Paloalto下一代防火墻運維手冊

1、錯誤 ! 未定義書簽。錯誤 !未定義書簽。錯誤！未定義書簽。錯誤 ！ 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤! 未定義書簽。錯誤! 未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤 ! 未定義書簽。 錯誤！未定義書簽。 錯誤！未定義書簽。. 錯誤 ！ 未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤 ! 未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定

2、義書簽。錯誤 ! 未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤 ！ 未定義書簽。Paloalto防火墻運維手冊目錄1. 下一代防火墻產(chǎn)品簡介2. 查看會話.查看會話匯總.查看sessionID.條件選擇查看會話.查看當(dāng)前并發(fā)會話數(shù).會話過多處理方法3. 清除會話4. 抓包和過濾5. CP成日內(nèi)存查看.管理平臺CP成日內(nèi)存查看.數(shù)據(jù)平臺CP成日內(nèi)存查看.全局利用率查看6. Debug和Less調(diào)試.管理平臺Debug/Less.數(shù)據(jù)平臺Debug/Less.其他Debug/Less7. 硬件異常查看及處理.電源狀態(tài)查看.風(fēng)扇狀態(tài)查看.設(shè)備溫度查看8. 日志查看.告警日志查看.配置日志

3、查看.其他日志查看9. 雙機熱備異常處理10. 內(nèi)網(wǎng)用戶丟包排除方法.聯(lián)通測試.會話查詢.接口丟包查詢.抓包分析11. VPNia障處理12. 版本升級.Software升級.Dynamic升級13.配置恢復(fù).口令恢復(fù)14. 其他運維命令.規(guī)劃化配置命令.系統(tǒng)重啟命令.查看應(yīng)用狀態(tài)命令.系統(tǒng)空間查看命令.系統(tǒng)進程查看命令.系統(tǒng)基本信息查看命令.ARP查看命令.路由查看命令.安全策略查看命令.NAT策略查看命令.系統(tǒng)服務(wù)查看命令.NAT命中查看命令.UserlP-Mapping查看命令15. 其他故障處理.硬件故障.軟件故障.接口狀態(tài)查看.軟件故障恢復(fù)配置和口令錯誤 ! 未定義書簽。錯誤！未定義

4、書簽。錯誤！未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤 ! 未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。錯誤！未定義書簽。1. 下一代防火墻產(chǎn)品簡介Paloalto下一代防火墻(NGFW)是應(yīng)用層安全平臺。解決了網(wǎng)絡(luò)復(fù)雜結(jié)構(gòu)，具有強大的應(yīng)用識別、威脅防范、用戶識別控制、優(yōu)越的性能和高中低端設(shè)備選擇。數(shù)據(jù)包處理流程圖2. 查看會話可以通過查看會話是

5、否創(chuàng)建以及會話詳細信息來確定報文是否正常通過防火墻，如果會話已經(jīng)建立，并且一直有后續(xù)報文命中刷新，基本可以排除防火墻的問題。2.1. 查看會話匯總命令：showsessioninfo舉例：adminPA-VM> show session info檢查是否有說明：通過以上命令可以查看到設(shè)備支持會話數(shù)的最大值，從而負載的情況發(fā)生。2.2. 查看sessionID命令：showsessionidXX舉例：說明：從以上命令中可以看出到底是否存在非法流量，可以通過檢查源地址和目的地址端口等信息2.3. 條件選擇查看會話命令：showsessionallfiltersourceipdestinati

6、onipapplicationapp舉例：說明：可以檢查一些風(fēng)險會話2.4. 查看當(dāng)前并發(fā)會話數(shù)命令：show session info舉例：當(dāng)前并發(fā)會話13個，而最大會話為262138,說明會話利用率并不高，最后一條紅色標記為新建數(shù)值。說明：了解設(shè)備當(dāng)前并發(fā)會話情況2.5. 會話過多處理方法命令：1 、showsessionall（檢查所有session）2 、showsessionidXX（檢查該session是否不法流量）說明：如果發(fā)現(xiàn)會話數(shù)大于設(shè)備可支撐的性能，需要按照以上步驟檢查和清除或者防御通過第一步發(fā)現(xiàn)占會話總數(shù)較多的ID,通過第二步檢查該ID是否存在不法app或者其他流量，通過

