甲方喊你給防火墻做體檢

　　網(wǎng)絡(luò )設備巡檢，簡(jiǎn)單的理解就是對正在運行中的網(wǎng)絡(luò )設備，包括交換機，路由器，防火墻，負載均衡等設備進(jìn)行一次例行檢查。

　　主要的內容是檢查設備的健康狀況，根據檢查的結果發(fā)現并排除安全隱患。其實(shí)，巡檢網(wǎng)絡(luò )設備也和中醫看病一樣，分為“望聞問(wèn)切”。

　　“望聞問(wèn)切”

　　望： 硬件方面，查看設備的電源、網(wǎng)線(xiàn)是否接好。設備硬件方面可以查看設備的指示燈，在正常的情況下，設備的指示燈應該都顯示為綠色(特殊的雙引擎設備可能會(huì )有紅燈顯示);對于網(wǎng)線(xiàn)連接的情況，如果是光纖，可以看到光纖指示燈閃爍;如果是雙絞線(xiàn)，則應該看到綠燈和橙燈常亮或者無(wú)規律的閃爍。

　　聞： 不是讓你去用鼻子聞灰塵哈!這里的“聞”和“聽(tīng)”是一個(gè)意思。主要是聽(tīng)這個(gè)設備風(fēng)扇轉動(dòng)的聲音，用來(lái)確認這個(gè)設備風(fēng)扇是不是正在運轉。

　　問(wèn)： 一問(wèn)客戶(hù)，近期網(wǎng)絡(luò )有沒(méi)有出現過(guò)斷網(wǎng)或者網(wǎng)速變慢的情況。二問(wèn)設備(設備是機器，怎么問(wèn)呢?)，問(wèn)設備的意思就是說(shuō)：使用命令行將設備的關(guān)鍵指標全部抓取下來(lái)，重點(diǎn)是CPU、內存利用率，設備的溫度等信息。如果是交換路由設備，它運行了路由協(xié)議，還要把路由協(xié)議(OSPF、EIGRP、BGP)的鄰居，路由表全部采集。最后，設備的板卡，模塊狀況，包括設備近三個(gè)月的日志信息也必須全部采集到位。

　　切： 如果是進(jìn)入機房的現場(chǎng)巡檢，可以簡(jiǎn)單的觸碰一下設備的出風(fēng)口，感受一下設備的溫度。同時(shí)也可以摸出設備是否需要進(jìn)行除塵處理，當然啦，這個(gè)過(guò)程可能有點(diǎn)臟，不過(guò)那也是你必須做的操作，注意嚴格按照規范進(jìn)行操作，防止觸電。

　　巡檢的頻率

　　巡檢會(huì )根據客戶(hù)的要求，設備的重要程度等因素安排巡檢的深度或頻率。對于一般的巡檢，只需遠程登錄，查看一下設備的CPU利用率，內存利用率，設備的溫度等信息;如果是深度巡檢，則除了上述關(guān)鍵信息以外，還有日志，路由，會(huì )話(huà)，接口等信息的采集。通常情況下，一般的例行巡檢每月一次，深度巡檢一個(gè)季度一次。如果碰到重大節假日或某些重要日期時(shí)，也會(huì )要求進(jìn)行一次深度巡檢。

　　巡檢的注意事項

　　進(jìn)機房對設備進(jìn)行查看時(shí)，需要遵守客戶(hù)機房管理規定。如果需要用手去摸設備，注意一定動(dòng)作要輕柔，不要把網(wǎng)線(xiàn)，光纖碰掉。有一些客戶(hù)對防靜電這一塊要求比較嚴格，所以還需要帶著(zhù)防靜電手環(huán)才能進(jìn)行觸摸操作。

　　遠程巡檢時(shí)，基本上都是show、display之類(lèi)的命令，所以巡檢時(shí)嚴禁進(jìn)入配置模式進(jìn)行操作。對于巡檢采集的命令，也是用SecureCRT的記錄日志的功能給導入到txt中。

