通过日常的设备性能指标监控,对有可能的故障隐患进行排查。
----常规维护中需要重点关注的信息
1.CPU : get per session 如出现cpu利用率过高应及时查看是否有网络攻击,正常运行利用率应小于45% 2.memory: 空载时内存使用率在50%左右,随这流量不断增加,使用率在60%左右,基本保持稳定,如果出现超过75%的情况应检查是否有恶意攻击流量。 3.session: 如果session值接近系统最大值,应考虑设备容量限制,并及时升级。get per session 在业务使用高峰时间检查以上信息,建立基准值,等遇到突发情况时,对比基准值,如果超过基准20%,要检查session和告警信息,如果cpu占用超基准值30%时,需查看异常流量、告警日志等.
------应急处理
当网络出现异常情况时应尽快检查防火墙各项指标状态,也可打开debug 功能跟踪包处理过程,检查配置策略是否有问题。
1、检查设备运行状态
快速查看CPU、memory、session等是否正常
2、跟踪防火墙数据包处理情况
如果出现部分网络无法正常访问,顺序检查接口状态、路由、策略配置等。
3、检查是否存在攻击流量
通过查看告警信息来确认是否有异常信息。
总结改进: 每次出现故障后,都应及时总结和改进,这样才能有效的避免再次发生类似故障。总结故障产生原因,并确认故障已排除,条件允许的情况下可以构建测试环境,对相关的问题进行再次测试,评估现有配置是否还有问题。通过分析找出可能存在的薄弱环节和潜在隐患。
故障处理工具之---------debug 用于跟踪防火墙对数据包的处理过程
1、set ffilter src-ip ***** dst-ip *****dst-port xx 设置过滤列表,定义捕获包的范围
2、clear dbuf 清除防火墙内存中缓存的分析包
3、debug flow basic 开启debug功能
4、发送测试数据包
5、undebug all 关闭debug功能
6、get dbuf stream 检查防火墙对数据包的分析结果
7、unset ffilter 清除防火墙debug过滤列表
8、clear dbuf 清除防火墙debug缓存信息
9、get debug 查看当前debug设置
故障处理工具之--------snoop 与sniffr软件功能类似
1、set ffilter src-ip ***** dst-ip *****dst-port xx 设置过滤列表,定义捕获包的范围
2、clear dbuf 清除防火墙内存中缓存的分析包
3、snoop 开启snoop功能
4、发送测试数据包
5、snoop off 停止snoop功能
6、get db stream 检查防火墙对数据包的分析结果
7、snoop ffilter delete 清除防火墙snoop过滤列表
8、clear dbuf 清除防火墙snoop缓存信息
9、snoop info 查看当前snoop设置