Paloalto下一代防火墻運(yùn)維手冊(cè)

Paloalto名目下一代防火墻產(chǎn)品簡(jiǎn)介Paloalto下一代防火墻(NGFW)是應(yīng)用層安全平臺(tái)。解決了網(wǎng)絡(luò)簡(jiǎn)單構(gòu)造，具有強(qiáng)大的應(yīng)用識(shí)別、威逼防范、用戶(hù)識(shí)別掌握、優(yōu)越的性能和高中低端設(shè)備選擇。數(shù)據(jù)包處理流程圖：查看會(huì)話(huà)可以通過(guò)查看會(huì)話(huà)是否創(chuàng)立以及會(huì)話(huà)具體信息來(lái)確定報(bào)文是否正常通過(guò)防火墻，假設(shè)會(huì)話(huà)已經(jīng)建立，并且始終有后續(xù)報(bào)文命中刷,根本可以排解防火墻的問(wèn)題。查看會(huì)話(huà)匯總命令：showsessioninfo舉例：admin@PA-VM>showsessioninfo說(shuō)明：通過(guò)以上命令可以查看到設(shè)備支持會(huì)話(huà)數(shù)的最大值，從而檢查是否有負(fù)載的狀況發(fā)生。sessionID命令：showsessionidXX舉例：說(shuō)明：從以上命令中可以看出到底是否存在非法流量，可以通過(guò)檢查源地址和目的地址端口等信息條件選擇查看會(huì)話(huà)命令：showsessionallfiltersource[ip]destination[ip]application[app]舉例：說(shuō)明：可以檢查一些風(fēng)險(xiǎn)會(huì)話(huà)查看當(dāng)前并發(fā)會(huì)話(huà)數(shù)命令：showsessioninfo舉例：高，最終一條紅色標(biāo)記為建數(shù)值。說(shuō)明：了解設(shè)備當(dāng)前并發(fā)會(huì)話(huà)狀況會(huì)話(huà)過(guò)多處理方法命令：session是否不法流量〕說(shuō)明：假設(shè)覺(jué)察會(huì)話(huà)數(shù)大于設(shè)備可支撐的性能，需要依據(jù)以上步驟檢查和去除或者防范appDosIP數(shù)目〔IP地址訪(fǎng)問(wèn)。去除會(huì)話(huà)命令：Clearsessionall舉例：sessionidIP、源或目的端口或去除全部會(huì)話(huà)。說(shuō)明：將會(huì)話(huà)去除。抓包和過(guò)濾debug/lessPAfastpath功能關(guān)掉，這樣可以更加完整的看到交互的數(shù)據(jù)報(bào)文，關(guān)閉命令為：SetdeviceconfigsettingsessionoffloadnoSetsessionoffloadno命令：1、創(chuàng)立過(guò)濾規(guī)章：Debugdataplanepacket-diagsetfiltermatchsourcedestination2、開(kāi)啟過(guò)濾規(guī)章：Debugdataplanepacket-diagsetfilteron3、配置抓包對(duì)象：〔抓取來(lái)自接口接收的報(bào)文〕〔抓取地址轉(zhuǎn)換后的報(bào)文〕〔抓取經(jīng)過(guò)防火墻的報(bào)文〕4、全局抓包開(kāi)關(guān)：Debugdetaplanepacket-diagsetcaptureon5、查看全局抓包配置：Debugdetaplanepacket-diagshowsetting6、關(guān)閉抓包Debugdetaplanepacket-diagsetcaptureoff7、去除全部抓包內(nèi)容Debugdetaplanepacket-diagclearall8、刪除文件舉例：說(shuō)明：paloalto可以通過(guò)抓包的方式來(lái)分析故障狀況。CPU和內(nèi)存查看CPU和內(nèi)存查看命令：showsystemresources舉例：cpu使用狀況和內(nèi)存CPUshowsystemresourcesfollow這個(gè)命令去檢查到底是哪項(xiàng)應(yīng)用有超負(fù)載行為：-1CPU頻率高，默認(rèn)為合并-M可以檢查內(nèi)存使用率是否過(guò)高case分析問(wèn)題。CPU和內(nèi)存查看命令：showrunningresource-monitor舉例：cpu使用率，查看該CPU哪個(gè)應(yīng)用占用的程序比較大，依據(jù)狀況關(guān)閉相關(guān)應(yīng)用，例如pg是case解決問(wèn)題。