联想网御系列防火墙日常故障处理方法.ppt

联想网御系列防火墙日常故障处理方法 日常故障处理 重要说明 防火墙在配置与使用过程中，如果配置不当往往会造成防火墙无法管理，网络中断等现场。为了有效的避免这些故障的发生，我们在配置过程中应该注意以下的问题。 日常故障处理 问题： 电子钥匙认证问题 处理: 电子钥匙连接防火墙时提示“认证失败，请检查IP地址及网络”,处理方法:防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成,更改管理主机ip. 日常故障处理 问题： 帐号密码问题 处理: 密码被锁，要恢复使用该帐号只能重启,若密码忘了，可以使用admin/admin123帐号进行登录作临时配置修改。若要修改忘记的密码只能联系客户中心。 日常故障处理 问题： CPU使用率过高 处理: NAT规则中一定不能添加any到any的nat规则，请查明网络中的内网地址到底是哪个网段，然后再根据这些网段为源地址添加nat规则。Any到any的nat规则会将进入防火墙的报文也进行地址转化，会对ip映射、端口映射、vpn产生影响。即便在端口映射和ip映射中选择了源地址不转换，但是如果添加了any到any的nat规则，进入防火墙的报文的源地址还是会被转换。同时该规则还会将进入vpn隧道的报文进行地址转换，这样做的结果是vpn隧道可以建立起来当时隧道内通讯不通。 日常故障处理 问题： syn flood攻击参数 SYN Flood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。 处理: 抗syn flood攻击参数的意义：0：监控规则中每一个目的地址的半连接数的数量，如果该目的地址的半连接数量超过90个，则针对该目的地址启动syn proxy。参数每增加1，则将启动syn proxy的触发值降低10（半连接数）。增加到9时，则是对该规则中目的地址的所有连接都启用syn proxy。如果规则中的目的地址为any，则syn proxy功能保护的目的地址也为any。但此时防火墙的负载会非常重。所以添加此规则时，尽量明确目的地址的范围，在多数情况下，抗syn flood参数设为0即可。 日常故障处理 问题： 映射问题 处理: 防火墙中配置了端口映射或IP映射规则后，为什么外网和内网用户还是无法访问DMZ区服务器？处理方法：在配置了映射规则后，还需要配置相应的包过滤规则才可以。 日常故障处理 问题： 为什么我们更改了防火墙的fe1口的地址后,却管理不上了? 处理: 当我们更改防火墙的网络接口的同时，要确认你已经添加了此接口网段的管理主机，否则你将无法管理防火墙。没有用的管理主机址尽量删除，因为管理主机的IP地址是做为管理防火墙的一个很重要的条件 日常故障处理 问题： 为什么刚刚登陆到防火墙的界面后CPU利用率有时会变得很高？ 处理: 这是正常的，因为登陆时占用资源比较多，造成了瞬时CPU利用率增高 日常故障处理 问题： 为什么防火墙配置完毕,重启后配置却丢失了? 处理: 配置过程中防火墙的规则生效的，这样就会造成一个错觉，认为配置已经保存下来了，实际上只是生效并没有保存下来，因此需要我们手工的保护才能在防火墙重启以后保留你的配置。 谢谢大家 标题名称：28pt 黑体, 深蓝色 文本内容：最大28pt 黑体,黑色 PPT名称：32pt 黑体, 白色 单位名称：如售前方案处等24pt 黑体,绿色 ? 2007 联想网御 工程实施部 2007年8月 QA 技术交流、答疑时间 * * * *