故障排查中
防火墙这类重要网络设备,平时很少出现硬件故障,所以当单位几个网络管理员发现防火墙启动不了时,手足无措,不知道如何应对。没有办法,立即电话求援设备生产厂商,对方回答说这种现象他们也很少碰到,只有将设备返回厂商进行检修。由于单位没有备用防火墙可以利用,将单位唯一的防火墙设备送到厂商返修,需要耗费一个多月的时间,显然这么长的时间单位是等不起的。
偶然间看到,PIX525型号防火墙的启动界面,与普通计算机的启动初始化界面比较接近,启动的时候也是先进行BIOS自检操作,而现在防火墙启动到一半的时候,无法继续进行下去,会不会是自检操作失败了呢?既然防火墙的启动很象普通计算机,那么该设备内部的结构也应该和普通计算机内部结构相差无几吧!?能不能将防火墙当成普通计算机检修检修看看呢?
万般无奈之下,我们断开了防火墙设备的输入电源,拆开了该设备的机箱外壳,结果发现其内部结构真的与普通计算机尸样,除了风扇组件、电源组件外,中间就是和计算机主板一样的板块。既然结构类似计算机,那么我们只好按照解决计算机启动失败故障的方法,来应对防火墙启动失败的故障了。
按照常规思路来看,计算机系统自检失败,最主要的原因就是CMOS电量不足,所以我们怀疑防火墙自检不通过,也有可能是该设备的CMOS存在问题。于是,尝试取下防火墙的CMOS钮扣式电池,将跳线插人到另外一边,过一段时间后再将跳线恢复到原始位置,这样就对CMOS执行了初始化操作,该操作的作用就相当于将计算机主板的BIOS设置恢复到缺省设置,之后小心将CMOS钮扣式电池重新装好。再次接通防火墙设备的电源,开机启动该设备,这一次设备启动很快跳过了以前停止不前的页面,设备自检操作成功通过,最后系统屏幕停留在非特权模式状态。在“PIX525>"提示符下输人“EN”并回车,再输人后台登录密码,切换到“PIX525#',特权模式状态,在该状态下使用“conf t”,命令切换到配置模式,然后通过“show conf”命令查看了防火墙的配置,发现以前的配置信息仍然存在,这就意味着防火墙已经能正常工作孔从其他楼层的一台客户机中,尝试ping防火墙设备的IP地址时,发现ping测试操作现在已经成功了,而且访问电子政务内网中的某个政务应用平台时,故障现象也消失了,显然防火墙的工作状态真的恢复正常了。
上面的故障,问题主要出在防火墙身上,具体原因是该设备CMOS中的配置信息发生了混乱,造成了防火墙在停电事故恢复后,无法正常启动成功。借鉴计算机自检失败故障的解决方法,我们成功恢复了防火墙主板的BIOS默认设置后,防火墙立即就能成功启动,并正常进行工作了,这样整个网络的访问也自动复正常了。
由于这台PIX525型号防火墙是电子政务内网中的重要设备,它的价格比普通计算机要高出很多倍,这让我们这些普通用户始终对其敬而远之,遇到哪怕是芝麻大点的故障,也不敢轻易动手去拆开它的外壳,尝试去自行修理它,现在看来防火墙设备真的与普通计算机设备没有多大差别,只是其没有计算机那么普及而已。
从这次故障排查实践中,我们应该重视局域网重要网络设备的安全巡检工作,定期做好CMOS电池更换、设备灰尘清洁等常规维护操作,如果发现类似设备风扇不转等意外现象时,一定要立即进行更换,否则的话很容易会因小失大的。此外,重要网络设备一旦发生故障时,不要简单认为故障有多么严重,要么更换新的设备,要么送到厂家返修,不妨拓宽思路、尝试着自己动手,从小处着手,使用土办法来解决问题。比方说,在本文中,我们尝试将防火墙设备看成是普通的计算机设备,按照普通计算机自检失败的解决方案,成功恢复了防火墙开机自检操作。
此外,要提醒大家的是,由于防火墙设备在网络中的作用比较特殊,在组网的时候,必须慎重选好该设备,确保网络可以始终安全稳定运行。首先要重视设备质量。硬件防火墙自身质量的优劣,应该成为用户挑选防火墙时首先关注的问题,只有那种自身质量过硬、有安全自卫能力的硬件防火墙产品,才能发挥出应有的安全保障作用,比方说NetScreen系列防火墙自身的安全防范能力就很强,它允许用户通过设置安全策略,来保护自身的绝对安全。其次要重视厂家技术支持。在安全技术飞速发展的今天,硬件防火墙的相关软件和技术都需要不断升级,只有提供良好技术支持的品牌产品,才能获得不断升级的可靠保证。当然,在寻求技术支持时,还要选择那种升级时不需要支付费用的硬件防火墙,不然持续不断的升级,会给网络的安全运行带来额外的负担!第三要注重性价比。网络规模小的用户,可以根据自身经济实力,挑选软硬结合的防火墙产品,而不必非要购买硬件防火墙,这是因为硬件防火墙尽管在安全性能和稳定性方面表现不错,但它在小规模的网络环境中性价比并不是很高,它的实际使用效率也不是很高,容易造成投资上的过度浪费。网络规模较大的用户,一定要选择性能高的硬件防火墙,而不能片面追求低价格。