防火墙维护手册

? show ha group config //查看HA group 配置状态 ，确认HA group相关配置。

? show ha group 0 //通过查看HA group 0 状态 ，确认对端状态是否正常。

? show ha cluster //查HA簇配置信息。

? show ha sync state config //查看HA配置同步状态。 ? no ha cluster //关闭HA配置。

2.3.4. 内网用户丢包的处理

? 确认用户到到网关是否丢包，如果内网网关丢包请检查内网交换、路由问题。

? 确认到内网不丢包，到外网网关丢包，请检查从防火墙上到外网网关是否有丢包，如果丢包请联系线路供应商检查链路质量。 ? 确认从防火墙上到外网网关不丢包，请检查防火墙cpu是否很高，如果cpu高请根据cpu高的处理方法操作。

? 确认cpu不高，请开启接口带宽统计集，查看接口带宽是否占满，如果带宽占满，请考虑通过配置qos功能对流量做控制。

2.3.5. 目的NAT不生效的处理

? 检查服务器本身端口是否开启。

? 检查是否有从外到内的策略是否有放行，源地址为any 目的地址为映射后的公网地址。

防火墙维护手册

? 检查内网服务器网关配置是否正确

2.3.6. 设备无法管理的处理

? 设备不能通过某些pc实现管理，原因：

? 查看设备时候配置有可信任主机，并且该地址是否在可信任主机列表中。

web下位置：系统-设备管理-可信任主机

cli下命令：show admin host ? 添加可信任主机及权限方法：

web下位置：系统-设备管理-可信任主机-新建

cli下命令：SA(config)# admin host A.B.C.D/M any

2.4. 策略配置与优化(policy)

防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。

2.4.1. 策略配置与维护

? 简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。

防火墙维护手册

? 防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。

? 防火墙管理存在多个管理员情况,平时防火墙策略可能出现重复叠加情况,导致策略数过多,时间一长会耗尽防火墙策略资源,为了更好策略数过多而且存在重复情况,采用策略规则匹配次数统计功能在观察一些没有匹配流量的策略并进行确认后删除.

show policy hit-count {id id | [from src-zone] [to dst-zone] top {10 | 20 | 50}}

? id id – 显示指定ID 规则的匹配次数统计信息。

? from src-zone – 显示源安全域为指定域的规则的匹配次数统计信息 ? to dst-zone – 显示目标安全域为指定域的规则的匹配次数统计信息。 ? top {10 | 20 | 50} – 显示匹配次数位于前10、20 或者50 计信息。

2.5. 故障处理工具 2.5.1. 系统诊断工具

安全网关支持网络连接测试工具Ping 和Traceroute，当网络出现问题时，用户可以用这些工具对网络进行测试，查找故障原因。安全网关同时具有调试功能，供用户查阅与分析。

防火墙维护手册

? Ping 命令主要用于检查网络连接状态以及主机是否可达。 ping {ip-address | hostname} [count number] [size number] [source ip-address] [timeout time]

? Traceroute 用于测试数据包从发送主机到目的地所经过的网关。它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。

traceroute {ip-address | hostname} [numberic] [port port-number] [probe probe-number] [timeout time] [ttl [min-ttl] [max-ttl]] [source interface] [use-icmp]

2.5.2. debug诊断与排错

? DEBUG数据流基本步骤

1、关闭debug信息输出到console no logging debug to console 2、设置debug过滤器

debug dp filter {src-ip | src-port | proto | dst-ip | dst-port} 3、开启debug功能 debug dp basic

4、清除缓存debug日志信息 clear logging debug 5、发起数据流访问 6、查看debug日志信息