Paloalto下一代防火墻運(yùn)維手冊(cè)

Paloalto防火墻運(yùn)維手冊(cè)目錄1. 下一代防火墻產(chǎn)品簡(jiǎn)介 22. 查看會(huì)話(huà) 42.1. 查看會(huì)話(huà)匯總 42.2. 查看sessionID 52.3. 條件選擇查看會(huì)話(huà) 52.4. 查看當(dāng)前并發(fā)會(huì)話(huà)數(shù) 52.5. 會(huì)話(huà)過(guò)多處理方法 63. 清除會(huì)話(huà) 74. 抓包和過(guò)濾 75. CPU和內(nèi)存查看 95.1. 管理平臺(tái)CPU和內(nèi)存查看 95.2. 數(shù)據(jù)平臺(tái)CPU和內(nèi)存查看 115.3. 全局利用率查看 126. Debug和Less調(diào)試 126.1. 管理平臺(tái)Debug/Less 126.2. 數(shù)據(jù)平臺(tái)Debug/Less 136.3. 其他Debug/Less 147. 硬件異常查看及處理 157.1. 電源狀態(tài)查看 157.2. 風(fēng)扇狀態(tài)查看 167.3. 設(shè)備溫度查看 168. 日志查看 178.1. 告警日志查看 178.2. 配置日志查看 188.3. 其他日志查看 189. 雙機(jī)熱備異常處理 1910. 內(nèi)網(wǎng)用戶(hù)丟包排除方法 2010.1. 聯(lián)通測(cè)試 2110.2. 會(huì)話(huà)查詢(xún) 2110.3. 接口丟包查詢(xún) 2110.4. 抓包分析 2211. VPN故障處理 2212. 版本升級(jí) 2312.1. Software升級(jí) 2312.2. Dynamic升級(jí) 2413. 恢復(fù)配置和口令 2513.1. 配置恢復(fù) 2513.2. 口令恢復(fù) 2514. 其他運(yùn)維命令 2514.1. 規(guī)劃化配置命令 2514.2. 系統(tǒng)重啟命令 2614.3. 查看應(yīng)用狀態(tài)命令 2614.4. 系統(tǒng)空間查看命令 2714.5. 系統(tǒng)進(jìn)程查看命令 2714.6. 系統(tǒng)基本信息查看命令 2814.7. ARP查看命令 2914.8. 路由查看命令 2914.9. 安全策略查看命令 3014.10. NAT策略查看命令 3014.11. 系統(tǒng)服務(wù)查看命令 3114.12. NAT命中查看命令 3114.13. UserIP-Mapping查看命令 3115. 其他故障處理 319.1. 硬件故障 319.2. 軟件故障 329.3. 接口狀態(tài)查看 329.4. 軟件故障 32下一代防火墻產(chǎn)品簡(jiǎn)介Paloalto下一代防火墻(NGFW)是應(yīng)用層安全平臺(tái)。解決了網(wǎng)絡(luò)復(fù)雜結(jié)構(gòu)，具有強(qiáng)大的應(yīng)用識(shí)別、威脅防范、用戶(hù)識(shí)別控制、優(yōu)越的性能和高中低端設(shè)備選擇。數(shù)據(jù)包處理流程圖：查看會(huì)話(huà)可以通過(guò)查看會(huì)話(huà)是否創(chuàng)建以及會(huì)話(huà)詳細(xì)信息來(lái)確定報(bào)文是否正常通過(guò)防火墻，如果會(huì)話(huà)已經(jīng)建立，并且一直有后續(xù)報(bào)文命中刷新,基本可以排除防火墻的問(wèn)題。查看會(huì)話(huà)匯總命令：showsessioninfo舉例：admin@PA-VM>showsessioninfo說(shuō)明：通過(guò)以上命令可以查看到設(shè)備支持會(huì)話(huà)數(shù)的最大值，從而檢查是否有負(fù)載的情況發(fā)生。查看sessionID命令：showsessionidXX舉例：說(shuō)明：從以上命令中可以看出到底是否存在非法流量，可以通過(guò)檢查源地址和目的地址端口等信息條件選擇查看會(huì)話(huà)命令：showsessionallfiltersource[ip]destination[ip]application[app]舉例：說(shuō)明：可以檢查一些風(fēng)險(xiǎn)會(huì)話(huà)查看當(dāng)前并發(fā)會(huì)話(huà)數(shù)命令：showsessioninfo舉例：當(dāng)前并發(fā)會(huì)話(huà)13個(gè)，而最大會(huì)話(huà)為262138，說(shuō)明會(huì)話(huà)利用率并不高，最后一條紅色標(biāo)記為新建數(shù)值。