IDC机房的等级划分是根据《数据中心电信基础设施标准》而定的,它是美国国家标准学会(ANSI)颁布的,它将IDC数据中心(大型的设备和管理都比较完善的机房可以称为数据中心)基础设施的可用性定义了四种不同等级,即Tier 1、Tier 2、Tier 3和Tier 4四个等级。
四个等级分别对应数据中心的可用性指标及年平均故障时间:
现有一台HP DL160 G9服务器,突然远程登录不上,到设备现场发现,前面板的四个指示灯同时闪烁,四个指示灯分别是系统电源LED指示灯、运行状态LED指示灯、网卡LED指示灯、UID LED指示灯,如下图:
翻阅了一下HP官方的故障排除指南,有以下内容:
故障排除指南也明确写了4个LED指示灯同时闪烁时,说明发生了电源故障。然后更换电源,问题依旧,更换电源背板,还是无法开机,后来定位是主板及PCI-E扩展卡的问题,更换主板及PCI-E扩展卡后可正常开机。
[……]
现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。
测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。
但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。
在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。
与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF[……]
现有一网络,拓扑为出口深信服上网行为管理AC,下接深信服防火墙AF,AC的WAN口接公网,AC的LAN口接AF的WAN口,AF的LAN口为内网PC的网关。AC上做NAT代理上网,AF上不启用NAT。现在内网PC上网正常,ping百度也正常,但是tracert百度的时候,第一跳是AF的内网,第二跳第三跳都是星号*,第四跳就是AC的WAN口的网关,就是运营商的地址了。
在防火墙上去traceroute百度,前两跳仍然不显示。继续排查,发现是深信服AC的机制问题。
关于深信服AC跟踪路由不显示的说明如下:
1、AC设备主要用于上网管理和审计,为了避免被内网终端窥探,及出于网络安全考[……]
现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。
做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.[……]
需求1:对SSH远程管理进行限源,仅允许10.0.1.0/24,210.1.0.0/24段ip进行登录;
需求2:对SNMP管理进行限源,仅允许210.1.0.200-210.1.0.202这3个ip进行访问。
配置方法:
ssh登录后,输入:
sys
acl number 2000 match-order config
rule 1 permit source 10.0.1.0 0.0.0.255
rule 2 permit source 210.1.0.0 0.0.0.255
rule 3 deny source any
quit
acl number 2001 match-order config
r[……]
深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:
对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:
[……]
zabbix监控深信服上网行为管理AC时,会需要用到上网行为管理的OID,以下就是截止2020年9月,最新的OID表格:
CPU占用率,以百分比为单位1.3.6.1.4.1.33333.1.1.1.0设备类型(如M5000)1.3.6.1.4.1.33333.1.1.2.0剩余内存,free+buffers,以KB为单位1.3.6.1.4.1.33333.1.1.3.0 设备运行时间(UPTIME),以1/100秒为单位。1.3.6.1.2.1.1.3.0系统描述1.3.6.1.2.1.1.1.0设备型号1.3.6.1.2.1.1.5.0 接口数量1.3.6.1.2.[……]
zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:
NameDescriptionOIDsysDescr系统描述.1.3.6.1.2.1.1.1sysContact联系.1.3.6.1.2.1.1.4sysName系统名.1.3.6.1.2.1.1.5sysLocation位置.1.3.6.1.2.1.1.6sysServices系统服务.1.3.6.1.2.1.1.7sysConnNum连接数.1.3.6.1.2.1.1.10sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11sysMemUsage内存占用率.1.[……]
今天终于结束了为期XX天的HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重复。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模板,毕竟有保密协议,脱敏的道路还是有些累的,所以此文章主要是模板,内容未必真实,帮大家解决最后一公里路程,希望有点帮助——从HW的痛苦中结束,投入到70周年重保的痛苦中去~~~
由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:
201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX[……]
1. HW背景
能源:“xxx是国家的支柱能源和经济命脉,其安全稳定运行不仅关系到国家的经济发展,而且维系国家安全。随着xxx规模的逐渐扩大,安全事故的影响范围越来越大,安全问题越来越突出,xxx网络安全运行已经成为全球的研究热点。”
银行:”随着我国信息化发展的日新月异,信息系统的风险评估也被国家决策层纳为重要项目。银行信息安全是至关重要的问题,因为在任何一个环节出现问题,就会影响到整个系统的发展,造成全局性的失误。所以其中的信息安全成为重中之重。银行给客户提供服务的同时,必须要为客户提供可靠的环境以及信息的准确性和安全性。”
(以上选一即可)201X年X月X日-201X年X月X日[……]
bashshell 是可用于 Linux 的几个 shell 之一,也被称为 Bourne-again shell,是根据一个早期的 shell (/bin/sh) 的创建者 Stephen Bourne 来命名的。Bash 高度兼容 sh,但它在函数和编程功能上都提供了许多改进。它合并了来自 Korn shell (ksh) 和 C shell (csh) 的特性,想要成为一个符合 POSIX 的 shell。
在深入了解 bash 之前,回想一下 shell是一个接受和执行命令的程序。它还支持编程结构,允许使用更小的部件构建复杂的命令。这些复杂命令或 脚本[……]