Paloalto下一代防火墙运维手册

欧阳体创编2023.02.03欧阳体创编2023.02.03欧阳美创编2023.02.03欧阳体创编2023.02.03欧阳体创编2023.02.03欧阳美创编 2023.02.03Paloalto防火墙运维手册时间：2023.02.03时间：2023.02.03创作：欧阳体名目2查看会话4查看会话汇总42.2.查看sessionID5556去除会话77CPU和内存查看9CPU9错误!未指定书签。????全局利用率查看8??Debug和Less调试6.1.治理平台Debug/Less126.2.数据平台Debug/Less136.3.其他Debug/Less14错误!未指定书签。15风扇状态查看16设备温度查看16日志查看17错误!未指定书签。配置日志查看11其他日志查看181920联通测试21会话查询21接口丢包查询21抓包分析22VPN故障处理22版本升级错误!未指定书签。错误!未指定书签。12.2.Dynamic升级24??恢复配置和口令 ???? 配置恢复 ???? 口令恢复错误!未指定书签。16规划化配置命令25系统重启命令26????查看应用状态命令 ??????系统空间查看命令 ??2728ARP292930NAT策略查看命令3031NAT命中查看命令31UserIPMapping31其他故障处理31?? 硬件故障错误!未指定书签。193232下一代防火墙产品简介Paloalto下一代防火墙(NGFW)是应用层安全平台。解识别把握、优越的性能和高中低端设备选择。数据包处理流程图：查看会话可以通过查看会话是否创立以及会话具体信息来确定报续报文命中刷,根本可以排解防火墙的问题。命令：showsessioninfo举例：admin@PAVM>showsessioninfo从而检查是否有负载的状况发生。sessionID命令：showsessionidXX举例：通过检查源地址和目的地址端口等信息条件选择查看会话命令：showsessionallfiltersource[ip]destination[ip]application[app]举例：说明：可以检查一些风险会话查看当前并发会话数命令：showsessioninfo举例：当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最终一条红色标记为建数值。说明：了解设备当前并发会话状况会话过多处理方法命令：1、 showsessionall〔检查全部session〕2、 showsessionidXX〔检查该session是否不法流量〕上步骤检查和去除或者防范通过第一步觉察占会话总数较多的 ID，通过其次步检查该ID是否存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目〔假设确定是攻击，可以通过安全策略屏蔽该IP地址访问〕。去除会话命令：Clearsessionall举例：可通过sessionid、源或目的IP、源或目的端口或去除全部会话。说明：将会话去除。抓包和过滤在做debug/less或者抓包调试的时候，最好把 PA的fastpath功能关掉，这样可以更加完整的看到交互的数据报文，关闭命令为：SetdeviceconfigsettingsessionoffloadnoSetsessionoffloadno命令：1、创立过滤规章：Debug dataplane packetdiag set filter match source destinationx.x.x.x2、开启过滤规章：Debugdataplanepacketdiagsetfilteron3、配置抓包对象：Debugdetaplanepacketdiagsetcapturestagereceivefilex.pcap〔抓取来自接口接收的报文〕Debugdetaplanepacketdiagsetcapturestagetransmitfilex.pcap〔抓取地址转换后的报文〕Debugdetaplanepacketdiagsetcapturestagefirewallfilex.pcap〔抓取经过防火墙的报文〕4、全局抓包开关：Debugdetaplanepacketdiagsetcaptureon5、查看全局抓包配置：Debugdetaplanepacketdiagshowsetting6、关闭抓包Debugdetaplanepacketdiagsetcaptureoff7、去除全部抓包内容Debugdetaplanepacketdiagclearall8、删除文件Deletedebugfilterfilex.pcap举例：说明：paloalto可以通过抓包的方式来分析故障状况。CPU和内存查看命令：showsystemresources举例：说明：通过以上命令可以查询到数据平台的cpu使用状况和内存使用状况。如觉察CPU过高的状况，可以通过showsystemresourcesfollow这个命令去检查到底是哪项应用有超负载行为：1CPU频率高，默认为合并M可以检查内存使用率是否过高检查特别应用是否必要使用，否则请关闭，假设不清楚需要开case分析问题。命令：showrunningresourcemonitor举例：说明：通过以上命令可以查询到治理平台的cpu使用率，查看该CPU哪个应用占用的程序比较大，依据状况关闭相关应用，例如 flow_lookup是检查会话是否存在进程，flow_forwarding是transmit地址转换进程，假设不确定的状况下开case解决问题。命令：showcounterglobal举例：哪个应用利用率超标，综合推断引起故障的要点。Debug和Less调试在PA的debug是为了猎取等多的排障具体信息，这个命令相当于show的命令，主要是查看治理平台和数据平台额外信息从而推断问题的根本缘由。Less为治理和数据平台log日志的查看，比照起GUI使用CLI的less能看到更多的具体数据交互信息，从而推断问题的根本缘由。治理平台Debug/Less命令：lessmplog/tailfollowyesmplog举例：说明：查看治理平台日志信息可以通过关心命令去实现：tailfollowyesmplogauthd.log使用tail可以实时觉察流量状况，例如该命令为查看治理平台的认证状况。