Paloalto下一代防火墙运维手册簿V1..docx

word

Paloalto防火墙运维手册

名目

下一代防火墙产品简介4

查看会话6

查看会话汇总62.2.查看sessionID7

条件选择查看会话7

查看当前并发会话数8

会话过多处理方法9

去除会话10

抓包和过滤10

和内存查看13

治理平台CPU和内存查看13

数据平台CPU和内存查看14

全局利用率查看15

和Less调试16

6.1.治理平台Debug/Less166.2.数据平台Debug/Less176.3.其他Debug/Less17

硬件特别查看与处理19

word

电源状态查看19

风扇状态查看20

设备温度查看21

日志查看21

告警日志查看21

配置日志查看22

其他日志查看23

双机热备特别处理24

内网用户丢包排解方法26

联通测试26

会话查询26

接口丢包查询27

抓包分析27

故障处理27

版本升级29

升级29升级30

恢复配置和口令30

配置恢复30

口令恢复31

其他运维命令31

规划化配置命令31

系统重启命令32

查看应用状态命令32

系统空间查看命令33

word

系统进程查看命令33

系统根本信息查看命令34

查看命令35

路由查看命令36

安全策略查看命令36

策略查看命令36

14.11.系统效劳查看命令37

命中查看命令37查看命令38

其他故障处理38

硬件故障38

软件故障38

接口状态查看38

软件故障错误!未定义书签。

word

下一代防火墙产品简介

Paloalto下一代防火墙(NGFW)是应用层安全平台。解决了网络简单构造，具有强大的应用识别、威逼防X、用户识别掌握、优越的性能和高中低端设备选择。

word

数据包处理流程图：

word

查看会话

可以通过查看会话是否创立以与会话具体信息来确定报文是否正常通过防火墙，假设会话已经建立，并且始终有后续报文命中刷,根本可以排解防火墙的问题。

查看会话汇总命令：

showsessioninfo

举例：

adminPA-VMshowsessioninfo

word

说明：通过以上命令可以查看到设备支持会话数的最大值，从而检查是否有负载的状况发生。

查看sessionID

命令：

showsessionidXX

举例：

说明：从以上命令中可以看出到底是否存在非法流量，可以通过检查源地址和目的地址端口等信息

条件选择查看会话命令：

showsessionallfiltersource[ip]destination[ip]application[app]

word

举例：

说明：可以检查一些风险会话

查看当前并发会话数命令：

showsessioninfo

举例：

当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最终一条红色标记为建数值。

word

说明：了解设备当前并发会话状况

会话过多处理方法命令：

1、showsessionall〔检查全部session〕

2、showsessionidXX〔检查该session是否不法流量〕

说明：假设觉察会话数大于设备可支撑的性能，需要依据以上步骤检查和去除或者防范

通过第一步觉察占会话总数较多的ID，通过其次步检查该ID是否

word

存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目〔假设确定是攻击，可以通过安全策略屏蔽该IP地址访问〕。

去除会话

命令：

Clearsessionall

举例：

可通过sessionid、源或目的IP、源或目的端口或去除全部会话。

说明：将会话去除。

抓包和过滤

word

在做debug/less或者抓包调试的时候，最好把PA的fastpath功能关掉，这样可以更加完整的看到交互的数据报文，关闭命令为：

SetdeviceconfigsettingsessionoffloadnoSetsessionoffloadno

命令：

1、创立过滤规如此：D

2、开启过滤规如此：

Debugdataplanepacket-diagsetfilteron3、配置抓包对象：

D

〔抓取来自接口接收的报文〕

D

〔抓取地址转换后的报文〕

D

〔抓取经过防火墙的报文〕

word

4、全局抓包开关：

Debugdetaplanepacket-diagsetcaptureon5、查看全局抓包配置：

Debugdetaplanepacket-diagshowsetting

6、关闭抓包

Debugdetaplanepacket-diag