安全防护卫士-防火墙升级刷新的八步曲|运维实战家

颁布功夫：2020-12-18

“运维实战家”专栏，从技术到实际，

和您聊聊运维的那些事儿，讲述运维人的“昨天、今天和明天”

作者：风起儿

01 媒介

01 防火墙演化史

防火墙的发展汗青也经历了从低级到高级、从职能单一到职能复杂的过程。在这一过程中，随着网络技术的不休发展，新需要的不休提出，防火墙在原有的路由互换的基础上扩大和往和谈上层职能不休的丰硕的路路演出进和发展，形成今天这样职能丰硕多样的职能集中一体化的状态，见下图：

02 防火墙的数据包处置流程

防火墙在网络中就是一个多面手根基什么都能够干，能不能像路由互换那样的报文来了就转，重要看防火墙的特点：职能多，多意味着大杂烩，若是没有合理的配料和工序就会造成了一锅粥，防火墙凭据现实客户业务需要给自己的主题定位是节造，而路由互换的主题在转发，防火墙的数据报转发流程就是它实现自己合理配料和工序的过程。见下图：

02 正片

谈完防火墙的出身，那就来看看防火墙的吐槽……

“背锅”不是防火墙的专利，“逃跑”不是防火墙的特技，把握iSlot官方网站防火墙的升级刷新的八步曲，让我们仍旧坚挺下去的奥秘，下面让我们一路建良籍吧：

01 相识需要布景

先和接口的售前、销售相识项主张规划、设备清单、需要列表，项目当苦衷项以及客户和集成商的有关人等；基于前面的基础再和客户以及集成商一路确认明显需要清单、分工责任界面、工期等，重要是形成一版需要跟踪矩阵和父叩人治理，把事和人搞明显下面的具体的事件就好发展了。

02 业务环境调研

网络拓扑可能在大框下直观地反馈网络架构和业务关系，但是往往网络拓扑由于客户水平的参差不齐和拓扑的绘造尺度短缺明确划定，很难给出正确的业务走向和现实物理情况这个时辰就必要业务信息网络。

业务接见关系的信息网络尤其在新建项目和安全等级要求比力高的项目中出格沉要，它是业务开明与否的凭据，也是测试验证的参考，仅供参考列表如下：

序号	业务名称	源IP	目IP	端口
1	CRM测试	192.168.1．2	192.168.10.4	10000~65535

和谈类型	起止日期	申请人
UDP	2020.1.1-2020.3.31	张山

防火墙的设备的配置和状态对于遇到升级刷新极度沉要，它是设备测试验证和业务上线的前提，iSlot官方网站防火墙基础信息网络的号令如下：

序号	名称	执行号令	信息类别
1	备份配置	exec backup config	配置
2	系统配置文件	show configuration	配置
3	系统根基信息	get sys status	硬件状态信息
4	系统状态信息	get sys performance status	硬件状态信息
5	设备硬件信息	get hardware status	硬件状态信息
6	硬件机能使用情况	diag sys top	硬件状态信息
7	查看 ntp 状态	diagnose sys ntp status	硬件状态信息
8	查看硬盘状态	diagnose hardware deviceinfo disk	硬件状态信息
9	查看硬盘情况	exec disk list	硬件状态信息
10	查看 ha 配置	show full-configuration system ha	HA信息
11	查看 ha 状态	get sys ha status	HA信息
12	查看 ha 信息	diagnose sys ha dump	HA信息
13	查抄配置文件是否同步	diagnose sys ha showcsum	HA信息
14	单接口状态	diagnose hardware deviceinfo nic 接口名	网络基础状态信息
15	聚合接口状态	diagnose netlink aggregate name 聚合接口名	网络基础状态信息
16	限速接口状态	diagnose netlink device list	网络基础状态信息
17	接口状态统计	get sys interface physical	网络基础状态信息
18	ARP表	get sys arp	网络基础状态信息
19	ARP具体信息	diagnose ip arp list	网络基础状态信息
20	查看路由表	get router info routing-table all	网络基础状态信息
21	查看转颁发	get router info kernel	网络基础状态信息
22	系统过程	diagnose sys top 5 99	系统过程状态
23	查看日志	exec log display	日志纪录

业务可用性纪录在防火墙升级刷新的时辰能够在设备上抓取，它是测试验证的参考项，同时也是割接后评价业务关系的痛处，iSlot官方网站防火墙业务有关信息网络的号令如下：