　　對于每一次巡檢，都必須做好巡檢記錄。如果發(fā)現有報錯，告警的日志信息，或者設備溫度偏高，風(fēng)扇，電源等故障，需要及時(shí)向客戶(hù)報告，并作出建議方案。

　　巡檢要求實(shí)事求是，認真負責。當然，要注意別給自己“挖坑”!如果你帶著(zhù)批判的眼光去對待巡檢操作，本來(lái)一個(gè)不是隱患的問(wèn)題，都被你給客戶(hù)進(jìn)行“夸大”處理，導致客戶(hù)對此“心存芥蒂”，那等待你和你隊友的可就是一場(chǎng)難上加難的整改作業(yè)了。

迪普DPTech-FW1000巡檢信息

　　一般的信息包括CPU利用率，內存利用率，設備溫度;另外還需要查詢(xún)設備當前運行的版本信息，序列號信息等。

　　對于迪普這類(lèi)的國產(chǎn)防火墻，可以使用Web界面進(jìn)行信息采集，把采集到的信息截圖帶回。也可以使用命令行進(jìn)行采集。

　　迪普DPTech-FW1000系列防火墻的一般信息采集命令如下：

　　下面給大家用采集到的信息，說(shuō)幾個(gè)關(guān)鍵的參數

　　該操作采集了防火墻的運行環(huán)境?？梢钥吹饺缦滦畔ⅲ?/p>

　　Board Temperature為主板溫度，當前為47攝氏度;(告警閾值為60攝氏度);

　　CPU Temperature為CPU溫度，當前為56攝氏度;(告警閾值為80攝氏度);

　　Fan status：OK，表示風(fēng)扇狀態(tài)良好;

　　Power[0]、[1]表示兩個(gè)電源，Normal表示狀態(tài)良好;

　　這是采集到的防火墻版本信息：

　　軟件型號為S11C008D014;

　　硬件型號為FW1000-GC-N，已經(jīng)連續運行了98個(gè)星期零3天15小時(shí)12分鐘;

　　該防火墻CPU主頻是1000MHz，Flash大小為4M，CF卡大小為1G

　　這是采集到的防火墻內存，CF卡，CPU信息。內存總體使用率為16%，CF卡的總體使用率為9%，CPU平均使用率為10.25%

　　說(shuō)明此時(shí)防火墻的運行負擔并不重，不至于造成通信瓶頸。

　　采集深度巡檢信息

　　對于深度巡檢，除了一般信息查詢(xún)的內容以外，還有如下內容需要進(jìn)行查詢(xún)

　　下面列出檢查命令：

　　深度巡檢除了檢查設備運行健康狀況以外，還需要對設備的配置進(jìn)行檢查，找出不符合安全規范或者存在安全隱患的配置。在一些實(shí)時(shí)性，安全性要求較高的場(chǎng)合，還會(huì )讓你進(jìn)行接口錯包數量統計，關(guān)閉沒(méi)有使用的物理接口。當然還可能讓你對一些安全策略進(jìn)行優(yōu)化調整。

　　抓取設備運行配置，主要是為了檢查安全策略的配置和NAT的配置是不是符合安全規范。

　　我們可以查看一下當前防火墻的日志：

　　該日志顯示了有兩個(gè)站點(diǎn)正在建立IPsec。生效的提議中，加密協(xié)議是3DES，認證協(xié)議是HMAC。而且這個(gè)IPsec sa生存時(shí)間很短，沒(méi)有數據傳輸就馬上斷開(kāi)。

　　這個(gè)日志的級別是Notifacations(迪普防火墻的日志級別類(lèi)似Cisco ASA)。

　　這里是針對防火墻上的Local-User(本地登錄用戶(hù))和Local-Group(本地組)進(jìn)行了檢查。這里存在一個(gè)名為“admin”的用戶(hù)，此為DPTech-FW1000的默認用戶(hù)名，不能被刪除。

　　所以建議平時(shí)的管理操作不用admin這個(gè)用戶(hù)，并且為admin用戶(hù)設置一個(gè)復雜度較高的密碼。

　　巡檢報告的編寫(xiě)