全局利用率查看命令：showcounterglobal舉例：說(shuō)明：可以依據(jù)數(shù)據(jù)平臺(tái)和治理平臺(tái)綜合狀況，去查看具體哪個(gè)應(yīng)用利用率超標(biāo)，綜合推斷引起故障的要點(diǎn)。DebugLess調(diào)試PAdebugshow推斷問(wèn)題的根本緣由。LesslogGUICLIless能看到更多的具體數(shù)據(jù)交互信息，從而推斷問(wèn)題的根本緣由。Debug/Less命令：lessmp-log/tailfollowyesmp-log舉例：說(shuō)明：查看治理平臺(tái)日志信息可以通過(guò)關(guān)心命令去實(shí)現(xiàn)：tail可以實(shí)時(shí)覺(jué)察流量狀況，例如該命令為查看治理平臺(tái)的認(rèn)證狀況。Debug/Less命令：debugdataplane舉例：debugdataplane可以查看數(shù)據(jù)平臺(tái)流量，例如內(nèi)存的具體使用狀況等。Debug/Less命令：debugikeglobalondebug〔VPNike信息〕日志信息〕舉例：VPNiketailfollowyes的方式實(shí)時(shí)查看數(shù)據(jù)報(bào)文的交互。命令：debuglog-receiverstatistics〔查看日志狀況〕〔查看日志緩存狀況〕舉例：說(shuō)明：可以通過(guò)該命令來(lái)檢查日志工作狀況。硬件特別查看及處理電源狀態(tài)查看命令：showsystemenvironmentalspower舉例：AlarmTrue時(shí)，表示電源狀態(tài)特別，此時(shí)需要檢查供電設(shè)施〔如機(jī)柜電源及電源插排〕是否正常供電，在確認(rèn)供電正常，防火墻電源仍舊特別時(shí)，可以生成診斷信息文件，供給應(yīng)PaloAltocase處理，以確認(rèn)電源模塊是否故障或損壞。風(fēng)扇狀態(tài)查看命令：showsystemenvironmentalsfans舉例：AlarmTrueRPMsFalse時(shí)，表示風(fēng)扇不轉(zhuǎn)。此時(shí)需到現(xiàn)場(chǎng)檢查設(shè)備風(fēng)扇是否轉(zhuǎn)動(dòng)〔用手放在風(fēng)扇后面，看是否能感受到風(fēng)。假設(shè)風(fēng)扇不轉(zhuǎn)，則需要對(duì)其進(jìn)展更換。設(shè)備溫度查看命令：showsystemenvironmentalsthermal舉例：AlarmTrue時(shí)，表示溫度狀態(tài)特別。特別時(shí)需要確定機(jī)房溫度是否過(guò)高，或者散熱系統(tǒng)是否受阻。日志查看告警日志查看命令：showlogalarm舉例：說(shuō)明：告警可以依據(jù)屬性篩選如開(kāi)頭時(shí)間或者完畢時(shí)間等等配置日志查看命令：showlogconfig舉例：說(shuō)明：可以通過(guò)條件選擇來(lái)篩選需要的配置日志信息其他日志查看命令：showlog舉例：說(shuō)明：使用該命令可以查看到系統(tǒng)日志、流量日志、野火日志等雙機(jī)熱備特別處理命令：showhigh-availabilitystateHA雙機(jī)狀態(tài)〕showhigh-availabilityall〔HA信息〕showhigh-availabilitystate-synchronization〔HA同步信息〕requesthigh-availabilitystatesuspend〔手工切換防火墻HA 狀態(tài)，運(yùn)行此命令的防火墻將會(huì)從Active/Passive狀態(tài)切換為暫停狀態(tài)〕requesthigh-availabilitystatefunctionalHA狀態(tài)〕舉例：PaloAlto承受將治理平臺(tái)和數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)分別的硬件PaloAltoHA同步方式也承受治理平臺(tái)和數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)之間單獨(dú)同步。PaloAlto防火墻HA的狀態(tài)主要有如下四種：Initial—初始化狀態(tài)，此狀態(tài)為防火墻在覺(jué)察對(duì)等體并且進(jìn)展HA60秒。