甲方喊你給防火墻做體檢
來源:弱電工程師的圈子 編輯:小月亮 2020-07-27 17:29:10 加入收藏
網(wǎng)絡(luò)設(shè)備巡檢,簡單的理解就是對(duì)正在運(yùn)行中的網(wǎng)絡(luò)設(shè)備,包括交換機(jī),路由器,防火墻,負(fù)載均衡等設(shè)備進(jìn)行一次例行檢查。
主要的內(nèi)容是檢查設(shè)備的健康狀況,根據(jù)檢查的結(jié)果發(fā)現(xiàn)并排除安全隱患。其實(shí),巡檢網(wǎng)絡(luò)設(shè)備也和中醫(yī)看病一樣,分為“望聞問切”。
“望聞問切”
望: 硬件方面,查看設(shè)備的電源、網(wǎng)線是否接好。設(shè)備硬件方面可以查看設(shè)備的指示燈,在正常的情況下,設(shè)備的指示燈應(yīng)該都顯示為綠色(特殊的雙引擎設(shè)備可能會(huì)有紅燈顯示);對(duì)于網(wǎng)線連接的情況,如果是光纖,可以看到光纖指示燈閃爍;如果是雙絞線,則應(yīng)該看到綠燈和橙燈常亮或者無規(guī)律的閃爍。
聞: 不是讓你去用鼻子聞灰塵哈!這里的“聞”和“聽”是一個(gè)意思。主要是聽這個(gè)設(shè)備風(fēng)扇轉(zhuǎn)動(dòng)的聲音,用來確認(rèn)這個(gè)設(shè)備風(fēng)扇是不是正在運(yùn)轉(zhuǎn)。
問: 一問客戶,近期網(wǎng)絡(luò)有沒有出現(xiàn)過斷網(wǎng)或者網(wǎng)速變慢的情況。二問設(shè)備(設(shè)備是機(jī)器,怎么問呢?),問設(shè)備的意思就是說:使用命令行將設(shè)備的關(guān)鍵指標(biāo)全部抓取下來,重點(diǎn)是CPU、內(nèi)存利用率,設(shè)備的溫度等信息。如果是交換路由設(shè)備,它運(yùn)行了路由協(xié)議,還要把路由協(xié)議(OSPF、EIGRP、BGP)的鄰居,路由表全部采集。最后,設(shè)備的板卡,模塊狀況,包括設(shè)備近三個(gè)月的日志信息也必須全部采集到位。
切: 如果是進(jìn)入機(jī)房的現(xiàn)場(chǎng)巡檢,可以簡單的觸碰一下設(shè)備的出風(fēng)口,感受一下設(shè)備的溫度。同時(shí)也可以摸出設(shè)備是否需要進(jìn)行除塵處理,當(dāng)然啦,這個(gè)過程可能有點(diǎn)臟,不過那也是你必須做的操作,注意嚴(yán)格按照規(guī)范進(jìn)行操作,防止觸電。
巡檢的頻率
巡檢會(huì)根據(jù)客戶的要求,設(shè)備的重要程度等因素安排巡檢的深度或頻率。對(duì)于一般的巡檢,只需遠(yuǎn)程登錄,查看一下設(shè)備的CPU利用率,內(nèi)存利用率,設(shè)備的溫度等信息;如果是深度巡檢,則除了上述關(guān)鍵信息以外,還有日志,路由,會(huì)話,接口等信息的采集。通常情況下,一般的例行巡檢每月一次,深度巡檢一個(gè)季度一次。如果碰到重大節(jié)假日或某些重要日期時(shí),也會(huì)要求進(jìn)行一次深度巡檢。
巡檢的注意事項(xiàng)
進(jìn)機(jī)房對(duì)設(shè)備進(jìn)行查看時(shí),需要遵守客戶機(jī)房管理規(guī)定。如果需要用手去摸設(shè)備,注意一定動(dòng)作要輕柔,不要把網(wǎng)線,光纖碰掉。有一些客戶對(duì)防靜電這一塊要求比較嚴(yán)格,所以還需要帶著防靜電手環(huán)才能進(jìn)行觸摸操作。
遠(yuǎn)程巡檢時(shí),基本上都是show、display之類的命令,所以巡檢時(shí)嚴(yán)禁進(jìn)入配置模式進(jìn)行操作。對(duì)于巡檢采集的命令,也是用SecureCRT的記錄日志的功能給導(dǎo)入到txt中。
