<li id="i93a3"><meter id="i93a3"></meter></li>

        1. DAV首頁
          數(shù)字音視工程網(wǎng)

          微信公眾號(hào)

          數(shù)字音視工程網(wǎng)

          手機(jī)DAV

          null
          null
          null
          卓華,
          null
          null
          null
          null
          null
          null

          我的位置:

          share

          甲方喊你給防火墻做體檢

          來源:弱電工程師的圈子        編輯:小月亮    2020-07-27 17:29:10     加入收藏

          網(wǎng)絡(luò)設(shè)備巡檢,簡單的理解就是對(duì)正在運(yùn)行中的網(wǎng)絡(luò)設(shè)備,包括交換機(jī),路由器,防火墻,負(fù)載均衡等設(shè)備進(jìn)行一次例行檢查。

            網(wǎng)絡(luò)設(shè)備巡檢,簡單的理解就是對(duì)正在運(yùn)行中的網(wǎng)絡(luò)設(shè)備,包括交換機(jī),路由器,防火墻,負(fù)載均衡等設(shè)備進(jìn)行一次例行檢查。

            主要的內(nèi)容是檢查設(shè)備的健康狀況,根據(jù)檢查的結(jié)果發(fā)現(xiàn)并排除安全隱患。其實(shí),巡檢網(wǎng)絡(luò)設(shè)備也和中醫(yī)看病一樣,分為“望聞問切”。

            “望聞問切”

            望: 硬件方面,查看設(shè)備的電源、網(wǎng)線是否接好。設(shè)備硬件方面可以查看設(shè)備的指示燈,在正常的情況下,設(shè)備的指示燈應(yīng)該都顯示為綠色(特殊的雙引擎設(shè)備可能會(huì)有紅燈顯示);對(duì)于網(wǎng)線連接的情況,如果是光纖,可以看到光纖指示燈閃爍;如果是雙絞線,則應(yīng)該看到綠燈和橙燈常亮或者無規(guī)律的閃爍。

            聞: 不是讓你去用鼻子聞灰塵哈!這里的“聞”和“聽”是一個(gè)意思。主要是聽這個(gè)設(shè)備風(fēng)扇轉(zhuǎn)動(dòng)的聲音,用來確認(rèn)這個(gè)設(shè)備風(fēng)扇是不是正在運(yùn)轉(zhuǎn)。

            問: 一問客戶,近期網(wǎng)絡(luò)有沒有出現(xiàn)過斷網(wǎng)或者網(wǎng)速變慢的情況。二問設(shè)備(設(shè)備是機(jī)器,怎么問呢?),問設(shè)備的意思就是說:使用命令行將設(shè)備的關(guān)鍵指標(biāo)全部抓取下來,重點(diǎn)是CPU、內(nèi)存利用率,設(shè)備的溫度等信息。如果是交換路由設(shè)備,它運(yùn)行了路由協(xié)議,還要把路由協(xié)議(OSPF、EIGRP、BGP)的鄰居,路由表全部采集。最后,設(shè)備的板卡,模塊狀況,包括設(shè)備近三個(gè)月的日志信息也必須全部采集到位。

            切: 如果是進(jìn)入機(jī)房的現(xiàn)場(chǎng)巡檢,可以簡單的觸碰一下設(shè)備的出風(fēng)口,感受一下設(shè)備的溫度。同時(shí)也可以摸出設(shè)備是否需要進(jìn)行除塵處理,當(dāng)然啦,這個(gè)過程可能有點(diǎn)臟,不過那也是你必須做的操作,注意嚴(yán)格按照規(guī)范進(jìn)行操作,防止觸電。

            巡檢的頻率

            巡檢會(huì)根據(jù)客戶的要求,設(shè)備的重要程度等因素安排巡檢的深度或頻率。對(duì)于一般的巡檢,只需遠(yuǎn)程登錄,查看一下設(shè)備的CPU利用率,內(nèi)存利用率,設(shè)備的溫度等信息;如果是深度巡檢,則除了上述關(guān)鍵信息以外,還有日志,路由,會(huì)話,接口等信息的采集。通常情況下,一般的例行巡檢每月一次,深度巡檢一個(gè)季度一次。如果碰到重大節(jié)假日或某些重要日期時(shí),也會(huì)要求進(jìn)行一次深度巡檢。

            巡檢的注意事項(xiàng)

            進(jìn)機(jī)房對(duì)設(shè)備進(jìn)行查看時(shí),需要遵守客戶機(jī)房管理規(guī)定。如果需要用手去摸設(shè)備,注意一定動(dòng)作要輕柔,不要把網(wǎng)線,光纖碰掉。有一些客戶對(duì)防靜電這一塊要求比較嚴(yán)格,所以還需要帶著防靜電手環(huán)才能進(jìn)行觸摸操作。