60秒過(guò)后，假設(shè)防火墻在未覺(jué)察對(duì)等體時(shí)，將會(huì)轉(zhuǎn)換為Active狀態(tài)。Active—活潑狀態(tài)，此狀態(tài)為的防火墻處理全部的業(yè)務(wù)流量Passive—被動(dòng)狀態(tài)，此狀態(tài)為備份狀態(tài)，備份主狀態(tài)防火墻全部業(yè)務(wù)流量Suspended—暫停狀態(tài)，此狀態(tài)為防火墻治理員手工暫停Non‐functional—錯(cuò)誤狀態(tài)，主備防火墻都將可能消滅此故障狀態(tài)當(dāng)防火墻發(fā)生故障時(shí)故障時(shí)可以依據(jù)狀態(tài)來(lái)推斷和使用命令內(nèi)網(wǎng)用戶(hù)丟包排解方法聯(lián)通測(cè)試命令：pingsource<IP_addr_src_int>host<IP_addr_host>pinghost<IP>舉例：說(shuō)明：指定源接口進(jìn)展ping測(cè)試，假設(shè)不通，可以ping自己，假設(shè)或者接口沒(méi)有接好，檢查網(wǎng)線(xiàn)〔光纖〕狀況。會(huì)話(huà)查詢(xún)命令：showsessionall舉例：PA是否存在該會(huì)話(huà)信息。接口丟包查詢(xún)命令：showcounterglobal|matchdrop舉例：Drop看是否由于安全策略引起。抓包分析命令：debugdataplanepacket-diagsetfilteron說(shuō)明：請(qǐng)參考上節(jié)抓包和過(guò)濾分析。VPN故障處理命令：1、showvpnflow〔查看防火墻加解密狀態(tài)〕showvpnike-sa〔IKESA狀態(tài)〕4、showvpnipsec-sa〔IpsecSA狀態(tài)〕tunnel配置〕6、〔debug/less調(diào)試〕舉例：故障報(bào)錯(cuò)信息：說(shuō)明:WrongIP:VPNIP地址VPN的建立。VPN兩端的設(shè)備上面使用的加解密算法，數(shù)據(jù)完整性算法，Hash保持協(xié)議不匹配.MismatchedPeerID:VPN兩端的設(shè)備上面使用的PeerID不匹配.PFSGroupmismatch:在建立VPN 兩端的設(shè)備上面使用不同的DHgroups.ProxyID不PaloAltoVpn建立不成功的故障排查版本升級(jí)Software升級(jí)命令：1、requestsystemsoftwarecheck〔執(zhí)行版本檢查〕2、requestsystemsoftwaredownload〔執(zhí)行軟件下載〕4、requestrestartsystem〔執(zhí)行設(shè)備重啟〕舉例：說(shuō)明：需要留意的是升級(jí)版本后需要重啟設(shè)備。Dynamic升級(jí)命令：2、requestcontentupgradedownload3、requestcontentupgradeinstall舉例：說(shuō)明：完成后不需要重啟即可生效恢復(fù)配置和口令配置恢復(fù)命令：loadconfig舉例：loadlast-savefrom自定義配置狀態(tài)：口令恢復(fù)命令：mainboot啟動(dòng)瞬間會(huì)顯main就可以進(jìn)入出廠(chǎng)值恢復(fù)菜單其他運(yùn)維命令規(guī)劃化配置命令命令：Setcliconfig-output-formatset舉例：系統(tǒng)重啟命令命令：requestrestartsystem〔設(shè)備重啟〕查看應(yīng)用狀態(tài)命令命令：showrunningapplicationstatistics舉例：系統(tǒng)空間查看命令命令：舉例：系統(tǒng)進(jìn)程查看命令命令：舉例：系統(tǒng)根本信息查看命令命令：舉例：ARP查看命令命令：ARP表項(xiàng)〕舉例：路由查看命令命令：查看路由表項(xiàng)〕舉例：安全策略查看命令命令：查看安全策略〕舉例：NAT策略查看命令命令：硬件狀態(tài)監(jiān)9.3.接口狀態(tài)查看命令：狀態(tài)特別確認(rèn)診斷信息收集硬件狀態(tài)監(jiān)9.3.接口狀態(tài)查看命令：狀態(tài)特別確認(rèn)診斷信息收集后臺(tái)分析解決問(wèn)題系統(tǒng)效勞查看命令命令：〕舉例:NAT