- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPathF3015-I[F3115-I][F3135-I]工控防火墙系统
故障处理手册
Copyright © 2021-2023新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
2.7 防火墙策略引用DDOS默认规则触发阈值阻断后,如何处理
本文档介绍防火墙产品软、硬件常见故障的诊断及处理措施。
· 更换和维护设备部件时,请佩戴防静电手腕,以确保您和设备的安全。
· 设备正常运行时,建议您在完成重要功能的配置后,及时保存当前配置,以便设备出现故障后能迅速恢复配置。
· 设备出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),搜集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录完整的网络拓扑,包括组网图、端口连接关系、故障位置。
¡ 记录现场采取的故障处理措施(比如配置操作、插拔线缆、手工重启设备)及实施后的现象效果。
¡ 记录故障处理过程中配置以及所有命令行显示信息。
¡ 搜集设备日志信息。
¡ 记录设备故障时单板、电源、风扇指示灯的状态,或给现场设备拍照记录。
· 故障处理过程中,请注意:
¡ 明确每项配置操作的影响,保证操作出问题时能够被恢复,故障影响不会扩大。
¡ 操作执行后请等待一定时间以确认执行效果。
设备出现故障时,请先搜集设备运行的相关信息,判断大致的故障类型,然后参照对应类型的故障处理流程进行确认。
如遇到故障无法确认,请将故障描述连同搜集的信息发送给公司技术支持人员分析。
|
故障原因 |
业务恢复动作 |
故障排除动作 |
|
硬件 |
隔离故障单板 调整业务流向来隔离故障设备(如可以调整路由的优先级,避免流量经过故障设备,实现流量切换) |
更换备件(备件上线应用前应进行必要的测试) |
|
软件 |
重启故障设备的协议 调整业务流向来隔离故障设备 |
升级版本(含补丁版本) 调整组网或配置消除引发故障因素 |
|
链路 |
调整业务流向来隔离故障线路 |
检修线路 |
|
其它 |
修改错误配置 正确连接设备端口 调整业务流向来隔离故障线路 |
修改错误配置 正确连接设备端口 检修机房的电源、空调等支撑系统 |
报文转发丢包,ping不通或ping丢包。
ping 10.0.0.5
PING 10.0.0.5 (10.0.0.5): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 10.0.0.5 ping statistics ---
5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
防火墙设备,默认没有添加任何安全放行转发策略,要确认是否配置了相关放行策略。缺省情况下,防火墙设备没有任何放行规则,需要手动配置相关的五元组策略。
设备报文转发遵循以下规则:
· 不符合五元组策略的报文,会被丢弃。
· 符合黑名单的报文,缺省会被丢弃。
· 不符合ipmac绑定的报文,缺省会被丢弃。
· 不符合入侵防护规则、DDOS防护规则、工控防护规则的访问,缺省会被丢弃。
· 当存在Any到Any实例时,并没有引用任何规则模板时,但不符合时间策略,则直接丢弃报文。
报文转发异常通常会涉及多台设备,需要逐一排查。为方便排查,排查前建议先明确报文的转发走向,如经过哪些中间设备,在设备的哪些接口进入设备,又会从哪些接口出去。检查入接口的报文跟出接口报文计数是否一致。
检查入方向报文和出方向统计计数,可以通过网口信息统计进行计数。
告警日志发送失败,接收日志服务器接收不到日志。
· 首先使用测试邮件进行测试.检查是否能正常发出去。
· 在防火墙出接口进行抓包,查看是否发包出去。
· 配置相关网口的路由、如果DNS是域名的话还要配置相应的DNS。
· 检查日志页面是否实时产生日志数据。
· 检查日志服务器以及防火墙之间是否能正常联通。
· 如果仍然无法确认故障原因,请搜集信息并发送给技术支持人员协助分析。
配置桥接模式HA网络成环。
· 主备接好心跳线以后,只插主机的业务口,等主备协商好后再插备机业务口,来避免成环。
防火墙开启DNS中继后,PC访问外网无法解析。
· 防火墙管理口一般不涉及业务,可以通过对防火墙业务口进行配置,使其能通过DNS服务器访问外网。
· 防火墙添加一个默认静态路由,结合SNAT策略,开启DNS中继后,通过SNAT为DNS中继提供一个出接口地址,当访问外网的时候通过出接口,将出接口作为转换后的源地址,外网可以将响应数据正确返回。
· PC本地接口DNS地址配置为关联的防火墙业务口地址后,可正常访问外网。
VPN无法建立连接。
· IPSec VPN通过IP地址进行身份识别,NAT隐藏了源地址IP,导致VPN无法识别,连接失败。
· IPSec VPN由AH或ESP协议构成,NAT改变了Hash值,无法通过AH验证,导致VPN连接失败。
· 当IPSec VPN采用ESP协议时,ESP认证方式将数据包加密,NAT无法获取端口号,数据包被丢弃。
配置好VPN(点到多点、L2TP over IPSec)后,PC拨号连接不上VPN。
· 按windows 图标键+R键 > 在运行中输入regedit,点击“确定”,进入注册表编辑器。
· 在注册表编辑器 页面的左侧导航树点开HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>PolicyAgent。
· 在右边空白处新建>DWORD值,名称为AssumeUDPEncapsulationContextOnSendRule。
· 右键单击“AssumeUDPEncapsulationContextOnSendRule”,选择“修改”,进入修改界面,修改值为2(表示可以与位于NAT设备后方的服务器建立安全关联)。
· 重启电脑。
· 对于Windows 7及以下还需要修改 DisableIKENameEkuCheck 支持通用证书,
依次点击HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > services > RasMan > Parameters ,增加或者修改 DisableIKENameEkuCheck 值为 DWORD 32 位。
DDOS默认模板SYN Flood阈值为5000,ICMP Flood阈值为5000,UDP Flood阈值为5000,若环境中时刻网络流量尖峰触发了防火墙的DDOS防护机制。为了保障服务器不受到DDOS的攻击,防火墙对发包设备的IP地址加入到了黑名单,并进行了阻断动作,可能会导致部分网络中断。
· 新增一个DDOS 防护模板在模板中调高DDOS相应的阈值并将阻断动作修改为告警,并在防火墙策略中引用使其生效,在稳定运行一段时间后如果不出现告警日志,可以适当的下调相应阈值和改变防护动作,已到达到最佳的防护效果。
设备电源正常,但是网卡指示灯是不亮的。
· 首先确定网口线是否插线正常。可以拔下来反复重新插几次。
· 查看软件页面是否启用了该网口。
· 检查本端、对端端口配置是否正确,如端口是否shutdown,速率、双工、协商模式是否正确。
· 测试端口之间网线、光纤链路是否正常,光纤两端的发送/接收端是否错连;更换端口之间的网线、光纤或将网线、光纤放到别的正常端口,以确认是否中间传输链路故障。
· 如端口使用光模块,请检查两端光模块类型是否一致,如速率、波长、单模多模状态等;
· 如果仍然无法确认故障原因,请搜集信息并发送给技术支持人员协助分析。
支持