說(shuō)明：了解設(shè)備當(dāng)前并發(fā)會(huì)話(huà)情況會(huì)話(huà)過(guò)多處理方法命令：showsessionall（檢查所有session）showsessionidXX（檢查該session是否不法流量）說(shuō)明：如果發(fā)現(xiàn)會(huì)話(huà)數(shù)大于設(shè)備可支撐的性能，需要按照以上步驟檢查和清除或者防御通過(guò)第一步發(fā)現(xiàn)占會(huì)話(huà)總數(shù)較多的ID，通過(guò)第二步檢查該ID是否存在不法app或者其他流量，通過(guò)Dos保護(hù)或者會(huì)話(huà)限制該IP數(shù)目（如果確定是攻擊，可以通過(guò)安全策略屏蔽該IP地址訪問(wèn)）。清除會(huì)話(huà)命令：Clearsessionall舉例：可通過(guò)sessionid、源或目的IP、源或目的端口或清除所有會(huì)話(huà)。說(shuō)明：將會(huì)話(huà)清除。抓包和過(guò)濾在做debug/less或者抓包調(diào)試的時(shí)候，最好把PA的fastpath功能關(guān)掉，這樣可以更加完整的看到交互的數(shù)據(jù)報(bào)文，關(guān)閉命令為：SetdeviceconfigsettingsessionoffloadnoSetsessionoffloadno命令：創(chuàng)建過(guò)濾規(guī)則：D開(kāi)啟過(guò)濾規(guī)則：Debugdataplanepacket-diagsetfilteron配置抓包對(duì)象：Debugdetaplanepacket-diagsetcapturestagereceivefilex.pcap（抓取來(lái)自接口接收的報(bào)文）Debugdetaplanepacket-diagsetcapturestagetransmitfilex.pcap（抓取地址轉(zhuǎn)換后的報(bào)文）Debugdetaplanepacket-diagsetcapturestagefirewallfilex.pcap（抓取經(jīng)過(guò)防火墻的報(bào)文）全局抓包開(kāi)關(guān)：Debugdetaplanepacket-diagsetcaptureon查看全局抓包配置：Debugdetaplanepacket-diagshowsetting關(guān)閉抓包Debugdetaplanepacket-diagsetcaptureoff清除所有抓包內(nèi)容Debugdetaplanepacket-diagclearall刪除文件Deletedebug-filterfilex.pcap舉例：說(shuō)明：paloalto可以通過(guò)抓包的方式來(lái)分析故障情況。CPU和內(nèi)存查看管理平臺(tái)CPU和內(nèi)存查看命令：showsystemresources舉例：說(shuō)明：通過(guò)以上命令可以查詢(xún)到數(shù)據(jù)平臺(tái)的cpu使用情況和內(nèi)存使用情況。如發(fā)現(xiàn)CPU過(guò)高的情況，可以通過(guò)showsystemresourcesfollow這個(gè)命令去檢查到底是哪項(xiàng)應(yīng)用有超負(fù)載行為：-1可以檢查哪個(gè)CPU頻率高，默認(rèn)為合并-M可以檢查內(nèi)存使用率是否過(guò)高檢查異常應(yīng)用是否必要使用，否則請(qǐng)關(guān)閉，如果不清楚需要開(kāi)case分析問(wèn)題。數(shù)據(jù)平臺(tái)CPU和內(nèi)存查看命令：showrunningresource-monitor舉例：說(shuō)明：通過(guò)以上命令可以查詢(xún)到管理平臺(tái)的cpu使用率，查看該CPU哪個(gè)應(yīng)用占用的程序比較大，根據(jù)情況關(guān)閉相關(guān)應(yīng)用，例如flow_lookup是檢查會(huì)話(huà)是否存在進(jìn)程，flow_forwarding是transmit地址轉(zhuǎn)換進(jìn)程，如果不確定的情況下開(kāi)case解決問(wèn)題。全局利用率查看命令：showcounterglobal舉例：說(shuō)明：可以根據(jù)數(shù)據(jù)平臺(tái)和管理平臺(tái)綜合情況，去查看具體哪個(gè)應(yīng)用利用率超標(biāo)，綜合判斷引起故障的要點(diǎn)。