您的位置:360文档中心› (完整版)Paloalto下一代防火墙运维手册V1.1

(完整版)Paloalto下一代防火墙运维手册V1.1

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Paloalto防火墙运维手册

目录

1.下一代防火墙产品简介 (3)

2.查看会话 (4)

2.1. 查看会话汇总 (4)

2.2. 查看session ID (5)

2.3. 条件选择查看会话 (6)

2.4. 查看当前并发会话数 (6)

2.5. 会话过多处理方法 (7)

3.清除会话 (8)

4.抓包和过滤 (8)

5.CPU和内存查看 (10)

5.1. 管理平台CPU和内存查看 (10)

5.2. 数据平台CPU和内存查看 (12)

5.3. 全局利用率查看 (13)

6.Debug和Less调试 (13)

6.1. 管理平台Debug/Less (13)

6.2. 数据平台Debug/Less (14)

6.3. 其他Debug/Less (15)

7.硬件异常查看及处理 (16)

7.1. 电源状态查看 (16)

7.2. 风扇状态查看 (17)

7.3. 设备温度查看 (17)

8.日志查看 (18)

8.1. 告警日志查看 (18)

8.2. 配置日志查看 (19)

8.3. 其他日志查看 (19)

9.双机热备异常处理 (20)

10.内网用户丢包排除方法 (21)

10.1. 联通测试 (22)

10.2. 会话查询 (22)

10.3. 接口丢包查询 (22)

10.4. 抓包分析 (23)

11.VPN故障处理 (23)

12.版本升级 (24)

12.1. Software升级 (24)

12.2. Dynamic升级 (25)

13.恢复配置和口令 (26)

13.1. 配置恢复 (26)

13.2. 口令恢复 (26)

14.其他运维命令 (26)

14.1. 规划化配置命令 (26)

14.2. 系统重启命令 (27)

14.3. 查看应用状态命令 (27)

14.4. 系统空间查看命令 (28)

14.5. 系统进程查看命令 (28)

14.6. 系统基本信息查看命令 (29)

14.7. ARP查看命令 (30)

14.8. 路由查看命令 (30)

14.9. 安全策略查看命令 (31)

14.10. NAT策略查看命令 (31)

14.11. 系统服务查看命令 (32)

14.12. NAT命中查看命令 (32)

14.13. UserIP-Mapping查看命令 (32)

15.其他故障处理 (32)

9.1. 硬件故障 (32)

9.2. 软件故障 (33)

9.3. 接口状态查看 (33)

9.4. 软件故障........................................................................................错误!未定义书签。

1.下一代防火墙产品简介

Paloalto下一代防火墙(NGFW) 是应用层安全平台。解决了网络复杂结构,具有强大的应用识别、威胁防范、用户识别控制、优越的性能和高中低端设备选择。

数据包处理流程图:

2.查看会话

可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙,如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题。

2.1.查看会话汇总

命令:

show session info

举例:

admin@PA-VM> show session info

说明:通过以上命令可以查看到设备支持会话数的最大值,从而检查是否有负载的情况发生。

2.2.查看session ID

命令:

show session id XX

举例:

说明:从以上命令中可以看出到底是否存在非法流量,可以通过检查源地址和目的地址端口等信息

2.3.条件选择查看会话

命令:

show session all filter source[ip]destination[ip] application[app]

举例:

说明:可以检查一些风险会话

2.4.查看当前并发会话数

命令:

show session info

举例:

当前并发会话13个,而最大会话为262138,说明会话利用率并不高,最后一条红色标记为新建数值。

说明:了解设备当前并发会话情况

2.5.会话过多处理方法

命令:

1、show session all(检查所有session)

2、show session id XX(检查该session是否不法流量)

说明:如果发现会话数大于设备可支撑的性能,需要按照以上步骤检查和清除或者防御

通过第一步发现占会话总数较多的ID,通过第二步检查该ID是否存在不法app或者其他流量,通过Dos保护或者会话限制该IP数目(如果确定是攻击,可以通过安全策略屏蔽该IP地址访问)。

3.清除会话

命令:

Clear session all

举例:

可通过session id 、源或目的IP、源或目的端口或清除所有会话。

说明:将会话清除。

4.抓包和过滤

在做debug/less或者抓包调试的时候,最好把PA的fastpath 功能关掉,这样可以更加完整的看到交互的数据报文,关闭命令为:

Set deviceconfig setting session offload no

Set session offload no

相关文档
最新文档