防火墙国产CPU_甲方喊你给防火墙做体检_0基础网络安全自学

防火墙国产CPU_甲方喊你给防火墙做体检_0基础网络安全自学

网络设备巡检，简单的理解就是对正在运行中的网络设备，包括交换机，路由器，防火墙，负载均衡等设备进行一次例行检查。

主要的内容是检查设备的健康状况，根据检查的结果发现并排除安全隐患。其实，巡检网络设备也和中医看病一样，分为“望闻问切”。

“望闻问切”

望：硬件方面，查看设备的电源、网线是否接好。设备硬件方面可以查看设备的指示灯，在正常的情况下，设备的指示灯应该都显示为绿色（特殊的双引擎设备可能会有红灯显示）；对于网线连接的情况，如果是光纤，可以看到光纤指示灯闪烁；如果是双绞线，则应该看到绿灯和橙灯常亮或者无规律的闪烁。

闻：不是让你去用鼻子闻灰尘哈！这里的“闻”和“听”是一个意思。主要是听这个设备风扇转动的声音，用来确认这个设备风扇是不是正在运转。

问：一问客户，近期网络有没有出现过断网或者网速变慢的情况。二问设备（设备是机器，怎么问呢？），问设备的意思就是说：使用命令行将设备的关键指标全部抓取下来，重点是CPU、内存利用率，设备的温度等信息。如果是交换路由设备，它运行了路由协议，还要把路由协议（OSPF、EIGRP、BGP）的邻居，路由表全部采集。最后，设备的板卡，模块状况，包括设备近三个月的日志信息也必须全部采集到位。

切：如果是进入机房的现场巡检，可以简单的触碰一下设备的出风口，感受一下设备的温度。同时也可以摸出设备是否需要进行除尘处理，当然啦，这个过程可能有点脏，不过那也是你必须做的操作，注意严格按照规范进行操作，防止触电。

巡检的频率

巡检会根据客户的要求，设备的重要程度等因素安排巡检的深度或频率。对于一般的巡检，只需远程登录，查看一下设备的CPU利用率，内存利用率，设备的温度等信息；如果是深度巡检，则除了上述关键信息以外，还有日志，路由，会话，接口等信息的采集。通常情况下，一般的例行巡检每月一次，深度巡检一个季度一次。如果碰到重大节假日或某些重要日期时，也会要求进行一次深度巡检。

巡检的注意事项

进机房对设备进行查看时，需要遵守客户机房管理规定。如果需要用手去摸设备，注意一定动作要轻柔，不要把网线，光纤碰掉。有一些客户对防静电这一块要求比较严格，所以还需要带着防静电手环才能进行触摸操作。

远程巡检时，基本上都是show、之类的命令，所以巡检时严禁进入配置模式进行操作。对于巡检采集的命令，也是用的记录日志的功能给导入到txt中。

对于每一次巡检，都必须做好巡检记录。如果发现有报错，告警的日志信息，或者设备温度偏高，风扇，电源等故障，需要及时向客户报告，并作出建议方案。

巡检要求实事求是，认真负责。当然，要注意别给自己“挖坑”！如果你带着批判的眼光去对待巡检操作，本来一个不是隐患的问题，都被你给客户进行“夸大”处理，导致客户对此“心存芥蒂”，那等待你和你队友的可就是一场难上加难的整改作业了。

迪普-巡检信息

一般的信息包括CPU利用率，内存利用率，设备温度；另外还需要查询设备当前运行的版本信息，序列号信息等。

对于迪普这类的国产防火墙，可以使用Web界面进行信息采集，把采集到的信息截图带回。也可以使用命令行进行采集。

迪普-系列防火墙的一般信息采集命令如下：

下面给大家用采集到的信息，说几个关键的参数

该操作采集了防火墙的运行环境。可以看到如下信息：

Board 为主板温度，当前为47摄氏度；（告警阈值为60摄氏度）；

CPU 为CPU温度，当前为56摄氏度；（告警阈值为80摄氏度）；

Fan ：OK，表示风扇状态良好；

Power[0]、[1]表示两个电源，表示状态良好；

这是采集到的防火墙版本信息：

软件型号为；

硬件型号为-GC-N，已经连续运行了98个星期零3天15小时12分钟；

该防火墙CPU主频是1000MHz，Flash大小为4M，CF卡大小为1G

这是采集到的防火墙内存，CF卡，CPU信息。内存总体使用率为16%，CF卡的总体使用率为9%，CPU平均使用率为10.25%
说明此时防火墙的运行负担并不重，不至于造成通信瓶颈。

