Paloalto下一代防火墙运维手册.docxVIP

Paloalto防火墙运维手册 目录 下一代防火墙产品简介 Paloalto下一代防火墙(NGFW)是应用层安全平台。解决了网 络复杂构造，拥有强盛的应用辨别、威迫防备、用户辨别控制、 优胜的性能和高中低端设备选择。 数据包办理流程图： 查察会话 能够经过查察会话能否创立以及会话详尽信息来确立报文是 否正常经过防火墙，假如会话已经成立，而且向来有后续报文命 中刷新,基本能够清除防火墙的问题。 2.1.查察会话汇总 命令： showsessioninfo 举例： admin@PA-VMshowsessioninfo 说明：经过以上命令能够查察到设备支持会话数的最大值，进而 检查能否有负载的状况发生。 2.2.查察sessionID 命令： showsessionidXX 举例： 说明：从以上命令中能够看出究竟能否存在非法流量，能够经过 检查源地点和目的地点端口等信息 2.3.条件选择查察会话 命令： showsessionallfiltersource[ip]destination[ip]application[app] 举例： 说明：能够检查一些风险会话 2.4.查察目前并发会话数 命令： showsessioninfo 举例： 目前并发会话13个，而最大会话为262138，说明会话利用率其实不 高，最后一条红色标志为新建数值。 说明：认识设备目前并发会话状况 2.5.会话过多办理方法 命令： 1、showsessionall（检查全部session） 2、showsessionidXX（检查该session能否非法流量） 说明：假如发现会话数大于设备可支撑的性能，需要依据以上步 骤检查和消除或许防守 经过第一步发现占会话总数许多的ID，经过第二步检查该ID能否 存在非法app或许其余流量，经过Dos保护或许会话限制该IP数 目（假如确立是攻击，能够经过安全策略障蔽该IP地点接见）。 消除会话 命令： Clearsessionall 举例： 可经过sessionid、源或目的IP、源或目的端口或消除全部会话。 说明：将会话消除。 抓包和过滤 在做debug/less或许抓包调试的时候，最好把PA的fastpath 功能关掉，这样能够更为完好的看到交互的数据报文，封闭命令 为： Setdeviceconfigsettingsessionoffloadno Setsessionoffloadno 命令： 1、创立过滤规则： Debugdataplanepacket-diagsetfiltermatchsourcedestination 2、开启过滤规则： Debugdataplanepacket-diagsetfilteron 3、配置抓包对象： （抓取来自接口接收的报文） （抓取地点变换后的报文） （抓取经过防火墙的报文） 4、全局抓包开关： Debugdetaplanepacket-diagsetcaptureon 5、查察全局抓包配置： Debugdetaplanepacket-diagshowsetting 6、封闭抓包 Debugdetaplanepacket-diagsetcaptureoff 7、消除全部抓包内容 Debugdetaplanepacket-diagclearall 8、删除文件 举例： 说明：paloalto能够经过抓包的方式来剖析故障状况。 CPU和内存查察 1.1.管理平台CPU和内存查察 命令： showsystemresources 举例： 说明：经过以上命令能够查问到数据平台的cpu使用状况和内存 使用状况。如发现CPU过高的状况，能够经过 showsystemresourcesfollow这个命令去检查究竟是哪项应用有超 负载行为： -1能够检查哪个CPU频次高，默以为归并 -M能够检查内存使用率能否过高 检查异样应用能否必需使用，不然请封闭，假如不清楚需要开case 剖析问题。 1.2.数据平台CPU和内存查察 命令： showrunningresource-monitor 举例： 说明：经过以上命令能够查问到管理平台的cpu使用率，查察该 CPU哪个应用占用的程序比较大，依据状况封闭有关应用，比如 flow_lookup是检查会话能否存在进度，flow_forwarding是transmit 地点变换进度，假如不确立的状况下开case解决问题。 1.3.全局利用率查察 命令： showcounterglobal 举例： 说明：能够依据数据平台和管理平台综合状况，去查察详细哪个 应用利用率超标，综合判断惹起故障的重点。 Debug和Less调试 在PA的debug是为了获得等多的排障详尽信息，这个命令相当于show的命令，主假如查察管理平台和数据平台额外信息进而判断问题的根来源因。 L