Debug和Less調(diào)試在PA的debug是為了獲取等多的排障詳細(xì)信息，這個(gè)命令相當(dāng)于show的命令，主要是查看管理平臺(tái)和數(shù)據(jù)平臺(tái)額外信息從而判斷問(wèn)題的根本原因。Less為管理和數(shù)據(jù)平臺(tái)log日志的查看，對(duì)比起GUI使用CLI的less能看到更多的詳細(xì)數(shù)據(jù)交互信息，從而判斷問(wèn)題的根本原因。管理平臺(tái)Debug/Less命令：lessmp-log/tailfollowyesmp-log舉例：說(shuō)明：查看管理平臺(tái)日志信息可以通過(guò)輔助命令去實(shí)現(xiàn)：tailfollowyesmp-logauthd.log使用tail可以實(shí)時(shí)發(fā)現(xiàn)流量情況，例如該命令為查看管理平臺(tái)的認(rèn)證情況。數(shù)據(jù)平臺(tái)Debug/Less命令：debugdataplane舉例：說(shuō)明：使用debugdataplane可以查看數(shù)據(jù)平臺(tái)流量，例如內(nèi)存的詳細(xì)使用情況等。其他Debug/Less命令：debugikeglobalondebug（查看VPNike信息）lessmp-logikemgr.log（查看VPNike日志信息）舉例：說(shuō)明：查看VPNike交互過(guò)程，可以通過(guò)tailfollowyes的方式實(shí)時(shí)查看數(shù)據(jù)報(bào)文的交互。命令：debuglog-receiverstatistics（查看日志情況）lessmp-loglogrcvr.log（查看日志緩存情況）舉例：說(shuō)明：可以通過(guò)該命令來(lái)檢查日志工作情況。硬件異常查看及處理電源狀態(tài)查看命令：showsystemenvironmentalspower舉例：說(shuō)明：當(dāng)Alarm列為T(mén)rue時(shí)，表示電源狀態(tài)異常，此時(shí)需要檢查供電設(shè)施（如機(jī)柜電源及電源插排）是否正常供電，在確認(rèn)供電正常，防火墻電源仍然異常時(shí)，可以生成診斷信息文件，提供給PaloAlto廠商case處理，以確認(rèn)電源模塊是否故障或損壞。風(fēng)扇狀態(tài)查看命令：showsystemenvironmentalsfans舉例：說(shuō)明：當(dāng)Alarm為T(mén)rue時(shí)，表示風(fēng)扇狀態(tài)異常。RPMs為False時(shí)，表示風(fēng)扇不轉(zhuǎn)。此時(shí)需到現(xiàn)場(chǎng)檢查設(shè)備風(fēng)扇是否轉(zhuǎn)動(dòng)（用手放在風(fēng)扇后面，看是否能感受到風(fēng)）。如果風(fēng)扇不轉(zhuǎn)，則需要對(duì)其進(jìn)行更換。設(shè)備溫度查看命令：showsystemenvironmentalsthermal舉例：說(shuō)明：當(dāng)Alarm為T(mén)rue時(shí)，表示溫度狀態(tài)異常。異常時(shí)需要確定機(jī)房溫度是否過(guò)高，或者散熱系統(tǒng)是否受阻。日志查看告警日志查看命令：showlogalarm舉例：說(shuō)明：告警可以根據(jù)屬性篩選如開(kāi)始時(shí)間或者結(jié)束時(shí)間等等配置日志查看命令：showlogconfig舉例：說(shuō)明：可以通過(guò)條件選擇來(lái)篩選需要的配置日志信息其他日志查看命令：showlog舉例：說(shuō)明：使用該命令可以查看到系統(tǒng)日志、流量日志、野火日志等雙機(jī)熱備異常處理命令：showhigh-availabilitystate（查詢(xún)防火墻HA雙機(jī)狀態(tài)）showhigh-availabilityall（查詢(xún)完整的HA信息）showhigh-availabilitystate-synchronization（詢(xún)HA同步信息）requesthigh-availabilitystatesuspend（手工切換防火墻HA狀態(tài)，運(yùn)行此命令的防火墻將會(huì)從Active/Passive狀態(tài)切換為暫停狀態(tài)）requesthigh-availabilitystatefunctional（手工恢復(fù)防火墻HA狀態(tài)）舉例：說(shuō)明：由于PaloAlto采用將管理平臺(tái)和數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)分離的硬件結(jié)構(gòu)，因此PaloAlto的HA同步方式也采用管理平臺(tái)和數(shù)據(jù)轉(zhuǎn)發(fā)平臺(tái)之間單獨(dú)同步。