通过日常的设备性能指标监控,对有可能的故障隐患进行排查。

----常规维护中需要重点关注的信息

1.CPU :
get per session 如出现cpu利用率过高应及时查看是否有网络***,正常运行利用率应小于45%
2.memory:
空载时内存使用率在50%左右,随这流量不断增加,使用率在60%左右,基本保持稳定,如果出现超过75%的情况应检查是否有恶意***流量。
3.session:
如果session值接近系统最大值,应考虑设备容量限制,并及时升级。get per session
在业务使用高峰时间检查以上信息,建立基准值,等遇到突发情况时,对比基准值,如果超过基准20%,要检查session和告警信息,如果cpu占用超基准值30%时,需查看异常流量、告警日志等.

------应急处理

  当网络出现异常情况时应尽快检查防火墙各项指标状态,也可打开debug 功能跟踪包处理过程,检查配置策略是否有问题。
        1、检查设备运行状态
             快速查看CPU、memory、session等是否正常
        2、跟踪防火墙数据包处理情况
              如果出现部分网络无法正常访问,顺序检查接口状态、路由、策略配置等。
            3、检查是否存在***流量
                通过查看告警信息来确认是否有异常信息。

总结改进:
每次出现故障后,都应及时总结和改进,这样才能有效的避免再次发生类似故障。总结故障产生原因,并确认故障已排除,条件允许的情况下可以构建测试环境,对相关的问题进行再次测试,评估现有配置是否还有问题。通过分析找出可能存在的薄弱环节和潜在隐患。

故障处理工具之---------debug
用于跟踪防火墙对数据包的处理过程

1、set ffilter src-ip dst-ip dst-port xx 设置过滤列表,定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包

3、debug flow basic 开启debug功能

4、发送测试数据包

5、undebug all 关闭debug功能

6、get dbuf stream 检查防火墙对数据包的分析结果

7、unset ffilter 清除防火墙debug过滤列表

8、clear dbuf 清除防火墙debug缓存信息

9、get debug 查看当前debug设置

故障处理工具之--------snoop
与sniffr软件功能类似

1、set ffilter src-ip dst-ip dst-port xx 设置过滤列表,定义捕获包的范围

2、clear dbuf 清除防火墙内存中缓存的分析包

3、snoop 开启snoop功能

4、发送测试数据包

5、snoop off 停止snoop功能

6、get db stream 检查防火墙对数据包的分析结果

7、snoop ffilter delete 清除防火墙snoop过滤列表

8、clear dbuf 清除防火墙snoop缓存信息

9、snoop info 查看当前snoop设置