Paloalto下一代防火墻運(yùn)維手冊(cè)

歐陽體創(chuàng)編2023.02.03歐陽體創(chuàng)編2023.02.03歐陽美創(chuàng)編2023.02.03歐陽體創(chuàng)編2023.02.03歐陽體創(chuàng)編2023.02.03歐陽美創(chuàng)編 2023.02.03Paloalto防火墻運(yùn)維手冊(cè)時(shí)間：2023.02.03時(shí)間：2023.02.03創(chuàng)作：歐陽體名目2查看會(huì)話4查看會(huì)話匯總42.2.查看sessionID5556去除會(huì)話77CPU和內(nèi)存查看9CPU9錯(cuò)誤!未指定書簽。????全局利用率查看8??Debug和Less調(diào)試6.1.治理平臺(tái)Debug/Less126.2.數(shù)據(jù)平臺(tái)Debug/Less136.3.其他Debug/Less14錯(cuò)誤!未指定書簽。15風(fēng)扇狀態(tài)查看16設(shè)備溫度查看16日志查看17錯(cuò)誤!未指定書簽。配置日志查看11其他日志查看181920聯(lián)通測(cè)試21會(huì)話查詢21接口丟包查詢21抓包分析22VPN故障處理22版本升級(jí)錯(cuò)誤!未指定書簽。錯(cuò)誤!未指定書簽。12.2.Dynamic升級(jí)24??恢復(fù)配置和口令 ???? 配置恢復(fù) ???? 口令恢復(fù)錯(cuò)誤!未指定書簽。16規(guī)劃化配置命令25系統(tǒng)重啟命令26????查看應(yīng)用狀態(tài)命令 ??????系統(tǒng)空間查看命令 ??2728ARP292930NAT策略查看命令3031NAT命中查看命令31UserIPMapping31其他故障處理31?? 硬件故障錯(cuò)誤!未指定書簽。193232下一代防火墻產(chǎn)品簡(jiǎn)介Paloalto下一代防火墻(NGFW)是應(yīng)用層安全平臺(tái)。解識(shí)別把握、優(yōu)越的性能和高中低端設(shè)備選擇。數(shù)據(jù)包處理流程圖：查看會(huì)話可以通過查看會(huì)話是否創(chuàng)立以及會(huì)話具體信息來確定報(bào)續(xù)報(bào)文命中刷,根本可以排解防火墻的問題。命令：showsessioninfo舉例：admin@PAVM>showsessioninfo從而檢查是否有負(fù)載的狀況發(fā)生。sessionID命令：showsessionidXX舉例：通過檢查源地址和目的地址端口等信息條件選擇查看會(huì)話命令：showsessionallfiltersource[ip]destination[ip]application[app]舉例：說明：可以檢查一些風(fēng)險(xiǎn)會(huì)話查看當(dāng)前并發(fā)會(huì)話數(shù)命令：showsessioninfo舉例：當(dāng)前并發(fā)會(huì)話13個(gè)，而最大會(huì)話為262138，說明會(huì)話利用率并不高，最終一條紅色標(biāo)記為建數(shù)值。說明：了解設(shè)備當(dāng)前并發(fā)會(huì)話狀況會(huì)話過多處理方法命令：1、 showsessionall〔檢查全部session〕2、 showsessionidXX〔檢查該session是否不法流量〕上步驟檢查和去除或者防范通過第一步覺察占會(huì)話總數(shù)較多的 ID，通過其次步檢查該ID是否存在不法app或者其他流量，通過Dos保護(hù)或者會(huì)話限制該IP數(shù)目〔假設(shè)確定是攻擊，可以通過安全策略屏蔽該IP地址訪問〕。去除會(huì)話命令：Clearsessionall舉例：可通過sessionid、源或目的IP、源或目的端口或去除全部會(huì)話。說明：將會(huì)話去除。抓包和過濾在做debug/less或者抓包調(diào)試的時(shí)候，最好把 PA的fastpath功能關(guān)掉，這樣可以更加完整的看到交互的數(shù)據(jù)報(bào)文，關(guān)閉命令為：SetdeviceconfigsettingsessionoffloadnoSetsessionoffloadno命令：1、創(chuàng)立過濾規(guī)章：Debug dataplane packetdiag set filter match source destinationx.x.x.x2、開啟過濾規(guī)章：Debugdataplanepacketdiagsetfilteron3、配置抓包對(duì)象：Debugdetaplanepacketdiagsetcapturestagereceivefilex.pcap〔抓取來自接口接收的報(bào)文〕Debugdetaplanepacketdiagsetcapturestagetransmitfilex.pcap〔抓取地址轉(zhuǎn)換后的報(bào)文〕Debugdetaplanepacketdiagsetcapturestagefirewallfilex.pcap〔抓取經(jīng)過防火墻的報(bào)文〕4、全局抓包開關(guān)：Debugdetaplanepacketdiagsetcaptureon5、查看全局抓包配置：Debugdetaplanepacketdiagshowsetting6、關(guān)閉抓包Debugdetaplanepacketdiagsetcaptureoff7、去除全部抓包內(nèi)容Debugdetaplanepacketdiagclearall8、刪除文件Deletedebugfilterfilex.pcap舉例：說明：paloalto可以通過抓包的方式來分析故障狀況。