7、Dos保護或者會話限制該IP數(shù)目（如果確定是攻擊，可以通過安全策略屏蔽該IP地址訪問）。3. 清除會話命令：Clearsessionall可通過sessionid、源或目的IP、源或目的端口或清除所有會話。舉例：說明：將會話清除。4. 抓包和過濾在做debug/less或者抓包調(diào)試的時候，最好把PA的fastpath功能關(guān)掉，這樣可以更加完整的看到交互的數(shù)據(jù)報文，關(guān)閉命令為：SetdeviceconfigsettingsessionoffloadnoSetsessionoffloadno命令：1 、創(chuàng)建過濾規(guī)則：2 、Debugdataplanepacket-diagsetfiltermatc

8、hsourcedestination開啟過濾規(guī)則：Debugdataplanepacket-diagsetfilteron3 、配置抓包對象：Debugdetaplanepacket-diagsetcapturestagereceivefile（抓取來白接口接收的報文）Debugdetaplanepacket-diagsetcapturestagetransmitfile（抓取地址轉(zhuǎn)換后的報文）Debugdetaplanepacket-diagsetcapturestagefirewallfile（抓取經(jīng)過防火墻的報文）4 、全局抓包開關(guān)：Debugdetaplanepacket-diagse

9、tcaptureon5 、查看全局抓包配置：6 、關(guān)閉抓包Debugdetaplanepacket-diagsetcaptureoff7 、清除所有抓包內(nèi)容Debugdetaplanepacket-diagclearall8 、刪除文件Deletedebug-filterfile舉例：說明：paloalto可以通過抓包的方式來分析故障情況。5. CPU和內(nèi)存查看5.1. 管理平臺CPUfn內(nèi)存查看命令：showsystemresources舉例：說明：通過以上命令可以查詢到數(shù)據(jù)平臺的cpu使用情況和內(nèi)存使用情況。如發(fā)現(xiàn)CPU過高的情況，可以通過showsystemresourcesfollow

10、這個命令去檢查到底是哪項應(yīng)用有超負載行為：-1可以檢查哪個CPU?率高，默認為合并-M可以檢查內(nèi)存使用率是否過高檢查異常應(yīng)用是否必要使用，否則請關(guān)閉，如果不清楚需要開case分析問題。5.2. 數(shù)據(jù)平臺CPUffi內(nèi)存查看命令：showrunningresource-monitor舉例：說明：通過以上命令可以查詢到管理平臺的cpu使用率，查看該CPU哪個應(yīng)用占用的程序比較大，根據(jù)情況關(guān)閉相關(guān)應(yīng)用，例如flow_lookup是檢查會話是否存在進程，flow_forwarding是transmit地址轉(zhuǎn)換進程，如果不確定的情況下開case解決問題。5.3. 全局利用率查看命令：showcounte

11、rglobal舉例：說明：可以根據(jù)數(shù)據(jù)平臺和管理平臺綜合情況，去查看具體哪個應(yīng)用利用率超標，綜合判斷引起故障的要點。6. Debug和Less調(diào)試在PA的debug是為了獲取等多的排障詳細信息，這個命令相當(dāng)于show的命令，主要是查看管理平臺和數(shù)據(jù)平臺額外信息從而判斷問題的根本原因。Less為管理和數(shù)據(jù)平臺log日志的查看，對比起GUI使用CLI的less能看到更多的詳細數(shù)據(jù)交互信息，從而判斷問題的根本原因。6.1. 管理平臺Debug/Less命令：lessmp-log/tailfollowyesmp-log舉例：說明：查看管理平臺日志信息可以通過輔助命令去實現(xiàn)：tailfollowyesm