　　每一次對設備進(jìn)行巡檢并采集配置以后，除了一些緊急的故障需要立刻告知客戶(hù)進(jìn)行處理以外，其他的信息可以編入巡檢報告中，并針對巡檢的結果給出針對性的建議。如果在巡檢采集的信息中發(fā)現有安全隱患，則必須在巡檢報告中體現出來(lái)。

　　不同的客戶(hù)可能會(huì )有不同的巡檢報告模板(大部分情況下巡檢報告不用你親自做，你直接拿現成的模板來(lái)套)，但是不管是怎么樣的巡檢報告模板，都分為以下幾大塊內容

　　a.硬件層面

　　包括設備的電源、風(fēng)扇模塊是否正常運轉，如果是雙機設備，則查看雙機運行是否正常。同時(shí)，記錄機房的溫度，濕度是不是滿(mǎn)足要求等。另外，多電源設備，要確保電源接在不同的UPS插座上。整機指示燈的狀態(tài)。

　　b.系統層面

　　設備當前運行的操作系統是否過(guò)于老舊，設備的系統日志是否設置，時(shí)鐘是否顯示正確。設備Flash卡，CF卡是否被正常讀取。

　　c.安全層面

　　包括本地登錄管理，用戶(hù)名和密碼設置，Telnet/SSH設置，安全策略的限制是否滿(mǎn)足安全的需求。

　　d.匯總信息

　　將巡檢的結果做一個(gè)匯總信息，把有問(wèn)題的設備標記出來(lái)，并且用簡(jiǎn)短的備注說(shuō)明該設備有什么問(wèn)題，嚴重程度如何。

　　針對不同的檢查項目，應該設置不同的表格，表示當前設備的檢查情況。巡檢報告的基本要求就是簡(jiǎn)明扼要，能用句子的不用段落，能用詞語(yǔ)表示的不用句子。

　　一般信息的記錄表格

　　摘要表格

　　在這個(gè)摘要表格中主要體現以下幾個(gè)信息：

　　1.你巡檢了哪些設備;

　　2.這些設備承擔了哪些業(yè)務(wù)，比如數據中心DMZ區防火墻，總部大樓服務(wù)器區防火墻;

　　3.這些設備當前運行狀態(tài)正常嗎?一般情況下，沒(méi)有發(fā)現可能導致斷網(wǎng)的情形都寫(xiě)正常;

　　4.建議/已采取的行動(dòng)，發(fā)現設備運行不正常且已經(jīng)威脅到網(wǎng)絡(luò )的正常運轉，你可以寫(xiě)建議或準備采取什么行動(dòng)。

　　以設備為單元的基本信息表格

　　以設備為單元的基本信息表格

　　1.列出設備名稱(chēng)和序列號;

　　2.簡(jiǎn)短的描述巡檢的內容，和故障的情況。

　　3.列出關(guān)鍵指標，CPU、內存利用率，電源、風(fēng)扇、NAT、ACL狀態(tài)

　　4.如果有故障，寫(xiě)出故障類(lèi)型和原因，建議執行什么動(dòng)作。

　　如果是深度巡檢報告，則會(huì )以檢查內容為單元來(lái)制作表格

　　以溫度為單元的巡檢結果表格。

　　根據設備啟動(dòng)信息(運行時(shí)間)為單元的巡檢結果表格

　　對于檢查出來(lái)的問(wèn)題，簡(jiǎn)單的描述出你的整改建議：

　　巡檢雖然技術(shù)含量不算高，但是卻最能反映出一個(gè)網(wǎng)絡(luò )工程師做事的細心程度，也能考驗出一個(gè)工程師的責任心。而且，對于一些有上進(jìn)心的網(wǎng)絡(luò )工程師來(lái)說(shuō)，巡檢卻是學(xué)習技術(shù)最好的途徑。因為經(jīng)過(guò)一次巡檢，你都把設備的配置命令采集走了，這完全可以當成是配置模板啊!