CPU和內(nèi)存查看命令：showsystemresources舉例：說明：通過以上命令可以查詢到數(shù)據(jù)平臺(tái)的cpu使用狀況和內(nèi)存使用狀況。如覺察CPU過高的狀況，可以通過showsystemresourcesfollow這個(gè)命令去檢查到底是哪項(xiàng)應(yīng)用有超負(fù)載行為：1CPU頻率高，默認(rèn)為合并M可以檢查內(nèi)存使用率是否過高檢查特別應(yīng)用是否必要使用，否則請(qǐng)關(guān)閉，假設(shè)不清楚需要開case分析問題。命令：showrunningresourcemonitor舉例：說明：通過以上命令可以查詢到治理平臺(tái)的cpu使用率，查看該CPU哪個(gè)應(yīng)用占用的程序比較大，依據(jù)狀況關(guān)閉相關(guān)應(yīng)用，例如 flow_lookup是檢查會(huì)話是否存在進(jìn)程，flow_forwarding是transmit地址轉(zhuǎn)換進(jìn)程，假設(shè)不確定的狀況下開case解決問題。命令：showcounterglobal舉例：哪個(gè)應(yīng)用利用率超標(biāo)，綜合推斷引起故障的要點(diǎn)。Debug和Less調(diào)試在PA的debug是為了獵取等多的排障具體信息，這個(gè)命令相當(dāng)于show的命令，主要是查看治理平臺(tái)和數(shù)據(jù)平臺(tái)額外信息從而推斷問題的根本緣由。Less為治理和數(shù)據(jù)平臺(tái)log日志的查看，比照起GUI使用CLI的less能看到更多的具體數(shù)據(jù)交互信息，從而推斷問題的根本緣由。治理平臺(tái)Debug/Less命令：lessmplog/tailfollowyesmplog舉例：說明：查看治理平臺(tái)日志信息可以通過關(guān)心命令去實(shí)現(xiàn)：tailfollowyesmplogauthd.log使用tail可以實(shí)時(shí)覺察流量狀況，例如該命令為查看治理平臺(tái)的認(rèn)證狀況。數(shù)據(jù)平臺(tái)Debug/Less命令：debugdataplane說明：查看VPNike交互過程，可以通過tailfollowyes的方式實(shí)時(shí)查看數(shù)據(jù)報(bào)文的交互。命令：debuglogreceiverstatistics〔查看日志狀況〕lessmploglogrcvr.log〔查看日志緩存狀況〕舉例：說明：可以通過該命令來檢查日志工作狀況。硬件特別查看及處理電源狀態(tài)查看命令：showsystemenvironmentalspower舉例：說明：當(dāng)Alarm列為True時(shí)，表示電源狀態(tài)特別，此時(shí)需要檢查供電設(shè)施〔如機(jī)柜電源及電源插排〕是否正常供電，在確認(rèn)供電正常，防火墻電源照舊特別時(shí)，可以生成診斷信息文件，供給應(yīng)PaloAlto廠商case處理，以確認(rèn)電源模塊是否故障或損壞。命令：showsystemenvironmentalsfans舉例：說明：當(dāng)Alarm為True時(shí)，表示風(fēng)扇狀態(tài)特別。RPMs為False時(shí)，表示風(fēng)扇不轉(zhuǎn)。此時(shí)需到現(xiàn)場(chǎng)檢查設(shè)備風(fēng)扇是否轉(zhuǎn)動(dòng)〔用手放在風(fēng)扇后面，看是否能感受到風(fēng)〕。假設(shè)風(fēng)扇不轉(zhuǎn)，則需要對(duì)其進(jìn)展更換。命令：showsystemenvironmentalsthermal舉例：說明：當(dāng)Alarm為True時(shí)，表示溫度狀態(tài)特別。特別時(shí)需要確定機(jī)房溫度是否過高，或者散熱系統(tǒng)是否受阻。日志查看命令：showlogalarm舉例：說明：告警可以依據(jù)屬性篩選如開頭時(shí)間或者完畢時(shí)間等等命令：showlogconfig舉例：說明：可以通過條件選擇來篩選需要的配置日志信息命令：showlog舉例：志等雙機(jī)熱備特別處理命令：showhighavailabilitystate〔HA雙機(jī)狀態(tài)〕showhighavailabilityall〔HA信息〕showhighavailabilitystatesynchronization〔詢HA同步信息〕requesthighavailabilitystatesuspend〔手工切換防火墻 HA狀態(tài)，運(yùn)行此命令的防火墻將會(huì)從狀態(tài)切換為暫停狀態(tài)〕requesthighavailabilitystatefunctional〕舉例：說明：由于PaloAlto承受將治理平臺(tái)和數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)分別的硬件構(gòu)造，因此PaloAlto的HA同步方式也承受治理平臺(tái)和數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)之間單獨(dú)同步。