甲方喊你給防火墻做體檢

　　網(wǎng)絡設備巡檢，簡單的理解就是對正在運行中的網(wǎng)絡設備，包括交換機，路由器，防火墻，負載均衡等設備進行一次例行檢查。

　　主要的內(nèi)容是檢查設備的健康狀況，根據(jù)檢查的結果發(fā)現(xiàn)并排除安全隱患。其實，巡檢網(wǎng)絡設備也和中醫(yī)看病一樣，分為“望聞問切”。

　　“望聞問切”

　　望： 硬件方面，查看設備的電源、網(wǎng)線是否接好。設備硬件方面可以查看設備的指示燈，在正常的情況下，設備的指示燈應該都顯示為綠色(特殊的雙引擎設備可能會有紅燈顯示);對于網(wǎng)線連接的情況，如果是光纖，可以看到光纖指示燈閃爍;如果是雙絞線，則應該看到綠燈和橙燈常亮或者無規(guī)律的閃爍。

　　聞： 不是讓你去用鼻子聞灰塵哈!這里的“聞”和“聽”是一個意思。主要是聽這個設備風扇轉動的聲音，用來確認這個設備風扇是不是正在運轉。

　　問： 一問客戶，近期網(wǎng)絡有沒有出現(xiàn)過斷網(wǎng)或者網(wǎng)速變慢的情況。二問設備(設備是機器，怎么問呢?)，問設備的意思就是說：使用命令行將設備的關鍵指標全部抓取下來，重點是CPU、內(nèi)存利用率，設備的溫度等信息。如果是交換路由設備，它運行了路由協(xié)議，還要把路由協(xié)議(OSPF、EIGRP、BGP)的鄰居，路由表全部采集。最后，設備的板卡，模塊狀況，包括設備近三個月的日志信息也必須全部采集到位。

　　切： 如果是進入機房的現(xiàn)場巡檢，可以簡單的觸碰一下設備的出風口，感受一下設備的溫度。同時也可以摸出設備是否需要進行除塵處理，當然啦，這個過程可能有點臟，不過那也是你必須做的操作，注意嚴格按照規(guī)范進行操作，防止觸電。

　　巡檢的頻率

　　巡檢會根據(jù)客戶的要求，設備的重要程度等因素安排巡檢的深度或頻率。對于一般的巡檢，只需遠程登錄，查看一下設備的CPU利用率，內(nèi)存利用率，設備的溫度等信息;如果是深度巡檢，則除了上述關鍵信息以外，還有日志，路由，會話，接口等信息的采集。通常情況下，一般的例行巡檢每月一次，深度巡檢一個季度一次。如果碰到重大節(jié)假日或某些重要日期時，也會要求進行一次深度巡檢。

　　巡檢的注意事項

　　進機房對設備進行查看時，需要遵守客戶機房管理規(guī)定。如果需要用手去摸設備，注意一定動作要輕柔，不要把網(wǎng)線，光纖碰掉。有一些客戶對防靜電這一塊要求比較嚴格，所以還需要帶著防靜電手環(huán)才能進行觸摸操作。

　　遠程巡檢時，基本上都是show、display之類的命令，所以巡檢時嚴禁進入配置模式進行操作。對于巡檢采集的命令，也是用SecureCRT的記錄日志的功能給導入到txt中。

　　對于每一次巡檢，都必須做好巡檢記錄。如果發(fā)現(xiàn)有報錯，告警的日志信息，或者設備溫度偏高，風扇，電源等故障，需要及時向客戶報告，并作出建議方案。

　　巡檢要求實事求是，認真負責。當然，要注意別給自己“挖坑”!如果你帶著批判的眼光去對待巡檢操作，本來一個不是隱患的問題，都被你給客戶進行“夸大”處理，導致客戶對此“心存芥蒂”，那等待你和你隊友的可就是一場難上加難的整改作業(yè)了。

迪普DPTech-FW1000巡檢信息

　　一般的信息包括CPU利用率，內(nèi)存利用率，設備溫度;另外還需要查詢設備當前運行的版本信息，序列號信息等。

　　對于迪普這類的國產(chǎn)防火墻，可以使用Web界面進行信息采集，把采集到的信息截圖帶回。也可以使用命令行進行采集。

　　迪普DPTech-FW1000系列防火墻的一般信息采集命令如下：

　　下面給大家用采集到的信息，說幾個關鍵的參數(shù)

　　該操作采集了防火墻的運行環(huán)境?？梢钥吹饺缦滦畔ⅲ?/p>

　　Board Temperature為主板溫度，當前為47攝氏度;(告警閾值為60攝氏度);

　　CPU Temperature為CPU溫度，當前為56攝氏度;(告警閾值為80攝氏度);

　　Fan status：OK，表示風扇狀態(tài)良好;

　　Power[0]、[1]表示兩個電源，Normal表示狀態(tài)良好;

　　這是采集到的防火墻版本信息：

　　軟件型號為S11C008D014;

　　硬件型號為FW1000-GC-N，已經(jīng)連續(xù)運行了98個星期零3天15小時12分鐘;