序号	名称	执行号令	信息类别
1	查看防火墙战术	show firewall policy	战术
2	查看会话表	get system session list	业务会话
3	查看会话表前过滤	diagnose sys session list	业务会话
4	会话表过滤	diagnose sys session filter	业务会话
5	查看整体味话状态	diagnose sys session full-stat	业务会话
6	查看会话统计	get system session-info statistics	业务会话

备注：iSlot官方网站防火墙升级刷新必要有以上号令合用，代替友商的设备提供类似号令

03 软硬件环境筹备

1>硬件环境

查抄凭据现实情况进行增减，参考表格如下：
环境要求：安防门和锁、静电地板、湿度、装建、卫生保洁、空调等
机柜：物理地位、机柜规格参数、资源使用情况等
供电：PDU供电尺度、插头规格、电源线长度等
线缆：运营商、光纤跳线、双绞线，ODF架资源等
工具：记号笔、螺丝刀、标签纸和标签机、卡扣、测试仪器等

2>软件筹备

其中蕴含软件新旧系统版本及其补丁包和版本有关文档注明，软件工具类如下
升级工具：如FTP软件3CDaemon
调试工具：如CRT、Xshell
测试工具：如HostMonitor、网关监控系统等

3>测试搭建

在测试环境允许前提下，尽可能的搭建1比1的测试环境，仿照业务做职能和业务需要的有关测试，测试纪录表格能够参考如下：

测试项目	VPN(IPSec)对接阿里云站点
测试主张	检测IPSEC VPN隧路对接职能
测试步骤	1、根基上网配置
	2、创建VPN
	3、批改VPN参数
	4、配置路由和战术
	5、测试业务
预期了局	能够对接阿里云VPN需要，满足业务接见需要
测试工具	无特殊工具
测试纪录
测试了局	达到预期成效

04 仿照测试验证

1>网络连通性测试

防火墙的有关常用号令如下：

RG-WALL #execute ping-options source 192.168.1.200//指定ping数据包的源地址 192.168.1.200

RG-WALL#execute ping 8.8.8.8 //持续输入ping的指标地址，即可通过192.168.1.200的源地址执行ping操作

RG-WALL #execute traceroute 8.8.8.8 //进行蹊径探测

RG-WALL #execute telnet 2.2.2.2 //进行telnet接见

RG-WALL #execute ssh 2.2.2.2 //进行ssh 接见

2>业务可用性测试

这部门重要是让业务一些关键业务如：CRM，OA等；特殊业务和利用好比：语音，长链接等必要共同上线前验证测试；其他通常业务也能够使用ping,telnet端等方式仿照接见业务能够在防火墙进行查看有关纪录。

如号令抓报：

号令体式：diagnose sniffer packet <interface>　<'filter'>　<verbose>　<count>

1 interface

<interface> 指定现实的接口名称，可所以真实的物理接口名称，也可所以VLAN 的逻辑接口名称，当使用“any”关键字时，暗示抓全数接口的数据包。

2 verbose显示内容

<verbose> 指节造抓取数据包的内容。常用选项4和6。

3 count

<count> 抓取的数据包的数量。

4 filter 包过滤参数

举例：

diagnose sniffer packet any 'host 192.168.1.11' 4 2

diagnose sniffer packet wan1 'icmp and host 8.8.8.8' 1 10;　

如会话日志纪录：

勾选后能够在会话日志中查问有关测试纪录。

3>网络高可用架构参考如下

备注：凭据现实情况进行测试和演练。

05 风险评估

1>网络影响领域

防火墙新建项目业务风险相对比力低，若是是升级整悔改程通常会涉及好多利用和业务属于沉要调换，由于业务现实情况单纯从网络层面是不齐全的，一些特殊的业务可能无法正常使用，在执行割接提内部调换评审流程，在流程上和技术道理上确认网络影响风险领域后，还必要奉告甲方有关掌管人员进行有关业务的评估，把风险降低。

2>业务影响粒度

针对一些未知的特殊利用服务提供的业务可能出现中断情况，必要前期梳理的详细水平以及前期业务可用性纪录抓取业务机遇和次数距离往来确定业务的前后变动。

梳理关系见参照表格如下：

序号	业务名称	源IP	目IP	端口
1	CRM测试	192.168.1．2	192.168.10.4	1000~65535

类型	起止日期	申请人
UDP	2020.1.1-2020.3.31	张山

3>割接风险评估

技术复杂度：操作步骤的长度和是否新技术引入来衡量
故障复原功夫：业务复原的时长和等级级别对应
业务影响领域：能够凭据业务沉要性和领域指标评估
汗青纪录：纪录是否存在以及其纪录产生的频率作为指标参考
回退规划：有无验证、是否可逆、规划操作明细度