12、p-log使用tail可以實時發(fā)現(xiàn)流量情況，例如該命令為查看管理平臺的認證情況。6.2. 數(shù)據(jù)平臺Debug/Less命令：debugdataplane舉例：說明：使用debugdataplane可以查看數(shù)據(jù)平臺流量，例如內(nèi)存的詳細使用情況等。6.3. 其他Debug/Less命令：debugikeglobalondebug（查看VPNike信息）lessmp-log（查看VPNike日志信息）舉例：說明：查看VPNike交互過程，可以通過tailfollowyes的方式實時查看數(shù)據(jù)報文的交互。命令：debuglog-receiverstatistics（查看日志情況）lessmp-log（查

13、看日志緩存情況）舉例：說明：可以通過該命令來檢查日志工作情況。7. 硬件異常查看及處理7.1. 電源狀態(tài)查看命令:showsystemenvironmentalspower舉例：說明：當(dāng)Alarm列為True時，表示電源狀態(tài)異常，此時需要檢查供電設(shè)施（如機柜電源及電源插排）是否正常供電，在確認供電正常，防火墻電源仍然異常時，可以生成診斷信息文件，提供給PaloAlto廠商case處理，以確認電源模塊是否故障或損壞。7.2. 風(fēng)扇狀態(tài)查看命令：showsystemenvironmentalsfans舉例：說明：當(dāng)Alarm為True時，表示風(fēng)扇狀態(tài)異常。RPM以IFalse時，表示風(fēng)扇不轉(zhuǎn)。此時

14、需到現(xiàn)場檢查設(shè)備風(fēng)扇是否轉(zhuǎn)動（用手放在風(fēng)扇后面，看是否能感受到風(fēng)）。如果風(fēng)扇不轉(zhuǎn)，則需要對其進行更換。7.3. 設(shè)備溫度查看命令：showsystemenvironmentalsthermal舉例:機房溫度是說明：當(dāng)Alarm為True時，表示溫度狀態(tài)異常。異常時需要確定否過高，或者散熱系統(tǒng)是否受阻。8. 日志查看8.1. 告警日志查看命令：showlogalarm舉例：說明：告警可以根據(jù)屬性篩選如開始時間或者結(jié)束時間等等8.2. 配置日志查看命令：showlogconfig舉例：說明：可以通過條件選擇來篩選需要的配置日志信息8.3. 其他日志查看命令：showlog舉例：說明：使用該命令可以

15、查看到系統(tǒng)日志、流量日志、野火日志等9. 雙機熱備異常處理命令：showhigh-availabilitystate（查詢防火墻HA雙機狀態(tài)）showhigh-availabilityall（查詢完整的HA信息）showhigh-availabilitystate-synchronization（詢HA同步信息）requesthigh-availabilitystatesuspend（手工切換防火墻HA狀態(tài)，運行此命令的防火墻將會從Active/Passive狀態(tài)切換為暫停狀態(tài)）requesthigh-availabilitystatefunctional（手工恢復(fù)防火墻HA狀態(tài)）說明：由于P

16、aloAlto采用將管理平臺和數(shù)據(jù)轉(zhuǎn)發(fā)平臺分離的硬件舉例：結(jié)構(gòu)，因此PaloAlto的HA同步方式也采用管理平臺和數(shù)據(jù)轉(zhuǎn)發(fā)平臺之間單獨同步。PaloAlto防火墻HA的狀態(tài)主要有如下四種:Initial一初始化狀態(tài)，此狀態(tài)為防火墻在發(fā)現(xiàn)對等體并且進行HAA態(tài)協(xié)商前保持的狀態(tài)，時間閥值為60秒。60秒過后，如果防火墻在未發(fā)現(xiàn)對等體時，將會轉(zhuǎn)換為Active狀態(tài)。Active活躍狀態(tài)，此狀態(tài)為的防火墻處理所有的業(yè)務(wù)流量Passive被動狀態(tài)，此狀態(tài)為備份狀態(tài)，備份主狀態(tài)防火墻所有業(yè)務(wù)流量Suspended暫停狀態(tài)，此狀態(tài)為防火墻管理員手工暫停Non-functional錯誤狀態(tài)，主備防火墻都將可能