            遠(yuǎn)程巡檢時(shí),基本上都是show、display之類的命令,所以巡檢時(shí)嚴(yán)禁進(jìn)入配置模式進(jìn)行操作。對(duì)于巡檢采集的命令,也是用SecureCRT的記錄日志的功能給導(dǎo)入到txt中。

            對(duì)于每一次巡檢,都必須做好巡檢記錄。如果發(fā)現(xiàn)有報(bào)錯(cuò),告警的日志信息,或者設(shè)備溫度偏高,風(fēng)扇,電源等故障,需要及時(shí)向客戶報(bào)告,并作出建議方案。

            巡檢要求實(shí)事求是,認(rèn)真負(fù)責(zé)。當(dāng)然,要注意別給自己“挖坑”!如果你帶著批判的眼光去對(duì)待巡檢操作,本來一個(gè)不是隱患的問題,都被你給客戶進(jìn)行“夸大”處理,導(dǎo)致客戶對(duì)此“心存芥蒂”,那等待你和你隊(duì)友的可就是一場(chǎng)難上加難的整改作業(yè)了。

          迪普DPTech-FW1000巡檢信息

            一般的信息包括CPU利用率,內(nèi)存利用率,設(shè)備溫度;另外還需要查詢?cè)O(shè)備當(dāng)前運(yùn)行的版本信息,序列號(hào)信息等。

            對(duì)于迪普這類的國產(chǎn)防火墻,可以使用Web界面進(jìn)行信息采集,把采集到的信息截圖帶回。也可以使用命令行進(jìn)行采集。

            迪普DPTech-FW1000系列防火墻的一般信息采集命令如下:

            下面給大家用采集到的信息,說幾個(gè)關(guān)鍵的參數(shù)

            該操作采集了防火墻的運(yùn)行環(huán)境。可以看到如下信息:

            Board Temperature為主板溫度,當(dāng)前為47攝氏度;(告警閾值為60攝氏度);

            CPU Temperature為CPU溫度,當(dāng)前為56攝氏度;(告警閾值為80攝氏度);

            Fan status:OK,表示風(fēng)扇狀態(tài)良好;

            Power[0]、[1]表示兩個(gè)電源,Normal表示狀態(tài)良好;

            這是采集到的防火墻版本信息:

            軟件型號(hào)為S11C008D014;

            硬件型號(hào)為FW1000-GC-N,已經(jīng)連續(xù)運(yùn)行了98個(gè)星期零3天15小時(shí)12分鐘;

            該防火墻CPU主頻是1000MHz,F(xiàn)lash大小為4M,CF卡大小為1G

            這是采集到的防火墻內(nèi)存,CF卡,CPU信息。內(nèi)存總體使用率為16%,CF卡的總體使用率為9%,CPU平均使用率為10.25%

            說明此時(shí)防火墻的運(yùn)行負(fù)擔(dān)并不重,不至于造成通信瓶頸。

            采集深度巡檢信息

            對(duì)于深度巡檢,除了一般信息查詢的內(nèi)容以外,還有如下內(nèi)容需要進(jìn)行查詢

            下面列出檢查命令:

            深度巡檢除了檢查設(shè)備運(yùn)行健康狀況以外,還需要對(duì)設(shè)備的配置進(jìn)行檢查,找出不符合安全規(guī)范或者存在安全隱患的配置。在一些實(shí)時(shí)性,安全性要求較高的場(chǎng)合,還會(huì)讓你進(jìn)行接口錯(cuò)包數(shù)量統(tǒng)計(jì),關(guān)閉沒有使用的物理接口。當(dāng)然還可能讓你對(duì)一些安全策略進(jìn)行優(yōu)化調(diào)整。

            抓取設(shè)備運(yùn)行配置,主要是為了檢查安全策略的配置和NAT的配置是不是符合安全規(guī)范。

            我們可以查看一下當(dāng)前防火墻的日志:

            該日志顯示了有兩個(gè)站點(diǎn)正在建立IPsec。生效的提議中,加密協(xié)議是3DES,認(rèn)證協(xié)議是HMAC。而且這個(gè)IPsec sa生存時(shí)間很短,沒有數(shù)據(jù)傳輸就馬上斷開。

            這個(gè)日志的級(jí)別是Notifacations(迪普防火墻的日志級(jí)別類似Cisco ASA)。

            這里是針對(duì)防火墻上的Local-User(本地登錄用戶)和Local-Group(本地組)進(jìn)行了檢查。這里存在一個(gè)名為“admin”的用戶,此為DPTech-FW1000的默認(rèn)用戶名,不能被刪除。

            所以建議平時(shí)的管理操作不用admin這個(gè)用戶,并且為admin用戶設(shè)置一個(gè)復(fù)雜度較高的密碼。

            巡檢報(bào)告的編寫

            每一次對(duì)設(shè)備進(jìn)行巡檢并采集配置以后,除了一些緊急的故障需要立刻告知客戶進(jìn)行處理以外,其他的信息可以編入巡檢報(bào)告中,并針對(duì)巡檢的結(jié)果給出針對(duì)性的建議。如果在巡檢采集的信息中發(fā)現(xiàn)有安全隱患,則必須在巡檢報(bào)告中體現(xiàn)出來。

