防火墙维护手册
熄灭 VPN功能未启用 2.1.5. 防火墙模块及数据接口检查
? 系统防火墙接口状态检查
检查模块安装是否松动,接口模块上指示灯是否正常。已接有链路的端口link端为绿色常亮,ACT指示灯为黄色闪烁。
防火墙接口状态指示灯颜色:
Link ACT Link状态 ACT状态 绿色常亮 熄灭 黄色闪烁 熄灭 端口与对端设备通过网线或者光纤连接正常 端口与对端无连接或者连接失败 端口处于收发状态 端口无数据传输
2.2. 防火墙系统部分日常维护 2.2.1. 防火墙OS版本检查
在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。
hillstone(config)# show version Hillstone StoneOS software, Version 3.5
Copyright (c) 2006-2009 by Hillstone Networks, Inc.
Product name: VR5600T S/N: 0802027090006741 Assembly number: B045 Boot file is SA2000-3.5R2p4.bin from flash Built by buildmaster2 2009/07/07 12:34:08 Uptime is 0 day 0 hour 55 minutes 46 seconds
防火墙维护手册
2.2.2. 防火墙温度和风扇检查
检查防火墙温度如有超出标准值并是否处于正常状态,检查风扇及机扇环境,及时更换部件。
hillstone(config)# show environment
Both the temperature and fan are in normal state.
2.2.3. 防火墙session利用率检查
每个防火墙的并发会话数都有一个最值,如果超出最大值说明防火墙并发会话已经达到极限,防火墙成为一性能瓶颈,需要升级到更高档次防火墙。
会话信息如包含alloc failed说明防火墙会话曾经达到最大值,防火墙会话建立失败,可能是防火墙性能的问题或曾经出现网络攻击现象。
hillstone# show session generic
VSYS 0, max 200000, alloced 0, deny session 0, free 200000, tunnel 0, alloc failed 0
2.2.4. 防火墙CPU利用率检查
hillstone防火墙的CPU主要任务为执行功能、会话、日志等管理功能,一般情况下CPU利用率不会太高,一般超出60%以上要检查网络是否有攻击行为或网络流量异常行为。
防火墙CPU统计有1分钟、5分钟、15分钟平均值。在某一时间段CPU利率较高,属异常现象,可能有攻击等情况发生。CPU利用率持续较高,说明防火墙配置错误,需要调整防火墙配置,以降低
防火墙维护手册
CPU利用率。
hillstone# show cpu Average cpu utilization : 0.2% current cpu utilization : 2.0% Last 1 minute : 0.1% Last 5 minutes : 0.2% Last 15 minutes : 0.2%
2.2.5. 防火墙内存利用率检查
在防火墙内执行 show memory 查看内存利用率,防火墙利用率平时最好不能超过70%,如果超过要检查网络是否存在攻击行为。
hillstone# show memory
The percentage of memory utilization: 25% total(kB) used(kB) free(kB) 524288 132793 391495
2.2.6. 防火墙接口状态检查
在防火墙执行show interface检查接口状态或者检查某个接口的状态情况详细信息。
SA-2001# show interface
H:physical state;A:admin state;L:link state;P:protocol state;U:up;D:down
=============================================================Interface name IP address/mask Zone name H A L P MAC address ------------------------------------------------------------------------------
ethernet0/0 192.168.10.1/24 trust U U U U 001c.5403.e100 ethernet0/1 192.168.1.200/24 untrust D U D D 001c.5403.e101
防火墙维护手册
ethernet0/2 0.0.0.0/0 NULL D U D D 001c.5403.e102 ethernet0/3 0.0.0.0/0 NULL D U D D 001c.5403.e103 ethernet0/4 0.0.0.0/0 NULL D U D D 001c.5403.e104 vswitchif1 0.0.0.0/0 NULL D U D D 001c.5403.e10d SA-2001# show interface eth0/0
------------------------------------------------------------------------------ Interface ethernet0/0 description:
Physical up Admin up Link up Protocol up Interface ID:8
IP address:192.168.10.1 IP address mask:255.255.255.0 MAC address:001c.5403.e100 Ip mtu:1500 ARP learn:enable
ARP disable-dynamic-entry:disable ARP timeout:1200 Speed mode:1000 Duplex mode:full media type:copper
QoS input profile : 1st-level -- 2nd-level -- QoS output profile: 1st-level -- 2nd-level -- downstream bandwidth is 1000000000 upstream bandwidth is 1000000000 Bind to zone trust Belong to vsys root