要关注许多方面,并以负责任的态度履行注意事项:
(1)保证设备按照要求进行可靠接地。
(2)维护人员做好防静电措施。
(3)及时修改安全策略保证访问安全。
(4)保证网络线缆连接正常,以免影响网络稳定性。
(5)室外特殊环境下注意工程规范性和安全性要求。
H3CSecPath防火墙设备运维日常的维护工作内容主要有定期巡检、故障处理、投诉处理、策略优化、通信保障等。
定期巡检:
定期对所有站点进行一次现场巡检,对巡检时发现的问题现场进行处理并登记。
故障处理:
主要通过网管系统发现故障并根据故障性质进行处理。
用户投诉:
用户投诉要求在接到投诉后一定时限内赶到现场进行处理,处理结束后要求回访客户进行故障恢复确认。
策略优化:
针对客户投诉、会议保障以及站点性质变化所作的较大的网络调整和安全策略优化。
通讯保障:
当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。
下面对于日常维护及巡检内容进行简单说明:
3.1.H3CSecPath防火墙设备现场巡检
现场巡检人员需定期(建议每季度)对全区所有的设备实施一次巡检。
为了保证网络的稳定性,对于招标选型新入网设备推荐每个月实施一次巡检,持续3个月。
(1)设备供电、接地情况;
H3CSecPath防火墙如果安置在人流过往较多的地方,电源线、接地线容易被牵扯,因此每次巡检时应当检查电源线、接地线是否牢固,并检查电源线、接地线布线是否合理,尽量做到不易被人接触。
(2)查看H3CSecPath防火墙设备各指示灯状态:
结合指示灯状态和客户感受判断设备运转情况,指示灯通常为绿色常亮或均匀闪烁,具体指示灯含义请参考本文档最后附表,如有异常情况,可以进一步进行排查并登录到设备收集诊断信息。
(3)检查H3CSecPath防火墙产品版本
可以通过displayversion查看当前版本,如果版本低于H3CSecPath防火墙最新发布版本,建议升级到H3CSecPath防火墙最新发布版本。
3.2.设备日常维护操作指导
维护类别
维护项目
操作指导
参考标准
设备运行环境
电源
查看电源监控系统或测试电源输出电压
电压输出正常,无异常告警
温度(正常0~40℃)
测试温度
温度范围:
0℃-40℃;建议为15℃-25℃
湿度(正常5%~90%)
测试相对湿度
相对湿度:
5%-90%(无冷凝)
机房清洁度(灰尘含量)
检查空气中灰尘的含量
见附表1
其他状况(火警、烟尘)
查看消防控制系统告警状态
消防控制系统无告警,若无条件则以肉眼判断为准
设备运行状态
电源指示灯状态
查看电源指示灯状态
电源指示灯显示正常
系统指示灯状态
查看系统指示灯状态
系统指示灯显示正常
CF指示灯状态
查看CF指示灯状态
CF指示灯显示正常
电源线连接情况
检查电源线连接是否安全可靠。
(1)各连接处安全、可靠。
(2)线缆无腐蚀、无老化。
线缆连接情况
检查线缆连接是否安全可靠。
(1)各连接处安全、可靠。
(2)线缆无腐蚀、无老化。
其他线缆连接情况
检查其他线缆连接是否安全可靠。
(1)各连接处安全、可靠。
(2)线缆无腐蚀、无老化。
设备配置检查
系统登录
检查是否可以登录设备
系统可正常通过Telnet、Console、Web等方式登录。
系统时间及运行状态信息
检查系统时间及运行状态
系统时间设定正常,运行状态信息显示正常
业务配置管理信息
检查系统业务配置管理信息
系统各功能项配置正常,符合网络安全规划设计要求
系统日志信息
检查系统日志信息
日志中无异常告警记录。
攻击日志信息
检查攻击日志信息
对攻击日志进行分析
3.3.设备季度维护操作指导
维护类别
维护项目
操作指导
参考标准
设备维护
设备机柜状态
检查安装设备的机柜安放是否平稳、安装是否牢靠
设备机柜放置水平、稳定,无晃动。
固定牢靠
设备安装状态
检查设备在机柜中的状态
设备在机柜中安装平稳、牢靠,无松动
设备散热状态
检查设备散热状态
设备周围通风良好,无杂物堆积,设备无过热现象
设备清洁状态
检查设备清洁状态
设备无明显附着灰尘,外壳及各接口无腐蚀,工作台或机柜干净整洁