06 割接规划

割接规划能够参考公司的《技术服务部网络调换治理法式V2.0》的调换规划（模版）编写，不做具体叙述。

割接过程中可能遇到一些问题，建议凭据防火墙数据包处置流程进行排查，也能够凭据业务景象经验跳过有关步骤直接看有可能产生的选项，重要排查思路为：

1> 查抄设备配置，确保设备当前配置与规划中一致；

2> sniffer抓包，分析数据包是否正常转发到防火墙，或防火墙是否转发有关报文；

3> debug flow，显示数据包在防火墙内齐全数据流的处置过程，该步骤对于防火墙收到数据包但没有转发时极度有效，常用的号令及作用如下：

diagnose debug flow filter add x.x.x.x 定造过滤器，支持多种过滤,如过滤IP

diagnose debug flow show console enable 起头 flow 的输出

diagnose debug flow show function-name enable 显示职能？

diagnose debug flow trace start 100 界说索要跟踪数据包的数量

diagnose debug enable 开启 debug 职能

diagnose debug flow trace stop 关关debug flow trace

diagnose debug flow filter clear 断根过滤前提

diagnose debug disable 关关debug号令

diagnose debug reset 沉置所有的debug号令

以上查抄若是都查抄不出来什么问题，实时联系400后盾支持

07 调换规范

1> 调换规范

调换凭据现实情况的必要，走公司《技术服务部网络调换治理法式V2.0》的划定流程。

2> 充分授权

单一综合为“三授权：技术、治理、客户”，对于升级刷新过程中遇到的技术有关问题疑难点要和后盾技术人员深度沟通互换，找到解决规划，以及得到核准；割接规划的影响领域微风险点及其有关解决规划必要实时同步到上级主管认可赞成；客户也必要知路割接规划的风险点，一路参加评估影响领域以及对应的措施（回退，应急规划），客户赞成必要有肯定出现而不是停顿在口头上，必要落切实短信，微信，邮件蹬仔用证明上。

08 值守保险

重要分为2个部门：当天的割接过程中的割接分工和割接实现之后的业务保险值守：

1>割接分工

重要是把当天割接的人、责任领域、功夫、地址、联系方式等明确下来并公告各人统一指令，预防混乱，参考表格如下：

分组		姓名/手机	角色	地址
指挥幼组		张山/139XXXXXXX1	决策	地址0
现场总协调		李四/139XXXXXXX2	现场接口人	地址1
现场总协调		王五/139XXXXXXX3	现场接口人	地址2
指令颁布		XXX/139XXXXXXXX	指令下发	地址0
保险组		XXX/137XXXXXXXX	故障分析定位组	\
保险组		XXX/138XXXXXXXX	故障分析定位组	\
执行人员分组
	分组	执行/手机	复核/手机	地址
网络操作组	网络A	XXX/139XXXXXXXX	YYY/139YYYYYYYY	地址1
网络操作组	网络B	XXX/140XXXXXXXX	YYY/140YYYYYYYY	地址2
机房组	机房I	机房组	ZZZ/139ZZZZZZZZ	地址1
机房组	机房J	机房组	ZZZ/140ZZZZZZZZ	地址2
业务验证组	验证组1	AAA/139AAAAAAAA	BBB/139BBBBBBBB	地址1
业务验证组	验证组2	AAA/140AAAAAAAA	BBB/140BBBBBBBB	地址2

2>值守规范

通常涉及网络大的调整，尤其是涉及防火墙等安全设备的升级刷新若是没有充分业务验证，都必要在工作日上班保险功夫，具体功夫长度和保险方式必要和客户协商。若是故障处置不了实时升能够参考依照公司《故障处置治理法式V1.7》划定进行处置。参考表格如下：

值守保险人员
	分组	值守人员/手机	升级人员/手机	地址
网络操作组	网络A	XXX/139XXXXXXX1	YYY/139YYYYYYY1	地址XX
机房组	机房I	XXX/139XXXXXXX2	YYY/139YYYYYYY2	地址XX
业务验证组	验证组1	XXX/139XXXXXXX3	YYY/139YYYYYYY3	地址XX