防火墙系统日常运维指南
V1.00
防火墙系统
日常运维指南
一、每日例行维护
1、系统管理员职责为保证防火墙设备的正常运行，系统管理员需要在每日对设备进行例行检查。

系统管理员在上班后，登录防火墙管理界面，查看系统的CPU内存的使用
率及网接口的工作状态是否正常。

确保CPU使用率在80%以下，内存使用率85%以下：如出现CPU及内存
使用率过高的情况，查看防火墙设备的会话连接总数、半连接数以及端口流量
是否正常。

如果存在会话连接总数、半连接数、端口流量异常，超出平时的正常范
围的情况下，可能是有人在进行ARP攻击或蠕虫攻击，通过会话管理查
看各会话的连接情况，查找异常会话，并对其进行手动阻断。

如果会话连接总
数、半连接数及端口流量处在正常范围内，但此时网络访问效率明显变慢的情
况下，重启防火墙设备。

在管理界面中的网络接口状态正常情况下是绿色：如果工作端口出现红
色的情况下，需要及时通知网络管理员，配合查看交换机与防火墙之间的端口
链路是否正常。

如交换机及线路都正常的情况下，重启防火墙；如果还存在问题请及时
电话联系厂商工程师按照要求，添加新增的防护对象。

2）安全管理员职责
安全管理员在每日上班后定时（每日至少二次，9 点、17点），通过数据中心，查看日志是否存在高级别的告警日志（警示级别以上）；
如果出现高级别告警日志，立即按以下步骤进行处理：设备本身造成中高级别告警：高级别告警主要为设备本身的硬件故障
小做I
告警!
处理方式如下：
立即通知厂商工程师到达现场处理。

处理完毕后，形成报告，并发送主管领
导。

网络故障造成的中高级别告警：网络负载过大！（ARP攻击，蠕虫等）处理
方式如下：分析会话记录，查询可疑会话，协同系统管理员阻断可疑会话的源
地址。

查出源地址后，应立即安排相关技术人员到现场处理问题机器。

问题机器处理
完毕后，形成处理报告，分析此次高告警事件的原因，并发送主管领导（主管
室主任、主管副部长）。

（下同）网络攻击行为造成的中高级别告警：如IP
扫描，端口扫描等防火墙一般会自动阻断该连接，并同时生成告警日志。

此类告警，安全管理员需分析告警日志，查询源IP 地址，并安排相关技术人
员到达现场处理问题机器。

问题机器处理完毕后，形成处理报告，分析此次高告警事件的原因，
并发送主管领导
3）审计员职责
1）审计员应每周五登陆系统，查看系统审计日志，查看是否有异常管理员登
陆行为。

2）系统发生异常时，审计员应立即登陆系统，查看系统审计日志，并分析是否有管理员的异常系统配置信息。

二、周期性维护工作
在防火墙设备的运行过程中，需要定期对设备进行维护。

1、系统管理员职责
每星期（周五）对IPS、AV 的特征码模块进行升级（至相关网站，如有最
新的版本，下载后手动升级）。

升级完成后，在“ 系统管理－维护－备份恢复” 界面，选择“ 防病毒入
侵防御配置导出” ，进行配置备份。

每月，系统管理员需对本月防火墙系统发生的升级及变化情况进行汇总，并
提交主管领导。

2、安全管理员职责每星期（周五）登陆数据中心，通过报表工具生成本周日志事件
报表，并导出保存。

同时需对其中高级别告警信息进行统计分析。

每星期
（周五）查看数据中心数据库的磁盘空间占用情况是否正常，如磁盘空间不
足，应及时将磁盘的系统自动备份的日志文件转移到其他的存储设备上。

日志管理员在每个日志备份周期到期的后一天应查看日志的自动备
份工作是否正常，如果出现不正常的情况，应及时对日志进行手动备份。

及时查找无法自动备份的原因，是否是由于磁盘空间不足无法备份。

如果不是由于磁盘空间不足造成，则有可能是由于PC服务器时间运
行造成日志服务器相关进程异常造成的，需要重启日志服务器。

每月，安全管理员需对本月防火墙上的日志通过报表工具生成本月
事件报表，并导出保存，同时，需要对高级级别以上告警信息进行统计，
形成分析报告后，提交主管领导。

3、审计员职责
每星期（周五）登陆登陆数据中心，通过报表工具，生成本周配置审计事
件报表，并导出保存。

三、不定期维护工作
1、系统管理员职责
根据需求增添防护对象。

配置发生变化后，及时保存配置信息。

系统管理员对设备进行了恢复备份配置文件的操作后，应立刻将防
火墙设备是行重启，使备份的配置文件能够生效。

2、安全管理员职责
根据安全需要，对安全防护策略作出调整。

安全策略调整后，通知系统管理员进行配置备份。