数据平台Debug/Less命令：debugdataplane说明：查看VPNike交互过程，可以通过tailfollowyes的方式实时查看数据报文的交互。命令：debuglogreceiverstatistics〔查看日志状况〕lessmploglogrcvr.log〔查看日志缓存状况〕举例：说明：可以通过该命令来检查日志工作状况。硬件特别查看及处理电源状态查看命令：showsystemenvironmentalspower举例：说明：当Alarm列为True时，表示电源状态特别，此时需要检查供电设施〔如机柜电源及电源插排〕是否正常供电，在确认供电正常，防火墙电源照旧特别时，可以生成诊断信息文件，供给应PaloAlto厂商case处理，以确认电源模块是否故障或损坏。命令：showsystemenvironmentalsfans举例：说明：当Alarm为True时，表示风扇状态特别。RPMs为False时，表示风扇不转。此时需到现场检查设备风扇是否转动〔用手放在风扇后面，看是否能感受到风〕。假设风扇不转，则需要对其进展更换。命令：showsystemenvironmentalsthermal举例：说明：当Alarm为True时，表示温度状态特别。特别时需要确定机房温度是否过高，或者散热系统是否受阻。日志查看命令：showlogalarm举例：说明：告警可以依据属性筛选如开头时间或者完毕时间等等命令：showlogconfig举例：说明：可以通过条件选择来筛选需要的配置日志信息命令：showlog举例：志等双机热备特别处理命令：showhighavailabilitystate〔HA双机状态〕showhighavailabilityall〔HA信息〕showhighavailabilitystatesynchronization〔询HA同步信息〕requesthighavailabilitystatesuspend〔手工切换防火墙 HA状态，运行此命令的防火墙将会从状态切换为暂停状态〕requesthighavailabilitystatefunctional〕举例：说明：由于PaloAlto承受将治理平台和数据转发平台分别的硬件构造，因此PaloAlto的HA同步方式也承受治理平台和数据转发平台之间单独同步。PaloAltoHA的状态主要有如下四种：Initial—初始化状态，此状态为防火墙在觉察对等体并且进展HA状态协商前保持的状态，时间阀值为60秒。60秒过后，假设防火墙在未觉察对等体时，将会转换为 Active状态。Active—活泼状态，此状态为的防火墙处理全部的业务流量Passive—被动状态，此状态为备份状态，备份主状态防火墙全部业务流量Suspended—暂停状态，此状态为防火墙治理员手工暂停Non‐functional—错误状态，主备防火墙都将可能消灭此故障状态当防火墙发生故障时故障时可以依据状态来推断和使用命令内网用户丢包排解方法命令：pingsource<IP_addr_src_int>host<IP_addr_host>pinghost<IP>举例：说明：指定源接口进展ping测试，假设不通，可以ping自己，假设本机不通可能考虑端口协议没有起来，可以调试端口协商模式，或者接口没有接好，检查网线〔光纤〕状况。命令：showsessionall举例：说明：可以参考上节会话命令推断故障内容，查看是否在PA是否存在该会话信息。命令：showcounterglobal|matchdrop举例：说明：查询全局计数器中中存在的 Drop数据包，假设有丢包请查看是否由于安全策略引起。命令：debugdataplanepacketdiagsetfilteron说明：请参考上节抓包和过滤分析。VPN故障处理命令：1、showvpnflow〔查看防火墙加解密状态〕2、showvpngateway〔vpn配置〕3、showvpnikesa〔IKESA状态〕4、showvpnipsecsa〔查看防火墙其次阶段 IpsecSA状态〕5、showvpntunnel〔查看防火墙tunnel配置〕6、lessmplogikemgr.log〔debug/less调试〕举例：常见的VPN故障报错信息：说明:WrongIP:在建立VPN两端的设备上面没有使用正确的公网IP地址进展VPN的建立。NomatchingP1orP2Proposal:在建立VPN两端的设备上面使用的加解密算法，数据完整性算法，Hash保持协议不匹配.MismatchedPeerID:在建立VPN两端的设备上面使用的PeerID不匹配.PFSGroupmismatch:在建立VPN两端的设备上面使用不同的DHgroups.MismatchedProxyID:在建立VPN两端的设备上面使用的ProxyID不匹配〔通常发生在使用Policybased〕因此，在PaloAlto上面，可以通过一系列的查询命令来进展Vpn建立不成功的故障排查版本升级Software升级命令：1、requestsystemsoftwarecheck〔执行版本检查〕2、requestsystemsoftwaredownload〔执行软件下载〕3、requestsystemsoftwareinstall〔执行系统软件安装〕4、requestrestartsystem〔执行设备重启〕举例：说明：需要留意的是升级版本后需要重启设备。Dynamic升级命令：1、requestcontentupgradecheck2、requestcontentupgradedownload3、requestcontentupgradeinstall举例：说明：完成后不需要重启即可生效恢复配置和口令命令：loadconfig举例：说明：可以通过load命令恢复到lastsave最近配置状态，或者from自定义配置状态：命令：main说明：恢复口令需要重启设备，断电重启后在boot启动瞬间会显示输入命令，只要输入main就可以进入出厂值恢复菜单其他运维命令规划化配置命令命令：Setcliconfigoutputformatset举例：说明：规章化showconfig，便利查看和维护。命令：requestrestartsystem〔设备重启〕requestshutdownsystem〔设备关机〕查看应用状态命令命令：showrunningapplicationstatistics举例：系统空间查看命令命令：showsyst