Paloalto下一代防火墙运维手册.docx
17页
Paloalto 防火墙运维手册名目下一代防火墙产品简介Paloalto 下一代防火墙(NGFW)是应用层安全平台解决了网络简单构造,具有强大的应用识别、威逼防范、用户识别掌握、优越的性能和高中低端设备选择数据包处理流程图:查看会话可以通过查看会话是否创立以及会话具体信息来确定报文是否正常通过防火墙,假设会话已经建立,并且始终有后续报文命中刷,根本可以排解防火墙的问题2.1. 查看会话汇总命令: showsessioninfo 举例:admin@PA-VM>showsessioninfo说明:通过以上命令可以查看到设备支持会话数的最大值,从而检查是否有负载的状况发生2.2. 查看 sessionID命令: showsessionidXX 举例:说明:从以上命令中可以看出到底是否存在非法流量,可以通过检查源地址和目的地址端口等信息2.3. 条件选择查看会话命令: showsessionallfiltersource[ip]destination[ip]application[app] 举例:说明:可以检查一些风险会话2.4. 查看当前并发会话数命令: showsessioninfo 举例:当前并发会话 13 个,而最大会话为 262138,说明会话利用率并不高,最终一条红色标记为建数值。
说明:了解设备当前并发会话状况2.5. 会话过多处理方法命令:1、showsessionall〔检查全部 session〕2、showsessionidXX〔检查该 session 是否不法流量〕说明:假设觉察会话数大于设备可支撑的性能,需要依据以上步骤检查和去除或者防范通过第一步觉察占会话总数较多的 ID,通过其次步检查该 ID 是否存在不法 app 或者其他流量,通过 Dos 保护或者会话限制该 IP 数目〔假设确定是攻击,可以通过安全策略屏蔽该 IP 地址访问〕去除会话命令: Clearsessionall 举例:可通过 sessionid、源或目的 IP、源或目的端口或去除全部会话说明:将会话去除抓包和过滤在做 debug/less 或者抓包调试的时候,最好把 PA 的 fastpath 功能关掉,这样可以更加完整的看到交互的数据报文,关闭命令为:Setdeviceconfigsettingsessionoffloadno Setsessionoffloadno命令:1、创立过滤规章:Debugdataplanepacket-diagsetfiltermatchsourcedestination 2、开启过滤规章:Debugdataplanepacket-diagsetfilteron3、配置抓包对象:〔抓取来自接口接收的报文〕〔抓取地址转换后的报文〕〔抓取经过防火墙的报文〕4、全局抓包开关: Debugdetaplanepacket-diagsetcaptureon 5、查看全局抓包配置: Debugdetaplanepacket-diagshowsetting 6、关闭抓包Debugdetaplanepacket-diagsetcaptureoff 7、去除全部抓包内容Debugdetaplanepacket-diagclearall8、删除文件举例:说明:paloalto 可以通过抓包的方式来分析故障状况。
CPU 和内存查看1.1. 治理平台 CPU 和内存查看命令: showsystemresources 举例:说明:通过以上命令可以查询到数据平台的 cpu 使用状况和内存使 用 情 况 如 发 现 CPU 过 高 的 情 况 , 可 以 通 过showsystemresourcesfollow 这个命令去检查到底是哪项应用有超负载行为:-1 可以检查哪个 CPU 频率高,默认为合并-M 可以检查内存使用率是否过高检查特别应用是否必要使用,否则请关闭,假设不清楚需要开 case分析问题1.2. 数据平台 CPU 和内存查看命令:showrunningresource-monitor举例:说明:通过以上命令可以查询到治理平台的 cpu 使用率,查看该CPU 哪个应用占用的程序比较大,依据状况关闭相关应用,例如flow_lookup 是检查会话是否存在进程,flow_forwarding 是transmit地址转换进程,假设不确定的状况下开 case 解决问题1.3. 全局利用率查看命令: showcounterglobal 举例:说明:可以依据数据平台和治理平台综合状况,去查看具体哪个应用利用率超标,综合推断引起故障的要点。
