当前位置:文档之家› 机房网络维护

机房网络维护

机房网络设备维护
网络设备的维护
机房网络设备维护的重要内容有服务器日常维护,路由器日常维护,交换机日常维护,防火墙的日常维护。

1.服务器日常维护
服务器是黑客攻击的主要目标,所以服务器的日常维护是非常重要的,服务器日常维护要重点注意如下8点内容:
1)服务器设备的工作状态巡查和网络设备具体内容的巡检。

2)经常更改系统管理员密码,定期更新系统补丁。

3)不要安装任何第三方软件,更不要在服务器上注册未知的组件。

4)不要在服务器上使用IE浏览器访问任何网站,杜绝隐患。

5)备份数据库,以防万一。

6)操作系统的维护。

操作系统是服务器运行的软件基础,多数服务器使用Windows2003或Windows2008Server作为操作系统,维护起来还是比较容易的。

7)检查系统日志,定时查看系统各个盘符的磁盘权限是否设定的安全权限。

8)及时更新病毒库,查杀病毒。

2.路由器日常维护
路由器日常维护要重点注意如下8点内容:
1)路由器设备的工作状态巡查和网络设备具体内容的巡检。

2)保护路由器口令。

一旦路由器密码泄露,网络也就毫无安全可言。

3)阻止查看到路由器当前的用户列表,命令为no service finger.。

4)管理HTTP服务。

HTTP服务器提供Web管理接口。

No ip http server 命令可以停止HTTP服务。

5)校验数据流路径的合法性。

使用RPF(reverse path forwarding,反相路径转发)达到抵御spoofing的攻击的目的。

RPF反相路径转发的配置命令为ip verify unieastrpf。

6)抵御spoofin(欺骗)累攻击。

使用访问控制列表,过滤掉所有目标地址为网络广播地址。

7)防止SYN攻击。

路由器的软件平台开启TCP拦截功能,防止SYN攻击,工作模式分栏截和监视俩种,默认情况是拦截模式。

8)使用安全的SNMP管理方案。

SNMP广泛应用在路由器的监控,配置方面,使用MDS数字身份鉴别方式。

不同的路由器设备配置不同的数字签名密码,这是提高整
体安全性能的有效手段。

3.交换机日常维护
交换机的日常维护要重点注意如下6点内容;
1)交换机设备的工作状态巡查和网络设备具体内容的巡检‘
2)查看交换机的参数。

查看命令:show switch。

查看某个端口的流量:show packet ports8。

(8代表为此交换机的第8个端口)
查看某个端口的错误传输状态:show error ports8。

禁止和启用端口。

启用第8个的端口的命令为:config ports 8state enable。

禁用第8
个端口的命令为:config ports 8 state disable 。

3) 配置端口模式。

配置第8个端口的模式为自适应:config ports 8 speed auto。

配置第8个端口的模式为100M半双工:config ports 8 speed 100- half 。

配置口的模式为100M全双工:config ports 8 speed 100-full。

4)配置宽带限制。

配置第8个端口的收发率均为10 Mbpos,rx-rate为收,tx-rate为发,命令如下:
Config bandwidth-control 8rx-rate10 tx-rate10
配置第8个端口的收发率均无限制,命令如下:
Config bandwidth-control 8 rx-rate no-limit tx-rate no-limit。

5)创建交换机的用户名和密码。

创建一个角色为管理员,用户名weiadmin的用户,命令如下:
Create account admin(用户名角色)admin(用户名)会提示输入密码
修改用户名为admin的密码,命令如下:
Config account admin(用户名)会提示输入旧密码和新密码
删除用户名为admin的用户,命令如下:
Delete account admin(用户名)
创建访问次交换机snmpfuwu的密码,命令如下:
Create snmp community colorme(密码) view communityview read-only
6)禁止或启用一些服务。

启用web服务,命令:enable web 。

禁用web服务,命令:disable web
启用telnet服务,命令:enable telnet
4.防火墙日常维护
1)防火墙设备的工作状态巡查和网络设备具体内容的巡检。

2)配置System-ip地址,指定专用终端管理防火墙。

3)更改netscreen账号和口令,不建议使用缺省的netscreen账号管理的防火墙:设置两级管理员账号并定期变更口令;仅允许使用ssh和ss方式登录防火墙进行管理维护。

4)防火墙日常3个关键资源信息的维护:
1.Sessine。

Session 资源正常使用限制在70%以下,当Session资源正常使用到85%时,
需要检查Session表和告警信息,检查Session是否使用于正常业务,网络中是否存在flood 攻击行为,需要考虑设备容量限制并及时升级。

2.CPU。

硬件架构的防火墙,正常工作状态下防火墙cpu使用率应保持在50%以下,如
出现CPU使用率过高的情况需要检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。

通常情况下,防火墙CPU使用率过高往往与攻击有关,可通过正确设置Session对应选项进行防范。

需查看异常流量,告警日志,检查策略是否优化,配置文件中是否存在无效的命令。

3. Menmory。

防火墙对内存的使用把握的十分准确,采用“预分配”机制,空载时内存
使用率为约50%—60%,随着流量的不断增长,内存的使用率应基本保持稳定。

当出现内存使用率高达90%时,需检查网络中是否存在攻击流量,并查看为debug分配的空间是否过大。

5). 建立防火墙维护检查信息表。

防火墙维护检查信息表如下:
防火墙维护检查信息表
6)建立防火墙设备维护表。

建立防火墙设备维护表,为判断网络异常提供参数依据。

防火墙的维护表如下:
防火墙设备维护表
7)应急处理。

当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障是否与防火去有关。

如果故障与防火墙有关,可在防火墙上打开debug功能更综包处理过程,检验策略配置是否存在问题。

一旦定位防火墙故障,双机环境下可通过命令进行双机切换;单机环境下发生故障时,利用备份交换机/路由器配置快速旁路防火墙。

应急处理应注意如下4点内容;
1.检测设备运行状态。

网络出现故障时,应快速判断防火墙设备运行状态,通过Console
口登录到防火墙,快速查看CPU,Memory, Session, Interface 以及告警信息,初步排除防火墙硬件故障并判断是否存在攻击行为。

2.跟踪防火墙对数据包的处理情况。

如果出现部分网络无法正常访问,顺序检查接口状态,
路由和策略配置是否有误,在确认上诉配置无误后,通过debug命令检查防火墙对特定网段数据包的处理情况。

部分地址无法通过防火墙往往与策略配置有关。

3.检查是否存在攻击流量、通过查看告警信息确认是否有异常信息,同时在上行交换机中
通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Sereen选项中启用对应防护措施来屏蔽攻击流量。

4.检查nsrp工作状态。

使用get nsrp命令检查nsrp集群工作状态,如nsrp转态出现异常或
发生切换,需进一步确认引起切换的原因,引起nsrp切换的原因通常为链路故障,交换机端口故障,设备断电或重启。

相关主题