甲方喊你给防火墙做体检

　　网络设备巡检，简单的理解就是对正在运行中的网络设备，包括交换机，路由器，防火墙，负载均衡等设备进行一次例行检查。

　　主要的内容是检查设备的健康状况，根据检查的结果发现并排除安全隐患。其实，巡检网络设备也和中医看病一样，分为“望闻问切”。

　　“望闻问切”

　　望： 硬件方面，查看设备的电源、网线是否接好。设备硬件方面可以查看设备的指示灯，在正常的情况下，设备的指示灯应该都显示为绿色(特殊的双引擎设备可能会有红灯显示);对于网线连接的情况，如果是光纤，可以看到光纤指示灯闪烁;如果是双绞线，则应该看到绿灯和橙灯常亮或者无规律的闪烁。

　　闻： 不是让你去用鼻子闻灰尘哈!这里的“闻”和“听”是一个意思。主要是听这个设备风扇转动的声音，用来确认这个设备风扇是不是正在运转。

　　问： 一问客户，近期网络有没有出现过断网或者网速变慢的情况。二问设备(设备是机器，怎么问呢?)，问设备的意思就是说：使用命令行将设备的关键指标全部抓取下来，重点是CPU、内存利用率，设备的温度等信息。如果是交换路由设备，它运行了路由协议，还要把路由协议(OSPF、EIGRP、BGP)的邻居，路由表全部采集。最后，设备的板卡，模块状况，包括设备近三个月的日志信息也必须全部采集到位。

　　切： 如果是进入机房的现场巡检，可以简单的触碰一下设备的出风口，感受一下设备的温度。同时也可以摸出设备是否需要进行除尘处理，当然啦，这个过程可能有点脏，不过那也是你必须做的操作，注意严格按照规范进行操作，防止触电。

　　巡检的频率

　　巡检会根据客户的要求，设备的重要程度等因素安排巡检的深度或频率。对于一般的巡检，只需远程登录，查看一下设备的CPU利用率，内存利用率，设备的温度等信息;如果是深度巡检，则除了上述关键信息以外，还有日志，路由，会话，接口等信息的采集。通常情况下，一般的例行巡检每月一次，深度巡检一个季度一次。如果碰到重大节假日或某些重要日期时，也会要求进行一次深度巡检。

　　巡检的注意事项

　　进机房对设备进行查看时，需要遵守客户机房管理规定。如果需要用手去摸设备，注意一定动作要轻柔，不要把网线，光纤碰掉。有一些客户对防静电这一块要求比较严格，所以还需要带着防静电手环才能进行触摸操作。

　　远程巡检时，基本上都是show、display之类的命令，所以巡检时严禁进入配置模式进行操作。对于巡检采集的命令，也是用SecureCRT的记录日志的功能给导入到txt中。

　　对于每一次巡检，都必须做好巡检记录。如果发现有报错，告警的日志信息，或者设备温度偏高，风扇，电源等故障，需要及时向客户报告，并作出建议方案。

　　巡检要求实事求是，认真负责。当然，要注意别给自己“挖坑”!如果你带着批判的眼光去对待巡检操作，本来一个不是隐患的问题，都被你给客户进行“夸大”处理，导致客户对此“心存芥蒂”，那等待你和你队友的可就是一场难上加难的整改作业了。

迪普DPTech-FW1000巡检信息

　　一般的信息包括CPU利用率，内存利用率，设备温度;另外还需要查询设备当前运行的版本信息，序列号信息等。

　　对于迪普这类的国产防火墙，可以使用Web界面进行信息采集，把采集到的信息截图带回。也可以使用命令行进行采集。

　　迪普DPTech-FW1000系列防火墙的一般信息采集命令如下：

　　下面给大家用采集到的信息，说几个关键的参数

　　该操作采集了防火墙的运行环境。可以看到如下信息：

　　Board Temperature为主板温度，当前为47摄氏度;(告警阈值为60摄氏度);

　　CPU Temperature为CPU温度，当前为56摄氏度;(告警阈值为80摄氏度);

　　Fan status：OK，表示风扇状态良好;

　　Power[0]、[1]表示两个电源，Normal表示状态良好;

　　这是采集到的防火墙版本信息：

　　软件型号为S11C008D014;

　　硬件型号为FW1000-GC-N，已经连续运行了98个星期零3天15小时12分钟;