季度维护
检查系统时钟
登录到系统管理页面,检查系统时钟信息
显示时间和当前准确时间的误差不超过5秒
网络连通性测试
在设备维护终端主机上ping各网段服务器或主机
在设备维护终端主机上,通过ping测试,各服务器与主机等节点的连通性正常
检查与更新系统版本
查看系统当前版本信息。
通过登录H3C网站检查下载并更新设备至最新版本
若设备运行异常,可尝试将设备版本升级至最新版本。
检查机柜清洁状态
检查机柜清洁状态
机柜无明显附着灰尘污渍,外壳及各连接处无腐蚀现象,机柜内部干净整洁
检查值班电话状态
检查值班电话拨入、拨出情况
(1)值班电话可顺利拨入
(2)值班电话可顺利拨出
(3)话机工作正常
3.4.H3C设备年度维护操作指导
维护类别
维护项目
操作指导
参考标准
接地线、地阻、业务线缆连接检查
接地线检查
检查接地线连接是否安全可靠
(1)各连接处安全、可靠、无腐蚀
(2)接地线无老化
(3)地线排无腐蚀,防腐蚀处理得当
地阻检查
使用地阻仪测试地阻
地阻值应小于1欧姆
业务线缆连接检查
业务线缆是否与设备及配线架可靠连接
(1)各连接处安全、可靠无腐蚀。
(2)线缆无老化。
业务线缆布放检查
业务线缆布放标识清晰。
(1)业务线缆布线整齐。
(2)业务线缆标识清晰,容易识别。
电源检查
UPS电源检查
检查UPS的输出电压是否稳定;市电中断之后UPS是否继续稳定供电
(1)UPS的输出电压稳定
(2)市电中断之后UPS的继续稳定供电
4.入门维护
4.1.基本概念
4.1.1.从路由器到防火墙快速入门
从网络位置上,防火墙的位置是在接入层,即介于外网和内网之间。
因此,它的路由功能相对较弱,也不推荐大家配置较多的路由条目和启动动态路由协议。
这是由防火墙的功能决定的。
因为防火墙主要的作用是为了防范外网对内网的攻击。
它的位置同样决定了它必须有强大的报文转发能力。
从概念上,防火墙与路由器的区别主要有两个,一是防火墙有安全域的概念,二是防火墙能进行除了ACL过滤的其它攻击防范。
它能提供黑名单、攻击防范、内容过滤、流量统计等路由器没有的功能。
具体功能可参见产品规格。
在配置上,SecPath采用COMWARE平台,有V3和V5两个版本。
ComWare3.4版本的防火墙操作命令与路由器是相同的。
同时SecPath还支持WEB管理,要实现WEB管理的配置方法见后面小节的说明。
V5平台的防火墙大部分功能都是Web界面完成的,命令行只提供调试功能。
4.1.2.SecPath中低端防火墙(V3平台)数据包转发流程
ØSecPath软件体系架构
SecPath中低端防火墙(V3平台)是在COMWARE3.4的基础上,对VPN、防火墙特性进行增强。
其由链路层、配置管理、数据转发、动态路由、系统服务等部分组成。
图1:
SecPath防火墙软件体系结构
SecPath防火墙从链路层收到报文后,进行快转表的查找,如果找到快转表则直接根据快转表进行转发;否则查找路由表,根据路由所定应的接口发送。
SecPath无论是在快转流程或在普通路由转发流程中,均需要处理VPN、防火墙等功能。
ØIPSecVPN报文转发流程
在转发数据报文时,根据所配置的规则(ACL)来决定是否需要加密,如果需要加密,则查找相应的加密参数(SA),如果没有找到,就触发IPSEC隧道的协商、建立,后续报文直接用协商出来的参数进行加密,并转发出去。
对于接收到数据报文,如果是加密后的报文,则根据SPI查找响应的SA,并进行解密,然后转发;如果没有找到SA则丢包。
如果是非加密报文,根据所配置的规则来决定是否是需要加密的,如果是需要加密的则丢包。
4.1.3.SecPath高端防火墙(V5平台)数据转发流程
ØSecPath高端防火墙(V5平台)基本转发流程
图2:
V5平台防火墙基本转发流程
ØSecPath高端防火墙(V5平台)报文入方向详细处理流程
图3:
V5防火墙报文入方向处理流程
ØSecPath高端防火墙(V5平台)报文出方向详细处理流程
图4:
V5防火墙报文出方向处理流程
4.1.4.如何理解和正确应用ASPF?
