防火墻巡檢報(bào)告書模版

1、juniper防火墻設(shè)備巡檢技術(shù)服務(wù)報(bào)告書項(xiàng)目單位：項(xiàng)目單位地址：用戶負(fù)責(zé)人：聯(lián)系電話：巡檢工程師：聯(lián)系電話：巡檢地點(diǎn)：巡檢時(shí)間：設(shè)備型號：設(shè)備數(shù)目：巡 檢 結(jié) 果 報(bào) 告設(shè)備名稱：編號檢查內(nèi)容檢查方法檢查標(biāo)準(zhǔn)檢測結(jié)果1檢查軟件版本web方式檢查：選擇“home”查看“device information”中“firmware version”的值。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get systemnetscreen os應(yīng)為正式發(fā)布的版本，要求主備防火墻版本一致。2檢查日志信息web方式檢查：選擇“home”查看the most recent events的日志信息。命令行方式查

2、看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get log event正常工作情況下，日志中不應(yīng)該有大量重復(fù)的信息，如端口頻繁up/down、大量用戶認(rèn)證失敗信息等。3檢查調(diào)試信息開關(guān)命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get debugsnoop info正常運(yùn)行時(shí)所有debug、snoop開關(guān)應(yīng)該全部關(guān)閉。l 如果啟用debug，則可以在命令行提示下，單擊鍵盤上的esc鍵。l 如果啟用snoop，則可以在命令行提示下，單擊鍵盤上的esc鍵。說明debug和snoop為隱藏命令。4檢查系統(tǒng)時(shí)間是否與當(dāng)?shù)貢r(shí)間和時(shí)區(qū)一致web方式檢查：選擇“home”查看“system time“的值。命令行方式查看：

3、在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get clock系統(tǒng)時(shí)間和當(dāng)?shù)貢r(shí)間、時(shí)區(qū)一致。5檢查telnet、web、snmp登錄控制情況在untrust區(qū)域進(jìn)行telnet登錄測試和ie登錄測試。不能打開untrust區(qū)域接口的telnet、web、snmp的權(quán)限。6多接口監(jiān)控配置檢查在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get nsrp vsd-group allget nsrp monitor interface所有的在用接口都是up狀態(tài)。7檢查netscreen防火墻雙機(jī)的配置是否同步在防火墻各節(jié)點(diǎn)上分別執(zhí)行：exec nsrp sync global-config check-sum主備機(jī)數(shù)據(jù)同步時(shí)，conso

4、le上會(huì)輸出：configuration in sync說明此命令的結(jié)果只在console上顯示，所以必須在console上執(zhí)行，才能看到結(jié)果。8檢查系統(tǒng)接口配置web方式檢查：選擇“network->interface”查看各接口的狀態(tài)。在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get interface正在使用的接口應(yīng)為up或active。9檢查fe/ge口配置web方式檢查：選擇“configuration->updte->config file”查看“current system configuration”的內(nèi)容。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get config查看當(dāng)

5、前配置。web方式檢查：選擇“network->interface”查看各接口的狀態(tài)。命令行方式查看：get interface查看接口狀態(tài)。端口模式（包括速率、雙工模式）配置對接雙方必須一致；端口實(shí)際工作模式必須與對端一致。在檢驗(yàn)端口速率雙工配置時(shí)也要檢查對端端口設(shè)置。10檢查ip地址分配web方式檢查：選擇“network->interface”查看各接口的狀態(tài)。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get interfaceget log eventl 同一網(wǎng)段內(nèi)主機(jī)和網(wǎng)絡(luò)設(shè)備ip地址掩碼一致。l 沒有地址沖突現(xiàn)象。l ip子網(wǎng)分配沒有出現(xiàn)重疊現(xiàn)象。l log中沒有報(bào)地址

6、沖突11檢查telnet、串口和web登錄是否成功在防火墻各節(jié)點(diǎn)上分別進(jìn)行telnet連接測試、串口連接測試和web連接測試。telnet、串口和web三種方式能正常登錄。12檢查系統(tǒng)cpu使用率web方式檢查：選擇“home”查看“resources status ”中“cpu”的值。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get perform cpu detail系統(tǒng)cpu使用率不應(yīng)超過50%。從web界面上看，cpu使用率指示條應(yīng)該是正常的藍(lán)顏色，不能出現(xiàn)黃/紅顏色的告警信息。13檢查系統(tǒng)內(nèi)存使用率web方式檢查：選擇“home”查看“resources status ”中“memo

7、ry”的值。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get memory系統(tǒng)內(nèi)存使用率不應(yīng)超過90%。從web界面上看，內(nèi)存使用率指示條應(yīng)該是正常的藍(lán)顏色，不能出現(xiàn)黃/紅顏色的告警信息。14檢查防火墻系統(tǒng)連接數(shù)web方式檢查：選擇“home”查看“resources status ”中“sessions”的值。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get session info查看防火墻現(xiàn)在有多少連接數(shù)。經(jīng)驗(yàn)值是一般系統(tǒng)現(xiàn)有連接數(shù)不會(huì)超過最大值的50%。其中ns5000支持的最大值為1000000。isg2000支持的最大值為50000015檢查區(qū)域名稱配置是否正常web方式檢查：選擇

8、“network”查看“zones”中zone是否正常。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get zone顯示防火墻上配置的區(qū)域，包括系統(tǒng)自定義的區(qū)域和用戶自定義區(qū)域。沒有異常區(qū)域配置或異常接口歸屬到指定區(qū)域。16檢查域間應(yīng)用的訪問策略配置web方式檢查：選擇“policies”查看策略信息。命令行方式查看：在防火墻各節(jié)點(diǎn)上分別執(zhí)行：get policy查看域間應(yīng)用的訪問策略，不應(yīng)有多余的策略，同時(shí)不能有從低安全級別到高安全級別開放any服務(wù)的策略。17防火墻設(shè)備指示燈檢查直接查看防火墻前面板的led 指示燈。status ：系統(tǒng)狀態(tài)。黃色閃爍表示系統(tǒng)正常啟動(dòng)；綠色閃爍表示系統(tǒng)正常工作。alarm：系統(tǒng)告警。紅色表示系統(tǒng)有嚴(yán)重硬件或軟件故障；黃色表示系統(tǒng)有某一方面負(fù)載過重。如：內(nèi)存少于10%、cpu 利用率超過90%、 連接數(shù)滿。綠色表示沒有告警。pwr：電源供電情況。綠色表示電源工作正常；紅色表示電源失效或沒裝電源模塊。ha：高可用狀態(tài)。綠色表示系統(tǒng)當(dāng)前為主用狀態(tài)；綠色閃爍表示沒有找到冗余組成員；黃色表示系統(tǒng)當(dāng)前為備用狀態(tài)；黑色表示系統(tǒng)沒有配置ha（高可用性）。fw ：防火墻告警。綠色表示沒有防火墻攻擊；黃色表示防火墻有告警事件發(fā)生。18防火墻接口指示