對(duì)于每一次巡檢,都必須做好巡檢記錄。如果發(fā)現(xiàn)有報(bào)錯(cuò),告警的日志信息,或者設(shè)備溫度偏高,風(fēng)扇,電源等故障,需要及時(shí)向客戶報(bào)告,并作出建議方案。
巡檢要求實(shí)事求是,認(rèn)真負(fù)責(zé)。當(dāng)然,要注意別給自己“挖坑”!如果你帶著批判的眼光去對(duì)待巡檢操作,本來一個(gè)不是隱患的問題,都被你給客戶進(jìn)行“夸大”處理,導(dǎo)致客戶對(duì)此“心存芥蒂”,那等待你和你隊(duì)友的可就是一場(chǎng)難上加難的整改作業(yè)了。
迪普DPTech-FW1000巡檢信息
一般的信息包括CPU利用率,內(nèi)存利用率,設(shè)備溫度;另外還需要查詢?cè)O(shè)備當(dāng)前運(yùn)行的版本信息,序列號(hào)信息等。
對(duì)于迪普這類的國產(chǎn)防火墻,可以使用Web界面進(jìn)行信息采集,把采集到的信息截圖帶回。也可以使用命令行進(jìn)行采集。
迪普DPTech-FW1000系列防火墻的一般信息采集命令如下:
下面給大家用采集到的信息,說幾個(gè)關(guān)鍵的參數(shù)
該操作采集了防火墻的運(yùn)行環(huán)境。可以看到如下信息:
Board Temperature為主板溫度,當(dāng)前為47攝氏度;(告警閾值為60攝氏度);
CPU Temperature為CPU溫度,當(dāng)前為56攝氏度;(告警閾值為80攝氏度);
Fan status:OK,表示風(fēng)扇狀態(tài)良好;
Power[0]、[1]表示兩個(gè)電源,Normal表示狀態(tài)良好;
這是采集到的防火墻版本信息:
軟件型號(hào)為S11C008D014;
硬件型號(hào)為FW1000-GC-N,已經(jīng)連續(xù)運(yùn)行了98個(gè)星期零3天15小時(shí)12分鐘;
該防火墻CPU主頻是1000MHz,F(xiàn)lash大小為4M,CF卡大小為1G
這是采集到的防火墻內(nèi)存,CF卡,CPU信息。內(nèi)存總體使用率為16%,CF卡的總體使用率為9%,CPU平均使用率為10.25%
說明此時(shí)防火墻的運(yùn)行負(fù)擔(dān)并不重,不至于造成通信瓶頸。
采集深度巡檢信息
對(duì)于深度巡檢,除了一般信息查詢的內(nèi)容以外,還有如下內(nèi)容需要進(jìn)行查詢
下面列出檢查命令:
深度巡檢除了檢查設(shè)備運(yùn)行健康狀況以外,還需要對(duì)設(shè)備的配置進(jìn)行檢查,找出不符合安全規(guī)范或者存在安全隱患的配置。在一些實(shí)時(shí)性,安全性要求較高的場(chǎng)合,還會(huì)讓你進(jìn)行接口錯(cuò)包數(shù)量統(tǒng)計(jì),關(guān)閉沒有使用的物理接口。當(dāng)然還可能讓你對(duì)一些安全策略進(jìn)行優(yōu)化調(diào)整。
抓取設(shè)備運(yùn)行配置,主要是為了檢查安全策略的配置和NAT的配置是不是符合安全規(guī)范。
我們可以查看一下當(dāng)前防火墻的日志:
該日志顯示了有兩個(gè)站點(diǎn)正在建立IPsec。生效的提議中,加密協(xié)議是3DES,認(rèn)證協(xié)議是HMAC。而且這個(gè)IPsec sa生存時(shí)間很短,沒有數(shù)據(jù)傳輸就馬上斷開。
這個(gè)日志的級(jí)別是Notifacations(迪普防火墻的日志級(jí)別類似Cisco ASA)。
這里是針對(duì)防火墻上的Local-User(本地登錄用戶)和Local-Group(本地組)進(jìn)行了檢查。這里存在一個(gè)名為“admin”的用戶,此為DPTech-FW1000的默認(rèn)用戶名,不能被刪除。
所以建議平時(shí)的管理操作不用admin這個(gè)用戶,并且為admin用戶設(shè)置一個(gè)復(fù)雜度較高的密碼。
巡檢報(bào)告的編寫