采集深度巡检信息

对于深度巡检，除了一般信息查询的内容以外，还有如下内容需要进行查询

下面列出检查命令：

深度巡检除了检查设备运行健康状况以外，还需要对设备的配置进行检查，找出不符合安全规范或者存在安全隐患的配置。在一些实时性，安全性要求较高的场合，还会让你进行接口错包数量统计，关闭没有使用的物理接口。当然还可能让你对一些安全策略进行优化调整。

抓取设备运行配置，主要是为了检查安全策略的配置和NAT的配置是不是符合安全规范。

我们可以查看一下当前防火墙的日志：

该日志显示了有两个站点正在建立IPsec。生效的提议中，加密协议是3DES，认证协议是HMAC。而且这个IPsec sa生存时间很短，没有数据传输就马上断开。

这个日志的级别是（迪普防火墙的日志级别类似Cisco ASA）。

这里是针对防火墙上的Local-User（本地登录用户）和Local-Group（本地组）进行了检查。这里存在一个名为“admin”的用户，此为-的默认用户名，不能被删除。

所以建议平时的管理操作不用admin这个用户，并且为admin用户设置一个复杂度较高的密码。

巡检报告的编写

每一次对设备进行巡检并采集配置以后，除了一些紧急的故障需要立刻告知客户进行处理以外，其他的信息可以编入巡检报告中，并针对巡检的结果给出针对性的建议。如果在巡检采集的信息中发现有安全隐患，则必须在巡检报告中体现出来。

不同的客户可能会有不同的巡检报告模板（大部分情况下巡检报告不用你亲自做，你直接拿现成的模板来套），但是不管是怎么样的巡检报告模板，都分为以下几大块内容

a.硬件层面

包括设备的电源、风扇模块是否正常运转，如果是双机设备，则查看双机运行是否正常。同时，记录机房的温度，湿度是不是满足要求等。另外，多电源设备，要确保电源接在不同的UPS插座上。整机指示灯的状态。

b.系统层面

设备当前运行的操作系统是否过于老旧，设备的系统日志是否设置，时钟是否显示正确。设备Flash卡，CF卡是否被正常读取。

c.安全层面

包括本地登录管理，用户名和密码设置，/SSH设置，安全策略的限制是否满足安全的需求。

d.汇总信息

将巡检的结果做一个汇总信息，把有问题的设备标记出来，并且用简短的备注说明该设备有什么问题，严重程度如何。

针对不同的检查项目，应该设置不同的表格，表示当前设备的检查情况。巡检报告的基本要求就是简明扼要，能用句子的不用段落，能用词语表示的不用句子。

一般信息的记录表格

摘要表格

在这个摘要表格中主要体现以下几个信息：

1.你巡检了哪些设备；

2.这些设备承担了哪些业务，比如数据中心DMZ区防火墙，总部大楼服务器区防火墙；

3.这些设备当前运行状态正常吗？一般情况下，没有发现可能导致断网的情形都写正常；

4.建议/已采取的行动，发现设备运行不正常且已经威胁到网络的正常运转，你可以写建议或准备采取什么行动。

以设备为单元的基本信息表格

以设备为单元的基本信息表格

1.列出设备名称和序列号；2.简短的描述巡检的内容，和故障的情况。3.列出关键指标，CPU、内存利用率，电源、风扇、NAT、ACL状态4.如果有故障，写出故障类型和原因，建议执行什么动作。

如果是深度巡检报告，则会以检查内容为单元来制作表格

以温度为单元的巡检结果表格。

根据设备启动信息（运行时间）为单元的巡检结果表格

对于检查出来的问题，简单的描述出你的整改建议：

巡检虽然技术含量不算高，但是却最能反映出一个网络工程师做事的细心程度，也能考验出一个工程师的责任心。而且，对于一些有上进心的网络工程师来说，巡检却是学习技术最好的途径。因为经过一次巡检，你都把设备的配置命令采集走了，这完全可以当成是配置模板啊！

~

网络安全学习，我们一起交流

~