PaloAlto防火墻HA的狀態(tài)主要有如下四種：Initial—初始化狀態(tài)，此狀態(tài)為防火墻在發(fā)現(xiàn)對(duì)等體并且進(jìn)行HA狀態(tài)協(xié)商前保持的狀態(tài)，時(shí)間閥值為60秒。60秒過(guò)后，如果防火墻在未發(fā)現(xiàn)對(duì)等體時(shí)，將會(huì)轉(zhuǎn)換為Active狀態(tài)。Active—活躍狀態(tài)，此狀態(tài)為的防火墻處理所有的業(yè)務(wù)流量Passive—被動(dòng)狀態(tài)，此狀態(tài)為備份狀態(tài)，備份主狀態(tài)防火墻所有業(yè)務(wù)流量Suspended—暫停狀態(tài)，此狀態(tài)為防火墻管理員手工暫停Non‐functional—錯(cuò)誤狀態(tài)，主備防火墻都將可能出現(xiàn)此故障狀態(tài)當(dāng)防火墻發(fā)生故障時(shí)故障時(shí)可以根據(jù)狀態(tài)來(lái)判斷和使用命令內(nèi)網(wǎng)用戶(hù)丟包排除方法聯(lián)通測(cè)試命令：pingsource<IP_addr_src_int>host<IP_addr_host>pinghost<IP>舉例：說(shuō)明：指定源接口進(jìn)行ping測(cè)試，如果不通，可以ping自己，如果本機(jī)不通可能考慮端口協(xié)議沒(méi)有起來(lái)，可以調(diào)試端口協(xié)商模式，或者接口沒(méi)有接好，檢查網(wǎng)線(xiàn)（光纖）情況。會(huì)話(huà)查詢(xún)命令：showsessionall舉例：說(shuō)明：可以參考上節(jié)會(huì)話(huà)命令判斷故障內(nèi)容，查看是否在PA是否存在該會(huì)話(huà)信息。接口丟包查詢(xún)命令： showcounterglobal|matchdrop舉例：說(shuō)明：查詢(xún)?nèi)钟?jì)數(shù)器中中存在的Drop數(shù)據(jù)包，如果有丟包請(qǐng)查看是否因?yàn)榘踩呗砸?。抓包分析命令：debugdataplanepacket-diagsetfilteron說(shuō)明：請(qǐng)參考上節(jié)抓包和過(guò)濾分析。VPN故障處理命令：showvpnflow（查看防火墻加解密狀態(tài)）showvpngateway（查看防火墻vpn配置）showvpnike-sa（查看防火墻第一階段IKESA狀態(tài)）showvpnipsec-sa（查看防火墻第二階段IpsecSA狀態(tài)）showvpntunnel（查看防火墻tunnel配置）lessmp-logikemgr.log（debug/less調(diào)試）舉例：常見(jiàn)的VPN故障報(bào)錯(cuò)信息：說(shuō)明:WrongIP:在建立VPN兩端的設(shè)備上面沒(méi)有使用正確的公網(wǎng)IP地址進(jìn)行VPN的建立。NomatchingP1orP2Proposal:在建立VPN兩端的設(shè)備上面使用的加解密算法，數(shù)據(jù)完整性算法，Hash保持協(xié)議不匹配.MismatchedPeerID:在建立VPN兩端的設(shè)備上面使用的PeerID不匹配.PFSGroupmismatch:在建立VPN兩端的設(shè)備上面使用不同的DHgroups.MismatchedProxyID:在建立VPN兩端的設(shè)備上面使用的ProxyID不匹配（通常發(fā)生在使用Policybased）因此，在PaloAlto上面，可以通過(guò)一系列的查詢(xún)命令來(lái)進(jìn)行Vpn建立不成功的故障排查版本升級(jí)Software升級(jí)命令：requestsystemsoftwarecheck（執(zhí)行版本檢查）requestsystemsoftwaredownload（執(zhí)行軟件下載）requestsystemsoftwareinstall（執(zhí)行系統(tǒng)軟件安裝）requestrestartsystem（執(zhí)行設(shè)備重啟）舉例：說(shuō)明：需要注意的是升級(jí)版本后需要重啟設(shè)備。Dynamic升級(jí)命令：requestcontentupgradecheckrequestcontentupgradedownloadrequestcontentupgradeinstall舉例：說(shuō)明：完成后不需要重啟即可生效恢復(fù)配置和口令配置恢復(fù)命令：