浅析防火墙的使用及维护.doc

浅析防火墙的使用及维护 周泉 淮北矿业集团通讯计算机公司处 摘　要: 关键词：Abstract: The fire wall has played a very important role on the internet, so it requires assuring normal operation all the time. This paper presents how to do the daily maintenance work of the fire wall and analyzes some ordinary network faults, So as to help the network administrator get a better management for the daily maintenance work. Keywords: fire wall，safeguard，Network malfunction 一、综述 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。[1] 二、 防火墙日常维护 围绕防火墙可靠运行和出现故障时能够快速恢复为目标，我单位所使用的防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。 常规维护： 在防火墙的日常维护中，通过对防火墙进行健康检查，能够实时了解防火墙运行状况，检测相关告警信息，提前发现并消除网络异常和潜在故障隐患，以确保设备始终处于正常工作状态。 1、日常维护过程中，需要重点检查以下几个关键信息： 连接数：如当前的连接数达到或接近系统最大值，将导致新会话不能及时建立连接，此时已经建立连接的通讯虽不会造成影响；但仅当现有的连接拆除后，释放出来的资源才可供新建连接使用。维护建议：当当前连接数正常使用至85％时，需要考虑设备容量限制并及时升级，以避免因设备容量不足影响业务拓展。 CPU: 该防火墙是高性能的防火墙，正常工作状态下防火墙CPU使用率应保持在10%以下，如出现CPU利用率过高情况需给予足够重视，应检查连接数使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关，可通过正确设置系统参数、攻击防护的对应选项进行防范。 内存: 该防火墙设备型号 软件版本 序列号 设备用途 XX区防火墙 设备状态 主用/备用 工作模式 透明/路由/混合 检查对象 相关信息 结果 备注 连接数 CPU 内存连接数Cpu 内存设备型号 软件版本 设备序列号 设备用途 XX区防火墙 设备状态 主用/备用 工作模式 透明/路由/混合 保修期限 供应商联系方式 配置变更 变更原因 变更内容 结果 负责人 事件处理 事件现象 处理过程 结果 负责人 三、策略配置与优化 防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。 策略配置与维护需要注意地方有： 试运行阶段最后一条策略定义为所有访问允许并记录日志，以便在不影响业务的情况下找漏补遗；当确定把所有的业务流量都调查清楚并放行后，可将最后一条定义为所有访问禁止并记录日志，以便在试运行阶段观察非法流量行踪。试运行阶段结束后，再将最后一条“禁止所有访问”策略删除。 防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作，但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用，或仅在必要时采用。 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。 策略用于区域间单方向网