ASPF(ApplicationSpecificPacketFilter)是一种高级通信过滤。
它检查应用层协议信息并且监控基于连接的应用层协议状态。
对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。
ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测,以对一部分攻击加以检测和防范。
检测每一个应用层的会话,并创建一个状态表和一个临时访问控制表。
一个会话可以认为是一个TCP连接。
状态表项维护了一次会话中某一时刻会话所处的状态,用于匹配后续的发送报文,并检测会话状态的转换是否正确。
状态表在检测到第一个外发报文时创建(对于TCP,检测到SYN报文)。
临时访问控制表项在创建状态表项的时候同时创建,会话结束后删除,相当于一个扩展ACL的permit项。
它用于匹配一个会话中的所有应答报文。
对于处于半开连接状态的会话(TCPSYN),还创建半开连接表项。
如图7所示:
图5:
ASPF协议工作原理
在应用时应注意:
V3平台防火墙ASPF的应用是基于接口的,因此在应用时应确保ASPF所检测的协议发起方向和数据回包都是经过应用ASPF的接口的。
特别是当防火墙有双出口时应注意此问题。
4.1.5.防火墙的域(zone)是什么意思?
区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。
在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高。
V3平台:
安全域不存在两个具有相同安全级别的区域。
中低端防火墙缺省有Trust、Untrust、DMZ、local4个安全域,同时还可以自定义12个区域。
[SecPath]firewallzone?
DMZDMZsecurityzone
localLocalsecurityzone
nameSpecifyanewsecurityzonenameandcreateit
TrustTrustsecurityzone
UntrustUntrustsecurityzone
V5平台:
安全域可以允许两个相同安全级别的区域,缺省有Trust、Untrust、DMZ、local和Management5个安全域,同时可以自定义256个区域,并且只能在Web页面进行配置。
一般来讲,安全区域与各网络的关联遵循下面的原则:
内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。
具体来说,Trust所属接口用于连接用户要保护的网络;Untrust所属接口连接外部网络;DMZ区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从Local区域发起的连接。
相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。
4.1.6.什么是虚拟防火墙?
虚拟设备是一个逻辑概念,一台防火墙设备可以逻辑上划分为多个部分,每一个部分可以作为一台单独的防火墙(虚拟设备)。
每个虚拟设备之间相互独立,业务单独控制,一般情况下不允许相互通信,这就是所谓的“虚拟防火墙”。
由于虚拟防火墙配置复杂,一般不推荐配置。
4.1.7.什么是数据流?
所谓流(Flow),是一个单方向的概念,根据报文所携带的三元组或者五元组唯一标识。
根据IP层协议的不同,流分为四大类:
TCP流:
通过五元组唯一标识
UDP流:
通过五元组唯一标识
ICMP流:
通过三元组+ICMPtype+ICMPcode唯一标识
RAWIP流:
不属于上述协议的,通过三元组标识
4.1.8.SecPath防火墙中会话是什么意思?
所谓会话(Session),以一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方(Initiator),另外一个为会话响应方(Responder)。
通过会话所属的任一方向的流特征都可以唯一确定该会话,以及方向。
对于TCP/UDP/ICMP/RAWIP流,首包进入防火墙时开始创建会话,后续相同的流或者返回报文可以匹配该会话。
以TCP三次握手为例:
图6:
会话建立过程
如图6Trust区域的192.168.0.2:
1564访问Untrust区域的202.0.0.2的23端口,首包syn报文开始创建一个双向会话(192.168.0.2:
1564<---->202.0.0.2:
23),后续SYN_ACK和ACK报文都匹配到此会话后,完整的会话创建完成。
后续数据流如果匹配到此会话则放行通过。
4.2.产品FAQ
4.2.1.SecPath系列防火墙采用什么软件平台?
SecPath系列防火墙采用自主研发的ComWare软件平台,有V3和V5两个版本。
4.2.2.SecPath系列防火墙有哪几款产品?
V3平台:
SecPathF100-C/F100-S/F100-M/F100-A-SI/F100-A/F100-E/F1000-C/
F1000-S/F1000-A,以及SecbladeFW(1代FW插卡,插在S65/85交换机上);共九款,其中1代SecbladeFW插卡已停产。
V5平台:
SecPathF1000-E/F5000-A和SecbladeFW(二代),供三款,其
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C SecPath系列防火墙维护指导书V20 SecPath 系列 防火墙 维护 指导书 V20
![提示](https://static.bingdoc.com/images/bang_tan.gif)