Debug 和 Less 调试在 PA 的 debug 是为了猎取等多的排障具体信息,这个命令相当于 show 的命令,主要是查看治理平台和数据平台额外信息从而推断问题的根本缘由Less 为治理和数据平台 log 日志的查看,比照起 GUI 使用 CLI 的 less 能看到更多的具体数据交互信息,从而推断问题的根本缘由6.1. 治理平台 Debug/Less命令:lessmp-log/tailfollowyesmp-log举例:说明:查看治理平台日志信息可以通过关心命令去实现:使用 tail 可以实时觉察流量状况,例如该命令为查看治理平台的认证状况6.2. 数据平台 Debug/Less命令: debugdataplane 举例:说明:使用 debugdataplane 可以查看数据平台流量,例如内存的具体使用状况等6.3. 其他 Debug/Less命令:debugikeglobalondebug〔查看 VPNike 信息〕〔查看 VPNike 日志信息〕 举例:说明:查看 VPNike 交互过程,可以通过 tailfollowyes 的方式实时查看数据报文的交互命令:debuglog-receiverstatistics〔查看日志状况〕〔查看日志缓存状况〕 举例:说明:可以通过该命令来检查日志工作状况。
硬件特别查看及处理7.1. 电源状态查看命令: showsystemenvironmentalspower 举例:说明:当 Alarm 列为 True 时,表示电源状态特别,此时需要检查供电设施〔如机柜电源及电源插排〕是否正常供电,在确认供电正常,防火墙电源仍旧特别时,可以生成诊断信息文件,供给应PaloAlto 厂商 case 处理,以确认电源模块是否故障或损坏7.2. 风扇状态查看命令: showsystemenvironmentalsfans 举例:说明:当 Alarm 为 True 时,表示风扇状态特别RPMs 为 False 时,表示风扇不转此时需到现场检查设备风扇是否转动〔用手放在风扇后面,看是否能感受到风〕假设风扇不转,则需要对其进展更换7.3. 设备温度查看命令: showsystemenvironmentalsthermal 举例:说明:当 Alarm 为 True 时,表示温度状态特别特别时需要确定机房温度是否过高,或者散热系统是否受阻日志查看8.1. 告警日志查看命令: showlogalarm 举例:说明:告警可以依据属性筛选如开头时间或者完毕时间等等8.2. 配置日志查看命令: showlogconfig 举例:说明:可以通过条件选择来筛选需要的配置日志信息8.3. 其他日志查看命令: showlog 举例:说明:使用该命令可以查看到系统日志、流量日志、野火日志等双机热备特别处理命令:showhigh-availabilitystate〔查询防火墙 HA 双机状态〕 showhigh-availabilityall〔查询完整的 HA 信息〕showhigh-availabilitystate-synchronization〔询 HA 同步信息〕requesthigh-availabilitystatesuspend〔 手工切换防火墙 HA 状态,运行 此命令的防火墙将会从Active/Passive 状态切换为暂停状态〕 requesthigh-availabilitystatefunctional〔手工恢复防火墙 HA 状态〕 举例:说明:由于 PaloAlto 承受将治理平台和数据转发平台分别的硬件构造,因此 PaloAlto 的 HA 同步方式也承受治理平台和数据转发平台之间单独同步。
PaloAlto 防火墙 HA 的状态主要有如下四种: Initial—初始化状态,此状态为防火墙在觉察对等体并且进展 HA 状态协商前保持的状态,时间阀值为 60 秒60 秒过后,假设防火墙在未觉察对等体时,将会转换为 Active 状态Active—活泼状态,此状态为的防火墙处理全部的业务流量Passive—被动状态,此状态为备份状态,备份主状态防火墙全部业务流量 Suspended—暂停状态,此状态为防火墙治理员手工暂停Non‐functional—错误状态,主备防火墙都将可能消灭此故障状态当防火墙发生故障时故障时可以依据状态来推断和使用命令内网用户丢包排解方法10.1. 联通测试命令: pingsource
10.2. 会话查询命令: showsessionall 举例:说明:可以参考上节会话命令推断故障内容,查看是否在 PA 是否存在该会话信息10.3. 接口丢包查询命令:showcounterglobal|matchdrop举例:说明:查询全局计数器中中存在的 Drop 数据包,假设有丢包请查看是否由于安全策略引起10.4. 抓包分析命令:debugdataplanepacket-diagsetfilteron说明:请参考上节抓包和过滤分析VPN 故障处理命令:1、showvpnflow〔查看防火墙加解密状态〕 2、showvpngateway〔查看防火墙 vpn 配置〕3、showvpnike-sa〔查看防火墙第一阶段 IKESA 状态〕4、showvpnipsec-sa〔查看防火墙其次阶段 IpsecSA 状态〕 5、showvpntunnel〔查看防火墙 tunnel 配置〕6、〔debug/less 调试〕 举例:常见的 VPN 故障报错信息: 说明:WrongIP:在建立 VPN 两端的设备上面没有使用正确的公网 IP 地址进展 VPN 的建立NomatchingP1orP2Proposal:在建立 VPN 两端的设备上面使用的加解密算法,数据完整性算法,Hash 保持协议不匹配.MismatchedPeerID。