17、出現(xiàn)此故障狀態(tài)當(dāng)防火墻發(fā)生故障時故障時可以根據(jù)狀態(tài)來判斷和使用命令10. 內(nèi)網(wǎng)用戶丟包排除方法10.1. 聯(lián)通測試命令：pingsource<IP_addr_src_int>host<IP_addr_host>pinghost<IP>說明：指定源接口進行ping測試，如果不通，可以ping白己,如果本機不通可能考慮端口協(xié)議沒有起來，可以調(diào)試端口協(xié)商模式，或者接口沒有接好，檢查網(wǎng)線（光纖）情況。10.2. 會話查詢命令：showsessionall舉例：說明：可以參考上節(jié)會話命令判斷故障內(nèi)容，查看是否在PA是否存在該會話信息。10.3. 接口丟包查詢命令：sh

18、owcounterglobal|matchdrop舉例：說明：查詢?nèi)钟嫈?shù)器中中存在的Drop數(shù)據(jù)包，如果有丟包請查看是否因為安全策略引起。10.4. 抓包分析命令：debugdataplanepacket-diagsetfilteron說明：請參考上節(jié)抓包和過濾分析。11. VPN故障處理命令：1 、showvpnflow（查看防火墻加解密狀態(tài)）2 、showvpngateway（查看防火墻vpn配置）3、 showvpnike-sa（查看防火墻第一階段IKESA狀態(tài)）4、 showvpnipsec-sa（查看防火墻第二階段IpsecSA狀態(tài)）5、 showvpntunnel（查看防火墻tu

19、nnel配置）6、 、lessmp-log（debug/less調(diào)試）舉例：常見的VPNA障報錯信息：說明：WrongIP:在建立VPNM端的設(shè)備上面沒有使用正確的公網(wǎng)IP地址進行VPN!勺建立。NomatchingP1orP2Proposal:在建立VPNM端的設(shè)備上面使用的加解密算法，數(shù)據(jù)完整性算法，Hash保持協(xié)議不匹配.MismatchedPeerID:在建立VPN兩端的設(shè)備上面使用的PeerID不匹配.PFSGroupmismatch:在建立VPNM端的設(shè)備上面使用不同的DHgroups.MismatchedProxyID:在建立VPN兩端的設(shè)備上面使用的ProxyID不匹配（通常發(fā)

20、生在使用Policybased）因此，在PaloAlto上面，可以通過一系列的查詢命令來進行Vpn建立不成功的故障排查12.版本升級12.1.Software升級命令：1、requestsystemsoftwarecheck（執(zhí)行版本檢查）2、requestsystemsoftwaredownload（執(zhí)行軟件下載）3、requestsystemsoftwareinstall（執(zhí)行系統(tǒng)軟件安裝）4、requestrestartsystem（執(zhí)行設(shè)備重啟）舉例：說明：需要注意的是升級版本后需要重啟設(shè)備。1.2. .Dynamic升級命令：1 、requestcontentupgradecheck

21、2 、requestcontentupgradedownload3 、requestcontentupgradeinstall舉例：說明：完成后不需要重啟即可生效13. 恢復(fù)配置和口令13.1. 配置恢復(fù)命令：loadconfig舉例：說明：可以通過load命令恢復(fù)到last-save最近配置狀態(tài)，或者from白定義配置狀態(tài)：13.2. 口令恢復(fù)命令：main說明：恢復(fù)口令需要重啟設(shè)備，斷電重啟后在boot啟動瞬間會顯示輸入命令，只要輸入main就可以進入出廠值恢復(fù)菜單14. 其他運維命令14.1. 規(guī)劃化配置命令命令：Setcliconfig-output-formatset舉例：說明：規(guī)則化showconfig,方便查看和維護。14.2. 系統(tǒng)重啟命令命令：requestrestartsystem（設(shè)備重啟）requestshutdownsystem（設(shè)備關(guān)機）14.3. 查看應(yīng)用狀態(tài)命令命令：showrunningapplicationstati