            不同的客戶可能會(huì)有不同的巡檢報(bào)告模板(大部分情況下巡檢報(bào)告不用你親自做,你直接拿現(xiàn)成的模板來套),但是不管是怎么樣的巡檢報(bào)告模板,都分為以下幾大塊內(nèi)容

            a.硬件層面

            包括設(shè)備的電源、風(fēng)扇模塊是否正常運(yùn)轉(zhuǎn),如果是雙機(jī)設(shè)備,則查看雙機(jī)運(yùn)行是否正常。同時(shí),記錄機(jī)房的溫度,濕度是不是滿足要求等。另外,多電源設(shè)備,要確保電源接在不同的UPS插座上。整機(jī)指示燈的狀態(tài)。

            b.系統(tǒng)層面

            設(shè)備當(dāng)前運(yùn)行的操作系統(tǒng)是否過于老舊,設(shè)備的系統(tǒng)日志是否設(shè)置,時(shí)鐘是否顯示正確。設(shè)備Flash卡,CF卡是否被正常讀取。

            c.安全層面

            包括本地登錄管理,用戶名和密碼設(shè)置,Telnet/SSH設(shè)置,安全策略的限制是否滿足安全的需求。

            d.匯總信息

            將巡檢的結(jié)果做一個(gè)匯總信息,把有問題的設(shè)備標(biāo)記出來,并且用簡短的備注說明該設(shè)備有什么問題,嚴(yán)重程度如何。

            針對(duì)不同的檢查項(xiàng)目,應(yīng)該設(shè)置不同的表格,表示當(dāng)前設(shè)備的檢查情況。巡檢報(bào)告的基本要求就是簡明扼要,能用句子的不用段落,能用詞語表示的不用句子。

            一般信息的記錄表格

            摘要表格

            在這個(gè)摘要表格中主要體現(xiàn)以下幾個(gè)信息:

            1.你巡檢了哪些設(shè)備;

            2.這些設(shè)備承擔(dān)了哪些業(yè)務(wù),比如數(shù)據(jù)中心DMZ區(qū)防火墻,總部大樓服務(wù)器區(qū)防火墻;

            3.這些設(shè)備當(dāng)前運(yùn)行狀態(tài)正常嗎?一般情況下,沒有發(fā)現(xiàn)可能導(dǎo)致斷網(wǎng)的情形都寫正常;

            4.建議/已采取的行動(dòng),發(fā)現(xiàn)設(shè)備運(yùn)行不正常且已經(jīng)威脅到網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),你可以寫建議或準(zhǔn)備采取什么行動(dòng)。

            以設(shè)備為單元的基本信息表格

            以設(shè)備為單元的基本信息表格

            1.列出設(shè)備名稱和序列號(hào);

            2.簡短的描述巡檢的內(nèi)容,和故障的情況。

            3.列出關(guān)鍵指標(biāo),CPU、內(nèi)存利用率,電源、風(fēng)扇、NAT、ACL狀態(tài)

            4.如果有故障,寫出故障類型和原因,建議執(zhí)行什么動(dòng)作。

            如果是深度巡檢報(bào)告,則會(huì)以檢查內(nèi)容為單元來制作表格

            以溫度為單元的巡檢結(jié)果表格。

            根據(jù)設(shè)備啟動(dòng)信息(運(yùn)行時(shí)間)為單元的巡檢結(jié)果表格

            對(duì)于檢查出來的問題,簡單的描述出你的整改建議:

            巡檢雖然技術(shù)含量不算高,但是卻最能反映出一個(gè)網(wǎng)絡(luò)工程師做事的細(xì)心程度,也能考驗(yàn)出一個(gè)工程師的責(zé)任心。而且,對(duì)于一些有上進(jìn)心的網(wǎng)絡(luò)工程師來說,巡檢卻是學(xué)習(xí)技術(shù)最好的途徑。因?yàn)榻?jīng)過一次巡檢,你都把設(shè)備的配置命令采集走了,這完全可以當(dāng)成是配置模板啊!

          免責(zé)聲明:本文來源于弱電工程師的圈子,本文僅代表作者個(gè)人觀點(diǎn),本站不作任何保證和承諾,若有任何疑問,請(qǐng)與本文作者聯(lián)系或有侵權(quán)行為聯(lián)系本站刪除。
          掃一掃關(guān)注數(shù)字音視工程網(wǎng)公眾號(hào)

          相關(guān)閱讀related

            評(píng)論comment

             
            驗(yàn)證碼:
            您還能輸入500
              成人69视频,狠狠天天,91尤物在线视频,国产毛片一级