档案管理系统网络运维实操指南 故障排查安全加固全流程零门槛落地

前置准备：运维必备工具与基础环境校验

先完成工具安装与基线确认，避免后续操作无参考依据：

• 网络排查工具Wireshark 4.0.8，下载地址：https://www.wireshark.org/download.html
• 端口扫描工具Nmap 7.94，下载地址：https://nmap.org/download.html
• 运维专用主机1台，绑定固定IP 192.168.1.100，禁止其他主机占用该IP

1. 拓扑基线确认

先导出档案系统网络拓扑，必须标注3个核心网段：

• 核心存储服务器段：192.168.10.0/24，存放档案原始数据
• web访问服务器段：192.168.20.0/24，对外提供系统访问服务
• 离线备份节点段：10.0.0.0/24，存放档案冷备份数据，禁止公网访问

2. 基线配置备份

每次运维操作前必须先备份配置，避免操作失误无法回滚：

• 华为交换机配置备份命令： ``` save tftp 192.168.1.100 switch_$(date +%Y%m%d).cfg ```
• 服务器配置备份命令： ``` Nginx配置备份 cp /etc/nginx/nginx.conf /data/backup/nginx_$(date +%Y%m%d).conf MySQL配置备份 cp /etc/my.cnf /data/backup/my_$(date +%Y%m%d).cnf ```

日常运维巡检实操步骤

1. 网络连通性巡检

每日执行1次全节点连通性检测，脚本可直接复制运行：

• Windows系统批量ping脚本： ```bat @echo off set ip_list=192.168.10.10 192.168.10.11 192.168.20.10 10.0.0.10 for %%i in (%ip_list%) do ( ping -n 2 %%i >nul && echo %%i 连通正常 || echo %%i 连通异常 >> error.log ) ```
• Linux系统批量ping脚本： ```shell !/bin/bash ip_list=("192.168.10.10" "192.168.10.11" "192.168.20.10" "10.0.0.10") for ip in ${ip_list[@]} do ping -c 2 $ip > /dev/null if [ $? -eq 0 ];then echo "$ip 连通正常" else echo "$ip 连通异常" >> error.log fi done ```
• 端口可用性检测命令：nc -zv 目标IP 端口号，返回succeeded为正常，否则为端口未开放。

2. 流量异常巡检

每周执行1次流量巡检，避免数据泄露风险：

• Wireshark抓核心交换机上行口流量，过滤规则直接复用：
  • 排查非授权访问数据库：tcp.port == 3306 and ip.src != 192.168.10.0/24
  • 排查非法上传档案：http.request.method == "PUT" and ip.dst == 192.168.20.10
• 核心存储服务器上行流量峰值不得超过100Mbps，超过需立即排查是否有批量下载行为。

常见故障快速排查与修复方案

场景1：用户无法访问档案系统web端

按以下优先级排查，10分钟内可解决90%以上问题：

1. 用户端网络检测：让用户ping 192.168.20.10，通则跳下一步，不通则排查用户所在VLAN是否开通20段访问权限。
2. web服务状态检测：登录web服务器执行systemctl status nginx，若状态为inactive，执行systemctl start nginx；若启动失败，查看错误日志tail -n 20 /var/log/nginx/error.log，常见80端口被占用问题，执行netstat -tunlp | grep 80杀掉占用进程即可。
3. 防火墙规则检测：执行iptables -L -n | grep 443，无放行规则则执行iptables -A INPUT -p tcp --dport 443 -j ACCEPT。

场景2：档案上传/下载超时

按以下步骤排查：

1. 存储服务器磁盘检测：执行df -h，磁盘使用率超过90%时，删除30天前的旧备份：find /data/backup -mtime +30 -delete。
2. 网络丢包检测：在web服务器ping存储服务器执行ping -c 100 192.168.10.10，丢包率超过1%时，登录华为交换机执行display interface GigabitEthernet 0/0/1查看对应端口是否有CRC错误，有错误则更换网线或光模块。

安全加固实操配置

1. 网络访问控制加固

直接复制以下iptables规则配置，禁止非授权访问： ```shell 清空原有规则 iptables -F iptables -X 默认拒绝所有入站 iptables -P INPUT DROP 允许回环访问 iptables -A INPUT -i lo -j ACCEPT 允许已建立的连接访问 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 允许80、443端口全网访问 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT 允许3306端口仅内部存储段访问 iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 3306 -j ACCEPT 允许22端口仅运维主机访问 iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT 保存规则 service iptables save ```

2. 传输加密加固

强制所有访问走HTTPS，直接复制以下Nginx配置片段： ```nginx server { listen 443 ssl; server_name archive.xxx.com; ssl_certificate /etc/nginx/cert/archive.pem; ssl_certificate_key /etc/nginx/cert/archive.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; 强制HTTP跳转HTTPS if ($scheme = http) { return 301 https://$server_name$request_uri; } location / { root /usr/share/nginx/html; index index.html index.htm; } } ```

运维归档要求

每次运维操作完成后1小时内必须填写运维记录，内容包含：操作时间、操作人、操作内容、故障现象、修复方案、验证结果。所有运维记录保存周期不低于3年，与档案系统操作日志分开存储，避免被篡改。