《防火墙巡检报告书模版.doc》由会员分享,可在线阅读,更多相关《防火墙巡检报告书模版.doc(6页珍藏版)》请在三一办公上搜索。
1、Juniper防火墙设备巡检技术服务报告书项目单位:项目单位地址:用户负责人:联系电话:巡检工程师:联系电话:巡检地点:巡检时间:设备型号:设备数目:巡 检 结 果 报 告设备名称:编号检查内容检查方法检查标准检测结果1检查软件版本Web方式检查:选择“Home”查看“Device Information”中“Firmware Version”的值。命令行方式查看:在防火墙各节点上分别执行:get systemNetScreen OS应为正式发布的版本,要求主备防火墙版本一致。2检查日志信息Web方式检查:选择“Home”查看The most recent events的日志信息。命令行方式查
2、看:在防火墙各节点上分别执行:get log event正常工作情况下,日志中不应该有大量重复的信息,如端口频繁up/down、大量用户认证失败信息等。3检查调试信息开关命令行方式查看:在防火墙各节点上分别执行:get debugsnoop info正常运行时所有Debug、Snoop开关应该全部关闭。l 如果启用Debug,则可以在命令行提示下,单击键盘上的ESC键。l 如果启用snoop,则可以在命令行提示下,单击键盘上的ESC键。说明debug和snoop为隐藏命令。4检查系统时间是否与当地时间和时区一致Web方式检查:选择“Home”查看“System time“的值。命令行方式查看:
3、在防火墙各节点上分别执行:get clock系统时间和当地时间、时区一致。5检查telnet、web、snmp登录控制情况在untrust区域进行telnet登录测试和IE登录测试。不能打开untrust区域接口的telnet、web、snmp的权限。6多接口监控配置检查在防火墙各节点上分别执行:get nsrp vsd-group allget nsrp monitor interface所有的在用接口都是UP状态。7检查NetScreen防火墙双机的配置是否同步在防火墙各节点上分别执行:exec nsrp sync global-config check-sum主备机数据同步时,conso
4、le上会输出:configuration in sync说明此命令的结果只在console上显示,所以必须在console上执行,才能看到结果。8检查系统接口配置Web方式检查:选择“Network-interface”查看各接口的状态。在防火墙各节点上分别执行:get interface正在使用的接口应为UP或Active。9检查FE/GE口配置Web方式检查:选择“Configuration-Updte-Config file”查看“Current System Configuration”的内容。命令行方式查看:在防火墙各节点上分别执行:get config查看当前配置。Web方式检查:
5、选择“Network-interface”查看各接口的状态。命令行方式查看:get interface查看接口状态。端口模式(包括速率、双工模式)配置对接双方必须一致;端口实际工作模式必须与对端一致。在检验端口速率双工配置时也要检查对端端口设置。10检查IP地址分配Web方式检查:选择“Network-interface”查看各接口的状态。命令行方式查看:在防火墙各节点上分别执行:get interfaceGet log eventl 同一网段内主机和网络设备IP地址掩码一致。l 没有地址冲突现象。l IP子网分配没有出现重叠现象。l Log中没有报地址冲突11检查telnet、串口和web登
6、录是否成功在防火墙各节点上分别进行telnet连接测试、串口连接测试和web连接测试。telnet、串口和web三种方式能正常登录。12检查系统CPU使用率Web方式检查:选择“Home”查看“Resources Status ”中“CPU”的值。命令行方式查看:在防火墙各节点上分别执行:get perform cpu detail系统CPU使用率不应超过50%。从Web界面上看,CPU使用率指示条应该是正常的蓝颜色,不能出现黄/红颜色的告警信息。13检查系统内存使用率Web方式检查:选择“Home”查看“Resources Status ”中“Memory”的值。命令行方式查看:在防火墙各节
7、点上分别执行:get memory系统内存使用率不应超过90%。从Web界面上看,内存使用率指示条应该是正常的蓝颜色,不能出现黄/红颜色的告警信息。14检查防火墙系统连接数Web方式检查:选择“Home”查看“Resources Status ”中“Sessions”的值。命令行方式查看:在防火墙各节点上分别执行:get session info查看防火墙现在有多少连接数。经验值是一般系统现有连接数不会超过最大值的50%。其中NS5000支持的最大值为1000000。ISG2000支持的最大值为50000015检查区域名称配置是否正常Web方式检查:选择“Network”查看“Zones”中Z
8、one是否正常。命令行方式查看:在防火墙各节点上分别执行:get zone显示防火墙上配置的区域,包括系统自定义的区域和用户自定义区域。没有异常区域配置或异常接口归属到指定区域。16检查域间应用的访问策略配置Web方式检查:选择“Policies”查看策略信息。命令行方式查看:在防火墙各节点上分别执行:get policy查看域间应用的访问策略,不应有多余的策略,同时不能有从低安全级别到高安全级别开放any服务的策略。17防火墙设备指示灯检查直接查看防火墙前面板的LED 指示灯。Status :系统状态。黄色闪烁表示系统正常启动;绿色闪烁表示系统正常工作。Alarm:系统告警。红色表示系统有严
9、重硬件或软件故障;黄色表示系统有某一方面负载过重。如:内存少于10%、CPU 利用率超过90%、 连接数满。绿色表示没有告警。PWR:电源供电情况。绿色表示电源工作正常;红色表示电源失效或没装电源模块。HA:高可用状态。绿色表示系统当前为主用状态;绿色闪烁表示没有找到冗余组成员;黄色表示系统当前为备用状态;黑色表示系统没有配置HA(高可用性)。FW :防火墙告警。绿色表示没有防火墙攻击;黄色表示防火墙有告警事件发生。18防火墙接口指示灯检查直接查看防火墙的接口指示灯。绿色灯亮表示线路已经连通,但没有数据;绿色闪烁灯亮表示线路已经连通,有数据传输。本次巡查结果:本次巡检发现的问题:已经解决的问题及方法:未解决的问题:工程师签字客户签字附件附上 get tech 、get syscfg 的输出结果。