　　该防火墙CPU主频是1000MHz，Flash大小为4M，CF卡大小为1G

　　这是采集到的防火墙内存，CF卡，CPU信息。内存总体使用率为16%，CF卡的总体使用率为9%，CPU平均使用率为10.25%

　　说明此时防火墙的运行负担并不重，不至于造成通信瓶颈。

　　采集深度巡检信息

　　对于深度巡检，除了一般信息查询的内容以外，还有如下内容需要进行查询

　　下面列出检查命令：

　　深度巡检除了检查设备运行健康状况以外，还需要对设备的配置进行检查，找出不符合安全规范或者存在安全隐患的配置。在一些实时性，安全性要求较高的场合，还会让你进行接口错包数量统计，关闭没有使用的物理接口。当然还可能让你对一些安全策略进行优化调整。

　　抓取设备运行配置，主要是为了检查安全策略的配置和NAT的配置是不是符合安全规范。

　　我们可以查看一下当前防火墙的日志：

　　该日志显示了有两个站点正在建立IPsec。生效的提议中，加密协议是3DES，认证协议是HMAC。而且这个IPsec sa生存时间很短，没有数据传输就马上断开。

　　这个日志的级别是Notifacations(迪普防火墙的日志级别类似Cisco ASA)。

　　这里是针对防火墙上的Local-User(本地登录用户)和Local-Group(本地组)进行了检查。这里存在一个名为“admin”的用户，此为DPTech-FW1000的默认用户名，不能被删除。

　　所以建议平时的管理操作不用admin这个用户，并且为admin用户设置一个复杂度较高的密码。

　　巡检报告的编写

　　每一次对设备进行巡检并采集配置以后，除了一些紧急的故障需要立刻告知客户进行处理以外，其他的信息可以编入巡检报告中，并针对巡检的结果给出针对性的建议。如果在巡检采集的信息中发现有安全隐患，则必须在巡检报告中体现出来。

　　不同的客户可能会有不同的巡检报告模板(大部分情况下巡检报告不用你亲自做，你直接拿现成的模板来套)，但是不管是怎么样的巡检报告模板，都分为以下几大块内容

　　a.硬件层面

　　包括设备的电源、风扇模块是否正常运转，如果是双机设备，则查看双机运行是否正常。同时，记录机房的温度，湿度是不是满足要求等。另外，多电源设备，要确保电源接在不同的UPS插座上。整机指示灯的状态。

　　b.系统层面

　　设备当前运行的操作系统是否过于老旧，设备的系统日志是否设置，时钟是否显示正确。设备Flash卡，CF卡是否被正常读取。

　　c.安全层面

　　包括本地登录管理，用户名和密码设置，Telnet/SSH设置，安全策略的限制是否满足安全的需求。

　　d.汇总信息

　　将巡检的结果做一个汇总信息，把有问题的设备标记出来，并且用简短的备注说明该设备有什么问题，严重程度如何。

　　针对不同的检查项目，应该设置不同的表格，表示当前设备的检查情况。巡检报告的基本要求就是简明扼要，能用句子的不用段落，能用词语表示的不用句子。

　　一般信息的记录表格

　　摘要表格

　　在这个摘要表格中主要体现以下几个信息：

　　1.你巡检了哪些设备;

　　2.这些设备承担了哪些业务，比如数据中心DMZ区防火墙，总部大楼服务器区防火墙;

　　3.这些设备当前运行状态正常吗?一般情况下，没有发现可能导致断网的情形都写正常;

　　4.建议/已采取的行动，发现设备运行不正常且已经威胁到网络的正常运转，你可以写建议或准备采取什么行动。

　　以设备为单元的基本信息表格

　　以设备为单元的基本信息表格

　　1.列出设备名称和序列号;

　　2.简短的描述巡检的内容，和故障的情况。

　　3.列出关键指标，CPU、内存利用率，电源、风扇、NAT、ACL状态

　　4.如果有故障，写出故障类型和原因，建议执行什么动作。

　　如果是深度巡检报告，则会以检查内容为单元来制作表格

　　以温度为单元的巡检结果表格。

　　根据设备启动信息(运行时间)为单元的巡检结果表格

　　对于检查出来的问题，简单的描述出你的整改建议：

　　巡检虽然技术含量不算高，但是却最能反映出一个网络工程师做事的细心程度，也能考验出一个工程师的责任心。而且，对于一些有上进心的网络工程师来说，巡检却是学习技术最好的途径。因为经过一次巡检，你都把设备的配置命令采集走了，这完全可以当成是配置模板啊!