每一次對(duì)設(shè)備進(jìn)行巡檢并采集配置以后,除了一些緊急的故障需要立刻告知客戶進(jìn)行處理以外,其他的信息可以編入巡檢報(bào)告中,并針對(duì)巡檢的結(jié)果給出針對(duì)性的建議。如果在巡檢采集的信息中發(fā)現(xiàn)有安全隱患,則必須在巡檢報(bào)告中體現(xiàn)出來。
不同的客戶可能會(huì)有不同的巡檢報(bào)告模板(大部分情況下巡檢報(bào)告不用你親自做,你直接拿現(xiàn)成的模板來套),但是不管是怎么樣的巡檢報(bào)告模板,都分為以下幾大塊內(nèi)容
a.硬件層面
包括設(shè)備的電源、風(fēng)扇模塊是否正常運(yùn)轉(zhuǎn),如果是雙機(jī)設(shè)備,則查看雙機(jī)運(yùn)行是否正常。同時(shí),記錄機(jī)房的溫度,濕度是不是滿足要求等。另外,多電源設(shè)備,要確保電源接在不同的UPS插座上。整機(jī)指示燈的狀態(tài)。
b.系統(tǒng)層面
設(shè)備當(dāng)前運(yùn)行的操作系統(tǒng)是否過于老舊,設(shè)備的系統(tǒng)日志是否設(shè)置,時(shí)鐘是否顯示正確。設(shè)備Flash卡,CF卡是否被正常讀取。
c.安全層面
包括本地登錄管理,用戶名和密碼設(shè)置,Telnet/SSH設(shè)置,安全策略的限制是否滿足安全的需求。
d.匯總信息
將巡檢的結(jié)果做一個(gè)匯總信息,把有問題的設(shè)備標(biāo)記出來,并且用簡短的備注說明該設(shè)備有什么問題,嚴(yán)重程度如何。
針對(duì)不同的檢查項(xiàng)目,應(yīng)該設(shè)置不同的表格,表示當(dāng)前設(shè)備的檢查情況。巡檢報(bào)告的基本要求就是簡明扼要,能用句子的不用段落,能用詞語表示的不用句子。
一般信息的記錄表格
摘要表格
在這個(gè)摘要表格中主要體現(xiàn)以下幾個(gè)信息:
1.你巡檢了哪些設(shè)備;
2.這些設(shè)備承擔(dān)了哪些業(yè)務(wù),比如數(shù)據(jù)中心DMZ區(qū)防火墻,總部大樓服務(wù)器區(qū)防火墻;
3.這些設(shè)備當(dāng)前運(yùn)行狀態(tài)正常嗎?一般情況下,沒有發(fā)現(xiàn)可能導(dǎo)致斷網(wǎng)的情形都寫正常;
4.建議/已采取的行動(dòng),發(fā)現(xiàn)設(shè)備運(yùn)行不正常且已經(jīng)威脅到網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),你可以寫建議或準(zhǔn)備采取什么行動(dòng)。
以設(shè)備為單元的基本信息表格
以設(shè)備為單元的基本信息表格
1.列出設(shè)備名稱和序列號(hào);
2.簡短的描述巡檢的內(nèi)容,和故障的情況。
3.列出關(guān)鍵指標(biāo),CPU、內(nèi)存利用率,電源、風(fēng)扇、NAT、ACL狀態(tài)
4.如果有故障,寫出故障類型和原因,建議執(zhí)行什么動(dòng)作。
如果是深度巡檢報(bào)告,則會(huì)以檢查內(nèi)容為單元來制作表格
以溫度為單元的巡檢結(jié)果表格。
根據(jù)設(shè)備啟動(dòng)信息(運(yùn)行時(shí)間)為單元的巡檢結(jié)果表格
對(duì)于檢查出來的問題,簡單的描述出你的整改建議:
巡檢雖然技術(shù)含量不算高,但是卻最能反映出一個(gè)網(wǎng)絡(luò)工程師做事的細(xì)心程度,也能考驗(yàn)出一個(gè)工程師的責(zé)任心。而且,對(duì)于一些有上進(jìn)心的網(wǎng)絡(luò)工程師來說,巡檢卻是學(xué)習(xí)技術(shù)最好的途徑。因?yàn)榻?jīng)過一次巡檢,你都把設(shè)備的配置命令采集走了,這完全可以當(dāng)成是配置模板啊!
評(píng)論comment