PaloAltoHA的狀態(tài)主要有如下四種：Initial—初始化狀態(tài)，此狀態(tài)為防火墻在覺察對(duì)等體并且進(jìn)展HA狀態(tài)協(xié)商前保持的狀態(tài)，時(shí)間閥值為60秒。60秒過后，假設(shè)防火墻在未覺察對(duì)等體時(shí)，將會(huì)轉(zhuǎn)換為 Active狀態(tài)。Active—活潑狀態(tài)，此狀態(tài)為的防火墻處理全部的業(yè)務(wù)流量Passive—被動(dòng)狀態(tài)，此狀態(tài)為備份狀態(tài)，備份主狀態(tài)防火墻全部業(yè)務(wù)流量Suspended—暫停狀態(tài)，此狀態(tài)為防火墻治理員手工暫停Non‐functional—錯(cuò)誤狀態(tài)，主備防火墻都將可能消滅此故障狀態(tài)當(dāng)防火墻發(fā)生故障時(shí)故障時(shí)可以依據(jù)狀態(tài)來推斷和使用命令內(nèi)網(wǎng)用戶丟包排解方法命令：pingsource<IP_addr_src_int>host<IP_addr_host>pinghost<IP>舉例：說明：指定源接口進(jìn)展ping測(cè)試，假設(shè)不通，可以ping自己，假設(shè)本機(jī)不通可能考慮端口協(xié)議沒有起來，可以調(diào)試端口協(xié)商模式，或者接口沒有接好，檢查網(wǎng)線〔光纖〕狀況。命令：showsessionall舉例：說明：可以參考上節(jié)會(huì)話命令推斷故障內(nèi)容，查看是否在PA是否存在該會(huì)話信息。命令：showcounterglobal|matchdrop舉例：說明：查詢?nèi)钟?jì)數(shù)器中中存在的 Drop數(shù)據(jù)包，假設(shè)有丟包請(qǐng)查看是否由于安全策略引起。命令：debugdataplanepacketdiagsetfilteron說明：請(qǐng)參考上節(jié)抓包和過濾分析。VPN故障處理命令：1、showvpnflow〔查看防火墻加解密狀態(tài)〕2、showvpngateway〔vpn配置〕3、showvpnikesa〔IKESA狀態(tài)〕4、showvpnipsecsa〔查看防火墻其次階段 IpsecSA狀態(tài)〕5、showvpntunnel〔查看防火墻tunnel配置〕6、lessmplogikemgr.log〔debug/less調(diào)試〕舉例：常見的VPN故障報(bào)錯(cuò)信息：說明:WrongIP:在建立VPN兩端的設(shè)備上面沒有使用正確的公網(wǎng)IP地址進(jìn)展VPN的建立。NomatchingP1orP2Proposal:在建立VPN兩端的設(shè)備上面使用的加解密算法，數(shù)據(jù)完整性算法，Hash保持協(xié)議不匹配.MismatchedPeerID:在建立VPN兩端的設(shè)備上面使用的PeerID不匹配.PFSGroupmismatch:在建立VPN兩端的設(shè)備上面使用不同的DHgroups.MismatchedProxyID:在建立VPN兩端的設(shè)備上面使用的ProxyID不匹配〔通常發(fā)生在使用Policybased〕因此，在PaloAlto上面，可以通過一系列的查詢命令來進(jìn)展Vpn建立不成功的故障排查版本升級(jí)Software升級(jí)命令：1、requestsystemsoftwarecheck〔執(zhí)行版本檢查〕2、requestsystemsoftwaredownload〔執(zhí)行軟件下載〕3、requestsystemsoftwareinstall〔執(zhí)行系統(tǒng)軟件安裝〕4、requestrestartsystem〔執(zhí)行設(shè)備重啟〕舉例：說明：需要留意的是升級(jí)版本后需要重啟設(shè)備。Dynamic升級(jí)命令：1、requestcontentupgradecheck2、requestcontentupgradedownload3、requestcontentupgradeinstall舉例：說明：完成后不需要重啟即可生效恢復(fù)配置和口令命令：loadconfig舉例：說明：可以通過load命令恢復(fù)到lastsave最近配置狀態(tài)，或者from自定義配置狀態(tài)：命令：main說明：恢復(fù)口令需要重啟設(shè)備，斷電重啟后在boot啟動(dòng)瞬間會(huì)顯示輸入命令，只要輸入main就可以進(jìn)入出廠值恢復(fù)菜單其他運(yùn)維命令規(guī)劃化配置命令命令：Setcliconfigoutputformatset舉例：說明：規(guī)章化showconfig，便利查看和維護(hù)。命令：requestrestartsystem〔設(shè)備重啟〕requestshutdownsystem〔設(shè)備關(guān)機(jī)〕查看應(yīng)用狀態(tài)命令命令：showrunningapplicationstatistics舉例：系統(tǒng)空間查看命令命令：showsyst