　　該防火墻CPU主頻是1000MHz，F(xiàn)lash大小為4M，CF卡大小為1G

　　這是采集到的防火墻內(nèi)存，CF卡，CPU信息。內(nèi)存總體使用率為16%，CF卡的總體使用率為9%，CPU平均使用率為10.25%

　　說明此時防火墻的運行負擔并不重，不至于造成通信瓶頸。

　　采集深度巡檢信息

　　對于深度巡檢，除了一般信息查詢的內(nèi)容以外，還有如下內(nèi)容需要進行查詢

　　下面列出檢查命令：

　　深度巡檢除了檢查設備運行健康狀況以外，還需要對設備的配置進行檢查，找出不符合安全規(guī)范或者存在安全隱患的配置。在一些實時性，安全性要求較高的場合，還會讓你進行接口錯包數(shù)量統(tǒng)計，關閉沒有使用的物理接口。當然還可能讓你對一些安全策略進行優(yōu)化調(diào)整。

　　抓取設備運行配置，主要是為了檢查安全策略的配置和NAT的配置是不是符合安全規(guī)范。

　　我們可以查看一下當前防火墻的日志：

　　該日志顯示了有兩個站點正在建立IPsec。生效的提議中，加密協(xié)議是3DES，認證協(xié)議是HMAC。而且這個IPsec sa生存時間很短，沒有數(shù)據(jù)傳輸就馬上斷開。

　　這個日志的級別是Notifacations(迪普防火墻的日志級別類似Cisco ASA)。

　　這里是針對防火墻上的Local-User(本地登錄用戶)和Local-Group(本地組)進行了檢查。這里存在一個名為“admin”的用戶，此為DPTech-FW1000的默認用戶名，不能被刪除。

　　所以建議平時的管理操作不用admin這個用戶，并且為admin用戶設置一個復雜度較高的密碼。

　　巡檢報告的編寫

　　每一次對設備進行巡檢并采集配置以后，除了一些緊急的故障需要立刻告知客戶進行處理以外，其他的信息可以編入巡檢報告中，并針對巡檢的結果給出針對性的建議。如果在巡檢采集的信息中發(fā)現(xiàn)有安全隱患，則必須在巡檢報告中體現(xiàn)出來。

　　不同的客戶可能會有不同的巡檢報告模板(大部分情況下巡檢報告不用你親自做，你直接拿現(xiàn)成的模板來套)，但是不管是怎么樣的巡檢報告模板，都分為以下幾大塊內(nèi)容

　　a.硬件層面

　　包括設備的電源、風扇模塊是否正常運轉，如果是雙機設備，則查看雙機運行是否正常。同時，記錄機房的溫度，濕度是不是滿足要求等。另外，多電源設備，要確保電源接在不同的UPS插座上。整機指示燈的狀態(tài)。

　　b.系統(tǒng)層面

　　設備當前運行的操作系統(tǒng)是否過于老舊，設備的系統(tǒng)日志是否設置，時鐘是否顯示正確。設備Flash卡，CF卡是否被正常讀取。

　　c.安全層面

　　包括本地登錄管理，用戶名和密碼設置，Telnet/SSH設置，安全策略的限制是否滿足安全的需求。

　　d.匯總信息

　　將巡檢的結果做一個匯總信息，把有問題的設備標記出來，并且用簡短的備注說明該設備有什么問題，嚴重程度如何。

　　針對不同的檢查項目，應該設置不同的表格，表示當前設備的檢查情況。巡檢報告的基本要求就是簡明扼要，能用句子的不用段落，能用詞語表示的不用句子。

　　一般信息的記錄表格

　　摘要表格

　　在這個摘要表格中主要體現(xiàn)以下幾個信息：

　　1.你巡檢了哪些設備;

　　2.這些設備承擔了哪些業(yè)務，比如數(shù)據(jù)中心DMZ區(qū)防火墻，總部大樓服務器區(qū)防火墻;

　　3.這些設備當前運行狀態(tài)正常嗎?一般情況下，沒有發(fā)現(xiàn)可能導致斷網(wǎng)的情形都寫正常;

　　4.建議/已采取的行動，發(fā)現(xiàn)設備運行不正常且已經(jīng)威脅到網(wǎng)絡的正常運轉，你可以寫建議或準備采取什么行動。

　　以設備為單元的基本信息表格

　　以設備為單元的基本信息表格

　　1.列出設備名稱和序列號;

　　2.簡短的描述巡檢的內(nèi)容，和故障的情況。

　　3.列出關鍵指標，CPU、內(nèi)存利用率，電源、風扇、NAT、ACL狀態(tài)

　　4.如果有故障，寫出故障類型和原因，建議執(zhí)行什么動作。

　　如果是深度巡檢報告，則會以檢查內(nèi)容為單元來制作表格

　　以溫度為單元的巡檢結果表格。

　　根據(jù)設備啟動信息(運行時間)為單元的巡檢結果表格

　　對于檢查出來的問題，簡單的描述出你的整改建議：

　　巡檢雖然技術含量不算高，但是卻最能反映出一個網(wǎng)絡工程師做事的細心程度，也能考驗出一個工程師的責任心。而且，對于一些有上進心的網(wǎng)絡工程師來說，巡檢卻是學習技術最好的途徑。因為經(jīng)過一次巡檢，你都把設備的配置命令采集走了，這完全可以當成是配置模板啊!